BitLocker 恢复:已知问题
本文介绍在恢复驱动器时可能导致 BitLocker 无法按预期运行或可能导致 BitLocker 意外启动恢复的常见问题。 本文还提供了解决这些问题的指导。
注意
在本文中,“恢复密码”是指 48 位恢复密码,“恢复密钥”是指 32 位恢复密钥。 有关详细信息,请参阅 BitLocker 密钥保护程序。
有关设备加密的详细信息,请参阅 BitLocker 自动设备加密硬件要求。
Windows 提示输入非现有 BitLocker 恢复密码
Windows 会提示输入 BitLocker 恢复密码。 但是,未配置 BitLocker 恢复密码。
Windows 的解决方法提示输入非现有 BitLocker 恢复密码
BitLocker 和 Active Directory 域服务 (AD DS) 常见问题解答解决了可能出现此症状的情况,并提供有关解决问题的过程的信息:
未备份笔记本电脑的恢复密码,并且笔记本电脑已锁定
假设出现了下面这种情景:
必须恢复 Windows 11 或 Windows 10 笔记本电脑的硬盘。 磁盘已使用 BitLocker 驱动程序加密进行加密。 但是,BitLocker 恢复密码未备份,并且笔记本电脑的通常用户无法提供密码。
未备份笔记本电脑的恢复密码的解决方案
可以使用以下任一方法手动备份或同步联机客户端的现有恢复信息:
创建备份信息的 Windows Management Instrumentation (WMI) 脚本。 有关详细信息,请参阅 BitLocker 驱动器加密提供程序。
在提升的命令提示符窗口中,使用 manage-bde.exe 命令备份信息。
例如,若要将 C: 驱动器的所有恢复信息备份到 AD DS,请打开提升的命令提示符窗口并运行以下命令:
cmd manage-bde.exe -protectors -adbackup C:
注意
BitLocker 不会自动管理此备份过程。
平板电脑设备不支持用于 manage-bde.exe -forcerecovery 测试恢复模式
假设出现了下面这种情景:
需要通过运行以下命令在平板电脑或石板设备上测试 BitLocker 恢复:
cmd manage-bde.exe -forcerecovery
但是,输入恢复密码后,设备无法启动。
平板电脑设备的原因不支持用于 manage-bde.exe -forcerecovery 测试恢复模式
重要
平板电脑设备不支持该 manage-bde.exe -forcerecovery 命令。
出现此问题的原因是 Windows 启动管理器无法在启动前阶段处理触摸输入。 如果启动管理器检测到设备是平板电脑,它将启动进程重定向到 Windows 恢复环境(WinRE),后者可以处理触摸输入。
如果 WindowsRE 检测到硬盘上的 TPM 保护程序,它会重新密封一个RF。 但是,该 manage-bde.exe -forcerecovery 命令删除硬盘上的 TPM 保护程序。 因此,WinRE 无法重新密封 PCR。 此故障触发无限 BitLocker 恢复周期,并阻止 Windows 启动。
此行为是针对所有版本的 Windows 设计的。
平板电脑设备的解决方法不支持用于 manage-bde.exe -forcerecovery 测试恢复模式
若要解决重启循环问题,请执行以下步骤:
在 BitLocker 恢复屏幕上,选择“ 跳过此驱动器”。
选择“高级选项故障排除>”>命令提示符。
在命令提示符窗口中运行以下命令:
manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password> manage-bde.exe -protectors -disable C:“关闭命令提示符”窗口。
关闭设备。
启动设备。 Windows 应照常启动。
在 Surface 上安装 UEFI 或 TPM 固件更新后,BitLocker 会提示输入恢复密码
假设出现了下面这种情景:
Surface 设备已启用 BitLocker 驱动器加密。 Surface TPM 的固件已更新或更新,用于更改系统固件的签名。 例如,已安装 Surface TPM (IFX) 更新。
在 Surface 设备上遇到以下一个或多个症状:
启动时,Surface 设备会提示输入 BitLocker 恢复密码。 输入正确的恢复密码,但 Windows 不会启动。
启动过程直接进入 Surface 设备的统一可扩展固件接口 (UEFI) 设置。
Surface 设备似乎处于无限重启循环中。
在 Surface 上安装 UEFI 或 TPM 固件更新的原因,BitLocker 会提示输入恢复密码
如果将 Surface 设备 TPM 配置为使用平台配置寄存器(HTTP)值,而不是默认的BP 7和PCR 11 值,则会出现此问题。 例如,以下设置可以按这种方式配置 TPM:
- 安全启动已关闭。
- 已显式定义基于组策略的RF 值。
支持连接待机(也称为 InstantGO 或 Always On、Always Connected 电脑)的设备(包括 Surface 设备)必须使用 TPM 的BP 7。 在此类系统上的默认配置中,如果正确配置了RF 7和安全启动,BitLocker 会绑定到RF 7 和RF 11。
在 Surface 上安装 UEFI 或 TPM 固件更新后的解决方案,BitLocker 会提示输入恢复密码
若要验证设备上正在使用的RF 值,请打开提升的命令提示符窗口并运行以下命令:
manage-bde.exe -protectors -get <OSDriveLetter>:
在此命令中, <OSDriveLetter> 表示操作系统驱动器的驱动器号。
若要解决此问题并修复设备,请执行以下步骤:
步骤 1:在启动驱动器上禁用 TPM 保护程序
如果已安装 TPM 或 UEFI 更新并且 Surface 设备无法启动,即使输入了正确的 BitLocker 恢复密码,也可以使用 BitLocker 恢复密码和 Surface 恢复映像来恢复启动功能,以便从启动驱动器中删除 TPM 保护程序。
若要使用 BitLocker 恢复密码和 Surface 恢复映像从启动驱动器中删除 TPM 保护程序,请执行以下步骤:
从 Surface 用户的 Microsoft.com 帐户获取 BitLocker 恢复密码。 如果 BitLocker 由其他方法管理,例如Microsoft BitLocker 管理和监视(MBAM)、Configuration Manager BitLocker 管理或 Intune,请与管理员联系以获取帮助。
使用另一台计算机从 Surface Recovery 映像下载下载 Surface 恢复映像。 使用下载的映像创建 USB 恢复驱动器。
将 USB Surface 恢复映像驱动器插入 Surface 设备,然后启动设备。
出现提示时,选择以下项:
操作系统语言。
键盘布局。
选择“高级选项故障排除>”>命令提示符。
在命令提示符窗口中运行以下命令:
manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>: manage-bde.exe -protectors -disable <DriveLetter>:其中:
- <密码> 是在步骤 1 中获取的 BitLocker 恢复密码
- <DriveLetter> 是分配给操作系统驱动器的驱动器号
注意
有关如何使用此命令的详细信息,请参阅 manage-bde 解锁。
重新启动计算机。
出现提示时,输入在步骤 1 中获取的 BitLocker 恢复密码。
注意
禁用 TPM 保护程序后,BitLocker 驱动器加密不再保护设备。 若要重新启用 BitLocker 驱动器加密,请选择“开始”,键入“管理 BitLocker”,然后按 Enter。 按照步骤加密驱动器。
步骤 2:使用 Surface BMR 恢复数据和重置 Surface 设备
若要在 Windows 未启动的情况下从 Surface 设备恢复数据,请按照步骤 1 到步骤 1 中的步骤 5 操作:在启动驱动器 上禁用 TPM 保护程序以转到命令提示符窗口。 打开命令提示符窗口后,请执行以下步骤:
在命令提示符处运行以下命令:
manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:在此命令中,<密码>是在步骤 1 的步骤 1:禁用启动驱动器上的 TPM 保护程序,DriveLetter> 是分配给操作系统驱动器的驱动器<号的 BitLocker 恢复密码。
解锁驱动器后,使用
copy或xcopy.exe命令将用户数据复制到另一个驱动器。注意
有关这些命令的详细信息,请参阅 Windows 命令 文章。
若要使用 Surface 恢复映像重置设备,请按照创建和使用 Surface 的 USB 恢复驱动器一文中的说明进行操作。
步骤 3:还原默认的RF 值
若要防止此问题重复出现,建议还原安全启动的默认配置和RF 值。
若要在 Surface 设备上启用安全启动,请执行以下步骤:
通过打开提升的 Windows PowerShell 窗口并运行以下 PowerShell cmdlet 来挂起 BitLocker:
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0在此命令中, <DriveLetter> 是分配给驱动器的字母。
重启设备,然后编辑 UEFI 设置,将“安全启动”选项设置为“仅Microsoft”。
重启设备并登录到 Windows。
打开提升的 PowerShell 窗口并运行以下 PowerShell cmdlet:
Resume-BitLocker -MountPoint "<DriveLetter>:"
若要重置 TPM 上的BP 设置,请执行以下步骤:
禁用配置RF设置的任何组策略对象,或者从强制实施此类策略的任何组中删除设备。
有关详细信息,请参阅 BitLocker 组策略设置。
通过打开提升的 Windows PowerShell 窗口并运行以下 PowerShell cmdlet 来挂起 BitLocker:
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0在此命令中, <DriveLetter> 是分配给驱动器的字母。
运行以下 PowerShell cmdlet:
Resume-BitLocker -MountPoint "<DriveLetter>:"
步骤 4:在 TPM 或 UEFI 固件更新期间挂起 BitLocker
通过在应用此类更新之前暂时挂起 BitLocker,可以避免在安装系统固件或 TPM 固件更新时出现这种情况。
重要
安装 TPM 和 UEFI 固件更新时可能需要多次重启。 若要在此过程中保持 BitLocker 挂起,必须使用 PowerShell cmdlet Suspend-BitLocker ,并且 必须将重新启动计数 参数设置为以下值之一:
2 或更高版本:此值设置设备在 BitLocker 设备加密恢复之前将重启的次数。 例如,将值设置为 2 将导致 BitLocker 在设备重启两次后恢复。
0:此值无限期挂起 BitLocker 驱动器加密。 若要恢复 BitLocker,需要使用 PowerShell cmdlet Resume-BitLocker 或其他机制来恢复 BitLocker 保护。
在安装 TPM 或 UEFI 固件更新时挂起 BitLocker:
打开提升的 Windows PowerShell 窗口并运行以下 PowerShell cmdlet:
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0在此 PowerShell cmdlet 中, <DriveLetter> 是分配给驱动器的字母。
安装 Surface 设备驱动程序和固件更新。
安装固件更新后,重新启动计算机,打开提升的 PowerShell 窗口,然后运行以下 PowerShell cmdlet:
Resume-BitLocker -MountPoint "<DriveLetter>:"
TPM 1.2 上的 Credential Guard/Device Guard:每次重启时,BitLocker 会提示输入恢复密码并返回错误0xC0210000
假设出现了下面这种情景:
设备使用 TPM 1.2 并运行 Windows 10 版本 1809。 设备还使用 基于虚拟化的安全功能 ,例如 Device Guard 和 Credential Guard。 每次启动设备时,设备都会进入 BitLocker 恢复模式,并显示类似于以下错误消息的错误消息:
恢复
电脑/设备需要修复。 无法访问所需的文件,因为 BitLocker 密钥未正确加载。
错误代码0xc0210000
需要使用恢复工具。 如果没有任何安装媒体(如光盘或 USB 设备),请联系电脑管理员或电脑/设备制造商。
TPM 1.2 上的 Credential Guard/Device Guard 的原因:每次重启时,BitLocker 都会提示输入恢复密码并返回错误0xC0210000
TPM 1.2 不支持安全启动。 有关详细信息,请参阅 System Guard 安全启动和 SMM 保护:已启用 System Guard 的计算机满足的要求
有关此技术的详细信息,请参阅 Windows Defender System Guard:基于硬件的信任根如何帮助保护 Windows
TPM 1.2 上的 Credential Guard/Device Guard 的解决方法:每次重启时,BitLocker 都会提示输入恢复密码并返回错误0xC0210000
若要解决此问题,请使用以下两种解决方案之一:
- 从受强制安全启动的 GPO 约束的任何组中删除使用 TPM 1.2 的任何设备。
- 编辑“启用基于虚拟化的安全 GPO”,将“安全启动配置”设置为“已禁用”。