如果预预配 BitLocker 与 Windows 10 版本 1511 一起使用,则早期 Windows 版本不会在“设置 Windows 和配置管理器”步骤后启动
本文介绍在运行“安装 Windows 和配置管理器”步骤后,如果预预配 BitLocker 与 Windows 10 版本 1511 一起使用,则早期 Windows 版本为何不会启动。
适用于: Windows 10 – 所有版本、Windows 7 Service Pack 1
原始 KB 数: 4494799
现象
请考虑以下情况:
- 将 Windows 10 版本 1511 ADK 安装到启动映像。
- 将KB3143760应用到启动映像。
- 你希望使用新的 1511 启动映像安装早于 Windows 10 版本 1511 的 Windows 版本。 为此,请将内置的“预预配 BitLocker”步骤添加到任务序列。 这使“仅使用空间加密”功能可以加快 BitLocker 驱动器加密的速度。
任务序列中的所有步骤按预期工作,直到“设置 Windows 和 Configuration Manager”步骤。 此步骤运行后,设备将启动到“恢复”屏幕,其中显示“电脑上没有更多 BitLocker 恢复选项”消息,类似于以下屏幕截图:
原因
出现此问题的原因是 Windows 10 版本 1511 中的默认加密已从 AES 128 更改为 XTS-AES 128 以提高安全性。 Windows 10 版本 1511 之前发布的系统版本无法识别新的加密方法。
若要验证这种情况,请启用命令行支持,并在 Windows PE 阶段运行以下命令:
manage-bde.exe -status
解决方法
若要解决此问题,请使用“运行命令行”步骤。 为此,请在“预预配 BitLocker”任务序列步骤之前添加以下命令:
reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 3 /f
如果使用 x64 启动映像,请选择禁用 64 位文件系统重定向的选项。
如果你更喜欢其他加密方法(如 AES 256),请使用下表中的指南。
| 值 | 加密方法 | 含义和命令行语法 |
|---|---|---|
| 1 | AES_128_WITH_DIFFUSER | 卷已由高级加密标准(AES)算法进行完全或部分加密,并使用 AES 密钥大小为 128 位的漫射层进行增强。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 1 /f |
| 2 | AES_256_WITH_DIFFUSER | 卷已由高级加密标准(AES)算法进行完全或部分加密,并使用具有 256 位 AES 密钥大小的漫射器层进行增强。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 2 /f |
| 3 | AES_128 | 卷已由高级加密标准(AES)算法完全或部分加密,该算法的 AES 密钥大小为 128 位。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 3 /f |
| 4 | AES_256 | 卷已完全或部分加密高级加密标准 (AES) 算法,其 AES 密钥大小为 256 位。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 4 /f |
| 6 | XTS_AES128 * | 卷已完全或部分加密高级加密标准(AES)算法,该算法的 XTS-AES 密钥大小为 128 位。 这是 Windows PE 10.0.586.0(版本 1511)的默认值。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 6 /f |
| 7 | XTS_AES256 * | 该卷已由高级加密标准(AES)算法完全或部分加密,该算法的 XTS-AES 密钥大小为 256 位。 reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 7 /f |
* 仅支持部署 Windows 10 映像、版本 1511 或更高版本
系统部署现在将正常工作。 加密方法再次设置为 AES 128,就像在旧版 Windows PE 中一样。
