BitLocker 预启动恢复屏幕
在 BitLocker 恢复期间, 预启动恢复屏幕 是用户的一个关键接触点,提供根据组织需求定制的自定义恢复消息、用于其他支持的直接恢复 URL,以及帮助用户找到其恢复密钥的战略提示。
本文深入探讨预启动恢复屏幕上显示的各种元素,详细介绍策略设置和恢复密钥的状态如何影响显示的信息。 无论是个性化消息还是实用指南,预启动恢复屏幕都旨在简化用户的恢复过程
默认启动前恢复屏幕
默认情况下,BitLocker 恢复屏幕显示一条通用消息和 url https://aka.ms/recoverykeyfaq。
自定义恢复消息
使用 BitLocker 策略设置,可以在 BitLocker 预启动恢复屏幕上配置自定义恢复消息和 URL。 自定义恢复消息和 URL 可以包括 BitLocker 自助恢复门户的地址、IT 内部网站或支持电话号码。
使用自定义恢复消息配置的 BitLocker 策略设置。
使用自定义恢复 URL 配置的 BitLocker 策略设置。
有关如何使用策略设置配置自定义恢复消息的详细信息,请参阅 配置预启动恢复消息和 URL。
恢复密钥提示
BitLocker 元数据包括有关保存 BitLocker 恢复密钥的时间和位置的信息。 此信息不会通过 UI 或任何公共 API 公开。 它仅由 BitLocker 恢复屏幕以提示的形式使用,以帮助用户找到卷的恢复密钥。 提示显示在恢复屏幕上,并引用保存密钥的位置。 提示适用于启动管理器恢复屏幕和 WinRE 解锁屏幕。
按照处理) 的顺序,控制在恢复 (期间显示哪个提示的规则:
- 如果通过策略设置进行配置,请始终显示自定义恢复消息
- 始终显示泛型提示: 有关详细信息,请转到 https://aka.ms/recoverykeyfaq
- 如果卷上存在多个恢复密钥,请确定上次创建的 (的优先级,并成功备份) 恢复密钥
- 将备份成功的密钥优先于从未备份的密钥
- 按以下顺序对远程备份位置设置备份提示的优先级:
- Microsoft 帐户
- Microsoft Entra ID
- Active Directory
- 如果密钥已打印并保存到文件中,则显示组合提示 “查找打印输出”或带密钥的文本文件,而不是两个单独的提示
- 如果针对同一恢复密钥执行了同一类型的多个备份 (删除与本地) ,请使用最新备份日期确定备份信息的优先级
- 对于保存到本地 Active Directory 的密钥,没有特定提示。 在这种情况下,如果配置了) 或通用消息 “联系组织的技术支持”,则会显示自定义消息 (
- 如果存在两个恢复密钥,并且只有一个已备份,则系统会要求提供备份密钥,即使另一个密钥较新
示例:保存到文件和单个备份的单个恢复密码
在此方案中,恢复密码将保存到文件中
重要提示
不建议打印恢复密钥或将其保存到文件。 请改用 Microsoft 帐户,Microsoft Entra ID 或 Active Directory 备份。
示例:Microsoft帐户和单个备份的单个恢复密码
在此方案中,配置了自定义 URL。 恢复密码为:
- 保存到Microsoft帐户
- 未打印
- 未保存到文件
结果: 显示自定义 URL 和Microsoft帐户 (https://aka.ms/myrecoverykey) 的提示。
从 Windows 11 版本 24H2 开始,如果恢复密码保存到 MSA,则 BitLocker 预启动恢复屏幕包括Microsoft帐户 (MSA) 提示。 此提示可帮助用户了解使用哪个 MSA 帐户来存储恢复密钥信息。
示例:AD DS 中的单个恢复密码和单个备份
在此方案中,配置了自定义 URL。 恢复密码为:
- 保存到 Active Directory
- 未打印
- 未保存到文件
结果: 仅显示自定义 URL。
示例:具有多个备份的单个恢复密码
在此方案中,恢复密码为:
- 保存到Microsoft帐户
- 已保存到 Microsoft Entra ID
- 印刷
- 已保存到文件
结果: 仅显示Microsoft帐户提示 (https://aka.ms/myrecoverykey) 。
示例:具有 sinlge 备份的多个恢复密码
在此方案中,有两个恢复密码。
恢复密码 #1 为:
- 已保存到文件
- 创建时间: 下午 1 点
- 密钥 ID: 4290B6C0-B17A-497A-8552-272CC30E80D4
恢复密码 #2 为:
- 未备份
- 创建时间: 下午 3 点
- 密钥 ID: 045219EC-A53B-41AE-B310-08EC883AAEDD
结果: 仅显示已成功备份密钥的提示,即使它不是最新的密钥也是如此。
示例:具有多个备份的多个恢复密码
在此方案中,有两个恢复密码。
恢复密码 #1 为:
- 保存到Microsoft帐户
- 保存到 Microsoft Entra ID
- 创建时间: 下午 1 点
- 密钥 ID: 4290B6C0-B17A-497A-8552-272CC30E80D4
恢复密码 #2 为:
- 保存到 Microsoft Entra ID
- 创建时间: 下午 3 点
- 密钥 ID: 045219EC-A53B-41AE-B310-08EC883AAEDD
结果: 显示Microsoft Entra ID 提示 (https://aka.ms/aadrecoverykey) ,这是最近保存的密钥。
其他恢复信息屏幕
从 Windows 11 版本 24H2 开始,BitLocker 预启动恢复屏幕增强了恢复错误信息。 恢复屏幕提供有关恢复错误性质的更详细信息,使用户能够更好地了解和解决问题。
用户可以选择按 Alt 键查看有关恢复错误的其他信息。
“ 其他恢复信息 ”屏幕包含 错误类别 和 代码,可用于从本文的下一部分检索更多详细信息。
接下来的部分介绍每个 BitLocker 错误类别的代码。 每个部分中都有一个表,其中包含恢复屏幕上显示的错误消息以及错误原因。 某些表包含可能的解决方法。
错误类别包括:
由用户启动
错误代码 | 错误原因 | 解决方案 |
---|---|---|
E_FVE_USER_REQUESTED_RECOVERY |
用户从屏幕中显式进入恢复模式,并具有“恢复 ESC 模式”选项。 |
|
E_FVE_BOOT_DEBUG_ENABLED |
启动调试模式已启用。 | 从启动配置数据库中删除启动调试选项。 |
代码完整性
驱动程序签名强制用于确保操作系统的代码完整性。
错误代码 | 错误原因 |
---|---|
E_FVE_CI_DISABLED |
禁用驱动程序签名强制实施。 |
设备锁定
设备锁定阈值功能允许管理员配置具有 BitLocker 保护的 Windows 登录。 在配置了失败的 Windows 登录尝试次数后,设备将重新启动,并且只能通过提供 BitLocker 恢复方法进行恢复。
若要利用此功能,必须配置策略设置交互式登录:计算机帐户锁定阈值位于计算机配置>Windows 设置安全设置>>本地策略>安全选项中。 或者,使用 Exchange ActiveSyncMaxFailedPasswordAttempts 策略设置或 DeviceLock 配置服务提供程序 (CSP) 。
错误代码 | 错误原因 | 解决方案 |
---|---|---|
E_FVE_DEVICE_LOCKEDOUT |
由于错误登录尝试次数过多而触发了设备锁定。 | 需要 BitLocker 恢复方法才能返回到登录屏幕。 |
E_FVE_DEVICE_LOCKOUT_MISMATCH |
设备锁定计数器不同步。 | 需要 BitLocker 恢复方法才能返回到登录屏幕。 |
启动配置
启动配置数据库 (BCD) 包含 Windows 启动环境的重要信息。
错误代码 | 错误原因 | 解决方案 |
---|---|---|
E_FVE_BAD_CODE_ID E_FVE_BAD_CODE_OPTION |
由于启动应用程序更改,BitLocker 进入恢复模式。 BitLocker 跟踪 BCD 中的数据,当此数据发生更改时,BitLocker 恢复可能会发生,而不会发出警告。 请参阅恢复屏幕,查找已更改的启动应用程序。 |
若要解决此问题,请还原 BCD 配置。 如果在启动前无法还原 BCD 配置,则需要 BitLocker 恢复方法来解锁设备。 |
有关详细信息,请参阅 启动配置数据设置和 BitLocker。
TPM
受信任的平台模块 (TPM) 是用于保护设备的加密硬件或固件。 BitLocker 创建一个 TPM 保护程序 来管理对用于加密数据的加密密钥的保护。
启动时,BitLocker 会尝试与 TPM 通信以解锁设备并访问数据。
错误代码 | 错误原因 |
---|---|
E_FVE_TPM_DISABLED |
TPM 存在,但在启动之前或启动期间已禁用以供使用。 |
E_FVE_TPM_INVALIDATED |
TPM 存在,但无效。 |
E_FVE_BAD_SRK |
TPM 的内部存储根密钥已损坏。 |
E_FVE_TPM_NOT_DETECTED |
启动系统没有或未检测到 TPM。 |
E_MATCHING_PCRS_TPM_FAILURE |
解除加密密钥密封时,TPM 意外失败。 |
E_FVE_TPM_FAILURE |
其他 TPM 错误的全部捕获。 |
有关详细信息,请参阅 受信任的平台模块技术概述 和 BitLocker 和 TPM。
保护
TPM 保护程序
TPM 包含多个平台配置寄存器 (PCR) ,可在 BitLocker TPM 保护程序的验证配置文件中使用。 PCR 用于验证启动过程的完整性,即启动配置和启动流是否未被篡改。
BitLocker 恢复可能是 TPM 保护程序验证配置文件中使用的 PCR 发生意外更改的结果。 对 TPM 保护程序配置文件中未使用的 PCR 的更改不会影响 BitLocker。
错误代码 | 错误原因 | 解决方案 |
---|---|---|
E_FVE_PCR_MISMATCH |
设备的配置已更改。 可能的原因包括: - 插入可启动媒体。 删除它并重启设备可能会解决此问题 - 在未更新 TPM 保护程序的情况下应用了固件更新 |
需要恢复方法才能解锁设备。 |
有关更多示例,请参阅 BitLocker 恢复方案。
PCR 7 的特殊情况
如果 TPM 保护程序在验证配置文件中使用 PCR 7,则 BitLocker 希望 PCR 7 测量安全启动的特定事件集。 这些度量值在 UEFI 规范中定义。有关详细信息,请参阅 信任度量的静态根
错误代码 | 错误原因 | 解决方案 |
---|---|---|
E_FVE_SECUREBOOT_DISABLED |
安全启动已被禁用。 若要访问加密密钥并解锁设备,BitLocker 需要启用安全启动。 | 重新启用安全启动并重新启动系统可能会修复恢复问题。 否则,需要恢复方法才能访问设备。 |
E_FVE_SECUREBOOT_CHANGED |
安全启动配置意外更改。 在 PCR 7 中测量的启动配置已更改。 这可能是由于以下原因之一: - BitLocker 更新 TPM 保护程序时当前不存在的其他度量值 - BitLocker 上次更新 TPM 保护程序时存在的缺失度量值,但现在不存在 - 预期事件具有不同的度量值 |
需要恢复方法才能解锁设备。 |
Unknown
错误代码 | 错误原因 | 解决方案 |
---|---|---|
E_FVE_RECOVERY_ERROR_UNKNOWN |
BitLocker 由于未知错误而进入恢复模式。 | 需要恢复方法才能解锁设备。 |