BitLocker 恢复过程

如果设备或驱动器无法使用配置的 BitLocker 机制解锁,用户可能能够自行恢复它。 如果自恢复不是一个选项,或者用户不确定如何继续,则支持人员应制定过程来快速安全地检索恢复信息。

本文概述了获取已加入Microsoft Entra、Microsoft Entra混合联接和已加入 Active Directory 的设备的 BitLocker 恢复信息的过程。 假定读者已经熟悉配置设备以自动备份 BitLocker 恢复信息以及可用的 BitLocker 恢复选项。 有关详细信息,请参阅 BitLocker 恢复概述 一文。

自恢复

操作系统驱动器或固定数据驱动器的 BitLocker 恢复密码和恢复密钥可以保存到一个或多个 USB 设备,并打印并保存到Microsoft Entra ID或 AD DS。

提示

建议将 BitLocker 恢复密钥保存到Microsoft Entra ID或 AD DS。 这样,BitLocker 管理员或支持人员就可以帮助用户获取其密钥。

如果自我恢复包括使用存储在 U 盘上的密码或恢复密钥,则必须警告用户不要将 U 盘存储在与设备相同的位置,尤其是在旅行期间。 例如,如果设备和恢复项都在同一个包中,则未经授权的用户很容易访问该设备。 要考虑的另一个策略是让用户在执行自我恢复之前或之后联系支持人员,以便确定根本原因。

恢复密钥不能存储在以下任何位置:

  • 正在加密的驱动器
  • 不可移动驱动器的根目录
  • 加密卷

使用恢复密码进行自我恢复

如果有权访问恢复密钥,请在预启动恢复屏幕中输入 48 位数字。

  • 如果在预启动恢复屏幕中输入恢复密码时遇到问题,或者无法再启动设备,可以将驱动器作为辅助驱动器连接到其他设备。 有关解锁过程的详细信息,请参阅 解锁驱动器
  • 如果无法使用恢复密码解锁,则可以使用 BitLocker 修复工具 重新获得驱动器的访问权限

Microsoft Entra ID中的自我恢复

如果 BitLocker 恢复密钥存储在 Microsoft Entra ID 中,则用户可以使用以下 URL 访问它们:https://myaccount.microsoft.com。 在“ 设备 ”选项卡中,用户可以选择自己拥有的 Windows 设备,然后选择“ 查看 BitLocker 密钥”选项。

注意

默认情况下,用户可以从Microsoft Entra ID检索其 BitLocker 恢复密钥。 可以使用选项 “限制用户恢复 BitLocker 密钥 (为其拥有的设备) ”来修改此行为。 有关详细信息,请参阅 限制成员用户的默认权限

使用 U 盘进行自我恢复

如果用户将恢复密码保存在 U 盘上,他们可以将驱动器插入锁定的设备并按照说明进行操作。 如果密钥在闪存驱动器上保存为文本文件,则用户必须使用其他设备来读取文本文件。

支持人员恢复

如果用户没有自助恢复选项,则支持人员应能够通过以下选项之一帮助用户:

  • 如果设备已Microsoft Entra联接或Microsoft Entra混合联接,则可以从 Microsoft Entra ID检索 BitLocker 恢复信息
  • 如果设备已加入域,则可以从 Active Directory 检索恢复信息
  • 如果设备配置为使用 DRA,则可以将加密驱动器作为 数据驱动器 装载到另一台设备上,以便 DRA 能够解锁驱动器

警告

将 BitLocker 恢复密码备份到 Microsoft Entra ID 或 AD DS 可能不会自动进行。 应使用策略设置配置设备以启用自动备份,如 BitLocker 恢复概述 一文中所述。

以下列表可用作模板,用于创建恢复过程,以便支持人员检索恢复密码。

☑️ 恢复过程步骤 详细信息
🔲 验证用户的身份 请求恢复密码的人员应验证为该设备的授权用户。 还应验证用户为其提供名称的设备是否属于该用户。
🔲 记录设备名称 用户设备的名称可用于在 Microsoft Entra ID 或 AD DS 中查找恢复密码。
🔲 记录恢复密钥 ID 恢复密钥 ID 可用于在 Microsoft Entra ID 或 AD DS 中查找恢复密码。 恢复密钥 ID 显示在预启动恢复屏幕中。
🔲 找到恢复密码 使用设备名称或来自 Microsoft Entra ID 或 AD DS 的恢复密钥 ID 找到 BitLocker 恢复密码。
🔲 根本原因分析 在向用户提供恢复密码之前,信息应为收集器来确定需要恢复的原因。 此信息可用于执行根本原因分析。
🔲 为用户提供恢复密码 由于 48 位恢复密码较长且包含数字组合,因此用户可能会误入或错误键入密码。 启动时间恢复控制台使用内置的校验和数字检测 48 位恢复密码的每个 6 位块中的输入错误,并让用户有机会更正此类错误。
🔲 轮换恢复密码 如果配置了自动密码轮换,Microsoft Entra加入并Microsoft Entra混合联接的设备会生成新的恢复密码并将其存储在Microsoft Entra ID中。 管理员还可以使用Microsoft Intune或Microsoft Configuration Manager按需触发密码轮换。

Microsoft Entra ID中的支持人员恢复

有几个Microsoft Entra ID角色允许委派管理员从租户中的设备读取 BitLocker 恢复密码。 虽然组织通常使用现有的Microsoft Entra ID云设备管理员支持管理员内置角色,但你也可以创建自定义角色,使用 microsoft.directory/bitlockerKeys/key/read 权限委派对 BitLocker 密钥的访问权限。 可以委托角色来访问特定管理单元中设备的 BitLocker 恢复密码。

注意

当使用 Windows Autopilot 的设备重复使用以加入 Entra ,并且有新的设备所有者时,新设备所有者必须与管理员联系以获取该设备的 BitLocker 恢复密钥。 自定义角色或管理单元范围的管理员将失去对已更改设备所有权的设备的 BitLocker 恢复密钥的访问权限。 这些作用域内管理员需要联系非作用域管理员以获取恢复密钥。 有关详细信息,请参阅查找Intune设备的主要用户一文。

Microsoft Entra 管理中心允许管理员检索 BitLocker 恢复密码。 若要了解有关该过程的详细信息,请参阅 查看或复制 BitLocker 密钥。 访问 BitLocker 恢复密码的另一个选项是使用 Microsoft 图形 API,这对于集成或脚本化解决方案可能很有用。 有关此选项的详细信息,请参阅 获取 bitlockerRecoveryKey

在以下示例中,我们使用 Microsoft Graph PowerShell cmdlet Get-MgInformationProtectionBitlockerRecoveryKey 生成一个 PowerShell 函数,用于从Microsoft Entra ID检索恢复密码:

function Get-EntraBitLockerKeys{
    [CmdletBinding()]
    param (
        [Parameter(Mandatory = $true, HelpMessage = "Device name to retrieve the BitLocker keys from Microsoft Entra ID")]
        [string]$DeviceName
    )
    $DeviceID = (Get-MGDevice -filter "displayName eq '$DeviceName'").DeviceId
    if ($DeviceID){
      $KeyIds = (Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$DeviceId'").Id
      if ($keyIds) {
        Write-Host -ForegroundColor Yellow "Device name: $devicename"
        foreach ($keyId in $keyIds) {
          $recoveryKey = (Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $keyId -Select "key").key
          Write-Host -ForegroundColor White " Key id: $keyid"
          Write-Host -ForegroundColor Cyan " BitLocker recovery key: $recoveryKey"
        }
        } else {
        Write-Host -ForegroundColor Red "No BitLocker recovery keys found for device $DeviceName"
      }
    } else {
        Write-Host -ForegroundColor Red "Device $DeviceName not found"
    }
}

Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes 'BitlockerKey.Read.All' -NoWelcome

加载函数后,它可用于检索特定设备的 BitLocker 恢复密码。 示例:

PS C:\> Get-EntraBitLockerKeys -DeviceName DESKTOP-53O32QI
Device name: DESKTOP-53O32QI
 Key id: 4290b6c0-b17a-497a-8552-272cc30e80d4
 BitLocker recovery key: 496298-461032-321464-595518-463221-173943-033616-139579
 Key id: 045219ec-a53b-41ae-b310-08ec883aaedd
 BitLocker recovery key: 158422-038236-492536-574783-256300-205084-114356-069773

注意

对于由 Microsoft Intune 管理的设备,可以从 Microsoft Intune 管理中心的设备属性检索 BitLocker 恢复密码。 有关详细信息,请参阅 查看恢复密钥的详细信息

Active Directory 域服务中的支持人员恢复

若要从 AD DS 导出恢复密码,必须对存储在 AD DS 中的对象具有 读取访问权限 。 默认情况下,只有 域管理员 有权访问 BitLocker 恢复信息,但 可以将访问权限委托给 特定的安全主体。

为了便于从 AD DS 检索 BitLocker 恢复密码,可以使用 BitLocker 恢复密码查看器 工具。 该工具包含在远程服务器管理工具 (RSAT) 中,它是 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 管理单元的扩展。

使用 BitLocker 恢复密码查看器,可以:

  • 检查 Active Directory 计算机对象的属性以检索关联的 BitLocker 恢复密码
  • 在 Active Directory 林中的所有域中搜索 Active Directory 以获取 BitLocker 恢复密码

以下过程描述了使用 BitLocker 恢复密码查看器执行的最常见任务。

查看计算机对象的恢复密码
  1. 打开ACTIVE DIRECTORY 用户和计算机 MMC 管理单元,然后选择计算机对象所在的容器或 OU
  2. 右键单击计算机对象,然后选择 “属性”
  3. 在“ 属性 ”对话框中,选择“ BitLocker 恢复 ”选项卡以查看与计算机关联的 BitLocker 恢复密码
使用密码 ID 查找恢复密码
  1. “Active Directory 用户和计算机”中,右键单击域容器,然后选择“查找 BitLocker 恢复密码
  2. 在“查找 BitLocker 恢复密码”对话框中的“密码 ID (前 8 个字符) ”框中键入恢复密码的前 8 个字符,然后选择“搜索

数据恢复代理

如果设备配置了 DRA,则支持人员可以使用 DRA 解锁驱动器。 将 BitLocker 驱动器附加到具有 DRA 证书私钥的设备后,可以使用 命令解锁 manage-bde.exe 驱动器。

例如,若要列出为受 BitLocker 保护的驱动器配置的 DRA,请使用以下命令:

C:\>manage-bde.exe -protectors -get D:

Volume D: [Local Disk]
All Key Protectors

    Data Recovery Agent (Certificate Based):
      ID: {3A8F7DEA-878F-4663-B149-EE2EC9ADE40B}
      Certificate Thumbprint:
        f46563b1d4791d5bd827f32265341ff9068b0c42

如果本地证书存储中提供了指纹为 的 f46563b1d4791d5bd827f32265341ff9068b0c42 证书私钥,则管理员可以使用以下命令使用 DRA 保护程序解锁驱动器:

manage-bde -unlock D: -Certificate -ct f46563b1d4791d5bd827f32265341ff9068b0c42

恢复后任务

使用恢复密码解锁卷时:

  • 将事件写入事件日志
  • 平台验证度量值在 TPM 中重置,以匹配当前配置
  • 加密密钥已释放,并且可在卷中写入/读取数据时进行动态加密/解密

解锁卷后,BitLocker 的行为方式相同,无论授予访问权限的方式如何。

注意

如果将具有 TPM 保护程序的 OS 卷移动到其他设备,并使用恢复保护程序解锁该卷,BitLocker 将绑定到新的 TPM。 由于 TPM 不匹配,将卷返回到原始设备将提示输入恢复保护程序。 再次使用恢复保护程序解锁后,卷将重新绑定到原始设备。

如果设备遇到多个恢复密码事件,管理员应执行恢复后分析以确定恢复的根本原因。 然后,刷新 BitLocker 平台验证,以防止每次设备启动时输入恢复密码。

确定恢复的根本原因

如果用户需要恢复驱动器,请务必尽快确定启动恢复的根本原因。 正确分析计算机状态并检测篡改可能会发现对企业安全产生更广泛影响的威胁。

虽然管理员可以在某些情况下远程调查恢复原因,但用户可能需要将包含已恢复驱动器的设备带到站点上,以进一步分析根本原因。 下面是一些问题,可用于帮助确定恢复的根本原因:

☑️ 问题
🔲 (TPM、TPM + PIN、TPM + 启动密钥、仅启动密钥) 配置了哪种 BitLocker 保护模式?
🔲 如果配置了 TPM 模式,则恢复是否由启动文件更改引起?
🔲 设备上正在使用哪个 PCR 配置文件?
🔲 用户只是忘记 PIN 还是丢失了启动密钥?
🔲 如果恢复是由启动文件更改引起的,则启动文件更改是由于预期用户操作 (例如 BIOS 升级) 还是恶意软件?
🔲 用户上次能够成功启动设备是什么时候,此后设备会发生什么情况?
🔲 自上次成功启动以来,用户是否遇到恶意软件或使设备无人参与?

为了帮助回答这些问题,可以使用 manage-bde.exe -status 命令查看当前配置和保护模式。 扫描事件日志以查找有助于指示 (启动恢复的原因的事件,例如,如果启动文件发生更改) 。

解决根本原因

确定恢复原因后,可以重置 BitLocker 保护,以避免每次启动时恢复。

重置的详细信息可能因恢复的根本原因而异。 如果无法确定根本原因,或者恶意软件或 rootkit 感染了设备,则支持人员应应用最佳做法病毒策略来做出适当的反应。

注意

可以通过暂停和恢复 BitLocker 来执行 BitLocker 验证配置文件重置。

根源

步骤

未知 PIN

如果用户忘记了 PIN,则必须在登录到计算机时重置 PIN,以防止每次重启计算机时 BitLocker 启动恢复。

若要防止由于未知 PIN 而继续恢复,请执行以下步骤:

  1. 使用恢复密码解锁设备
  2. 在 BitLocker 控制面板小程序中,展开驱动器,然后选择“更改 PIN
  3. 在“BitLocker 驱动器加密”对话框中,选择“重置已忘记的 PIN”。 如果登录的帐户不是管理员帐户,则必须提供管理凭据
  4. 在“PIN 重置”对话框中,提供并确认要使用的新 PIN,然后选择“完成
  5. 下次需要解锁驱动器时,可以使用新的 PIN

启动密钥丢失

如果包含启动密钥的 U 盘丢失,可以使用恢复密钥解锁驱动器。 然后,可以使用 PowerShell、命令提示符或 BitLocker 控制面板小程序创建新的启动。

有关如何添加 BitLocker 保护程序的示例,请查看 BitLocker 操作指南

启动文件发生更改

如果更新了固件,则会发生此错误。 在对固件进行更改之前,应暂停 BitLocker。 固件更新完成后,应恢复保护。 暂停 BitLocker 可防止设备进入恢复模式。 但是,如果在 BitLocker 保护处于打开状态时发生更改,则恢复密码可用于解锁驱动器,并更新平台验证配置文件,以便下次不会进行恢复。

有关如何暂停和恢复 BitLocker 保护程序的示例,请查看 BitLocker 操作指南

轮换密码

管理员可以配置策略设置,为已加入Microsoft Entra和Microsoft Entra混合联接的设备启用自动恢复密码轮换。
启用自动恢复密码轮换后,设备会在使用该密码解锁驱动器后自动轮换恢复密码。 此行为有助于防止多次使用相同的恢复密码,这可能会造成安全风险。

有关详细信息,请参阅 配置恢复密码轮换

另一种方法是使用Microsoft Intune或Microsoft Configuration Manager远程启动单个设备的恢复密码轮换。

若要详细了解如何使用Microsoft Intune或Microsoft Configuration Manager轮换 BitLocker 恢复密码,请参阅:

BitLocker 修复工具

如果本文档前面讨论的恢复方法无法解锁卷,则 BitLocker 修复工具 (repair-bde.exe) 可用于在块级别解密卷。 该工具使用 BitLocker 密钥包 来帮助从严重损坏的驱动器中恢复加密数据。

然后,可以使用恢复的数据来挽救加密数据,即使正确的恢复密码无法解锁损坏的卷也是如此。 建议仍保存恢复密码,因为如果没有相应的恢复密码,则无法使用密钥包。

在以下情况下使用修复工具:

  • 驱动器使用 BitLocker 加密
  • Windows 无法启动,或者 BitLocker 恢复屏幕未启动
  • 加密驱动器上不包含数据的备份副本

注意

驱动器损坏可能与 BitLocker 无关。 因此,建议在使用 BitLocker 修复工具之前尝试其他工具来帮助诊断和解决驱动器问题。 Windows 恢复环境 (Windows RE) 提供了用于修复 Windows 的更多选项。

Repair-bde 存在以下限制:

  • 它无法修复在加密或解密 过程中 失败的驱动器
  • 它假定如果驱动器具有任何加密,则驱动器已完全加密

有关选项的完整列表 repair-bde.exe ,请参阅 Repair-bde 参考

注意

若要从 AD DS 导出密钥包,必须对存储在 AD DS 中的 BitLocker 恢复密码和密钥包具有 读取 访问权限。 默认情况下,只有域管理员有权访问 BitLocker 恢复信息,但 可以将访问权限委托给其他人