BitLocker 復原：已知問題

本文說明在復原磁碟驅動器時，可能會導致 BitLocker 無法如預期般運作的常見問題，或可能導致 BitLocker 意外啟動復原。 本文也提供解決這些問題的指引。

注意

在本文中，「修復密碼」是指 48 位數的修復密碼，而「修復密鑰」則是指 32 位數的修復密鑰。 如需詳細資訊，請參閱 BitLocker 金鑰保護裝置。

如需裝置加密的詳細資訊，請參閱 BitLocker 自動裝置加密硬體需求。

Windows 提示輸入非現有的 BitLocker 修復密碼

Windows 會提示您輸入 BitLocker 修復密碼。 不過，未設定 BitLocker 修復密碼。

Windows 的解決方式會提示非現有的 BitLocker 修復密碼

BitLocker 和 Active Directory 網域服務 （AD DS） 常見問題可解決可能產生此徵兆的情況，並提供解決此問題的程式相關信息：

• 如果計算機上已啟用 BitLocker，計算機才會加入網域，該怎麼辦？

• 如果一開始備份就失敗，會發生什麼狀況？ BitLocker 會重試嗎？

膝上型計算機的修復密碼未備份，且膝上型計算機已鎖定

試想以下情況：

必須復原 Windows 11 或 Windows 10 膝上型電腦的硬碟。 磁碟已使用 BitLocker 驅動程式加密來加密。 不過，BitLocker 修復密碼並未備份，而且膝上型電腦的一般用戶無法提供密碼。

未備份膝上型電腦修復密碼的解決方案

您可以使用下列任一方法來手動備份或同步處理線上客戶端的現有復原資訊：

• 建立備份資訊的 Windows Management Instrumentation （WMI） 腳本。 如需詳細資訊，請參閱 BitLocker 磁碟驅動器加密提供者。

• 在提升許可權的 [命令提示字元] 視窗中，使用 manage-bde.exe 命令來備份資訊。

  例如，若要將 C： 磁碟驅動器的所有復原資訊備份至 AD DS，請開啟提升許可權的命令提示字元視窗，然後執行下列命令：

  cmd manage-bde.exe -protectors -adbackup C：

---

注意

BitLocker 不會自動管理此備份程式。

平板電腦裝置不支援使用 manage-bde.exe -forcerecovery 來測試復原模式

試想以下情況：

您必須執行下列命令，在平板電腦或平板裝置上測試 BitLocker 複原：

cmd manage-bde.exe -forcerecovery

---

不過，輸入修復密碼之後，裝置就無法啟動。

平板電腦裝置的原因不支援使用 manage-bde.exe -forcerecovery 來測試復原模式

重要

平板電腦裝置不支援 manage-bde.exe -forcerecovery 命令。

發生此問題的原因是 Windows 開機管理員無法在啟動前階段處理觸控輸入。 如果開機管理員偵測到裝置是平板電腦，則會將啟動程式重新導向至 Windows 復原環境 （WinRE），以處理觸控輸入。

如果 WindowsRE 偵測到硬碟上的 TPM 保護裝置，它會重新密封PCR。 不過， manage-bde.exe -forcerecovery 命令會刪除硬碟上的 TPM 保護裝置。 因此，WinRE 無法重新密封 PCR。 此失敗會觸發無限的 BitLocker 復原週期，並防止 Windows 啟動。

此行為是針對所有 Windows 版本所設計。

平板電腦裝置的因應措施不支援使用 manage-bde.exe -forcerecovery 來測試復原模式

若要解決重新啟動迴圈，請遵循下列步驟：

1. 在 [BitLocker 修復] 畫面上，選取 [ 略過此磁碟驅動器]。

2. 選取 [疑難解答>進階選項>] 命令提示字元。

3. 在 [命令提示字元] 視窗中，執行下列命令：

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. 關閉 [命令提示字元] 視窗。

5. 關閉裝置。

6. 啟動裝置。 Windows 應該像往常一樣啟動。

在 Surface 上安裝 UEFI 或 TPM 韌體更新之後，BitLocker 會提示您輸入修復密碼

試想以下情況：

Surface 裝置已開啟 BitLocker 磁碟驅動器加密。 Surface TPM 的韌體已更新，或更新變更系統韌體簽章的安裝。 例如，已安裝 Surface TPM （IFX） 更新。

您在 Surface 裝置上遇到下列一或多個徵兆：

• 啟動時，Surface 裝置會提示您輸入 BitLocker 修復密碼。 輸入正確的修復密碼，但 Windows 不會啟動。

• 啟動會直接進入 Surface 裝置的整合可擴展韌體介面 （UEFI） 設定。

• Surface 裝置似乎處於無限重新啟動迴圈中。

在 Surface 上安裝 UEFI 或 TPM 韌體更新之後，BitLocker 會提示您輸入修復密碼

如果 Surface 裝置 TPM 已設定為使用平台設定快取器 （PCR） 值，而不是預設值為PCR 7 和PCR 11，就會發生此問題。 例如，下列設定可以透過下列方式設定 TPM：

• 安全開機已關閉。
• 已明確定義PCR值，例如組策略。

支援連線待命的裝置（也稱為 InstantGO 或 Always On、Always Connected 電腦），包括 Surface 裝置，必須使用 TPM 的PCR 7。 在這類系統上的預設設定中，如果正確設定了PCR 7和安全開機，BitLocker 會系結至PCR 7和PCR 11。

在 Surface 上安裝 UEFI 或 TPM 韌體更新之後的解決方法，BitLocker 會提示您輸入修復密碼

若要確認裝置上使用的PCR 值，請開啟提升許可權的 [命令提示字元] 視窗，然後執行下列命令：

manage-bde.exe -protectors -get <OSDriveLetter>:

在此命令中， <OSDriveLetter> 代表作業系統磁碟驅動器的驅動器號。

若要解決此問題並修復裝置，請遵循下列步驟：

步驟 1：停用開機磁碟驅動器上的 TPM 保護裝置

如果已安裝 TPM 或 UEFI 更新且 Surface 裝置無法啟動，即使輸入正確的 BitLocker 修復密碼，也可以使用 BitLocker 修復密碼和 Surface 修復映像來還原啟動功能，以從開機磁碟驅動器移除 TPM 保護裝置。

若要使用 BitLocker 修復密碼和 Surface 修復映像，從開機磁碟驅動器中移除 TPM 保護裝置，請遵循下列步驟：

1. 從 Surface 使用者的 Microsoft.com 帳戶取得 BitLocker 修復密碼。 如果 BitLocker 是由不同的方法管理，例如Microsoft BitLocker Administration and Monitoring （MBAM）、Configuration Manager BitLocker Management 或 Intune，請連絡系統管理員以取得協助。

2. 使用另一部計算機從 Surface Recovery 映像下載下載 Surface 復原映像。 使用下載的映像來建立USB復原磁碟驅動器。

3. 將 USB Surface 修復映像磁碟驅動器插入 Surface 裝置，然後啟動裝置。

4. 出現提示時，請選取下列專案：

   1. 操作系統語言。

   2. 鍵盤配置。

5. 選取 [疑難解答>進階選項>] 命令提示字元。

6. 在 [命令提示字元] 視窗中，執行下列命令：

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   其中：

   • <密碼> 是步驟 1 中取得的 BitLocker 修復密碼
   • <DriveLetter> 是指派給操作系統磁碟驅動器的驅動器號

   注意

   如需如何使用此命令的詳細資訊，請參閱 manage-bde 解除鎖定。

7. 重新啟動電腦。

8. 出現提示時，請輸入步驟 1 中取得的 BitLocker 修復密碼。

注意

停用 TPM 保護裝置之後，BitLocker 磁碟驅動器加密就不會再保護裝置。 若要重新啟用 BitLocker 磁碟驅動器加密，請選取 [開始]，輸入 [管理 BitLocker]，然後按 Enter。 請遵循步驟來加密磁碟驅動器。

步驟 2：使用 Surface BMR 來復原數據和重設 Surface 裝置

若要在 Windows 未啟動時從 Surface 裝置復原數據，請遵循步驟 1 到步驟 1：停用開機磁碟驅動器上的 TPM 保護裝置以進入命令提示字元視窗的步驟 1 到 5。 開啟命令提示字元視窗之後，請遵循下列步驟：

1. 在命令提示字元中，執行下列命令：

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   在此命令中，<密碼>是在步驟 1：停用開機磁碟驅動器上的 TPM 保護裝置一節的步驟 1 中取得的 BitLocker 修復密碼，而 <DriveLetter> 是指派給操作系統磁碟驅動器的驅動器號。

2. 解除鎖定磁碟驅動器之後，請使用 copy 或 xcopy.exe 命令，將用戶數據複製到另一個磁碟驅動器。

   注意

   如需這些命令的詳細資訊，請參閱 Windows 命令 一文。

3. 若要使用 Surface 修復映像重設裝置，請遵循建立和使用 Surface USB 修復磁碟驅動器一文中的指示。

步驟 3：還原預設的PCR值

若要防止此問題重複發生，建議您還原安全開機的預設設定和PCR 值。

若要在 Surface 裝置上啟用安全開機，請遵循下列步驟：

1. 開啟提升許可權的 Windows PowerShell 視窗並執行下列 PowerShell Cmdlet，以暫停 BitLocker：

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   在此命令中， <DriveLetter> 是指派給磁碟驅動器的字母。

2. 重新啟動裝置，然後編輯 UEFI 設定，將 [安全開機] 選項設定為 [僅限Microsoft]。

3. 重新啟動裝置並登入 Windows。

4. 開啟提升許可權的 PowerShell 視窗，然後執行下列 PowerShell Cmdlet：

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

若要重設 TPM 上的PCR 設定，請遵循下列步驟：

1. 停用任何設定PCR 設定的組策略物件，或從任何強制執行這類原則的群組中移除裝置。

   如需詳細資訊，請參閱 BitLocker 組策略設定。

2. 開啟提升許可權的 Windows PowerShell 視窗並執行下列 PowerShell Cmdlet，以暫停 BitLocker：

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   在此命令中， <DriveLetter> 是指派給磁碟驅動器的字母。

3. 執行下列 PowerShell cmdlet：

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

步驟 4：在 TPM 或 UEFI 韌體更新期間暫停 BitLocker

在套用這類更新之前，您可以暫時暫停 BitLocker，以避免在安裝系統韌體或 TPM 韌體更新時發生此案例。

重要

TPM 和 UEFI 韌體更新可能需要在安裝時多次重新啟動。 若要讓 BitLocker 在此程式期間暫停，必須使用 PowerShell Cmdlet Suspend-BitLocker ，而且 Reboot Count 參數必須設定為下列其中一個值：

• 2 或更新：此值會設定裝置在 BitLocker 裝置加密繼續之前重新啟動的次數。 例如，將值設定為 2 會導致 BitLocker 在裝置重新啟動兩次之後繼續。

• 0：此值會無限期暫停 BitLocker 磁碟驅動器加密。 若要繼續 BitLocker，PowerShell Cmdlet Resume-BitLocker 或其他機制必須用來繼續 BitLocker 保護。

若要在安裝 TPM 或 UEFI 韌體更新時暫停 BitLocker：

1. 開啟提升許可權的 Windows PowerShell 視窗，然後執行下列 PowerShell Cmdlet：

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   在此 PowerShell Cmdlet 中， <DriveLetter> 是指派給磁碟驅動器的字母。

2. 安裝 Surface 裝置驅動程式和韌體更新。

3. 安裝韌體更新之後，請重新啟動計算機、開啟提升許可權的 PowerShell 視窗，然後執行下列 PowerShell Cmdlet：

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

TPM 1.2 上的 Credential Guard/Device Guard：每次重新啟動時，BitLocker 會提示您輸入修復密碼，並傳回錯誤0xC0210000

試想以下情況：

裝置使用 TPM 1.2 並執行 Windows 10 1809 版。 裝置也會使用 虛擬式安全性 功能，例如 Device Guard 和 Credential Guard。 每次啟動裝置時，裝置都會進入 BitLocker 修復模式，並顯示類似下列錯誤訊息的錯誤訊息：

復原

您的電腦/裝置必須修復。 無法存取必要的檔案，因為您的 BitLocker 金鑰未正確載入。

錯誤碼0xc0210000

您必須使用復原工具。 如果您沒有任何安裝媒體（例如光碟或 USB 裝置），請連絡電腦系統管理員或電腦/裝置製造商。

TPM 1.2 上的 Credential Guard/Device Guard 原因：每次重新啟動時，BitLocker 會提示您輸入修復密碼，並傳回錯誤0xC0210000

TPM 1.2 不支援安全啟動。 如需詳細資訊，請參閱 系統防護 安全啟動和 SMM 保護：系統防護 啟用的電腦符合的需求

如需這項技術的詳細資訊，請參閱 Windows Defender 系統防護：硬體型信任根如何協助保護 Windows

TPM 1.2 上的 Credential Guard/Device Guard 解決方式：每次重新啟動時，BitLocker 會提示您輸入修復密碼，並傳回錯誤0xC0210000

若要解決此問題，請使用下列兩個解決方案之一：

• 從強制執行安全啟動之 GPO 的任何群組中移除任何使用 TPM 1.2 的裝置。
• 編輯開啟虛擬化型安全性 GPO，將 [安全啟動組態] 設定為 [已停用]。