Nach der Installation von Updates für Surface UEFI- oder TPM-Firmware auf dem Surface-Gerät zur Eingabe des BitLocker-Wiederherstellungsschlüssels aufgefordert

  • Artikel

Dieser Artikel enthält Problemumgehungen für das Problem, bei dem Sie nach der Installation von Updates für Surface UEFI- oder TPM-Firmware auf dem Surface-Gerät zur Eingabe des BitLocker-Wiederherstellungsschlüssels aufgefordert werden.

Gilt für: Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (1. Generation), Surface Pro (5. Generation), Surface Book 2 - 13 Zoll, Surface Pro mit LTE Erweitert, Surface Book 2 - 15 Zoll
Ursprüngliche KB-Nummer: 4057282

Wichtig

Dieser Artikel enthält Informationen, die Ihnen zeigen, wie Sie die Sicherheitseinstellungen verringern oder Sicherheitsfeatures auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir Ihnen, die Risiken zu bewerten, die mit der Implementierung dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um den Computer zu schützen.

Symptome

Auf Ihrem Surface-Gerät tritt eines oder mehrere der folgenden Symptome auf:

  • Beim Start werden Sie zur Eingabe Ihres BitLocker-Wiederherstellungsschlüssels aufgefordert, und Sie geben den richtigen Wiederherstellungsschlüssel ein, aber Windows wird nicht gestartet.
  • Sie starten direkt in den Einstellungen der Surface Unified Extensible Firmware Interface (UEFI).
  • Ihr Surface-Gerät scheint sich in einer endlosen Neustartschleife zu befinden.

Ursache

Dieses Verhalten kann im folgenden Szenario auftreten:

  • BitLocker ist aktiviert und so konfiguriert, dass andere PcR-Werte (Platform Configuration Register) als die Standardwerte von PCR 7 und PCR 11 verwendet werden, z. B.:

    • Sicherer Start ist deaktiviert.
    • PCR-Werte wurden explizit definiert, z. B. durch Gruppenrichtlinie.

  • Sie installieren ein Firmwareupdate, das die Firmware des Geräte-TPM aktualisiert oder die Signatur der Systemfirmware ändert. Beispielsweise installieren Sie das Surface dTPM -Update (IFX).

Hinweis

Sie können die PCR-Werte überprüfen, die auf einem Gerät verwendet werden, indem Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten ausführen:

manage-bde.exe -protectors -get <OSDriveLetter>:

PCR 7 ist eine Voraussetzung für Geräte, die Connected Standby (auch bekannt als InstantGO oder Always On, Always Connected PCs) unterstützen, einschließlich Surface-Geräten. Wenn das TPM mit PCR 7 und dem sicheren Start auf solchen Systemen ordnungsgemäß konfiguriert ist, wird BitLocker standardmäßig an PCR 7 und PCR 11 gebunden. Weitere Informationen finden Sie unter Informationen zum Plattformkonfigurationsregister (Platform Configuration Register, PCR) unter BitLocker-Gruppenrichtlinieneinstellungen.

Problemumgehung

Warnung

Die BitLocker-Laufwerkverschlüsselung hilft Ihnen, die vertraulichen Informationen Ihrer organization zu schützen, indem die Daten verschlüsselt werden. Diese Problemumgehung zum vorübergehenden Deaktivieren von BitLocker kann die Daten gefährden. Wir empfehlen diese Problemumgehung nicht, stellen aber diese Informationen bereit, damit Sie diese Problemumgehung nach eigenem Ermessen implementieren können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.

Methode 1: Anhalten von BitLocker während TPM- oder UEFI-Firmwareupdates

Sie können dieses Szenario vermeiden, wenn Sie Updates für Systemfirmware oder TPM-Firmware installieren, indem Sie BitLocker vorübergehend anhalten, bevor Sie Updates auf TPM- oder UEFI-Firmware mithilfe von Suspend-BitLocker anwenden.

Hinweis

TPM- und UEFI-Firmwareupdates erfordern möglicherweise mehrere Neustarts während der Installation. Das Anhalten von BitLocker muss daher über das Cmdlet Suspend-BitLocker erfolgen und den RebootCount Parameter verwenden, um eine Anzahl von Neustarts anzugeben, die größer als 2 sind, damit BitLocker während des Firmwareupdatevorgangs angehalten wird. Bei einer Neustartanzahl von 0 wird BitLocker auf unbestimmte Zeit angehalten, bis BitLocker über das PowerShell-Cmdlet Resume-BitLocker oder einen anderen Mechanismus fortgesetzt wird.

So setzen Sie BitLocker für die Installation von TPM- oder UEFI-Firmwareupdates aus:

  1. Öffnen Sie eine Administrative PowerShell-Sitzung.

  2. Geben Sie das folgende Cmdlet ein, und drücken Sie die EINGABETASTE:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    Dabei ist C: das Laufwerk, das Ihrem Datenträger zugewiesen ist.

  3. Installieren Sie Surface-Gerätetreiber- und Firmwareupdates.

  4. Setzen Sie bitLocker nach erfolgreicher Installation der Firmwareupdates wie folgt mithilfe des Cmdlets Resume-BitLocker fort:

    Resume-BitLocker -MountPoint "C:"

Methode 2: Aktivieren des sicheren Starts und Wiederherstellen von PCR-Standardwerten

Es wird dringend empfohlen, die standardbasierte und empfohlene Konfiguration der Werte für sicheren Start und PCR wiederherzustellen, nachdem BitLocker angehalten wurde, um die BitLocker-Wiederherstellung beim Anwenden zukünftiger Updates auf TPM- oder UEFI-Firmware zu verhindern.

So aktivieren Sie den sicheren Start auf einem Surface-Gerät, auf dem BitLocker aktiviert ist:

  1. Anhalten von BitLocker mithilfe des Suspend-BitLocker Cmdlets, wie in Methode 1 beschrieben.
  2. Starten Sie Ihr Surface-Gerät mit UEFI, indem Sie eine der unter Verwenden von Surface UEFI auf Surface Laptop, new Surface Pro, Surface Studio, Surface Book und Surface Pro 4 definierten Methoden verwenden.
  3. Wählen Sie den Abschnitt Sicherheit aus.
  4. Wählen Sie unter Sicherer Startdie Option Konfiguration ändern aus.
  5. Wählen Sie Nur> MicrosoftOK aus.
  6. Wählen Sie Beenden und dann Neu starten aus, um das Gerät neu zu starten.
  7. Setzen Sie BitLocker mithilfe des Resume-BitLocker Cmdlets wie unter Methode 1 beschrieben fort.

So ändern Sie die PCR-Werte, die zum Überprüfen der BitLocker-Laufwerkverschlüsselung verwendet werden:

  1. Deaktivieren Sie alle Gruppenrichtlinien, die PCR konfigurieren, oder entfernen Sie das Gerät aus allen Gruppen, in denen solche Richtlinien gelten. Weitere Informationen finden Sie unter "Bereitstellungsoptionen" unter BitLocker Gruppenrichtlinie Referenz.
  2. Anhalten von BitLocker mithilfe des Suspend-BitLocker Cmdlets, wie in Methode 1 beschrieben.
  3. Setzen Sie BitLocker mithilfe des Resume-BitLocker Cmdlets wie unter Methode 1 beschrieben fort.

Methode 3: Entfernen von Schutzvorrichtungen vom Startlaufwerk

Wenn Sie ein TPM- oder UEFI-Update installiert haben und Ihr Gerät nicht gestartet werden kann, können Sie die Fähigkeit zum Starten wiederherstellen, indem Sie den BitLocker-Wiederherstellungsschlüssel und ein Surface-Wiederherstellungsabbild verwenden, um die BitLocker-Schutzvorrichtungen vom Startlaufwerk zu entfernen.

So entfernen Sie die Schutzvorrichtungen mithilfe Ihres BitLocker-Wiederherstellungsschlüssels vom Startlaufwerk:

  1. Rufen Sie Ihren BitLocker-Wiederherstellungsschlüssel vom Microsoft-Konto ab, oder wenden Sie sich an Ihren Administrator, wenn BitLocker mit anderen Mitteln wie Microsoft BitLocker Administration and Monitoring (MBAM) verwaltet wird.

  2. Laden Sie von einem anderen Computer das Surface-Wiederherstellungsimage unter Herunterladen eines Wiederherstellungsimages für Ihr Surface herunter, und erstellen Sie ein USB-Wiederherstellungslaufwerk.

  3. Starten Sie vom USB-Surface-Wiederherstellungsimagelaufwerk.

  4. Wählen Sie Ihre Betriebssystemsprache aus, wenn Sie dazu aufgefordert werden.

  5. Wählen Sie Ihr Tastaturlayout aus.

  6. Wählen Sie Problembehandlung bei>erweiterten Optionen>Eingabeaufforderung aus.

  7. Führen Sie die folgenden Befehle aus:

    manage-bde -unlock -recoverypassword <password>C:
manage-bde -protectors -disable C:

    C: ist das Laufwerk, das Ihrem Datenträger zugewiesen ist, und <das Kennwort> ist Ihr BitLocker-Wiederherstellungsschlüssel, wie in Schritt 1 abgerufen.

    Hinweis

    Weitere Informationen zur Verwendung dieses Befehls finden Sie unter Manage-bde: unlock.

  8. Starten Sie den Computer neu.

  9. Wenn Sie dazu aufgefordert werden, geben Sie Ihren BitLocker-Wiederherstellungsschlüssel wie in Schritt 1 erhalten ein.

Hinweis

Nachdem Sie die BitLocker-Schutzvorrichtungen von Ihrem Startlaufwerk deaktiviert haben, wird Ihr Gerät nicht mehr durch die BitLocker-Laufwerkverschlüsselung geschützt. Sie können BitLocker erneut aktivieren, indem Sie Start auswählen, BitLocker verwalten eingeben und die EINGABETASTE drücken, um das Applet BitLocker-Laufwerkverschlüsselung Systemsteuerung zu starten und die Schritte zum Verschlüsseln Ihres Laufwerks auszuführen.

Methode 4: Wiederherstellen von Daten und Zurücksetzen Ihres Geräts mit Surface Bare Metal Recovery (BMR)

Gehen Sie wie folgt vor, um Daten von Ihrem Surface-Gerät wiederherzustellen, wenn Sie windows nicht starten können:

  1. Rufen Sie Ihren BitLocker-Wiederherstellungsschlüssel vom Microsoft-Konto ab, oder wenden Sie sich an Ihren Administrator, wenn BitLocker mit anderen Mitteln wie Microsoft BitLocker Administration and Monitoring (MBAM) verwaltet wird.

  2. Laden Sie von einem anderen Computer das Surface-Wiederherstellungsimage unter Herunterladen eines Wiederherstellungsimages für Ihr Surface herunter, und erstellen Sie ein USB-Wiederherstellungslaufwerk.

  3. Starten Sie vom USB-Surface-Wiederherstellungsimagelaufwerk.

  4. Wählen Sie Ihre Betriebssystemsprache aus, wenn Sie dazu aufgefordert werden.

  5. Wählen Sie Ihr Tastaturlayout aus.

  6. Wählen Sie Problembehandlung bei>erweiterten Optionen>Eingabeaufforderung aus.

  7. Führen Sie den folgenden Befehl aus:

    manage-bde -unlock -recoverypassword <password> C:

    C: ist das Laufwerk, das Ihrem Datenträger zugewiesen ist, und <das Kennwort> ist Ihr BitLocker-Wiederherstellungsschlüssel, wie in Schritt 1 abgerufen.

  8. Nachdem das Laufwerk entsperrt wurde, verwenden Sie copy die Befehle oder xcopy , um die Benutzerdaten auf ein anderes Laufwerk zu kopieren.

    Hinweis

    Weitere Informationen zu diesen Befehlen finden Sie in der Windows-Befehlszeilenreferenz.

Um Ihr Gerät mithilfe eines Surface-Wiederherstellungsimages zurückzusetzen, befolgen Sie die Anweisungen unter "Zurücksetzen Ihres Surface mithilfe des USB-Wiederherstellungslaufwerks" unter Erstellen und Verwenden eines USB-Wiederherstellungslaufwerks.