Vous êtes invité à entrer une clé de récupération BitLocker après l'installation de mises à jour sur le microprogramme de l'UEFI ou du TPM de Surface sur le périphérique Surface

S’applique à : Surface Studio 1Surface Pro 4Surface Pro 3

Symptômes


Vous rencontrez une ou plusieurs des difficultés suivantes sur l'ordinateur :

  • Au démarrage, vous êtes invité à entrer votre clé de récupération BitLocker ; vous entrez la clé de récupération correspondante, mais Windows ne démarre pas.
  • Démarrez directement dans les paramètres de l'interface UEFI (Unified Extensible Firmware Interface) de Surface.
  • Votre dispositif Surface semble se trouver dans une boucle de redémarrage infinie.

Cause


Ce problème peut se produire dans le cas suivant :

  • Lorsque BitLocker est activé et configuré pour utiliser les valeurs du registre de configuration de plateforme (PCR) autres que les valeurs par défaut de PCR 7 et PCR 11, par exemple lorsque :
    • Le démarrage sécurisé est désactivé.
    • Les valeurs PCR ont été explicitement définies, par exemple par la stratégie de groupe.
  • Installez une mise à jour de microprogramme qui met à jour le microprogramme du module TPM ou modifie la signature du microprogramme du système. Par exemple, installez la mise à jour Surface dTPM (IFX).

Remarque Vous pouvez vérifier les valeurs PCR utilisées sur un périphérique en exécutant la commande suivante à partir d’une invite de commandes avec élévation de privilèges :

manage-bde.exe -protectors -get <OSDriveLetter>:

Remarque Le système PCR 7 est requis pour les périphériques qui prennent en charge la veille connectée (également appelés InstantGO ou Always On, Always Connected PC), notamment les appareils Surface. Lorsque le TPM avec PCR 7 et le démarrage sécurisé sont correctement configurés sur ces systèmes, BitLocker se lie par défaut à PCR 7 et PCR 11. Pour plus d’informations, accédez à « À propos du Registre de configuration de plateforme (PCR) » dans les paramètres de stratégie de groupe BitLocker.

Solution de contournement


Méthode 1 : Suspendre BitLocker pendant les mises à jour du microprogramme du TPM ou de l'UEFI

Vous pouvez éviter ce scénario lors de l'installation de mises à jour du microprogramme système ou du microprogramme du module TPM en mettant temporairement en suspens BitLocker avant d'appliquer des mises à jour au microprogramme de TPM ou de l'UEFI à l'aide de Suspend-BitLocker.

Remarque Les mises à jour du microprogramme de TPM et de l'UEFI peuvent nécessiter plusieurs redémarrage pendant l'installation. La suspension de BitLocker doit donc être effectuée via l'applet de commande Suspend-BitLocker et l’utilisation du paramètre Compteur de redémarrages pour spécifier si le nombre de redémarrages est supérieur à 2 afin de maintenir BitLocker en suspens pendant le processus de mise à jour du microprogramme. Un compteur de redémarrages affichant 0 suspend BitLocker de manière indéfinie jusqu'à ce que BitLocker reprenne via l'applet de commande PowerShell Resume-BitLocker ou un autre mécanisme.

Pour suspendre BitLocker pour l'installation des mises à jour du microprogramme de TPM ou du de l'UEFI :

  1. Ouvrez une session PowerShell d’administration.
  2. Tapez l'applet de commande suivant et appuyez sur Entrée.

    Suspend-BitLocker -MountPoint « C: » -RebootCount 0

    C: est le lecteur affecté à votre disque
  3. Installez les mises à jour du microprogramme et du pilote de l'appareil Surface.
  4. Après l'installation réussie des mises à jour du microprogramme, relancez BitLocker à l'aide de l'applet de commande Resume-BitLocker comme suit :

    Relancer-BitLocker -MountPoint « C: »

Méthode 2 : Activer le démarrage sécurisé et restaurer les valeurs PCR par défaut

Nous vous recommandons vivement de restaurer la configuration par défaut et recommandée du démarrage sécurisé et des valeurs PCR après avoir suspendu BitLocker pour empêcher d'entrer dans la récupération de BitLocker lors de l'application de mises à jour ultérieures au microprogramme de TPM ou de l'UEFI.

Activer le démarrage sécurisé sur un appareil Surface sur lequel BitLocker est activé :

  1. Suspendez BitLocker à l'aide de l'applet de commande Suspend-BitLocker comme décrit dans la méthode 1.
  2. Démarrez votre appareil Surface en UEFI à l'aide de l'une des méthodes définies dans Utilisation de l'UEFI de Surface sur un ordinateur portable Surface, nouveau Surface Pro, Surface Studio, Surface Book et Surface Pro 4.
  3. Sélectionnez l’onglet Sécurité.
  4. Cliquez sur Modifier la configuration sous « Démarrage sécurisé ».
  5. Sélectionnez Microsoft uniquement, puis cliquez sur OK.
  6. Sélectionnez Quitter, puis Redémarrer pour redémarrer le périphérique.
  7. Reprenez BitLocker à l'aide de l'applet de commande Resume-BitLocker comme décrit à la Méthode 1.

Pour modifier les valeurs PCR utilisées pour valider le chiffrement du lecteur BitLocker :

  1. Désactivez toutes les stratégies de groupe qui configurent PCR ou supprimez le périphérique de tous les groupes où ces stratégies s’appliquent. Pour plus d’informations, accédez à « Options de déploiement » à la section Référence de la stratégie de groupe BitLocker.
  2. Suspendez BitLocker à l'aide de l'applet de commande Suspend-BitLocker comme décrit dans la méthode 1.
  3. Reprenez BitLocker à l'aide de l'applet de commande Resume-BitLocker comme décrit à la Méthode 1.

Méthode 3 : Supprimer des logiciels de protection du lecteur de démarrage

Si vous avez installé une mise à jour du TPM ou de l'UEFI et que votre périphérique ne parvient pas à démarrer, même lorsque la clé de récupération BitLocker correcte est entrée, vous pouvez restaurer le démarrage à l'aide de la clé de récupération BitLocker et d'une image de récupération Surface pour supprimer les logiciels de protection BitLocker du lecteur de démarrage.

Pour supprimer les logiciels de protection du lecteur de démarrage à l’aide de votre clé de récupération BitLocker :

  1. Obtenez votre clé de récupération BitLocker à partir de go.microsoft.com/fwlink/p/?LinkId=237614 ou si BitLocker est géré par d'autres moyens tels que le Suivi et administration de BitLocker (MBAM), contactez votre administrateur.
  2. À partir d'un autre ordinateur, téléchargez l'image de récupération de Surface à partir de Télécharger une image de récupération pour votre périphérique Surface et créez un lecteur de récupération USB.
  3. Démarrez à partir du lecteur d'images de récupération USB pour Surface.
  4. Sélectionnez la langue de votre système d'exploitation lorsque vous y êtes invité.
  5. Sélectionnez la disposition de votre clavier.
  6. Sélectionnez Dépanner.
  7. Sélectionnez Options avancées.
  8. Sélectionnez Invite de commandes.
  9. Exécutez les commandes suivantes :

    manage-bde -unlock -recoverypassword <password> C:

    manage-bde -protectors -disable C:

    C: est le lecteur affecté à votre disque et <password> votre clé de récupération BitLocker obtenue à l’étape 1.


    Remarque Pour plus d'informations sur l'utilisation de cette commande, consultez l'article de Microsoft Manage-bde: unlock.
  10. Redémarrez l'ordinateur.
  11. Lorsque vous y êtes invité, entrez votre clé de récupération BitLocker comme obtenue à l’étape 1.

Remarque Après avoir désactivé les logiciels de protection BitLocker à partir de votre lecteur de démarrage, votre périphérique ne sera plus protégé par le chiffrement de lecteur BitLocker. Vous pouvez réactiver BitLocker en sélectionnant Démarrer, en tapant Gérer BitLocker et en appuyant sur Entrée pour lancer l'applet Panneau de configuration Chiffrement de lecteur BitLocker et en suivant les étapes de chiffrement de votre lecteur.

Méthode 4 : Récupérez les données et réinitialisez votre périphérique avec la BMR (Bare Metal Recovery) de Surface

Pour récupérer les données de votre périphérique Surface lorsque vous ne parvenez pas à démarrer sous Windows :

  1. Obtenez votre clé de récupération BitLocker à partir de https://go.microsoft.com/fwlink/p/?LinkId=237614 ou si BitLocker est géré par d'autres moyens tels que le Suivi et administration de BitLocker (MBAM), contactez votre administrateur.
  2. À partir d'un autre ordinateur, téléchargez l'image de récupération de Surface à partir de Télécharger une image de récupération pour votre périphérique Surface et créez un lecteur de récupération USB.
  3. Démarrez à partir du lecteur d'images de récupération USB pour Surface.
  4. Sélectionnez la langue de votre système d'exploitation lorsque vous y êtes invité.
  5. Sélectionnez la disposition de votre clavier.
  6. Sélectionnez Dépanner.
  7. Sélectionnez Options avancées.
  8. Sélectionnez Invite de commandes.
  9. Exécutez la commande suivante :

    manage-bde -unlock -recoverypassword <password> C:

    C: est le lecteur affecté à votre disque et <password> votre clé de récupération BitLocker obtenue à l’étape 1
  10. Une fois le lecteur déverrouillé, utilisez des commandes copy ou xcopy pour copier les données utilisateur sur un autre lecteur.

    Remarque Pour plus d'informations sur ces commandes, consultez la Référence de ligne de commande Windows.

Pour réinitialiser votre appareil à l'aide d'une image de récupération Surface : Suivez les instructions de la section « Comment réinitialiser votre Surface à l'aide de votre lecteur de récupération USB », dans Création et utilisation d'un lecteur de récupération USB pour Surface.