Demande de clé de récupération BitLocker après l’installation des mises à jour du microprogramme UEFI ou TPM Surface sur un appareil Surface

  • Article

Cet article fournit des solutions de contournement au problème dans lequel vous êtes invité à entrer la clé de récupération BitLocker après l’installation des mises à jour du microprogramme UEFI ou TPM Surface sur un appareil Surface.

S’applique à : Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (1ère génération), Surface Pro (5e génération), Surface Book 2 à 13 pouces, Surface Pro avec LTE Avancé, Surface Book 2 - 15 pouces
Numéro de la base de connaissances d’origine : 4057282

Importante

Cet article contient des informations qui vous montrent comment réduire les paramètres de sécurité ou comment désactiver les fonctionnalités de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Avant d’apporter ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement particulier. Si vous implémentez cette solution de contournement, prenez les mesures supplémentaires appropriées pour protéger l’ordinateur.

Symptômes

Vous rencontrez un ou plusieurs des symptômes suivants sur votre appareil Surface :

  • Au démarrage, vous êtes invité à entrer votre clé de récupération BitLocker et à entrer la clé de récupération correcte, mais Windows ne démarre pas.
  • Vous démarrez directement dans les paramètres UEFI (Unified Extensible Firmware Interface) surface.
  • Votre appareil Surface semble être dans une boucle de redémarrage infinie.

Cause

Ce comportement peut se produire dans le scénario suivant :

  • BitLocker est activé et configuré pour utiliser des valeurs de registre de configuration de plateforme (PCR) autres que les valeurs par défaut de PCR 7 et DE PCR 11, par exemple dans les cas suivants :

    • Le démarrage sécurisé est désactivé.
    • Les valeurs DE PCR ont été explicitement définies, par exemple par stratégie de groupe.

  • Vous installez une mise à jour du microprogramme qui met à jour le microprogramme du module de plateforme sécurisée de l’appareil ou modifie la signature du microprogramme système. Par exemple, vous installez la mise à jour surface dTPM (IFX).

Remarque

Vous pouvez vérifier les valeurs PCR utilisées sur un appareil en exécutant la commande suivante à partir d’une invite de commandes avec élévation de privilèges :

manage-bde.exe -protectors -get <OSDriveLetter>:

Le protocole PCR 7 est obligatoire pour les appareils qui prennent en charge la veille connectée (également appelée InstantGO ou Always On, PC toujours connectés), y compris les appareils Surface. Sur ces systèmes, si le module de plateforme sécurisée (TPM) avec LE PROTOCOLE PCR 7 et le démarrage sécurisé sont correctement configurés, BitLocker est lié par défaut à PCR 7 et à PCR 11. Pour plus d’informations, consultez « À propos du registre de configuration de la plateforme (PCR) » dans paramètres de stratégie de groupe BitLocker.

Solution de contournement

Avertissement

Le chiffrement de lecteur BitLocker vous aide à protéger les informations sensibles de votre organization en chiffrant les données. Cette solution de contournement pour désactiver temporairement BitLocker peut mettre les données en danger. Nous ne recommandons pas cette solution de contournement, mais nous fournissons ces informations afin que vous puissiez implémenter cette solution de contournement à votre propre discrétion. Son utilisation relève de votre responsabilité.

Méthode 1 : Suspendre BitLocker pendant les mises à jour du microprogramme TPM ou UEFI

Vous pouvez éviter ce scénario lors de l’installation des mises à jour du microprogramme système ou du microprogramme TPM en suspendant temporairement BitLocker avant d’appliquer des mises à jour au microprogramme TPM ou UEFI à l’aide de Suspend-BitLocker.

Remarque

Les mises à jour du microprogramme TPM et UEFI peuvent nécessiter plusieurs redémarrages pendant l’installation. Par conséquent, la suspension de BitLocker doit être effectuée via l’applet de commande Suspend-BitLocker et à l’aide du RebootCount paramètre pour spécifier un nombre de redémarrages supérieur à 2 afin que BitLocker reste suspendu pendant le processus de mise à jour du microprogramme. Un nombre de redémarrages égal à 0 interrompt BitLocker indéfiniment, jusqu’à ce que BitLocker soit repris via l’applet de commande PowerShell Resume-BitLocker ou un autre mécanisme.

Pour suspendre BitLocker pour l’installation des mises à jour du microprogramme TPM ou UEFI :

  1. Ouvrez une session PowerShell d’administration.

  2. Entrez l’applet de commande suivante, puis appuyez sur Entrée :

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    où C : est le lecteur affecté à votre disque.

  3. Installez les mises à jour du pilote et du microprogramme du périphérique Surface.

  4. Après l’installation réussie des mises à jour du microprogramme, reprenez BitLocker à l’aide de l’applet de commande Resume-BitLocker comme suit :

    Resume-BitLocker -MountPoint "C:"

Méthode 2 : Activer le démarrage sécurisé et restaurer les valeurs PAR DÉFAUT DUP

Nous vous recommandons vivement de restaurer la configuration par défaut et recommandée des valeurs démarrage sécurisé et PCR après la suspension de BitLocker pour empêcher l’entrée dans la récupération BitLocker lors de l’application de mises à jour futures au microprogramme TPM ou UEFI.

Pour activer le démarrage sécurisé sur un appareil Surface sur lequel BitLocker est activé :

  1. SuspendEz BitLocker à l’aide de l’applet Suspend-BitLocker de commande, comme décrit dans la méthode 1.
  2. Démarrez votre appareil Surface vers UEFI à l’aide de l’une des méthodes définies dans Utilisation de Surface UEFI sur Surface Laptop, new Surface Pro, Surface Studio, Surface Book et Surface Pro 4.
  3. Sélectionnez la section Sécurité .
  4. Sélectionnez Modifier la configuration sous Démarrage sécurisé.
  5. Sélectionnez Microsoft uniquement>OK.
  6. Sélectionnez Quitter, puis Redémarrer pour redémarrer l’appareil.
  7. Reprenez BitLocker à l’aide de l’applet Resume-BitLocker de commande, comme décrit dans la méthode 1.

Pour modifier les valeurs DEP utilisées pour valider le chiffrement de lecteur BitLocker :

  1. Désactivez les stratégies de groupe qui configurent LAP ou supprimez l’appareil des groupes où ces stratégies s’appliquent. Pour plus d’informations, consultez « Options de déploiement » dans bitLocker stratégie de groupe Reference.
  2. SuspendEz BitLocker à l’aide de l’applet Suspend-BitLocker de commande, comme décrit dans la méthode 1.
  3. Reprenez BitLocker à l’aide de l’applet Resume-BitLocker de commande, comme décrit dans la méthode 1.

Méthode 3 : Supprimer les protecteurs du lecteur de démarrage

Si vous avez installé une mise à jour TPM ou UEFI et que votre appareil ne peut pas démarrer, même lorsque la clé de récupération BitLocker correcte est entrée, vous pouvez restaurer la possibilité de démarrage à l’aide de la clé de récupération BitLocker et d’une image de récupération Surface pour supprimer les protecteurs BitLocker du lecteur de démarrage.

Pour supprimer les protecteurs du lecteur de démarrage à l’aide de votre clé de récupération BitLocker :

  1. Obtenez votre clé de récupération BitLocker à partir d’un compte Microsoft ou, si BitLocker est géré par d’autres moyens, tels que MBAM (Microsoft BitLocker Administration and Monitoring), contactez votre administrateur.

  2. À partir d’un autre ordinateur, téléchargez l’image de récupération Surface à partir de Télécharger une image de récupération pour votre Surface et créez un lecteur de récupération USB.

  3. Démarrez à partir du lecteur d’image de récupération SURFACE USB.

  4. Sélectionnez la langue de votre système d’exploitation lorsque vous y êtes invité.

  5. Sélectionnez la disposition de votre clavier.

  6. Sélectionnez Résoudre les problèmes d’invite> decommandes options>avancées.

  7. Exécutez les commandes suivantes :

    manage-bde -unlock -recoverypassword <password>C:
manage-bde -protectors -disable C:

    où C : est le lecteur affecté à votre disque et <le mot de passe> est votre clé de récupération BitLocker, comme obtenu à l’étape 1.

    Remarque

    Pour plus d’informations sur l’utilisation de cette commande, consultez Manage-bde : unlock.

  8. Redémarrez l’ordinateur.

  9. Lorsque vous y êtes invité, entrez votre clé de récupération BitLocker comme obtenu à l’étape 1.

Remarque

Après avoir désactivé les protecteurs BitLocker à partir de votre lecteur de démarrage, votre appareil n’est plus protégé par le chiffrement de lecteur BitLocker. Vous pouvez réactiver BitLocker en sélectionnant Démarrer, en tapant Gérer BitLocker et en appuyant sur Entrée pour lancer l’applet de chiffrement de lecteur BitLocker Panneau de configuration et en suivant les étapes pour chiffrer votre lecteur.

Méthode 4 : Récupérer des données et réinitialiser votre appareil avec surface bare metal recovery (BMR)

Pour récupérer des données à partir de votre appareil Surface si vous ne parvenez pas à démarrer dans Windows :

  1. Obtenez votre clé de récupération BitLocker à partir d’un compte Microsoft ou, si BitLocker est géré par d’autres moyens, tels que MBAM (Microsoft BitLocker Administration and Monitoring), contactez votre administrateur.

  2. À partir d’un autre ordinateur, téléchargez l’image de récupération Surface à partir de Télécharger une image de récupération pour votre Surface et créez un lecteur de récupération USB.

  3. Démarrez à partir du lecteur d’image de récupération SURFACE USB.

  4. Sélectionnez la langue de votre système d’exploitation lorsque vous y êtes invité.

  5. Sélectionnez la disposition de votre clavier.

  6. Sélectionnez Résoudre les problèmes d’invite> decommandes options>avancées.

  7. Exécutez la commande suivante :

    manage-bde -unlock -recoverypassword <password> C:

    où C : est le lecteur affecté à votre disque et <le mot de passe> est votre clé de récupération BitLocker, comme obtenu à l’étape 1.

  8. Une fois le lecteur déverrouillé, utilisez copy les commandes ou xcopy pour copier les données utilisateur sur un autre lecteur.

    Remarque

    Pour plus d’informations sur ces commandes, consultez la référence de ligne de commande Windows.

Pour réinitialiser votre appareil à l’aide d’une image de récupération Surface, suivez les instructions de la section « Comment réinitialiser votre Surface à l’aide de votre lecteur de récupération USB » dans Création et utilisation d’un lecteur de récupération USB.