מוצגת בקשה למפתח שחזור של BitLocker לאחר התקנת עדכונים בקושחת Surface UEFI או TPM בהתקן Surface

חשוב

מאמר זה מכיל מידע שמסביר כיצד להנמיך את הרמה של הגדרות האבטחה או כיצד להשבית תכונות אבטחה במחשב. תוכל לבצע שינויים אלה כדי לעקוף בעיה ספציפית. לפני שתבצע שינויים אלה, אנו ממליצים לך להעריך את הסיכונים הקשורים ליישום פתרון זה בסביבה הספציפית שלך. אם אתה מיישם מעקף זה, נקוט באמצעים מתאימים נוספים שיסייעו בהגנה על המחשב שלך.

מאפייני הבעיה

הנכם נתקלים באחת או יותר מהתופעות הבאות בהתקן ה-Surface שברשותך:

  • בעת האתחול, אתם מתבקשים להזין את מפתח השחזור של BitLocker, ותזינו את מפתח השחזור הנכון, אך Windows לא מופעל.

  • הנכם מאתחלים ישירות לתוך הגדרות Surface Unified Extensible Firmware Interface (UEFI).

  • נראה שמכשיר ה- Surface ברשותך נמצא בלולאת איתחול אין-סופית.

סיבה

התנהגות זו יכולה להופיע במאורעות הבאים:

  • BitLocker זמין ותצורתו נקבעה לשימוש בערכי רישום תצורת פלטפורמה (PCR) שאינם ערכי ברירת המחדל של PCR 7 ו-PCR 11, לדוגמה, כאשר:

    • אתחול מאובטח כבוי.

    • ערכי ה-PCR הוגדרו במפורש, כמו לפי מדיניות קבוצתית (Group Policy).

  • הנכם מתקינים עדכון קושחה המעדכן את הקושחה של ה-TPM של ההתקן, או משנה את ייחודה של קושחת המערכת. לדוגמה, התקנת עדכון Surface dTPM (IFX).

הערה באפשרותך לאמת את ערכי ה- PCR הנמצאים בשימוש בהתקן על-ידי הרצת הפקודה הבאה משורת פקודת הנחיה מוגבהת:

manage-bde.exe -protectors -get <OSDriveLetter>:

הערה PCR 7 הוא דרישה עבור התקנים התומכים ב- Connected Standby (הידוע גם בתור InstantGO או Always On, Always Connected PCs), כולל התקני Surface. במערכות מסוג זה, אם ה-TPM עם PCR 7 ואתחול מאובטח מוגדרים כראוי, BitLocker נקשר ל-PCR 7 ו-PCR 11 כברירת מחדל. לקבלת מידע נוסף, ראו "אודות רישום תצורת הפלטפורמה (PCR)" ב- הגדרות מדיניות BitLocker קבוצתית.

פתרון

אזהרה

הצפנת כונן של BitLocker מסייעת לך להגן על המידע הרגיש של הארגון שלך על-ידי הצפנת הנתונים. דרך עקיפית זו לצורך השבתת באופן זמני את BitLocker עלולה לסכן את הנתונים. פתרון זה אינו מומלץ, אך אנו מספקים מידע עליו כדי שתוכל ליישם אותו לפי שיקול דעתך. שימוש בדרך עקיפה זו הוא על אחריותך בלבד.

שיטה 1: השהיית BitLocker במהלך עדכוני קושחה של TPM או UEFI

באפשרותך להימנע מתרחיש זה בעת התקנת עדכונים בקושחה של מערכת או בקושחה של TPM על-ידי השעיה זמנית של BitLocker לפני החלת עדכונים על קושחת TPM או UEFI באמצעות שימוש השעיית BitLocker.

הערה עדכוני קושחה של TPM ו- UEFI עשויים לדרוש אתחולים מרובים במהלך ההתקנה. כך שההשהיה של BitLocker חייבת להתבצע באמצעות ה-cmdlet Suspend-BitLocker ושימוש בפרמטר Reboot Count כדי לציין מספר אתחולים גדול מ-2 כדי לשמור על BitLocker מושהה במהלך תהליך עדכון הקושחה. ספירת אתחול של 0 ישהה את BitLocker ללא הגבלת זמן, עד שפעולתו של BitLocker תתחדש באמצעות הפעלת BitLocker של PowerShell cmdlet או דרך מנגנון אחר.

כדי להשעות את BitLocker עבור התקנת עדכוני קושחה של TPM או UEFI:

  1. פתח הפעלת PowerShell ניהולית.

  2. הקלידו את פקודת cmdlet הבאה ולאחר מכן הקישו Enter:

    Suspend-BitLocker -MountPoint C:" -RebootCount 0

    כאשר C: הוא הכונן המוקצה לדיסק שלך

  3. התקנת עדכוני מנהלי התקנים וקושחה של התקני Surface.

  4. לאחר התקנה מוצלחת של עדכוני הקושחה, הפעילו חזרה את BitLocker על-ידי שימוש בפקודת cmdlet Resume-BitLocker כלהלן:

    הפעילו חזרה-BitLocker -MountPoint C:"

שיטה 2: אפשרו אתחול מאובטח ושחזור ערכי PCR המהווים ברירת מחדל

אנו ממליצים מאוד לשחזר את התצורה המומלצת של ערכי אתחול מאובטח ו-PCR לאחר ש-BitLocker מושעה כדי למנוע הזנה של שחזור BitLocker בעת החלת עדכונים עתידיים על קושחת TPM או UEFI.

כדי לאפשר אתחול מאובטח בהתקן Surface בו BitLocker זמין:

  1. השעו את BitLocker על-ידי שימוש בפקודת ההשעיה cmdlet BitLocker כמתואר בשיטה 1.

  2. אתחלו את התקן ה- Surface שלכם ל- UEFI באמצעות אחת מהשיטות המוגדרות באמצעות Surface UEFI על מחשב נייד Surface, Surface Pro החדש, Surface Studio, Surface Book, ו- Surface Pro 4.

  3. בחרו במתחם אבטחה.

  4. לחצו על שינוי תצורה תחת "אתחול מאובטח".

  5. בחרו Microsoft בלבד ולחצו על אישור.

  6. בחרו יציאה, ולאחר מכן הפעלנ מחדש כדי לאתחל את ההתקן.

  7. חזרו ל- BitLocker באמצעות פקודת ה- cmdlet חזרה ל-BitLocker כפי שמתואר בשיטה 1.

כדי לשנות את ערכי ה-PCR המשמשים לאימות הצפנת הכונן של BitLocker:

  1. בטלו כל מדיניות קבוצתית הקובעים את ה- PCR, או הסירו את ההתקן מכל קבוצה בה מדיניות מסוג זה חלה. לקבלת מידע נוסף, ראו "אפשרויות פריסה" בהפניה למדיניות הקבוצה של BitLocker.

  2. השעו את BitLocker על-ידי שימוש בפקודת ההשעיה cmdlet BitLocker כמתואר בשיטה 1.

  3. חזרו ל- BitLocker באמצעות פקודת ה- cmdlet חזרה ל-BitLocker כפי שמתואר בשיטה 1.

שיטה 3: הסרת מגנים מכונן האתחול

אם ברשותכם עדכון TPM או UEFI מותקן וההתקן שלכם אינו מצליח לאתחל, גם כאשר מוזן מפתח השחזור הנכון של BitLocker, באפשרותכם לשחזר את היכולת לאתחול באמצעות מפתח השחזור של BitLocker ותמונת שחזור Surface כדי להסיר את מגיני BitLocker מכונן האתחול.

על מנת להסיר את המגנים מכונן האתחול באמצעות מפתח השחזור של BitLocker:

  1. השיגו את מפתח השחזור של BitLocker מ- go.microsoft.com/fwlink/p/?LinkId=237614, או אם BitLocker מנוהל על-ידי אמצעים אחרים כגון Microsoft BitLocker Administration and Monitoring (MBAM), פנו אל מנהל המערכת.

  2. ממחשב נוסף, הורידו את תמונת השחזור של Surface מ- הורדת תמונת שחזור עבור ה- Surface שלך וצרו כונן גיבוי USB.

  3. בצעו אתחול מכונן תמונת השחזור Surface של USB.

  4. בחרו בשפת מערכת ההפעלה שברשותכם כאשר תתבקשו לעשות זאת.

  5. בחרו את פריסת המקלדת שברשותכם.

  6. בחרו פתרון בעיות.

  7. בחרו אפשרויות מתקדמות.

  8. בחרו פקודה מידית.

  9. הפעל את הפקודות הבאות:

    manage-bde -unlock -recoverypassword <password>C:

    manage-bde -protectors -disable C:

    כאשר C: הוא הכונן המוקצה לדיסק ו- <password> i הוא מפתח השחזור שלך ל-BitLocker כפי שהושג בשלב 1.

    הערה  לקבלת מידע נוסף אודות השימוש בפקודה זו, עיינו במאמר Microsoft Docs Manage-bde: unlock.

  10. הפעל מחדש את המחשב.

  11. כאשר תתבקשו, הזינו את מפתח השחזור של BitLocker השייך לכם כפי שהושג בשלב 1.

הערה לאחר השבתת מגיני BitLocker מכונן האתחול, ההתקן שלך לא יהיה עוד מוגן על-ידי הצפנת הכונן של BitLocker. ניתן לאפשר מחדש את BitLocker על-ידי בחירת התחל, הקלדת ניהול bitlocker והקשה על Enter כדי להפעיל את יישומון לוח הבקרה של הצפנת הכונן של BitLocker ולעקוב אחר השלבים להצפנת הכונן.

שיטה 4: שחזור נתונים ואיפוס המכשיר עם Surface Bare Metal Recovery (BMR)

כדי לשחזר נתונים מהתקן ה-Surface במידה ולא ניתן לאתחל לתוך Windows:

  1. יש להשיג את מפתח השחזור של BitLocker מ- https://go.microsoft.com/fwlink/p/?LinkId=237614, או אם BitLocker מנוהל על-ידי אמצעים אחרים כגון Microsoft BitLocker Administration and Monitoring (MBAM), פנו אל מנהל המערכת שלכם.

  2. ממחשב אחר, הורידו את תמונת שחזור Surface מ-, הורידו תמונת שחזור עבור ה-Surface שלך וצרו כונן שחזור USB.

  3. בצעו אתחול מכונן תמונת השחזור Surface של USB.

  4. בחרו בשפת מערכת ההפעלה שברשותכם כאשר תתבקשו לעשות זאת.

  5. בחרו את פריסת המקלדת שברשותכם.

  6. בחרו פתרון בעיות.

  7. בחרו אפשרויות מתקדמות.

  8. בחרו פקודה מידית.

  9. הפעל את הפקודה הבאה:

    manage-bde -unlock -recoverypassword <password> C:

    כאשר C: הוא הכונן המשוייך לדיסק שלך ו-<password> היא מפתח השחזור ל- BitLocker שלך כפי שהושג בשלב 1

  10. לאחר שהכונן נפתח, השתמשו בפקודות copy או xcopy כדי להעתיק את נתוני המשתמש לכונן אחר.

    הערה לקבלת מידע נוסף אודות פקודות אלה, עיינו בהפניית שורת הפקודה של Windows.

כדי לאפס את מכשירך באמצעות תמונת שחזור Surface: בצע את ההוראות המוצגות ב-"כיצד לאפס את Surface באמצעות כונן שחזור USB" ב- יצירה ושימוש בכונן שחזור USB.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×