Richiesta di chiave di ripristino di BitLocker dopo l'installazione degli aggiornamenti al firmware UEFI o TPM di Surface nel dispositivo Surface

  • Articolo

Questo articolo fornisce soluzioni alternative al problema in cui viene richiesta la chiave di ripristino di BitLocker dopo l'installazione degli aggiornamenti al firmware UEFI o TPM di Surface nel dispositivo Surface.

Si applica a: Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (prima generazione), Surface Pro (quinta generazione), Surface Book da 2 a 13 pollici, Surface Pro con LTE Avanzate, Surface Book da 2 a 15 pollici
Numero KB originale: 4057282

Importante

Questo articolo contiene informazioni che illustrano come ridurre le impostazioni di sicurezza o come disattivare le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa nel proprio ambiente specifico. Se si implementa questa soluzione alternativa, seguire i passaggi aggiuntivi appropriati per proteggere il computer.

Sintomi

Nel dispositivo Surface si verificano uno o più dei sintomi seguenti:

  • All'avvio viene richiesta la chiave di ripristino di BitLocker e si immette la chiave di ripristino corretta, ma Windows non viene avviato.
  • Si avvia direttamente nelle impostazioni UEFI (Surface Unified Extensible Firmware Interface).
  • Il dispositivo Surface sembra essere in un ciclo di riavvio infinito.

Causa

Questo comportamento può verificarsi nello scenario seguente:

  • BitLocker è abilitato e configurato per l'uso di valori PCR (Platform Configuration Register) diversi dai valori predefiniti di PCR 7 e PCR 11, ad esempio quando:

    • L'avvio protetto è disattivato.
    • I valori PCR sono stati definiti in modo esplicito, ad esempio da Criteri di gruppo.

  • Si installa un aggiornamento del firmware che aggiorna il firmware del TPM del dispositivo o modifica la firma del firmware di sistema. Ad esempio, si installa l'aggiornamento di Surface dTPM (IFX).

Nota

È possibile verificare i valori PCR in uso in un dispositivo eseguendo il comando seguente da un prompt dei comandi con privilegi elevati:

manage-bde.exe -protectors -get <OSDriveLetter>:

PCR 7 è un requisito per i dispositivi che supportano lo standby connesso (noto anche come InstantGO o Always On, PC Always Connected), inclusi i dispositivi Surface. In questi sistemi, se il TPM con PCR 7 e l'avvio protetto sono configurati correttamente, BitLocker si associa a PCR 7 e PCR 11 per impostazione predefinita. Per altre informazioni, vedere "About the Platform Configuration Register (PCR)" (Informazioni sul registro di configurazione della piattaforma) in Impostazioni dei criteri di gruppo di BitLocker.

Soluzione alternativa

Avviso

Crittografia unità BitLocker consente di proteggere le informazioni sensibili dell'organizzazione crittografando i dati. Questa soluzione alternativa per disabilitare temporaneamente BitLocker può mettere a rischio i dati. Questa soluzione alternativa non è consigliata, ma fornisce queste informazioni in modo che sia possibile implementare questa soluzione alternativa a propria discrezione. L'utilizzo di questa soluzione avviene pertanto a rischio esclusivo dell'utente.

Metodo 1: Sospendere BitLocker durante gli aggiornamenti del firmware TPM o UEFI

È possibile evitare questo scenario durante l'installazione degli aggiornamenti al firmware di sistema o al firmware TPM sospendendo temporaneamente BitLocker prima di applicare gli aggiornamenti al firmware TPM o UEFI usando Suspend-BitLocker.

Nota

Gli aggiornamenti del firmware TPM e UEFI possono richiedere più riavvii durante l'installazione. Pertanto, la sospensione di BitLocker deve essere eseguita tramite il cmdlet Suspend-BitLocker e usando il RebootCount parametro per specificare un numero di riavvii maggiore di 2 per mantenere BitLocker sospeso durante il processo di aggiornamento del firmware. Un numero di riavvii pari a 0 sospende BitLocker a tempo indeterminato, fino a quando BitLocker non viene ripreso tramite il cmdlet di PowerShell Resume-BitLocker o un altro meccanismo.

Per sospendere BitLocker per l'installazione degli aggiornamenti del firmware TPM o UEFI:

  1. Aprire una sessione amministrativa di PowerShell.

  2. Immettere il cmdlet seguente e premere INVIO:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    dove C: è l'unità assegnata al disco.

  3. Installare gli aggiornamenti del firmware e del driver di dispositivo Surface.

  4. Dopo aver completato l'installazione degli aggiornamenti del firmware, riprendere BitLocker usando il cmdlet Resume-BitLocker come indicato di seguito:

    Resume-BitLocker -MountPoint "C:"

Metodo 2: Abilitare l'avvio protetto e ripristinare i valori predefiniti della pcr

È consigliabile ripristinare la configurazione predefinita e consigliata dei valori di avvio protetto e PCR dopo la sospensione di BitLocker per impedire l'immissione di BitLocker Recovery quando si applicano aggiornamenti futuri al firmware TPM o UEFI.

Per abilitare l'avvio protetto in un dispositivo Surface con BitLocker abilitato:

  1. Sospendere BitLocker usando il Suspend-BitLocker cmdlet come descritto nel metodo 1.
  2. Avviare il dispositivo Surface in UEFI usando uno dei metodi definiti in Uso di Surface UEFI in Surface Laptop, nuovi Surface Pro, Surface Studio, Surface Book e Surface Pro 4.
  3. Selezionare la sezione Sicurezza .
  4. Selezionare Modifica configurazione in Avvio protetto.
  5. Selezionare Solo> MicrosoftOK.
  6. Selezionare Esci e quindi Riavvia per riavviare il dispositivo.
  7. Riprendere BitLocker usando il Resume-BitLocker cmdlet come descritto nel metodo 1.

Per modificare i valori PCR usati per convalidare Crittografia unità BitLocker:

  1. Disabilitare i criteri di gruppo che configurano pcr o rimuovere il dispositivo da qualsiasi gruppo in cui si applicano tali criteri. Per altre informazioni, vedere "Opzioni di distribuzione" in BitLocker Criteri di gruppo Reference .
  2. Sospendere BitLocker usando il Suspend-BitLocker cmdlet come descritto nel metodo 1.
  3. Riprendere BitLocker usando il Resume-BitLocker cmdlet come descritto nel metodo 1.

Metodo 3: Rimuovere le protezioni dall'unità di avvio

Se è stato installato un aggiornamento TPM o UEFI e il dispositivo non è in grado di eseguire l'avvio, anche quando viene immessa la chiave di ripristino di BitLocker corretta, è possibile ripristinare la possibilità di avvio usando la chiave di ripristino BitLocker e un'immagine di ripristino di Surface per rimuovere le protezioni BitLocker dall'unità di avvio.

Per rimuovere le protezioni dall'unità di avvio usando la chiave di ripristino di BitLocker:

  1. Ottenere la chiave di ripristino di BitLocker dall'account Microsoft o se BitLocker è gestito con altri mezzi, ad esempio Amministrazione e monitoraggio di Microsoft BitLocker (MBAM), contattare l'amministratore.

  2. Da un altro computer scaricare l'immagine di ripristino di Surface da Scaricare un'immagine di ripristino per Surface e creare un'unità di ripristino USB.

  3. Avvio dall'unità immagine di ripristino surface USB.

  4. Selezionare la lingua del sistema operativo quando richiesto.

  5. Selezionare il layout della tastiera.

  6. Selezionare Risoluzione dei problemi relativi>al prompt dei comandiopzioni> avanzate.

  7. Eseguire i comandi seguenti:

    manage-bde -unlock -recoverypassword <password>C:
manage-bde -protectors -disable C:

    dove C: è l'unità assegnata al disco e <la password> è la chiave di ripristino di BitLocker ottenuta nel passaggio 1.

    Nota

    Per altre informazioni sull'uso di questo comando, vedere Manage-bde: unlock.

  8. Riavviare il computer.

  9. Quando viene richiesto, immettere la chiave di ripristino di BitLocker ottenuta nel passaggio 1.

Nota

Dopo aver disabilitato le protezioni BitLocker dall'unità di avvio, il dispositivo non sarà più protetto da Crittografia unità BitLocker. È possibile riabilitare BitLocker selezionando Start, digitando Gestisci BitLocker e premendo INVIO per avviare l'applet Crittografia unità BitLocker Pannello di controllo e seguendo la procedura per crittografare l'unità.

Metodo 4: Ripristinare i dati e reimpostare il dispositivo con Surface Bare Metal Recovery (BMR)

Per ripristinare i dati dal dispositivo Surface se non è possibile eseguire l'avvio in Windows:

  1. Ottenere la chiave di ripristino di BitLocker dall'account Microsoft o se BitLocker è gestito con altri mezzi, ad esempio Amministrazione e monitoraggio di Microsoft BitLocker (MBAM), contattare l'amministratore.

  2. Da un altro computer scaricare l'immagine di ripristino di Surface da Scaricare un'immagine di ripristino per Surface e creare un'unità di ripristino USB.

  3. Avvio dall'unità immagine di ripristino surface USB.

  4. Selezionare la lingua del sistema operativo quando richiesto.

  5. Selezionare il layout della tastiera.

  6. Selezionare Risoluzione dei problemi relativi>al prompt dei comandiopzioni> avanzate.

  7. Eseguire il comando riportato di seguito:

    manage-bde -unlock -recoverypassword <password> C:

    dove C: è l'unità assegnata al disco e <la password> è la chiave di ripristino di BitLocker ottenuta nel passaggio 1.

  8. Dopo lo sblocco dell'unità, usare copy o xcopy comandi per copiare i dati utente in un'altra unità.

    Nota

    Per altre informazioni su questi comandi, vedere Informazioni di riferimento sulla riga di comando di Windows.

Per reimpostare il dispositivo usando un'immagine di ripristino di Surface, seguire le istruzioni riportate in "Come reimpostare Surface usando l'unità di ripristino USB" in Creazione e uso di un'unità di ripristino USB.