Richiesta di chiave di ripristino di BitLocker dopo l'installazione degli aggiornamenti al firmware UEFI o TPM di Surface nel dispositivo Surface
Questo articolo fornisce soluzioni alternative al problema in cui viene richiesta la chiave di ripristino di BitLocker dopo l'installazione degli aggiornamenti al firmware UEFI o TPM di Surface nel dispositivo Surface.
Si applica a: Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (prima generazione), Surface Pro (quinta generazione), Surface Book da 2 a 13 pollici, Surface Pro con LTE Avanzate, Surface Book da 2 a 15 pollici
Numero KB originale: 4057282
Importante
Questo articolo contiene informazioni che illustrano come ridurre le impostazioni di sicurezza o come disattivare le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa nel proprio ambiente specifico. Se si implementa questa soluzione alternativa, seguire i passaggi aggiuntivi appropriati per proteggere il computer.
Sintomi
Nel dispositivo Surface si verificano uno o più dei sintomi seguenti:
- All'avvio viene richiesta la chiave di ripristino di BitLocker e si immette la chiave di ripristino corretta, ma Windows non viene avviato.
- Si avvia direttamente nelle impostazioni UEFI (Surface Unified Extensible Firmware Interface).
- Il dispositivo Surface sembra essere in un ciclo di riavvio infinito.
Causa
Questo comportamento può verificarsi nello scenario seguente:
BitLocker è abilitato e configurato per l'uso di valori PCR (Platform Configuration Register) diversi dai valori predefiniti di PCR 7 e PCR 11, ad esempio quando:
- L'avvio protetto è disattivato.
- I valori PCR sono stati definiti in modo esplicito, ad esempio da Criteri di gruppo.
Si installa un aggiornamento del firmware che aggiorna il firmware del TPM del dispositivo o modifica la firma del firmware di sistema. Ad esempio, si installa l'aggiornamento di Surface dTPM (IFX).
Nota
È possibile verificare i valori PCR in uso in un dispositivo eseguendo il comando seguente da un prompt dei comandi con privilegi elevati:
manage-bde.exe -protectors -get <OSDriveLetter>:
PCR 7 è un requisito per i dispositivi che supportano lo standby connesso (noto anche come InstantGO o Always On, PC Always Connected), inclusi i dispositivi Surface. In questi sistemi, se il TPM con PCR 7 e l'avvio protetto sono configurati correttamente, BitLocker si associa a PCR 7 e PCR 11 per impostazione predefinita. Per altre informazioni, vedere "About the Platform Configuration Register (PCR)" (Informazioni sul registro di configurazione della piattaforma) in Impostazioni dei criteri di gruppo di BitLocker.
Soluzione alternativa
Avviso
Crittografia unità BitLocker consente di proteggere le informazioni sensibili dell'organizzazione crittografando i dati. Questa soluzione alternativa per disabilitare temporaneamente BitLocker può mettere a rischio i dati. Questa soluzione alternativa non è consigliata, ma fornisce queste informazioni in modo che sia possibile implementare questa soluzione alternativa a propria discrezione. L'utilizzo di questa soluzione avviene pertanto a rischio esclusivo dell'utente.
Metodo 1: Sospendere BitLocker durante gli aggiornamenti del firmware TPM o UEFI
È possibile evitare questo scenario durante l'installazione degli aggiornamenti al firmware di sistema o al firmware TPM sospendendo temporaneamente BitLocker prima di applicare gli aggiornamenti al firmware TPM o UEFI usando Suspend-BitLocker.
Nota
Gli aggiornamenti del firmware TPM e UEFI possono richiedere più riavvii durante l'installazione. Pertanto, la sospensione di BitLocker deve essere eseguita tramite il cmdlet Suspend-BitLocker e usando il RebootCount
parametro per specificare un numero di riavvii maggiore di 2 per mantenere BitLocker sospeso durante il processo di aggiornamento del firmware. Un numero di riavvii pari a 0 sospende BitLocker a tempo indeterminato, fino a quando BitLocker non viene ripreso tramite il cmdlet di PowerShell Resume-BitLocker o un altro meccanismo.
Per sospendere BitLocker per l'installazione degli aggiornamenti del firmware TPM o UEFI:
Aprire una sessione amministrativa di PowerShell.
Immettere il cmdlet seguente e premere INVIO:
Suspend-BitLocker -MountPoint "C:" -RebootCount 0
dove C: è l'unità assegnata al disco.
Installare gli aggiornamenti del firmware e del driver di dispositivo Surface.
Dopo aver completato l'installazione degli aggiornamenti del firmware, riprendere BitLocker usando il cmdlet Resume-BitLocker come indicato di seguito:
Resume-BitLocker -MountPoint "C:"
Metodo 2: Abilitare l'avvio protetto e ripristinare i valori predefiniti della pcr
È consigliabile ripristinare la configurazione predefinita e consigliata dei valori di avvio protetto e PCR dopo la sospensione di BitLocker per impedire l'immissione di BitLocker Recovery quando si applicano aggiornamenti futuri al firmware TPM o UEFI.
Per abilitare l'avvio protetto in un dispositivo Surface con BitLocker abilitato:
- Sospendere BitLocker usando il
Suspend-BitLocker
cmdlet come descritto nel metodo 1. - Avviare il dispositivo Surface in UEFI usando uno dei metodi definiti in Uso di Surface UEFI in Surface Laptop, nuovi Surface Pro, Surface Studio, Surface Book e Surface Pro 4.
- Selezionare la sezione Sicurezza .
- Selezionare Modifica configurazione in Avvio protetto.
- Selezionare Solo> MicrosoftOK.
- Selezionare Esci e quindi Riavvia per riavviare il dispositivo.
- Riprendere BitLocker usando il
Resume-BitLocker
cmdlet come descritto nel metodo 1.
Per modificare i valori PCR usati per convalidare Crittografia unità BitLocker:
- Disabilitare i criteri di gruppo che configurano pcr o rimuovere il dispositivo da qualsiasi gruppo in cui si applicano tali criteri. Per altre informazioni, vedere "Opzioni di distribuzione" in BitLocker Criteri di gruppo Reference .
- Sospendere BitLocker usando il
Suspend-BitLocker
cmdlet come descritto nel metodo 1. - Riprendere BitLocker usando il
Resume-BitLocker
cmdlet come descritto nel metodo 1.
Metodo 3: Rimuovere le protezioni dall'unità di avvio
Se è stato installato un aggiornamento TPM o UEFI e il dispositivo non è in grado di eseguire l'avvio, anche quando viene immessa la chiave di ripristino di BitLocker corretta, è possibile ripristinare la possibilità di avvio usando la chiave di ripristino BitLocker e un'immagine di ripristino di Surface per rimuovere le protezioni BitLocker dall'unità di avvio.
Per rimuovere le protezioni dall'unità di avvio usando la chiave di ripristino di BitLocker:
Ottenere la chiave di ripristino di BitLocker dall'account Microsoft o se BitLocker è gestito con altri mezzi, ad esempio Amministrazione e monitoraggio di Microsoft BitLocker (MBAM), contattare l'amministratore.
Da un altro computer scaricare l'immagine di ripristino di Surface da Scaricare un'immagine di ripristino per Surface e creare un'unità di ripristino USB.
Avvio dall'unità immagine di ripristino surface USB.
Selezionare la lingua del sistema operativo quando richiesto.
Selezionare il layout della tastiera.
Selezionare Risoluzione dei problemi relativi>al prompt dei comandiopzioni> avanzate.
Eseguire i comandi seguenti:
manage-bde -unlock -recoverypassword <password>C: manage-bde -protectors -disable C:
dove C: è l'unità assegnata al disco e <la password> è la chiave di ripristino di BitLocker ottenuta nel passaggio 1.
Nota
Per altre informazioni sull'uso di questo comando, vedere Manage-bde: unlock.
Riavviare il computer.
Quando viene richiesto, immettere la chiave di ripristino di BitLocker ottenuta nel passaggio 1.
Nota
Dopo aver disabilitato le protezioni BitLocker dall'unità di avvio, il dispositivo non sarà più protetto da Crittografia unità BitLocker. È possibile riabilitare BitLocker selezionando Start, digitando Gestisci BitLocker e premendo INVIO per avviare l'applet Crittografia unità BitLocker Pannello di controllo e seguendo la procedura per crittografare l'unità.
Metodo 4: Ripristinare i dati e reimpostare il dispositivo con Surface Bare Metal Recovery (BMR)
Per ripristinare i dati dal dispositivo Surface se non è possibile eseguire l'avvio in Windows:
Ottenere la chiave di ripristino di BitLocker dall'account Microsoft o se BitLocker è gestito con altri mezzi, ad esempio Amministrazione e monitoraggio di Microsoft BitLocker (MBAM), contattare l'amministratore.
Da un altro computer scaricare l'immagine di ripristino di Surface da Scaricare un'immagine di ripristino per Surface e creare un'unità di ripristino USB.
Avvio dall'unità immagine di ripristino surface USB.
Selezionare la lingua del sistema operativo quando richiesto.
Selezionare il layout della tastiera.
Selezionare Risoluzione dei problemi relativi>al prompt dei comandiopzioni> avanzate.
Eseguire il comando riportato di seguito:
manage-bde -unlock -recoverypassword <password> C:
dove C: è l'unità assegnata al disco e <la password> è la chiave di ripristino di BitLocker ottenuta nel passaggio 1.
Dopo lo sblocco dell'unità, usare
copy
oxcopy
comandi per copiare i dati utente in un'altra unità.Nota
Per altre informazioni su questi comandi, vedere Informazioni di riferimento sulla riga di comando di Windows.
Per reimpostare il dispositivo usando un'immagine di ripristino di Surface, seguire le istruzioni riportate in "Come reimpostare Surface usando l'unità di ripristino USB" in Creazione e uso di un'unità di ripristino USB.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per