Viene richiesta la chiave di ripristino di BitLocker dopo l'installazione degli aggiornamenti del firmware TPM o UEFI di Surface su un dispositivo Surface

Importante

Questo articolo contiene informazioni che mostrano come ridurre le impostazioni di sicurezza o disattivare le funzionalità di sicurezza in un computer. Queste modifiche possono essere utilizzate come soluzione alternativa per un problema specifico. Prima di procedere, si consiglia di valutare i rischi derivanti dall'implementazione della soluzione nell'ambiente specifico. Se si sceglie di implementare questa soluzione, adottare ogni ulteriore procedura che consenta la protezione del computer.

Sintomi

Si verificano uno o piÙ dei seguenti problemi sul dispositivo Surface:

  • All'avvio viene richiesta la chiave di ripristino di BitLocker, ma Windows non si avvia dopo l'inserimento della chiave di ripristino corretta.

  • L'avvio viene eseguito direttamente nelle impostazioni UEFI (Unified Extensible Firmware Interface).

  • Il dispositivo Surface sembra essere bloccato in un ciclo di riavvio infinito.

Causa

Questo comportamento può verificarsi nella seguente situazione:

  • BitLocker è abilitato e configurato per l'utilizzo di valori del registro PCR, diversi dai valori predefiniti di PCR 7 e PCR 11, ad esempio:

    • L'avvio protetto è disattivato.

    • I valori PCR sono stati definiti in modo esplicito, ad esempio dai Criteri di gruppo.

  • Si installa un aggiornamento del firmware che aggiorna il firmware del TPM del dispositivo o modifica la firma del firmware del sistema. Ad esempio, si installa l'aggiornamento Surface dTPM (IFX).

Nota: è possibile verificare i valori PCR utilizzati in un dispositivo eseguendo il seguente comando da un prompt dei comandi con privilegi elevati:

manage-bde.exe -protectors -get <OSDriveLetter>:

Nota: PCR 7 è un requisito per i dispositivi che supportano la modalità Standby connesso (nota anche come InstantGO o Sempre attivata, PC sempre connessi), inclusi i dispositivi Surface. Su tali sistemi, se il TPM con PCR 7 e l'Avvio protetto sono configurati correttamente, BitLocker si collega a PCR 7 e PCR 11 per impostazione predefinita. Per ulteriori informazioni, vedere "Informazioni su PCR" in Impostazioni dei Criteri di gruppo di BitLocker.

Soluzione alternativa

Avviso

BitLocker Drive Encryption consente di proteggere le informazioni sensibili dell'organizzazione crittografandone i dati. Questa soluzione alternativa per disabilitare temporaneamente BitLocker potrebbe mettere a rischio i dati. Non si consiglia di adottare questa soluzione alternativa, tuttavia queste informazioni vengono fornite per consentire all'utente di implementarla a propria discrezione. Utilizzare questa soluzione alternativa a proprio rischio e pericolo.

Metodo 1 - Sospensione di BitLocker durante gli aggiornamenti del firmware TPM o UEFI

È possibile evitare questo scenario durante l'installazione di aggiornamenti del firmware del sistema o del firmware TPM sospendendo temporaneamente BitLocker prima di applicare gli aggiornamenti del firmware TPM o UEFI mediante Suspend-BitLocker.

Nota: gli aggiornamenti del firmware TPM e UEFI potrebbero richiedere piÙ riavvii durante l'installazione. Pertanto, è necessario sospendere BitLocker tramite il cmdlet Suspend-BitLocker e utilizzare il parametro Reboot Count per specificare un numero di riavvii maggiore di 2 per tenere sospeso BitLocker durante il processo di aggiornamento del firmware. Un valore Reboot Count pari a 0 sospenderà BitLocker in modo indefinito finché BitLocker non verrà riattivato tramite il cmdlet Resume-BitLocker dalla riga di comando di PowerShell.

Per sospendere BitLocker per l'installazione degli aggiornamenti del firmware TPM o UEFI:

  1. Aprire una sessione amministrativa di PowerShell.

  2. Digitare il seguente comando cmdlet, quindi premere INVIO.

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    dove C: è l'unità assegnata al disco

  3. Installare il driver del dispositivo Surface e gli aggiornamenti del firmware.

  4. Al termine dell'installazione del firmware, riavviare BitLocker utilizzando il cmdlet Resume-BitLocker come indicato in seguito:

    Resume-BitLocker -MountPoint "C:"

Metodo 2: Attivare l'Avvio protetto e ripristinare i valori PCR predefiniti

È consigliabile ripristinare la configurazione predefinita e consigliata dell'Avvio protetto e i valori PCR dopo la sospensione di BitLocker per evitare di entrare nel ripristino di BitLocker durante l'applicazione di aggiornamenti futuri al firmware TPM o UEFI.

Per attivare l'Avvio protetto su un dispositivo Surface con BitLocker attivato:

  1. Sospendere BitLocker utilizzando il cmdlet Suspend-BitLocker come descritto nel metodo 1.

  2. Avviare il dispositivo Surface su UEFI utilizzando uno dei metodi definiti in Utilizzo di Surface UEFI su Surface Laptop, nuovo Surface Pro, Surface Studio, Surface Book e Surface Pro 4.

  3. Selezionare la scheda Sicurezza.

  4. Fare clic su Modifica configurazione in "Avvio protetto".

  5. Selezionare Solo Microsoft e fare clic su OK.

  6. Selezionare Escie quindi Riavvia per riavviare il dispositivo.

  7. Riavviare BitLocker utilizzando il cmdlet Resume-BitLocker come descritto nel metodo 1.

Per modificare i valori PCR utilizzati per convalidare la Crittografia unità BitLocker:

  1. Disabilitare tutti i Criteri di gruppo che configurano PCR o rimuovere il dispositivo da tutti i gruppi in cui si applicano tali criteri. Per ulteriori informazioni, vedere "Opzioni di distribuzione" nei Criteri di gruppo di BitLocker.

  2. Sospendere BitLocker utilizzando il cmdlet Suspend-BitLocker come descritto nel metodo 1.

  3. Riavviare BitLocker utilizzando il cmdlet Resume-BitLocker come descritto nel metodo 1.

Metodo 3: Rimuovere protezioni dall'unità di avvio

Se è stato installato un aggiornamento TPM o UEFI e il dispositivo non è in grado di avviarsi anche quando viene immessa la chiave di ripristino BitLocker corretta, è possibile ripristinare la capacità di avvio utilizzando la chiave di ripristino di BitLocker e un'immagine di ripristino di Surface per rimuovere le protezioni BitLocker dall'unità di avvio.

Per rimuovere le protezioni dall'unità di avvio utilizzando la chiave di ripristino di BitLocker:

  1. Ottenere la chiave di ripristino di BitLocker da go.microsoft.com/fwlink/p/?LinkId=237614 oppure, se BitLocker è gestito da altri mezzi come Microsoft BitLocker Administration and Monitoring (MBAM), contattare l'amministratore.

  2. Utilizzando un altro computer, scaricare l'immagine di ripristino di Surface da Scaricare un'immagine di ripristino per Surface e creare un'unità di ripristino USB.

  3. Eseguire l'avvio dalla chiavetta USB di ripristino di Surface.

  4. Quando richiesto, selezionare la lingua del sistema operativo.

  5. Selezionare il layout di tastiera.

  6. Selezionare Risoluzione dei problemi.

  7. Selezionare Opzioni avanzate.

  8. Selezionare Prompt dei comandi.

  9. Eseguire i comandi seguenti:

    manage-bde -unlock -recoverypassword <password>C:

    manage-bde -protectors -disable C:

    dove C: è l'unità assegnata al disco e <password> è la chiave di ripristino di BitLocker come indicato nel passaggio 1.

    Nota: per ulteriori informazioni sull'utilizzo di questo comando, vedere l'articolo Manage-bde: unlock.

  10. Riavviare il computer.

  11. Quando richiesto, immettere la chiave di ripristino di BitLocker come indicato al passaggio 1.

Nota: dopo aver disabilitato le protezioni di BitLocker sull'unità di avvio, il dispositivo non sarà piÙ protetto dalla Crittografia unità BitLocker. È possibile riattivare BitLocker selezionando Avvio, digitando Gestione BitLocker e premendo INVIO per avviare l'applet del Pannello di controllo Crittografia unità BitLocker e seguire i passaggi per crittografare l'unità.

Metodo 4: Recupera i dati e reimposta il dispositivo con Surface Bare Metal Recovery (BMR)

Per ripristinare i dati dal dispositivo Surface se non si è in grado di eseguire l'avvio in Windows:

  1. Ottenere la chiave di ripristino di BitLocker da https://go.microsoft.com/fwlink/p/?LinkId=237614 oppure, se BitLocker è gestito da altri mezzi come Microsoft BitLocker Administration e Monitoring (MBAM), contattare l'amministratore.

  2. Da un altro computer, scaricare l'immagine di ripristino di Surface da Scaricare un'immagine di ripristino per Surface e creare un'unità di ripristino USB.

  3. Eseguire l'avvio dalla chiavetta USB di ripristino di Surface.

  4. Quando richiesto, selezionare la lingua del sistema operativo.

  5. Selezionare il layout di tastiera.

  6. Selezionare Risoluzione dei problemi.

  7. Selezionare Opzioni avanzate.

  8. Selezionare Prompt dei comandi.

  9. Eseguire il comando qui riportato:

    manage-bde -unlock -recoverypassword <password> C:

    dove C: è l'unità assegnata al disco e <password> è la password di ripristino di BitLocker come indicato nel passaggio 1

  10. Dopo aver sbloccato l'unità, utilizzare i comandi copy o xcopy per copiare i dati utente in un'altra unità.

    Nota: per ulteriori informazioni su questi comandi, vedere Riferimenti alla riga di comando di Windows.

Per reimpostare il dispositivo utilizzando un'immagine di ripristino di Surface: Seguire le istruzioni riportate in "Come reimpostare Surface utilizzando un'unità di ripristino USB" in Creazione e utilizzo di un'unità di ripristino USB.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×