Monit o klucz odzyskiwania funkcji BitLocker po zainstalowaniu aktualizacji oprogramowania układowego Surface UEFI lub TPM na urządzeniu Surface

  • Artykuł

Ten artykuł zawiera obejścia problemu, w którym po zainstalowaniu aktualizacji oprogramowania układowego Surface UEFI lub oprogramowania układowego modułu TPM na urządzeniu Surface zostanie wyświetlony monit o klucz odzyskiwania funkcji BitLocker.

Dotyczy: Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (1. generacji), Surface Pro (5. generacja), Surface Book 2-13 cala, Surface Pro z LTE Zaawansowane, Surface Book 2 –15 cala
Oryginalny numer KB: 4057282

Ważna

Ten artykuł zawiera informacje, które pokazują, jak pomóc obniżyć ustawienia zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Możesz wprowadzić te zmiany, aby obejść określony problem. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z zaimplementowaniem tego obejścia w określonym środowisku. Jeśli zaimplementujesz to obejście, wykonaj odpowiednie dodatkowe kroki, aby pomóc w ochronie komputera.

Symptomy

Na urządzeniu Surface występuje co najmniej jeden z następujących objawów:

  • Podczas uruchamiania zostanie wyświetlony monit o podanie klucza odzyskiwania funkcji BitLocker i wprowadź poprawny klucz odzyskiwania, ale system Windows nie uruchamia się.
  • Rozruch jest uruchamiany bezpośrednio w ustawieniach interfejsu UEFI (Surface Unified Extensible Firmware Interface).
  • Urządzenie Surface wydaje się być w nieskończonej pętli ponownego rozruchu.

Przyczyna

To zachowanie może wystąpić w następującym scenariuszu:

  • Funkcja BitLocker jest włączona i skonfigurowana do używania wartości rejestru konfiguracji platformy (PCR) innych niż wartości domyślne PCR 7 i PCR 11, na przykład gdy:

    • Bezpieczny rozruch jest wyłączony.
    • Wartości PCR zostały jawnie zdefiniowane, na przykład przez zasady grupy.

  • Zainstaluj aktualizację oprogramowania układowego, która aktualizuje oprogramowanie układowe modułu TPM urządzenia lub zmienia podpis oprogramowania układowego systemu. Na przykład należy zainstalować aktualizację programu Surface dTPM (IFX).

Uwaga

Możesz zweryfikować wartości PCR, które są używane na urządzeniu, uruchamiając następujące polecenie z wiersza polecenia z podwyższonym poziomem uprawnień:

manage-bde.exe -protectors -get <OSDriveLetter>:

PCR 7 jest wymaganiem dla urządzeń, które obsługują tryb wstrzymania połączonego (znany również jako InstantGO lub Always On, Always Connected PC), w tym urządzenia Surface. Jeśli w takich systemach moduł TPM z komputerem PCR 7 i bezpiecznym rozruchem jest poprawnie skonfigurowany, funkcja BitLocker domyślnie wiąże się z komputerami PCR 7 i PCR 11. Aby uzyskać więcej informacji, zobacz "About the Platform Configuration Register (PCR)" at BitLocker group policy settings (Informacje o rejestrze konfiguracji platformy (PCR)) w obszarze Ustawienia zasad grupy funkcji BitLocker.

Obejście problemu

Ostrzeżenie

Szyfrowanie dysków funkcji BitLocker pomaga chronić poufne informacje organizacji przez szyfrowanie danych. To obejście tymczasowego wyłączenia funkcji BitLocker może narazić dane na niebezpieczeństwo. Nie zalecamy tego obejścia, ale udostępniamy te informacje, aby można było zaimplementować to obejście według własnego uznania. To obejście użytkownicy stosują na własną odpowiedzialność.

Metoda 1. Wstrzymanie funkcji BitLocker podczas aktualizacji oprogramowania układowego modułu TPM lub UEFI

Tego scenariusza można uniknąć podczas instalowania aktualizacji oprogramowania układowego systemu lub oprogramowania układowego modułu TPM, tymczasowo zawieszając funkcję BitLocker przed zastosowaniem aktualizacji do modułu TPM lub oprogramowania układowego UEFI przy użyciu funkcji Suspend-BitLocker.

Uwaga

Aktualizacje oprogramowania układowego modułu TPM i interfejsu UEFI mogą wymagać wielokrotnego ponownego uruchomienia podczas instalacji. Dlatego wstrzymanie funkcji BitLocker należy wykonać za pomocą polecenia cmdlet Suspend-BitLocker i użyć RebootCount parametru w celu określenia liczby ponownych uruchomień większych niż 2, aby zachować wstrzymanie funkcji BitLocker podczas procesu aktualizacji oprogramowania układowego. Liczba ponownych rozruchów 0 spowoduje zawieszenie funkcji BitLocker na czas nieokreślony do momentu wznowienia funkcji BitLocker za pomocą polecenia cmdlet programu PowerShell Resume-BitLocker lub innego mechanizmu.

Aby zawiesić funkcję BitLocker na potrzeby instalacji aktualizacji oprogramowania układowego TPM lub UEFI:

  1. Otwórz administracyjną sesję programu PowerShell.

  2. Wprowadź następujące polecenie cmdlet i naciśnij klawisz Enter:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    where C: to dysk przypisany do dysku.

  3. Zainstaluj sterownik urządzenia Surface i aktualizacje oprogramowania układowego.

  4. Po pomyślnej instalacji aktualizacji oprogramowania układowego wznów funkcję BitLocker przy użyciu polecenia cmdlet Resume-BitLocker w następujący sposób:

    Resume-BitLocker -MountPoint "C:"

Metoda 2. Włączanie bezpiecznego rozruchu i przywracanie domyślnych wartości PCR

Zdecydowanie zalecamy przywrócenie domyślnej i zalecanej konfiguracji wartości bezpiecznego rozruchu i pcr po zawieszeniu funkcji BitLocker, aby zapobiec wprowadzaniu funkcji BitLocker Recovery podczas stosowania przyszłych aktualizacji oprogramowania układowego TPM lub UEFI.

Aby włączyć bezpieczny rozruch na urządzeniu Surface z włączoną funkcją BitLocker:

  1. Wstrzymywanie funkcji BitLocker przy użyciu Suspend-BitLocker polecenia cmdlet zgodnie z opisem w metodzie 1.
  2. Uruchom urządzenie Surface w interfejsie UEFI przy użyciu jednej z metod zdefiniowanych w temacie Using Surface UEFI on Surface Laptop (Korzystanie z interfejsu UEFI urządzenia Surface na urządzeniu Surface Laptop), nowych Surface Pro, Surface Studio, Surface Book i Surface Pro 4.
  3. Wybierz sekcję Zabezpieczenia .
  4. Wybierz pozycję Zmień konfigurację w obszarze Bezpieczny rozruch.
  5. Wybierz pozycję Tylko> microsoftOK.
  6. Wybierz pozycję Zakończ, a następnie uruchom ponownie , aby ponownie uruchomić urządzenie.
  7. Wznów funkcję Resume-BitLocker BitLocker przy użyciu polecenia cmdlet zgodnie z opisem w metodzie 1.

Aby zmienić wartości PCR używane do weryfikowania szyfrowania dysków funkcji BitLocker:

  1. Wyłącz wszystkie zasady grupy, które konfigurują pcr, lub usuń urządzenie z dowolnych grup, w których mają zastosowanie takie zasady. Aby uzyskać więcej informacji, zobacz "Opcje wdrażania" w temacie BitLocker zasady grupy Reference (Dokumentacja zasady grupy funkcji BitLocker).
  2. Wstrzymywanie funkcji BitLocker przy użyciu Suspend-BitLocker polecenia cmdlet zgodnie z opisem w metodzie 1.
  3. Wznów funkcję Resume-BitLocker BitLocker przy użyciu polecenia cmdlet zgodnie z opisem w metodzie 1.

Metoda 3. Usuwanie ochrony z dysku rozruchowego

Jeśli zainstalowano moduł TPM lub aktualizację UEFI, a urządzenie nie może zostać uruchomione, nawet po wprowadzeniu poprawnego klucza odzyskiwania funkcji BitLocker można przywrócić możliwość rozruchu przy użyciu klucza odzyskiwania funkcji BitLocker i obrazu odzyskiwania urządzenia Surface w celu usunięcia ochrony funkcji BitLocker z dysku rozruchowego.

Aby usunąć funkcje ochrony z dysku rozruchowego przy użyciu klucza odzyskiwania funkcji BitLocker:

  1. Uzyskaj klucz odzyskiwania funkcji BitLocker z konta Microsoft lub jeśli funkcja BitLocker jest zarządzana za pomocą innych środków, takich jak administracja i monitorowanie funkcji Microsoft BitLocker (MBAM), skontaktuj się z administratorem.

  2. Z innego komputera pobierz obraz odzyskiwania urządzenia Surface z pozycji Pobierz obraz odzyskiwania dla urządzenia Surface i utwórz dysk odzyskiwania USB.

  3. Rozruch z dysku obrazu odzyskiwania urządzenia USB Surface.

  4. Po wyświetleniu monitu wybierz język systemu operacyjnego.

  5. Wybierz układ klawiatury.

  6. Wybierz pozycję Rozwiązywanie problemów z>opcjami zaawansowanymi> wwierszu polecenia.

  7. Uruchom następujące polecenia:

    manage-bde -unlock -recoverypassword <password>C:
manage-bde -protectors -disable C:

    where C: to dysk przypisany do dysku, a <hasło> jest kluczem odzyskiwania funkcji BitLocker uzyskanym w kroku 1.

    Uwaga

    Aby uzyskać więcej informacji na temat korzystania z tego polecenia, zobacz Zarządzanie bde: odblokowywanie.

  8. Uruchom ponownie komputer.

  9. Po wyświetleniu monitu wprowadź klucz odzyskiwania funkcji BitLocker uzyskany w kroku 1.

Uwaga

Po wyłączeniu ochrony funkcji BitLocker z dysku rozruchowego urządzenie nie będzie już chronione za pomocą szyfrowania dysków funkcji BitLocker. Funkcję BitLocker można ponownie włączyć, wybierając pozycję Uruchom, wpisując polecenie Zarządzaj funkcją BitLocker i naciskając klawisz Enter, aby uruchomić funkcję szyfrowania dysków funkcji BitLocker Panel sterowania apletu i wykonując kroki szyfrowania dysku.

Metoda 4. Odzyskiwanie danych i resetowanie urządzenia przy użyciu narzędzia Surface Bare Metal Recovery (BMR)

Aby odzyskać dane z urządzenia Surface, jeśli nie możesz uruchomić się w systemie Windows:

  1. Uzyskaj klucz odzyskiwania funkcji BitLocker z konta Microsoft lub jeśli funkcja BitLocker jest zarządzana za pomocą innych środków, takich jak administracja i monitorowanie funkcji Microsoft BitLocker (MBAM), skontaktuj się z administratorem.

  2. Z innego komputera pobierz obraz odzyskiwania urządzenia Surface z pozycji Pobierz obraz odzyskiwania dla urządzenia Surface i utwórz dysk odzyskiwania USB.

  3. Rozruch z dysku obrazu odzyskiwania urządzenia USB Surface.

  4. Po wyświetleniu monitu wybierz język systemu operacyjnego.

  5. Wybierz układ klawiatury.

  6. Wybierz pozycję Rozwiązywanie problemów z>opcjami zaawansowanymi> wwierszu polecenia.

  7. Uruchom następujące polecenie:

    manage-bde -unlock -recoverypassword <password> C:

    where C: to dysk przypisany do dysku, a <hasło> jest kluczem odzyskiwania funkcji BitLocker uzyskanym w kroku 1.

  8. Po odblokowaniu dysku użyj polecenia copy lub xcopy polecenia, aby skopiować dane użytkownika na inny dysk.

    Uwaga

    Aby uzyskać więcej informacji na temat tych poleceń, zobacz Dokumentacja wiersza polecenia systemu Windows.

Aby zresetować urządzenie przy użyciu obrazu odzyskiwania urządzenia Surface, postępuj zgodnie z instrukcjami w temacie "How to reset your Surface using your USB recovery drive" (Jak zresetować urządzenie Surface przy użyciu dysku odzyskiwania USB) w artykule Tworzenie i używanie dysku odzyskiwania USB.