Monit dla klucza odzyskiwania funkcji BitLocker po zainstalowaniu aktualizacji do tabletu Surface lub oprogramowania układowego TPM w urządzeniu Surface

Ważne

Ten artykuł zawiera informacje, dzięki którym można obniżyć poziom zabezpieczeń lub wyłączyć funkcje zabezpieczeń na komputerze. Takie zmiany można wprowadzić w celu obejścia określonego problemu. Przed ich wprowadzeniem najlepiej dokonać oceny zagrożenia, z jakim wiąże się zastosowanie tego obejścia w danym środowisku. W przypadku zastosowania tego obejścia należy podjąć odpowiednie kroki dodatkowe, aby pomóc chronić komputer.

Objawy

W przypadku urządzenia Surface istnieje co najmniej jeden z następujących symptomów:

  • Podczas uruchamiania programu jest wyświetlany monit o wprowadzenie klucza odzyskiwania funkcji BitLocker, wprowadzono prawidłowy klucz odzyskiwania, ale system Windows nie uruchamia się.

  • Nastąpi przekierowanie bezpośrednio do ustawień Unified Extensible Firmware Interface (UEFI).

  • Urządzenie Surface wydaje się być w nieskończonej pętli ponownego rozruchu.

Przyczyna

Takie zachowanie może wystąpić w następujących okolicznościach:

  • Funkcja BitLocker jest włączona i skonfigurowana w celu korzystania z wartości konfiguracyjnych platformy rejestracji (PCR), które są inne niż wartości domyślne PCR 7 i PCR 11, na przykład:

    • Bezpieczny rozruchjest wyłączony.

    • Wartości PCR zostały jawnie zdefiniowane, np. według zasad grupy.

  • Zainstalowano aktualizację oprogramowania sprzętowego, która aktualizuje oprogramowanie sprzętowe modułu TPM lub zmienia sygnaturę oprogramowania sprzętowego systemu. Na przykład zainstaluj aktualizację dTPM (IFX).

Uwaga Można sprawdzić, które wartości PCR są używane na urządzeniu, uruchamiając następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień:

manage-bde.exe -protectors -get <OSDriveLetter>:

Uwaga PCR 7 to wymóg dla urządzeń, które obsługują tryb gotowości typu Connected Standby (znany również jako InstantGO lub Always On, Always Connected PCs), w tym urządzeń Surface. W systemach takich, w przypadku których moduł TPM z PCR 7 i Bezpieczny rozruch są poprawnie skonfigurowane, funkcja BitLocker łączy się domyślnie z PCR 7 i PCR 11. Aby uzyskać więcej informacji, zobacz sekcję „Informacje o konfiguracji platformy (PCR)” w ustawieniach zasad grupy funkcji BitLocker.

Obejście

Ostrzeżenie:

Szyfrowanie dysków funkcją BitLocker umożliwia ochronę poufnych informacji przez szyfrowanie danych. To obejście w celu tymczasowego wyłączenia BitLockera może narazić dane na niebezpieczeństwo. Firma Microsoft nie zaleca tego obejścia problemu, ale podaje te informacje, aby umożliwić zastosowanie go według uznania użytkownika. To obejście użytkownicy stosują na własną odpowiedzialność.

Metoda 1. Wstrzymaj funkcję BitLocker podczas aktualizacji oprogramowania układowego TPM lub UEFI

Można tego uniknąć podczas instalacji aktualizacji oprogramowania układowego systemu lub oprogramowania sprzętowego TPM przez tymczasowo wstrzymywanie funkcji BitLocker przed zastosowaniem aktualizacji oprogramowania układowego modułu TPM lub oprogramowania układowego interfejsu Suspend-BitLocker.

Uwaga Aktualizacje oprogramowania układowego TPM i UEFI mogą wymagać ponownego uruchomienia podczas instalacji. W związku z tym należy wstrzymać funkcję BitLocker za pomocą polecenia cmdlet Suspend-BitLocker i użyć parametru Licznik rozruchu do określenia liczby ponownych prób na więcej niż 2, aby zachować wstrzymane zadanie BitLocker podczas procesu aktualizacji oprogramowania sprzętowego. Licznik czasu ponownego rozruchu 0 spowoduje wstrzymanie funkcji BitLocker, aż funkcja BitLocker zostanie wznowiona przez polecenie cmdlet PowerShell Resume-BitLocker lub innego mechanizmu.

Aby wstrzymać funkcję BitLocker na czas instalowania aktualizacji oprogramowania układowego modułu TPM lub UEFI:

  1. Otwórz sesję PowerShell z uprawnieniami administratora.

  2. Wpisz następujący cmdlet i naciśnij klawisz Enter:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    gdzie C: jest napędem przypisanym do Twojego dysku

  3. Zainstaluj aktualizacje sterownika urządzenia Surface i oprogramowania układowego.

  4. Po pomyślnym zainstalowaniu aktualizacji oprogramowania sprzętowego wznów funkcję BitLocker za pomocą polecenia cmdlet Resume-BitLocker w następujący sposób:

    Wznów–BitLocker —MountPoint "C:"

Metoda 2. Włącz funkcję bezpiecznego rozruchu i przywróć domyślne wartości PCR

Zdecydowanie zalecamy przywrócenie ustawień domyślnych i zalecanej konfiguracji bezpiecznego rozruchu i wartości PCR po wstrzymaniu funkcji BitLocker w celu uniknięcia wprowadzania aktualizacji funkcji BitLocker podczas stosowania przyszłych aktualizacji oprogramowania TPM lub oprogramowania układowego interfejsu UEFI.

Aby włączyć funkcję Bezpieczny rozruch na tablecie Surface, która ma funkcję BitLocker:

  1. Wstrzymaj BitLocker za pomocą polecenia cmdlet Suspend-BitLocker zgodnie z opisem w metodzie 1.

  2. Uruchom urządzenie Surface z interfejsem UEFI, używając jednej z metod zdefiniowanych w temacie Używanie interfejsu UEFI tabletu Surface na urządzeniu Surface Laptop, nowy tablet Surface Pro, Surface Studio, Surface Book i Surface Pro 4.

  3. Wybierz kartę Zabezpieczenia.

  4. Kliknij przycisk Zmień konfigurację w sekcji „Bezpieczny rozruch”.

  5. Wybierz pozycję Tylko Microsoft i kliknij przycisk OK.

  6. Wybierz opcję Zakończ, a następnie Uruchom ponownie, aby ponownie uruchomić urządzenie.

  7. Wznów funkcję BitLocker za pomocą polecenia cmdlet Resume-BitLocker zgodnie z opisem w metodzie 1.

Aby zmienić wartości PCR używane do weryfikacji szyfrowania dysków funkcji BitLocker:

  1. Wyłącz wszelkie zasady grupy, które skonfigurować PCR lub usuń urządzenie z grupy, w których obowiązują zasady. Więcej informacji można znaleźć w sekcji „Opcje wdrażania” Odniesienie do polityki grupy funkcji BitLocker.

  2. Wstrzymaj BitLocker za pomocą polecenia cmdlet Suspend-BitLocker zgodnie z opisem w metodzie 1.

  3. Wznów funkcję BitLocker za pomocą polecenia cmdlet Resume-BitLocker zgodnie z opisem w metodzie 1.

Metoda 3: Usuń blokady z dysku rozruchowego

Jeżeli zainstalowano aktualizację TPM lub UEFI i urządzenie nie jest w stanie się uruchomić, nawet jeśli został wprowadzony prawidłowy klucz odzyskiwania funkcji BitLocker, można przywrócić możliwość rozruchu przy użyciu klucza odzyskiwania funkcji BitLocker oraz obrazu odzyskiwania tabletu Surface w celu usunięcia blodkady BitLocker z dysku rozruchowego.

Aby usunąć blokadę z dysku rozruchowego przy użyciu klucza odzyskiwania funkcji BitLocker:

  1. Uzyskaj klucz odzyskiwania funkcji BitLocker na stronie go.microsoft.com/fwlink/p/?LinkId=237614 lub jeśli funkcja BitLocker jest zarządzana przez inne źródło, takie jak Microsoft BitLocker Administration and Monitoring (MBAM), skontaktuj się z administratorem.

  2. Na innym komputerze pobierz obraz odzyskiwania tabletu Surface z Pobierz obraz odzyskiwania dla tabletu Surface i utwórz dysk odzyskiwania USB.

  3. Rozruch z dysku odzyskiwania USB tabletu Surface.

  4. Po wyświetleniu monitu wybierz język systemu operacyjnego.

  5. Wybierz układ klawiatury.

  6. Wybierz Rozwiązywanie problemów.

  7. Wybierz pozycję Opcje zaawansowane.

  8. Wybierz pozycję Wiersz polecenia.

  9. W tym celu uruchom następujące polecenia:

    manage-bde -unlock -recoverypassword <password>C:

    manage-bde -protectors -disable C:

    gdzie C: to napęd przypisany do dysku i <password> jest kluczem odzyskiwania funkcji BitLocker jak w kroku 1.

    Uwaga Aby uzyskać więcej informacji na temat korzystania z tego polecenia, zobacz artykuł Microsoft Docs Manage-bde: odblokuj.

  10. Uruchom ponownie komputer.

  11. Po wyświetleniu monitu wprowadź klucz odzyskiwania funkcji BitLocker uzyskany w kroku 1.

Uwaga Po wyłączeniu blokad funkcji BitLocker z napędu rozruchowego urządzenie nie będzie już chronione przez szyfrowanie dysków funkcją BitLocker. Można ponownie włączyć funkcję BitLocker, wybierając przycisk Start, wpisując polecenie Zarządzanie funkcją BitLocker i naciskając klawisz Enter, aby uruchomić aplet Control Drive Encryption Control Control Panel sterowania i postępując zgodnie z instrukcjami szyfrowania dysków.

Metoda 4. Odzyskiwanie danych i resetowanie urządzenia za pomocą Surface Bare Metal Recovery (BMR)

Aby odzyskać dane z tabletu Surface, jeśli nie można uruchomić systemu Windows:

  1. Uzyskaj klucz odzyskiwania funkcji BitLocker pod adresem https://go.microsoft.com/fwlink/p/?LinkId=237614, lub jeśli funkcja BitLocker jest zarządzana przez inne źródło, takie jak Microsoft BitLocker Administration and Monitoring (MBAM), skontaktuj się z administratorem.

  2. Na innym komputerze pobierz obraz odzyskiwania tabletu Surface z Pobierz obraz odzyskiwania dla tabletu Surface i utwórz dysk odzyskiwania USB.

  3. Rozruch z dysku odzyskiwania USB tabletu Surface.

  4. Po wyświetleniu monitu wybierz język systemu operacyjnego.

  5. Wybierz układ klawiatury.

  6. Wybierz Rozwiązywanie problemów.

  7. Wybierz pozycję Opcje zaawansowane.

  8. Wybierz pozycję Wiersz polecenia.

  9. Uruchom następujące polecenie:

    manage-bde -unlock -recoverypassword <password> C:

    gdzie C: to napęd przypisany do dysku i <password> jest kluczem odzyskiwania funkcji BitLocker, jak zostało uzyskane w kroku 1.

  10. Po zwolnieniu dysku użyj poleceń kopiuj lub xcopy, aby skopiować dane użytkownika na inny dysk.

    Uwaga Aby uzyskać więcej informacji na temat tych poleceń, zobacz Odniesienie do wiersza poleceń systemu Windows.

Aby zresetować urządzenie przy użyciu obrazu odzyskiwania tabletu Surface: Wykonaj instrukcje podane w sekcji „Jak zresetować tablet Surface przy użyciu dysku USB odzyskiwania" na stronie Tworzenie i korzystanie z dysku USB odzyskiwania.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×