Conectați-vă cu Microsoft
Conectați-vă sau creați un cont.
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Important: Acest articol conține informații care vă arată cum să setați un nivel scăzut de securitate sau cum să dezactivați caracteristicile de securitate de pe un computer. Aceste modificări le veți face numai pentru a remedia o anumită problemă. Înainte de a face aceste modificări, vă recomandăm să evaluați riscurile asociate implementării acestei soluții în mediul dvs. Dacă implementați această soluție, luați toate măsurile suplimentare necesare pentru a vă proteja computerul.

Simptome

Întâlniți unul sau mai multe dintre următoarele simptome pe dispozitivul Surface:

  • La pornire, vi se solicită cheia de recuperare BitLocker și introduceți cheia de recuperare corectă, dar Windows nu pornește.

  • Porniți direct în setările Surface Unified Extensible Firmware Interface (UEFI).

  • Dispozitivul dumneavoastră Surface pare să fie într-o buclă de repornire infinită.

Cauză

Acest comportament poate apărea în următorul scenariu:

  • BitLocker este activat și configurat să utilizeze valorile Platform Configuration Register (PCR), altele decât valorile implicite ale PCR 7 și PCR 11, de exemplu atunci când:

    • Secure Booteste dezactivat.

    • Valorile PCR au fost definite în mod explicit, cum ar fi politica de grup.

  • Instalați o actualizare de firmware care actualizează firmware-ul dispozitivului TPM sau modifică semnătura firmware-ului de sistem. De exemplu, instalați actualizarea Surface dTPM (IFX).

Notă Aveți posibilitatea să verificați valorile PCR care sunt utilizate pe un dispozitiv rulând următoarea comandă dintr-un prompt de comandă privilegiat:

manage-bde.exe -protectors -get <OSDriveLetter>:

Notă PCR 7 este o cerință pentru dispozitivele care acceptă Connected Standby (cunoscut și ca InstantGO sau Always On, Always Connected PCs), inclusiv dispozitive Surface. Pe astfel de sisteme, dacă TPM cu PCR 7 și Secure Boot sunt configurate corect, BitLocker se leagă la PCR 7 și PCR 11 &icirc;n mod implicit. Pentru mai multe informații, consultați "Despre Registrul de configurare platformă (PCR)" la Setările de politică de grup BitLocker.

Soluție de evitare

Avertisment

Criptare unitate BitLocker vă ajută să protejați informațiile sensibile ale organizației prin criptarea datelor. Această soluție de dezactivare temporară a BitLocker poate pune datele &icirc;n pericol. Nu recomandăm această soluție, dar furnizăm aceste informații pentru a avea posibilitatea să implementați această soluție la alegerea dvs. Utilizați această soluție pe propriul dvs. risc.

Metoda 1: Suspendarea BitLocker &icirc;n timpul actualizărilor de firmware TPM sau UEFI

Puteți evita acest scenariu atunci când instalați actualizări la firmware-ul de sistem sau la firmware-ul TPM prin suspendarea temporară BitLocker &icirc;nainte de a aplica actualizări la firmware-ul TPM sau UEFI utilizând Suspend-BitLocker.

Notă Actualizările firmware-ului TPM și UEFI pot necesita mai multe reporniri &icirc;n timpul instalării. Așadar, suspendarea BitLocker trebuie făcută prin cmdletul Suspend-BitLocker și folosind parametrul Contor reporniri pentru a specifica un număr de reporniri mai mare de 2 pentru a menține BitLocker suspendat &icirc;n timpul procesului de actualizare a firmware-ului. Un număr de reporniri 0 va suspenda BitLocker pe termen nelimitat, până când BitLocker este reluat prin cmdletul PowerShell Resume-BitLocker sau alt mecanism.

Pentru a suspenda BitLocker pentru instalarea actualizărilor de firmware TPM sau UEFI:

  1. Deschideți o sesiune PowerShell administrativă.

  2. Introduceți următorul cmdlet și apăsați pr Enter:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    unde C: este unitatea atribuită discului

  3. Instalați actualizările de firmware și de driver de dispozitiv Surface.

  4. După instalarea cu succes a actualizărilor de firmware, reluați BitLocker utilizând Resume-BitLocker cmdlet după urmează:

    Reia-BitLocker -MountPoint "C:"

Metoda 2: Activați Secure Boot și restabiliți valorile implicite ale PCR

Vă recomandăm insistent să restaurați configurația implicită și recomandată a valorilor Secure Boot și PCR după ce BitLocker este suspendat pentru a preveni intrarea BitLocker Recovery atunci când aplicați actualizări viitoare la firmware-ul TPM sau UEFI.

Pentru a activa Secure Boot pe un dispozitiv Surface care are BitLocker activat:

  1. Suspendați BitLocker utilizând cmdletul Suspend-BitLocker așa cum este descris &icirc;n metoda 1.

  2. Bootați dispozitivul Surface la UEFI utilizând una dintre metodele definite &icirc;n Utilizarea Surface UEFI pe Surface Laptop, noile Surface Pro, Surface Studio, Surface Book și Surface Pro 4.

  3. Selectați secțiunea Securitate.

  4. Dați clic pe Modificați configurația sub "Secure Boot".

  5. Selectați Doar Microsoft și faceți clic pe OK.

  6. Selectați Ieșire, apoi Repornire pentru a reporni dispozitivul.

  7. Reluați BitLocker utilizând cmdletul Resume-BitLocker așa cum este descris &icirc;n metoda 1.

Pentru a modifica valorile PCR utilizate pentru validarea criptării unității BitLocker:

  1. Dezactivați toate politicile de grup care configurează PCR sau eliminați dispozitivul din orice grupuri &icirc;n care se aplică astfel de politici. Consultați "Opțiuni de implementare" la BitLocker Group Policy Reference pentru mai multe informații.

  2. Suspendați BitLocker utilizând cmdletul Suspend-BitLocker așa cum este descris &icirc;n metoda 1.

  3. Reluați BitLocker utilizând cmdletul Resume-BitLocker așa cum este descris &icirc;n metoda 1.

Metoda 3: Îndepărtați protecțiile de pe unitatea de pornire

Dacă ați instalat o actualizare TPM sau UEFI și dispozitivul nu poate porni, chiar și atunci când este introdusă cheia de recuperare BitLocker corectă, aveți posibilitatea să restabiliți capacitatea de a porni utilizând cheia de recuperare BitLocker și o imagine de recuperare Surface pentru a elimina protectorii BitLocker din unitatea de &icirc;ncărcare.

Pentru a elimina protectorii din unitatea de &icirc;ncărcare utilizând cheia de recuperare BitLocker:

  1. Obțineți cheia de recuperare BitLocker de la go.microsoft.com/fwlink/p/?LinkId=237614, sau dacă BitLocker este gestionat prin alte mijloace, cum ar fi Microsoft BitLocker Administration and Monitoring (MBAM), contactați administratorul.

  2. De pe un alt computer, descărcați imaginea de recuperare a suprafeței din Descărcați o imagine de recuperare pentru dispozitivul Surface și creați o unitate de recuperare USB.

  3. Porniți de pe unitatea de imagine de recuperare USB Surface.

  4. Selectați limba sistemului de operare atunci când vi se solicită.

  5. Selectați structura tastaturii.

  6. Selectați Depanare.

  7. Selectați Opțiuni complexe.

  8. Selectați Linie de comandă.

  9. Rulaţi comenzile următoare:

    manage-bde -unlock -recoverypassword <password>C:

    manage-bde -protectori -disable C:

    unde C: este unitatea atribuită discului și <password> este cheia de recuperare BitLocker obținută &icirc;n pasul 1.

    Notă Pentru mai multe informații despre utilizarea acestei comenzi, consultați articolul Microsoft Docs Manage-bde: deblocare.

  10. Reporniți computerul.

  11. Când vi se solicită, introduceți cheia de recuperare BitLocker așa a fost obținută &icirc;n pasul 1.

Notă După dezactivarea protectoriLor BitLocker de pe unitatea de &icirc;ncărcare, dispozitivul nu va mai fi protejat de Criptare unitate BitLocker. Puteți reactiva BitLocker selectând Start, tastând Manage BitLocker și apăsând pe Enter pentru a lansa appletul BitLocker Drive Encryption Control Panel și urmând pașii pentru criptarea unității.

Metoda 4: Recuperarea datelor și resetarea dispozitivului cu Surface Bare Metal Recovery (BMR)

Pentru a recupera date de pe dispozitivul Surface dacă nu reușiți să porniți &icirc;n Windows:

  1. Obțineți cheia de recuperare BitLocker de la https://go.microsoft.com/fwlink/p/?LinkId=237614 sau dacă BitLocker este gestionat prin alte mijloace, cum ar fi Microsoft BitLocker Administration and Monitoring (MBAM), contactați administratorul.

  2. De pe un alt computer, descărcați imaginea de recuperare a suprafeței din Descărcați o imagine de recuperare pentru dispozitivul Surface și creați o unitate de recuperare USB.

  3. Porniți de pe unitatea de imagine de recuperare USB Surface.

  4. Selectați limba sistemului de operare atunci când vi se solicită.

  5. Selectați structura tastaturii.

  6. Selectați Depanare.

  7. Selectați Opțiuni complexe.

  8. Selectați Linie de comandă.

  9. Executați următoarea comandă:

    manage-bde -unlock -recoverypassword <password> C:

    unde C: este unitatea atribuită discului și <password> este cheia de recuperare BitLocker așa a fost obținută &icirc;n pasul 1

  10. După deblocarea unității, folosiți comenzile copiază sau xcopiază pentru a copia datele utilizatorului pe o altă unitate.

    Notă Pentru mai multe informații despre aceste comenzi, consultați Linia de comandă Windows de referință  .

Pentru a reseta dispozitivul utilizând o imagine de recuperare Surface: Urmați instrucțiunile din "Cum vă resetați suprafața folosind unitatea de recuperare USB" la Crearea și utilizarea unei unități de recuperare USB.

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?

Vă mulțumim pentru feedback!

×