Výzva na kľúč na obnovenie BitLocker po inštalácii aktualizácie Surface UEFI alebo TPM firmvér povrchové zariadenia

Vzťahuje sa na: Surface Studio 1Surface Pro 4Surface Pro 3 Viac

Príznaky


Sa vyskytnúť niektorý z nasledujúcich príznakov na povrchu zariadenia:

  • Pri spustení sa zobrazí výzva na kľúč na obnovenie BitLocker a zadaní správneho kľúča, ale Windows nespustí.
  • Spustíte priamo do nastavenia plochy Unified Extensible Firmware Interface (UEFI).
  • Povrchové zariadenia zdanlivo nekonečné reboot slučku.

Príčina


Toto správanie sa môže vyskytnúť v nasledovných scenároch:

  • Šifrovanie BitLocker je zapnuté a nakonfigurovaný na používanie platformy Konfigurácia zaregistrovať (PCR) hodnoty ako predvolené hodnoty PCR 7 a PCR 11, napríklad pri:
    • Zabezpečené spustenieje vypnutá.
    • Hodnoty PCR boli explicitne definované, napríklad pomocou skupinovej politiky.
  • Aktualizácie firmvéru aktualizácie firmvéru zariadenia TPM alebo zmeny podpis firmvér. Napríklad nainštalujete aktualizáciu povrchu dTPM (IFX).

Poznámka:  Ak chcete skontrolovať hodnoty PCR, ktoré sa používajú na zariadenie spustite nasledujúci príkaz v príkazovom riadku:

Správa bde.exe-chrániče-Získajte < OSDriveLetter >:

Poznámka: PCR 7 sa požiadavky pre zariadenia, ktoré podporujú pripojené Standby (čiže InstantGO alebo vždy na vždy pripojené počítače), vrátane povrchu zariadenia. V týchto systémoch, ak modul TPM PCR 7 a Secure Boot správne nakonfigurované, BitLocker viaže PCR 7 a PCR 11 predvolene. Ďalšie informácie nájdete "o platformu Konfigurácia zaregistrovať (PCR)" v Nastavenia skupinovej politiky šifrovania BitLocker.

Alternatívne riešenie


Metóda 1: Šifrovanie BitLocker odstaviť počas aktualizácie firmvéru modulu TPM alebo UEFI

Pri inštalácii aktualizácie firmvér TPM firmvér dočasne pozastaviť BitLocker pred použitím aktualizácie TPM alebo UEFI firmvér pomocou BitLocker odstaviťmôžete zabrániť tejto situácii.

Poznámka:  TPM a rozhranie UEFI aktualizácie firmvéru môže vyžadovať viaceré reštartuje počas inštalácie. Tak pozastavenie BitLocker môže byť pomocou rutiny cmdlet BitLocker odstavenia a pomocou Počet Reboot parameter zadajte počet reštartuje väčší ako 2, aby BitLocker počas procesu aktualizácie firmvéru. Reštartujte počet 0 pozastaví BitLocker natrvalo, kým BitLocker pokračuje rutiny cmdlet prostredia PowerShell BitLocker obnoviť alebo iným spôsobom.

Inštalácia aktualizácie firmvéru modulu TPM alebo UEFI pozastaviť BitLocker:

  1. Otvorte administratívne PowerShell relácie.
  2. Zadajte nasledovné cmdlet a stlačte kláves Enter: Pozastaviť BitLocker bod "C:" - RebootCount 0C: je jednotka pridelené disku
  3. Inštalácia aktualizácie ovládačov a firmvéru povrchu zariadenia.
  4. Po úspešnej inštalácii aktualizácie firmvéru, obnovte pomocou rutiny cmdlet Resume-BitLocker takto: Pokračovať-BitLocker -bod "C:"

Metóda 2: Povoliť zabezpečené spustenie a obnovenie predvolené PCR

Odporúčame obnoviť predvolené a Odporúčané konfigurácie spustenia a PCR po BitLocker pozastavuje zabrániť vstupu BitLocker obnovenie pri použití budúce aktualizácie TPM alebo UEFI firmvér.

Povolenie spustenia na povrchu zariadenia, ktoré je šifrovanie BitLocker povolené:

  1. Šifrovanie BitLocker odstaviť pomocou rutiny cmdlet odstavenia BitLocker podľa pokynov v postupe 1.
  2. Spustenie povrchu zariadenia UEFI pomocou jedného z postupov podľa Pomocou povrch UEFI Surface Laptop nový Surface Pro, Studio povrch, Surface Book, a Surface Pro 4.
  3. Vyberte časti .
  4. Kliknite na položku zmeniť konfiguráciu za "Bezpečné spustenie."
  5. Microsoft len vybrať a kliknite na tlačidlo OK.
  6. Vyberte skončiťa reštartovať reštartovať zariadenie.
  7. Obnovte pomocou rutiny cmdlet Resume-BitLocker podľa pokynov v postupe 1.

Zmena hodnoty PCR používa na overenie šifrovanie jednotiek BitLocker:

  1. Vypnite všetky skupinovej politiky, ktoré nakonfigurovať PCR alebo odstráňte zariadenie zo skupiny, kde sa uplatňujú tieto podmienky. Ďalšie informácie nájdete v časti "Možnosti zavedenia" v BitLocker politiky skupiny .
  2. Šifrovanie BitLocker odstaviť pomocou rutiny cmdlet odstavenia BitLocker podľa pokynov v postupe 1.
  3. Obnovte pomocou rutiny cmdlet Resume-BitLocker podľa pokynov v postupe 1.

Metóda 3: Odstráňte chrániče zo zavádzacej jednotky

Ak ste nainštalovali aktualizáciu modulu TPM alebo UEFI, zariadenie sa nedá spustiť aj v prípade, že zadáte správny kľúč na obnovenie BitLocker, môžete obnoviť možnosť spustiť pomocou kľúč na obnovenie BitLocker a obraz povrchu obnovenie odstránenie šifrovania jednotiek BitLocker zo zavádzacej jednotky.

Odstráňte chrániče zo zavádzacej jednotky pomocou šifrovania BitLocker kľúč na obnovenie:

  1. Získať kľúč na obnovenie BitLocker z go.microsoft.com/fwlink/p/?LinkId=237614, alebo ak je šifrovanie BitLocker iným spôsobom, ako napríklad Microsoft BitLocker správu a monitorovanie (MBAM), obráťte sa na správcu.
  2. Z iného počítača, prevezmite obraz povrchu obnovenie Stiahnuť obrázok na obnovu povrchu a vytvorenie obnovovacieho USB kľúča.
  3. Spustenie z jednotky USB povrch obnovenie obrázka.
  4. Keď sa zobrazí výzva, vyberte jazyk operačného systému.
  5. Vyberte rozloženie klávesnice.
  6. Vyberte riešenie.
  7. Vyberte Rozšírené možnosti.
  8. Vyberte Príkazový riadok.
  9. Spustite nasledujúce príkazy: Správa-bde-odomknúť - recoverypassword < heslo >C:Správa-bde-chrániče-vypnúť C: kde C: je jednotka pridelené disku a < heslo > je kľúč na obnovenie BitLocker získané v kroku 1.Poznámka: Ďalšie informácie o používaní tohto príkazu získate v článku Microsoft Docs Manage-bde: odomknúť.
  10. Reštartujte počítač.
  11. Po zobrazení výzvy zadajte kľúč na obnovenie BitLocker získané v kroku 1.

Poznámka:  Po vypnutí šifrovania BitLocker z zavádzacieho disku, zariadenie sa nebudú chránené pomocou šifrovania jednotiek BitLocker. Šifrovanie BitLocker môžete zapnúť výberom Spustiťzadaním Spravovať šifrovanie BitLocker a stlačením klávesu Enter spustite BitLocker disk šifrovanie Ovládací Panel applet a krokov na šifrovanie jednotky.

Postup 4: Obnovenie údajov a obnovenie zariadenia s povrchu Bare Metal obnovenie (BMR)

Obnovenie údajov z povrchu zariadenia, ak nie je možné zaviesť do systému Windows:

  1. Získať kľúč na obnovenie BitLocker z https://go.microsoft.com/fwlink/p/?LinkId=237614, alebo ak je šifrovanie BitLocker iným spôsobom, ako napríklad Microsoft BitLocker správu a monitorovanie (MBAM), obráťte sa na správcu.
  2. Z iného počítača, prevezmite obraz povrchu obnovenia z https://support.microsoft.com/surfacerecoveryimage a vytvorenie obnovovacieho USB kľúča.
  3. Spustenie z jednotky USB povrch obnovenie obrázka.
  4. Keď sa zobrazí výzva, vyberte jazyk operačného systému.
  5. Vyberte rozloženie klávesnice.
  6. Vyberte riešenie.
  7. Vyberte Rozšírené možnosti.
  8. Vyberte Príkazový riadok.
  9. Spustite nasledujúci príkaz: Správa-bde-odomknúť recoverypassword -< heslo > C:C: je jednotka disku a < heslo > je kľúč na obnovenie BitLocker získané v kroku 1
  10. Keď je uvoľnený, použite príkazy copy alebo xcopy skopírovať používateľské údaje na inú jednotku. Poznámka:  Ďalšie informácie o týchto príkazov, nájdete Odkaz na príkazový riadok systému Windows.

Zariadenie obnoviť pomocou povrchu obnovy obrazu: podľa pokynov v "Ako obnoviť povrch pomocou recovery disk USB" na vytváranie a používanie obnovovací USB kľúč.