Surface cihazına Surface UEFI veya TPM üretici yazılımı güncelleştirmelerini yükledikten sonra BitLocker kurtarma anahtarı istendi

  • Makale

Bu makale, Surface cihazına Surface UEFI veya TPM üretici yazılımı güncelleştirmelerini yükledikten sonra BitLocker kurtarma anahtarı girmenizin istendiği sorun için geçici çözümler sağlar.

Şunlar için geçerlidir: Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (1. Nesil), Surface Pro (5. Nesil), Surface Book 2 - 13 inç, LTE ile Surface Pro Gelişmiş, Surface Book 2 - 15 inç
Özgün KB numarası: 4057282

Önemli

Bu makale, güvenlik ayarlarını düşürmeye veya bilgisayardaki güvenlik özelliklerini kapatmaya yardımcı olduğunu gösteren bilgiler içerir. Belirli bir soruna geçici bir çözüm bulmak için bu değişiklikleri yapabilirsiniz. Bu değişiklikleri yapmadan önce, bu geçici çözümü kendi ortamınızda uygulamayla ilişkili riskleri değerlendirmenizi öneririz. Bu geçici çözümü uygularsanız, bilgisayarın korunmasına yardımcı olmak için uygun ek adımları uygulayın.

Belirtiler

Surface cihazınızda aşağıdaki belirtilerden biriyle veya daha fazlası ile karşılaşırsınız:

  • Başlangıçta BitLocker kurtarma anahtarınız istenir ve doğru kurtarma anahtarını girersiniz, ancak Windows başlatılmaz.
  • Doğrudan Surface Unified Genişletilebilir Üretici Yazılımı Arabirimi (UEFI) ayarlarına önyükleme yapın.
  • Surface cihazınız sonsuz bir yeniden başlatma döngüsünde görünüyor.

Neden

Bu davranış aşağıdaki senaryoda oluşabilir:

  • BitLocker, PCR 7 ve PCR 11'in varsayılan değerleri dışındaki Platform Yapılandırma Kaydı (PCR) değerlerini kullanacak şekilde etkinleştirilir ve yapılandırılır; örneğin:

    • Güvenli Önyükleme kapatıldı.
    • PCR değerleri açıkça tanımlanmıştır, örneğin grup ilkesi.

  • Cihaz TPM'sinin üretici yazılımını güncelleştiren veya sistem üretici yazılımının imzasını değiştiren bir üretici yazılımı güncelleştirmesi yüklersiniz. Örneğin, Surface dTPM (IFX) güncelleştirmesini yüklersiniz.

Not

Yükseltilmiş komut isteminden aşağıdaki komutu çalıştırarak bir cihazda kullanımda olan PCR değerlerini doğrulayabilirsiniz:

manage-bde.exe -protectors -get <OSDriveLetter>:

PCR 7, Surface cihazları da dahil olmak üzere Bağlı Bekleme (InstantGO veya Always On, Always Connected bilgisayarlar olarak da bilinir) destekleyen cihazlar için bir gereksinimdir. Bu tür sistemlerde, PCR 7 ve Güvenli Önyükleme ile TPM doğru yapılandırılmışsa, BitLocker varsayılan olarak PCR 7 ve PCR 11'e bağlanır. Daha fazla bilgi için BitLocker grup ilkesi ayarlarındaki "Platform Yapılandırma Kaydı (PCR)" hakkında bölümüne bakın.

Geçici Çözüm

Uyarı

BitLocker Sürücü Şifrelemesi, verileri şifreleyerek kuruluşunuzun hassas bilgilerini korumanıza yardımcı olur. BitLocker'ı geçici olarak devre dışı bırakmak için bu geçici çözüm verileri riske atabilir. Bu geçici çözümü önermeyiz, ancak bu geçici çözümü kendi takdirinize bağlı olarak uygulayabilmeniz için bu bilgileri sağlıyoruz. Bu çözümü kullanmak kendi sorumluluğunuzdadır.

Yöntem 1: TPM veya UEFI üretici yazılımı güncelleştirmeleri sırasında BitLocker'ın askıya alınması

BitLocker'ı Suspend-BitLocker kullanarak TPM veya UEFI üretici yazılımına uygulamadan önce BitLocker'ı geçici olarak askıya alarak sistem üretici yazılımına veya TPM üretici yazılımına güncelleştirmeleri yüklerken bu senaryodan kaçınabilirsiniz.

Not

TPM ve UEFI üretici yazılımı güncelleştirmeleri, yükleme sırasında birden çok yeniden başlatma gerektirebilir. Bu nedenle BitLocker'ı askıya alma işlemi BitLocker'ı Suspend-BitLocker cmdlet'i aracılığıyla ve üretici yazılımı güncelleştirme işlemi sırasında BitLocker'ın askıya alınmasını sağlamak için 2'den büyük bir dizi yeniden başlatma belirtmek için parametresini kullanarak RebootCount yapılmalıdır. BitLocker, PowerShell cmdlet Resume-BitLocker veya başka bir mekanizma aracılığıyla sürdürülene kadar, 0 yeniden başlatma sayısı BitLocker'ı süresiz olarak askıya alır.

BitLocker'ı TPM veya UEFI üretici yazılımı güncelleştirmelerinin yüklenmesi için askıya almak için:

  1. Bir yönetim PowerShell oturumu açın.

  2. Aşağıdaki cmdlet'i girin ve Enter tuşuna basın:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    burada C: diskinize atanan sürücüdür.

  3. Surface cihaz sürücüsü ve üretici yazılımı güncelleştirmelerini yükleyin.

  4. Üretici yazılımı güncelleştirmelerinin başarıyla yüklenmesinden sonra, Aşağıdaki gibi Resume-BitLocker cmdlet'ini kullanarak BitLocker'ı sürdürebilirsiniz:

    Resume-BitLocker -MountPoint "C:"

Yöntem 2: Güvenli Önyükleme'yi etkinleştirme ve varsayılan PCR değerlerini geri yükleme

TPM veya UEFI üretici yazılımına gelecekteki güncelleştirmeleri uygularken BitLocker Kurtarma'nın girilmesini önlemek için BitLocker askıya alındıktan sonra Güvenli Önyükleme ve PCR değerlerinin varsayılan ve önerilen yapılandırmasını geri yüklemenizi kesinlikle öneririz.

BitLocker'ın etkinleştirildiği bir Surface cihazında Güvenli Önyükleme'yi etkinleştirmek için:

  1. Yöntem 1'de açıklandığı gibi cmdlet'ini Suspend-BitLocker kullanarak BitLocker'ın askıya alınması.
  2. Surface Dizüstü Bilgisayarda Surface UEFI kullanma, yeni Surface Pro, Surface Studio, Surface Book ve Surface Pro 4'de tanımlanan yöntemlerden birini kullanarak Surface cihazınızı UEFI'ye önyükler.
  3. Güvenlik bölümünü seçin.
  4. Güvenli Önyükleme altında Yapılandırmayı Değiştir'i seçin.
  5. Yalnızca >Microsoft Tamam'ıseçin.
  6. Cihazı yeniden başlatmak için Çıkış'ı ve ardından Yeniden Başlat'ı seçin.
  7. Yöntem 1'de açıklandığı gibi cmdlet'ini Resume-BitLocker kullanarak BitLocker'a devam edin.

BitLocker Sürücü Şifrelemesini doğrulamak için kullanılan PCR değerlerini değiştirmek için:

  1. PCR'yi yapılandıran tüm Grup İlkelerini devre dışı bırakın veya cihazı bu ilkelerin geçerli olduğu gruplardan kaldırın. Daha fazla bilgi için bkz. BitLocker grup ilkesi Başvurusu'ndaki "Dağıtım Seçenekleri".
  2. Yöntem 1'de açıklandığı gibi cmdlet'ini Suspend-BitLocker kullanarak BitLocker'ın askıya alınması.
  3. Yöntem 1'de açıklandığı gibi cmdlet'ini Resume-BitLocker kullanarak BitLocker'a devam edin.

Yöntem 3: Önyükleme sürücüsünden koruyucuları kaldırma

Bir TPM veya UEFI güncelleştirmesi yüklediyseniz ve cihazınız doğru BitLocker Kurtarma Anahtarı girildiğinde bile önyüklenemiyorsa, BitLocker kurtarma anahtarını ve Surface kurtarma görüntüsünü kullanarak önyükleme özelliğini geri yükleyerek BitLocker koruyucularını önyükleme sürücüsünden kaldırabilirsiniz.

BitLocker kurtarma anahtarınızı kullanarak koruyucuları önyükleme sürücüsünden kaldırmak için:

  1. BitLocker kurtarma anahtarınızı Microsoft hesabından alın veya BitLocker Microsoft BitLocker Yönetimi ve İzleme (MBAM) gibi başka yollarla yönetiliyorsa yöneticinize başvurun.

  2. Başka bir bilgisayardan Surface'ınız için kurtarma görüntüsü indirme bölümünden Surface kurtarma görüntüsünü indirin ve bir USB kurtarma sürücüsü oluşturun.

  3. USB Surface kurtarma görüntü sürücüsünden önyükleme.

  4. İstendiğinde işletim sistemi dilinizi seçin.

  5. Klavye düzeninizi seçin.

  6. Gelişmiş Seçenekler>Komut İstemiSorunlarını Gider'i> seçin.

  7. Aşağıdaki komutları çalıştırın:

    manage-bde -unlock -recoverypassword <password>C:
manage-bde -protectors -disable C:

    burada C: diskinize atanan sürücüdür ve <parola> 1. adımda elde edilen BitLocker kurtarma anahtarınızdır.

    Not

    Bu komutu kullanma hakkında daha fazla bilgi için bkz. Manage-bde: unlock.

  8. Bilgisayarı yeniden başlatın.

  9. İstendiğinde, 1. adımda elde edilen BitLocker kurtarma anahtarınızı girin.

Not

BitLocker koruyucularını önyükleme sürücünüzden devre dışı bırakdıktan sonra cihazınız artık BitLocker Sürücü Şifrelemesi ile korunmaz. Başlat'ı seçip BitLocker'ı Yönet yazıp Enter tuşuna basarak BitLocker Sürücü Şifrelemesi Denetim Masası uygulamasını başlatıp sürücünüzü şifreleme adımlarını izleyerek BitLocker'ı yeniden etkinleştirebilirsiniz.

Yöntem 4: Surface Çıplak Kurtarma (BMR) ile verileri kurtarma ve cihazınızı sıfırlama

Windows'ta önyükleme yapamıyorsanız Surface cihazınızdan verileri kurtarmak için:

  1. BitLocker kurtarma anahtarınızı Microsoft hesabından alın veya BitLocker Microsoft BitLocker Yönetimi ve İzleme (MBAM) gibi başka yollarla yönetiliyorsa yöneticinize başvurun.

  2. Başka bir bilgisayardan Surface'ınız için kurtarma görüntüsü indirme bölümünden Surface kurtarma görüntüsünü indirin ve bir USB kurtarma sürücüsü oluşturun.

  3. USB Surface kurtarma görüntü sürücüsünden önyükleme.

  4. İstendiğinde işletim sistemi dilinizi seçin.

  5. Klavye düzeninizi seçin.

  6. Gelişmiş Seçenekler>Komut İstemiSorunlarını Gider'i> seçin.

  7. Aşağıdaki komutu çalıştırın:

    manage-bde -unlock -recoverypassword <password> C:

    burada C: diskinize atanan sürücüdür ve <parola> 1. adımda elde edilen BitLocker kurtarma anahtarınızdır.

  8. Sürücü kilidini açtıktan sonra kullanıcı verilerini başka bir sürücüye kopyalamak için veya xcopy komutlarını kullanıncopy.

    Not

    Bu komutlar hakkında daha fazla bilgi için bkz. Windows Komut Satırı Başvurusu.

Surface kurtarma görüntüsü kullanarak cihazınızı sıfırlamak için, USB kurtarma sürücüsü oluşturma ve kullanma başlığı altında yer alan "USB kurtarma sürücünüzü kullanarak Surface'ınızı sıfırlama" başlığı altında yer alan yönergeleri izleyin.