Nhắc BitLocker khoá phục hồi sau khi cài đặt bản cập nhật phần mềm Surface UEFI hay TPM trên bề mặt thiết bị

Áp dụng cho: Surface StudioSurface Pro 4Surface Pro 3 Thêm

Triệu chứng


Bạn gặp một hoặc nhiều hiện tượng sau đây trên bề mặt thiết bị của bạn:

  • Khi khởi động, bạn được nhắc nhập khóa BitLocker phục hồi, và bạn nhập khoá đúng phục hồi, nhưng Windows không khởi động.
  • Bạn khởi động trực tiếp vào bề mặt hợp nhất có thể mở rộng phần mềm Interface (UEFI) cài đặt.
  • Bề mặt thiết bị của bạn xuất hiện trong một vòng lặp khởi động lại vô hạn.

Nguyên nhân


Hiện tượng này có thể xảy ra trong trường hợp sau:

  • BitLocker được kích hoạt và cấu hình để sử dụng giá trị đăng ký cấu hình nền tảng (PCR) khác với giá trị mặc định của PCR 7 và PCR 11, ví dụ: khi:
    • Khởi động an toànbị tắt.
    • Giá trị PCR đã rõ ràng xác định, chẳng hạn như chính sách nhóm.
  • Bạn cài đặt bản cập nhật phần mềm Cập nhật phần mềm điện thoại TPM hoặc thay đổi chữ ký của phần mềm hệ thống. Ví dụ: bạn cài đặt bản Cập Nhật bề mặt dTPM (IFX).

Lưu ý Bạn có thể kiểm tra giá trị PCR sử dụng trên thiết bị bằng cách chạy lệnh sau từ dấu nhắc lệnh nâng cao:

quản lý bde.exe-bảo vệ-nhận < OSDriveLetter >:

Chú ý PCR 7 là một yêu cầu cho các thiết bị hỗ trợ kết nối ở chế độ chờ (còn được gọi là InstantGO hoặc luôn lên luôn kết nối máy tính), bao gồm các bề mặt thiết bị. Trên hệ thống như vậy, nếu TPM PCR 7 và khởi động bảo mật được cấu hình đúng cách, BitLocker gắn PCR 7 đến PCR 11 theo mặc định. Để biết thêm thông tin, hãy xem "về các nền tảng cấu hình đăng ký (PCR)" cài đặt chính sách Nhóm BitLocker.

Cách giải quyết


Phương pháp 1: Tạm ngưng BitLocker trong bản cập nhật phần mềm TPM hoặc UEFI

Bạn có thể tránh tình huống này khi cài đặt bản cập nhật phần mềm hệ thống TPM phần mềm bằng cách tạm thời đình chỉ BitLocker trước khi áp dụng bản Cập Nhật cho TPM hoặc phần mềm UEFI bằng BitLocker tạm ngưng.

Lưu ý Bản cập nhật phần mềm TPM UEFI có thể yêu cầu khởi động lại nhiều trong quá trình cài đặt. Để đình chỉ BitLocker phải được thực hiện qua lệnh Tạm ngưng BitLocker và sử dụng máy Tính khởi động lại các tham số để chỉ định một số khởi động lại lớn hơn 2 cho BitLocker treo trong quá trình cập nhật phần mềm. Khởi động lại số 0 sẽ tạm ngưng BitLocker vô, cho đến khi BitLocker tiếp tục lệnh PowerShell BitLocker tiếp tục hoặc cơ chế khác.

Để tạm ngưng BitLocker để cài đặt bản cập nhật phần mềm TPM hoặc UEFI:

  1. Mở một phiên PowerShell quản trị.
  2. Nhập lệnh sau và nhấn Enter: Tạm ngưng BitLocker lắp "C:" - RebootCount 0trong đó C: là ổ đĩa được gán cho đĩa
  3. Cài đặt bản Cập Nhật trình điều khiển và phần mềm bề mặt thiết bị.
  4. Sau khi cài đặt thành công bản cập nhật phần mềm, tiếp tục BitLocker bằng cách sử dụng lệnh BitLocker tiếp tục như sau: Tiếp tục-BitLocker -lắp "C:"

Phương pháp 2: Kích hoạt khởi động an toàn và khôi phục lại giá trị mặc định PCR

Chúng tôi khuyên rằng bạn khôi phục mặc định và cấu hình được khuyến nghị giá trị khởi động an toàn và PCR sau BitLocker bị treo để tránh nhập phục hồi BitLocker khi áp dụng bản Cập Nhật trong tương lai phần mềm TPM hoặc UEFI.

Để cho phép khởi động an toàn trên bề mặt thiết bị có BitLocker hỗ trợ:

  1. Tạm ngưng BitLocker bằng cách sử dụng lệnh tạm ngưng BitLocker như được mô tả trong phương pháp 1.
  2. Khởi động điện thoại bề mặt UEFI bằng cách sử dụng một trong các phương pháp xác định Bằng cách sử dụng bề mặt UEFI Surface Laptop, mới Surface Pro, Surface Studio, Surface Book và Surface Pro 4.
  3. Chọn phần bảo mật .
  4. Nhấp vào thay đổi cấu hình trong "Khởi động an toàn."
  5. Chọn Microsoft chỉ và bấm OK.
  6. Chọn thoát, và sau đó khởi động lại để khởi động lại thiết bị.
  7. Tiếp tục BitLocker bằng cách sử dụng lệnh tiếp tục BitLocker như được mô tả trong phương pháp 1.

Để thay đổi giá trị PCR được sử dụng để xác nhận mã hóa BitLocker Drive:

  1. Vô hiệu hoá bất kỳ chính sách Nhóm cấu hình PCR hoặc xoá thiết bị từ bất kỳ nơi áp dụng các chính sách nhóm. Xem "Tuỳ chọn triển khai" tại BitLocker tham khảo chính sách Nhóm để biết thêm thông tin.
  2. Tạm ngưng BitLocker bằng cách sử dụng lệnh tạm ngưng BitLocker như được mô tả trong phương pháp 1.
  3. Tiếp tục BitLocker bằng cách sử dụng lệnh tiếp tục BitLocker như được mô tả trong phương pháp 1.

Phương pháp 3: Loại bỏ bảo vệ từ đĩa khởi động

Nếu bạn đã cài đặt bản Cập Nhật TPM hoặc UEFI và thiết bị của bạn không thể khởi động, ngay cả khi nhập khoá phục hồi BitLocker đúng, bạn có thể khôi phục khả năng khởi động bằng cách sử dụng khoá phục hồi BitLocker và hình ảnh phục hồi bề mặt bỏ bảo vệ BitLocker từ đĩa khởi động.

Để loại bỏ sự bảo vệ từ đĩa khởi động bằng cách sử dụng khóa BitLocker khôi phục:

  1. Lấy khóa BitLocker phục hồi từ go.microsoft.com/fwlink/p/?LinkId=237614, hoặc nếu BitLocker được quản lý bằng phương tiện khác như Microsoft BitLocker quản trị và giám sát (MBAM), hãy liên hệ với quản trị viên của bạn.
  2. Từ một máy tính, tải ảnh bề mặt khôi phục từ tải hình ảnh phục hồi bề mặt của bạn và tạo ổ đĩa USB phục hồi.
  3. Khởi động từ đĩa USB bề mặt ảnh phục hồi.
  4. Chọn ngôn ngữ hệ điều hành của bạn khi bạn được nhắc.
  5. Chọn bố trí bàn phím của bạn.
  6. Chọn khắc phục sự cố.
  7. Chọn tùy chọn nâng cao.
  8. Chọn dấu nhắc lệnh.
  9. Chạy lệnh sau: quản lý bde-mở - recoverypassword < mật khẩu >C:quản lý bde-bảo vệ-vô hiệu hoá C: trong đó C: là ổ đĩa được gán cho đĩa và < mật khẩu > khóa phục hồi BitLocker như trong bước 1.Chú ý Để biết thêm thông tin về cách sử dụng lệnh này, hãy xem bài viết Microsoft Docs quản lý-bde: mở khóa.
  10. Khởi động lại máy tính.
  11. Khi bạn được nhắc, nhập khóa phục hồi BitLocker như trong bước 1.

Lưu ý Sau khi tắt bảo vệ BitLocker từ ổ đĩa khởi động, thiết bị của bạn sẽ không được bảo vệ bằng mã hóa ổ đĩa BitLocker. Bạn có thể bật lại BitLocker bằng cách chọn bắt đầu, gõ BitLocker quản lý và nhấn Enter để khởi động tiểu dụng bảng điều khiển mã hóa BitLocker Drive và làm theo các bước để mã hoá ổ đĩa của bạn.

Phương pháp 4: Phục hồi dữ liệu và đặt lại thiết bị của bạn với bề mặt trống kim loại khôi phục (BMR)

Phục hồi dữ liệu từ bề mặt thiết bị của bạn nếu bạn không thể khởi động vào Windows:

  1. Lấy khóa BitLocker phục hồi từ https://go.microsoft.com/fwlink/p/?LinkId=237614, hoặc nếu BitLocker được quản lý bằng phương tiện khác như Microsoft BitLocker quản trị và giám sát (MBAM), hãy liên hệ với quản trị viên của bạn.
  2. Từ một máy tính, tải ảnh bề mặt phục hồi từ https://support.microsoft.com/surfacerecoveryimage và tạo ổ đĩa USB phục hồi.
  3. Khởi động từ đĩa USB bề mặt ảnh phục hồi.
  4. Chọn ngôn ngữ hệ điều hành của bạn khi bạn được nhắc.
  5. Chọn bố trí bàn phím của bạn.
  6. Chọn khắc phục sự cố.
  7. Chọn tùy chọn nâng cao.
  8. Chọn dấu nhắc lệnh.
  9. Chạy lệnh sau: quản lý bde-mở -recoverypassword < mật khẩu > C: trong đó C: ổ đĩa và < mật khẩu > là BitLocker khôi phục khóa như trong bước 1
  10. Sau khi mở khóa ổ đĩa, sử dụng lệnh sao chép hay xcopy sao chép dữ liệu người dùng sang ổ đĩa khác. Lưu ý Để biết thêm thông tin về này lệnh, xem Cửa sổ dòng lệnh tham khảo.

Đặt lại thiết bị của bạn bằng cách sử dụng một hình ảnh phục hồi bề mặt: làm theo hướng dẫn "Làm thế nào để đặt lại bề mặt của bạn bằng cách sử dụng ổ đĩa USB phục hồi" tạovà sử dụng ổ đĩa USB phục hồi.