在安装到面 UEFI 或 TPM 表面设备上的固件更新后系统提示输入 BitLocker 恢复密钥

适用于: Surface StudioSurface Pro 4Surface Pro 3 详细

症状


将表面设备上遇到了一个或多个以下症状:

  • 启动时,则会提示您提供 BitLocker 恢复密钥,并输入正确的恢复密钥,但 Windows 不能启动。
  • 您启动直接到面统一可扩展固件接口 (UEFI) 设置。
  • 将表面设备似乎陷入无限的重新启动循环。

原因


在以下情况下会发生此问题:

  • BitLocker 已启用且配置为使用,例如在当平台配置注册 (PCR) 的 PCR 7 和 PCR 11 的默认值以外的值:
    • 安全启动处于关闭状态。
    • PCR 值已被明确定义,如通过组策略。
  • 安装 TPM 的设备的固件更新或更改的签名系统固件的固件更新。例如,安装表面 dTPM (IFX) 更新。

注意:您可以验证 PCR 值所使用的设备上通过从提升的命令提示符处运行以下命令:

管理 bde.exe-保护器-获取< OSDriveLetter >:

请注意PCR 7 是支持连接待机 (也称为 InstantGO 或总是,总是连接在电脑上),包括曲面的设备的设备的要求。在这种系统中,如果与 PCR 7 和安全启动 TPM 配置正确,BitLocker 将绑定到 PCR 7 和 PCR 11 默认情况下。详细信息请参阅"关于平台配置注册 (PCR)"在BitLocker 组策略设置

替代方法


方法 1: TPM 或 UEFI 固件更新期间挂起 bitlocker 之后

在使用挂起 BitLocker对系统固件或通过将更新应用到 TPM 之前暂时挂起 BitLocker TPM 固件或 UEFI 固件安装更新时,您可以避免这种情况。

注意:在安装过程中,TPM 和 UEFI 固件更新可能需要多次重新启动。因此必须通过挂起 BitLocker cmdlet 执行挂起 BitLocker 并使用重新启动计数参数来指定多个重新启动大于 2 需要固件更新过程中挂起 BitLocker。重新启动计数为 0 将无限期地,挂起 bitlocker 之后,直到 BitLocker 恢复通过 PowerShell cmdlet恢复 BitLocker或另一种机制。

挂起 BitLocker 安装 TPM 或 UEFI 固件更新为:

  1. 打开管理 PowerShell 会话。
  2. 输入以下 cmdlet,然后按 enter 键: 装载点挂起 BitLocker- "C:" -RebootCount 0其中c:是分配给您的磁盘驱动器
  3. 安装表面的设备驱动程序和固件更新程序。
  4. 成功安装的固件更新后,通过按如下方式使用恢复 BitLocker cmdlet 恢复 BitLocker: 继续--BitLocker 装载点"C:"

方法 2: 启用安全引导并还原默认 PCR 值

我们强烈建议挂起 BitLocker 以防止在将未来的更新应用到 TPM 或 UEFI 固件输入 BitLocker 恢复后还原默认和推荐的配置的安全启动和 PCR 值。

若要启用已启用 BitLocker 的表面设备安全启动:

  1. 通过使用方法 1 中所述的挂起 BitLocker cmdlet 挂起 bitlocker 之后。
  2. 引导到 UEFI 表面设备通过使用曲面 (uefi) Surface Laptop、 新 Surface Pro、 面 Studio、 Surface Book 和 Surface Pro 4中定义的方法之一。
  3. 选择安全部分。
  4. 单击更改配置下的"安全启动"。
  5. Microsoft 只选择,然后单击确定
  6. 选择退出,然后重新启动重新启动设备。
  7. 通过使用方法 1 中所述的恢复 BitLocker cmdlet 恢复 BitLocker。

若要更改用于验证 BitLocker 驱动器加密的 PCR 值:

  1. 禁用配置 PCR,任何组策略,或从这类策略的应用在任何组中移除该设备。有关更多信息,请参见"部署选项"在BitLocker 组策略参考
  2. 通过使用方法 1 中所述的挂起 BitLocker cmdlet 挂起 bitlocker 之后。
  3. 通过使用方法 1 中所述的恢复 BitLocker cmdlet 恢复 BitLocker。

方法 3: 从引导驱动器中取出保护器

如果您的设备不能启动您已安装了 TPM 或 UEFI 的更新,即使输入了正确的 BitLocker 恢复密钥,您可以还原能引导使用 BitLocker 恢复密钥和曲面的恢复映像删除 BitLocker 保护器从引导驱动器。

若要通过使用 BitLocker 恢复密钥保护器删除引导驱动器:

  1. go.microsoft.com/fwlink/p/?LinkId=237614,索取 BitLocker 恢复密钥,或如果 BitLocker 由 Microsoft BitLocker 管理和监视 (MBAM) 等其他方式,请联系您的管理员联系。
  2. 从另一台计算机,从下载的曲面的恢复映像下载表面恢复图像并创建 USB 的恢复驱动器。
  3. 从 USB 面恢复映像驱动器引导。
  4. 在得到提示时,请选择您的操作系统的语言。
  5. 选择键盘布局。
  6. 选择解决问题
  7. 选择高级选项
  8. 选择命令提示符
  9. 运行以下命令: 管理 bde-解锁-recoverypassword < 密码 >C:管理 bde 的保护器-禁用C: 其中c:是分配给您的磁盘驱动器, < 密码 >是您 BitLocker 恢复密钥,如步骤 1 中获取。请注意有关使用此命令的详细信息,请参阅 Microsoft 文档文章管理 bde: 解除
  10. 重新启动计算机。
  11. 当提示时,输入在步骤 1 中获得 BitLocker 恢复密钥。

注意:禁用启动驱动器从 BitLocker 保护器后, 您的设备将不再受 BitLocker 驱动器加密。您可以通过选择启动时,键入管理 BitLocker并按 enter 键以启动 BitLocker 驱动器加密控制面板小程序并加密您的驱动器的步骤重新启用 BitLocker。

方法 4: 数据恢复和重置您的设备与面裸机恢复 (BMR)

如果您不能启动到 Windows,从表面设备恢复数据:

  1. https://go.microsoft.com/fwlink/p/?LinkId=237614,索取 BitLocker 恢复密钥,或如果 BitLocker 由 Microsoft BitLocker 管理和监视 (MBAM) 等其他方式,请联系您的管理员联系。
  2. 从另一台计算机,从https://support.microsoft.com/surfacerecoveryimage下载曲面的恢复映像,创建 USB 的恢复驱动器。
  3. 从 USB 面恢复映像驱动器引导。
  4. 在得到提示时,请选择您的操作系统的语言。
  5. 选择键盘布局。
  6. 选择解决问题
  7. 选择高级选项
  8. 选择命令提示符
  9. 运行以下命令: 管理 bde-解锁-recoverypassword < 密码 > C: 其中c:是分配给您的磁盘和< 密码 >的驱动器是为在步骤 1 中获得 BitLocker 恢复密钥
  10. 解锁驱动器后,使用复制xcopy命令将用户数据复制到另一个驱动器。 注意:为详细了解这些命令,请参阅Windows 命令行参考

若要通过使用曲面恢复图像重置您的设备: 在创建和使用 USB 恢复驱动器按照"如何重置使用您的 USB 驱动器恢复曲面"中的说明进行操作。