在 Surface 裝置中安裝 Surface UEFI 或 TPM 韌體更新後提示使用 BitLocker 復原金鑰

重要

本文包含如何降低安全性設定或關閉電腦安全性功能的資訊。 您可以進行這些變更,為特定的問題尋求因應措施。 在進行這些變更之前,建議您先評估在特定環境中使用此替代解決方案的相關風險。 如果您決定使用此因應措施,請採用任何其他的適當步驟,以協助保護電腦。

徵狀

在 Surface 裝置中遇到以下一個或多個問題:

  • 啟動時,系統提示您輸入 BitLocker 復原金鑰,且您輸入正確的復原金鑰,但 Windows 未啟動。

  • 開機直接進入 Surface 統一可延伸人體介面 (UEFI) 設定。

  • Surface 裝置似乎處於無限重新開機迴圈中。

原因

發生這個問題有下列幾類原因:

  • 已啟用 BitLocker 並將其設定為使用 PCR 7 和 PCR 11 的預設值以外的平台設定暫存器 (PCR) 值,例如:

    • 已關閉 [安全開機]

    • 已明確定義 PCR 值,例如使用群組原則定義。

  • 安裝可更新裝置 TPM 的韌體或變更系統韌體簽名的韌體更新。 例如,安裝 Surface dTPM (IFX) 更新。

附註:可透過在提升權限的命令提示字元後執行以下命令確認該裝置中使用的 PCR 值:

manage-bde.exe -protectors -get <OSDriveLetter>:

附註:PCR 7 是支援連線待命 (也稱為 InstantGO 或永遠開啟、自動連線電腦) 裝置 (包括 Surface 裝置) 的要求。 在此類系統中,如果正確設定了配備 PCR 7 和安全開機的 TPM,則 BitLocker 預設繫結到 PCR 7 和 PCR 11。 有關詳細資訊,請參閱 BitLocker 群組原則設定中的「關於平臺設定暫存器 (PCR)」。

因應措施

警告

BitLocker 磁碟機加密透過加密資料幫助您保護組織的敏感性資訊。 這種臨時停用 BitLocker 的因應措施可能會使資料有危險。 雖然不建議使用這個因應措施,但我們仍提供這項資訊,讓您可以自行選擇是否採用這個方案。 使用此因應措施的風險自負。

方法 1: 在 TPM 或 UEFI 韌體更新期間暫停 BitLocker

可以透過在使用 Suspend-BitLocker 將更新套用於 TPM 或 UEFI 韌體之前暫時暫停 BitLocker 來避免在安裝系統固件或 TPM 韌體的更新時出現這種情況。

附註:TPM 和 UEFI 韌體更新可能需要在安裝期間多次重新開機。 因此,必須透過 Suspend-BitLocker cmdlet 暫停 BitLocker,並使用 Reboot Count 參數指定大於 2 的重新開機次數,以便在韌體更新過程中保持 BitLocker 暫停。 Reboot Count 0 將無限期地暫停 BitLocker,直到透過 PowerShell cmdlet Resume-BitLocker 或其他機制恢復 BitLocker。

要暫停 BitLocker 以安裝 TPM 或 UEFI 韌體更新:

  1. 開啟管理 PowerShell 作業階段。

  2. 輸入下列命令並按下 Enter:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    其中 C: 是分配給磁碟的磁碟機

  3. 安裝 Surface 裝置驅動程式和韌體更新。

  4. 成功安裝韌體更新後,使用 Resume-BitLocker cmdlet 恢復 BitLocker,如下所示:

    Resume-BitLocker -MountPoint "C:"

方法 2: 啟用開機並還原預設 PCR 值

我們強烈建議您在暫停 BitLocker 後還原安全開機和 PCR 值的預設和推薦設定,以防止在將來在 TPM 或 UEFI 韌體套用更新時進入 BitLocker 恢復。

要在啟用 BitLocker 的 Surface 裝置中啟用安全開機:

  1. 使用方法 1 中所述的 Suspend-BitLocker cmdlet 暫停 BitLocker。

  2. 使用 在 Surface 筆記型電腦上使用 Surface UEFI、新 Surface Pro、Surface Studio、Surface Book 和 Surface Pro 4 中定義的方法之一,讓 Surface 裝置開機進入 UEFI。

  3. 選取 [安全性] 區段。

  4. 按下 [安全開機] 下的 [變更設定]。

  5. 選取 [僅限 Microsoft],然後按一下 [確定]。

  6. 選取 [退出],然後 [重新啟動] 以重新啟動裝置。

  7. 使用方法 1 中所述的 Resume-BitLocker 恢復 BitLocker。

要變更用於驗證 BitLocker 驅動程式加密的 PCR 值,請:

  1. 停用設定 PCR 的任何群組原則,或從套用此類原則的任何群組中移除該裝置。 有關詳細資訊,請參閱 BitLocker 群組原則參考的「部署選項」。

  2. 使用方法 1 中所述的 Suspend-BitLocker cmdlet 暫停 BitLocker。

  3. 使用方法 1 中所述的 Resume-BitLocker 恢復 BitLocker。

方法 3: 從開機磁碟機中移除保護程式

如果您已安裝 TPM 或 UEFI 更新,並且即使輸入正確的 BitLocker 復原金鑰後您的裝置也無法開機,則可以使用 BitLocker 復原金鑰和 Surface 復原映像恢復開機功能,從而從開機驅動器中刪除 BitLocker 保護程式。

要使用 BitLocker 復原金鑰從開機磁碟機中移除保護程式,請:

  1. go.microsoft.com/fwlink/p/?LinkId=237614 獲取 BitLocker 復原金鑰,或者如果 BitLocker 是透過其他方式 (如 Microsoft BitLocker 管理和監視 (MBAM) 進行管理,則請聯絡您的管理員。

  2. 按照為您的 Surface 下載復原映像中的方法,從另一台計算機下載 Surface 復原映像並建立 USB 復原磁碟機。

  3. 從 USB Surface 復原映像磁碟機開機。

  4. 提示您時,請選取作業系統語言。

  5. 選取鍵盤配置。

  6. 選取 [疑難排解]。

  7. 選取 [進階選項]。

  8. 選取 [命令提示字元]。

  9. 執行下列命令:

    manage-bde -unlock -recoverypassword <password>C:

    manage-bde -protectors -disable C:

    其中 C: 是分配給磁碟的磁碟機,<password> 是步驟 1 中獲得的 BitLocker 復原金鑰。

    附註:有關使用此命令的詳細資訊,請參閱 Microsoft Docs 文章 Manage-bde: unlock

  10. 將電腦重新開機。

  11. 系統提示時,請輸入步驟 1 中獲取的 BitLocker 復原金鑰。

附註:停用開機磁碟機的 BitLocker 保護程式後,您的裝置將不再受到 BitLocker 磁碟機加密的保護。 可以重新啟用 BitLocker,方法是選取 [開始]、鍵入 Manage BitLocker 並按 Enter 啟動 BitLocker 磁碟機加密控制台小程式,並按照步驟對磁碟機進行加密。

方法 4: 使用 Surface 裸機復原 (BMR) 復原資料並重設裝置

如果無法啟動進入 Windows,請從 Surface 裝置復原資料:

  1. https://go.microsoft.com/fwlink/p/?LinkId=237614 獲取 BitLocker 復原金鑰,或者如果 BitLocker 是透過其他方式 (如 Microsoft BitLocker 管理和監視 (MBAM) 進行管理,請聯絡您的管理員。

  2. 按照為 Surface 下載復原映像中的步驟,從另一台計算機下載 Surface 復原映像並建立 USB 復原磁碟機。

  3. 從 USB Surface 復原映像磁碟機開機。

  4. 提示您時,請選取作業系統語言。

  5. 選取鍵盤配置。

  6. 選取 [疑難排解]。

  7. 選取 [進階選項]。

  8. 選取 [命令提示字元]。

  9. 執行下列命令:

    manage-bde -unlock -recoverypassword <password> C:

    其中 C: 是指派給磁碟的磁碟機,<password> 是步驟 1 中取得的 BitLocker 復原金鑰

  10. 解鎖磁碟機後,使用 copyxcopy 命令將用戶資料複製到其他磁碟機。

    附註:有關這些指令的詳細資訊,請參閱 Windows 命令列參考

要使用 Surface 復原映像重設裝置,請: 在建立和使用 USB 復原磁碟機時按照 「如何使用 USB 復原驅動器重設您的 Surface」中的說明進行操作。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×