2018 年 8 月 UEFI 更新後,Surface Book 2 13吋的 BitLocker 恢復金鑰提示

症狀

在 Windows 啟動時,你會被要求輸入 BitLocker 恢復金鑰,該裝置搭載 NVIDIA GeForce GTX 1050 顯示卡的 Surface Book 2 13吋裝置。

原因

此問題可能在 2018 年 8 月的 UEFI 更新安裝後才出現。 如果已輸入恢復金鑰,裝置現在已進入 Legacy Bound (PCR 0、2、4、11) 配置。 因此,您必須採取額外步驟來啟用安裝能修正此問題的更新。

2018 年 8 月的 UEFI 更新已不再可用。 然而,任何搭載 NVIDIA GeForce GTX 1050 並安裝更新的 Surface Book 2 13 吋裝置都可能遇到此問題,且可能仍維持此配置。

解決方式

要解決這個問題,請使用以下其中一種方法。

自動修正

下載並執行 Surface BitLocker 保護器檢查工具。 這個工具會引導你安裝 Surface Book 2 裝置的修復更新。

注意

Surface BitLocker 保護器檢查工具僅提供英文版本,但可在所有適用的 Surface Book 2 裝置上運行。

以下是在 Surface Book 2 裝置上使用 Surface BitLocker 保護器檢查工具的方法:

  1. 下載並安裝工具
  2. 在工作列的搜尋方塊中輸入 Surface BitLocker Protector Check,然後從清單中選取它,以便開啟工具。
  3. 根據您看到的訊息,採取下列其中一個動作。
訊息 [動作]
"This device’s BitLocker settings do not require any changes." (此裝置的 BitLocker 設定不需要任何變更。) 您的 BitLocker 設定沒問題,所以您不需要做其他動作。 按 Enter 退出工具。
"Please dock your Surface Book 2 into the base." (請將您的 Surface Book 2 銜接到基座。) 在 Surface Book 2 裝置上,將顯示器接到鍵盤上。 如果已經接上了,先拆下來,清理接頭,再重新裝回去。 按 Enter 退出工具,然後再依照上面的第 2 和第 3 步驟操作。
「BitLocker 已暫時停用。
現在需要重新開機。 此工具會在重新開機後自動繼續。」		 此工具需要變更您的 BitLocker 設定。 按 Enter 重新啟動您的裝置,並套用所做的變更。 您的裝置重新開機之後,工具將會自動繼續運作。
「你的 BitLocker 恢復鑰匙是: <你的 BitLocker 恢復鑰匙號碼>
Please record this in a safe location.
現在需要重新開機。 此工具會在重新開機後自動繼續。」		 列印或記下您的 BitLocker 修復金鑰,以備不時之需。 然後,按 Enter 重新啟動您的裝置,並套用所做的變更。 您的裝置重新開機之後,工具將會自動繼續運作。
"The BitLocker settings on this device have been successfully fixed." (此裝置上的 BitLocker 設定都已成功修正。) 工具修正了您的 BitLocker 設定,所以您不需要做其他動作。 按 Enter 退出工具。

手動修復 (進階)

重要 以下步驟僅供進階使用者參考。 如果您不熟悉使用 Windows PowerShell,但需要協助下載或使用修復工具,請聯絡 Surface 客服

檢查 BitLocker 的設定

  1. 啟動一個帶有管理員權限的 PowerShell 命令提示字元。

  2. 執行下列命令:

    Manage-bde -protectors -get C:

  3. 檢查 PCR 驗證設定檔。

    • 若 PCR 驗證配置檔設定為 7、11,則表示裝置配置正確,無需進一步操作。
    • 如果這個數值設定在 7 或 11 以外的數值,就進入下一步。

修正 BitLocker 的設定

  1. 在 PowerShell 指令提示字元執行以下指令:

    Suspend-bitlocker -mountpoint C: -rebootcount 0

  2. 開啟裝置管理員。

  3. 找到並展開韌 分支。

  4. 如果任何韌體顯示警告符號,請選擇每個韌體項目,然後選擇 「卸載裝置」。 對任何顯示警告符號的韌體節點都這麼做。

  5. 重新啟動 Surface Book 2 裝置。

  6. 啟動一個帶有管理員權限的 PowerShell 指令提示字元。

  7. 執行下列命令:

    Manage-bde -protectors -get C:

  8. 找到並複製 TPM ID 到剪貼簿上。 務必包含牙套 ( { } ) 。

  9. 輸入以下指令,並在每個指令後按下 Enter 鍵:

    Manage-bde -protectors -delete C: -id "{TPM id}"
    Manage-bde -protectors -add C: -TPM

    在第一個指令中,將 TPM ID> 替換<成你在第 8 步複製的 ID 號碼。

  10. 重新啟動 Surface Book 2 裝置。

請依照「檢查 BitLocker 設定」的步驟來判斷你的設定是否正確。

如果你之前在裝置管理員中移除過驅動程式,請再次打開裝置管理員,確認韌裝置類型沒有顯示警告符號。 要做到這點,雙擊 Surface UEFI 項目,然後開啟 驅動程式 標籤。確認安裝的驅動程式是 389.2318.768.0 或更新版本。

如果你無法將 BitLocker 設定改成 7、11,或無法在裝置管理員中移除警告符號,請聯絡 Surface 支援