BitLocker-løsning ved å deaktivere sikker oppstart

  • BitLocker er ofte aktivert som standard, og endring av Secure Boot-, TPM- eller BIOS-innstillinger kan føre til at systemet går inn i gjenopprettingsmodus og ber om nøkkelen.
  • Å suspendere BitLocker før du oppdaterer fastvare eller tukler med oppstartsprosessen, og å beholde gjenopprettingsnøkkelen, er de beste forebyggende tiltakene.
  • Hvis gjenopprettingsskjermen vises, kan du avslutte ved hjelp av , ledeteksten, justere sikker oppstart eller gjenopprette nøkler og PCR.
  • Uten BitLocker-nøkkelen finnes det ingen pålitelig måte å dekryptere harddisken på, så det er viktig å holde den trygg for å unngå å miste data.
Alberto Navarro

15 minutter

BitLocker-gjenopprettingsskjermbilde i Windows

Når du prøver å starte opp et Linux-system fra en USB-stasjon, for eksempel Ubuntu med Windows og Persistens, er det ganske vanlig å måtte Deaktiver sikker oppstart i BIOS for å unngå den fryktede meldingen om «sikkerhetsbrudd». Problemet kommer senere: du starter Windows 10 eller 11 på nytt, og plutselig dukker den blå dødsskjermen opp. BitLocker-gjenoppretting ber om en 48-sifret nøkkelDet er der skremmen begynner, spesielt hvis du aldri bevisst aktiverte BitLocker.

Denne oppførselen er ikke en isolert hendelse: det er en del av hvordan Windows, UEFI-fastvare, TPM og BitLocker fungerer. De beskytter oppstartsprosessen og oppdager eventuelle endringer i sikkerhetsinnstillingene., som å deaktivere sikker oppstart, få tilgang til BIOS, oppdatere fastvaren eller endre visse PCR-parametere. I denne artikkelen skal vi se på det rolig og trinn for trinn, Hvorfor ber BitLocker om passordet når sikker oppstart deaktiveres?, hva det har med maskinvaren å gjøre (TPM, UEFI, Surface, Asus bærbare datamaskiner, Dell…) og alle de praktiske måtene å løse det på, eller i det minste minimere risikoen for å miste tilgang til dataene dine.

Hva er BitLocker, og hvorfor vises gjenopprettingsskjermen?

BitLocker er systemet til diskkryptering innebygd i Windows (Pro og relaterte versjoner) og også grunnlaget for "Device Encryption" i mange Home-utgaver. Den krypterer hele harddisken og lagrer nøklene sikkert i TPM (Trusted Platform Module) og i andre «beskyttere» (PIN, passord, gjenopprettingsnøkkel), og sjekke ved hver oppstart at ingenting kritisk har endret seg.

Når det skjer en betydelig endring i oppstartsmiljøet, går BitLocker inn i det som kalles gjenopprettingsmodusI stedet for å starte opp i Windows direkte, viser den den blå skjermen som ber om den 48-sifrede produktnøkkelen. Dette er det samme symptomet av mange forskjellige årsaker, så det er viktig å forstå hva som kan ha endret seg.

Noen av de vanligste årsakene til dens forekomst BitLocker-gjenopprettingsskjerm er:

  • BIOS/UEFI-endringer: deaktiver eller aktiver sikker oppstart, endre oppstartsmodus (UEFI/Legacy), endre oppstartsrekkefølge, aktiver/deaktiver TPM osv.
  • TPM- eller systemfastvareoppdateringSvært vanlig på Surface-enheter, moderne bærbare datamaskiner og merkevareutstyr når fastvaredrivere installeres fra Windows Update.
  • Ikke-standard PCR-konfigurasjon: hvis den har blitt endret, vanligvis av gruppepolicy, som PCR-loggene BitLocker bruker for å validere oppstart.
  • Feil passord for mange ganger eller problemer med enhetens automatiske opplåsing.
  • utdatert eller feilaktig BIOS noe som forårsaker inkonsekvenser i oppstartsmålinger.
  • Endringer i oppstartsmenyen (for eksempel bruk av ny grafisk oppstart i stedet for eldre) som endrer hvordan oppstart måles.

Fra et sikkerhetsperspektiv gjør BitLocker jobben sin: Enhver mistenkelig endring krever at du beviser identiteten din med gjenopprettingsnøkkelen.Problemet er at brukeren ofte ikke engang vet at BitLocker er aktivert.

Forholdet mellom sikker oppstart, TPM, PCR og BitLocker

Konfigurere sikker oppstart i UEFI BIOS

For å forstå hvorfor deaktivering av sikker oppstart utløser BitLocker-gjenoppretting, må du se på hvordan oppstart er knyttet til kryptering. BitLocker bruker TPM for å lagre nøkler på en forseglet måte til en bestemt plattformtilstandDenne «tilstanden» måles i poster som kalles PCR (plattformkonfigurasjonsregistre).

Som standard bruker BitLocker på mange moderne datamaskiner PCR 7 og PCR 11 for å bekrefte integriteten til oppstartsprosessen. PCR 7 er vanligvis koblet nøyaktig til konfigurasjonen av Sikker oppstart og fastvaresigneringHvis du deaktiverer sikker oppstart, endrer du disse målingene, og TPM-en vurderer at miljøet ikke lenger er som forventet.

I noen avanserte scenarier kan bedrifter eller selve systemet konfigurere BitLocker til å bruke andre PCR-kombinasjoner annerledes (for eksempel ved å legge til målinger av UEFI-fastvaren, oppstartsbehandleren osv.). Dette betyr at enhver fastvareoppdatering, endring av oppstartsmodus eller endring av sikkerhetsinnstillingene omgå BitLocker-alarmer.

Dette er veldig tydelig i enheter som Surface Pro, Surface Book, Surface Laptop eller Surface Studioder Microsoft har dokumentert scenarier der maskinen, etter oppdatering av TPM-fastvaren eller UEFI, går inn i en løkke av:

  • Skjerm ber om gjenopprettingsnøkkelen selv om du skriver den inn riktig.
  • Start opp direkte til Surface UEFI-innstillingene uten å gå via Windows.
  • Uendelig løkke med omstarter uten å nå skrivebordet.

I disse tilfellene er kombinasjonen av BitLocker + TPM + Sikker oppstart + oppdatert fastvare Dette fører til at verdiene som måles i PCR-testene ikke samsvarer med de som opprinnelig ble forseglet, og teamet er nå bare avhengig av gjenopprettingsnøkkelen.

Hvorfor BitLocker aktiveres «av seg selv» på mange nye datamaskiner

Mange blir skuffet når de slår på den bærbare datamaskinen etter en periode uten bruk og ser at BitLocker ber om en gjenopprettingsnøkkel du aldri har lagretFrustrasjonen med Microsoft er forståelig, spesielt når det gjelder lokale (offline) kontoer og det ikke finnes noen kopi av nøkkelen i skyen.

Mange moderne bærbare datamaskiner med Windows 10 eller 11, spesielt modeller fra merker som Asus, Dell, Lenovo, HP, Surface og lignende, aktiverer produsenten og Microsoft som standard «Enhetskryptering» eller direkte BitLocker, forutsatt at maskinvaren oppfyller visse krav (TPM 2.0, UEFI-oppstart, sikker oppstart osv.).

Med en Microsoft-kontoGjenopprettingsnøkkelen kopieres vanligvis automatisk til skyen (Microsoft-kontoportal, lenke som aka.ms/recoverykey). Det alvorlige problemet oppstår når brukeren velger en lokal konto uten synkronisering med MicrosoftHan så aldri en tydelig advarsel om å lagre passordet, og nå har han ingen steder å lete etter det.

Teknisk sett er kryptering der for å beskytte dataene dine hvis den bærbare datamaskinen eller harddisken din blir stjålet. Men i praksis, hvis Du endrer BIOS (for eksempel deaktiverer sikker oppstart for å starte opp Linux), og du har ikke den lagrede nøkkelen.BitLocker låser deg ute akkurat som det ville gjort med en tyv. Og i mange tilfeller finnes det ingen magisk løsning uten den nøkkelen.

Slik aktiverer eller deaktiverer du sikker oppstart i BIOS/UEFI

BIOS-alternativer for sikker oppstart

Før du berører noe som kan utløse BitLocker, er det viktig å være tydelig på dette. Hvordan håndteres sikker oppstart i BIOS/UEFI?Siden tilstanden ofte er kilden til mange av disse problemene, varierer de spesifikke trinnene avhengig av produsenten, men det finnes vanlige mønstre.

I bærbare datamaskiner, alt-i-ett-PC-er og spillkonsoller (for eksempel Asus) er det typiske oppsettet:

  • Når enheten er slått av, trykker du på og holder inne tasten F2 og trykk på av/på-knappen for å gå inn i BIOS.
  • Gå til avansert modus (F7-tasten) hvis du først ser et forenklet grensesnitt.
  • Gå til fanen Sikkerhet og søk Sikker oppstart.
  • Juster Sikker oppstartskontroll til «Aktivert» eller «Deaktivert».
  • Lagre endringer og avslutt F10.

Ved bordet er ruten ganske lik, selv om den noen ganger håndteres med alternativet OS-type:

  • Gå inn i BIOS med F2 eller Del, avhengig av modellen.
  • Trykk F7 for avansert modus.
  • Åpne fanen Støvel og velg Sikker start.
  • endring OS-type til «Windows UEFI-modus» for å aktivere Sikker oppstart, eller «Annet operativsystem» for å deaktivere det.
  • Lagre med F10.

På noen datamaskiner, spesielt når Sikker oppstart vises nedtonet og «inaktiv», må du tilbakestill sikker oppstartsnøkler for å få det til å fungere igjen:

  • Gå inn i seksjonen Nøkkeladministrasjon (Nøkkeladministrasjon) i sikker oppstart.
  • velge Tilbakestill til oppsettmodus o Fjern sikre oppstartsnøkler for å tømme nøkkeldatabasene.
  • Bruk deretter Gjenopprett fabrikknøkler o Installer standard sikre oppstartsnøkler for å gjenopprette fabrikknøklene.
  • Lagre endringene og avslutt med F10.

Produsenter advarer – og med rette – om at Berøring av sikker oppstart eller TPM når harddisken er kryptert med BitLocker Dette kan føre til at Windows ber om gjenopprettingsnøkkelen din. Derfor er det viktig å vurdere disse handlingene nøye og ikke impulsivt.

Beste fremgangsmåter før du oppdaterer fastvare eller tukler med BIOS

Fastvare- og BitLocker-oppdatering

Hvis du allerede vet at enheten din har BitLocker eller enhetskryptering aktivert, finnes det ett viktig forebyggende tiltak: Midlertidig suspendere BitLocker før du oppdaterer fastvare (TPM, UEFI) eller endrer oppstartsinnstillingerDette minimerer sannsynligheten for at PCR-målingene vil endre seg uventet etter oppdateringen.

På Surface-enheter anbefaler Microsoft eksplisitt å bruke PowerShell med administratorrettigheter Slik setter du beskyttelsen på pause:

  1. Åpne PowerShell som administrator.
  2. Løpe:
    Suspend-BitLocker -MountPoint "C:" -RebootCount 0
  3. Installer Surface-fastvareoppdateringer (TPM, UEFI, drivere…).
  4. Når alt er ferdig og systemet har startet riktig, gjenoppta beskyttelsen med:
    Resume-BitLocker -MountPoint "C:"

Det anbefales også gjenopprett sikker oppstart til anbefalt tilstand (aktivert og med fabrikknøkler) og gjenopprette standard PCR-verdier hvis de ble endret via gruppepolicyer. Ellers kan hver fremtidig fastvareoppdatering sende enheten tilbake til gjenopprettingsskjermen.

I bedriftsmiljøer, der policyer endres oftere, er det også lurt å se gjennom hvilke PCR-er som brukes for BitLocker. Hvis tilpassede verdier er konfigurert, kan det være lurt å... angre disse retningslinjene, suspender BitLocker, start på nytt og gjenoppta slik at systemet går tilbake til å bruke standardkonfigurasjonen med mindre feilutsatt funksjon.

Metoder for å avslutte BitLocker-gjenopprettingsskjermen

Når du endelig ser den blå skjermen som ber om passord, finnes det flere utgangsveier Avhengig av informasjonen du har og problemets opprinnelse, vil vi gå fra de enkleste til de mest drastiske løsningene.

1. Finn og bruk BitLocker-gjenopprettingsnøkkelen

Den mest direkte måten å omgå gjenopprettingsskjermen på er å gå inn i 48-sifret numerisk gjenopprettingsnøkkelUtfordringen er selvsagt å finne den. Avhengig av hvordan BitLocker ble konfigurert, kan nøkkelen være:

  • I din Microsoft online-konto (lenke av typen aka.ms/recoverykey).
  • Trykt på papir eller lagret som PDF et trygt sted.
  • En Active Directory eller Azure AD, hvis datamaskinen din er en del av et domene.
  • På en USB-stasjon eller .txt-fil som ble generert da BitLocker ble aktivert.

Hvis du er på gjenopprettingsskjermen og ikke vet nøyaktig hvilken tast du trenger, kan du trykke på Esc For å se flere alternativer: Windows vil vise en Gjenopprettingsnøkkel-IDDenne identifikatoren lar administratoren (eller deg selv, hvis du har tilgang til riktig portal) finne riktig nøkkel i AD, Azure AD eller Microsoft-kontoen.

2. Deaktiver BitLocker fra ledeteksten (hvis du har nøkkelen)

Når du har nøkkelen, er en god strategi Lås opp harddisken fra de avanserte alternativene og deaktiver midlertidig beskyttelsene slik at den slutter å spørre etter det hver gang den starter opp:

  1. På gjenopprettingsskjermen trykker du på Esc og velg Hopp over denne enheten.
  2. Gå til Feilsøking > Avanserte alternativer > Ledetekst.
  3. Kjør følgende ved ledeteksten:
    manage-bde -unlock X: -rp CLAVE_RECUPERACION
    Erstatning X: etter bokstaven til den krypterte stasjonen (vanligvis C:) og GJENOPPRETTINGSNØKKEL med de 48 sifrene.
  4. Deretter deaktiverer du beskytterne:
    manage-bde -protectors -disable X:
  5. Start datamaskinen på nytt for å se om den nå starter uten å spørre om passordet.

Senere vil du kunne gå tilbake til aktiver beskytterne fra Windows, slik at du ikke mister beskyttelsen permanent, men på denne måten unngår du gjenopprettingsløkken mens du er ferdig med å justere BIOS, sikker oppstart osv.

3. Endre oppstartsmenytypen (eldre vs. grafisk)

I noen Windows 10-installasjoner, ny grafisk oppstartsmeny Dette kan føre til konflikter med BitLocker og gjentatte ganger føre deg tilbake til gjenopprettingsskjermen. Aktivering av oppstartspolicyen «Eldre» gjennom Bcdedit Det har løst problemet for mer enn én person:

  1. Åpne Kommandoprompt som administrator fra Windows (hvis du fortsatt kan starte det) eller fra de avanserte alternativene.
  2. Løpe:
    bcdedit /set {default} bootmenupolicy legacy

Dette tvinger Windows til å bruke en mer klassisk oppstartsmeny, som i noen miljøer er mer kompatibel med BitLocker og reduserer visningen av gjenopprettingsskjermen ved hver omstart.

4. Deaktiver automatisk opplåsing på krypterte stasjoner

En annen merkelig kilde til problemer er automatisk opplåsing av BitLocker-diskerDette gjelder spesielt for datastasjoner som er avhengige av systemstasjonen. Når noe endres under oppstart, kan denne automatiserte opplåsingsprosessen sette seg fast og tvinge frem gjenoppretting.

Til Se gjennom denne innstillingen Fra Windows (når du har logget inn):

  1. Åpne Kontrollpanel klassisk.
  2. Ir a System og sikkerhet > BitLocker-stasjonskryptering.
  3. Finn den aktuelle enheten og bruk alternativet Deaktiver automatisk opplåsing.

Ved å gå tilbake til mer manuell administrasjon av den krypterte stasjonen, forhindrer du vanligvis at BitLocker blir forvekslet med legitimasjonsbeskrivelser eller tilstander arvet fra tidligere oppstartstider.

5. Oppdater produsentens BIOS/UEFI

En utdatert BIOS eller UEFI kan ha feil i måten oppstart måles på og i støtten til TPM/Secure BootDette kan igjen utløse BitLocker-gjenoppretting. I slike tilfeller er det vanligvis lurt å installere den nyeste fastvareversjonen, forutsatt at du først suspenderer BitLocker.

El generell prosess som oftest:

  1. Besøk produsentens supportnettsted (Dell, Asus, HP, osv.).
  2. Finn modellen din og skriv inn seksjonen BIOS- og fastvarenedlastinger.
  3. Last ned den nyeste stabile BIOS-versjonen.
  4. Pakk ut filen og kopier den til en USB formatert i FAT32, hvis hovedkortet ditt bruker BIOS Flashback eller en lignende metode.
  5. Med PC-en slått av, men tilkoblet strøm, setter du USB-en inn i BIOS-spesifikk port (hvis den finnes).
  6. trykk på knappen BIOS-tilbakeblikk og vent til prosessen er ferdig (lampen slutter å blinke).

Det er avgjørende at denne typen oppdatering blir gjort med BitLocker tidligere suspendertslik at fastvareendringen ikke tolkes som et angrep og tvinger brukeren til å taste inn nøkkelen ved hver påfølgende oppstart.

6. Aktiver sikker oppstart på nytt eller gjenopprett den til fabrikkinnstillinger

Hvis problemet oppsto ved å deaktivere sikker oppstart for å starte Ubuntu fra en USB-stasjon (eller et annet system), er det vanligvis lurt å gjøre det du måtte gjøre når du er ferdig med det du måtte gjøre... Aktiver sikker oppstart og gjenopprettingsnøkler på nyttDette hjelper TPM med å måle et kjent miljø på nytt og reduserer behovet for gjenoppretting.

Hvis Sikker oppstart vises nedtonet og du ikke kan aktivere den, må du i mange BIOS-er:

  • Aktiver Sikker oppstartskontroll og start på nytt.
  • gå inn Nøkkeladministrasjon og bruk Tilbakestill til oppsettmodus å rense databasene.
  • Velg deretter Gjenopprett fabrikknøkler o Installer standard sikre oppstartsnøkler.
  • Lagre og avslutt; statusen for sikker oppstart vil bli oppdatert etter omstart.

I noen stasjonære modeller er det også nødvendig å etablere Sikker oppstartsmodus i «Tilpasset» før du rengjør og setter tastene på plass igjen. Det endelige målet er at datamaskinen igjen skal ha et gyldig sett med nøkler som tillat verifisering av den signerte oppstarten.

7. Fjern midlertidig beskyttelsesdekselene for oppstartsstasjonen (Surface og lignende)

I ekstreme tilfeller, som for eksempel noen Surface-enheter som har blitt låst etter en TPM- eller UEFI-oppdatering, foreslår Microsoft en løsning basert på bruk av en USB-stasjon for overflategjenoppretting og BitLocker-nøkkelen for å fjerne systemdiskbeskytterne.

  1. BitLocker-gjenopprettingsnøkkel fra Microsoft-kontoen eller via administratoren (MBAM, Intune osv.).
  2. Last ned på en annen PC Overflategjenopprettingsbilde fra det offisielle nettstedet og opprett en USB-gjenopprettingsstasjon.
  3. Start Surface-enheten fra den USB-en.
  4. Velg språk og tastaturoppsett.
  5. Ir a Feilsøking > Avanserte alternativer > Ledetekst.
  6. Løpe:
    manage-bde -unlock C: -recoverypassword CLAVE
    manage-bde -protectors -disable C:
  7. Start enheten på nytt, og skriv inn gjenopprettingsnøkkelen på nytt når du blir bedt om det.

Med dette skal laget kunne å starte uten å bli sittende fast i gjenopprettingssløyfenBitLocker og beskytterne kan konfigureres på nytt senere på en kontrollert måte.

8. Gjenopprett data og installer Windows på nytt som en siste utvei

Hvis du ikke får systemet til å starte stabilt selv med gjenopprettingsnøkkelen, eller hvis Windows-installasjonen er ødelagt, finnes det alltid muligheten til å redde dataene og installere på nytt fra bunnen avFor å gjenopprette dataene trenger du imidlertid BitLocker-nøkkelen; ellers er krypteringen praktisk talt ubrytelig.

Un typisk strømning ville:

  1. Hent gjenopprettingsnøkkel.
  2. Lag en Windows-gjenoppretting eller installasjons-USB-stasjon.
  3. Start opp fra USB og åpne Kommandoprompt.
  4. Lås opp den krypterte stasjonen:
    manage-bde -unlock C: -recoverypassword CLAVE
  5. Bruk kommandoer som kopiere o xcopy for å kopiere dataene dine til en annen ekstern disk.
  6. Når dataene er lagret, formaterer du harddisken og installer Windows på nytt fra selve assistenten.

Det finnes verktøy for datagjenoppretting (som Recoverit og lignende) som kan hjelpe deg etter formatering, men effektiviteten deres er svært begrenset hvis Du kjenner ikke BitLocker-nøkkelen dinDen virkelig avgjørende faktoren for å lagre informasjonen er å ha lagret nøkkelen i tide.

Hele denne kombinasjonen av BitLocker, sikker oppstart, TPM og moderne BIOS er utformet for å forhindre at en angriper leser harddisken din, selv med fysisk tilgang til datamaskinen. Baksiden er at hvis du tukler med oppstartsprosessen uten å forberede den eller vite hvor gjenopprettingsnøkkelen din er, kan du ende opp med å være den som er låst ute av dine egne data, så det er verdt å ta dette på alvor. Oppbevar den nøkkelen trygt..

Relatert artikkel:
Finn Bitlocker gjenopprettingsnøkkel