Bildschirm zur Wiederherstellung vor dem BitLocker-Vorstart

Während der BitLocker-Wiederherstellung ist der Bildschirm für die Wiederherstellung vor dem Start ein wichtiger Touchpoint für Benutzer und bietet eine benutzerdefinierte Wiederherstellungsnachricht, die auf die Anforderungen der Organisation zugeschnitten ist, eine direkte Wiederherstellungs-URL für zusätzliche Unterstützung und strategische Hinweise, um Benutzer bei der Suche nach ihrem Wiederherstellungsschlüssel zu unterstützen.

In diesem Artikel werden die verschiedenen Elemente erläutert, die auf dem Bildschirm für die Wiederherstellung vor dem Start angezeigt werden, und es wird beschrieben, wie Richtlinieneinstellungen und der Status von Wiederherstellungsschlüsseln die angezeigten Informationen beeinflussen. Unabhängig davon, ob es sich um eine personalisierte Nachricht oder eine praktische Anleitung handelt, ist der Bildschirm für die Wiederherstellung vor dem Start darauf ausgelegt, den Wiederherstellungsprozess für Benutzer zu optimieren.

Standardbildschirm für die Wiederherstellung vor dem Start

Standardmäßig werden auf dem BitLocker-Wiederherstellungsbildschirm eine generische Meldung und die URL https://aka.ms/recoverykeyfaqangezeigt.

Benutzerdefinierte Wiederherstellungsnachricht

Mit BitLocker-Richtlinieneinstellungen können Sie eine benutzerdefinierte Wiederherstellungsnachricht und eine URL auf dem BitLocker-Bildschirm für die Wiederherstellung vor dem Start konfigurieren. Die benutzerdefinierte Wiederherstellungsnachricht und DIE URL können die Adresse des BitLocker-Self-Service-Wiederherstellungsportals, die interne IT-Website oder eine Telefonnummer für den Support enthalten.

BitLocker-Richtlinieneinstellungen, die mit einer benutzerdefinierten Wiederherstellungsnachricht konfiguriert sind.

BitLocker-Richtlinieneinstellungen, die mit einer benutzerdefinierten Wiederherstellungs-URL konfiguriert sind.

Weitere Informationen zum Konfigurieren einer benutzerdefinierten Wiederherstellungsnachricht mit Richtlinieneinstellungen finden Sie unter Konfigurieren einer Preboot-Wiederherstellungsnachricht und -URL.

Hinweise zum Wiederherstellungsschlüssel

BitLocker-Metadaten enthalten Informationen dazu, wann und wo ein BitLocker-Wiederherstellungsschlüssel gespeichert wurde. Diese Informationen werden nicht über die Benutzeroberfläche oder eine öffentliche API verfügbar gemacht. Es wird ausschließlich vom BitLocker-Wiederherstellungsbildschirm in Form von Hinweisen verwendet, um einem Benutzer zu helfen, den Wiederherstellungsschlüssel eines Volumes zu finden. Hinweise werden auf dem Wiederherstellungsbildschirm angezeigt und beziehen sich auf den Speicherort, an dem der Schlüssel gespeichert wurde. Die Hinweise gelten sowohl für den Wiederherstellungsbildschirm des Start-Managers als auch für den WinRE-Entsperrungsbildschirm.

Es gibt Regeln, welche Hinweise während der Wiederherstellung angezeigt werden (in der Reihenfolge der Verarbeitung):

  1. Benutzerdefinierte Wiederherstellungsmeldung immer anzeigen, wenn sie über Richtlinieneinstellungen konfiguriert sind
  2. Immer generischen Hinweis anzeigen: Weitere Informationen findest du https://aka.ms/recoverykeyfaqunter
  3. Wenn mehrere Wiederherstellungsschlüssel auf dem Volume vorhanden sind, priorisieren Sie den zuletzt erstellten (und erfolgreich gesicherten) Wiederherstellungsschlüssel.
  4. Priorisieren von Schlüsseln mit erfolgreicher Sicherung gegenüber Schlüsseln, die noch nie gesichert wurden
  5. Priorisieren Sie Sicherungshinweise in der folgenden Reihenfolge für Remotesicherungsspeicherorte:
    • Microsoft-Konto
    • Microsoft Entra ID
    • Active Directory
  6. Wenn ein Schlüssel gedruckt und in einer Datei gespeichert wurde, zeigen Sie anstelle von zwei separaten Hinweisen einen kombinierten Hinweis an. Suchen Sie nach einem Ausdruck oder einer Textdatei mit dem Schlüssel.
  7. Wenn mehrere Sicherungen desselben Typs (entfernen oder lokal) für denselben Wiederherstellungsschlüssel durchgeführt wurden, priorisieren Sie die Sicherungsinformationen mit dem letzten Sicherungsdatum.
  8. Es gibt keinen spezifischen Hinweis für Schlüssel, die in einem lokalen Active Directory gespeichert sind. In diesem Fall wird eine benutzerdefinierte Nachricht (sofern konfiguriert) oder eine generische Nachricht angezeigt, den Helpdesk Ihrer Organisation kontaktieren.
  9. Wenn zwei Wiederherstellungsschlüssel vorhanden und nur einer gesichert ist, fragt das System nach dem gesicherten Schlüssel, auch wenn der andere Schlüssel neuer ist.

Beispiel: Einzelnes Wiederherstellungskennwort, das in einer Datei und einer einzelnen Sicherung gespeichert wird

In diesem Szenario wird das Wiederherstellungskennwort in einer Datei gespeichert.

Wichtig

Es wird nicht empfohlen, Wiederherstellungsschlüssel zu drucken oder in einer Datei zu speichern. Verwenden Sie stattdessen ein Microsoft-Konto, eine Microsoft Entra-ID oder eine Active Directory-Sicherung.

Beispiel: einzelnes Wiederherstellungskennwort für Ein Microsoft-Konto und einzelne Sicherung

In diesem Szenario wird eine benutzerdefinierte URL konfiguriert. Das Wiederherstellungskennwort lautet:

  • Im Microsoft-Konto gespeichert
  • nicht gedruckt
  • nicht in einer Datei gespeichert

Ergebnis: Die Hinweise für die benutzerdefinierte URL und das Microsoft-Konto (https://aka.ms/myrecoverykey) werden angezeigt.

Ab Windows 11, Version 24H2, enthält der BitLocker-Bildschirm für die Wiederherstellung vor dem Start den Hinweis microsoft-Konto (MSA), wenn das Wiederherstellungskennwort in einem MSA gespeichert wird. Dieser Hinweis hilft dem Benutzer zu verstehen, welches MSA-Konto zum Speichern von Wiederherstellungsschlüsselinformationen verwendet wurde.

Beispiel: einzelnes Wiederherstellungskennwort in AD DS und einzelne Sicherung

In diesem Szenario wird eine benutzerdefinierte URL konfiguriert. Das Wiederherstellungskennwort lautet:

  • In Active Directory gespeichert
  • nicht gedruckt
  • nicht in einer Datei gespeichert

Ergebnis: Es wird nur die benutzerdefinierte URL angezeigt.

Beispiel: einzelnes Wiederherstellungskennwort mit mehreren Sicherungen

In diesem Szenario lautet das Wiederherstellungskennwort wie folgt:

  • Im Microsoft-Konto gespeichert
  • In Microsoft Entra ID gespeichert
  • gedruckt
  • In Datei gespeichert

Ergebnis: Nur der Microsoft-Kontohinweis (https://aka.ms/myrecoverykey) wird angezeigt.

Beispiel: Mehrere Wiederherstellungskennwörter mit sicherung

In diesem Szenario gibt es zwei Wiederherstellungskennwörter.

Das Wiederherstellungskennwort Nr. 1 lautet:

  • In Datei gespeichert
  • Erstellungszeit: 13:00 Uhr
  • Schlüssel-ID: 4290B6C0-B17A-497A-8552-272CC30E80D4

Das Wiederherstellungskennwort Nr. 2 lautet:

  • nicht gesichert
  • Erstellungszeit: 15:00 Uhr
  • Schlüssel-ID: 045219EC-A53B-41AE-B310-08EC883AAEDD

Ergebnis: Es wird nur der Hinweis für den erfolgreich gesicherten Schlüssel angezeigt, auch wenn es sich nicht um den letzten Schlüssel handelt.

Beispiel: mehrere Wiederherstellungskennwörter mit mehreren Sicherungen

In diesem Szenario gibt es zwei Wiederherstellungskennwörter.

Das Wiederherstellungskennwort Nr. 1 lautet:

  • Im Microsoft-Konto gespeichert
  • In Microsoft Entra ID gespeichert
  • Erstellungszeit: 13:00 Uhr
  • Schlüssel-ID: 4290B6C0-B17A-497A-8552-272CC30E80D4

Das Wiederherstellungskennwort Nr. 2 lautet:

  • In Microsoft Entra ID gespeichert
  • Erstellungszeit: 15:00 Uhr
  • Schlüssel-ID: 045219EC-A53B-41AE-B310-08EC883AAEDD

Ergebnis: Der Microsoft Entra ID-Hinweis (https://aka.ms/aadrecoverykey), bei dem es sich um den zuletzt gespeicherten Schlüssel handelt, wird angezeigt.

Bildschirm "Zusätzliche Wiederherstellungsinformationen"

Ab Windows 11, Version 24H2, verbessert der BitLocker-Bildschirm für die Wiederherstellung vor dem Start die Informationen zu Wiederherstellungsfehlern. Der Wiederherstellungsbildschirm enthält ausführlichere Informationen über die Art des Wiederherstellungsfehlers, damit Benutzer das Problem besser verstehen und beheben können.

Benutzer haben die Möglichkeit, zusätzliche Informationen zum Wiederherstellungsfehler zu überprüfen, indem sie die ALT-TASTE drücken.

Der Bildschirm Zusätzliche Wiederherstellungsinformationen enthält eine Fehlerkategorie und einen Code, mit dem Sie weitere Details aus dem nächsten Abschnitt dieses Artikels abrufen können.

In den nächsten Abschnitten werden die Codes für jede BitLocker-Fehlerkategorie beschrieben. In jedem Abschnitt befindet sich eine Tabelle mit der Fehlermeldung, die auf dem Wiederherstellungsbildschirm angezeigt wird, und der Ursache des Fehlers. Einige Tabellen enthalten eine mögliche Auflösung.

Die Fehlerkategorien sind:

Vom Benutzer initiiert

Fehlercode Fehlerursache Lösung
E_FVE_USER_REQUESTED_RECOVERY Der Benutzer ist über einen Bildschirm mit der Option zum ESC Wiederherstellungsmodus explizit in den Wiederherstellungsmodus gewechselt.
E_FVE_BOOT_DEBUG_ENABLED Der Startdebugmodus ist aktiviert. Entfernen Sie die Startdebuggingoption aus der Startkonfigurationsdatenbank.

Codeintegrität

Die Treibersignaturerzwingung wird verwendet, um die Codeintegrität des Betriebssystems sicherzustellen.

Fehlercode Fehlerursache
E_FVE_CI_DISABLED Die Erzwingung von Treibersignaturen ist deaktiviert.

Gerätesperrung

Mit der Gerätesperrschwellenfunktion kann ein Administrator die Windows-Anmeldung mit BitLocker-Schutz konfigurieren. Nach der konfigurierten Anzahl von fehlgeschlagenen Windows-Anmeldeversuchen wird das Gerät neu gestartet und kann nur mithilfe einer BitLocker-Wiederherstellungsmethode wiederhergestellt werden.

Um diese Funktionalität nutzen zu können, müssen Sie die Richtlinieneinstellung Interaktive Anmeldung: Schwellenwert für computerkontosperren unter Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Sicherheitsoptionen konfigurieren. Alternativ können Sie die Exchange ActiveSync-RichtlinieneinstellungMaxFailedPasswordAttempts oder deviceLock Configuration Service Provider (CSP) verwenden.

Fehlercode Fehlerursache Lösung
E_FVE_DEVICE_LOCKEDOUT Die Gerätesperre wurde aufgrund zu vieler falscher Anmeldeversuche ausgelöst. Eine BitLocker-Wiederherstellungsmethode ist erforderlich, um zum Anmeldebildschirm zurückzukehren.
E_FVE_DEVICE_LOCKOUT_MISMATCH Der Zähler für die Gerätesperrung ist nicht synchron. Eine BitLocker-Wiederherstellungsmethode ist erforderlich, um zum Anmeldebildschirm zurückzukehren.

Startkonfiguration

Die Startkonfigurationsdatenbank (Boot Configuration Database, BCD) enthält wichtige Informationen für die Windows-Startumgebung.

Fehlercode Fehlerursache Lösung
E_FVE_BAD_CODE_ID

E_FVE_BAD_CODE_OPTION
BitLocker hat den Wiederherstellungsmodus aktiviert, weil sich eine Startanwendung geändert hat.
BitLocker verfolgt die Daten in der BCD nach, und die BitLocker-Wiederherstellung kann erfolgen, wenn sich diese Daten ohne Warnung ändern.

Auf dem Wiederherstellungsbildschirm finden Sie die geänderte Startanwendung.
Stellen Sie die BCD-Konfiguration wieder her, um dieses Problem zu beheben. Eine BitLocker-Wiederherstellungsmethode ist erforderlich, um das Gerät zu entsperren, wenn die BCD-Konfiguration vor dem Start nicht wiederhergestellt werden kann.

Weitere Informationen finden Sie unter Einstellungen für Startkonfigurationsdaten und BitLocker.

TPM

Das Trusted Platform Module (TPM) ist kryptografische Hardware oder Firmware, die zum Schützen eines Geräts verwendet wird. BitLocker erstellt eine TPM-Schutzvorrichtung , um den Schutz der Verschlüsselungsschlüssel zu verwalten, die zum Verschlüsseln Ihrer Daten verwendet werden.

Beim Start versucht BitLocker, mit dem TPM zu kommunizieren, um das Gerät zu entsperren und auf Ihre Daten zuzugreifen.

Fehlercode Fehlerursache
E_FVE_TPM_DISABLED Ein TPM ist vorhanden, aber für die Verwendung vor oder während des Starts deaktiviert.
E_FVE_TPM_INVALIDATED Ein TPM ist vorhanden, aber ungültig.
E_FVE_BAD_SRK Der interne Speicherstammschlüssel des TPM ist beschädigt.
E_FVE_TPM_NOT_DETECTED Das Startsystem verfügt nicht über ein TPM oder erkennt es nicht.
E_MATCHING_PCRS_TPM_FAILURE Beim Aufheben der Versiegelung des Verschlüsselungsschlüssels ist das TPM unerwartet fehlgeschlagen.
E_FVE_TPM_FAILURE Catch-All für andere TPM-Fehler.

Weitere Informationen finden Sie unter Trusted Platform Module Technology Overview und BitLocker and TPM.For more information, see Trusted Platform Module Technology Overview and BitLocker and TPM.For more information, see Trusted Platform Module Technology Overview and BitLocker and TPM.

Beschützer

TPM-Schutzvorrichtungen

Das TPM enthält mehrere Plattformkonfigurationsregister (Platform Configuration Registers, PCRs), die im Validierungsprofil der BitLocker TPM-Schutzvorrichtung verwendet werden können. Die PCRs werden verwendet, um die Integrität des Startvorgangs zu überprüfen, d. h., dass die Startkonfiguration und der Startflow nicht manipuliert wurden.

Die BitLocker-Wiederherstellung kann das Ergebnis unerwarteter Änderungen an den PCRs sein, die im TPM-Schutzüberprüfungsprofil verwendet werden. Änderungen an PCRs, die nicht im TPM-Schutzprofil verwendet werden, wirken sich nicht auf BitLocker aus.

Fehlercode Fehlerursache Lösung
E_FVE_PCR_MISMATCH Die Konfiguration des Geräts wurde geändert.

Mögliche Ursachen:
– Ein startbares Medium wird eingefügt. Wenn Sie es entfernen und Ihr Gerät neu starten, kann dieses Problem möglicherweise behoben werden.
– Ein Firmwareupdate wurde ohne Aktualisierung der TPM-Schutzvorrichtung angewendet.
Zum Entsperren des Geräts ist eine Wiederherstellungsmethode erforderlich.

Weitere Beispiele finden Sie unter BitLocker-Wiederherstellungsszenarien.

Sonderfälle für PCR 7

Wenn die TPM-Schutzvorrichtung PCR 7 im Validierungsprofil verwendet, erwartet BitLocker, dass PCR 7 einen bestimmten Satz von Ereignissen für den sicheren Start misst. Diese Messungen sind in der UEFI-Spezifikation definiert. Weitere Informationen finden Sie unter Statische Stammvertrauensmessungen.

Fehlercode Fehlerursache Lösung
E_FVE_SECUREBOOT_DISABLED Sicherer Start wurde deaktiviert. BitLocker erwartet, dass der sichere Start aktiviert ist, um auf den Verschlüsselungsschlüssel zuzugreifen und Ihr Gerät zu entsperren. Das erneute Aktivieren des sicheren Starts und das Neustarten des Systems kann das Wiederherstellungsproblem beheben. Andernfalls ist für den Zugriff auf das Gerät eine Wiederherstellungsmethode erforderlich.
E_FVE_SECUREBOOT_CHANGED Die Konfiguration für den sicheren Start wurde unerwartet geändert. Die in PCR 7 gemessene Startkonfiguration wurde geändert.
Dies kann auf folgendes zurückzuführen sein:
– Eine zusätzliche Messung, die derzeit nicht vorhanden war, als BitLocker die TPM-Schutzvorrichtung aktualisiert hat
– Eine fehlende Messung, die vorhanden war, als BitLocker die TPM-Schutzvorrichtung zuletzt aktualisiert hat, jetzt aber nicht vorhanden ist
- Ein erwartetes Ereignis weist eine andere Messung auf.
Zum Entsperren des Geräts ist eine Wiederherstellungsmethode erforderlich.

Unknown

Fehlercode Fehlerursache Lösung
E_FVE_RECOVERY_ERROR_UNKNOWN BitLocker ist aufgrund eines unbekannten Fehlers in den Wiederherstellungsmodus gewechselt. Zum Entsperren des Geräts ist eine Wiederherstellungsmethode erforderlich.