Ripristino di BitLocker: problemi noti

Questo articolo descrive i problemi comuni che potrebbero impedire a BitLocker di comportarsi come previsto quando un'unità viene ripristinata o che può causare l'avvio imprevisto del ripristino di BitLocker. L'articolo fornisce anche indicazioni per risolvere questi problemi.

Per altre informazioni sulla crittografia dei dispositivi, vedere Requisiti hardware di crittografia automatica dei dispositivi BitLocker.

Windows richiede una password di ripristino di BitLocker non esistente

Windows richiede una password di ripristino di BitLocker. Tuttavia, non è stata configurata una password di ripristino di BitLocker.

Risoluzione per Windows richiede una password di ripristino di BitLocker non esistente

Le domande frequenti su BitLocker e Dominio di Active Directory Services (AD DS) risolvono situazioni che possono produrre questo sintomo e forniscono informazioni sulla procedura per risolvere il problema:

• Cosa accade se BitLocker è abilitato in un computer prima che il computer unisce il dominio?

• Cosa succede se il backup inizialmente non riesce? BitLocker riprova?

La password di ripristino per un portatile non è stata sottoposta a backup e il portatile è bloccato

Prendi in considerazione lo scenario seguente:

Il disco rigido di un portatile Windows 11 o Windows 10 deve essere recuperato. Il disco è stato crittografato tramite Crittografia driver BitLocker. Tuttavia, la password di ripristino di BitLocker non è stata sottoposta a backup e il solito utente del portatile non è disponibile per fornire la password.

La risoluzione per la password di ripristino per un portatile non è stata sottoposta a backup

È possibile utilizzare uno dei metodi seguenti per eseguire manualmente il backup o sincronizzare le informazioni di ripristino esistenti di un client online:

• Creare uno script di Strumentazione gestione Windows (WMI) che esegue il backup delle informazioni. Per altre informazioni, vedere Provider di crittografia unità BitLocker.

• In una finestra del prompt dei comandi con privilegi elevati usare il comando manage-bde.exe per eseguire il backup delle informazioni.

  Ad esempio, per eseguire il backup di tutte le informazioni di ripristino per l'unità C: in Servizi di dominio Active Directory, aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

  cmd manage-bde.exe -protectors -adbackup C:

I dispositivi tablet non supportano l'uso manage-bde.exe -forcerecovery di per testare la modalità di ripristino

Prendi in considerazione lo scenario seguente:

Il ripristino di BitLocker deve essere testato in un tablet o in un dispositivo ardesia eseguendo il comando seguente:

cmd manage-bde.exe -forcerecovery

Tuttavia, dopo aver immesso la password di ripristino, il dispositivo non può avviarsi.

Causa di dispositivi tablet non supportano l'uso manage-bde.exe -forcerecovery di per testare la modalità di ripristino

Questo problema si verifica perché Windows Boot Manager non è in grado di elaborare l'input tocco durante la fase di preavvio dell'avvio. Se Boot Manager rileva che il dispositivo è un tablet, reindirizza il processo di avvio all'ambiente di ripristino di Windows (WinRE), che può elaborare l'input tocco.

Se WindowsRE rileva la protezione TPM sul disco rigido, esegue una reinizialità PCR. Tuttavia, il manage-bde.exe -forcerecovery comando elimina le protezioni TPM sul disco rigido. Di conseguenza, WinRE non può eseguire di nuovo la reinizialità dei PCR. Questo errore attiva un ciclo di ripristino BitLocker infinito e impedisce l'avvio di Windows.

Questo comportamento è per impostazione predefinita per tutte le versioni di Windows.

Soluzione alternativa per i dispositivi tablet non supportano l'uso manage-bde.exe -forcerecovery di per testare la modalità di ripristino

Per risolvere il ciclo di riavvio, seguire questa procedura:

1. Nella schermata Ripristino bitLocker selezionare Ignora questa unità.

2. Selezionare Risoluzione dei problemi del>prompt dei comandi delle opzioni>avanzate.

3. Nella finestra del prompt dei comandi eseguire i comandi seguenti:

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Chiudere la finestra del prompt dei comandi.

5. Arrestare il dispositivo.

6. Avviare il dispositivo. Windows dovrebbe iniziare come di consueto.

Dopo aver installato gli aggiornamenti del firmware UEFI o TPM in Surface, BitLocker richiede la password di ripristino

Prendi in considerazione lo scenario seguente:

Per un dispositivo Surface è attivata la crittografia unità BitLocker. Il firmware del TPM di Surface viene aggiornato o viene installato un aggiornamento che modifica la firma del firmware di sistema. Ad esempio, viene installato l'aggiornamento di Surface TPM (IFX).

Si verificano uno o più dei sintomi seguenti nel dispositivo Surface:

• All'avvio, il dispositivo Surface richiede una password di ripristino di BitLocker. La password di ripristino corretta viene immessa, ma Windows non viene avviato.

• L'avvio passa direttamente alle impostazioni UEFI (Unified Extensible Firmware Interface) del dispositivo Surface.

• Il dispositivo Surface sembra essere in un ciclo di riavvio infinito.

Causa di dopo l'installazione degli aggiornamenti del firmware UEFI o TPM in Surface, BitLocker richiede la password di ripristino

Questo problema si verifica se il TPM del dispositivo Surface è configurato per l'uso di valori PCR (Platform Configuration Register) diversi dai valori predefiniti di PCR 7 e PCR 11. Ad esempio, le impostazioni seguenti possono configurare il TPM in questo modo:

• L'avvio protetto è disattivato.
• I valori PCR sono stati definiti in modo esplicito, ad esempio da Criteri di gruppo.

I dispositivi che supportano lo standby connesso (noto anche come InstantGO o Always On, ALWAYS Connected PC), inclusi i dispositivi Surface, devono usare PCR 7 del TPM. Nella configurazione predefinita in tali sistemi, BitLocker viene associato a PCR 7 e PCR 11 se PCR 7 e Avvio protetto sono configurati correttamente.

Risoluzione per dopo l'installazione degli aggiornamenti del firmware UEFI o TPM in Surface, BitLocker richiede la password di ripristino

Per verificare i valori PCR in uso in un dispositivo, aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

manage-bde.exe -protectors -get <OSDriveLetter>:

In questo comando <OSDriveLetter> rappresenta la lettera di unità dell'unità del sistema operativo.

Per risolvere il problema e ripristinare il dispositivo, seguire questa procedura:

Passaggio 1: Disabilitare le protezioni TPM nell'unità di avvio

Se è stato installato un aggiornamento TPM o UEFI e il dispositivo Surface non può avviarsi, anche se è stata immessa la password di ripristino BitLocker corretta, la possibilità di avviare può essere ripristinata usando la password di ripristino di BitLocker e un'immagine di ripristino di Surface per rimuovere le protezioni TPM dall'unità di avvio.

Per usare la password di ripristino di BitLocker e un'immagine di ripristino di Surface per rimuovere le protezioni TPM dall'unità di avvio, seguire questa procedura:

1. Ottenere la password di ripristino di BitLocker dall'account Microsoft.com dell'utente surface. Se BitLocker è gestito da un metodo diverso, ad esempio Microsoft BitLocker Administration and Monitoring (MBAM), Configuration Manager BitLocker Management o Intune, contattare l'amministratore per assistenza.

2. Usa un altro computer per scaricare l'immagine di ripristino di Surface da Surface Recovery Image Download. Usare l'immagine scaricata per creare un'unità di ripristino USB.

3. Inserire l'unità immagine di ripristino di Surface USB nel dispositivo Surface e avviare il dispositivo.

4. Quando richiesto, selezionare gli elementi seguenti:

   1. Lingua del sistema operativo.

   2. Layout della tastiera.

5. Selezionare Risoluzione dei problemi del>prompt dei comandi delle opzioni>avanzate.

6. Nella finestra del prompt dei comandi eseguire i comandi seguenti:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   dove:

   • <Password> è la password di ripristino di BitLocker ottenuta nel passaggio 1
   • <DriveLetter> è la lettera di unità assegnata all'unità del sistema operativo

   Note

   Per altre informazioni su come usare questo comando, vedere manage-bde unlock.

7. Riavviare il computer.

8. Quando richiesto, immettere la password di ripristino di BitLocker ottenuta nel passaggio 1.

Passaggio 2: Usare Surface BMR per ripristinare i dati e reimpostare il dispositivo Surface

Per ripristinare i dati dal dispositivo Surface se Windows non viene avviato, seguire i passaggi da 1 a 5 della sezione Passaggio 1: Disabilitare le protezioni TPM nell'unità di avvio per accedere a una finestra del prompt dei comandi. Dopo aver aperto una finestra del prompt dei comandi, seguire questa procedura:

1. Al prompt dei comandi eseguire il comando seguente:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   In questo comando Password <>è la password di ripristino di BitLocker ottenuta nel passaggio 1 della sezione Passaggio 1: Disabilitare le protezioni TPM nell'unità di avvio e< DriveLetter> è la lettera di unità assegnata all'unità del sistema operativo.

2. Dopo che l'unità è stata sbloccata, usare il copy comando o xcopy.exe per copiare i dati utente in un'altra unità.

   Note

   Per altre informazioni su questi comandi, vedere l'articolo Comandi di Windows.

3. Per reimpostare il dispositivo usando un'immagine di ripristino di Surface, seguire le istruzioni riportate nell'articolo Creazione e uso di un'unità di ripristino USB per Surface.

Passaggio 3: Ripristinare i valori PCR predefiniti

Per evitare che questo problema venga ricorrente, è consigliabile ripristinare la configurazione predefinita di Avvio protetto e i valori PCR.

Per abilitare l'avvio protetto in un dispositivo Surface, seguire questa procedura:

1. Sospendere BitLocker aprendo una finestra di Windows PowerShell con privilegi elevati ed eseguendo il cmdlet di PowerShell seguente:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In questo comando <DriveLetter> è la lettera assegnata all'unità.

2. Riavviare il dispositivo e quindi modificare le impostazioni UEFI per impostare l'opzione Avvio protetto solo su Microsoft.

3. Riavviare il dispositivo e accedere a Windows.

4. Aprire una finestra di PowerShell con privilegi elevati ed eseguire il cmdlet di PowerShell seguente:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Per reimpostare le impostazioni pcr nel TPM, seguire questa procedura:

1. Disabilitare gli oggetti Criteri di gruppo che configurano le impostazioni pcr o rimuovere il dispositivo da tutti i gruppi che applicano tali criteri.

   Per altre informazioni, vedere Impostazioni di Criteri di gruppo di BitLocker.

2. Sospendere BitLocker aprendo una finestra di Windows PowerShell con privilegi elevati ed eseguendo il cmdlet di PowerShell seguente:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In questo comando <DriveLetter> è la lettera assegnata all'unità.

3. Eseguire i cmdlet di PowerShell seguenti:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Passaggio 4: Sospendere BitLocker durante gli aggiornamenti del firmware TPM o UEFI

È possibile evitare questo scenario durante l'installazione degli aggiornamenti al firmware di sistema o al firmware TPM sospendendo temporaneamente BitLocker prima di applicare tali aggiornamenti.

Per sospendere BitLocker durante l'installazione degli aggiornamenti del firmware TPM o UEFI:

1. Aprire una finestra di Windows PowerShell con privilegi elevati ed eseguire il cmdlet di PowerShell seguente:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   In questo cmdlet <di PowerShell DriveLetter> è la lettera assegnata all'unità.

2. Installare gli aggiornamenti del driver e del firmware del dispositivo Surface.

3. Dopo aver installato gli aggiornamenti del firmware, riavviare il computer, aprire una finestra di PowerShell con privilegi elevati e quindi eseguire il cmdlet di PowerShell seguente:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Credential Guard/Device Guard in TPM 1.2: a ogni riavvio, BitLocker richiede la password di ripristino e restituisce l'errore 0xC0210000

Prendi in considerazione lo scenario seguente:

Un dispositivo usa TPM 1.2 ed esegue Windows 10 versione 1809. Il dispositivo usa anche funzionalità di sicurezza basate su virtualizzazione, ad esempio Device Guard e Credential Guard. Ogni volta che il dispositivo viene avviato, il dispositivo passa alla modalità di ripristino di BitLocker e viene visualizzato un messaggio di errore simile al seguente:

Ripristino

Il PC/dispositivo deve essere riparato. Non è stato possibile accedere a un file obbligatorio perché la chiave BitLocker non è stata caricata correttamente.

Codice di errore 0xc0210000

Sarà necessario usare gli strumenti di ripristino. Se non hai supporti di installazione (ad esempio un disco o un dispositivo USB), contatta l'amministratore del PC o il produttore del PC/dispositivo.

Causa di Credential Guard/Device Guard in TPM 1.2: a ogni riavvio BitLocker richiede la password di ripristino e restituisce l'errore 0xC0210000

TPM 1.2 non supporta l'avvio protetto. Per altre informazioni, vedere Protezione del sistema protezione da avvio sicuro e protezione SMM: Requisiti soddisfatti da Protezione del sistema Computer abilitati

Per altre informazioni su questa tecnologia, vedere Windows Defender Protezione del sistema: How a hardware-based root of trust helps protect Windows

Risoluzione per Credential Guard/Device Guard in TPM 1.2: a ogni riavvio, BitLocker richiede la password di ripristino e restituisce l'errore 0xC0210000

Per risolvere questo problema, usare una delle due soluzioni seguenti:

• Rimuovere qualsiasi dispositivo che usa TPM 1.2 da qualsiasi gruppo soggetto a oggetti Criteri di gruppo che applicano l'avvio protetto.
• Modificare l'oggetto Criteri di gruppo Attiva sicurezza basata su virtualizzazione per impostare Configurazione di avvio protetto su Disabilitato.