Экран восстановления перед загрузки BitLocker

Во время восстановления BitLocker экран восстановления предварительной загрузки является критической точкой для пользователей, предлагая пользовательское сообщение о восстановлении, адаптированное к потребностям организации, прямой URL-адрес восстановления для дополнительной поддержки и стратегические подсказки, которые помогут пользователям найти ключ восстановления.

В этой статье подробно рассматриваются различные элементы, отображаемые на экране восстановления перед загрузки, и подробно описано, как параметры политики и состояние ключей восстановления влияют на представленные сведения. Независимо от того, является ли это персонализированным сообщением или практическими рекомендациями, экран предварительного восстановления предназначен для упрощения процесса восстановления для пользователей.

Экран восстановления предварительной загрузки по умолчанию

По умолчанию на экране восстановления BitLocker отображается универсальное сообщение и URL-адрес https://aka.ms/recoverykeyfaq.

Настраиваемые сообщения о восстановлении

С помощью параметров политики BitLocker можно настроить пользовательское сообщение восстановления и URL-адрес на экране предварительной загрузки BitLocker. Пользовательское сообщение о восстановлении и URL-адрес могут включать адрес портала самостоятельного восстановления BitLocker, внутренний веб-сайт ИТ-службы или номер телефона для поддержки.

Параметры политики BitLocker, настроенные с пользовательским сообщением о восстановлении.

Параметры политики BitLocker, настроенные с пользовательским URL-адресом восстановления.

Дополнительные сведения о настройке настраиваемого сообщения восстановления с параметрами политики см. в разделе Настройка сообщения и URL-адреса для восстановления перед загрузкой.

Указания ключей восстановления

Метаданные BitLocker содержат сведения о том, когда и где был сохранен ключ восстановления BitLocker. Эти сведения не предоставляются через пользовательский интерфейс или любой общедоступный API. Он используется исключительно на экране восстановления BitLocker в виде подсказок, помогающих пользователю найти ключ восстановления тома. Подсказки отображаются на экране восстановления и ссылаются на расположение, в котором был сохранен ключ. Указания применяются как к экрану восстановления диспетчера загрузки, так и к экрану разблокировки WinRE.

Существуют правила, определяющие, какое указание отображается во время восстановления (в порядке обработки):

  1. Всегда отображать пользовательское сообщение восстановления, если настроено с помощью параметров политики
  2. Всегда отображать универсальное указание. Дополнительные сведения см. в разделе https://aka.ms/recoverykeyfaq
  3. Если в томе существует несколько ключей восстановления, определите приоритет последнего созданного (и успешно созданного резервного копирования) ключа восстановления.
  4. При успешном резервном копировании приоритеты ключей, резервные копии которых никогда не выполнялись
  5. Определение приоритетов для подсказок резервного копирования в следующем порядке для удаленных расположений резервного копирования:
    • Учетная запись Майкрософт
    • Идентификатор Microsoft Entra
    • Active Directory
  6. Если ключ был распечатан и сохранен в файл, вместо двух отдельных указаний отображается объединенная подсказка Поиск распечатки или текстового файла с ключом
  7. Если для одного и того же ключа восстановления было выполнено несколько резервных копий одного и того же типа (удаление и локальное), определите приоритет для сведений о резервном копировании с последней датой резервного копирования.
  8. Нет определенного указания для ключей, сохраненных в локальной службе Active Directory. В этом случае отображается пользовательское сообщение (если настроено) или универсальное сообщение " Обратитесь в службу поддержки вашей организации".
  9. Если есть два ключа восстановления и только один резервная копия, система запрашивает резервные копии ключа, даже если другой ключ является более новым.

Пример: один пароль восстановления, сохраненный в файле и одна резервная копия

В этом сценарии пароль восстановления сохраняется в файле.

Важно.

Не рекомендуется печатать ключи восстановления или сохранять их в файл. Вместо этого используйте учетную запись Майкрософт, Идентификатор Microsoft Entra или резервную копию Active Directory.

Пример: один пароль восстановления для учетной записи Майкрософт и одна резервная копия

В этом сценарии настраивается настраиваемый URL-адрес. Пароль восстановления:

  • сохранено в учетной записи Майкрософт
  • не печатается
  • не сохранено в файл

Результат: отображаются указания для пользовательского URL-адреса и учетной записи Майкрософт (https://aka.ms/myrecoverykey).

Начиная с Windows 11 версии 24H2, экран предварительной загрузки BitLocker включает указание учетной записи Майкрософт (MSA), если пароль восстановления сохранен в MSA. Это указание помогает пользователю понять, какая учетная запись MSA использовалась для хранения сведений о ключах восстановления.

Пример: один пароль восстановления в AD DS и одна резервная копия

В этом сценарии настраивается настраиваемый URL-адрес. Пароль восстановления:

  • сохранено в Active Directory
  • не печатается
  • не сохранено в файл

Результат: отображается только пользовательский URL-адрес.

Пример: один пароль восстановления с несколькими резервными копиями

В этом сценарии пароль восстановления:

  • сохранено в учетной записи Майкрософт
  • сохранен в идентификаторе Microsoft Entra
  • печатный
  • сохранено в файл

Результат: отображается только указание учетной записи Майкрософт (https://aka.ms/myrecoverykey).

Пример: несколько паролей восстановления с резервной копией sinlge

В этом сценарии существует два пароля восстановления.

Пароль восстановления No 1:

  • сохранено в файл
  • время создания: 13:00
  • идентификатор ключа: 4290B6C0-B17A-497A-8552-272CC30E80D4

Пароль восстановления No 2:

  • не создана резервная копия
  • время создания: 15:00
  • идентификатор ключа: 045219EC-A53B-41AE-B310-08EC883AAEDD

Результат: отображается только подсказка для успешно выполненного резервного копирования ключа, даже если она не является последним ключом.

Пример: несколько паролей восстановления с несколькими резервными копиями

В этом сценарии существует два пароля восстановления.

Пароль восстановления No 1:

  • Сохранено в учетной записи Майкрософт
  • Сохранено в идентификаторе Microsoft Entra
  • время создания: 13:00
  • идентификатор ключа: 4290B6C0-B17A-497A-8552-272CC30E80D4

Пароль восстановления No 2:

  • Сохранено в идентификаторе Microsoft Entra
  • время создания: 15:00
  • идентификатор ключа: 045219EC-A53B-41AE-B310-08EC883AAEDD

Результат: отображается подсказка идентификатора Microsoft Entra (https://aka.ms/aadrecoverykey), которая является последним сохраненным ключом.

Экран дополнительных сведений о восстановлении

Начиная с Windows 11 версии 24H2, экран предварительного восстановления BitLocker расширяет сведения об ошибке восстановления. На экране восстановления содержатся более подробные сведения о характере ошибки восстановления, что позволяет пользователям лучше понять и устранить проблему.

Пользователи могут просмотреть дополнительные сведения об ошибке восстановления, нажав клавишу ALT .

Экран Дополнительные сведения о восстановлении содержит категорию ошибок и код, который можно использовать для получения дополнительных сведений из следующего раздела этой статьи.

В следующих разделах описываются коды для каждой категории ошибок BitLocker. В каждом разделе есть таблица с сообщением об ошибке, отображаемым на экране восстановления, и причиной ошибки. Некоторые таблицы содержат возможное разрешение.

Категории ошибок:

Инициировано пользователем

Код ошибки Причина ошибки Разрешение
E_FVE_USER_REQUESTED_RECOVERY Пользователь явно вошел в режим восстановления с экрана с параметром ESC в режим восстановления.
E_FVE_BOOT_DEBUG_ENABLED Включен режим отладки загрузки. Удалите параметр отладки загрузки из базы данных конфигурации загрузки.

Целостность кода

Принудительное применение сигнатуры драйвера используется для обеспечения целостности кода операционной системы.

Код ошибки Причина ошибки
E_FVE_CI_DISABLED Принудительное применение подписи драйвера отключено.

Блокировка устройства

Функция порогового значения блокировки устройства позволяет администратору настроить вход в Windows с помощью защиты BitLocker. После настройки количества неудачных попыток входа в Windows устройство перезагружается, и его можно восстановить только с помощью метода восстановления BitLocker.

Чтобы воспользоваться преимуществами этой функции, необходимо настроить параметр политики Интерактивный вход: пороговое значение блокировки учетной записи компьютера, расположенное в разделе Конфигурация> компьютераПараметры>безопасности Параметры безопасности Локальные>политики>Параметры безопасности. Кроме того, используйте параметр политики Exchange ActiveSyncMaxFailedPasswordAttempts или поставщик службы конфигурации DeviceLock (CSP).

Код ошибки Причина ошибки Разрешение
E_FVE_DEVICE_LOCKEDOUT Блокировка устройства активируется из-за слишком большого количества попыток неправильного входа. Для возврата на экран входа требуется метод восстановления BitLocker.
E_FVE_DEVICE_LOCKOUT_MISMATCH Счетчик блокировки устройства не синхронизирован. Для возврата на экран входа требуется метод восстановления BitLocker.

Конфигурация загрузки

База данных конфигурации загрузки (BCD) содержит критически важные сведения для загрузочной среды Windows.

Код ошибки Причина ошибки Разрешение
E_FVE_BAD_CODE_ID

E_FVE_BAD_CODE_OPTION
BitLocker перешел в режим восстановления из-за изменения загрузочного приложения.
BitLocker отслеживает данные внутри BCD и восстановление BitLocker может произойти при изменении этих данных без предупреждения.

Перейдите на экран восстановления, чтобы найти загрузочное приложение, которое изменилось.
Чтобы устранить эту проблему, восстановите конфигурацию BCD. Для разблокировки устройства требуется метод восстановления BitLocker, если конфигурацию BCD не удается восстановить перед загрузкой.

Дополнительные сведения см. в разделах Параметры данных конфигурации загрузки и BitLocker.

Доверенный платформенный модуль

Доверенный платформенный модуль (TPM) — это криптографическое оборудование или встроенное ПО, используемое для защиты устройства. BitLocker создает предохранитель доверенного платформенного модуля для управления защитой ключей шифрования, используемых для шифрования данных.

При загрузке BitLocker пытается связаться с TPM, чтобы разблокировать устройство и получить доступ к данным.

Код ошибки Причина ошибки
E_FVE_TPM_DISABLED TPM присутствует, но отключен для использования до или во время загрузки.
E_FVE_TPM_INVALIDATED TPM присутствует, но недействителен.
E_FVE_BAD_SRK Внутренний корневой ключ хранилища доверенного платформенного модуля поврежден.
E_FVE_TPM_NOT_DETECTED Загрузочная система не имеет или не обнаруживает TPM.
E_MATCHING_PCRS_TPM_FAILURE TPM неожиданно завершился сбоем при расхвачении ключа шифрования.
E_FVE_TPM_FAILURE Все остальные ошибки доверенного платформенного платформенного модуля.

Дополнительные сведения см. в разделах Общие сведения о технологии доверенного платформенного модуля и BitLocker и TPM.

Протектор

Предохранители доверенного платформенного модуля

TPM содержит несколько регистров конфигурации платформы (PCR), которые можно использовать в профиле проверки средства защиты доверенного платформенного модуля BitLocker. PcR используются для проверки целостности процесса загрузки, то есть того, что конфигурация загрузки и поток загрузки не были изменены.

Восстановление BitLocker может быть результатом непредвиденных изменений в PCR, используемых в профиле проверки защиты доверенного платформенного модуля. Изменения в PCR, не используемые в профиле защиты доверенного платформенного модуля, не влияют на BitLocker.

Код ошибки Причина ошибки Разрешение
E_FVE_PCR_MISMATCH Конфигурация устройства изменилась.

Возможные причины:
— вставляется загрузочный носитель. Удаление и перезапуск устройства может устранить эту проблему
— обновление встроенного ПО было применено без обновления предохранителя доверенного платформенного модуля.
Для разблокировки устройства требуется метод восстановления.

Дополнительные примеры см. в статье Сценарии восстановления BitLocker.

Особые случаи для ПЦР 7

Если средство защиты доверенного платформенного модуля использует PCR 7 в профиле проверки, BitLocker ожидает, что PCR 7 будет измерять определенный набор событий для безопасной загрузки. Эти измерения определены в спецификации UEFI. Дополнительные сведения см. в разделе Статический корень измерений доверия.

Код ошибки Причина ошибки Разрешение
E_FVE_SECUREBOOT_DISABLED Безопасная загрузка отключена. Чтобы получить доступ к ключу шифрования и разблокировать устройство, BitLocker ожидает включения безопасной загрузки. Повторное включение безопасной загрузки и перезагрузка системы может устранить проблему восстановления. В противном случае для доступа к устройству требуется метод восстановления.
E_FVE_SECUREBOOT_CHANGED Конфигурация безопасной загрузки неожиданно изменилась. Конфигурация загрузки, измеренная в PCR 7, изменилась.
Это может быть вызвано следующими причинами:
— в настоящее время присутствует дополнительное измерение, которое не было при обновлении BitLocker предохранителя доверенного платформенного модуля.
— отсутствующее измерение, которое присутствовало при последнем обновлении предохранителя доверенного платформенного модуля BitLocker, но теперь отсутствует.
— ожидаемое событие имеет другое измерение.
Для разблокировки устройства требуется метод восстановления.

Unknown (неизвестно).

Код ошибки Причина ошибки Разрешение
E_FVE_RECOVERY_ERROR_UNKNOWN BitLocker перешел в режим восстановления из-за неизвестной ошибки. Для разблокировки устройства требуется метод восстановления.