BitLocker 預先啟動復原畫面
在 BitLocker 復原期間, 啟動前復原畫面 是使用者的重要觸控點,提供專為組織需求量身打造的自定義復原訊息、適用於其他支援的直接復原 URL,以及協助使用者尋找其修復密鑰的策略性提示。
本文深入探討在啟動前復原畫面上顯示的各種元素,詳細說明原則設定和修復密鑰的狀態如何影響所呈現的資訊。 無論是個人化訊息或實際指引,啟動前復原畫面的設計目的是要簡化用戶的復原程式
默認的啟動前復原畫面
根據預設,BitLocker 復原畫面會顯示一般訊息和 URL https://aka.ms/recoverykeyfaq。
自定義復原訊息
使用 BitLocker 原則設定,您可以在 BitLocker 預先啟動復原畫面上設定自定義修復訊息和 URL。 自定義修復訊息和 URL 可以包含 BitLocker 自助式復原入口網站的位址、IT 內部網站或支援電話號碼。
使用自定義復原訊息設定的 BitLocker 原則設定。
使用自定義復原 URL 設定的 BitLocker 原則設定。
如需如何使用原則設定設定自定義復原訊息的詳細資訊,請參閱設定 啟動前修復訊息和 URL。
修復金鑰提示
BitLocker 元數據包含儲存 BitLocker 修復金鑰的時間和位置的相關信息。 此資訊不會透過UI或任何公用 API 公開。 它只會由 BitLocker 復原畫面以提示的形式使用,以協助使用者找出磁碟區的修復密鑰。 提示會顯示在復原畫面上,並參考儲存金鑰的位置。 提示同時適用於開機管理員復原畫面和 WinRE 解除鎖定畫面。
有規則會根據處理) 的順序,在復原 (期間顯示哪個提示:
- 如果透過原則設定進行設定,則一律顯示自定義復原訊息
- 一律顯示泛型提示: 如需詳細資訊,請移至 https://aka.ms/recoverykeyfaq
- 如果磁碟區上存在多個修復密鑰,請優先處理最後建立的 (,並成功備份) 修復金鑰
- 將成功備份的金鑰優先於從未備份過的金鑰
- 依下列順序為遠端備份位置排定備份提示的優先順序:
- Microsoft 帳戶
- Microsoft Entra ID
- Active Directory
- 如果密鑰已列印並儲存至檔案,則會顯示合併的提示 尋找具有密鑰的列印輸出或文本檔,而不是兩個不同的提示
- 如果針對相同的修復金鑰 (移除與本機) 有多個相同類型的備份,請使用最新的備份日期來排定備份資訊的優先順序
- 沒有儲存至內部部署 Active Directory 之金鑰的特定提示。 在此情況下,如果已設定自定義訊息 () 或一般訊息 [連絡貴組織的技術支援中心] 隨即顯示
- 如果有兩個修復密鑰存在,而且只有一個已備份,系統會要求備份密鑰,即使另一個密鑰較新也一般
範例:儲存至檔案和單一備份的單一修復密碼
在此案例中,修復密碼會儲存至檔案
重要
不建議列印修復金鑰或將它們儲存至檔案。 請改用Microsoft帳戶、Microsoft Entra ID 或 Active Directory 備份。
範例:Microsoft帳戶和單一備份的單一復原密碼
在此案例中,會設定自定義URL。 修復密碼為:
- 儲存至Microsoft帳戶
- 未列印
- 未儲存至檔案
結果: 會顯示自定義 URL 的提示,以及 () https://aka.ms/myrecoverykey 的Microsoft帳戶。
從 Windows 11 版本 24H2 開始,如果復原密碼儲存至 MSA,BitLocker 啟動前復原畫面會包含 MSA) 提示 (Microsoft帳戶。 此提示可協助使用者瞭解用來儲存修復密鑰資訊的 MSA 帳戶。
範例:AD DS 和單一備份中的單一修復密碼
在此案例中,會設定自定義URL。 修復密碼為:
- 儲存至 Active Directory
- 未列印
- 未儲存至檔案
結果: 只會顯示自定義 URL。
範例:具有多個備份的單一復原密碼
在此案例中,修復密碼為:
- 儲存至Microsoft帳戶
- 儲存至 Microsoft Entra ID
- 印刷
- 儲存至檔案
結果: 只會顯示 () https://aka.ms/myrecoverykey Microsoft帳戶提示。
範例:具有 sinlge 備份的多個修復密碼
在此案例中,有兩個修復密碼。
修復密碼 #1 為:
- 儲存至檔案
- 建立時間: 下午 1 點
- 密鑰標識碼: 4290B6C0-B17A-497A-8552-272CC30E80D4
修復密碼 #2 為:
- 未備份
- 建立時間: 下午 3 點
- 密鑰標識碼: 045219EC-A53B-41AE-B310-08EC883AAEDD
結果: 只會顯示成功備份密鑰的提示,即使它不是最新的密鑰也一般。
範例:具有多個備份的多個復原密碼
在此案例中,有兩個修復密碼。
修復密碼 #1 為:
- 儲存至Microsoft帳戶
- 儲存至 Microsoft Entra ID
- 建立時間: 下午 1 點
- 密鑰標識碼: 4290B6C0-B17A-497A-8552-272CC30E80D4
修復密碼 #2 為:
- 儲存至 Microsoft Entra ID
- 建立時間: 下午 3 點
- 密鑰標識碼: 045219EC-A53B-41AE-B310-08EC883AAEDD
結果: 會顯示 () 的Microsoft Entra ID 提示 https://aka.ms/aadrecoverykey ,這是最近儲存的密鑰。
其他復原信息畫面
從 Windows 11 版本 24H2 開始,BitLocker 預先啟動復原畫面可增強復原錯誤資訊。 復原畫面提供有關復原錯誤本質的更詳細資訊,讓用戶能夠進一步瞭解並解決問題。
用戶可以選擇按 Alt 鍵來檢閱復原錯誤的其他資訊。
[ 其他復原資訊 ] 畫面包含 錯誤類別 和 程序代碼,您可以使用這些類別和程式代碼,從本文的下一節擷取更多詳細數據。
下一節說明每個 BitLocker 錯誤類別目錄的程式代碼。 在每個區段中,都有一個數據表,其中顯示在復原畫面上的錯誤訊息,以及錯誤的原因。 某些數據表包含可能的解析度。
錯誤類別如下:
由使用者起始
| 錯誤碼 | 錯誤原因 | 解決方法 |
|---|---|---|
E_FVE_USER_REQUESTED_RECOVERY |
用戶明確地從畫面進入恢復模式,並選擇恢復 ESC 模式。 |
|
E_FVE_BOOT_DEBUG_ENABLED |
開機偵錯模式已啟用。 | 從開機組態資料庫中移除開機偵錯選項。 |
程式碼完整性
驅動程式簽章強制執行可用來確保操作系統的程式代碼完整性。
| 錯誤碼 | 錯誤原因 |
|---|---|
E_FVE_CI_DISABLED |
驅動程式簽章強制執行已停用。 |
裝置鎖定
裝置鎖定閾值功能可讓系統管理員使用 BitLocker 保護設定 Windows 登入。 在設定的 Windows 登入嘗試失敗次數之後,裝置會重新啟動,而且只能藉由提供 BitLocker 修復方法來復原。
若要利用這項功能,您必須設定原則設定互動式登入:計算機帳戶鎖定閾值,位於計算機>設定Windows 設定>安全性設定>本機原則>安全性選項中。 或者,使用 Exchange ActiveSyncMaxFailedPasswordAttempts 原則設定,或使用 DeviceLock 設定服務提供者 (CSP) 。
| 錯誤碼 | 錯誤原因 | 解決方法 |
|---|---|---|
E_FVE_DEVICE_LOCKEDOUT |
裝置鎖定因太多不正確的登入嘗試而觸發。 | 需要 BitLocker 修復方法,才能返回登入畫面。 |
E_FVE_DEVICE_LOCKOUT_MISMATCH |
裝置鎖定計數器已不同步。 | 需要 BitLocker 修復方法,才能返回登入畫面。 |
開機設定
開 機設定資料庫 (BCD) 包含 Windows 開機環境的重要資訊。
| 錯誤碼 | 錯誤原因 | 解決方法 |
|---|---|---|
E_FVE_BAD_CODE_IDE_FVE_BAD_CODE_OPTION |
BitLocker 進入恢復模式,因為開機應用程式已變更。 BitLocker 會追蹤 BCD 內的數據,而 BitLocker 復原可能會在此數據變更時發生,而不會出現警告。 請參閱復原畫面以尋找已變更的開機應用程式。 |
若要補救此問題,請還原 BCD 組態。 如果在開機前無法還原 BCD 設定,則需要 BitLocker 修復方法才能解除鎖定裝置。 |
如需詳細資訊,請 參閱開機設定數據設定和 BitLocker。
TPM
信賴平臺模組 (TPM) 是用來保護裝置的密碼編譯硬體或韌體。 BitLocker 會建立 TPM 保護裝置 來管理用來加密數據之加密密鑰的保護。
在開機時,BitLocker 會嘗試與 TPM 通訊,以解除鎖定裝置並存取您的數據。
| 錯誤碼 | 錯誤原因 |
|---|---|
E_FVE_TPM_DISABLED |
TPM 存在,但在開機之前或開機期間已停用。 |
E_FVE_TPM_INVALIDATED |
TPM 存在但已失效。 |
E_FVE_BAD_SRK |
TPM 的內部記憶體根密鑰已損毀。 |
E_FVE_TPM_NOT_DETECTED |
開機系統沒有或未偵測到 TPM。 |
E_MATCHING_PCRS_TPM_FAILURE |
解除密封加密金鑰時,TPM 意外失敗。 |
E_FVE_TPM_FAILURE |
其他 TPM 錯誤的 Catch-all。 |
如需詳細資訊,請 參閱信賴平臺模組技術概觀 和 BitLocker 和 TPM。
保護
TPM 保護裝置
TPM 包含多個平台設定緩存器 (PCR) ,可用於 BitLocker TPM 保護裝置的驗證配置檔中。 PCR 可用來驗證開機程式的完整性,也就是開機設定和開機流程未遭到竄改。
BitLocker 復原可能是 TPM 保護裝置驗證配置檔中所使用之 PCR 發生非預期變更的結果。 TPM 保護裝置配置檔中未使用的 PCR 變更不會影響 BitLocker。
| 錯誤碼 | 錯誤原因 | 解決方法 |
|---|---|---|
E_FVE_PCR_MISMATCH |
裝置的組態已變更。 可能的原因包括: - 插入可開機媒體。 將它移除並重新啟動您的裝置可能會修正此問題 - 已套用韌體更新,但未更新 TPM 保護裝置 |
需要復原方法才能解除鎖定裝置。 |
如需更多範例,請參閱 BitLocker 復原案例。
PCR 7 的特殊案例
如果 TPM 保護裝置在驗證配置檔中使用 PCR 7,BitLocker 預期 PCR 7 會測量安全開機的一組特定事件。 這些度量是在 UEFI 規格中定義。如需詳細資訊,請參閱 靜態信任根度量
| 錯誤碼 | 錯誤原因 | 解決方法 |
|---|---|---|
E_FVE_SECUREBOOT_DISABLED |
安全開機已停用。 若要存取加密密鑰並解除鎖定裝置,BitLocker 預期安全開機會開啟。 | 重新啟用安全開機並重新啟動系統可能會修正復原問題。 否則,需要復原方法才能存取裝置。 |
E_FVE_SECUREBOOT_CHANGED |
安全開機設定意外變更。 以 PCR 7 測量的開機設定已變更。 這可能是因為: - 當 BitLocker 更新 TPM 保護裝置時,目前不存在的其他度量 - BitLocker 上次更新 TPM 保護裝置時出現的遺漏度量,但現在不存在 - 預期的事件有不同的度量 |
需要復原方法才能解除鎖定裝置。 |
不明
| 錯誤碼 | 錯誤原因 | 解決方法 |
|---|---|---|
E_FVE_RECOVERY_ERROR_UNKNOWN |
BitLocker 因為未知的錯誤而進入恢復模式。 | 需要復原方法才能解除鎖定裝置。 |