Récupération BitLocker : problèmes connus

Cet article décrit les problèmes courants qui peuvent empêcher BitLocker de se comporter comme prévu lorsqu’un lecteur est récupéré, ou qui peuvent entraîner le démarrage inattendu de La récupération par BitLocker. L’article fournit également des conseils pour résoudre ces problèmes.

Remarque

Dans cet article, « mot de passe de récupération » fait référence au mot de passe de récupération à 48 chiffres et « clé de récupération » fait référence à la clé de récupération à 32 chiffres. Pour plus d’informations, consultez Protecteurs de clés BitLocker.

Windows demande un mot de passe de récupération BitLocker non existant

Windows demande un mot de passe de récupération BitLocker. Toutefois, un mot de passe de récupération BitLocker n’a pas été configuré.

Résolution pour Windows demande un mot de passe de récupération BitLocker non existant

Le FAQ BitLocker et services de domaine Active Directory (AD DS) traite des situations susceptibles de produire ce symptôme et fournit des informations sur la procédure à suivre pour résoudre le problème :

• Que se passe-t-il si BitLocker est activé sur un ordinateur avant que l’ordinateur n’ait rejoint le domaine ?

• Que se passe-t-il si la sauvegarde échoue initialement ? BitLocker va-t-il réessayer la sauvegarde ?

Le mot de passe de récupération d’un ordinateur portable n’a pas été sauvegardé et l’ordinateur portable est verrouillé

Prenons l’exemple du scénario suivant :

Le disque dur d’un ordinateur portable Windows 11 ou Windows 10 doit être récupéré. Le disque a été chiffré à l’aide du chiffrement du pilote BitLocker. Toutefois, le mot de passe de récupération BitLocker n’a pas été sauvegardé et l’utilisateur habituel de l’ordinateur portable n’est pas disponible pour fournir le mot de passe.

La résolution du mot de passe de récupération d’un ordinateur portable n’a pas été sauvegardée

Vous pouvez utiliser l’une des méthodes suivantes pour sauvegarder ou synchroniser manuellement les informations de récupération existantes d’un client en ligne :

• Créez un script WMI (Windows Management Instrumentation) qui sauvegarde les informations. Pour plus d’informations, consultez Fournisseur de chiffrement de lecteur BitLocker.

• Dans une fenêtre d’invite de commandes avec élévation de privilèges, utilisez la commande manage-bde.exe pour sauvegarder les informations.

  Par exemple, pour sauvegarder toutes les informations de récupération du lecteur C : sur AD DS, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez la commande suivante :

  cmd manage-bde.exe -protectors -adbackup C :

---

Remarque

BitLocker ne gère pas automatiquement ce processus de sauvegarde.

Les tablettes ne prennent pas en charge l’utilisation manage-bde.exe -forcerecovery de pour tester le mode de récupération

Prenons l’exemple du scénario suivant :

La récupération BitLocker doit être testée sur une tablette ou un appareil d’ardoise en exécutant la commande suivante :

cmd manage-bde.exe -forcerecovery

---

Toutefois, après avoir entré le mot de passe de récupération, l’appareil ne peut pas démarrer.

Raison pour laquelle les tablettes ne prennent pas en charge l’utilisation manage-bde.exe -forcerecovery de pour tester le mode de récupération

Importante

Les tablettes ne prennent pas en charge la manage-bde.exe -forcerecovery commande .

Ce problème se produit car le Gestionnaire de démarrage Windows ne peut pas traiter l’entrée tactile pendant la phase de prédémarrage du démarrage. Si le Gestionnaire de démarrage détecte que l’appareil est une tablette, il redirige le processus de démarrage vers l’environnement de récupération Windows (WinRE), qui peut traiter l’entrée tactile.

Si WindowsRE détecte le protecteur TPM sur le disque dur, il effectue une reconsenement PAR PCR. Toutefois, la manage-bde.exe -forcerecovery commande supprime les protecteurs TPM sur le disque dur. Par conséquent, WinRE ne peut pas resserrer les pcr. Cet échec déclenche un cycle de récupération BitLocker infini et empêche Windows de démarrer.

Ce comportement est conçu pour toutes les versions de Windows.

Solution de contournement pour les tablettes qui ne prennent pas en charge l’utilisation manage-bde.exe -forcerecovery de pour tester le mode de récupération

Pour résoudre la boucle de redémarrage, procédez comme suit :

1. Dans l’écran Récupération BitLocker, sélectionnez Ignorer ce lecteur.

2. Sélectionnez Résoudre les problèmes d’invite> decommandes options>avancées.

3. Dans la fenêtre Invite de commandes, exécutez les commandes suivantes :

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Fermez la fenêtre Invite de commandes.

5. Arrêtez l’appareil.

6. Démarrez l’appareil. Windows doit démarrer comme d’habitude.

Après avoir installé les mises à jour du microprogramme UEFI ou TPM sur Surface, BitLocker demande le mot de passe de récupération

Prenons l’exemple du scénario suivant :

Le chiffrement de lecteur BitLocker est activé sur un appareil Surface. Le microprogramme du module TPM de Surface est mis à jour ou une mise à jour qui modifie la signature du microprogramme système est installée. Par exemple, la mise à jour du module TPM Surface (IFX) est installée.

Vous rencontrez un ou plusieurs des symptômes suivants sur l’appareil Surface :

• Au démarrage, l’appareil Surface demande un mot de passe de récupération BitLocker. Le mot de passe de récupération correct est entré, mais Windows ne démarre pas.

• Le démarrage progresse directement dans les paramètres UEFI (Unified Extensible Firmware Interface) de l’appareil Surface.

• L’appareil Surface semble se trouver dans une boucle de redémarrage infinie.

Cause de l’installation des mises à jour du microprogramme UEFI ou TPM sur Surface, BitLocker demande le mot de passe de récupération

Ce problème se produit si le TPM de l’appareil Surface est configuré pour utiliser des valeurs de registre de configuration de plateforme (PCR) autres que les valeurs par défaut de PCR 7 et DE PCR 11. Par exemple, les paramètres suivants peuvent configurer le module de plateforme sécurisée de cette façon :

• Le démarrage sécurisé est désactivé.
• Les valeurs DEP ont été explicitement définies, par exemple par la stratégie de groupe.

Les appareils qui prennent en charge la veille connectée (également appelé InstantGO ou Always On, PC toujours connectés), y compris les appareils Surface, doivent utiliser le protocole PCR 7 du module TPM. Dans sa configuration par défaut sur de tels systèmes, BitLocker se lie à LAP 7 et à LA PCR 11 si LE PROTOCOLE PCR 7 et le démarrage sécurisé sont correctement configurés. Pour plus d’informations, consultez paramètres de stratégie de groupe BitLocker : À propos du registre de configuration de la plateforme (PCR).

Résolution pour après l’installation des mises à jour du microprogramme UEFI ou TPM sur Surface, BitLocker demande le mot de passe de récupération

Pour vérifier les valeurs PCR utilisées sur un appareil, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez la commande suivante :

manage-bde.exe -protectors -get <OSDriveLetter>:

Dans cette commande, <OSDriveLetter> représente la lettre de lecteur du système d’exploitation.

Pour résoudre ce problème et réparer l’appareil, procédez comme suit :

Étape 1 : Désactiver les protecteurs TPM sur le lecteur de démarrage

Si une mise à jour TPM ou UEFI a été installée et que l’appareil Surface ne peut pas démarrer, même si le mot de passe de récupération BitLocker correct a été entré, la possibilité de démarrer peut être restaurée à l’aide du mot de passe de récupération BitLocker et d’une image de récupération Surface pour supprimer les protecteurs TPM du lecteur de démarrage.

Pour utiliser le mot de passe de récupération BitLocker et une image de récupération Surface pour supprimer les protecteurs TPM du lecteur de démarrage, procédez comme suit :

1. Obtenez le mot de passe de récupération BitLocker à partir du compte Microsoft.com de l’utilisateur Surface. Si BitLocker est géré par une autre méthode, telle que MbaM (Microsoft BitLocker Administration and Monitoring), Configuration Manager BitLocker Management ou Intune, contactez l’administrateur pour obtenir de l’aide.

2. Utilisez un autre ordinateur pour télécharger l’image de récupération Surface à partir du téléchargement de l’image de récupération Surface. Utilisez l’image téléchargée pour créer un lecteur de récupération USB.

3. Insérez le lecteur d’image de récupération SURFACE USB dans l’appareil Surface, puis démarrez l’appareil.

4. Lorsque vous y êtes invité, sélectionnez les éléments suivants :

   1. Langue du système d’exploitation.

   2. Disposition du clavier.

5. Sélectionnez Résoudre les problèmes d’invite> decommandes options>avancées.

6. Dans la fenêtre Invite de commandes, exécutez les commandes suivantes :

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   où :

   • <Mot de passe> est le mot de passe de récupération BitLocker obtenu à l’étape 1
   • <DriveLetter> est la lettre de lecteur affectée au lecteur du système d’exploitation.

   Remarque

   Pour plus d’informations sur l’utilisation de cette commande, consultez manage-bde unlock.

7. Redémarrez l'ordinateur.

8. Lorsque vous y êtes invité, entrez le mot de passe de récupération BitLocker obtenu à l’étape 1.

Remarque

Une fois les protecteurs TPM désactivés, le chiffrement de lecteur BitLocker ne protège plus l’appareil. Pour réactiver le chiffrement de lecteur BitLocker, sélectionnez Démarrer, tapez Gérer BitLocker, puis appuyez sur Entrée. Suivez les étapes pour chiffrer le lecteur.

Étape 2 : Utiliser la récupération complète surface pour récupérer des données et réinitialiser l’appareil Surface

Pour récupérer des données à partir de l’appareil Surface si Windows ne démarre pas, suivez les étapes 1 à 5 de la section Étape 1 : Désactiver les protecteurs TPM sur le lecteur de démarrage pour accéder à une fenêtre d’invite de commandes. Une fois qu’une fenêtre d’invite de commandes est ouverte, procédez comme suit :

1. Depuis l’invite de commandes, exécutez la commande suivante :

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   Dans cette commande, <Password> est le mot de passe de récupération BitLocker obtenu à l’étape 1 de la section Étape 1 : Désactiver les protecteurs TPM sur le lecteur de démarrage, et <DriveLetter> est la lettre de lecteur affectée au lecteur du système d’exploitation.

2. Une fois le lecteur déverrouillé, utilisez la copy commande ou xcopy.exe pour copier les données utilisateur sur un autre lecteur.

   Remarque

   Pour plus d’informations sur ces commandes, consultez l’article Commandes Windows .

3. Pour réinitialiser l’appareil à l’aide d’une image de récupération Surface, suivez les instructions de l’article Création et utilisation d’un lecteur de récupération USB pour Surface.

Étape 3 : Restaurer les valeurs PAR défaut de LAP

Pour éviter que ce problème ne se reproduise, il est recommandé de restaurer la configuration par défaut du démarrage sécurisé et les valeurs DE LAP.

Pour activer le démarrage sécurisé sur un appareil Surface, procédez comme suit :

1. Suspendez BitLocker en ouvrant une fenêtre de Windows PowerShell avec élévation de privilèges et en exécutant l’applet de commande PowerShell suivante :

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   Dans cette commande, <DriveLetter> est la lettre affectée au lecteur.

2. Redémarrez l’appareil, puis modifiez les paramètres UEFI pour définir l’option Démarrage sécurisésur Microsoft uniquement.

3. Redémarrez l’appareil et connectez-vous à Windows.

4. Ouvrez une fenêtre PowerShell avec élévation de privilèges et exécutez l’applet de commande PowerShell suivante :

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Pour réinitialiser les paramètres DE LAP sur le module de plateforme sécurisée, procédez comme suit :

1. Désactivez les objets stratégie de groupe qui configurent les paramètres DEP ou supprimez l’appareil des groupes qui appliquent ces stratégies.

   Pour plus d’informations, consultez Paramètres de stratégie de groupe BitLocker.

2. Suspendez BitLocker en ouvrant une fenêtre de Windows PowerShell avec élévation de privilèges et en exécutant l’applet de commande PowerShell suivante :

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   Dans cette commande, <DriveLetter> est la lettre affectée au lecteur.

3. Exécutez les applets de commande PowerShell suivantes :

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Étape 4 : Suspendre BitLocker pendant les mises à jour du microprogramme TPM ou UEFI

Vous pouvez éviter ce scénario lors de l’installation des mises à jour du microprogramme système ou du microprogramme TPM en suspendant temporairement BitLocker avant d’appliquer ces mises à jour.

Importante

Les mises à jour du microprogramme TPM et UEFI peuvent nécessiter plusieurs redémarrages pendant l’installation. Pour que BitLocker reste suspendu pendant ce processus, l’applet de commande PowerShell Suspend-BitLocker doit être utilisée et le paramètre Reboot Count doit être défini sur l’une des valeurs suivantes :

• 2 ou supérieur : cette valeur définit le nombre de redémarrages de l’appareil avant la reprise du chiffrement de l’appareil BitLocker. Par exemple, la définition de la valeur 2 entraîne la reprise de BitLocker après le redémarrage de l’appareil deux fois.

• 0 : cette valeur suspend indéfiniment le chiffrement de lecteur BitLocker. Pour reprendre BitLocker, l’applet de commande PowerShell Resume-BitLocker ou un autre mécanisme doit être utilisé pour reprendre la protection BitLocker.

Pour suspendre BitLocker lors de l’installation des mises à jour du microprogramme TPM ou UEFI :

1. Ouvrez une fenêtre de Windows PowerShell avec élévation de privilèges et exécutez l’applet de commande PowerShell suivante :

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   Dans cette applet de commande PowerShell, <DriveLetter> est la lettre qui est affectée au lecteur.

2. Installez les mises à jour du pilote et du microprogramme du périphérique Surface.

3. Après avoir installé les mises à jour du microprogramme, redémarrez l’ordinateur, ouvrez une fenêtre PowerShell avec élévation de privilèges, puis exécutez l’applet de commande PowerShell suivante :

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Credential Guard/Device Guard sur TPM 1.2 : à chaque redémarrage, BitLocker demande le mot de passe de récupération et retourne l’erreur 0xC0210000

Prenons l’exemple du scénario suivant :

Un appareil utilise TPM 1.2 et s’exécute Windows 10, version 1809. L’appareil utilise également des fonctionnalités de sécurité basées sur la virtualisation telles que Device Guard et Credential Guard. Chaque fois que l’appareil est démarré, l’appareil passe en mode de récupération BitLocker et un message d’erreur similaire au message d’erreur suivant s’affiche :

Récupération

Votre PC/Appareil doit être réparé. Impossible d’accéder à un fichier requis, car votre clé BitLocker n’a pas été chargée correctement.

Code d’erreur 0xc0210000

Vous devez utiliser les outils de récupération. Si vous n’avez pas de support d’installation (par exemple, un disque ou un périphérique USB), contactez l’administrateur de votre PC ou le fabricant de votre PC/périphérique.

Cause de Credential Guard/Device Guard sur TPM 1.2 : À chaque redémarrage, BitLocker demande le mot de passe de récupération et retourne une erreur 0xC0210000

TPM 1.2 ne prend pas en charge le lancement sécurisé. Pour plus d’informations, consultez System Guard Lancement sécurisé et protection SMM : Conditions requises satisfaites par les machines System Guard activées

Pour plus d’informations sur cette technologie, consultez Windows Defender System Guard : Comment une racine de confiance basée sur le matériel permet de protéger Windows

Résolution de Credential Guard/Device Guard sur TPM 1.2 : À chaque redémarrage, BitLocker demande le mot de passe de récupération et retourne l’erreur 0xC0210000

Pour résoudre ce problème, utilisez l’une des deux solutions suivantes :

• Supprimez tout appareil qui utilise TPM 1.2 de tout groupe soumis à des objets de stratégie de groupe qui appliquent un lancement sécurisé.
• Modifiez l’objet de stratégie de groupe Activer la sécurité basée sur la virtualisation pour définir Secure Launch Configuration sur Désactivé.