Ripristino di BitLocker: problemi noti

Questo articolo descrive i problemi comuni che possono impedire a BitLocker di comportarsi come previsto quando un'unità viene ripristinata o che potrebbe causare il ripristino imprevisto di BitLocker. L'articolo fornisce anche indicazioni per risolvere questi problemi.

Nota

In questo articolo "password di ripristino" si riferisce alla password di ripristino a 48 cifre e "chiave di ripristino" si riferisce alla chiave di ripristino a 32 cifre. Per altre informazioni, vedere Protezione della chiave bitLocker.

Windows richiede una password di ripristino BitLocker non esistente

Windows richiede una password di ripristino di BitLocker. Tuttavia, non è stata configurata una password di ripristino di BitLocker.

Risoluzione per Windows richiede una password di ripristino BitLocker non esistente

Le domande frequenti su BitLocker e Active Directory Domain Services (AD DS) riguardano le situazioni che possono generare questo sintomo e forniscono informazioni sulla procedura per risolvere il problema:

• Cosa succede se BitLocker è abilitato in un computer prima che il computer sia aggiunto al dominio?

• Cosa accade se il backup inizialmente non riesce? BitLocker ritenterà il backup?

La password di ripristino per un portatile non è stata sottoposta a backup e il portatile è bloccato

Considerare lo scenario descritto di seguito:

Il disco rigido di un portatile Windows 11 o Windows 10 deve essere recuperato. Il disco è stato crittografato tramite Crittografia driver BitLocker. Non è stato tuttavia eseguito il backup della password di ripristino di BitLocker e l'utente abituale del portatile non è disponibile per fornire la password.

La risoluzione per la password di ripristino per un portatile non è stata sottoposta a backup

È possibile usare uno dei metodi seguenti per eseguire manualmente il backup o la sincronizzazione delle informazioni di ripristino esistenti di un client online:

• Creare uno script WMI (Windows Management Instrumentation) che esegue il backup delle informazioni. Per altre informazioni, vedere Provider di crittografia unità BitLocker.

• In una finestra del prompt dei comandi con privilegi elevati usare il comando manage-bde.exe per eseguire il backup delle informazioni.

  Ad esempio, per eseguire il backup di tutte le informazioni di ripristino per l'unità C: in Active Directory Domain Services, aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

  cmd manage-bde.exe -protectors -adbackup C:

---

Nota

BitLocker non gestisce automaticamente questo processo di backup.

I dispositivi tablet non supportano l'uso manage-bde.exe -forcerecovery di per testare la modalità di ripristino

Considerare lo scenario descritto di seguito:

Il ripristino di BitLocker deve essere testato in un tablet o in un dispositivo slate eseguendo il comando seguente:

cmd manage-bde.exe -forcerecovery

---

Tuttavia, dopo aver immesso la password di ripristino, il dispositivo non può avviarsi.

La causa dei dispositivi tablet non supporta l'uso manage-bde.exe -forcerecovery di per testare la modalità di ripristino

Importante

I dispositivi tablet non supportano il manage-bde.exe -forcerecovery comando .

Questo problema si verifica perché Gestione avvio Windows non è in grado di elaborare l'input tocco durante la fase di avvio preliminare all'avvio. Se Boot Manager rileva che il dispositivo è un tablet, reindirizza il processo di avvio a Windows Recovery Environment (WinRE), che può elaborare l'input tocco.

Se WindowsRE rileva la protezione TPM sul disco rigido, esegue un reseal PCR. Tuttavia, il manage-bde.exe -forcerecovery comando elimina le protezioni TPM sul disco rigido. Pertanto, WinRE non è in grado di reinserirsi nelle RICHIESTE. Questo errore attiva un ciclo di ripristino di BitLocker infinito e impedisce l'avvio di Windows.

Questo comportamento è progettato per tutte le versioni di Windows.

Soluzione alternativa per i dispositivi tablet non supporta l'uso manage-bde.exe -forcerecovery di per testare la modalità di ripristino

Per risolvere il ciclo di riavvio, seguire questa procedura:

1. Nella schermata BitLocker Recovery selezionare Ignora questa unità.

2. Selezionare Risoluzione dei problemi relativi>al prompt dei comandiopzioni> avanzate.

3. Nella finestra del prompt dei comandi eseguire i comandi seguenti:

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Chiudere la finestra del prompt dei comandi.

5. Arrestare il dispositivo.

6. Avviare il dispositivo. Windows dovrebbe iniziare come di consueto.

Dopo aver installato gli aggiornamenti del firmware UEFI o TPM in Surface, BitLocker richiede la password di ripristino

Considerare lo scenario descritto di seguito:

Per un dispositivo Surface è attivata la crittografia dell'unità BitLocker. Il firmware del TPM di Surface viene aggiornato o viene installato un aggiornamento che modifica la firma del firmware di sistema. Ad esempio, viene installato l'aggiornamento di Surface TPM (IFX).

Nel dispositivo Surface si verificano uno o più dei sintomi seguenti:

• All'avvio, il dispositivo Surface richiede una password di ripristino di BitLocker. Viene immessa la password di ripristino corretta, ma Windows non viene avviato.

• L'avvio procede direttamente nelle impostazioni UEFI (Unified Extensible Firmware Interface) del dispositivo Surface.

• Il dispositivo Surface sembra essere in un ciclo di riavvio infinito.

Causa dopo l'installazione degli aggiornamenti del firmware UEFI o TPM in Surface, BitLocker richiede la password di ripristino

Questo problema si verifica se il TPM del dispositivo Surface è configurato per l'uso di valori PCR (Platform Configuration Register) diversi dai valori predefiniti di PCR 7 e PCR 11. Ad esempio, le impostazioni seguenti possono configurare il TPM in questo modo:

• L'avvio protetto è disattivato.
• I valori PCR sono stati definiti in modo esplicito, ad esempio da criteri di gruppo.

I dispositivi che supportano lo standby connesso (noto anche come InstantGO o Always On, PC Always Connected), inclusi i dispositivi Surface, devono usare PCR 7 del TPM. Nella configurazione predefinita in tali sistemi, BitLocker si associa a PCR 7 e PCR 11 se PCR 7 e Secure Boot sono configurati correttamente. Per altre informazioni, vedere BitLocker Criteri di gruppo Settings: About the Platform Configuration Register (PCR).

Risoluzione per dopo l'installazione degli aggiornamenti del firmware UEFI o TPM in Surface, BitLocker richiede la password di ripristino

Per verificare i valori PCR in uso in un dispositivo, aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

manage-bde.exe -protectors -get <OSDriveLetter>:

In questo comando OSDriveLetter<> rappresenta la lettera di unità dell'unità del sistema operativo.

Per risolvere questo problema e ripristinare il dispositivo, seguire questa procedura:

Passaggio 1: Disabilitare le protezioni TPM nell'unità di avvio

Se è stato installato un aggiornamento TPM o UEFI e il dispositivo Surface non può essere avviato, anche se è stata immessa la password di ripristino di BitLocker corretta, è possibile ripristinare la possibilità di avviare usando la password di ripristino di BitLocker e un'immagine di ripristino di Surface per rimuovere le protezioni TPM dall'unità di avvio.

Per usare la password di ripristino di BitLocker e un'immagine di ripristino di Surface per rimuovere le protezioni TPM dall'unità di avvio, seguire questa procedura:

1. Ottenere la password di ripristino di BitLocker dall'account Microsoft.com dell'utente di Surface. Se BitLocker è gestito da un metodo diverso, ad esempio Microsoft BitLocker Administration and Monitoring (MBAM), Configuration Manager Gestione BitLocker o Intune, contattare l'amministratore per assistenza.

2. Usa un altro computer per scaricare l'immagine di ripristino di Surface da Surface Recovery Image Download. Usare l'immagine scaricata per creare un'unità di ripristino USB.

3. Inserire l'unità immagine di ripristino di Surface USB nel dispositivo Surface e avviare il dispositivo.

4. Quando richiesto, selezionare gli elementi seguenti:

   1. Lingua del sistema operativo.

   2. Layout della tastiera.

5. Selezionare Risoluzione dei problemi relativi>al prompt dei comandiopzioni> avanzate.

6. Nella finestra del prompt dei comandi eseguire i comandi seguenti:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   dove:

   • <Password> è la password di ripristino di BitLocker ottenuta nel passaggio 1
   • <DriveLetter> è la lettera di unità assegnata all'unità del sistema operativo

   Nota

   Per altre informazioni su come usare questo comando, vedere manage-bde unlock.For more information about how to use this command, see manage-bde unlock.

7. Riavviare il computer.

8. Quando richiesto, immettere la password di ripristino di BitLocker ottenuta nel passaggio 1.

Nota

Dopo aver disabilitato le protezioni TPM, la crittografia dell'unità BitLocker non protegge più il dispositivo. Per riabilitare la crittografia dell'unità BitLocker, selezionare Start, digitare Manage BitLocker (Gestisci BitLocker) e quindi premere INVIO. Seguire la procedura per crittografare l'unità.

Passaggio 2: Usare Surface BMR per ripristinare i dati e reimpostare il dispositivo Surface

Per ripristinare i dati dal dispositivo Surface se Windows non viene avviato, seguire i passaggi da 1 a 5 della sezione Passaggio 1: Disabilitare le protezioni TPM nell'unità di avvio per accedere a una finestra del prompt dei comandi. Dopo aver aperto una finestra del prompt dei comandi, seguire questa procedura:

1. Al prompt dei comandi eseguire il comando seguente:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   In questo comando Password<> è la password di ripristino di BitLocker ottenuta nel passaggio 1 della sezione Passaggio 1: Disabilitare le protezioni TPM nell'unità di avvio e <DriveLetter> è la lettera di unità assegnata all'unità del sistema operativo.

2. Dopo aver sbloccato l'unità, usare il copy comando o xcopy.exe per copiare i dati utente in un'altra unità.

   Nota

   Per altre informazioni su questi comandi, vedere l'articolo Comandi di Windows .

3. Per reimpostare il dispositivo usando un'immagine di ripristino di Surface, seguire le istruzioni nell'articolo Creazione e uso di un'unità di ripristino USB per Surface.

Passaggio 3: Ripristinare i valori pcr predefiniti

Per evitare che questo problema si ripeta, è consigliabile ripristinare la configurazione predefinita dell'avvio protetto e dei valori pcr.

Per abilitare l'avvio protetto in un dispositivo Surface, seguire questa procedura:

1. Sospendere BitLocker aprendo una finestra di Windows PowerShell con privilegi elevati ed eseguendo il cmdlet di PowerShell seguente:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In questo comando DriveLetter<> è la lettera assegnata all'unità.

2. Riavviare il dispositivo e quindi modificare le impostazioni UEFI per impostare l'opzione Avvio protettosu Solo Microsoft.

3. Riavviare il dispositivo e accedere a Windows.

4. Aprire una finestra di PowerShell con privilegi elevati ed eseguire il cmdlet di PowerShell seguente:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Per reimpostare le impostazioni pcr nel TPM, seguire questa procedura:

1. Disabilitare gli oggetti Criteri di gruppo che configurano le impostazioni pcr o rimuovere il dispositivo da qualsiasi gruppo che applica tali criteri.

   Per altre informazioni, vedere Impostazioni di Criteri di gruppo di BitLocker.

2. Sospendere BitLocker aprendo una finestra di Windows PowerShell con privilegi elevati ed eseguendo il cmdlet di PowerShell seguente:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In questo comando DriveLetter<> è la lettera assegnata all'unità.

3. Eseguire i cmdlet di PowerShell seguenti:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Passaggio 4: Sospendere BitLocker durante gli aggiornamenti del firmware TPM o UEFI

È possibile evitare questo scenario durante l'installazione degli aggiornamenti al firmware di sistema o al firmware TPM sospendendo temporaneamente BitLocker prima di applicare tali aggiornamenti.

Importante

Gli aggiornamenti del firmware TPM e UEFI potrebbero richiedere più riavvii durante l'installazione. Per mantenere BitLocker sospeso durante questo processo, è necessario usare il cmdlet di PowerShell Suspend-BitLocker e impostare il parametro Reboot Count su uno dei valori seguenti:

• 2 o superiore: questo valore imposta il numero di volte in cui il dispositivo verrà riavviato prima della ripresa di Crittografia dispositivi BitLocker. Ad esempio, se si imposta il valore su 2 , BitLocker riprenderà dopo il riavvio del dispositivo due volte.

• 0: questo valore sospende crittografia unità BitLocker a tempo indeterminato. Per riprendere BitLocker, è necessario usare il cmdlet di PowerShell Resume-BitLocker o un altro meccanismo per riprendere la protezione BitLocker.

Per sospendere BitLocker durante l'installazione degli aggiornamenti del firmware TPM o UEFI:

1. Aprire una finestra di Windows PowerShell con privilegi elevati ed eseguire il cmdlet di PowerShell seguente:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   In questo cmdlet di PowerShell DriveLetter<> è la lettera assegnata all'unità.

2. Installare gli aggiornamenti del firmware e del driver di dispositivo Surface.

3. Dopo aver installato gli aggiornamenti del firmware, riavviare il computer, aprire una finestra di PowerShell con privilegi elevati e quindi eseguire il cmdlet di PowerShell seguente:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Credential Guard/Device Guard in TPM 1.2: ad ogni riavvio, BitLocker richiede la password di ripristino e restituisce l'errore 0xC0210000

Considerare lo scenario descritto di seguito:

Un dispositivo usa TPM 1.2 ed esegue Windows 10, versione 1809. Il dispositivo usa anche funzionalità di sicurezza basate su virtualizzazione , ad esempio Device Guard e Credential Guard. Ogni volta che il dispositivo viene avviato, il dispositivo entra in modalità di ripristino BitLocker e viene visualizzato un messaggio di errore simile al seguente:

Ripristino

Il PC/dispositivo deve essere riparato. Impossibile accedere a un file necessario perché la chiave di BitLocker non è stata caricata correttamente.

Codice di errore 0xc0210000

Sarà necessario usare gli strumenti di ripristino. Se non si dispone di supporti di installazione (ad esempio un disco o un dispositivo USB), contattare l'amministratore del PC o il produttore del PC/dispositivo.

Causa di Credential Guard/Device Guard in TPM 1.2: ad ogni riavvio, BitLocker richiede la password di ripristino e restituisce l'errore 0xC0210000

TPM 1.2 non supporta l'avvio sicuro. Per altre informazioni, vedere Protezione del sistema Avvio sicuro e protezione SMM: Requisiti soddisfatti da computer abilitati Protezione del sistema

Per altre informazioni su questa tecnologia, vedere Windows Defender Protezione del sistema: Come una radice di attendibilità basata su hardware consente di proteggere Windows

Risoluzione per Credential Guard/Device Guard in TPM 1.2: ad ogni riavvio, BitLocker richiede la password di ripristino e restituisce l'errore 0xC0210000

Per risolvere questo problema, usare una delle due soluzioni seguenti:

• Rimuovere qualsiasi dispositivo che usa TPM 1.2 da qualsiasi gruppo soggetto agli oggetti Criteri di gruppo che applicano l'avvio sicuro.
• Modificare l'oggetto Criteri di gruppo Attiva sicurezza basata su virtualizzazione per impostare Configurazione avvio sicuro su Disabilitato.