BitLocker 復原程式
如果裝置或磁碟驅動器無法使用設定的 BitLocker 機制解除鎖定,用戶或許可以自行復原。 如果自我復原不是選項,或使用者不確定如何繼續,技術服務人員應該具備快速且安全地擷取復原信息的程式。
本文概述為已加入 Microsoft Entra、Microsoft Entra 混合式加入和已加入 Active Directory 的裝置取得 BitLocker 修復資訊的程式。 假設讀取器已經熟悉如何設定裝置來自動備份 BitLocker 復原資訊,以及可用的 BitLocker 復原選項。 如需詳細資訊,請參閱 BitLocker 復原概觀 一文。
自我復原
操作系統磁碟驅動器或固定數據磁碟驅動器的 BitLocker 修復密碼和修復金鑰可以儲存到一或多個 USB 裝置,列印、儲存至 Microsoft Entra ID 或 AD DS。
提示
建議使用將 BitLocker 修復金鑰儲存至 Microsoft Entra ID 或 AD DS。 如此一來,BitLocker 系統管理員或技術服務人員就可以協助使用者取得其密鑰。
如果自我復原包含使用儲存在USB快閃磁碟驅動器上的密碼或修復密鑰,則必須警告使用者不要將USB快閃磁碟驅動器儲存在裝置的相同位置,尤其是在行動期間。 例如,如果裝置和復原專案都位於相同的包中,則未經授權的使用者很容易就能存取裝置。 另一個要考慮的原則是讓使用者在執行自我復原之前或之後連絡技術服務人員,以便找出根本原因。
修復金鑰無法儲存在下列任何位置:
- 正在加密的磁碟驅動器
- 非卸除式磁碟驅動器的根目錄
- 加密的磁碟區
Microsoft Entra ID 中的自我復原
如果 BitLocker 修復金鑰儲存在 Microsoft Entra ID 中,使用者可以使用下列 URL 來存取它們:https://myaccount.microsoft.com。 從 [ 裝置] 索引標籤,使用者可以選取他們擁有的 Windows 裝置,然後選取 [ 檢視 BitLocker 金鑰] 選項。
注意
根據預設,用戶可以從 Microsoft Entra ID 擷取其 BitLocker 重新探索密鑰。 您可以使用 [ 限制使用者復原其擁有裝置的 BitLocker 金鑰 () ] 選項來修改此行為。 如需詳細資訊,請 參閱限制成員使用者的默認許可權。
使用USB快閃磁碟驅動器進行自我復原
如果使用者將修復密碼儲存在 USB 磁碟驅動器上,他們可以將磁碟驅動器插入鎖定的裝置,並遵循指示。 如果密鑰儲存為快閃磁碟驅動器上的文字檔,用戶必須使用不同的裝置來讀取文字檔。
技術服務人員復原
如果用戶沒有自助式復原選項,技術服務人員應該能夠使用下列其中一個選項來協助使用者:
- 如果裝置已 Microsoft Entra 加入或 Microsoft Entra 混合式聯結,則可從 Microsoft Entra ID 擷取 BitLocker 修復資訊
- 如果裝置已加入網域,則可以從 Active Directory 擷取復原資訊
- 如果裝置設定為使用 DRA,加密的磁碟驅動器可以掛接在另一部裝置上作為 數據磁碟驅動器 ,讓 DRA 能夠解除鎖定磁碟驅動器
警告
無法自動備份要 Microsoft Entra ID 或 AD DS 的 BitLocker 修復密碼。 裝置應設定原則設定以啟用自動備份,如 BitLocker 複原概觀 一文所述。
下列清單可用來作為範本,以建立由技術服務人員擷取修復密碼的復原程式。
| ☑️ | 復原程式步驟 | 詳細資料 |
|---|---|---|
| 🔲 | 驗證使用者的身分識別 | 要求修復密碼的人員應該驗證為該裝置的授權使用者。 您也應該確認使用者提供名稱的裝置是否屬於該使用者。 |
| 🔲 | 記錄裝置名稱 | 用戶的裝置名稱可用來找出 Microsoft Entra ID 或 AD DS 中的修復密碼。 |
| 🔲 | 記錄修復金鑰標識碼 | 修復金鑰標識碼可用來找出 Microsoft Entra ID 或 AD DS 中的修復密碼。 修復金鑰標識碼會顯示在啟動前復原畫面中。 |
| 🔲 | 找出修復密碼 | 使用裝置名稱或來自 Microsoft Entra ID 或 AD DS 的修復金鑰標識碼,找出 BitLocker 修復密碼。 |
| 🔲 | 根本原因分析 | 在為使用者提供修復密碼之前,應先收集資訊以判斷需要復原的原因。 此資訊可用來執行根本原因分析。 |
| 🔲 | 為使用者提供修復密碼 | 因為 48 位數的修復密碼很長,而且包含數位的組合,所以使用者可能會誤解或輸入錯誤的密碼。 開機時間復原控制台會使用內建的總和檢查碼來偵測 48 位數修復密碼中每個 6 位數區塊中的輸入錯誤,並讓用戶有機會更正這類錯誤。 |
| 🔲 | 輪替修復密碼 | 如果已設定自動密碼輪替,Microsoft Entra 加入和 Microsoft Entra 混合式聯結裝置會產生新的修復密碼,並將其儲存在 Microsoft Entra ID 中。 系統管理員也可以使用 Microsoft Intune 或 Microsoft Configuration Manager,依需求觸發密碼輪替。 |
Microsoft Entra ID 中的服務台復原
有幾個 Microsoft Entra ID 角色可讓委派的系統管理員從租使用者中的裝置讀取 BitLocker 修復密碼。 雖然組織通常會使用現有的 Microsoft Entra ID 雲端裝置系統管理員或技術支援中心系統管理員內建角色,但您也可以建立自定義角色,並使用 microsoft.directory/bitlockerKeys/key/read 許可權委派對 BitLocker 密鑰的存取權。 您可以委派角色來存取特定管理單位中裝置的 BitLocker 修復密碼。
此 Microsoft Entra 系統管理中心 可讓系統管理員擷取 BitLocker 修復密碼。 若要深入瞭解此程式,請 參閱檢視或複製 BitLocker 金鑰。 另一個存取 BitLocker 修復密碼的選項是使用 Microsoft 圖形 API,這可能適用於整合式或腳本化解決方案。 如需此選項的詳細資訊,請 參閱取得 bitlockerRecoveryKey。
在下列範例中,我們使用 Microsoft Graph PowerShell Cmdlet Get-MgInformationProtectionBitlockerRecoveryKey 來建置 PowerShell 函式,以從 Microsoft Entra ID 擷取修復密碼:
function Get-EntraBitLockerKeys{
[CmdletBinding()]
param (
[Parameter(Mandatory = $true, HelpMessage = "Device name to retrieve the BitLocker keys from Microsoft Entra ID")]
[string]$DeviceName
)
$DeviceID = (Get-MGDevice -filter "displayName eq '$DeviceName'").DeviceId
if ($DeviceID){
$KeyIds = (Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$DeviceId'").Id
if ($keyIds) {
Write-Host -ForegroundColor Yellow "Device name: $devicename"
foreach ($keyId in $keyIds) {
$recoveryKey = (Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $keyId -Select "key").key
Write-Host -ForegroundColor White " Key id: $keyid"
Write-Host -ForegroundColor Cyan " BitLocker recovery key: $recoveryKey"
}
} else {
Write-Host -ForegroundColor Red "No BitLocker recovery keys found for device $DeviceName"
}
} else {
Write-Host -ForegroundColor Red "Device $DeviceName not found"
}
}
Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes 'BitlockerKey.Read.All' -NoWelcome
載入函式之後,可以用來擷取特定裝置的 BitLocker 修復密碼。 範例:
PS C:\> Get-EntraBitLockerKeys -DeviceName DESKTOP-53O32QI
Device name: DESKTOP-53O32QI
Key id: 4290b6c0-b17a-497a-8552-272cc30e80d4
BitLocker recovery key: 496298-461032-321464-595518-463221-173943-033616-139579
Key id: 045219ec-a53b-41ae-b310-08ec883aaedd
BitLocker recovery key: 158422-038236-492536-574783-256300-205084-114356-069773
注意
針對由 Microsoft Intune 管理的裝置,可以從 Microsoft Intune 系統管理中心的裝置屬性擷取 BitLocker 修復密碼。 如需詳細資訊,請 參閱檢視修復密鑰的詳細數據。
Active Directory 網域服務 中的技術服務人員復原
若要從 AD DS 匯出修復密碼,您必須具有 AD DS 中所儲存物件的 讀取許可權 。 根據預設,只有 網域系統管理員 可以存取 BitLocker 復原資訊,但 存取權可以委派 給特定的安全性主體。
若要協助從 AD DS 擷取 BitLocker 修復密碼,您可以使用 BitLocker 修復密碼查看器 工具。 此工具隨附於遠端伺服器管理工具 (RSAT) 中,它是 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元的擴充功能。
使用 BitLocker 修復密碼查看器,您可以:
- 檢查 Active Directory 計算機物件的屬性,以擷取相關聯的 BitLocker 修復密碼
- 在 Active Directory 樹系中的所有網域上搜尋 Active Directory 中的 BitLocker 修復密碼
下列程式描述使用 BitLocker 修復密碼查看器執行的最常見工作。
檢視計算機物件的修復密碼
- 開 Active Directory 使用者和電腦 MMC 嵌入式管理單元,然後選取計算機物件所在的容器或 OU
- 以滑鼠右鍵按兩下電腦物件,然後選取 [ 屬性]
- 在 [ 屬性] 對話框中,選取 [BitLocker 修復 ] 索引標籤,以檢視與計算機相關聯的 BitLocker 修復密碼
使用密碼識別碼找出修復密碼
- 在 Active Directory 使用者和電腦 中,以滑鼠右鍵按兩下網域容器,然後選取 [尋找 BitLocker 修復密碼]
- 在 [ 尋找 BitLocker 修復密碼 ] 對話方塊的 [密碼識別符] (前 8 個字元) 方塊中輸入修復密碼的前八個字元,然後選取 [ 搜尋]
數據復原代理程式
如果裝置是使用 DRA 設定,技術服務人員可以使用 DRA 來解除鎖定磁碟驅動器。 一旦 BitLocker 磁碟驅動器連接到具有 DRA 憑證私鑰的裝置,即可使用 manage-bde.exe 命令解除鎖定磁碟驅動器。
例如,若要列出針對受 BitLocker 保護的磁碟驅動器所設定的 DRA,請使用下列命令:
C:\>manage-bde.exe -protectors -get D:
Volume D: [Local Disk]
All Key Protectors
Data Recovery Agent (Certificate Based):
ID: {3A8F7DEA-878F-4663-B149-EE2EC9ADE40B}
Certificate Thumbprint:
f46563b1d4791d5bd827f32265341ff9068b0c42
如果本機證書儲存中有指紋的憑證 f46563b1d4791d5bd827f32265341ff9068b0c42 私鑰可供使用,系統管理員可以使用下列命令來解除鎖定具有 DRA 保護裝置的磁碟驅動器:
manage-bde -unlock D: -Certificate -ct f46563b1d4791d5bd827f32265341ff9068b0c42
復原後工作
使用修復密碼解除鎖定磁碟區時:
- 事件會寫入事件記錄檔
- 會在 TPM 中重設平台驗證度量,以符合目前的設定
- 當數據寫入/讀取至磁碟區或從磁碟區讀取時,加密密鑰會釋出並準備好進行即時加密/解密
解除鎖定磁碟區之後,不論授與存取權的方式為何,BitLocker 的行為都相同。
如果裝置發生多個修復密碼事件,系統管理員應該執行復原後分析,以判斷復原的根本原因。 然後,重新整理 BitLocker 平台驗證,以防止每次裝置啟動時輸入修復密碼。
判斷復原的根本原因
如果使用者需要復原磁碟驅動器,請務必儘快判斷起始復原的根本原因。 正確分析計算機的狀態並偵測竄改,可能會顯示對企業安全性有更廣泛影響的威脅。
雖然系統管理員在某些情況下可以從遠端調查復原的原因,但使用者可能需要攜帶包含站臺上已復原磁碟驅動器的裝置,以進一步分析根本原因。 以下是一些可用來協助判斷復原根本原因的問題:
| ☑️ | 問題 |
|---|---|
| 🔲 | 哪個 BitLocker 保護模式已設定 (TPM、TPM + PIN、TPM + 啟動金鑰、僅限啟動金鑰) ? |
| 🔲 | 如果已設定 TPM 模式,是否因為開機檔案變更而導致復原? |
| 🔲 | 裝置上正在使用哪一個 PCR 配置檔? |
| 🔲 | 使用者只是忘記 PIN 或遺失啟動密鑰嗎? |
| 🔲 | 如果復原是因為開機檔案變更所造成,開機檔案變更是因為預期的用戶動作 (例如 BIOS 升級) 或惡意軟體? |
| 🔲 | 用戶最後一次能夠成功啟動裝置的時機,以及之後裝置可能發生什麼事? |
| 🔲 | 使用者是否在上次成功啟動後遇到惡意軟體或讓裝置保持自動? |
為了協助回答這些問題,您可以使用 manage-bde.exe -status 命令來檢視目前的設定和保護模式。 掃描事件記錄檔以尋找事件,以協助指出起始復原的原因 (例如,如果) 發生開機檔案變更。
解決根本原因
識別復原的原因之後,可以重設 BitLocker 保護以避免每次啟動時復原。
重設的詳細數據可能會根據復原的根本原因而有所不同。 如果無法判斷根本原因,或惡意軟體或rootkit感染裝置,技術服務人員應套用最佳做法病毒原則以適當地回應。
注意
BitLocker 驗證配置檔重設可藉由暫停和繼續 BitLocker 來執行。
根源
步驟
未知的 PIN 碼
如果用戶忘記 PIN 碼,則在登入計算機時必須重設 PIN,以防止 BitLocker 在每次電腦重新啟動時起始復原。
若要防止因不明 PIN 而繼續復原:
- 使用修復密碼解除鎖定裝置
- 從 BitLocker 控制台 小程式,展開磁碟驅動器,然後選取 [變更 PIN 碼]
- 在 [BitLocker 磁碟驅動器加密] 對話框中,選取 [ 重設忘記的 PIN]。 如果登入的帳戶不是系統管理員帳戶,您必須提供系統管理認證
- 在 [PIN 重設] 對話框中,提供並確認要使用的新 PIN,然後選取 [ 完成]
- 下次需要解除鎖定磁碟驅動器時,可以使用新的 PIN
遺失啟動金鑰
如果遺失包含啟動金鑰的 USB 快閃磁碟驅動器,您可以使用修復金鑰解除鎖定磁碟驅動器。 然後可以使用PowerShell、命令提示字元或 BitLocker 控制台 小程式來建立新的啟動。
如需如何新增 BitLocker 保護裝置的範例,請檢閱 BitLocker 作業指南
開機檔案的變更
如果韌體已更新,就會發生此錯誤。 在變更韌體之前,應該先暫停 BitLocker。 韌體更新完成之後,應該繼續保護。 暫停 BitLocker 可防止裝置進入恢復模式。 不過,如果 BitLocker 保護開啟時發生變更,則可以使用修復密碼來解除鎖定磁碟驅動器,並更新平臺驗證配置檔,讓復原不會在下一次發生。
如需如何暫停和繼續 BitLocker 保護裝置的範例,請檢閱 BitLocker 作業指南
輪替密碼
系統管理員可以設定原則設定,為已加入 Microsoft Entra 和 Microsoft Entra 混合式聯結裝置啟用自動復原密碼輪替。
啟用自動修復密碼輪替時,裝置會在密碼用來解除鎖定磁碟驅動器之後自動輪替修復密碼。 此行為有助於防止多次使用相同的修復密碼,這可能會造成安全性風險。
如需詳細資訊,請 參閱設定修復密碼輪替。
另一個選項是使用 Microsoft Intune 或 Microsoft Configuration Manager,從遠端起始個別裝置的修復密碼輪替。
若要深入瞭解如何使用 Microsoft Intune 或 Microsoft Configuration Manager 來輪替 BitLocker 修復密碼,請參閱:
BitLocker 修復工具
如果本檔稍早討論的復原方法未解除鎖定磁碟區, 則可以使用 BitLocker 修復工具 (repair-bde.exe) 來解密區塊層級的磁碟區。 此工具會使用 BitLocker 金鑰套件 ,協助從嚴重損壞的磁碟驅動器復原加密的數據。
復原的數據接著可以用來擷取加密的數據,即使正確的修復密碼無法解除鎖定損毀的磁碟區也一般。 建議您仍儲存修復密碼,因為沒有對應的修復密碼就無法使用密鑰套件。
在下列情況下使用修復工具:
- 磁碟驅動器會使用 BitLocker 加密
- Windows 未啟動,或 BitLocker 復原畫面未啟動
- 加密磁碟驅動器上沒有包含的數據備份複本
注意
磁碟驅動器的損壞可能與 BitLocker 無關。 因此,建議您先嘗試其他工具來協助診斷和解決磁碟驅動器的問題,再使用 BitLocker 修復工具。 Windows 修復環境 (Windows RE) 提供更多修復 Windows 的選項。
Repair-bde 有下列限制:
- 它無法修復在加密或解密程式 期間 失敗的磁碟驅動器
- 它假設如果磁碟驅動器有任何加密,則磁碟驅動器會完全加密
如需選項的 repair-bde.exe 完整清單,請參閱 Repair-bde 參考。
注意
若要從 AD DS 匯出金鑰套件,您必須具有儲存在 AD DS 中之 BitLocker 修復密碼和金鑰套件的 讀 取許可權。 根據預設,只有網域管理員可以存取 BitLocker 復原資訊,但 存取權可以委派給其他人。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應