BitLocker demana la clau en cada arrencada: causes reals i com evitar-ho

Darrera actualització: 09/10/2025
Autor: Cristian Garcia

  • BitLocker entra en recuperació davant de canvis d'arrencada (TPM/BIOS/UEFI, USB-C/TBT, Secure Boot, maquinari extern).
  • La clau només és a MSA, Azure AD, AD, impresa o guardada per l'usuari; sense ella no es desxifra.
  • Solucions: suspendre/reprendre BitLocker, manage-bde a WinRE, ajustar BIOS (USB-C/TBT, Secure Boot), actualitzar BIOS/Windows.

BitLocker demana clau de recuperació a cada arrencada

¿BitLocker demana clau de recuperació a cada arrencada? Quan BitLocker sol·licita la clau de recuperació a cada arrencada, deixa de ser una capa de seguretat silenciosa i es converteix en un record diari. Aquesta situació sol disparar les alarmes: hi ha una fallada, he tocat una mica del BIOS/UEFI, s'ha trencat el TPM, o Windows ha canviat “alguna cosa” sense avisar? La realitat és que, en la majoria de casos, el mateix BitLocker està fent justament el que ha de: entrar en mode de recuperació si detecta una arrencada potencialment no segura.

L'important és entendre per què passa, on trobar la clau i com evitar que te la demani de nou. A partir de l'experiència real d'usuaris (com qui va veure el missatge blau després de reiniciar el seu HP Envy) i de documentació tècnica de fabricants, veuràs que hi ha causes molt concretes (USB-C/Thunderbolt, Secure Boot, canvis al microprogramari, menú d'arrencada, dispositius nous) i solucions fiables que no requereixen trucs rars. A més, deixarem clar què es pot i què no es pot fer si has perdut la clau, perquè sense la clau de recuperació no és possible desxifrar les dades.

Què és i per què apareix la pantalla de recuperació de BitLocker

BitLocker xifra el disc del sistema i unitats de dades per protegir-los d'accessos no autoritzats. Quan percebeu un canvi en l'entorn d'arrencada (firmware, TPM, ordre de dispositius de boot, dispositius externs connectats, etc.), activeu el mode de recuperació i demaneu-lo clau de 48 dígits. Això és un comportament normal i és la manera com Windows evita que algú arrenqui la màquina amb paràmetres alterats per extreure dades.

Microsoft ho explica sense embuts: Windows requereix la clau quan detecta un estat no segur que podria indicar un intent d'accés indegut. En equips gestionats o personals, BitLocker sempre habilitat per algú amb permisos d'administrador (tu, una altra persona o la teva organització). Per tant, quan la pantalla apareix de manera repetida, no és que BitLocker “s'hagi trencat”, sinó que alguna cosa a l'arrencada varia cada vegada i desencadena la comprovació.

Causes reals per les quals BitLocker demana la clau en cada arrencada

bitlocker windows 11

Hi ha causes molt freqüents documentades per fabricants i usuaris. Convé repassar-les perquè depèn de la seva identificació triar la solució adequada:

  • Arrencada i prearrencada per USB-C/Thunderbolt (TBT) activats: en molts equips moderns, el suport d'arrencada per USB-C/TBT i el pre-boot de Thunderbolt vénen habilitats per defecte a BIOS/UEFI. Això pot fer que el firmware llisti nous “camins” d'arrencada i que BitLocker els interpreti com a canvis i demani la clau.
  • Secure Boot (Arrencada segura) i la seva política: activar, desactivar o canviar la política (per exemple, de “Desactivat” a “Només Microsoft”) pot disparar la verificació d'integritat i provocar la sol·licitud de clau.
  • Actualitzacions de BIOS/UEFI i firmware: en actualitzar la BIOS, el TPM o el mateix microprogramari, canvien variables crítiques d'arrencada. BitLocker ho detecta i demana la clau al següent reinici i fins i tot en reinicis successius si la plataforma queda en un estat inconsistent.
  • Menú d'arrencada gràfica vs. arrencada heretada (Legacy): hi ha casos en què el menú d'arrencada moderna de Windows 10/11 provoca inconsistències i força el prompt de recuperació. Canviar la política a legacy pot estabilitzar-ho.
  • Dispositius externs i maquinari nou: docks USB-C/TBT, estacions d'acoblament, memòries USB, discos externs o targetes PCIe “darrere” de Thunderbolt apareixen a la ruta d'arrencada i alteren el que veu BitLocker.
  • Autodesbloqueig i estats TPM: el desbloqueig automàtic de volums de dades i un TPM que no actualitza mesuraments després de certs canvis poden portar a prompts de recuperació recurrents.
  • Actualitzacions problemàtiques de Windows: alguna actualització pot canviar components d'arrencada/seguretat, forçant l'aparició del prompt fins que es reinstal·la o es corregeix la versió.

En plataformes concretes (per exemple, Dell amb ports USB-C/TBT), la marca confirma que el suport d'arrencada per USB-C/TBT i el preinici de TBT activats per defecte són una causa típica. En desactivar-los, desapareixen de la llista d'arrencada i deixen d'activar el mode de recuperació. L'únic efecte negatiu és que no podràs fer PXE boot des d'USB-C/TBT ni des de certs docks.

On trobar la clau de recuperació de BitLocker (i on no)

Abans de tocar res, necessites tenir localitzada la clau. Microsoft i els administradors de sistemes són clars: només hi ha uns quants llocs vàlids on pot estar guardada la clau de recuperació:

  • Compte Microsoft (MSA): si inicieu sessió amb un compte de Microsoft i l'encriptació s'ha activat, és normal que la clau s'hagi recolzat en el vostre perfil en línia. Podeu consultar https:\/\/account.microsoft.com\/devices\/recoverykey des d'un altre dispositiu.
  • Azure AD: per a comptes de treball/escola, la clau s'emmagatzema al vostre perfil d'Azure Active Directory.
  • Active Directory (AD) on-premise: en entorns corporatius tradicionals, l'administrador pot recuperar-la amb el ID de clau que apareix a la pantalla de BitLocker.
  • Impresa o PDF: potser la vas imprimir en habilitar el xifratge o la vas guardar en un fitxer local o en un USB. Revisa també còpies de seguretat.
  • Guardada en un fitxer en una altra unitat o al núvol de la teva organització, si es van seguir bones pràctiques.
Contingut exclusiu - Clic Aquí  Com habilitar 2FA PS4

Si no la trobes a cap d'aquests llocs, no hi ha “dreceres màgiques”: no hi ha un mètode legítim per desxifrar sense la clau. Algunes eines de recuperació de dades permeten arrencar a WinPE i explorar discos, però per accedir al contingut xifrat del volum del sistema seguiràs necessitant la clau de 48 dígits.

Comprovacions ràpides abans de ficar-te en feina

Hi ha una sèrie de proves senzilles que poden estalviar temps i evitar canvis innecessaris. Aprofita-les per identificar el disparador real del mode de recuperació:

  • Desconnecta tot allò extern: docks, memòries, discos, targetes, monitors amb USB-C, etc. Engega només amb teclat, ratolí i pantalla bàsics.
  • Proveu a introduir la clau una vegada i comprova si després d'entrar al Windows pots suspendre i reprendre la protecció per actualitzar el TPM.
  • Comproveu l'estat real de BitLocker amb la comanda: manage-bde -status. Us mostrarà si el volum OS està xifrat, el mètode (p. ex. XTS-AES 128), el percentatge i si els protectors estan actius.
  • Anota l'ID de clau que apareix a la pantalla blava de recuperació. Si depens del teu IT, amb aquest ID podran localitzar la clau exacta a AD/Azure AD.

Solució 1: Suspendre i reprendre BitLocker per actualitzar el TPM

Si podeu iniciar sessió introduint la clau, el més ràpid és suspendre i reprendre la protecció perquè BitLocker actualitzi els mesuraments del TPM a l'estat actual de l'ordinador.

  1. Introdueix la clau de recuperació quan es mostri.
  2. A Windows, aneu a Tauler de control → Sistema i seguretat → Xifratge d'unitat BitLocker.
  3. A la unitat del sistema (C:), prem Suspendre protecció. Confirma.
  4. Espera un parell de minuts i prem Reprendre protecció. Això força BitLocker a acceptar com a “bo” l'estat actual de l'arrencada.

Aquest mètode és especialment útil després d'un canvi de microprogramari o un ajustament menor de UEFI. Si després de reiniciar ja no demana la clau, hauràs resolt el bucle sense tocar BIOS.

Solució 2: Desbloquejar i deshabilitar temporalment protectors des de WinRE

Quan no aconsegueixes passar del prompt de recuperació o vols assegurar-te que l'arrencada no torni a demanar la clau, pots fer servir l'entorn de recuperació de Windows (WinRE) i gestionar-bde per ajustar els protectors.

  1. A la pantalla de recuperació, prem Esc per veure opcions avançades i tria Skip aquesta unitat.
  2. Aneu a Solucionar problemes → Opcions avançades → Símbol de sistema.
  3. Desbloqueja el volum OS amb: manage-bde -unlock C: -rp TU-CLAVE-DE-48-DÍGITOS (substitueix per la teva clau).
  4. Deshabilita protectors temporalment: manage-bde -protectors -disable C: i reinicia.

Després d'arrencar a Windows, podràs reprendre els protectors des del Panell de control o amb manage-bde -protectors -enable C:, i comprovar si el bucle ha desaparegut. Aquesta maniobra és segura i sol tallar la repetició del prompt quan el sistema ja és estable.

Solució 3: Ajustar USB-C/Thunderbolt i pila de xarxa UEFI a BIOS/UEFI

En equips amb USB-C/TBT, especialment portàtils i estacions amb docks, desactivar certs suports d'arrencada evita que el microprogramari introdueixi rutes “noves” que confonen BitLocker. En molts models Dell, per exemple, aquestes són les opcions recomanades:

  1. Entra a BIOS/UEFI (tecles habituals: F2 o F12 encendre).
  2. Cerca la secció de configuració de USB i Thunderbolt. Segons el model, pot ser a System Configuration, Integrated Devices o similar.
  3. Desactiva el suport de arrencada per USB-C o Thunderbolt 3.
  4. desactiva el prearrencada d'USB-C/TBT (i, si n'hi ha, “PCIe behind TBT”).
  5. desactiva l' pila de xarxa UEFI si no utilitzes PXE.
  6. A Comportament POST, configura Inici ràpid a "exhaustiu".

Després de desar i reiniciar, hauria de desaparèixer el prompt permanent. Tingues present el trade-off: perdràs la possibilitat d'arrencar per PXE des d'USB-C/TBT o des d'alguns docks. Si ho necessiteu en entorns IT, valoreu mantenir-lo actiu i gestionar l'excepció amb polítiques.

Contingut exclusiu - Clic Aquí  Quines característiques té AVG AntiVirus?

Solució 4: Secure Boot (activar, desactivar o política “Només Microsoft”)

L'arrencada segura protegeix de malware a la cadena d'arrencada. Canviar el seu estat o política pot ser just el que necessita el teu equip per sortir del bucle. Dues opcions que solen funcionar:

  • Activar-ho si estava desactivat, o seleccionar la política “Només Microsoft” en equips compatibles.
  • Desactivar-ho si algun component no signat o un microprogramari problemàtic provoca la petició de clau.

Per canviar-ho: entra a WinRE → Omet aquesta unitat → Solucionar problemes → Opcions avançades → Configuració de l'microprogramari UEFI → Reiniciar. A UEFI, localitza Arranjament segur, ajusta a l'opció preferida i desa amb F10. Si el prompt cessa, hauràs confirmat que l'arrel era una incompatibilitat d'arrencada segura.

Solució 5: Menú d'arrencada heretada (Legacy) amb BCDEdit

En alguns sistemes, el menú d'arrencada de Windows 10/11 desencadena el mode de recuperació. Canviar la política a “legacy” estabilitza l'arrencada i evita que BitLocker torni a demanar la clau.

  1. Obre un Símbol del sistema com a administrador.
  2. executa: bcdedit /set {default} bootmenupolicy legacy i prem Enter.

Reinicieu i comproveu si el prompt ha desaparegut. Si no canvieu res, podreu revertir l'ajust amb igual simplicitat canviant la política a “standard”.

Solució 6: Actualitzar BIOS/UEFI i microprogramari

Una BIOS desactualitzada o amb errors pot provocar fallades de mesura del TPM i forçar el mode de recuperació. Actualitzar a la darrera versió estable del teu fabricant sol ser mà de sant.

  1. Visita la pàgina de suport del fabricant i descarrega la darrera BIOS / UEFI pel teu model.
  2. Llegeix les instruccions específiques (de vegades només cal executar un EXE a Windows; altres, requereix USB FAT32 i Flashback).
  3. Durant el procés, mantingues alimentació estable i evita interrupcions. En acabar, la primera arrencada pot demanar la clau (normal). Després, suspèn i reprèn BitLocker.

Molts usuaris informen que després d'actualitzar la BIOS, el prompt deixa d'aparèixer després d'una única introducció de clau i un cicle de suspendre/reprendre protecció.

Solució 7: Windows Update, revertir pegats i reintegrar-los

També hi ha casos en què una actualització de Windows ha canviat peces sensibles de l'arrencada. Pots provar a reinstal·lar o desinstal·lar l'actualització problemàtica:

  1. Configuració → Actualització i seguretat → Veure historial d'actualitzacions.
  2. Entra amb Desinstal actualitzacions, identifica la sospitosa i treu-la.
  3. Reinicia, suspèn temporalment BitLocker, torna a instal·lar l'actualització i, després, reprèn la protecció.

Si el prompt cessa després d'aquest cicle, el problema estava en un estat intermedi que deixava incoherent la cadena de confiança de l'arrencada.

Solució 8: Desactivar l'autodesbloqueig d'unitats de dades

En entorns amb diverses unitats xifrades, el auto-desbloqueig de volums de dades lligat al TPM pot interferir. Pots desactivar-lo des de Panell de control → BitLocker → “Desactivar el desbloqueig automàtic” a les unitats afectades i reiniciar per provar si el prompt deixa de repetir-se.

Encara que sembli menor, en equips amb cadenes d'arrencada complexes i diversos discos, treure aquesta dependència pot simplificar prou per resoldre el bucle.

Solució 9: Retirar maquinari i perifèrics nous

Si just abans del problema vas afegir una targeta, vas canviar de dock o vas connectar un nou dispositiu, prova a retirar-lo temporalment. En especial, dispositius darrere de Thunderbolt poden aparèixer com a rutes d'arrencada. Si en treure'ls cessa el prompt, ja tens culpable i podràs reintroduir-lo després d'estabilitzar la configuració.

Escenari real: portàtil demana la clau després d'un reinici

Un cas típic: un HP Envy que arrenca amb pantalla negra, després mostra un quadre blau demanant confirmar i, a continuació, la clau de BitLocker. Després d'introduir-la, el Windows inicia normal amb PIN o empremta i tot sembla correcte. En reiniciar, la petició es repeteix. L'usuari passa diagnòstics, actualitza BIOS, i res no canvia. Què passa?

El més probable és que algun component de l'arrencada hagi quedat inconsistent (canvi de firmware recent, Secure Boot alterat, dispositiu extern llistat) i el TPM no hagi actualitzat els mesuraments. En situacions així, els passos guanyadors són:

  • Entrar una vegada amb la clau, suspendre i reprendre bitlocker.
  • verificar manage-bde -status per confirmar xifrat i protectors.
  • Si persisteix, revisar BIOS: desactivar pre-arrencada USB-C/TBT i pila de xarxa UEFI, o ajustar Secure Boot.

Després d'ajustar BIOS i fer el cicle de suspensió/represa, el més normal és que la sol·licitud desaparegui. Si no, aplica la desactivació temporal de protectors des de WinRE i reintenta.

Es pot “eludir” BitLocker sense la clau de recuperació?

Convé ser clar: no és possible desxifrar un volum protegit per BitLocker sense la clau de 48 dígits o un protector vàlid. El que sí que pots fer és, si coneixes la clau, desbloquejar el volum i després deshabilitar protectors temporalment perquè l'arrencada segueixi sense demanar-la mentre estabilitzes la plataforma.

Contingut exclusiu - Clic Aquí  Com millorar la seguretat del sistema amb Advanced System Optimizer?

Algunes eines de recuperació ofereixen mitjans d'arrencada WinPE per intentar salvar dades, però per llegir el contingut xifrat de la unitat del sistema necessitaran igualment la clau. Si no en disposes, l'alternativa és formatar la unitat e instal·lar Windows des de zero, assumint la pèrdua de dades.

Formatar i instal·lar Windows: últim recurs

error d'unitat de disc

Si després de tots els ajustaments segueixes sense poder superar el prompt (i no en tens la clau), l'únic camí operatiu és formatar la unitat i instal·lar Windows de nou. Des de WinRE → Símbol del sistema pots fer servir diskpart per identificar el disc i formatar-lo, i després instal·lar-lo des d'un USB d'instal·lació.

Abans d'arribar a aquest punt, esgota la cerca de la clau a les ubicacions legítimes i consulta amb la teva administrador si és un equip corporatiu. Recorda que certs fabricants ofereixen edicions WinPE de programari de recuperació per copiar fitxers daltres unitats no xifrades, però això no evita la necessitat de la clau per al volum OS xifrat.

Entorns corporatius: Azure AD, AD i recuperació amb ID de clau

En dispositius de treball o escola, el normal és que la clau estigui a Azure AD o en Active Directory. Des de la pantalla de recuperació, prem Esc per veure el ID de clau, anota-ho i remet-ho a l'administrador. Amb aquest identificador podreu localitzar la clau exacta associada al dispositiu i donar-vos accés.

A més, revisa la política d'arrencada de la teva organització. Si depeneu d'arrencada PXE per USB-C/TBT, potser no haureu de desactivar-lo; al seu lloc, el teu IT pot signar la cadena o estandarditzar una configuració que eviti el prompt recurrent.

Models i accessoris amb especial incidència

Alguns equips Dell amb USB-C/TBT i docks associats han mostrat aquest comportament: WD15, TB16, TB18DC, així com certes gammes Latitude (5280/5288, 7280, 7380, 5480/5488, 7480, 5580), XPS, Precision 3520 i altres famílies (Inspiron, OptiPlex, Vostro, Alienware, G Series, estacions fixa. No vol dir que fallin, sinó que amb arrencada i prearrencada per USB-C/TBT activats és més probable que BitLocker “vegi” noves rutes de boot.

Si utilitzes aquestes plataformes amb estacions d'acoblament, és bona idea fixar-ne una configuració BIOS estable i documentar la necessitat o no de PXE per aquests ports per evitar el prompt.

Puc impedir que BitLocker s'activi alguna vegada?

BitLocker

Al Windows 10/11, si inicies sessió amb compte Microsoft, alguns equips activen xifrat de dispositiu de forma gairebé transparent i guarden la clau a la teva MSA. Si utilitzeu un compte local i verifiqueu que BitLocker està desactivat, en principi no s'hauria d'activar sol.

Ara bé, allò assenyat no és “capar-ho” per sempre, sinó controlar-ho: desactiva BitLocker a totes les unitats si no ho vols, confirma que “Xifratge de dispositiu” no està actiu i guarda una còpia de la clau si en el futur ho habilites. Deshabilitar serveis crítics de Windows no és recomanable perquè pot comprometre la seguretat del sistema o generar efectes col·laterals.

Preguntes freqüents ràpides

On és la meva clau si utilitzo compte de Microsoft? Entra a https:\/\/account.microsoft.com\/devices\/recoverykey des d'un altre equip. Allà veuràs la llista de claus per dispositiu amb la seva ID.

Puc demanar la clau a Microsoft si utilitzo compte local? No. Si no la vau guardar ni recolzar a Azure AD/AD, Microsoft no en té. Revisa impressions, PDFs i còpies de seguretat, perquè sense clau no hi ha desxifrat.

¿gestionar-bde -status m'ajuda? Sí, mostra si el volum està xifrat, mètode (p. ex., XTS-AES 128), si la protecció està activada i si el disc està bloquejat o no. És útil per decidir els passos següents.

Què passa si desactiu arrenqueu USB-C/TBT? El prompt sol desaparèixer, però a canvi no podràs iniciar per PXE des d?aquests ports ni des d?algunes bases. Valora'l segons el teu escenari.

Si BitLocker us demana la clau en cada arrencada, el normal és que hi hagi un canvi d'arrencada persistent: ports USB-C/TBT amb suport de boot, Arranjament segur desajustat, firmware recentment actualitzat o maquinari extern a la ruta d'arrencada. Localitza la clau on correspon (MSA, Azure AD, AD, impressió o fitxer), entra i realitza el “suspendre i reprendre" per estabilitzar el TPM. Si persisteix, ajusta BIOS/UEFI (USB-C/TBT, pila de xarxa UEFI, Secure Boot), prova el menú legacy amb BCDEdit i mantingues BIOS i Windows actualitzats. En entorns corporatius, utilitza l'ID de clau per recuperar la informació des de directori. I recorda: sense la clau no hi ha accés a les dades xifrades; en aquest cas, formatar i instal·lar serà el darrer recurs per tornar a treballar.