BitLocker dumanda a password ogni volta chì avviate: cause vere è cumu evità la

¿BitLocker dumanda una chjave di ricuperazione à ogni avviu? Quandu BitLocker dumanda a chjave di ricuperazione à ogni avviu, cessa d'esse un stratu silenziu di sicurezza è diventa un fastidiu cutidianu. Sta situazione di solitu face sonà l'allarmi: Ci hè un prublema, aghju toccu qualcosa in u BIOS/UEFI, u TPM hè rottu, o Windows hà cambiatu "qualcosa" senza preavvisu? A realità hè chì, in a maiò parte di i casi, BitLocker stessu face esattamente ciò chì duveria: entre in modu di ricuperazione s'ellu rileva un avviu potenzialmente periculosu.

L'impurtante hè di capisce perchè questu accade, induve truvà a chjave, è cumu impedisce ch'ella a dumandi di novu. Basatu annantu à l'esperienza di l'utente in a vita reale (cum'è quellu chì hà vistu u messagiu turchinu dopu avè riavviatu u so HP Envy) è a ducumentazione tecnica di i pruduttori, viderete chì ci sò cause assai specifiche (USB-C/Thunderbolt, Secure Boot, cambiamenti di firmware, menu di avvio, novi dispositivi) è suluzioni affidabili chì ùn necessitanu micca trucchi strani. Inoltre, vi spiegheremu ciò chì pudete è ùn pudete micca fà sè avete persu a vostra chjave, perchè Senza a chjave di ricuperazione ùn hè micca pussibule di decifrà i dati.

Chì ghjè a schermata di ricuperazione di BitLocker è perchè appare?

BitLocker cripta u discu di u sistema è l'unità di dati per pruteggeli da l'accessu micca autorizatuQuandu rileva un cambiamentu in l'ambiente d'avvio (firmware, TPM, ordine di i dispositivi d'avvio, dispositivi esterni cunnessi, ecc.), attiva a modalità di ripresa è dumanda u Codice di 48 cifreQuestu hè un cumpurtamentu nurmale è hè cumu Windows impedisce à qualchissia di avvià a macchina cù parametri alterati per estrarre dati.

Microsoft a spiega senza mezzi termini: Windows richiede a chjave quandu detecta un statu periculosu chì puderia indicà un tentativu d'accessu micca autorizatu. Nantu à l'urdinatori gestiti o persunali, BitLocker hè sempre attivatu da qualchissia cù permessi d'amministratore (voi, qualcunu altru, o a vostra urganizazione). Cusì quandu u schermu appare ripetutamente, ùn hè micca chì BitLocker hè "rottu", ma chì qualcosa in u stivale varia ogni volta è attiva a verificazione.

E vere ragioni per chì BitLocker dumanda a chjave à ogni avvio

Ci sò cause assai cumuni documentate da i pruduttori è l'utilizatori. Vale a pena rivederle perchè a so identificazione dipende da sceglie a suluzione ghjusta:

• Avvio è pre-avvio USB-C/Thunderbolt (TBT) abilitatiNant'à parechji urdinatori muderni, u supportu d'avviu USB-C/TBT è u pre-avviu Thunderbolt sò attivati ​​per difettu in u BIOS/UEFI. Questu pò fà chì u firmware elenchi i novi percorsi d'avviu, chì BitLocker interpreta cum'è cambiamenti è dumanda a chjave.
• Avvio sicuru è a so pulitica- L'attivazione, a disattivazione o a mudificazione di a pulitica (per esempiu, da "Off" à "Solu Microsoft") pò attivà a verificazione di l'integrità è causà un prompt di chjave.
• Aghjurnamenti di BIOS/UEFI è firmwareQuandu si aghjurna u BIOS, u TPM, o u firmware stessu, e variabili d'avvio critiche cambianu. BitLocker rileva questu è dumanda a chjave à u prossimu riavviu, è ancu à i riavvii successivi se a piattaforma hè lasciata in un statu inconsistente.
• Menu d'avvio graficu vs. avvio legacyCi sò casi induve u menu d'avvio mudernu di Windows 10/11 provoca incongruenze è forza a dumanda di ricuperazione. Cambià a pulitica à legacy pò stabilizà questu.
• Dispositivi esterni è novu hardwareI dock USB-C/TBT, e stazioni di docking, e unità flash USB, i dischi esterni o e carte PCIe "daretu" à Thunderbolt cumpariscenu in u percorsu di avvio è alteranu ciò chì BitLocker vede.
• Sbloccamentu automaticu è stati TPMU sbloccamentu automaticu di i volumi di dati è un TPM chì ùn aghjurnà micca e misurazioni dopu à certi cambiamenti pò purtà à richieste di ricuperazione ricorrenti.
• Aghjurnamenti problematichi di WindowsCerti aghjurnamenti ponu cambià i cumpunenti d'avviu/sicurezza, furzendu a dumanda à cumparisce finu à chì l'aghjurnamentu sia reinstallatu o a versione sia curretta.

Nant'à piattaforme specifiche (per esempiu, Dell cù porte USB-C/TBT), a cumpagnia stessa cunfirma chì avè u supportu di avvio USB-C/TBT è u pre-avvio TBT attivati ​​per difettu hè una causa tipica. Disattivenduli, sparisce da a lista di avvio è smette di attivà a modalità di ricuperazione. L'unicu effettu negativu hè chì Ùn puderete micca fà l'avvio PXE da USB-C/TBT o certi dock..

Induve truvà a chjave di ricuperazione BitLocker (è induve micca)

Prima di tuccà qualcosa, avete bisognu di localizà a chjave. Microsoft è l'amministratori di sistema sò chjari: ci sò solu uni pochi di lochi validi induve a chjave di ricuperazione pò esse almacenata:

• Contu Microsoft (MSA)Sè vo vi cunnettate cù un contu Microsoft è a crittografia hè attivata, a chjave hè generalmente salvata in u vostru prufilu in linea. Pudete verificà https://account.microsoft.com/devices/recoverykey da un altru dispositivu.
• azuread- Per i conti di travagliu/scola, a chjave hè almacenata in u vostru prufilu Azure Active Directory.
• Active Directory (AD) in situIn l'ambienti tradiziunali di l'imprese, l'amministratore pò recuperallu cù u ID di chjave chì appare nantu à u screnu di BitLocker.
• Stampatu o PDFForse l'avete stampatu quandu avete attivatu a crittografia, o l'avete salvatu in un schedariu lucale o in una unità USB. Verificate ancu e vostre copie di salvezza.
• Salvatu in un schedariu nant'à un altru discu o in u cloud di a vostra urganizazione, s'è e bone pratiche sò state seguitate.

Sè ùn pudete micca truvallu in nisunu di sti siti, ùn ci sò micca "scorciatoie magiche": Ùn ci hè micun metudu legittimu per decifrà senza a chjaveCerti strumenti di ricuperazione di dati vi permettenu di avvià WinPE è di esplorà i dischi, ma averete sempre bisognu di a chjave di 48 cifre per accede à u cuntenutu criptatu di u vulume di u sistema.

Verifiche rapide prima di cumincià

Ci hè una quantità di testi simplici chì ponu risparmià tempu è impedisce cambiamenti inutili. Prufittate di elli per identificà u veru trigger da a modalità di ricuperazione:

• Scollegà tuttu ciò chì hè esternu: dock, memoria, dischi, carte, monitori cù USB-C, ecc. Si avvia solu cù una tastiera, un mouse è un display basichi.
• Pruvate à inserisce a chjave una volta è verificate se dopu avè entratu in Windows pudete suspende è ripiglià a prutezzione per aghjurnà u TPM.
• Verificate u statu attuale di BitLocker cù u cumandimu: manage-bde -statusVi mustrarà s'ellu u vulume di u sistema operativu hè criptatu, u metudu (per esempiu XTS-AES 128), a percentuale, è s'è i prutettori sò attivi.
• Scrivite l'ID di a chjave chì appare nantu à u schermu di ricuperazione blu. Sè vi fidate di a vostra squadra IT, ponu aduprà quellu ID per localizà a chjave esatta in AD/Azure AD.

Soluzione 1: Suspende è ripiglià BitLocker per rinfrescà u TPM

Sè vo pudete cunnettassi inserendu a chjave, u modu u più veloce hè suspende è ripiglià a prutezzione per fà chì BitLocker aghjurni e misurazioni TPM à u statu attuale di l'urdinatore.

1. Entre in chjave di ricuperazione quandu si mostra.
2. In Windows, andate à Pannellu di cuntrollu → Sistema è Sicurezza → Crittografia di unità BitLocker.
3. Nant'à l'unità di sistema (C:), appughjà Suspende a prutezzioneCunfirmà.
4. Aspettate uni pochi di minuti è appughjà Prutezzione di u curriculum vitaeQuestu forza BitLocker à accettà u statu d'avvio attuale cum'è "bonu".

Stu metudu hè particularmente utile dopu à un cambiamentu di firmware o un aghjustamentu UEFI minore. Sè dopu à u riavviu ùn dumanda più a password, averete risoltu u ciclu senza tuccà u BIOS.

Soluzione 2: Sblocca è disattiva temporaneamente i prutettori da WinRE

Quandu ùn pudete micca passà u prompt di ricuperazione o vulete assicurà chì l'avvio ùn dumanda micca a chjave di novu, pudete aduprà Windows Recovery Environment (WinRE) è gestisce-bde per aghjustà i prutettori.

1. Nant'à u screnu di ricuperazione, appughjà Esc per vede l'opzioni avanzate è sceglie Saltà sta unità.
2. Andate à Risoluzione di i prublemi → Opzioni avanzate → Simbulu di u sistema.
3. Sblocca u vulume di u sistema operativu cù: manage-bde -unlock C: -rp TU-CLAVE-DE-48-DÍGITOS (rimpiazzà cù a vostra password).
4. Disattivate temporaneamente i prutettori: manage-bde -protectors -disable C: è riavvia.

Dopu avè avviatu Windows, puderete fà prutettori di curriculum vitae da u pannellu di cuntrollu o cù manage-bde -protectors -enable C:, è verificate s'ellu u ciclu hè sparitu. Sta manuvra hè sicura è di solitu ferma a ripetizione immediata quandu u sistema hè stabile.

Soluzione 3: Aghjustà USB-C/Thunderbolt è UEFI Network Stack in BIOS/UEFI

Nantu à i dispusitivi USB-C/TBT, in particulare i laptop è e stazioni di docking, a disattivazione di certi supporti d'avvio impedisce à u firmware d'introduce percorsi "novi" chì cunfondenu BitLocker. In parechji mudelli Dell, per esempiu, questi sò i opzioni consigliate:

1. Entre in BIOS/UEFI (chjavi abituali: F2 o F12 quandu hè accesu).
2. Cercate a sezione di cunfigurazione di plug è Thunderbolt. Sicondu u mudellu, questu pò esse sottu Configurazione di u Sistema, Dispositivi Integrati, o simili.
3. Disattiva u supportu per Avvio USB-C o Thunderbolt 3.
4. Spegni u Preavviu USB-C/TBT (è, s'ellu esiste, "PCIe daretu à TBT").
5. Spegni u Pila di rete UEFI sè ùn aduprate micca PXE.
6. In u cumpurtamentu POST, cunfigurà Principiu rapidu nantu à "Cumpresu".

Dopu avè salvatu è riavviatu, u prompt persistente duveria sparisce. Tenite à mente u compromessu: Perderete a capacità di avvià via PXE da USB-C/TBT o da certi dock.Sè ne avete bisognu in ambienti IT, cunsiderate di mantene lu attivu è di gestisce l'eccezzione cù pulitiche.

Soluzione 4: Avvio sicuru (attivazione, disattivazione o pulitica "Solu Microsoft")

L'avvio sicuru prutege contr'à i malware in a catena d'avvio. Cambià u so statutu o a so pulitica pò esse ghjustu ciò chì u vostru urdinatore hà bisognu. surtite da u cicluDui opzioni chì di solitu funzionanu:

• Attivà lu s'ellu era disattivatu, o selezziunate a pulitica "Solu Microsoft" nantu à i dispusitivi cumpatibili.
• spegne lu s'è un cumpunente micca firmatu o un firmware problematicu provoca a dumanda di chjave.

Per cambià lu: andate à WinRE → Saltà stu discu → Risoluzione di i prublemi → Opzioni avanzate → Cunfigurazione firmware UEFI → Riavvia. In UEFI, truvate boot sicuru, aghjustate à l'opzione preferita è salvate cù F10. Sè u prompt cessa, avete cunfirmatu chì a radica era una Incompatibilità di Secure Boot.

Soluzione 5: Menu d'avvio legacy cù BCDEdit

Nant'à certi sistemi, u menu graficu d'avviu di Windows 10/11 attiva a modalità di ripresa. Cambià a pulitica à "legacy" stabilizza l'avviu è impedisce à BitLocker di dumandà torna a chjave.

1. Apri a Command Prompt cum'è Amministratore.
2. Run: bcdedit /set {default} bootmenupolicy legacy è cliccate Enter.

Riavviate è verificate se u prompt hè sparitu. Se nunda ùn cambia, pudete annullà l'impostazione cù simplicità uguale cambià a pulitica à "standard".

Soluzione 6: Aggiorna u BIOS/UEFI è u firmware

Un BIOS obsoletu o buggatu pò causà Fallimenti di misurazione TPM è furzà a modalità di ripresa. L'aghjurnamentu à l'ultima versione stabile di u vostru fabricatore hè di solitu una manna da u celu.

1. Visitate a pagina di supportu di u fabricatore è scaricate l'ultima versione BIOS / UEFI per u vostru mudellu.
2. Leghjite l'istruzzioni specifiche (qualchì volta basta à eseguisce un EXE in Windows; altre volte, ci vole USB FAT32 è Flashback).
3. Durante u prucessu, tene alimentazione stabile è evità interruzioni. Dopu à a fine, u primu avviu pò dumandà a chjave (nurmale). Dopu, suspende è ripigliate BitLocker.

Parechji utilizatori signalanu chì dopu l'aghjurnamentu di u BIOS, u prompt smette di cumparisce dopu à un entrata à chjave unica è un ciclu di prutezzione di suspensione/ripresa.

Soluzione 7: Windows Update, ripristinate e patch è reintegratele

Ci sò ancu casi induve un aghjurnamentu di Windows hà cambiatu e parte sensibili di l'avvio. Pudete pruvà reinstallà o disinstallà l'aghjurnamentu problematicu:

1. Impostazioni → Aghjurnamentu è sicurità → Vede a storia di l'aghjurnamentu.
2. Intrattu Disinstallà l'aghjurnamenti, identificà quellu suspettu è caccià lu.
3. Riavvia, suspende temporaneamente BitLocker, riavvia stallà aghjurnamentu è dopu riprende a prutezzione.

Sè l'invitu si ferma dopu à stu ciclu, u prublema era in un statu intermediariu chì hà fattu incoerente a catena di fiducia di e start-up.

Soluzione 8: Disattivà u sbloccamentu automaticu di l'unità di dati

In ambienti cù parechji dischi criptati, u autosbloccante U bloccu di u vulume di dati ligatu à u TPM pò interferisce. Pudete disattivallu da u Pannellu di cuntrollu → BitLocker → "Disattivà u sbloccamentu automaticu"nantu à i dischi affettati è riavviate per verificà se u prompt smette di ripete si.

Ancu s'ellu pò sembrà minore, in e squadre cù catene di scarponi cumplesse è parechji dischi, a rimuzione di sta dipendenza pò simplificà abbastanza per risolve u ciclu.

Soluzione 9: Eliminate u novu hardware è periferiche

Sè avete aghjustatu una carta, cambiatu i dock, o cunnessu un novu dispusitivu ghjustu prima di u prublema, pruvate caccià lu temporaneamenteIn particulare, i dispusitivi "daretu à Thunderbolt" ponu cumparisce cum'è percorsi d'avvio. Sè a so rimuzione ferma u prompt, avete finitu. culpevule è pudete reintroducelu dopu chì a cunfigurazione sia stabilizzata.

Scenariu di a vita reale: un laptop dumanda una password dopu u riavviu

Un casu tipicu: una HP Envy chì si avvia cù un schermu neru, poi mostra una casella blu chì dumanda cunferma è dopu u Chjave BitLockerDopu avè inseritu, Windows si avvia nurmalmente cù un PIN o una impronta digitale, è tuttu pare currettu. À u riavviu, a dumanda hè ripetuta. L'utilizatore esegue a diagnostica, aghjurnà u BIOS, è nunda cambia. Chì succede?

Hè assai prubabile chì qualchì cumpunente di u stivale sia statu lasciatu daretu inconsistente (cambiamentu recente di firmware, Secure Boot alteratu, dispusitivu esternu listatu) è u TPM ùn hà micca aggiornatu e so misurazioni. In queste situazioni, i migliori passi sò:

• Entre una volta cù a chjave, suspende è ripiglià bitlocker.
• verificà manage-bde -status per cunfirmà a crittografia è i prutettori.
• S'ellu persiste, verificate u BIOS: disattivà u preavviu USB-C/TBT è a pila di rete UEFI, o aghjustà Secure Boot.

Dopu avè aghjustatu u BIOS è fattu u ciclu di suspensione/ripresa, hè nurmale chì a dumanda sparisceAltrimenti, applicate a disattivazione temporanea di i prutettori da WinRE è pruvate torna.

Pò esse bypassatu BitLocker senza una chjave di ricuperazione?

Deve esse chjaru: ùn hè micca pussibule di decifrà un vulume prutettu da BitLocker senza u Codice di 48 cifre o un prutettore validu. Ciò chì pudete fà hè, sè cunniscite a chjave, sblocca u vulume è dopu disattivate temporaneamente i prutettori in modu chì l'avvio cuntinui senza dumandallu mentre stabilizzate a piattaforma.

Certi strumenti di ricuperazione offrenu supporti avviabili WinPE per pruvà à salvà i dati, ma per leghje u cuntenutu criptatu di l'unità di sistema, averanu sempre bisognu di esse a chjaveSè ùn l'avete micca, l'alternativa hè di furmattà u discu è installà Windows da zero, assumendu a perdita di dati.

Formattate è installate Windows: ultima risorsa

Sè dopu à tutti i paràmetri ùn pudete ancu passà u prompt (è ùn avete micca a chjave), l'unicu modu operativu hè furmattà u discu è reinstallà Windows. Da WinRE → Prompt di cumanda pudete aduprà diskpart per identificà u discu è furmattallu, è dopu installallu da una chiavetta USB d'installazione.

Prima di ghjunghje à questu puntu, esaurite a vostra ricerca di a chjave in lochi legittimi è cunsultate cù u vostru amministratore S'ellu hè un dispusitivu corporativu. Ricurdatevi chì certi pruduttori offrenu Edizioni WinPE di software di ricuperazione per copià i fugliali da altri unità micca criptate, ma questu ùn evita micca a necessità di a chjave per u vulume di u sistema operativu criptatu.

Ambienti d'impresa: Azure AD, AD è recuperazione di l'ID di chjave

Nant'à i dispusitivi di u travagliu o di a scola, hè nurmale chì a chjave sia in azuread o in Active DirectoryDa u screnu di ricuperazione, appughjà Esc per vede u ID di chjave, scrivitelu è mandatelu à l'amministratore. Cù quellu identificatore, ponu localizà a chjave esatta assuciata à u dispusitivu è cuncede l'accessu.

Inoltre, verificate a pulitica di avvio di a vostra urganizazione. Sè vo cuntate nantu à l'avvio PXE via USB-C/TBT, pudete micca vulè disattivallu; invece, u vostru IT pò firmate a catena o standardizà una cunfigurazione chì evita u prompt ricorrente.

Modelli è accessori cù un impattu particulare

Certi urdinatori Dell cù USB-C/TBT è i dock assuciati anu mostratu stu cumpurtamentu: WD15, TB16, TB18DC, è ancu certe gamme Latitude (5280/5288, 7280, 7380, 5480/5488, 7480, 5580), XPS, Precision 3520 è altre famiglie (Inspiron, OptiPlex, Vostro, Alienware, Serie G, Stazioni di travagliu fisse è mobili, è linee Pro). Ùn significa micca ch'elli fiascanu, ma cun Avvio è pre-avvio USB-C/TBT abilitati BitLocker hè più prubabile di "vede" novi percorsi di avvio.

Sè vo aduprate ste piattaforme cù stazioni di docking, hè una bona idea di attaccà un cunfigurazione BIOS stabile è documentà a necessità o micca di PXE attraversu quelle porte per evità a dumanda.

Possu impedisce chì BitLocker sia attivatu?

In Windows 10/11, sè vi cunnettate cù un contu Microsoft, certi urdinatori si attivanu criptografia di u dispusitivu guasi trasparentemente è salvate a chjave in u vostru MSA. Sè vo aduprate un contu lucale è verificate chì BitLocker hè disattivatu, ùn deve micca attivà automaticamente.

Avà, a cosa sensata ùn hè micca di "castrà" per sempre, ma cuntrullà luDisattivate BitLocker nant'à tutti i dischi s'è vo ùn u vulete micca, cunfirmate chì "Device Encryption" ùn hè micca attivu, è salvate una copia di a chjave s'è vo l'attivate in u futuru. A disattivazione di i servizii Windows critichi ùn hè micca cunsigliata perchè pò compromette a sicurità di u sistema o generà effetti secundarii.

FAQ rapide

Induve hè a mo password s'aghju utilizatu un contu Microsoft? Andate à https://account.microsoft.com/devices/recoverykey da un altru urdinatore. Quì viderete a lista di chjave per dispusitivu cù e so ID.

Possu dumandà a chjave da Microsoft s'e aghju adupratu un contu lucale? Innò. Sè ùn l'avete micca salvatu o copia di salvezza in Azure AD/AD, Microsoft ùn l'hà micca. Verificate e stampe, i PDF è e copie di salvezza, perchè senza una chjave ùn ci hè micca decifrazione.

¿gestisce-bde -u statutu m'aiuta ? Iè, mostra s'ellu u vulume hè criptatu, metudu (per esempiu, XTS-AES 128), se a prutezzione hè attivata, è se u discu hè bluccatu. Questu hè utile per decide ciò chì fà dopu.

Chì succede s'e disattivu l'avvio USB-C/TBT? L'invitu di solitu sparisce, ma in ritornu ùn puderete micca avvià via PXE da quelli porti o da alcune basi. Valutalu secondu u vostru scenariu.

Sè BitLocker dumanda a chjave à ogni avviu, di solitu viderete un cambiamentu d'avviu persistente: porte USB-C/TBT cù supportu d'avviu, boot sicuru Firmware micca cunnessu, aggiornatu di recente, o hardware esternu in u percorsu di avvio. Truvate a chjave induve appartene (MSA, Azure AD, AD, Stampa, o File), inseritela è eseguite "suspende è ripiglià"per stabilizà u TPM. S'ellu persiste, aghjustate u BIOS/UEFI (USB-C/TBT, pila di rete UEFI, Secure Boot), pruvate u menu legacy cù BCDEdit, è mantene u BIOS è Windows aggiornati. In ambienti corporativi, aduprate l'ID di chjave per recuperà informazioni da u cartulare. È ricordate: Senza a chjave ùn ci hè accessu à i dati criptati; in questu casu, a furmattazione è l'installazione seranu l'ultima risorsa per vultà à u travagliu.