BitLocker beder om adgangskoden hver gang du starter: virkelige årsager og hvordan man undgår det

Sidste ændring: 09/10/2025
Forfatter: Christian garcia

  • BitLocker starter gendannelsestilstand efter opstartsændringer (TPM/BIOS/UEFI, USB-C/TBT, sikker opstart, ekstern hardware).
  • Nøglen findes kun i MSA, Azure AD, AD, udskrevet eller gemt af brugeren; uden den kan den ikke dekrypteres.
  • Løsninger: suspendér/genoptag BitLocker, administrer BDE i WinRE, juster BIOS (USB-C/TBT, Secure Boot), opdater BIOS/Windows.

BitLocker beder om en gendannelsesnøgle ved hver opstart

¿Spørger BitLocker efter en gendannelsesnøgle ved hver opstart? Når BitLocker anmoder om gendannelsesnøglen ved hver opstart, ophører den med at være et stille sikkerhedslag og bliver til daglig gene. Denne situation får normalt alarmklokkerne til at ringe: Er der en fejl, har jeg rørt ved noget i BIOS/UEFI, er TPM'en i stykker, eller har Windows ændret "noget" uden varsel? Realiteten er, at BitLocker i de fleste tilfælde selv gør præcis, hvad den skal: Gå ind i gendannelsestilstand, hvis den registrerer en potentielt usikker opstart.

Det vigtige er at forstå, hvorfor dette sker, hvor man finder nøglen, og hvordan man forhindrer den i at bede om den igen. Baseret på brugeroplevelser fra den virkelige verden (som den, der så den blå besked efter at have genstartet sin HP Envy) og teknisk dokumentation fra producenter, vil du se, at der er meget specifikke årsager (USB-C/Thunderbolt, Secure Boot, firmwareændringer, bootmenu, nye enheder) og pålidelige løsninger som ikke kræver nogen mærkelige tricks. Derudover vil vi gøre det klart, hvad du kan og ikke kan gøre, hvis du har mistet din nøgle, fordi Uden gendannelsesnøglen er det ikke muligt at dekryptere dataene.

Hvad er BitLocker-gendannelsesskærmen, og hvorfor vises den?

BitLocker krypterer systemdisken og datadrevene for at beskytte dem mod uautoriseret adgangNår den registrerer en ændring i opstartsmiljøet (firmware, TPM, opstartsrækkefølge, tilsluttede eksterne enheder osv.), aktiverer den gendannelsestilstand og anmoder om 48-cifret kodeDette er normal opførsel, og det er sådan, Windows forhindrer nogen i at starte maskinen med ændrede parametre for at udtrække data.

Microsoft forklarer det ligeud: Windows kræver nøglen, når den registrerer en usikker tilstand, der kan indikere et uautoriseret adgangsforsøg. På administrerede eller personlige computere, BitLocker aktiveres altid af en person med administratorrettigheder (dig, en anden eller din organisation). Så når skærmen vises gentagne gange, er det ikke fordi BitLocker er "i stykker", men fordi noget i bagagerummet varierer hver gang og udløser kontrollen.

Virkelige grunde til, at BitLocker beder om nøglen ved hver opstart

Windows BitLocker 11

Der er meget almindelige årsager dokumenteret af producenter og brugere. Det er værd at gennemgå dem, fordi deres identifikation afhænger af at vælge den rigtige løsning:

  • USB-C/Thunderbolt (TBT) opstart og preboot aktiveretPå mange moderne computere er USB-C/TBT-opstartsunderstøttelse og Thunderbolt-pre-boot aktiveret som standard i BIOS/UEFI. Dette kan medføre, at firmwaren viser nye opstartsstier, hvilket BitLocker fortolker som ændringer og beder om nøglen.
  • Sikker opstart og dens politik- Aktivering, deaktivering eller ændring af politikken (f.eks. fra "Fra" til "Kun Microsoft") kan udløse integritetskontrollen og forårsage en nøgleprompt.
  • BIOS/UEFI og firmwareopdateringerNår BIOS, TPM eller selve firmwaren opdateres, ændres kritiske bootvariabler. BitLocker registrerer dette og beder om nøglen ved næste genstart, og selv ved efterfølgende genstarter, hvis platformen efterlades i en inkonsekvent tilstand.
  • Grafisk opstartsmenu vs. Legacy-opstartDer er tilfælde, hvor den moderne opstartsmenu i Windows 10/11 forårsager uoverensstemmelser og tvinger gendannelsesprompten frem. Ændring af politikken til ældre version kan muligvis stabilisere dette.
  • Eksterne enheder og ny hardwareUSB-C/TBT-dockingstationer, dockingstationer, USB-flashdrev, eksterne drev eller PCIe-kort "bag" Thunderbolt vises i opstartsstien og ændrer, hvad BitLocker ser.
  • Automatisk oplåsning og TPM-tilstandeAutomatisk oplåsning af datamængder og en TPM, der ikke opdaterer målinger efter visse ændringer, kan føre til tilbagevendende gendannelsesprompter.
  • Problematiske Windows-opdateringerNogle opdateringer kan ændre opstarts-/sikkerhedskomponenter, hvilket tvinger prompten til at vises, indtil opdateringen geninstalleres, eller versionen er rettet.

På specifikke platforme (f.eks. Dell med USB-C/TBT-porte) bekræfter virksomheden selv, at det er en typisk årsag at have USB-C/TBT-opstartsunderstøttelse og TBT-forhåndsopstart aktiveret som standard. Deaktivering af dem, forsvinde fra bootlisten og stop aktivering af gendannelsestilstand. Den eneste negative effekt er, at Du vil ikke kunne PXE-boote fra USB-C/TBT eller visse dockingstationer..

Hvor finder man BitLocker-gendannelsesnøglen (og hvor ikke)

Før du rører ved noget, skal du finde nøglen. Microsoft og systemadministratorer er klare: der er kun få gyldige steder hvor gendannelsesnøglen kan være gemt:

  • Microsoft-konto (MSA)Hvis du logger ind med en Microsoft-konto, og kryptering er aktiveret, sikkerhedskopieres nøglen typisk til din onlineprofil. Du kan tjekke https://account.microsoft.com/devices/recoverykey fra en anden enhed.
  • Azure AD- For arbejds-/skolekonti gemmes nøglen i din Azure Active Directory-profil.
  • Active Directory (AD) on-premiseI traditionelle virksomhedsmiljøer kan administratoren hente den med Nøgle-ID der vises på BitLocker-skærmen.
  • Trykt eller PDFMåske udskrev du den, da du aktiverede kryptering, eller du gemte den på en lokal fil eller et USB-drev. Tjek også dine sikkerhedskopier.
  • Gemt i en fil på et andet drev eller i din organisations sky, hvis god praksis blev fulgt.
Eksklusivt indhold - Klik her  Hvordan er følsomme oplysninger skjult i Avast Mobile Security-appen?

Hvis du ikke kan finde det på nogen af ​​disse sider, er der ingen "magiske genveje": Der er ingen legitim metode til at dekryptere uden nøglenNogle datagendannelsesværktøjer giver dig mulighed for at starte i WinPE og udforske diske, men du skal stadig bruge den 48-cifrede nøgle for at få adgang til det krypterede indhold af systemvolumenet.

Hurtige tjek inden du går i gang

Der findes en række simple tests, der kan spare tid og forhindre unødvendige ændringer. Udnyt dem til at identificer den virkelige udløser fra gendannelsestilstand:

  • Afbryd alt eksternt: docks, hukommelse, diske, kort, skærme med USB-C osv. Den starter kun med et grundlæggende tastatur, mus og skærm.
  • Prøv at indtaste nøglen én gang og kontroller, om du efter at have åbnet Windows kan suspendere og genoptage beskyttelsen for at opdatere TPM'en.
  • Tjek den aktuelle status for BitLocker med kommandoen: manage-bde -statusDen viser dig, om OS-volumenet er krypteret, metoden (f.eks. XTS-AES 128), procentdelen, og om beskyttere er aktive.
  • Skriv nøgle-ID'et ned der vises på den blå gendannelsesskærm. Hvis du stoler på dit IT-team, kan de bruge dette ID til at finde den nøjagtige nøgle i AD/Azure AD.

Løsning 1: Sæt BitLocker på pause og genstart den for at opdatere TPM'en.

Hvis du kan logge ind ved at indtaste nøglen, er den hurtigste måde suspendér og genoptag beskyttelse for at få BitLocker til at opdatere TPM-målingerne til computerens aktuelle tilstand.

  1. Gå ind i gendannelsesnøgle når den dukker op.
  2. I Windows skal du gå til Kontrolpanel → System og sikkerhed → BitLocker-drevkryptering.
  3. På systemdrevet (C:) skal du trykke på Ophæv beskyttelsenBekræft.
  4. Vent et par minutter, og tryk på CV-beskyttelseDette tvinger BitLocker til at acceptere den aktuelle opstartstilstand som "god".

Denne metode er især nyttig efter en firmwareændring eller en mindre UEFI-justering. Hvis efter genstart spørger ikke længere efter adgangskoden, vil du have løst løkken uden at røre BIOS.

Løsning 2: Lås op og deaktiver midlertidigt beskyttere fra WinRE

Når du ikke kan komme forbi gendannelsesprompten, eller vil sikre dig, at opstarten ikke beder om nøglen igen, kan du bruge Windows Gendannelsesmiljø (WinRE) og administrere-bde at justere beskytterne.

  1. På gendannelsesskærmen skal du trykke på Esc for at se avancerede muligheder og vælge Spring denne enhed over.
  2. Gå til Fejlfinding → Avancerede indstillinger → Kommandoprompt.
  3. Lås OS-volumen op med: manage-bde -unlock C: -rp TU-CLAVE-DE-48-DÍGITOS (erstat med din adgangskode).
  4. Deaktiver midlertidigt beskyttere: manage-bde -protectors -disable C: og genstart.

Efter opstart af Windows vil du kunne CV-beskyttere fra kontrolpanelet eller med manage-bde -protectors -enable C:, og kontroller om løkken er forsvundet. Denne manøvre er sikker og stopper normalt den promptgentagelse, når systemet er stabilt.

Løsning 3: Juster USB-C/Thunderbolt og UEFI Network Stack i BIOS/UEFI

På USB-C/TBT-enheder, især bærbare computere og dockingstationer, forhindrer deaktivering af bestemte bootmedier, at firmwaren introducerer "nye" stier, der forvirrer BitLocker. På mange Dell-modeller er disse f.eks. anbefalede muligheder:

  1. Gå ind i BIOS/UEFI (sædvanlige taster: F2 o F12 når den er tændt).
  2. Se efter konfigurationsafsnittet i USB og Thunderbolt. Afhængigt af modellen kan dette være under Systemkonfiguration, Integrerede enheder eller lignende.
  3. Deaktiverer understøttelse af USB-C-opstart o Thunderbolt 3.
  4. Sluk for USB-C/TBT-forhåndsopstart (og, hvis det findes, "PCIe bag TBT").
  5. Sluk for UEFI-netværksstak hvis du ikke bruger PXE.
  6. I POST-adfærd skal du konfigurere Hurtig start i "Omfattende".

Efter gemning og genstart burde den vedvarende prompt forsvinde. Husk følgende afvejning: Du vil miste muligheden for at boote via PXE fra USB-C/TBT eller fra nogle dockingstationer.Hvis du har brug for det i IT-miljøer, bør du overveje at holde det aktivt og administrere undtagelsen med politikker.

Eksklusivt indhold - Klik her  Hvordan opretter jeg en stærk adgangskode til min iCloud-konto?

Løsning 4: Sikker opstart (aktiver, deaktiver eller brug politikken "Kun Microsoft")

Sikker opstart beskytter mod malware i opstartskæden. Ændring af status eller politik kan være lige præcis, hvad din computer har brug for for at komme ud af løkkenTo muligheder, der normalt virker:

  • Aktiver den hvis den var deaktiveret, eller vælg politikken "Kun Microsoft" på kompatible enheder.
  • sluk den hvis en usigneret komponent eller problematisk firmware forårsager nøgleanmodningen.

Sådan ændrer du det: Gå til WinRE → Spring dette drev over → Fejlfinding → Avancerede indstillinger → UEFI firmwarekonfiguration → Genstart. Find i UEFI Sikker Boot, juster til den foretrukne indstilling og gem med F10. Hvis prompten ophører, har du bekræftet, at roden var en Inkompatibilitet med sikker opstart.

Løsning 5: Ældre opstartsmenu med BCDEdit

På nogle systemer udløser den grafiske opstartsmenu i Windows 10/11 gendannelsestilstand. Ændring af politikken til "legacy" stabiliserer opstarten og forhindrer BitLocker i at bede om nøglen igen.

  1. Åbn en Kommandoprompt som administrator.
  2. Løb: bcdedit /set {default} bootmenupolicy legacy og tryk Enter.

Genstart og kontroller, om prompten er forsvundet. Hvis intet ændrer sig, kan du gendanne indstillingen med lige enkelhed ændre politikken til "standard".

Løsning 6: Opdater BIOS/UEFI og firmware

En forældet eller fejlbehæftet BIOS kan forårsage TPM-målingsfejl og tvungen gendannelsestilstand. En opdatering til den seneste stabile version fra producenten er normalt en gave fra himlen.

  1. Besøg producentens supportside og download den seneste BIOS / UEFI til din model.
  2. Læs de specifikke instruktioner (nogle gange er det nok bare at køre en EXE i Windows; andre gange kræver det USB FAT32 og Flashback).
  3. Under processen skal du holde stabil fodring og undgå afbrydelser. Når den er færdig, kan den første opstart bede om nøglen (normal). Sæt derefter BitLocker på pause og genoptag den.

Mange brugere rapporterer, at prompten stopper med at blive vist efter en opdatering af BIOS. enkelt nøgleindtastning og en beskyttelsescyklus for suspendering/genoptagelse.

Løsning 7: Windows Update, annuller programrettelser og genintegrer dem

Der er også tilfælde, hvor en Windows-opdatering har ændret følsomme dele af opstartssystemet. Du kan prøve geninstallere eller afinstallere den problematiske opdatering:

  1. Indstillinger → Opdatering og sikkerhed → Se opdateringshistorik.
  2. Gå ind Afinstaller opdateringer, identificer den mistænkelige og fjern den.
  3. Genstart, suspender BitLocker midlertidigt, genstart installer opdatering og genoptager derefter beskyttelsen.

Hvis prompten stopper efter denne cyklus, var problemet i en mellemtilstand hvilket gjorde startup-tillidskæden usammenhængende.

Løsning 8: Deaktiver automatisk oplåsning af datadrev

I miljøer med flere krypterede drev, selvoplåsende Låsning af datavolumen knyttet til TPM kan forstyrre. Du kan deaktivere det fra Kontrolpanel → BitLocker → “Deaktiver automatisk oplåsning" på de berørte drev, og genstart for at teste, om prompten holder op med at gentage sig.

Selvom det kan virke ubetydeligt, i teams med komplekse støvlekæder og flere diske, kan fjernelse af denne afhængighed forenkle nok til at løse løkken.

Løsning 9: Fjern ny hardware og periferiudstyr

Hvis du tilføjede et kort, skiftede dockingstation eller tilsluttede en ny enhed lige før problemet opstod, kan du prøve fjern det midlertidigtSpecifikt kan enheder "bag Thunderbolt" vises som opstartsstier. Hvis fjernelse af dem stopper prompten, er du færdig. skyldig og du kan genindføre den, når konfigurationen er stabiliseret.

Virkelighedsscenarie: bærbar computer beder om adgangskode efter genstart

Et typisk tilfælde: en HP Envy, der starter med en sort skærm, derefter viser en blå boks, der beder om bekræftelse, og derefter BitLocker-nøgleEfter indtastning starter Windows normalt med en pinkode eller et fingeraftryk, og alt ser ud til at være korrekt. Ved genstart gentages anmodningen. Brugeren kører diagnosticering, opdaterer BIOS, og intet ændrer sig. Hvad sker der?

Mest sandsynligt er en del af støvlen blevet efterladt inkonsekvent (nylig firmwareændring, Secure Boot ændret, ekstern enhed angivet) og TPM'en har ikke opdateret sine målinger. I disse situationer er de bedste trin:

  • Indtast én gang med tasten, suspendere og genoptage BitLocker.
  • verificere manage-bde -status for at bekræfte kryptering og beskyttere.
  • Hvis det fortsætter, så tjek BIOS: deaktiver USB-C/TBT-preboot og UEFI-netværksstak, eller juster Secure Boot.

Efter justering af BIOS og udførelse af pause/genoptagelsescyklussen er det normalt, at anmodningen forsvindeHvis ikke, så anvend den midlertidige deaktivering af beskyttere fra WinRE og prøv igen.

Kan BitLocker omgås uden en gendannelsesnøgle?

Det burde være klart: det er ikke muligt at dekryptere et BitLocker-beskyttet volumen uden 48-cifret kode eller en gyldig beskytter. Hvad du kan gøre er, hvis du kender nøglen, lås op for lydstyrken og derefter midlertidigt deaktivere beskyttere, så opstarten fortsætter uden at bede om det, mens du stabiliserer platformen.

Eksklusivt indhold - Klik her  Hvordan ved jeg, om de spionerer på min Android-mobiltelefon?

Nogle gendannelsesværktøjer tilbyder WinPE-startbare medier for at forsøge at redde data, men for at læse det krypterede indhold af systemdrevet skal de stadig... nøglenHvis du ikke har det, er alternativet at formatere drevet og installer Windows fra bunden, forudsat datatab.

Formatér og installer Windows: sidste udvej

diskdrev fejl

Hvis du efter alle indstillingerne stadig ikke kan komme forbi prompten (og du ikke har nøglen), er den eneste funktionelle måde at gøre det på formatere drevet og geninstaller Windows. Fra WinRE → Kommandoprompt kan du bruge diskpart at identificere disken og formatere den, og derefter installere fra en installations-USB.

Før du når til dette punkt, så udtøm din søgning efter nøglen på legitime steder og kontakt din administrator Hvis det er en virksomhedsenhed, skal du huske, at nogle producenter tilbyder WinPE-udgaver af gendannelsessoftware til at kopiere filer fra andre ukrypterede drev, men det undgår ikke behovet for nøglen til det krypterede operativsystemvolumen.

Virksomhedsmiljøer: Azure AD, AD og gendannelse af nøgle-ID'er

På arbejds- eller skoleenheder er det normalt, at nøglen er i Azure AD eller Active Directory. Tryk på fra gendannelsesskærmen Esc at se Nøgle-ID, skriv det ned og send det til administratoren. Med dette id kan de finde den præcise nøgle, der er knyttet til enheden, og give dig adgang.

Gennemgå også din organisations opstartspolitik. Hvis du er afhængig af PXE-opstart via USB-C/TBT, bør du måske ikke deaktivere den; i stedet kan din IT-afdeling underskriv kæden eller standardiser en konfiguration, der undgår den tilbagevendende prompt.

Modeller og tilbehør med særlig effekt

Nogle Dell-computere med USB-C/TBT og tilhørende dockingstationer har udvist denne adfærd: WD15, TB16, TB18DC, såvel som visse Latitude-serier (5280/5288, 7280, 7380, 5480/5488, 7480, 5580), XPS, Precision 3520 og andre familier (Inspiron, OptiPlex, Vostro, Alienware, G-serien, faste og mobile arbejdsstationer og Pro-serierne). Det betyder ikke, at de fejler, men med USB-C/TBT-opstart og preboot aktiveret BitLocker er mere tilbøjelig til at "se" nye opstartsstier.

Hvis du bruger disse platforme med dockingstationer, er det en god idé at tilslutte en stabil BIOS-konfiguration og dokumentere behovet eller ej for PXE gennem disse porte for at undgå prompten.

Kan jeg forhindre, at BitLocker nogensinde bliver aktiveret?

BitLocker

I Windows 10/11 aktiveres nogle computere, hvis du logger ind med en Microsoft-konto enhedskryptering næsten transparent og gem nøglen i din MSA. Hvis du bruger en lokal konto og bekræfter, at BitLocker er deaktiveret, burde den ikke aktiveres automatisk.

Nu er det fornuftige ikke at "kastrere" den for evigt, men kontrollere detDeaktiver BitLocker på alle drev, hvis du ikke ønsker det, bekræft at "Enhedskryptering" ikke er aktiv, og gem en kopi af nøglen, hvis du aktiverer den i fremtiden. Det anbefales ikke at deaktivere kritiske Windows-tjenester, da det kan kompromittere sikkerheden af systemet eller generere bivirkninger.

Hurtige ofte stillede spørgsmål

Hvor er min adgangskode, hvis jeg bruger en Microsoft-konto? Gå til https://account.microsoft.com/devices/recoverykey fra en anden computer. Der kan du se en liste over nøgler pr. enhed med deres ID.

Kan jeg anmode om nøglen fra Microsoft, hvis jeg bruger en lokal konto? Nej. Hvis du ikke gemte den eller sikkerhedskopierede den i Azure AD/AD, har Microsoft den ikke. Tjek udskrifter, PDF'er og sikkerhedskopier, fordi uden en nøgle er der ingen dekryptering.

¿administrere-bde -Hjælper status mig? Ja, viser om volumen er krypteret, metode (f.eks. XTS-AES 128), om beskyttelse er aktiveret, og om disken er låst. Dette er nyttigt til at beslutte, hvad der skal gøres herefter.

Hvad sker der, hvis jeg deaktiverer USB-C/TBT-opstart? Prompten forsvinder normalt, men til gengæld Du vil ikke kunne boote via PXE fra disse havne eller fra nogle baser. Vurder det i henhold til dit scenario.

Hvis BitLocker beder om nøglen ved hver opstart, vil du typisk se en vedvarende opstartsændring: USB-C/TBT-porte med opstartsunderstøttelse, Sikker Boot uoverensstemmelse, nyligt opdateret firmware eller ekstern hardware i opstartsstien. Find nøglen, hvor den hører hjemme (MSA, Azure AD, AD, Print eller File), indtast den, og udfør “suspendere og genoptage" for at stabilisere TPM'en. Hvis det fortsætter, skal du justere BIOS/UEFI (USB-C/TBT, UEFI-netværksstak, Secure Boot), prøve den ældre menu med BCDEdit, og holde BIOS og Windows opdaterede. I virksomhedsmiljøer skal du bruge nøgle-ID'et til at hente oplysninger fra mappen. Og husk: Uden nøglen er der ingen adgang til de krypterede dataI så fald vil formatering og installation være den sidste udvej for at komme tilbage til arbejdet.