BitLocker küsib parooli iga kord, kui käivitate: tegelikud põhjused ja kuidas seda vältida

Viimane uuendus: 09/10/2025
Autor: Christian garcia

  • BitLocker lülitub taasterežiimi pärast käivitusmuudatusi (TPM/BIOS/UEFI, USB-C/TBT, turvaline käivitus, väline riistvara).
  • Võti on ainult MSA-s, Azure AD-s, AD-s, prinditud või kasutaja poolt salvestatud; ilma selleta ei saa seda dekrüpteerida.
  • Lahendused: BitLockeri peatamine/taastamine, haldamine WinRE-s, BIOS-i kohandamine (USB-C/TBT, turvaline alglaadimine), BIOS-i/Windowsi värskendamine.

BitLocker küsib igal käivitamisel taastevõtit

¿Kas BitLocker küsib iga käivitamise ajal taastevõtit? Kui BitLocker küsib igal käivitamisel taastevõtit, lakkab see olemast vaikne turvakiht ja muutub igapäevaseks nuhtluseks. Selline olukord tekitab tavaliselt häirekellasid: kas on tegemist tõrkega, kas ma olen BIOS-is/UEFI-s midagi puudutanud, kas TPM on katki või on Windows hoiatamata "midagi" muutnud? Tegelikult teeb BitLocker ise enamasti täpselt seda, mida peaks: sisenege taasterežiimi, kui see tuvastab potentsiaalselt ohtliku alglaadimise.

Oluline on mõista, miks see juhtub, kust võtit leida ja kuidas takistada seda uuesti küsimast. Reaalse kasutajakogemuse (näiteks selle, kes nägi pärast HP Envy taaskäivitamist sinist teadet) ja tootjate tehnilise dokumentatsiooni põhjal näete, et sellel on väga spetsiifilised põhjused (USB-C/Thunderbolt, turvaline alglaadimine, püsivara muudatused, alglaadimismenüü, uued seadmed) ja usaldusväärsed lahendused mis ei nõua mingeid imelikke nippe. Lisaks teeme selgeks, mida saate ja mida mitte teha, kui olete oma võtme kaotanud, sest Ilma taastevõtmeta pole andmeid võimalik dekrüpteerida.

Mis on BitLockeri taastekuva ja miks see kuvatakse?

BitLocker krüpteerib süsteemiketta ja andmekettad kaitsta neid volitamata juurdepääsu eestKui see tuvastab käivituskeskkonnas muutuse (püsivara, TPM, käivitusseadmete järjekord, ühendatud välisseadmed jne), aktiveerib see taasterežiimi ja taotleb 48-kohaline koodSee on normaalne käitumine ja nii takistab Windows kellelgi arvutit muudetud parameetritega käivitamast andmete hankimiseks.

Microsoft selgitab seda otsekoheselt: Windows vajab võtit, kui tuvastab ebaturvalise oleku, mis võib viidata volitamata juurdepääsu katsele. Hallatavates või personaalarvutites BitLockeri lubab alati keegi, kellel on administraatori õigused (teie, keegi teine ​​või teie organisatsioon). Seega, kui ekraan ilmub korduvalt, ei tähenda see, et BitLocker on "katki", vaid et pakiruumis on iga kord midagi erinevat ja käivitab kontrolli.

Tegelikud põhjused, miks BitLocker küsib iga käivitamise ajal võtit

Windows BitLocker 11

Tootjad ja kasutajad on dokumenteerinud väga levinud põhjuseid. Neid tasub üle vaadata, sest nende tuvastamine sõltub õige lahenduse valimine:

  • USB-C/Thunderbolti (TBT) kaudu käivitamine ja eelkäivitus lubatudPaljudes tänapäevastes arvutites on USB-C/TBT alglaadimise tugi ja Thunderbolti eelkäivitus BIOS-is/UEFI-s vaikimisi lubatud. See võib põhjustada püsivara uute alglaadimisteede loetlemist, mida BitLocker tõlgendab muudatustena ja küsib võtit.
  • Turvaline alglaadimine ja selle poliitika- Poliitika lubamine, keelamine või muutmine (näiteks olekust „Väljas” olekusse „Ainult Microsoft”) võib käivitada terviklikkuse kontrolli ja kuvada võtmeviiba.
  • BIOS/UEFI ja püsivara värskendusedBIOS-i, TPM-i või püsivara enda värskendamisel muutuvad olulised käivitusmuutujad. BitLocker tuvastab selle ja küsib võtit järgmisel taaskäivitamisel ning isegi järgnevatel taaskäivitustel, kui platvorm jääb ebajärjekindlasse olekusse.
  • Graafiline käivitusmenüü vs. pärandkäivitusOn juhtumeid, kus Windows 10/11 moodne käivitusmenüü põhjustab vastuolusid ja sunnib kuvama taasteviiba. Poliitika muutmine pärandpoliitikaks võib seda stabiliseerida.
  • Välised seadmed ja uus riistvaraThunderbolti „taga” olevad USB-C/TBT dokid, dokkimisjaamad, USB-mälupulgad, välised draivid või PCIe-kaardid ilmuvad alglaadimisteele ja muudavad BitLockeri kuvatavat.
  • Automaatne avamine ja TPM-i olekudAndmemahtude automaatne avamine ja TPM, mis pärast teatud muudatusi mõõtmisi ei värskenda, võivad põhjustada korduvad taastumisjuhised.
  • Probleemsed Windowsi värskendusedMõned värskendused võivad muuta käivitus-/turvakomponente, sundides viipa ilmuma kuni värskenduse uuesti installimiseni või versiooni parandamiseni.

Teatud platvormidel (nt Dell USB-C/TBT portidega) kinnitab ettevõte ise, et tüüpiline põhjus on vaikimisi lubatud USB-C/TBT alglaadimise tugi ja TBT eelkäivitus. Nende keelamine saapaloendist kaduma ja lõpetage taasterežiimi aktiveerimine. Ainus negatiivne mõju on see, et Sa ei saa PXE-käivitust USB-C/TBT või teatud dokkimisjaamade kaudu teha..

Kust leida BitLockeri taastevõtit (ja kust mitte)

Enne millegi puudutamist peate võtme leidma. Microsoft ja süsteemiadministraatorid on selles kindlad: kehtivaid kohti on vaid mõned kus taastevõtit võidakse salvestada:

  • Microsofti konto (MSA)Kui logite sisse Microsofti kontoga ja krüptimine on lubatud, varundatakse võti tavaliselt teie veebiprofiili. Saate seda kontrollida aadressilt https://account.microsoft.com/devices/recoverykey teisest seadmest.
  • Azure AD- Töö-/koolikontode puhul salvestatakse võti teie Azure Active Directory profiili.
  • Kohapealne Active Directory (AD)Traditsioonilises ettevõttekeskkonnas saab administraator selle kätte funktsiooniga Võtme ID mis kuvatakse BitLockeri ekraanil.
  • Prinditud või PDF-failinaVõib-olla printisite selle krüpteerimise lubamise ajal või salvestasite selle kohalikku faili või USB-mäluseadmesse. Kontrollige ka oma varukoopiaid.
  • Salvestatud faili teisel draivil või teie organisatsiooni pilves, kui järgiti häid tavasid.
Eksklusiivne sisu – klõpsake siin  Kas AVG AntiVirus Free värskendused on tasuta?

Kui te ei leia seda üheltki neist saitidest, siis pole mingeid "maagilisi otseteid": Ilma võtmeta pole seaduslikku meetodit dekrüpteerimiseksMõned andmete taastamise tööriistad võimaldavad teil käivitada WinPE-i ja uurida kettaid, kuid süsteemimahu krüptitud sisule juurdepääsuks vajate ikkagi 48-kohalist võtit.

Kiired kontrollid enne alustamist

On mitmeid lihtsaid teste, mis aitavad aega kokku hoida ja vältida ebavajalikke muudatusi. Kasutage neid ära, et tuvastage tegelik päästik taasterežiimist:

  • Ühenda kõik väline lahti: dokid, mälu, kettad, kaardid, USB-C-ga monitorid jne. See käivitub ainult tavalise klaviatuuri, hiire ja kuvariga.
  • Proovige võtit sisestada üks kord ja kontrollige, kas pärast Windowsi sisenemist saate TPM-i värskendamiseks kaitse peatada ja jätkata.
  • Kontrollige BitLockeri tegelikku olekut käsuga: manage-bde -statusSee näitab, kas operatsioonisüsteemi köide on krüptitud, meetodit (nt XTS-AES 128), protsenti ja kas kaitsjad on aktiivsed.
  • Kirjutage üles võtme ID mis kuvatakse sinisel taasteekraanil. Kui loodate oma IT-meeskonnale, saavad nad selle ID abil AD-s/Azure AD-s täpse võtme leida.

Lahendus 1: TPM-i värskendamiseks peatage ja taaskäivitage BitLocker

Kui saate sisse logida võtme sisestamisega, on kiireim viis kaitse peatamine ja jätkamine et BitLocker värskendaks TPM-i mõõtmisi arvuti praeguse oleku järgi.

  1. Sisestage taastevõti kui see ilmub.
  2. Windowsis minge jaotisse Juhtpaneel → Süsteem ja turvalisus → BitLockeri draivikrüptimine.
  3. Süsteemikettal (C:) vajutage Peatage kaitse. Kinnita.
  4. Oota paar minutit ja vajuta CV kaitseSee sunnib BitLockerit aktsepteerima praegust käivitusolekut kui „hea“.

See meetod on eriti kasulik pärast püsivara muutmist või väiksemaid UEFI muudatusi. Kui pärast taaskäivitamist ei küsi enam parooli, olete tsükli lahendanud ilma BIOS-i puudutamata.

Lahendus 2: Avage ja keelake ajutiselt WinRE kaitsjad

Kui te ei saa taasteviibast mööda või soovite veenduda, et alglaadimisel võtit uuesti ei küsita, saate kasutada Windowsi taastekeskkonda (WinRE) ja haldus-bde kaitsmete reguleerimiseks.

  1. Taastekuval vajutage Esc et näha täpsemaid valikuid ja valida Jäta see üksus vahele.
  2. Mine jaotisse Tõrkeotsing → Lisavalikud → Käsuviip.
  3. Avage operatsioonisüsteemi köide järgmiselt: manage-bde -unlock C: -rp TU-CLAVE-DE-48-DÍGITOS (asenda oma parooliga).
  4. Kaitsjate ajutine keelamine: manage-bde -protectors -disable C: ja taaskäivitage.

Pärast Windowsi käivitamist saate CV kaitsjad juhtpaneelilt või koos manage-bde -protectors -enable C:ja kontrollige, kas tsükkel on kadunud. See manööver on ohutu ja tavaliselt peatab kiire korduse, kui süsteem on stabiilne.

Lahendus 3: Reguleerige BIOS-is/UEFI-s USB-C/Thunderbolti ja UEFI võrgupinu

USB-C/TBT seadmetel, eriti sülearvutitel ja dokkimisjaamadel, takistab teatud käivitusmeediumite keelamine püsivara poolt uute radade lisamist, mis ajavad BitLockeri segadusse. Näiteks paljudel Delli mudelitel on need soovitatavad valikud:

  1. Sisestage BIOS/UEFI (tavalised klahvid: F2 o F12 kui see on sisse lülitatud).
  2. Otsige üles konfiguratsiooniosa USB ja Thunderbolt. Sõltuvalt mudelist võib see asuda jaotises Süsteemi konfiguratsioon, Integreeritud seadmed või midagi sarnast.
  3. Keelab toe järgmistele: USB-C käivitamine o Thunderbolt 3.
  4. Lülitage seade välja USB-C/TBT eelkäivitus (ja kui see on olemas, siis „PCIe TBT taga“).
  5. Lülitage seade välja UEFI võrgupinu kui sa PXE-d ei kasuta.
  6. POST-käitumise all konfigureerige Kiire algus sisse "Põhjalik".

Pärast salvestamist ja taaskäivitamist peaks püsiv viip kaduma. Pidage meeles kompromissi: Sa kaotad võimaluse PXE kaudu USB-C/TBT või mõnede dokkimisjaamade kaudu käivitada.Kui teil seda IT-keskkondades vaja on, kaaluge selle aktiivsena hoidmist ja erandite haldamist poliitikate abil.

Eksklusiivne sisu – klõpsake siin  Kuidas keelata Windows 11 tulemüür?

Lahendus 4: Turvaline alglaadimine (lubamine, keelamine või poliitika „Ainult Microsoftile”)

Turvaline alglaadimine kaitseb pahavara eest alglaadimisahelas. Selle oleku või poliitika muutmine võib olla just see, mida teie arvuti vajab. ahelast välja tullaKaks varianti, mis tavaliselt toimivad:

  • Aktiveerige see kui see oli keelatud või valige poliitika "Ainult Microsoft" ühilduvatel seadmetel.
  • Lülita see välja kui võtmepäringu põhjustab allkirjastamata komponent või problemaatiline püsivara.

Selle muutmiseks minge WinRE → Jäta see draiv vahele → Veaotsing → Lisavalikud → UEFI püsivara konfiguratsioon → Taaskäivitage. Leidke UEFI-st Secure Boot, kohandage soovitud valikule ja salvestage F10-ga. Kui viip kaob, olete kinnitanud, et juur oli Turvalise alglaadimise ühildumatus.

Lahendus 5: Pärandi alglaadimismenüü BCDEditiga

Mõnes süsteemis käivitab Windows 10/11 graafiline käivitusmenüü taasterežiimi. Poliitika muutmine valikuks „pärand” stabiliseerib käivituse ja takistab BitLockeril võtme uuesti küsimist.

  1. Avage a Käsuviip administraatorina.
  2. Käivita: bcdedit /set {default} bootmenupolicy legacy ja vajuta Enter.

Taaskäivitage seade ja kontrollige, kas teade on kadunud. Kui midagi ei muutu, saate seadistuse taastada, kasutades võrdne lihtsus poliitika muutmine „standardseks“.

Lahendus 6: värskendage BIOS-i/UEFI-d ja püsivara

Vananenud või vigane BIOS võib põhjustada TPM-i mõõtmise tõrked ja sundtaasterežiim. Tootja uusimale stabiilsele versioonile värskendamine on tavaliselt õnnistus.

  1. Külasta tootja tugilehte ja lae alla uusim BIOS / UEFI teie mudeli jaoks.
  2. Lugege konkreetseid juhiseid (mõnikord piisab Windowsis lihtsalt EXE-faili käivitamisest; teinekord on vaja USB FAT32 ja Flashback).
  3. Protsessi ajal hoidke stabiilne söötmine ja vältige katkestusi. Pärast lõpetamist võidakse esimesel käivitamisel võtit küsida (tavapärane). Seejärel peatage ja taaskäivitage BitLocker.

Paljud kasutajad teatavad, et pärast BIOS-i värskendamist lakkab see teade ilmumast. ühe võtmega sisestamine ja peatamise/jätkamise kaitsetsükkel.

Lahendus 7: Windows Update, taastage parandused ja integreerige need uuesti

Samuti on juhtumeid, kus Windowsi värskendus on muutnud alglaadimise tundlikke osi. Võite proovida uuesti installimine või desinstallimine problemaatiline uuendus:

  1. Seaded → Värskendused ja turvalisus → Kuva värskenduste ajalugu.
  2. Sisenege sisse Desinstallige värskendused, tuvastage kahtlane ja eemaldage see.
  3. Taaskäivitage, peatage BitLocker ajutiselt, taaskäivitage installige värskendus ja seejärel jätkab kaitset.

Kui teade pärast seda tsüklit lakkab, oli probleem vahepealne olek mis muutis idufirma usaldusahela ebajärjekindlaks.

Lahendus 8: Keelake andmeketaste automaatne avamine

Keskkondades, kus on mitu krüpteeritud draivi, iselukustuv TPM-iga seotud andmemahu lukustus võib häirida. Saate selle keelata juhtpaneelil → BitLocker → „Keela automaatne avamine” mõjutatud draividel ja taaskäivitage arvuti, et kontrollida, kas viip lakkab kordumast.

Kuigi see võib tunduda tühise tähtsusega, meeskondades, kus keerulised saapaketid ja mitu ketast, võib selle sõltuvuse eemaldamine tsükli lahendamiseks piisavalt lihtsustada.

Lahendus 9: Eemaldage uus riist- ja välisseadmed

Kui lisasite vahetult enne probleemi kaardi, vahetasite dokki või ühendasite uue seadme, proovige eemaldage see ajutiseltTäpsemalt öeldes võivad seadmed, mis asuvad „Thunderbolti taga”, ilmuda alglaadimisradadena. Kui nende eemaldamine peatab viipa kuvamise, on kõik tehtud. süüdi ja saate selle pärast konfiguratsiooni stabiliseerumist uuesti sisse lülitada.

Päriselu: sülearvuti küsib pärast taaskäivitamist parooli

Tüüpiline juhtum: HP Envy, mis käivitub musta ekraaniga, seejärel kuvab sinise kasti, mis küsib kinnitust, ja seejärel BitLockeri võtiPärast selle sisestamist käivitub Windows tavapäraselt PIN-koodi või sõrmejäljega ja kõik tundub õige olevat. Taaskäivitamisel korratakse päringut. Kasutaja käivitab diagnostika, värskendab BIOS-i ja midagi ei muutu. Mis toimub?

Tõenäoliselt on mõni saapaosa maha jäänud. ebajärjekindel (hiljutine püsivara muudatus, turvaline alglaadimine muudetud, väline seade loetletud) ja TPM pole oma mõõtmisi värskendanud. Sellistel juhtudel on parimad sammud järgmised:

  • Sisestage üks kord võtmega, peatamine ja jätkamine BitLocker.
  • Tõeline manage-bde -status krüptimise ja kaitsjate kinnitamiseks.
  • Kui see püsib, kontrollige BIOS-i: keela USB-C/TBT eelkäivitus ja UEFI võrgupinu või kohandage turvalist alglaadimist.

Pärast BIOS-i kohandamist ja peatamise/jätkamise tsükli tegemist on normaalne, et päring kaovadKui ei, siis rakendage WinRE kaitsjate ajutine keelamine ja proovige uuesti.

Kas BitLockerist saab mööda hiilida ilma taastevõtmeta?

Peaks olema selge: BitLockeriga kaitstud köidet ei ole võimalik dekrüpteerida ilma selleta. 48-kohaline kood või kehtiv kaitsja. Kui teate võtit, saate seda teha, avage helitugevus ja seejärel keelake ajutiselt kaitsmed, et alglaadimine jätkuks ilma küsimata, kuni te platvormi stabiliseerite.

Eksklusiivne sisu – klõpsake siin  Kuidas tuvastada ja ära hoida võltsimisrünnakuid

Mõned taastetööriistad pakuvad andmete päästmiseks WinPE-põhist käivitatavat meediat, kuid süsteemiketta krüptitud sisu lugemiseks tuleb neid ikkagi kasutada. võtiKui teil seda pole, on alternatiiviks draivi vormindamine ja installige Windows nullist, eeldades andmete kadumist.

Windowsi vormindamine ja installimine: viimane abinõu

kettaseadme viga

Kui pärast kõiki seadeid ei saa te ikka veel viipast edasi (ja teil pole võtit), on ainus toimiv viis vormindage draiv ja installige Windows uuesti. WinRE → Käsuviip abil saate kasutada diskpart ketta tuvastamiseks ja vormindamiseks ning seejärel installi-USB-lt installimiseks.

Enne kui selleni jõuad, ammenda oma otsingud võtme leidmiseks seaduslikes kohtades ja konsulteeri oma arstiga. administraator Kui tegemist on ettevõtte seadmega. Pidage meeles, et mõned tootjad pakuvad WinPE väljaanded taastetarkvara failide kopeerimiseks teistelt krüpteerimata draividelt, kuid see ei välista vajadust krüpteeritud operatsioonisüsteemi köite võtme järele.

Ettevõtte keskkonnad: Azure AD, AD ja võtme ID taastamine

Töö- või kooliseadmetes on normaalne, et võti on sees Azure AD aastal Active Directory. Taastekuval vajutage Esc et näha Võtme ID, kirjutage see üles ja saatke administraatorile. Selle identifikaatori abil saavad nad seadmega seotud täpse võtme leida ja teile juurdepääsu anda.

Samuti vaadake üle oma organisatsiooni käivituspoliitika. Kui teie ettevõtte käivitamispoliitika põhineb PXE-l USB-C/TBT kaudu, ei pruugi te seda keelata; selle asemel saab teie IT-osakond seda teha. keti allkirjastama või standardiseerida konfiguratsioon, mis väldib korduvat viipa.

Erilise mõjuga mudelid ja lisatarvikud

Mõnedel USB-C/TBT-pordiga Delli arvutitel ja nendega seotud dokkidel on esinenud järgmist käitumist: WD15, TB16, TB18DC, samuti teatud Latitude'i seeriad (5280/5288, 7280, 7380, 5480/5488, 7480, 5580), XPS, Precision 3520 ja teised perekonnad (Inspiron, OptiPlex, Vostro, Alienware, G-seeria, fikseeritud ja mobiilsed tööjaamad ning Pro-liinid). See ei tähenda, et need ebaõnnestuvad, vaid pigem seda, et USB-C/TBT käivitamine ja eelkäivitus lubatud BitLocker näeb tõenäolisemalt uusi käivitusteid.

Kui kasutate neid platvorme dokkimisjaamadega, on hea mõte kinnitada stabiilne BIOS-i konfiguratsioon ja dokumenteerige PXE vajadus nende portide kaudu, et vältida viipa.

Kas ma saan BitLockeri aktiveerimist kunagi takistada?

BitLocker

Windows 10/11 puhul aktiveeritakse mõned arvutid Microsofti kontoga sisselogimisel seadme krüpteerimine peaaegu läbipaistvalt ja salvestage võti oma MSA-sse. Kui kasutate kohalikku kontot ja veendute, et BitLocker on keelatud, ei tohiks see automaatselt aktiveeruda.

Nüüd pole mõistlik seda igaveseks "kastreerida", vaid kontrolli sedaKeelake BitLocker kõigil draividel, kui te seda ei soovi, veenduge, et „Seadme krüptimine” pole aktiivne ja salvestage võtme koopia, kui te selle tulevikus lubate. Oluliste Windowsi teenuste keelamine pole soovitatav, kuna see võib turvalisust ohustada süsteemi või põhjustada kõrvaltoimeid.

Kiire KKK

Kus on minu parool, kui ma kasutan Microsofti kontot? Mine teisest arvutist aadressile https://account.microsoft.com/devices/recoverykey. Seal näed seadmete kaupa võtmete loendit koos nende aadressidega. ID.

Kas ma saan Microsoftilt võtit taotleda, kui kasutan kohalikku kontot? Ei. Kui te seda Azure AD/AD-s ei salvestanud ega varundanud, siis Microsoftil seda pole. Kontrollige väljatrükke, PDF-e ja varukoopiaid, sest ilma võtmeta dekrüpteerimist ei toimu.

¿haldus-bde -staatus aitab mind? Jah, näitab, kas köide on krüpteeritud, meetod (nt XTS-AES 128), kas kaitse on lubatud ja kas ketas on lukus. See on abiks edasiste sammude otsustamisel.

Mis juhtub, kui ma keelan USB-C/TBT käivitamise? Viip kaob tavaliselt ära, aga vastutasuks sa ei saa PXE kaudu käivitada nendest sadamatest või mõnest baasist. Hinnake seda vastavalt oma stsenaariumile.

Kui BitLocker küsib võtit igal käivitamisel, näete tavaliselt püsivat käivitusmuudatust: USB-C/TBT-pordid, millel on käivitustoeg, Secure Boot alglaadimisteel on sobimatu, hiljuti uuendatud püsivara või väline riistvara. Leidke võti, kuhu see kuulub (MSA, Azure AD, AD, Print või File), sisestage see ja tehke „peatamine ja jätkamine„TPM-i stabiliseerimiseks”. Kui see püsib, kohandage BIOS-i/UEFI-t (USB-C/TBT, UEFI võrgupinu, turvaline alglaadimine), proovige pärandmenüüd BCDEditiga ning hoidke BIOS ja Windows ajakohasena. Ettevõtte keskkondades kasutage kataloogist teabe hankimiseks võtme ID-d. Ja pidage meeles: Ilma võtmeta pole krüpteeritud andmetele juurdepääsu; sellisel juhul on vormindamine ja installimine viimane abinõu tööle naasmiseks.