Hinihingi ng BitLocker ang password sa tuwing mag-boot ka: mga tunay na sanhi at kung paano ito maiiwasan

¿Humihingi ba ang BitLocker ng recovery key sa bawat boot? Kapag hiniling ng BitLocker ang recovery key sa bawat boot, hindi na ito magiging tahimik na layer ng seguridad at nagiging pang-araw-araw na istorbo. Ang sitwasyong ito ay kadalasang nagpapataas ng alarma: Mayroon bang glitch, nahawakan ko ba ang isang bagay sa BIOS/UEFI, nasira ba ang TPM, o binago ba ng Windows ang "isang bagay" nang walang babala? Ang katotohanan ay, sa karamihan ng mga kaso, ang BitLocker mismo ay gumagawa ng eksakto kung ano ang dapat: ipasok ang recovery mode kung may nakita itong potensyal na hindi ligtas na boot.

Ang mahalagang bagay ay maunawaan kung bakit ito nangyayari, kung saan mahahanap ang susi, at kung paano ito mapipigilan na hingin muli ito. Batay sa totoong buhay na karanasan ng gumagamit (tulad ng nakakita ng asul na mensahe pagkatapos i-restart ang kanilang HP Envy) at teknikal na dokumentasyon mula sa mga tagagawa, makikita mo na may mga partikular na dahilan (USB-C/Thunderbolt, Secure Boot, mga pagbabago sa firmware, boot menu, mga bagong device) at maaasahang solusyon na hindi nangangailangan ng anumang kakaibang trick. Dagdag pa, lilinawin namin kung ano ang maaari at hindi mo magagawa kung nawala mo ang iyong susi, dahil Kung wala ang recovery key, hindi posibleng i-decrypt ang data.

Ano ang screen ng pagbawi ng BitLocker at bakit ito lumilitaw?

Ine-encrypt ng BitLocker ang system disk at mga data drive sa protektahan sila mula sa hindi awtorisadong pag-access. Kapag may nakita itong pagbabago sa boot environment (firmware, TPM, boot device order, konektadong mga external na device, atbp.), ina-activate nito ang recovery mode at hinihiling ang 48-digit na codeIto ay normal na pag-uugali at kung paano pinipigilan ng Windows ang isang tao na i-boot ang makina na may mga binagong parameter upang kunin ang data.

Tahasang ipinaliwanag ito ng Microsoft: Kinakailangan ng Windows ang susi kapag nakakita ito ng hindi ligtas na estado na maaaring magpahiwatig ng hindi awtorisadong pagtatangka sa pag-access. Sa pinamamahalaan o personal na mga computer, Ang BitLocker ay palaging pinagana ng isang taong may mga pahintulot ng administrator (ikaw, ibang tao, o iyong organisasyon). Kaya kapag ang screen ay lumitaw nang paulit-ulit, hindi iyon ang BitLocker ay "sira," ngunit iyon ang isang bagay sa boot ay nag-iiba sa bawat oras at pinalitaw ang tseke.

Mga totoong dahilan kung bakit hinihiling ng BitLocker ang susi sa bawat boot

May mga napakakaraniwang dahilan na naidokumento ng mga tagagawa at gumagamit. Ito ay nagkakahalaga ng pagsusuri sa kanila dahil ang kanilang pagkakakilanlan ay nakasalalay sa pagpili ng tamang solusyon:

• Naka-enable ang USB-C/Thunderbolt (TBT) boot at prebootSa maraming modernong computer, ang USB-C/TBT boot support at Thunderbolt pre-boot ay pinagana bilang default sa BIOS/UEFI. Ito ay maaaring maging sanhi ng firmware na maglista ng mga bagong boot path, na binibigyang-kahulugan ng BitLocker bilang mga pagbabago at senyas para sa susi.
• Secure Boot at ang patakaran nito- Ang pagpapagana, hindi pagpapagana, o pagbabago ng patakaran (halimbawa, mula sa "Naka-off" patungo sa "Microsoft Only") ay maaaring mag-trigger ng integrity check at magdulot ng key prompt.
• BIOS/UEFI at mga update sa firmware: Kapag ina-update ang BIOS, TPM, o firmware mismo, nagbabago ang mga kritikal na variable ng boot. Nakikita ito ng BitLocker at nag-prompt para sa susi sa susunod na pag-reboot, at maging sa mga kasunod na pag-reboot kung ang platform ay naiwan sa hindi pantay na estado.
• Graphical Boot Menu kumpara sa Legacy BootMay mga kaso kung saan ang Windows 10/11 modernong boot menu ay nagdudulot ng mga hindi pagkakapare-pareho at pinipilit ang recovery prompt. Ang pagpapalit ng patakaran sa legacy ay maaaring maging matatag dito.
• Mga panlabas na device at bagong hardware: Ang mga USB-C/TBT dock, docking station, USB flash drive, external drive, o PCIe card na "sa likod" ay lalabas sa boot path at binabago ang nakikita ng BitLocker.
• Auto-unlock at TPM states: Awtomatikong pag-unlock ng mga dami ng data at isang TPM na hindi nag-a-update ng mga sukat pagkatapos ng ilang partikular na pagbabago ay maaaring humantong sa paulit-ulit na mga senyas sa pagbawi.
• Problemadong Windows Updates: Maaaring baguhin ng ilang mga update ang mga bahagi ng boot/seguridad, na pinipilit na lumabas ang prompt hanggang sa muling ma-install ang update o maayos ang bersyon.

Sa mga partikular na platform (hal., Dell na may mga USB-C/TBT port), kinukumpirma mismo ng kumpanya na ang pagkakaroon ng USB-C/TBT boot support at TBT pre-boot na pinagana bilang default ay isang karaniwang dahilan. Hindi pagpapagana sa kanila, mawala sa boot list at ihinto ang pag-activate ng recovery mode. Ang tanging negatibong epekto ay iyon Hindi ka makakapag-boot ng PXE mula sa USB-C/TBT o ilang partikular na dock..

Saan mahahanap ang BitLocker recovery key (at kung saan hindi)

Bago mo hawakan ang anumang bagay, kailangan mong hanapin ang susi. Malinaw ang Microsoft at mga system administrator: iilan lang ang mga valid na lugar kung saan maaaring maimbak ang recovery key:

• Microsoft Account (MSA)Kung magsa-sign in ka gamit ang isang Microsoft account at pinagana ang pag-encrypt, karaniwang naka-back up ang susi sa iyong online na profile. Maaari mong tingnan ang https://account.microsoft.com/devices/recoverykey mula sa isa pang device.
• Azure AD- Para sa mga account sa trabaho/paaralan, ang susi ay nakaimbak sa iyong Azure Active Directory profile.
• Active Directory (AD) on-premise: Sa mga tradisyunal na corporate environment, maaaring kunin ito ng administrator gamit ang Key ID na lumalabas sa screen ng BitLocker.
• Naka-print o PDF: Marahil ay na-print mo ito noong pinagana mo ang pag-encrypt, o nai-save mo ito sa isang lokal na file o USB drive. Suriin din ang iyong mga backup.
• Naka-save sa isang file sa isa pang drive o sa cloud ng iyong organisasyon, kung sinunod ang mabubuting kagawian.

Kung hindi mo ito mahanap sa alinman sa mga site na ito, walang mga "magic shortcut": Walang lehitimong paraan upang i-decrypt nang walang susiBinibigyang-daan ka ng ilang tool sa pagbawi ng data na mag-boot sa WinPE at mag-explore ng mga disk, ngunit kakailanganin mo pa rin ang 48-digit na key upang ma-access ang mga naka-encrypt na nilalaman ng dami ng system.

Mabilis na pagsusuri bago ka magsimula

Mayroong ilang mga simpleng pagsubok na maaaring makatipid ng oras at maiwasan ang mga hindi kinakailangang pagbabago. Samantalahin ang mga ito upang kilalanin ang totoong trigger mula sa recovery mode:

• Idiskonekta ang lahat ng panlabas: dock, memory, disk, card, monitor na may USB-C, atbp. Nag-boot ito gamit lamang ang pangunahing keyboard, mouse at display.
• Subukang ilagay ang susi isang beses at tingnan kung pagkatapos pumasok sa Windows maaari mong suspindihin at ipagpatuloy ang proteksyon upang i-update ang TPM.
• Suriin ang aktwal na katayuan ng BitLocker may utos: manage-bde -status. Ipapakita nito sa iyo kung ang dami ng OS ay naka-encrypt, ang pamamaraan (hal. XTS-AES 128), ang porsyento, at kung aktibo ang mga tagapagtanggol.
• Isulat ang key ID na lumalabas sa asul na screen ng pagbawi. Kung umaasa ka sa iyong IT team, magagamit nila ang ID na iyon para mahanap ang eksaktong key sa AD/Azure AD.

Solusyon 1: Suspindihin at ipagpatuloy ang BitLocker para i-refresh ang TPM

Kung maaari kang mag-log in sa pamamagitan ng pagpasok ng susi, ang pinakamabilis na paraan ay suspindihin at ipagpatuloy ang proteksyon upang magkaroon ng BitLocker na i-update ang mga sukat ng TPM sa kasalukuyang estado ng computer.

1. Pumasok sa pagbawi ng susi kapag ito ay nagpakita.
2. Sa Windows, pumunta sa Control Panel → System and Security → BitLocker Drive Encryption.
3. Sa system drive (C :)), pindutin ang Suspindihin ang proteksyon. Kumpirmahin.
4. Maghintay ng ilang minuto at pindutin Ipagpatuloy ang proteksyonPinipilit nito ang BitLocker na tanggapin ang kasalukuyang estado ng boot bilang "mabuti."

Ang pamamaraang ito ay lalong kapaki-pakinabang pagkatapos ng pagbabago ng firmware o menor de edad na pagsasaayos ng UEFI. Kung pagkatapos mag-reboot hindi na humihingi ng password, malulutas mo ang loop nang hindi hinahawakan ang BIOS.

Solusyon 2: I-unlock at pansamantalang huwag paganahin ang mga tagapagtanggol mula sa WinRE

Kapag hindi mo nalampasan ang recovery prompt o gusto mong tiyakin na ang boot ay hindi na humihingi ng susi muli, maaari mong gamitin ang Windows Recovery Environment (WinRE) at pamahalaan-bde upang ayusin ang mga tagapagtanggol.

1. Sa screen ng pagbawi, pindutin ang Esc upang makita ang mga advanced na opsyon at pumili Laktawan ang unit na ito.
2. Pumunta sa Troubleshoot → Advanced Options → Command agad.
3. I-unlock ang dami ng OS gamit ang: manage-bde -unlock C: -rp TU-CLAVE-DE-48-DÍGITOS (palitan ng iyong password).
4. Pansamantalang huwag paganahin ang mga tagapagtanggol: manage-bde -protectors -disable C: at i-restart.

Pagkatapos mag-boot sa Windows, magagawa mong ipagpatuloy ang mga tagapagtanggol mula sa Control Panel o sa manage-bde -protectors -enable C:, at tingnan kung nawala ang loop. Ligtas ang maniobra na ito at kadalasang humihinto sa agarang pag-uulit kapag stable ang system.

Solusyon 3: Ayusin ang USB-C/Thunderbolt at UEFI Network Stack sa BIOS/UEFI

Sa mga USB-C/TBT na device, lalo na sa mga laptop at docking station, pinipigilan ng hindi pagpapagana ng ilang boot media ang firmware mula sa pagpapakilala ng mga "bagong" path na nakakalito sa BitLocker. Sa maraming mga modelo ng Dell, halimbawa, ito ang inirerekomendang mga opsyon:

1. Ipasok ang BIOS/UEFI (mga karaniwang key: F2 o F12 kapag naka-on).
2. Hanapin ang seksyon ng pagsasaayos ng USB at Thunderbolt. Depende sa modelo, ito ay maaaring nasa ilalim ng System Configuration, Integrated Devices, o katulad nito.
3. Hindi pinapagana ang suporta para sa USB-C boot o Kidlat 3.
4. Patayin ang USB-C/TBT Preboot (at, kung mayroon, "PCIe behind TBT").
5. Patayin ang stack ng network ng UEFI kung hindi ka gumagamit ng PXE.
6. Sa POST Behavior, i-configure Mabilis na magsimula sa "Comprehensive".

Pagkatapos i-save at i-restart, dapat mawala ang paulit-ulit na prompt. Tandaan ang trade-off: Mawawalan ka ng kakayahang mag-boot sa pamamagitan ng PXE mula sa USB-C/TBT o mula sa ilang pantalan.Kung kailangan mo ito sa mga kapaligiran ng IT, isaalang-alang na panatilihin itong aktibo at pamahalaan ang pagbubukod sa mga patakaran.

Solusyon 4: Secure Boot (paganahin, huwag paganahin, o patakaran sa "Microsoft Only")

Pinoprotektahan ng Secure Boot laban sa malware sa boot chain. Ang pagpapalit ng katayuan o patakaran nito ay maaaring ang kailangan lang ng iyong computer umalis sa loopDalawang opsyon na karaniwang gumagana:

• I-activate ito kung ito ay hindi pinagana, o piliin ang patakaran "Microsoft lang" sa mga katugmang device.
• patayin mo kung ang isang hindi napirmahang bahagi o may problemang firmware ay nagdudulot ng pangunahing kahilingan.

Para baguhin ito: pumunta sa WinRE → Laktawan ang drive na ito → Troubleshoot → Advanced na mga opsyon → Pag-configure ng UEFI firmware → I-reboot. Sa UEFI, hanapin Secure Boot, ayusin sa gustong opsyon at i-save gamit ang F10. Kung huminto ang prompt, nakumpirma mo na ang ugat ay a Secure Boot incompatibility.

Solusyon 5: Legacy Boot Menu na may BCDEdit

Sa ilang system, ang Windows 10/11 graphical boot menu ay nagti-trigger ng recovery mode. Ang pagpapalit ng patakaran sa "legacy" ay nagpapatatag sa boot at pinipigilan ang BitLocker na i-prompt muli ang susi.

1. Buksan ang a Command Prompt bilang administrator.
2. Patakbuhin: bcdedit /set {default} bootmenupolicy legacy at pindutin ang Enter.

I-reboot at tingnan kung nawala ang prompt. Kung walang magbabago, maaari mong ibalik ang setting gamit ang pantay na pagiging simple pagpapalit ng patakaran sa "standard".

Solusyon 6: I-update ang BIOS/UEFI at firmware

Maaaring magdulot ang isang luma o maraming buggy na BIOS Mga pagkabigo sa pagsukat ng TPM at pilitin ang recovery mode. Ang pag-update sa pinakabagong stable na bersyon mula sa iyong manufacturer ay karaniwang isang kaloob ng diyos.

1. Bisitahin ang pahina ng suporta ng gumawa at i-download ang pinakabago BIOS / UEFI para sa iyong modelo.
2. Basahin ang mga partikular na tagubilin (kung minsan ay sapat na ang pagpapatakbo ng EXE sa Windows; sa ibang pagkakataon, nangangailangan ito USB FAT32 at Flashback).
3. Sa panahon ng proseso, panatilihin alimentación estable at maiwasan ang mga pagkaantala. Sa pagkumpleto, ang unang boot ay maaaring mag-prompt para sa susi (normal). Pagkatapos, suspindihin at ipagpatuloy ang BitLocker.

Maraming mga gumagamit ang nag-uulat na pagkatapos i-update ang BIOS, ang prompt ay hihinto sa paglitaw pagkatapos ng a single key entry at isang suspindihin/ipagpatuloy ang ikot ng proteksyon.

Solusyon 7: Windows Update, i-roll back ang mga patch at muling isama ang mga ito

Mayroon ding mga kaso kung saan binago ng pag-update ng Windows ang mga sensitibong bahagi ng boot. Maaari mong subukan muling i-install o i-uninstall ang problemang pag-update:

1. Mga Setting → Update at seguridad → Tingnan ang kasaysayan ng pag-update.
2. Ipasok I-uninstall ang mga update, tukuyin ang kahina-hinala at alisin ito.
3. I-reboot, pansamantalang suspindihin ang BitLocker, i-restart I-install ang update at pagkatapos ay ipagpatuloy ang proteksyon.

Kung hihinto ang prompt pagkatapos ng cycle na ito, ang problema ay nasa a intermediate na estado na ginawang hindi magkakaugnay ang start-up trust chain.

Solusyon 8: I-disable ang auto-unlock ng mga data drive

Sa mga kapaligiran na may maraming naka-encrypt na drive, ang self-unlocking Maaaring makagambala ang pag-lock ng dami ng data na nakatali sa TPM. Maaari mong i-disable ito mula sa Control Panel → BitLocker → “Huwag paganahin ang awtomatikong pag-unlock” sa mga apektadong drive at i-reboot upang subukan kung ang prompt ay hihinto sa pag-uulit.

Bagama't ito ay tila maliit, sa mga pangkat na may kumplikadong mga kadena ng boot at maramihang mga disk, ang pag-alis ng dependency na iyon ay maaaring gawing simple upang malutas ang loop.

Solusyon 9: Alisin ang bagong hardware at peripheral

Kung nagdagdag ka ng card, nagpalit ng dock, o nagkonekta ng bagong device bago ang problema, subukan alisin ito pansamantala. Sa partikular, ang mga device na “sa likod ng Thunderbolt” ay maaaring lumabas bilang mga boot path. Kung ihihinto ng pag-alis sa kanila ang prompt, tapos ka na. may kasalanan at maaari mo itong muling ipakilala pagkatapos ma-stabilize ang configuration.

Real-life scenario: humihingi ng password ang laptop pagkatapos mag-reboot

Isang karaniwang kaso: isang HP Envy na nagbo-boot gamit ang isang itim na screen, pagkatapos ay nagpapakita ng isang asul na kahon na humihingi ng kumpirmasyon at pagkatapos ay ang BitLocker keyPagkatapos ipasok ito, normal na nagbo-boot ang Windows gamit ang isang PIN o fingerprint, at tila tama ang lahat. Sa pag-restart, ang kahilingan ay paulit-ulit. Ang gumagamit ay nagpapatakbo ng mga diagnostic, ina-update ang BIOS, at walang pagbabago. Anong nangyayari?

Malamang na ang ilang bahagi ng boot ay naiwan hindi pare-pareho (kamakailang pagbabago ng firmware, binago ang Secure Boot, nakalista ang external na device) at hindi na-update ng TPM ang mga sukat nito. Sa mga sitwasyong ito, ang pinakamahusay na mga hakbang ay:

• Pumasok nang isang beses kasama ang susi, suspindihin at ipagpatuloy bitlocker.
• Suriin manage-bde -status upang kumpirmahin ang pag-encrypt at mga tagapagtanggol.
• Kung magpapatuloy ito, suriin ang BIOS: huwag paganahin ang USB-C/TBT preboot at UEFI network stack, o ayusin ang Secure Boot.

Pagkatapos ayusin ang BIOS at gawin ang cycle ng pagsususpinde/pagpatuloy, normal na ang kahilingan mawala naKung hindi, ilapat ang pansamantalang hindi pagpapagana ng mga tagapagtanggol mula sa WinRE at subukang muli.

Maaari bang ma-bypass ang BitLocker nang walang recovery key?

Dapat itong maging malinaw: hindi posible na i-decrypt ang isang volume na protektado ng BitLocker nang walang 48-digit na code o isang wastong tagapagtanggol. Ang magagawa mo ay, kung alam mo ang susi, dami ng pag-unlock at pagkatapos ay pansamantalang huwag paganahin ang mga tagapagtanggol upang magpatuloy ang boot nang hindi ito hinihiling habang pinapatatag mo ang platform.

Ang ilang mga tool sa pagbawi ay nag-aalok ng WinPE bootable media upang subukan at i-salvage ang data, ngunit upang mabasa ang mga naka-encrypt na nilalaman ng system drive ay kailangan pa rin nilang ang susi. Kung wala ka nito, ang alternatibo ay i-format ang drive at i-install ang Windows mula sa simula, sa pag-aakalang pagkawala ng data.

I-format at i-install ang Windows: huling paraan

Kung pagkatapos ng lahat ng mga setting ay hindi mo pa rin malampasan ang prompt (at wala kang susi), ang tanging paraan ng pagpapatakbo ay i-format ang drive at muling i-install ang Windows. Mula sa WinRE → Command Prompt na magagamit mo diskpart upang matukoy ang disk at i-format ito, at pagkatapos ay i-install mula sa isang USB na pag-install.

Bago ka makarating sa puntong ito, tapusin ang iyong paghahanap para sa susi sa mga lehitimong lokasyon at kumonsulta sa iyong administrador Kung ito ay isang corporate device. Tandaan na nag-aalok ang ilang mga tagagawa Mga edisyon ng WinPE ng recovery software upang kopyahin ang mga file mula sa iba pang mga hindi naka-encrypt na drive, ngunit hindi nito maiiwasan ang pangangailangan para sa susi para sa dami ng naka-encrypt na OS.

Mga enterprise environment: Azure AD, AD at Key ID recovery

Sa mga device sa trabaho o paaralan, normal na nakalagay ang susi Azure AD o en Active Directory. Mula sa screen ng pagbawi, pindutin ang Esc upang makita ang Key ID, isulat ito at ipadala sa administrator. Gamit ang identifier na iyon, mahahanap nila ang eksaktong key na nauugnay sa device at mabigyan ka ng access.

Gayundin, suriin ang patakaran sa pag-boot ng iyong organisasyon. Kung umaasa ka sa PXE booting sa USB-C/TBT, maaaring hindi mo ito gustong i-disable; sa halip, kaya ng iyong IT lagdaan ang kadena o gawing pamantayan ang isang configuration na umiiwas sa paulit-ulit na prompt.

Mga modelo at accessories na may espesyal na epekto

Ang ilang mga Dell computer na may USB-C/TBT at mga nauugnay na dock ay nagpakita ng ganitong gawi: WD15, TB16, TB18DC, pati na rin ang ilang partikular na hanay ng Latitude (5280/5288, 7280, 7380, 5480/5488, 7480, 5580), XPS, Precision 3520 at iba pang mga pamilya (Inspiron, OptiPlex, Vostro, Alienware, G Series, Fixed at Mga Mobile na Workstation). Ito ay hindi nangangahulugan na sila ay nabigo, ngunit sa Naka-enable ang USB-C/TBT boot at preboot Ang BitLocker ay mas malamang na "makita" ang mga bagong boot path.

Kung gagamitin mo ang mga platform na ito na may mga docking station, magandang ideya na mag-attach ng a matatag na pagsasaayos ng BIOS at idokumento ang pangangailangan o hindi para sa PXE sa pamamagitan ng mga port na iyon upang maiwasan ang prompt.

Maaari ko bang pigilan ang BitLocker na maisaaktibo?

Sa Windows 10/11, kung mag-sign in ka gamit ang isang Microsoft account, mag-a-activate ang ilang computer pag-encrypt ng device halos transparent at i-save ang susi sa iyong MSA. Kung gumagamit ka ng lokal na account at i-verify na hindi pinagana ang BitLocker, hindi ito dapat awtomatikong mag-activate.

Ngayon, ang makatwirang bagay ay hindi "pagkakasta" ito magpakailanman, ngunit kontrolin ito: Huwag paganahin ang BitLocker sa lahat ng mga drive kung hindi mo ito gusto, kumpirmahin na ang "Device Encryption" ay hindi aktibo, at mag-save ng kopya ng key kung paganahin mo ito sa hinaharap. Ang hindi pagpapagana ng mga kritikal na serbisyo ng Windows ay hindi inirerekomenda dahil magagawa nito ikompromiso ang seguridad ng system o makabuo ng mga side effect.

Mabilis na FAQ

Nasaan ang aking password kung gumagamit ako ng Microsoft account? Pumunta sa https://account.microsoft.com/devices/recoverykey mula sa ibang computer. Doon mo makikita ang listahan ng mga susi sa bawat device kasama ng mga ito ID.

Maaari ba akong humiling ng susi mula sa Microsoft kung gumagamit ako ng lokal na account? Hindi. Kung hindi mo ito na-save o nai-back up sa Azure AD/AD, wala ito sa Microsoft. Tingnan ang mga printout, PDF, at backup, dahil walang susi walang decryption.

¿pamahalaan-bde -nakakatulong sa akin ang status? Oo, ipinapakita kung ang volume ay naka-encrypt, paraan (hal., XTS-AES 128), kung pinagana ang proteksyon, at kung naka-lock ang disk. Ito ay kapaki-pakinabang para sa pagpapasya kung ano ang susunod na gagawin.

Ano ang mangyayari kung hindi ko pinagana ang USB-C/TBT boot? Karaniwang nawawala ang prompt, ngunit bilang kapalit hindi ka makakapag-boot sa pamamagitan ng PXE mula sa mga port na iyon o mula sa ilang mga base. Suriin ito ayon sa iyong senaryo.

Kung hihilingin ng BitLocker ang susi sa bawat boot, karaniwan mong makikita ang patuloy na pagbabago sa boot: Mga USB-C/TBT port na may suporta sa boot, Secure Boot hindi tugma, kamakailang na-update na firmware, o panlabas na hardware sa boot path. Hanapin ang susi kung saan ito nabibilang (MSA, Azure AD, AD, Print, o File), ilagay ito, at gawin ang "suspindihin at ipagpatuloy” para i-stabilize ang TPM. Kung magpapatuloy ito, ayusin ang BIOS/UEFI (USB-C/TBT, UEFI network stack, Secure Boot), subukan ang legacy na menu na may BCDEdit, at panatilihing napapanahon ang BIOS at Windows. Sa mga corporate environment, gamitin ang key ID para makuha ang impormasyon mula sa direktoryo. At tandaan: Kung wala ang susi walang access sa naka-encrypt na data; sa kasong iyon, ang pag-format at pag-install ang magiging huling paraan upang makabalik sa trabaho.