BitLocker 锁定逻辑

BitLocker 恢复是一个过程，如果驱动器未使用默认解锁机制解锁，则可以还原对受 BitLocker 保护的驱动器的访问。
本文介绍触发 BitLocker 恢复的方案、如何配置设备以保存恢复信息，以及还原对锁定驱动器的访问的选项。
BitLocker 恢复方案
以下列表提供了导致设备在启动 Windows 时进入 BitLocker 恢复模式的常见事件示例：

• 输入错误的 PIN 次数过多
• 如果使用基于 USB 的密钥而不是 TPM，则关闭对在预启动环境中从 BIOS 或 UEFI 固件读取 USB 设备的支持
• 将 CD 或 DVD 驱动器以 BIOS 启动顺序在硬盘驱动器之前 (与虚拟机)
• 停靠或取消停靠便携式计算机
• 对磁盘上的 NTFS 分区表的更改
• 对启动管理器的更改
• 使用 PXE 启动
• 关闭、禁用、停用或清除 TPM
• TPM 自测试失败
• 使用新的 TPM 将主板升级到新的主板
• 升级关键的早期启动组件，例如 BIOS 或 UEFI 固件升级
• 从操作系统中隐藏 TPM
• 修改 TPM 验证配置文件使用的平台配置寄存器 (PCR)
• 将受 BitLocker 保护的驱动器移动到新计算机
• 在具有 TPM 1.2 的设备上，更改 BIOS 或固件启动设备顺序
• 超过允许的最大失败登录尝试次数
•  备注
• 若要利用此功能，必须配置策略设置交互式登录：计算机帐户锁定阈值位于计算机配置>Windows 设置安全设置>>本地策略>安全选项中。 或者，使用 Exchange ActiveSyncMaxFailedPasswordAttempts 策略设置或 DeviceLock 配置服务提供程序 (CSP) 。

作为 BitLocker 恢复过程的一部分，建议确定导致设备进入恢复模式的原因。 根本原因分析可能有助于防止将来再次出现问题。 例如，如果确定攻击者通过获取物理访问权限修改了设备，则可以实施新的安全策略来跟踪谁具有物理状态。
对于计划方案（例如已知的硬件或固件升级），可以通过暂时挂起 BitLocker 保护来避免启动恢复。 暂停 BitLocker 会使驱动器保持完全加密状态，管理员可以在完成计划的任务后快速恢复 BitLocker 保护。 使用 暂停 和 恢复 还会重新密封加密密钥，而无需输入恢复密钥。
 备注
如果暂停，BitLocker 会在设备重新启动时自动恢复保护，除非使用 PowerShell 或  命令行工具指定了重新启动计数。 有关暂停 BitLocker 的详细信息，请参阅 BitLocker 操作指南。
manage-bde.exe
 提示
恢复是在计划外或不需要的行为上下文中描述的。 但是，恢复也可以作为预期的生产方案进行，例如，为了管理访问控制。 将设备重新部署到组织中的其他部门或员工时，可以在将设备交付给新用户之前强制恢复 BitLocker。
Windows RE和 BitLocker 恢复
Windows 恢复环境 (Windows RE) 可用于恢复对受 BitLocker 保护的驱动器的访问。 如果设备在两次故障后无法启动， 则“启动修复” 会自动启动。
当启动修复因启动失败而自动启动时，它仅执行操作系统和驱动程序文件修复，前提是启动日志或任何可用的故障转储指向特定的损坏文件。 在支持 PCR[7] 的特定 TPM 度量的设备上，TPM 会验证Windows RE是否为受信任的操作环境，并在未修改Windows RE时解锁任何受 BitLocker 保护的驱动器。 如果已修改Windows RE环境（例如禁用 TPM），则驱动器将一直处于锁定状态，直到提供 BitLocker 恢复密钥。 如果启动修复无法自动运行，而是从修复磁盘手动启动Windows RE，则必须提供 BitLocker 恢复密钥才能解锁受 BitLocker 保护的驱动器。
在对 OS 驱动器保护程序使用 TPM + PIN 或密码的设备上启动“从Windows RE删除所有重置内容”时，Windows RE还会要求提供 BitLocker 恢复密钥。 如果在仅具有 TPM 保护的无键盘设备上启动 BitLocker 恢复，Windows RE（而不是启动管理器）会要求提供 BitLocker 恢复密钥。 输入密钥后，可以访问Windows RE故障排除工具或正常启动 Windows。
Windows RE显示的 BitLocker 恢复屏幕具有讲述人和屏幕键盘等辅助工具，可帮助你输入 BitLocker 恢复密钥：

• 若要在 Windows RE 中恢复 BitLocker 期间激活讲述人，请按 WIN + Ctrl + Enter
• 若要激活屏幕键盘，请点击文本输入控件

点击输入图片描述（最多30字） 如果 Windows 启动管理器请求 BitLocker 恢复密钥，则这些工具可能不可用。
BitLocker 恢复选项
在恢复方案中，以下用于还原驱动器访问权限的选项可能可用，具体取决于应用于设备的策略设置：

• 恢复密码：在卷处于恢复模式时用于解锁卷的 48 位数字。 恢复密码可能保存为文本文件、打印或存储在 Microsoft Entra ID 或 Active Directory 中。 用户可以提供恢复密码（如果可用）

点击输入图片描述（最多30字）

• 恢复密钥：存储在可移动媒体上的加密密钥，可用于恢复 BitLocker 卷上加密的数据。 文件名的格式为 。 对于 OS 驱动器，如果 BitLocker 检测到在设备启动时阻止其解锁驱动器的条件，则恢复密钥可用于获取对设备的访问权限。 如果出于某种原因忘记了密码或设备无法访问驱动器，则恢复密钥还可用于访问使用 BitLocker 加密的固定数据驱动器和可移动驱动器
• .bek

点击输入图片描述（最多30字）

• 密钥包：可与 BitLocker 修复工具一起使用的解密密钥，以重建驱动器的关键部分并打捞可恢复的数据。 使用密钥包以及 恢复密码 或 恢复密钥，可以解密受 BitLocker 保护的驱动器损坏的部分内容。 每个密钥包仅适用于具有相应驱动器标识符的驱动器。 密钥包不会自动生成，可以保存在文件或Active Directory 域服务中。 密钥包不能存储在 Microsoft Entra ID
• 数据恢复代理证书：数据恢复代理 (DRA) 是一种与 Active Directory 安全主体关联的证书，可用于访问配置了匹配公钥的任何 BitLocker 加密驱动器。 DRA 可以使用其凭据解锁驱动器。 如果驱动器是 OS 驱动器，则必须将驱动器作为数据驱动器装载到另一台设备上，才能解锁 DRA

 提示
用户可在数据和可移动驱动器) 控制面板小程序 (或预启动恢复屏幕中提供恢复密码和恢复密钥。 建议配置策略设置以自定义预启动恢复屏幕，例如添加自定义消息、URL 和技术支持联系人信息。 有关详细信息，请查看 BitLocker 预启动恢复屏幕一文。
规划 BitLocker 恢复过程时，请先参阅组织当前恢复敏感信息的最佳做法。 例如：
展开表
☑️
问题