Содержание

Microsoft Surface 2 запрашивает ключ восстановления BitLocker при перезагрузке устройства
Проблемы
Решение
Сведения об обновлении
Получение обновления
Предварительные условия
Требование к перезапуску
Сведения о замене обновлений
Дополнительная информация
Руководство по восстановлению BitLocker BitLocker recovery guide
Что такое восстановление BitLocker? What is BitLocker recovery?
Что вызывает восстановление BitLocker? What causes BitLocker recovery?
Тестирование восстановления Testing recovery
Планирование процесса восстановления Planning your recovery process
Самостоятельное восстановление Self-recovery
Восстановление пароля Recovery password retrieval
Запись имени компьютера пользователя Record the name of the user’s computer
Проверка удостоверения пользователя Verify the user’s identity
Поиск пароля восстановления в AD DS Locate the recovery password in AD DS
Несколько паролей восстановления Multiple recovery passwords
Сбор сведений для определения причины восстановления Gather information to determine why recovery occurred
Предодайте пользователю пароль для восстановления Give the user the recovery password
Анализ после восстановления Post-recovery analysis
Определение основной причины восстановления Determine the root cause of the recovery
Устранение основной причины Resolve the root cause
Неизвестный ПИН-код Unknown PIN
Потерян ключ запуска Lost startup key
Изменения файлов загрузки Changes to boot files
Шифрование устройств Windows RE и BitLocker Windows RE and BitLocker Device Encryption
Экран восстановления BitLocker BitLocker recovery screen
Сообщение о настраиваемом восстановлении Custom recovery message
Подсказки ключа восстановления BitLocker BitLocker recovery key hints
Пример 1 (один ключ восстановления с одной резервной копией) Example 1 (single recovery key with single backup)
Пример 2 (один ключ восстановления с одной резервной копией) Example 2 (single recovery key with single backup)
Пример 3 (один ключ восстановления с несколькими резервными копиями) Example 3 (single recovery key with multiple backups)
Пример 4 (несколько паролей восстановления) Example 4 (multiple recovery passwords)
Пример 5 (несколько паролей восстановления) Example 5 (multiple recovery passwords)
Использование дополнительных сведений о восстановлении Using additional recovery information
Пакет ключей BitLocker BitLocker key package
Сброс паролей восстановления Resetting recovery passwords
Искомый пакет ключа BitLocker Retrieving the BitLocker key package

Microsoft Surface 2 запрашивает ключ восстановления BitLocker при перезагрузке устройства

Проблемы

При использовании устройства Microsoft Surface 2, вам будет предложено ввести ключ восстановления BitLocker после включения или перезагрузки устройства или выхода устройства из состояния сна. Эти сообщения могут быть случайные или они могут появляться каждый раз при попытке восстановления работы устройства. Примечание. Эти сообщения, связанные с BitLocker, только видимых симптомов. Эта проблема не влияет на систему любым другим способом.

Решение

Чтобы устранить эту проблему, установите обновление, которое теперь доступна для устройства Microsoft Surface 2.

Сведения об обновлении

Получение обновления

Центр обновления Windows

Это обновление доступно в Центре обновления Windows. Примечание. Эта проблема не влияет на Pro 2 Microsoft Surface. Данное обновление относится только к 2 RT Microsoft Surface.

Предварительные условия

Для установки этого обновления не требуется выполнения никаких условий.

Требование к перезапуску

Может потребоваться перезагрузка устройства Microsoft Surface 2 после установки этого обновления.

Сведения о замене обновлений

Это обновление не заменяет ранее выпущенное обновление.

Дополнительная информация

Для получения ключа восстановления BitLocker, если у вас его доступным, выполните следующие действия.

Откройте веб-обозреватель надежные окна на другом компьютере или мобильном устройстве.

Перейдите на веб-сайте Windows.

Вход с использованием того же имени учетной записи Microsoft и пароль, используемые Microsoft Surface 2 устройства.

Руководство по восстановлению BitLocker BitLocker recovery guide

Относится к: Applies to:

В этой статье для ИТ-специалистов описывается, как восстановить ключи BitLocker из AD DS. This article for IT professionals describes how to recover BitLocker keys from AD DS.

Организации могут использовать сведения о восстановлении BitLocker, сохраненные в доменных службах Active Directory (AD DS) для доступа к данным, защищенным BitLocker. Organizations can use BitLocker recovery information saved in Active Directory Domain Services (AD DS) to access BitLocker-protected data. Рекомендуется создать модель восстановления для BitLocker при планировании развертывания BitLocker. Creating a recovery model for BitLocker while you are planning your BitLocker deployment is recommended.

В этой статье предполагается, что вы понимаете, как настроить AD DS для автоматического восстановления данных BitLocker и какие типы данных восстановления сохраняются в AD DS. This article assumes that you understand how to set up AD DS to back up BitLocker recovery information automatically, and what types of recovery information are saved to AD DS.

В этой статье не подробно поется, как настроить AD DS для хранения данных восстановления BitLocker. This article does not detail how to configure AD DS to store the BitLocker recovery information.

Что такое восстановление BitLocker? What is BitLocker recovery?

Восстановление BitLocker — это процесс, с помощью которого можно восстановить доступ к диску с защитой BitLocker в случае, если вы не сможете разблокировать диск обычным образом. BitLocker recovery is the process by which you can restore access to a BitLocker-protected drive in the event that you cannot unlock the drive normally. В сценарии восстановления можно восстановить доступ к диску следующим образом: In a recovery scenario, you have the following options to restore access to the drive:

Пользователь может вводить пароль восстановления. The user can supply the recovery password. Если ваша организация позволяет пользователям печатать или хранить пароли восстановления, пользователь может ввести 48-значный пароль восстановления, который они распечатали или хранили на USB-накопителе или с помощью учетной записи Майкрософт в Интернете. If your organization allows users to print or store recovery passwords, the user can type in the 48-digit recovery password that they printed or stored on a USB drive or with your Microsoft Account online. (Сохранение пароля восстановления с помощью учетной записи Майкрософт в Интернете разрешено, только если BitLocker используется на компьютере, который не является членом домена). (Saving a recovery password with your Microsoft Account online is only allowed when BitLocker is used on a PC that is not a member of a domain).
Агент восстановления данных может использовать свои учетные данные для разблокировки диска. A data recovery agent can use their credentials to unlock the drive. Если диск является диском операционной системы, он должен быть установлен в качестве диска с данными на другом компьютере, чтобы агент восстановления данных разблокировал его. If the drive is an operating system drive, the drive must be mounted as a data drive on another computer for the data recovery agent to unlock it.
Администратор домена может получить пароль восстановления из AD DS и использовать его для разблокировки диска. A domain administrator can obtain the recovery password from AD DS and use it to unlock the drive. Рекомендуется хранить пароли восстановления в AD DS, чтобы ИТ-специалисты могли при необходимости получать пароли восстановления для дисков в своей организации. Storing recovery passwords in AD DS is recommended to provide a way for IT professionals to be able to obtain recovery passwords for drives in their organization if needed. Для этого метода необходимо включить этот метод восстановления в параметре групповой политики BitLocker. Выберите способ восстановления дисков **** операционной системы, защищенных BitLocker, в редакторе локальных групповых политик. This method requires that you have enabled this recovery method in the BitLocker Group Policy setting Choose how BitLocker-protected operating system drives can be recovered located at Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives in the Local Group Policy Editor. Подробнее: Параметры групповой политики BitLocker. For more information, see BitLocker Group Policy settings.

Что вызывает восстановление BitLocker? What causes BitLocker recovery?

В следующем списке приводятся примеры определенных событий, которые приводят к тому, что BitLocker будет переходить в режим восстановления при попытке запустить диск операционной системы: The following list provides examples of specific events that will cause BitLocker to enter recovery mode when attempting to start the operating system drive:

На ПК, которые используют шифрование диска BitLocker, или на таких устройствах, как планшеты или телефоны, которые используют только шифрование устройств BitLocker, при обнаружении атаки устройство немедленно перезагружается и перейдите в режим восстановления BitLocker. On PCs that use BitLocker Drive Encryption, or on devices such as tablets or phones that use BitLocker Device Encryption only, when an attack is detected, the device will immediately reboot and enter into BitLocker recovery mode. Чтобы воспользоваться этой функцией, администраторы могут настроить интерактивный учетной записи входа: пороговое значение групповой политики блокировки учетной записи компьютера, расположенное в \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options in the Local Group Policy Editor. To take advantage of this functionality, administrators can set the Interactive logon: Machine account lockout threshold Group Policy setting located in \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options in the Local Group Policy Editor. Кроме того, они могут использовать политику MaxFailedPasswordAttempts Exchange ActiveSync (также настраиваемую с помощью Microsoft Intune),чтобы ограничить количество неудачных попыток пароля, прежде чем устройство переходит в блокировку устройства. Or they can use the MaxFailedPasswordAttempts policy of Exchange ActiveSync (also configurable through Microsoft Intune), to limit the number of failed password attempts before the device goes into Device Lockout.

На устройствах с TPM 1.2 изменение порядка загрузки BIOS или устройства с микропрограммой приводит к восстановлению BitLocker. On devices with TPM 1.2, changing the BIOS or firmware boot device order causes BitLocker recovery. Однако в этом случае устройства с TPM 2.0 не запускают восстановление BitLocker. However, devices with TPM 2.0 do not start BitLocker recovery in this case. TPM 2.0 не рассматривает изменение порядка загрузочного устройства во микропрограмме как угрозу безопасности, так как загрузчик загрузки ОС не скомпрометирован. TPM 2.0 does not consider a firmware change of boot device order as a security threat because the OS Boot Loader is not compromised.

Наличие компакт-диска или DVD-диска перед жестким диском в порядке загрузки BIOS, а затем вставка или удаление компакт-диска или DVD-диска. Having the CD or DVD drive before the hard drive in the BIOS boot order and then inserting or removing a CD or DVD.

Не удается загрузиться с сетевого диска перед загрузкой с жесткого диска. Failing to boot from a network drive before booting from the hard drive.

Закрепление или отстыковка портативного компьютера. Docking or undocking a portable computer. В некоторых случаях (в зависимости от производителя компьютера и BIOS) условие закрепления портативного компьютера является частью измерения системы и должно быть согласовано для проверки состояния системы и разблокировки BitLocker. In some instances (depending on the computer manufacturer and the BIOS), the docking condition of the portable computer is part of the system measurement and must be consistent to validate the system status and unlock BitLocker. Поэтому если портативный компьютер подключен к док-станции, когда BitLocker включен, то при разблокировке может потребоваться подключение к док-станции. So if a portable computer is connected to its docking station when BitLocker is turned on, then it might also need to be connected to the docking station when it is unlocked. И наоборот, если портативный компьютер не подключен к док-станции при включении BitLocker, то при разблокировке может потребоваться отключить его от док-станции. Conversely, if a portable computer is not connected to its docking station when BitLocker is turned on, then it might need to be disconnected from the docking station when it is unlocked.

Изменения таблицы разделов NTFS на диске, включая создание, удаление или изменение размера основного раздела. Changes to the NTFS partition table on the disk including creating, deleting, or resizing a primary partition.

Ввод пин-кода (ПИН-кода) неправильно слишком много раз, чтобы активировать логику по антиумеху, активированную TPM. Entering the personal identification number (PIN) incorrectly too many times so that the anti-hammering logic of the TPM is activated. Логика защиты от атак — это программные или аппаратные методы, которые увеличивают сложность и стоимость атаки методом атак на ПИН-код, не принимая записи ПИН-кодов до тех пор, пока не пройдет определенное время. Anti-hammering logic is software or hardware methods that increase the difficulty and cost of a brute force attack on a PIN by not accepting PIN entries until after a certain amount of time has passed.

Отключение поддержки чтения USB-устройства в предзагодной среде из микропрограммы BIOS или UEFI, если вы используете USB-ключи вместо TPM. Turning off the support for reading the USB device in the pre-boot environment from the BIOS or UEFI firmware if you are using USB-based keys instead of a TPM.

Отключение, отключение, отключение или очистка TPM. Turning off, disabling, deactivating, or clearing the TPM.

Обновление критически важных компонентов раннего запуска, таких как обновление микропрограмм BIOS или UEFI, что приводит к изменению связанных показателей загрузки. Upgrading critical early startup components, such as a BIOS or UEFI firmware upgrade, causing the related boot measurements to change.

Forgetting the PIN when PIN authentication has been enabled. Forgetting the PIN when PIN authentication has been enabled.

Обновление варианта микропрограммного обеспечения. Updating option ROM firmware.

Обновление микропрограмм TPM. Upgrading TPM firmware.

Добавление или удаление оборудования; например, вставка новой карточки на компьютер, включая некоторые беспроводные карточки PCMIA. Adding or removing hardware; for example, inserting a new card in the computer, including some PCMIA wireless cards.

Удаление, вставка или полная разрядка батареи Smart Battery в портативном компьютере. Removing, inserting, or completely depleting the charge on a smart battery on a portable computer.

Изменения в записи загрузки на диске. Changes to the master boot record on the disk.

Изменения диспетчера загрузки на диске. Changes to the boot manager on the disk.

Скрытие TPM из операционной системы. Hiding the TPM from the operating system. Некоторые параметры BIOS или UEFI можно использовать для предотвращения перенамерения TPM в операционную систему. Some BIOS or UEFI settings can be used to prevent the enumeration of the TPM to the operating system. При реализации этого параметра TPM может быть скрыт от операционной системы. When implemented, this option can make the TPM hidden from the operating system. Если TPM скрыт, безопасный запуск BIOS и UEFI отключен, и TPM не отвечает на команды от какого-либо программного обеспечения. When the TPM is hidden, BIOS and UEFI secure startup are disabled, and the TPM does not respond to commands from any software.

Использование другой клавиатуры, которая неправильно вводит ПИН-код или карта клавиатуры не соответствует карте клавиатуры, используемой средой предварительной загрузки. Using a different keyboard that does not correctly enter the PIN or whose keyboard map does not match the keyboard map assumed by the pre-boot environment. Эта проблема может препятствовать вводу расширенных ПИН-данных. This problem can prevent the entry of enhanced PINs.

Изменение регистров конфигурации платформы (PCRs), используемых профилем проверки TPM. Modifying the Platform Configuration Registers (PCRs) used by the TPM validation profile. Например, если ввести PCR[1], BitLocker замерит большинство изменений параметров BIOS, в результате чего BitLocker будет переходить в режим восстановления даже при изменении критически важных параметров BIOS без загрузки. For example, including PCR[1] would result in BitLocker measuring most changes to BIOS settings, causing BitLocker to enter recovery mode even when non-boot critical BIOS settings change.

На некоторых компьютерах есть параметры BIOS, которые пропускают измерения для определенных PCR, например PCR[2]. Some computers have BIOS settings that skip measurements to certain PCRs, such as PCR[2]. Изменение этого параметра в BIOS приведет к переходу BitLocker в режим восстановления, так как измерения PCR будут другими. Changing this setting in the BIOS would cause BitLocker to enter recovery mode because the PCR measurement will be different.

Перемещение диска с защитой BitLocker в новый компьютер. Moving the BitLocker-protected drive into a new computer.

Обновление платы до новой с помощью нового TPM. Upgrading the motherboard to a new one with a new TPM.

Losing the USB flash drive containing the startup key when startup key authentication has been enabled. Losing the USB flash drive containing the startup key when startup key authentication has been enabled.

Сбой самообнаправления TPM. Failing the TPM self-test.

Наличие микропрограмм BIOS, UEFI или компонента ROM, не соответствующего соответствующим стандартам надежной вычислительной группы для клиентского компьютера. Having a BIOS, UEFI firmware, or an option ROM component that is not compliant with the relevant Trusted Computing Group standards for a client computer. Например, не совместимая реализация может записывать переменные данные (например, время) в измерения TPM, что приводит к различным измерениям при каждом запуске и запуску BitLocker в режиме восстановления. For example, a non-compliant implementation may record volatile data (such as time) in the TPM measurements, causing different measurements on each startup and causing BitLocker to start in recovery mode.

Читайте также: Команды для linux rosa

Изменение авторизации использования корневого ключа хранилища TPM на нулевое значение. Changing the usage authorization for the storage root key of the TPM to a non-zero value.

Процесс инициализации TPM BitLocker задает нулевое значение авторизации использования, поэтому другой пользователь или процесс должен явно изменить это значение. The BitLocker TPM initialization process sets the usage authorization value to zero, so another user or process must explicitly have changed this value.

Отключение проверки целостности кода или включение тестовой подписи в диспетчере загрузки Windows (Bootmgr). Disabling the code integrity check or enabling test signing on Windows Boot Manager (Bootmgr).

Нажатие клавиши F8 или F10 во время загрузки. Pressing the F8 or F10 key during the boot process.

Добавление или удаление карточек надстройки (например, видео или сетевых карточек) или обновление микропрограмм на карточках надстройки. Adding or removing add-in cards (such as video or network cards), or upgrading firmware on add-in cards.

Использование горячего ключа BIOS во время загрузки для изменения порядка загрузки на другой жесткий диск. Using a BIOS hot key during the boot process to change the boot order to something other than the hard drive.

Перед началом восстановления рекомендуется определить причину восстановления. Before you begin recovery, we recommend that you determine what caused recovery. Это может помочь предотвратить повторную проблему в будущем. This might help prevent the problem from occurring again in the future. Например, если вы определили, что злоумышленник изменил компьютер, получив физический доступ, вы можете создать новые политики безопасности для отслеживания физических пользователей. For instance, if you determine that an attacker has modified your computer by obtaining physical access, you can create new security policies for tracking who has physical presence. После использования пароля восстановления для восстановления доступа к компьютеру BitLocker повторно использует ключ шифрования для текущих значений измеряемого компонента. After the recovery password has been used to recover access to the PC, BitLocker will reseal the encryption key to the current values of the measured components.

Для запланированных сценариев, таких как известные обновления оборудования или микропрограмм, можно избежать инициации восстановления, временно приостановив защиту BitLocker. For planned scenarios, such as a known hardware or firmware upgrades, you can avoid initiating recovery by temporarily suspending BitLocker protection. Так как при приостановке BitLocker диск остается полностью зашифрованным, администратор может быстро возобновить защиту BitLocker после завершения запланированной задачи. Because suspending BitLocker leaves the drive fully encrypted, the administrator can quickly resume BitLocker protection after the planned task has been completed. Приостановка и возобновление также повторно замеют ключ шифрования без необходимости ввода ключа восстановления. Using suspend and resume also reseals the encryption key without requiring the entry of the recovery key.

Если приостановка BitLocker автоматически возобновляет защиту при перезагрузке компьютера, если только количество перезагрузки не указано с помощью средства командной строки manage-bde. If suspended BitLocker will automatically resume protection when the PC is rebooted, unless a reboot count is specified using the manage-bde command line tool.

Если для обслуживания программного обеспечения требуется перезагрузить компьютер и вы используете двух коэффициент проверки подлинности, можно включить сетевую разблокировку BitLocker, чтобы предоставить дополнительный фактор проверки подлинности, если на компьютерах нет локального пользователя для предоставления дополнительного способа проверки подлинности. If software maintenance requires the computer to be restarted and you are using two-factor authentication, you can enable BitLocker Network Unlock to provide the secondary authentication factor when the computers do not have an on-premises user to provide the additional authentication method.

Восстановление было описано в контексте незапланированного или нежелательных поведения, но вы также можете вызвать восстановление как предполагаемый производственный сценарий, чтобы управлять управлением доступом. Recovery has been described within the context of unplanned or undesired behavior, but you can also cause recovery as an intended production scenario, in order to manage access control. Например, при перезахоронении настольных компьютеров или ноутбуков другим отделам или сотрудникам предприятия можно принудительно принудить BitLocker к восстановлению до того, как компьютер будет передан новому пользователю. For example, when you redeploy desktop or laptop computers to other departments or employees in your enterprise, you can force BitLocker into recovery before the computer is given to a new user.

Тестирование восстановления Testing recovery

Перед созданием тщательного процесса восстановления BitLocker рекомендуется проверить работу процесса восстановления как для конечных пользователей (пользователей, которые звонят в вашу helpdesk для получения пароля восстановления), так и для администраторов (которые помогают конечному пользователю получить пароль восстановления). Before you create a thorough BitLocker recovery process, we recommend that you test how the recovery process works for both end users (people who call your helpdesk for the recovery password) and administrators (people who help the end user get the recovery password). Команда -forcerecovery в manage-bde — это простой способ пошаговую процедуру восстановления, прежде чем пользователи столкнутся с ситуацией восстановления. The -forcerecovery command of manage-bde is an easy way for you to step through the recovery process before your users encounter a recovery situation.

Принудительное восстановление для локального компьютера: To force a recovery for the local computer:

Нажмите кнопку «Начните», **** введите cmd в поле «Начните поиск», щелкните правой кнопкой мышиcmd.exe**и **выберите «Запуск от прав администратора». Select the Start button, type cmd in the Start Search box, right-click cmd.exe, and then select Run as administrator.
В командной подсказке введите следующую команду и нажмите ввод: manage-bde -forcerecovery At the command prompt, type the following command and then press Enter: manage-bde -forcerecovery

Принудительное восстановление удаленного компьютера: To force recovery for a remote computer:

На экране «Начните» введитеcmd.exeи выберите «Запуск от администратора». On the Start screen, type cmd.exe, and then select Run as administrator.

В командной подсказке введите следующую команду и нажмите ввод: manage-bde -ComputerName -forcerecovery At the command prompt, type the following command and then press ENTER: manage-bde -ComputerName -forcerecovery

Восстановление, инициационное сохраняемой для нескольких перезапусков до тех пор, пока не будет добавлена защита TPM или не будет -forcerecovery приостановлена пользователем. Recovery triggered by -forcerecovery persists for multiple restarts until a TPM protector is added or protection is suspended by the user. При использовании современных устройств ожидания (например, устройств Surface) этот параметр не рекомендуется, так как bitLocker необходимо разблокировать и отключить вручную из среды WinRE, прежде чем ОС сможет снова -forcerecovery загрузиться. When using Modern Standby devices (such as Surface devices), the -forcerecovery option is not recommended because BitLocker will have to be unlocked and disabled manually from the WinRE environment before the OS can boot up again. Дополнительные сведения см. в устранении неполадок BitLocker: цикл непрерывной перезагрузки с восстановлением BitLocker на устройстве слиста. For more information, see BitLocker Troubleshooting: Continuous reboot loop with BitLocker recovery on a slate device.

Планирование процесса восстановления Planning your recovery process

При планировании процесса восстановления BitLocker сначала проконсультируйтесь с текущими методиками организации по восстановлению конфиденциальной информации. When planning the BitLocker recovery process, first consult your organization’s current best practices for recovering sensitive information. Например: как предприятие обрабатывает потерянные пароли Windows? For example: How does your enterprise handle lost Windows passwords? Как организация выполняет сброс ПИН-кода смарт-карты? How does your organization perform smart card PIN resets? Вы можете использовать эти лучшие методики и связанные ресурсы (люди и средства), чтобы сформулировать модель восстановления BitLocker. You can use these best practices and related resources (people and tools) to help formulate a BitLocker recovery model.

Организациям, использующим шифрование диска BitLocker и BitLocker To Go для защиты данных на большом количестве компьютеров и съемных дисков под управлением операционных систем Windows 10, Windows 8 или Windows 7 и Windows to Go, следует рассмотреть возможность использования средства администрирования и мониторинга Microsoft BitLocker (MBAM) версии 2.0, которое входит в пакет microsoft Desktop Optimization Pack (MDOP) для Microsoft Software Assurance. Organizations that rely on BitLocker Drive Encryption and BitLocker To Go to protect data on a large number of computers and removable drives running the Windows 10, Windows 8, or Windows 7 operating systems and Windows to Go should consider using the Microsoft BitLocker Administration and Monitoring (MBAM) Tool version 2.0, which is included in the Microsoft Desktop Optimization Pack (MDOP) for Microsoft Software Assurance. MBAM упрощает развертывание и управление реализациями BitLocker, а также позволяет администраторам обеспечить шифрование операционной системы и фиксированных дисков и отслеживать их. MBAM makes BitLocker implementations easier to deploy and manage and allows administrators to provision and monitor encryption for operating system and fixed drives. MBAM запросит пользователя перед шифрованием фиксированных дисков. MBAM prompts the user before encrypting fixed drives. MBAM также управляет ключами восстановления для фиксированных и съемных дисков, упрощая управление восстановлением. MBAM also manages recovery keys for fixed and removable drives, making recovery easier to manage. MBAM можно использовать в рамках развертывания Microsoft System Center или в качестве отдельного решения. MBAM can be used as part of a Microsoft System Center deployment or as a stand-alone solution. Дополнительные сведения см. в сведениях об администрировании и мониторинге Microsoft BitLocker. For more info, see Microsoft BitLocker Administration and Monitoring.

После инициации восстановления BitLocker пользователи могут использовать пароль восстановления для разблокировки доступа к зашифрованным данным. After a BitLocker recovery has been initiated, users can use a recovery password to unlock access to encrypted data. Рассмотрите методы самостоятельного восстановления и и восстановления паролей для вашей организации. Consider both self-recovery and recovery password retrieval methods for your organization.

При определении процесса восстановления необходимо: When you determine your recovery process, you should:

Ознакомьтесь с тем, как можно получить пароль восстановления. Become familiar with how you can retrieve the recovery password. См.: See:

Определите ряд действий после восстановления, включая анализ причины восстановления и сброс пароля восстановления. Determine a series of steps for post-recovery, including analyzing why the recovery occurred and resetting the recovery password. См.: See:

Самостоятельное восстановление Self-recovery

В некоторых случаях у пользователей может быть пароль восстановления в распечатке или USB-устройстве флэш-памяти, и они могут выполнить самостоятельное восстановление. In some cases, users might have the recovery password in a printout or a USB flash drive and can perform self-recovery. Мы рекомендуем вашей организации создать политику для самостоятельного восстановления. We recommend that your organization create a policy for self-recovery. Если при самостоятельном восстановлении используется пароль или ключ восстановления, хранимый на USB-устройстве флэш-памяти, пользователи должны быть предупреждены о том, что USB-устройство флэш-памяти не должно храниться там же, где и компьютер, особенно во время поездок, например если компьютер и элементы восстановления находятся в одном пакете, неавторизованный пользователь может легко получить доступ к компьютеру. If self-recovery includes using a password or recovery key stored on a USB flash drive, the users should be warned not to store the USB flash drive in the same place as the PC, especially during travel, for example if both the PC and the recovery items are in the same bag, then it’s easy for an unauthorized user to access the PC. Другая политика, которую следует рассмотреть, — это связывание пользователей со справкой до или после самостоятельного восстановления, чтобы можно было определить первопричину. Another policy to consider is having users contact the Helpdesk before or after performing self-recovery so that the root cause can be identified.

Восстановление пароля Recovery password retrieval

Если у пользователя нет пароля восстановления в распечатке или на USB-устройстве флэш-памяти, ему потребуется получить пароль восстановления из интернет-источника. If the user does not have a recovery password in a printout or on a USB flash drive, the user will need to be able to retrieve the recovery password from an online source. Если компьютер является членом домена, для восстановления пароля можно использовать AD DS. If the PC is a member of a domain, the recovery password can be backed up to AD DS. Однако это не происходит по умолчанию. However, this does not happen by default. Необходимо настроить соответствующие параметры групповой политики до включения BitLocker на компьютере. You must have configured the appropriate Group Policy settings before BitLocker was enabled on the PC. Параметры групповой политики BitLocker можно найти в редакторе локальных групповых политик или консоли управления групповыми политиками (GPMC) в области Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker. BitLocker Group Policy settings can be found in the Local Group Policy Editor or the Group Policy Management Console (GPMC) under Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption. Следующие параметры политики определяют методы восстановления, которые можно использовать для восстановления доступа к диску, защищенного BitLocker, если метод проверки подлинности не удается использовать. The following policy settings define the recovery methods that can be used to restore access to a BitLocker-protected drive if an authentication method fails or is unable to be used.

Выбор восстановления дисков операционной системы, защищенных BitLocker Choose how BitLocker-protected operating system drives can be recovered
Выбор того, как можно восстановить фиксированные диски, защищенные BitLocker Choose how BitLocker-protected fixed drives can be recovered
Выбор того, как можно восстановить съемные диски, защищенные BitLocker Choose how BitLocker-protected removable drives can be recovered

В каждой из этих политик выберите «Сохранить сведения о восстановлении BitLocker в доменных службах Active Directory», а затем выберите сведения о восстановлении BitLocker, которые будут храниться в доменных службах Active Directory (AD DS). In each of these policies, select Save BitLocker recovery information to Active Directory Domain Services and then choose which BitLocker recovery information to store in Active Directory Domain Services (AD DS). Выберите «Не активировать BitLocker» до тех пор, пока сведения о восстановлении не будут сохранены в AD DS, если необходимо запретить пользователям включить BitLocker, если компьютер не подключен к домену и не будет успешно резервное копирование данных восстановления BitLocker для диска с AD DS. Select the Do not enable BitLocker until recovery information is stored in AD DS check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information for the drive to AD DS succeeds.

Если компьютеры являются частью группы, пользователям рекомендуется сохранить пароль восстановления BitLocker со своей учетной записью Майкрософт в Интернете. If the PCs are part of a workgroup, users should be advised to save their BitLocker recovery password with their Microsoft Account online. Рекомендуется иметь в сети копию пароля восстановления BitLocker, чтобы не потерять доступ к данным в случае необходимости восстановления. Having an online copy of your BitLocker recovery password is recommended to help ensure that you do not lose access to your data in the event that recovery is required.

Средство просмотра паролей восстановления BitLocker для пользователей и компьютеров Active Directory позволяет администраторам домена просматривать пароли восстановления BitLocker для определенных объектов компьютера в Active Directory. The BitLocker Recovery Password Viewer for Active Directory Users and Computers tool allows domain administrators to view BitLocker recovery passwords for specific computer objects in Active Directory.

Следующий список можно использовать в качестве шаблона для создания собственного процесса восстановления для восстановления пароля. You can use the following list as a template for creating your own recovery process for recovery password retrieval. В этом примере процесса используется средство просмотра паролей восстановления BitLocker для пользователей и компьютеров Active Directory. This sample process uses the BitLocker Recovery Password Viewer for Active Directory Users and Computers tool.

Запись имени компьютера пользователя Record the name of the user’s computer

Вы можете использовать имя компьютера пользователя, чтобы найти пароль восстановления в AD DS. You can use the name of the user’s computer to locate the recovery password in AD DS. Если пользователь не знает имя компьютера, попросите его прочитать первое **** слово метки диска в пользовательском интерфейсе ввода пароля шифрования диска BitLocker. If the user does not know the name of the computer, ask the user to read the first word of the Drive Label in the BitLocker Drive Encryption Password Entry user interface. Это имя компьютера, когда bitLocker был включен и, вероятно, является текущим именем компьютера. This is the computer name when BitLocker was enabled and is probably the current name of the computer.

Проверка удостоверения пользователя Verify the user’s identity

Убедитесь, что авторизованный пользователь этого компьютера действительно запрашивает пароль восстановления. Verify that the person that is asking for the recovery password is truly the authorized user of that computer. Кроме того, может потребоваться убедиться, что компьютер с именем, предоставленным пользователем, принадлежит пользователю. You might also want to verify that the computer with the name the user provided belongs to the user.

Поиск пароля восстановления в AD DS Locate the recovery password in AD DS

Найдите объект Computer с совпадающий именем в AD DS. Locate the Computer object with the matching name in AD DS. Поскольку имена объектов Computer перечислены в глобальном каталоге доменных имен AD DS, вы должны иметь возможность найти объект, даже если у вас есть много доменный лес. Because Computer object names are listed in the AD DS global catalog, you should be able to locate the object even if you have a multi-domain forest.

Несколько паролей восстановления Multiple recovery passwords

Если в объекте компьютера в AD DS хранится несколько паролей восстановления, имя информационного объекта восстановления BitLocker включает дату создания пароля. If multiple recovery passwords are stored under a computer object in AD DS, the name of the BitLocker recovery information object includes the date that the password was created.

Если в любой момент вы не знаете, какой пароль предоставить, или если вы считаете, что у вас может быть неправильный пароль, попросите пользователя прочитать восьми символьный ИД пароля, отображаемого в консоли восстановления. If at any time you are unsure what password to provide, or if you think you might be providing the incorrect password, ask the user to read the eight character password ID that is displayed in the recovery console.

Так как код пароля — это уникальное значение, связанное с каждым паролем восстановления, хранимым в AD DS, при запуске запроса с использованием этого ИД будет находить правильный пароль для разблокировки зашифрованного тома. Since the password ID is a unique value that is associated with each recovery password stored in AD DS, running a query using this ID will find the correct password to unlock the encrypted volume.

Сбор сведений для определения причины восстановления Gather information to determine why recovery occurred

Перед тем как предоставить пользователю пароль восстановления, необходимо собрать все сведения, которые помогут определить причину необходимости восстановления, чтобы проанализировать первопричину во время анализа после восстановления. Before you give the user the recovery password, you should gather any information that will help determine why the recovery was needed, in order to analyze the root cause during the post-recovery analysis. Дополнительные сведения об анализе после восстановления см. в анализе после восстановления. For more info about post-recovery analysis, see Post-recovery analysis.

Предодайте пользователю пароль для восстановления Give the user the recovery password

Поскольку пароль восстановления имеет длину 48 цифр, пользователю может потребоваться записать пароль, записав его или введя его на другом компьютере. Because the recovery password is 48 digits long, the user might need to record the password by writing it down or typing it on a different computer. Если вы используете MBAM, пароль восстановления будет восстановлен после восстановления из базы данных MBAM, чтобы избежать рисков безопасности, связанных с неконтролируемым паролем. If you are using MBAM, the recovery password will be regenerated after it is recovered from the MBAM database to avoid the security risks associated with an uncontrolled password.

Поскольку 48-значный пароль восстановления длинный и содержит сочетание цифр, пользователь может неправильно ввести пароль. Because the 48-digit recovery password is long and contains a combination of digits, the user might mishear or mistype the password. Консоль восстановления во время загрузки использует встроенные номера контрольных сумм для обнаружения ошибок ввода в каждом 6-значном блоке 48-значного пароля восстановления и предоставляет пользователю возможность исправить такие ошибки. The boot-time recovery console uses built-in checksum numbers to detect input errors in each 6-digit block of the 48-digit recovery password, and offers the user the opportunity to correct such errors.

Анализ после восстановления Post-recovery analysis

Если том разблокирован с помощью пароля восстановления, в журнал событий записляется событие, а показатели проверки платформы сбрасываются в TPM в соответствие с текущей конфигурацией. When a volume is unlocked using a recovery password, an event is written to the event log and the platform validation measurements are reset in the TPM to match the current configuration. Разблокировка тома означает, что ключ шифрования был отпущен и готов к шифрованию во время работы при записи данных в том и при расшифровке во время работы при считывке данных из тома. Unlocking the volume means that the encryption key has been released and is ready for on-the-fly encryption when data is written to the volume, and on-the-fly decryption when data is read from the volume. После разблокировки тома BitLocker ведет себя одинаково независимо от того, как был предоставлен доступ. After the volume is unlocked, BitLocker behaves the same way, regardless of how the access was granted.

Если вы заметили, что на компьютере повторяются разблокировки паролей восстановления, может потребоваться, чтобы администратор выполнил анализ после восстановления, чтобы определить первопричину проверки платформы BitLocker и восстановления, чтобы пользователю больше не нужно было вводить пароль восстановления каждый раз, когда компьютер запускается. If you notice that a computer is having repeated recovery password unlocks, you might want to have an administrator perform post-recovery analysis to determine the root cause of the recovery and refresh BitLocker platform validation so that the user no longer needs to enter a recovery password each time that the computer starts up. См.: See:

Определение основной причины восстановления Determine the root cause of the recovery

Если пользователю необходимо восстановить диск, важно как можно скорее определить первопричину, которая инициировала восстановление. If a user needed to recover the drive, it is important to determine the root cause that initiated the recovery as soon as possible. Правильное анализ состояния компьютера и обнаружение ненамеренности может привести к раскрытию угроз, которые имеют более широкие последствия для корпоративной безопасности. Properly analyzing the state of the computer and detecting tampering may reveal threats that have broader implications for enterprise security.

Хотя в некоторых случаях администратор может удаленно изучить причину восстановления, конечному пользователю может потребоваться привести компьютер, содержащий восстановленный диск на сайте, для дальнейшего анализа основной причины. While an administrator can remotely investigate the cause of recovery in some cases, the end user might need to bring the computer that contains the recovered drive on site to analyze the root cause further.

Просмотрите и ответьте на следующие вопросы для вашей организации: Review and answer the following questions for your organization:

Какой режим защиты BitLocker действует (TPM, TPM + PIN, TPM + ключ запуска, только ключ запуска)? What BitLocker protection mode is in effect (TPM, TPM + PIN, TPM + startup key, startup key only)? Какой профиль PCR используется на компьютере? Which PCR profile is in use on the PC?
Пользователь просто забыл ПИН-код или забыл ключ запуска? Did the user merely forget the PIN or lose the startup key? Если маркер был потерян, где может быть маркер? If a token was lost, where might the token be?
Если режим TPM был в силе, было ли восстановление вызвано изменением файла загрузки? If TPM mode was in effect, was recovery caused by a boot file change?
Если восстановление было вызвано изменением файла загрузки, было ли изменение предполагаемым действием пользователя (например, обновлением BIOS) или вызвано ли оно вредоносным программным обеспечением? If recovery was caused by a boot file change, was the change an intended user action (for example, BIOS upgrade), or was it caused by malicious software?
Когда пользователь в последний раз мог успешно запустить компьютер и что могло произойти с компьютером с этого момента? When was the user last able to start the computer successfully, and what might have happened to the computer since then?
Может ли пользователь столкнуться с вредоносным по или оставить компьютер без управления с момента последнего успешного запуска? Might the user have encountered malicious software or left the computer unattended since the last successful startup?

Чтобы ответить на эти вопросы, используйте средство командной строки BitLocker для просмотра текущей конфигурации и режима защиты (например, manage-bde -status). To help you answer these questions, use the BitLocker command-line tool to view the current configuration and protection mode (for example, manage-bde -status). Сканируйте журнал событий, чтобы найти события, которые помогают указать, почему было инициировано восстановление (например, если файл загрузки изменился). Scan the event log to find events that help indicate why recovery was initiated (for example, if the boot file changed). Обе эти возможности можно выполнять удаленно. Both of these capabilities can be performed remotely.

Устранение основной причины Resolve the root cause

После того как вы определили, что вызвало восстановление, вы можете сбросить защиту BitLocker и избежать восстановления при каждом запуске. After you have identified what caused recovery, you can reset BitLocker protection and avoid recovery on every startup.

Сведения об этом сбросе могут отличаться в зависимости от основной причины восстановления. The details of this reset can vary according to the root cause of the recovery. Если не удается определить первопричину или заражение компьютера вредоносным программным обеспечением или программным обеспечением, то для соответствующей реакции в случае применения антивирусных политик в helpdesk следует применять соответствующие политики. If you cannot determine the root cause, or if malicious software or a rootkit might have infected the computer, Helpdesk should apply best-practice virus policies to react appropriately.

Вы можете выполнить сброс профиля проверки BitLocker, приостановив и повторное выполнение BitLocker. You can perform a BitLocker validation profile reset by suspending and resuming BitLocker.

Неизвестный ПИН-код Unknown PIN

Если пользователь забыл ПИН-код, необходимо сбросить ПИН-код во время входа на компьютер, чтобы bitLocker не запускал восстановление при каждой перезагрузке компьютера. If a user has forgotten the PIN, you must reset the PIN while you are logged on to the computer in order to prevent BitLocker from initiating recovery each time the computer is restarted.

Чтобы предотвратить продолжение восстановления из-за неизвестного ПИН-кода To prevent continued recovery due to an unknown PIN

Разблокировка компьютера с помощью пароля восстановления. Unlock the computer using the recovery password.
Сброс ПИН-кода: Reset the PIN:
1. Щелкните диск правой кнопкой мыши и выберите «Изменить ПИН-код». Right-click the drive and then select Change PIN.
2. В диалоговом окну шифрования диска BitLocker выберите сброс забытого ПИН-кода. In the BitLocker Drive Encryption dialog, select Reset a forgotten PIN. Если вы не вошли с помощью учетной записи администратора, в этом случае в качестве учетных данных администратора в этом случае укатив учетные данные администратора. If you are not logged in with an administrator account, provide administrative credentials at this time.
3. В диалоговом окну сброса ПИН-кода утвердите и подтвердите использование нового ПИН-кода, а затем выберите «Готово». In the PIN reset dialog, provide and confirm the new PIN to use and then select Finish.
Новый ПИН-код будет применяться при следующей разблокировкой диска. You will use the new PIN the next time you unlock the drive.

Потерян ключ запуска Lost startup key

Если usb-устройство флэш-памяти с ключом запуска потеряно, необходимо разблокировать его с помощью ключа восстановления, а затем создать новый ключ запуска. If you have lost the USB flash drive that contains the startup key, then you must unlock the drive by using the recovery key and then create a new startup key.

Предотвращение продолжения восстановления из-за потери ключа запуска To prevent continued recovery due to a lost startup key

Войдите с учетной записью администратора на компьютер с потерянным ключом запуска. Log on as an administrator to the computer that has the lost startup key.
Откройте «Управление BitLocker». Open Manage BitLocker.
Выберите дубликат клавишизапуска, вставьте чистый USB-накопитель, на который вы собираетесь записать ключ, а затем выберите «Сохранить». Select Duplicate start up key, insert the clean USB drive on which you are going to write the key and then select Save.

Изменения файлов загрузки Changes to boot files

Эта ошибка может возникнуть, если вы обновили микропрограмму. This error might occur if you updated the firmware. Перед внесением изменений во микропрограмму следует приостановить BitLocker, а затем возобновить защиту после завершения обновления. As a best practice, you should suspend BitLocker before making changes to the firmware and then resume protection after the update has completed. Это действие не позволяет компьютеру переходить в режим восстановления. This action prevents the computer from going into recovery mode. Однако если изменения были внесены, когда защита BitLocker была в сети, войдите на компьютер с помощью пароля восстановления, и профиль проверки платформы будет обновлен, чтобы в следующий раз восстановление не было выполнено. However if changes were made when BitLocker protection was on, then log on to the computer using the recovery password, and the platform validation profile will be updated so that recovery will not occur the next time.

Шифрование устройств Windows RE и BitLocker Windows RE and BitLocker Device Encryption

Среду восстановления Windows (RE) можно использовать для восстановления доступа к диску, защищенного шифрованием устройства BitLocker. Windows Recovery Environment (RE) can be used to recover access to a drive protected by BitLocker Device Encryption. Если компьютер не может загрузиться после двух сбоев, автоматически запустится восстановление при запуске. If a PC is unable to boot after two failures, Startup Repair will automatically start. При автоматическом запуске восстановления при запуске из-за сбоев загрузки выполняется только восстановление операционной системы и файла драйвера при условии, что журналы загрузки или любая доступная точка аварийного дампа указывают на определенный поврежденный файл. When Startup Repair is launched automatically due to boot failures, it will only execute operating system and driver file repairs, provided that the boot logs or any available crash dump point to a specific corrupted file. В Windows 8.1 и более поздних версий устройства, которые включают микропрограммы для поддержки определенных показателей TPM для PCR[7], могут проверить, является ли Windows RE надежной операционной средой, и разблокирует все диски, защищенные BitLocker, если windows RE не был изменен. In Windows 8.1 and later, devices that include firmware to support specific TPM measurements for PCR[7] the TPM can validate that Windows RE is a trusted operating environment and will unlock any BitLocker-protected drives if Windows RE has not been modified. Если среда Windows RE была изменена, например отключенный TPM, диски будут оставаться заблокированными до тех пор, пока не будет предоставлен ключ восстановления BitLocker. If the Windows RE environment has been modified, for example the TPM has been disabled, the drives will stay locked until the BitLocker recovery key is provided. Если восстановление при запуске не может быть запущено автоматически с компьютера и вместо этого Windows RE вручную запущена с диска восстановления, необходимо вводить ключ восстановления BitLocker для разблокировки дисков, защищенных BitLocker. If Startup Repair can’t run automatically from the PC and instead Windows RE is manually started from a repair disk, then the BitLocker recovery key must be provided to unlock the BitLocker–protected drives.

Экран восстановления BitLocker BitLocker recovery screen

Во время восстановления BitLocker Windows может отображать настраиваемые сообщения восстановления и подсказки, которые определяют, откуда можно получить ключ. During BitLocker recovery, Windows can display a custom recovery message and hints that identify where a key can be retrieved from. Эти улучшения могут помочь пользователю при восстановлении BitLocker. These improvements can help a user during BitLocker recovery.

Сообщение о настраиваемом восстановлении Custom recovery message

Параметры групповой политики BitLocker в Windows 10 версии 1511 поддерживают настройку настраиваемого сообщения восстановления и URL-адреса на экране восстановления BitLocker, который может включать адрес портала самостоятельного восстановления BitLocker, внутреннего ИТ-сайта или номер телефона для поддержки. BitLocker Group Policy settings in Windows 10, version 1511, let you configure a custom recovery message and URL on the BitLocker recovery screen, which can include the address of the BitLocker self-service recovery portal, the IT internal website, or a phone number for support.

Эту политику можно настроить с **** помощью GPO в области административных шаблонов конфигурации компьютера Windows > **** > Components > BitLocker Drive EncryptionOperating System Drive > **** > Configure pre-boot recovery message and URL. This policy can be configured using GPO under Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Configure pre-boot recovery message and URL.

Его также можно настроить с помощью управления мобильными устройствами (MDM) Intune в поставщике служб конфигурации BitLocker: * ./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage * It can also be configured using Intune mobile device management (MDM) in the BitLocker CSP: ./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

Пример настраиваемого экрана восстановления: Example of customized recovery screen:

Подсказки ключа восстановления BitLocker BitLocker recovery key hints

Метаданные BitLocker были улучшены в Windows 10 версии 1903, включив сведения о том, когда и где был восстановлен ключ восстановления BitLocker. BitLocker metadata has been enhanced in Windows 10, version 1903 to include information about when and where the BitLocker recovery key was backed up. Эти сведения не гласно в пользовательском интерфейсе или в общедоступных API. This information is not exposed through the UI or any public API. Он используется исключительно экраном восстановления BitLocker в виде подсказок, чтобы помочь пользователю найти ключ восстановления тома. It is used solely by the BitLocker recovery screen in the form of hints to help a user locate a volume’s recovery key. Подсказки отображаются на экране восстановления и ссылаются на расположение, в котором сохранен ключ. Hints are displayed on the recovery screen and refer to the location where the key has been saved. Подсказки отображаются на современном (синем) и устаревшем (черном) экране восстановления. Hints are displayed on both the modern (blue) and legacy (black) recovery screen. Это относится как к экрану восстановления диспетчера загрузки, так и к экрану разблокировки WinRE. This applies to both the boot manager recovery screen and the WinRE unlock screen.

Не рекомендуется печатать ключи восстановления или сохранять их в файле. We don’t recommend printing recovery keys or saving them to a file. Вместо этого используйте резервное копирование Active Directory или облачное резервное копирование. Instead, use Active Directory backup or a cloud-based backup. Облачное резервное копирование включает Azure Active Directory (Azure AD) и учетную запись Майкрософт. Cloud-based backup includes Azure Active Directory (Azure AD) and Microsoft Account.

Существуют правила, управляющие тем, какая подсказка отображается во время восстановления (в порядке обработки): There are rules governing which hint is shown during the recovery (in order of processing):

Всегда отображает настраиваемое сообщение восстановления, если оно настроено (с помощью GPO или MDM). Always display custom recovery message if it has been configured (using GPO or MDM).
Всегда отображает универсальный совет: «Для получения дополнительных сведений перейдите к https://aka.ms/recoverykeyfaq «. Always display generic hint: «For more information, go to https://aka.ms/recoverykeyfaq».
Если на томе имеется несколько ключей восстановления, расставить приоритеты последнего созданного (и успешно созданного) ключа восстановления. If multiple recovery keys exist on the volume, prioritize the last created (and successfully backed up) recovery key.
Расставить приоритеты ключей с успешной резервной копией над ключами, резервное копирование в которые никогда не было. Prioritize keys with successful backup over keys that have never been backed up.
Расставить приоритеты подсказок резервного копирования в следующем порядке для удаленных местоположений резервного копирования: учетная запись Майкрософт >Azure AD > Active Directory. Prioritize backup hints in the following order for remote backup locations: Microsoft Account > Azure AD > Active Directory.
Если ключ печатается и сохранен в файл, вместо двух отдельных подсказок отображается комбинированная подсказка «Найти распечатку или текстовый файл с ключом». If a key has been printed and saved to file, display a combined hint, «Look for a printout or a text file with the key,» instead of two separate hints.
Если для одного ключа восстановления было выполнено несколько резервных копий одного типа (удаление или локальное), расставить приоритеты данных резервного копирования с последней датой резервного копирования. If multiple backups of the same type (remove vs. local) have been performed for the same recovery key, prioritize backup info with latest backed up date.
Нет специальной подсказки для ключей, сохраненных в локальной службе Active Directory. There is no specific hint for keys saved to an on-premises Active Directory. В этом случае отображается настраиваемое сообщение (если настроено) или универсальное сообщение «Обратиться в службу поддержки вашей организации». In this case, a custom message (if configured) or a generic message, «Contact your organization’s help desk,» will be displayed.
Если на диске присутствуют два ключа восстановления, но только один из них успешно сошел на нет, система запросит ключ, который был восстановлен, даже если другой ключ является более новым. If two recovery keys are present on the disk, but only one has been successfully backed up, the system will ask for a key that has been backed up, even if another key is newer.

Пример 1 (один ключ восстановления с одной резервной копией) Example 1 (single recovery key with single backup)

Настраиваемый URL-адрес Custom URL	Да Yes
Сохранено в учетную запись Майкрософт Saved to Microsoft Account	Да Yes
Сохранено в Azure AD Saved to Azure AD	Нет No
Сохранено в Active Directory Saved to Active Directory	Нет No
Printed Printed	Нет No
Сохранено в файл Saved to file	Нет No

Результат: Отображается подсказка для учетной записи Майкрософт и настраиваемого URL-адреса. Result: The hint for the Microsoft Account and the custom URL are displayed.

Пример 2 (один ключ восстановления с одной резервной копией) Example 2 (single recovery key with single backup)

Настраиваемый URL-адрес Custom URL	Да Yes
Сохранено в учетную запись Майкрософт Saved to Microsoft Account	Нет No
Сохранено в Azure AD Saved to Azure AD	Нет No
Сохранено в Active Directory Saved to Active Directory	Да Yes
Printed Printed	Нет No
Сохранено в файл Saved to file	Нет No

Результат: Отображается только настраиваемый URL-адрес. Result: Only the custom URL is displayed.

Пример 3 (один ключ восстановления с несколькими резервными копиями) Example 3 (single recovery key with multiple backups)

Настраиваемый URL-адрес Custom URL	Нет No
Сохранено в учетную запись Майкрософт Saved to Microsoft Account	Да Yes
Сохранено в Azure AD Saved to Azure AD	Да Yes
Сохранено в Active Directory Saved to Active Directory	Нет No
Printed Printed	Да Yes
Сохранено в файл Saved to file	Да Yes

Результат: Отображается только подсказка учетной записи Майкрософт. Result: Only the Microsoft Account hint is displayed.

Пример 4 (несколько паролей восстановления) Example 4 (multiple recovery passwords)

Настраиваемый URL-адрес Custom URL	Нет No
Сохранено в учетную запись Майкрософт Saved to Microsoft Account	Нет No
Сохранено в Azure AD Saved to Azure AD	Нет No
Сохранено в Active Directory Saved to Active Directory	Нет No
Printed Printed	Нет No
Сохранено в файл Saved to file	Да Yes
Creation time (время создания) Creation time	1PM 1PM
ИД ключа Key ID	A564F193 A564F193

Настраиваемый URL-адрес Custom URL	Нет No
Сохранено в учетную запись Майкрософт Saved to Microsoft Account	Нет No
Сохранено в Azure AD Saved to Azure AD	Нет No
Сохранено в Active Directory Saved to Active Directory	Нет No
Printed Printed	Нет No
Сохранено в файл Saved to file	Нет No
Creation time (время создания) Creation time	3PM 3PM
ИД ключа Key ID	T4521ER5 T4521ER5

Результат: Отображается только подсказка об успешном океях, даже если это не самый последний ключ. Result: Only the hint for a successfully backed up key is displayed, even if it isn’t the most recent key.

Пример 5 (несколько паролей восстановления) Example 5 (multiple recovery passwords)

Настраиваемый URL-адрес Custom URL	Нет No
Сохранено в учетную запись Майкрософт Saved to Microsoft Account	Да Yes
Сохранено в Azure AD Saved to Azure AD	Да Yes
Сохранено в Active Directory Saved to Active Directory	Нет No
Printed Printed	Нет No
Сохранено в файл Saved to file	Нет No
Creation time (время создания) Creation time	1PM 1PM
ИД ключа Key ID	99631A34 99631A34

Настраиваемый URL-адрес Custom URL	Нет No
Сохранено в учетную запись Майкрософт Saved to Microsoft Account	Нет No
Сохранено в Azure AD Saved to Azure AD	Да Yes
Сохранено в Active Directory Saved to Active Directory	Нет No
Printed Printed	Нет No
Сохранено в файл Saved to file	Нет No
Creation time (время создания) Creation time	3PM 3PM
ИД ключа Key ID	9DF70931 9DF70931

Результат: Отображается подсказка для последнего ключа. Result: The hint for the most recent key is displayed.

Использование дополнительных сведений о восстановлении Using additional recovery information

Помимо 48-значного пароля восстановления BitLocker, в Active Directory хранятся сведения о восстановлении других типов. Besides the 48-digit BitLocker recovery password, other types of recovery information are stored in Active Directory. В этом разделе описывается, как можно использовать эти дополнительные сведения. This section describes how this additional information can be used.

Пакет ключей BitLocker BitLocker key package

Если методы восстановления, рассмотренные выше в этом документе, не разблокируют том, можно использовать средство восстановления BitLocker для расшифровки тома на уровне блока. If the recovery methods discussed earlier in this document do not unlock the volume, you can use the BitLocker Repair tool to decrypt the volume at the block level. Средство использует пакет ключей BitLocker для восстановления зашифрованных данных с серьезно поврежденных дисков. The tool uses the BitLocker key package to help recover encrypted data from severely damaged drives. Эти восстановленные данные можно использовать для ссвечения зашифрованных данных даже после того, как правильному паролем восстановления не удалось разблокировать поврежденный том. You can then use this recovered data to salvage encrypted data, even after the correct recovery password has failed to unlock the damaged volume. Рекомендуется сохранить пароль восстановления. We recommend that you still save the recovery password. Пакет ключей нельзя использовать без соответствующего пароля восстановления. A key package cannot be used without the corresponding recovery password.

Для использования пакета ключей BitLocker необходимо использовать средство восстановления BitLocker Repair-bde. You must use the BitLocker Repair tool repair-bde to use the BitLocker key package.

Пакет ключей BitLocker по умолчанию не сохранен. The BitLocker key package is not saved by default. Чтобы сохранить пакет вместе с паролем восстановления в AD **** DS, необходимо выбрать пароль для восстановления резервной копии и параметр пакета ключа в параметрах групповой политики, которые контролируют метод восстановления. To save the package along with the recovery password in AD DS, you must select the Backup recovery password and key package option in the Group Policy settings that control the recovery method. Пакет ключей также можно экспортировать из рабочего тома. You can also export the key package from a working volume. Дополнительные сведения об экспорте пакетов ключей см. в подзаголовке «Получить пакет ключей BitLocker». For more details about how to export key packages, see Retrieving the BitLocker Key Package.

Сброс паролей восстановления Resetting recovery passwords

Аннулировать пароль восстановления после его использования. Invalidate a recovery password after it has been provided and used. Это также следует делать, если вы намеренно хотите по какой-либо причине сделать существующий пароль восстановления недействительным. It should also be done when you intentionally want to invalidate an existing recovery password for any reason.

Пароль восстановления можно сбросить двумя способами: You can reset the recovery password in two ways:

Use manage-bde: You can use manage-bde to remove the old recovery password and add a new recovery password. Use manage-bde: You can use manage-bde to remove the old recovery password and add a new recovery password. Процедура определяет команду и синтаксис для этого метода. The procedure identifies the command and the syntax for this method.
Запустите сценарий: можно запустить сценарий для сброса пароля без расшифровки тома. Run a script: You can run a script to reset the password without decrypting the volume. Пример скрипта в процедуре иллюстрирует эту функциональность. The sample script in the procedure illustrates this functionality. Пример сценария создает новый пароль восстановления и аннулирует все остальные пароли. The sample script creates a new recovery password and invalidates all other passwords.

Чтобы сбросить пароль восстановления с помощью manage-bde: To reset a recovery password using manage-bde:

Удаление предыдущего пароля восстановления Remove the previous recovery password

Добавление нового пароля восстановления Add the new recovery password

Получите код нового пароля восстановления. Get the ID of the new recovery password. С экрана скопируйте код пароля восстановления. From the screen, copy the ID of the recovery password.

С помощью функции «Back up the new recovery password» (Новый пароль восстановления) в AD DS. Back up the new recovery password to AD DS.

В строку ID необходимо включить скобки. You must include the braces in the ID string.

Чтобы запустить пример сценария пароля восстановления: To run the sample recovery password script:

Сохраните следующий пример сценария в файле VBScript. Save the following sample script in a VBScript file. Например: ResetPassword.vbs. For example: ResetPassword.vbs.

В командной подсказке введите команду, аналогичную следующему примеру сценария: At the command prompt, type a command similar to the following sample script:

cscript ResetPassword.vbs cscript ResetPassword.vbs

Этот пример сценария настроен для работы только для тома C. This sample script is configured to work only for the C volume. Сценарий необходимо настроить так, чтобы он совпадал с томом, в котором необходимо протестировать сброс пароля. You must customize the script to match the volume where you want to test password reset.

Для управления удаленным компьютером можно указать имя удаленного компьютера, а не имя локального компьютера. To manage a remote computer, you can specify the remote computer name rather than the local computer name.

Для создания файла VBScript для сброса паролей восстановления можно использовать следующий пример сценария: You can use the following sample script to create a VBScript file to reset the recovery passwords:

Искомый пакет ключа BitLocker Retrieving the BitLocker key package

Для получения пакета ключей можно использовать два метода, как описано в описании использования дополнительных сведений о восстановлении: You can use two methods to retrieve the key package, as described in Using Additional Recovery Information:

Экспорт ранее сохраненного пакета ключей из AD DS. Export a previously saved key package from AD DS. Необходимо иметь доступ на чтение к паролям восстановления BitLocker, которые хранятся в AD DS. You must have Read access to BitLocker recovery passwords that are stored in AD DS.
Экспортировать новый пакет ключей из разблокированный том, защищенный BitLocker. Export a new key package from an unlocked, BitLocker-protected volume. Для этого необходимо иметь доступ локального администратора к рабочему тому. You must have local administrator access to the working volume, before any damage has occurred.

В следующем примере сценария экспортируются все ранее сохраненные пакеты ключей из AD DS. The following sample script exports all previously saved key packages from AD DS.

Чтобы запустить пример сценария ирисовки пакета ключей: To run the sample key package retrieval script:

Сохраните следующий пример сценария в файле VBScript. Save the following sample script in a VBScript file. Например: GetBitLockerKeyPackageADDS.vbs. For example: GetBitLockerKeyPackageADDS.vbs.

cscript GetBitLockerKeyPackageADDS.vbs -? cscript GetBitLockerKeyPackageADDS.vbs -?

Для создания файла VBScript для получения пакета ключей BitLocker из AD DS можно использовать следующий пример сценария: You can use the following sample script to create a VBScript file to retrieve the BitLocker key package from AD DS:

В следующем примере сценария экспортируется новый пакет ключей из разблокированный зашифрованный том. The following sample script exports a new key package from an unlocked, encrypted volume.