本文提供了在 Surface 设备上安装 Surface UEFI 或 TPM 固件更新后，系统会提示你输入 BitLocker 恢复密钥的问题的解决方法。

适用于：Surface Studio 1、Surface Pro 4、Surface Pro 3、Surface Book、Surface Laptop (第 1 代) 、Surface Pro (第 5 代) 、Surface Book 2 - 13 英寸、Surface ProLTE 高级，Surface Book 2 - 15 英寸 原始 KB 编号： 4057282

重要

本文包含的信息介绍如何帮助降低安全设置或关闭计算机上的安全功能。 可以进行这些更改来解决特定问题。 在进行这些更改之前，建议评估与在特定环境中实现此解决方法相关的风险。 如果实现此解决方法，请执行任何适当的附加步骤来帮助保护计算机。

Surface 设备上遇到以下一个或多个症状：

此行为可能发生在以下方案中：

BitLocker 已启用并配置为使用平台配置寄存器 (PCR) 除默认值 PCR 7 和 PCR 11 以外的值，例如：

安装固件更新，以更新设备 TPM 的固件或更改系统固件的签名。 例如，安装 Surface dTPM (IFX) 更新。

注意

可以通过从提升的命令提示符运行以下命令来验证设备上正在使用的 PCR 值：

PCR 7 是支持连接待机 (也称为 InstantGO 或 Always On、Always Connected PC) （包括 Surface 设备）的设备的要求。 在此类系统上，如果正确配置了带有 PCR 7 和安全启动的 TPM，则 BitLocker 默认绑定到 PCR 7 和 PCR 11。 有关详细信息，请参阅 BitLocker 组策略设置中的“关于平台配置寄存器 (PCR) ”。

警告

BitLocker 驱动器加密通过加密数据来帮助保护组织的敏感信息。 临时禁用 BitLocker 的这种解决方法可能会使数据面临风险。 我们不建议使用此解决方法，但会提供此信息，以便你可以自行决定实现此解决方法。 如果使用此解决方法，需自行承担风险。

在使用 Suspend-BitLocker 将更新应用到 TPM 或 UEFI 固件之前，可以通过暂时挂起 BitLocker 来安装系统固件或 TPM 固件更新时避免出现这种情况。

注意

TPM 和 UEFI 固件更新可能需要在安装过程中多次重新启动。 因此，暂停 BitLocker 必须通过 Suspend-BitLocker cmdlet 并使用 RebootCount 参数指定大于 2 的重新启动次数，以使 BitLocker 在固件更新过程中保持挂起状态。 重新启动计数为 0 将无限期挂起 BitLocker，直到通过 PowerShell cmdlet Resume-BitLocker 或其他机制恢复 BitLocker 为止。

若要暂停 BitLocker 以安装 TPM 或 UEFI 固件更新，请执行以下操作：

打开管理 PowerShell 会话。

输入以下 cmdlet 并按 Enter：

其中 C：是分配给磁盘的驱动器。

安装 Surface 设备驱动程序和固件更新。

成功安装固件更新后，使用 Resume-BitLocker cmdlet 恢复 BitLocker，如下所示：

强烈建议在 BitLocker 挂起后还原安全启动和 PCR 值的默认和建议配置，以防止在将将来的更新应用于 TPM 或 UEFI 固件时进入 BitLocker 恢复。

若要在启用了 BitLocker 的 Surface 设备上启用安全启动，请执行以下操作：

若要更改用于验证 BitLocker 驱动器加密的 PCR 值，请执行以下操作：

如果已安装 TPM 或 UEFI 更新，并且设备无法启动，即使输入了正确的 BitLocker 恢复密钥，也可以通过使用 BitLocker 恢复密钥和 Surface 恢复映像从启动驱动器中删除 BitLocker 保护程序来还原启动功能。

若要使用 BitLocker 恢复密钥从启动驱动器中删除保护程序，请执行以下操作：

从 Microsoft 帐户获取 BitLocker 恢复密钥，或者如果 BitLocker 是通过其他方式（如 Microsoft BitLocker 管理和监视 (MBAM) ）进行管理，请与管理员联系。

从另一台计算机下载 Surface 恢复映像 ，然后创建 USB 恢复驱动器。

从 USB Surface 恢复映像驱动器启动。

出现提示时选择操作系统语言。

选择键盘布局。

选择“高级选项疑难解答>”>命令提示符。

运行以下命令：

其中 C：是分配给磁盘的驱动器， 是在步骤 1 中获取的 BitLocker 恢复密钥。

注意

有关使用此命令的详细信息，请参阅 Manage-bde： unlock。

重新启动计算机。

出现提示时，输入步骤 1 中获取的 BitLocker 恢复密钥。

注意

从启动驱动器禁用 BitLocker 保护程序后，设备将不再受到 BitLocker 驱动器加密的保护。 可以重新启用 BitLocker，方法是选择“开始”，键入“管理 BitLocker”，然后按 Enter 启动 BitLocker 驱动器加密控制面板小程序，然后按照步骤加密驱动器。

若要在无法启动到 Windows 时从 Surface 设备恢复数据：

从 Microsoft 帐户获取 BitLocker 恢复密钥，或者如果 BitLocker 是通过其他方式（如 Microsoft BitLocker 管理和监视 (MBAM) ）进行管理，请与管理员联系。

从另一台计算机下载 Surface 恢复映像 ，然后创建 USB 恢复驱动器。

从 USB Surface 恢复映像驱动器启动。

出现提示时选择操作系统语言。

选择键盘布局。

选择“高级选项疑难解答>”>命令提示符。

运行以下命令：

其中 C：是分配给磁盘的驱动器， 是在步骤 1 中获取的 BitLocker 恢复密钥。

解锁驱动器后，使用 copy 或 xcopy 命令将用户数据复制到另一个驱动器。

注意

有关这些命令的详细信息，请参阅 Windows 命令行参考。

若要使用 Surface 恢复映像重置设备，请按照 创建和使用 USB 恢复驱动器中的“如何使用 USB 恢复驱动器重置 Surface”中的说明进行操作。