Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.

在使用 Windows 10、UEFI 和 TPM 1.2 固件重新启动的情况下 BitLocker 无法开启或提示输入恢复密钥

Summary: 在采用 Windows 10、UEFI 和 TPM 1.2 的情况下解决 BitLocker 未开启或要求输入恢复密钥的问题。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content


Symptoms

在安装 Windows 10 并针对 UEFI BIOS 模式进行配置的戴尔系统上,当系统重新启动时,BitLocker 可能会遇到无法开启或提示输入恢复密钥的问题。在系统也无法支持将 TPM 固件从版本 1.2 刷新至版本 2.0 时,可能会发生这种情况。本文介绍的解决方案可用于配置 BitLocker,以便在那些支持 Windows 10/UEFI 且不支持固件升级到 TPM 2.0 的戴尔系统上与 TPM 1.2 固件配合使用。

SLN305408_zh_CN__1icon 注:支持切换模式的系统应使用以下戴尔知识库文章中的步骤来刷新 TPM 2.0 固件: 解决在装有Windows 10的Latitude EXX70 PC上启用BitLocker的相关问题.

每次使用 Windows 10、UEFI 和 TPM 1.2 固件重新启动后,BitLocker 无法开启或提示输入恢复密钥

Latitude 12 Rugged (7202) 是目前配备 Windows 10/UEFI 和 TPM 1.2 固件的平板电脑的示例。默认情况下,BitLocker 在此配置中无法工作,并且此平台不支持 TPM 1.22.0 模式变更。以下解决方案已针对 7202 进行测试,通过将 BitLocker 配置文件中包含的 PCR 索引修改为默认的 UEFI 选项,允许在 UEFI 模式下将 BitLocker 与 TPM 1.2 配合使用。

SLN305408_zh_CN__1icon 注:PCR(平台配置寄存器)设置保护 BitLocker 加密密钥,以防止对度量的核心可信根 (CRTM)、BIOS 和平台扩展 (PCR 0)、选项 ROM 代码 (PCR 2)、主引导记录 (MBR) 代码 (PCR 4)、NTFS 引导扇区 (PCR 8)、NTFS 引导块 (PCR 9)、引导管理器 (PCR 10) 和 BitLocker 访问控制 (PCR 11) 进行更改。对于 UEFI 和标准 BIOS,BitLocker 配置文件中的默认值不同。

其他一些系统型号随附提供 Windows 7 降级和 TPM 1.2 固件,并完全支持升级到 Windows 10,但不允许 TPM 1.22.0 模式变更。

SLN305408_zh_CN__1icon 注:虽然 BitLocker 在传统启动模式下可与 TPM 1.2 固件配合使用,但戴尔仍建议在 UEFI 模式下使用 Windows 10,并在出厂时提供 UEFI 模式的 Windows 10。

解决问题的步骤

  1. 管理 BitLocker 窗格禁用 BitLocker(如果当前已启用的话),并等待解密完成:
    • 单击开始,键入管理 bitlocker,并选择顶部搜索结果(图 1):

      SLN305408_zh_CN__4Manage bitlocker search results
      图 1:管理 bitlocker 搜索结果

    • 从“BitLocker 驱动器加密”控制面板窗格中,选择关闭 BitLocker图 2):

      SLN305408_zh_CN__5BitLocker Drive Encryption Control Panel(1)
      图 2:BitLocker 驱动器加密控制面板

    • 单击关闭 BitLocker 以确认(图 3):

      SLN305408_zh_CN__6Turn off BitLocker confirmation
      图 3:关闭 BitLocker 确认

  2. 转至开始并搜索 gpedit.msc,然后单击顶部搜索结果,以在新窗口中打开本地组策略编辑器。
  3. 在左侧列中,浏览到“计算机配置”>“管理模板”>“Windows 组件”>“BitLocker 驱动器加密”>“操作系统驱动器”(图 4):

    SLN305408_zh_CN__7gpedit Operating System Drives folder
    图 4:gpedit 操作系统驱动器文件夹

  4. 然后,在右侧双击配置 TPM 平台验证配置文件以打开配置(图 5):

    SLN305408_zh_CN__8Configure TPM platform validation profile setting
    图 5:配置 TPM 平台验证配置文件设置

  5. 选择表示已启用的单选按钮。
  6. 取消选择除 0、2、4 和 11 之外的所有 PCR(图 6):

    SLN305408_zh_CN__9Enabled PCR settings
    图6:已启用的 PCR 设置

    SLN305408_zh_CN__1icon 注:更改 PCR 值之前,必须禁用 BitLocker。如果这些组件中的任何一个在 BitLocker 保护生效时发生更改,则 TPM 将不会释放加密密钥来解锁驱动器,而且计算机将显示 BitLocker 恢复控制台。
  7. 依次选择应用确定以关闭 gpedit。
  8. 开启 BitLocker 并在加密完成后重新启动。

Article Properties


Affected Product

OptiPlex 7010

Last Published Date

21 Feb 2021

Version

4

Article Type

Solution