Bitlocker 是 Windows 中用於加密驅動器的數據加密工具。加密驅動器只能使用正確的密鑰訪問,該密鑰由可信平台模塊 (TPM) 在啟動時發布。
只有當硬件和軟件配置文件與初始設置匹配時,TPM 才會發布此密鑰。如果配置文件不匹配,您將看到 Bitlocker 恢復控制台,它要求提供恢復密鑰。只要初始配置文件和當前配置文件不匹配,Bitlocker 就會一直要求恢復密鑰。
除此之外,引導驅動器首選項的更改、錯誤的 BIOS 或解密密鑰和平台的配置不正確配置寄存器 (PCR) 設置是導致此問題的其他可能原因。
如何修復 Bitlocker 在每次啟動時詢問恢復密鑰?
在嘗試對系統進行硬件或固件更改之前暫停和恢復 Bitlocker 將使您免受提示要求提供恢復密鑰。
如果您不知道恢復密鑰,您可能會卡在 Bitlocker 恢復設置中。要在這種情況下通過設置,您可以使用任何其他計算機登錄在您的 Microsoft 帳戶中找到您的恢復密鑰。
更新 BIOS
所討論的問題已確認為由於錯誤的 BIOS 而發生。在某些情況下,舊版本的 BIOS 被發現與 TPM 硬件模塊不兼容。主板製造商傾向於通過更新解決此類錯誤和不兼容問題。
因此,您可以嘗試更新 BIOS 以解決此問題。
按 Windows + R 鍵打開運行。輸入 msinfo32 以打開系統信息。 檢查對應於底板製造商 和底板產品 的值。同時注意它們。
現在,轉到製造商的官方網站並蒐索 BIOS/固件。下載、安裝並按照屏幕上的說明更新 BIOS。
在許多系統上,可以下載特定的 OEM 工具並用於簡化此固件更新過程。 Acer care center、Dell Support Assist 等是用於此目的的 OEM 應用程序的一些示例。
更改 BIOS 配置
USB Type-C 和 Thunderbolt 電纜連接具有默認設置BIOS 上的啟動支持。 因此,如果您使用這些電纜連接了系統上的任何 I/O 設備,BIOS 會將其列在啟動優先級列表中,並將其視為系統更改。
Bitlocker 會自動要求恢復密鑰以便登錄。要解決此問題,可以從 BIOS 禁用對 USB type-C 和 TBT 電纜的啟動支持,除非確實需要。
啟動您的計算機並在啟動前不斷按 BIOS 鍵(通常是 F2、F8 等功能鍵)。使用箭頭鍵前往系統配置 > USB 配置。
選擇Disable Type-C/Thunderbolt Boot 以及Pre-boot 支持。
禁用 UEFI 網絡堆棧 。啟用快速啟動。
重新啟用 Bitlocker
有時,保存的硬件/軟件配置文件不會在 TPM 的 PCR 中更新。因此,每次啟動都會被標記為硬件配置文件的更改,需要恢復密鑰才能獲得訪問權限。
解密然後加密驅動器可以修復臨時故障。通常,在具有管理員權限的命令提示符中運行 manage-bde –protectors –disable C: 和 manage-bde –protectors –enable C: 命令可以解決問題。
但是,您可以嘗試從組策略編輯器更改 BitLocker 設置以確保進一步解決問題。
第 1 步:關閉 Bitlocker
按 Windows 鍵並鍵入管理 Bitlocker。點擊關閉 Bitlocker。
點擊關閉 Bitlocker 按鈕進行確認。
第 2 步:配置組策略
按 Windows + R 打開運行。輸入 gpedit.msc 並按回車鍵。
展開計算機配置 >管理模板>>Windows 組件,然後是Bitlocker 驅動器加密。現在,點擊操作系統驅動器。
在右側部分,點擊為本機 UEFI 固件配置配置 TPM 平台驗證配置文件
選擇已啟用單選按鈕並取消勾選所有選項,但以下除外:
PCR 0
PCR 2
PCR 4
PCR 11 
稍舊固件包括 CSM 的系統,單擊為基於 BIOS 的固件配置配置 TPM 平台驗證配置文件 > 已啟用,然後取消選中 PCR 0、2 以外的其他選項繼續, 4, 8, 9, 10, 11。點擊應用確認,然後點擊確定。
現在,您可以打開 Bitlocker 並期望解決問題。
使用傳統 BIOS
許多製造商一直在他們的產品上推進 UEFI BIOS 模式,而不管 TPM模型。儘管 UEFI 與 TPM 1.2 和 TPM 2.0 配合得很好,但有時以前的版本會顯示與最新 UEFI 模式的兼容性問題。因此,如果是這種情況,您可以切換到 Legacy BIOS 模式以檢查它是否可以解決問題。
進入 BIOS 設置菜單並轉到 Boot 選項卡。從啟動模式中選擇傳統。
按 F10 或屏幕上的任意鍵保存更改並退出。
禁用安全啟動
製造商默認啟用安全啟動功能,以防止設備使用任何未經授權的硬件或軟件組件啟動。因此,如果啟用它,則只有系統製造商信任的組件才能獲得訪問權限。
當許多 linux 操作系統和不太流行的 GPU 試圖運行時,該功能會出現問題。為避免出現問題,您可以嘗試從 BIOS 禁用安全啟動功能。
進入 BIOS 菜單並轉到啟動選項卡或安全。搜索 Secure Boot 並將其狀態更改為 Disabled。
掃描惡意軟件
惡意軟件能夠影響系統中的內核級進程。他們可以操縱您計算機的默認行為,這在 TPM 掃描下算作系統配置文件更改。如果此類配置文件更改發生在每個活動會話上,則每次重新啟動後都需要恢復密鑰。
您應該定期檢查系統上的威脅,以確保免受討論的問題和其他安全風險的影響。
使用 Windows + I 鍵打開設置。轉到隱私和安全 > Windows 安全
點擊病毒和威脅防護
然後,點擊掃描選項。
選擇 Microsoft Defender Antivirus(離線掃描),然後按立即掃描按鈕。
它將重新啟動您的計算機並需要一段時間來執行全面掃描,然後進行威脅處理。
Windows Update
更新 Windows 將修復錯誤並解決當前版本的 TPM/Bitlocker 兼容性問題。有時,BIOS 和其他驅動程序更新也與 Windows 更新捆綁在一起,後者修復了各種問題,包括所討論的問題。
按 Windows + I 鍵打開設置。轉到 Windows 更新 並點擊檢查更新 按鈕。
單擊下載並安裝 按鈕並按照屏幕上的說明完成更新。
如果您在更新時遇到任何問題,請考慮重置 Windows 更新組件。
如果問題發生在安裝 Windows 更新後,您可以卸載更新以回滾您的計算機到最後一個已知的穩定點。
轉到 Windows 更新 > 設置 中的更新歷史記錄。
滾動並點擊卸載更新。
點擊卸載最後一個顯示列表的日期,這是最新的。
按 卸載按鈕以確認。
解決 TPM 問題
不管是什麼原因,問題歸結為“TPM 未在啟動過程中釋放解密密鑰”。該問題也可能存在於 TPM 本身,而不是上述所有問題。保存的解密密鑰過時、驅動程序損壞或模塊有缺陷是可能的原因。
清除 TPM 密鑰
如果 TPM 中保存的密鑰錯誤,設備將在上顯示討論的問題每次重啟。清除 TPM 將刪除密鑰並從默認狀態重新初始化 Bitlocker 以解決問題。
按 Windows + R 打開運行。輸入 tpm.msc 並按 Enter。
點擊 清除 TPM…
點擊重啟按鈕。
重新安裝 TPM 驅動程序
損壞的 TPM 驅動程序也會導致 TPM 的整體功能出現問題。您可以嘗試重新安裝驅動程序來修復它。
在運行中鍵入 devmgmt.msc 以打開設備管理器。
雙擊展開安全設備類別。
右鍵點擊可信平台模塊並選擇卸載設備。
用卸載確認按鈕。現在,單擊“操作”菜單並選擇掃描硬件更改。
驅動程序應該很快重新安裝。
更換 TPM
如果沒有解決這個問題,機率TPM 模塊硬件本身是否有故障。在這種情況下,請考慮聯繫製造商的支持以更換 TPM。