Ошибка шифрования диска bitlocker

5 решений для устранения сбоя BitLocker во время шифрования

1. Включить BitLocker без совместимого TPM
2. Очистить TPM (модуль доверенной платформы)
3. Очистите диск и заново создайте раздел с помощью DiskPart
4. Изменить настройки микросхемы безопасности
5. Измените настройки USB-устройств в BIOS

В этой статье мы поговорим о нескольких ошибках, которые могут возникнуть при попытке зашифровать ваш диск с помощью BitLocker. Этот инструмент защищает вашу операционную систему от атак в автономном режиме.

Вот некоторые из наиболее распространенных ошибок BitLocker:

• Это устройство не может использовать модуль платформы доверия .
  • Перейти к решению 1, чтобы исправить это.
• Неверная операция с ключом реестра, помеченным для удаления .
  • Перейти к решению 2, чтобы исправить это.
• B itLocker Drive Encryption нельзя использовать, поскольку критические файлы BitLocker отсутствуют или повреждены. Используйте Восстановление запуска Windows, чтобы восстановить файл на вашем компьютере (0x8031004A) .
  • Перейти к решению 3, чтобы исправить это.
• Ключ шифрования BitLocker не может быть получен из модуля доверенной платформы (TPM) и расширенного PIN-кода. Попробуйте использовать ПИН-код, содержащий только цифры. C: не был зашифрован .
  • Перейти к решению 4, чтобы исправить это.
• BitLocker не может быть включен. Накопитель данных не настроен на автоматическую разблокировку на текущем компьютере и не может быть разблокирован автоматически. C: не был зашифрован .
  • Перейти к решению 5, чтобы исправить это.

Действия по устранению проблем с шифрованием диска BitLocker

Решение 1. Включите BitLocker без совместимого TPM

1. Откройте кнопку «Выполнить из пуска», напишите gpedit.msc и
2. Откроется редактор локальной групповой политики.
3. Нажмите «Административные шаблоны» в разделе «Конфигурация компьютера», а затем «Компоненты Windows».
4. Выберите диск BitLocker
5. Шифрование, а затем диски операционной системы.
   
6. В этом окне дважды щелкните «Требовать дополнительную аутентификацию при запуске»
   
7. В новом окне выберите «Включено» и «Разрешить BitLocker без совместимого доверенного платформенного модуля (требуется пароль или ключ запуска на флэш-накопителе USB)».
   
8. Сохраните изменения, нажав «Применить».
9. Теперь попробуйте зашифровать диск с помощью BitLocker.

• СВЯЗАННЫЕ: исправлено: проблема с экраном запроса пароля BitLocker в Windows 10

Решение 2: Очистить TPM (модуль доверенной платформы)

Перед тем как начать сброс настроек TPM до заводских настроек, убедитесь, что вы создали резервную копию своего компьютера. Этот метод может привести к потере данных.

1. Откройте кнопку «Выполнить с начала», напишите tpm.msc и нажмите Enter.
   
2. Откроется новая консоль управления.
3. В разделе «Действие» справа нажмите «Нажмите TPM».
   
4. В поле Clear TPM Security Hardware самое простое решение – установить флажок «У меня нет пароля владельца» и нажать «ОК».
5. Вам будет предложено перезагрузить. Это будет означать, что вы должны нажать клавишу (обычно F10), чтобы очистить TPM. Нажмите запрошенную клавишу.
6. После перезагрузки системы вам придется перезагрузить компьютер. После перезапуска вам будет предложено нажать клавишу (обычно F10), чтобы включить TPM. Нажмите эту клавишу.
7. Запустится мастер настройки TPM, и вы сможете ввести пароль владельца TPM.
   

Решение 3. Очистите диск и заново создайте раздел с помощью DiskPart

Прежде чем мы продолжим, имейте в виду, что этот метод сотрет всю информацию, хранящуюся на вашем диске. Создайте резервную копию на другом диске, чтобы убедиться, что вы не потеряете все свои файлы и папки.

1. Запустите командную строку от имени администратора, введите diskpart и нажмите Enter.
   
2. Введите список дисков , чтобы отобразить список всех дисков.
   
3. Введите выберите диск # , где # – проблемный диск. Нажмите Enter.
4. Введите clean> нажмите Enter.
5. Подождите, пока диск не будет очищен. Теперь пришло время создать новый раздел.
6. Введите создать основной раздел и нажмите Enter
7. Введите назначить букву = # . Еще раз, # – это буква, которую вы хотите использовать.
8. Отформатируйте раздел, набрав format fs = ntfs quick . Нажмите Enter.

• СВЯЗАННО: BitLocker не сохраняет ключ в AD: у нас есть решение

Решение 4. Измените настройки микросхемы безопасности

Согласно сообщениям, эта проблема, по-видимому, затрагивает машины, оснащенные микросхемами Intel PTT Security, использующими определенные параметры. Например, шифрование диска BitLocker использовало TPM и PIN, а параметр «Разрешить BitLocker без совместимого TPM» был отключен.

Кроме того, эти машины работают с ОС в BIOS, а не с UEFI.

Мы перечислим общие шаги, которые необходимо выполнить ниже. Имейте в виду, что они могут отличаться на вашей машине.

1. Запустите компьютер> откройте настройки BIOS
2. Перейдите на вкладку «Безопасность»> выберите «Настройки микросхемы безопасности».
3. Выберите опцию Дискретный TPM
4. Перейдите к Clear Security Chip> сохраните ваши изменения.
5. Перезагрузите компьютер, войдите в систему и введите свой PIN-код. Проверьте, сохраняется ли проблема.

Обратите внимание, что если вы хотите вернуться к предыдущим настройкам микросхемы безопасности, вам необходимо заменить возможность загрузки прошивки загрузкой UEFI. Иногда вам также может понадобиться переустановить ОС.

Примечание . Если вы не можете найти исправление BitLocker, настоятельно рекомендуем перейти на Блокировку папки , который является мощным инструментом шифрования. , Он позволяет шифровать файлы, папки и диски и имеет широкий спектр функций безопасности.

Вы можете найти больше информации об этом в нашем списке лучших инструментов шифрования.

• Загрузить пробную версию блокировки папки

Решение 5. Измените настройки USB-устройств в BIOS

Эта ошибка может появиться при попытке зашифровать диск операционной системы с помощью ключа запуска USB. Причина этого может быть связана с некоторыми настройками в режиме BIOS. Вот возможное решение.

1. Войдите в утилиту настройки BIOS.
2. Перейдите в Advanced, затем Периферийная конфигурация.
3. Доступ к хост-контроллеру USB и USB-устройствам.
4. Настройки USB-устройств должны быть Все.
   

Мы надеемся, что эти решения помогли вам решить проблемы с шифрованием Bitlocker.

Если у вас есть дополнительные советы и предложения, не стесняйтесь перечислять их ниже.

Примечание редактора . Это сообщение было первоначально опубликовано в ноябре 2018 года и с тех пор было обновлено и обновлено для обеспечения свежести, точности и полноты.

BitLocker is a Windows 10 built-in tool that you can activate on your OS to protect your hard drives or removable drives from offline attacks.

While this is a most welcome software offered by Microsoft for privacy purposes, the tool has its glitches.

For instance, users complained about protected drives that were unusable when migrating from an older OS version to a newer one.

Other common BitLocker reported error messages are:

• This device can’t use a Trust Platform Module
• Illegal operation attempted on a registry key that has been marked for deletion
• BitLocker Drive Encryption cannot be used because critical BitLocker files are missing or corrupted; use Windows Startup Repair to restore the file to your computer (0x8031004A)
• The BitLocker encryption key could not be obtained from the Trusted Platform Module (TPM) and enhanced PIN; try using a PIN containing only numerals. C: was not encrypted
• BitLocker could not be enabled; the data drive is not set to automatically unlock on the current computer and cannot be unlocked automatically. C: was not encrypted
• The drive cannot be encrypted because it contains system boot information

For each of these errors, you’ll find a solution in this article. Hopefully, by the end of this material, you’ll be able to use BitLocker to the best of your needs.

How can I fix BitLocker drive encryption issues?

1. Clean the disk and re-create the partition
2. Change the Security Chip settings
3. Enable BitLocker without a compatible TPM
4. Clear the TPM (Trusted Platform Module)
5. Change the settings of USB devices in BIOS

1. Clean the disk and re-create the partition

1.1 Clear the partition with a third-party software

Before we continue, keep in mind that this method will erase all the information stored on your disk.

It’s advisable to create a backup on a different drive just to make sure that you won’t lose all your files and folders.

For less hassle, you could assign this task to a third-party dedicated tool that will surely do the right thing. On this note, we recommend the excellent tool below.

It is a multifunctional assistant, that will manage, partition, and optimize your hard drive according to your needs.

If you have a backup, as mentioned, run this software to split, move, resize and manage your partitions, without data loss, to make the most of your disk space.

In this case, you’ll want to use the Format Partition feature, to fresh-clean the disk, so that you can move the saved data back in the blank space.

⇒ Get AOMEI Partition Assistant

1.2 Clear the partition manually

1. Type cmd in the Windows search tab and click on Run as administrator to launch Command Prompt as an administrator.
2. Type diskpart, and hit Enter.
3. Enter list disk to show a list of all drives.
4. Enter select disk #  (where # is the problematic drive) and hit Enter.
5. Type clean and hit Enter.
6. Wait until the drive is cleaned. Now, it’s time to create a new partition.
7. Type create partition primary and hit Enter
8. Type assign letter = # (Once again, # is the letter you want to use).
9. Format your partition by typing format fs=ntfs quick and hit Enter.

The manual process can be tricky so proceed with extreme care and follow it to the letter. If you’re not experienced, you should go with the software recommended above.

2. Change the Security Chip settings

1. Start your machine and open the BIOS setup.
2. Go to the Security tab and select Security Chip settings.
3. Select the Discrete TPM option.
4. Go to Clear Security Chip and save your changes.
5. Restart your machine, log in, and enter your PIN. Check if the issue persists.

According to reports, it seems this issue affects machines equipped with Intel PTT Security Chips using particular settings.

Namely, when the issue occurred, the BitLocker Drive Encryption used TPM and PIN, and the Allow BitLocker without a compatible TPM option was turned off.

Also, the machines were running the OS in BIOS, not UEFI. We listed the general steps to follow above. Keep in mind that they may vary on your machine.

If you want to reverse the action, you need to replace the firmware’s boot capability with UEFI boot. Sometimes, you may also need to reinstall the OS.

In case you cannot arrive at a fix, we strongly recommend you to switch to using the software below, which is a powerful encryption tool.

Its wide range of security features includes copying encrypted lockers to the USB drive, CDs, DVDs, and even email attachments, as well as the possibility to upload your encrypted files to a cloud server.

⇒ Get Folder Lock

3. Enable BitLocker without a compatible TPM

1. Open Run from Start button, write gpedit.msc, and hit OK.
2. It will open the Local Group Policy Editor.
3. Click on Administrative Templates from Computer Configuration and then on Windows Components.
4. Select BitLocker Drive.
5. Go to Encryption and then to Operating System Drives.
6. Double-click on Require additional authentication at startup.
7. In the new window, select Enabled and Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive).
8. Save the changes by hitting Apply.
9. Now try to encrypt your drive by using BitLocker.

Enabling BitLocker from the Group Policy Editor without TPE can solve this problem quickly so make sure you try it by using the steps above.

4. Clear the TPM (Trusted Platform Module)

1. Open Run from Start button, write tpm.msc, and press Enter.
2. A new management console will open.
3. Under the Action tab, on the right, press Clear TPM.
4. In the Clear TPM Security Hardware box, the simplest solution is to check I don’t have the owner password and click OK.
5. You will be asked to reboot. It will indicate that you should press a key (usually F10) in order to clear the TPM.
6. Once the system reboots, you will be prompted to press a key (usually F10) to enable TPM. Press that key.
7. The TPM Setup wizard will start for you to enter a TPM owner password.

<!– wp:windowsreport-companion/editorial-note-block {“text”:”Note: Before starting to clear TPM settings, please make sure that you backed up your computer, as mentioned in the first solution. This method may result in data loss.”,”icon”:”//cdn.windowsreport.com/wp-content/themes/windowsreport/assets/images/svg/note-pencil.svg”} /–>

5. Change the settings of USB devices in BIOS

1. Enter the BIOS setup utility (Consult the manual from the manufacturer to learn how to do that for your specific model).
2. Go to Advanced, then Peripheral Configuration.
3. Access USB Host Controller and USB Devices.
4. The setting of the USB Devices should be All.

This solution applies when BitLocker fails to encrypt the operating system drive using a USB startup key. The cause of it can be related to some settings in BIOS mode.

BitLocker usually does a great job encrypting your data, but after that, don’t forget to safeguard them with one of the best automatic backup software for Windows 10.

We hope that these solutions helped you to fix your BitLocker encryption problems. If you’ve got additional tips and suggestions, feel free to list them in the comments section below.

BitLocker is a Windows 10 built-in tool that you can activate on your OS to protect your hard drives or removable drives from offline attacks.

While this is a most welcome software offered by Microsoft for privacy purposes, the tool has its glitches.

For instance, users complained about protected drives that were unusable when migrating from an older OS version to a newer one.

Other common BitLocker reported error messages are:

• This device can’t use a Trust Platform Module
• Illegal operation attempted on a registry key that has been marked for deletion
• BitLocker Drive Encryption cannot be used because critical BitLocker files are missing or corrupted; use Windows Startup Repair to restore the file to your computer (0x8031004A)
• The BitLocker encryption key could not be obtained from the Trusted Platform Module (TPM) and enhanced PIN; try using a PIN containing only numerals. C: was not encrypted
• BitLocker could not be enabled; the data drive is not set to automatically unlock on the current computer and cannot be unlocked automatically. C: was not encrypted
• The drive cannot be encrypted because it contains system boot information

For each of these errors, you’ll find a solution in this article. Hopefully, by the end of this material, you’ll be able to use BitLocker to the best of your needs.

How can I fix BitLocker drive encryption issues?

1. Clean the disk and re-create the partition
2. Change the Security Chip settings
3. Enable BitLocker without a compatible TPM
4. Clear the TPM (Trusted Platform Module)
5. Change the settings of USB devices in BIOS

1. Clean the disk and re-create the partition

1.1 Clear the partition with a third-party software

Before we continue, keep in mind that this method will erase all the information stored on your disk.

It’s advisable to create a backup on a different drive just to make sure that you won’t lose all your files and folders.

For less hassle, you could assign this task to a third-party dedicated tool that will surely do the right thing. On this note, we recommend the excellent tool below.

It is a multifunctional assistant, that will manage, partition, and optimize your hard drive according to your needs.

If you have a backup, as mentioned, run this software to split, move, resize and manage your partitions, without data loss, to make the most of your disk space.

In this case, you’ll want to use the Format Partition feature, to fresh-clean the disk, so that you can move the saved data back in the blank space.

⇒ Get AOMEI Partition Assistant

1.2 Clear the partition manually

1. Type cmd in the Windows search tab and click on Run as administrator to launch Command Prompt as an administrator.
2. Type diskpart, and hit Enter.
3. Enter list disk to show a list of all drives.
4. Enter select disk #  (where # is the problematic drive) and hit Enter.
5. Type clean and hit Enter.
6. Wait until the drive is cleaned. Now, it’s time to create a new partition.
7. Type create partition primary and hit Enter
8. Type assign letter = # (Once again, # is the letter you want to use).
9. Format your partition by typing format fs=ntfs quick and hit Enter.

The manual process can be tricky so proceed with extreme care and follow it to the letter. If you’re not experienced, you should go with the software recommended above.

2. Change the Security Chip settings

1. Start your machine and open the BIOS setup.
2. Go to the Security tab and select Security Chip settings.
3. Select the Discrete TPM option.
4. Go to Clear Security Chip and save your changes.
5. Restart your machine, log in, and enter your PIN. Check if the issue persists.

According to reports, it seems this issue affects machines equipped with Intel PTT Security Chips using particular settings.

Namely, when the issue occurred, the BitLocker Drive Encryption used TPM and PIN, and the Allow BitLocker without a compatible TPM option was turned off.

Also, the machines were running the OS in BIOS, not UEFI. We listed the general steps to follow above. Keep in mind that they may vary on your machine.

If you want to reverse the action, you need to replace the firmware’s boot capability with UEFI boot. Sometimes, you may also need to reinstall the OS.

In case you cannot arrive at a fix, we strongly recommend you to switch to using the software below, which is a powerful encryption tool.

Its wide range of security features includes copying encrypted lockers to the USB drive, CDs, DVDs, and even email attachments, as well as the possibility to upload your encrypted files to a cloud server.

⇒ Get Folder Lock

3. Enable BitLocker without a compatible TPM

1. Open Run from Start button, write gpedit.msc, and hit OK.
2. It will open the Local Group Policy Editor.
3. Click on Administrative Templates from Computer Configuration and then on Windows Components.
4. Select BitLocker Drive.
5. Go to Encryption and then to Operating System Drives.
6. Double-click on Require additional authentication at startup.
7. In the new window, select Enabled and Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive).
8. Save the changes by hitting Apply.
9. Now try to encrypt your drive by using BitLocker.

Enabling BitLocker from the Group Policy Editor without TPE can solve this problem quickly so make sure you try it by using the steps above.

4. Clear the TPM (Trusted Platform Module)

1. Open Run from Start button, write tpm.msc, and press Enter.
2. A new management console will open.
3. Under the Action tab, on the right, press Clear TPM.
4. In the Clear TPM Security Hardware box, the simplest solution is to check I don’t have the owner password and click OK.
5. You will be asked to reboot. It will indicate that you should press a key (usually F10) in order to clear the TPM.
6. Once the system reboots, you will be prompted to press a key (usually F10) to enable TPM. Press that key.
7. The TPM Setup wizard will start for you to enter a TPM owner password.

<!– wp:windowsreport-companion/editorial-note-block {“text”:”Note: Before starting to clear TPM settings, please make sure that you backed up your computer, as mentioned in the first solution. This method may result in data loss.”,”icon”:”//cdn.windowsreport.com/wp-content/themes/windowsreport/assets/images/svg/note-pencil.svg”} /–>

5. Change the settings of USB devices in BIOS

1. Enter the BIOS setup utility (Consult the manual from the manufacturer to learn how to do that for your specific model).
2. Go to Advanced, then Peripheral Configuration.
3. Access USB Host Controller and USB Devices.
4. The setting of the USB Devices should be All.

This solution applies when BitLocker fails to encrypt the operating system drive using a USB startup key. The cause of it can be related to some settings in BIOS mode.

BitLocker usually does a great job encrypting your data, but after that, don’t forget to safeguard them with one of the best automatic backup software for Windows 10.

We hope that these solutions helped you to fix your BitLocker encryption problems. If you’ve got additional tips and suggestions, feel free to list them in the comments section below.

5 решений для устранения сбоя BitLocker во время шифрования

1. Включить BitLocker без совместимого TPM
2. Clear TPM (модуль доверенной платформы)
3. Очистите диск и заново создайте раздел с помощью DiskPart
4. Изменить настройки чипа безопасности
5. Изменить настройки USB-устройств в BIOS

В этой статье мы поговорим о нескольких ошибках, которые могут возникнуть при попытке зашифровать ваш диск с помощью BitLocker. Этот инструмент защищает вашу операционную систему от атак в автономном режиме.

Вот некоторые из наиболее распространенных ошибок BitLocker:

• Это устройство не может использовать модуль платформы доверия .
  • Перейти к решению 1, чтобы исправить это.
• Предпринята попытка недопустимой операции с разделом реестра, помеченным для удаления .
  • Перейти к решению 2, чтобы исправить это.
• Невозможно использовать шифрование диска B itLocker, поскольку критические файлы BitLocker отсутствуют или повреждены. Используйте Windows Startup Repair для восстановления файла на вашем компьютере (0x8031004A) .
  • Перейти к решению 3, чтобы исправить это.
• Ключ шифрования BitLocker не может быть получен из модуля доверенной платформы (TPM) и расширенного PIN-кода. Попробуйте использовать ПИН-код, содержащий только цифры. C: не был зашифрован .
  • Перейти к решению 4, чтобы исправить это.
• BitLocker не может быть включен. Накопитель данных не настроен на автоматическую разблокировку на текущем компьютере и не может быть разблокирован автоматически. C: не был зашифрован .
  • Перейти к решению 5, чтобы исправить это.

Действия по устранению проблем с шифрованием диска BitLocker

Решение 1. Включите BitLocker без совместимого TPM

1. Откройте кнопку Run from Start, напишите gpedit.msc и
2. Откроется редактор локальной групповой политики.
3. Нажмите «Административные шаблоны» в разделе «Конфигурация компьютера», а затем — «Компоненты Windows».
4. Выберите диск BitLocker
5. Шифрование, а затем диски операционной системы.
6. В этом окне дважды щелкните «Требовать дополнительную аутентификацию при запуске»
7. В новом окне выберите «Включено» и «Разрешить BitLocker без совместимого доверенного платформенного модуля (требуется пароль или ключ запуска на флэш-накопителе USB)».
8. Сохраните изменения, нажав «Применить».
9. Теперь попробуйте зашифровать диск с помощью BitLocker.

• СВЯЗАННЫЕ: Исправлено: проблема с экраном запроса пароля BitLocker в Windows 10

Решение 2: Очистить TPM (модуль доверенной платформы)

Перед тем как начать сброс настроек TPM до заводских настроек, убедитесь, что вы создали резервную копию своего компьютера. Этот метод может привести к потере данных.

1. Откройте кнопку Run from Start, напишите tpm.msc и нажмите ввод.
2. Откроется новая консоль управления.
3. В разделе «Действие» справа нажмите «Нажмите TPM».
4. В поле Clear TPM Security Hardware самое простое решение — проверить «У меня нет пароля владельца» и нажать «ОК».
5. Вам будет предложено перезагрузить. Это будет означать, что вы должны нажать клавишу (обычно F10), чтобы очистить TPM. Нажмите запрошенную клавишу.
6. После перезагрузки системы вам придется перезагрузить компьютер. После перезапуска вам будет предложено нажать клавишу (обычно F10), чтобы включить TPM. Нажмите эту клавишу.
7. Запустится мастер настройки TPM, и вы сможете ввести пароль владельца TPM.

Решение 3. Очистите диск и заново создайте раздел с помощью DiskPart

Прежде чем мы продолжим, имейте в виду, что этот метод сотрет всю информацию, хранящуюся на вашем диске. Создайте резервную копию на другом диске, чтобы убедиться, что вы не потеряете все свои файлы и папки.

1. Запустите командную строку от имени администратора, введите diskpart и нажмите Enter.
2. Введите список дисков, чтобы показать список всех дисков
3. Введите select disk #, где # проблемный диск. Нажмите Enter.
4. Введите clean> нажмите Enter.
5. Подождите, пока диск не будет очищен. Теперь пришло время создать новый раздел.
6. Введите создать основной раздел и нажмите Enter
7. Введите назначить букву = # . Еще раз, # — это буква, которую вы хотите использовать.
8. Отформатируйте ваш раздел, набрав в формате fs = ntfs quick . Нажмите Enter.

• СВЯЗАННЫЕ: BitLocker не сохраняет ключ в AD: у нас есть решение

Решение 4. Измените настройки микросхемы безопасности

Согласно сообщениям, эта проблема затрагивает машины, оснащенные микросхемами Intel PTT Security, использующими определенные параметры Например, шифрование диска BitLocker использовало TPM и PIN, а параметр «Разрешить BitLocker без совместимого TPM» был отключен.

Кроме того, эти машины работают с ОС в BIOS, а не с UEFI .

Мы перечислим общие шаги, чтобы следовать ниже. Имейте в виду, что они могут отличаться на вашей машине.

1. Запустите компьютер> откройте настройки BIOS
2. Перейдите на вкладку «Безопасность»> выберите «Настройки микросхемы безопасности».
3. Выберите опцию Дискретный TPM
4. Перейдите к Clear Security Chip> сохраните ваши изменения.
5. Перезагрузите компьютер, войдите в систему и введите свой PIN-код. Проверьте, сохраняется ли проблема.

Обратите внимание, что если вы хотите вернуться к предыдущим настройкам микросхемы безопасности, вам необходимо заменить возможность загрузки прошивки загрузкой UEFI. Иногда вам также может понадобиться переустановить ОС.

Примечание . В случае, если вы не можете получить исправление BitLocker, мы настоятельно рекомендуем переключиться на блокировку папки , которая является мощным средством шифрования. Он позволяет шифровать файлы, папки и диски и имеет широкий спектр функций безопасности.

Вы можете найти больше информации об этом в нашем списке лучших инструментов шифрования .

• Скачать пробную версию Folder Lock

Решение 5. Измените настройки USB-устройств в BIOS

Эта ошибка может появиться при попытке зашифровать диск операционной системы с помощью ключа запуска USB. Причина этого может быть связана с некоторыми настройками в режиме BIOS. Вот возможное исправление.

1. Войдите в утилиту настройки BIOS.
2. Перейдите в Advanced, затем Периферийная конфигурация.
3. Доступ к хост-контроллеру USB и USB-устройствам.
4. Настройки USB-устройств должны быть Все.

Мы надеемся, что эти решения помогли вам решить проблемы с шифрованием Bitlocker.

Если у вас есть дополнительные советы и предложения, не стесняйтесь перечислить их ниже.

Примечание редактора : этот пост был первоначально опубликован в ноябре 2018 года и с тех пор был обновлен и обновлен для обеспечения свежести, точности и полноты.

СВЯЗАННЫЕ ПОСТЫ, ЧТОБЫ ПРОВЕРИТЬ

• Как исправить фатальную ошибку Bitlocker при запуске
• Исправлено: не удалось разблокировать с помощью этого ключа восстановления ошибка BitLocker
• Вот почему Bitlocker медленнее в Windows 10, чем в Windows 7

BitLocker cannot encrypt a drive: known issues

This article describes common issues that may prevent BitLocker from encrypting a drive. This article also provides guidance to address these issues.

If you have determined that your BitLocker issue involves the Trusted Platform Module (TPM), see BitLocker cannot encrypt a drive: known TPM issues.

Error 0x80310059: BitLocker Drive Encryption is already performing an operation on this drive

When you turn on BitLocker Drive Encryption on a computer that is running Windows 10 Professional or WindowsВ 11, you receive a message that resembles the following:

Cause

This issue may be caused by settings that are controlled by Group Policy Objects (GPOs).

Resolution

Follow the steps in this section carefully. Serious problems might occur if you modify the registry incorrectly. Before you modify it, back up the registry for restoration in case problems occur.

To resolve this issue, follow these steps:

Start Registry Editor, and navigate to the following subkey:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftFVE

Delete the following entries:

Exit Registry Editor, and turn on BitLocker Drive Encryption again.

«Access is denied» message when you try to encrypt removable drives

You have a computer that is running Windows 10, version 1709 or version 1607, or WindowsВ 11. You try to encrypt a USB drive by following these steps:

In Windows Explorer, right-click the USB drive and select Turn on BitLocker.

On the Choose how you want to unlock this drive page, select Use a password to unlock the drive.

Follow the instructions on the page to enter your password.

On the Are you ready to encrypt this drive? page, select Start encrypting.

The Starting encryption page displays the message «Access is denied.»

You receive this message on any computer that runs Windows 10 version 1709 or version 1607, or WindowsВ 11, when you use any USB drive.

Cause

The security descriptor of the BitLocker Drive Encryption service (BDESvc) has an incorrect entry. Instead of NT AUTHORITYAuthenticated Users, the security descriptor uses NT AUTHORITYINTERACTIVE.

To verify that this issue has occurred, follow these steps:

On an affected computer, open an elevated Command Prompt window and an elevated PowerShell window.

At the command prompt, enter the following command:

The output of this command resembles the following:

Copy this output, and use it as part of the ConvertFrom-SddlString command in the PowerShell window, as follows.

If you see NT AUTHORITYINTERACTIVE (as highlighted), in the output of this command, this is the cause of the issue. Under typical conditions, the output should resemble the following:

GPOs that change the security descriptors of services have been known to cause this issue.

Resolution

To repair the security descriptor of BDESvc, open an elevated PowerShell window and enter the following command:

Источник

Принудительное применение политик BitLocker с помощью Intune: известные проблемы

Эта статья поможет устранить проблемы, которые могут возникнуть при использовании политики Microsoft Intune для управления бесшумным шифрованием BitLocker на устройствах. Портал Intune указывает, не удалось ли BitLocker зашифровать одно или несколько управляемых устройств.

Чтобы сузить причину проблемы, просмотрите журналы событий, описанные в описании Устранения неполадок BitLocker. Сосредоточься на журналах управления и операций в журналах приложений и службMicrosoftWindowsBitLocker-API. В следующих разделах приводится более подробная информация о разрешении указанных событий и сообщений об ошибках:

Если у вас нет четкого следа событий или сообщений об ошибках, другие области для исследования включают следующие:

Сведения о том, как убедиться, что политики Intune правильно применяют BitLocker, см. в этой информации, чтобы убедиться, что BitLocker работает правильно.

Event ID 853. Ошибка: на этом компьютере невозможно найти совместимое устройство безопасности с доверенным модулем платформы (TPM).

Event ID 853 может нести различные сообщения об ошибках в зависимости от контекста. В этом случае сообщение об ошибке Event ID 853 указывает на то, что устройство не имеет TPM. Сведения о событии похожи на следующие:

Причина

Устройство, которое вы пытаетесь защитить, может не иметь чипА TPM или устройство BIOS может быть настроено для отключения TPM.

Разрешение

Чтобы устранить эту проблему, убедитесь в следующем:

Код события 853. Ошибка: шифрование диска BitLocker обнаружено на компьютере для загрузки мультимедиа (CD или DVD)

В этом случае вы увидите ID события 853, и сообщение об ошибке в событии указывает на то, что для устройства доступно загружаемое мультимедиа. Сведения о событии похожи на следующие.

Причина

В процессе предварительной обработки шифрование диска BitLocker записи конфигурации устройства, чтобы установить базовый уровень. Если конфигурация устройства изменится позже (например, если удалить носителю), автоматически запускается режим восстановления BitLocker.

Чтобы избежать этой ситуации, процесс подготовка прекращается, если он обнаруживает съемные загружаемые носитли.

Разрешение

Удалите загружаемые носитли и перезапустите устройство. После перезапуска устройства проверьте состояние шифрования.

Event ID 854: WinRE не настроен

Сведения о событии похожи на следующие:

Не удалось включить бесшумное шифрование. WinRe не настроен.

Ошибка. Этот компьютер не может поддерживать шифрование устройств, так как WinRE не настроен должным образом.

Причина

Windows Среда восстановления (WinRE) — это минимальная операционная Windows, основанная на Windows среды предварительного Windows PE. WinRE включает несколько средств, которые администратор может использовать для восстановления или сброса Windows и диагностики Windows проблем. Если устройство не может запустить обычную Windows, устройство пытается запустить WinRE.

Процесс разработки позволяет шифрование диска BitLocker на диске операционной системы во время Windows этапе разработки pe. Это действие позволяет убедиться, что диск защищен до установки полной операционной системы. Процесс подготовка также создает раздел системы для WinRE, который можно использовать в случае сбоя системы.

Если WinRE не доступен на устройстве, подготовка прекращается.

Разрешение

Эту проблему можно решить, проверив конфигурацию разделов диска, состояние WinRE и конфигурацию загрузчик Windows загрузки. Для этого выполните следующие действия.

Шаг 1. Проверка конфигурации разделов диска

Процедуры, описанные в этом разделе, зависят от разделов диска по умолчанию, которые Windows во время установки. Windows 11 и Windows 10 автоматически создает раздел восстановления, содержащий файл Winre.wim. Конфигурация раздела похожа на следующую.

Чтобы проверить конфигурацию разделов диска, откройте окно командной подсказки и запустите следующие команды:

Если состояние любого из томов не является здоровым или отсутствует раздел восстановления, вам может потребоваться переустановка Windows. Прежде чем это сделать, проверьте конфигурацию Windows изображения, которое вы используете для предварительной настройки. Убедитесь, что на изображении используется правильная конфигурация диска. Конфигурация изображения должна напоминать следующее (этот пример из Microsoft Endpoint Configuration Manager).

Шаг 2. Проверка состояния WinRE

Чтобы проверить состояние WinRE на устройстве, откройте окно командной подсказки и запустите следующую команду:

Выход этой команды похож на следующую.

Если состояние Windows RE не включено, запустите следующую команду, чтобы включить ее:

Шаг 3. Проверка конфигурации Windows загрузки

Если состояние раздела является здоровым, но reagentc /enable command приводит к ошибке, убедитесь, что Windows загрузчик загрузки содержит guID последовательности восстановления. Для этого запустите следующую команду в окне командной подсказки:

Выход этой команды похож на следующую.

Event ID 851: Свяжитесь с производителем для инструкций по обновлению BIOS

Сведения о событии похожи на следующие:

Не удалось включить бесшумное шифрование.

Ошибка. Шифрование диска BitLocker невозможно включить на диске операционной системы. Обратитесь к производителю компьютеров для инструкций по обновлению BIOS.

Причина

Устройство должно иметь унифицированный extensible Firmware Interface (UEFI) BIOS. Шифрование диска Silent BitLocker не поддерживает устаревшую BIOS.

Разрешение

Чтобы проверить режим BIOS, используйте приложение Сведения о системе. Для этого выполните следующие действия:

Выберите Начнитеи введите msinfo32 в поле Поиска.

Убедитесь, что параметр РЕЖИМ BIOS является UEFI, а не устаревшим.

Если параметр РЕЖИМ BIOS является устаревшим, необходимо переключить BIOS в режим UEFI или EFI. Действия для этого являются специфическими для устройства.

Если устройство поддерживает только режим Legacy, вы не можете использовать Intune для управления шифрованием устройств BitLocker на устройстве.

Сообщение об ошибке. Переменная UEFI ‘SecureBoot’ не может быть прочитана

Вы получаете сообщение об ошибке, напоминая следующее:

Ошибка: BitLocker не может использовать безопасную загрузку для целостности, так как переменная UEFI ‘SecureBoot’ не может быть прочитана. Требуемая привилегия не удерживается клиентом.

Причина

Реестр конфигурации платформы (PCR) — это расположение памяти в TPM. В частности, PCR 7 измеряет состояние безопасной загрузки. Шифрование диска Silent BitLocker требует включенной безопасной загрузки.

Разрешение

Эту проблему можно устранить, проверив профиль проверки ПЦР состояния TPM и безопасной загрузки. Для этого выполните следующие действия:

Шаг 1. Проверка профиля проверки ПЦР TPM

Чтобы убедиться, что PCR 7 используется, откройте окно командной подсказки и запустите следующую команду:

В разделе TPM вывода этой команды убедитесь, что параметр профили проверки PCR включает 7, как следует.

Если профиль проверки PCR не включает 7 (например, значения включают 0, 2, 4и 11, но не 7), то не включается безопасная загрузка.

2. Проверка состояния безопасной загрузки

Чтобы проверить состояние безопасной загрузки, используйте Сведения о системе приложение. Для этого выполните следующие действия:

Выберите Начнитеи введите msinfo32 в поле Поиска.

Убедитесь, что параметр «Состояние безопасной загрузки» находится в режиме on, следующим образом:

Если параметр Состояние безопасной загрузки неподдержка, **** вы не можете использовать шифрование Silent BitLocker на этом устройстве.

Кроме того, для проверки состояния безопасной загрузки можно использовать комлет Confirm-SecureBootUEFI. Для этого откройте окно PowerShell с повышенными уровнями и запустите следующую команду:

Если компьютер поддерживает безопасную загрузку и включена безопасная загрузка, этот комдлет возвращает «True».

Если компьютер поддерживает безопасную загрузку и отключит безопасную загрузку, этот комдлет возвращает «False».

Если компьютер не поддерживает безопасную загрузку или является компьютером BIOS (не UEFI), этот кодлет возвращает «Cmdlet, не поддерживаемый на этой платформе».

ID события 846, 778 и 851: ошибка 0x80072f9a

В этом случае развертывается политика Intune для шифрования устройства Windows 11 Windows 10, версия 1809 и хранения пароля восстановления в Azure Active Directory (Azure AD). В рамках конфигурации политики вы выбрали стандартные пользователи, позволяющие включить шифрование во время параметра Azure AD Join.

Развертывание политики не удается и создает следующие события (видимые в папке API для просмотра событий в журнале приложений и службMicrosoftWindowsBitLocker):

Событие. Не удалось резервное копирование сведений о восстановлении шифрования диска BitLocker для объема C: в Azure AD.

TraceId: Ошибка: неизвестный код ошибки HResult: 0x80072f9a

Событие. Объем BitLocker C: был отсчитан в незащищенное состояние.

Событие. Не удалось включить бесшумное шифрование.

Ошибка. Неизвестный код ошибки HResult: 0x80072f9a.

Эти события относятся к коду ошибки 0x80072f9a.

Причина

Эти события указывают на то, что у пользователя, зарегистрированного на регистрацию, нет разрешения на чтение закрытого ключа в сертификате, который создается в рамках процесса подготовка и регистрации. Поэтому обновление политики bitLocker MDM не удается.

Проблема затрагивает Windows 11 и Windows 10 версии 1809.

Разрешение

Чтобы устранить эту проблему, установите обновление от 21 мая 2019 г.

Сообщение об ошибке. Существуют противоречивые параметры групповой политики для параметров восстановления на дисках операционной системы

Вы получаете сообщение, напоминая следующее:

Ошибка: Шифрование диска BitLocker не может применяться к этому диску, так как на дисках операционной системы существуют противоречивые параметры групповой политики для параметров восстановления. Хранение сведений о восстановлении в службах домена Active Directory не может потребоваться, если не разрешено генерация паролей восстановления. Перед тем как включить BitLocker, убедитесь, что системный администратор разрешит эти конфликты политик.

Разрешение

Чтобы устранить эту проблему, просмотрите параметры объекта групповой политики (GPO) для конфликтов. Дополнительные рекомендации см. в следующем разделе Обзор конфигурации политики BitLocker.

Дополнительные сведения о GPOs и BitLocker см. в справке по групповой политике BitLocker.

Просмотрите конфигурацию политики BitLocker

Сведения об использовании политики вместе с BitLocker и Intune см. в следующих ресурсах:

Intune предлагает следующие типы правоприменения для BitLocker:

Если устройство работает Windows 10 версии 1703 или более поздней версии или Windows 11, поддерживает современное режим ожидания (также известное как Instant Go) и соответствует требованиям HSTI, присоединение устройства к Azure AD запускает автоматическое шифрование устройства. Для обеспечения шифрования устройств не требуется отдельная политика защиты конечной точки.

Если устройство соответствует требованиям HSTI, но не поддерживает современное режим ожидания, необходимо настроить политику защиты конечной точки для обеспечения бесшумного шифрования диска BitLocker. Параметры этой политики должны напоминать следующее:

Ссылки на OMA-URI для этих параметров следуют следующим образом:

OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Тип значения: integer
Значение: 1 (1 = require, 0 = Not Configured)

OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Тип значения: integer
Значение: (0 = заблокировано, 1 = разрешено)

Из-за обновления CSP политики BitLocker, если устройство использует Windows 10 версии 1809 или более поздней версии или Windows 11, вы можете использовать политику защиты конечной точки для обеспечения бесшумного шифрования устройств BitLocker, даже если устройство не соответствует требованиям HSTI.

Если для других параметров шифрования диска установлено предупреждение о том, что не настроено, **** необходимо вручную запустить мастер шифрования диска BitLocker.

Если устройство не поддерживает современное режим ожидания, но соответствует требованиям HSTI, и оно использует версию Windows, которая является более ранней Windows 10, версии 1803 или Windows 11, политика защиты конечной точки, которая имеет параметры, описанные в этой статье, доставляет конфигурацию политики на устройство. Однако Windows затем сообщает пользователю включить шифрование диска BitLocker вручную. Для этого пользователь выбирает уведомление. Это действие запускает мастер шифрования диска BitLocker.

В выпуске Intune 1901 предусмотрены параметры, которые можно использовать для настройки автоматического шифрования устройств для устройств автопилота для стандартных пользователей. Каждое устройство должно соответствовать следующим требованиям:

Ссылки на OMA-URI для этих параметров следуют следующим образом:

Этот узел работает вместе с узлами RequireDeviceEncryption и AllowWarningForOtherDiskEncryption. По этой причине при наборе RequireDeviceEncryption до 1, AllowStandardUserEncryption до 1и AllowWarningForOtherDiskEncryption до . Intune может обеспечить бесшумное шифрование BitLocker для устройств Автопилота, имеющих стандартные профили пользователей.

Проверка правильной работы BitLocker

Во время регулярных операций шифрование диска BitLocker создает такие события, как Event ID 796 и Event ID 845.

Вы также можете определить, был ли пароль восстановления BitLocker загружен в Azure AD, проверив сведения об устройстве в разделе Устройства Azure AD.

На устройстве проверьте редактор реестра, чтобы проверить параметры политики на устройстве. Проверка записей в следующих подкайлах:

Источник

Восстановление BitLocker: известные проблемы

В этой статье описываются распространенные проблемы, которые могут помешать BitLocker вести себя так, как ожидалось при восстановлении диска, или что может привести к неожиданному началу восстановления BitLocker. В статье содержится руководство по устранению этих проблем.

В этой статье «пароль восстановления» ссылается на 48-значный пароль восстановления, а «ключ восстановления» — на 32-значный ключ восстановления. Дополнительные сведения см. в дополнительных сведениях о защитниках ключей BitLocker.

Windows подсказок для несуществуемого пароля восстановления BitLocker

Windows подсказок для пароля восстановления BitLocker. Однако пароль восстановления BitLocker не был настроен.

Разрешение

В задаваемой проблеме BitLocker и Active Directory Domain Services (AD DS) решаются ситуации, которые могут привести к этому симптому, и предоставляется информация о том, как устранить проблему:

Пароль восстановления для ноутбука не был восстановлен, и ноутбук заблокирован

У вас есть Windows или Windows 10 Домашняя ноутбук, и вы должны восстановить его жесткий диск. Диск был зашифрован с помощью шифрования драйвера BitLocker. Однако пароль восстановления BitLocker не был восстановлен, и обычный пользователь ноутбука не может предоставить пароль.

Разрешение

Вы можете использовать любой из следующих методов для ручного восстановления или синхронизации существующей информации о восстановлении клиента в Интернете:

Создайте Windows инструментов управления (WMI), который будет создавать дополнительные сведения. Дополнительные сведения см. в сообщении поставщика шифрования дисков BitLocker.

В окне Командная подсказка с повышенными уровнями используйте команду manage-bde для обратного использования данных.

Например, чтобы выполнить back up all of the recovery information for the C: drive to AD DS, open an elevated Command Prompt window and run the following command:

BitLocker не управляет этим процессом резервного копирования автоматически.

Планшетные устройства не поддерживают использование manage-bde-forcerecovery для тестирования режима восстановления

У вас есть планшетное или шиферное устройство, и вы пытаетесь протестировать восстановление BitLocker, подав следующую команду:

Однако после ввода пароля восстановления устройство не может запуститься.

Причина

Планшетные устройства не поддерживают команду manage-bde-forcerecovery.

Эта проблема возникает из-за того Windows менеджер загрузки не может обрабатывать сенсорный ввод на этапе предварительной загрузки запуска. Если boot Manager обнаруживает, что устройство является планшетом, он перенаправляет процесс запуска в Windows среды восстановления (WinRE), которая может обрабатывать сенсорный ввод.

Если WindowsRE обнаруживает протектор TPM на жестком диске, он делает повторное окно PCR. Однако команда manage-bde-forcerecovery удаляет защитники TPM на жестком диске. Таким образом, WinRE не может повторно переопроверять PCRs. Этот сбой запускает бесконечный цикл восстановления BitLocker и Windows запуска.

Это поведение по дизайну для всех версий Windows.

Обходной путь

Чтобы устранить цикл перезагрузки, выполните следующие действия:

На экране восстановления BitLocker выберите Пропустить этот диск.

Выберите командную команду > устранения неполадок > расширенные параметры.

В окне Командная подсказка запустите следующие команды:

Закрой окно Командная подсказка.

Запустите устройство. Windows начать как обычно.

После установки обновлений прошивки UEFI или TPM на Surface BitLocker подсказок для пароля восстановления

У вас есть устройство Surface, включающее шифрование диска BitLocker. Вы обновляете прошивку TPM устройства или устанавливаете обновление, которое меняет подпись прошивки системы. Например, вы устанавливаете обновление Surface TPM (IFX).

На устройстве Surface вы испытываете один или несколько следующих симптомов:

Причина

Эта проблема возникает, если TPM устройства Surface настроен на использование значений реестра конфигурации платформы (PCR), помимо значений PCR 7 и PCR 11 по умолчанию. Например, следующие параметры могут настроить TPM следующим образом:

Устройства, поддерживают подключение к режиму ожидания (также известные как InstantGO или Always On, всегдаподключенные компьютеры), включая устройства Surface, должны использовать PCR 7 TPM. В конфигурации по умолчанию в таких системах BitLocker связывается с PCR 7 и PCR 11, если правильно настроены PCR 7 и Secure Boot. Дополнительные сведения см. в странице «О реестре конфигурации платформы (PCR)» в группе BitLocker policy Параметры).

Разрешение

Чтобы проверить значения PCR, которые используются на устройстве, откройте окно Командная подсказка и запустите следующую команду:

В этой команде операционной системы.

Чтобы устранить эту проблему и отремонтировать устройство, выполните следующие действия.

Шаг 1. Отключите защитники TPM на накопителе загрузки

Если установлено обновление TPM или UEFI, и устройство не может запуститься, даже если вы введите правильный пароль восстановления BitLocker, вы можете восстановить возможность начать с помощью пароля восстановления BitLocker и изображения восстановления Surface для удаления протекторов TPM с загрузочного диска.

Для этого выполните следующие действия:

Получение пароля для восстановления BitLocker из Microsoft.com учетной записи. Если bitLocker управляется другим методом, например управлением и мониторингом Microsoft BitLocker (MBAM), обратитесь за помощью к администратору.

С помощью другого компьютера можно скачать изображение восстановления Surface с помощью скачивания изображения восстановления для surface. Используйте загруженное изображение для создания накопителя восстановления USB.

Вставьте диск восстановления USB Surface в устройство Surface и запустите устройство.

При запросе выберите следующие элементы:

Язык операционной системы.

Выберите командную команду > устранения неполадок > расширенные параметры.

В окне Командная подсказка запустите следующие команды:

В этих командах находится пароль восстановления BitLocker, полученный на шаге 1, и это буква диска, назначенная диску операционной системы.

Дополнительные сведения об использовании этой команды см. в пункте manage-bde: unlock.

При запросе введите пароль восстановления BitLocker, полученный на шаге 1.

После отключения протекторов TPM шифрование диска BitLocker больше не защищает ваше устройство. Чтобы повторно включить шифрование диска BitLocker, выберите Начните, введите Управление BitLockerи нажмите кнопку Ввод. Выполните действия по шифрованию диска.

Шаг 2. Использование surface BMR для восстановления данных и сброса устройства

Чтобы восстановить данные с устройства Surface, если вы не можете Windows, выполните шаги 1-5 шага 1, чтобы вернуться в окно Командная подсказка, а затем выполните следующие действия:

В командной подсказке запустите следующую команду:

В этой команде находится пароль восстановления BitLocker, полученный на шаге 1 шага 1, и является буквой диска, назначенной диску операционной системы.

После разблокировки диска используйте команду копирования или xcopy для копирования пользовательских данных на другой диск.

Дополнительные сведения об этих командах см. в Windows.

Чтобы сбросить устройство с помощью образа восстановления Surface, выполните инструкции в разделе «Как сбросить поверхность с помощью usb-накопителя восстановления» в разделе Создание и использование накопителя восстановления USB.

Шаг 3. Восстановление значений PCR по умолчанию

Чтобы предотвратить повторение этой проблемы, настоятельно рекомендуется восстановить конфигурацию безопасной загрузки по умолчанию и значения PCR.

Чтобы включить безопасную загрузку на устройстве Surface, выполните следующие действия:

Приостановка BitLocker. Для этого откройте окно повышенной Windows PowerShell и запустите следующий cmdlet:

В этой команде является буквой, назначенной вашему диску.

Перезапустите устройство и отредактируете BIOS, чтобы установить параметр Secure Boot только для Microsoft.

Откройте окно PowerShell с повышенными уровнями и запустите следующий кодлет:

Чтобы сбросить параметры PCR в TPM, выполните следующие действия:

Отключите любые объекты групповой политики, которые настраивают параметры PCR, или удалите устройство из любых групп, которые исполняют такие политики.

Приостановка BitLocker. Для этого откройте окно повышенной Windows PowerShell и запустите следующий cmdlet:

где это письмо, назначенное вашему диску.

Запустите следующий cmdlet:

Шаг 4. Приостановка bitLocker во время обновления прошивки TPM или UEFI

Этот сценарий можно избежать при установке обновлений на системное прошивку или прошивку TPM, временно приостановив BitLocker, прежде чем применять такие обновления.

Обновления прошивки TPM и UEFI могут потребовать нескольких перезапусков во время их установки. Чтобы приостановить работу BitLocker во время этого процесса, необходимо использовать Suspend-BitLocker и установить параметр Reboot Count для любого из следующих значений:

Чтобы приостановить bitLocker при установке обновлений прошивки TPM или UEFI:

Откройте окно с повышенным Windows PowerShell и запустите следующий cmdlet:

В этом комлете является буква, назначенная вашему диску.

Установите драйвер устройства Surface и обновления прошивки.

После установки обновлений прошивки перезапустите компьютер, откройте окно PowerShell с повышенными уровнями и запустите следующий cmdlet:

Чтобы повторно включить шифрование диска BitLocker, выберите Начните, введите Управление BitLockerи нажмите кнопку Ввод. Выполните действия по шифрованию диска.

После установки обновления на компьютер с поддержкой Hyper V BitLocker подсказок для пароля восстановления и возвращает 0xC0210000

У вас есть устройство, Windows 11, Windows 10 версии 1703, Windows 10, версии 1607 или Windows Server 2016. Кроме того, Hyper-V включен на устройстве. После установки затронутой версии и перезапуска устройства устройство вступает в режим восстановления BitLocker, и вы увидите код ошибки 0xC0210000.

Обходной путь

Если устройство уже находится в этом состоянии, вы можете успешно Windows после приостановки BitLocker из среды восстановления Windows (WinRE). Для этого выполните следующие действия:

Извлеките 48-значный пароль восстановления BitLocker для диска операционной системы с портала организации или из того места, где пароль был сохранен при первом включении шифрования диска BitLocker.

На экране Восстановления нажмите кнопку Ввод. При запросе введите пароль восстановления.

Если устройство запускается в (WinRE) и снова подсказывало пароль восстановления, выберите Пропустить диск.

Выберите дополнительные параметры > Устранение > проблем расширенных параметров > Командная подсказка.

В окне Командная подсказка запустите следующие команды:

Эти команды разблокировать диск, а затем приостановить BitLocker, отключив защитники TPM на диске. Последняя команда закрывает окно Командная подсказка.

Эти команды приостанавливать BitLocker для одного перезапуска устройства. Параметр -rc 1 работает только в операционной системе и не работает в среде восстановления.

Выберите пункт Продолжить. Windows начать.

После Windows откройте окно командной подсказки и запустите следующую команду:

Если вы не приостанавливали BitLocker перед запуском устройства, эта проблема повторяется.

Чтобы временно приостановить работу BitLocker перед перезапуском устройства, откройте окно командной подсказки и запустите следующую команду:

Разрешение

Чтобы устранить эту проблему, установите соответствующее обновление на затронутом устройстве:

Credential Guard/Device Guard на TPM 1.2. При каждом перезапуске BitLocker подсказывая пароль восстановления и возвращает ошибку 0xC0210000

У вас есть устройство, использующее TPM 1.2 и Windows 10, версия 1809 или Windows 11. Кроме того, устройство использует функции безопасности на основе виртуализации, такие как Device Guard и Credential Guard. Каждый раз при запуске устройства устройство вступает в режим восстановления BitLocker, и вы видите код ошибки 0xc0210000 и сообщение, напоминающее следующее.

Компьютер и устройство необходимо отремонтировать. Не удалось получить доступ к необходимому файлу, так как клавиша BitLocker была загружена неправильно.

Код ошибки 0xc0210000

Вам потребуется использовать средства восстановления. Если у вас нет средств установки (например, диска или USB-устройства), обратитесь к администратору ПК или производителю ПК и устройств.

Причина

Дополнительные сведения об этой технологии см. в Защитник Windows System Guard: как корневое доверие на основе оборудования помогает защитить Windows

Разрешение

Чтобы устранить эту проблему, сделайте одно из следующих:

Источник