Bitlocker recovery windows phone что делать

Bitlocker recovery windows phone что делать

Это мой перевод темы на XDA Developers, инструкцию придумал не я, я лишь её перевёл. Мне лично эта инструкция помогла, и надеюсь вам тоже поможет. Автор: Khaagan. Ccылка на оригинальную тему: http://forum.xda-devel…t=2515453#post47195479

Сообщение отредактировал TreyBan — 25.09.15, 19:52

Сообщение отредактировал TreyBan — 25.01.18, 10:37

Сообщение отредактировал TreyBan — 15.01.16, 07:00

Началась самая важная часть этого туториала. Вы будете использовать Windows Phone Image Designer для прошивки вашего устройства Lumia.

1. Войдите в ..\Lumia_Flash_Tools\WPID и запустите Start.bat
2. Появится окно WPID, а также два пакетных окна (не закрывать их, в противном случае это приведет к закрытию программы). Выберите Flash a Windows Phone image onto your phone и нажмите на кнопку Next.
3. Вы уже подключили устройство Lumia в FFU режиме, программное обеспечение должно определять его как x.MSMx.xxx где х являются переменными в соответствии с подключенным устройством Lumia. Если ваш Lumia устройство не определяется автоматически с помощью программного обеспечения, вы можете нажать на кнопку обновления. Затем нажмите на кнопку Change.
4. Появится окно выбора файла прошивки. Перейдите в ..\Lumia_Flash_Tools\NaviFirm+\Fw\059xxxx, выберите только что загруженный файл прошивки и нажмите Open.
5. Нажмите на кнопку Flash и подождите, пока прошивка установится.
6. Устройство автоматически перезагрузится и загрузится окно первой настройки Windows Phone.

Это можно было тоже перевести и добавитьь под спойлером.
А вот архив который на левом сайте и доступен только после просмотра рекламы LumiaFlashTools.zip ( 7,65 МБ )

Сообщение отредактировал Vorobejsawka — 20.08.15, 11:57

Спасибо!
Nokia Lumia 925 892
После установки обновления WinPhone 10, телефон постоянно перезагружался, заставка Nokia -> Шестеренки и снова по кругу.

Сделал все по инструкции, заработал. Конечно часть данных потерялась, но основное контакты и приложения сохранились.

Единственное замечание: при запуске на Win7, где был установлен NokiaSuite и другие приложения Nokia не в какую не определялся телефон в программе. При этом в устройствах показывался. На чистой Win10 все сделал за 2 минуты + 5 минут загрузка прошивки.

Еще раз спасибо, избежал нудный поход в сервисный центр. 🙂

Всем доброго времени суток имеется телефон nokia lumia 520 включается но начинаешь что то запускать он перезагружается!\
Собственно решил прошить этой инструкцией но WPID выдает ошибку:
(Sorry! Your device could not be flashed with the image you selected.
Please correct the following error and try again:
Failed to flash with device error < 0xd, 0x0, 0x0, 0x2, 0x0, 0x0 >: Status: 0x80000008.)
И все на этом ступор!!
Тел в режим ffu вроде входит!(скрин диспетчера устройств прилаживаю)

Источник

Руководство по восстановлению BitLocker BitLocker recovery guide

Относится к: Applies to

В этой статье, предназначенной для ИТ-специалистов, рассказывается, как восстановить ключи BitLocker из ADDS. This topic for IT professionals describes how to recover BitLocker keys from AD DS.

Организации могут использовать информацию о восстановлении BitLocker, сохраненную в доменных службах Active Directory (добавление), для доступа к данным, защищенным с помощью BitLocker. Organizations can use BitLocker recovery information saved in Active Directory Domain Services (ADDS) to access BitLocker-protected data. Рекомендуется создать модель восстановления для BitLocker при планировании развертывания BitLocker. Creating a recovery model for BitLocker while you are planning your BitLocker deployment is recommended.

В этой статье предполагается, что вы знаете, как настроить автоматическое резервное копирование сведений о восстановлении BitLocker и какие типы данных восстановления будут сохраняться для добавления. This article assumes that you understand how to set up ADDS to back up BitLocker recovery information automatically, and what types of recovery information are saved to ADDS.

В этой статье не подробно описано, как настроить добавление для хранения данных восстановления BitLocker. This article does not detail how to configure ADDS to store the BitLocker recovery information.

Что такое восстановление BitLocker? What is BitLocker recovery?

Восстановление BitLocker — это процесс, с помощью которого вы можете восстановить доступ к диску, защищенному BitLocker, в том случае, если вы не можете разблокировать диск в обычном режиме. BitLocker recovery is the process by which you can restore access to a BitLocker-protected drive in the event that you cannot unlock the drive normally. В сценарии восстановления вы можете восстановить доступ к диску с помощью следующих параметров: In a recovery scenario, you have the following options to restore access to the drive:

• Пользователь может предоставить пароль восстановления. The user can supply the recovery password. Если в вашей организации пользователи могут печатать или хранить пароли восстановления, пользователь может ввести пароль восстановления для 48, который они распечатываются или хранились на USB-диске или в вашей учетной записи Майкрософт. If your organization allows users to print or store recovery passwords, the user can type in the 48-digit recovery password that they printed or stored on a USB drive or with your Microsoft Account online. (Сохранение пароля восстановления с помощью учетной записи Майкрософт разрешено только в том случае, если BitLocker используется на компьютере, который не входит в домен). (Saving a recovery password with your Microsoft Account online is only allowed when BitLocker is used on a PC that is not a member of a domain).
• Чтобы разблокировать диск, агент восстановления данных может использовать свои учетные данные. A data recovery agent can use their credentials to unlock the drive. Если диск является диском операционной системы, диск необходимо подключить к диску данных на другом компьютере, чтобы агент восстановления данных заблокировал его. If the drive is an operating system drive, the drive must be mounted as a data drive on another computer for the data recovery agent to unlock it.
• Администратор домена может получить пароль восстановления из доменных служб Active Directory и использовать его для разблокировки диска. A domain administrator can obtain the recovery password from AD DS and use it to unlock the drive. Хранение паролей восстановления в доменных СЛУЖБах AD рекомендуется для предоставления ИТ-специалистам возможности получать пароли восстановления для дисков в Организации, если это необходимо. Storing recovery passwords in AD DS is recommended to provide a way for IT professionals to be able to obtain recovery passwords for drives in their organization if needed. Этот способ требует, чтобы вы включили этот метод восстановления в параметрах групповой политики BitLocker. выберите способ восстановления дисков операционной системы, защищенных с помощью BitLocker , на компьютере Configuration\Administrative Templates\Windows Components\BitLocker диск Encryption\Operating системные диски в редакторе локальных групповых политик. This method requires that you have enabled this recovery method in the BitLocker Group Policy setting Choose how BitLocker-protected operating system drives can be recovered located at Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives in the Local Group Policy Editor. Подробнее: Параметры групповой политики BitLocker. For more information, see BitLocker Group Policy settings.

Что приводит к восстановлению BitLocker? What causes BitLocker recovery?

В следующем списке приведены примеры некоторых событий, которые приводят к тому, что BitLocker будет входить в режим восстановления при попытке запустить диск операционной системы: The following list provides examples of specific events that will cause BitLocker to enter recovery mode when attempting to start the operating system drive:

На компьютерах, использующих шифрование диска BitLocker, или на устройствах, таких как планшет или телефоны, использующих только Шифрование устройства BitLocker , после обнаружения атаки устройство будет немедленно перезагружено и вход в режим восстановления BitLocker. On PCs that use BitLocker Drive Encryption, or on devices such as tablets or phones that use BitLocker Device Encryption only, when an attack is detected, the device will immediately reboot and enter into BitLocker recovery mode. Чтобы воспользоваться этой функцией, администраторы могут настроить интерактивный вход в систему с помощью параметра групповой политики пороговое значение блокировки учетных записей компьютера , которое находится в \computer Configuration\Windows Settings\Security Settings\Local Policies\Security параметров в редакторе локальных групповых политик, или использовать политику MaxFailedPasswordAttempts для Exchange ActiveSync (Кроме настройки в Microsoft Intune), чтобы ограничить число неудачных попыток ввода пароля перед тем, как устройство будет проходить блокировку устройства. To take advantage of this functionality Administrators can set the Interactive logon: Machine account lockout threshold Group Policy setting located in \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options in the Local Group Policy Editor, or use the MaxFailedPasswordAttempts policy of Exchange ActiveSync (also configurable through Microsoft Intune), to limit the number of failed password attempts before the device goes into Device Lockout.

На устройствах с доверенным платформенным модулем 1,2 изменение порядка загрузочных устройств в BIOS и микропрограмм приводит к восстановлению BitLocker. On devices with TPM 1.2, changing the BIOS or firmware boot device order causes BitLocker recovery. Тем не менее, устройства с доверенным платформенным модулем 2,0 не запускают восстановление BitLocker в этом случае. However, devices with TPM 2.0 do not start BitLocker recovery in this case. Доверенный платформенный модуль 2,0 не учитывает изменение микропрограммного обеспечения при загрузке загрузочного устройства как угроза безопасности из-за того, что загрузчик операционной системы не скомпрометирован. TPM 2.0 does not consider a firmware change of boot device order as a security threat because the OS Boot Loader is not compromised.

Вставьте компакт-или DVD-диск в последовательность загрузки BIOS и добавьте или удалите его. Having the CD or DVD drive before the hard drive in the BIOS boot order and then inserting or removing a CD or DVD.

Не удается загрузиться с сетевого диска перед загрузкой с жесткого диска. Failing to boot from a network drive before booting from the hard drive.

Закрепление или Отстыковка переносного компьютера. Docking or undocking a portable computer. В некоторых случаях (в зависимости от производителя компьютера и BIOS) состояние стыковки портативного компьютера является частью измерения системы и должно быть соответствующим для проверки состояния системы и разблокировки BitLocker. In some instances (depending on the computer manufacturer and the BIOS), the docking condition of the portable computer is part of the system measurement and must be consistent to validate the system status and unlock BitLocker. Это означает, что если переносной компьютер подключен к стыковочному узлу, когда включена функция BitLocker, то также может потребоваться подключение к стыковочному узлу, если он разблокирован. This means that if a portable computer is connected to its docking station when BitLocker is turned on, then it might also need to be connected to the docking station when it is unlocked. И наоборот, если портативный компьютер не подключен к стыковочному узлу при включенном BitLocker, может потребоваться отключиться от стыковочного узла, если он разблокирован. Conversely, if a portable computer is not connected to its docking station when BitLocker is turned on, then it might need to be disconnected from the docking station when it is unlocked.

Изменения в таблице разделов NTFS на диске, включая создание, удаление и изменение размера основного раздела. Changes to the NTFS partition table on the disk including creating, deleting, or resizing a primary partition.

Неправильное ввод персонального идентификационного номера (PIN) для активации алгоритма борьбы с прозначением по воспроизведению. Entering the personal identification number (PIN) incorrectly too many times so that the anti-hammering logic of the TPM is activated. Логика борьбы с образами — это программные и аппаратные методы, повышающие сложность и стоимость атаки с помощью прямого запроса на ввод ПИН-кода до тех пор, пока не пройдет определенное время. Anti-hammering logic is software or hardware methods that increase the difficulty and cost of a brute force attack on a PIN by not accepting PIN entries until after a certain amount of time has passed.

Отключение поддержки чтения USB-устройства в среде предварительной загрузки из BIOS или UEFI, если вы используете USB-ключи вместо доверенного платформенного модуля. Turning off the support for reading the USB device in the pre-boot environment from the BIOS or UEFI firmware if you are using USB-based keys instead of a TPM.

Отключение, отключение, деактивацию и удаление доверенного платформенного модуля. Turning off, disabling, deactivating, or clearing the TPM.

Модернизация критически важных компонентов запуска (например, обновление встроенного по BIOS или UEFI), что приводит к изменению связанных загрузок. Upgrading critical early startup components, such as a BIOS or UEFI firmware upgrade, causing the related boot measurements to change.

Закрепление PIN-кода при включенной проверке подлинности PIN-кода. Forgetting the PIN when PIN authentication has been enabled.

Обновление встроенного по с возможностью ПЗУ. Updating option ROM firmware.

Обновление встроенного по TPM. Upgrading TPM firmware.

Добавление или удаление оборудования; Например, вставьте новую карту на компьютере, в том числе на некоторые PCMIA карты беспроводной сети. Adding or removing hardware; for example, inserting a new card in the computer, including some PCMIA wireless cards.

Удаление, вставка или полная разрядка батареи Smart Battery в портативном компьютере. Removing, inserting, or completely depleting the charge on a smart battery on a portable computer.

Изменения основной загрузочной записи на диске. Changes to the master boot record on the disk.

Изменения в диспетчере загрузки на диске. Changes to the boot manager on the disk.

Скрыть доверенный платформенный модуль от операционной системы. Hiding the TPM from the operating system. Некоторые параметры BIOS и UEFI можно использовать, чтобы не допустить перечисления доверенного платформенного модуля для операционной системы. Some BIOS or UEFI settings can be used to prevent the enumeration of the TPM to the operating system. При реализации этот параметр может сделать доверенный платформенный модуль скрытым от операционной системы. When implemented, this option can make the TPM hidden from the operating system. Когда доверенный платформенный модуль является скрытым, безопасный запуск BIOS и UEFI отключается, а доверенный платформенный модуль не отвечает на команды любого программного обеспечения. When the TPM is hidden, BIOS and UEFI secure startup are disabled, and the TPM does not respond to commands from any software.

Используется другая клавиатура, которая неправильно вводит ПИН-код или карта клавиатуры не соответствует карте клавиатуры, используемой предварительно загружаемой средой. Using a different keyboard that does not correctly enter the PIN or whose keyboard map does not match the keyboard map assumed by the pre-boot environment. Это может привести к невозможности ввода расширенных контактов. This can prevent the entry of enhanced PINs.

Изменение реестров конфигурации платформы (PCRs), используемых профилем проверки доверенного платформенного модуля. Modifying the Platform Configuration Registers (PCRs) used by the TPM validation profile. Например, включение PCR \ [1 ] может привести к тому, что BitLocker выполнит измерение большинства изменений в настройках BIOS, что приводит к тому, что BitLocker будет переходить в режим восстановления даже при изменении параметров BIOS без загрузок. For example, including PCR[1] would result in BitLocker measuring most changes to BIOS settings, causing BitLocker to enter recovery mode even when non-boot critical BIOS settings change.

На некоторых компьютерах установлены параметры BIOS, которые пропускают измерения для некоторых PCRs, например PCR \ [2 ]. Some computers have BIOS settings that skip measurements to certain PCRs, such as PCR[2]. Изменение этого параметра в BIOS приведет к тому, что BitLocker зайдет в режим восстановления, так как измерение PCR будет отличаться. Changing this setting in the BIOS would cause BitLocker to enter recovery mode because the PCR measurement will be different.

Перемещение диска с защитой BitLocker в новый компьютер. Moving the BitLocker-protected drive into a new computer.

Обновление материнской платы на новую с помощью нового доверенного платформенного модуля. Upgrading the motherboard to a new one with a new TPM.

После включения проверки подлинности ключа запуска вы теряете USB-накопитель с ключом запуска. Losing the USB flash drive containing the startup key when startup key authentication has been enabled.

Не удалось выполнить самопроверку доверенного платформенного модуля. Failing the TPM self-test.

Наличие BIOS, встроенного по UEFI или компонента дополнительного ПЗУ, не соответствующего стандартам доверенных вычислительных групп для клиентского компьютера. Having a BIOS, UEFI firmware, or an option ROM component that is not compliant with the relevant Trusted Computing Group standards for a client computer. Например, несоответствующая реализация может записывать временные данные (например, время) в измерениях доверенного платформенного модуля, что приводит к различным измерениям при каждом запуске и приводит к тому, что BitLocker запускается в режиме восстановления. For example, a non-compliant implementation may record volatile data (such as time) in the TPM measurements, causing different measurements on each startup and causing BitLocker to start in recovery mode.

Изменение авторизации использования корневого ключа хранилища для доверенного платформенного модуля на ненулевое значение. Changing the usage authorization for the storage root key of the TPM to a non-zero value.

Процесс инициализации доверенного платформенного модуля BitLocker задает нулевое значение для авторизации использования, поэтому другой пользователь или процесс должен явно изменить это значение. The BitLocker TPM initialization process sets the usage authorization value to zero, so another user or process must explicitly have changed this value.

Отключите проверку целостности кода или включите тестовый вход в диспетчере загрузки Windows (Bootmgr). Disabling the code integrity check or enabling test signing on Windows Boot Manager (Bootmgr).

При загрузке нажмите клавишу F8 или F10. Pressing the F8 or F10 key during the boot process.

Добавляйте и удаляйте карты расширения (например, видео-или сетевые карты), а также обновив микропрограмму на картах надстроек. Adding or removing add-in cards (such as video or network cards), or upgrading firmware on add-in cards.

Использование горячей клавиши BIOS в процессе загрузки для изменения порядка загрузки на что-либо отличное от жесткого диска. Using a BIOS hot key during the boot process to change the boot order to something other than the hard drive.

Прежде чем приступить к восстановлению, мы рекомендуем определить, что привело к восстановлению. Before you begin recovery, we recommend that you determine what caused recovery. Это может привести к тому, что проблема не будет возникать повторно в будущем. This might help prevent the problem from occurring again in the future. Например, если вы определили, что злоумышленник изменил свой компьютер, получая физический доступ, вы можете создать новые политики безопасности для отслеживания физического присутствия. For instance, if you determine that an attacker has modified your computer by obtaining physical access, you can create new security policies for tracking who has physical presence. После того как вы воспользуетесь паролем восстановления для восстановления доступа к компьютеру, BitLocker запечатывать ключ шифрования на текущие значения измеряемых компонентов. After the recovery password has been used to recover access to the PC, BitLocker will reseal the encryption key to the current values of the measured components.

Для запланированных сценариев, например известных аппаратных средств или обновлений микропрограмм, вы можете не инициировать восстановление, временно приостанавливая защиту BitLocker. For planned scenarios, such as a known hardware or firmware upgrades, you can avoid initiating recovery by temporarily suspending BitLocker protection. Поскольку при приостановке BitLocker оставляет диск полностью зашифрованным, администратор может быстро возобновить защиту BitLocker после завершения запланированной задачи. Because suspending BitLocker leaves the drive fully encrypted, the administrator can quickly resume BitLocker protection after the planned task has been completed. При использовании команды приостановить и возобновить также запечатывать ключ шифрования, не требуя ввода ключа восстановления. Using suspend and resume also reseals the encryption key without requiring the entry of the recovery key.

Если приостановленный BitLocker будет автоматически возобновлять защиту при перезагрузке компьютера, если только счетчик перезагрузки не указан с помощью средства командной строки Manage-bde. If suspended BitLocker will automatically resume protection when the PC is rebooted, unless a reboot count is specified using the manage-bde command line tool.

Если для поддержки программного обеспечения требуется перезагрузка компьютера и используется двухфакторная проверка подлинности, вы можете включить сетевую разблокировку BitLocker, чтобы обеспечить дополнительный коэффициент проверки подлинности, если у компьютеров нет локального пользователя, чтобы предоставить дополнительный метод проверки подлинности. If software maintenance requires the computer be restarted and you are using two-factor authentication, you can enable BitLocker Network Unlock to provide the secondary authentication factor when the computers do not have an on-premises user to provide the additional authentication method.

Восстановление описано в контексте незапланированного или нежелательного поведения, но вы также можете сделать восстановление в качестве предполагаемого рабочего сценария для управления доступом. Recovery has been described within the context of unplanned or undesired behavior, but you can also cause recovery as an intended production scenario, in order to manage access control. Например, если вы переустанавливаете настольные компьютеры или ноутбуки в другие отделы или сотрудников Организации, вы можете принудительно восстановить BitLocker, прежде чем компьютер будет передан новому пользователю. For example, when you redeploy desktop or laptop computers to other departments or employees in your enterprise, you can force BitLocker into recovery before the computer is given to a new user.

Тестирование восстановления Testing recovery

Прежде чем создавать тщательный процесс восстановления BitLocker, мы рекомендуем проверить, как будет работать процесс восстановления для конечных пользователей (пользователей, которые вызывают пароль восстановления) и администраторов (люди, которые помогают пользователю получить пароль восстановления). Before you create a thorough BitLocker recovery process, we recommend that you test how the recovery process works for both end users (people who call your helpdesk for the recovery password) and administrators (people who help the end user get the recovery password). Команда – forcerecovery для Manage-bde — это простой способ пройти процесс восстановления, прежде чем пользователи сталкиваются с ситуацией восстановления. The –forcerecovery command of manage-bde is an easy way for you to step through the recovery process before your users encounter a recovery situation.

Принудительное восстановление локального компьютера To force a recovery for the local computer

1. Нажмите кнопку Пуск , введите в поле Начало поиска команду cmd , щелкните правой кнопкой мыши cmd.exeи выберите пункт Запуск от имени администратора. Click the Start button, type cmd in the Start Search box, right-click cmd.exe, and then click Run as administrator.
2. В командной строке введите указанную ниже команду и нажмите клавишу ВВОД. manage-bde -forcerecovery At the command prompt, type the following command and then press ENTER: manage-bde -forcerecovery

Принудительное восстановление на удаленном компьютере To force recovery for a remote computer

На начальном экране введитеcmd.exeи выберите пункт Запуск от имени администратора. On the Start screen, typecmd.exe, and then click Run as administrator.

В командной строке введите указанную ниже команду и нажмите клавишу ВВОД. manage-bde -ComputerName -forcerecovery At the command prompt, type the following command and then press ENTER: manage-bde -ComputerName -forcerecovery

Восстановление инициируется за счет -forcerecovery сохранения нескольких перезапусков до тех пор, пока пользователь не добавит предохранитель доверенного платформенного модуля или не приостанавливает защиту. Recovery triggered by -forcerecovery persists for multiple restarts until a TPM protector is added or protection is suspended by the user. При использовании современных устройств резервного режима (например, Surface Devices) этот -forcerecovery параметр не рекомендуется, так как BitLocker должен быть разблокирован и автоматически отключен из среды WinRE, прежде чем система сможет снова загрузиться. When using Modern Standby devices (such as Surface devices), the -forcerecovery option is not recommended because BitLocker will have to be unlocked and disabled manually from the WinRE environment before the OS can boot up again. Дополнительные сведения можно найти в статье Устранение неполадок с использованием BitLocker: непрерывный цикл перезагрузки с восстановлением BitLocker на устройстве планшета. For more information, see BitLocker Troubleshooting: Continuous reboot loop with BitLocker recovery on a slate device.

Планирование процесса восстановления Planning your recovery process

Прежде чем планировать процесс восстановления BitLocker, ознакомьтесь с актуальными рекомендациями по восстановлению конфиденциальной информации в своей организации. When planning the BitLocker recovery process, first consult your organization’s current best practices for recovering sensitive information. Например: как ваш корпоративный дескриптор теряет пароли Windows? For example: How does your enterprise handle lost Windows passwords? Как ваша организация переустанавливает PIN-код с помощью смарт-карты? How does your organization perform smart card PIN resets? Вы можете использовать эти рекомендации и связанные ресурсы (люди и инструменты) для формулировки модели восстановления BitLocker. You can use these best practices and related resources (people and tools) to help formulate a BitLocker recovery model.

В организациях, использующих шифрование диска BitLocker и BitLocker для защиты данных на большом числе компьютеров, а съемные диски с операционными системами Windows10, Windows 8, Windows 7 и Windows To Go должны использовать средство Microsoft BitLocker Administration и Monitoring (MBAM) версии 2,0, которое входит в состав пакета оптимизации рабочей среды Microsoft (MDOP) для Microsoft Software Assurance. Organizations that rely on BitLocker Drive Encryption and BitLocker To Go to protect data on a large number of computers and removable drives running the Windows10, Windows 8, or Windows 7 operating systems and Windows to Go should consider using the Microsoft BitLocker Administration and Monitoring (MBAM) Tool version 2.0, which is included in the Microsoft Desktop Optimization Pack (MDOP) for Microsoft Software Assurance. MBAM делает реализации BitLocker более удобными для развертывания и управления и позволяет администраторам подготавливать и отслеживать шифрование для операционной системы и фиксированных дисков. MBAM makes BitLocker implementations easier to deploy and manage and allows administrators to provision and monitor encryption for operating system and fixed drives. MBAM предложит пользователю перед шифрованием фиксированных дисков. MBAM prompts the user before encrypting fixed drives. MBAM также управляет ключами восстановления для фиксированных и съемных дисков, что упрощает управление восстановлением. MBAM also manages recovery keys for fixed and removable drives, making recovery easier to manage. MBAM можно использовать как часть развертывания Microsoft System Center или отдельное решение. MBAM can be used as part of a Microsoft System Center deployment or as a stand-alone solution. Дополнительные сведения можно найти в разделе Администрирование и мониторинг Microsoft BitLocker. For more info, see Microsoft BitLocker Administration and Monitoring.

После запуска восстановления BitLocker пользователи могут использовать пароль восстановления для разблокировки доступа к зашифрованным данным. After a BitLocker recovery has been initiated, users can use a recovery password to unlock access to encrypted data. Для Организации необходимо принимать во время самовосстановления и для пароля восстановления. You must consider both self-recovery and recovery password retrieval methods for your organization.

После того как вы определите процесс восстановления, сделайте следующее: When you determine your recovery process, you should:

Познакомьтесь с тем, как можно получить пароль восстановления. Become familiar with how you can retrieve the recovery password. Обнаружить See:

Определите серии шагов для восстановления после завершения, в том числе для анализа причин возникновения восстановления и сброса пароля восстановления. Determine a series of steps for post-recovery, including analyzing why the recovery occurred and resetting the recovery password. Обнаружить See:

Автоматическое восстановление Self-recovery

В некоторых случаях у пользователей может быть пароль восстановления на распечатке или USB-устройстве флэш-памяти, который может выполнять автоматическое восстановление. In some cases, users might have the recovery password in a printout or a USB flash drive and can perform self-recovery. Мы рекомендуем, чтобы ваша организация выработала политику для самостоятельного восстановления. We recommend that your organization create a policy for self-recovery. Если при самовосстановлении используется пароль или ключ восстановления, хранящийся на USB-накопителе флэш-памяти, пользователи должны предупреждать о том, что вы не можете хранить USB-накопитель в том же месте, что и на компьютере, особенно, если оба элемента и элементы восстановления находятся в одном и том же контейнере, доступ к которому может быть очень просто получить для компьютера неавторизованным пользователем. If self-recovery includes using a password or recovery key stored on a USB flash drive, the users should be warned not to store the USB flash drive in the same place as the PC, especially during travel, for example if both the PC and the recovery items are in the same bag it would be very easy for access to be gained to the PC by an unauthorized user. Еще одна политика для рассмотрения — заставить пользователей обратиться в службу поддержки до или после самостоятельного восстановления, чтобы можно было определить главную причину. Another policy to consider is having users contact the Helpdesk before or after performing self-recovery so that the root cause can be identified.

Получение пароля восстановления Recovery password retrieval

Если у пользователя нет пароля восстановления в распечатку или на USB-накопителе, пользователю потребуется получить пароль восстановления из Интернет-источника. If the user does not have a recovery password in a printout or on a USB flash drive, the user will need to be able to retrieve the recovery password from an online source. Если компьютер входит в домен, пароль восстановления можно архивировать в доменные службы Active Directory. If the PC is a member of a domain the recovery password can be backed up to AD DS. Однако это не происходит по умолчанию, поэтому для включения BitLocker на компьютере необходимо настроить соответствующие параметры групповой политики. However, this does not happen by default, you must have configured the appropriate Group Policy settings before BitLocker was enabled on the PC. Параметры групповой политики BitLocker можно найти в редакторе локальных групповых политик или в консоли управления групповыми политиками (GPMC) в разделе Computer Configuration\Administrative Templates\Windows Components\BitLocker (шифрование диска). BitLocker Group Policy settings can be found in the Local Group Policy Editor or the Group Policy Management Console (GPMC) under Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption. Следующие параметры политики определяют методы восстановления, которые можно использовать для восстановления доступа к диску, защищенному с помощью BitLocker, если метод проверки подлинности не удается использовать. The following policy settings define the recovery methods that can be used to restore access to a BitLocker-protected drive if an authentication method fails or is unable to be used.

• Выбор способа восстановления дисков операционной системы, защищенных с помощью BitLocker Choose how BitLocker-protected operating system drives can be recovered
• Выбор способа восстановления несъемных дисков, защищенных с помощью BitLocker Choose how BitLocker-protected fixed drives can be recovered
• Выбор способа восстановления съемных дисков, защищенных с помощью BitLocker В каждой из этих политик выберите сохранить данные восстановления BitLocker в доменных службах Active Directory , а затем выберите сведения о восстановлении BitLocker, которые нужно сохранить в доменных службах Active Directory (ADDS). Choose how BitLocker-protected removable drives can be recovered In each of these policies, select Save BitLocker recovery information to Active Directory Domain Services and then choose which BitLocker recovery information to store in Active Directory Domain Services (ADDS). Установите флажок не включать BitLocker, пока информация о восстановлении не будет храниться в доменных службах Active Directory , если вы хотите запретить пользователям включать BitLocker, если компьютер не подключен к домену, а резервная копия данных восстановления BitLocker для диска для добавления успешно добавлена. Select the Do not enable BitLocker until recovery information is stored in AD DS check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information for the drive to ADDS succeeds.

Если компьютер входит в рабочую группу, пользователям рекомендуется сохранить пароль восстановления BitLocker вместе с учетной записью Майкрософт в Интернете. If the PCs are part of a workgroup, users should be advised to save their BitLocker recovery password with their Microsoft Account online. Для того чтобы не потерять доступ к данным в событии, требующем восстановления, рекомендуется использовать онлайновую копию пароля восстановления BitLocker. Having an online copy of your BitLocker recovery password is recommended to help ensure that you do not lose access to your data in the event that recovery is required.

Средство просмотра паролей восстановления BitLocker для пользователей и компьютеров Active Directory позволяет администраторам домена просматривать пароли восстановления BitLocker для определенных объектов компьютера в Active Directory. The BitLocker Recovery Password Viewer for Active Directory Users and Computers tool allows domain administrators to view BitLocker recovery passwords for specific computer objects in Active Directory.

Вы можете использовать следующий список в качестве шаблона для создания собственного процесса восстановления для извлечения пароля восстановления. You can use the following list as a template for creating your own recovery process for recovery password retrieval. В этом примере используется средство просмотра паролей восстановления BitLocker для пользователей и компьютеров Active Directory. This sample process uses the BitLocker Recovery Password Viewer for Active Directory Users and Computers tool.

Запись имени компьютера пользователя Record the name of the user’s computer

Вы можете использовать имя компьютера пользователя, чтобы найти пароль восстановления в добавлении. You can use the name of the user’s computer to locate the recovery password in ADDS. Если пользователь не знает имя компьютера, посоветуйте ему прочитать первое слово метки диска в пользовательском интерфейсе ввода пароля шифрования диска BitLocker . If the user does not know the name of the computer, ask the user to read the first word of the Drive Label in the BitLocker Drive Encryption Password Entry user interface. Это имя компьютера при включенном BitLocker, которое, скорее всего, является текущим именем компьютера. This is the computer name when BitLocker was enabled and is probably the current name of the computer.

Проверка личности пользователя Verify the user’s identity

Убедитесь в том, что пользователь, который запрашивает пароль восстановления, действительно является полномочным пользователем этого компьютера. You should verify that the person that is asking for the recovery password is truly the authorized user of that computer. Вы также можете убедиться, что компьютер с указанным пользователем именем принадлежит пользователю. You may also wish to verify that the computer with the name the user provided belongs to the user.

Поиск пароля восстановления в окне «Добавление» Locate the recovery password in ADDS

Найдите объект компьютера с совпадающим именем в поле «Добавить». Locate the Computer object with the matching name in ADDS. Так как имена объектов компьютера перечислены в поле Добавить глобальный каталог, вы можете найти объект, даже если у вас есть лес с несколькими доменами. Because Computer object names are listed in the ADDS global catalog, you should be able to locate the object even if you have a multi-domain forest.

Множественные пароли восстановления Multiple recovery passwords

Если несколько паролей восстановления хранятся на объекте компьютера в разделе «Добавить», имя объекта данных восстановления BitLocker содержит дату создания пароля. If multiple recovery passwords are stored under a computer object in ADDS, the name of the BitLocker recovery information object includes the date that the password was created.

Если вы в любой момент не знаете, какой пароль предоставить, или, если вы считаете, что он указан с неверным паролем, посоветуйте ему прочитать идентификатор пароля восемь знаков, который отображается в консоли восстановления. If at any time you are unsure what password to provide, or if you think you might be providing the incorrect password, ask the user to read the eight character password ID that is displayed in the recovery console.

Так как идентификатор пароля — это уникальное значение, связанное с каждым паролем восстановления, хранящимся в разделе «надстройки», при выполнении запроса, использующего этот идентификатор, будет найден правильный пароль для разблокировки зашифрованного тома. Since the password ID is a unique value that is associated with each recovery password stored in ADDS, running a query using this ID will find the correct password to unlock the encrypted volume.

Сбор сведений для определения причин возникновения восстановления Gather information to determine why recovery occurred

Перед предоставлением пользователю пароля восстановления необходимо собрать все сведения, которые помогут определить, зачем требуется восстановление, для анализа корневой причины в ходе анализа после восстановления. Before you give the user the recovery password, you should gather any information that will help determine why the recovery was needed, in order to analyze the root cause during the post-recovery analysis. Дополнительные сведения об анализе после восстановления можно найти в статье анализ после восстановления. For more info about post-recovery analysis, see Post-recovery analysis.

Предоставление пользователю пароля восстановления Give the user the recovery password

Поскольку пароль восстановления составляет 48 цифр, пользователю может потребоваться записать пароль, написав его на другой компьютер. Because the recovery password is 48 digits long the user may need to record the password by writing it down or typing it on a different computer. Если вы используете MBAM, пароль восстановления будет восстановлен после восстановления из базы данных MBAM, чтобы избежать угроз безопасности, связанных с незащищенным паролем. If you are using MBAM, the recovery password will be regenerated after it is recovered from the MBAM database to avoid the security risks associated with an uncontrolled password.

Поскольку пароль восстановления для 48-цифр длиннее и содержит сочетание цифр, пользователь может услышать или ввести пароль. Because the 48-digit recovery password is long and contains a combination of digits, the user might mishear or mistype the password. Консоль восстановления времени загрузки использует встроенные контрольные номера, чтобы определить ошибки ввода в каждом блоке пароля восстановления, состоящих из шести цифр, для 48, и пользователю будет предложено исправить такие ошибки. The boot-time recovery console uses built-in checksum numbers to detect input errors in each 6-digit block of the 48-digit recovery password, and offers the user the opportunity to correct such errors.

Анализ после восстановления Post-recovery analysis

Когда том разблокируется с помощью пароля восстановления, в журнале событий записывается событие, и измерения проверки платформы сбрасываются в доверенном платформенном модуле в соответствии с текущей конфигурацией. When a volume is unlocked using a recovery password, an event is written to the event log and the platform validation measurements are reset in the TPM to match the current configuration. Разблокирование тома означает, что ключ шифрования был освобожден и готов к последовательному шифрованию, когда данные записываются в том, и как при чтении данных с тома. Unlocking the volume means that the encryption key has been released and is ready for on-the-fly encryption when data is written to the volume, and on-the-fly decryption when data is read from the volume. После того как том будет разблокирован, BitLocker будет работать одинаково, независимо от того, как был предоставлен доступ. After the volume is unlocked, BitLocker behaves the same way, regardless of how the access was granted.

Если вы заметили, что компьютер перезаблокировал пароль восстановления, может потребоваться, чтобы администратор мог выполнить анализ после восстановления, чтобы определить основную причину восстановления и обновить проверку платформы BitLocker, чтобы пользователю больше не нужно было вводить пароль восстановления при каждом запуске компьютера. If you notice that a computer is having repeated recovery password unlocks, you might want to have an administrator can perform post-recovery analysis to determine the root cause of the recovery and refresh BitLocker platform validation so that the user no longer needs to enter a recovery password each time that the computer starts up. Обнаружить See:

Определение корневой причины восстановления Determine the root cause of the recovery

Если пользователю потребуется восстановить диск, важно определить главную причину, которая инициирует восстановление как можно скорее. If a user needed to recover the drive, it is important to determine the root cause that initiated the recovery as soon as possible. Правильная анализ состояния компьютера и обнаружение возможных последствий может выявить угрозы, которые имеют более широкие возможности для обеспечения безопасности в корпоративной среде. Properly analyzing the state of the computer and detecting tampering may reveal threats that have broader implications for enterprise security.

Несмотря на то, что администратор может удаленно исследовать причины восстановления в некоторых случаях, конечному пользователю может потребоваться перевести компьютер, на котором находится восстановленный диск, на сайт, чтобы проанализировать главную причину. While an administrator can remotely investigate the cause of recovery in some cases, the end user might need to bring the computer that contains the recovered drive on site to analyze the root cause further.

Проверьте и ответьте на следующие вопросы для своей организации: Review and answer the following questions for your organization:

1. Что действует режим защиты BitLocker (ДОВЕРЕНный платформенный модуль, доверенный платформенный модуль + PIN + ключ запуска, ключ запуска) What BitLocker protection mode is in effect (TPM, TPM + PIN, TPM + startup key, startup key only)? Какой профиль PCR используется на компьютере? Which PCR profile is in use on the PC?
2. Забыли ли пользователь закрепить ПИН-код или потеряете ключ запуска? Did the user merely forget the PIN or lose the startup key? Если токен был потерян, где может быть маркер? If a token was lost, where might the token be?
3. Если включен режим TPM, был ли восстановлен из-за изменения файла загрузки? If TPM mode was in effect, was recovery caused by a boot file change?
4. Если восстановление было вызвано изменением файла загрузки, это связано с предназначением пользователя (например, обновлением BIOS) или вредоносным программным обеспечением? If recovery was caused by a boot file change, is this due to an intended user action (for example, BIOS upgrade), or to malicious software?
5. Когда пользователь последний мог успешно запустить компьютер, и что могло случиться с компьютера, с того момента? When was the user last able to start the computer successfully, and what might have happened to the computer since then?
6. Может ли пользователь столкнуться с вредоносным программным обеспечением, а также после последнего успешного запуска компьютера вы разоставили компьютер для автоматической установки? Might the user have encountered malicious software or left the computer unattended since the last successful startup?

Чтобы помочь вам ответить на эти вопросы, используйте средство командной строки BitLocker для просмотра текущей конфигурации и режима защиты (например, Manage-bde-status). To help you answer these questions, use the BitLocker command-line tool to view the current configuration and protection mode (for example, manage-bde -status). Просмотрите журнал событий, чтобы найти события, которые помогут указать, почему было инициировано восстановление (например, при изменении файла загрузки). Scan the event log to find events that help indicate why recovery was initiated (for example, if boot file change occurred). Обе эти возможности могут быть выполнены удаленно. Both of these capabilities can be performed remotely.

Устранение корневой причины Resolve the root cause

После того как вы определили, что вызвало восстановление, вы можете сбросить защиту BitLocker и избежать восстановления при каждом запуске. After you have identified what caused recovery, you can reset BitLocker protection and avoid recovery on every startup.

Сведения об этом сбросе могут отличаться в зависимости от корневой причины восстановления. The details of this reset can vary according to the root cause of the recovery. Если вы не можете определить основную причину проблемы или вредоносное программное обеспечение или rootkit-программы заражены компьютером, для правильной реакции служба поддержки должна применять политики антивирусных приложений. If you cannot determine the root cause, or if malicious software or a rootkit might have infected the computer, Helpdesk should apply best-practice virus policies to react appropriately.

Вы можете выполнить сброс профиля проверки BitLocker, приостановить и возобновить BitLocker. You can perform a BitLocker validation profile reset by suspending and resuming BitLocker.

Неизвестный ПИН-код Unknown PIN

Если ПИН-код забыт, необходимо сбросить ПИН-код, войдя в систему на компьютере, чтобы предотвратить инициирование восстановления BitLocker при каждом перезапуске компьютера. If a user has forgotten the PIN, you must reset the PIN while you are logged on to the computer in order to prevent BitLocker from initiating recovery each time the computer is restarted.

Предотвращение восстановления из-за неизвестного ПИН To prevent continued recovery due to an unknown PIN

1. Разблокируйте компьютер, используя пароль восстановления. Unlock the computer using the recovery password.
2. Сброс ПИН-кода: Reset the PIN:
   1. Щелкните диск правой кнопкой мыши и выберите команду изменить ПИН-код . Right-click the drive and then click Change PIN
   2. В диалоговом окне шифрования диска BitLocker нажмите кнопку сбросить забытый ПИН-код. In the BitLocker Drive Encryption dialog, click Reset a forgotten PIN. Если вы не вошли в систему под учетной записью администратора, вы должны предоставить учетные данные администратора в это время. If you are not logged in with an administrator account you must provide administrative credentials at this time.
   3. В диалоговом окне Сброс ПИН-кода укажите и подтвердите новый ПИН-код, а затем нажмите кнопку Готово. In the PIN reset dialog, provide and confirm the new PIN to use and then click Finish.
3. Вы будете использовать новый ПИН-код в следующий раз, когда вы разблокируете диск. You will use the new PIN the next time you unlock the drive.

Потерянный ключ запуска Lost startup key

Если вы потеряли USB-накопитель, который содержит ключ запуска, вы должны разблокировать диск с помощью ключа восстановления, а затем создать новый ключ запуска. If you have lost the USB flash drive that contains the startup key, then you must unlock the drive by using the recovery key and then create a new startup key.

Предотвращение восстановления из-за утраты ключа запуска To prevent continued recovery due to a lost startup key

1. Войдите в систему с учетной записью администратора на компьютере с потерянным ключом запуска. Log on as an administrator to the computer that has the lost startup key.
2. Откройте оснастку Управление BitLocker. Open Manage BitLocker.
3. Нажмите кнопку дублировать раздел «Пуск«, вставьте чистый USB-накопитель, на который вы собираетесь записать ключ, и нажмите кнопку сохранить. Click Duplicate start up key, insert the clean USB drive on which you are going to write the key and then click Save.

Изменения загрузочных файлов Changes to boot files

Эта ошибка может возникать, если вы обновили встроенное по. This error might occur if you updated the firmware. Рекомендуется приостановить BitLocker перед внесением изменений в микропрограмму и возобновить защиту после завершения обновления. As a best practice you should suspend BitLocker before making changes the firmware and then resume protection after the update has completed. Это не позволит компьютеру перейти в режим восстановления. This prevents the computer from going into recovery mode. Тем не менее, если при защите BitLocker были внесены изменения, вы можете просто войти на компьютер с помощью пароля восстановления, после чего профиль проверки платформы будет обновлен, чтобы не происходило восстановление в следующий раз. However if changes were made when BitLocker protection was on you can simply log on to the computer using the recovery password and the platform validation profile will be updated so that recovery will not occur the next time.

Windows RE и шифрование устройства BitLocker Windows RE and BitLocker Device Encryption

Среду восстановления Windows (RE) можно использовать для восстановления доступа к диску, защищенному с помощью шифрования на устройстве BitLocker. Windows Recovery Environment (RE) can be used to recover access to a drive protected by BitLocker Device Encryption. Если компьютер не может загрузиться после двух отказов, средство восстановления запуска запускается автоматически. If a PC is unable to boot after two failures, Startup Repair will automatically start. Если средство восстановления запуска запускается автоматически из-за сбоев при загрузке, оно будет выполнять только восстановление файлов операционной системы и драйвера при условии, что журналы загрузки и любые доступные точки аварийного дампа загружаются в определенный поврежденный файл. When Startup Repair is launched automatically due to boot failures, it will only execute operating system and driver file repairs, provided that the boot logs or any available crash dump point to a specific corrupted file. В Windows 8,1 и более поздних версиях устройства, которые включают встроенное по для поддержки конкретных измерений доверенного платформенного модуля для PCR \ [7 ], доверенный платформенный модуль может проверить, что Windows RE является надежной операционной средой, и разблокировать все диски, защищенные BitLocker, если Windows RE не был изменен. In Windows 8.1 and later, devices that include firmware to support specific TPM measurements for PCR[7] the TPM can validate that Windows RE is a trusted operating environment and will unlock any BitLocker-protected drives if Windows RE has not been modified. Если среда Windows RE была изменена (например, если доверенный платформенный модуль отключен), диски остаются заблокированными до тех пор, пока не будет указан ключ восстановления BitLocker. If the Windows RE environment has been modified, for example the TPM has been disabled, the drives will stay locked until the BitLocker recovery key is provided. Если восстановление при запуске не удается выполнить автоматически с компьютера, а вместо Windows RE запускается вручную с диска восстановления, для разблокировки дисков, защищенных с помощью BitLocker, необходимо указать ключ восстановления BitLocker. If Startup Repair is not able to be run automatically from the PC and instead Windows RE is manually started from a repair disk, the BitLocker recovery key must be provided to unlock the BitLocker–protected drives.

Экран восстановления BitLocker BitLocker recovery screen

В процессе восстановления BitLocker Windows может отобразить настраиваемое сообщение о восстановлении и подсказки, определяющие, откуда можно получить раздел. During BitLocker recovery, Windows can display a custom recovery message and hints that identify where a key can be retrieved from. Эти улучшения могут помочь пользователю во время восстановления BitLocker. These improvements can help a user during BitLocker recovery.

Настраиваемое сообщение о восстановлении Custom recovery message

Параметры групповой политики BitLocker в Windows 10 версии 1511, позволяющие настроить настраиваемое сообщение восстановления и URL-адрес на экране восстановления BitLocker, который может включать адрес портала самообслуживания BitLocker, внутреннего веб-сайта или номера телефона для поддержки. BitLocker Group Policy settings in Windows 10, version 1511, let you configure a custom recovery message and URL on the BitLocker recovery screen, which can include the address of the BitLocker self-service recovery portal, the IT internal website, or a phone number for support.

Этот параметр политики можно настроить с помощью объекта групповой политики в разделе » Конфигурация компьютера» > Administrative Templates > установочные шаблоны компоненты Windows > диски операционной системы сшифрованием диска BitLocker > Operating System Drives > Настройка загрузочного сообщения и URL-адреса для восстановления. This policy can be configured using GPO under Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Configure pre-boot recovery message and URL.

Кроме того, его можно настроить с помощью функции управления мобильными устройствами Intune (MDM) в средстве КРИПТОГРАФИи BitLocker: * ./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage * It can also be configured using Intune mobile device management (MDM) in the BitLocker CSP: ./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

Пример настраиваемого экрана восстановления: Example of customized recovery screen:

Подсказки ключа восстановления BitLocker BitLocker recovery key hints

Метаданные BitLocker улучшены в Windows 10 версии 1903, чтобы включить сведения о том, когда и где был архивирован ключ восстановления BitLocker. BitLocker metadata has been enhanced in Windows 10, version 1903 to include information about when and where the BitLocker recovery key was backed up. Эта информация не предоставляется через пользовательский интерфейс или какой-либо открытый API-интерфейс. This information is not exposed through the UI or any public API. Она используется исключительно экраном восстановления BitLocker в форме подсказок, чтобы помочь пользователю найти ключ восстановления тома. It is used solely by the BitLocker recovery screen in the form of hints to help a user locate a volume’s recovery key. Подсказки отображаются на экране восстановления и ссылаются на расположение, в котором был сохранен ключ. Hints are displayed on the recovery screen and refer to the location where key has been saved. Подсказки отображаются как на экране, так и на современном (синем) и устаревшем (черного) восстановления. Hints are displayed in both the modern (blue) and legacy (black) recovery screen. Это относится как к экрану восстановления BootManager, так и к экрану блокировки WinRE. This applies to both the bootmanager recovery screen and the WinRE unlock screen.

Мы не рекомендуем печатать ключи восстановления или сохранять их в файл. We don’t recommend printing recovery keys or saving them to a file. Вместо этого используйте архивацию Active Directory или облачную резервную копию. Instead, use Active Directory backup or a cloud-based backup. Облачная резервная копия включает Azure Active Directory (Azure AD) и учетную запись Майкрософт. Cloud-based backup includes Azure Active Directory (Azure AD) and Microsoft Account.

Существуют правила, определяющие, какая подсказка отображается во время восстановления (в порядке обработки). There are rules governing which hint is shown during the recovery (in order of processing):

1. Всегда отображать настраиваемое сообщение для восстановления, если оно настроено (с помощью GPO или MDM). Always display custom recovery message if it has been configured (using GPO or MDM).
2. Всегда показывать универсальную подсказку: «для получения дополнительных сведений перейдите по адресу https://aka.ms/recoverykeyfaq «. Always display generic hint: «For more information, go to https://aka.ms/recoverykeyfaq».
3. Если на томе есть несколько ключей восстановления, следует установить приоритет для последнего созданного (и успешно сохраненного) ключа восстановления. If multiple recovery keys exist on the volume, prioritize the last created (and successfully backed up) recovery key.
4. Определение приоритетов ключей с помощью успешных резервных копий по ключам, которые не были архивированы. Prioritize keys with successful backup over keys that have never been backed up.
5. Определение приоритета подсказок для резервного копирования в указанных ниже случаях для расположения для удаленной архивации: учетная запись майкрософт > Azure AD > Active Directory. Prioritize backup hints in the following order for remote backup locations: Microsoft Account > Azure AD > Active Directory.
6. Если клавиша была распечатана и сохранена в файле, выводится комбинированная подсказка «Поиск распечатки или текстового файла с ключом», а не двумя отдельными подсказками. If a key has been printed and saved to file, display a combined hint, «Look for a printout or a text file with the key,» instead of two separate hints.
7. Если несколько резервных копий одного и того же типа (удаление и локальный) были выполнены для одного и того же ключа восстановления, установите для параметра приоритет резервного копирования значение с последней резервной датой. If multiple backups of the same type (remove vs. local) have been performed for the same recovery key, prioritize backup info with latest backed up date.
8. Нет особой подсказки для ключей, сохраненных в локальной службе каталогов Active Directory. There is no specific hint for keys saved to an on-premises Active Directory. В этом случае пользовательское сообщение (если оно настроено) или универсальное сообщение об ошибке «обратитесь в службу поддержки Организации». In this case, a custom message (if configured) or a generic message, «Contact your organization’s help desk,» will be displayed.
9. Если на диске есть два ключа восстановления, но только один из них успешно создан, система запрашивает ключ, для которого была создана резервная копия, даже если другой ключ новее. If two recovery keys are present on the disk, but only one has been successfully backed up, the system will ask for a key that has been backed up, even if another key is newer.

Пример 1 (один ключ восстановления с единым резервным копированием) Example 1 (single recovery key with single backup)

Результат: Отобразится подсказка для учетной записи Майкрософт и настраиваемого URL-адреса. Result: The hint for the Microsoft Account and custom URL are displayed.

Пример 2 (один ключ восстановления с единым резервным копированием) Example 2 (single recovery key with single backup)

Результат: Отображается только настраиваемый URL-адрес. Result: Only the custom URL is displayed.

Пример 3 (один ключ восстановления с несколькими резервными копиями) Example 3 (single recovery key with multiple backups)

Результат: Отображается только подсказка учетной записи Майкрософт. Result: Only the Microsoft Account hint is displayed.

Пример 4 (несколько паролей восстановления) Example 4 (multiple recovery passwords)

Результат: Отображается только подсказка для ключа, для которого успешно выполнена архивация, даже если она не является последним ключом. Result: Only the hint for a successfully backed up key is displayed, even if it isn’t the most recent key.

Пример 5 (несколько паролей восстановления) Example 5 (multiple recovery passwords)

Результат: Отображается подсказка для последнего ключа. Result: The hint for the most recent key is displayed.

Использование дополнительных сведений для восстановления Using additional recovery information

Кроме 48 цифрового пароля восстановления BitLocker, другие типы данных восстановления хранятся в Active Directory. Besides the 48-digit BitLocker recovery password, other types of recovery information are stored in Active Directory. В этом разделе объясняется, как можно использовать эти дополнительные сведения. This section describes how this additional information can be used.

Пакет ключей BitLocker BitLocker key package

Если методы восстановления, описанные ранее в этом документе, не разблокируют том, вы можете использовать средство восстановления BitLocker для расшифровки тома на уровне блоков. If the recovery methods discussed earlier in this document do not unlock the volume, you can use the BitLocker Repair tool to decrypt the volume at the block level. Средство использует ключевой пакет BitLocker для восстановления зашифрованных данных с сильно поврежденных дисков. The tool uses the BitLocker key package to help recover encrypted data from severely damaged drives. После этого восстановленные данные можно использовать для восстановления зашифрованных данных даже после отказа от правильного пароля восстановления для разблокировки поврежденного тома. You can then use this recovered data to salvage encrypted data, even after the correct recovery password has failed to unlock the damaged volume. Мы рекомендуем сохранить пароль восстановления. We recommend that you still save the recovery password. Ключевой пакет нельзя использовать без соответствующего пароля восстановления. A key package cannot be used without the corresponding recovery password.

Для использования пакета ключей BitLocker необходимо средство восстановления BitLocker — BDE . You must use the BitLocker Repair tool repair-bde to use the BitLocker key package.

Пакет ключей BitLocker не сохраняется по умолчанию. The BitLocker key package is not saved by default. Чтобы сохранить пакет вместе с паролем восстановления в службе доменных служб Active Directory, необходимо выбрать параметр резервное копирование пароля восстановления и пакета ключей в параметрах групповой политики, которые управляют методом восстановления. To save the package along with the recovery password in AD DS you must select the Backup recovery password and key package option in the Group Policy settings that control the recovery method. Вы также можете экспортировать ключевой пакет из рабочего тома. You can also export the key package from a working volume. Дополнительные сведения о том, как экспортировать пакеты ключей, можно найти в разделе Получение пакета ключей BitLocker. For more details on how to export key packages, see Retrieving the BitLocker Key Package.

Сброс паролей восстановления Resetting recovery passwords

После ввода и использования пароля восстановления вы должны стать недействительными. You should invalidate a recovery password after it has been provided and used. Это также необходимо сделать, если вы намеренно хотите аннулировать существующий пароль восстановления по какой – либо причине. It should also be done when you intentionally want to invalidate an existing recovery password for any reason.

Вы можете сбросить пароль восстановления двумя способами: You can reset the recovery password in two ways:

• Использование Manage-bde Вы можете использовать Manage-bde для удаления старого пароля восстановления и добавления нового пароля восстановления. Use manage-bde You can use manage-bde to remove the old recovery password and add a new recovery password. Процедура определяет команду и синтаксис для этого метода. The procedure identifies the command and the syntax for this method.
• Выполнение сценария Вы можете выполнить сценарий для сброса пароля без расшифровки тома. Run a script You can run a script to reset the password without decrypting the volume. Образец сценария, описанный в процедуре, иллюстрирует эту функцию. The sample script in the procedure illustrates this functionality. Образец сценария создает новый пароль восстановления и делает недействительными все прочие пароли. The sample script creates a new recovery password and invalidates all other passwords.

Сброс пароля восстановления с помощью Manage-bde To reset a recovery password using manage-bde

Удаление предыдущего пароля восстановления Remove the previous recovery password

Добавление нового пароля восстановления Add the new recovery password

Получите идентификатор нового пароля восстановления. Get the ID of the new recovery password. На экране скопируйте идентификатор пароля восстановления. From the screen copy the ID of the recovery password.

Создание резервной копии нового пароля восстановления для службы AD DS Backup the new recovery password to AD DS

В строку идентификатора необходимо добавить фигурные скобки. You must include the braces in the ID string.

Выполнение примера сценария восстановления пароля To run the sample recovery password script

Сохраните следующий образец сценария в файле VBScript. Save the following sample script in a VBScript file. Например: ResetPassword. vbs. For example: ResetPassword.vbs.

В командной строке введите следующую команду: At the command prompt, type a command similar to the following:

cscript ResetPassword. vbs cscript ResetPassword.vbs

Этот образец сценария настроен для работы только с Томом C. This sample script is configured to work only for the C volume. Необходимо настроить сценарий таким образом, чтобы он соответствовал тому, на котором вы хотите проверить сброс пароля. You must customize the script to match the volume where you want to test password reset.

Для управления удаленным компьютером вы можете указать имя удаленного компьютера, а не имя локального компьютера. To manage a remote computer, you can specify the remote computer name rather than the local computer name.

Вы можете использовать следующий образец сценария для создания файла VBScript для сброса паролей восстановления. You can use the following sample script to create a VBScript file to reset the recovery passwords.

Получение пакета ключей BitLocker Retrieving the BitLocker key package

Вы можете воспользоваться двумя методами для извлечения ключевого пакета, как описано в разделе Использование дополнительных сведений для восстановления. You can use two methods to retrieve the key package, as described in Using Additional Recovery Information:

• Экспорт ранее сохраненного ключевого пакета из ДОБАВЛЕНных. Export a previously-saved key package from ADDS. Вы должны иметь доступ на чтение к паролям восстановления BitLocker, которые хранятся в ADDS. You must have Read access to BitLocker recovery passwords that are stored in ADDS.
• Экспорт нового ключевого пакета из разблокируемого тома, защищенного BitLocker. Export a new key package from an unlocked, BitLocker-protected volume. Вы должны иметь права локального администратора на доступ к рабочему тому, прежде чем возникнут какие – либо повреждения. You must have local administrator access to the working volume, before any damage has occurred.

В следующем образце сценария выполняется экспорт всех ранее сохраненных пакетов ключей из ADDS. The following sample script exports all previously-saved key packages from ADDS.

Выполнение примера сценария получения ключевого пакета To run the sample key package retrieval script

Сохраните следующий образец сценария в файле VBScript. Save the following sample script in a VBScript file. Например: GetBitLockerKeyPackageADDS. vbs. For example: GetBitLockerKeyPackageADDS.vbs.

В командной строке введите следующую команду: At the command prompt, type a command similar to the following:

cscript GetBitLockerKeyPackageADDS. vbs-? cscript GetBitLockerKeyPackageADDS.vbs -?

Вы можете использовать следующий образец сценария для создания файла VBScript, чтобы получить из ДОБАВЛЕНных пакетов ключей BitLocker. You can use the following sample script to create a VBScript file to retrieve the BitLocker key package from ADDS.

В следующем образце сценария выполняется экспорт нового пакета ключа из незаблокированного зашифрованного тома. The following sample script exports a new key package from an unlocked, encrypted volume.

Выполнение примера сценария получения ключевого пакета To run the sample key package retrieval script

Сохраните следующий образец сценария в файле VBScript. Save the following sample script in a VBScript file. Например: GetBitLockerKeyPackage. vbs For example: GetBitLockerKeyPackage.vbs

Откройте командную строка администратора, введите команду, подобную следующей: Open an administrator command prompt, type a command similar to the following:

Источник