标题: 务必备份BitLocker恢复密钥 创建: 2024-04-21 10:55 更新: 2024-08-26 15:25 链接: https://scz.617.cn/windows/202404211055.txt 女科学家一个同事,清理PC版微信占用空间时,不知手抖啥了,误删一些系统关键文 件,然后Win11进不去了。很多人帮着恢复,我也尝试过,没戏。她这个系统默认开 启了BitLocker,但她不知道,也就谈不上备份恢复密钥,也不存在启用BitLocker时 将恢复密钥备份到Microsoft帐户的事儿,而且她也忘了云端Microsoft帐户密码。 事后我想了想,她这个笔记本设置完全是给自己找堵,一没有物理开机密码,二没有 Win11登录密码,三却开着BitLocker,这不是防贼,这是尽最大努力坑自己。假设笔 记本丢失,上电开机完事,BitLocker自动解锁,根本防不了贼。现在笔记本没丢, 自己把系统整残后,BitLocker起作用了,想进WRE,仍然提示输入BitLocker恢复密 钥,完全绕不过。 BitLocker对于非专业、非高价值人员来说,十足的噩梦,谁开谁倒霉。几害相权取 其轻,对于搞不清状况的人,还不如缺省禁用BitLocker呢。我的建议是,赶紧查一 下自己是否已经开启了BitLocker,若已开启,禁了拉倒。 有很多办法检查当前系统是否开启BitLocker,现在GPT这么发达,就算不放狗,放个 GPT也成。其中一种检查办法是,开一个管理员级cmd,执行: manage-bde -status | more 每个盘可以独立启用、禁用BitLocker,可以各自拥有不同的恢复密钥。优先检查C盘 BitLocker状态: manage-bde -status C: 下面是中英双版BitLocker禁用状态的C盘示例 -------------------------------------------------------------------------- 卷 C: [SYSTEM] [OS 卷] 大小: X.Y GB BitLocker 版本: 无 转换状态: 完全解密 已加密百分比: 0.0% 加密方法: 无 保护状态: 保护关闭 锁定状态: 已解锁 标识字段: 无 密钥保护器: 找不到 -------------------------------------------------------------------------- Volume C: [SYSTEM] [OS Volume] Size: X.Y GB BitLocker Version: None Conversion Status: Fully Decrypted Percentage Encrypted: 0.0% Encryption Method: None Protection Status: Protection Off Lock Status: Unlocked Identification Field: None Key Protectors: None Found -------------------------------------------------------------------------- 假设C盘已启用BitLocker,如下命令将禁用C盘BitLocker: manage-bde -off C: 有多种方式全局禁用BitLocker,这里只说其中一种: -------------------------------------------------------------------------- 设置 更新和安全 设备加密 -------------------------------------------------------------------------- 在这里全局禁用BitLocker,所有盘符BitLocker都将被禁用。 若不想禁用某盘BitLocker,又担心其中数据无法还原,那么趁系统还好着,立即备 份BitLocker恢复密钥到U盘,存入其他安全可靠之处,反正不能是当前电脑。点击 Windows开始按钮并键入BitLocker,从搜索结果中选择「管理BitLocker控制面板」, 在其中针对每个启用BitLocker的驱动器分别备份恢复密钥。也可命令行备份恢复密 钥,比如: manage-bde -protectors -get C: -Type RecoveryPassword > U:\path\Key_C.bak Key_C.bak是个TXT,其中内容形如: -------------------------------------------------------------------------- BitLocker 驱动器加密恢复密钥 要验证这是否为正确的恢复密钥,请将以下标识符的开头与电脑上显示的标识符值进行比较。 标识符: 235974A9-779B-43C2-9589-4A9BF165B4A5 如果以上标识符与电脑显示的标识符匹配,则使用以下密钥解锁你的驱动器。 恢复密钥: 117238-509905-579238-683639-555929-339427-065978-625636 如果以上标识符与电脑显示的标识符不匹配,则该密钥不是解锁你的驱动器的正确密钥。 请尝试其他恢复密钥,或参阅 https://go.microsoft.com/fwlink/?LinkID=260589 以获得其他帮助。 -------------------------------------------------------------------------- 内容中的"恢复密钥"是关键,保存这个TXT的主要目的是保存"恢复密钥"。可将恢复 密钥备份到云端Microsoft帐户,这个GUI操作吧。 此外,有过一些其他技术讨论,参看: 《BitLocker+VHD替换TrueCrypt及其后继VeraCrypt》 https://scz.617.cn/windows/202011131621.txt 不是说BitLocker不好,而是大多数时候,你没那么重要!本文针对非专业、非高价 值人员提出建议。最后,你要觉得自己很专业、很重要,爱啥啥,别跟我叽歪,整你 的活儿就是。 2024-08-26 15:25 BitLocker recovery without recovery keys https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-without-recovery-keys-2.0.pdf CrowdStrike前段时间全球闯祸后,提供了一份应急文档,提及一种处理BitLocker的 方案。此方案不适用于前述案例,但记录在此,以备其他不时之需。 -------------------------------------------------------------------------- If the affected system is configured to use RAID, the Storage Controllers within the BIOS of a system must first be changed from RAID to AHCI. During boot, load the BIOS options and adjust as appropriate. 1. Navigate to Troubleshoot > Advanced Options > Startup Settings 2. Press Restart 3. Skip the first Bitlocker recovery key prompt by pressing Esc 4. Skip the second Bitlocker recovery key prompt by selecting "Skip This Drive" in the bottom right 5. Navigate to Troubleshoot > Advanced Options > Command Prompt 6. Type "bcdedit /set {default} safeboot minimal", then press Enter 7. Close the command prompt window by clicking the X in the top right. This will return you back to the blue screen (WinRE main menu) 8. Select Continue Your PC should now boot into safe mode. 1. Select Other User from the bottom left-hand side of the screen 2. At the Login screen: Login with your local Admin credentials (normal credentials) 3. Select Login 4. Do what you want to do 5. Open command prompt (as administrator) 6. Type "bcdedit /deletevalue {default} safeboot", then press Enter 7. Restart as normal, confirm normal behaviour -------------------------------------------------------------------------- 若在应急界面能看到"Skip This Drive",则可尝试上述方案。