Bitlocker 无法开启或提示使用 Windows 10、UEFI 和 TPM 1.2 固件重新启动恢复密钥

在安装 Windows 10 并针对 UEFI BIOS 模式进行配置的戴尔系统上，当系统重新启动时，BitLocker 可能会遇到无法开启或提示输入恢复密钥的问题。在系统也无法支持将 TPM 固件从版本 1.2 刷新至版本 2.0 时，可能会发生这种情况。本文介绍的解决方案可用于配置 BitLocker，以便在那些支持 Windows 10/UEFI 且不支持固件升级到 TPM 2.0 的戴尔系统上与 TPM 1.2 固件配合使用。

每次使用 Windows 10、UEFI 和 TPM 1.2 固件重新启动后，BitLocker 无法开启或提示输入恢复密钥

Latitude 12 Rugged （7202） 是随附 Windows 10/UEFI 和 TPM 1.2 固件的平板电脑的示例。默认情况下，BitLocker 在此配置中不起作用，并且此平台不支持 TPM 1.2-2.0<> 模式更改。下面的分辨率已针对 7202 进行了测试，通过将 BitLocker 配置文件中的 PCR 索引修改为默认 UEFI 选择，允许在 UEFI 模式下将 BitLocker 与 TPM 1.2 配合使用。

其他一些系统型号附带Windows 7降级和TPM 1.2固件并完全支持升级到Windows 10，但不允许TPM 1.2-2.0<>模式更改。

不适用

解决问题的步骤

1. 如果启用了 BitLocker，则从 Manage BitLocker 窗格中禁用 BitLocker，并等待解密完成：
   • 单击 开始 并键入 manage BitLocker ，然后选择顶部搜索结果（图 1）：

     
     图 1：管理 BitLocker 搜索结果

   • 从 BitLocker 驱动器加密控制面板 窗格中，选择 关闭 BitLocker （图 2）：

     
     图 2：BitLocker 驱动器加密控制面板

   • 单击关闭 BitLocker 以确认（图 3）：

     
     图 3：关闭 BitLocker 确认

2. 转至开始并搜索 gpedit.msc，然后单击顶部搜索结果，以在新窗口中打开本地组策略编辑器。
3. 在左侧列中，浏览至 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 （图 4）：

   
   图 4：操作系统驱动器文件夹

4. 然后在右侧，双击 配置 TPM 平台验证配置文件 以打开配置（图 5）：

   
   图 5：配置 TPM 平台验证配置文件设置

5. 选择表示已启用的单选按钮。
6. 清除除 0、2、4 和 11 以外的所有 PCR（图 6）：

   
   图 6：已启用的 PCR 设置

   提醒：在更改 PCR 值之前，必须禁用 BitLocker。如果这些组件中的任何一个在 BitLocker 保护生效时发生更改，则 TPM 将不会释放加密密钥来解锁驱动器，而且计算机将显示 BitLocker 恢复控制台。
7. 依次选择应用和确定以关闭 gpedit。
8. 开启 BitLocker 并在加密完成后重新启动。

推荐的文章

以下是您可能会感兴趣的与此主题相关的一些推荐文章。

• BitLocker 在对接或断开连接时，每次在 USB-C 或 Thunderbolt 计算机上启动时都要求使用恢复密钥
• 戴尔计算机上的自动 Windows 设备加密或 BitLocker
• BitLocker 提示输入恢复密钥，而您找不到密钥
• TPM PCR 验证错误导致启动时 BitLocker 恢复
• 解决戴尔 PC 上 BitLocker 加密过程中出现的 TPM 错误