为什么我的 Surface Pro 要求输入 BitLocker 恢复密钥？

你面临的情况

Microsoft Surface 系列设备均采用以下加密方式：BitLocker或者设备加密（基本上是不可自定义的 BitLocker）。这种加密根本不依赖用户密码。（它可以，但实际上没有。）相反，它依赖于存储在防篡改的恢复密钥中可信平台模块（TPM）芯片集成到设备中。

我还假设安全启动已在 Surface Pro 上启用。TPM 和安全启动所做的一件事是防止未经授权的启动配置修改。这是可以有效阻止 bootkit（启动 rootkit）和勒索软件的事情之一。当他们确定启动路径可能已被破坏时，TPM 拒绝向引导加载程序提供 BitLocker 恢复密钥。（没有人希望 bootkit 收到他/她的恢复密钥。）Linux 爱好者已经知道这两者，因为生活在 Linux 世界中需要技术专长的极客。因此，当他们安装 Linux（这肯定需要更改启动配置）时，他们会提前禁用 BitLocker（有时是安全启动）。

别误会：人们喜欢这一切；他们的数据更安全了。唯一的例外是记者群体，他们既喜欢这一切，又喜欢诋毁这一切，因为这是他们的工作。

现在做什么？

幸运的是，如果您的 TPM 出现故障，Microsoft 已采取安全措施：我之前提到的恢复密钥是在 Surface Pro 首次打开时的开箱体验 (OOBE) 序列中生成的，并且仅当您选择使用 Microsoft 帐户登录时才会生成。如果没有它，设备加密就不会强制执行。然后，此恢复密钥将上传到您的 Microsoft 帐户，并且不会在没有您的明确命令的情况下被删除。您可以使用此 URL 找到它：

https://account.microsoft.com/devices/recoverykey

这就是微软的默认配置。但是如果你自己启用了 BitLocker...哦，好吧，没关系；你说过你没有启用。

使用此密钥，您可以从加密磁盘启动 Windows。在 Windows 中，您可以禁用 BitLocker/设备加密并继续安装 Linux。但请注意：Linux 意味着生活在前沿。如果您没有足够的技术知识，其他一些技术难题可能会威胁您的数字生活。所以，我建议做好备份。

你一定不能做的事情

不要尝试通过 UEFI 禁用或重置 TPM。它不会授予您访问权限。（请这样想：如果您的笔记本电脑被盗，您肯定不希望窃贼通过简单的 BIOS 调整获得任何访问权限，对吧？）如果您这样做，即使您可以撤消以某种方式生效的配置不匹配，您的基于 TPM 的唯一密钥也将永远丢失。

您的恢复密钥可能存储在您的 Microsoft 帐户中。

https://support.microsoft.com/en-gb/help/4026181/windows-10-find-my-bitlocker-recovery-key

如果您尚未备份恢复密钥，您的数据将无法访问。

昨晚我使用 2 台 Surface Book Pro 2 时学到了这一点。默认情况下，Bitlocker 已安装。用户不知道，也不会提供任何代码。当我将 BIOS 中的安全设置更改为无时，我能够启动 Linux USB。但是，当我返回使用没有 USB 的设备时，系统提示我输入 Bitlocker 密钥以访问设备上的 Windows 帐户。在与 Microsoft 聊天 4 小时后，他们给出的建议与我在 90 年代中期得到的建议类似，“重新安装，重新开始，丢失所有数据”。我喜欢将新的 Bitlocker 密钥请求屏幕称为 2020 年蓝屏死机。这是一样的，只是更有趣了。

那么为什么我无法访问密钥呢？因为微软在登录时没有存储它们。这实际上是在安装过程中完成的，当消费者收到预装的 Surface 时，你猜对了，微软提供的恢复 URL 上的用户端不存在密钥。

因此，教训是，如果您想在表面上启动非 Windows 可启动 USB，请确保您计划一起删除 Windows 和驱动器。

如果这只是 BIOS 中的一个故障，而设备从未真正加密过，则需要在 BIOS 中撤消 BitLocker。

这是启动到 BIOS 的过程，以便找到禁用 BitLocker 或重置 BIOS 的方法。

要启动 Microsoft Surface 3 平板电脑的 BIOS，请按照以下说明操作：

1. 关闭 Surface – 重新启动是不够的
2. 按住“调高音量”按钮（位于平板电脑左侧）
3. 按住电源按钮五秒钟（位于平板电脑顶部）
4. 五秒后松开电源按钮但继续按住音量按钮直到看到 BIOS UEFI。