联想 Yoga 920-13ikb bios 5NCN41WW 目前搭载 Win11,可能在过去从 Win10 升级而来,大约从 2017-2018 年起
“您需要输入恢复密钥,因为安全启动策略已意外更改。”
帮助某人修理笔记本电脑,它运行良好,没有问题,我进入 Windows 更新,它有 UEFI/BIOS 固件的可选更新,我这样做了,它说要重新启动。重启后,Bitlocker 进入恢复模式。
PC 所有者从未打印过他们的 Bitlocker 恢复密钥。他们有 2 个 Windows 用户,我只进入了其中一个用户,而且它是一个本地用户,而不是 Microsoft 帐户用户,因此看来无法从 MS 帐户访问 Bitlocker 恢复。我从未见过其他用户,因此它可能是具有同步 Bitlocker 恢复密钥的 MS 帐户,因此我要求 PC 所有者从另一台设备登录他们的 MS 帐户,但我遵循了 MS 的指示,MS 帐户明确表示他们的设置中没有 Bitlocker 同步设备。
PC 所有者可能从未自行设置 Bitlocker,它可能已随联想的 OEM 版 Windows 一起激活。虽然联想并没有发明微软的 Bitlocker,但他们为您提供了已激活 Bitlocker 的 OEM 版 Windows。我查看了 UEFI 中的临时启动菜单,没有联想一键恢复选项。我看到许多计算机在第一次启动 Windows 时就已经激活了 Bitlocker 设备加密。如果是这样,联想最初在哪里提供恢复密钥?他们必须在某个地方将其提供给购买者!
在我看来,理论上,如果我执行 UEFI/BIOS 版本回滚,它将符合 Bitlocker 校验和或 TPM 密钥校验和或任何其他名称。这是真的吗?这样可行吗?
我还希望有一个按钮可以按在某个地方以将 UEFI 恢复为某个版本。如果联想不提供这个明显的功能,那么我的下一个问题是,如果我手动执行 UEFI 回滚,该步骤是否会破坏 TPM 密钥?如果它破坏了 TPM 密钥,那么它将无法解决 Bitlocker 问题。如果我需要从他们的网站下载以前的 UEFI 版本,那么有人知道为什么联想只在他们的网站上提供 1 个 UEFI 版本,如下所示?他们不应该也提供旧版本吗?
我在其他计算机上看到过多种情况,例如,如果我对 EFI 分区进行更改,则会发生 bitlocker 恢复模式,然后如果我恢复更改,bitlocker 恢复模式就会消失。这就是我对 UEFI 回滚的建议。我很清楚 UEFI 主板设置和磁盘上的 EFI 分区之间的区别,没有什么唾手可得的。
最后,当然没有人会对 PC 所有者没有她的文件备份,也没有她的文件的云同步感到惊讶。
我读过一篇与这个问题非常相似的文章:
https://www.theregister.com/2022/08/15/bitlocker_microsoft/
在 Bitlocker 恢复屏幕上,令我惊讶的是,它实际上说出了导致此问题的原因:“您需要输入恢复密钥,因为安全启动策略已意外更改。
答案1
PC 所有者可能从未自行设置 Bitlocker,它很可能来自联想,如果是这样,联想最初在哪里提供恢复密钥?他们必须在某个地方将其提供给购买者!
更有可能的是,它是通过这种方式从 Windows 安装而来的。如果系统配置符合某些要求,Windows 可能会自动尝试启用“设备加密”功能(这就像 Windows Home 甚至具有功能受限版本的 BitLocker)。
据我所知,此模式仅在使用 Microsoft 帐户登录时设置恢复密钥;如果绕过该模式(例如,如果联想预先创建了本地帐户),则可能不会是根本没有恢复密钥。
预装 Windows 的制造商通常根本不会确保恢复密钥的存在,更不用说将其打印出来了。
在我看来,从理论上讲,如果我执行 UEFI/BIOS 版本回滚,它将适合 Bitlocker 校验和、TPM 密钥校验和或任何它被称为的校验和。
仅当 TPM 仍包含原始“存储根密钥”时。许多使用 fTPM(即 CPU 内基于固件的 TPM,而不是独立芯片)的设备往往会在固件降级时清除 TPM 的状态(这样就无法故意降级到存在安全问题的固件),有时甚至在固件升级时也会清除 TPM 的状态。
(TPM 密封的所有数据均使用只有 TPM 本身才拥有的主密钥进行加密,因此如果 TPM 本身已被清除并生成了新的主密钥,它就无法再理解之前密封的数据 - 无论 PCR 哈希值是否相同,如果 TPM 甚至无法查看它们。)
除此之外,请确保其他系统状态仍处于同一位置:如果最初启用了安全启动,请确保它仍然启用。