職場で新しい Windows 10 ラップトップを与えられたのですが、初期セットアップで BitLocker を有効にして PIN を作成する必要がありました。回復キーを作成するように警告されたので、作成しました。これは BitLocker によって回復キーとともに作成されたファイルで、別のデバイスに保存しました。
ラップトップ メーカーとのテクニカル サポートの通話中に、BIOS を更新する必要がありました。その後、BitLocker の PIN を入力しましたが、機能しませんでした。以前に保存した回復キーを入力する必要がありました。ただし、回復キーは有効ではありません。
回復画面に表示される識別子が回復キー ファイル内の識別子と一致しません。これは私が BitLocker を使用した唯一の例です。これは BitLocker をセットアップしたときに生成された回復キー ファイルであることは間違いありません。
BIOS のアップグレードによって識別子の計算方法が変更された可能性はありますか?
これを回避する方法はありますか?
答え1
ファームウェアのアップデートによりファームウェア ROM のハッシュが変更されたため、TPM は暗号化キーの封印を解除できません。実際の暗号化ドライブには影響せず、キーはそのままです。
過去に気付かないうちにマシンが再イメージ化/交換されたか (これによりキーが明らかに変更されました)、回復キー ファイルが一致しませんでした (複数の BitLock ドライブがある可能性があります)。
解決策は、Active Directoryドメインの一部であるコンピュータは、デフォルトでBitLockerキーをADに保存します。会社のITサポートに問い合わせてください。マシンがドメインの一部ではなく、マシンにMicrosoftアカウントが設定されている場合は、次のURLにアクセスしてキーのバックアップが有効になっているかどうかを確認できます。https://onedrive.live.com/recoverykeyコンピューターで使用していたのと同じ Microsoft アカウントでログインします。
最後に、上記のいずれも機能しない場合は、ファームウェアを BitLocker を有効にしたときと同じバージョンにダウングレードしてみてください。これにより、ファームウェア ハッシュが再び一致するようになり、TPM がキーを正常に開封できるようになります。