Cách phá password UEFI các dòng máy Surface hiệu quả nhất
- Surface Plus – Nơi mua sắm Surface chính hãng, giá tốt, bảo hành dài hạn
- TOP 10 phần mềm gỡ cài đặt miễn phí tốt nhất cho máy tính, PC
- Surface Pro 10 và Surface Laptop 6 ra mắt: Nâng cấp mạnh về vi xử lý, chưa bán đại trà
- Surface Pro 10 & Surface Laptop 6 ra mắt: Nâng cấp chip Intel Core Ultra, nhưng tốt nhất bạn đừng nên mua
Yêu cầu khoá khôi phục BitLocker sau khi cài đặt cập nhật cho Surface UEFI hoặc phần mềm TPM trên thiết bị Surface
Quan trọng
Bài viết này cung cấp thông tin hướng dẫn cách giảm cài đặt bảo mật hoặc tắt các tính năng bảo mật trên máy tính Bạn có thể thực hiện những thay đổi này để giải quyết một vấn đề cụ thể. Trước khi bạn thực hiện những thay đổi này, chúng tôi khuyên bạn nên đánh giá những rủi ro liên quan đến việc áp dụng cách này trong môi trường riêng của bạn. Nếu bạn áp dụng cách này, hãy tiến hành các bước bổ sung thích hợp để giúp bảo vệ máy tính.
Triệu chứng
Bạn gặp một hoặc nhiều hơn các hiện tượng sau trên thiết bị Surface của mình:
- Lúc khởi động, bạn được yêu cầu nhập khoá khôi phục BitLocker và đã điền khoá khôi phục chính xác, nhưng Windows vẫn không thể khởi động.
- Bạn khởi động trực tiếp vào Giao diện Phần mềm Mở rộng Hợp nhất (UEFI) trên Surface.
- Thiết bị Surface của bạn dường như liên tiếp khởi động lại.
Nguyên nhân
Vấn đề này có thể xảy ra ở một trong các kịch bản sau:
- BitLocker được kích hoạt và cấu hình để sử dụng những giá trị của Đăng ký Cấu hình Nền tảng (PCR) thay vì các giá trị mặc định của PCR 7 và PCR 11, ví dụ như khi:
- Khởi động An toànbị tắt.
- Giá trị PCR đã được xác định rõ ràng, chẳng hạn bởi Chính sách nhóm.
- Bạn cài đặt bản cập nhật phần mềm để cập nhật phần mềm của thiết bị TPM hoặc thay đổi chữ ký của phần mềm hệ thống. Ví dụ, bạn cài đặt bản cập nhật Surface dTPM (IFX).
Lưu ý bạn có thể kiểm tra giá trị PCR sử dụng trên thiết bị bằng cách chạy lệnh sau từ dấu nhắc lệnh nâng cao:
manage-bde.exe -protectors -get <OSDriveLetter>:
Lưu ý PCR 7 được yêu cầu trong các thiết bị có hỗ trợ Kết nối ở Chế độ chờ (còn được gọi là InstantGO hoặc Luôn Bật, Luôn Kết nối với Máy tính), bao gồm các thiết bị Surface. Trên các hệ thống đó, nếu TPM, PCR 7 và Khởi động An toàn được cấu hình đúng cách, BitLocker theo mặc định sẽ liên kết với PCR 7 và PCR 11. Để biết thêm thông tin, xem “Đăng ký Cấu hình Nền tảng (PCR)” tại Cài đặt Chính sách Nhóm cho BitLocker.
Cách giải quyết
Cảnh báo
Mã hóa ổ đĩa BitLocker giúp bạn bảo vệ những thông tin nhạy cảm của tổ chức bằng cách mã hoá dữ liệu. Giải pháp này tạm thời vô hiệu hoá BitLocker có thể đặt dữ liệu vào tình thế nguy hiểm. Chúng tôi không khuyến nghị sử dụng cách này nhưng chúng tôi cung cấp thông tin này để bạn có thể áp dụng cách này theo lựa chọn riêng của bạn. Bạn cần tự cân nhắc rủi ro khi sử dụng giải pháp này.
Phương pháp 1: Tạm ngưng BitLocker trong khi cập nhật phần mềm TPM hoặc UEFI
Bạn có thể tránh kịch bản này xảy ra khi cài đặt bản cập nhật phần mềm hệ thống hoặc phần mềm TPM bằng cách tạm ngừng BitLocker trước khi cập nhật phần mềm TPM hoặc UEFI bằng cách sử dụng Tạm ngưng BitLocker.
Lưu ý Cập nhật phần mềm TPM và UEFI cần khởi động lại nhiều lần trong quá trình cài đặt. Vì vậy, việc tạm ngưng BitLocker phải được thực hiện thông qua lệnh ghép ngắn Suspend-BitLocker và sử dụng tham số Đếm số lần Khởi động lại để chỉ định số lần khởi động lại lớn hơn 2 nhằm giữ BitLocker ngưng hoạt động trong quá trình cập nhật phần mềm. Số lần Khởi động lại là 0 sẽ tạm ngưng BitLocker vô thời hạn cho đến khi BitLocker được khôi phục thông qua lệnh ghép ngắn PowerShell Resume-BitLocker hoặc một cơ chế khác.
Tạm ngưng BitLocker để cài đặt bản cập nhật phần mềm TPM hoặc UEFI:
- Mở một phiên bản PowerShell với tư cách quản trị viên.
- Nhập lệnh ghép ngắn sau và nhấn Enter:
Suspend-BitLocker -MountPoint “C:” -RebootCount 0
trong đó C: là ổ đĩa được gán cho đĩa của bạn
- Cài đặt bản cập nhật trình điều khiển và phần mềm cho thiết bị Surface.
- Sau khi cài đặt thành công các bản cập nhật phần mềm, khôi phục BitLocker bằng cách sử dụng lệnh ghép ngắn Resume-BitLocker như sau:
Resume-BitLocker -MountPoint “C:”
Phương pháp 2: Kích hoạt khởi động an toàn và khôi phục giá trị mặc định của PCR.
Chúng tôi khuyên bạn nên khôi phục cấu hình mặc định và Khởi động An toàn cũng như các giá trị PCR sau khi BitLocker bị tạm ngừng hoạt động để tránh tình trạng Khôi phục BitLocker khi cài đặt các bản cập nhật trong tương lai cho phần mềm TPM hoặc UEFI.
Để kích hoạt Khởi động an toàn trên thiết bị Surface có bật BitLocker:
- Tạm ngưng BitLocker bằng cách sử dụng lệnh ghép ngắn Suspend-BitLocker như mô tả trong phương pháp 1.
- Khởi động thiết bị Surface vào UEFI bằng cách sử dụng một trong các phương pháp được định sẵn trong Sử dụng Surface UEFI trên máy tính xách tay Surface,Surface Pro mới, Surface Studio, Surface Book và Surface Pro 4.
- Chọn mục Bảo mật.
- Nhấp vào Thay đổi cấu hình trong “Khởi động An toàn.”
- Chọn Chỉ Microsoft và nhấp OK.
- Chọn Thoát, và sau đó Khởi Động để khởi động lại thiết bị.
- Khôi phục BitLocker bằng cách sử dụng lệnh ghép ngắn Resume-BitLocker như mô tả trong Phương pháp 1.
Để thay đổi các giá trị PCR đã được sử dụng để xác nhận Mã hóa ổ đĩa BitLocker:
- Vô hiệu hoá bất kỳ Chính sách nhóm nào đã đặt cấu hình cho PCR, hoặc loại bỏ thiết bị từ bất kỳ nhóm nào đang áp dụng những chính sách như vậy. Xem “Tuỳ chọn triển khai” trong Tham khảo Chính sách Nhóm BitLocker để biết thêm thông tin.
- Tạm ngưng BitLocker bằng cách sử dụng lệnh ghép ngắn Suspend-BitLocker như mô tả trong phương pháp 1.
- Khôi phục BitLocker bằng cách sử dụng lệnh ghép ngắn Resume-BitLocker như mô tả trong Phương pháp 1.
Phương pháp 3: Loại bỏ lớp bảo vệ khỏi ổ đĩa khởi động
Nếu bạn đã cài đặt bản cập nhật TPM hoặc UEFI và thiết bị của bạn không thể khởi động ngay cả khi đã nhập đúng khoá khôi phục BitLocker thì bạn có thể khôi phục khả năng khởi động bằng cách sử dụng khoá khôi phục BitLocker và hình ảnh phục hồi Surface để loại bỏ bảo vệ BitLocker khỏi ổ đĩa khởi động.
Để loại bỏ bảo vệ khỏi ổ đĩa khởi động bằng cách sử dụng khóa khôi phục BitLocker:
- Lấy khóa khôi phục BitLocker từ go.microsoft.com/fwlink/p/?LinkId=237614 hoặc nếu BitLocker được quản lý bằng các phương thức khác như Quản trị và Giám sát BitLocker Microsoft (MBAM) thì hãy liên hệ với quản trị viên của bạn.
- Từ máy tính khác, tải xuống hình ảnh khôi phục Surface từ Tải xuống hình ảnh khôi phục cho thiết bị Surface của bạnvà tạo ổ đĩa USB khôi phục.
- Khởi động từ ổ đĩa USB phục hồi hình ảnh Surface.
- Chọn ngôn ngữ cho hệ điều hành của bạn khi được hỏi.
- Chọn cách bố trí bàn phím.
- Chọn Khắc phục sự cố.
- Chọn TÙy chọn nâng cao.
- Chọn Dấu nhắc Lệnh.
- Chạy lệnh sau:
manage-bde -unlock -recoverypassword <password>C:
manage-bde -protectors -disable C:
trong đó C: là ổ đĩa được gán cho đĩa của bạn và <password> là khóa khôi phục BitLocker của bạn như đã nhận được trong bước 1.
Lưu ý Để biết thêm thông tin về cách sử dụng lệnh này, hãy xem bài viết Microsoft Docs Manage-bde: unlock.
- Khởi động lại máy tính.
- Khi được hỏi, bạn hãy nhập khóa phục hồi BitLocker như đã nhận được trong bước 1.
Lưu ý Sau khi vô hiệu hoá bảo vệ của BitLocker khỏi ổ đĩa khởi động, thiết bị của bạn sẽ không còn được bảo bảo vệ bởi Mã hóa Ổ đĩa BitLocker. Bạn có thể bật lại BitLocker bằng cách chọn Khởi động, nhập Quản lý BitLocker và nhấn Enter để khởi động Giao diện Điều khiển Mã hóa Ổ đĩa BitLocker và thực hiện theo các bước để mã hóa ổ đĩa của bạn.
Phương pháp 4: Khôi phục dữ liệu và khởi động lại thiết bị của bạn với Surface Bare Metal Recovery (BMR)
Để khôi phục dữ liệu từ thiết bị Surface của bạn khi bạn không thể khởi động vào Windows:
- Lấy khóa khôi phục BitLocker từ https://go.Microsoft.com/fwlink/p/?LinkId=237614, hoặc nếu BitLocker được quản lý bằng các phương thức khác như Quản trị và Giám sát BitLocker Microsoft (MBAM), hãy liên hệ với quản trị viên của bạn.
- Từ một máy tính khác, tải về hình ảnh phục hồi của Surface từ Tải về hình ảnh phục hồi cho thiết bị Surface của bạn và tạo ra một ổ đĩa USB phục hồi.
- Khởi động từ ổ đĩa USB phục hồi hình ảnh Surface.
- Chọn ngôn ngữ cho hệ điều hành của bạn khi được hỏi.
- Chọn cách bố trí bàn phím.
- Chọn Khắc phục sự cố.
- Chọn TÙy chọn nâng cao.
- Chọn Dấu nhắc Lệnh.
- Chạy lệnh sau:
manage-bde -unlock –recoverypassword <password> C:
trong đó C: là ổ đĩa được gán cho đĩa của bạn và <password>là khóa khôi phục BitLocker như đã nhận được ở bước 1
- Sau khi ổ đĩa được mở khóa, sử dụng lệnh copy hoặc xcopy để sao chép dữ liệu người dÙng sang ổ đĩa khác.
Để cài lại thiết bị của bạn bằng cách sử dụng hình ảnh khôi phục Surface: Làm theo các hướng dẫn trong “Cách cài lại thiết bị Surface của bạn bằng cách sử dụng ổ đĩa USB khôi phục” khi Tạo và sử dụng ổ đĩa khôi phục USB.