Вимкнути BitLocker перед перевстановленням? Крок, який пропускають

February 8, 2026 • February 8, 2026 • Читання: 5 хв • Views: 0

Було корисно?

Більшість невдалих перевстановлень Windows відбуваються не через помилку інсталятора. Вони трапляються тому, що хтось змінив ланцюжок завантаження, поки BitLocker уважно спостерігав. Ви перезавантажуєтеся й бачите запит на recovery-key, який не можете задовольнити, або «стерли й перевстановили», а виявляється, що ноутбук перетворився на зашифровану цеглину, яку ніхто не може розблокувати.

Якщо ви керуєте флотом пристроїв, це ще гірше: один пропущений крок перетворюється на бурю звернень до служби підтримки, інцидент з комплаєнсом і тиждень «у кого є recovery key» археології. BitLocker — хороша система безпеки. Вона також надзвичайно буквальна.

Крок, який пропускають (і чому це боляче)

Пропущений крок — це не «мати резервну копію». Це навіть не «експортувати драйвери». Це перевірка стану BitLocker і або призупинення, або вимкнення BitLocker перед будь-якою зміною, що впливає на процес завантаження: перевстановлення, перевображення образу, оновлення BIOS, скидання TPM, перемикання Secure Boot, клонування диска, зміни розділів або заміна материнської плати.

Люди пропускають це, бо BitLocker зазвичай мовчить. Коли він «щасливий», він невидимий. Така невидимість приучає адміністраторів і просунутих користувачів ставитися до нього як до чекбоксу, а не як до криптографічної політики, що реалізується апаратно.

Операційна істина така: BitLocker — це не абстрактне «шифрування диска». Це набір ключів, захищених засобами захисту (TPM, PIN, recovery password, startup key), які видаються за умов. Перевстановлення Windows часто змінює ці умови. Тож BitLocker робить саме те, для чого створений: не видає ключ.

Якщо пощастить, ви отримаєте запит відновлення і ключ десь існує. Якщо ні — отримаєте просто простої, втрату даних або і те, й інше.

Цитата для стіни: «Сподівання — не стратегія.» — парафраз вислову, приписуваного Gene Kranz. Управління recovery-ключами BitLocker — місце, де сподівання помирають.

Що насправді означає «відключити»

У реальних середовищах фраза «відключити BitLocker» може означати три різні дії:

Призупинити захист: шифрування залишається, але засоби захисту тимчасово відключаються, щоб перезавантаження/зміни завантаження не викликали recovery.
Вимкнути BitLocker (дешифрувати): том розшифровується. Це повільніше, але повністю знімає шифрування.
Стерти диск: якщо ви збираєтеся надійно знищувати дані, декодувати не обов’язково; треба впевнитися, що після робочого процесу стирання ви не залишитеся з незавантажуваним зашифрованим томом.

Використовуйте відповідний варіант для завдання. Неправильний вибір — шлях до «простого перевстановлення», яке перетворюється на чергу заявок і календарне запрошення.

Жарт №1

BitLocker як міцний охоронець, що ніколи не забуває обличчя. Зміните зачіску (тобто налаштування Secure Boot) — і раптом ви «не в списку».

Поводження BitLocker простими операційними словами

BitLocker захищає Volume Master Key (VMK), який відкриває Full Volume Encryption Key (FVEK). VMK охороняють ваші захисники. Більшість сучасних корпоративних ноутбуків покладається на захист TPM, часто в комбінації з вимірами Secure Boot і іноді PIN-кодом.

Коли Windows завантажується, вона намагається розпечатати VMK з TPM. TPM розпечатує його лише якщо виміри відповідають очікуваним (значення PCR, стан Secure Boot, цілісність завантажувача тощо). Перевстановлення часто змінює файли завантажувача, записи BCD, GUID розділів і іноді політику Secure Boot. Для TPM це — інша машина.

Практичні наслідки:

Перевстановлення Windows може викликати recovery, навіть якщо диск не переміщувався. Змінилися компоненти завантаження.
Клонування зашифрованого диска на інший пристрій — не трюк. TPM на новому пристрої не розпечатає ключ.
Оновлення BIOS/UEFI може викликати recovery, якщо захист не був призупинений заздалегідь.
«Просто скинути TPM» — це шлях до втрати даних, якщо не підтверджено наявність recovery-ключів і захисників.

Найгірші збої виникають при мішанні робочих процесів: використали OEM-інструменти відновлення, потім переключилися на Windows Setup USB, потім спробували Intune Autopilot reset. Кожен крок штовхає ланцюжок завантаження в інший бік. BitLocker це бачить.

Цікаві факти та історія, які пояснюють сучасні сценарії збоїв

BitLocker з’явився з Windows Vista (2007), і раннє впровадження було сильно орієнтоване на TPM — безпека базувалася на «апаратному корені довіри» задовго до того, як це стало модно.
У епоху Vista часто використовували TPM + USB-ключі, бо TPM-only вважали ризикованим у деяких організаціях. Це спадщина, через яку досі бачите опції «startup key» у інструментах.
Microsoft представив Device Encryption на деяких споживчих пристроях — воно виглядає як BitLocker, але інтерфейс і налаштування за замовчуванням інші. Ось чому домашні користувачі часто шоковані, що шифрування ввімкнулося «саме по собі».
Recovery-ключі пройшли шлях від «друк і файл» до «ескроу у каталогах» (AD DS, а згодом Azure AD/Entra ID). Зміна вирішила одну проблему й породила іншу: збої ескроу тепер — прихований операційний борг.
Впровадження Secure Boot (UEFI) змінило гру вимірів. Інтегрованість завантаження покращилася, але тепер невеликі зміни у налаштуваннях прошивки мають реальні наслідки для розпечатування ключів.
Пристрої з Modern Standby підштовхнули виробників до завжди увімкненого шифрування, бо стани сну й швидке відновлення підвищили ризик крадіжки і знизили тертя для увімкнення шифрування.
Windows 10/11 «Reset this PC» еволюціонував кілька разів. Деякі версії справляються з BitLocker коректно; деякі поєднання OEM-розділів, WinRE і політик — ні.
NVMe та швидкі SSD зробили повно-дискове шифрування «дешевим». Ось чому шифрування тепер — очікування за замовчуванням: більше систем постачається зашифрованими, отже більше перевстановлень стикається з цим.
Адаптація TPM 2.0 пришвидшилася з вимогами Windows 11. Більше пристроїв тепер покладаються на захист TPM; більше пристроїв опиняться в recovery, якщо ви торкаєтеся ланцюжка завантаження без призупинення.

Призупинити vs вимкнути vs стерти: дерево рішень

Ось мій орієнтовний набір правил для виробничих флотів:

1) Якщо ви хочете зберегти дані й перевстановлюєте на тій самій машині

Призупиняйте BitLocker перед будь-якими діями. Все одно підтвердьте наявність recovery-ключа. Потім перевстановлюйте. Після успіху знову вмикайте захист. Призупинення швидше і зберігає шифрування.

2) Якщо передаєте власність, віддаєте новому працівнику або утилізуєте пристрій

Не витрачайте час на розшифрування лише щоб стерти. Перевірте, що можете безпечно стерти, і виконайте належний процес очистки. BitLocker може бути частиною історії утилізації, але тільки якщо впевнені, що ключі не відновлюються й процес відповідає політиці.

3) Якщо змінюєте материнську плату/TPM або підозрюєте проблеми з TPM

Зробіть резервну копію recovery-ключа, потім вимкніть BitLocker (розшифруйте), якщо вам потрібен доступ після заміни апаратури без drama з recovery-ключами. Якщо не розшифруєте — ставите на карту всі дані, покладаючись на наявність ключа та правильну післязмінну конфігурацію завантаження.

4) Якщо ви налагоджуєте дивні цикли завантаження/відновлення

Перестаньте гадати. Перевірте захисники і статус. Підтвердьте, чи бачите звичайний запит на відновлення, чи маєте змішане середовище (кілька записів ОС, змінений PCR-профіль, перемикання Secure Boot, невідповідність WinRE).

Швидкий посібник діагностики

Це порядок дій «зупинити кровотечу», коли вам пишуть: «Ноутбук просить ключ BitLocker після перевстановлення» або «Реімедж завис у відновленні».

Перший крок: визначте, з чим маєте справу

Чи це BitLocker recovery (синій екран з 48-значним ключем), чи пароль Windows, чи пароль BIOS?
Чи машина домен-джоін, Entra-джоін чи ні? Це визначає, де може бути ескроу-ключ.
Чи змінювали вони налаштування прошивки (Secure Boot, UEFI/Legacy, скидання TPM)? Це класичні тригери.

Другий крок: перевірте ескроу-ключ перед будь-якими діями

Підтвердьте, що recovery-ключ існує у очікуваній системі (AD DS, Entra/MDM портал, нотатки в тікеті або захищений сейф).
Якщо ключа немає, швидко вирішіть: нам потрібне відновлення даних чи можна стерти й перевстановити?

Третій крок: визначте найшвидший шлях для відновлення сервісу

Якщо ключ є: використайте його, завантажтеся, потім призупиніть і відновіть BitLocker, щоб правильно перев’язати ключі.
Якщо ключа немає і дані некритичні: стерти диск і перевстановити чисту систему.
Якщо ключа немає і дані важливі: зупиніться. Ескалюйте на рішення по відновленню даних (часто «невідновлювано», якщо ключі зникли).

Практичні завдання з командами, виводами та рішеннями (12+)

Нижче — завдання, які я реально виконую (або доручаю співробітникам) щоб уникнути катастроф при перевстановленнях через BitLocker. Команди — Windows-native. Виводи — репрезентативні. Ваші цифри можуть відрізнятися; сенс — ні.

Завдання 1: Перевірити стан BitLocker на всіх томах

cr0x@server:~$ manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.22621
Copyright (C) Microsoft Corporation. All rights reserved.

Volume C: [OS]
[OS Volume]
    Size:                 475.50 GB
    BitLocker Version:    2.0
    Conversion Status:    Fully Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 256
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: None
    Key Protectors:
        TPM

Що означає вивід: C: зашифровано й захист активно застосовується.

Рішення: Якщо плануєте перевстановлення — спочатку призупиніть (Завдання 4) або розшифруйте (Завдання 6) в залежності від сценарію.

Завдання 2: Підтвердити, чи у вас тільки TPM (або щось суворіше)

cr0x@server:~$ manage-bde -protectors -get C:
BitLocker Drive Encryption: Configuration Tool version 10.0.22621

Volume C: [OS]
All Key Protectors

    TPM:
      ID: {6F9C3D5A-18E7-4DB5-AF8E-8A7F7B0D0A01}

    Numerical Password:
      ID: {C0A0D96D-1AC8-4F2E-9B2E-5B4A10B9DD22}
      Password:
        123456-123456-123456-123456-123456-123456-123456-123456

Що означає вивід: Є TPM-захисник, а також захисник у вигляді recovery password (добре).

Рішення: Якщо recovery password відсутній — зупиніться і додайте його (Завдання 3) перед перевстановленням.

Завдання 3: Додати захисник recovery password (якщо відсутній)

cr0x@server:~$ manage-bde -protectors -add C: -recoverypassword
BitLocker Drive Encryption: Configuration Tool version 10.0.22621

Volume C: [OS]
A numerical password protector was added to volume C:.
Numerical Password:
  654321-654321-654321-654321-654321-654321-654321-654321

Що означає вивід: Тепер у вас є recovery-ключ, який може розблокувати C:, якщо TPM не зможе розпечатати ключ.

Рішення: Збережіть/ескроуйте цей ключ згідно з політикою перед будь-яким перевстановленням. Якщо не можете зберегти — ви не готові.

Завдання 4: Призупинити захист BitLocker для перевстановлення (швидко, відновлювано)

cr0x@server:~$ manage-bde -protectors -disable C:
BitLocker Drive Encryption: Configuration Tool version 10.0.22621

Volume C: [OS]
Key protectors are disabled for volume C:.

Що означає вивід: Шифрування залишається, але BitLocker не буде застосовувати захисники під час завантаження, поки не буде знову увімкнений.

Рішення: Продовжуйте з перевстановленням/зміною прошивки. Після успішного завантаження знову ввімкніть (Завдання 5).

Завдання 5: Повторно увімкнути захист BitLocker після перевстановлення

cr0x@server:~$ manage-bde -protectors -enable C:
BitLocker Drive Encryption: Configuration Tool version 10.0.22621

Volume C: [OS]
Key protectors are enabled for volume C:.

Що означає вивід: Захисники знову активні; TPM запечатає ключі відповідно до нового стану завантаження.

Рішення: Якщо це не вдається або при наступному завантаженні з’являється recovery — щось у ланцюжку завантаження нестабільне (див. Поширені помилки).

Завдання 6: Вимкнути BitLocker (дешифрувати), коли треба зняти шифрування

cr0x@server:~$ manage-bde -off C:
BitLocker Drive Encryption: Configuration Tool version 10.0.22621

Decryption is now in progress.

Що означає вивід: Розшифрування запущено; це займе час і вимагає, щоб машина залишалася ввімкненою.

Рішення: Виконайте це перед заміною материнської плати/TPM, якщо вам потрібен доступ без драм щодо recovery-ключів.

Завдання 7: Моніторити прогрес шифрування/дешифрування

cr0x@server:~$ manage-bde -status C:
Volume C: [OS]
    Conversion Status:    Decryption in Progress
    Percentage Encrypted: 72.4%
    Protection Status:    Protection Off

Що означає вивід: Дешифрування ще триває; не припускайте перевстановлення поки не завершиться.

Рішення: Чекайте, поки Conversion Status не стане «Fully Decrypted» перед будь-якими руйнівними змінами, які розраховують на незашифрований том.

Завдання 8: Підтвердити стан Secure Boot (поширений тригер перевстановлення)

cr0x@server:~$ powershell -NoProfile -Command "Confirm-SecureBootUEFI"
True

Що означає вивід: Secure Boot увімкнено.

Рішення: Не перемикайте Secure Boot під час процесу, якщо не призупиняли BitLocker. Якщо воно False, а ваша база очікує True — готуйтеся до запитів на відновлення.

Завдання 9: Перевірити наявність і готовність TPM

cr0x@server:~$ powershell -NoProfile -Command "Get-Tpm | Format-List TpmPresent,TpmReady,ManagedAuthLevel"
TpmPresent : True
TpmReady   : True
ManagedAuthLevel : Full

Що означає вивід: TPM присутній і готовий запечатувати/розпечатувати ключі.

Рішення: Якщо TpmPresent False або TpmReady False — не робіть припущень про TPM-only; плануйте вводити recovery-ключ або розшифрувати перед апаратною/прошивочною роботою.

Завдання 10: Визначити режим завантаження (UEFI vs Legacy), який цікавить BitLocker

cr0x@server:~$ powershell -NoProfile -Command "(Get-ComputerInfo).BiosFirmwareType"
Uefi

Що означає вивід: Система завантажується в режимі UEFI.

Рішення: Якщо хтось перемкне на Legacy/CSM, це може викликати recovery. Тримайте режим завантаження послідовним під час перевстановлення.

Завдання 11: Перевірити статус Windows Recovery Environment (WinRE) — часто забувають

cr0x@server:~$ reagentc /info
Windows Recovery Environment (Windows RE) and system reset configuration
Information:

    Windows RE status:         Enabled
    Windows RE location:       \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
    Boot Configuration Data (BCD) identifier: 12345678-90ab-cdef-1234-567890abcdef
    Recovery image location:
    Recovery image index:      0
    Custom image location:
    Custom image index:        0

Що означає вивід: WinRE увімкнено і вказує на розділ відновлення.

Рішення: Якщо WinRE вимкнено або вказує на відсутній розділ, деякі workflows «Reset this PC» працюватимуть некоректно. Виправте це перед покладанням на «Reset this PC».

Завдання 12: Використати DiskPart, щоб підтвердити диск, який збираєтесь стерти (щоб не зробити собі кепської послуги)

cr0x@server:~$ diskpart

Microsoft DiskPart version 10.0.22621.1

DISKPART> list disk

  Disk ###  Status         Size     Free     Dyn  Gpt
  --------  -------------  -------  -------  ---  ---
  Disk 0    Online          476 GB      0 B        *
  Disk 1    Online         1863 GB  1863 GB        *

DISKPART> select disk 0

Disk 0 is now the selected disk.

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C   OS           NTFS   Partition    475 GB  Healthy    Boot
  Volume 1         SYSTEM       FAT32  Partition    260 MB  Healthy    System
  Volume 2         Recovery     NTFS   Partition    980 MB  Healthy    Hidden

Що означає вивід: Disk 0 — диск ОС, GPT, з EFI і розділом відновлення.

Рішення: Якщо ви збиралися стерти зовнішній диск, а дивитеся на внутрішній — зупиніться. Підтвердіть за розміром/моделлю (Завдання 13) перш ніж виконувати «clean».

Завдання 13: Підтвердити модель фізичного диска (щоб не стерти неправильний)

cr0x@server:~$ powershell -NoProfile -Command "Get-Disk | Select Number,FriendlyName,SerialNumber,Size | Format-Table -Auto"
Number FriendlyName              SerialNumber   Size
------ ------------              ------------   ----
0      NVMe SAMSUNG MZVLW512     S4X9NX0K12345  476.94 GB
1      USB  SanDisk Extreme      3232333435     1.81 TB

Що означає вивід: Ви чітко бачите внутрішній NVMe і зовнішній USB.

Рішення: Продовжуйте тільки коли ви можете назвати диск, який збираєтесь знищити. «Напевно Disk 0» — це коли кар’єри стають цікавими.

Завдання 14: Стерти диск для чистого перевстановлення (деструктивно)

cr0x@server:~$ diskpart

DISKPART> select disk 0

Disk 0 is now the selected disk.

DISKPART> clean

DiskPart succeeded in cleaning the disk.

Що означає вивід: Таблиця розділів витерта; диск тепер незаділений.

Рішення: Використовуйте це, коли ви навмисно робите чисту інсталяцію і збереження даних не потрібно. Для SSD це зазвичай операційно достатньо для перевстановлення; для безпечної утилізації дотримуйтеся затверджених у вашій організації методів санітаризації.

Завдання 15: Підтвердити, що диск тепер порожній (перевірка здорового глузду)

cr0x@server:~$ diskpart

DISKPART> list vol

There are no volumes.

Що означає вивід: Жодних томів не залишилось; Windows Setup має бачити незаділений простір.

Рішення: Тепер продовжуйте з Windows Setup. Якщо томи ще відображаються — ви витерли не той диск або перебуваєте в неправильному середовищі.

Завдання 16: Після перевстановлення перевірити, що BitLocker дійсно знову захищає

cr0x@server:~$ manage-bde -status C:
Volume C: [OS]
    Conversion Status:    Fully Encrypted
    Percentage Encrypted: 100.0%
    Protection Status:    Protection On

Що означає вивід: Шифрування завершене й захист активний.

Рішення: Якщо Protection Status — Off після розгортання, ви не відповідаєте вимогам. Виправте політику/розгортання, перш ніж відправляти пристрій користувачеві.

Три корпоративні міні-історії з практики

Міні-історія 1: Інцидент, спричинений неправильною припущенням

Середня компанія розгорнула новий образ Windows на кілька сотень ноутбуків. Команда вирішила: «BitLocker керується політикою, він сам розрулить». Їхня послідовність включала оновлення BIOS, щоб виправити проблему з док-станцією, потім перезавантаження, потім in-place upgrade.

Перші кілька машин пройшли нормально. Потім до служби підтримки почали надходити дзвінки: ноутбуки завантажувалися в BitLocker recovery. Користувачі не мали ключів. Техніки для образів не мали ключів. Припущення «ключі в каталозі» виявилося частково правдою: на старих пристроях ключі були в локальному AD; на нових їх мали ескроувати в хмару.

Ключовим був таймінг. Деякі машини ніколи не коректно не зачекінилися після реєстрації. Політика звітувала «шифрування увімкнено», але ескроу ніколи не завершилося. Послідовність перевстановлення змінила виміри завантаження, TPM відмовився розпечатувати ключ. Запит на відновлення. Немає ключа. Кінець дороги.

Інцидент не був тільки оновленням прошивки. Він був викликаний припущенням, що ескроу — це булева величина. Це не так. Ескроу — це процес: ідентичність пристрою, підключення до мережі, стан реєстрації та дозволи. Ви перевіряєте його, як перевіряєте бекапи: тестом, а не вірою.

Вони стабілізувалися, змінивши послідовність: спочатку верифікація ескроу, потім призупинення BitLocker перед прошивкою й жорстка зупинка, якщо ключі не підтверджені. Розгортання сповільнилося. Інциденти припинилися. Усі вдавали, що так було завжди.

Міні-історія 2: Оптимізація, що відбилася боком

Глобальна організація хотіла пришвидшити оборот відновлених пристроїв. Хтось запропонував: «Не розшифровувати. Просто стерти розділи й перевстановити. Старі дані й так захищені шифруванням». На папері це не дурість. На практиці це створило прірву підтримки.

Лінія відновлення використовувала Windows Setup для видалення розділів і чистої інсталяції. У більшості випадків це працювало. Але підмножина пристроїв мала специфічні налаштування BIOS, деякі — стару прошивку, а деякі диски мали додаткові захисники (PIN, startup key). Коли такі пристрої перезавантажувалися в процесі, вони потрапляли в режим recovery і переривали безконтрольні інсталяції.

Команда «оптимізувала» робочий процес, прибравши «інтерактивні кроки». Ніхто не був присутній, щоб ввести recovery-ключ, коли це потрібно. Пристрої ночували на запитах recovery, витрачаючи час і накопичуючи переробки.

Проблема не в тому, що стирання погане. Проблема в тому, що робочий процес розраховував на безперервну автоматизацію, тоді як середовище мало неоднорідні конфігурації захисників. Один запит ламає конвеєр.

Вони вирішили проблему стандартизацією: забезпечити призупинення/відключення перед процесами з багатьма перезавантаженнями, примусити базовий набір захисників і додати передпольотну перевірку, яка відмовляється стартувати, якщо ключі не підтверджені. Оптимізація стала корисною лише після виконання нудної гігієни.

Міні-історія 3: Нудна, але правильна практика, що врятувала день

Регульований бізнес (багато аудитів, багато паперів, багато «будь ласка, надайте докази») мав просте правило: перед кожним реімеджем технік повинен робити скриншот стану BitLocker і підтверджувати в тікеті місце ескроу recovery-ключа.

Здавалося надмірністю — поки партія ноутбуків не потрапила під несподівану зміну політики Secure Boot після оновлення прошивки. Декілька систем пішли в recovery при першому перезавантаженні прямо посеред щільного вікна розгортання.

Служба підтримки не панікувала. Вони відкрили тікети. У кожного пристрою був референс на recovery-ключ і докази, що ключ ескроуйований. Вони надали ключі на місці, завантажили, призупинили й відновили захист, щоб перев’язати ключі з новими вимірами. Час простоїв вимірювався хвилинами, а не днями.

Практика не запобігла тригеру. Вона не дозволила інцидентові стати масштабним простоєм. Ось як виглядає хороша операційна робота: ви не зупините всі відмови, але зробите їх дешевими.

Поширені помилки: симптом → корінь проблеми → виправлення

Цей розділ навмисно конкретний. Якщо ви бачите ці симптоми, не «пробуйте щось». Виконайте виправлення.

1) Симптом: запит BitLocker recovery відразу після перевстановлення

Корінь проблеми: Змінені виміри ланцюжка завантаження (новий завантажувач/BCD, змінений стан Secure Boot), TPM не розпечатав ключ.

Виправлення: Введіть recovery-ключ, завантажтеся, потім запустіть manage-bde -protectors -disable C: а потім manage-bde -protectors -enable C: щоб знову запечатати. Також перевірте налаштування Secure Boot та прошивки на стабільність.

2) Симптом: не можете знайти recovery-ключ ніде

Корінь проблеми: Ескроу ключа не відбулося, або воно відбулося для іншої ідентичності (не той tenant/device object), або політика заборонила бекап.

Виправлення: Якщо дані важливі — зупиніться й ескалюйте. Якщо дані неважливі — стерти й перевстановити. Кругообіг не створить ключі з ентропії.

3) Симптом: «Призупинено», але все одно просить recovery-ключ

Корінь проблеми: Призупинили не той том, або призупинили, а потім зробили зміну, яка все одно викликала recovery (TPM очищено, Secure Boot перемикнуто, зміна PCR-профілю), або кілька записів ОС плутають виміри.

Виправлення: Перевірте через manage-bde -status і список захисників. Підтвердьте, що призупинили C: (том ОС). Уникайте очищення TPM, якщо у вас немає ключів і чіткого наміру.

4) Симптом: Перевстановлення завершилось, але BitLocker вимкнено

Корінь проблеми: Політика ще не застосована, MDM не завершила реєстрацію або в тасксеквенції захист був вимкнений і так і не увімкнений знову.

Виправлення: Перевірте стан захисту за допомогою manage-bde -status. Увімкніть захист. Виправте процес реєстрації/політику, щоб шифрування застосовувалося до відправки пристрою користувачеві.

5) Симптом: «Reset this PC» не вдається або зациклиться у відновленні

Корінь проблеми: WinRE неправильно налаштовано/вимкнено, розділ відновлення пошкоджено або взаємодія BitLocker/WinRE порушена змінами розділів.

Виправлення: Перевірте reagentc /info. Увімкніть або відновіть WinRE. Якщо середовище занадто захаращене, зробіть чисту інсталяцію після призупинення або повного стирання.

6) Симптом: Диск клоновано, а цільовий пристрій постійно просить recovery-ключ

Корінь проблеми: TPM-захисник пов’язаний з оригінальним TPM. Клонований диск не може розпечатати ключ на новому обладнанні.

Виправлення: Використайте recovery-ключ для завантаження (якщо доступний), потім видаліть і додайте TPM-захисник на цілі. Або розшифруйте перед клонуванням. Краще: не клонувати зашифровані диски ОС між пристроями без плану.

7) Симптом: Після оновлення BIOS раптові запити на відновлення на окремих моделях

Корінь проблеми: Оновлення прошивки змінило PCR-виміри; захист BitLocker не був призупинений перед оновленням, або PCR-профіль відрізняється між моделями/прошивками.

Виправлення: Надалі призупиняйте перед оновленнями прошивки. Наразі: використайте recovery-ключі, завантажтеся, вимкніть/увімкніть захисники, щоб перев’язати ключі на новий PCR-стан.

8) Симптом: «Ми стерли розділи, але інсталятор усе одно бачить якісь заблоковані томи»

Корінь проблеми: Ви не стерли той диск, який думали, або перебуваєте в середовищі preboot, що показує застарілі метадані, або диск має кілька контролерів (VMD/RAID), що ховає реальний пристрій.

Виправлення: Ідентифікуйте диск за моделлю/серійним номером (Завдання 13). Перевірте режим зберігання в BIOS (AHCI vs RAID/VMD). Потім правильно стерти.

Жарт №2

Видалення розділів без перевірки номера диска — чудовий спосіб попрактикуватися у виразі вибачення.

Чек-листи / покроковий план

Чек-лист A: Безпечне перевстановлення на тій самій машині (зберегти дані, якщо можливо)

Підтвердьте стан BitLocker: запустіть manage-bde -status. Якщо Protection On — продовжуйте.
Підтвердьте захисники й наявність recovery password: manage-bde -protectors -get C:. Додайте recovery password, якщо відсутній.
Перевірте процес ескроу recovery-ключа у системі вашої організації (доказ у тікеті). Не продовжуйте, доки не підтверджено.
Призупиніть захист: manage-bde -protectors -disable C:.
Занотуйте налаштування прошивки (UEFI/Legacy, Secure Boot). Не змінюйте їх без потреби.
Проведіть перевстановлення (in-place або clean, залежно від потреби).
Після першого успішного завантаження, увімкніть захист: manage-bde -protectors -enable C:.
Перевірте відповідність: manage-bde -status має показувати Protection On, Fully Encrypted (або шифрування в процесі, якщо тільки-но ввімкнено).

Чек-лист B: Чисте стирання + перевстановлення (дані не потрібні)

Вирішіть, чи зберігаєте пристрій в організації чи утилізуєте. Для утилізації може знадобитися інший метод санітаризації, ніж «DiskPart clean».
Завантажтеся з перевіреного інсталяційного носія (USB, PXE тощо).
Ідентифікуйте диски: DiskPart list disk, потім PowerShell Get-Disk для підтвердження моделі/розміру.
Стерти навмисно: DiskPart select disk X потім clean.
Встановіть у незаділений простір, дайте Setup створити EFI/MSR/Recovery розділи.
Після підняття ОС, переконайтеся, що BitLocker увімкнено за політикою і ключі ескроюйовані.

Чек-лист C: Оновлення прошивки/BIOS на пристроях з BitLocker (план «не дзвоніть мені потім»)

Підтвердьте manage-bde -status і захисники.
Призупиніть: manage-bde -protectors -disable C:.
Застосуйте оновлення прошивки.
Успішно завантажтеся в Windows.
Увімкніть знову: manage-bde -protectors -enable C:.
Переконайтеся, що при наступному перезавантаженні немає запиту на відновлення. Якщо є — маєте проблему зі стабільністю вимірів.

Питання й відповіді

1) Чи справді потрібно вимикати BitLocker перед перевстановленням Windows?

Якщо ви змінюєте ланцюжок завантаження (а перевстановлення — це так), вам принаймні слід призупинити його. «Потрібно» — це гра ймовірностей; «варто» — це міра запобігання простоїв.

2) У чому різниця між «Призупинити захист» і «Вимкнути BitLocker»?

Призупинення залишає дані зашифрованими й тимчасово вимикає засоби захисту. Вимкнення повністю розшифровує том. Призупинення — за замовчуванням для перевстановлення на тому ж обладнанні; вимкнення — для змін апаратного забезпечення або коли політика вимагає відкритого тексту з якоїсь причини.

3) Якщо я стер диск, чи мені ще важливий BitLocker?

Ви маєте дбати про це в двох аспектах: (1) переконатися, що ви стираєте правильний диск і не застрягнете на запиті recovery під час автоматизованого процесу; (2) впевнитися, що ваші вимоги до утилізації/санітаризації виконані. Для перевстановлення стирання розділів звичайно усуває проблему BitLocker, бо зашифрованого тому вже немає.

4) Чому BitLocker просить recovery-ключ після оновлення BIOS?

Тому що виміри TPM змінилися. BitLocker трактує це як потенційну атаку. Призупиніть перед оновленням, потім увімкніть знову після успішного завантаження, щоб «навчити» TPM нового нормального стану.

5) Чи можу я перевстановити Windows і зберегти ті самі ключі BitLocker?

Можна зберегти шифрування, але очікуйте, що захисники будуть перев’язуватися. Практично ви маєте трактувати перевстановлення як подію життєвого циклу захисників: перевірити recovery-ключ, призупинити, перевстановити, увімкнути знову.

6) Що робити, якщо користувач ніколи не зберіг recovery-ключ?

Якщо ключ не ескроуйований централізовано й користувач його не зберіг, а TPM не розпечатав ключ — ймовірно, дані не відновлювані. Це не проблема Windows; це криптографія, що працює як задумано. Ваше рішення: «стерти й рухатися далі» або запуск процедури інциденту з втратою даних.

7) Чи важливий стан Secure Boot (увімкнено/вимкнено)?

Так. Стан Secure Boot впливає на вимірюваний завантажувач. Його зміна може викликати recovery. Тримайте його послідовним і призупиняйте BitLocker перед зміною.

8) Чи безпечно «очистити TPM», щоб виправити запити BitLocker?

Лише якщо ви впевнені, що маєте recovery-ключи й розумієте наслідки. Очищення TPM може віддати TPM-захисники сиротами й перетворити відновлювану проблему на незворотну втрату даних.

9) Чому одна модель ноутбука поводиться інакше, ніж інша?

Різні версії прошивки, різні реалізації TPM, різні PCR-профілі, різні режими зберігання (AHCI vs RAID/VMD). BitLocker взаємодіє з платформою, а не тільки з ОС.

10) Після перевстановлення BitLocker увімкнено, але продуктивність гірша. Це нормально?

На сучасних процесорах з апаратним прискоренням і NVMe накладні витрати зазвичай незначні. Якщо гальмування суттєве — перевірте, чи ви не в режимі чисто програмної криптографії, драйвери та чи не змінився режим контролера зберігання під час перевстановлення.

Наступні кроки, які можна зробити сьогодні

Якщо ви керуєте більше ніж декількома кінцевими точками, ставтеся до BitLocker як до продакшн-залежності, а не як до чекбоксу безпеки.

Додайте передпольотний крок у кожен runbook перевстановлення/реімеджу: manage-bde -status + manage-bde -protectors -get C:.
Примусьте перевірку ескроу recovery-ключа як критичний gate. Якщо не можете довести ескроу — ви граєтеся з випадковістю.
Стандартизуйтесь на налаштуваннях прошивки (UEFI, Secure Boot, режим зберігання) і припиніть «перемикати, щоб побачити, чи допоможе».
Зробіть призупинення/відновлення рутинними навколо руйнівних змін: оновлень BIOS, роботи з розділами, ремонту завантажувача.
Потренуйтеся у відмові: візьміть тестовий ноутбук, навмисно спровокуйте recovery і доведіть, що ваша організація швидко витягає ключі. Це одне з найпростіших виграшів у надійності.

Суть не в тому, щоб боятися BitLocker. Суть у тому, щоб поважати те, що він робить: блокує доступ, коли платформа виглядає по-іншому. Якщо ви плануєте перевстановлення як оператор — BitLocker знову стане фоновим шумом, де йому й місце.