¿Bitlocker sigue pidiendo la clave de recuperación? Aquí está cómo solucionarlo

Bitlocker es una herramienta de cifrado de datos en Windows que se utiliza para cifrar unidades. Solo se puede acceder a las unidades cifradas con la clave correcta, que es liberada por el Módulo de plataforma segura (TPM) durante el arranque.

El TPM solo libera esta clave si los perfiles de hardware y software coinciden con la configuración inicial. Si los perfiles no coinciden, se le muestra la consola de recuperación de Bitlocker, que solicita la clave de recuperación. Mientras los perfiles inicial y actual no coincidan, Bitlocker seguirá solicitando la clave de recuperación.

Aparte de esto, los cambios en las preferencias de la unidad de arranque, el BIOS defectuoso o la configuración incorrecta de la clave de descifrado y la configuración del Registro de configuración de la plataforma (PCR) son otras posibles razones de este problema.

Tabla de contenido

¿Cómo arreglar Bitlocker preguntando clave de recuperación en cada arranque?

Suspender y reanudar Bitlocker antes de intentar realizar cambios de hardware o firmware en el sistema evitará que se le solicite la clave de recuperación.

Si no conoce la clave de recuperación, es posible que se quede atascado en la configuración de recuperación de Bitlocker. Para superar la configuración en tal escenario, puede encontrar su clave de recuperación dentro de su cuenta de Microsoft usando cualquier otra computadora para iniciar sesión.

Actualizar BIOS

Se confirmó que el problema discutido estaba ocurriendo debido a un BIOS defectuoso. En algunos casos, se encontró que las versiones anteriores del BIOS eran incompatibles con el módulo de hardware TPM. Los fabricantes de placas base tienden a resolver estos errores e incompatibilidades con las actualizaciones.

Por lo tanto, puede intentar actualizar el BIOS para solucionar el problema.

  1. Presione la tecla Windows + R para abrir Ejecutar.
  2. Escriba msinfo32 para abrir Información del sistema.
  3. Consulte los valores correspondientes a los fabricantes de zócalos y productos de zócalos. Nótenlos también.
  4. Ahora, vaya al sitio oficial de su fabricante y busque BIOS/firmware.
  5. Descargue, instale y siga las instrucciones en pantalla para actualizar el BIOS.

En muchos sistemas, se pueden descargar y utilizar herramientas OEM específicas para facilitar este proceso de actualización de firmware. El centro de atención de Acer, Dell Support Assist, etc. son algunos ejemplos de aplicaciones OEM para este propósito.

Cambiar la configuración del BIOS

La conexión del cable USB Type-C y Thunderbolt tiene soporte de arranque predeterminado en BIOS. Por lo tanto, si ha conectado algún dispositivo de E/S en su sistema usando esos cables, el BIOS lo incluirá en la lista de prioridad de arranque y lo considerará como un cambio en el sistema.

Bitlocker solicitará automáticamente la clave de recuperación para iniciar sesión. Para solucionarlo, el soporte de arranque para USB tipo C y cable TBT se puede desactivar desde BIOS a menos que sea realmente necesario.

  1. Inicie su computadora y presione la tecla BIOS (teclas de función como F2, F8, etc., generalmente) constantemente antes de que comience.
  2. Dirígete a Configuración del sistema > Configuración USB usando las teclas de flecha.
  3. Elija Desactivar para el arranque Tipo-C/Thunderbolt, así como para la compatibilidad con el arranque previo.
  4. Deshabilite la pila de red UEFI.
  5. Habilitar arranque rápido.

Vuelva a habilitar Bitlocker

A veces, el perfil de hardware/software guardado no se actualiza dentro de la PCR de TPM. Por lo tanto, cada inicio se marcaría como un cambio en el perfil de hardware, lo que requeriría la clave de recuperación para obtener acceso.

Descifrar y luego cifrar la unidad corrige la falla temporal. Normalmente, ejecutar la manage-bde –protectors –disable C: y manage-bde –protectors –enable C: los comandos en el símbolo del sistema con privilegios de administrador resolverían el problema.

Sin embargo, puede intentar cambiar la configuración de BitLocker desde el Editor de directivas de grupo para garantizar una mayor resolución del problema.

Paso 1: apague Bitlocker

  1. Presione la tecla de Windows y escriba Administrar Bitlocker.
  2. Haz clic en Desactivar Bitlocker.
  3. Presione el botón Desactivar Bitlocker para confirmar.

Paso 2: configurar la política de grupo

  1. Presione Windows + R para abrir Ejecutar.
  2. Escriba gpedit.msc y presione la tecla Intro.
  3. Expanda Configuración del equipo > Plantilla administrativa > Componentes de Windows y, a continuación, Cifrado de unidad Bitlocker.
  4. Ahora, haga clic en Unidades del sistema operativo.
  5. En la sección del lado derecho, haga clic en Configurar el perfil de validación de la plataforma TPM para configuraciones de firmware UEFI nativas
  6. Seleccione el botón de radio Habilitado y desmarque todas las opciones excepto estas:
    RCP 0
    RCP 2
    RCP 4
    RCP 11
  1. Para sistemas un poco más antiguos con firmware que incluya CSM, haga clic en Configurar el perfil de validación de la plataforma TPM para configuraciones de firmware basadas en BIOS > Habilitado y luego continúe desmarcando otras opciones que no sean PCR 0, 2, 4, 8, 9, 10, 11.
  2. Confirme con Aplicar y luego, Aceptar.

Ahora, puede activar Bitlocker y esperar solucionar el problema.

Usar BIOS heredado

Muchos fabricantes han estado impulsando el modo UEFI BIOS en sus productos, independientemente del modelo de TPM. Aunque UEFI funciona bien con TPM 1.2 y TPM 2.0, a veces la versión anterior muestra problemas de compatibilidad con el modo UEFI más reciente. Entonces, si ese es su caso, puede cambiar al modo Legacy BIOS para verificar si resuelve el problema.

  1. Ingrese al menú de configuración del BIOS y vaya a la pestaña Arranque.
  2. Seleccione Legado en el modo de arranque.
  3. Presione F10 o cualquier otra pantalla para guardar los cambios y salir.

Deshabilitar arranque seguro

La función de arranque seguro está habilitada de manera predeterminada por los fabricantes para proteger el dispositivo contra el arranque utilizando cualquier componente de hardware o software no autorizado. Por lo tanto, si está habilitado, solo tendrán acceso los componentes de confianza del fabricante del sistema.

La función muestra problemas cuando se intenta ejecutar muchos sistemas operativos Linux y GPU no tan populares. Para evitar problemas con él, puede intentar deshabilitar la función de arranque seguro del BIOS.

  1. Entra en el menú de la BIOS y ve a la pestaña Arranque o Seguridad.
  2. Busque Arranque seguro y cambie su estado a Desactivado.

Escanear en busca de malware

Los malware son capaces de afectar el proceso a nivel de kernel en un sistema. Pueden manipular el comportamiento predeterminado de su computadora, lo que cuenta como un cambio de perfil del sistema en el análisis de TPM. Si dicho cambio de perfil ocurre en cada sesión activa, se requiere la clave de recuperación después de cada reinicio.

Debe verificar periódicamente si hay amenazas en su sistema para estar seguro del problema discutido y otros riesgos de seguridad.

  1. Abra Configuración con las teclas Windows + I.
  2. Vaya a Privacidad y seguridad > Seguridad de Windows
  3. Haga clic en Protección contra virus y amenazas
  4. Luego, haz clic en Opciones de escaneo.
  5. Seleccione Antivirus de Microsoft Defender (análisis sin conexión) y presione el botón Analizar ahora.

Reiniciará su computadora y tomará un tiempo realizar un escaneo completo seguido de tratamientos de amenazas.

actualizacion de Windows

Actualizar Windows corregiría errores y también resolvería problemas de compatibilidad con TPM/Bitlocker de la versión actual. A veces, las actualizaciones de BIOS y otros controladores también se incluyen junto con la actualización de Windows , que soluciona varios problemas, incluido el discutido.

  1. Presiona las teclas Windows + I para abrir Configuración.
  2. Vaya a Windows Update y presione el botón Buscar actualizaciones.
  3. Haga clic en el botón Descargar e instalar y siga las instrucciones en pantalla para completar la actualización.

Considere restablecer los componentes de actualización de Windows , si tiene algún problema durante la actualización.

Si el problema ocurrió después de instalar una actualización de Windows, puede desinstalar la actualización para revertir su computadora al último punto estable conocido.

  1. Vaya a Actualización de Windows > Historial de actualizaciones en Configuración.
  2. Desplázate y haz clic en Desinstalar actualizaciones.
  3. Haga clic en Desinstalar dentro de la última actualización de la lista mostrada, que es la última.
  4. Presione el botón Desinstalar para confirmar.

Resolver problemas de TPM

Independientemente de las causas, el problema se resume como “TPM no libera la clave de descifrado” durante el arranque. El problema también puede residir en el propio TPM y no en todos los mencionados anteriormente. Las claves de descifrado guardadas desactualizadas, los controladores dañados o los módulos defectuosos son posibles causas.

Borrar clave TPM

Si las claves guardadas dentro de TPM son las incorrectas, el dispositivo mostrará el problema discutido en cada reinicio. Borrar TPM eliminará las claves y también reiniciará Bitlocker desde su estado predeterminado para solucionar el problema.

  1. Presione Windows + R para abrir Ejecutar.
  2. Escriba tpm.msc y presione Entrar.
  3. Haga clic en Borrar TPM…
  4. Presiona el botón Reiniciar.

Reinstalar el controlador TPM

Los controladores corruptos de TPM también pueden causar problemas en la función general de TPM. Puede intentar reinstalar el controlador para solucionarlo.

  1. Escriba devmgmt.msc en Ejecutar para abrir el Administrador de dispositivos.
  2. Haga doble clic para expandir la categoría Dispositivos de seguridad.
  3. Haga clic con el botón derecho en el Módulo de plataforma segura y elija Desinstalar dispositivo.
  4. Confirme con el botón Desinstalar.
  5. Ahora, haga clic en el menú Acción y seleccione Buscar cambios de hardware.

El controlador debería reinstalarse en breve.

Reemplazar TPM

Si nada soluciona este problema, lo más probable es que el hardware del módulo TPM esté defectuoso . En tal caso, considere ponerse en contacto con el soporte de los fabricantes para reemplazar el TPM.