AM
Безопасность 9 мин чтения

BitLocker постоянно просит recovery key: причины и решение

Почему BitLocker каждый запуск просит ключ восстановления и как исправить цикл recovery key после обновления BIOS, TPM, Secure Boot, изменения загрузки или ремонта Windows.

BitLockerWindowsTPMRecovery Keyшифрование

Симптомы

  • Windows при каждой загрузке просит BitLocker recovery key
  • После ввода ключа система загружается, но запрос возвращается снова
  • Проблема появилась после обновления BIOS или UEFI
  • Запрос recovery key появился после изменения Secure Boot или TPM
  • BitLocker считает, что изменилась цепочка загрузки

Возможные причины

  • Изменились параметры TPM, Secure Boot или UEFI
  • BIOS обновился без предварительной приостановки BitLocker
  • Изменился порядок загрузки или подключены новые устройства
  • Повреждена привязка защитников BitLocker к TPM
  • Windows обнаруживает изменение загрузочного окружения

Пошаговое решение

1

Сохраните recovery key перед изменениями

Перед любыми действиями убедитесь, что recovery key сохранен в учетной записи Microsoft, Azure AD, распечатан или записан. Не продолжайте диагностику, если ключа нет: при ошибке TPM или BIOS можно потерять доступ к данным.

Команда 
manage-bde -protectors -get C:
2

Проверьте состояние BitLocker

Команда status покажет, включена ли защита, какой процент зашифрован и не находится ли диск в suspended состоянии. Если защита включена, но recovery key запрашивается каждый раз, проблема обычно в TPM-защитнике или загрузочной конфигурации.

Команда 
manage-bde -status C:
3

Приостановите и возобновите защиту

Самый безопасный способ после изменений BIOS — один раз приостановить BitLocker, перезагрузиться и снова включить защиту. Windows заново запишет ожидаемое состояние загрузки. Этот метод часто исправляет цикл recovery key без расшифровки диска.

Команда 
manage-bde -protectors -disable C: -RebootCount 1
shutdown /r /t 0
4

Проверьте TPM и Secure Boot

Войдите в BIOS/UEFI и убедитесь, что TPM включен, не очищен и Secure Boot находится в ожидаемом режиме. Не нажимайте Clear TPM без необходимости. Очистка TPM может потребовать recovery key и повлиять на другие функции безопасности.

Команда 
tpm.msc
5

Верните порядок загрузки

BitLocker реагирует на изменения цепочки загрузки. Если после ремонта, установки Linux, подключения USB-диска или изменения Boot Order запрос стал постоянным, верните Windows Boot Manager первым устройством загрузки и отключите лишние внешние накопители.

Команда 
bcdedit /enum firmware
6

Пересоздайте TPM-защитник

Если простая приостановка не помогла, можно удалить и заново добавить TPM-защитник. Делайте это только при наличии recovery key. После пересоздания перезагрузите компьютер и проверьте, исчез ли повторный запрос ключа.

Команда 
manage-bde -protectors -delete C: -type TPM
manage-bde -protectors -add C: -tpm
7

Проверьте политики организации

На рабочих ноутбуках BitLocker может управляться Intune, Group Policy или доменом. Если запрос появился после корпоративного обновления BIOS, проверьте устройство в Intune или обратитесь к администратору. Самостоятельное изменение TPM может нарушить политику компании.

Команда 
gpresult /h bitlocker-policy.html

BitLocker запрашивает recovery key, когда считает, что загрузочная среда изменилась и автоматическая разблокировка через TPM больше небезопасна. Это может быть нормальной реакцией после обновления BIOS, изменения Secure Boot, сброса TPM или подключения другого загрузочного устройства.

Если ключ спрашивается один раз после обновления, это не обязательно проблема. Но если запрос появляется при каждой загрузке, Windows не может сохранить новое доверенное состояние. В таком случае помогает приостановка защиты, перезагрузка и повторное включение BitLocker.

Главное правило: сначала убедитесь, что recovery key доступен. Любые операции с TPM, BIOS и защитниками BitLocker опасны, если ключ потерян. На рабочих устройствах дополнительно проверьте политики организации.

Не расшифровывайте диск полностью без необходимости. В большинстве случаев цикл recovery key исправляется пересинхронизацией TPM-защитника, а не отключением шифрования.

Быстрая диагностика

  • Проблема появилась после BIOS: приостановите и возобновите BitLocker.
  • Меняли Boot Order: верните Windows Boot Manager первым.
  • Включали или выключали Secure Boot: проверьте режим UEFI.
  • Ноутбук корпоративный: проверьте Intune или Group Policy.

Источники

  1. learn.microsoft.com — проверено 04.06.2026
  2. learn.microsoft.com — проверено 04.06.2026
  3. learn.microsoft.com — проверено 04.06.2026
  4. support.microsoft.com — проверено 04.06.2026