عیب‌یابی و رفع مشکلات 10 دقیقه مطالعه

عیب‌یابی BitLocker در ویندوز ۱۱: راهنمای بازیابی کلید برای تکنسین‌های هلپ دسک

راهنمای عملی عیب‌یابی BitLocker در ویندوز ۱۱ برای تکنسین‌های هلپ دسک. پیدا کردن کلید بازیابی از AD و Azure AD، دستورات manage-bde، رفع باگ ۲۰۲۶ و اقدامات پیشگیرانه.

Editorial Team

چرا BitLocker یهو صفحه بازیابی نشان می‌دهد؟

اگه تکنسین هلپ دسک باشید، احتمالاً این سناریو رو خوب می‌شناسید: کاربر صبح اول وقت زنگ می‌زنه و با استرس می‌گه «سیستمم یه صفحه آبی نشون می‌ده و یه کد ۴۸ رقمی می‌خواد!» خب، این همون صفحه بازیابی BitLocker هست.

BitLocker از چیپ TPM (Trusted Platform Module) برای ذخیره‌سازی امن کلیدهای رمزنگاری استفاده می‌کنه. هر تغییری در وضعیت بوت سیستم — از جمله آپدیت BIOS، تغییر تنظیمات Secure Boot، تعویض سخت‌افزار، یا حتی نصب یه آپدیت ساده ویندوز — می‌تونه باعث بشه BitLocker سیستم رو ناامن تشخیص بده و کلید بازیابی ۴۸ رقمی رو درخواست کنه.

صادقانه بگم، درک دقیق دلایل فعال شدن این صفحه و توانایی رفع سریعش، یکی از اون مهارت‌هایی‌ه که شما رو از یه تکنسین معمولی متمایز می‌کنه. بیاید با هم تمام سناریوهای رایج و راه‌حل‌های عملی رو بررسی کنیم.

دلایل رایج فعال شدن صفحه بازیابی

  • آپدیت‌های ویندوز: برخی آپدیت‌های تجمعی (Cumulative Updates) تنظیمات TPM یا بوت رو تغییر می‌دن
  • آپدیت BIOS/UEFI: تغییر فریمور سیستم بدون تعلیق BitLocker قبلش
  • تغییر تنظیمات Secure Boot: غیرفعال کردن یا تغییر حالت بوت از UEFI به Legacy
  • پاک‌سازی یا بازنشانی TPM: از طریق BIOS یا کنسول مدیریت TPM
  • تعویض سخت‌افزار: تغییر مادربورد، دیسک سخت، یا سایر قطعات حساس
  • وارد کردن چندباره PIN اشتباه: تلاش‌های ناموفق مکرر (این یکی خیلی رایجه)
  • فعال‌سازی خودکار در ویندوز ۱۱ نسخه 24H2: رمزنگاری بدون اطلاع کاربر هنگام ورود با اکانت مایکروسافت

باگ شناخته‌شده BitLocker در ویندوز ۱۱ (مارس ۲۰۲۶)

این یکی مهمه. مایکروسافت تأیید کرده که یه باگ فعال در ویندوز ۱۱ نسخه‌های 25H2 و 24H2 وجود داره که باعث می‌شه برخی سیستم‌ها بعد از نصب آپدیت‌های تجمعی، صفحه بازیابی BitLocker رو نشون بدن. این باگ شامل آپدیت‌های KB5066835 (ویندوز ۱۱) و KB5066791 (ویندوز ۱۰ نسخه 22H2) می‌شه.

نکته مهم درباره KB5063878

اگه بعد از نصب KB5063878 یا آپدیت‌های بعدی، آپدیت تجمعی رو حذف کنید و نسخه OS Build رو به قبل از 26100.4770 برگردونید، ممکنه BitLocker حتی با PIN صحیح هم درایو رو باز نکنه. تو این شرایط، فقط کلید بازیابی ۴۸ رقمی می‌تونه قفل رو باز کنه.

خبر خوب اینه که اگه کاربر کلید بازیابی رو در دسترس داشته باشه، یک‌بار وارد کردنش کافیه و داده‌ها آسیب نمی‌بینن. مشکل واقعی وقتیه که کلید بازیابی در دسترس نباشه — و متأسفانه تو خیلی از سازمان‌ها همین اتفاق می‌افته.

پیدا کردن کلید بازیابی BitLocker: راهنمای گام‌به‌گام

خب، بریم سر اصل مطلب. وقتی تیکت BitLocker می‌آد، اولین کاری که باید بکنید پیدا کردن کلید بازیابیه. بسته به نوع سازمان و نحوه مدیریت دستگاه‌ها، کلید رو می‌تونید تو یکی از این مکان‌ها پیدا کنید:

۱. Microsoft Entra ID (همون Azure AD قدیمی)

اگه دستگاه به Entra ID متصله (Azure AD Joined یا Hybrid Joined)، کلید بازیابی به‌صورت خودکار تو پورتال ذخیره شده:

  1. وارد Microsoft Entra admin center بشید (entra.microsoft.com)
  2. برید به مسیر Identity → Devices → All devices
  3. دستگاه مورد نظر رو جستجو کنید
  4. روی BitLocker keys کلیک کنید
  5. کلید بازیابی مربوط به Key ID نمایش‌داده‌شده روی صفحه کاربر رو پیدا کنید

۲. Active Directory On-Premises

تو محیط‌های سنتی AD، کلیدهای بازیابی می‌تونن در شیء کامپیوتر (Computer Object) ذخیره بشن:

  1. کنسول Active Directory Users and Computers رو باز کنید
  2. شیء کامپیوتر مورد نظر رو پیدا کنید
  3. تب BitLocker Recovery رو بررسی کنید
  4. کلید مطابق Key ID روی صفحه کاربر رو کپی کنید

اگه تب BitLocker Recovery رو نمی‌بینید، باید ابزار BitLocker Recovery Password Viewer رو از طریق Server Manager نصب کنید (بخش Remote Server Administration Tools → Feature Administration Tools). نگران نباشید، نصبش ساده‌ست.

۳. Microsoft Intune

برای دستگاه‌هایی که با Intune مدیریت می‌شن:

  1. وارد Microsoft Intune admin center بشید (intune.microsoft.com)
  2. برید به Devices → All devices
  3. دستگاه رو انتخاب کنید
  4. تو بخش Monitor، روی Recovery keys کلیک کنید

۴. اکانت مایکروسافت کاربر

اگه دستگاه شخصیه و با اکانت مایکروسافت تنظیم شده، کاربر می‌تونه از آدرس aka.ms/myrecoverykey کلید خودش رو بازیابی کنه. نکته جالب اینه که از ویندوز ۱۱ نسخه 24H2، صفحه بازیابی یه سرنخ (hint) از اکانت مایکروسافت مرتبط نشون می‌ده — که خیلی کمک‌کننده‌ست.

۵. فایل یا پرینت ذخیره‌شده

برخی کاربرها کلید بازیابی رو روی فلش USB یا کاغذ چاپ‌شده نگه‌داری می‌کنن. همیشه از کاربر بپرسید آیا هنگام فعال‌سازی BitLocker کلید رو جایی ذخیره کرده یا نه. تجربه نشون داده خیلی وقت‌ها کاربر یادش نمی‌آد ولی بعد از کمی فکر کردن، یه فایل تو ایمیلش یا روی میزش پیدا می‌کنه!

دستورات manage-bde: جعبه‌ابزار اصلی تکنسین

ابزار خط فرمان manage-bde قدرتمندترین ابزار برای مدیریت و عیب‌یابی BitLocker هست. همه این دستورات رو باید تو Command Prompt با دسترسی Administrator اجرا کنید.

بررسی وضعیت BitLocker

manage-bde -status

این دستور وضعیت رمزنگاری تمام درایوها رو نشون می‌ده: درصد رمزنگاری، روش رمزنگاری (مثلاً XTS-AES 256)، وضعیت قفل، و محافظ‌های کلید (Key Protectors).

بررسی وضعیت یک درایو خاص

manage-bde -status C:

باز کردن قفل درایو با کلید بازیابی

manage-bde -unlock C: -RecoveryPassword 123456-789012-345678-901234-567890-123456-789012-345678

واضحه که عدد ۴۸ رقمی بالا رو باید با کلید بازیابی واقعی جایگزین کنید.

تعلیق موقت BitLocker (قبل از آپدیت)

manage-bde -protectors -disable C: -RebootCount 3

این دستور BitLocker رو برای ۳ بار ریبوت تعلیق می‌کنه. برای آپدیت‌های فریمور که نیاز به چند ریبوت دارن، مقدار RebootCount رو بالاتر بذارید (مثلاً ۵ یا ۷).

فعال‌سازی مجدد محافظت

manage-bde -protectors -enable C:

بکاپ‌گیری اجباری کلید به Azure AD

$BLV = Get-BitLockerVolume -MountPoint "C:"
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[1].KeyProtectorId

این دستورات PowerShell کلید بازیابی رو به‌اجبار به Azure AD بکاپ می‌گیرن. خیلی مفیده وقتی می‌خواید مطمئن بشید کلید حتماً ذخیره شده.

مشاهده محافظ‌های کلید فعلی

manage-bde -protectors -get C:

با این دستور لیست تمام محافظ‌ها (TPM، Recovery Password، PIN و غیره) رو می‌بینید.

رفع مشکل درخواست مکرر کلید بازیابی

یکی از آزاردهنده‌ترین مشکلات اینه که کاربر بعد از هر بار ریبوت با صفحه بازیابی مواجه بشه. اگه این اتفاق افتاده، مراحل زیر رو به ترتیب امتحان کنید:

روش ۱: غیرفعال و فعال‌سازی مجدد محافظت

manage-bde -protectors -disable C:
shutdown /r /t 0
:: پس از ریبوت:
manage-bde -protectors -enable C:

این روش محافظ‌های TPM رو بازنشانی می‌کنه و تو اکثر موارد مشکل درخواست مکرر رو حل می‌کنه. ساده‌ست ولی مؤثره.

روش ۲: بررسی و اصلاح تنظیمات Secure Boot

  1. سیستم رو ریبوت کنید و وارد BIOS/UEFI بشید (معمولاً با کلید F2، F10 یا DEL)
  2. مطمئن بشید Secure Boot فعال (Enabled) هست
  3. حالت بوت باید روی UEFI باشه نه Legacy/CSM
  4. تنظیمات رو ذخیره کنید و خارج بشید

روش ۳: بررسی سلامت TPM

tpm.msc

این دستور کنسول مدیریت TPM رو باز می‌کنه. چند تا چیز رو باید چک کنید:

  • TPM آماده استفاده (Ready for use) باشه
  • نسخه TPM حداقل 2.0 باشه
  • هیچ خطایی تو بخش Status نمایش داده نشه

روش ۴: بررسی Event Viewer

برای تشخیص دقیق علت فعال شدن صفحه بازیابی:

eventvwr.msc

برید به مسیر Windows Logs → System و رویدادهای مربوط به BitLocker-Driver و TPM-WMI رو بررسی کنید. کد خطا رو یادداشت کنید — معمولاً همین کد خطا مسیر رو مشخص می‌کنه.

پیکربندی Group Policy برای بکاپ خودکار کلیدها

یکی از مهم‌ترین کارهایی که می‌تونید به‌عنوان پیشگیری انجام بدید، تنظیم GPO برای ذخیره خودکار کلیدهای بازیابیه. باور کنید این یه کار چند دقیقه‌ایه که می‌تونه از ده‌ها ساعت سردرد جلوگیری کنه.

بکاپ به Active Directory

  1. Group Policy Management Console رو باز کنید
  2. به مسیر زیر برید:
Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives
  1. پالیسی "Choose how BitLocker-protected operating system drives can be recovered" رو فعال کنید
  2. گزینه "Save BitLocker recovery information to AD DS for operating system drives" رو تیک بزنید
  3. گزینه "Do not enable BitLocker until recovery information is stored to AD DS" رو هم فعال کنید

با فعال‌سازی گزینه آخر، BitLocker تا زمانی که کلید بازیابی با موفقیت تو AD ذخیره نشه، اصلاً فعال نمی‌شه. این خیالتون رو راحت می‌کنه.

بکاپ به Azure AD / Entra ID

تو محیط‌های ابری یا هیبریدی، از طریق Microsoft Intune می‌تونید پالیسی BitLocker رو تنظیم کنید:

  1. تو Intune admin center برید به Endpoint security → Disk encryption
  2. یه پروفایل جدید بسازید
  3. گزینه "Store recovery information in Microsoft Entra ID before enabling BitLocker" رو فعال کنید
  4. تنظیمات OS Drive Recovery رو روی Require بذارید

وقتی کلید بازیابی پیدا نمی‌شه: آخرین راه‌حل‌ها

خب، اینجا اوضاع یه کم سخت می‌شه. اگه کلید بازیابی تو هیچ‌کدوم از مکان‌های بالا پیدا نشد، متأسفانه گزینه‌های خیلی محدودی باقی می‌مونه.

یه نکته خیلی مهم

مایکروسافت صراحتاً اعلام کرده که حتی خود پشتیبانی مایکروسافت هم توانایی بازیابی، ارائه، یا بازسازی کلید بازیابی گم‌شده BitLocker رو نداره. هیچ روش تأییدشده‌ای برای دور زدن رمزنگاری BitLocker وجود نداره و این موضوع کاملاً عمدی (by design) هست.

اقدامات ممکن

  • بررسی مجدد تمام منابع: AD، Azure AD، Intune، اکانت مایکروسافت کاربر، فلش USB، و اسناد چاپ‌شده — یه بار دیگه همه رو چک کنید
  • بررسی اکانت‌های دیگه: ممکنه دستگاه با یه اکانت مایکروسافت دیگه تنظیم شده باشه
  • تماس با سازنده دستگاه: بعضی سازنده‌ها (مثلاً Dell با ابزار SupportAssist) ممکنه کلید رو تو سیستم مدیریت خودشون ذخیره کرده باشن
  • Reset this PC: به‌عنوان آخرین راه‌حل، از صفحه بازیابی گزینه Troubleshoot → Reset this PC رو انتخاب کنید. ولی توجه داشته باشید: تمام داده‌های روی درایو رمزنگاری‌شده از بین می‌ره

چک‌لیست عملیاتی: وقتی تیکت BitLocker می‌آد چیکار کنیم؟

این چک‌لیست رو بذارید کنار دستتون. هر وقت تیکت BitLocker اومد، این مراحل رو به ترتیب طی کنید:

  1. Key ID رو از کاربر بگیرید: اون شناسه ۸ کاراکتری که روی صفحه بازیابی نشون داده می‌شه
  2. کلید رو جستجو کنید: اول AD/Entra ID/Intune، بعد اکانت مایکروسافت کاربر
  3. کلید رو از کانال امن ارسال کنید: کلید ۴۸ رقمی رو از طریق تیکت یا تماس تلفنی بدید، نه ایمیل ساده
  4. بعد از ورود، علت رو بررسی کنید: آیا آپدیتی نصب شده؟ تنظیمات BIOS تغییر کرده؟
  5. از تکرار جلوگیری کنید: محافظت رو غیرفعال و فعال کنید یا BitLocker رو قبل از آپدیت بعدی تعلیق کنید
  6. بکاپ کلید رو تأیید کنید: مطمئن بشید کلید بازیابی تو AD یا Azure AD ذخیره شده
  7. تیکت رو مستند کنید: علت مشکل، اقدامات انجام‌شده، و اقدامات پیشگیرانه رو ثبت کنید

اقدامات پیشگیرانه برای کاهش تیکت‌های BitLocker

بهتره که از اول جلوی مشکل رو بگیرید تا اینکه هر بار آتش‌نشانی کنید. این اقدامات رو حتماً انجام بدید:

  • GPO بکاپ اجباری: پالیسی ذخیره اجباری کلید در AD/Azure AD رو قبل از فعال‌سازی BitLocker تنظیم کنید
  • تعلیق قبل از آپدیت: تو فرآیند مدیریت آپدیت (WSUS/Intune)، BitLocker رو قبل از آپدیت‌های BIOS و فریمور تعلیق کنید
  • آموزش کاربران: به کاربرها یاد بدید کلید بازیابی خودشون رو تو اکانت مایکروسافت ذخیره کنن و از آدرس aka.ms/myrecoverykey بازیابی کنن
  • مانیتورینگ: با Intune Compliance Policy دستگاه‌هایی رو شناسایی کنید که کلید بازیابیشون بکاپ نشده
  • اسکریپت بکاپ دسته‌ای: از اسکریپت PowerShell زیر برای بکاپ‌گیری دسته‌ای کلیدها استفاده کنید:
Get-ADComputer -Filter * -SearchBase "OU=Workstations,DC=contoso,DC=com" | ForEach-Object {
    $computer = $_.Name
    try {
        $blv = Get-BitLockerVolume -MountPoint "C:" -ComputerName $computer -ErrorAction Stop
        foreach ($kp in $blv.KeyProtector) {
            if ($kp.KeyProtectorType -eq "RecoveryPassword") {
                Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $kp.KeyProtectorId
                Write-Host "$computer : Backup successful" -ForegroundColor Green
            }
        }
    } catch {
        Write-Host "$computer : Error - $_" -ForegroundColor Red
    }
}

پرسش‌های متداول

آیا بدون کلید بازیابی می‌شه به درایو BitLocker دسترسی پیدا کرد؟

متأسفانه نه. BitLocker طوری طراحی شده که بدون کلید بازیابی یا رمز عبور، دسترسی به داده‌ها غیرممکنه. حتی خود مایکروسافت هم نمی‌تونه کلید گم‌شده رو بازیابی کنه. تنها راه‌حل تو این شرایط، فرمت کردن درایو و از دست دادن تمام داده‌هاست.

چرا ویندوز ۱۱ نسخه 24H2 بدون اطلاع کاربر BitLocker رو فعال می‌کنه؟

از نسخه 24H2 به بعد، مایکروسافت رمزنگاری دستگاه (Device Encryption) رو به‌صورت پیش‌فرض تو فرآیند نصب اولیه (OOBE) فعال کرده. اگه کاربر با اکانت مایکروسافت وارد بشه، رمزنگاری بدون هشدار شروع می‌شه و کلید بازیابی خودکار تو اکانت مایکروسافت ذخیره می‌شه. این تغییر حتی تو نسخه Home هم اعمال شده — که خب، خیلی از کاربرها رو غافلگیر کرده.

فرق بین تعلیق (Suspend) و غیرفعال‌سازی (Disable) BitLocker چیه؟

تعلیق BitLocker (با دستور manage-bde -protectors -disable) محافظت رو به‌صورت موقت متوقف می‌کنه بدون اینکه درایو رو رمزگشایی کنه. بعد از ریبوت یا رسیدن به تعداد ریبوت مشخص‌شده، محافظت دوباره فعال می‌شه. ولی غیرفعال‌سازی (با دستور manage-bde -off) فرآیند رمزگشایی کامل درایو رو شروع می‌کنه که هم زمان‌بره و هم محافظت رو کلاً حذف می‌کنه.

چطور کلید بازیابی BitLocker رو با PowerShell به Azure AD بکاپ بگیریم؟

اول با دستور Get-BitLockerVolume -MountPoint "C:" اطلاعات درایو رو بگیرید، بعد با دستور BackupToAAD-BitLockerKeyProtector و ارائه KeyProtectorId مربوط به Recovery Password، کلید رو به Azure AD بفرستید. فقط حواستون باشه دستگاه باید Azure AD Joined یا Hybrid Joined باشه.

آیا BitLocker روی نسخه Home ویندوز ۱۱ کار می‌کنه؟

ابزار مدیریت BitLocker کامل فقط تو نسخه‌های Pro، Enterprise و Education هست. ولی ویندوز ۱۱ Home از Device Encryption پشتیبانی می‌کنه که یه نسخه ساده‌تر از BitLocker هست. تو نسخه 24H2 این قابلیت به‌صورت خودکار فعال می‌شه — البته به شرطی که سخت‌افزار دستگاه (TPM 2.0 و Secure Boot) ازش پشتیبانی کنه.

درباره نویسنده Editorial Team

Our team of expert writers and editors.

مقالات مرتبط

عیب‌یابی و رفع مشکلات

غیرفعال‌سازی RC4 در Kerberos اکتیو دایرکتوری: راهنمای عملی هلپ دسک

مایکروسافت داره RC4 رو از Kerberos حذف می‌کنه و سرویس‌های آماده‌نشده از کار می‌افتن. این راهنما شامل دستورات PowerShell، شناسایی اکانت‌های آسیب‌پذیر، رفع خطاهای احراز هویت و چک‌لیست آمادگی برای فاز اجرایی آوریل ۲۰۲۶ است.

Editorial Team 11 دقیقه مطالعه
عیب‌یابی و رفع مشکلات

رفع مشکل اینترنت و DHCP در ویندوز ۱۱ پس از آپدیت KB5077181 (فوریه ۲۰۲۶)

آپدیت KB5077181 فوریه ۲۰۲۶ باعث قطع اینترنت و خطای DHCP روی ویندوز ۱۱ شده. توی این راهنما قدم‌به‌قدم یاد می‌گیرید چطور مشکل رو تشخیص بدید و رفعش کنید — از ریست شبکه تا حذف آپدیت و راهکارهای سازمانی.

Editorial Team 13 دقیقه مطالعه
عیب‌یابی و رفع مشکلات

عیب‌یابی Group Policy در ویندوز ۱۱: راهنمای کامل تکنسین‌های هلپ دسک

راهنمای عملی عیب‌یابی Group Policy در ویندوز ۱۱ برای تکنسین‌های هلپ دسک. شامل دستورات gpresult و gpupdate، حل مشکل عدم اعمال GPO، رفع کندی لاگین، بهبود Event ID 1096 در آپدیت ۲۰۲۶ و اسکریپت‌های PowerShell کاربردی.

Editorial Team 18 دقیقه مطالعه