2023年2月8日 星期三

在 Windows 修復環境下,解密/移除 Bitlocker 磁碟加密。以及 WinRE 開啟/關閉的方法。

最近手動設定 Bitlocker 為一個未加密的系統磁碟加密,跳出一個警告說:「除非手動啟用 Windows 修復環境,...將不能再使用云云...」,為什麼啟用了 Bitlocker ,系統就要自動關閉 Windows RE 功能?
原來在 Win RE 環境下,除了能解除/關閉 Bitlocker ,甚至還有繞過加密的方式,以至於微軟上個月還出了 KB5022282 補丁來補洞。

Bitlocker 在有些情況下在系統中是預設開啟加密的,導致有些人重灌時發現備份資料全部不能讀取而苦惱,這時候可以由硬碟或安裝媒介 (USB或DVD) 開啟 Windows 修復環境處理。

具體開啟方式是在安裝畫面一開始出現語言時區選項時,按下 SHIFT + F10 鍵開啟命令提示字元,或是下一步選擇修復電腦/疑難排解/命令字元。 

這時候可以輸入「manage-bde -status」來瞭解加密的狀態及磁區位置。

然後,知道48位數 BitLocker 修復金鑰的話,可以輸入:「manage-bde -unlock 磁區代號 -rp 修復金鑰」來解開,比如說:「manage-bde -unlock D: -rp 123456-123456-123456-123456-123456-123456」。

或是,知道 BitLocker 密碼的話,可以輸入:「manage-bde -unlock 磁區代號 -pw 密碼」來解鎖,比如說:「manage-bde -unlock D: -password 123qwerty」。

接下來,可以輸入:「manage-bde -off 磁區代號」來關閉,比如說:「manage-bde -off D:」。

相信許多人根本沒設定過或不記得密碼,於是微軟幫你保管的修復金鑰就很重要了。參考微軟官方支援網站,直接到「 https://account.microsoft.com/devices/recoverykey」,登入帳號後就可以找到金鑰了。


回到最初的部分,被系統自動關閉的 Windows RE 功能,可以用 REAgentC 指令來處理,以管理員身分開啟命令提示字元(cmd),輸入「reagentc /info」檢查狀態、輸入「reagentc /enable」將其啟用、輸入「reagentc /disable」將其關閉。

在少數情況下,Winre.wim 這個檔案的遺失或損毀,會造成修復環境無法使用,這時候在別台正常的電腦系統找到這個檔案,將其複製到「C:\Windows\System32\Recovery」這個資料夾下,輸入「reagentc /setreimage /path C:\Windows\System32\Recovery\WindowsRE」設置路徑來修復。

[Info轉貼] Windows 修復環境 (Windows RE)

本篇轉貼自微軟官方教學網站

Windows 修復環境 (WinRE) 是一種可修復作業系統無法開機常見問題的修復環境。 WinRE 以 Windows 預先安裝環境 (Windows PE) 為基礎,並可使用其他驅動程式、語言、Windows PE 選用元件以及其他的疑難排解和診斷工具來進行自訂。 根據預設,WinRE 會預先載入 Windows 10 和 Windows 11 傳統型版本, (家用版、專業版、企業版和教育版) 和 Windows Server 2016 及更新版本安裝。

Screenshot shows options: Continue, Use a device, Troubleshoot, or Turn off your PC

WinRE for Windows 11 的新功能

  • 您現在可以在 WinRE 中執行大部分的工具,而不需要選取系統管理員帳戶並輸入密碼。 開機進入復原環境時,除非使用者有解密磁片區的金鑰,否則將無法存取加密的檔案。
  • 我們已更新進階啟動的行為, (> 設定更新 & 安全性 > 復原 > 進階啟動「立即重新開機」) ,讓存取功能在復原環境中運作。 例如,先前,如果在啟動進階啟動之前啟用朗讀程式功能,則不會在重新開機 (啟用,而且無法啟用) 。 現在,進階啟動會直接開機到 Windows 復原環境,讓使用者可以使用鍵盤快速鍵開啟輕鬆存取功能。

工具

WinRE 包含下列工具:

  • 自動修復和其他疑難排解工具。 如需詳細資訊,請參閱 Windows RE 疑難排解功能
  • 僅) (Windows dekstop 版本重設按鈕。 這項工具可讓使用者快速修復自己的電腦,同時又保留其資料和重要自訂,而不必事先備份資料。 如需詳細資訊,請參閱一鍵重設概觀
  • 僅) Windows Server 版本 (系統映射復原。 此工具會還原整個硬碟。 如需詳細資訊,請參閱復原作業系統或完整伺服器

此外,您還可以使用 Windows 映像處理 API 或使用部署映像服務與管理 (DISM) API 來建立自己的自訂復原解決方案。

WinRE 的進入點

您的使用者可以透過 [ 進階啟動 ] 功能表存取 WinRE 功能,其可從 Windows 以幾種不同方式啟動:

  • 在登入畫面中,按一下 [關機],然後在按住 Shift 鍵的同時選取 [重新啟動] 。
  • 按一下 [開始>設定> ] [進階啟動] 底下的 [更新 & 安全性>復原> ],按一下 [立即重新開機]。
  • 開機至復原媒體。
  • 使用 OEM 所設定的硬體復原按鈕 (或按鈕組合)

執行上述任何動作之後,所有使用者會話都會登出,並顯示 [ 進階啟動 ] 功能表。 如果使用者從這個功能表選取 WinRE 功能,電腦就會重新啟動至 WinRE,並啟動選取的功能。

WinRE 會在偵測到下列問題後自動啟動:

  • 連續兩次嘗試啟動 Windows 都失敗。
  • 在開機完成後兩分鐘內,連續發生兩次非預期的關機。
  • 在開機完成後兩分鐘內,系統連續兩次重新開機。
  • 安全開機錯誤 (Bootmgr.efi 的相關問題除外)。
  • 只能觸控的裝置上發生 BitLocker 錯誤。

進階啟動功能表

此功能表可讓使用者執行下列動作:

  • 啟動修復、疑難排解及診斷工具。
  • 從裝置開機 (僅限 UEFI)。
  • 存取 [韌體] 功能表 (僅限 UEFI)。
  • 如果電腦上安裝了多個作業系統,則可選擇要用來開機的作業系統。

 注意

您可以將一個自訂工具新增至 [ 進階啟動 ] 功能表。 否則,就無法進一步自訂這些功能表。 如需詳細資訊,請參閱 將自訂工具新增至 Windows RE 進階啟動功能表

安全性考量

使用 WinRE 時,請注意下列安全性考量:

  • 您可以在 WinRE 內執行大部分的工具,而不需選取系統管理員帳戶並輸入密碼。 開機進入復原環境時,除非使用者有解密磁片區的金鑰,否則將無法存取加密的檔案。
  • WinRE 中預設會停用網路功能。 您可以視需要開啟網路功能。 為提升安全性,請於不需要連線能力時將網路功能停用。

自訂 WinRE

您可以藉由新增套件 (Windows PE 選用元件)、語言、驅動程式以及自訂的診斷或疑難排解工具來自訂 WinRE。 基底 WinRE 映射包含下列 Windows PE 選用元件

  • Microsoft-Windows-Foundation-Package
  • WinPE-EnhancedStorage
  • WinPE-Rejuv
  • WinPE-Scripting
  • WinPE-SecureStartup
  • WinPE-Setup
  • WinPE-SRT
  • WinPE-WDS-Tools
  • WinPE-WMI
  • WinPE-StorageWMI-Package (已新增至 Windows 8.1 和 Windows Server 2012 R2 中的基底映像)
  • WinPE-HTA (已新增至 Windows 10 中的基底映像)

 注意

套件、語言和驅動程式的數目受限於電腦上的可用記憶體數量。 基於效能考量,請將新增至映像的語言、驅動程式和工具數目降至最低。

硬碟磁碟分割

當您使用 Windows 安裝程式來安裝 Windows 時,WinRE 會進行如下設定:

  1. 在 Windows 安裝程式進行期間,Windows 會準備硬碟磁碟分割以支援 WinRE。

  2. Windows 一開始會將 WinRE 映射檔 (winre.wim) 放在 \Windows\System32\Recovery 資料夾中。

    將電腦遞送給客戶之前,您可以修改或取代 WinRE 映像檔案,以納入其他語言、驅動程式或套件。

  3. 在特殊化設定階段進行期間,系統會將 WinRE 映像檔複製到修復工具磁碟分割,讓裝置即使在 Windows 磁碟分割有問題的情況下,也可以開機至修復工具。

在套用映像來部署 Windows 時,您必須手動設定硬碟磁碟分割。 硬碟上若有安裝 WinRE,就必須將磁碟分割格式化為 NTFS。

將基準 WinRE 工具映像 (winre.wim) 新增至與 Windows 和資料的磁碟分割不同的磁碟分割。 這可讓使用者在 Windows 磁碟分割已使用 Windows BitLocker 磁碟機加密予以加密時,也一樣能使用 WinRE。 這也能防止使用者不小心修改或移除 WinRE 工具。

將修復工具儲存在專用磁碟分割中,位置緊接在 Windows 磁碟分割之後。 如此一來,如果日後的更新需要較大的修復磁碟分割,Windows 就能夠藉由調整 Windows 和修復磁碟分割的大小來更有效率地進行處理,而不必在原本就備有修復磁碟分割的情況下,又建立新的修復磁碟分割大小。

若要深入了解,請參閱設定 UEFI/GPT 型硬碟磁碟分割設定 BIOS/MBR 型硬碟磁碟分割

記憶體需求

為了直接從記憶體啟動 Windows RE (也稱為 RAM 磁碟開機),您必須提供可容納整個 Windows RE 映像 (winre.wim) 的實體記憶體 (RAM) 連續部分。 為了將記憶體的使用最佳化,製造商應確保其韌體在實體記憶體位址空間的開頭或結尾保留記憶體位置。

更新磁碟上的 Windows 修復環境

Windows RE 的磁片上複本可做為 OS 匯總更新的一部分進行服務。 並非所有更新彙總套件都會服務 Windows RE。

不同於一般的 OS 更新程序,Windows RE 的更新不會直接服務磁碟上的 Windows RE 映像 (winre.wim)。 相反地,會由較新版的 Windows RE 映像取代現有映像,並將下列內容插入或遷移至新的映像:

  • 來自完整 OS 環境的開機關鍵驅動程式和輸入裝置驅動程式會新增至新的 Windows RE 映像。
  • 掛接 winre.wim 下的 \Sources\Recovery Windows RE 自訂專案會移轉至新的映射。

下列來自現有 Windows RE 映像的內容不會遷移至新的映像:

  • 位於現有 Windows RE 映像中,但不在完整 OS 環境中的驅動程式
  • 不屬於預設 Windows RE 映像的 Windows PE 選用元件
  • Windows PE 和選用元件的語言套件

Windows RE 更新程序會盡力讓您重複使用現有 Windows RE 磁碟分割,而不必進行任何修改。 不過,在某些罕見的情況下,新的 Windows RE 映像 (連同已遷移/插入的內容) 會無法融入到現有 Windows RE 磁碟分割,這時更新程序會有如下行為:

  • 如果現有 Windows RE 磁碟分割緊接在 Windows 磁碟分割之後,則會壓縮 Windows 磁碟分割,並將釋出的空間新增到 Windows RE 磁碟分割。 新的 Windows RE 映像將會安裝到經過擴充的 Windows RE 磁碟分割上。
  • 如果現有 Windows RE 磁碟分割並非緊接在 Windows 磁碟分割之後,則會壓縮 Windows 磁碟分割,並建立新的 Windows RE 磁碟分割。 新的 Windows RE 映像將會安裝到這個新的 Windows RE 磁碟分割上。 現有 Windows RE 磁碟分割將會變成孤立狀態。
  • 如果無法重複使用現有的 Windows RE 磁碟分割,也無法順利壓縮 Windows 磁碟分割,則會將新的 Windows RE 映像安裝到 Windows 磁碟分割上。 現有 Windows RE 磁碟分割將會變成孤立狀態。

 重要

為了確保您的自訂專案在 Windows RE 更新之後繼續運作,它們不得取決於 Windows PE 選用元件所提供的功能,這些元件不在預設 Windows RE 映射 (例如 WinPE-NetFX) 。 為了加快 Windows RE 自訂項目的開發速度,Windows 10 的預設 Windows RE 映像中已新增 WinPE-HTA 選用元件。

 注意

部署為匯總更新一部分的新 Windows RE 映射只會包含系統預設語言的語言資源,即使現有的 Windows RE 映射包含多種語言的資源也一樣。 在大部分電腦上,系統預設語言是在 OOBE 時選取的語言。

已知問題

如果 GPO「Windows 設定/安全性設定/本機原則/安全性選項/帳戶:封鎖 Microsoft 帳戶」設定為啟用「使用者無法新增 Microsoft 帳戶或用 Microsoft 帳戶登入」原則,則嘗試在 WinRE 中還原系統時將會失敗,並出現錯誤訊息:「您必須以系統管理員身分登入才能繼續,但此電腦上沒有任何系統管理員帳戶。」

這是已知問題,因應措施是避免將「帳戶:封鎖 Microsoft 帳戶」設定為「使用者無法新增 Microsoft 帳戶或用 Microsoft 帳戶登入」,或者也可將 MDM 原則 Security/RecoveryEnvironmentAuthentication 設定為 2。

另請參閱



不使用USB外接裝置,直接從D槽重灌電腦

歷經光碟機與USB隨身碟、BIOS與UEFI、以及MBR與GPT的世代交替,近年來作業系統的安裝/重灌過程越來越複雜了,儘管USB安裝工具越來越進步方便,但有時還是會遇到問題或卡關,這個時候不妨多利用系統內建的 Windows 修復環境 (Win RE)操作,避開設定UEFI以及準備安裝工具的麻煩。

以 Win10 升級 Win11 為例,假設系統碟在C槽、另有一個不論是實體硬碟還是切割磁區的D槽,我們可以把從微軟那邊下載的ISO檔,直接掛載後,複製所有內容到比如說 D:\Win11 內,然後到設定(Win+I)的系統→復原→進階啟動,按立即重新啟動,然後電腦重開機以後就會進入藍底白字的 Windows 修復環境 (Win RE)。

一進到這個介面,首先在選擇選項畫面點選「疑難排解」,接著選「進階選項」、「命令提示字元」。出現黑底白字的指令視窗顯示目前在X槽,接著我們輸入:
「D:\Win11\sources\setup.exe」,就會出現 Windows 安裝畫面了,方便簡單快速。

2023年2月7日 星期二

不重灌 Windows 將家庭版升級到專業版

筆電自帶的作業系統是家庭版,想要升級到專業版或企業版,不需要重新安裝系統,輸入幾行命令即可。

我們以系統管理員權限開啟 cmd (命令提示字元),輸入指令使用「部署映像服務與管理工具」:「dism /online /get-targeteditions」,列出並確認目前系統可供直接升級的版本。

參考微軟官方教學網站,接下來有三種方法升級:

一、使用命令列工具升級
您可以執行 changepk.exe 命令列工具,來將裝置升級至 Windows 10 支援版本:
「changepk.exe /ProductKey 產品金鑰25碼」
您也可以使用 slmgr.vbs 和 KMS 用戶端安裝識別碼進行升級。 例如,下列命令將會升級到 Windows 10 企業版。
「Cscript.exe c:\windows\system32\slmgr.vbs /ipk NPPR9-FWDCX-D2C8J-H872K-2YT43」

二、手動輸入產品金鑰進行升級
如果您只升級幾個裝置,您可能想要手動輸入升級版本的產品金鑰。
手動輸入產品金鑰:
從 [開始] 功能表或 [開始] 畫面,輸入 'Activation',然後選取 [啟用] 快捷方式。
選 取 [變更產品金鑰]。
輸入您的產品金鑰。
依照畫面上的指示操作。

三、從 Microsoft Store 購買授權進行升級
如果您沒有產品金鑰,您可以透過 Microsoft Store 升級Windows 10版本。
透過 Microsoft Store 升級:
從 [ 開始 ] 功能表或 [開始 ] 畫面,輸入 'Activation',然後選取 [啟用] 快捷方式。
選 取 [移至市集]。
依照畫面上的指示執行。


輸入正確的作業系統金鑰後,一連網就自動啟用了,若有登入微軟帳號會自動綁定,以後同一台電腦不需要再輸入。

網路上能夠輕易找到開源的數位啟用軟體(TGSAN),還有許多第三方KMS啟用方式教學,自建認證伺服器也不難,連手機都行(Kiss KMS)。看來為了維持市占推廣365,微軟根本睜一隻眼閉一隻眼,畢竟現金流為王,月費才是未來。

2023年2月4日 星期六

Windows 8, 10, 11 的「啟動」資料夾在哪裡?

系統(所有人)啟動資料夾位址:
按[Win+R]執行「shell:common startup」,
或到「C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup」

個人啟動資料夾位址:
按[Win+R]執行「shell:startup」,
或到「%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup」

把捷徑或批次檔放進該資料夾,即可開機自動執行。