Para poder reinstalar Windows desde cero en la Surface Pro 10 sin que vuelva a aparecer BitLocker ni errores de Secure Boot/certificados, se pueden seguir estos pasos generales basados en los escenarios documentados para Surface y BitLocker:
- Asegurar el arranque y BitLocker antes de reinstalar
- Si el dispositivo todavía arranca o muestra BitLocker tras una actualización de firmware/TPM, la causa típica es un cambio en Secure Boot o en los valores PCR usados por BitLocker.
- En dispositivos Surface, se recomienda que Secure Boot esté activado y en modo “Microsoft Only” para que BitLocker use los PCR por defecto (PCR 7 y 11) y no vuelva a pedir la clave tras cambios de firmware.
- En la UEFI de Surface, ir a Security → Secure Boot → Change configuration → seleccionar Microsoft Only → OK → Exit y reiniciar.
- Después, si el sistema arrancara, se podría suspender y reanudar BitLocker para que vuelva a vincularse correctamente, usando los cmdlets
Suspend-BitLocker y Resume-BitLocker (o desde “Administrar BitLocker”).
- Si el equipo no arranca o hay bucle con BitLocker/secure boot
En escenarios documentados para Surface tras actualizaciones de UEFI/TPM, si aunque se introduce la clave de recuperación correcta Windows no arranca o entra en bucle, se procede con una imagen de recuperación de Surface:
- Obtener la clave de recuperación de BitLocker si existe en alguna de las ubicaciones habituales (cuenta Microsoft, MBAM, Intune, etc.). Si no existe en ningún sitio, la información cifrada no se puede recuperar.
- Desde otro equipo, descargar la imagen de recuperación de Surface y crear un USB de recuperación según Download a recovery image for your Surface.
- Arrancar la Surface desde ese USB.
- Elegir idioma y distribución de teclado.
- Ir a Troubleshoot → Advanced Options → Command Prompt.
- Ejecutar:
manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:
manage-bde.exe -protectors -disable <DriveLetter>:
donde <Password> es la clave de recuperación y <DriveLetter> la unidad del sistema.
- Reiniciar y, cuando se pida, introducir de nuevo la clave de recuperación.
- Tener en cuenta que, tras deshabilitar los protectores TPM, la unidad deja de estar protegida por BitLocker; después de reinstalar o reparar se puede volver a activar BitLocker desde Administrar BitLocker.
- Reinstalar Windows desde cero sin errores de Secure Boot
Una vez que el firmware/UEFI está en un estado correcto:
- Verificar en la UEFI que Secure Boot está activado y, si la opción existe, en modo Microsoft Only.
- Si el dispositivo no arranca por un problema de certificado de Secure Boot tras una actualización, en algunos casos se puede deshabilitar temporalmente Secure Boot desde la UEFI para permitir el arranque o la instalación, siguiendo el procedimiento general:
- Entrar en BIOS/UEFI (teclas como F1, F2, F12, Esc o desde Windows con Shift + Reiniciar → Troubleshoot → Advanced Options → UEFI Firmware Settings).
- Localizar la opción Secure Boot en las pestañas Security, Boot o Authentication y ponerla en Disabled.
- Guardar cambios y reiniciar.
- Realizar la instalación limpia de Windows desde el USB de recuperación de Surface o un medio de instalación oficial.
- Tras completar la instalación y comprobar que el sistema arranca correctamente, volver a la UEFI y reactivar Secure Boot.
- Finalmente, activar BitLocker de nuevo (si se desea) desde Inicio → escribir Manage BitLocker → seguir los pasos para cifrar la unidad. Esto generará una nueva clave de recuperación que debe guardarse en una ubicación segura (por ejemplo, en la cuenta Microsoft o en la solución de administración de la empresa).
- Si no existe la clave de BitLocker
La documentación indica que, si la clave de recuperación de BitLocker no está disponible en ninguna de las ubicaciones posibles (cuenta Microsoft, administración corporativa, copia física, etc.), no puede ser recuperada por nadie, ni siquiera por el soporte de Microsoft. En ese caso, solo es posible:
- Borrar la unidad y reinstalar Windows desde cero (perdiendo los datos cifrados), usando el USB de recuperación de Surface o un medio de instalación.
- A partir de ahí, configurar correctamente Secure Boot y BitLocker para evitar futuros problemas.
- BitLocker y errores tras certificados nuevos
En escenarios con certificados nuevos gestionados por Microsoft (actualizaciones), si el dispositivo entra en recuperación de BitLocker, la forma de salir es introducir la clave de recuperación correcta en la pantalla de BitLocker. Si es correcta, el dispositivo arranca normalmente. Si no se dispone de la clave, se aplica lo anterior (reinstalación limpia y pérdida de datos cifrados).
En resumen, para poder instalar el sistema desde cero sin problemas: usar una imagen de recuperación de Surface, ajustar Secure Boot (idealmente “Microsoft Only”), deshabilitar temporalmente Secure Boot solo si es necesario para arrancar/instalar, y después reactivarlo y configurar BitLocker de nuevo guardando la nueva clave en una ubicación segura.
References:
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(201.6, 66%, 29%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EIA%3C/text%3E%3C/svg%3E)
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(92.8, 23%, 18%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ESS%3C/text%3E%3C/svg%3E)
