Konfiguracja funkcji BitLocker: znane problemy

W tym artykule opisano typowe problemy wpływające na konfigurację i ogólne funkcje funkcji BitLocker. Ten artykuł zawiera również wskazówki dotyczące rozwiązywania tych problemów.

Szyfrowanie funkcją BitLocker działa wolniej w systemach Windows 10 i Windows 11

Funkcja BitLocker działa w tle w celu szyfrowania dysków. Jednak w systemach Windows 11 i Windows 10 funkcja BitLocker jest mniej agresywna w żądaniu zasobów niż w poprzednich wersjach systemu Windows. To zachowanie zmniejsza prawdopodobieństwo, że funkcja BitLocker wpłynie na wydajność komputera.

Aby zrekompensować te zmiany, funkcja BitLocker używa modelu konwersji o nazwie Encrypt-On-Write. Ten model zapewnia, że wszystkie nowe zapisy dysków są szyfrowane natychmiast po włączeniu funkcji BitLocker. To zachowanie odbywa się we wszystkich wersjach klienta i dla wszystkich dysków wewnętrznych.

Zalety korzystania z nowego modelu konwersji

Korzystając z poprzedniego modelu konwersji, dysk wewnętrzny nie może być uznawany za chroniony i zgodny ze standardami ochrony danych, dopóki konwersja funkcji BitLocker nie zostanie ukończona w 100%. Przed zakończeniem procesu dane, które istniały na dysku przed rozpoczęciem szyfrowania — czyli potencjalnie naruszone dane — mogą być nadal odczytywane i zapisywane bez szyfrowania. W związku z tym aby dane zostały uznane za chronione i zgodne ze standardami ochrony danych, proces szyfrowania musi zostać zakończony przed zapisaniem poufnych danych na dysku. W zależności od rozmiaru dysku opóźnienie może być znaczne.

Korzystając z nowego modelu konwersji, poufne dane mogą być przechowywane na dysku, gdy tylko funkcja BitLocker jest włączona. Proces szyfrowania nie musi się najpierw zakończyć, a szyfrowanie nie ma negatywnego wpływu na wydajność. Kompromis polega na tym, że proces szyfrowania wstępnie istniejących danych zajmuje więcej czasu.

Inne ulepszenia funkcji BitLocker

Kilka innych obszarów funkcji BitLocker zostało ulepszonych w wersjach systemu Windows wydanych po systemie Windows 7:

• Nowy algorytm szyfrowania, XTS-AES — dodano w systemie Windows 10 w wersji 1511, ten algorytm zapewnia dodatkową ochronę przed atakami na zaszyfrowane dane, które polegają na manipulowaniu tekstem szyfrowania w celu spowodowania przewidywalnych zmian w postaci zwykłego tekstu.

  Domyślnie ten algorytm jest zgodny ze standardami Federal Information Processing Standards (FIPS). FIPS to standard Stany Zjednoczone dla instytucji rządowych, który zapewnia test porównawczy do implementowania oprogramowania kryptograficznego.

• Ulepszone funkcje administracyjne. Funkcję BitLocker można zarządzać na komputerach lub innych urządzeniach przy użyciu następujących interfejsów:

  • Kreator funkcji BitLocker
  • manage-bde.exe
  • Obiekty zasad grupy (obiekty zasad grupy)
  • Zasady usługi Mobile Zarządzanie urządzeniami (MDM)
  • Windows PowerShell
  • Windows Management Interface (WMI)

• Integracja z identyfikatorem Entra firmy Microsoft (Microsoft Entra ID ) — funkcja BitLocker może przechowywać informacje odzyskiwania w identyfikatorze Entra firmy Microsoft, aby ułatwić odzyskiwanie.

• Ochrona portów bezpośredniego dostępu do pamięci (DMA) — przy użyciu zasad ZARZĄDZANIA urządzeniami przenośnymi do zarządzania funkcją BitLocker można zablokować porty DMA urządzenia, które zabezpiecza urządzenie podczas uruchamiania.

• Odblokowywanie sieciowe za pomocą funkcji BitLocker — jeśli komputer stacjonarny lub serwer z włączoną funkcją BitLocker jest połączony z przewodową siecią firmową w środowisku domeny, wolumin systemu operacyjnego można automatycznie odblokować podczas ponownego uruchamiania systemu.

• Obsługa szyfrowanych dysków twardych — szyfrowane dyski twarde to nowa klasa dysków twardych, które są samoszyfrowane na poziomie sprzętu i umożliwiają pełne szyfrowanie sprzętowe. Biorąc na to obciążenie, zaszyfrowane dyski twarde zwiększają wydajność funkcji BitLocker i zmniejszają użycie procesora CPU i zużycie energii.

• Obsługa klas dysków hybrydowych HDD/SSD — funkcja BitLocker może szyfrować dysk, który używa małego dysku SSD jako nietrwałej pamięci podręcznej przed dyskiem TWARDYM, takiego jak technologia Intel Rapid Storage Technology.

Maszyna wirtualna funkcji Hyper-V 2. generacji: nie można uzyskać dostępu do woluminu po szyfrowaniu funkcji BitLocker

Rozważmy następujący scenariusz:

1. Funkcja BitLocker jest włączona na maszynie wirtualnej generacji 2 uruchomionej w funkcji Hyper-V.

2. Dane są dodawane do dysku danych podczas szyfrowania.

3. Maszyna wirtualna jest ponownie uruchamiana i zaobserwowano następujące zachowanie:

   • Wolumin systemowy nie jest szyfrowany.

   • Zaszyfrowany wolumin nie jest dostępny, a komputer wyświetla listę systemu plików woluminu jako Nieznany.

   • Zostanie wyświetlony komunikat podobny do następującego:

     Aby można było go użyć, należy sformatować dysk w <drive_letter:>

Przyczyna braku dostępu do woluminu po szyfrowaniu funkcją BitLocker na maszynie wirtualnej funkcji Hyper-V 2. generacji

Ten problem występuje, ponieważ sterownik filtru innej firmy Stcvsm.sys (z programu StorageCraft) jest zainstalowany na maszynie wirtualnej.

Rozwiązanie problemu dotyczącego braku dostępu do woluminu po szyfrowaniu funkcją BitLocker na maszynie wirtualnej funkcji Hyper-V 2. generacji

Aby rozwiązać ten problem, usuń oprogramowanie innej firmy.

Migawki produkcyjne kończą się niepowodzeniem dla zwirtualizowanych kontrolerów domeny korzystających z dysków zaszyfrowanych za pomocą funkcji BitLocker

Rozważmy następujący scenariusz:

Serwer funkcji Hyper-V z systemem Windows Server 2019 lub 2016 obsługuje maszyny wirtualne (gości), które są skonfigurowane jako kontrolery domeny systemu Windows. Na maszynie wirtualnej gościa kontrolera domeny funkcja BitLocker zaszyfrowała dyski, które przechowują bazę danych usługi Active Directory i pliki dziennika. Gdy zostanie podjęta próba "migawki produkcyjnej" maszyny wirtualnej gościa kontrolera domeny, usługa przystawki woluminu (VSS) nie przetwarza poprawnie kopii zapasowej.

Ten problem występuje niezależnie od następujących zmian w środowisku:

• Jak są odblokowane woluminy kontrolera domeny.
• Niezależnie od tego, czy maszyny wirtualne są generacją 1, czy generacją 2.
• Czy system operacyjny gościa to Windows Server 2019, 2016 lub 2012 R2.

W dzienniku aplikacji Podgląd zdarzeń aplikacji dziennika> domeny maszyny wirtualnej gościa rejestruje zdarzenie o identyfikatorze 8229 źródła zdarzeń usługi VSS:

Identyfikator: 8229
Poziom: Ostrzeżenie
Źródło: VSS
Komunikat: Składnik zapisywania usługi VSS odrzucił zdarzenie z błędem 0x800423f4. Składnik zapisywania napotkał błąd nie przejściowy. Jeśli proces tworzenia kopii zapasowej zostanie ponowiony, prawdopodobnie wystąpi błąd.

Zmiany wprowadzone przez składnik zapisywania składników zapisywania podczas obsługi zdarzenia nie będą dostępne dla modułu żądającego.

Sprawdź dziennik zdarzeń pod kątem powiązanych zdarzeń z aplikacji obsługującej składnik zapisywania usługi VSS.

Operacja:
Zdarzenie PostSnapshot

Kontekst:
Kontekst wykonywania: składnik zapisywania
Identyfikator klasy składnika zapisywania: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Nazwa składnika zapisywania: NTDS
Identyfikator wystąpienia składnika zapisywania: {d170b355-a523-47ba-a5c8-732244f70e75}
Wiersz polecenia: C:\Windows\system32\lsass.exe

Identyfikator procesu: 680

W dzienniku usługi>katalogowej usługi katalogowej Podgląd zdarzeń kontrolera domeny maszyny wirtualnej gościa jest rejestrowane zdarzenie podobne do następującego zdarzenia:

Błąd Microsoft-Windows-ActiveDirectory_DomainService 1168
Wewnętrzny błąd przetwarzania: wystąpił błąd usług domena usługi Active Directory.

Dodatkowe dane
Wartość błędu (dziesiętna): -1022

Wartość błędu (szesnastkowy): fffffc02

Identyfikator wewnętrzny: 160207d9

W przypadku wystąpienia tego problemu składnik zapisywania usługi VSS domena usługi Active Directory Services (NTDS) wyświetli następujący błąd po uruchomieniu vssadmin.exe list writers polecenia:

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

Ponadto nie można utworzyć kopii zapasowej maszyn wirtualnych, dopóki nie zostaną ponownie uruchomione.

Przyczyna niepowodzenia migawek produkcyjnych dla zwirtualizowanych kontrolerów domeny korzystających z dysków zaszyfrowanych za pomocą funkcji BitLocker

Po utworzeniu migawki woluminu przez usługę VSS składnik zapisywania usługi VSS wykonuje akcje "post snapshot". Po zainicjowaniu "migawki produkcyjnej" z serwera hosta funkcja Hyper-V próbuje zainstalować migawek woluminu. Nie można jednak odblokować woluminu w celu uzyskania niezaszyfrowanego dostępu. Funkcja BitLocker na serwerze funkcji Hyper-V nie rozpoznaje woluminu. W związku z tym próba dostępu kończy się niepowodzeniem, a następnie operacja migawki kończy się niepowodzeniem.

Wynika to z ustawienia fabrycznego.

Obejście problemu dotyczącego migawek produkcyjnych nie powiodło się w przypadku zwirtualizowanych kontrolerów domeny korzystających z dysków zaszyfrowanych za pomocą funkcji BitLocker

Obsługiwanym sposobem wykonywania kopii zapasowych i przywracania zwirtualizowanego kontrolera domeny jest uruchomienie kopii zapasowej systemu Windows Server w systemie operacyjnym gościa.

Jeśli należy wykonać migawkę produkcyjną zwirtualizowanego kontrolera domeny, funkcję BitLocker można zawiesić w systemie operacyjnym gościa przed uruchomieniem migawki produkcyjnej. Jednak takie podejście nie jest zalecane.

Aby uzyskać więcej informacji i zalecenia dotyczące tworzenia kopii zapasowych zwirtualizowanych kontrolerów domeny, zobacz Virtualizing Domain Controllers using Hyper-V: Backup and Restore Considerations for Virtualized Domain Controllers (Wirtualizacja kontrolerów domeny przy użyciu funkcji Hyper-V: zagadnienia dotyczące tworzenia kopii zapasowych i przywracania dla zwirtualizowanych kontrolerów domeny)

Więcej informacji

Gdy moduł zapisywania NTDS usługi VSS żąda dostępu do zaszyfrowanego dysku, usługa podsystemu lokalnego urzędu zabezpieczeń (LSASS) generuje wpis błędu podobny do następującego błędu:

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

Operacja tworzy następujący stos wywołań:

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]