Compartir a través de

Configuración de BitLocker: problemas conocidos

  • Artículo

En este artículo se describen los problemas comunes que afectan a la configuración y la funcionalidad general de BitLocker. En este artículo también se proporcionan instrucciones para solucionar estos problemas.

El cifrado de BitLocker es más lento en Windows 10 y Windows 11

BitLocker se ejecuta en segundo plano para cifrar unidades. Sin embargo, en Windows 11 y Windows 10, BitLocker es menos agresivo al solicitar recursos que en versiones anteriores de Windows. Este comportamiento reduce la posibilidad de que BitLocker afecte al rendimiento del equipo.

Para compensar estos cambios, BitLocker usa un modelo de conversión denominado Encrypt-On-Write. Este modelo garantiza que las nuevas escrituras de disco se cifren tan pronto como BitLocker esté habilitado. Este comportamiento se produce en todas las ediciones de cliente y en las unidades internas.

Importante

Para conservar la compatibilidad con versiones anteriores, BitLocker usa el modelo de conversión anterior para cifrar unidades extraíbles.

Ventajas de usar el nuevo modelo de conversión

Con el modelo de conversión anterior, una unidad interna no se puede considerar protegida y compatible con los estándares de protección de datos hasta que se complete la conversión de BitLocker al 100 %. Antes de que finalice el proceso, los datos que existían en la unidad antes de comenzar el cifrado ( es decir, los datos potencialmente comprometidos) se pueden leer y escribir sin cifrado. Por lo tanto, para que los datos se consideren protegidos y conformes con los estándares de protección de datos, el proceso de cifrado debe finalizar antes de que los datos confidenciales se almacenen en la unidad. Dependiendo del tamaño de la unidad, este retraso puede ser considerable.

Con el nuevo modelo de conversión, los datos confidenciales se pueden almacenar en la unidad tan pronto como BitLocker esté activado. El proceso de cifrado no necesita finalizar primero y el cifrado no afecta negativamente al rendimiento. El inconveniente es que el proceso de cifrado de los datos preexistentes tarda más tiempo.

Otras mejoras de BitLocker

Se han mejorado varias otras áreas de BitLocker en versiones de Windows publicadas después de Windows 7:

  • Nuevo algoritmo de cifrado, XTS-AES : agregado en Windows 10 versión 1511, este algoritmo proporciona protección adicional contra una clase de ataques en datos cifrados que dependen de manipular texto cifrado para provocar cambios predecibles en texto sin formato.

    De forma predeterminada, este algoritmo cumple con los estándares federales de procesamiento de información (FIPS). FIPS es un estándar Estados Unidos Government que proporciona un punto de referencia para implementar software criptográfico.

  • Características de administración mejoradas. BitLocker se puede administrar en equipos u otros dispositivos mediante las interfaces siguientes:

    • Asistente para BitLocker
    • manage-bde.exe
    • Objetos de directiva de grupo (GPO)
    • Directiva de Administración de dispositivos móvil (MDM)
    • Windows PowerShell
    • Interfaz de administración de Windows (WMI)

  • Integración con Microsoft Entra ID (Microsoft Entra ID): BitLocker puede almacenar información de recuperación en Microsoft Entra ID para facilitar la recuperación.

  • Protección de puertos de acceso directo a memoria (DMA): mediante el uso de directivas MDM para administrar BitLocker, los puertos DMA de un dispositivo se pueden bloquear, lo que protege el dispositivo durante su inicio.

  • Desbloqueo de red de BitLocker: si el equipo de servidor o de escritorio habilitado para BitLocker está conectado a una red corporativa cableada en un entorno de dominio, su volumen del sistema operativo se puede desbloquear automáticamente durante un reinicio del sistema.

  • Compatibilidad con unidades de disco duro cifradas: las unidades de disco duro cifradas son una nueva clase de unidades de disco duro que se autocifran en un nivel de hardware y permiten el cifrado de hardware de disco completo. Al asumir esa carga de trabajo, las unidades de disco duro cifradas aumentan el rendimiento de BitLocker y reducen el uso de CPU y el consumo de energía.

  • Compatibilidad con clases de discos híbridos HDD/SSD: BitLocker puede cifrar un disco que usa un ssd pequeño como una caché no volátil delante de la HDD, como la tecnología de almacenamiento rápido de Intel.

Máquina virtual de Hyper-V de generación 2: no se puede acceder al volumen después del cifrado de BitLocker

Considere el caso siguiente:

  1. BitLocker está activado en una máquina virtual de generación 2 que se ejecuta en Hyper-V.

  2. Los datos se agregan al disco de datos a medida que se cifran.

  3. La máquina virtual se reinicia y se observa el siguiente comportamiento:

    • El volumen del sistema no está cifrado.

    • El volumen cifrado no es accesible y el equipo muestra el sistema de archivos del volumen como Desconocido.

    • Se muestra un mensaje similar al siguiente:

      Debe dar formato al disco en <drive_letter:> unidad para poder usarla.

Causa de no poder acceder al volumen después del cifrado de BitLocker en una máquina virtual de Hyper-V de generación 2

Este problema se produce porque el controlador de filtro de terceros Stcvsm.sys (desde StorageCraft) está instalado en la máquina virtual.

Resolución para no poder acceder al volumen después del cifrado de BitLocker en una máquina virtual de Hyper-V de generación 2

Para resolver este problema, quite el software de terceros.

Se produce un error en las instantáneas de producción de controladores de dominio virtualizados que usan discos cifrados con BitLocker.

Considere el caso siguiente:

Un servidor de Hyper-V de Windows Server 2019 o 2016 hospeda máquinas virtuales (invitados) configuradas como controladores de dominio de Windows. En una máquina virtual invitada del controlador de dominio, BitLocker ha cifrado los discos que almacenan los archivos de registro y la base de datos de Active Directory. Cuando se intenta realizar una "instantánea de producción" de la máquina virtual invitada del controlador de dominio, el servicio Volume Snap-Shot (VSS) no procesa correctamente la copia de seguridad.

Este problema se produce independientemente de cualquiera de las siguientes variaciones en el entorno:

  • Cómo se desbloquean los volúmenes del controlador de dominio.
  • Si las máquinas virtuales son de generación 1 o generación 2.
  • Si el sistema operativo invitado es Windows Server 2019, 2016 o 2012 R2.

En el registro de la aplicación de registros>de windows del controlador de dominio de máquina virtual invitado Visor de eventos, el origen del evento VSS registra el identificador de evento 8229:

Identificador: 8229
Nivel: Advertencia
Origen: VSS
Mensaje: Un escritor de VSS ha rechazado un evento con 0x800423f4 de error. The writer experienced a non-transient error (Hyper-V no pudo generar el conjunto de instantáneas VSS para la máquina virtual: hay más datos disponibles. El escritor ha experimentado un error transitorio). Si se reintenta el proceso de copia de seguridad, es probable que el error se vuelva a repetir.

Los cambios realizados por el escritor en los componentes del sistema de escritura al controlar el evento no estarán disponibles para el solicitante.

Compruebe el registro de eventos para ver los eventos relacionados de la aplicación que hospeda el escritor de VSS.

Operación:
PostSnapshot (evento)

Contexto:
Contexto de ejecución: Escritor
Identificador de clase writer: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Nombre del escritor: NTDS
Identificador de instancia del escritor: {d170b355-a523-47ba-a5c8-732244f70e75}
Línea de comandos: C:\Windows\system32\lsass.exe

Id. de proceso: 680

En el registro de servicios y> aplicaciones del controlador de dominio de máquina virtual invitado Visor de eventos registro, hay un evento registrado similar al siguiente:

Error Microsoft-Windows-ActiveDirectory_DomainService 1168
Error interno de procesamiento interno: se ha producido un error de Servicios de dominio de Active Directory.

Datos adicionales
Valor de error (decimal): -1022

Valor de error (hexadecimal): fffffc02

Identificador interno: 160207d9

Nota:

El identificador interno de este evento puede diferir en función de la versión del sistema operativo y del nivel de revisión.

Cuando se produce este problema, VSS Writer de Servicios de dominio de Active Directory (NTDS) mostrará el siguiente error cuando se ejecute el vssadmin.exe list writers comando:

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

Además, las máquinas virtuales no se pueden realizar copias de seguridad hasta que se reinicien.

Causa de un error de instantáneas de producción para controladores de dominio virtualizados que usan discos cifrados con BitLocker

Después de que VSS cree una instantánea de un volumen, el escritor de VSS realiza acciones de "instantánea posterior". Cuando se inicia una "instantánea de producción" desde el servidor host, Hyper-V intenta montar el volumen con instantáneas. Sin embargo, no puede desbloquear el volumen para el acceso sin cifrar. BitLocker en el servidor de Hyper-V no reconoce el volumen. Por lo tanto, se produce un error en el intento de acceso y, a continuación, se produce un error en la operación de instantánea.

Este comportamiento es por diseño.

La solución alternativa para las instantáneas de producción produce un error en los controladores de dominio virtualizados que usan discos cifrados con BitLocker

Una manera compatible de realizar copias de seguridad y restauración de un controlador de dominio virtualizado es ejecutar Copias de seguridad de Windows Server en el sistema operativo invitado.

Si es necesario tomar una instantánea de producción de un controlador de dominio virtualizado, BitLocker se puede suspender en el sistema operativo invitado antes de iniciar la instantánea de producción. Sin embargo, no se recomienda este enfoque.

Para obtener más información y recomendaciones sobre la copia de seguridad de controladores de dominio virtualizados, consulte Virtualizing Domain Controllers using Hyper-V: Backup and Restore Considerations for Virtualized Domain Controllers (Virtualizar controladores de dominio mediante Hyper-V: Consideraciones de copia de seguridad y restauración para controladores de dominio virtualizados).

Más información

Cuando el escritor NTDS de VSS solicita acceso a la unidad cifrada, el servicio subsistema de autoridad de seguridad local (LSASS) genera una entrada de error similar a la siguiente:

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

La operación genera la siguiente pila de llamadas:

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]