Directrices para solucionar problemas de BitLocker
En este artículo se tratan los problemas comunes de BitLocker y se proporcionan instrucciones para solucionar estos problemas. En este artículo también se proporciona información como qué datos se van a recopilar y qué configuración se va a comprobar. Esta información facilita mucho el proceso de solución de problemas.
Revise los registros de eventos
Abra Visor de eventos y revise los siguientes registros en Registros>de aplicaciones y servicios de Microsoft>Windows:
BitLocker-API. Revise el registro de administración , el registro operativo y cualquier otro registro que se genere en esta carpeta. Los registros predeterminados tienen los siguientes nombres únicos:
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/Tracing : solo se muestra cuando se habilita Mostrar registros analíticos y de depuración
BitLocker-DrivePreparationTool. Revise el registro de administrador, el registro operativo y cualquier otro registro que se genere en esta carpeta. Los registros predeterminados tienen los siguientes nombres únicos:
- Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
Además, revise el registro de Windows Logs>System para los eventos generados por los orígenes de eventos TPM y TPM-WMI.
Para filtrar y mostrar o exportar registros, se puede usar la herramienta de línea de comandos wevtutil.exe o el cmdlet de PowerShell Get-WinEvent .
Por ejemplo, para usar wevtutil.exe para exportar el contenido del registro operativo desde la carpeta BitLocker-API a un archivo de texto denominado BitLockerAPIOpsLog.txt, abra una ventana del símbolo del sistema y ejecute el siguiente comando:
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
Para usar el cmdlet Get-WinEvent para exportar el mismo registro a un archivo de texto separado por comas, abra una ventana de Windows PowerShell y ejecute el siguiente comando:
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
Get-WinEvent se puede usar en una ventana de PowerShell con privilegios elevados para mostrar información filtrada del registro del sistema o de la aplicación mediante la sintaxis siguiente:
Para mostrar información relacionada con BitLocker:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | flLa salida de este comando es similar a la siguiente:
Para exportar información relacionada con BitLocker:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csvPara mostrar información relacionada con TPM:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | flPara exportar información relacionada con TPM:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csvLa salida de este comando es similar a la siguiente.
Nota:
Al ponerse en contacto con Soporte técnico de Microsoft, se recomienda exportar los registros enumerados en esta sección.
Recopilación de información de estado de las tecnologías de BitLocker
Abra una ventana de Windows PowerShell con privilegios elevados y ejecute cada uno de los siguientes comandos:
| Get-Help | Notas | Más información |
|---|---|---|
Get-Tpm > C:\TPM.txt |
Cmdlet de PowerShell que exporta información sobre el módulo de plataforma segura (TPM) del equipo local. Este cmdlet muestra valores diferentes en función de si el chip de TPM es la versión 1.2 o 2.0. Este cmdlet no se admite en Windows 7. | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
Exporta información sobre el estado de cifrado general de todas las unidades del equipo. | estado de manage-bde.exe |
manage-bde.exe c: -protectors -get > C:\Protectors |
Exporta información sobre los métodos de protección que se usan para la clave de cifrado de BitLocker. | protectores de manage-bde.exe |
reagentc.exe /info > C:\reagent.txt |
Exporta información sobre una imagen en línea o sin conexión sobre el estado actual del entorno de recuperación de Windows (WindowsRE) y cualquier imagen de recuperación disponible. | reagentc.exe |
Get-BitLockerVolume \| fl |
Cmdlet de PowerShell que obtiene información sobre los volúmenes que el cifrado de unidad BitLocker puede proteger. | Get-BitLockerVolume |
Revisar la información de configuración
Abra una ventana del símbolo del sistema con privilegios elevados y ejecute los siguientes comandos:
Get-Help Notas Más información gpresult.exe /h <Filename>Exporta el conjunto resultante de información de directiva y guarda la información como un archivo HTML. gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>Exporta información completa sobre el hardware, los componentes del sistema y el entorno de software en el equipo local. La opción /report guarda la información como un archivo .txt. msinfo.exe Abra el Editor del Registro y exporte las entradas en las subclaves siguientes:
HKLM\SOFTWARE\Policies\Microsoft\FVEHKLM\SYSTEM\CurrentControlSet\Services\TPM\
Comprobación de los requisitos previos de BitLocker
La configuración común que puede causar problemas para BitLocker incluye los siguientes escenarios:
El TPM debe estar desbloqueado. Compruebe la salida del comando del cmdlet get-tpm de PowerShell para ver el estado del TPM.
Windows RE debe estar habilitado. Compruebe la salida del comando reagentc.exe para ver el estado de WindowsRE.
La partición reservada por el sistema debe usar el formato correcto.
- En equipos Unified Extensible Firmware Interface (UEFI), la partición reservada por el sistema debe tener el formato FAT32.
- En los equipos heredados, la partición reservada por el sistema debe tener el formato NTFS.
Si el dispositivo que está teniendo problemas es un pc de tableta o pizarra, use https://gpsearch.azurewebsites.net/#8153 para comprobar el estado de la opción Habilitar el uso de la autenticación de BitLocker que requiere la entrada previa del teclado en la pizarra .
Para obtener más información sobre los requisitos previos de BitLocker, consulte Implementación básica de BitLocker: Uso de BitLocker para cifrar volúmenes
Pasos siguientes
Si la información que se examina hasta ahora indica un problema específico (por ejemplo, WindowsRE no está habilitado), el problema puede tener una corrección sencilla.
La resolución de problemas que no tienen causas obvias depende exactamente de los componentes implicados y de qué comportamiento se está viendo. La información recopilada ayuda a reducir las áreas que se van a investigar.
Si Microsoft Intune administra el dispositivo con problemas, consulte Aplicación de directivas de BitLocker mediante Intune: problemas conocidos.
Si BitLocker no se inicia o no puede cifrar una unidad y se producen errores o eventos relacionados con el TPM, consulte BitLocker no puede cifrar una unidad: problemas conocidos de TPM.
Si BitLocker no se inicia o no puede cifrar una unidad, consulte BitLocker no puede cifrar una unidad: problemas conocidos.
Si el desbloqueo de red de BitLocker no se comporta según lo esperado, consulte Desbloqueo de red de BitLocker: problemas conocidos.
Si BitLocker no se comporta según lo esperado cuando se recupera una unidad cifrada o si BitLocker recuperó inesperadamente una unidad, consulte Recuperación de BitLocker: problemas conocidos.
Si BitLocker o la unidad cifrada no se comportan según lo esperado y se producen errores o eventos relacionados con el TPM, consulte BitLocker y TPM: otros problemas conocidos.
Si BitLocker o la unidad cifrada no se comportan según lo previsto, consulte Configuración de BitLocker: problemas conocidos.
Se recomienda mantener la información recopilada a mano en caso de que Soporte técnico de Microsoft se póngase en contacto con él para obtener ayuda para resolver el problema.