Partager via

Configuration de BitLocker : problèmes connus

  • Article

Cet article décrit les problèmes courants qui affectent la configuration de BitLocker et les fonctionnalités générales. Cet article fournit également des conseils pour résoudre ces problèmes.

Le chiffrement BitLocker est plus lent dans Windows 10 et Windows 11

BitLocker s’exécute en arrière-plan pour chiffrer les lecteurs. Toutefois, dans Windows 11 et Windows 10, BitLocker est moins agressif sur la demande de ressources que dans les versions précédentes de Windows. Ce comportement réduit le risque que BitLocker affecte les performances de l’ordinateur.

Pour compenser ces modifications, BitLocker utilise un modèle de conversion appelé Encrypt-On-Write. Ce modèle garantit que toutes les nouvelles écritures de disque sont chiffrées dès que BitLocker est activé. Ce comportement se produit sur toutes les éditions du client et pour tous les lecteurs internes.

Important

Pour préserver la compatibilité descendante, BitLocker utilise le modèle de conversion précédent pour chiffrer les lecteurs amovibles.

Avantages de l’utilisation du nouveau modèle de conversion

En utilisant le modèle de conversion précédent, un lecteur interne ne peut pas être considéré comme protégé et conforme aux normes de protection des données tant que la conversion BitLocker n’est pas terminée à 100 %. Avant la fin du processus, les données qui existaient sur le lecteur avant le début du chiffrement , c’est-à-dire les données potentiellement compromises, peuvent toujours être lues et écrites sans chiffrement. Par conséquent, pour que les données soient considérées comme protégées et conformes aux normes de protection des données, le processus de chiffrement doit se terminer avant que les données sensibles soient stockées sur le lecteur. Selon la taille du lecteur, ce délai peut être important.

En utilisant le nouveau modèle de conversion, les données sensibles peuvent être stockées sur le lecteur dès que BitLocker est activé. Le processus de chiffrement n’a pas besoin de terminer en premier, et le chiffrement n’affecte pas les performances. Le compromis est que le processus de chiffrement pour les données préexistantes prend plus de temps.

Autres améliorations de BitLocker

Plusieurs autres domaines de BitLocker ont été améliorés dans les versions de Windows publiées après Windows 7 :

  • Nouvel algorithme de chiffrement, XTS-AES - Ajouté dans Windows 10 version 1511, cet algorithme offre une protection supplémentaire contre une classe d’attaques sur des données chiffrées qui s’appuient sur la manipulation de texte chiffré pour provoquer des modifications prévisibles en texte brut.

    Par défaut, cet algorithme est conforme aux normes fiPS (Federal Information Processing Standards). FIPS est une norme États-Unis Government qui fournit un point de référence pour l’implémentation de logiciels de chiffrement.

  • Amélioration des fonctionnalités d’administration. BitLocker peut être géré sur des PC ou d’autres appareils à l’aide des interfaces suivantes :

    • Assistant BitLocker
    • manage-bde.exe
    • Objets de stratégie de groupe (GPO)
    • Stratégie de Gestion des appareils mobile (GPM)
    • Windows PowerShell
    • Interface de gestion Windows (WMI)

  • Intégration à l’ID Microsoft Entra (ID Microsoft Entra) : BitLocker peut stocker les informations de récupération dans l’ID Microsoft Entra pour faciliter la récupération.

  • Protection de port d’accès direct à la mémoire (DMA) : à l’aide de stratégies GPM pour gérer BitLocker, les ports DMA d’un appareil peuvent être bloqués, ce qui sécurise l’appareil pendant son démarrage.

  • Déverrouillage réseau BitLocker : si l’ordinateur de bureau ou serveur bitLocker est connecté à un réseau d’entreprise câblé dans un environnement de domaine, son volume de système d’exploitation peut être déverrouillé automatiquement lors d’un redémarrage du système.

  • Prise en charge des disques durs chiffrés : les disques durs chiffrés sont une nouvelle classe de disques durs qui sont autochiffrés au niveau matériel et autorisent le chiffrement matériel de disque complet. En prenant cette charge de travail, les disques durs chiffrés augmentent les performances BitLocker et réduisent l’utilisation du processeur et la consommation d’énergie.

  • Prise en charge des classes de disques hybrides HDD/SSD : BitLocker peut chiffrer un disque qui utilise un petit disque SSD en tant que cache non volatile devant le disque DUR, tel qu’Intel Rapid Storage Technology.

Machine virtuelle Hyper-V de génération 2 : impossible d’accéder au volume après le chiffrement BitLocker

Examinez le cas suivant :

  1. BitLocker est activé sur une machine virtuelle de génération 2 qui s’exécute sur Hyper-V.

  2. Les données sont ajoutées au disque de données au fur et à mesure qu’elles chiffrent.

  3. La machine virtuelle est redémarrée et le comportement suivant est observé :

    • Le volume système n’est pas chiffré.

    • Le volume chiffré n’est pas accessible et l’ordinateur répertorie le système de fichiers du volume comme inconnu.

    • Un message similaire au message suivant s’affiche :

      Vous devez mettre en forme le disque dans <drive_letter :> lecteur avant de pouvoir l’utiliser

Cause de ne pas pouvoir accéder au volume après le chiffrement BitLocker sur une machine virtuelle Hyper-V de génération 2

Ce problème se produit parce que le pilote de filtre tiers Stcvsm.sys (à partir de StorageCraft) est installé sur la machine virtuelle.

Résolution pour ne pas pouvoir accéder au volume après le chiffrement BitLocker sur une machine virtuelle Hyper-V de génération 2

Pour résoudre ce problème, supprimez le logiciel tiers.

Les instantanés de production échouent pour les contrôleurs de domaine virtualisés qui utilisent des disques chiffrés Par BitLocker

Examinez le cas suivant :

Un serveur Hyper-V Windows Server 2019 ou 2016 héberge des machines virtuelles (invités) configurées en tant que contrôleurs de domaine Windows. Sur une machine virtuelle invitée du contrôleur de domaine, BitLocker a chiffré les disques qui stockent la base de données Active Directory et les fichiers journaux. Lorsqu’un « instantané de production » de la machine virtuelle invitée du contrôleur de domaine est tenté, le service VSS (Volume Snap-Shot) ne traite pas correctement la sauvegarde.

Ce problème se produit indépendamment de l’une des variations suivantes dans l’environnement :

  • Comment les volumes du contrôleur de domaine sont déverrouillés.
  • Indique si les machines virtuelles sont de génération 1 ou de génération 2.
  • Indique si le système d’exploitation invité est Windows Server 2019, 2016 ou 2012 R2.

Dans le journal de l’observateur d’événements de l’observateur d’événements de l’application windows du contrôleur >de domaine de machine virtuelle invité, la source d’événements VSS enregistre l’ID d’événement 8229 :

ID : 8229
Niveau : Avertissement
Source : VSS
Message : un enregistreur VSS a rejeté un événement avec une erreur 0x800423f4. The writer experienced a non-transient error. Si le processus de sauvegarde est retenté, l’erreur est susceptible de se reproduire.

Les modifications apportées par l’enregistreur aux composants de l’enregistreur lors de la gestion de l’événement ne seront pas disponibles pour le demandeur.

Vérifiez le journal des événements associés à partir de l’application qui héberge l’enregistreur VSS.

Opération :
PostSnapshot, événement

Contexte :
Contexte d’exécution : Writer
ID de classe Writer : {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Nom de l’enregistreur : NTDS
ID d’instance writer : {d170b355-a523-47ba-a5c8-732244f70e75}
Ligne de commande : C :\Windows\system32\lsass.exe

ID de processus : 680

Dans le journal de l’observateur d’événements du contrôleur de domaine de machine virtuelle invitée, le journal des événements de l’observateur d’événements du service d’annuaire des journaux d’activité des journaux>d’activité de la machine virtuelle invitée est enregistré comme suit :

Erreur Microsoft-Windows-ActiveDirectory_DomainService 1168
Erreur interne de traitement interne : une erreur services de domaine Active Directory s’est produite.

Données supplémentaires
Valeur d’erreur (décimale) : -1022

Valeur d’erreur (hexadécimal) : fffffc02

ID interne : 160207d9

Note

L’ID interne de cet événement peut différer en fonction de la version du système d’exploitation et du niveau de correctif.

Lorsque ce problème se produit, l’enregistreur VSS (NTDS) services de domaine Active Directory affiche l’erreur suivante lors de l’exécution de la vssadmin.exe list writers commande :

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

En outre, les machines virtuelles ne peuvent pas être sauvegardées tant qu’elles ne sont pas redémarrées.

Cause de l’échec des captures instantanées de production pour les contrôleurs de domaine virtualisés qui utilisent des disques chiffrés par BitLocker

Une fois VSS créé un instantané d’un volume, l’enregistreur VSS effectue des actions « post snapshot ». Lorsqu’un « instantané de production » est lancé à partir du serveur hôte, Hyper-V tente de monter le volume instantané. Toutefois, il ne peut pas déverrouiller le volume pour un accès non chiffré. BitLocker sur le serveur Hyper-V ne reconnaît pas le volume. Par conséquent, la tentative d’accès échoue, puis l’opération d’instantané échoue.

Ce comportement est normal.

La solution de contournement pour les instantanés de production échoue pour les contrôleurs de domaine virtualisés qui utilisent des disques chiffrés par BitLocker

Une méthode prise en charge pour effectuer la sauvegarde et la restauration d’un contrôleur de domaine virtualisé consiste à exécuter la sauvegarde Windows Server dans le système d’exploitation invité.

Si un instantané de production d’un contrôleur de domaine virtualisé doit être pris, BitLocker peut être suspendu dans le système d’exploitation invité avant le démarrage de l’instantané de production. Toutefois, cette approche n’est pas recommandée.

Pour plus d’informations et de recommandations sur la sauvegarde des contrôleurs de domaine virtualisés, consultez Virtualisation des contrôleurs de domaine à l’aide d’Hyper-V : Considérations relatives à la sauvegarde et à la restauration pour les contrôleurs de domaine virtualisés

Plus d’informations

Lorsque l’enregistreur VSS NTDS demande l’accès au lecteur chiffré, le service de sous-système de l’autorité de sécurité locale (LSASS) génère une entrée d’erreur similaire à l’erreur suivante :

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

L’opération produit la pile d’appels suivante :

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]