Configurazione di BitLocker: problemi noti

Questo articolo descrive i problemi comuni che influiscono sulla configurazione e sulle funzionalità generali di BitLocker. Questo articolo fornisce anche indicazioni per risolvere questi problemi.

La crittografia BitLocker è più lenta in Windows 10 e Windows 11

BitLocker viene eseguito in background per crittografare le unità. Tuttavia, in Windows 11 e Windows 10 BitLocker è meno aggressivo rispetto alle versioni precedenti di Windows. Questo comportamento riduce la probabilità che BitLocker influirà sulle prestazioni del computer.

Per compensare queste modifiche, BitLocker usa un modello di conversione denominato Encrypt-On-Write. Questo modello assicura che tutte le nuove scritture su disco vengano crittografate non appena BitLocker è abilitato. Questo comportamento si verifica in tutte le edizioni client e per qualsiasi unità interna.

Importante

Per mantenere la compatibilità con le versioni precedenti, BitLocker usa il modello di conversione precedente per crittografare le unità rimovibili.

Vantaggi dell'uso del nuovo modello di conversione

Usando il modello di conversione precedente, un'unità interna non può essere considerata protetta e conforme agli standard di protezione dei dati fino al completamento della conversione di BitLocker al 100%. Prima del completamento del processo, i dati esistenti nell'unità prima dell'inizio della crittografia, ovvero i dati potenzialmente compromessi, possono comunque essere letti e scritti senza crittografia. Pertanto, affinché i dati vengano considerati protetti e conformi agli standard di protezione dei dati, il processo di crittografia deve terminare prima che i dati sensibili vengano archiviati nell'unità. A seconda delle dimensioni dell'unità, questo ritardo può essere sostanziale.

Usando il nuovo modello di conversione, i dati sensibili possono essere archiviati nell'unità non appena BitLocker è attivato. Il processo di crittografia non deve essere completato per primo e la crittografia non influisce negativamente sulle prestazioni. Il compromesso è che il processo di crittografia per i dati preesistenti richiede più tempo.

Altri miglioramenti di BitLocker

Diverse altre aree di BitLocker sono state migliorate nelle versioni di Windows rilasciate dopo Windows 7:

• Nuovo algoritmo di crittografia, XTS-AES - Aggiunto in Windows 10 versione 1511, questo algoritmo offre una protezione aggiuntiva da una classe di attacchi sui dati crittografati che si basano sulla modifica del testo crittografato per causare modifiche prevedibili nel testo normale.

  Per impostazione predefinita, questo algoritmo è conforme agli standard FIPS (Federal Information Processing Standards). FIPS è uno standard Stati Uniti government che fornisce un benchmark per l'implementazione di software crittografico.

• Funzionalità di amministrazione migliorate. BitLocker può essere gestito su PC o altri dispositivi usando le interfacce seguenti:

  • Procedura guidata di BitLocker
  • manage-bde.exe
  • Oggetti Criteri di gruppo
  • Criteri di Gestione dispositivi per dispositivi mobili (MDM)
  • Windows PowerShell
  • Interfaccia gestione Windows (WMI)

• Integrazione con Microsoft Entra ID (Microsoft Entra ID) - BitLocker può archiviare le informazioni di ripristino in Microsoft Entra ID per semplificare il ripristino.

• Protezione delle porte DMA (Direct Memory Access): usando i criteri MDM per gestire BitLocker, è possibile bloccare le porte DMA di un dispositivo che protegge il dispositivo durante l'avvio.

• Sblocco di rete BitLocker: se il computer desktop o server abilitato per BitLocker è connesso a una rete aziendale cablata in un ambiente di dominio, il volume del sistema operativo può essere sbloccato automaticamente durante un riavvio del sistema.

• Supporto per i dischi rigidi crittografati: i dischi rigidi crittografati sono una nuova classe di dischi rigidi autocrittografati a livello hardware e consentono la crittografia completa dell'hardware del disco. Prendendo in considerazione tale carico di lavoro, i dischi rigidi crittografati aumentano le prestazioni di BitLocker e riducono l'utilizzo della CPU e il consumo di energia.

• Supporto per classi di dischi ibridi HDD/SSD: BitLocker può crittografare un disco che usa un'unità SSD di piccole dimensioni come cache non volatile davanti all'UNITÀ HDD, ad esempio Intel Rapid Storage Technology.

Macchina virtuale hyper-V di seconda generazione: non è possibile accedere al volume dopo la crittografia BitLocker

Prendi in considerazione lo scenario seguente:

1. BitLocker è attivato su una macchina virtuale di seconda generazione che viene eseguita in Hyper-V.

2. I dati vengono aggiunti al disco dati durante la crittografia.

3. La macchina virtuale viene riavviata e viene osservato il comportamento seguente:

   • Il volume di sistema non è crittografato.

   • Il volume crittografato non è accessibile e il computer elenca il file system del volume come Sconosciuto.

   • Viene visualizzato un messaggio simile al seguente:

     È necessario formattare il disco in <drive_letter:> unità prima di poterlo usare

Causa di non essere in grado di accedere al volume dopo la crittografia BitLocker in una macchina virtuale hyper-V di seconda generazione

Questo problema si verifica perché il driver di filtro di terze parti Stcvsm.sys (da StorageCraft) è installato nella macchina virtuale.

Risoluzione per non essere in grado di accedere al volume dopo la crittografia BitLocker in una macchina virtuale hyper-V di seconda generazione

Per risolvere questo problema, rimuovere il software di terze parti.

Gli snapshot di produzione hanno esito negativo per i controller di dominio virtualizzati che usano dischi crittografati con BitLocker

Prendi in considerazione lo scenario seguente:

Un server Hyper-V di Windows Server 2019 o 2016 ospita macchine virtuali (guest) configurate come controller di dominio Windows. In una macchina virtuale guest del controller di dominio BitLocker ha crittografato i dischi che archiviano il database di Active Directory e i file di log. Quando viene eseguito un tentativo di "snapshot di produzione" della macchina virtuale guest del controller di dominio, il servizio Snapshot del volume (VSS) non elabora correttamente il backup.

Questo problema si verifica indipendentemente da una delle varianti seguenti nell'ambiente:

• Modalità di sblocco dei volumi del controller di dominio.
• Indica se le macchine virtuali sono di prima o seconda generazione.
• Indica se il sistema operativo guest è Windows Server 2019, 2016 o 2012 R2.

Nel registro Visualizzatore eventi dell'applicazione del>controller di dominio della macchina virtuale guest, il registro dell'origine eventi vss registra l'ID evento 8229:

ID: 8229
Livello: Avviso
Origine: VSS
Messaggio: un writer vss ha rifiutato un evento con errore 0x800423f4. Il writer ha riscontrato un errore non temporaneo. Se si ritenta il processo di backup, è probabile che l'errore si verifichi di nuovo.

Le modifiche apportate dal writer ai componenti del writer durante la gestione dell'evento non saranno disponibili per il richiedente.

Controllare il registro eventi per verificare la presenza di eventi correlati dall'applicazione che ospita il writer vss.

Operazione:
PostSnapshot, evento

Contesto:
Contesto di esecuzione: Writer
ID classe writer: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Nome writer: NTDS
ID istanza writer: {d170b355-a523-47ba-a5c8-732244f70e75}
Riga di comando: C:\Windows\system32\lsass.exe

ID processo: 680

Nel log del servizio directory del controller di dominio della macchina virtuale guest Applicazioni e servizi del>servizio directory Visualizzatore eventi è presente un evento registrato in modo simile all'evento seguente:

Errore Microsoft-Windows-ActiveDirectory_DomainService 1168
Errore interno di elaborazione interna: si è verificato un errore di Dominio di Active Directory Services.

Dati aggiuntivi
Valore errore (decimale): -1022

Valore errore (esadecimale): fffffc02

ID interno: 160207d9

Note

L'ID interno di questo evento può variare in base alla versione del sistema operativo e al livello di patch.

Quando si verifica questo problema, il writer VSS (NTDS) di Dominio di Active Directory Services visualizzerà l'errore seguente quando viene eseguito il vssadmin.exe list writers comando:

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

Inoltre, non è possibile eseguire il backup delle macchine virtuali fino al riavvio.

Causa di snapshot di produzione non riuscita per i controller di dominio virtualizzati che usano dischi crittografati con BitLocker

Dopo aver creato uno snapshot di un volume, vss writer esegue le azioni "post snapshot". Quando viene avviato uno "snapshot di produzione" dal server host, Hyper-V tenta di montare il volume con snapshot. Tuttavia, non può sbloccare il volume per l'accesso non crittografato. BitLocker nel server Hyper-V non riconosce il volume. Di conseguenza, il tentativo di accesso non riesce e quindi l'operazione snapshot non riesce.

Questo comportamento è impostato a livello di progettazione.

Soluzione alternativa per gli snapshot di produzione non riuscita per i controller di dominio virtualizzati che usano dischi crittografati con BitLocker

Un modo supportato per eseguire il backup e il ripristino di un controller di dominio virtualizzato consiste nell'eseguire Windows Server Backup nel sistema operativo guest.

Se è necessario creare uno snapshot di produzione di un controller di dominio virtualizzato, BitLocker può essere sospeso nel sistema operativo guest prima dell'avvio dello snapshot di produzione. Tuttavia, questo approccio non è consigliato.

Per altre informazioni e consigli sul backup di controller di dominio virtualizzati, vedere Virtualizing Domain Controllers using Hyper-V: Backup and Restore Considerations for Virtualized Domain Controllers (Virtualizing Domain Controllers using Hyper-V: Backup and Restore Considerations for Virtualized Domain Controllers for Virtualized Domain Controllers)

Ulteriori informazioni

Quando il writer NTDS VSS richiede l'accesso all'unità crittografata, il servizio LSASS (Local Security Authority Subsystem Service) genera una voce di errore simile all'errore seguente:

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

L'operazione produce lo stack di chiamate seguente:

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]