Condividi tramite


Linee guida per la risoluzione dei problemi di BitLocker

Questo articolo risolve i problemi comuni in BitLocker e fornisce linee guida per risolvere questi problemi. Questo articolo fornisce anche informazioni quali i dati da raccogliere e le impostazioni da controllare. Queste informazioni semplificano notevolmente il processo di risoluzione dei problemi.

Esaminare i log eventi

Aprire Visualizzatore eventi ed esaminare i log seguenti in Registri> applicazioni e serviziMicrosoft>Windows:

  • BitLocker-API. Esaminare il log di gestione , il log operativo e tutti gli altri log generati in questa cartella. I log predefiniti hanno i nomi univoci seguenti:

    • Microsoft-Windows-BitLocker-API/Management
    • Microsoft-Windows-BitLocker-API/Operational
    • Microsoft-Windows-BitLocker-API/Tracing : visualizzato solo quando è abilitato Show Analytic and Debug Logs (Mostra log di analisi e debug )
  • BitLocker-DrivePreparationTool. Esaminare il log Amministrazione, il log operativo e tutti gli altri log generati in questa cartella. I log predefiniti hanno i nomi univoci seguenti:

    • Microsoft-Windows-BitLocker-DrivePreparationTool/Amministrazione
    • Microsoft-Windows-BitLocker-DrivePreparationTool/Operational

Esaminare anche il log disistemadei log> di Windows per individuare gli eventi generati dalle origini eventi TPM e TPM-WMI.

Per filtrare e visualizzare o esportare i log, è possibile usare lo strumento da riga di comando wevtutil.exe o il cmdlet Di PowerShell Get-WinEvent .

Ad esempio, per usare wevtutil.exe per esportare il contenuto del log operativo dalla cartella BitLocker-API in un file di testo denominato BitLockerAPIOpsLog.txt, aprire una finestra del prompt dei comandi ed eseguire il comando seguente:

wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt

Per usare il cmdlet Get-WinEvent per esportare lo stesso log in un file di testo delimitato da virgole, aprire una finestra di Windows PowerShell ed eseguire il comando seguente:

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational"  | Export-Csv -Path Bitlocker-Operational.csv

Il Get-WinEvent può essere usato in una finestra di PowerShell con privilegi elevati per visualizzare informazioni filtrate dal registro applicazioni o dal sistema usando la sintassi seguente:

  • Per visualizzare informazioni correlate a BitLocker:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl
    

    L'output di un comando di questo tipo è simile al seguente:

    Screenshot dell'output prodotto usando Get-WinEvent e un filtro BitLocker.

  • Per esportare informazioni correlate a BitLocker:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv
    
  • Per visualizzare informazioni correlate a TPM:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl
    
  • Per esportare informazioni correlate a TPM:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv
    

    L'output di un comando di questo tipo è simile al seguente.

    Screenshot dell'output prodotto usando Get-WinEvent e un filtro TPM.

Nota

Quando si contatta supporto tecnico Microsoft, è consigliabile esportare i log elencati in questa sezione.

Raccogliere informazioni sullo stato dalle tecnologie BitLocker

Aprire una finestra di Windows PowerShell con privilegi elevati ed eseguire ognuno dei comandi seguenti:

Comando Note Ulteriori informazioni
Get-Tpm > C:\TPM.txt Cmdlet di PowerShell che esporta informazioni sul TPM (Trusted Platform Module) del computer locale. Questo cmdlet mostra valori diversi a seconda che il chip TPM sia versione 1.2 o 2.0. Questo cmdlet non è supportato in Windows 7. Get-Tpm
manage-bde.exe -status > C:\BDEStatus.txt Esporta informazioni sullo stato di crittografia generale di tutte le unità nel computer. statomanage-bde.exe
manage-bde.exe c: -protectors -get > C:\Protectors Esporta informazioni sui metodi di protezione usati per la chiave di crittografia BitLocker. protezionimanage-bde.exe
reagentc.exe /info > C:\reagent.txt Esporta informazioni su un'immagine online o offline sullo stato corrente di Ambiente ripristino Windows (WindowsRE) e qualsiasi immagine di ripristino disponibile. reagentc.exe
Get-BitLockerVolume \| fl Cmdlet di PowerShell che ottiene informazioni sui volumi che Crittografia unità BitLocker può proteggere. Get-BitLockerVolume

Esaminare le informazioni di configurazione

  1. Aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire i comandi seguenti:

    Comando Note Ulteriori informazioni
    gpresult.exe /h <Filename> Esporta il set risultante di informazioni sui criteri e salva le informazioni come file HTML. gpresult.exe
    msinfo.exe /report <Path> /computer <ComputerName> Esporta informazioni complete sull'hardware, i componenti di sistema e l'ambiente software nel computer locale. L'opzione /report salva le informazioni come file .txt. msinfo.exe
  2. Aprire Editor del Registro di sistema ed esportare le voci nelle sottochiavi seguenti:

    • HKLM\SOFTWARE\Policies\Microsoft\FVE
    • HKLM\SYSTEM\CurrentControlSet\Services\TPM\

Controllare i prerequisiti di BitLocker

Le impostazioni comuni che possono causare problemi per BitLocker includono gli scenari seguenti:

  • Il TPM deve essere sbloccato. Controllare l'output del comando get-tpm del cmdlet di PowerShell per verificare lo stato del TPM.

  • Windows RE deve essere abilitato. Controllare l'output del comando reagentc.exe per lo stato di WindowsRE.

  • La partizione riservata dal sistema deve usare il formato corretto.

    • Nei computer UEFI (Unified Extensible Firmware Interface) la partizione riservata al sistema deve essere formattata come FAT32.
    • Nei computer legacy, la partizione riservata al sistema deve essere formattata come NTFS.
  • Se il dispositivo in cui si verificano problemi è uno slate o un tablet PC, usare https://gpsearch.azurewebsites.net/#8153 per verificare lo stato dell'opzione Abilita l'uso dell'autenticazione di BitLocker che richiede l'input della tastiera di avvio preliminare nei set di dati .

Per altre informazioni sui prerequisiti di BitLocker, vedere Distribuzione di base di BitLocker: Uso di BitLocker per crittografare i volumi

Passaggi successivi

Se le informazioni esaminate finora indicano un problema specifico (ad esempio, WindowsRE non è abilitato), il problema potrebbe avere una correzione semplice.

La risoluzione dei problemi che non hanno cause ovvie dipende esattamente da quali componenti sono coinvolti e dal comportamento visualizzato. Le informazioni raccolte consentono di restringere le aree da analizzare.

È consigliabile tenere a portata di mano le informazioni raccolte nel caso in cui supporto tecnico Microsoft venga contattato per assistenza nella risoluzione del problema.