Udostępnij za pośrednictwem

Wskazówki dotyczące rozwiązywania problemów z funkcją BitLocker

  • Artykuł

W tym artykule opisano typowe problemy związane z funkcją BitLocker i przedstawiono wskazówki dotyczące rozwiązywania tych problemów. Ten artykuł zawiera również informacje, takie jak dane do zebrania i ustawienia do sprawdzenia. Te informacje znacznie ułatwiają proces rozwiązywania problemów.

Przegląd dzienników zdarzeń

Otwórz Podgląd zdarzeń i przejrzyj następujące dzienniki w obszarze Dzienniki>aplikacji i usług Systemu Microsoft>Windows:

  • BitLocker-API. Przejrzyj dziennik zarządzania, dziennik operacyjny i wszystkie inne dzienniki wygenerowane w tym folderze. Dzienniki domyślne mają następujące unikatowe nazwy:

    • Microsoft-Windows-BitLocker-API/Management
    • Microsoft-Windows-BitLocker-API/Operational
    • Microsoft-Windows-BitLocker-API/Tracing — wyświetlane tylko wtedy, gdy włączono opcję Pokaż dzienniki analityczne i debugowania

  • BitLocker-DrivePreparationTool. Przejrzyj dziennik administratora, dziennik operacyjny i wszystkie inne dzienniki wygenerowane w tym folderze. Dzienniki domyślne mają następujące unikatowe nazwy:

    • Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
    • Microsoft-Windows-BitLocker-DrivePreparationTool/Operational

Ponadto zapoznaj się z dziennikami systemu Windows> pod kątem zdarzeń, które zostały wygenerowane przez źródła zdarzeń modułu TPM i modułu TPM-WMI.

Aby filtrować i wyświetlać lub eksportować dzienniki, można użyć narzędzia wiersza polecenia wevtutil.exe lub polecenia cmdlet Get-WinEvent programu PowerShell.

Aby na przykład użyć wevtutil.exe do wyeksportowania zawartości dziennika operacyjnego z folderu BitLocker-API do pliku tekstowego o nazwie BitLockerAPIOpsLog.txt, otwórz okno wiersza polecenia i uruchom następujące polecenie:

wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt

Aby użyć polecenia cmdlet Get-WinEvent , aby wyeksportować ten sam dziennik do pliku tekstowego rozdzielanego przecinkami, otwórz okno programu Windows PowerShell i uruchom następujące polecenie:

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational"  | Export-Csv -Path Bitlocker-Operational.csv

Polecenie Get-WinEvent może być używane w oknie programu PowerShell z podwyższonym poziomem uprawnień do wyświetlania filtrowanych informacji z dziennika systemu lub aplikacji przy użyciu następującej składni:

  • Aby wyświetlić informacje dotyczące funkcji BitLocker:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl

    Dane wyjściowe takiego polecenia są podobne do następujących:

    Zrzut ekranu przedstawiający dane wyjściowe generowane przy użyciu polecenia Get-WinEvent i filtru funkcji BitLocker.

  • Aby wyeksportować informacje związane z funkcją BitLocker:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv

  • Aby wyświetlić informacje dotyczące modułu TPM:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl

  • Aby wyeksportować informacje dotyczące modułu TPM:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv

    Dane wyjściowe takiego polecenia przypominają następujące.

    Zrzut ekranu przedstawiający dane wyjściowe generowane przy użyciu polecenia Get-WinEvent i filtru modułu TPM.

Uwaga 16.

Podczas kontaktowania się z pomoc techniczna firmy Microsoft zaleca się wyeksportowanie dzienników wymienionych w tej sekcji.

Zbieranie informacji o stanie z technologii BitLocker

Otwórz okno programu Windows PowerShell z podwyższonym poziomem uprawnień i uruchom każde z następujących poleceń:

Polecenie Uwagi Więcej informacji
Get-Tpm > C:\TPM.txt Polecenie cmdlet programu PowerShell, które eksportuje informacje dotyczące modułu TPM (Trusted Platform Module) komputera lokalnego. To polecenie cmdlet pokazuje różne wartości w zależności od tego, czy mikroukład modułu TPM jest w wersji 1.2 lub 2.0. To polecenie cmdlet nie jest obsługiwane w systemie Windows 7. Get-Tpm
manage-bde.exe -status > C:\BDEStatus.txt Eksportuje informacje o ogólnym stanie szyfrowania wszystkich dysków na komputerze. stan manage-bde.exe
manage-bde.exe c: -protectors -get > C:\Protectors Eksportuje informacje o metodach ochrony używanych dla klucza szyfrowania funkcji BitLocker. funkcje ochrony manage-bde.exe
reagentc.exe /info > C:\reagent.txt Eksportuje informacje o obrazie online lub offline na temat bieżącego stanu środowiska odzyskiwania systemu Windows (WindowsRE) i dowolnego dostępnego obrazu odzyskiwania. reagentc.exe
Get-BitLockerVolume \| fl Polecenie cmdlet programu PowerShell, które pobiera informacje o woluminach, które może chronić szyfrowanie dysków funkcją BitLocker. Get-BitLockerVolume

Przejrzyj informacje o konfiguracji

  1. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenia:

    Polecenie Uwagi Więcej informacji
    gpresult.exe /h <Filename> Eksportuje wynikowy zestaw informacji o zasadach i zapisuje informacje jako plik HTML. gpresult.exe
    msinfo.exe /report <Path> /computer <ComputerName> Eksportuje kompleksowe informacje o sprzęcie, składnikach systemu i środowisku oprogramowania na komputerze lokalnym. Opcja /report zapisuje informacje jako plik .txt. msinfo.exe

  2. Otwórz Edytor rejestru i wyeksportuj wpisy w następujących podkluczach:

    • HKLM\SOFTWARE\Policies\Microsoft\FVE
    • HKLM\SYSTEM\CurrentControlSet\Services\TPM\

Sprawdzanie wymagań wstępnych funkcji BitLocker

Typowe ustawienia, które mogą powodować problemy z funkcją BitLocker, obejmują następujące scenariusze:

  • Moduł TPM musi zostać odblokowany. Sprawdź dane wyjściowe polecenia cmdlet get-tpm programu PowerShell pod kątem stanu modułu TPM.

  • Należy włączyć funkcję Windows RE. Sprawdź dane wyjściowe polecenia reagentc.exe , aby uzyskać stan środowiska WindowsRE.

  • Partycja zarezerwowana systemowo musi używać poprawnego formatu.

    • Na komputerach typu Unified Extensible Firmware Interface (UEFI) partycja zarezerwowana dla systemu musi być sformatowana jako FAT32.
    • Na starszych komputerach partycja zarezerwowana dla systemu musi być sformatowana jako NTFS.

  • Jeśli urządzenie jest problematyczne, jest łupkiem lub tabletem PC, użyj https://gpsearch.azurewebsites.net/#8153 polecenia , aby zweryfikować stan włącz uwierzytelnianie funkcji BitLocker wymagające wstępnego rozruchu klawiatury w przypadku opcji slates .

Aby uzyskać więcej informacji na temat wymagań wstępnych funkcji BitLocker, zobacz Podstawowe wdrożenie funkcji BitLocker: używanie funkcji BitLocker do szyfrowania woluminów

Następne kroki

Jeśli informacje zbadane do tej pory wskazują konkretny problem (na przykład usługa WindowsRE nie jest włączona), problem może mieć prostą poprawkę.

Rozwiązywanie problemów, które nie mają oczywistych przyczyn, zależy od dokładnie tego, które składniki są zaangażowane i jakie zachowanie jest widoczne. Zebrane informacje ułatwiają zawężenie obszarów do zbadania.

Zaleca się, aby zebrane informacje były przydatne w przypadku skontaktowania się z pomoc techniczna firmy Microsoft w celu uzyskania pomocy w rozwiązaniu problemu.