Compartilhar via

Configuração do BitLocker: problemas conhecidos

  • Artigo

Este artigo descreve problemas comuns que afetam a configuração e a funcionalidade geral do BitLocker. Este artigo também fornece diretrizes para resolver esses problemas.

A criptografia do BitLocker é mais lenta no Windows 10 e no Windows 11

O BitLocker é executado em segundo plano para criptografar unidades. No entanto, no Windows 11 e no Windows 10, o BitLocker é menos agressivo na solicitação de recursos do que nas versões anteriores do Windows. Esse comportamento reduz a chance de que o BitLocker afete o desempenho do computador.

Para compensar essas alterações, o BitLocker usa um modelo de conversão chamado Encrypt-On-Write. Esse modelo garante que todas as novas gravações de disco sejam criptografadas assim que o BitLocker for habilitado. Esse comportamento ocorre em todas as edições do cliente e em todas as unidades internas.

Importante

Para preservar a compatibilidade com versões anteriores, o BitLocker usa o modelo de conversão anterior para criptografar unidades removíveis.

Benefícios de usar o novo modelo de conversão

Usando o modelo de conversão anterior, uma unidade interna não pode ser considerada protegida e compatível com os padrões de proteção de dados até que a conversão do BitLocker seja 100% concluída. Antes que o processo seja concluído, os dados que existiam na unidade antes do início da criptografia - ou seja, dados potencialmente comprometidos - ainda podem ser lidos e gravados sem criptografia. Portanto, para que os dados sejam considerados protegidos e compatíveis com os padrões de proteção de dados, o processo de criptografia deve ser concluído antes que os dados confidenciais sejam armazenados na unidade. Dependendo do tamanho da unidade, esse atraso pode ser substancial.

Usando o novo modelo de conversão, os dados confidenciais podem ser armazenados na unidade assim que o BitLocker é ativado. O processo de criptografia não precisa ser concluído primeiro e a criptografia não afeta negativamente o desempenho. A desvantagem é que o processo de criptografia para dados pré-existentes leva mais tempo.

Outros aprimoramentos do BitLocker

Várias outras áreas do BitLocker foram aprimoradas em versões do Windows lançadas após o Windows 7:

  • Novo algoritmo de criptografia, XTS-AES – adicionado no Windows 10 versão 1511, esse algoritmo fornece proteção adicional contra uma classe de ataques a dados criptografados que dependem da manipulação de texto cifrado para causar alterações previsíveis em texto sem formatação.

    Por padrão, esse algoritmo está em conformidade com os Padrões Federais de Processamento de Informações (FIPS). O FIPS é um padrão do governo dos Estados Unidos que fornece uma referência para a implementação de software criptográfico.

  • Recursos de administração aprimorados. O BitLocker pode ser gerenciado em PCs ou outros dispositivos usando as seguintes interfaces:

    • Assistente do BitLocker
    • manage-bde.exe
    • GPOs (Objetos de Diretiva de Grupo)
    • Política de gerenciamento de dispositivos móveis (MDM)
    • Windows PowerShell
    • Interface de Gerenciamento do Windows (WMI)

  • Integração com o Microsoft Entra ID (Microsoft Entra ID) - O BitLocker pode armazenar informações de recuperação no Microsoft Entra ID para facilitar a recuperação.

  • Proteção de porta DMA (acesso direto à memória) – usando políticas de MDM para gerenciar o BitLocker, as portas DMA de um dispositivo podem ser bloqueadas, o que protege o dispositivo durante sua inicialização.

  • Desbloqueio de rede do BitLocker – se o computador desktop ou servidor habilitado para BitLocker estiver conectado a uma rede corporativa com fio em um ambiente de domínio, o volume do sistema operacional poderá ser desbloqueado automaticamente durante a reinicialização do sistema.

  • Suporte para discos rígidos criptografados - Os discos rígidos criptografados são uma nova classe de discos rígidos que se autocriptografam em um nível de hardware e permitem a criptografia completa do hardware do disco. Ao assumir essa carga de trabalho, os discos rígidos criptografados aumentam o desempenho do BitLocker e reduzem o uso da CPU e o consumo de energia.

  • Suporte para classes de discos híbridos HDD/SSD – o BitLocker pode criptografar um disco que usa um SSD pequeno como um cache não volátil na frente do HDD, como a Intel Rapid Storage Technology.

VM do Hyper-V geração 2: não é possível acessar o volume após a criptografia do BitLocker

Considere o cenário a seguir.

  1. O BitLocker é ativado em uma VM (máquina virtual) de geração 2 que é executada no Hyper-V.

  2. Os dados são adicionados ao disco de dados à medida que ele é criptografado.

  3. A VM é reiniciada e o seguinte comportamento é observado:

    • O volume do sistema não é criptografado.

    • O volume criptografado não está acessível e o computador lista o sistema de arquivos do volume como Desconhecido.

    • Uma mensagem semelhante à seguinte mensagem é exibida:

      Você precisa formatar o disco na <unidade drive_letter:> antes de poder usá-lo

Causa de não conseguir acessar o volume após a criptografia do BitLocker em uma VM do Hyper-V geração 2

Este problema ocorre porque o Stcvsm.sys do controlador de filtro de terceiros (da StorageCraft) está instalado na VM.

Resolução para não conseguir acessar o volume após a criptografia do BitLocker em uma VM Hyper-V geração 2

Para resolver esse problema, remova o software de terceiros.

Os instantâneos de produção falham para controladores de domínio virtualizados que usam discos criptografados pelo BitLocker

Considere o cenário a seguir.

Um servidor Hyper-V do Windows Server 2019 ou 2016 está hospedando VMs (convidados) configuradas como controladores de domínio do Windows. Em uma VM convidada do controlador de domínio, o BitLocker criptografou os discos que armazenam o banco de dados e os arquivos de log do Active Directory. Quando um "instantâneo de produção" da VM convidada do controlador de domínio é tentado, o serviço VSS (Volume Snap-Shot) não processa corretamente o backup.

Esse problema ocorre independentemente de qualquer uma das seguintes variações no ambiente:

  • Como os volumes do controlador de domínio são desbloqueados.
  • Se as VMs são de geração 1 ou geração 2.
  • Se o sistema operacional convidado é Windows Server 2019, 2016 ou 2012 R2.

No log do Visualizador de Eventos do Aplicativo de Logs>do Windows do controlador de domínio da VM convidada, a origem do evento VSS registra a ID do evento 8229:

IDENTIFICAÇÃO: 8229
Nível: Aviso
Fonte: VSS
Mensagem: um gravador VSS rejeitou um evento com 0x800423f4 de erro. O gravador apresentou um erro não transitório. Se o processo de backup for repetido, é provável que o erro ocorra novamente.

As alterações feitas pelo gravador nos componentes do gravador durante a manipulação do evento não estarão disponíveis para o solicitante.

Verifique o log de eventos para eventos relacionados do aplicativo que hospeda o gravador VSS.

Operação:
Evento PostSnapshot

Contexto:
Contexto de execução: Gravador
ID da classe do gravador: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Nome do Gravador: NTDS
ID da instância do gravador: {d170b355-a523-47ba-a5c8-732244f70e75}
Linha de comando: C: \ Windows \ system32 \ lsass.exe

ID do processo: 680

No log do Visualizador de Eventos do Serviço de Diretório de Logs>de Aplicativos e Serviços do controlador de domínio da VM convidada, há um evento registrado semelhante ao seguinte evento:

Erro Microsoft-Windows-ActiveDirectory_DomainService 1168
Processamento interno Erro interno: ocorreu um erro dos Serviços de Domínio Active Directory.

Dados Adicionais
Valor do erro (decimal): -1022

Valor do erro (hex): fffffc02

ID interno: 160207d9

Observação

A ID interna desse evento pode ser diferente com base na versão de lançamento do sistema operacional e no nível de patch.

Quando esse problema ocorre, o Gravador VSS dos Serviços de Domínio Active Directory (NTDS) exibirá o seguinte erro quando o vssadmin.exe list writers comando for executado:

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

Além disso, não é possível fazer backup das VMs até que sejam reiniciadas.

Causa da falha de instantâneos de produção para controladores de domínio virtualizados que usam discos criptografados pelo BitLocker

Depois que o VSS cria um instantâneo de um volume, o gravador VSS executa ações de "pós-instantâneo". Quando um "instantâneo de produção" é iniciado a partir do servidor host, o Hyper-V tenta montar o volume instantâneo. No entanto, ele não pode desbloquear o volume para acesso não criptografado. O BitLocker no servidor Hyper-V não reconhece o volume. Portanto, a tentativa de acesso falha e, em seguida, a operação de instantâneo falha.

Este comportamento ocorre por design.

Solução alternativa para instantâneos de produção falham para controladores de domínio virtualizados que usam discos criptografados pelo BitLocker

Uma maneira com suporte de executar backup e restauração de um controlador de domínio virtualizado é executar o Backup do Windows Server no sistema operacional convidado.

Se um instantâneo de produção de um controlador de domínio virtualizado precisar ser feito, o BitLocker poderá ser suspenso no sistema operacional convidado antes que o instantâneo de produção seja iniciado. No entanto, essa abordagem não é recomendada.

Para obter mais informações e recomendações sobre como fazer backup de controladores de domínio virtualizados, consulte Virtualizando controladores de domínio usando o Hyper-V: considerações de backup e restauração para controladores de domínio virtualizados

Mais informações

Quando o gravador VSS NTDS solicita acesso à unidade criptografada, o LSASS (Serviço de Subsistema de Autoridade de Segurança Local) gera uma entrada de erro semelhante ao seguinte erro:

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

A operação produz a seguinte pilha de chamadas:

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]