Diretrizes para solução de problemas do BitLocker
Este artigo aborda problemas comuns no BitLocker e fornece diretrizes para solucionar esses problemas. Este artigo também fornece informações como quais dados coletar e quais configurações verificar. Essas informações facilitam muito o processo de solução de problemas.
Examinar os logs de eventos
Abra o Visualizador de Eventos e revise os seguintes logs em Logs>de Aplicativos e Serviços do Microsoft>Windows:
BitLocker-API. Revise o log de gerenciamento , o log operacional e quaisquer outros logs gerados nessa pasta. Os logs padrão têm os seguintes nomes exclusivos:
- Microsoft-Windows-BitLocker-API/Gerenciamento
- Microsoft-Windows-BitLocker-API/Operacional
- Microsoft-Windows-BitLocker-API/Rastreamento - exibido apenas quando Mostrar Logs Analíticos e de Depuração está habilitado
BitLocker-DrivePreparationTool. Revise o log do administrador , o log operacional e quaisquer outros logs gerados nesta pasta. Os logs padrão têm os seguintes nomes exclusivos:
- Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operacional
Além disso, analise o log Logs do Windows>Sistema quanto a eventos que foram produzidos pelas fontes de eventos TPM e TPM-WMI.
Para filtrar e exibir ou exportar logs, a ferramenta de linha de comando wevtutil.exe ou o cmdlet Get-WinEvent do PowerShell podem ser usados.
Por exemplo, para usar o wevtutil.exe para exportar o conteúdo do log operacional da pasta BitLocker-API para um arquivo de texto chamado BitLockerAPIOpsLog.txt, abra uma janela do Prompt de Comando e execute o seguinte comando:
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
Para usar o cmdlet Get-WinEvent para exportar o mesmo log para um arquivo de texto separado por vírgulas, abra uma janela do Windows PowerShell e execute o seguinte comando:
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
O Get-WinEvent pode ser usado em uma janela do PowerShell com privilégios elevados para exibir informações filtradas do log do sistema ou do aplicativo usando a seguinte sintaxe:
Para exibir informações relacionadas ao BitLocker:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | flA saída desse comando é semelhante à seguinte:
Para exportar informações relacionadas ao BitLocker:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csvPara exibir informações relacionadas ao TPM:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | flPara exportar informações relacionadas ao TPM:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csvA saída desse comando é semelhante à seguinte.
Observação
Ao entrar em contato com o Suporte da Microsoft, é recomendável exportar os logs listados nesta seção.
Coletar informações de status das tecnologias do BitLocker
Abra uma janela do Windows PowerShell com privilégios elevados e execute cada um dos seguintes comandos:
| Comando | Observações | Mais informações |
|---|---|---|
Get-Tpm > C:\TPM.txt |
Cmdlet do PowerShell que exporta informações sobre o TPM (Trusted Platform Module) do computador local. Esse cmdlet mostra valores diferentes dependendo se o chip TPM é a versão 1.2 ou 2.0. Não há suporte para esse cmdlet no Windows 7. | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
Exporta informações sobre o status geral de criptografia de todas as unidades no computador. | manage-bde.exe status |
manage-bde.exe c: -protectors -get > C:\Protectors |
Exporta informações sobre os métodos de proteção usados para a chave de criptografia do BitLocker. | manage-bde.exe protetores |
reagentc.exe /info > C:\reagent.txt |
Exporta informações sobre uma imagem online ou offline sobre o status atual do Ambiente de Recuperação do Windows (WindowsRE) e qualquer imagem de recuperação disponível. | reagentc.exe |
Get-BitLockerVolume \| fl |
Cmdlet do PowerShell que obtém informações sobre volumes que a Criptografia de Unidade de Disco BitLocker pode proteger. | Get-BitLockerVolume |
Revise as informações de configuração
Abra uma janela de prompt de comando com privilégios elevados e execute os seguintes comandos:
Comando Observações Mais informações gpresult.exe /h <Filename>Exporta o conjunto resultante de informações de política e salva as informações como um arquivo HTML. gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>Exporta informações abrangentes sobre o hardware, os componentes do sistema e o ambiente de software no computador local. A opção /report salva as informações como um arquivo .txt. msinfo.exe Abra o Editor do Registro e exporte as entradas nas seguintes subchaves:
HKLM\SOFTWARE\Policies\Microsoft\FVEHKLM\SYSTEM\CurrentControlSet\Services\TPM\
Verificar os pré-requisitos do BitLocker
As configurações comuns que podem causar problemas para o BitLocker incluem os seguintes cenários:
O TPM deve ser desbloqueado. Verifique a saída do comando de cmdlet get-tpm do PowerShell para obter o status do TPM.
O Windows RE deve estar habilitado. Verifique a saída do comando reagentc.exe para o status do WindowsRE.
A partição reservada pelo sistema deve usar o formato correto.
- Em computadores UEFI (Unified Extensible Firmware Interface), a partição reservada pelo sistema deve ser formatada como FAT32.
- Em computadores antigos, a partição reservada pelo sistema deve ser formatada como NTFS.
Se o dispositivo que está sendo solucionado for um slate ou tablet PC, use https://gpsearch.azurewebsites.net/#8153 para verificar o status da opção Habilitar o uso da autenticação do BitLocker que requer entrada de teclado de pré-inicialização em slates .
Para obter mais informações sobre os pré-requisitos do BitLocker, consulte Implantação básica do BitLocker: usando o BitLocker para criptografar volumes
Próximas etapas
Se as informações examinadas até agora indicarem um problema específico (por exemplo, o WindowsRE não está habilitado), o problema pode ter uma correção simples.
Resolver problemas que não têm causas óbvias depende exatamente de quais componentes estão envolvidos e qual comportamento está sendo visto. As informações coletadas ajudam a restringir as áreas a serem investigadas.
Se o dispositivo que está sendo solucionado for gerenciado pelo Microsoft Intune, consulte Impondo políticas do BitLocker usando Intune: problemas conhecidos.
Se o BitLocker não iniciar ou não puder criptografar uma unidade e ocorrerem erros ou eventos relacionados ao TPM, consulte O BitLocker não pode criptografar uma unidade: problemas conhecidos do TPM.
Se o BitLocker não iniciar ou não puder criptografar uma unidade, consulte O BitLocker não pode criptografar uma unidade: problemas conhecidos.
Se o Desbloqueio de Rede do BitLocker não se comportar conforme o esperado, consulte Desbloqueio de Rede do BitLocker: problemas conhecidos.
Se o BitLocker não se comportar conforme o esperado quando uma unidade criptografada for recuperada ou se o BitLocker recuperou inesperadamente uma unidade, consulte Recuperação do BitLocker: problemas conhecidos.
Se o BitLocker ou a unidade criptografada não se comportar conforme o esperado e erros ou eventos relacionados ao TPM estiverem ocorrendo, consulte BitLocker e TPM: outros problemas conhecidos.
Se o BitLocker ou a unidade criptografada não se comportar conforme o esperado, consulte Configuração do BitLocker: problemas conhecidos.
É recomendável manter as informações coletadas à mão caso o Suporte da Microsoft seja contatado para obter ajuda na resolução do problema.