Настройка BitLocker: известные проблемы
В этой статье описываются распространенные проблемы, влияющие на конфигурацию BitLocker и общие функциональные возможности. В этой статье также приводятся рекомендации по устранению этих проблем.
Шифрование BitLocker медленнее в Windows 10 и Windows 11
BitLocker выполняется в фоновом режиме для шифрования дисков. Однако в Windows 11 и Windows 10 BitLocker менее агрессивно запрашивает ресурсы, чем в предыдущих версиях Windows. Это поведение снижает вероятность того, что BitLocker повлияет на производительность компьютера.
Для компенсации этих изменений BitLocker использует модель преобразования с именем Encrypt-On-Write. Эта модель гарантирует, что все записи на новый диск шифруются сразу после включения BitLocker. Это происходит во всех клиентских выпусках и для всех внутренних дисков.
Внимание
Для сохранения обратной совместимости BitLocker использует предыдущую модель преобразования для шифрования съемных дисков.
Преимущества использования новой модели преобразования
Используя предыдущую модель преобразования, внутренний диск не может считаться защищенным и совместимым со стандартами защиты данных до завершения преобразования BitLocker на 100 процентов. Перед завершением процесса данные, которые существовали на диске до начала шифрования , т. е. потенциально скомпрометированные данные, по-прежнему могут быть считываться и записываться без шифрования. Таким образом, для того чтобы данные считались защищенными и совместимыми со стандартами защиты данных, процесс шифрования должен завершиться до хранения конфиденциальных данных на диске. В зависимости от размера диска эта задержка может быть существенной.
Используя новую модель преобразования, конфиденциальные данные можно хранить на диске сразу после включения BitLocker. Процесс шифрования не должен завершиться первым, а шифрование не влияет на производительность. Компромисс заключается в том, что процесс шифрования для существующих данных занимает больше времени.
Другие усовершенствования BitLocker
Несколько других областей BitLocker были улучшены в версиях Windows, выпущенных после Windows 7:
Новый алгоритм шифрования XTS-AES — добавлен в Windows 10 версии 1511, этот алгоритм обеспечивает дополнительную защиту от класса атак на зашифрованные данные, которые полагаются на манипулирование текстом шифра, чтобы вызвать прогнозируемые изменения в обычном тексте.
По умолчанию этот алгоритм соответствует федеральным стандартам обработки информации (FIPS). FIPS — это стандарт США государственных организаций, который обеспечивает эталон для реализации криптографического программного обеспечения.
Улучшенные функции администрирования. BitLocker можно управлять на компьютерах или других устройствах с помощью следующих интерфейсов:
- Мастер BitLocker
- manage-bde.exe
- Объекты групповой политики (объекты групповой политики)
- Политика мобильных Управление устройствами (MDM)
- Windows PowerShell
- Интерфейс управления Windows (WMI)
Интеграция с идентификатором Microsoft Entra (Идентификатор Microsoft Entra) — BitLocker может хранить сведения о восстановлении в идентификаторе Microsoft Entra, чтобы упростить восстановление.
Защита портов прямого доступа к памяти (DMA) — с помощью политик MDM для управления BitLocker порты DMA устройства могут быть заблокированы, что защищает устройство во время запуска.
Разблокировка сети BitLocker. Если компьютер с поддержкой BitLocker подключен к проводной корпоративной сети в доменной среде, его том операционной системы может быть автоматически разблокирован во время перезагрузки системы.
Поддержка зашифрованных жестких дисков — зашифрованные жесткие диски — это новый класс жестких дисков, которые самошифровываются на аппаратном уровне и позволяют выполнять полное шифрование оборудования диска. При использовании этой рабочей нагрузки зашифрованные жесткие диски повышают производительность BitLocker и сокращают потребление ЦП и энергопотребление.
Поддержка классов гибридных дисков HDD/SSD— BitLocker может шифровать диск, использующий небольшой SSD в качестве ненезависимого кэша перед hdD, например технологию Intel Rapid Storage.
Виртуальная машина Поколения 2 Hyper-V: не удается получить доступ к тому после шифрования BitLocker
Рассмотрим следующий сценарий:
BitLocker включает виртуальную машину поколения 2, которая работает в Hyper-V.
Данные добавляются на диск данных по мере шифрования.
Виртуальная машина перезапускается и наблюдается следующее поведение:
Системный том не зашифрован.
Зашифрованный том недоступен, и компьютер перечисляет файловую систему тома как "Неизвестно".
Отображается сообщение, аналогичное следующему сообщению:
Необходимо отформатировать диск в <drive_letter:> диск, прежде чем его можно будет использовать.
Причина того, что невозможно получить доступ к тому после шифрования BitLocker на виртуальной машине Hyper-V поколения 2
Эта проблема возникает, так как на виртуальной машине устанавливается сторонний драйвер фильтра Stcvsm.sys (из StorageCraft).
Разрешение для доступа к тому после шифрования BitLocker на виртуальной машине Hyper-V поколения 2
Чтобы устранить эту проблему, удалите стороннее программное обеспечение.
Сбой рабочих моментальных снимков для виртуализированных контроллеров домена, использующих диски, зашифрованные BitLocker
Рассмотрим следующий сценарий:
Сервер Hyper-V Windows Server 2019 или 2016 размещает виртуальные машины (гости), настроенные как контроллеры домена Windows. На гостевой виртуальной машине контроллера домена BitLocker зашифровал диски, в которые хранятся файлы базы данных и журналов Active Directory. При попытке создания рабочего моментального снимка гостевой виртуальной машины контроллера домена служба оснастки тома (VSS) неправильно обрабатывает резервную копию.
Эта проблема возникает независимо от любого из следующих вариантов в среде:
- Как разблокируются тома контроллера домена.
- Независимо от того, являются ли виртуальные машины поколением 1 или поколением 2.
- Является ли гостевая операционная система Windows Server 2019, 2016 или 2012 R2.
В журнале Просмотр событий приложения Просмотр событий контроллера домена гостевой виртуальной машины windows журналы>событий VSS записывает событие события 8229:
Идентификатор: 8229
Уровень: предупреждение
Источник: VSS
Сообщение: модуль записи VSS отклонил событие с ошибкой 0x800423f4. The writer experienced a non-transient error. Если процесс резервного копирования выполняется повторно, эта ошибка, скорее всего, повторится.Изменения, внесенные средством записи в компоненты записи при обработке события, не будут доступны запросу.
Проверьте журнал событий для связанных событий из приложения, на котором размещен модуль записи VSS.
Операция
Событие PostSnapshotКонтекст.
Контекст выполнения: запись
Идентификатор класса записи: {b2014c9e-8711-4c5c-a5a9-3cf38484757}
Имя записи: NTDS
Идентификатор экземпляра записи: {d170b355-a523-47ba-a5c8-73224f70e75}
Командная строка: C:\Windows\system32\lsass.exeИдентификатор процесса: 680
В журнале Просмотр событий службы Просмотр событий контроллера >домена гостевой виртуальной машины есть событие, зарегистрированное следующим образом:
Ошибка Microsoft-Windows-ActiveDirectory_DomainService 1168
Внутренняя ошибка обработки: произошла ошибка служб домен Active Directory.Дополнительные данные
Значение ошибки (десятичное): -1022Значение ошибки (шестнадцатеричное): fffffc02
Внутренний идентификатор: 160207d9
Примечание.
Внутренний идентификатор этого события может отличаться в зависимости от версии выпуска операционной системы и уровня исправлений.
При возникновении этой проблемы средство записи VSS служб домен Active Directory (NTDS) отобразит следующую ошибку при выполнении vssadmin.exe list writers
команды:
Writer name: 'NTDS'
Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
State: [11] Failed
Last error: Non-retryable error
Кроме того, виртуальные машины нельзя создать резервную копию, пока они не будут перезапущены.
Причина сбоя рабочих моментальных снимков для виртуализированных контроллеров домена, использующих диски, зашифрованные BitLocker
После создания моментального снимка тома vsS выполняет действия записи VSS после создания моментального снимка. При запуске рабочего моментального снимка с сервера узла Hyper-V пытается подключить моментальный том. Однако он не может разблокировать том для незашифрованного доступа. BitLocker на сервере Hyper-V не распознает том. Поэтому попытка доступа завершается сбоем, а затем завершается сбоем операции моментального снимка.
Такое поведение предусмотрено программой.
Обходное решение для рабочих моментальных снимков завершается сбоем для виртуализированных контроллеров домена, использующих диски, зашифрованные BitLocker
Поддерживаемым способом резервного копирования и восстановления виртуализированного контроллера домена является запуск резервного копирования Windows Server в гостевой операционной системе.
Если необходимо принять рабочий снимок виртуализированного контроллера домена, BitLocker можно приостановить в гостевой операционной системе до запуска рабочего моментального снимка. Однако этот подход не рекомендуется.
Дополнительные сведения и рекомендации по резервному копированию виртуализированных контроллеров домена см. в статье "Виртуализация контроллеров домена с помощью Hyper-V: рекомендации по резервному копированию и восстановлению для виртуализированных контроллеров домена"
Дополнительная информация
Когда модуль записи VSS NTDS запрашивает доступ к зашифрованным дискам, служба подсистемы локального центра безопасности (LSASS) создает запись об ошибке, аналогичную следующей ошибке:
\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.
Операция создает следующий стек вызовов:
\# Child-SP RetAddr Call Site
00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]