Dela via

BitLocker-konfiguration: kända problem

  • Artikel

I den här artikeln beskrivs vanliga problem som påverkar BitLocker-konfigurationen och allmänna funktioner. Den här artikeln innehåller också vägledning för att lösa dessa problem.

BitLocker-kryptering är långsammare i Windows 10 och Windows 11

BitLocker körs i bakgrunden för att kryptera enheter. I Windows 11 och Windows 10 är BitLocker dock mindre aggressiv när det gäller att begära resurser än i tidigare versioner av Windows. Det här beteendet minskar risken för att BitLocker påverkar datorns prestanda.

För att kompensera för dessa ändringar använder BitLocker en konverteringsmodell med namnet Encrypt-On-Write. Den här modellen ser till att alla nya diskskrivningar krypteras så snart BitLocker är aktiverat. Det här beteendet inträffar på alla klientversioner och för alla interna enheter.

Viktigt!

För att bevara bakåtkompatibilitet använder BitLocker den tidigare konverteringsmodellen för att kryptera flyttbara enheter.

Fördelar med att använda den nya konverteringsmodellen

Med hjälp av den tidigare konverteringsmodellen kan en intern enhet inte betraktas som skyddad och kompatibel med dataskyddsstandarder förrän BitLocker-konverteringen är 100 procent klar. Innan processen är klar kan de data som fanns på enheten innan krypteringen började – det vill s.v.s. potentiellt komprometterade data – fortfarande läsas och skrivas utan kryptering. För att data ska betraktas som skyddade och kompatibla med dataskyddsstandarder måste krypteringsprocessen därför slutföras innan känsliga data lagras på enheten. Beroende på enhetens storlek kan den här fördröjningen vara betydande.

Med hjälp av den nya konverteringsmodellen kan känsliga data lagras på enheten så snart BitLocker är aktiverat. Krypteringsprocessen behöver inte slutföras först och krypteringen påverkar inte prestanda negativt. Kompromissen är att krypteringsprocessen för befintliga data tar längre tid.

Andra BitLocker-förbättringar

Flera andra områden i BitLocker förbättrades i versioner av Windows som släpptes efter Windows 7:

  • Ny krypteringsalgoritm, XTS-AES – Tillagd i Windows 10 version 1511 ger den här algoritmen ytterligare skydd mot en klass av attacker på krypterade data som förlitar sig på att manipulera chiffertext för att orsaka förutsägbara ändringar i oformaterad text.

    Som standard uppfyller den här algoritmen FIPS (Federal Information Processing Standards). FIPS är en USA Government-standard som tillhandahåller ett riktmärke för att implementera kryptografisk programvara.

  • Förbättrade administrationsfunktioner. BitLocker kan hanteras på datorer eller andra enheter med hjälp av följande gränssnitt:

    • BitLocker-guiden
    • manage-bde.exe
    • grupprincip objekt (GPO: er)
    • MdM-princip (Mobile Enhetshantering)
    • Windows PowerShell
    • Windows Management Interface (WMI)

  • Integrering med Microsoft Entra ID (Microsoft Entra ID) – BitLocker kan lagra återställningsinformation i Microsoft Entra-ID för att göra det enklare att återställa.

  • Direkt minnesåtkomst (DMA) PortSkydd – Genom att använda MDM-principer för att hantera BitLocker kan en enhets DMA-portar blockeras som skyddar enheten under starten.

  • Upplåsning av BitLocker-nätverk – Om den BitLocker-aktiverade datorn eller serverdatorn är ansluten till ett kabelanslutet företagsnätverk i en domänmiljö kan dess operativsystemvolym automatiskt låsas upp under en omstart av systemet.

  • Stöd för krypterade hårddiskar – Krypterade hårddiskar är en ny klass av hårddiskar som självkrypterar på maskinvarunivå och möjliggör fullständig diskmaskinvarukryptering. Genom att ta på sig den arbetsbelastningen ökar krypterade hårddiskar BitLocker-prestanda och minskar processoranvändningen och energiförbrukningen.

  • Stöd för klasser av HDD/SSD-hybriddiskar – BitLocker kan kryptera en disk som använder en liten SSD som en icke-flyktig cache framför hårddisken, till exempel Intel Rapid Storage Technology.

Virtuell Hyper-V generation 2-dator: Det går inte att komma åt volymen efter BitLocker-kryptering

Föreställ dig följande scenario:

  1. BitLocker är aktiverat på en virtuell dator av andra generationen (VM) som körs på Hyper-V.

  2. Data läggs till i datadisken när de krypteras.

  3. Den virtuella datorn startas om och följande beteende observeras:

    • Systemvolymen är inte krypterad.

    • Den krypterade volymen är inte tillgänglig och datorn visar volymens filsystem som Okänt.

    • Ett meddelande som liknar följande meddelande visas:

      Du måste formatera disken i <drive_letter:> enhet innan du kan använda den

Orsak till att inte kunna komma åt volymen efter BitLocker-kryptering på en virtuell Hyper-V-generation 2-dator

Det här problemet beror på att filterdrivrutinen från tredje part Stcvsm.sys (från StorageCraft) är installerad på den virtuella datorn.

Lösning för att inte kunna komma åt volymen efter BitLocker-kryptering på en virtuell Hyper-V-generation 2-dator

Lös problemet genom att ta bort programvaran från tredje part.

Produktionsögonblicksbilder misslyckas för virtualiserade domänkontrollanter som använder BitLocker-krypterade diskar

Föreställ dig följande scenario:

En Windows Server 2019 eller 2016 Hyper-V Server är värd för virtuella datorer (gäster) som är konfigurerade som Windows-domänkontrollanter. På en virtuell dator med domänkontrollanten har BitLocker krypterat diskarna som lagrar Active Directory-databasen och loggfilerna. När en "produktionsögonblicksbild" av den virtuella domänkontrollantens gästdator försöker bearbeta vss-tjänsten (Volume Snap-Shot) inte säkerhetskopieringen korrekt.

Det här problemet uppstår oavsett någon av följande variationer i miljön:

  • Hur domänkontrollantvolymerna låses upp.
  • Om de virtuella datorerna är generation 1 eller generation 2.
  • Om gästoperativsystemet är Windows Server 2019, 2016 eller 2012 R2.

I den virtuella gästdatorns domänkontrollant Windows Logs>Application Loggboken logg registrerar VSS-händelsekällan händelse-ID 8229:

ID: 8229
Nivå: Varning
Källa: VSS
Meddelande: En VSS-skrivare har avvisat en händelse med fel 0x800423f4. Författaren upplevde ett icke-tillfälligt fel. Om säkerhetskopieringsprocessen görs på nytt kommer felet sannolikt att återkomma.

Ändringar som skrivaren har gjort i skrivarkomponenterna under hanteringen av händelsen kommer inte att vara tillgängliga för beställaren.

Kontrollera händelseloggen efter relaterade händelser från programmet som är värd för VSS-skrivaren.

Operation:
PostSnapshot-händelse

Kontext:
Körningskontext: Skrivare
Skrivarklass-ID: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Författarens namn: NTDS
Skrivarinstans-ID: {d170b355-a523-47ba-a5c8-732244f70e75}
Kommandorad: C:\Windows\system32\lsass.exe

Process-ID: 680

I loggen för gäst-VM-domänkontrollanten Program- och tjänstloggar> Loggboken loggas en händelse som liknar följande händelse:

Felet Microsoft-Windows-ActiveDirectory_DomainService 1168
Internt bearbetningsfel: Ett Active Directory-domän Services-fel har inträffat.

Ytterligare data
Felvärde (decimal): -1022

Felvärde (hex): fffffc02

Internt ID: 160207d9

Kommentar

Det interna ID:t för den här händelsen kan skilja sig beroende på version och korrigeringsnivå för operativsystemet.

När det här problemet inträffar visas följande fel i vss-skrivaren för Active Directory-domän Services (NTDS) när vssadmin.exe list writers kommandot körs:

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

Dessutom kan de virtuella datorerna inte säkerhetskopieras förrän de har startats om.

Orsaken till produktionsögonblicksbilder misslyckas för virtualiserade domänkontrollanter som använder BitLocker-krypterade diskar

När VSS har skapat en ögonblicksbild av en volym vidtar VSS-skrivaren åtgärder för "efter ögonblicksbild". När en "produktionsögonblicksbild" initieras från värdservern försöker Hyper-V montera den ögonblicksbilderade volymen. Det går dock inte att låsa upp volymen för okrypterad åtkomst. BitLocker på Hyper-V-servern känner inte igen volymen. Därför misslyckas åtkomstförsöket och sedan misslyckas ögonblicksbildsåtgärden.

Detta beteende är av design.

Lösning för produktionsögonblicksbilder misslyckas för virtualiserade domänkontrollanter som använder BitLocker-krypterade diskar

Ett sätt att utföra säkerhetskopiering och återställning av en virtualiserad domänkontrollant är att köra Windows Server Backup i gästoperativsystemet.

Om en produktionsögonblicksbild av en virtualiserad domänkontrollant måste tas kan BitLocker pausas i gästoperativsystemet innan produktionsögonblicksbilden startas. Den här metoden rekommenderas dock inte.

Mer information och rekommendationer om säkerhetskopiering av virtualiserade domänkontrollanter finns i Virtualisera domänkontrollanter med Hyper-V: Överväganden för säkerhetskopiering och återställning för virtualiserade domänkontrollanter

Mer information

När VSS NTDS-skrivaren begär åtkomst till den krypterade enheten genererar LSASS (Local Security Authority Subsystem Service) en felpost som liknar följande fel:

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

Åtgärden genererar följande anropsstack:

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]