从客户端排查 BitLocker 策略问题

本文提供有关如何在客户端对 BitLocker 加密进行故障排除的指导。 虽然Microsoft Intune加密报告可以帮助你识别和排查常见的加密问题,但 BitLocker 配置服务提供商 (CSP) 的某些状态数据可能不会报告。 在这些方案中,你将需要访问设备以进一步调查。

BitLocker 加密过程

以下步骤描述了应导致成功加密以前未使用 BitLocker 加密的Windows 10设备的事件流。

  1. 管理员使用所需设置在 Intune 中配置 BitLocker 策略,并面向用户组或设备组。
  2. 策略将保存到Intune服务中的租户。
  3. Windows 10 移动版 设备管理 (MDM) 客户端与 Intune 服务同步并处理 BitLocker 策略设置。
  4. BitLocker MDM 策略刷新计划任务在将 BitLocker 策略设置复制到完整卷加密 (FVE) 注册表项的设备上运行。
  5. 在驱动器上启动 BitLocker 加密。

加密报告将显示Intune中每个目标设备的加密状态详细信息。 有关如何使用此信息进行故障排除的详细指导,请参阅使用Intune加密报告排查 BitLocker 问题。

启动手动同步

如果已确定加密报告中没有可操作的信息,则需要从受影响的设备收集数据才能完成调查。

有权访问设备后,第一步是在收集数据之前手动启动与Intune服务的同步。 在 Windows 设备上,选择 “设置>帐户>”“访问工作或学校><”选择你的工作或学校帐户>>信息。 然后在 “设备同步状态”下,选择“ 同步”。

同步完成后,继续执行以下部分。

收集事件日志数据

以下部分说明如何从不同的日志收集数据,以帮助排查加密状态和策略问题。 在收集日志数据之前,请确保完成手动同步。

移动设备管理 (MDM) 代理事件日志

MDM 事件日志可用于确定处理Intune策略或应用 CSP 设置时是否存在问题。 OMA DM 代理将连接到 Intune 服务,并尝试处理针对用户或设备的策略。 此日志将显示处理Intune策略的成功和失败。

收集或查看以下信息:

日志>DeviceManagement-Enterprise-Diagnostics-Provider 管理员

  • 位置:右键单击“开始”菜单>事件查看器>应用程序和服务日志>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>管理员
  • 文件系统位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

若要筛选此日志,请右键单击事件日志并选择“ 筛选当前日志>严重/错误/警告”。 然后,在筛选的日志中搜索 BitLocker (按 F3 并输入文本) 。

BitLocker 设置中的错误将遵循 BitLocker CSP 的格式,因此会看到如下所示的条目:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

注意

还可以使用用于故障排除事件查看器为此事件日志启用调试日志记录。

BitLocker-API 管理事件日志

这是 BitLocker 的main事件日志。 如果 MDM 代理成功处理了策略,并且 DeviceManagement-Enterprise-Diagnostics-Provider 管理员事件日志中没有错误,则这是要调查的下一个日志。

日志>BitLocker-API 管理

  • 位置:右键单击“开始”菜单>事件查看器>应用程序和服务日志>Microsoft>Windows>BitLocker-API
  • 文件系统位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

通常,如果缺少策略所需的硬件或软件先决条件,例如受信任的平台模块 (TPM) 或 Windows 恢复环境 (WinRE) ,则会在此处记录错误。

错误:无法启用无提示加密

如以下示例所示,还会记录在无提示加密期间无法实现且显示为组策略冲突的冲突策略设置:

无法启用无提示加密。

错误:由于组策略设置冲突,BitLocker 加密无法应用于此驱动器。 如果拒绝对不受 BitLocker 保护的驱动器进行写入访问,则不需要使用 USB 启动密钥。 在尝试启用 BitLocker 之前,请让系统管理员解决这些策略冲突。

解决 方案: 将兼容的 TPM 启动 PIN 配置为 “已阻止”。 这将解决使用无提示加密时组策略设置冲突。

如果需要无提示加密,必须将 PIN 和 TPM 启动密钥设置为 “已阻止 ”。 将 TPM 启动 PIN 和启动密钥配置为“允许”,将其他启动密钥和 PIN 设置配置为“已阻止”,以便用户交互,将导致 BitLocker-AP 事件日志中出现冲突组策略错误。 此外,如果将 TPM 启动 PIN 或启动密钥配置为要求用户交互,则会导致无提示加密失败。

将任何兼容的 TPM 设置配置为 “必需” 将导致无提示加密失败。

显示“兼容的 TPM 启动”设置为“必需”的 BitLocker OS 驱动器设置。

错误:TPM 不可用

BitLocker-API 日志中的另一个常见错误是 TPM 不可用。 以下示例显示 TPM 是无提示加密的要求:

无法启用无提示加密。 TPM 不可用。

错误:在此计算机上找不到兼容的受信任的平台模块 (TPM) 安全设备。

解决 方案:确保设备上有可用的 TPM,如果存在,请通过 TPM.msc 或 PowerShell cmdlet get-tpm 检查状态。

错误:Un-Allowed 支持 DMA 的总线

如果 BitLocker-API 日志显示以下状态,则表示 Windows 检测到附加的直接内存访问 (支持 DMA) 的设备可能会暴露 DMA 威胁。

检测到 Un-Allowed 支持 DMA 的总线/设备 ()

解决 方案: 若要解决此问题,请首先验证设备没有外部 DMA 端口,原始设备制造商 (OEM) 。 然后按照以下步骤将设备添加到允许列表。 注意:仅当 DMA 设备是内部 DMA 接口/总线时,才将其添加到允许列表。

系统事件日志

如果遇到与硬件相关的问题(例如 TPM 问题),错误将显示在 TPMProvisioningService 或 TPM-WMI 源的 TPM 的系统事件日志中。

日志>系统事件

  • 位置:右键单击“开始”菜单>事件查看器>Windows 日志>系统
  • 文件系统位置:C:\Windows\System32\winevt\Logs\System.evtx

系统事件日志的筛选属性。

筛选这些事件源,以帮助识别设备在 TPM 中可能遇到的任何硬件相关问题,并与 OEM 制造商检查是否有可用的固件更新。

任务计划程序操作事件日志

任务计划程序操作事件日志可用于故障排除方案:已从 Intune (已在 DeviceManagement-Enterprise) 中处理了策略,但 BitLocker 加密尚未成功启动。 BitLocker MDM 策略刷新是一项计划任务,当 MDM 代理与Intune服务同步时,该任务应成功运行。

在以下情况下启用并运行操作日志:

  • BitLocker 策略显示在 DeviceManagement-Enterprise-Diagnostics-Provider 管理员事件日志、MDM 诊断和注册表中。
  • (已成功从Intune) 选取策略,则没有错误。
  • BitLocker-API 事件日志中未记录任何内容,以显示加密是否已尝试。

日志>任务计划程序操作事件

  • 位置:事件查看器>应用程序和服务日志>Microsoft>Windows>TaskScheduler
  • 文件系统位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

启用并运行操作事件日志

重要

在记录任何数据之前,必须手动启用此事件日志,因为日志将识别运行 BitLocker MDM 策略刷新计划任务的任何问题。

  1. 若要启用此日志,请右键单击“开始”菜单>事件查看器>应用程序和服务>Microsoft>Windows>TaskScheduler>Operational

    TaskScheduler - 操作日志的屏幕截图。

  2. 然后在 Windows 搜索框中输入任务计划程序,然后选择 任务计划程序>Microsoft>Windows>BitLocker。 右键单击“BitLocker MDM 策略刷新”,然后选择“ 运行”。

  3. 运行完成后,检查“ 上次运行结果 ”列是否有任何错误代码,并检查任务计划事件日志中的错误。

    任务计划程序中 BitLocker 任务的示例屏幕截图。

    在上面的示例中,0x0已成功运行。 错误0x41303这意味着该任务以前从未运行过。

注意

有关任务计划程序错误消息的详细信息,请参阅 任务计划程序错误和成功常量

检查 BitLocker 设置

以下部分介绍了可用于检查加密设置和状态的不同工具。

MDM 诊断报告

可以创建 MDM 日志报告,以诊断由 Intune 管理的Windows 10设备中的注册或设备管理问题。 MDM 诊断报告包含有关已注册Intune设备以及部署到该设备的策略的有用信息。

有关此过程的教程,请参阅 YouTube 视频如何在 Windows 设备上创建Intune MDM 诊断报告

  • 文件系统位置:C:\Users\Public\Documents\MDMDiagnostics

操作系统内部版本和版本

了解加密策略未正确应用的原因的第一步是检查 Windows OS 版本是否支持你配置的设置。 某些 CSP 是在特定版本的 Windows 上引入的,并且仅适用于特定版本。 例如,Windows 10版本 1703 中引入了大量 BitLocker CSP 设置,但在Windows 10 版本 1809之前,Windows 10 专业版不支持这些设置。

此外,版本 1809) 中添加了 AllowStandardUserEncryption (、版本 1909) 中添加的 ConfigureRecoveryPasswordRotation (、版本 1909) 中添加的 RotateRecoveryPasswords (以及版本 1903) 中添加的状态 (。

使用 EntDMID 进行调查

EntDMID 是Intune注册的唯一设备 ID。 在Microsoft Intune管理中心,可以使用 EntDMID 搜索“所有设备”视图并标识特定设备。 如果需要支持案例,它也是 Microsoft 支持部门的关键信息,用于在服务端进行进一步故障排除。

还可以使用 MDM 诊断报告来确定策略是否已使用管理员配置的设置成功发送到设备。 通过使用 BitLocker CSP 作为引用,可以破译在与 Intune 服务同步时选取的设置。 可以使用报表来确定策略是否面向设备,并使用 BitLocker CSP 文档 来确定配置了哪些设置。

MSINFO32

MSINFO32是一种信息工具,其中包含可用于确定设备是否满足 BitLocker 先决条件的设备数据。 所需的先决条件将取决于 BitLocker 策略设置和所需结果。 例如,TPM 2.0 的无提示加密需要 TPM 和统一可扩展固件接口 (UEFI) 。

  • 位置:在“搜索”框中,输入 msinfo32,在搜索结果中右键单击“ 系统信息 ”,然后选择“ 以管理员身份运行”。
  • 文件系统位置:C:\Windows\System32\Msinfo32.exe。

但是,如果此项不符合先决条件,则不一定意味着无法使用Intune策略加密设备。

  • 如果已将 BitLocker 策略配置为无提示加密,并且设备使用的是 TPM 2.0,请务必验证 BIOS 模式是否为 UEFI。 如果 TPM 为 1.2,则不需要在 UEFI 中使用 BIOS 模式。
  • 无提示加密不需要安全启动、DMA 保护和 PCR7 配置,但可能会在 设备加密支持中突出显示。 这是为了确保对自动加密的支持。
  • 配置为不需要 TPM 且具有用户交互而不是以无提示方式加密的 BitLocker 策略也不需要在 MSINFO32 中检查。

Tpm。MSC 文件

TPM.msc 是一个 Microsoft 管理控制台, (MMC) 管理单元文件。 可以使用 TPM.msc 来确定设备是否具有 TPM、标识版本,以及它是否可供使用。

  • 位置:在“搜索”框中,输入 tpm.msc,然后右键单击并选择“ 以管理员身份运行”。
  • 文件系统位置:MMC 管理单元 C:\Windows\System32\mmc.exe。

TPM 不是 BitLocker 的先决条件,但由于它提供的安全性增强,因此强烈建议使用 TPM。 但是,无提示和自动加密需要 TPM。 如果尝试使用 Intune 静默加密,并且 BitLocker-API 和系统事件日志中存在 TPM 错误,TPM.msc 将帮助你了解问题。

以下示例显示了正常的 TPM 2.0 状态。 请注意右下角的规范版本 2.0,并且状态已准备就绪,可供使用。

受信任的平台模块控制台中正常 TPM 2.0 状态的示例屏幕截图。

本示例显示 BIOS 中禁用 TPM 时的不正常状态:

受信任的平台模块控制台中不正常的 TPM 2.0 状态的示例屏幕截图。

将策略配置为需要 TPM,并在 TPM 缺失或不正常时要求 BitLocker 加密是最常见的问题之一。

Get-Tpm cmdlet

cmdlet 是Windows PowerShell环境中的轻型命令。 除了运行 TPM.msc 外,还可以使用 Get-Tpm cmdlet 验证 TPM。 需要使用管理员权限运行此 cmdlet。

  • 位置:在“搜索”框中输入 cmd,然后右键单击并选择“以管理员>身份运行PowerShell>get-tpm”。

PowerShell 窗口中当前和活动的 TPM 的示例屏幕截图。

在上面的示例中,可以看到 TPM 在 PowerShell 窗口中存在并处于活动状态。 值等于 True。 如果值设置为 False,则表示 TPM 存在问题。 BitLocker 将无法使用 TPM,直到它已准备就绪、已启用、激活和拥有。

Manage-bde 命令行工具

Manage-bde 是 Windows 中包含的 BitLocker 加密命令行工具。 它旨在帮助在启用 BitLocker 后进行管理。

  • 位置:在“搜索”框中,输入 cmd,右键单击并选择“ 以管理员身份运行”,然后输入 manage-bde -status
  • 文件系统位置:C:\Windows\System32\manage-bde.exe。

命令提示符窗口中 manage-bde.exe 命令的示例屏幕截图。

可以使用 manage-bde 发现有关设备的以下信息:

  • 是否加密? 如果Microsoft Intune管理中心的报告指示设备未加密,则此命令行工具可以识别加密状态。
  • 使用了哪种加密方法? 可以将工具中的信息与策略中的加密方法进行比较,以确保它们匹配。 例如,如果Intune策略配置为 XTS-AES 256 位,并且设备使用 XTS-AES 128 位加密,这将导致Microsoft Intune管理中心策略报告出错。
  • 使用哪些特定的保护程序? 有几种保护程序的组合。 了解设备上使用哪个保护程序有助于了解策略是否已正确应用。

在以下示例中,设备未加密:

未使用 BitLocker 加密的设备的示例屏幕截图。

BitLocker 注册表位置

这是要破译Intune选取的策略设置时注册表中要查找的第一个位置:

  • 位置:右键单击“开始>运行”,然后输入 regedit 以打开注册表编辑器。
  • 默认文件系统位置:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

MDM 代理注册表项将帮助你在 PolicyManager 中识别包含实际 BitLocker 策略设置的全局唯一标识符 (GUID) 。

注册表编辑器中的 BitLocker 注册表位置。

上面的示例中突出显示了 GUID。 可以在以下注册表子项中包含 GUID (它对于每个租户) 不同,以便对 BitLocker 策略设置进行故障排除:

<Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\ProvidersGUID>\default\Device\BitLocker

显示 MDM 代理配置的 BitLocker 策略设置的注册表编辑器的屏幕截图

此报表显示 MDM 代理 (OMADM 客户端) 选取的 BitLocker 策略设置。 这些设置与 MDM 诊断报告中显示的设置相同,因此这是标识客户端已选取的设置的替代方法。

EncryptionMethodByDriveType 注册表项的示例:

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

SystemDrivesRecoveryOptions 的示例

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/> 

BitLocker 注册表项

策略提供程序注册表项中的设置将复制到 main BitLocker 注册表项中。 可以比较设置,以确保它们与用户界面 (UI) 、MDM 日志、MDM 诊断和策略注册表项的策略设置中显示的内容匹配。

  • 注册表项位置:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

下面是 FVE 注册表项的示例:

在注册表编辑器中找到的 BitLocker 注册表项的屏幕截图。

  • 答: EncryptionMethodWithXtsOs、EncryptionMethodWithXtsFdv 和 EncryptionMethodWithXtsRdv 具有以下可能值:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM、UseTPMKey、UseTPMKeyPIN、USeTPMPIN 都设置为 2,这意味着它们都设置为允许。
  • C: 请注意,大多数密钥分为操作系统驱动器 (OS) 、固定驱动器 (FDV) 和可移动驱动器 (FDVR) 的设置组。
  • D: OSActiveDirectoryBackup 的值为 1 并已启用。
  • E: OSHideRecoveryPage 等于 0 且未启用。

使用 BitLocker CSP 文档 解码注册表中的所有设置名称。

REAgentC.exe 命令行工具

REAgentC.exe 是一个命令行可执行工具,可用于配置 Windows 恢复环境 (Windows RE) 。 WinRE 是在某些情况下(如无提示或自动加密)中启用 BitLocker 的先决条件。

  • 位置:右键单击“开始运行>,输入 cmd。 然后右键单击 cmd 并选择“ 以管理员>身份运行”“/info”。
  • 文件系统位置:C:\Windows\System32\ReAgentC.exe。

提示

如果在 BitLocker-API 中看到有关未启用 WinRe 的错误消息,请在设备上运行 “界面 /info ”命令以确定 WinRE 状态。

命令提示符中 ReAgentC.exe 命令的输出。

如果 WinRE 状态已禁用,请以管理员身份运行 界面 /enable 命令以手动启用它:

在命令提示符中启用 ReAgentC.exe 的示例屏幕截图。运行命令“界面”/“启用”

摘要

当 BitLocker 无法使用Intune策略在Windows 10设备上启用时,在大多数情况下,硬件或软件先决条件都未到位。 检查 BitLocker-API 日志将帮助你确定哪个先决条件不满足。 最常见的问题是:

  • TPM 不存在
  • 未启用 WinRE
  • TPM 2.0 设备未启用 UEFI BIOS

策略配置错误也可能导致加密失败。 并非所有 Windows 设备都可以以无提示方式加密,因此请考虑你面向的用户和设备。

由于启用 BitLocker 时需要用户交互,因此无法为用于无提示加密的策略配置启动密钥或 PIN。 在 Intune 中配置 BitLocker 策略时,请记住这一点。

验证设备是否已选取策略设置,以确定目标是否成功。

可以使用 MDM 诊断、注册表项和设备管理企业事件日志来标识策略设置,以验证设置是否已成功应用。 BitLocker CSP 文档可帮助你破译这些设置,以了解它们是否与策略中配置的内容匹配。