通过

排查来自客户端的 BitLocker 策略问题

  • 项目

本文提供有关如何在客户端对 BitLocker 加密进行故障排除的指导。 虽然 Microsoft Intune 加密报告 可以帮助你识别和排查常见的加密问题,但可能不会报告 BitLocker 配置服务提供程序(CSP)中的某些状态数据。 在这些方案中,需要访问设备以进一步调查。

BitLocker 加密过程

以下步骤描述了事件流,这些事件应导致已成功加密以前未使用 BitLocker 加密的 Windows 10 设备。

  1. 管理员 使用所需的设置在 Intune 中配置 BitLocker 策略,并面向用户组或设备组。
  2. 策略将保存到 Intune 服务中的租户。
  3. Windows 10 移动版 设备管理(MDM)客户端与 Intune 服务同步并处理 BitLocker 策略设置。
  4. BitLocker MDM 策略刷新计划任务在将 BitLocker 策略设置复制到完整卷加密 (FVE) 注册表项的设备上运行。
  5. BitLocker 加密在驱动器上启动。

加密 报告 将显示 Intune 中每个目标设备的加密状态详细信息。 有关如何使用此信息进行故障排除的详细指南,请参阅 使用 Intune 加密报告对 BitLocker 进行故障排除。

启动手动同步

如果确定加密报告中没有可操作的信息,则需要从受影响的设备收集数据才能完成调查。

访问设备后, 第一步 是在 收集数据之前手动启动与 Intune 服务的同步 。 在 Windows 设备上,选择“设置>帐户>访问工作或学校><”选择工作或学校帐户>>信息。 然后在“设备同步状态”下,选择“同步”。

同步完成后,请继续学习以下部分。

收集事件日志数据

以下部分介绍如何从不同的日志收集数据,以帮助排查加密状态和策略问题。 在收集日志数据之前,请确保完成手动同步。

移动设备管理 (MDM) 代理事件日志

MDM 事件日志可用于确定是否存在处理 Intune 策略或应用 CSP 设置的问题。 OMA DM 代理将连接到 Intune 服务,并尝试处理针对用户或设备的策略。 此日志将显示处理 Intune 策略的成功和失败。

收集或查看以下信息:

LOG>DeviceManagement-Enterprise-Diagnostics-Provider 管理员

  • 位置:右键单击“开始”菜单>事件查看器>应用和服务日志>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider 管理员>
  • 文件系统位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

若要筛选此日志,请右键单击事件日志,然后选择“筛选当前日志>严重/错误/警告”。 然后搜索经过筛选的 BitLocker 日志(按 F3 并输入文本)。

BitLocker 设置中的错误将遵循 BitLocker CSP 的格式,因此你将看到如下所示的条目:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

注意

还可以使用事件查看器为此事件日志启用调试日志记录,以便进行故障排除。

BitLocker-API 管理事件日志

这是 BitLocker 的主要事件日志。 如果 MDM 代理已成功处理策略,并且 DeviceManagement-Enterprise-Diagnostics-Provider 管理员事件日志中没有错误,则这是要调查的下一个日志。

LOG>BitLocker-API 管理

  • 位置:右键单击“开始”菜单>事件查看器> Windows>BitLocker-API Microsoft>Applications 和服务日志>
  • 文件系统位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

通常,如果缺少策略所需的硬件或软件先决条件(例如受信任的平台模块(TPM)或 Windows 恢复环境(WinRE),则此处会记录错误。

错误:无法启用无提示加密

如以下示例所示,还会记录在无提示加密期间无法实现的冲突策略设置,并记录为组策略冲突的清单:

未能启用无提示加密。

错误:由于组策略设置冲突,BitLocker 加密无法应用于此驱动器。 如果拒绝对不受 BitLocker 保护的驱动器的写入访问,则无法使用 USB 启动密钥。 在尝试启用 BitLocker 之前,请让系统管理员解决这些策略冲突。

解决方案: 将兼容的 TPM 启动 PIN 配置为 阻止。 这将在使用无提示加密时解决冲突的组策略设置。

如果需要无提示加密,必须将 PIN 和 TPM 启动密钥设置为 “已 阻止”。 将 TPM 启动 PIN 和启动密钥配置为 “允许 ”和其他启动密钥和 PIN 设置以 阻止 用户交互,并将导致 BitLocker-AP 事件日志中出现冲突 的组策略错误。 此外,如果将 TPM 启动 PIN 或启动密钥配置为要求用户交互,则会导致无提示加密失败。

将任何兼容的 TPM 设置配置为 “必需 ”将导致无提示加密失败。

显示兼容的 TPM 启动设置为“必需”的 BitLocker OS 驱动器设置。

错误:TPM 不可用

BitLocker-API 日志中的另一个常见错误是 TPM 不可用。 以下示例显示 TPM 是无提示加密的要求:

未能启用无提示加密。 TPM 不可用。

错误:无法在此计算机上找到兼容的受信任平台模块(TPM)安全设备。

解决方案: 确保设备上有可用的 TPM,如果存在,请通过 TPM.msc 或 PowerShell cmdlet get-tpm 检查状态。

错误:支持 DMA 的 Un-Allowed DMA 总线

如果 BitLocker-API 日志显示以下状态,则表示 Windows 检测到可能暴露 DMA 威胁的附加直接内存访问(DMA)支持设备。

检测到支持 DMA 的 DMA 总线/设备

解决方法: 若要修正此问题,请先验证设备是否没有与原始设备制造商(OEM)的外部 DMA 端口。 然后按照以下步骤将设备添加到允许的列表。 注意:仅当 DMA 接口/总线是内部 DMA 接口/总线时,才将 DMA 设备添加到允许的列表。

系统事件日志

如果遇到与硬件相关的问题(如 TPM 问题),错误将显示在 TPMProvisioningService 或 TPM-WMI 源中的 TPM 的系统事件日志中。

LOG>系统事件

  • 位置:右键单击“开始”菜单>事件查看器>Windows 日志系统>
  • 文件系统位置:C:\Windows\System32\winevt\Logs\System.evtx

筛选系统事件日志的属性。

筛选这些事件源,以帮助识别设备在 TPM 中可能遇到的任何硬件相关问题,并检查 OEM 制造商是否有可用的固件更新。

任务计划程序操作事件日志

任务计划程序操作事件日志对于从 Intune 接收策略(已在 DeviceManagement-Enterprise 中处理)但 BitLocker 加密尚未成功启动的故障排除方案非常有用。 BitLocker MDM 策略刷新是一项计划任务,应在 MDM 代理与 Intune 服务同步时成功运行。

在以下方案中启用并运行操作日志:

  • BitLocker 策略显示在 DeviceManagement-Enterprise-Diagnostics-Provider 管理员事件日志、MDM 诊断和注册表中。
  • 没有错误(策略已成功从 Intune 中选取)。
  • BitLocker-API 事件日志中未记录任何内容,以显示甚至尝试加密。

LOG>任务计划程序操作事件

  • 位置:事件查看器> Windows TaskScheduler Microsoft>Applications>和服务日志>
  • 文件系统位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

启用并运行操作事件日志

重要

在记录任何数据之前,必须手动启用此事件日志,因为日志将识别运行 BitLocker MDM 策略刷新计划任务时遇到的任何问题。

  1. 若要启用此日志,请右键单击“开始”菜单>事件查看器>应用和服务>Microsoft>Windows>TaskScheduler>操作。

    TaskScheduler - 操作日志的屏幕截图。

  2. 然后在 Windows 搜索框中输入任务计划程序,然后选择“任务计划程序>”Microsoft>Windows>BitLocker。 右键单击 BitLocker MDM 策略“刷新”,然后选择“ 运行”。

  3. 运行完成后,检查 “上次运行结果 ”列是否有任何错误代码,并检查任务计划事件日志中是否存在错误。

    任务计划程序中 BitLocker 任务的示例屏幕截图。

    在上面的示例中,0x0已成功运行。 错误0x41303这意味着该任务以前从未运行过。

注意

有关任务计划程序错误消息的详细信息,请参阅 任务计划程序错误和成功常量

检查 BitLocker 设置

以下部分介绍了可用于检查加密设置和状态的不同工具。

MDM 诊断报告

可以创建 MDM 日志报告,以诊断 Intune 管理的 Windows 10 设备中的注册或设备管理问题。 MDM 诊断报告包含有关已注册 Intune 的设备及其部署的策略的有用信息。

有关此过程的教程,请参阅 YouTube 视频 :如何在 Windows 设备上创建 Intune MDM 诊断报告

  • 文件系统位置:C:\Users\Public\Documents\MDMDiagnostics

OS 版本和版本

了解加密策略为何未正确应用的第一步是检查 Windows OS 版本和版本是否支持你配置的设置。 某些 CSP 是在特定版本的 Windows 上引入的,仅适用于特定版本。 例如,Windows 10 版本 1703 中引入了大部分 BitLocker CSP 设置,但在 Windows 10 版本 1809 之前,Windows 10 专业版不支持这些设置。

此外,还有一些设置,例如 AllowStandardUserEncryption(在版本 1809 中添加)、ConfigureRecoveryPasswordRotation(在版本 1909 中添加)、RotateRecoveryPasswords(在版本 1909 中添加)和状态(在版本 1903 中添加)。

使用 EntDMID 进行调查

EntDMID 是 Intune 注册的唯一设备 ID。 在 Microsoft Intune 管理中心,可以使用 EntDMID 搜索 “所有设备” 视图并标识特定设备。 对于Microsoft支持而言,这也是一个关键信息,以便在需要支持案例时在服务端进行进一步故障排除。

还可以使用 MDM 诊断报告来识别策略是否已使用管理员配置的设置成功发送到设备。 通过使用 BitLocker CSP 作为引用,可以解码与 Intune 服务同步时已选取的设置。 可以使用报告来确定策略是否面向设备,并使用 BitLocker CSP 文档 确定配置了哪些设置。

MSINFO32

MSINFO32是一种信息工具,其中包含可用于确定设备是否满足 BitLocker 先决条件的设备数据。 所需的先决条件取决于 BitLocker 策略设置和所需结果。 例如,TPM 2.0 的无提示加密需要 TPM 和统一可扩展固件接口(UEFI)。

  • 位置:在“搜索”框中,输入 msinfo32,右键单击搜索结果中的系统信息,然后选择“以管理员身份运行”。
  • 文件系统位置:C:\Windows\System32\Msinfo32.exe。

但是,如果此项不符合先决条件,则不一定意味着无法使用 Intune 策略加密设备。

  • 如果已将 BitLocker 策略配置为以无提示方式加密,并且设备正在使用 TPM 2.0,请务必验证 BIOS 模式是否为 UEFI。 如果 TPM 为 1.2,则 UEFI 中的 BIOS 模式不是必需的。
  • 无提示加密不需要安全启动、DMA 保护和RF7 配置,但可能会在设备加密支持突出显示。 这是为了确保支持自动加密。
  • 配置为不需要 TPM 且具有用户交互而不是以无提示方式加密的 BitLocker 策略,也不会具有签入MSINFO32的先决条件。

TPM。MSC 文件

TPM.msc 是一个Microsoft管理控制台(MMC)管理单元文件。 可以使用 TPM.msc 来确定设备是否具有 TPM、标识版本以及它是否可供使用。

  • 位置:在搜索框中,输入 tpm.msc,然后右键单击并选择“ 以管理员身份运行”。
  • 文件系统位置:MMC 管理单元 C:\Windows\System32\mmc.exe。

TPM 不是 BitLocker 的先决条件,但由于它提供的安全性增加,因此强烈建议使用 TPM。 但是,需要 TPM 才能进行无提示加密和自动加密。 如果尝试使用 Intune 以无提示方式加密,BitLocker-API 和系统事件日志中存在 TPM 错误,TPM.msc 将帮助你了解问题。

以下示例显示了正常的 TPM 2.0 状态。 请注意右下角的规范版本 2.0,状态已准备好使用。

受信任的平台模块控制台中正常 TPM 2.0 状态的示例屏幕截图。

本示例在 BIOS 中禁用 TPM 时显示不正常状态:

受信任平台模块控制台中不正常的 TPM 2.0 状态的示例屏幕截图。

将策略配置为要求 TPM,并期望 BitLocker 在 TPM 缺失或运行不正常时加密是最常见的问题之一。

Get-Tpm cmdlet

cmdlet 是 Windows PowerShell 环境中的轻型命令。 除了运行 TPM.msc 之外,还可以使用 Get-Tpm cmdlet 验证 TPM。 需要使用管理员权限运行此 cmdlet。

  • 位置:在搜索框中输入 cmd,然后右键单击并选择“以管理员>PowerShell>get-tpm 身份运行”。

PowerShell 窗口中演示和活动 TPM 的示例屏幕截图。

在上面的示例中,可以看到 TPM 在 PowerShell 窗口中存在并处于活动状态。 值等于 True。 如果值设置为 False,则表示 TPM 出现问题。 BitLocker 将无法使用 TPM,直到它存在、就绪、启用、激活和拥有。

Manage-bde 命令行工具

Manage-bde 是 Windows 中包含的 BitLocker 加密命令行工具。 它旨在帮助在启用 BitLocker 后进行管理。

  • 位置:在“搜索”框中,输入 cmd,右键单击并选择“以管理员身份运行”,然后输入 manage-bde -status
  • 文件系统位置:C:\Windows\System32\manage-bde.exe。

命令提示符窗口中manage-bde.exe命令的示例屏幕截图。

可以使用 manage-bde 发现有关设备的以下信息:

  • 是否已加密? 如果在 Microsoft Intune 管理中心中报告指示设备未加密,则此命令行工具可以识别加密状态。
  • 使用了哪种加密方法? 可以将该工具中的信息与策略中的加密方法进行比较,以确保它们匹配。 例如,如果 Intune 策略配置为 XTS-AES 256 位,并且设备使用 XTS-AES 128 位加密,则这将导致Microsoft Intune 管理中心策略报告时出错。
  • 正在使用哪些特定的保护程序? 保护程序有多种组合。 了解设备上使用哪个保护程序有助于了解策略是否已正确应用。

在以下示例中,设备未加密:

未使用 BitLocker 加密的设备的示例屏幕截图。

BitLocker 注册表位置

这是注册表中要查找的第一个位置,用于解码 Intune 选取的策略设置:

  • 位置:右键单击“开始>运行”,然后输入 regedit 以打开注册表编辑器。
  • 默认文件系统位置:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

MDM 代理注册表项将帮助你在 PolicyManager 中标识全局唯一标识符(GUID),其中包含实际的 BitLocker 策略设置。

注册表编辑器中的 BitLocker 注册表位置。

上述示例中突出显示了 GUID。 可以在以下注册表子项中包含 GUID(每个租户会有所不同),以便对 BitLocker 策略设置进行故障排除:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers<GUID>\default\Device\BitLocker

注册表编辑器的屏幕截图,其中显示了 MDM 代理配置的 BitLocker 策略设置

此报告显示 MDM 代理(OMADM 客户端)已选取的 BitLocker 策略设置。 这些设置与在 MDM 诊断报告中看到的设置相同,因此这是标识客户端已选取的设置的替代方法。

EncryptionMethodByDriveType 注册表项的示例:

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

SystemDrivesRecoveryOptions 的示例

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

BitLocker 注册表项

策略提供程序注册表项中的设置将复制到主 BitLocker 注册表项中。 可以比较这些设置,以确保它们与用户界面(UI)、MDM 日志、MDM 诊断和策略注册表项的策略设置中显示的内容匹配。

  • 注册表项位置:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

这是 FVE 注册表项的示例:

在注册表编辑器中找到的 BitLocker 注册表项的屏幕截图。

  • 答: EncryptionMethodWithXtsOs、EncryptionMethodWithXtsFdv 和 EncryptionMethodWithXtsRdv 具有以下可能的值:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM、UseTPMKey、UseTPMKeyPIN、USeTPMPIN 全部设置为 2,这意味着它们都设置为允许。
  • C: 请注意,大多数密钥分为操作系统驱动器(OS)、固定驱动器(FDV)和可移动驱动器(FDVR)的设置组。
  • D: OSActiveDirectoryBackup 的值为 1 且已启用。
  • E: OSHideRecoveryPage 等于 0 且未启用。

使用 BitLocker CSP 文档解码注册表中的所有设置名称。

REAgentC.exe命令行工具

REAgentC.exe是一种命令行可执行工具,可用于配置 Windows 恢复环境(Windows RE)。 WinRE 是在某些情况下(例如无提示或自动加密)中启用 BitLocker 的先决条件。

  • 位置:右键单击“开始>运行”,输入 cmd。 然后右键单击 cmd,然后选择“以管理员>身份运行”>
  • 文件系统位置:C:\Windows\System32\ReAgentC.exe。

提示

如果在 BitLocker-API 中看到有关 WinRe 未启用的错误消息,请在设备上运行 varc /info 命令以确定 WinRE 状态。

命令提示符中ReAgentC.exe命令的输出。

如果 WinRE 状态已禁用,请 以管理员身份运行 varc /enable 命令以手动启用它:

在命令提示符中启用ReAgentC.exe的示例屏幕截图。运行 command varc /enable

总结

如果 BitLocker 无法使用 Intune 策略在 Windows 10 设备上启用,在大多数情况下,硬件或软件先决条件就未到位。 检查 BitLocker-API 日志将帮助你确定哪些先决条件不满足。 最常见的问题包括:

  • TPM 不存在
  • 未启用 WinRE
  • TPM 2.0 设备未启用 UEFI BIOS

策略配置错误也可能导致加密失败。 并非所有 Windows 设备都可以以无提示方式加密,因此请考虑你面向的用户和设备。

为用于无提示加密的策略配置启动密钥或 PIN 将不起作用,因为启用 BitLocker 时需要用户交互。 在 Intune 中配置 BitLocker 策略时,请记住这一点。

验证设备是否已选取策略设置,以确定目标是否已成功。

可以使用 MDM 诊断、注册表项和设备管理企业事件日志来标识策略设置,以验证是否已成功应用设置。 BitLocker CSP 文档可帮助你解密这些设置,以了解它们是否与策略中配置的内容匹配。