Richtlinien für die Problembehandlung bei BitLocker

  • Artikel

In diesem Artikel werden häufige Probleme in BitLocker behandelt und Richtlinien zur Behandlung dieser Probleme bereitgestellt. Dieser Artikel enthält auch Informationen, z. B. welche Daten erfasst werden sollen und welche Einstellungen überprüft werden sollen. Diese Informationen erleichtern den Problembehandlungsprozess erheblich.

Überprüfen der Ereignisprotokolle

Öffnen Sie Ereignisanzeige, und überprüfen Sie die folgenden Protokolle unter Anwendungs- und Dienstprotokolle>Microsoft>Windows:

  • BitLocker-API. Überprüfen Sie das Verwaltungsprotokoll , das Betriebsprotokoll und alle anderen Protokolle, die in diesem Ordner generiert werden. Die Standardprotokolle weisen die folgenden eindeutigen Namen auf:

    • Microsoft-Windows-BitLocker-API/Management
    • Microsoft-Windows-BitLocker-API/Operational
    • Microsoft-Windows-BitLocker-API/Ablaufverfolgung – wird nur angezeigt, wenn Analyse- und Debugprotokolle anzeigen aktiviert ist.

  • BitLocker-DrivePreparationTool. Überprüfen Sie die Admin Protokoll, das Betriebsprotokoll und alle anderen Protokolle, die in diesem Ordner generiert werden. Die Standardprotokolle weisen die folgenden eindeutigen Namen auf:

    • Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
    • Microsoft-Windows-BitLocker-DrivePreparationTool/Operational

Überprüfen Sie außerdem das Protokoll des Windows-Protokollsystems> auf Ereignisse, die von den TPM- und TPM-WMI-Ereignisquellen generiert wurden.

Zum Filtern und Anzeigen oder Exportieren von Protokollen kann daswevtutil.exe-Befehlszeilentool oder das PowerShell-Cmdlet Get-WinEvent verwendet werden.

Wenn Sie beispielsweise wevtutil.exe verwenden möchten, um den Inhalt des Betriebsprotokolls aus dem Ordner BitLocker-API in eine Textdatei mit dem Namen BitLockerAPIOpsLog.txtzu exportieren, öffnen Sie ein Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl aus:

wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt

Wenn Sie das Cmdlet Get-WinEvent verwenden möchten, um dasselbe Protokoll in eine durch Trennzeichen getrennte Textdatei zu exportieren, öffnen Sie ein Windows PowerShell Fenster, und führen Sie den folgenden Befehl aus:

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational"  | Export-Csv -Path Bitlocker-Operational.csv

Die Get-WinEvent kann in einem PowerShell-Fenster mit erhöhten Rechten verwendet werden, um gefilterte Informationen aus dem System- oder Anwendungsprotokoll mithilfe der folgenden Syntax anzuzeigen:

  • So zeigen Sie BitLocker-bezogene Informationen an:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl

    Die Ausgabe eines solchen Befehls sieht wie folgt aus:

    Screenshot der Ausgabe, die mithilfe von Get-WinEvent und einem BitLocker-Filter erzeugt wird.

  • So exportieren Sie BitLocker-bezogene Informationen:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv

  • So zeigen Sie TPM-bezogene Informationen an:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl

  • So exportieren Sie TPM-bezogene Informationen:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv

    Die Ausgabe eines solchen Befehls sieht wie folgt aus.

    Screenshot der Ausgabe, die mithilfe von Get-WinEvent und einem TPM-Filter erzeugt wird.

Hinweis

Wenn Sie Microsoft-Support kontaktieren, wird empfohlen, die in diesem Abschnitt aufgeführten Protokolle zu exportieren.

Sammeln von status Informationen aus den BitLocker-Technologien

Öffnen Sie ein fenster mit erhöhten Windows PowerShell, und führen Sie jeden der folgenden Befehle aus:

Befehl Hinweise Weitere Informationen
Get-Tpm > C:\TPM.txt PowerShell-Cmdlet, das Informationen zum Trusted Platform Module (TPM) des lokalen Computers exportiert. Dieses Cmdlet zeigt unterschiedliche Werte an, je nachdem, ob der TPM-Chip Version 1.2 oder 2.0 ist. Dieses Cmdlet wird in Windows 7 nicht unterstützt. Get-Tpm
manage-bde.exe -status > C:\BDEStatus.txt Exportiert Informationen über die allgemeine Verschlüsselung status aller Laufwerke auf dem Computer. manage-bde.exe status
manage-bde.exe c: -protectors -get > C:\Protectors Exportiert Informationen zu den Schutzmethoden, die für den BitLocker-Verschlüsselungsschlüssel verwendet werden. manage-bde.exe Schutzvorrichtungen
reagentc.exe /info > C:\reagent.txt Exportiert Informationen zu einem Online- oder Offlineimage zum aktuellen status der Windows-Wiederherstellungsumgebung (WindowsRE) und aller verfügbaren Wiederherstellungsimages. reagentc.exe
Get-BitLockerVolume \| fl PowerShell-Cmdlet, das Informationen zu Volumes abruft, die die BitLocker-Laufwerkverschlüsselung schützen kann. Get-BitLockerVolume

Überprüfen der Konfigurationsinformationen

  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie die folgenden Befehle aus:

    Befehl Hinweise Weitere Informationen
    gpresult.exe /h <Filename> Exportiert den Resultierenden Satz von Richtlinieninformationen und speichert die Informationen als HTML-Datei. gpresult.exe
    msinfo.exe /report <Path> /computer <ComputerName> Exportiert umfassende Informationen zur Hardware, Systemkomponenten und Softwareumgebung auf dem lokalen Computer. Die Option /report speichert die Informationen als .txt Datei. msinfo.exe

  2. Öffnen Sie die Registrierungs-Editor, und exportieren Sie die Einträge in den folgenden Unterschlüsseln:

    • HKLM\SOFTWARE\Policies\Microsoft\FVE
    • HKLM\SYSTEM\CurrentControlSet\Services\TPM\

Überprüfen der BitLocker-Voraussetzungen

Zu den allgemeinen Einstellungen, die Zu Problemen mit BitLocker führen können, gehören die folgenden Szenarien:

  • Das TPM muss entsperrt werden. Überprüfen Sie die Ausgabe des PowerShell-Cmdlet-Befehls get-tpm auf die status des TPM.

  • Windows RE muss aktiviert sein. Überprüfen Sie die Ausgabe des befehlsreagentc.exe auf die status von WindowsRE.

  • Die vom System reservierte Partition muss das richtige Format verwenden.

    • Auf UEFI-Computern (Unified Extensible Firmware Interface) muss die vom System reservierte Partition als FAT32 formatiert sein.
    • Auf Legacycomputern muss die vom System reservierte Partition als NTFS formatiert sein.

  • Wenn es sich bei dem Gerät um einen Slate- oder Tablet-PC handelt, verwenden Sie https://gpsearch.azurewebsites.net/#8153 , um die status der Option Verwendung der BitLocker-Authentifizierung aktivieren, die tastatureingaben in Slates vor dem Start erfordert zu überprüfen.

Weitere Informationen zu den BitLocker-Voraussetzungen finden Sie unter Grundlegende BitLocker-Bereitstellung: Verwenden von BitLocker zum Verschlüsseln von Volumes.

Nächste Schritte

Wenn die bisher untersuchten Informationen auf ein bestimmtes Problem hindeuten (z. B. WindowsRE ist nicht aktiviert), kann das Problem einfach behoben werden.

Das Beheben von Problemen, die keine offensichtlichen Ursachen haben, hängt davon ab, welche Komponenten beteiligt sind und welches Verhalten angezeigt wird. Die gesammelten Informationen helfen dabei, die zu untersuchenden Bereiche einzugrenzen.

Es wird empfohlen, die gesammelten Informationen zur Hand zu halten, falls Microsoft-Support um Hilfe bei der Behebung des Problems kontaktiert wird.