Directrices para solucionar problemas de BitLocker

En este artículo se abordan problemas comunes en BitLocker y se proporcionan instrucciones para solucionar estos problemas. En este artículo también se proporciona información como qué datos se recopilan y qué configuración se debe comprobar. Esta información facilita mucho el proceso de solución de problemas.

Revisión de los registros de eventos

Abra Visor de eventos y revise los registros siguientes en Registros de aplicaciones y servicios>de Microsoft>Windows:

• BitLocker-API. Revise el registro de administración , el registro operativo y cualquier otro registro que se genere en esta carpeta. Los registros predeterminados tienen los siguientes nombres únicos:

  • Microsoft-Windows-BitLocker-API/Management
  • Microsoft-Windows-BitLocker-API/Operational
  • Microsoft-Windows-BitLocker-API/Tracing : solo se muestra cuando mostrar registros analíticos y de depuración está habilitado

• BitLocker-DrivePreparationTool. Revise el registro de Administración, el registro operativo y cualquier otro registro que se genere en esta carpeta. Los registros predeterminados tienen los siguientes nombres únicos:

  • Microsoft-Windows-BitLocker-DrivePreparationTool/Administración
  • Microsoft-Windows-BitLocker-DrivePreparationTool/Operational

Además, revise el registrodel sistema de registros> de Windows para ver los eventos generados por los orígenes de eventos TPM y TPM-WMI.

Para filtrar y mostrar o exportar registros, se puede usar la herramienta de línea de comandos wevtutil.exe o el cmdlet Get-WinEvent de PowerShell.

Por ejemplo, para usar wevtutil.exe para exportar el contenido del registro operativo desde la carpeta BitLocker-API a un archivo de texto denominado BitLockerAPIOpsLog.txt, abra una ventana del símbolo del sistema y ejecute el siguiente comando:

wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt

Para usar el cmdlet Get-WinEvent para exportar el mismo registro a un archivo de texto separado por comas, abra una ventana Windows PowerShell y ejecute el siguiente comando:

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational"  | Export-Csv -Path Bitlocker-Operational.csv

El Get-WinEvent se puede usar en una ventana de PowerShell con privilegios elevados para mostrar información filtrada del registro del sistema o de la aplicación mediante la sintaxis siguiente:

• Para mostrar información relacionada con BitLocker:

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl
  

  La salida de este comando es similar a la siguiente:

  

• Para exportar información relacionada con BitLocker:

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv
  

• Para mostrar información relacionada con TPM:

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl
  

• Para exportar información relacionada con TPM:

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv
  

  La salida de este comando es similar a la siguiente.

  

Nota:

Al ponerse en contacto con Soporte técnico de Microsoft, se recomienda exportar los registros enumerados en esta sección.

Recopilación de información de estado de las tecnologías de BitLocker

Abra una ventana de Windows PowerShell con privilegios elevados y ejecute cada uno de los comandos siguientes:

Get-Help	Notas	Más información
Get-Tpm > C:\TPM.txt	Cmdlet de PowerShell que exporta información sobre el módulo de plataforma segura (TPM) del equipo local. Este cmdlet muestra valores diferentes en función de si el chip TPM es la versión 1.2 o 2.0. Este cmdlet no se admite en Windows 7.	Get-Tpm
manage-bde.exe -status > C:\BDEStatus.txt	Exporta información sobre el estado de cifrado general de todas las unidades del equipo.	estado demanage-bde.exe
manage-bde.exe c: -protectors -get > C:\Protectors	Exporta información sobre los métodos de protección que se usan para la clave de cifrado de BitLocker.	protectores demanage-bde.exe
reagentc.exe /info > C:\reagent.txt	Exporta información sobre una imagen en línea o sin conexión sobre el estado actual del entorno de recuperación de Windows (WindowsRE) y cualquier imagen de recuperación disponible.	reagentc.exe
Get-BitLockerVolume \| fl	Cmdlet de PowerShell que obtiene información sobre los volúmenes que el cifrado de unidad BitLocker puede proteger.	Get-BitLockerVolume

Revisión de la información de configuración

1. Abra una ventana del símbolo del sistema con privilegios elevados y ejecute los siguientes comandos:

   Get-Help	Notas	Más información
   gpresult.exe /h <Filename>	Exporta el conjunto resultante de información de directiva y guarda la información como un archivo HTML.	gpresult.exe
   msinfo.exe /report <Path> /computer <ComputerName>	Exporta información completa sobre el hardware, los componentes del sistema y el entorno de software en el equipo local. La opción /report guarda la información como un archivo .txt.	msinfo.exe

2. Abra el registro Editor y exporte las entradas en las subclaves siguientes:

   • HKLM\SOFTWARE\Policies\Microsoft\FVE
   • HKLM\SYSTEM\CurrentControlSet\Services\TPM\

Comprobación de los requisitos previos de BitLocker

La configuración común que puede causar problemas para BitLocker incluye los siguientes escenarios:

• El TPM debe estar desbloqueado. Compruebe la salida del comando de cmdlet get-tpm de PowerShell para ver el estado del TPM.

• Windows RE debe estar habilitado. Compruebe la salida del comando reagentc.exe para ver el estado de WindowsRE.

• La partición reservada del sistema debe usar el formato correcto.

  • En los equipos de unified Extensible Firmware Interface (UEFI), la partición reservada del sistema debe tener el formato FAT32.
  • En los equipos heredados, la partición reservada del sistema debe tener el formato NTFS.

• Si el dispositivo que tiene problemas es un equipo de pizarra o tableta, use https://gpsearch.azurewebsites.net/#8153 para comprobar el estado de la opción Habilitar el uso de la autenticación de BitLocker que requiere entrada de teclado previa al arranque en pizarras .

Para obtener más información sobre los requisitos previos de BitLocker, vea Implementación básica de BitLocker: Uso de BitLocker para cifrar volúmenes.

Pasos siguientes

Si la información examinada hasta ahora indica un problema específico (por ejemplo, WindowsRE no está habilitado), el problema puede tener una corrección sencilla.

La resolución de problemas que no tienen causas obvias depende exactamente de qué componentes están implicados y de qué comportamiento se está viendo. La información recopilada ayuda a restringir las áreas para investigar.

• Si Microsoft Intune administra el dispositivo que tiene problemas, consulte Aplicación de directivas de BitLocker mediante Intune: problemas conocidos.

• Si BitLocker no se inicia o no puede cifrar una unidad y se producen errores o eventos relacionados con el TPM, consulte BitLocker no puede cifrar una unidad: problemas conocidos de TPM.

• Si BitLocker no se inicia o no puede cifrar una unidad, vea BitLocker cannot encrypt a drive: known issues (No se puede cifrar una unidad: problemas conocidos).

• Si el desbloqueo de red de BitLocker no se comporta según lo esperado, consulte Desbloqueo de red de BitLocker: problemas conocidos.

• Si BitLocker no se comporta como se esperaba cuando se recupera una unidad cifrada o si BitLocker ha recuperado inesperadamente una unidad, consulta Recuperación de BitLocker: problemas conocidos.

• Si BitLocker o la unidad cifrada no se comportan según lo esperado y se producen errores o eventos relacionados con el TPM, consulte BitLocker y TPM: otros problemas conocidos.

• Si BitLocker o la unidad cifrada no se comportan según lo esperado, consulte Configuración de BitLocker: problemas conocidos.

Se recomienda mantener la información recopilada a mano en caso de que se contacte con Soporte técnico de Microsoft para obtener ayuda para resolver el problema.