Solução de problemas de políticas do BitLocker do lado do cliente

  • Artigo
  • 16 minutos para ler

Este artigo fornece diretrizes sobre como solucionar problemas de criptografia do BitLocker no lado do cliente. Embora o Microsoft Intune de criptografia possa ajudá-lo a identificar e solucionar problemas comuns de criptografia, alguns dados de status do CSP (provedor de serviços de configuração) do BitLocker podem não ser relatados. Nesses cenários, você precisará acessar o dispositivo para investigar mais.

Processo de criptografia do BitLocker

As etapas a seguir descrevem o fluxo de eventos que devem resultar em uma criptografia bem-sucedida de um dispositivo Windows 10 que não foi criptografado anteriormente com o BitLocker.

  1. Um administrador configura uma política do BitLocker no Intune com as configurações desejadas e tem como destino um grupo de usuários ou grupo de dispositivos.
  2. A política é salva em um locatário no Intune serviço.
  3. Um Windows 10 Mobile Gerenciamento de Dispositivos (MDM) é sincronizado com o serviço Intune e processa as configurações de política do BitLocker.
  4. A tarefa De atualização agendada da política de MDM do BitLocker é executada no dispositivo que replica as configurações de política do BitLocker para a chave do Registro de criptografia de volume total (FVE).
  5. A criptografia do BitLocker é iniciada nas unidades.

O relatório de criptografia mostrará detalhes de status de criptografia para cada dispositivo de destino Intune. Para obter diretrizes detalhadas sobre como usar essas informações para solução de problemas, consulte Solução de problemas do BitLocker com o relatório de Intune criptografia.

Iniciar uma sincronização manual

Se você tiver determinado que não há informações acionáveis no relatório de criptografia, precisará coletar dados do dispositivo afetado para concluir a investigação.

Depois de ter acesso ao dispositivo, a primeira etapa é iniciar uma sincronização com o serviço Intune manualmente antes de coletar os dados. Em seu dispositivo Windows, selecione Configurações****de Acesso > a Contas corporativas > ou de estudante > <Selecione suas informações de conta corporativa ou de> > estudante. Em seguida, em Status de sincronização do dispositivo, selecione Sincronizar.

Depois que a sincronização for concluída, prossiga para as seções a seguir.

Coletando dados do log de eventos

As seções a seguir explicam como coletar dados de logs diferentes para ajudar a solucionar problemas de status e políticas de criptografia. Certifique-se de concluir uma sincronização manual antes de coletar dados de log.

Log de eventos do agente de gerenciamento de dispositivo móvel (MDM)

O log de eventos do MDM é útil para determinar se houve um problema ao processar a política de Intune ou aplicar as configurações do CSP. O agente do OMA DM se conectará ao serviço Intune e tentará processar as políticas direcionadas ao usuário ou dispositivo. Esse log mostrará o êxito e o processamento de falhas Intune políticas.

Colete ou examine as seguintes informações:

LOG > Administrador do DeviceManagement-Enterprise-Diagnostics-Provider

  • Local: clique com o botão direito do mouse no menu > Iniciar Visualizador de Eventos > Aplicações e Logs > de Serviço microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider > Administração
  • Local do sistema de arquivos: C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

Para filtrar esse log, clique com o botão direito do mouse no log de eventos e selecione Filtrar Log Atual > Crítico/Erro/Aviso. Em seguida, pesquise os logs filtrados para o BitLocker (pressione F3 e insira o texto).

Os erros nas configurações do BitLocker seguirão o formato do CSP do BitLocker, portanto, você verá entradas como esta:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

ou

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Observação

Você também pode habilitar o log de depuração para esse log de eventos usando o Visualizador de Eventos para solução de problemas.

Log de eventos de gerenciamento de API do BitLocker

Esse é o log de eventos principal do BitLocker. Se o agente MDM tiver processado a política com êxito e não houver erros no log de eventos de administrador deviceManagement-Enterprise-Diagnostics-Provider, esse será o próximo log a ser investigado.

LOG > Gerenciamento de API do BitLocker

  • Local: clique com o botão direito do mouse no menu Iniciar > Visualizador de Eventos > Aplicações e Logs > de Serviço microsoft > Windows > BitLocker-API
  • Local do sistema de arquivos: C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

Normalmente, os erros são registrados aqui se houver pré-requisitos de hardware ou software ausentes que a política exija, como TPM (Trusted Platform Module) ou WinRE (Ambiente de Recuperação do Windows).

Erro: falha ao habilitar a Criptografia Silenciosa

Conforme mostrado no exemplo a seguir, as configurações de política conflitantes que não podem ser implementadas durante a criptografia silenciosa e o manifesto como conflitos de política de grupo também são registradas:

Falha ao habilitar a Criptografia Silenciosa.

Erro: a Criptografia bitLocker não pode ser aplicada a essa unidade devido a configurações Política de Grupo conflitantes. Quando o acesso de gravação a unidades não protegidas pelo BitLocker é negado, o uso de uma chave de inicialização USB não pode ser necessário. Peça ao administrador do sistema para resolver esses conflitos de política antes de tentar habilitar o BitLocker.

Solução: Configure o PIN de inicialização do TPM compatível como Bloqueado. Isso resolverá as configurações Política de Grupo conflitantes ao usar a criptografia silenciosa.

Você deve definir o PIN e a chave de inicialização do TPM como Bloqueados se a criptografia silenciosa for necessária. Configurar o PIN de inicialização do TPM e a chave de inicialização como Permitido e outra chave de inicialização e a configuração de PIN como Bloqueados para interação do usuário e resultará em um erro Política de Grupo conflitante no log de eventos do BitLocker-AP. Além disso, se você configurar o PIN de inicialização do TPM ou a chave de inicialização para exigir interação do usuário, isso causará falha na criptografia silenciosa.

Definir qualquer uma das configurações compatíveis do TPM como Obrigatório causará falha na criptografia silenciosa.

Configurações da unidade do sistema operacional BitLocker que mostram a inicialização compatível do TPM definida como Obrigatória.

Erro: O TPM não está disponível

Outro erro comum no log da API do BitLocker é que o TPM não está disponível. O exemplo a seguir mostra que o TPM é um requisito para criptografia silenciosa:

Falha ao habilitar a Criptografia Silenciosa.O TPM não está disponível.

Erro: um dispositivo de segurança TPM (Trusted Platform Module) compatível não pode ser encontrado neste computador.

Solução: Verifique se há um TPM disponível no dispositivo e, se ele estiver presente, verifique o status por meio do TPM.msc ou do cmdlet get-tpm do PowerShell.

Erro: barramento Un-Allowed compatível com AMD

Se o log da API do BitLocker exibir o status a seguir, isso significa que o Windows detectou um dispositivo compatível com DMA (acesso direto à memória) anexado que pode expor uma ameaça de DMA.

Un-Allowed barramentos/dispositivos compatíveis com DMA detectados

Solução: Para corrigir esse problema, primeiro verifique se o dispositivo não tem portas de AMD externas com o fabricante do equipamento original (OEM). Em seguida, siga estas etapas para adicionar o dispositivo à lista de permissões. Observação: adicione apenas um dispositivo DMA à lista de permissões se for uma interface/barramento DMA interno.

Log de eventos do sistema

Se você estiver tendo problemas relacionados ao hardware, como problemas com o TPM, erros serão exibidos no log de eventos do sistema para TPM da fonte TPMProvisioningService ou TPM-WMI.

LOG > Evento do sistema

  • Local: clique com o botão direito do mouse no menu Iniciar > Visualizador de Eventos > Windows Logs > System
  • Local do sistema de arquivos: C:\Windows\System32\winevt\Logs\System.evtx

Filtrando propriedades para o log de eventos do sistema.

Filtre essas fontes de eventos para ajudar a identificar quaisquer problemas relacionados ao hardware que o dispositivo possa estar enfrentando com o TPM e verifique com o fabricante do OEM se há atualizações de firmware disponíveis.

Log de eventos operacionais do agendador de tarefas

O log de eventos operacionais do agendador de tarefas é útil para solucionar problemas de cenários em que a política foi recebida do Intune (foi processada no DeviceManagement-Enterprise), mas a criptografia do BitLocker não foi iniciada com êxito. A atualização da política de MDM do BitLocker é uma tarefa agendada que deve ser executada com êxito quando o agente MDM é sincronizado com o Intune serviço.

Habilite e execute o log operacional nos seguintes cenários:

  • A política do BitLocker aparece no log de eventos de administrador deviceManagement-Enterprise-Diagnostics-Provider, no diagnóstico de MDM e no registro.
  • Não há erros (a política foi selecionada com êxito no Intune).
  • Nada é registrado no log de eventos da API do BitLocker para mostrar que a criptografia foi tentada.

LOG > Evento operacional do agendador de tarefas

  • Local: Visualizador de Eventos > Aplicações e logs de serviço > microsoft > Windows > TaskScheduler
  • Local do sistema de arquivos: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

Habilitar e executar o log de eventos operacionais

Importante

Você deve habilitar manualmente esse log de eventos antes de registrar em log quaisquer dados, pois o log identificará quaisquer problemas ao executar a tarefa agendada atualização da política de MDM do BitLocker.

  1. Para habilitar esse log, clique com o botão direito do mouse no Menu > Iniciar Visualizador de Eventos > Aplicações e Serviços > Operacionais do Microsoft > Windows > TaskScheduler > .

    Captura de tela do TaskScheduler – Logs Operacionais.

  2. Em seguida, insira o agendador de tarefas na caixa de pesquisa do Windows e selecione Agendador de > Tarefas Microsoft > Windows > BitLocker. Clique com o botão direito do mouse na atualização da política de MDM do BitLocker e escolha Executar.

  3. Quando a execução for concluída, inspecione a coluna Resultado da Última Execução em busca de códigos de erro e examine o log de eventos do agendamento de tarefas em busca de erros.

    Captura de tela de exemplo das tarefas do BitLocker no Agendador de Tarefas.

    No exemplo acima, o 0x0 foi executado com êxito. O erro 0x41303 isso significa que a tarefa nunca foi executada anteriormente.

Observação

Para obter mais informações sobre mensagens de erro do Agendador de Tarefas, consulte Constantes de Erro e Êxito do Agendador de Tarefas.

Verificando as configurações do BitLocker

As seções a seguir explicam as diferentes ferramentas que você pode usar para verificar as configurações de criptografia e o status.

Relatório de Diagnóstico do MDM

Você pode criar um relatório de logs de MDM para diagnosticar problemas de registro ou gerenciamento de dispositivo em dispositivos Windows 10 gerenciados pelo Intune. O Relatório de Diagnóstico do MDM contém informações úteis sobre um Intune registrado e as políticas implantadas nele.

Para obter um tutorial desse processo, consulte o vídeo do YouTube Como criar um relatório de diagnóstico Intune MDM em dispositivos Windows

  • Local do sistema de arquivos: C:\Users\Public\Documents\MDMDiagnostics

Build e edição do sistema operacional

A primeira etapa para entender por que sua política de criptografia não está sendo aplicada corretamente é verificar se a versão e a edição do sistema operacional Windows dão suporte às configurações que você definiu. Alguns CSPs foram introduzidos em versões específicas do Windows e só funcionarão em uma determinada edição. Por exemplo, a maior parte das configurações do CSP do BitLocker foi introduzida no Windows 10, versão 1703, mas essas configurações não tinham suporte no Windows 10 Pro até Windows 10, versão 1809.

Além disso, há configurações como AllowStandardUserEncryption (adicionado na versão 1809), ConfigureRecoveryPasswordRotation (adicionado na versão 1909), RotateRecoveryPasswords (adicionado na versão 1909) e Status (adicionado na versão 1903).

Investigando com o EntDMID

O EntDMID é uma ID de dispositivo exclusiva para Intune registro. No Centro de administração do Microsoft Endpoint Manager, você pode usar o EntDMID para pesquisar na exibição Todos os Dispositivos e identificar um dispositivo específico. Também é uma informação crucial para o suporte da Microsoft habilitar mais soluções de problemas no lado do serviço se for necessário um caso de suporte.

Você também pode usar o Relatório de Diagnóstico do MDM para identificar se uma política foi enviada com êxito ao dispositivo com as configurações definidas pelo administrador. Usando o CSP do BitLocker como referência, você pode decifrar quais configurações foram selecionadas ao sincronizar com o Intune serviço. Você pode usar o relatório para determinar se a política está direcionando o dispositivo e usar a documentação do CSP do BitLocker para identificar quais configurações foram definidas.

MSINFO32

MSINFO32 é uma ferramenta de informações que contém dados de dispositivo que você pode usar para determinar se um dispositivo atende aos pré-requisitos do BitLocker. Os pré-requisitos necessários dependerão das configurações de política do BitLocker e do resultado necessário. Por exemplo, a criptografia silenciosa para TPM 2.0 requer um TPM e UEFI (Unified Extensible Firmware Interface).

  • Local: na caixa Pesquisar, insira msinfo32, clique com o botão direito do mouse em Informações do Sistema nos resultados da pesquisa e selecione Executar como administrador.
  • Local do sistema de arquivos: C:\Windows\System32\Msinfo32.exe.

No entanto, se esse item não atender aos pré-requisitos, isso não significa necessariamente que você não pode criptografar o dispositivo usando uma política de Intune.

  • Se você configurou a política do BitLocker para criptografar silenciosamente e o dispositivo está usando o TPM 2.0, é importante verificar se o modo BIOS é UEFI. Se o TPM for 1.2, ter o modo BIOS na UEFI não é um requisito.
  • A inicialização segura, a proteção de DMA e a configuração pcR7 não são necessárias para criptografia silenciosa, mas podem ser realçadas no Suporte à Criptografia de Dispositivo. Isso é para garantir o suporte à criptografia automática.
  • As políticas do BitLocker configuradas para não exigir um TPM e têm interação do usuário em vez de criptografar silenciosamente também não terão pré-requisitos para fazer check-in do MSINFO32.

TPM. Arquivo MSC

O TPM.msc é um arquivo snap-in do MMC (Console de Gerenciamento Microsoft). Você pode usar o TPM.msc para determinar se o dispositivo tem um TPM, identificar a versão e se ele está pronto para uso.

  • Local: na caixa Pesquisar, insira tpm.msc e clique com o botão direito do mouse e selecione Executar como administrador.
  • Local do sistema de arquivos: Snap-in do MMC C:\Windows\System32\mmc.exe.

O TPM não é um pré-requisito para o BitLocker, mas é altamente recomendável devido à maior segurança que ele fornece. No entanto, o TPM é necessário para criptografia silenciosa e automática. Se você estiver tentando criptografar silenciosamente com o Intune e houver erros de TPM nos logs de eventos do sistema e da API do BitLocker, o TPM.msc ajudará você a entender o problema.

O exemplo a seguir mostra um status íntegro do TPM 2.0. Observe a versão de especificação 2.0 no canto inferior direito e que o status está pronto para uso.

Captura de tela de exemplo de um status íntegro do TPM 2.0 no console do Trusted Platform Module.

Este exemplo mostra um status não íntegro quando o TPM está desabilitado no BIOS:

Captura de tela de exemplo de um status do TPM 2.0 não íntegro no console do Trusted Platform Module.

Configurar uma política para exigir um TPM e esperar que o BitLocker criptografe quando o TPM estiver ausente ou não íntegro for um dos problemas mais comuns.

Get-Tpm cmdlet

Um cmdlet é um comando leve no Windows PowerShell ambiente. Além de executar o TPM.msc, você pode verificar o TPM usando o Get-Tpm cmdlet. Você precisará executar esse cmdlet com direitos de administrador.

  • Local: na caixa Pesquisar, insira cmd e clique com o botão direito do mouse e selecione Executar como administrador > do PowerShell > get-tpm.

Captura de tela de exemplo de um TPM presente e ativo em uma janela do PowerShell.

No exemplo acima, você pode ver que o TPM está presente e ativo na janela do PowerShell. Os valores são iguais a True. Se os valores fossem definidos como False, isso indicaria um problema com o TPM. O BitLocker não poderá usar o TPM até que ele esteja presente, pronto, habilitado, ativado e de propriedade.

Ferramenta de linha de comando Manage-bde

Manage-bde é uma ferramenta de linha de comando de criptografia BitLocker incluída no Windows. Ele foi projetado para ajudar com a administração depois que o BitLocker está habilitado.

  • Local: na caixa Pesquisar, insira cmd, clique com o botão direito do mouse e selecione Executar como administrador e insira manage-bde -status.
  • Local do sistema de arquivos: C:\Windows\System32\manage-bde.exe.

Captura de tela de exemplo do manage-bde.exe em uma janela do Prompt de Comando.

Você pode usar manage-bde para descobrir as seguintes informações sobre um dispositivo:

  • Está criptografado? Se o relatório no Centro de administração do Microsoft Endpoint Manager indicar que um dispositivo não está criptografado, essa ferramenta de linha de comando poderá identificar o status da criptografia.
  • Qual método de criptografia foi usado? Você pode comparar informações da ferramenta com o método de criptografia na política para garantir que elas correspondam. Por exemplo, se a política Intune estiver configurada para XTS-AES de 256 bits e o dispositivo for criptografado usando XTS-AES de 128 bits, isso resultará em erros no relatório de política do Centro de administração do Microsoft Endpoint Manager.
  • Quais protetores específicos estão sendo usados? Há várias combinações de protetores. Saber qual protetor é usado em um dispositivo ajudará você a entender se a política foi aplicada corretamente.

No exemplo a seguir, o dispositivo não está criptografado:

Captura de tela de exemplo de um dispositivo não criptografado com o BitLocker.

Locais do Registro do BitLocker

Esse é o primeiro lugar no Registro a ser pesquisado quando você deseja decifrar as configurações de política coletadas por Intune:

  • Local: clique com o botão direito do mouse em Iniciar > Execução e insira regedit para abrir o Editor do Registro.
  • Local padrão do sistema de arquivos: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

A chave do registro do agente MDM ajudará você a identificar o GUID (Identificador Global Exclusivo) no PolicyManager que contém as configurações reais da política do BitLocker.

Local do Registro do BitLocker no Editor do Registro.

O GUID é realçado no exemplo acima. Você pode incluir o GUID (ele será diferente para cada locatário) na seguinte subchave do Registro para solucionar problemas das configurações de política do BitLocker:

<GUID>Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers\default\Device\BitLocker

Captura de tela do Editor do Registro exibindo as configurações de política do BitLocker definidas pelo agente MDM

Este relatório mostra as configurações de política do BitLocker que foram coletadas pelo agente MDM (cliente OMADM). Essas são as mesmas configurações que você verá no relatório de Diagnóstico do MDM, portanto, essa é uma maneira alternativa de identificar as configurações que o cliente pegou.

Exemplo de chave do Registro EncryptionMethodByDriveType :

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

Exemplo de SystemDrivesRecoveryOptions:

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

Chave do Registro do BitLocker

As configurações na chave do Registro do provedor de política serão duplicadas na chave principal do Registro do BitLocker. Você pode comparar as configurações para garantir que elas correspondam ao que aparece nas configurações de política na interface do usuário, no log do MDM, no diagnóstico do MDM e na chave do Registro de política.

  • Local da chave do Registro: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

Este é um exemplo da chave do Registro FVE:

Captura de tela das chaves do Registro do BitLocker encontradas no Editor do Registro.

  • Um: EncryptionMethodWithXtsOs, EncryptionMethodWithXtsFdv e EncryptionMethodWithXtsRdv têm os seguintes valores possíveis:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM, UseTPMKey, UseTPMKeyPIN, USeTPMPIN estão todos definidos como 2, o que significa que estão todos definidos para permitir.
  • C: Observe que a maioria das chaves é dividida em grupos de configurações para a unidade do sistema operacional (SO), a unidade fixa (FDV) e a unidade removível (FDVR).
  • D: OSActiveDirectoryBackup tem um valor de 1 e está habilitado.
  • E: OSHideRecoveryPage é igual a 0 e não está habilitado.

Use a documentação do CSP do BitLocker para decodificar todos os nomes de configuração no Registro.

REAgentC.exe de linha de comando

REAgentC.exe é uma ferramenta executável de linha de comando que você pode usar para configurar o Ambiente de Recuperação do Windows (Windows RE). O WinRE é um pré-requisito para habilitar o BitLocker em determinados cenários, como criptografia silenciosa ou automática.

  • Local: clique com o botão direito do mouse em Iniciar > Execução, insira cmd. Em seguida, clique com o botão direito do mouse em cmd e selecione Executar como administrador > /info.
  • Local do sistema de arquivos: C:\Windows\System32\ReAgentC.exe.

Dica

Se você vir mensagens de erro na API do BitLocker sobre WinRe não estar habilitada, execute o comando /info no dispositivo para determinar o status do WinRE.

Saída do comando ReAgentC.exe no Prompt de Comando.

Se o status do WinRE estiver desabilitado, execute o comando /enable como administrador para habilite-o manualmente:

Captura de tela de exemplo para habilitar ReAgentC.exe no Prompt de Comando. Executar o comando /enable

Resumo

Quando o BitLocker falha ao habilitar em um dispositivo Windows 10 usando uma política de Intune, na maioria dos casos, os pré-requisitos de hardware ou software não estão em vigor. Examinar o log da API do BitLocker ajudará você a identificar qual pré-requisito não está atendido. Os problemas mais comuns são:

  • O TPM não está presente
  • O WinRE não está habilitado
  • O BIOS uefi não está habilitado para dispositivos TPM 2.0

A configuração incorreta de política também pode causar falhas de criptografia. Nem todos os dispositivos Windows podem criptografar silenciosamente, portanto, pense nos usuários e dispositivos que você está direcionando.

Configurar uma chave de inicialização ou PIN para uma política destinada à criptografia silenciosa não funcionará devido à interação do usuário necessária ao habilitar o BitLocker. Tenha isso em mente ao configurar a política do BitLocker no Intune.

Verifique se as configurações de política foram selecionadas pelo dispositivo para determinar se o direcionamento foi bem-sucedido.

É possível identificar as configurações de política usando diagnóstico de MDM, chaves do Registro e o log de eventos corporativos de gerenciamento de dispositivos para verificar se as configurações foram aplicadas com êxito. A documentação do CSP do BitLocker pode ajudá-lo a decifrar essas configurações para entender se elas correspondem ao que foi configurado na política.