Freigeben über

BitLocker-Konfiguration: bekannte Probleme

  • Artikel

In diesem Artikel werden allgemeine Probleme beschrieben, die sich auf die Konfiguration und allgemeine Funktionalität von BitLocker auswirken. Dieser Artikel enthält auch Anleitungen zur Behebung dieser Probleme.

BitLocker-Verschlüsselung ist in Windows 10 und Windows 11 langsamer

BitLocker wird im Hintergrund ausgeführt, um Laufwerke zu verschlüsseln. In Windows 11 und Windows 10 ist BitLocker jedoch weniger aggressiv beim Anfordern von Ressourcen als in früheren Versionen von Windows. Dieses Verhalten verringert die Wahrscheinlichung, dass BitLocker die Leistung des Computers beeinflusst.

Um diese Änderungen auszugleichen, verwendet BitLocker ein Konvertierungsmodell namens Encrypt-On-Write. Dieses Modell stellt sicher, dass alle neuen Datenträgerschreibvorgänge verschlüsselt werden, sobald BitLocker aktiviert ist. Dieses Verhalten erfolgt auf allen Clienteditionen und für alle internen Laufwerke.

Wichtig

Um die Abwärtskompatibilität beizubehalten, verwendet BitLocker das vorherige Konvertierungsmodell zum Verschlüsseln von Wechseldatenträgern.

Vorteile der Verwendung des neuen Konvertierungsmodells

Mithilfe des vorherigen Konvertierungsmodells kann ein internes Laufwerk erst dann als geschützt betrachtet werden, wenn die BitLocker-Konvertierung 100 Prozent abgeschlossen ist. Bevor der Prozess abgeschlossen ist, können die Daten, die auf dem Laufwerk vorhanden waren, bevor die Verschlüsselung begann – d. h. potenziell kompromittierte Daten – weiterhin ohne Verschlüsselung gelesen und geschrieben werden. Damit Daten als geschützt gelten und den Datenschutzstandards entsprechen, muss der Verschlüsselungsprozess abgeschlossen werden, bevor vertrauliche Daten auf dem Laufwerk gespeichert werden. Je nach Größe des Laufwerks kann diese Verzögerung erheblich sein.

Mithilfe des neuen Konvertierungsmodells können vertrauliche Daten auf dem Laufwerk gespeichert werden, sobald BitLocker aktiviert ist. Der Verschlüsselungsprozess muss nicht zuerst abgeschlossen werden, und die Verschlüsselung wirkt sich nicht negativ auf die Leistung aus. Der Kompromiss besteht darin, dass der Verschlüsselungsprozess für bereits vorhandene Daten mehr Zeit in Anspruch nimmt.

Weitere BitLocker-Verbesserungen

Einige andere Bereiche von BitLocker wurden in Versionen von Windows verbessert, die nach Windows 7 veröffentlicht wurden:

  • Neuer Verschlüsselungsalgorithmus XTS-AES – In Windows 10, Version 1511 hinzugefügt, bietet dieser Algorithmus zusätzlichen Schutz vor einer Klasse von Angriffen auf verschlüsselte Daten, die darauf angewiesen sind, Verschlüsselungstext zu bearbeiten, um vorhersehbare Änderungen in Nur-Text zu verursachen.

    Standardmäßig entspricht dieser Algorithmus den Federal Information Processing Standards (FIPS). FIPS ist ein USA Government Standard, der einen Benchmark für die Implementierung kryptografischer Software bietet.

  • Verbesserte Verwaltungsfunktionen. BitLocker kann auf PCs oder anderen Geräten mithilfe der folgenden Schnittstellen verwaltet werden:

    • BitLocker-Assistent
    • manage-bde.exe
    • Gruppenrichtlinienobjekte (GPOs)
    • Mobile Geräteverwaltung (MDM)-Richtlinie
    • Windows PowerShell
    • Windows-Verwaltungsschnittstelle (WMI)

  • Integration mit Microsoft Entra ID (Microsoft Entra ID) – BitLocker kann Wiederherstellungsinformationen in Microsoft Entra-ID speichern, um die Wiederherstellung zu vereinfachen.

  • DMA-Portschutz (Direct Memory Access) – Mithilfe von MDM-Richtlinien zum Verwalten von BitLocker können die DMA-Ports eines Geräts blockiert werden, wodurch das Gerät während des Starts gesichert wird.

  • BitLocker-Netzwerkentsperrung – Wenn der BitLocker-fähige Desktop- oder Servercomputer mit einem verkabelten Unternehmensnetzwerk in einer Domänenumgebung verbunden ist, kann das Betriebssystemvolume während eines Systemneustarts automatisch entsperrt werden.

  • Unterstützung für verschlüsselte Festplatten – Verschlüsselte Festplatten sind eine neue Klasse von Festplatten, die selbstverschlüsselt auf Hardwareebene sind und die vollständige Festplattenhardwareverschlüsselung ermöglichen. Durch die Nutzung dieser Workload erhöhen verschlüsselte Festplatten die BitLocker-Leistung und reduzieren den CPU-Verbrauch und den Stromverbrauch.

  • Unterstützung für Klassen von HDD/SSD-Hybriddatenträgern – BitLocker kann einen Datenträger verschlüsseln, der eine kleine SSD als nicht veränderlichen Cache vor der HDD verwendet, z. B. Intel Rapid Storage Technology.

Vm der Hyper-V-Generation 2: Kann nach der BitLocker-Verschlüsselung nicht auf das Volume zugreifen

Nehmen Sie das folgende Szenario als Beispiel:

  1. BitLocker ist auf einem virtuellen Computer der Generation 2 (VM) aktiviert, der auf Hyper-V ausgeführt wird.

  2. Daten werden beim Verschlüsseln auf dem Datenträger hinzugefügt.

  3. Der virtuelle Computer wird neu gestartet, und das folgende Verhalten wird beobachtet:

    • Das Systemvolume ist nicht verschlüsselt.

    • Auf das verschlüsselte Volume kann nicht zugegriffen werden, und der Computer listet das Dateisystem des Volumes als unbekannt auf.

    • Eine Meldung, die der folgenden Meldung ähnelt, wird angezeigt:

      Sie müssen den Datenträger in <drive_letter formatieren:> Laufwerk, bevor Sie ihn verwenden können.

Ursache für den Zugriff auf das Volume nach der BitLocker-Verschlüsselung auf einer VM der Hyper-V-Generation 2

Dieses Problem tritt auf, da der Drittanbieterfiltertreiber Stcvsm.sys (aus StorageCraft) auf dem virtuellen Computer installiert ist.

Auflösung für den Zugriff auf das Volume nach der BitLocker-Verschlüsselung auf einer VM der Hyper-V-Generation 2

Um dieses Problem zu beheben, entfernen Sie die Drittanbietersoftware.

Produktionsmomentaufnahmen schlagen für virtualisierte Domänencontroller fehl, die BitLocker-verschlüsselte Datenträger verwenden

Nehmen Sie das folgende Szenario als Beispiel:

Ein Windows Server 2019- oder 2016-Hyper-V-Server hosten virtuelle Computer (Gäste), die als Windows-Domänencontroller konfiguriert sind. Auf einer Gast-VM des Domänencontrollers hat BitLocker die Datenträger verschlüsselt, die die Active Directory-Datenbank und Protokolldateien speichern. Wenn eine "Produktionsmomentaufnahme" der Gast-VM des Domänencontrollers versucht wird, verarbeitet der Volume Snap-Shot (VSS)-Dienst die Sicherung nicht ordnungsgemäß.

Dieses Problem tritt unabhängig von einer der folgenden Abweichungen in der Umgebung auf:

  • Wie die Domänencontrollervolumes entsperrt werden.
  • Gibt an, ob es sich bei den virtuellen Computern um die Generation 1 oder die Generation 2 handelt.
  • Ob das Gastbetriebssystem Windows Server 2019, 2016 oder 2012 R2 ist.

Im Windows Logs>Application Ereignisanzeige-Protokoll des Gast-VM-Domänencontrollers zeichnet die VSS-Ereignisquelle ereignis-ID 8229 auf:

ID: 8229
Ebene: Warnung
Quelle: VSS
Meldung: Ein VSS Writer hat ein Ereignis mit Fehler 0x800423f4 abgelehnt. Beim Writer ist ein dauerhafter Fehler aufgetreten. Wenn der Sicherungsvorgang erneut versucht wird, tritt der Fehler wahrscheinlich erneut auf.

Änderungen, die der Writer an den Writer-Komponenten während der Behandlung des Ereignisses vorgenommen hat, stehen dem Antragsteller nicht zur Verfügung.

Überprüfen Sie das Ereignisprotokoll auf verwandte Ereignisse aus der Anwendung, die den VSS Writer hostet.

Operation:
PostSnapshot-Ereignis

Kontext:
Ausführungskontext: Writer
Writer-Klassen-ID: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Writer Name: NTDS
Writer-Instanz-ID: {d170b355-a523-47ba-a5c8-732244f70e75}
Befehlszeile: C:\Windows\system32\lsass.exe

Prozess-ID: 680

Im Verzeichnisdienst des Gast-VM-Domänencontrollers "Anwendungen und Diensteprotokolle>" Ereignisanzeige Protokoll ist ein Ereignis protokolliert, das dem folgenden Ereignis ähnelt:

Fehler Microsoft-Windows-ActiveDirectory_DomainService 1168
Interner Fehler bei der internen Verarbeitung: Fehler "Active Directory-Domäne Dienste" ist aufgetreten.

Zusätzliche Daten
Fehlerwert (dezimal): -1022

Fehlerwert (Hex): fffffc02

Interne ID: 160207d9

Notiz

Die interne ID dieses Ereignisses kann sich je nach Version und Patchebene des Betriebssystems unterscheiden.

Wenn dieses Problem auftritt, zeigt der VSS Writer (Active Directory-Domäne Services, NTDS) den folgenden Fehler an, wenn der vssadmin.exe list writers Befehl ausgeführt wird:

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

Darüber hinaus können die virtuellen Computer erst gesichert werden, wenn sie neu gestartet werden.

Ursache von Produktionsmomentaufnahmen für virtualisierte Domänencontroller, die BitLocker-verschlüsselte Datenträger verwenden

Nachdem VSS eine Momentaufnahme eines Volumes erstellt hat, übernimmt der VSS Writer "Post Snapshot"-Aktionen. Wenn eine "Produktionsmomentaufnahme" vom Hostserver initiiert wird, versucht Hyper-V, das snapshotted Volume zu mounten. Das Volume kann jedoch nicht für unverschlüsselten Zugriff entsperrt werden. BitLocker auf dem Hyper-V-Server erkennt das Volume nicht. Daher schlägt der Zugriffsversuch fehl, und der Momentaufnahmevorgang schlägt fehl.

Dieses Verhalten ist beabsichtigt.

Problemumgehung für Produktionsmomentaufnahmen für virtualisierte Domänencontroller, die BitLocker-verschlüsselte Datenträger verwenden

Eine unterstützte Möglichkeit zum Ausführen der Sicherung und Wiederherstellung eines virtualisierten Domänencontrollers ist das Ausführen der Windows Server-Sicherung im Gastbetriebssystem.

Wenn eine Produktionsmomentaufnahme eines virtualisierten Domänencontrollers erstellt werden muss, kann BitLocker im Gastbetriebssystem angehalten werden, bevor die Produktionsmomentaufnahme gestartet wird. Dieser Ansatz wird jedoch nicht empfohlen.

Weitere Informationen und Empfehlungen zum Sichern virtualisierter Domänencontroller finden Sie unter Virtualisieren von Domänencontrollern mit Hyper-V: Überlegungen zur Sicherung und Wiederherstellung von virtualisierten Domänencontrollern

Weitere Informationen

Wenn der VSS NTDS Writer Zugriff auf das verschlüsselte Laufwerk anfordert, generiert der Subsystemdienst für lokale Sicherheitsstellen (Local Security Authority Subsystem Service, LSASS) einen Fehlereintrag ähnlich dem folgenden Fehler:

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

Der Vorgang erzeugt den folgenden Aufrufstapel:

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]