Compartilhar via

Solucionando problemas de políticas do BitLocker do lado do cliente

  • Artigo

Este artigo fornece diretrizes sobre como solucionar problemas de criptografia do BitLocker no lado do cliente. Embora o relatório de criptografia do Microsoft Intune possa ajudá-lo a identificar e solucionar problemas comuns de criptografia, alguns dados de status do CSP (provedor de serviços de configuração) do BitLocker podem não ser relatados. Nesses cenários, você precisará acessar o dispositivo para investigar mais.

Processo de criptografia do BitLocker

As etapas a seguir descrevem o fluxo de eventos que devem resultar em uma criptografia bem-sucedida de um dispositivo Windows 10 que não foi criptografado anteriormente com o BitLocker.

  1. Um administrador configura uma política do BitLocker no Intune com as configurações desejadas e tem como destino um grupo de usuários ou grupo de dispositivos.
  2. A política é salva em um locatário no serviço Intune.
  3. Um cliente MDM (Gerenciamento de Dispositivo Móvel) do Windows 10 é sincronizado com o serviço Intune e processa as configurações de política do BitLocker.
  4. A tarefa agendada Atualização da política de MDM do BitLocker é executada no dispositivo que replica as configurações de política do BitLocker para a chave do Registro FVE (criptografia de volume completo).
  5. A criptografia do BitLocker é iniciada nas unidades.

O relatório de criptografia mostrará detalhes do status de criptografia para cada dispositivo de destino no Intune. Para obter diretrizes detalhadas sobre como usar essas informações para solução de problemas, consulte Solução de problemas do BitLocker com o relatório de criptografia do Intune.

Iniciar uma sincronização manual

Se você determinou que não há informações acionáveis no relatório de criptografia, precisará coletar dados do dispositivo afetado para concluir a investigação.

Depois de ter acesso ao dispositivo, a primeira etapa é iniciar uma sincronização com o serviço Intune manualmente antes de coletar os dados. Em seu dispositivo Windows, selecione Configurações>Contas>Acessar trabalho ou escola<>Selecione suas informações da conta>>corporativa ou de estudante. Em seguida, em Status de sincronização do dispositivo, selecione Sincronizar.

Após a conclusão da sincronização, continue para as seções a seguir.

Coletando dados de log de eventos

As seções a seguir explicam como coletar dados de diferentes logs para ajudar a solucionar problemas de status e políticas de criptografia. Certifique-se de concluir uma sincronização manual antes de coletar dados de registro.

Log de eventos do agente de gerenciamento de dispositivo móvel (MDM)

O log de eventos do MDM é útil para determinar se houve um problema ao processar a política do Intune ou aplicar as configurações do CSP. O agente OMA DM se conectará ao serviço Intune e tentará processar as políticas direcionadas ao usuário ou dispositivo. Esse log mostrará êxito e falhas no processamento de políticas do Intune.

Colete ou revise as seguintes informações:

Administrador do provedor de diagnóstico LOG>DeviceManagement-Enterprise

  • Local: Clique com o botão direito do mouse no Menu Iniciar>Visualizador>de Eventos Aplicativos e Logs>de Serviço Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider Admin>
  • Localização do sistema de arquivos: C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

Para filtrar esse log, clique com o botão direito do mouse no log de eventos e selecione Filtrar Log Atual>Crítico/Erro/Aviso. Em seguida, pesquise os logs filtrados pelo BitLocker (pressione F3 e insira o texto).

Os erros nas configurações do BitLocker seguirão o formato do CSP do BitLocker, portanto, você verá entradas como esta:

./Dispositivo/Fornecedor/MSFT/BitLocker/RequireDeviceEncryption

ou

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Observação

Você também pode habilitar o log de depuração para esse log de eventos usando o Visualizador de Eventos para solução de problemas.

Log de eventos de gerenciamento de API do BitLocker

Este é o log de eventos principal do BitLocker. Se o agente MDM processou a política com êxito e não houver erros no log de eventos de administrador DeviceManagement-Enterprise-Diagnostics-Provider, esse será o próximo log a ser investigado.

Gerenciamento de API do LOG>BitLocker

  • Local: Clique com o botão direito do mouse no Menu>Iniciar Visualizador>de Eventos Aplicativos e Logs>de Serviço Microsoft>Windows>BitLocker-API
  • Localização do sistema de arquivos: C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

Normalmente, os erros são registrados aqui se houver pré-requisitos de hardware ou software ausentes que a política exige, como TPM (Trusted Platform Module) ou WinRE (Ambiente de Recuperação do Windows).

Erro: Falha ao ativar a criptografia silenciosa

Conforme mostrado no exemplo a seguir, configurações de política conflitantes que não podem ser implementadas durante a criptografia silenciosa e se manifestam como conflitos de política de grupo também são registradas:

Falha ao habilitar a criptografia silenciosa.

Erro: A criptografia do BitLocker não pode ser aplicada a esta unidade devido a configurações conflitantes de Política de Grupo. Quando o acesso de gravação a unidades não protegidas pelo BitLocker é negado, o uso de uma chave de inicialização USB não pode ser necessário. Peça ao administrador do sistema para resolver esses conflitos de política antes de tentar habilitar o BitLocker.

Solução: configure o PIN de inicialização do TPM compatível como Bloqueado. Isso resolverá configurações conflitantes de Política de Grupo ao usar a criptografia silenciosa.

Você deve definir o PIN e a chave de inicialização do TPM como Bloqueado se a criptografia silenciosa for necessária. Configurar o PIN de inicialização do TPM e a chave de inicialização como Permitido e outra chave de inicialização e configuração de PIN como Bloqueado para interação do usuário resultará em um erro de Política de Grupo conflitante no log de eventos do BitLocker-AP. Além disso, se você configurar o PIN de inicialização do TPM ou a chave de inicialização para exigir a interação do usuário, isso fará com que a criptografia silenciosa falhe.

Definir qualquer uma das configurações de TPM compatíveis como Obrigatório fará com que a criptografia silenciosa falhe.

Configurações da unidade do sistema operacional BitLocker que mostra a inicialização do TPM compatível definida como Necessária.

Erro: TPM não disponível

Outro erro comum no log da API do BitLocker é que o TPM não está disponível. O exemplo a seguir mostra que o TPM é um requisito para criptografia silenciosa:

Falha ao habilitar a criptografia silenciosa. O TPM não está disponível.

Erro: Um dispositivo de segurança TPM (Trusted Platform Module) compatível não pode ser encontrado neste computador.

Solução: verifique se há um TPM disponível no dispositivo e, se ele estiver presente, verifique o status por meio de TPM.msc ou do cmdlet get-tpm do PowerShell.

Erro: barramento compatível com DMA não permitido

Se o log da API do BitLocker exibir o status a seguir, isso significa que o Windows detectou um dispositivo compatível com DMA (acesso direto à memória) anexado que pode expor uma ameaça de DMA.

Barramentos/dispositivos compatíveis com DMA não permitidos detectados

Solução: para corrigir esse problema, primeiro verifique se o dispositivo não tem portas DMA externas com o OEM (fabricante do equipamento original). Em seguida, siga estas etapas para adicionar o dispositivo à lista de permissões. Observação: adicione um dispositivo DMA à lista de permissões somente se for uma interface/barramento DMA interno.

Log de eventos do sistema

Se você estiver tendo problemas relacionados ao hardware, como problemas com o TPM, os erros aparecerão no log de eventos do sistema para o TPM da origem TPMProvisioningService ou TPM-WMI.

Evento do sistema LOG>

  • Localização: Clique com o botão direito do mouse no menu Iniciar>Visualizador>de eventos do Windows Logs System>
  • Localização do sistema de arquivos: C:\Windows\System32\winevt\Logs\System.evtx

Propriedades de filtragem para o log de eventos do sistema.

Filtre essas fontes de eventos para ajudar a identificar quaisquer problemas relacionados ao hardware que o dispositivo possa estar enfrentando com o TPM e verifique com o fabricante OEM se há atualizações de firmware disponíveis.

Log de eventos operacionais do agendador de tarefas

O log de eventos operacionais do agendador de tarefas é útil para solucionar problemas de cenários em que a política foi recebida do Intune (foi processada em DeviceManagement-Enterprise), mas a criptografia do BitLocker não foi iniciada com êxito. A atualização da política de MDM do BitLocker é uma tarefa agendada que deve ser executada com êxito quando o agente MDM for sincronizado com o serviço Intune.

Habilite e execute o log operacional nos seguintes cenários:

  • A política do BitLocker aparece no log de eventos de administrador DeviceManagement-Enterprise-Diagnostics-Provider, no diagnóstico de MDM e no registro.
  • Não há erros (a política foi selecionada com êxito do Intune).
  • Nada é registrado no log de eventos da API do BitLocker para mostrar que a criptografia foi tentada.

Evento operacional do agendador de tarefas LOG>

  • Local: Aplicativos do Visualizador de Eventos>e Logs>de Serviço Microsoft>Windows>TaskScheduler
  • Localização do sistema de arquivos: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

Habilitar e executar o log de eventos operacionais

Importante

Você deve habilitar manualmente esse log de eventos antes de registrar qualquer dado, pois o log identificará todos os problemas ao executar a tarefa agendada de atualização da política de MDM do BitLocker.

  1. Para habilitar esse log, clique com o botão direito do mouse em Menu Iniciar>Visualizador>de Eventos Aplicativos e Serviços>Microsoft>Windows>TaskScheduler>Operacional.

    Captura de tela do TaskScheduler - Logs operacionais.

  2. Em seguida, digite agendador de tarefas na caixa de pesquisa do Windows e selecione Agendador>de Tarefas Microsoft>Windows>BitLocker. Clique com o botão direito do mouse em Atualização da política de MDM do BitLocker e escolha Executar.

  3. Quando a execução for concluída, inspecione a coluna Resultado da Última Execução em busca de códigos de erro e examine o log de eventos de agendamento de tarefas em busca de erros.

    Captura de tela de exemplo de tarefas do BitLocker no Agendador de Tarefas.

    No exemplo acima, 0x0 foi executado com êxito. O erro 0x41303 isso significa que a tarefa nunca foi executada anteriormente.

Observação

Para obter mais informações sobre mensagens de erro do Agendador de Tarefas, consulte Constantes de Erro e Êxito do Agendador de Tarefas.

Verificando as configurações do BitLocker

As seções a seguir explicam as diferentes ferramentas que você pode usar para verificar suas configurações e status de criptografia.

Relatório de diagnóstico de MDM

Você pode criar um relatório de logs de MDM para diagnosticar problemas de registro ou gerenciamento de dispositivos em dispositivos Windows 10 gerenciados pelo Intune. O Relatório de Diagnóstico do MDM contém informações úteis sobre um dispositivo registrado no Intune e as políticas implantadas nele.

Para obter um tutorial desse processo, consulte o vídeo do YouTube Como criar um relatório de diagnóstico do Intune MDM em dispositivos Windows

  • Localização do sistema de arquivos: C:\Users\Public\Documents\MDMDiagnostics

Compilação e edição do sistema operacional

A primeira etapa para entender por que sua política de criptografia não está sendo aplicada corretamente é verificar se a versão e a edição do sistema operacional Windows dão suporte às configurações definidas. Alguns CSPs foram introduzidos em versões específicas do Windows e só funcionarão em uma determinada edição. Por exemplo, a maior parte das configurações de CSP do BitLocker foi introduzida no Windows 10, versão 1703, mas essas configurações não tinham suporte no Windows 10 Pro até o Windows 10, versão 1809.

Além disso, há configurações como AllowStandardUserEncryption (adicionado na versão 1809), ConfigureRecoveryPasswordRotation (adicionado na versão 1909), RotateRecoveryPasswords (adicionado na versão 1909) e Status (adicionado na versão 1903).

Investigando com o EntDMID

O EntDMID é uma ID de dispositivo exclusiva para registro do Intune. No centro de administração Microsoft Intune, você pode usar o EntDMID para pesquisar na exibição Todos os Dispositivos e identificar um dispositivo específico. Também é uma informação crucial para o suporte da Microsoft permitir mais soluções de problemas no lado do serviço se um caso de suporte for necessário.

Você também pode usar o Relatório de Diagnóstico do MDM para identificar se uma política foi enviada com êxito ao dispositivo com as configurações definidas pelo administrador. Usando o CSP do BitLocker como referência, você pode decifrar quais configurações foram selecionadas ao sincronizar com o serviço Intune. Você pode usar o relatório para determinar se a política está direcionando o dispositivo e usar a documentação do CSP do BitLocker para identificar quais configurações foram definidas.

MSINFO32

MSINFO32 é uma ferramenta de informações que contém dados do dispositivo que você pode usar para determinar se um dispositivo atende aos pré-requisitos do BitLocker. Os pré-requisitos necessários dependerão das configurações de política do BitLocker e do resultado necessário. Por exemplo, a criptografia silenciosa para TPM 2.0 requer um TPM e uma UEFI (Unified Extensible Firmware Interface).

  • Local: na caixa Pesquisar, insira msinfo32, clique com o botão direito do mouse em Informações do Sistema nos resultados da pesquisa e selecione Executar como administrador.
  • Localização do sistema de arquivos: C:\Windows\System32\Msinfo32.exe.

No entanto, se esse item não atender aos pré-requisitos, isso não significa necessariamente que você não pode criptografar o dispositivo usando uma política do Intune.

  • Se você configurou a política do BitLocker para criptografar silenciosamente e o dispositivo estiver usando o TPM 2.0, é importante verificar se o modo BIOS é UEFI. Se o TPM for 1.2, não será necessário ter o modo BIOS na UEFI.
  • A inicialização segura, a proteção DMA e a configuração de PCR7 não são necessárias para a criptografia silenciosa, mas podem ser destacadas no Suporte à Criptografia de Dispositivo. Isso é para garantir o suporte para criptografia automática.
  • As políticas do BitLocker configuradas para não exigir um TPM e ter interação do usuário em vez de criptografar silenciosamente também não terão pré-requisitos para fazer check-in MSINFO32.

TPM. Arquivo MSC

TPM.msc é um arquivo de snap-in do MMC (Console de Gerenciamento Microsoft). Você pode usar TPM.msc para determinar se o dispositivo tem um TPM, para identificar a versão e se ele está pronto para uso.

  • Local: Na caixa Pesquisar, insira tpm.msc e clique com o botão direito do mouse e selecione Executar como administrador.
  • Localização do sistema de arquivos: MMC Snap-in C:\Windows\System32\mmc.exe.

O TPM não é um pré-requisito para o BitLocker, mas é altamente recomendado devido à maior segurança que ele fornece. No entanto, o TPM é necessário para criptografia silenciosa e automática. Se você estiver tentando criptografar silenciosamente com o Intune e houver erros de TPM na API do BitLocker e nos logs de eventos do sistema, o TPM.msc ajudará você a entender o problema.

O exemplo a seguir mostra um status íntegro do TPM 2.0. Observe a especificação versão 2.0 no canto inferior direito e que o status está pronto para uso.

Exemplo de captura de tela de um status íntegro do TPM 2.0 no console do Trusted Platform Module.

Este exemplo mostra um status não íntegro quando o TPM é desabilitado no BIOS:

Captura de tela de exemplo de um status TPM 2.0 não íntegro no console do Trusted Platform Module.

Configurar uma política para exigir um TPM e esperar que o BitLocker criptografe quando o TPM estiver ausente ou não íntegro é um dos problemas mais comuns.

Cmdlet Get-Tpm

Um cmdlet é um comando leve no ambiente do Windows PowerShell. Além de executar TPM.msc, você pode verificar o TPM usando o cmdlet Get-Tpm. Você precisará executar esse cmdlet com direitos de administrador.

  • Local: na caixa Pesquisar, insira cmd, clique com o botão direito do mouse e selecione Executar como administrador>do PowerShell>get-tpm.

Captura de tela de exemplo de um TPM presente e ativo em uma janela do PowerShell.

No exemplo acima, você pode ver que o TPM está presente e ativo na janela do PowerShell. Os valores são iguais a True. Se os valores fossem definidos como False, isso indicaria um problema com o TPM. O BitLocker não poderá usar o TPM até que ele esteja presente, pronto, habilitado, ativado e de propriedade.

Ferramenta de linha de comando Manage-bde

Manage-bde é uma ferramenta de linha de comando de criptografia do BitLocker incluída no Windows. Ele foi projetado para ajudar na administração depois que o BitLocker é habilitado.

  • Local: Na caixa Pesquisar, insira cmd, clique com o botão direito do mouse e selecione Executar como administrador e, em seguida, insira manage-bde -status.
  • Localização do sistema de arquivos: C:\Windows\System32\manage-bde.exe.

Exemplo de captura de tela do comando manage-bde.exe em uma janela do Prompt de Comando.

Você pode usar manage-bde para descobrir as seguintes informações sobre um dispositivo:

  • Está criptografado? Se o relatório no centro de administração Microsoft Intune indicar que um dispositivo não está criptografado, essa ferramenta de linha de comando poderá identificar o status da criptografia.
  • Qual método de criptografia foi usado? Você pode comparar as informações da ferramenta com o método de criptografia na política para garantir que elas correspondam. Por exemplo, se a política do Intune estiver configurada como XTS-AES de 256 bits e o dispositivo for criptografado usando XTS-AES de 128 bits, isso resultará em erros no relatório de política do centro de administração do Microsoft Intune.
  • Quais protetores específicos estão sendo usados? Existem várias combinações de protetores. Saber qual protetor é usado em um dispositivo ajudará você a entender se a política foi aplicada corretamente.

No exemplo a seguir, o dispositivo não é criptografado:

Exemplo de captura de tela de um dispositivo não criptografado com o BitLocker.

Locais do Registro do BitLocker

Este é o primeiro lugar no registro a ser examinado quando você deseja decifrar as configurações de política selecionadas pelo Intune:

  • Localização: Clique com o botão direito do mouse em Iniciar>Execução e digite regedit para abrir o Editor do Registro.
  • Local padrão do sistema de arquivos: Computador\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

A chave do Registro do agente MDM ajudará você a identificar o GUID (Identificador Global Exclusivo) no PolicyManager que contém as configurações reais da política do BitLocker.

Local do Registro do BitLocker no Editor do Registro.

O GUID é realçado no exemplo acima. Você pode incluir o GUID (ele será diferente para cada locatário) na seguinte subchave do Registro para solucionar problemas de configurações de política do BitLocker:

Computador\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers<GUID>\default\Device\BitLocker

Captura de tela do Editor do Registro exibindo as configurações de política do BitLocker definidas pelo agente MDM

Este relatório mostra as configurações de política do BitLocker que foram selecionadas pelo agente MDM (cliente OMADM). Essas são as mesmas configurações que você verá no relatório de diagnóstico do MDM, portanto, essa é uma maneira alternativa de identificar as configurações que o cliente selecionou.

Exemplo de chave do Registro EncryptionMethodByDriveType :

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

Exemplo de SystemDrivesRecoveryOptions:

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

Chave do Registro do BitLocker

As configurações na chave do Registro do provedor de política serão duplicadas na chave do Registro principal do BitLocker. Você pode comparar as configurações para garantir que elas correspondam ao que aparece nas configurações de política na interface do usuário (UI), no log do MDM, no diagnóstico do MDM e na chave do Registro da política.

  • Local da chave do Registro: Computador\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

Este é um exemplo da chave do Registro FVE:

Captura de tela das chaves do Registro do BitLocker encontradas no Editor do Registro.

  • R: EncryptionMethodWithXtsOs, EncryptionMethodWithXtsFdv e EncryptionMethodWithXtsRdv têm os seguintes valores possíveis:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM, UseTPMKey, UseTPMKeyPIN, USeTPMPIN estão todos definidos como 2, o que significa que estão todos configurados para permitir.
  • C: Observe que a maioria das teclas é dividida em grupos de configurações para a unidade do sistema operacional (SO), unidade fixa (FDV) e unidade removível (FDVR).
  • D: OSActiveDirectoryBackup tem um valor de 1 e está habilitado.
  • E: OSHideRecoveryPage é igual a 0 e não está habilitado.

Use a documentação do CSP do BitLocker para decodificar todos os nomes de configuração no Registro.

REAgentC.exe ferramenta de linha de comando

REAgentC.exe é uma ferramenta executável de linha de comando que você pode usar para configurar o Windows RE (Ambiente de Recuperação do Windows). O WinRE é um pré-requisito para habilitar o BitLocker em determinados cenários, como criptografia silenciosa ou automática.

  • Localização: Clique com o botão direito do mouse em Iniciar>execução, digite cmd. Em seguida, clique com o botão direito do mouse em cmd e selecione Executar como administrador>reagentc /info.
  • Localização do sistema de arquivos: C:\Windows\System32\ReAgentC.exe.

Dica

Se você vir mensagens de erro na API do BitLocker sobre o WinRe não estar habilitado, execute o comando reagentc /info no dispositivo para determinar o status do WinRE.

Saída do comando ReAgentC.exe no prompt de comando.

Se o status do WinRE estiver desabilitado, execute o comando reagentc /enable como administrador para habilitá-lo manualmente:

Exemplo de captura de tela para habilitar ReAgentC.exe no Prompt de Comando. Execute o comando reagentc /enable

Resumo

Quando o BitLocker falha ao habilitar em um dispositivo Windows 10 usando uma política do Intune, na maioria dos casos, os pré-requisitos de hardware ou software não estão em vigor. Examinar o log da API do BitLocker ajudará você a identificar qual pré-requisito não foi atendido. As tarefas mais comuns são:

  • O TPM não está presente
  • O WinRE não está habilitado
  • O UEFI BIOS não está habilitado para dispositivos TPM 2.0

A configuração incorreta da política também pode causar falhas de criptografia. Nem todos os dispositivos Windows podem criptografar silenciosamente, portanto, pense nos usuários e dispositivos que você está direcionando.

Configurar uma chave de inicialização ou PIN para uma política destinada à criptografia silenciosa não funcionará devido à interação do usuário necessária ao habilitar o BitLocker. Lembre-se disso ao configurar a política do BitLocker no Intune.

Verifique se as configurações de política foram selecionadas pelo dispositivo para determinar se o direcionamento foi bem-sucedido.

É possível identificar as configurações de política usando o diagnóstico MDM, as chaves do Registro e o log de eventos corporativos de gerenciamento de dispositivos para verificar se as configurações foram aplicadas com êxito. A documentação do CSP do BitLocker pode ajudá-lo a decifrar essas configurações para entender se elas correspondem ao que foi configurado na política.