Diretrizes para solucionar problemas do BitLocker
Este artigo aborda problemas comuns no BitLocker e fornece diretrizes para solucionar problemas. Este artigo também fornece informações como quais dados coletar e quais configurações marcar. Essas informações facilitam muito o processo de solução de problemas.
Examinar os logs de eventos
Abra Visualizador de Eventos e examine os seguintes logs em Logs de Aplicativos e Serviços>Microsoft>Windows:
BitLocker-API. Examine o log de gerenciamento , o log operacional e quaisquer outros logs gerados nesta pasta. Os logs padrão têm os seguintes nomes exclusivos:
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operacional
- Microsoft-Windows-BitLocker-API/Rastreamento – exibido somente quando o Show Analytic e Debug Logs estiver habilitado
BitLocker-DrivePreparationTool. Examine o log de Administração, o log operacional e quaisquer outros logs gerados nesta pasta. Os logs padrão têm os seguintes nomes exclusivos:
- Microsoft-Windows-BitLocker-DrivePreparationTool/Administração
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
Além disso, examine o log doSistemade Logs> do Windows para obter eventos produzidos pelas fontes de eventos TPM e TPM-WMI.
Para filtrar e exibir ou exportar logs, o wevtutil.exe ferramenta de linha de comando ou o cmdlet Get-WinEvent PowerShell pode ser usado.
Por exemplo, para usar wevtutil.exe para exportar o conteúdo do log operacional da pasta BitLocker-API para um arquivo de texto chamado BitLockerAPIOpsLog.txt, abra uma janela prompt de comando e execute o seguinte comando:
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
Para usar o cmdlet Get-WinEvent para exportar o mesmo log para um arquivo de texto separado por vírgulas, abra uma janela Windows PowerShell e execute o seguinte comando:
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
O Get-WinEvent pode ser usado em uma janela do PowerShell elevada para exibir informações filtradas do sistema ou do log do aplicativo usando a seguinte sintaxe:
Para exibir informações relacionadas ao BitLocker:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl
A saída de tal comando se assemelha ao seguinte:
Para exportar informações relacionadas ao BitLocker:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv
Para exibir informações relacionadas ao TPM:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl
Para exportar informações relacionadas ao TPM:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv
A saída de tal comando se assemelha ao seguinte.
Observação
Ao entrar em contato com Suporte da Microsoft, é recomendável exportar os logs listados nesta seção.
Coletar status informações das tecnologias BitLocker
Abra uma janela de Windows PowerShell elevada e execute cada um dos seguintes comandos:
Comando | Observações | Mais Informações |
---|---|---|
Get-Tpm > C:\TPM.txt |
Cmdlet do PowerShell que exporta informações sobre o TPM (Módulo de Plataforma Confiável) do computador local. Este cmdlet mostra valores diferentes dependendo se o chip TPM é a versão 1.2 ou 2.0. Esse cmdlet não tem suporte no Windows 7. | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
Exporta informações sobre a criptografia geral status de todas as unidades no computador. | manage-bde.exe status |
manage-bde.exe c: -protectors -get > C:\Protectors |
Exporta informações sobre os métodos de proteção usados para a chave de criptografia BitLocker. | manage-bde.exe protetores |
reagentc.exe /info > C:\reagent.txt |
Exporta informações sobre uma imagem online ou offline sobre o status atual do Windows Recovery Environment (WindowsRE) e qualquer imagem de recuperação disponível. | reagentc.exe |
Get-BitLockerVolume \| fl |
Cmdlet do PowerShell que obtém informações sobre volumes que a Criptografia de Unidade do BitLocker pode proteger. | Get-BitLockerVolume |
Examine as informações de configuração
Abra uma janela de Prompt de Comando elevada e execute os seguintes comandos:
Comando Observações Mais Informações gpresult.exe /h <Filename>
Exporta o conjunto resultante de informações de política e salva as informações como um arquivo HTML. gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>
Exporta informações abrangentes sobre o hardware, os componentes do sistema e o ambiente de software no computador local. A opção /report salva as informações como um arquivo .txt. msinfo.exe Abra o Registro Editor e exporte as entradas nas seguintes subchaves:
HKLM\SOFTWARE\Policies\Microsoft\FVE
HKLM\SYSTEM\CurrentControlSet\Services\TPM\
Verifique os pré-requisitos do BitLocker
As configurações comuns que podem causar problemas para o BitLocker incluem os seguintes cenários:
O TPM deve ser desbloqueado. Verifique a saída do comando cmdlet get-tpm PowerShell para o status do TPM.
Windows RE deve estar habilitado. Verifique a saída do comando reagentc.exe para o status do WindowsRE.
A partição reservada ao sistema deve usar o formato correto.
- Em computadores UEFI (Unified Extensible Firmware Interface), a partição reservada pelo sistema deve ser formatada como FAT32.
- Em computadores herdados, a partição reservada pelo sistema deve ser formatada como NTFS.
Se o dispositivo com problemas for um computador de ardósia ou tablet, use https://gpsearch.azurewebsites.net/#8153 para verificar o status da opção Habilitar o uso da autenticação BitLocker que exige a entrada de teclado preboot na opção slates.
Para obter mais informações sobre os pré-requisitos do BitLocker, confira Implantação básica do BitLocker: usando o BitLocker para criptografar volumes
Próximas etapas
Se as informações examinadas até agora indicarem um problema específico (por exemplo, o WindowsRE não está habilitado), o problema poderá ter uma correção simples.
Resolver problemas que não têm causas óbvias depende exatamente de quais componentes estão envolvidos e qual comportamento está sendo exibido. As informações coletadas ajudam a restringir as áreas a serem investigadas.
Se o dispositivo que está sendo solucionado de problemas for gerenciado por Microsoft Intune, consulte Impor políticas do BitLocker usando Intune: problemas conhecidos.
Se o BitLocker não iniciar ou não conseguir criptografar uma unidade e erros ou eventos relacionados ao TPM estiverem ocorrendo, consulte O BitLocker não poderá criptografar uma unidade: problemas conhecidos do TPM.
Se o BitLocker não iniciar ou não conseguir criptografar uma unidade, consulte O BitLocker não poderá criptografar uma unidade: problemas conhecidos.
Se o Desbloqueio de Rede do BitLocker não se comportar conforme o esperado, consulte Desbloqueio de Rede do BitLocker: problemas conhecidos.
Se o BitLocker não se comportar conforme o esperado quando uma unidade criptografada for recuperada ou se o BitLocker tiver recuperado inesperadamente uma unidade, consulte Recuperação do BitLocker: problemas conhecidos.
Se o BitLocker ou a unidade criptografada não se comportar como esperado, e os erros ou eventos relacionados ao TPM estiverem ocorrendo, consulte BitLocker e TPM: outros problemas conhecidos.
Se o BitLocker ou a unidade criptografada não se comportarem conforme o esperado, consulte Configuração do BitLocker: problemas conhecidos.
É recomendável manter as informações coletadas úteis caso Suporte da Microsoft seja contatado para obter ajuda para resolver o problema.