Solución de problemas de directivas de BitLocker desde el lado cliente
En este artículo se proporcionan instrucciones sobre cómo solucionar problemas de cifrado de BitLocker en el lado cliente. Aunque el informe de cifrado de Microsoft Intune puede ayudarle a identificar y solucionar problemas comunes de cifrado, es posible que no se notifiquen algunos datos de estado del proveedor de servicios de configuración de BitLocker (CSP). En estos escenarios, tendrá que acceder al dispositivo para investigar más.
Proceso de cifrado de BitLocker
En los pasos siguientes se describe el flujo de eventos que deben dar lugar a un cifrado correcto de un dispositivo Windows 10 que no se ha cifrado previamente con BitLocker.
- Un administrador configura una directiva de BitLocker en Intune con la configuración deseada y tiene como destino un grupo de usuarios o un grupo de dispositivos.
- La directiva se guarda en un inquilino del servicio Intune.
- Un cliente de Windows 10 Mobile Administración de dispositivos (MDM) se sincroniza con el servicio Intune y procesa la configuración de la directiva de BitLocker.
- La tarea programada Actualizar directiva MDM de BitLocker se ejecuta en el dispositivo que replica la configuración de directiva de BitLocker en la clave del Registro de cifrado de volumen completo (FVE).
- El cifrado de BitLocker se inicia en las unidades.
El informe de cifrado mostrará los detalles del estado de cifrado de cada dispositivo de destino en Intune. Para obtener instrucciones detalladas sobre cómo usar esta información para solucionar problemas, consulte Solución de problemas de BitLocker con el informe de cifrado de Intune.
Iniciar una sincronización manual
Si ha determinado que no hay información accionable en el informe de cifrado, deberá recopilar datos del dispositivo afectado para completar la investigación.
Una vez que tenga acceso al dispositivo, el primer paso es iniciar una sincronización con el servicio Intune manualmente antes de recopilar los datos. En el dispositivo Windows, seleccione Configuración>Cuentas>Acceso profesional o educativa><Seleccione lainformación de la cuenta>> profesional o educativa. A continuación, en Estado de sincronización de dispositivos, seleccione Sincronizar.
Una vez completada la sincronización, continúe con las secciones siguientes.
Recopilación de datos de registro de eventos
En las secciones siguientes se explica cómo recopilar datos de distintos registros para ayudar a solucionar problemas de estado y directivas de cifrado. Asegúrese de completar una sincronización manual antes de recopilar datos de registro.
Registro de eventos del agente de administración de dispositivos móviles (MDM)
El registro de eventos MDM es útil para determinar si se produjo un problema al procesar la directiva de Intune o aplicar la configuración de CSP. El agente de OMA DM se conectará al servicio Intune e intentará procesar las directivas destinadas al usuario o dispositivo. Este registro mostrará el procesamiento correcto y los errores de procesamiento Intune directivas.
Recopile o revise la siguiente información:
REGISTRO>Administrador de DeviceManagement-Enterprise-Diagnostics-Provider
- Ubicación: haga clic con el botón derecho en el menú> Inicio Visor de eventos>Aplicaciones y registros> de servicioMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Administración
- Ubicación del sistema de archivos: C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx
Para filtrar este registro, haga clic con el botón derecho en el registro de eventos y seleccione Filtrar registro actual>Crítico/Error/Advertencia. A continuación, busque BitLocker en los registros filtrados (presione F3 y escriba el texto).
Los errores en la configuración de BitLocker seguirán el formato del CSP de BitLocker, por lo que verá entradas como esta:
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
o
./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
Nota:
También puede habilitar el registro de depuración para este registro de eventos mediante el Visor de eventos para solucionar problemas.
Registro de eventos de administración de API de BitLocker
Este es el registro de eventos principal de BitLocker. Si el agente MDM procesó la directiva correctamente y no hay ningún error en el registro de eventos de administrador DeviceManagement-Enterprise-Diagnostics-Provider, este es el siguiente registro que se va a investigar.
REGISTRO>Administración de BitLocker-API
- Ubicación: haga clic con el botón derecho en el menú> Inicio Visor de eventos>Aplicaciones y registros> de servicioMicrosoft>Windows>BitLocker-API
- Ubicación del sistema de archivos: C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx
Normalmente, los errores se registran aquí si faltan requisitos previos de hardware o software que requiere la directiva, como trusted platform module (TPM) o Windows Recovery Environment (WinRE).
Error: No se pudo habilitar el cifrado silencioso
Como se muestra en el ejemplo siguiente, también se registran configuraciones de directiva en conflicto que no se pueden implementar durante el cifrado y el manifiesto silenciosos como conflictos de directiva de grupo:
No se pudo habilitar el cifrado silencioso.
Error: El cifrado de BitLocker no se puede aplicar a esta unidad debido a una configuración de directiva de grupo en conflicto. Cuando se deniega el acceso de escritura a las unidades no protegidas por BitLocker, no se puede requerir el uso de una clave de inicio USB. Haga que el administrador del sistema resuelva estos conflictos de directiva antes de intentar habilitar BitLocker.
Solución: Configure el PIN de inicio de TPM compatible en Bloqueado. Esto resolverá la configuración de directiva de grupo en conflicto al usar el cifrado silencioso.
Debe establecer el PIN y la clave de inicio de TPM en Bloqueado si se requiere cifrado silencioso. Configurar el PIN de inicio y la clave de inicio de TPM en Permitido y otra clave de inicio y pin en Bloqueado para la interacción del usuario y provocará un error de directiva de grupo en conflicto en el registro de eventos de BitLocker-AP. Además, si configura el PIN de inicio de TPM o la clave de inicio para requerir la interacción del usuario, provocará un error en el cifrado silencioso.
La configuración de cualquiera de los valores de TPM compatibles en Requerido provocará un error en el cifrado silencioso.
Error: TPM no está disponible
Otro error común en el registro de BitLocker-API es que el TPM no está disponible. En el ejemplo siguiente se muestra que TPM es un requisito para el cifrado silencioso:
No se pudo habilitar el cifrado silencioso. TPM no está disponible.
Error: No se encuentra un dispositivo de seguridad compatible con el módulo de plataforma segura (TPM) en este equipo.
Solución: Asegúrese de que hay un TPM disponible en el dispositivo y, si está presente, compruebe el estado mediante TPM.msc o el cmdlet get-tpm de PowerShell.
Error: Un-Allowed bus compatible con DMA
Si el registro de BitLocker-API muestra el siguiente estado, significa que Windows ha detectado un dispositivo conectado compatible con el acceso directo a memoria (DMA) que podría exponer una amenaza DMA.
Un-Allowed bus o dispositivos compatibles con DMA detectados
Solución: Para corregir este problema, compruebe primero que el dispositivo no tiene puertos DMA externos con el fabricante del equipo original (OEM). A continuación, siga estos pasos para agregar el dispositivo a la lista de permitidos. Nota: Agregue solamente un dispositivo DMA a la lista permitida si es una interfaz/bus DMA interna.
Registro de eventos del sistema
Si tiene problemas relacionados con el hardware, como problemas con el TPM, aparecerán errores en el registro de eventos del sistema para TPM desde el origen TPMProvisioningService o TPM-WMI.
REGISTRO>Evento del sistema
- Ubicación: haga clic con el botón derecho en el menú> Inicio Visor de eventos>Sistema de registros> de Windows
- Ubicación del sistema de archivos: C:\Windows\System32\winevt\Logs\System.evtx
Filtre por estos orígenes de eventos para ayudar a identificar los problemas relacionados con el hardware que el dispositivo pueda estar experimentando con el TPM y compruebe con el fabricante oem si hay actualizaciones de firmware disponibles.
Registro de eventos operativos del programador de tareas
El registro de eventos operativos del programador de tareas es útil para solucionar escenarios en los que la directiva se ha recibido de Intune (se ha procesado en DeviceManagement-Enterprise), pero el cifrado de BitLocker no se ha iniciado correctamente. La actualización de la directiva MDM de BitLocker es una tarea programada que debe ejecutarse correctamente cuando el agente MDM se sincroniza con el servicio Intune.
Habilite y ejecute el registro operativo en los siguientes escenarios:
- La directiva de BitLocker aparece en el registro de eventos de administrador DeviceManagement-Enterprise-Diagnostics-Provider, en diagnósticos mdm y en el registro.
- No hay ningún error (la directiva se ha recogido correctamente de Intune).
- No se registra nada en el registro de eventos de BitLocker-API para mostrar que incluso se intentó el cifrado.
REGISTRO>Evento operativo del programador de tareas
- Ubicación: Visor de eventos>Aplicaciones y registros> de servicioMicrosoft>Windows>TaskScheduler
- Ubicación del sistema de archivos: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx
Habilitación y ejecución del registro de eventos operativos
Importante
Debe habilitar manualmente este registro de eventos antes de registrar los datos, ya que el registro identificará los problemas que se produzcan al ejecutar la tarea programada actualizar directiva MDM de BitLocker.
Para habilitar este registro, haga clic con el botón derecho en menú> Inicio Visor de eventos>Aplicaciones y servicios>Microsoft>Windows>TaskScheduler>Operational.
A continuación, escriba el programador de tareas en el cuadro de búsqueda de Windows y seleccione Programador> de tareasMicrosoft>Windows>BitLocker. Haga clic con el botón derecho en Actualización de la directiva MDM de BitLocker y elija Ejecutar.
Una vez completada la ejecución, inspeccione la columna Resultado de la última ejecución para ver si hay códigos de error y examine si hay errores en el registro de eventos de programación de tareas.
En el ejemplo anterior, 0x0 se ha ejecutado correctamente. El error 0x41303 esto significa que la tarea nunca se ha ejecutado anteriormente.
Nota:
Para obtener más información sobre los mensajes de error del Programador de tareas, vea Error del programador de tareas y Constantes de éxito.
Comprobación de la configuración de BitLocker
En las secciones siguientes se explican las distintas herramientas que puede usar para comprobar la configuración y el estado de cifrado.
Informe de diagnóstico de MDM
Puede crear un informe de registros de MDM para diagnosticar problemas de inscripción o administración de dispositivos en Windows 10 dispositivos administrados por Intune. El informe de diagnóstico de MDM contiene información útil sobre un dispositivo inscrito Intune y las directivas implementadas en él.
Para ver un tutorial de este proceso, vea el vídeo de YouTube How to create an Intune MDM diagnostic report on Windows devices (Cómo crear un informe de diagnóstico de MDM Intune en dispositivos Windows).
- Ubicación del sistema de archivos: C:\Users\Public\Documents\MDMDiagnostics
Compilación y edición del sistema operativo
El primer paso para comprender por qué la directiva de cifrado no se aplica correctamente es comprobar si la versión y la edición del sistema operativo Windows admiten la configuración que ha configurado. Algunos CSP se introdujeron en versiones específicas de Windows y solo funcionarán en una edición determinada. Por ejemplo, la mayor parte de la configuración de CSP de BitLocker se introdujo en Windows 10, versión 1703, pero esta configuración no se admitía en Windows 10 Pro hasta Windows 10, versión 1809.
Además, hay opciones como AllowStandardUserEncryption (agregada en la versión 1809), ConfigureRecoveryPasswordRotation (agregada en la versión 1909), RotateRecoveryPasswords (agregada en la versión 1909) y Status (agregada en la versión 1903).
Investigación con EntDMID
EntDMID es un identificador de dispositivo único para Intune inscripción. En el centro de administración de Microsoft Intune, puede usar EntDMID para buscar en la vista Todos los dispositivos e identificar un dispositivo específico. También es una parte crucial de la información para el soporte técnico de Microsoft para permitir la solución de problemas adicionales en el lado del servicio si se requiere un caso de soporte técnico.
También puede usar el informe de diagnóstico de MDM para identificar si una directiva se ha enviado correctamente al dispositivo con la configuración configurada por el administrador. Al usar el CSP de BitLocker como referencia, puede descifrar qué configuración se ha seleccionado al sincronizar con el servicio Intune. Puede usar el informe para determinar si la directiva tiene como destino el dispositivo y usar la documentación de CSP de BitLocker para identificar qué configuración se ha configurado.
MSINFO32
MSINFO32 es una herramienta de información que contiene datos de dispositivo que puede usar para determinar si un dispositivo cumple los requisitos previos de BitLocker. Los requisitos previos necesarios dependerán de la configuración de la directiva de BitLocker y del resultado necesario. Por ejemplo, el cifrado silencioso para TPM 2.0 requiere un TPM y una interfaz unificada de firmware extensible (UEFI).
- Ubicación: en el cuadro Buscar, escriba msinfo32, haga clic con el botón derecho en Información del sistema en los resultados de la búsqueda y seleccione Ejecutar como administrador.
- Ubicación del sistema de archivos: C:\Windows\System32\Msinfo32.exe.
Sin embargo, si este elemento no cumple los requisitos previos, no significa necesariamente que no pueda cifrar el dispositivo mediante una directiva de Intune.
- Si ha configurado la directiva de BitLocker para cifrar de forma silenciosa y el dispositivo usa TPM 2.0, es importante comprobar que el modo BIOS es UEFI. Si el TPM es 1.2, tener el modo BIOS en UEFI no es un requisito.
- El arranque seguro, la protección de DMA y la configuración de PCR7 no son necesarios para el cifrado silencioso, pero podría resaltarse en Compatibilidad con el cifrado de dispositivos. Esto es para garantizar la compatibilidad con el cifrado automático.
- Las directivas de BitLocker que están configuradas para no requerir un TPM y que tienen interacción del usuario en lugar de cifrar de forma silenciosa tampoco tendrán requisitos previos para proteger MSINFO32.
TPM. Archivo MSC
TPM.msc es un archivo de complemento de Microsoft Management Console (MMC). Puede usar TPM.msc para determinar si el dispositivo tiene un TPM, para identificar la versión y si está listo para su uso.
- Ubicación: en el cuadro Buscar, escriba tpm.msc y, a continuación, haga clic con el botón derecho y seleccione Ejecutar como administrador.
- Ubicación del sistema de archivos: complemento MMC C:\Windows\System32\mmc.exe.
TPM no es un requisito previo para BitLocker, pero se recomienda encarecidamente debido al aumento de la seguridad que proporciona. Sin embargo, TPM es necesario para el cifrado automático y silencioso. Si intenta cifrar de forma silenciosa con Intune y hay errores de TPM en bitlocker-API y registros de eventos del sistema, TPM.msc le ayudará a comprender el problema.
En el ejemplo siguiente se muestra un estado correcto de TPM 2.0. Tenga en cuenta la versión de especificación 2.0 en la parte inferior derecha y que el estado está listo para su uso.
En este ejemplo se muestra un estado incorrecto cuando el TPM está deshabilitado en el BIOS:
La configuración de una directiva para requerir un TPM y esperar que BitLocker se cifre cuando falta el TPM o no es correcto es uno de los problemas más comunes.
cmdlet Get-Tpm
Un cmdlet es un comando ligero en el entorno de Windows PowerShell. Además de ejecutar TPM.msc, puede comprobar el TPM mediante el cmdlet Get-Tpm. Tendrá que ejecutar este cmdlet con derechos de administrador.
- Ubicación: en el cuadro De búsqueda, escriba cmd y, a continuación, haga clic con el botón derecho y seleccione Ejecutar como administrador>de PowerShell>get-tpm.
En el ejemplo anterior, puede ver que el TPM está presente y activo en la ventana de PowerShell. Los valores son iguales a True. Si los valores se establecieran en False, indicaría un problema con el TPM. BitLocker no podrá usar el TPM hasta que esté presente, listo, habilitado, activado y de su propiedad.
Herramienta de línea de comandos Manage-bde
Manage-bde es una herramienta de línea de comandos de cifrado de BitLocker incluida en Windows. Está diseñado para ayudar con la administración después de habilitar BitLocker.
- Ubicación: en el cuadro Buscar, escriba cmd, haga clic con el botón derecho y seleccione Ejecutar como administrador y, a continuación, escriba manage-bde -status.
- Ubicación del sistema de archivos: C:\Windows\System32\manage-bde.exe.
Puede usar manage-bde para detectar la siguiente información sobre un dispositivo:
- ¿Está cifrado? Si los informes en el centro de administración de Microsoft Intune indican que un dispositivo no está cifrado, esta herramienta de línea de comandos puede identificar el estado del cifrado.
- ¿Qué método de cifrado se ha usado? Puede comparar la información de la herramienta con el método de cifrado de la directiva para asegurarse de que coinciden. Por ejemplo, si la directiva de Intune está configurada en XTS-AES de 256 bits y el dispositivo se cifra mediante XTS-AES de 128 bits, se producirán errores en Microsoft Intune informes de directivas del Centro de administración.
- ¿Qué protectores específicos se usan? Hay varias combinaciones de protectores. Saber qué protector se usa en un dispositivo le ayudará a comprender si la directiva se ha aplicado correctamente.
En el ejemplo siguiente, el dispositivo no está cifrado:
Ubicaciones del Registro de BitLocker
Este es el primer lugar en el registro que se debe buscar cuando se desea descifrar la configuración de directiva seleccionada por Intune:
- Ubicación: haga clic con el botón derecho en Iniciar>ejecución y escriba regedit para abrir la Editor del Registro.
- Ubicación predeterminada del sistema de archivos: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
La clave del Registro del agente MDM le ayudará a identificar el identificador único global (GUID) en el PolicyManager que contiene la configuración real de la directiva de BitLocker.
El GUID se resalta en el ejemplo anterior. Puede incluir el GUID (será diferente para cada inquilino) en la siguiente subclave del Registro para solucionar problemas de configuración de directiva de BitLocker:
<Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\ProvidersGUID>\default\Device\BitLocker
En este informe se muestra la configuración de directiva de BitLocker que ha recogido el agente MDM (cliente OMADM). Estas son las mismas opciones que verá en el informe diagnóstico de MDM, por lo que se trata de una forma alternativa de identificar la configuración que el cliente ha seleccionado.
Ejemplo de clave del Registro EncryptionMethodByDriveType :
<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>
Ejemplo de SystemDrivesRecoveryOptions:
<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
Clave del Registro de BitLocker
La configuración de la clave del Registro del proveedor de directivas se duplicará en la clave principal del Registro de BitLocker. Puede comparar la configuración para asegurarse de que coinciden con lo que aparece en la configuración de la directiva en la interfaz de usuario (UI), el registro MDM, los diagnósticos mdm y la clave del Registro de directivas.
- Ubicación de la clave del Registro: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
Este es un ejemplo de la clave del Registro de FVE:
-
Un: EncryptionMethodWithXtsOs, EncryptionMethodWithXtsFdv y EncryptionMethodWithXtsRdv tienen los siguientes valores posibles:
- 3 = AES-CBC 128
- 4 = AES-CBC 256
- 6 = XTS-AES 128
- 7 = XTS-AES 256
- B: UseTPM, UseTPMKey, UseTPMKeyPIN, USeTPMPIN están establecidos en 2, lo que significa que todos están establecidos para permitir.
- C: Tenga en cuenta que la mayoría de las claves se dividen en grupos de configuraciones para la unidad del sistema operativo (SO), la unidad fija (FDV) y la unidad extraíble (FDVR).
- D: OSActiveDirectoryBackup tiene un valor de 1 y está habilitado.
- E: OSHideRecoveryPage es igual a 0 y no está habilitado.
Use la documentación de CSP de BitLocker para descodificar todos los nombres de configuración en el Registro.
REAgentC.exe herramienta de línea de comandos
REAgentC.exe es una herramienta ejecutable de línea de comandos que puede usar para configurar el entorno de recuperación de Windows (Windows RE). WinRE es un requisito previo para habilitar BitLocker en determinados escenarios, como el cifrado automático o silencioso.
- Ubicación: haga clic con el botón derecho en Iniciar>ejecución, escriba cmd. A continuación, haga clic con el botón derecho en cmd y seleccione Ejecutar como reactivo de administrador>/info.
- Ubicación del sistema de archivos: C:\Windows\System32\ReAgentC.exe.
Sugerencia
Si ve mensajes de error en BitLocker-API sobre que WinRe no está habilitado, ejecute el comando reagentc /info en el dispositivo para determinar el estado de WinRE.
Si el estado de WinRE está deshabilitado, ejecute el comando reagentc /enable como administrador para habilitarlo manualmente:
Resumen
Cuando BitLocker no se puede habilitar en un dispositivo Windows 10 mediante una directiva de Intune, en la mayoría de los casos, no se cumplen los requisitos previos de hardware o software. Examinar el registro de BitLocker-API le ayudará a identificar qué requisito previo no se cumple. Los problemas más comunes son:
- TPM no está presente
- WinRE no está habilitado
- UEFI BIOS no está habilitado para dispositivos TPM 2.0
La configuración incorrecta de la directiva también puede provocar errores de cifrado. No todos los dispositivos Windows pueden cifrarse de forma silenciosa, así que piense en los usuarios y dispositivos a los que va a dirigirse.
La configuración de una clave de inicio o un PIN para una directiva destinada al cifrado silencioso no funcionará debido a la interacción del usuario necesaria al habilitar BitLocker. Tenga esto en cuenta al configurar la directiva de BitLocker en Intune.
Compruebe si el dispositivo ha recogido la configuración de la directiva para determinar si la selección de destino se ha realizado correctamente.
Es posible identificar la configuración de directiva mediante diagnósticos MDM, claves del Registro y el registro de eventos empresariales de administración de dispositivos para comprobar si la configuración se aplicó correctamente. La documentación de CSP de BitLocker puede ayudarle a descifrar esta configuración para comprender si coinciden con lo que se ha configurado en la directiva.