Compartir a través de

Configuración de BitLocker: problemas conocidos

  • Artículo

En este artículo se describen problemas comunes que afectan a la configuración de BitLocker y a la funcionalidad general. En este artículo también se proporcionan instrucciones para solucionar estos problemas.

El cifrado de BitLocker es más lento en Windows 10 y Windows 11

BitLocker se ejecuta en segundo plano para cifrar las unidades. Sin embargo, en Windows 11 y Windows 10, BitLocker es menos agresivo en cuanto a la solicitud de recursos que en versiones anteriores de Windows. Este comportamiento reduce la posibilidad de que BitLocker afecte al rendimiento del equipo.

Para compensar estos cambios, BitLocker usa un modelo de conversión denominado Encrypt-On-Write. Este modelo garantiza que las nuevas escrituras de disco se cifren en cuanto BitLocker esté habilitado. Este comportamiento se produce en todas las ediciones de cliente y en las unidades internas.

Importante

Para conservar la compatibilidad con versiones anteriores, BitLocker usa el modelo de conversión anterior para cifrar las unidades extraíbles.

Ventajas de usar el nuevo modelo de conversión

Mediante el uso del modelo de conversión anterior, una unidad interna no se puede considerar protegida y compatible con los estándares de protección de datos hasta que la conversión de BitLocker se complete al 100 %. Antes de que finalice el proceso, los datos que existían en la unidad antes de que comenzara el cifrado (es decir, los datos potencialmente comprometidos) todavía se pueden leer y escribir sin cifrado. Por lo tanto, para que los datos se consideren protegidos y conformes con los estándares de protección de datos, el proceso de cifrado debe finalizar antes de almacenar datos confidenciales en la unidad. En función del tamaño de la unidad, este retraso puede ser sustancial.

Mediante el nuevo modelo de conversión, los datos confidenciales se pueden almacenar en la unidad en cuanto BitLocker esté activado. El proceso de cifrado no tiene que finalizar primero y el cifrado no afecta negativamente al rendimiento. El inconveniente es que el proceso de cifrado de los datos preexistetos tarda más tiempo.

Otras mejoras de BitLocker

Se han mejorado otras áreas de BitLocker en las versiones de Windows publicadas después de Windows 7:

  • Nuevo algoritmo de cifrado, XTS-AES: agregado en Windows 10 versión 1511, este algoritmo proporciona protección adicional contra una clase de ataques a datos cifrados que se basan en la manipulación del texto cifrado para provocar cambios predecibles en el texto sin formato.

    De forma predeterminada, este algoritmo cumple con los Estándares federales de procesamiento de información (FIPS). FIPS es un estándar Estados Unidos Government que proporciona un punto de referencia para implementar software criptográfico.

  • Características de administración mejoradas. BitLocker se puede administrar en equipos u otros dispositivos mediante las siguientes interfaces:

    • Asistente para BitLocker
    • manage-bde.exe
    • objetos directiva de grupo (GPO)
    • Directiva de Administración de dispositivos móvil (MDM)
    • Windows PowerShell
    • Interfaz de administración de Windows (WMI)

  • Integración con Microsoft Entra ID (Microsoft Entra ID): BitLocker puede almacenar información de recuperación en Microsoft Entra ID para facilitar la recuperación.

  • Protección de puertos de acceso directo a memoria (DMA ): al usar directivas MDM para administrar BitLocker, se pueden bloquear los puertos DMA de un dispositivo, lo que protege el dispositivo durante su inicio.

  • Desbloqueo de red de BitLocker : si el equipo de escritorio o servidor habilitado para BitLocker está conectado a una red corporativa cableada en un entorno de dominio, su volumen del sistema operativo se puede desbloquear automáticamente durante un reinicio del sistema.

  • Compatibilidad con unidades de disco duro cifradas : las unidades de disco duro cifradas son una nueva clase de unidades de disco duro que se cifran automáticamente a nivel de hardware y permiten el cifrado de hardware de disco completo. Al asumir esa carga de trabajo, las unidades de disco duro cifradas aumentan el rendimiento de BitLocker y reducen el uso de CPU y el consumo de energía.

  • Compatibilidad con clases de discos híbridos HDD/SSD : BitLocker puede cifrar un disco que usa un SSD pequeño como caché no volátil delante de la unidad de disco duro, como la tecnología Intel Rapid Storage.

Máquina virtual de Hyper-V Gen 2: no se puede acceder al volumen después del cifrado de BitLocker

Imagine la siguiente situación:

  1. BitLocker está activado en una máquina virtual (VM) de generación 2 que se ejecuta en Hyper-V.

  2. Los datos se agregan al disco de datos a medida que cifran.

  3. La máquina virtual se reinicia y se observa el siguiente comportamiento:

    • El volumen del sistema no está cifrado.

    • El volumen cifrado no es accesible y el equipo muestra el sistema de archivos del volumen como Desconocido.

    • Se muestra un mensaje similar al siguiente:

      Debe dar formato al disco en <la unidad drive_letter:> antes de poder usarlo.

Causa de no poder acceder al volumen después del cifrado de BitLocker en una máquina virtual de Hyper-V Gen 2

Este problema se produce porque el controlador de filtro de terceros Stcvsm.sys (de StorageCraft) está instalado en la máquina virtual.

Resolución para no poder acceder al volumen después del cifrado de BitLocker en una máquina virtual de Hyper-V Gen 2

Para resolver este problema, quite el software de terceros.

Error en las instantáneas de producción para controladores de dominio virtualizados que usan discos cifrados con BitLocker

Imagine la siguiente situación:

Un servidor de Hyper-V de Windows Server 2019 o 2016 hospeda máquinas virtuales (invitados) que están configuradas como controladores de dominio de Windows. En una máquina virtual invitada del controlador de dominio, BitLocker ha cifrado los discos que almacenan la base de datos de Active Directory y los archivos de registro. Cuando se intenta una "instantánea de producción" de la máquina virtual invitada del controlador de dominio, el servicio de Snap-Shot por volumen (VSS) no procesa correctamente la copia de seguridad.

Este problema se produce independientemente de cualquiera de las siguientes variaciones en el entorno:

  • Cómo se desbloquean los volúmenes del controlador de dominio.
  • Si las máquinas virtuales son de generación 1 o de generación 2.
  • Si el sistema operativo invitado es Windows Server 2019, 2016 o 2012 R2.

En el registro de Visor de eventosde aplicación de registros> de windows del controlador de dominio de máquina virtual invitado, el origen de eventos de VSS registra el identificador de evento 8229:

Identificador: 8229
Nivel: Advertencia
Origen: VSS
Mensaje: Un escritor de VSS ha rechazado un evento con 0x800423f4 de error. El escritor experimentó un error no transitorio. Si se vuelve a intentar el proceso de copia de seguridad, es probable que el error vuelva a producirse.

Los cambios realizados por el escritor en los componentes del escritor durante el control del evento no estarán disponibles para el solicitante.

Compruebe el registro de eventos para ver los eventos relacionados de la aplicación que hospeda el escritor de VSS.

Operación:
PostSnapshot (evento)

Contexto:
Contexto de ejecución: Escritor
Identificador de clase writer: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Nombre del escritor: NTDS
Identificador de instancia de Writer: {d170b355-a523-47ba-a5c8-732244f70e75}
Línea de comandos: C:\Windows\system32\lsass.exe

Identificador de proceso: 680

En el registro de Visor de eventos del servicio dedirectoriode registros de aplicaciones y servicios> de la máquina virtual invitada, hay un evento registrado similar al siguiente:

Error Microsoft-Windows-ActiveDirectory_DomainService 1168
Error interno de procesamiento interno: se ha producido un error de Servicios de dominio de Active Directory.

Datos adicionales
Valor de error (decimal): -1022

Valor de error (hexadecimal): fffffc02

Identificador interno: 160207d9

Nota:

El identificador interno de este evento puede diferir en función de la versión de versión del sistema operativo y el nivel de revisión.

Cuando se produce este problema, el escritor de VSS de Servicios de dominio de Active Directory (NTDS) mostrará el siguiente error cuando se ejecute el vssadmin.exe list writers comando:

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

Además, no se puede hacer una copia de seguridad de las máquinas virtuales hasta que se reinicien.

Error en la causa de las instantáneas de producción para los controladores de dominio virtualizados que usan discos cifrados con BitLocker

Después de que VSS crea una instantánea de un volumen, el escritor de VSS realiza acciones de "post snapshot". Cuando se inicia una "instantánea de producción" desde el servidor host, Hyper-V intenta montar el volumen con instantáneas. Sin embargo, no puede desbloquear el volumen para el acceso sin cifrar. BitLocker en el servidor de Hyper-V no reconoce el volumen. Por lo tanto, se produce un error en el intento de acceso y, a continuación, se produce un error en la operación de instantánea.

Este comportamiento es una característica del diseño de la aplicación.

Se produce un error en la solución alternativa para las instantáneas de producción para los controladores de dominio virtualizados que usan discos cifrados con BitLocker

Una manera admitida de realizar la copia de seguridad y restauración de un controlador de dominio virtualizado es ejecutar Copias de seguridad de Windows Server en el sistema operativo invitado.

Si es necesario tomar una instantánea de producción de un controlador de dominio virtualizado, BitLocker se puede suspender en el sistema operativo invitado antes de que se inicie la instantánea de producción. Sin embargo, no se recomienda este enfoque.

Para obtener más información y recomendaciones sobre la copia de seguridad de controladores de dominio virtualizados, consulte Virtualización de controladores de dominio mediante Hyper-V: Consideraciones de copia de seguridad y restauración para controladores de dominio virtualizados.

Más información

Cuando el escritor NTDS de VSS solicita acceso a la unidad cifrada, el servicio del subsistema de autoridad de seguridad local (LSASS) genera una entrada de error similar al siguiente:

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

La operación genera la siguiente pila de llamadas:

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]