Поделиться через


Рекомендации по устранению неполадок BitLocker

В этой статье рассматриваются распространенные проблемы в BitLocker и приводятся рекомендации по их устранению. В этой статье также содержатся сведения о том, какие данные следует собирать и какие параметры проверка. Эти сведения значительно упрощают процесс устранения неполадок.

Просмотр журналов событий

Откройте Просмотр событий и просмотрите следующие журналы в разделе Журналы> приложений и службMicrosoft>Windows:

  • BitLocker-API. Просмотрите журнал управления , операционный журнал и все другие журналы, созданные в этой папке. Журналы по умолчанию имеют следующие уникальные имена:

    • Microsoft-Windows-BitLocker-API/Management
    • Microsoft-Windows-BitLocker-API/Operational
    • Microsoft-Windows-BitLocker-API/Трассировка — отображается только при включении отображения журналов аналитики и отладки .
  • BitLocker-DrivePreparationTool. Просмотрите журнал Администратор, операционный журнал и все другие журналы, созданные в этой папке. Журналы по умолчанию имеют следующие уникальные имена:

    • Microsoft-Windows-BitLocker-DrivePreparationTool/Администратор
    • Microsoft-Windows-BitLocker-DrivePreparationTool/Operational

Кроме того, просмотритежурнал системыжурналов> Windows на наличие событий, созданных источниками событий TPM и TPM-WMI.

Для фильтрации и отображения или экспорта журналов можно использовать средство командной строкиwevtutil.exe или командлет PowerShell Get-WinEvent .

Например, чтобы использовать wevtutil.exe для экспорта содержимого журнала операций из папки BitLocker-API в текстовый файл с именемBitLockerAPIOpsLog.txt, откройте окно командной строки и выполните следующую команду:

wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt

Чтобы использовать командлет Get-WinEvent для экспорта одного и того же журнала в текстовый файл с разделительными запятыми, откройте окно Windows PowerShell и выполните следующую команду:

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational"  | Export-Csv -Path Bitlocker-Operational.csv

Get-WinEvent можно использовать в окне PowerShell с повышенными привилегиями для отображения отфильтрованной информации из системы или журнала приложений с помощью следующего синтаксиса:

  • Чтобы отобразить сведения, связанные с BitLocker, выполните следующие действия.

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl
    

    Выходные данные такой команды выглядят следующим образом:

    Снимок экрана: выходные данные, созданные с помощью Get-WinEvent и фильтра BitLocker.

  • Экспорт сведений, связанных с BitLocker:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv
    
  • Чтобы отобразить сведения, связанные с TPM, выполните следующие действия:

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl
    
  • Чтобы экспортировать сведения, связанные с TPM, выполните следующие действия.

    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv
    

    Выходные данные такой команды выглядят следующим образом.

    Снимок экрана: выходные данные, созданные с помощью Get-WinEvent и фильтра доверенного платформенного модуля.

Примечание.

При обращении к служба поддержки Майкрософт рекомендуется экспортировать журналы, перечисленные в этом разделе.

Сбор сведений о состоянии из технологий BitLocker

Откройте окно Windows PowerShell с повышенными привилегиями и выполните каждую из следующих команд:

Command Заметки Дополнительная информация
Get-Tpm > C:\TPM.txt Командлет PowerShell, экспортируемый сведения о доверенном платформенного модуля (TPM) локального компьютера. Этот командлет отображает различные значения в зависимости от того, является ли микросхема TPM версии 1.2 или 2.0. Этот командлет не поддерживается в Windows 7. Get-Tpm
manage-bde.exe -status > C:\BDEStatus.txt Экспортирует сведения об общем состоянии шифрования всех дисков на компьютере. состояниеmanage-bde.exe
manage-bde.exe c: -protectors -get > C:\Protectors Экспортирует сведения о методах защиты, используемых для ключа шифрования BitLocker. защитаmanage-bde.exe
reagentc.exe /info > C:\reagent.txt Экспортирует сведения о сетевом или автономном образе о текущем состоянии Среды восстановления Windows (WindowsRE) и любого доступного образа восстановления. reagentc.exe
Get-BitLockerVolume \| fl Командлет PowerShell, который получает сведения о томах, которые может защитить шифрование диска BitLocker. Get-BitLockerVolume

Просмотр сведений о конфигурации

  1. Откройте окно командной строки с повышенными привилегиями и выполните следующие команды:

    Command Заметки Дополнительная информация
    gpresult.exe /h <Filename> Экспортирует результирующий набор сведений о политике и сохраняет их в виде HTML-файла. gpresult.exe
    msinfo.exe /report <Path> /computer <ComputerName> Экспортирует исчерпывающие сведения об оборудовании, системных компонентах и программной среде на локальном компьютере. Параметр /report сохраняет сведения в виде файла .txt. msinfo.exe
  2. Откройте Редактор реестра и экспортируйте записи в следующих подразделах:

    • HKLM\SOFTWARE\Policies\Microsoft\FVE
    • HKLM\SYSTEM\CurrentControlSet\Services\TPM\

Проверьте предварительные требования к BitLocker

Распространенные параметры, которые могут вызвать проблемы с BitLocker, включают в себя следующие сценарии:

  • TPM должен быть разблокирован. Проверьте выходные данные командлета PowerShell get-tpm на наличие состояния доверенного платформенного модуля.

  • Windows RE необходимо включить. Проверьте выходные данные команды reagentc.exe на наличие состояния WindowsRE.

  • Зарезервированная системой секция должна использовать правильный формат.

    • На компьютерах с единым расширяемым интерфейсом встроенного ПО (UEFI) зарезервированный системой раздел должен быть отформатирован как FAT32.
    • На компьютерах прежних версий зарезервированный системой раздел должен быть отформатирован как NTFS.
  • Если устройство, на которое возникают проблемы, является планшетным или планшетным компьютером, используйте https://gpsearch.azurewebsites.net/#8153 для проверки состояния параметра Включить использование проверки подлинности BitLocker, требующего предварительного ввода с клавиатуры на сланцах .

Дополнительные сведения о предварительных требованиях для BitLocker см. в статье Базовое развертывание BitLocker: использование BitLocker для шифрования томов.

Дальнейшие действия

Если изученные сведения указывают на конкретную проблему (например, WindowsRE не включен), проблема может быть просто исправлена.

Решение проблем, не имеющих очевидных причин, зависит от того, какие именно компоненты задействованы и какое поведение просматривается. Собранная информация помогает сузить области для исследования.

Рекомендуется держать собранные сведения под рукой на случай, если служба поддержки Майкрософт обратитесь за помощью в решении проблемы.