Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden veelvoorkomende problemen beschreven die van invloed zijn op de configuratie en algemene functionaliteit van BitLocker. Dit artikel bevat ook richtlijnen voor het oplossen van deze problemen.
BitLocker-versleuteling is langzamer in Windows 10 en Windows 11
BitLocker wordt op de achtergrond uitgevoerd om stations te versleutelen. In Windows 11 en Windows 10 is BitLocker echter minder agressief over het aanvragen van resources dan in eerdere versies van Windows. Dit gedrag vermindert de kans dat BitLocker van invloed is op de prestaties van de computer.
Om deze wijzigingen te compenseren, gebruikt BitLocker een conversiemodel met de naam Encrypt-On-Write. Dit model zorgt ervoor dat eventuele nieuwe schijfschrijfbewerkingen worden versleuteld zodra BitLocker is ingeschakeld. Dit gedrag gebeurt op alle clientversies en voor eventuele interne stations.
Belangrijk
BitLocker gebruikt het vorige conversiemodel om verwisselbare stations te versleutelen om compatibiliteit met eerdere versies te behouden.
Voordelen van het gebruik van het nieuwe conversiemodel
Door het vorige conversiemodel te gebruiken, kan een intern station pas worden beschouwd als beveiligd en voldoet aan de normen voor gegevensbescherming totdat de BitLocker-conversie 100 procent is voltooid. Voordat het proces is voltooid, kunnen de gegevens die op het station bestonden voordat de versleuteling begon , dat wil gezegd, mogelijk gecompromitteerde gegevens - nog steeds worden gelezen en geschreven zonder versleuteling. Daarom moet het versleutelingsproces worden voltooid voordat gevoelige gegevens op het station worden opgeslagen om te worden beschouwd als beveiligd en voldoet aan de normen voor gegevensbescherming. Afhankelijk van de grootte van het station kan deze vertraging aanzienlijk zijn.
Met behulp van het nieuwe conversiemodel kunnen gevoelige gegevens op het station worden opgeslagen zodra BitLocker is ingeschakeld. Het versleutelingsproces hoeft niet eerst te worden voltooid en versleuteling heeft geen negatieve invloed op de prestaties. Het nadeel is dat het versleutelingsproces voor bestaande gegevens langer duurt.
Andere BitLocker-verbeteringen
Verschillende andere gebieden van BitLocker zijn verbeterd in versies van Windows die zijn uitgebracht na Windows 7:
Nieuw versleutelingsalgoritmen, XTS-AES - toegevoegd in Windows 10 versie 1511, dit algoritme biedt extra beveiliging tegen een klasse van aanvallen op versleutelde gegevens die afhankelijk zijn van het bewerken van coderingstekst om voorspelbare wijzigingen in tekst zonder opmaak te veroorzaken.
Dit algoritme voldoet standaard aan de Federal Information Processing Standards (FIPS). FIPS is een Verenigde Staten Government-standaard die een benchmark biedt voor het implementeren van cryptografische software.
Verbeterde beheerfuncties. BitLocker kan worden beheerd op pc's of andere apparaten met behulp van de volgende interfaces:
- BitLocker-wizard
- manage-bde.exe
- Groepsbeleidsobjecten (GPO's)
- Mdm-beleid (Mobile Apparaatbeheer)
- Windows PowerShell
- Windows Management Interface (WMI)
Integratie met Microsoft Entra-id (Microsoft Entra-id) - BitLocker kan herstelgegevens opslaan in Microsoft Entra-id om het gemakkelijker te herstellen.
Poortbeveiliging voor directe geheugentoegang (DMA): door MDM-beleid te gebruiken om BitLocker te beheren, kunnen de DMA-poorten van een apparaat worden geblokkeerd waardoor het apparaat tijdens het opstarten wordt beveiligd.
BitLocker-netwerk ontgrendelen : als de desktop- of servercomputer met BitLocker is verbonden met een bekabeld bedrijfsnetwerk in een domeinomgeving, kan het besturingssysteemvolume automatisch worden ontgrendeld tijdens het opnieuw opstarten van het systeem.
Ondersteuning voor versleutelde harde schijven - Versleutelde harde schijven zijn een nieuwe klasse harde schijven die zelf versleutelen op hardwareniveau en die volledige schijfhardwareversleuteling mogelijk maken. Door deze workload uit te voeren, verhogen versleutelde harde schijven de BitLocker-prestaties en verminderen ze het CPU-gebruik en energieverbruik.
Ondersteuning voor klassen HDD/SSD hybride schijven - BitLocker kan een schijf versleutelen die een kleine SSD gebruikt als een niet-vluchtige cache voor de HDD, zoals Intel Rapid Storage Technology.
Virtuele Hyper-V-generatie 2: kan geen toegang krijgen tot het volume na BitLocker-versleuteling
Bekijk het volgende scenario:
BitLocker is ingeschakeld op een virtuele machine van de tweede generatie (VM) die wordt uitgevoerd op Hyper-V.
Gegevens worden toegevoegd aan de gegevensschijf terwijl deze wordt versleuteld.
De VIRTUELE machine wordt opnieuw opgestart en het volgende gedrag wordt waargenomen:
Het systeemvolume is niet versleuteld.
Het versleutelde volume is niet toegankelijk en de computer vermeldt het bestandssysteem van het volume als Onbekend.
Er wordt een bericht weergegeven dat lijkt op het volgende bericht:
U moet de schijf formatteren in <drive_letter:> station voordat u deze kunt gebruiken
Oorzaak van het niet kunnen openen van het volume na BitLocker-versleuteling op een Virtuele Hyper-V-generatie 2-VM
Dit probleem treedt op omdat het filterstuurprogramma van derden Stcvsm.sys (van StorageCraft) is geïnstalleerd op de VIRTUELE machine.
Oplossing voor het niet kunnen openen van het volume na BitLocker-versleuteling op een Virtuele Hyper-V-generatie 2-VM
Verwijder de software van derden om dit probleem op te lossen.
Productiemomentopnamen mislukken voor gevirtualiseerde domeincontrollers die gebruikmaken van met BitLocker versleutelde schijven
Bekijk het volgende scenario:
Een Windows Server 2019- of 2016 Hyper-V-server host virtuele machines (gasten) die zijn geconfigureerd als Windows-domeincontrollers. Op een gast-VM van een domeincontroller heeft BitLocker de schijven versleuteld die de Active Directory-database en logboekbestanden opslaan. Wanneer een 'productiemomentopname' van de gast-VM van de domeincontroller wordt geprobeerd, verwerkt de VSS-service (Volume Snap-Shot) de back-up niet correct.
Dit probleem treedt op, ongeacht een van de volgende variaties in de omgeving:
- Hoe de domeincontrollervolumes worden ontgrendeld.
- Of de VM's nu generatie 1 of 2 zijn.
- Of het gastbesturingssysteem Windows Server 2019, 2016 of 2012 R2 is.
In de Windows-logboektoepassing van de gast-VM-domeincontroller Logboeken logboek registreert de VSS-gebeurtenisbron gebeurtenis-id 8229:>
Id: 8229
Niveau: waarschuwing
Bron: VSS
Bericht: Een VSS Writer heeft een gebeurtenis geweigerd met een fout 0x800423f4. De schrijver heeft een niet-tijdelijke fout ondervonden. Als het back-upproces opnieuw wordt geprobeerd, treedt de fout waarschijnlijk opnieuw op.Wijzigingen die de schrijver heeft aangebracht in de writer-onderdelen tijdens het verwerken van de gebeurtenis, is niet beschikbaar voor de aanvrager.
Controleer het gebeurtenislogboek op gerelateerde gebeurtenissen van de toepassing die als host fungeert voor de VSS Writer.
Operatie:
PostSnapshot-gebeurtenisContext:
Uitvoeringscontext: Writer
Klasse-id schrijver: {b2014c9e-8711-4c5c-a5a9-3cf38448484757}
Schrijvernaam: NTDS
Id van schrijverexemplaren: {d170b355-a523-47ba-a5c8-732244f70e75}
Opdrachtregel: C:\Windows\system32\lsass.exeProces-id: 680
In de logboeken van de gast-VM-domeincontroller Toepassingen en Services Logboeken>Directory Service Logboeken logboek, is er een gebeurtenis geregistreerd die vergelijkbaar is met de volgende gebeurtenis:
Fout Microsoft-Windows-ActiveDirectory_DomainService 1168
Interne verwerking interne fout: er is een Active Directory-domein Services-fout opgetreden.Extra gegevens
Foutwaarde (decimaal): -1022Foutwaarde (hex): fffffc02
Interne id: 160207d9
Notitie
De interne id van deze gebeurtenis kan verschillen op basis van het versie- en patchniveau van het besturingssysteem.
Wanneer dit probleem optreedt, wordt in de Active Directory-domein Services (NTDS) VSS Writer de volgende fout weergegeven wanneer de vssadmin.exe list writers opdracht wordt uitgevoerd:
Writer name: 'NTDS'
Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
State: [11] Failed
Last error: Non-retryable error
Bovendien kan er geen back-up van de VM's worden gemaakt totdat ze opnieuw worden opgestart.
Oorzaak van productiemomentopnamen mislukken voor gevirtualiseerde domeincontrollers die gebruikmaken van met BitLocker versleutelde schijven
Nadat VSS een momentopname van een volume heeft gemaakt, voert de VSS Writer acties na momentopname uit. Wanneer een 'productiemomentopname' wordt gestart vanaf de hostserver, probeert Hyper-V het momentopnamevolume te koppelen. Het volume kan echter niet worden ontgrendeld voor niet-versleutelde toegang. BitLocker op de Hyper-V-server herkent het volume niet. Daarom mislukt de toegangspoging en mislukt de momentopnamebewerking.
Dit is zo ontworpen.
Tijdelijke oplossing voor productiemomentopnamen mislukken voor gevirtualiseerde domeincontrollers die gebruikmaken van met BitLocker versleutelde schijven
Een ondersteunde manier om een back-up en herstel van een gevirtualiseerde domeincontroller uit te voeren, is door Windows Server Backup uit te voeren in het gastbesturingssysteem.
Als een productiemomentopname van een gevirtualiseerde domeincontroller moet worden gemaakt, kan BitLocker worden onderbroken in het gastbesturingssysteem voordat de productiemomentopname wordt gestart. Deze benadering wordt echter niet aanbevolen.
Zie Domeincontrollers virtualiseren met Hyper-V: Overwegingen voor back-up en herstel voor gevirtualiseerde domeincontrollers voor meer informatie en aanbevelingen voor het maken van back-ups van gevirtualiseerde domeincontrollers
Meer informatie
Wanneer de VSS NTDS Writer toegang aanvraagt tot het versleutelde station, genereert de LSASS (Local Security Authority Subsystem Service) een foutvermelding die vergelijkbaar is met de volgende fout:
\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.
De bewerking produceert de volgende aanroepstack:
\# Child-SP RetAddr Call Site
00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]