Configurazione di BitLocker: problemi noti

  • Articolo

Questo articolo descrive i problemi comuni che influiscono sulla configurazione di BitLocker e sulle funzionalità generali. Questo articolo fornisce anche indicazioni per risolvere questi problemi.

La crittografia bitLocker è più lenta in Windows 10 e Windows 11

BitLocker viene eseguito in background per crittografare le unità. Tuttavia, in Windows 11 e Windows 10, BitLocker è meno aggressivo per la richiesta di risorse rispetto alle versioni precedenti di Windows. Questo comportamento riduce la probabilità che BitLocker influisca sulle prestazioni del computer.

Per compensare queste modifiche, BitLocker usa un modello di conversione denominato Encrypt-On-Write. Questo modello garantisce che tutte le nuove scritture su disco vengano crittografate non appena BitLocker è abilitato. Questo comportamento si verifica in tutte le edizioni client e per tutte le unità interne.

Importante

Per mantenere la compatibilità con le versioni precedenti, BitLocker usa il modello di conversione precedente per crittografare le unità rimovibili.

Vantaggi dell'uso del nuovo modello di conversione

Usando il modello di conversione precedente, un'unità interna non può essere considerata protetta e conforme agli standard di protezione dei dati fino al completamento della conversione di BitLocker al 100%. Prima del completamento del processo, i dati esistenti nell'unità prima dell'inizio della crittografia, ovvero i dati potenzialmente compromessi, possono comunque essere letti e scritti senza crittografia. Pertanto, affinché i dati vengano considerati protetti e conformi agli standard di protezione dei dati, il processo di crittografia deve essere completato prima che i dati sensibili vengano archiviati nell'unità. A seconda delle dimensioni dell'unità, questo ritardo può essere sostanziale.

Usando il nuovo modello di conversione, i dati sensibili possono essere archiviati nell'unità non appena BitLocker è attivato. Il processo di crittografia non deve essere completato per primo e la crittografia non influisce negativamente sulle prestazioni. Il compromesso è che il processo di crittografia per i dati preesistenti richiede più tempo.

Altri miglioramenti di BitLocker

Molte altre aree di BitLocker sono state migliorate nelle versioni di Windows rilasciate dopo Windows 7:

  • Nuovo algoritmo di crittografia, XTS-AES : aggiunto in Windows 10 versione 1511, questo algoritmo offre una protezione aggiuntiva da una classe di attacchi a dati crittografati che si basano sulla modifica del testo crittografato per causare modifiche prevedibili nel testo normale.

    Per impostazione predefinita, questo algoritmo è conforme agli standard FIPS (Federal Information Processing Standards). FIPS è uno standard del governo degli Stati Uniti che fornisce un benchmark per l'implementazione di software di crittografia.

  • Funzionalità di amministrazione migliorate. BitLocker può essere gestito su PC o altri dispositivi usando le interfacce seguenti:

    • Creazione guidata BitLocker
    • manage-bde.exe
    • Oggetti Criteri di gruppo
    • Criteri di gestione dei dispositivi mobili (MDM)
    • Windows PowerShell
    • Interfaccia di gestione Windows (WMI)

  • Integrazione con Microsoft Entra ID (Microsoft Entra ID): BitLocker può archiviare le informazioni di ripristino in Microsoft Entra ID per semplificare il ripristino.

  • Protezione delle porte con accesso diretto alla memoria (DMA): usando i criteri MDM per gestire BitLocker, le porte DMA di un dispositivo possono essere bloccate per proteggere il dispositivo durante l'avvio.

  • Sblocco di rete BitLocker : se il computer desktop o server abilitato per BitLocker è connesso a una rete aziendale cablata in un ambiente di dominio, il volume del sistema operativo può essere sbloccato automaticamente durante un riavvio del sistema.

  • Il supporto per i dischi rigidi crittografati - I dischi rigidi crittografati sono una nuova classe di dischi rigidi che si auto-crittografano a livello hardware e consentono la crittografia hardware completa del disco. Assumendo tale carico di lavoro, i dischi rigidi crittografati aumentano le prestazioni di BitLocker e riducono l'utilizzo della CPU e il consumo di energia.

  • Supporto per classi di dischi ibridi HDD/SSD : BitLocker può crittografare un disco che usa un piccolo SSD come cache non volatile davanti all'HDD, ad esempio intel rapid storage technology.

Macchina virtuale Hyper-V di generazione 2: non è possibile accedere al volume dopo la crittografia di BitLocker

Considerare lo scenario descritto di seguito:

  1. BitLocker è attivato su una macchina virtuale (VM) di seconda generazione eseguita in Hyper-V.

  2. I dati verranno aggiunti al disco dati durante la crittografia.

  3. La macchina virtuale viene riavviata e viene osservato il comportamento seguente:

    • Il volume di sistema non è crittografato.

    • Il volume crittografato non è accessibile e il computer elenca il file system del volume come Sconosciuto.

    • Viene visualizzato un messaggio simile al seguente:

      È necessario formattare il disco in <drive_letter:> unità prima di poterlo usare

Causa del mancato accesso al volume dopo la crittografia BitLocker in una macchina virtuale Hyper-V di seconda generazione

Questo problema si verifica perché il driver di filtro di terze parti Stcvsm.sys (da StorageCraft) è installato nella macchina virtuale.

Risoluzione per non poter accedere al volume dopo la crittografia BitLocker in una macchina virtuale Hyper-V di generazione 2

Per risolvere questo problema, rimuovere il software di terze parti.

Gli snapshot di produzione non riescono per i controller di dominio virtualizzati che usano dischi crittografati con BitLocker

Considerare lo scenario descritto di seguito:

Un server Hyper-V di Windows Server 2019 o 2016 ospita macchine virtuali (guest) configurate come controller di dominio Windows. In una macchina virtuale guest del controller di dominio, BitLocker ha crittografato i dischi che archivia il database e i file di log di Active Directory. Quando viene tentato uno "snapshot di produzione" della macchina virtuale guest del controller di dominio, il servizio Volume Snap-Shot (VSS) non elabora correttamente il backup.

Questo problema si verifica indipendentemente dalle variazioni seguenti nell'ambiente:

  • Modalità di sblocco dei volumi del controller di dominio.
  • Indica se le macchine virtuali sono di generazione 1 o 2.
  • Indica se il sistema operativo guest è Windows Server 2019, 2016 o 2012 R2.

Nel log delVisualizzatore eventidell'applicazione del controller > di dominio della macchina virtuale guest, l'origine evento VSS registra l'ID evento 8229:

ID: 8229
Livello: Avviso
Origine: VSS
Messaggio: un writer VSS ha rifiutato un evento con errore 0x800423f4. Il writer ha riscontrato un errore non temporaneo. Se il processo di backup viene ritentato, è probabile che l'errore si ripeta.

Le modifiche apportate dal writer ai componenti del writer durante la gestione dell'evento non saranno disponibili per il richiedente.

Controllare nel registro eventi gli eventi correlati dall'applicazione che ospita il writer VSS.

Operazione:
PostSnapshot, evento

Contesto:
Contesto di esecuzione: Writer
ID classe writer: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Nome writer: NTDS
ID istanza writer: {d170b355-a523-47ba-a5c8-732244f70e75}
Riga di comando: C:\Windows\system32\lsass.exe

ID processo: 680

Nel log del Visualizzatore eventidel servizio directorydel controller> di dominio della macchina virtuale guest è registrato un evento simile all'evento seguente:

Errore Microsoft-Windows-ActiveDirectory_DomainService 1168
Errore interno di elaborazione interna: si è verificato un errore di Servizi di dominio Active Directory.

Dati aggiuntivi
Valore di errore (decimale): -1022

Valore di errore (esadecimale): fffffc02

ID interno: 160207d9

Nota

L'ID interno di questo evento può variare in base alla versione del sistema operativo e al livello di patch.

Quando si verifica questo problema, il writer VSS di Active Directory Domain Services (NTDS) visualizzerà l'errore seguente quando viene eseguito il vssadmin.exe list writers comando:

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

Inoltre, non è possibile eseguire il backup delle macchine virtuali finché non vengono riavviate.

La causa degli snapshot di produzione non riesce per i controller di dominio virtualizzati che usano dischi crittografati con BitLocker

Dopo che VSS ha creato uno snapshot di un volume, il writer VSS esegue azioni "post-snapshot". Quando viene avviato uno "snapshot di produzione" dal server host, Hyper-V tenta di montare il volume snapshot. Tuttavia, non può sbloccare il volume per l'accesso non crittografato. BitLocker nel server Hyper-V non riconosce il volume. Di conseguenza, il tentativo di accesso ha esito negativo e quindi l'operazione di snapshot ha esito negativo.

Si tratta di un comportamento legato alla progettazione del prodotto.

Soluzione alternativa per gli snapshot di produzione non riuscita per i controller di dominio virtualizzati che usano dischi crittografati con BitLocker

Un modo supportato per eseguire il backup e il ripristino di un controller di dominio virtualizzato consiste nell'eseguire Windows Server Backup nel sistema operativo guest.

Se è necessario creare uno snapshot di produzione di un controller di dominio virtualizzato, BitLocker può essere sospeso nel sistema operativo guest prima dell'avvio dello snapshot di produzione. Tuttavia, questo approccio non è consigliato.

Per altre informazioni e raccomandazioni sul backup dei controller di dominio virtualizzati, vedere Virtualizzazione dei controller di dominio con Hyper-V: Considerazioni sul backup e il ripristino per i controller di dominio virtualizzati

Ulteriori informazioni

Quando il writer NTDS VSS richiede l'accesso all'unità crittografata, il servizio LSASS (Local Security Authority Subsystem Service) genera una voce di errore simile all'errore seguente:

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

L'operazione produce lo stack di chiamate seguente:

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]