Problem z włączeniem Bitlocker'a, błąd 0x80072f9a

Problem z włączeniem Bitlocker’a, błąd 0x80072f9a

przez
Print Friendly, PDF & Email

Bitlocker, narzędzie (podobno niezawodne) do szyfrowania dysków, zapisywania kluczy w Active Directory lub do pliku czasami również sprawia problemy. Ważne, aby działał moduł TPM, jeżeli go nie będzie można to włączyć, ale nie da się zarządzać globalnie, jedynie lokalnie. Nie inaczej będzie w tym wpisie, w którym chcę pokazać w jaki sposób „odblokować” mówiąc oględnie niedokończone szyfrowanie dysku. Skrypt, który miał teoretycznie włączyć Bitlockera po przeniesieniu konta komputera do odpowiedniej OU w Active Directory nie zadziałał poprawnie. Objawiało się to brakiem możliwości ustawienia dodatkowego PIN’u przy starcie komputera lub informacją, że Bitlocker nie został jednak uruchomiony. Próba włączenia Bitlockera ręcznie poprzez wyszukanie opcji: Szyfrowanie dysków funkcją Bitlocker’a, skończyła się błędem braku uprawnień dla konta użytkownika (konto domenowe) lub informacją Niewłaściwy Json.

Rozwiązanie błędu 0x80072f9a Bitlocker

Podejścia do rozwiązania takiego problemu zależą od komputera. Skupię się na laptopach Dell oraz Lenovo, u mnie takie rozwiązanie zadziałało zarówno w jednym i jak drugim przypadku. Poniższe rozwiązania można zastosować zamiennei, gdyby rozwiązanie dla Dell’a czy Lenovo nie zadziałało.

Dell 5340

  1. Należy usunąć wszystkie hasła w ustawieniach BIOS: Administratora, dysku etc.
  2. W zalogowaniu się na konto użytkownika domeny, należy uruchomić cmd z uprawnieniami Administratora i sprawdzić przy pomocy sfc /scannow, czy na dysku występują ewentualne problemy.
  3. Następnie, pozostając w cmd należy wykonać ponową rejestrację Bitlocker’a: mofcomp.exe c:\windows\system32\wbem\win32_encryptablevolume.mof. Wynik musi być oczywiście pozytywny.
  4. Jeżeli wszystko przebiegło poprawnie dla pewności należy wyłączyć poprzednie, uszkodzone szyfrowanie: manage-bde -off C: (gdzie C: to litera dysku).
  5. Proces ten może zająć od kilka do kilkudziesiętu minut w zależności od typu oraz wielkości dysku. W tym czasie najlepiej nie próbować niczego robić na komputerze. Warto uruchomić Menedżer zadań, aby podejrzeć obciążenie dysku, w przypadku SSD będzie to około 80%, gdy deszyfrowanie się zakończy, obciążenie powinno spaść do 2-3%.
  6. Następnie możliwe będzie uruchomienie właściwego szyfrowania już ręcznie. W tym celu należy użyć: manage-bde -on C: (gdzie C: to litera dysku). Lub przy użyciu Szyfrowanie dysków funkcją Bitlocker’a, szyfrowanie całego dysku lub tylko części zajętej przez dane.
  7. Po zakończeniu tego procesu z poziomu Szyfrowanie dysków funkcją Bitlocker’a, będzie możliwe ustawienie dodatkowego PIN’u, którym należy wpisywać przy każdym uruchomieniu komputera, min. 6 tylko i wyłącznie cyfr.

Lenovo T480

W przypadku Lenovo problemem prawie zawsze jest TPM. Kilkukrotnie dochodziło do uszkodzenia wpisu z poświadczeniami, który w najlepszym przypdaku kończył się czyszczenie TPM’a z poziomu BIOS’u, w najgorszym do przywrórcenia ustawień fabrycznych.

  1. Należy usunąć wszystkie hasła w ustawieniach BIOS: Administratora, dysku etc.
  2. Wyczyścić Secure chip, z zapisanych haseł w TPM z poziomu BIOS’u/systemu Windows.
  3. Zalogować się na konto użytkownika domeny, jeżeli trzeba (problem z logowaniem, loop przy podawaniu hasła użytkownika) wyczyścić z konta Admina: C:\users\<użytkownik_domeny>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy, czyli pozostałości po skasowanej konfiguracji z TPM’a.
  4. Włączyć ręcznie Bitlockera, ustawić PIN. W lupce wystarczy wpisać Szyfrowanie dysków funkcją Bitlocker’a.
  5. Takie włączenie łączy się z AD i robi wpis z odzyskaniem na koncie komputera.

Podsumowanie

Bitlocker’a pomimo wszystko warto wdrożyć w organizacji, jednak nie można się nastawiać na łatwą przeprawę. Zaszyfrowanie dysku pozwoli na podniesienie bezpieczeństwa dla plików, które znajdują się na dysku. Gdyby ktoś chciał zabrać taki komputer do samych danych się nie dostanie, próba sformatowania dysku również zakończy się fiaskiem. Jedyny pożytek to komputer na szczęści, chociaż tych części będzie niewiele.

Print Friendly, PDF & Email

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

Dodaj komentarz

beitadmin.pl - Droga Administratora IT