Bài viết này được liên kết với công cụ Sophos Endpoint Self Help (ESH) và cung cấp các bước khắc phục sự cố khi tiện ích báo cáo sự cố với trạng thái Device Encryption. Bạn có thể sử dụng ESH bằng cách mở Sophos UI > About > Open Endpoint Self Help Tool > Tools > Known Issues.
Các phần được liệt kê bên dưới sẽ cung cấp các thông tin và hướng dẫn về các nơi cần kiểm tra về các sự cố. Bạn nên xem qua từng phần theo thứ tự được đề xuất để khắc phục sự cố Device Encryption.
Hướng dẫn
1. Bitlocker Error.
BitLocker Error hiển thị thông báo sau:
GPO conflict
Nguyên nhân: Cấu hình Group Policy (GPO) (GPO) không cho phép loại Drive Encryption được định cấu hình trong chính sách Central Device Encryption.
Option 1:
Khắc phục: Điều chỉnh chính sách Device Encryption của bạn để phù hợp với những gì được thực thi qua GPO:
+ Truy cập Sophos Central Admin.
+ Trong My Products, chọn Encryption > Policies > chọn chính sách có chứa cài đặt Device Encryption của bạn.
+ Trong Setting bật Encrypt used space only.
+ Click Save để lưu chính sách và kích hoạt làm mới chính sách.
+ Chờ 30 giây, click Refresh trong ESH và kiểm tra thời gian cập nhật.
Option 2: Thay đổi cài đặt GPO tương ứng.
Trong Group Policy Management Console (gpmc.msc) trên domain controller hoặc trong Advanced Group Policy Management theo đường dẫn:
Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drive\Enforce Drive Encryption type on Operating System Drive. Chọn Disabled (hoặc cấu hình giá trị phù hợp với chính sách Device Encryption).
Trên máy local, bạn có thể chạy Local Group Policy Editor (gpedit.msc) để chỉnh sửa.
2. A TPM is needed for encryption.
Nguyên nhân: Không cho phép trình bảo vệ “non TPM” và không hỗ trợ TPM (Trusted Platform Module).
Nếu phần cứng không được trang bị TPM: Thay đổi cài đặt GPO tương ứng.
Trong Group Policy Management Console (gpmc.msc) trên domain controller hoặc trong Advanced Group Policy Management theo đường dẫn:
Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drive\Require additional authentication at startup.
Check chọn “Allow Bitlocker without compatible TPM. Xác nhận rằng không có chế độ khởi động TPM nào được cài đặt chế độ “Required“.
Trên máy local, bạn có thể chạy Local Group Policy Editor (gpedit.msc) để chỉnh sửa.
Nếu phần cứng của bạn được trang bị TPM:
+ Kiểm tra trạng thái TPM
+ Click Start > Run > TPM.msc
+ Nếu TPM Management hiển thị Compatible TPM cannot be found.
+ Trong Win 10, bạn vào Update & security settings > Recovery > Advanced startup > Restart now > Troubleshoot > Advanced Options > UEFI Firmware Settings > Restart.
+ chọn Bật TPM (kiểm tra hướng dẫn sử dụng của nhà cung cấp phần cứng của bạn để biết chi tiết.)
+ Lưu các thay đổi và khởi động lại hệ thống.
3. BitLocker không được hỗ trợ trên phiên bản Windows đã cài đặt.
Nguyên nhân: Không phải tất cả các phiên bản Windows đều cung cấp mã hóa BitLocker (ví dụ: Windows 7 Home Premium). Bạn nên nâng cấp hệ điều hành lên phiên bản Windows hỗ trợ BitLocker.
4. BitLocker is not supported on this system when FIPS mode is enabled.
Nguyên nhân: FIPS complaint khổng thể sử dụng trên hệ điều hành này.
Thay đổi cài đặt GPO tương ứng.
Trong Group Policy Management Console (gpmc.msc) trên domain controller hoặc trong Advanced Group Policy Management theo đường dẫn:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing. Cài đặt là Disabled.
Trên máy local, bạn có thể chạy Local Group Policy Editor (gpedit.msc) để chỉnh sửa.
5. Windows configuration does not support any of the SC-supported login protectors.
Nguyên nhân: Cấu hình GPO được thực thi sử dụng trình bảo vệ không được hỗ trợ bởi Sophos Central Device Encryption. Ví dụ: TPM + USB Key được cài đặt là required.
Kiểm tra cấu hình GPO:
Trong Group Policy Management Console (gpmc.msc) trên domain controller hoặc trong Advanced Group Policy Management theo đường dẫn:
Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drive\Require additional authentication at startup. Cấu hình trong các “Setting for Computer with TPM” là Allowed.
Trên máy local, bạn có thể chạy Local Group Policy Editor (gpedit.msc) để chỉnh sửa.
6. The BitLocker hardware test failed.
+ Đăng xuất hoặc khởi động lại
+ Xác nhận Sophos Device Encryption bằng cách nhấn nút Restart and Encrypt (tùy thuộc vào chính sách được thiết lập và sử dụng hệ điều hành, cần nhập mã PIN, Mật khẩu hoặc đính kèm ổ đĩa flash USB). Xem xét thông tin trong thông báo cảnh báo được hiển thị trong thanh màu vàng của cảnh báo để đảm bảo rằng kiểm tra phần cứng thành công trong lần tiếp theo.
Nguyên nhân phổ biến:
+ Mã PIN không được nhập chính xác.
+ BIOS hoặc firmware UEFI của máy tính chỉ hỗ trợ sử dụng các phím chức năng (F1 – F10) để nhập các chữ số trong môi trường trước khi khởi động.
+ Startup key đã bị xóa trước khi máy tính khởi động lại xong.
+ Có nhiều ổ đĩa flash USB được lắp vào máy tính.
7. The recovery key creation is currently suspended.
Khởi động lại máy.
Nếu sự cố vẫn tiếp diễn, hãy kiểm tra hệ thống để tìm các ứng dụng của bên thứ ba có thể cố gắng quản lý BitLocker và đặt các trình bảo vệ BitLocker (ví dụ: MDOP / MBAM).
8. The TPM pin key creation failed.
Nếu sự cố xảy ra trên các thiết bị như máy tính bảng:
Trong Group Policy Management Console (gpmc.msc) trên domain controller hoặc trong Advanced Group Policy Management theo đường dẫn:
Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System drives\Enable use of BitLocker authentication requiring preboot keyboard input on slates. Cài đặt là Enabled.
Nếu check TPM State, trong ESH, không phải là “TPM is available and ready.
+ Click Start > Run > TPM.msc
+ Click Clear TPM… và làm theo hướng dẫn.