Déverrouillage réseau

Le déverrouillage réseau est un protecteur de clé BitLocker pour les volumes de système d’exploitation. Le déverrouillage réseau facilite la gestion des ordinateurs de bureau et des serveurs bitlocker dans un environnement de domaine en fournissant un déverrouillage automatique des volumes de système d’exploitation au redémarrage du système lorsqu’ils sont connectés à un réseau d’entreprise câblé. Le déverrouillage réseau nécessite que le matériel client dispose d’un pilote DHCP implémenté dans son microprogramme UEFI. Sans déverrouillage réseau, les volumes de système d’exploitation protégés par TPM+PIN des protecteurs nécessitent l’entrée d’un code confidentiel lorsqu’un appareil redémarre ou reprend sa mise en veille prolongée (par exemple, par wake on LAN). L’exigence d’un code confidentiel après un redémarrage peut rendre difficile pour les entreprises de déployer des correctifs logiciels sur des bureaux sans assistance et des serveurs administrés à distance.

Le déverrouillage réseau permet aux systèmes bitlocker qui ont un TPM+PIN et qui répondent à la configuration matérielle requise pour démarrer dans Windows sans intervention de l’utilisateur. Le déverrouillage réseau fonctionne de la même manière que le TPM+StartupKey au démarrage. Toutefois, au lieu de devoir lire la clé de démarrage à partir d’un support USB, la fonctionnalité de déverrouillage réseau a besoin que la clé soit composée à partir d’une clé stockée dans le module de plateforme sécurisée et d’une clé réseau chiffrée envoyée au serveur, déchiffrée et retournée au client dans une session sécurisée.

Configuration requise

Le déverrouillage réseau doit répondre à la configuration matérielle et logicielle requise pour que la fonctionnalité puisse déverrouiller automatiquement les systèmes joints à un domaine. Ces exigences sont les suivantes :

  • Tout système d’exploitation pris en charge avec des pilotes DHCP UEFI pouvant servir de clients de déverrouillage réseau
  • Clients de déverrouillage réseau avec une puce TPM et au moins un protecteur TPM
  • Un serveur exécutant le rôle Services de déploiement Windows (WDS) sur n’importe quel système d’exploitation serveur pris en charge
  • Fonctionnalité facultative de déverrouillage réseau BitLocker installée sur n’importe quel système d’exploitation serveur pris en charge
  • Un serveur DHCP, distinct du serveur WDS
  • Appairage de clé publique/privée correctement configuré
  • Paramètres de stratégie de groupe de déverrouillage réseau configurés
  • Pile réseau activée dans le microprogramme UEFI des appareils clients

Important

Pour prendre en charge DHCP dans UEFI, le système basé sur UEFI doit être en mode natif et ne doit pas avoir de module de prise en charge de compatibilité (CSM) activé.

Pour que le déverrouillage réseau fonctionne de manière fiable, la première carte réseau de l’appareil, généralement la carte intégrée, doit être configurée pour prendre en charge DHCP. Cette première carte réseau doit être utilisée pour le déverrouillage réseau. Cette configuration est particulièrement utile lorsque l’appareil a plusieurs adaptateurs et que certaines cartes sont configurées sans DHCP, par exemple pour une utilisation avec un protocole de gestion d’éclairage. Cette configuration est nécessaire, car le déverrouillage réseau cesse d’énumérer les cartes lorsqu’il en atteint une avec une défaillance de port DHCP pour une raison quelconque. Par conséquent, si la première carte énumérée ne prend pas en charge DHCP, n’est pas branchée au réseau ou ne parvient pas à signaler la disponibilité du port DHCP pour une raison quelconque, le déverrouillage réseau échoue.

Le composant serveur Déverrouillage réseau est installé sur les versions prises en charge de Windows Server en tant que fonctionnalité Windows qui utilise des applets de commande Gestionnaire de serveur ou Windows PowerShell. Le nom de la fonctionnalité est BitLocker Network Unlock dans Gestionnaire de serveur et BitLocker-NetworkUnlock dans PowerShell.

Le déverrouillage réseau nécessite les services de déploiement Windows (WDS) dans l’environnement dans lequel la fonctionnalité sera utilisée. La configuration de l’installation WDS n’est pas requise. Toutefois, le service WDS doit être en cours d’exécution sur le serveur.

La clé réseau est stockée sur le lecteur système avec une clé de session AES 256 et chiffrée avec la clé publique RSA 2048 bits du certificat de serveur déverrouiller. La clé réseau est déchiffrée à l’aide d’un fournisseur sur une version prise en charge de Windows Server exécutant WDS et retournée chiffrée avec sa clé de session correspondante.

Séquence de déverrouillage réseau

La séquence de déverrouillage démarre côté client lorsque le gestionnaire de démarrage Windows détecte l’existence du protecteur de déverrouillage réseau. Il utilise le pilote DHCP dans UEFI pour obtenir une adresse IP pour IPv4, puis diffuse une requête DHCP spécifique au fournisseur qui contient la clé réseau et une clé de session pour la réponse, toutes chiffrées par le certificat de déverrouillage réseau du serveur. Le fournisseur de déverrouillage réseau sur le serveur WDS pris en charge reconnaît la requête spécifique au fournisseur, la déchiffre avec la clé privée RSA et retourne la clé réseau chiffrée avec la clé de session via sa propre réponse DHCP propre au fournisseur.

Côté serveur, le rôle serveur WDS a un composant de plug-in facultatif, comme un fournisseur PXE, qui gère les demandes de déverrouillage réseau entrantes. Le fournisseur peut également être configuré avec des restrictions de sous-réseau, ce qui exigerait que l’adresse IP fournie par le client dans la demande de déverrouillage réseau appartienne à un sous-réseau autorisé pour libérer la clé réseau pour le client. Dans les cas où le fournisseur de déverrouillage réseau n’est pas disponible, BitLocker bascule vers le protecteur disponible suivant pour déverrouiller le lecteur. Dans une configuration classique, l’écran de déverrouillage standard TPM+PIN est présenté pour déverrouiller le lecteur.

La configuration côté serveur pour activer le déverrouillage réseau nécessite également le provisionnement d’une paire de clés publique/privée RSA 2048 bits sous la forme d’un certificat X.509 et la distribution du certificat de clé publique aux clients. Ce certificat est la clé publique qui chiffre la clé réseau intermédiaire (qui est l’un des deux secrets requis pour déverrouiller le lecteur ; l’autre secret est stocké dans le module de plateforme sécurisée) et doit être géré et déployé via stratégie de groupe.

Le processus de déverrouillage réseau suit les phases suivantes :

  1. Le gestionnaire de démarrage Windows détecte un protecteur de déverrouillage réseau dans la configuration BitLocker
  2. L’ordinateur client utilise son pilote DHCP dans l’UEFI pour obtenir une adresse IP IPv4 valide
  3. L’ordinateur client diffuse une requête DHCP spécifique au fournisseur qui contient une clé réseau (clé intermédiaire 256 bits) et une clé de session AES-256 pour la réponse. La clé réseau est chiffrée à l’aide de la clé publique RSA 2048 bits du certificat de déverrouillage réseau du serveur WDS
  4. Le fournisseur de déverrouillage réseau sur le serveur WDS reconnaît la demande spécifique au fournisseur
  5. Le fournisseur déchiffre la demande à l’aide de la clé privée RSA de déverrouillage réseau BitLocker du serveur WDS
  6. Le fournisseur WDS retourne la clé réseau chiffrée avec la clé de session en utilisant sa propre réponse DHCP spécifique au fournisseur à l’ordinateur client. Cette clé est une clé intermédiaire
  7. La clé intermédiaire retournée est combinée avec une autre clé intermédiaire locale de 256 bits. Cette clé ne peut être déchiffrée que par le module de plateforme sécurisée
  8. Cette clé combinée est utilisée pour créer une clé AES-256 qui déverrouille le volume
  9. Windows poursuit la séquence de démarrage

Diagramme de la séquence de déverrouillage réseau.

Configurer le déverrouillage réseau

Les étapes suivantes permettent à un administrateur de configurer le déverrouillage réseau dans un domaine Active Directory.

Installer le rôle serveur WDS

La fonctionnalité de déverrouillage réseau BitLocker installe le rôle WDS s’il n’est pas déjà installé. WDS peut être installé séparément, avant l’installation du déverrouillage réseau BitLocker, à l’aide de Gestionnaire de serveur ou de PowerShell. Pour installer le rôle à l’aide de Gestionnaire de serveur, sélectionnez le rôle Services de déploiement Windows dans Gestionnaire de serveur.

Pour installer le rôle à l’aide de PowerShell, utilisez la commande suivante :

Install-WindowsFeature WDS-Deployment

Le serveur WDS doit être configuré pour pouvoir communiquer avec DHCP (et éventuellement AD DS) et l’ordinateur client. Le serveur WDS peut être configuré à l’aide de l’outil de gestion WDS, wdsmgmt.msc, qui démarre l’Assistant Configuration des services de déploiement Windows.

Vérifier que le service WDS est en cours d’exécution

Pour vérifier que le service WDS est en cours d’exécution, utilisez la console de gestion des services ou PowerShell. Pour vérifier que le service s’exécute dans la console de gestion des services, ouvrez la console à l’aide services.msc de et case activée le status du service Services de déploiement Windows.

Pour vérifier que le service est en cours d’exécution à l’aide de PowerShell, utilisez la commande suivante :

Get-Service WDSServer

Installer la fonctionnalité de déverrouillage réseau

Pour installer la fonctionnalité de déverrouillage réseau, utilisez Gestionnaire de serveur ou PowerShell. Pour installer la fonctionnalité à l’aide de Gestionnaire de serveur, sélectionnez la fonctionnalité Déverrouillage réseau BitLocker dans la console Gestionnaire de serveur.

Pour installer la fonctionnalité à l’aide de PowerShell, utilisez la commande suivante :

Install-WindowsFeature BitLocker-NetworkUnlock

Créer le modèle de certificat pour le déverrouillage réseau

Une autorité de certification Active Directory correctement configurée peut utiliser ce modèle de certificat pour créer et émettre des certificats de déverrouillage réseau.

  1. Ouvrir le composant logiciel enfichable Modèle de certificats (certtmpl.msc)

  2. Recherchez le modèle Utilisateur, cliquez avec le bouton droit sur le nom du modèle et sélectionnez Dupliquer le modèle

  3. Sous l’onglet Compatibilité, remplacez les champs Autorité de certification et Destinataire du certificat par Windows Server 2016 et Windows 10, respectivement. Vérifiez que la boîte de dialogue Afficher les modifications résultantes est sélectionnée

  4. Sélectionnez l’onglet Général du modèle. Le nom complet du modèle et le nom du modèle doivent identifier que le modèle sera utilisé pour le déverrouillage réseau. Décochez la case case activée de l’option Publier le certificat dans Active Directory

  5. Sélectionnez l’onglet Gestion des demandes . Sélectionnez Chiffrement dans le menu déroulant Objectif . Vérifiez que l’option Autoriser l’exportation de la clé privée est sélectionnée

  6. Sélectionnez l’onglet Chiffrement . Définissez Taille de clé minimale sur 2048. Tout fournisseur de chiffrement Microsoft qui prend en charge RSA peut être utilisé pour ce modèle, mais pour des raisons de simplicité et de compatibilité descendante, il est recommandé d’utiliser le fournisseur de stockage de clés logicielles Microsoft

  7. Sélectionnez l’option Les demandes doivent utiliser l’un des fournisseurs suivants et désactivez toutes les options à l’exception du fournisseur de chiffrement sélectionné, par exemple Microsoft Software Key Storage Provider

  8. Sélectionnez l’onglet Nom de l’objet . Sélectionnez Fournir dans la demande. Sélectionnez OK si la boîte de dialogue contextuelle modèles de certificat s’affiche

  9. Sélectionnez l’onglet Conditions d’émission. Sélectionnez à la fois l’approbation du gestionnaire de certificats de l’autorité de certification et les options Valides du certificat existant

  10. Sélectionnez l’onglet Extensions . Sélectionnez Stratégies d’application et choisissez Modifier...

  11. Dans la boîte de dialogue Options d’extension Modifier les stratégies d’application, sélectionnez Authentification client, Système de fichiers de chiffrement et Sécuriser Email, puis choisissez Supprimer

  12. Dans la boîte de dialogue Modifier l’extension des stratégies d’application, sélectionnez Ajouter

  13. Dans la boîte de dialogue Ajouter une stratégie d’application , sélectionnez Nouveau. Dans la boîte de dialogue Nouvelle stratégie d’application , entrez les informations suivantes dans l’espace fourni, puis sélectionnez OK pour créer la stratégie d’application Déverrouillage réseau BitLocker :

    • Nom :Déverrouillage réseau BitLocker
    • Identificateur d’objet :1.3.6.1.4.1.311.67.1.1

  14. Sélectionnez la stratégie d’application BitLocker Network Unlock nouvellement créée, puis sélectionnez OK.

  15. Avec l’onglet Extensions toujours ouvert, sélectionnez la boîte de dialogue Modifier l’extension d’utilisation de la clé . Sélectionnez l’option Autoriser l’échange de clés uniquement avec chiffrement de clé (chiffrement de clé). Sélectionnez l’option Rendre cette extension critique

  16. Sélectionnez l’onglet Sécurité. Vérifiez que le groupe Administrateurs du domaine a reçu l’autorisation Inscrire

  17. Sélectionnez OK pour terminer la configuration du modèle

Pour ajouter le modèle Déverrouillage réseau à l’autorité de certification, ouvrez le composant logiciel enfichable autorité de certification (certsrv.msc). Cliquez avec le bouton droit sur Modèles de certificat, puis choisissez Nouveau, Modèle de certificat à émettre. Sélectionnez le certificat de déverrouillage réseau BitLocker créé précédemment.

Une fois le modèle déverrouillage réseau ajouté à l’autorité de certification, ce certificat peut être utilisé pour configurer le déverrouillage réseau BitLocker.

Créer le certificat de déverrouillage réseau

Le déverrouillage réseau peut utiliser des certificats importés à partir d’une infrastructure à clé publique (PKI) existante. Il peut également utiliser un certificat auto-signé.

Pour inscrire un certificat auprès d’une autorité de certification existante :

  1. Sur le serveur WDS, ouvrez le Gestionnaire de certificats à l’aide de certmgr.msc
  2. Sous Certificats - Utilisateur actuel, cliquez avec le bouton droit sur Personnel.
  3. Sélectionner Toutes les tâches>Demander un nouveau certificat
  4. Lorsque l’Assistant Inscription de certificat s’ouvre, sélectionnez Suivant
  5. Sélectionner la stratégie d’inscription Active Directory
  6. Choisissez le modèle de certificat qui a été créé pour le déverrouillage réseau sur le contrôleur de domaine. Sélectionnez ensuite Inscrire.
  7. Lorsque vous êtes invité à fournir plus d’informations, sélectionnez Nom de l’objet et fournissez une valeur de nom convivial. Le nom convivial doit inclure des informations pour le domaine ou l’unité d’organisation pour le certificat Par exemple : Certificat de déverrouillage réseau BitLocker pour le domaine Contoso
  8. Créez le certificat. Vérifiez que le certificat s’affiche dans le dossier Personnel
  9. Exportez le certificat de clé publique pour le déverrouillage réseau :
    1. Créez un .cer fichier en cliquant avec le bouton droit sur le certificat créé précédemment, en sélectionnant Toutes les tâches, puis en sélectionnant Exporter
    2. Sélectionnez Non, ne pas exporter la clé privée
    3. Sélectionnez X.509 binaire encodé DER et terminez l’exportation du certificat vers un fichier
    4. Donnez au fichier un nom tel que BitLocker-NetworkUnlock.cer
  10. Exporter la clé publique avec une clé privée pour le déverrouillage réseau
    1. Créez un .pfx fichier en cliquant avec le bouton droit sur le certificat créé précédemment, en sélectionnant Toutes les tâches, puis en sélectionnant Exporter
    2. Sélectionnez Oui, exporter la clé privée
    3. Effectuez les étapes de création du .pfx fichier

Pour créer un certificat auto-signé, utilisez l’applet de New-SelfSignedCertificate commande dans Windows PowerShell ou utilisez certreq.exe. Exemple :

PowerShell

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe

  1. Créez un fichier texte avec une .inf extension, par exemple :

    notepad.exe BitLocker-NetworkUnlock.inf

  2. Ajoutez le contenu suivant au fichier créé précédemment :

    [NewRequest]
Subject="CN=BitLocker Network Unlock certificate"
ProviderType=0
MachineKeySet=True
Exportable=true
RequestType=Cert
KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
KeyLength=2048
SMIME=FALSE
HashAlgorithm=sha512
[Extensions]
1.3.6.1.4.1.311.21.10 = "{text}"
_continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
2.5.29.37 = "{text}"
_continue_ = "1.3.6.1.4.1.311.67.1.1"

  3. Ouvrez une invite de commandes avec élévation de privilèges et utilisez l’outil certreq.exe pour créer un certificat. Utilisez la commande suivante, en spécifiant le chemin d’accès complet au fichier créé précédemment, ainsi que le nom du fichier :

    certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer

  4. Vérifiez que le certificat a été correctement créé par la commande précédente en confirmant que le .cer fichier existe

  5. Lancez la console Certificats - Ordinateur local en exécutant certlm.msc

  6. Créez un .pfx fichier en suivant les étapes ci-dessous dans la console Certificats - Ordinateur local :

    1. Accédez à Certificats - Ordinateur local>Certificats personnels>
    2. Cliquez avec le bouton droit sur le certificat précédemment importé, sélectionnez Toutes les tâches, puis Exporter
    3. Suivez l’Assistant pour créer le .pfx fichier

Déployer la clé privée et le certificat sur le serveur WDS

Après avoir créé le certificat et la clé, déployez-les dans l’infrastructure pour déverrouiller correctement les systèmes. Pour déployer les certificats :

  1. Sur le serveur WDS, lancez la console Certificats - Ordinateur local en exécutant certlm.msc
  2. Cliquez avec le bouton droit sur l’élément Déverrouillage réseau de chiffrement de lecteur BitLocker sous Certificats (ordinateur local), sélectionnez Toutes les tâches, puis Importer
  3. Dans la boîte de dialogue Fichier à importer , choisissez le .pfx fichier créé précédemment
  4. Entrez le mot de passe utilisé pour créer le .pfx et terminez l’Assistant

Configurer les paramètres de stratégie de groupe pour le déverrouillage réseau

Avec le certificat et la clé déployés sur le serveur WDS pour le déverrouillage réseau, la dernière étape consiste à utiliser les paramètres de stratégie de groupe pour déployer le certificat de clé publique sur les ordinateurs souhaités qui utiliseront la clé de déverrouillage réseau. Les paramètres de stratégie de groupe pour BitLocker se trouvent sous Configuration> ordinateurModèles> d’administrationComposants> WindowsChiffrement de lecteur BitLocker à l’aide de la stratégie de groupe Rédacteur locale ou de la console de gestion Microsoft.

Les étapes suivantes décrivent comment activer le paramètre de stratégie de groupe requis pour la configuration du déverrouillage réseau.

  1. Ouvrir la console de gestion stratégie de groupe (gpmc.msc)
  2. Activez la stratégie Exiger une authentification supplémentaire au démarrage, puis sélectionnez Exiger le code pin de démarrage avec TPM ou Autoriser le code pin de démarrage avec le module de plateforme sécurisée
  3. Activer BitLocker avec les protecteurs TPM+CODE sur tous les ordinateurs joints à un domaine

Les étapes suivantes décrivent comment déployer le paramètre de stratégie de groupe requis :

  1. Copiez le .cer fichier créé pour le déverrouillage réseau sur le contrôleur de domaine

  2. Sur le contrôleur de domaine, ouvrez stratégie de groupe Console de gestion (gpmc.msc)

  3. Créer un objet stratégie de groupe ou modifier un objet existant pour activer le paramètre Autoriser le déverrouillage réseau au démarrage

  4. Déployez le certificat public sur les clients :

    1. Dans les console de gestion de stratégie de groupe, accédez à l’emplacement suivant :

      Configuration de l’ordinateur>Politiques>Paramètres> WindowsParamètres> de sécuritéStratégies de clé> publiqueCertificat de déverrouillage réseau de chiffrement de lecteur BitLocker.

    2. Cliquez avec le bouton droit sur le dossier et sélectionnez Ajouter un certificat de déverrouillage réseau

    3. Suivez les étapes de l’Assistant et importez le .cer fichier qui a été copié précédemment

    Remarque

    Un seul certificat de déverrouillage réseau peut être disponible à la fois. Si un nouveau certificat est nécessaire, supprimez le certificat actuel avant d’en déployer un nouveau. Le certificat de déverrouillage réseau se trouve sous la clé de HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP Registre sur l’ordinateur client.

  5. Redémarrez les clients après le déploiement du stratégie de groupe

    Remarque

    Le logiciel de protection réseau (basé sur un certificat) est ajouté uniquement après un redémarrage, avec la stratégie activée et un certificat valide présent dans le magasin FVE_NKP.

Fichiers de configuration de stratégie de sous-réseau sur le serveur WDS (facultatif)

Par défaut, tous les clients disposant du certificat de déverrouillage réseau correct et des protecteurs de déverrouillage réseau valides qui ont un accès câblé à un serveur WDS avec déverrouillage réseau via DHCP sont déverrouillés par le serveur. Un fichier de configuration de stratégie de sous-réseau sur le serveur WDS peut être créé pour limiter le ou les sous-réseaux que les clients de déverrouillage réseau peuvent utiliser pour déverrouiller.

Le fichier de configuration, appelé bde-network-unlock.ini, doit se trouver dans le même répertoire que la DLL du fournisseur de déverrouillage réseau (%windir%\System32\Nkpprov.dll) et s’applique aux implémentations DHCP IPv6 et IPv4. Si la stratégie de configuration de sous-réseau est endommagée, le fournisseur échoue et cesse de répondre aux demandes.

Le fichier de configuration de stratégie de sous-réseau doit utiliser une [SUBNETS] section pour identifier les sous-réseaux spécifiques. Les sous-réseaux nommés peuvent ensuite être utilisés pour spécifier des restrictions dans les sous-sections de certificat. Les sous-réseaux sont définis comme des paires nom-valeur simples, au format INI courant, où chaque sous-réseau a sa propre ligne, avec le nom à gauche du signe égal et le sous-réseau identifié à droite du signe égal en tant qu’adresse ou plage CIDR (Classless Inter-Domain Routing). Le mot ENABLED clé n’est pas autorisé pour les noms de sous-réseaux.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

Après cette [SUBNETS] section, il peut y avoir des sections pour chaque certificat de déverrouillage réseau, identifiées par l’empreinte numérique du certificat au format sans espace, qui définissent les clients de sous-réseaux qui peuvent être déverrouillés à partir de ce certificat.

Remarque

Lorsque vous spécifiez l’empreinte numérique du certificat, n’incluez pas d’espaces. Si des espaces sont inclus dans l’empreinte numérique, la configuration du sous-réseau échoue, car l’empreinte numérique n’est pas reconnue comme valide.

Les restrictions de sous-réseau sont définies dans chaque section de certificat en indiquant la liste autorisée des sous-réseaux autorisés. Si des sous-réseaux sont répertoriés dans une section de certificat, seuls ces sous-réseaux sont autorisés pour ce certificat. Si aucun sous-réseau n’est répertorié dans une section de certificat, tous les sous-réseaux sont autorisés pour ce certificat. Si un certificat n’a pas de section dans le fichier de configuration de stratégie de sous-réseau, aucune restriction de sous-réseau n’est appliquée pour le déverrouillage avec ce certificat. Pour que les restrictions s’appliquent à chaque certificat, il doit y avoir une section certificat pour chaque certificat de déverrouillage réseau sur le serveur, et une liste autorisée explicite définie pour chaque section de certificat.

Les listes de sous-réseaux sont créées en plaçant le nom d’un sous-réseau de la [SUBNETS] section sur sa propre ligne sous l’en-tête de section de certificat. Ensuite, le serveur déverrouille uniquement les clients avec ce certificat sur le ou les sous-réseaux spécifiés comme dans la liste. Pour la résolution des problèmes, un sous-réseau peut être rapidement exclu sans le supprimer de la section en le commentant avec un point-virgule ajouté.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Pour interdire complètement l’utilisation d’un certificat, ajoutez une DISABLED ligne à sa liste de sous-réseaux.

Désactiver le déverrouillage réseau

Pour désactiver le serveur de déverrouillage, le fournisseur PXE peut être désinscrit du serveur WDS ou désinstallé complètement. Toutefois, pour empêcher les clients de créer des protecteurs de déverrouillage réseau, le paramètre de stratégie de groupe Autoriser le déverrouillage réseau au démarrage doit être désactivé. Lorsque ce paramètre de stratégie est mis à jour pour être désactivé sur les ordinateurs clients, tout protecteur de clé de déverrouillage réseau sur l’ordinateur est supprimé. Vous pouvez également supprimer la stratégie de certificat de déverrouillage réseau BitLocker sur le contrôleur de domaine pour accomplir la même tâche pour un domaine entier.

Remarque

La suppression du magasin de certificats FVE_NKP qui contient le certificat de déverrouillage réseau et la clé sur le serveur WDS désactive également efficacement la capacité du serveur à répondre aux demandes de déverrouillage pour ce certificat. Toutefois, cela est considéré comme une condition d’erreur et n’est pas une méthode prise en charge ou recommandée pour désactiver le serveur de déverrouillage réseau.

Mettre à jour les certificats de déverrouillage réseau

Pour mettre à jour les certificats utilisés par le déverrouillage réseau, les administrateurs doivent importer ou générer le nouveau certificat pour le serveur, puis mettre à jour le paramètre de stratégie de groupe de certificats déverrouillage réseau sur le contrôleur de domaine.

Remarque

Les serveurs qui ne reçoivent pas le paramètre de stratégie de groupe nécessitent un code confidentiel au démarrage. Dans ce cas, découvrez pourquoi les serveurs ne reçoivent pas l’objet de stratégie de groupe pour mettre à jour le certificat.

Résoudre les problèmes de déverrouillage réseau

La résolution des problèmes de déverrouillage réseau commence par vérifier l’environnement. Souvent, un petit problème de configuration peut être la cause racine de l’échec. Les éléments à vérifier sont les suivants :

  • Vérifiez que le matériel client est basé sur UEFI et qu’il se trouve sur le microprogramme version 2.3.1 et que le microprogramme UEFI est en mode natif sans qu’un module de prise en charge de compatibilité (CSM) pour le mode BIOS soit activé. La vérification peut être effectuée en vérifiant que le microprogramme n’a pas d’option activée telle que « Mode hérité » ou « Mode de compatibilité » ou que le microprogramme ne semble pas être en mode de type BIOS

  • Tous les rôles et services requis sont installés et démarrés

  • Les certificats publics et privés ont été publiés et se trouvent dans les conteneurs de certificats appropriés. La présence du certificat de déverrouillage réseau peut être vérifiée dans la console de gestion Microsoft (MMC.exe) sur le serveur WDS avec les composants logiciels enfichables de certificat pour l’ordinateur local activés. Le certificat client peut être vérifié en vérifiant la clé HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP de Registre sur l’ordinateur client

  • La stratégie de groupe pour le déverrouillage réseau est activée et liée aux domaines appropriés

  • Vérifiez si la stratégie de groupe atteint correctement les clients. La vérification de la stratégie de groupe peut être effectuée à l’aide des GPRESULT.exe utilitaires ou RSOP.msc

  • Vérifier si les clients ont été redémarrés après l’application de la stratégie

  • Vérifiez si le protecteur réseau (basé sur un certificat) est répertorié sur le client. La vérification du logiciel de protection peut être effectuée à l’aide d’applets de commande manage-bde ou Windows PowerShell. Par exemple, la commande suivante répertorie les logiciels de protection de clés actuellement configurés sur le lecteur C : de l’ordinateur local :

    manage-bde.exe -protectors -get C:

    Remarque

    Utilisez la sortie de avec le journal de manage-bde.exe débogage WDS pour déterminer si l’empreinte numérique du certificat appropriée est utilisée pour le déverrouillage réseau.

Rassemblez les fichiers suivants pour résoudre les problèmes de déverrouillage réseau BitLocker.

  • Journaux des événements Windows. Plus précisément, obtenir les journaux des événements BitLocker et le Microsoft-Windows-Deployment-Services-Diagnostics-Debug journal

    La journalisation du débogage est désactivée par défaut pour le rôle serveur WDS. Pour récupérer les journaux de débogage WDS, les journaux de débogage WDS doivent d’abord être activés. Utilisez l’une des deux méthodes suivantes pour activer la journalisation du débogage WDS.

    • Démarrez une invite de commandes avec élévation de privilèges, puis exécutez la commande suivante :

      wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true

    • Ouvrez observateur d'événements sur le serveur WDS :

      1. Dans le voletgauche, accédez à Journaux >des applications et des servicesMicrosoft >Windows>Deployment-Services-Diagnostics>Debug
      2. Dans le volet droit, sélectionnez Activer le journal.

  • Fichier de configuration du sous-réseau DHCP (s’il en existe un)

  • Sortie du status BitLocker sur le volume. Rassemblez cette sortie dans un fichier texte à l’aide de manage-bde.exe -status. Ou dans Windows PowerShell, utilisezGet-BitLockerVolume

  • Capture du Moniteur réseau sur le serveur qui héberge le rôle WDS, filtrée par adresse IP du client