Déverrouillage réseau
Le déverrouillage réseau est un protecteur de clé BitLocker pour les volumes de système d’exploitation. Le déverrouillage réseau facilite la gestion des ordinateurs de bureau et des serveurs bitlocker dans un environnement de domaine en fournissant un déverrouillage automatique des volumes de système d’exploitation au redémarrage du système lorsqu’ils sont connectés à un réseau d’entreprise câblé. Le déverrouillage réseau nécessite que le matériel client dispose d’un pilote DHCP implémenté dans son microprogramme UEFI. Sans déverrouillage réseau, les volumes de système d’exploitation protégés par TPM+PIN
des protecteurs nécessitent l’entrée d’un code confidentiel lorsqu’un appareil redémarre ou reprend sa mise en veille prolongée (par exemple, par wake on LAN). L’exigence d’un code confidentiel après un redémarrage peut rendre difficile pour les entreprises de déployer des correctifs logiciels sur des bureaux sans assistance et des serveurs administrés à distance.
Le déverrouillage réseau permet aux systèmes bitlocker qui ont un TPM+PIN
et qui répondent à la configuration matérielle requise pour démarrer dans Windows sans intervention de l’utilisateur. Le déverrouillage réseau fonctionne de la même manière que le TPM+StartupKey
au démarrage. Toutefois, au lieu de devoir lire la clé de démarrage à partir d’un support USB, la fonctionnalité de déverrouillage réseau a besoin que la clé soit composée à partir d’une clé stockée dans le module de plateforme sécurisée et d’une clé réseau chiffrée envoyée au serveur, déchiffrée et retournée au client dans une session sécurisée.
Configuration requise
Le déverrouillage réseau doit répondre à la configuration matérielle et logicielle requise pour que la fonctionnalité puisse déverrouiller automatiquement les systèmes joints à un domaine. Ces exigences sont les suivantes :
- Tout système d’exploitation pris en charge avec des pilotes DHCP UEFI pouvant servir de clients de déverrouillage réseau
- Clients de déverrouillage réseau avec une puce TPM et au moins un protecteur TPM
- Un serveur exécutant le rôle Services de déploiement Windows (WDS) sur n’importe quel système d’exploitation serveur pris en charge
- Fonctionnalité facultative de déverrouillage réseau BitLocker installée sur n’importe quel système d’exploitation serveur pris en charge
- Un serveur DHCP, distinct du serveur WDS
- Appairage de clé publique/privée correctement configuré
- Paramètres de stratégie de groupe de déverrouillage réseau configurés
- Pile réseau activée dans le microprogramme UEFI des appareils clients
Important
Pour prendre en charge DHCP dans UEFI, le système basé sur UEFI doit être en mode natif et ne doit pas avoir de module de prise en charge de compatibilité (CSM) activé.
Pour que le déverrouillage réseau fonctionne de manière fiable, la première carte réseau de l’appareil, généralement la carte intégrée, doit être configurée pour prendre en charge DHCP. Cette première carte réseau doit être utilisée pour le déverrouillage réseau. Cette configuration est particulièrement utile lorsque l’appareil a plusieurs adaptateurs et que certaines cartes sont configurées sans DHCP, par exemple pour une utilisation avec un protocole de gestion d’éclairage. Cette configuration est nécessaire, car le déverrouillage réseau cesse d’énumérer les cartes lorsqu’il en atteint une avec une défaillance de port DHCP pour une raison quelconque. Par conséquent, si la première carte énumérée ne prend pas en charge DHCP, n’est pas branchée au réseau ou ne parvient pas à signaler la disponibilité du port DHCP pour une raison quelconque, le déverrouillage réseau échoue.
Le composant serveur Déverrouillage réseau est installé sur les versions prises en charge de Windows Server en tant que fonctionnalité Windows qui utilise le Gestionnaire de serveur ou les applets de commande Windows PowerShell. Le nom de la fonctionnalité est BitLocker Network Unlock
dans le Gestionnaire de serveur et BitLocker-NetworkUnlock
dans PowerShell.
Le déverrouillage réseau nécessite les services de déploiement Windows (WDS) dans l’environnement dans lequel la fonctionnalité sera utilisée. La configuration de l’installation WDS n’est pas requise. Toutefois, le service WDS doit être en cours d’exécution sur le serveur.
La clé réseau est stockée sur le lecteur système avec une clé de session AES 256 et chiffrée avec la clé publique RSA 2048 bits du certificat de serveur déverrouiller. La clé réseau est déchiffrée à l’aide d’un fournisseur sur une version prise en charge de Windows Server exécutant WDS et retournée chiffrée avec sa clé de session correspondante.
Séquence de déverrouillage réseau
La séquence de déverrouillage démarre côté client lorsque le gestionnaire de démarrage Windows détecte l’existence du protecteur de déverrouillage réseau. Il utilise le pilote DHCP dans UEFI pour obtenir une adresse IP pour IPv4, puis diffuse une requête DHCP spécifique au fournisseur qui contient la clé réseau et une clé de session pour la réponse, toutes chiffrées par le certificat de déverrouillage réseau du serveur. Le fournisseur de déverrouillage réseau sur le serveur WDS pris en charge reconnaît la requête spécifique au fournisseur, la déchiffre avec la clé privée RSA et retourne la clé réseau chiffrée avec la clé de session via sa propre réponse DHCP propre au fournisseur.
Côté serveur, le rôle serveur WDS a un composant de plug-in facultatif, comme un fournisseur PXE, qui gère les demandes de déverrouillage réseau entrantes. Le fournisseur peut également être configuré avec des restrictions de sous-réseau, ce qui exigerait que l’adresse IP fournie par le client dans la demande de déverrouillage réseau appartienne à un sous-réseau autorisé pour libérer la clé réseau pour le client. Dans les cas où le fournisseur de déverrouillage réseau n’est pas disponible, BitLocker bascule vers le protecteur disponible suivant pour déverrouiller le lecteur. Dans une configuration classique, l’écran de déverrouillage standard TPM+PIN
est présenté pour déverrouiller le lecteur.
La configuration côté serveur pour activer le déverrouillage réseau nécessite également le provisionnement d’une paire de clés publique/privée RSA 2048 bits sous la forme d’un certificat X.509 et la distribution du certificat de clé publique aux clients. Ce certificat est la clé publique qui chiffre la clé réseau intermédiaire (qui est l’un des deux secrets requis pour déverrouiller le lecteur ; l’autre secret est stocké dans le TPM), et il doit être géré et déployé via une stratégie de groupe.
Le processus de déverrouillage réseau suit les phases suivantes :
- Le gestionnaire de démarrage Windows détecte un protecteur de déverrouillage réseau dans la configuration BitLocker
- L’ordinateur client utilise son pilote DHCP dans l’UEFI pour obtenir une adresse IP IPv4 valide
- L’ordinateur client diffuse une requête DHCP spécifique au fournisseur qui contient une clé réseau (clé intermédiaire 256 bits) et une clé de session AES-256 pour la réponse. La clé réseau est chiffrée à l’aide de la clé publique RSA 2048 bits du certificat de déverrouillage réseau du serveur WDS
- Le fournisseur de déverrouillage réseau sur le serveur WDS reconnaît la demande spécifique au fournisseur
- Le fournisseur déchiffre la demande à l’aide de la clé privée RSA de déverrouillage réseau BitLocker du serveur WDS
- Le fournisseur WDS retourne la clé réseau chiffrée avec la clé de session en utilisant sa propre réponse DHCP spécifique au fournisseur à l’ordinateur client. Cette clé est une clé intermédiaire
- La clé intermédiaire retournée est combinée avec une autre clé intermédiaire locale de 256 bits. Cette clé ne peut être déchiffrée que par le module de plateforme sécurisée
- Cette clé combinée est utilisée pour créer une clé AES-256 qui déverrouille le volume
- Windows poursuit la séquence de démarrage
Configurer le déverrouillage réseau
Les étapes suivantes permettent à un administrateur de configurer le déverrouillage réseau dans un domaine Active Directory.
Installer le rôle serveur WDS
La fonctionnalité de déverrouillage réseau BitLocker installe le rôle WDS s’il n’est pas déjà installé. WDS peut être installé séparément, avant l’installation du déverrouillage réseau BitLocker, à l’aide du Gestionnaire de serveur ou de PowerShell. Pour installer le rôle à l’aide du Gestionnaire de serveur, sélectionnez le rôle Services de déploiement Windows dans le Gestionnaire de serveur.
Pour installer le rôle à l’aide de PowerShell, utilisez la commande suivante :
Install-WindowsFeature WDS-Deployment
Le serveur WDS doit être configuré pour pouvoir communiquer avec DHCP (et éventuellement AD DS) et l’ordinateur client. Le serveur WDS peut être configuré à l’aide de l’outil de gestion WDS, wdsmgmt.msc
, qui démarre l’Assistant Configuration des services de déploiement Windows.
Vérifier que le service WDS est en cours d’exécution
Pour vérifier que le service WDS est en cours d’exécution, utilisez la console de gestion des services ou PowerShell. Pour vérifier que le service est en cours d’exécution dans la console de gestion des services, ouvrez la console à l’aide services.msc
de et vérifiez l’état du service Services de déploiement Windows .
Pour vérifier que le service est en cours d’exécution à l’aide de PowerShell, utilisez la commande suivante :
Get-Service WDSServer
Installer la fonctionnalité de déverrouillage réseau
Pour installer la fonctionnalité de déverrouillage réseau, utilisez le Gestionnaire de serveur ou PowerShell. Pour installer la fonctionnalité à l’aide du Gestionnaire de serveur, sélectionnez la fonctionnalité Déverrouillage réseau BitLocker dans la console du Gestionnaire de serveur.
Pour installer la fonctionnalité à l’aide de PowerShell, utilisez la commande suivante :
Install-WindowsFeature BitLocker-NetworkUnlock
Créer le modèle de certificat pour le déverrouillage réseau
Une autorité de certification Active Directory correctement configurée peut utiliser ce modèle de certificat pour créer et émettre des certificats de déverrouillage réseau.
Ouvrir le composant logiciel enfichable Modèle de certificats (
certtmpl.msc
)Recherchez le modèle Utilisateur, cliquez avec le bouton droit sur le nom du modèle et sélectionnez Dupliquer le modèle
Sous l’onglet Compatibilité , remplacez les champs Autorité de certification et Destinataire du certificat par Windows Server 2016 et Windows 10, respectivement. Vérifiez que la boîte de dialogue Afficher les modifications résultantes est sélectionnée
Sélectionnez l’onglet Général du modèle. Le nom complet du modèle et le nom du modèle doivent identifier que le modèle sera utilisé pour le déverrouillage réseau. Décochez la case de l’option Publier le certificat dans Active Directory
Sélectionnez l’onglet Gestion des demandes . Sélectionnez Chiffrement dans le menu déroulant Objectif . Vérifiez que l’option Autoriser l’exportation de la clé privée est sélectionnée
Sélectionnez l’onglet Chiffrement . Définissez Taille de clé minimale sur 2048. Tout fournisseur de chiffrement Microsoft qui prend en charge RSA peut être utilisé pour ce modèle, mais pour des raisons de simplicité et de compatibilité descendante, il est recommandé d’utiliser le fournisseur de stockage de clés logicielles Microsoft
Sélectionnez l’option Les demandes doivent utiliser l’un des fournisseurs suivants et désactivez toutes les options à l’exception du fournisseur de chiffrement sélectionné, par exemple Microsoft Software Key Storage Provider
Sélectionnez l’onglet Nom de l’objet . Sélectionnez Fournir dans la demande. Sélectionnez OK si la boîte de dialogue contextuelle modèles de certificat s’affiche
Sélectionnez l’onglet Conditions d’émission. Sélectionnez à la fois l’approbation du gestionnaire de certificats de l’autorité de certification et les options Valides du certificat existant
Sélectionnez l’onglet Extensions . Sélectionnez Stratégies d’application et choisissez Modifier...
Dans la boîte de dialogue Options d’extension Modifier les stratégies d’application, sélectionnez Authentification client, Système de fichiers de chiffrementet Messagerie sécurisée , puis choisissez Supprimer
Dans la boîte de dialogue Modifier l’extension des stratégies d’application, sélectionnez Ajouter
Dans la boîte de dialogue Ajouter une stratégie d’application , sélectionnez Nouveau. Dans la boîte de dialogue Nouvelle stratégie d’application , entrez les informations suivantes dans l’espace fourni, puis sélectionnez OK pour créer la stratégie d’application Déverrouillage réseau BitLocker :
- Nom :Déverrouillage réseau BitLocker
- Identificateur d’objet :1.3.6.1.4.1.311.67.1.1
Sélectionnez la stratégie d’application BitLocker Network Unlock nouvellement créée, puis sélectionnez OK.
Avec l’onglet Extensions toujours ouvert, sélectionnez la boîte de dialogue Modifier l’extension d’utilisation de la clé . Sélectionnez l’option Autoriser l’échange de clés uniquement avec chiffrement de clé (chiffrement de clé). Sélectionnez l’option Rendre cette extension critique
Sélectionnez l’onglet Sécurité. Vérifiez que le groupe Administrateurs du domaine a reçu l’autorisation Inscrire
Sélectionnez OK pour terminer la configuration du modèle
Pour ajouter le modèle Déverrouillage réseau à l’autorité de certification, ouvrez le composant logiciel enfichable autorité de certification (certsrv.msc
). Cliquez avec le bouton droit sur Modèles de certificat, puis choisissez Nouveau, Modèle de certificat à émettre. Sélectionnez le certificat de déverrouillage réseau BitLocker créé précédemment.
Une fois le modèle déverrouillage réseau ajouté à l’autorité de certification, ce certificat peut être utilisé pour configurer le déverrouillage réseau BitLocker.
Créer le certificat de déverrouillage réseau
Le déverrouillage réseau peut utiliser des certificats importés à partir d’une infrastructure à clé publique (PKI) existante. Il peut également utiliser un certificat auto-signé.
Pour inscrire un certificat auprès d’une autorité de certification existante :
- Sur le serveur WDS, ouvrez le Gestionnaire de certificats à l’aide de
certmgr.msc
- Sous Certificats - Utilisateur actuel, cliquez avec le bouton droit sur Personnel.
- Sélectionner Toutes les tâches>Demander un nouveau certificat
- Lorsque l’Assistant Inscription de certificat s’ouvre, sélectionnez Suivant
- Sélectionner la stratégie d’inscription Active Directory
- Choisissez le modèle de certificat qui a été créé pour le déverrouillage réseau sur le contrôleur de domaine. Sélectionnez ensuite Inscrire.
- Lorsque vous êtes invité à fournir plus d’informations, sélectionnez Nom de l’objet et fournissez une valeur de nom convivial. Le nom convivial doit inclure des informations pour le domaine ou l’unité d’organisation pour le certificat Par exemple : Certificat de déverrouillage réseau BitLocker pour le domaine Contoso
- Créez le certificat. Vérifiez que le certificat s’affiche dans le dossier Personnel
- Exportez le certificat de clé publique pour le déverrouillage réseau :
- Créez un
.cer
fichier en cliquant avec le bouton droit sur le certificat créé précédemment, en sélectionnant Toutes les tâches, puis en sélectionnant Exporter - Sélectionnez Non, ne pas exporter la clé privée
- Sélectionnez X.509 binaire encodé DER et terminez l’exportation du certificat vers un fichier
- Donnez au fichier un nom tel que BitLocker-NetworkUnlock.cer
- Créez un
- Exporter la clé publique avec une clé privée pour le déverrouillage réseau
- Créez un
.pfx
fichier en cliquant avec le bouton droit sur le certificat créé précédemment, en sélectionnant Toutes les tâches, puis en sélectionnant Exporter - Sélectionnez Oui, exporter la clé privée
- Effectuez les étapes de création du
.pfx
fichier
- Créez un
Pour créer un certificat auto-signé, utilisez l’applet de New-SelfSignedCertificate
commande dans Windows PowerShell ou utilisez certreq.exe
. Par exemple :
PowerShell
New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")
certreq.exe
Créez un fichier texte avec une
.inf
extension, par exemple :notepad.exe BitLocker-NetworkUnlock.inf
Ajoutez le contenu suivant au fichier créé précédemment :
[NewRequest] Subject="CN=BitLocker Network Unlock certificate" ProviderType=0 MachineKeySet=True Exportable=true RequestType=Cert KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG" KeyLength=2048 SMIME=FALSE HashAlgorithm=sha512 [Extensions] 1.3.6.1.4.1.311.21.10 = "{text}" _continue_ = "OID=1.3.6.1.4.1.311.67.1.1" 2.5.29.37 = "{text}" _continue_ = "1.3.6.1.4.1.311.67.1.1"
Ouvrez une invite de commandes avec élévation de privilèges et utilisez l’outil
certreq.exe
pour créer un certificat. Utilisez la commande suivante, en spécifiant le chemin d’accès complet au fichier créé précédemment, ainsi que le nom du fichier :certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
Vérifiez que le certificat a été correctement créé par la commande précédente en confirmant que le
.cer
fichier existeLancez la console Certificats - Ordinateur local en exécutant
certlm.msc
Créez un
.pfx
fichier en suivant les étapes ci-dessous dans la console Certificats - Ordinateur local :- Accédez à Certificats - Ordinateur local>Certificats personnels>
- Cliquez avec le bouton droit sur le certificat précédemment importé, sélectionnez Toutes les tâches, puis Exporter
- Suivez l’Assistant pour créer le
.pfx
fichier
Déployer la clé privée et le certificat sur le serveur WDS
Après avoir créé le certificat et la clé, déployez-les dans l’infrastructure pour déverrouiller correctement les systèmes. Pour déployer les certificats :
- Sur le serveur WDS, lancez la console Certificats - Ordinateur local en exécutant
certlm.msc
- Cliquez avec le bouton droit sur l’élément Déverrouillage réseau de chiffrement de lecteur BitLocker sous Certificats (ordinateur local), sélectionnez Toutes les tâches, puis Importer
- Dans la boîte de dialogue Fichier à importer , choisissez le
.pfx
fichier créé précédemment - Entrez le mot de passe utilisé pour créer le
.pfx
et terminez l’Assistant
Configurer les paramètres de stratégie de groupe pour le déverrouillage réseau
Avec le certificat et la clé déployés sur le serveur WDS pour le déverrouillage réseau, la dernière étape consiste à utiliser les paramètres de stratégie de groupe pour déployer le certificat de clé publique sur les ordinateurs souhaités qui utiliseront la clé de déverrouillage réseau. Les paramètres de stratégie de groupe pour BitLocker se trouvent sous Configuration> ordinateurModèles> d’administrationComposants> WindowsChiffrement de lecteur BitLocker à l’aide de l’éditeur de stratégie de groupe local ou de la console de gestion Microsoft.
Les étapes suivantes décrivent comment activer le paramètre de stratégie de groupe requis pour la configuration du déverrouillage réseau.
- Ouvrir la console de gestion des stratégies de groupe (
gpmc.msc
) - Activez la stratégie Exiger une authentification supplémentaire au démarrage, puis sélectionnez Exiger le code pin de démarrage avec TPM ou Autoriser le code pin de démarrage avec le module de plateforme sécurisée
- Activer BitLocker avec les protecteurs TPM+CODE sur tous les ordinateurs joints à un domaine
Les étapes suivantes décrivent comment déployer le paramètre de stratégie de groupe requis :
Copiez le
.cer
fichier créé pour le déverrouillage réseau sur le contrôleur de domaineSur le contrôleur de domaine, ouvrez la console de gestion des stratégies de groupe (
gpmc.msc
)Créer un objet de stratégie de groupe ou modifier un objet existant pour activer le paramètre Autoriser le déverrouillage réseau au démarrage
Déployez le certificat public sur les clients :
Dans la console de gestion des stratégies de groupe, accédez à l’emplacement suivant :
Configuration de l’ordinateur>Manifeste>Paramètres> WindowsParamètres> de sécuritéStratégies de clé> publiqueCertificat de déverrouillage réseau de chiffrement de lecteur BitLocker.
Cliquez avec le bouton droit sur le dossier et sélectionnez Ajouter un certificat de déverrouillage réseau
Suivez les étapes de l’Assistant et importez le
.cer
fichier qui a été copié précédemment
Remarque
Un seul certificat de déverrouillage réseau peut être disponible à la fois. Si un nouveau certificat est nécessaire, supprimez le certificat actuel avant d’en déployer un nouveau. Le certificat de déverrouillage réseau se trouve sous la clé de
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP
Registre sur l’ordinateur client.Redémarrer les clients après le déploiement de la stratégie de groupe
Remarque
Le logiciel de protection réseau (basé sur un certificat) est ajouté uniquement après un redémarrage, avec la stratégie activée et un certificat valide présent dans le magasin FVE_NKP.
Fichiers de configuration de stratégie de sous-réseau sur le serveur WDS (facultatif)
Par défaut, tous les clients disposant du certificat de déverrouillage réseau correct et des protecteurs de déverrouillage réseau valides qui ont un accès câblé à un serveur WDS avec déverrouillage réseau via DHCP sont déverrouillés par le serveur. Un fichier de configuration de stratégie de sous-réseau sur le serveur WDS peut être créé pour limiter le ou les sous-réseaux que les clients de déverrouillage réseau peuvent utiliser pour déverrouiller.
Le fichier de configuration, appelé bde-network-unlock.ini
, doit se trouver dans le même répertoire que la DLL du fournisseur de déverrouillage réseau (%windir%\System32\Nkpprov.dll
) et s’applique aux implémentations DHCP IPv6 et IPv4. Si la stratégie de configuration de sous-réseau est endommagée, le fournisseur échoue et cesse de répondre aux demandes.
Le fichier de configuration de stratégie de sous-réseau doit utiliser une [SUBNETS]
section pour identifier les sous-réseaux spécifiques. Les sous-réseaux nommés peuvent ensuite être utilisés pour spécifier des restrictions dans les sous-sections de certificat. Les sous-réseaux sont définis comme des paires nom-valeur simples, au format INI courant, où chaque sous-réseau a sa propre ligne, avec le nom à gauche du signe égal et le sous-réseau identifié à droite du signe égal en tant qu’adresse ou plage CIDR (Classless Inter-Domain Routing). Le mot ENABLED
clé n’est pas autorisé pour les noms de sous-réseaux.
[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.
Après cette [SUBNETS]
section, il peut y avoir des sections pour chaque certificat de déverrouillage réseau, identifiées par l’empreinte numérique du certificat au format sans espace, qui définissent les clients de sous-réseaux qui peuvent être déverrouillés à partir de ce certificat.
Remarque
Lorsque vous spécifiez l’empreinte numérique du certificat, n’incluez pas d’espaces. Si des espaces sont inclus dans l’empreinte numérique, la configuration du sous-réseau échoue, car l’empreinte numérique n’est pas reconnue comme valide.
Les restrictions de sous-réseau sont définies dans chaque section de certificat en indiquant la liste autorisée des sous-réseaux autorisés. Si des sous-réseaux sont répertoriés dans une section de certificat, seuls ces sous-réseaux sont autorisés pour ce certificat. Si aucun sous-réseau n’est répertorié dans une section de certificat, tous les sous-réseaux sont autorisés pour ce certificat. Si un certificat n’a pas de section dans le fichier de configuration de stratégie de sous-réseau, aucune restriction de sous-réseau n’est appliquée pour le déverrouillage avec ce certificat. Pour que les restrictions s’appliquent à chaque certificat, il doit y avoir une section certificat pour chaque certificat de déverrouillage réseau sur le serveur, et une liste autorisée explicite définie pour chaque section de certificat.
Les listes de sous-réseaux sont créées en plaçant le nom d’un sous-réseau de la [SUBNETS]
section sur sa propre ligne sous l’en-tête de section de certificat. Ensuite, le serveur déverrouille uniquement les clients avec ce certificat sur le ou les sous-réseaux spécifiés comme dans la liste. Pour la résolution des problèmes, un sous-réseau peut être rapidement exclu sans le supprimer de la section en le commentant avec un point-virgule ajouté.
[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3
Pour interdire complètement l’utilisation d’un certificat, ajoutez une DISABLED
ligne à sa liste de sous-réseaux.
Désactiver le déverrouillage réseau
Pour désactiver le serveur de déverrouillage, le fournisseur PXE peut être désinscrit du serveur WDS ou désinstallé complètement. Toutefois, pour empêcher les clients de créer des protecteurs de déverrouillage réseau, le paramètre de stratégie de groupe Autoriser le déverrouillage réseau au démarrage doit être désactivé. Lorsque ce paramètre de stratégie est mis à jour pour être désactivé sur les ordinateurs clients, tout protecteur de clé de déverrouillage réseau sur l’ordinateur est supprimé. Vous pouvez également supprimer la stratégie de certificat de déverrouillage réseau BitLocker sur le contrôleur de domaine pour accomplir la même tâche pour un domaine entier.
Remarque
La suppression du magasin de certificats FVE_NKP qui contient le certificat de déverrouillage réseau et la clé sur le serveur WDS désactive également efficacement la capacité du serveur à répondre aux demandes de déverrouillage pour ce certificat. Toutefois, cela est considéré comme une condition d’erreur et n’est pas une méthode prise en charge ou recommandée pour désactiver le serveur de déverrouillage réseau.
Mettre à jour les certificats de déverrouillage réseau
Pour mettre à jour les certificats utilisés par le déverrouillage réseau, les administrateurs doivent importer ou générer le nouveau certificat pour le serveur, puis mettre à jour le paramètre de stratégie de groupe de certificats déverrouillage réseau sur le contrôleur de domaine.
Remarque
Les serveurs qui ne reçoivent pas le paramètre de stratégie de groupe nécessitent un code confidentiel au démarrage. Dans ce cas, découvrez pourquoi les serveurs ne reçoivent pas l’objet de stratégie de groupe pour mettre à jour le certificat.
Résoudre les problèmes de déverrouillage réseau
La résolution des problèmes de déverrouillage réseau commence par vérifier l’environnement. Souvent, un petit problème de configuration peut être la cause racine de l’échec. Les éléments à vérifier sont les suivants :
Vérifiez que le matériel client est basé sur UEFI et qu’il se trouve sur le microprogramme version 2.3.1 et que le microprogramme UEFI est en mode natif sans qu’un module de prise en charge de compatibilité (CSM) pour le mode BIOS soit activé. La vérification peut être effectuée en vérifiant que le microprogramme n’a pas d’option activée telle que « Mode hérité » ou « Mode de compatibilité » ou que le microprogramme ne semble pas être en mode de type BIOS
Tous les rôles et services requis sont installés et démarrés
Les certificats publics et privés ont été publiés et se trouvent dans les conteneurs de certificats appropriés. La présence du certificat de déverrouillage réseau peut être vérifiée dans la console de gestion Microsoft (MMC.exe) sur le serveur WDS avec les composants logiciels enfichables de certificat pour l’ordinateur local activés. Le certificat client peut être vérifié en vérifiant la clé
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP
de Registre sur l’ordinateur clientLa stratégie de groupe pour le déverrouillage réseau est activée et liée aux domaines appropriés
Vérifiez si la stratégie de groupe atteint correctement les clients. La vérification de la stratégie de groupe peut être effectuée à l’aide des
GPRESULT.exe
utilitaires ouRSOP.msc
Vérifier si les clients ont été redémarrés après l’application de la stratégie
Vérifiez si le protecteur réseau (basé sur un certificat) est répertorié sur le client. La vérification du logiciel de protection peut être effectuée à l’aide des applets de commande manage-bde ou Windows PowerShell. Par exemple, la commande suivante répertorie les logiciels de protection de clés actuellement configurés sur le lecteur C : de l’ordinateur local :
manage-bde.exe -protectors -get C:
Remarque
Utilisez la sortie de avec le journal de
manage-bde.exe
débogage WDS pour déterminer si l’empreinte numérique du certificat appropriée est utilisée pour le déverrouillage réseau.
Rassemblez les fichiers suivants pour résoudre les problèmes de déverrouillage réseau BitLocker.
Journaux des événements Windows. Plus précisément, obtenir les journaux des événements BitLocker et le
Microsoft-Windows-Deployment-Services-Diagnostics-Debug
journalLa journalisation du débogage est désactivée par défaut pour le rôle serveur WDS. Pour récupérer les journaux de débogage WDS, les journaux de débogage WDS doivent d’abord être activés. Utilisez l’une des deux méthodes suivantes pour activer la journalisation du débogage WDS.
Démarrez une invite de commandes avec élévation de privilèges, puis exécutez la commande suivante :
wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
Ouvrez l’Observateur d’événements sur le serveur WDS :
- Dans le voletgauche, accédez à Journaux >des applications et des servicesMicrosoft >Windows>Deployment-Services-Diagnostics>Debug
- Dans le volet droit, sélectionnez Activer le journal.
Fichier de configuration du sous-réseau DHCP (s’il en existe un)
Sortie de l’état BitLocker sur le volume. Rassemblez cette sortie dans un fichier texte à l’aide de
manage-bde.exe -status
. Ou dans Windows PowerShell, utilisezGet-BitLockerVolume
Capture du Moniteur réseau sur le serveur qui héberge le rôle WDS, filtrée par adresse IP du client