BitLocker: Come abilitare lo sblocco di rete
Questo argomento, destinato ai professionisti IT, descrive il funzionamento di Sblocco di rete via BitLocker e come configurarlo.
Lo sblocco di rete è stato introdotto in Windows 8 e Windows Server 2012 come opzione di protezione BitLocker per i volumi del sistema operativo. Lo sblocco di rete permette una gestione semplificata per desktop e server con BitLocker abilitato in un ambiente di dominio attraverso il blocco automatico dei volumi del sistema operativo al riavvio del sistema, se i computer sono connessi a una rete aziendale cablata. Per questa funzionalità è necessario che nel firmware UEFI dell'hardware dei client sia stato implementato un driver DHCP.
Senza lo sblocco di rete, i volumi del sistema operativo protetti con protezione TPM+PIN richiedono l'immissione di un PIN quando un computer viene riavviato o viene ripreso dall'ibernazione, ad esempio tramite la riattivazione LAN. Questo può complicare l'implementazione di patch software in desktop che eseguono programmi senza l'intervento dell'utente e server amministrati in remoto nelle organizzazioni.
Lo sblocco di rete permette l'avvio in Windows senza l'intervento dell'utente di sistemi con BitLocker abilitato con protezione TPM+PIN e che soddisfano i requisiti standard. Lo sblocco di rete funziona in modo simile alla protezione con TPM+chiave di avvio all'avvio. Invece di dover leggere la chiave di avvio da supporti USB, tuttavia, la chiave per lo sblocco di rete è costituita da una chiave archiviata nel TPM e da una chiave di rete crittografata che viene inviata al server, decrittografata e restituita al client in una sessione sicura.
Questo argomento contiene le sezioni seguenti:
Requisiti di base per lo sblocco di rete
Sequenza dello sblocco di rete
Configurare lo sblocco di rete
Creare il modello di certificato per lo sblocco di rete
Disattivazione dello sblocco di rete
Aggiornare i certificati di sblocco di rete
Risolvere i problemi di sblocco di rete
Configurare lo sblocco di rete in sistemi non supportati
Requisiti di base per lo sblocco di rete
Lo sblocco di rete deve soddisfare alcuni requisiti hardware e software obbligatori prima che la funzionalità possa automaticamente sbloccare sistemi che fanno parte di un dominio. Ecco i requisiti:
Devi eseguire almeno Windows 8 o Windows Server 2012.
Qualsiasi sistema operativo supportato con driver DHCP per UEFI può essere un client di sblocco di rete.
Server che esegue il ruolo Servizi di distribuzione Windows su qualsiasi sistema operativo supportato.
Funzionalità facoltativa Sblocco di rete via BitLocker installata su qualsiasi sistema operativo supportato.
Server DHCP, separato dal server Servizi di distribuzione Windows.
Coppia di chiavi pubblica/privata configurata nel modo appropriato.
Impostazioni di Criteri di gruppo configurate per lo sblocco di rete.
Lo stack di rete deve essere abilitato per l'uso della funzionalità di sblocco di rete. Poiché i produttori di dispositivi offrono i propri prodotti con menu del BIOS e stati diversi, devi verificare che lo stack di rete sia stato abilitato nel BIOS prima di avviare il computer.
Nota
Per supportare correttamente DHCP in UEFI, il sistema basato su UEFI deve essere in modalità nativa senza un modulo CSM (Compatibility Support Module) abilitato.
Perché lo sblocco di rete funzioni in modo affidabile nei computer con Windows 8 e versioni successive, la prima scheda di rete nel computer, in genere la scheda onboard, deve essere configurata per supportare DHCP e usata per lo sblocco di rete. Questo aspetto è particolarmente importante quando hai più schede e vuoi configurarne una senza DHCP, ad esempio per un protocollo LOM (Lights-out Management). Questa configurazione è necessaria perché lo sblocco di rete interromperà l'enumerazione delle schede quando ne raggiunge una con un errore di porta DHCP per qualsiasi motivo. Di conseguenza, se la prima scheda enumerata non supporta DHCP, non viene collegata alla rete o non riesce a segnalare la disponibilità della porta per qualsiasi motivo, lo sblocco di rete non riesce.
Il componente server di sblocco di rete può essere installato sulle versioni supportate di Windows Server 2012 e successive come funzionalità di Windows tramite Server Manager o i cmdlet di Windows PowerShell. Il nome della funzionalità è Sblocco di rete via BitLocker in Server Manager e BitLocker-NetworkUnlock in Windows PowerShell. Questa funzionalità è un requisito di base.
Lo sblocco di rete richiede Servizi di distribuzione Windows nell'ambiente in cui verrà usata questa funzionalità. La configurazione dell'installazione di Servizi di distribuzione Windows non è obbligatoria, ma Servizi di distribuzione Windows deve essere in esecuzione nel server.
La chiave di rete viene archiviata nell'unità di sistema insieme a una chiave della sessione AES-256 e crittografata con la chiave pubblica RSA a 2048 bit del certificato del server di sblocco. La chiave di rete viene decrittografata con l'aiuto di un provider in una versione supportata di Windows Server che esegue Servizi di distribuzione Windows e restituita come crittografata con la chiave della sessione corrispondente.
Sequenza dello sblocco di rete
La sequenza di sblocco viene avviata sul lato client, quando Windows Boot Manager rileva la presenza di una protezione con sblocco di rete. La sequenza usa il driver DHCP in UEFI per ottenere un indirizzo IP per IPv4 e quindi trasmette una richiesta DHCP specifica del fornitore che contiene la chiave di rete e una chiave della sessione per la risposta, tutto crittografato dal certificato di sblocco di rete del server, come descritto sopra. Il provider di sblocco di rete nel server Servizi di distribuzione Windows supportato riconosce la richiesta specifica del fornitore, la decrittografa con la chiave privata RSA e restituisce la chiave di rete crittografata con la chiave della sessione tramite la propria risposta DHCP specifica del fornitore.
Sul lato server, il ruolo del server Servizi di distribuzione Windows ha un componente plug-in facoltativo, ad esempio un provider PXE, che gestisce le richieste di sblocco di rete in ingresso. Il provider può anche essere configurato con restrizioni correlate alle subnet, in base alle quali l'indirizzo IP fornito dal client nella richiesta di sblocco di rete deve appartenere a una subnet consentita perché sia possibile rilasciare la chiave di rete al client. In casi in cui il provider di sblocco di rete non è disponibile, BitLocker esegue il failover alla successiva protezione disponibile per sbloccare l'unità. In una configurazione tipica questo significa che viene visualizzata la schermata di sblocco con TPM+PIN standard per sbloccare l'unità.
La configurazione sul lato server per abilitare lo sblocco di rete richiede anche il provisioning di una coppia di chiavi pubblica/privata RSA a 2048 bit sotto forma di certificato X.509 e, per la chiave pubblica, la distribuzione del certificato ai client. Questo certificato deve essere gestito e distribuito tramite Editor Criteri di gruppo direttamente in un controller di dominio con almeno un livello di funzionalità dominio Windows Server 2012. Questo certificato è la chiave pubblica che crittografa la chiave di rete intermedia, che è uno dei due segreti necessari per sbloccare l'unità (l'altro segreto è archiviato nel TPM).
.png "Sequenza di Sblocco di rete via BitLocker")
Fasi del processo di sblocco di rete
Windows Boot Manager rileva la presenza di una protezione con sblocco di rete nella configurazione di BitLocker.
Il computer client usa il proprio driver DHCP in UEFI per ottenere un indirizzo IP IPv4 valido.
Il computer client trasmette una richiesta DHCP specifica del fornitore che contiene la chiave di rete (chiave intermedia a 256 bit) e una chiave della sessione AES-256 per la risposta. Entrambe le chiavi vengono crittografate usando la chiave pubblica RSA a 2048 bit del certificato di sblocco di rete dal server Servizi di distribuzione Windows.
Il provider di sblocco di rete nel server Servizi di distribuzione Windows riconosce la richiesta specifica del fornitore.
Il provider decrittografa la richiesta con la chiave privata RSA del certificato di Sblocco di rete via BitLocker del server Servizi di distribuzione Windows.
Il provider Servizi di distribuzione Windows restituisce quindi la chiave di rete crittografata con la chiave della sessione usando la propria risposta DHCP specifica del fornitore al computer client. Questa costituisce una chiave intermedia.
La chiave intermedia restituita viene quindi combinata con un'altra chiave intermedia locale a 256 bit che può essere decrittografata solo dal TPM.
Questa chiave combinata viene usata per creare una chiave AES-256 che sblocca il volume.
Windows continua la sequenza di avvio.
Configurare lo sblocco di rete
I passaggi seguenti permettono a un amministratore di configurare lo sblocco di rete in un dominio in cui il livello di funzionalità dominio è almeno Windows Server 2012.
Passaggio 1: Installare il ruolo del server Servizi di distribuzione Windows
La funzionalità Sblocco di rete via BitLocker installa il ruolo Servizi di distribuzione Windows se non è già installato. Se vuoi installarlo separatamente prima di installare Sblocco di rete via BitLocker, puoi usare Server Manager o Windows PowerShell. Per installare il ruolo con Server Manager, seleziona il ruolo Servizi di distribuzione Windows in Server Manager.
Per installare il ruolo con Windows PowerShell, usa il comando seguente:
Install-WindowsFeature WDS-Deployment
Devi configurare il server Servizi di distribuzione Windows in modo che possa comunicare con DHCP (e facoltativamente con Servizi di dominio Active Directory) e il computer client. A questo scopo, puoi usare lo strumento di gestione di Servizi di distribuzione Windows, wdsmgmt.msc, che avvia la Configurazione guidata Servizi di distribuzione Windows.
Passaggio 2: Verificare che il server Servizi di distribuzione Windows sia in esecuzione
Per verificare che Servizi di distribuzione Windows sia in esecuzione, usa la console di gestione Servizi o Windows PowerShell. Per verificare che il servizio sia in esecuzione nella console di gestione Servizi, apri la console usando services.msc e controlla lo stato di Servizi di distribuzione Windows.
Per verificare che il servizio sia in esecuzione usando Windows PowerShell, usa il comando seguente:
Get-Service WDSServer
Passaggio 3: Installare la funzionalità di sblocco di rete
Per installare la funzionalità di sblocco di rete, usa Server Manager o Windows PowerShell. Per installare la funzionalità con Server Manager, seleziona la funzionalità Sblocco di rete via BitLocker nella console di Server Manager.
Per installare la funzionalità con Windows PowerShell, usa il comando seguente:
Install-WindowsFeature BitLocker-NetworkUnlock
Passaggio 4: Creare il certificato di sblocco di rete
Lo sblocco di rete può usare certificati importati da un'infrastruttura PKI. In alternativa, puoi usare un certificato autofirmato.
Ecco come registrare un certificato di un'Autorità di certificazione (CA) esistente:
Apri Gestione certificati nel server Servizi di distribuzione Windows usando certmgr.msc
In Certificati - Utente corrente, fai clic con il pulsante destro del mouse su Personale
Seleziona Tutte le attività e quindi Richiedi nuovo certificato
Seleziona Avanti quando viene avviata la procedura guidata Registrazione certificato
Seleziona Criteri di registrazione Active Directory
Scegli il modello di certificato creato per lo sblocco di rete nel controller di dominio e seleziona Registra. Quando ti vengono chieste altre informazioni, aggiungi l'attributo seguente al certificato:
- Seleziona il riquadro Nome soggetto e specifica un nome descrittivo. È consigliabile che questo nome descrittivo includa informazioni per il dominio o l'unità organizzativa per il certificato. Ad esempio, "Certificato di Sblocco di rete via BitLocker per il dominio Contoso".
Crea il certificato. Assicurati che il certificato sia visualizzato nella cartella Personale.
Esporta il certificato di chiave pubblica per lo sblocco di rete
Crea un file CER facendo clic con il pulsante destro del mouse sul certificato creato in precedenza, scegliendo Tutte le attività e quindi Esporta.
Seleziona No, non esportare la chiave privata.
Seleziona Binario codificato DER X.509 e completa l'esportazione del certificato in un file.
Assegna al file un nome come BitLocker-NetworkUnlock.cer.
Esporta la chiave pubblica con una chiave privata per lo sblocco di rete
Crea un file PFX facendo clic con il pulsante destro del mouse sul certificato creato in precedenza, scegliendo Tutte le attività e quindi Esporta.
Seleziona Sì, esporta la chiave privata.
Completa la procedura guidata per creare il file PFX.
Ecco come creare un certificato autofirmato:
Crea un file di testo con estensione inf. Ad esempio, notepad.exe BitLocker-NetworkUnlock.inf
Aggiungi i contenuti seguenti al file creato in precedenza:
[NewRequest] Subject="CN=BitLocker Network Unlock certificate" Exportable=true RequestType=Cert KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyLength=2048 [Extensions] 1.3.6.1.4.1.311.21.10 = "{text}" _continue_ = "OID=1.3.6.1.4.1.311.67.1.1" 2.5.29.37 = "{text}" _continue_ = "1.3.6.1.4.1.311.67.1.1"Apri un prompt dei comandi con privilegi elevati e usa lo strumento certreq per creare un nuovo certificato usando il comando seguente e specificando il percorso completo del file creato, insieme al nome file:
certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cerControlla che il comando precedente abbia creato correttamente il certificato verificando la presenza del file CER
Avvia Gestione certificati eseguendo certmgr.msc
Crea un file PFX aprendo il percorso Certificati - Utente corrente\Personale\Certificati nel riquadro di spostamento, facendo clic con il pulsante destro del mouse sul certificato importato in precedenza, scegliendo Tutte le attività e quindi Esporta. Completa la procedura guidata per creare il file PFX.
Passaggio 5: Distribuire la chiave privata e il certificato nel server Servizi di distribuzione Windows
Dopo aver creato il certificato e la chiave, distribuiscili nell'infrastruttura per sbloccare correttamente i sistemi. Ecco come distribuire i certificati:
Nel server Servizi di distribuzione Windows apri una nuova console MMC e aggiungi lo snap-in certificati. Seleziona l'account computer e il computer locale quando vengono visualizzate le opzioni corrispondenti.
Fai clic con il pulsante destro del mouse su Certificati (computer locale) - Sblocco rete con Crittografia unità BitLocker, scegli Tutte le attività e quindi Importa
Nella finestra di dialogo File da importare scegli il file PFX creato in precedenza.
Immetti la password usata per creare il file PFX e completa la procedura guidata.
Passaggio 6: Configurare impostazioni di Criteri di gruppo per lo sblocco di rete
Una volta distribuiti il certificato e la chiave nel server Servizi di distribuzione Windows per lo sblocco di rete, il passaggio finale consiste nell'usare impostazioni di Criteri di gruppo per distribuire il certificato di chiave pubblica nei computer che vuoi poter sbloccare con la chiave di sblocco di rete. Le impostazioni di Criteri di gruppo per BitLocker sono disponibili in Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker usando Editor Criteri di gruppo o Microsoft Management Console.
I passaggi seguenti descrivono come abilitare l'impostazione di Criteri di gruppo che costituisce un requisito per la configurazione dello sblocco di rete.
Apri Console Gestione Criteri di gruppo (gpmc.msc)
Abilita il criterio Richiedi autenticazione aggiuntiva all'avvio e seleziona l'opzione Richiedi PIN di avvio con il TPM
Attiva BitLocker con la protezione TPM+PIN in tutti i computer aggiunti al dominio
I passaggi seguenti descrivono come distribuire l'impostazione di Criteri di gruppo obbligatoria:
Nota
Le impostazioni di Criteri di gruppo Consenti sblocco rete all'avvio e Aggiungi certificato di sblocco rete sono state introdotte in Windows Server 2012.
Copia il file CER creato per lo sblocco di rete nel controller di dominio
Nel controller di dominio avvia Console Gestione Criteri di gruppo (gpmc.msc)
Crea un nuovo oggetto Criteri di gruppo o modificane uno esistente per abilitare l'impostazione Consenti sblocco rete all'avvio.
Distribuisci il certificato pubblico nei client
In Console Gestione Criteri di gruppo passa a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri chiave pubblica\Certificato di sblocco rete per Crittografia unità BitLocker.
Fai clic con il pulsante destro del mouse sulla cartella e scegli Aggiungi certificato di sblocco rete
Segui i passaggi della procedura guidata e importa il file CER copiato in precedenza.
Nota
Può essere disponibile un solo certificato di sblocco di rete per volta. Se è necessario un nuovo certificato, elimina quello corrente prima di distribuirne uno nuovo. Il certificato di sblocco di rete si trova nella chiave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP nel computer client.
Passaggio 7: Richiedere protezioni TPM+PIN all'avvio
Un passaggio aggiuntivo per le grandi imprese consiste nell'usare protezioni TPM+PIN per implementare un livello aggiuntivo di sicurezza. Ecco come richiedere protezioni TPM+PIN in un ambiente:
Apri Console Gestione Criteri di gruppo (gpmc.msc)
Abilita il criterio Richiedi autenticazione aggiuntiva all'avvio e seleziona l'opzione Richiedi PIN di avvio con il TPM
Attiva BitLocker con la protezione TPM+PIN in tutti i computer aggiunti al dominio
Creare il modello di certificato per lo sblocco di rete
I passaggi seguenti descrivono in modo dettagliato come creare un modello di certificato da usare con Sblocco di rete via BitLocker. Un'Autorità di certificazione di servizi Active Directory configurata correttamente può usare questo certificato per creare e rilasciare certificati di sblocco di rete.
Apri lo snap-in Modelli di certificato (certtmpl.msc).
Individua il modello utente. Fai clic con il pulsante destro del mouse sul nome del modello e quindi scegli Duplica modello
Nella scheda Compatibilità modifica i campi Autorità di certificazione e Destinatario certificato rispettivamente in Windows Server 2012 e Windows 8. Assicurati che la finestra di dialogo Mostra modifiche risultanti sia selezionata.
Seleziona la scheda Generale del modello. Le opzioni Nome visualizzato modello e Nome modello dovrebbero specificare chiaramente che il modello verrà usato per lo sblocco di rete. Deseleziona la casella di controllo per l'opzione Pubblica certificato in Active Directory.
Seleziona la scheda Gestione richiesta. Scegli Crittografia dal menu a discesa Scopo. Assicurati che l'opzione Rendi la chiave privata esportabile sia selezionata.
Seleziona la scheda Crittografia. Imposta Dimensioni minime chiave su 2048. Qualsiasi provider del servizio di crittografia Microsoft che supporta RSA può essere usato per questo modello, ma per semplicità e compatibilità con le versioni successive ti consigliamo di usare il provider di archiviazione chiavi del software Microsoft.
Seleziona l'opzione Le richieste devono utilizzare uno dei provider seguenti e deseleziona tutte le opzioni eccetto il provider di crittografia che hai selezionato, ad esempio il provider di archiviazione chiavi del software Microsoft.
Seleziona la scheda Nome soggetto. Seleziona Inserisci nella richiesta Seleziona OK se viene visualizzata la finestra di dialogo popup Modelli di certificato.
Seleziona la scheda Requisiti di rilascio. Seleziona le opzioni Approvazione gestore certificati CA e Certificato valido disponibile.
Seleziona la scheda Estensioni. Seleziona Criteri di applicazione e quindi scegli Modifica.
Nella finestra di dialogo delle opzioni Modifica estensione criteri di applicazione seleziona Autenticazione client, Encrypting File System e Posta elettronica sicura e quindi scegli Rimuovi.
Nella finestra di dialogo Modifica estensione criteri di applicazione seleziona Aggiungi.
Nella finestra di dialogo Aggiunta criterio di applicazione seleziona Nuovo. Nella finestra di dialogo Nuovo criterio di applicazione immetti le informazioni seguenti nello spazio disponibile e quindi fai clic su OK per creare il criterio di applicazione per Sblocco di rete via BitLocker:
Nome:Sblocco di rete via BitLocker
Identificatore oggetto: 1.3.6.1.4.1.311.67.1.1
Seleziona il nuovo criterio di applicazione Sblocco di rete via BitLocker creato e quindi OK
Con la scheda Estensioni ancora aperta, seleziona la finestra di dialogo Modifica estensione utilizzo chiave e quindi l'opzione Consenti scambio chiave soltanto con crittografia (crittografia chiave). Seleziona l'opzione Rendi questa estensione critica.
Seleziona la scheda Sicurezza. Verifica che al gruppo Domain Admins sia stata concessa l'autorizzazione Registra
Seleziona OK per completare la configurazione del modello.
Per aggiungere il modello di sblocco di rete all'Autorità di certificazione, apri lo snap-in Autorità di certificazione (certsrv.msc). Fai clic con il pulsante destro del mouse sulla voce Modelli di certificato e scegli Nuovo, Modello di certificato da rilasciare. Seleziona il certificato di Sblocco di rete via BitLocker creato in precedenza.
Dopo aver aggiunto il modello di sblocco di rete all'Autorità di certificazione, questo certificato può essere usato per configurare Sblocco di rete via BitLocker.
File di configurazione dei criteri per le subnet nel server Servizi di distribuzione Windows (facoltativo)
Per impostazione predefinita, tutti i client con il certificato di sblocco di rete corretto e con protezioni con sblocco di rete valide che hanno accesso a un server Servizi di distribuzione Windows abilitato per lo sblocco di rete tramite DHCP vengono sbloccati dal server. È possibile creare un file di configurazione dei criteri per le subnet nel server Servizi di distribuzione Windows per limitare le subnet che possono essere usate dai client di sblocco di rete per lo sblocco.
Il file di configurazione, chiamato bde-network-unlock.ini, deve essere salvato nella stessa directory della DLL del provider di sblocco di rete e si applica a implementazioni DHCP sia IPv6 sia IPv4 . Se i criteri di configurazione delle subnet vengono danneggiati, il provider restituirà un errore e smetterà di rispondere alle richieste.
Il file di configurazione dei criteri per le subnet devono usare una sezione "[SUBNETS]" per identificare le subnet specifiche. Le subnet nominate possono quindi essere usate per specificare restrizioni nelle sottosezioni relative al certificato. Le subnet vengono definite come semplici coppie nome-valore, in formato INI comune, in cui ogni subnet ha la propria riga, con il nome a sinistra del segno di uguale e la subnet identificata a destra del segno di uguale come indirizzo o intervallo Classless Inter-Domain Routing (CIDR). La parola chiave "ENABLED" non è consentita per i nomi di subnet.
[SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.
La sezione [SUBNETS] può essere seguita da sezioni per ogni certificato di sblocco di rete, indicate dall'identificazione personale certificato formattata senza spazi, che definiscono le subnet da cui i client possono essere sbloccati con il certificato.
Nota
Quando specifichi un'identificazione personale certificato, non includere spazi. Se l'identificazione personale certificato contiene spazi, la configurazione delle subnet non riesce perché l'identificazione personale non viene riconosciuta come valida.
Le restrizioni per le subnet vengono definite all'interno di ogni sezione relativa al certificato denotando l'elenco delle subnet consentite. Se in una sezione relativa al certificato è elencata una subnet, solo tale subnet è consentita per il certificato. Se in una sezione relativa al certificato non è elencata alcuna subnet, tutte le subnet sono consentite per il certificato. Se un certificato non ha una sezione nel file di configurazione dei criteri per le subnet, non viene applicata alcuna restrizione relativa alle subnet per lo sblocco con il certificato. Questo significa che perché le restrizioni si applichino a ogni certificato, devono essere presenti una sezione per ogni certificato di sblocco di rete nel server e un elenco esplicito delle subnet consentite impostato per ogni sezione.
Gli elenchi di subnet vengono creati inserendo il nome di una subnet dalla sezione [SUBNETS] nella riga corrispondente sotto l'intestazione della sezione relativa al certificato. Quindi, il server sbloccherà solo i client con questo certificato nella o nelle subnet specificate come nell'elenco. Per la risoluzione dei problemi, una subnet può essere rapidamente esclusa senza eliminarla dalla sezione semplicemente impostandola come commento aggiungendovi un punto e virgola all'inizio.
[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3
Per impedire del tutto l'uso di un certificato, L'elenco di subnet corrispondente deve contenere la riga "DISABLED".
Disattivazione dello sblocco di rete
Per disattivare il server di sblocco, è possibile annullare la registrazione del provider PXE dal server Servizi di distribuzione Windows o disinstallare il provider PXE completamente. Tuttavia, perché i client interrompano la creazione di protezioni con sblocco di rete, l'impostazione di Criteri di gruppo Consenti sblocco rete all'avvio deve essere disabilitata. Quando questa impostazione dei criteri viene aggiornata per essere disabilitata nei computer client, qualsiasi protezione con sblocco di rete nel computer viene eliminata. In alternativa, i criteri dei certificati di Sblocco di rete via BitLocker possono essere eliminati nel controller di dominio per eseguire la stessa attività per l'intero dominio.
Nota
La rimozione dell'archivio certificati FVENKP che contiene il certificato di sblocco di rete nel server Servizi di distribuzione Windows disabiliterà in modo efficiente anche la capacità del server di rispondere a richieste di sblocco per questo certificato. Tuttavia, questo comportamento viene considerato una condizione di errore e non è un metodo supportato o consigliato per disattivare il server di sblocco di rete.
Aggiornare i certificati di sblocco di rete
Per aggiornare i certificati usati dallo sblocco di rete, gli amministratori devono importare o generare il nuovo certificato per il server e quindi aggiornare l'impostazione di Criteri di gruppo per il certificato di sblocco di rete nel controller di dominio.
Risolvere i problemi di sblocco di rete
la risoluzione dei problemi di sblocco di rete inizia dalla verifica dell'ambiente. Spesso un piccolo problema di configurazione è la causa principale di un errore. Verifiche da eseguire:
Verifica che l'hardware client sia basato su UEFI con versione del firmware 2.3.1 e che il firmware UEFI sia in modalità nativa senza un modulo CSM (Compatibility Support Module) per la modalità del BIOS abilitato. A questo scopo, controlla che nel firmware non sia abilitata un'opzione simile a "Modalità legacy" o "Modalità di compatibilità" o che il firmware non indichi di essere in una modalità BIOS.
Tutti i ruoli e i servizi necessari sono installati e avviati
I certificati pubblici e privati sono stati pubblicati e si trovano nei contenitori di certificati appropriati. La presenza del certificato di sblocco di rete può essere verificata in Microsoft Management Console (MMC.exe) nel server Servizi di distribuzione Windows con gli snap-in certificati abilitati per il computer locale. Il certificato client può essere verificato controllando la voce HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP del Registro di sistema nel computer client.
Criteri di gruppo per lo sblocco di rete è abilitato e collegato ai domini appropriati
Verifica che Criteri di gruppo raggiunga i client nel modo appropriato. A questo scopo, puoi usare l'utilità GPRESULT.exe o RSOP.msc.
Verifica che la protezione Network (Certificate Based) sia elencata nel client. A questo scopo, puoi usare manage-bde o i cmdlet di Windows PowerShell. Ad esempio, il comando seguente elenca le protezioni con chiave configurate nell'unità C del computer locale:
Manage-bde –protectors –get C:
Nota
Usa l'output di manage-bde insieme al log di debug di Servizi di distribuzione Windows per determinare se per lo sblocco di rete viene usata l'identificazione personale certificato appropriata
File da raccogliere durante la risoluzione dei problemi di Sblocco di rete via BitLocker:
Registri eventi di Windows In particolare, i registri eventi di BitLocker e il log Microsoft-Windows-Deployment-Services-Diagnostics-Debug
Poiché la registrazione di debug è disattivata per impostazione predefinita per il ruolo del server Servizi di distribuzione Windows, prima di tutto devi abilitarla. A questo scopo, puoi usare uno dei due metodi seguenti.
Avvia un prompt dei comandi con privilegi elevati ed esegui il comando seguente:
wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:trueApri il Visualizzatore eventi nel server Servizi di distribuzione Windows.
Nel riquadro sinistro fai clic su Registri applicazioni e servizi, Microsoft, su Windows, Deployment-Services-Diagnostics e quindi su Debug.
Nel riquadro destro fai clic su Attiva registro.
File di configurazione delle subnet DHCP (se presente).
Output dello stato di BitLocker nel volume, che può essere raccolto in un file di testo usando manage-bde -status o Get-BitLockerVolume in Windows PowerShell
Acquisizione di Network Monitor nel server che ospita il ruolo Servizi di distribuzione Windows, filtrata in base all'indirizzo IP del client
Configurare le impostazioni di Criteri di gruppo per lo sblocco di rete nelle versioni precedenti
Lo sblocco di rete e le impostazioni di Criteri di gruppo correlate sono stati introdotti in Windows Server 2012, ma possono essere distribuiti usando i sistemi operativi Windows Server 2008 R2 e Windows Server 2008.
Requisiti
Il server che ospita Servizi di distribuzione Windows deve eseguire uno dei sistemi operativi server indicati nell'elenco Si applica a all'inizio di questo argomento.
I computer client devono eseguire uno dei sistemi operativi client indicati nell'elenco Si applica a all'inizio di questo argomento.
Puoi usare i passaggi seguenti per configurare lo sblocco di rete in questi sistemi meno recenti.
Passaggio 1: Installare il ruolo del server Servizi di distribuzione Windows
Passaggio 2: Verificare che il server Servizi di distribuzione Windows sia in esecuzione
Passaggio 3: Installare la funzionalità di sblocco di rete
Passaggio 4: Creare il certificato di sblocco di rete
Passaggio 5: Distribuire la chiave privata e il certificato nel server Servizi di distribuzione Windows
Passaggio 6: Configurare impostazioni del Registro di sistema per lo sblocco di rete
Applica le impostazioni del Registro di sistema eseguendo lo script certutil seguente in ogni computer che esegue uno dei sistemi operativi client indicati nell'elenco Si applica a all'inizio di questo argomento.
certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /fCreare il certificato di sblocco di rete
Distribuire la chiave privata e il certificato nel server Servizi di distribuzione Windows
Creare il modello di certificato per lo sblocco di rete
Richiedere protezioni TPM+PIN all'avvio