BitLocker: ネットワーク ロック解除を有効にする方法

  • [アーティクル]

IT 担当者向けのこのトピックでは、BitLocker ネットワーク ロック解除のしくみと、その構成方法について説明します。

ネットワーク ロック解除は、オペレーティング システム ボリューム用の BitLocker 保護機能オプションとして、Windows 8 および Windows Server 2012 で導入されました。ネットワーク ロック解除を使用すると、有線企業ネットワークに接続されているときのシステム再起動時にオペレーティング システム ボリュームの自動ロック解除機能が提供されるので、ドメイン環境で BitLocker が有効になっているデスクトップとサーバーを簡単に管理できます。この機能を使用するには、クライアント ハードウェアの UEFI ファームウェアに DHCP ドライバーが実装されている必要があります。

ネットワーク ロック解除を使用していない場合は、コンピューターを再起動したり、休止状態から (たとえば Wake on LAN によって) 再開するときに、TPM+PIN 保護機能によって保護されているオペレーティング システム ボリュームに対して PIN を入力する必要があります。そのため、大規模な企業では無人のデスクトップおよびリモートで管理されているサーバーへのソフトウェア パッチのロールアウトが困難になる可能性があります。

ネットワーク ロック解除を使用すると、TPM+PIN を使用しハードウェア要件を満たしている BitLocker が有効なシステムは、ユーザーの介入なしに Windows を起動できます。ネットワーク ロック解除は、起動時の動作が TPM+StartupKey と似ています。ただし、StartupKey を USB メディアから読み取る必要はありません。ネットワーク ロック解除のキーを構成しているのは、TPM に格納されているキーと、セキュア セッションでサーバーに送信され、暗号化解除されて、クライアントに返送される暗号化されたネットワーク キーです。

このトピックの内容は次のとおりです。

  • ネットワーク ロック解除の主要な要件

  • ネットワーク ロック解除のシーケンス

  • ネットワーク ロック解除の構成

  • ネットワーク ロック解除用の証明書テンプレートの作成

  • ネットワーク ロック解除の無効化

  • ネットワーク ロック解除証明書の更新

  • ネットワーク ロック解除のトラブルシューティング

  • サポートされていないシステムでのネットワーク ロック解除の構成

ネットワーク ロック解除の主要な要件

ネットワーク ロック解除を使用してドメイン参加システムを自動的にロック解除するには、ハードウェアおよびソフトウェアの必須要件が満たされている必要があります。要件は次のとおりです。

  • Windows 8 または Windows Server 2012 以降を搭載している必要があります。

  • UEFI DHCP ドライバーでサポートされている任意のオペレーティング システムが、ネットワーク ロック解除クライアントになることができます。

  • サポートされているサーバー オペレーティング システムで Windows 展開サービス (WDS) の役割を実行するサーバー。

  • サポートされているサーバー オペレーティング システムに BitLocker ネットワーク ロック解除のオプション機能がインストールされていること。

  • WDS サーバーとは別の DHCP サーバー。

  • 適切に構成された公開/秘密キー ペア。

  • ネットワーク ロック解除のグループ ポリシーの設定が構成されていること。

ネットワーク ロック解除機能を使用するには、ネットワーク スタックが有効になっている必要があります。提供時の製品の状態および BIOS メニューは機器の製造元によって異なるので、コンピューターを起動する前に、ネットワーク スタックが BIOS で有効になっていることを確認する必要があります。

  

UEFI 内で DHCP を正しくサポートするには、UEFI ベースのシステムを互換性サポート モジュール (CSM) が有効になっていないネイティブ モードにする必要があります。

Windows 8 以降を搭載しているコンピューターでネットワーク ロック解除を確実に動作させるには、コンピューターの最初のネットワーク アダプター (通常はオンボード アダプター) を、DHCP をサポートするように構成し、ネットワーク ロック解除用に使用する必要があります。これは、複数のアダプターがあり、その中に DHCP をサポートしないものが含まれる場合 (完全自動管理プロトコル用など)、特に注意する必要があります。このような構成が必要であるのは、ネットワーク ロック解除は、何らかの DHCP ポート障害があるアダプターを検出すると、アダプターの列挙を停止するためです。したがって、列挙される最初のアダプターが DHCP をサポートしていない場合、ネットワークに接続されていない場合、何らかの理由で DHCP ポートの可用性を報告しない場合などは、ネットワーク ロック解除は失敗します。

 

ネットワーク ロック解除サーバー コンポーネントは、サーバー マネージャーまたは Windows PowerShell コマンドレットを使用して、Windows Server 2012 以降のサポートされているバージョンに Windows 機能としてインストールします。機能の名前は、サーバー マネージャーでは BitLocker ネットワーク ロック解除であり、Windows PowerShell では BitLocker-NetworkUnlock です。この機能は主要な要件です。

ネットワーク ロック解除機能の利用環境には、Windows 展開サービス (WDS) が必要です。WDS のインストールを構成する必要はありません。ただし、WDS サービスがサーバーで実行している必要があります。

ネットワーク キーは AES 256 セッション キーと共にシステム ドライブに保存され、ロック解除サーバーの証明書の 2048 ビット RSA 公開キーで暗号化されます。ネットワーク キーは、WDS を実行しているサポートされるバージョンの Windows Server のプロバイダーによって暗号化を解除され、対応するセッション キーで暗号化されて返されます。

ネットワーク ロック解除のシーケンス

ロック解除シーケンスは、Windows ブート マネージャーがネットワーク ロック解除保護機能の存在を検出することにより、クライアント側で開始されます。UEFI の DHCP ドライバーを利用して IPv4 の IP アドレスを取得した後、応答用のネットワーク キーとセッション キーを含むベンダー固有の DHCP 要求をブロードキャストします。前述したように、すべてはサーバーのネットワーク ロック解除証明書によって暗号化されています。サポートされている WDS サーバーのネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識して、RSA の秘密キーで暗号化を解除し、セッション キーで暗号化されたネットワーク キーを独自のベンダー固有 DHCP 応答で返します。

サーバー側の WDS サーバーの役割には PXE プロバイダーのようなオプションのプラグイン コンポーネントがあり、着信したネットワーク ロック解除要求を処理します。クライアントにネットワーク キーをリリースするには、ネットワーク ロック解除要求でクライアントが提供する IP アドレスが許可されたサブネットに属している必要があるというサブネット制限を、プロバイダーに構成することもできます。ネットワーク ロック解除プロバイダーが使用できない場合、BitLocker は次の利用可能な保護機能にフェールオーバーしてドライブのロックを解除します。通常の構成では、これは標準的な TPM+PIN のロック解除画面がドライブのロックを解除するために表示されることを意味します。

ネットワーク ロック解除を有効にするためのサーバー側の構成では、2048 ビットの RSA 公開/秘密キー ペアを X.509 証明書の形式でプロビジョニングし、公開キー証明書をクライアントに配布する必要もあります。この証明書は、少なくともドメイン機能レベルの Windows Server 2012 のドメイン コントローラーで直接グループ ポリシー エディターを使って管理および展開する必要があります。この証明書は、中間ネットワーク キー (これはドライブのロックを解除するために必要な 2 つのシークレットのうちの 1 つで、もう 1 つのシークレットは TPM に格納されています) を暗号化する公開キーです。

BitLocker ネットワーク ロック解除シーケンス

ネットワーク ロック解除プロセスのフェーズ

  1. Windows ブート マネージャーは、BitLocker の構成にネットワーク ロック解除保護機能が存在することを検出します。

  2. クライアント コンピューターは、UEFI の DHCP ドライバーを使用して有効な IPv4 IP アドレスを取得します。

  3. クライアント コンピューターは、ネットワーク キー (256 ビット中間キー) と返信用の AES-256 セッション キーを含むベンダー固有の DHCP 要求をブロードキャストします。これらのキーはどちらも、WDS サーバーからのネットワーク ロック解除証明書の 2048 ビット RSA 公開キーを使用して暗号化されます。

  4. WDS サーバーのネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識します。

  5. プロバイダーは、WDS サーバーの BitLocker ネットワーク ロック解除証明書の RSA 秘密キーで要求を暗号解除します。

  6. WDS プロバイダーは、クライアント コンピューターへの独自のベンダー固有 DHCP 応答を使用して、セッション キーで暗号化されたネットワーク キーを返します。これが中間キーを形成します。

  7. 返された中間キーは、TPM だけが暗号を解除できる別のローカルな 256 ビット中間キーと結合されます。

  8. この組み合わされたキーが、ボリュームのロックを解除する AES-256 キーの作成に使用されます。

  9. Windows はブート シーケンスを続行します。

ネットワーク ロック解除の構成

管理者は、次の手順に従って、ドメイン機能レベルが Windows Server 2012 以上のドメインでネットワーク ロック解除を構成できます。

手順 1: WDS サーバーの役割をインストールする

WDS の役割がまだインストールされていない場合、BitLocker ネットワーク ロック解除機能でインストールされます。BitLocker ネットワーク ロック解除をインストールする前に個別に WDS の役割をインストールする必要がある場合は、サーバー マネージャーまたは Windows PowerShell を使用できます。サーバー マネージャーを使用して役割をインストールするには、サーバー マネージャーで [Windows 展開サービス] の役割を選択します。

Windows PowerShell を使用して役割をインストールするには、次のコマンドを使用します。

Install-WindowsFeature WDS-Deployment

DHCP (および必要に応じて Active Directory ドメイン サービス) およびクライアント コンピューターと通信できるように、WDS サーバーを構成する必要があります。そのためには、WDS 管理ツール wdsmgmt.msc を使用して Windows 展開サービス構成ウィザードを開始します。

手順 2: WDS サービスが実行していることを確認する

WDS サービスが実行していることを確認するには、サービス管理コンソールまたは Windows PowerShell を使用します。サービス管理コンソールでサービスが実行していることを確認するには、services.msc を使用してコンソールを開き、Windows 展開サービスの状態を確認します。

Windows PowerShell を使用してサービスが実行していることを確認するには、次のコマンドを使用します。

Get-Service WDSServer

手順 3: ネットワーク ロック解除機能をインストールする

ネットワーク ロック解除機能をインストールするには、サーバー マネージャーまたは Windows PowerShell を使用します。サーバー マネージャーを使用して機能をインストールするには、サーバー マネージャー コンソールで [BitLocker ネットワーク ロック解除] 機能を選択します。

Windows PowerShell を使用して機能をインストールするには、次のコマンドを使用します。

Install-WindowsFeature BitLocker-NetworkUnlock

手順 4: ネットワーク ロック解除証明書を作成する

ネットワーク ロック解除は、既存の PKI インフラストラクチャからインポートした証明書を使用することも、自己署名証明書を使用することもできます。

既存の証明機関 (CA) からの証明書を登録するには、次のようにします。

  1. WDS サーバーで certmgr.msc を使って証明書マネージャーを開きます

  2. [証明書 - 現在のユーザー] 項目で [個人] を右クリックします

  3. [すべてのタスク] を選択し、[新しい証明書の要求] を選択します

  4. 証明書登録ウィザードが開いたら、[次へ] を選択します

  5. [Active Directory 登録ポリシー] を選択します

  6. ドメイン コントローラーでネットワーク ロック解除用に作成された証明書テンプレートを選択し、[登録] を選択します。詳細な情報を要求されたら、証明書に次の属性を追加します。

    • [サブジェクト名] ウィンドウを選択し、フレンドリ名の値を指定します。このフレンドリ名には証明書のドメインまたは組織単位の情報を含めることをお勧めします。たとえば、「Contoso ドメイン用の BitLocker ネットワーク ロック解除証明書」などとします

  7. 証明書を作成します。個人用フォルダーに証明書が表示されることを確認します。

  8. ネットワーク ロック解除用の公開キー証明書をエクスポートします。

    1. 前に作成した証明書を右クリックし、[すべてのタスク][エクスポート] の順に選択して、.cer ファイルを作成します。

    2. [いいえ、秘密キーをエクスポートしません] を選択します。

    3. [DER encoded binary X.509] を選択し、ファイルへの証明書のエクスポートを完了します。

    4. BitLocker-NetworkUnlock.cer などといったファイル名を付けます。

  9. ネットワーク ロック解除用の公開キーと秘密キーをエクスポートします

    1. 前に作成した証明書を右クリックし、[すべてのタスク][エクスポート] の順に選択して、.pfx ファイルを作成します。

    2. [はい、秘密キーをエクスポートします] を選択します。

    3. ウィザードに従って .pfx ファイルを作成します。

自己署名証明書を作成するには、次のようにします。

  1. 拡張子 .inf のテキスト ファイルを作成します。例: notepad.exe BitLocker-NetworkUnlock.inf

  2. 作成したファイルに次の内容を追加します。

    [NewRequest]

Subject="CN=BitLocker Network Unlock certificate"
Exportable=true
RequestType=Cert
KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyLength=2048

[Extensions]
1.3.6.1.4.1.311.21.10 = "{text}"
_continue_ = "OID=1.3.6.1.4.1.311.67.1.1"

2.5.29.37 = "{text}"
_continue_ = "1.3.6.1.4.1.311.67.1.1"

  3. 管理者特権のコマンド プロンプトを開き、次のように certreq ツールを使用し、前に作成したファイルへの完全パスとファイル名を指定して、新しい証明書を作成します。

    certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer

  4. .cer ファイルが存在することを確認し、証明書が適切に作成されたことを確認します。

  5. certmgr.msc を実行して証明書マネージャーを起動します

  6. ナビゲーション ウィンドウで [証明書 – 現在のユーザー\個人\証明書] パスを開き、前にインポートした証明書を右クリックして、[すべてのタスク][エクスポート] の順に選択することによって、.pfx ファイルを作成します。ウィザードに従って .pfx ファイルを作成します。

手順 5: WDS サーバーに秘密キーと証明書を展開する

正しくシステムをロック解除するには、作成した証明書とキーをインフラストラクチャに展開します。証明書を展開するには、次のようにします。

  1. WDS サーバーで、新しい MMC を開き、証明書スナップインを追加します。オプションが表示されたら、コンピューター アカウントとローカル コンピューターを選択します。

  2. [証明書 (ローカル コンピューター) - BitLocker ドライブ暗号化ネットワーク ロック解除] 項目を右クリックし、[すべてのタスク]、[インポート] の順に選択します

  3. [インポートする証明書ファイル] ダイアログ ボックスで、前に作成した .pfx ファイルを選択します。

  4. .pfx の作成に使用するパスワードを入力し、ウィザードを完了します。

手順 6: ネットワーク ロック解除のグループ ポリシー設定を構成する

ネットワーク ロック解除用の証明書とキーを WDS サーバーに展開した後、最後に、グループ ポリシーの設定を使用して、ネットワーク ロック解除キーを使用してロックを解除できるようにするコンピューターに公開キー証明書を展開します。BitLocker 用のグループ ポリシーの設定は、ローカル グループ ポリシー エディターまたは Microsoft 管理コンソールの [\コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化] にあります。

次の手順では、ネットワーク ロック解除を構成するために必要なグループ ポリシーの設定を有効にする方法について説明します。

  1. グループ ポリシー管理コンソール (gpmc.msc) を開きます

  2. [スタートアップ時に追加の認証を要求する] ポリシーを有効にして、[TPM でスタートアップ PIN を要求する] オプションを選択します

  3. すべてのドメイン参加コンピューターで BitLocker と TPM+PIN 保護機能を有効にします。

次の手順では、必要なグループ ポリシー設定を展開する方法について説明します。

  

グループ ポリシーの設定 [スタートアップ時にネットワーク ロック解除を許可する][ネットワーク ロック解除証明書の追加] は、Windows Server 2012 で導入されました。

 

  1. ネットワーク ロック解除用に作成した .cer ファイルをドメイン コントローラーにコピーします

  2. ドメイン コントローラーで、グループ ポリシー管理コンソール (gpmc.msc) を起動します

  3. 新しいグループ ポリシー オブジェクトを作成するか、または既存のオブジェクトを変更して、[スタートアップ時にネットワーク ロック解除を許可する] 設定を有効にします。

  4. パブリック証明書をクライアントに展開します

    1. グループ ポリシー管理コンソールで、[コンピューターの構成\ポリシー\Windows の設定\セキュリティの設定\公開キーのポリシー\BitLocker ドライブ暗号化ネットワーク ロック解除証明書] に移動します

    2. フォルダーを右クリックし、[ネットワーク ロック解除証明書の追加] を選択します

    3. ウィザードの手順に従って、前にコピーした .cer ファイルをインポートします。

  

使用できるネットワーク ロック解除証明書は一度に 1 つだけです。新しい証明書が必要な場合は、現在の証明書を削除してから新しい証明書を展開します。ネットワーク ロック解除証明書は、クライアント コンピューターの HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP キーにあります。

 

手順 7: 起動時の TPM+PIN 保護機能を要求する

追加手順として、エンタープライズでセキュリティを強化する場合は TPM+PIN 保護機能を使用します。環境で TPM+PIN 保護機能を必要とするには、次のようにします。

  1. グループ ポリシー管理コンソール (gpmc.msc) を開きます

  2. [スタートアップ時に追加の認証を要求する] ポリシーを有効にして、[TPM でスタートアップ PIN を要求する] オプションを選択します

  3. すべてのドメイン参加コンピューターで BitLocker と TPM+PIN 保護機能を有効にします。

ネットワーク ロック解除用の証明書テンプレートの作成

次の手順では、BitLocker ネットワーク ロック解除で使用するための証明書テンプレートを作成する方法を説明します。適切に構成された Active Directory サービス証明機関では、この証明書を使用して、ネットワーク ロック解除証明書を作成および発行できます。

  1. 証明書テンプレート スナップイン (certtmpl.msc) を開きます。

  2. ユーザー テンプレートを見つけます。テンプレート名を右クリックし、[テンプレートの複製] を選択します

  3. [互換性] タブで、[証明機関] フィールドと [証明書の受信者] フィールドをそれぞれ、Windows Server 2012 および Windows 8 に変更します。[結果的な変更を表示] ダイアログ ボックスが選択されていることを確認します。

  4. テンプレートの [全般] タブを選択します。[テンプレート表示名][テンプレート名] に、ネットワーク ロック解除用のテンプレートであることがはっきりわかる名前を入力します。[Active Directory の証明書を発行する] チェック ボックスをオフにします。

  5. [要求の処理] タブを選択します。[目的] ドロップダウン メニューから [暗号化] を選択します。[秘密キーのエクスポートを許可する] オプションを選択します。

  6. [暗号化] タブを選択します。[最小キー サイズ] を 2048 に設定します(RSA をサポートしている任意の Microsoft 暗号化プロバイダーをこのテンプレートに使用できますが、簡単さと上位互換性のため、[Microsoft ソフトウェア キー記憶域プロバイダー] を使用することをお勧めします)。

  7. [以下のプロバイダーのうちいずれか 1 つ] オプションを選択し、選択した暗号プロバイダー ([Microsoft ソフトウェア キー記憶域プロバイダー] など) を除くすべてのオプションをオフにします。

  8. [サブジェクト名] タブをクリックします。[要求に含まれる] を選択します。証明書テンプレート ポップアップ ダイアログ ボックスが表示された場合は、[OK] をクリックします。

  9. [発行の要件] タブを選択します。[CA 証明書マネージャーの許可] オプションと [既存の有効な証明書] オプションをどちらも選択します。

  10. [拡張機能] タブを選択します。[アプリケーション ポリシー] を選択し、[編集...] をクリックします。

  11. [アプリケーション ポリシーの拡張機能の編集] オプション ダイアログ ボックスで、[クライアント認証][暗号化ファイル システム][電子メールの保護] を選択し、[削除] をクリックします。

  12. [アプリケーション ポリシーの拡張機能の編集] ダイアログ ボックスで、[追加] をクリックします。

  13. [アプリケーションのポリシーの追加] ダイアログ ボックスで、[新規] をクリックします。[新しいアプリケーションのポリシー] ダイアログ ボックスで、所定の領域に次の情報を入力して [OK] をクリックし、BitLocker ネットワーク ロック解除のアプリケーション ポリシーを作成します。

    • 名前: BitLocker ネットワーク ロック解除

    • オブジェクト識別子: 1.3.6.1.4.1.311.67.1.1

  14. 新しく作成した [BitLocker ネットワーク ロック解除] アプリケーション ポリシーを選択し、[OK] をクリックします。

  15. [拡張機能] タブを開いたままにして、[キー使用拡張機能の編集] ダイアログ ボックスを選択し、[キー暗号化でのみ、キー交換を許可する (キーの暗号化)] オプションを選択します。[重要な拡張機能として登録する] オプションを選択します。

  16. [セキュリティ] タブを選びます。[Domain Admins] グループに [登録] アクセス許可が付与されていることを確認します。

  17. [OK] をクリックして、テンプレートの構成を完了します。

ネットワーク ロック解除テンプレートを証明機関に追加するには、証明機関スナップイン (certsrv.msc) を開きます。[証明書テンプレート] 項目を右クリックし、[新規]、[発行する証明書テンプレート] の順に選択します。前の手順で作成した BitLocker ネットワーク ロック解除証明書を選択します。

ネットワーク ロック解除テンプレートを証明機関に追加した後は、この証明書を使用して BitLocker ネットワーク ロック解除を構成できます。

WDS サーバーのサブネット ポリシー構成ファイル (省略可能)

既定では、適切なネットワーク ロック解除証明書と、ネットワーク ロック解除が有効な WDS サーバーに DHCP 経由で有線アクセスできる有効なネットワーク ロック解除保護機能が設定されているすべてのクライアントは、サーバーによってロックを解除されます。WDS サーバーにサブネット ポリシー構成ファイルを作成して、ネットワーク ロック解除クライアントがロック解除に使用できるサブネットを制限できます。

bde-network-unlock.ini という名前の構成ファイルが、ネットワーク ロック解除プロバイダーの DLL と同じディレクトリに存在する必要があります。この制限は、IPv6 と IPv4 両方の DHCP の実装に適用されます。サブネット構成ポリシーが破損している場合、プロバイダーは失敗し、要求に対する応答を停止します。

サブネット ポリシー構成ファイルでは、“[SUBNETS]” セクションを使用して特定のサブネットを示す必要があります。その後、名前付きのサブネットを使用して、証明書のサブセクションでの制限を指定できます。サブネットは一般的な INI 形式の簡単な名前と値のペアとして定義されます。サブネットごとに 1 行が使用され、等号の左側は名前、右側はクラスレス ドメイン間ルーティング (CIDR) アドレスまたは範囲で示されたサブネットです。サブネット名では、キーワード “ENABLED” は使用できません。

 [SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

[SUBNETS] セクションに続いて、スペースなしで書式設定された証明書の拇印によって示される各ネットワーク ロック解除証明書のセクションを指定できます。このセクションでは、クライアントがその証明書でロック解除できるサブネットを定義します。

  

証明書の拇印を指定する場合、スペースが含まれていてはなりません。拇印にスペースが含まれている場合、拇印は有効と認識されないため、サブネットの構成は失敗します。

 

サブネットの制限は、各証明書セクションにおいて、許可されるサブネットの許可リストを示すことによって定義されます。証明書セクションでサブネットが指定されている場合、その証明書では指定されているサブネットだけが許可されます。証明書セクションでサブネットが指定されていない場合は、すべてのサブネットがその証明書に対して許可されます。証明書のセクションがサブネット ポリシー構成ファイルにない場合は、その証明書でのロック解除に対してサブネットの制限は適用されません。つまり、すべての証明書に制限を適用するには、サーバーのすべてのネットワーク ロック解除証明書に対する証明書セクションがあり、各証明書セクションに明示的な許可リストが設定されている必要があります。

サブネット リストを作成するには、証明書セクション ヘッダーの下に、[SUBNETS] セクションのサブネット名を 1 行に 1 つずつ指定します。サーバーは、リストで指定されているサブネット上のクライアントだけをその証明書でロック解除します。トラブルシューティングのためには、セミコロンを前に付けてコメント化するだけで、サブネットを削除しないでセクションから簡単に除外できます。

 [‎2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

サブネット リストの行に “DISABLED" と記述すると、証明書の使用をそっくり無効にできます。

ネットワーク ロック解除の無効化

ロック解除サーバーを無効にするには、PXE プロバイダーを WDS サーバーから登録解除するか、または完全にアンインストールします。一方、クライアントがネットワーク ロック解除保護機能を作成しないようにするには、[スタートアップ時にネットワーク ロック解除を許可する] グループ ポリシー設定を無効にする必要があります。クライアント コンピューターでこのポリシー設定を更新して無効にすると、コンピューターのネットワーク ロック解除キー保護機能は削除されます。または、ドメイン コントローラーで BitLocker ネットワーク ロック解除証明書ポリシーを削除すると、ドメイン全体に対して同じタスクを実現できます。

  

WDS サーバーでネットワーク ロック解除証明書とキーを格納している FVENKP 証明書ストアを削除しても、その証明書に対するロック解除要求にサーバーは応答しなくなります。ただし、これはエラー状態とみなされ、ネットワーク ロック解除サーバーを無効にする方法としてはサポートされず、推奨もされません。

 

ネットワーク ロック解除証明書の更新

ネットワーク ロック解除によって使用される証明書を更新するには、サーバー用の新しい証明書をインポートまたは生成した後、ドメイン コントローラーでネットワーク ロック解除証明書グループ ポリシーの設定を更新する必要があります。

ネットワーク ロック解除のトラブルシューティング

ネットワーク ロック解除の問題をトラブルシューティングするときは、最初に環境を確認します。多くの場合、小さな構成の問題がエラーの原因になっています。確認する項目は次のとおりです。

  • クライアントのハードウェアが UEFI ベースであり、ファームウェアのバージョンが 2.3.1 であること、および UEFI ファームウェアがネイティブ モードであり BIOS の互換性サポート モジュール (CSM) モードが有効になっていないことを確認します。そのためには、ファームウェアで "レガシ モード" や "互換性モード" などのオプションが有効になっていないこと、またはファームウェアが BIOS 類似モードで表示されないことを確認します。

  • 必要なすべての役割とサービスがインストールされて開始していることを確認します。

  • パブリックおよびプライベート証明書が発行され、適切な証明書コンテナーに格納されていることを確認します。ネットワーク ロック解除証明書が存在することは、ローカル コンピューターの証明書スナップインを有効にした、WDS サーバー上の Microsoft 管理コンソール (MMC.exe) で確認できます。クライアント証明書は、クライアント コンピューターのレジストリ キー HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP で確認できます。

  • ネットワーク ロック解除のグループ ポリシーが有効であり、適切なドメインにリンクされていることを確認します。

  • グループ ポリシーがクライアントに正常に到達することを確認します。これは、GPRESULT.exe または RSOP.msc ユーティリティを使用して行うことができます。

  • Network (Certificate Based) 保護機能がクライアントで一覧表示されることを確認します。これは、manage-bde または Windows PowerShell コマンドレットを使用して行うことができます。たとえば、次のコマンドは、ローカル コンピューターの C: ドライブに現在構成されているキー保護機能を一覧表示します。

    Manage-bde –protectors –get C:

  

適切な証明書の拇印がネットワーク ロック解除に使用されていることを確認するには、manage-bde の出力と WDS のデバッグ ログを使用します。

 

BitLocker ネットワーク ロック解除のトラブルシューティング時に収集するファイルは、次のとおりです。

  1. Windows イベント ログ。具体的には、BitLocker のイベント ログと Microsoft-Windows-Deployment-Services-Diagnostics-Debug ログ

    WDS サーバーの役割のデバッグ ログは既定ではオフになっているため、最初に有効にする必要があります。 次の 2 つの方法のいずれかを使用して、WDS デバッグ ログを有効にできます。

    1. 管理者特権のコマンド プロンプトを開始し、次のコマンドを実行します。

      wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true

    2. WDS サーバーでイベント ビューアーを開きます。

      左側のウィンドウで、[アプリケーションとサービス ログ][Microsoft][Windows][Deployment-Services-Diagnostics][Debug] の順にクリックします。

      右側のウィンドウで、[ログの有効化] をクリックします。

  2. DHCP サブネット構成ファイル (存在する場合)。

  3. ボリュームでの BitLocker の状態の出力です。これは、manage-bde -status または Windows PowerShell の Get-BitLockerVolume を使用してテキスト ファイルに収集できます。

  4. WDS の役割をホストしているサーバーでのネットワーク モニターのキャプチャ。クライアントの IP アドレスでフィルター処理されます。

以前のバージョンでのネットワーク ロック解除グループ ポリシー設定の構成

ネットワーク ロック解除およびそれに付随するグループ ポリシー設定は Windows Server 2012 で導入されましたが、Windows Server 2008 R2 および Windows Server 2008 を使用して展開できます。

要件

  • WDS をホストするサーバーは、このトピックの先頭にある「適用対象」リストで指定されているサーバー オペレーティング システムのいずれかを搭載している必要があります。

  • クライアント コンピューターは、このトピックの先頭にある「適用対象」リストで指定されているクライアント オペレーティング システムのいずれかを搭載している必要があります。

次の手順を使用して、これらの古いシステムにネットワーク ロック解除を構成できます。

  1. 手順 1: WDS サーバーの役割をインストールする

  2. 手順 2: WDS サービスが実行していることを確認する

  3. 手順 3: ネットワーク ロック解除機能をインストールする

  4. 手順 4: ネットワーク ロック解除証明書を作成する

  5. 手順 5: WDS サーバーに秘密キーと証明書を展開する

  6. 手順 6: ネットワーク ロック解除のレジストリ設定を構成する

    このトピックの先頭にある「適用対象」リストで指定されているいずれかのクライアント オペレーティング システムを搭載する各コンピューターで次の certutil スクリプトを実行して、レジストリ設定を適用します。

    certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer

reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f

  7. ネットワーク ロック解除証明書を作成する

  8. WDS サーバーに秘密キーと証明書を展開する

  9. ネットワーク ロック解除用の証明書テンプレートの作成

  10. 起動時の TPM+PIN 保護機能を要求する

関連項目