BitLocker: ネットワークロック解除を有効にする方法

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016 以上

このトピックでは、BitLocker ネットワークロック解除のしくみと構成方法について説明します。

ネットワーク ロック解除はWindows 8で導入され、オペレーティング システム ボリュームの BitLocker 保護機能オプションとしてWindows Server 2012されました。 ネットワークロック解除を使用すると、有線企業ネットワークに接続したときにシステムの再起動時にオペレーティング システム ボリュームの自動ロック解除を提供することで、ドメイン環境内の BitLocker 対応デスクトップとサーバーの管理が容易になります。 この機能では、クライアント ハードウェアに DHCP ドライバーを UEFI ファームウェアに実装する必要があります。 ネットワーク ロック解除を使用しない場合、TPM+ PIN 保護機能によって保護されるオペレーティング システム ボリュームでは、コンピューターの再起動または休止状態からの再開時 (たとえば Wake on LAN など) に PIN を入力する必要があります。 これにより、企業がソフトウェア パッチを無人デスクトップやリモート管理サーバーに展開することが困難になる可能性があります。

ネットワーク ロック解除を使用すると、TPM+PIN を持ち、ハードウェア要件を満たす BitLocker 対応システムは、ユーザーの介入なしに Windows に起動できます。 ネットワークロック解除は、起動時の TPM+StartupKey と同様の方法で動作します。 ただし、USB メディアから StartupKey を読み取る必要はなく、ネットワーク ロック解除機能では、TPM に格納されているキーと、サーバーに送信され、暗号化解除され、セキュリティで保護されたセッションでクライアントに返される暗号化されたネットワーク キーからキーを構成する必要があります。

ネットワークロック解除のコア要件

ネットワーク ロック解除は、ドメインに参加しているシステムを自動的にロック解除する前に、必須のハードウェアとソフトウェアの要件を満たす必要があります。 これらの要件は次のとおりです。

  • 現在のオペレーティング システムとしてWindows 8またはWindows Server 2012。
  • ネットワーク ロック解除クライアントとして機能できる UEFI DHCP ドライバーでサポートされているオペレーティング システム。
  • ネットワーク TPM チップと少なくとも 1 つの TPM 保護機能を使用してクライアントのロックを解除します。
  • サポートされている任意のサーバー オペレーティング システムで Windows Deployment Services (WDS) ロールを実行しているサーバー。
  • サポートされている任意のサーバー オペレーティング システムにインストールされている BitLocker ネットワークロック解除オプション機能。
  • WDS サーバーとは別の DHCP サーバー。
  • 適切に構成された公開/秘密キーのペアリング。
  • ネットワーク ロック解除グループ ポリシー設定が構成されています。

ネットワーク ロック解除機能を使用するには、ネットワーク スタックを有効にする必要があります。 機器メーカーは、さまざまな状態で、さまざまなBIOSメニューで製品を提供します。そのため、コンピューターを起動する前に、BIOS でネットワーク スタックが有効になっていることを確認する必要があります。

注意

UEFI 内で DHCP を適切にサポートするには、UEFI ベースのシステムがネイティブ モードであり、互換性サポート モジュール (CSM) が有効になっていない必要があります。

Windows 8以降を実行するコンピューターでは、コンピューター上の最初のネットワーク アダプター (通常はオンボード アダプター) を DHCP をサポートするように構成する必要があります。 このアダプターは、ネットワーク ロック解除に使用する必要があります。

Windows 8以降のバージョンを実行しているコンピューターでネットワーク ロック解除を確実に機能させるには、コンピューター上の最初のネットワーク アダプター (通常はオンボード アダプター) を DHCP をサポートするように構成し、ネットワーク ロック解除に使用する必要があります。 これは、複数のアダプターがあり、DHCP なしでアダプターを構成する場合 (たとえば、ライトアウト管理プロトコルなど) に注目する価値があります。 この構成は、何らかの理由で DHCP ポートエラーが発生したアダプターに到達すると、ネットワーク ロック解除によってアダプターの列挙が停止するため、必要です。 したがって、最初の列挙アダプターが DHCP をサポートしていない場合、ネットワークに接続されていない場合、または何らかの理由で DHCP ポートの可用性を報告できない場合、ネットワークロック解除は失敗します。

Network Unlock サーバー コンポーネントは、サポートされているバージョンのWindows Server 2012以降に、サーバー マネージャーまたはWindows PowerShellコマンドレットを使用する Windows 機能としてインストールされます。 機能名は、サーバー マネージャーの BitLocker ネットワーク ロック解除で、Windows PowerShellでBitLocker-NetworkUnlockされます。 この機能はコア要件です。

ネットワークロック解除には、機能が利用される環境で Windows Deployment Services (WDS) が必要です。 WDS インストールの構成は必要ありません。ただし、WDS サービスはサーバー上で実行されている必要があります。

ネットワーク キーは、AES 256 セッション キーと共にシステム ドライブに格納され、Unlock サーバー証明書の 2048 ビット RSA 公開キーで暗号化されます。 ネットワーク キーは、WDS を実行している Windows Server のサポートされているバージョンのプロバイダーの助けを借りて暗号化解除され、対応するセッション キーで暗号化されて返されます。

ネットワーク ロック解除シーケンス

Windows ブート マネージャーがネットワーク ロック解除保護機能の存在を検出すると、ロック解除シーケンスがクライアント側で開始されます。 UEFI の DHCP ドライバーを利用して IPv4 の IP アドレスを取得した後、前述のように、サーバーのネットワーク ロック解除証明書によってすべて暗号化された、ネットワーク キーと応答のセッション キーを含むベンダー固有の DHCP 要求をブロードキャストします。 サポートされている WDS サーバーのネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識し、RSA 秘密キーで暗号化を解除し、セッション キーで暗号化されたネットワーク キーをベンダー固有の DHCP 応答で返します。

サーバー側では、WDS サーバーロールには、PXE プロバイダーなどのオプションのプラグイン コンポーネントがあり、これが受信ネットワークロック解除要求を処理します。 また、サブネット制限を使用してプロバイダーを構成することもできます。ネットワーク ロック解除要求でクライアントによって提供される IP アドレスが、許可されたサブネットに属してネットワーク キーをクライアントに解放する必要があります。 ネットワーク ロック解除プロバイダーが使用できない場合、BitLocker は次に使用可能な保護機能にフェールオーバーしてドライブのロックを解除します。 一般的な構成では、ドライブのロックを解除するために標準の TPM+PIN ロック解除画面が表示されます。

ネットワーク ロック解除を有効にするサーバー側の構成では、X.509 証明書の形式で 2048 ビット RSA 公開/秘密キー ペアをプロビジョニングし、公開キー証明書をクライアントに配布する必要もあります。 この証明書は、少なくともドメイン機能レベルのWindows Server 2012を持つドメイン コントローラーで、グループ ポリシー エディターを介して直接管理およびデプロイする必要があります。 この証明書は、中間ネットワーク キーを暗号化する公開キーです (ドライブのロック解除に必要な 2 つのシークレットのいずれかであり、もう 1 つのシークレットは TPM に格納されます)。

グループ ポリシー エディターを使用して、少なくともWindows Server 2012のドメイン機能レベルを持つドメイン コントローラーに直接、この証明書を管理して展開します。 この証明書は、中間ネットワーク キーを暗号化する公開キーです。 中間ネットワーク キーは、ドライブのロックを解除するために必要な 2 つのシークレットのいずれかです。もう 1 つのシークレットは TPM に格納されます。

BitLocker ネットワークロック解除シーケンスを示す図。

ネットワーク ロック解除プロセスは、次のフェーズに従います。

  1. Windows ブート マネージャーは、BitLocker 構成でネットワーク ロック解除保護機能を検出します。
  2. クライアント コンピューターは、UEFI で DHCP ドライバーを使用して、有効な IPv4 IP アドレスを取得します。
  3. クライアント コンピューターは、次を含むベンダー固有の DHCP 要求をブロードキャストします。
    1. WDS サーバーからのネットワーク ロック解除証明書の 2048 ビット RSA 公開キーを使用して暗号化されるネットワーク キー (256 ビット中間キー)。
    2. 応答の AES-256 セッション キー。
  4. WDS サーバーのネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識します。
  5. プロバイダーは、WDS サーバーの BitLocker ネットワーク ロック解除証明書 RSA 秘密キーを使用して要求の暗号化を解除します。
  6. WDS プロバイダーは、クライアント コンピューターに対する独自のベンダー固有の DHCP 応答を使用して、セッション キーで暗号化されたネットワーク キーを返します。 このキーは中間キーです。
  7. 返された中間キーは、別のローカル 256 ビット中間キーと組み合わされます。 このキーは、TPM によってのみ復号化できます。
  8. この結合キーは、ボリュームのロックを解除する AES-256 キーを作成するために使用されます。
  9. Windows はブート シーケンスを続行します。

ネットワークロック解除を構成する

次の手順では、管理者は、ドメイン機能レベルが少なくともWindows Server 2012されているドメインでネットワーク ロック解除を構成できます。

WDS サーバーロールをインストールする

BitLocker ネットワークロック解除機能は、WDS ロールがまだインストールされていない場合にインストールします。 BitLocker ネットワークロック解除をインストールする前に個別にインストールする場合は、サーバー マネージャーまたはWindows PowerShellを使用できます。 サーバー マネージャーを使用してロールをインストールするには、サーバー マネージャーで [Windows 展開サービス] ロールを選択します。

Windows PowerShellを使用してロールをインストールするには、次のコマンドを使用します。

Install-WindowsFeature WDS-Deployment

WDS サーバーを構成して、DHCP (および必要に応じて AD DS) とクライアント コンピューターと通信できるようにする必要があります。 WDS 管理ツール wdsmgmt.msc を使用して構成できます。これは、Windows 展開サービス構成ウィザードを開始します。

WDS サービスが実行されていることを確認する

WDS サービスが実行されていることを確認するには、サービス管理コンソールまたはWindows PowerShellを使用します。 サービスがサービス管理コンソールで実行されていることを確認するには、 services.msc を使用してコンソールを開き、Windows 展開サービス サービスの状態を確認します。

Windows PowerShellを使用してサービスが実行されていることを確認するには、次のコマンドを使用します。

Get-Service WDSServer

ネットワークロック解除機能をインストールする

ネットワークロック解除機能をインストールするには、サーバー マネージャーまたはWindows PowerShellを使用します。 サーバー マネージャーを使用して機能をインストールするには、サーバー マネージャー コンソールで BitLocker ネットワークロック解除機能を選択します。

Windows PowerShellを使用して機能をインストールするには、次のコマンドを使用します。

Install-WindowsFeature BitLocker-NetworkUnlock

ネットワーク ロック解除用の証明書テンプレートを作成する

適切に構成された Active Directory Services 証明機関は、この証明書テンプレートを使用して、ネットワーク ロック解除証明書を作成して発行できます。

  1. 証明書テンプレート スナップイン (certtmpl.msc) を開きます。

  2. [ユーザー テンプレート] を見つけ、テンプレート名を右クリックし、[ テンプレートの複製] を選択します。

  3. [互換性] タブで、[証明機関] フィールドと [証明書の受信者] フィールドをそれぞれ [Windows Server 2012] と [Windows 8] に変更します。 [結果の 変更を表示 する] ダイアログ ボックスが選択されていることを確認します。

  4. テンプレートの [ 全般 ] タブを選択します。 テンプレートの表示名テンプレート名は、テンプレートがネットワーク ロック解除に使用されることを明確に識別する必要があります。 [ Active Directory で証明書を発行 する] オプションのチェック ボックスをオフにします。

  5. [要求処理] タブを選択します。[目的] ドロップダウン メニューから [暗号化] を選択します。 [ 秘密キーのエクスポートを許可する] オプションが選択されていることを確認します。

  6. [暗号化] タブ 選択します。 [最小キー サイズ] を 2048 に設定します。 (RSA をサポートする Microsoft 暗号化プロバイダーは、このテンプレートに使用できますが、簡単で前方互換性を確保するために、 Microsoft Software Key Storage Provider を使用することをお勧めします)。

  7. [ 要求で次のいずれかのプロバイダーを使用する必要があります ] オプションを選択し、選択した暗号化プロバイダー ( Microsoft Software Key Storage Provider など) を除くすべてのオプションをオフにします。

  8. [ サブジェクト名 ] タブを選択します。 要求で [供給] を選択します。 証明書テンプレートのポップアップ ダイアログが表示されたら、[ OK] をクリックします

  9. [ 発行要件 ] タブを選択します。 CA 証明書マネージャーの承認有効な既存の証明書 オプションの両方を選択します。

  10. [ 拡張機能 ] タブを選択します。[ アプリケーション ポリシー] を 選択し、[ 編集]を選択します。...

  11. [アプリケーション ポリシー拡張機能オプションの編集] ダイアログ ボックスで、[クライアント認証]、[ファイル システムの暗号化]、[セキュリティで保護されたEmail] の順に選択し、[削除] を選択します

  12. [ アプリケーション ポリシー拡張機能の編集 ] ダイアログ ボックスで、[ 追加] を選択します。

  13. [ アプリケーション ポリシーの追加 ] ダイアログ ボックスで、[ 新規] を選択します。 [ 新しいアプリケーション ポリシー ] ダイアログ ボックスで、指定した領域に次の情報を入力し、[ OK] を クリックして BitLocker ネットワークロック解除アプリケーション ポリシーを作成します。

    • 名前: BitLocker ネットワークロック解除
    • オブジェクト識別子: 1.3.6.1.4.1.311.67.1.1
  14. 新しく作成した BitLocker ネットワーク ロック解除 アプリケーション ポリシーを選択し、[OK] をクリック します

  15. [ 拡張機能 ] タブがまだ開いている状態で、[ キー使用法拡張機能の編集 ] ダイアログを選択します。 [ キー暗号化 (キー暗号化) のみを使用してキー交換を許可する] オプションを選択します。 [ この拡張機能を重要にする ] オプションを選択します。

  16. [ セキュリティ ] タブを選択します。 Domain Admins グループに [登録] アクセス許可が付与されていることを確認します。

  17. [ OK] を クリックして、テンプレートの構成を完了します。

ネットワーク ロック解除テンプレートを証明機関に追加するには、証明機関スナップイン (certsrv.msc) を開きます。 [証明書テンプレート] を右クリックし、[新規作成]、[発行する証明書テンプレート] の順に選択します。 以前に作成した BitLocker ネットワーク ロック解除証明書を選択します。

ネットワーク ロック解除テンプレートを証明機関に追加した後、この証明書を使用して BitLocker ネットワーク ロック解除を構成できます。

ネットワーク ロック解除証明書を作成する

ネットワーク ロック解除では、既存の公開キー インフラストラクチャ (PKI) からインポートされた証明書を使用できます。 または、自己署名証明書を使用することもできます。

既存の証明機関から証明書を登録するには:

  1. WDS サーバーで、 を使用して証明書マネージャーを certmgr.msc開きます。

  2. [ 証明書 - 現在のユーザー] で、[ 個人用] を右クリックします。

  3. [すべてのタスク] > [新しい証明書の要求] を選択します

  4. 証明書登録ウィザードが開いたら、[ 次へ] を選択します。

  5. [ Active Directory 登録ポリシー] を選択します。

  6. ドメイン コントローラーのネットワーク ロック解除用に作成された証明書テンプレートを選択します。 次に、[登録] を選択 します

  7. 詳細を求められたら、[ サブジェクト名 ] を選択し、フレンドリ名の値を指定します。 フレンドリ名には、証明書のドメインまたは組織単位の情報が含まれている必要があります。 Contoso ドメインの BitLocker ネットワーク ロック解除証明書の例を次に示します。

  8. 証明書を作成します。 [ 個人用 ] フォルダーに証明書が表示されていることを確認します。

  9. ネットワーク ロック解除の公開キー証明書をエクスポートします。

    1. .cer ファイルを作成するには、前に作成した証明書を右クリックし、[ すべてのタスク] を選択し、[エクスポート] を選択 します
    2. [ いいえ] を選択し、秘密キーをエクスポートしません
    3. [ DER でエンコードされたバイナリ X.509 ] を選択し、証明書のファイルへのエクスポートを完了します。
    4. ファイルに BitLocker-NetworkUnlock.cer などの名前を付けます。
  10. ネットワーク ロック解除の秘密キーを使用して公開キーをエクスポートします。

    1. 前に作成した証明書を右クリックし、[ すべてのタスク] を選択し、[エクスポート] を選択して、.pfx ファイルを作成 します
    2. [はい、秘密キーをエクスポートします] を選択します。
    3. .pfx ファイルを作成する手順を完了します。

自己署名証明書を作成するには、Windows PowerShellで コマンドレットをNew-SelfSignedCertificate使用するか、 を使用certreqします。

Windows PowerShell例を次に示します。

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

次に例を certreq 示します。

  1. .inf 拡張子を持つテキスト ファイル (BitLocker-NetworkUnlock.inf など) notepad.exe作成します。

  2. 前に作成したファイルに次の内容を追加します。

    [NewRequest]
    Subject="CN=BitLocker Network Unlock certificate"
    ProviderType=0
    MachineKeySet=True
    Exportable=true
    RequestType=Cert
    KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
    KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
    KeyLength=2048
    SMIME=FALSE
    HashAlgorithm=sha512
    [Extensions]
    1.3.6.1.4.1.311.21.10 = "{text}"
    _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
    2.5.29.37 = "{text}"
    _continue_ = "1.3.6.1.4.1.311.67.1.1"
    
  3. 管理者特権のコマンド プロンプトを開き、ツールを certreq 使用して新しい証明書を作成します。 次のコマンドを使用して、前に作成したファイルへの完全パスを指定します。 ファイル名も指定します。

    certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
    
  4. .cer ファイルが存在することを確認して、前のコマンドによって証明書が正しく作成されたことを確認します。

  5. 証明書の起動 - certlm.msc を実行してローカル コンピューター。

  6. ナビゲーション ウィンドウで [証明書 - ローカル コンピューター]\[個人用\証明書 ] パスを開き、以前にインポートした証明書を右クリックし、[ すべてのタスク] を選択し、[エクスポート] を選択して、.pfx ファイルを作成 します。 ウィザードに従って .pfx ファイルを作成します。

秘密キーと証明書を WDS サーバーに展開する

証明書とキーを作成したので、それらをインフラストラクチャにデプロイして、システムのロックを適切に解除します。 証明書を展開するには:

  1. WDS サーバーで、新しい MMC を開き、証明書スナップインを追加します。 オプションが表示されたら、コンピューター アカウントとローカル コンピューターを選択します。
  2. [証明書 (ローカル コンピューター)] - [BitLocker ドライブ暗号化ネットワークのロック解除] 項目を右クリックし、[ すべてのタスク] を選択し、[ インポート] を選択します。
  3. [ インポートするファイル ] ダイアログで、前に作成した .pfx ファイルを選択します。
  4. .pfx の作成に使用するパスワードを入力し、ウィザードを完了します。

ネットワーク ロック解除のグループ ポリシー設定を構成する

ネットワーク ロック解除用に WDS サーバーに証明書とキーを展開する場合、最後の手順は、グループ ポリシー設定を使用して、ネットワーク ロック解除キーを使用してロックを解除できるコンピューターに公開キー証明書を展開することです。 BitLocker のグループ ポリシー設定は、ローカル グループ ポリシー エディターまたは Microsoft 管理コンソールを使用して 、\Computer Configuration\管理用テンプレート\Windows コンポーネント\BitLocker Drive Encryption にあります。

次の手順では、ネットワーク ロック解除を構成するための要件であるグループ ポリシー設定を有効にする方法について説明します。

  1. グループ ポリシー管理コンソール (gpmc.msc) を開きます。
  2. [起動時に 追加の認証が必要] ポリシーを有効にし、[ TPM でスタートアップ PIN を要求する ] または [TPM で スタートアップ PIN を許可する] を選択します。
  3. ドメインに参加しているすべてのコンピューターで、TPM+PIN 保護機能を使用して BitLocker を有効にします。

次の手順では、必要なグループ ポリシー設定を展開する方法について説明します。

注意

グループ ポリシー設定 [起動時にネットワークロック解除を許可する][ネットワークロック解除証明書の追加] がWindows Server 2012で導入されました。

  1. ネットワーク ロック解除用に作成した .cer ファイルをドメイン コントローラーにコピーします。

  2. ドメイン コントローラーで、グループ ポリシー管理コンソール (gpmc.msc) を開きます。

  3. 新しい グループ ポリシー オブジェクトを作成するか、既存のオブジェクトを変更して、[起動時にネットワークロック解除を許可する] 設定を有効にします。

  4. パブリック証明書をクライアントに展開します。

    1. グループ ポリシー管理コンソール内で、 コンピューターの構成\ポリシー\Windows 設定\\セキュリティ設定\公開キー ポリシー\BitLocker ドライブ暗号化ネットワークロック解除証明書に移動します。
    2. フォルダーを右クリックし、[ ネットワーク ロック解除証明書の追加] を選択します。
    3. ウィザードの手順に従って、前にコピーした .cer ファイルをインポートします。

    注意

    一度に使用できるネットワーク ロック解除証明書は 1 つだけです。 新しい証明書が必要な場合は、新しい証明書をデプロイする前に、現在の証明書を削除します。 ネットワーク ロック解除証明書は、クライアント コンピューターの HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP キーにあります。

  5. グループ ポリシーをデプロイした後、クライアントを再起動します。

    注意

    ネットワーク (証明書ベース) 保護機能は、再起動後にのみ追加され、ポリシーが有効になり、有効な証明書がFVE_NKP ストアに存在します。

WDS サーバー上のサブネット ポリシー構成ファイル (省略可能)

既定では、正しいネットワーク ロック解除証明書と、DHCP 経由でネットワーク ロック解除が有効な WDS サーバーへの有線アクセス権を持つ有効なネットワーク ロック解除保護機能を持つすべてのクライアントは、サーバーによってロック解除されます。 WDS サーバー上のサブネット ポリシー構成ファイルを作成して、ネットワーク ロック解除クライアントがロック解除に使用できるサブネットを制限できます。

bde-network-unlock.iniと呼ばれる構成ファイルは、ネットワーク ロック解除プロバイダー DLL (%windir%\System32\Nkpprov.dll) と同じディレクトリに配置する必要があり、IPv6 と IPv4 の両方の DHCP 実装に適用されます。 サブネット構成ポリシーが破損した場合、プロバイダーは失敗し、要求への応答を停止します。

サブネット ポリシー構成ファイルでは、特定のサブネットを識別するために "[SUBNETS]" セクションを使用する必要があります。 その後、名前付きサブネットを使用して、証明書サブセクションで制限を指定できます。 サブネットは、共通の INI 形式で単純な名前と値のペアとして定義されます。各サブネットには、等号の左側に名前を持つ独自の行があり、等号の右側にあるサブネットは Classless Inter-Domain Routing (CIDR) アドレスまたは範囲として識別されます。 "ENABLED" というキーワードは、サブネット名に対して許可されていません。

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

[SUBNETS] セクションの後に、各ネットワーク ロック解除証明書のセクションを指定できます。これは、スペースなしで書式設定された証明書拇印によって識別され、その証明書からロックを解除できるサブネット クライアントを定義します。

注意

証明書の拇印を指定する場合は、スペースを含めないでください。 拇印にスペースが含まれている場合、拇印が有効と認識されないため、サブネットの構成は失敗します。

サブネットの制限は、許可されるサブネットの許可リストを示すことによって、各証明書セクション内で定義されます。 証明書セクションにサブネットが一覧表示されている場合は、その証明書に対してのみ許可されます。 証明書セクションにサブネットが一覧表示されていない場合、その証明書のすべてのサブネットが許可されます。 証明書にサブネット ポリシー構成ファイルにセクションがない場合、その証明書でロックを解除するためのサブネット制限は適用されません。 つまり、すべての証明書に制限が適用されるためには、サーバー上のすべてのネットワーク ロック解除証明書の証明書セクションと、証明書セクションごとに明示的に許可されるリストが設定されている必要があります。 サブネット リストは、[SUBNETS] セクションのサブネットの名前を証明書セクション ヘッダーの下の独自の行に配置することによって作成されます。 その後、サーバーは、この証明書を使用してクライアントのロックを解除します。この証明書は、一覧で と同じように指定されています。 トラブルシューティングのために、サブネットは、先頭にセミコロンでコメントアウトするだけで、セクションから削除せずにすばやく除外できます。

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

証明書の使用を完全に禁止するには、そのサブネット リストに行を追加 DISABLED します。

ネットワークロック解除をオフにする

ロック解除サーバーをオフにするには、PXE プロバイダーを WDS サーバーから登録解除するか、完全にアンインストールできます。 ただし、クライアントによるネットワーク ロック解除保護機能の作成を停止するには、[ スタートアップ グループでのネットワーク ロック解除を許可する ] ポリシー設定を無効にする必要があります。 このポリシー設定がクライアント コンピューターで 無効 に更新されると、コンピューター上のすべてのネットワーク ロック解除キー 保護機能が削除されます。 または、ドメイン コントローラーで BitLocker ネットワークロック解除証明書ポリシーを削除して、ドメイン全体に対して同じタスクを実行することもできます。

注意

ネットワーク ロック解除証明書と WDS サーバー上のキーを含むFVE_NKP証明書ストアを削除すると、その証明書のロック解除要求に応答するサーバーの機能も効果的に無効になります。 ただし、これはエラー状態と見なされ、ネットワーク ロック解除サーバーをオフにするためのサポートまたは推奨される方法ではありません。

ネットワークロック解除証明書を更新する

ネットワーク ロック解除で使用される証明書を更新するには、管理者はサーバーの新しい証明書をインポートまたは生成してから、ドメイン コントローラーのネットワーク ロック解除証明書グループ ポリシー設定を更新する必要があります。

注意

グループ ポリシー オブジェクト (GPO) を受け取らないサーバーは、起動時に PIN を必要とします。 このような場合は、サーバーが GPO を受け取って証明書を更新しなかった理由を確認します。

ネットワークロック解除のトラブルシューティング

ネットワークロック解除の問題のトラブルシューティングは、まず環境を確認することから始まります。 多くの場合、小さな構成の問題がエラーの根本原因になる可能性があります。 確認する項目は次のとおりです。

  • クライアント ハードウェアが UEFI ベースであり、ファームウェア バージョン 2.3.1 にあり、BIOS モードの互換性サポート モジュール (CSM) が有効になっていないネイティブ モードであることを確認します。 これを行うには、ファームウェアに "レガシ モード" や "互換モード" などのオプションが有効になっていないか、ファームウェアが BIOS に似たモードになっていないことを確認します。

  • 必要なすべてのロールとサービスがインストールされ、開始されます。

  • パブリック証明書とプライベート証明書は発行されており、適切な証明書コンテナー内にあります。 ネットワーク ロック解除証明書の存在は、ローカル コンピューターの証明書スナップインが有効になっている WDS サーバーの Microsoft 管理コンソール (MMC.exe) で確認できます。 クライアント証明書は、クライアント コンピューターのレジストリ キー HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\\FVE_NKP を確認することで確認できます。

  • ネットワーク ロック解除のグループ ポリシーが有効になり、適切なドメインにリンクされます。

  • グループ ポリシーがクライアントに適切に到達しているかどうかを確認します。 これは、GPRESULT.exeまたは RSOP.msc ユーティリティを使用して行うことができます。

  • ポリシーの適用後にクライアントが再起動されたかどうかを確認します。

  • ネットワーク (証明書ベース) 保護機能がクライアントに一覧表示されているかどうかを確認します。 これは、manage-bde または Windows PowerShell コマンドレットを使用して実行できます。 たとえば、次のコマンドは、ローカル コンピューターの C: ドライブで現在構成されているキー 保護機能を一覧表示します。

    manage-bde -protectors -get C:
    

    注意

    の出力 manage-bde と WDS デバッグ ログを使用して、適切な証明書の拇印がネットワーク ロック解除に使用されているかどうかを判断します。

次のファイルを収集して、BitLocker ネットワーク ロック解除のトラブルシューティングを行います。

  • Windows イベント ログ。 具体的には、BitLocker イベント ログと Microsoft-Windows-Deployment-Services-Diagnostics-Debug ログを取得します。

    WDS サーバー ロールのデバッグ ログは既定でオフになっているので、取得する前に有効にする必要があります。 WDS デバッグ ログを有効にするには、次の 2 つの方法のいずれかを使用します。

    • 管理者特権のコマンド プロンプトを起動し、次のコマンドを実行します。

      wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      
    • WDS サーバーでイベント ビューアーを開きます。

    1. 左側のウィンドウで、[アプリケーションとサービス ログ > ] [Microsoft > Windows > Deployment-Services-Diagnostics > Debug] を選択します
    2. 右側のウィンドウで、[ ログの有効化] を選択します。
  • DHCP サブネット構成ファイル (存在する場合)。

  • ボリュームの BitLocker 状態の出力。 を使用 manage-bde -statusして、この出力をテキスト ファイルに収集します。 または、Windows PowerShellで を使用しますGet-BitLockerVolume

  • クライアント IP アドレスでフィルター処理された WDS ロールをホストするサーバー上のネットワーク モニター キャプチャ。

以前のバージョンでネットワーク ロック解除グループ ポリシー設定を構成する

ネットワーク ロック解除と、それに伴うグループ ポリシー設定は、Windows Server 2012で導入されました。 ただし、Windows Server 2008 R2 と Windows Server 2008 を実行するオペレーティング システムを使用して展開できます。

システムは、次の要件を満たす必要があります。

  • WDS をホストするサーバーは、この記事の冒頭にある [適用対象] リストで指定されているサーバー オペレーティング システムを実行している必要があります。
  • クライアント コンピューターは、この記事の冒頭にある [適用対象] リストで指定されているクライアント オペレーティング システムを実行している必要があります。

これらの古いシステムでネットワーク ロック解除を構成するには、次の手順に従います。

  1. WDS サーバーの役割をインストールする

  2. WDS サービスが実行されていることを確認する

  3. ネットワークロック解除機能をインストールする

  4. ネットワーク ロック解除証明書を作成する

  5. 秘密キーと証明書を WDS サーバーに展開する

  6. ネットワーク ロック解除のレジストリ設定を構成します。

    この記事の冒頭にある [適用対象] リストで指定されているクライアント オペレーティング システムを実行する各コンピューターで、次 certutil のスクリプト (ネットワーク ロック解除証明書ファイルが BitLocker-NetworkUnlock.cer と呼ばれると仮定) を実行して、レジストリ設定を適用します。

            certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
    
  7. クライアントに TPM 保護機能を設定します。

  8. クライアントを再起動して、ネットワーク (証明書ベース) 保護機能を追加します。

関連項目