Desbloqueio de Rede

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

O Desbloqueio de Rede é um protetor de chave BitLocker para volumes do sistema operacional. O Desbloqueio de Rede permite um gerenciamento mais fácil para desktops e servidores habilitados para BitLocker em um ambiente de domínio, fornecendo o desbloqueio automático de volumes do sistema operacional na reinicialização do sistema quando conectado a uma rede corporativa com fio. O Desbloqueio de Rede exige que o hardware do cliente tenha um driver DHCP implementado em seu firmware UEFI. Sem o Desbloqueio de Rede, os volumes do sistema operacional protegidos por TPM+PIN protetores exigem que um PIN seja inserido quando um dispositivo reinicializa ou retoma da hibernação (por exemplo, por Wake on LAN). Exigir um PIN após uma reinicialização pode dificultar a implantação de patches de software para áreas de trabalho autônomas e servidores administrados remotamente.

O Desbloqueio de Rede permite sistemas habilitados para BitLocker que têm um TPM+PIN e que atendem aos requisitos de hardware para inicializar no Windows sem intervenção do usuário. O Desbloqueio de Rede funciona de maneira semelhante à inicialização TPM+StartupKey . No entanto, em vez de precisar ler o StartupKey da mídia USB, o recurso desbloqueio de rede precisa da chave a ser composta a partir de uma chave armazenada no TPM e de uma chave de rede criptografada que é enviada para o servidor, descriptografada e retornada ao cliente em uma sessão segura.

Requisitos de sistema

O Desbloqueio de Rede deve atender aos requisitos obrigatórios de hardware e software antes que o recurso possa desbloquear automaticamente sistemas ingressados no domínio. Esses requisitos incluem:

• Qualquer sistema operacional com suporte com drivers DHCP da UEFI que pode servir como clientes de Desbloqueio de Rede
• Desbloquear clientes de rede com um chip TPM e pelo menos um protetor TPM
• Um servidor que executa a função WDS (Serviços de Implantação do Windows) em qualquer sistema operacional de servidor com suporte
• Recurso opcional de Desbloqueio de Rede do BitLocker instalado em qualquer sistema operacional de servidor com suporte
• Um servidor DHCP, separado do servidor WDS
• Emparelhamento de chaves público/privado devidamente configurado
• Configurações de política de grupo de desbloqueio de rede configuradas
• Pilha de rede habilitada no firmware UEFI de dispositivos cliente

Importante

Para dar suporte ao DHCP dentro da UEFI, o sistema baseado em UEFI deve estar no modo nativo e não deve ter um CSM (módulo de suporte de compatibilidade) habilitado.

Para que o Desbloqueio de Rede funcione de forma confiável, o primeiro adaptador de rede no dispositivo, geralmente o adaptador a bordo, deve ser configurado para dar suporte ao DHCP. Este primeiro adaptador de rede deve ser usado para Desbloqueio de Rede. Essa configuração vale especialmente a pena observar quando o dispositivo tem vários adaptadores e alguns adaptadores são configurados sem DHCP, como para uso com um protocolo de gerenciamento de apagar luzes. Essa configuração é necessária porque o Desbloqueio de Rede para de enumerar adaptadores quando atinge um com uma falha na porta DHCP por qualquer motivo. Assim, se o primeiro adaptador enumerado não dá suporte ao DHCP, não está conectado à rede ou falha ao relatar a disponibilidade da porta DHCP por qualquer motivo, o Desbloqueio de Rede falhará.

O componente do servidor de Desbloqueio de Rede é instalado em versões com suporte do Windows Server como um recurso do Windows que usa cmdlets Gerenciador do Servidor ou Windows PowerShell. O nome do recurso está BitLocker Network Unlock no Gerenciador do Servidor e BitLocker-NetworkUnlock no PowerShell.

O Desbloqueio de Rede requer WDS (Serviços de Implantação do Windows) no ambiente em que o recurso será utilizado. A configuração da instalação do WDS não é necessária. No entanto, o serviço WDS deve estar em execução no servidor.

A chave de rede é armazenada na unidade do sistema junto com uma chave de sessão do AES 256 e criptografada com a chave pública RSA de 2048 bits do certificado Desbloquear servidor. A chave de rede é descriptografada com a ajuda de um provedor em uma versão com suporte do Windows Server executando o WDS e retornada criptografada com sua chave de sessão correspondente.

Sequência de Desbloqueio de Rede

A sequência de desbloqueio começa no lado do cliente quando o gerenciador de inicialização do Windows detecta a existência do protetor de Desbloqueio de Rede. Ele usa o driver DHCP na UEFI para obter um endereço IP para IPv4 e, em seguida, transmite uma solicitação DHCP específica do fornecedor que contém a chave de rede e uma chave de sessão para a resposta, todas criptografadas pelo certificado de Desbloqueio de Rede do servidor. O provedor de Desbloqueio de Rede no servidor WDS com suporte reconhece a solicitação específica do fornecedor, descriptografa-a com a chave privada RSA e retorna a chave de rede criptografada com a chave de sessão por meio de sua própria resposta DHCP específica do fornecedor.

No lado do servidor, a função de servidor WDS tem um componente plug-in opcional, como um provedor PXE, que é o que manipula as solicitações de Desbloqueio de Rede de entrada. O provedor também pode ser configurado com restrições de sub-rede, o que exigiria que o endereço IP fornecido pelo cliente na solicitação de Desbloqueio de Rede pertencesse a uma sub-rede permitida para liberar a chave de rede para o cliente. Em instâncias em que o provedor de Desbloqueio de Rede não está disponível, o BitLocker falha no próximo protetor disponível para desbloquear a unidade. Em uma configuração típica, a tela de desbloqueio padrão TPM+PIN é apresentada para desbloquear a unidade.

A configuração do lado do servidor para habilitar o Desbloqueio de Rede também requer o provisionamento de um par de chaves públicas/privadas RSA de 2048 bits na forma de um certificado X.509 e a distribuição do certificado de chave pública para os clientes. Esse certificado é a chave pública que criptografa a chave de rede intermediária (que é um dos dois segredos necessários para desbloquear a unidade; o outro segredo é armazenado no TPM) e deve ser gerenciado e implantado por meio de Política de Grupo.

O processo de Desbloqueio de Rede segue estas fases:

1. O gerenciador de inicialização do Windows detecta um protetor de Desbloqueio de Rede na configuração do BitLocker
2. O computador cliente usa seu driver DHCP no UEFI para obter um endereço IP IPv4 válido
3. O computador cliente transmite uma solicitação DHCP específica do fornecedor que contém uma chave de rede (uma chave intermediária de 256 bits) e uma chave de sessão AES-256 para a resposta. A chave de rede é criptografada usando a Chave Pública RSA de 2048 bits do certificado desbloqueio de rede do servidor WDS
4. O provedor de Desbloqueio de Rede no servidor WDS reconhece a solicitação específica do fornecedor
5. O provedor descriptografa a solicitação usando a chave privada RSA do certificado RSA do servidor WDS
6. O provedor WDS retorna a chave de rede criptografada com a chave de sessão usando sua própria resposta DHCP específica do fornecedor ao computador cliente. Essa chave é uma chave intermediária
7. A chave intermediária retornada é combinada com outra chave intermediária local de 256 bits. Essa chave só pode ser descriptografada pelo TPM
8. Essa chave combinada é usada para criar uma chave AES-256 que desbloqueia o volume
9. O Windows continua a sequência de inicialização

Configurar o Desbloqueio pela rede

As etapas a seguir permitem que um administrador configure o Desbloqueio de Rede em um domínio do Active Directory.

Instalar a função de servidor WDS

O recurso Desbloqueio de Rede do BitLocker instala a função WDS se ainda não estiver instalada. O WDS pode ser instalado separadamente, antes que o Desbloqueio de Rede do BitLocker seja instalado, usando Gerenciador do Servidor ou PowerShell. Para instalar a função usando Gerenciador do Servidor, selecione a função Serviços de Implantação do Windows no Gerenciador do Servidor.

Para instalar a função usando o PowerShell, use o seguinte comando:

Install-WindowsFeature WDS-Deployment

O servidor WDS deve ser configurado para que ele possa se comunicar com o DHCP (e opcionalmente o AD DS) e o computador cliente. O servidor WDS pode ser configurado usando a ferramenta de gerenciamento do WDS, wdsmgmt.msc, que inicia o assistente de Configuração dos Serviços de Implantação do Windows.

Confirme se o serviço WDS está em execução

Para confirmar se o serviço WDS está em execução, use o Console de Gerenciamento de Serviços ou o PowerShell. Para confirmar se o serviço está em execução no Console de Gerenciamento de Serviços, abra o console usando services.msc e marcar o status do serviço Windows Deployment Services.

Para confirmar se o serviço está sendo executado usando o PowerShell, use o seguinte comando:

Get-Service WDSServer

Instalar o recurso Desbloqueio de Rede

Para instalar o recurso Desbloqueio de Rede, use Gerenciador do Servidor ou PowerShell. Para instalar o recurso usando Gerenciador do Servidor, selecione o recurso de Desbloqueio de Rede do BitLocker no console Gerenciador do Servidor.

Para instalar o recurso usando o PowerShell, use o seguinte comando:

Install-WindowsFeature BitLocker-NetworkUnlock

Criar o modelo de certificado para Desbloqueio de Rede

Uma Autoridade de Certificação do Active Directory devidamente configurada pode usar esse modelo de certificado para criar e emitir certificados de Desbloqueio de Rede.

1. Abra o snap-in modelo de certificados (certtmpl.msc)

2. Localize o modelo de usuário, clique com o botão direito do mouse no nome do modelo e selecione Modelo duplicado

3. Na guia Compatibilidade, altere os campos autoridade de certificação e destinatário de certificado para Windows Server 2016 e Windows 10, respectivamente. Verifique se a caixa de diálogo Mostrar alterações resultantes está selecionada

4. Selecione a guia Geral do modelo. O nome de exibição do modelo e o nome do modelo devem identificar que o modelo será usado para Desbloqueio de Rede. Desmarque a caixa marcar para a opção Publicar certificado no Active Directory

5. Selecione a guia Tratamento de Solicitações . Selecione Criptografia no menu suspenso Propósito . Verifique se a opção Permitir que a chave privada seja exportada está selecionada

6. Selecione a guia Criptografia . Defina o tamanho mínimo da chave como 2048. Qualquer provedor criptográfico da Microsoft que dê suporte ao RSA pode ser usado para este modelo, mas, para simplificar e encaminhar compatibilidade, é recomendável usar o Provedor de Armazenamento de Chaves de Software da Microsoft

7. Selecione as Solicitações devem usar uma das seguintes opções de provedores e limpar todas as opções, exceto para o provedor de criptografia selecionado, como o Provedor de Armazenamento de Chaves de Software da Microsoft

8. Selecione a guia Nome do Assunto . Selecione Fornecer na solicitação. Selecione OK se a caixa de diálogo pop-up modelos de certificado for exibida

9. Selecione a guia Requisitos de Emissão. Selecione a aprovação do gerenciador de certificados da AC e as opções de certificado existentes válidas

10. Selecione a guia Extensões . Selecione Políticas de Aplicativo e escolha Editar...

11. Na caixa de diálogo Editar Opções de Extensão de Políticas de Aplicativo, selecione Autenticação do Cliente, Sistema de Arquivos criptografadose Proteger Email e escolha Remover

12. Na caixa de diálogo Editar Políticas de Aplicativo, selecione Adicionar

13. Na caixa de diálogo Adicionar Política de Aplicativo , selecione Novo. Na caixa de diálogo Nova Política de Aplicativo , insira as seguintes informações no espaço fornecido e selecione OK para criar a política de aplicativo de Desbloqueio de Rede do BitLocker:

    • Name:BitLocker Network Unlock
    • Identificador de Objeto:1.3.6.1.4.1.311.67.1.1

14. Selecione a política de aplicativo de Desbloqueio de Rede do BitLocker recém-criada e selecione OK

15. Com a guia Extensões ainda aberta, selecione a caixa de diálogo Editar Extensão de Uso da Chave . Selecione a opção Permitir troca de chaves somente com criptografia de chave (cercamento de chave). Selecione a opção Tornar essa extensão crítica

16. Selecione a guia Segurança. Confirme se o grupo administradores de domínio recebeu permissão Registrar

17. Selecione OK para concluir a configuração do modelo

Para adicionar o modelo de Desbloqueio de Rede à autoridade de certificado, abra o snap-in da autoridade de certificado (certsrv.msc). Clique com o botão direito do mouse em Modelos de Certificado e escolha Novo Modelo de Certificado para emitir. Selecione o certificado de Desbloqueio de Rede do BitLocker criado anteriormente.

Depois que o modelo de Desbloqueio de Rede for adicionado à autoridade de certificado, esse certificado poderá ser usado para configurar o Desbloqueio de Rede do BitLocker.

Criar o certificado de Desbloqueio de Rede

O Desbloqueio de Rede pode usar certificados importados de uma PKI (infraestrutura de chave pública) existente. Ou pode usar um certificado autoassinado.

Para registrar um certificado de uma autoridade de certificado existente:

1. No servidor WDS, abra o Gerenciador de Certificados usando certmgr.msc
2. Em Certificados – Usuário Atual, clique com o botão direito do mouse em Pessoal
3. Selecionar todas as tarefas>solicitar novo certificado
4. Quando o assistente de Registro de Certificado for aberto, selecione Avançar
5. Selecionar Política de Registro do Active Directory
6. Escolha o modelo de certificado criado para Desbloqueio de Rede no controlador de domínio. Em seguida, selecione Registrar
7. Quando solicitado para obter mais informações, selecione Nome da Entidade e forneça um valor de nome amigável. O nome amigável deve incluir informações para o domínio ou unidade organizacional para o certificado Por exemplo: Certificado de Desbloqueio de Rede BitLocker para o domínio Contoso
8. Crie o certificado. Verifique se o certificado é exibido na pasta Pessoal
9. Exportar o certificado de chave pública para Desbloqueio de Rede:
   1. Crie um .cer arquivo clicando com o botão direito do mouse no certificado criado anteriormente, selecionando Todas as Tarefas e selecionando Exportar
   2. Selecione Não, não exporte a chave privada
   3. Selecione X.509 binário codificado pelo DER e conclua a exportação do certificado para um arquivo
   4. Dê ao arquivo um nome como BitLocker-NetworkUnlock.cer
10. Exportar a chave pública com uma chave privada para Desbloqueio de Rede
    1. Crie um .pfx arquivo clicando com o botão direito do mouse no certificado criado anteriormente, selecionando Todas as Tarefas e selecionando Exportar
    2. Selecione Sim, exporte a chave privada
    3. Conclua as etapas para criar o .pfx arquivo

Para criar um certificado autoassinado, use o New-SelfSignedCertificate cmdlet em Windows PowerShell ou use certreq.exe. Por exemplo:

Windows PowerShell

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe

1. Crie um arquivo de texto com uma .inf extensão, por exemplo:

   notepad.exe BitLocker-NetworkUnlock.inf
   

2. Adicione o seguinte conteúdo ao arquivo criado anteriormente:

   [NewRequest]
   Subject="CN=BitLocker Network Unlock certificate"
   ProviderType=0
   MachineKeySet=True
   Exportable=true
   RequestType=Cert
   KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
   KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
   KeyLength=2048
   SMIME=FALSE
   HashAlgorithm=sha512
   [Extensions]
   1.3.6.1.4.1.311.21.10 = "{text}"
   _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
   2.5.29.37 = "{text}"
   _continue_ = "1.3.6.1.4.1.311.67.1.1"
   

3. Abra um Prompt de Comando elevado e use a certreq.exe ferramenta para criar um novo certificado. Use o seguinte comando, especificando o caminho completo para o arquivo que foi criado anteriormente junto com o nome do arquivo:

   certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
   

4. Verifique se o certificado foi criado corretamente pelo comando anterior confirmando que o .cer arquivo existe

5. Iniciar o console Certificados – Computador Local executando certlm.msc

6. Crie um .pfx arquivo seguindo as etapas abaixo do console Certificados – Computador Local :

   1. Navegar até Certificados – CertificadosPessoais> de Computador Local>
   2. Clique com o botão direito do mouse no certificado importado anteriormente, selecione Todas as Tarefas e selecione Exportar
   3. Siga o assistente para criar o .pfx arquivo

Implantar a chave privada e o certificado no servidor WDS

Depois de criar o certificado e a chave, implante-os na infraestrutura para desbloquear corretamente os sistemas. Para implantar os certificados:

1. No servidor WDS, inicie o console Certificados – Computador Local executando certlm.msc
2. Clique com o botão direito do mouse no item Desbloqueio de Rede de Criptografia de Unidade do BitLocker em Certificados (Computador Local), selecione Todas as Tarefas e selecione Importar
3. Na caixa de diálogo Arquivo para Importar , escolha o .pfx arquivo criado anteriormente
4. Insira a senha usada para criar e .pfx concluir o assistente

Configurar configurações de política de grupo para Desbloqueio de Rede

Com o certificado e a chave implantados no servidor WDS para Desbloqueio de Rede, a etapa final é usar as configurações da política de grupo para implantar o certificado de chave pública nos computadores desejados que usarão a chave de Desbloqueio de Rede para desbloquear. As configurações de política de grupo para BitLocker podem serencontradas em Modelos Administrativos> de Configuração> do ComputadorBitLocker>Drive Encryption usando o Política de Grupo Editor Local ou o Console de Gerenciamento da Microsoft.

As etapas a seguir descrevem como habilitar a configuração da política de grupo que é um requisito para configurar o Desbloqueio de Rede.

1. Abra Política de Grupo Console de Gerenciamento (gpmc.msc)
2. Habilitar a política Exigir autenticação adicional na inicialização e, em seguida, selecione Exigir PIN de inicialização com TPM ou Permitir PIN de inicialização com TPM
3. Ativar o BitLocker com protetores TPM+PIN em todos os computadores ingressados no domínio

As etapas a seguir descrevem como implantar a configuração de política de grupo necessária:

1. Copiar o .cer arquivo que foi criado para o Desbloqueio de Rede para o controlador de domínio

2. No controlador de domínio, abra Política de Grupo Console de Gerenciamento (gpmc.msc)

3. Criar um novo objeto Política de Grupo ou modificar um objeto existente para habilitar a configuração Permitir Desbloqueio de Rede na configuração de inicialização

4. Implantar o certificado público para clientes:

   1. No console de gerenciamento de política de grupo, navegue até o seguinte local:

      Configuração> do computadorPolíticas>Configurações do> WindowsConfigurações> de segurançaPolíticas> de chave públicaCertificado de Desbloqueio de Rede de Criptografia de Unidade do BitLocker.

   2. Clique com o botão direito do mouse na pasta e selecione Adicionar Certificado de Desbloqueio de Rede

   3. Siga as etapas do assistente e importe o .cer arquivo que foi copiado anteriormente

   Observação

   Somente um certificado de Desbloqueio de Rede pode estar disponível por vez. Se um novo certificado for necessário, exclua o certificado atual antes de implantar um novo. O certificado desbloqueio de rede está localizado sob a chave do HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP registro no computador cliente.

5. Reinicialize os clientes após a implantação do Política de Grupo

   Observação

   O protetor network (baseado em certificado) será adicionado somente após uma reinicialização, com a política habilitada e um certificado válido presente no repositório FVE_NKP.

Arquivos de configuração de política de sub-rede no servidor WDS (opcional)

Por padrão, todos os clientes com o certificado de Desbloqueio de Rede correto e protetores de Desbloqueio de Rede válidos que têm acesso com fio a um servidor WDS habilitado para Desbloqueio de Rede via DHCP são desbloqueados pelo servidor. Um arquivo de configuração de política de sub-rede no servidor WDS pode ser criado para limitar quais são as sub-redes que os clientes do Desbloqueio de Rede podem usar para desbloquear.

O arquivo de configuração, chamado bde-network-unlock.ini, deve estar localizado no mesmo diretório que a DLL do provedor de Desbloqueio de Rede (%windir%\System32\Nkpprov.dll) e se aplica às implementações DHCP IPv6 e IPv4. Se a política de configuração de sub-rede ficar corrompida, o provedor falhará e interromperá a resposta às solicitações.

O arquivo de configuração de política de sub-rede deve usar uma [SUBNETS] seção para identificar as sub-redes específicas. As sub-redes nomeadas podem então ser usadas para especificar restrições em subseções de certificado. As sub-redes são definidas como pares de nome-valor simples, no formato INI comum, em que cada sub-rede tem sua própria linha, com o nome à esquerda do sinal igual e a sub-rede identificada à direita do sinal igual como um endereço ou intervalo CIDR (roteamento de Inter-Domain sem classe). A palavra-chave ENABLED é proibida para nomes de sub-rede.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

Seguindo a [SUBNETS] seção, pode haver seções para cada certificado de Desbloqueio de Rede, identificado pela impressão digital do certificado formatada sem espaços, que definem os clientes de sub-redes que podem ser desbloqueados desse certificado.

Observação

Ao especificar a impressão digital do certificado, não inclua espaços. Se os espaços forem incluídos na impressão digital, a configuração da sub-rede falhará porque a impressão digital não será reconhecida como válida.

As restrições de sub-rede são definidas em cada seção de certificado, denotando a lista permitida de sub-redes permitidas. Se alguma sub-rede estiver listada em uma seção de certificado, somente essas sub-redes serão permitidas para esse certificado. Se nenhuma sub-rede estiver listada em uma seção de certificado, todas as sub-redes serão permitidas para esse certificado. Se um certificado não tiver uma seção no arquivo de configuração da política de sub-rede, nenhuma restrição de sub-rede será aplicada para desbloqueio com esse certificado. Para que as restrições sejam aplicadas a cada certificado, deve haver uma seção de certificado para cada certificado de Desbloqueio de Rede no servidor e um conjunto de lista permitido explícito para cada seção de certificado.

As listas de sub-rede são criadas colocando o nome de uma sub-rede da [SUBNETS] seção em sua própria linha abaixo do cabeçalho da seção de certificado. Em seguida, o servidor só desbloqueará clientes com esse certificado nas sub-redes especificadas como na lista. Para solução de problemas, uma sub-rede pode ser rapidamente excluída sem excluí-la da seção comentando-a com um semi-cólon pré-endended.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Para não permitir completamente o uso de um certificado, adicione uma DISABLED linha à sua lista de sub-rede.

Desativar o Desbloqueio de Rede

Para desativar o servidor de desbloqueio, o provedor PXE pode ser não registrado no servidor WDS ou desinstalado completamente. No entanto, para impedir que os clientes criem protetores de Desbloqueio de Rede, a configuração Permitir Desbloqueio de Rede na política de grupo de inicialização deve ser desabilitada. Quando essa configuração de política é atualizada para desabilitada em computadores cliente, qualquer protetor de chave de Desbloqueio de Rede no computador é excluído. Como alternativa, a política de certificado de Desbloqueio de Rede do BitLocker pode ser excluída no controlador de domínio para realizar a mesma tarefa para um domínio inteiro.

Observação

A remoção do repositório de certificados FVE_NKP que contém o certificado de Desbloqueio de Rede e a chave no servidor WDS também desabilitará efetivamente a capacidade do servidor de responder às solicitações de desbloqueio desse certificado. No entanto, isso é visto como uma condição de erro e não é um método compatível ou recomendado para desativar o servidor de Desbloqueio de Rede.

Atualizar certificados de Desbloqueio de Rede

Para atualizar os certificados usados pelo Desbloqueio de Rede, os administradores precisam importar ou gerar o novo certificado para o servidor e atualizar a configuração de política de grupo de certificados de Desbloqueio de Rede no controlador de domínio.

Observação

Servidores que não recebem a configuração da política de grupo exigem um PIN quando inicializam. Nesses casos, descubra por que os servidores não recebem o GPO para atualizar o certificado.

Solucionar problemas de desbloqueio de rede

A solução de problemas de desbloqueio de rede começa verificando o ambiente. Muitas vezes, um pequeno problema de configuração pode ser a causa raiz da falha. Os itens a serem verificados incluem:

• Verifique se o hardware do cliente é baseado em UEFI e está no firmware versão 2.3.1 e se o firmware UEFI está no modo nativo sem um CSM (Módulo de Suporte de Compatibilidade) para o modo BIOS habilitado. A verificação pode ser feita verificando se o firmware não tem uma opção habilitada, como "Modo Herdado" ou "Modo de Compatibilidade" ou que o firmware não parece estar em um modo semelhante a BIOS

• Todas as funções e serviços necessários são instalados e iniciados

• Certificados públicos e privados foram publicados e estão nos contêineres de certificado adequados. A presença do certificado de Desbloqueio de Rede pode ser verificada no Console de Gerenciamento da Microsoft (MMC.exe) no servidor WDS com os snap-ins de certificado para o computador local habilitado. O certificado do cliente pode ser verificado verificando a chave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP do registro no computador cliente

• A política de grupo para Desbloqueio de Rede está habilitada e vinculada aos domínios apropriados

• Verifique se a política de grupo está atingindo os clientes corretamente. A verificação da política de grupo pode ser feita usando os GPRESULT.exe utilitários ou RSOP.msc

• Verifique se os clientes foram reiniciados após a aplicação da política

• Verifique se o protetor de rede (baseado em certificado) está listado no cliente. A verificação do protetor pode ser feita usando cmdlets manage-bde ou Windows PowerShell. Por exemplo, o seguinte comando listará os protetores de chave atualmente configurados na unidade C: do computador local:

  manage-bde.exe -protectors -get C:
  

  Observação

  Use a saída de junto com o log de manage-bde.exe depuração do WDS para determinar se a impressão digital de certificado adequada está sendo usada para Desbloqueio de Rede.

Reúna os arquivos a seguir para solucionar problemas do Desbloqueio de Rede do BitLocker.

• Os logs de eventos do Windows. Especificamente, obtenha os logs de eventos do BitLocker e o Microsoft-Windows-Deployment-Services-Diagnostics-Debug log

  O registro em log de depuração é desativado por padrão para a função de servidor do WDS. Para recuperar logs de depuração do WDS, primeiro os logs de depuração do WDS precisam ser habilitados. Use um dos dois métodos a seguir para ativar o registro em log de depuração do WDS.

  • Inicie um Prompt de Comando elevado e execute o seguinte comando:

    wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
    

  • Abra Visualizador de Eventos no servidor WDS:

    1. No painel esquerdo, navegue até Logs de Aplicativos e Serviços>Microsoft>Windows>Deployment-Services-Diagnostics>Depuração
    2. No painel direito, selecione Habilitar Log

• O arquivo de configuração de sub-rede DHCP (se existir)

• A saída do BitLocker status no volume. Reúna essa saída em um arquivo de texto usando manage-bde.exe -status. Ou em Windows PowerShell, useGet-BitLockerVolume

• A captura do Monitor de Rede no servidor que hospeda a função WDS, filtrada pelo endereço IP do cliente