BitLocker: включение сетевой разблокировки

В этой статье описывается работа функции разблокирования по сети с помощью BitLocker и настройка этой функции.

Сетевая разблокировка — это параметр защиты BitLocker для томов операционной системы. Сетевая разблокировка упрощает управление настольными компьютерами и серверами с поддержкой BitLocker в среде домена, обеспечивая автоматическую разблокировку томов операционной системы при перезагрузке системы при подключении к проводной корпоративной сети. Для этого необходимо, чтобы клиентское оборудование было реализовано в встроенном ПО UEFI драйвер DHCP. Без сетевой разблокировки тома операционной системы, защищенные защитой доверенного платформенного модуля и ПИН-кода, требуют ввода ПИН-кода при перезагрузке компьютера или выходе из режима гибернации (например, при пробуждении по локальной сети). Требование пин-кода после перезагрузки может затруднить развертывание исправлений программного обеспечения на автоматических рабочих столах и удаленно администрируемых серверах.

Сетевая разблокировка позволяет системам с поддержкой BitLocker, имеющим TPM+PIN-код и отвечающим требованиям к оборудованию, загружаться в Windows без вмешательства пользователя. Сетевая разблокировка работает аналогично TPM+StartupKey при загрузке. Вместо того чтобы считывать StartupKey с USB-носителя, функция сетевой разблокировки должна состоять из ключа, хранящегося в доверенном платформенного модуля, и зашифрованного сетевого ключа, который отправляется на сервер, расшифровывается и возвращается клиенту в безопасном сеансе.

Требования к ядру разблокировки сети

Сетевая разблокировка должна соответствовать обязательным требованиям к оборудованию и программному обеспечению, прежде чем функция сможет автоматически разблокировать системы, присоединенные к домену. К этим требованиям относятся:

  • Поддерживаемая в настоящее время операционная система Windows
  • Любая поддерживаемая операционная система с драйверами DHCP UEFI, которые могут служить клиентами сетевой разблокировки
  • Разблокировка сети с помощью микросхемы доверенного платформенного модуля и по крайней мере одного предохранителя доверенного платформенного модуля
  • Сервер с ролью служб развертывания Windows (WDS) в любой поддерживаемой операционной системе сервера
  • Дополнительная функция разблокировки сети BitLocker, установленная в любой поддерживаемой операционной системе сервера
  • DHCP-сервер, отдельный от сервера WDS.
  • Правильно настроенное связывание открытого и закрытого ключей
  • Настройка параметров групповой политики "Разблокировка сети"
  • Сетевой стек включен в встроенном ПО UEFI клиентских устройств

Примечание.

Для правильной поддержки DHCP в UEFI система на основе UEFI должна находиться в собственном режиме и не должна включать модуль поддержки совместимости (CSM).

Для надежной работы сетевой разблокировки на компьютерах необходимо настроить первый сетевой адаптер на компьютере, обычно подключенный адаптер, для поддержки DHCP. Этот первый сетевой адаптер должен использоваться для разблокировки сети. Эту конфигурацию особенно стоит отметить, если устройство имеет несколько адаптеров, а некоторые адаптеры настроены без DHCP, например для использования с протоколом управления с отключенным освещением. Эта конфигурация необходима, так как сетевая разблокировка прекращает перечисление адаптеров при достижении одного из них со сбоем DHCP-порта по любой причине. Таким образом, если первый перечислимый адаптер не поддерживает DHCP, не подключен к сети или по какой-либо причине не сообщает о доступности DHCP-порта, то сетевая разблокировка завершается ошибкой.

Компонент сервера сетевой разблокировки устанавливается в поддерживаемых версиях Windows Server 2012 и более поздних версий в качестве компонента Windows, использующего командлеты диспетчер сервера или Windows PowerShell. Имя функции — BitLocker Network Unlock в диспетчер сервера и BitLocker-NetworkUnlock в Windows PowerShell. Эта функция является основным требованием.

Для сетевой разблокировки требуются службы развертывания Windows (WDS) в среде, в которой будет использоваться эта функция. Настройка установки WDS не требуется. Однако служба WDS должна работать на сервере.

Сетевой ключ хранится на системном диске вместе с ключом сеанса AES 256 и шифруется с помощью 2048-разрядного открытого ключа RSA сертификата сервера разблокировки. Сетевой ключ расшифровывается с помощью поставщика в поддерживаемой версии Windows Server под управлением WDS и возвращается в зашифрованном виде с соответствующим ключом сеанса.

Последовательность разблокировки сети

Последовательность разблокировки начинается на стороне клиента, когда диспетчер загрузки Windows обнаруживает наличие предохранителя сетевой разблокировки. Он использует драйвер DHCP в UEFI для получения IP-адреса для IPv4, а затем передает конкретный поставщик DHCP-запрос, содержащий сетевой ключ и ключ сеанса для ответа, зашифрованный сертификатом сетевой разблокировки сервера, как описано выше. Поставщик сетевой разблокировки на поддерживаемом сервере WDS распознает запрос конкретного поставщика, расшифровывает его с помощью закрытого ключа RSA и возвращает сетевой ключ, зашифрованный с помощью ключа сеанса, с помощью собственного ответа DHCP поставщика.

На стороне сервера роль сервера WDS имеет необязательный компонент подключаемого модуля, например поставщик PXE, который обрабатывает входящие запросы разблокировки сети. Поставщик также может быть настроен с ограничениями подсети, которые требуют, чтобы IP-адрес, предоставленный клиентом в запросе сетевой разблокировки, принадлежал разрешенной подсети, чтобы освободить сетевой ключ для клиента. В случаях, когда поставщик сетевой разблокировки недоступен, BitLocker выполняет отработку отказа на следующий доступный предохранитель, чтобы разблокировать диск. В обычной конфигурации для разблокировки диска отображается стандартный экран разблокировки доверенного платформенного модуля и ПИН-кода.

Конфигурация на стороне сервера для включения сетевой разблокировки также требует подготовки 2048-разрядной пары открытого и закрытого ключей RSA в виде сертификата X.509 и распространения сертификата открытого ключа среди клиентов. Этот сертификат должен управляться и развертываться с помощью редактора групповая политика непосредственно на контроллере домена с уровнем работоспособности домена windows Server 2012. Этот сертификат является открытым ключом, который шифрует промежуточный сетевой ключ (который является одним из двух секретов, необходимых для разблокировки диска; другой секрет хранится в TPM).

Управляйте этим сертификатом и развертывайте его с помощью редактора групповая политика непосредственно на контроллере домена с уровнем работы домена не менее Windows Server 2012. Этот сертификат является открытым ключом, который шифрует промежуточный сетевой ключ. Промежуточный сетевой ключ является одним из двух секретов, необходимых для разблокировки диска. другой секрет хранится в TPM.

Схема, показывающая последовательность разблокировки сети BitLocker.

Процесс сетевой разблокировки выполняется следующим образом:

  1. Диспетчер загрузки Windows обнаруживает предохранитель сетевой разблокировки в конфигурации BitLocker.

  2. Клиентский компьютер использует драйвер DHCP в UEFI для получения допустимого IP-адреса IPv4.

  3. Клиентский компьютер передает dhcp-запрос конкретного поставщика, содержащий:

    1. Сетевой ключ (256-разрядный промежуточный ключ), зашифрованный с помощью 2048-разрядного открытого ключа RSA сертификата сетевой разблокировки с сервера WDS.

    2. Ключ сеанса AES-256 для ответа.

  4. Поставщик сетевой разблокировки на сервере WDS распознает запрос конкретного поставщика.

  5. Поставщик расшифровывает запрос с помощью закрытого ключа RSA сертификата BitLocker сетевой разблокировки сервера WDS.

  6. Поставщик WDS возвращает сетевой ключ, зашифрованный с помощью ключа сеанса, используя собственный ответ DHCP конкретного поставщика на клиентский компьютер. Этот ключ является промежуточным.

  7. Возвращенный промежуточный ключ объединяется с другим локальным 256-разрядным промежуточным ключом. Этот ключ можно расшифровать только с помощью доверенного платформенного модуля.

  8. Этот объединенный ключ используется для создания ключа AES-256, который разблокирует том.

  9. Windows продолжает последовательность загрузки.

Настройка сетевой разблокировки

Следующие шаги позволяют администратору настроить сетевую разблокировку в домене, где уровень работы домена не ниже Windows Server 2012.

Установка роли сервера WDS

Функция сетевой разблокировки BitLocker устанавливает роль WDS, если она еще не установлена. WDS можно установить отдельно перед установкой BitLocker Network Unlock с помощью диспетчер сервера или Windows PowerShell. Чтобы установить роль с помощью диспетчер сервера, выберите роль Службы развертывания Windows в диспетчер сервера.

Чтобы установить роль с помощью Windows PowerShell, используйте следующую команду:

Install-WindowsFeature WDS-Deployment

Сервер WDS должен быть настроен таким образом, чтобы он смог взаимодействовать с DHCP (и при необходимости AD DS) и клиентским компьютером. Сервер WDS можно настроить с помощью средства управления WDS, wdsmgmt.mscкоторое запускает мастер настройки служб развертывания Windows.

Убедитесь, что служба WDS запущена

Чтобы убедиться, что служба WDS запущена, используйте консоль управления службами или Windows PowerShell. Чтобы убедиться, что служба запущена в консоли управления службами, откройте консоль с помощью services.msc и проверка состояние службы развертывания Windows.

Чтобы убедиться, что служба работает с помощью Windows PowerShell, используйте следующую команду:

Get-Service WDSServer

Установка функции сетевой разблокировки

Чтобы установить функцию сетевой разблокировки, используйте диспетчер сервера или Windows PowerShell. Чтобы установить компонент с помощью диспетчер сервера, выберите функцию Разблокировки сети BitLocker в консоли диспетчер сервера.

Чтобы установить компонент с помощью Windows PowerShell, используйте следующую команду:

Install-WindowsFeature BitLocker-NetworkUnlock

Создание шаблона сертификата для сетевой разблокировки

Правильно настроенный центр сертификации служб Active Directory может использовать этот шаблон сертификата для создания и выдачи сертификатов сетевой разблокировки.

  1. Откройте оснастку "Шаблон сертификатов" (certtmpl.msc).

  2. Найдите шаблон Пользователя, щелкните правой кнопкой мыши имя шаблона и выберите Дублировать шаблон.

  3. На вкладке Совместимость измените поля Центр сертификации и Получатель сертификата на Windows Server 2012 и Windows 8 соответственно. Убедитесь, что выбрано диалоговое окно Показать результирующие изменения .

  4. Перейдите на вкладку Общие шаблона. Отображаемое имя шаблона и имя шаблона должны четко указывать, что шаблон будет использоваться для сетевой разблокировки. Очистите поле проверка для параметра Опубликовать сертификат в Active Directory.

  5. Перейдите на вкладку Обработка запросов . Выберите Шифрование в раскрывающемся меню Назначение . Убедитесь, что выбран параметр Разрешить экспорт закрытого ключа .

  6. Перейдите на вкладку Шифрование . Задайте для параметра Минимальный размер ключа значение 2048. Для этого шаблона можно использовать любой поставщик шифрования Майкрософт, поддерживающий RSA, но для простоты и совместимости с ней рекомендуется использовать поставщик хранилища ключей программного обеспечения Майкрософт.

  7. Выберите параметр Запросы должны использовать один из следующих поставщиков и снимите все параметры, кроме выбранного поставщика шифрования, например поставщика хранилища ключей майкрософт.

  8. Перейдите на вкладку Имя субъекта . В запросе выберите Пункт Предоставить. Нажмите кнопку ОК , если появится всплывающее диалоговое окно "Шаблоны сертификатов".

  9. Перейдите на вкладку Требования к выдаче . Выберите параметры утверждения диспетчера сертификатов ЦС и Допустимый существующий сертификат .

  10. Перейдите на вкладку Расширения . Выберите Политики приложений и выберите Изменить....

  11. В диалоговом окне Изменение параметров расширения политик приложений выберите Проверка подлинности клиента, Шифрование файловой системыи Защита Email и нажмите кнопку Удалить.

  12. В диалоговом окне Изменение расширения политик приложений нажмите кнопку Добавить.

  13. В диалоговом окне Добавление политики приложений выберите Создать. В диалоговом окне Новая политика приложения введите следующие сведения в предоставленное пространство и нажмите кнопку ОК , чтобы создать политику приложения BitLocker Network Unlock:

    • Имя:Разблокировка сети BitLocker
    • Идентификатор объекта:1.3.6.1.4.1.311.67.1.1
  14. Выберите только что созданную политику приложения BitLocker Network Unlock и нажмите кнопку ОК.

  15. Открыв вкладку Расширения , выберите диалоговое окно Изменение расширения использования ключа . Выберите параметр Разрешить обмен ключами только с шифрованием ключей (шифрование ключей). Выберите параметр Сделать это расширение критически важным .

  16. Перейдите на вкладку Безопасность . Убедитесь, что группе "Администраторы домена " предоставлено разрешение на регистрацию .

  17. Нажмите кнопку ОК , чтобы завершить настройку шаблона.

Чтобы добавить шаблон Сетевая разблокировка в центр сертификации, откройте оснастку центра сертификации (certsrv.msc). Щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите Создать, Шаблон сертификата для выдачи. Выберите ранее созданный сертификат BitLocker Network Unlock.

После добавления шаблона сетевой разблокировки в центр сертификации этот сертификат можно использовать для настройки сетевой разблокировки BitLocker.

Создание сертификата сетевой разблокировки

Сетевая разблокировка может использовать импортированные сертификаты из существующей инфраструктуры открытых ключей (PKI). Кроме того, он может использовать самозаверяющий сертификат.

Чтобы зарегистрировать сертификат из существующего центра сертификации:

  1. На сервере WDS откройте диспетчер сертификатов с помощью certmgr.msc.

  2. В разделе Сертификаты — текущий пользователь щелкните правой кнопкой мыши Личный.

  3. Выберите Все задачи>запрашивать новый сертификат.

  4. Когда откроется мастер регистрации сертификатов, нажмите кнопку Далее.

  5. Выберите Политика регистрации Active Directory.

  6. Выберите шаблон сертификата, созданный для сетевой разблокировки на контроллере домена. Затем выберите Регистрация.

  7. При появлении запроса на ввод дополнительных сведений выберите Имя субъекта и укажите понятное значение имени. Понятное имя должно содержать сведения о домене или подразделении для сертификата. Пример:

    Сертификат разблокировки сети BitLocker для домена Contoso

  8. Создайте сертификат. Убедитесь, что сертификат отображается в папке Личный .

  9. Экспортируйте сертификат открытого ключа для сетевой разблокировки:

    1. Создайте файл, .cer щелкнув ранее созданный сертификат правой кнопкой мыши, выбрав Все задачи, а затем выберите Экспорт.

    2. Выберите Нет, не экспортируйте закрытый ключ.

    3. Выберите Двоичный файл X.509 в кодировке DER и завершите экспорт сертификата в файл.

    4. Присвойте файлу имя, например BitLocker-NetworkUnlock.cer.

  10. Экспортируйте открытый ключ с закрытым ключом для сетевой разблокировки.

    1. Создайте файл, .pfx щелкнув ранее созданный сертификат правой кнопкой мыши, выбрав Все задачи, а затем выберите Экспорт.

    2. Выберите Да, экспортировать закрытый ключ.

    3. Выполните действия, чтобы создать .pfx файл.

Чтобы создать самозаверяющий сертификат, используйте New-SelfSignedCertificate командлет в Windows PowerShell или используйте certreq.exe. Пример:

Windows PowerShell:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe:

  1. Создайте текстовый файл с расширением .inf , например:

    notepad.exe BitLocker-NetworkUnlock.inf
    
  2. Добавьте следующее содержимое в ранее созданный файл:

    [NewRequest]
    Subject="CN=BitLocker Network Unlock certificate"
    ProviderType=0
    MachineKeySet=True
    Exportable=true
    RequestType=Cert
    KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
    KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
    KeyLength=2048
    SMIME=FALSE
    HashAlgorithm=sha512
    [Extensions]
    1.3.6.1.4.1.311.21.10 = "{text}"
    _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
    2.5.29.37 = "{text}"
    _continue_ = "1.3.6.1.4.1.311.67.1.1"
    
  3. Откройте командную строку с повышенными привилегиями и используйте certreq.exe средство для создания нового сертификата. Используйте следующую команду, указав полный путь к файлу, который был создан ранее вместе с именем файла:

    certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
    
  4. Убедитесь, что сертификат был правильно создан предыдущей командой, убедившись, что .cer файл существует.

  5. Запустите консоль "Сертификаты — локальный компьютер" , запустив certlm.msc.

  6. Создайте файл, .pfx выполнив следующие действия в консоли Сертификаты — локальный компьютер :

    1. Перейдите в раздел Сертификаты — личныесертификатылокального>компьютера>.

    2. Щелкните правой кнопкой мыши ранее импортированный сертификат, выберите Все задачи, а затем — Экспорт.

    3. Следуйте указаниям мастера, чтобы создать .pfx файл.

Развертывание закрытого ключа и сертификата на сервере WDS

После создания сертификата и ключа разверните их в инфраструктуру, чтобы правильно разблокировать системы. Чтобы развернуть сертификаты, выполните следующие действия.

  1. На сервере WDS запустите консоль Сертификаты — локальный компьютер , запустив certlm.msc.

  2. Щелкните правой кнопкой мыши элемент Разблокировка сети шифрования диска BitLocker в разделе Сертификаты (локальный компьютер), выберите Все задачи, а затем — Импорт.

  3. В диалоговом окне Импортируемый.pfx файл выберите ранее созданный файл.

  4. Введите пароль, используемый .pfx для создания и завершения работы мастера.

Настройка параметров групповой политики для сетевой разблокировки

Если сертификат и ключ развернуты на сервере WDS для сетевой разблокировки, последним шагом является использование параметров групповой политики для развертывания сертификата открытого ключа на нужных компьютерах, которые будут использовать для разблокировки ключ сетевой разблокировки. Параметры групповой политики для BitLocker можно найти в разделе Конфигурация компьютера>Административные шаблоны>Компоненты> WindowsШифрование диска BitLocker с помощью редактора локальных групповая политика или консоли управления Майкрософт.

Ниже описано, как включить параметр групповой политики, необходимый для настройки сетевой разблокировки.

  1. Откройте консоль управления групповая политика (gpmc.msc).
  2. Включите политику Требовать дополнительную проверку подлинности при запуске, а затем выберите Требовать ПИН-код запуска с доверенным платформенный платформенный модуль или Разрешить ПИН-код запуска с доверенным платформенный платформенный модуль.
  3. Включите BitLocker с защитой доверенного платформенного модуля и ПИН-кода на всех компьютерах, присоединенных к домену.

Ниже описано, как развернуть необходимый параметр групповой политики.

Примечание.

Параметры групповой политики Разрешить сетевую разблокировку при запуске и Добавить сертификат сетевой разблокировки появились в Windows Server 2012.

  1. .cer Скопируйте файл, созданный для сетевой разблокировки, на контроллер домена.

  2. На контроллере домена откройте консоль управления групповая политика (gpmc.msc).

  3. Создайте объект групповая политика или измените существующий объект, чтобы включить параметр Разрешить сетевую разблокировку при запуске.

  4. Разверните общедоступный сертификат на клиентах:

    1. В консоль управления групповой политики перейдите в следующее расположение:

      Конфигурация> компьютераПолитики>Параметры> WindowsПараметры> безопасностиПолитики открытых ключей>Сертификат разблокировки сети шифрования диска BitLocker.

    2. Щелкните папку правой кнопкой мыши и выберите Добавить сертификат разблокировки сети.

    3. Выполните действия мастера и импортируйте .cer файл, скопированный ранее.

    Примечание.

    Одновременно может быть доступен только один сертификат сетевой разблокировки. Если требуется новый сертификат, удалите текущий сертификат перед развертыванием нового сертификата. Сертификат сетевой разблокировки находится в HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP разделе реестра на клиентском компьютере.

  5. Перезагрузите клиенты после развертывания групповая политика.

    Примечание.

    Сетевой (на основе сертификатов) предохранитель будет добавлен только после перезагрузки с включенной политикой и действительным сертификатом, присутствующим в хранилище FVE_NKP.

Файлы конфигурации политики подсети на сервере WDS (необязательно)

По умолчанию все клиенты с правильным сертификатом сетевой разблокировки и действительными предохранителями сетевой разблокировки, которые имеют проводной доступ к серверу WDS с поддержкой сетевой разблокировки через DHCP, разблокируются сервером. Файл конфигурации политики подсети на сервере WDS можно создать, чтобы ограничить подсети, которые клиенты сетевой разблокировки могут использовать для разблокировки.

Файл конфигурации, называемый bde-network-unlock.ini, должен находиться в том же каталоге, что и библиотека DLL поставщика сетевой разблокировки (%windir%\System32\Nkpprov.dll), и он применяется к реализации DHCP IPv6 и IPv4. Если политика конфигурации подсети повреждена, поставщик завершается ошибкой и перестает отвечать на запросы.

Файл конфигурации политики подсети должен использовать раздел [SUBNETS] для идентификации конкретных подсетей. Затем именованные подсети можно использовать для указания ограничений в подразделах сертификатов. Подсети определяются как простые пары "имя-значение" в общем формате INI, где каждая подсеть имеет собственную строку с именем слева от знака равенства, а подсеть, определяемая справа от знака равенства как адрес или диапазон маршрутизации Inter-Domain без классов (CIDR). Ключевое слово ENABLED запрещено для имен подсетей.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

После раздела [SUBNETS] для каждого сертификата сетевой разблокировки могут быть разделы, определенные отпечатком сертификата в формате без пробелов, которые определяют клиенты подсетей, которые могут быть разблокированы из этого сертификата.

Примечание.

При указании отпечатка сертификата не включайте пробелы. Если пробелы включены в отпечаток, конфигурация подсети завершается сбоем, так как отпечаток не будет распознана как допустимый.

Ограничения подсети определяются в каждом разделе сертификата путем обозначения списка разрешенных подсетей. Если какие-либо подсети перечислены в разделе сертификата, для этого сертификата разрешены только эти подсети. Если подсеть не указана в разделе сертификата, то для этого сертификата разрешены все подсети. Если у сертификата нет раздела в файле конфигурации политики подсети, ограничения подсети не применяются для разблокировки с помощью этого сертификата. Чтобы ограничения применялись к каждому сертификату, должен быть раздел сертификата для каждого сертификата разблокировки сети на сервере и явный список разрешенных для каждого раздела сертификата.

Списки подсетей создаются путем помещения имени подсети из раздела [SUBNETS] в собственную строку под заголовком раздела сертификата. Затем сервер разблокирует только клиенты с этим сертификатом в подсетях, указанных в списке. Для устранения неполадок подсеть можно быстро исключить, не удаляя ее из раздела, закомментируя ее с помощью предопределенной точки с запятой.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Чтобы полностью запретить использование сертификата, добавьте DISABLED строку в список подсетей.

Отключение сетевой разблокировки

Чтобы отключить сервер разблокировки, поставщик PXE можно отменить регистрацию на сервере WDS или удалить вообще. Однако, чтобы запретить клиентам создавать предохранители сетевой разблокировки, параметр групповой политики Разрешить сетевую разблокировку при запуске должен быть отключен. При обновлении этого параметра политики до отключенного на клиентских компьютерах удаляется любой предохранитель ключа разблокировки сети на компьютере. Кроме того, можно удалить политику сертификатов BitLocker Network Unlock на контроллере домена, чтобы выполнить ту же задачу для всего домена.

Примечание.

Удаление хранилища сертификатов FVE_NKP, содержащего сертификат и ключ сетевой разблокировки на сервере WDS, также фактически отключит возможность сервера отвечать на запросы разблокировки для этого сертификата. Однако это рассматривается как условие ошибки и не является поддерживаемым или рекомендуемым способом отключения сервера сетевой разблокировки.

Обновление сертификатов сетевой разблокировки

Чтобы обновить сертификаты, используемые сетевой разблокировки, администраторам необходимо импортировать или создать новый сертификат для сервера, а затем обновить параметр групповой политики сертификата сетевой разблокировки на контроллере домена.

Примечание.

Серверам, которые не получают объект групповая политика (GPO), при загрузке потребуется ПИН-код. В таких случаях узнайте, почему сервер не получил объект групповой политики для обновления сертификата.

Устранение неполадок с разблокировки сети

Устранение неполадок с сетевой разблокировки начинается с проверки среды. Во многих случаях причиной сбоя может быть небольшая проблема с конфигурацией. Проверяемые элементы включают:

  • Убедитесь, что клиентское оборудование основано на UEFI и использует встроенное ПО версии 2.3.1, а встроенное ПО UEFI находится в собственном режиме без включенного модуля поддержки совместимости (CSM) для режима BIOS. Проверку можно выполнить, проверив, что встроенное ПО не включено, например "Устаревший режим" или "Режим совместимости", или что встроенное ПО не включено в режиме BIOS.

  • Устанавливаются и запускаются все необходимые роли и службы.

  • Общедоступные и частные сертификаты опубликованы и находятся в соответствующих контейнерах сертификатов. Наличие сертификата сетевой разблокировки можно проверить в консоли управления (MMC.exe) на сервере WDS с включенными оснастками сертификатов для локального компьютера. Сертификат клиента можно проверить, проверив раздел HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP реестра на клиентском компьютере.

  • Групповая политика для сетевой разблокировки включена и связана с соответствующими доменами.

  • Проверьте правильность доступа групповой политики к клиентам. Проверку групповой политики можно выполнить с помощью служебных GPRESULT.exe программ или RSOP.msc .

  • Проверьте, были ли перезагружены клиенты после применения политики.

  • Убедитесь, что сетевой (на основе сертификатов) предохранитель указан на клиенте. Проверку предохранителя можно выполнить с помощью командлетов manage-bde или Windows PowerShell. Например, следующая команда выводит список основных средств защиты, настроенных в настоящее время на диске C: локального компьютера:

    manage-bde.exe -protectors -get C:
    

    Примечание.

    Используйте выходные данные manage-bde.exe вместе с журналом отладки WDS, чтобы определить, используется ли правильный отпечаток сертификата для сетевой разблокировки.

Соберите следующие файлы, чтобы устранить неполадки с разблокировки сети BitLocker.

  • Журналы событий Windows. В частности, получите журналы событий BitLocker и журнал Microsoft-Windows-Deployment-Services-Diagnostics-Debug.

    Ведение журнала отладки по умолчанию отключено для роли сервера WDS. Чтобы получить журналы отладки WDS, сначала необходимо включить журналы отладки WDS. Используйте один из следующих двух методов, чтобы включить ведение журнала отладки WDS.

    • Запустите командную строку с повышенными привилегиями, а затем выполните следующую команду:

      wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      
    • Откройте Просмотр событий на сервере WDS:

      1. В левой области перейдите к разделуЖурналы >приложений и службMicrosoft >Windows>Deployment-Services-Diagnostics>Debug.
      2. В области справа выберите Включить журнал.
  • Файл конфигурации подсети DHCP (если он существует).

  • Выходные данные состояния BitLocker на томе. Соберите эти выходные данные в текстовый файл с помощью manage-bde.exe -status. Или в Windows PowerShell используйте Get-BitLockerVolume.

  • Запись сетевого монитора на сервере, на котором размещена роль WDS, отфильтрованной по IP-адресу клиента.