Поделиться через


Сетевая разблокировка

Сетевая разблокировка — это средство защиты ключей BitLocker для томов операционной системы. Сетевая разблокировка упрощает управление настольными компьютерами и серверами с поддержкой BitLocker в среде домена, обеспечивая автоматическую разблокировку томов операционной системы при перезагрузке системы при подключении к проводной корпоративной сети. Для разблокировки сети требуется, чтобы на клиентском оборудовании был реализован драйвер DHCP в встроенном ПО UEFI. Без сетевой разблокировки тома операционной системы, защищенные предохранителями TPM+PIN , требуют ввода ПИН-кода при перезагрузке устройства или возобновлении гибернации (например, при пробуждении по локальной сети). Требование пин-кода после перезагрузки может затруднить развертывание исправлений программного обеспечения на автоматических рабочих столах и удаленно администрируемых серверах.

Сетевая разблокировка позволяет системам с поддержкой TPM+PIN BitLocker, имеющим и отвечающим требованиям к оборудованию, загружаться в Windows без вмешательства пользователя. Сетевая разблокировка работает так же, как при загрузке TPM+StartupKey . Вместо того чтобы считывать StartupKey с USB-носителя, функция сетевой разблокировки должна состоять из ключа, хранящегося в доверенном платформенного модуля, и зашифрованного сетевого ключа, который отправляется на сервер, расшифровывается и возвращается клиенту в безопасном сеансе.

Системные требования

Сетевая разблокировка должна соответствовать обязательным требованиям к оборудованию и программному обеспечению, прежде чем функция сможет автоматически разблокировать системы, присоединенные к домену. К этим требованиям относятся:

  • Любая поддерживаемая операционная система с драйверами DHCP UEFI, которые могут служить клиентами сетевой разблокировки
  • Разблокировка сети с помощью микросхемы доверенного платформенного модуля и по крайней мере одного предохранителя доверенного платформенного модуля
  • Сервер с ролью служб развертывания Windows (WDS) в любой поддерживаемой операционной системе сервера
  • Дополнительная функция разблокировки сети BitLocker, установленная в любой поддерживаемой операционной системе сервера
  • DHCP-сервер, отдельный от сервера WDS.
  • Правильно настроенное связывание открытого и закрытого ключей
  • Настройка параметров групповой политики "Разблокировка сети"
  • Сетевой стек включен в встроенном ПО UEFI клиентских устройств

Важно.

Для поддержки DHCP в UEFI система на основе UEFI должна находиться в собственном режиме и не должна иметь включенного модуля поддержки совместимости (CSM).

Чтобы сетевая разблокировка работала надежно, необходимо настроить первый сетевой адаптер на устройстве, обычно подключенный адаптер, для поддержки DHCP. Этот первый сетевой адаптер должен использоваться для разблокировки сети. Эту конфигурацию особенно стоит отметить, если устройство имеет несколько адаптеров, а некоторые адаптеры настроены без DHCP, например для использования с протоколом управления с отключенным освещением. Эта конфигурация необходима, так как сетевая разблокировка прекращает перечисление адаптеров при достижении одного из них со сбоем DHCP-порта по любой причине. Таким образом, если первый перечислимый адаптер не поддерживает DHCP, не подключен к сети или по какой-либо причине не сообщает о доступности DHCP-порта, то сетевая разблокировка завершается ошибкой.

Компонент сервера сетевой разблокировки устанавливается в поддерживаемых версиях Windows Server как компонент Windows, использующий диспетчер сервера или командлеты Windows PowerShell. Имя компонента находится BitLocker Network Unlock в диспетчере сервера и BitLocker-NetworkUnlock в PowerShell.

Для сетевой разблокировки требуются службы развертывания Windows (WDS) в среде, в которой будет использоваться эта функция. Настройка установки WDS не требуется. Однако служба WDS должна работать на сервере.

Сетевой ключ хранится на системном диске вместе с ключом сеанса AES 256 и шифруется с помощью 2048-разрядного открытого ключа RSA сертификата сервера разблокировки. Сетевой ключ расшифровывается с помощью поставщика в поддерживаемой версии Windows Server под управлением WDS и возвращается в зашифрованном виде с соответствующим ключом сеанса.

Последовательность разблокировки сети

Последовательность разблокировки начинается на стороне клиента, когда диспетчер загрузки Windows обнаруживает наличие предохранителя сетевой разблокировки. Он использует драйвер DHCP в UEFI для получения IP-адреса для IPv4, а затем передает конкретный поставщик DHCP-запрос, содержащий сетевой ключ и ключ сеанса для ответа, зашифрованный сертификатом сетевой разблокировки сервера. Поставщик сетевой разблокировки на поддерживаемом сервере WDS распознает запрос конкретного поставщика, расшифровывает его с помощью закрытого ключа RSA и возвращает сетевой ключ, зашифрованный с помощью ключа сеанса, с помощью собственного ответа DHCP поставщика.

На стороне сервера роль сервера WDS имеет необязательный компонент подключаемого модуля, например поставщик PXE, который обрабатывает входящие запросы разблокировки сети. Поставщик также может быть настроен с ограничениями подсети, которые требуют, чтобы IP-адрес, предоставленный клиентом в запросе сетевой разблокировки, принадлежал разрешенной подсети, чтобы освободить сетевой ключ для клиента. В случаях, когда поставщик сетевой разблокировки недоступен, BitLocker выполняет отработку отказа на следующий доступный предохранитель, чтобы разблокировать диск. В типичной конфигурации для разблокировки диска отображается стандартный TPM+PIN экран разблокировки.

Конфигурация на стороне сервера для включения сетевой разблокировки также требует подготовки 2048-разрядной пары открытого и закрытого ключей RSA в виде сертификата X.509 и распространения сертификата открытого ключа среди клиентов. Этот сертификат является открытым ключом , который шифрует промежуточный сетевой ключ (который является одним из двух секретов, необходимых для разблокировки диска; другой секрет хранится в TPM), и он должен управляться и развертываться с помощью групповой политики.

Процесс сетевой разблокировки выполняется следующим образом:

  1. Диспетчер загрузки Windows обнаруживает предохранитель сетевой разблокировки в конфигурации BitLocker
  2. Клиентский компьютер использует драйвер DHCP в UEFI для получения допустимого IP-адреса IPv4.
  3. Клиентский компьютер передает зависящий от поставщика DHCP-запрос, содержащий сетевой ключ (256-разрядный промежуточный ключ) и ключ сеанса AES-256 для ответа. Сетевой ключ шифруется с помощью 2048-разрядного открытого ключа RSA сертификата сетевой разблокировки с сервера WDS.
  4. Поставщик сетевой разблокировки на сервере WDS распознает запрос конкретного поставщика.
  5. Поставщик расшифровывает запрос с помощью закрытого ключа RSA сертификата Разблокировки сети BitLocker сервера WDS.
  6. Поставщик WDS возвращает сетевой ключ, зашифрованный с помощью ключа сеанса, используя собственный ответ DHCP конкретного поставщика на клиентский компьютер. Этот ключ является промежуточным ключом
  7. Возвращенный промежуточный ключ объединяется с другим локальным 256-разрядным промежуточным ключом. Этот ключ может быть расшифрован только доверенным платформенный платформенный модуль.
  8. Этот объединенный ключ используется для создания ключа AES-256, который разблокирует том
  9. Windows продолжает последовательность загрузки

Настройка сетевой разблокировки

Следующие действия позволяют администратору настроить сетевую разблокировку в домене Active Directory.

Установка роли сервера WDS

Функция сетевой разблокировки BitLocker устанавливает роль WDS, если она еще не установлена. WDS можно установить отдельно, прежде чем будет установлена сетевая разблокировка BitLocker, с помощью диспетчера сервера или PowerShell. Чтобы установить роль с помощью диспетчера серверов, выберите роль Службы развертывания Windows в диспетчере серверов.

Чтобы установить роль с помощью PowerShell, используйте следующую команду:

Install-WindowsFeature WDS-Deployment

Сервер WDS должен быть настроен таким образом, чтобы он смог взаимодействовать с DHCP (и при необходимости AD DS) и клиентским компьютером. Сервер WDS можно настроить с помощью средства управления WDS, wdsmgmt.mscкоторое запускает мастер настройки служб развертывания Windows.

Убедитесь, что служба WDS запущена

Чтобы убедиться, что служба WDS запущена, используйте консоль управления службами или PowerShell. Чтобы убедиться, что служба запущена в консоли управления службами, откройте консоль и services.msc проверьте состояние службы развертывания Windows .

Чтобы убедиться, что служба запущена с помощью PowerShell, используйте следующую команду:

Get-Service WDSServer

Установка функции сетевой разблокировки

Чтобы установить функцию сетевой разблокировки, используйте диспетчер сервера или PowerShell. Чтобы установить компонент с помощью диспетчера серверов, выберите функцию Разблокировки сети BitLocker в консоли диспетчера серверов.

Чтобы установить компонент с помощью PowerShell, используйте следующую команду:

Install-WindowsFeature BitLocker-NetworkUnlock

Создание шаблона сертификата для сетевой разблокировки

Правильно настроенный центр сертификации Active Directory может использовать этот шаблон сертификата для создания и выдачи сертификатов сетевой разблокировки.

  1. Открытие оснастки "Шаблон сертификатов" (certtmpl.msc)

  2. Найдите шаблон Пользователя, щелкните правой кнопкой мыши имя шаблона и выберите Дублировать шаблон.

  3. На вкладке Совместимость измените поля Центр сертификации и Получатель сертификата на Windows Server 2016 и Windows 10 соответственно. Убедитесь, что выбрано диалоговое окно Показать результирующие изменения .

  4. Перейдите на вкладку Общие шаблона. Отображаемое имя шаблона и имя шаблона должны указывать, что шаблон будет использоваться для сетевой разблокировки. Снимите флажок для параметра Опубликовать сертификат в Active Directory .

  5. Перейдите на вкладку Обработка запросов . Выберите Шифрование в раскрывающемся меню Назначение . Убедитесь, что выбран параметр Разрешить экспорт закрытого ключа .

  6. Перейдите на вкладку Шифрование . Задайте для параметра Минимальный размер ключа значение 2048. Для этого шаблона можно использовать любой поставщик шифрования Майкрософт, поддерживающий RSA, но для простоты и совместимости с ней рекомендуется использовать поставщик хранилища ключей программного обеспечения Майкрософт.

  7. Выберите параметр Запросы должны использовать один из следующих поставщиков и снимите все параметры, кроме выбранного поставщика шифрования, например поставщика хранилища ключей майкрософт.

  8. Перейдите на вкладку Имя субъекта . В запросе выберите Пункт Предоставить. Нажмите кнопку ОК , если появится всплывающее диалоговое окно "Шаблоны сертификатов"

  9. Перейдите на вкладку Требования к выдаче. Выберите варианты утверждения диспетчера сертификатов ЦС и Действительный существующий сертификат.

  10. Перейдите на вкладку Расширения . Выберите Политики приложений и нажмите кнопку Изменить...

  11. В диалоговом окне Изменение параметров расширения политик приложений выберите Проверка подлинности клиента, Шифрование файловой системыи Безопасная электронная почта и нажмите кнопку Удалить.

  12. В диалоговом окне Изменение расширения политик приложений выберите Добавить.

  13. В диалоговом окне Добавление политики приложений выберите Создать. В диалоговом окне Новая политика приложения введите следующие сведения в предоставленное пространство и нажмите кнопку ОК , чтобы создать политику приложения BitLocker Network Unlock:

    • Имя:Разблокировка сети BitLocker
    • Идентификатор объекта:1.3.6.1.4.1.311.67.1.1
  14. Выберите только что созданную политику приложения BitLocker Network Unlock и нажмите кнопку ОК.

  15. Открыв вкладку Расширения , выберите диалоговое окно Изменение расширения использования ключа . Выберите параметр Разрешить обмен ключами только с шифрованием ключей (шифрование ключей). Выберите параметр Сделать это расширение критическим.

  16. Перейдите на вкладку Безопасность. Убедитесь, что группе "Администраторы домена" предоставлено разрешение на регистрацию.

  17. Нажмите кнопку ОК , чтобы завершить настройку шаблона.

Чтобы добавить шаблон Сетевая разблокировка в центр сертификации, откройте оснастку центра сертификации (certsrv.msc). Щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите Создать, Шаблон сертификата для выдачи. Выберите ранее созданный сертификат BitLocker Network Unlock.

После добавления шаблона сетевой разблокировки в центр сертификации этот сертификат можно использовать для настройки сетевой разблокировки BitLocker.

Создание сертификата сетевой разблокировки

Сетевая разблокировка может использовать импортированные сертификаты из существующей инфраструктуры открытых ключей (PKI). Кроме того, он может использовать самозаверяющий сертификат.

Чтобы зарегистрировать сертификат из существующего центра сертификации:

  1. На сервере WDS откройте диспетчер сертификатов с помощью certmgr.msc
  2. В разделе Сертификаты — текущий пользователь щелкните правой кнопкой мыши личный
  3. Выберите Все задачи запросить>новый сертификат
  4. Когда откроется мастер регистрации сертификатов, нажмите кнопку Далее.
  5. Выбор политики регистрации Active Directory
  6. Выберите шаблон сертификата, созданный для сетевой разблокировки на контроллере домена. Затем выберите Регистрация.
  7. При появлении запроса на ввод дополнительных сведений выберите Имя субъекта и укажите понятное значение имени. Понятное имя должно содержать сведения о домене или подразделении для сертификата. Например: BitLocker Network Unlock Certificate for Contoso domain (Сертификат разблокировки сети BitLocker для домена Contoso).
  8. Создайте сертификат. Убедитесь, что сертификат отображается в папке "Личные"
  9. Экспортируйте сертификат открытого ключа для сетевой разблокировки:
    1. Создайте файл, .cer щелкнув правой кнопкой мыши ранее созданный сертификат, выбрав Все задачи, а затем выберите Экспорт.
    2. Выберите Нет, не экспортируйте закрытый ключ.
    3. Выберите двоичный файл в кодировке DER X.509 и завершите экспорт сертификата в файл.
    4. Присвойте файлу имя , например BitLocker-NetworkUnlock.cer
  10. Экспорт открытого ключа с закрытым ключом для сетевой разблокировки
    1. Создайте файл, .pfx щелкнув правой кнопкой мыши ранее созданный сертификат, выбрав Все задачи, а затем выберите Экспорт.
    2. Выберите Да, экспорт закрытого ключа
    3. Выполните действия, чтобы создать .pfx файл

Чтобы создать самозаверяющий сертификат, используйте New-SelfSignedCertificate командлет в Windows PowerShell или certreq.exe. Пример:

PowerShell

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe

  1. Создайте текстовый файл с расширением .inf , например:

    notepad.exe BitLocker-NetworkUnlock.inf
    
  2. Добавьте следующее содержимое в ранее созданный файл:

    [NewRequest]
    Subject="CN=BitLocker Network Unlock certificate"
    ProviderType=0
    MachineKeySet=True
    Exportable=true
    RequestType=Cert
    KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
    KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
    KeyLength=2048
    SMIME=FALSE
    HashAlgorithm=sha512
    [Extensions]
    1.3.6.1.4.1.311.21.10 = "{text}"
    _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
    2.5.29.37 = "{text}"
    _continue_ = "1.3.6.1.4.1.311.67.1.1"
    
  3. Откройте командную строку с повышенными привилегиями и используйте certreq.exe средство для создания нового сертификата. Используйте следующую команду, указав полный путь к файлу, который был создан ранее вместе с именем файла:

    certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
    
  4. Убедитесь, что сертификат был правильно создан предыдущей командой, убедившись, что .cer файл существует.

  5. Запустите консоль "Сертификаты — локальный компьютер" , запустив certlm.msc

  6. Создайте файл, .pfx выполнив следующие действия в консоли Сертификаты — локальный компьютер :

    1. Перейдите в раздел Сертификаты — личныесертификатылокального>компьютера>.
    2. Щелкните правой кнопкой мыши ранее импортированный сертификат, выберите Все задачи, а затем — Экспорт.
    3. Следуйте указаниям мастера, чтобы создать .pfx файл

Развертывание закрытого ключа и сертификата на сервере WDS

После создания сертификата и ключа разверните их в инфраструктуру, чтобы правильно разблокировать системы. Чтобы развернуть сертификаты, выполните следующие действия.

  1. На сервере WDS запустите консоль Сертификаты — локальный компьютер , запустив certlm.msc
  2. Щелкните правой кнопкой мыши элемент Разблокировка сети шифрования диска BitLocker в разделе Сертификаты (локальный компьютер), выберите Все задачи, а затем — Импорт.
  3. В диалоговом окне Импортируемый.pfx файл выберите ранее созданный файл.
  4. Введите пароль, используемый .pfx для создания и завершения работы мастера.

Настройка параметров групповой политики для сетевой разблокировки

Если сертификат и ключ развернуты на сервере WDS для сетевой разблокировки, последним шагом является использование параметров групповой политики для развертывания сертификата открытого ключа на нужных компьютерах, которые будут использовать для разблокировки ключ сетевой разблокировки. Параметры групповой политики для BitLocker можно найти в разделе Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsШифрование диска BitLocker с помощью редактора локальной групповой политики или консоли управления Майкрософт.

Ниже описано, как включить параметр групповой политики, необходимый для настройки сетевой разблокировки.

  1. Откройте консоль управления групповыми политиками (gpmc.msc)
  2. Включите политику Требовать дополнительную проверку подлинности при запуске, а затем выберите Требовать ПИН-код запуска с доверенным платформенный платформенный модуль или Разрешить ПИН-код запуска с доверенным платформенный платформенный модуль.
  3. Включение BitLocker с защитой доверенного платформенного платформенного модуля и ПИН-кода на всех компьютерах, присоединенных к домену

Ниже описано, как развернуть необходимый параметр групповой политики.

  1. .cer Скопируйте файл, созданный для сетевой разблокировки, на контроллер домена

  2. На контроллере домена откройте консоль управления групповыми политиками (gpmc.msc)

  3. Создайте новый объект групповой политики или измените существующий объект, чтобы включить параметр Разрешить разблокировку сети при запуске

  4. Разверните общедоступный сертификат на клиентах:

    1. В консоли управления групповыми политиками перейдите в следующее расположение:

      Конфигурация> компьютераПолитики>Параметры> WindowsПараметры> безопасностиПолитики открытых ключей>Сертификат разблокировки сети шифрования диска BitLocker.

    2. Щелкните папку правой кнопкой мыши и выберите Добавить сертификат разблокировки сети.

    3. Выполните действия мастера и импортируйте .cer файл, скопированный ранее

    Примечание.

    Одновременно может быть доступен только один сертификат сетевой разблокировки. Если требуется новый сертификат, удалите текущий сертификат перед развертыванием нового сертификата. Сертификат сетевой разблокировки находится в HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP разделе реестра на клиентском компьютере.

  5. Перезагрузка клиентов после развертывания групповой политики

    Примечание.

    Сетевой (на основе сертификатов) предохранитель будет добавлен только после перезагрузки с включенной политикой и действительным сертификатом, присутствующим в хранилище FVE_NKP.

Файлы конфигурации политики подсети на сервере WDS (необязательно)

По умолчанию все клиенты с правильным сертификатом сетевой разблокировки и действительными предохранителями сетевой разблокировки, которые имеют проводной доступ к серверу WDS с поддержкой сетевой разблокировки через DHCP, разблокируются сервером. Файл конфигурации политики подсети на сервере WDS можно создать, чтобы ограничить подсети, которые клиенты сетевой разблокировки могут использовать для разблокировки.

Файл конфигурации с именем bde-network-unlock.iniдолжен находиться в том же каталоге, что и библиотека DLL поставщика сетевой разблокировки (%windir%\System32\Nkpprov.dll), и он применяется к реализациям DHCP IPv6 и IPv4. Если политика конфигурации подсети повреждена, поставщик завершается ошибкой и перестает отвечать на запросы.

Файл конфигурации политики подсети должен использовать [SUBNETS] раздел для идентификации конкретных подсетей. Затем именованные подсети можно использовать для указания ограничений в подразделах сертификатов. Подсети определяются как простые пары "имя-значение" в общем формате INI, где каждая подсеть имеет собственную строку с именем слева от знака равенства, а подсеть, определяемая справа от знака равенства как адрес или диапазон маршрутизации Inter-Domain без классов (CIDR). Ключевое слово ENABLED запрещено для имен подсетей.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

После этого [SUBNETS] раздела для каждого сертификата сетевой разблокировки могут быть разделы, определенные отпечатком сертификата без пробелов, которые определяют клиенты подсетей, которые могут быть разблокированы из этого сертификата.

Примечание.

При указании отпечатка сертификата не включайте пробелы. Если пробелы включены в отпечаток, конфигурация подсети завершается сбоем, так как отпечаток не будет распознана как допустимый.

Ограничения подсети определяются в каждом разделе сертификата путем обозначения списка разрешенных подсетей. Если какие-либо подсети перечислены в разделе сертификата, для этого сертификата разрешены только эти подсети. Если подсеть не указана в разделе сертификата, то для этого сертификата разрешены все подсети. Если у сертификата нет раздела в файле конфигурации политики подсети, ограничения подсети не применяются для разблокировки с помощью этого сертификата. Чтобы ограничения применялись к каждому сертификату, должен быть раздел сертификата для каждого сертификата разблокировки сети на сервере и явный список разрешенных для каждого раздела сертификата.

Списки подсетей создаются путем помещения имени подсети из раздела в [SUBNETS] собственную строку под заголовком раздела сертификата. Затем сервер разблокирует только клиенты с этим сертификатом в подсетях, указанных в списке. Для устранения неполадок подсеть можно быстро исключить, не удаляя ее из раздела, закомментируя ее с помощью предопределенной точки с запятой.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Чтобы полностью запретить использование сертификата, добавьте DISABLED строку в список подсетей.

Отключение сетевой разблокировки

Чтобы отключить сервер разблокировки, поставщик PXE можно отменить регистрацию на сервере WDS или удалить вообще. Однако, чтобы запретить клиентам создавать предохранители сетевой разблокировки, параметр групповой политики Разрешить сетевую разблокировку при запуске должен быть отключен. При обновлении этого параметра политики до отключенного на клиентских компьютерах удаляется любой предохранитель ключа разблокировки сети на компьютере. Кроме того, можно удалить политику сертификатов BitLocker Network Unlock на контроллере домена, чтобы выполнить ту же задачу для всего домена.

Примечание.

Удаление хранилища сертификатов FVE_NKP, содержащего сертификат и ключ сетевой разблокировки на сервере WDS, также фактически отключит возможность сервера отвечать на запросы разблокировки для этого сертификата. Однако это рассматривается как условие ошибки и не является поддерживаемым или рекомендуемым способом отключения сервера сетевой разблокировки.

Обновление сертификатов сетевой разблокировки

Чтобы обновить сертификаты, используемые сетевой разблокировки, администраторам необходимо импортировать или создать новый сертификат для сервера, а затем обновить параметр групповой политики сертификата сетевой разблокировки на контроллере домена.

Примечание.

Серверам, которые не получают параметр групповой политики, при загрузке требуется ПИН-код. В таких случаях узнайте, почему серверы не получают объект групповой политики для обновления сертификата.

Устранение неполадок с разблокировки сети

Устранение неполадок с сетевой разблокировки начинается с проверки среды. Во многих случаях причиной сбоя может быть небольшая проблема с конфигурацией. Проверяемые элементы включают:

  • Убедитесь, что клиентское оборудование основано на UEFI и использует встроенное ПО версии 2.3.1, а встроенное ПО UEFI находится в собственном режиме без включенного модуля поддержки совместимости (CSM) для режима BIOS. Проверка может быть выполнена путем проверки того, что встроенное ПО не включено, например "Устаревший режим" или "Режим совместимости", или что встроенное ПО не похоже на режим BIOS

  • Установлены и запущены все необходимые роли и службы

  • Общедоступные и частные сертификаты опубликованы и находятся в соответствующих контейнерах сертификатов. Наличие сертификата сетевой разблокировки можно проверить в консоли управления (MMC.exe) на сервере WDS с включенными оснастками сертификатов для локального компьютера. Сертификат клиента можно проверить, проверив раздел HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP реестра на клиентском компьютере.

  • Групповая политика для сетевой разблокировки включена и связана с соответствующими доменами.

  • Проверьте правильность доступа групповой политики к клиентам. Проверку групповой политики можно выполнить с помощью служебных GPRESULT.exe программ или RSOP.msc

  • Проверка перезагрузки клиентов после применения политики

  • Убедитесь, что сетевой (на основе сертификатов) предохранитель указан на клиенте. Проверку предохранителя можно выполнить с помощью командлетов manage-bde или Windows PowerShell. Например, следующая команда выводит список основных средств защиты, настроенных в настоящее время на диске C: локального компьютера:

    manage-bde.exe -protectors -get C:
    

    Примечание.

    Используйте выходные данные manage-bde.exe вместе с журналом отладки WDS, чтобы определить, используется ли правильный отпечаток сертификата для сетевой разблокировки.

Соберите следующие файлы, чтобы устранить неполадки с разблокировки сети BitLocker.

  • Журналы событий Windows. В частности, получение журналов событий BitLocker и Microsoft-Windows-Deployment-Services-Diagnostics-Debug журнала

    Ведение журнала отладки по умолчанию отключено для роли сервера WDS. Чтобы получить журналы отладки WDS, сначала необходимо включить журналы отладки WDS. Используйте один из следующих двух методов, чтобы включить ведение журнала отладки WDS.

    • Запустите командную строку с повышенными привилегиями и выполните следующую команду:

      wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      
    • Откройте средство просмотра событий на сервере WDS:

      1. В левой области перейдите к разделуЖурналы >приложений и службMicrosoft >Windows>Deployment-Services-Diagnostics>Debug
      2. В области справа выберите Включить журнал.
  • Файл конфигурации подсети DHCP (если он существует)

  • Выходные данные состояния BitLocker на томе. Соберите эти выходные данные в текстовый файл с помощью manage-bde.exe -status. Или в Windows PowerShell используйте Get-BitLockerVolume

  • Запись сетевого монитора на сервере, на котором размещена роль WDS, отфильтрованной по IP-адресу клиента