BitLocker: cómo habilitar el desbloqueo en red
Este tema para el profesional de TI describe cómo funciona el desbloqueo de BitLocker en red y cómo configurarlo.
El desbloqueo en red se implantó en Windows 8 y Windows Server 2012 como una opción de protector de BitLocker para volúmenes del sistema operativo. Desbloqueo en red permite una administración más sencilla de escritorios y servidores con BitLocker habilitado en un entorno de dominio proporcionando desbloqueo automático del sistema operativo al reiniciar el sistema cuando esté conectado a una red corporativa con cable. Esta característica requiere que el hardware del cliente tenga un controlador DHCP implementado en su firmware UEFI.
Sin el desbloqueo en red, los volúmenes del sistema operativo protegidos por protectores de TPM+PIN requieren que se escriba un PIN cuando un equipo se reinicia o sale de la hibernación (por ejemplo, mediante Wake on LAN). Esto puede dificultar a las empresas la distribución de revisiones de software para escritorios desatendidos y servidores administrados de forma remota.
Desbloqueo en red permite que los sistemas con BitLocker habilitado y con TPM+PIN que cumplan los requisitos de hardware arranquen en Windows sin intervención del usuario. Desbloqueo en red funciona de forma similar a TPM + clave de inicio durante el arranque. Sin embargo, en lugar de tener que leer la clave de inicio (StartupKey) desde medios USB, la clave de desbloqueo en red se compone a partir de una clave almacenada en el TPM y una clave de cifrado de red que se envía al servidor, se descifra y se devuelve al cliente en una sesión segura.
Este tema contiene:
Requisitos básicos de desbloqueo en red
Secuencia de desbloqueo en red
Configurar desbloqueo en red
Crear la plantilla de certificado para desbloqueo en red
Desactivación de desbloqueo en red
Actualización de certificados de desbloqueo en red
Solucionar problemas de desbloqueo en red
Configurar el desbloqueo en red en sistemas no compatibles
Requisitos básicos de desbloqueo en red
Desbloqueo en red debe cumplir los requisitos de hardware y software obligatorios antes de que la característica pueda desbloquear automáticamente sistemas unidos a un dominio. Estos requisitos son:
Debes estar ejecutando al menos Windows 8 o Windows Server 2012.
Cualquier sistema operativo compatible con los controladores UEFI DHCP puede ser cliente de desbloqueo en red.
Un servidor que ejecuta el rol de servicios de implementación de Windows (WDS) en cualquier sistema operativo de servidor compatible.
Característica opcional de desbloqueo de BitLocker en red instalada en cualquier sistema operativo de servidor compatible.
Un servidor DHCP, independiente del servidor WDS.
Emparejamiento de claves públicas/privadas perfectamente configurado.
Configuración de las directivas de grupo de desbloqueo en red realizada.
La pila de red debe estar habilitada para usar la característica de desbloqueo en red. Los fabricantes de equipos ofrecen sus productos en diferentes estados y con diferentes menús BIOS, por lo que necesitas confirmar que la pila de red se ha habilitado en el BIOS antes de iniciar el equipo.
Nota
Para admitir correctamente DHCP en UEFI, el sistema basado en UEFI debe estar en modo nativo sin un módulo de compatibilidad (CSM) habilitado.
Para que el desbloqueo en red funcione de manera confiable en equipos que ejecutan Windows 8 y posterior, el primer adaptador de red del equipo, normalmente el adaptador integrado, debe estar configurado para admitir DHCP y para desbloqueo en red. Esto es especialmente importante mencionarlo si tienes varios adaptadores y deseas configurar uno sin DHCP, como en un protocolo de administración invisible. Esta configuración es necesaria porque el desbloqueo en red dejará de enumerar adaptadores cuando llega a uno con un error de puerto DHCP por cualquier motivo. Por lo tanto, si el primer adaptador enumerado no admite DHCP, no está conectado a la red o se produce un error en la disponibilidad de informe del puerto DHCP por algún motivo, a continuación, se producirá un error en el desbloqueo en red.
El componente de servidor de desbloqueo en red se instala en versiones compatibles de Windows Server 2012 y posteriores como una característica de Windows mediante los cmdlets de Windows PowerShell o de Administrador del servidor. El nombre de la característica es Desbloqueo de BitLocker en red y BitLocker-NetworkUnlock en Windows PowerShell. Esta característica es un requisito principal.
Desbloqueo en red requiere los servicios de implementación de Windows (WDS) en el entorno donde se usará la característica. La configuración de la instalación de WDS no es necesaria; sin embargo, el servicio WDS debe ejecutarse en el servidor.
La clave de red se almacena en la unidad del sistema junto con una clave de sesión AES 256 y se cifra con la clave pública RSA de 2048 bits del certificado del servidor de desbloqueo. La clave de red se descifra con ayuda de un proveedor en una versión compatible de Windows Server que ejecute WDS y se devuelve cifrada con su clave de sesión correspondiente.
Secuencia de desbloqueo en red
La secuencia de desbloqueo empieza en el lado del cliente, cuando el Administrador de arranque de Windows detecta la existencia del protector de desbloqueo en red. Aprovecha el controlador de DHCP de UEFI para obtener una dirección IP para IPv4 y, a continuación, emite una solicitud DHCP específica del proveedor que contiene la clave de red y una clave de sesión para la respuesta, todas cifradas por el certificado de desbloqueo en red del servidor, como se describió anteriormente. El proveedor de desbloqueo en red en el servidor WDS admitido reconoce la solicitud específica del proveedor, la descifra con la clave privada RSA y devuelve la clave de red cifrada con la clave de sesión a través de su propia respuesta DHCP específica del proveedor.
En el lado del servidor, el rol de servidor WDS tiene un componente de complemento opcional, como un proveedor PXE, que es el que controla las solicitudes de desbloqueo en red entrantes. El proveedor también puede configurarse con restricciones de subred, que requerirían que la dirección IP proporcionada por el cliente en la solicitud de desbloqueo en red pertenezca a una subred permitida para liberar la clave de red para el cliente. En caso de que el proveedor de desbloqueo en red no esté disponible, BitLocker conmuta por error al siguiente protector disponible para desbloquear la unidad. En una configuración típica, esto significa que aparezca la pantalla de desbloqueo de TPM+PIN para desbloquear la unidad.
La configuración del lado del servidor para habilitar el desbloqueo en red también requiere el aprovisionamiento de un par de claves público/privadas de 2048 bits en forma de un certificado X.509 y que el certificado de clave pública se distribuya a los clientes. Este certificado se debe administrar e implementar a través del editor de directivas de grupo directamente en un controlador de dominio con al menos un nivel funcional de dominio de Windows Server 2012. Este certificado es la clave pública que cifra la clave de red intermedia (que es uno de los dos secretos necesarios para desbloquear la unidad; el otro se almacena en el TPM).
.png "Secuencia de desbloqueo de BitLocker en red")
Fases del proceso de desbloqueo en red
El Administrador de arranque de Windows detecta que existe un protector de desbloqueo en red en la configuración de BitLocker.
El equipo cliente usa su controlador DHCP en la UEFI para obtener una dirección IP IPv4 válida.
El equipo cliente emite una solicitud DHCP específica del proveedor que contiene la clave de red (una clave intermedia de 256 bits) y una clave de sesión AES-256 para la respuesta. Ambas claves se cifran mediante la clave pública de RSA de 2048 bits del certificado de desbloqueo en red desde el servidor WDS.
El proveedor de desbloqueo en red del servidor WDS reconoce la solicitud específica del proveedor.
El proveedor la descifra con la clave privada RSA del certificado de desbloqueo de BitLocker en red del servidor WDS.
El proveedor WDS devuelve a continuación la clave de red cifrada con la clave de sesión mediante su propia respuesta DHCP específica del proveedor al equipo cliente. Esto constituye una clave intermedia.
La clave intermedia devuelta, a continuación, se combina con otra clave intermedia local de 256 bits que solo puede descifrar el TPM.
Esta clave combinada se usa para crear una clave AES-256 que desbloquea el volumen.
Windows continúa la secuencia de arranque.
Configurar desbloqueo en red
Los siguientes pasos permiten a un administrador configurar el desbloqueo en red en un dominio donde el nivel funcional del dominio sea al menos Windows Server 2012.
Paso 1: Instalar el rol de servidor WDS
La característica de desbloqueo de BitLocker en red instalará el rol WDS si todavía no está instalado. Si deseas instalarlo por separado antes de instalar el desbloqueo de BitLocker en red, puedes usar el Administrador del servidor o Windows PowerShell. Para instalar el rol mediante el Administrador del servidor, selecciona el rol Servicios de implementación de Windows en el Administrador del servidor.
Para instalar el rol mediante Windows PowerShell, usa el siguiente comando:
Install-WindowsFeature WDS-Deployment
Debes configurar el servidor WDS para que se pueda comunicar con DHCP (y, opcionalmente, Servicios de dominio de Active Directory) y el equipo cliente. Puedes hacerlo mediante la herramienta de administración de WDS, wdsmgmt.msc, que inicia el Asistente para configuración de Servicios de implementación de Windows.
Paso 2: Confirmar que el servicio WDS se está ejecutando
Para confirmar que se ejecuta el servicio WDS, usa la consola de administración de servicios o Windows PowerShell. Para confirmar que el servicio se ejecuta en la consola de administración de servicios, abre la consola con services.msc y comprueba el estado de los servicios de implementación de Windows.
Para confirmar que el servicio se ejecuta mediante Windows PowerShell, usa el siguiente comando:
Get-Service WDSServer
Paso 3: Instalar la característica de desbloqueo en red
Para instalar la característica de desbloqueo en red, usa el Administrador del servidor o Windows PowerShell. Para instalar la característica mediante el Administrador del servidor, selecciona la característica Desbloqueo de BitLocker en red en la consola del Administrador del servidor.
Para instalar la característica mediante Windows PowerShell, usa el siguiente comando:
Install-WindowsFeature BitLocker-NetworkUnlock
Paso 4: Crear el certificado de desbloqueo en red
Desbloqueo en red puede usar certificados importados de una infraestructura PKI existente, o puedes usar un certificado autofirmado.
Para inscribir un certificado de una entidad de certificación (CA) existente, haz lo siguiente:
Abre el administrador de certificados en el servidor WDS con certmgr.msc
En el elemento Certificados: usuario actual, presiona con el botón derecho Personal
Selecciona Todas las tareas y, a continuación, Solicitar un nuevo certificado
Selecciona siguiente cuando se abra el asistente para la inscripción de certificados
Selecciona la directiva de inscripción de Active Directory
Elige la plantilla de certificado creada para el desbloqueo en red en el controlador de dominio y selecciona Inscribir. Cuando se te pida más información, agrega el siguiente atributo al certificado:
- Selecciona el panel Nombre de asunto y proporciona un valor de nombre descriptivo. Se recomienda que este nombre descriptivo incluya información para el dominio o unidad organizativa del certificado. Por ejemplo, "Certificado de desbloqueo de BitLocker en red para el dominio Contoso"
Crea el certificado. Asegúrate de que el certificado aparece en la carpeta Personal.
Exportar el certificado de clave pública para desbloqueo en red
Crea un archivo .cer haciendo clic con el botón derecho en el certificado creado anteriormente, eligiendo Todas las tareas y, a continuación, Exportar.
Selecciona No, no exportar la clave privada.
Selecciona DER binario codificado X.509 y completa la exportación del certificado a un archivo.
Asigna un nombre como BitLocker NetworkUnlock.cer al archivo.
Exportar la clave pública con una clave privada para desbloqueo en red
Crea un archivo .pfx haciendo clic con el botón derecho en el certificado creado anteriormente, eligiendo Todas las tareas y, a continuación, Exportar.
Selecciona Sí, exportar la clave privada.
Completa el asistente para crear el archivo pfx.
Para crear un certificado autofirmado, haz lo siguiente:
Crea un archivo de texto con una extensión .inf. Por ejemplo, notepad.exe BitLocker-NetworkUnlock.inf
Agrega el siguiente contenido al archivo creado anteriormente:
[NewRequest] Subject="CN=BitLocker Network Unlock certificate" Exportable=true RequestType=Cert KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyLength=2048 [Extensions] 1.3.6.1.4.1.311.21.10 = "{text}" _continue_ = "OID=1.3.6.1.4.1.311.67.1.1" 2.5.29.37 = "{text}" _continue_ = "1.3.6.1.4.1.311.67.1.1"Abre un símbolo del sistema con privilegios elevados y usa la herramienta certreq para crear un nuevo certificado con el siguiente comando, especificando la ruta de acceso completa al archivo creado anteriormente, junto con el nombre del archivo:
certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cerComprueba que el comando anterior ha creado correctamente el certificado comprobando si existe el archivo .cer
Inicia el administrador de certificados ejecutando certmgr.msc
Crea un archivo .pfx abriendo la ruta de acceso Certificados: Usuario actual\Personal\Certificados en el panel de navegación, haz clic con el botón derecho en el certificado importado anteriormente, selecciona Todas las tareas y, a continuación, Exportar. Sigue el asistente para crear el archivo .pfx.
Paso 5: Implementar la clave privada y el certificado en el servidor WDS
Con el certificado y la clave creada, impleméntalos en la infraestructura para desbloquear correctamente los sistemas. Para implementar los certificados, haz lo siguiente:
En el servidor WDS, abre una nueva MMC y agrega el complemento de certificados. Selecciona la cuenta del equipo y el equipo local cuando te ofrezcan las opciones.
Presiona con el botón derecho el elemento Certificados (equipo Local): Desbloqueo en red de cifrado de unidad BitLocker, elige Todas las tareas y, a continuación, Importar
En el cuadro de diálogo Archivo para importar, elige el archivo .pfx creado anteriormente.
Escribe la contraseña usada para crear el .pfx y completa el asistente.
Paso 6: Establecer la configuración de las directivas de grupo para desbloqueo en red
Con el certificado y la clave implementados en el servidor WDS para desbloqueo en red, el último paso es usar la configuración de directivas de grupo para implementar el certificado de clave pública en equipos que quieres poder desbloquear mediante la clave de desbloqueo en red. La configuración de directivas de grupo para BitLocker se puede encontrar en \Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker con el Editor de directivas de grupo local o la consola de administración de Microsoft.
Los siguientes pasos describen cómo habilitar las directivas de grupo que son un requisito para configurar el desbloqueo en red.
Abre la consola de administración de directivas de grupo (gpmc.msc)
Habilita la directiva Requerir autenticación adicional al inicio y selecciona la opción Requerir PIN de inicio con TPM
Activa BitLocker con protectores TPM+PIN en todos los equipos unidos a un dominio
Los siguientes pasos describen cómo implementar la configuración necesaria de las directivas de grupo:
Nota
Las configuraciones de directivas de grupo Permitir el desbloqueo en red al inicio y Agregar certificado de desbloqueo en red se introdujeron en Windows Server 2012.
Copia el archivo .cer creado para desbloqueo en red en el controlador de dominio
En el controlador de dominio, inicia la consola de administración de directivas de grupo (gpmc.msc)
Crea un nuevo objeto de directivas de grupo o modifica un objeto existente para habilitar la configuración Permitir el desbloqueo en red al inicio.
Implementar el certificado público en los clientes
Dentro de la consola de administración de directivas de grupo, ve a la siguiente ubicación: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Certificado de desbloqueo en red de cifrado de unidad BitLocker
Haz clic con el botón derecho en la carpeta y elige Agregar certificado de desbloqueo en red
Sigue los pasos del asistente e importa el archivo .cer que copiaste anteriormente.
Nota
En cada momento solo dispondrás de un certificado de desbloqueo en red. Si se requiere un nuevo certificado, elimina el certificado actual antes de implementar uno nuevo. El certificado de desbloqueo en red se encuentra en la clave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP del equipo cliente.
Paso 7: Requerir protectores TPM+PIN al inicio
Es un paso adicional para que las empresas usen protectores TPM+PIN para un mayor nivel de seguridad. Para requerir protectores TPM+PIN en un entorno, haz lo siguiente:
Abre la consola de administración de directivas de grupo (gpmc.msc)
Habilita la directiva Requerir autenticación adicional al inicio y selecciona la opción Requerir PIN de inicio con TPM
Activa BitLocker con protectores TPM+PIN en todos los equipos unidos a un dominio
Crear la plantilla de certificado para desbloqueo en red
Los siguientes pasos explican cómo crear una plantilla de certificado para su uso con desbloqueo de BitLocker en red. Una entidad de certificación de servicios de Active Directory correctamente configurada puede usar este certificado para crear y emitir certificados de desbloqueo en red.
Abre el complemento de plantilla de certificados (certtmpl.msc).
Busca la plantilla de usuario. Haz clic con el botón derecho en el nombre de la plantilla y selecciona Plantilla duplicada
En la pestaña Compatibilidad, modifica los campos Entidad de certificación y el Destinatario de certificado para Windows Server 2012 y Windows 8 respectivamente. Asegúrate de que el cuadro de diálogo Mostrar cambios resultantes está seleccionado.
Selecciona la pestaña General de la plantilla. Los campos Nombre para mostrar plantilla y Nombre de plantilla deben identificar claramente que la plantilla se usará para el desbloqueo en red. Desactiva la casilla de la opción Publicar certificado en Active Directory.
Selecciona la pestaña Tratamiento de la solicitud. Selecciona Cifrado en el menú desplegable Propósito. Asegúrate de que la opción Permitir que la clave privada se pueda exportar está seleccionada.
Selecciona la pestaña Criptografía. Establece el Tamaño mínimo de clave en 2048. (Cualquier proveedor criptográfico de Microsoft que admita RSA puede usarse para esta plantilla, pero por compatibilidad y simplicidad te recomendamos que uses el Proveedor de almacenamiento de claves de software de Microsoft.)
Selecciona la opción Las solicitudes deben usar uno de los proveedores siguientes y desactiva todas las opciones excepto el proveedor de criptografía seleccionado, como Proveedor de almacenamiento de claves de software de Microsoft.
Selecciona la pestaña Nombre de asunto. Selecciona Proporcionar en la solicitud. Selecciona Aceptar si aparece el cuadro de diálogo emergente de plantillas de certificado.
Selecciona la pestaña Requisitos de emisión. Selecciona las opciones Aprobación del administrador de certificados de entidad de certificación y Certificado existente válido.
Selecciona la pestaña Extensiones. Selecciona Directivas de aplicación y elige Editar....
En el cuadro de diálogo de opciones Editar extensión de directivas de aplicación, selecciona Autenticación de cliente, Cifrado de sistema de archivos, y correo seguro y elige Quitar.
En el cuadro de diálogo Editar extensión de directivas de aplicación, selecciona Agregar.
En el cuadro de diálogo Agregar directiva de aplicación, selecciona Nueva. En el cuadro de diálogo Nueva directiva de aplicación, escribe la siguiente información en el espacio proporcionado y, a continuación, haz clic en Aceptar para crear la directiva de aplicación de desbloqueo de BitLocker en red:
Nombre: Desbloqueo de BitLocker en red
Identificador de objeto: 1.3.6.1.4.1.311.67.1.1
Selecciona la directiva de aplicación recién creada Desbloqueo de BitLocker en red y selecciona Aceptar
Con la pestaña Extensiones todavía abierta, selecciona el cuadro de diálogo Editar extensión de uso de clave, selecciona la opción Permitir intercambio de claves solo con cifrado de claves (cifrado de clave). Selecciona la opción Marcar esta extensión como crítica.
Selecciona la pestaña Seguridad. Confirma que al grupo Admins. del dominio se le ha concedido el permiso Inscribir.
Selecciona Aceptar para completar la configuración de la plantilla.
Para agregar la plantilla de desbloqueo en red a la entidad de certificación, abre el complemento Entidad de certificación (certsrv.msc). Haz clic con el botón derecho en el elemento Plantillas de certificado y elige Nueva, plantilla de certificado que se va a emitir. Selecciona el certificado de desbloqueo de BitLocker en red creado anteriormente.
Después de agregar la plantilla de desbloqueo en red a la entidad de certificación, este certificado puede usarse para configurar el desbloqueo de BitLocker en red.
Archivos de configuración de directiva de subred en el servidor WDS (opcional)
De manera predeterminada, todos los clientes con el certificado de desbloqueo en red correcto y los protectores de desbloqueo en red válidos que tienen acceso con cable a un servidor WDS con desbloqueo en red habilitado a través de DHCP, los desbloquea el servidor. Se puede crear un archivo de configuración de directiva de subred en el servidor WDS para limitar qué clientes de desbloqueo en red de subred se pueden usar para desbloquearlo.
El archivo de configuración, llamado bde-network-unlock.ini, debe encontrarse en el mismo directorio que la DLL del proveedor de desbloqueo en red y se aplica a las implementaciones de DHCP IPv6 e IPv4. Si se daña la directiva de configuración de la subred, el proveedor producirá un error y dejará de responder a las solicitudes.
El archivo de configuración de directiva de subred debe usar una sección "[SUBNETS]" para identificar las subredes específicas. Las subredes con nombre se pueden usar, a continuación, para especificar restricciones en las subsecciones de certificado. Las subredes se definen como pares nombre-valor simples, en el formato común de INI, donde cada subred tiene su propia línea, con el nombre a la izquierda del signo igual y la subred identificada a la derecha del signo igual como una dirección o intervalo de enrutamiento entre dominios sin clase (CIDR). La palabra clave "ENABLED" no se permite para los nombres de subred.
[SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.
Después de la sección [SUBNETS], puede haber secciones para cada certificado de desbloqueo en red, identificadas mediante la huella digital de certificado formateada sin espacios, que definen los clientes de subredes que se pueden desbloquear con ese certificado.
Nota
Al especificar la huella digital de certificado, no incluyas ningún espacio. Si se incluyen espacios en la huella digital se producirá un error en la configuración de subred porque la huella digital no se reconocerá como válida.
Las restricciones de subred se definen dentro de cada sección de certificado indicando la lista permitida de subredes permitidas. Si no aparece ninguna subred en una sección de certificado, solo se permitirán las subredes de la lista para ese certificado. Si no aparece ninguna subred en una sección de certificado, se permitirán todas las subredes para ese certificado. Si un certificado no tiene una sección en el archivo de configuración de directiva de subred, no se aplicarán restricciones de subred que desbloquear con ese certificado. Esto significa que, para las restricciones que se aplican a todos los certificados, debe haber una sección de certificado para cada certificado de desbloqueo en red en el servidor y una lista permitida explícita establecida para cada sección de certificado.
Las listas de subred se crean colocando el nombre de una subred de la sección [SUBNETS] en su propia línea debajo del encabezado de sección de certificado. A continuación, el servidor solo desbloquea a clientes con este certificado de las subredes especificadas en la lista. Para solucionar problemas, se puede excluir rápidamente una subred sin eliminarla de la sección simplemente comentándola con un punto y coma antepuesto.
[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3
Para impedir el uso de un certificado por completo, su lista de subred puede contener la línea "DISABLED".
Desactivación de desbloqueo en red
Para desactivar el servidor de desbloqueo, puede eliminarse el registro del proveedor PXE en el servidor WDS o desinstalarse por completo. Sin embargo, para impedir que los clientes creen protectores de desbloqueo en red, debe deshabilitarse la configuración de directivas de grupo Permitir el desbloqueo en red al inicio. Cuando esta configuración de directiva se actualiza a deshabilitada en los equipos cliente, se eliminarán los protectores de clave de desbloqueo en red. Como alternativa, la directiva de certificado de desbloqueo de BitLocker en red puede eliminarse del controlador de dominio para que realice la misma tarea para todo un dominio.
Nota
Al quitar el almacén de certificados FVENKP que contiene el certificado de desbloqueo en red y la clave en el servidor WDS se deshabilitará también eficazmente la capacidad del servidor para responder a solicitudes de desbloqueo para ese certificado. Sin embargo, esto se considera una condición de error y no es un método compatible ni recomendado para desactivar el servidor de desbloqueo en red.
Actualización de certificados de desbloqueo en red
Para actualizar los certificados usados por desbloqueo en red, los administradores deben importar o generar el nuevo certificado para el servidor y, a continuación, actualizar la configuración de las directivas de grupo de certificado de desbloqueo en red en el controlador de dominio.
Solucionar problemas de desbloqueo en red
La solución de problemas de desbloqueo en red comienza al comprobar el entorno. Muchas veces, un pequeño problema de configuración será la causa raíz del error. Los elementos que comprobar son:
Comprueba que el hardware de cliente está basado en UEFI, que la versión de firmware es 2.3.1 y que el firmware UEFI está en modo nativo sin un módulo de compatibilidad (CSM) para el modo BIOS habilitado. Para ello, comprueba que el firmware no tiene una opción habilitada como "Modo heredado" o "Modo de compatibilidad" o que el firmware no parezca estar en un modo tipo BIOS.
Todos los roles y servicios necesarios se instalan e inician
Los certificados públicos y privados se han publicado y están en los contenedores de certificados correctos. La presencia del certificado de desbloqueo en red se puede comprobar en Microsoft Management Console (MMC.exe) en el servidor WDS con los complementos de certificado para el equipo local habilitado. El certificado de cliente se puede constatar comprobando la clave de registro HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP en el equipo cliente.
Las directivas de grupo para desbloqueo en red están habilitadas y vinculadas a los dominios correspondientes
Comprueba que las directivas de grupo están llegando correctamente a los clientes. Esto puede realizarse mediante las utilidades GPRESULT.exe o RSOP.msc.
Comprueba que el protector Network (Certificate Based) aparece en el cliente. Esto puede hacerse con manage-bde o los cmdlets de Windows PowerShell. Por ejemplo, el siguiente comando enumerará los protectores de clave configurados actualmente en la unidad C: del equipo local:
Manage-bde –protectors –get C:
Nota
Usa la salida de manage-bde junto con el registro de depuración de WDS para determinar si se usa la huella digital de certificado adecuada para el desbloqueo de red
Los archivos que recopilar al solucionar problemas de desbloqueo de BitLocker en red son:
Los registros de eventos de Windows. En concreto, los registros de eventos de BitLocker y el registro de Microsoft-Windows-Deployment-Services-Diagnostics-Debug
El registro de depuración está desactivado de manera predeterminada para el rol de servidor WDS, por lo que tendrás que habilitarlo primero. Puedes usar cualquiera de los siguientes dos métodos para activar el registro de depuración de WDS.
Inicia un símbolo del sistema con privilegios elevados y ejecuta el siguiente comando:
wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:trueAbre el Visor de eventos en el servidor WDS.
En el panel izquierdo, haz clic en Registros de aplicaciones y servicios, haz clic en Microsoft, haz clic en Windows, haz clic en Deployment-Services-Diagnostics y, a continuación, haz clic en Depurar.
En el panel derecho, haz clic en Habilitar registro.
Archivo de configuración de subred de DHCP (si existe uno).
La salida del estado de BitLocker en el volumen se puede recopilar en un archivo de texto con manage-bde -status o Get BitLockerVolume en Windows PowerShell
Captura de Monitor de red en el servidor que aloja el rol WDS, filtrado según la dirección IP del cliente
Establecer la configuración de las directivas de grupo de desbloqueo en red en versiones anteriores
El desbloqueo en red y la configuración de directivas de grupo correspondientes se introdujeron en Windows Server 2012, pero se pueden implementar con sistemas operativos que ejecutan Windows Server 2008 R2 y Windows Server 2008.
Requisitos
El servidor que aloja WDS debe ejecutar cualquiera de los sistemas operativos de servidor designados en la lista Se aplica a del principio de este tema.
Los equipos cliente deben ejecutar cualquiera de los sistemas operativos cliente designados en la lista Se aplica a del principio de este tema.
Se pueden usar los siguientes pasos para configurar el desbloqueo en red en estos sistemas antiguos.
Paso 1: Instalar el rol de servidor WDS
Paso 2: Confirmar que el servicio WDS se está ejecutando
Paso 3: Instalar la característica de desbloqueo en red
Paso 4: Crear el certificado de desbloqueo en red
Paso 5: Implementar la clave privada y el certificado en el servidor WDS
Paso 6: Establecer la configuración del registro para el desbloqueo en red
Aplica la configuración del registro ejecutando el siguiente script certutil en cada equipo que ejecute cualquier sistema operativo cliente designado en la lista Se aplica a del principio de este tema.
certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /fCrear el certificado de desbloqueo en red
Implementar la clave privada y el certificado en el servidor WDS
Crear la plantilla de certificado para desbloqueo en red
Requerir protectores de TPM+PIN al inicio