BitLocker : Activation du déverrouillage réseau

Cette rubrique destinée aux professionnels de l’informatique décrit le fonctionnement et la configuration du déverrouillage réseau BitLocker.

Le déverrouillage réseau a été introduit dans Windows 8 et Windows Server 2012 en tant qu’option du protecteur BitLocker pour les volumes de système d’exploitation. Le déverrouillage réseau facilite la gestion des ordinateurs de bureau et des serveurs sur lesquels BitLocker est activé dans un environnement de domaine, en fournissant le déverrouillage automatique des volumes de système d’exploitation au redémarrage du système lorsqu’il est connecté à un réseau d’entreprise câblé. Cette fonctionnalité implique que le microprogramme UEFI du matériel du client dispose d’un pilote DHCP implémenté.

Sans déverrouillage réseau, les volumes de système d’exploitation protégés par les protecteurs de module de plateforme sécurisée (TPM) et de code confidentiel nécessitent la saisie d’un code confidentiel lorsqu’un ordinateur redémarre ou sort de la mise en veille prolongée (par exemple, par Wake on LAN). Les entreprises peuvent avoir des difficultés à déployer des correctifs logiciels sur les ordinateurs de bureau sans assistance et les serveurs administrés à distance.

Le déverrouillage réseau permet aux systèmes sur lesquels BitLocker est activé avec module TPM et code confidentiel, qui remplissent la configuration matérielle requise, de démarrer sur Windows sans intervention de l’utilisateur. Le déverrouillage réseau fonctionne d’une façon semblable à la protection par module TPM+StartupKey au démarrage. Au lieu de devoir lire la clé StartupKey du périphérique USB, la clé du déverrouillage réseau est composée d’une clé stockée dans le module TPM et d’une clé réseau chiffrée qui est envoyée vers le serveur, déchiffrée, puis renvoyée vers le client dans une session sécurisée.

Cette rubrique contient les sections suivantes :

• Configuration matérielle et logicielle requise pour le déverrouillage réseau

• Séquence du déverrouillage réseau

• Configurer le déverrouillage réseau

• Créer le modèle de certificat pour le déverrouillage réseau

• Désactiver le déverrouillage réseau

• Mettre à jour les certificats de déverrouillage réseau

• Dépanner le déverrouillage réseau

• Configurer le déverrouillage réseau sur les systèmes non pris en charge

Configuration matérielle et logicielle requise pour le déverrouillage réseau

Le déverrouillage réseau doit répondre à la configuration matérielle et logicielle requise pour que le composant puisse déverrouiller automatiquement les systèmes joints au domaine. Cette configuration requise est la suivante :

• Vous devez utiliser au moins Windows 8 ou Windows Server 2012.

• Tout système d’exploitation pris en charge avec des pilotes DHCP UEFI peut être un client de déverrouillage réseau.

• Un serveur exécutant le rôle Services de déploiement Windows (WDS) sur tout système d’exploitation serveur pris en charge.

• La fonctionnalité facultative Déverrouillage réseau BitLocker installée sur tout système d’exploitation serveur pris en charge.

• Un serveur DHCP distinct du serveur WDS.

• Une paire de clés publique/privée correctement configurée.

• Des paramètres de stratégie de groupe du déverrouillage réseau configurés.

La pile réseau doit être activée pour que vous puissiez utiliser la fonctionnalité Déverrouillage réseau. Comme les fabricants d’ordinateurs proposent leurs produits dans différents états et avec différents menus du BIOS, vous devez vérifier que la pile réseau a été activée dans le BIOS avant de démarrer l’ordinateur.

Remarque  

Pour prendre correctement en charge DHCP au sein d’UEFI, le système UEFI doit être en mode natif sans module de prise en charge de la compatibilité (CSM) activé.

Pour que le déverrouillage réseau fonctionne de manière fiable sur les ordinateurs exécutant Windows 8 et ultérieur, la première carte réseau sur l’ordinateur, généralement la carte intégrée, doit être configurée pour prendre en charge le protocole DHCP et utilisée pour le déverrouillage réseau. Cela est particulièrement intéressant à noter si vous disposez de plusieurs cartes et souhaitez configurer une carte sans DHCP, par exemple pour un protocole de gestion d’extinction des feux. Cette configuration est nécessaire, car le déverrouillage réseau arrête d’énumérer les adaptateurs lorsqu’elle en atteint un avec un échec de port DHCP pour une raison quelconque. Par conséquent, si le premier adaptateur énuméré ne prend pas en charge le protocole DHCP, n’est pas connecté au réseau ou ne parvient pas à indiquer la disponibilité du port DHCP pour une raison quelconque, la fonctionnalité Déverrouillage réseau échoue.

 

Le composant serveur Déverrouillage réseau est installé sur les versions prises en charge de Windows Server 2012 et ultérieur en tant que fonctionnalité Windows à l’aide du Gestionnaire de serveur ou des applets de commande Windows PowerShell. La fonctionnalité est nommée Déverrouillage réseau BitLocker dans le Gestionnaire de serveur et BitLocker-NetworkUnlock dans Windows PowerShell. Cette fonctionnalité est une exigence principale.

Le déverrouillage réseau nécessite les services de déploiement Windows (WDS) dans l’environnement dans lequel la fonctionnalité sera utilisée. Il n’est pas nécessaire de configurer l’installation WDS, mais le service WDS doit être en cours d’exécution sur le serveur.

La clé réseau est stockée sur le lecteur système avec une clé de session AES 256 et chiffrée avec la clé publique RSA 2 048 bits du certificat du serveur de déverrouillage. La clé réseau est déchiffrée avec l’aide d’un fournisseur sur une version prise en charge de Windows Server exécutant WDS, puis renvoyée chiffrée avec sa clé de session correspondante.

Séquence du déverrouillage réseau

La séquence de déverrouillage démarre côté client lorsque le Gestionnaire de démarrage Windows détecte l’existence du protecteur de déverrouillage réseau. Elle tire partie du pilote DHCP dans UEFI pour obtenir une adresse IP pour IPv4, puis diffuse une demande de protocole DHCP propre au fournisseur qui contient la clé réseau et une clé de session pour la réponse, toutes étant chiffrées par le certificat de déverrouillage réseau du serveur, comme décrit ci-dessus. Le fournisseur de déverrouillage réseau sur le serveur WDS pris en charge reconnaît la demande propre au fournisseur, la déchiffre à l’aide de la clé privée RSA et retourne la clé réseau chiffrée avec la clé de session via sa propre réponse DHCP propre au fournisseur.

Côté serveur, le rôle du serveur WDS possède un composant plug-in facultatif, par exemple un fournisseur PXE, qui gère les demandes entrantes de déverrouillage réseau. Le fournisseur peut également être configuré avec des restrictions de sous-réseau, ce qui implique que l’adresse IP indiquée par le client dans la demande de déverrouillage réseau appartienne à un sous-réseau autorisé afin de libérer la clé réseau pour le client. Dans les cas où le fournisseur de déverrouillage réseau n’est pas disponible, BitLocker bascule vers le protecteur disponible suivant pour déverrouiller le lecteur. Dans une configuration standard, cela signifie que l’écran de déverrouillage TPM+code confidentiel standard est présenté pour déverrouiller le lecteur.

La configuration côté serveur pour activer le déverrouillage réseau nécessite également la configuration d’une paire de clés publique/privée RSA 2 048 bits sous la forme d’un certificat X.509 et la distribution du certificat de clé publique aux clients. Ce certificat doit être géré et déployé directement via l’éditeur de stratégie de groupe sur un contrôleur de domaine doté au moins d’un niveau fonctionnel de domaine de Windows Server 2012. Ce certificat est la clé publique qui chiffre la clé réseau intermédiaire (qui est l’un des deux secrets nécessaires pour déverrouiller le lecteur, l’autre secret étant stocké dans le module TPM).

Étapes du processus de déverrouillage réseau

1. Le Gestionnaire de démarrage Windows détecte qu’un protecteur de déverrouillage réseau existe dans la configuration de BitLocker.

2. L’ordinateur client utilise son pilote DHCP dans l’interface UEFI pour obtenir une adresse IP IPv4 valide.

3. L’ordinateur client diffuse une demande de protocole DHCP propre au fournisseur qui contient la clé réseau (clé intermédiaire 256 bits) et une clé de session AES 256 pour la réponse. Ces deux clés sont chiffrées à l’aide de la clé publique RSA 2 048 bits du certificat de déverrouillage réseau du serveur WDS.

4. Le fournisseur de déverrouillage réseau sur le serveur WDS identifie la demande propre au fournisseur.

5. Le fournisseur la déchiffre à l’aide de la clé privée RSA du certificat du déverrouillage réseau BitLocker du serveur WDS.

6. Le fournisseur de services de déploiement Windows retourne ensuite vers l’ordinateur client la clé réseau chiffrée avec la clé de session à l’aide de la réponse DHCP propre au fournisseur. Cela constitue une clé intermédiaire.

7. La clé intermédiaire retournée est ensuite combinée à une autre clé intermédiaire 256 bits locale qui peut uniquement être déchiffrée à l’aide du module TPM.

8. Cette clé combinée permet de créer une clé AES 256 qui déverrouille le volume.

9. Windows continue la séquence de démarrage.

Configurer le déverrouillage réseau

Les étapes suivantes permettent à un administrateur de configurer le déverrouillage réseau dans un domaine dont le niveau fonctionnel est défini au moins sur Windows Server 2012.

Étape 1 : Installer le rôle du serveur WDS

La fonctionnalité Déverrouillage réseau BitLocker installe le rôle WDS si ce n’est pas déjà fait. Si vous voulez l’installer séparément avant d’installer le déverrouillage réseau BitLocker, vous pouvez utiliser le Gestionnaire de serveur ou Windows PowerShell. Pour installer le rôle à l’aide du Gestionnaire de serveur, sélectionnez le rôle Services de déploiement Windows dans le Gestionnaire de serveur.

Pour installer le rôle à l’aide de Windows PowerShell, utilisez la commande suivante :

Install-WindowsFeature WDS-Deployment

Vous devez configurer le serveur WDS pour qu’il puisse communiquer avec le protocole DHCP (et, éventuellement les services de domaine Active Directory) et l’ordinateur client. Vous pouvez effectuer cette opération à l’aide de l’outil de gestion des services de déploiement Windows, wdsmgmt.msc, qui démarre l’Assistant Configuration des services de déploiement Windows.

Étape 2 : Vérifier que le service WDS est en cours d'exécution

Pour vérifier que le service WDS est en cours d’exécution, utilisez la console de gestion des services ou Windows PowerShell. Pour vérifier que le service est en cours d’exécution dans la console de gestion des services, ouvrez la console à l’aide de services.msc et vérifiez l’état du service Services de déploiement Windows.

Pour vérifier que le service est en cours d’exécution à l’aide de Windows PowerShell, utilisez la commande suivante :

Get-Service WDSServer

Étape 3 : Installer la fonctionnalité Déverrouillage réseau

Pour installer la fonctionnalité Déverrouillage réseau, utilisez le Gestionnaire de serveur ou Windows PowerShell. Pour installer la fonctionnalité à l’aide du Gestionnaire de serveur, sélectionnez la fonctionnalité Déverrouillage réseau BitLocker dans la console Gestionnaire de serveur.

Pour installer la fonctionnalité à l’aide de Windows PowerShell, utilisez la commande suivante :

Install-WindowsFeature BitLocker-NetworkUnlock

Étape 4 : Créer le certificat de déverrouillage réseau

Le déverrouillage réseau peut utiliser les certificats importés d’une infrastructure PKI. Vous pouvez également utiliser un certificat auto-signé.

Pour inscrire un certificat à partir d’une autorité de certification (CA) existante, procédez comme suit :

1. Ouvrez le gestionnaire de certificats sur le serveur WDS à l’aide de certmgr.msc.

2. Sous l’élément Certificats - Utilisateur actuel, cliquez avec le bouton droit sur Personnel.

3. Sélectionnez Toutes les tâches, puis Demander un nouveau certificat.

4. Sélectionnez Suivant à l’ouverture de l’Assistant Inscription de certificats.

5. Sélectionnez Stratégie d’inscription Active Directory.

6. Choisissez le modèle de certificat créé pour le déverrouillage réseau sur le contrôleur de domaine, puis sélectionnez Inscrire. Lorsque vous êtes invité à entrer plus d’informations, ajoutez l’attribut suivant au certificat :

   • Sélectionnez le volet Nom de l’objet et fournissez une valeur de nom convivial. Il est conseillé que ce nom convivial inclue des informations pour le domaine ou l’unité d’organisation du certificat. Exemple : « certificat de déverrouillage réseau BitLocker pour le domaine Contoso ».

7. Créez le certificat. Assurez-vous que le certificat apparaît dans le dossier Personnel.

8. Exportez le certificat de clé publique pour le déverrouillage réseau.

   1. Créez un fichier .cer en cliquant avec le bouton droit sur le certificat déjà créé, et en choisissant Toutes les tâches, puis Exporter.

   2. Sélectionnez Non, ne pas exporter la clé privée.

   3. Sélectionnez Binaire codé DER X.509 et exécutez l’exportation du certificat dans un fichier.

   4. Nommez le fichier, par exemple BitLocker-NetworkUnlock.cer.

9. Exportez la clé publique avec une clé privée pour le déverrouillage réseau.

   1. Créez un fichier .pfx en cliquant avec le bouton droit sur le certificat déjà créé, et en choisissant Toutes les tâches, puis Exporter.

   2. Sélectionnez Oui, exporter la clé privée.

   3. Terminez l’Assistant pour créer le fichier .pfx.

Pour créer un certificat auto-signé, procédez comme suit :

1. Créez un fichier texte portant une extension .inf. Exemple : notepad.exe BitLocker-NetworkUnlock.inf.

2. Ajoutez le contenu suivant au fichier créé précédemment :

   [NewRequest]
   
   Subject="CN=BitLocker Network Unlock certificate"
   Exportable=true
   RequestType=Cert
   KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
   KeyLength=2048
   
   [Extensions]
   1.3.6.1.4.1.311.21.10 = "{text}"
   _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
   
   2.5.29.37 = "{text}"
   _continue_ = "1.3.6.1.4.1.311.67.1.1"
   

3. Ouvrez une invite de commandes avec élévation de privilèges et utilisez l’outil certreq pour créer un certificat à l’aide de la commande suivante, en spécifiant le chemin d’accès complet au fichier créé précédemment, ainsi que le nom du fichier :

   certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
   

4. Vérifiez que la commande précédente a correctement créé le certificat en vérifiant l’existence du fichier .cer.

5. Lancez le gestionnaire de certificats en exécutant certmgr.msc.

6. Créez un fichier .pfx en ouvrant le chemin d’accès Certificats – Utilisateur actuel\Personnel\Certificats dans le volet de navigation, en cliquant avec le bouton droit sur le certificat déjà importé et en sélectionnant Toutes les tâches, puis Exporter. Suivez les étapes de l’Assistant pour créer le fichier .pfx.

Étape 5 : Déployer la clé privée et le certificat sur le serveur WDS

Le certificat et la clé étant créés, déployez-les vers l’infrastructure pour déverrouiller les systèmes correctement. Pour déployer les certificats, procédez comme suit :

1. Sur le serveur WDS, ouvrez une nouvelle console MMC et ajoutez le composant logiciel enfichable Certificats. Sélectionnez le compte d’ordinateur et l’ordinateur local.

2. Cliquez avec le bouton droit sur l’élément Certificats (ordinateur local) - Déverrouillage réseau du chiffrement de lecteur BitLocker, choisissez Toutes les tâches, puis Importer.

3. Dans la boîte de dialogue Fichier à importer, choisissez le fichier .pfx créé précédemment.

4. Entrez le mot de passe utilisé pour créer le fichier .pfx et terminez l’Assistant.

Étape 6 : Configurer les paramètres de stratégie de groupe pour le déverrouillage réseau

Le certificat et la clé étant déployés sur le serveur WDS pour le déverrouillage réseau, l’étape finale consiste à utiliser les paramètres de stratégie de groupe pour déployer le certificat de clé publique sur les ordinateurs que vous souhaitez pouvoir déverrouiller à l’aide de la clé de déverrouillage réseau. Les paramètres de stratégie de groupe de BitLocker sont accessibles à partir de l’Éditeur de stratégie de groupe locale ou de la console MMC (Microsoft Management Console) sous \Configuration ordinateur\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker.

Les étapes suivantes décrivent l’activation du paramètre de stratégie de groupe qui est une condition requise pour la configuration du déverrouillage réseau.

1. Ouvrez la Console de gestion des stratégies de groupe (gpmc.msc).

2. Activez la stratégie Demander une authentification supplémentaire au démarrage et sélectionnez l’option Demander un code confidentiel de démarrage avec le module de plateforme sécurisée.

3. Activez BitLocker avec les protecteurs de module TPM et de code confidentiel sur tous les ordinateurs joints au domaine.

Les étapes suivantes décrivent le déploiement du paramètre de stratégie de groupe requis :

Remarque  

Les paramètres de stratégie de groupe Autoriser le déverrouillage réseau au démarrage et Ajouter un certificat de déverrouillage réseau ont été introduits dans Windows Server 2012.

 

1. Copiez sur le contrôleur de domaine le fichier .cer créé pour le déverrouillage réseau.

2. Sur le contrôleur de domaine, lancez la Console de gestion des stratégies de groupe (gpmc.msc).

3. Créez un objet de stratégie de groupe ou modifiez un objet existant pour activer le paramètre Autoriser le déverrouillage réseau au démarrage.

4. Déployez le certificat public sur les clients.

   1. Au sein de la Console de gestion des stratégies de groupe, accédez à l’emplacement suivant : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique\Certificat de déverrouillage réseau pour le chiffrement de lecteur BitLocker.

   2. Cliquez avec le bouton droit sur le dossier, puis sélectionnez Ajouter un certificat de déverrouillage réseau.

   3. Suivez les étapes de l’Assistant et importez le fichier .cer copié précédemment.

Remarque  

Un seul certificat de déverrouillage réseau peut être disponible à la fois. Si un nouveau certificat est requis, supprimez le certificat actuel avant d’en déployer un autre. Le certificat de déverrouillage réseau se trouve dans la clé HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP sur l’ordinateur client.

 

Étape 7 : Requérir les protecteurs de module TPM et de code confidentiel au démarrage

Une étape supplémentaire est destinée aux entreprises pour utiliser les protecteurs de module TPM et de code confidentiel pour un niveau supplémentaire de sécurité. Pour requérir des protecteurs de module TPM et de code confidentiel dans un environnement, procédez comme suit :

1. Ouvrez la Console de gestion des stratégies de groupe (gpmc.msc).

2. Activez la stratégie Demander une authentification supplémentaire au démarrage et sélectionnez l’option Demander un code confidentiel de démarrage avec le module de plateforme sécurisée.

3. Activez BitLocker avec les protecteurs de module TPM et de code confidentiel sur tous les ordinateurs joints au domaine.

Créer le modèle de certificat pour le déverrouillage réseau

Les étapes suivantes détaillent la création d’un modèle de certificat à utiliser avec le déverrouillage réseau BitLocker. Une autorité de certification des services Active Directory correctement configurée peut utiliser ce certificat pour créer et émettre des certificats de déverrouillage réseau.

1. Ouvrez le composant logiciel enfichable Modèle de certificats (certtmpl.msc).

2. Recherchez le modèle utilisateur. Cliquez avec le bouton droit sur le nom du modèle, puis sélectionnez Dupliquer le modèle.

3. Dans l’onglet Compatibilité, remplacez respectivement les champs Autorité de certification et Destinataire du certificat par Windows Server 2012 et Windows 8. Assurez-vous que la boîte de dialogue Afficher les modifications résultantes est sélectionnée.

4. Sélectionnez l’onglet Général du modèle. Le Nom complet du modèle et le Nom du modèle doivent indiquer clairement que le modèle est utilisé pour le déverrouillage réseau. Décochez la case Publier le certificat dans Active Directory.

5. Sélectionnez l’onglet Gestion de la demande. Sélectionnez Chiffrement dans le menu déroulant Objet. Vérifiez que l’option Autoriser l’exportation de la clé privée est sélectionnée.

6. Sélectionnez l’onglet Chiffrement. Définissez la Taille de clé minimale sur 2048. (Tout fournisseur de services de chiffrement Microsoft prenant en charge RSA peut être utilisé pour ce modèle, mais pour des raisons de simplicité et de compatibilité ascendante, nous vous recommandons d’utiliser le Fournisseur de stockage de clés (KSP) des logiciels Microsoft.)

7. Sélectionnez l’option Les demandes doivent utiliser l’un des fournisseurs suivants et effacez toutes les options excepté celles du fournisseur de services de chiffrement que vous avez sélectionné, par exemple Fournisseur de stockage de clés (KSP) des logiciels Microsoft.

8. Sélectionnez l’onglet Nom de l’objet. Sélectionnez Fournir dans la demande. Sélectionnez OK si la boîte de dialogue contextuelle Modèles de certificats s’affiche.

9. Sélectionnez l’onglet Conditions d’émission. Sélectionnez les deux options Approbation du gestionnaire de certificat de l’Autorité de certification et Certificat existant valide.

10. Sélectionnez l’onglet Extensions. Sélectionnez Stratégies d’application et choisissez Modifier....

11. Dans la boîte de dialogue Modifier l’extension des stratégies d’application, sélectionnez Authentification client, Système de fichiers EFS, Messagerie électronique sécurisée et Supprimer.

12. Dans la boîte de dialogue Modifier l’extension des stratégies d’application, sélectionnez Ajouter.

13. Dans la boîte de dialogue Ajouter une stratégie d’application, sélectionnez Nouveau. Dans la boîte de dialogue Nouvelle stratégie d’application, entrez les informations suivantes dans l’espace fourni, puis cliquez sur OK pour créer la stratégie d’application de déverrouillage réseau BitLocker :

    • Nom :Déverrouillage réseau BitLocker

    • Identificateur d’objet :1.3.6.1.4.1.311.67.1.1

14. Sélectionnez la stratégie d’application de déverrouillage réseau BitLocker qui vient d’être créée, puis cliquez sur OK.

15. L’onglet Extensions étant ouvert, sélectionnez la boîte de dialogue Modifier les extensions d’usage de clé, puis l’option Autoriser l’échange de clés uniquement avec le cryptage à clé. Sélectionnez l’option Rendre cette extension critique.

16. Sélectionnez l’onglet Sécurité. Vérifiez que l’autorisation Inscription a été accordée au groupe Admins du domaine.

17. Sélectionnez OK pour terminer la configuration du modèle.

Pour ajouter le modèle de déverrouillage du réseau à l’autorité de certification, ouvrez le composant logiciel enfichable Autorité de Certification (certsrv.msc). Cliquez avec le bouton droit sur l’élément Modèles de certificats et choisissez Nouveau, Modèle de certificat à délivrer. Sélectionnez le certificat de déverrouillage réseau BitLocker créé précédemment.

Une fois que vous avez ajouté le modèle de déverrouillage du réseau à l’autorité de certification, ce certificat peut être utilisé pour configurer le déverrouillage du réseau BitLocker.

Fichiers de configuration des stratégies de sous-réseau sur le serveur WDS (facultatif)

Par défaut, tous les clients pourvus du certificat de déverrouillage réseau correct et des protecteurs de déverrouillage réseau valides, qui disposent d’un accès câblé à un serveur WDS sur lequel le déverrouillage réseau est activé via le protocole DHCP, sont déverrouillés par le serveur. Un fichier de configuration des stratégies de sous-réseau sur le serveur WDS peut être créé pour limiter les clients de déverrouillage réseau des sous-réseaux à déverrouiller.

Le fichier de configuration, appelé bde-network-unlock.ini, doit être situé dans le même répertoire que la DLL de fournisseur de déverrouillage réseau, et il s’applique aux implémentations DHCP des adresses IP IPv6 et IPv4. Si la stratégie de configuration des sous-réseaux est endommagée, le fournisseur échoue et cesse de répondre aux demandes.

Le fichier de configuration des stratégies de sous-réseau doit utiliser une section « [SUBNETS] » pour identifier les sous-réseaux spécifiques. Les sous-réseaux nommés peuvent ensuite être utilisés pour spécifier des restrictions dans les sous-sections de certificat. Les sous-réseaux sont définis en tant que paires nom/valeur simple, dans le format INI courant, où chaque sous-réseau possède sa propre ligne, le nom étant à gauche du signe égal, et le sous-réseau étant identifié à droite du signe égal comme adresse ou plage CIDR (Classless Inter-Domain Routing). Le mot clé « ENABLED » n’est pas autorisé pour les noms de sous-réseau.

 [SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

Après la section [SUBNETS], des sections correspondant à chaque certificat de déverrouillage réseau peuvent exister. Elles sont identifiées par l’empreinte de certificat mise en forme sans espace, qui définissent les clients de sous-réseau pouvant être déverrouillés avec ce certificat.

Remarque  

Lorsque vous spécifiez l’empreinte de certificat, n’incluez pas d’espaces. Si des espaces sont inclus dans l’empreinte, la configuration du sous-réseau échoue, car l’empreinte n’est pas reconnue comme valide.

 

Les restrictions de sous-réseau sont définies dans chaque section de certificat en indiquant la liste autorisée des sous-réseaux permis. Si un sous-réseau est répertorié dans une section de certificat, seuls les sous-réseaux répertoriés sont autorisés pour ce certificat. Si aucun sous-réseau n’est répertorié dans une section de certificat, tous les sous-réseaux sont autorisés pour ce certificat. Si un certificat est dépourvu de section dans le fichier de configuration des stratégies de sous-réseau, aucune restriction de sous-réseau n’est appliquée pour le déverrouillage avec ce certificat. En d’autres termes, pour que les restrictions s’appliquent à tous les certificats, une section de certificat doit exister pour chaque certificat de déverrouillage réseau sur le serveur, et une liste autorisée explicite doit être définie pour chaque section de certificat.

Les listes de sous-réseaux sont créées en plaçant le nom d’un sous-réseau provenant de la section [SUBNETS] sur sa propre ligne sous l’en-tête de section du certificat. Ensuite, le serveur déverrouille uniquement les clients avec ce certificat sur les sous-réseaux spécifiés dans la liste. Pour résoudre les problèmes, vous pouvez rapidement exclure un sous-réseau sans le supprimer de la section en ajoutant simplement un commentaire avec un point-virgule.

 [‎2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Pour interdire l’utilisation d’un certificat, sa liste de sous-réseaux peut contenir la ligne « DISABLED ».

Désactiver le déverrouillage réseau

Pour désactiver le serveur de déverrouillage, l’inscription du fournisseur PXE peut être supprimée du serveur WDS, ou le fournisseur peut être entièrement désinstallé. Néanmoins, pour empêcher les clients de créer des protecteurs de déverrouillage réseau, vous devez désactiver le paramètre de stratégie de groupe Autoriser le déverrouillage réseau au démarrage. Lorsque ce paramètre de stratégie est désactivé sur les ordinateurs clients, tous les protecteurs de clé de nettoyage réseau sont supprimés de l’ordinateur. Par ailleurs, la stratégie de certificat de déverrouillage réseau BitLocker peut être supprimée sur le contrôleur de domaine pour accomplir la même tâche pour un domaine entier.

Remarque  

La suppression du magasin de certificats FVENKP qui contient le certificat et la clé de déverrouillage réseau sur le serveur WDS entraîne également la désactivation de la capacité du serveur à répondre aux demandes de déverrouillage pour ce certificat. Toutefois, cela est considéré comme une condition d’erreur. Il ne s’agit pas d’une méthode prise en charge ou recommandée pour désactiver le serveur de déverrouillage réseau.

 

Mettre à jour les certificats de déverrouillage réseau

Pour mettre à jour les certificats utilisés par le déverrouillage réseau, les administrateurs doivent importer ou générer le nouveau certificat du serveur, puis mettre à jour le paramètre de stratégie de groupe du certificat de déverrouillage réseau sur le contrôleur de domaine.

Dépanner le déverrouillage réseau

Pour résoudre les problèmes liés au déverrouillage réseau, commencez par vérifier l’environnement. Il arrive souvent que la cause principale de l’échec soit un petit problème de configuration. Éléments à vérifier :

• Vérifiez que le matériel du client est basé sur le microprogramme UEFI version 2.3.1 en mode natif, sans module de prise en charge de compatibilité activé pour le BIOS. Pour ce faire, vérifiez que le microprogramme n’est pas en mode BIOS et qu’aucune option du type « Mode hérité » ou « Mode de compatibilité » n’est activée.

• Tous les rôles et services requis sont installés et démarrés.

• Les certificats publics et privés ont été publiés et se trouvent dans les conteneurs de certificat appropriés. La présence du certificat de déverrouillage réseau peut être vérifiée dans la console MMC (MMC.exe) sur le serveur WDS, les composants logiciels enfichables des certificats étant activés sur l’ordinateur local. Le certificat client peut être vérifié dans la clé de Registre HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP sur l’ordinateur client.

• La stratégie de groupe du déverrouillage réseau est activée et liée aux domaines appropriés.

• Vérifiez que la stratégie de groupe atteint correctement les clients à l’aide des utilitaires GPRESULT.exe ou RSoP.msc.

• Vérifiez que le protecteur Network (Certificate Based) est répertorié sur le client à l’aide de l’outil Manage-bde ou des applets de commande Windows PowerShell. Par exemple, la commande suivante répertorie les protecteurs de clé actuellement configurés sur le lecteur C: de l’ordinateur lcoal :

  Manage-bde –protectors –get C:
  

Remarque  

Utilisez la sortie de Manage-bde avec le journal de débogage WDS pour déterminer si l’empreinte de certificat appropriée est utilisée pour le déverrouillage réseau.

 

Fichiers à rassembler lors de la résolution des problèmes liés au déverrouillage réseau BitLocker :

1. Journaux d’événements Windows, notamment les journaux d’événements BitLocker et le journal Microsoft-Windows-Deployment-Services-Diagnostics-Debug.

   Comme la journalisation du débogage est désactivée par défaut pour le rôle de serveur WDS, vous devez commencer par l’activer. Vous pouvez utiliser l’une des deux méthodes suivantes pour activer la journalisation du débogage WDS.

   1. Démarrez une invite de commandes avec élévation de privilèges et exécutez la commande suivante :

      wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      

   2. Ouvrez l’observateur d’événements sur le serveur WDS.

      Dans le volet gauche, cliquez successivement sur Journaux des applications et des services, Microsoft, Windows, Deployment-Services-Diagnostics et Déboguer.

      Dans le volet droit, cliquez sur Activer le journal.

2. Fichier de configuration des sous-réseaux DHCP (le cas échéant).

3. Sortie de l’état BitLocker sur le volume. Elle peut être collectée dans un fichier texte à l’aide de manage-bde -status ou Get-BitLockerVolume de Windows PowerShell.

4. Capture du moniteur réseau sur le serveur hébergeant le rôle WDS, filtrée en fonction de l’adresse IP du client.

Configurer les paramètres de stratégie de groupe de déverrouillage réseau sur les versions antérieures

Le déverrouillage réseau et les paramètres de stratégie de groupe associés ont été introduits dans Windows Server 2012, mais ils peuvent être déployés à l’aide des systèmes d’exploitation exécutant Windows Server 2008 R2 et Windows Server 2008.

Conditions requises

• Le serveur hébergeant WDS doit exécuter l’un des systèmes d’exploitation serveur indiqués dans la liste S’applique à au début de cette rubrique.

• Les ordinateurs clients doivent exécuter l’un des systèmes d’exploitation clients indiqués dans la liste S’applique à au début de cette rubrique.

Les étapes suivantes permettent de configurer le déverrouillage réseau sur les systèmes plus anciens.

1. Étape 1 : Installer le rôle du serveur WDS

2. Étape 2 : Vérifier que le service WDS est en cours d'exécution

3. Étape 3 : Installer la fonctionnalité Déverrouillage réseau

4. Étape 4 : Créer le certificat de déverrouillage réseau

5. Étape 5 : Déployer la clé privée et le certificat sur le serveur WDS

6. Étape 6 : Configurer les paramètres du Registre pour le déverrouillage réseau

   Appliquez les paramètres du Registre en exécutant le script certutil suivant sur chaque ordinateur exécutant l’un des systèmes d’exploitation clients désignés dans la liste S’applique à au début de cette rubrique.

   certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer
   
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
   

7. Créer le certificat de déverrouillage réseau

8. Déployer la clé privée et le certificat sur le serveur WDS

9. Créer le modèle de certificat pour le déverrouillage réseau

10. Requérir les protecteurs de module TPM et de code confidentiel au démarrage

Voir aussi

• Vue d’ensemble de BitLocker

• BitLocker : Forum Aux Questions (FAQ)

• Préparer votre organisation pour BitLocker : Planification et stratégies