BitLocker: Como habilitar o desbloqueio pela rede
Este tópico para o profissional de TI descreve como funciona o Desbloqueio pela rede do BitLocker e como configurá-lo.
O Desbloqueio pela rede foi introduzido no Windows 8 e no Windows Server 2012 como uma opção de protetor do BitLocker para volumes do sistema operacional. O Desbloqueio pela rede facilita o gerenciamento de desktops e servidores habilitados para o BitLocker em um ambiente de domínio oferecendo o desbloqueio automático de volumes do sistema operacional na reinicialização do sistema quando conectado a uma rede corporativa com fio. Esse recurso exige que o hardware do cliente tenha um driver DHCP implementado no firmware da UEFI.
Sem o Desbloqueio pela rede, os volumes do sistema operacional protegidos por protetores TPM+PIN exigem que um PIN seja inserido quando um computador é reiniciado ou sai da hibernação (por exemplo, por Wake on LAN). Isso pode dificultar para as empresas implantarem patches de software em desktops autônomos e servidores administrados remotamente.
O Desbloqueio pela rede permite que sistemas habilitados para o BitLocker com o TPM+PIN e que atendam aos requisitos de hardware sejam inicializados no Windows sem intervenção do usuário. O Desbloqueio pela rede funciona de maneira semelhante a TPM+StartupKey na inicialização. Em vez de precisar ler o StartupKey na mídia USB, no entanto, a chave do Desbloqueio pela rede é composta de uma chave armazenada no TPM e de uma chave de rede criptografada enviada para o servidor, descriptografada e devolvida ao cliente em uma sessão segura.
Este tópico contém:
Requisitos básicos do Desbloqueio pela rede
Sequência do Desbloqueio pela rede
Configurar o Desbloqueio pela rede
Criar o modelo de certificado para Desbloqueio pela rede
Desativar o Desbloqueio pela rede
Atualizar certificados de Desbloqueio pela rede
Solucionar problemas do Desbloqueio pela rede
Configurar o Desbloqueio pela rede em sistemas sem suporte
Requisitos básicos do Desbloqueio pela rede
O Desbloqueio pela rede deve atender aos requisitos de hardware e software obrigatórios para o recurso poder desbloquear automaticamente sistemas ingressados no domínio. Entre esses requisitos estão:
Você deve estar executando pelo menos o Windows 8 ou o Windows Server 2012.
Qualquer sistema operacional compatível com drivers DHCP UEFI podem ser clientes de Desbloqueio pela rede.
Um servidor que executa a função Serviços de Implantação do Windows (WDS) em qualquer sistema operacional de servidor compatível.
Recurso opcional Desbloqueio pela rede do BitLocker instalado em qualquer sistema operacional de servidor compatível.
Um servidor DHCP, separado do servidor WDS.
Par de chaves públicas/privadas configurado corretamente.
Configurações de Política de Grupo de Desbloqueio pela rede definidas.
A pilha de rede deve ser habilitada para usar o recurso Desbloqueio pela rede. Os fabricantes de equipamentos oferecem produtos em diversos estados e com diferentes menus do BIOS, logo, você precisa confirmar se a pilha de rede foi habilitada no BIOS antes de iniciar o computador.
Observação
Para dar suporte corretamente a DHCP dentro da UEFI, o sistema baseado em UEFI deve estar no modo nativo sem um módulo de suporte de compatibilidade (CSM) habilitado.
Para o Desbloqueio pela rede funcionar de maneira confiável em computadores nos quais o Windows 8 e posterior estejam em execução, o primeiro adaptador de rede no computador, normalmente o adaptador integrado, deve ser configurado para dar suporte a DHCP e usado para o Desbloqueio pela rede. Geralmente vale a pela observar quando há vários adaptadores e você deseja configurar um sem DHCP, como para um protocolo de gerenciamento sem luz. Esta configuração é necessária porque o Desbloqueio pela rede deixará de enumerar adaptadores quando atingir um com uma falha na porta DHCP por qualquer motivo. Assim, se o primeiro adaptador enumerado não der suporte a DHCP, não estiver conectado à rede ou deixar de relatar a disponibilidade da porta DHCP por qualquer motivo, o Desbloqueio pela rede falhará.
O componente de servidor Desbloqueio pela rede é instalado em versões compatíveis do Windows Server 2012 e posteriores como um recurso do Windows com Gerenciador do Servidor ou cmdlets do Windows PowerShell. O nome do recurso é Desbloqueio pela rede do BitLocker no Gerenciador do Servidor e BitLocker-NetworkUnlock no Windows PowerShell. Esse recurso é um requisito básico.
O Desbloqueio pela rede requer Serviços de Implantação do Windows (WDS) no ambiente onde o recurso será utilizado. A configuração da instalação do WDS não é necessária; no entanto, o serviço WDS precisa estar em execução no servidor.
A chave de rede é armazenada na unidade do sistema com uma chave da sessão AES 256 e criptografada com a chave pública RSA 2048-bit do certificado do servidor de desbloqueio. A chave de rede é descriptografada com a ajuda de um provedor em uma versão compatível do Windows Server no qual o WDS esteja em execução e retorna criptografada com a chave de sessão correspondente.
Sequência do Desbloqueio pela rede
A sequência de desbloqueio começa no lado do cliente, quando o Gerenciador de Inicialização do Windows detecta a existência do protetor de Desbloqueio pela rede. Ele aproveita o driver DHCP na UEFI para obter um endereço IP para IPv4 e difunde uma solicitação DHCP específica do fornecedor que contém a chave de rede e uma chave de sessão para a resposta, todas criptografadas pelo certificado de Desbloqueio pela rede, conforme descrito acima. O provedor de Desbloqueio pela rede no servidor WDS compatível reconhece a solicitação específica do fornecedor, a descriptografa com a chave privada RSA e retorna a chave de rede criptografada com a chave de sessão por meio da resposta DHCP específica do próprio fornecedor.
No lado do servidor, a função de servidor WDS tem um componente de plug-in opcional, como um provedor PXE, que é o que manipula as solicitações de Desbloqueio pela rede recebidas. O provedor também pode ser configurado com restrições de sub-rede, que exigiriam que o endereço IP fornecido pelo cliente na solicitação de Desbloqueio pela rede pertencesse a uma sub-rede permitida a fim de liberar a chave de rede para o cliente. Em casos nos quais o provedor de Desbloqueio pela rede não esteja disponível, o BitLocker faz failover para o próximo protetor disponível a fim de desbloquear a unidade. Em uma configuração típica, isso significa que a tela de desbloqueio TPM+PIN padrão é apresentada para desbloquear a unidade.
A configuração no lado do servidor para habilitar o Desbloqueio pela rede também exige o provisionamento de um par de chaves pública/privada RSA 2048-bit na forma de um certificado X.509 e a distribuição do certificado de chave pública para os clientes. Esse certificado deve ser gerenciado e implantado por meio do Editor de Política de Grupo diretamente em um controlador de domínio com pelo menos um nível funcional de domínio do Windows Server 2012. Esse certificado é a chave pública que criptografa a chave de rede intermediária (que é um dos dois segredos necessários para desbloquear a unidade; o outro segredo é armazenado no TPM).
.png "Sequência do Desbloqueio pela rede do BitLocker")
Fases no processo de Desbloqueio pela rede
O Gerenciador de Inicialização do Windows detecta se existe um protetor de Desbloqueio pela rede na configuração do BitLocker.
O computador cliente usa o driver DHCP na UEFI para obter um endereço IP IPv4 válido.
O computador cliente difunde uma solicitação DHCP específica do fornecedor que contém a chave de rede (uma chave intermediária de 256 bits) e uma chave de sessão AES-256 para a resposta. Ambas as chaves são criptografadas usando-se a chave pública RSA 2048-bit do certificado de Desbloqueio pela rede do servidor WDS.
O provedor de Desbloqueio pela rede no servidor WDS reconhece a solicitação específica do fornecedor.
O provedor a descriptografa com a chave privada RSA do certificado de Desbloqueio pela rede do BitLocker do servidor WDS.
Em seguida, o provedor WDS retorna a chave de rede criptografada com a chave de sessão usando a própria resposta DHCP específica do fornecedor para o computador cliente. Isso forma uma chave intermediária.
A chave intermediária retornada acaba sendo combinada com outra chave intermediária de 256 bits local que só pode ser descriptografada pelo TPM.
Essa chave combinada é usada para criar uma chave AES-256 que desbloqueia o volume.
O Windows continua a sequência de inicialização.
Configurar o Desbloqueio pela rede
As etapas a seguir permitem que um administrador configure o Desbloqueio pela rede em um domínio no qual o nível funcional do domínio é pelo menos Windows Server 2012.
Etapa um: Instalar a função de servidor WDS
O recurso Desbloqueio pela rede do BitLocker instalará a função WDS se ela ainda não estiver instalada. Caso queira instalá-lo separadamente antes de instalar o Desbloqueio pela rede do BitLocker, você pode usar o Gerenciador do Servidor ou o Windows PowerShell. Para instalar a função usando o Gerenciador do Servidor, selecione a função Serviços de Implantação do Windows no Gerenciador do Servidor.
Para instalar a função usando o Windows PowerShell, use o seguinte comando:
Install-WindowsFeature WDS-Deployment
Você deve configurar o servidor WDS de maneira que ele possa se comunicar com DHCP (e, como opção, os Serviços de Domínio do Active Directory) e o computador cliente. É possível fazer isso usando-se a ferramenta de gerenciamento do WDS, wdsmgmt.msc, que inicia o Assistente para Configuração dos Serviços de Implantação do Windows.
Etapa dois: Confirmar se o serviço WDS está em execução
Para confirmar se o serviço WDS está em execução, use o Console de Gerenciamento de Serviços ou o Windows PowerShell. Para confirmar se o serviço está em execução no Console de Gerenciamento de Serviços, abra o console usando services.msc e verifique o status do serviço Serviços de Implantação do Windows.
Para confirmar se o serviço está em execução usando o Windows PowerShell, use o seguinte comando:
Get-Service WDSServer
Etapa três: Instalar o recurso Desbloqueio pela rede
Para instalar o recurso Desbloqueio pela rede, use o Gerenciador do Servidor ou o Windows PowerShell. Para instalar o recurso usando o Gerenciador do Servidor, selecione o recurso Desbloqueio pela rede do BitLocker no console do Gerenciador do Servidor.
Para instalar o recurso usando o Windows PowerShell, use o seguinte comando:
Install-WindowsFeature BitLocker-NetworkUnlock
Etapa quatro: Criar o certificado de Desbloqueio pela rede
O Desbloqueio pela rede pode usar certificados importados de uma infraestrutura PKI existente, ou é possível usar um certificado autoassinado.
Para registrar um certificado de uma autoridade de certificação (CA) existente, faça o seguinte:
Abra o Gerenciador de certificados no servidor WDS usando certmgr. msc
No item Certificados - Usuário Atual, clique com o botão direito do mouse em Pessoal
Selecione Todas as Tarefas e Solicitar novo certificado
Selecione Avançar quando abre o Assistente de Registro de Certificado abrir
Selecione Política de Registro do Active Directory
Escolha o modelo de certificado criado para Desbloqueio pela rede no controlador de domínio e selecione Registrar. Quando mais informações forem solicitadas, adicione o seguinte atributo ao certificado:
- Selecione o painel Nome do Requerente e forneça um valor de nome amigável. Sugere-se que esse nome amigável inclua informações do domínio ou da unidade organizacional do certificado. Por exemplo, "Certificado de Desbloqueio pela rede do BitLocker para domínio Contoso"
Crie o certificado. Verifique se o certificado é exibido na pasta Pessoal.
Exportar o certificado de chave pública de Desbloqueio pela rede
Crie um arquivo .cer clicando com o botão direito do mouse no certificado criado anteriormente, escolhendo Todas as Tarefas e Exportar.
Selecione Não, não exportar a chave privada.
Selecione X.509 binário codificado por DER (*.cer) e termine exportando o certificado para um arquivo.
Dê ao arquivo um nome como BitLocker-NetworkUnlock.cer.
Exportar a chave pública com uma chave privada de Desbloqueio pela rede
Crie um arquivo .pfx clicando com o botão direito do mouse no certificado criado anteriormente, escolhendo Todas as Tarefas e Exportar.
Selecione Sim, exportar a chave privada.
Conclua o assistente para criar o arquivo .pfx.
Para criar um certificado autoassinado, faça o seguinte:
Crie um arquivo de texto com uma extensão .inf. Por exemplo, notepad.exe BitLocker-NetworkUnlock.inf
Adicione o seguinte conteúdo ao arquivo criado anteriormente:
[NewRequest] Subject="CN=BitLocker Network Unlock certificate" Exportable=true RequestType=Cert KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyLength=2048 [Extensions] 1.3.6.1.4.1.311.21.10 = "{text}" _continue_ = "OID=1.3.6.1.4.1.311.67.1.1" 2.5.29.37 = "{text}" _continue_ = "1.3.6.1.4.1.311.67.1.1"Abra um prompt de comando com privilégios elevados e use a ferramenta certreq para criar um novo certificado usando o seguinte comando, especificando o caminho completo do arquivo criado anteriormente, além do nome do arquivo:
certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cerVerificar se o comando anterior criou corretamente o certificado confirmando se o arquivo .cer existe
Inicie o Gerenciador de certificados executando certmgr.msc
Crie um arquivo .pfx abrindo o caminho Certificados - Usuário Atual\Pessoal\Certificados no painel de navegação, clique com o botão direito do mouse no certificado importado anteriormente, selecionando Todas as Tarefas e Exportar. Siga o assistente para criar o arquivo .pfx.
Etapa cinco: Implantar a chave privada e o certificado no servidor WDS
Com o certificado e a chave criados, implante-os na infraestrutura para desbloquear sistemas corretamente. Para implantar os certificados, faça o seguinte:
No servidor WDS, abra um novo MMC e adicione o snap-in de certificados. Selecione a conta do computador e o computador local quando as opções forem apresentadas.
Clique com o botão direito do mouse em Certificados (computador local) - item BitLocker Drive Encryption Network Unlock, escolha Todas as Tarefas e Importar
Na caixa de diálogo Arquivo a Ser Importado, escolha o arquivo .pfx criado anteriormente.
Insira a senha usada para criar o .pfx e conclua o assistente.
Etapa seis: Definir configurações de Política de Grupo para Desbloqueio pela rede
Com o certificado e a chave implantados no servidor do WDS de Desbloqueio pela rede, a etapa final é usar as configurações de Política de Grupo para implantar o certificado de chave pública em computadores que você deseja ser capaz de desbloquear usando a chave de Desbloqueio pela rede. As configurações de Política de Grupo do BitLocker podem ser encontradas em \Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker usando-se o Editor de Política de Grupo Local ou o Console de Gerenciamento Microsoft.
As etapas a seguir descrevem como habilitar a configuração de Política de Grupo que é um requisito para a configuração de Desbloqueio pela rede.
Abrir o Console de Gerenciamento de políticas de Grupo (gpmc.msc)
Habilitar a política Exigir autenticação adicional na inicialização e selecionar a opção Exigir PIN de inicialização com TPM
Ativar o BitLocker com protetores TPM+PIN em todos os computadores ingressados no domínio
As seguintes etapas descrevem como implantar a configuração de Política de Grupo obrigatória:
Observação
As configurações de Política de Grupo Permitir desbloqueio de rede na inicialização e Adicionar Certificado de Desbloqueio de Rede foram introduzidas no Windows Server 2012.
Copiar o arquivo .cer criado para Desbloqueio pela rede para o controlador de domínio
No controlador de domínio, iniciar o Console de Gerenciamento de políticas de Grupo (gpmc.msc)
Crie um novo Objeto de Política de Grupo ou modifique um objeto existente para habilitar a configuração Permitir desbloqueio de rede na inicialização.
Implantar o certificado público em clientes
No Console de Gerenciamento de políticas de Grupo, navegue até o seguinte local: Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Chave Pública\Certificado de Desbloqueio de Rede de Criptografia de Unidade de Disco BitLocker
Clique com o botão direito do mouse na pasta e escolha Adicionar Certificado de Desbloqueio de Rede
Siga as etapas do assistente e importe o arquivo .cer copiado anteriormente.
Observação
Somente um certificado de desbloqueio pela rede pode estar disponível por vez. Caso um novo certificado seja necessário, exclua o certificado atual antes de implantar um novo. O certificado de Desbloqueio pela rede está localizado na chave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP no computador cliente.
Etapa sete: Exigir protetores TPM+PIN na inicialização
Uma etapa adicional é para empresas usarem protetores TPM+PIN para um nível de segurança extra. Para exigir protetores TPM+PIN em um ambiente, faça o seguinte:
Abrir o Console de Gerenciamento de políticas de Grupo (gpmc.msc)
Habilitar a política Exigir autenticação adicional na inicialização e selecionar a opção Exigir PIN de inicialização com TPM
Ativar o BitLocker com protetores TPM+PIN em todos os computadores ingressados no domínio
Criar o modelo de certificado para Desbloqueio pela rede
As etapas a seguir detalham como criar um modelo de certificado a ser usado com o Desbloqueio pela rede do BitLocker. Uma autoridade de certificação de Serviços do Active Directory pode usar esse certificado para criar e emitir certificados de Desbloqueio pela rede.
Abra o snap-in Certificates Template (certtmpl.msc).
Localize o modelo de usuário. Clique com o botão direito do mouse no nome do modelo e selecione Modelo Duplicado
Na guia Compatibilidade, altere os campos Autoridade de Certificação e Destinatário do Certificado para Windows Server 2012 e Windows 8, respectivamente. Verifique se a caixa de diálogo Mostrar alterações resultantes está marcada.
Selecione a guia Geral guia do modelo. O Nome de exibição do modelo e Nome do modelo devem identificar claramente que o modelo será usado para Desbloqueio pela rede. Desmarque a caixa de seleção da opção Publicar o certificado no Active Directory.
Selecione a guia Tratamento de solicitação. Selecione Criptografia no menu suspenso Finalidade. Verifique se a opção Permitir que a chave privada seja exportada está selecionada.
Selecione a guia Criptografia. Defina o Tamanho mínimo da chave como 2048. (Qualquer provedor criptográfico Microsoft que dê suporte a RSA pode ser usado para esse modelo, mas para fins de simplicidade e compatibilidade futura, recomendamos usar o Provedor de armazenamento de chaves de software da Microsoft.)
Marque a opção As solicitações devem usar um dos seguintes provedores e desmarque todas as opções, exceto para o provedor criptográfico selecionado, como Provedor de armazenamento de chaves de software da Microsoft.
Selecione a guia Nome do Requerente. Selecione Fornecer na solicitação. Selecione OK caso a caixa de diálogo pop-up de modelos do certificado seja exibida.
Selecione a guia Requisitos de Emissão. Selecione as opções Aprovação do gerenciador de certificados de autoridade de certificação e Certificado existente válido.
Selecione a guia Extensões. Selecione Políticas de Aplicativo e escolha Editar....
Na caixa de diálogo de opções Editar extensão de políticas de aplicativo, selecione Autenticação de Cliente, Sistema de Arquivos com Criptografia, Email Seguro e escolha Remover.
Na caixa de diálogo Editar extensão de diretivas de aplicativo, selecione Adicionar.
Na caixa de diálogo Adicionar Política de Aplicativo, selecione Nova. Na caixa de diálogo Nova política de aplicativo, insira as seguintes informações no espaço fornecido e clique em OK para criar a política de aplicativo de Desbloqueio pela rede do BitLocker:
Nome: Desbloqueio pela rede do BitLocker
Identificador de objeto: 1.3.6.1.4.1.311.67.1.1
Selecione a política de aplicativo Desbloqueio pela rede do BitLocker recém-criada e selecione OK
Com a guia Extensões ainda aberta, selecione a caixa de diálogo Editar extensão de uso de chave, selecione a opção Permitir troca de chaves apenas com criptografia de chave (codificação de chave). Selecione a opção Tornar esta extensão crítica.
Selecione a guia Segurança. Confirme se o grupo Admins. do domínio recebeu a permissão Registrar
Selecione OK para concluir a configuração do modelo.
Para adicionar o modelo de Desbloqueio pela rede à autoridade de certificação, abra o snap-in Autoridade de Certificação (certsrv.msc). Clique com o botão direito do mouse no item Modelos de Certificado e escolha New, Certificate Template to issue. Selecione o certificado de Desbloqueio pela rede do BitLocker criado anteriormente.
Após a adição do modelo de Desbloqueio pela rede à autoridade de certificação, esse certificado pode ser usado para configurar o Desbloqueio pela rede do BitLocker.
Arquivos de configuração da política de sub-rede no servidor WDS (opcional)
Por padrão, todos os clientes com o certificado de Desbloqueio pela rede correto e os protetores de Desbloqueio pela rede válidos com acesso via fio a um servidor WDS habilitado para Desbloqueio pela rede via DHCP são desbloqueados pelo servidor. Um arquivo de configuração de política de sub-rede no servidor WDS pode ser criado para limitar quais clientes de Desbloqueio pela rede de sub-redes podem usar para desbloquear.
O arquivo de configuração, chamado bde-network-unlock.ini, deve estar localizado no mesmo diretório da DLL do provedor de Desbloqueio pela rede e se aplica a implementações DHCP IPv6 e IPv4. Se a política de configuração de sub-rede for corrompida, o provedor irá falhar e deixar de responder às solicitações.
O arquivo de configuração de política de sub-rede deve usar uma seção "[SUBNETS]" para identificar as sub-redes específicas. As sub-redes nomeadas podem ser usadas para especificar restrições em subseções de certificado. As sub-redes são definidas como pares nome/valor simples, no formato INI comum, em que cada sub-rede tem a própria linha, com o nome no lado esquerdo do sinal de igualdade e a sub-rede identificada no lado direito do sinal de igualdade como um endereço ou um intervalo Roteamento Entre Domínios Sem Classificação (CIDR). A senha "ENABLED" é desautorizada para nomes de sub-rede.
[SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.
Após a seção [SUBNETS], talvez haja seções para cada certificado de Desbloqueie pela rede, identificado pela impressão digital do certificado formatada sem espaços, que definem que clientes de sub-redes podem ser desbloqueados com esse certificado.
Observação
Ao especificar a impressão digital do certificado, não inclua espaços. Se os espaços estiverem incluídos na impressão digital, a configuração de sub-rede falhará porque a impressão digital não será reconhecida como válida.
As restrições de sub-rede são definidas dentro de cada seção de certificado indicando a lista permitida de sub-redes permitidas. Caso uma sub-rede esteja listada em uma seção de certificado, somente essas sub-redes listadas são permitidas para esse certificado. Caso nenhuma sub-rede esteja listada em uma seção de certificado, todas as sub-redes são permitidas para esse certificado. Caso um certificado não tenha uma seção no arquivo de configuração de política de sub-rede, nenhuma restrição de sub-rede é aplicada para desbloqueie com esse certificado. Isso significa que, para as restrições serem aplicadas a todos os certificados, deve haver uma seção de certificado para cada certificado de Desbloqueio pela rede no servidor e uma lista de permissões explícita definida para cada seção do certificado.
As listas de sub-redes são criadas colocando-se o nome de uma sub-rede da seção [SUBNETS] na própria linha abaixo do cabeçalho da seção do certificado. Assim, o servidor só desbloqueará clientes com esse certificado nas sub-redes especificadas na lista. Para solucionar problemas, uma sub-rede pode ser excluída rapidamente sem excluí-la da seção simplesmente comentando-a com um ponto-e-vírgula a antecedendo.
[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3
Para desautorizar o uso de um certificado, a lista de sub-redes pode conter a linha "DISABLED".
Desativar o Desbloqueio pela rede
Para desativar o servidor de desbloqueio, o registro do provedor PXE pode ser cancelado no servidor WDS ou desinstalado também. No entanto, para evitar que os clientes criem protetores de Desbloqueio pela rede, a configuração de Política de Grupo Permitir desbloqueio de rede na inicialização deve ser desabilitada. Quando essa configuração de política for atualizada para desabilitada em computadores cliente, qualquer protetor de chave de Desbloqueio pela rede no computador será excluído. A política de certificado de Desbloqueio pela rede do BitLocker também pode ser excluída no controlador de domínio para realizar a mesma tarefa para um domínio inteiro.
Observação
Remover o repositório de certificados FVENKP contendo o certificado de Desbloqueio pela rede e a chave no servidor WDS também desabilitará efetivamente a capacidade do servidor de responder a solicitações de desbloqueio desse certificado. No entanto, isso é visto como uma condição de erro e não é um método compatível ou recomendado para desativar o servidor de Desbloqueio pela rede.
Atualizar certificados de Desbloqueio pela rede
Para atualizar os certificados usados pelo Desbloqueio pela rede, os administradores precisam importar ou gerar o novo certificado para o servidor e atualizar a configuração de Política de Grupo de certificado de Desbloqueio pela rede no controlador de domínio.
Solucionar problemas do Desbloqueio pela rede
A solução de problemas de Desbloqueio pela rede começa verificando o ambiente. Muitas vezes, um pequeno problema de configuração será a causa raiz da falha. Entre os itens a serem verificados estão:
Verifique se o hardware cliente se baseia em UEFI e está na versão 2.3.1 do firmware, além do firmware da UEFI estar no modo nativo, sem um Compatibility Support Module (CSM) para o modo do BIOS habilitado. Faça isso verificando se o firmware não tem uma opção habilitada como "Modo herdado" ou "Modo de compatibilidade" ou se o firmware não aparenta estar em um modo semelhante ao do BIOS.
Todas as funções e serviços necessários estão instalados e iniciados
Certificados públicos e privados foram publicados e estão nos contêineres de certificados corretos. A presença do certificado de Desbloqueio pela rede pode ser verificada no Console de Gerenciamento Microsoft (MMC.exe) no servidor WDS com os snap-ins de certificado para o computador local habilitados. O certificado cliente pode ser verificado analisando-se a chave do Registro HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP no computador cliente.
A política de grupo de Desbloqueio pela rede está habilitada e vinculada aos domínios apropriados
Verifique se a política de grupo está alcançando os clientes corretamente. Isso pode ser feito usando-se os utilitários GPRESULT.exe ou RSOP.msc.
Verifique se o protetor Network (Certificate Based) está listado no cliente. Isso pode ser feito usando-se manage-bde ou cmdlets do Windows PowerShell. Por exemplo, o seguinte comando listará os protetores de chave configurados no momento na unidade C: do computador lcoal:
Manage-bde –protectors –get C:
Observação
Use a saída de manage-bde com o log de depuração do WDS para determinar se a impressão digital do certificado correto está sendo usada no Desbloqueio pela rede
Entre os arquivos a serem coletados durante a solução de problemas do Desbloqueio pela rede do BitLocker estão:
Os logs de eventos do Windows. Especificamente os logs de eventos do BitLocker e o log Microsoft-Windows-Deployment-Services-Diagnostics-Debug
O registro em log de depuração permanece desativado por padrão para a função de servidor WDS, logo, você precisará ativá-lo primeiro. É possível usar um destes dois métodos para ativar o registro em log de depuração do WDS.
Inicie um prompt de comando com privilégios elevados e execute o seguinte comando:
wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:trueAbra o Visualizador de Eventos no servidor WDS.
No painel à esquerda, clique em Logs de Aplicativos e Serviços, em Microsoft, em Windows, em Deployment-Services-Diagnostics e em Depurar.
No painel à direita, clique em Habilitar Log.
O arquivo de configuração de sub-rede DHCP (se houver um).
A saída do status do BitLocker no volume, isso pode ser obtido em um arquivo de texto usando-se manage-bde -status ou Get-BitLockerVolume no Windows PowerShell
Captura do Monitor de Rede no servidor que hospeda a função WDS, filtrada pelo endereço IP do cliente
Definir configurações de Política de Grupo de Desbloqueio pela rede em versões anteriores
O Desbloqueio pela rede e as configurações de Política de Grupo correspondentes foram introduzidos no Windows Server 2012, mas podem ser implantados em sistemas operacionais nos quais o Windows Server 2008 R2 e o Windows Server 2008 estejam em execução.
Requisitos
O servidor que hospeda o WDS deve estar executando qualquer um dos sistemas operacionais de servidor designados na lista Aplica-se a, no início deste tópico.
Os computadores cliente devem estar executando qualquer um dos sistemas operacionais cliente designados na lista Aplica-se a, no início deste tópico.
As etapas a seguir podem ser usadas para configurar o Desbloqueio pela rede nesses sistemas mais antigos.
Etapa um: Instalar a função de servidor WDS
Etapa dois: Confirmar se o serviço WDS está em execução
Etapa três: Instalar o recurso Desbloqueio pela rede
Etapa quatro: Criar o certificado de Desbloqueio pela rede
Etapa cinco: Implantar a chave privada e o certificado no servidor WDS
Etapa seis: Definir configurações do Registro para Desbloqueio pela rede
Aplique as configurações do Registro executando o script certutil a seguir em cada computador executando qualquer um dos sistemas operacionais cliente designados na lista Aplica-se a, no início deste tópico.
certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /fCriar o certificado de Desbloqueio pela rede
Implantar a chave privada e o certificado no servidor WDS
Criar o modelo de certificado para Desbloqueio pela rede
Exigir protetores TPM+PIN na inicialização