BitLocker: включение сетевой разблокировки

В этом разделе для ИТ-специалистов описано, как работает сетевая разблокировка BitLocker и как ее настроить.

Сетевая разблокировка появилась в Windows 8 и Windows Server 2012 в качестве средства защиты BitLocker для томов операционной системы. Сетевая разблокировка позволяет упростить управление компьютерами и серверами, на которых включен BitLocker, в среде домена, благодаря автоматической разблокировке томов операционной системы при ее перезагрузке, при наличии подключения к проводной сети организации. Для этого компонента требуется драйвер DHCP во встроенном ПО UEFI оборудования клиента.

Без сетевой разблокировки для томов операционной системы, защищенных с помощью доверенного платформенного модуля и ПИН-кода, при перезагрузке компьютера или выходе из режима гибернации (например, с помощью пробуждения по локальной сети) необходимо вводить ПИН-код. Это может осложнить установку исправлений программного обеспечения на необслуживаемых компьютерах и удаленно управляемых серверах.

Благодаря сетевой разблокировке системы с доверенным платформенным модулем и ПИН-кодом, на которых включен BitLocker и которые соответствуют требованиям к оборудованию, могут загружать Windows без участия пользователя. При загрузке сетевая разблокировка системы работает так же, как доверенный платформенный модуль и ключ запуска. Ключ запуска необходимо считывать с USB-устройства, а ключ для сетевой разблокировки состоит из ключа, который хранится в доверенном платформенном модуле, и зашифрованного сетевого ключа, который отправляется на сервер, расшифровывается и возвращается клиенту во время безопасного сеанса.

Содержание статьи:

• Основные требования для сетевой разблокировки

• Последовательность сетевой разблокировки

• Настройка сетевой разблокировки

• Создание шаблона сертификата для сетевой разблокировки

• Отключение сетевой разблокировки

• Обновление сертификатов сетевой разблокировки

• Устранение неполадок с сетевой разблокировкой

• Настройка сетевой разблокировки на неподдерживаемых системах

Основные требования для сетевой разблокировки

Системы, присоединенные к домену, должны соответствовать обязательным требованиям к оборудованию и программному обеспечению, чтобы функция сетевой разблокировки могла автоматически их разблокировать. К ним относятся следующие требования:

• ОС Windows 8 или Windows Server 2012 или более поздней версии.

• Любая поддерживаемая операционная система с драйверами DHCP UEFI может быть клиентом сетевой разблокировки.

• Сервер с ролью служб развертывания Windows (WDS) на любой поддерживаемой операционной системе сервера.

• Дополнительный компонент сетевой разблокировки BitLocker, установленный на любую поддерживаемую операционную систему сервера.

• DHCP-сервер отдельно от сервера WDS.

• Правильно настроенное связывание открытых или закрытых ключей.

• Настроенные параметры групповой политики сетевой разблокировки.

Чтобы использовать функцию сетевой разблокировки, необходимо включить сетевой стек. Производители оборудования поставляют свои продукты в разных состояниях и с разными меню BIOS, поэтому перед запуском компьютера необходимо убедиться, что сетевой стек включен в BIOS.

Примечание  

Для правильной поддержки DHCP в UEFI необходимо использовать систему на основе UEFI в основном режиме и отключить модуль поддержки совместимости (CSM).

Чтобы сетевая разблокировка надежно работала на компьютерах с ОС Windows 8 и более поздних версий, необходимо настроить поддержку DHCP для первого сетевого адаптера на компьютере, обычно встроенного, и использовать его для сетевой разблокировки. На это следует обратить особое внимание, если у вас несколько адаптеров и вы хотите настроить адаптер без DHCP, например для протокола внешнего управления. Эта конфигурация необходима, потому что перечисление адаптеров будет прервано, если адаптер сообщит об отказе порта DHCP (по любой причине). Таким образом, если первый перечисленный адаптер не поддерживает протокол DHCP, не подключен к сети или не сообщает о доступности порта DHCP по любой причине, произойдет сбой сетевой разблокировки.

 

Серверный компонент сетевой разблокировки устанавливается на поддерживаемые версии ОС Windows Server 2012 и более поздних версий как компонент Windows с помощью диспетчера серверов или командлетов Windows PowerShell. Имя компонента — сетевая разблокировка BitLocker в диспетчере серверов и BitLocker-NetworkUnlock в Windows PowerShell. Этот компонент обязателен.

Для сетевой разблокировки требуются службы развертывания Windows (WDS) в среде, в которой будет использоваться функция. Настройка установки WDS не требуется, но служба WDS должна быть запущена на сервере.

Сетевой ключ хранится на системном диске вместе с ключом сеанса AES 256 и зашифрован с помощью 2048-разрядного открытого ключа RSA сертификата сервера разблокировки. Сетевой ключ расшифровывается с помощью поставщика в поддерживаемой версии Windows Server с WDS и возвращается в зашифрованном виде с помощью соответствующего ключа сеанса.

Последовательность сетевой разблокировки

Процедура разблокировки начинается на стороне клиента, когда диспетчер загрузки Windows обнаруживает наличие средства защиты сетевой разблокировки. Он использует драйвер DHCP в UEFI для получения IP-адреса для протокола IPv4, а затем передает запрос DHCP, зависящий от поставщика, который содержит сетевой ключ и ключ сеанса для отклика, зашифрованные сертификатом сервера сетевой разблокировки, как описано выше. Поставщик сетевой разблокировки на поддерживаемом сервере WDS распознает запрос, расшифровывает его с помощью закрытого ключа RSA и возвращает сетевой ключ, зашифрованный с помощью ключа сеанса, через собственный DHCP-ответ поставщика.

На стороне сервера роль сервера WDS имеет необязательный подключаемый компонент, например поставщик PXE, который обрабатывает входящие запросы сетевой разблокировки. Для поставщика также можно настроить ограничения подсети (IP-адрес, предоставляемый клиентом в запросе сетевой разблокировки, должен принадлежать разрешенной подсети для выдачи ему сетевого ключа). Если поставщик сетевой разблокировки недоступен, BitLocker переходит к следующей доступной системе защиты для разблокировки диска. В обычной конфигурации это означает, что появляется стандартный экран разблокировки с помощью доверенного платформенного модуля и ПИН-кода.

Для включения сетевой разблокировки на стороне сервера также требуется подготовка пары 2048-разрядных ключей RSA (открытый и закрытый) в форме сертификата X.509 и выдача сертификатов открытого ключа клиентам. Этот сертификат необходимо развернуть (и управлять им) с помощью редактора групповой политики непосредственно на контроллере домена, режим работы которого не ниже Windows Server 2012. Этот сертификат — это открытый ключ, который зашифровывает промежуточный сетевой ключ (один из двух секретных ключей, необходимых для разблокировки диска; другой хранится в доверенном платформенном модуле).

Этапы сетевой разблокировки

1. Диспетчер загрузки Windows обнаруживает, что в конфигурации BitLocker есть средство защиты "Сетевая разблокировка".

2. Клиентский компьютер использует драйвер DHCP в UEFI для получения допустимого IP-адреса IPv4.

3. Клиентский компьютер передает запрос DHCP, зависящий от поставщика, который содержит сетевой ключ (256-разрядный промежуточный ключ) и ключ сеанса AES-256 для ответа. Оба этих ключа шифруются с помощью 2048-разрядного открытого ключа RSA сертификата сетевой разблокировки из сервера WDS.

4. Поставщик сетевой разблокировки на сервере WDS распознает запрос.

5. Поставщик расшифровывает его с помощью закрытого ключа RSA сертификата сетевой разблокировки BitLocker сервера WDS.

6. Поставщик WDS затем возвращает на клиентский компьютер сетевой ключ, зашифрованный с помощью ключа сеанса, используя собственный DHCP-ответ. Так формируется промежуточный ключ.

7. Возвращенный промежуточный ключ затем объединяется с другим локальным 256-разрядным промежуточным ключом, который можно расшифровать только с помощью TPM.

8. Этот комбинированный ключ используется для создания ключа AES-256, который разблокирует том.

9. Windows продолжает последовательность загрузки.

Настройка сетевой разблокировки

Следующие шаги позволяют администратору настроить сетевую разблокировку в домене, режим работы которого не ниже Windows Server 2012.

Шаг 1. Установите роль сервера WDS

Функция сетевой разблокировки BitLocker установит роль WDS, если она еще не установлена. Если вы хотите установить ее отдельно до установки сетевой разблокировки BitLocker, можно использовать диспетчер серверов или Windows PowerShell. Чтобы установить роль с помощью диспетчера серверов, выберите в нем роль Службы развертывания Windows.

Чтобы установить роль с помощью Windows PowerShell, выполните следующую команду:

Install-WindowsFeature WDS-Deployment

Вам нужно настроить связь сервера WDS с DHCP (и дополнительно c доменными службами Active Directory) и клиентским компьютером. Это можно сделать с помощью средства управления WDS, wdsmgmt.msc, которое запускает мастер конфигурации службы развертывания Windows.

Шаг 2. Убедитесь, что служба WDS запущена

Чтобы убедиться, что служба WDS запущена, используйте консоль управления службами или Windows PowerShell. Чтобы убедиться, что служба WDS запущена, в консоли управления службами, откройте консоль с помощью файла services.msc и проверьте состояние служб развертывания Windows.

Чтобы убедиться, что служба запущена, с помощью Windows PowerShell, выполните следующую команду:

Get-Service WDSServer

Шаг 3. Установите компонент сетевой разблокировки

Чтобы установить компонент сетевой разблокировки, используйте диспетчер серверов или Windows PowerShell. Чтобы установить компонент с помощью диспетчера серверов, выберите компонент Сетевая разблокировка BitLocker в консоли диспетчера серверов.

Чтобы установить компонент с помощью Windows PowerShell, выполните следующую команду:

Install-WindowsFeature BitLocker-NetworkUnlock

Шаг 4. Создайте сертификат сетевой разблокировки

Для сетевой разблокировки можно использовать сертификаты, импортированные из существующей инфраструктуры PKI, или самозаверяющий сертификат.

Чтобы зарегистрировать сертификат из существующего центра сертификации (ЦС), выполните следующие действия:

1. Откройте диспетчер сертификатов на сервере WDS с помощью файла certmgr.msc.

2. В разделе "Сертификаты — текущий пользователь" щелкните правой кнопкой мыши "Личные".

3. Выберите "Все задачи", а затем Запросить новый сертификат.

4. Выберите Далее, когда откроется мастер регистрации сертификатов.

5. Выберите политику регистрации Active Directory.

6. Выберите шаблон сертификата, созданный для сетевой разблокировки на контроллере домена, и нажмите кнопку Зарегистрировать. Когда потребуется ввести дополнительные сведения, добавьте в сертификат следующий атрибут:

   • Выберите панель Имя субъекта и укажите понятное имя. Рекомендуется, чтобы это имя включало сведения о домене или организационном подразделении для сертификата. Например, "Сертификат сетевой разблокировки BitLocker для домена Contoso".

7. Создайте сертификат. Убедитесь, что сертификат отображается в папке "Личные".

8. Экспортируйте сертификат открытого ключа для сетевой разблокировки.

   1. Создайте файл .cer. Для этого щелкните правой кнопкой мыши созданный ранее сертификат и выберите Все задачи, а затем Экспорт.

   2. Выберите Нет, не экспортировать закрытый ключ.

   3. Выберите Двоичные файлы в DER-кодировке X.509 и завершите экспорт сертификата в файл.

   4. Присвойте файлу имя, например BitLocker-NetworkUnlock.cer.

9. Экспортируйте открытый ключ с закрытым ключом для сетевой разблокировки.

   1. Создайте файл .pfx. Для этого щелкните правой кнопкой мыши созданный ранее сертификат и выберите Все задачи, а затем Экспорт.

   2. Выберите Да, экспортировать закрытый ключ.

   3. Следуйте инструкциям мастера, чтобы создать файл .pfx.

Чтобы создать самозаверяющий сертификат, выполните следующие действия:

1. Создайте текстовый файл с расширением .inf. Например, notepad.exe BitLocker-NetworkUnlock.inf.

2. Добавьте следующие данные в созданный раннее файл:

   [NewRequest]
   
   Subject="CN=BitLocker Network Unlock certificate"
   Exportable=true
   RequestType=Cert
   KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
   KeyLength=2048
   
   [Extensions]
   1.3.6.1.4.1.311.21.10 = "{text}"
   _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
   
   2.5.29.37 = "{text}"
   _continue_ = "1.3.6.1.4.1.311.67.1.1"
   

3. Откройте командную строку с повышенными привилегиями и используйте средство certreq, чтобы создать новый сертификат с помощью следующей команды, указав полный путь к созданному ранее файлу, а также имя файла:

   certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
   

4. Убедитесь, что предыдущая команда создала сертификат, проверив наличие файла .cer.

5. Запустите диспетчер сертификатов, открыв файл certmgr.msc.

6. Создайте файл .pfx. Для этого откройте путь Сертификаты — текущий пользователь\Личные\Сертификаты в области навигации, щелкните правой кнопкой мыши импортированный ранее сертификат и выберите Все задачи, а затем Экспорт. Следуйте инструкциям мастера, чтобы создать файл .pfx.

Шаг 5. Разверните закрытый ключ и сертификат на сервере WDS.

Создав сертификат и ключ, разверните их в инфраструктуре для правильной разблокировки систем. Чтобы развернуть сертификат, выполните следующие действия:

1. На сервере WDS откройте новую консоль управления (MMC) и добавьте оснастку диспетчера сертификатов. Выберите учетную запись компьютера и локальный компьютер, когда потребуется.

2. Щелкните правой кнопкой мыши элемент "Сертификаты (локальный компьютер) — Сетевая разблокировка шифрования диска BitLocker, выберите "Все задачи", а затем Импорт

3. В диалоговом окне Импортируемый файл выберите созданный ранее файл .pfx.

4. Введите пароль, использованный для создания файла .pfx, и следуйте инструкциям мастера.

Шаг 6. Настройте параметры групповой политики для сетевой разблокировки

Развернув сертификат и ключ на сервере WDS для сетевой разблокировки, последний шаг — использовать параметры групповой политики, чтобы развернуть сертификат открытого ключа на компьютерах, которые вы хотите разблокировать с помощью ключа сетевой разблокировки. Параметры групповой политики BitLocker можно найти в разделе \Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker, используя редактор локальных групповых политик или консоль управления (MMC).

Ниже описывается, как включить параметр групповой политики, который требуется для настройки сетевой разблокировки.

1. Откройте консоль управления групповыми политиками (gpmc.msc).

2. Включите политику Обязательная дополнительная проверка подлинности при запуске и выберите вариант Требовать ПИН-код запуска с доверенным платформенным модулем.

3. Включите BitLocker с системами защиты TPM и ПИН-код на всех компьютерах, присоединенных к домену.

Ниже описывается, как развернуть обязательный параметр групповой политики:

Примечание  

Параметры групповой политики Разрешить сетевую разблокировку при запуске и Добавить сертификат разблокировки сети появились в Windows Server 2012.

 

1. Скопируйте файл .cer, созданный для сетевой разблокировки, в контроллер домена.

2. На контроллере домена запустите консоль управления групповыми политиками (gpmc.msc).

3. Создайте новый объект групповой политики или измените существующий, чтобы включить параметр Разрешить сетевую разблокировку при запуске.

4. Разверните открытый сертификат на клиентских компьютерах.

   1. В консоли управления групповыми политиками перейдите в следующий раздел: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Политики открытого ключа\Сертификат сетевой разблокировки для шифрования диска BitLocker.

   2. Щелкните правой кнопкой мыши папку и выберите Добавление сертификата разблокировки сети.

   3. Следуйте инструкциям мастера и импортируйте ранее скопированный файл .cer.

Примечание  

Одновременно может быть доступен только один сертификат разблокировки сети. Если требуется новый сертификат, удалите текущий перед развертыванием нового. Сертификат сетевой разблокировки расположен в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP на клиентском компьютере.

 

Шаг 7. Требование предохранителей TPM и ПИН-код при запуске

Для дополнительной защиты предприятия могут использовать доверенный платформенный модуль и ПИН-код. Чтобы использовать для защиты доверенный платформенный модуль и ПИН-код, выполните следующие действия:

1. Откройте консоль управления групповыми политиками (gpmc.msc).

2. Включите политику Обязательная дополнительная проверка подлинности при запуске и выберите вариант Требовать ПИН-код запуска с доверенным платформенным модулем.

3. Включите BitLocker с системами защиты TPM и ПИН-код на всех компьютерах, присоединенных к домену.

Создание шаблона сертификата для сетевой разблокировки

Ниже описано, как создать шаблон сертификата для использования вместе с сетевой разблокировкой BitLocker. Правильно настроенный центр сертификации служб Active Directory может использовать этот сертификат для создания и выдачи сертификатов сетевой разблокировки.

1. Откройте оснастку шаблона сертификатов (certtmpl.msc).

2. Найдите шаблон пользователя. Щелкните правой кнопкой мыши имя шаблона и выберите Скопировать шаблон.

3. На вкладке Совместимость измените поля Центр сертификации и Получатель сертификата на Windows Server 2012 и Windows 8 соответственно. Убедитесь, что выбрано диалоговое окно Показать последующие изменения.

4. Перейдите на вкладку шаблона Общие. Отображаемое имя шаблона и Имя шаблона должны четко указывать, что этот шаблон будет использоваться для сетевой разблокировки. Снимите флажок Опубликовать сертификат в Active Directory.

5. Перейдите на вкладку Обработка запроса. Выберите Шифрование из раскрывающегося меню Цель. Убедитесь, что выбран вариант Разрешить экспортировать закрытый ключ.

6. Перейдите на вкладку Шифрование. Установите минимальный размер ключей 2048 (для этого шаблона можно использовать любого поставщика служб шифрования Microsoft, который поддерживает RSA, но для простоты и совместимости с новыми версиями рекомендуем использовать поставщика хранилища ключей Microsoft).

7. Выберите вариант В запросах могут использоваться только следующие поставщики и снимите все флажки, кроме флажка выбранного поставщика служб шифрования, например Microsoft Software Key Storage Provider.

8. Перейдите на вкладку Имя субъекта. Выберите Предоставляется в запросе. Нажмите кнопку ОК, если появится всплывающее диалоговое окно шаблонов сертификата.

9. Перейдите на вкладку Требования выдачи. Выберите варианты Одобрения диспетчера сертификатов ЦС и Подтвердить существующий сертификат.

10. Перейдите на вкладку Расширения. Выберите Политики применения, а затем Изменить…

11. В диалоговом окне Изменение расширения политик применения выберите Проверка подлинности клиента, Шифрующая файловая система (EFS) и Защищенная электронная почта, а затем выберите Удалить.

12. В диалоговом окне Изменение расширения политик применения выберите Добавить.

13. В диалоговом окне Добавление политики применения выберите Создать. В диалоговом окне Новая политика применения введите следующие сведения в отведенном месте и нажмите кнопку ОК, чтобы создать политику применения сетевой разблокировки BitLocker:

    • Имя: Сетевая разблокировка BitLocker

    • Идентификатор объекта: 1.3.6.1.4.1.311.67.1.1

14. Выберите созданную политику применения Сетевая разблокировка BitLocker и нажмите кнопку ОК.

15. Не закрывая вкладку Расширения, откройте диалоговое окно Расширение изменения использования ключа и выберите Разрешить обмен ключами только с шифрованием ключей. Выберите вариант Считать это расширение критическим.

16. Перейдите на вкладку Безопасность. Убедитесь, что группе Администраторы домена предоставлено разрешение Регистрация.

17. Нажмите кнопку ОК, чтобы завершить настройку шаблона.

Чтобы добавить шаблон сетевой разблокировки в центр сертификации, откройте оснастку центра сертификации (certsrv.msc). Щелкните правой кнопкой мыши элемент Шаблоны сертификатов и выберите Создать > Выдаваемый шаблон сертификата. Выберите ранее созданный сертификат сетевой разблокировки BitLocker.

После добавления шаблона сетевой разблокировки в центр сертификации, этот сертификат можно использовать для настройки сетевой разблокировки BitLocker.

Файлы конфигурации политики подсети на сервере WDS (необязательно)

По умолчанию все клиенты с правильным сертификатом сетевой разблокировки и допустимыми системами защиты, которые имеют проводной доступ к серверу WDS, на котором включена сетевая разблокировка, через протокол DHCP разблокируются сервером. Чтобы ограничить подсети, которые клиенты сетевой разблокировки могут использовать для разблокировки, можно создать файл конфигурации политики подсети на сервере WDS.

Файл конфигурации, bde-network-unlock.ini, должен быть расположен в том же каталоге, что и DLL поставщика сетевой разблокировки, и он применим к реализациям протокола DHCP IPv6 и IPv4. Если политика конфигурации подсети будет повреждена, то произойдет сбой поставщика и он перестанет отвечать на запросы.

Для определения подсетей файл конфигурации политики подсети должен использовать раздел "[ПОДСЕТИ]". Названные подсети затем можно использовать, чтобы указать ограничения в подразделах сертификата. Подсети — это простые пары "имя-значение" в формате INI, в которых у каждой подсети есть собственная строка с именем слева от знака равенства и подсетью, указанной как адрес или диапазон CIDR, справа от знака равенства. Ключевое слово "ВКЛЮЧЕНО" запрещено для имен подсети.

 [SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

После раздела [ПОДСЕТИ] могут быть разделы для каждого сертификата сетевой разблокировки, обозначенные отпечатком сертификата без пробелов, которые определяют подсети, клиенты из которых можно разблокировать с этим сертификатом.

Примечание  

Указывая отпечаток сертификата, не используйте пробелы. Если отпечаток содержит пробелы, произойдет сбой конфигурации подсети, потому что отпечаток не будет распознан как допустимый.

 

Ограничения подсети определяются в каждом разделе сертификата с помощью списка разрешенных подсетей. Если в разделе сертификата указаны подсети, то только они разрешены для этого сертификата. Если в разделе сертификата не указаны подсети, то для этого сертификата разрешены все подсети. Если в файле конфигурации политики подсетей нет раздела сертификата, то для разблокировки с этим сертификатом не применяются ограничения подсети. Чтобы ограничения применялись к каждому сертификату, для каждого сертификата сетевой разблокировки на сервере должен быть раздел сертификата и список разрешений для каждого раздела сертификата.

Чтобы создать список подсетей, поместите имя подсети из раздела [ПОДСЕТИ] на отдельную строку под заголовком раздела сертификата. Затем сервер разблокирует только клиенты с этим сертификатом в подсетях, указанных в списке. Для устранения неполадок подсеть можно быстро исключить, не удаляя ее из раздела, просто добавив в начало строки точку с запятой.

 [‎2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Чтобы полностью запретить использование сертификата, его список подсетей может содержать строку "ОТКЛЮЧЕН".

Отключение сетевой разблокировки

Чтобы отключить сервер разблокировки, можно отменить регистрацию поставщика PXE на сервере WDS или полностью его удалить. Однако, чтобы клиенты не создавали средства защиты сетевой разблокировки, необходимо отключить параметр групповой политики Разрешить сетевую разблокировку при запуске. При отключении этого параметра политики на клиентских компьютерах все предохранители ключей сетевой разблокировки на компьютере будут удалены. Кроме того, можно удалить политику сертификата сетевой разблокировки BitLocker на контроллере домена для выполнения той же задачи для всего домена.

Примечание  

Если удалить хранилище сертификатов FVENKP, содержащее сертификат и ключ сетевой разблокировки на сервере WDS, сервер также не сможет отвечать на запросы разблокировки для этого сертификата. Однако это состояние считается неправильным, и этот метод не поддерживается и не рекомендуется для отключения сервера сетевой разблокировки.

 

Обновление сертификатов сетевой разблокировки

Чтобы обновить сертификаты, используемые сетевой разблокировкой, администраторам необходимо импортировать или создать новый сертификат для сервера, а затем обновить параметр групповой политики сертификата сетевой разблокировки на контроллере домена.

Устранение неполадок с сетевой разблокировкой

Устранение неполадок с сетевой разблокировкой начинается с проверки среды. Зачастую небольшая проблема конфигурации будет основной причиной сбоя. Элементы, которые нужно проверить:

• Убедитесь, что оборудование клиента основано на UEFI, встроенное ПО имеет версию 2.3.1 и работает в основном режиме, а модуль поддержки совместимости (CSM) для режима BIOS отключен. Для этого убедитесь, что для встроенного ПО не включен такой параметр, как "Устаревший режим" или "Режим совместимости", и оно не работает в режиме, похожем на BIOS.

• Все необходимые роли и службы установлены и запущены.

• Общие и закрытые сертификаты опубликованы и расположены в соответствующих контейнерах. Наличие сертификата сетевой разблокировки можно проверить в консоли управления (MMC.exe) на сервере WDS с включенными оснастками сертификатов для локального компьютера. Сертификат клиента можно проверить, открыв раздел реестра HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP на клиентском компьютере.

• Групповая политика для сетевой разблокировки включена и связана с нужными доменами.

• Убедитесь, что групповая политика правильно охватывает клиентов. Это можно сделать с помощью служебных программ GPRESULT.exe и RSOP.msc.

• Убедитесь, что на клиенте зарегистрирован предохранитель Network (Certificate Based). Это можно сделать с помощью команды manage-bde или командлетов Windows PowerShell. Например, следующая программа позволяет вывести предохранители ключа, настроенные на диске C: локального компьютера:

  Manage-bde –protectors –get C:
  

Примечание  

Используйте данные программы manage-bde вместе с журналом отладки WDS, чтобы определить, используется ли для сетевой разблокировки правильный отпечаток сертификата.

 

Файлы, которые следует собрать при устранении неполадок с сетевой разблокировкой BitLocker:

1. Журналы событий Windows. В частности, журналы событий BitLocker и журнал Microsoft-Windows-Deployment-Services-Diagnostics-Debug.

   Ведение журнала отладки отключено по умолчанию для роли сервера WDS, поэтому сначала его необходимо включить. Включить ведение журнала отладки WDS можно с помощью одного из следующих методов.

   1. Запустите командную строку с повышенными привилегиями и выполните следующую команду:

      wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      

   2. Откройте средство "Просмотр событий" на сервере WDS.

      На левой панели выберите Журналы приложений и служб, Microsoft, Windows, Deployment-Services-Diagnostics, а затем Отладка.

      На правой панели выберите Включить журнал.

2. Файл конфигурации подсети DHCP (если таковой существует).

3. Сведения о состоянии BitLocker в томе. Их можно записать в текстовый файл с помощью команд manage-bde -status или Get-BitLockerVolume в Windows PowerShell.

4. Данные сетевого монитора на сервере, на котором размещена роль WDS, отфильтрованные по IP-адресу клиента.

Настройка параметров групповой политики сетевой разблокировки в более ранних версиях

Сетевая разблокировка и сопутствующие параметры групповой политики появились в Windows Server 2012, но их можно развернуть с помощью операционных систем Windows Server 2008 R2 и Windows Server 2008.

Требования

• Сервер WDS должен работать под управлением операционной системы сервера, указанной в списке Применяется к в начале этого раздела.

• Клиентские компьютеры должны работать под управлением операционной системы клиента, указанной в списке Применяется к в начале этого раздела.

Ниже описано, как настроить сетевую разблокировку в этих более старых системах.

1. Шаг 1. Установите роль сервера WDS

2. Шаг 2. Убедитесь, что служба WDS запущена

3. Шаг 3. Установите компонент сетевой разблокировки

4. Шаг 4. Создайте сертификат сетевой разблокировки

5. Шаг 5. Разверните закрытый ключ и сертификат на сервере WDS

6. Шаг 6. Настройте параметры реестра для сетевой разблокировки

   Примените параметры реестра, выполнив следующий сценарий CertUtil на каждом компьютере под управлением операционной системы клиента, указанной в списке Применяется к в начале этого раздела.

   certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer
   
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
   reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
   

7. Создание сертификата сетевой разблокировки

8. Развертывание закрытого ключа и сертификата на сервере WDS

9. Создание шаблона сертификата для сетевой разблокировки

10. Требование предохранителей TPM и ПИН-кода при запуске

См. также

• Обзор BitLocker

• Вопросы и ответы по BitLocker

• Подготовка организации к использованию BitLocker: планирование и политики