BitLocker: Aktivieren der Netzwerkentsperrung
In diesem Thema für IT-Experten wird beschrieben, wie die BitLocker-Netzwerkentsperrung funktioniert und konfiguriert wird.
Die Netzwerkentsperrung wurde in Windows 8 und Windows Server 2012 als BitLocker-Schutzoption für Betriebssystemvolumes eingeführt. Die Netzwerkentsperrung ermöglicht eine einfachere Verwaltung für Desktops und Server, auf denen BitLocker aktiviert ist, in einer Domänenumgebung, indem eine automatische Entsperrung von Betriebssystemvolumes beim Neustart des Systems bereitgestellt wird, wenn eine Verbindung mit einem verkabelten Unternehmensnetzwerk besteht. Für dieses Feature muss die Clienthardware über einen implementierten DHCP-Treiber in der UEFI-Firmware verfügen.
Ohne Netzwerkentsperrung muss für Betriebssystemvolumes, die durch TPM+PIN-Schutzvorrichtungen geschützt sind, ein PIN eingegeben werden, wenn ein Computer neu gestartet wird oder der Betrieb aus dem Ruhezustand fortgesetzt wird (z. B. durch Wake-on-LAN). Auf diese Weise ist es für Unternehmen schwer, Softwarepatches auf unbeaufsichtigten Desktops und remote verwalteten Servern zu installieren.
Mithilfe der Netzwerkentsperrung können BitLocker-fähige Systeme mit TPM+PIN, die den Hardwareanforderungen entsprechen, Windows ohne Eingreifen des Benutzers starten. Die Netzwerkentsperrung funktioniert auf ähnliche Weise wie TPM+StartupKey beim Start. Anstatt den StartupKey aus USB-Medien zu lesen, besteht der Schlüssel für die Netzwerkentsperrung aus einem im TPM gespeicherten Schlüssel und einem verschlüsselten Netzwerkschlüssel, der an den Server gesendet, entschlüsselt und an den Client in einer sicheren Sitzung zurückgegeben wird.
Dieses Thema enthält:
Hauptanforderungen für Netzwerkentsperrung
Netzwerkentsperrungssequenz
Konfigurieren der Netzwerkentsperrung
Erstellen der Zertifikatvorlage für die Netzwerkentsperrung
Deaktivieren der Netzwerkentsperrung
Aktualisieren der Netzwerkentsperrungszertifikate
Problembehandlung bei der Netzwerkentsperrung
Konfigurieren der Netzwerkentsperrung auf nicht unterstützten Systemen
Hauptanforderungen für Netzwerkentsperrung
Die Netzwerkentsperrung muss obligatorische Hardware- und Softwareanforderungen erfüllen, bevor das Feature zu einer Domäne gehörige Systeme automatisch entsperren kann. Diese Anforderungen umfassen Folgendes:
Sie müssen mindestens Windows 8 oder Windows Server 2012 ausführen.
Alle unterstützten Betriebssysteme mit UEFI DHCP-Treibern können Netzwerkentsperrungsclients sein.
Ein Server, auf dem die Rolle „Windows-Bereitstellungsdienste“ (Windows Deployment Services, WDS) auf einem beliebigen unterstützten Serverbetriebssystem ausgeführt wird.
Das optionale Feature „BitLocker-Netzwerkentsperrung“ ist auf einem beliebigen unterstützten Serverbetriebssystem installiert.
Ein von dem WDS-Server getrennter DHCP-Server.
Ordnungsgemäß konfiguriertes öffentlich-private Schlüsselpaar.
Einstellungen für Netzwerkentsperrungs-Gruppenrichtlinie sind konfiguriert.
Der Netzwerkstapel muss für die Verwendung des Netzwerkentsperrungsfeatures aktiviert sein. Gerätehersteller liefern ihre Produkte in unterschiedlichen Zuständen und mit verschiedenen BIOS-Menüs, Sie müssen daher sicherstellen, dass der Netzwerkstapel vor dem Starten des Computers im BIOS aktiviert wurde.
Hinweis
Damit DHCP in UEFI ordnungsgemäß unterstützt wird, sollten sich die UEFI-basierten System im einheitlichen Modus ohne aktiviertes Kompatibilitätsunterstützungsmodul (Compatibility Support Modul, CSM) befinden.
Damit die Netzwerkentsperrung auf Computern mit Windows 8 oder höher zuverlässig arbeitet, muss der erste Netzwerkadapter auf dem Computer, in der Regel der integrierte Adapter, so konfiguriert sein, dass DHCP unterstützt und für die Netzwerkentsperrung verwendet wird. Dies ist besonders dann zu beachten, wenn Sie über mehrere Netzwerkadapter verfügen und Sie einen Adapter ohne DHCP konfigurieren möchten, z. B. für ein Lights-out-Verwaltungsprotokoll. Diese Konfiguration ist erforderlich, da die Netzwerkentsperrung die Aufzählung der Adapter beendet, wenn sie einen Adapter mit einem DHCP-Anschlussfehler aus irgendeinem Grund erreicht. Wenn also der erste aufgelistete Adapter DHCP nicht unterstützt, nicht an das Netzwerk angeschlossen ist oder aus irgendeinem Grund die Verfügbarkeit des DHCP-Anschlusses nicht meldet, tritt bei der Netzwerkentsperrung ein Fehler auf.
Die Netzwerkentsperrung-Serverkomponente wird mithilfe von Server-Manager oder Windows PowerShell-Cmdlets auf unterstützten Versionen von Windows Server 2012 und höher als ein Windows-Feature installiert. Der Featurename lautet BitLocker-Netzwerkentsperrung in Server-Manager und BitLocker-NetworkUnlock in Windows PowerShell. Dieses Feature ist eine Grundvoraussetzung.
Die Netzwerkentsperrung erfordert Windows-Bereitstellungsdienste (Windows Deployment Services, WDS) in der Umgebung, in der das Feature verwendet wird. Die Konfiguration der WDS-Installation ist nicht erforderlich. Allerdings muss der WDS-Dienst auf dem Server ausgeführt werden.
Der Netzwerkschlüssel wird auf dem Systemlaufwerk zusammen mit einem AES 256-Sitzungsschlüssel gespeichert und mit dem öffentlichen RSA-Schlüssel mit 2048 Bit des Zertifikats des entsperrten Servers verschlüsselt. Der Netzwerkschlüssel wird mit der Hilfe eines Anbieters auf einer unterstützten Version von Windows Server, auf der WDS ausgeführt wird, entschlüsselt und mit dem entsprechenden Sitzungsschlüssel verschlüsselt zurückgegeben.
Netzwerkentsperrungssequenz
Die Entsperrungssequenz beginnt auf der Clientseite, wenn der Windows-Start-Manager das Vorhandensein des Netzwerkentsperrungsschutzes erkennt. Sie verwendet den DHCP-Treiber in UEFI, um eine IP-Adresse für IPv4 abzurufen und überträgt dann eine herstellerspezifischen DHCP-Anforderung, die den Netzwerkschlüssel und einen Sitzungsschlüssel für die Antwort enthält. All dies wird, wie oben beschrieben, vom Netzwerkentsperrungszertifikat des Servers verschlüsselt. Der Netzwerkentsperrungsanbieter auf dem unterstützten WDS-Server erkennt die herstellerspezifische Anforderung, entschlüsselt diese mit dem privaten RSA-Schlüssel und gibt den mit dem Sitzungsschlüssel verschlüsselten Netzwerkschlüssel über seine eigene herstellerspezifische DHCP-Antwort zurück.
Auf der Serverseite hat die WDS-Serverrolle eine optionale Plug-In-Komponenten, wie ein PXE-Anbieter; dadurch werden die eingehenden Netzwerkentsperrungsanforderungen behandelt. Der Anbieter kann auch mit Subnetzeinschränkungen konfiguriert werden, die erfordern, dass die vom Client in der Netzwerkentsperrungsanforderung angegebene IP-Adresse zu einem zulässigen Subnetz gehört, damit der Netzwerkschlüssel an den Client freigegeben wird. In Fällen, in denen der Netzwerkentsperrungsanbieter nicht verfügbar ist, führt BitLocker einen Failover auf die nächste verfügbare Schutzvorrichtung aus, um das Laufwerk zu entsperren. In einer typischen Konfiguration bedeutet dies, dass der standardmäßige TPM+PIN-Entsperrungsbildschirm angezeigt wird, um das Laufwerk zu entsperren.
Die serverseitige Konfiguration zur Aktivierung der Netzwerkentsperrung erfordert auch die Bereitstellung eines öffentlichen-privaten RSA-Schlüsselpaars mit 2048 Bit in der Form eines X.509-Zertifikats, damit das öffentliche Schlüsselzertifikat an die Clients verteilt wird. Dieses Zertifikat muss über den Gruppenrichtlinien-Editor direkt auf einem Domänencontroller mit mindestens einer Domänenfunktionsebene von Windows Server 2012 verwaltet und bereitgestellt werden. Dieses Zertifikat ist der öffentliche Schlüssel, der den zwischengeschalteten Netzwerkschlüssel (der einer der beiden geheimen Schlüssel zum Entsperren des Laufwerks ist; der andere geheimen Schlüssel ist im TPM gespeichert) verschlüsselt.
.png "BitLocker-Netzwerkentsperrungssequenz")
Phasen des Netzwerkentsperrungsprozesses
Der Windows-Start-Manager erkennt, dass ein Netzwerkentsperrungsschutz in der BitLocker-Konfiguration vorhanden ist.
Der Clientcomputer verwendet seinen DHCP-Treiber in der UEFI, um eine gültige IPv4-IP-Adresse abzurufen.
Der Clientcomputer überträgt eine herstellerspezifische DHCP-Anforderung, die den Netzwerkschlüssel (ein zwischengeschalteter Schlüssel mit 256 Bit) und einen AES-256-Sitzungsschlüssel für die Antwort enthält. Beide Schlüssel werden mithilfe des öffentlichen RSA-Schlüssels mit 2048 Bit des Netzwerkentsperrungszertifikats vom WDS-Server verschlüsselt.
Der Netzwerkentsperrungsanbieter auf dem WDS-Server erkennt die herstellerspezifische Anforderung.
Der Anbieter entschlüsselt diese mit dem privaten RSA-Schlüssel des BitLocker-Netzwerkentsperrungszertifikat des WDS-Servers.
Der WDS-Anbieter gibt dann den mit dem Sitzungsschlüssel verschlüsselten Netzwerkschlüssel mithilfe seiner eigenen herstellerspezifischen DHCP-Antwort an den Clientcomputer zurück. Dadurch entsteht ein zwischengeschalteter Schlüssel.
Der zurückgegebene Zwischenschlüssel wird dann mit einem anderen lokalen Zwischenschlüssel mit 256 Bit kombiniert, der nur vom TPM entschlüsselt werden kann.
Dieser kombinierte Schlüssel wird zum Erstellen eines AES-256-Schlüssels verwendet, der das Volume entsperrt.
Windows setzt die Startsequenz fort.
Konfigurieren der Netzwerkentsperrung
Anhand der folgenden Schritte kann ein Administrator die Netzwerkentsperrung in einer Domäne konfigurieren, bei der die Domänenfunktionsebene mindestens Windows Server 2012 ist.
Schritt 1: Installieren der WDS-Serverrolle
Das BitLocker-Netzwerkentsperrungsfeature installiert die WDS-Rolle, wenn sie nicht bereits installiert ist. Wenn Sie sie der Installation der BitLocker-Netzwerkentsperrung separat installieren möchten, können Sie den Server-Manager oder Windows PowerShell verwenden. Zum Installieren der Rolle mithilfe des Server-Managers, wählen Sie die Rolle Windows-Bereitstellungsdienste im Server-Manager aus.
Verwenden Sie den folgenden Befehl, um die Rolle mithilfe von Windows PowerShell zu installieren:
Install-WindowsFeature WDS-Deployment
Sie müssen den WDS-Server so konfigurieren, dass er mit DHCP (und optional mit Active Directory-Domänendiensten) und dem Clientcomputer kommunizieren kann. Hierfür können Sie das WDS-Verwaltungstool „wdsmgmt.msc“ verwenden, das den Konfigurations-Assistenten für Windows-Bereitstellungsdienste startet.
Schritt 2: Sicherstellen, dass der WDS-Dienst ausgeführt wird
Um zu bestätigen, dass der WDS-Dienst ausgeführt wird, verwenden Sie die Diensteverwaltungskonsole oder Windows PowerShell. Um zu bestätigen, dass der Dienst in der Diensteverwaltungskonsole ausgeführt wird, öffnen Sie die Konsole mit services.msc, und überprüfen Sie den Status des Windows-Bereitstellungsdiensts.
Um zu bestätigen, dass der Dienst mithilfe von Windows PowerShell ausgeführt wird, verwenden Sie den folgenden Befehl:
Get-Service WDSServer
Schritt 3: Installieren des Netzwerkentsperrungsfeatures
Um das Netzwerkentsperrungsfeature zu installieren, verwenden Sie den Server-Manager oder Windows PowerShell. Um das Feature mithilfe des Server-Managers zu installieren, wählen Sie das Feature BitLocker-Netzwerkentsperrung in der Server-Manager-Konsole aus.
Verwenden Sie den folgenden Befehl, um das Feature mithilfe von Windows PowerShell zu installieren:
Install-WindowsFeature BitLocker-NetworkUnlock
Schritt 4: Erstellen des Netzwerkentsperrungszertifikats
Die Netzwerkentsperrung kann importierte Zertifikate von einer vorhandenen PKI-Infrastruktur verwenden, oder Sie können ein selbstsigniertes Zertifikat verwenden.
Um ein Zertifikat von einer vorhandenen Zertifizierungsstelle (ZS) zu registrieren, gehen Sie folgendermaßen vor:
Öffnen Sie den Zertifikat-Manager auf dem WDS-Server mithilfe von certmgr.msc
Klicken Sie unter „Zertifikate - Aktueller Benutzer“ mit der rechten Maustaste auf „Persönlich“.
Wählen Sie „Alle Aufgaben“ und dann Neues Zertifikat anfordern aus.
Wählen Sie Weiter, wenn der Assistent für die Zertifikatregistrierung geöffnet wird.
Wählen Sie „Active Directory-Registrierungsrichtlinie“ aus.
Wählen Sie die Zertifikatvorlage aus, die für die Netzwerkentsperrung auf dem Domänencontroller erstellt wurde, und wählen Sie Registrieren aus. Wenn Sie aufgefordert werden, weitere Informationen einzugeben, fügen Sie dem Zertifikat das folgende Attribut hinzu:
- Wählen Sie den Bereich Antragstellername aus, und geben Sie einen Anzeigenamen ein. Es wird empfohlen, dass der angezeigte Name Informationen für die Domäne oder Organisationseinheit für das Zertifikat enthält. Zum Beispiel „Zertifikat für BitLocker-Netzwerkentsperrung für Contoso-Domäne“.
Erstellen Sie das Zertifikat. Stellen Sie sicher, dass das Zertifikat im Ordner „Persönlich“ angezeigt wird.
Exportieren Sie das Zertifikat für den öffentlichen Schlüssel für die Netzwerkentsperrung.
Erstellen Sie eine CER-Datei, indem Sie mit der rechten Maustaste auf das zuvor erstellte Zertifikat klicken, und wählen Sie Alle Aufgaben und dann Exportieren aus.
Wählen Sie Nein, privaten Schlüssel nicht exportieren aus.
Wählen Sie DER-codiert-binär X.509 (.CER), und schließen Sie den Export des Zertifikats in eine Datei ab.
Benennen Sie die Datei z. B. „BitLocker-NetworkUnlock.cer“.
Exportieren Sie den öffentlichen Schlüssel mit einem privaten Schlüssel für die Netzwerkentsperrung.
Erstellen Sie eine PFX-Datei, indem Sie mit der rechten Maustaste auf das zuvor erstellte Zertifikat klicken, und wählen Sie Alle Aufgaben und dann Exportieren aus.
Wählen Sie Ja, privaten Schlüssel exportieren aus.
Schließen Sie den Assistenten zum Erstellen der PFX-Datei ab.
Um ein selbstsigniertes Zertifikat zu erstellen, führen Sie folgende Schritte aus:
Erstellen Sie eine Textdatei mit der Erweiterung „INF“. Zum Beispiel „notepad.exe BitLocker-NetworkUnlock.inf“.
Fügen Sie der zuvor erstellten Datei den folgenden Inhalt hinzu.
[NewRequest] Subject="CN=BitLocker Network Unlock certificate" Exportable=true RequestType=Cert KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyLength=2048 [Extensions] 1.3.6.1.4.1.311.21.10 = "{text}" _continue_ = "OID=1.3.6.1.4.1.311.67.1.1" 2.5.29.37 = "{text}" _continue_ = "1.3.6.1.4.1.311.67.1.1"Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und verwenden Sie das Certreq-Tool, um ein neues Zertifikat mit dem folgenden Befehl zu erstellen. Geben Sie dabei den vollständigen Pfad zu der zuvor erstellten Datei zusammen mit dem Dateinamen an:
certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cerÜberprüfen, ob der vorherige Befehl das Zertifikat ordnungsgemäß erstellt hat, indem Sie bestätigen, dass die CER-Datei vorhanden ist.
Starten Sie den Zertifikat-Manager, indem Sie certmgr.msc ausführen.
Erstellen Sie eine PFX-Datei, indem Sie den Pfad Zertifikate – Aktuelle Benutzer\Persönlich\Zertifikate im Navigationsbereich öffnen, mit der rechten Maustaste in das zuvor importierte Zertifikat klicken und dann Alle Aufgaben und dann Exportieren auswählen. Folgen Sie dem Assistenten zum Erstellen der PFX-Datei.
Schritt 5: Bereitstellen des privaten Schlüssels und des Zertifikats auf dem WDS-Server
Nachdem das Zertifikat und der Schlüssel erstellt wurden, stellen Sie beides in der Infrastruktur bereit, um die Systeme ordnungsgemäß zu entsperren. Um die Zertifikate bereitzustellen, führen Sie folgende Schritte aus:
Öffnen Sie auf dem WDS-Server eine neue MMC, und fügen Sie das Zertifikate-Snap-In hinzu. Wählen Sie das Computerkonto und den lokalen Computer aus, wenn die Optionen angezeigt werden.
Klicken Sie mit der rechten Maustaste auf das Element „Zertifikate (Lokaler Computer) - Netzwerkentsperrung der BitLocker-Laufwerkverschlüsselung“, und wählen Sie „Alle Aufgaben“ und dann Importieren aus.
Wählen Sie im Dialogfeld Zu importierende Datei die zuvor erstellte PFX-Datei aus.
Geben Sie das Kennwort ein, das Sie zum Erstellen der PFX-Datei verwendet haben, und schließen Sie den Assistenten ab.
Schritt 6: Konfigurieren der Gruppenrichtlinieneinstellungen für die Netzwerkentsperrung
Nachdem das Zertifikat und der Schlüssel auf dem WDS-Server für die Netzwerkentsperrung bereitgestellt wurden, besteht der letzte Schritt darin, die Gruppenrichtlinieneinstellungen zum Bereitstellen des öffentlichen Schlüsselzertifikats auf Computern zu verwenden, die Sie mithilfe des Netzwerkentsperrungsschlüssels entsperren möchten. Gruppenrichtlinieneinstellungen für BitLocker finden Sie mithilfe des Editors für lokale Gruppenrichtlinien oder der Microsoft Management Console unter \Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung.
Die folgenden Schritte beschreiben, wie die Gruppenrichtlinieneinstellung aktiviert wird, die eine Anforderung zum Konfigurieren der Netzwerkentsperrung ist.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
Aktivieren Sie die Richtlinie Zusätzliche Authentifizierung beim Start anfordern , und wählen Sie die Option Start-PIN bei TPM erforderlich aus.
Aktivieren Sie BitLocker mit TPM+PIN-Schutzvorrichtungen auf allen in eine Domäne eingebundenen Computer.
Die folgenden Schritte beschreiben, wie die erforderliche Gruppenrichtlinieneinstellung bereitgestellt wird:
Hinweis
Die Gruppenrichtlinieneinstellungen Netzwerkentsperrung beim Start zulassen und Zertifikat zur Netzwerkentsperrung hinzufügen wurden in Windows Server 2012 eingeführt.
Kopieren Sie die CER-Datei für die Netzwerkentsperrung auf den Domänencontroller.
Starten Sie auf dem Domänencontroller die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
Erstellen Sie ein neues Gruppenrichtlinienobjekt, oder ändern Sie ein vorhandenes Objekt, um die Einstellung Netzwerkentsperrung beim Start zulassen zu aktivieren.
Stellen Sie das öffentliche Zertifikat auf Clients bereit.
Navigieren Sie innerhalb der Gruppenrichtlinien-Verwaltungskonsole zu folgendem Speicherort: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel\Zertifikat zur Netzwerkentsperrung für BitLocker-Laufwerkverschlüsselung.
Klicken Sie mit der rechten Maustaste auf den Ordner, und wählen Sie Zertifikat zur Netzwerkentsperrung hinzufügen aus.
Befolgen Sie die Schritte des Assistenten, und importieren Sie die CER-Datei, die zuvor kopiert wurde.
Hinweis
Es kann jeweils immer nur ein Netzwerkentsperrungszertifikat verfügbar sein. Wenn ein neues Zertifikat erforderlich ist, löschen Sie das aktuelle Zertifikat vor der Bereitstellung eines neuen. Das Netzwerkentsperrungszertifikat befindet sich im Schlüssel HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP auf dem Clientcomputer.
Schritt 7: TPM+PIN-Schutzvorrichtungen beim Start erfordern
Ein weiterer Schritt für Unternehmen besteht darin, TPM+PIN-Schutzvorrichtungen für eine zusätzliche Sicherheitsstufe zu verwenden. Um TPM+PIN-Schutzvorrichtungen in einer Umgebung zu erfordern, führen Sie folgende Schritte aus:
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
Aktivieren Sie die Richtlinie Zusätzliche Authentifizierung beim Start anfordern , und wählen Sie die Option Start-PIN bei TPM erforderlich aus.
Aktivieren Sie BitLocker mit TPM+PIN-Schutzvorrichtungen auf allen in eine Domäne eingebundenen Computer.
Erstellen der Zertifikatvorlage für die Netzwerkentsperrung
In den folgenden Schritten wird veranschaulicht, wie eine Zertifikatvorlage für die Verwendung mit der BitLocker-Netzwerkentsperrung erstellt wird. Eine korrekt konfigurierte Zertifizierungsstelle für Active Directory-Dienste kann dieses Zertifikat verwenden, um Netzwerkentsperrungszertifikate zu erstellen und auszustellen.
Öffnen Sie das Zertifikatvorlagen-Snap-In (certtmpl.msc).
Suchen Sie die Benutzervorlage. Klicken Sie mit der rechten Maustaste auf den Namen der Vorlage, und wählen Sie Doppelte Vorlage.
Ändern Sie auf der Registerkarte Kompatibilität die Felder Zertifizierungsstelle und Zertifikatempfänger in Windows Server 2012 bzw. Windows 8. Stellen Sie sicher, dass das Dialogfeld Resultierende Änderungen anzeigen ausgewählt ist.
Wählen Sie die Registerkarte Allgemein der Vorlage. Unter Vorlagenanzeigename und Vorlagenname muss eindeutig angegeben werden, dass die Vorlage für die Netzwerkentsperrung verwendet wird. Deaktivieren Sie das Kontrollkästchen für die Option Zertifikat in Active Directory veröffentlichen.
Wählen Sie die Registerkarte Anforderungsverarbeitung aus. Wählen Sie Verschlüsselung aus dem Dropdownmenü Zweck aus. Stellen Sie sicher, dass die Option Exportieren von privatem Schlüssel zulassen ausgewählt ist.
Wählen Sie die Registerkarte Kryptografie aus. Legen Sie die Minimale Schlüsselgröße auf 2048 fest. (Alle Microsoft-Kryptografieanbieter, die RSA unterstützen, können für diese Vorlage verwendet werden. Aus Gründen der Einfachheit und Aufwärtskompatibilität empfehlen wir jedoch die Softwareschlüsselspeicher-Anbieter von Microsoft.)
Wählen Sie die Für Anforderungen muss einer der folgenden Anbieter verwendet werden: aus, und deaktivieren Sie alle Optionen mit Ausnahme des ausgewählten Kryptografieanbieters, z. B. die Softwareschlüsselspeicher-Anbieter von Microsoft.
Wählen Sie die Registerkarte Antragstellername aus. Wählen Sie Informationen werden in der Anforderung angegeben aus. Wählen Sie OK aus, wenn das Popupdialogfeld für die Zertifikatvorlagen angezeigt wird.
Wählen Sie die Registerkarte Ausstellungsvoraussetzungen aus. Wählen Sie die beiden Optionen Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle und Gültiges vorhandenes Zertifikat aus.
Wählen Sie die Registerkarte Erweiterungen aus. Wählen Sie Anwendungsrichtlinien aus , und wählen Sie Bearbeiten....
Wählen Sie im Optionsdialogfeld Anwendungsrichtlinienerweiterung bearbeiten die Optionen Clientauthentifizierung, Verschlüsselndes Dateisystem und Sichere E-Mail aus, und wählen Sie Entfernen.
Wählen Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten die Option Hinzufügen aus.
Wählen Sie im Dialogfeld Anwendungsrichtlinie hinzufügen die Option Neu aus. Geben Sie im Dialogfeld Neue Anwendungsrichtlinie die folgenden Informationen in das Eingabefeld ein, und klicken Sie dann auf OK, um die Anwendungsrichtlinie für die BitLocker-Netzwerkentsperrung zu erstellen:
Name:BitLocker-Netzwerkentsperrung
Objekt-ID:1.3.6.1.4.1.311.67.1.1
Wählen Sie die neu erstellte Anwendungsrichtlinie BitLocker-Netzwerkentsperrung aus, und wählen Sie OK aus.
Während die Registerkarte Erweiterungen noch geöffnet ist, wählen Sie das Dialogfeld Schlüsselverwendungserweiterung bearbeiten aus, und wählen Sie die Option Austausch nur mit Verschlüsselung zulassen (Schlüsselverschlüsselung) aus. Wählen Sie die Option Diese Erweiterung als kritisch markieren aus.
Wählen Sie die Registerkarte Sicherheit aus. Stellen Sie sicher, dass der Gruppe Domänen-Admins die Berechtigung Registrieren gewährt wurde.
Wählen Sie OK aus, um die Konfiguration der Vorlage abzuschließen.
Um die Netzwerkentsperrungsvorlage der Zertifizierungsstelle hinzuzufügen, öffnen Sie das Zertifizierungs-Snap-In (certsrv.msc ein). Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Neu, Auszustellende Zertifikatvorlage. Wählen Sie das zuvor erstellte BitLocker-Netzwerkentsperrungszertifikat aus.
Nach dem Hinzufügen der Netzwerkentsperrungsvorlage zur Zertifizierungsstelle, kann dieses Zertifikat zum Konfigurieren der BitLocker-Netzwerkentsperrung verwendet werden.
Subnetzrichtlinien-Konfigurationsdateien auf WDS-Server (optional)
Standardmäßig werden alle Clients mit dem richtigen Netzwerkentsperrungszertifikat und gültigen Netzwerkentsperrungs-Schutzvorrichtungen, die über kabelgebundenen Zugriff auf einen für die Netzwerkentsperrung aktivierten WDS-Server über DHCP verfügen, vom Server entsperrt. Eine Subnetzrichtlinien-Konfigurationsdatei auf dem WDS-Server kann erstellt werden, um einzuschränken, welche Subnetze Netzwerkentsperrungsclients zur Entsperrung verwenden können.
Die Konfigurationsdatei mit dem Namen „bde-network-unlock.ini“ muss sich im gleichen Verzeichnis wie die Anbieter-DLL der Netzwerkentsperrung befinden und gilt sowohl für IPv6- und IPv4-DHCP-Implementierungen. Wenn die Subnetz-Konfigurationsrichtlinie beschädigt ist, tritt bei dem Anbieter ein Fehler auf und er reagiert nicht mehr auf Anforderungen.
Die Subnetzrichtlinien-Konfigurationsdatei muss einen Abschnitt „[SUBNETZE]“verwenden, um die jeweiligen Subnetze zu identifizieren. Diese Subnetze können dann verwendet werden, um Einschränkungen in Zertifikatunterabschnitten anzugeben. Subnetze sind als einfache Name-Wert-Paare im geläufigen INI-Format definiert, wobei jedes Subnetz seine eigene Zeile aufweist, der Name links neben dem Gleichheitszeichen steht und das identifizierte Subnetz rechts neben dem Gleichheitszeichen als CIDR-Adresse oder -Bereich (Classless Inter-Domain Routing, klassenloses domänenübergreifendes Routing) steht. Das Schlüsselwort "ENABLE" ist für Subnetznamen nicht zulässig.
[SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.
Auf den Abschnitt [SUBNETZE] können Abschnitte für jedes Netzwerkentsperrungszertifikat folgen, die durch den Zertifikatfingerabdruck identifiziert werden, der ohne Leerzeichen formatiert ist und Subnetzclients definiert, die mit diesem Zertifikat entsperrt werden können.
Hinweis
Fügen Sie beim Angeben des Zertifikatfingerabdrucks keine Leerzeichen ein. Wenn in den Fingerabdruck Leerzeichen eingefügt werden, tritt ein Fehler bei der Subnetzkonfiguration auf, da der Fingerabdruck nicht als gültig erkannt wird.
Subnetzeinschränkungen werden innerhalb der einzelnen Zertifikate definiert, indem die zulässige Liste zugelassener Subnetze bezeichnet wird. Wenn ein Subnetz in einem Zertifikatsabschnitt aufgeführt ist, so sind nur diese Subnetze für dieses Zertifikat zulässig. Wenn kein Subnetz in einem Zertifikatsabschnitt aufgeführt ist, so sind alle Subnetze für dieses Zertifikat zulässig. Wenn ein Zertifikat nicht über einen Abschnitt in der Subnetzrichtlinien-Konfigurationsdatei verfügt, werden keine Einschränkungen zum Entsperren mit diesem Zertifikat angewendet. Das bedeutet, dass für jedes Netzwerkentsperrungszertifikat ein Zertifikatsabschnitt auf dem Server vorhanden und eine explizite Liste der zulässigen Subnetze für jeden Zertifikatsabschnitt festgelegt sein muss, damit Einschränkungen auf jedes Zertifikat angewendet werden können.
Subnetzlisten werden erstellt, indem der Name eines Subnetzes aus dem Abschnitt [SUBNETZE] in eine eigene Zeile unter der Zertifikatsabschnittsüberschrift geschrieben wird. Daraufhin entsperrt der Server nur Clients mit diesem Zertifikat in den Subnetzen, wie in der Liste angegeben. Für die Problembehandlung kann ein Subnetz schnell ausgeschlossen werden, ohne dass es aus dem Abschnitt gelöscht wird, indem es einfach mit einem vorangestellten Semikolon auskommentiert wird.
[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3
Um die Verwendung eines Zertifikats ganz zu verbieten, kann die Subnetzliste die Zeile "DISABLED" enthalten.
Deaktivieren der Netzwerkentsperrung
Um den Entsperrungsserver zu deaktivieren, kann die Anmeldung des PXE-Anbieters beim WDS-Server aufgehoben werden, oder der Anbieter kann vollständig deinstalliert werden. Damit Clients allerdings keine Netzwerkentsperrungs-Schutzvorrichtungen mehr erstellen, sollte die Gruppenrichtlinieneinstellung Netzwerkentsperrung beim Start zulassen deaktiviert werden. Wenn diese Richtlinieneinstellung so aktualisiert wird, dass sie auf Clientcomputern deaktiviert ist, so werden alle Netzwerkentsperrungs-Schutzvorrichtungen auf dem Computer gelöscht. Alternativ kann die Richtlinie für das BitLocker-Netzwerkentsperrungszertifikat auf dem Domänencontroller gelöscht werden, um die gleiche Aufgabe für eine gesamte Domäne auszuführen.
Hinweis
Durch Entfernen des FVENKP-Zertifikatspeichers, der das Netzwerkentsperrungszertifikat und den Schlüssel auf dem WDS-Server enthält, wird auch effektiv erreicht, dass der Server nicht mehr auf Entsperrungsanforderungen für dieses Zertifikat reagiert. Allerdings wird dies als ein Fehlerzustand betrachtet und ist keine unterstützte oder empfohlene Methode zum Deaktivieren des Netzwerkentsperrungsservers.
Aktualisieren der Netzwerkentsperrungszertifikate
Um die von der Netzwerkentsperrung verwendeten Zertifikate zu aktualisieren, müssen Administratoren das neue Zertifikat für den Server importieren oder generieren und dann die Gruppenrichtlinieneinstellung für das Netzwerkentsperrungszertifikat auf dem Domänencontroller aktualisieren.
Problembehandlung bei der Netzwerkentsperrung
Die Problembehandlung bei Netzwerkentsperrungsproblemen beginnt mit der Überprüfung der Umgebung. Häufig ist ein kleines Konfigurationsproblem die Ursache des Fehlers. Folgende Elemente müssen überprüft werden:
Vergewissern Sie sich, dass die Clienthardware auf UEFI basiert und die Firmware-Version 2.3.1 aufweist und dass sich die UEFI-Firmware im einheitlichen Modus ohne aktiviertes Kompatibilitätsunterstützungsmodul (Compatibility Support Module, CSM) für den BIOS-Modus befindet. Stellen Sie hierfür sicher, dass für die Firmware keine Option wie z. B. „Legacymodus“ oder „Kompatibilitätsmodus“ aktiviert ist oder dass sich die Firmware nicht in einem BIOS-ähnlichen Modus befindet.
Alle erforderlichen Rollen und Dienste sind installiert und gestartet.
Öffentliche und private Zertifikate wurden veröffentlicht und befinden sich in den korrekten Zertifikatcontainern. Das Vorhandensein des Netzwerkentsperrungszertifikats kann in der Microsoft Management Console (MMC.exe) auf dem WDS-Server überprüft werden, wobei die Zertifikat-Snap-Ins für den lokalen Computer aktiviert sind. Das Clientzertifikat kann überprüft werden, indem Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP auf dem Clientcomputer überprüfen.
Die Gruppenrichtlinie für die Netzwerkentsperrung ist aktiviert und mit den entsprechenden Domänen verknüpft.
Stellen Sie sicher, dass die Gruppenrichtlinie die Clients ordnungsgemäß erreicht. Dies kann mithilfe der Dienstprogramme GPRESULT.exe oder RSOP.msc erfolgen.
Stellen Sie sicher, dass die Network (Certificate Based)-Schutzvorrichtung auf dem Client aufgeführt ist. Dies kann mithilfe von manage-bde oder Windows PowerShell-Cmdlets erfolgen. Der folgende Befehl führt beispielsweise die Schlüsselschutzvorrichtungen auf, die derzeit auf Laufwerk C: des lokalen Computers konfiguriert sind:
Manage-bde –protectors –get C:
Hinweis
Verwenden Sie die Ausgabe von manage-bde zusammen mit dem WDS-Debugprotokoll, um festzustellen, ob der richtige Zertifikatfingerabdruck für die Netzwerkentsperrung verwendet wird.
Dateien, die für die Problembehandlung bei der BitLocker-Netzwerkentsperrung gesammelt werden müssen:
Die Windows-Ereignisprotokolle. Insbesondere die BitLocker-Ereignisprotokolle und das Protokoll „Microsoft-Windows-Deployment-Services-Diagnostics-Debug“.
Die Debugprotokollierung ist für die WDS-Serverrolle standardmäßig deaktiviert, Sie müssen sie daher zuerst aktivieren. Sie können eine der zwei folgenden Methoden verwenden, um die WDS-Debugprotokollierung zu aktivieren.
Starten Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie folgenden Befehl aus:
wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:trueÖffnen Sie die Ereignisanzeige auf dem WDS-Server.
Klicken Sie im linken Bereich auf Anwendungs- und Dienstprotokolle, klicken Sie auf Microsoft, klicken Sie auf Windows, klicken Sie auf Deployment-Services-Diagnostics, und klicken Sie dann auf Debuggen.
Klicken Sie im rechten Bereich auf Protokoll aktivieren.
Die DHCP-Subnetz-Konfigurationsdatei (sofern vorhanden).
Die Ausgabe des BitLocker-Status auf dem Datenträger. Diese kann mithilfe von manage-bde -status oder Get-BitLockerVolume in Windows PowerShell in einer Textdatei zusammengefasst werden.
Netzwerküberwachungsaufzeichnung auf dem Server, die die WDS-Rolle hostet, gefiltert nach Client-IP-Adresse.
Konfigurieren von Gruppenrichtlinieneinstellungen für die Netzwerkentsperrung in früheren Versionen
Die Netzwerkentsperrung und die zugehörigen Gruppenrichtlinieneinstellungen wurden in Windows Server 2012 eingeführt, können aber unter Verwendung von Betriebssystemen, auf denen Windows Server 2008 R2 und Windows Server 2008 ausgeführt wird, bereitgestellt werden.
Anforderungen
Auf dem Server, auf dem WDS gehostet wird, muss eines der Serverbetriebssysteme ausgeführt werden, die in der Liste Gilt für am Anfang dieses Themas aufgeführt sind.
Auf Clientcomputern muss eines der Clientbetriebssysteme ausgeführt werden, die in der Liste Gilt für am Anfang dieses Themas aufgeführt sind.
Die folgenden Schritte können zum Konfigurieren der Netzwerkentsperrung auf älteren Systemen verwendet werden.
Schritt 1: Installieren der WDS-Serverrolle
Schritt 2: Sicherstellen, dass der WDS-Dienst ausgeführt wird
Schritt 3: Installieren des Netzwerkentsperrungsfeatures
Schritt 4: Erstellen des Netzwerkentsperrungszertifikats
Schritt 5: Bereitstellen des privaten Schlüssels und des Zertifikats auf dem WDS-Server
Schritt 6: Konfigurieren von Registrierungseinstellungen für die Netzwerkentsperrung
Wenden Sie die Registrierungseinstellungen an, indem Sie die das folgende Certutil-Skript auf jedem Computer ausführen, auf dem eines der Clientbetriebssysteme ausgeführt wird, die in der Liste Gilt für am Anfang dieses Themas aufgeführt sind.
certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /fErstellen des Netzwerkentsperrungszertifikats
Bereitstellen des privaten Schlüssels und des Zertifikats auf dem WDS-Server
Erstellen der Zertifikatvorlage für die Netzwerkentsperrung
TPM+PIN-Schutzvorrichtungen beim Start erfordern