BitLocker: Aktivieren der Netzwerkentsperrung

Betrifft:

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

In diesem Thema wird beschrieben, wie die BitLocker-Netzwerkentsperrung funktioniert und wie sie konfiguriert wird.

Die Netzwerkentsperrung wurde in Windows 8 eingeführt und Windows Server 2012 als BitLocker-Schutzoption für Betriebssystemvolumes eingeführt. Die Netzwerkentsperrung ermöglicht eine einfachere Verwaltung für BitLocker-fähige Desktops und Server in einer Domänenumgebung, indem die automatische Entsperrung von Betriebssystemvolumes beim Systemneustart bereitgestellt wird, wenn sie mit einem kabelgebundenen Unternehmensnetzwerk verbunden ist. Dieses Feature erfordert, dass die Clienthardware einen DHCP-Treiber in der UEFI-Firmware implementiert hat. Ohne Netzwerkentsperrung müssen Betriebssystemvolumes, die durch TPM+PIN-Schutz geschützt sind, eine PIN eingegeben werden, wenn ein Computer neu gestartet oder aus dem Ruhezustand fortgesetzt wird (z. B. durch Wake on LAN). Dies kann unternehmen das Rollout von Softwarepatches auf unbeaufsichtigten Desktops und remote verwalteten Servern erschweren.

Die Netzwerkentsperrung ermöglicht BitLocker-fähigen Systemen, die über eine TPM+PIN verfügen und die Hardwareanforderungen erfüllen, um ohne Benutzereingriff in Windows zu starten. Die Netzwerkentsperrung funktioniert ähnlich wie TPM+StartupKey beim Start. Anstatt den StartupKey von USB-Medien lesen zu müssen, benötigt das Feature "Netzwerkentsperrung" jedoch den Schlüssel, der aus einem im TPM gespeicherten Schlüssel und einem verschlüsselten Netzwerkschlüssel besteht, der an den Server gesendet, entschlüsselt und in einer sicheren Sitzung an den Client zurückgegeben wird.

Kernanforderungen für die Netzwerkentsperrung

Die Netzwerkentsperrung muss die obligatorischen Hardware- und Softwareanforderungen erfüllen, bevor das Feature automatisch in die Domäne eingebundene Systeme entsperren kann. Zu diesen Anforderungen gehören:

  • Windows 8 oder Windows Server 2012 als aktuelles Betriebssystem.
  • Jedes unterstützte Betriebssystem mit UEFI-DHCP-Treibern, die als Netzwerkentsperrungsclients dienen können.
  • Netzwerkentsperrung von Clients mit einem TPM-Chip und mindestens einer TPM-Schutzkomponente.
  • Ein Server, auf dem die WDS-Rolle (Windows Deployment Services) unter jedem unterstützten Serverbetriebssystem ausgeführt wird.
  • BitLocker Network Unlock optional feature installed on any supported server operating system.
  • Ein DHCP-Server, getrennt vom WDS-Server.
  • Ordnungsgemäß konfigurierte Kopplung von öffentlichem/privatem Schlüssel.
  • Konfigurierte Gruppenrichtlinieneinstellungen für die Netzwerkentsperrung.

Der Netzwerkstapel muss aktiviert sein, um das Feature "Netzwerkentsperrung" verwenden zu können. Gerätehersteller liefern ihre Produkte in verschiedenen Zuständen und mit unterschiedlichen BIOS-Menüs; Daher müssen Sie überprüfen, ob der Netzwerkstapel im BIOS aktiviert wurde, bevor Sie den Computer starten.

Hinweis

Um DHCP in UEFI ordnungsgemäß zu unterstützen, sollte sich das UEFI-basierte System im nativen Modus befinden und kein Kompatibilitätsunterstützungsmodul (Compatibility Support Module, CSM) aktivieren.

Auf Computern, auf denen Windows 8 und höher ausgeführt wird, muss der erste Netzwerkadapter auf dem Computer, normalerweise der Onboard-Adapter, so konfiguriert werden, dass dhcp unterstützt wird. Dieser Adapter muss für die Netzwerkentsperrung verwendet werden.

Damit die Netzwerkentsperrung zuverlässig auf Computern funktioniert, auf denen Windows 8 und neuere Versionen ausgeführt werden, muss der erste Netzwerkadapter auf dem Computer, in der Regel der Onboard-Adapter, so konfiguriert sein, dass er DHCP unterstützt, und er muss für die Netzwerkentsperrung verwendet werden. Dies ist besonders erwähnenswert, wenn Sie über mehrere Adapter verfügen und einen adapter ohne DHCP konfigurieren möchten, z. B. für ein Lightsout-Verwaltungsprotokoll. Diese Konfiguration ist erforderlich, da die Netzwerkentsperrung das Aufzählen von Adaptern beendet, wenn ein Adapter aus irgendeinem Grund mit einem DHCP-Portfehler erreicht wird. Wenn der erste Enumerationsadapter dhcp nicht unterstützt, nicht in das Netzwerk eingebunden ist oder die Verfügbarkeit des DHCP-Ports aus irgendeinem Grund nicht meldet, schlägt die Netzwerkentsperrung fehl.

Die Serverkomponente "Netzwerkentsperrung" wird auf unterstützten Versionen von Windows Server 2012 und höher als Windows-Feature installiert, das Server-Manager oder Windows PowerShell Cmdlets verwendet. Der Featurename lautet BitLocker Network Unlock in Server-Manager und BitLocker-NetworkUnlock in Windows PowerShell. Dieses Feature ist eine zentrale Anforderung.

Die Netzwerkentsperrung erfordert Windows Deployment Services (WDS) in der Umgebung, in der das Feature verwendet wird. Die Konfiguration der WDS-Installation ist nicht erforderlich. Der WDS-Dienst muss jedoch auf dem Server ausgeführt werden.

Der Netzwerkschlüssel wird zusammen mit einem AES 256-Sitzungsschlüssel auf dem Systemlaufwerk gespeichert und mit dem öffentlichen 2048-Bit-RSA-Schlüssel des Unlock-Serverzertifikats verschlüsselt. Der Netzwerkschlüssel wird mit Hilfe eines Anbieters auf einer unterstützten Version von Windows Server mit WDS entschlüsselt und verschlüsselt mit dem entsprechenden Sitzungsschlüssel zurückgegeben.

Netzwerkentsperrungssequenz

Die Entsperrungssequenz beginnt clientseitig, wenn der Windows-Start-Manager das Vorhandensein einer Netzwerkentsperrungsschutzkomponente erkennt. Es nutzt den DHCP-Treiber in UEFI, um eine IP-Adresse für IPv4 abzurufen, und überträgt dann eine anbieterspezifische DHCP-Anforderung, die den Netzwerkschlüssel und einen Sitzungsschlüssel für die Antwort enthält, die alle wie oben beschrieben durch das Netzwerkentsperrungszertifikat des Servers verschlüsselt sind. Der Netzwerkentsperrungsanbieter auf dem unterstützten WDS-Server erkennt die anbieterspezifische Anforderung, entschlüsselt sie mit dem privaten RSA-Schlüssel und gibt den mit dem Sitzungsschlüssel verschlüsselten Netzwerkschlüssel über eine eigene anbieterspezifische DHCP-Antwort zurück.

Auf der Serverseite verfügt die WDS-Serverrolle über eine optionale Plug-In-Komponente, z. B. einen PXE-Anbieter, der die eingehenden Netzwerkentsperrungsanforderungen verarbeitet. Sie können den Anbieter auch mit Subnetzeinschränkungen konfigurieren, was erfordert, dass die vom Client in der Netzwerkentsperrungsanforderung angegebene IP-Adresse zu einem zulässigen Subnetz gehört, um den Netzwerkschlüssel für den Client freizugeben. In Fällen, in denen der Netzwerkentsperrungsanbieter nicht verfügbar ist, führt BitLocker einen Fehler beim Umschalten zum nächsten verfügbaren Schutz durch, um das Laufwerk zu entsperren. In einer typischen Konfiguration bedeutet dies, dass der standardmäßige TPM+PIN-Entsperrbildschirm zum Entsperren des Laufwerks angezeigt wird.

Die serverseitige Konfiguration zum Aktivieren der Netzwerkentsperrung erfordert auch die Bereitstellung eines 2048-Bit-RSA-Schlüsselpaars in Form eines X.509-Zertifikats und das Verteilen des öffentlichen Schlüsselzertifikats an die Clients. Dieses Zertifikat muss über den Gruppenrichtlinie-Editor direkt auf einem Domänencontroller mit mindestens einer Domänenfunktionsebene von Windows Server 2012 verwaltet und bereitgestellt werden. Bei diesem Zertifikat handelt es sich um den öffentlichen Schlüssel, der den Zwischennetzwerkschlüssel verschlüsselt (einer der beiden schlüsselbasierten Schlüssel, der zum Entsperren des Laufwerks erforderlich ist; der andere geheime Schlüssel wird im TPM gespeichert).

Verwalten und bereitstellen Sie dieses Zertifikat über den Gruppenrichtlinie-Editor direkt auf einem Domänencontroller, der eine Domänenfunktionsebene von mindestens Windows Server 2012 hat. Dieses Zertifikat ist der öffentliche Schlüssel, der den Zwischennetzwerkschlüssel verschlüsselt. Der zwischengeschaltete Netzwerkschlüssel ist einer der beiden Schlüssel, die zum Entsperren des Laufwerks erforderlich sind. der andere geheime Schlüssel wird im TPM gespeichert.

Diagramm mit der BitLocker-Netzwerkentsperrungssequenz.

Der Netzwerkentsperrungsprozess folgt diesen Phasen:

  1. Der Windows-Start-Manager erkennt eine Netzwerkentsperrungsschutzkomponente in der BitLocker-Konfiguration.
  2. Der Clientcomputer verwendet seinen DHCP-Treiber in der UEFI, um eine gültige IPv4-IP-Adresse abzurufen.
  3. Der Clientcomputer sendet eine anbieterspezifische DHCP-Anforderung, die Folgendes enthält:
    1. Ein Netzwerkschlüssel (ein 256-Bit-Zwischenschlüssel), der mithilfe des 2048-Bit-RSA Public Key des Netzwerkentsperrungszertifikats vom WDS-Server verschlüsselt wird.
    2. Ein AES-256-Sitzungsschlüssel für die Antwort.
  4. Der Netzwerkentsperrungsanbieter auf dem WDS-Server erkennt die anbieterspezifische Anforderung.
  5. Der Anbieter entschlüsselt die Anforderung mithilfe des privaten RSA-Schlüssels BitLocker Network Unlock des WDS-Servers.
  6. Der WDS-Anbieter gibt den mit dem Sitzungsschlüssel verschlüsselten Netzwerkschlüssel mithilfe einer eigenen anbieterspezifischen DHCP-Antwort an den Clientcomputer zurück. Dieser Schlüssel ist ein Zwischenschlüssel.
  7. Der zurückgegebene Zwischenschlüssel wird mit einem anderen lokalen 256-Bit-Zwischenschlüssel kombiniert. Dieser Schlüssel kann nur vom TPM entschlüsselt werden.
  8. Dieser kombinierte Schlüssel wird verwendet, um einen AES-256-Schlüssel zu erstellen, der das Volume entsperrt.
  9. Windows setzt die Startsequenz fort.

Konfigurieren der Netzwerkentsperrung

Die folgenden Schritte ermöglichen es einem Administrator, die Netzwerkentsperrung in einer Domäne zu konfigurieren, in der die Domänenfunktionsebene mindestens Windows Server 2012 ist.

Installieren der WDS-Serverrolle

Das BitLocker-Netzwerkentsperrungsfeature installiert die WDS-Rolle, wenn sie noch nicht installiert ist. Wenn Sie die BitLocker-Netzwerkentsperrung separat installieren möchten, können Sie Server-Manager oder Windows PowerShell verwenden. Um die Rolle mithilfe von Server-Manager zu installieren, wählen Sie die Rolle Windows Bereitstellungsdienste in Server-Manager aus.

Verwenden Sie den folgenden Befehl, um die Rolle mithilfe von Windows PowerShell zu installieren:

Install-WindowsFeature WDS-Deployment

Sie müssen den WDS-Server so konfigurieren, dass er mit DHCP (und optional AD DS) und dem Clientcomputer kommunizieren kann. Sie können die Konfiguration mithilfe des WDS-Verwaltungstools wdsmgmt.msc durchführen, das den Konfigurations-Assistenten für Windows Bereitstellungsdienste startet.

Vergewissern Sie sich, dass der WDS-Dienst ausgeführt wird

Um zu bestätigen, dass der WDS-Dienst ausgeführt wird, verwenden Sie die Dienstverwaltungskonsole oder Windows PowerShell. Um zu bestätigen, dass der Dienst in der Dienstverwaltungskonsole ausgeführt wird, öffnen Sie die Konsole mithilfe von "services.msc", und überprüfen Sie den Status des Windows-Bereitstellungsdiensts.

Verwenden Sie den folgenden Befehl, um zu bestätigen, dass der Dienst mithilfe von Windows PowerShell ausgeführt wird:

Get-Service WDSServer

Installieren des Netzwerkentsperrungsfeatures

Verwenden Sie zum Installieren des Netzwerkentsperrungsfeatures Server-Manager oder Windows PowerShell. Um das Feature mit Server-Manager zu installieren, wählen Sie das BitLocker-Netzwerkentsperrungsfeature in der Server-Manager Konsole aus.

Verwenden Sie den folgenden Befehl, um das Feature mithilfe von Windows PowerShell zu installieren:

Install-WindowsFeature BitLocker-NetworkUnlock

Erstellen der Zertifikatvorlage für die Netzwerkentsperrung

Eine ordnungsgemäß konfigurierte Zertifizierungsstelle für Active Directory-Dienste kann diese Zertifikatvorlage verwenden, um Zertifikate für die Netzwerkentsperrung zu erstellen und auszustellen.

  1. Öffnen Sie das Zertifikatvorlagen-Snap-In (certtmpl.msc).

  2. Suchen Sie die Vorlage "Benutzer", klicken Sie mit der rechten Maustaste auf den Vorlagennamen, und wählen Sie "Vorlage duplizieren" aus.

  3. Ändern Sie auf der Registerkarte "Kompatibilität" die Felder "Zertifizierungsstelle" und "Zertifikatempfänger" in Windows Server 2012 bzw. Windows 8. Stellen Sie sicher, dass das Dialogfeld "Resultierende Änderungen anzeigen " ausgewählt ist.

  4. Wählen Sie die Registerkarte " Allgemein " der Vorlage aus. Der Anzeigename der Vorlage und der Vorlagenname sollten eindeutig angeben, dass die Vorlage für die Netzwerkentsperrung verwendet wird. Deaktivieren Sie das Kontrollkästchen für die Option "Zertifikat in Active Directory veröffentlichen ".

  5. Wählen Sie die Registerkarte "Anforderungsbehandlung" aus. Wählen Sie im Dropdownmenü "Zweck" die Option "Verschlüsselung" aus. Stellen Sie sicher, dass die Option " Export des privaten Schlüssels zulassen " aktiviert ist.

  6. Wählen Sie die Registerkarte "Kryptografie " aus. Legen Sie die Minimale Schlüsselgröße auf 2048 fest. (Jeder Microsoft-Kryptografieanbieter, der RSA unterstützt, kann für diese Vorlage verwendet werden, aber aus Gründen der Einfachheit und Vorwärtskompatibilität empfehlen wir die Verwendung von Microsoft Software Key Storage Provider.)

  7. Wählen Sie die Option "Anforderungen muss einen der folgenden Anbieter verwenden" aus, und deaktivieren Sie alle Optionen mit Ausnahme des von Ihnen ausgewählten Kryptografieanbieters, z. B. Microsoft Software Key Storage Provider.

  8. Wählen Sie die Registerkarte "Betreffname " aus. Wählen Sie in der Anforderung "Bereitstellen" aus. Klicken Sie auf "OK ", wenn das Popupdialogfeld "Zertifikatvorlagen" angezeigt wird.

  9. Wählen Sie die Registerkarte "Ausstellungsanforderungen " aus. Wählen Sie sowohl die Genehmigung des Zertifizierungsstellen-Managers als auch die Option " Vorhandene Zertifikatoptionen gültig" aus.

  10. Wählen Sie die Registerkarte "Erweiterungen" aus . Wählen Sie "Anwendungsrichtlinien " und dann "Bearbeiten..." aus.

  11. Wählen Sie im Dialogfeld " Anwendungsrichtlinienerweiterungsoptionen bearbeiten " die Option "Clientauthentifizierung", " Dateisystem verschlüsseln" und "Sichere E-Mail" aus , und wählen Sie "Entfernen" aus.

  12. Wählen Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten die Option "Hinzufügen" aus.

  13. Wählen Sie im Dialogfeld "Anwendungsrichtlinie hinzufügen " die Option "Neu" aus. Geben Sie im Dialogfeld "Neue Anwendungsrichtlinie " die folgenden Informationen in den angegebenen Bereich ein, und klicken Sie dann auf "OK ", um die BitLocker-Netzwerksperrungs-Anwendungsrichtlinie zu erstellen:

    • Name: BitLocker-Netzwerkentsperrung
    • Objektbezeichner: 1.3.6.1.4.1.311.67.1.1
  14. Wählen Sie die neu erstellte BitLocker-Netzwerkentsperrungs-Anwendungsrichtlinie aus, und klicken Sie auf "OK".

  15. Wenn die Registerkarte "Erweiterungen " noch geöffnet ist, wählen Sie das Dialogfeld " Schlüsselverwendungserweiterung bearbeiten " aus. Wählen Sie die Option "Schlüsselaustausch nur mit Schlüsselverschlüsselung zulassen" (Schlüsselchiffrierung) aus. Wählen Sie die Option "Diese Erweiterung kritisch machen" aus.

  16. Wählen Sie die Registerkarte "Sicherheit" aus. Vergewissern Sie sich, dass der Gruppe "Domänenadministratoren" die Registrierungsberechtigung erteilt wurde.****

  17. Klicken Sie auf "OK ", um die Konfiguration der Vorlage abzuschließen.

Um die Vorlage "Netzwerkentsperrung" zur Zertifizierungsstelle hinzuzufügen, öffnen Sie das Snap-In der Zertifizierungsstelle (certsrv.msc). Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie dann "Neue Zertifikatvorlage" aus, die ausgestellt werden soll. Wählen Sie das zuvor erstellte BitLocker-Netzwerkentsperrungszertifikat aus.

Nachdem Sie der Zertifizierungsstelle die Vorlage "Netzwerksperre" hinzugefügt haben, können Sie dieses Zertifikat verwenden, um die BitLocker-Netzwerkentsperrung zu konfigurieren.

Erstellen des Netzwerkentsperrungszertifikats

Die Netzwerkentsperrung kann importierte Zertifikate aus einer vorhandenen Public Key-Infrastruktur (PKI) verwenden. Oder es kann ein selbstsigniertes Zertifikat verwendet werden.

So registrieren Sie ein Zertifikat von einer vorhandenen Zertifizierungsstelle

  1. Öffnen Sie auf dem WDS-Server den Zertifikat-Manager mithilfe certmgr.mscvon .

  2. Klicken Sie unter "Zertifikate – Aktueller Benutzer" mit der rechten Maustaste auf "Persönlich".

  3. Wählen Sie "Alle Aufgaben anfordern > neues Zertifikat" aus.

  4. Wenn der Zertifikatregistrierungs-Assistent geöffnet wird, wählen Sie "Weiter" aus.

  5. Wählen Sie die Active Directory-Registrierungsrichtlinie aus.

  6. Wählen Sie die Zertifikatvorlage aus, die für die Netzwerkentsperrung auf dem Domänencontroller erstellt wurde. Wählen Sie dann "Registrieren" aus.

  7. Wenn Sie zur Eingabe weiterer Informationen aufgefordert werden, wählen Sie "Antragstellername " aus, und geben Sie einen Anzeigenamenwert an. Ihr Anzeigename sollte Informationen für die Domäne oder Organisationseinheit für das Zertifikat enthalten. Hier ist ein Beispiel: BitLocker-Netzwerkentsperrungszertifikat für Contoso-Domäne.

  8. Erstellen Sie das Zertifikat. Stellen Sie sicher, dass das Zertifikat im Ordner "Persönlich" angezeigt wird.

  9. Exportieren Sie das Zertifikat für den öffentlichen Schlüssel für die Netzwerkentsperrung:

    1. Erstellen Sie eine CER-Datei, indem Sie mit der rechten Maustaste auf das zuvor erstellte Zertifikat klicken, "Alle Aufgaben" und dann " Exportieren" auswählen.
    2. Wählen Sie "Nein" aus, exportieren Sie den privaten Schlüssel nicht.
    3. Wählen Sie DER-codierte Binärdatei X.509 aus, und führen Sie den Export des Zertifikats in eine Datei aus.
    4. Geben Sie der Datei einen Namen, z. B. BitLocker-NetworkUnlock.cer.
  10. Exportieren Sie den öffentlichen Schlüssel mit einem privaten Schlüssel für die Netzwerkentsperrung.

    1. Erstellen Sie eine PFX-Datei, indem Sie mit der rechten Maustaste auf das zuvor erstellte Zertifikat klicken, "Alle Aufgaben" und dann " Exportieren" auswählen.
    2. Wählen Sie Ja, privaten Schlüssel exportierenaus.
    3. Führen Sie die Schritte zum Erstellen der PFX-Datei aus.

Verwenden Sie zum Erstellen eines selbstsignierten Zertifikats entweder das New-SelfSignedCertificate Cmdlet in Windows PowerShell oder verwenden Sie certreq.

Hier ist ein Windows PowerShell Beispiel:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

Hier ist ein certreq Beispiel:

  1. Erstellen Sie eine Textdatei mit der Erweiterung ".inf", z. B. notepad.exe BitLocker-NetworkUnlock.inf.

  2. Fügen Sie der zuvor erstellten Datei den folgenden Inhalt hinzu:

    [NewRequest]
    Subject="CN=BitLocker Network Unlock certificate"
    ProviderType=0
    MachineKeySet=True
    Exportable=true
    RequestType=Cert
    KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
    KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
    KeyLength=2048
    SMIME=FALSE
    HashAlgorithm=sha512
    [Extensions]
    1.3.6.1.4.1.311.21.10 = "{text}"
    _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
    2.5.29.37 = "{text}"
    _continue_ = "1.3.6.1.4.1.311.67.1.1"
    
  3. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und verwenden Sie das certreq Tool, um ein neues Zertifikat zu erstellen. Verwenden Sie den folgenden Befehl, und geben Sie den vollständigen Pfad zu der zuvor erstellten Datei an. Geben Sie auch den Dateinamen an.

    certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
    
  4. Stellen Sie sicher, dass das Zertifikat mit dem vorherigen Befehl ordnungsgemäß erstellt wurde, indem Sie bestätigen, dass die CER-Datei vorhanden ist.

  5. Starten Sie Zertifikate – lokaler Computer, indem Sie "certlm.msc" ausführen.

  6. Erstellen Sie eine PFX-Datei, indem Sie den Pfad "Zertifikate – Lokaler Computer\Personal\Zertifikate " im Navigationsbereich öffnen, mit der rechten Maustaste auf das zuvor importierte Zertifikat klicken, "Alle Aufgaben" auswählen und dann " Exportieren" auswählen. Führen Sie den Assistenten aus, um die PFX-Datei zu erstellen.

Bereitstellen des privaten Schlüssels und Zertifikats auf dem WDS-Server

Nachdem Sie das Zertifikat und den Schlüssel erstellt haben, stellen Sie es in der Infrastruktur bereit, um Systeme ordnungsgemäß zu entsperren. So stellen Sie die Zertifikate bereit:

  1. Öffnen Sie auf dem WDS-Server ein neues MMC, und fügen Sie das Zertifikat-Snap-In hinzu. Wählen Sie das Computerkonto und den lokalen Computer aus, wenn Sie die Optionen angegeben haben.
  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat (lokaler Computer) – BitLocker Drive Encryption Network Unlock-Element –, wählen Sie "Alle Aufgaben" und dann " Importieren" aus.
  3. Wählen Sie im Dialogfeld "Zu importierenden Datei " die zuvor erstellte PFX-Datei aus.
  4. Geben Sie das Kennwort ein, das zum Erstellen der PFX-Datei verwendet wird, und schließen Sie den Assistenten ab.

Konfigurieren von Gruppenrichtlinieneinstellungen für die Netzwerkentsperrung

Wenn Zertifikat und Schlüssel auf dem WDS-Server für die Netzwerkentsperrung bereitgestellt werden, besteht der letzte Schritt darin, Gruppenrichtlinieneinstellungen zu verwenden, um das Zertifikat für öffentliche Schlüssel auf Computern bereitzustellen, die Sie mithilfe des Netzwerkentsperrungsschlüssels entsperren möchten. Gruppenrichtlinieneinstellungen für BitLocker finden Sie unter \Computerkonfiguration\Administrative Vorlagen\Windows Komponenten\BitLocker-Laufwerkverschlüsselung mithilfe des Editors für lokale Gruppenrichtlinie oder der Microsoft-Verwaltungskonsole.

In den folgenden Schritten wird beschrieben, wie Sie die Gruppenrichtlinieneinstellung aktivieren, die zum Konfigurieren der Netzwerkentsperrung erforderlich ist.

  1. Öffnen Sie Gruppenrichtlinie Verwaltungskonsole (gpmc.msc).
  2. Aktivieren Sie die Richtlinie "Zusätzliche Authentifizierung beim Start anfordern", und wählen Sie dann " Start-PIN mit TPM anfordern " oder "Start-PIN mit TPM zulassen" aus.
  3. Aktivieren Sie BitLocker mit TPM+PIN-Schutz auf allen in die Domäne eingebundenen Computern.

In den folgenden Schritten wird beschrieben, wie die erforderliche Gruppenrichtlinieneinstellung bereitgestellt wird:

Hinweis

Die Gruppenrichtlinieneinstellungen "Netzwerkentsperrung beim Start zulassen" und "Netzwerkentsperrungszertifikat hinzufügen" wurden in Windows Server 2012 eingeführt.

  1. Kopieren Sie die CER-Datei , die Sie für die Netzwerkentsperrung erstellt haben, auf den Domänencontroller.

  2. Öffnen Sie auf dem Domänencontroller Gruppenrichtlinie Verwaltungskonsole (gpmc.msc).

  3. Erstellen Sie ein neues Gruppenrichtlinie-Objekt, oder ändern Sie ein vorhandenes Objekt, um die Netzwerkentsperrung beim Start zu aktivieren.

  4. Bereitstellen des öffentlichen Zertifikats auf Clients:

    1. Navigieren Sie in der Gruppenrichtlinien-Verwaltungskonsole zum folgenden Speicherort: Computerkonfiguration\Richtlinien\Windows Einstellungen\Sicherheits-Einstellungen\Public Key Policies\BitLocker Drive Encryption Network Unlock Certificate.
    2. Klicken Sie mit der rechten Maustaste auf den Ordner, und wählen Sie "Netzwerkentsperrungszertifikat hinzufügen" aus.
    3. Führen Sie die Schritte des Assistenten aus, und importieren Sie die CER-Datei, die zuvor kopiert wurde.

    Hinweis

    Es kann jeweils nur ein Zertifikat zur Netzwerkentsperrung verfügbar sein. Wenn Sie ein neues Zertifikat benötigen, löschen Sie das aktuelle Zertifikat, bevor Sie ein neues Zertifikat bereitstellen. Das Zertifikat für die Netzwerkentsperrung befindet sich im Schlüssel "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP " auf dem Clientcomputer.

  5. Starten Sie die Clients neu, nachdem Sie die Gruppenrichtlinie bereitgestellt haben.

    Hinweis

    Die Netzwerkschutzkomponente (zertifikatbasiert) wird erst nach einem Neustart hinzugefügt, wobei die Richtlinie aktiviert ist und ein gültiges Zertifikat im FVE_NKP Speicher vorhanden ist.

Subnetzrichtlinienkonfigurationsdateien auf dem WDS-Server (optional)

Standardmäßig werden alle Clients mit dem richtigen Netzwerkentsperrungszertifikat und gültigen Netzwerkentsperrungsschutzkomponenten, die über DHCP über kabelgebundenen Zugriff auf einen WDS-Server mit Netzwerkentsperrung verfügen, vom Server entsperrt. Eine Subnetzrichtlinienkonfigurationsdatei auf dem WDS-Server kann erstellt werden, um zu begrenzen, welche Subnetze die Netzwerkentsperrungsclients zum Entsperren verwenden können.

Die Konfigurationsdatei, bde-network-unlock.ini genannt wird, muss sich im selben Verzeichnis wie die DLL des Netzwerkentsperrungsanbieters (%windir%\System32\Nkpprov.dll) befinden und gilt sowohl für IPv6- als auch für IPv4-DHCP-Implementierungen. Wenn die Subnetzkonfigurationsrichtlinie beschädigt wird, schlägt der Anbieter fehl und reagiert nicht mehr auf Anforderungen.

Die Konfigurationsdatei der Subnetzrichtlinie muss einen Abschnitt "[SUBNETS]" verwenden, um die spezifischen Subnetze zu identifizieren. Die benannten Subnetze können dann verwendet werden, um Einschränkungen in Zertifikatunterabschnitten anzugeben. Subnetze werden als einfache Name-Wert-Paare im allgemeinen INI-Format definiert, wobei jedes Subnetz über eine eigene Zeile mit dem Namen links neben dem Gleichheitszeichen und das Subnetz auf der rechten Seite des Gleichheitszeichens als CIDR-Adresse oder -Bereich (Classless Inter-Domain Routing) identifiziert wird. Das Schlüsselwort "ENABLED" ist für Subnetznamen unzulässig.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

Im Anschluss an den Abschnitt [SUBNETZE] kann es Abschnitte für jedes Netzwerkentsperrungszertifikat geben, die durch den Zertifikatfingerabdruck identifiziert werden, der ohne Leerzeichen formatiert ist und die Subnetzclients definiert, die von diesem Zertifikat entsperrt werden können.

Hinweis

Geben Sie beim Angeben des Zertifikatfingerabdrucks keine Leerzeichen an. Wenn Leerzeichen im Fingerabdruck enthalten sind, schlägt die Subnetzkonfiguration fehl, da der Fingerabdruck nicht als gültig erkannt wird.

Subnetzbeschränkungen werden innerhalb jedes Zertifikatabschnitts definiert, indem die liste der zulässigen Subnetze angegeben wird. Wenn Subnetze in einem Zertifikatabschnitt aufgeführt sind, sind nur diese Subnetze für dieses Zertifikat zulässig. Wenn kein Subnetz in einem Zertifikatabschnitt aufgeführt ist, sind alle Subnetze für dieses Zertifikat zulässig. Wenn ein Zertifikat keinen Abschnitt in der Konfigurationsdatei für Subnetzrichtlinien enthält, werden keine Subnetzeinschränkungen für die Entsperrung mit diesem Zertifikat angewendet. Dies bedeutet, dass einschränkungen für jedes Zertifikat gelten müssen, es muss einen Zertifikatabschnitt für jedes Zertifikat zur Netzwerkentsperrung auf dem Server und eine explizite zulässige Liste für jeden Zertifikatabschnitt geben. Subnetzlisten werden erstellt, indem der Name eines Subnetzes aus dem Abschnitt [SUBNETS] in einer eigenen Zeile unterhalb des Zertifikatabschnittsheaders gespeichert wird. Anschließend entsperrt der Server nur Clients mit diesem Zertifikat in den Subnetzen, die in der Liste angegeben sind. Zur Problembehandlung kann ein Subnetz schnell ausgeschlossen werden, ohne es aus dem Abschnitt zu löschen, indem es einfach mit einem vorangestellten Semikolon auskommentiert wird.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Um die Verwendung eines Zertifikats vollständig zu verbieten, fügen Sie seiner Subnetzliste eine DISABLED Zeile hinzu.

Deaktivieren der Netzwerkentsperrung

Um den Entsperrserver zu deaktivieren, kann die Registrierung des PXE-Anbieters vom WDS-Server aufgehoben oder vollständig deinstalliert werden. Um jedoch zu verhindern, dass Clients Schutzvorrichtungen für die Netzwerkentsperrung erstellen, sollte die Gruppenrichtlinieneinstellung " Netzwerkentsperrung beim Start zulassen" deaktiviert sein. Wenn diese Richtlinieneinstellung auf Clientcomputern auf deaktiviert aktualisiert wird, wird jede Netzwerkentsperrungsschlüsselschutzvorrichtung auf dem Computer gelöscht. Alternativ kann die BitLocker-Netzwerkentsperrungszertifikatsrichtlinie auf dem Domänencontroller gelöscht werden, um dieselbe Aufgabe für eine gesamte Domäne auszuführen.

Hinweis

Durch das Entfernen des FVE_NKP Zertifikatspeichers, der das Zertifikat und den Schlüssel für die Netzwerkentsperrung auf dem WDS-Server enthält, wird auch die Möglichkeit des Servers, auf Entsperrungsanforderungen für dieses Zertifikat zu reagieren, effektiv deaktiviert. Dies wird jedoch als Fehlerbedingung angesehen und ist keine unterstützte oder empfohlene Methode zum Deaktivieren des Netzwerkentsperrungsservers.

Aktualisieren von Zertifikaten für die Netzwerkentsperrung

Um die von der Netzwerkentsperrung verwendeten Zertifikate zu aktualisieren, müssen Administratoren das neue Zertifikat für den Server importieren oder generieren und dann die Gruppenrichtlinieneinstellung für die Netzwerkentsperrung des Zertifikats auf dem Domänencontroller aktualisieren.

Hinweis

Server, die das Gruppenrichtlinie-Objekt (GPO) nicht empfangen, benötigen beim Starten eine PIN. Ermitteln Sie in solchen Fällen, warum der Server das Gruppenrichtlinienobjekt nicht zum Aktualisieren des Zertifikats erhalten hat.

Problembehandlung bei der Netzwerkentsperrung

Die Problembehandlung bei der Netzwerkentsperrung beginnt mit der Überprüfung der Umgebung. Häufig kann ein kleines Konfigurationsproblem die Ursache für den Fehler sein. Zu überprüfenden Elementen gehören:

  • Stellen Sie sicher, dass die Clienthardware UEFI-basiert und auf Firmwareversion 2.3.1 basiert und dass sich die UEFI-Firmware im nativen Modus befindet, ohne dass ein Compatibility Support Module (CSM) für den BIOS-Modus aktiviert ist. Überprüfen Sie hierzu, ob für die Firmware keine Option wie "Legacymodus" oder "Kompatibilitätsmodus" aktiviert ist oder dass sich die Firmware nicht in einem BIOS-ähnlichen Modus befindet.

  • Alle erforderlichen Rollen und Dienste werden installiert und gestartet.

  • Öffentliche und private Zertifikate wurden veröffentlicht und befinden sich in den richtigen Zertifikatcontainern. Das Vorhandensein des Zertifikats für die Netzwerkentsperrung kann in der Microsoft Management Console (MMC.exe) auf dem WDS-Server überprüft werden, wobei die Zertifikat-Snap-Ins für den lokalen Computer aktiviert sind. Das Clientzertifikat kann überprüft werden, indem der Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP auf dem Clientcomputer überprüft wird.

  • Die Gruppenrichtlinie für die Netzwerkentsperrung ist aktiviert und mit den entsprechenden Domänen verknüpft.

  • Überprüfen Sie, ob die Gruppenrichtlinie die Clients ordnungsgemäß erreicht. Dies kann mithilfe der Hilfsprogramme GPRESULT.exe oder RSOP.msc erfolgen.

  • Überprüfen Sie, ob die Clients nach dem Anwenden der Richtlinie neu gestartet wurden.

  • Überprüfen Sie, ob der Netzwerkschutz (zertifikatbasiert) auf dem Client aufgeführt ist. Dies kann entweder mithilfe von manage-bde- oder Windows PowerShell-Cmdlets erfolgen. Der folgende Befehl listet beispielsweise die Schlüsselschutzvorrichtungen auf, die derzeit auf dem Laufwerk C: des lokalen Computers konfiguriert sind:

    manage-bde -protectors -get C:
    

    Hinweis

    Verwenden Sie die Ausgabe zusammen manage-bde mit dem WDS-Debugprotokoll, um zu ermitteln, ob der richtige Zertifikatfingerabdruck für die Netzwerkentsperrung verwendet wird.

Sammeln Sie die folgenden Dateien, um probleme mit der BitLocker-Netzwerkentsperrung zu beheben.

  • Die Windows Ereignisprotokolle. Rufen Sie insbesondere die BitLocker-Ereignisprotokolle und das Microsoft-Windows-Deployment-Services-Diagnostics-Debug-Protokoll ab.

    Die Debugprotokollierung ist für die WDS-Serverrolle standardmäßig deaktiviert, daher müssen Sie sie aktivieren, bevor Sie sie abrufen können. Verwenden Sie eine der folgenden beiden Methoden, um die WDS-Debugprotokollierung zu aktivieren.

    • Starten Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie dann den folgenden Befehl aus:

      wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      
    • Öffnen Sie Ereignisanzeige auf dem WDS-Server:

    1. Wählen Sie im linken Bereich "Applications and Services Logs > Microsoft > Windows > Deployment-Services-Diagnostics > Debug" aus.
    2. Wählen Sie im rechten Bereich " Protokoll aktivieren" aus.
  • Die DHCP-Subnetzkonfigurationsdatei (sofern vorhanden).

  • Die Ausgabe des BitLocker-Status auf dem Volume. Sammeln Sie diese Ausgabe in einer Textdatei mithilfe manage-bde -statusvon . Oder verwenden Sie Get-BitLockerVolumein Windows PowerShell .

  • Die Netzwerküberwachungserfassung auf dem Server, auf dem die WDS-Rolle gehostet wird, gefiltert nach Client-IP-Adresse.

Konfigurieren von Einstellungen für die Netzwerkentsperrung Gruppenrichtlinie in früheren Versionen

Die Netzwerkentsperrung und die zugehörigen Gruppenrichtlinie-Einstellungen wurden in Windows Server 2012 eingeführt. Sie können sie jedoch mithilfe von Betriebssystemen bereitstellen, die Windows Server 2008 R2 und Windows Server 2008 ausführen.

Ihr System muss die folgenden Anforderungen erfüllen:

  • Auf dem Server, auf dem WDS gehostet wird, muss ein Serverbetriebssystem ausgeführt werden, das am Anfang dieses Artikels in der Liste "Gilt für" angegeben ist.
  • Clientcomputer müssen ein Clientbetriebssystem ausführen, das am Anfang dieses Artikels in der Liste "Gilt für" angegeben ist.

Führen Sie die folgenden Schritte aus, um die Netzwerkentsperrung auf diesen älteren Systemen zu konfigurieren.

  1. Installieren der WDS-Serverrolle

  2. Vergewissern Sie sich, dass der WDS-Dienst ausgeführt wird

  3. Installieren des Netzwerkentsperrungsfeatures

  4. Erstellen des Netzwerkentsperrungszertifikats

  5. Bereitstellen des privaten Schlüssels und Zertifikats auf dem WDS-Server

  6. Konfigurieren von Registrierungseinstellungen für die Netzwerkentsperrung:

    Wenden Sie die Registrierungseinstellungen an, indem Sie auf jedem Computer, auf dem ein Clientbetriebssystem ausgeführt wird, das in der Liste "Gilt für" am Anfang dieses Artikels festgelegt ist, das folgende certutil Skript ausführen (vorausgesetzt, Ihre Zertifikatdatei für die Netzwerkentsperrung heißt BitLocker-NetworkUnlock.cer).

            certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
    
  7. Richten Sie eine TPM-Schutzkomponente auf den Clients ein.

  8. Starten Sie die Clients neu, um die Netzwerkschutzkomponente (zertifikatbasiert) hinzuzufügen.

Weitere Informationen