Desbloqueo de red

Desbloqueo de red es un protector de clave de BitLocker para volúmenes de sistema operativo. El desbloqueo de red permite una administración más sencilla para los servidores y escritorios habilitados para BitLocker en un entorno de dominio al proporcionar desbloqueo automático de los volúmenes del sistema operativo al reiniciar el sistema cuando se conecta a una red corporativa cableada. El desbloqueo de red requiere que el hardware del cliente tenga un controlador DHCP implementado en su firmware UEFI. Sin desbloqueo de red, los volúmenes del sistema operativo protegidos por TPM+PIN protectores requieren que se escriba un PIN cuando un dispositivo se reinicie o se reanude de la hibernación (por ejemplo, mediante Wake on LAN). Requerir un PIN después de un reinicio puede dificultar a las empresas implementar revisiones de software en escritorios desatendidos y servidores administrados de forma remota.

Desbloqueo de red permite que los sistemas habilitados para BitLocker que tengan y TPM+PIN cumplan los requisitos de hardware arranquen en Windows sin intervención del usuario. Network Unlock funciona de forma similar a en el TPM+StartupKey arranque. Sin embargo, en lugar de tener que leer startupKey desde un medio USB, la característica Desbloqueo de red necesita que la clave se compona a partir de una clave almacenada en el TPM y una clave de red cifrada que se envía al servidor, se descifra y se devuelve al cliente en una sesión segura.

Requisitos del sistema

El desbloqueo de red debe cumplir los requisitos obligatorios de hardware y software antes de que la característica pueda desbloquear automáticamente sistemas unidos a un dominio. Estos requisitos incluyen:

  • Cualquier sistema operativo compatible con controladores DHCP UEFI que puedan servir como clientes de desbloqueo de red
  • Desbloqueo de red de clientes con un chip TPM y al menos un protector de TPM
  • Servidor que ejecuta el rol servicios de implementación de Windows (WDS) en cualquier sistema operativo de servidor compatible
  • Característica opcional de desbloqueo de red de BitLocker instalada en cualquier sistema operativo de servidor compatible
  • Un servidor DHCP, independiente del servidor WDS
  • Emparejamiento de claves públicas y privadas configuradas correctamente
  • Configuración de directiva de grupo de desbloqueo de red
  • Pila de red habilitada en el firmware UEFI de los dispositivos cliente

Importante

Para admitir DHCP dentro de UEFI, el sistema basado en UEFI debe estar en modo nativo y no debe tener habilitado un módulo de compatibilidad (CSM).

Para que el desbloqueo de red funcione de forma confiable, el primer adaptador de red del dispositivo, normalmente el adaptador incorporado, debe configurarse para admitir DHCP. Este primer adaptador de red debe usarse para el desbloqueo de red. Esta configuración merece especialmente la pena tener en cuenta cuando el dispositivo tiene varios adaptadores y algunos adaptadores se configuran sin DHCP, como para su uso con un protocolo de administración de luces apagadas. Esta configuración es necesaria porque desbloqueo de red deja de enumerar adaptadores cuando llega a uno con un error de puerto DHCP por cualquier motivo. Por lo tanto, si el primer adaptador enumerado no admite DHCP, no está conectado a la red o no notifica la disponibilidad del puerto DHCP por cualquier motivo, se produce un error en el desbloqueo de red.

El componente de servidor Desbloqueo de red se instala en las versiones compatibles de Windows Server como una característica de Windows que usa cmdlets de Administrador del servidor o Windows PowerShell. El nombre de la característica está BitLocker Network Unlock en Administrador del servidor y BitLocker-NetworkUnlock en PowerShell.

El desbloqueo de red requiere Servicios de implementación de Windows (WDS) en el entorno donde se usará la característica. No se requiere la configuración de la instalación de WDS. Sin embargo, el servicio WDS debe ejecutarse en el servidor.

La clave de red se almacena en la unidad del sistema junto con una clave de sesión AES 256 y se cifra con la clave pública RSA de 2048 bits del certificado de servidor de desbloqueo. La clave de red se descifra con la ayuda de un proveedor en una versión compatible de Windows Server que ejecuta WDS y se devuelve cifrada con su clave de sesión correspondiente.

Secuencia de desbloqueo de red

La secuencia de desbloqueo se inicia en el lado cliente cuando el administrador de arranque de Windows detecta la existencia del protector de desbloqueo de red. Usa el controlador DHCP en UEFI para obtener una dirección IP para IPv4 y, a continuación, difunde una solicitud DHCP específica del proveedor que contiene la clave de red y una clave de sesión para la respuesta, todo cifrado por el certificado de desbloqueo de red del servidor. El proveedor de desbloqueo de red del servidor WDS compatible reconoce la solicitud específica del proveedor, la descifra con la clave privada RSA y devuelve la clave de red cifrada con la clave de sesión a través de su propia respuesta DHCP específica del proveedor.

En el lado servidor, el rol de servidor WDS tiene un componente de complemento opcional, como un proveedor PXE, que es lo que controla las solicitudes de desbloqueo de red entrantes. El proveedor también se puede configurar con restricciones de subred, lo que requeriría que la dirección IP proporcionada por el cliente en la solicitud de desbloqueo de red pertenezca a una subred permitida para liberar la clave de red al cliente. En los casos en los que el proveedor de desbloqueo de red no está disponible, BitLocker conmuta por error al siguiente protector disponible para desbloquear la unidad. En una configuración típica, se presenta la pantalla de desbloqueo estándar TPM+PIN para desbloquear la unidad.

La configuración del lado servidor para habilitar el desbloqueo de red también requiere el aprovisionamiento de un par de claves públicas y privadas RSA de 2048 bits en forma de certificado X.509 y la distribución del certificado de clave pública a los clientes. Este certificado es la clave pública que cifra la clave de red intermedia (que es uno de los dos secretos necesarios para desbloquear la unidad; el otro secreto se almacena en el TPM) y debe administrarse e implementarse a través de directiva de grupo.

El proceso de desbloqueo de red sigue estas fases:

  1. El administrador de arranque de Windows detecta un protector de desbloqueo de red en la configuración de BitLocker.
  2. El equipo cliente usa su controlador DHCP en UEFI para obtener una dirección IP IPv4 válida.
  3. El equipo cliente difunde una solicitud DHCP específica del proveedor que contiene una clave de red (una clave intermedia de 256 bits) y una clave de sesión AES-256 para la respuesta. La clave de red se cifra mediante la clave pública RSA de 2048 bits del certificado de desbloqueo de red desde el servidor WDS.
  4. El proveedor de desbloqueo de red en el servidor WDS reconoce la solicitud específica del proveedor.
  5. El proveedor descifra la solicitud mediante la clave privada RSA del certificado de desbloqueo de red de BitLocker del servidor WDS.
  6. El proveedor WDS devuelve la clave de red cifrada con la clave de sesión mediante su propia respuesta DHCP específica del proveedor al equipo cliente. Esta clave es una clave intermedia
  7. La clave intermedia devuelta se combina con otra clave intermedia local de 256 bits. Esta clave solo se puede descifrar mediante el TPM.
  8. Esta clave combinada se usa para crear una clave AES-256 que desbloquea el volumen.
  9. Windows continúa con la secuencia de arranque

Diagrama de la secuencia de desbloqueo de red.

Configurar desbloqueo en red

Los pasos siguientes permiten a un administrador configurar el desbloqueo de red en un dominio de Active Directory.

Instalación del rol de servidor WDS

La característica Desbloqueo de red de BitLocker instala el rol WDS si aún no está instalado. WDS se puede instalar por separado, antes de instalar el desbloqueo de red de BitLocker, mediante Administrador del servidor o PowerShell. Para instalar el rol mediante Administrador del servidor, seleccione el rol Servicios de implementación de Windows en Administrador del servidor.

Para instalar el rol mediante PowerShell, use el siguiente comando:

Install-WindowsFeature WDS-Deployment

El servidor WDS debe configurarse para que pueda comunicarse con DHCP (y, opcionalmente, AD DS) y el equipo cliente. El servidor WDS se puede configurar mediante la herramienta de administración WDS, wdsmgmt.msc, que inicia el Asistente para configuración de Servicios de implementación de Windows.

Confirmación de que el servicio WDS se está ejecutando

Para confirmar que el servicio WDS se está ejecutando, use la Consola de administración de servicios o PowerShell. Para confirmar que el servicio se ejecuta en la Consola de administración de servicios, abra la consola mediante services.msc y compruebe el estado del servicio Servicios de implementación de Windows .

Para confirmar que el servicio se ejecuta mediante PowerShell, use el siguiente comando:

Get-Service WDSServer

Instalación de la característica Desbloqueo de red

Para instalar la característica Desbloqueo de red, use Administrador del servidor o PowerShell. Para instalar la característica mediante Administrador del servidor, seleccione la característica Desbloqueo de red de BitLocker en la consola de Administrador del servidor.

Para instalar la característica mediante PowerShell, use el siguiente comando:

Install-WindowsFeature BitLocker-NetworkUnlock

Creación de la plantilla de certificado para desbloqueo de red

Una entidad de certificación de Active Directory configurada correctamente puede usar esta plantilla de certificado para crear y emitir certificados de desbloqueo de red.

  1. Abra el complemento Plantilla de certificados (certtmpl.msc)

  2. Busque la plantilla De usuario, haga clic con el botón derecho en el nombre de la plantilla y seleccione Plantilla duplicada.

  3. En la pestaña Compatibilidad, cambie los campos Entidad de certificación y Destinatario de certificado a Windows Server 2016 y Windows 10, respectivamente. Asegúrese de que el cuadro de diálogo Mostrar cambios resultantes está seleccionado

  4. Seleccione la pestaña General de la plantilla. El nombre para mostrar de la plantilla y el nombre de la plantilla deben identificar que la plantilla se usará para el desbloqueo de red. Desactive la casilla de la opción Publicar certificado en Active Directory .

  5. Seleccione la pestaña Control de solicitudes . Seleccione Cifrado en el menú desplegable Propósito . Asegúrese de que la opción Permitir exportación de clave privada esté seleccionada.

  6. Seleccione la pestaña Criptografía . Establezca el tamaño mínimo de la clave en 2048. Cualquier proveedor criptográfico de Microsoft que admita RSA se puede usar para esta plantilla, pero por motivos de simplicidad y compatibilidad directa, se recomienda usar el proveedor de almacenamiento de claves de software de Microsoft.

  7. Seleccione la opción Solicitudes debe usar uno de los siguientes proveedores y borrar todas las opciones excepto el proveedor de criptografía seleccionado, como el proveedor de almacenamiento de claves de software de Microsoft.

  8. Seleccione la pestaña Nombre del firmante . Seleccione Suministrar en la solicitud. Seleccione Aceptar si aparece el cuadro de diálogo emergente plantillas de certificado.

  9. Seleccione la pestaña Requisitos de emisión. Seleccione tanto la aprobación del administrador de certificados de CA como las opciones de certificado existente válido

  10. Seleccione la pestaña Extensiones . Seleccione Directivas de aplicación y elija Editar...

  11. En el cuadro de diálogo Editar extensión de directivas de aplicación, seleccione Autenticación de cliente, Sistema de cifrado de archivos y Protección Email y elija Quitar.

  12. En el cuadro de diálogo Editar extensión de directivas de aplicación, seleccione Agregar.

  13. En el cuadro de diálogo Agregar directiva de aplicación , seleccione Nuevo. En el cuadro de diálogo Nueva directiva de aplicación , escriba la siguiente información en el espacio proporcionado y, a continuación, seleccione Aceptar para crear la directiva de aplicación Desbloqueo de red de BitLocker:

    • Nombre:Desbloqueo de red de BitLocker
    • Identificador de objeto:1.3.6.1.4.1.311.67.1.1

  14. Seleccione la directiva de aplicación de desbloqueo de red de BitLocker recién creada y seleccione Aceptar.

  15. Con la pestaña Extensiones todavía abierta, seleccione el cuadro de diálogo Editar extensión de uso de clave . Seleccione la opción Permitir intercambio de claves solo con cifrado de claves (cifrado de claves). Seleccione la opción Hacer que esta extensión sea crítica.

  16. Seleccione la pestaña Seguridad. Confirmación de que se ha concedido permiso de inscripción al grupo Administradores de dominio

  17. Seleccione Aceptar para completar la configuración de la plantilla.

Para agregar la plantilla Desbloqueo de red a la entidad de certificación, abra el complemento de entidad de certificación (certsrv.msc). Haga clic con el botón derecho en Plantillas de certificado y, a continuación , elija Nuevo, Plantilla de certificado que se va a emitir. Seleccione el certificado de desbloqueo de red de BitLocker creado anteriormente.

Una vez agregada la plantilla Desbloqueo de red a la entidad de certificación, este certificado se puede usar para configurar el desbloqueo de red de BitLocker.

Creación del certificado de desbloqueo de red

Network Unlock puede usar certificados importados de una infraestructura de clave pública (PKI) existente. O bien, puede usar un certificado autofirmado.

Para inscribir un certificado de una entidad de certificación existente:

  1. En el servidor WDS, abra el Administrador de certificados mediante certmgr.msc
  2. En Certificados: usuario actual, haga clic con el botón derecho en Personal.
  3. Seleccionar todas las tareas>Solicitar nuevo certificado
  4. Cuando se abra el Asistente para inscripción de certificados, seleccione Siguiente.
  5. Seleccione Directiva de inscripción de Active Directory.
  6. Elija la plantilla de certificado que se creó para Desbloqueo de red en el controlador de dominio. A continuación, seleccione Inscribir.
  7. Cuando se le pida más información, seleccione Nombre del firmante y proporcione un valor de nombre descriptivo. El nombre descriptivo debe incluir información para el dominio o unidad organizativa para el certificado Por ejemplo: Certificado de desbloqueo de red de BitLocker para el dominio de Contoso
  8. Cree el certificado. Asegúrese de que el certificado aparece en la carpeta Personal .
  9. Exporte el certificado de clave pública para desbloqueo de red:
    1. Cree un .cer archivo haciendo clic con el botón derecho en el certificado creado anteriormente, seleccionando Todas las tareas y, a continuación, seleccionando Exportar.
    2. Seleccione No, no exporte la clave privada.
    3. Seleccione ELR binario codificado X.509 y complete la exportación del certificado a un archivo.
    4. Asigne al archivo un nombre como BitLocker-NetworkUnlock.cer
  10. Exportación de la clave pública con una clave privada para desbloqueo de red
    1. Cree un .pfx archivo haciendo clic con el botón derecho en el certificado creado anteriormente, seleccionando Todas las tareas y, a continuación, seleccionando Exportar.
    2. Seleccione Sí, exporte la clave privada.
    3. Complete los pasos para crear el archivo..pfx

Para crear un certificado autofirmado, use el New-SelfSignedCertificate cmdlet en Windows PowerShell o use certreq.exe. Por ejemplo:

PowerShell

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe

  1. Cree un archivo de texto con una .inf extensión, por ejemplo:

    notepad.exe BitLocker-NetworkUnlock.inf

  2. Agregue el siguiente contenido al archivo creado anteriormente:

    [NewRequest]
Subject="CN=BitLocker Network Unlock certificate"
ProviderType=0
MachineKeySet=True
Exportable=true
RequestType=Cert
KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
KeyLength=2048
SMIME=FALSE
HashAlgorithm=sha512
[Extensions]
1.3.6.1.4.1.311.21.10 = "{text}"
_continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
2.5.29.37 = "{text}"
_continue_ = "1.3.6.1.4.1.311.67.1.1"

  3. Abra un símbolo del sistema con privilegios elevados y use la certreq.exe herramienta para crear un nuevo certificado. Use el siguiente comando, especificando la ruta de acceso completa al archivo que se creó anteriormente junto con el nombre de archivo:

    certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer

  4. Compruebe que el comando anterior creó correctamente el certificado confirmando que el .cer archivo existe.

  5. Inicie la consola certificados- equipo local mediante la ejecución de certlm.msc

  6. Cree un .pfx archivo siguiendo los pasos siguientes en la consola Certificados- Equipo local :

    1. Vaya a Certificados:Certificadospersonales>de equipo> local
    2. Haga clic con el botón derecho en el certificado importado anteriormente, seleccione Todas las tareas y, a continuación, seleccione Exportar.
    3. Siga el asistente para crear el .pfx archivo.

Implementación de la clave privada y el certificado en el servidor WDS

Después de crear el certificado y la clave, impleméntelos en la infraestructura para desbloquear correctamente los sistemas. Para implementar los certificados:

  1. En el servidor WDS, inicie la consola Certificados- Equipo local mediante la ejecución de certlm.msc
  2. Haga clic con el botón derecho en el elemento Desbloqueo de red de cifrado de unidad BitLocker en Certificados (equipo local), seleccione Todas las tareas y, a continuación, seleccione Importar.
  3. En el cuadro de diálogo Archivo para importar , elija el .pfx archivo creado anteriormente.
  4. Escriba la contraseña usada para crear .pfx y completar el asistente.

Configuración de la directiva de grupo para desbloqueo de red

Con el certificado y la clave implementados en el servidor WDS para desbloqueo de red, el paso final es usar la configuración de directiva de grupo para implementar el certificado de clave pública en los equipos deseados que usarán la clave de desbloqueo de red para desbloquear. La configuración de directiva de grupo de BitLocker se puede encontrar en Configuración >del equipoPlantillas> administrativasComponentes> de WindowsCifrado de unidad BitLocker mediante la directiva de grupo Editor local o la Consola de administración de Microsoft.

En los pasos siguientes se describe cómo habilitar la configuración de directiva de grupo que es un requisito para configurar el desbloqueo de red.

  1. Abrir directiva de grupo Consola de administración (gpmc.msc)
  2. Habilite la directiva Requerir autenticación adicional en el inicio y, a continuación, seleccione Requerir PIN de inicio con TPM o Permitir PIN de inicio con TPM.
  3. Activar BitLocker con protectores TPM+PIN en todos los equipos unidos a un dominio

En los pasos siguientes se describe cómo implementar la configuración de directiva de grupo necesaria:

  1. Copie el .cer archivo que se creó para desbloqueo de red en el controlador de dominio.

  2. En el controlador de dominio, abra directiva de grupo Consola de administración (gpmc.msc)

  3. Cree un nuevo objeto directiva de grupo o modifique un objeto existente para habilitar la configuración Permitir desbloqueo de red al iniciar

  4. Implemente el certificado público en los clientes:

    1. En la consola de administración de directivas de grupo, vaya a la siguiente ubicación:

      Configuración del> equipoPolíticas>Configuración de> WindowsConfiguración de> seguridadDirectivas de clave> públicaCertificado de desbloqueo de red de cifrado de unidad BitLocker.

    2. Haga clic con el botón derecho en la carpeta y seleccione Agregar certificado de desbloqueo de red.

    3. Siga los pasos del asistente e importe el .cer archivo que se copió anteriormente.

    Nota

    Solo puede haber un certificado de desbloqueo de red disponible a la vez. Si se necesita un nuevo certificado, elimine el certificado actual antes de implementar uno nuevo. El certificado de desbloqueo de red se encuentra en la HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP clave del Registro en el equipo cliente.

  5. Reinicie los clientes después de implementar el directiva de grupo

    Nota

    El protector de red (basado en certificados) se agregará solo después de un reinicio, con la directiva habilitada y un certificado válido presente en el almacén de FVE_NKP.

Archivos de configuración de directivas de subred en el servidor WDS (opcional)

De forma predeterminada, el servidor desbloquea todos los clientes con el certificado de desbloqueo de red correcto y los protectores de desbloqueo de red válidos que tienen acceso conectado a un servidor WDS habilitado para desbloqueo de red a través de DHCP. Se puede crear un archivo de configuración de directiva de subred en el servidor WDS para limitar cuáles son las subredes que los clientes de desbloqueo de red pueden usar para desbloquear.

El archivo de configuración, denominado bde-network-unlock.ini, debe encontrarse en el mismo directorio que el archivo DLL del proveedor de desbloqueo de red (%windir%\System32\Nkpprov.dll) y se aplica a las implementaciones DHCP de IPv6 e IPv4. Si la directiva de configuración de subred se daña, se produce un error en el proveedor y deja de responder a las solicitudes.

El archivo de configuración de directiva de subred debe usar una [SUBNETS] sección para identificar las subredes específicas. A continuación, se pueden usar las subredes con nombre para especificar restricciones en las subsecciones de certificado. Las subredes se definen como pares nombre-valor simples, en el formato INI común, donde cada subred tiene su propia línea, con el nombre a la izquierda del signo igual, y la subred identificada a la derecha del signo igual como una dirección o intervalo de enrutamiento de Inter-Domain sin clase (CIDR). No se permite la palabra ENABLED clave para los nombres de subred.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

Después de la [SUBNETS] sección , puede haber secciones para cada certificado de desbloqueo de red, identificado por la huella digital del certificado con formato sin espacios, que definen los clientes de subredes que se pueden desbloquear desde ese certificado.

Nota

Al especificar la huella digital del certificado, no incluya espacios. Si se incluyen espacios en la huella digital, se produce un error en la configuración de subred porque la huella digital no se reconocerá como válida.

Las restricciones de subred se definen dentro de cada sección de certificado al indicar la lista permitida de subredes permitidas. Si alguna subred aparece en una sección de certificado, solo se permiten esas subredes para ese certificado. Si no se muestra ninguna subred en una sección de certificado, se permiten todas las subredes para ese certificado. Si un certificado no tiene una sección en el archivo de configuración de directiva de subred, no se aplican restricciones de subred para desbloquear con ese certificado. Para que las restricciones se apliquen a cada certificado, debe haber una sección de certificado para cada certificado de desbloqueo de red en el servidor y una lista permitida explícita establecida para cada sección de certificado.

Las listas de subredes se crean colocando el nombre de una subred de la [SUBNETS] sección en su propia línea debajo del encabezado de la sección de certificado. A continuación, el servidor solo desbloqueará los clientes con este certificado en las subredes especificadas como en la lista. Para solucionar problemas, una subred se puede excluir rápidamente sin eliminarla de la sección si la comenta con un punto y coma antepuesto.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Para no permitir por completo el uso de un certificado, agregue una DISABLED línea a su lista de subredes.

Desactivar desbloqueo de red

Para desactivar el servidor de desbloqueo, el proveedor PXE se puede anular el registro del servidor WDS o desinstalarse por completo. Sin embargo, para impedir que los clientes creen protectores de desbloqueo de red, se debe deshabilitar la configuración de directiva permitir desbloqueo de red al iniciar grupo. Cuando esta configuración de directiva se actualiza a deshabilitada en los equipos cliente, se elimina cualquier protector de clave de desbloqueo de red en el equipo. Como alternativa, la directiva de certificado de desbloqueo de red de BitLocker se puede eliminar en el controlador de dominio para realizar la misma tarea para todo un dominio.

Nota

La eliminación del almacén de certificados FVE_NKP que contiene el certificado y la clave de desbloqueo de red en el servidor WDS también deshabilitará eficazmente la capacidad del servidor para responder a las solicitudes de desbloqueo para ese certificado. Sin embargo, esto se considera una condición de error y no es un método compatible o recomendado para desactivar el servidor de desbloqueo de red.

Actualización de certificados de desbloqueo de red

Para actualizar los certificados que usa Network Unlock, los administradores deben importar o generar el nuevo certificado para el servidor y, a continuación, actualizar la configuración de directiva de grupo de certificados de desbloqueo de red en el controlador de dominio.

Nota

Los servidores que no reciben la configuración de directiva de grupo requieren un PIN al arrancar. En tales casos, averigüe por qué los servidores no reciben el GPO para actualizar el certificado.

Solución de problemas de desbloqueo de red

La solución de problemas de desbloqueo de red comienza comprobando el entorno. Muchas veces, un pequeño problema de configuración puede ser la causa principal del error. Los elementos que se van a comprobar incluyen:

  • Compruebe que el hardware del cliente está basado en UEFI y que se encuentra en la versión de firmware 2.3.1 y que el firmware UEFI está en modo nativo sin un módulo de compatibilidad (CSM) para el modo BIOS habilitado. La comprobación se puede realizar comprobando que el firmware no tiene una opción habilitada, como "Modo heredado" o "Modo de compatibilidad", o que el firmware no parece estar en un modo similar al BIOS.

  • Todos los roles y servicios necesarios se instalan e inician

  • Los certificados públicos y privados se han publicado y se encuentran en los contenedores de certificados adecuados. La presencia del certificado de desbloqueo de red se puede comprobar en Microsoft Management Console (MMC.exe) en el servidor WDS con los complementos de certificado para el equipo local habilitado. El certificado de cliente se puede comprobar comprobando la clave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP del Registro en el equipo cliente.

  • La directiva de grupo para desbloqueo de red está habilitada y vinculada a los dominios adecuados.

  • Compruebe si la directiva de grupo está llegando a los clientes correctamente. La comprobación de la directiva de grupo se puede realizar mediante las GPRESULT.exe utilidades o RSOP.msc

  • Compruebe si los clientes se reiniciaron después de aplicar la directiva

  • Compruebe si el protector de red (basado en certificados) aparece en el cliente. La comprobación del protector se puede realizar mediante cmdlets manage-bde o Windows PowerShell. Por ejemplo, el siguiente comando enumerará los protectores de clave configurados actualmente en la unidad C: del equipo local:

    manage-bde.exe -protectors -get C:

    Nota

    Use la salida de junto con el registro de manage-bde.exe depuración de WDS para determinar si se usa la huella digital del certificado adecuada para el desbloqueo de red.

Recopile los siguientes archivos para solucionar problemas de desbloqueo de red de BitLocker.

  • Registros de eventos de Windows. En concreto, obtenga los registros de eventos de BitLocker y el registro.Microsoft-Windows-Deployment-Services-Diagnostics-Debug

    El registro de depuración está desactivado de forma predeterminada para el rol de servidor WDS. Para recuperar los registros de depuración de WDS, primero deben habilitarse los registros de depuración de WDS. Use cualquiera de los dos métodos siguientes para activar el registro de depuración de WDS.

    • Inicie un símbolo del sistema con privilegios elevados y, a continuación, ejecute el siguiente comando:

      wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true

    • Abra Visor de eventos en el servidor WDS:

      1. En el panel izquierdo, vaya a Registros de aplicaciones y servicios>Microsoft>Windows>Deployment-Services-Diagnostics>Debug
      2. En el panel derecho, seleccione Habilitar registro.

  • El archivo de configuración de subred DHCP (si existe uno)

  • Salida del estado de BitLocker en el volumen. Recopile esta salida en un archivo de texto mediante manage-bde.exe -status. O en Windows PowerShell, useGet-BitLockerVolume

  • Captura del Monitor de red en el servidor que hospeda el rol WDS, filtrado por la dirección IP del cliente