BitLocker: Come abilitare lo sblocco di rete

Si applica a

  • Windows 10

Questo argomento, destinato ai professionisti IT, descrive il funzionamento di Sblocco di rete via BitLocker e come configurarlo.

Network Unlock è stato introdotto in Windows 8 e Windows Server 2012 come opzione Protector BitLocker per volumi di sistemi operativi. Network Unlock consente una gestione più semplice per i desktop e i server abilitati per BitLocker in un ambiente di dominio fornendo l'apertura automatica dei volumi del sistema operativo al riavvio del sistema quando si è connessi a una rete aziendale cablata. Questa caratteristica richiede che l'hardware client abbia implementato un driver DHCP nel firmware UEFI. Senza sbloccare la rete, i volumi di sistemi operativi protetti da TPM + PIN Protectors richiedono l'immissione di un PIN quando un computer viene riavviato o riprende dalla modalità di sospensione, ad esempio tramite riattivazione LAN. In questo modo è difficile per le aziende implementare le patch software per i desktop non presidiati e i server gestiti in remoto.

Network Unlock consente sistemi abilitati per BitLocker con TPM + PIN e che soddisfano i requisiti hardware per l'avvio in Windows senza l'intervento dell'utente. Network Unlock funziona in modo simile a TPM + StartupKey all'avvio. Invece di dover leggere il StartupKey da USB media, tuttavia, la chiave per unlock di rete è composta da una chiave archiviata nel TPM e da una chiave di rete crittografata inviata al server, decrittografata e restituita al client in una sessione sicura.

Questo argomento contiene:

Requisiti principali per sbloccare la rete

Network Unlock deve soddisfare i requisiti hardware e software obbligatori prima che la funzionalità possa sbloccare automaticamente i sistemi Uniti al dominio. Questi requisiti includono:

  • È necessario eseguire almeno Windows 8 o Windows Server 2012.
  • Qualsiasi sistema operativo supportato con driver DHCP UEFI può essere client di sblocco della rete.
  • I client di sblocco della rete devono avere un chip TPM e almeno un protettore TPM.
  • Un server che gestisce il ruolo WDS (Windows Deployment Services) in qualsiasi sistema operativo server supportato.
  • Funzionalità facoltativa di sblocco della rete BitLocker installata in qualsiasi sistema operativo server supportato.
  • Un server DHCP, separato dal server WDS.
  • Combinazione di tasti pubblica/privata correttamente configurata.
  • Impostazioni di criteri di gruppo Sblocca rete configurate.

Lo stack di rete deve essere abilitato per l'uso della caratteristica di sblocco della rete. I produttori di apparecchiature consegnano i loro prodotti in diversi Stati e con diversi menu BIOS, quindi è necessario verificare che lo stack di rete sia stato abilitato nel BIOS prima di avviare il computer.

Nota: per supportare correttamente DHCP in UEFI, il sistema basato su UEFI dovrebbe essere in modalità nativa senza un modulo di supporto per la compatibilità (CSM) abilitato.

Per sbloccare la rete per funzionare in modo affidabile nei computer che eseguono Windows 8 e versioni successive, la prima scheda di rete del computer, in genere l'adattatore onboard, deve essere configurata per supportare DHCP e usato per la rete unlock. Questo vale soprattutto quando si hanno più schede e si vuole configurarne uno senza DHCP, ad esempio per un protocollo di gestione Lights-out. Questa configurazione è necessaria perché Network Unlock smetterà di enumerare gli adapter quando raggiunge uno con un errore di porta DHCP per qualsiasi motivo. Pertanto, se il primo adattatore enumerato non supporta il protocollo DHCP, non è collegato alla rete o non riesce a segnalare la disponibilità della porta DHCP per qualsiasi motivo, la rete di sblocco non riuscirà.

Il componente server di sblocco della rete viene installato nelle versioni supportate di Windows Server 2012 e versioni successive come funzionalità di Windows con i cmdlet di Server Manager o Windows PowerShell. Il nome della funzionalità è BitLocker Network Unlock in Server Manager e BitLocker-NetworkUnlock in Windows PowerShell. Questa caratteristica è un requisito essenziale.

Network Unlock richiede servizi di distribuzione Windows (WDS) nell'ambiente in cui verrà usata la funzionalità. La configurazione dell'installazione di WDS non è obbligatoria; Tuttavia, il servizio WDS deve essere in uso nel server.

La chiave di rete viene archiviata nell'unità di sistema insieme a una chiave di sessione AES 256 e crittografata con la chiave pubblica RSA a 2048 bit del certificato del server di sblocco. La chiave di rete viene decrittografata con l'aiuto di un provider in una versione supportata di Windows Server in cui è in esecuzione WDS e viene restituito crittografato con la corrispondente chiave di sessione.

Sequenza di sblocco della rete

La sequenza di sblocco si avvia sul lato client, quando Windows Boot Manager rileva l'esistenza di Network Unlock Protector. Sfrutta il driver DHCP in UEFI per ottenere un indirizzo IP per IPv4 e quindi trasmette una richiesta DHCP specifica del fornitore che contiene la chiave di rete e una chiave di sessione per la risposta, tutte crittografate dal certificato di sblocco della rete del server, come descritto sopra. Il provider di sblocco della rete nel server WDS supportato riconosce la richiesta specifica del fornitore, la decrittografa con la chiave privata RSA e restituisce la chiave di rete crittografata con la chiave di sessione tramite la propria risposta DHCP specifica del fornitore.

Sul lato server, il ruolo del server WDS ha un componente facoltativo del plug-in, come un provider PXE, che gestisce le richieste di sblocco della rete in arrivo. Il provider può anche essere configurato con restrizioni di subnet, che richiedono che l'indirizzo IP fornito dal client nella richiesta di sblocco della rete appartenga a una subnet consentita per rilasciare la chiave di rete al client. Nelle istanze in cui il provider di sblocco della rete non è disponibile, BitLocker non riesce più alla successiva protezione disponibile per sbloccare l'unità. In una configurazione tipica, viene visualizzata la schermata standard TPM + PIN Unlock per sbloccare l'unità.

La configurazione lato server per abilitare la rete Unlock richiede anche il provisioning di una coppia di chiavi pubbliche/private RSA a 2048 bit sotto forma di un certificato X. 509 e il certificato di chiave pubblica da distribuire ai client. Questo certificato deve essere gestito e distribuito tramite l'Editor criteri di gruppo direttamente in un controller di dominio con almeno un livello di funzionalità di dominio di Windows Server 2012. Questo certificato è la chiave pubblica che crittografa la chiave di rete intermedia (che è uno dei due segreti necessari per sbloccare l'unità; l'altro segreto è archiviato nel TPM).

sequenza di sblocco della rete BitLocker

Fasi del processo di sblocco della rete

  1. Windows Boot Manager rileva che esiste una protezione di sblocco della rete nella configurazione di BitLocker.
  2. Il computer client usa il driver DHCP nell'UEFI per ottenere un indirizzo IP valido IPv4.
  3. Il computer client trasmette una richiesta DHCP specifica del fornitore che contiene la chiave di rete (una chiave intermedia a 256 bit) e una chiave di sessione AES-256 per la risposta. Entrambe le chiavi vengono crittografate con la chiave pubblica RSA a 2048 bit del certificato di sblocco della rete del server WDS.
  4. Il provider di sblocco della rete nel server WDS riconosce la richiesta specifica del fornitore.
  5. Il provider la decrittografa con la chiave privata RSA del server WDS.
  6. Il provider WDS restituisce quindi la chiave di rete crittografata con la chiave di sessione usando la propria risposta DHCP specifica del fornitore al computer client. Questo modulo rappresenta una chiave intermedia.
  7. La chiave intermedia restituita viene quindi combinata con un altro tasto intermedio a 256 bit locale che può essere decrittografato solo dal TPM.
  8. Questa chiave combinata viene usata per creare una chiave AES-256 che sblocca il volume.
  9. Windows continua la sequenza di avvio.

Configurare Network Unlock

La procedura seguente consente a un amministratore di configurare l'apertura della rete in un dominio in cui il livello di funzionalità del dominio è almeno Windows Server 2012.

Installare il ruolo del server WDS

La caratteristica di sblocco della rete BitLocker installerà il ruolo WDS se non è già installato. Se si vuole installare separatamente prima di installare BitLocker Network Unlock, è possibile usare Server Manager o Windows PowerShell. Per installare il ruolo tramite Server Manager, selezionare il ruolo servizi di distribuzione Windows in Server Manager.

Per installare il ruolo con Windows PowerShell, usare il comando seguente:

Install-WindowsFeature WDS-Deployment

È necessario configurare il server WDS in modo che possa comunicare con i servizi DHCP (e facoltativamente Active Directory Domain Services) e il computer client. È possibile usare lo strumento di gestione WDS, Wdsmgmt. msc, che avvia la configurazione guidata servizi di distribuzione Windows.

Verificare che il servizio WDS sia in uso

Per verificare che il servizio WDS sia in uso, usare la console di gestione dei servizi o Windows PowerShell. Per confermare che il servizio è in uso in console di gestione dei servizi, aprire la console con Services. msc e verificare lo stato del servizio servizi di distribuzione Windows.

Per verificare che il servizio sia in uso in Windows PowerShell, usare il comando seguente:

Get-Service WDSServer

Installare la caratteristica di sblocco della rete

Per installare la caratteristica di sblocco della rete, usare Server Manager o Windows PowerShell. Per installare la funzionalità tramite Server Manager, selezionare la caratteristica di sblocco della rete BitLocker nella console di gestione server.

Per installare la funzionalità con Windows PowerShell, usare il comando seguente:

Install-WindowsFeature BitLocker-NetworkUnlock

Creare il modello di certificato per la rete Unlock

Un'autorità di certificazione dei servizi Active Directory correttamente configurata può usare questo modello di certificato per creare e rilasciare certificati di sblocco della rete.

  1. Aprire lo snap-in modello certificati (certtmpl. msc).
  2. Individuare il modello utente. Fare clic con il pulsante destro del mouse sul nome del modello e scegliere Duplica modello.
  3. Nella scheda compatibilità modificare i campi autorità di certificazione e destinatario certificato in Windows Server 2012 e Windows 8 rispettivamente. Verificare che la finestra di dialogo Mostra modifiche risultante sia selezionata.
  4. Selezionare la scheda generale del modello. Il nome visualizzato del modello e il nome del modello devono indicare chiaramente che il modello verrà usato per sbloccare la rete. Deselezionare la casella di controllo relativa all'opzione Pubblica certificato in Active Directory .
  5. Selezionare la scheda Gestione richieste . Selezionare crittografia dal menu a discesa scopo . Verificare che l'opzione Consenti l'esportazione della chiave privata sia selezionata.
  6. Selezionare la scheda crittografia . impostare la dimensione minima del tasto su 2048. Qualsiasi provider di crittografia Microsoft che supporta RSA può essere usato per questo modello, ma per semplicità e compatibilità in avanti è consigliabile usare il provider di archiviazione chiavi Microsoft software.
  7. Selezionare le richieste devono usare una delle opzioni seguenti per i provider e deselezionare tutte le impostazioni, ad eccezione del provider di crittografia selezionato, ad esempio il provider di archiviazione chiave software Microsoft.
  8. Selezionare la scheda nome soggetto . Selezionare Fornisci nella richiesta. Selezionare OK se viene visualizzata la finestra di dialogo popup modelli di certificato.
  9. Selezionare la scheda requisiti di rilascio . Selezionare sia approvazione di Gestione certificati CA che opzioni di certificato esistenti valide .
  10. Selezionare la scheda estensioni . Selezionare criteri applicazione e scegliere modifica....
  11. Nella finestra di dialogo modifica opzioni estensione criteri applicazione selezionare autenticazione client, file system crittografato e posta elettronica sicura e scegliere Rimuovi.
  12. Nella finestra di dialogo modifica estensione criteri applicazione selezionare Aggiungi.
  13. Nella finestra di dialogo Aggiungi criteri applicazione selezionare nuovo. Nella finestra di dialogo nuovo criterio applicazione immettere le informazioni seguenti nello spazio disponibile e quindi fare clic su OK per creare i criteri dell'applicazione di sblocco della rete BitLocker:

    • Nome: Sblocco della rete BitLocker
    • Identificatore oggetto: 1.3.6.1.4.1.311.67.1.1
  14. Selezionare i criteri di applicazione di sblocco della rete BitLocker appena creati e scegliere OK.

  15. Con la scheda estensioni ancora aperta, selezionare la finestra di dialogo modifica estensione uso chiave , selezionare l'opzione Consenti scambio tasti solo con crittografia chiave (chiave di cifratura) . Selezionare l'opzione imposta l'estensione Critical .
  16. Selezionare la scheda sicurezza . Verificare che al gruppo Domain Admins sia stata concessa l'autorizzazione di registrazione .
  17. Selezionare OK per completare la configurazione del modello.

Per aggiungere il modello di sblocco della rete all'autorità di certificazione, aprire lo snap-in autorità di certificazione (certsrv. msc). Fare clic con il pulsante destro del mouse sull'elemento modelli di certificato e scegliere nuovo, modello di certificato da emettere. Selezionare il certificato di sblocco della rete BitLocker creato in precedenza.

Dopo aver aggiunto il modello di sblocco della rete all'autorità di certificazione, questo certificato può essere usato per configurare la rete di sblocco di BitLocker.

Creare il certificato di sblocco della rete

La rete unlock può usare i certificati importati da un'infrastruttura PKI esistente oppure usare un certificato autofirmato.

Per registrare un certificato da un'autorità di certificazione (CA) esistente, eseguire le operazioni seguenti:

  1. Aprire Gestione certificati nel server WDS tramite certmgr. msc
  2. In certificati-elemento utente corrente fare clic con il pulsante destro del mouse su personale
  3. Selezionare tutte le attività, quindi Richiedi nuovo certificato
  4. Selezionare Avanti quando si apre la registrazione guidata certificati
  5. Selezionare criteri di registrazione di Active Directory
  6. Scegliere il modello di certificato creato per unlock di rete nel controller di dominio e selezionare registra. Quando vengono richieste altre informazioni, aggiungere l'attributo seguente al certificato:

    • Selezionare il riquadro nome oggetto e specificare un valore nome descrittivo. È consigliabile che questo nome descrittivo includa informazioni per il dominio o l'unità organizzativa per il certificato. Ad esempio "certificato di sblocco della rete BitLocker per il dominio contoso"
  7. Creare il certificato. Verificare che il certificato venga visualizzato nella cartella personale.

  8. Esportare il certificato a chiave pubblica per unlock di rete

    1. Creare un file con estensione cer facendo clic con il pulsante destro del mouse sul certificato creato in precedenza, scegliendo tutte le attivitàe quindi Esporta.
    2. Selezionare No, non esportare la chiave privata.
    3. Selezionare der binary encoded X. 509 e completare l'esportazione del certificato in un file.
    4. Assegnare un nome al file, ad esempio BitLocker-NetworkUnlock. cer.
  9. Esportare la chiave pubblica con una chiave privata per sbloccare la rete

    1. Creare un file con estensione pfx facendo clic con il pulsante destro del mouse sul certificato creato in precedenza, scegliendo tutte le attivitàe quindi Esporta.
    2. Seleziona Sì, esporta la chiave privata.
    3. Completare la procedura guidata per creare il file PFX.

Per creare un certificato autofirmato, è possibile usare il cmdlet New-SelfSignedCertificate in Windows PowerShell o usare certreq.

Esempio di Windows PowerShell:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

Esempio di certreq:

  1. Creare un file di testo con estensione inf. Ad esempio, Notepad. exe BitLocker-NetworkUnlock. inf.
  2. Aggiungere il contenuto seguente al file creato in precedenza:

    [NewRequest]
    Subject="CN=BitLocker Network Unlock certificate"
    ProviderType=0
    MachineKeySet=True
    Exportable=true
    RequestType=Cert
    KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
    KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
    KeyLength=2048
    SMIME=FALSE
    HashAlgorithm=sha512
    [Extensions]
    1.3.6.1.4.1.311.21.10 = "{text}"
    _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
    2.5.29.37 = "{text}"
    _continue_ = "1.3.6.1.4.1.311.67.1.1"
    
  3. Aprire un prompt dei comandi con privilegi elevati e usare lo strumento Certreq per creare un nuovo certificato usando il comando seguente, specificando il percorso completo del file creato in precedenza, insieme al nome file:

    certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
    
  4. Verificare che il comando precedente abbia creato correttamente il certificato confermando che il file con estensione cer esiste.

  5. Avviare i certificati-computer locale eseguendo certlm. msc.
  6. Creare un file con estensione pfx aprendo il percorso certificati-Computer\Personal\Certificates locale nel riquadro di spostamento, facendo clic con il pulsante destro del mouse sul certificato importato in precedenza, selezionando tutte le attivitàe quindi Esporta. Seguire la procedura guidata per creare il file PFX.

Distribuire la chiave privata e il certificato nel server WDS

Con il certificato e la chiave creati, distribuirli nell'infrastruttura per sbloccare correttamente i sistemi. Per distribuire i certificati, eseguire le operazioni seguenti:

  1. Nel server WDS aprire una nuova console MMC e aggiungere lo snap-in certificati. Selezionare l'account del computer e il computer locale quando vengono fornite le opzioni.
  2. Fare clic con il pulsante destro del mouse sui certificati (computer locale)-elemento di sblocco della rete crittografia unità BitLocker, scegliere tutte le attività e quindi Importa.
  3. Nella finestra di dialogo file da importare scegliere il file pfx creato in precedenza.
  4. Immettere la password usata per creare il PFX e completare la procedura guidata.

Configurare le impostazioni di criteri di gruppo per la rete Unlock

Con il certificato e la chiave distribuiti nel server WDS per sbloccare la rete, il passaggio finale consiste nell'usare le impostazioni dei criteri di gruppo per distribuire il certificato di chiave pubblica nei computer in cui si vuole essere in grado di sbloccare usando il codice di sblocco della rete. Le impostazioni di criteri di gruppo per BitLocker si trovano in \computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption con l'Editor criteri di gruppo locali o Microsoft Management Console.

I passaggi seguenti descrivono come abilitare l'impostazione di criteri di gruppo che è un requisito per la configurazione di Unlock di rete.

  1. Aprire la console Gestione criteri di gruppo (GPMC. msc).
  2. Abilitare i criteri per richiedere l'autenticazione aggiuntiva all'avvio e selezionare l'opzione Richiedi PIN di avvio con TPM o Consenti PIN di avvio con TPM .
  3. Attivare BitLocker con TPM + PIN Protectors in tutti i computer appartenenti a un dominio.

I passaggi seguenti descrivono come distribuire l'impostazione di criteri di gruppo necessaria:

Nota: le impostazioni dei criteri di gruppo consentono di sbloccare la rete all'avvio e aggiungere il certificato di sblocco della rete è stato introdotto in Windows Server 2012.

  1. Copiare il file con estensione cer creato per unlock di rete nel controller di dominio.
  2. Nel controller di dominio avviare console Gestione criteri di gruppo (GPMC. msc).
  3. Crea un nuovo oggetto Criteri di gruppo o modifica un oggetto esistente per abilitare l'impostazione Consenti Sblocca rete all'avvio .
  4. Distribuire il certificato pubblico ai client:

    1. Nella console di gestione di criteri di gruppo passare alla posizione seguente: computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\BitLocker Drive Encryption Network Unlock certificate.
    2. Fare clic con il pulsante destro del mouse sulla cartella e scegliere Aggiungi certificato di sblocco della rete.
    3. Seguire i passaggi della procedura guidata e importare il file con estensione cer copiato in precedenza.

Nota: solo un certificato di sblocco della rete può essere disponibile alla volta. Se è necessario un nuovo certificato, eliminare il certificato corrente prima di distribuirne uno nuovo. Il certificato di sblocco della rete si trova nella chiave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP nel computer client.

  1. Riavviare i client dopo la distribuzione dei criteri di gruppo. >Nota: La protezione di rete (basata su certificati) verrà aggiunta solo dopo un riavvio con il criterio abilitato e un certificato valido presente nello Store FVE_NKP.

File di configurazione dei criteri di subnet nel server WDS (facoltativo)

Per impostazione predefinita, tutti i client con il certificato di sblocco della rete corretto e le protezioni valide per sbloccare la rete che hanno accesso tramite cavo a un server WDS abilitato alla rete tramite DHCP vengono sbloccate dal server. È possibile creare un file di configurazione dei criteri di subnet nel server WDS per limitare i client di sblocco di rete della subnet che possono essere usati per sbloccare.

Il file di configurazione, denominato BDE-Network-Unlock. ini, deve trovarsi nella stessa directory della DLL Network Unlock provider (%windir%\System32\Nkpprov.dll) e si applica sia alle implementazioni DHCP IPv6 che IPv4. Se i criteri di configurazione della subnet si danneggiano, il provider non riesce e smette di rispondere alle richieste.

Il file di configurazione dei criteri di subnet deve usare una sezione "\ [SOTTORETI ]" per identificare le subnet specifiche. Le subnet denominate potrebbero quindi essere usate per specificare le restrizioni nelle sottosezioni dei certificati. Le subnet sono definite come semplici coppie nome/valore, nel formato INI comune, in cui ogni subnet ha una propria linea, con il nome a sinistra del segno di uguale e la subnet identificata a destra del segno di uguale come indirizzo CIDR (Inter-Domain Routing) o intervallo. La parola chiave "ENABLED" non è consentita per i nomi di subnet.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

Dopo la sezione \ [SUBNETs ], è possibile che siano presenti sezioni per ogni certificato di sblocco della rete, identificato dall'identificazione personale del certificato formattato senza spazi, che definiscono le subnet a cui i client possono essere sbloccati con tale certificato.

Nota: quando specifichi l'identificazione personale del certificato, non includere spazi. Se gli spazi sono inclusi nell'identificazione personale, la configurazione della subnet non riuscirà perché l'identificazione personale non verrà riconosciuta come valida.

Le restrizioni della subnet sono definite all'interno di ogni sezione del certificato indicando l'elenco consentita delle subnet consentite. Se una subnet è elencata in una sezione di certificato, sono consentite solo le subnet elencate per tale certificato. Se nessuna subnet è elencata in una sezione di certificato, tutte le subnet sono consentite per tale certificato. Se un certificato non ha una sezione nel file di configurazione dei criteri di subnet, non verranno applicate restrizioni di subnet per lo sblocco con tale certificato. Questo significa che per le restrizioni da applicare a ogni certificato, deve essere presente una sezione certificato per ogni certificato di sblocco della rete nel server e un set di elenchi consentiti espliciti per ogni sezione di certificato. Gli elenchi subnet vengono creati inserendo il nome di una subnet dalla sezione \ [SUBNETs ] nella relativa riga sotto l'intestazione della sezione del certificato. Il server potrà quindi sbloccare solo i client con questo certificato nella subnet specificata come nell'elenco. Per la risoluzione dei problemi, è possibile escludere rapidamente una subnet senza eliminarla dalla sezione semplicemente commentarla con un punto e virgola preceduto.

[‎2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Per impedire l'uso di un certificato in modo totale, il relativo elenco di subnet può contenere la riga "DISABLEd".

Disattivazione della rete Unlock

Per disattivare il server di sblocco, è possibile annullare la registrazione del provider PXE dal server WDS o disinstallarlo completamente. Tuttavia, per impedire ai client di creare Protezioni di sblocco della rete, l'impostazione Consenti Sblocca rete all'avvio deve essere disabilitata. Quando l'impostazione di questo criterio viene aggiornata per disabilitata nei computer client, le protezioni della chiave di sblocco della rete nel computer verranno eliminate. In alternativa, il criterio del certificato di sblocco della rete BitLocker può essere eliminato nel controller di dominio per eseguire la stessa attività per un intero dominio.

Nota: la rimozione dell'archivio certificati di FVE_NKP che contiene il certificato di sblocco della rete e la chiave nel server WDS disabilitano in modo efficace la capacità del server di rispondere alle richieste di sblocco per tale certificato. Questa operazione viene tuttavia considerata una condizione di errore e non è un metodo supportato o consigliato per disattivare il server di sblocco della rete.

Aggiornare i certificati di sblocco della rete

Per aggiornare i certificati usati da Network Unlock, gli amministratori devono importare o generare il nuovo certificato per il server e quindi aggiornare l'impostazione di criteri di gruppo del certificato di sblocco della rete nel controller di dominio.

Risolvere i problemi di sblocco della rete

La risoluzione dei problemi di sblocco della rete inizia con la verifica dell'ambiente. Molte volte, un piccolo problema di configurazione sarà la causa radice dell'errore. Gli elementi da verificare includono:

  • Verificare che l'hardware client sia basato su UEFI e che si trovi nella versione del firmware 2.3.1 e che il firmware UEFI sia in modalità nativa senza un modulo di supporto per la compatibilità (CSM) per la modalità BIOS abilitata. A questo scopo, verifica che il firmware non abbia un'opzione abilitata, ad esempio "modalità legacy" o "modalità compatibilità", oppure che il firmware non sia presente in una modalità simile al BIOS.
  • Tutti i ruoli e i servizi necessari sono installati e avviati
  • I certificati pubblici e privati sono stati pubblicati e si trovano nei contenitori di certificati appropriati. La presenza del certificato di sblocco della rete può essere verificata in Microsoft Management Console (MMC. exe) nel server WDS con gli snap-in certificati per il computer locale abilitato. Il certificato client può essere verificato controllando la chiave del registro di sistema HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP nel computer client.
  • Criteri di gruppo per sbloccare la rete è abilitato e collegato ai domini appropriati.
  • Verificare che i criteri di gruppo raggiungano correttamente i client. Questa operazione può essere eseguita usando le utilità GPRESULT. exe o RSOP. msc.
  • Verificare che i client siano stati riavviati dopo l'applicazione del criterio.
  • Verificare che il Protector di rete (basato su certificati) sia elencato nel client. Questa operazione può essere eseguita usando i cmdlet Manage-bde o Windows PowerShell. Ad esempio, il comando seguente elenca le protezioni chiave attualmente configurate nell'unità C: del computer lcoal:

    manage-bde –protectors –get C:
    

    Nota: Usa l'output di Manage-bde insieme al log di debug di WDS per determinare se l'identificazione personale del certificato corretto viene usata per il Network Unlock

I file da raccogliere durante la risoluzione dei problemi relativi a BitLocker Network Unlock includono:

  1. Registri eventi di Windows. In particolare i registri eventi di BitLocker e il log di debug di Microsoft-Windows-Deployment-Services-Diagnostics-

    La registrazione del debug è disattivata per impostazione predefinita per il ruolo del server WDS, quindi sarà necessario abilitarla per prima. Puoi usare uno dei due metodi seguenti per attivare la registrazione del debug WDS.

    1. Avviare un prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

      wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      
    2. Aprire il Visualizzatore eventi nel server WDS.

      Nel riquadro sinistro fare clic su registri applicazioni e servizi, fare clic su Microsoft, su Windows, su distribuzione-servizi-diagnosticae quindi su debug.

      Nel riquadro destro fare clic su Abilita log.

  2. File di configurazione della subnet DHCP (se disponibile).

  3. L'output dello stato di BitLocker nel volume può essere raccolto in un file di testo usando Manage-bde-status o Get-BitLockerVolume in Windows PowerShell.
  4. Acquisizione di Network Monitor nel server che ospita il ruolo WDS, filtrato dall'indirizzo IP del client.

Configurare le impostazioni dei criteri di gruppo di sblocco della rete nelle versioni precedenti

Le impostazioni di Network Unlock e di criteri di gruppo di accompagnamento sono state introdotte in Windows Server 2012, ma possono essere distribuite usando sistemi operativi con Windows Server2008R2 e Windows Server2008.

Requisiti

  • Il server che ospita WDS deve eseguire uno qualsiasi dei sistemi operativi server designati nell'elenco si applica a all'inizio di questo argomento.
  • I computer client devono eseguire uno qualsiasi dei sistemi operativi client designati nell'elenco si applica a all'inizio di questo argomento.

I passaggi seguenti possono essere usati per configurare la rete di sblocco in questi sistemi meno recenti.

  1. Installare il ruolo del server WDS
  2. Verificare che il servizio WDS sia in uso
  3. Installare la caratteristica di sblocco della rete
  4. Creare il certificato di sblocco della rete
  5. Distribuire la chiave privata e il certificato nel server WDS
  6. Configurare le impostazioni del registro di sistema per la rete Unlock:

    Applicare le impostazioni del registro di sistema eseguendo lo script certutil seguente (supponendo che il file del certificato di sblocco della rete sia denominato BitLocker-NetworkUnlock. cer) in ogni computer in cui è in esecuzione uno dei sistemi operativi client designati in **applica a **elenco all'inizio di questo argomento.

    certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
    
  7. Configurare un Protector TPM nei client

  8. Riavviare i client per aggiungere la protezione di rete (basata su certificati)

Vedi anche