BitLocker:如何啟用網路解除鎖定

適用對象:

  • Windows10

本主題的適用對象是 IT 專業人員,將說明 BitLocker 網路解除鎖定的運作方式及設定方式。

在 Windows 8 和 Windows Server 2012 中引進了網路解鎖,做為作業系統卷的 BitLocker 保護器選項。 網路解除鎖定可在連線至有線商業網路時,在系統重新開機時,提供自動解除鎖定作業系統卷的功能,讓支援 BitLocker 的電腦和伺服器更輕鬆地管理網域環境。 此功能需要用戶端硬體在其 UEFI 固件中實現 DHCP 驅動程式。 如果沒有網路解除鎖定,由 TPM + PIN 保護器所保護的作業系統標籤需要在電腦重新開機或從休眠繼續(例如,透過局域網喚醒)時輸入 PIN。 這可以讓企業難以將軟體修補程式推出至無人參與的桌面及遠端系統管理的伺服器。

網路解除鎖定可讓支援 BitLocker 的系統使用 TPM + PIN,且符合硬體需求的使用者無需使用者干預即可引導至 Windows。 在啟動時,網路解除鎖定的運作方式與 TPM + StartupKey 類似。 您不需要從 USB 媒體讀取 StartupKey,而是由儲存在 TPM 中的金鑰,以及傳送至伺服器、解密並傳回安全會話中的加密網路金鑰來撰寫網路解除鎖定的金鑰。

本主題包含:

網路解除鎖定核心需求

網路解除鎖定必須符合必要的硬體和軟體需求,才能自動解除鎖定網域已加入系統。 這些需求包括:

  • 您必須執行至少 Windows 8 或 Windows Server 2012。
  • 任何使用 UEFI DHCP 驅動程式的支援作業系統都可以是網路解鎖用戶端。
  • 網路解除鎖定用戶端必須擁有 TPM 晶片及至少一個 TPM 保護器。
  • 在任何支援的伺服器作業系統上執行 Windows 部署服務(WDS)角色的伺服器。
  • 安裝在任何支援的伺服器作業系統上的 BitLocker 網路解除鎖定選用功能。
  • 與 WDS 伺服器分開的 DHCP 伺服器。
  • 正確設定的公用/私用金鑰配對。
  • 已設定網路解除鎖定群組原則設定。

必須啟用網路堆疊,才能使用網路解除鎖定功能。 設備製造商會以各種狀態和不同的 BIOS 功能表來傳送其產品,因此您必須先確認已在 BIOS 中啟用網路堆疊,然後才能啟動電腦。

注意: 若要在 UEFI 中正確支援 DHCP,基於 uefi 的系統在未啟用相容性支援模組(CSM)的情況下,應該處於原生模式。

若要在執行 Windows 8 和更新版本的電腦上可靠地使用網路解除鎖定,電腦上的第一個網路介面卡(通常是板載配接器)必須設定為支援 DHCP,並用於網路解鎖。 如果您有多個配接器,且想要在沒有 DHCP 的情況下進行設定(例如燈外式管理通訊協定),則特別需要注意。 這項設定是必要的,因為網路解除鎖定會在使用 DHCP 埠失敗時停止列舉配接器,因為任何原因。 因此,如果第一個列舉的配接器不支援 DHCP,就不會插入網路,或由於任何原因而無法報告 DHCP 埠的可用性,因此網路解除鎖定將會失敗。

網路解除鎖定伺服器元件會在支援的 Windows Server 2012 版本和更新版本的 Windows 中使用伺服器管理員或 Windows PowerShell Cmdlet 進行安裝。 在 Windows PowerShell 中,功能名稱是 [伺服器管理員] 和 [BitLocker NetworkUnlock] 中的 BitLocker 網路解鎖。 這項功能是核心需求。

網路解除鎖定需要使用功能的環境中的 Windows 部署服務(WDS)。 不需要進行 WDS 安裝的配置;不過,WDS 服務必須在伺服器上執行。

網路金鑰會與一個 AES 256 工作階段金鑰一起儲存在系統磁片磁碟機上,並使用解除鎖定伺服器憑證的2048位 RSA 公開金鑰進行加密。 網路金鑰是在支援執行 WDS 的 Windows Server 版本上,以提供者的說明解密,並以對應的工作階段金鑰傳回加密。

網路解除鎖定順序

當 Windows 引導管理器檢測到存在網路解除鎖定保護器時,會在用戶端開始解除鎖定順序。 它利用 UEFI 中的 DHCP 驅動程式來取得 IPv4 的 IP 位址,然後廣播提供者專用的 DHCP 要求,其中包含回復的網路金鑰和工作階段金鑰(如上所述)。 受支援的 WDS 伺服器上的網路解除鎖定提供者會辨識特定供應商的要求,以 RSA 私密金鑰解密,然後透過自己的供應商專用 DHCP 回復,傳回以工作階段金鑰加密的網路金鑰。

在伺服器端,WDS 伺服器角色有一個選用的外掛程式元件(例如 PXE 提供者),這就是處理傳入網路解除鎖定要求的方式。 您也可以使用子網限制來設定提供者,這會要求網路解鎖要求中用戶端提供的 IP 位址屬於允許的子網,才能將網路金鑰發佈至用戶端。 在無法使用網路解鎖提供者的情況下,BitLocker 會容錯移轉到下一個可用的保護程式來解除鎖定磁片磁碟機。 在一般設定中,這表示會出現標準的 TPM + PIN 解除鎖定畫面來解除鎖定磁片磁碟機。

啟用網路解除鎖定的伺服器端設定也需要以 x.509 憑證的形式(以及要分發給用戶端的公開金鑰憑證)來提供2048位 RSA 公用/私用金鑰組。 此憑證必須透過群組原則編輯工具直接在網網域控制站上進行管理並部署,且至少具備 Windows Server 2012 的網域功能層級。 這個憑證是加密中間網路金鑰的公開金鑰(這是解鎖磁片磁碟機所需的兩個密碼之一; 另一個是儲存在 TPM 中的密碼)。

bitlocker 網路解除鎖定順序

網路解除鎖定進程中的階段

  1. Windows 引導管理器會偵測到 BitLocker 設定中存在網路解除鎖定保護器。
  2. 用戶端電腦會在 UEFI 中使用其 DHCP 驅動程式來取得有效的 IPv4 IP 位址。
  3. 用戶端電腦會廣播包含網路金鑰(256位中間金鑰)的供應商專用 DHCP 要求,以及回復的 AES-256 工作階段金鑰。 這兩個金鑰都是使用 WDS 伺服器的網路解除鎖定憑證的2048位 RSA 公開金鑰來加密。
  4. WDS 伺服器上的網路解除鎖定提供者會辨識供應商專用的要求。
  5. 提供者使用 WDS 伺服器的 BitLocker 網路解除認證 RSA 私密金鑰來解密它。
  6. 然後,WDS 提供者會使用自己的供應商專用 DHCP 回復給用戶端電腦,傳回以工作階段金鑰加密的網路金鑰。 這會形成一個中間鍵。
  7. 然後,傳回的中間索引鍵會與另一個本機256位中間鍵組合,而該中間金鑰只能由 TPM 解密。
  8. 這個組合金鑰是用來建立解鎖該卷的 AES-256 金鑰。
  9. Windows 會繼續引導順序。

設定網路解除鎖定

下列步驟可讓系統管理員在網域功能層級至少為 Windows Server 2012 的網域中設定網路解除鎖定。

安裝 WDS 伺服器角色

BitLocker 網路解除鎖定功能將會安裝 WDS 角色(若尚未安裝)。 如果您想要在安裝 BitLocker 網路解除鎖定之前另行安裝,您可以使用伺服器管理員或 Windows PowerShell。 若要使用伺服器管理員安裝角色,請在伺服器管理員中選取 [ Windows 部署服務] 角色。

若要使用 Windows PowerShell 安裝角色,請使用下列命令:

Install-WindowsFeature WDS-Deployment

您必須設定 WDS 伺服器,才能與 DHCP (以及選擇性的 Active Directory 網域服務)和用戶端電腦進行通訊。 您可以使用 WDS 管理工具(wdsmgmt)來啟動 Windows 部署服務設定向導。

確認 WDS 服務正在執行

若要確認 WDS 服務正在執行,請使用服務管理主控台或 Windows PowerShell。 若要確認服務正在服務管理主控台中執行,請使用services.msc開啟主機,然後檢查 Windows 部署服務服務的狀態。

若要確認服務正在使用 Windows PowerShell 執行,請使用下列命令:

Get-Service WDSServer

安裝網路解除鎖定功能

若要安裝網路解除鎖定功能,請使用伺服器管理員或 Windows PowerShell。 若要使用伺服器管理員安裝功能,請在伺服器管理員主控台中選取BitLocker 網路解除鎖定功能。

若要使用 Windows PowerShell 安裝功能,請使用下列命令:

Install-WindowsFeature BitLocker-NetworkUnlock

建立網路解除鎖定的憑證範本

正確設定的 Active Directory 服務憑證授權單位可以使用此憑證範本來建立和頒發網路解除鎖定憑證。

  1. 開啟 [憑證範本] 管理單元(certtmpl)。
  2. 找出使用者範本。 以滑鼠右鍵按一下範本名稱,然後選取 [複製範本]。
  3. 在 [相容性] 索引標籤上,將 [認證機構] 和 [憑證收件者] 欄位分別變更為 windows Server 2012 和 windows 8 確認已選取 [顯示結果變更] 對話方塊。
  4. 選取範本的 [一般] 索引標籤。 範本顯示名稱範本名稱應該清楚地指出該範本將用於網路解鎖。 清除 [在 Active Directory 中發佈憑證] 選項的核取方塊。
  5. 選取 [要求處理] 索引標籤。選取 [目的] 下拉式功能表中的 [加密]。 確定已選取 [允許匯出私人金鑰] 選項。
  6. 選取 [加密] 索引標籤。將最小金鑰大小設定為2048。 (任何支援 RSA 的 Microsoft 密碼提供者都可用於此範本,但為了簡單明瞭及向前相容性,我們建議您使用Microsoft 軟體金鑰儲存空間提供者。)
  7. 選取 [要求必須使用下列其中一個提供者] 選項,然後清除除您所選取的密碼提供者以外的所有選項,例如Microsoft 軟體金鑰儲存提供者
  8. 選取 [ Subject 名稱] 索引標籤。選取 [在要求中提供]。 如果出現 [憑證範本] 彈出對話方塊,請選取 [確定]
  9. 選取 [發佈需求] 索引標籤。選取 [ CA 認證管理員核准] 和 [有效的現有憑證選項]。
  10. 選取 [延伸] 索引標籤。選取 [應用程式原則],然後選擇 [編輯 ...]。
  11. 在 [編輯應用程式原則擴展選項] 對話方塊中,選取 [用戶端驗證]、[加密檔案系統]和 [安全電子郵件],然後選擇 [移除
  12. 在 [編輯應用程式原則副檔名] 對話方塊中,選取 [新增]。
  13. 在 [新增應用程式原則] 對話方塊中,選取 [新增]。 在 [新的應用程式原則] 對話方塊中,于提供的位置中輸入下列資訊,然後按一下 [確定] ,建立 BitLocker 網路解除鎖定應用程式原則:

    • 名稱: BitLocker 網路解除鎖定
    • 物件識別碼: 1.3.6.1.4.1.311.67.1.1
  14. 選取新建立的BitLocker 網路解除鎖定應用程式原則,然後選取 [確定]

  15. 在 [延伸] 索引標籤仍開啟的情況下,選取 [編輯金鑰用法擴展] 對話方塊,選取 [只允許金鑰交換金鑰(金鑰解碼) ] 選項。 選取 [使此延伸項成為關鍵] 選項。
  16. 選取 [安全性] 索引標籤。確認 [網域管理員] 群組已獲授與 [註冊] 許可權。
  17. 選取 [確定] 以完成範本的設定。

若要新增網路解除鎖定範本至憑證授權單位,請開啟 [憑證授權單位] 管理單元(certsrv)。 以滑鼠右鍵按一下憑證範本專案,然後選擇 [新增]、[要頒發的憑證範本]。 選取先前建立的 BitLocker 網路解除鎖定憑證。

將網路解除鎖定範本新增至憑證授權單位之後,就可以使用這個憑證來設定 BitLocker 網路解鎖。

建立網路解除鎖定憑證

網路解除鎖定可以使用來自現有 PKI 基礎結構的匯入憑證,或者您可以使用自我簽署的憑證。

若要從現有的憑證授權單位(CA)註冊憑證,請執行下列動作:

  1. 使用certmgr在 WDS 伺服器上開啟 [認證管理器]
  2. 在 [憑證-目前的使用者] 專案底下,以滑鼠右鍵按一下 [個人]。
  3. 選取 [所有任務],然後要求新的憑證
  4. 當 [憑證註冊] 嚮導開啟時,選取 [下一步]
  5. 選取 Active Directory 註冊原則
  6. 選擇在網網域控制站上為網路解除鎖定所建立的憑證範本,然後選取 [註冊]。 當系統提示您輸入詳細資訊時,請將下列屬性新增到證書:

    • 選取 [ Subject 名稱] 窗格,並提供易記的名稱值。 建議此易記名稱包含該憑證之網域或組織單位的資訊。 例如「Contoso 網域的 BitLocker 網路解除鎖定憑證」
  7. 建立證書。 確定憑證出現在 [個人] 資料夾中。

  8. 匯出公用金鑰憑證以進行網路解除鎖定

    1. 以滑鼠右鍵按一下先前建立的憑證、選擇 [所有工作],然後選取 [匯出] 來建立 .cer 檔案。
    2. 選取 [否,不匯出私密金鑰]。
    3. 選取 [ DER 編碼二進位 x.509 ],然後將憑證完整匯出至檔案。
    4. 提供檔案的名稱,例如 BitLocker-NetworkUnlock。
  9. 使用網路解除鎖定的私密金鑰匯出公開金鑰

    1. 以滑鼠右鍵按一下先前建立的憑證,選擇 [所有工作],然後選取 [匯出],以建立 .pfx 檔案。
    2. 選取 [是,匯出私密金鑰]
    3. 完成嚮導以建立 .pfx 檔案。

若要建立自我簽署憑證,您可以在 Windows PowerShell 中使用 SelfSignedCertificate Cmdlet,或使用 Certreq。

Windows PowerShell 範例:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

Certreq 範例:

  1. 建立副檔名為 .inf 的文字檔。 例如,notepad.exe BitLocker-NetworkUnlock。
  2. 將下列內容新增至先前建立的檔案:

    [NewRequest]
    Subject="CN=BitLocker Network Unlock certificate"
    ProviderType=0
    MachineKeySet=True
    Exportable=true
    RequestType=Cert
    KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
    KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
    KeyLength=2048
    SMIME=FALSE
    HashAlgorithm=sha512
    [Extensions]
    1.3.6.1.4.1.311.21.10 = "{text}"
    _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
    2.5.29.37 = "{text}"
    _continue_ = "1.3.6.1.4.1.311.67.1.1"
    
  3. 開啟提升許可權的命令提示字元,然後使用 certreq 工具,透過下列命令來建立新的憑證,並指定先前建立之檔案的完整路徑,以及檔案名:

    certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
    
  4. 確認 .cer 檔案存在,以驗證上一個命令是否已正確建立證書。

  5. 執行certlm,以啟動證書-本機電腦。
  6. 若要建立 .pfx 檔案,請在 [功能窗格] 中開啟 [憑證– Local Computer\Personal\Certificates ] 路徑,以滑鼠右鍵按一下先前匯入的憑證,選取 [所有任務],然後選取 [匯出]。 按照嚮導中的步驟建立 .pfx 檔案。

將私人金鑰和憑證部署到 WDS 伺服器

建立證書及金鑰之後,就能將其部署到基礎結構,以正確地解除系統鎖定。 若要部署憑證,請執行下列動作:

  1. 在 WDS 伺服器上,開啟新的 MMC,然後新增 [憑證] 管理單元。 提供選項時,請選取電腦帳戶和本機電腦。
  2. 以滑鼠右鍵按一下憑證(本機電腦)-BitLocker 磁碟機加密網路解除鎖定專案,選擇 [所有工作],然後選擇 [匯]。
  3. 在 [要匯入的檔案] 對話方塊中,選擇先前建立的 .pfx 檔案。
  4. 輸入用來建立 .pfx 的密碼,並完成嚮導。

設定網路解除鎖定群組策略設定

透過將憑證和金鑰部署到 WDS 伺服器以進行網路解除鎖定時,最後一個步驟是使用群組原則設定,將公開金鑰憑證部署到您想要使用網路解除鎖定金鑰解除鎖定的電腦上。 您可以在 [\Computer Configuration\Administrative Templates\Windows] 下的 [使用本機組策略編輯器] 或 [Microsoft 管理主控台] 進行磁片磁碟機加密中,找到 BitLocker 的群組原則設定。

下列步驟說明如何啟用設定網路解除鎖定需求的群組原則設定。

  1. 開啟群組原則管理主控台(gpmc)。
  2. 啟用原則,啟動時需要進行額外的驗證,然後選取 [使用tpm 時需要啟動 pin ] 或 [允許使用 tpm 的啟動 pin ] 選項。
  3. 在所有加入網域的電腦上,開啟包含 TPM + PIN 保護器的 BitLocker。

下列步驟說明如何部署所需的群組原則設定:

注意:[群組原則] 設定可讓您啟動時網路解除鎖定,並在 Windows Server 2012 中引入網路解除鎖定憑證

  1. 將為網路解除鎖定而建立的 .cer 檔案複製到網網域控制站。
  2. 在網網域控制站上,啟動群組原則管理主控台(gpmc)。
  3. 建立新的群組原則物件或修改現有的物件,以啟用 [允許在啟動時進行網路解除鎖定] 設定。
  4. 將公用憑證部署到用戶端:

    1. 在群組原則管理主控台中,流覽至下列位置:電腦 Configuration\Policies\Windows Settings\Security Settings\Public 金鑰 Policies\BitLocker 磁片磁碟機加密網路解除鎖定憑證
    2. 在資料夾上按一下滑鼠右鍵,然後選擇 [新增網路解除鎖定憑證]。
    3. 依照嚮導步驟進行,然後匯入先前複製的 .cer 檔案。

注意: 一次只能有一個網路解鎖憑證。 如果需要新的憑證,請先刪除目前的憑證,然後再部署新的憑證。 網路解鎖憑證位於用戶端電腦上的HKEY \ _LOCAL \ _MACHINE \software\policies\microsoft\systemcertificates\fve\ _NKP金鑰中。

  1. 部署群組原則之後,請重新開機用戶端。 >注意: 只有啟用原則且在 FVE_NKP store 中存在有效的憑證之後,才能新增網路(以憑證為基礎) 保護器。

WDS 伺服器上的子網原則設定檔(選用)

根據預設,所有具備正確網路解除鎖定憑證的用戶端和有效的網路解除鎖定(透過 DHCP 存取已啟用網路功能的 WDS 伺服器)都將由伺服器解除鎖定。 您可以建立 WDS 伺服器上的子網原則設定檔案,以限制網路解鎖用戶端可用來解除鎖定的子網(s)。

設定檔(稱為 bde-network-unlock)必須位於與網路解除鎖定提供者 DLL (%windir%\System32\Nkpprov.dll)相同的目錄中,而且它同時適用于 IPv6 和 IPv4 DHCP 實現。 如果子網設定原則遭到損毀,提供者會失敗並停止回應要求。

子網原則設定檔必須使用 "\ [SUBNET ]" 區段來識別特定子網。 然後,您可以使用命名子網來指定憑證小節中的限制。 子網是以通用 INI 格式定義為簡單的名稱-值對,其中每個子網上都有自己的行、等號左邊的名稱,以及在等號右側標示為無類別網域間路由(CIDR)位址或範圍的子網。 子網名稱不允許有關鍵字「ENABLED」。

[SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

您可以在 \ [SUBNET ] 區段中,針對每個網路解除鎖定憑證所辨識的章節,這些區段是由格式不含任何空格的憑證指紋所識別,定義子網用戶端可以與該憑證解除鎖定。

注意: 指定憑證指紋時,請勿包含任何空格。 如果在指紋中包含空格,子網設定將會失敗,因為指紋不會被辨識為有效。

子網限制是在每個憑證區段中定義,方法是表示允許的子網的允許清單。 如果 [憑證] 區段中列出了任何子網,則該憑證只允許那些列出的子網。 如果 [憑證] 區段中沒有列出任何子網,就表示該憑證允許所有子網。 如果憑證沒有子網原則設定檔案中的區段,則不會套用任何子網限制以用於解除該憑證。 這表示針對每個憑證套用的限制,對於伺服器上的每個網路解除鎖定憑證,必須有一個憑證區段,並為每個憑證區段設定一個明確允許的清單。 您可以在 [憑證] 區段標題下方,將 [子網 ] 區段中的子網名稱放在自己的行中,以建立子網清單。 接著,伺服器只會在清單中指定的子網上,解除鎖定此憑證的用戶端。 若要進行疑難排解,只要以前置分號進行注釋,就能快速排除子網,而不必將它從區段中刪除。

[‎2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

若要禁止完全使用憑證,其子網清單可能會包含「已停用」行。

關閉網路解除鎖定

若要關閉解除鎖定伺服器,可以從 WDS 伺服器取消註冊 PXE 提供者,或完全卸載。 不過,若要停止用戶端建立網路解除鎖定保護器,必須停用 [啟動] 群組原則設定的 [允許網路解除鎖定]。 當此原則設定在用戶端電腦上更新為 [停用] 時,電腦上的任何網路解除鎖定金鑰保護器都會被刪除。 或者,您可以在網網域控制站上刪除 BitLocker 網路解除鎖定憑證原則,為整個網域完成相同的工作。

注意: 移除包含 WDS 伺服器上網路解除鎖定憑證和金鑰的 FVE_NKP 憑證存放區,也會有效停用伺服器回應該憑證的解除鎖定要求的能力。 不過,這會看作是錯誤狀況,且不是關閉網路解鎖伺服器的支援或建議方法。

更新網路解除鎖定憑證

若要更新網路解除鎖定所使用的憑證,系統管理員必須為伺服器匯入或產生新憑證,然後更新網網域控制站上的網路解除鎖定憑證群組原則設定。

疑難排解網路解除鎖定

疑難排解網路解除鎖定問題的開始,請驗證環境。 很多時候,小型設定問題就是失敗的根本原因。 要驗證的專案包括:

  • 驗證用戶端硬體是基於 UEFI,且位於固件版本為2.3.1,且 UEFI 固件處於原生模式,而沒有啟用 BIOS 模式的相容性支援模組(CSM)。 請檢查固件沒有啟用選項(例如「舊版模式」或「相容模式」),或是固件看起來不在 BIOS 贊模式中,以執行此動作。
  • 已安裝並啟動所有必要的角色與服務
  • 公用和私人憑證已發佈,且位於正確的憑證容器中。 您可以在 WDS 伺服器上的 Microsoft 管理主控台(MMC.EXE)中驗證網路解除鎖定憑證的目前狀態,並在本機電腦上啟用 [憑證] 管理單元。 您可以在用戶端電腦上檢查登錄機碼HKEY _LOCAL \ _MACHINE \software\policies\microsoft\systemcertificates\fve\ _NKP ,以驗證用戶端憑證。
  • 已啟用網路解鎖的群組原則,並將其連結至適當的網域。
  • 確認群組原則已正確地達到用戶端。 這可以使用 GPRESULT 或 RSOP 實用程式來完成。
  • 確認用戶端在套用原則後重新開機。
  • 確認用戶端上列出了 [網路(以憑證為基礎) ] 保護器。 這個方法可以使用 manage-bde 或 Windows PowerShell Cmdlet 來完成。 例如,下列命令會列出目前在 lcoal 電腦的 C:磁片磁碟機上設定的金鑰保護裝置:

    manage-bde -protectors -get C:
    

    注意: 使用 manage-bde 的輸出與 WDS 調試記錄記錄,以判斷是否正在使用正確的憑證指紋進行網路解鎖

疑難排解 BitLocker 網路解除鎖定時要收集的檔案包括:

  1. Windows 事件記錄。 特別是 BitLocker 事件記錄及 Microsoft Windows 部署-服務-診斷-調試記錄

    預設會針對 WDS 伺服器角色關閉調試記錄,因此您必須先啟用它。 您可以使用下列兩種方法的其中一種來開啟 WDS 調試記錄。

    1. 啟動提升許可權的命令提示字元,然後執行下列命令:

      wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      
    2. 在 WDS 伺服器上開啟事件檢視器。

      在左窗格中,按一下 [應用程式和服務記錄],按一下 [ Microsoft],按一下 [ Windows],按一下 [部署-服務-診斷],然後按一下 [調試]。

      在右窗格中,按一下 [啟用記錄]。

  2. DHCP 子網設定檔(如果有的話)。

  3. 您可以在 Windows PowerShell 中使用manage-bde (狀態BitLockerVolume ),將此狀態的 BitLocker 狀態輸出收集到文字檔中。
  4. 主持 WDS 角色的伺服器上的網路監視器捕獲(依用戶端 IP 位址篩選)。

在舊版中設定網路解除鎖定群組原則設定

網路解除鎖定與隨附的群組原則設定是在 Windows Server 2012 中引入,但可以使用執行 Windows Server2008R2 和 Windows Server2008 的作業系統來部署。

需求

  • 主持 WDS 的伺服器必須執行本主題開頭 [套用至] 清單中所指定的任何伺服器作業系統。
  • 用戶端電腦必須執行本主題開頭的 [適用于] 清單中所指定的任何用戶端作業系統。

下列步驟可用於在這些較舊的系統上設定網路解鎖。

  1. 安裝 WDS 伺服器角色
  2. 確認 WDS 服務正在執行
  3. 安裝網路解除鎖定功能
  4. 建立網路解除鎖定憑證
  5. 將私人金鑰和憑證部署到 WDS 伺服器
  6. 設定網路解除鎖定的註冊表設定:

    執行下列 certutil 腳本(假設您的網路解鎖憑證檔案稱為BitLocker-NetworkUnlock),並在執行本主題開頭的 [適用于] 清單中所指定的任何用戶端作業系統的電腦上,套用登錄設定。

    certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
    
  7. 在用戶端上設定 TPM 保護器

  8. 重新開機用戶端以新增網路(以憑證為基礎)保護器

請參閱