Condividi tramite


Sblocco di rete

Lo sblocco di rete è una protezione con chiave BitLocker per i volumi del sistema operativo. Sblocco di rete consente una gestione più semplice per i desktop e i server abilitati per BitLocker in un ambiente di dominio, offrendo lo sblocco automatico dei volumi del sistema operativo al riavvio del sistema quando si è connessi a una rete aziendale cablata. Lo sblocco di rete richiede che l'hardware client abbia un driver DHCP implementato nel firmware UEFI. Senza sblocco di rete, i volumi del sistema operativo protetti dalle TPM+PIN protezioni richiedono l'immissione di un PIN quando un dispositivo viene riavviato o ripreso dall'ibernazione (ad esempio, riattivazione LAN). La richiesta di un PIN dopo un riavvio può rendere difficile per le aziende implementare patch software a desktop automatici e server amministrati in remoto.

Sblocco di rete consente ai sistemi abilitati per BitLocker che dispongono di e TPM+PIN che soddisfano i requisiti hardware per l'avvio in Windows senza l'intervento dell'utente. Lo sblocco di rete funziona in modo simile a quello all'avvio TPM+StartupKey . Invece di dover leggere StartupKey dal supporto USB, tuttavia, la funzionalità Sblocco rete richiede che la chiave sia composta da una chiave archiviata nel TPM e da una chiave di rete crittografata inviata al server, decrittografata e restituita al client in una sessione sicura.

Requisiti di sistema

Lo sblocco di rete deve soddisfare i requisiti hardware e software obbligatori prima che la funzionalità possa sbloccare automaticamente i sistemi aggiunti a un dominio. Questi requisiti includono:

  • Qualsiasi sistema operativo supportato con driver DHCP UEFI che possono fungere da client di sblocco di rete
  • Sblocco di rete dei client con un chip TPM e almeno una protezione TPM
  • Un server che esegue il ruolo Servizi di distribuzione Windows (WDS) in qualsiasi sistema operativo del server supportato
  • Funzionalità facoltativa sblocco di rete BitLocker installata in qualsiasi sistema operativo server supportato
  • Un server DHCP, separato dal server WdS
  • Associazione di chiavi pubblica/privata configurata correttamente
  • Impostazioni dei criteri di gruppo Di sblocco di rete configurate
  • Stack di rete abilitato nel firmware UEFI dei dispositivi client

Importante

Per supportare DHCP all'interno di UEFI, il sistema basato su UEFI deve essere in modalità nativa e non deve avere un modulo di supporto per la compatibilità (CSM) abilitato.

Per il funzionamento affidabile dello sblocco di rete, la prima scheda di rete nel dispositivo, in genere la scheda di onboarding, deve essere configurata per supportare DHCP. Questa prima scheda di rete deve essere usata per Lo sblocco di rete. Questa configurazione è particolarmente utile notare quando il dispositivo ha più schede e alcune schede sono configurate senza DHCP, ad esempio per l'uso con un protocollo di gestione lights-out. Questa configurazione è necessaria perché sblocco di rete interrompe l'enumerazione delle schede quando ne raggiunge una con un errore di porta DHCP per qualsiasi motivo. Pertanto, se la prima scheda enumerata non supporta DHCP, non è collegata alla rete o non riesce a segnalare la disponibilità della porta DHCP per qualsiasi motivo, lo sblocco di rete ha esito negativo.

Il componente server Sblocco rete viene installato nelle versioni supportate di Windows Server come funzionalità di Windows che usa cmdlet Server Manager o Windows PowerShell. Il nome della funzionalità è BitLocker Network Unlock in Server Manager e BitLocker-NetworkUnlock in PowerShell.

Lo sblocco di rete richiede Servizi di distribuzione Windows (WDS) nell'ambiente in cui verrà usata la funzionalità. La configurazione dell'installazione di Servizi di distribuzione Windows non è necessaria. Tuttavia, il servizio Servizi di distribuzione Windows deve essere in esecuzione nel server.

La chiave di rete viene archiviata nell'unità di sistema insieme a una chiave di sessione AES 256 e crittografata con la chiave pubblica RSA a 2048 bit del certificato del server Unlock. La chiave di rete viene decrittografata con l'aiuto di un provider in una versione supportata di Windows Server l'esecuzione di Servizi di distribuzione Windows e viene restituita crittografata con la chiave di sessione corrispondente.

Sequenza di sblocco di rete

La sequenza di sblocco viene avviata sul lato client quando Gestione avvio Windows rileva l'esistenza della protezione di sblocco di rete. Usa il driver DHCP in UEFI per ottenere un indirizzo IP per IPv4 e quindi trasmette una richiesta DHCP specifica del fornitore che contiene la chiave di rete e una chiave di sessione per la risposta, tutte crittografate dal certificato di sblocco di rete del server. Il provider sblocco di rete nel server WdS supportato riconosce la richiesta specifica del fornitore, la decrittografa con la chiave privata RSA e restituisce la chiave di rete crittografata con la chiave di sessione tramite la propria risposta DHCP specifica del fornitore.

Sul lato server, il ruolo del server WDS ha un componente plug-in facoltativo, ad esempio un provider PXE, che gestisce le richieste di sblocco di rete in ingresso. Il provider può anche essere configurato con restrizioni della subnet, che richiederebbero che l'indirizzo IP fornito dal client nella richiesta di sblocco di rete appartenga a una subnet consentita per rilasciare la chiave di rete al client. Nei casi in cui il provider di sblocco di rete non è disponibile, BitLocker esegue il failover alla successiva protezione disponibile per sbloccare l'unità. In una configurazione tipica, viene visualizzata la schermata di sblocco standard TPM+PIN per sbloccare l'unità.

La configurazione lato server per abilitare Lo sblocco di rete richiede anche il provisioning di una coppia di chiavi rsa pubblica/privata a 2048 bit sotto forma di certificato X.509 e la distribuzione del certificato di chiave pubblica ai client. Questo certificato è la chiave pubblica che crittografa la chiave di rete intermedia ( uno dei due segreti necessari per sbloccare l'unità; l'altro segreto è archiviato nel TPM) e deve essere gestito e distribuito tramite Criteri di gruppo.

Il processo di sblocco della rete segue queste fasi:

  1. Gestione avvio Windows rileva una protezione sblocco di rete nella configurazione di BitLocker
  2. Il computer client usa il driver DHCP in UEFI per ottenere un indirizzo IP IPv4 valido
  3. Il computer client trasmette una richiesta DHCP specifica del fornitore che contiene una chiave di rete (una chiave intermedia a 256 bit) e una chiave di sessione AES-256 per la risposta. La chiave di rete viene crittografata usando la chiave pubblica RSA a 2048 bit del certificato di sblocco di rete dal server WDS
  4. Il provider di sblocco di rete nel server WdS riconosce la richiesta specifica del fornitore
  5. Il provider decrittografa la richiesta usando la chiave privata RSA del certificato RSA del server WdS
  6. Il provider wds restituisce la chiave di rete crittografata con la chiave di sessione usando la propria risposta DHCP specifica del fornitore al computer client. Questa chiave è una chiave intermedia
  7. La chiave intermedia restituita viene combinata con un'altra chiave intermedia locale a 256 bit. Questa chiave può essere decrittografata solo dal TPM
  8. Questa chiave combinata viene usata per creare una chiave AES-256 che sblocca il volume
  9. Windows continua la sequenza di avvio

Configurare lo sblocco di rete

La procedura seguente consente a un amministratore di configurare lo sblocco di rete in un dominio di Active Directory.

Installare il ruolo del server WdS

La funzionalità sblocco di rete BitLocker installa il ruolo Servizi di distribuzione Windows se non è già installato. WdS può essere installato separatamente, prima dell'installazione di Sblocco di rete BitLocker, usando Server Manager o PowerShell. Per installare il ruolo usando Server Manager, selezionare il ruolo Servizi di distribuzione Windows in Server Manager.

Per installare il ruolo tramite PowerShell, usare il comando seguente:

Install-WindowsFeature WDS-Deployment

Il server WdS deve essere configurato in modo che possa comunicare con DHCP (e, facoltativamente, Servizi di dominio Active Directory) e il computer client. Il server WdS può essere configurato usando lo strumento di gestione di Servizi di distribuzione Windows, , wdsmgmt.mscche avvia la configurazione guidata di Servizi di distribuzione Windows.

Verificare che il servizio Servizi di distribuzione Windows sia in esecuzione

Per verificare che il servizio Servizi di distribuzione Windows sia in esecuzione, usare Services Management Console o PowerShell. Per verificare che il servizio sia in esecuzione in Services Management Console, aprire la console usando services.msc e controllare lo stato del servizio Servizi di distribuzione Windows .

Per verificare che il servizio sia in esecuzione tramite PowerShell, usare il comando seguente:

Get-Service WDSServer

Installare la funzionalità Sblocco di rete

Per installare la funzionalità Sblocco di rete, usare Server Manager o PowerShell. Per installare la funzionalità usando Server Manager, selezionare la funzionalità sblocco di rete BitLocker nella console di Server Manager.

Per installare la funzionalità tramite PowerShell, usare il comando seguente:

Install-WindowsFeature BitLocker-NetworkUnlock

Creare il modello di certificato per Lo sblocco di rete

Un'autorità di certificazione Active Directory configurata correttamente può usare questo modello di certificato per creare ed emettere certificati di sblocco di rete.

  1. Aprire lo snap-in Modello certificati (certtmpl.msc)

  2. Individuare il modello Utente, fare clic con il pulsante destro del mouse sul nome del modello e scegliere Duplica modello

  3. Nella scheda Compatibilità modificare rispettivamente i campi Autorità di certificazione e Destinatario certificato in Windows Server 2016 e Windows 10. Assicurarsi che la finestra di dialogo Mostra modifiche risultanti sia selezionata

  4. Selezionare la scheda Generale del modello. Il nome visualizzato del modello e il nome del modello devono identificare che il modello verrà usato per Lo sblocco di rete. Deselezionare la casella di controllo per l'opzione Pubblica certificato in Active Directory

  5. Selezionare la scheda Gestione richieste . Selezionare Crittografia dal menu a discesa Scopo . Assicurarsi che l'opzione Consenti l'esportazione della chiave privata sia selezionata

  6. Selezionare la scheda Crittografia . Impostare la dimensione minima della chiave su 2048. Qualsiasi provider di crittografia Microsoft che supporta RSA può essere usato per questo modello, ma per semplicità e compatibilità con l'inoltro è consigliabile usare il provider di archiviazione chiavi software Microsoft

  7. Selezionare l'opzione Richieste che deve usare uno dei provider seguenti e deselezionare tutte le opzioni, ad eccezione del provider di crittografia selezionato, ad esempio Provider di archiviazione chiavi software Microsoft

  8. Selezionare la scheda Nome soggetto . Selezionare Fornitura nella richiesta. Selezionare OK se viene visualizzata la finestra di dialogo popup Modelli di certificato

  9. Selezionare la scheda Requisiti di rilascio. Selezionare sia l'approvazione del gestore certificati CA che le opzioni Valide per i certificati esistenti

  10. Selezionare la scheda Estensioni . Selezionare Criteri applicazione e scegliere Modifica...

  11. Nella finestra di dialogo Modifica estensione criteri applicazione selezionare Autenticazione client, Crittografia file systeme Protezione Email e scegliere Rimuovi

  12. Nella finestra di dialogo Modifica estensione criteri applicazione selezionare Aggiungi

  13. Nella finestra di dialogo Aggiungi criteri applicazione selezionare Nuovo. Nella finestra di dialogo Nuovo criterio applicazione immettere le informazioni seguenti nello spazio specificato e quindi selezionare OK per creare il criterio applicazione Sblocco rete BitLocker:

    • Name:BitLocker Network Unlock
    • Identificatore oggetto:1.3.6.1.4.1.311.67.1.1
  14. Selezionare il criterio dell'applicazione BitLocker Network Unlock appena creato e selezionare OK

  15. Con la scheda Estensioni ancora aperta, selezionare la finestra di dialogo Modifica estensione utilizzo chiave . Selezionare l'opzione Consenti lo scambio di chiavi solo con crittografia chiave (crittografia chiave). Selezionare l'opzione Rendi critica l'estensione

  16. Selezionare la scheda Sicurezza. Verificare che al gruppo Domain Admins sia stata concessa l'autorizzazione Registrazione

  17. Selezionare OK per completare la configurazione del modello

Per aggiungere il modello Sblocco di rete all'autorità di certificazione, aprire lo snap-in autorità di certificazione (certsrv.msc). Fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Nuovo modello di certificato da rilasciare. Selezionare il certificato di sblocco di rete BitLocker creato in precedenza.

Dopo aver aggiunto il modello sblocco di rete all'autorità di certificazione, questo certificato può essere usato per configurare lo sblocco di rete di BitLocker.

Creare il certificato di sblocco della rete

Sblocco di rete può usare certificati importati da un'infrastruttura a chiave pubblica (PKI) esistente. In alternativa, può usare un certificato autofirma.

Per registrare un certificato da un'autorità di certificazione esistente:

  1. Nel server Servizi di distribuzione Windows aprire Gestione certificati usando certmgr.msc
  2. In Certificati - Utente corrente fare clic con il pulsante destro del mouse su Personale
  3. Selezionare Tutte le attività>Richiedi nuovo certificato
  4. Quando si apre la registrazione guidata certificati, selezionare Avanti
  5. Selezionare Criteri di registrazione di Active Directory
  6. Scegliere il modello di certificato creato per sblocco di rete nel controller di dominio. Selezionare quindi Registra
  7. Quando vengono richieste altre informazioni, selezionare Nome soggetto e specificare un valore per il nome descrittivo. Il nome descrittivo deve includere informazioni per il dominio o l'unità organizzativa per il certificato, ad esempio: Certificato di sblocco di rete BitLocker per il dominio Contoso
  8. Creare il certificato. Verificare che il certificato venga visualizzato nella cartella Personale
  9. Esportare il certificato della chiave pubblica per Lo sblocco di rete:
    1. Creare un .cer file facendo clic con il pulsante destro del mouse sul certificato creato in precedenza, selezionando Tutte le attività e quindi scegliendo Esporta
    2. Selezionare No, non esportare la chiave privata
    3. Selezionare DER encoded binary X.509 e completare l'esportazione del certificato in un file
    4. Assegnare al file un nome, ad esempio BitLocker-NetworkUnlock.cer
  10. Esportare la chiave pubblica con una chiave privata per lo sblocco di rete
    1. Creare un .pfx file facendo clic con il pulsante destro del mouse sul certificato creato in precedenza, selezionando Tutte le attività e quindi scegliendo Esporta
    2. Selezionare Sì, esportare la chiave privata
    3. Completare i passaggi per creare il .pfx file

Per creare un certificato autofirma, usare il New-SelfSignedCertificate cmdlet in Windows PowerShell o usare certreq.exe. Ad esempio:

PowerShell

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe

  1. Creare un file di testo con un'estensione .inf , ad esempio:

    notepad.exe BitLocker-NetworkUnlock.inf
    
  2. Aggiungere il contenuto seguente al file creato in precedenza:

    [NewRequest]
    Subject="CN=BitLocker Network Unlock certificate"
    ProviderType=0
    MachineKeySet=True
    Exportable=true
    RequestType=Cert
    KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
    KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
    KeyLength=2048
    SMIME=FALSE
    HashAlgorithm=sha512
    [Extensions]
    1.3.6.1.4.1.311.21.10 = "{text}"
    _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
    2.5.29.37 = "{text}"
    _continue_ = "1.3.6.1.4.1.311.67.1.1"
    
  3. Aprire un prompt dei comandi con privilegi elevati e usare lo certreq.exe strumento per creare un nuovo certificato. Usare il comando seguente, specificando il percorso completo del file creato in precedenza insieme al nome del file:

    certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
    
  4. Verificare che il certificato sia stato creato correttamente dal comando precedente confermando che il .cer file esiste

  5. Avviare la console Certificati - Computer locale eseguendo certlm.msc

  6. Creare un .pfx file seguendo i passaggi seguenti della console Certificati - Computer locale :

    1. Passare a Certificati -Certificatipersonali> computer > locale
    2. Fare clic con il pulsante destro del mouse sul certificato importato in precedenza, selezionare Tutte le attività e quindi scegliere Esporta
    3. Seguire la procedura guidata per creare il .pfx file

Distribuire la chiave privata e il certificato nel server WdS

Dopo aver creato il certificato e la chiave, distribuirli nell'infrastruttura per sbloccare correttamente i sistemi. Per distribuire i certificati:

  1. Nel server WdS avviare la console Certificati - Computer locale eseguendo certlm.msc
  2. Fare clic con il pulsante destro del mouse sull'elemento Sblocco rete crittografia unità BitLocker in Certificati (computer locale), selezionare Tutte le attività e quindi selezionare Importa
  3. Nella finestra di dialogo File da importare scegliere il .pfx file creato in precedenza
  4. Immettere la password usata per creare e .pfx completare la procedura guidata

Configurare le impostazioni dei criteri di gruppo per Lo sblocco di rete

Con il certificato e la chiave distribuiti nel server WdS per sblocco di rete, il passaggio finale consiste nell'usare le impostazioni dei criteri di gruppo per distribuire il certificato di chiave pubblica nei computer desiderati che useranno la chiave sblocco di rete per sbloccare. Le impostazioni dei criteri di gruppo per BitLocker sono disponibili in Configurazione> computerModelli> amministrativiComponenti> di WindowsCrittografia unità BitLocker usando la Criteri di gruppo Editor locale o Microsoft Management Console.

I passaggi seguenti descrivono come abilitare l'impostazione di Criteri di gruppo che è un requisito per la configurazione dello sblocco di rete.

  1. Aprire Criteri di gruppo Management Console (gpmc.msc)
  2. Abilitare il criterio Richiedi autenticazione aggiuntiva all'avvio e quindi selezionare Richiedi PIN di avvio con TPM o Consenti PIN di avvio con TPM
  3. Attivare BitLocker con protezioni TPM+PIN in tutti i computer aggiunti a un dominio

I passaggi seguenti descrivono come distribuire l'impostazione di Criteri di gruppo necessaria:

  1. Copiare il .cer file creato per sblocco di rete nel controller di dominio

  2. Nel controller di dominio aprire Criteri di gruppo Management Console (gpmc.msc)

  3. Creare un nuovo oggetto Criteri di gruppo o modificare un oggetto esistente per abilitare l'impostazione Consenti sblocco di rete all'avvio

  4. Distribuire il certificato pubblico ai client:

    1. Nella console di gestione dei criteri di gruppo passare al percorso seguente:

      Configurazione> computerPolitiche>Impostazioni di> WindowsImpostazioni> di sicurezzaCriteri >di chiave pubblicaCertificato di sblocco di rete crittografia unità BitLocker.

    2. Fare clic con il pulsante destro del mouse sulla cartella e scegliere Aggiungi certificato di sblocco di rete

    3. Seguire i passaggi della procedura guidata e importare il .cer file copiato in precedenza

    Nota

    Può essere disponibile un solo certificato di sblocco di rete alla volta. Se è necessario un nuovo certificato, eliminare il certificato corrente prima di distribuirne uno nuovo. Il certificato di sblocco della rete si trova nella chiave del HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP Registro di sistema nel computer client.

  5. Riavviare i client dopo la distribuzione del Criteri di gruppo

    Nota

    La protezione Rete (basata su certificati) verrà aggiunta solo dopo un riavvio, con i criteri abilitati e un certificato valido presente nell'archivio FVE_NKP.

File di configurazione dei criteri di subnet nel server WdS (facoltativo)

Per impostazione predefinita, tutti i client con il certificato di sblocco di rete corretto e le protezioni di sblocco di rete valide con accesso cablato a un server WdS abilitato per lo sblocco della rete tramite DHCP vengono sbloccati dal server. È possibile creare un file di configurazione dei criteri di subnet nel server WdS per limitare quali sono le subnet che i client sblocco rete possono usare per sbloccare.

Il file di configurazione denominato bde-network-unlock.ini, deve trovarsi nella stessa directory della DLL del provider di sblocco di rete (%windir%\System32\Nkpprov.dll) e si applica sia alle implementazioni DHCP IPv6 che IPv4. Se i criteri di configurazione della subnet diventano danneggiati, il provider ha esito negativo e smette di rispondere alle richieste.

Il file di configurazione dei criteri di subnet deve usare una [SUBNETS] sezione per identificare le subnet specifiche. Le subnet denominate possono quindi essere usate per specificare restrizioni nelle sottosezioni del certificato. Le subnet sono definite come semplici coppie nome-valore, nel formato INI comune, in cui ogni subnet ha una propria riga, con il nome a sinistra del segno di uguale e la subnet identificata a destra del segno di uguale come un indirizzo o un intervallo CIDR (Classless Inter-Domain Routing). La parola chiave ENABLED non è consentita per i nomi di subnet.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

Seguendo la [SUBNETS] sezione , possono essere presenti sezioni per ogni certificato di sblocco di rete, identificato dall'identificazione personale del certificato formattata senza spazi, che definiscono i client delle subnet che possono essere sbloccati da tale certificato.

Nota

Quando si specifica l'identificazione personale del certificato, non includere spazi. Se gli spazi sono inclusi nell'identificazione personale, la configurazione della subnet ha esito negativo perché l'identificazione personale non verrà riconosciuta come valida.

Le restrizioni delle subnet vengono definite all'interno di ogni sezione del certificato denotando l'elenco consentito di subnet consentite. Se in una sezione del certificato sono elencate subnet, solo quelle subnet sono consentite per tale certificato. Se in una sezione del certificato non è elencata alcuna subnet, tutte le subnet sono consentite per tale certificato. Se un certificato non dispone di una sezione nel file di configurazione dei criteri di subnet, non vengono applicate restrizioni di subnet per lo sblocco con tale certificato. Per applicare restrizioni a ogni certificato, è necessario disporre di una sezione del certificato per ogni certificato di sblocco di rete nel server e di un elenco esplicito consentito per ogni sezione del certificato.

Gli elenchi di subnet vengono creati inserendo il nome di una subnet dalla [SUBNETS] sezione nella relativa riga sotto l'intestazione della sezione del certificato. Il server sbloccherà quindi solo i client con questo certificato nelle subnet specificate come nell'elenco. Per la risoluzione dei problemi, è possibile escludere rapidamente una subnet senza eliminarla dalla sezione impostandola come commento con un punto e virgola anteposto.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Per non consentire completamente l'uso di un certificato, aggiungere una DISABLED riga al relativo elenco di subnet.

Disattiva sblocco di rete

Per disattivare il server di sblocco, è possibile annullare la registrazione del provider PXE dal server WdS o disinstallarlo completamente. Tuttavia, per impedire ai client di creare protezioni di sblocco di rete, è necessario disabilitare l'impostazione dei criteri di gruppo Consenti sblocco di rete all'avvio . Quando questa impostazione di criterio viene aggiornata su disabilitata nei computer client, viene eliminata qualsiasi protezione della chiave di sblocco di rete nel computer. In alternativa, i criteri del certificato sblocco rete BitLocker possono essere eliminati nel controller di dominio per eseguire la stessa attività per un intero dominio.

Nota

La rimozione del FVE_NKP archivio certificati che contiene il certificato e la chiave di sblocco di rete nel server WdS disabiliterà in modo efficace anche la capacità del server di rispondere alle richieste di sblocco per tale certificato. Tuttavia, si tratta di una condizione di errore e non è un metodo supportato o consigliato per disattivare il server di sblocco di rete.

Aggiornare i certificati di sblocco di rete

Per aggiornare i certificati usati da Sblocco di rete, gli amministratori devono importare o generare il nuovo certificato per il server e quindi aggiornare l'impostazione del gruppo di certificati Sblocco rete nel controller di dominio.

Nota

I server che non ricevono l'impostazione di Criteri di gruppo richiedono un PIN all'avvio. In questi casi, scoprire perché i server non ricevono l'oggetto Criteri di gruppo per aggiornare il certificato.

Risolvere i problemi di sblocco di rete

La risoluzione dei problemi di sblocco della rete inizia verificando l'ambiente. Molte volte, un piccolo problema di configurazione può essere la causa radice dell'errore. Gli elementi da verificare includono:

  • Verificare che l'hardware client sia basato su UEFI e si trova nella versione 2.3.1 del firmware e che il firmware UEFI sia in modalità nativa senza che sia abilitato un modulo di supporto per la compatibilità (CSM) per la modalità BIOS. La verifica può essere eseguita controllando che il firmware non abbia un'opzione abilitata, ad esempio "Modalità legacy" o "Modalità compatibilità" o che il firmware non sembri essere in una modalità simile al BIOS

  • Se l'hardware client è un dispositivo Secure Core, potrebbe essere necessario disabilitare la funzionalità Secure Core

  • Tutti i ruoli e i servizi necessari vengono installati e avviati

  • I certificati pubblici e privati sono stati pubblicati e si trovano nei contenitori di certificati appropriati. La presenza del certificato di sblocco di rete può essere verificata in Microsoft Management Console (MMC.exe) nel server WdS con gli snap-in del certificato per il computer locale abilitato. Il certificato client può essere verificato controllando la chiave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP del Registro di sistema nel computer client

  • Criteri di gruppo per Lo sblocco di rete è abilitato e collegato ai domini appropriati

  • Verificare se i criteri di gruppo raggiungono correttamente i client. La verifica dei criteri di gruppo può essere eseguita usando le GPRESULT.exe utilità o RSOP.msc

  • Verificare se i client sono stati riavviati dopo l'applicazione dei criteri

  • Verificare se la protezione Rete (basata su certificati) è elencata nel client. La verifica della protezione può essere eseguita usando i cmdlet manage-bde o Windows PowerShell. Ad esempio, il comando seguente elenca le protezioni chiave attualmente configurate nell'unità C: del computer locale:

    manage-bde.exe -protectors -get C:
    

    Nota

    Usare l'output di insieme al log di manage-bde.exe debug di Servizi di distribuzione Windows per determinare se viene usata l'identificazione personale del certificato appropriata per Lo sblocco di rete.

Raccogliere i file seguenti per risolvere i problemi di sblocco di rete di BitLocker.

  • Log eventi di Windows. In particolare, ottenere i log eventi di BitLocker e il Microsoft-Windows-Deployment-Services-Diagnostics-Debug log

    La registrazione di debug è disattivata per impostazione predefinita per il ruolo del server WdS. Per recuperare i log di debug di Servizi di distribuzione Windows, è prima necessario abilitare i log di debug di Servizi di distribuzione Windows. Usare uno dei due metodi seguenti per attivare la registrazione di debug di Servizi di distribuzione Windows.

    • Avviare un prompt dei comandi con privilegi elevati e quindi eseguire il comando seguente:

      wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      
    • Aprire Visualizzatore eventi nel server WdS:

      1. Nel riquadro sinistro passare a Registri >applicazioni e serviziMicrosoft> Windows >Deployment-Services-Diagnostics> Debug
      2. Nel riquadro destro selezionare Abilita log
  • File di configurazione della subnet DHCP (se esistente)

  • Output dello stato di BitLocker nel volume. Raccogliere questo output in un file di testo usando manage-bde.exe -status. Oppure, in Windows PowerShell, usareGet-BitLockerVolume

  • Acquisizione di Monitoraggio di rete nel server che ospita il ruolo WdS, filtrato in base all'indirizzo IP client