Partilhar via

Desbloqueio de Rede

O Desbloqueio de Rede é um protetor de chave BitLocker para volumes de sistema operativo. O Desbloqueio de Rede permite uma gestão mais fácil para ambientes de trabalho e servidores preparados para BitLocker num ambiente de domínio, fornecendo o desbloqueio automático de volumes do sistema operativo durante o reinício do sistema quando ligados a uma rede empresarial com fios. O Desbloqueio de Rede requer que o hardware do cliente tenha um controlador DHCP implementado no respetivo firmware UEFI. Sem o Desbloqueio de Rede, os volumes do sistema operativo protegidos por TPM+PIN protetores requerem a introdução de um PIN quando um dispositivo é reiniciado ou retomado da hibernação (por exemplo, por Reativação na LAN). Exigir um PIN após um reinício pode dificultar a implementação de patches de software para ambientes de trabalho sem supervisão e servidores administrados remotamente.

O Desbloqueio de Rede permite sistemas preparados para BitLocker que têm um TPM+PIN e que cumprem os requisitos de hardware para arrancar no Windows sem intervenção do utilizador. O Desbloqueio de Rede funciona de forma semelhante à no TPM+StartupKey arranque. No entanto, em vez de precisar de ler a Chave de Arranque a partir de um suporte de dados USB, a funcionalidade Desbloqueio da Rede precisa que a chave seja composta a partir de uma chave armazenada no TPM e de uma chave de rede encriptada que é enviada para o servidor, desencriptada e devolvida ao cliente numa sessão segura.

Requisitos de sistema

O Desbloqueio de Rede tem de cumprir os requisitos obrigatórios de hardware e software para que a funcionalidade possa desbloquear automaticamente sistemas associados a um domínio. Estes requisitos incluem:

  • Qualquer sistema operativo suportado com controladores DHCP UEFI que possam servir como clientes de Desbloqueio de Rede
  • Desbloqueie clientes de Rede com um chip TPM e, pelo menos, um protetor TPM
  • Um servidor a executar a função dos Serviços de Implementação do Windows (WDS) em qualquer sistema operativo de servidor suportado
  • Funcionalidade opcional de Desbloqueio de Rede bitLocker instalada em qualquer sistema operativo de servidor suportado
  • Um servidor DHCP, separado do servidor WDS
  • Emparelhamento de chaves públicas/privadas corretamente configurado
  • Definições de política de grupo de Desbloqueio de Rede configuradas
  • Pilha de rede ativada no firmware UEFI de dispositivos cliente

Importante

Para suportar o DHCP no UEFI, o sistema baseado em UEFI deve estar no modo nativo e não deve ter um módulo de suporte de compatibilidade (CSM) ativado.

Para que o Desbloqueio de Rede funcione de forma fiável, o primeiro adaptador de rede no dispositivo, normalmente o adaptador de inclusão, tem de ser configurado para suportar DHCP. Este primeiro adaptador de rede tem de ser utilizado para o Desbloqueio de Rede. Esta configuração é especialmente importante quando o dispositivo tem vários adaptadores e alguns adaptadores são configurados sem DHCP, como para utilização com um protocolo de gestão de luzes. Esta configuração é necessária porque o Desbloqueio de Rede deixa de enumerar adaptadores quando atinge um com uma falha de porta DHCP por qualquer motivo. Assim, se o primeiro adaptador enumerado não suportar DHCP, não estiver ligado à rede ou não comunicar a disponibilidade da porta DHCP por qualquer motivo, o Desbloqueio de Rede falhará.

O componente servidor de Desbloqueio de Rede está instalado em versões suportadas do Windows Server como uma funcionalidade do Windows que utiliza cmdlets do Gestor de Servidor ou do Windows PowerShell. O nome da funcionalidade está BitLocker Network Unlock no Gestor de Servidor e BitLocker-NetworkUnlock no PowerShell.

O Desbloqueio de Rede requer os Serviços de Implementação do Windows (WDS) no ambiente onde a funcionalidade será utilizada. A configuração da instalação do WDS não é necessária. No entanto, o serviço WDS tem de estar em execução no servidor.

A chave de rede é armazenada na unidade do sistema juntamente com uma chave de sessão AES 256 e encriptada com a chave pública RSA de 2048 bits do certificado de servidor de Desbloqueio. A chave de rede é desencriptada com a ajuda de um fornecedor numa versão suportada do Windows Server a executar o WDS e devolvida encriptada com a respetiva chave de sessão correspondente.

Sequência de Desbloqueio de Rede

A sequência de desbloqueio começa no lado do cliente quando o gestor de arranque do Windows deteta a existência do protetor de Desbloqueio de Rede. Utiliza o controlador DHCP no UEFI para obter um endereço IP para IPv4 e, em seguida, transmite um pedido DHCP específico do fornecedor que contém a chave de rede e uma chave de sessão para a resposta, tudo encriptado pelo certificado de Desbloqueio de Rede do servidor. O fornecedor de Desbloqueio de Rede no servidor WDS suportado reconhece o pedido específico do fornecedor, desencripta-o com a chave privada RSA e devolve a chave de rede encriptada com a chave de sessão através da sua própria resposta DHCP específica do fornecedor.

Do lado do servidor, a função de servidor WDS tem um componente de plug-in opcional, como um fornecedor PXE, que é o que processa os pedidos de Desbloqueio de Rede recebidos. O fornecedor também pode ser configurado com restrições de sub-rede, o que exigiria que o endereço IP fornecido pelo cliente no pedido de Desbloqueio de Rede pertencesse a uma sub-rede permitida para libertar a chave de rede para o cliente. Em casos em que o fornecedor de Desbloqueio de Rede está indisponível, o BitLocker efetua a ativação pós-falha para o protetor disponível seguinte para desbloquear a unidade. Numa configuração típica, é apresentado o ecrã de desbloqueio padrão TPM+PIN para desbloquear a unidade.

A configuração do lado do servidor para ativar o Desbloqueio de Rede também requer o aprovisionamento de um par de chaves públicas/privadas RSA de 2048 bits sob a forma de um certificado X.509 e a distribuição do certificado de chave pública para os clientes. Este certificado é a chave pública que encripta a chave de rede intermédia (que é um dos dois segredos necessários para desbloquear a unidade; o outro segredo é armazenado no TPM) e tem de ser gerido e implementado através da Política de Grupo.

O processo de Desbloqueio da Rede segue estas fases:

  1. O gestor de arranque do Windows deteta um protetor de Desbloqueio de Rede na configuração do BitLocker
  2. O computador cliente utiliza o controlador DHCP no UEFI para obter um endereço IP IPv4 válido
  3. O computador cliente transmite um pedido DHCP específico do fornecedor que contém uma chave de rede (uma chave intermédia de 256 bits) e uma chave de sessão AES-256 para a resposta. A chave de rede é encriptada com a Chave Pública RSA de 2048 bits do certificado de Desbloqueio de Rede do servidor WDS
  4. O fornecedor de Desbloqueio de Rede no servidor WDS reconhece o pedido específico do fornecedor
  5. O fornecedor desencripta o pedido com a chave privada RSA do certificado de Desbloqueio da Rede BitLocker do servidor WDS
  6. O fornecedor do WDS devolve a chave de rede encriptada com a chave de sessão através da resposta DHCP específica do fornecedor ao computador cliente. Esta chave é uma chave intermédia
  7. A chave intermédia devolvida é combinada com outra chave intermédia local de 256 bits. Esta chave só pode ser desencriptada pelo TPM
  8. Esta chave combinada é utilizada para criar uma chave AES-256 que desbloqueia o volume
  9. O Windows continua a sequência de arranque

Diagrama da sequência Desbloqueio da Rede.

Configurar o Desbloqueio pela rede

Os passos seguintes permitem a um administrador configurar o Desbloqueio de Rede num domínio do Active Directory.

Instalar a função de servidor WDS

A funcionalidade Desbloqueio de Rede BitLocker instala a função WDS se ainda não estiver instalada. O WDS pode ser instalado separadamente, antes de o Desbloqueio de Rede do BitLocker ser instalado, utilizando o Gestor de Servidor ou o PowerShell. Para instalar a função com o Gestor de Servidor, selecione a função Serviços de Implementação do Windows no Gestor de Servidores.

Para instalar a função com o PowerShell, utilize o seguinte comando:

Install-WindowsFeature WDS-Deployment

O servidor WDS tem de ser configurado para poder comunicar com o DHCP (e, opcionalmente, com o AD DS) e com o computador cliente. O servidor WDS pode ser configurado com a ferramenta de gestão do WDS, wdsmgmt.msc, que inicia o assistente de Configuração dos Serviços de Implementação do Windows.

Confirme que o serviço WDS está em execução

Para confirmar que o serviço WDS está em execução, utilize a Consola de Gestão de Serviços ou o PowerShell. Para confirmar que o serviço está em execução na Consola de Gestão de Serviços, abra a consola com services.msc e verifique o estado do serviço Serviços de Implementação do Windows .

Para confirmar que o serviço está em execução com o PowerShell, utilize o seguinte comando:

Get-Service WDSServer

Instalar a funcionalidade Desbloqueio da Rede

Para instalar a funcionalidade Desbloqueio de Rede, utilize o Gestor de Servidor ou o PowerShell. Para instalar a funcionalidade com o Gestor de Servidor, selecione a funcionalidade Desbloqueio de Rede bitLocker na consola do Gestor de Servidor.

Para instalar a funcionalidade com o PowerShell, utilize o seguinte comando:

Install-WindowsFeature BitLocker-NetworkUnlock

Criar o modelo de certificado para Desbloqueio de Rede

Uma Autoridade de Certificação do Active Directory corretamente configurada pode utilizar este modelo de certificado para criar e emitir certificados de Desbloqueio de Rede.

  1. Abra o snap-in Modelo de Certificados (certtmpl.msc)

  2. Localize o Modelo de utilizador, clique com o botão direito do rato no nome do modelo e selecione Duplicar Modelo

  3. No separador Compatibilidade , altere os campos Autoridade de Certificação e Destinatário do certificado para Windows Server 2016 e Windows 10, respetivamente. Certifique-se de que a caixa de diálogo Mostrar alterações resultantes está selecionada

  4. Selecione o separador Geral do modelo. O Nome a apresentar do modelo e o Nome do modelo devem identificar que o modelo será utilizado para Desbloqueio da Rede. Desmarque a caixa de verificação da opção Publicar certificado no Active Directory

  5. Selecione o separador Processamento de Pedidos . Selecione Encriptação no menu pendente Objetivo . Certifique-se de que a opção Permitir a exportação da chave privada está selecionada

  6. Selecione o separador Criptografia . Defina o Tamanho mínimo da chave como 2048. Qualquer fornecedor de criptografia da Microsoft que suporte RSA pode ser utilizado para este modelo, mas para simplificar e reencaminhar a compatibilidade, é recomendado utilizar o Fornecedor de Armazenamento de Chaves de Software microsoft

  7. Selecione a opção Pedidos tem de utilizar um dos seguintes fornecedores e limpar todas as opções exceto o fornecedor de criptografia selecionado, como o Fornecedor de Armazenamento de Chaves de Software microsoft

  8. Selecione o separador Nome do Requerente . Selecione Fornecer no pedido. Selecione OK se a caixa de diálogo de pop-up modelos de certificado for apresentada

  9. Selecione o separador Requisitos de Emissão. Selecione aprovação do gestor de certificados da AC e Opções de certificados existentes válidas

  10. Selecione o separador Extensões . Selecione Políticas de Aplicação e selecione Editar...

  11. Na caixa de diálogo Editar Opções de Extensão de Políticas de Aplicação , selecione Autenticação de Cliente, Encriptar Sistema de Ficheirose Proteger E-mail e selecione Remover

  12. Na caixa de diálogo Editar Extensão de Políticas de Aplicação , selecione Adicionar

  13. Na caixa de diálogo Adicionar Política de Aplicação , selecione Novo. Na caixa de diálogo Nova Política de Aplicação , introduza as seguintes informações no espaço fornecido e, em seguida, selecione OK para criar a política de desbloqueio da rede BitLocker:

    • Nome:Desbloqueio de Rede BitLocker
    • Identificador de Objeto:1.3.6.1.4.1.311.67.1.1

  14. Selecione a política de aplicação Desbloqueio da Rede BitLocker recentemente criada e selecione OK

  15. Com o separador Extensões ainda aberto, selecione a caixa de diálogo Editar Extensão de Utilização de Chaves . Selecione a opção Permitir troca de chaves apenas com encriptação de chave (cifragem de chaves ). Selecione a opção Tornar esta extensão crítica

  16. Selecione o separador Segurança. Confirme que foi concedida permissão de Inscrição ao grupo Admins do Domínio

  17. Selecione OK para concluir a configuração do modelo

Para adicionar o modelo Desbloqueio de Rede à autoridade de certificação, abra o snap-in da autoridade de certificação (certsrv.msc). Clique com o botão direito do rato em Modelos de Certificado e, em seguida, selecione Novo, Modelo de Certificado a emitir. Selecione o certificado de Desbloqueio de Rede BitLocker criado anteriormente.

Depois de o modelo Desbloqueio de Rede ser adicionado à autoridade de certificação, este certificado pode ser utilizado para configurar o Desbloqueio de Rede do BitLocker.

Criar o certificado de Desbloqueio de Rede

O Desbloqueio de Rede pode utilizar certificados importados de uma infraestrutura de chaves públicas (PKI) existente. Em alternativa, pode utilizar um certificado autoassinado.

Para inscrever um certificado de uma autoridade de certificação existente:

  1. No servidor WDS, abra o Gestor de Certificados com certmgr.msc
  2. Em Certificados – Utilizador Atual, clique com o botão direito do rato em Pessoal
  3. Selecionar Todas as Tarefas>Pedir Novo Certificado
  4. Quando o assistente de Inscrição de Certificados abrir, selecione Seguinte
  5. Selecione Política de Inscrição do Active Directory
  6. Escolha o modelo de certificado que foi criado para Desbloqueio de Rede no controlador de domínio. Em seguida, selecione Inscrever
  7. Quando lhe for pedido para obter mais informações, selecione Nome do Requerente e forneça um valor de nome amigável. O nome amigável deve incluir informações para o domínio ou unidade organizacional para o certificado Por exemplo: BitLocker Network Unlock Certificate for Contoso domain
  8. Crie o certificado. Certifique-se de que o certificado aparece na pasta Pessoal
  9. Exportar o certificado de chave pública para Desbloqueio de Rede:
    1. Crie um .cer ficheiro clicando com o botão direito do rato no certificado criado anteriormente, selecionando Todas as Tarefas e, em seguida, selecionando Exportar
    2. Selecione Não, não exporte a chave privada
    3. Selecione X.509 binário codificado por DER e conclua a exportação do certificado para um ficheiro
    4. Atribua um nome ao ficheiro, como BitLocker-NetworkUnlock.cer
  10. Exportar a chave pública com uma chave privada para Desbloqueio de Rede
    1. Crie um .pfx ficheiro clicando com o botão direito do rato no certificado criado anteriormente, selecionando Todas as Tarefas e, em seguida, selecionando Exportar
    2. Selecione Sim, exportar a chave privada
    3. Conclua os passos para criar o .pfx ficheiro

Para criar um certificado autoassinado, utilize o New-SelfSignedCertificate cmdlet no Windows PowerShell ou utilize certreq.exe. Por exemplo:

Windows PowerShell

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe

  1. Crie um ficheiro de texto com uma extensão .inf , por exemplo:

    notepad.exe BitLocker-NetworkUnlock.inf

  2. Adicione os seguintes conteúdos ao ficheiro criado anteriormente:

    [NewRequest]
Subject="CN=BitLocker Network Unlock certificate"
ProviderType=0
MachineKeySet=True
Exportable=true
RequestType=Cert
KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
KeyLength=2048
SMIME=FALSE
HashAlgorithm=sha512
[Extensions]
1.3.6.1.4.1.311.21.10 = "{text}"
_continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
2.5.29.37 = "{text}"
_continue_ = "1.3.6.1.4.1.311.67.1.1"

  3. Abra uma Linha de Comandos elevada e utilize a certreq.exe ferramenta para criar um novo certificado. Utilize o seguinte comando, especificando o caminho completo para o ficheiro que foi criado anteriormente juntamente com o nome do ficheiro:

    certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer

  4. Verifique se o certificado foi criado corretamente pelo comando anterior ao confirmar que o .cer ficheiro existe

  5. Inicie a consola Certificados – Computador Local ao executar certlm.msc

  6. Crie um .pfx ficheiro ao seguir os passos abaixo na consola Certificados – Computador Local :

    1. Navegue para Certificados – CertificadosPessoais> do Computador Local>
    2. Clique com o botão direito do rato no certificado importado anteriormente, selecione Todas as Tarefas e, em seguida, selecione Exportar
    3. Siga o assistente para criar o .pfx ficheiro

Implementar a chave privada e o certificado no servidor WDS

Depois de criar o certificado e a chave, implemente-os na infraestrutura para desbloquear corretamente os sistemas. Para implementar os certificados:

  1. No servidor WDS, inicie a consola Certificados – Computador Local ao executar certlm.msc
  2. Clique com o botão direito do rato em Item de Desbloqueio da Rede de Encriptação de Unidade BitLocker em Certificados (Computador Local), selecione Todas as Tarefas e, em seguida, selecione Importar
  3. Na caixa de diálogo Ficheiro a Importar , selecione o .pfx ficheiro criado anteriormente
  4. Introduza a palavra-passe utilizada para criar e .pfx concluir o assistente

Configurar definições de política de grupo para Desbloqueio de Rede

Com o certificado e a chave implementados no servidor WDS para Desbloqueio de Rede, o passo final é utilizar as definições de política de grupo para implementar o certificado de chave pública nos computadores pretendidos que irão utilizar a chave de Desbloqueio de Rede para desbloquear. As definições de política de grupo do BitLocker podem ser encontradas em Configuração> do ComputadorModelos Administrativos Componentes>> doWindowsEncriptação de Unidade BitLocker utilizando o Editor de Política de Grupo Local ou a Consola de Gestão da Microsoft.

Os passos seguintes descrevem como ativar a definição de política de grupo que é um requisito para configurar o Desbloqueio da Rede.

  1. Abrir a Consola de Gestão de Políticas de Grupo (gpmc.msc)
  2. Ative a política Exigir autenticação adicional no arranque e, em seguida, selecione Exigir PIN de arranque com TPM ou Permitir PIN de arranque com TPM
  3. Ativar o BitLocker com protetores TPM+PIN em todos os computadores associados a um domínio

Os passos seguintes descrevem como implementar a definição de política de grupo necessária:

  1. Copiar o .cer ficheiro que foi criado para Desbloqueio de Rede para o controlador de domínio

  2. No controlador de domínio, abra a Consola de Gestão de Políticas de Grupo (gpmc.msc)

  3. Criar um novo Objeto de Política de Grupo ou modificar um objeto existente para ativar a definição Permitir Desbloqueio da Rede no arranque

  4. Implementar o certificado público nos clientes:

    1. Na consola de gestão de políticas de grupo, navegue para a seguinte localização:

      Configuração do> ComputadorPolíticas>Definições do> WindowsDefinições de> SegurançaPolíticas> de Chave PúblicaCertificado de Desbloqueio da Rede de Encriptação de Unidade BitLocker.

    2. Clique com o botão direito do rato na pasta e selecione Adicionar Certificado de Desbloqueio de Rede

    3. Siga os passos do assistente e importe o .cer ficheiro que foi copiado anteriormente

    Observação

    Só pode estar disponível um certificado de Desbloqueio de Rede de cada vez. Se for necessário um novo certificado, elimine o certificado atual antes de implementar um novo. O certificado desbloqueio de rede está localizado sob a chave de HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP registo no computador cliente.

  5. Reiniciar os clientes após a implementação da Política de Grupo

    Observação

    O protetor de Rede (Baseado em Certificados) só será adicionado após um reinício, com a política ativada e um certificado válido presente no arquivo de FVE_NKP.

Ficheiros de configuração da política de sub-rede no servidor WDS (opcional)

Por predefinição, todos os clientes com o certificado de Desbloqueio de Rede correto e protetores de Desbloqueio de Rede válidos que tenham acesso com fios a um servidor WDS compatível com Desbloqueio de Rede através de DHCP são desbloqueados pelo servidor. Um ficheiro de configuração de política de sub-rede no servidor WDS pode ser criado para limitar as sub-redes que os clientes de Desbloqueio de Rede podem utilizar para desbloquear.

O ficheiro de configuração, denominado bde-network-unlock.ini, tem de estar localizado no mesmo diretório que a DLL do fornecedor de Desbloqueio de Rede (%windir%\System32\Nkpprov.dll) e aplica-se às implementações dhCP IPv6 e IPv4. Se a política de configuração da sub-rede ficar danificada, o fornecedor falha e deixa de responder aos pedidos.

O ficheiro de configuração da política de sub-rede tem de utilizar uma [SUBNETS] secção para identificar as sub-redes específicas. Em seguida, as sub-redes nomeadas podem ser utilizadas para especificar restrições em subsecções de certificados. As sub-redes são definidas como pares nome-valor simples, no formato INI comum, em que cada sub-rede tem a sua própria linha, com o nome à esquerda do sinal de igual e a sub-rede identificada à direita do sinal de igual como um endereço ou intervalo CIDR (Classless Inter-Domain Routing). A palavra-chave ENABLED não é permitida para nomes de sub-redes.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

Ao seguir a [SUBNETS] secção, podem existir secções para cada certificado de Desbloqueio de Rede, identificadas pelo thumbprint do certificado formatado sem espaços, que definem os clientes de sub-redes que podem ser desbloqueados a partir desse certificado.

Observação

Ao especificar o thumbprint do certificado, não inclua espaços. Se os espaços estiverem incluídos no thumbprint, a configuração da sub-rede falhará porque o thumbprint não será reconhecido como válido.

As restrições de sub-rede são definidas em cada secção de certificado ao indicar a lista permitida de sub-redes permitidas. Se alguma sub-rede estiver listada numa secção de certificado, só são permitidas essas sub-redes para esse certificado. Se nenhuma sub-rede estiver listada numa secção de certificado, todas as sub-redes serão permitidas para esse certificado. Se um certificado não tiver uma secção no ficheiro de configuração da política de sub-rede, não são aplicadas restrições de sub-rede para desbloquear com esse certificado. Para que as restrições se apliquem a cada certificado, tem de existir uma secção de certificado para cada certificado de Desbloqueio de Rede no servidor e um conjunto de listas de permissões explícita para cada secção de certificado.

As listas de sub-redes são criadas ao colocar o nome de uma sub-rede da [SUBNETS] secção na sua própria linha abaixo do cabeçalho da secção de certificado. Em seguida, o servidor apenas desbloqueará os clientes com este certificado nas sub-redes especificadas como na lista. Para a resolução de problemas, uma sub-rede pode ser rapidamente excluída sem eliminá-la da secção ao comentou-a com um ponto e vírgula pré-end.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Para não permitir completamente a utilização de um certificado, adicione uma DISABLED linha à respetiva lista de sub-redes.

Desativar Desbloqueio de Rede

Para desativar o servidor de desbloqueio, o fornecedor PXE pode ser anulado do servidor WDS ou desinstalado completamente. No entanto, para impedir que os clientes criem protetores de Desbloqueio de Rede, a definição de política Permitir Desbloqueio da Rede no grupo de arranque deve ser desativada. Quando esta definição de política é atualizada para desativada em computadores cliente, qualquer protetor de chave de Desbloqueio de Rede no computador é eliminado. Em alternativa, a política de certificado de Desbloqueio de Rede BitLocker pode ser eliminada no controlador de domínio para realizar a mesma tarefa para um domínio inteiro.

Observação

Remover o arquivo de certificados FVE_NKP que contém o certificado de Desbloqueio de Rede e a chave no servidor WDS também desativará eficazmente a capacidade do servidor de responder a pedidos de desbloqueio desse certificado. No entanto, isto é visto como uma condição de erro e não é um método suportado ou recomendado para desativar o servidor de Desbloqueio de Rede.

Atualizar certificados de Desbloqueio de Rede

Para atualizar os certificados utilizados pelo Desbloqueio de Rede, os administradores têm de importar ou gerar o novo certificado para o servidor e, em seguida, atualizar a definição de política de grupo de certificados Desbloqueio de Rede no controlador de domínio.

Observação

Os servidores que não recebem a definição de política de grupo necessitam de um PIN quando arrancam. Nestes casos, descubra por que motivo os servidores não recebem o GPO para atualizar o certificado.

Resolver Problemas de Desbloqueio de Rede

A resolução de problemas de Desbloqueio de Rede começa por verificar o ambiente. Muitas vezes, um pequeno problema de configuração pode ser a causa principal da falha. Os itens a verificar incluem:

  • Verifique se o hardware do cliente é baseado em UEFI e se está na versão de firmware 2.3.1 e se o firmware UEFI está no modo nativo sem um Módulo de Suporte de Compatibilidade (CSM) para o modo BIOS ativado. A verificação pode ser feita ao verificar se o firmware não tem uma opção ativada, como "Modo legado" ou "Modo de compatibilidade" ou que o firmware não parece estar num modo semelhante ao BIOS

  • Todas as funções e serviços necessários são instalados e iniciados

  • Os certificados públicos e privados foram publicados e encontram-se nos contentores de certificados adequados. A presença do certificado de Desbloqueio de Rede pode ser verificada na Consola de Gestão da Microsoft (MMC.exe) no servidor WDS com os snap-ins de certificado do computador local ativados. O certificado de cliente pode ser verificado ao verificar a chave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP de registo no computador cliente

  • A política de grupo para Desbloqueio de Rede está ativada e ligada aos domínios adequados

  • Verifique se a política de grupo está a chegar corretamente aos clientes. A verificação da política de grupo pode ser feita com os GPRESULT.exe utilitários ou RSOP.msc

  • Verificar se os clientes foram reiniciados após a aplicação da política

  • Verifique se o protetor de Rede (Baseado em Certificado) está listado no cliente. A verificação do protetor pode ser feita através de cmdlets manage-bde ou Windows PowerShell. Por exemplo, o seguinte comando listará os protetores de chaves atualmente configurados na unidade C: do computador local:

    manage-bde.exe -protectors -get C:

    Observação

    Utilize a saída de manage-bde.exe juntamente com o registo de depuração do WDS para determinar se o thumbprint do certificado adequado está a ser utilizado para o Desbloqueio de Rede.

Reúna os seguintes ficheiros para resolver problemas de Desbloqueio de Rede do BitLocker.

  • Os registos de eventos do Windows. Mais concretamente, obtenha os registos de eventos do BitLocker e o Microsoft-Windows-Deployment-Services-Diagnostics-Debug registo

    O registo de depuração está desativado por predefinição para a função de servidor WDS. Para obter os registos de depuração do WDS, os registos de depuração do WDS têm primeiro de ser ativados. Utilize um dos dois métodos seguintes para ativar o registo de depuração do WDS.

    • Inicie uma Linha de Comandos elevada e, em seguida, execute o seguinte comando:

      wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true

    • Abra o Visualizador de Eventos no servidor WDS:

      1. No painel esquerdo, navegue para Registos de Aplicações e Serviços>Microsoft>Windows>Deployment-Services-Diagnostics>Debug
      2. No painel direito, selecione Ativar Registo

  • O ficheiro de configuração da sub-rede DHCP (se existir)

  • O resultado do estado do BitLocker no volume. Reúna esta saída num ficheiro de texto com manage-bde.exe -status. Em alternativa, no Windows PowerShell, utilize Get-BitLockerVolume

  • A captura do Monitor de Rede no servidor que aloja a função WDS, filtrada pelo endereço IP do cliente