Netzwerkentsperrung
Die Netzwerkentsperrung ist eine BitLocker-Schlüsselschutzvorrichtung für Betriebssystemvolumes. Die Netzwerkentsperrung ermöglicht eine einfachere Verwaltung für BitLocker-fähige Desktops und Server in einer Domänenumgebung, indem die automatische Entsperrung von Betriebssystemvolumes beim Systemneustart bereitgestellt wird, wenn eine Verbindung mit einem verkabelten Unternehmensnetzwerk besteht. Die Netzwerkentsperrung erfordert, dass die Clienthardware einen DHCP-Treiber in der UEFI-Firmware implementiert. Ohne Netzwerkentsperrung müssen Betriebssystemvolumes, die durch TPM+PIN
Schutzvorrichtungen geschützt sind, beim Neustart oder Fortsetzen des Ruhezustands eines Geräts (z. B. wake on LAN) eine PIN eingeben. Die Anforderung einer PIN nach einem Neustart kann es Unternehmen erschweren, Softwarepatches auf unbeaufsichtigten Desktops und remote verwalteten Servern bereitzustellen.
Die Netzwerkentsperrung ermöglicht BitLocker-fähigen Systemen, die über einen TPM+PIN
verfügen und die die Hardwareanforderungen erfüllen, den Start in Windows ohne Benutzereingriff. Die Netzwerkentsperrung funktioniert auf ähnliche Weise wie beim TPM+StartupKey
Start. Anstatt den StartupKey von USB-Medien lesen zu müssen, muss der Schlüssel für die Netzwerkentsperrung jedoch aus einem schlüssel bestehen, der im TPM gespeichert ist, und einem verschlüsselten Netzwerkschlüssel, der an den Server gesendet, entschlüsselt und in einer sicheren Sitzung an den Client zurückgegeben wird.
Systemanforderungen
Die Netzwerkentsperrung muss die obligatorischen Hardware- und Softwareanforderungen erfüllen, bevor das Feature in die Domäne eingebundene Systeme automatisch entsperren kann. Zu diesen Anforderungen gehören:
- Jedes unterstützte Betriebssystem mit UEFI-DHCP-Treibern, die als Clients zum Entsperren von Netzwerken dienen können
- Netzwerkentsperrung von Clients mit einem TPM-Chip und mindestens einer TPM-Schutzvorrichtung
- Ein Server, auf dem die Rolle Windows Deployment Services (WDS) auf einem beliebigen unterstützten Serverbetriebssystem ausgeführt wird
- Optionales BitLocker-Netzwerkentsperrungsfeature, das auf jedem unterstützten Serverbetriebssystem installiert ist
- Ein vom WDS-Server getrennter DHCP-Server
- Ordnungsgemäß konfigurierte Kopplung zwischen öffentlichem und privatem Schlüssel
- Konfigurierte Gruppenrichtlinieneinstellungen für die Netzwerkentsperrung
- Aktivierter Netzwerkstapel in der UEFI-Firmware von Clientgeräten
Wichtig
Um DHCP in UEFI zu unterstützen, sollte sich das UEFI-basierte System im einheitlichen Modus befinden und kein Kompatibilitätsunterstützungsmodul (Compatibility Support Module, CSM) aktiviert sein.
Damit die Netzwerkentsperrung zuverlässig funktioniert, muss der erste Netzwerkadapter auf dem Gerät, in der Regel der onboard-Adapter, für die Unterstützung von DHCP konfiguriert werden. Dieser erste Netzwerkadapter muss für die Netzwerkentsperrung verwendet werden. Diese Konfiguration ist besonders hervorzuheben, wenn das Gerät über mehrere Adapter verfügt und einige Adapter ohne DHCP konfiguriert sind, z. B. für die Verwendung mit einem Lights-out-Verwaltungsprotokoll. Diese Konfiguration ist erforderlich, da die Netzwerkentsperrung aus irgendeinem Grund das Aufzählen von Adaptern beendet, wenn sie einen mit einem DHCP-Portfehler erreicht. Wenn der erste aufgezählte Adapter dhcp nicht unterstützt, nicht an das Netzwerk angeschlossen ist oder die Verfügbarkeit des DHCP-Ports aus irgendeinem Grund nicht meldet, schlägt die Netzwerkentsperrung fehl.
Die Serverkomponente Netzwerkentsperrung wird in unterstützten Versionen von Windows Server als Windows-Feature installiert, das Server-Manager- oder Windows PowerShell-Cmdlets verwendet. Der Featurename befindet sich BitLocker Network Unlock
in Server-Manager und BitLocker-NetworkUnlock
in PowerShell.
Die Netzwerkentsperrung erfordert Windows Deployment Services (WDS) in der Umgebung, in der das Feature verwendet wird. Die Konfiguration der WDS-Installation ist nicht erforderlich. Der WDS-Dienst muss jedoch auf dem Server ausgeführt werden.
Der Netzwerkschlüssel wird zusammen mit einem AES 256-Sitzungsschlüssel auf dem Systemlaufwerk gespeichert und mit dem öffentlichen 2048-Bit-RSA-Schlüssel des Serverzertifikats entsperren verschlüsselt. Der Netzwerkschlüssel wird mit Hilfe eines Anbieters auf einer unterstützten Version von Windows Server entschlüsselt, die WDS ausführt, und mit dem entsprechenden Sitzungsschlüssel verschlüsselt zurückgegeben.
Sequenz zum Entsperren des Netzwerks
Die Entsperrsequenz beginnt auf der Clientseite, wenn der Windows-Start-Manager erkennt, dass eine Schutzvorrichtung zum Entsperren des Netzwerks vorhanden ist. Es verwendet den DHCP-Treiber in UEFI, um eine IP-Adresse für IPv4 abzurufen, und sendet dann eine anbieterspezifische DHCP-Anforderung, die den Netzwerkschlüssel und einen Sitzungsschlüssel für die Antwort enthält, die alle durch das Netzwerkentsperrungszertifikat des Servers verschlüsselt sind. Der Netzwerkentsperrungsanbieter auf dem unterstützten WDS-Server erkennt die anbieterspezifische Anforderung, entschlüsselt sie mit dem privaten RSA-Schlüssel und gibt den mit dem Sitzungsschlüssel verschlüsselten Netzwerkschlüssel über seine eigene anbieterspezifische DHCP-Antwort zurück.
Auf der Serverseite verfügt die WDS-Serverrolle über eine optionale Plug-In-Komponente, z. B. einen PXE-Anbieter, der die eingehenden Anforderungen für die Netzwerkentsperrung verarbeitet. Der Anbieter kann auch mit Subnetzeinschränkungen konfiguriert werden. Dies würde erfordern, dass die vom Client in der Anforderung zum Entsperren des Netzwerks angegebene IP-Adresse zu einem zulässigen Subnetz gehört, um den Netzwerkschlüssel für den Client freizugeben. In Fällen, in denen der Netzwerkentsperrungsanbieter nicht verfügbar ist, führt BitLocker ein Failover zur nächsten verfügbaren Schutzvorrichtung aus, um das Laufwerk zu entsperren. In einer typischen Konfiguration wird der Standard-Entsperrbildschirm TPM+PIN
angezeigt, um das Laufwerk zu entsperren.
Die serverseitige Konfiguration zum Aktivieren der Netzwerkentsperrung erfordert auch die Bereitstellung eines 2048-Bit-RSA-Schlüsselpaars mit öffentlichem und privatem RSA in Form eines X.509-Zertifikats und das Verteilen des Zertifikats für den öffentlichen Schlüssel an die Clients. Dieses Zertifikat ist der öffentliche Schlüssel, der den Zwischennetzwerkschlüssel verschlüsselt (einer der beiden Geheimnisse, die zum Entsperren des Laufwerks erforderlich sind; das andere Geheimnis wird im TPM gespeichert), und er muss über Gruppenrichtlinie verwaltet und bereitgestellt werden.
Der Netzwerkentsperrungsprozess umfasst die folgenden Phasen:
- Der Windows-Start-Manager erkennt eine Schutzvorrichtung für die Netzwerkentsperrung in der BitLocker-Konfiguration.
- Der Clientcomputer verwendet seinen DHCP-Treiber in der UEFI, um eine gültige IPv4-IP-Adresse abzurufen.
- Der Clientcomputer sendet eine anbieterspezifische DHCP-Anforderung, die einen Netzwerkschlüssel (einen 256-Bit-Zwischenschlüssel) und einen AES-256-Sitzungsschlüssel für die Antwort enthält. Der Netzwerkschlüssel wird mit dem öffentlichen 2048-Bit-RSA-Schlüssel des Netzwerkentsperrungszertifikats vom WDS-Server verschlüsselt.
- Der Anbieter für die Netzwerkentsperrung auf dem WDS-Server erkennt die anbieterspezifische Anforderung.
- Der Anbieter entschlüsselt die Anforderung mithilfe des RSA-Schlüssels des BitLocker-Netzwerkentsperrungszertifikats des WDS-Servers.
- Der WDS-Anbieter gibt den mit dem Sitzungsschlüssel verschlüsselten Netzwerkschlüssel mithilfe seiner eigenen anbieterspezifischen DHCP-Antwort an den Clientcomputer zurück. Dieser Schlüssel ist ein Zwischenschlüssel.
- Der zurückgegebene Zwischenschlüssel wird mit einem anderen lokalen 256-Bit-Zwischenschlüssel kombiniert. Dieser Schlüssel kann nur vom TPM entschlüsselt werden.
- Dieser kombinierte Schlüssel wird verwendet, um einen AES-256-Schlüssel zu erstellen, der das Volume entsperrt.
- Windows setzt die Startsequenz fort
Konfigurieren der Netzwerkentsperrung
Mit den folgenden Schritten kann ein Administrator die Netzwerkentsperrung in einer Active Directory-Domäne konfigurieren.
Installieren der WDS-Serverrolle
Das BitLocker-Feature zum Entsperren von Netzwerken installiert die WDS-Rolle, wenn sie noch nicht installiert ist. WDS kann separat installiert werden, bevor die BitLocker-Netzwerkentsperrung mithilfe von Server-Manager oder PowerShell installiert wird. Um die Rolle mithilfe von Server-Manager zu installieren, wählen Sie die Rolle Windows-Bereitstellungsdienste in Server-Manager aus.
Verwenden Sie den folgenden Befehl, um die Rolle mithilfe von PowerShell zu installieren:
Install-WindowsFeature WDS-Deployment
Der WDS-Server muss so konfiguriert werden, dass er mit DHCP (und optional AD DS) und dem Clientcomputer kommunizieren kann. Der WDS-Server kann mithilfe des WDS-Verwaltungstools konfiguriert werden, wdsmgmt.msc
das den Konfigurations-Assistenten für Windows-Bereitstellungsdienste startet.
Vergewissern Sie sich, dass der WDS-Dienst ausgeführt wird.
Um zu bestätigen, dass der WDS-Dienst ausgeführt wird, verwenden Sie die Dienstverwaltungskonsole oder PowerShell. Um zu bestätigen, dass der Dienst in der Dienstverwaltungskonsole ausgeführt wird, öffnen Sie die Konsole mit services.msc
, und überprüfen Sie die status des Windows-Bereitstellungsdienstediensts.
Verwenden Sie den folgenden Befehl, um zu bestätigen, dass der Dienst mithilfe von PowerShell ausgeführt wird:
Get-Service WDSServer
Installieren des Features "Netzwerkentsperrung"
Verwenden Sie Server-Manager oder PowerShell, um die Netzwerkentsperrung zu installieren. Um das Feature mit Server-Manager zu installieren, wählen Sie in der Server-Manager-Konsole das Feature BitLocker-Netzwerkentsperrung aus.
Verwenden Sie den folgenden Befehl, um das Feature mithilfe von PowerShell zu installieren:
Install-WindowsFeature BitLocker-NetworkUnlock
Erstellen der Zertifikatvorlage für die Netzwerkentsperrung
Eine ordnungsgemäß konfigurierte Active Directory-Zertifizierungsstelle kann diese Zertifikatvorlage verwenden, um Zertifikate zum Entsperren von Netzwerken zu erstellen und auszustellen.
Öffnen des Zertifikatvorlagen-Snap-Ins (
certtmpl.msc
)Suchen Sie die Vorlage Benutzer, klicken Sie mit der rechten Maustaste auf den Vorlagennamen, und wählen Sie Vorlage duplizieren aus.
Ändern Sie auf der Registerkarte Kompatibilität die Felder Zertifizierungsstelle und Zertifikatempfänger in Windows Server 2016 bzw. Windows 10. Stellen Sie sicher, dass das Dialogfeld Resultierende Änderungen anzeigen ausgewählt ist.
Wählen Sie die Registerkarte Allgemein der Vorlage aus. Der Anzeigename der Vorlage und der Vorlagenname sollten angeben, dass die Vorlage für die Netzwerkentsperrung verwendet wird. Deaktivieren Sie das Kontrollkästchen für die Option Zertifikat in Active Directory veröffentlichen .
Wählen Sie die Registerkarte Anforderungsverarbeitung aus. Wählen Sie im Dropdownmenü Zweck die Option Verschlüsselung aus. Stellen Sie sicher, dass die Option Export von privatem Schlüssel zulassen aktiviert ist.
Wählen Sie die Registerkarte Kryptografie aus. Legen Sie die Minimale Schlüsselgröße auf 2048 fest. Jeder Microsoft-Kryptografieanbieter, der RSA unterstützt, kann für diese Vorlage verwendet werden. Aus Gründen der Einfachheit und Der Vorwärtskompatibilität wird jedoch empfohlen, microsoft Software Key Storage Provider zu verwenden.
Wählen Sie die Option Anforderungen müssen einen der folgenden Anbieter verwenden aus, und deaktivieren Sie alle Optionen mit Ausnahme des ausgewählten Kryptografieanbieters, z. B. Microsoft Software Key Storage Provider
Wählen Sie die Registerkarte Antragstellername aus. Wählen Sie in der Anforderung Angeben aus. Wählen Sie OK aus, wenn das Popupdialogfeld für Zertifikatvorlagen angezeigt wird.
Wählen Sie die Registerkarte Ausstellungsanforderungen aus. Wählen Sie sowohl die Zertifizierungsstellen-Zertifikat-Manager-Genehmigung als auch die Optionen Gültiges vorhandenes Zertifikat aus.
Wählen Sie die Registerkarte Erweiterungen aus. Wählen Sie Anwendungsrichtlinien und dann Bearbeiten... aus.
Wählen Sie im Dialogfeld Optionen für anwendungsrichtlinienerweiterung bearbeitendie Optionen Clientauthentifizierung, Verschlüsselndes Dateisystemund sichere Email aus, und wählen Sie Entfernen aus.
Wählen Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten die Option Hinzufügen aus.
Wählen Sie im Dialogfeld Anwendungsrichtlinie hinzufügen die Option Neu aus. Geben Sie im Dialogfeld Neue Anwendungsrichtlinie die folgenden Informationen in den angegebenen Bereich ein, und wählen Sie dann OK aus, um die Anwendungsrichtlinie BitLocker-Netzwerkentsperrung zu erstellen:
- Name:BitLocker-Netzwerkentsperrung
- Objektbezeichner:1.3.6.1.4.1.311.67.1.1
Wählen Sie die neu erstellte BitLocker-Netzwerkentsperrungs-Anwendungsrichtlinie aus, und wählen Sie OK aus.
Wählen Sie bei geöffneter Registerkarte Erweiterungen das Dialogfeld Schlüsselverwendungserweiterung bearbeiten aus. Wählen Sie die Option Schlüsselaustausch nur mit Schlüsselverschlüsselung zulassen (Schlüsselverschlüsselung) aus. Wählen Sie die Option Diese Erweiterung als kritisch festlegen aus.
Wählen Sie die Registerkarte Sicherheit aus. Vergewissern Sie sich, dass der Gruppe "Domänenadministratoren" die Berechtigung "Registrieren" erteilt wurde.
Wählen Sie OK aus, um die Konfiguration der Vorlage abzuschließen.
Um der Zertifizierungsstelle die Vorlage Netzwerkentsperrung hinzuzufügen, öffnen Sie das Zertifizierungsstellen-Snap-In (certsrv.msc
). Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie dann Neu, Ausstellende Zertifikatvorlage aus. Wählen Sie das zuvor erstellte BitLocker-Netzwerkentsperrungszertifikat aus.
Nachdem der Zertifizierungsstelle die Vorlage Netzwerkentsperrung hinzugefügt wurde, kann dieses Zertifikat zum Konfigurieren der BitLocker-Netzwerkentsperrung verwendet werden.
Erstellen des Netzwerkentsperrungszertifikats
Die Netzwerkentsperrung kann importierte Zertifikate aus einer vorhandenen Public Key-Infrastruktur (PKI) verwenden. Alternativ kann ein selbstsigniertes Zertifikat verwendet werden.
So registrieren Sie ein Zertifikat von einer vorhandenen Zertifizierungsstelle:
- Öffnen Sie auf dem WDS-Server den Zertifikat-Manager mithilfe von
certmgr.msc
- Klicken Sie unter Zertifikate – Aktueller Benutzer mit der rechten Maustaste auf Persönlich.
- Wählen Sie Alle Aufgaben>Neues Zertifikat anfordern aus.
- Wenn der Assistent für die Zertifikatregistrierung geöffnet wird, wählen Sie Weiter aus.
- Active Directory-Registrierungsrichtlinie auswählen
- Wählen Sie die Zertifikatvorlage aus, die für die Netzwerkentsperrung auf dem Domänencontroller erstellt wurde. Wählen Sie dann Registrieren aus.
- Wenn Sie zur Eingabe weiterer Informationen aufgefordert werden, wählen Sie Antragstellername aus, und geben Sie einen Anzeigenamenwert an. Der Anzeigename sollte Informationen für die Domäne oder Organisationseinheit für das Zertifikat enthalten. Beispiel: BitLocker Network Unlock Certificate for Contoso domain
- Erstellen Sie das Zertifikat. Stellen Sie sicher, dass das Zertifikat im Persönlichen Ordner angezeigt wird.
- Exportieren Sie das Zertifikat für den öffentlichen Schlüssel für die Netzwerkentsperrung:
- Erstellen Sie eine
.cer
Datei, indem Sie mit der rechten Maustaste auf das zuvor erstellte Zertifikat klicken, alle Aufgaben und dann Exportieren auswählen. - Wählen Sie Nein, privaten Schlüssel nicht exportieren aus.
- Wählen Sie DER-codierte binäre X.509 aus, und schließen Sie den Export des Zertifikats in eine Datei ab.
- Geben Sie der Datei einen Namen, z . B. BitLocker-NetworkUnlock.cer
- Erstellen Sie eine
- Exportieren des öffentlichen Schlüssels mit einem privaten Schlüssel für die Netzwerkentsperrung
- Erstellen Sie eine
.pfx
Datei, indem Sie mit der rechten Maustaste auf das zuvor erstellte Zertifikat klicken, alle Aufgaben und dann Exportieren auswählen. - Wählen Sie Ja, privaten Schlüssel exportieren aus.
- Führen Sie die Schritte zum Erstellen der Datei aus
.pfx
.
- Erstellen Sie eine
Um ein selbstsigniertes Zertifikat zu erstellen, verwenden Sie entweder das New-SelfSignedCertificate
Cmdlet in Windows PowerShell oder verwendencertreq.exe
. Zum Beispiel:
PowerShell
New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")
certreq.exe
Erstellen Sie eine Textdatei mit einer
.inf
Erweiterung, z. B.:notepad.exe BitLocker-NetworkUnlock.inf
Fügen Sie der zuvor erstellten Datei den folgenden Inhalt hinzu:
[NewRequest] Subject="CN=BitLocker Network Unlock certificate" ProviderType=0 MachineKeySet=True Exportable=true RequestType=Cert KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG" KeyLength=2048 SMIME=FALSE HashAlgorithm=sha512 [Extensions] 1.3.6.1.4.1.311.21.10 = "{text}" _continue_ = "OID=1.3.6.1.4.1.311.67.1.1" 2.5.29.37 = "{text}" _continue_ = "1.3.6.1.4.1.311.67.1.1"
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und verwenden Sie das
certreq.exe
Tool, um ein neues Zertifikat zu erstellen. Verwenden Sie den folgenden Befehl, und geben Sie den vollständigen Pfad zu der Zuvor erstellten Datei zusammen mit dem Dateinamen an:certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
Überprüfen Sie, ob das Zertifikat durch den vorherigen Befehl ordnungsgemäß erstellt wurde, indem Sie bestätigen, dass die
.cer
Datei vorhanden ist.Starten Sie die Konsole Zertifikate – Lokaler Computer , indem Sie ausführen.
certlm.msc
Erstellen Sie eine
.pfx
Datei, indem Sie die folgenden Schritte in der Konsole Zertifikate – Lokaler Computer ausführen:- Navigieren Sie zu Zertifikate – Persönliche> Zertifikate für den lokalen Computer>.
- Klicken Sie mit der rechten Maustaste auf das zuvor importierte Zertifikat, wählen Sie Alle Aufgaben und dann Exportieren aus.
- Befolgen Sie den Assistenten, um die
.pfx
Datei zu erstellen.
Bereitstellen des privaten Schlüssels und zertifikats auf dem WDS-Server
Nachdem Sie das Zertifikat und den Schlüssel erstellt haben, stellen Sie sie in der Infrastruktur bereit, um Systeme ordnungsgemäß zu entsperren. So stellen Sie die Zertifikate bereit:
- Starten Sie auf dem WDS-Server die Konsole Zertifikate – Lokaler Computer , indem Sie ausführen.
certlm.msc
- Klicken Sie unter Zertifikate (lokaler Computer) mit der rechten Maustaste auf das Element BitLocker-Laufwerkverschlüsselung Netzwerkentsperrung, wählen Sie Alle Aufgaben und dann Importieren aus.
- Wählen Sie im Dialogfeld Zu importierende Datei die
.pfx
zuvor erstellte Datei aus. - Geben Sie das Kennwort ein, das zum Erstellen von
.pfx
verwendet wird, und schließen Sie den Assistenten ab.
Konfigurieren von Gruppenrichtlinieneinstellungen für die Netzwerkentsperrung
Wenn Zertifikat und Schlüssel auf dem WDS-Server für die Netzwerkentsperrung bereitgestellt werden, besteht der letzte Schritt darin, gruppenrichtlinieneinstellungen zum Bereitstellen des Zertifikats für den öffentlichen Schlüssel auf den gewünschten Computern bereitzustellen, die den Schlüssel zum Entsperren des Netzwerks verwenden. Gruppenrichtlinieneinstellungen für BitLocker finden Sie unter Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung mithilfe der lokalen Gruppenrichtlinie Editor oder der Microsoft Management Console.
In den folgenden Schritten wird beschrieben, wie Sie die Gruppenrichtlinieneinstellung aktivieren, die für die Konfiguration der Netzwerkentsperrung erforderlich ist.
- Öffnen sie Gruppenrichtlinie Management Console (
gpmc.msc
) - Aktivieren Sie die Richtlinie Zusätzliche Authentifizierung beim Start erforderlich, und wählen Sie dann Start-PIN mit TPM anfordern oder Start-PIN mit TPM zulassen aus.
- Aktivieren von BitLocker mit TPM+PIN-Schutzvorrichtungen auf allen computern, die in die Domäne eingebunden sind
In den folgenden Schritten wird beschrieben, wie Sie die erforderliche Gruppenrichtlinieneinstellung bereitstellen:
Kopieren Sie die
.cer
Datei, die für die Netzwerkentsperrung erstellt wurde, auf den Domänencontroller.Öffnen Sie auf dem Domänencontroller Gruppenrichtlinie Management Console (
gpmc.msc
)Erstellen sie ein neues Gruppenrichtlinie-Objekt, oder ändern Sie ein vorhandenes Objekt, um die Einstellung Netzwerkentsperrung beim Start zulassen zu aktivieren.
Bereitstellen des öffentlichen Zertifikats für Clients:
Navigieren Sie Verwaltungskonsole der Gruppenrichtlinie zum folgenden Speicherort:
Computerkonfiguration>Politik>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien für> öffentliche SchlüsselBitLocker-Laufwerkverschlüsselungs-Netzwerkentsperrungszertifikat.
Klicken Sie mit der rechten Maustaste auf den Ordner, und wählen Sie Netzwerkentsperrungszertifikat hinzufügen aus.
Führen Sie die Schritte des Assistenten aus, und importieren Sie die
.cer
Datei, die zuvor kopiert wurde.
Hinweis
Es kann jeweils nur ein Zertifikat für die Netzwerkentsperrung verfügbar sein. Wenn ein neues Zertifikat erforderlich ist, löschen Sie das aktuelle Zertifikat, bevor Sie ein neues Zertifikat bereitstellen. Das Netzwerkentsperrungszertifikat befindet sich unter dem
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP
Registrierungsschlüssel auf dem Clientcomputer.Starten Sie die Clients neu, nachdem die Gruppenrichtlinie bereitgestellt wurde.
Hinweis
Die Netzwerkschutzvorrichtung (zertifikatbasiert) wird erst nach einem Neustart hinzugefügt, wobei die Richtlinie aktiviert ist und ein gültiges Zertifikat im FVE_NKP-Speicher vorhanden ist.
Konfigurationsdateien für Subnetzrichtlinien auf dem WDS-Server (optional)
Standardmäßig werden alle Clients mit dem richtigen Netzwerkentsperrungszertifikat und gültigen Schutzvorrichtungen für die Netzwerkentsperrung, die über DHCP zugriff auf einen WDS-Server mit Netzwerkentsperrung haben, vom Server entsperrt. Eine Subnetzrichtlinienkonfigurationsdatei auf dem WDS-Server kann erstellt werden, um zu begrenzen, welche Subnetze die Clients zum Entsperren des Netzwerks verwenden können.
Die Konfigurationsdatei mit dem Namen bde-network-unlock.ini
muss sich im selben Verzeichnis wie die NETZWERKentsperrungsanbieter-DLL (%windir%\System32\Nkpprov.dll
) befinden und gilt sowohl für IPv6- als auch für IPv4-DHCP-Implementierungen. Wenn die Subnetzkonfigurationsrichtlinie beschädigt wird, schlägt der Anbieter fehl und reagiert nicht mehr auf Anforderungen.
Die Konfigurationsdatei der Subnetzrichtlinie muss einen [SUBNETS]
Abschnitt verwenden, um die spezifischen Subnetze zu identifizieren. Die benannten Subnetze können dann verwendet werden, um Einschränkungen in Zertifikatunterabschnitten anzugeben. Subnetze werden als einfache Name-Wert-Paare im allgemeinen INI-Format definiert, wobei jedes Subnetz über eine eigene Zeile mit dem Namen links vom Gleichheitszeichen und dem Subnetz rechts neben dem Gleichheitszeichen als CIDR-Adresse (Classless Inter-Domain Routing) oder einen CiDR-Adressbereich (Classless Inter-Domain Routing) verfügt. Das Schlüsselwort ENABLED
ist für Subnetznamen nicht zulässig.
[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.
Im Anschluss an den [SUBNETS]
Abschnitt kann es Abschnitte für jedes Netzwerkentsperrungszertifikat geben, das durch den Zertifikatfingerabdruck identifiziert wird, der ohne Leerzeichen formatiert ist, in denen die Subnetzclients definiert werden, die von diesem Zertifikat entsperrt werden können.
Hinweis
Schließen Sie beim Angeben des Zertifikatfingerabdrucks keine Leerzeichen ein. Wenn Leerzeichen im Fingerabdruck enthalten sind, schlägt die Subnetzkonfiguration fehl, da der Fingerabdruck nicht als gültig erkannt wird.
Subnetzeinschränkungen werden in jedem Zertifikatabschnitt definiert, indem die Liste zulässiger Subnetze angegeben wird. Wenn Subnetze in einem Zertifikatabschnitt aufgeführt sind, sind nur diese Subnetze für dieses Zertifikat zulässig. Wenn in einem Zertifikatabschnitt kein Subnetz aufgeführt ist, sind alle Subnetze für dieses Zertifikat zulässig. Wenn ein Zertifikat keinen Abschnitt in der Subnetzrichtlinienkonfigurationsdatei enthält, werden keine Subnetzeinschränkungen für die Entsperrung mit diesem Zertifikat angewendet. Damit Einschränkungen für jedes Zertifikat gelten, muss es einen Zertifikatabschnitt für jedes Zertifikat zum Entsperren des Netzwerks auf dem Server und eine explizite Liste der zulässigen Zertifikate für jeden Zertifikatabschnitt geben.
Subnetzlisten werden erstellt, indem der Name eines Subnetzes aus dem [SUBNETS]
Abschnitt in eine eigene Zeile unterhalb des Zertifikatabschnittsheaders eingefügt wird. Anschließend entsperrt der Server nur Clients mit diesem Zertifikat in den Subnetzen, die als in der Liste angegeben sind. Zur Problembehandlung kann ein Subnetz schnell ausgeschlossen werden, ohne es aus dem Abschnitt zu löschen, indem es mit einem vorangestellten Semikolon auskommentiert wird.
[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3
Um die Verwendung eines Zertifikats vollständig zu verbieten, fügen Sie der Subnetzliste eine DISABLED
Zeile hinzu.
Deaktivieren der Netzwerkentsperrung
Um den Entsperrserver zu deaktivieren, kann die Registrierung des PXE-Anbieters auf dem WDS-Server aufgehoben oder vollständig deinstalliert werden. Um jedoch zu verhindern, dass Clients Schutzvorrichtungen für die Netzwerkentsperrung erstellen, sollte die Gruppenrichtlinieneinstellung Netzwerkentsperrung beim Start zulassen deaktiviert werden. Wenn diese Richtlinieneinstellung auf Clientcomputern auf deaktiviert aktualisiert wird, werden alle Schlüsselschutzvorrichtungen für die Netzwerkentsperrung auf dem Computer gelöscht. Alternativ kann die BitLocker-Netzwerkentsperrungs-Zertifikatrichtlinie auf dem Domänencontroller gelöscht werden, um dieselbe Aufgabe für eine gesamte Domäne auszuführen.
Hinweis
Durch das Entfernen des FVE_NKP Zertifikatspeichers, der das Netzwerkentsperrungszertifikat und den Schlüssel auf dem WDS-Server enthält, wird auch die Fähigkeit des Servers, auf Entsperranforderungen für dieses Zertifikat zu reagieren, effektiv deaktiviert. Dies wird jedoch als Fehlerbedingung angesehen und ist keine unterstützte oder empfohlene Methode zum Deaktivieren des Servers zum Entsperren des Netzwerks.
Aktualisieren von Netzwerkentsperrungszertifikaten
Um die von der Netzwerkentsperrung verwendeten Zertifikate zu aktualisieren, müssen Administratoren das neue Zertifikat für den Server importieren oder generieren und dann die Gruppenrichtlinieneinstellung Netzwerkentsperrung des Zertifikats auf dem Domänencontroller aktualisieren.
Hinweis
Server, die die Gruppenrichtlinieneinstellung nicht erhalten, benötigen beim Start eine PIN. In solchen Fällen finden Sie heraus, warum die Server das Gruppenrichtlinienobjekt zum Aktualisieren des Zertifikats nicht erhalten.
Problembehandlung bei der Netzwerkentsperrung
Die Behandlung von Problemen mit der Netzwerkentsperrung beginnt mit der Überprüfung der Umgebung. Häufig kann ein kleines Konfigurationsproblem die Grundursache des Fehlers sein. Zu den zu überprüfenden Elementen gehören:
Vergewissern Sie sich, dass die Clienthardware UEFI-basiert und die Firmwareversion 2.3.1 aufweist und dass sich die UEFI-Firmware im einheitlichen Modus befindet, ohne dass ein Kompatibilitätsunterstützungsmodul (Compatibility Support Module, CSM) für BIOS aktiviert ist. Die Überprüfung kann durchgeführt werden, indem überprüft wird, ob für die Firmware keine Option wie "Legacymodus" oder "Kompatibilitätsmodus" aktiviert ist oder dass sich die Firmware nicht in einem BIOS-ähnlichen Modus zu befinden scheint.
Wenn es sich bei der Clienthardware um ein Secure Core-Gerät handelt, müssen Sie möglicherweise die Secure Core-Funktionalität deaktivieren.
Alle erforderlichen Rollen und Dienste werden installiert und gestartet.
Öffentliche und private Zertifikate wurden veröffentlicht und befinden sich in den richtigen Zertifikatcontainern. Das Vorhandensein des Zertifikats für die Netzwerkentsperrung kann in der Microsoft Management Console (MMC.exe) auf dem WDS-Server überprüft werden, wobei die Zertifikat-Snap-Ins für den lokalen Computer aktiviert sind. Das Clientzertifikat kann überprüft werden, indem der Registrierungsschlüssel
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP
auf dem Clientcomputer überprüft wird.Die Gruppenrichtlinie für die Netzwerkentsperrung ist aktiviert und mit den entsprechenden Domänen verknüpft.
Überprüfen Sie, ob die Gruppenrichtlinie die Clients ordnungsgemäß erreicht. Die Überprüfung der Gruppenrichtlinie kann mithilfe der
GPRESULT.exe
Hilfsprogramme oderRSOP.msc
durchgeführt werden.Überprüfen, ob die Clients nach dem Anwenden der Richtlinie neu gestartet wurden
Überprüfen Sie, ob die Netzwerkschutzvorrichtung (zertifikatbasiert) auf dem Client aufgeführt ist. Die Überprüfung der Schutzvorrichtung kann entweder mithilfe von manage-bde- oder Windows PowerShell-Cmdlets erfolgen. Der folgende Befehl listet beispielsweise die Schlüsselschutzvorrichtungen auf, die derzeit auf Laufwerk C: des lokalen Computers konfiguriert sind:
manage-bde.exe -protectors -get C:
Hinweis
Verwenden Sie die Ausgabe von
manage-bde.exe
zusammen mit dem WDS-Debugprotokoll, um zu bestimmen, ob der richtige Zertifikatfingerabdruck für die Netzwerkentsperrung verwendet wird.
Sammeln Sie die folgenden Dateien, um Probleme mit der BitLocker-Netzwerkentsperrung zu beheben.
Die Windows-Ereignisprotokolle. Rufen Sie insbesondere die BitLocker-Ereignisprotokolle und das
Microsoft-Windows-Deployment-Services-Diagnostics-Debug
Protokoll ab.Die Debugprotokollierung ist für die WDS-Serverrolle standardmäßig deaktiviert. Zum Abrufen von WDS-Debugprotokollen müssen zuerst die WDS-Debugprotokolle aktiviert werden. Verwenden Sie eine der folgenden beiden Methoden, um die WDS-Debugprotokollierung zu aktivieren.
Starten Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie dann den folgenden Befehl aus:
wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
Öffnen Sie Ereignisanzeige auf dem WDS-Server:
- Navigieren Sie im linken Bereich zu Anwendungs- und Dienstprotokolle>Microsoft>Windows>Deployment-Services-Diagnostics>Debuggen.
- Wählen Sie im rechten Bereich Protokoll aktivieren aus.
Die DHCP-Subnetzkonfigurationsdatei (sofern vorhanden)
Die Ausgabe der BitLocker-status auf dem Volume. Sammeln Sie diese Ausgabe mithilfe
manage-bde.exe -status
von in einer Textdatei. Oder verwenden Sie in Windows PowerShellGet-BitLockerVolume
Die Netzwerkmonitorerfassung auf dem Server, der die WDS-Rolle hostet, gefiltert nach Client-IP-Adresse