Разблокировка сети BitLocker: известные проблемы
С помощью функции сетевой разблокировки BitLocker компьютеры можно управлять удаленно, не вводя ПИН-код BitLocker при запуске каждого компьютера. Чтобы настроить это поведение, среда должна соответствовать следующим требованиям:
- Каждый компьютер принадлежит к домену.
- Каждый компьютер имеет проводное подключение к внутренней сети.
- Внутренняя сеть использует DHCP для управления IP-адресами.
- На каждом компьютере есть драйвер DHCP, реализованный в встроенном ПО UEFI.
Общие рекомендации по устранению неполадок с сетевой разблокировки BitLocker см. в статье Включение сетевой разблокировки: устранение неполадок с сетевой разблокировки.
В этой статье описывается несколько известных проблем, которые могут возникнуть при использовании сетевой разблокировки BitLocker, и приводятся рекомендации по устранению этих проблем.
Совет
Сетевая разблокировка BitLocker может быть обнаружена, если она включена на определенном компьютере, выполнив следующие действия на компьютерах UEFI:
Откройте окно командной строки с повышенными привилегиями и выполните следующую команду:
manage-bde.exe -protectors -get <Drive>
Например:
manage-bde.exe -protectors -get C:
Если выходные данные этой команды содержат предохранитель ключа типа TpmCertificate (9), конфигурация для сетевой разблокировки BitLocker правильна.
Запустите Редактор реестра и проверьте следующие параметры:
Следующий раздел реестра существует и имеет следующее значение:
-
Подраздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
-
Тип:
REG_DWORD
-
Значение:
OSManageNKP
равно1
(True)
-
Подраздел:
Раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates
содержит запись, имя которой соответствует имени отпечатка сертификата предохранителя ключа разблокировки сети BitLocker, найденного на шаге 1.
На устройстве Surface Pro 4 сетевая разблокировка BitLocker не работает, так как сетевой стек UEFI настроен неправильно.
Рассмотрим следующий сценарий.
Сетевая разблокировка BitLocker настроена, как описано в разделе BitLocker: включение сетевой разблокировки. UEFI Surface Pro 4 настроен для использования DHCP. Однако при перезапуске Surface Pro 4 по-прежнему запрашивается ПИН-код BitLocker.
При тестировании другого устройства, например другого типа планшета или ноутбука, настроенного для использования той же инфраструктуры, устройство перезагружается должным образом, не запрашивая ПИН-код BitLocker. Этот тест подтверждает, что инфраструктура настроена правильно, и проблема связана с устройством.
Причина того, что сетевая разблокировка BitLocker не работает на Surface Pro 4
Сетевой стек UEFI на устройстве настроен неправильно.
Разрешение для сетевой разблокировки BitLocker не работает на Surface Pro 4
Чтобы правильно настроить сетевой стек UEFI Surface Pro 4, необходимо использовать режим управления предприятием (SEMM) Microsoft Surface. Сведения о SEMM см. в статье Регистрация и настройка устройств Surface с помощью SEMM.
Примечание.
Если не удается использовать SEMM, Surface Pro 4 может использовать сетевую разблокировку BitLocker, настроив Surface Pro 4 для использования сети в качестве параметра первой загрузки.
Не удается использовать функцию сетевой разблокировки BitLocker на клиентском компьютере Windows
Рассмотрим следующий сценарий.
Сетевая разблокировка BitLocker настроена, как описано в разделе BitLocker: включение сетевой разблокировки. Клиентский компьютер Windows 8 подключен к внутренней сети с помощью кабеля Ethernet. Однако при перезапуске устройства устройство по-прежнему запрашивает ПИН-код BitLocker.
Причина невозможности использования функции сетевой разблокировки BitLocker на клиентском компьютере Windows
Клиентский компьютер на основе Windows 8 или Windows Server 2012 иногда не получает или не использует предохранитель разблокировки сети BitLocker в зависимости от того, получает ли клиент несвязанные ответы BOOTP от DHCP-сервера или сервера WDS.
DHCP-серверы могут отправлять любые параметры DHCP в клиент BOOTP, как это разрешено параметрами DHCP и расширениями поставщика BOOTP. Это означает, что, поскольку DHCP-сервер поддерживает клиенты BOOTP, DHCP-сервер отвечает на запросы BOOTP.
Способ обработки входящего сообщения DHCP-сервером зависит от того, используется ли в сообщении параметр Тип сообщения:
- Первые два сообщения, которые отправляет клиент сетевой разблокировки BitLocker, — это сообщения ОБНАРУЖЕНИЯ и ЗАПРОСА DHCP. Они используют параметр Тип сообщения, поэтому DHCP-сервер обрабатывает их как сообщения DHCP.
- Третье сообщение, которое отправляет клиент BitLocker Network Unlock, не имеет параметра Тип сообщения. DHCP-сервер обрабатывает сообщение как запрос BOOTP.
DHCP-сервер, поддерживающий клиенты BOOTP, должен взаимодействовать с этими клиентами в соответствии с протоколом BOOTP. Сервер должен создать сообщение BOOTP BOOTREPLY вместо сообщения DHCP DHCPOFFER. Иными словами, сервер не должен включать тип параметра сообщения DHCP и не должен превышать предельный размер для сообщений BOOTREPLY. После отправки сервером сообщения BOOTP BOOTREPLY сервер помечает привязку для клиента BOOTP как BOUND. Клиент, отличный от DHCP, не отправляет сообщение DHCPREQUEST и не ожидает сообщения DHCPACK.
Если DHCP-сервер, не настроенный для поддержки клиентов BOOTP, получает сообщение BOOTREQUEST от клиента BOOTP, этот сервер автоматически удаляет сообщение BOOTREQUEST.
Дополнительные сведения о разблокировке сети DHCP и BitLocker см. в разделе BitLocker: включение сетевой разблокировки: последовательность разблокировки сети.
Решение проблемы, когда не удается использовать функцию разблокировки сети BitLocker на клиентском компьютере Windows
Чтобы устранить эту проблему, измените конфигурацию DHCP-сервера, изменив параметр DHCPс DHCP и BOOTP на DHCP.