跳转至主内容 此浏览器不再受支持。 Show 请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。 BitLocker:如何启用网络解锁
本文内容适用范围
本主题介绍 BitLocker 网络解锁的工作原理以及如何配置它。 网络解锁是在 Windows 8 中引入的,Windows Server 2012作为操作系统卷的 BitLocker 保护程序选项。 网络解锁在连接到有线企业网络时,通过在系统重新启动时自动解锁操作系统卷,可以更轻松地管理域环境中已启用 BitLocker 的桌面和服务器。 此功能要求客户端硬件在其 UEFI 固件中实现 DHCP 驱动程序。 如果没有网络解锁,受 TPM+PIN 保护程序保护的操作系统卷要求在计算机重新启动或从休眠状态恢复时输入 PIN, (例如 LAN 唤醒) 。 这会使企业难以将软件修补程序推出到无人参与的桌面和远程管理的服务器。 网络解锁允许具有 TPM+PIN 且满足硬件要求且支持 BitLocker 的系统无需用户干预即可启动到 Windows。 网络解锁的工作方式与启动时的 TPM+StartupKey 类似。 但是,网络解锁功能不需要从 USB 媒体读取 StartupKey,而是需要从 TPM 中存储的密钥和发送到服务器、解密并在安全会话中返回到客户端的加密网络密钥组成密钥。 网络解锁核心要求网络解锁必须满足强制性的硬件和软件要求,才能自动解锁已加入域的系统。 这些要求包括:
必须启用网络堆栈才能使用网络解锁功能。 设备制造商以不同的状态和不同的 BIOS 菜单交付其产品;因此,在启动计算机之前,需要确认已在 BIOS 中启用了网络堆栈。 备注 若要在 UEFI 中正确支持 DHCP,基于 UEFI 的系统应处于本机模式,并且不应 (CSM) 启用兼容性支持模块。 在运行 Windows 8 及更高版本的计算机上,必须将计算机上的第一个网络适配器(通常是板载适配器)配置为支持 DHCP。 此适配器必须用于网络解锁。 若要在运行 Windows 8 及更高版本的计算机上可靠地进行网络解锁,必须将计算机上的第一个网络适配器(通常是板载适配器)配置为支持 DHCP,并且必须用于网络解锁。 当你有多个适配器,并且你希望配置一个没有 DHCP 的适配器(例如用于熄灯管理协议)时,这尤其值得注意。 此配置是必需的,因为网络解锁在遇到 DHCP 端口故障的适配器时停止枚举适配器,原因为 。 因此,如果第一个枚举的适配器不支持 DHCP、未插入网络,或者由于任何原因未能报告 DHCP 端口的可用性,则网络解锁将失败。 网络解锁服务器组件作为使用 服务器管理器 或 Windows PowerShell cmdlet 的 Windows 功能安装在受支持的 Windows Server 2012 及更高版本上。 功能名称为 服务器管理器 中的 BitLocker 网络解锁,在 Windows PowerShell 中BitLocker-NetworkUnlock。 此功能是一项核心要求。 网络解锁要求 Windows 部署服务 (WDS) 将利用该功能的环境中。 不需要配置 WDS 安装;但是,WDS 服务必须在服务器上运行。 网络密钥与 AES 256 会话密钥一起存储在系统驱动器上,并使用解锁服务器证书的 2048 位 RSA 公钥进行加密。 网络密钥在运行 WDS 的受支持版本的 Windows Server 上的提供程序的帮助下解密,并使用其相应的会话密钥返回加密。 网络解锁序列当 Windows 启动管理器检测到存在网络解锁保护程序时,解锁序列将从客户端开始。 它利用 UEFI 中的 DHCP 驱动程序获取 IPv4 的 IP 地址,然后广播供应商特定的 DHCP 请求,该请求包含网络密钥和用于答复的会话密钥,所有这些请求均由服务器的网络解锁证书加密,如上所述。 支持的 WDS 服务器上的网络解锁提供程序识别特定于供应商的请求,使用 RSA 私钥对其进行解密,并通过自己的特定于供应商的 DHCP 回复返回使用会话密钥加密的网络密钥。 在服务器端,WDS 服务器角色具有可选的插件组件,如 PXE 提供程序,用于处理传入的网络解锁请求。 还可以使用子网限制配置提供程序,这将要求客户端在网络解锁请求中提供的 IP 地址属于允许的子网,才能将网络密钥释放给客户端。 在网络解锁提供程序不可用的情况下,BitLocker 会故障转移到下一个可用的保护程序来解锁驱动器。 在典型配置中,这意味着会显示标准 TPM+PIN 解锁屏幕来解锁驱动器。 启用网络解锁的服务器端配置还需要以 X.509 证书的形式预配 2048 位 RSA 公钥/私钥对,并将公钥证书分发给客户端。 必须直接在域功能级别为Windows Server 2012的域控制器上通过组策略编辑器管理和部署此证书。 此证书是用于加密中间网络密钥 (这是解锁驱动器所需的两个机密之一的公钥;另一个机密存储在 TPM) 中。 在域功能级别至少为 Windows Server 2012 的域控制器上直接通过组策略编辑器管理和部署此证书。 此证书是用于加密中间网络密钥的公钥。 中间网络密钥是解锁驱动器所需的两个机密之一:另一个机密存储在 TPM 中。 网络解锁过程遵循以下阶段:
配置网络解锁以下步骤允许管理员在域功能级别至少为Windows Server 2012的域中配置网络解锁。 安装 WDS 服务器角色BitLocker 网络解锁功能会安装 WDS 角色(如果尚未安装)。 如果要在安装 BitLocker 网络解锁之前单独安装它,可以使用 服务器管理器 或 Windows PowerShell。 若要使用 服务器管理器 安装角色,请在 服务器管理器 中选择 Windows 部署服务角色。 若要使用 Windows PowerShell 安装角色,请使用以下命令:
必须配置 WDS 服务器,以便它可以与 DHCP (以及 AD DS) 和客户端计算机进行通信。 可以使用 WDS 管理工具 wdsmgmt.msc 进行配置,该工具将启动 Windows 部署服务配置向导。 确认 WDS 服务正在运行若要确认 WDS 服务正在运行,请使用服务管理控制台或Windows PowerShell。 若要确认服务是否在服务管理控制台中运行,请使用 services.msc 打开控制台,并检查 Windows 部署服务服务的状态。 若要使用 Windows PowerShell 确认服务正在运行,请使用以下命令:
安装网络解锁功能若要安装网络解锁功能,请使用 服务器管理器 或 Windows PowerShell。 若要使用 服务器管理器 安装该功能,请在 服务器管理器 控制台中选择 BitLocker 网络解锁功能。 若要使用 Windows PowerShell 安装该功能,请使用以下命令:
为网络解锁创建证书模板正确配置的 Active Directory 服务证书颁发机构可以使用此证书模板创建和颁发网络解锁证书。
若要将网络解锁模板添加到证书颁发机构,请打开证书颁发机构管理单元 ( 将网络解锁模板添加到证书颁发机构后,可以使用此证书配置 BitLocker 网络解锁。 创建网络解锁证书网络解锁可以使用现有公钥基础结构 (PKI) 导入的证书。 也可以使用自签名证书。 若要从现有证书颁发机构注册证书,请执行以下操作:
若要创建自签名证书,请使用 下面是一个Windows PowerShell示例:
下面是一个
将私钥和证书部署到 WDS 服务器创建证书和密钥后,请将其部署到基础结构以正确解锁系统。 若要部署证书,请执行以下操作:
配置用于网络解锁的组策略设置将证书和密钥部署到用于网络解锁的 WDS 服务器后,最后一步是使用组策略设置将公钥证书部署到希望能够使用网络解锁密钥解锁的计算机。 可以使用本地组策略编辑器或 Microsoft 管理控制台在**\计算机配置\管理模板\Windows 组件\BitLocker 驱动器加密下找到 BitLocker** 的组策略设置。 以下步骤介绍如何启用配置网络解锁所需的组策略设置。
以下步骤介绍如何部署所需的组策略设置: 备注 Windows Server 2012中引入了组策略设置 “允许启动时网络解锁**”和“添加网络解锁证书**”。
WDS 服务器上的子网策略配置文件 (可选)默认情况下,服务器将解锁具有正确网络解锁证书和有效网络解锁保护程序(通过 DHCP 有线访问已启用网络解锁的 WDS 服务器)的所有客户端。 可以在 WDS 服务器上创建子网策略配置文件,以限制网络解锁客户端可用于解锁 (子网) 。 名为 bde-network-unlock.ini 的配置文件必须与网络解锁提供程序 DLL (%windir%\System32\Nkpprov.dll) 位于同一目录中,并且它同时适用于 IPv6 和 IPv4 DHCP 实现。 如果子网配置策略损坏,提供程序将失败并停止响应请求。 子网策略配置文件必须使用“[SUBNETS]”部分来标识特定的子网。 然后,可以使用命名子网在证书子部分中指定限制。 子网定义为简单名称-值对,采用通用 INI 格式,其中每个子网都有自己的行,等号左侧有名称,等号右侧标识为无类Inter-Domain路由 (CIDR) 地址或范围。 不允许对子网名称使用关键字“ENABLED”。
在 [SUBNETS] 部分之后,每个网络解锁证书都有一个分区,这些节由证书指纹(格式不带任何空格)标识,用于定义可从该证书解锁的子网客户端。 备注 指定证书指纹时,请勿包含任何空格。 如果指纹中包含空格,子网配置将失败,因为指纹无法识别为有效。 通过表示允许的子网列表,在每个证书节中定义子网限制。 如果证书部分列出了任何子网,则只允许这些子网用于该证书。 如果证书部分未列出任何子网,则允许该证书使用所有子网。 如果证书在子网策略配置文件中没有节,则使用该证书解锁不会应用子网限制。 这意味着,要对每个证书应用限制,服务器上每个网络解锁证书都必须有一个证书节,每个证书节都必须有一个显式允许列表集。 子网列表是通过将 [SUBNETS] 节中的子网名称放在证书节标头下方的行来创建的。 然后,服务器将仅使用此证书在子网上解锁客户端, () 在列表中指定。 为了进行故障排除,只需使用前面追加的分号将其注释掉,即可快速排除子网,而无需将其从节中删除。
若要完全禁止使用证书,请在其子网列表中添加一
关闭网络解锁若要关闭解锁服务器,可以从 WDS 服务器取消注册 PXE 提供程序或完全卸载 PXE 提供程序。 但是,若要阻止客户端创建网络解锁保护程序,应禁用 “在启动时允许网络解锁” 组策略设置。 当此策略设置更新为在客户端计算机上 禁用 时,将删除计算机上的任何网络解锁密钥保护程序。 或者,可以在域控制器上删除 BitLocker 网络解锁证书策略,以便为整个域完成相同的任务。 备注 删除 WDS 服务器上包含网络解锁证书和密钥的 FVE_NKP 证书存储也会有效地禁用服务器响应该证书的解锁请求的能力。 但是,这被视为一种错误条件,不是关闭网络解锁服务器的受支持或推荐方法。 更新网络解锁证书若要更新网络解锁使用的证书,管理员需要为服务器导入或生成新证书,然后更新域控制器上的网络解锁证书组策略设置。 备注 未接收组策略对象 (GPO) 的服务器在启动时需要 PIN。 在这种情况下,请找出服务器未收到 GPO 以更新证书的原因。 排查网络解锁问题排查网络解锁问题首先验证环境。 很多时候,小型配置问题可能是失败的根本原因。 要验证的项目包括:
收集以下文件以排查 BitLocker 网络解锁问题。
在早期版本上配置网络解锁组策略设置Windows Server 2012中引入了网络解锁和随附的组策略设置。 但是,你可以使用运行 Windows Server 2008 R2 和 Windows Server 2008 的操作系统来部署它们。 系统必须满足以下要求:
请按照以下步骤在这些旧系统上配置网络解锁。
另请参阅
反馈 |