TechNet 庫
Windows Server
Windows Server 2012 R2 和 Windows Server 2012
服務器角色和技術
安全和保護
BitLocker
BitLocker 中的新增功能
BitLocker 常見問題 (FAQ)
BitLocker Basic 部署
BitLocker:如何在 Windows Server 2012 上部署
BitLocker:如何啟用網絡解鎖
BitLocker:使用 BitLocker 驅動器加密工具管理 BitLocker
BitLocker:使用 BitLocker 恢復密碼查看器
BitLocker 組策略設置
BCD 設置和 BitLocker
BitLocker 恢復
保護的群集共享卷和存儲區域網絡與 BitLocker 一起使用
展開
此文章由機器翻譯。 將光標移到文章的句子上,以查看原文。
譯文 原文
BitLocker:如何啟用網絡解鎖
適用對象:Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
面向 IT 專業人士的本主題介紹 BitLocker 網絡解鎖的工作原理以及如何對其進行配置。
中引入了網絡解鎖Windows 8和Windows Server 2012作為操作系統卷的 BitLocker 保護程序選項。 網絡解鎖允許更易於管理的啟用 BitLocker 的桌面和服務器在域環境中通過提供自動解鎖在重新啟動系統時連接到有線企業網絡的操作系統卷。 此功能要求客戶端硬件在其 UEFI 固件中實現 DHCP 驅動器。
如果沒有網絡解鎖,由 TPM + PIN 保護程序保護的操作系統卷需要 (例如,通過 LAN 喚醒) 當計算機重新啟動或從休眠恢復時要輸入的 PIN。 這可以使它很難對企業軟件修補程序部署到無人參與的台式計算機和遠程管理的服務器。
網絡解鎖允許使用 TPM + PIN 並啟用了 BitLocker 的系統滿足硬件要求啟動到 Windows 無需用戶干預。 網絡解鎖工作以在啟動 TPM + 啟動到類似的方式。 不需要從 USB 媒體讀取啟動密鑰,網絡解鎖的密鑰使用存儲在 TPM 中的密鑰和一個發送至服務器、解密並在安全會話中返回至客戶端的加密網絡密鑰編寫而成。
本主題包含:
網絡解鎖的核心要求
網絡解鎖順序
配置網絡解鎖
網絡解鎖為創建的證書模板
關閉網絡解鎖
更新網絡解鎖證書
解決網絡解鎖
在早期版本上配置網絡解鎖的組策略設置
網絡解鎖的核心要求
該功能可以自動解鎖系統加入域之前,網絡解鎖必須滿足必需的硬件和軟件要求。 這些要求包括:
支持的 Windows 操作系統:運行中指定的 Windows 任何的版本計算機應用於本主題開頭的列表。
UEFI DHCP 驅動程序與任何受支持的操作系統可以是網絡解鎖的客戶端。
在任何受支持的服務器操作系統上運行的 Windows 部署服務 (WDS) 角色的服務器。
在任何受支持的服務器操作系統上安裝 BitLocker 網絡解鎖的可選功能。
DHCP 服務器,獨立於 WDS 服務器。
正確配置公鑰/私鑰鍵配對。
網絡解鎖的組策略設置配置。
必須啟用網絡堆棧若要使用網絡解鎖功能。 設備制造商提供其產品在各種狀態以及使用不同的 BIOS 菜單,因此您需要確認網絡堆棧啟用了在 BIOS 中在啟動計算機之前。
System_CAPS_note注意
若要正確地支持 UEFI 中的 DHCP,基於 UEFI 的系統應該在純模式下不啟用兼容性支持模塊 (CSM) 的情況下。
若要在運行的計算機上可靠工作的網絡解鎖Windows 8,必須配置為支持 DHCP 的計算機,通常在板載適配器上的第一個網絡適配器並將其用於網絡解鎖。 這是特別值得一提時有多個適配器,而您想要配置一個未安裝 DHCP,如無人照看管理協議。 因為網絡解鎖枚舉適配器在出於任何原因到達另一個使用 DHCP 端口出現故障時將停止時則需要此配置。 因此,如果第一個枚舉的適配器不支持 DHCP,未插入網絡,或與報表可用性的 DHCP 端口由於任何原因失敗,則網絡解鎖將失敗。
網絡解鎖的服務器組件將安裝在受支持版本的 Windows Server 中指定應用於作為一項 Windows 功能使用服務器管理器或 Windows PowerShell cmdlet 的本主題開頭的列表。 功能名稱是 BitLocker 網絡解鎖在服務器管理器和 Windows PowerShell 中的 BitLocker NetworkUnlock。 此功能是一個核心要求。
System_CAPS_note注意
有關如何在 Windows Server 2008、 Windows Server 2008 R2、 Windows 7 和 Windows Vista 上配置網絡解鎖的信息,請參閱在早期版本上配置網絡解鎖的組策略設置。
網絡解鎖要求中指定的 Windows Server 的受支持的版本應用於在環境中運行 Windows 部署服務 (WDS) 功能,其中可使用本主題開頭的列表。 WDS 安裝的配置不是必需的 ;但是,WDS 服務需要服務器上運行。
網絡密鑰會連同一個 AES 256 會話密鑰存儲在系統驅動器上,並使用解鎖服務器證書的 2048 位 RSA 公鑰加密。 網絡密鑰將解密受支持版本的 WDS,運行 Windows Server 上的提供程序的幫助,並使用其相應的會話密鑰加密形式返回。
網絡解鎖順序
該解鎖序列開始在客戶端中,當 Windows 啟動管理器檢測到的網絡解鎖保護程序的存在。 它利用 (uefi) 獲取 IPv4 IP 地址中的 DHCP 驅動程序,並按上文所述然后廣播包含網絡密鑰和答復、 通過服務器的網絡解鎖證書,所有加密的會話密鑰的供應商特定 DHCP 請求。 受支持的 WDS 服務器上的網絡解鎖提供程序能夠識別特定於供應商請求、 與 RSA 私鑰對其進行解密並返回與通過其自己的供應商特定 DHCP 答復的會話密鑰加密的網絡密鑰。
在服務器端,WDS 服務器角色具有一個可選插件組件,如是什么處理傳入的網絡解鎖請求的 PXE 提供程序。 提供程序還可以在需要提供網絡解鎖請求中的客戶端的 IP 地址所屬為了釋放到客戶端的網絡密鑰允許子網的子網限制配置。 在其中的網絡解鎖提供程序是不可用情況下,BitLocker 故障轉移到下一個可用的保護程序來解鎖驅動器。 在典型配置中,這意味着標准的 TPM + PIN 解鎖屏幕用於解鎖驅動器。
若要啟用網絡解鎖的服務器端配置也需要設置 2048年位 RSA 公鑰/私鑰密鑰對的形式的 X.509 證書,以及公鑰證書以分發到客戶端。 此證書必須管理並通過組策略編輯器直接在具有至少一個域功能級別的域控制器上部署Windows Server 2012。 此證書是對中間網絡密鑰進行加密的公鑰 (這是將驅動器解鎖所需的兩個秘密之一 ; 其他密鑰存儲在 TPM 中)。
BitLocker Network Unlock Sequence
網絡解鎖的處理流程
網絡解鎖的過程中的階段
Windows 啟動管理器檢測到在 BitLocker 配置中不存在網絡解鎖保護程序。
客戶端計算機在 UEFI 中使用其 DHCP 驅動程序獲取有效的 IPv4 IP 地址。
客戶端計算機將廣播包含網絡密鑰 (256 位中間密鑰) 和答復 AES 256 會話密鑰的供應商特定 DHCP 請求。 這兩個這些密鑰進行加密使用的與 WDS 服務器中的網絡解鎖證書的 2048年位 RSA 公鑰。
WDS 服務器上的網絡解鎖提供程序能夠識別特定於供應商請求。
提供程序將其解密使用 WDS 服務器 BitLocker 網絡解鎖證書 RSA 私鑰。
WDS 提供程序然后返回與使用客戶端計算機與其自己供應商特定 DHCP 答復的會話密鑰加密的網絡密鑰。 這就構成一個中間的密鑰。
然后再與另一個本地 256 位中間密鑰只能由 TPM 解密一起返回的中間鍵。
此組合的密鑰用於創建一個 AES 256 密鑰用於解鎖該卷。
Windows 將繼續引導順序。
配置網絡解鎖
以下步驟允許管理員配置域功能級別至少是的域中的網絡解鎖Windows Server 2012。
第一步:安裝 WDS 服務器角色
如果未安裝,BitLocker 網絡解鎖功能將安裝 WDS 角色。 如果您想要在安裝 BitLocker 網絡解鎖之前單獨安裝它您可以使用服務器管理器或 Windows PowerShell。 若要安裝角色使用服務器管理器,選擇Windows 部署服務角色在服務器管理器。
若要安裝角色使用 Windows PowerShell,請使用以下命令:
Install-WindowsFeature WDS-Deployment
您必須配置 WDS 服務器,以便它可以與 DHCP (和可選的 Active Directory 域服務) 進行通信和客戶端計算機。 您可以使用 WDS 管理工具,wdsmgmt.msc,這將啟動 Windows 部署服務配置向導。
第二步:確認 WDS 服務正在運行
若要確認運行 WDS 服務,請使用服務管理控制台或 Windows PowerShell。 若要確認該服務運行在服務管理控制台中,請打開控制台使用services.msc和檢查 Windows 部署服務服務的狀態。
若要確認該服務正在運行使用 Windows PowerShell,請使用以下命令:
Get-Service WDSServer
第三步:安裝網絡解鎖功能
若要安裝的網絡解鎖功能,請使用服務器管理器或 Windows PowerShell。 若要安裝使用服務器管理器功能,請選擇BitLocker 網絡解鎖服務器管理器控制台中的新功能。
若要安裝使用 Windows PowerShell 功能,請使用以下命令:
Install-WindowsFeature BitLocker-NetworkUnlock
第四步:創建網絡解鎖證書
網絡解鎖可以使用導入的證書從現有的 PKI 基礎結構,也可以使用自簽名的證書。
若要注冊從現有證書頒發機構 (CA) 證書,執行以下操作:
打開證書管理器在 WDS 服務器使用certmgr.msc
在證書-當前用戶項下右鍵單擊個人
然后選擇所有任務申請新證書
選擇下一步證書注冊向導打開時
選擇 Active Directory 注冊策略
選擇網絡解鎖的域控制器上創建的證書模板,然后選擇注冊。 當系統提示輸入的詳細信息,添加到證書的以下屬性:
選擇使用者名稱窗格中,並提供友好名稱值。 建議此友好名稱包括域或組織單位的證書信息。 例如"Contoso 域的 BitLocker 網絡解鎖證書"
創建的證書。 確保該證書將顯示在個人文件夾中。
網絡解鎖的導出的公鑰證書
通過右鍵單擊先前創建的證書,創建.cer 文件選擇所有任務,然后導出。
選擇不,不要導出私鑰。
選擇DER 編碼二進制 X.509並完成證書導出到一個文件。
為該文件提供一個名稱,例如 BitLocker NetworkUnlock.cer。
網絡解鎖的導出帶有私鑰的密鑰的公鑰
通過右鍵單擊先前創建的證書,創建一個.pfx 文件選擇所有任務,然后導出。
選擇是,導出私鑰。
完成向導以創建的.pfx 文件。
若要創建自簽名的證書,請執行以下操作:
創建擴展名為.inf 的文本文件。 例如,notepad.exe BitLocker NetworkUnlock.inf
將以下內容添加到先前創建的文件:
[NewRequest] Subject="CN=BitLocker Network Unlock certificate" Exportable=true RequestType=Cert KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyLength=2048 [Extensions] 1.3.6.1.4.1.311.21.10 = "{text}" _continue_ = "OID=1.3.6.1.4.1.311.67.1.1" 2.5.29.37 = "{text}" _continue_ = "1.3.6.1.4.1.311.67.1.1"
打開提升的命令提示符並使用 certreq 工具來創建新的證書使用以下命令,指定的文件名稱以及以前,創建的文件的完整路徑:
certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
驗證是否正確創建上一個命令通過確認.cer 文件的證書存在
通過運行啟動證書管理器certmgr.msc
創建一個.pfx 文件通過打開證書-Current User\Personal\Certificates路徑在導航窗格中,右鍵單擊以前導入的證書,並選擇所有任務,然后導出。 按照向導以創建的.pfx 文件。
第五步:將私鑰和證書部署到 WDS 服務器
使用證書和創建的密鑰,請將它們部署到正確解除鎖定系統的基礎結構。 若要部署證書,請執行以下操作:
在 WDS 服務器上,打開一個新的 MMC 並添加證書管理單元中。 選擇計算機帳戶和本地計算機時給定的選項。
右鍵單擊證書 (本地計算機) 的 BitLocker 驅動器加密網絡解鎖的項,然后選擇所有任務導入
在導入的文件對話框中,選擇先前創建的.pfx 文件。
輸入用於創建.pfx 和完成該向導的密碼。
第六步:為網絡解鎖配置組策略設置
使用證書和部署到 WDS 服務器為網絡解鎖的密鑰,最后一步是使用組策略設置將公鑰證書部署到您想要將無法解鎖使用網絡解鎖的密鑰的計算機。 組策略設置可在 BitLocker 下找到\Computer Configuration\Administrative 模板 \windows 組件 \bitlocker 驅動器加密使用本地組策略編輯器或 Microsoft 管理控制台。
以下步驟介紹如何啟用組策略設置,配置網絡解鎖的必要條件。
打開組策略管理控制台 (gpmc.msc)
啟用策略需要在啟動時的附加身份驗證並選擇需要啟動帶有 TPM 的 PIN選項
使用 TPM + PIN 保護程序在所有已加入域的計算機上打開 BitLocker
以下步驟描述如何部署所需的組策略設置:
System_CAPS_note注意
組策略設置啟動時允許網絡解鎖和添加網絡解鎖證書中引入了Windows Server 2012。
將復制到域控制器創建為網絡解鎖的.cer 文件
在域控制器上啟動組策略管理控制台 (gpmc.msc)
創建新的組策略對象或修改現有對象啟用啟動時允許網絡解鎖設置。
將公用證書部署到客戶端
在組策略管理控制台中,導航到以下位置:計算機配置 \ 策略 \windows 設置 \ 安全設置 \ 公共密鑰策略 \bitlocker 驅動器加密網絡解鎖證書
右鍵單擊該文件夾並選擇添加網絡解鎖證書
按照向導步驟和導入以前已復制的.cer 文件。
System_CAPS_note注意
只有一個網絡解鎖證書可以提供一次。 如果新證書是必需的則在將一個新的部署之前刪除當前證書。 網絡解鎖證書位於HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP關鍵客戶端計算機上。
第七步:需要 TPM + PIN 保護程序在啟動時
對於企業要用於一個額外級別的 TPM + PIN 保護程序是安全的一個額外的步驟。 需要 TPM + PIN 保護程序的環境中,執行以下操作:
打開組策略管理控制台 (gpmc.msc)
啟用策略需要在啟動時的附加身份驗證並選擇需要啟動帶有 TPM 的 PIN選項
使用 TPM + PIN 保護程序在所有已加入域的計算機上打開 BitLocker
網絡解鎖為創建的證書模板
以下步驟詳細介紹如何使用來創建證書模板以用於 BitLocker 網絡解鎖。 正確配置 Active Directory 服務證書頒發機構可以使用此證書來創建和頒發網絡解鎖證書。
打開證書模板管理單元 (certtmpl.msc)。
找到用戶模板。 右鍵單擊模板名稱並選擇復制模板
在上兼容性選項卡上,更改證書頒發機構和證書接收者字段設置為Windows Server 2012和Windows 8分別。 確保顯示更改的結果對話框框處於選中狀態。
選擇常規模板選項卡。 模板顯示名稱和模板名稱應清楚地表明將網絡解鎖的使用該模板。 清除該復選框為在 Active Directory 中的發布證書選項。
選擇請求處理選項卡。 選擇加密從目的下拉菜單。 確保允許導出私鑰選擇選項。
選擇加密選項卡。 設置最小密鑰大小到 2048年。 (支持 RSA 任何 Microsoft 加密提供程序可以用於此模板,但為了簡單起見和向前兼容性建議使用Microsoft 軟件密鑰存儲提供程序。)
選擇請求必須使用下列提供程序之一選項並清除除您選擇,如的加密提供程序之外的所有選項Microsoft 軟件密鑰存儲提供程序。
選擇使用者名稱選項卡。 選擇在請求中提供。 選擇確定如果證書模板彈出對話框出現。
選擇頒發要求選項卡。 同時選擇CA 證書管理程序批准和有效的現存證書選項。
選擇擴展選項卡。 選擇應用程序策略並選擇編輯...。
在編輯應用程序策略擴展選項對話框中,選擇客戶端身份驗證,加密文件系統,和保護電子郵件並選擇刪除。
在上編輯應用程序策略擴展對話框中,選擇添加。
在上添加應用程序策略對話框中,選擇新建。 在新應用程序策略對話框中提供的空白處中輸入以下信息,然后單擊確定若要創建的 BitLocker 網絡解鎖應用程序策略:
名稱: BitLocker 網絡解鎖
對象標識符: 1.3.6.1.4.1.311.67.1.1
選擇新創建BitLocker 網絡解鎖應用程序策略,然后選擇確定
與擴展選項卡仍然打開,選擇編輯密鑰用法擴展對話框中,選擇僅使用密鑰允許密鑰交換加密 (密鑰加密)選項。 選擇使這一功能擴展成為關鍵策略選項。
選擇“安全”選項卡。 確認Domain Admins組已被授予注冊權限
選擇確定完成的模板配置。
若要將網絡解鎖模板添加到證書頒發機構中,打開證書頒發機構的管理單元 (certsrv.msc)。 右鍵單擊證書模板項,然后選擇新的、 證書模板頒發。 選擇以前創建的 BitLocker 網絡解鎖證書。
將網絡解鎖模板添加到證書頒發機構之后, 此證書可以用於配置 BitLocker 網絡解鎖。
WDS 服務器 (可選) 上的子網策略配置文件
默認情況下,使用正確的網絡解鎖證書和有效的網絡解鎖保護程序具有到啟用網絡解鎖的 WDS 服務器通過 DHCP 有線訪問的所有客戶端是由該服務器解鎖。 WDS 服務器上的子網策略配置文件可以創建為子網網絡解鎖客戶端可以用來解鎖的限制。
配置文件中,名為 bde 網絡 unlock.ini 必須位於網絡解鎖提供程序 DLL 所在的同一目錄中並且它適用於 IPv6 和 IPv4 DHCP 實現。 如果損壞的子網配置策略,該提供程序將失敗並停止對請求的響應。
子網策略配置文件必須使用"[子網]"部分來標識特定的子網。 命名子網然后可能用於證書子部分中指定的限制。 子網被定義為通用 INI 格式,其中每個子網都有各自的行,在為無類別域際路由選擇 (CIDR) 地址或范圍等號右側的等號,並標識的子網左側同名的簡單名稱-值對。 "已啟用"不允許使用子網名稱的關鍵字。
[SUBNETS] SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon SUBNET2=10.185.252.200/28 SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.
以下 [子網] 部分中,都可以有標識不能有空格,定義客戶端可以是從與該證書未鎖定的子網格式的證書指紋的每個網絡解鎖證書的部分。
System_CAPS_note注意
如果指定的證書指紋,不包含任何空格。 如果指紋中包含空格的子網配置將失敗,因為指紋將不會識別為有效。
子網限制由定義在每個證書節表示允許子網的允許的列表。 如果在證書部分中列出任何子網,則僅列出那些子網獲准該證書。 如果沒有任何子網列出在證書部分中,然后對該證書允許在所有子網。 如果證書不具有子網策略配置文件中的一個部分,然后沒有子網限制將應用與該證書解除鎖定。 這意味着要應用於每個證書,限制為必須有一個證書節,用於在服務器上,每個網絡解鎖證書並為每個證書部分設置顯式的允許的列表的不同而不同。
通過將子網名稱從 [子網] 部分放在單獨一行上證書部分標題下創建子網列表。 然后,服務器將僅解鎖與此證書在子網指定與列表上的客戶端。 有關故障排除,而不通過只需注釋部分中刪除它的子網可以快速排除操作它以預置的分號。
[2158a767e1c14e88e27a4c0aee111d2de2eafe60] ;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on. ;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out. SUBNET1 ;SUBNET2 SUBNET3
若要完全不允許使用證書,其子網列表可能包含行"DISABLED"。
關閉網絡解鎖
若要關閉解鎖服務器,可以從 WDS 服務器注銷的 PXE 提供程序或將其完全卸載。 但是,若要停止從創建網絡解鎖保護程序的客戶端允許啟動時網絡解鎖應禁用組策略設置。 此策略設置到的更新時禁用客戶端計算機上的計算機上的密鑰保護程序將刪除任何網絡解鎖。 或者,可以以完成相同的任務對整個域的域控制器上刪除 BitLocker 網絡解鎖證書策略。
System_CAPS_note注意
刪除包含的網絡解鎖證書和密鑰在 WDS 服務器上的 FVENKP 證書存儲區實際上也將禁用服務器的能力來響應玩家的解鎖請求該證書。 但是,這被視為錯誤情況並不是關閉的網絡解鎖的服務器的支持或推薦的方法。
更新網絡解鎖證書
若要更新使用網絡解鎖的證書,管理員需要導入或生成新的證書的服務器,然后更新的域控制器上的網絡解鎖證書組策略設置。
解決網絡解鎖
網絡解鎖的問題的故障排除始通過驗證環境。 很多時候,較小的配置問題將失敗的根本原因。 若要驗證的項包括:
請驗證客戶端硬件是基於 UEFI 的且在固件版本是 2.3.1 並且在純模式下啟用的 BIOS 模式下的兼容性支持模塊 (CSM) 而不是 UEFI 固件。 通過檢查固件不具有選項處於啟用狀態 (如"舊模式"或"兼容性模式"或固件似乎在 BIOS 類似模式下執行此操作。
所有必需的安裝並啟動角色和服務
公用和私用證書已發布,且正確的證書容器中。 網絡解鎖證書存在可以在 Microsoft 管理控制台 (MMC.exe) 具有本地計算機啟用證書管理單元的 WDS 服務器上已驗證。 可通過檢查注冊表項驗證客戶端證書HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP客戶端計算機上。
啟用網絡解鎖的組策略並將其鏈接到適當的域
驗證組策略正在正確到達客戶端。 這可以通過使用 GPRESULT.exe 或 RSOP.msc 實用程序。
驗證Network (Certificate Based)保護程序列出客戶端上。 這可以通過使用管理 bde 或 Windows PowerShell cmdlet。 例如下面的命令將列出當前在 lcoal 計算機的 c: 驅動器上配置的密鑰保護:
Manage-bde –protectors –get C:
System_CAPS_note注意
使用管理 bde 以及 WDS 調試日志輸出來確定是否正在為網絡解鎖使用正確的證書指紋
若要進行故障排除 BitLocker 網絡解鎖時收集的文件包括:
Windows 事件日志。 特別是 BitLocker 事件日志和 Microsoft-Windows-Deployment-Services-Diagnostics-Debug 日志
調試日志記錄已關閉默認情況下為 WDS 服務器角色,因此將需要啟用該第一個。 您可以使用以下對象之一的兩種方法來打開 WDS 調試日志記錄。
啟動提升的命令提示符並運行以下命令:
wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
在 WDS 服務器上打開事件查看器。
在左窗格中,單擊Applications and Services Logs,單擊Microsoft,單擊Windows,單擊部署服務診斷,然后單擊調試。
在右窗格中,單擊啟用日志。
DHCP 子網配置文件 (如果存在)。
輸出的卷上的 BitLocker 狀態,這可以收集到文本文件中使用manage-bde -status或Get BitLockerVolumeWindows PowerShell 中
托管按客戶端 IP 地址進行篩選的 WDS 角色的服務器上的網絡監視器捕獲
在早期版本上配置網絡解鎖的組策略設置
網絡解鎖和伴隨中引入的組策略設置Windows Server 2012但可以使用運行 Windows Server 2008 R2 和 Windows Server 2008 的操作系統部署。
要求
承載 WDS 的服務器必須運行任何中指定的服務器操作系統應用於本主題開頭的列表。
客戶端計算機必須運行任何客戶端中指定的操作系統應用於本主題開頭的列表。
可以使用以下步驟來配置這些較舊的系統上的網絡解鎖。
第一步:安裝 WDS 服務器角色
第二步:確認 WDS 服務正在運行
第三步:安裝網絡解鎖功能
第四步:創建網絡解鎖證書
第五步:將私鑰和證書部署到 WDS 服務器
第六步:配置用於網絡解鎖的注冊表設置
通過在運行任何客戶端操作系統中指定的每台計算機上運行以下 certutil 腳本應用注冊表設置應用於本主題開頭的列表。
certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
第四步:創建網絡解鎖證書
第五步:將私鑰和證書部署到 WDS 服務器
網絡解鎖為創建的證書模板
第七步:需要 TPM + PIN 保護程序在啟動時
另請參閱
BitLocker 概述
已加密的硬盤驅動器
BitLocker 常見問題 (FAQ)
什么是 BitLocker 適用於 Windows 8 和 Windows Server 2012 [重定向] 中的新增功能
准備您的組織為 BitLocker:規划和策略