如何启用 BitLocker 网络解锁

概述

BitLocker 是一款优秀的 Windows 磁盘加密工具，可以帮助我们保护计算机内的数据不被偷窃。特别是笔记本电脑或平板电脑，如果电脑丢失了，没有正确的密码别人将无法读取里面的加密信息。BitLocker也可以加密系统分区，如果设置了启动时需输入PIN或插入U盘，则没有正确的PIN或插入包含启动密钥的U盘计算机将无法正常启动。在企业环境中，为了方便解锁受BitLocker保护的系统分区，Microsoft 在推出 Windows 8 时特意加入了 BitLocker 网络解锁功能，以方便域用户在公司中快速解锁计算机。如果断开了企业网络，则如果设置了启动时需要PIN或U盘，他们仍然需要输入PIN或插入U盘才能启动计算机。这个功能可以让用户在公司网络环境中快速解锁计算机，又能保障计算机的数据安全。这篇文章将介绍网络解锁的原理、步骤、以及教您如何配置并启用网络解锁。

网络解锁原理

当 Windows 启动管理器检测到网络解锁保护程序存在时，解锁序列在客户端上启动。它使用 UEFI 中的 DHCP 驱动程序获取 IPv4 的 IP 地址。然后，它广播供应商特定的 DHCP 请求，其中包含网络密钥和答复会话密钥，全部由服务器的网络解锁证书加密，如前面所述。受支持 WDS 服务器上网络解锁提供程序识别特定于供应商的请求，使用 RSA 私钥对其进行解密，并返回通过其自己的特定于供应商的 DHCP 回复使用会话密钥加密的网络密钥。

网络解锁过程

Windows 启动管理器在 BitLocker 配置中检测网络解锁保护程序。
客户端计算机使用 UEFI 中的 DHCP 驱动程序获取有效的 IPv4 IP 地址。
客户端计算机广播供应商特定的 DHCP 请求，其中包含：
·网络密钥 (256 位中间密钥)由 WDS 服务器中的网络解锁证书的 2048 位 RSA 公钥加密。
·答复的 AES-256 会话密钥。
WDS 服务器上网络解锁提供程序识别特定于供应商的请求。
提供程序使用 WDS 服务器的 BitLocker 网络解锁证书 RSA私钥解密请求。
WDS 提供程序通过使用其自己的供应商特定的 DHCP 答复来返回使用会话密钥加密的网络密钥。此键是中间键。
返回的中间键与另一个本地 256 位中间键组合使用。只有 TPM 才能解密此密钥。
此组合键用于创建可解锁卷的 AES-256 密钥。
Windows 将继续启动序列。

服务器和客户端的要求

服务器：

运行 Windows Server 2012 及以上系统
已安装 AD DS 角色服务并已提升为域控，或者已加入域
域功能级别至少为 Windows Server 2012
已安装 DNS、DHCP、Windows 部署服务 (WDS) 和 AD CS 角色服务（如何还没有装本文将会教您）
WDS 服务和 DHCP 服务不能安装在同一服务器上

客户端（用户的计算机）：

运行至少 Windows 8 操作系统，且不是家庭版或核心版
系统使用 UEFI 固件模式启动
有 TPM (受信任的平台模块) 芯片
有线网卡支持 DHCP，并且能在 UEFI 中自动获取有效的IP地址
⚠ 注意
若要在 UEFI 中正确支持 DHCP，基于 UEFI 的系统应位于本机模式下，并且不应启用 CSM (兼容) 模块。
已经加入域。

配置网络解锁

1.安装 AD CS、WDS 服务角色和网络解锁功能

创建证书模板和颁发证书需要服务器安装 AD CS 服务，而传输 BitLocker 解锁信息需要 WDS 服务和 BitLocker 网络解锁功能。如果尚未安装 AD CS、 WDS 角色或 BitLocker 网络解锁功能，可以按照此栏目的步骤安装以上三个角色服务或功能。可以使用服务器管理器或 Windows Powershell 安装它。
若要使用 Windows PowerShell 安装角色，请按Win+X键，选择“Windows Powershell (管理员)”并使用以下命令：

AD CS 服务：

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

WDS 服务：

Install-WindowsFeature WDS-Deployment

BitLocker 网络解锁功能：

Install-WindowsFeature BitLocker-NetworkUnlock

若要在服务器管理器中安装此角色，请这样做：

以 Enterprise Admins 组和根域的 Domain Admins 组的成员身份登录。默认情况下，根域的 Administrator 帐户是以上两个组的成员。
在“服务器管理器”中，单击“管理”，然后单击“添加角色和功能”。将打开“添加角色和功能向导”。
在“开始之前”中单击“下一步”。
在“选择安装类型” 中，确保选中“基于角色或基于功能的安装”，然后单击 “下一步”。
在“选择目标服务器”中，确保选中“从服务器池中选择服务器”。在“服务器池”中，确保选中了此计算机。单击“下一步” 。
在“选择服务器角色”中，选择“Active Directory 证书服务”和“Windows 部署服务”。当系统提示你添加所需功能时，单击“添加功能”，然后单击“下一步”。
在“选择功能”中，选择“BitLocker 网络解锁”功能，单击“下一步”。
在“Active Directory 证书服务”中，阅读提供的信息，然后单击“下一步”。
在“选择角色服务”中，保持默认勾选项目，单击“下一步”。
在“WDS”中，阅读提供的信息，然后单击“下一步”。
在“选择角色服务”中，保持默认全部勾选，单击“下一步”。
在“确认安装所选内容”中，单击“安装”。所选定的角色和功能将开始安装。请勿在安装过程中关闭向导。等待服务和功能安装完成。

2.配置 AD CS 服务角色

安装完成后，请单击 “配置目标服务器上的 Active Directory 证书服务”。或者也可以单击服务器管理器顶部的小旗，并单击 “配置目标服务器上的 Active Directory 证书服务”。此时可以关闭 “添加角色和功能向导” 窗口了。
此时将打开 “AD CS 配置” 向导。阅读凭据信息，如果需要，请提供作为 Enterprise Admins 组成员的帐户的凭据。单击“下一步” 。
在 “角色服务” 中选中 “证书颁发机构”，然后单击 “下一步”。
在 “设置类型” 页上，验证是否选择了 “企业 CA” ，然后单击 “下一步”。
在 “指定 CA 类型” 页上，确认已选中 “根 CA”，然后单击 “下一步”。
在“指定私钥类型”页上，验证是否选择了“创建新的私钥”，然后单击“下一步”。
在“为 CA 加密”页上，保留加密提供程序(RSA # Microsoft Software Key Storage Provider) 和哈希算法 (SHA256) 的默认设置，并确定部署的最佳密钥字符长度。大型关键字符长度提供最佳安全性；但是，它们可能会影响服务器性能，并可能不与旧应用程序兼容。建议保留默认设置2048。单击“下一步” 。
在“CA 名称”页上，保留CA的建议公用名，或根据要求更改名称。确保你确定 CA 名称与命名约定和用途兼容，因为你无法在配置 AD CS 后更改 CA 名称。单击“下一步” 。
在“有效期”页上，在“指定有效期”中键入数字，然后选择时间值 (“年”、“月”、“周” 或 “天”)。建议的默认设置为五年。单击“下一步” 。
在“CA 数据库”页上的“指定数据库位置”中，指定证书数据库和证书数据库日志的文件夹位置。如果指定默认位置之外的位置，请确保使用阻止未经授权的用户或计算机访问 CA 数据库和日志文件的访问控制列表 (ACL) 来保护文件夹。单击“下一步” 。
在“确认”中，检查列出的选项无误，并单击“配置”以配置服务。
配置完成后单击“关闭”。这样，你就成功配置了你的 AD CS 服务。

3.配置 WDS 服务角色

配置 WDS 服务器，以便它可以与 DHCP ((可选)Active Directory 域服务) 服务器和客户端计算机通信。

在 WDS 服务器上，按下Win+R键打开 “运行” 窗口，输入 wdsmgmt.msc 后按确定以打开 WDS 管理工具。或者，通过单击服务器管理器中的 “工具 > Windows 部署服务” 也可以打开 WDS 管理工具。
在左侧栏中，展开 “服务器” 节点，并右键单击此服务器，选择 “配置服务器”。
阅读提供的说明，然后单击 “下一步” 。
在 “安装选项” 上选择 “与 Active Directory 集成”，并单击 “下一步”。
选择远程安装文件夹的位置，并单击 “下一步”。
在 “PXE 服务器初始设置” 页面中，选择 “响应所有客户端计算机” 以保证能正常接受所有 BitLocker 网络解锁请求。单击 “下一步” 以配置此服务器。
等待服务器配置完毕。
配置完成后，取消勾选 “立即向服务器中添加映像” ，并单击 “完成”。

确认 WDS 服务正在运行

若要确认 WDS 服务是否正在运行，请使用服务器管理器、服务管理工具、 Windows PowerShell、或 WDS 管理工具。若要确认服务正在服务管理控制台中运行，请通过使用 services.msc 打开控制台，然后检查 WDS 服务的状态。若要使用 WDS 管理工具，请通过使用 wdsmgmt.msc 打开 WDS 服务管理工具，展开服务器节点，并检查服务器的图标。图标上应该带有一个类似于 “播放” 而不是 “停止” 或 “感叹号” 的图标。若要使用 Windows PowerShell 命令确认服务是否启动，请使用以下命令：

Get-Service WDSServer

4.为网络解锁配置模板

正确配置的 Active Directory 服务证书颁发机构可以使用证书模板创建和颁发网络解锁证书。创建证书模板：

按下Win+X键，输入 certtmpl.msc 并单击“确定”以打开证书模板管理单元。
找到用户模板。右键单击模板名称，然后选择"复制模板"。
在"兼容性" 选项卡上，将证书颁发机构字段和证书收件人字段分别改为 Windows Server 2012 和 Windows 8。确保选中“显示产生的变化”。
选择该模板的“常规”选项卡。模板显示名称和模板名称应清楚地标识该模板将用于网络解锁。清除“在 Active Directory 中发布证书”的复选框。
选择"请求处理" 选项卡。在“用途”下拉菜单中，选择"加密"。确保选中“允许导出私钥”选项。
选择“加密”选项卡。将“提供程序类别”选择“密钥存储提供程序”、最小密钥大小设为2048、请求哈希设为SHA256。选择“请求必须使用下列提供程序之一”。然后清除除所选的加密提供程序之外的所有选项。 (对于此模板，可以使用任何支持 RSA 的 Microsoft 加密提供程序。但是为了简单和向前兼容，我们建议使用 Microsoft 软件密钥存储提供程序。)
选择 “使用者名称” 选项卡。选择“在请求中提供”。如果显示证书模板对话框，请单击“确定”。
选择"颁发要求" 选项卡。然后选中“CA 证书管理器批准”和“有效现有证书”。
选择 “扩展” 选项卡。然后选择"应用程序策略 > 编辑"。
在 "编辑应用程序策略扩展"对话框中，选中 “安全电子邮件、加密文件系统和客户端身份验证”。然后单击“删除”。
在"编辑应用程序策略扩展"对话框中，选择"添加"。
在"添加应用程序策略"对话框中，选择"新建"。
在 "新建应用程序策略"对话框中输入以下信息，然后选择"确定"创建BitLocker 网络解锁应用程序策略。
名称：BitLocker 网络解锁
对象标识符：1.3.6.1.4.1.311.67.1.1
选择新创建的“BitLocker 网络解锁”应用程序策略，然后单击“确定”两次。
在 “扩展” 选项卡仍处于打开状态时，选择“密钥用法”扩展，然后选择“只在密钥加密时允许密钥交换(密钥译码)”。然后选择“使这个扩展成为关键扩展”。
选择“安全”选项卡。确认 Domain Admins 组已被授予“注册” 权限。
选择“确定”完成模板的配置。

5.创建网络解锁证书

网络解锁可以使用从现有公钥基础结构导入的证书 (PKI) 。或者，它可以使用自签名证书。
从现有证书颁发机构注册证书：

在 WDS 服务器上，按下Win+R键，输入 certsrv.msc 打开证书颁发机构。或者，通过单击服务器管理器中的 “工具 > 证书颁发机构” 也可以打开证书颁发机构。
导航至*[当前服务器]\证书模板* 。右侧右键点击空白处，选择“新建 > 要颁发的证书模板”。
双击你的 BitLocker 网络解锁证书模板。
在不关闭证书颁发机构的情况下，按下Win+R键，输入 certmgr.msc 打开证书管理器。
在 “证书 - 当前用户"下，右键单击"个人”，并依次选择“所有任务 > 请求新证书”。
当证书注册向导打开时，选择“下一步”。
选择 Active Directory 注册策略。单击“下一步”。
选择为域控制器上的网络解锁创建的证书模板。然后点击警告信息以填写在“使用者名称”选项卡上填写相关信息（只需填写任意一项即可，但是有些类型对相应的值有要求）。填写完成后单击“确定”。
单击“注册”以注册证书。此时会提示“注册暂停”。
回到证书颁发机构管理控制台，导航至*[当前服务器]\挂起的申请*。右键单击证书，选择“所有任务 > 颁发”。
刷新证书管理器主页视图，确保证书出现在“证书注册申请”文件夹中。
导出网络解锁的公钥证书：
a.右键单击之前创建的证书，选择"所有任务 > 导出"。

b.选择 “否”，不导出私钥。

c.选择“DER 编码的二进制 X.509”，然后单击“下一步”。
d.为文件命名，并选定证书保存位置。单击“下一步”。
e.单击“完成 > 确定”。
使用用于网络解锁的私钥导出公钥：
a.右键单击之前创建的证书，选择"所有任务 > 导出"。
b.选择“是”，导出私钥。单击“下一步”。
c.选中“导出所有扩展属性”，单击“下一步”。
d.选择保护私钥的方式，并提供相应的值。单击“下一步”。
e.为文件命名，并选定证书保存位置。单击“下一步”。
f.单击“完成 > 确定”。

P.S.:若要创建自签名证书，请使用 New-SelfSignedCertificate Windows PowerShell 中的 cmdlet 或使用 certreq 。

下面是一个 certreq 示例：

创建扩展名为 .inf 的文本文件。例如 BitLocker-NetworkUnlock.inf。
将以下内容添加到以前创建的文件中：

[NewRequest]
Subject="CN=BitLocker Network Unlock certificate"
ProviderType=0
MachineKeySet=True
Exportable=true
RequestType=Cert
KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
KeyLength=2048
SMIME=FALSE
HashAlgorithm=sha512
[Extensions]
1.3.6.1.4.1.311.21.10 = "{text}"
_continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
2.5.29.37 = "{text}"
_continue_ = "1.3.6.1.4.1.311.67.1.1"

打开提升的命令提示符。使用以下命令，指定之前创建的文件的完整路径。还要指定文件名。

certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer

通过确认 .cer 文件的存在，验证上一个命令是否正确创建了证书。
通过运行 certlm.msc 启动证书 - 本地计算机。
通过打开导航窗格中的"证书 - 本地计算机\个人\证书"路径创建 .pfx 文件。右键单击之前导入的证书，然后选择“所有任务 > 导出”。按照以下步骤创建 .pfx 文件。

6.将私钥和证书部署到 WDS 服务器

现在，你已创建证书和密钥，将其部署到基础结构以正确解锁系统。要部署证书：

在 WDS 服务器上，按下 Win+R 键，输入 certlm.msc 启动证书 - 本地计算机。
右键单击 (计算机) - BitLocker 驱动器加密网络解锁，然后选择"所有任务 > 导入"。
在“要导入的文件”对话框中，选择之前创建的 .pfx 文件。单击“下一步”。
输入用于创建 .pfx 文件的密码，然后完成剩余步骤。

7.配置网络解锁的组策略设置

现在，你已将证书和密钥部署到 WDS 服务器进行网络解锁。最后一步，将使用组策略设置将公钥证书部署到希望使用网络解锁密钥解锁的计算机。
若要启用配置网络解锁所需的组策略设置和证书，请在域控制器上执行以下操作：

按下 Win+R 键并输入 gpmc.msc 打开组策略管理控制台。或者，通过单击服务器管理器中的 “工具 > 组策略管理” 也可以打开组策略管理控制台。
展开相应林节点，展开域节点，再展开相应的域节点，找到相应的策略，右键点击或选中相应的策略并单击“操作”，然后点击“编辑”。
转到“计算机配置\策略\管理模板\BitLocker 驱动器加密\操作系统驱动器”，双击打开“启动时需要附加验证”。
启用此策略然后选择“配置 TPM 启动 PIN：有 TPM时允许启动 PIN 或有 TPM时需要启动 PIN。单击确定。
启用策略“启用网络解锁”。
转到“计算机配置\策略\Windows 设置\安全设置\公钥策略\BitLocker 驱动器加密网络解锁证书”节点。右键单击该文件夹或点击“操作”，然后选择"添加网络解锁证书"。
按照步骤操作并导入之前复制的 .cer 文件。
在所有加入域的客户端计算机上手动刷新组策略设置或等待其自动刷新。
在所有加入域的客户端计算机上打开具有 TPM+PIN 保护程序的 BitLocker。
部署组策略后重新启动客户端。

ℹ 备注

一次只能使用一个网络解锁证书。如果需要部署新证书，请先删除当前证书，然后再部署新证书。网络解锁证书位于客户端计算机上的HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP 密钥中。
即便使用的 BitLocker 网络解锁证书已经过期，也不会影响到网络解锁的正常使用。

⚠ 注意
仅当启用策略且有效证书存在于安全存储中时，重启后才添加基于网络证书的网络解锁保护程序。

声明：

本文由 Microsoft 官方文档经由自己的实践，修改原文内容并配图后写成的。原文链接：

BitLocker - 如何在 Windows 10 中启用网络解锁：
https://docs.microsoft.com/zh-cn/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock
安装证书颁发机构：
https://docs.microsoft.com/zh-cn/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority