Teil 20d: BitLocker Network Unlock konfigurieren

Für BitLocker Network Unlock sind folgende Komponenten notwendig:

  • Windows Server 2012 oder Windows Server 2012 R2 (Teil 1, Teil 7)
  • Windows 8 x64 oder Windows 8.1 x64 (Teil 14ff)
  • UEFI Firmware 2.3.1 mit DHCP-Treiber im native Mode*
  • Einen Server mit Windows Deployment Services (Teil 13)
  • BitLocker Network Unlock Feature auf einem Server installiert (in diesem Teil weiter unten)
  • Einen DHCP Server, der nicht am WDS installiert ist (Teil 4)
  • Public Key Infrastructure (Teil 6ff)
  • Network Unlock Gruppenrichtlinie (in diesem Teil weiter unten; Teil 6h, Teil 20)

* UEFI Firmware 2.3.1 mit DHCP-Treiber: Es ist mir nicht gelungen, die Firmware-Version meines HP EliteBook 840 G1 (CLIENT004) festzustellen. Allerdings benötigt SecureBoot mindestens UEFI 2.3.1. Weil im BIOS Einstellungen zu SecureBoot vorhanden sind, nehme ich an, dass die Version passt. So habe ich mein HP EliteBook 840 G1 konfiguriert:

  1. Notebook starten > ESC drücken
  2. Mit F10 das BIOS Setup starten
  3. Erweitert > Bootoptionen
  4. Schnell-Boot deaktiviert (erlaubt nur PXE und den Start von der internen Festplatte)
  5. Natives UEFI (ohne CSM) aktiviert
  6. SecureBoot aktiviert
  7. Einstellungen mit F10 übernehmen

BitLocker Network Unlock konfigurieren – Schritte:

  • Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren
  • Das Feature BitLocker Network Unlock installieren
  • Zertifikat anfordern und exportieren
  • Zertifikat mit Private Key (.pfx) am WDS-Server importieren
  • Gruppenrichtlinien für Network Unlock konfigurieren
  • BitLocker Network Unlock mit CLIENT004 testen
  • Windows Deployment Services Debug-Log aktivieren

Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    NETWORK_UNLOCK-008
  5. Im Detailbereich die Zertifikatsvorlage User rechts anklicken und im Kontextmenü Duplicate Template anklicken
    NETWORK_UNLOCK-009
  6. Properties of New Template
    1. Reiter Compatibility
      1. Certification Authority: Windows Server 2012
      2. Certificate recipient: Windows 8
        NETWORK_UNLOCK-010
    2. Reiter General:
      1. Template display name: Haimann BitLocker Network Unlock
      2. Validity period: 5 years
      3. Publish certificate in Active Directory deaktivieren
        NETWORK_UNLOCK-011
    3. Reiter Request Handling
      1. Purpose: Encryption
      2. Allow pivate key to be exported aktivieren
        NETWORK_UNLOCK-012
    4. Reiter Cryptography
      1. Provider Category: Key Storage Provider
      2. Algorithm name: RSA
      3. Minimum key size: 2048
      4. Requests must one of the following providers:
        1. Microsoft Software Key Storage Provider
          NETWORK_UNLOCK-013
    5. Reiter Subject Name
      1. Supply in the request
        NETWORK_UNLOCK-014
    6. Reiter Extensions
      1. Application Policies > Edit…
      2. Edit Application Policies Extensions
        1. Alle Einträge markieren > Remove
          NETWORK_UNLOCK-016
        2. Add…
        3. Add Application Policy > New…
        4. New Application Policy
          1. Name: BitLocker Network Unlock
          2. Object identifier: 1.3.6.1.4.1.311.67.1.1 > OK > OK > OK
            NETWORK_UNLOCK-017
      3. Key usage markieren > Edit…
        1. Allow key exchange only with key encryption (key encipherment)
        2. Make this extension critical > OK
          NETWORK_UNLOCK-018
    7. Reiter Security
      1. Allow Domain Admins Read, Write, Enroll > OK
        NETWORK_UNLOCK-019
        NETWORK_UNLOCK-020
  7. Certificate Templates Console schließen
  8. In der Certification Authority-Konsole Certificate Templates rechts anklicken und im Kontextmenü New > Certificate Template to Issue anklicken
    NETWORK_UNLOCK-021
  9. In der Liste Haimann BitLocker Network Unlock auswählen > OK
    NETWORK_UNLOCK-022
  10. Alle Fenster schließen und Administrator von SERVER01 abmelden
    NETWORK_UNLOCK-023

Das Feature BitLocker Network Unlock installieren

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Manage > Add Roles and Features
  3. Add Roles and Features Wizard
    1. Before You Begin > Next
      NETWORK_UNLOCK-001
    2. Installation Type: Role-based or feature-based installation > Next
      NETWORK_UNLOCK-002
    3. Server Selection: SERVER02 > Next
      NETWORK_UNLOCK-003
    4. Server Roles > Next
      NETWORK_UNLOCK-004
    5. Features: BitLocker Network Unlock > Next
      NETWORK_UNLOCK-005
    6. Confirmation > Install
      NETWORK_UNLOCK-006
    7. Results > Close
      NETWORK_UNLOCK-007

Zertifikat anfordern und exportieren

  1. Auf SERVER02 eine MMC als Administrator starten
  2. Das Certificates-Snap-in für My user account hinzufügen
  3. Certificates erweitern
  4. Personal rechts anklicken und im Kontextmenü All Tasks > Request New Certificate… anklicken
    NETWORK_UNLOCK-024
  5. Certificate Enrollment
    1. Before You Begin > Next
      NETWORK_UNLOCK-025
    2. Select Certificate Enrollment Policy > Next
      NETWORK_UNLOCK-026
    3. Request Certificates
      1. More information…
      2. Certificate Properties
        1. Reiter Subject
          1. Subject name:
            1. Type: Common Name
            2. Value: BitLocker Network Unlock for Haimann > OK
              NETWORK_UNLOCK-027
    4. Request Certificates > Enroll
      NETWORK_UNLOCK-028
    5. Certificate Installation Results > Finish
      NETWORK_UNLOCK-029
  6. Das Zertifikat BitLocker Network Unlock for Haimann rechts anklicken und im Kontextmenü All Tasks > Export anklicken
    NETWORK_UNLOCK-030
  7. Certificate Export Wizard
    1. Welcome … > Next
      NETWORK_UNLOCK-031
    2. Export the Private Key: Yes, export the private key > Next
      NETWORK_UNLOCK-032
    3. Export File Format > Next
      NETWORK_UNLOCK-033
    4. Security
      1. Password: Password1 > Next
        NETWORK_UNLOCK-034
    5. File to Export: D:\Sourcen\Haimann_BitLocker_Network_Unlock.pfx > Next
      NETWORK_UNLOCK-035
    6. Completing the Certificate Export Wizard > Finish
      NETWORK_UNLOCK-036
  8. Das Zertifikat BitLocker Network Unlock for Haimann ohne Private Key nach D:\Sourcen\Haimann_BitLocker_Network_Unlock.cer exportieren
    NETWORK_UNLOCK-038
  9. MMC schließen

Zertifikat mit Private Key (.pfx) am WDS-Server importieren

  1. Auf SERVER02 (am WDS-Server) eine MMC als Administrator starten
  2. Das Certificates-Snap-in für Computer account hinzufügen
  3. Certificates (Local Computer) erweitern
  4. BitLocker Drive Encryption Network Unlock rechts anklicken und im Kontextmenü All Tasks > Import… anklicken
    NETWORK_UNLOCK-048
  5. Certificate Import Wizard
    1. Welcome… > Next
      NETWORK_UNLOCK-056
    2. File to Import: D:\Sourcen\Haimann_BitLocker_Network_Unlock.pfx > Next
      NETWORK_UNLOCK-049
    3. Private key protection:
      1. Password: Password1 > Next
        NETWORK_UNLOCK-050
    4. Certificate Store > Next
      NETWORK_UNLOCK-051
    5. Completing the Certificate Import Wizard > Finish
      NETWORK_UNLOCK-052
      NETWORK_UNLOCK-053
  6. Fenster schließen

Gruppenrichtlinien für Network Unlock konfigurieren

  1. Auf SERVER02 Server Manager > Local Server > Tools > Group Policy Management
  2. haimann.local > Group Policy Objects erweitern
  3. Das GPO Computer Standard Settings rechts anklicken und im Kontextmenü Edit… anklicken
    NETWORK_UNLOCK-039
  4. Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives erweitern
  5. Die Policy Allow network unlock at startup aktivieren
    NETWORK_UNLOCK-040
    NETWORK_UNLOCK-041
  6. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  7. BitLocker Drive Encryption Network Unlock Certificate rechts anklicken und im Kontextmenü Add Network Unlock Certificate anklicken
    NETWORK_UNLOCK-042
  8. Add New Unlock Certificate Wizard
    1. Welcome… > Next
      NETWORK_UNLOCK-043
    2. Select Network Unlock Certificate > Browse Folders…
      1. D:\Sourcen\Haimann_BitLocker_Network_Unlock.cer > OK > Next
        NETWORK_UNLOCK-044
    3. Completing… > Finish
      NETWORK_UNLOCK-045
      NETWORK_UNLOCK-046
  9. Alle Fenster schließen

BitLocker Network Unlock mit CLIENT004 testen

  1. Als Markus an CLIENT004 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl die Gruppenrichtlinien übernehmen
    gpupdate /force
  4. Mit folgendem Befehl den Status der Verschlüsselung ermitteln
    manage-bde -status
  5. Eine neue Schlüsselschutzvorrichtung ist hinzugefügt worden
    NETWORK_UNLOCK-047
  6. Fenster schließen
  7. CLIENT004 herunterfahren

Windows Deployment Services Debug-Log aktivieren

Für die Fehlersuche kann man den Debug-Log im Event Viewer aktivieren. Zur Demonstration aktiviere ich den Log, weil man schön die Verbindung des Notebooks sehen kann.

  1. Auf SERVER02 Command Promt (Admin) starten
  2. Mit folgendem Befehl den Debug-Log für WDS aktivieren
    wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
  3. Server Manager > Local Server > Tools > Event Viewer
  4. Application and Services\Microsoft\Windows\Deployment-Services-Diagnostics erweitern
  5. Debug anklicken
  6. CLIENT004 starten
  7. Es ist keine BitLocker-Eingabe notwendig
  8. Mit F5 die Ansicht im Event Viewer aktualisieren
    NETWORK_UNLOCK-054
    NETWORK_UNLOCK-055
  9. CLIENT004 vom Netz nehmen und neu starten
  10. BitLocker-Eingabe notwendig

 

CC BY-NC-SA 4.0 Teil 20d: BitLocker Network Unlock konfigurieren von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Dieser Beitrag wurde unter BitLocker, Ein einfaches Netzwerk, Gruppenrichtlinien, WDS, Zertifikate abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.