BitLocker：如何启用网络解锁

TechNet 库
Windows Server
Windows Server 2012 R2 和 Windows Server 2012
服务器角色和技术
安全和保护
BitLocker
BitLocker 中的新增功能
BitLocker 常见问题 (FAQ)
BitLocker Basic 部署
BitLocker：如何在 Windows Server 2012 上部署
BitLocker：如何启用网络解锁
BitLocker：使用 BitLocker 驱动器加密工具管理 BitLocker
BitLocker：使用 BitLocker 恢复密码查看器
BitLocker 组策略设置
BCD 设置和 BitLocker
BitLocker 恢复
保护的群集共享卷和存储区域网络与 BitLocker 一起使用
展开
此文章由机器翻译。 将光标移到文章的句子上，以查看原文。
译文 原文
BitLocker：如何启用网络解锁

适用对象：Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
面向 IT 专业人士的本主题介绍 BitLocker 网络解锁的工作原理以及如何对其进行配置。
中引入了网络解锁Windows 8和Windows Server 2012作为操作系统卷的 BitLocker 保护程序选项。 网络解锁允许更易于管理的启用 BitLocker 的桌面和服务器在域环境中通过提供自动解锁在重新启动系统时连接到有线企业网络的操作系统卷。 此功能要求客户端硬件在其 UEFI 固件中实现 DHCP 驱动器。
如果没有网络解锁，由 TPM + PIN 保护程序保护的操作系统卷需要 （例如，通过 LAN 唤醒） 当计算机重新启动或从休眠恢复时要输入的 PIN。 这可以使它很难对企业软件修补程序部署到无人参与的台式计算机和远程管理的服务器。
网络解锁允许使用 TPM + PIN 并启用了 BitLocker 的系统满足硬件要求启动到 Windows 无需用户干预。 网络解锁工作以在启动 TPM + 启动到类似的方式。 不需要从 USB 媒体读取启动密钥，网络解锁的密钥使用存储在 TPM 中的密钥和一个发送至服务器、解密并在安全会话中返回至客户端的加密网络密钥编写而成。
本主题包含：
网络解锁的核心要求
网络解锁顺序
配置网络解锁
网络解锁为创建的证书模板
关闭网络解锁
更新网络解锁证书
解决网络解锁
在早期版本上配置网络解锁的组策略设置
网络解锁的核心要求

该功能可以自动解锁系统加入域之前，网络解锁必须满足必需的硬件和软件要求。 这些要求包括：
支持的 Windows 操作系统：运行中指定的 Windows 任何的版本计算机应用于本主题开头的列表。
UEFI DHCP 驱动程序与任何受支持的操作系统可以是网络解锁的客户端。
在任何受支持的服务器操作系统上运行的 Windows 部署服务 (WDS) 角色的服务器。
在任何受支持的服务器操作系统上安装 BitLocker 网络解锁的可选功能。
DHCP 服务器，独立于 WDS 服务器。
正确配置公钥/私钥键配对。
网络解锁的组策略设置配置。
必须启用网络堆栈若要使用网络解锁功能。 设备制造商提供其产品在各种状态以及使用不同的 BIOS 菜单，因此您需要确认网络堆栈启用了在 BIOS 中在启动计算机之前。
System_CAPS_note注意
若要正确地支持 UEFI 中的 DHCP，基于 UEFI 的系统应该在纯模式下不启用兼容性支持模块 (CSM) 的情况下。
若要在运行的计算机上可靠工作的网络解锁Windows 8，必须配置为支持 DHCP 的计算机，通常在板载适配器上的第一个网络适配器并将其用于网络解锁。 这是特别值得一提时有多个适配器，而您想要配置一个未安装 DHCP，如无人照看管理协议。 因为网络解锁枚举适配器在出于任何原因到达另一个使用 DHCP 端口出现故障时将停止时则需要此配置。 因此，如果第一个枚举的适配器不支持 DHCP，未插入网络，或与报表可用性的 DHCP 端口由于任何原因失败，则网络解锁将失败。
网络解锁的服务器组件将安装在受支持版本的 Windows Server 中指定应用于作为一项 Windows 功能使用服务器管理器或 Windows PowerShell cmdlet 的本主题开头的列表。 功能名称是 BitLocker 网络解锁在服务器管理器和 Windows PowerShell 中的 BitLocker NetworkUnlock。 此功能是一个核心要求。
System_CAPS_note注意
有关如何在 Windows Server 2008、 Windows Server 2008 R2、 Windows 7 和 Windows Vista 上配置网络解锁的信息，请参阅在早期版本上配置网络解锁的组策略设置。
网络解锁要求中指定的 Windows Server 的受支持的版本应用于在环境中运行 Windows 部署服务 (WDS) 功能，其中可使用本主题开头的列表。 WDS 安装的配置不是必需的 ；但是，WDS 服务需要服务器上运行。
网络密钥会连同一个 AES 256 会话密钥存储在系统驱动器上，并使用解锁服务器证书的 2048 位 RSA 公钥加密。 网络密钥将解密受支持版本的 WDS，运行 Windows Server 上的提供程序的帮助，并使用其相应的会话密钥加密形式返回。
网络解锁顺序

该解锁序列开始在客户端中，当 Windows 启动管理器检测到的网络解锁保护程序的存在。 它利用 (uefi) 获取 IPv4 IP 地址中的 DHCP 驱动程序，并按上文所述然后广播包含网络密钥和答复、 通过服务器的网络解锁证书，所有加密的会话密钥的供应商特定 DHCP 请求。 受支持的 WDS 服务器上的网络解锁提供程序能够识别特定于供应商请求、 与 RSA 私钥对其进行解密并返回与通过其自己的供应商特定 DHCP 答复的会话密钥加密的网络密钥。
在服务器端，WDS 服务器角色具有一个可选插件组件，如是什么处理传入的网络解锁请求的 PXE 提供程序。 提供程序还可以在需要提供网络解锁请求中的客户端的 IP 地址所属为了释放到客户端的网络密钥允许子网的子网限制配置。 在其中的网络解锁提供程序是不可用情况下，BitLocker 故障转移到下一个可用的保护程序来解锁驱动器。 在典型配置中，这意味着标准的 TPM + PIN 解锁屏幕用于解锁驱动器。
若要启用网络解锁的服务器端配置也需要设置 2048年位 RSA 公钥/私钥密钥对的形式的 X.509 证书，以及公钥证书以分发到客户端。 此证书必须管理并通过组策略编辑器直接在具有至少一个域功能级别的域控制器上部署Windows Server 2012。 此证书是对中间网络密钥进行加密的公钥 （这是将驱动器解锁所需的两个秘密之一 ； 其他密钥存储在 TPM 中）。
BitLocker Network Unlock Sequence
网络解锁的处理流程
网络解锁的过程中的阶段
Windows 启动管理器检测到在 BitLocker 配置中不存在网络解锁保护程序。
客户端计算机在 UEFI 中使用其 DHCP 驱动程序获取有效的 IPv4 IP 地址。
客户端计算机将广播包含网络密钥 (256 位中间密钥) 和答复 AES 256 会话密钥的供应商特定 DHCP 请求。 这两个这些密钥进行加密使用的与 WDS 服务器中的网络解锁证书的 2048年位 RSA 公钥。
WDS 服务器上的网络解锁提供程序能够识别特定于供应商请求。
提供程序将其解密使用 WDS 服务器 BitLocker 网络解锁证书 RSA 私钥。
WDS 提供程序然后返回与使用客户端计算机与其自己供应商特定 DHCP 答复的会话密钥加密的网络密钥。 这就构成一个中间的密钥。
然后再与另一个本地 256 位中间密钥只能由 TPM 解密一起返回的中间键。
此组合的密钥用于创建一个 AES 256 密钥用于解锁该卷。
Windows 将继续引导顺序。
配置网络解锁

以下步骤允许管理员配置域功能级别至少是的域中的网络解锁Windows Server 2012。
第一步：安装 WDS 服务器角色

如果未安装，BitLocker 网络解锁功能将安装 WDS 角色。 如果您想要在安装 BitLocker 网络解锁之前单独安装它您可以使用服务器管理器或 Windows PowerShell。 若要安装角色使用服务器管理器，选择Windows 部署服务角色在服务器管理器。
若要安装角色使用 Windows PowerShell，请使用以下命令：
Install-WindowsFeature WDS-Deployment
您必须配置 WDS 服务器，以便它可以与 DHCP （和可选的 Active Directory 域服务） 进行通信和客户端计算机。 您可以使用 WDS 管理工具，wdsmgmt.msc，这将启动 Windows 部署服务配置向导。
第二步：确认 WDS 服务正在运行

若要确认运行 WDS 服务，请使用服务管理控制台或 Windows PowerShell。 若要确认该服务运行在服务管理控制台中，请打开控制台使用services.msc和检查 Windows 部署服务服务的状态。
若要确认该服务正在运行使用 Windows PowerShell，请使用以下命令：
Get-Service WDSServer
第三步：安装网络解锁功能

若要安装的网络解锁功能，请使用服务器管理器或 Windows PowerShell。 若要安装使用服务器管理器功能，请选择BitLocker 网络解锁服务器管理器控制台中的新功能。
若要安装使用 Windows PowerShell 功能，请使用以下命令：
Install-WindowsFeature BitLocker-NetworkUnlock
第四步：创建网络解锁证书

网络解锁可以使用导入的证书从现有的 PKI 基础结构，也可以使用自签名的证书。
若要注册从现有证书颁发机构 (CA) 证书，执行以下操作：
打开证书管理器在 WDS 服务器使用certmgr.msc
在证书-当前用户项下右键单击个人
然后选择所有任务申请新证书
选择下一步证书注册向导打开时
选择 Active Directory 注册策略
选择网络解锁的域控制器上创建的证书模板，然后选择注册。 当系统提示输入的详细信息，添加到证书的以下属性：
选择使用者名称窗格中，并提供友好名称值。 建议此友好名称包括域或组织单位的证书信息。 例如"Contoso 域的 BitLocker 网络解锁证书"
创建的证书。 确保该证书将显示在个人文件夹中。
网络解锁的导出的公钥证书
通过右键单击先前创建的证书，创建.cer 文件选择所有任务，然后导出。
选择不，不要导出私钥。
选择DER 编码二进制 X.509并完成证书导出到一个文件。
为该文件提供一个名称，例如 BitLocker NetworkUnlock.cer。
网络解锁的导出带有私钥的密钥的公钥
通过右键单击先前创建的证书，创建一个.pfx 文件选择所有任务，然后导出。
选择是，导出私钥。
完成向导以创建的.pfx 文件。
若要创建自签名的证书，请执行以下操作：
创建扩展名为.inf 的文本文件。 例如，notepad.exe BitLocker NetworkUnlock.inf
将以下内容添加到先前创建的文件：
[NewRequest] Subject="CN=BitLocker Network Unlock certificate" Exportable=true RequestType=Cert KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyLength=2048 [Extensions] 1.3.6.1.4.1.311.21.10 = "{text}" _continue_ = "OID=1.3.6.1.4.1.311.67.1.1" 2.5.29.37 = "{text}" _continue_ = "1.3.6.1.4.1.311.67.1.1"
打开提升的命令提示符并使用 certreq 工具来创建新的证书使用以下命令，指定的文件名称以及以前，创建的文件的完整路径：
certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
验证是否正确创建上一个命令通过确认.cer 文件的证书存在
通过运行启动证书管理器certmgr.msc
创建一个.pfx 文件通过打开证书-Current UserPersonalCertificates路径在导航窗格中，右键单击以前导入的证书，并选择所有任务，然后导出。 按照向导以创建的.pfx 文件。
第五步：将私钥和证书部署到 WDS 服务器

使用证书和创建的密钥，请将它们部署到正确解除锁定系统的基础结构。 若要部署证书，请执行以下操作：
在 WDS 服务器上，打开一个新的 MMC 并添加证书管理单元中。 选择计算机帐户和本地计算机时给定的选项。
右键单击证书 (本地计算机) 的 BitLocker 驱动器加密网络解锁的项，然后选择所有任务导入
在导入的文件对话框中，选择先前创建的.pfx 文件。
输入用于创建.pfx 和完成该向导的密码。
第六步：为网络解锁配置组策略设置

使用证书和部署到 WDS 服务器为网络解锁的密钥，最后一步是使用组策略设置将公钥证书部署到您想要将无法解锁使用网络解锁的密钥的计算机。 组策略设置可在 BitLocker 下找到Computer ConfigurationAdministrative 模板 windows 组件 itlocker 驱动器加密使用本地组策略编辑器或 Microsoft 管理控制台。
以下步骤介绍如何启用组策略设置，配置网络解锁的必要条件。
打开组策略管理控制台 (gpmc.msc)
启用策略需要在启动时的附加身份验证并选择需要启动带有 TPM 的 PIN选项
使用 TPM + PIN 保护程序在所有已加入域的计算机上打开 BitLocker
以下步骤描述如何部署所需的组策略设置：
System_CAPS_note注意
组策略设置启动时允许网络解锁和添加网络解锁证书中引入了Windows Server 2012。
将复制到域控制器创建为网络解锁的.cer 文件
在域控制器上启动组策略管理控制台 (gpmc.msc)
创建新的组策略对象或修改现有对象启用启动时允许网络解锁设置。
将公用证书部署到客户端
在组策略管理控制台中，导航到以下位置：计算机配置 策略 windows 设置 安全设置 公共密钥策略 itlocker 驱动器加密网络解锁证书
右键单击该文件夹并选择添加网络解锁证书
按照向导步骤和导入以前已复制的.cer 文件。
System_CAPS_note注意
只有一个网络解锁证书可以提供一次。 如果新证书是必需的则在将一个新的部署之前删除当前证书。 网络解锁证书位于HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP关键客户端计算机上。
第七步：需要 TPM + PIN 保护程序在启动时

对于企业要用于一个额外级别的 TPM + PIN 保护程序是安全的一个额外的步骤。 需要 TPM + PIN 保护程序的环境中，执行以下操作：
打开组策略管理控制台 (gpmc.msc)
启用策略需要在启动时的附加身份验证并选择需要启动带有 TPM 的 PIN选项
使用 TPM + PIN 保护程序在所有已加入域的计算机上打开 BitLocker
网络解锁为创建的证书模板

以下步骤详细介绍如何使用来创建证书模板以用于 BitLocker 网络解锁。 正确配置 Active Directory 服务证书颁发机构可以使用此证书来创建和颁发网络解锁证书。
打开证书模板管理单元 (certtmpl.msc)。
找到用户模板。 右键单击模板名称并选择复制模板
在上兼容性选项卡上，更改证书颁发机构和证书接收者字段设置为Windows Server 2012和Windows 8分别。 确保显示更改的结果对话框框处于选中状态。
选择常规模板选项卡。 模板显示名称和模板名称应清楚地表明将网络解锁的使用该模板。 清除该复选框为在 Active Directory 中的发布证书选项。
选择请求处理选项卡。 选择加密从目的下拉菜单。 确保允许导出私钥选择选项。
选择加密选项卡。 设置最小密钥大小到 2048年。 （支持 RSA 任何 Microsoft 加密提供程序可以用于此模板，但为了简单起见和向前兼容性建议使用Microsoft 软件密钥存储提供程序。）
选择请求必须使用下列提供程序之一选项并清除除您选择，如的加密提供程序之外的所有选项Microsoft 软件密钥存储提供程序。
选择使用者名称选项卡。 选择在请求中提供。 选择确定如果证书模板弹出对话框出现。
选择颁发要求选项卡。 同时选择CA 证书管理程序批准和有效的现存证书选项。
选择扩展选项卡。 选择应用程序策略并选择编辑...。
在编辑应用程序策略扩展选项对话框中，选择客户端身份验证，加密文件系统，和保护电子邮件并选择删除。
在上编辑应用程序策略扩展对话框中，选择添加。
在上添加应用程序策略对话框中，选择新建。 在新应用程序策略对话框中提供的空白处中输入以下信息，然后单击确定若要创建的 BitLocker 网络解锁应用程序策略:
名称： BitLocker 网络解锁
对象标识符： 1.3.6.1.4.1.311.67.1.1
选择新创建BitLocker 网络解锁应用程序策略，然后选择确定
与扩展选项卡仍然打开，选择编辑密钥用法扩展对话框中，选择仅使用密钥允许密钥交换加密 (密钥加密)选项。 选择使这一功能扩展成为关键策略选项。
选择“安全”选项卡。 确认Domain Admins组已被授予注册权限
选择确定完成的模板配置。
若要将网络解锁模板添加到证书颁发机构中，打开证书颁发机构的管理单元 (certsrv.msc)。 右键单击证书模板项，然后选择新的、 证书模板颁发。 选择以前创建的 BitLocker 网络解锁证书。
将网络解锁模板添加到证书颁发机构之后, 此证书可以用于配置 BitLocker 网络解锁。
WDS 服务器 (可选) 上的子网策略配置文件

默认情况下，使用正确的网络解锁证书和有效的网络解锁保护程序具有到启用网络解锁的 WDS 服务器通过 DHCP 有线访问的所有客户端是由该服务器解锁。 WDS 服务器上的子网策略配置文件可以创建为子网网络解锁客户端可以用来解锁的限制。
配置文件中，名为 bde 网络 unlock.ini 必须位于网络解锁提供程序 DLL 所在的同一目录中并且它适用于 IPv6 和 IPv4 DHCP 实现。 如果损坏的子网配置策略，该提供程序将失败并停止对请求的响应。
子网策略配置文件必须使用"[子网]"部分来标识特定的子网。 命名子网然后可能用于证书子部分中指定的限制。 子网被定义为通用 INI 格式，其中每个子网都有各自的行，在为无类别域际路由选择 (CIDR) 地址或范围等号右侧的等号，并标识的子网左侧同名的简单名称-值对。 "已启用"不允许使用子网名称的关键字。
[SUBNETS] SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon SUBNET2=10.185.252.200/28 SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.
以下 [子网] 部分中，都可以有标识不能有空格，定义客户端可以是从与该证书未锁定的子网格式的证书指纹的每个网络解锁证书的部分。
System_CAPS_note注意
如果指定的证书指纹，不包含任何空格。 如果指纹中包含空格的子网配置将失败，因为指纹将不会识别为有效。
子网限制由定义在每个证书节表示允许子网的允许的列表。 如果在证书部分中列出任何子网，则仅列出那些子网获准该证书。 如果没有任何子网列出在证书部分中，然后对该证书允许在所有子网。 如果证书不具有子网策略配置文件中的一个部分，然后没有子网限制将应用与该证书解除锁定。 这意味着要应用于每个证书，限制为必须有一个证书节，用于在服务器上，每个网络解锁证书并为每个证书部分设置显式的允许的列表的不同而不同。
通过将子网名称从 [子网] 部分放在单独一行上证书部分标题下创建子网列表。 然后，服务器将仅解锁与此证书在子网指定与列表上的客户端。 有关故障排除，而不通过只需注释部分中删除它的子网可以快速排除操作它以预置的分号。
[‎2158a767e1c14e88e27a4c0aee111d2de2eafe60] ;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on. ;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out. SUBNET1 ;SUBNET2 SUBNET3
若要完全不允许使用证书，其子网列表可能包含行"DISABLED"。
关闭网络解锁

若要关闭解锁服务器，可以从 WDS 服务器注销的 PXE 提供程序或将其完全卸载。 但是，若要停止从创建网络解锁保护程序的客户端允许启动时网络解锁应禁用组策略设置。 此策略设置到的更新时禁用客户端计算机上的计算机上的密钥保护程序将删除任何网络解锁。 或者，可以以完成相同的任务对整个域的域控制器上删除 BitLocker 网络解锁证书策略。
System_CAPS_note注意
删除包含的网络解锁证书和密钥在 WDS 服务器上的 FVENKP 证书存储区实际上也将禁用服务器的能力来响应玩家的解锁请求该证书。 但是，这被视为错误情况并不是关闭的网络解锁的服务器的支持或推荐的方法。
更新网络解锁证书

若要更新使用网络解锁的证书，管理员需要导入或生成新的证书的服务器，然后更新的域控制器上的网络解锁证书组策略设置。
解决网络解锁

网络解锁的问题的故障排除始通过验证环境。 很多时候，较小的配置问题将失败的根本原因。 若要验证的项包括：
请验证客户端硬件是基于 UEFI 的且在固件版本是 2.3.1 并且在纯模式下启用的 BIOS 模式下的兼容性支持模块 (CSM) 而不是 UEFI 固件。 通过检查固件不具有选项处于启用状态 （如"旧模式"或"兼容性模式"或固件似乎在 BIOS 类似模式下执行此操作。
所有必需的安装并启动角色和服务
公用和私用证书已发布，且正确的证书容器中。 网络解锁证书存在可以在 Microsoft 管理控制台 (MMC.exe) 具有本地计算机启用证书管理单元的 WDS 服务器上已验证。 可通过检查注册表项验证客户端证书HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP客户端计算机上。
启用网络解锁的组策略并将其链接到适当的域
验证组策略正在正确到达客户端。 这可以通过使用 GPRESULT.exe 或 RSOP.msc 实用程序。
验证Network (Certificate Based)保护程序列出客户端上。 这可以通过使用管理 bde 或 Windows PowerShell cmdlet。 例如下面的命令将列出当前在 lcoal 计算机的 c: 驱动器上配置的密钥保护：
Manage-bde –protectors –get C:
System_CAPS_note注意
使用管理 bde 以及 WDS 调试日志输出来确定是否正在为网络解锁使用正确的证书指纹
若要进行故障排除 BitLocker 网络解锁时收集的文件包括：
Windows 事件日志。 特别是 BitLocker 事件日志和 Microsoft-Windows-Deployment-Services-Diagnostics-Debug 日志
调试日志记录已关闭默认情况下为 WDS 服务器角色，因此将需要启用该第一个。 您可以使用以下对象之一的两种方法来打开 WDS 调试日志记录。
启动提升的命令提示符并运行以下命令：
wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true

在 WDS 服务器上打开事件查看器。
在左窗格中，单击Applications and Services Logs，单击Microsoft，单击Windows，单击部署服务诊断，然后单击调试。
在右窗格中，单击启用日志。
DHCP 子网配置文件 （如果存在）。
输出的卷上的 BitLocker 状态，这可以收集到文本文件中使用manage-bde -status或Get BitLockerVolumeWindows PowerShell 中
托管按客户端 IP 地址进行筛选的 WDS 角色的服务器上的网络监视器捕获
在早期版本上配置网络解锁的组策略设置

网络解锁和伴随中引入的组策略设置Windows Server 2012但可以使用运行 Windows Server 2008 R2 和 Windows Server 2008 的操作系统部署。
要求
承载 WDS 的服务器必须运行任何中指定的服务器操作系统应用于本主题开头的列表。
客户端计算机必须运行任何客户端中指定的操作系统应用于本主题开头的列表。
可以使用以下步骤来配置这些较旧的系统上的网络解锁。
第一步：安装 WDS 服务器角色
第二步：确认 WDS 服务正在运行
第三步：安装网络解锁功能
第四步：创建网络解锁证书
第五步：将私钥和证书部署到 WDS 服务器
第六步：配置用于网络解锁的注册表设置
通过在运行任何客户端操作系统中指定的每台计算机上运行以下 certutil 脚本应用注册表设置应用于本主题开头的列表。
certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer reg add "HKLMSOFTWAREPoliciesMicrosoftFVE" /v OSManageNKP /t REG_DWORD /d 1 /f reg add "HKLMSOFTWAREPoliciesMicrosoftFVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f reg add "HKLMSOFTWAREPoliciesMicrosoftFVE" /v UsePIN /t REG_DWORD /d 2 /f reg add "HKLMSOFTWAREPoliciesMicrosoftFVE" /v UseTPMPIN /t REG_DWORD /d 2 /f reg add "HKLMSOFTWAREPoliciesMicrosoftFVE" /v UseTPM /t REG_DWORD /d 2 /f reg add "HKLMSOFTWAREPoliciesMicrosoftFVE" /v UseTPMKey /t REG_DWORD /d 2 /f reg add "HKLMSOFTWAREPoliciesMicrosoftFVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
第四步：创建网络解锁证书
第五步：将私钥和证书部署到 WDS 服务器
网络解锁为创建的证书模板
第七步：需要 TPM + PIN 保护程序在启动时
另请参阅

BitLocker 概述
已加密的硬盘驱动器
BitLocker 常见问题 (FAQ)
什么是 BitLocker 适用于 Windows 8 和 Windows Server 2012 [重定向] 中的新增功能
准备您的组织为 BitLocker：规划和策略