MBAM 2.0 – Présentation

Par Jean-Noel BUOSI Le 7/03/2014
MBAM_logo

Cet article donnera un aperçu rapide du produit afin de mieux comprendre son fonctionnement et les bénéfices qu’il peut apporter.

Lire la suite

Windows 8.1 – Chiffrer avec Bitlocker sans puce TPM

Par Grégory BOUCHU Le 23/01/2014
Windows-8-1-blue-logo

    Si vous souhaitez chiffrer votre / vos partitions avec Bitlocker, mais que vous ne disposez pas de puce TPM (Trusted Platform Module), je vous propose de découvrir comment faire dans ce post.

Lire la suite

Chiffrer une machine virtuelle avec Bitlocker

Par Pierre SALVY Le 15/10/2012
bitlocker

Chiffrer une machine virtuelle avec Bitlocker n’est pas la chose la plus utile, en effet, bitlocker est surtout implémenté pour la protection physique des données, dans le cadre d’une machine virtuelle, cette protection n’a généralement pas lieu d’être …
Mais ! Parfois …. Il est nécessaire de procéder à ce chiffrement ….
Voyons ensemble comment procéder !

Lire la suite

Rapporter l’état de chiffrement Bitlocker de vos clients via extension d’inventaire SCCM

Par Pierre SALVY Le 19/04/2012

La remontée d’informations d’inventaire concernant Bitlocker n’est pas disponible par défaut sur SCCM 2007, afin de permettre cette remontée d’informations, il est nécessaire de procéder à une extension de l’inventaire SCCM.

Je vous passe les détails techniques concernant les extensions d’inventaires sous System Center Configuration Manager 2007, vous trouverez toutes les informations nécessaires sur Technet.

Vous avez System Center Configuration Manager 2007 et vous utilisez déjà l’inventaire matériel ? Voyons ensemble comment intégrer le statut Bitlocker de vos postes de travail à vos rapport SCCM grâce à une extension de l’inventaire matériel.

Première étape: mise à jour des fichiers de configuration d’inventaire !

Les fichiers SMS_DEF.MOF et CONFIGURATION.MOF disponibles à l’emplacement suivant : %SCCMinstallpath%\inboxes\clifiles.src\hinv\ doivent être complétés afin d’intégrer les nouveaux éléments d’inventaire à remonter.

Voici le contenu à ajouter à ces fichiers

SMS_DEF.MOF

[ SMS_Report (TRUE), 
SMS_Group_Name ("Bitlocker"), 
SMS_Class_ID ("MICROSOFT|Bitlocker|1.0")]
class Bitlocker : SMS_Class_Template 
{ 
[SMS_Report(TRUE), key] 
string DeviceID; 
[SMS_Report(TRUE)] 
string DriveLetter; 
[SMS_Report(TRUE)] 
uint32 ProtectionStatus; 
};



CONFIGURATION.MOF
#Pas de retour à la ligne entre la ligne 2 et 3#

#pragma namespace("\\\\.\\root\\cimv2")
[Union,ViewSources{"select * from Win32_EncryptableVolume"}
,ViewSpaces{"\\\\.\\root\\cimv2\\ security\\MicrosoftVolumeEncryption"}, 
Dynamic,Provider("MS_VIEW_INSTANCE_PROVIDER")] 
class Bitlocker 
{ 
    [PropertySources{"DeviceID"},key] 
    string DeviceID; 
    [PropertySources{"DriveLetter"}] 
    string DriveLetter; 
    [PropertySources{"ProtectionStatus"}] 
    uint32 ProtectionStatus; 
};


SCCM intègre l’outil “mofcomp” qui permettra de vérifier et de compiler les nouveaux fichiers MOF. Avant tout, je vous invite à lancer la commande suivante pour valider le SMS_DEF.MOF :

mofcomp.exe -check SMS_DEF.MOF. 

et enfin utilisez la commande suivante pour compiler le SMS_DEF.MOF :

mofcomp -class:forceupdate %pathtofile%\SMS_DEF.MOF


Les clients remonteront ensuite les informations lors du prochain inventaire matériel. Une fois que les informations “étendues” seront remontées en base de données, celles-ci pourront être visualisables via des rapports personnalisés. Vous pourrez également afficher ces informations dans l’explorateur de ressources pour les clients.

Retrouvez ci-dessous un exemple de requête qui vous permettra de générer un nouveau rapport

select sys.Name0, BL.DriveLetter0, BL.ProtectionStatus0 from v_GS_BitLocker BL Join v_r_system sys on sys.ResourceID = BL.ResourceID


Notons que le nom de la table utilisé dans la requête correspond au nom de la classe déclarée dans les MOF et que les noms des colonnes correspondent également aux déclarations effectuées dans les MOF.

Et enfin pour terminer, la liste des attributs remontés dans l’exemple ci-dessus n’est pas exhaustive mais porte sur les attributs les plus intéressants qu’il est possible d’inventorier concernant Bitlocker. Vous pouvez donc remonter beaucoup plus d’informations concernant Bitlocker ! Pour les trouver ? Regardez les détails de la classe WMI correspondante.

Maintenant vous êtes prêt à interroger et à générer des rapports Bitlocker à partir d’informations remontées par vos clients.

Sécurisez (ou presque) votre base de mots de passe Windows !

Par Pierre SALVY Le 16/04/2012


Nous l’avons vu dans un article précédent (article visionné de très, très, trop, nombreuses fois..), il est possible et extrêmement simple de changer / cracker un mot de passe sous Windows.

Dans la plupart des cas, l’idée n’est pas “cracker ” le mot de passe afin de découvrir celui utilisé par le système, “dans la plupart des cas”, l’idée est simplement de changer le mot de passe, peu importe quel était l’ancien. Pour cela, il est bon de préciser que la méthode recommandée passe par l’utilisation de Microsoft Diagnostics and Recovery Toolset (DaRT).

Afin de “contrer” la méthode décrite dans mon précédent article, méthode qui n’est qu’une parmi les nombreuses existantes, des solutions existent :

  • L’implémentation d’un mot de passe BIOS : “Bien mais pas top” (contournement facile : enlevez la pile ;-) )
  • L’implémentation de Bitlocker : très bien, mais “risqué” si non maitrisé.
  • et enfin : Syskey ! Syskey nous permettra de sécuriser la base des mots de passes Windows : La base SAM.

L’exécution de syskey est simple : démarrer / exécuter / “Syskey”.

Vous voyez que par défaut la sécurisation de la base SAM est activée; cependant celle-ci reste accessible sans trop de contrôle : il est donc possible de modifier celle-ci sans authentification préalable.

La solution est donc de procéder à un “Update” de la configuration en sélectionnant une des options ci-dessous :

  • 1er choix : préciser un mot de passe qui vous sera demandé au démarrage
  • 2nd choix : utilisez une disquette (pardon …) de démarrage, celle-ci hébergera la clé de chiffrement et devra être insérée au démarrage du poste.
  • 3ème choix : laissez faire le système ! Ce qui est déjà le cas par défaut …

Ce court article nous fait découvrir une chose : rien de “souple” ne permet de sécuriser simplement la base SAM… La solution que je préconise comme beaucoup, réside en l’utilisation de Bitlocker afin de chiffrer le disque… la solution de chiffrement bitlocker + PIN vous permettra de verrouiller de façon relativement fiable l’accès au système.

Microsoft nous propose une KB à ce sujet : http://support.microsoft.com/kb/310105/fr

Windows 8 introduit : BitLocker data-only encryption

Par Pierre SALVY Le 16/09/2011

Windows 8 introduit de nombreuses nouveautés et améliorations concernant Bitlocker ! L’objectif : améliorer la sécurité, l’expérience utilisateur et réduire les risques d’accès “non désirés” au données.

Nous connaissons les limites de Bitlocker sous Windows Vista & 7, (détaillé dans mes articles à ce sujet).

L’objectif affiché à l’heure actuelle est d’offrir sous Windows 8 une solution de chiffrement aussi, voire plus performante et sécuritaire que les solutions “propriétaires” dédiées telles que PGP desktop ou TrueCrypt .

Sous Windows 8, Bitlocker implémente de nombreuses nouveautés, dont “BitLocker data-only encryption“.

Le principal avantage de cette nouveauté réside sur le fait que BitLocker chiffre maintenant uniquement les secteurs de disques comportant des données, les secteurs vides seront ensuite chiffrés “à la volée”.

L’expérience utilisateur est également améliorée grâce à la possibilité de pré-chiffrer un disque dur avec une clé “en clair”.

Ces optimisations permettent donc de s’affranchir de longues heures de chiffrement et de latences avant utilisation optimale du poste de travail !

TPM, Bitlocker, Dell Computer Configuration Toolkit et SCCM !

Par Pierre SALVY Le 28/06/2011

Lors du chiffrement de vos postes de travail avec BitLocker, vous rencontrez surement des difficultés liées à la configuration “BIOS”de la puce TPM.

Afin d’implémenter BitLocker, la puce TPM du poste à chiffrer doit être « Enabled » (matériellement activée) et « Activated » (logiciellement activée) et ce au travers du BIOS de la machine.

Afin d’effectuer cette configuration, Microsoft met à disposition un jeu de scripts plus ou moins simple à utiliser. Dell fait de même avec le CCTK (Computer Configuration Toolkit) disponible dans la rubrique téléchargement de pilotes sur le site du support Dell correspondant à tout (ou presque) PC Dell !

Comme vous allez le voir … CCTK est extrêmement simple à utiliser notamment au travers d’une séquence de taches System Center Configuration Manager.

Parcourons donc les étapes nécessaires à cette activation via Dell CCTK (Cliquez sur les images pour agrandir ) :

Premièrement, mise en place temporaire d’un mot de passe d’accès au BIOS (necessaire pour l’activation de la TPM :

Ensuite, activation matérielle de la puce TPM :

Puis redémarrage du poste pour prise en compte des modifications :

Puis, activation logicielle de la puce TPM :

Ensuite un dernier redemarrage de la machine :

Puis pour finir, suppression du mot de passe BIOS temporaire :

Comme vous l’avez vu, l’outil CCTK.exe est appelé au travers d’un package SCCM contenant uniquement cet outil.

Une fois cette activation effectuée, vous pourrez directement utiliser les taches d’activation et de chiffrement Bitlocker préconfigurées dans votre console SCCM.

à vous de jouer !

SCCM – TaskSequence : Préparation du disque pour Bitlocker

Par Pierre SALVY Le 30/05/2011

Lors de la création de séquences de tâches SCCM, une des actions vise à partitionner et à formater le disque sur lequel Windows sera installé.

Dans le but d’implémenter Bitlocker, une préparation du disque est nécessaire. L’objectif de cette préparation est d’installer Windows 7 sur une partition C: et de placer les fichiers de démarrage sur une partition séparée, non chiffrée et bootable.

Afin d’effectuer cette préparation et comme vu dans l’article suivant : Ici!, il est possible d’exécuter la commande “bdehdcfg -target default“, sinon le plus simple serait de préparer le disque convenablement lors de l’installation du système.

Pour cela, rien de plus simple ! Lors de l’étape de partitionnement du disque choisissez de créer une première partition de la façon suivante (conservez le nom des variables configurés ici):

Cette partition est destinée à accueillir les fichiers de boot qui ne seront pas chiffrés. Puis créez ensuite votre partition système (notez que le nom de variable est à choisir selon vos préférences).


Une fois ces deux partitions créées, rien ne vous empêche de créer une partition de données ou tout autres volumes.

Lorsque la création des partition est achevée, il ne vous reste plus qu’à déterminer l’emplacement d’installation de votre système de la façon suivante :

Lors de l’installation du système, les fichiers de boot seront donc copiés automatiquement sur le lecteur BDE puis le système installé sur la partition C:

Microsoft BitLocker Administration and Monitoring (MBAM) est maintenant disponible en bêta

Par Pierre SALVY Le 24/03/2011

Futur composant de la suite Microsoft Desktop Optimisation Pack, MBAM a pour objectif de simplifier et d’agrémenter l’administration de Microsoft Bitlocker Drive Encryption sur les postes de travail et serveurs.

MBAM intègrera de nombreuses fonctionnalités permettant d’administrer BitLocker, avec notamment :


  • La possibilité de coupler MBAM à SCCM et MDT lors des déploiements.

  • L’intégration d’un portail web de récupération des mots de passe et l’automatisation de la régénération de ceux-ci

  • La possibilité de stocker les mots de passe de récupération au sein d’une base SQL en lieu et place de la base Active Directory.



Retrouvez la documentation et le téléchargement de la bêta sur Microsoft Connect : ICI

Bitlocker – Supprimer un code PIN

Par Pierre SALVY Le 14/02/2011

Suite a l’implémentation de Bitlocker, vous aurez certainement besoin de supprimer un code PIN affecté à un poste.

Afin de supprimer ce code PIN, il est nécessaire de supprimer le protecteur associé qui est “TPMandPin”. Pour cela, la commande suivante est nécessaire :

  • manage-bde -protectors -delete C: -type TPMAndPIN

Une fois ce protecteur supprimé, aucun code PIN ne sera demandé au démarrage.
Suivant la configuration effectuée préalablement au chiffrement de vos lecteurs, ceux-ci ne seront pas déverrouillés lors des prochains redémarrages, en effet, possiblement, aucun protecteur ne sera présent.

Afin d’ajouter un nouveau protecteur, qui celui-ci ne demandera pas d’interaction avec l’utilisateur, vous pouvez par exemple ajouter le protecteur TPM de la façon suivante :

  • manage-bde -protectors -add c: -tpm