Chiffrer une machine virtuelle avec Bitlocker n’est pas la chose la plus utile, en effet, bitlocker est surtout implémenté pour la protection physique des données, dans le cadre d’une machine virtuelle, cette protection n’a généralement pas lieu d’être …
Mais ! Parfois …. Il est nécessaire de procéder à ce chiffrement ….
Voyons ensemble comment procéder !

Lire la suite

La remontée d’informations d’inventaire concernant Bitlocker n’est pas disponible par défaut sur SCCM 2007, afin de permettre cette remontée d’informations, il est nécessaire de procéder à une extension de l’inventaire SCCM.

Je vous passe les détails techniques concernant les extensions d’inventaires sous System Center Configuration Manager 2007, vous trouverez toutes les informations nécessaires sur Technet.

Vous avez System Center Configuration Manager 2007 et vous utilisez déjà l’inventaire matériel ? Voyons ensemble comment intégrer le statut Bitlocker de vos postes de travail à vos rapport SCCM grâce à une extension de l’inventaire matériel.

Première étape: mise à jour des fichiers de configuration d’inventaire !

Les fichiers SMS_DEF.MOF et CONFIGURATION.MOF disponibles à l’emplacement suivant : %SCCMinstallpath%\inboxes\clifiles.src\hinv\ doivent être complétés afin d’intégrer les nouveaux éléments d’inventaire à remonter.

Voici le contenu à ajouter à ces fichiers

SMS_DEF.MOF

[ SMS_Report (TRUE), 
SMS_Group_Name ("Bitlocker"), 
SMS_Class_ID ("MICROSOFT|Bitlocker|1.0")]
class Bitlocker : SMS_Class_Template 
{ 
[SMS_Report(TRUE), key] 
string DeviceID; 
[SMS_Report(TRUE)] 
string DriveLetter; 
[SMS_Report(TRUE)] 
uint32 ProtectionStatus; 
};

CONFIGURATION.MOF
#Pas de retour à la ligne entre la ligne 2 et 3#

#pragma namespace("\\\\.\\root\\cimv2")
[Union,ViewSources{"select * from Win32_EncryptableVolume"}
,ViewSpaces{"\\\\.\\root\\cimv2\\ security\\MicrosoftVolumeEncryption"}, 
Dynamic,Provider("MS_VIEW_INSTANCE_PROVIDER")] 
class Bitlocker 
{ 
    [PropertySources{"DeviceID"},key] 
    string DeviceID; 
    [PropertySources{"DriveLetter"}] 
    string DriveLetter; 
    [PropertySources{"ProtectionStatus"}] 
    uint32 ProtectionStatus; 
};

SCCM intègre l’outil “mofcomp” qui permettra de vérifier et de compiler les nouveaux fichiers MOF. Avant tout, je vous invite à lancer la commande suivante pour valider le SMS_DEF.MOF :

mofcomp.exe -check SMS_DEF.MOF. 

et enfin utilisez la commande suivante pour compiler le SMS_DEF.MOF :

mofcomp -class:forceupdate %pathtofile%\SMS_DEF.MOF

Les clients remonteront ensuite les informations lors du prochain inventaire matériel. Une fois que les informations “étendues” seront remontées en base de données, celles-ci pourront être visualisables via des rapports personnalisés. Vous pourrez également afficher ces informations dans l’explorateur de ressources pour les clients.

Retrouvez ci-dessous un exemple de requête qui vous permettra de générer un nouveau rapport

select sys.Name0, BL.DriveLetter0, BL.ProtectionStatus0 from v_GS_BitLocker BL Join v_r_system sys on sys.ResourceID = BL.ResourceID

Notons que le nom de la table utilisé dans la requête correspond au nom de la classe déclarée dans les MOF et que les noms des colonnes correspondent également aux déclarations effectuées dans les MOF.

Et enfin pour terminer, la liste des attributs remontés dans l’exemple ci-dessus n’est pas exhaustive mais porte sur les attributs les plus intéressants qu’il est possible d’inventorier concernant Bitlocker. Vous pouvez donc remonter beaucoup plus d’informations concernant Bitlocker ! Pour les trouver ? Regardez les détails de la classe WMI correspondante.

Maintenant vous êtes prêt à interroger et à générer des rapports Bitlocker à partir d’informations remontées par vos clients.

Nous l’avons vu dans un article précédent (article visionné de très, très, trop, nombreuses fois..), il est possible et extrêmement simple de changer / cracker un mot de passe sous Windows.

Dans la plupart des cas, l’idée n’est pas “cracker ” le mot de passe afin de découvrir celui utilisé par le système, “dans la plupart des cas”, l’idée est simplement de changer le mot de passe, peu importe quel était l’ancien. Pour cela, il est bon de préciser que la méthode recommandée passe par l’utilisation de Microsoft Diagnostics and Recovery Toolset (DaRT).

Afin de “contrer” la méthode décrite dans mon précédent article, méthode qui n’est qu’une parmi les nombreuses existantes, des solutions existent :

• L’implémentation d’un mot de passe BIOS : “Bien mais pas top” (contournement facile : enlevez la pile ;-) )
• L’implémentation de Bitlocker : très bien, mais “risqué” si non maitrisé.
• et enfin : Syskey ! Syskey nous permettra de sécuriser la base des mots de passes Windows : La base SAM.

L’exécution de syskey est simple : démarrer / exécuter / “Syskey”.

Vous voyez que par défaut la sécurisation de la base SAM est activée; cependant celle-ci reste accessible sans trop de contrôle : il est donc possible de modifier celle-ci sans authentification préalable.

La solution est donc de procéder à un “Update” de la configuration en sélectionnant une des options ci-dessous :

• 1er choix : préciser un mot de passe qui vous sera demandé au démarrage
• 2nd choix : utilisez une disquette (pardon …) de démarrage, celle-ci hébergera la clé de chiffrement et devra être insérée au démarrage du poste.
• 3ème choix : laissez faire le système ! Ce qui est déjà le cas par défaut …

Ce court article nous fait découvrir une chose : rien de “souple” ne permet de sécuriser simplement la base SAM… La solution que je préconise comme beaucoup, réside en l’utilisation de Bitlocker afin de chiffrer le disque… la solution de chiffrement bitlocker + PIN vous permettra de verrouiller de façon relativement fiable l’accès au système.

Microsoft nous propose une KB à ce sujet : http://support.microsoft.com/kb/310105/fr

Windows 8 introduit de nombreuses nouveautés et améliorations concernant Bitlocker ! L’objectif : améliorer la sécurité, l’expérience utilisateur et réduire les risques d’accès “non désirés” au données.

Nous connaissons les limites de Bitlocker sous Windows Vista & 7, (détaillé dans mes articles à ce sujet).

L’objectif affiché à l’heure actuelle est d’offrir sous Windows 8 une solution de chiffrement aussi, voire plus performante et sécuritaire que les solutions “propriétaires” dédiées telles que PGP desktop ou TrueCrypt .

Sous Windows 8, Bitlocker implémente de nombreuses nouveautés, dont “BitLocker data-only encryption“.

Le principal avantage de cette nouveauté réside sur le fait que BitLocker chiffre maintenant uniquement les secteurs de disques comportant des données, les secteurs vides seront ensuite chiffrés “à la volée”.

L’expérience utilisateur est également améliorée grâce à la possibilité de pré-chiffrer un disque dur avec une clé “en clair”.

Ces optimisations permettent donc de s’affranchir de longues heures de chiffrement et de latences avant utilisation optimale du poste de travail !

Lors du chiffrement de vos postes de travail avec BitLocker, vous rencontrez surement des difficultés liées à la configuration “BIOS”de la puce TPM.

Afin d’implémenter BitLocker, la puce TPM du poste à chiffrer doit être « Enabled » (matériellement activée) et « Activated » (logiciellement activée) et ce au travers du BIOS de la machine.

Afin d’effectuer cette configuration, Microsoft met à disposition un jeu de scripts plus ou moins simple à utiliser. Dell fait de même avec le CCTK (Computer Configuration Toolkit) disponible dans la rubrique téléchargement de pilotes sur le site du support Dell correspondant à tout (ou presque) PC Dell !

Comme vous allez le voir … CCTK est extrêmement simple à utiliser notamment au travers d’une séquence de taches System Center Configuration Manager.

Parcourons donc les étapes nécessaires à cette activation via Dell CCTK (Cliquez sur les images pour agrandir ) :

Premièrement, mise en place temporaire d’un mot de passe d’accès au BIOS (necessaire pour l’activation de la TPM :

Ensuite, activation matérielle de la puce TPM :

Puis redémarrage du poste pour prise en compte des modifications :

Puis, activation logicielle de la puce TPM :

Ensuite un dernier redemarrage de la machine :

Puis pour finir, suppression du mot de passe BIOS temporaire :

Comme vous l’avez vu, l’outil CCTK.exe est appelé au travers d’un package SCCM contenant uniquement cet outil.

Une fois cette activation effectuée, vous pourrez directement utiliser les taches d’activation et de chiffrement Bitlocker préconfigurées dans votre console SCCM.

à vous de jouer !

Lors de la création de séquences de tâches SCCM, une des actions vise à partitionner et à formater le disque sur lequel Windows sera installé.

Dans le but d’implémenter Bitlocker, une préparation du disque est nécessaire. L’objectif de cette préparation est d’installer Windows 7 sur une partition C: et de placer les fichiers de démarrage sur une partition séparée, non chiffrée et bootable.

Afin d’effectuer cette préparation et comme vu dans l’article suivant : Ici!, il est possible d’exécuter la commande “bdehdcfg -target default“, sinon le plus simple serait de préparer le disque convenablement lors de l’installation du système.

Pour cela, rien de plus simple ! Lors de l’étape de partitionnement du disque choisissez de créer une première partition de la façon suivante (conservez le nom des variables configurés ici):

Une fois ces deux partitions créées, rien ne vous empêche de créer une partition de données ou tout autres volumes.

Lorsque la création des partition est achevée, il ne vous reste plus qu’à déterminer l’emplacement d’installation de votre système de la façon suivante :

Lors de l’installation du système, les fichiers de boot seront donc copiés automatiquement sur le lecteur BDE puis le système installé sur la partition C:

Futur composant de la suite Microsoft Desktop Optimisation Pack, MBAM a pour objectif de simplifier et d’agrémenter l’administration de Microsoft Bitlocker Drive Encryption sur les postes de travail et serveurs.

MBAM intègrera de nombreuses fonctionnalités permettant d’administrer BitLocker, avec notamment :

• La possibilité de coupler MBAM à SCCM et MDT lors des déploiements.


• L’intégration d’un portail web de récupération des mots de passe et l’automatisation de la régénération de ceux-ci


• La possibilité de stocker les mots de passe de récupération au sein d’une base SQL en lieu et place de la base Active Directory.


• …

Suite a l’implémentation de Bitlocker, vous aurez certainement besoin de supprimer un code PIN affecté à un poste.

Afin de supprimer ce code PIN, il est nécessaire de supprimer le protecteur associé qui est “TPMandPin”. Pour cela, la commande suivante est nécessaire :

• manage-bde -protectors -delete C: -type TPMAndPIN

Une fois ce protecteur supprimé, aucun code PIN ne sera demandé au démarrage.
Suivant la configuration effectuée préalablement au chiffrement de vos lecteurs, ceux-ci ne seront pas déverrouillés lors des prochains redémarrages, en effet, possiblement, aucun protecteur ne sera présent.

Afin d’ajouter un nouveau protecteur, qui celui-ci ne demandera pas d’interaction avec l’utilisateur, vous pouvez par exemple ajouter le protecteur TPM de la façon suivante :

• manage-bde -protectors -add c: -tpm

Lors de l’implémentation de Bitclocker il est parfois nécessaire de régénérer les informations liées au déverrouillage d’un lecteur.

En effet, lorsqu’une machine passe en ” Recovery Mode “, par exemple suite à la perte d’un code PIN, il est utile dans certains cas de communiquer le mot de passe de récupération à un technicien de support, ou pire, à l’utilisateur lui-même.

Une fois le mot de passe de récupération ou ” Recovery Password ” communiqué, celui-ci devra être régénéré afin que celui qui a été fourni ne soit plus utilisable.

Afin de régénérer ce mot de passe de récupération, les étapes suivantes sont nécessaires :

• Susprendre la protection : manage-bde -protectors -disable C:
• Supprimer le mot de passe de restauration: manage-bde -protectors -delete C: -type RecoveryPassword
• Générer un nouveau mot de passe de restauration :manage-bde -protectors -add C: -RecoveryPassword
• Sauvegarder le mot de passe de restauration :manage-bde -protectors -adbackup C: -ID KeyProtectorID
• Réactiver Bitlocker : manage-bde -protectors -enable C:

Le chiffrement des postes de travail et serveurs est désormais (depuis Vista) supporté nativement par vos systèmes d’exploitation via la fonctionnalité Bitlocker.
Je ne rentrerai pas dans les détails et préfère vous diriger vers l’article TechNet suivant : ICI qui détaille l’ensemble des caractéristiques et points de configuration de l’outil.

La faible quantité de ressources sur internet concernant cet outil m’a valu quelques heures de recherches pour implémenter Bitlocker sur des postes de travail Windows 7. Retrouvez dans la suite de cet article le déroulement des actions permettant d’implémenter Bitlocker un parc de machines Windows Vista, 7 ou Serveur 2008 (R2).
Préparation d’Active Directory (Extension du schéma) :

Lors de l’implémentation de Bitlocker, nous allons sauvegarder au sein d’Active Directory les mots de passe de récupérations permettant de restaurer les données chiffrées en cas de perte de la clé. AD 2008 prévoit nativement l’implémentation de cette sauvegarde de clés, concernant AD 2003 l’extension du schéma est à effectuer selon la procédure décrite : ICI.

L’objectif de cette extension de schéma est d’ajouter un sous objet aux objets ordinateurs afin d’y stocker les clés de chiffrement. Chaque partition, clés USB ou support chiffré sur chaque poste verra donc ses clés de récupération sauvegardées sous l’objet ordinateur lui correspondant.

Une fois l’extension de schéma effectuée, les attributs seront accessibles via la console Active Directory Users and Computers.

Préparation des postes de travail (Configuration Via GPO):

Afin d’imposer des stratégies de chiffrement à aux postes de travail, la configuration de ceux-ci est nécessaire. Pour cela nous allons implémenter un Stratégie de Groupe (GPO) les paramètres liés à Bitlocker sont situés sous Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker >, voici les grands axes de configuration (Seules les configurations effectuées sont listées ci-dessous, les autres éléments de configuration ont étés laissés par défaut)

• Lecteurs de données Fixes et amovibles :
• Lecteurs du système d’exploitation :

Chiffrement des postes.
Le chiffrement des postes de travail s’effectue unitairement, soit via l’outil graphique de chiffrement Bitlocker (TPM.msc et clic droit sur les lecteurs à chiffrer) soit par ligne de commande.
La première étape du chiffrement d’un poste consiste en la préparation du disque système. Pour cela, l’utilitaire BdeHdCfg permet de créer une partition de 300Mo qui sera destinée à l’hébergement des fichiers de boot non chiffrés. Il faudra ensuite activer la puce TPM, en prendre possession et verrouiller cette possession par mot de passe pour ensuite lancer le chiffrement des lecteurs.

L’implémentation de Bitlocker en ligne de commande est effectuée de la façon suivante :

• Préparation du disque : bdehdcfg -target default
• Activation de la puce TPM : Manage-Bde -tpm -TurnOn
• Appropriation de la puce TPM : Manage-Bde -tpm -TakeOwnership P@ssw0rd




• Implémentation du code PIN au démarrage : manage-Bde -protectors -add C: -TpmAndPin 1234
• Chiffrement du disque C: et sauvegarde du recovery password dans Active Directory) : Manage-Bde -On C: -RecoveryPassword
  
  

• Chiffrement du disque D: Manage-Bde -On D: -RecoveryPassword
• Deverrouillage automatique du lecteur D: Manage-Bde -autounlock -enable D:

Suite à ces actions, nous avons donc préparé Active Directory, configuré les postes de travail pour ensuite effectuer un chiffrement du lecteur C avec déverrouillage par code PIN et du lecteur D: avec déverrouillage Automatique dès que c: est déverrouillé.

Lorsqu’un utilisateur perds son code PIN ou lorsque l’utilisation de la clé de récupération est necessaire, celle ci est accessible via l’objet Ordinateur au travers de la console Active Directory Users and Computers. L’onglet “Récupération Bitlocker” permet de récupérer ces clés comme ci dessous :