Chiffrement BitLocker W10 Active Directory WS2012r2

Publié le 7 janvier 2019 par Olivier Pavilla

bitlocker
Dans le Laboratoire où je travaille. Le chiffrement des ordinateurs portable sous windows 10 se faisait avec BitLocker, la solution de Microsoft. A mon arrivée, la méthode était bête, méchante et archaïque. Il fallait chiffrer et littéralement se casser les pieds à sauvegarder sur un serveur linux. J’ai donc mis en place la sauvegarde automatique de la clé de récupération dans l’Active Directory. Puis, il y a eu une consigne où le chiffrement des ordinateurs fixe était obligatoire. Voici comment j’ai procédé pour industrialisé cela.


Pour commencer, il faut avoir un active Directory qui repose sur du Windows Serveur 2008r2 minimum. Dans mon cas, c’est du 2012r2.
Ensuite, il y a quelques scripts à récupérer chez Microsoft pour mettre les choses en place, comme la configuration de l’AD, la sauvegarde des informations de récupération BitLocker, etc.

On commence par le script Add-TPMSelfWriteACE
Ce script ajoute le ACE (entrée de contrôle d’accès) de la TPM à AD DS pour que l’ordinateur sauvegarde les informations de récupération du TPM dans Active Directory.
Add-TPMSelfWriteACE.vbs ( http://go.microsoft.com/fwlink/?LinkId=167133 )

Si on part de zéro, on peut utiliser List-ACEs Ce script répertorie ou supprime l’ACE configurées sur les objets de schéma BitLocker et TPM pour le domaine de niveau supérieur pour pouvoir vérifier que l’ACE attendues sont bien ajoutées correctement ou supprimer d’éventuelles ACE liées à BitLocker ou à une TPM.
List-ACEs.vbs ( http://go.microsoft.com/fwlink/?LinkId=167134 )

Get-TPMOwnerInfo.vbs ( http://go.microsoft.com/fwlink/?LinkId=167135 )

Ce script récupère les informations de récupération du TPM depuis AD DS pour un ordinateur particulier, afin que vous puissiez vérifier que seuls les administrateurs de domaine (ou les rôles délégués) peuvent lire les informations de récupération du TPM sauvegardées et vérifier que ces informations sont correctement sauvegardées.

Get-BitLockerRecoveryInfo.vbs ( http://go.microsoft.com/fwlink/?LinkId=167136 )

Ce script récupère les informations de récupération BitLocker à partir d’AD DS pour un ordinateur particulier, ce qui vous permet de vérifier que seuls les administrateurs de domaine (ou les rôles délégués) peuvent lire les informations de récupération BitLocker sauvegardées et de vérifier que ces informations sont sauvegardées correctement.

Publicité
Cet article, publié dans Active Directory, AD DS, Chiffrement, Deploiement, links, PowerShell, scripts, Windows 10, Windows Server, est tagué , , , , , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Un commentaire pour Chiffrement BitLocker W10 Active Directory WS2012r2

  1. Olivier Pavilla dit :
    20 juin 2019 à 15 h 43 min

    A l’époque, mon infra était en 2012r2. Je ne peux rejouer le script, car je suis en train de migrer vers WS2019.

    J’aime

    Réponse

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s