Hola,
nos gustaría implementar BitLocker en nuestra empresa. Encontramos los paquetes BitLocker Enable y Audit para este propósito.
Después de varios intentos, logramos que BitLocker Enable funcionara en una estación de trabajo, pero no en las otras tres, a pesar de tener la misma instalación. Con BitLocker Audit, no podemos recuperar las claves en Active Directory ni en WAPT. Entendemos que se requiere una lista de certificados; ¿podrían proporcionarnos más detalles? ¿
Dónde podemos encontrar documentación más completa sobre el cifrado y el almacenamiento de claves BitLocker a través de WAPT?
Atentamente,
Paul
[RESUELTO] Cifrado de infraestructura de TI con BitLocker
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Hola Paul,
yo uso el paquete tis-audit-bitlocker, para mostrar las claves en la consola WAPT necesitas editar el paquete y añadir los nombres de los certificados de los usuarios autorizados para leer los datos de auditoría.
yo uso el paquete tis-audit-bitlocker, para mostrar las claves en la consola WAPT necesitas editar el paquete y añadir los nombres de los certificados de los usuarios autorizados para leer los datos de auditoría.
WAPT Enterprise 2.5.5.15697
Servidor = Debian 11 Bullseye
Consola = Windows Server 2019
--------------------------------------------------------------------------
Johan
Servidor = Debian 11 Bullseye
Consola = Windows Server 2019
--------------------------------------------------------------------------
Johan
Gracias por su respuesta.
No estoy seguro de entender a qué se refiere con "nombres de certificados de usuario". ¿No se gestiona eso directamente a través de la consola WAPT? ¿Algo parecido al cifrado de contraseñas LAPS en WAPT?
Saludos.
No estoy seguro de entender a qué se refiere con "nombres de certificados de usuario". ¿No se gestiona eso directamente a través de la consola WAPT? ¿Algo parecido al cifrado de contraseñas LAPS en WAPT?
Saludos.
Hola Paul,
estos son los certificados (vinculados a tus administradores de WAPT) que te permiten firmar paquetes de WAPT.
estos son los certificados (vinculados a tus administradores de WAPT) que te permiten firmar paquetes de WAPT.
WAPT Enterprise 2.5.5.15697
Servidor = Debian 11 Bullseye
Consola = Windows Server 2019
--------------------------------------------------------------------------
Johan
Servidor = Debian 11 Bullseye
Consola = Windows Server 2019
--------------------------------------------------------------------------
Johan
-
dcardón
- Experto en WAPT
- Mensajes: 1908
- Inscripción: 18 de junio de 2014 - 09:58
- Ubicación: Saint Sébastien sur Loire
- Contacto :
Hola
@PaulSLA, con respecto a la parte de LAPS by WAPT, utiliza los certificados definidos en el agente, por lo que no es necesario agregar ninguno. Sin embargo, el paquete BitLocker se diseñó para solicitar certificados explícitamente. Es cierto que también podríamos reutilizar los certificados ya implementados.
Saludos,
Denis
@PaulSLA, con respecto a la parte de LAPS by WAPT, utiliza los certificados definidos en el agente, por lo que no es necesario agregar ninguno. Sin embargo, el paquete BitLocker se diseñó para solicitar certificados explícitamente. Es cierto que también podríamos reutilizar los certificados ya implementados.
Saludos,
Denis
Denis Cardon - Tranquil IT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
Buen día,
Si entiendo correctamente tus explicaciones y el código del paquete, simplemente necesito ingresar el nombre del certificado que puede ver los resultados de la auditoría:
Si mi certificado es wapt-crt.crt en C:\wapt\ssl, debo hacer lo siguiente:
¿El script recuperará automáticamente el certificado para que funcione? Si tengo varios certificados, ¿debería usar comas? ¿Punto y coma?
En cuanto a la activación de BitLocker, recibo un error relacionado con el Protector de Clave de BitLocker. ¿Debo forzar la instalación del paquete en todos los equipos afectados, lo cual eliminará el Protector de Clave de BitLocker, y luego realizar una instalación estándar? ¿Debería funcionar?
¿No hay alguna manera de hacer esto automáticamente?
Atentamente,
Si entiendo correctamente tus explicaciones y el código del paquete, simplemente necesito ingresar el nombre del certificado que puede ver los resultados de la auditoría:
Si mi certificado es wapt-crt.crt en C:\wapt\ssl, debo hacer lo siguiente:
Código: Seleccionar todo
target_encryption_method = 7
allow_swap_encryption_method = False # Not implemented yet
decrypt_cert_list = wapt-crt
def install():
# Adding certificates allowed to decrypt in WAPT
for cert in decrypt_cert_list:
cert_path = makepath(WAPT.wapt_base_dir, "ssl", cert)
if not isfile(cert_path):
print("Copying: %s" % cert_path)
filecopyto(cert, cert_path)
En cuanto a la activación de BitLocker, recibo un error relacionado con el Protector de Clave de BitLocker. ¿Debo forzar la instalación del paquete en todos los equipos afectados, lo cual eliminará el Protector de Clave de BitLocker, y luego realizar una instalación estándar? ¿Debería funcionar?
¿No hay alguna manera de hacer esto automáticamente?
Atentamente,
Buen día,
Después de varios intentos de mi parte, ahora obtengo un error durante la instalación del paquete:
Aquí están los registros:
Simplemente agregué el nombre del certificado después de "decrypt_cert_list" en el formato decrypt_cert_list = certificate_name
¿Alguien tiene alguna idea de cuál podría ser el error, a menos que el paquete ya no sea compatible?
Gracias de antemano,
Atentamente,
Pablo
Después de varios intentos de mi parte, ahora obtengo un error durante la instalación del paquete:
Aquí están los registros:
Código: Seleccionar todo
"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4010, in install_wapt
setup = import_setup(setup_filename)
File "C:\Program Files (x86)\wapt\waptutils.py", line 1525, in import_setup
py_mod = imp.load_source(modulename, setupfilename)
File "imp.py", line 171, in load_source
File "<frozen importlib._bootstrap>", line 702, in _load
File "<frozen importlib._bootstrap>", line 671, in _load_unlocked
File "<frozen importlib._bootstrap_external>", line 843, in exec_module
File "<frozen importlib._bootstrap>", line 219, in _call_with_frames_removed
File "C:\WINDOWS\TEMP\wapt_3l1xqgx\setup.py", line 73, in <module>
NameError: name 'wapt' is not defined
NameError: name 'wapt' is not defined
"Simplemente agregué el nombre del certificado después de "decrypt_cert_list" en el formato decrypt_cert_list = certificate_name
¿Alguien tiene alguna idea de cuál podría ser el error, a menos que el paquete ya no sea compatible?
Gracias de antemano,
Atentamente,
Pablo
-
dcardón
- Experto en WAPT
- Mensajes: 1908
- Inscripción: 18 de junio de 2014 - 09:58
- Ubicación: Saint Sébastien sur Loire
- Contacto :
Hola Paul,
en Python, el guion "-" se interpreta como el operador de resta. Por lo tanto, `wapt-crt` se interpreta como `wapt - crt` (la variable `wapt` menos la variable `crt`), de ahí el mensaje de que la variable `wapt` no existe.
Debe haber comillas que falten en algún lugar,
Denis.
en Python, el guion "-" se interpreta como el operador de resta. Por lo tanto, `wapt-crt` se interpreta como `wapt - crt` (la variable `wapt` menos la variable `crt`), de ahí el mensaje de que la variable `wapt` no existe.
Debe haber comillas que falten en algún lugar,
Denis.
Denis Cardon - Tranquil IT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
Buen día,
Gracias, eso fue todo. Lo encontré ayer. Puse comillas al certificado y todo está bien con la auditoría.
Ahora nos queda la activación de BitLocker. Intentamos usar el paquete de la tienda, pero es imposible que funcione. Siempre pasa lo mismo:
Primera instalación:
Entonces lo instalé usando la opción forzar y el resultado fue:
Eso parece estar bien. Así que lo reinstalé una segunda vez sin forzar la instalación, y el resultado fue:
Y el problema sigue dando vueltas; no hemos tocado ese paquete. Crear nuestro propio paquete con un script de PowerShell funciona, pero cada vez que lo actualizamos, vuelve a cifrar todos los equipos y crea una nueva clave de recuperación. Esto se convierte rápidamente en un desastre.
¿Alguna idea? A menos que me haya saltado algún paso de configuración, como con el paquete de auditoría
Atentamente,
Pablo
Gracias, eso fue todo. Lo encontré ayer. Puse comillas al certificado y todo está bien con la auditoría.
Ahora nos queda la activación de BitLocker. Intentamos usar el paquete de la tienda, pero es imposible que funcione. Siempre pasa lo mismo:
Primera instalación:
Código: Seleccionar todo
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptzpc2fp1z\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.Código: Seleccionar todo
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Remove-BitlockerKeyProtector -MountPoint C: -KeyProtectorId "{92D79314-13A0-475E-B8FC-4195EAEDF1E0}"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\wapt_03ore3e\setup.py", line 116, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.Código: Seleccionar todo
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptraxa1eek\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.Y el problema sigue dando vueltas; no hemos tocado ese paquete. Crear nuestro propio paquete con un script de PowerShell funciona, pero cada vez que lo actualizamos, vuelve a cifrar todos los equipos y crea una nueva clave de recuperación. Esto se convierte rápidamente en un desastre.
¿Alguna idea? A menos que me haya saltado algún paso de configuración, como con el paquete de auditoría
Atentamente,
Pablo
Buen día,
¿Podrías escribir el comando de PowerShell indicado en una máquina afectada?
Deberías saber más sobre el punto de fricción.
Hay una gran posibilidad de que sea un GPO el que lo esté bloqueando.
Atentamente,
Palanqueta
¿Podrías escribir el comando de PowerShell indicado en una máquina afectada?
Código: Seleccionar todo
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtectorHay una gran posibilidad de que sea un GPO el que lo esté bloqueando.
Atentamente,
Palanqueta
