Salve,
vorremmo implementare BitLocker nella nostra azienda. Abbiamo trovato i pacchetti BitLocker Enable e BitLocker Audit adatti a questo scopo.
Dopo diversi tentativi, siamo riusciti a far funzionare BitLocker Enable su una workstation, ma non sulle altre tre, pur avendo la stessa installazione. Per quanto riguarda BitLocker Audit, non riusciamo a recuperare le chiavi in Active Directory o WAPT. Sappiamo che è necessario un elenco di certificati; potreste fornirci maggiori dettagli?
Dove possiamo trovare una documentazione più approfondita sulla crittografia e sul salvataggio delle chiavi BitLocker tramite WAPT?
Cordiali saluti,
Paul
[RISOLTO] Crittografia dell'infrastruttura IT BitLocker
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Ciao Paul,
utilizzo il pacchetto tis-audit-bitlocker. Per visualizzare le chiavi nella console WAPT è necessario modificare il pacchetto e aggiungere i nomi dei certificati degli utenti autorizzati a leggere i dati di audit.
utilizzo il pacchetto tis-audit-bitlocker. Per visualizzare le chiavi nella console WAPT è necessario modificare il pacchetto e aggiungere i nomi dei certificati degli utenti autorizzati a leggere i dati di audit.
WAPT Enterprise 2.5.5.15697
Server = Debian 11 Bullseye
Console = Windows Server 2019
--------------------------------------------------------------------------
Johan
Server = Debian 11 Bullseye
Console = Windows Server 2019
--------------------------------------------------------------------------
Johan
Ciao Paul,
questi sono i certificati (collegati ai tuoi amministratori WAPT) che ti consentono di firmare i pacchetti WAPT.
questi sono i certificati (collegati ai tuoi amministratori WAPT) che ti consentono di firmare i pacchetti WAPT.
WAPT Enterprise 2.5.5.15697
Server = Debian 11 Bullseye
Console = Windows Server 2019
--------------------------------------------------------------------------
Johan
Server = Debian 11 Bullseye
Console = Windows Server 2019
--------------------------------------------------------------------------
Johan
-
dcardon
- Esperto WAPT
- Messaggi: 1908
- Registrazione: 18 giugno 2014 - 09:58
- Ubicazione: Saint Sébastien sur Loire
- Contatto:
Ciao
@PaulSLA, per quanto riguarda la parte LAPS di WAPT, utilizza i certificati definiti nell'agente, quindi non è necessario aggiungerne altri. Tuttavia, il pacchetto BitLocker è stato scritto per richiedere esplicitamente i certificati. È vero che potremmo anche riutilizzare i certificati già distribuiti.
Cordiali saluti,
Denis
@PaulSLA, per quanto riguarda la parte LAPS di WAPT, utilizza i certificati definiti nell'agente, quindi non è necessario aggiungerne altri. Tuttavia, il pacchetto BitLocker è stato scritto per richiedere esplicitamente i certificati. È vero che potremmo anche riutilizzare i certificati già distribuiti.
Cordiali saluti,
Denis
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Buongiorno,
Se ho capito bene le tue spiegazioni e il codice del pacchetto, devo semplicemente inserire il nome del certificato che può visualizzare i risultati dell'audit:
Se il mio certificato è wapt-crt.crt in C:\wapt\ssl, devo fare quanto segue:
E lo script recupererà automaticamente il certificato per funzionare? Se ho più certificati, dovrei usare virgole? Punto e virgola?
Per quanto riguarda l'abilitazione di BitLocker, ricevo un errore relativo a BitLocker Key Protector. Devo forzare l'installazione del pacchetto su tutti i computer interessati, rimuovendo BitLocker Key Protector, e poi eseguire un'installazione standard? Dovrebbe funzionare?
Non esiste un modo per farlo automaticamente?
Sinceramente,
Se ho capito bene le tue spiegazioni e il codice del pacchetto, devo semplicemente inserire il nome del certificato che può visualizzare i risultati dell'audit:
Se il mio certificato è wapt-crt.crt in C:\wapt\ssl, devo fare quanto segue:
Codice: Seleziona tutto
target_encryption_method = 7
allow_swap_encryption_method = False # Not implemented yet
decrypt_cert_list = wapt-crt
def install():
# Adding certificates allowed to decrypt in WAPT
for cert in decrypt_cert_list:
cert_path = makepath(WAPT.wapt_base_dir, "ssl", cert)
if not isfile(cert_path):
print("Copying: %s" % cert_path)
filecopyto(cert, cert_path)
Per quanto riguarda l'abilitazione di BitLocker, ricevo un errore relativo a BitLocker Key Protector. Devo forzare l'installazione del pacchetto su tutti i computer interessati, rimuovendo BitLocker Key Protector, e poi eseguire un'installazione standard? Dovrebbe funzionare?
Non esiste un modo per farlo automaticamente?
Sinceramente,
Buongiorno,
Dopo diversi tentativi, ora ricevo un errore durante l'installazione del pacchetto:
Ecco i registri:
Ho semplicemente aggiunto il nome del certificato dopo "decrypt_cert_list" nel formato decrypt_cert_list = certificate_name
Qualcuno ha idea di quale potrebbe essere l'errore, a meno che il pacchetto non sia più supportato?
Grazie in anticipo,
Sinceramente,
Paolo
Dopo diversi tentativi, ora ricevo un errore durante l'installazione del pacchetto:
Ecco i registri:
Codice: Seleziona tutto
"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4010, in install_wapt
setup = import_setup(setup_filename)
File "C:\Program Files (x86)\wapt\waptutils.py", line 1525, in import_setup
py_mod = imp.load_source(modulename, setupfilename)
File "imp.py", line 171, in load_source
File "<frozen importlib._bootstrap>", line 702, in _load
File "<frozen importlib._bootstrap>", line 671, in _load_unlocked
File "<frozen importlib._bootstrap_external>", line 843, in exec_module
File "<frozen importlib._bootstrap>", line 219, in _call_with_frames_removed
File "C:\WINDOWS\TEMP\wapt_3l1xqgx\setup.py", line 73, in <module>
NameError: name 'wapt' is not defined
NameError: name 'wapt' is not defined
"Ho semplicemente aggiunto il nome del certificato dopo "decrypt_cert_list" nel formato decrypt_cert_list = certificate_name
Qualcuno ha idea di quale potrebbe essere l'errore, a meno che il pacchetto non sia più supportato?
Grazie in anticipo,
Sinceramente,
Paolo
-
dcardon
- Esperto WAPT
- Messaggi: 1908
- Registrazione: 18 giugno 2014 - 09:58
- Ubicazione: Saint Sébastien sur Loire
- Contatto:
Ciao Paul,
in Python il trattino "-" viene interpretato come l'operatore di sottrazione. Quindi `wapt-crt` viene analizzato come `wapt - crt` (la variabile `wapt` meno la variabile `crt`), da cui il messaggio che la variabile `wapt` non esiste.
Ci devono essere delle virgolette mancanti da qualche parte,
Denis.
in Python il trattino "-" viene interpretato come l'operatore di sottrazione. Quindi `wapt-crt` viene analizzato come `wapt - crt` (la variabile `wapt` meno la variabile `crt`), da cui il messaggio che la variabile `wapt` non esiste.
Ci devono essere delle virgolette mancanti da qualche parte,
Denis.
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Buongiorno,
Grazie, ecco fatto, l'ho trovato ieri. Ho aggiunto le virgolette intorno al certificato e tutto è a posto con la verifica.
Ora ci resta da fare l'attivazione di BitLocker. Abbiamo provato a usare il pacchetto dallo store, ma è impossibile farlo funzionare. È sempre la stessa cosa:
Prima installazione:
Quindi l'ho installato utilizzando l'opzione force e il risultato è stato:
Sembra tutto a posto. Quindi l'ho reinstallato una seconda volta senza l'opzione "forza", e il risultato è stato:
E il problema continua a ripetersi: non abbiamo toccato quel pacchetto. Creare un nostro pacchetto tramite uno script di PowerShell funziona, ma ogni volta che aggiorniamo il pacchetto, questo ricodifica tutti i PC e crea una nuova chiave di ripristino. Questo si trasforma rapidamente in un pasticcio.
Qualche idea? A meno che non abbia saltato un passaggio di configurazione, come con il pacchetto di audit?
Sinceramente,
Paolo
Grazie, ecco fatto, l'ho trovato ieri. Ho aggiunto le virgolette intorno al certificato e tutto è a posto con la verifica.
Ora ci resta da fare l'attivazione di BitLocker. Abbiamo provato a usare il pacchetto dallo store, ma è impossibile farlo funzionare. È sempre la stessa cosa:
Prima installazione:
Codice: Seleziona tutto
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptzpc2fp1z\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.Codice: Seleziona tutto
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Remove-BitlockerKeyProtector -MountPoint C: -KeyProtectorId "{92D79314-13A0-475E-B8FC-4195EAEDF1E0}"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\wapt_03ore3e\setup.py", line 116, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.Codice: Seleziona tutto
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptraxa1eek\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.E il problema continua a ripetersi: non abbiamo toccato quel pacchetto. Creare un nostro pacchetto tramite uno script di PowerShell funziona, ma ogni volta che aggiorniamo il pacchetto, questo ricodifica tutti i PC e crea una nuova chiave di ripristino. Questo si trasforma rapidamente in un pasticcio.
Qualche idea? A meno che non abbia saltato un passaggio di configurazione, come con il pacchetto di audit?
Sinceramente,
Paolo
Buongiorno,
Potresti digitare il comando PowerShell indicato su una macchina interessata?
Dovresti saperne di più sul punto critico.
Ci sono buone probabilità che sia un GPO a bloccarlo.
Sinceramente,
Jimmy
Potresti digitare il comando PowerShell indicato su una macchina interessata?
Codice: Seleziona tutto
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtectorCi sono buone probabilità che sia un GPO a bloccarlo.
Sinceramente,
Jimmy
