Recupero della chiave di controllo BitLocker

Domande sul packaging WAPT / Richieste e assistenza sui pacchetti Wapt.
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Risposta
jptw
Messaggi: 32
Registrazione: 8 luglio 2020 - 11:08

19 novembre 2024 - 17:04

Buongiorno,

console wapt: 2.3.0.13470
Abilita BitLocker: 10.5.0
Controllo BitLocker: 10.5.0
Computer con 2 HDD: C: (sistema) e D: (dati) (solo l'unità di sistema C: è crittografata)

Ho problemi a recuperare la chiave BitLocker da Active Directory
L'installazione e la crittografia dell'unità C: non presentano problemi
La revisione contabile, da parte sua, commette un errore :( Riassumo ciò che mi dice

Codice: Seleziona tutto

OK : C: est chiffré et la protection bitlocker est ON
IMPORTANT : je n'ai pas spécifié de "decrypt_cert_list" .... ( je ne souhaite pas forcement que la cle soit visible dans wapt )
ERROR : D: Data drive n'est pas chiffré par bitlocker
INFO: D: Data drive bitlocker encryptionmethod is :none
Ho l'impressione che non stia tentando di inviare la chiave ad AD
E perché mi dà un errore perché D: non è crittografato?

Devo aver perso qualcosa

Grazie per l'aiuto
Alto
Avatar utente
dcardon
Esperto WAPT
Messaggi: 1908
Registrazione: 18 giugno 2014 - 09:58
Ubicazione: Saint Sébastien sur Loire
Contatto:
Contatta dcardon

19 novembre 2024 - 18:04

Ciao Jens,

di default il pacchetto crittografa solo il disco di sistema. Questo per evitare di crittografare involontariamente un'unità esterna. Se desideri crittografare l'unità D:, dovresti modificare il pacchetto.

Per quanto riguarda il caricamento della password crittografata in Active Directory, credo che sia necessario configurare un oggetto Criteri di gruppo (GPO) o qualcosa di simile. Esiste anche un pacchetto "laps by wapt" che carica la password crittografata su WAPT.

Per tua informazione, con il rilascio odierno di WAPT 2.6, WAPT 2.3 non è più supportato. Potresti pianificare un aggiornamento?

Cordiali saluti,

Denis
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Alto
jptw
Messaggi: 32
Registrazione: 8 luglio 2020 - 11:08

20 novembre 2024 - 8:32

Buongiorno,
Per impostazione predefinita, il pacchetto crittografa solo il disco di sistema
È esattamente ciò che desidero, ma il pacchetto audit-bitlocker restituisce un errore per l'unità Data D:

Per quanto riguarda il recupero della password da AD, credo che sia il pacchetto audit-bitlocker a doverlo gestire (LAPS è solo per le password degli account amministratore locale)

Ecco un frammento del pacchetto audit-bitlocker:

Codice: Seleziona tutto

for keyprotector in keyprotector_list:
                keyprotectorid = keyprotector["KeyProtectorId"]
                if keyprotector["KeyProtectorType"] in [1,2,4]:
                    # WAPT.delete_audit_data(
                    #     "enable-bitlocker", f"RecoveryPassword_{keyprotectorid}"
                    # )  # not possible from package, please delete from WAPT Console
                    # print("INFO: Skipping Backup-BitLockerKeyProtector for KeyProtectorType: Tpm")
                    continue

                try:
                    # Backuping RecoveryPassword to the AD
                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')
                except Exception as e:
                    print(e)
                    print(f"WARNING: Failed to backup RecoveryPassword {keyprotectorid} to the AD")
                    audit_status = set_audit_status(audit_status, "WARNING")
Ho anche aggiunto un GPO che dovrebbe inviare la chiave di ripristino ad Active Directory, ma non è cambiato nulla
Non ho la chiave di ripristino visualizzata in Active Directory, né l'avviso "Impossibile eseguire il backup di RecoveryPassword"

GRAZIE
Alto
jlepiquet
Messaggi: 69
Registrazione: 3 settembre 2024 - 16:09

20 novembre 2024 - 14:40

Buongiorno,

Lo script verrà eseguito su tutti i dischi fisici presenti nella macchina.

È possibile modificare o eliminare il seguente codice:

riga 207

Codice: Seleziona tutto

        else:
            print(f"ERROR: {mountpoint} {volumetype} drive is not encrypted with BitLocker")
            audit_status = set_audit_status(audit_status, "ERROR")
Alto
jptw
Messaggi: 32
Registrazione: 8 luglio 2020 - 11:08

20 novembre 2024 - 18:40

Buongiorno,

Ok, ho cambiato i due messaggi di ERRORE in messaggi di AVVISO in modo che il messaggio di errore rosso non venga più visualizzato (grazie)

Ho anche aggiunto un certificato a "decrypt_cert_list" per visualizzare il backup della chiave di ripristino in WAPT (a scopo di test)
nella verifica mi ha detto chiaramente
backup: RecoveryPassword{xxxx-xxx-xxx--xxxxx} sulla console wapt
Tuttavia, non so dove dovrei trovare la chiave di ripristino.

E non mi ha ancora detto nulla riguardo al backup della chiave di ripristino in AD
Per testare, ho lanciato il comando sul mio computer
Backup-BitLockerKeyProtector -MountPoint "{punto di montaggio}" -KeyProtectorId "{keyprotectorid}
Impostando i valori corretti, ovviamente, la chiave è effettivamente apparsa nelle proprietà della macchina in Active Directory

Se qualcuno lo ha già fatto e funziona, sarei interessato


GRAZIE
Alto
jlepiquet
Messaggi: 69
Registrazione: 3 settembre 2024 - 16:09

21 novembre 2024 - 11:52

Buongiorno,

La sceneggiatura non sembra adattarsi

Codice: Seleziona tutto

                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')

La chiave Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName è completamente vuota sul computer?
Alto
jptw
Messaggi: 32
Registrazione: 8 luglio 2020 - 11:08

21 novembre 2024 - 12:45

Sì, questa chiave è effettivamente vuota
Alto
jptw
Messaggi: 32
Registrazione: 8 luglio 2020 - 11:08

21 novembre 2024 - 13:10

Ho appena eseguito un test assegnando il valore "test" alla chiave 'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName',
e il registro di controllo indica correttamente che la chiave di ripristino viene salvata in Active Directory.

È strano, vero?
O forse sto interpretando male la condizione:
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):

Non sono esattamente un esperto di sviluppo.

Inoltre, non vedo nella console di Wapt dove viene fornita la chiave dopo averla salvata in Wapt.
Alto
jlepiquet
Messaggi: 69
Registrazione: 3 settembre 2024 - 16:09

21 novembre 2024 - 14:35

Se si sostituisce 'NetworkName' con 'MachineDomain', funziona meglio?
La chiave è presente correttamente con il nome di dominio associato?
Alto
jptw
Messaggi: 32
Registrazione: 8 luglio 2020 - 11:08

21 novembre 2024 - 15:14

Ciao

, sì, funziona se lo sostituisco con MachineDomain. La chiave è stata caricata correttamente su AD, grazie.

E per quanto riguarda il backup della chiave in WAPT, sai dove posso trovarlo?
Alto
Risposta

Torna a "Pacchetti WAPT"


  • Per andare oltre con WAPT