Pagina 1 di 2
[RISOLTO] Crittografia dell'infrastruttura IT BitLocker
Pubblicato: 4 dicembre 2023 - 14:15
di PaulSLA
Salve,
vorremmo implementare BitLocker nella nostra azienda. Abbiamo trovato i pacchetti BitLocker Enable e BitLocker Audit adatti a questo scopo.
Dopo diversi tentativi, siamo riusciti a far funzionare BitLocker Enable su una workstation, ma non sulle altre tre, pur avendo la stessa installazione. Per quanto riguarda BitLocker Audit, non riusciamo a recuperare le chiavi in Active Directory o WAPT. Sappiamo che è necessario un elenco di certificati; potreste fornirci maggiori dettagli?
Dove possiamo trovare una documentazione più approfondita sulla crittografia e sul salvataggio delle chiavi BitLocker tramite WAPT?
Cordiali saluti,
Paul
Re: Crittografia IT BitLocker
Pubblicato: 5 dicembre 2023 - 15:33
di jorico
Ciao Paul,
utilizzo il pacchetto tis-audit-bitlocker. Per visualizzare le chiavi nella console WAPT è necessario modificare il pacchetto e aggiungere i nomi dei certificati degli utenti autorizzati a leggere i dati di audit.
Re: Crittografia IT BitLocker
Pubblicato: 8 dicembre 2023 - 13:10
di PaulSLA
Grazie per la risposta.
Non sono sicuro di aver capito cosa intendi con "nomi dei certificati utente". Non vengono gestiti direttamente tramite la console WAPT? Un po' come la crittografia delle password LAPS in WAPT?
Cordiali saluti,
Re: Crittografia IT BitLocker
Pubblicato: 8 dicembre 2023 - 14:08
di jorico
Ciao Paul,
questi sono i certificati (collegati ai tuoi amministratori WAPT) che ti consentono di firmare i pacchetti WAPT.
Re: Crittografia IT BitLocker
Pubblicato: 8 dicembre 2023 - 15:27
di dcardon
Ciao
@PaulSLA, per quanto riguarda la parte LAPS di WAPT, utilizza i certificati definiti nell'agente, quindi non è necessario aggiungerne altri. Tuttavia, il pacchetto BitLocker è stato scritto per richiedere esplicitamente i certificati. È vero che potremmo anche riutilizzare i certificati già distribuiti.
Cordiali saluti,
Denis
Re: Crittografia IT BitLocker
Pubblicato: 11 dicembre 2023 - 08:46
di PaulSLA
Buongiorno,
Se ho capito bene le tue spiegazioni e il codice del pacchetto, devo semplicemente inserire il nome del certificato che può visualizzare i risultati dell'audit:
Se il mio certificato è wapt-crt.crt in C:\wapt\ssl, devo fare quanto segue:
Codice: Seleziona tutto
target_encryption_method = 7
allow_swap_encryption_method = False # Not implemented yet
decrypt_cert_list = wapt-crt
def install():
# Adding certificates allowed to decrypt in WAPT
for cert in decrypt_cert_list:
cert_path = makepath(WAPT.wapt_base_dir, "ssl", cert)
if not isfile(cert_path):
print("Copying: %s" % cert_path)
filecopyto(cert, cert_path)
E lo script recupererà automaticamente il certificato per funzionare? Se ho più certificati, dovrei usare virgole? Punto e virgola?
Per quanto riguarda l'abilitazione di BitLocker, ricevo un errore relativo a BitLocker Key Protector. Devo forzare l'installazione del pacchetto su tutti i computer interessati, rimuovendo BitLocker Key Protector, e poi eseguire un'installazione standard? Dovrebbe funzionare?
Non esiste un modo per farlo automaticamente?
Sinceramente,
Re: Crittografia IT BitLocker
Pubblicato: 29 dicembre 2023 - 13:17
di PaulSLA
Buongiorno,
Dopo diversi tentativi, ora ricevo un errore durante l'installazione del pacchetto:
Ecco i registri:
Codice: Seleziona tutto
"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4010, in install_wapt
setup = import_setup(setup_filename)
File "C:\Program Files (x86)\wapt\waptutils.py", line 1525, in import_setup
py_mod = imp.load_source(modulename, setupfilename)
File "imp.py", line 171, in load_source
File "<frozen importlib._bootstrap>", line 702, in _load
File "<frozen importlib._bootstrap>", line 671, in _load_unlocked
File "<frozen importlib._bootstrap_external>", line 843, in exec_module
File "<frozen importlib._bootstrap>", line 219, in _call_with_frames_removed
File "C:\WINDOWS\TEMP\wapt_3l1xqgx\setup.py", line 73, in <module>
NameError: name 'wapt' is not defined
NameError: name 'wapt' is not defined
"
Ho semplicemente aggiunto il nome del certificato dopo "decrypt_cert_list" nel formato decrypt_cert_list = certificate_name
Qualcuno ha idea di quale potrebbe essere l'errore, a meno che il pacchetto non sia più supportato?
Grazie in anticipo,
Sinceramente,
Paolo
Re: Crittografia IT BitLocker
Pubblicato: 3 gennaio 2024 - 10:36
di dcardon
Ciao Paul,
in Python il trattino "-" viene interpretato come l'operatore di sottrazione. Quindi `wapt-crt` viene analizzato come `wapt - crt` (la variabile `wapt` meno la variabile `crt`), da cui il messaggio che la variabile `wapt` non esiste.
Ci devono essere delle virgolette mancanti da qualche parte,
Denis.
Re: Crittografia IT BitLocker
Pubblicato: 3 gennaio 2024 - 17:18
di PaulSLA
Buongiorno,
Grazie, ecco fatto, l'ho trovato ieri. Ho aggiunto le virgolette intorno al certificato e tutto è a posto con la verifica.
Ora ci resta da fare l'attivazione di BitLocker. Abbiamo provato a usare il pacchetto dallo store, ma è impossibile farlo funzionare. È sempre la stessa cosa:
Prima installazione:
Codice: Seleziona tutto
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptzpc2fp1z\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
Quindi l'ho installato utilizzando l'opzione force e il risultato è stato:
Codice: Seleziona tutto
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Remove-BitlockerKeyProtector -MountPoint C: -KeyProtectorId "{92D79314-13A0-475E-B8FC-4195EAEDF1E0}"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\wapt_03ore3e\setup.py", line 116, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
Sembra tutto a posto. Quindi l'ho reinstallato una seconda volta senza l'opzione "forza", e il risultato è stato:
Codice: Seleziona tutto
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptraxa1eek\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
E il problema continua a ripetersi: non abbiamo toccato quel pacchetto. Creare un nostro pacchetto tramite uno script di PowerShell funziona, ma ogni volta che aggiorniamo il pacchetto, questo ricodifica tutti i PC e crea una nuova chiave di ripristino. Questo si trasforma rapidamente in un pasticcio.
Qualche idea? A meno che non abbia saltato un passaggio di configurazione, come con il pacchetto di audit?
Sinceramente,
Paolo
Re: Crittografia IT BitLocker
Pubblicato: 3 gennaio 2024 - 17:55
di jpele
Buongiorno,
Potresti digitare il comando PowerShell indicato su una macchina interessata?
Codice: Seleziona tutto
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Dovresti saperne di più sul punto critico.
Ci sono buone probabilità che sia un GPO a bloccarlo.
Sinceramente,
Jimmy