bitlocker audit recup de clé

[jptw]

Bonjour,

wapt console :2.3.0.13470
enable bitlocker : 10.5.0
audit bitlocker : 10.5.0
poste avec 2 HDD : C: ( système ) et D: (data) ( chiffrement uniquement du C: système )

j'ai un problème pour récupérer la cle bitlocker dans l'AD
l'installation et le chiffrement du disque C: ne pose pas de problème
l'audit quand a lui tombe en erreur je résume ce que ca me dit )

Code : Tout sélectionner

OK : C: est chiffré et la protection bitlocker est ON
IMPORTANT : je n'ai pas spécifié de "decrypt_cert_list" .... ( je ne souhaite pas forcement que la cle soit visible dans wapt )
ERROR : D: Data drive n'est pas chiffré par bitlocker
INFO: D: Data drive bitlocker encryptionmethod is :none

j'ai l'impression qu'il ne tente pas d'envoyer la clé dans l'AD
et pourquoi me met 'il en error le fait que D: n'est pas chiffré ?

j'ai surement loupé un truc

merci de votre aide

[dcardon]

Bonjour Jens,

par défaut le paquet ne chiffre que le disque système. C'est pour éviter de chiffrer involontairement un disque externe. Si vous voulez chiffrer le disque D: il faudrait modifier le paquet.

Pour la remontée dans l'AD je pense qu'il y a une GPO ou un truc comme ça à configurer. Il y a aussi un paquet "laps par wapt" qui remonte le mdp chiffré dans WAPT.

Pour info avec la sortie de Wapt 2.6 aujourd'hui la version Wapt 2.3 n'est plus supporté. Est ce que vous pourriez prévoir une mise à jour?

Cordialement,

Denis

[jptw]

bonjour,

par défaut le paquet ne chiffre que le disque système

c'est bien ce que je souhaite mais le paquet audit-bitlocker remonte en erreur pour le disque Data D:

pour la remontee du mot de passe dans l'AD , je pense que c'est bien la paquet audit-bitlocker qui dois le faire ( LAPS est uniquement pour les mdp de compte admin locaux)

voila un bout du paquet audit-bitlocker:

Code : Tout sélectionner

for keyprotector in keyprotector_list:
                keyprotectorid = keyprotector["KeyProtectorId"]
                if keyprotector["KeyProtectorType"] in [1,2,4]:
                    # WAPT.delete_audit_data(
                    #     "enable-bitlocker", f"RecoveryPassword_{keyprotectorid}"
                    # )  # not possible from package, please delete from WAPT Console
                    # print("INFO: Skipping Backup-BitLockerKeyProtector for KeyProtectorType: Tpm")
                    continue

                try:
                    # Backuping RecoveryPassword to the AD
                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')
                except Exception as e:
                    print(e)
                    print(f"WARNING: Failed to backup RecoveryPassword {keyprotectorid} to the AD")
                    audit_status = set_audit_status(audit_status, "WARNING")

j'ai aussi mis une gpo qui doit envoyer la cle de recuperation dans l'AD mais cela ne change rien
je n'ai pas la cle de recup qui remonte d'ans l'AD ni le warning disant "Failed to backup RecoveryPassword"

merci

[jlepiquet]

Bonjour,

Le script va passer sur tout les disques physiques présent dans la machine.

Vous pouvez modifier le code suivant ou le supprimer :

ligne 207

Code : Tout sélectionner

        else:
            print(f"ERROR: {mountpoint} {volumetype} drive is not encrypted with BitLocker")
            audit_status = set_audit_status(audit_status, "ERROR")

[jptw]

bonjour,

ok j'ai modifié les 2 ERROR en WARNING pour ne plus avoir d'erreur en rouge ( merci )

j'ai aussi ajout un certificat a la liste "decrypt_cert_list" pour voir la sauvegarde de la clé de récupération dans wapt ( pour tester )
dans l'audit il me dit bien

backuping: RecoveryPassword{xxxx-xxx-xxx--xxxxx} to the wapt console

par contre je ne sais pas ou je suis sensé voir la clé de récupération.

et il ne me dit toujours rien concernant la sauvegarde de la clé de récupération dans l'AD
pour tester j'ai lancé sur mon poste la commande

Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}

en lui mettant les valeur qu'il faut ,bien sur , et la clé est bien arrivée dans les proprietes du postes dans l'AD

si quelqu'un a déjà fait et que ce fonctionne je suis preneur


merci

[jlepiquet]

Bonjour,

le script n'a pas l'air de rentrer dans

Code : Tout sélectionner

                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName est bien vide sur la machine?

[jptw]

oui cette cle est bien vide

[jptw]

je viens de faire un test en donnant une valeur "test" a la cle SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName'
et la dans le log de l'audit il me dit bien qu'il sauvegarde la cle de recup dans l'AD.

c'est etrange non ?
ou alors j'interprete mal la condition:
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):

je suis pas forcement tres fort en dev.

et en plus je ne vois pas non plus dans la console wapt ou il donne le cle apres l'avoir sauvegardé dans wapt

[jlepiquet]

Si tu remplaces, 'NetworkName' par 'MachineDomain', ça fonctionne mieux?
La clé est bien présente avec le nom du domaine joint?

[jptw]

salut

oui ca passe si je remplace par MachineDomain . la cle remonte bien dans l'AD merci

et pour la sauvegarde de la clé dans wapt tu sais ou la retrouver ?