Bonjour,
Nous souhaiterions mettre en place bitlocker dans notre entreprise. Nous avons trouver les paquets bitlocker enable et audit pour cela.
Après plusieurs essais nous avons réussi à faire fonctionner bitlocker enable sur un poste mais sur aucun des 3 suivants pourtant avec la même installation. Pour bitlocker audit impossible de faire remonter les clés dans l'AD ou dans WAPT. Nous avons qu'il y a besoin d'une liste de certificat, est-il possible d'avoir des précisions ?
Où pouvons nous une documentation plus approfondi sur le chiffrement et la sauvegarde des clés bitlocker via WAPT ?
Cordialement,
Paul
[RESOLU] Chiffrement parc informatique Bitlocker
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Bonjour Paul,
J'utilise la paquet tis-audit-bitlocker, pour afficher les clés dans la console WAPT il faut éditer le paquet et ajouter le nom des certificats des utilisateurs habilités à lire les données d'audit.
J'utilise la paquet tis-audit-bitlocker, pour afficher les clés dans la console WAPT il faut éditer le paquet et ajouter le nom des certificats des utilisateurs habilités à lire les données d'audit.
WAPT Entreprise 2.4.0.14080
Serveur = Debian 11 Bullseye
Console= Windows Server 2019
--------------------------------------------------------------------------
Johan
Serveur = Debian 11 Bullseye
Console= Windows Server 2019
--------------------------------------------------------------------------
Johan
Merci de votre réponse,
Je ne suis pas sur de bien comprendre ce que tu entends par "nom des certificats des utilisateurs", cela n'est pas directement géré via la console WAPT ? Un peu comme pour le chiffrement des mot de passe LAPS de wapt ?
Cordialement,
Je ne suis pas sur de bien comprendre ce que tu entends par "nom des certificats des utilisateurs", cela n'est pas directement géré via la console WAPT ? Un peu comme pour le chiffrement des mot de passe LAPS de wapt ?
Cordialement,
Bonjour Paul
Il sagit des certificats (liés a tes administrateurs de wapt) qui permettent de signer les paquets WAPT
Il sagit des certificats (liés a tes administrateurs de wapt) qui permettent de signer les paquets WAPT
WAPT Entreprise 2.4.0.14080
Serveur = Debian 11 Bullseye
Console= Windows Server 2019
--------------------------------------------------------------------------
Johan
Serveur = Debian 11 Bullseye
Console= Windows Server 2019
--------------------------------------------------------------------------
Johan
-
dcardon
- Expert WAPT
- Messages : 1412
- Inscription : 18 juin 2014 - 09:58
- Localisation : Saint Sébastien sur Loire
- Contact :
Bonjour,
@PaulSLA pour la partie LAPS by WAPT, ça reprend les certificats définie dans l'agent, donc pas besoin d'en ajouter. Mais pour le paquet Bitlocker, il a été écrit pour demander les certificats explicitement. C'est vrai que l'on pourrait reprendre aussi les certificats déjà déployé.
Cordialement,
Denis
@PaulSLA pour la partie LAPS by WAPT, ça reprend les certificats définie dans l'agent, donc pas besoin d'en ajouter. Mais pour le paquet Bitlocker, il a été écrit pour demander les certificats explicitement. C'est vrai que l'on pourrait reprendre aussi les certificats déjà déployé.
Cordialement,
Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Bonjour,
Si j'ai bien compris vos explications et le code du paquet je doit simplement renseigner le nom du certificat qui peut voir le résultat de l'audit :
Si mon certificat est wapt-crt.crt dans C:\wapt\ssl je doit faire :
Et le script va automatiquement récupéré le certificat pour son fonctionnement ? Si j'ai plusieurs certificat je doit mettre des virgules ? Des points virgules ?
Pour la partie enable bitlocker j'ai une erreur au sujet de Bitlockerkey protector. Je doit doit forcer l'installation de du paquet sur tout les postes concernés, ce qui va retirer le bitlocker key protector, puis relancé une installation classique ce qui devrait fonctionner ducoup ?
N'y a-t-il pas moyen de faire cela automatiquement ?
Cordialement,
Si j'ai bien compris vos explications et le code du paquet je doit simplement renseigner le nom du certificat qui peut voir le résultat de l'audit :
Si mon certificat est wapt-crt.crt dans C:\wapt\ssl je doit faire :
Code : Tout sélectionner
target_encryption_method = 7
allow_swap_encryption_method = False # Not implemented yet
decrypt_cert_list = wapt-crt
def install():
# Adding certificates allowed to decrypt in WAPT
for cert in decrypt_cert_list:
cert_path = makepath(WAPT.wapt_base_dir, "ssl", cert)
if not isfile(cert_path):
print("Copying: %s" % cert_path)
filecopyto(cert, cert_path)
Pour la partie enable bitlocker j'ai une erreur au sujet de Bitlockerkey protector. Je doit doit forcer l'installation de du paquet sur tout les postes concernés, ce qui va retirer le bitlocker key protector, puis relancé une installation classique ce qui devrait fonctionner ducoup ?
N'y a-t-il pas moyen de faire cela automatiquement ?
Cordialement,
Bonjour,
Après plusieurs essai de mon coté j'ai maintenant une erreur lors de l'installation du paquet :
Voici les logs :
J'ai simplement rajouter le nom du certificat après : "decrypt_cert_list" sous la forme decrypt_cert_list = nom_certificat
Si quelqu'un avait une idée de l'erreur, à moins que le paquet ne soit plus supporté ?
Merci d'avance,
Cordialement,
Paul
Après plusieurs essai de mon coté j'ai maintenant une erreur lors de l'installation du paquet :
Voici les logs :
Code : Tout sélectionner
"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4010, in install_wapt
setup = import_setup(setup_filename)
File "C:\Program Files (x86)\wapt\waptutils.py", line 1525, in import_setup
py_mod = imp.load_source(modulename, setupfilename)
File "imp.py", line 171, in load_source
File "<frozen importlib._bootstrap>", line 702, in _load
File "<frozen importlib._bootstrap>", line 671, in _load_unlocked
File "<frozen importlib._bootstrap_external>", line 843, in exec_module
File "<frozen importlib._bootstrap>", line 219, in _call_with_frames_removed
File "C:\WINDOWS\TEMP\wapt_3l1xqgx\setup.py", line 73, in <module>
NameError: name 'wapt' is not defined
NameError: name 'wapt' is not defined
"J'ai simplement rajouter le nom du certificat après : "decrypt_cert_list" sous la forme decrypt_cert_list = nom_certificat
Si quelqu'un avait une idée de l'erreur, à moins que le paquet ne soit plus supporté ?
Merci d'avance,
Cordialement,
Paul
-
dcardon
- Expert WAPT
- Messages : 1412
- Inscription : 18 juin 2014 - 09:58
- Localisation : Saint Sébastien sur Loire
- Contact :
Bonjour Paul,
en Python, le caractère "-" (tiret du 6) est interprété comme l'opérateur de soustraction. Donc wapt-crt est parsé en wapt - crt (variable wapt moins variable crt) , d'où le message que la variable "wapt" n'existe pas.
Il doit manquer des guillemets quelque part
Denis
en Python, le caractère "-" (tiret du 6) est interprété comme l'opérateur de soustraction. Donc wapt-crt est parsé en wapt - crt (variable wapt moins variable crt) , d'où le message que la variable "wapt" n'existe pas.
Il doit manquer des guillemets quelque part
Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Bonjour,
Je vous remercie c'était bien cela, je l'ai trouvé hier. J'ai rajouter des "" autour du certificat et tout est ok au niveau de l'audit.
Maintenant il nous reste la partie activation de bitlocker. Nous avons essayez d'utilisez le paquet dans le store mais impossible de le faire fonctionner. Toujours la même chose :
1ere installation :
Donc j'installe avec l'option force , résultat :
Ce qui semble bon. Donc je réinstalle une 2eme fois sans l'option force, résultat :
Et le problème tourne en boucle, nous n'avons pas toucher à ce paquet. En faisant notre propre paquet via un script powershell cela fonctionne mais à chaque maj du paquet cela rechiffre tout les PC et recrée une nouvelle clé de récupération. Ce qui devient vite fouilli.
Si vous avez des idées ? A moins que j'ai raté une configuration comme sur le paquet d'audit ?
Cordialement,
Paul
Je vous remercie c'était bien cela, je l'ai trouvé hier. J'ai rajouter des "" autour du certificat et tout est ok au niveau de l'audit.
Maintenant il nous reste la partie activation de bitlocker. Nous avons essayez d'utilisez le paquet dans le store mais impossible de le faire fonctionner. Toujours la même chose :
1ere installation :
Code : Tout sélectionner
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptzpc2fp1z\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.Code : Tout sélectionner
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Remove-BitlockerKeyProtector -MountPoint C: -KeyProtectorId "{92D79314-13A0-475E-B8FC-4195EAEDF1E0}"
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\wapt_03ore3e\setup.py", line 116, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.Code : Tout sélectionner
OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
exitstatus = setup.install()
File "C:\WINDOWS\TEMP\waptraxa1eek\setup.py", line 118, in install
File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.Et le problème tourne en boucle, nous n'avons pas toucher à ce paquet. En faisant notre propre paquet via un script powershell cela fonctionne mais à chaque maj du paquet cela rechiffre tout les PC et recrée une nouvelle clé de récupération. Ce qui devient vite fouilli.
Si vous avez des idées ? A moins que j'ai raté une configuration comme sur le paquet d'audit ?
Cordialement,
Paul
Bonjour,
Pouvez-vous tapez la commande PowerShell indiqué sur un poste impacté SVP :
Vous devriez en savoir plus sur le point bloquant.
Il y a des chances qu'il s'agisse d'une GPO qui bloque.
Cordialement,
Jimmy
Pouvez-vous tapez la commande PowerShell indiqué sur un poste impacté SVP :
Code : Tout sélectionner
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtectorIl y a des chances qu'il s'agisse d'une GPO qui bloque.
Cordialement,
Jimmy
