Forum Tranquil IT

Contactez nous
https://forum.tranquil.it/

[RESOLU] Chiffrement parc informatique Bitlocker

https://forum.tranquil.it/viewtopic.php?t=3704

Page 1 sur 2

[RESOLU] Chiffrement parc informatique Bitlocker

Publié : 04 déc. 2023 - 14:15
par PaulSLA
Bonjour,

Nous souhaiterions mettre en place bitlocker dans notre entreprise. Nous avons trouver les paquets bitlocker enable et audit pour cela.

Après plusieurs essais nous avons réussi à faire fonctionner bitlocker enable sur un poste mais sur aucun des 3 suivants pourtant avec la même installation. Pour bitlocker audit impossible de faire remonter les clés dans l'AD ou dans WAPT. Nous avons qu'il y a besoin d'une liste de certificat, est-il possible d'avoir des précisions ?

Où pouvons nous une documentation plus approfondi sur le chiffrement et la sauvegarde des clés bitlocker via WAPT ?

Cordialement,
Paul

Re: Chiffrement parc informatique Bitlocker

Publié : 05 déc. 2023 - 15:33
par jorico
Bonjour Paul,

J'utilise la paquet tis-audit-bitlocker, pour afficher les clés dans la console WAPT il faut éditer le paquet et ajouter le nom des certificats des utilisateurs habilités à lire les données d'audit.

Re: Chiffrement parc informatique Bitlocker

Publié : 08 déc. 2023 - 13:10
par PaulSLA
Merci de votre réponse,

Je ne suis pas sur de bien comprendre ce que tu entends par "nom des certificats des utilisateurs", cela n'est pas directement géré via la console WAPT ? Un peu comme pour le chiffrement des mot de passe LAPS de wapt ?

Cordialement,

Re: Chiffrement parc informatique Bitlocker

Publié : 08 déc. 2023 - 14:08
par jorico
Bonjour Paul

Il sagit des certificats (liés a tes administrateurs de wapt) qui permettent de signer les paquets WAPT

Re: Chiffrement parc informatique Bitlocker

Publié : 08 déc. 2023 - 15:27
par dcardon
Bonjour,

@PaulSLA pour la partie LAPS by WAPT, ça reprend les certificats définie dans l'agent, donc pas besoin d'en ajouter. Mais pour le paquet Bitlocker, il a été écrit pour demander les certificats explicitement. C'est vrai que l'on pourrait reprendre aussi les certificats déjà déployé.

Cordialement,

Denis

Re: Chiffrement parc informatique Bitlocker

Publié : 11 déc. 2023 - 08:46
par PaulSLA
Bonjour,

Si j'ai bien compris vos explications et le code du paquet je doit simplement renseigner le nom du certificat qui peut voir le résultat de l'audit :

Si mon certificat est wapt-crt.crt dans C:\wapt\ssl je doit faire :

Code : Tout sélectionner

target_encryption_method = 7
allow_swap_encryption_method = False  # Not implemented yet
decrypt_cert_list = wapt-crt


def install():
    # Adding certificates allowed to decrypt in WAPT
    for cert in decrypt_cert_list:
        cert_path = makepath(WAPT.wapt_base_dir, "ssl", cert)
        if not isfile(cert_path):
            print("Copying: %s" % cert_path)
            filecopyto(cert, cert_path)
Et le script va automatiquement récupéré le certificat pour son fonctionnement ? Si j'ai plusieurs certificat je doit mettre des virgules ? Des points virgules ?

Pour la partie enable bitlocker j'ai une erreur au sujet de Bitlockerkey protector. Je doit doit forcer l'installation de du paquet sur tout les postes concernés, ce qui va retirer le bitlocker key protector, puis relancé une installation classique ce qui devrait fonctionner ducoup ?

N'y a-t-il pas moyen de faire cela automatiquement ?

Cordialement,

Re: Chiffrement parc informatique Bitlocker

Publié : 29 déc. 2023 - 13:17
par PaulSLA
Bonjour,

Après plusieurs essai de mon coté j'ai maintenant une erreur lors de l'installation du paquet :
Voici les logs :

Code : Tout sélectionner

"
Traceback (most recent call last):
  File "C:\Program Files (x86)\wapt\common.py", line 4010, in install_wapt
    setup = import_setup(setup_filename)
  File "C:\Program Files (x86)\wapt\waptutils.py", line 1525, in import_setup
    py_mod = imp.load_source(modulename, setupfilename)
  File "imp.py", line 171, in load_source
  File "<frozen importlib._bootstrap>", line 702, in _load
  File "<frozen importlib._bootstrap>", line 671, in _load_unlocked
  File "<frozen importlib._bootstrap_external>", line 843, in exec_module
  File "<frozen importlib._bootstrap>", line 219, in _call_with_frames_removed
  File "C:\WINDOWS\TEMP\wapt_3l1xqgx\setup.py", line 73, in <module>
NameError: name 'wapt' is not defined

NameError: name 'wapt' is not defined
"

J'ai simplement rajouter le nom du certificat après : "decrypt_cert_list" sous la forme decrypt_cert_list = nom_certificat

Si quelqu'un avait une idée de l'erreur, à moins que le paquet ne soit plus supporté ?

Merci d'avance,
Cordialement,
Paul

Re: Chiffrement parc informatique Bitlocker

Publié : 03 janv. 2024 - 10:36
par dcardon
Bonjour Paul,
en Python, le caractère "-" (tiret du 6) est interprété comme l'opérateur de soustraction. Donc wapt-crt est parsé en wapt - crt (variable wapt moins variable crt) , d'où le message que la variable "wapt" n'existe pas.
Il doit manquer des guillemets quelque part :-)
Denis

Re: Chiffrement parc informatique Bitlocker

Publié : 03 janv. 2024 - 17:18
par PaulSLA
Bonjour,

Je vous remercie c'était bien cela, je l'ai trouvé hier. J'ai rajouter des "" autour du certificat et tout est ok au niveau de l'audit.

Maintenant il nous reste la partie activation de bitlocker. Nous avons essayez d'utilisez le paquet dans le store mais impossible de le faire fonctionner. Toujours la même chose :

1ere installation :

Code : Tout sélectionner

OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
  File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
    exitstatus = setup.install()
  File "C:\WINDOWS\TEMP\waptzpc2fp1z\setup.py", line 118, in install
  File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
    raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.

EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
Donc j'installe avec l'option force , résultat :

Code : Tout sélectionner

OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Remove-BitlockerKeyProtector -MountPoint C: -KeyProtectorId "{92D79314-13A0-475E-B8FC-4195EAEDF1E0}"
Traceback (most recent call last):
  File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
    exitstatus = setup.install()
  File "C:\WINDOWS\TEMP\wapt_03ore3e\setup.py", line 116, in install
  File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
    raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.

EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
Ce qui semble bon. Donc je réinstalle une 2eme fois sans l'option force, résultat :

Code : Tout sélectionner

OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
  File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
    exitstatus = setup.install()
  File "C:\WINDOWS\TEMP\waptraxa1eek\setup.py", line 118, in install
  File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
    raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.

EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.

Et le problème tourne en boucle, nous n'avons pas toucher à ce paquet. En faisant notre propre paquet via un script powershell cela fonctionne mais à chaque maj du paquet cela rechiffre tout les PC et recrée une nouvelle clé de récupération. Ce qui devient vite fouilli.

Si vous avez des idées ? A moins que j'ai raté une configuration comme sur le paquet d'audit ?

Cordialement,
Paul

Re: Chiffrement parc informatique Bitlocker

Publié : 03 janv. 2024 - 17:55
par jpele
Bonjour,
Pouvez-vous tapez la commande PowerShell indiqué sur un poste impacté SVP :

Code : Tout sélectionner

Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Vous devriez en savoir plus sur le point bloquant.
Il y a des chances qu'il s'agisse d'une GPO qui bloque.

Cordialement,
Jimmy
Fuseau horaire sur UTC+02:00
Page 1 sur 2

Développé par phpBB® Forum Software © phpBB Limited

Traduction française officielle © Qiaeru