Page 1 sur 2
bitlocker audit recup de clé
Posté : 19 nov. 2024 - 17:04
par jptw
Bonjour,
wapt console :2.3.0.13470
enable bitlocker : 10.5.0
audit bitlocker : 10.5.0
poste avec 2 HDD : C: ( système ) et D: (data) ( chiffrement uniquement du C: système )
j'ai un problème pour récupérer la cle bitlocker dans l'AD
l'installation et le chiffrement du disque C: ne pose pas de problème
l'audit quand a lui tombe en erreur
je résume ce que ca me dit )
Code : Tout sélectionner
OK : C: est chiffré et la protection bitlocker est ON
IMPORTANT : je n'ai pas spécifié de "decrypt_cert_list" .... ( je ne souhaite pas forcement que la cle soit visible dans wapt )
ERROR : D: Data drive n'est pas chiffré par bitlocker
INFO: D: Data drive bitlocker encryptionmethod is :none
j'ai l'impression qu'il ne tente pas d'envoyer la clé dans l'AD
et pourquoi me met 'il en error le fait que D: n'est pas chiffré ?
j'ai surement loupé un truc
merci de votre aide
Re: bitlocker audit recup de clé
Posté : 19 nov. 2024 - 18:04
par dcardon
Bonjour Jens,
par défaut le paquet ne chiffre que le disque système. C'est pour éviter de chiffrer involontairement un disque externe. Si vous voulez chiffrer le disque D: il faudrait modifier le paquet.
Pour la remontée dans l'AD je pense qu'il y a une GPO ou un truc comme ça à configurer. Il y a aussi un paquet "laps par wapt" qui remonte le mdp chiffré dans WAPT.
Pour info avec la sortie de Wapt 2.6 aujourd'hui la version Wapt 2.3 n'est plus supporté. Est ce que vous pourriez prévoir une mise à jour?
Cordialement,
Denis
Re: bitlocker audit recup de clé
Posté : 20 nov. 2024 - 08:32
par jptw
bonjour,
par défaut le paquet ne chiffre que le disque système
c'est bien ce que je souhaite mais le paquet audit-bitlocker remonte en erreur pour le disque Data D:
pour la remontee du mot de passe dans l'AD , je pense que c'est bien la paquet audit-bitlocker qui dois le faire ( LAPS est uniquement pour les mdp de compte admin locaux)
voila un bout du paquet audit-bitlocker:
Code : Tout sélectionner
for keyprotector in keyprotector_list:
keyprotectorid = keyprotector["KeyProtectorId"]
if keyprotector["KeyProtectorType"] in [1,2,4]:
# WAPT.delete_audit_data(
# "enable-bitlocker", f"RecoveryPassword_{keyprotectorid}"
# ) # not possible from package, please delete from WAPT Console
# print("INFO: Skipping Backup-BitLockerKeyProtector for KeyProtectorType: Tpm")
continue
try:
# Backuping RecoveryPassword to the AD
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')
except Exception as e:
print(e)
print(f"WARNING: Failed to backup RecoveryPassword {keyprotectorid} to the AD")
audit_status = set_audit_status(audit_status, "WARNING")
j'ai aussi mis une gpo qui doit envoyer la cle de recuperation dans l'AD mais cela ne change rien
je n'ai pas la cle de recup qui remonte d'ans l'AD ni le warning disant "Failed to backup RecoveryPassword"
merci
Re: bitlocker audit recup de clé
Posté : 20 nov. 2024 - 14:40
par jlepiquet
Bonjour,
Le script va passer sur tout les disques physiques présent dans la machine.
Vous pouvez modifier le code suivant ou le supprimer :
ligne 207
Code : Tout sélectionner
else:
print(f"ERROR: {mountpoint} {volumetype} drive is not encrypted with BitLocker")
audit_status = set_audit_status(audit_status, "ERROR")
Re: bitlocker audit recup de clé
Posté : 20 nov. 2024 - 18:40
par jptw
bonjour,
ok j'ai modifié les 2 ERROR en WARNING pour ne plus avoir d'erreur en rouge ( merci )
j'ai aussi ajout un certificat a la liste "decrypt_cert_list" pour voir la sauvegarde de la clé de récupération dans wapt ( pour tester )
dans l'audit il me dit bien
backuping: RecoveryPassword{xxxx-xxx-xxx--xxxxx} to the wapt console
par contre je ne sais pas ou je suis sensé voir la clé de récupération.
et il ne me dit toujours rien concernant la sauvegarde de la clé de récupération dans l'AD
pour tester j'ai lancé sur mon poste la commande
Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}
en lui mettant les valeur qu'il faut ,bien sur , et la clé est bien arrivée dans les proprietes du postes dans l'AD
si quelqu'un a déjà fait et que ce fonctionne je suis preneur
merci
Re: bitlocker audit recup de clé
Posté : 21 nov. 2024 - 11:52
par jlepiquet
Bonjour,
le script n'a pas l'air de rentrer dans
Code : Tout sélectionner
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName est bien vide sur la machine?
Re: bitlocker audit recup de clé
Posté : 21 nov. 2024 - 12:45
par jptw
oui cette cle est bien vide
Re: bitlocker audit recup de clé
Posté : 21 nov. 2024 - 13:10
par jptw
je viens de faire un test en donnant une valeur "test" a la cle SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName'
et la dans le log de l'audit il me dit bien qu'il sauvegarde la cle de recup dans l'AD.
c'est etrange non ?
ou alors j'interprete mal la condition:
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
je suis pas forcement tres fort en dev.
et en plus je ne vois pas non plus dans la console wapt ou il donne le cle apres l'avoir sauvegardé dans wapt
Re: bitlocker audit recup de clé
Posté : 21 nov. 2024 - 14:35
par jlepiquet
Si tu remplaces, 'NetworkName' par 'MachineDomain', ça fonctionne mieux?
La clé est bien présente avec le nom du domaine joint?
Re: bitlocker audit recup de clé
Posté : 21 nov. 2024 - 15:14
par jptw
salut
oui ca passe si je remplace par MachineDomain . la cle remonte bien dans l'AD merci
et pour la sauvegarde de la clé dans wapt tu sais ou la retrouver ?