Ceci est le sixième billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).

 Les premières parties de cette série sont visibles aux adresses suivantes :

Dans ce billet nous allons voir comment configurer le client MBAM via les stratégies de groupe Active Directory

L'installation de MBAM inclus (si on laisse coché l'option) l'installation de modèles de stratégies (BitLockerManagement.admx et BitLockerUserManagement.admx) permettant le paramétrage par GPO de l'agent MBAM et donc de Bitlocker sur les poste clients.

Se connecter en temps avec un compte administrateur sur le serveur MBAM (on peut faire l’opération depuis toute station d’administration ayant les GPMC et les  modèles de stratégie MBAM) et ouvrir la console Group Policy Management (GPMC)

Création d’une nouvelle stratégie pour configurer les clients MBAM

Il existe des éléments de stratégie MBAM s’appliquant à l’utilisateur et d’autres à l’ordinateur

Au niveau utilisateur le paramètre concerne la possibilité ou pas de demander à être une exception (= un utilisateur qui ne souhaite pas activer BitLocker)

Ce paramètre est dans l’arborescence : 
User configuration -> Policies -> Administrative Templates -> Windows Components -> MDOP MBAM (BitLocker Management)

Au niveau ordinateur se trouvent la grosse majorité des paramètres MBAM

Ces paramètres MBAM sont dans l’arborescence :
Computer configuration -> Policies -> Administrative Templates -> Windows Components -> MDOP MBAM (BitLocker Management)

4 branches :

  • Client Management : paramétrage du client
  • Fixed Drive : paramétrage de BitLocker pour les disques fixes hors partition de boot et partition système
  • Operating System : paramétrage de BitLocker pour la partition contenant les binaires du système
  • Removable Drive : paramétrage de BitLocker To Go pour les disques externes/amovibles (clés USB, disques USB…)

Dans Client Management, l’élément “Configure MBAM Services”.

Dans cette plateforme de test, le MBAM Recovery and Hardware service endpoint est à l’adresse http://lh04R2.w2K8R2-demo.net:81/MBAMRecoveryAndHardwareService/CoreService.svc   (ne pas oublier le numéro de port qui n’est pas sur le port TCP  80 car scénario mono-serveur et non utilisation des host header name)

Note : ce paramétrage est nécessaire pour le bon fonctionnement de l’élement de stratégie Allow hardware compatibility checking

Dans Select BitLocker recovery information to store, j’ai sélectionné l’option la plus riche : Recovery password and key package

Dans MBAM Status reporting service endpoint :  http://lh04R2.w2K8R2-demo.net:81/MBAMComplianceStatusService/StatusReportingService.svc

Le paramètre Allow hardware compatibility checking est très intéressant car il permet d’évaluer si un poste client dispose des pré-requis matériels nécessaire à l’activation de BitLocker avec MBAM (présence d’un TPM 1.2 ou >)

Le test de compatibilité est possible grâce à l’utilisation d’une liste de compatibilité présente et maintenue sur le serveur (et mise à jour via Microsoft Update si j’ai bien tout compris).

Un ordinateur pourra avoir un des 3 états de compatibilité suivants :

  • Compatible
  • Non compatible
  • Inconnu (unknown) –> dans ce cas, c’est l’administrateur qui pourra déterminer et forcer compatible ou non compatible

Ces informations de compatibilité vont se retrouver dans les rapport de matériel et d’audit.

Dans un premier temps, il n’est pas nécessaire de jouer avec tous les paramètres de BitLocker. Je rappelle l’objectif de cette série d’articles : évaluer MBAM et non évaluer BitLocker Winking smile.

Dans tous les cas, même avant une mise en production de BitLocker, il est préférable de :

  1. Apprivoiser l’outil avec un paramétrage basique de BitLocker
  2. Définir la stratégie BitLocker adaptée à l’entreprise (quoi chiffrer ? quel niveau de chiffrement ? quels protecteurs ? chiffrer les périphériques amovibles ?)
  3. Choisir la(les) méthode(s) de déploiement du client MBAM et de BitLocker (intégré dans un master ou pas, configuration durant ou post-installation…)
  4. Valider les process à mettre en heure au niveau du Helpdek pour les opérations de récupération (quand un disque est changé de machine, quand un utilisateur oublie son code PIN…)
  5. Tester le tout (paramétrage technique et procédures Helpdesk) sur une plateforme d’intégration représentative de la production
  6. Démarrer le déploiement de BitLocker en production

Sur la plateforme de test, je vais définir les éléments de stratégie pour imposer le chiffrement de la partition système Windows 7.

Dans la branche Operating System, ouvrir l’élement Operating System drive encryption settings

Pour les premiers tests, je limite le protecteur au TPM.

En production, j’encourage fortement l’utilisation de TPM + PIN

Ensuite lier la GPO à un groupe de machines ou à une OU

Sur le poste client Windows 7 (un poste physique avec un TPM. Dans mon cas c’est un “vieux” Dell 820)

  • Ouvrir une invite de commande
  • Effectuer un gpupdate /force (nécessite des privilèges admin)
  • Vérifier que la stratégie a bien été appliquées (gpresult /R)

Informations complémentaires :

Prochains articles :

- Stanislas Quastana -