Ceci est le huitième billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).

Les premières parties de cette série sont visibles aux adresses suivantes :

Dans ce billet nous allons voir comment améliorer la sécurité du poste en imposant l’usage d’un code PIN au démarrage du système et comment dépanner/récupérer un poste dont le code PIN serait perdu ou oublié

Modification de la stratégie de groupe configurant le client MBAM

Précédemment, sur cette plateforme, j’avais imposé BitLocker sur la partition du système d’exploitation. Ici, la modification va consister à imposer un code PIN de 4 caractères à l’utilisateur

Pour plus d’informations sur la GPO déjà définie, cf. ici

Dans le paramètre “Operating system encryption settings”, modifier le protecteur pour le disque système et le mettre à la valeur “TPM and PIN”

Assistant de chiffrement MBAM

Avec cette nouvelle stratégie, l’assistant de configuration de MBAM change légèrement : l’utilisateur final doit en plus saisir un code PIN avant le chiffrement par BitLocker du volume Système.

Une fois le disque chiffré, à chaque démarrage, l’utilisateur doit saisir le code PIN défini précédemment pour pouvoir démarrer Windows 7.


Evènements déclenchant le mode Recovery de BitLocker

Un volume protégé avec BitLocker peut être bloqué et en mode recovery quand :

  • Le code PIN / mot de passe est perdu ou oublié, le code PIN saisi est incorrect
  • Le TPM détecte un changement au niveau du BIOS (exemple : changement de carte mère ou mise à jour du Firmware)
  • Le TPM détecte un changement des fichiers de démarrage

Procédure de récupération pour un disque verrouillé (code PIN perdu ou oublié)

L’utilisateur presse ESC pour passer en mode Recovery et là il contacte ou va voir un membre du HelpDesk (ayant des droits d’administration sur la solution MBAM)

Sur la station d'administration (ou un poste du HelpDesk) :

Ouvrir un navigateur Web et se connecter sur le site d'administration de MBAM (dans cette plateforme mono-serveur : http://nomduserveur:81/ )

Cliquer sur Drive Recovery dans le menu de gauche

Saisir le nom de domaine (ici : W2K8R2-demo) et le login de l'utilisateur (ici : Standard) ainsi que les huits premiers chiffres de la Recovery Key ID (ici : A805BF68)

Note : pour les administrateurs membres du groupe "MBAM Advanced User", la saisie du domaine et du login de l'utilisateur dépanné n'est pas nécessaire

Saisir la raison de la demande de clé Drive Recovery Key (important car cela laisse une trace pour les rapports d’activité et d’audit)

Cliquer sur Submit

Le résultat obtenu est une Drive Recovery Key que l'utilisateur du poste BitLocké et vérrouillé va devoir saisir

L’administrateur au HelpDesk peut copier la Drive Recovery Key et l’envoyer par sms / mail (si l’utilisateur dispose d’un autre moyen que son PC pour recevoir un courrier électronique) ou alors la dicter à l’utilisateur (à voir en fonction des politiques et processus sécurité de l’entreprise).

Ici l’utilisateur Standard saisi la Drive Recovery Key :

Et le système Windows 7 peut démarrer.

Du côté des administrateurs, il est possible d’avoir un rapport sur les interventions réalisées (quel administrateur à fait quoi pour quel utilisateur) en allant sur Reports –> Recovery Audit Report

Informations complémentaires :

Prochains articles :

- Stanislas Quastana -