Stanislas Quastana's blog on TechNet

Windows Server, Windows Client, Cloud Computing, DirectAccess, sécurité des Systèmes d Information

Montage plateforme Microsoft BitLocker Administration and Monitoring - partie 9 - Déverrouiller un TPM locké

Montage plateforme Microsoft BitLocker Administration and Monitoring - partie 9 - Déverrouiller un TPM locké

  • Comments 1
  • Likes

Ceci est le neuvième billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).

Les premières parties de cette série sont visibles aux adresses suivantes :

Dans ce billet nous allons voir comment déverrouiller un PC Windows 7 dont le TPM a été bloqué suite à la saisie de X PIN incorrects (X étant une valeur variable en fonction des fabricants de TPM) ou X tentative de saisie du mot de passe TPM Owner dans la console d’administration du TPM.

Gestion du TPM dans la console d’administration MBAM

Ouvrir la console MBAM dans un navigateur Web (http://nomduserveur:81/) et cliquer sur Manage TPM dans le menu de gauche

Il faut saisir ici à minima le domaine de l’ordinateur et son nom.

Sélectionner la raison pour laquelle le fichier de mot passe du TPM Owner est nécessaire :

  • Reset PIN Lockout
  • Turn On TPM
  • Turn Off TPM
  • Change TPM Password
  • Clear TPM
  • Other

Cliquer sur Submit

Ici, j’ai obtenu un message  : TPM owner password file is not found et pourtant dans le rapport d’audit des récupérations, cette requête est marquée comme Successful :-/

Il y a donc un problème dans ma configuration ou alors cette fonctionnalité est bugguée. En fait, il semblerait qu’elle ne soit pas très bien documentée non plus donc là pour l’instant, je n’ai pas de réponse…

[si certains ont une idée, je suis preneur Smile]

Du coup, je me suis penché sur ce fameux fichier TPM Owner Password et sur la réinitialisation du TPM de mon PC de tests.

Petit apparté : Comment réinitialiser un TPM ?

Sur ma machine de test (ce bon vieux Dell D820), j’ai initialisé le TPM il y a fort longtemps (du temps des betas de Windows Vista, c’est dire) et bien entendu comme j’ai oublié le mot de passe du propriétaire du TPM (TPM Owner Password)…

Du coup, voici la procédure pour réinitialiser un TPM et le mot de passe du propriétaire.

Important : dans cet exemple où le volume système était déjà chiffré par BitLocker, j’ai pris le temps de déchiffrer le volume avant de réinitialiser le TPM (de toute façon en post réinitialisation, la politique MBAM va m’imposer de chiffrer à nouveau le volume)

Sur le poste Windows 7, se connecter en tant qu’administrateur et ouvrir la console d’administration du TPM (tpm.msc)

Cliquer sur Clear TPM…

Sélectionner I do not have the TPM owner password (pas le choix de toute façon dans mon cas)

Cliquer sur Restart, là en fonction du matériel le message peut être différent

Sélectionner MODIFY

Une fois reconnecté en tant qu’administrateur, l’assistant TPM se poursuit

Redémarrer l’ordinateur. Une fois reconnecté en tant qu’administrateur, l’assistant TPM se poursuit

Ici j’ai choisi l’option création manuelle du mot de passe mais bon si il y a une option recommandée, pourquoi s’en priver ? Winking smile

Le mot de passe peut être sauvegardé sous la forme d’un fichier (.tpm)

Note : malgré le terme utilisé (tpm owner password file), ce fichier ne contient pas le mot de passe du propriétaire du TPM mais seulement un condensé (hash) SHA-1 encodé en base 64.

Voici à quoi ressemble un fichier “TPM Owner Password” généré par l’outil de gestion TPM de Windows 7 :

Il est aussi possible (et je le recommande en combinaison avec un stockage dans un coffre fort) d’imprimer le mot de passe du propriétaire du TPM

Le TPM est initialisé, le mot de passe du propriétaire est connu. C’est parfait avant une configuration de BitLocker par MBAM

Informations complémentaires :

Prochains articles :

  • Les rapports de la console MBAM
  • Autres améliorations possibles de cette plateforme
  •  Smile

- Stanislas Quastana -

Comments
  • Si MBAM est utilisé, la console TPM ne devrait pas être utilisée pour prendre possession du TPM. Cela empêche le client MBAM de transmettre l'owner password à la console, et de pouvoir le récupérer (c'est l'origine du message "TPM file not found").

    Après reset du TPM, l'agent MBAM demandera à initialiser le TPM, et là, il pourra stocker tout ce qu'il faut dans la base cryptée.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment