Un certain nombre d'organisations discutent ou testent actuellement des implémentations de BitLocker Administration and Monitoring (MBAM) de Microsoft. La gestion d'entreprise de BitLocker, récemment publiée, offre un certain nombre d'avantages, tels que les rapports de conformité, la récupération des clés à usage unique et la gestion du module de plateforme de confiance (TPM). Cependant, le déploiement de MBAM pose quelques problèmes à de nombreuses personnes et je vais aborder certains sujets dans ce blog qui, je l'espère, apporteront une aide à ceux qui testent ou déploient actuellement cette solution.
La page d'aide en ligne MDOP (Microsoft's Desktop Optimization Pack) fournit des informations essentielles pour faciliter le déploiement, mais il manque encore quelques éléments. Nous espérons que ces informations vous seront utiles.
Certificats de cryptage de réseau
Pour ceux qui, comme moi, ne sont pas des gourous des certificats mais en savent assez pour saisir le concept général des exigences, vous remarquerez peut-être qu'en consultant les informations sur MBAM dans les pages d'aide en ligne de MDOP, aucune exigence en matière de certificat n'est mentionnée. Afin de faciliter votre processus d'installation, je vais donc vous donner quelques informations qui ont fonctionné pour moi lors de mes missions avec MBAM.
Exigences de base
Les exigences relatives aux certificats liés à MBAM sont simples et ne nécessitent généralement pas de modifications importantes du site PKI de l'organisation. Les exigences relatives à l'utilisation étendue des clés (EKU) des certificats sont les suivantes :
Authentification du client (1.3.6.1.5.5.7.3.2)
Authentification du serveur (1.3.6.1.5.5.7.3.1)
Ces deux EKU se trouvent généralement ensemble dans le modèle de certificat d'ordinateur par défaut d'une AC d'entreprise, mais ils peuvent facilement être ajoutés à n'importe quel modèle d'ordinateur.
Deux certificats doivent être émis pour être utilisés avec MBAM. Le premier certificat est utilisé pour crypter la communication entre le serveur SQL hébergeant les bases de données et le serveur d'administration et de surveillance. Le second certificat est utilisé pour crypter la communication entre le serveur d'administration et de surveillance et l'agent client MBAM.
Remarque : pour que ces deux certificats soient utiles, ils doivent être liés à une autorité de certification en laquelle votre ordinateur a confiance. Si les systèmes Windows7 ou Server2008 ne font pas confiance à l'autorité de certification qui a émis ces certificats, il se peut que vous deviez ajouter cette autorité de certification, ou son autorité de certification racine, au magasin de certificats des éditeurs de confiance du système.
Les certificats ne s'affichent pas... ?
Certains d'entre vous ont pu constater qu'il n'y avait que de l'espace vide dans la liste déroulante des certificats lors de l'installation des composants de MBAM, à la page "sélectionner le certificat pour crypter la communication réseau". Il se peut que vos certificats aient été créés avec succès, mais pour qu'ils soient disponibles lors de l'installation, ils doivent être installés manuellement dans le magasin de certificats personnels de l'ordinateur local.
Si vous recevez un message d'erreur indiquant que le certificat ne remplit pas les conditions requises, assurez-vous d'avoir effectué les actions énumérées dans la note mentionnée précédemment.
Modèles de politiques
Le dernier composant de la liste d'installation de MBAM est le modèle de stratégie. Bien que cet élément soit listé comme un composant à installer, il n'effectue en fait aucune modification du système. Lorsqu'elle est cochée, cette étape se contente de copier les fichiers ADMX et ADML dans le dossier local des définitions de politiques du serveur sur lequel la fonctionnalité a été "installée". Les fichiers en question et leurs chemins d'accès respectifs sont énumérés ci-dessous :
| Emplacement du chemin d'accès au fichier | Nom de fichier |
| %windir%\NPolicyDefinitions | BitLockerManagement.admx |
| BitLockerUserManagement.admx | |
| %windir%\NPolicyDefinitions\N-US | BitLockerManagment.adml |
| BitLockerUserManagement.adml |
Si votre organisation dispose d'un ou de plusieurs serveurs spécifiques utilisés pour gérer la politique de groupe, ces fichiers doivent être copiés dans les dossiers locaux de définition des politiques sur chaque serveur. Cependant, si vous disposez d'un magasin de politiques central dans SYSVOL pour la gestion des politiques, copiez tous les fichiers aux emplacements appropriés pour permettre la gestion des politiques de MBAM.
Si tout est copié aux bons endroits lors de l'édition d'une GPO, vous devriez voir ce qui suit :
Informations sur le registre du client MBAM
Il existe plusieurs clés de registre associées au client MBAM que vous pouvez manipuler pour forcer le client à agir. Ces éléments sont classés ci-dessous pour servir de guide de référence.
Hardware Politique de vérification de la compatibilité
Lorsque vous utilisez Hardware Compatibility Checking avec des systèmes MBAM, validez leur profil hardware par rapport aux politiques de MBAM. Cela permet de contrôler le cryptage sur des systèmes qui peuvent ou non répondre aux normes de cryptage de votre organisation ( hardware ). L'inconvénient est que lorsqu'un système s'enregistre et que le profil hardware est répertorié comme inconnu, le système attend 24 heures avant de s'enregistrer à nouveau. Les clés de registre répertoriées ici sont responsables de ces actions.
| Chemin de la clé de registre | Nom de la clé | Valeur | Description |
| HKLM\N-Software\NMicrosoft\NMBAM | HWExemptionTimer | Variable | Ce paramètre spécifie l'intervalle dans lequel le client MBAM revérifie son statut d'exemption hardware . |
| HKLM\N-Software\NMicrosoft\NMBAM | HWExpemtionType | 0 = inconnu1 = incompatible2 = compatible | Ce paramètre détermine le statut d'exemption qui est spécifié par le profil hardware attribué. |
Il est possible de forcer le client à s'enregistrer avant la fin des 24 heures en supprimant les clés de registre mentionnées ci-dessus et en redémarrant le client MBAM.
Délai de démarrage
Par défaut, le client MBAM a un délai aléatoire de 90 minutes, au démarrage, avant de communiquer avec le serveur d'administration et de surveillance. Ce délai a été conçu pour réduire la charge du serveur MBAM lors du déploiement initial du client MBAM. Cependant, ce délai peut être contourné en ajoutant la clé de registre suivante.
| Chemin de la clé de registre | Nom de la clé | Valeur | Description |
| HKLM\N-Software\NMicrosoft\NMBAM | NoStartUpDelay | 1 | Spécifie l'intervalle dans lequel le client communique avec le serveur MBAM au démarrage. |
Si ce paramètre doit être temporaire, il sera nécessaire de supprimer la clé de registre après coup, car aucun des paramètres de stratégie de groupe de MBAM n'écrasera cette clé.
Invitation de l'utilisateur
Lors de la configuration des services MBAM via la stratégie de groupe, deux minuteries de stratégie sont configurées.
Fréquence de vérification du statut du client (par défaut : 90 minutes)
Fréquence des rapports d'état (par défaut : 720 min)
Ces temporisateurs ont des paramètres de registre correspondants qui peuvent être modifiés manuellement pour lancer leurs vérifications immédiatement lorsque le client MBAM est redémarré. Cette opération est généralement effectuée pour lancer plus rapidement l'invite de l'utilisateur afin de démarrer le processus de cryptage et de forcer la mise à jour du rapport d'état. Ces clés et les valeurs qu'elles doivent prendre pour lancer leurs vérifications sont répertoriées ci-dessous.
| Chemin de la clé de registre | Nom de la clé | Valeur | Description |
| HKLM\Software\NPolitiques\NMicrosoft\FVE
\MDOPBitLockerManagement |
Fréquence de réveil du client | 1 | Ce paramètre de stratégie gère la fréquence à laquelle le client vérifiera les stratégies de protection BitLocker et l'état de l'ordinateur client. |
| Fréquence des rapports d'état | 1 | Ce paramètre de stratégie vous permet de gérer la fréquence des informations de conformité et d'état à communiquer au service de rapport. |
Chiffrement lors du déploiement du système d'exploitation
Les clés de registre suivantes sont utilisées pour configurer MBAM afin qu'il lance le chiffrement lors du déploiement du système d'exploitation Windows 7. Ces informations peuvent être référencées à partir de la source originale.
| Chemin de la clé de registre | Nom de la clé | Valeur | Description |
| HKLM\Software\NMicrosoft\NMBAM | Temps de déploiement | 0 | OFF |
| 1 | Utiliser les paramètres de la politique de temps de déploiement (par défaut) | ||
| UseKeyRecoveryService | 0 | Ne pas utiliser le séquestre de clés (les deux entrées de registre suivantes ne sont pas nécessaires dans ce cas) | |
| 1 | Utiliser le dépôt de clés dans le système de récupération de clés (par défaut)Recommandé : L'ordinateur doit pouvoir communiquer avec le service de récupération des clés. Vérifiez que l'ordinateur peut communiquer avec le service avant de poursuivre. | ||
| Options de récupération des clés | 0 | Téléchargement de la clé de recouvrement uniquement | |
| 1 | Téléchargement de la clé de récupération et du paquet de récupération de la clé (par défaut) | ||
| Point final du service de récupération des clés | URL | Set this value to the URL for the Key Recovery web server, for example, https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc. |
Des informations supplémentaires concernant le cryptage via MBAM pendant le déploiement du système d'exploitation sont disponibles à l'adresse suivante : https://onlinehelp.microsoft.com/en-us/mdop/hh285657.aspx
J'espère que tout ou partie de ces informations vous seront utiles pour tester ou déployer l'administration et la surveillance de Microsoft BitLocker.
N'oubliez pas de consulter le site web Windows 7 Accelerate with System Center à l'adresse www.css-security.com/countdown pour obtenir des vidéos d'installation et des tutoriels sur MBAM. Vous trouverez également des ressources supplémentaires, des vidéos et des fiches techniques sur la migration depuis Windows XP et le déploiement de Windows 7.
