lundi 4 avril 2016

[MDOP] Microsoft BitLocker Administration and Monitoring 2.5 SP1 est disponible !


Microsoft a récemment publié la version 2015 de Microsoft Desktop Optimization Pack (MDOP) qui apporte le Service Pack 1 de la version 2.5 de Microsoft BitLocker Administration and Monitoring (MBAM).
Parmi les nouvelles fonctionnalités de MBAM 2.5 SP1 on peut noter :
Déploiement Gestion Entreprise Personalisation
Nouveaux scripts pour la gestion de master Cmdlets pour importer les informations BitLocker et TPM depuis l’AD Ajout du support de Windows 10 Modification de l’écran de recouvrement de BitLocker
Demande du PIN après masterisation Déverrouillage automatique du TPM après recouvrement BitLocker Support des disques avec chiffrement matériel Modification du SSP lors de l’installation
Amélioration du séquestre du mot de passe de gestion du TPM Consolidation et simplification de la journalisation du serveur Support des noms DNS Internationaux Traduction du client en 23 langues
Support du FIPS pour le mot de passe de recouvrement pour Windows 7 Mise à jour du schéma des rapports afin d’être édité par Report Builder

I/ Nouvelles cmdlets powershell

MBAM 2.5 SP1 apporte les cmdlets suivantes :
  • Write-MbamTpmInformation
  • Write-MbamRecoveryInformation
  • Read-ADTpmInformation
  • Read-ADRecoveryInformation
  • Write-MbamComputerUser
De nouveaux paramètres sont désormais disponibles pour les cmdlets Enable-MbamWebApplication et Test-MbamWebApplication afin de gérer les rôles Web de MBAM :
  • DataMigrationAccessGroup
  • TpmAutoUnlock
Et enfin un nouveau script fait son apparition "Invoke-MbamClientDeployment.ps1" pour une meilleure gestion du déploiement de l’agent :
Parametre Description
-RecoveryServiceEndpoint Requis MBAM recovery service endpoint
-StatusReportingServcieEndpoint Optionnel MBAM status reporting service endpoint
-EncryptionMethod Optionnel Méthode de chiffrement (AES 128 par défaut)
-EncryptAndEscrowDataVolume Switch Chiffre le volume et séquestre la clé de recouvrement
-WaitForEncryptionToComplete Switch Attendre la fin du chiffrement
-IgnoreEscrowOwnerAuthFailure Switch Ignore l’échec du séquestre du mot de passe de gestion du TPM
-IgnoreEscrowRecoveryKeyFailure Switch Ignore l’échec du séquestre du mot de passe de recouvrement
-IgnoreReportStatusFailure Switch Ignore l’échec d’envoi du statu


De plus si l’on souhaite installer l’agent MBAM, au travers d’une séquence de tache ou manuellement, le script permet de demander immédiatement le code PIN: setFirstRunKey.ps1

II/ Active Directory data migration

Un autre cas que j’ai souvent rencontré lors de la mise en place de MBAM qui peut être problématique : parfois on peut se retrouver sur un déploiement de BitLocker avec une gestion des clés dans AD.
Mais afin de migrer ces données vers MBAM simplement reste de déchiffrer le disque, effacer la puce TPM, ou développer un script afin d’extraire et d’injecter les informations dans la base de données.
Désormais MBAM 2.5 SP1 introduits 4 nouvelles cmdlets afin de rendre plus simple la migration des informations présentes dans Active Directory vers la base de données de MBAM :
Scenario Cmdlet Description
Clé de recouvrement Read-ADRecoveryInformation Lit les informations de recouvrement dans AD
Aucune opération d’écriture dans AD
Write-MbamRecoveryInformation Ecrit les informations de recouvrement collecté via l’AD dans MBAM
Vérification d’intégrité lors de l’écriture dans MBAM
Add-ComputerUser.ps1 Lien entre utilisateurs et ordinateurs :
• Attribut AD ManagedBy
• Fichier CSV
Informations de la puce TPM Read-ADTpmInformation Lit les informations TPM dans AD
Aucune opération d’écriture dans AD
Write-MbamTpmInformation Ecrit les informations TPM collecté via l’AD dans MBAM
Vérification d’intégrité lors de l’écriture dans MBAM
Add-ComputerUser.ps1 Lien entre utilisateurs et ordinateurs :
• Attribut AD ManagedBy
• Fichier CSV


Voici un exemple de fichier CSV :
Computer,user
Mycomp.snh.lab,myuser@snh.lab


Afin d’effectuer cette migration, voici les étapes à prendre en compte :
  • Attribuer les droits de lecture seule sur les attributs AD nécessaire
  • Créer un groupe AD avec les droits d’écritures dans MBAM
  • Ouvrir le fichier Web.config du service de recouvrement
  • Modifier la ligne <add key=”DataMigrationsUsersGroupName” value=””>

III/ Nouvelles fonctionnalités liées à la puce TPM

Voici un résumé des capacités liées à la puce TPM :
Avant MBAM 2.5 SP1 Avec MBAM 2.5 SP1
Déverrouiller la puce TPM nécessite le mot de passe de gestion de la TPM Le verrouillage de la TPM 1.2 est automatiquement géré
MBAM séquestre le mot de passe gestion de la TPM Non requis pour la TPM 2.0
Le portail Helpdesk peut fournir le mot de passe gestion de la TPM
Nécessite les droits admin sur l’ordinateur cible
• Doit être activé sur le serveur Web et par GPO
• le mot de passe gestion de la TPM doit être dans MBAM
Il faut de plus garder en mémoire concernant le verrouillage de la puce TPM :
  • TPM 1.2 – dépend du constructeur (toutes les 30 secondes et ensuite 2 heures)
  • TPM 2.0 – 2 heures
Avec Windows 8 et plus, MBAM 2.5 SP1 peut récupérer le mot de passe de gestion de la puce TPM sans initialiser cette dernière. En effet lors du démarrage l’agent MBAM vérifie si la puce TPM est déjà initialisée et si c’est le cas récupère le mot de passe de gestion afin de l’envoyer dans la base de données. Afin de ne pas supprimer ce dernier localement (base de registre) il faudra le spécifier par GPO.

Pour plus d’information il existe un excellent article sur le sujet : Configurer MBAM pour qu'il dépose le module de plateforme sécurisée (TPM) et stocke les mots de passe d'autorisation de propriétaire.

Sur un ordinateur ayant une puce TPM 1.2, il existe la difficulté suivante : déverrouiller la puce TPM. Il est possible de se passer désormais des outils constructeurs avec la fonctionnalité TPM lockout auto reset, MBAM détecte que la puce est verrouillée et récupère le mot de passe de gestion de cette dernière depuis la base de données afin de la déverrouiller automatiquement sans aucune action utilisateur.

Cette fonctionnalité doit être activée du coté serveur et client (Configurer MBAM pour déverrouiller automatiquement le module de plateforme sécurisée (TPM) après un verrouillage).

IV/ Nouvelle fonctionnalité FIPS 

Le support de clés de type Federal Information Processing Standard (FIPS) pour Windows 8.1 a été portée sur Windows 7, à cet effet il sera nécessaire de déployer un Protecteur Data Recovery Agent (DRA) protector.

V/ Personnalisation du Pre-boot


Une nouvelle GPO permet de modifier le message et l’URL de l’écran de recouvrement. Cependant cela reste possible que pour Windows 10.


Il est possible :
  • D’utiliser uniquement un message personnalisé
  • D’utiliser uniquement une URL personnalisée
  • D’utiliser un message et une URL personnalisés

Plus d'information sur cette version à cette adresse : https://technet.microsoft.com/fr-fr/library/mt427465.aspx

Chemin de migration depuis la version 2.5 : https://technet.microsoft.com/fr-fr/library/dn645354.aspx

Liste des problèmes connus avec cette version : https://technet.microsoft.com/fr-fr/library/mt427464.aspx

Afin d'obtenir plus d'information pour obtenir cette version : http://curah.microsoft.com/2867/how-do-i-get-mdop

Aucun commentaire:

Publier un commentaire