[MDOP] Microsoft BitLocker Administration and Monitoring 2.5 SP1 est disponible !

Microsoft a récemment publié la version 2015 de Microsoft Desktop Optimization Pack (MDOP) qui apporte le Service Pack 1 de la version 2.5 de Microsoft BitLocker Administration and Monitoring (MBAM).
Parmi les nouvelles fonctionnalités de MBAM 2.5 SP1 on peut noter :

Déploiement	Gestion	Entreprise	Personalisation
Nouveaux scripts pour la gestion de master	Cmdlets pour importer les informations BitLocker et TPM depuis l’AD	Ajout du support de Windows 10	Modification de l’écran de recouvrement de BitLocker
Demande du PIN après masterisation	Déverrouillage automatique du TPM après recouvrement BitLocker	Support des disques avec chiffrement matériel	Modification du SSP lors de l’installation
Amélioration du séquestre du mot de passe de gestion du TPM	Consolidation et simplification de la journalisation du serveur	Support des noms DNS Internationaux	Traduction du client en 23 langues
		Support du FIPS pour le mot de passe de recouvrement pour Windows 7	Mise à jour du schéma des rapports afin d’être édité par Report Builder

I/ Nouvelles cmdlets powershell

MBAM 2.5 SP1 apporte les cmdlets suivantes :

• Write-MbamTpmInformation
• Write-MbamRecoveryInformation
• Read-ADTpmInformation
• Read-ADRecoveryInformation
• Write-MbamComputerUser

De nouveaux paramètres sont désormais disponibles pour les cmdlets Enable-MbamWebApplication et Test-MbamWebApplication afin de gérer les rôles Web de MBAM :

• DataMigrationAccessGroup
• TpmAutoUnlock

Et enfin un nouveau script fait son apparition "Invoke-MbamClientDeployment.ps1" pour une meilleure gestion du déploiement de l’agent :

Parametre		Description
-RecoveryServiceEndpoint	Requis	MBAM recovery service endpoint
-StatusReportingServcieEndpoint	Optionnel	MBAM status reporting service endpoint
-EncryptionMethod	Optionnel	Méthode de chiffrement (AES 128 par défaut)
-EncryptAndEscrowDataVolume	Switch	Chiffre le volume et séquestre la clé de recouvrement
-WaitForEncryptionToComplete	Switch	Attendre la fin du chiffrement
-IgnoreEscrowOwnerAuthFailure	Switch	Ignore l’échec du séquestre du mot de passe de gestion du TPM
-IgnoreEscrowRecoveryKeyFailure	Switch	Ignore l’échec du séquestre du mot de passe de recouvrement
-IgnoreReportStatusFailure	Switch	Ignore l’échec d’envoi du statu

De plus si l’on souhaite installer l’agent MBAM, au travers d’une séquence de tache ou manuellement, le script permet de demander immédiatement le code PIN: setFirstRunKey.ps1

II/ Active Directory data migration

Un autre cas que j’ai souvent rencontré lors de la mise en place de MBAM qui peut être problématique : parfois on peut se retrouver sur un déploiement de BitLocker avec une gestion des clés dans AD.

Mais afin de migrer ces données vers MBAM simplement reste de déchiffrer le disque, effacer la puce TPM, ou développer un script afin d’extraire et d’injecter les informations dans la base de données.

Désormais MBAM 2.5 SP1 introduits 4 nouvelles cmdlets afin de rendre plus simple la migration des informations présentes dans Active Directory vers la base de données de MBAM :

Scenario	Cmdlet	Description
Clé de recouvrement	Read-ADRecoveryInformation	Lit les informations de recouvrement dans AD Aucune opération d’écriture dans AD
	Write-MbamRecoveryInformation	Ecrit les informations de recouvrement collecté via l’AD dans MBAM Vérification d’intégrité lors de l’écriture dans MBAM
	Add-ComputerUser.ps1	Lien entre utilisateurs et ordinateurs : • Attribut AD ManagedBy • Fichier CSV
Informations de la puce TPM	Read-ADTpmInformation	Lit les informations TPM dans AD Aucune opération d’écriture dans AD
	Write-MbamTpmInformation	Ecrit les informations TPM collecté via l’AD dans MBAM Vérification d’intégrité lors de l’écriture dans MBAM
	Add-ComputerUser.ps1	Lien entre utilisateurs et ordinateurs : • Attribut AD ManagedBy • Fichier CSV

Voici un exemple de fichier CSV :
Computer,user
Mycomp.snh.lab,myuser@snh.lab

Afin d’effectuer cette migration, voici les étapes à prendre en compte :

• Attribuer les droits de lecture seule sur les attributs AD nécessaire
• Créer un groupe AD avec les droits d’écritures dans MBAM
• Ouvrir le fichier Web.config du service de recouvrement
• Modifier la ligne <add key=”DataMigrationsUsersGroupName” value=””>

III/ Nouvelles fonctionnalités liées à la puce TPM

Voici un résumé des capacités liées à la puce TPM :

Avant MBAM 2.5 SP1	Avec MBAM 2.5 SP1
Déverrouiller la puce TPM nécessite le mot de passe de gestion de la TPM	Le verrouillage de la TPM 1.2 est automatiquement géré
MBAM séquestre le mot de passe gestion de la TPM	Non requis pour la TPM 2.0
Le portail Helpdesk peut fournir le mot de passe gestion de la TPM Nécessite les droits admin sur l’ordinateur cible	• Doit être activé sur le serveur Web et par GPO • le mot de passe gestion de la TPM doit être dans MBAM

Il faut de plus garder en mémoire concernant le verrouillage de la puce TPM :

• TPM 1.2 – dépend du constructeur (toutes les 30 secondes et ensuite 2 heures)
• TPM 2.0 – 2 heures

Avec Windows 8 et plus, MBAM 2.5 SP1 peut récupérer le mot de passe de gestion de la puce TPM sans initialiser cette dernière. En effet lors du démarrage l’agent MBAM vérifie si la puce TPM est déjà initialisée et si c’est le cas récupère le mot de passe de gestion afin de l’envoyer dans la base de données. Afin de ne pas supprimer ce dernier localement (base de registre) il faudra le spécifier par GPO.

Pour plus d’information il existe un excellent article sur le sujet : Configurer MBAM pour qu'il dépose le module de plateforme sécurisée (TPM) et stocke les mots de passe d'autorisation de propriétaire.

Sur un ordinateur ayant une puce TPM 1.2, il existe la difficulté suivante : déverrouiller la puce TPM. Il est possible de se passer désormais des outils constructeurs avec la fonctionnalité TPM lockout auto reset, MBAM détecte que la puce est verrouillée et récupère le mot de passe de gestion de cette dernière depuis la base de données afin de la déverrouiller automatiquement sans aucune action utilisateur.

Cette fonctionnalité doit être activée du coté serveur et client (Configurer MBAM pour déverrouiller automatiquement le module de plateforme sécurisée (TPM) après un verrouillage).

IV/ Nouvelle fonctionnalité FIPS 

Le support de clés de type Federal Information Processing Standard (FIPS) pour Windows 8.1 a été portée sur Windows 7, à cet effet il sera nécessaire de déployer un Protecteur Data Recovery Agent (DRA) protector.

V/ Personnalisation du Pre-boot

Une nouvelle GPO permet de modifier le message et l’URL de l’écran de recouvrement. Cependant cela reste possible que pour Windows 10.


Il est possible :

• D’utiliser uniquement un message personnalisé
• D’utiliser uniquement une URL personnalisée
• D’utiliser un message et une URL personnalisés

Plus d'information sur cette version à cette adresse : https://technet.microsoft.com/fr-fr/library/mt427465.aspx

Chemin de migration depuis la version 2.5 : https://technet.microsoft.com/fr-fr/library/dn645354.aspx

Liste des problèmes connus avec cette version : https://technet.microsoft.com/fr-fr/library/mt427464.aspx

Afin d'obtenir plus d'information pour obtenir cette version : http://curah.microsoft.com/2867/how-do-i-get-mdop