Configurer MDT pour BitLocker

  • Article

Cette rubrique vous montre comment configurer votre environnement pour BitLocker, le chiffrement du volume de disque intégré à Windows 10 Entreprise et Windows 10 Pro, à l’aide de MDT. BitLocker dans Windows 10 présente deux exigences en ce qui concerne le déploiement d’un système d’exploitation :

  • Un protecteur, qui peut être stocké dans la puce de Module de plateforme sécurisée (TPM), ou sous la forme d’un mot de passe. Techniquement, vous pouvez également utiliser une clé USB pour stocker le protecteur, mais cette approche n’est pas très pratique sachant que la clé USB peut être perdue ou volée. Nous recommandons donc d’utiliser plutôt une puce TPM et/ou un mot de passe.

  • Plusieurs partitions sur le disque dur.

Pour configurer votre environnement pour BitLocker, vous devez effectuer les opérations suivantes :

  1. Configurez Active Directory pour BitLocker.

  2. Téléchargez les divers outils et scripts BitLocker.

  3. Configurez la séquence de tâches de déploiement du système d’exploitation pour BitLocker.

  4. Configurez les règles (CustomSettings.ini) pour BitLocker.

Remarque  

Même s’il ne s’agit pas d’une exigence BitLocker, nous vous recommandons de configurer BitLocker pour stocker la clé de récupération et les informations du propriétaire du module de plateforme sécurisée dans Active Directory. Pour en savoir plus sur ces fonctionnalités, voir Sauvegarde des informations BitLocker et de récupération du module de plateforme sécurisée (TPM) sur les domaines de service Active Directory. Si vous avez accès à Microsoft BitLocker Administration and Monitoring (MBAM), qui fait partie de Microsoft Desktop Optimization Pack (MDOP), vous disposez des fonctionnalités de gestion supplémentaires pour BitLocker.

 

Dans le cadre de cette rubrique, nous allons utiliser DC01, un contrôleur de domaine membre du domaine contoso.com pour la société fictive Contoso Corporation. Pour en savoir plus sur la configuration liée à cette rubrique, voir Déployer Windows 10 avec Microsoft Deployment Toolkit.

Configurer Active Directory pour BitLocker

Pour permettre à BitLocker de stocker la clé de récupération et les informations de module de plateforme sécurisée (TPM) dans Active Directory, vous devez créer une stratégie de groupe dans ce dernier. Dans cette section, nous exécutons Windows Server 2012 R2, ce qui vous évite d’avoir à étendre le schéma. Cependant, vous devez définir des autorisations appropriées dans Active Directory.

Remarque  

Selon la version de schéma Active Directory, vous devrez peut-être mettre à jour le schéma avant de pouvoir stocker les informations BitLocker dans Active Directory.

 

Dans Windows Server 2012 R2 (ainsi que dans Windows Server 2008 R2 et Windows Server 2012), vous avez accès aux fonctions des utilitaires d’administration de Chiffrement de lecteur BitLocker, qui vous aideront à gérer BitLocker. Lors de l’installation des fonctionnalités, la visionneuse des mots de passe de récupération Active Directory BitLocker est incluse, et ajoute les informations de récupération BitLocker à Utilisateurs et ordinateurs Active Directory.

Figure 2

Figure 2. Informations de récupération BitLocker sur un objet ordinateur dans le domaine contoso.com.

Ajouter les utilitaires d’administration de Chiffrement de lecteur BitLocker

Les utilitaires d’administration de Chiffrement de lecteur BitLocker sont ajoutés sous forme de fonctionnalités via Gestionnaire de serveur (ou Windows PowerShell) :

  1. Sur DC01, ouvrez une session en tant que CONTOSO\Administrator, et à l’aide du Gestionnaire de serveur, cliquez sur Add roles and features.

  2. Sur la page Before you begin, cliquez sur Next.

  3. Sur la page Select installation type, sélectionnez Role-based or feature-based installation, et cliquez sur Next.

  4. Sur la page Select destination server, sélectionnez DC01.contoso.com et cliquez sur Next.

  5. Sur la page Select server roles, cliquez sur Next.

  6. Sur la page Select features, développez Remote Server Administration Tools, Feature Administration Tools, sélectionnez les fonctionnalités suivantes, puis cliquez sur Next :

    1. BitLocker Drive Encryption Administration Utilities

    2. BitLocker Drive Encryption Tools

    3. BitLocker Recovery Password Viewer

  7. Sur la page Confirm installation selections, cliquez sur Install, puis sur Close.

Figure 3

Figure 3. Sélection des utilitaires d’administration de Chiffrement de lecteur BitLocker

Créer la stratégie de groupe BitLocker

En procédant comme suit, vous activez la sauvegarde des informations de récupération du module de plateforme sécurisée (TPM) et BitLocker dans Active Directory. Vous activez également la stratégie pour le profil de validation du module de plateforme sécurisée (TPM).

  1. Sur DC01, à l’aide de Gestion des stratégies de groupe, cliquez avec le bouton droit sur l’unité d’organisation (OU) Contoso, puis sélectionnez Create a GPO in this domain, and Link it here.

  2. Attribuez le nom BitLocker Policy à la nouvelle Stratégie de groupe.

  3. Développez l’unité d’organisation Contoso, cliquez avec le bouton droit sur BitLocker Policy, et sélectionnez Edit. Configurer les paramètres de stratégie suivants :

    Computer Configuration/Policies/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drives

    1. Activez la stratégie Choose how BitLocker-protected operating system drives can be recovered et configurez les paramètres suivants :

      1. Allow data recovery agent (par défaut)

      2. Save BitLocker recovery information to Active Directory Domain Services (par défaut)

      3. Do not enable BitLocker until recovery information is stored in AD DS for operating system drives

    2. Activer la stratégie Configure TPM platform validation profile for BIOS-based firmware configurations.

    3. Activez la stratégie Configure TPM platform validation profile for native UEFI firmware configurations.

      Computer Configuration/Policies/Administrative Templates/System/Trusted Platform Module Services

    4. Activez la stratégie Turn on TPM backup to Active Directory Domain Services.

Remarque  

Si vous obtenez en permanence l’erreur « Windows BitLocker Drive Encryption Information. The system boot information has changed since BitLocker was enabled. You must supply a BitLocker recovery password to start this system. » après le chiffrement d’un ordinateur à l’aide de BitLocker, vous devrez peut-être modifier également les diverses stratégies de groupe « Configure TPM platform validation profile ». En fonction du matériel utilisé, vous devrez procéder ou non à cette modification.

 

Définir les autorisations dans Active Directory pour BitLocker

Outre la stratégie de groupe créée précédemment, vous devez configurer des autorisations dans Active Directory pour permettre le stockage des informations de récupération du module de plateforme sécurisée (TPM). Dans ces étapes, nous partons du principe que vous avez téléchargé le script Add-TPMSelfWriteACE.vbs de Microsoft sur C:\Setup\Scripts sur DC01.

  1. Sur DC01, démarrez une invite de commandes PowerShell avec élévation de privilèges (exécution en tant qu’administrateur).

  2. Configurez les autorisations en exécutant la commande suivante :

    cscript C:\Setup\Scripts\Add-TPMSelfWriteACE.vbs

Figure 4

Figure 4. Exécution due script Add-TPMSelfWriteACE.vbs sur DC01.

Ajouter les outils de configuration du BIOS de Dell, HP et Lenovo

Si vous voulez automatiser l’activation de la puce TPM dans le cadre du processus de déploiement, vous devez télécharger les outils de fournisseur et les ajouter à vos séquences de tâches, soit directement, soit dans un wrapper de script.

Ajouter des outils Dell

Les outils Dell sont disponibles via le Dell Client Configuration Toolkit (CCTK). Le fichier exécutable de Dell est nommé cctk.exe. Voici un exemple de commande permettant d’activer le module de plateforme sécurisée et de définir un mot de passe BIOS à l’aide de l’outil cctk.exe :

cctk.exe --tpm=on --valsetuppwd=Password1234

Ajouter des outils HP

Les outils HP font partie du HP System Software Manager. Le fichier exécutable HP est nommé BiosConfigUtility.exe. Cet utilitaire utilise un fichier de configuration pour les paramètres du BIOS. Voici un exemple de commande permettant d’activer le module de plateforme sécurisée et de définir un mot de passe BIOS à l’aide de l’outil BiosConfigUtility.exe :

BIOSConfigUtility.EXE /SetConfig:TPMEnable.REPSET /NewAdminPassword:Password1234

Et l’exemple de contenu du fichier TPMEnable.REPSET :

English
Activate Embedded Security On Next Boot
*Enable
Embedded Security Activation Policy
*No prompts
F1 to Boot
Allow user to reject
Embedded Security Device Availability
*Available

Ajouter des outils Lenovo

Les outils Lenovo sont un ensemble de scripts VBScript disponibles dans le cadre de la configuration du BIOS Lenovo à l’aide du guide de déploiement Windows Management Instrumentation. Lenovo permet également de télécharger séparément des scripts. Voici un exemple de commande permettant d’activer le module de plateforme sécurisée (TPM) à l’aide des outils Lenovo :

cscript.exe SetConfig.vbs SecurityChip Active

Configurer la séquence de tâches Windows 10 pour activer BitLocker

Lors de la configuration d’une séquence de tâches permettant d’exécuter n’importe quel outil BitLocker, directement ou à l’aide d’un script personnalisé, il est utile, si vous ajoutez aussi une logique, de détecter si le BIOS est déjà configuré sur l’ordinateur. Dans cette séquence de tâches, nous utilisons un exemple de script (ZTICheckforTPM.wsf) issu de la page web de l’équipe de déploiement pour vérifier l’état sur la puce TPM. Vous pouvez télécharger ce script à partir du billet de blog de l’équipe de déploiement intitulé Check to see if the TPM is enabled (Vérifier si le module de plateforme sécurisée est activé). Dans la séquence de tâches suivante, nous avons ajouté cinq actions :

  • Check TPM Status. Exécute le script ZTICheckforTPM.wsf pour déterminer si le module de plateforme sécurisée (TPM) est activé. Selon l’état, le script définit les propriétés TPMEnabled et TPMActivated sur true ou false.

  • Configure BIOS for TPM. Exécute les outils de fournisseur (dans ce cas, HP, Dell et Lenovo). Pour vous assurer que cette action est exécutée uniquement si nécessaire, ajoutez une condition afin que l’action ne soit exécutée que si la puce du module de plateforme sécurisée (TPM) n’est pas déjà activée. Utilisez les propriétés du script ZTICheckforTPM.wsf.

    Remarque  

    Il est courant pour les entreprises d’intégrer ces outils à des scripts pour obtenir une journalisation et une gestion des erreurs supplémentaires.

     

  • Restart computer. Redémarre l’ordinateur comme son nom l’indique.

  • Check TPM Status. Exécute le script ZTICheckforTPM.wsf une fois supplémentaire.

  • Enable BitLocker. Exécute l’action intégrée pour activer BitLocker.

Rubriques associées

Configurer des règles de partage de déploiement MDT

Configurer MDT pour les scripts UserExit

Simuler un déploiement de Windows 10 dans un environnement de test

Utiliser la base de données MDT pour effectuer une copie intermédiaire des informations de déploiement Windows 10

Attribuer des applications à l’aide de rôles dans MDT

Utiliser les services web dans MDT

Utiliser les runbooks Orchestrator avec MDT