Sommaire
ToggleCe dossier a pour but de présenter 2 solutions pour optimiser le niveau de sécurité de votre entreprise :
- Le chiffrement EFS pour protéger vos fichiers.
- Le chiffrement de disque BitLocker pour protéger vos ordinateurs.
- Une version V2 de ce dossier permettra de présenter la mise en œuvre du chiffrement email / signature email avec le protocole S/MIME et la mise en œuvre du protocole IEEE 802.1X pour contrôler les accès aux réseaux WIFI et filaires de votre entreprise.
Pour mettre en œuvre ces 4 solutions, nous allons nous appuyer sur l’autorité de certification de Microsoft appelée Active Directory Domain Services. - L’environnement de maquette présenté dans cet article est installé sous Windows 2008 R2 Entreprise en version anglaise.
Présentation des différentes solutions
Présentation d’EFS
Les permissions NTFS ne permettent pas réellement de protéger les fichiers de l’entreprise.
- Un administrateur local dispose du droit de s’approprier les fichiers. Ce droit permet d’outrepasser les permissions NTFS et donc d’accéder aux données. La mise en œuvre d’EFS permet de garantir que seules les personnes habilitées peuvent accéder aux données de l’entreprise.
- En cas de vol de votre ordinateur, le pirate pourra installer un système d’exploitation Windows (ou démarrer sur un système BartPE / WinPE…) et connecter votre ancien disque dur en tant que disque non système. Il pourra alors devenir propriétaire de vos fichiers, réinitialiser les permissions NTFS et ainsi accéder à vos fichiers confidentiels.
EFS permet de chiffrer le contenu de vos fichiers à l’aide d’une clé symétrique, elle-même protégée à l’aide des clés privées / publiques associées à un certificat de type Utilisateur (modèle Msreport-Utilisateur dans ce dossier). - Même si vous disposez des permissions sur le fichier, si vous ne disposez pas du certificat, il vous sera impossible de lire le contenu du fichier. Pour plus d’informations sur EFS, voir :
http://windows.microsoft.com/fr-fr/windows/what-is-encrypting-file-system#1TC=windows-7
http://technet.microsoft.com/fr-fr/library/cc721923(v=ws.10).aspx
Présentation de BitLocker et de MBAM
BitLocker permet de chiffrer le disque système, un disque fixe (non système) ou un disque amovible (clé USB…).
Il permet de demander la saisie d’un mot de passe pour pouvoir accéder aux disques fixe et amovible.
BitLocker nécessite un système d’exploitation au minimum sous Windows 7 Entreprise / Intégrale ou Windows 8 Professionnel.
Le disque système devra formatée en NTFS. BitLocker crée automatiquement 2 partitions : une partition de 100 Mo qui est marquée comme active et qui contient les fichiers de démarrage et la partition système qui contient les données du système (C:windows). Seule la partition système est chiffrée.
La solution BitLocker peut utiliser différents périphériques pour stocker la clé de chiffrement / déchiffrement :
- Une Clé USB (clé de démarrage uniquement) : cette méthode chiffre uniquement le lecteur. Elle ne fournit aucune validation des composants de la séquence de démarrage et aucune garantie contre la falsification du matériel. Pour utiliser cette méthode, votre ordinateur doit prendre en charge la lecture des périphériques USB dans l’environnement de prédémarrage.
- Une carte à puce : BitLocker s’appuie alors sur le certificat contenu dans la carte à puce pour chiffrer / déchiffrer le disque dur.
- Un module TPM (Trusted Plateform Module). C’est la méthode recommandée par Microsoft. Elle permet de protéger le disque dur et de valider que les composants de la séquence de démarrage n’ont pas été altérés.
Dans la configuration présentée dans ce dossier, l’activation de BitLocker nécessitera une station de travail équipée d’un TPM (Trusted Platform Module).
Pour utiliser BitLocker avec un TPM, il est nécessaire d’activer le TPM dans le BIOS de l’ordinateur.
Lors de l’activation de BitLocker, le TPM est initialisé, c’est-à-dire que la clé de chiffrement / déchiffrement BitLocker est copié sur le TPM.
La console TPM.MSC permet de gérer le TPM (activation, désactivation, initialisation). Ces tâches de gestion nécessitent de connaître le « Trusted Platform Module (TPM) owner password ».
Lors de l’activation de BitLocker, une « BitLocker Recovery Key » est générée. Elle permet d’accéder aux données sur le volume disque chiffré avec BitLocker en cas de perte de la clé principale de chiffrement (défaillance du TPM ou de la machine…). Il est possible de sauvegarder cette clé sous forme de fichier, de l’imprimer ou de la sauvegarder dans l’annuaire Active Directory.
Pour pouvoir visualiser la « BitLocker Recovery Key » depuis la console Utilisateurs et Ordinateurs Active Directory, il est nécessaire d’installer la fonctionnalité « BitLocker Recovery Password Viewer » sur tous les contrôleurs de domaine et vos stations d’administration.
BitLocker s’enrichit de nouvelles fonctionnalités avec Windows 8 :
- BitLocker peut être déployé pendant l’installation de Windows 8. Avec Windows 7, le système devait être installé puis BitLocker pouvait alors être activé.
- BitLocker permet de chiffrer que l’espace disque utilisé (nouveauté) ou sur tout le volume disque (comme auparavant). Ce paramètre peut être contrôlé à l’aide d’une stratégie de groupe.
- Sous Windows 7, BitLocker nécessite des droits « Administrateur local » pour pouvoir être activé. Avec Windows 8, il faut toujours des droits administrateur pour activer BitLocker. Cependant, il est maintenant possible de déléguer aux utilisateurs standards la possibilité de changer le mot de passe BitLocker pour les disques fixes et systèmes.
- Windows 8 prend en charge les disques qui disposent d’un mécanisme (composant matériel) pour accélérer le chiffrement du disque.
Pour plus d’informations sur BitLocker, voir :
http://technet.microsoft.com/fr-fr/library/dd875530(v=ws.10).aspx
http://technet.microsoft.com/fr-fr/library/dd875534(v=ws.10).aspx
http://technet.microsoft.com/fr-fr/library/hh831412.aspx.
Présentation de la solution MBAM (Microsoft BitLocker Administration and Monitoring)
La solution MBAM permet de configurer BitLocker automatiquement sur les postes de travail et de disposer de nombreux rapports. MBAM remplace le composant BitLocker du panneau de configuration sur les stations de travail Windows 7 / Windows 8. Cette solution est très intéressante mais nécessite de disposer de la Software Assurance pour les licences Windows et d’installer 3 serveurs dédiés (dont un serveur SQL Server).
La version 1.0 de MBAM ne prend en charge que Windows 7. La version 2.1 de MBAM qui prendra en charge Windows 8.1. Nous ne présenterons pas dans ce dossier le déploiement de BitLocker avec MBAM car peu de clients disposent de la Software Assurance.
Pour plus d’informations sur MBAM :
http://technet.microsoft.com/fr-fr/windows/hh826072.aspx
http://www.microsoft.com/fr-fr/windows/enterprise/products-and-technologies/mdop/mbam.aspx
http://technet.microsoft.com/fr-fr/library/dn505770.aspx
Présentation du Credential Roaming
Le Credential Roaming (itinérance des informations d’identifications) permet de stocker au niveau de l’annuaire Active Directory le contenu des magasins de certificats Windows (une partie du coffre-fort de Windows). Depuis Windows 7, le Credential Roaming ne permet plus de stocker les mots de passe réseau, seulement les magasins de certificat. Cette fonctionnalité s’appuie sur les attributs suivants d’un compte utilisateur Active Directory :
- msPKIDPAPIMasterKeys : cet attribut contient la clé principale (change tous les 90 jours, elle permet de chiffrer les clés privés sur le poste de travail).
- msPKIAccountCredentials : contient les login / mots de passes réseaux, les clés privées, les certificats et les demandes de certificats. Cet attribut peut être très volumineux.
- msPKIRoamingTimeStamp : cet attribut contient la date de dernier changement pour la valeur des msPKIAccountCredentials et msPKIDPAPIMasterKeys.
Seuls les administrateurs du domaine et le propriétaire du compte utilisateur ont des accès en écriture sur ces 3 attributs. Un certificat nouvellement généré est téléchargé dans l’annuaire en moins de 10 minutes (hors délais de réplication des contrôleurs de domaine).
Le correctif KB 973502 doit être déployé sur les machines Windows 2003 SP2 et Windows XP SP3 tandis que le correctif 2520487 doit être déployé sur les machines Windows Vista / 7 / 2008 / 2008 R2.
La fonctionnalité du Credential Roaming et les profils itinérants sont incompatibles. Il faut donc exclure les répertoires suivants de la liste des répertoires synchronisés avec les profils itinérants :
- Pour Windows XP : Application DataMicrosoftCrypto, Application DataMicrosoftProtect, Application DataMicrosoftSystemCertificates
- Pour Windows Vista / 2008 et versions ultérieures
–AppDataRoamingMicrosoftCredentials, AppDataRoamingMicrosoftCrypto, AppDataRoamingMicrosoftProtect, AppDataRoamingMicrosoftSystemCertificates
L’activation du Credential Roaming augmente la taille de la base de données de l’annuaire Active Directory
Si un utilisateur ouvre une session sur de nombreuses machines, le Credential Roaming va faire converger les certificats (tous différents) déployés sur l’ensemble des machines. Le risque est de se retrouver avec plusieurs dizaines de certificats.
Le Credential Roaming est incompatible avec les RODC (contrôleur de domaine en lecture seule).
Pour des raisons de sécurité, il est préconisé de ne pas activer le Credential Roaming pour un compte utilisateur avec un certificat Agent de récupération de fichiers (EFS) ou Agent de récupération de clés privées (Key Recovery Agent) ou Msreport-BitLockerDRA (modèle de certificat créé dans ce dossier). Il faut en effet maitriser les machines où se trouvent ces types de certificats qui disposent de droits très importants.
Si le même certificat a été déployé manuellement sur plusieurs machines mais avec des paramètres différents (paramètre d’exportation de la clé privée), le Credential Roaming applique des règles de gestion des conflits.
Pour plus d’informations sur le Credential Roaming :
http://support.microsoft.com/kb/2607862
http://social.technet.microsoft.com/wiki/contents/articles/11483.credential-roaming.aspx
Définition de l’architecture cible
Prérequis à la mise en œuvre de la solution
Vous devez disposer d’un domaine Active Directory géré par des contrôleurs de domaine Windows 2003 R2 ou version ultérieure.
Dans cet exemple le domaine sera appelé MSREPORT.LOCAL et géré par 2 contrôleurs de domaine Windows 2008 R2.
Vous devez disposer d’une messagerie compatible avec le protocole S/MIME comme Exchange On-Premise / Online.
Pour activer EFS, S/MIME, BitLocker et IEEE 802.1X, nous avons besoin de certificats. Pour cela, une autorité de certification d’entreprise Microsoft sera déployée sur le serveur MSREPORTDC1.
Une architecture d’autorité de certification 1 tiers a été retenue car :
- Cette configuration est simple à mettre en place et à maintenir. Une architecture 2 TIERS / 3 TIERS est intéressante si vous devez générer un grand nombre de certificats.
- Le nombre de certificats à délivrer sera relativement faible (1 pour chaque compte utilisateur Active Directory et 1 pour chaque machine membre du domaine Active Directory).
- La configuration 1 tiers ne nécessite qu’un seul serveur.
L’autorité de certification sera déployée sur un serveur Windows 2008 R2 (ou une version ultérieure) membre du domaine Active Directory MSREPORT.LOCAL.et disposera de la configuration suivante : - L’autorité de certification ne doit pas être installée sur un contrôleur de domaine car cette configuration n’est pas recommandée. La commande DCPROMO (inverse) échoue si le contrôleur de domaine est serveur d’autorité de certification. Dans cet exemple, l’autorité de certification sera installée sur le serveur MSREPORTDC1.
- Le site interface web d’administration (CERTSRV) sera installé sur le serveur.
- L’archivage des clés privées sera activé pour les certificats utilisés pour S/MIME et EFS. Cette fonctionnalité permet de régénérer le certificat à l’aide de la base de données de certificats et d’un certificat spécial basé sur le modèle « Key Recovery Agent ».
- Les informations AIA (clé publique de l’autorité de certification) et la CDP (emplacement de la liste de révocation des certificats alias CRL) seront ajoutées au niveau des certificats émis (chemin LDAP et HTTP).
- L’audit sera activé sur l’autorité de certification (toutes les tâches). Toutes les actions effectuées sur l’autorité de certification (génération d’un certificat, modification de la configuration) seront consignés dans le journal de sécurité du serveur d’autorité de certification.
Les modèles de certificats suivants seront configurés sur l’autorité de certification :
- Utilisateur-Msreport : validité : 3 ans, clés de 2048 bits, exportation de la clé privée autorisée, archivage de la clé publique.
- Ordinateur-Msreport : validité : 3 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
- BitLockerDRA-Msreport : validité : 5 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
- Agent de récupération de clés (Key Recovery Agent) : validité : 5 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
- Agent de récupération EFS (EFS Recovery Agent) : validité : 5 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
- Authentification Contrôleur du domaine : validité : 3 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
- Chaque ordinateur du domaine MSREPORT.LOCAL disposera d’un certificat basé sur le modèle « Ordinateur-Msreport ». Pour cela ce modèle de certificat sera configuré pour être déployé automatiquement pour tous les comptes ordinateurs membres du groupe « DEPLOY-CERTIFICAT-COMPUTERS ».
- Chaque utilisateur du domaine MSREPORT.LOCAL disposera d’un certificat basé sur le modèle « Utilisateur-Msreport ». Pour cela ce modèle de certificat sera configuré pour être déployé automatiquement pour tous les utilisateurs membres du groupe « DEPLOY-CERTIFICAT-USERS ».
- Le Credential Roaming sera activé pour garantir qu’un utilisateur disposera toujours du même certificat basé sur le modèle Utilisateur-Msreport si ce dernier travaille sur plusieurs machines.
Configuration d’EFS
Les utilisateurs chiffreront leurs données confidentielles à l’aide du certificat basé sur le modèle « Utilisateur-Msreport ». Un agent de récupération EFS sera configuré (utilisation du modèle de certificat Agent de récupération EFS généré pour le compte AdminPKI). Il permettra à l’équipe informatique de récupérer les données chiffrées par un utilisateur perd sa clé privé de son certificat Utilisateur-Msreport ou son certificat (corruption de son profil, perte de sa machine).
Configuration de BitLocker
BitLocker sera configuré dans cet exemple pour des stations de travail Windows 7 Entreprise ou Windows 8 Professionnel équipé d’un TPM.
Une GPO sera configurée pour sauvegarder dans l’annuaire Active Directory le mot de passe du propriétaire du TPM (Trusted Platform Module (TPM) owner password) et la clé de récupération BitLocker (BitLocker Recovery Key).
Un agent de récupération des données chiffrées avec BitLocker (Data Recovery Agents with BitLocker) sera utilisé pour permettre à une personne disposant d’un certificat basé sur le modèle BitLockerDRA-Msreport de déchiffrer les données.
Déploiement de l’autorité de certification
Installation de l’autorité de certification
- La première étape est d’installer le rôle « Active Directory Certificates Services ».
- Il faut sélectionner les composants « Certification Authority » et « Certificate Authority Web Enrollment ».
- Choisir ensuite une autorité de certification d’Entreprise de type racine.
- Configurer l’autorité de certification avec une durée de vie de 10 ans et une paire de clés de 2048 bits.
- Laisser les autres options par défaut.
Installation de la fonctionnalité « Chiffrement de lecteur BitLocker »
Il est nécessaire d’installer la fonctionnalité BitLocker Drive Encryption sur le serveur d’autorité de certification pour que les extensions BitLocker Drive Encryption et BitLocker Data Recovery Agent soient disponibles lors de la création du modèle de certificat BitLockerDRA-Msreport. Pour plus d’informations :
http://social.technet.microsoft.com/Forums/windowsserver/en-US/fcb6cf1e-0196-4338-ac83-e737a34a98cb/bitlocker-data-recovery-agent-certificate
Configuration de la CA pour émettre des certificats avec une durée de vie de 10 ans
Par défaut, une autorité de certification Microsoft impose une limite de 2 ans pour un certificat (même si le modèle de certificats permet d’aller au-delà). Pour pouvoir générer des certificats avec une durée de vie égale à la durée de vie de l’autorité de certification, taper la commande suivante :
Certutil –setreg caVALIDITYPeriodUnits 10
Configuration de l’AIA et de la CRL
Le but est de configurer l’AIA et de la CRL pour être publiés sur le site IIS du serveur d’autorité de certification (URL interne dans un premier temps). Lancer la console « Certification Authority ».
- Aller dans les propriétés de l’autorité de certification dans l’onglet « Extensions ».
Sélectionner « CRL Distribution Point (CDP) ». - Sélectionner la ligne avec http et cocher la case « Include in the CDP extension of issued certificates ».
- Sélectionner « Authority Information Access (AIA) » et sur la ligne « http », cocher la case « Include in the AIA extension of issued certificates ».
Configuration des modèles de certificats
Création des groupes locaux « DEPLOY-CERTIFICAT-COMPUTERS » et « DEPLOY-CERTIFICAT-USERS »
Créer les groupes de domaines locaux « DEPLOY-CERTIFICAT-COMPUTERS » et « DEPLOY-CERTIFICAT-USERS » dans l’annuaire MSREPORT.LOCAL pour permettre respectivement de déployer automatiquement les certificats basés sur les modèles « Ordinateur-Msreport » et « Utilisateur-Msreport ».
Création du modèle Utilisateur-Msreport
- Lancer la console « Certification Authority ». Faire un clic droit sur « Certificate Templates » puis sélectionner « Manage » au niveau de modèle de certificats.
- Dans la console « Certificate Templates », sélectionner le modèle « User » et cliquer sur « Duplicate Template ».
- Sélectionner « Windows Server 2003 Enterprise ». Configurer le modèle de la manière suivante :
- Nom de modèle « Utilisateur-Msreport ».
- Durée de validité de 3 ans
- Durée de renouvellement de 6 semaines.
- Publier le certificat dans l’annuaire Active Directory. Cocher la case « Do not automatically reenroll if a duplicate certificate exists in Active Directory ».
- Cocher la case « Allow private Key to be exported ».
- Configurer une taille de clés de 2048 bits.
- Construire les informations à l’aide d’Active Directory et cocher les cases « User Principal Name(UPN) » et « Email name ».
- Décocher la case « Ca certificate manager approval ».
- Aller dans l’onglet « Security » et donner les droits « Read », « Enroll » et « Autoenroll » au groupe « DEPLOY-CERTIFICAT-USERS ».
Création du modèle Ordinateur-Msreport
- Lancer la console « Certification Authority ». Faire un clic droit sur « Certificate Templates » puis sélectionner « Manage » au niveau de modèle de certificats.
- Dans la console « Certificate Templates », sélectionner le modèle « Computer » et cliquer sur « Duplicate Template ».
- Sélectionner « Windows Server 2003 Enterprise ». Configurer le modèle de la manière suivante :
- Nom de modèle « Ordinateur-Msreport ».
- Durée de validité de 3 ans
- Durée de renouvellement de 6 semaines.
- Ne pas publier le certificat dans l’annuaire Active Directory.
- Cocher la case « Allow private Key to be exported ».
- Configurer une taille de clés de 2048 bits.
- Construire les informations à l’aide d’Active Directory et cocher la cases « DNS name ».
- Décocher la case « Ca certificate manager approval ».
- Aller dans l’onglet « Security » et donner les droits « Read », « Enroll » et « Autoenroll » au groupe « DEPLOY-CERTIFICAT-COMPUTERS »
Création du modèle BitLockerDRA-Msreport
- Lancer la console « Certification Authority ». Faire un clic droit sur « Certificate Templates » puis sélectionner « Manage » au niveau de modèle de certificats.
- Dans la console « Certificate Templates », sélectionner le modèle « Key Recovery Agent» et cliquer sur « Duplicate Template ».
- Sélectionner « Windows Server 2003 Enterprise ». Configurer le modèle de la manière suivante :
- Nom de modèle « « BitLockerDRA-Msreport».
- Durée de validité de 5 ans
- Durée de renouvellement de 6 semaines.
- Ne pas publier le certificat dans l’annuaire Active Directory.
- Cocher la case « Allow private Key to be exported ».
- Configurer une taille de clés de 2048 bits.
- Construire les informations à l’aide d’Active Directory et cocher les cases « User Principal Name(UPN) ».
- Décocher la case « Ca certificate manager approval ».
- Aller dans l’onglet « Security » et donner les droits « Read », « Enroll » à AdminPKI. Laisser le droit « Read » à Authenticated users.
- Aller dans l’onglet « Extensions », sélectionner « Application Policies » puis cliquer sur « Modify ». Ajouter les extensions « BitLocker Drive Encryption» et « BitLocker Data Recovery Agent ».
Reconfiguration des modèles Key Recovery Agent et EFS Recovery Agent
Reconfigurer le modèle de certificats avec les paramètres suivants :
- Durée de validité de 5 ans
- Cocher la case « Allow private Key to be exported ».
- Aller dans l’onglet « Security » et donner uniquement au compte AdminPKI le droit « Inscrire ».
- Décocher la case « Ca certificate manager approval ».
Configurer l’autorité de certification pour émettre des certificats « Utilisateur-Msreport », « Ordinateur-Msreport », « BitLockerDRA-Msreport », « Agent de récupération de clé », « Agent de récupération EFS », Serveur web et « Authentification des contrôleurs de domaine »
Lancer la console « Autorité de certification ». Faire un clic droit sur « Certificate Templates » puis cliquer sur « New | Certificate Template to Issue ».
Supprimer les anciens modèles de certificats.
Activation de l’archivage des clés privées
Créer un compte appelé AdminPKI avec un mot de passe complexe. Ce compte doit être administrateur local sur le serveur d’autorité de certification. Il faut ensuite générer un certificat basé sur le modèle « Key Recovery Agent » pour le compte AdminPKI.
Pour cela, créer une console MMC vierge (mmc.exe) et ajouter le composant logiciel enfichable Certificats.
Ouvrir le composant certificat utilisateur et faire une demande d’un certificat basé sur le modèle de certificat « Key Recovery Agent ». Sauvegarder ensuite ce certificat au format PFX en le protégeant avec le mot de passe du compte AdminPKI.
Activation des paramètres d’audit de l’autorité de certification et configuration du journal de sécurité avec une taille de 512 Mo
Toutes les actions effectuées au niveau de l’autorité de certification seront inscrites dans le journal « Security » du serveur. Lancer la console « Certification Authority » puis aller dans les propriétés de l’autorité de certification au niveau de l’onglet « Audit ». Cocher toutes les cases comme « Back up and restore the CA database».
Il faut maintenant configurer le journal « Security » avec une taille de 512 Mo pour disposer d’un historique des actions effectuées sur l’autorité de certification.
Créer un objet GPO et l’appliquer au serveur d’autorité de certification. Configurer les 2 paramètres suivants (dans Paramètres de sécurités) :
- Taille maximale du journal de sécurité : 512000 Ko
- Méthode de stockage du journal de sécurité : Overwrite events as needed
Autoriser l’autorité de certification à émettre des certificats SAN
Le but est de configurer l’autorité de certification pour autoriser les certificats SAN (Subject Alternative Names).
Taper la commande suivante :
CertUtil -SetReg PolicyEditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc & net start certsvc
Activation du Credential Roaming dans l’annuaire MSREPORT.LOCAL
- Lancer la console GPMC.MSC.
- Editer la Default Domain Policy.
- Aller dans User Configuration | Windows Settings | Security Settings | Public Key Policies.
- Dans la fenêtre de droite, double cliquer sur « Certificate Serbices Client – Credential Roaming »
- Activer ce paramètre et laisser les autres paramètres par défaut.
Comme expliqué lors de l’activation du Credential Roaming, cette fonctionnalité est incompatible avec les profils itinérants. Pour cette raison, l’activation du Credential Roaming active aussi une exclusion au niveau des répertoires pris en compte avec les profils itinérants.
Pour plus d’informations sur le Credential Roaming :
http://technet.microsoft.com/en-us/library/cc700848.aspx
http://technet.microsoft.com/en-us/library/cc771348.aspx
http://social.technet.microsoft.com/wiki/contents/articles/11483.credential-roaming.aspx
http://blogs.technet.com/b/instan/archive/2009/05/26/considerations-for-implementing-credential-roaming.aspx
http://blogs.technet.com/b/askds/archive/2009/12/18/troubleshooting-credential-roaming.aspx
http://blogs.technet.com/b/instan/archive/2009/05/26/considerations-for-implementing-credential-roaming.aspx
http://blogs.technet.com/b/askds/archive/2009/01/06/certs-on-wheels-understanding-credential-roaming.aspx
Configuration de l’autoenrollment (déploiement automatique de certificat) pour les modèles de certificats « Utilisateur-Msreport» et « Ordinateur-Msreport »
Un des objectifs est de délivrer automatiquement un certificat basé sur le modèle « Utilisateur-Msreport » pour chaque utilisateur. Pour atteindre cet objectif, il faut :
- Configurer le modèle de certificat Msreport-User pour autoriser l’inscription automatique de certificat pour les utilisateurs membres du groupe « DEPLOY-CERTIFICAT-USERS ».
- Editer la Default Domain Policy. Aller dans User Configuration | Windows Settings | Security Settings | Public Key Policies. Dans la fenêtre de droite, double cliquer sur « Enroll user and computer certificate automatically ». Activer ce paramètre et cocher la case « Update certificates that use certificate templates » pour permettre le bon fonctionnement de l’autoenrollment.
Pour déployer automatiquement les certificats « Ordinateur-Msreport », il faut - Configurer le modèle de certificat Ordinateur-Msreport pour autoriser l’inscription automatique de certificat pour les comptes ordinateurs membres du groupe « DEPLOY-CERTIFICAT-COMPUTERS ».
- Editer la Default Domain Policy. Aller dans Configuration Computer Configuration | Windows Settings | Security Settings | Public Key Policies. Dans la fenêtre de droite, double cliquer sur Enroll user and computer certificate automatically ». Activer ce paramètre et cocher la case « Update certificates that use certificate templates » pour permettre le bon fonctionnement de l’autoenrollment.
Il est possible d’activer un log détaillé de l’autoenrollement en configurant les entrées de registre suivantes :
- Pour l’autoenrollment des certificats ordinateurs : HKEY_CURRENT_USERSoftwareMicrosoftCryptographyAutoEnrollment
- Pour l’autoenrollment des certificats utilisateurs : HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyAutoEnrollment
Sauvegarder l’autorité de certification
Créer le fichier C:_admscriptsBackupCertificates.cmd avec le contenu suivant :
Echo Backup Certification Authority, Certificates, Templates and CSP
c:
cd C:_admscripts
Echo O| del C:backup-cadatabase
rd C:backup-cadatabase
Echo O | del c:backup-ca
Echo Backing up the Certification Authority and Certificates
certutil -backup -p P@sswordfpvmch c:backup-ca
Echo Backing up the registry keys
reg export HKLMSystemCurrentControlSetServicesCertSvcConfiguration c:backup-caregkey.reg
Certutil –getreg CACSP > C:Backup-caCSP.txt
Echo Documenting all certificate templates published at the CA
Certutil –catemplates > C:Backup-caCATemplates.txt
Créer la tâche planifiée qui va lancer le script ci-dessus tous les jours. Il sera nécessaire de sauvegarder le répertoire c:Backup-ca avec votre outil de sauvegarde.
Mise en œuvre des rapports sur l’activité de l’autorité de certification
Je vous invite à utiliser le plugin PSPKI si vous disposez d’une autorité de certification sous Windows 2008 R2. Avec Windows 2012, Microsoft fournit des commandes PowerShell permettant de générer le même type de rapport.
Pour installer le module PowerShell PSPKI, il faut autoriser l’exécution des scripts PowerShell non signés : Set-ExecutionPolicy Unrestricted
- Installer .Net Framework 4.0.
- Installer PowerShell V3.0, téléchargeable à cette adresse :
http://www.microsoft.com/en-us/download/details.aspx?id=34595 - Installer le module PSPKI disponible à cet emplacement (installation complète).
http://poweradmin.se/blog/2011/08/09/adcs-certificate-expiration-report-tool/
http://pspki.codeplex.com/
Le script ci-dessous permet de lister tous les certificats révoqués (Import-Module PSPKI) :
Get-CertificationAuthority -Name Msreport | Get-RevokedRequest | Select-Object Request.RequestID,CommonName, SerialNumber, Request.RevokedReason | Export-Csv –Path c:_admscriptsrevoque.csv -Encoding UTF8 –UseCulture
Le script ci-dessous va afficher les certificats qui vont expirés dans un mois (on s’appuie toujours sur le module PowerShell PSPKI).
- Créer le fichier c:_admscriptcertificats-expirés.ps1 et copier le contenu du script ci-dessous :
param(
[string] $computername = “$ENV:COMPUTERNAME”,
[string] $reportfile = “$ENV:USERPROFILEDesktopPKIRAPPORT.html”
)
# Variables
$caname = $computername.ToLower()
$domaindns = $ENV:USERDNSDOMAIN.ToLower()
$todaysdate = Get-Date
$findaldate = $todaysdate.AddMonths(1)
$reportfile = “c:_admscriptscertificats-expires.html”
# Vérifie que PSPKI est installé.
if(Get-Module -ListAvailable -Name PSPKI | Where-Object { $_.name -eq “PSPKI” })
{
# Vérifie que PSPKI est chargé
if (!(Get-Module -Name PSPKI | Where-Object { $_.name -eq “PSPKI” }))
{
Write-Host “Importation du module PSPKI” -ForegroundColor “Yellow”
Import-Module -Name PSPKI
}
# Génère le rapport
$htmlpre = “
Generated by user: $ENV:USERNAME
Les certificats vont suivant expirés avant $findaldate (date au format englais)
”
$htmlpost = “
Certificate expiration information retrived from $caname.$domaindns
”
$htmltitle = “Autorité de certification : $caname.$domaindns”
$htmlinput = Get-CertificationAuthority “$caname.$domaindns” | Get-IssuedRequest -Filter “NotAfter -ge $(Get-Date)”, “NotAfter -le $findaldate”
$htmlinput | ConvertTo-Html -Body (Get-Date) “Report date:” -Property RequestID,RequesterName,CommonName,NotBefore,NotAfter,SerialNumber -Pre $htmlpre -Post $htmlpost -Title $htmltitle | Out-File -FilePath $reportfile
# Chargement du rapport
Invoke-Item $reportfile
}
else
{
Write-Host “PSPKI is not installed. Please install it from http://pspki.codeplex.com/ ” -ForegroundColor “Yellow”
}
Configuration d’EFS
Générer le certificat certificats « Agent de récupération EFS » pour AdminPKI
Il faut ensuite générer un certificat « EFS Recovery Agent » pour le compte AdminPKI.
Pour cela, créer une console MMC vierge (mmc.exe) et ajouter le composant logiciel enfichable Certificats.
Ouvrir le composant certificat utilisateur et faire une demande d’un certificat basé sur le modèle de certificat « EFS Recovery Agent ». Sauvegarder ensuite ce certificat au format PFX en le protégeant avec le mot de passe du compte AdminPKI.
Configurer ADMINPKI comme agent de récupération EFS pour le domaine MSREPORT
- Exporter le certificat de l’agent de récupération EFS du compte ADMINPKI au format CER (clé publique uniquement).
- Lancer la console GPMC.MSC. Editer la GPO Default Domain Policy.
- Aller dans Configuration Ordinateur | Stratégies | Paramètres Windows | Paramètres de sécurité | Stratégie de clé publique Computer Configuration | Windows Settings | Security Settings | Public Key Policies | Encrypting File System.
- Supprimer le certificat existant si applicable et lancer l’assistant d’ajout d’un agent de récupération. Importer le certificat « EFS Recovery Agent » du compte AdminPKI.
- Forcer la réplication Active Directory.
- Sur les stations de travail, lancer la commande GPUPDATE /FORCE ou attendre 120 minutes.
Utilisation d’EFS
- Ouvrir une session avec un compte utilisateur mélanie.mathieu membre du groupe « DEPLOY-CERTIFICAT-USERS ». Vérifier qu’un certificat « Utilisateur-Msreport » a été généré automatiquement pour le compte melanie.mathieu. Créer un dossier appelé « Données confidentielles ».
- Aller dans l’onglet « General » puis cliquer sur le bouton « Advanced ». Dans la fenêtre « Advanced Attributes », cocher la case « Encrypt contents to secure data ».
- Cliquer dans l’onglet « Detail» et vérifier que les données sont chiffrés avec un certificat « Utilisateur-Msreport » du compte melanie.mathieu. Vérifier que le certificat AdminPKI est configuré comme « Recovery certificate ».
Mise en œuvre de BitLocker
Toutes les informations ci-dessous sont extrait du guide « BitLocker Drive Encryption » de Microsoft.
http://technet.microsoft.com/fr-fr/library/dd875547(v=ws.10).aspx et du guide des paramètres de GPO http://technet.microsoft.com/en-us/library/jj679890.aspx
http://technet.microsoft.com/fr-fr/library/hh831412.aspx
Configuration des GPO pour BitLocker et le TPM
Les paramètres listés dans le tableau ci-dessous ont été définis au niveau de la GPO « COMPUTER – CERTIFICAT – BITLOCKER ».
Ils permettent entre autres de sauvegarder la « BitLocker Recovery Key » et le « Trusted Platform Module (TPM) Owner password » dans l’annuaire Active Directory.
L’activation d’un Agent de récupération des données chiffrées avec BitLocker nécessite aussi d’activer le champ identification. Nous avons utilisé la chaîne de caractères suivant : 14127487 comme identifiant.
- Aller dans Computer Configuration | Administrative Templates | Windows Components | BitLocker Drive Encryption to show the policy settings | Provide the unique identifiers for your organization. Activer ce paramètre et sélectionner les paramètres suivants :
BitLocker Identification Field : 14127487
Allowed BitLocker Identification Field : 14127487
Ce paramètre permet à BitLocker de déterminer si un disque est géré par l’entreprise ou un disque personnel. Pour plus d’informations : http://technet.microsoft.com/fr-fr/library/dd875560(v=ws.10).aspx
- Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Operating System Drives | Require additional authentication at startup.
- Activer le paramètre de GPO avec la configuration suivante :
- Décocher la case « Allow BitLocker without a compatible TPM » :
- Sélectionner les choix suivants :
- « Require TPM »
- « Do not allow startup PIN with TPM »
- « Do not allow startup LKey with TPM »
- « Do not allow startup Key and PIN with TPM »
- Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Operating System Drives | Choose how BitLocker-protected operating system drive can be recovered
- Activer le paramètre de GPO avec la configuration suivante :
- Cocher la case « Allow data recovery agent ».
- Sélectionner les paramètres suivants :
- “Allow 48-digity recovery password”
- “Allow 256-bit recovery key”
- Cocher la case “Omit recovery options from the BitLocker setup wizard”.
- Cocher la case “Save BitLocker recovery information to AD DS”.
- Sélectionner “Store recovery passwords and key packages”.
- Cocher la case “Do not enable BitLocker until recovery information is stored to AD DS for operating system drive”.
Ces réglages permettent de forcer la sauvegarde de la clé de récupération BitLocker dans l’annuaire Active Directory.
- Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Fixed Data Drives | Choose how BitLocker-protected fixed drives can be recovered
- Activer le paramètre de GPO avec la configuration suivante :
- Cocher la case « Allow data recovery agent ».
- Sélectionner les paramètres suivants :
- “Allow 48-digity recovery password”
- “Allow 256-bit recovery key”
- Cocher la case “Omit recovery options from the BitLocker setup wizard”.
- Cocher la case “Save BitLocker recovery information to AD DS”.
- Sélectionner “Store recovery passwords and key packages”.
- Cocher la case “Do not enable BitLocker until recovery information is stored to AD DS for operating system drive”.
Ces réglages permettent de forcer la sauvegarde de la clé de récupération BitLocker dans l’annuaire Active Directory.
- Aller dans Administratives Templates | Windows Components | BitLocker Drive Encryption | Removable Data Drives | Choose how BitLocker-protected removable drives can be recovered
- Activer le paramètre de GPO avec la configuration suivante :
- Cocher la case « Allow data recovery agent ».
- Sélectionner les paramètres suivants :
- “Allow 48-digity recovery password”
- “Allow 256-bit recovery key”
- Cocher la case “Omit recovery options from the BitLocker setup wizard”.
- Cocher la case “Save BitLocker recovery information to AD DS for removable data drives”.
- Sélectionner “Store recovery passwords and key packages”.
- Cocher la case “Do not enable BitLocker until recovery information is stored to AD DS for operating system drive”.
Ces réglages permettent de forcer la sauvegarde de la clé de récupération BitLocker dans l’annuaire Active Directory.
- Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Fixed Data Drives | Configure use of passwords for fixed data drives
- Activer ce paramètre de GPO avec la configuration suivante :
- Cocher la case « Require password for fixed data drive ».
- Sélectionner « Require password complexity ».
- Sélectionner 8 pour le « Minimum password length for fixed data drive ».
Ce paramètre permet de forcer la saisie d’un mot de passe quand on accède à un disque protégé.
- Aller dans Administratives Templates | Windows Components | BitLocker Drive Encryption | Removable Data Drives | Control use of BitLocker on removable drives
- Activer ce paramètre de GPO avec la configuration suivante :
- Cocher la case « Allow users to apply BitLocker protection on removable data drives ».
- Cocher la case « Allow users to suspend and decrypt BitLocker protection on removable data drives ».
Les utilisateurs peuvent choisir s’ils activent ou non BitLocker sur les disques amovibles.
- Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Removable Data Drives | Configure use of passwords for removable data drives
- Activer ce paramètre de GPO avec la configuration suivante :
- Cocher la case « Require password for removable data drive ».
- Sélectionner « Require password complexity ».
- Sélectionner 8 pour le « Minimum password length for removable data drive ».
Ce paramètre permet de forcer la saisie d’un mot de passe quand on accède à un disque amovible protégé par BitLocker.
- Aller dans Computer configuration | Policies | Administratives Templates | System | Trusted Platform Modules Services | Turn on TPM Backup to Active Directory Domain Services
- Activer ce paramètre de GPO avec la configuration suivante :
- Forcer la sauvegarde
Ce paramètre permet de forcer la sauvegarde du mot de passe propriétaire du TPM au niveau de l’annuaire Active Directory.
Définir l’agent de récupération des données chiffrées BitLocker au niveau des stratégies de groupe
Un agent de récupération de données BitLocker permet à un utilisateur disposant d’un certificat « Agent de récupération de données chiffrées avec BitLocker » de déchiffrer un disque système, un disque fixe ou un disque amovible chiffré avec BitLocker. Les disques chiffrés doivent cependant pour cela être connectée à la station de travail et l’utilisateur en charge de la récupération des données doit disposer du certificat Agent de récupération de données BitLocker.
La procédure ci-dessous est basée sur la documentation suivante :
http://blogs.technet.com/b/askcore/archive/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives.aspx
- Pour cela, il faut disposer d’un certificat généré avec le modèle de certificat appelé BitLockerDRA-Msreport
- Il faut ensuite modifier la GPO « COMPUTER – CERTIFICAT – BITLOCKER ». Aller dans “Computer Configuration | Windows Settings | Security Settings | Public Key Policies | Bitlocker Drive Encryption”.
- Importer le fichier CER de l’agent de récupération de données chiffrées BitLocker (admin-pki).
Configuration d’Active Directory pour autoriser la sauvegarde du mot de passe propriétaire du TPM
Les paramètres ci-dessous ont été définis au niveau de la GPO « COMPUTER – CERTIFICAT – BITLOCKER ».
- Exporter le certificat (clé publique uniquement) de l’agent de récupération des données chiffrées avec BitLocker (ADMINPKI).
- Ajouter ce certificat au niveau de Computer Configuration | Windows Settings | Security Settings | Public Key Policies | BitLocker Drive Encryption.
Ce paramètre permet de définir un agent de récupération de données chiffrées avec BitLocker.
- Importer le fichier CER de l’agent de récupération de données chiffrées BitLocker.
Ajout des droits dans l’annuaire pour mettre à jour le mot de passe du propriétaire du TPM
Comme expliqué dans l’article Technet http://technet.microsoft.com/fr-fr/library/dd875529(v=ws.10).aspx, il est nécessaire d’utiliser le script Add-TPMSelfWriteACE.vbs pour pouvoir permettre l’enregistrement du mot de passe du propriétaire de TPM dans l’attribut msTPM-OwnerInformation.
Par défaut seuls les utilisateurs membres du groupe « Admins du domaine » ont le droit de visualiser :
- La BitLocker Recovery Key
- LeTrusted Platform Module (TPM) owner password
Il est possible d’utiliser le script Get-TPMOwnerInfo.vbs pour visualiser le Trusted Platform Module (TPM) owner password ou d’utiliser le script Get-BitLockerRecoveryInfo.vbs pour visualiser la BitLocker Recovery Key.
Le code source du script Get-BitLockerRecoveryInfo.vbs sur le site Microsoft est mal formaté.
Sub ShowUsage
Wscript.Echo "USAGE: Get-BitLockerRecoveryInfo [Optional Computer Name]"
Wscript.Echo "If no computer name is specified, the local computer is assumed."
WScript.Quit
End Sub
Set args = WScript.Arguments
Select Case args.Count
Case 0
' Get the name of the local computer
Set objNetwork = CreateObject ("WScript.Network")
strComputerName = objNetwork.ComputerName
Case 1
If args(0) = "/?" Or args(0) = "-?" Then
ShowUsage
Else
strComputerName = args(0)
End If
Case Else
ShowUsage
End Select
Function HexByte(b)
HexByte = Right("0" & Hex(b), 2)
End Function
Function ConvertOctetGuidToHexString(ByteArray)
Dim Binary, S
Binary = CStr(ByteArray)
On Error Resume Next
S = "{"
S = S & HexByte(AscB(MidB(Binary, 4, 1)))
S = S & HexByte(AscB(MidB(Binary, 3, 1)))
S = S & HexByte(AscB(MidB(Binary, 2, 1)))
S = S & HexByte(AscB(MidB(Binary, 1, 1)))
S = S & "-"
S = S & HexByte(AscB(MidB(Binary, 6, 1)))
S = S & HexByte(AscB(MidB(Binary, 5, 1)))
S = S & "-"
S = S & HexByte(AscB(MidB(Binary, 8, 1)))
S = S & HexByte(AscB(MidB(Binary, 7, 1)))
S = S & "-"
S = S & HexByte(AscB(MidB(Binary, 9, 1)))
S = S & HexByte(AscB(MidB(Binary, 10, 1)))
S = S & "-"
S = S & HexByte(AscB(MidB(Binary, 11, 1)))
S = S & HexByte(AscB(MidB(Binary, 12, 1)))
S = S & HexByte(AscB(MidB(Binary, 13, 1)))
S = S & HexByte(AscB(MidB(Binary, 14, 1)))
S = S & HexByte(AscB(MidB(Binary, 15, 1)))
S = S & HexByte(AscB(MidB(Binary, 16, 1)))
S = S & "}"
On Error GoTo 0
ConvertOctetGuidToHexString = S
End Function
Function GetStrPathToComputer(strComputerName)
' Uses the global catalog to find the computer in the forest
' Search also includes deleted computers in the tombstone
Set objRootLDAP = GetObject ("LDAP://rootDSE")
namingContext = objRootLDAP.Get ("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com
strBase = ""
Set objConnection = CreateObject ("ADODB.Connection")
Set objCommand = CreateObject ("ADODB.Command")
objConnection.Provider = "ADsDSOOBject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
strFilter = "(&(objectCategory=Computer) (cn=" & strComputerName & "))"
strQuery = strBase & ";" & strFilter & ";distinguishedName;subtree"
objCommand.CommandText = strQuery
objCommand.Properties("Page Size") = 100
objCommand.Properties("Timeout") = 100
objCommand.Properties("Cache Results") = False
' Enumerate all objects found.
Set objRecordSet = objCommand.Execute
If objRecordSet.EOF Then
WScript.echo "The computer name '" & strComputerName & "' cannot be found."
WScript.Quit 1
End If
Do Until objRecordSet.EOF
dnFound = objRecordSet.Fields ("distinguishedName")
GetStrPathToComputer = "LDAP://" & dnFound
objRecordSet.MoveNext
Loop
Set objConnection = Nothing
Set objCommand = Nothing
Set objRecordSet = Nothing
End Function
Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer (strComputerName)
WScript.Echo "Accessing object: " + strPathToComputer
Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80
' Get all the recovery information child objects of the computer object
Set objFveInfos = objDSO.OpenDSObject (strPathToComputer, vbNullString, vbNullString, ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)
objFveInfos.Filter = Array("msFVE-RecoveryInformation")
' Iterate through each recovery information object
For Each objFveInfo in objFveInfos
strName = objFveInfo.Get("name")
strRecoveryGuidOctet = objFveInfo.Get("msFVE-RecoveryGuid")
strRecoveryGuid = ConvertOctetGuidToHexString(strRecoveryGuidOctet)
strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword")
WScript.echo ""
WScript.echo "name: " + strName
WScript.echo "msFVE-RecoveryGuid: " + strRecoveryGuid
WScript.echo "msFVE-RecoveryPassword: " + strRecoveryPassword
If len(strRecoveryGuid) <> 38 Then
WScript.echo "WARNING: '" & strRecoveryGuid & "' does not appear to be a valid GUID."
End If
Next
WScript.Quit
Extension du schéma Active Directory
Pourquoi mettre à jour le schéma Active Directory
L’activation de BitLocker échoue sur les stations de travail Windows 8 échoue avec les réglages définies car la sauvegarde du mot de passe administrateur du TPM nécessite une mise à jour du schéma Active Directory.
Après activation du chiffrement BitLocker, au redémarrage, le message d’erreur ci-dessous apparaît : « Cet objet ne se trouve pas sur le serveur ».
Dans le journal d’événement System de la machine, le message ci-dessous apparaît.
Nom du journal :System
Source : Microsoft-Windows-TPM-WMI
Date : 01/10/2014 11:10:57
ID de l’événement :514
Catégorie de la tâche :Aucun
Niveau : Avertissement
Mots clés :
Utilisateur : SERVICE RÉSEAU
Ordinateur : MSREPORTW81.msreport.local
Description :
Échec de la sauvegarde des informations d’autorisation du propriétaire du module de plateforme sécurisée (TPM) dans les services de domaine Active Directory.
Code d’erreur : 0x80072030
Assurez-vous que votre ordinateur est connecté au domaine. Si votre ordinateur est connecté au domaine, demandez à votre administrateur de domaine de vérifier que le schéma Active Directory est approprié à la sauvegarde des informations d’autorisation du propriétaire du module de plateforme sécurisée (TPM) de Windows 8 et que l’objet Ordinateur actif dispose d’une autorisation d’accès en écriture à l’objet Module de plateforme sécurisée (TPM). Les installations de Windows Server 2008 R2 (ou versions antérieures) nécessitent une extension de schéma pour pouvoir gérer la sauvegarde des informations d’autorisation du propriétaire du module de plateforme sécurisée (TPM) de Windows 8. Pour plus d’informations sur la configuration des services de domaine Active Directory pour le module de plateforme sécurisée (TPM), voir la documentation en ligne.
Il faut mettre à jour le schéma pour Windows 2012 pour pouvoir bénéficier de la sauvegarde du mot de passe de propriétaire du module TPM dans l’annuaire Active Directory avec Windows 8.
"For Windows 8 a change to how the TPM owner authorization value is stored in AD DS was implemented in the AD DS schema. The TPM owner authorization value is now stored in a separate object which is linked to the Computer object. This value was stored as a property in the Computer object itself for the default Windows Server 2008 R2 schemas. Windows Server 2012 domain controllers have the default schema to backup TPM owner authorization information in the separate object. If you are not upgrading your domain controller to Windows Server 2012 you need to extend the schema to support this change. If Active Directory backup of the TPM owner authorization value is enabled in a Windows Server 2008 R2 environment without extending the schema, the TPM provisioning will fail and the TPM will remain in a Not Ready state for computers running Windows 8. There are two schema extensions that you can copy down and add to your AD DS schema:
TpmSchemaExtension.ldf
This schema extension brings parity with the Windows Server 2012 schema. With this change, the TPM owner authorization information is stored in a separate TPM object linked to the corresponding computer object. Only the Computer object that has created the TPM object can update it. This means that any subsequent updates to the TPM objects will not succeed in dual boot scenarios or scenarios where the computer is reimaged resulting in a new AD computer object being created. To support such scenarios, an update to the schema was created.
TpmSchemaExtensionACLChanges.ldf
This schema update modifies the ACLs on the TPM object to be less restrictive so that any subsequent operating system which takes ownership of the computer object can update the owner authorization value in AD DS. However, this is less secure as any computer in the domain can now update the OwnerAuth of the TPM object (although it cannot read the OwnerAuth) and DOS attacks can be made from within the enterprise. The recommended mitigation in such a scenario is to do regular backup of TPM objects and enable auditing to track changes for these objects".
Pour plus d’information : http://technet.microsoft.com/fr-fr/library/jj592683.aspx
Procédure de mise en œuvre
Les actions suivantes ont été effectuées :
- Télécharger les sources d’installation de Windows 2012 R2 sur un contrôleur de domaine Windows 2008 R2 appelé MSREPORTDCA
- Transférer le rôle de maître de schéma sur MSREPORTDCA et forcer la réplication pour propager le changement.
- Ouvrir une session en tant qu’administrateur de l’entreprise sur MSREPORTDCA. Ouvrir une invite de commande et taper la commande suivante : regsvr32 schmmgmt.dll
- Créer une MMC vierge et ajouter le composant logiciel enfichable « Schéma Active Directory ».
- Désactiver l’antivirus temps réel.
- Faire une sauvegarde du contrôleur de domaine MSREPORTDCA (Bare metal) avec Windows Server Backup.
- Ouvrir en tant qu’administrateur du schéma.
- Désactiver la réplication entrante et sortante.
repadmin /options MSREPORTDCA +DISABLE_OUTBOUND_REPL
repadmin /options MSREPORTDCA +DISABLE_INBOUND_REPL
Pour plus d’informations, voir : http://support2.microsoft.com/kb/321153/en-us
- Lancer adprep /forestprep
- Tester l’ouverture de session avec un compte utilisateur créé après l’update du schema sur le contrôleur de domaine ROUMER.
Si tout fonctionne correctement, réactiver la replication entrante et sortante
- Lancer adprep /domainprep comme expliqué dans l’article :
http://support2.microsoft.com/kb/2737129/en-us - Remettre le rôle FSMO sur le contrôleur de domaine initial.
Activation de BitLocker sur une station de travail Windows 7
- Activer dans le BIOS le composant TPM. Sur les machines Dell, cette option se trouve généralement dans Security | TPM Security. Il faut activer le TPM puis redémarrer la machine.
- Ouvrir une session avec un compte administrateur local de la machine.
- Aller dans le Panneau de Configuration : l’assistant BitLocker va commencer par préparer le TPM.
- Au redémarrage (avant démarrage de Windows), le message suivant apparaît.
“A request to change the configuration of this computer’s TPM (Trusted Platform Module) is pending….When you have made your selection, press the Enter Key.” - Sélectionner le bouton « Modify ». La machine redémarre alors.
- Au redémarrage, ouvrir la session avec le compte administrateur local. Le message ci-dessous apparaît automatiquement. Cliquer sur « Start Encrypting » pour démarrer le chiffrement du disque.
Pendant la phase de chiffrement du disque, les stations de travail avec des disques lents seront fortement pénalisées. Il sera recommandé de désactiver l’antivirus temps réel (Kaspersky) pendant cette phase.
Cette action peut aussi être effectuée avec la commande Manage-Bde
Le TPM doit avoir été activé dans le BIOS de la machine.
- Lancer un invite de commande avec un compte administrateur local de la machine et entrer la commande suivante :
manage-bde -on C: -RecoveryPassword
Si vous voulez éviter le test matériel du TPM
manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Bien qu’on n’est pas spécifié d’agent de récupération de données BitLocker, ce paramètre s’applique via la GPO comme on peut le voir avec la commande MANAGE-BDE –STATUS.
Pour plus d’informations sur les options de cette commande, taper :
manage-bde -on /?
Si l’attribut msTPM-OwnerInformation est vide (ce cas arrive si le TPM avait déjà été initialisé et donc avoir déjà un mot de passe propriétaire de TPM), lancer la console TPM.MSC et sélectionner « Change Owner Password ».Entrer l’ancien mot de passe du TPM et finaliser la demande de changement. L’attribut msTPM-OwnerInformation est alors mis à jour.
Comment récupérer la valeur du mot de passe du TPM
Le script get-TPMOwnerInfo.vbs est disponible à l’adresse suivante :
http://gallery.technet.microsoft.com/ScriptCenter/f75bf414-9fa6-4569-b2c6-e63d57352d3a/
Il renvoie un Hash du mot de passe du propriétaire du TPM.
Pour convertir ce HASH en mot de passe, il faut appliquer la procédure suivante :
http://blogs.technet.com/b/askcore/archive/2010/08/03/how-to-use-hash-of-tpm-from-ad-to-reset-your-tpm-password.aspx
Créer un fichier tpm.tpm et copier le contenu ci-dessous
WBf+tYDp1tPs6nol5jLQ5g3NOOs=
Remplacer la valeur entre les balises par la valeur du Hash du TPM dans l’annuaire.
Lorsque vous souhaitez effectuer une action qui nécessite le mot de passe du propriétaire du TPM, sélectionner le choix « I have the owner password file » et sélectionner le fichier TPM.txt.