Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1432 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Logiciels d'entreprise

  Chiffrement Bitlocker via GPO ne se réalise pas

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Chiffrement Bitlocker via GPO ne se réalise pas

n°177292
angelod
Posté le 30-11-2022 à 10:26:52  profilanswer
 

Bonjour à tous,  
 
J’ai récemment eu pour projet de chiffrer le disque système (C:) des pc de mon entreprise via Bitlocker pour Windows 10.  
J’ai donc créé une GPO. Dans celle-ci j’ai configuré le mode de chiffrement, ainsi qu’un paramètre qui oblige le client à stocker la clé de recouvrement dans l’Active Directory. J’ai aussi ajouté un script de démarrage powershell qui permet de lancer le chiffrement si le disque n’est pas chiffré.
 
Mon script powershell :
if((Get-BitLockerVolume -MountPoint $env:SystemDrive).VolumeStatus -eq "FullyDecrypted" ){
   Initialize-Tpm
   Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -TpmProtector
   Enable-BitLocker -MountPoint $env:SystemDrive -RecoveryPasswordProtector -SkipHardwareTest
}

 
Je suis rapidement tombé face à un problème : Mon script powershell s’exécute bien, mais j’ai une popup qui me sort ce message d’erreur.  
"Bitlocker could not be enabled. The Bitlocker encryption key cannot be obtained. Verify that the TPM Module is enabled and ownership has been taken. If this computer does not have a TPM, verify that the USB drive is inserted".
 
J’ai donc mené ma propre enquête :  
-Le TMP est bien activé
-Mon pc a bien accès au dossier où est stocké le script
-Aucune erreur dans l'observateur d'évènements
-Si j’exécute mon script powershell directement sur le pc, connecté avec un compte admin du domaine, le chiffrement se fait correctement et la clé est bien dans l’AD.  
-J’ai donc essayé d’enregistrer la sortie de mon script powershell dans un fichier texte avec Start-Transcript, mais rien.  
-Dans un élan de désespoir, j’ai fini par essayer de lancer le chiffrement via un script de démarrage batch et la commande manage-bde. J’ai ici aussi récupéré la sortie de mon script dans un fichier texte et j’ai enfin obtenu une erreur !  
 
Mon "script" batch :
whoami
manage-bde –on C: -skiphardwaretest >> C:\Windows\Temp\BitLocker-TEST.txt

 
Sortie de mon script :
autorite nt\système
Chiffrement de lecteur BitLocker : outil de configuration version 10.0.19041
Copyright (C) 2012 Microsoft Corporation. Tous droits réservés.
 
Volume C: []
[Volume du système d'exploitation]
Protecteurs de clés ajoutés :  
 
ERREUR : une erreur s'est produite (code 0x80070522) :  
Le client ne dispose pas d'un privilège nécessaire.

 
Cette erreur semble me dire tout simplement que le profil autorité nt\Système n’a pas assez de permissions (ce qui me semble curieux).
J’ai donc essayé de chiffrer un autre disque que le disque système (Ici E:), et tout a très bien fonctionné. Le problème ne se produit donc que pour le disque système.  
 
Avez-vous déjà rencontré ce genre de problème, ou auriez-vous des idées pour le résoudre ?  
Merci d’avance pour votre aide:)  
 
Angelo


Message édité par angelod le 30-11-2022 à 10:28:15
mood
Publicité
Posté le 30-11-2022 à 10:26:52  profilanswer
 

n°177294
cotorep
Posté le 30-11-2022 à 11:57:19  profilanswer
 
n°177296
angelod
Posté le 30-11-2022 à 16:28:41  profilanswer
 


Salut !  
Merci de ta réponse.  
 
Malheureusement j'ai déjà suivi ce tuto, mais malheureusement le problème rencontré n'est pas mentionné dedans :/.

n°177297
cotorep
Posté le 30-11-2022 à 17:39:33  profilanswer
 

tu peux faire sur un des poste impactés la mise a jour du bios ?
et tester de nouveau

n°177301
albator233
Lurker inside
Posté le 01-12-2022 à 16:36:25  profilanswer
 

Au hasard, ton compte autorite nt\système qui n'a pas le droit d'aller écrire la clé de déchiffrement dans le compte ordinateur de l'AD ?


---------------
Feed-back
n°177321
skoizer
tripoux et tête de veau
Posté le 06-12-2022 à 18:25:17  profilanswer
 

effectivement le systéme n'a pas autorité pour modifier l'ad
mais bizarre rien n'est indiqué sur ce howto https://www.it-connect.fr/bitlocker [...] uperation/
sur le lancement via GPO /computeur/script powershell, je ne vois pas qui pourrait envoyer ceci

Message cité 1 fois
Message édité par skoizer le 06-12-2022 à 19:36:27

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°177335
akizan
Eye Sca Zi
Posté le 08-12-2022 à 09:56:04  profilanswer
 

nous, on s'est rendu compte (mais c'était bien indiqué sur le site microsoft) que le chiffrement bitlocker nécessite une connexion physique. en fait si un user est en session RDP, le chiffrement ne se lancera pas.
Pour pallier au souci, il faut mstsc.exe /admin
info que je passe au cas où :p

n°177336
ShonGail
En phase de calmitude ...
Posté le 08-12-2022 à 10:04:59  profilanswer
 

Du coup, ce n'est pas une connexion physique mais console ;)

n°177338
Ryo-Ohki
10th Rabbit
Posté le 10-12-2022 à 09:02:58  profilanswer
 

skoizer a écrit :

effectivement le systéme n'a pas autorité pour modifier l'ad


 
"SYSTEM" c'est le contexte du compte machine dans l'AD. Donc tu as les privilèges associés à SELF sur le compte machine.


---------------
The Lapin, reloaded  |  "Anything can happen in Formula One, and it usually does." -- Murray Walker
n°177340
skoizer
tripoux et tête de veau
Posté le 13-12-2022 à 15:05:57  profilanswer
 

si self = system ok
donc j'aurai besoin de connaitre l'attribut pour voir les droits sur l'ad
 
J'ai manuellement lancé le script powershell poour crypter avec bitlocker via un compte admin du domaine, sur l'ad sur le computer j'ai bien dans l'onglet "recuperation bitlocker" les clef de dechiffrement.
mais je n'arrive pas a voir l'attribut ad utilisé  
je n'ai rien dedans
msTPM-TpmInformationForComputer
msTPM-OwnerInformation


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
mood
Publicité
Posté le 13-12-2022 à 15:05:57  profilanswer
 

n°177341
Ryo-Ohki
10th Rabbit
Posté le 13-12-2022 à 16:17:30  profilanswer
 

les attributs sont du type ms-FVE-*
 
Surement mieux lisible en ADSIEDIT qu'avec l'ADUC (l'ADUC te présente une petite UI dédiée associée au compte machine)


Message édité par Ryo-Ohki le 13-12-2022 à 16:18:34

---------------
The Lapin, reloaded  |  "Anything can happen in Formula One, and it usually does." -- Murray Walker
n°177342
Je@nb
Modérateur
Kindly give dime
Posté le 13-12-2022 à 16:40:20  profilanswer
 

C'est surtout que les clés Bitlocker c'est pas des attributs sur l'objet computer mais des "sous objets" du computer vu que tu peux avoir plusieurs clés par machines.
La class de ces objets est ms-FVE-RecoveryInformation et oui il faut les droits pour les voir, sinon bah c'est un peu une passoire... Donc mettre en place les délégations qui vont bien et si utilisation d'aduc, le configurer pour tout afficher.

n°177343
skoizer
tripoux et tête de veau
Posté le 13-12-2022 à 18:14:06  profilanswer
 

merci pour ces informations
 effectivement, je vois mes clef sur les attribut ms-FVE-RecoveryInformation qui sont des sous objet du computer
qu'avez vous comme droit sur self ou systéme ?
 


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Logiciels d'entreprise

  Chiffrement Bitlocker via GPO ne se réalise pas

 

Sujets relatifs
Déploiment Imprimantes via GPO sur session Citrix / TSEFiltrage GPO par groupe
supression des utilisateurs locaux en GPOGPO chiffrement bitlocker se déclenche et tombe parfois en erreur
GPO de QoS sur Windows Server 2019 depuis/vers des IPGPO Edge Chrominium sur RDS
Logiciels de chiffrement de disques dursGPO sur Navigateur Edge
Plus de sujets relatifs à : Chiffrement Bitlocker via GPO ne se réalise pas


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR