Bonjour,
 
Je souhaite mettre en place un système de cryptage de disque dur pour les portables en premier.
J'ai SCCM 2007. Je pensai déployer Bit Locker...
Comment avez vous procéder?
 
En lisant d'autres sites, il y en qui commence par un extension de schéma AD... d'autres font une partition de 100mb dans le bios...
 
J'aimerai avoir vos lumières sur ce sujet.
 

L'extension de schéma AD c'est que si ton niveau de schéma est encore en 2003/2003 R2 et que tu veux stocker les clé de recovery dans l'AD.
Si tu es en schéma 2008 ou plus pas la peine, pareil si tu veux pas stocker les clés de recovery dans l'AD.
 
Mais bon c'est pas ultra important tout ça.
 
Faut définir ce que tu veux chiffrer, où tu veux mettre tes clés de chiffrements, tes clé de tes TPM, est-ce que tu fais du preboot auth
 
Faut définir les processus de provisionning (c'est surement là où sccm va intervenir) mais aussi tous les processus de dépannage parce que tu en auras.
 
Sur le provisioning, faut configurer le bios, le protéger (sinon ça sert à rien de faire du bitlocker), désactiver les périphériques externes qui font du dma (firewire, express card and co), puis créer la partition de 100mo, mettre ou pas un environnement winre (dans ce cas l'agrandir), appliquer les gpo de configuration tpm et bitlocker, chiffrer le disque si la clé a pu être sauvegardée dans l'ad si tu fais une sauvegarde ad, si tu fais un auth pin voir comment le définir avec l'utilisateur, si tu fais du MBAM voir la sauvegarde dans la base etc.
 
Bref c'est pas juste 3 clics, faut savoir un peu ce que tu veux faire

Oui pour avoir bosser sur la mise en place d'une telle infra je peux te dire que tu vas en baver, tu as énormément de choses à préparer avant de déployer ça.
Tu as des bonnes docs sur Technet pour commencer, sinon MP si besoin.

Oui je me doute que ce n'est pa trois clic...  
Quand tu parles " preboot auth ", c'est quand l'utilisateur appuie sur le power, ca demande un mot de passe?
 
Je pense que je ne veux pas cela car je vais avoir des gens qui vont raler dans la haute hierarchie même si je leur dit que c'est mieux.
 
Est ce possible d'avoir l'auth + pin uniquement si je veux déchiffrer le disque dur ? ou est ce que je suis obligé avec l'auth + pin de taper le code pin à chaque allumage du pc ?
 
Ensuite il faut que j'active le module BitLOcker dans windows 2008 R2 ?
 

 
Oui je sais mais c'est une non conformité d'un client... donc en baver ou pas, il faut le faire

Les réponses sont dans la doc
 
Mais oui quand tu allummes le PC, Bitlocker se déclenche. Tu peux demander TPM, TPM + PIN, TPM + PIN + clé USB par exemple.
 
Le module Bitlocker dans Windows 2008 R2 sert à chiffrer le serveur. Par contre tu dois installer les outils d'admin Bitlocker.