Configurer BitLocker avec SCCM

Le but de cet article est de mettre en place le chiffrement des disques durs avec BitLocker pour les systèmes Windows 10 Professionnel.

Pour rappel BitLocker est un système de sécurité intégré à Windows et qui permet de chiffrer les données stockées sur votre ordinateur, ce qui permet d’assurer la confidentialité de vos données personnelles en cas de vol.

Pour que BitLocker utilise la vérification de l’intégrité système d’un module de plateforme sécurisée (TPM), l’ordinateur doit disposer d’un module TPM 1.2 ou ultérieur. Si votre ordinateur n’est pas équipé d’un module TPM, l’activation de BitLocker nécessite que vous enregistriez une clé de démarrage sur un périphérique amovible, tel qu’un disque mémoire USB.

1 – Installation de la fonctionnalité BitLocker

On commence tout d’abord par aller sur Windows Server 2012 R2 pour mettre en place et activer les stratégies pour BitLocker.

Connectez-vous à votre Windows Server, puis vous irez dans le « Gestionnaire de serveur », pour ajouter une fonctionnalité.

Il faut descendre dans le menu déroulant et ouvrir la section « Fonctionnalités »

Une fois cette section ouverte, ouvrez la section « Utilitaires d’administration de chiffrement de lecteur BitLocker » et activez la case « Visionneuse des mots de passe de récupération BitLocker ». Cette fonctionnalité permettra de visualiser les informations de récupération dans les propriétés de l’ordinateur intégré dans l’AD au moment du déploiement.

Installer la fonctionnalité

2 – Configuration de la GPO Bitlocker

Une fois la fonctionnalité ajoutée, on va créer notre stratégie de groupe pour BitLocker. Pour cela, on va dans « Outils » puis « Gestion des stratégies de groupe ».

Créer une stratégie de groupe sur l’unité d’organisation (OU) ou sont répertoriés les ordinateurs dans l’AD

Une fois la fenêtre ouverte, ouvrez Configuration d’ordinateur » Stratégies » Modèles d’administration » composants Windows » chiffrement de lecteur BitLocker » Lecteurs du système d’exploitation

on va configurer la stratégie « Exiger une authentification supplémentaire au démarrage »

On passe à l’option « Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker »

Ce paramètre est très important car il nous permet de sauvegarder les clés de récupération dans l’AD DS pour les avoirs à disposition en cas de problème, et n’oubliez surtout pas de cocher la toute dernière case qui ajoute une sécurité lors du déploiement pour éviter une quelconque erreur qui pourrait rendre inutilisable votre disque dur car nous n’aurions pas la clé de récupération.

On termine par le dernier paramètre qui est « Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif »

3 – Configuration de BitLocker dans la tâche de déploiement SCCM

Après avoir effectué les configurations sur Windows Server, on va maintenant voir pour faire la configuration sur System Center Configuration Manager.

On crée une nouvelle séquence de tâches pour que l’on puisse déployer BitLocker.

Dans « Bibliothèque de logiciels » puis « Systèmes d’exploitation » On sélectionne « Séquence de tâches » puis faire « Créer une séquence de tâches ».

Après « suivant », on donne un nom à notre séquence de tâches et on va chercher notre image de démarrage qui se trouve dans « Parcourir », on choisira ici « Boot image (x64) »

Faire « Suivant », puis dans la prochaine étape, faire « parcourir » pour venir chercher votre package d’image correspondant et bien vérifier que la case « configurer une séquence de tâches à utiliser avec Bitlocker » est activée »

dans la prochaine étape, joignez un domaine et ajouter l’Unité d’Organisation ou s’applique votre GPO Bitlocker. Spécifiez le compte qui possédera les droits administrateur du domaine.

Faire « suivant »

Désactiver la capture des paramètres et fichiers utilisateurs et faire « suivant »

Ne pas installer les mises à jour logicielles et faire « suivant »

Pour cette étape, ajoutez les applications que vous souhaitez déployer

Pour les étapes restantes, faire « suivant » jusqu’à la fin de la création de la séquence de tâches.

Une fois notre séquence de tâches créée, nous allons activer l’option BitLocker dans notre logiciel SCCM. Pour ce faire, aller dans l’onglet « Administration » en bas à droite de notre fenêtre

Une fois dans celui-ci, dans le menu à gauche, cliquez sur le petit triangle devant « Mises à jour et maintenance », une fois celui-ci déroulé, le menu « Fonctionnalités » s’affichera. Cliquez dessus et trouvez « Gestion BitLocker » sur la fenêtre principale. Faire un clic droit sur la section et faire « activer ».

Une fois cette étape réalisée, nous allons modifier notre séquence de tâches créée précédemment.

Retournons donc dans « Bibliothèque de logiciels » puis « Systèmes d’exploitation » et on sélectionne « Séquence de tâches ». Faire un clic droit sur la séquence de tâches créée.

Une fois dans l’onglet, faite en sorte d’avoir exactement les mêmes catégories qui sont dans la colonne à gauche, pour ce faire, cliquez sur « Ajouter » et parcourir dans le menu déroulant pour mettre les catégories souhaitées.

Une fois que vous avez à l’identique comme sur la photo ci-dessus, nous allons modifier les paramètres un à un.

Vérifier que les paramètres sont comme sur la photo ci-dessus et assurez-vous que dans l’onglet « Options » vous ayez la variable comme sur mon image ci-dessous. Si ce n’est pas le cas, créée la comme avec la photo en bas à droite. (Faire « Ajouter une condition » puis « variable de séquence de tâches »).

Pour la suite, on va faire le schéma de partitionnement comme ci-dessous pour que BitLocker puisse fonctionner, car il nous faut deux partitions minimums pour chiffrer un disque dur.

Assurez-vous, une fois encore que vous ayez les mêmes variables pour cette section que sur l’image ci-dessous.

Pour cette étape, sélectionnez le mode de chiffrement de disque le plus adapté à votre OS, la méthode utilisée ici est la plus efficace et la plus sécurisée qui convient parfaitement pour Windows 10.

Ajoutez la variable ci-contre pour cette étape. Cela permet de vérifier lors du déploiement que le partitionnement s’est bien effectué

Pour cette étape, assurez-vous d’avoir le bon package d’images et que la destination correspond bien comme à l’image.

N’oubliez pas d’appuyer sur « Appliquer » pour que le logiciel prenne en compte les modifications.

Dans cette partie, il faut faire attention que la GPO Bitlocker que nous avons créé précédemment s’applique bien à notre OU. Sans quoi, lors de votre déploiement votre PC restera bloqué sur « Veuillez patientez » indéfiniment.

Ici, on lui propose des pilotes susceptibles de fonctionner sur notre machine.

Vérifiez une nouvelle fois pour cette partie si la variable est bien présente.

Pour le package client, vérifiez bien que tout est conforme.

Ajouter la variable si cela n’est pas le cas.

Faites bien attention à bien recopier cette partie comme ci-dessous car c’est notre pierre angulaire de toute notre démarche. Vous pouvez choisir les moyens de protection comme vous le souhaitez, assurez-vous bien que votre PC à déployer ne soit pas trop ancien car la technologie TPM (micro-puce dans la carte mère du PC) n’est intégrée dans les ordinateurs que depuis une dizaine d’année.

Après avoir fait la modification de la séquence de tâches, on déploie la séquence de tâches à tous les ordinateurs inconnus.

4 – Vérification du chiffrement

A la fin du déploiement du PC, nous avons tester tester si le chiffrement du disque dur fonctionne, on a démonté le DD du PC test, et on l’a branché sur un autre ordinateur. On constate que notre disque dur (E:) est bien chiffré

Si on l’exécute, il nous demande de saisir le mot de passe de récupération BitLocker

Pour le déverrouiller le disque dur, on récupère le mot de passe dans l’attribut « Bitlocker Recovery » du compte ordinateur dans l’Active directory

Dès qu’on valide le mot de passe de récupération, on accède automatiquement aux données du disque E: