Dave Hornbaker des Deployment Guys avait écrit un script il y a quelque temps pour lancer l’encryption MBAM à partir d’une séquence de tâches durant le déploiement de Windows 7. Ce script était compatible pour MBAM 1.0. Michael Murgolo a ensuite amélioré ce script pour supporter les nouvelles fonctionnalités de MBAM 2.0 comme Bitlocker pre-provision dans la séquence de tâche Configuration Manager 2012 SP1. Et pour finir, suite aux commentaires je l’ai aussi mis à jour pour accélérer l’envoi des informations au serveur MBAM.
Cette fonctionnalité « BitLocker Pre-Provisioning » est arrivée avec Windows 8 et permet de chiffrer le volume système durant l’installation:
- Dans SCCM 2012 SP1/R2, c’est l’étape Pre-provision BitLocker qui lance l’outil OSDOfflineBitLocker.exe
- Dans MDT 2013, c’est l’étape Enable BitLocker (Offline) dans la Task Sequence qui utilise le script ZTIBDE.wsf pour chiffrer le disque.
- Dans WinPE 4.0/5.0, c’est la commande « manage-bde -on %OSDisk% -UsedSpaceOnly«
[ecko_button color= »green » size= »normal » url= »http://www.msnloop.com/wp-content/uploads/2014/01/MBAMEncryption.zip »]Télécharger la derniere version du script[/ecko_button]
Ensuite, il vous suffit de créer un package pour ConfigMgr 2012 avec le contenu du fichier .zip ou si vous utilisez MDT 2013 simplement copier le script StartMBAMEncryption.wsf dans le dossier Script de votre Deployment Share.
Encryption MBAM pour Windows 8.1
N’oubliez pas de:
- Désactiver l’étape par défaut « Enable Bitlocker »
- Importer la clé de registre à partir du modèle « c:\Program Files\Microsoft\MDOP\MBAM\MBAMDeploymentKeyTemplate.reg », édité avec vos informations avant de lancer l’encryption.
- Installer le client MBAM 2.0 SP1 avant de commencer l’encryption.
Vous pouvez faire un script pour combiner l’ajout des clés de registre avec l’encryption:
[ecko_code_highlight]reg import MBAMPolicies.reg
cscript.exe StartMBAMEncryption.wsf /MBAMServiceEndPoint:http://mbam01.corp.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc[/ecko_code_highlight]
Encryption MBAM pour Windows 7
Dépendamment de la méthode que vous avez utilisée pour créer votre image Windows 7, la séquence de tâche peut ne pas formater et partitionner le disque dur correctement en proposant de faire qu’une seule partition pour le système. Si vous êtes dans ce cas, assurez-vous d’avoir la partition « System Reserved » nécessaire pour Bitlocker.
Ensuite, même principe avec l’installation du client MBAM puis l’encryption avec la ligne de commande:
[ecko_code_highlight]cscript.exe StartMBAMEncryption.wsf /MBAMServiceEndPoint:http://mbam01.corp.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc[/ecko_code_highlight]
BUG:
Si vous simulez une restauration, vous allez remarquer que le nom du PC est MININT-xxx près de l’ID de 8 caractères. En fait, lorsque le pré-provisionning s’effectue le nom du PC n’est pas encore attribué. Du coup, le nom temporaire MINIT-xxx est enregistré et pour des raisons de sécurité, nous n’avons pas le droit d’injecter quoi que ce soit dans la partition BitLocker. Mais ceci n’a aucun effet indésirable.
Plus d’informations:
TPM doit être correctement activé dans le BIOS
Les GPO MBAM doivent être configurés au préalable
Script pour éjecter le lecteur CD/DVD si un média est présent
Microsoft BitLocker Administration and Monitoring 2 Administrator’s Guide
Deploying the MBAM 2.0 Client
