MSNLoop
MVP Yannick Plavonil

Catégories


Étiquettes


MSNLoop


Documentation technique destinée aux professionnels de l'informatique qui ont recours aux produits, outils et technologies Microsoft pour gérer et déployer Windows.

Encryption MBAM avec pre-provision Bitlocker dans une Task Sequence

Yannick PlavonilYannick Plavonil

Dave Hornbaker des Deployment Guys avait écrit un script il y a quelque temps pour lancer l’encryption MBAM à partir d’une séquence de tâches durant le déploiement de Windows 7. Ce script était compatible pour MBAM 1.0. Michael Murgolo a ensuite amélioré ce script pour supporter les nouvelles fonctionnalités de MBAM 2.0 comme Bitlocker pre-provision dans la séquence de tâche Configuration Manager 2012 SP1. Et pour finir, suite aux commentaires je l’ai aussi mis à jour pour accélérer l’envoi des informations au serveur MBAM.

http://blogs.msdn.com/b/alex_semi/archive/2013/08/12/start-mbam-encryption-on-bitlocker-pre-provisioned-and-windows-to-go-drives.aspx

Cette fonctionnalité « BitLocker Pre-Provisioning » est arrivée avec Windows 8 et permet de chiffrer le volume système durant l’installation:

[ecko_button color= »green » size= »normal » url= »http://www.msnloop.com/wp-content/uploads/2014/01/MBAMEncryption.zip »]Télécharger la derniere version du script[/ecko_button]

Ensuite, il vous suffit de créer un package pour ConfigMgr 2012 avec le contenu du fichier .zip ou si vous utilisez MDT 2013 simplement copier le script StartMBAMEncryption.wsf dans le dossier Script de votre Deployment Share.

Encryption MBAM pour Windows 8.1

MBAM2

N’oubliez pas de:

Vous pouvez faire un script pour combiner l’ajout des clés de registre avec l’encryption:
[ecko_code_highlight]reg import MBAMPolicies.reg
cscript.exe StartMBAMEncryption.wsf /MBAMServiceEndPoint:http://mbam01.corp.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc[/ecko_code_highlight]

Encryption MBAM pour Windows 7

Dépendamment de la méthode que vous avez utilisée pour créer votre image Windows 7, la séquence de tâche peut ne pas formater et partitionner le disque dur correctement en proposant de faire qu’une seule partition pour le système. Si vous êtes dans ce cas, assurez-vous d’avoir la partition « System Reserved » nécessaire pour Bitlocker.

MBAM2-W7

Ensuite, même principe avec l’installation du client MBAM puis l’encryption avec la ligne de commande:
[ecko_code_highlight]cscript.exe StartMBAMEncryption.wsf /MBAMServiceEndPoint:http://mbam01.corp.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc[/ecko_code_highlight]

BUG:
Si vous simulez une restauration, vous allez remarquer que le nom du PC est MININT-xxx près de l’ID de 8 caractères. En fait, lorsque le pré-provisionning s’effectue le nom du PC n’est pas encore attribué. Du coup, le nom temporaire MINIT-xxx est enregistré et pour des raisons de sécurité, nous n’avons pas le droit d’injecter quoi que ce soit dans la partition BitLocker. Mais ceci n’a aucun effet indésirable.

Plus d’informations:
TPM doit être correctement activé dans le BIOS
Les GPO MBAM doivent être configurés au préalable
Script pour éjecter le lecteur CD/DVD si un média est présent
Microsoft BitLocker Administration and Monitoring 2 Administrator’s Guide
Deploying the MBAM 2.0 Client

Yannick Plavonil est un consultant, spécialisé dans les solutions de gestion et déploiement Windows en entreprise. Activement impliqué dans les communautés, il a reçu le titre Microsoft Most Valuable Professional (MVP). Ses domaines d'expertise comprennent les outils de déploiements Windows, MDT, WinPE, USMT, WDS, ConfigMgr et Intune.

Commentaires 0
Il n'y a actuellement aucun commentaire.