Montage plateforme Microsoft BitLocker Administration and Monitoring - partie 7 – Test de fonctionnement sur le poste client Windows 7
Ceci est le septième billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).
Les premières parties de cette série sont visibles aux adresses suivantes :
- Partie 1 - Introduction et présentation de la plateforme
https://blogs.technet.com/b/stanislas/archive/2011/08/04/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspx - Partie 2 - Installation du serveur MBAM
https://blogs.technet.com/b/stanislas/archive/2011/08/05/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-2-installation-du-serveur-mbam.aspx - Partie 3 - Gestion des rôles utilisateurs MBAM
https://blogs.technet.com/b/stanislas/archive/2011/08/08/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-3-gestion-des-r-244-les-utilisateurs-mbam.aspx - Partie 4 – Vérification de la bonne installation du serveur MBAM
https://blogs.technet.com/b/stanislas/archive/2011/08/09/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-4-v-233-rification-de-la-bonne-installation-du-serveur-mbam.aspx - Partie 5 – Déploiement du client MBAM sur les postes Windows 7
https://blogs.technet.com/b/stanislas/archive/2011/08/10/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-5-d-233-ploiement-du-client-mbam-sur-les-postes-windows-7.aspx - Partie 6 – Configuration du client MBAM via Stratégie de groupe
https://blogs.technet.com/b/stanislas/archive/2011/08/11/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-6-configuration-du-client-mbam-via-strat-233-gie-de-groupe.aspx
Dans ce billet nous allons voir tester le fonctionnement du client MBAM sur un poste Windows 7 Entrerprise
Mais avant : un peu d’administration depuis la console MBAM
Dans l’épisode précédent, j’ai créé une stratégie de groupe configurant le client MBAM pour imposer le chiffrement sur la partition du Système.
Dans la GPO définie précédemment (cf. ici), j’ai activé un paramétrage baptisé “Allow hardware compatibility checking”. Cette fonctionnalité permet de chiffrer avec BitLocker uniquement les PC marqués comme étant compatibles et donc d’éviter les surprises si vous avez un parc de machines un peu hétérogène avec des “vieux” PC.
Note : cette fonctionnalité n’est pas active par défaut
Chaque PC qui reçoit ce paramètre va remonter au serveur MBAM le fabricant et le modèle du PC.
Quand cette fonctionnalité est désactivée, tous les PC sur lesquelles a été appliquée la GPO sont chiffrés avec BitLocker.
Ouvrir la console MBAM (dans le navigateur Web : https://lh04R2:81/)
Dans l’arborescence de gauche, cliquer sur Hardware pour voir la compatibilité des modèles de PC avec BitLocker
La liste des modèles d’ordinateurs qui ont l’agent MBAM exécuté est visible avec pour chaque modèle un statut qui peut prendre 3 valeurs :
- Compatible : la machine dispose d’un TPM version 1.2 ou supérieure. Elle est donc compatible BitLocker
- Incompatible: la machine n’a pas de TPM ou un TPM inadapté à BitLocker
- Unknown : la remontée d’information n’a pas permis à MBAM de déterminer l’état de compatibilité de la machine avec BitLocker
Dans cette plateforme c’est assez simple : je n’ai pour l’instant qu’un seul client (un Dell D820) dont le statut est Unknown
Cocher la ligne correspondant au PC pour modifier le status et cliquer sur Change to Compatible (le Dell D820 est parfaitement compatible avec BitLocker)
Retour sur le poste de travail Windows 7 (client MBAM)
Une fois que le client MBAM a revérifié auprès du serveur MBAM son état de compatibilité et vu qu’il est marqué comme compatible, alors il peut proposer à l’utilisateur de chiffrer le disque.
Important : Une fois qu’un statut de compatibilité matérielle est émis au client MBAM, il va se passer un certain temps avant qu’il revérifie son statut de compatibilité matérielle auprès du serveur MBAM.
Le client MBAM va attendre :
- 24 heures si le statut est marqué à Unknown ou Compatible
- 7 jours si le statut est marqué à Incompatible
Pour accélérer ce processus de vérification (typiquement dans le cadre de démonstrations, tests…), il est possible de forcer une revérification rapide. Pour cela, ouvrir l’éditeur de la base de Registre et supprimer les valeurs suivantes
Chemin : HKLM\Software\Microsoft\MBAM
Valeur : HWExemptionTimer; HWExemptionType
Redémarrer ensuite le service “BitLocker Client Management Service”
Le client MBAM va alors faire une nouvelle vérification de son statut de compatibilité matérielle auprès du serveur MBAM.
Pour vérifier si la connexion avec le serveur MBAM fonctionne bien, il est possible de jeter un oeil dans les journaux d’évènement du poste client :
Application and Services Logs -> Microsoft -> Windows -> MBAM -> Operational logs
Si le status est marqué à Compatible alors il devient possible de chiffrer le disque dur.
L’assistant de chiffrement du disque dur peut prendre jusqu’à 90 min avant de se lancer.
Pour forcer l’exécution rapide (sous quelques minutes) de l’assistant de chiffrement BitLocker, ouvrir la base de Registre et ajouter la valeur suivante :
Chemin : HKLM\Software\Microsoft\MBAM
Valeur : NoStartupDelay
Type: DWORD
Affecter : 1
Puis redémarrer le service “BitLocker Client Management Service”
Assistant MBAM :
Fini, le disque est chiffré 
Informations complémentaires :
- Planning Hardware Management for MBAM
https://onlinehelp.microsoft.com/en-us/mdop/hh285626.aspxhttps://onlinehelp.microsoft.com/en-us/mdop/hh285626.aspx - How to Manage Hardware Compatibility
https://onlinehelp.microsoft.com/en-us/mdop/hh285635.aspx - Verifying MBAM Hardware Compatibility Status Checks
https://social.technet.microsoft.com/wiki/contents/articles/verifying-mbam-hardware-compatibility-status-checks.aspx
Prochains articles :
- Administration, récupération et autres rapports avec la console MBAM
- Les améliorations possibles de cette plateforme
- …