Cryptage des données de récupération sur le réseau
S’applique à : Gestionnaire de Configuration (branche actuelle)
Lorsque vous créez une stratégie de gestion BitLocker, Configuration Manager déploie le service de récupération sur un point de gestion. Dans la page Gestion des clients de la stratégie de gestion BitLocker, lorsque vous configurez les services de gestion BitLocker, le client sauvegarde les informations de récupération des clés dans la base de données du site. Ces informations incluent les clés de récupération BitLocker, les packages de récupération et les hachages de mot de passe TPM. Lorsque les utilisateurs sont verrouillés hors de leur appareil protégé, vous pouvez utiliser ces informations pour les aider à récupérer l’accès à l’appareil.
Étant donné la nature sensible de ces informations, vous devez les protéger.
Importante
À compter de la version 2103, l’implémentation du service de récupération a changé. Il n’utilise plus les composants MBAM hérités, mais il est toujours conceptuellement appelé service de récupération. Tous les clients version 2103 utilisent le composant moteur de traitement des messages du point de gestion comme service de récupération. Ils mettent sous séquestre leurs clés de récupération sur le canal de notification du client sécurisé. Avec cette modification, vous pouvez activer le site Configuration Manager pour http amélioré. Cette configuration n’affecte pas les fonctionnalités de gestion BitLocker dans Configuration Manager.
Lorsque le site et les clients exécutent Configuration Manager version 2103 ou ultérieure, les clients envoient leurs clés de récupération au point de gestion via le canal de notification du client sécurisé. Si des clients sont sur la version 2010 ou antérieure, ils ont besoin d’un service de récupération HTTPS sur le point de gestion pour récupérer leurs clés.
Conditions requises pour les certificats HTTPS
Remarque
Ces exigences s’appliquent uniquement si le site est version 2010 ou antérieure, ou si vous déployez des stratégies de gestion BitLocker sur des appareils avec Configuration Manager client version 2010 ou antérieure.
Configuration Manager nécessite une connexion sécurisée entre le client et le service de récupération pour chiffrer les données en transit sur le réseau. Utilisez l’une des options suivantes :
Activez HTTPS sur le site web IIS sur le point de gestion qui héberge le service de récupération, et non sur l’intégralité du rôle de point de gestion.
Configurez le point de gestion pour HTTPS. Sur les propriétés du point de gestion, le paramètre Connexions clientes doit être HTTPS.
Remarque
Si votre site a plusieurs points de gestion, activez HTTPS sur tous les points de gestion du site avec lesquels un client géré par BitLocker peut potentiellement communiquer. Si le point de gestion HTTPS n’est pas disponible, le client peut basculer vers un point de gestion HTTP, puis ne pas mettre sa clé de récupération sous séquestre.
Cette recommandation s’applique aux deux options : activer le point de gestion pour HTTPS ou activer le site web IIS qui héberge le service de récupération sur le point de gestion.
Configurer le point de gestion pour HTTPS
Dans les versions antérieures de Configuration Manager Current Branch, pour intégrer le service de récupération BitLocker, vous deviez activer HTTPS pour un point de gestion. La connexion HTTPS est nécessaire pour chiffrer les clés de récupération sur le réseau, du client Configuration Manager au point de gestion. La configuration du point de gestion et de tous les clients pour HTTPS peut être difficile pour de nombreux clients.
Activer HTTPS pour le site web IIS
La configuration HTTPS est désormais requise pour le site web IIS qui héberge le service de récupération, et non pour l’ensemble du rôle de point de gestion. Cette configuration assouplit les exigences de certificat et chiffre toujours les clés de récupération en transit.
La propriété Connexions clientes du point de gestion peut être HTTP ou HTTPS. Si le point de gestion est configuré pour HTTP, pour prendre en charge le service de récupération BitLocker :
Acquérir un certificat d’authentification serveur. Liez le certificat au site web IIS sur le point de gestion qui héberge le service de récupération BitLocker.
Configurez les clients pour qu’ils approuvent le certificat d’authentification du serveur. Il existe deux méthodes pour obtenir cette approbation :
Utilisez un certificat d’un fournisseur de certificats public et globalement approuvé. Les clients Windows incluent des autorités de certification racines approuvées de ces fournisseurs. En utilisant un certificat d’authentification serveur émis par l’un de ces fournisseurs, vos clients doivent lui faire confiance automatiquement.
Utilisez un certificat émis par une autorité de certification à partir de l’infrastructure à clé publique (PKI) de votre organisation. La plupart des implémentations PKI ajoutent les autorités de certification racines approuvées aux clients Windows. Par exemple, l’utilisation des services de certificats Active Directory avec une stratégie de groupe. Si vous émettez le certificat d’authentification serveur à partir d’une autorité de certification que vos clients n’approuvent pas automatiquement, ajoutez le certificat racine approuvé de l’autorité de certification aux clients.
Conseil
Les seuls clients qui doivent communiquer avec le service de récupération sont les clients que vous envisagez de cibler avec une stratégie de gestion BitLocker et qui incluent une règle de gestion des clients .
Résoudre les problèmes de connexion
Sur le client, utilisez bitLockerManagementHandler.log pour résoudre les problèmes de cette connexion. Pour la connectivité au service de récupération, le journal affiche l’URL que le client utilise. Recherchez une entrée dans le journal en fonction de la version de Configuration Manager :
- Dans les versions 2103 et ultérieures, l’entrée commence par
Recovery keys escrowed to MP
- Dans les versions 2010 et antérieures, l’entrée commence par
Checking for Recovery Service at
Prochaines étapes
Le chiffrement des données de récupération dans la base de données est un prérequis facultatif avant de déployer la stratégie pour la première fois.