none
Chiffrement Bitlocker via GPO ne se réalise pas RRS feed

  • Question

  • Bonjour à tous,  
     
    J’ai récemment eu pour projet de chiffrer le disque système (C:) des pc de mon entreprise via Bitlocker pour Windows 10.  
    J’ai donc créé une GPO. Dans celle-ci j’ai configuré le mode de chiffrement, ainsi qu’un paramètre qui oblige le client à stocker la clé de recouvrement dans l’Active Directory. J’ai aussi ajouté un script de démarrage powershell qui permet de lancer le chiffrement si le disque n’est pas chiffré.
     
    Mon script powershell :
    if((Get-BitLockerVolume -MountPoint $env:SystemDrive).VolumeStatus -eq "FullyDecrypted" ){
       Initialize-Tpm
       Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -TpmProtector
       Enable-BitLocker -MountPoint $env:SystemDrive -RecoveryPasswordProtector -SkipHardwareTest
    }
     
    Je suis rapidement tombé face à un problème : Mon script powershell s’exécute bien, mais j’ai une popup qui me sort ce message d’erreur.  
    "Bitlocker could not be enabled. The Bitlocker encryption key cannot be obtained. Verify that the TPM Module is enabled and ownership has been taken. If this computer does not have a TPM, verify that the USB drive is inserted".
     
    J’ai donc mené ma propre enquête :  
    -Le TMP est bien activé
    -Mon pc a bien accès au dossier où est stocké le script
    -Aucune erreur dans l'observateur d'évènements
    -Si j’exécute mon script powershell directement sur le pc, connecté avec un compte admin du domaine, le chiffrement se fait correctement et la clé est bien dans l’AD.  
    -J’ai donc essayé d’enregistrer la sortie de mon script powershell dans un fichier texte avec Start-Transcript, mais rien.  
    -Dans un élan de désespoir, j’ai fini par essayer de lancer le chiffrement via un script de démarrage batch et la commande manage-bde. J’ai ici aussi récupéré la sortie de mon script dans un fichier texte et j’ai enfin obtenu une erreur !  
     
    Mon "script" batch :
    whoami
    manage-bde –on C: -skiphardwaretest >> C:\Windows\Temp\BitLocker-TEST.txt 
     
    Sortie de mon script :
    autorite nt\système
    Chiffrement de lecteur BitLocker : outil de configuration version 10.0.19041
    Copyright (C) 2012 Microsoft Corporation. Tous droits réservés.
     
    Volume C: []
    [Volume du système d'exploitation]
    Protecteurs de clés ajoutés :  
     
    ERREUR : une erreur s'est produite (code 0x80070522) :  
    Le client ne dispose pas d'un privilège nécessaire.
    Cette erreur semble me dire tout simplement que le profil autorité nt\Système n’a pas assez de permissions (ce qui me semble curieux).
    J’ai donc essayé de chiffrer un autre disque que le disque système (Ici E:), et tout a très bien fonctionné. Le problème ne se produit donc que pour le disque système.  
     
    Avez-vous déjà rencontré ce genre de problème, ou auriez-vous des idées pour le résoudre ?
    mercredi 30 novembre 2022 15:31