Bonjour à tous,
Je suis en train de tester l'activation de Bitlocker à distance sur une machine portable. Sauf erreur de ma part, ce n'est pas possible via GPO, j'ai bien vu qu'il était possible de configurer Bitlocker, mais pas de l'activer, d'où les multiples scripts
que l'on trouve sur le web...
Nous avons donc concocté le notre, qui grâce aux commandes "manage-bde ..." permet d'activer Bitlocker sur les partitions C puis D, et d'enregistrer la clé de déchiffrement dans l'AD. Ce script fonctionne parfaitement, lorsqu'on l'exécute depuis
une session sur une machine. (voir script ci-bas)
Problème, si on tente d'exécuter ce script au démarrage de la machine via GPO (startup script), celui-ci s'exécute avec l'utilisateur SYSTEM, et rencontre une erreur:
Impossible d'activer Bitlocker : Impossible d'obtenir la clé de chiffrement Bitlocker. Vérifiez que le module de plateforme sécurisée (TPM) est activé et que la propriété en a été acquise. Si cet ordinateur n'a pas de module de chiffrement sécurisé,
vrifiez que le lecteur USB est inséré et disponible. C: n'a pas été chiffré.
Voilà deux jours que je cherche comment lancer un script autrement qu'avec l'utilisateur SYSTEM sur une machine distante.
j'ai tenté via Powershell en créant un objet "Creds" via un compte admin du domaine et un mot de passe crypté en .txt, mais ça ne fonctionne pas;
ConvertirTo-SecureString : Clé non valide pour l'utilisation dans l'état spécifié ....
Auriez-vous une idée? Retour d'expérience?
Merci d'avance!
--
Le script Powershell qui lance le batch en tant qu'admin du domaine:
#Spécifier l'identifiant qui lançera le batch
#Le mot de passe stocké est crypté en .txt
$User = "user_admin_du_domaine"
$Pwd = "path_to_password_crypte_.txt"
#Construire l'objet credentials powershell pour lancer le batch
$Creds=New-Object -TypeName System.Management.Automation.PSCredential `
-ArgumentList $User, (Get-Content $Pwd | ConvertTo-SecureString)
#Démarrer le batch de cryptage avec les identifiants spécifiés
start-process -FilePath "path_to_bitlocker_activation_script.bat" -Credential $Creds
Le batch pour activer bitlocker:
@echo OFF
rem Double check si bitlocker active
for /f "tokens=5 delims= " %%a IN ('manage-bde -status c: ^| FIND "Version"') DO SET ENCRYPTION-C=%%a
for /f "tokens=4 delims=, " %%c IN ('manage-bde -status c: ^| FIND "Pourcentage"') DO SET POURCENTAGE-C=%%c
rem securite avant execution
IF EXIST "C:\Windows\Bitlocker\log_bitlocker_C.txt" GOTO :cryptageD
IF NOT "%ENCRYPTION-C%" == "Aucun" GOTO :cryptageD
:cryptageC
rem creation des clefs de cryptage
manage-bde -protectors -add c: -RecoveryPassword
ping 127.0.0.1 > nul
rem check si clef bien crée
IF %errorlevel% neq 0 GOTO :end
rem si clé bien créée, cryptage
manage-bde -on C:
ping 127.0.0.1 > nul
rem redemarrage
IF EXIST "C:\Windows\Bitlocker\log_bitlocker_C.txt" GOTO :cryptageD
mkdir C:\Windows\Bitlocker
ECHO Cryptage du disque C demarre a %time% le %date% >> C:\Windows\Bitlocker\log_bitlocker_C.txt
shutdown -r -t 15 -c "Votre PC va redemarrer dans 15 secondes pour activer BITLOCKER"
GOTO :end
:cryptageD
for /f "tokens=5 delims= " %%b IN ('manage-bde -status d: ^| FIND "Version"') DO SET ENCRYPTION-D=%%b
rem securite avant execution
IF NOT "%ENCRYPTION-D%" == "Aucun" GOTO :ends
IF NOT "%POURCENTAGE-C%" == "100" GOTO :end
IF EXIST "C:\Windows\Bitlocker\log_bitlocker_D.txt" GOTO :end
ECHO Cryptage du disque D demarre a %time% le %date% >> C:\Windows\Bitlocker\log_bitlocker_D.txt
rem creation des clefs de cryptage
manage-bde -protectors -add d: -RecoveryPassword
ping 127.0.0.1 > nul
rem check si clef bien crée
IF %errorlevel% neq 0 GOTO :end
rem si clé bien créée, cryptage
manage-bde -on D:
Manage-bde -AutoUnlock -Enable D:
:end
Cordialement, Arnaud Rire
[RESOLU] Script d'activation Bitlocker à distance
