Peter Bretton

Comment gérer à distance le chiffrement de disque BitLocker à l'aide de PowerShell et de NinjaRMM

rmm use cases tips animated

La version 4.6 de NinjaRMM comprenait une amélioration significative de notre automatisation - l'introduction du contrôle des résultats des scripts. Cette nouvelle fonctionnalité permet à nos partenaires de surveiller le résultat des scripts et de créer des alertes, des notifications et des tickets basés sur cette sortie. Elle permet également de déclencher des automatisations basées sur ces mêmes sorties de script.

Un exemple de l'utilisation de cette amélioration est la gestion automatique du cryptage de disque BitLocker directement dans NinjaRMM à l'aide de PowerShell.

Pour y parvenir, il faut franchir trois étapes :

  1. Vérifier le statut de cryptage BitLocker des lecteurs
  2. Activer BitLocker et extraire la clé de récupération
  3. Créer une automatisation des politiques qui utilise les résultats du premier script pour déclencher le deuxième script

1) 1) Vérifier l'état de cryptage BitLocker des lecteurs

Vérifiez chaque volume d'un terminal en utilisant le cmdlet PowerShell Get-BitLockerVolumeet le paramètre ProtectionStatus pour identifier si un volume est non crypté.

Si un volume est non crypté, utilisez Write-Host pour renvoyer un identifiant unique (par exemple "Bitlocker Disabled for Volume" pour déclencher le moniteur du résultat du script en Ninja.

2) Activer BitLocker et extraire la clé de récupération

Tout d'abord, vérifier et activer le TPM

BitLocker peut être activé avec ou sans TPM (Trusted Platform Module). Sans TPM, un drapeau supplémentaire est nécessaire pour activer BitLocker.

Pour obtenir l'état du TPM, vous devez utiliser la commande Get-Tpm Cmdlet Si le TPM n'est pas disponible, vous devrez l'initialiser, ce qui peut être fait avec Initialize-Tpm.

Vérifiez le statut de protection de chaque lecteur que vous souhaitez crypter

Vous ne voulez pas activer BitLocker pour des lecteurs qui sont déjà cryptés, vous devez donc vérifier l'état de protection de chaque lecteur avant d'activer BitLocker. Vous pouvez vérifier l'état d'un lecteur avec Get-BitLockerVolume et ProtectionStatus.

Activer Bitlocker

Utilisez Enable-BitLockerpour activer BitLocker pour les volumes non cryptés. Il y a quelques paramètres à prendre en compte lors de l'utilisation de Enable-BitLocker :

  • MountPoint vous permet de spécifier quel(s) volume(s) est/sont crypté(s).
  • EncryptionMethod vous permet de spécifier la méthode utilisée pour crypter le volume.
  • UseSpaceOnly peut être utilisé pour accélérer le processus de cryptage en ne cryptant pas l'espace inutilisé.
  • TpmProtector indique que le TPM est le protecteur du volume spécifié.
Rassembler et conserver les clés de récupération

Si vous n'avez pas la clé de récupération pour un volume donné, et que quelque chose tourne mal, vous ne pourrez jamais récupérer les données sur ce volume. Pour récupérer les clés de récupération dans NinjaRMM, vous pouvez utiliser Write-Host et Get-BitLockerVolume et KeyProtector pour récupérer le KeyProtector et l'écrire dans le journal d'activité de cet appareil dans NinjaRMM.

Vous voudrez ensuite transférer le KeyProtector sur votre plateforme de documentation informatique (comme IT Glue) ou dans l'onglet Notes de NinjaRMM.

3) Activer l'automatisation dans NinjaRMM

Dans votre stratégie parent :

  1. Programmez le premier script pour vérifier l'état de cryptage des nouveaux appareils selon un calendrier de votre choix.
  2. Créez une nouvelle condition afin de monitorer le résultat du script qui se déclenche lorsque l'identifiant unique créé dans le script initial ("BitLocker Disabled for Volume") est détecté. Définissez la condition pour déclencher le script PowerShell "Activer BitLocker" que vous avez créé à l'étape 2.