Sommaire
Comment Tanium peux m’aider à chiffrer les lecteurs de mes Endpoints avec Bitlocker. 1
1- Paramétrer le module de chiffrement 2
2- Création d’une stratégie pour Bitlocker. 4
3- Déploiement de la stratégie sur un groupe de périphériques. 7
4- Chiffrement du périphérique. 8
5- Surveillance et affichage des clés. 10
Qu’est-ce que Bitlocker?
BitLocker est la technologie de chiffrement Windows qui protège vos données contre les accès non autorisés en chiffrant votre lecteur et en exigeant un ou plusieurs facteurs d’authentification avant qu’il ne le déverrouille
Comment Tanium peux m’aider à chiffrer les lecteurs de mes Endpoints avec Bitlocker
Le chiffrement des Endpoints avec Bitlocker est possible en utilisant le module Tanium Enforce.
Le module Enforce simplifie la gestion des Endpoints en offrant une gestion centralisée des politiques pour les systèmes d’exploitation, les applications et la sécurité sur les environnements Windows, Linux et macOS et ce quel que soit l’emplacement de l’appareil (sur site, à distance ou dans le cloud)
1- Paramétrer le module de chiffrement
Se connecter sur l’interface Web de Tanium.
Cliquer sur « Modules | Enforce »
Cliquer sur « Endpoint Endpoint Encryption »
Cliquer sur « Configure Endpoint Encryption »
Il va être nécessaire de configurer les éléments suivant via l’assistant :
Cliquer sur « Generate Key » et cliquer sur « Save Key » afin de sauvegarder la clé de chiffrement.
Cocher sur « TMS hosted » afin d’héberger les clés de recouvrement dans une base locale hébergée sur le serveur Tanium et cliquer sur « Save »
Le paramétrage est terminé
2– Création d’une stratégie pour Bitlocker
Dans le menu « Enforce », cliquer sur « Create policy »
Nommer la stratégie, sélectionner « Windows » dans le menu « Platform ».
Dans le menu « Policy Type », sélectionner « Bitlocker », enfin cocher « Create Policy »
Dans le menu « Global Encryption Settings » indiquer le type de chiffrement souhaité « Hardware|Software| Harware and Software » puis indiquer la méthode de chiffrement pour les différentes versions de Windows
Indiquer si vous souhaitez chiffre les disques contenant l’OS et si l’on souhaite chiffre le disque entier ou uniquement l’espace utilisé
Indiquer la stratégie des codes PIN/Password
Cocher les options nécessaires pour des disques amovibles
Il est possible de spécifier un logo pour améliorer le rendu utilisateur
Spécifier des messages personnalisés à destination de vos utilisateurs finaux
Il est possible de manière optionnelle de configurer un portail de récupération de clé sur un serveur Tanium. (Ce portail ne peut être hébergé sur le même serveur hébergeant la base de données qui stocke les clés de récupération)
Le portail permettra aux utilisateurs de retrouver leur code PIN ou password
Enfin, indiquer le nombre de jour pour la rotation des clés.
Cliquer sur « Save »
3– Déploiement de la stratégie sur un groupe de périphériques
Lorsque la stratégie est configurée, il est nécessaire de la déployer sur un groupe de périphériques :
Cliquer sur « Enforce »
Indiquer un nom, un groupe de périphériques ou un périphérique unique puis cliquer sur « Save »
Patienter durant l’application de la stratégie
4– Chiffrement du périphérique
Dès que la stratégie est appliquée, l’utilsiateur final connecté sur le périphérique va recevoir les notifications suivantes :
Il devra spécifier un code PIN :
Lorsqu’il aura spécifié son code PIN, un message préviendra l’utilisateur qu’il va être sollicité pour un redémarrage :
L’utilisateur reçoit ce dernier message avant la demande de redémarrage :
Après le redémarrage de son poste, le popup de Bitlocker apparait prévenant que son lecteur C : est en cours de chiffrement :
Enfin après le chiffrement, et au prochain redémarrage, l’utilisateur final devra saisir le code PIN précédemment rentré :
5– Surveillance et affichage des clés
Les clés de chiffrement sont disponibles dans la console de gestion de Tanium.
Se connecter sur la console WEB de Tanium et ouvrir le module « Enforce|Endpoint Encryption »
Dans le menu « Bitlocker Recovery Keys » on peut visualiser les clés
Il est également possible au travers de la console Tanium de consulter des dashboards et/ou d’en créer de nouveaux de manière à disposer d’une vue plus globale sur l’état de chiffrement des périphériques :
Enfin l’onglet « BitLocker Recovery Key Access » permet de suivre l’utilisation des clés de récupération.
Article rédigé par Nicolas Q.