Automatisation de la puce TPM chez Lenovo

L’outil le plus connu est « SRCMOS » mais il est en 16 bits, ce qui rend son usage impossible sur des systèmes d’exploitation 64 bits.

De plus, cet outil est utilisé pour appliquer un mot de passe au BIOS. Il n’est pas sûr de pouvoir l’utiliser pour TPM. Un autre outil chez Lenovo appelé « manage-tpm-vista » devrait normalement permettre d’activer TPM car il est utilisé à ce but à travers un utilitaire graphique Lenovo. Cependant, il n’y a aucune documentation et je n’ai rien réussi à obtenir.

Du côté WMI, un document intitulé « Interface Lenovo BIOS Windows Management Instrumentation Guide de déploiement » présente les options disponibles pour la gestion du BIOS. Ne cherchez pas l’acronyme TPM, il n’y a aucune référence. L’option du BIOS pour TPM est nommée « SecurityChip » mais cela ne permet en rien d’automatiser l’activation de la puce TPM sans valider l’action dans le BIOS lors du redémarrage du poste. Pour finir, j’ai rencontré certains modèles Lenovo qui nécessitent deux arrêts électriques de l’ordinateur pour activer TPM. Je n’ai pas encore trouvé de solution pour automatiser les arrêts d’une machine…

Notez qu’il existe plusieurs scripts disponibles sur la toile pour gérer l’activation de la puce TPM. Pour industrialiser l’activation de TPM dans une séquence de tâches SCCM (ou MDT), nous utiliserons des « Command Line » dans chacune desquelles nous placerons la ligne de commande adéquate. Voir figure 8.

Comme vous pouvez le constater, dans une seule et unique séquence de tâches, je peux gérer l’activation TPM de mes différents matériels. Cela est possible en utilisation des filtres WMI sur l’exécution des tâches. Nous pouvons organiser la séquence de tâches grâce à des dossiers. Nous terminons par prendre possession sur la puce TPM à partir de l’outil « Manage-bde.exe ».

Pour information, dans certains cas où vous imposez que le mot de passe TPM soit sauvegardé dans l’Active Directory, cela ne fonctionne pas pendant le déploiement SCCM. La raison est que les stratégies de groupe ne sont pas toujours appliquées pendant la phase de déploiement. Le contournement qui a été trouvé à ce problème est d’extraire les paramètres dans un fichier REG et de l’appliquer sur le poste avant la prise de possession de la puce TPM. Dès que la puce TPM est activée, nous pouvons passer à l’activation de BitLocker ou laisser la main à d’autres solutions.

Activation de BitLocker via SCCM/MDT

Que cela soit dans SCCM ou dans MDT, l’activation de BitLocker est prévue par défaut dans les produits. Il est possible de choisir les méthodes d’activation, à savoir TPM uniquement, Startup key sur USB ou TPM + Startup key. Nous avons également la possibilité de sauvegarder la clef de recouvrement BitLocker dans l’Active Directory. Voir figure 9.

Ces options sont intéressantes mais cette tâche ne répond pas à tous les besoins. Nous ne pouvons pas par exemple utiliser tous les types de protecteurs BitLocker. Cela n’est pas un problème car nous ne sommes pas obligés d’utiliser cette interface. Nous pouvons simplement ajouter une « Command Line » et renseigner la commande adéquate de « manage-bde ».

Conclusion

Le déploiement de BitLocker amène à se poser de nombreuses questions où il est parfois difficile d’y répondre rapidement. L’activation automatisée des puces TPM est certainement l’épreuve la plus douloureuse. Le déplacement de WinRE, même complexe, est facilité par des scripts disponibles par Microsoft. Il reste à prendre les bonnes décisions concernant DaRT qui peut se rendre très utile par les équipes Support. Pour conclure, BitLocker répond à des besoins forts des entreprises et Microsoft propose désormais tous les outils permettant de gérer cette sécurité !