Montage plateforme Microsoft BitLocker Administration and Monitoring - partie 9 - Déverrouiller un TPM locké
Ceci est le neuvième billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).
Les premières parties de cette série sont visibles aux adresses suivantes :
- Partie 1 - Introduction et présentation de la plateforme
https://blogs.technet.com/b/stanislas/archive/2011/08/04/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspx - Partie 2 - Installation du serveur MBAM
https://blogs.technet.com/b/stanislas/archive/2011/08/05/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-2-installation-du-serveur-mbam.aspx - Partie 3 - Gestion des rôles utilisateurs MBAM
https://blogs.technet.com/b/stanislas/archive/2011/08/08/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-3-gestion-des-r-244-les-utilisateurs-mbam.aspx - Partie 4 – Vérification de la bonne installation du serveur MBAM
https://blogs.technet.com/b/stanislas/archive/2011/08/09/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-4-v-233-rification-de-la-bonne-installation-du-serveur-mbam.aspx - Partie 5 – Déploiement du client MBAM sur les postes Windows 7
https://blogs.technet.com/b/stanislas/archive/2011/08/10/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-5-d-233-ploiement-du-client-mbam-sur-les-postes-windows-7.aspx - Partie 6 – Configuration du client MBAM via Stratégie de groupe
https://blogs.technet.com/b/stanislas/archive/2011/08/11/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-6-configuration-du-client-mbam-via-strat-233-gie-de-groupe.aspx - Partie 7 - Test de fonctionnement sur le poste client Windows 7
https://blogs.technet.com/b/stanislas/archive/2011/08/12/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-7-test-de-fonctionnement-sur-le-poste-client-windows-7.aspx - Partie 7 – Test de fonctionnement sur le poste client Windows 7
https://blogs.technet.com/b/stanislas/archive/2011/08/12/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-7-test-de-fonctionnement-sur-le-poste-client-windows-7.aspx - Partie 8 - Améliorations et récupération
https://blogs.technet.com/b/stanislas/archive/2011/08/15/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-8-am-233-liorations-et-r-233-cup-233-ration.aspx
Dans ce billet nous allons voir comment déverrouiller un PC Windows 7 dont le TPM a été bloqué suite à la saisie de X PIN incorrects (X étant une valeur variable en fonction des fabricants de TPM) ou X tentative de saisie du mot de passe TPM Owner dans la console d’administration du TPM.
Gestion du TPM dans la console d’administration MBAM
Ouvrir la console MBAM dans un navigateur Web (https://nomduserveur:81/) et cliquer sur Manage TPM dans le menu de gauche
Il faut saisir ici à minima le domaine de l’ordinateur et son nom.
Sélectionner la raison pour laquelle le fichier de mot passe du TPM Owner est nécessaire :
Reset PIN Lockout
Turn On TPM
Turn Off TPM
Change TPM Password
Clear TPM
Other
Cliquer sur Submit
Ici, j’ai obtenu un message : TPM owner password file is not found et pourtant dans le rapport d’audit des récupérations, cette requête est marquée comme Successful :-/
Il y a donc un problème dans ma configuration ou alors cette fonctionnalité est bugguée. En fait, il semblerait qu’elle ne soit pas très bien documentée non plus donc là pour l’instant, je n’ai pas de réponse…
[si certains ont une idée, je suis preneur
]
Du coup, je me suis penché sur ce fameux fichier TPM Owner Password et sur la réinitialisation du TPM de mon PC de tests.
Petit apparté : Comment réinitialiser un TPM ?
Sur ma machine de test (ce bon vieux Dell D820), j’ai initialisé le TPM il y a fort longtemps (du temps des betas de Windows Vista, c’est dire) et bien entendu comme j’ai oublié le mot de passe du propriétaire du TPM (TPM Owner Password)…
Du coup, voici la procédure pour réinitialiser un TPM et le mot de passe du propriétaire.
Important : dans cet exemple où le volume système était déjà chiffré par BitLocker, j’ai pris le temps de déchiffrer le volume avant de réinitialiser le TPM (de toute façon en post réinitialisation, la politique MBAM va m’imposer de chiffrer à nouveau le volume)
Sur le poste Windows 7, se connecter en tant qu’administrateur et ouvrir la console d’administration du TPM (tpm.msc)
Cliquer sur Clear TPM…
Sélectionner I do not have the TPM owner password (pas le choix de toute façon dans mon cas)
Cliquer sur Restart, là en fonction du matériel le message peut être différent
Sélectionner MODIFY
Une fois reconnecté en tant qu’administrateur, l’assistant TPM se poursuit
Redémarrer l’ordinateur. Une fois reconnecté en tant qu’administrateur, l’assistant TPM se poursuit
Ici j’ai choisi l’option création manuelle du mot de passe mais bon si il y a une option recommandée, pourquoi s’en priver ? 
Le mot de passe peut être sauvegardé sous la forme d’un fichier (.tpm)
Note : malgré le terme utilisé (tpm owner password file), ce fichier ne contient pas le mot de passe du propriétaire du TPM mais seulement un condensé (hash) SHA-1 encodé en base 64.
Voici à quoi ressemble un fichier “TPM Owner Password” généré par l’outil de gestion TPM de Windows 7 :
Il est aussi possible (et je le recommande en combinaison avec un stockage dans un coffre fort) d’imprimer le mot de passe du propriétaire du TPM
Le TPM est initialisé, le mot de passe du propriétaire est connu. C’est parfait avant une configuration de BitLocker par MBAM
Informations complémentaires :
- Understand the TPM Owner Password
https://technet.microsoft.com/en-us/library/cc732542.aspx - Windows Trusted Platform Module Management Step-by-Step Guide
https://technet.microsoft.com/en-us/library/cc749022(WS.10).aspx - Best Practices for Trusted Platform Module Management
https://msdn.microsoft.com/en-us/windows/hardware/gg487312 - Why you need to own your Trusted Platform Module (TPM)
https://blogs.technet.com/b/bitlocker/archive/2006/06/06/owntpm.aspx - Store TPM Recovery Information in Active Directory Domain Services
https://technet.microsoft.com/en-us/library/cc770660.aspx - TPM Owner Password Backup
https://technet.microsoft.com/en-us/library/cc733912(WS.10).aspx - BitLocker Drive Encryption Configuration Guide: Backing Up BitLocker and TPM Recovery
- Information to Active Directory
https://technet.microsoft.com/en-us/library/cc766015(WS.10).aspx - TPM, Bitlocker, Dell Computer Configuration Toolkit et SCCM ! https://www.pierresalvy.fr/tag/bitlocker/
- How to reset a TPM : https://onlinehelp.microsoft.com/en-us/mdop/hh301926.aspx
Prochains articles :
- Les rapports de la console MBAM
- Autres améliorations possibles de cette plateforme
- …
Comments
- Anonymous
November 30, 2011
Si MBAM est utilisé, la console TPM ne devrait pas être utilisée pour prendre possession du TPM. Cela empêche le client MBAM de transmettre l'owner password à la console, et de pouvoir le récupérer (c'est l'origine du message "TPM file not found"). Après reset du TPM, l'agent MBAM demandera à initialiser le TPM, et là, il pourra stocker tout ce qu'il faut dans la base cryptée.