vendredi 6 juillet 2012

Déployer Windows 8 avec ADK/SCCM 2012 SP1/MDT 2012 Update 1

RETUNE_REVERB_by_momentica_one

Les TechEd 2012 viennent d’avoir lieu consécutivement aux Etats Unis et en Europe. Ce fut l’occasion pour Microsoft d’en dévoiler un peu plus sur les améliorations technique de Windows 8 au travers d’une dizaine des sessions, mais également d’annoncer la version Beta d’MDT 2012 Update 1. Enfin… ça c’est ce qui s’est passé si vous y étiez ! Par contre si vous aviez espoir de découvrir tout ceci via les sessions en podcast, la surprise a du avoir un certain gout d’amertume…

Petite explication pour ceux qui ne l’aurait pas encore découvert : Microsoft à délibérément supprimé tous les podcasts des sessions en rapport avec Windows 8 sur ses deux évènements ! Sur quoi s’étaye cette nouvelle théorie complotiste ? J’ai eu par chance la possibilité de télécharger une de ces vidéo quelques heures avant sa disparition total, je suis donc sure qu’au moins une partie de ces vidéos existent et qu’elles ont étés volontairement retirées…

Fin de parenthèse sur cette étrange attitude de Microsoft ! La bonne nouvelle, c’est que cette vidéo récupérée est une véritable mine d’informations sur Windows 8 et sur les nouvelles technologies mise en place pour le déployer..

J’ai donc compilé dans un billet un peu “four-tout” les informations les plus intéressantes que j’ai trouvé dans cette vidéos ainsi que dans deux autres dont le contenu valait également le detour  :

L’ensemble donne une vision assez précise de ce que sera le déploiement de Windows 8, mais je vous laisse en juger par vous même :

windows-8-logo2

 

Windows ADK

image

ADK remplace le WAIK. L’installation de WAIK+ADK sur une même machine n’est pas supporté par Microsoft.

ADK contient un ensemble d’outils dont voici les principales évolutions :

  • WinPE passe en version 4.0 et supporte .Net Framework 4.0
  • USMT passe en version 5.0 et supporte Windows 8
  • DISM est mis à jour pour supporter l’installation d’application Metro et de VHD.
  • ACT passe en version 6.0 pour supporter Windows 8
  • VAMT est mis à jour pour supporter l’activation de Windows 8 et Office 2013

Des outils non dévolus au déploiement, mais à la mesure des performances de Windows font également leur apparition :

  • Windows Performance toolkit (outils Xperfs)
  • Windows Assessement toolkit. Nouvel outil qui permet de lancer des batteries de tests sur une machine fraichement installée.

Le scénario d’utilisation de ces nouveaux outils est à priori le lab ; on installe un OS sur un nouveau matériel dont on chercher à mesurer les performances, puis on lui fait subir une série de test.

L’outil présente un grand intérêt pour les OEM qui peuvent valider les perfs de leur matériels/applications/drivers avant livraison au publique.

Unattend.xml

Bonne nouvelle, Windows 8 n’est plus limité à 3 sysprep. L’option SkipRearm est maintenant utilisée pour définir l’état de la licence : Si une clé est spécifiée Windows est alors activée automatiquement et supporte alors un nombre illimité de sysprep.

Quelque balises supplémentaires on étés ajouter pour prendre en charge Windows 8, en voici quelque exemples :

HideOnlineAccountScreen : pour supprimer la demande de compte en ligne, en phase Oobe ajoutez les balises :

<OOBE>
  <HideOnlineAccountScreen>true</HideOnlineAccountScreen>
</OOBE>

HideWirelessSetupInOOBE : pour supprimer la page de sélection des réseaux Wifi :

<OOBE>
<HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>
</OOBE>

L'édition de fichiers Unattend.xml s’effectue toujours via l’outil WSIM, mais contrairement à Windows 7 les fichiers .CFG (fichiers de catalogue) ne font plus partie de l’image de Windows  8, Vous devez utiliser WSIM pour les créer avant de pouvoir éditer les propriétés de vos fichiers XML.

Windows Boot Manager (Bootmgr.exe) :

Le  boot manager de Windows 8 fonctionne différemment de celui de Windows 7 et charge un nombre plus important de composants (les composants tactiles) avant d’arriver au menu de boot. Il à donc besoin de rebooter si il doit charger un OS diffèrent dans le cas d’un dual boot, d’un boot from VHD, d’un legacy boot (WinXP), ou d’un changement d’architecture.

 

Windows PE 4.0

Intègre le support du .Net Framework 4.0 et de Powershell 3.0

Sont également inclut tout un ensemble de cmdlet pour paramétrer les périphériques de stockage, les périphériques iSCSI, le Secure Boot UEFI, et DISM.

Activation de BitLocker dans le PE (BitLocker Offline) :

Cette nouvelle fonctionnalité permet de réduire le temps d’encryptions d’un disque à quelques secondes.

Le PE pourra désormais activer le disque d’installation pour l’encryptions en utilisant une clé de sécurité en claire (Le PC doit disposer d’une puce TPM).

L’encryptions du disque ne prendra que quelque secondes si le disque est vide. puis l’OS sera installé et la clé de sécurité en claire sera alors cryptée.

Cette fonctionnalité est déjà intégré dans MDT 2012 et MDT 2012 Update 1. Elle fonctionne également avec Windows 7. MDT détecte que vous avez installé WindowsPE 4 et l’utilisera automatiquement sur une installation de Windows 7 si l’option Bitlocker est activé.

Cette fonctionnalité requière l’installation du composant Secure Boot

Attention : la fonction Offline Bitlocker ne fonctionne pas correctement avec la version 1.0 de MBAM(Fixé dans la version ultérieur).

Il n’y a pas d’impact négatif si une GPO de récupération de la clé dans AD a été configuré.

Temps d’installation :

Windows 8 est plus rapide à installer (10 mins vs 15 mins) et à une taille sensiblement plus petite (1.97GB vs 1.89GB) que sont prédécesseur Windows 7. les prérequis matériels sont pour autant les mêmes.

La principale raison de cette accélération est nouveau WinPE 4.0 de Windows 8 qui à été optimisé, et qui lorsqu'il est utilisé avec Windows 7 diminue également son temps d’installation (soit 10mins comme sur Windows 8).

Attention : L’installation de W7 avec le PE de L’ADK va générer des messages d’erreur durant l’installation (Setup.exe de W7 étant non compatible avec PE 4.0). cependant l’installation va se faire normalement.

  • Work Around 1 : Utiliser le setup.exe de W8 pour déployer W7.
  • Work Around 2 : Utilisez MDT 2012 qui est maintenant capable d’installer W7/W8 sans utiliser le setup.exe. Pour activer cette fonctionnalité, importez votre image d’OS sans setup.exe. Michael Niehaus détail cette fonctionnalité ici.

 

USMT 5

La mise à jour d’USMT est relativement mineur et consiste essentiellement à être compatible avec Windows 8. Certaines fonctionnalités ont également étés corrigées ou améliorées.En voici une description exhaustive présenté par Ned Pyle.

USMT  5 remplace avantageusement USMT 4 dans la plus part des cas. Cependant, si vous devez migrer des settings de XP vers XP utilisez USMT 3. Sinon utilisez USMT 5 dans tous les autres cas. (Une exception existe également pour Vista qui ne supporte que USMT 4, mais qui utilise encore vista…)

Ce tableau récapitule les versions d’USMT compatibles en fonction de l’OS source (colonne) vers l’OS destination (ligne) :

image

le mécanisme de mise à niveau de Windows 7 vers Windows 8 (à ne pas confondre avec la migration) supporte désormais les Hardlinks ce qui réduit d’au temps plus les temps de migration.

 

DISM

Dism remplace ImageX et reprend toutes ses fonctionnalités notamment la capture

Dism supporte le montage de VHD.

Dism est maintenant utilisable  via des cmdlet PowerShell (Attention toutes les options ne sont pas implémentées).

Dism supporte le provisioning du Store d’application Metro. Vous pouvez également lire quelques explications supplémentaires sur le blog Alex Verboon.

De façon général, Microsoft distingue deux modes d’installation pour les applications Metro :

  • Le provisionning : Installation avec un compte administrateur. Les applications sont disponibles pour tous les utilisateurs qui ouvriront une session sur le PC.
  • L’installation : Qui s’effectue avec un compte utilisateur et qui n’est disponible que pour l’utilisateur qui a installé l’application.

Les applications Metro sont constituées d’un package au format .appx et d’un certificat signé par une autorité reconnu par la machine où il sera installé. 

DISM peut cependant installer des applications sans licences (LOB) :

DISM /online /add-ProvisionedAppxPackage /PackagePath:C:\MyApp.appx /SkipLicense

Mais Microsoft ne recommande de n’utiliser cette méthode qu’à des fins de test.

 

PowerShell

Sous Windows PE :

Vous devez avoir au préalable installé les modules : PowerShell, .Net Framework 4 ainsi que les modules de cmdlet que vous souhaitez utiliser.

Dans MDT 2012 :

Sous Windows 7, la tâche “exécutée un script power Shell” ne supporte Powershell 3.0 que dans le PE. Lors du déploiement c’est la version 2.0 de Powershell qui sera utilisé. Ceci est du au fait que c’est le .Net Framework  4.0 qui est installé dans le PE 4.0, alors que sous Seven, c’est le Framework 3.5.1 qui est installé avec l’ OS et qui exploite la version 2.0 de Powershell.

Sous Windows 8 vous pouvez utiliser Powershell 3.0 de bout en bout.

2012-07-17_23h25_13

Par défaut  MDT ira chercher les script Powershell dans le répertoire Script.

Pour accéder au fonctionnalités d’MDT dans vos scripts Powershell, vous devez à l’instar de vbscript importer l’ensemble des outils créer par le script ZTIUtility.

Ce script dispose de sont équivalent Powershell et s’appelle de la façon suivante :

Import-Module ZTIUtility.psm1 –Global

Deux conteneurs installés en tant que lecteurs permettent d’accéder à toutes les variables de la task sequence en cours :

tsenv: Liste des variables

tsenvlist: Listes des variables ayant plusieurs sous valeurs (Ex: IPAddress1,IPAddress2 etc…)

La récupération d’information s’effectue en appelant la propriété voulu au sein du lecteur comme dans cet exemple : $tsenv:ScriptRoot.

Pour modifier une valeur on ajoute un “ = “ et la nouvelle valeur : $tsenv:ScriptRoot = “C:\MyRootScriptFolder”

L’écriture d’information dans le fichier de log s’effectue avec les commandes Write-Host ou Out-Host.

L’écriture de warning et d’erreur dans le fichier de log s’effectuent via les cmdlet Write-Warning et Write-Error.

Diskpart est déprécié, il est toujours supporté mais sera remplacé par un nouveau jeux de cmdlet PowerShell. Quelques exemples d’utilisation ici par Thomas Maurer.

Les applications Metro disposent de cmdlet pour vous permettre de les ajouter à chaud ou offline.

 

MDT 2012/ 2012 Update 1

Installation de Windows 8

Pour pouvoir installer Windows 8 Release Preview avec MDT, vous avez besoin d’utiliser une clé d’activation ‘Retail’. La clé est disponible sur la page de download de Windows 8. Vous pouvez éventuellement utiliser la clé situé sur l’image d’installation de Windows 8 qui se trouve dans Sources\Product.ini. cette clé vous permettra d’installer Windows, mais vous demandera une activation via internet sous 30 jours pour vous laisser utiliser l’OS.

La clé ‘Retail’ contrairement au clé MAK ou KMS à un nombre d’activation illimité, mais doit être activée sur internet depuis chaque machine ou elle est installée.

Donc pour MDT lors de la création d’une Task Sequence choisir l’option : “spécify the product key for this operating system.”:

image

Si vous déployez Server 2012 RC vous n’avez pas à entrer de clé d’activation.

Au chapitre des améliorations, MDT 2012 crée maintenant les partition dans le bonne ordre, contrairement à la version 2010 qui créait toujours la partition de boot à la fin du disque.

De nouvelles options font également leur apparition pour vous permettre de masquer le bureau et le gestionnaire de tâche durant un déploiement MDT  :

HideShell=Yes supprime l’explorateur durant le déploiement
DisableTaskMgr=Yes supprime le gestionnaire des tâche durant le déploiement.

Le masquage de l’explorateur (HideShell) est réalisé en lançant le script LiteTouch.wsf d’MDT depuis la clé de registre RunOnce plutôt que depuis ..Start Menu\Programs\Startup ce qui à pour effet de lancer MDT avant l’ouverture complète de la session et notamment le lancement de l’explorateur.

L’exécution en mode RunOnce n’est pas sans conséquences, et il est possible que certaines applications ne s’installent pas correctement mais également que certains programmes liés à internet explorer (qui à ce stade n’est pas initialisé) puissent rencontrer quelques problèmes. Il est donc important de tester vos Task Sequence dans ce mode avant de les mettre en production.

USMT dans MDT :

MDT 2012 permet maintenant de faire cohabiter les différentes versions d’USMT.

L’installation des différentes version dépend en premier lieu du choix que vous avez fait pour les outils de base : WAIK ou ADK ? Avec le WAIK vous aurez installé USMT 4 avec ADK ce sera la version 5.

Si vous êtes dans un scénario faisant appel à une version plus ancienne d’USMT comme par exemples :

  • Vous vous faire un refresh de Windows XP
  • Vous avez installé ADK et souhaitez migrer des profiles de Vista vers Seven.

Vous devrez installer manuellement les version d’USMT dont vous avez besoin (cf le tableau plus haut dans cet article). Placez dans le répertoire Tools\x86 ou x64 de votre Deployment Share :

image

La version 3 d’USMT peut être téléchargé par MDT en allant dans Information Center>Components 

Pour les version 4 ou 5 il vous faudra soit les extraire des WAIK/ADK soit les importer d’une machine où ils sont déjà installés.

Roles & Features :

MDT 2012 Update 1 dispose d’une nouvelle tâche “Install Roles and Features” qui permet d’installer précisément toute option depuis Windows XP jusqu’à Server 2012.

image

Si aucun rôle n’est sélectionné et que la tâche fait partie de la Task Sequence, vous aurez la possibilité lorsque MDT s’exécutera de pouvoir sélectionner les rôles avant installation :

image

Vous avez également la possibilité de désinstaller des rôles ou fonctionnalités :

image

L’installation/désinstallation de rôles et lié au répertoire WinSXS  présent dans C:Windows, et permet à DISM de pouvoir désinstaller complètement les options du system d’exploitation. Ce mécanisme est utilisé lorsque l’option “completely remove this fearture” est cochée.

image 

Un Os déployé avec toutes les options sélectionnées pour être désinstallée puis capturé par sysprep aura une taille inferieur à la taille de l’image originale d’environ 100 MB.

Si Vous avez déployé un OS sans les options et que vous souhaitez par la suite les réactiver, le mécanisme de réinstallation sera le suivant :

  • Réinstallation  des composants via Windows Update si une connexion internet est active.
  • Si il n’y a pas de connexion internet, les composants seront réinstallés à partir de l’image Install.wim

Par défaut, le .Net Framework 3 n’est pas installé. C’est une caractéristique de Windows 8 qui ne devrait malheureusement pas changer d’ici à la version final.

MDT et System Center Orchestrator :

MDT 2012 update 1 supporte maintenant l’interopérabilité avec System Center Orchestrator.

Si vous ne connaissez pas Ochestrator, vous trouverez une très bonne vue d’ensemble de ces capacités dans ce billet.

Une nouvelle tâche permet de se connecter à un serveur Orchestrator est d’y sélectionner les RunBooks de son choix :

image

Vous pouvez spécifier les valeurs à envoyer au runbook qui sera exécuté sur le serveur Ochestrator :

image

 

 

SCCM 2012 avec MDT

MDT supporte le nouveau model d’application de SCCM 2012 (User Centic), et peut pré-configurer le périphérique préféré (Device Afinity).

Powershell est supporté dans les Task Sequences.

SCCM 2012 SP1 CPT et MDT 2012 Update 1 supportent la création de disques UEFI ainsi que le Offline Bitlocker qui permet de crypter les disque en quelques secondes.

Les nouveautés de SCCM 2012 SP1 sont décrites ici.

SCCM 2012 RTM ne supporte ni Windows 8 ni l’ ADK, le support arrivera avec la version SP1.

L’intégration d’MDT à SCCM se présente de la façon suivante pour les Task Sequence :

image

et comme ceci pour les images de boot :

image

Concernant les images de boot, toutes les images générées par SCCM 2012 depuis la Software Library intègrent automatiquement un nouvel outils pour lire les logs nommé CmTrace.exe  qui remplace Trace32.exe.

L’interface UDI

UDI fut introduit avec MDT2010 Update 1, et peu être résumé de la façon suivante : Une interface LiteTouch sur un déploiement ZeroTouch.

L’ UDI ainsi que l’UDI Designer ont été ré-écrits dans MDT 2012 et prennent en charge les nouvelles fonctionnalités de SCCM 2012 (Nouvelle pages pour : définir son périphérique préféré, prendre en charge le nouveau model d’application, proposer la configuration de bitlocker etc…)

L’UDI Designer permet maintenant de créer entièrement de nouvelles interfaces sans avoir à recourir à des langages de  programmation comme  C#. Toute la création est gérable graphiquement avec du drag & drop !

image

Enfin, la Task Sequence UDI et la Task Sequence ZeroTouch ne forment plus qu‘une seule et unique Task Sequence. Pour passer en mode UDI, spécifiez simplement la propietés SkipWizard=NO.  Micheal Niehaus donne plus de details dans ce billet.

Metro Apps

Les mécanismes de packaging et d’installation des applications Metro sont entièrement nouveaux et ne sont supportés qu’à partir de Windows 8.

Les ‘Metro Apps’ lorsqu’elles sont installées depuis le Store s’installent toujours et uniquement pour l’utilisateur courant.

Pour provisionner une application développé en interne qui ne ferait pas partie du store et la rendre accessible à tous les utilisateurs, il faut utiliser DISM. Ce type d’application Metro est appelé LOB (Line of Bussiness).

MDT 2012 Update 1 et SCCM 2012 SP1 supportent le provisioning d’ applications LOB.

Les prérequis pour provisionner une application sont :

  • Windows Edition Entreprise.
  • La machine doit être en domaine
  • L’application doit être signé avec un certificat
  • La GPO  “Allow all trusted applications to install” doit être active ou sont équivalent en clé de registre : HKLM\Software\Policies\Microsoft\Windows\Appx\AllowAllTrustedApps = 1

Tous ces prérequis ne valent que pour déployer des applications Metro en dehors du store et avec une machine en domaine. Microsoft appel ce contexte le Sideloading. Si votre contexte ne rentre pas dans l’une ou l’autre de ces conditions vous trouverez très certainement les prérequis correspondant à votre cas dans ce billet !

Actuellement, il n’y a pas de mécanisme officiel pour ranger les tuiles de Metro sur la page d’accueil, mais Microsoft devrait fournir une solution d’ici la version finale de Windows 8.

cependant, sachez quand même que les paramètres de la page sont stockés pour chaque utilisateur  dans un fichier AppFolderLayout.bin qui est généré lors du sysprep.

un fichier d’export/import se trouvant dans C:\Users\<user>\AppData\Local\Microsoft\Windows\appsFolder.itemdata-ms est également généré !

Les Metro Apps provisionnées résistent au Sysprep, au refresh et aux reset d’OS (Dans ce dernier cas, uniquement si elles ont été provisionnées offline).

L’extension des Metro Apps est .appx  Ce fichier conteneur est nativement généré par Visual Studio 2012 ou par la commande MakeAppX.exe et regroupe l’ensemble des fichiers dont a besoin l’application pour fonctionner, Ce package doit être signé avec un certificat reconnu par la machine où il sera déployé (un How to ici) .

Les applications provisionnées ne sont pas visibles directement par le profile qui les a installé (Administrateur), il faut se relogger avec un compte utilisateur pour les voir.

SCCM 2012 SP1 supportera l’installation de Metro Apps, mais pas le provisionning ! L’orientation user centric d’ SCCM privilégie l’installation par utilisateur.

 

Boot From USB 3

Windows 8 supporte d’être déployé sur des disque USB 3 interne. Car certaines tablettes “low cost” sont prévu pour n’embarquer aucun disque IDE ou SATA, mais uniquement un disque USB 3.

Il n’y a pas actuellement de support d’MDT pour cette option, le problème pour MDT étant de pouvoir identifier un disque USB “interne”.

 

Windows ToGO

Windows ToGO permettra à Windows 8 d’être exploité  à partir d’une clé USB.

Les recommandation de Microsoft sont d’utiliser une clé USB 3 sur un pc ayant des ports USB 3 et possédant les prérequis minimum pour installer Windows 8.(En claire une machine ressente)

Les clés ou disque USB doivent être identifiées par Windows comme des disques fixes, par opposition à des disques amovibles (J’ai déjà évoqué cette problématique dans ce billet).

Un outils de création des clé est prévu dans la version finale de Windows 8.

Le bootloader de Windows 8 sera capable (si il est configuré) de détecter si une clé Windows ToGo est insérée et de booter dessus plutôt que sur l’OS du disque dur.

Il est possible d’avoir cette fonctionnalité sur Windows 7 si vous remplacez le fichier bootLoader de Windows 7 par celui de Windows 8.

MDT ne supporte pas Windows ToGo  dans la version Update 1, mais le support est prévu pour une prochaine version.

Le mécanisme de fonctionnement de Windows ToGo consiste à lancer un Windows en phase OOBE.

Le scénario que devrait supporter MDT à terme permettrai de customiser l’image dans les phases précédentes d’installation (WindowsPE, Generalise, Specialise etc…)

Vous trouverez sur cette page du technet Wiki toutes les informations nécessaires à sa création.

Windows ToGo sera Licencié via la Software Assurance donc uniquement avec Windows 8 édition Entreprise.

 

Hyper-V 3.0 Client

Disponible uniquement dans les éditions Pro et Entreprise.

Les pre-requis sont :

  • Windows 8 X64.
  • 4 Go de Ram recommandé.
  • Le processeur doit supporter l’assistance de virtualisation ( Intel-vt ou Amd-V).
  • Le processeur doit supporter la translation d’adresse de niveau 2 (SLAT).

Sans entrer dans les détails, SLAT permet de garder des performances élevé lors de l’utilisation de VM sur un Host qui possède une bonne carte graphique. Sans cette option les allez retour vers la carte graphique entrainent des goulets d’étranglement. Cette option n’est pas implémentée sur tous les processeur et n’est pas évidente à  trouver.

Comment savoir si votre machine supporte SLAT : utiliser Core-info de Sysinternal.

MDT 2012 Update 1 supporte la détection de SLAT :

image

La nouvelle couche WMI de Windows 8/WinPE 8 supporte la détection de SLAT :

strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2")
Set colItems = objWMIService.ExecQuery( _
    "SELECT * FROM Win32_Processor",,48)
For Each objItem in colItems
    Wscript.Echo "-----------------------------------"
    Wscript.Echo "Win32_Processor instance"
    Wscript.Echo "-----------------------------------"
    Wscript.Echo "SecondLevelAddressTranslationExtensions: " & objItem.SecondLevelAddressTranslationExtensions
Next

Le guide de survie d’Hyper-V Client est disponible ici.

 

Refresh/Reset your PC

 image

Est le successeur de Windows RE. Il permet de réinitialiser rapidement Windows 8 en y réappliquant une image WIM préparée à cet effet. Deux mode d’utilisation sont disponibles :

  • Refresh = Qui grade vos données et rétablie votre PC dans une état ou vous l’auriez préalablement sauvegardé. Il y’a malgré tout quelques limitations : votre profile et vos applications Metro seront conservées, mais pas toutes les informations de configuration de vos applications traditionnelles Win32 (Office, acrobate…)
  • Reset = Supprime vos data et rétablie votre PC à son état initiale. 

Pour réinitialiser votre PC Windows a besoin d’une image Wim de votre système

MDT sera capable de capturer l’image de votre système fraichement déployé et de la “prestagé” sur votre PC afin qu’elle soit votre image d’origine lorsque vous utiliserez les options de reset/refresh. Cependant cette option n’est pas implémentée dans la version Update 1, mais le sera dans une version ultérieure.

Vous pouvez cependant configurer manuellement les images qui seront réinstallées lors des reset/refresh :

 

Secure Boot

Afin de prévenir une infection par rootkit qui pourrait s’installer dans une phase antérieur au boot de l’OS et ainsi prendre de vitesse tout mécanisme de protection qui s’exécuterai bien après, Les membres de l’UEFI forum ont créer Secure Boot.

Secure Boot n’est pas une Spécificité de Windows, mais bien de l’UEFI, d’ailleurs les prochaines versions d’Ubuntu et de Fedora le supporteront également.

Secure Boot permet de vérifier grâce à des certificats que les composants de boot qui vont démarrer juste après l’initialisation du matériel sont bien conforme et n’ont pas été corrompu/modifié ou remplacés. L’OS ne démarre que si les composants sont conforme.

Pre-requis :

  • une carte mère avec un UEFI 2.3.1
  • une puce TPM

image

La prise en charge de cette fonctionnalité pour notamment ajouter un certificat n’est pas pris en charge par MDT update 1, mais le sera ultérieurement.

Un ensemble de cmdlet est disponible dans le PE pour le configurer manuellement.

N’ayant pas trouvé plus d’info sur le sujet, je vous renvois vers la page officiel pour les grandes lignes.

Voilà, vous disposez maintenant des principales informations disponibles dans cette vidéo retiré du net. Il est possible que je la mette en ligne, mais probablement pas avant le 26 octobre… ne perdez donc pas votre temps à me la réclamer, je ne vous répondrai pas.