Chiffrement de lecteur BitLocker Windows

S’applique à: Windows Server 2008, Windows Vista

Le chiffrement de lecteur BitLocker™ Windows (BitLocker) est une fonctionnalité du système d’exploitation Windows Server 2008. BitLocker vous permet de chiffrer toutes les données stockées sur le volume du système d’exploitation Windows et sur les volumes de données configurés. Par ailleurs, grâce à l’utilisation d’un module de plateforme sécurisée (TPM), il permet d’assurer l’intégrité des composants intervenant dans les phases initiales du processus de démarrage.


Pour fonctionner correctement sur les lecteurs du système d’exploitation, BitLocker exige une partition de système distinct, actif qui contient les fichiers requis pour démarrer le système d’exploitation.La partition système doit être au moins 300 Mo pour prendre en charge d’environnement de récupération Windows pour la récupération du système d’exploitation ou 100 Mo si vous avez un emplacement distinct pour stocker les fichiers de récupération de Windows.



Preparation de la machine

La mise en place de Bitlocker nécessite un BIOS de la machine compatible TPM. Ce qui n’est pas le cas des VM sous vmware. On peut alors forcer l’utilisation de Bitlocker sans TPM mais il faut une clé USB connectée en permanence et dès le démarrage sur la machine. Là encore ce n’est pas possible avec vmware ESX !

Voici donc la procédure pur un Windows 2008 :

Installation de Bitlocker

Lancer « Server Manager » et dans la section « Features Summary » faire « Add Features » Image:Install_bitlocker.jpg

Sélectionner « Bitlocker Drive Encryption » et lancer l’installation.

Désactivation de TPM

Il faut désactiver TPM pour pouvoir installer Bitlocker sur une machine virtuelle.

Pour cela on doit modifier la GPO Local. Lancer Gpedit.msc et localiser l’option “Control Panel Setup:Enable advanced startup options” dans « Computer Configuration/Administrative Templates/Windows Components/Bitlocker Drive Encryption ».

Image:Gpo_modif.jpg

Double cliquer sur “Control Panel Setup: Enable advanced startup options”. Activer l’option et sélectionner « Allow Bitlocker without compatible TPM chip » et lancer un reboot de la machine.

Image:Gpo_modif2.jpg


Simulation d’une clé USB pour crypter les données

Si l’option TPM n’est pas activée, Bitlocker a besoin d’une clé USB connectée en permanence. malheureusement ce n’est pas possible avec les ESX. Donc on simule cette clé à partir d’une disquette.

Ouvrir les settings de la machine et créé une disquette bitlocker.flp.

Image:creation_disquette.jpg

Retour sur la machine virtuelle et formatter la disquette.

Lancer ensuite une fenêtre DOS avec les privilèges administrateur. Taper la commande :

Image:Bitlocker_cmd.jpg

Image:Disquette_lirondo2008.jpg


Faire un shutdown de la machine et s’assurer dans le bios que l’entrée « Removable device » est bien en dernière position dans la liste :

Image:Bios.jpg

Relancer la machine.


Mise en place de l’encryption

Dans le panneau de configuration, lancer « Bitlocker Drive Encryption » :

Image:Panneau_configuration.jpg

Image:activate_bitlocker.png

Il n’y a plus qu’à activer Bitlocker sur le ou les disques.

Pour pouvoir le faire il faut faire une sauvegarde de la clé sur un périphérique amovible :

Image:Activate_bitlocker_2.jpg

En cas de problème sur les disques, on peut utiliser un outils Microsoft : Bitlocker Drive Tool Preparation


Désactiver le chiffrement de lecteur BitLocker

Lorsque vous désactivez BitLocker, vous pouvez choisir entre désactiver temporairement BitLocker et déchiffrer le volume. Lorsque BitLocker est désactivé, vous pouvez apporter des modifications au module de plateforme sécurisée et d’autres petits changements au système. Le déchiffrement du volume a pour effet de rendre ce dernier de nouveau accessible en lecture. Toutes les clés sont supprimées. Avant de mettre à jour le système d’exploitation, vous devez déchiffrer l’ordinateur. Une fois qu’un volume a été déchiffré, vous devez générer de nouvelles clés en relançant le processus de chiffrement si vous souhaitez activer BitLocker.

1 – Cliquez sur Démarrer, Panneau de configuration, Sécurité, puis sur Chiffrement de lecteur BitLocker.

2 – Dans la page Chiffrement de lecteur BitLocker, trouvez le volume sur lequel vous souhaitez désactiver le chiffrement de lecteur BitLocker puis cliquez sur Désactiver le chiffrement de lecteur BitLocker.

3 – Dans la boîte de dialogue Quel niveau de chiffrement voulez-vous utiliser ?, cliquez sur Désactiver le chiffrement de lecteur BitLocker ou Déchiffrer le volume selon le besoin.

4 – À la fin de cette procédure, vous aurez désactivé BitLocker ou déchiffré le volume du système d’exploitation.

Pour fonctionner correctement sur les lecteurs du système d’exploitation, BitLocker exige une partition de système distinct, actif qui contient les fichiers requis pour démarrer le système d’exploitation.La partition système doit être au moins 300 Mo pour prendre en charge d’environnement de récupération Windows pour la récupération du système d’exploitation ou 100 Mo si vous avez un emplacement distinct pour stocker les fichiers de récupération de Windows.


0 commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.