1. Chapitre 2 : Planification et
implémentation de BitLocker
Présenté par : Khalid BOURICHE
2. Objectifs du chapitre
À la fin de ce chapitre, les étudiants seront à même de :
−Décrire BitLocker et BitLocker To Go
−Décrire comment BitLocker utilise le module de plateforme
sécurisée (TPM, Trusted Platform Module)
−Configurer et gérer BitLocker
−Décrire comment utiliser BitLocker
−Décrire comment récupérer les lecteurs chiffrés par BitLocker
4. 1) Vue d’ensemble de BitLocker
Remarque :
• Pour activer BitLocker, un appareil Windows doit
disposer au minimum de deux partitions. Le processus
d’installation de Windows 10 partitionne le disque pour
permettre l’utilisation de BitLocker.
• BitLocker est disponible dans toutes les éditions de
Windows 10 à l’exception de l’édition Famille. Il est
également disponible dans Windows Server 2016.
5. 2) Comment BitLocker chiffre les données
• BitLocker utilise l’algorithme AES avec des clés 128 bits par défaut, (Vous
pouvez utiliser les GPO pour configurer l’utilisation de clés 256 bits.)
• BitLocker chiffre individuellement chaque secteur du volume, et une
partie de la clé de chiffrement est dérivée du numéro de secteur. De ce fait,
même si deux secteurs ont les mêmes données non chiffrées, celles-ci
diffèrent après le chiffrement.
• Selon la configuration, BitLocker peut chiffrer un volume entier,
notamment les parties du volume qui ne stockent pas de données ou
uniquement les secteurs qui stockent des données.
6. 2) Comment BitLocker chiffre les données
• Les secteurs sont chiffrés par une clé appelée clé de chiffrement de volume
complet (FVEK, Full-Volume Encryption Key).
• La clé FVEK n’est pas accessible aux utilisateurs et est chiffrée avec une clé
appelée clé principale de volume (VMK, Volume Master Key).
• Si la clé FVEK est compromise, quelqu’un peut s’en servir pour déchiffrer
le volume. Vous devez donc la stocker dans un endroit sûr.
• La clé FVEK (chiffrée avec la clé VMK) est stockée sur le disque et fait
partie des métadonnées du volume. La clé VMK est également chiffrée (ou
protégée) par un ou plusieurs protecteurs de clé.
7. 2) Comment BitLocker chiffre les données
• Le protecteur de clé par défaut est le module TPM, mais vous pouvez
configurer d’autres protecteurs comme un code PIN et une clé de
démarrage USB.
• Si l’appareil n’a pas de module TPM, vous pouvez configurer BitLocker
pour stocker complètement un protecteur de clé sur un lecteur USB.
8. 3) Déverrouillage réseau BitLocker
• BitLocker offre une option de déverrouillage réseau qui simplifie la
gestion des postes de travail et des serveurs compatibles BitLocker dans
un environnement de domaine.
• Cette option assure le déverrouillage automatique des volumes hébergeant
un système d’exploitation au redémarrage du système en cas de connexion
à un réseau d’entreprise câblé.
• L’option de déverrouillage réseau nécessite l’implémentation d’un pilote
DHCP (Dynamic Host Configuration Protocol) dans le microprogramme
UEFI (Unified Extensible Firmware Interface) du matériel client.
9. 3) Déverrouillage réseau BitLocker
• Sans le déverrouillage réseau BitLocker, les volumes hébergeant un
système d’exploitation protégés par des protecteurs TPM+PIN nécessitent
la saisie d’un code confidentiel quand un ordinateur redémarre ou sort de
la veille prolongée.
• Il peut donc être difficile pour les entreprises de lancer des mises à jour
logicielles sur les postes de travail sans assistance et les serveurs
administrés à distance.
• Le déverrouillage réseau permet aux systèmes prenant en charge
BitLocker avec TPM+PIN qui répondent aux exigences matérielles de
démarrer dans Windows sans aucune intervention de l’utilisateur.
10. 3) Déverrouillage réseau BitLocker
• Le déverrouillage réseau fonctionne de la même manière que
TPM+StartupKey au démarrage, à la différence qu’il ne nécessite pas la
lecture de la clé de démarrage à partir du support USB.
• Au lieu de cela, la clé de déverrouillage réseau se compose d’une clé
stockée dans le module TPM et d’une clé réseau chiffrée qui est envoyée
au serveur, déchiffrée et renvoyée au client dans une session sécurisée.
11. 4) Comparaison entre BitLocker et EFS
• Le tableau suivant compare les fonctionnalités de chiffrement BitLocker et
EFS:
13. 5-1. Appareils avec module TPM
Si vous activez BitLocker sur un ordinateur Windows disposant d’un
module TPM, vous pouvez ajouter les facteurs d’authentification
supplémentaires suivants à la protection du module TPM :
BitLocker offre la possibilité de verrouiller le processus de démarrage
normal jusqu’à ce que l’utilisateur fournisse un code PIN ou insère un
appareil USB (tel qu’un disque mémoire USB) contenant une clé de
démarrage BitLocker.
Le code confidentiel et l’appareil USB peuvent être tous les deux
demandés.
14. 5-2. Appareils sans module TPM
Par défaut, BitLocker exige un module TPM.
Vous ne pouvez pas utiliser BitLocker si l’appareil n’a pas de module
TPM, sauf si vous utilisez la stratégie de groupe pour configurer BitLocker
de telle sorte qu’il fonctionne sans module TPM.
Dans ce cas, BitLocker stocke les clés sur un appareil amovible, tel qu’un
disque mémoire USB, et il ne peut pas vérifier les composants de
démarrage initiaux.
15. 5-2. Appareils sans module TPM
Pour vérifier l’existence d’un module TPM sur un appareil, effectuez les
étapes suivantes :
1. Sur un appareil Windows, ouvrez le Panneau de configuration, cliquez
sur Système et sécurité, puis sur Chiffrement de lecteur BitLocker.
2. Dans le coin inférieur gauche, cliquez sur Administration du module
TPM. La console Gestion du module de plateforme sécurisée sur
l’ordinateur local s’ouvre.
Si l’appareil n’a pas le module TPM, le message « Module de plateforme
sécurisée compatible introuvable » s’affiche.
17. 5-2. Appareils sans module TPM
Remarque :
Sur les appareils sans module TPM, vous pouvez tout de même utiliser
BitLocker pour chiffrer des volumes. Cependant, cette implémentation
n’inclut pas de module TPM et nécessite que l’utilisateur insère une clé de
démarrage USB pour démarrer l’appareil ou sortir de la mise en veille
prolongée.
Elle ne permet pas non plus la vérification de l’intégrité du système de
prédémarrage offerte par BitLocker quand il fonctionne avec un module
TPM.
19. 6) Configuration et gestion de BitLocker
La GPO est un moyen couramment employé pour configurer BitLocker. Les
paramètres de la GPO permettant de configurer BitLocker se trouvent dans
Configuration ordinateurModèles d’administrationComposants
WindowsChiffrement de lecteur BitLocker.
Les paramètres de stratégie de groupe BitLocker appliqués globalement se
trouvent dans ce dossier.
Les sous-dossiers pour les lecteurs de données fixes, les lecteurs hébergeant
le système d’exploitation et les lecteurs amovibles prennent en charge la
configuration de paramètres de stratégie spécifiques à ces types de lecteurs.
20. 6) Configuration et gestion de BitLocker
Par exemple, vous pouvez utiliser la GPO pour configurer les options BitLocker suivantes :
• Exiger que tous les lecteurs amovibles soient protégés par BitLocker avant que les utilisateurs
puissent enregistrer les données
• Exiger ou interdire des méthodes spécifiques pour déverrouiller les lecteurs protégés par
BitLocker
• Configurer des méthodes de récupération des données de lecteurs protégés par BitLocker si
les informations d’identification de l’utilisateur pour le déverrouillage ne sont pas disponibles
• Configurer le mot de passe de récupération BitLocker stocké dans AD DS
• Exiger ou interdire différents types de stockage du mot de passe de récupération, ou les rendre
facultatifs
• Empêcher l’activation de BitLocker s’il est impossible de sauvegarder les clés dans AD DS
21. 6) Configuration et gestion de BitLocker
Vous pouvez également utiliser la GPO pour configurer un agent de
récupération de données au niveau du domaine qui autorise un
administrateur à déverrouiller tout lecteur chiffré avec BitLocker.
Pour utiliser un agent de récupération de données, vous devez d’abord
l’ajouter à partir de l’élément Stratégies de clé publique dans la GPO.
Pour utiliser un agent de récupération de données avec BitLocker, vous
devez activer le paramètre de stratégie de groupe approprié pour les
lecteurs que vous utilisez avec BitLocker.
22. 6) Configuration et gestion de BitLocker
Ces paramètres de stratégie sont les suivants :
• Sélectionner la méthode de récupération des lecteurs du système
d’exploitation protégés par BitLocker
• Sélectionner la méthode de récupération des lecteurs de données
amovibles protégés par BitLocker
• Sélectionner la méthode de récupération des lecteurs de données fixes
protégés par BitLocker
23. 6) Configuration et gestion de BitLocker
Remarque :
Si vous souhaitez utiliser BitLocker pour protéger un lecteur hébergeant le
système d’exploitation sur un appareil sans module TPM, vous devez activer
le paramètre de stratégie Exiger une authentification supplémentaire au
démarrage, puis dans ce paramètre, cliquer sur Autoriser BitLocker sans
un module de plateforme sécurisée compatible.
• Lectures supplémentaires : Pour plus d’informations, consultez :
«Paramètres de stratégie de groupe de BitLocker » à l’adresse :
http://aka.ms/Bvxso5
BitLocker est une autre stratégie défensive qui complète EFS. BitLocker protège contre le vol ou
l’exposition des données sur les appareils perdus ou volés et permet de supprimer en toute sécurité des
données quand les appareils sont désaffectés. Les données d’un appareil perdu ou volé sont vulnérables
aux accès non autorisés, qui peuvent être le résultat d’un outil d’attaque logicielle exécuté par un pirate
informatique ou du transfert du support de stockage sur un autre appareil. BitLocker permet de limiter les
accès aux données non autorisés sur les appareils perdus ou volés en combinant deux procédures de
protection des données majeures. Il peut chiffrer le volume entier, qu’il contienne le système
d’exploitation Windows ou qu’il s’agisse d’un volume de données.
BitLocker est une autre stratégie défensive qui complète EFS. BitLocker protège contre le vol ou
l’exposition des données sur les appareils perdus ou volés et permet de supprimer en toute sécurité des
données quand les appareils sont désaffectés. Les données d’un appareil perdu ou volé sont vulnérables
aux accès non autorisés, qui peuvent être le résultat d’un outil d’attaque logicielle exécuté par un pirate
informatique ou du transfert du support de stockage sur un autre appareil. BitLocker permet de limiter les
accès aux données non autorisés sur les appareils perdus ou volés en combinant deux procédures de
protection des données majeures. Il peut chiffrer le volume entier, qu’il contienne le système
d’exploitation Windows ou qu’il s’agisse d’un volume de données.
BitLocker fournit une couche de protection
supplémentaire pour les données stockées sur les
appareils Windows. BitLocker est une technologie
de chiffrement de volume qui chiffre le volume
entier pour protéger les données contre tout accès
non autorisé. BitLocker offre les fonctionnalités
suivantes :
• BitLocker peut chiffrer un volume entier ou
seulement les parties utilisées d’un volume.
Il est plus rapide de chiffrer uniquement la
partie utilisée du volume qu’un volume entier.
• BitLocker peut utiliser un module TPM pour
protéger l’intégrité du processus de démarrage Windows BitLocker vérifie que les fichiers de démarrage
nécessaires n’ont été ni falsifiés ni modifiés. Si la vérification détecte des fichiers qui ont été modifiés, par
exemple par un rootkit ou un virus de secteur de démarrage, Windows ne démarre pas.
• BitLocker peut nécessiter une authentification supplémentaire à l’aide d’un code PIN ou d’une clé de
démarrage USB.
Vous pouvez configurer le déverrouillage du réseau au démarrage pour BitLocker. Avec le
déverrouillage réseau, l’appareil protégé par BitLocker démarre automatiquement quand il est
connecté à un réseau d’entreprise approuvé ; sinon, vous devez fournir un code PIN de démarrage.
• BitLocker fournit un mécanisme de récupération, une clé de récupération à 48 chiffres, ou un agent
de récupération pour accéder aux données du volume en cas d’échec du module TPM ou de perte du
mot de passe.
• BitLocker protège le volume entier contre les attaques hors connexion. Une fois l’appareil Windows
démarré et l’accès au volume protégé octroyé, les utilisateurs autorisés peuvent accéder aux données
sur le volume chiffré par BitLocker s’ils disposent des autorisations de fichiers appropriées.
• Vous pouvez combiner BitLocker et EFS. BitLocker chiffre les données au niveau du volume, tandis
qu’EFS chiffre les données au niveau du fichier.
• La surcharge occasionnée par BitLocker en termes de performances est minime. Dans la plupart des
installations, l’impact sur les performances n’est pas perceptible.
BitLocker chiffre le volume entier, quel que soit le système de fichiers présent sur le volume. Ce chiffrement
assure également la protection des données pour les appareils mis hors service et recyclés. Avant BitLocker,
de nombreuses entreprises protégeaient les données sur des lecteurs en faisant appel à un service de
destruction. BitLocker rend les données inaccessibles quand vous désaffectez ou recyclez les lecteurs qu’il
protège. Pour activer le chiffrement de lecteur BitLocker sur le lecteur hébergeant le système d’exploitation,
le système d’exploitation et les partitions système actives doivent être formatés avec le système de fichiers
NTFS. Les autres partitions peuvent être formatées avec NTFS, FAT, FAT32 ou exFAT (extended FAT).
BitLocker exécute deux fonctions qui fournissent à la fois une protection des données hors connexion et
une vérification de l’intégrité du système :
• Il chiffre toutes les données qui sont stockées sur le volume hébergeant le système d’exploitation
Windows (et sur les volumes de données configurés). Cela inclut le système d’exploitation Windows,
les fichiers de mise en veille prolongée et les fichiers d’échange, les applications et les données
qu’utilisent les applications.
• Il est configuré, par défaut, pour utiliser un module TPM afin d’assurer l’intégrité des composants
de démarrage initiaux. BitLocker garantit qu’aucune modification n’a été apportée au chemin de
démarrage approuvé, notamment au BIOS (Basic Input/Output System), au secteur de démarrage et
au gestionnaire de démarrage. Après vérification de l’absence de changements, le module TPM libère
la clé de déchiffrement du chargeur du système d’exploitation Windows. Si un module TPM détecte
des changements, il verrouille tous les volumes protégés par BitLocker. Ceux-ci demeurent ainsi
protégés même si une personne falsifie l’appareil quand le système d’exploitation n’est pas en cours
d’exécution.
Un module TPM est un microprocesseur dédié
qui gère les opérations de chiffrement que vous
pouvez utiliser pour implémenter des logiciels de
sécurité tels que BitLocker. Tous les modules TPM
respectent les spécifications établies par le Trusted
Computing Group. Les modules TPM sont contrôlés
au niveau matériel par le biais d’un BIOS ou d’une
interface UEFI. Les modules TPM peuvent effectuer
les tâches suivantes :
• Générer des clés de chiffrement en toute
sécurité
• Générer des nombres aléatoires
• Détecter les changements matériels et logiciels non autorisés
• Authentifier les appareils matériels
BitLocker utilise un module TPM pour vérifier l’intégrité du processus de démarrage. Pour cela, il :
• Fournit une méthode de vérification de l’intégrité des fichiers de démarrage initiaux. Il vérifie
également qu’aucune modification contradictoire n’a été apportée à ces fichiers, comme cela peut se
produire avec les virus de secteur de démarrage ou les rootkits.
• Renforce la protection pour atténuer les attaques logicielles hors connexion. Tout autre logiciel qui
peut démarrer le système n’a pas accès aux clés de déchiffrement du volume hébergeant le système
d’exploitation Windows.
• Verrouille le système s’il est falsifié. Si l’un des fichiers surveillés a été falsifié, le système ne démarre
pas. L’utilisateur est alerté de la falsification, car le système ne démarre pas comme d’habitude. En cas
de verrouillage du système, BitLocker offre un processus de récupération simple.
BitLocker utilise également un module TPM pour vérifier l’intégrité des composants de démarrage
initiaux. Cela permet d’éviter d’autres attaques hors connexion telles que les tentatives d’insertion de code
malveillant dans ces composants. Ces fonctionnalités sont essentielles car les composants initiaux du
processus de démarrage doivent être disponibles dans un format non chiffré pour permettre à
l’ordinateur de démarrer.
Dans un scénario qui utilise un module TPM avec une option de démarrage avancée, vous pouvez ajouter
un deuxième facteur d’authentification à la protection standard du module TPM : un code PIN ou une clé
de démarrage sur un disque mémoire USB. Pour utiliser un disque mémoire USB avec un module TPM,
l’appareil doit pouvoir lire des lecteurs flash USB dans l’environnement pré-système d’exploitation (au
Sécurisation Windows Server 2016 10-15
démarrage). Ces mesures de sécurité supplémentaires permettent de vérifier que l’appareil ne démarrera
pas ou ne sortira pas de la mise en veille prolongée tant que l’utilisateur ne présente pas les informations
d’identification correctes.
Chaque fois qu’un appareil avec un module TPM démarre, chacun des composants de démarrage initiaux
(comme le BIOS, le secteur de démarrage et le code du gestionnaire de démarrage) examine le code prêt
à être exécuté, calcule une valeur de hachage et stocke la valeur dans le module TPM. Une fois cette
valeur stockée dans le module TPM, elle ne peut être remplacée qu’une fois que l’utilisateur a redémarré
le système. Une combinaison de ces valeurs est enregistrée. Vous pouvez utiliser ces valeurs enregistrées
pour protéger des données en utilisant le module TPM afin de créer une clé qui est liée à ces valeurs.
Quand vous créez ce type de clé, le module TPM la chiffre, et seul ce module TPM peut la déchiffrer. À
chaque démarrage de l’ordinateur, le module de plateforme sécurisée compare les valeurs générées avec
les valeurs qui existaient lors de la création de la clé. Il déchiffre la clé uniquement si ces valeurs
correspondent. Ce processus est appelé scellement et descellement de la clé.
Vous pouvez activer BitLocker sur un appareil sans module TPM si l’appareil peut lire un disque mémoire
USB au démarrage, dans l’environnement pré-système d’exploitation. En effet, BitLocker ne déverrouille
pas un volume protégé tant que la propre clé principale du volume BitLocker n’a pas été libérée en
premier par le module TPM de l’appareil ou par un disque mémoire USB contenant la clé de démarrage
BitLocker pour cet appareil. Toutefois, les appareils sans module TPM ne peuvent pas utiliser la vérification
de l’intégrité du système que fournit.
Plusieurs outils vous permettent de configurer et
de gérer BitLocker. La stratégie de groupe est un
moyen couramment employé pour gérer les
appareils Windows dans l’environnement AD DS.
Elle offre des options de configuration étendues
pour BitLocker et permet une administration
centralisée. En plus des applets de commande
Windows PowerShell, vous pouvez utiliser l’outil
Chiffrement de lecteur BitLocker du Panneau de
configuration et la console Gestion du module
de plateforme sécurisée, disponibles sur chaque
appareil Windows, pour configurer BitLocker. Pour
bénéficier d’options de configuration plus avancées, utilisez Chiffrement de lecteur BitLocker : outil de
configuration (Manage-bde.exe). Si votre entreprise dispose d’un pack MDOP (Microsoft Desktop
Optimization Pack) sous licence, vous pouvez également utiliser l’outil MBAM.
Quand vous activez le paramètre de stratégie, cochez la case Autoriser les agents de récupération de
données. Il existe un paramètre de stratégie pour chaque type de lecteur ; vous pouvez donc configurer
des stratégies de récupération individuelles pour chaque type de lecteur sur lequel vous activez BitLocker.
Vous devez également activer et configurer le paramètre de stratégie Fournir les identificateurs
uniques de votre organisation pour associer un identificateur unique à un nouveau lecteur protégé par
BitLocker. BitLocker gère et met à jour les agents de récupération de données uniquement quand un
champ d’identification est présent sur un lecteur et est identique à la valeur configurée sur l’appareil.