SlideShare une entreprise Scribd logo

Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb

Télécharger en tant que PPTX, PDF
A
adel865025

uftjcyyyyyyyyyyyyyyyyyyyyyyyyyyyyyhmgvb,nm,.......klébouivycyrirkulgvhkbjlnkpouuuiygghbnjlékn:mlJbvhbjnlkm;lè,;jnm

Ingénierie
1  sur  24
Chapitre 2 : Planification et implémentation de BitLocker Présenté par : Khalid BOURICHE
Objectifs du chapitre À la fin de ce chapitre, les étudiants seront à même de : −Décrire BitLocker et BitLocker To Go −Décrire comment BitLocker utilise le module de plateforme sécurisée (TPM, Trusted Platform Module) −Configurer et gérer BitLocker −Décrire comment utiliser BitLocker −Décrire comment récupérer les lecteurs chiffrés par BitLocker
1) Vue d’ensemble de BitLocker
1) Vue d’ensemble de BitLocker Remarque : • Pour activer BitLocker, un appareil Windows doit disposer au minimum de deux partitions. Le processus d’installation de Windows 10 partitionne le disque pour permettre l’utilisation de BitLocker. • BitLocker est disponible dans toutes les éditions de Windows 10 à l’exception de l’édition Famille. Il est également disponible dans Windows Server 2016.
2) Comment BitLocker chiffre les données • BitLocker utilise l’algorithme AES avec des clés 128 bits par défaut, (Vous pouvez utiliser les GPO pour configurer l’utilisation de clés 256 bits.) • BitLocker chiffre individuellement chaque secteur du volume, et une partie de la clé de chiffrement est dérivée du numéro de secteur. De ce fait, même si deux secteurs ont les mêmes données non chiffrées, celles-ci diffèrent après le chiffrement. • Selon la configuration, BitLocker peut chiffrer un volume entier, notamment les parties du volume qui ne stockent pas de données ou uniquement les secteurs qui stockent des données.
2) Comment BitLocker chiffre les données • Les secteurs sont chiffrés par une clé appelée clé de chiffrement de volume complet (FVEK, Full-Volume Encryption Key). • La clé FVEK n’est pas accessible aux utilisateurs et est chiffrée avec une clé appelée clé principale de volume (VMK, Volume Master Key). • Si la clé FVEK est compromise, quelqu’un peut s’en servir pour déchiffrer le volume. Vous devez donc la stocker dans un endroit sûr. • La clé FVEK (chiffrée avec la clé VMK) est stockée sur le disque et fait partie des métadonnées du volume. La clé VMK est également chiffrée (ou protégée) par un ou plusieurs protecteurs de clé.
2) Comment BitLocker chiffre les données • Le protecteur de clé par défaut est le module TPM, mais vous pouvez configurer d’autres protecteurs comme un code PIN et une clé de démarrage USB. • Si l’appareil n’a pas de module TPM, vous pouvez configurer BitLocker pour stocker complètement un protecteur de clé sur un lecteur USB.
3) Déverrouillage réseau BitLocker • BitLocker offre une option de déverrouillage réseau qui simplifie la gestion des postes de travail et des serveurs compatibles BitLocker dans un environnement de domaine. • Cette option assure le déverrouillage automatique des volumes hébergeant un système d’exploitation au redémarrage du système en cas de connexion à un réseau d’entreprise câblé. • L’option de déverrouillage réseau nécessite l’implémentation d’un pilote DHCP (Dynamic Host Configuration Protocol) dans le microprogramme UEFI (Unified Extensible Firmware Interface) du matériel client.
3) Déverrouillage réseau BitLocker • Sans le déverrouillage réseau BitLocker, les volumes hébergeant un système d’exploitation protégés par des protecteurs TPM+PIN nécessitent la saisie d’un code confidentiel quand un ordinateur redémarre ou sort de la veille prolongée. • Il peut donc être difficile pour les entreprises de lancer des mises à jour logicielles sur les postes de travail sans assistance et les serveurs administrés à distance. • Le déverrouillage réseau permet aux systèmes prenant en charge BitLocker avec TPM+PIN qui répondent aux exigences matérielles de démarrer dans Windows sans aucune intervention de l’utilisateur.
3) Déverrouillage réseau BitLocker • Le déverrouillage réseau fonctionne de la même manière que TPM+StartupKey au démarrage, à la différence qu’il ne nécessite pas la lecture de la clé de démarrage à partir du support USB. • Au lieu de cela, la clé de déverrouillage réseau se compose d’une clé stockée dans le module TPM et d’une clé réseau chiffrée qui est envoyée au serveur, déchiffrée et renvoyée au client dans une session sécurisée.
4) Comparaison entre BitLocker et EFS • Le tableau suivant compare les fonctionnalités de chiffrement BitLocker et EFS:
5) BitLocker et module TPM
5-1. Appareils avec module TPM Si vous activez BitLocker sur un ordinateur Windows disposant d’un module TPM, vous pouvez ajouter les facteurs d’authentification supplémentaires suivants à la protection du module TPM :  BitLocker offre la possibilité de verrouiller le processus de démarrage normal jusqu’à ce que l’utilisateur fournisse un code PIN ou insère un appareil USB (tel qu’un disque mémoire USB) contenant une clé de démarrage BitLocker.  Le code confidentiel et l’appareil USB peuvent être tous les deux demandés.
5-2. Appareils sans module TPM  Par défaut, BitLocker exige un module TPM.  Vous ne pouvez pas utiliser BitLocker si l’appareil n’a pas de module TPM, sauf si vous utilisez la stratégie de groupe pour configurer BitLocker de telle sorte qu’il fonctionne sans module TPM.  Dans ce cas, BitLocker stocke les clés sur un appareil amovible, tel qu’un disque mémoire USB, et il ne peut pas vérifier les composants de démarrage initiaux.
5-2. Appareils sans module TPM Pour vérifier l’existence d’un module TPM sur un appareil, effectuez les étapes suivantes : 1. Sur un appareil Windows, ouvrez le Panneau de configuration, cliquez sur Système et sécurité, puis sur Chiffrement de lecteur BitLocker. 2. Dans le coin inférieur gauche, cliquez sur Administration du module TPM. La console Gestion du module de plateforme sécurisée sur l’ordinateur local s’ouvre. Si l’appareil n’a pas le module TPM, le message « Module de plateforme sécurisée compatible introuvable » s’affiche.
5-2. Appareils sans module TPM (suite)
5-2. Appareils sans module TPM Remarque : Sur les appareils sans module TPM, vous pouvez tout de même utiliser BitLocker pour chiffrer des volumes. Cependant, cette implémentation n’inclut pas de module TPM et nécessite que l’utilisateur insère une clé de démarrage USB pour démarrer l’appareil ou sortir de la mise en veille prolongée. Elle ne permet pas non plus la vérification de l’intégrité du système de prédémarrage offerte par BitLocker quand il fonctionne avec un module TPM.
6) Configuration et gestion de BitLocker
6) Configuration et gestion de BitLocker La GPO est un moyen couramment employé pour configurer BitLocker. Les paramètres de la GPO permettant de configurer BitLocker se trouvent dans Configuration ordinateurModèles d’administrationComposants WindowsChiffrement de lecteur BitLocker. Les paramètres de stratégie de groupe BitLocker appliqués globalement se trouvent dans ce dossier. Les sous-dossiers pour les lecteurs de données fixes, les lecteurs hébergeant le système d’exploitation et les lecteurs amovibles prennent en charge la configuration de paramètres de stratégie spécifiques à ces types de lecteurs.
6) Configuration et gestion de BitLocker Par exemple, vous pouvez utiliser la GPO pour configurer les options BitLocker suivantes : • Exiger que tous les lecteurs amovibles soient protégés par BitLocker avant que les utilisateurs puissent enregistrer les données • Exiger ou interdire des méthodes spécifiques pour déverrouiller les lecteurs protégés par BitLocker • Configurer des méthodes de récupération des données de lecteurs protégés par BitLocker si les informations d’identification de l’utilisateur pour le déverrouillage ne sont pas disponibles • Configurer le mot de passe de récupération BitLocker stocké dans AD DS • Exiger ou interdire différents types de stockage du mot de passe de récupération, ou les rendre facultatifs • Empêcher l’activation de BitLocker s’il est impossible de sauvegarder les clés dans AD DS
6) Configuration et gestion de BitLocker Vous pouvez également utiliser la GPO pour configurer un agent de récupération de données au niveau du domaine qui autorise un administrateur à déverrouiller tout lecteur chiffré avec BitLocker. Pour utiliser un agent de récupération de données, vous devez d’abord l’ajouter à partir de l’élément Stratégies de clé publique dans la GPO. Pour utiliser un agent de récupération de données avec BitLocker, vous devez activer le paramètre de stratégie de groupe approprié pour les lecteurs que vous utilisez avec BitLocker.
6) Configuration et gestion de BitLocker Ces paramètres de stratégie sont les suivants : • Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker • Sélectionner la méthode de récupération des lecteurs de données amovibles protégés par BitLocker • Sélectionner la méthode de récupération des lecteurs de données fixes protégés par BitLocker
6) Configuration et gestion de BitLocker Remarque : Si vous souhaitez utiliser BitLocker pour protéger un lecteur hébergeant le système d’exploitation sur un appareil sans module TPM, vous devez activer le paramètre de stratégie Exiger une authentification supplémentaire au démarrage, puis dans ce paramètre, cliquer sur Autoriser BitLocker sans un module de plateforme sécurisée compatible. • Lectures supplémentaires : Pour plus d’informations, consultez : «Paramètres de stratégie de groupe de BitLocker » à l’adresse : http://aka.ms/Bvxso5
Réf. 22744B Sécurisation Windows Server 2016

Recommandé

Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...Microsoft Technet France
 
Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Microsoft Technet France
 
systemd red hat linux examen Ex200 rh124
systemd red hat linux examen Ex200 rh124systemd red hat linux examen Ex200 rh124
systemd red hat linux examen Ex200 rh124loffyhacker
 
Débuter avec mdt
Débuter avec mdtDébuter avec mdt
Débuter avec mdtBennouar Abdelfettah
 
Tv21 02-07 linuxembedded
Tv21 02-07 linuxembeddedTv21 02-07 linuxembedded
Tv21 02-07 linuxembeddedPascal Flamand
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
 
Carte mere-abit-bh6
Carte mere-abit-bh6Carte mere-abit-bh6
Carte mere-abit-bh62cvfanatic
 
LPIC-1-.pptx
LPIC-1-.pptxLPIC-1-.pptx
LPIC-1-.pptxkhouloudpfe
 

Recommandé

Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...Microsoft Technet France
 
Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Microsoft Technet France
 
systemd red hat linux examen Ex200 rh124
systemd red hat linux examen Ex200 rh124systemd red hat linux examen Ex200 rh124
systemd red hat linux examen Ex200 rh124loffyhacker
 
Débuter avec mdt
Débuter avec mdtDébuter avec mdt
Débuter avec mdtBennouar Abdelfettah
 
Tv21 02-07 linuxembedded
Tv21 02-07 linuxembeddedTv21 02-07 linuxembedded
Tv21 02-07 linuxembeddedPascal Flamand
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
 
Carte mere-abit-bh6
Carte mere-abit-bh6Carte mere-abit-bh6
Carte mere-abit-bh62cvfanatic
 
LPIC-1-.pptx
LPIC-1-.pptxLPIC-1-.pptx
LPIC-1-.pptxkhouloudpfe
 
Installation de la Bibliobox sur un routeur mr3020
Installation de la Bibliobox sur un routeur mr3020Installation de la Bibliobox sur un routeur mr3020
Installation de la Bibliobox sur un routeur mr3020Benoît Vallauri
 
Rapport openembedded
Rapport openembeddedRapport openembedded
Rapport openembeddedAyoub Rouzi
 
(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr
(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr
(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.frMou Dawei
 
Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox
Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox
Microsoft Windows 10 Technical Preview sur une machine virtuelle VirtualboxMaggiC solutions, Liège, Belgium
 
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...JustoLetontonGentil
 
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...JustoLetontonGentil
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfmia884611
 
ITN_Module_10.pptx
ITN_Module_10.pptxITN_Module_10.pptx
ITN_Module_10.pptxserieux1
 
Présentation de nagios
Présentation de nagiosPrésentation de nagios
Présentation de nagiosilyassin
 
TD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfTD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfInes Ben Hassine
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Automatisation d'import export salesforce data loader & Salesforce CLI
Automatisation d'import export salesforce data loader & Salesforce CLIAutomatisation d'import export salesforce data loader & Salesforce CLI
Automatisation d'import export salesforce data loader & Salesforce CLIFabien Huot
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
Cd Win Xp Personnalise
Cd Win Xp PersonnaliseCd Win Xp Personnalise
Cd Win Xp PersonnaliseSais Abdelkrim
 
Analyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dumpAnalyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dumpGaëtan Trellu
 
HOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualisé
HOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualiséHOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualisé
HOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualiséAnthony Le Goff
 
Le bios
Le biosLe bios
Le biosdigidid
 
resume-theorique-m202-v1-0-6308e0082c37c (3).pdf
resume-theorique-m202-v1-0-6308e0082c37c (3).pdfresume-theorique-m202-v1-0-6308e0082c37c (3).pdf
resume-theorique-m202-v1-0-6308e0082c37c (3).pdfFootballLovers9
 
Symfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiquesSymfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiquesNoel GUILBERT
 
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyAndroid distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyParis Open Source Summit
 
GAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageGAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageInstitut de l'Elevage - Idele
 
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...Institut de l'Elevage - Idele
 

Contenu connexe

Similaire à Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb

Installation de la Bibliobox sur un routeur mr3020
Installation de la Bibliobox sur un routeur mr3020Installation de la Bibliobox sur un routeur mr3020
Installation de la Bibliobox sur un routeur mr3020Benoît Vallauri
 
Rapport openembedded
Rapport openembeddedRapport openembedded
Rapport openembeddedAyoub Rouzi
 
(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr
(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr
(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.frMou Dawei
 
Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox
Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox
Microsoft Windows 10 Technical Preview sur une machine virtuelle VirtualboxMaggiC solutions, Liège, Belgium
 
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...JustoLetontonGentil
 
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...JustoLetontonGentil
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfmia884611
 
ITN_Module_10.pptx
ITN_Module_10.pptxITN_Module_10.pptx
ITN_Module_10.pptxserieux1
 
Présentation de nagios
Présentation de nagiosPrésentation de nagios
Présentation de nagiosilyassin
 
TD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfTD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfInes Ben Hassine
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Automatisation d'import export salesforce data loader & Salesforce CLI
Automatisation d'import export salesforce data loader & Salesforce CLIAutomatisation d'import export salesforce data loader & Salesforce CLI
Automatisation d'import export salesforce data loader & Salesforce CLIFabien Huot
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
Cd Win Xp Personnalise
Cd Win Xp PersonnaliseCd Win Xp Personnalise
Cd Win Xp PersonnaliseSais Abdelkrim
 
Analyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dumpAnalyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dumpGaëtan Trellu
 
HOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualisé
HOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualiséHOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualisé
HOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualiséAnthony Le Goff
 
resume-theorique-m202-v1-0-6308e0082c37c (3).pdf
resume-theorique-m202-v1-0-6308e0082c37c (3).pdfresume-theorique-m202-v1-0-6308e0082c37c (3).pdf
resume-theorique-m202-v1-0-6308e0082c37c (3).pdfFootballLovers9
 
Symfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiquesSymfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiquesNoel GUILBERT
 
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyAndroid distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyParis Open Source Summit
 

Similaire à Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb (20)

Installation de la Bibliobox sur un routeur mr3020
Installation de la Bibliobox sur un routeur mr3020Installation de la Bibliobox sur un routeur mr3020
Installation de la Bibliobox sur un routeur mr3020
 
Rapport openembedded
Rapport openembeddedRapport openembedded
Rapport openembedded
 
(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr
(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr
(01.2018) ford vcm 2 ids 108.01 téléchargement gratuit - obd2diy.fr
 
Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox
Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox
Microsoft Windows 10 Technical Preview sur une machine virtuelle Virtualbox
 
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
 
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
ITN_Module_10.pptx
ITN_Module_10.pptxITN_Module_10.pptx
ITN_Module_10.pptx
 
Présentation de nagios
Présentation de nagiosPrésentation de nagios
Présentation de nagios
 
TD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfTD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdf
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Automatisation d'import export salesforce data loader & Salesforce CLI
Automatisation d'import export salesforce data loader & Salesforce CLIAutomatisation d'import export salesforce data loader & Salesforce CLI
Automatisation d'import export salesforce data loader & Salesforce CLI
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
 
Cd Win Xp Personnalise
Cd Win Xp PersonnaliseCd Win Xp Personnalise
Cd Win Xp Personnalise
 
Analyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dumpAnalyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dump
 
HOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualisé
HOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualiséHOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualisé
HOWTO Gestion porte-feuilles crypto-monnaies en environnement virtualisé
 
Le bios
Le biosLe bios
Le bios
 
resume-theorique-m202-v1-0-6308e0082c37c (3).pdf
resume-theorique-m202-v1-0-6308e0082c37c (3).pdfresume-theorique-m202-v1-0-6308e0082c37c (3).pdf
resume-theorique-m202-v1-0-6308e0082c37c (3).pdf
 
Symfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiquesSymfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiques
 
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyAndroid distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
 

Dernier

GAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageGAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageInstitut de l'Elevage - Idele
 
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...Institut de l'Elevage - Idele
 
conception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancherconception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de planchermansouriahlam
 
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...Institut de l'Elevage - Idele
 
optimisation logistique MLT_231102_155827.pdf
optimisation logistique MLT_231102_155827.pdfoptimisation logistique MLT_231102_155827.pdf
optimisation logistique MLT_231102_155827.pdfSoukainaMounawir
 
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...Institut de l'Elevage - Idele
 
firefly algoriyhm sac a dos step by step .pdf
firefly algoriyhm sac a dos step by step .pdffirefly algoriyhm sac a dos step by step .pdf
firefly algoriyhm sac a dos step by step .pdffirstjob4
 
GAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentesGAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentesInstitut de l'Elevage - Idele
 
Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024
Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024
Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024Ville de Châteauguay
 
comprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestioncomprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestionyakinekaidouchi1
 
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenusGAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenusInstitut de l'Elevage - Idele
 
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...Institut de l'Elevage - Idele
 
GAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversitéGAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversitéInstitut de l'Elevage - Idele
 
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...Institut de l'Elevage - Idele
 

Dernier (15)

GAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageGAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engage
 
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
 
conception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancherconception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancher
 
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
 
optimisation logistique MLT_231102_155827.pdf
optimisation logistique MLT_231102_155827.pdfoptimisation logistique MLT_231102_155827.pdf
optimisation logistique MLT_231102_155827.pdf
 
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
 
firefly algoriyhm sac a dos step by step .pdf
firefly algoriyhm sac a dos step by step .pdffirefly algoriyhm sac a dos step by step .pdf
firefly algoriyhm sac a dos step by step .pdf
 
GAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentesGAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentes
 
Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024
Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024
Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024
 
comprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestioncomprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestion
 
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenusGAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
 
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
 
GAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversitéGAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversité
 
JTC 2024 Bâtiment et Photovoltaïque.pdf
JTC 2024 Bâtiment et Photovoltaïque.pdfJTC 2024 Bâtiment et Photovoltaïque.pdf
JTC 2024 Bâtiment et Photovoltaïque.pdf
 
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
 

Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb

  • 1. Chapitre 2 : Planification et implémentation de BitLocker Présenté par : Khalid BOURICHE
  • 2. Objectifs du chapitre À la fin de ce chapitre, les étudiants seront à même de : −Décrire BitLocker et BitLocker To Go −Décrire comment BitLocker utilise le module de plateforme sécurisée (TPM, Trusted Platform Module) −Configurer et gérer BitLocker −Décrire comment utiliser BitLocker −Décrire comment récupérer les lecteurs chiffrés par BitLocker
  • 3. 1) Vue d’ensemble de BitLocker
  • 4. 1) Vue d’ensemble de BitLocker Remarque : • Pour activer BitLocker, un appareil Windows doit disposer au minimum de deux partitions. Le processus d’installation de Windows 10 partitionne le disque pour permettre l’utilisation de BitLocker. • BitLocker est disponible dans toutes les éditions de Windows 10 à l’exception de l’édition Famille. Il est également disponible dans Windows Server 2016.
  • 5. 2) Comment BitLocker chiffre les données • BitLocker utilise l’algorithme AES avec des clés 128 bits par défaut, (Vous pouvez utiliser les GPO pour configurer l’utilisation de clés 256 bits.) • BitLocker chiffre individuellement chaque secteur du volume, et une partie de la clé de chiffrement est dérivée du numéro de secteur. De ce fait, même si deux secteurs ont les mêmes données non chiffrées, celles-ci diffèrent après le chiffrement. • Selon la configuration, BitLocker peut chiffrer un volume entier, notamment les parties du volume qui ne stockent pas de données ou uniquement les secteurs qui stockent des données.
  • 6. 2) Comment BitLocker chiffre les données • Les secteurs sont chiffrés par une clé appelée clé de chiffrement de volume complet (FVEK, Full-Volume Encryption Key). • La clé FVEK n’est pas accessible aux utilisateurs et est chiffrée avec une clé appelée clé principale de volume (VMK, Volume Master Key). • Si la clé FVEK est compromise, quelqu’un peut s’en servir pour déchiffrer le volume. Vous devez donc la stocker dans un endroit sûr. • La clé FVEK (chiffrée avec la clé VMK) est stockée sur le disque et fait partie des métadonnées du volume. La clé VMK est également chiffrée (ou protégée) par un ou plusieurs protecteurs de clé.
  • 7. 2) Comment BitLocker chiffre les données • Le protecteur de clé par défaut est le module TPM, mais vous pouvez configurer d’autres protecteurs comme un code PIN et une clé de démarrage USB. • Si l’appareil n’a pas de module TPM, vous pouvez configurer BitLocker pour stocker complètement un protecteur de clé sur un lecteur USB.
  • 8. 3) Déverrouillage réseau BitLocker • BitLocker offre une option de déverrouillage réseau qui simplifie la gestion des postes de travail et des serveurs compatibles BitLocker dans un environnement de domaine. • Cette option assure le déverrouillage automatique des volumes hébergeant un système d’exploitation au redémarrage du système en cas de connexion à un réseau d’entreprise câblé. • L’option de déverrouillage réseau nécessite l’implémentation d’un pilote DHCP (Dynamic Host Configuration Protocol) dans le microprogramme UEFI (Unified Extensible Firmware Interface) du matériel client.
  • 9. 3) Déverrouillage réseau BitLocker • Sans le déverrouillage réseau BitLocker, les volumes hébergeant un système d’exploitation protégés par des protecteurs TPM+PIN nécessitent la saisie d’un code confidentiel quand un ordinateur redémarre ou sort de la veille prolongée. • Il peut donc être difficile pour les entreprises de lancer des mises à jour logicielles sur les postes de travail sans assistance et les serveurs administrés à distance. • Le déverrouillage réseau permet aux systèmes prenant en charge BitLocker avec TPM+PIN qui répondent aux exigences matérielles de démarrer dans Windows sans aucune intervention de l’utilisateur.
  • 10. 3) Déverrouillage réseau BitLocker • Le déverrouillage réseau fonctionne de la même manière que TPM+StartupKey au démarrage, à la différence qu’il ne nécessite pas la lecture de la clé de démarrage à partir du support USB. • Au lieu de cela, la clé de déverrouillage réseau se compose d’une clé stockée dans le module TPM et d’une clé réseau chiffrée qui est envoyée au serveur, déchiffrée et renvoyée au client dans une session sécurisée.
  • 11. 4) Comparaison entre BitLocker et EFS • Le tableau suivant compare les fonctionnalités de chiffrement BitLocker et EFS:
  • 12. 5) BitLocker et module TPM
  • 13. 5-1. Appareils avec module TPM Si vous activez BitLocker sur un ordinateur Windows disposant d’un module TPM, vous pouvez ajouter les facteurs d’authentification supplémentaires suivants à la protection du module TPM :  BitLocker offre la possibilité de verrouiller le processus de démarrage normal jusqu’à ce que l’utilisateur fournisse un code PIN ou insère un appareil USB (tel qu’un disque mémoire USB) contenant une clé de démarrage BitLocker.  Le code confidentiel et l’appareil USB peuvent être tous les deux demandés.
  • 14. 5-2. Appareils sans module TPM  Par défaut, BitLocker exige un module TPM.  Vous ne pouvez pas utiliser BitLocker si l’appareil n’a pas de module TPM, sauf si vous utilisez la stratégie de groupe pour configurer BitLocker de telle sorte qu’il fonctionne sans module TPM.  Dans ce cas, BitLocker stocke les clés sur un appareil amovible, tel qu’un disque mémoire USB, et il ne peut pas vérifier les composants de démarrage initiaux.
  • 15. 5-2. Appareils sans module TPM Pour vérifier l’existence d’un module TPM sur un appareil, effectuez les étapes suivantes : 1. Sur un appareil Windows, ouvrez le Panneau de configuration, cliquez sur Système et sécurité, puis sur Chiffrement de lecteur BitLocker. 2. Dans le coin inférieur gauche, cliquez sur Administration du module TPM. La console Gestion du module de plateforme sécurisée sur l’ordinateur local s’ouvre. Si l’appareil n’a pas le module TPM, le message « Module de plateforme sécurisée compatible introuvable » s’affiche.
  • 16. 5-2. Appareils sans module TPM (suite)
  • 17. 5-2. Appareils sans module TPM Remarque : Sur les appareils sans module TPM, vous pouvez tout de même utiliser BitLocker pour chiffrer des volumes. Cependant, cette implémentation n’inclut pas de module TPM et nécessite que l’utilisateur insère une clé de démarrage USB pour démarrer l’appareil ou sortir de la mise en veille prolongée. Elle ne permet pas non plus la vérification de l’intégrité du système de prédémarrage offerte par BitLocker quand il fonctionne avec un module TPM.
  • 18. 6) Configuration et gestion de BitLocker
  • 19. 6) Configuration et gestion de BitLocker La GPO est un moyen couramment employé pour configurer BitLocker. Les paramètres de la GPO permettant de configurer BitLocker se trouvent dans Configuration ordinateurModèles d’administrationComposants WindowsChiffrement de lecteur BitLocker. Les paramètres de stratégie de groupe BitLocker appliqués globalement se trouvent dans ce dossier. Les sous-dossiers pour les lecteurs de données fixes, les lecteurs hébergeant le système d’exploitation et les lecteurs amovibles prennent en charge la configuration de paramètres de stratégie spécifiques à ces types de lecteurs.
  • 20. 6) Configuration et gestion de BitLocker Par exemple, vous pouvez utiliser la GPO pour configurer les options BitLocker suivantes : • Exiger que tous les lecteurs amovibles soient protégés par BitLocker avant que les utilisateurs puissent enregistrer les données • Exiger ou interdire des méthodes spécifiques pour déverrouiller les lecteurs protégés par BitLocker • Configurer des méthodes de récupération des données de lecteurs protégés par BitLocker si les informations d’identification de l’utilisateur pour le déverrouillage ne sont pas disponibles • Configurer le mot de passe de récupération BitLocker stocké dans AD DS • Exiger ou interdire différents types de stockage du mot de passe de récupération, ou les rendre facultatifs • Empêcher l’activation de BitLocker s’il est impossible de sauvegarder les clés dans AD DS
  • 21. 6) Configuration et gestion de BitLocker Vous pouvez également utiliser la GPO pour configurer un agent de récupération de données au niveau du domaine qui autorise un administrateur à déverrouiller tout lecteur chiffré avec BitLocker. Pour utiliser un agent de récupération de données, vous devez d’abord l’ajouter à partir de l’élément Stratégies de clé publique dans la GPO. Pour utiliser un agent de récupération de données avec BitLocker, vous devez activer le paramètre de stratégie de groupe approprié pour les lecteurs que vous utilisez avec BitLocker.
  • 22. 6) Configuration et gestion de BitLocker Ces paramètres de stratégie sont les suivants : • Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker • Sélectionner la méthode de récupération des lecteurs de données amovibles protégés par BitLocker • Sélectionner la méthode de récupération des lecteurs de données fixes protégés par BitLocker
  • 23. 6) Configuration et gestion de BitLocker Remarque : Si vous souhaitez utiliser BitLocker pour protéger un lecteur hébergeant le système d’exploitation sur un appareil sans module TPM, vous devez activer le paramètre de stratégie Exiger une authentification supplémentaire au démarrage, puis dans ce paramètre, cliquer sur Autoriser BitLocker sans un module de plateforme sécurisée compatible. • Lectures supplémentaires : Pour plus d’informations, consultez : «Paramètres de stratégie de groupe de BitLocker » à l’adresse : http://aka.ms/Bvxso5
  • 24. Réf. 22744B Sécurisation Windows Server 2016

Notes de l'éditeur

  1. BitLocker est une autre stratégie défensive qui complète EFS. BitLocker protège contre le vol ou l’exposition des données sur les appareils perdus ou volés et permet de supprimer en toute sécurité des données quand les appareils sont désaffectés. Les données d’un appareil perdu ou volé sont vulnérables aux accès non autorisés, qui peuvent être le résultat d’un outil d’attaque logicielle exécuté par un pirate informatique ou du transfert du support de stockage sur un autre appareil. BitLocker permet de limiter les accès aux données non autorisés sur les appareils perdus ou volés en combinant deux procédures de protection des données majeures. Il peut chiffrer le volume entier, qu’il contienne le système d’exploitation Windows ou qu’il s’agisse d’un volume de données.
  2. BitLocker est une autre stratégie défensive qui complète EFS. BitLocker protège contre le vol ou l’exposition des données sur les appareils perdus ou volés et permet de supprimer en toute sécurité des données quand les appareils sont désaffectés. Les données d’un appareil perdu ou volé sont vulnérables aux accès non autorisés, qui peuvent être le résultat d’un outil d’attaque logicielle exécuté par un pirate informatique ou du transfert du support de stockage sur un autre appareil. BitLocker permet de limiter les accès aux données non autorisés sur les appareils perdus ou volés en combinant deux procédures de protection des données majeures. Il peut chiffrer le volume entier, qu’il contienne le système d’exploitation Windows ou qu’il s’agisse d’un volume de données.
  3. BitLocker fournit une couche de protection supplémentaire pour les données stockées sur les appareils Windows. BitLocker est une technologie de chiffrement de volume qui chiffre le volume entier pour protéger les données contre tout accès non autorisé. BitLocker offre les fonctionnalités suivantes : • BitLocker peut chiffrer un volume entier ou seulement les parties utilisées d’un volume. Il est plus rapide de chiffrer uniquement la partie utilisée du volume qu’un volume entier. • BitLocker peut utiliser un module TPM pour protéger l’intégrité du processus de démarrage Windows BitLocker vérifie que les fichiers de démarrage nécessaires n’ont été ni falsifiés ni modifiés. Si la vérification détecte des fichiers qui ont été modifiés, par exemple par un rootkit ou un virus de secteur de démarrage, Windows ne démarre pas. • BitLocker peut nécessiter une authentification supplémentaire à l’aide d’un code PIN ou d’une clé de démarrage USB. Vous pouvez configurer le déverrouillage du réseau au démarrage pour BitLocker. Avec le déverrouillage réseau, l’appareil protégé par BitLocker démarre automatiquement quand il est connecté à un réseau d’entreprise approuvé ; sinon, vous devez fournir un code PIN de démarrage. • BitLocker fournit un mécanisme de récupération, une clé de récupération à 48 chiffres, ou un agent de récupération pour accéder aux données du volume en cas d’échec du module TPM ou de perte du mot de passe. • BitLocker protège le volume entier contre les attaques hors connexion. Une fois l’appareil Windows démarré et l’accès au volume protégé octroyé, les utilisateurs autorisés peuvent accéder aux données sur le volume chiffré par BitLocker s’ils disposent des autorisations de fichiers appropriées. • Vous pouvez combiner BitLocker et EFS. BitLocker chiffre les données au niveau du volume, tandis qu’EFS chiffre les données au niveau du fichier. • La surcharge occasionnée par BitLocker en termes de performances est minime. Dans la plupart des installations, l’impact sur les performances n’est pas perceptible.
  4. BitLocker chiffre le volume entier, quel que soit le système de fichiers présent sur le volume. Ce chiffrement assure également la protection des données pour les appareils mis hors service et recyclés. Avant BitLocker, de nombreuses entreprises protégeaient les données sur des lecteurs en faisant appel à un service de destruction. BitLocker rend les données inaccessibles quand vous désaffectez ou recyclez les lecteurs qu’il protège. Pour activer le chiffrement de lecteur BitLocker sur le lecteur hébergeant le système d’exploitation, le système d’exploitation et les partitions système actives doivent être formatés avec le système de fichiers NTFS. Les autres partitions peuvent être formatées avec NTFS, FAT, FAT32 ou exFAT (extended FAT). BitLocker exécute deux fonctions qui fournissent à la fois une protection des données hors connexion et une vérification de l’intégrité du système : • Il chiffre toutes les données qui sont stockées sur le volume hébergeant le système d’exploitation Windows (et sur les volumes de données configurés). Cela inclut le système d’exploitation Windows, les fichiers de mise en veille prolongée et les fichiers d’échange, les applications et les données qu’utilisent les applications. • Il est configuré, par défaut, pour utiliser un module TPM afin d’assurer l’intégrité des composants de démarrage initiaux. BitLocker garantit qu’aucune modification n’a été apportée au chemin de démarrage approuvé, notamment au BIOS (Basic Input/Output System), au secteur de démarrage et au gestionnaire de démarrage. Après vérification de l’absence de changements, le module TPM libère la clé de déchiffrement du chargeur du système d’exploitation Windows. Si un module TPM détecte des changements, il verrouille tous les volumes protégés par BitLocker. Ceux-ci demeurent ainsi protégés même si une personne falsifie l’appareil quand le système d’exploitation n’est pas en cours d’exécution.
  5. Un module TPM est un microprocesseur dédié qui gère les opérations de chiffrement que vous pouvez utiliser pour implémenter des logiciels de sécurité tels que BitLocker. Tous les modules TPM respectent les spécifications établies par le Trusted Computing Group. Les modules TPM sont contrôlés au niveau matériel par le biais d’un BIOS ou d’une interface UEFI. Les modules TPM peuvent effectuer les tâches suivantes : • Générer des clés de chiffrement en toute sécurité • Générer des nombres aléatoires • Détecter les changements matériels et logiciels non autorisés • Authentifier les appareils matériels BitLocker utilise un module TPM pour vérifier l’intégrité du processus de démarrage. Pour cela, il : • Fournit une méthode de vérification de l’intégrité des fichiers de démarrage initiaux. Il vérifie également qu’aucune modification contradictoire n’a été apportée à ces fichiers, comme cela peut se produire avec les virus de secteur de démarrage ou les rootkits. • Renforce la protection pour atténuer les attaques logicielles hors connexion. Tout autre logiciel qui peut démarrer le système n’a pas accès aux clés de déchiffrement du volume hébergeant le système d’exploitation Windows. • Verrouille le système s’il est falsifié. Si l’un des fichiers surveillés a été falsifié, le système ne démarre pas. L’utilisateur est alerté de la falsification, car le système ne démarre pas comme d’habitude. En cas de verrouillage du système, BitLocker offre un processus de récupération simple. BitLocker utilise également un module TPM pour vérifier l’intégrité des composants de démarrage initiaux. Cela permet d’éviter d’autres attaques hors connexion telles que les tentatives d’insertion de code malveillant dans ces composants. Ces fonctionnalités sont essentielles car les composants initiaux du processus de démarrage doivent être disponibles dans un format non chiffré pour permettre à l’ordinateur de démarrer.
  6. Dans un scénario qui utilise un module TPM avec une option de démarrage avancée, vous pouvez ajouter un deuxième facteur d’authentification à la protection standard du module TPM : un code PIN ou une clé de démarrage sur un disque mémoire USB. Pour utiliser un disque mémoire USB avec un module TPM, l’appareil doit pouvoir lire des lecteurs flash USB dans l’environnement pré-système d’exploitation (au Sécurisation Windows Server 2016 10-15 démarrage). Ces mesures de sécurité supplémentaires permettent de vérifier que l’appareil ne démarrera pas ou ne sortira pas de la mise en veille prolongée tant que l’utilisateur ne présente pas les informations d’identification correctes. Chaque fois qu’un appareil avec un module TPM démarre, chacun des composants de démarrage initiaux (comme le BIOS, le secteur de démarrage et le code du gestionnaire de démarrage) examine le code prêt à être exécuté, calcule une valeur de hachage et stocke la valeur dans le module TPM. Une fois cette valeur stockée dans le module TPM, elle ne peut être remplacée qu’une fois que l’utilisateur a redémarré le système. Une combinaison de ces valeurs est enregistrée. Vous pouvez utiliser ces valeurs enregistrées pour protéger des données en utilisant le module TPM afin de créer une clé qui est liée à ces valeurs. Quand vous créez ce type de clé, le module TPM la chiffre, et seul ce module TPM peut la déchiffrer. À chaque démarrage de l’ordinateur, le module de plateforme sécurisée compare les valeurs générées avec les valeurs qui existaient lors de la création de la clé. Il déchiffre la clé uniquement si ces valeurs correspondent. Ce processus est appelé scellement et descellement de la clé.
  7. Vous pouvez activer BitLocker sur un appareil sans module TPM si l’appareil peut lire un disque mémoire USB au démarrage, dans l’environnement pré-système d’exploitation. En effet, BitLocker ne déverrouille pas un volume protégé tant que la propre clé principale du volume BitLocker n’a pas été libérée en premier par le module TPM de l’appareil ou par un disque mémoire USB contenant la clé de démarrage BitLocker pour cet appareil. Toutefois, les appareils sans module TPM ne peuvent pas utiliser la vérification de l’intégrité du système que fournit.
  8. Plusieurs outils vous permettent de configurer et de gérer BitLocker. La stratégie de groupe est un moyen couramment employé pour gérer les appareils Windows dans l’environnement AD DS. Elle offre des options de configuration étendues pour BitLocker et permet une administration centralisée. En plus des applets de commande Windows PowerShell, vous pouvez utiliser l’outil Chiffrement de lecteur BitLocker du Panneau de configuration et la console Gestion du module de plateforme sécurisée, disponibles sur chaque appareil Windows, pour configurer BitLocker. Pour bénéficier d’options de configuration plus avancées, utilisez Chiffrement de lecteur BitLocker : outil de configuration (Manage-bde.exe). Si votre entreprise dispose d’un pack MDOP (Microsoft Desktop Optimization Pack) sous licence, vous pouvez également utiliser l’outil MBAM.
  9. Quand vous activez le paramètre de stratégie, cochez la case Autoriser les agents de récupération de données. Il existe un paramètre de stratégie pour chaque type de lecteur ; vous pouvez donc configurer des stratégies de récupération individuelles pour chaque type de lecteur sur lequel vous activez BitLocker. Vous devez également activer et configurer le paramètre de stratégie Fournir les identificateurs uniques de votre organisation pour associer un identificateur unique à un nouveau lecteur protégé par BitLocker. BitLocker gère et met à jour les agents de récupération de données uniquement quand un champ d’identification est présent sur un lecteur et est identique à la valeur configurée sur l’appareil.