Chiffrez avec Bitlocker, puce TPM et Active Directory.

Le chiffrement des postes de travail et serveurs est désormais (depuis Vista) supporté nativement par vos systèmes d’exploitation via la fonctionnalité Bitlocker.
Je ne rentrerai pas dans les détails et préfère vous diriger vers l’article TechNet suivant : ICI qui détaille l’ensemble des caractéristiques et points de configuration de l’outil.

La faible quantité de ressources sur internet concernant cet outil m’a valu quelques heures de recherches pour implémenter Bitlocker sur des postes de travail Windows 7. Retrouvez dans la suite de cet article le déroulement des actions permettant d’implémenter Bitlocker un parc de machines Windows Vista, 7 ou Serveur 2008 (R2).
Préparation d’Active Directory (Extension du schéma) :

Lors de l’implémentation de Bitlocker, nous allons sauvegarder au sein d’Active Directory les mots de passe de récupérations permettant de restaurer les données chiffrées en cas de perte de la clé. AD 2008 prévoit nativement l’implémentation de cette sauvegarde de clés, concernant AD 2003 l’extension du schéma est à effectuer selon la procédure décrite : ICI.

L’objectif de cette extension de schéma est d’ajouter un sous objet aux objets ordinateurs afin d’y stocker les clés de chiffrement. Chaque partition, clés USB ou support chiffré sur chaque poste verra donc ses clés de récupération sauvegardées sous l’objet ordinateur lui correspondant.

Une fois l’extension de schéma effectuée, les attributs seront accessibles via la console Active Directory Users and Computers.

Préparation des postes de travail (Configuration Via GPO):

Afin d’imposer des stratégies de chiffrement à aux postes de travail, la configuration de ceux-ci est nécessaire. Pour cela nous allons implémenter un Stratégie de Groupe (GPO) les paramètres liés à Bitlocker sont situés sous Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker >, voici les grands axes de configuration (Seules les configurations effectuées sont listées ci-dessous, les autres éléments de configuration ont étés laissés par défaut)

  • Lecteurs de données Fixes et amovibles :
  • Lecteurs du système d’exploitation :

Chiffrement des postes.
Le chiffrement des postes de travail s’effectue unitairement, soit via l’outil graphique de chiffrement Bitlocker (TPM.msc et clic droit sur les lecteurs à chiffrer) soit par ligne de commande.
La première étape du chiffrement d’un poste consiste en la préparation du disque système. Pour cela, l’utilitaire BdeHdCfg permet de créer une partition de 300Mo qui sera destinée à l’hébergement des fichiers de boot non chiffrés. Il faudra ensuite activer la puce TPM, en prendre possession et verrouiller cette possession par mot de passe pour ensuite lancer le chiffrement des lecteurs.

L’implémentation de Bitlocker en ligne de commande est effectuée de la façon suivante :

  • Préparation du disque : bdehdcfg -target default
  • Activation de la puce TPM : Manage-Bde -tpm -TurnOn
  • Appropriation de la puce TPM : Manage-Bde -tpm -TakeOwnership P@ssw0rd

  • Implémentation du code PIN au démarrage : manage-Bde -protectors -add C: -TpmAndPin 1234
  • Chiffrement du disque C: et sauvegarde du recovery password dans Active Directory) : Manage-Bde -On C: -RecoveryPassword

  • Chiffrement du disque D: Manage-Bde -On D: -RecoveryPassword
  • Deverrouillage automatique du lecteur D: Manage-Bde -autounlock -enable D:

Suite à ces actions, nous avons donc préparé Active Directory, configuré les postes de travail pour ensuite effectuer un chiffrement du lecteur C avec déverrouillage par code PIN et du lecteur D: avec déverrouillage Automatique dès que c: est déverrouillé.

Lorsqu’un utilisateur perds son code PIN ou lorsque l’utilisation de la clé de récupération est necessaire, celle ci est accessible via l’objet Ordinateur au travers de la console Active Directory Users and Computers. L’onglet « Récupération Bitlocker » permet de récupérer ces clés comme ci dessous :

Please follow and like us:

No Responses

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Social media & sharing icons powered by UltimatelySocial