• Article

Sécurité

Avancées dans le domaine du chiffrement de lecteur BitLocker

Byron Hynes

 

Vue d'ensemble:

  • Améliorations de BitLocker
  • Installation de BitLocker
  • Utilisation de BitLocker sur un serveur
  • Considérations sur la protection totale des données

Dans le numéro de l'année dernière de TechNet Magazine sur la sécurité, je donnais un aperçu des fonctionnalités du chiffrement de lecteur BitLocker de Windows pour montrer comment il était implémenté dans la version initiale de Windows Vista. Maintenant, avec la publication du Service Pack 1 pour

Windows Vista® et le nouveau système d'exploitation Windows Server® 2008, l'heure est venue de revisiter BitLocker®.

Dans cet article, j'examinerai certaines des modifications de la dernière version, je donnerai un aperçu de l'installation et de l'utilisation de BitLocker sur un serveur et j'aborderai certains aspects ayant fait l'objet d'articles récents à prendre en considération. Si vous souhaitez lire l'article de l'année dernière, intitulé « Protection des données avec BitLocker Drive Encryption », allez à l'adresse technet.microsoft.com/magazine/cc138009.aspx.)

Nouveautés

Les modifications introduites dans cette version de BitLocker apportent plus de flexibilité sans changer les opérations de base. Les modifications que j'examinerai sont la prise en charge des volumes de données, l'autorisation de l'authentification à trois facteurs pour l'accès aux ordinateurs, la prise en charge de la spécification UEFI (Unified Extensible Firmware Interface), le nouveau microprogramme normalisé pour systèmes 64 bits, la protection améliorée contre les attaques cryptographiques sur les métadonnées de volume et l'utilisation augmentée de la spécification TPM (Trusted Platform Module).

Volumes de données

Dans la première publication de Windows Vista, le Panneau de configuration de BitLocker vous autorisait seulement à activer le chiffrement pour le volume du système d'exploitation Windows® (généralement le lecteur C: ). Pour beaucoup de consommateurs, ceci était tout à fait adéquat, puisque dans la plupart des ordinateurs, toutes les données de l'utilisateur et les programmes sont enregistrés sur le même volume que le système d'exploitation. Dans les entreprises, cependant, et certainement sur les serveurs, ce n'est pas souvent le cas. En conséquence, l'une des requêtes les plus courantes que nous recevons des utilisateurs est la capacité à chiffrer des volumes de données, c'est-à-dire des volumes autres que le volume du système d'exploitation, qui sont installés sur l'ordinateur (notez que BitLocker n'est pas conçu pour chiffrer des supports amovibles).

Comme vous pouvez le voir dans la figure 1, je dispose de trois volumes utilisables sur cet ordinateur (en réalité, j'en ai quatre si vous incluez la petite partition active utilisée pour le démarrage). Mon système d'exploitation est installé sur le lecteur C: (indiqué par l'indicateur Windows) et deux volumes de données sont également présents, E: et P:. Le volume P: a été déjà chiffré avec BitLocker et est actuellement verrouillé. Le volume E: n'est pas encore chiffré. Dans Windows Vista SP1 et Windows Server 2008, je peux chiffrer et déverrouiller ces volumes de données à partir de l'applet de Panneau de configuration de BitLocker.

Figure 1 Interface de BitLocker

Figure 1** Interface de BitLocker **(Cliquez sur l'image pour l'agrandir)

Si votre volume de système d'exploitation est chiffré avec BitLocker, le comportement par défaut définit que les volumes de données chiffrés sont déverrouillés lorsque le volume de système d'exploitation est déverrouillé. Si vous utilisez le Panneau de configuration pour déverrouiller un volume de données, vous pouvez voir cette option sous forme de case à cocher, comme illustré à la figure 2.

Figure 2 Enregistrement de clés pour autounlock

Figure 2** Enregistrement de clés pour autounlock **(Cliquez sur l'image pour l'agrandir)

Pour activer ou désactiver un « autounlock » d'un volume de données, utilisez l'outil de ligne de commande manage-bde.wsf. manage-bde.wsf est un script puissant inclus avec Windows qui utilise les fournisseurs de WMI (Windows Management Instrumentation) sous-jacents installés avec BitLocker.

Par exemple, pour marquer le volume de données P: de façon à ce qu'il doive être manuellement déverrouillé, utilisez la commande suivante :

manage-bde.wsf –autounlock –disable P:

Pour réactiver autounlock pour P:, utilisez :

manage-bde.wsf –autounlock –enable P:

Le Panneau de configuration de BitLocker n'indique pas tout ce que vous pouvez faire avec BitLocker et les volumes de données. Utilisez l'option -? pour explorer les commandes manage-bde.wsf. La syntaxe de manage-bde.wsf est également incluse dans le « Guide de conception du chiffrement de lecteur Windows BitLocker » et le « Guide de déploiement de Windows BitLocker » qui sont disponibles sur le centre de téléchargement Microsoft à l'adresse go.microsoft.com/fwlink/?LinkId=115215.

TPM + USB + PIN

Les clients veulent généralement aussi pouvoir utiliser également des facteurs d'authentification supplémentaires avec BitLocker. BitLocker utilise le processeur TPM de votre ordinateur pour vérifier l'intégrité de la plate-forme, en d'autres termes, pour déterminer que les premiers composants de démarrage, y compris le BIOS, n'ont pas été altérés ni corrompus. Cependant, depuis la publication de Windows Vista, vous pouvez également maintenant demander un PIN ou la présence d'un lecteur flash USB contenant une clé créée au moment où vous avez activé BitLocker.

Avec Windows Server 2008 et Windows Vista SP1, vous pouvez maintenant combiner les trois. Le TPM continue à vérifier l'intégrité de la plate-forme, la clé USB représente « ce que vous avez » et le PIN représente « ce que vous savez ». Cette configuration fournit une protection très puissante qui empêche les utilisateurs non autorisés de démarrer l'ordinateur et de déverrouiller les disques protégés par BitLocker.

Comme c'est souvent le cas avec la sécurité, cela représente un compromis. Il est évident que lorsque BitLocker est configuré de cette façon, un ordinateur ne peut pas redémarrer automatiquement. Dans le cas d'un serveur, par exemple, vous devez décider ce qui est le plus important : un redémarrage automatique ou des niveaux de protection plus élevés.

Prise en charge d'UEFI

Avec Windows Server 2008 et Windows Vista SP1, une prise en charge a été également ajoutée pour les ordinateurs équipés d'UEFI (Unified Extensible Firmware Interface). UEFI est une spécification qui constitue une modernisation du BIOS traditionnel utilisé par la plupart des ordinateurs au démarrage. Pour plus d'informations sur la spécification UEFI, consultez le site Web www.uefi.org.

Protection renforcée

Lorsque BitLocker détecte que le système a été modifié, ou si un PIN requis ou une clé USB n'est pas disponible au démarrage, BitLocker entre en mode de récupération. Dans ce mode, les volumes activés par BitLocker restent verrouillés et une boîte de dialogue en mode texte appelée Console de récupération est présentée à l'utilisateur.

Pour déverrouiller le lecteur, l'utilisateur doit entrer un mot de passe de récupération (numéro à 48 chiffres) sur le clavier ou à partir d'un lecteur flash USB. Lorsque le mot de passe est enregistré sur un lecteur flash USB, il est quelquefois appelé clé de récupération, parce qu'il s'agit d'un format binaire et non texte.

BitLocker utilise le mot de passe de récupération pour déchiffrer les clés enregistrées dans les métadonnées de volume (clé VMK (Volume Master Key) et clé FVEK (Full Volume Encryption Key)) pour déverrouiller le lecteur. Pour que la récupération réussisse, une copie du mot de passe de récupération doit être disponible.

Pour cette raison, je recommande qu'en plus du stockage du mot de passe par l'utilisateur (comme sur un lecteur flash USB), vous enregistriez également le mot de passe de récupération de façon centralisée. Le système d'exploitation inclut la fonctionnalité d'enregistrement des mots de passe de récupération dans Active Directory® Domain Services (ADDS).

Les secrets enregistrés dans les métadonnées de volume, comme le VMK, sont chiffrés et l'intégrité des métadonnées de volume est cryptographiquement protégée. Si BitLocker détecte que les métadonnées de volume ont été altérées, il refuse d'utiliser les métadonnées et ne déverrouille pas les volumes protégés. Notez que le mot de passe de récupération ne peut pas déverrouiller seul un lecteur dans cet état.

Il est important de faire remarquer que cette situation survient seulement lors d'une attaque de sécurité intentionnelle contre l'ordinateur. Si c'est le cas, il y a de bonnes chances que votre ordinateur soit déjà entre les mains d'un utilisateur malveillant et hors de votre contrôle. Cette situation ne résulte pas simplement d'une modification imprévue de la plate-forme ou de l'oubli de votre PIN.

Pour déverrouiller le volume, vous avez besoin des trois éléments suivants :

  • le mot de passe de récupération (comme du texte à taper sur ou dans un lecteur flash USB)
  • le package de clé binaire qui inclut des versions chiffrées de FVEK et VMK
  • l'outil de réparation de BitLocker

Bref, vous devez vous assurer que votre entreprise a toujours accès à tous ces éléments.

Le mot de passe de récupération peut être manuellement ou automatiquement sauvegardé. Je recommande d'utiliser le paramètre de Stratégie de groupe pour sauvegarder automatiquement le mot de passe de récupération dans Active Directory Domain Services.

Lorsque vous configurez ce paramètre, comme le montre la figure 3, incluez l'option de sauvegarde du package de clé binaire. Le package de clé binaire inclut des versions chiffrées de VMK et FVEK, qui vous permettent d'utiliser l'outil de réparation BitLocker, si nécessaire.

Figure 3 Configuration de la stratégie de groupe pour inclure les packages de clé dans les informations de récupération

Figure 3** Configuration de la stratégie de groupe pour inclure les packages de clé dans les informations de récupération **(Cliquez sur l'image pour l'agrandir)

L'outil de réparation de BitLocker a été conçu pour vous aider à récupérer des données des disques endommagés qui sont activés par BitLocker. Notez qu'il s'agit d'un outil avancé, destiné aux administrateurs expérimentés. Pour plus d'informations sur l'outil de réparation de BitLocker, lisez l'article de la base de connaissances de Microsoft, à l'adresse support.microsoft.com/kb/928201 ou regardez mon webcast « Microsoft BitLocker en entreprise: outils BitLocker Tools pour vous faciliter la vie » (qui inclut une démonstration en directe), à l'adresse go.microsoft.com/fwlink/?LinkId=114985.

J'en profite pour indiquer que BitLocker ne remplace pas la nécessité de sauvegarder vos données. Si votre disque est endommagé ou a été délibérément attaqué, il n'y a pas de certitude que l'outil de réparation de BitLocker pourra récupérer une partie des données, encore moins toutes les données.

Utilisation augmentée de TPM

Techniquement, il ne s'agit pas d'une modification de BitLocker, mais cela vaut tout de même la peine d'être mentionné. Avant SP1, la seule partie du système d'exploitation de Windows qui utilisait TPM était BitLocker. TPM est maintenant également utilisé pour d'autres fonctions. En premier lieu, lorsque Windows voit qu'un TPM est disponible, il utilise le TPM comme source d'entropie augmentée lors de la génération de nombres aléatoires. Ceci améliore la qualité de tous les types de chiffrement (voire la qualité de vos jeux).

Cependant, cela signifie également que tous les événements liés à TPM affichés dans l'Observateur d'événements ne sont pas nécessairement liés à BitLocker. En tant que professionnel de l'informatique, il est utile de savoir que d'autres composants système (et potentiellement des logiciels d'autres fournisseurs) peuvent utiliser le TPM et par conséquent provoquer la consignation d'événements.

BitLocker dans Windows Server 2008

En raison du codebase partagé entre Windows Vista et Windows Server 2008, les changements apportés à BitLocker dans SP1 font partie intégrante de Windows Server 2008. Mais pourquoi utiliser BitLocker sur un serveur ? Après tout, BitLocker est conçu pour protéger un ordinateur des attaques hors ligne. En d'autres termes, BitLocker n'offre pas de protection à un système en cours d'exécution et les serveurs sont, bien sûr, toujours en cours d'exécution.

Il se trouve qu'il y a des occasions où un serveur, ou un disque dur d'un serveur, peut être exposé à une attaque hors ligne. Même si cela n'arrive jamais, BitLocker peut offrir une aide considérable au moment de mettre hors service un serveur ou un disque dur, comme nous le verrons. Voyons tout d'abord comment installer et exécuter BitLocker sur un serveur.

Installation de BitLocker

BitLocker est inclus dans toutes les éditions de Windows Server 2008, mais c'est un composant ou une fonctionnalité facultative qui doit être installé à partir du Gestionnaire de serveur ou de la ligne de commande. BitLocker est implémenté, partiellement, comme un pilote de filtre NTFS. L'installation de ce pilote de filtre nécessite un redémarrage de l'ordinateur. Sachez donc que l'activation de BitLocker sur un serveur nécessite un redémarrage. En outre, tout comme avec Windows Vista, BitLocker nécessite une configuration à charge répartie, où la partition active utilisée pour démarrer l'ordinateur reste non chiffrée. L'outil de préparation de lecteur de BitLocker peut vous aider à configurer correctement vos disques durs pour prendre en charge BitLocker si le serveur n'est pas préconfiguré par le fabricant. Si vous avez l'expérience du partitionnement de disque dur, cependant, vous pouvez configurer les disques durs manuellement.

Pour installer BitLocker dans Windows Server 2008, vous pouvez utiliser l'interface graphique du Gestionnaire de serveur pour sélectionner BitLocker dans la liste de fonctionnalités, comme illustré à la figure 4, ou vous pouvez utiliser l'interface de ligne de commande du Gestionnaire de serveur, en émettant la commande :

Figure 4 Sélection de BitLocker dans le Gestionnaire de serveur

Figure 4** Sélection de BitLocker dans le Gestionnaire de serveur **(Cliquez sur l'image pour l'agrandir)

ServerManagerCmd –install BitLocker –restart

Lorsque vous utilisez le Gestionnaire de serveur, celui-ci installe BitLocker et les outils de gestion pour BitLocker. Vous pouvez également installer les composants de gestion sans installer BitLocker. Ceci vous évite d'avoir à effectuer un redémarrage puisque le pilote de filtre n'est pas inclus. Le nom de ce composant est « RSAT-BitLocker. »

BitLocker fonctionne parfaitement sur les ordinateurs exécutant l'option d'installation Server Core, mais vous ne pouvez pas utiliser le Gestionnaire de serveur pour installer BitLocker sur Server Core ni utiliser l'interface utilisateur graphique pour gérer BitLocker sur Server Core. Pour installer les composants, utilisez plutôt les outils de ligne de commande pkgmgr ou ocsetup.

Une fois que vous avez installé les binaires BitLocker et que vos disques sont configurés dans la configuration à charge répartie requise, vous pouvez activer BitLocker sur le volume du système d'exploitation. L'applet de Panneau de configuration de BitLocker a les mêmes icônes et les mêmes options dans Windows Server 2008 que dans Windows Vista SP1. Pour activer les modes avancés de BitLocker, vous devez régler les paramètres par défaut à l'aide de l'Éditeur de stratégie de groupe locale ou d'un objet de stratégie de groupe qui s'applique au serveur.

Sur Server Core, ou si vous ne voulez pas utiliser le Panneau de configuration, vous pouvez utiliser manage-bde.wsf pour activer BitLocker. Pour activer BitLocker sur le lecteur C:, tapez :

manage-bde.wsf –on C: -RecoveryPassword –RecoveryKey F:\

où C: est le volume à chiffrer et F:\ est une clé USB ou un autre volume où une copie de la clé de récupération sera enregistrée (en format binaire). Vous pouvez utiliser également un chemin UNC pour enregistrer la clé de récupération sur un lecteur de réseau. Un mot de passe de récupération (au format de texte numérique) est également généré et affiché. Vous pouvez ajouter le paramètre –skiphardwaretest si vous êtes certain que la plate-forme matérielle répond à toutes les exigences de BitLocker. Ceci enregistre un redémarrage.

Scénarios serveur

Voyons maintenant certains scénarios spécifiques où BitLocker est utile pour les serveurs. N'oubliez pas que, comme je l'ai déjà mentionné, BitLocker est conçu pour vous aider à vous protéger contre les attaques hors ligne, c'est-à-dire le type d'attaques effectuées lorsque Windows n'est pas en cours d'exécution.

Succursales L'une des utilisations principales et évidentes de BitLocker sur un serveur est dans le contexte de la stratégie de succursale Windows Server 2008. Entre un quart et un tiers de serveurs sont installés dans des succursales, c'est-à-dire des bureaux qui peuvent avoir une sécurité physique moins importante, moins d'accès au support informatique et peut-être moins de connectivité aux centres de données. Les succursales sont également une cible attrayante pour les attaques. Conjointement avec les fonctionnalités comme les contrôleurs de domaine en lecture seule (RODC), BitLocker peut aider à protéger les données sensibles qui doivent être enregistrées dans une succursale, mais qui ne sont physiquement pas aussi sécurisées que dans un centre de données.

C'est une bonne occasion d'aborder le sujet du niveau approprié de protection. Qu'est-ce qui est plus important : empêcher l'accès non autorisé aux données ou nécessiter qu'un serveur puisse être sauvegardé de façon instantanée et sans intervention ? Ma suggestion est que dans beaucoup de succursales, il serait acceptable de demander un PIN pour redémarrer le serveur, mais c'est une décision que chaque entreprise doit prendre.

Expédition de disques Il est souvent nécessaire d'expédier des données sur un disque dur à une destination lointaine. Ceci peut inclure l'expédition d'un disque seul ou la préconfiguration et l'expédition d'un serveur entier. Pendant l'expédition, les données contenues sur ces disques sont hors de votre contrôle et risquent d'être copiées, perdues ou volées.

Pour atténuer ce risque, activez BitLocker sur les volumes de l'ordinateur avant l'expédition, puis supprimez tous les protecteurs clé sauf une clé de récupération ou un mot de passe de récupération. Cette clé ou ce mot de passe peut être porté à la main séparément du serveur ou même communiqué par téléphone ou dans un message électronique crypté au personnel de destination. Une fois l'ordinateur ou le disque reçu, le mot de passe de récupération est utilisé pour déverrouiller le lecteur. Le lecteur peut rester chiffré (replacez les autres protecteurs de clé) ou le disque peut être entièrement déchiffré après la livraison, le cas échéant.

Ceci est une méthode particulièrement efficace pour préconfigurer les contrôleurs de domaine ou les serveurs des succursales.

Cas de vol d'un serveur Comme indiqué dans la section précédente, il y a un réel danger qu'un serveur (surtout un contrôleur de domaine) soit volé. Des voleurs peuvent s'emparer d'un ordinateur portable à la volée, mais un serveur est généralement une cible soigneusement choisie. Si BitLocker est configuré pour nécessiter uniquement la vérification de l'intégrité TPM, le serveur volé peut tout simplement être mis sous tension et démarré. Par opposition, si les lecteurs d'un serveur sont protégés avec BitLocker et que BitLocker est configuré en mode avancé (nécessitant une clé USB, un PIN ou les deux) il est très difficile pour le voleur d'obtenir des informations utiles dans un laps de temps raisonnable.

Cas de vol d'un disque Inversement, cependant, si un seul disque est volé, le TPM fournit toujours une grande protection. Seul le TPM du serveur original peut être utilisé pour déverrouiller le lecteur protégé par BitLocker. Le disque ne peut donc pas être simplement inséré et lu dans un autre ordinateur.

Exposition réduite En achetant un matériel serveur qui inclut un processeur TPM et en utilisant la vérification d'intégrité de plate-forme, vous augmentez vos défenses contre certaines formes de programmes malveillants. En particulier, BitLocker détecte les modifications apportées lorsque Windows est hors ligne ou celles apportées aux premiers composants de démarrage, surtout si le logiciel malveillant, comme un rootkit, nécessite un redémarrage à l'installation. Ceci n'est pas une solution exhaustive, mais, associée aux fonctionnalités tels que l'intégrité de code de Windows et des produits tels que Microsoft® ForefrontTM Client Security, elle fournit une autre couche de défense en profondeur.

Désactivation sécurisée L'un des scénarios les plus utiles pour BitLocker intervient à la fin du cycle de vie d'un serveur ou d'un disque. Combien de fois avez-vous vu des serveurs ou leurs disques, mis au rebut sans avoir été convenablement mis hors service ? Savez-vous que les disques durs d'occasion se vendent parfois plus chers que des disques neufs sur les sites d'enchères, car des acheteurs sans scrupules espèrent trouver des informations utiles sur ces disques ?

Heureusement, au lieu d'entreprendre un processus long et coûteux pour nettoyer le disque de données utiles, BitLocker permet une autre approche. En gros, aucune information n'est jamais écrite sur le disque dans un format utile. Puisque les données chiffrées sont inutilisables, il est rapide et simple de supprimer toutes les informations clé. Ce qui arrive alors au matériel de disque n'a pas d'importance. Il peut être vendu, recyclé, réutilisé, etc., sans crainte que les données puissent tomber entre de mauvaises mains.

Dans Windows Vista et Windows Server 2008, la commande de format a été mise à jour pour effacer les clés BitLocker, y compris des remplacements multiples. Vous disposez maintenant d'une façon simple et efficace de mettre un lecteur hors service.

Nouvelles récentes

Alors que je rédige cet article (c'est-à-dire plusieurs semaines avant que vous ne le lisiez), plusieurs articles, documents et nouvelles ont abordé certaines caractéristiques matérielles intéressantes et la façon dont elles affectent BitLocker, les autres composants de sécurité de Windows et d'autres produits de chiffrement de divers fournisseurs. J'aimerais prendre un moment pour discuter des résultats de ces recherches.

Un article de ce type a été publié par les chercheurs de l'Université de Princeton et a démontré (très efficacement) un trait de mémoire informatique moderne parfois nommé « rémanence de la DRAM » (disponible à l'adresse citp.princeton.edu/pub/coldboot.pdf). En termes simples, le contenu de la mémoire informatique est accessible pendant une certaine période après que l'alimentation soit retirée de la mémoire. BitLocker, bien entendu, conserve des clés pour déchiffrer les données en mémoire pendant que Windows est en cours d'exécution et le problème est que ces clés risquent d'être obtenues par des utilisateurs non autorisés.

Une autre démonstration par Adam Boileau (security-assessment.com/files/presentations/ab_firewire_rux2k6-final.pdf) a montré comment le bus IEEE 1394 (souvent appelé FireWire) autorise l'accès direct à la mémoire (DMA), qui peut être utilisée pour obtenir des informations secrètes de Windows, comme des mots de passe ou les clés de déchiffrement. Ce qui est intéressant dans tout cela, c'est que DMA est presque ce qui fait l'intérêt de 1394. Ce n'est pas un défaut, mais plutôt ce pour quoi Firewire a été conçu.

Ce que ces deux attaques ont en commun, cependant, c'est qu'elles nécessitent l'accès physique à un ordinateur en cours d'exécution (ou du moins ayant été exécuté récemment). BitLocker n'est pas conçu pour protéger contre les attaques en ligne et il n'élimine pas le besoin d'une certaine quantité de sécurité physique. Une défense en profondeur nécessite l'utilisation de plusieurs outils et fonctionnalités pour créer un environnement de sécurité physique, présenter des stratégies d'entreprise essentielles et éduquer continuellement les utilisateurs.

En outre, il ne s'agit pas de nouvelles découvertes. On le sait depuis longtemps et ces sujets font de fait l'objet de discussions sur le site Microsoft® Data Encryption Toolkit (DET). L'analyse de risque fournie dans le DET est destinée à aider les clients à trouver un équilibre entre sécurité et convivialité, en tenant compte du coût de mise en œuvre et de gestion. Ceci n'est pas une décision simple. Nous sommes d'avis que les clients informés sont mieux à même de prendre des décisions sur le compromis entre la sécurité, la convivialité et le coût.

En plus du DET, certains de mes collègues ont fourni d'excellents commentaires et instructions. Tout d'abord, Russ Humphries a abordé les compromis de sécurité dans le contexte de la rémanence de la DRAM dans son entrée de blog, à l'adresse go.microsoft.com/fwlink/?LinkId=115217. Douglas MacIver a rédigé des étapes de configuration et des contre-mesures spécifiques supplémentaires que vous pouvez effectuer aujourd'hui, sur le blog de l'équipe d'intégrité système (SI), à l'adresse go.microsoft.com/fwlink/?LinkId=115218. Je vous recommande de prendre le temps de lire ces deux entrées de blog utiles. Je vous conseille également de lire le DET.

Le conseil le plus important est d'utiliser un mode avancé (c'est-à-dire un mode qui requiert une clé USB ou un PIN) et de ne pas laisser un ordinateur sans surveillance en mode Veille (utilisez plutôt le mode Veille prolongée).

Conclusion

BitLocker reste l'une des fonctionnalités les plus utiles de Windows Vista. Avec la publication du SP1, il a été amélioré en réponse directe aux commentaires des clients pour permettre plus de scénarios et répondre à un plus grand éventail de besoins en matière de protection des données. Le développement de cette protection des données au repos dans Windows Server 2008 vous offre plus de façons de protéger les données et de garantir leur conformité, qu'elles soient enregistrées sur les serveurs ou les postes de travail client, dans le centre de données, les succursales ou auprès d'un utilisateur mobile.

Byron Hynes est stratégiste en technologie d'entreprise au sein du groupe EPG (Microsoft Enterprise and Partner Group). Son travail porte sur les fonctionnalités et les produits de sécurité. Avant de rejoindre l'EPG, il a travaillé dans la division Windows Server et particulièrement sur BitLocker (intégrité de système) depuis 2005. Vos commentaires et vos questions sont les bienvenus. Vous pouvez le rencontrer pendant le Tech•Ed 2008 ou lui envoyer un message électronique à l'adresse bhynes@microsoft.com.

© 2008 Microsoft Corporation and CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable..