BitLocker Drive Encryption : Vue d'ensemble technique

  • Article

Paru le 03 mars 2006

 

Version 1.02

Sur cette page

1. Résumé1. Résumé

2. Présentation2. Présentation

3. Conception du système3. Conception du système

4. Cycle de vie du système4. Cycle de vie du système

5. Récupération du système5. Récupération du système

ANNEXEANNEXE

1. Résumé

Ce document offre une brève présentation technique de BitLocker™ Drive Encryption, une nouvelle fonctionnalité de protection de données de Microsoft Windows Vista™. Son principal objectif est de détailler le cycle de vie de cette fonctionnalité pour les utilisateurs avancés et les administrateurs informatiques qui souhaitent en savoir plus sur BitLocker Drive Encryption et découvrir comment cette fonctionnalité permet de résoudre un problème croissant de protection des données : la divulgation non souhaitée d'informations confidentielles, par exemple via la perte physique ou le vol de l'ordinateur.

Ce document suppose que le lecteur connaisse la technologie TPM (Trusted Platform Model). Pour plus d'informations sur la technologie TPM, reportez-vous aux spécifications et documents sur le Web, à l'adresse http://www.trustedcomputinggroup.org/.

Haut de pageHaut de page

2. Présentation

BitLocker™ Drive Encryption est une fonctionnalité de protection de données disponible dans Windows Vista Enterprise et Ultimate pour les ordinateurs client, et dans Windows Server « Longhorn ». BitLocker est la réponse de Microsoft à l'une des principales demandes de nos clients : répondre aux menaces réelles de vol de données ou d'exposition suite à la perte, au vol ou à la mise au rebut inappropriée de PC, grâce à une solution étroitement intégrée au système d'exploitation Windows.

BitLocker empêche un voleur qui démarre un autre système d'exploitation ou qui exécute un outil de piratage logiciel d'accéder à Windows Vista et de contourner les protections système ou de visualiser hors connexion les fichiers stockés sur le lecteur protégé.

La fonctionnalité utilise idéalement un module TPM (Trusted Platform Module) 1.2 pour protéger les données utilisateur et pour garantir qu'un PC exécutant Windows Vista n'a pas été trafiqué pendant que le système était hors connexion. BitLocker offre aux collaborateurs mobiles ou non une protection renforcée de leurs données, en cas de perte ou de vol de leur système, ainsi que l'effacement sécurisé des données lors de la mise au rebut de ces ressources.

BitLocker améliore la protection des données en associant deux sous-fonctions majeures : le chiffrement complet du lecteur et la vérification d'intégrité des composants qui démarrent en premier.

Le chiffrement du lecteur protège les données en empêchant les utilisateurs non autorisés de contourner la protection des fichiers et du système Windows sur les ordinateurs volés ou perdus. Cette protection passe par le chiffrement de la totalité du volume Windows. Avec BitLocker, tous les fichiers utilisateur et système sont chiffrés, y compris les fichiers d'échange et de veille prolongée.

La vérification d'intégrité des composants qui démarrent en premier permet de garantir que le déchiffrement des données est effectué uniquement si ces composants semblent non modifiés et si le lecteur chiffré se trouve dans l'ordinateur d'origine.

BitLocker est étroitement intégré à Windows Vista et offre une solution de protection des données transparente, sûre et facile à gérer pour l'entreprise. Par exemple, BitLocker peut exploiter l'infrastructure Active Directory Domain Services existante de l'entreprise pour déposer à distance les clés de récupération. BitLocker intègre également une console de récupération après incident dans les composants qui démarrent en premier, afin de permettre l'extraction des données « sur le terrain ».

BitLocker permet de verrouiller le processus d'amorçage normal tant que l'utilisateur n'a pas fourni de code PIN, tout comme le code PIN d'une carte de retrait, ou inséré un lecteur flash USB contenant les informations de protection. Ces mesures de sécurité complémentaires permettent l'authentification multifacteur et la garantie que l'ordinateur ne démarrera pas ou ne sortira pas du mode veille prolongée tant que le code PIN ou le lecteur flash USB approprié n'aura pas été fourni.

BitLocker offre un assistant pour la configuration et la gestion, ainsi que l'extensibilité et la gestion via une interface WMI (Windows Management Instrumentation) avec prise en charge de l'écriture de scripts. En outre, BitLocker simplifie le recyclage des ordinateurs en accélérant le nettoyage des données confidentielles.

L'utilisation quotidienne d'un ordinateur Windows Vista protégé avec BitLocker peut être totalement transparente pour l'utilisateur. En outre, dans le cas peu probable d'un verrouillage du système, par exemple suite à une défaillance matérielle ou à une attaque directe, BitLocker offre un processus de récupération simple et efficace. Ces scénarios incluent des événements tels que le déplacement du disque dur contenant le volume du système d'exploitation vers un autre ordinateur, le remplacement de la carte mère contenant le TPM, ou encore la corruption de données des fichiers qui démarrent en premier.

BitLocker Drive Encryption :

  • Protège les données pendant que le système est hors connexion, car il :

    • chiffre le volume Windows entier, notamment les données utilisateur et les fichiers système, le fichier de veille prolongée, le fichier d'échange et les fichiers temporaires.

    • Offre une protection pour les applications tierces. Ces applications en tirent automatiquement parti lorsqu'elles sont installées sur un volume chiffré.

  • Garantit l'intégrité du processus d'amorçage, car il :

    • Offre une méthode permettant de vérifier que l'intégrité des fichiers qui démarrent en premier a été préservée, et qu'il n'y a eu aucune modification malveillante de ces fichiers, notamment avec des virus de secteur d'amorçage ou des kits racine.

    • Protège le système contre les attaques logicielles hors connexion : tout logiciel susceptible de démarrer le système n'aura pas accès aux clés racine qui protègent ce volume Windows.

    • Verrouille le système lorsqu'il est trafiqué : si des fichiers surveillés sont trafiqués, le système ne démarre pas. L'utilisateur est informé de la modification, car le système ne pourra pas démarrer comme à l'habitude.

  • Facilite le recyclage du matériel via :

    • Réduction du temps nécessaire à la suppression définitive et sécurisée de toutes les données du lecteur. Les données du volume chiffré peuvent être rendues inutilisables via la simple suppression des clés requises pour accéder au lecteur.

Ce document décrit le cycle de vie de BitLocker Drive Encryption sur un ordinateur d'entreprise, présente plusieurs scénarios utilisateur et décrit la configuration, la gestion et la récupération de la fonctionnalité et des clés associées. Le développement de Windows Vista n'est pas finalisé ; les captures d'écran, API, texte et flux peuvent donc encore évoluer.

2.1 Configuration système requise pour le matériel, le microprogramme et les logiciels

Pour utiliser BitLocker, un ordinateur doit satisfaire à un certain nombre d'exigences définies par les exigences du logo système BitLocker Windows Vista. Les tests de conformité à ces exigences seront inclus dans le kit WDK (Windows Development Kit) :

  • Le système doit comporter un module TPM (Trusted Platform Module) v1.21. Le TPM offre des mesures d'intégrité et des rapports concernant le processus d'amorçage du système.

    • Le TPM offre des mesures d'intégrité et des rapports concernant le processus d'amorçage du système.

  • Le système doit être équipé d'un BIOS compatible TCG v1.2 (Trusted Computing Group)1.

    • Le BIOS établit une chaîne d'approbation pour l'amorçage pré-système d'exploitation.

    • Le système doit inclure la prise en charge de SRTM (Static Root Trust Measurement) TCG.

  • Le BIOS du système doit prendre en charge la classe USB Mass Storage Device Class2, notamment la lecture et l'écriture de petits fichiers sur un lecteur flash USB dans l'environnement pré-système d'exploitation.

  • L'ordinateur doit être équipé d'au moins deux volumes3 pour fonctionner :

    • Le « volume du système d'exploitation » (ou volume d'amorçage) est le volume qui contient le système d'exploitation Windows et les fichiers correspondants ; il doit être formaté en NTFS. Les données de ce volume sont protégées par BitLocker.

    • Le « volume système » est le volume contenant les fichiers propres au matériel, requis pour charger les ordinateurs Windows une fois que le BIOS a amorcé la plate-forme. Pour que BitLocker fonctionne, le volume système ne doit pas être chiffré, doit être différent du volume du système d'exploitation et doit être formaté en NTFS. Votre volume système doit comporter au moins 1,5 gigaoctets (Go). Les données, notamment les données utilisateur supplémentaires, écrites sur ce volume ne sont pas protégées par BitLocker.

Les informations de ce document s'appliquent aux versions de Windows avec BitLocker. Les informations propres aux serveurs se trouvent dans la section 3.5, intitulée « BitLocker sur les serveurs ».

Haut de pageHaut de page

3. Conception du système

Le principal objectif de BitLocker est de protéger les données sur le volume du système d'exploitation du disque dur. Pour cela, BitLocker utilise le matériel de sécurité TPM v1.2 pour sécuriser les clés de chiffrement et empêcher les attaques logicielles sur l'intégrité du système ou la sécurité des autres données, applications, fichiers DLL et fichiers stockés sur le volume du système d'exploitation.

BitLocker inclut des vérifications d'intégrité sur les principaux composants qui démarrent en premier. BitLocker utilise le TPM pour collecter et stocker les mesures de plusieurs sources4 lors du processus d'amorçage, afin de créer une sorte « d'empreinte digitale » du système. Cette empreinte reste identique tant que le système d'amorçage n'est pas trafiqué. BitLocker utilise le TPM pour limiter l'accès aux secrets racine, en fonction de ces mesures. Une fois l'intégrité du processus d'amorçage prouvée, BitLocker utilise le TPM pour déverrouiller le reste des données. Le système continue ensuite le démarrage et la protection du système devient la responsabilité du système d'exploitation en cours d'exécution.

La figure 1 montre comment le contenu du volume est chiffré avec une clé FVEK (Full Volume Encryption Key), laquelle est à son tour chiffrée avec une clé VMK (Volume Master Key). La sécurisation de la clé VMK est un moyen indirect de protéger les données sur le volume de disque : l'ajout de la clé maître du volume permet de recréer facilement de nouvelles clés lorsque les clés en amont de la chaîne d'approbation sont perdues ou compromises. Cela permet d'éviter d'avoir à déchiffrer et à rechiffrer le volume de disque entier.

Relation entre les différentes clés de chiffrement dans BitLocker

Figure 1 : relation entre les différentes clés de chiffrement dans BitLocker.
Voir l'image en taille réelle

Une fois que BitLocker a authentifié l'accès au volume protégé du système d'exploitation, un pilote de filtre de la pile du système de fichiers Windows Vista chiffre et déchiffre les secteurs de disque de manière transparente pendant l'écriture et la lecture des données sur le volume protégé. Lorsque l'ordinateur est mis en veille prolongée, le fichier de veille est enregistré chiffré sur le volume protégé. La sortie du mode veille est traitée de manière quasi identique au processus d'amorçage : ce fichier enregistré est déchiffré lorsque l'ordinateur sort du mode veille prolongée. L'impact du chiffrement et du déchiffrement sur les performances doit être minimal et transparent dans la plupart des cas.

Les administrateurs informatiques peuvent configurer BitLocker localement et à distance via l'assistant ou avec les interfaces exposées par le fournisseur WMI (Windows Management Instrumentation) Win32_EncryptableVolume de Windows Vista. Les interfaces incluent les fonctionnalités de gestion permettant de démarrer, d'interrompre et de reprendre le chiffrement du volume de disque, ainsi que de configurer la façon dont la clé de chiffrement (FVEK) du volume de disque est protégée.

Un script de gestion (manage-bde.wsf), disponible dans Windows Vista et Windows Server « Longhorn », offre aux administrateurs informatiques un moyen simple de gérer et de vérifier l'état des disques. Ce script est basé sur les fournisseurs WMI disponibles et peut facilement être modifié pour créer des solutions personnalisées pour différents besoins administratifs d'entreprise.

3.1 Schéma architectural

La figure 2 illustre l'architecture BitLocker globale, notamment ses différents sous-composants. Elle affiche les composants en mode utilisateur et en mode noyau de BitLocker, ainsi que la façon dont ils s'intègrent aux différentes couches du système d'exploitation. Spécifiquement, elle affiche les modules qui contrôlent le TPM, notamment le composant logiciel enfichable MMC (Microsoft Management Console), le pilote TPM et les modules de chiffrement de disque.

L'architecture BitLocker globale

Figure 2 : L'architecture BitLocker globale.
Voir l'image en taille réelle

3.2 Modes d'authentification dans la séquence d'amorçage

Vous pouvez choisir un mode d'authentification parmi plusieurs lors de la configuration initiale de BitLocker. À chaque démarrage d'un volume de système d'exploitation protégé par BitLocker, le code d'amorçage de Windows Vista effectue une suite d'opérations basée sur les protections de volume définies. Ces étapes peuvent inclure des vérifications d'intégrité du code et d'autres étapes d'authentification devant être vérifiées avant le déverrouillage du volume protégé. Pour une protection supplémentaire des données, BitLocker peut utiliser un code PIN (Personal Identification Number), ou une clé de démarrage (clé stockée sur un lecteur flash USB devant être inséré à chaque démarrage de l'ordinateur).

Pour la récupération, BitLocker utilise la clé de récupération (clé utilisée pour récupérer les données chiffrées sur un volume BitLocker) ou le mot de passe de récupération (mot de passe numérique), comme illustré figure 1, de sorte qu'un utilisateur autorisé puisse toujours accéder au système en cas de défaillance de sécurité, matérielle ou autre.

Windows Vista recherche les clés dans l'ordre suivant :

  1. Clé claire (voir Glossaire dans l'Annexe) – La protection de vérification d'intégrité a été désactivée et la clé maître du volume est librement accessible. Aucune authentification n'est nécessaire (voir sous-section 4.3.4.3 sur la désactivation du mode de protection pour plus d'informations.

  2. Authentification ne nécessitant pas d'action de l'utilisateur :

    a. TPM - Le TPM valide avec succès les composants qui démarrent en premier afin de désceller le VMK.

    b. TPM et clé de démarrage - Le TPM valide avec succès les composants qui démarrent en premier et un lecteur flash USB a été inséré, contenant la clé de démarrage.

  3. Authentification qui nécessite une action de l'utilisateur (interface en mode texte présentée à l'utilisateur) :

    a. TPM et code PIN - Le TPM vérifie que les composants qui démarrent en premier sont corrects, et l'utilisateur doit en plus saisir le code PIN correct pour que le processus de démarrage puisse continuer et que le lecteur puisse être déverrouillé. Le code PIN est protégé contre les attaques via un TPM compatible TCG.

    b. Clé de récupération et/ou clé de démarrage - L'utilisateur est invité à insérer le lecteur flash USB contenant la clé de récupération et/ou la clé de démarrage.

    c. Mot de passe de récupération - L'utilisateur doit saisir le mot de passe de récupération correct.

3.3 Volumes étrangers

Les volumes étrangers sont des volumes du système d'exploitation sur lesquels BitLocker a été activé sur un autre ordinateur et qui ont été « importés » dans la version Windows actuelle de l'ordinateur. L'importation d'un volume étranger est une procédure rapide et directe permettant par exemple de récupérer les informations d'un disque chiffré sur un ordinateur bloqué. La seule opération d'authentification disponible sur un tel volume est la récupération (voir section 5, intitulée Récupération pour plus d'informations). La récupération nécessite une clé de récupération ou un mot de passe de récupération.

3.4 BitLocker Drive Encryption sur les serveurs

Pour les serveurs stockés dans un environnement non sécurisé ou partagé, par exemple dans une succursale, BitLocker peut garantir le même niveau de protection des données que pour les ordinateurs client. Cette fonctionnalité supplémentaire disponible sur les serveurs chiffre le volume du système d'exploitation et peut également être activée via WMI pour les volumes de données que l'administrateur informatique souhaite protéger avec BitLocker.

Par défaut, BitLocker Drive Encryption n'est pas installé avec Windows Server « Longhorn ». Ajoutez BitLocker à partir du menu InitialConfigurationTasks en sélectionnant Ajouter des fonctionnalités, puis en sélectionnant BitLocker Drive Encryption dans la liste des options. Une fois la fonctionnalité BitLocker installée, la configuration et la maintenance sont effectuées selon la procédure décrite plus loin dans ce document. Vous devez redémarrer après avoir installé BitLocker Drive Encryption sur un serveur. Grâce à WMI, BitLocker peut être activé à distance.

Prise en charge du code PIN
Il n'est généralement pas judicieux d'activer la fonctionnalité de code PIN sur un serveur pour lequel la vitesse de redémarrage est importante ou lorsqu'une intervention humaine en cas de redémarrage n'est pas possible. Dans de nombreux environnements de serveur, le temps de fonctionnement et la gestion à distance sont essentiels.

Un scénario de déploiement envisageable consiste à activer BitLocker et la fonctionnalité de code PIN dans les succursales où un employé doit mettre le serveur sous tension au début de chaque journée de travail. Dans ce cas, la personne responsable connaît et saisit le code PIN au démarrage.

Prise en charge des clés de démarrage
Les clés de démarrage USB sont prises en charge pour les serveurs, mais elles ne renforcent la protection des données que si elles ne sont pas conservées dans l'ordinateur après l'amorçage. Par conséquent, une intervention humaine est requise à chaque redémarrage du serveur pour garantir la meilleure protection des données.

3.4.1 Volumes de données

Les volumes autres que le volume du système d'exploitation et le volume système sont appelés « volumes de données ». Le chiffrement des volumes de données avec BitLocker n'est pris en charge que dans Windows Server « Longhorn » v1.

BitLocker protège les volumes de données Windows Server « Longhorn » en les chiffrant de la même façon que le chiffrement du volume du système d'exploitation. Le système d'exploitation monte un volume de données protégé par BitLocker comme un volume normal.

Chaîne de clé
Les clés pour la protection d'un volume de données sont indépendantes des clés qui protègent le volume du système d'exploitation. Pour autoriser le système à monter automatiquement ces volumes, la chaîne de clés qui protège le volume de données est également stockée chiffrée sur le volume en cours de démarrage. En particulier, le registre du volume en cours de démarrage contient une clé EWK (External Wrapping Key), une clé AES 256 bits qui protège la clé VMK du volume de données. Dans la mesure où la clé EWK est stockée dans le volume du système d'exploitation chiffré, elle est protégée par BitLocker, de même que par le système d'exploitation Windows Server « Longhorn » proprement dit. Si le système d'exploitation passe en mode récupération, les volumes de données sont sécurisés jusqu'à ce que le système d'exploitation sorte du mode récupération.

Déverrouillage automatique
Cette fonctionnalité permet le déverrouillage automatique des volumes de données pendant l'amorçage, sans intervention humaine. L'activation du déverrouillage automatique envoie une copie en texte brut de la clé EWK du volume de données au registre du système d'exploitation démarré. Les données du volume de données ne sont pas accessibles si le volume du système d'exploitation chiffré n'est pas accessible. La première tentative de lire ou d'interroger le volume de données à partir de Windows entraîne le déchiffrement de sa clé VMK, via la lecture de la clé EWK à partir du registre. BitLocker efface également toute information de clé dans le registre du volume du système d'exploitation si BitLocker est désactivé sur le volume du système d'exploitation. Dans ce cas, les utilisateurs doivent fournir une clé pour accéder au volume de données.

L'administrateur du système peut activer ou désactiver le déverrouillage automatique pour chaque système, avec une interface WMI permettant l'écriture de scripts. Pour préserver un niveau élevé de protection pour le volume de données, personne ne peut activer le déverrouillage automatique, sauf si BitLocker est activé pour le volume du système d'exploitation et que ce dernier est chiffré.

Configurations de cluster
BitLocker ne prend pas en charge les volumes de données associés aux configurations de cluster dans la version 1.

Récupération
La récupération d'un volume de données est similaire à la récupération d'un volume de système d'exploitation. Une copie de la clé EWK doit être stockée sur un autre support avant une défaillance (si possible lors de l'installation). Si le volume de données est corrompu, déplacé vers une nouvelle plate-forme ou que le volume du système d'exploitation ne peut pas extraire la clé EWK pour le déverrouillage automatique, l'utilisateur insère le support contenant la copie de la clé EWK.

La récupération d'un volume de données est prise en charge par l'interface et par le fournisseur WMI. Les volumes de données sont considérés comme des volumes étrangers dans la version client de BitLocker. La réassociation du volume de données à la plate-forme ne doit être nécessaire que si la clé EWK a été perdue ou corrompue dans le registre du volume du système d'exploitation.

3.5 Menaces système

D'un point de vue général, les menaces contre BitLocker se répartissent en deux domaines : les menaces contre la plate-forme et les menaces provoquées par la façon dont le système est utilisé. Chaque type de menace peut être atténué par l'intermédiaire d'actions spécifiques que l'utilisateur peut effectuer pour protéger le système.

Le premier type fait référence aux menaces contre la plate-forme sur laquelle opère BitLocker. BitLocker présente des exigences matérielles spécifiques en fonction du mode d'authentification. Pour limiter les menaces de cette catégorie, et pour obtenir les meilleurs résultats en termes de sécurité, ces exigences doivent être satisfaites pour les modes d'authentification sélectionnés. Par exemple, si le mode d'authentification TPM+PIN est employé, l'utilisateur doit s'assurer que la plate-forme utilise un TPM version 1.2 totalement compatible avec les exigences TCG.

Les menaces liées à l'utilisation du système peuvent être limitées en suivant les méthodes recommandées qui décrivent la façon dont le système doit être configuré et utilisé. L'utilisateur doit s'assurer que les mises à jour logicielles sont téléchargées régulièrement et que les logiciels de sécurité permettant la protection contre les attaques sont installés (par exemple : pare-feu, antivirus, anti-spyware, etc.). En outre, dans l'utilisation quotidienne du produit, une utilisation appropriée de mécanismes d'authentification et de récupération soigneusement sélectionnés permet de limiter ces menaces. Par exemple, vous pouvez limiter les menaces contre la confidentialité des données en gérant correctement les clés de démarrage (c'est-à-dire en ne les laissant pas dans l'ordinateur en permanence), afin d'éviter la perte de données ou l'accès par des utilisateurs non autorisés.

Haut de pageHaut de page

4. Cycle de vie du système

Le cycle de vie du système BitLocker comporte quatre éléments majeurs, comme le montre la figure 3.

Cycle de vie BitLocker Drive Encryption

Figure 3 : Cycle de vie BitLocker Drive Encryption.

  1. Installation : BitLocker est installé dans le cadre de Windows Vista.

  2. Initialisation : la fonctionnalité BitLocker est initialisée et activée.

  3. Utilisation quotidienne : scénarios d'utilisation quotidienne avec des niveaux de protection potentiellement différents en fonction des options sélectionnées à l'étape 2.

  4. Mise au rebut des ordinateurs : un ordinateur sur lequel BitLocker est activé doit être mis au rebut, mis à niveau ou redéployé.

Les sections suivantes expliquent chaque élément, et les scénarios d'utilisation sont les plus courants dans lesquels BitLocker apporte une valeur ajoutée. Un schéma architectural détaillé est présenté section 3.2.

4.1 Installation

Dans le cadre de Windows Vista, BitLocker est installé automatiquement au cours de l'installation du système d'exploitation en version Enterprise et Ultimate5. Notez que la fonctionnalité n'est pas activée automatiquement. Pour Windows Server « Longhorn », vous devez choisir d'installer la fonctionnalité BitLocker Drive Encryption. Au cours de l'installation du système d'exploitation, les opérations BitLocker suivantes ont lieu (sur le client ou sur le serveur) :

  1. Installation des fichiers BitLocker appropriés.

  2. Vérification que la version TPM/BIOS est correcte.

  3. Installation des pilotes TPM et BitLocker.

4.2 Initialisation

À tout moment après l'installation et après le démarrage initial du système d'exploitation, l'administrateur système peut utiliser le Panneau de configuration Windows Vista pour initialiser et activer la fonctionnalité BitLocker. La configuration implique deux étapes :

  1. Configuration du TPM (une seule fois par ordinateur).

  2. Configuration de BitLocker (une seule fois pour chaque système d'exploitation).

Ces deux étapes nécessitent des privilèges administratifs locaux. Un utilisateur sans privilèges administrateur tire parti de la protection de données BitLocker, mais il ne peut pas l'activer ou la désactiver.

Le déploiement en entreprise, notamment la configuration d'Active Directory, la stratégie BitLocker et l'installation par scripts, est étudié dans la section 4.2.3.

4.2.1 Initialisation TPM

Initialisez votre TPM en utilisant l'Assistant Initialisation TPM ou en exécutant un script conçu pour l'initialiser. L'Assistant Initialisation TPM est accessible via l'Assistant Console de gestion TPM, lequel est lancé via un lien dans le Panneau de configuration Sécurité.

Dans les deux cas, l'initialisation du TPM6 implique les étapes suivantes :

  1. Si le TPM n'est pas encore activé, activez-le. Les méthodes dépendent du fabricant de l'ordinateur.

  2. Vérifiez la présence physique (l'administrateur doit être physiquement présent devant la console).

    a. Excepté si le fabricant OEM offre une solution alternative de déploiement à distance

  3. Reconnectez-vous à Windows Vista.

  4. Recherchez l'existence d'une clé Endorsement Key dans le TPM (clé fournie par OEM).

  5. Définissez un propriétaire pour le TPM en créant un mot de passe d'administration TPM.

  6. Déposez le mot de passe d'administration TPM dans Active Directory (AD) et/ou enregistrez-le dans un fichier.

    a. Notez que la publication Active Directory est effectuée automatiquement par le système si l'administrateur a configuré la stratégie de groupe pour cela.

L'initialisation à distance du TPM est également prise en charge7. Le composant TPM Services de BitLocker expose une API de gestion permettant d'écrire des scripts pour les procédures d'initialisation, notamment la configuration d'un propriétaire et la création du mot de passe d'administration TPM.

L'initialisation du TPM est terminée. Une fois le TPM initialisé, l'administrateur local peut initialiser BitLocker.

4.2.2. Désactivation de BitLocker Drive Encryption

Pour activer la fonctionnalité BitLocker Drive Encryption de Windows Vista, utilisez l'assistant de la fonctionnalité ou un script.

Lancez l'Assistant Configuration de BitLocker dans le Centre de sécurité de Windows Vista, lequel vous guide dans la procédure suivante :

  1. Activez BitLocker pour le volume Windows Vista6.

  2. Sélectionnez une méthode de récupération.

  3. Continuez le chiffrement du volume en cliquant sur le lien « Activer BitLocker™ ». Au cours du chiffrement, BitLocker affiche une barre de progression de chiffrement en arrière-plan et une icône dans la barre d'état.

L'Assistant Configuration de BitLocker permet aux administrateurs locaux d'activer BitLocker. Les administrateurs utilisent cet assistant pour spécifier la façon dont la clé de chiffrement est protégée et pour commencer le chiffrement du volume de disque contenant Windows Vista.

Le flux global de l'Assistant Configuration de BitLocker est illustré dans la figure 4 ci-dessous. Ce schéma a pour but d'illustrer la suite d'écrans, et non chaque capture d'écran. Chaque capture d'écran individuelle est décrite ci-dessous.

Flux de l'interface utilisateur de l'Assistant Configuration de BitLocker

Figure 4 : Flux de l'interface utilisateur de l'Assistant Configuration de BitLocker.
Voir l'image en taille réelle

Options de démarrage

Les options d'authentification de démarrage sont les suivantes :

  • TPM uniquement (en ignorant les écrans 2a et 2b) ;

  • TPM+PIN (en utilisant l'écran 2a mais pas 2b) ;

  • TPM+clé de démarrage (en utilisant l'écran 2b mais pas 2a) ou,

  • Sur les ordinateurs sur lesquels TPM n'est pas activé, clé de démarrage uniquement (avec l'écran 2b).

Notez que le code PIN et la clé de démarrage ne peuvent pas être combinés.

Création d'un code PIN de démarrage
L'écran 2a permet de saisir un code PIN de 4 à 20 chiffres ; le code PIN doit être saisi à chaque redémarrage, ce qui permet une protection d'authentification supplémentaire pour le volume chiffré. Voir section 4.3.2 pour plus d'informations. Les administrateurs de domaine peuvent utiliser la stratégie de groupe pour imposer ou interdire la création d'un code PIN.

Création et enregistrement d'une clé de démarrage
L'écran 2b permet de créer une clé de démarrage et de l'enregistrer sur un lecteur flash USB ; la clé de démarrage doit être présente dans le port à chaque redémarrage ; cela permet d'ajouter une couche supplémentaire de protection d'authentification pour le volume du système d'exploitation. Voir section 4.3.2 pour plus d'informations. Les administrateurs de domaine peuvent utiliser la stratégie de groupe pour imposer ou interdire la création d'une clé de démarrage.

Options de récupération

L'administrateur local peut configurer des mécanismes de récupération pour une simplicité d'utilisation maximale, dans l'événement peu probable où un problème se produirait (voir section 5, intitulée « Récupération du système », pour plus d'informations).

Utilisation d'un mot de passe de récupération
L'écran 3 permet de créer un mot de passe de récupération. Voir section 5, intitulée « Récupération du système », pour plus d'informations sur la façon dont le mot de passe de récupération peut être utilisé dans les scénarios de récupération de données. Les administrateurs de domaine peuvent utiliser la stratégie de groupe pour imposer ou interdire la création d'un mot de passe. Par défaut, un mot de passe de récupération est obligatoire.

Enregistrement du mot de passe de récupération
L'écran 4 offre plusieurs options permettant d'enregistrer le mot de passe de récupération, notamment la possibilité de l'afficher, de l'enregistrer dans un fichier et/ou de l'imprimer. Voir section 5, intitulée « Récupération du système », pour plus d'informations sur la façon dont le mot de passe de récupération peut être utilisé dans les scénarios de récupération de données. Les administrateurs de domaine peuvent utiliser la stratégie de groupe pour imposer ou interdire la création d'un mot de passe. Par défaut, un mot de passe de récupération est obligatoire.

Option d'enregistrement du mot de passe de récupération sur un lecteur USB
L'écran 4a permet d'enregistrer le mot de passe de récupération en tant que fichier texte sur un lecteur flash USB. En outre, si la stratégie de groupe l'autorise, une clé de récupération (l'équivalent lisible par l'ordinateur du mot de passe de récupération lisible par l'utilisateur) est créée et enregistrée sur le lecteur flash USB. Reportez-vous à la section 5, intitulée « Récupération du système », pour plus d'informations sur la façon dont cette clé de récupération peut être utilisé dans les scénarios de récupération de données. Les administrateurs de domaine peuvent utiliser la stratégie de groupe pour imposer ou interdire la création d'une clé.

Option permettant d'afficher le mot de passe de récupération
L'écran 4b permet aux utilisateurs d'afficher le mot de passe de récupération.

Option permettant d'imprimer le mot de passe de récupération
L'écran 4c permet aux utilisateurs d'imprimer le mot de passe de récupération.

Option permettant d'enregistrer le mot de passe de récupération dans un dossier
L'écran 4d permet d'enregistrer le mot de passe de récupération (et la clé de récupération associée) en tant que fichier dans un dossier, par exemple un dossier sur un partage réseau. Les administrateurs de domaine peuvent utiliser la stratégie de groupe pour imposer ou interdire l'enregistrement d'une clé de récupération dans un dossier, ou pour configurer le chemin de dossier par défaut utilisé.

Avertissement d'absence de mécanisme de récupération
L'écran 5 affiche un avertissement informant l'utilisateur que l'absence de mécanismes de récupération peut entraîner la perte définitive de données. Cette boîte de dialogue peut être désactivée par l'administrateur du domaine via la stratégie de groupe.

Notification que le chiffrement peut commencer
L'écran 6 informe l'utilisateur que le chiffrement du volume peut commencer. La durée requise pour le chiffrement initial du volume est directement liée à la taille du volume. Cependant, le chiffrement est effectué en arrière-plan, de sorte que vous pouvez continuer d'utiliser l'ordinateur pendant le chiffrement du volume. En outre, l'administrateur peut interrompre et reprendre le chiffrement à tout moment. Le chiffrement est automatiquement interrompu pendant l'arrêt ou la mise en veille prolongée de l'ordinateur, et peut reprendre lorsque l'ordinateur est réactivé.

L'administrateur local n'a pas besoin d'utiliser l'écran 6 pour commencer le chiffrement à ce stade ; l'administrateur local peut activer la fonctionnalité ultérieurement et le chiffrement du volume commence après le redémarrage suivant. BitLocker peut également être désactivé à tout moment par l'administrateur local.

Prise en charge de l'interface utilisateur

  1. Accédez à l'élément BitLocker dans la zone Sécurité du Panneau de configuration afin d'activer BitLocker™.

    • Cliquez sur « Activer BitLocker™ » afin d'exécuter l'Assistant Configuration de BitLocker.

    • Créez une clé de récupération et/ou un mot de passe de récupération dans le cadre du processus de configuration, en ignorant toutes les autres options.

  2. Si nécessaire, vous pouvez accéder au même élément du Panneau de configuration pour désactiver BitLocker™.

Prise en charge des scripts8

  1. Utilisez ProtectKeyWithTPM pour sécuriser la clé de chiffrement du volume sur le TPM.

  2. Créez des blobs de récupération.

    • Utilisez ProtectKeyWithExternalKey pour créer une clé de récupération.

    • Utilisez ProtectKeyWithNumericalPassword pour créer un mot de passe de récupération.

  3. Utilisez Encrypt pour chiffrer le volume.

  4. Utilisez GetConversionStatus pour indiquer à quel moment le volume est entièrement chiffré.

  5. Utilisez GetProtectionStatus pour garantir que la protection BitLocker est activée.

  6. [Utilisez Decrypt pour déchiffrer le volume et désactiver la protection BitLocker].

4.2.3 Déploiement en entreprise

BitLocker prend en charge l'écriture de scripts et l'intégration facile aux technologies Active Directory et Stratégie de groupe. Dans les déploiements d'entreprise, l'administrateur informatique procède de la façon suivante :

  1. Préparation d'Active Directory pour les clés BitLocker (TPM et récupération), via les opérations suivantes :

    • Les clés utilisées par BitLocker peuvent être stockées dans Active Directory (clés TPM et/ou clés de récupération).

    • Étendez le schéma avec les attributs et objets TPM et BitLocker. (Ne concerne pas Windows Server « Longhorn »)

    • Configurez les autorisations sur les objets du schéma d'informations de récupération TPM et BitLocker.

      • Localisez le script contenant l'extension de schéma, nommée Add-WriteACEs.vbs.

      • Le script suppose que l'héritage des autorisations de l'objet de domaine de premier niveau vers les objets de l'ordinateur cible est défini. Si un conteneur quelconque de la hiérarchie n'autorise pas la prise d'effet des autorisations héritées du parent, les autorisations nécessaires ne seront pas définies.

      • Exécutez le script Add-WriteACEs.vbs à l'invite de commande.

  2. Configurez la stratégie de groupe liée à BitLocker.

    • Configurez la stratégie de groupe afin de permettre la sauvegarde des informations de récupération BitLocker et TPM dans Active Directory.

      • Configurez des stratégies pour :

        • Définir quels scénarios de sécurité doivent être activés/désactivés/facultatifs.

        • Définir quels mécanismes de récupération doivent être activés/désactivés/facultatifs, etc.

        • Modifier les paramètres par défaut, à savoir : tout facultatif, sauf le mot de passe de récupération, qui est obligatoire. La configuration de stratégie de groupe via l'assistant ne permet pas l'écriture de scripts.

    • Configurez les stratégies de chiffrement et de validation (par exemple, la méthode de chiffrement du volume de disque).

  3. Installez Windows Vista sur les ordinateurs client.

  4. Configuration de BitLocker :

    • Initialisation de TPM par script.

    • Mot de passe du propriétaire TPM enregistré dans Active Directory.

    • Script exécuté à distance pour configurer la stratégie BitLocker afin d'enregistrer le mot de passe de récupération dans Active Directory.

  5. Utilisation des outils de gestion du système pour inspecter les journaux d'audit afin de déterminer la réussite du chiffrement.

4.3 Utilisation quotidienne

Les systèmes sur lesquels BitLocker est activé et qui utilisent l'authentification TPM uniquement peuvent être utilisés comme n'importe quel autre système. Les utilisateurs démarrent Windows et sont invités à saisir leur nom d'utilisateur de domaine et leur mot de passe, comme pour une ouverture de session classique. Excepté s'ils en sont informés, ils ne sont pas conscients qu'un niveau de protection supplémentaire est installé sur leur ordinateur.

Sur les systèmes configurés pour des scénarios de sécurité renforcés, l'utilisateur peut être amené à saisir un code PIN ou à insérer un lecteur flash USB pour démarrer Windows Vista (pour plus d'informations, reportez-vous à la section 4.3.2, intitulée « Scénarios d'utilisation de la protection renforcée »). Dans ce cas, le flux normal d'amorçage ou de reprise est modifié, afin d'inviter l'utilisateur à satisfaire aux exigences de sécurité complémentaires.

4.3.1 Scénario BitLocker Drive Encryption élémentaire

Il s'agit du scénario de base décrit ci-dessus. Il présente l'avantage du mode d'utilisation le plus simple. L'ordinateur contient un TPM compatible (version 1.2, avec prise en charge du BIOS) et possède deux volumes : (1) un volume système et (2) un volume de système d'exploitation, avec une version de Windows prenant en charge BitLocker Drive Encryption.

Accès à un volume BitLocker Drive Encryption avec protection TPM

Figure 5 : Accès à un volume BitLocker Drive Encryption avec protection TPM.
Voir l'image en taille réelle

Comme le montre la figure 5, le principal objectif de BitLocker Drive Encryption est de protéger les données de l'utilisateur sur le volume du système d'exploitation du disque dur. Pour cela, les secteurs du disque sont chiffrés avec une clé FVEK (Full Volume Encryption Key), laquelle est toujours chiffrée avec la clé VMK (Volume Master Key), laquelle est à son tour chiffrée par le TPM.

Ce scénario peut être activé ou désactivé par l'administrateur local via l'écran Sécurité du Panneau de configuration de Windows Vista. La désactivation de BitLocker décrypte le volume et supprime toutes les clés. De nouvelles clés sont créées une fois BitLocker réactivé par la suite.

Lorsque l'administrateur local active BitLocker, la création d'un mot de passe de récupération ou d'une clé de récupération est vivement recommandée.Sans clé de récupération ou mot de passe de récupération, toutes les données du lecteur chiffré peuvent être inaccessibles et irrécupérables en cas d'incident !

4.3.2 Scénarios d'utilisation de la protection renforcée

Le propriétaire d'un ordinateur souhaite protéger ses données sur un système avec deux couches de protection.

Comme le montre la figure 6, BitLocker offre deux types d'options de protection multifacteur : le TPM fournit le facteur d'intégrité du système, associé à : soit (1) un code PIN (connu de l'utilisateur), soit (2) une clé supplémentaire stockée sur un lecteur flash USB (que possède l'utilisateur). Un avantage important de l'utilisation de clés stockées sur un lecteur flash USB est que dans un tel scénario, toutes les informations de clé ne résident pas sur l'ordinateur local.

Accès à un volume BitLocker avec protection renforcée

Figure 6 : Accès à un volume BitLocker avec protection renforcée.
Voir l'image en taille réelle

4.3.2.1 Authentification par code PIN
Le scénario d'authentification par code PIN9 présente l'avantage d'offrir une authentification à deux facteurs ; l'inconvénient est que le code PIN est requis à chaque démarrage. Dans ce scénario d'authentification, l'administrateur configure un code PIN lorsque BitLocker est activé. BitLocker hache le code PIN spécifié par l'utilisateur avec l'algorithme SHA-256 et les 160 premiers bits du hachage sont utilisés comme données d'autorisation envoyées au TPM pour sceller le VMK. Le VMK est désormais protégé par le TPM et par le code PIN. Pour désceller la clé VMK, l'utilisateur doit saisir le code PIN à chaque redémarrage de l'ordinateur ou à chaque sortie du mode veille prolongée.

Prise en charge de l'interface utilisateur

  1. Accédez à l'élément BitLocker dans la zone Sécurité du Panneau de configuration pour activer BitLocker et permettre la prise en charge du code PIN10.

    • Cliquez sur « Activer BitLocker™ » afin d'exécuter l'Assistant Configuration de BitLocker.

    • Créez une clé de récupération et/ou un mot de passe de récupération dans le cadre du processus de configuration.

    • Utilisez la boîte de dialogue « Créer code PIN ? » pour permettre l'authentification par code PIN (écran 2a dans la figure 4) et créer le code PIN.

  2. Réinitialisez ou changez le code PIN via le lien « Gérer les clés » dans l'élément BitLocker du Panneau de configuration.

Prise en charge de l'écriture de scripts

a) Pour activer l'authentification par code PIN

  1. Utilisez ProtectKeyWithTPMAndPIN pour sécuriser la clé de chiffrement du volume sur le TPM, renforcée avec authentification par code PIN.

    • Notez que cette méthode peut être utilisée même si un blob d'authentification uniquement TPM existe déjà ou que la protection BitLocker a déjà été activée.

  2. Créez des blobs de récupération :

    • Utilisez ProtectKeyWithExternalKey pour créer une clé de récupération.

    • Utilisez ProtectKeyWithNumericalPassword pour créer un mot de passe de récupération.

  3. Utilisez Encrypt pour chiffrer le volume.

  4. Utilisez GetConversionStatus pour indiquer à quel moment le volume est entièrement chiffré.

  5. Utilisez GetProtectionStatus pour garantir que la protection BitLocker est activée.

b) Pour désactiver l'authentification par code PIN

  1. Utilisez Decrypt pour déchiffrer le volume et désactiver la protection BitLocker.

  2. Utilisez DeleteKeyProtector pour supprimer le blob d'authentification par TPM et code PIN.

  3. [Utilisez ProtectKeyWithTPMAndPIN une fois de plus pour recréer le blob TPM plus PIN (éventuellement avec un code PIN différent)].

Il n'est généralement pas judicieux d'activer la fonctionnalité de code PIN sur un serveur pour lequel la vitesse de redémarrage est importante ou lorsqu'une intervention humaine en cas de redémarrage n'est pas possible. Un scénario de déploiement envisageable consiste à activer BitLocker et la fonctionnalité de code PIN dans les succursales où un employé doit mettre le serveur sous tension au début de chaque journée de travail. Dans ce cas, la personne responsable connaît et saisit le code PIN au démarrage.

4.3.2.2 Authentification par clé de démarrage

Le scénario de protection de clé à deux facteurs offre deux facteurs d'authentification. Le scénario peut être activé ou désactivé en commençant par l'écran Sécurité du Panneau de configuration de Windows Vista et en utilisant l'écran de la tâche « Créer une clé de démarrage » (voir écran 2b dans la section 4.2.2). Dans ce scénario, une clé de démarrage est stockée sur n'importe quel périphérique de stockage répertorié dans le BIOS (par exemple un lecteur flash USB) et l'utilisateur doit insérer ce périphérique dans l'ordinateur à chaque démarrage de l'ordinateur11. Si le lecteur flash USB contenant la clé de démarrage doit être inséré dans l'ordinateur de la mise sous tension à l'amorçage, il doit être retiré une fois l'ouverture de session Windows terminée.

Prise en charge de l'interface utilisateur

  1. Accédez à l'élément BitLocker dans la zone Sécurité du Panneau de configuration afin d'activer BitLocker et la prise en charge de la clé de démarrage.

    • Cliquez sur « Activer BitLocker™ » afin d'exécuter l'Assistant Configuration de BitLocker.

    • Créez une clé de récupération et/ou un mot de passe de récupération dans le cadre du processus de configuration.

    • Utilisez la boîte de dialogue « Créer une clé de démarrage pour renforcer la sécurité » afin d'ajouter une clé de démarrage.

    • Reportez-vous à l'écran 2b dans la section 4.2.2 pour plus d'informations.

  2. Dupliquez la clé de démarrage via le lien « Gérer les clés » dans l'élément BitLocker du Panneau de configuration.

Prise en charge de l'écriture de scripts

a) Pour activer l'authentification par clé de démarrage

  1. Utilisez ProtectKeyWithTPMAndStartupKey pour sécuriser la clé de chiffrement du volume sur le TPM, renforcée avec authentification par clé de démarrage.

    • Notez que cette méthode peut être utilisée même si un blob d'authentification uniquement TPM existe déjà ou que la protection BitLocker a déjà été activée.

  2. Créez des blobs de récupération.

    • Utilisez ProtectKeyWithExternalKey pour créer une clé de récupération.

    • Utilisez ProtectKeyWithNumericalPassword pour créer un mot de passe de récupération.

  3. Utilisez Encrypt pour chiffrer le volume.

  4. Utilisez GetConversionStatus pour indiquer à quel moment le volume est entièrement chiffré.

  5. Utilisez GetProtectionStatus pour garantir que la protection BitLocker est activée.

b) Pour désactiver l'authentification par clé de démarrage

  1. Utilisez Decrypt pour déchiffrer le volume et désactiver la protection BitLocker.

  2. Utilisez DeleteKeyProtector pour supprimer le blob d'authentification par TPM et clé de démarrage.

  3. [Utilisez ProtectKeyWithTPMAndStartupKey une fois de plus pour recréer le blob TPM et clé de démarrage (éventuellement avec une clé de démarrage différente)].

4.3.3 Scénario d'utilisation avec clé de démarrage uniquement

Le propriétaire d'un ordinateur peut souhaiter protéger les données sur des ordinateurs ne contenant pas de TPM v1.2. Pour ce scénario, il souhaite imposer aux utilisateurs d'insérer le lecteur flash USB contenant une clé de démarrage à chaque démarrage de l'ordinateur et à chaque sortie du mode veille. Notez que le profil de sécurité d'un système utilisant un scénario Clé de démarrage uniquement est différent de la protection d'un système avec un TPM, car l'intégrité des composants qui démarrent en premier n'est pas validée sur le système non TPM.

Ce scénario est activé ou désactivé via l'élément BitLocker du Panneau de configuration de Windows. L'administrateur local doit créer une clé de démarrage en utilisant l'assistant lors de l'activation de BitLocker™. Ce scénario peut également être activé via un script. La désactivation de ce scénario impose le déchiffrement du volume et la suppression de toutes les clés ; celles-ci devront être recréées si le scénario est réactivé par la suite.

Une fois que le système a généré une clé de démarrage, l'utilisateur insère un lecteur flash USB et le système stocke la clé de démarrage sur ce périphérique. Le disque dur de l'ordinateur doit être équipé d'un volume système et d'un volume pour le système d'exploitation (pour plus d'informations sur cette exigence, reportez-vous à la section 2.1, intitulée « Configuration système requise pour le matériel, le microprogramme et les logiciels »). Le périphérique est à présent requis dans l'ordinateur à chaque démarrage de l'ordinateur à partir de ce volume protégé par BitLocker. L'utilisateur insère le lecteur flash USB et met l'ordinateur sous tension. L'ordinateur démarre sur le système d'exploitation et l'utilisateur peut commencer à utiliser le système normalement.

Grâce à l'élément BitLocker du Panneau de configuration, l'utilisateur peut créer une copie de sauvegarde de la clé de démarrage. Si un périphérique externe est perdu, le volume doit être récupéré avec la clé de récupération ou le mot de passe de récupération, et une nouvelle clé de démarrage doit être générée. Tous les autres volumes qui utilisent également la clé de démarrage perdue doivent passer par une procédure similaire, afin de garantir que la clé de démarrage perdue n'est pas utilisée par un utilisateur non autorisé.

Prise en charge de l'interface utilisateur

  1. Accédez à l'élément BitLocker dans la zone Sécurité du Panneau de configuration afin d'activer BitLocker et la prise en charge de la clé de démarrage.

    • Cliquez sur « Activer BitLocker™ » afin d'exécuter l'Assistant Configuration de BitLocker.

    • Créez une clé de récupération et/ou un mot de passe de récupération dans le cadre du processus de configuration.

  2. Créez et enregistrez une clé de démarrage dans le cadre de l'Assistant Configuration de BitLocker.

    • Reportez-vous à l'écran 2b dans la section 4.2.2 pour plus d'informations.

  3. Enregistrez la clé de démarrage créée, dans le cadre de l'Assistant Gestion des clés.

  4. Entrez la clé de démarrage dans le cadre du processus d'amorçage.

Prise en charge de l'écriture de scripts

a) Pour activer l'authentification par clé de démarrage uniquement

  1. Utilisez ProtectKeyWithExternalKey pour créer une clé de démarrage utilisée pour un ordinateur sans TPM compatible.

    • Cette méthode peut être utilisée même si un blob de clé de démarrage existe déjà ou que la protection BitLocker a déjà été activée.

  2. Utilisez SaveExternalKeyToFile pour écrire un fichier contenant la clé de démarrage sur un lecteur flash USB ou un autre emplacement.

  3. Créez des blobs de récupération.

    • Utilisez ProtectKeyWithExternalKey pour créer une clé de récupération.

    • Utilisez ProtectKeyWithNumericalPassword pour créer un mot de passe de récupération.

  4. Utilisez Encrypt pour chiffrer le volume.

  5. Utilisez GetConversionStatus pour indiquer à quel moment le volume est entièrement chiffré.

  6. Utilisez GetProtectionStatus pour garantir que la protection BitLocker est activée.

  7. Utilisez UnlockWithExternalKey pour déverrouiller un volume avec une clé de démarrage.

a) Pour désactiver l'authentification par clé de démarrage uniquement

  1. Utilisez Decrypt pour déchiffrer le volume et désactiver la protection BitLocker.

  2. Utilisez GetKeyProtectors pour répertorier les clés de démarrage créées pour un volume de disque.

  3. Utilisez DeleteKeyProtector pour supprimer le blob d'authentification de clé de démarrage associé à une clé de démarrage créée.

  4. [Utilisez ProtectKeyWithExternalKey une fois de plus pour créer une nouvelle clé de démarrage].

4.3.4 Administration

L'administrateur local contrôle tous les aspects de BitLocker Drive Encryption. L'administrateur peut activer ou désactiver cette fonctionnalité directement dans le Centre de sécurité de Windows.

4.3.4.1 Environnement utilisateur pour la gestion des clés

Une fois le volume chiffré et protégé par BitLocker, l'interface utilisateur Gérer les clés permet aux administrateurs locaux et du domaine de dupliquer les clés et de réinitialiser le code PIN. Les liens dans l'interface ne sont affichés que pour les clés créées lors de la configuration de BitLocker.

Le flux de gestion des clés permet à l'administrateur d'accéder aux options suivantes de gestion des clés :

  • Dupliquer le mot de passe de récupération

    • Affiche le mot de passe de récupération et permet aux utilisateurs de l'imprimer.

    • Enregistre (duplique) le mot de passe de récupération et la clé de récupération sur un lecteur flash USB.

    • Enregistre (duplique) le mot de passe de récupération et la clé de récupération dans un dossier.

  • Dupliquer la clé de démarrage

    • Enregistre la clé de démarrage sur un lecteur flash USB.

  • Réinitialiser le code PIN.

4.3.4.2 Configuration et gestion

Le Centre de sécurité de Windows indique l'état de la fonctionnalité BitLocker, ainsi que la possibilité d'activer ou de désactiver BitLocker. Il offre également une fonctionnalité de configuration, comme le montre la section 4.2. Si BitLocker chiffre ou déchiffre activement les données suite à une récente demande d'installation ou de désinstallation, l'état de progression apparaît.

Dans le Centre de sécurité, l'administrateur peut également accéder à la console Gestion TPM.

Un outil de gestion de ligne de commande (manage-bde.wsf) permet aux administrateurs informatiques de créer des scripts à distance.

4.3.4.3 Mise à niveau de l'ordinateur : Scénario de désactivation de la protection

L'administrateur peut être amené à désactiver temporairement BitLocker dans certains cas, tels que :

  1. Redémarrage de l'ordinateur pour la maintenance sans intervention de l'utilisateur (par exemple, code PIN ou clé de démarrage)

  2. Mise à niveau de composants essentiels qui démarrent en premier, sans déclenchement de récupération BitLocker

    • Installation d'un autre système d'exploitation pouvant changer le gestionnaire d'amorçage

    • Repartitionnement du disque, susceptible de changer la table de partition.

    • Autres tâches système pouvant changer les composants d'amorçage validés par le TPM.

  3. Mise à niveau de la carte mère afin de remplacer ou de supprimer le TPM sans déclenchement de récupération BitLocker.

  4. Désactivation ou suppression du TPM sans déclenchement de la récupération BitLocker.

  5. Déplacement d'un volume de disque protégé par BitLocker vers un autre ordinateur sans déclencher de récupération BitLocker.

  6. Perte de tous les blobs de récupération et nécessité d'en créer de nouveaux avant le déclenchement de la récupération BitLocker.

Nous désignerons collectivement tous ces scénarios comme le « scénario de mise à niveau de l'ordinateur ». Ce scénario peut être activé / désactivé via l'élément BitLocker du Panneau de configuration de Windows. Seules quelques opérations sont nécessaires pour la mise à niveau d'un ordinateur utilisant BitLocker :

  1. Désactivez temporairement BitLocker en passant en mode désactivé.

  2. Mettez à niveau le système.

    • Mettez à jour le BIOS ou installez un Service Pack.

  3. Désactivez BitLocker – aucun chiffrement n'est requis, comme expliqué ci-dessous.

Le fait de forcer BitLocker en mode désactivé conserve le volume chiffré, mais la clé du volume maître est librement disponible sur le disque, chiffrée avec une clé claire symétrique stockée sur le disque dur. La disponibilité de la clé claire désactive la protection des données offerte par BitLocker, mais elle garantit que les redémarrages suivants de l'ordinateur réussiront dans tous les cas, sans intervention de l'utilisateur. Lorsque BitLocker est réactivé, la clé claire est supprimée du volume de disque et la protection BitLocker est réactivée. En outre, la clé VMK est recréée et rechiffrée.

Le déplacement du volume protégé (disque physique) vers un autre ordinateur TPM ne nécessite pas d'autres opérations, car la clé qui protège la clé du volume maître est stockée localement sur le disque, hors de danger.

L'exposition de la clé du volume maître, même pour une courte période, présente un risque, car un pirate peut avoir accédé à cette clé et à la clé FVEK lorsqu'elles étaient exposées par la clé claire.

4.4 Mise au rebut de l'ordinateur

Beaucoup d'ordinateurs sont aujourd'hui réutilisés par des personnes autres que le premier propriétaire ou utilisateur. En entreprise, les ordinateurs peuvent être déployés dans d'autres départements, ou avoir quitté l'entreprise dans le cadre du cycle habituel de changement du matériel informatique.

Les départements informatiques peuvent mettre en place un ou plusieurs protocoles de sécurité afin de sécuriser ou de supprimer les données sur les ordinateurs avant leur déplacement ou leur sortie de l'entreprise. BitLocker peut améliorer de manière significative la sécurité des ordinateurs avant leur redéploiement.

Le département informatique peut soit désactiver BitLocker, afin que l'ordinateur (et éventuellement certaines données) puissent être utilisés pour d'autres besoins, soit gagner du temps en procédant à la « mise au rebut sécurisée », en conservant les données définitivement chiffrées, sans aucun moyen de les récupérer.

4.4.1 Désactivation de BitLocker Drive Encryption

L'administrateur local peut désactiver la fonctionnalité dans le Centre de sécurité de Windows. BitLocker offre deux modes de désinstallation :

  • Désactiver BitLocker - Conserver le chiffrement. Cette option conserve les données chiffrées sur le disque dur, mais supprime la dépendance matérielle par rapport au TPM (en passant en mode désactivé, voir sous-section 4.3.4.3).

  • Désactiver BitLocker - Supprimer le chiffrement. Cette option supprime totalement la protection de la partition Windows et déchiffre les données (en désactivant BitLocker).

Prise en charge de l'interface utilisateur

  1. Accédez à l'élément BitLocker dans la zone Sécurité du Panneau de configuration afin d'activer BitLocker et la prise en charge de la clé de démarrage.

  2. Cliquez sur « Désactiver BitLocker™ » afin de désactiver BitLocker™.

Prise en charge de l'écriture de scripts

  1. Utilisez Decrypt pour déchiffrer le volume et désactiver la protection BitLocker.

Une fois que BitLocker a été désactivé, l'essentiel des données utiles peut être transféré avant reformatage du disque.

4.4.2 Mise au rebut sécurisée

La mise au rebut sécurisée fait référence à la suppression des blobs de clé sur un volume donné. Sans les blobs de clé, les données ne peuvent pas être déchiffrées12.

Ce processus implique deux étapes :

  1. Supprimez tous les blobs de clé de non-récupération sur le volume. Cela force l'utilisateur à passer par le processus de récupération au prochain démarrage et à fournir une clé de récupération ou un mot de passe de récupération. Il s'agit là d'une mise au rebut sécurisée récupérable. Elle peut être utilisée pour verrouiller un ordinateur pendant le transport.

  2. Supprimez tous les blobs de clé utilisables, y compris les données de récupération enregistrées dans Active Directory. Les données sont alors chiffrées de manière définitive, et le volume peut être reformaté, sans mettre en danger les données qui existaient dans le volume protégé par BitLocker. Il s'agit là d'une mise au rebut sécurisée définitive. Ne faites cela que si vous êtes absolument certain que vous n'aurez plus jamais besoin de ces données. Le lecteur sera en effet irrécupérable.

La mise au rebut sécurisée peut être effectuée via un script d'administration qui supprime du disque tous les blobs de clé (pas de prise en charge d'une interface utilisateur dans la version 1).

Prise en charge de l'écriture de scripts

  1. Utilisez GetKeyProtectors pour obtenir les identificateurs de tous les protecteurs de clé du type « TPM », « TPM plus code PIN » et « TPM plus clé de démarrage ». [Pour une mise au rebut sécurisée définitive, obtenez tous les identificateurs de protecteur de clé, y compris ceux pour la récupération.].

  2. [Pour la mise au rebut sécurisée définitive] Créez un blob de mot de passe de récupération non destiné à être utilisé13 (en annulant le mot de passe de récupération réel) en utilisant ProtectKeyWithNumericalPassword et une séquence de mot de passe générée de manière aléatoire.

  3. Utilisez DeleteKeyProtector pour supprimer tous les protecteurs de clé utilisables associés aux identificateurs trouvés ci-dessus.

  4. [Pour la mise au rebut sécurisée définitive] Pour les ordinateurs TPM, effacez le TPM en utilisant la fonction du fournisseur WMI TPM Win32_TPM.Clear.

Il s'agit d'un moyen rapide et efficace de rendre inaccessibles les données d'un volume.

Haut de pageHaut de page

5. Récupération du système

Si un problème se produit (si la clé d'un volume ne peut pas être obtenue automatiquement par BitLocker), les données du volume chiffré peuvent être récupérées via un processus efficace nécessitant une configuration minimale. Plusieurs scénarios peuvent déclencher la récupération :

  1. Déplacement du lecteur protégé par BitLocker vers un nouvel ordinateur.

  2. Mise à niveau de la carte mère (avec un nouveau TPM).

  3. Désactivation ou effacement du TPM.

  4. Mise à niveau des composants essentiels qui démarrent en premier, provoquant l'échec de la validation du TPM.

  5. Oubli du code PIN lorsque l'authentification par code PIN a été activée.

  6. Perte du lecteur flash USB contenant la clé de démarrage lorsque l'authentification par clé de démarrage a été activée.

  7. Redéploiement de postes de travail ou d'ordinateurs portables vers d'autres départements ou employés de l'entreprise (par exemple vers des utilisateurs avec des droits de sécurité différents, ou des besoins différents), nécessitant la récupération des données avant le passage au nouveau niveau de sécurité.

  8. Réaffectation des postes de travail en place (par exemple réinstallation à distance du système d'exploitation par un administrateur informatique) sans perte des données protégées.

5.1 Configuration de la récupération

Grâce à la stratégie de groupe, l'administrateur informatique peut choisir les méthodes de récupération à imposer, à refuser ou à rendre facultatives pour les utilisateurs qui activent BitLocker. Le mot de passe de récupération peut être stocké dans Active Directory et l'administrateur peut rendre cette option obligatoire, interdite ou facultative (séparément pour chaque utilisateur de l'ordinateur). Reportez-vous à la section 4.2.3, qui décrit la procédure de configuration d'Active Directory. En outre, les données de récupération peuvent être stockées sur n'importe quel lecteur flash USB.

5.2 Scénarios de récupération

Dans BitLocker, la récupération consiste à déchiffrer une copie du blob de clé du volume maître avec une clé de récupération stockée sur un lecteur flash USB ou avec une clé chiffrographique dérivée d'un mot de passe de récupération. Le TPM n'est impliqué dans aucun scénario de récupération, ce qui fait que la récupération est possible si le TPM ne parvient pas à valider les composants d'amorçage, présente un dysfonctionnement ou disparaît.

Pour récupérer un volume, l'utilisateur peut utiliser n'importe lequel des mécanismes de récupération qui ont été configurés lors de l'initialisation. L'utilisateur peut soit utiliser un mot de passe de récupération, soit une clé de récupération (équivalent du mot de passe de récupération, mais lisible par l'ordinateur).

5.2.1 Mot de passe de récupération

Le mot de passe de récupération est un nombre aléatoire de 48 chiffres, créé lors de la configuration de BitLocker. Il peut être géré et copié après l'activation de BitLocker. Via l'interface, le mot de passe de récupération peut être imprimé et/ou enregistré dans un fichier en vue d'une utilisation ultérieure.

L'administrateur du domaine peut configurer la stratégie de groupe afin de générer automatiquement des mots de passe de récupération et de les sauvegarder de manière transparente dans Active Directory dès que BitLocker est activé. En outre, l'administrateur du domaine peut choisir d'empêcher BitLocker de chiffrer un lecteur tant que l'ordinateur n'est pas connecté au réseau et que la sauvegarde Active Directory du mot de passe de récupération n'a pas réussi.

Prise en charge de l'interface utilisateur

  1. Accédez à l'élément BitLocker™ dans la zone Sécurité du Panneau de configuration afin d'activer BitLocker™ et la prise en charge du mot de passe de récupération.

    • Cliquez sur « Activer BitLocker™ » afin d'exécuter l'Assistant Configuration de BitLocker™.

  2. Enregistrez, affichez et/ou imprimez un mot de passe de récupération dans le cadre de l'Assistant Configuration de BitLocker™14

    • Reportez-vous à l'écran 4 dans la section 4.2.2 pour plus d'informations.

  3. Enregistrez et/ou imprimez une copie du mot de passe de récupération créé dans le cadre de l'interface Gestion des clés.

  4. Saisissez le mot de passe de récupération dans l'interface de récupération en mode texte, avant le chargement de Windows.

Prise en charge de l'écriture de scripts

a) Pour activer le mot de passe de récupération

  1. Utilisez ProtectKeyWithNumericalPassword pour créer un mot de passe de récupération.

    • Cette méthode peut être utilisée même si un blob de mot de passe de récupération existe déjà ou que la protection BitLocker a déjà été activée.

    • Si la sauvegarde Active Directory est activée ou requise par la stratégie de groupe, cette méthode stocke également le mot de passe de récupération dans Active Directory.

  2. Utilisez GetKeyProtectorNumericalPassword pour extraire le contenu du mot de passe numérique d'un blob de mot de passe de récupération créé.

  3. Utilisez UnlockWithNumericalPassword pour déverrouiller un volume avec un mot de passe de récupération.

b) Pour désactiver la clé de récupération

  1. Utilisez GetKeyProtectors pour répertorier les mots de passe de récupération créés pour un volume de disque.

  2. Utilisez DeleteKeyProtector pour supprimer le blob d'authentification Mot de passe numérique associé à un mot de passe de récupération créé.

5.2.2 Clé de récupération

La clé de récupération peut être créée et enregistrée dans un lecteur flash USB15 au cours de la configuration de BitLocker ; de plus, elle peut être gérée et copiée après l'activation de BitLocker. En insérant un lecteur flash USB contenant la clé de récupération dans l'ordinateur au démarrage, l'utilisateur a accès au volume du système d'exploitation, indépendamment de l'état du TPM.

Prise en charge de l'interface utilisateur

  1. Accédez à l'élément BitLocker™ dans la zone Sécurité du Panneau de configuration afin d'activer BitLocker™ et la prise en charge de la clé de récupération.

    • Cliquez sur « Activer BitLocker™ » afin d'exécuter l'Assistant Configuration de BitLocker™.

  2. Créez et enregistrez une clé de récupération dans le cadre de l'Assistant Configuration de BitLocker™16

    • Reportez-vous à l'écran 4 dans la section 4.2.2 pour plus d'informations.

  3. Créez une copie de la clé de récupération créée, dans le cadre de l'Assistant Gestion des clés.

  4. Saisissez la clé de récupération dans l'interface de récupération en mode texte, avant le chargement de Windows.

Prise en charge de l'écriture de scripts

a) Pour activer la clé de récupération

  1. Utilisez ProtectKeyWithExternalKey pour créer une clé de récupération.

  2. Utilisez SaveExternalKeyToFile pour écrire un fichier contenant la clé de récupération sur un lecteur flash USB ou un autre emplacement.

  3. Utilisez GetKeyKeyProtector ExternalKey pour extraire le contenu des clés d'un blob de clé de récupération créé.

  4. Utilisez UnlockWithExternalKey pour déverrouiller un volume avec une clé de récupération.

b) Pour désactiver la clé de récupération

  1. Utilisez GetKeyProtectors pour répertorier les clés de récupération créées pour un volume de disque.

  2. Utilisez DeleteKeyProtector pour supprimer le blob d'authentification associé à une clé de récupération créée.

Haut de pageHaut de page

ANNEXE

Glossaire

BitLocker désactivé
En mode « désactivé », la protection BitLocker est désactivée sur un volume de disque, ce dernier est chiffré, mais la clé FVEK utilisée pour chiffrer le volume du système d'exploitation est librement disponible via une clé claire. Bien que le chiffrement soit impliqué, la protection des données est effectivement désactivée.

BitLocker activé
Lorsque la protection BitLocker est activée sur un volume de disque, les données du volume sont chiffrées lors de leur écriture, et déchiffrées lors de leur lecture. Lorsque l'ordinateur démarre, la validation réussie de composants essentiels qui démarrent en premier par le TPM (conjointement avec une clé de démarrage ou un code PIN, le cas échéant), la saisie d'un mot de passe de récupération ou l'insertion d'un lecteur flash USB contenant une clé de récupération est requise pour déchiffrer la clé VMK et pour accéder au volume.

BitLocker désactivé
Dans ce mode, la protection est désactivée sur un volume de disque, ce dernier n'est pas chiffré, et la protection BitLocker n'est pas en vigueur. Il s'agit d'un volume de disque avec un format de fichier standard en texte clair.

Blob
Binary Large Object ; toute donnée protégée par cryptographie. Par exemple, la clé VMK est scellée dans le TPM, mais le blob résultant renvoyé par l'opération TPM_Seal est en fait stocké sur le disque. De la même façon, la clé VMK peut être chiffrée par une clé claire, une clé de démarrage ou un mot de passe de récupération, et être stockée en tant que blob sur disque.

Clé claire
Clé stockée hors de danger sur le volume de disque. Cette clé est utilisée pour accéder librement à la clé VMK, puis à la clé FVEK si la protection BitLocker est désactivée mais que le volume de disque reste chiffré. Voir BitLocker désactivé.

FVEK
Full Volume Encryption Key ; clé propre à l'algorithme utilisée pour chiffrer (et éventuellement diffuser) les données sur les secteurs du disque. Elle peut actuellement varier de 128 bits à 512 bits. L'algorithme de chiffrement par défaut utilisé sur les volumes de disque est AES 128 bits avec Diffuser.

Volume du système d'exploitation
Volume contenant un système d'exploitation (par exemple Windows Vista) et pouvant être chargé par le gestionnaire d'amorçage de l'ordinateur. Ce volume est protégé par BitLocker.

Mise au rebut sécurisée définitive
Procédure qui force la non-récupération d'un volume protégé par BitLocker, via la suppression de toutes les informations de clé requises pour déchiffrer ou récupérer le disque.

PIN
Personal Identification Number ; il s'agit d'une valeur secrète spécifiée par l'administrateur, devant être saisie à chaque démarrage de l'ordinateur (ou reprise suite à une mise en veille). Le code PIN peut comporter de 4 à 20 chiffres et est stocké en interne sous forme de hachage 256 bits des caractères Unicode saisis. Cette valeur n'est jamais réaffichée pour l'utilisateur, dans quelque forme ou pour quelque raison que ce soit. Le code PIN est utilisé pour offrir une protection supplémentaire, en plus de l'authentification TPM.

Mise au rebut sécurisée récupérable
Procédure qui force le système en mode récupération, en supprimant les blobs de clé locaux (autres que les blobs de récupération) requis pour déchiffrer le disque.

Clé de récupération
Clé utilisée pour récupérer les données chiffrées sur un volume BitLocker. Cette clé est l'équivalent cryptographique d'une clé de démarrage. Si elle est disponible, la clé de récupération déchiffre la clé VMK, laquelle déchiffre à son tour la clé FVEK.

Mot de passe de récupération
Mot de passe numérique constitué de 48 chiffres répartis en 8 groupes. Chaque groupe de 6 chiffres est vérifié par mod-11 avant la compression en données secrètes 16 bits correspondantes. Une copie des données secrètes est stockée sur le disque, chiffrée par la clé VMK ; le mot de passe de récupération peut donc être extrait par un administrateur après le chargement de Windows Vista.

Clé de démarrage
Clé stockée sur un lecteur flash USB et devant être insérée à chaque démarrage de l'ordinateur. La clé de démarrage est utilisée pour offrir une protection supplémentaire, en plus de l'authentification TPM.

Volume système
Premier volume auquel le système d'exploitation accès au démarrage de l'ordinateur. Ce volume contient les fichiers propres au matériel requis pour charger Windows et inclut le gestionnaire d'amorçage de l'ordinateur (pour le chargement de plusieurs systèmes d'exploitation). En général, le volume système peut être (mais pas nécessairement) le même volume que le volume d'amorçage du système d'exploitation. Cependant, pour que BitLocker fonctionne, le volume système doit être séparé du volume du système d'exploitation et ne doit pas être chiffré.

TPM
Module Trusted Platform Module défini par Trusted Computing Group. TPM est un matériel de sécurité offrant une racine matérielle de confiance et pouvant être exploité pour la fourniture de divers services cryptographiques. TPM v1.2 avec les mises à niveau BIOS compatibles permet le chiffrement de lecteur avec la vérification d'intégrité des fonctionnalités des composants qui démarrent en premier, afin de vérifier l'intégrité de ces composants et de permettre un démarrage transparent.

VMK
Volume Master Key : clé utilisée pour chiffrer la clé FVEK.

1 Excepté pour le scénario Clé de démarrage uniquement, voir section 4.3.3 pour plus d'informations
2 Pour plus d'informations, reportez-vous aux spécifications USB Mass Storage Class Bulk-Only Transport et USB Mass Storage Class UFI Command, lesquelles peuvent être téléchargées sur le site http://www.usb.org/developers/devclass_docs#approved
3 Dans ce document, « volume » désigne une zone de stockage sur un disque dur. Un volume est formaté avec un système de fichiers, tel que NTFS, et une lettre d'unité lui est affectée. Un volume est différent d'une « partition », qui est une portion d'un disque physique fonctionnant comme s'il s'agissait d'un disque physiquement distinct. Il peut y avoir un volume pour chaque partition d'un disque dur, ou les volumes peuvent s'étendre sur plusieurs partitions.
4 Le profil de validation de plate-forme TPM sécurise le VMK contre les changements du CRTM (Core Root of Trust of Measurement), du BIOS et Platform Extensions (PCR 0), Option ROM Code (PCR 2), Master Boot Record (MBR) Code (PCR 4), NTFS Boot Sector (PCR 8), NTFS Boot Block (PCR 9) et Boot Manager (PCR 10). PCR 11 (BitLocker Access Control) est également utilisé.
5 La configuration à deux volumes, mentionnée dans la section précédente, est une condition préalable.
6 Des instructions pas-à-pas détaillées sont disponibles à l'adresse suivante : https://www.microsoft.com/downloads/details.aspx?FamilyID=311f4be8-9983-4ab0-9685-f1bfec1e7d62&DisplayLang=en
7 La présence physique est généralement requise pour initialiser le TPM d'un ordinateur. Cependant, si un ordinateur est livré avec le TPM déjà activé, aucune présence physique n'est requise
8 Les noms de méthode référencés dans cette section sont exposés via le fournisseur WMI (Windows Management Instrumentation) de BitLocker, à savoir Win32_EncryptableVolume. Chaque volume de disque pouvant être reconnu par Windows Vista est une instance de la classe de fournisseur Win32_EncryptedVolume.
9 Notez que l'authentification par code PIN ne peut pas être combinée avec l'authentification par clé de démarrage.
10 Les fonctionnalités de sécurité suivantes sont présentes dans Windows Vista : Une fois la protection BitLocker activée, le code PIN ne peut pas être ajouté sans déchiffrement préalable du disque et désactivation de BitLocker. Une fois le code PIN créé et la protection BitLocker activée, le code PIN peut uniquement être supprimé via le déchiffrement du lecteur
11 Notez que l'authentification par clé de démarrage ne peut pas être combinée avec l'authentification par code PIN
12 Les données sont chiffrées de manière permanente et de façon aussi sécurisée que l'algorithme chiffrographique sous-jacent (AES avec clés 128 ou 256 bits).
13 Cette opération est nécessaire, car DeleteKeyProtector ne supprime pas tous les protecteurs de clé.
14 Une fois la protection BitLocker activée, le mot de passe de récupération ne peut plus être ajouté, changé ou supprimé sans le déchiffrement préalable du disque et la désactivation de BitLocker.
15 Tout support répertorié dans le BIOS.
16 Une fois la protection BitLocker activée, la clé de récupération ne peut plus être ajoutée, changée ou supprimée sans le déchiffrement préalable du disque et la désactivation de BitLocker.

Haut de pageHaut de page