Nouveautés de BitLocker

Publication: février 2012

Mis à jour: février 2012

S'applique à: Windows 8, Windows Server 2012

Voici une liste des nouvelles fonctionnalités de BitLocker pour Windows 8 et Windows Server 2012 :

  • Configuration de BitLocker

    Windows 8 peut maintenant être déployé dans un état chiffré pendant l’installation, préalablement à la configuration.

  • Chiffrement de l’espace disque utilisé uniquement

    BitLocker propose désormais deux méthodes de chiffrement : le chiffrement de l’espace disque utilisé uniquement et le chiffrement de volume complet. Le chiffrement de l’espace disque utilisé uniquement est une méthode de chiffrement beaucoup plus rapide, car seuls les blocs qui sont utilisés sur le volume ciblé sont chiffrés.

  • Changement du mot de passe et du code confidentiel par l’utilisateur standard

    Cette fonctionnalité donne la possibilité à un utilisateur standard de modifier le mot de passe ou le code confidentiel BitLocker sur les volumes hébergeant le système d’exploitation, et le mot de passe BitLocker sur les volumes de données, ce qui contribue à réduire le nombre d’appels au support technique interne.

  • Déverrouillage réseau

    Cette fonctionnalité permet à un système BitLocker installé sur un réseau câblé de déverrouiller automatiquement le volume système pendant le démarrage (sur les réseaux prenant en charge Windows Server 2012), ce qui contribue là aussi à réduire le nombre d’appels au support technique interne en cas de perte des codes confidentiels.

  • Prise en charge des disques durs chiffrés pour Windows

    Windows 8 offre une prise en charge des disques durs chiffrés par BitLocker.

Dans Windows Vista et Windows 7, BitLocker est configuré après l’installation du système d’exploitation et des volumes de données par le biais de l’interface de ligne de commande manage-bde ou de l’interface utilisateur du Panneau de configuration. Dans Windows 8, BitLocker peut également être facilement configuré avant d’installer le système d’exploitation.

Dans Windows 8, les administrateurs peuvent activer BitLocker avant de procéder au déploiement du système d’exploitation, à partir de l’environnement de préinstallation Windows (WinPE). L’activation s’effectue en appliquant un protecteur en clair, généré aléatoirement, au volume formaté et en chiffrant ce volume avant de lancer le processus d’installation de Windows. Si la méthode de chiffrement utilisée est le chiffrement de l’espace disque utilisé uniquement, décrit dans la section suivante, cette étape s’intègre facilement aux processus de déploiement classiques, car elle ne prend que quelques secondes.

Les administrateurs ont la possibilité de vérifier l’état de BitLocker sur un volume particulier par le biais de l’applet du Panneau de configuration BitLocker ou dans l’Explorateur Windows. Lorsqu’un lecteur est préconfiguré pour BitLocker, l’état « Activation en attente » accompagné d’un point d’exclamation jaune s’affiche dans le Panneau de configuration BitLocker. Cet état indique qu’un seul protecteur en clair a été utilisé lors du chiffrement du volume. Dans ce cas, le volume n’est pas protégé. Il doit être associé à une clé sécurisée pour que le lecteur soit considéré comme étant totalement protégé. Pour ajouter un protecteur de clé approprié afin de modifier l’état du volume, utilisez le Panneau de configuration, l’outil manage-bde ou les API WMI, selon ce que vous préférez. Le tableau suivant répertorie les protecteurs de clés appropriés à ajouter aux lecteurs ayant été préconfigurés pour la protection BitLocker :

 

Type de lecteur Protecteur de clé

Système d’exploitation

TPM

TPM + code confidentiel

Clé de démarrage (pour les systèmes sans TPM)

Mot de passe (pour les systèmes sans TPM)

Lecteur de données fixe

Déverrouillage automatique

Mot de passe

Carte à puce

Lecteur de données amovible

Mot de passe

Carte à puce

Dans Windows 7, BitLocker nécessite que la totalité des données et de l’espace libre sur le lecteur soit chiffrée. Le processus de chiffrement peut prendre beaucoup de temps sur les volumes de grande capacité. Dans Windows 8, les administrateurs peuvent choisir de chiffrer le volume complet ou l’espace utilisé uniquement. Avec le chiffrement de l’espace disque utilisé uniquement, seule la partie du lecteur qui contient des données est chiffrée. L’espace disque libre n’est pas chiffré. Avec cette nouvelle méthode de chiffrement, le chiffrement des lecteurs vides ou peu utilisés est beaucoup plus rapide qu’avec les implémentations précédentes de BitLocker. Lorsque BitLocker est configuré pendant les déploiements de Windows, le chiffrement de l’espace disque utilisé uniquement permet à BitLocker de chiffrer un lecteur en très peu de temps avant d’installer le système d’exploitation. Le chiffrement de volume complet chiffre à la fois les données et l’espace libre sur le volume, comme le fait BitLocker dans Windows 7 et Windows Vista.

Nouveaux paramètres de stratégie de groupe pour le type de chiffrement

Vous pouvez définir des paramètres de stratégie de groupe pour déterminer quel type de chiffrement (chiffrement de l’espace disque utilisé uniquement ou chiffrement de volume complet) doit être utilisé lorsque BitLocker est activé sur un lecteur. Les paramètres de stratégie de groupe pour le chiffrement de lecteur BitLocker se trouvent sous le chemin d’accès \Configuration ordinateur\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker de

la stratégie d’ordinateur et la stratégie d’ordinateur de domaine de l’Éditeur de stratégie de groupe.

Voici les nouvelles stratégies de groupes disponibles :

  • Lecteurs de données fixes\Appliquer le type de chiffrement de lecteur sur les lecteurs de données fixes.

  • Lecteurs du système d’exploitation\Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation.

  • Lecteurs de données amovibles\Appliquer le type de chiffrement de lecteur sur les lecteurs de données amovibles.

Pour chaque stratégie qui est activée, vous pouvez indiquer quel type de chiffrement doit être utilisé sur les différents types de lecteur. Si la stratégie n’est pas configurée, l’utilisateur pourra sélectionner la méthode de chiffrement de son choix lors de l’activation de BitLocker.

La configuration de BitLocker pour les lecteurs du système d’exploitation requiert des privilèges d’administrateur. Dans une organisation où les ordinateurs sont gérés par les professionnels de l’informatique et où les utilisateurs ne disposent généralement pas de privilèges d’administrateur, il peut s’avérer difficile de déployer l’option de protection par TPM + code confidentiel sur un grand nombre d’ordinateurs. Dans Windows 8, des privilèges d’administrateur sont toujours requis pour configurer BitLocker, mais les utilisateurs standard ont la possibilité, par défaut, de modifier le mot de passe ou le code confidentiel BitLocker sur les volumes hébergeant le système d’exploitation, ou le mot de passe BitLocker sur les volumes de données des lecteurs fixes. Ainsi, les utilisateurs peuvent choisir eux-mêmes des mots de passe ou des codes confidentiels faciles à retenir au lieu d’avoir à mémoriser une chaîne de caractères générée aléatoirement. Par ailleurs, les professionnels de l’informatique peuvent continuer à utiliser la méthode initiale de définition des mots de passe et codes confidentiels pour toutes les images d’ordinateur. Il faut souligner que les utilisateurs risquent de créer des mots de passe et codes confidentiels davantage exposés aux tentatives de déchiffrement des mots de passe, aux attaques par dictionnaire et aux attaques d’ingénierie sociale, et que les utilisateurs ont désormais la possibilité de déverrouiller n’importe quel ordinateur qui applique encore la méthode initiale de définition des mots de passe et codes confidentiels. C’est pourquoi nous vous recommandons de définir des critères de complexité des mots de passe et des codes confidentiels dans la stratégie de groupe afin de vous assurer que les mots de passe et codes confidentiels choisis par les utilisateurs répondent aux exigences de sécurité.

Les utilisateurs standard doivent entrer le mot de passe ou code confidentiel actuel associé au lecteur pour modifier le mot de passe ou code confidentiel BitLocker. Si un utilisateur n’entre pas le mot de passe ou code confidentiel actuel correct, il peut réessayer cinq fois par défaut. Une fois que le nombre limite de tentatives est atteint, l’utilisateur standard ne peut plus modifier le mot de passe ou code confidentiel BitLocker. Le compte de tentatives est remis à zéro au redémarrage de l’ordinateur ou lorsqu’un administrateur réinitialise le mot de passe ou code confidentiel BitLocker.

Vous pouvez désactiver l’option permettant aux utilisateurs standard de modifier les mots de passe et codes confidentiels à l’aide du paramètre de stratégie de groupe Interdire les utilisateurs standard de modifier le code confidentiel qui se trouve dans la section \Configuration ordinateur\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation de l’Éditeur de stratégie de groupe locale.

Windows Server 2012 propose une nouvelle option de protection BitLocker pour les volumes hébergeant le système d’exploitation, appelée « déverrouillage réseau ». Le déverrouillage réseau facilite la gestion des ordinateurs de bureau et des serveurs d’un environnement de domaine sur lesquels BitLocker est activé. Il permet de déverrouiller automatiquement, lors du redémarrage système, les volumes hébergeant le système d’exploitation qui sont connectés à un réseau d’entreprise câblé approuvé. Cette fonctionnalité nécessite que le matériel client comporte un pilote DHCP implémenté dans son microprogramme UEFI.

Pour les volumes hébergeant le système d’exploitation qui bénéficient d’une protection par TPM + code confidentiel, un code confidentiel doit être entré après qu’un ordinateur redémarre ou sort d’une mise en veille prolongée (par exemple, s’il est configuré pour la fonctionnalité Wake on LAN). L’obligation d’entrer un code confidentiel peut rendre difficile l’installation sans assistance de correctifs logiciels sur les ordinateurs de bureau et serveurs d’une entreprise. Avec le déverrouillage réseau, Windows peut démarrer sans intervention de l’utilisateur sur les ordinateurs qui sont configurés pour utiliser un protecteur de clé TPM + code confidentiel. Cette méthode est similaire à la méthode de protection par TPM + clé de démarrage. Au lieu d’utiliser la clé de démarrage stockée sur un périphérique USB, la clé de déverrouillage réseau se compose d’une clé stockée dans le TPM et d’une clé réseau chiffrée qui est envoyée au serveur pour être déchiffrée, puis renvoyée au client lors d’une session sécurisée. La clé réseau est stockée sur le lecteur système avec une clé de session AES 256, et chiffrée avec la clé publique RSA 2 048 bits contenue dans le certificat du serveur déverrouillé. Elle est ensuite déchiffrée par un fournisseur d’un serveur WDS Windows Server 2012, puis renvoyée chiffrée avec la clé de session associée. Si le fournisseur du déverrouillage réseau n’est pas disponible, l’écran de déverrouillage par TPM + code confidentiel standard s’affiche pour pouvoir déverrouiller le lecteur. La configuration côté serveur pour activer le déverrouillage réseau nécessite également de configurer une paire de clés publique/privée RSA 2 048 bits sous la forme d’un certificat X.509, et de distribuer le certificat de clé publique aux clients. Ce certificat doit être géré et déployé par le biais de l’Éditeur de stratégie de groupe directement sur le contrôleur de domaine Windows Server 2012. Pour plus d’informations sur la configuration de la fonctionnalité de déverrouillage réseau BitLocker, voir le Guide de présentation et de dépannage de BitLocker.

BitLocker fournit une fonctionnalité de chiffrement de volume complet pour le système d’exploitation Windows et les volumes de données utilisant le chiffrement au niveau logiciel. Dans Windows 8, BitLocker offre aussi une prise en charge des disques durs chiffrés. Ce nouveau type de dispositif de stockage étendu est de plus en plus courant sur les serveurs et ordinateurs récents. Les disques durs chiffrés proposent un chiffrement de volume complet, où chaque bloc du lecteur physique est chiffré. Les tâches de chiffrement sont plus rapides sur les disques durs chiffrés, car elles sont déchargées sur le contrôleur de stockage du lecteur (on parle aussi de chiffrement au niveau matériel).

Windows 8 offre une prise en charge native des disques durs chiffrés sur le système d’exploitation par les mécanismes suivants :

  • Identification : Windows 8 reconnaît que le lecteur est un disque dur chiffré.

  • Activation : la gestion des disques de Windows 8 est activée, puis elle crée des volumes et les associe aux plages/bandes appropriées.

  • Configuration : Windows 8 crée des volumes et les associe aux plages/bandes appropriées.

  • API : Windows 8 fournit une prise en charge de l’API permettant aux applications de gérer les disques durs chiffrés indépendamment du chiffrement de lecteur BitLocker.

  • BitLocker : via le Panneau de configuration BitLocker, les utilisateurs gèrent les disques durs chiffrés de la même façon qu’ils gèrent les lecteurs chiffrés par la méthode de chiffrement de volume complet.

Pour plus d’informations sur la configuration requise et l’utilisation des disques durs chiffrés, voir le Guide de présentation et de dépannage de BitLocker.

Ajouts de la communauté

Afficher: