Préparer votre organisation pour BitLocker : Planification et stratégies
Cette rubrique destinée aux professionnels de l’informatique explique comment planifier votre déploiement BitLocker.
Lorsque vous concevez votre stratégie de déploiement BitLocker, définissez les stratégies appropriées et les exigences de configuration en fonction des besoins de votre organisation. Les rubriques suivantes vous aideront à recueillir des informations utilisables pour encadrer votre processus de prise de décision relatif au déploiement et à la gestion des systèmes BitLocker.
Auditer votre environnement
Clés de chiffrement et authentification
Configurations du module de plateforme sécurisée (TPM)
Configurations matérielles ne portant pas sur le module de plateforme sécurisée (TPM)
Considérations en matière de configuration de disque
Approvisionnement de BitLocker
Chiffrement de l’espace disque utilisé uniquement
Considérations en matière de services de domaine Active Directory
Prise en charge de FIPS pour le protecteur de mot de passe de récupération
Auditer votre environnement
Pour planifier votre déploiement BitLocker d’entreprise, vous devez d’abord comprendre votre environnement actuel. Menez un audit informel visant à définir vos stratégies, procédures et votre environnement matériel actuel. Commencez par examiner vos stratégies de sécurité d’entreprise existantes dans la mesure où elles font référence au logiciel de chiffrement de disque. Si votre organisation n’utilise pas actuellement de logiciel de chiffrement de disque, aucune de ces stratégies n’existe. Si vous utilisez un logiciel de chiffrement de disque, vous devrez peut-être modifier les stratégies de votre organisation afin de traiter les capacités de BitLocker.
Les questions suivantes vont vous aider à documenter les stratégies de sécurité de chiffrement de disque actuelles de votre organisation :
Existe-t-il des stratégies permettant de déterminer les ordinateurs utilisant BitLocker et ceux ne l’utilisant pas ?
Quelles sont les stratégies existantes permettant de contrôler le stockage du mot de passe de récupération et de la clé de récupération ?
Quelles sont les stratégies permettant de valider l’identité des utilisateurs ayant besoin de procéder à la récupération BitLocker ?
Quelles sont les stratégies existantes permettant de contrôler les personnes de l’organisation ayant accès aux données de récupération ?
Quelles sont les stratégies existantes permettant de contrôler la désaffectation ou la mise hors-service d’un ordinateur ?
Clés de chiffrement et authentification
BitLocker permet d’empêcher tout accès non autorisé aux données sur des ordinateurs perdus ou volés à l’aide des moyens suivants :
Chiffrement de la totalité du volume du système d’exploitation Windows sur le disque dur.
Vérification de l’intégrité de processus de démarrage.
Le module de plateforme sécurisée (TPM) est un composant matériel installé sur de nombreux ordinateurs récents par les fabricants d’ordinateurs. Il fonctionne avec BitLocker pour protéger les données utilisateur et vérifier qu’un ordinateur n’a pas été falsifié pendant que le système était hors connexion.
En outre, BitLocker permet de verrouiller le processus de démarrage normal tant que l’utilisateur n’a pas fourni de code PIN ni inséré de périphérique USB amovible, par exemple une clé USB, qui contient une clé de démarrage. Ces mesures de sécurité supplémentaires fournissent l’authentification multifacteur et l’assurance que l’ordinateur ne démarrera pas ou ne sortira pas de la mise en veille prolongée si le code confidentiel correct ou la clé de démarrage ne sont pas présentés.
Vous pouvez toujours utiliser BitLocker pour chiffrer le volume du système d’exploitation Windows sur les ordinateurs qui ne sont pas équipés d’un module TPM version 1.2 ou ultérieure. Toutefois, cette implémentation nécessite que l’utilisateur insère une clé de démarrage USB pour démarrer l’ordinateur ou le sortir de la mise en veille prolongée et n’assure pas la vérification de l’intégrité système de prédémarrage proposée par BitLocker fonctionnant avec un module de plateforme sécurisée (TPM).
Protecteurs de clés BitLocker
| Protecteur de clé | Description |
|---|---|
Module de plateforme sécurisée (TPM) |
Périphérique matériel utilisé pour établir une racine de confiance sécurisée. BitLocker prend uniquement en charge le module de plateforme sécurisée (TPM) version 1.2 ou ultérieure. |
Code confidentiel |
Protecteur de clé numérique saisi par l’utilisateur qui ne peut être utilisé qu’en plus du module de plateforme sécurisée (TPM). |
Code confidentiel renforcé |
Protecteur de clé alphanumérique saisi par l’utilisateur qui ne peut être utilisé qu’en plus du module de plateforme sécurisée (TPM). |
Clé de démarrage |
Clé de chiffrement qui peut être stockée sur la plupart des médias amovibles. Ce protecteur de clé peut être utilisé seul sur des ordinateurs ne disposant pas de module de plateforme sécurisée (TPM) ou conjointement avec un module de plateforme sécurisée (TPM) pour plus de sécurité. |
Mot de passe de récupération |
Numéro à 48 chiffres utilisé pour déverrouiller un volume lorsqu’il est en mode de récupération. Souvent, les numéros peuvent être saisis sur un clavier standard. Si les chiffres du clavier normal ne répondent pas, vous pouvez toujours utiliser les touches de fonction (F1 à F10) pour les saisir. |
Clé de récupération |
Clé de chiffrement stockée sur un média amovible qui peut être utilisé pour récupérer des données chiffrées sur un volume BitLocker. |
Méthodes d’authentification BitLocker
| Méthode d’authentification | Requiert l’intervention de l’utilisateur | Description |
|---|---|---|
Module de plateforme sécurisée (TPM) uniquement |
Non |
Le module de plateforme sécurisée (TPM) valide les premiers composants de démarrage. |
Module de plateforme sécurisée (TPM) + Code confidentiel |
Oui |
Le module de plateforme sécurisée (TPM) valide les premiers composants de démarrage. L’utilisateur doit entrer le code confidentiel approprié pour permettre la poursuite du processus de démarrage et le déverrouillage du lecteur. Le module de plateforme sécurisée (TPM) passe en mode de verrouillage si un code confidentiel erroné est saisi à plusieurs reprises afin de protéger ce code contre les attaques en force brute. Le nombre de tentatives répétées qui déclenchera un verrouillage est variable. |
Module de plateforme sécurisée (TPM) + Clé réseau |
Non |
Le module de plateforme sécurisée (TPM) valide avec succès les premiers composants de démarrage et une clé réseau chiffrée valide a été fournie à partir du serveur WDS. Cette méthode d’authentification permet un déverrouillage automatique des volumes de système d’exploitation au redémarrage du système tout en maintenant l’authentification multifacteur. |
Module de plateforme sécurisée (TPM) + Clé de démarrage |
Oui |
Le module de plateforme sécurisée (TPM) valide avec succès les premiers composants de démarrage, et une clé USB contenant la clé de démarrage a été insérée. |
Clé de démarrage uniquement |
Oui |
L’utilisateur est invité à insérer la clé USB contentant la clé de récupération et/ou la clé de démarrage et à redémarrer l’ordinateur. |
Allez-vous prendre en charge les ordinateurs sans module de plateforme sécurisée (TPM) version 1.2 ou supérieure ?
Déterminez si vous prendrez en charge les ordinateurs qui n’ont pas de module de plateforme sécurisée (TPM) version 1.2 ou supérieure dans votre environnement. Si vous choisissez de prendre en charge BitLocker sur ce type d’ordinateur, un utilisateur doit utiliser une clé de démarrage USB pour démarrer le système. Cela nécessite des processus de prise en charge supplémentaires similaires à l’authentification multifacteur.
Quelles zones de votre organisation requièrent un niveau de référence en matière de protection des données ?
La méthode d’authentification par module de plateforme sécurisée (TPM) uniquement propose l’expérience utilisateur la plus transparente pour les organisations qui ont besoin d’un niveau de référence en matière de protection des données pour répondre aux stratégies de sécurité. Cette méthode présente le coût total de possession le moins élevé. Elle peut également être plus appropriée pour les ordinateurs fonctionnant sans assistance ou qui doivent être redémarrés sans assistance.
Cependant, cette méthode d’authentification offre le niveau de protection des données le plus faible. Elle protège contre les attaques qui modifient les premiers composants de démarrage, toutefois, le niveau de protection peut être affecté par des faiblesses potentielles au niveau du matériel et des premiers composants de démarrage. Les méthodes d’authentification multifacteur de BitLocker accroissent de manière significative le niveau global de protection des données.
Quelles zones de votre organisation requièrent un niveau de sécurité plus élevé en termes de protection des données ?
S’il existe des zones de votre organisation, dans lesquelles les données se trouvant sur les ordinateurs utilisateur sont considérées comme extrêmement sensibles, il est vivement recommandé de déployer BitLocker avec l’authentification multifacteur sur ces systèmes. L’obligation pour l’utilisateur d’entrer un code confidentiel augmente de manière significative le niveau de protection du système. Vous pouvez également utiliser BitLocker Network Unlock pour permettre le déverrouillage automatique de ces ordinateurs lorsqu’ils sont connectés à un réseau câblé fiable capable de fournir la clé de déverrouillage du réseau.
Quelle méthode d’authentification multifacteur préfère votre organisation ?
Il est difficile de quantifier les différences de protection fournies par les méthodes d’authentification multifacteur. Tenez compte de l’impact de chaque méthode d’authentification sur le support technique,la formation utilisateur, la productivité des utilisateurs et les processus de gestion des systèmes automatisés.
Configurations du module de plateforme sécurisée (TPM)
Dans votre plan de déploiement, identifiez les plateformes matérielles basées sur un module de plateforme sécurisée (TPM) prises en charge. Documentez les modèles de matériel d’un fabricant OEM de votre choix, afin que leurs configurations puissent être testées et prises en charge. Le matériel basé sur un module de plateforme sécurisée (TPM) requiert une attention particulière au cours de tous les aspects de la planification et du déploiement.
États d’existence du module de plateforme sécurisée (TPM)
Pour chacun des états d’existence du module de plateforme sécurisée (TPM), le module de plateforme sécurisée (TPM) peut basculer vers un autre état (par exemple, du mode désactivé à activé). Les états ne sont pas exclusifs.
| État | Description |
|---|---|
Activé |
La plupart des fonctionnalités du TPM sont disponibles. Le TPM peut être activé et désactivé plusieurs fois au cours d’une période de démarrage, si la propriété est acquise. |
Désactivé |
Le TPM limite la plupart des opérations. Les exceptions comprennent la capacité de signaler les fonctionnalités du TPM, d’étendre et de réinitialiser les fonctions du registre de configuration de plateforme (PCR) et de procéder au hachage et à l’initialisation de base. Le TPM peut être activé et désactivé plusieurs fois au cours d’un démarrage. |
Actif |
La plupart des fonctionnalités du TPM sont disponibles. Le TPM peut être activé et désactivé uniquement par le biais d’une présence physique qui nécessite un redémarrage. |
Inactif |
Similaire à l’état Désactivé, excepté que la propriété peut être acquise lorsque le TPM est inactif et activé. Le TPM peut être activé et désactivé uniquement par le biais d’une présence physique qui nécessite un redémarrage. |
Acquis |
La plupart des fonctionnalités du TPM sont disponibles. Le TPM comporte une clé de type EK (Endorsement Key) et une clé racine de stockage, et le propriétaire connaît les informations sur les données d’autorisation du propriétaire. |
Non acquis |
Le TPM ne comporte pas de clé racine de stockage, et il peut ou non comporter une clé de type EK (Endorsement Key). |
Important
BitLocker ne peut pas utiliser le TPM tant qu’il se trouve dans l’état suivant : activé, actif et acquis. Toutes les opérations sont disponibles uniquement lorsque le TPM est dans cet état.
L’état du TPM existe indépendamment du système d’exploitation de l’ordinateur. Lorsque le TPM est activé, actif et acquis, son état est conservé si le système d’exploitation est réinstallé.
Clés de type EK (Endorsement Key)
Pour qu’un TPM soit utilisable par BitLocker, il doit contenir une clé de type EK (Endorsement Key) qui est une paire de clés RSA. La partie privée de la paire de clés est conservée à l’intérieur du TPM, et n’est jamais révélée ni accessible en dehors du TPM. Si le TPM ne contient pas de clé de type EK (Endorsement Key), BitLocker le force à en générer une automatiquement dans le cadre de son installation.
Une clé de type EK peut être créée à différents stades du cycle de vie du TPM, mais elle doit être créée une seule fois pour toute la durée de vie du TPM. S’il n’existe pas de clé de type EK pour le module de plateforme sécurisée (TPM), elle doit être créée avant l’appropriation du TPM.
Pour en savoir plus sur le TPM et TCG, voir Trusted Computing Group: Trusted Platform Module (TPM) Specifications (en anglais) (https://go.microsoft.com/fwlink/p/?linkid=69584).
Configurations matérielles ne portant pas sur le module de plateforme sécurisée (TPM)
Les appareils qui n’incluent pas de module de plateforme sécurisée peuvent tout de même être protégés par le chiffrement de lecteur. Les espaces de travail Windows To Go peuvent être protégés par BitLocker à l’aide d’un mot de passe de démarrage et les PC ne comportant pas de TPM peuvent utiliser une clé de démarrage.
Posez-vous les questions suivantes pour identifier les problèmes susceptibles d’affecter votre déploiement dans une configuration non basée sur un module de plateforme sécurisée (TPM) :
Des règles de complexité du mot de passe sont-elles mises en place ?
Disposez-vous du budget qui convient pour équiper de clés USB chacun de ces ordinateurs ?
Vos appareils existants ne disposant pas de TPM prennent-ils en charge les périphériques USB au moment du démarrage ?
Testez vos plateformes matérielles individuelles à l’aide de l’option de vérification du système BitLocker lorsque vous activez BitLocker. La vérification du système permet de garantir que BitLocker peut lire correctement les informations de récupération à partir d’un périphérique USB et de clés de chiffrement avant de chiffrer le volume. Les lecteurs de CD et de DVD ne peuvent pas agir en tant que dispositif de stockage de bloc et ne peuvent pas servir à stocker du matériel de récupération BitLocker.
Considérations en matière de configuration de disque
Pour fonctionner correctement, BitLocker requiert une configuration de disque spécifique. BitLocker requiert deux partitions qui remplissent les conditions suivantes :
La partition du système d’exploitation contient le système d’exploitation et ses fichiers de prise en charge ; il doit être formaté avec le système de fichiers NTFS
La partition système (ou partition de démarrage) contient les fichiers nécessaires au chargement de Windows après que le BIOS ou le microprogramme UEFI a préparé le matériel système. BitLocker n’est pas activé sur cette partition. Pour permettre le fonctionnement de BitLocker, la partition système ne doit pas être chiffrée et doit se trouver sur une partition différente de celle du système d’exploitation. Sur les plateformes UEFI, la partition système doit être formatée à l’aide du système de fichiers FAT 32. Sur les plateformes BIOS, la partition système doit être formatée à l’aide du système de fichiers NTFS. Elle doit être d’au moins 350 Mo
L’installation de Windows configure automatiquement les lecteurs de disque de votre ordinateur pour la prise en charge du chiffrement BitLocker.
L’environnement de récupération Windows® (Windows RE) est une plateforme extensible de récupération reposant sur l’environnement de préinstallation Windows (Windows PE). Si un ordinateur ne peut pas démarrer, Windows bascule automatiquement vers cet environnement et l’outil de redémarrage système de Windows RE effectue automatiquement le diagnostic et la réparation d’une installation Windows non démarrable. Windows RE contient également les pilotes et outils nécessaires au déverrouillage d’un volume protégé par BitLocker en fournissant une clé ou un mot de passe de récupération. Pour utiliser Windows RE conjointement avec BitLocker, l’image de démarrage Windows RE doit se trouver dans un volume qui n’est pas protégé par BitLocker.
Windows RE peut également être utilisé à partir d’un support de démarrage autre que le disque dur local. Si vous choisissez de ne pas installer Windows RE sur le disque dur local des ordinateurs BitLocker, vous pouvez utiliser d’autres méthodes de démarrage, telles que les services de déploiement Windows, un CD-ROM ou une clé USB, pour la récupération.
Approvisionnement de BitLocker
Dans Windows Vista et Windows 7, BitLocker a été mis en service après l’installation pour les volumes système et de données par le biais de l’interface de ligne de commande manage-bde ou l’interface utilisateur du Panneau de configuration. Avec les systèmes d’exploitation plus récents, BitLocker peut être facilement mis en service avant l’installation du système d’exploitation. Le préapprovisionnement nécessite que l’ordinateur dispose d’un TPM.
Pour vérifier l’état BitLocker d’un volume spécifique, les administrateurs peuvent consulter l’état du lecteur dans l’applet de commande du panneau de configuration BitLocker, ou l’Explorateur Windows. L’état « Activation en attente » accompagné d’une icône représentant un point d’exclamation jaune signifie que le disque a été préapprovisionné par BitLocker. Cet état signifie qu’un seul protecteur en clair a été utilisé lors du chiffrement du volume. Dans ce cas, le volume n’est pas protégé. Il doit être associé à une clé sécurisée pour que le lecteur soit totalement protégé. Les administrateurs peuvent utiliser les options du panneau de configuration, l’outil manage-bde ou les API WMI pour ajouter un protecteur de clé approprié afin que l’état du volume soit mis à jour.
À l’aide du panneau de configuration, les administrateurs peuvent choisir l’option Activer BitLocker et suivre les étapes de l’Assistant pour ajouter un protecteur, par exemple un code PIN pour un volume de système d’exploitation (ou un mot de passe en l’absence de TPM) ou un protecteur de mot de passe ou de carte à puce pour un volume de données. La fenêtre de sécurité du lecteur s’affiche avant la modification de l’état du volume.
Les administrateurs peuvent activer BitLocker avant de procéder au déploiement du système d’exploitation, à partir de l’environnement de préinstallation Windows (WinPE). L’activation s’effectue en appliquant un protecteur de clé en clair généré aléatoirement au volume formaté et en chiffrant ce volume avant d’exécuter le processus d’installation de Windows. Si le chiffrement fait appel à l’option Ne chiffrer que l’espace disque utilisé, cette étape s’intègre facilement aux processus de déploiement classiques, car elle ne prend que quelques secondes.
Chiffrement de l’espace disque utilisé uniquement
L’Assistant d’installation de BitLocker fournit aux administrateurs la possibilité de choisir la méthode de chiffrement de l’espace disque utilisé uniquement ou de chiffrement intégral lorsque vous activez BitLocker pour un volume. Les administrateurs peuvent utiliser le nouveau paramètre de stratégie de groupe BitLocker pour appliquer une de ces méthodes.
Vous êtes invité à indiquer la méthode d’authentification à utiliser (les protections par mot de passe et carte à puce sont disponibles pour les volumes de données) lors du lancement de l’Assistant d’installation de BitLocker. Une fois la méthode choisie et la clé de récupération enregistrée, il vous est demandé de choisir le type de chiffrement du lecteur : le chiffrement de l’espace disque utilisé uniquement ou le chiffrement intégral du lecteur.
Ne chiffrer que l’espace disque utilisé signifie que seule la partie du lecteur qui contient les données sera chiffrée, et que l’espace inutilisé ne le sera pas. Cela permet un processus de chiffrement beaucoup plus rapide, en particulier pour les nouveaux PC et lecteurs de données. Lorsque BitLocker est activé avec cette méthode, la partie du lecteur utilisée est chiffrée lors de l’ajout de données. Ainsi, le lecteur ne comporte plus de données non chiffrées.
Le chiffrement intégral du lecteur signifie que l’intégralité du disque est chiffrée, que des données y soient stockées ou non. Ceci est utile pour les lecteurs reconditionnés pouvant contenir des restes de données issus d’une utilisation antérieure.
Considérations en matière de services de domaine Active Directory
BitLocker s’intègre aux services de domaine Active Directory (AD DS) pour proposer une gestion centralisée des clés. Par défaut, aucune information de récupération n’est enregistrée dans Active Directory. Les administrateurs peuvent configurer des paramètres de stratégie de groupe pour activer la sauvegarde des informations de récupération BitLocker ou TPM. Avant de configurer ces paramètres, vérifiez que les autorisations d’accès ont été accordées pour effectuer la sauvegarde.
Par défaut, les administrateurs de domaine sont les seuls utilisateurs ayant accès aux informations de récupération BitLocker. Lors de la planification du processus de prise en charge, définissez les parties de votre organisation ayant besoin d’accéder aux informations de récupération BitLocker. Utilisez ces informations pour définir la façon dont les droits appropriés seront délégués dans votre environnement AD DS.
Il est recommandé de demander la sauvegarde des informations de récupération pour BitLocker à AD DS et TPM. Vous pouvez implémenter cette pratique en configurant les paramètres de stratégie de groupe ci-dessous pour les ordinateurs protégés par BitLocker.
| Paramètre de stratégie de groupe BitLocker | Configuration |
|---|---|
Chiffrement de lecteur BitLocker : Activer la sauvegarde BitLocker dans les services de domaine Active Directory (AD DS) |
Requiert la sauvegarde BitLocker sur AD DS (mots de passe et packages de clés) |
Services de module de plateforme sécurisée: Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory (AD DS) |
Nécessite la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory (AD DS) |
Les données de récupération suivantes seront enregistrées pour chaque objet Ordinateur :
Mot de passe de récupération
Mot de passe de récupération à 48 chiffres utilisé pour récupérer un volume protégé par BitLocker. Les utilisateurs entrent ce mot de passe pour déverrouiller un volume dès que BitLocker passe en mode de récupération.
Données du package de clés.
Ce package de clés et le mot de passe de récupération vous permettent de déchiffrer des parties d’un volume protégé par BitLocker si le disque est gravement endommagé. Chaque package de clés fonctionne uniquement avec le volume sur lequel il a été créé, qui peut être identifié par l’ID de volume correspondant.
Hachage du mot de passe d’autorisation du propriétaire du TPM
Lorsque vous vous appropriez le TPM, un hachage du mot de passe de propriété peut être pris et stocké dans AD DS. Ces informations peuvent ensuite être utilisées pour réinitialiser la propriété du TPM.
À partir de Windows 8, la manière dont la valeur d’autorisation du propriétaire du TPM est stockée dans AD DS a été modifiée dans le schéma AD DS. La valeur d’autorisation du propriétaire du module de plateforme sécurisée (TPM) est maintenant stockée dans un objet distinct qui est lié à l’objet Ordinateur. Pour les schémas Windows Server 2008 R2 par défaut et ultérieurs, cette valeur était stockée en tant que propriété dans l’objet Ordinateur lui-même.
Pour tirer parti de cette intégration, vous devez mettre à niveau vos contrôleurs de domaine vers Windows Server 2012 ou étendre le schéma Active Directory et configurer des objets de stratégie de groupe BitLocker spécifiques.
Remarque
Le compte que vous utilisez pour mettre à jour le schéma Active Directory doit être membre du groupe Administrateurs du schéma.
Les contrôleurs de domaine Windows Server 2012 intègrent le schéma par défaut qui permet de sauvegarder les informations d’autorisation du propriétaire du TPM dans l’objet distinct. Si vous ne mettez pas à niveau votre contrôleur de domaine vers Windows Server 2012, vous devez étendre le schéma afin de prendre en charge ce changement.
Prise en charge des ordinateurs Windows 8 et ultérieurs gérés par un contrôleur de domaine Windows Server 2003 ou Windows 2008
Il existe deux extensions de schéma que vous pouvez copier et ajouter à votre schéma AD DS :
TpmSchemaExtension.ldf
Cette extension schéma offre une parité avec le schéma Windows Server 2012. Ce changement permet de stocker les informations d’autorisation du propriétaire du TPM dans un objet TPM distinct lié à l’objet Ordinateur correspondant. Notez que seul l’objet Ordinateur ayant créé l’objet TPM peut les mettre à jour. Cela signifie que les mises à jour ultérieures des objets TPM ne fonctionneront pas dans des scénarios de double démarrage ou des scénarios où l’ordinateur est ré-imagé pour créer un nouvel objet Ordinateur AD. Pour prendre en charge ces scénarios, une mise à jour du schéma a été créée.
TpmSchemaExtensionACLChanges.ldf
Cette mise à jour de schéma modifie les ACL sur l’objet TPM pour qu’elles soient moins restrictives et que tout système d’exploitation ultérieur devenant propriétaire de l’objet Ordinateur puisse mettre à jour la valeur d’autorisation du propriétaire dans les services AD DS. Toutefois, cela est moins sécurisé, car cela implique que n’importe quel ordinateur du domaine peut maintenant mettre à jour le OwnerAuth de l’objet TPM (bien qu’il ne puisse pas lire le OwnerAuth) et que les attaques par déni de service peuvent être effectuées à partir de l’entreprise. L’atténuation recommandée d’un tel scénario consiste à faire des sauvegardes régulières d’objets TPM et à activer l’audit pour suivre les modifications apportées à ces objets.
Pour télécharger les extensions de schéma, voir Extensions de schéma de service de domaine AD DS pour la prise en charge de la sauvegarde du TPM.
Si vous avez un contrôleur de domaine Windows Server 2012 dans votre environnement, les extensions de schéma sont déjà en place et ne nécessitent pas de mise à jour.
Attention
Pour configurer des objets de stratégie de groupe afin de sauvegarder des informations BitLocker et TPM dans les services AD DS, au moins un des contrôleurs de domaine de votre forêt doit exécuter au moins Windows Server 2008 R2.
Si la sauvegarde Active Directory de la valeur d’autorisation du propriétaire du TPM est activée dans un environnement sans les extensions de schéma requises, la configuration du TPM échoue et le TPM reste dans un état Non prêt pour les ordinateurs exécutant Windows 8 et versions ultérieures.
Définition des autorisations appropriées dans AD DS
Pour parvenir à initialiser le TPM afin de pouvoir activer BitLocker, vous devez définir les autorisations appropriées pour le compte SELF dans AD DS pour l’attribut ms-TPMOwnerInformation. La procédure suivante décrit comment définir ces autorisations comme requis par BitLocker :
Ouvrez Utilisateurs et ordinateurs Active Directory.
Sélectionnez l’unité d’organisation (OU) qui contient les comptes d’ordinateurs pour lesquels BitLocker est activé.
Cliquez avec le bouton droit sur l’unité d’organisation, puis sur Déléguer le contrôle pour ouvrir l’Assistant Délégation de contrôle.
Cliquez sur Suivant pour accéder à la page Utilisateurs ou groupes, puis cliquez sur Ajouter.
Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez SELF comme nom d’objet, puis cliquez sur OK. Une fois l’objet validé, vous êtes redirigé vers la page de l’assistant Utilisateurs ou groupes et le compte SELF est répertorié. Cliquez sur Suivant.
Sur la page Tâches à déléguer, choisissez Créer une tâche personnalisée à déléguer puis cliquez sur Suivant.
Sur la page Type d’objet Active Directory, choisissez Seulement des objets suivants dans le dossier, puis cochez Objets Ordinateur et cliquez sur Suivant.
Sur la page Autorisations, pour Afficher les autorisations, cochez Général, Spécifiques aux propriétés, et Création/suppression d’objets enfants spécifiques. Faites défiler la liste Autorisations, cochez Écrire msTPM-OwnerInformation et Écrire msTPM-TpmInformationForComputer, puis cliquez sur Suivant.
Cliquez sur Finish pour appliquer les paramètres d’autorisation.
Prise en charge de FIPS pour le protecteur de mot de passe de récupération
Fonctionnalité introduite dans Windows Server 2012 R2 et Windows 8.1 qui permet à BitLocker d’être complètement opérationnel en mode FIPS.
Remarque
La norme de traitement des informations fédérales des États-Unis, FIPS, définit les exigences de sécurité et d’interopérabilité pour les systèmes informatiques utilisés par le gouvernement fédéral des États-Unis. La norme FIPS 140 définit des algorithmes de chiffrement approuvés. Elle établit également des exigences en matière de génération et de gestion de clés. Le NIST (National Institute of Standards and Technology) utilise le programme CMVP (Cryptographic Module Validation Program) pour déterminer si l’implémentation d’un algorithme de chiffrement est conforme à la norme FIPS 140. Une telle implémentation est considérée comme conforme à la norme FIPS 140 seulement si elle a été soumise pour validation et acceptée par le NIST. Un algorithme qui n’a pas été soumis ne peut pas être considéré comme conforme à cette norme même si l’implémentation génère des données similaires à celles d’une implémentation validée du même algorithme.
Avant ces versions de Windows prises en charge, BitLocker empêchait la création ou l’utilisation de mots de passe de récupération et obligeait l’utilisateur à utiliser des clés de récupération lorsque Windows était en mode FIPS. Pour en savoir plus sur ces problèmes, voir l’article du support technique kb947249.
Voici ce qui se passe avec des ordinateurs exécutant ces systèmes pris en charge sur lesquels BitLocker est activé :
Des protecteurs de mots de passe de récupération conformes à la norme FIPS peuvent être créés lorsque Windows est en mode FIPS. Ces protecteurs utilisent l’algorithme FIPS 140 NIST SP800-132.
Les mots de passe de récupération créés en mode FIPS sur Windows 8.1 peuvent être distingués des mots de passe de récupération créés sur d’autres systèmes.
Le déverrouillage de la récupération à l’aide du protecteur de mot de passe de récupération basé sur l’algorithme conforme à la norme FIPS est utilisable dans tous les cas qui fonctionnement actuellement pour les mots de passe de récupération.
Lorsque les mots de passe de récupération conformes à la norme FIPS déverrouillent des volumes, le volume est déverrouillé pour autoriser l’accès en lecture/écriture même en mode FIPS.
Des protecteurs de mots de passe de récupération conformes à la norme FIPS peuvent être exportés et stockés dans AD en mode FIPS.
Les paramètres de stratégie de groupe BitLocker pour les mots de passe de récupération fonctionnent de la même pour toutes les versions de Windows qui prennent en charge BitLocker, en mode FIPs ou non.
Toutefois, vous ne pouvez pas utiliser les mots de passe de récupération générés sur un système en mode FIPS pour les systèmes antérieurs à Windows Server 2012 R2 et Windows 8.1. Les mots de passe de récupération créés sur Windows Server 2012 R2 et Windows 8.1 sont incompatibles avec BitLocker sur les systèmes d’exploitation antérieurs à Windows Server 2012 R2 et Windows 8.1, c’est la raison pour laquelle, il convient plutôt d’utiliser des clés de récupération.
Informations supplémentaires
Module de plateforme sécurisée
Paramètres de stratégie de groupe de module de plateforme sécurisée (TPM)
BitLocker : Forum Aux Questions (FAQ)