Plan du site  
pixel
pixel

Articles - Étudiants SUPINFO

Enregistrement des données Bitlocker dans un Active Directory

Par Florentin GARREAU Publié le 23/10/2016 à 23:23:52 Noter cet article:
(0 votes)
Avis favorable du comité de lecture

Introduction

Dans cet article, je vais vous présenter la mise en place de Bitlocker, ce dernier est une solution qui permet de crypter un disque interne ou externe d’un poste. Cette solution qui est délivrée par Microsoft et installée d’office sur les OS Windows (Depuis Windows Vista). Cette dernière s’appuie sur le module/puce TPM (Trusted Platform Module) qui est intégré au pc, c’est cette « pièce » qui enregistre les informations, comme par exemple la clé de cryptage.

Cette solution est un atout pour les entreprises qui possèdent un parc informatique assez conséquent et ou le risque de vol est élevé, que ce soit au domicile de l’employés, au bureau ou dans sa voiture. Avec cette solution, en cas de vol, les données ne risquent rien si le cambrioleur ne possède ou ne connait pas la clé de cryptage. De plus, presque toutes les entreprises possèdent un parc informatique Windows avec un contrôleur de domaine et des machines clientes sous Windows, vu que la solution est intégrée, l’entreprise n’a pas à débourser de l’argent dans un autre logiciel.

Nous allons mettre en place cette procédure sur un Windows 2012 R2 avec le rôle contrôleur de domaine installé et sur un poste en Windows 2010.

Installation de la fonctionnalité "Chiffrement de lecteur Bitlocker"

Cette fonctionnalité a été implémentée depuis Windows Server 2003, cependant nous devions étendre le schéma pour pouvoir profiter de cette fonctionnalité. Vous pouvez trouver la procédure à ce lien : https://technet.microsoft.com/fr-fr/library/dd875529(v=ws.10).aspx à l’étape « Etendre le schéma (contrôleurs de domaine Windows Server 2003) ». Depuis Windows 2008 R2, nous n’avons plus besoin de le faire.

Nous allons commencer par exécuter un script .vbs, ce dernier développé par StarrAndersen permet d’ajouter une entrée de contrôle d’accés (ACE) pour le module de plateforme sécurisée à AD DS. Tout simplement, pour que les ordinateurs puissent enregistrer les informations de la puce TPM dans AD DS. Nous pouvons trouver le script TPMSelfWriteACE.vbc à ce lien : https://gallery.technet.microsoft.com/ScriptCenter/b4dee016-053e-4aa3-a278-3cebf70d1191/

Copier-le sur votre serveur et exécuter-le en double-cliquant dessus :

Le script reconnait notre domaine garreau.local et retourne « Accessing object : DC=garreau, DC=local

Veuillez cliquer sur OK :

Puis il nous retourne SUCCESS!, puis cliquer sur OK :

Ouvrez le Gestionnaire de serveur, cliquez sur Ajout des rôles et fonctionnalités :

Cliquer sur Suivant :

Laisser sur Installation basée sur un rôle ou une fonctionnalité et cliquer sur suivant :

Sélectionner le serveur, dans notre cas GARR-DC01.garreau.local, puis cliquer sur Suivant :

Nous ne voulons pas ajouter de rôles, cliquez sur Suivant :

Sélectionner chiffrement de lecteur Bitlocker :

Cliquer sur Ajouter des fonctionnalités :

Nous pouvons voir Chiffrement de lecteur Bitlocker qui est coché, cliquer sur Suivant :

Vous pouvez vérifier que toutes les fonctionnalités à ajouter sont bien répertoriés et cliquer sur Installer :

La fonctionnalité s’installe...

Cliquer sur Fermer et redémarrer le serveur :

Au redémarrage du poste, lancer Utilisateurs et ordinateurs Active Directory :

Double-clic sur le poste et aller dans l’onglet Récupération Bitlocker :

Mise en place de la GPO

La seconde étape est la création de la GPO (Group Policy Objet, Stratégie de groupe en Français), cette dernière qui va être affecté à notre OU (Unité d’Organisation) d’ordinateurs.

Commencer par lancer Gestion de stratégie de groupe, ouvrez Fôret : garreau.local > Domaines > garreau.local > Garreau.

Puis clic-droit sur notre OU « ORDINATEURS » et cliquer sur Créer un objet GPO dans ce domaine, et le lier ici… :

Renseigner lui un nom, dans mon cas « GPO-GARR-Récupération-Bitlocker » et cliquer sur OK :

La GPO est créée, clic-droit et Modifier :

Aller à cette emplacement : Configuration ordinateur > Stratégies > Modèles administration > Composants Windows > Chiffrement de lecteur Bitlocker > Lecteurs du système d'exploitation :

Double-cliquer sur Sélectionner la méthode de récupérations des lecteurs du système d'exploitation protégés par Bitlocker.

Cocher Autoriser les agents de récupération de données et pour Configurer le stockage par les utilisateurs des informations de récupération Bitlocker, choisissez :

• Autoriser un mot de passe de récupération de 48 chiffres.

• Autoriser une clé de récupération de 256 bits.

Ne pas cocher « Supprimer les options de configuration de l’Assistant d’installation de Bitlocker »

Par contre, Cocher « Enregistrer les informations de récupération Bitlocker dans les services de domaine Active Directory pour les lecteurs du système d’exploitation ».

Sélectionner « Enregistrer les mots de passe de récupération et les packages clés » pour l’option « Configurer le stockage des informations de récupération Bitlocker dans les services de domaine Active Directory ».

Pour finir, ne pas cocher « N’activer Bitlocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d’exploitation ». Car nous voulons que nos postes soient cryptés le plus rapidement possible.

Nous pouvons avoir dans notre parc informatique des postes moins récents, donc il est préférable de paramétrer la stratégie «Enregistrer les informations de récupération de Bitlocker dans les services de domaine Active Directory (Seulement pour Windows Server 2008 et Windows Vista). » que nous pouvons trouver à cette emplacement Configuration ordinateur > Stratégies > Modèles administration > Composants Windows > Chiffrement de lecteur Bitlocker.

Cocher « Exiger la sauvegarde Bitlocker vers les services de domaine Active Directory (AD DS) et sélectionner Mots de passe et packages de clés de récupération :

Lancer un Gpupdate /force sur le poste client.

Vérification que le poste possède une puce TPM (Trusted Platform Module)

Votre poste doit posséder impérativement une puce TPM, auquel cas ce procédé ne sert à rien. Cette puce est présente à l’intérieur de votre poste et permet de stocker des informations, tels que des clés de chiffrement. Elle est apparue au sein des postes à partir de 2006, au jour d’aujourd’hui, nous pouvons en trouver dans la plupart des postes professionnels de marque Fujitsu, Lenovo, Dell et bien d’autres. Il vous suffit de regarder dans les caractéristiques ou de vous rapprocher de votre revendeur.

La première étape est l’activation dans le Bios, cette étape ne va pas être décrite mais nous l’a trouvons très souvent dans l’onglet Security, puis nommé TPM Security. Il vous suffit de passer l’option en Enabled (Activer en Français).

La seconde étape et de lancer « Gestion de module de plateforme sécurisée sur l’ordinateur local », sur cette plateforme, nous pouvons retrouver des informations sur le fabricant du module de plateforme sécurisé (TPM). Mais aussi et surtout la gestion de cette dernière, l’action qui va nous intéresser est « Activer le module de plateforme sécurisée (TPM).

(Sur la capture ci-dessous, le module est « activer »)

Lancement du cryptage sur le poste

Nous allons à présent s’occuper de réaliser le cryptage du disque du poste. Cette étape peut prendre quelques heures selon la taille du disque, la rapidité du disque mais elle peut se faire en arrière-plan pendant qu’on l’utilise.

Ouvrer le panneau de configuration et Sélectionner « Chiffrement de lecteur Bitlocker »

Choisissez le lecteur que vous voulez crypter et cliquer sur Activer Bitlocker :

Une fenêtre s’affiche, cette première sert à contrôler que votre ordinateur possède bien une puce TPM (Trusted Platform Module) et que tous les prérequis sont prêts.

A cette étape, il vous résume les étapes que l’ordinateur va exécuter, veuillez cliquer sur Suivant :

Nous passons donc à la première étape, il vous interpelle sur plusieurs points, le premier point est que de l’espace disque sera utilisé pour activer Bitlocker. Le second point est qu’il est conseillé de sauvegarder ces données critiques (En cas de soucis au moment du cryptage). Le dernier est que le processus peut être long, cependant nous pouvons continuer à travailler durant le cryptage.

Si vous êtes d’accord avec ces différents points, veuillez cliquer sur Suivant :

Durant cette étape, l’ordinateur Réduit le lecteur à crypter (C: dans mon cas), crée un nouveau lecteur système et Prépare ce dernier pour Bitlocker.

La préparation est terminée, veuillez cliquer sur Redémarrer :

A la suite du redémarrage du poste, la fenêtre Bitlocker réapparait. Nous pouvons voir la petite coche Verte à côter de « Préparation de votre lecteur pour Bitlocker ».

Cliquer sur Suivant :

Choisir l’un des trois choix pour sauvegarder la clé de récupération, dans mon cas, j’ai choisi « Enregistrer sur un lecteur flash USB » et cliquer sur Suivant :

Sélectionner votre lecteur flash USB et cliquer sur Enregistrer :

Nous pouvons voir sur la fenêtre précédente qu’une phrase est apparue « Votre clé de récupération a été enregistrée ».

Cliquer sur Suivant :

Pour être sûr que l’ensemble des données soit chiffré, choisissez l’option « Chiffrer tout le lecteur (Opération plus lente recommandée pour les PC et les lecteurs en service) :

Cocher la case « Exécuter la vérification du système Bitlocker », cette option entraine un cryptage plus long et un autre redémarrage mais il est préférable de ne pas prendre de risques.

Cliquer sur Continuer :

Cliquer sur Redémarrer maintenant :

A la suite du redémarrage, le poste lance le chiffrement et son pourcentage. Comme dit précédemment, vous pouvez continuer à travailler pendant ce temps. Cependant quelques ralentissements peuvent se faire sentir selon les capacités du disque dur :

Récupération de la clé de cryptage dans l’Active Directory.

Il vous suffit de rentrer dans Utilisateurs et ordinateurs Active Directory, de faire clic-droit sur son poste et d’ouvrir l’onglet « Récupération Bitlocker » :

Nous pouvons voir la date d’ajout de la clé, le nom de l’ordinateur mais surtout l’ID de mot de passe.

Cependant si le poste n'est pas remonté automatiquement, exécuter CMD en tant qu'administrateur puis lancer cette première commande, elle affiche les lecteurs cryptés avec leurs ID et mot de passe :

manage-bde -protectors -get c:

Lancer cette commande en modifiant le –id par le vôtre (ID du mot de passe numérique) :

manage-bde -protectors -adbackup c: -id {*********Confidentiel********}

Nous pouvons nous rendre à nouveau dans le Panneau de configuration > Tous les Panneaux de configuration > Chiffrement de lecteur Bitlocker pour réaliser ces trois options :

- Suspendre la protection : Qui permet de suspendre le cryptage sans décrypter le lecteur. Pour par exemple faire les mises à jour des pilotes du poste.

- Sauvegarder la clé de récupération : Si on en a besoin pour une raison, cependant cette dernière est sauvegardée dans notre Active Directory donc nous ne devrions pas avoir besoin de cette option.

- Désactiver Bitlocker : Décrypter entièrement le lecteur.

Conclusion

Cette solution est très simple à mettre en place et peut convenir à un très grand nombre d’entreprise qui souhaite protéger leurs données d’une part, mais aussi pouvoir facilement centraliser les clés de cryptage de l’ensemble des postes de la société. Il suffit au responsable informatique après avoir mis en place toute la partie sur le serveur, que pour chaque nouveau poste informatique, il réalise les manipulations. Comme ça, lui et les responsables de l’entreprise n’auront pas à se soucier de vols de données.

Elle est peu couteuse du faite qu’un grand nombre d’entreprise possède déjà un contrôleur de domaine Active Directory récent. Nous n’avons pas besoin d’acheter un produit tiers comme Sophos SafeGuard Entreprise par exemple.

Il faut juste vérifier que les postes achetés sont livrés avec une puce TPM, mais la plupart des postes pour professionnels en possède. En cas de vol de données, ce procédé évite aux entreprises de perdre beaucoup d’argent. Effectivement, cela peut nuire à l’entreprise, comme par exemple la perte de clients, la publication dans le domaine public d’un projet confidentiel, ce qui peut entrainer des procès.

Bibliographie

https://technet.microsoft.com/fr-fr/library/dd875529(v=ws.10).aspx

http://www.it-connect.fr/windows-10-et-le-chiffrement-bitlocker/

https://fr.wikipedia.org/wiki/BitLocker_Drive_Encryption

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels