News

Sécurité

Bitlocker

Prérequis à BITLOCKER avec AD :

  • Windows 10/11 Pro, Entreprise ou Éducation
  • Windows 7/8.1 Pro, Entreprise ou Éducation
  • Windows Server (édition Enterprise ou Datacenter)
  • Active Directory fonctionnel : Domaine AD avec ordinateurs joints.
  • TPM (Trusted Platform Module) : Version 1.2 ou supérieure.
  • UEFI : Préféré pour la compatibilité avec les partitions GPT.
  • Group Policy (GPO) : Configurations via les modèles d’administration.
  • Permissions Active Directory : Droits nécessaires pour enregistrer et récupérer les clés BitLocker.
  • Disque dur compatible : Partition GPT recommandée.
  • Enregistrement des clés de récupération dans AD.

Chiffrement BITLOCKER

  • BitLocker est un outil de chiffrement de disque complet qui protège les données contre les accès non autorisés en cas de vol, de perte ou d’attaque physique du disque. Il utilise des mécanismes de chiffrement puissants et s’appuie sur des composants matériels comme le TPM pour offrir une sécurité renforcée.

Puces TPM (versions)

  • TPM 2.0 est plus robuste et flexible, avec des algorithmes cryptographiques améliorés. Il est également requis pour des systèmes modernes et certaines fonctionnalités de sécurité dans les versions récentes de Windows, comme BitLocker ou la sécurisation du démarrage UEFI.
  • TPM 1.2 reste compatible avec certains anciens systèmes et logiciels, mais il est moins performant en termes de sécurité que la version 2.0.

Les différents modes de déverrouillage

Il existe plusieurs modes de déverrouillage :

  • Mot de passe : L’utilisateur entre un mot de passe complexe pour déverrouiller le disque.
  • PIN : Utilisation d’un code à 4-8 chiffres pour un déverrouillage rapide.
  • Clé USB : Un fichier de démarrage stocké sur une clé USB est utilisé pour déverrouiller l’ordinateur.
  • TPM (automatique) : Le déverrouillage est transparent si le système détecte que l’intégrité n’a pas été compromise.
  • Combiné TPM + mot de passe / PIN : Haute sécurité en combinant un facteur matériel et un facteur utilisateur.
  • Clé de récupération : Utilisée en cas de problème, elle permet de déverrouiller l’ordinateur si les autres méthodes échouent.
  • Active Directory (pour les entreprises) : Gestion des clés de récupération centralisée dans un domaine Active Directory.

Gestion de BITLOCKER via AD et déploiement via GPO

  • En utilisant Active Directory et Group Policy Objects (GPO), vous pouvez facilement déployer et gérer BitLocker dans un environnement d’entreprise. Vous pouvez automatiser le chiffrement des disques, contrôler l’accès et enregistrer les clés de récupération dans AD pour une gestion centralisée. Cela simplifie non seulement le déploiement de BitLocker mais permet également de garantir la conformité avec les exigences de sécurité de l’entreprise.

Installation de Bitlocker sur l’AD

Environnement :  Serveur contrôleur de domaine – poste client sur Hyper-v.

Serveur AD :

  • Gérer > Ajouter des rôles et fonctionnalités
image-1 Bitlocker

-Suivant

image-6 Bitlocker
  • On laisse cocher (Installation basée sur un rôle ou une fonctionnalité) puis faire Suivant
image-8 Bitlocker
  • Même chose, on laisse le premier choix (Sélectionner un serveur du pool de serveurs) puis Suivant.
image-1 Bitlocker
  • Ne rien cocher, juste faire Suivant pour passer sur la page Fonctionnalités
image-5 Bitlocker
  • Cocher la case Outils d’administration de serveur distant > Outils d’administration de fonctionnalités > Utilitaires d’administration de chiffrement de lecteur BitLocker, ensuite cocher les deux cases (Outils de chiffrement de lecteur et Visionneuse des mots de passe de récupération…) faire Suivant
image-7 Bitlocker
  • Faire Installer
image-1 Bitlocker
  • Une fois l’installation réussie, retourner sur le Gestionnaire de Serveur > Outils > Utilisateur et Ordinateurs Active Directory
image-3 Bitlocker

Accédez aux propriétés d’un « Ordinateur » de votre annuaire et vous verrez un nouvel onglet : « Récupération BitLocker« .

image-9 Bitlocker

C’est au sein de cet onglet que l’ordinateur viendra stocker son identifiant et la clé de récupération BitLocker associée. De cette façon, vous centralisez les clés de récupération BitLocker dans votre annuaire Active Directory.

image-3 Bitlocker

GPO pour configurer BitLocker sur Windows

Création d’une unité d’organisation PC :

Pourquoi une unité d’organisation ?

-Créer des unités d’organisation dans Active Directory permet une gestion plus fine et flexible de l’annuaire, d’organiser et de structurer les objets (tels que les utilisateurs, les groupes, les ordinateurs, etc.) de manière hiérarchique, tout en facilitant la délégation des responsabilités administratives et l’application de politiques spécifiques. Cela aide à maintenir l’ordre, la sécurité et la conformité dans un environnement informatique complexe.

 -Tableau de bord > Outils > Utilisateurs et ordinateurs Active Directory

image-4 Bitlocker

-Nous allons créer l’unité d’organisation, Sélectionner votre Domaine pour moi c’est « TP.local » clique droit > Nouveau > Unité d’organisation

image Bitlocker

-Lui donner un nom d’unité vu que cela va être des Clients je met PC à vous de voir

image-1 Bitlocker
  • Maintenant vous devriez voir votre unité d’organisation « PC » dans la hiérarchie de votre domaine
  • Aller dans Computers cliqué sur votre client et faire Déplacer et mettez-le dans PC
image Bitlocker

Création de notre GPO :

  • On retourne sur notre tableau de bord > Outils > Gestion des stratégies de groupes
image-2 Bitlocker
  • Sélectionner votre Unité « PC « clique droit et Créer un objet GPO dans ce domaine et le lier ici
image-14 Bitlocker

-On va le nommer Bitlocker , puis faire OK

image-11 Bitlocker

-Une fois la création de notre GPO, vous devriez voir votre Objet GPO à deux endroits un clique droit sur un des deux et faire modifier.

image-16 Bitlocker
  • Une nouvelle page s’ouvre à vous « 999fac90-4fd2-444b-976d-d607e5a78187 Bitlockerditeur de gestion des stratégies de groupe. »
  • Maintenant petit moment d’attention !
  • Aller sur Configuration Ordinateur > Stratégie > Modèles d’administration > Composant Windows > Chiffrement de lecteur Bitlocker (Clique gauche sur le fichier)
  • Lecteurs de données amovibles : configuration de BitLocker sur les disques externes, les clés USB, etc…
  • Lecteurs de données fixes : configuration de BitLocker sur les volumes correspondants aux disques locaux du PC.
  • Lecteurs du système d’exploitation : configuration de BitLocker sur le disque du système Windows, donc le « C ».
  •  On va modifier « Choisir la méthode et la puissance de chiffrement des lecteurs Windows 10 et ultérieur
image-13 Bitlocker

Choisir la méthode et la puissance de chiffrement des lecteurs

  • On coche la case Activé
  • On augmente le chiffrement (Sécurité) du dernier en AES-CBC 256 Bits, Ca concerne tout ce qui est les lecteurs amovibles
image-14 Bitlocker

-On sélectionne le dossier à gauche dans la liste « Lecteurs du système d’exploitation », puis on sélection dans la liste à droite « Appliquer le type de chiffrement de lecteur aux lecteurs du système d’application. » clique droit Modifier.

image-15 Bitlocker
  • Faite Activé, puis en dessous dans Sélectionner le type de chiffrement, choisissez Chiffrement de l’espace utilisé uniquement, puis on fait OK.
image-17 Bitlocker
  • Une fois valider, on reste toujours dans le dossier Lecteurs du système d’exploitation, mais cette fois on va modifier le fichier « Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par Bitlocker » clique droit > Modifier.
image-10 Bitlocker

Il va permettre d’indiquer aux postes qu’ils doivent sauvegarder leur clé de récupération dans l’Active Directory et de vérifier que la clé est bien sauvegardée dans l’annuaire AD avant de commencer à chiffrer le poste.BitLocker

  • Cocher la case Activer, ainsi que les cases demandées.
  • Enregistrer les informations de récupération de BitLocker dans les services de domaine Active Directory pour les lecteurs du système d’exploitation
  • N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d’exploitation
  • Faite Ok.
image-12 Bitlocker

Cette étape est uniquement à faire si vous ne possédez pas de puce TPM sur votre Ordinateur !

Pour notre par nous utilisons des VM Hyper elle n’en possède pas par défaut, donc on va le faire.

-On reste toujours dans notre dossier Lecteurs du système d’exploitation.

-Sélectionner le fichier « Exiger une authentification supplémentaire au démarrage » puis modifier.

image-18 Bitlocker
  • Cocher la case Activer car nous ne possédons pas de puce TPM.
  • Et vérifier que la case Autoriser Bitolocker sois bien cocher également.
  • Faite OK.
image-17 Bitlocker

Voila notre Bitlocker configurer en GPO est prète !

Configuration Bitlocker sur son Client

  • Connecter vous sur votre client
  • Clique droite sur le logo Windows en bas a gauche de votre écran, ensuite sélectionner Windows Powershell (Admin)
image-19 Bitlocker
  • Une fenêtre Powershell va s’ouvrir entre cette commande pour mettre à jour les GPO du serveur « gpupdate /force »
  • Une fois la mise à jour GPO terminée, fermer la fenêtre et redémarrer votre Ordinateur pour que tout soit pris en compte
  •  
  • ab51f63f-062e-42f4-a930-04d5741e7f76 Bitlocker
  • Saisir la touche Windows + E et vous aurez la fenêtre « Ce PC »
  • Sélectionner Votre disque dur, clique droit > Activer Bitlocker
image-17 Bitlocker
  • Cela va activer le chiffrement de Lecteur Bitlocker
  • Maintenant on va choisir le mode de déverrouillage de notre lecteur
  • Sélectionner Enter mot un mot de passe
image-20 Bitlocker
  • Saisissez un mot de passe, puis suivant
  • Souvenez vous de mot de passe il sera utile pour après
image-24 Bitlocker
  • Ne rien sélectionner juste faire suivant.
  • Vu que notre clé sera enregistrée sur notre Serveur.
image-21 Bitlocker
  • Décocher la vérification et faire suivant et vous devriez avoir cet écran, avec le Chiffrement en cour.
image-4 Bitlocker
image-2 Bitlocker

Vérification des clés de récupération Bitlocker sur le Server

  • Tableau de bord du serveur > Outils > Utilisateurs et Ordinateurs Active Directory
  •  Je sélectionne mon unité d’organisation « PC »
  • A droite j’aurais mon client le mien est (DESKTOP-3SOAMI6) clique droit propriété
  • Récupération BitLocker
  • Si vous avez faire le tuto vous devriez voir dans l’onglet Récupération BitLocker, la date, l’heure de chiffrement BitLocker et votre ID de mot de passe.
  • Si tout cela apparait c’est que tout est en place.
image-23 Bitlocker

Rechercher et récupérer un mot de passe BitLocker d’un PC

  • Faire un clique droit sur votre Domaine « rechercher le de mot de passe BitLocker »
  • 0d3929b3-b1ba-4866-bee3-58df40faf013 Bitlocker
  • Vous devriez avoir cette page
  • Il vous demandera les 8 premiers caractères de votre ID de mot de passe
  • Donc remonté un peu votre tuto vous devriez avoir l’ID de votre mot de passe dans le chapitre « Vérification des clés BitLocker »
  • OU
  • Tableau de bord du serveur > Outils > Utilisateurs et Ordinateurs Active Directory
  •  Je sélectionne mon unité d’organisation « PC »
  • A droite j’aurais mon client le mien est (DESKTOP-3SOAMI6) clique droit propriété
  • Récupération BitLocker
image-4 Bitlocker
image-22 Bitlocker
  • Donc pour moi mes 8 premier caractère de mon mot de passe est F087204D
  • Pour vous il sera différent, maintenant que j’ai mes 8 premier caractère je retourne sur ma page « Rechercher un mot de passe de récupération BitLocker »
  • Rentrer vos 8 premier caractères de votre Client et vous devriez avoir ceci
  • La vous avez le mot de passe de récupération.
image-6 Bitlocker

Mettre le déverrouillage en mode TPM + PIN

– Maintenant on va mettre un déverrouillage TPM + PIN

– Eteignez votre Client (VM)

-Sur Hyper V, faites clique droit sur votre Client > Paramètres et dans matériel vous avez Sécurité aller dessus, puis cocher la case « Activer le module de plateforme sécurisée » puis OK

image-20 Bitlocker
  • Relancer votre Client (VM)
  • Vous aurez directement une sécurité BitLocker il vous demandera votre mot de passe
  • Attention le clavier est en QWERTY
image-3 Bitlocker
image-4 Bitlocker
  • Echap si vous avez oublié votre mot de passe
  • Vous pouvez récupérer votre clé de récupération sur votre SERVER
image-5 Bitlocker

Désactiver Bitlocker

  • Panneau de configuration > Système et sécurité >  Chiffrement de lecteur de BitLocker > Désactiver Bitlocker
image-29 Bitlocker

Share this content:
Nicolas

Je m'appelle Nicolas, j’ai 38 ans et je vis dans le département de l’Ain. Actuellement en reconversion professionnelle dans le domaine de l’informatique, je poursuis une formation de Technicien Systèmes et Réseaux (TSSR) afin de transformer ma passion en métier. L'informatique a toujours occupé une place importante dans ma vie, et aujourd'hui je m'investis pleinement pour en faire mon avenir professionnel. Mon objectif : devenir Administrateur Réseau, en obtenant plusieurs certifications reconnues dans le secteur. Ce site présente les projets réalisés dans le cadre de ma formation, et reflète mon engagement et ma progression dans ce domaine passionnant.

view all posts

Related Posts

Laisser un commentaire

Ce que vous avez raté.