pascals.blog

Pascal Sauliere | Microsoft France | Infrastructure, sécurité, cloud, et plus si affinités

BitLocker : volumes de données dans Windows Vista SP1

BitLocker : volumes de données dans Windows Vista SP1

  • Comments 2
  • Likes

Parmi les nouveautés de sécurité de Windows Vista SP1 (outre les nouveaux PRNG et d'autres modifications), BitLocker hérite de deux modifications majeures qui le mettent à niveau avec Windows Server 2008 :

  • Un nouveau mode TPM+PIN+clé externe
  • Le chiffrement de volumes de données

Je reviendrai plus tard sur le premier point. Quant au second, comme nous l'avons vu dans un précédent article qui détaille l'implémentation technique de la protection d'un volume de données, il était déjà techniquement présent dans la version initiale de Windows Vista. La différence est que le SP1 apporte le support de la fonctionnalité, ainsi que sa prise en charge simplifiée dans l'interface graphique.

Je viens ainsi de lancer le chiffrement d'un disque externe USB connecté à mon portable :

Chiffrement d'un volume de données Chiffrement en cours

Le chiffrement d'un disque externe n'est peut-être pas supporté officiellement, mais le principe est le même pour un volume de données interne.

Voici en quelques étapes comment chiffrer un volume de données avec BitLocker sous Windows Vista SP1 :

Le volume contenant le système doit déjà être chiffré avec BitLocker. En effet, pour que le volume de données chiffré soit déverrouillé automatiquement au démarrage du système, un protecteur de clé est ajouté et sa clé stockée dans le registre du système. Le fait que le volume système soit chiffré assure le même niveau de protection (TPM+PIN par exemple) pour tous les volumes chiffrés du système.

Pour chiffrer un volume de données, il suffit alors d'aller dans le Panneau de Configuration - Sécurité - Chiffrement de lecteur BitLocker, puis de cliquer sur Activer BitLocker sous le volume à chiffrer.

Il vous est demandé de sauvegarder le mot de passe de récupération au choix sur un répertoire, un périphérique USB ou de l'imprimer. En fait, si l'on choisit logiquement de le stocker sur une clé USB, deux fichiers sont stockés : une clé externe de récupération (.bek) et le mot de passe de récupération (.txt). Bien que cela ne soit pas indiqué dans l'interface graphique, le protecteur supplémentaire et sa clé dans le registre sont créés automatiquement.

Le chiffrement débute alors. Comme pour le chiffrement de la partition du système, il est possible d'interrompre le chiffrement si nécessaire pour le reprendre plus tard.

Une remarque pour terminer : avec le mécanisme autounlock activé par défaut, un volume de données sera déverrouillé automatiquement dès que le système sera démarré. C'est à dire qu'un seul protecteur de clé du volume du système suffit pour déverrouiller tous les volumes de données attachés au système. A quoi servent alors les protecteurs (clé externe et mot de passe) de chaque volume de données ? Ils servent dans le cas où il serait nécessaire d'accéder à ces volumes depuis un autre système, ou en cas de reconstruction du système principal. Dans ce dernier cas, il sera nécessaire de réactiver l'autounlock par la commande manage-bde.wsf -autounlock -enable e:.

Comments
  • Un momonte

  • Pardon me

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment