Installation & configuration de BitLocker
Présentation
BitLocker est une fonctionnalité de chiffrement de disque intégrée à Windows qui permet de protéger vos données contre les accès non autorisés. En chiffrant l'intégralité du disque dur, BitLocker assure la sécurité de vos informations, même en cas de vol ou de perte de l'appareil. Il s'intègre parfaitement avec les outils Microsoft et peut être facilement géré via des stratégies de groupe, offrant ainsi une solution de sécurité robuste pour les entreprises et les particuliers.
Table des matières
Ajout de la fonctionnalité
Attention
cette procédure ne contient aucune commande powershell, les actions sont réalisés uniquement avec une interface graphique
Téléchargement de la fonctionnalité "Chiffrement de lecteur Bitlocker" sur le contrôleur de domaine (les deux si il y en as deux).
En-suite on activera le chiffrement des lecteurs (le fameux bitlock) et pour ma part je choisis un chiffrement AES-CBC 256 bits
Les plus importants sont les deux premier, pour le lecteur du système d'exploitation et pour le lecteur de donnée fixe
Création d'une stratégie de groupe pour forcer l'authentification par BITLOCKER
Nous allons créer une stratégie de groupe sur notre serveur Active Directory, sont nom sera O-BITLOCKER-NOTPM
O pour préciser que c'est une stratégie qui contiendra une configuration ordinateur
et NOTPM pour préciser que le chiffrement n'utilisera pas la puce TPM, utile lorsque ce sont des machines virtualisés.
La puce TPM est utilisé lors du processus par défaut d'authentification.
Se rendre dans :
- Configuration ordinateur
- Stratégies
- Modèles d'administration : définitions de stratégies (fichiers ADMX)
- Composants Windows
- Chiffrement de lecteur BitLocker
- Lecteurs du système d'exploitation
Puis, se rendre dans "Exiger une authentification supplémentaire au démarrage".
Par la suite : "Choisir la méthode et la puissance de chiffrement des lecteurs
"Sélectionner la méthode de récupération des lecteurs du système d'exploitation protégés par BitLocker
Nous activerons le mot de passe de récupération et d'enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs du système d'exploitation
Et Configurer le stockage des informations de récupération BitLocker dans les services de domaine Active Directory : Enregistrer les mots de passe de récupération uniquement.
Il faudra également activer : "Exiger une authentification supplémentaire au démarrage
Cette option ajoute un bon niveau de sécurité et peut être intéressante car la requête de code PIN au démarrage ajoute une couche de sécurisation.
Activer BitLOCKER manuellement
Cliquer sur "Activé", puis donner les droits administrateur.
Attention ! si un message d'erreur apparait, c'est que la stratégie de groupe fait précédemment n'est pas appliqué sur votre machine (voir image ci-dessous de l'erreur)
Vérification du bitlock... Résultat
Voici à quoi cela devrait ressembler. Le code PIN bitlocker est demandé à chaque démarrage.
Si le code devrais venir à ce perdre, il est possible de le récupérer dans l'Active Directory
Il faut se rendre sur la page AD de l'ordinateur et "Récupération BITLOCKER"
Conclusion
La solution de chiffrement BitLocker proposée par Windows s'avère être une option très intéressante pour sécuriser votre parc informatique. En explorant une solution de déploiement sur un domaine fictif virtualisé via une stratégie de groupe, nous avons pu démontrer la flexibilité et l'efficacité de cette approche. Toutefois, il convient de souligner que le déploiement sur un parc de machines réel peut présenter des différences et des défis supplémentaires. Il est donc essentiel de procéder à une planification rigoureuse et à des tests approfondis pour garantir une mise en œuvre réussie dans un environnement de production.
Une fois bitlocker déployée, celui-ci propose une facilité de gestion et de recouvrement de clés très rapide et efficace.