[AD DS Sécurité] BitLocker et stockage des clés de récupération dans l’AD

 

Il est possible d'utiliser le cryptage BitLocker pour protéger par exemple, les postes nomades. Cela limite le risque de vol de données en cas de perte ou de vol du matériel.

Par défaut, BitLocker voudra utiliser un module sécurisé (TPM), sinon l'option ne sera pas disponible, comme dans l'image ci-dessous. Il est possible de modifier cette limitation avec les stratégies de l'ordinateur.

 

Il est possible de déployer ce paramètre automatiquement dans un domaine AD avec les stratégies de groupe.

Nous créons une nouvelle stratégie afin d'autoriser le chiffrement BitLocker sans TPM avec la valeur ci-dessous :

Configuration ordinateur (activée)masquer

Stratégiesmasquer

Modèles d'administrationmasquer

Définitions de stratégies (fichiers ADMX) récupérées à partir de l'ordinateur local.

Composants Windows/Chiffrement de lecteur BitLocker/Lecteurs du système d'exploitationmasquer

Stratégie

Paramètre

Commentaire

Exiger une authentification supplémentaire au démarrage

Activé

 

Autoriser BitLocker sans un module de plateforme sécurisée compatible (requiert un mot de passe ou une clé de démarrage sur un disque mémoire flash USB)

Activé

Paramètres pour les ordinateurs avec un module de plateforme sécurisée :

Configurer le démarrage du module de plateforme sécurisée :

Autoriser le module de plateforme sécurisée

Configurer le code PIN de démarrage de module de plateforme sécurisée :

Autoriser un code PIN de démarrage avec le module de plateforme sécurisée

Configurer la clé de démarrage de module de plateforme sécurisée :

Autoriser une clé de démarrage avec le module de plateforme sécurisée

Configurer le code PIN et la clé de démarrage de module de plateforme sécurisée :

Autoriser une clé et un code PIN de démarrage avec le module de plateforme sécurisée

 

Autoriser le chiffrement BitLocker sur les disques systèmes peut s'avérer être une méthode intéressante pour se protéger lors de la perte ou du vol du poste. Néanmoins il y a également un risque de perte de données si l'utilisateur oublie la clé permettant de lire le disque ou si le poste est HS.

Dans un domaine Active Directory, il y a une option permettant d'enregistrer une clé de récupération dans l'annuaire, afin de décrypter le volume en cas de nécessité.

Cette option s'active également à l'aide des stratégies de groupe, en utilisant le paramètre ci-dessous situé dans au même niveau que le précédent.

 

Stratégie

Paramètre

Commentaire

Sélectionner la méthode de récupération des lecteurs du système d'exploitation protégés par BitLocker

Activé

 

Autoriser les agents de récupération de données

Activé

Configurer le stockage par les utilisateurs des informations de récupération BitLocker :

 

Autoriser un mot de passe de récupération de 48 chiffres

 

Autoriser une clé de récupération de 256 bits

Supprimer les options de configuration de l'Assistant d'installation de BitLocker

Désactivé

Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs du système d'exploitation

Activé

Configurer le stockage des informations de récupération BitLocker dans les services de domaine Active Directory :

Enregistrer les mots de passe de récupération et les packages de clés

N'activer BitLocker qu'une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d'exploitation

Activé

 

L'enregistrement des clés de récupération ne demande pas forcément à disposer de la dernière version d'OS sur les contrôleurs de domaine.

Néanmoins, il est nécessaire de disposer de certains objets AD spécifique « ms-FVE ». Ces éléments sont créés lors de la mise à jour du schéma identifié entre le numéro « 34 » et le numéro « 40 » (voir les fichiers de mises à jour de schéma dans adprep). Windows 2003 R2 étant en version 31 et Windows 2008 étant en version 44, on peut en conclure que ces attributs existent si le schéma est à minima en version 2008.

A partir de Windows Server 2012, la fonctionnalité de stockage des clés de récupération est directement prête à être utilisé. Pour les versions précédentes, lisez l'article :

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/dd875529(v=ws.10)?redirectedfrom=MSDN

Maintenant que nous avons défini une stratégie pour la récupération BitLocker, et après avoir mis à jour les stratégies sur le poste client, il est possible d'utiliser BitLocker.

Dans notre exemple, nous avons crypté le disque système c , en utilisant un mot de passe au démarrage :

Sur le poste en question, la commande PowerShell « Manage-BDE -status », permet de vérifier le chiffrement du disque :

Nous avons donc vu, comment configuré BitLocker sans module TPM et comment sauvegarder la clé de récupération dans Active Directory.

Il nous reste à voir comment lire la clé. Il est possible de la lire en utilisant PowerShell.

Une autre solution consiste à installer une extension de la console « Utilisateurs et Ordinateurs Active Directory » (visionneuse des mots de passe de récupération).

Pour cela, vous pouvez utiliser l'option « ajout suppression de rôle »:

ou la commande PowerShell suivante :

Install-WindowsFeature "RSAT-Feature-Tools-BitLocker-BdeAducExt"

Une fois votre extension installée vous aurez la possibilité de visualiser le mot de passe de récupération depuis l'objet ordinateur en question.

 

Il est également possible d'effectuer une recherche depuis la racine du domaine.

Si vous utilisez ADSEdit, vous pourrez constater que la clé de récupération n'est pas inscrite dans les attributs de l'ordinateur, mais dans un objet à part.

Si vous souhaitez utiliser BitLocker sur un serveur, il vous faudra installer toutes les fonctionnalités BitLocker avec la commande PowerShell :

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools

 

 

 

Theme: 

Systeme: 

Annee: 

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Cette question empêche les soumissions de spam automatisées. Merci de votre compréhension
Image CAPTCHA
Enter the characters shown in the image.