Dans une infrastructure il est parfois nécessaire de protéger certaines données sensibles autrement que par de simples permissions. BitLocker et EFS sont tous les deux des algorithmes de chiffrements de données, cependant il existe une grande différence.

BitLocker permet de chiffrer des volumes entiers dans leur intégralité (partitions, disques durs, clés USB…), il s’agit d’une sécurité hors ligne activée ou désactivée par l’administrateur. BitLocker utilisera des fonctionnalités : une puce TPM vérifiant si la carte mère correspond à celle de l’ordinateur de mise en place du système BitLocker originel, une puce TPM et une clé USB de démarrage qui devra être branchée pour permettre la lecture du disque, une puce TPM et un code PIN (mot de passe), une puce TPM et un code PIN et une clé USB de démarrage, ou une utilisation sans TPM (simplement clé USB de démarrage ou code PIN). N’importe quel utilisateur aura accès aux données chiffrées par BitLocker s’il connait le code PIN/il est en possession de la clé USB de démarrage/il se trouve sur la machine où le BitLocker a été créé.

EFS est quant à lui un algorithme de chiffrement en ligne, rapide d’utilisation, utilisant des certificats. Il ne chiffre que des dossiers ou fichiers précis, un par un, sans chiffrer de lecteur, qui seront accessibles uniquement par un utilisateur à partir de son compte utilisateur. Si plusieurs utilisateurs utilisent le même ordinateur, chacun chiffrera ses propres fichiers et les autres n’en auront pas l’accès (même si tous les fichiers de tous les utilisateurs sont enregistrés dans le même dossier, les autres utilisateurs verront les éléments mais l’accès leur sera refusé). EFS ne nécessite pas de matériel particulier, ni d’être administrateur.

EFS et BitLocker peuvent être utilisés simultanément.

 

Pour déployer le chiffrement complet du disque système sur tous les PC portables, il faut créer une nouvelle Stratégie de Groupe et la modifier. Se rendre dans «Configuration ordinateur», «Stratégies», «Modèles d’administration», «Composants Windows», «Chiffrement de lecteur BitLocker» et «Lecteurs du système d’exploitation». Modifier le paramètre «Exiger une authentification supplémentaire au démarrage».

33

 

Ce paramètre va demander à l’utilisateur de chiffrer son disque système à l’aide de BitLocker. Cliquer sur «Activer». Dans les options nous pouvons choisir différentes contraintes imposées pour le chiffrement : imposer à l’utilisateur une manière de faire (code PIN et puce TPM par exemple), lui interdire des manières de faire ou lui laisser le choix. Valider une fois les options choisies.

34

 

Retourner dans le menu de la GPO, et se rendre dans «Filtrage de sécurité» pour supprimer le paramètre «Utilisateurs authentifiés» afin de spécifier uniquement le paramètre souhaité.

35

 

Résultat obtenu dans le menu de la GPO :

36

 

Pour pallier à un problème sur le poste Windows causant la perte de la clé de chiffrement, nous pouvons mettre en place une option consistant à sauvegarder le mot de passe de récupération sur le serveur.

Retourner dans la GPO précédemment créée et se rendre dans «Configuration ordinateur», «Stratégies», « Modèles d’administration», «Composants Windows» et «Chiffrement de lecteur BitLocker» et modifier le paramètre «Sélectionner le dossier par défaut d’enregistrement du mot de passe de récupération».37

 

Cliquer sur «Activer» et configurer le chemin d’accès sur le serveur où seront enregistrés les mots de passe. Valider.

38