Ce billet introductif, présente le chiffrement de disques via la technologie BitLocker proposé par Windows 10. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés. BitLocker est apparu avec Windows Vista en 2007 dans des versions Premium (Enterprise et Ultimate). Le Service Pack 1 de Windows Vista a introduit la capacité de chiffrer des disques de volumes. Alors que Windows 7 a permis d’ajouter le chiffrement de périphériques amovibles.
BitLocker fournit un système de chiffrement sur le volume logique. Ainsi, ce n’est pas l’ensemble du disque qui est chiffré mais simplement le ou les volumes choisis par l’administration. BitLocker permet de limiter l'accès non autorisé aux données sur les ordinateurs perdus ou volés en chiffrant tous les fichiers utilisateurs et les fichiers système du disque du système d'exploitation, y compris les fichiers d'échange et les fichiers d'hibernation, et en vérifiant l'intégrité des composants de démarrage initial et des données de configuration.
BitLocker permet aussi de chiffrer l'ensemble du contenu d'un lecteur de données. Vous pouvez utiliser des stratégies pour exiger que BitLocker soit activé sur un lecteur avant que l'ordinateur puisse écrire des données sur le lecteur. BitLocker peut être configuré avec une variété de méthodes de déverrouillage pour les lecteurs de données, et un lecteur de données supporte plusieurs méthodes de déverrouillage.
BitLocker ne chiffre pas et ne déchiffre pas l'ensemble du disque lors de la lecture et de l'écriture des données. Les secteurs chiffrés du lecteur protégé par BitLocker ne sont déchiffrés que lorsque cela est demandé par les opérations de lecture du système. Les blocs qui sont écrits sur le lecteur sont chiffrés avant que le système ne les écrive sur le disque physique. Aucune donnée non chiffrée n'est jamais stockée sur un disque protégé par BitLocker.
Sur les ordinateurs dotés d'une puce TPM compatible, les lecteurs du système d'exploitation protégés par BitLocker peuvent être déverrouillés de quatre façons :
- Via la puce TPM L'utilisation de la validation TPM seule ne nécessite aucune interaction avec l'utilisateur pour déverrouiller et donner accès au lecteur. Si la validation TPM réussit, l'expérience de connexion de l'utilisateur est la même qu'une connexion standard. Si la puce TPM est manquante ou modifiée ou si BitLocker détecte des modifications du code ou de la configuration du BIOS ou de l'UEFI, des fichiers de démarrage critiques du système d'exploitation ou de la configuration de démarrage, BitLocker passe en mode récupération et l'utilisateur doit entrer un mot de passe de récupération pour récupérer l'accès aux données. Cette option est plus pratique pour l'ouverture de session, mais moins sûre que les autres options, qui nécessitent un facteur d'authentification supplémentaire.
- TPM avec clé de démarrage (Dongle USB). En plus de la protection offerte par la puce TPM, une partie de la clé de chiffrement est stockée sur une clé USB, appelée clé de démarrage. Les données du volume chiffré ne sont pas accessibles sans la clé de démarrage.
- TPM avec PIN. En plus de la protection offerte par la puce TPM, BitLocker exige que l'utilisateur entre un code PIN. Il est impossible d'accéder aux données du volume chiffré sans entrer le code PIN. Les puces TPMs sont également munis d'une protection anti-brute force conçue pour prévenir ces attaques qui tenteraient de déterminer le code PIN. En exigeant un code PIN défini par l'utilisateur en plus de la validation TPM, un utilisateur malveillant qui a un accès physique à l'ordinateur ne peut pas simplement démarrer l'ordinateur.
- TPM avec clé de démarrage et PIN. En plus de la protection des composants de base que seul le TPM fournit, une partie de la clé de cryptage est stockée sur une clé USB et un code PIN est nécessaire pour authentifier l'utilisateur sur la puce TPM. Cette configuration permet une authentification multifactorielle de sorte qu'en cas de perte ou de vol de la clé USB, celle-ci ne peut pas être utilisée pour accéder au lecteur, car le PIN correct est également requis.
BitLocker est déployable de manière autonome mais le monde de l’entreprise requiert une solution de gestion permettant d’assurer le cycle de vie. Ceci inclut :
- L’évaluation de la compaitiblité vis-à-vis de BitLocker
- L’application du chiffrement et des paramétrages de configuration de BitLocker
- La gestion du cycle de vie (Inventaire et Rotation des clés de récupération, etc.)
- Le suivi de l’état de chiffrement des machines dans le temps.
Microsoft propose les différentes solutions de gestion suivantes :
- Gestion par GPO + stockage des clés dans Active Directory
- Gestion difficile
- Pas de reporting sur l’état de chiffrement
- Pas de gestion des clés de récupération et du cycle de vie
- Pas de gestion des machines Workgroup
- Nécessité de gérer les droits au niveau d’Active Directory pour protéger et récupérer la clé
- Gestion par Microsoft Intune et Azure Active Directory
- Supporte des machines jointes à Azure Active Directory ou Hybrid Azure AD (AD+AAD)
- Pas de gestion des machines Workgroup
- Ne supporte pas encore les mécanismes de Co-Management
- Gestion des stratégies BitLocker directement depuis le portail Microsoft Endpoint Manager
- Nécessite de donner l’accès au portail Intune pour qu’une personne du HelpDesk récupère la clé.
- Intégration des fonctions via le CSP BitLocker intégré nativement à Windows 10 (pas de déploiement nécessaire)
- Gestion par System Center Configuration Manager
- Limité aux machines gérées par SCCM ou cogérées
- La solution requiert d’être dans un mode HTTPS (et prochainement Enhanced HTTP) côté serveurs (MP) et côté clien afin de sécuriser l’envoi de la clé à l’infrastructure. Ceci requiert donc le déploiement de certificat
- Nécessite System Center Configuation Manager 1910.
- Gestion des stratégies MBAM directement dans la console SCCM
- Intégration du client MBAM directement dans le client SCCM (pas de déploiement nécessaire)
Note : Les paramètres de BitLocker ne font PAS partie d'une charge de travail (ni Endpoint Protection ni Device Configuration ) dans le Co-Management.
Note :Microsoft propose aussi historiquement Microsoft BitLocker Administration and Monitoring (MBAM). Néanmoins, cet outil a atteint la fin de support principal et est rentré en fin de support étendu. Microsoft propose System Center Configuration Manager comme solution de remplacement On-Premises et Microsoft Intune comme solution de remplacement Cloud.
Je vous propose une série de billets qui traitent de la gestion de BitLocker avec Microsoft Intune :
- [Intune] Prérequis à la gestion de BitLocker (dimanche)
- [Intune] Configuration de BitLocker dans un mode TPM Uniquement (lundi)
- [Intune] Configuration de BitLocker dans un mode TPM + PIN (mardi)
- [Intune] Configuration de BitLocker pour chiffrer les disques additionnels (mercredi)
- [Intune] Configuration de BitLocker pour forcer le chiffrement des périphériques amovibles (jeudi)
- [Intune] Gestion des clés (Récupération, Rotation des clés, etc.) (vendredi)
- [Intune] Dépannage de la gestion de BitLocker (samedi)