La sécurité des données des collaborateurs est devenue critique dans certains secteurs d’activité.
Comment déployer BitLocker avec SCCM ?
BitLocker et SCCM
En effet, pour ne citer que les vols d’ordinateur portable ou de clef USB, le coût estimé de la fuite ou de la perte d’information peut monter très haut.
BitLocker est une technologie introduite avec Windows Vista permettant le chiffrement physique des partitions. Nous parlons ainsi d’un chiffrement BitLocker par partition logique et non par disque physique. Nous nous focaliserons uniquement sur BitLocker disponible dans les éditions Entreprise et Intégrale de Windows 7. En résumé, dès lors qu’une partition est chiffrée par BitLocker, il sera impossible à un utilisateur malintentionné de démarrer sur un autre système d’exploitation (ex : Live CD) et d’accéder aux données de la partition chiffrée sans connaître la clef de récupération BitLocker.
Pour stocker ses clefs de cryptage et de décryptable, BitLocker nécessite la présence soit d’une puce TPM (Trusted Platform Module) d’une version 1.2 ou supérieure, soit l’utilisation d’une clef USB si votre ordinateur ne possède pas de puce TPM. Notons que la puce TPM fournit une sécurité additionnelle lors de la vérification de l’intégrité du système au démarrage ainsi que de l’authentification multi facteur. Voir figure 1.
Les autres prérequis sont les suivants :
- Votre BIOS doit être conforme TCG (Trusted Computing Group). L’ordre de démarrage doit commencer par le disque dur et non pas par le lecteur DVD ou l’USB. Enfin, si vous utilisez une clef USB dans le cadre de BitLocker, votre BIOS doit être capable de lire depuis la clef USB pendant le démarrage de l’ordinateur.
- Votre disque dur doit contenir au moins deux partitions NTFS. La première est celle où sera installé votre système d’exploitation Windows 7 et qui sera chiffrée par BitLocker. La deuxième est celle appelée « System Reserved » d’une taille par défaut de 100 Mo lors de l’installation de Windows 7. Cette partition non-visible par les utilisateurs ne devra pas être chiffrée par BitLocker afin de permettre à votre ordinateur de démarrer. Cette partition doit être marquée comme active.
Note : Si votre ordinateur ne contient pas cette deuxième partition de 100 mo, BitLocker s’occupera de la créer pour vous si vous effectuez cette opération de façon manuelle et non automatisée. De plus, dans certains cas, la mise à jour du BIOS est nécessaire pour l’utilisation de BitLocker.
BitLocker est composé de méthodes de protection de clé appelées des protecteurs. Nous distinguons en partie les protecteurs de type déverrouillage et les protecteurs de type recouvrement. Parmi les protecteurs de type déverrouillage disponibles, nous avons la puce TPM, le code PIN qui sera renseigné par l’utilisateur lors du démarrage de la machine et la clef de démarrage (média amovible) qui devra être connectée au démarrage. Nous avons ainsi les différentes possibilités de déverrouillage :
- TPM uniquement ;
- TPM + PIN ;
- TPM + clef de démarrage ;
- TPM + PIN + clef de démarrage ;
- Clef de démarrage uniquement ;
Voir figure 2.
La méthode TPM + PIN est une « best practice ». En fonction des possibilités, il faut bien prendre le temps de réfléchir de ce qui sera le meilleur choix pour le déploiement de BitLocker. En fonction de ces choix, il faudra dans la plupart des cas (TPM + PIN), définir les méthodes de recouvrement. Que se passe-t-il si un utilisateur a perdu sa clef USB ou s’il ne se souvient pas du code PIN ou encore si l’intégrité des composants de démarrage a été modifiée et détectée par TPM ? Dans ces scénarios, les équipes IT doivent être capables de trouver une solution. Les protecteurs de recouvrement disponibles sont les suivants :
- Recovery password
- Recovery Key
- Data recovery agent
Le protecteur de type Recovery password est une bonne pratique car il peut être sauvegardé dans l’Active Directory. Les équipes IT ne sont pas obligées d’être sur place et peuvent communiquer le mot de passe de 48 chiffres. L’utilisateur peut aussi taper le mot de passe s’il la sauvegarder ou imprimer et si cela a été permis par GPO. Tous les paramètres liés à BitLocker peuvent être configurés à travers des GPO. Cela nécessite que votre schéma Active Directory doit contenir les attributs BitLocker. Si ce n’est pas le cas, votre schéma doit être mis à jour au minimum à Windows Server 2008.
Le déploiement de BitLocker via SCCM nécessite un minimum de connaissance de cette technologie. Nous verrons dans la deuxième partie de cet article comment nous pouvons prendre en compte ces éléments dans SCCM.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental