Il y a un an, la France a découvert le nomadisme.
Ce nomadisme s’accompagne « d’un gros risque » qui est la perte/le vol/l’oubli du pc portable.
Pour éviter que les secrets de l’entreprise ne se retrouvent dans la nature suite à la perte d’un poste, il est important de chiffrer le disque.
Il existe plusieurs logiciels pour ça, dans le cadre personnel j’utilise Veracrypt.
Malheureusement, dans le monde pro Veracrypt peut poser soucis lors des montées de versions de Windows (et comme de nombreuses entreprises considère les versions LTSC/LTSB comme inutiles….) ou dans la conservation des clefs.
C’est donc en grande partie pour ça ainsi que pour la facilité de déploiement que l’on va se concentrer sur l’utilisation de Bitlocker.
Le site Goldavalez a réalisé un comparatif entre les deux technologies, pour notre besoin nous il faut juste savoir ceci:
La remontée intégrée à l’AD permet d’avoir un point central pour l’accès à la clef ainsi que la gestion affinée sur les accès à cette clef.
Le déploiement via GPO permet de s’assurer que tous les postes soient chiffrés dès leur arrivée dans le réseau de l’entreprise ; de façon transparente (à part le ralentissement du poste) pour les usagers.
Sur le serveur AD (ou d’administration), il convient d’ajouter la gestion de Bitlocker.
Pour cela, on ajoute la fonctionnalité Bitlocker :
Attention, le redémarrage est nécessaire à la fin de l’installation.
Le redémarrage est fait, on vérifie la présence d’un onglet Bitlocker dans la gestion des PC de l’AD.
Maintenant que l’AD est prêt a acceullir nos clefs Bitlocker, c’est le moment de créer la GPO.
On sélectionne la méthode de chiffrement que l’on veux pour notre client :
On se rend dans la partie dédiée au disque système pour configurer la remontée des clefs :
On force le chiffrement du support complet :
Maintenant, il faut exécuter un script au démarrage pour vérifier l’état du disque et chiffrer en automatique :
##Recuperation de etat de chiffrement disque C
$EtatDisqueC = Get-BitLockerVolume -MountPoint 'c:'
##Chiffrement si le disque 'FullyDecrypted'
if ($EtatDisqueC.volumeStatus -eq 'FullyDecrypted') { C:\Windows\System32\manage-bde.exe -on c: -recoverypassword -skiphardwaretest }
Attribuer votre GPO à l’OU cible.
Une fois la GPO appliqué au poste cible, un rapide contrôle dans l’AD permet de confirmer le bon fonctionnement.