Déployer Bitlocker en entreprise

Il y a un an, la France a découvert le nomadisme.
Ce nomadisme s’accompagne « d’un gros risque » qui est la perte/le vol/l’oubli du pc portable.

Pour éviter que les secrets de l’entreprise ne se retrouvent dans la nature suite à la perte d’un poste, il est important de chiffrer le disque.

Il existe plusieurs logiciels pour ça, dans le cadre personnel j’utilise Veracrypt.
Malheureusement, dans le monde pro Veracrypt peut poser soucis lors des montées de versions de Windows (et comme de nombreuses entreprises considère les versions LTSC/LTSB comme inutiles….) ou dans la conservation des clefs.

C’est donc en grande partie pour ça ainsi que pour la facilité de déploiement que l’on va se concentrer sur l’utilisation de Bitlocker.

Différence entre Veracrypt et Bitlocker

Le site Goldavalez a réalisé un comparatif entre les deux technologies, pour notre besoin nous il faut juste savoir ceci:

Pourquoi Bitlocker ?

Remontée de la clef dans l’AD

La remontée intégrée à l’AD permet d’avoir un point central pour l’accès à la clef ainsi que la gestion affinée sur les accès à cette clef.

Déploiement via GPO

Le déploiement via GPO permet de s’assurer que tous les postes soient chiffrés dès leur arrivée dans le réseau de l’entreprise ; de façon transparente (à part le ralentissement du poste) pour les usagers.

Préparation du serveur

Sur le serveur AD (ou d’administration), il convient d’ajouter la gestion de Bitlocker.
Pour cela, on ajoute la fonctionnalité Bitlocker :

Attention, le redémarrage est nécessaire à la fin de l’installation.

Confirmation

Le redémarrage est fait, on vérifie la présence d’un onglet Bitlocker dans la gestion des PC de l’AD.

Bien sur c’est vide car je n’ai pas encore déployé Bitlocker.

Création de la GPO

Maintenant que l’AD est prêt a acceullir nos clefs Bitlocker, c’est le moment de créer la GPO.

On sélectionne la méthode de chiffrement que l’on veux pour notre client :

On se rend dans la partie dédiée au disque système pour configurer la remontée des clefs :

On force le chiffrement du support complet :

Maintenant, il faut exécuter un script au démarrage pour vérifier l’état du disque et chiffrer en automatique :

##Recuperation de etat de chiffrement disque C
$EtatDisqueC = Get-BitLockerVolume -MountPoint 'c:'
##Chiffrement si le disque 'FullyDecrypted'
if ($EtatDisqueC.volumeStatus -eq 'FullyDecrypted') { C:\Windows\System32\manage-bde.exe -on c: -recoverypassword -skiphardwaretest }

Attribuer votre GPO à l’OU cible.

Une fois la GPO appliqué au poste cible, un rapide contrôle dans l’AD permet de confirmer le bon fonctionnement.