WebLog de Stéphane PAPP [MSFT]

Journal sur le web de Stéphane PAPP sur l'administration de systèmes.

BitLocker avec ou sans code PIN

Blog - About

A propos du WebLog de Stéphane PAPP [MSFT]

Après près de 10 ans de conseil dans l'équipe française de Microsoft Consulting Services (MCS), j'ai rejoint l'équipe européenne de Customer Service and Support (CSS) comme ingénieur conseil grands comptes. Mon rôle consiste à délivrer du conseil proactif et réactif sur les logiciels de la gamme System Center (ConfigMgr et OpsMgr, principalement).
Je délivre de l'expertise technique associée aux méthodologies ITIL/MOF sous la forme d'atelier de type vérification de l'état de santé, évaluation des risques, revues de supportabilité, cours magistraux.
Si vous êtes intéressés pour avoir un contact Microsoft dédié pour des ressources techniques, travailler avec vous sur des projets, délivrer une formation ou un transfert d’expertise et vous aider à résoudre vos problèmes, le PFE dédié est fait pour vous. Pour en savoir plus, contactez votre responsable technique de compte ou interlocuteur habituel chez Microsoft.

BitLocker avec ou sans code PIN

  • Comments 0

Avec le passage sous Windows 8, j’ai pu constater que l’image préparée par le service informatique de Microsoft n’exigeait plus de composer un code PIN pour démarrer mon ordinateur. De nombreux collègues spécialistes de la sécurité s’en sont inquiétés. D’autres, plus ou moins geeks et utilisateurs de tablettes sans clavier s’en sont réjouis. Je vous avais déjà évoqué ici la méthode à utiliser pour rajouter un code PIN quand l’installation initiale n’en exigeait pas. Il reste que de nouveaux périphériques ne proposent plus d’être complètement arrêtés, mais simplement, mis en veille, permettant, ainsi d’être utilisé très rapidement en sortant de veille.

BitLocker permet la protection des données des disques durs et, en particulier, de la base SAM, évitant, ainsi, une attaque brutale sur le compte administrateur local. Que le disque soit encore sur son système d’origine où qu’il soit monté dans un autre système, BitLocker le protégera contre un accès non autorisé.

Si un code PIN n’est plus demandé au démarrage, il est possible de démarrer l’ordinateur et d’utilise une méthode pour accéder à la mémoire. Les techniques connues d’accès à la mémoire reposent sur l’utilisation de périphériques utilisant une interface 1394 ou un contrôleur Thunderbolt.

L’article 2516445 de la base de connaissances de Microsoft propose de mettre en œuvre deux mesures d'atténuation via le réglage “d'empêcher l'installation des pilotes correspondant à ces classes d'installation de périphériques” ou “Prevent installation of drivers matching these device setup classes” en fournissant les identifiants des classes de ces périphériques.

image

Pour une mise en œuvre détaillée de ce type de réglage, je vous avais déjà indiqué ici comment permettre l’installation de périphériques telles que les imprimantes sans être administrateur et vous recommande la lecture du document disponible en anglais intitulé “Step-By-Step Guide to Controlling Device Installation and Usage with Group Policy” et disponible parmi l’ensemble des documents suivants :
http://www.microsoft.com/en-us/download/details.aspx?id=23947

Bien que citant Windows Vista, de nombreux réglages sont encore disponibles et applicables pour Windows 7 ou Windows 8.

Comme l’indique l’article 2516445, la mise en œuvre de ces réglages empêche l’utilisation de périphériques qui utiliseraient ces interfaces.

Lorsque vous utilisez BitLocker, n’oubliez pas d’enregistrer votre clé de récupération, au besoin, en utilisant les informations déjà transmises ici !

Leave a Comment
  • Please add 6 and 7 and type the answer here:
  • Post