Je sors d’une session du TechEd EMEA 2008 IT Professionals (ex IT Forum) qui était consacrée à BitLocker dans Windows 7 et Windows Server 2008 R2.

Titre officiel de la session : “BitLocker Protecting Data in Windows 7 and Server 2008 R2”

C’était plutôt pas mal et voici mes notes (certaines en anglais car c’était plus rapide lors de la prise de notes) et photos (prises avec un petit camescope numérique Sanyo) :

Le speaker a fait un résumé sur ce que c’est que Bitlocker, à quoi ça sert et comment ça fonctionne. Les scénarios d’utilisation dans Windows Vista et Windows Vista SP1.

Pour rappel :

  • Il faut une partition en NTFS
  • On peut chiffrer la partition contenant les binaires du système (Windows Vista) mais aussi les partitions de données (Windows Vista SP1).
  • Unlock Methods :
    • TPM
    • TPM+PIN
    • TPM+Startup Key (sur clé USB)
    • TPM+PIN+Startup Key
    • Startup Key -> typiquement scénario sur des machines sans TPM
  • Recovery method
    • Recovery password
    • Recovery key
    • Active directory backup of recovery password

Puis on est entré dans le vif du sujet : les nouveautés de Bitlocker dans Windows 7 et Windows Server 2008 :-)

  • Une nouvelle méthode de récupération : Data Recovery Agent (DRA)
  • Une meilleure administration via GPO
    • avec par exemple la possibilité d’exiger une longueur minimale pour le code PIN
  • System Partition (Boot) sans lettre de lecteur
    • dans Windows Vista ou Windows Server 2008, il faut attribuer une lettre de lecteur à cette partition
  • Création de cette partition de boot via l'assistant d'installation de Bitlocker
    • ==> ajout de l'outil précédent Bitlocker Drive Preparation Tool
  • Scénarios de mise à jour vers Windows 7 depuis Windows Vista
    • Upgrade from Windows Vista to Windows 7 are possible without decrypting the OS partition
    • Support for EFI machines
  • Interface utilisateur pour différentes opérations telles que :
    • Sauvegarder ou imprimer la recovery key
    • Faire un reset du code PIN
    • Avant la plupart de ces opérations étaient réalisables uniquement en ligne de commande

  • Windows 7 BitLocker to Go : BitLocker sur clé USB, disque externe...

Unlock methods :

  • Passphrase
  • Smart card
  • Automatic Unlocking

Administration : ability to mandate encryption prior granting write access
==> le device doit être chiffré pour faire de l'écriture, sinon il est en lecture seule

File Systems pour BitLocker to Go :

  • NTFS
  • FAT
  • FAT32
  • ExFAT

New unlock methods :

  • Passphrase
  • Smart cards

Avantage pour la carte à puce : c’est + sécurisé qu'une passphrase

Attention : unlock method via smartcard uniquement pour Bitlocker to Go (pas pour la partition de O/S protégée avec Bitlocker)

New recovery mecanism : DRA (Data Recovery Agent)

  • Certificate-based key protector
    • A certificate containing a public key is distributed throught GPO and is applied to any drive that mount
    • The corresponding private jey is held by a DRA in Corpsec
  • Allows IT department to have a way to unlock all protected drives in an entreprise
  • Leverage existing PKI
  • Save space in AD - same Key Protector on all drives
  • Also applies to O/S & fixed drives

Mandating Bitlocker on removable drives : requiring Bitlocker for removable data drives

A noter : aujourd'hui Bitlocker to Go fonctionne uniquement avec un OS Windows 7. Pour l'instant (c'est à dire pendant la beta)  pas de support des clients antérieurs (Vista, Windows XP). Donc une clé protégée avec Bitlocker to Go ne sera pas lisible sur Windows Vista, XP...