Installer Bitlocker sur une VM Vmware
Chiffrement de lecteur BitLocker Windows
S’applique à: Windows Server 2008, Windows Vista
Le chiffrement de lecteur BitLocker™ Windows (BitLocker) est une fonctionnalité du système d’exploitation Windows Server 2008. BitLocker vous permet de chiffrer toutes les données stockées sur le volume du système d’exploitation Windows et sur les volumes de données configurés. Par ailleurs, grâce à l’utilisation d’un module de plateforme sécurisée (TPM), il permet d’assurer l’intégrité des composants intervenant dans les phases initiales du processus de démarrage.
Pour fonctionner correctement sur les lecteurs du système d’exploitation, BitLocker exige une partition de système distinct, actif qui contient les fichiers requis pour démarrer le système d’exploitation.La partition système doit être au moins 300 Mo pour prendre en charge d’environnement de récupération Windows pour la récupération du système d’exploitation ou 100 Mo si vous avez un emplacement distinct pour stocker les fichiers de récupération de Windows.
Preparation de la machine
La mise en place de Bitlocker nécessite un BIOS de la machine compatible TPM. Ce qui n’est pas le cas des VM sous vmware. On peut alors forcer l’utilisation de Bitlocker sans TPM mais il faut une clé USB connectée en permanence et dès le démarrage sur la machine. Là encore ce n’est pas possible avec vmware ESX !
Voici donc la procédure pur un Windows 2008 :
Installation de Bitlocker
Lancer « Server Manager » et dans la section « Features Summary » faire « Add Features » 
Sélectionner « Bitlocker Drive Encryption » et lancer l’installation.
Désactivation de TPM
Il faut désactiver TPM pour pouvoir installer Bitlocker sur une machine virtuelle.
Pour cela on doit modifier la GPO Local. Lancer Gpedit.msc et localiser l’option “Control Panel Setup:Enable advanced startup options” dans « Computer Configuration/Administrative Templates/Windows Components/Bitlocker Drive Encryption ».
Double cliquer sur “Control Panel Setup: Enable advanced startup options”. Activer l’option et sélectionner « Allow Bitlocker without compatible TPM chip » et lancer un reboot de la machine.
Simulation d’une clé USB pour crypter les données
Si l’option TPM n’est pas activée, Bitlocker a besoin d’une clé USB connectée en permanence. malheureusement ce n’est pas possible avec les ESX. Donc on simule cette clé à partir d’une disquette.
Ouvrir les settings de la machine et créé une disquette bitlocker.flp.
Retour sur la machine virtuelle et formatter la disquette.
Lancer ensuite une fenêtre DOS avec les privilèges administrateur. Taper la commande :
cscript c:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:
Faire un shutdown de la machine et s’assurer dans le bios que l’entrée « Removable device » est bien en dernière position dans la liste :
Relancer la machine.
Mise en place de l’encryption
Dans le panneau de configuration, lancer « Bitlocker Drive Encryption » :
Il n’y a plus qu’à activer Bitlocker sur le ou les disques.
Pour pouvoir le faire il faut faire une sauvegarde de la clé sur un périphérique amovible :
En cas de problème sur les disques, on peut utiliser un outils Microsoft : Bitlocker Drive Tool Preparation
Désactiver le chiffrement de lecteur BitLocker
Lorsque vous désactivez BitLocker, vous pouvez choisir entre désactiver temporairement BitLocker et déchiffrer le volume. Lorsque BitLocker est désactivé, vous pouvez apporter des modifications au module de plateforme sécurisée et d’autres petits changements au système. Le déchiffrement du volume a pour effet de rendre ce dernier de nouveau accessible en lecture. Toutes les clés sont supprimées. Avant de mettre à jour le système d’exploitation, vous devez déchiffrer l’ordinateur. Une fois qu’un volume a été déchiffré, vous devez générer de nouvelles clés en relançant le processus de chiffrement si vous souhaitez activer BitLocker.
1 – Cliquez sur Démarrer, Panneau de configuration, Sécurité, puis sur Chiffrement de lecteur BitLocker.
2 – Dans la page Chiffrement de lecteur BitLocker, trouvez le volume sur lequel vous souhaitez désactiver le chiffrement de lecteur BitLocker puis cliquez sur Désactiver le chiffrement de lecteur BitLocker.
3 – Dans la boîte de dialogue Quel niveau de chiffrement voulez-vous utiliser ?, cliquez sur Désactiver le chiffrement de lecteur BitLocker ou Déchiffrer le volume selon le besoin.
4 – À la fin de cette procédure, vous aurez désactivé BitLocker ou déchiffré le volume du système d’exploitation.
Pour fonctionner correctement sur les lecteurs du système d’exploitation, BitLocker exige une partition de système distinct, actif qui contient les fichiers requis pour démarrer le système d’exploitation.La partition système doit être au moins 300 Mo pour prendre en charge d’environnement de récupération Windows pour la récupération du système d’exploitation ou 100 Mo si vous avez un emplacement distinct pour stocker les fichiers de récupération de Windows.
0 commentaire