Chiffrement de lecteur BitLocker dans Windows 10 pour les fabricants d'ordinateurs OEM

  • Article

Le chiffrement de lecteur BitLocker fournit des données hors connexion et une protection du système d’exploitation en veillant à ce que le lecteur ne soit pas falsifié pendant que le système d’exploitation est hors connexion. Le chiffrement de lecteur BitLocker utilise un module TPM, discret ou microprogramme, qui prend en charge la racine statique de la mesure de confiance, telle que définie par le groupe d’informatique approuvé.

Configuration matérielle requise pour le chiffrement de lecteur BitLocker

Le chiffrement de lecteur BitLocker utilise une partition système distincte de la partition Windows. La partition système BitLocker doit répondre aux exigences suivantes.

  • La partition système BitLocker est configurée en tant que partition active.
  • La partition système BitLocker ne doit pas être chiffrée.
  • La partition système BitLocker doit avoir au moins 250 Mo d’espace libre, au-delà de tout espace utilisé par les fichiers requis. Cette partition système supplémentaire peut être utilisée pour héberger l’environnement de récupération Windows (RE) et les outils OEM (fournis par l’OEM), tant que la partition répond toujours à l’exigence de 250 Mo d’espace libre.

Pour plus d’informations, consultez Partitions système et utilitaires, et Disques durs et partitions.

Chiffrement automatique des appareils BitLocker

Le chiffrement automatique des appareils BitLocker utilise la technologie de chiffrement de lecteur BitLocker pour chiffrer automatiquement les lecteurs internes une fois que l’utilisateur a terminé l’expérience OOBE (Out Of Box Experience) sur du matériel de secours moderne ou compatible HSTI.

Notes

Le chiffrement automatique des appareils BitLocker démarre pendant l’expérience OOBE (Out-of-box). Toutefois, la protection est activée (armée) uniquement une fois que les utilisateurs se connectent avec un compte Microsoft ou un compte Azure Active Directory . Jusqu’à cela, la protection est suspendue et les données ne sont pas protégées. Le chiffrement automatique des appareils BitLocker n’est pas activé avec les comptes locaux, auquel cas BitLocker peut être activé manuellement à l’aide de l’Panneau de configuration BitLocker.

Configuration matérielle requise pour le chiffrement automatique des appareils BitLocker

Le chiffrement automatique de l’appareil BitLocker est activé dans les cas suivants :

  • L’appareil contient un module de plateforme sécurisée (module de plateforme sécurisée), TPM 1.2 ou TPM 2.0.
  • Le démarrage sécurisé UEFI est activé. Pour plus d’informations, consultez Démarrage sécurisé .
  • Le démarrage sécurisé de la plateforme est activé
  • La protection d’accès direct à la mémoire (DMA) est activée

Les tests suivants doivent réussir avant que Windows 10 activent le chiffrement automatique de l’appareil BitLocker. Si vous souhaitez créer du matériel qui prend en charge cette fonctionnalité, vous devez vérifier que votre appareil réussit ces tests.

  1. TPM : L’appareil doit inclure un module de plateforme sécurisée avec prise en charge de PCR 7. Consultez System.Fundamentals.TPM20.TPM20.

    • Si la présence de cartes extensibles entraîne le chargement des pilotes UEFI OROM par LE BIOS UEFI pendant le démarrage, BitLocker n’utilise PAS la liaison PCR7.
    • Si vous exécutez un appareil qui n’est pas lié à PCR7 et que Bitlocker est activé, il n’y a aucun inconvénient à la sécurité, car BitLocker est toujours sécurisé lors de l’utilisation du profil PCR UEFI standard (0,2,4,11).
    • Tout hachage d’autorité de certification supplémentaire (même Windows Prod CA) avant l’amorçage final Windows Prod CA empêchera BitLocker de choisir d’utiliser PCR7. Peu importe si le hachage ou les hachages supplémentaires proviennent de l’autorité de certification UEFI (également appelé . Microsoft 3rd Tiers CA) ou une autre autorité de certification.

  2. Démarrage sécurisé : le démarrage sécurisé UEFI est activé. Consultez System.Fundamentals.Firmware.UEFISecureBoot.

  3. Exigences de secours modernes ou validation HSTI . Cette exigence est remplie par l’un des éléments suivants :

    • Les exigences de secours modernes sont implémentées. Il s’agit notamment des exigences relatives au démarrage sécurisé UEFI et à la protection contre les DMA non autorisés.
    • À compter de Windows 10, version 1703, cette exigence peut être remplie via le test HSTI :
      1. L’autotest platform Secure Boot (ou des autotests supplémentaires configurés dans le Registre) doivent être signalés par HSTI comme implémentés et réussis.
      2. À l’exception de Thunderbolt, HSTI ne doit signaler aucun bus DMA non autorisé.
      3. Si Thunderbolt est présent, HSTI doit signaler que La technologie Thunderbolt est configurée de manière sécurisée (le niveau de sécurité doit être SL1 – « Autorisation de l’utilisateur » ou supérieur).

  4. Vous devez disposer de 250 Mo d’espace libre en plus de tout ce dont vous avez besoin pour démarrer (et récupérer Windows, si vous placez WinRE sur la partition système). Pour plus d’informations, consultez Partitions système et utilitaires.

Lorsque les exigences répertoriées ci-dessus sont remplies, les informations système indiquent que le système prend en charge le chiffrement automatique des appareils BitLocker. Cette fonctionnalité est disponible dans Windows 10 version 1703 ou ultérieure. Voici comment case activée informations système.

  1. Cliquez sur Démarrer, puis tapez Informations système.
  2. Cliquez avec le bouton droit sur l’application Informations système , puis cliquez sur Ouvrir en tant qu’administrateur. Autorisez l’application à apporter des modifications à votre appareil en cliquant sur Oui. Certains appareils peuvent nécessiter des autorisations élevées pour afficher les paramètres de chiffrement.
  3. Dans Résumé du système, consultez Prise en charge du chiffrement d’appareil. La valeur indique si l’appareil est chiffré, ou si ce n’est pas le cas, les raisons pour lesquelles il est désactivé.

Application des mises à jour du microprogramme aux appareils

En plus d’exécuter des tests HLK, les oem doivent tester les mises à jour du microprogramme avec BitLocker activé. Pour empêcher les appareils de démarrer la récupération inutilement, suivez ces instructions pour appliquer les mises à jour du microprogramme :

  1. SuspendEz BitLocker (requis pour les appareils liés à PCR[07] uniquement si la mise à jour du microprogramme modifie la stratégie de démarrage sécurisé)
  2. Appliquer la mise à jour
  3. Redémarrer l’appareil
  4. Reprendre BitLocker

La mise à jour du microprogramme doit obliger l’appareil à suspendre Bitlocker uniquement pendant une courte période, et l’appareil doit redémarrer dès que possible. BitLocker peut être suspendu par programmation juste avant l’arrêt à l’aide de la méthode DisableKeyProtectors dans Windows Management Instrumentation (WMI).

Bus/appareils compatibles DMA non autorisés détectés

Cette status d’informations système dans la prise en charge du chiffrement des appareils signifie que Windows a détecté au moins un bus ou appareil externe compatible DMA qui peut exposer une menace DMA.

Pour résoudre ce problème, contactez le ou les IHV pour déterminer si cet appareil n’a pas de ports DMA externes. Si les IVS confirment que le bus ou l’appareil a uniquement une DMA interne, l’OEM peut l’ajouter à la liste autorisée.

Pour ajouter un bus ou un appareil à la liste autorisée, vous devez ajouter une valeur à une clé de Registre. Pour ce faire, vous devez d’abord prendre la propriété de la clé de Registre AllowedBuses . Procédez comme suit :

  1. Accédez à la clé de RegistreHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses .

  2. Cliquez avec le bouton droit sur la clé de Registre et sélectionnez Autorisations... .

  3. Cliquez sur Avancé, cliquez sur le lien Modifier dans le champ Propriétaire , entrez le nom de votre compte d’utilisateur, cliquez sur Vérifier les noms, puis cliquez sur OK trois fois pour fermer toutes les boîtes de dialogue d’autorisation.

  4. Cliquez avec le bouton droit sur la clé de Registre et sélectionnez à nouveau Autorisations.

  5. Cliquez sur le bouton Ajouter... , ajoutez votre compte d’utilisateur, cliquez sur Vérifier les noms, puis sur OK, puis cochez la case sous Autoriser le contrôle total. Puis cliquez sur OK.

Ensuite, sous la clé AllowedBuses , ajoutez des paires nom/valeur de chaîne (REG_SZ) pour chaque bus compatible DMA avec indicateur qui est déterminé comme sécurisé :

  • Clé : description du nom / convivialde l’appareil
  • Valeur : PCI\VEN_ID&DEV_ID.

Vérifiez que les ID correspondent à la sortie du test HLK. Par exemple, si vous avez un appareil sécurisé avec le nom convivial « Port racine PCI Express Contoso », l’ID de fournisseur 1022 et l’ID d’appareil 157C, vous devez créer une entrée de Registre nommée Contoso PCI Express Root Port comme REG_SZ type de données dans : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Où la valeur = « PCI\VEN_1022&DEV_157C »

Désactiver le chiffrement automatique des appareils BitLocker

Les fabricants OEM peuvent choisir de désactiver le chiffrement des appareils et d’implémenter leur propre technologie de chiffrement sur un appareil. Pour désactiver le chiffrement automatique de l’appareil BitLocker, vous pouvez utiliser un fichier Unattend et définir PreventDeviceEncryption sur True.

Vous pouvez également mettre à jour la clé de RegistreHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker :

Valeur : PreventDeviceEncryption est égal à True (1).

Résolution des problèmes liés aux tests BitLocker HLK

Le triage est beaucoup plus simple lorsque vous connaissez les informations suivantes sur l’appareil testé :

  1. Spécification TPM (par exemple, 1.2, 2.0)
  2. Profil PCR BitLocker (par exemple, 7, 11 ou 0, 2, 4, 11)
  3. Indique si la machine n’est pas AOAC ou AOAC (par exemple, les appareils Surface sont des machines AOAC)

Ces informations sont recommandées, mais pas obligatoires pour effectuer le triage.

Les problèmes BitLocker HLK sont généralement liés à l’un des éléments suivants : mauvaise interprétation des résultats des tests ou problèmes de liaison PCR7.

Mauvaise interprétation des résultats des tests

Un test HLK se compose de plusieurs étapes de test. Certaines étapes de test peuvent échouer sans affecter la réussite/l’échec du test global. Pour plus d’informations sur l’interprétation de la page de résultats, voir ici. Si certaines étapes de test ont échoué, mais que le test global réussit (comme indiqué par un case activée vert en regard du nom du test), arrêtez ici. Le test a été exécuté avec succès et aucune action supplémentaire n’est nécessaire de votre part.

Étapes de triage :

  1. Vérifiez que vous exécutez le test approprié sur la machine. Cliquez avec le bouton droit sur n’importe quelle étape des journaux > du rassembleur d’infrastructure > de test > défaillant à l’intérieur RUNTIMEBLOCK.xml pour l’élément IsAOAC. Si IsAOAC=true et que vous exécutez un test non-AOAC, ignorez l’échec et n’exécutez pas ce test sur la machine. Si nécessaire, contactez l’équipe Support Microsoft pour obtenir une errata pour passer la playlist.

    Capture d’écran du test ayant échoué. L’élément Is A O A A C est sélectionné.

  2. Déterminez si un filtre est appliqué au test. HLK peut suggérer automatiquement un filtre pour un test mal mappé. Un filtre apparaît sous la forme d’une marque case activée verte à l’intérieur d’un cercle en regard d’une étape de test. (Notez que certains filtres peuvent indiquer que les étapes de test suivantes ont échoué ou ont été annulées.) Examinez les informations étendues sur le filtre en développant l’étape de test avec l’icône spéciale. Si le filtre indique d’ignorer l’échec du test, arrêtez-vous ici.

Capture d’écran des filtres

Problèmes de PCR7

Un problème BitLocker courant spécifique aux deux tests PCR7 est l’échec de la liaison à PCR7.

Étapes de triage :

  1. Recherchez le message d’erreur dans les journaux HLK. Développez l’étape de test défaillante et examinez le journal Te.wtl. (Vous pouvez également accéder à ce journal en cliquant avec le bouton droit sur une étape > de test Journaux des tâches > Te.wtl) Continuez à suivre les étapes de tri si vous voyez cette erreur :

    Capture d’écran du message d’erreur dans les journaux H LK.

  2. Exécutez msinfo32 en tant qu’administrateur et case activée état de démarrage sécurisé/configuration PCR7. Le test doit être exécuté avec le démarrage sécurisé activé. Si la liaison PCR7 n’est pas prise en charge, exécutez le test HLK PCR hérité approprié à la place. Si la liaison PCR7 n’est pas possible, continuez à suivre les étapes de triage.

  3. Examinez les journaux des erreurs. Cliquez avec le bouton droit sur la tâche de > test Fichiers supplémentaires. En règle générale, le problème de liaison PCR7 est le résultat de mesures incorrectes dans PCR7.

    1. Journaux d’événements. Le journal Microsoft-BitLocker-Management contient des informations d’erreur précieuses sur la raison pour laquelle PCR7 ne peut pas être utilisé. Le test BitLocker HLK ne doit s’exécuter que sur un ordinateur sur lequel BitLocker est installé. Les journaux des événements doivent être vérifiés sur la machine qui les génère.
    2. Journaux de démarrage mesurés. Vous pouvez également les trouver à l’adresse C:\Windows\Logs\MeasuredBoot

  4. Analysez le journal de démarrage mesuré à l’aide de TBSLogGenerator.exe ou équivalent. Sur le contrôleur HLK, TBSLogGenerator.exe se trouve dans le répertoire de tests HLK où vous avez installé HLK, par exemple C:\Program Files (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\nttest\BASETEST\ngscb\TBSLogGenerator.exe. »

    1. TBSLogGenerator.exe chemin d’accès -lf <au journal>> de démarrage mesuré OutputLog.txt
    2. Dans OutputLog.txt, recherchez « PCR[07] » et examinez les mesures répertoriées dans l’ordre. La première mesure doit ressembler à ceci :

Capture d’écran de la liste des mesures dans le journal de sortie point t x t.

BitLocker attend une certaine racine statique des mesures d’approbation racine statique des mesures d’approbation dans PCR7, et toute variation de ces mesures interdit souvent la liaison à PCR7. Les valeurs suivantes doivent être mesurées (dans l’ordre et sans mesures superflues entre les deux) dans PCR7 :

  • Contenu de la variable SecureBoot
  • Contenu de la variable PK
  • Contenu de la variable KEK
  • Contenu de la variable EFI_IMAGE_SECURITY_DATABASE (DB)
  • Contenu de la variable EFI_IMAGE_SECURITY_DATABASE1 (DBX)
  • (facultatif mais courant EV_SEPARATOR)
  • Les entrées dans le EFI_IMAGE_SECURITY_DATABASE utilisées pour valider les pilotes EFI ou les applications de démarrage EFI dans le chemin de démarrage. BitLocker n’attend qu’une seule entrée ici.

Problèmes courants avec le journal de démarrage mesuré :

  • Mode de débogage UEFI sur
  • Variables PK ou KEK manquantes : la mesure PK/KEK n’a pas de données (par exemple, 4 octets sur 0)
  • Signataire de l’autorité de certification UEFI non approuvée

Certains problèmes de démarrage mesurés, tels que l’exécution avec le mode de débogage UEFI activé, peuvent être corrigés par le testeur. D’autres problèmes peuvent nécessiter un errata, auquel cas vous devez contacter l’équipe Support Microsoft pour obtenir des conseils.