Disques durs chiffrés

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Le disque dur chiffré utilise le chiffrement rapide fourni par le chiffrement de lecteur BitLocker pour améliorer la sécurité et la gestion des données.

En déchargeant les opérations de chiffrement sur le matériel, les disques durs chiffrés augmentent les performances de BitLocker et réduisent l’utilisation du processeur et la consommation d’énergie. Étant donné que les disques durs chiffrés chiffrent rapidement les données, les appareils d’entreprise peuvent étendre le déploiement BitLocker avec un impact minimal sur la productivité.

Les disques durs chiffrés sont une nouvelle classe de disques durs qui sont autochiffrés au niveau matériel et autorisent le chiffrement matériel de disque complet. Vous pouvez installer Windows sur des disques durs chiffrés sans modification supplémentaire, en commençant par Windows 8 et Windows Server 2012.

Les disques durs chiffrés fournissent :

• Meilleures performances : le matériel de chiffrement, intégré au contrôleur de lecteur, permet au lecteur de fonctionner à un débit de données complet sans dégradation des performances.
• Sécurité renforcée basée sur le matériel : le chiffrement est toujours « activé » et les clés de chiffrement ne quittent jamais le disque dur. L’authentification des utilisateurs est effectuée par le disque, avant son déverrouillage, indépendamment du système d’exploitation.
• Facilité d’utilisation : le chiffrement est transparent pour l’utilisateur et il n’a pas besoin de l’activer. Les disques durs chiffrés sont facilement effacés à l’aide de la clé de chiffrement embarquée ; il n’est pas nécessaire de chiffrer à nouveau les données sur le lecteur.
• Coût de possession réduit : il n’est pas nécessaire d’utiliser une nouvelle infrastructure pour gérer les clés de chiffrement, car BitLocker utilise votre infrastructure existante pour stocker les informations de récupération. Votre appareil fonctionne plus efficacement, car il n’est pas nécessaire d’utiliser les cycles de processeur pour le processus de chiffrement.

Les disques durs chiffrés sont pris en charge en mode natif dans le système d’exploitation via les mécanismes suivants :

• Identification : le système d’exploitation identifie que le lecteur est un type de périphérique de disque dur chiffré.
• Activation : l’utilitaire de gestion des disques du système d’exploitation active, crée et mappe les volumes aux plages/bandes appropriées.
• Configuration : le système d’exploitation crée et mappe des volumes à des plages/bandes, le cas échéant.
• API : prise en charge de l’API pour les applications permettant de gérer les disques durs chiffrés indépendamment du chiffrement de lecteur BitLocker (BDE).
• Prise en charge de BitLocker : l’intégration à l’Panneau de configuration BitLocker offre une expérience utilisateur bitLocker fluide.

Warning

Les disques durs à chiffrement automatique et les disques durs chiffrés pour Windows ne sont pas du même type d’appareils. Les disques durs chiffrés pour Windows nécessitent la conformité pour des protocoles TCG spécifiques ainsi que la conformité IEEE 1667 ; Les disques durs à chiffrement automatique n’ont pas ces exigences. Il est important de vérifier que le type d’appareil est un disque dur chiffré pour Windows lors de la planification du déploiement.

Si vous êtes un fournisseur d’appareils de stockage et que vous recherchez plus d’informations sur la façon d’implémenter un disque dur chiffré, consultez le Guide des périphériques de disque dur chiffré.

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge le disque dur chiffré :

Windows Pro	Windows Entreprise	Windows Pro Education/SE	Windows Éducation
Oui	Oui	Oui	Oui

Les droits de licence de disque dur chiffré sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE	Windows Entreprise E3	Windows Entreprise E5	Windows Éducation A3	Windows Éducation A5
Oui	Oui	Oui	Oui	Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Configuration système

Pour utiliser des disques durs chiffrés, la configuration requise suivante s’applique :

Pour un disque dur chiffré utilisé comme lecteur de données :

• Le lecteur doit être dans un état non initialisé.
• Le lecteur doit être dans un état de sécurité inactif.

Pour un disque dur chiffré utilisé comme lecteur de démarrage :

• Le lecteur doit être dans un état non initialisé.
• Le lecteur doit être dans un état de sécurité inactif.
• L’ordinateur doit être basé sur UEFI 2.3.1 et avoir le EFI_STORAGE_SECURITY_COMMAND_PROTOCOL défini. (Ce protocole est utilisé pour permettre aux programmes s’exécutant dans l’environnement des services de démarrage EFI d’envoyer des commandes de protocole de sécurité au lecteur).
• Le module de prise en charge de la compatibilité (CSM) doit être désactivé sur l’ordinateur dans UEFI.
• L’ordinateur doit toujours démarrer en mode natif à partir d’UEFI.

Warning

Tous les disques durs chiffrés doivent être attachés à des contrôleurs non RAID pour fonctionner correctement.

Vue d’ensemble technique

Le chiffrement rapide dans BitLocker répond directement aux besoins de sécurité des entreprises tout en offrant des performances améliorées. Dans les versions de Windows antérieures à Windows Server 2012, BitLocker nécessitait un processus en deux étapes pour effectuer les demandes de lecture/écriture. Dans Windows Server 2012, Windows 8 ou versions ultérieures, les disques durs chiffrés déchargent les opérations de chiffrement sur le contrôleur de lecteur pour une efficacité beaucoup plus grande. Lorsque le système d’exploitation identifie un disque dur chiffré, il active le mode de sécurité. Cette activation permet au contrôleur de lecteur de générer une clé multimédia pour chaque volume créé par l’ordinateur hôte. Cette clé multimédia, qui n’est jamais exposée en dehors du disque, est utilisée pour chiffrer ou déchiffrer rapidement chaque octet de données envoyées ou reçues du disque.

Configuration de disques durs chiffrés comme lecteurs de démarrage

La configuration des disques durs chiffrés en tant que lecteurs de démarrage est effectuée à l’aide des mêmes méthodes que les disques durs standard. Ces méthodes sont les suivantes :

• Déployer à partir d’un support : la configuration des disques durs chiffrés s’effectue automatiquement via le processus d’installation.
• Déployer à partir du réseau : cette méthode de déploiement implique le démarrage d’un environnement Windows PE et l’utilisation d’outils de création d’images pour appliquer une image Windows à partir d’un partage réseau. À l’aide de cette méthode, le composant facultatif Stockage amélioré doit être inclus dans l’image Windows PE. Vous pouvez activer ce composant à l’aide de Gestionnaire de serveur, de Windows PowerShell ou de l’outil en ligne de commande DISM. Si ce composant n’est pas présent, la configuration des disques durs chiffrés ne fonctionne pas.
• Déployer à partir du serveur : cette méthode de déploiement implique le démarrage PXE d’un client avec des disques durs chiffrés présents. La configuration des disques durs chiffrés se produit automatiquement dans cet environnement lorsque le composant Stockage amélioré est ajouté à l’image de démarrage PXE. Pendant le déploiement, le paramètre TCGSecurityActivationDisabled dans unattend.xml contrôle le comportement de chiffrement des disques durs chiffrés.
• Duplication de disque : cette méthode de déploiement implique l’utilisation d’un appareil et d’outils de duplication de disque précédemment configurés pour appliquer une image Windows à un disque dur chiffré. Les disques doivent être partitionnés à l’aide d’au moins Windows 8 ou Windows Server 2012 pour que cette configuration fonctionne. Les images réalisées à l’aide de duplicateurs de disque ne fonctionnent pas.

Configuration du chiffrement basé sur le matériel avec une stratégie de groupe

Il existe trois paramètres de stratégie de groupe associés qui vous aident à gérer la façon dont BitLocker utilise le chiffrement basé sur le matériel et les algorithmes de chiffrement à utiliser. Si ces paramètres ne sont pas configurés ou désactivés sur les systèmes équipés de lecteurs chiffrés, BitLocker utilise le chiffrement logiciel :

• Configurer l’utilisation du chiffrement matériel pour les lecteurs de données fixes
• Configurer l’utilisation du chiffrement matériel pour les lecteurs de données amovibles
• Configurer l’utilisation du chiffrement matériel pour les lecteurs de système d’exploitation

Architecture de disque dur chiffré

Les disques durs chiffrés utilisent deux clés de chiffrement sur l’appareil pour contrôler le verrouillage et le déverrouillage des données sur le lecteur. Ces clés de chiffrement sont la clé de chiffrement des données (DEK) et la clé d’authentification (AK).

La clé de chiffrement des données est la clé utilisée pour chiffrer toutes les données sur le lecteur. Le lecteur génère la clé DEK et ne quitte jamais l’appareil. Il est stocké dans un format chiffré à un emplacement aléatoire sur le lecteur. Si la clé DEK est modifiée ou effacée, les données chiffrées à l’aide de la clé DEK sont irrécupérables.

Ak est la clé utilisée pour déverrouiller les données sur le lecteur. Un hachage de la clé est stocké sur le lecteur et nécessite une confirmation pour déchiffrer la clé DEK.

Lorsqu’un ordinateur équipé d’un disque dur chiffré est hors tension, le lecteur se verrouille automatiquement. Lorsqu’un ordinateur s’allume, l’appareil reste dans un état verrouillé et n’est déverrouillé qu’après que l’AK a déchiffré la clé DEK. Une fois que l’AK a déchiffré la clé DEK, des opérations de lecture-écriture peuvent avoir lieu sur l’appareil.

Lors de l’écriture de données sur le lecteur, celui-ci passe par un moteur de chiffrement avant la fin de l’opération d’écriture. De même, la lecture des données à partir du lecteur nécessite que le moteur de chiffrement déchiffre les données avant de les transmettre à l’utilisateur. Si ak doit être modifié ou effacé, les données sur le lecteur n’ont pas besoin d’être rechiffrées. Une nouvelle clé d’authentification doit être créée et elle rechiffre la clé DEK. Une fois l’opération terminée, la clé DEK peut maintenant être déverrouillée à l’aide de la nouvelle ak, et les lectures-écritures sur le volume peuvent continuer.

Reconfiguration des disques durs chiffrés

De nombreux périphériques de disque dur chiffrés sont préconfigurés pour être utilisés. Si la reconfiguration du lecteur est nécessaire, utilisez la procédure suivante après avoir supprimé tous les volumes disponibles et rétabli le lecteur à un état non initialisé :

1. Ouvrir La gestion des disques (diskmgmt.msc)
2. Initialisez le disque et sélectionnez le style de partition approprié (MBR ou GPT)
3. Créez un ou plusieurs volumes sur le disque.
4. Utilisez l’Assistant Installation de BitLocker pour activer BitLocker sur le volume.