locked
Bitlocker et intégrité RRS feed

  • Question

  • Bonjour,

    Je travaille actuellement sur la solution Bitlocker de Microsoft avec authentification unique par TPM (solution par défaut).

    La documentation Technet indique qu’au moindre changement de configuration du boot (par exemple l’ordre du boot) une page au démarrage s’affiche avec demande d’insertion de la clef de récupération. Or après une multitude de tests, cet écran ne s’affiche jamais et ma partition Windows démarre classiquement.

    Ma configuration est Bitlocker en mode par défaut (tout est laissé à « non configuré » dans gpedit.msc), le TPM est dans l’état « prêt à être utilisé » (dans tpm.msc) et mon OS est Windows 8.1.

    J’aurais voulu savoir ce qu’il en était et d’où venait cette différence entre la documentation et mes tests afin d’adapter ma solution technique.

    Merci de votre aide :)

    vendredi 28 mars 2014 09:21

Toutes les réponses

  • Bonjour,

    Normalement changement de configuration du boot signifie que l'on boot sur un périphérique USB, optique ou autre que celui par défaut (modification de la séquence de boot)

    Cordialement,


    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/

    vendredi 28 mars 2014 12:46
  • Bonjour et merci de ta réponse.

    Je sais bien ce qu'est un changement de configuration et c'est d'ailleurs les tests que j'ai effectué (changement de l'ordre de boot suivi d'un boot sur CD/USB) mais jamais l'écran avec la demande de clef de récupération n'est apparu. Je me demande donc comment cela se fait il ?

    J'ai oublié de signifier dans mon premier message mon OS est plus précisément Windows 8.1 Entreprise.

    vendredi 28 mars 2014 13:04
  • Il faudrait des informations supplémentaires :

    • Gestion avec MBAM ? Si oui quel est l'état du poste ?
    • Quel paramètres de GPOs sont utilisées pour la configuration de BitLocker ?
    • Quel est l'état de la protection BitLocker ? (cmdlet Get-BitLockerVolume)
    • Quel est l'état de la puce TPM ? (cmdlet Get-TPM)
    • Que remonte le journal d'événement "BitLocker-API" ?

    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/

    vendredi 28 mars 2014 13:14
  • Voici le résultat des différentes informations que tu as mentionné :

    - Afin de chiffré le disque, j'ai juste cliqué droit sur le disque C et sélectionné "Activer Bitlocker"

    - Les paramètres GPO utilisés sont les paramètres par défaut (tout est à "non configuré" dans gpedit.msc)

    - Voici le résultat de la commande (cmdlet Get-BitLockerVolume) :

    VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                    Point                                   Percentage                           Enabled    Status
    ----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
    OperatingSystem C:        297,60 FullyEncrypted         100        {Tpm, RecoveryPassword}              On

    - Voici le résultat de la commande (cmdlet Get-TPM) :

    TpmPresent          : True
    TpmReady            : True
    ManufacturerId      : 1229346816
    ManufacturerVersion : 3.16
    ManagedAuthLevel    : Full
    OwnerAuth           : 7okAv0iGcNU/tHKqQzSj5w5hrcY=
    OwnerClearDisabled  : True
    AutoProvisioning    : Enabled
    LockedOut           : False
    SelfTest            : {191, 191, 245, 191...}

    - Pour ce qui est du journal d'évènement "Bitlocker-API" je cherche comment le récupéré et je l'ajoute ici.

    edit :

    J'ai une erreur que voici : The bitlocker service coult not resume protection on the OS volume C:\, due to the following error code: Vous devez initialiser le module de plateforme sécurisée (TPM) avant de pouvoir utiliser le chiffrement de lecteur Bitlocker. 

    J'avais pourtant initialisé la TPM...

    Ce message d'erreur est suivi 3 secondes plus de de deux messages d'informations suivants :

    1. Bitlocker succefully sealed a key to the TPM.

    2. Bitlocker was resumed for volume C/.

    Après réflexion, je me rend compte que au vue de l'heure indiqué il s'agit d'une erreur qui est survenue lors de mes tests justement pour obtenir ce fameux écran me demandant la clef de récupération. Après avoir changé le boot qui n'avait rien donné, j'avais carrément effacé le TPM (redémarrage pour effacé, et réinitialisé la TPM).

    Merci une nouvelle fois de ton aide.


    • Modifié Figueres vendredi 28 mars 2014 13:54 ajout dernier section
    vendredi 28 mars 2014 13:40
  • Personne n'a donc déjà rencontrer ce problème ? Je me demande si cela est possible que ça vienne de mon BIOS et non pas de Bitlocker ?
    mardi 1 avril 2014 08:01
  • Bonjour,

    Au vue des "traces" effectivement il n'y a aucune raison pour que la puce TPM s'efface mise à part :

    • Utilisateur qui le fasse intentionellement ou non
    • Trop de tentative en echec sur l'acces à la TPM qui effectue donc un clear
    • Modification du BIOS
    • Pile du BIOS défectueuse

    Cordialement,


    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/

    mardi 1 avril 2014 08:04
  • Bonjour et une nouvelle fois merci de ta réponse.

    Mais en ce qui concerne l'effacement de la TPM c'est moi qui l'avait volontairement fait afin d'avoir l'écran de demande de la clef de récupération. Ce qui fut un échec puisque Windows démarra normalement.

    Donc en résumé changement de configuration du BIOS et effacement de la puce TPM n'y ont rien fait, je n'ai jamais eu l'écran d'affichage de demande de la clef de récupération et je ne comprends toujours pas pourquoi.

    mardi 1 avril 2014 08:59
  • Quel est le comportement suite à un boot sur CD ou USB ?

    Cordialement,


    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/

    mardi 1 avril 2014 10:01
  • Comportement comme s'il n'y avait aucun contrôle.

    Le boot sur USB est effectué normalement, et lorsque je veux démarrer ensuite sur Windows ça démarre également normalement.

    mardi 1 avril 2014 11:47
  • Personne n'a donc déjà rencontrer ce problème ? Je me demande si cela est possible que ça vienne de mon BIOS et non pas de Bitlocker ?

    Pour répondre à ma question (si jamais quelqu'un tombe dans le même cas que moi), j'ai eu au téléphone le support de HP et le mec n'avait pas l'air de vraiment comprendre mon problème mais m'a dit qu'ils n'avaient jamais rencontrer ce type de problème. Bref ma recherche n'avance pas :(

    edit : ma demande était si la puce TPM présente dans leur produit permettait de faire un check des configurations du BIOS via Bitlocker.

    • Modifié Figueres mercredi 2 avril 2014 08:59
    mercredi 2 avril 2014 08:56
  • Pour moi au vue des informations je m'oriente aussi en effet sur un soucis avec la puce TPM, ce qui expliquerais le mode AutoUnlock et que le chiffrement soit parfois en erreur dans les journeaux d'évènements.

    Il faut donc bien vérifier :

    • Sont activation dans le BIOS
    • La version de la norme TPM en place (minimum version 1.2 requise)

    Cordialement,


    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/


    mercredi 2 avril 2014 09:06
  • J'avais déjà checké ces deux paramètres lors de ma recherche et voici le résultat :

    La TPM est bien activé dans le BIOS et il s'agit d'une version 1.2.

    Par contre le chiffrement n'est jamais en erreur dans les journaux, c'est juste moi qui en voulant avoir ce fameux écran de demande de clef de récupération avait réinitialisé la puce TPM. Il y a eu une erreur là mais dans l'utilisation normale il n'y a jamais d'erreur. 

    mercredi 2 avril 2014 09:39