Les réseaux d'entreprise ont depuis longtemps dépassé les limites habituelles des connexions filaires des immeubles de bureaux et presque chaque organisation dispose d'un niveau différent d'infrastructure distribuée. Employés distants, lieux de travail non liés à un seul point, tous ces groupes sont unis par la possibilité d'utiliser des ordinateurs portables, des netbooks, leurs propres postes de travail, ce qui donne naissance à un certain nombre de nouveaux problèmes. Lorsque les utilisateurs ne sont pas sous un « parapluie unifié », une nouvelle gamme de menaces apparaît pour laquelle une solution doit être trouvée. Un accès non autorisé, un vol ou une perte de données peuvent causer de nombreux dommages au système d’information et à l’entreprise dans son ensemble.
Imaginons qu'un ingénieur SI ou réseaux d'information perde son ordinateur portable à l'aéroport pour des raisons inconnues. Le cryptage de disque est le moyen le plus important qui contribuera non seulement à protéger l'accès aux informations sur le réseau d'entreprise, mais également sur l'ordinateur portable localement.
Qu'est-ce que BitLocker ?
BitLocker est une technologie pour convertir des informations avec un algorithme cryptographique basé sur l'AES symétrique. Il est disponible pour les versions serveur et professionnelles du Windows famille de systèmes d’exploitation. Il est utilisé à la fois pour crypter les données sur les disques et sur les périphériques amovibles. À cet effet, il existe la technologie BitLocker To Go, dont l'utilisation est similaire. Au sein de réseaux d'entreprise avec un domaine ou utilisant la technologie AD. Pour les systèmes d'exploitation serveur, il est nécessaire d'ajouter un composant, que nous examinerons ci-dessous.
Comment fonctionne BitLocker ?
Le principal problème de tout algorithme de chiffrement symétrique est la transmission et le stockage de la clé secrète. Les développeurs de la technologie ont essayé de développer plusieurs mécanismessms d'authentification des utilisateurs. Commençons par des moyens simples et relativement sûrs, il s'agit d'une phrase secrète ou d'une clé USB ordinaire. A partir du mot de passe, la clé est générée par un algorithme connu, si elle est compromise, alors la clé aussi.
Afin de créer un mot de passe complexe, prenez comme base deux mots, de préférence pas en anglais. Par exemple, épais et crié, ce sera le corps du mot de passe de 12 symboles, ajoutez des chiffres, capilettres normales, symboles spéciaux, pour que cela ressemble à la manière suivante kolly_krik :, bien sûr, cette séquence, il est souhaitable d'écrire en latin. Et au lieu d'un trait de soulignement faible, écrivez l'abréviation du service sur lequel vous vous authentifiez. Par exemple, pour un compte YouTube, cela ressemblera à la version ouverte de koLlyYTkRIK : et fermé njkCnsQYTrHBR :Cependant, personne ne vous interdit d'utiliser un gestionnaire de mots de passe. Pour lequel une clé principale est également généralement requise.
Une clé USB, l’analogue sécurisé d’un jeton cryptographique, nécessite également une sécurité de base. Si vous utilisez une carte à puce ou le même token, nous savons que les informations qu'elles contiennent sont cryptées et limitent les tentatives de l'utilisateur de saisir le code PIN à décrypter, la clé USB ne le fait pas. Et nous pouvons émuler le travail d'un jeton cryptographique, en utilisant des outils logiciels populaires, en chiffrant séparément le lecteur flash avec la clé, en spécifiant une limite sur le nombre de tentatives de saisie.
Un moyen sécurisé de stocker la clé consiste à utiliser le TPM intégré à la carte mère, qui permet un stockage sécurisé des clés ou du crypto-jeton. Dont l'essence est l'isolement du SI, l'appareil interagit avec le serveur ou le PC uniquement lors de la vérification de la clé et de l'authentification à deux facteurs.
Activation et configuration de BitLocker
Pour ce faire, créons un serveur cloud on Serverspace. Passons à l'onglet de menu de gauche vers les serveurs, après avoir préalablement sélectionné la plateforme cloud et cliCliquez sur le bouton Créer un serveur.
Choisissez la version du système d'exploitation, sélectionnez l'emplacement du serveur, spécifiez le centre de données et click le Bouton de commande. Après cela, la machine sera déployée littéralement dans quelques minutes. Allons sur la machine configurée et entrons dans le Gestionnaire de serveur :
En haut à droite, trouvez Gérer et aller à Ajouter des rôles et des fonctionnalités, alors une fenêtre s'ouvrira où vous devrez trouver BitLocker Drive Encryption dans l' Fonctionnalités: et ajoutez la fonctionnalité, après quoi le serveur redémarrera :
Ouvrez l'Explorateur avec Win + E et sélectionnez le lecteur requis pour le chiffrement et activez BitLocker via le Activer l'élément Bitlocker:
Si votre machine ne dispose pas d'une puce TMP pour le stockage sécurisé des clés, vous verrez un message d'erreur similaire dans lequel vous serez invité à activer l'option permettant de travailler sans TMP, si vous en avez une, puis ignorez cet élément :
Pour ce faire, allons dans les stratégies de groupe et configurons cette fonctionnalité :
Ouvrons la politique par la droite-clicking et allez dans Configuration de la stratégie de groupe -> Configuration informatique - Modèles d'administration - Windows Composants - Bitlocker - Lecteurs du système d'exploitation:
Vérifiez que tous les paramètres de la stratégie correspondent et cliCliquez sur OK pour appliquer les paramètres. Ensuite, retournez dans l'Explorateur avec le Win + E clé combinéenation et activez le cryptage du disque :
Nous utilisons une phrase secrète composée selon la méthode décrite ci-dessus :
BitLocker proposera de sauvegarder les clés de récupération, cette fonction ne peut pas être désactivée. Il existe des options pour enregistrer dans un fichier, sur une clé USB ou pour imprimer :
Une fois qu'un disque est crypté, ses performances peuvent être réduites d'environ 10 %, mais cela augmente la confidentialité des données stockées. BitLocker peut être géré via le panneau, accessible via la recherche standard :
Ainsi, BitLocker est un outil important pour assurer la sécurité des données dans les réseaux d'entreprise modernes, où la protection des informations devient une priorité.
