Vous feriez mieux d'ajouter Pin Protection à votre configuration Bitlocker

• Catégorie: Conseils Windows

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Bitlocker est une technologie de cryptage populaire de Microsoft qui est utilisée pour protéger les données sur les appareils Windows. Les utilisateurs à domicile et les clients d'entreprise peuvent protéger le système et les données à l'aide de Bitlocker.

Bitlocker fonctionne de manière pratique par défaut, car les utilisateurs n'ont pas besoin de saisir de code PIN ou de mot de passe lors du démarrage, car tout cela est géré automatiquement par le système.

Conseil : consultez notre guide de configuration de Bitlocker sur Windows 10.

La configuration d'une épingle est facultative, mais fortement recommandée, car une histoire récente sur Le blog du groupe Dolos suggérer. L'entreprise a reçu un ordinateur portable d'une organisation configurée avec la pile de sécurité standard de l'organisation. L'ordinateur portable était entièrement crypté avec TPM et Bitlocker, avait un mot de passe BIOS défini, un ordre de démarrage BIOS verrouillé et un démarrage sécurisé utilisé pour empêcher le démarrage des systèmes d'exploitation non signés.

Les chercheurs en sécurité ont découvert que le système démarrait directement sur l'écran de connexion Windows 10 ; cela signifiait que les utilisateurs n'avaient pas à saisir de code PIN ou de mot de passe avant cela, et que la clé était extraite du TPM.

Les chercheurs ont recherché des informations sur la puce TPM et découvert comment elle communique. Bitlocker n'utilise « aucune des fonctionnalités de communication cryptées de la norme TPM 2.0 », ce qui signifie que la communication se fait en texte brut.

L'ordinateur portable a été ouvert et des sondes ont été utilisées pour enregistrer les données pendant le démarrage. L'outil open source h ttps://github.com/FSecureLABS/bitlocker-spi-toolkit a été utilisé pour détecter la clé Bitlocker dans les données ; il a ensuite été utilisé pour décrypter le Solid State Drive de l'ordinateur portable.

Les chercheurs ont réussi à entrer dans le système après avoir démarré son image dans un environnement virtuel. De là, ils ont réussi à se connecter au VPN de l'entreprise.

Atténuation

Bitlocker prend en charge la définition d'une clé d'authentification de pré-démarrage. Si cette clé est définie, elle doit être saisie avant le démarrage du système ; cela fonctionne de la même manière que VeraCrypt et d'autres programmes de cryptage tiers. VeraCrypt affiche un mot de passe et une invite PIM lors du démarrage si le lecteur système est chiffré. Les utilisateurs doivent saisir le mot de passe et le PIM corrects pour que le lecteur soit déchiffré et que le système d'exploitation soit démarré.

Les chercheurs suggèrent que les utilisateurs définissent le code PIN pour protéger le système et ses données.

Authentification de pré-démarrage définie sur TPM avec un protecteur de code PIN (avec un code PIN alphanumérique sophistiqué [pin amélioré] pour aider à l'atténuation anti-martelage du TPM).

Configuration d'un code PIN d'authentification de pré-démarrage Bitlocker

Noter : Bitlocker Drive Encryption est disponible sur Windows 10 Pro et Enterprise. Les appareils domestiques ont un cryptage de lecteur, ce qui est différent. Vous pouvez envisager d'utiliser VeraCrypt à la place pour mieux protéger les données de vos appareils domestiques. Sous Windows 10, vous pouvez vérifier si le déchiffrement de l'appareil est utilisé en ouvrant les paramètres, en recherchant le déchiffrement de l'appareil et en sélectionnant l'option dans les résultats.

1. Ouvrez l'éditeur de stratégie de groupe :
   1. Utilisez le raccourci clavier Windows-R
   2. Tapez gpedit.msc et appuyez sur la touche Entrée.
2. Accédez à Configuration ordinateur > Modèles d'administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d'exploitation en utilisant la structure de dossiers de la barre latérale.
3. Double-cliquez sur Exiger une authentification supplémentaire au démarrage dans le volet principal.
4. Définissez la stratégie sur Activé.
5. Sélectionnez le menu sous « Configurer le code PIN de démarrage TPM » et définissez-le sur « Exiger un code PIN de démarrage avec TPM ».
6. Cliquez sur OK pour enregistrer les modifications que vous venez d'apporter.

Vous avez préparé le système à accepter un code PIN comme méthode d'authentification de pré-démarrage, mais vous n'avez pas encore défini le code PIN.

1. Ouvrez Démarrer.
2. Tapez cmd.exe.
3. Sélectionnez Exécuter en tant qu'administrateur pour lancer une fenêtre d'invite de commande élevée.
4. Exécutez la commande suivante pour définir un code PIN de pré-démarrage : manage-bde -protectors -add C: -TPMAndPIN
5. Vous êtes invité à saisir le code PIN et à le confirmer pour vous assurer qu'il est identique.

Le code PIN est défini et vous serez invité à le saisir au prochain démarrage. Vous pouvez exécuter la commande manage-bde -status pour vérifier l'état.

Maintenant, c'est à votre tour: chiffrez-vous vos disques durs ? (passant par Née )