BitLocker : AES 256, disable SED on SSD

Le chiffrement matériel (bas niveau) utilisé pour sécuriser les disques SSD se révèle avoir de grosses failles de sécurité. Deux chercheurs hollandais ont découvert des failles qui permettraient d’avoir accès aux données sans avoir connaissance du mot de passe utilisateur.
Ce qu’il y a de plus inquiétant. BitLocker utilise la capacité de chiffrement du disque si il la trouve. En effet, la puce de chiffrement optimise les lectures écriture (chiffrement/déchiffrement) par rapport à la même opération logiciellement. Inquiétant ! Comment empêcher BitLocker d’utiliser le SED du disque et augmenter la dureté du chiffrement.

Tout d’abord, cette opération n’est effective que sur un volume non chiffré. Cela implique de désactiver BitLocker au préalable.

Sur un ordinateur qui n’est pas dans un domaine.
On ouvre gpedit.msc avec élévation de privilège.

On va dans :

Configuration Ordinateur => Modèles d'Administration => Composants Windows => Chiffrement de lecteur BitLocker => Choisir la méthode et la puissance de chiffrement des lecteurs (Windows 10 [Version 1511] et ultérieur)

Capture1

On clique sur :

Choisir la méthode et la puissance de chiffrement des lecteurs (Windows 10 [Version 1511] et ultérieur)

Capture2

On sélectionne XTS-AES 256 bits

Capture3

Là, on a augmenté le degré de chiffrement à 256 bits.

Puis on passe à la désactivation du chiffrement en utilisant le SED du disque dur.

On va dans :
Configuration Ordinateur => Modèles d'Administration => Composants Windows => Chiffrement de lecteur BitLocker => lecteur de données fixes => Configurer l'utilisation du chiffrement au niveau matériel pour les lecteurs de données fixes

Capture4

On clique sur :

Configurer l'utilisation du chiffrement au niveau matériel pour les lecteurs de données fixes

Capture5

Là, on désactive.
Capture6

Voilà, c’est fait.

Pour des ordinateur dans un domaine Windows Active Directory. La procédure est la même. Et il ne faut pas oublier que cette opération n’est effective que sur un volume non chiffré. Cela implique de désactiver BitLocker au préalable.

On ouvre l’éditeur de Stratégie de groupe.
On va dans :
Configuration Ordinateur => Modèles d'Administration => Composants Windows => Chiffrement de lecteur BitLocker => Choisir la méthode et la puissance de chiffrement des lecteurs (Windows 10 [Version 1511] et ultérieur)
Capture7

On clique sur :

Choisir la méthode et la puissance de chiffrement des lecteurs (Windows 10 [Version 1511] et ultérieur)
Capture8

On sélectionne XTS-AES 256 bits
Capture9

Là, on a augmenté le degré de chiffrement à 256 bits.

Puis on passe à la désactivation du chiffrement en utilisant le SED du disque dur.

On va dans :
Configuration Ordinateur => Modèles d'Administration => Composants Windows => Chiffrement de lecteur BitLocker => lecteur de données fixes => Configurer l'utilisation du chiffrement au niveau matériel pour les lecteurs de données fixes
Capture9b

On clique sur :

Configurer l'utilisation du chiffrement au niveau matériel pour les lecteurs de données fixes
Capture9c

Là, on désactive.
Capture9d C’est fait. On est un peu plus tranquille. Juste un peu…

Cet article, publié dans Active Directory, AD DS, Chiffrement, Deploiement, privacy, Server 2016, Tips, Windows 10, Windows Server, est tagué , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s