Normalement pour installer BitLocker et chiffrer le contenu d’un poste il faut utiliser une puce TPM. Mais pour diverses raisons vous n’avez pas de puce dans votre ordinateur.
Exemple: la machine virtuelle sous Hyper V.
Nous pouvons donc détourner l’installation de BitLocker en stockant la clé de chiffrement sur une disquette.
Nous utiliserons la procédure suivante:
1) Etape 1: Création de la machine virtuelle avec Windows 7 Ultimate-Enterprise ou Windows Vista
Nous faisons une installation standard à base de “suivant-suivant”
2) Nous ajoutons une disquette à notre ordinateur virtuel
Dans le menu nouveau du gestionnaire Hyper V, nous ajoutons une disquette
Puis nous l’ajoutons à la machine virtuelle dans sa configuration
Ne pas oublier de formater la disquette
3) Etape 3: Nous désactivons le besoin de la Puce TPM par une stratégie de groupe
Nous démarrons gpedit.msc ( en local sur la machine Windows 7) ou gpmc ( si nous avons un domaine mais il faudra alors affecter la stratégie).
Dans la partie Ordinateur de la stratégie
Dans les Administratives templates puis dans Windows Compenents puis dans Bitlocker Drive Encryption et enfin dans operating System Drives
Nous choisissons la stratégie Require Additional authentification at Sartup. Nous activons la stratégie. Et nous sélectionnons l’option Allow Bitlocker Without compatible TPM.
4) Etape 4: Nous ouvrons ensuite une ligne de commande en administrateur sur le poste
Nous utilisons le script fourni par Microsoft manage-bde.wsf si nous sommes en vista mais en Windows 7 nous avons un .exe manage-bde.exe pour procéder au chiffrement du lecteur C: et nous stockons la clé de chiffrement sur le lecteur A: ( notre disquette)
bde veut dire Bitlocker Drive Encryption.
la ligne de commande sur Windows 7 est la suivante:
-on pour activer le chiffrement
C: pour le lecteur à chiffrer
-RecoveryPassword
-RecoveryKey A:
-StartupKey A: pour chiffrer le lecteur de démarrage
manage-bde –on C: –RecoveryPassword –RecoveryKey A: –StartupKey A:
Sur Vista on utilise le script
cscript c:\Windows\System32\manage-bde.wsf -on C: -rp -sk A:
Au reboot de la machine le chiffrement est effectif, vous pouvez vérifier par la commande suivante:
manage-bde –status C:
Si le chiffrement n’est pas actif vous avez celà
Si le chiffrement a commencé vous avez cet écran:
Si vous changer de Vista vers Windows 7 vous pouvez mettre à jour la version du chiffrement par la commande
manage-bde –upgrade c:
Bonjour Stéphane,
Merci beaucoup pour votre participation sur le forum de Microsoft Community et de m’avoir répondu ci-dessus.
Je dois avouer que je suis quelque peu perdu dans un premier temps sur la façon dont je vais pouvoir chiffrer mon disque.
Tout n’est pas clair pour moi à l’instant T 😉
Si jamais je me permettrai de revenir à vous si vous le voulez bien.
Dans tous lescass, merci infiniment pour votre aide 🙂
Meilleures salutations,
{Paddy}
Bonjour,
Je vous remercie pour votre article très intéressant qui devrait m’être d’une grande utilité.
Question : Je possède un seul et unique disque dur sur une machine où se côtoient le système d’exploitation Windows 7 Ultimate et une distribution Linux. L’idée étant de chiffrer tout le disque dur bien entendu, malheureusement, dans “poste de travail”, seule la partition Windows C: apparaît, les partitions Linux, non. Celles-ci sont pourtant reconnues dans “gestion des disques”.
Des suggestions pour chiffrer le disque dans son intégralité ?
D’avance, merci pour vos commentaires.
Cordialement,
{Paddy}
Sources avec captures d’écran : https://answers.microsoft.com/fr-fr/windows/forum/all/impossible-dutiliser-bitlocker-sur-une-machine/be997e8e-513e-4726-a401-ab17f99348db
Bonjour Paddy,
J’ai répondu à votre commentaire sur mon blog. merci JAM3SB de l’avoir mis en référence, ça fait toujours plaisir de voir que cela sert à quelques personnes 🙂
Pour Bitlocker, il faut séparer le fonctionnement en deux:
1) le fonctionnement dit FDE Full Drive Encryption, le chiffrement complet du disque dur
Pour faire celà, il faut un disque SED Self Encrypted Drive ou OPAL , une puce TPM
– on passe le disque en mode sécurisé
– on active le TPM dans le BIOS
– on installe l’OS sur le disque
et voilà
La c’est pas forcement compatible avec Linux, Cf le schéma d’architecture
une petite explication en image ici
2) le chiffrement d’une partition
On chiffre juste la partition de l’OS et des données
Sur un seul disque, pour faire cohabiter Bitlocker et une partition linux ce n’est pas évident.
Il faut je pense commencer par faire deux partitions dans Windows avec le BitLocker Drive Preparation Tool
Bdehdcfg.exe –target default
Ceci permet de séparer la partie systeme et la partie OS
Ensuite un multi-boot propre Linux/Windows
Puis sur linux on chiffre le disque avec un LVM chiffré => LUKS
Stéphane
Bonjour Stéphane,
Est-ce que si je fais un chiffrement distinctement de Win7 suivant votre tuto ci-dessus avec BitLocker et avec LUKS pour la partie Linux cela impactera ma page de de démarrage GRUB ?
Merci pour votre aide et bon week.end.
{Paddy}