Installation de BitLocker sur un poste Windows 7 Ultimate-Enterprise ou Windows Vista sans puce TPM (Trusted Platform Module)

Normalement pour installer BitLocker et chiffrer le contenu d’un poste il faut utiliser une puce TPM. Mais pour diverses raisons vous n’avez pas de puce dans votre ordinateur.

Exemple: la machine virtuelle sous Hyper V.

Nous pouvons donc détourner l’installation de BitLocker en stockant la clé de chiffrement sur une disquette.

Nous utiliserons la procédure suivante:

1) Etape 1: Création de la machine virtuelle avec Windows 7 Ultimate-Enterprise ou Windows Vista

Nous faisons une installation standard à base de “suivant-suivant”

2) Nous ajoutons une disquette à notre ordinateur virtuel

Ajout de disquette

Dans le menu nouveau du gestionnaire Hyper V, nous ajoutons une disquette

Disquette BitLocker

Puis nous l’ajoutons à la machine virtuelle dans sa configuration

Paramètres machine virtuelle

Ne pas oublier de formater la disquette

3) Etape 3: Nous désactivons le besoin de la Puce TPM par une stratégie de groupe

Nous démarrons  gpedit.msc ( en local sur la machine Windows 7) ou gpmc ( si nous avons un domaine mais il faudra alors affecter la stratégie).

Dans la partie Ordinateur de la stratégie

Dans les Administratives templates puis dans Windows Compenents puis dans Bitlocker Drive Encryption et enfin dans operating System Drives

GPO BitLocker sans TPM

Nous choisissons la stratégie Require Additional authentification at Sartup. Nous activons la stratégie. Et nous sélectionnons l’option Allow Bitlocker Without compatible TPM.

Allow Bitlocker Without TPM

4) Etape 4: Nous ouvrons ensuite une ligne de commande en administrateur sur le poste

Nous utilisons le script fourni par Microsoft manage-bde.wsf si nous sommes en vista mais en Windows 7 nous avons un .exe manage-bde.exe pour procéder au chiffrement du lecteur C: et nous stockons la clé de chiffrement sur le lecteur A: ( notre disquette)

bde veut dire Bitlocker Drive Encryption.

Manage Bitlocker manage-bde

la ligne de commande sur Windows 7 est la suivante:

-on pour activer le chiffrement

C: pour le lecteur à chiffrer

-RecoveryPassword

-RecoveryKey A:

-StartupKey A: pour chiffrer le lecteur de démarrage

manage-bde –on C: –RecoveryPassword –RecoveryKey A: –StartupKey A:

Sur Vista on utilise le script

cscript c:\Windows\System32\manage-bde.wsf -on C: -rp -sk A:

Au reboot de la machine le chiffrement est effectif, vous pouvez vérifier par la commande suivante:

manage-bde –status C: 

Si le chiffrement n’est pas actif vous avez celà

Chiffrement inactif

Si le chiffrement a commencé vous avez cet écran:

BitLocker Encryption en cours

Si vous changer de Vista vers Windows 7 vous pouvez mettre à jour la version du chiffrement par la commande

manage-bde –upgrade c:

IPv6 – Installation poste client Windows 7 IPv6 pur

Pour commencer notre atelier IPv6, débutons par configurer un poste Windows 7 en Full IPv6

Pour vérifier que seul l’IPv6 est utilisé, installons préalablement Wireshark pour capturer toutes les trames qui partent de la machine

1) couper IPv4

netsh interface ipv4 uninstall

2) activer IPv6

netsh interface ipv6 install

3) couper le protocole pour les tunnels Teredo

netsh interface teredo set state disable

4) couper le protocole isatap

netsh interface isatap set state disable

5) couper la autoconfiguration par les annonces des routeurs

<br>netsh interface ipv6 set interface 10 routerdiscovery=disabled<br>

<br>netsh interface ipv6 set privacy state=disabled store=active<br>netsh interface ipv6 set privacy state=disabled store=persistent<br>netsh interface ipv6 set global randomizeidentifiers=disabled store=active<br>netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent<br>

 

Ensuite deux possibilités soit une adresse en manuel soit en DHCPv6.

Pour mon atelier ce sera DHCPv6.