Disques durs chiffrés
Vue d'ensemble
Les disques durs chiffrés sont une classe de disques durs qui sont autochiffrés au niveau du matériel et permettent un chiffrement matériel de disque complet tout en étant transparent pour l’utilisateur. Ces lecteurs combinent les avantages de sécurité et de gestion fournis par Chiffrement de lecteur BitLocker avec la puissance des lecteurs de chiffrement automatique.
En déchargeant les opérations de chiffrement sur le matériel, les disques durs chiffrés augmentent les performances de BitLocker et réduisent l’utilisation du processeur et la consommation d’énergie. Étant donné que les disques durs chiffrés chiffrent rapidement les données, le déploiement de BitLocker peut être étendu sur les appareils d’entreprise, avec peu ou pas d’impact sur la productivité.
Les disques durs chiffrés fournissent :
- Meilleures performances : le matériel de chiffrement, intégré au contrôleur de lecteur, permet au lecteur de fonctionner à un débit de données complet sans dégradation des performances
- Sécurité renforcée basée sur le matériel : le chiffrement est toujours activé et les clés de chiffrement ne quittent jamais le disque dur. L’authentification utilisateur est effectuée par le lecteur avant son déverrouillage, indépendamment du système d’exploitation
- Facilité d’utilisation : le chiffrement est transparent pour l’utilisateur et il n’a pas besoin de l’activer. Les disques durs chiffrés sont facilement effacés à l’aide de la clé de chiffrement embarquée ; il n’est pas nécessaire de chiffrer à nouveau les données sur le lecteur
- Coût de possession réduit : il n’est pas nécessaire d’utiliser une nouvelle infrastructure pour gérer les clés de chiffrement, car BitLocker utilise votre infrastructure existante pour stocker les informations de récupération. Votre appareil fonctionne plus efficacement, car les cycles de processeur n’ont pas besoin d’être utilisés pour le processus de chiffrement
Les disques durs chiffrés sont pris en charge en mode natif dans le système d’exploitation via les mécanismes suivants :
- Identification : le système d’exploitation identifie que le lecteur est un type de périphérique de disque dur chiffré
- Activation : l’utilitaire de gestion des disques du système d’exploitation active, crée et mappe les volumes aux plages/bandes, le cas échéant.
- Configuration : le système d’exploitation crée et mappe des volumes aux plages/bandes appropriées
- API : prise en charge de l’API pour les applications permettant de gérer des disques durs chiffrés indépendamment du chiffrement de lecteur BitLocker
- Prise en charge de BitLocker : l’intégration à l’Panneau de configuration BitLocker offre une expérience utilisateur BitLocker transparente
Warning
Les disques durs à chiffrement automatique et les disques durs chiffrés pour Windows ne sont pas du même type d’appareils :
- les disques durs chiffrés pour Windows nécessitent la conformité pour des protocoles TCG spécifiques ainsi que la conformité IEEE 1667
- les disques durs à chiffrement automatique n’ont pas ces exigences
Il est important de vérifier que le type d’appareil est un disque dur chiffré pour Windows lors de la planification du déploiement.
Lorsque le système d’exploitation identifie un disque dur chiffré, il active le mode de sécurité. Cette activation permet au contrôleur de lecteur de générer une clé multimédia pour chaque volume créé par l’ordinateur hôte. La clé multimédia, qui n’est jamais exposée en dehors du disque, est utilisée pour chiffrer ou déchiffrer rapidement chaque octet de données envoyées ou reçues du disque.
Si vous êtes un fournisseur d’appareils de stockage qui recherche plus d’informations sur la façon d’implémenter un disque dur chiffré, consultez le guide de l’appareil de disque dur chiffré.
Configuration système
Pour utiliser des disques durs chiffrés, la configuration requise suivante s’applique :
Pour un disque dur chiffré utilisé comme lecteur de données :
- Le lecteur doit être dans un état non initialisé
- Le lecteur doit être dans un état de sécurité inactif
Pour un disque dur chiffré utilisé comme lecteur de démarrage :
- Le lecteur doit être dans un état non initialisé
- Le lecteur doit être dans un état de sécurité inactif
- L’ordinateur doit être basé sur UEFI 2.3.1 et avoir défini
EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL
. Ce protocole est utilisé pour permettre aux programmes exécutés dans l’environnement des services de démarrage EFI d’envoyer des commandes de protocole de sécurité au lecteur - Le module de prise en charge de la compatibilité (CSM) doit être désactivé sur l’ordinateur dans UEFI
- L’ordinateur doit toujours démarrer en mode natif à partir d’UEFI
Warning
Tous les disques durs chiffrés doivent être attachés à des contrôleurs non RAID pour fonctionner correctement.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge le disque dur chiffré :
Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
---|---|---|---|
Oui | Oui | Oui | Oui |
Les droits de licence de disque dur chiffré sont accordés par les licences suivantes :
Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
---|---|---|---|---|
Oui | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Configurer des disques durs chiffrés comme lecteurs de démarrage
Pour configurer des disques durs chiffrés en tant que lecteurs de démarrage, utilisez les mêmes méthodes que les disques durs standard :
- Déployer à partir d’un support : la configuration des disques durs chiffrés s’effectue automatiquement via le processus d’installation
- Déployer à partir du réseau : cette méthode de déploiement implique le démarrage d’un environnement Windows PE et l’utilisation d’outils de création d’images pour appliquer une image Windows à partir d’un partage réseau. Avec cette méthode, le composant facultatif Stockage amélioré doit être inclus dans l’image Windows PE. Activez ce composant à l’aide de Gestionnaire de serveur, de Windows PowerShell ou de l’outil en ligne de commande DISM. Si le composant n’est pas présent, la configuration des disques durs chiffrés ne fonctionne pas
-
Déployer à partir du serveur : cette méthode de déploiement implique le démarrage PXE d’un client avec des disques durs chiffrés présents. La configuration des disques durs chiffrés se produit automatiquement dans cet environnement lorsque le composant Stockage amélioré est ajouté à l’image de démarrage PXE. Pendant le déploiement, le paramètre TCGSecurityActivationDisabled dans
unattend.xml
contrôle le comportement de chiffrement des disques durs chiffrés - Duplication de disque : cette méthode de déploiement implique l’utilisation d’un appareil et d’outils de duplication de disque précédemment configurés pour appliquer une image Windows à un disque dur chiffré. Les images réalisées à l’aide de duplicateurs de disque ne fonctionnent pas
Configurer le chiffrement basé sur le matériel avec les paramètres de stratégie
Il existe trois paramètres de stratégie pour gérer la façon dont BitLocker utilise le chiffrement basé sur le matériel et les algorithmes de chiffrement à utiliser. Si ces paramètres ne sont pas configurés ou désactivés sur les systèmes équipés de lecteurs chiffrés, BitLocker utilise le chiffrement logiciel :
- Configurer l’utilisation du chiffrement matériel pour les lecteurs de données fixes
- Configurer l’utilisation du chiffrement matériel pour les lecteurs de données amovibles
- Configurer l’utilisation du chiffrement matériel pour les lecteurs de système d’exploitation
Architecture de disque dur chiffré
Les disques durs chiffrés utilisent deux clés de chiffrement sur l’appareil pour contrôler le verrouillage et le déverrouillage des données sur le lecteur. Ces clés de chiffrement sont la clé de chiffrement des données (DEK) et la clé d’authentification (AK) :
- La clé de chiffrement des données est utilisée pour chiffrer toutes les données sur le lecteur. Le lecteur génère la clé DEK et ne quitte jamais l’appareil. Il est stocké dans un format chiffré à un emplacement aléatoire sur le lecteur. Si la clé DEK est modifiée ou effacée, les données chiffrées à l’aide de la clé DEK sont irrécupérables.
- AK est la clé utilisée pour déverrouiller les données sur le lecteur. Un hachage de la clé est stocké sur le lecteur et nécessite une confirmation pour déchiffrer la clé DEK
Lorsqu’un appareil doté d’un disque dur chiffré est hors tension, le lecteur se verrouille automatiquement. Lorsqu’un appareil s’allume, l’appareil reste verrouillé et n’est déverrouillé qu’une fois que l’AK a déchiffré la clé DEK. Une fois que l’AK a déchiffré la clé DEK, des opérations de lecture-écriture peuvent avoir lieu sur l’appareil.
Lorsque les données sont écrites sur le lecteur, elles passent par un moteur de chiffrement avant la fin de l’opération d’écriture. De même, la lecture des données à partir du lecteur nécessite que le moteur de chiffrement déchiffre les données avant de les transmettre à l’utilisateur. Si ak doit être modifié ou effacé, les données sur le lecteur n’ont pas besoin d’être rechiffrées. Une nouvelle clé d’authentification doit être créée et elle rechiffre la clé DEK. Une fois l’opération terminée, la clé DEK peut maintenant être déverrouillée à l’aide de la nouvelle ak, et les lectures-écritures sur le volume peuvent continuer.
Reconfigurer les disques durs chiffrés
De nombreux périphériques de disque dur chiffrés sont préconfigurés pour être utilisés. Si la reconfiguration du lecteur est nécessaire, utilisez la procédure suivante après avoir supprimé tous les volumes disponibles et rétabli le lecteur à un état non initialisé :
- Ouvrir La gestion des disques (
diskmgmt.msc
) - Initialisez le disque et sélectionnez le style de partition approprié (MBR ou GPT)
- Créez un ou plusieurs volumes sur le disque.
- Utilisez l’Assistant Installation de BitLocker pour activer BitLocker sur le volume.