Bonjour,

J'ai découvert les biens faits de BitLocker dernièrement, et je dois dire que c'est assez addictif.

Pré-requis : Windows Pro et supérieur

N'ayant pas trouver de topic unique, je le crée donc pour essayer d'amasser les connaissances et retours d'utilisation (comme les flop avec ceux qui égarent mdp et clé de récup')

Donc voila, je commence par des bench :

On a donc un BitLocker en 256b (24 caractères ascii) contre rien.
(GPT/ntfs dans les deux cas)
On voit qu'il n'y a quasiment aucun impact...

Pour les paramètres de sécurité maximum :

slt
pour ceux qui veulent plus de détails
https://www.it-connect.fr/windows-1 [...] bitlocker/

Attention, dans son tuto, il indique de sélectionner tout le lecteur, ce qui est très long, voir inutile : il va chiffrer l'espace libre de façon à ce qu'il se soit passé sur le disque auparavant soit non récupérable... donc à moins d'y avoir supprimé des infos ultra sensibles, la sélection de "ne chiffré que l'espace disque utilisé" suffira : le donnés chiffrées supprimée resteront chiffrées si elles sont récupérées.

Petit astuce :
Bitlocker ne peut pas être activé sur des disque en raid 1 (et d'autres) s'il est géré par un processus windows (appelé raid logiciel).
 
La technique consiste donc à créer votre Raid, et de créer ensuite un disque virtuel dedans (vhd, vhdx, ...).
Ce volume virtuel pourra quand à lui être sécurisé par Bitlocker.

C'est logique mais ça va mieux en le disant.
 

Drap'

Sur une tablette surface, j'ai ce message :
 

 
Normalement la clé est dans la puce TPM, il ne devrait pas me demander de la renseigner ?

J'aurais la main demain matin sur le poste.
Et il semble bien qu'il s'affiche tout le temps au redémarrage.

Il y a peut être eu une maj de Windows qui incluait un firmware, cela pourrait venir de là.

c'est qu'il n'y a pas de module tpm (actif) ou qu'elle a été remise à zéro (reset bios)

Il y a un TPM dans toutes les surface, depuis la 1.
 

il est donc désactivé je pense

un collègue me dit que c'est peut-être l'usb type C à désactiver sur la surface.
Je vais tester cela demain.

non pas obligé,
c'est juste que la configuration actuelle est différente de celle attendue (setting bios, version bios, périphérique d'amorçage branché, bootloader modifié etc.)

tu as une clé dans la TPM, mais tu peux avoir des clés de secours (comme la recovery key qu'on te demande là)

L'utilisatrice me dit qu'elle n'a pas configuré bitlocker, qu'elle n'a pas de code, ni de clé USB.
Elle n'a pas de compte Microsoft où l'on pourrait retrouver la clé.
J'ai regardé les gpo, je n'ai pas vu de bitlocker.

sur les surface tu as device encryption qui est en gros bitlocker non managé qui se lance.
Elle a je pense un compte ms, vu que c'est la condition pour qu'il se lance
https://superuser.com/questions/132 [...] covery-key

même si le bios change, le tpm s'en fou... il ne sert que pour la sécurité.
Le boot secure, lui par contre...

non il s'en fou pas, c'est fait pour ça ...
Chaque configuration a une signature stockée dans les PCR de la TPM et lors du boot sont évalués, comparé et si la signature diffère la clé de chiffrement n'est pas relachée donc pas de boot. C'est le principe de base.
 
https://docs.microsoft.com/en-us/wi [...] -0-devices
 
Et une liste de PCR : https://link.springer.com/chapter/1 [...] -6584-9_12
 
Et c'est pour ça que qd tu mets à jour ton BIOS on te demande de suspendre bitlocker ou que lors de l'upgrade de windows (1803/1809 par exemple), windows suspend bitlocker le temps de la maj vu que les fichiers du bootloader sont modifier ...

Pour revenir sur mon problème, c'était bien une mise à jour qui avait modifié des paramètres du firmware et qui bloquait le démarrage.

Je souhaiterais activer Bitlocker sur mes disques.

Pas de puce TPM sur ma CM, mais un port TPM :

Fatal1ty X370 Gaming X
https://www.asrock.com/mb/AMD/Fatal [...] cification

Je peux acheter n'importe quel module TPM et c'est bon ?

(jamais utilisé ce genre de puce, soit c'est intégré sur mes PCs (Thinkpad ou matos pro ...) .

Genre ça ? https://www.ldlc.com/fiche/PB00357340.html

Auto réponse, si quelqu'un est dans le même cas :  
http://forum.asrock.com/forum_post [...] tpm-option
 
Le Ryzen intègre lui même une puce TPM, il faut juste l'activer dans l'uefi
 
Bon par contre de ce que je comprends mon disque a été partitionné en MBR, donc pas de Secure boot, pas de bitlocker avec le TPM ...

pas sur que mbr empêche bitlock pour moi

aucun rapport même

 
J'ai ce message ... Que dois je en comprendre ?  

qu'il y a plein de choses à regarder
 
l'event log de bitlocker donne peut être qq infos, regarde aussi les options du bios configurées, l'état de la tpm dans windows, tes partitions etc.

Si tu tapes tpm.msc déjà, dans le menu démarrer, as-tu le tpm correctement détecté?

edit : quoique... :
https://docs.microsoft.com/en-us/tr [...] ctionality

En mode legacy (qui fonctionne donc avec disque MBR), il semblerait que les TPM 2.0 refusent le fonctionnement...

EDIT : Et puis bon, UEFI c'est depuis 10ans hein
Faut pas pousser mémé dans les orties...

Passe en UEFI/GPT
Désactive CSM/legacy
Active secure boot au passage (ça t'évitera les rootkit)
Et roulez

J'ai une puce TPM 2.0 et Windows 10 Pro sur mon ordinateur portable. Sachant que je n'ai pas de données sensibles (à la rigueur les mots de passe sauvegardés par mon navigateur web), vous trouvez que c'est quand même intéressant d'activer BitLocker sur mes deux partitions (C et D)?

Oui, en 128bit.
 
Ne serait-ce que pour une hypothétique revente.
Ca t'offre une première expérience.
Ca te protège aussi contre les rootkit (puisqu'ils verront une partition chiffrée et que le TPM refusera la transmission de la clé en théorie).
 
Par contre, à utiliser avec un compte Windows de préférence, pour sauvegarder la clé dans ton compte MS

ok, merci. Du coup alors je vais chiffrer en tout cas la partition C où j'ai mes programmes et mes documents. Si je chiffre la partition D il faut que j'introduise un code à chaque fois que j'accède aux fichiers contenus en D.

Non si c est chiffré

Bizarre. Après la dernière MAJ de Windows, de la semaine dernière, j'allume ma SGo et l'écran d'accueil me demande mon code Bitlocker pour le disque C:, avec l'option de continuer en bas de la fenêtre.  
Jamais configuré BL sur ce portable, donc j'ai cliqué sur Continuer et j'ai pu démarrer normalement.
En allant dans la configuration de BL, j'ai vu qu'il était bien activé pourtant. La partition D:, système, est gérée par BL...

BL est activé sur toutes les surfaces par défaut.

Mais avec quel password alors?
et que sur la partition système donc?

sans password

Probablement, mais il suffit de regarder si tu as un cadenas sur la partition

Tu peux ajouter un password si tu veux*. J'ai mon script au boulot pour le coup qui le fait sur les partitions système :
manage-bde -protectors %drive%: -add -RecoveryPassword

Où %drive%" est la variable de la lettre de ton disque. Pour le disque C: :
manage-bde -protectors C: -add -RecoveryPassword

Si tu veux récupérer un fichier .txt avec la clé (sinon faut la récupérer dans la console aussi à l'ancienne), où %loc% est la variable du dossier où tu veux la mettre, et %drive% la lettre du lecteur :
powershell (Get-BitLockerVolume -MountPoint %drive%).KeyProtector > "%loc%\macleBL.txt"

Pour mettre à la racine du "C:" :
powershell (Get-BitLockerVolume -MountPoint C).KeyProtector > "C:\macleBL.txt"

(si tu exécutes dans une powershell, ne mets pas "powershell" au début de la ligne : c'est dans une CMD qu'on le met)

Pour ajouter un mdp personnalisé : (il demandera deux fois le mot de passe après avoir entré la commande)
manage-bde -protectors %drive%: -add -password

Donc pour le c: :
manage-bde -protectors c: -add -password

A taper dans une cmd en admin ou powershell admin.

*Possible que ça ne fonctionne pas sur surface car plus proche de la version familiale que la version pro (bitlocker est dispo pour pro et supérieur)

Et pour les autres sous domaine, si vous voulez ajouter un groupe ou compte AD, vous avez ça :
manage-bde -protectors -add %drive%: -adaccountorgroup %NomAD%
(A condition d'avoir un poste sous domaine, et que le compte qui lance la CMD puisse lire l'AD il me semble, puisque l'autorisation sera donnée au "SID" je pense...)

 
sur la partition système il y a un cadenas gris donc il ne demande pas le code, sur la partition D il y a un cadenas doré au démarrage mais à partir du moment où on introduit le code il devient gris et plus besoin d'introduire de code jusqu'au prochain redémarrage de l'ordinateur.

Si le C: (système) est chiffré, il n'y a pas besoin de mdp car windows "aura le droit" de le retenir automatiquement, sans demande de mot de passe.
 
Dans ton cas, quand tu entres le mdp, appuies sur les options supplémentaires, et coche la case "retenir le mdp"...

Ok merci. J'ai modifié les paramètres d'origine et sélectionné l'accès automatique sur mon pc et du coup ça fonctionne maintenant.
 
Je le fais car c'est là mais je me demande l'utilité sur un pc perso sans rien de sensible, surtout que je vois mal quelqu'un démonter mon pc pour essayer de récupérer mon SSD. J'espère que je ne serais pas emmerdé quand dans 10 ans le pc va planter et que je devrais démonter le SSD pour essayer de récupérer les photos de mes dernières vacances  

As-tu connecté un compte microsoft à ton pc?
Si oui, tu avais la possibilité d'enregistrer la clé sur ton compte, et tu la retrouveras ici :
https://account.microsoft.com/devic [...] rosoft.com
 
Si non, tu peux toujours connecter ton compte et refaire l'enregistrement je pense (Sur une version pro c'est sûr)