Activer Bitlocker avec un SSD Samsung 840 EVO sans devoir perdre win10 - Sécurité - Windows & Software
Marsh Posté le 09-02-2018 à 02:50:07
Bitlocker c'est bitlocker et samsung Magician c'est samsung Magician.
Ce sont deux produits différents, et concurrents, l'un fourni par ton Os, et l'autre par le fabriquant de ton SSD. Tu n'as pas besoin d'activer l'un pour utiliser l'autre.
Bitlocker fait ce que tu demandes, il n'y a aucun besoin de reinstaller quoique ce soit quand on l'active.
Marsh Posté le 09-02-2018 à 11:18:08
Je raconte peut-être des conneries mais il me semble que l'on est obligé d'activer "encripted drive" pour faire fonctionner Bitlocker. C'est indiqué partout sur internet, même sur le site de Samsung. De plus, j'ai activé Bitlocker (avec chiffrage du DD système) sans avoir activé encripted drive et résultat des courses : c'est comme si je n'avais rien fait. Pas de mot de passe demandé au démarrage du PC.
Mais comme tu as l'air de vraiment t'y connaitre, je suis prêt à t'écouter !
Marsh Posté le 09-02-2018 à 11:23:48
Now the steps to enable eDrive on Windows for a Samsung EVO 840, EVO 850 or PRO 850 are as follows:
Download and install the Samsung Magician software, which can be found here: http://www.samsung.com/samsungssd/
After it’s installed, run it and click “Data Security” at the bottom of the left-hand menu.
Here you’ll have to select the drive in question in a dropdown at the top and afterwards click the “Enable” button under “Encrypted Drive”
Repeat step 3 for all drives you need to encrypt.
Now you’ll need to do a “Secure Erase” on all the SSD drives you want to encrypt, click “Secure Erase” in the left-hand menu.
Note: this completely erases the SSD – make sure you have backup of everything you need.
You’ll likely be asked to create a bootable CD or USB stick here, so follow the instructions to do so.
Then reboot the PC and enter UEFI (commonly known as BIOS) and ensure the SATA ports are all configured as AHCI. (RAID is thus not an option with hardware encryption)
After checking this, boot the PC using the CD or USB stick you just created.
If once booted the text looks like gibberish, press the ESCAPE key on your keyboard and enter “segui0 /2” and press enter – the “0” is a zero, not the letter O. this should make the text read fine. If it however doesn’t, press the ESCAPE key again, and try with “segui0 /s” – thanks to Tom Jeanne for this tip.
Follow the instructions in the tool to do a secure erase of each drive – the tool will probably say the drive is frozen and you have to unplug the power to the drive and reconnect it. If it says this, you’ll have to unplug the power (NOT THE SATA CABLE) from your SSD with the PC still running, and reconnecting it again after 5 seconds.
If you’re on a laptop, it’s okay to remove both the SATA cable and the power cable at once, if they’re in a single connector. (Thanks to Tim Armitage for this tip)
If you’re on a laptop and the tool refuses to do a secure erase (for instance by rebooting automatically when plugging the drive back in), you can check if the manufacturer of your laptop has a secure erase tool themselves. This was for the case for commentator Patrick Plank who owns a Lenovo laptop. (Thanks to Patrick Plank for this tip)
Now the tool should complete the secure erase and if you have more SSDs it’ll now ask about the next one, repeat until all the SSDs you want encrypted have been erased. Do notice the secure erase is done very quickly, do not be alarmed by this – it’s perfectly normal.
Reboot the PC and install Windows 8 as normal.
To ensure you’ve installed in UEFI mode, run msinfo32 and look for “BIOS Mode” in the right-hand part of the window. If it says UEFI you’re ready to continue, and if it says legacy, you need to check your UEFI settings as somethings is forcing it into BIOS emulation mode. The most likely cause is that CSM is still enabled in UEFI. If this happens refer to my article on enabling UEFI mode here: Making Windows run in UEFI mode with Secure Boot
Once Windows is properly installed you’ll most likely need to change some settings to allow Bitlocker to work with a password instead of a TPM module. You can skip these steps if you do have a TPM module, but normally you don’t.
To enable Bitlocker to use a password run gpedit.msc
Navigate to “Computer Configuration” -> “Administrative Templates” -> “Windows Components” -> “Bitlocker Drive Encryption” -> “Operating System Drives”
Double-click “Require additional authentication at startup”. NOTE: There are 2 very similar settings, the other one being named “Require additional authentication at startup (Windows Server 2008 and Windows Vista)”. You want the one with the shorter name.
Set this to “Enabled” and click “OK” – reboot if Windows asks you to.
Now Bitlocker can use a password which you’ll have to enter before Windows boots.
Navigate to “Computer” and right-click your C drive (or whichever drive you want to encrypt) and click “Turn on Bitlocker”
Bitlocker will ask how you want to unlock the drive – click “Enter a password”
Enter whatever password you’d like to use, make sure you can remember it ^^
Next Bitlocker asks how to store the recovery key. Personally I prefer to store it on my Microsoft account, but feel free to pick what you’re most comfortable with. Make sure you keep the recovery key safe though, if either you forget the password or Bitlocker somehow screws up you will need the recovery key.
Finally Bitlocker will ask to run a system check to ensure everything is in order, make sure the checkmark is set and click “Continue”.
Note: If you get an error message around this time saying “Parameter is incorrect”. OR if you cannot get the PC to boot past the Bitlocker screen, make sure you’ve done a complete Windows Update before enabling Bitlocker. Thanks to commentator Alex for this tip.
After Windows is rebooted Bitlocker may open automatically and tell you the result of the system check. Assuming everything went well it should now ask if you’re ready to encrypt. NOTE: Sometimes it just enables encryption immediately and doesn’t open Bitlocker at all after reboot. You can tell whether your drive is encrypted, by opening “Computer” and looking for the small lock icon on your drive. Or you can run “manage-bde -status C:” from an elevated command prompt. (Thanks to Tim Armitage for pointing this out)
If Bitlocker asks how much of the drive you want to encrypt, STOP! In this case it is using software encryption, not hardware encryption. This is not what you want. In case this happens, make sure that:
You’re running Windows in UEFI mode – run msinfo32 and check “BIOS mode” as described in step 13.
You’ve run the secure erase on your SSD AFTER enabling Encryption using Samsung Magician
If you are in UEFI mode and did the secure erase everything points to your motherboard being the culprit – most likely it doesn’t properly support UEFI 2.3.1 or the EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. In this case you can either go with software encryption which will cause a performance overhead, or purchase a new motherboard
http://www.ckode.dk/desktop-machin [...] nt-page-1/
Marsh Posté le 09-02-2018 à 11:33:01
Bloodyjustice a écrit : Je raconte peut-être des conneries |
Oui, je confirme.
Bloodyjustice a écrit : C'est indiqué partout sur internet, même sur le site de Samsung. |
Je ne sais pas ce qui est 'partout sur internet', mais le site de samsung forcément, ils vont pas t'expliquer que windows gere ça tout seul, ça irait a l'encontre du business.
Bloodyjustice a écrit : De plus, j'ai activé Bitlocker (avec chiffrage du DD système) sans avoir activé encripted drive et résultat des courses : c'est comme si je n'avais rien fait. Pas de mot de passe demandé au démarrage du PC. |
Ben oui, c'est l'idée, c'est pour ça que dans l'autre topic j'explique que BL est bien plus pratique que VC.
Windows a enregistré la clé de déverrouillage dans le TPM, c'est une puce sur ta carte mère, ça permet justement de ne pas avoir a taper le mot de passe a l'allumage.
Par contre si tu extrait ton disque pour le brancher ailleurs (ou que tu tentes les forcing avec un cd linux par exemple) , tu constateras que tu ne peux pas y accéder sans la clé de chiffrement, celle qui t'a été demandé de sauver.
Apres ça implique d'avoir quand même un mot de passe sur ta session. Si tu as bricolé windows comme le font certains pour se logger automatiquement sans mot de passe sur la session, effectivement tu annules l'intérêt de bitlocker.
Si tu veux vraiment avoir un mot de passe au boot tu peux le rajouter dans les option BL, mais ça n'a vraiment aucun intérêt quand on a un TPM. (et autre chose que 1234 comme mot de passe de session).
Marsh Posté le 09-02-2018 à 11:39:50
Mais du coup, où se trouve l'accélération hardware ?
Sur la carte mère ?
Si je ne passe pas par le disque dur pour la protection, mon système va t il être plus lent ?
Je suis dans le flou total...
Si des types arrivent à aller jusqu'à l'écran de log win, n'y a t il pas moyen qu'ils arrivent à sniffer mon mot de passe ou la clé de codage via la RAM ou autre ?
Marsh Posté le 09-02-2018 à 11:42:49
Bloodyjustice a écrit : Mais du coup, où se trouve l'accélération hardware ? |
Dans les instructions du proc.
Tous les cpu > coreduo ont les instructions pour gerer ça.
Bloodyjustice a écrit :
|
Je vais pas mentir et dire non, mais c'est invisible sorti des benchmarks.
La preuve, tu n'as vu aucune différence.
Effectivement, la procédure au dessus explique comment activer le chiffrement géré nativement par le disque. Tu y gagneras un peu de perfs (et encore, invisible sans benchmark, surtout sur un SSD), mais tu vas grandement compliquer ton utilisation.
A moins de ne pas pouvoir vivre en sachant que tu as perdu un quart de microseconde lors de la copie de fichiers, ça n'a pas vraiment d'interet.
Bloodyjustice a écrit : Si des types arrivent à aller jusqu'à l'écran de log win, n'y a t il pas moyen qu'ils arrivent à sniffer mon mot de passe ou la clé de codage via la RAM ou autre ? |
Comme dit dans l'autre topic, a moins que ton mot de passe soit 1234 ou qu'il y ait un compte admin sans mot de passe sur cette becane en plus du tien :non.
Marsh Posté le 09-02-2018 à 12:01:42
flash_gordon a écrit : |
A choisir, je préfère faire sauter le mot de passe session et avoir un mot de passe BL.
Parce que cracker un mot de passe session, c'est fastoche, mais cracker un mot de passe BL, c'est déjà beaucouppppp plus compliqué (pour ne pas dire impossible)
A moins que BL empêche le crackage de mot de passe session?
Marsh Posté le 09-02-2018 à 12:08:58
leroimerlinbis a écrit :
|
Ben oui justement.
Comment tu fais pour faire peter un mdp windows ?
Avec un cd linux ? Sauf que le cd linux il va se retrouver devant la partition chiffrée.
Il n'y a que le boot windows qui saura acceder au tpm pour lire la clé. Tout accès détourné se heurtera au chiffrement.
Craquer un mdp windows est fastoche uniquement quand la partition n'est pas chiffrée. Sous BL tout change. C'est pour ça que je n'arrête pas mon prosélytisme BL dans le topic windows en expliquant que tous mes disques systemes sont en FDE.
Marsh Posté le 09-02-2018 à 12:11:12
Beaucoup de méthodes de crackage s'appuie sur le fait que tu as un accès aux données du disque. L'autre jour, sur un contrôleur de domaine AD, le mot de passe administrateur a été perdu. 2/3 manips plus tard, je l'avais réinitialisé et je pouvais rentrer sur le serveur parce que le disque n'était pas chiffré.
A partir du moment où tu as un accès physique à une machine, il est facile de rentrer dedans ou a minima d'en récupérer les données...à moins de chiffrer le disque, ce qui est l'intérêt de la chose.
Le mot de passe de session ne remplace pas le chiffrement de disque, et inversement. 2 sont deux mesures de sécurité qui agissent à des niveaux différents, et qui peuvent être complémentaires.
Edit: grillé par flash évidemment
Marsh Posté le 09-02-2018 à 12:15:38
flash_gordon a écrit : |
ahhhhh ok!
understood!
Marsh Posté le 09-02-2018 à 12:30:37
Voila.
Oui un mot de passe de session sans BL, c'est useless.
Oui BL sans mot de passe de session, c'est useless.
Mais les deux ensemble c'est extremement robuste tout en etant 100% transparent et n'impliquant aucun changement dans l'utilisation de l'ordi (la preuve en est l'auteur du topic qui sans explication ne voit pas de difference avant/apres).
C'est pour ça que ce n'est pas de la parano quand je dis que j'ai chiffré tous mes disques système. C'est simplement ce qui devrait etre par defaut a mon sens.
Marsh Posté le 09-02-2018 à 12:49:57
flash_gordon a écrit : Voila. Mais les deux ensemble c'est extremement robuste tout en etant 100% transparent et n'impliquant aucun changement dans l'utilisation de l'ordi (la preuve en est l'auteur du topic qui sans explication ne voit pas de difference avant/apres). C'est pour ça que ce n'est pas de la parano quand je dis que j'ai chiffré tous mes disques système. C'est simplement ce qui devrait etre par defaut a mon sens. |
C'est clair que pour une machine avec des données confidentielles, c'est l'arme ultime
Marsh Posté le 09-02-2018 à 13:26:18
Citation : Effectivement, la procédure au dessus explique comment activer le chiffrement géré nativement par le disque. Tu y gagneras un peu de perfs (et encore, invisible sans benchmark, surtout sur un SSD), mais tu vas grandement compliquer ton utilisation. |
Mais ça n'aura aucun lien avec Bitlocker ? Si ça a un lien, il prend le relai du micro processeur ?
Citation : Tu y gagneras un peu de perfs (et encore, invisible sans benchmark, surtout sur un SSD), mais tu vas grandement compliquer ton utilisation. |
Pourquoi ?
Citation : Oui BL sans mot de passe de session, c'est useless. |
Mais si on doit rentrer un mot de passe BL c'est toujours aussi useless ?
Donc, pas de soucis à avoir vis à vis de la peur de se faire cracker si on laisse notre pc en veille, mais avec Bitlocker activé sur le système + demande de mot de passe uniquement au log de windows ?
En gros, si je comprends bien, l'état dans lequel s'était retrouvé mon système était parfait ?
Marsh Posté le 09-02-2018 à 13:30:26
Donc si je comprends bien, si notre disque système est sous bitlocker, il n'est pas possible de faire du brutforce pour découvrir notre mot de passe de session Windows (car si on boot sous linux, il va tomber sur une partition encryptée) ?
Marsh Posté le 09-02-2018 à 14:50:53
C'est exactement ça.
Marsh Posté le 09-02-2018 à 15:53:38
Merci pour ta réponse. Et en ce qui concerne le message précédent ? (je n'ai pas non plus envie d'abuser de ta patience).
Marsh Posté le 09-02-2018 à 17:36:55
Dans l'appli bitlocker lorsque je clique sur "Administration du TPM" (en bas à gauche), j'ai doit à un "Module de plateforme sécurisée compatible introuvable" ! C'est dû à quoi ? Suis-je en droit d'être inquiet ?
Marsh Posté le 09-02-2018 à 18:06:36
Qu'il ne trouve visiblement pas la puce TPM de ta carte-mère. Tu l'avais initialisée ?
Marsh Posté le 09-02-2018 à 18:25:44
nebulios a écrit : Qu'il ne trouve visiblement pas la puce TPM de ta carte-mère. Tu l'avais initialisée ? |
C'est une asus x99 donc je pense qu'il devrait y avoir une puce TPM.
J'ai fait cette méthode pour l'activer (ou pas).
https://www.youtube.com/watch?v=5kUOU5HCtEQ
Citation : |
J'ai coché le truc comme quoi windows pouvait utiliser un TMP incompatible.
Marsh Posté le 09-02-2018 à 18:43:47
Finalement, il semblerait bien que mon Asus X-99 A usb 3.1 ne possède pas de TPM nativement !
Sur le site d'asus, ils proposent cela :
1 x TPM connector(s)
Marsh Posté le 09-02-2018 à 19:08:38
Je comprends pas. Plus haut tu disais que tu avais activé bitlocker.
En fait non ?
Marsh Posté le 09-02-2018 à 19:30:15
Il me semble que l'on peut activer bitlocker sans posséder de TPM.
Marsh Posté le 10-02-2018 à 00:06:06
Au début, j'ai essayé d'activer bitocker sur mon DD système 840 EVO samsung. Ca n'a pas fonctionné, ensuite, j'ai activé "exiger une authentification supplémentaire au démarrage", puis j'ai pu activer Bitlocker. La première fois que je l'ai fait, effectivement, je n'avais pas d'écran bitlocker dans lequel rentrer un code. Ensuite, j'ai désactiver bitlocker et je l'ai activé à nouveau, sauf que cette fois-ci j'avais un écran bitlocker où rentrer le mot de passe... Va comprendre...
Marsh Posté le 09-02-2018 à 01:58:29
Bonsoir à tous,
Je possède un 840 EVO, j'ai envie d'utiliser le bitlocker sous Windows 10 Pro et je dois donc activer "Encripted drive" dans Samsung Magicien. Or, j'ai lu à de nombreuses reprises que le fait d'activer cette procédure aller effacer le disque dur... Et que par la suite, on n'était obligé de faire une nouvelle installation de Windows 10.
N'y a-t-il pas un moyen d'éviter d'effacer le disque dur (donc de conserver Windows 10) ou de restaurer l'image de la partition du Windows 10 que l'on voulait conserver ?
Cordialement