Bon usage : paramètres des stratégies et expérience utilisateur

Le responsable de la sécurité configure les stratégies de chiffrement pour les lecteurs à chiffrer ainsi que pour la stratégie d'authentification. Le module de plate-forme sécurisée (TPM) doit être utilisé à chaque fois que cela est possible. Toutefois, même sans TPM, le volume de démarrage doit être chiffré. L'intervention de l'utilisateur doit être minimale.

Selon ces conditions, le responsable de la sécurité choisit les paramètres d'authentification suivants (il s'agit des paramètres par défaut) :

Le responsable de la sécurité crée une stratégie de protection des périphériques ayant pour objet le Stockage interne et règle le mode de chiffrement sur Basé sur le volume. Les deux stratégies vont être appliquées aux terminaux à chiffrer.

Pour les utilisateurs SafeGuard Enterprise BitLocker, les cas de figure suivants sont possibles :

Cas de figure 1 : un utilisateur se connecte à un terminal à l'aide d'un TPM.

  1. L'utilisateur est invité à saisir son code confidentiel pour le volume de démarrage (par exemple, lecteur C: ).
  2. L'utilisateur saisit le code confidentiel et clique sur Redémarrer et chiffrer.
  3. Le système teste le matériel et s'assure que l'utilisateur peut saisir correctement son code confidentiel. Il redémarre et invite l'utilisateur à saisir son code confidentiel.
    • Si l'utilisateur saisit son code confidentiel correctement, le terminal démarre.
    • Si l'utilisateur ne saisit pas son code confidentiel correctement, (en raison d'une disposition du clavier incorrecte par exemple), l'utilisateur peut appuyer sur la touche Echap dans l'environnement de prédémarrage pour annuler le test et démarrer le terminal.
    • En cas de problème matériel (par exemple, le non fonctionnement du TPM), le test est interrompu et le terminal démarre.
  4. L'utilisateur se connecte de nouveau.
  5. Si le test matériel réussi (l'utilisateur a saisi son code confidentiel correctement et aucun problème n'a été rencontré avec le TPM), le chiffrement du volume de démarrage commence. Dans le cas contraire (en cas d'échec du test), une erreur est signalée et le volume n'est pas chiffré. Si le test échoue parce que l'utilisateur a appuyé sur Echap dans l'environnement de prédémarrage, l'utilisateur est invité à saisir de nouveau son code confidentiel et à redémarrer l'ordinateur (comme à l'étape 2, les étapes 3, 4 et 5 seront répétées).
  6. Le chiffrement du volume de démarrage commence.
  7. Le chiffrement des volumes de données commence également sans qu'aucune intervention de l'utilisateur ne soit nécessaire.

Cas de figure 2 : un utilisateur se connecte à un terminal Windows 8 sans TPM.

  1. L'utilisateur est invité à saisir son mot de passe pour le volume de démarrage.
  2. L'utilisateur saisit le mot de passe et clique sur Redémarrer et chiffrer.
  3. Le système redémarre, teste le matériel et l'utilisateur se connecte de nouveau comme décrit dans le cas de figure précédent (précisément comme aux étapes 3 à 6 du cas de figure 1. Les références au TPM peuvent être ignorées et un mot de passe est nécessaire plutôt qu'un code confidentiel).
  4. Le chiffrement du volume de démarrage commence.
  5. Le chiffrement des volumes de données commence également sans qu'aucune intervention de l'utilisateur ne soit nécessaire.

Cas de figure 3 : un utilisateur se connecte à un terminal Windows 7 sans TPM.

  1. L'utilisateur est invité à sauvegarder la clé de chiffrement du volume de démarrage sur une carte mémoire USB.
  2. L'utilisateur connecte une carte mémoire ou clé USB et appuie sur Enregistrer et redémarrer.
  3. Le système redémarre, teste le matériel et l'utilisateur se connecte de nouveau. (il s'agit de la même procédure que dans les cas de figure précédents. En revanche, l'utilisateur doit fournir la carte mémoire USB au moment du démarrage. Une autre erreur matériel pouvant survenir serait l'impossibilité de lire la carte mémoire USB à partir de l'environnement de prédémarrage).
  4. Le chiffrement du volume de démarrage commence.
  5. Le chiffrement des volumes de données commence également sans qu'aucune intervention de l'utilisateur ne soit nécessaire.

Cas de figure 4 : le responsable de la sécurité change le paramètre de la stratégie Mode de connexion de secours BitLocker pour volumes de démarrage sur Mot de passe. un utilisateur se connecte à un terminal Windows 7 sans TPM.

  1. Le terminal n'ayant pas de TPM et Windows 7 n'autorisant pas l'utilisation de mots de passe pour les volumes de démarrage, le volume de démarrage ne sera pas chiffré.
  2. Pour chaque volume non démarrable, l'utilisateur est invité à enregistrer la clé externe sur une carte mémoire USB. Le chiffrement du volume respectif commence dès que l'utilisateur clique sur Enregistrer.
  3. Lorsque l'utilisateur redémarre le terminal, la clé USB doit être connectée afin de permettre le déverrouillage des volumes non démarrables.