Chiffrement du disque

12 janvier 2024

ID 193687

Vous pouvez choisir la technologie du chiffrement : Kaspersky Disk Encryption ou le Chiffrement de disque BitLocker (ci-après "BitLocker").

Kaspersky Disk Encryption

Une fois que les disques durs système auront été chiffrés, l'accès à ceux-ci et le chargement du système d'exploitation lors du prochain démarrage de l'ordinateur seront possibles uniquement après avoir suivi la procédure d'authentification à l'aide de l'Agent d'authentification. Pour ce faire, il faut saisir le mot de passe du token ou de la carte à puce connecté à l'ordinateur, ou le nom et le mot de passe du compte utilisateur de l'Agent d'authentification créé par l'administrateur système du réseau local de l'organisation à l'aide de la tâche Administrer les comptes de l'Agent d'authentification. Ces comptes utilisateur reposent sur les comptes utilisateur Microsoft Windows utilisés pour accéder au système d'exploitation. Vous pouvez également utiliser la technologie d'authentification unique (SSO, Single Sign-On) qui permet d'accéder automatiquement au système d'exploitation à l'aide du nom et du mot de passe du compte utilisateur de l'Agent d'Authentification.

L'authentification de l'utilisateur dans l'Agent d'authentification peut s'exécuter par deux moyens :

  • via la saisie du nom d'utilisateur et du mot de passe du compte utilisateur de l'Agent d'authentification créé par l'administrateur du réseau local de l'organisation via Kaspersky Security Center ;
  • via la saisie du mot de passe du token ou de la carte à puce rattaché à l'ordinateur.

    L'utilisation du token ou de la carte à puce est disponible uniquement si les disques durs de l'ordinateur sont chiffrés à l'aide d'un algorithme AES256. Si les disques durs de l'ordinateur ont été chiffrés à l'aide d'un algorithme de chiffrement AES56, le fichier de certificat électronique ne pourra pas être ajouté à la commande.

Chiffrement de disque BitLocker

BitLocker est une technologie de chiffrement intégrée au système d'exploitation Windows. Kaspersky Endpoint Security vous permet de contrôler et de gérer Bitlocker à l'aide de Kaspersky Security Center. BitLocker chiffre le volume logique. BitLocker ne permet de pas de chiffrer les disques amovibles. Pour en savoir plus sur le fonctionnement de BitLocker, consultez la documentation de Microsoft.

BitLocker fournit un stockage sécurisé des clés d'accès à l'aide d'un module de plateforme sécurisée. Module de plateforme sécurisée (en anglais, Trusted Platform Module (TPM)) : puce développée pour proposer les fonctions principales associées à la sécurité (par exemple, pour stocker des clés de chiffrement). Un module de plateforme sécurisée est généralement installé sur la carte mère de l'ordinateur et interagit avec tous les autres modules du système par le bus matériel. L'utilisation du module de plateforme sécurisée est le moyen le plus sûr de stocker des clés d'accès BitLocker, car ce module permet de vérifier l'intégrité du système avant le démarrage. Sur les ordinateurs sans TPM, vous pouvez également chiffrer des disques. Dans ce cas, la clé d'accès sera chiffrée à l'aide d'un mot de passe. Ainsi, BitLocker utilise les méthodes d'authentification suivantes :

  • TPM.
  • TPM et code PIN.
  • Mot de passe.

Après avoir chiffré le disque, BitLocker crée une clé principale. Kaspersky Endpoint Security envoie la clé principale à Kaspersky Security Center afin que vous puissiez restaurer l'accès au disque si l'utilisateur a oublié le mot de passe, par exemple.

Si un utilisateur a chiffré un disque à l'aide de BitLocker, Kaspersky Endpoint Security envoie les informations sur le chiffrement du disque à Kaspersky Security Center. Dans ce cas, Kaspersky Endpoint Security n'envoie pas la clé principale à Kaspersky Security Center et il est impossible de restaurer l'accès au disque à l'aide de Kaspersky Security Center. Pour que BitLocker fonctionne correctement avec Kaspersky Security Center, déchiffrez le disque et chiffrez-le à nouveau à l'aide d'une stratégie. Vous pouvez déchiffrer un disque localement ou à l'aide d'une stratégie.

Après avoir chiffré le disque dur du système, l'utilisateur doit passer par l'authentification BitLocker pour lancer le système d'exploitation. Une fois l'authentification réussie, BitLocker pourra se connecter. BitLocker n'est pas compatible avec la technologie d'authentification unique (SSO).

Si vous utilisez des stratégies de groupe pour Windows, désactivez l'administration de BitLocker dans les paramètres de la stratégie. Les paramètres de la stratégie Windows peuvent entrer en conflit avec les paramètres de la stratégie de Kaspersky Endpoint Security. Lors du chiffrement d'un disque, des erreurs peuvent se produire.

Paramètres du module Kaspersky Disk Encryption

Paramètre

Description

Mode de chiffrement

Chiffrer tous les disques durs. Si vous choisissez cette option, l'application chiffre tous les disques durs lors de l'application de la stratégie.

Si plusieurs systèmes d'exploitation sont installés sur l'ordinateur, seul le système d'exploitation dans lequel l'application est installée peut être lancé après le chiffrement.

Déchiffrer tous les disques durs. Si vous choisissez cette option, l'application déchiffre tous les disques durs chiffrés antérieurement lors de l'application de la stratégie.

Laisser tel quel. Si vous choisissez cette option, l'application ne modifie pas l'état des disques durs lors de l'application de la stratégie. Si le disque était chiffré, il reste chiffré. Si le disque était déchiffré, il reste déchiffré. L'option est sélectionnée par défaut.

Pendant le chiffrement, créer automatiquement des comptes de l'Agent d'authentification pour les utilisateurs Windows

Si cette case est cochée, l'application crée des comptes de l'Agent d'authentification en fonction de la liste des comptes d'utilisateurs Windows sur l'ordinateur. Par défaut, Kaspersky Endpoint Security utilise tous les comptes locaux et de domaine avec lesquels l'utilisateur s'est connecté au système d'exploitation au cours des 30 derniers jours.

Paramètres de création de comptes utilisateur de l'Agent d'authentification

Tous les comptes de l'ordinateur. Tous les comptes de l'ordinateur qui ont été actifs à un moment donné.

Tous les comptes de domaine de l'ordinateur. Tous les comptes de l'ordinateur qui appartiennent à un domaine et qui ont été actifs à un moment donné.

Tous les comptes locaux de l'ordinateur. Tous les comptes locaux de l'ordinateur qui ont été actifs à un moment donné.

Compte de service avec mot de passe à usage unique. Le compte de service est nécessaire pour accéder à l'ordinateur, par exemple lorsque l'utilisateur a oublié son mot de passe. Vous pouvez également utiliser le compte de service comme un compte de réserve. Vous devez saisir le nom du compte (par défaut, ServiceAccount). Kaspersky Endpoint Security crée automatiquement un mot de passe. Vous pouvez trouver le mot de passe dans Kaspersky Security Center Console.

Administrateur local. Kaspersky Endpoint Security crée un compte utilisateur de l'Agent d'authentification pour l'administrateur local de l'ordinateur.

Gestionnaire de l'ordinateur. Kaspersky Endpoint Security crée un compte utilisateur de l'Agent d'authentification pour le compte du gestionnaire de l'ordinateur. Vous pouvez déterminer quel compte présente le rôle de gestionnaire de l'ordinateur dans les propriétés de l'ordinateur dans Active Directory. Par défaut, le rôle de gestionnaire de l'ordinateur n'est pas défini, c'est-à-dire qu'il ne correspond à aucun compte.

Compte actif. Kaspersky Endpoint Security crée automatiquement un compte d'Agent d'authentification pour le compte qui est actif au moment du chiffrement du disque.

Créer automatiquement des comptes de l'Agent d'authentification pour tous les utilisateurs de cet ordinateur lors de la connexion

Si cette case est cochée, l'application vérifie les informations relatives aux comptes utilisateur Windows sur l'ordinateur avant de lancer l'Agent d'authentification. Si Kaspersky Endpoint Security détecte un compte utilisateur Windows qui ne dispose pas de compte d'Agent d'authentification, l'application créera un nouveau compte pour accéder aux disques chiffrés. Le nouveau compte de l'Agent d'authentification présentera les paramètres par défaut suivants : ouverture de session protégée par mot de passe uniquement et changement de mot de passe lors de la première authentification. Par conséquent, vous n'avez pas besoin d'ajouter manuellement des comptes d'Agent d'authentification en utilisant la tâche Administrer les comptes de l'Agent d'authentification pour les ordinateurs avec des disques déjà chiffrés.

Enregistrer le nom d'utilisateur saisi dans l'Agent d'authentification

Si la case est cochée, l'application enregistre le nom du compte utilisateur de l'Agent d'authentification. Dès l'authentification suivante dans l'Agent d'authentification, il ne sera plus nécessaire de saisir le nom du compte utilisateur.

Chiffrer uniquement l'espace occupé (réduit la durée du chiffrement)

La case active/désactive la fonction qui limite le secteur de chiffrement aux secteurs occupés du disque dur. Cette restriction permet de réduire la durée du chiffrement.

L'activation ou la désactivation de la fonctionnalité Chiffrer uniquement l'espace occupé (réduit la durée du chiffrement) après le lancement du chiffrement ne modifie pas ce paramètre tant que les disques durs ne sont pas déchiffrés. Il faut cocher ou décocher la case avant le début du chiffrement.

Si la case est cochée, seule la partie du disque dur qui contient des fichiers est chiffrée. Kaspersky Endpoint Security chiffre les nouvelles données automatiquement au fur et à mesure qu'elles sont ajoutées.

Si la case est décochée, tout le disque dur est chiffré, y compris les restes des fichiers supprimés ou modifiés auparavant.

Cette fonction est recommandée pour les nouveaux disques durs dont les données n'ont pas été modifiées ou supprimées. Si vous appliquez le chiffrement sur un disque dur déjà utilisé, il est conseillé de chiffrer tout le disque dur. Cela garantit la protection de toutes les données, mêmes celles qui ont été supprimées mais qui pourraient être restaurées.

La case est décochée par défaut.

Utiliser le Legacy USB Support (déconseillé)

La case active/désactive la fonction Legacy USB Support. Legacy USB Support est une fonction BIOS/UEFI qui permet d'utiliser des appareils USB (comme un token) pendant la phase de démarrage d'un ordinateur avant le lancement du système d'exploitation (mode BIOS). La fonction Legacy USB Support n'a pas d'impact sur la prise en charge des appareils USB après le lancement du système d'exploitation.

Si la case est cochée, la prise en charge des appareils USB est activée lors du chargement initial de l'ordinateur.

Lorsque la fonction Legacy USB Support est activée, l'Agent d'authentification en mode BIOS ne prend pas en charge l'utilisation de jetons via USB. Il est recommandé d'utiliser la fonction uniquement en cas de problèmes d'incompatibilités avec le matériel et seulement sur les ordinateurs où le problème est apparu.

Paramètres des mots de passe

Paramètres de sécurité du compte utilisateur de l'Agent d'authentification Lors de l'utilisation de la technologie d'authentification unique, l'Agent d'authentification ignore les exigences de sécurité du mot de passe spécifiées dans Kaspersky Security Center. Vous pouvez définir les exigences de sécurité du mot de passe dans les paramètres du système d'exploitation.

Utiliser la technologie d'authentification unique (SSO)

La technologie d'authentification unique permet d'utiliser les mêmes identifiants pour accéder aux disques durs chiffrés et pour se connecter au système d'exploitation.

Si la case est cochée, il faudra saisir les identifiants d'accès aux disques chiffrés pour pouvoir accéder aux disques durs chiffrés et se connecter ensuite automatiquement au système d'exploitation.

Si la case est décochée, il faudra saisir séparément les identifiants pour l'accès aux disques durs chiffrés et les identifiants de l'utilisateur dans le système d'exploitation pour pouvoir accéder aux disques durs chiffrés et se connecter ensuite au système d'exploitation.

Emballer les fournisseurs de certification tiers

Kaspersky Endpoint Security prend en charge le fournisseur d'informations d'identification tiers ADSelfService Plus.

Dans le cadre du recours à des fournisseurs d'informations d'identification tiers, l'Agent d'authentification intercepte le mot de passe avant le chargement du système d'exploitation. Cela signifie qu'un utilisateur doit saisir un mot de passe une seule fois lorsqu'il se connecte à Windows. Après s'être connecté à Windows, l'utilisateur peut utiliser les fonctionnalités offertes par un fournisseur d'informations d'identification tiers pour s'authentifier auprès de services d'entreprise, par exemple. Les fournisseurs d'informations d'identification tiers permettent également aux utilisateurs de réinitialiser leur propre mot de passe de façon indépendante. Dans ce cas, Kaspersky Endpoint Security mettra automatiquement à jour le mot de passe de l'Agent d'authentification.

Si vous utilisez un fournisseur d'informations d'identification tiers qui n'est pas pris en charge par l'application, il se peut que vous rencontriez certaines limitations dans le fonctionnement de la technologie d'authentification unique.

Aide

Authentification. Le texte d'aide qui apparaît dans la fenêtre de l'Agent d'authentification à l'étape de saisie des informations d'identification.

Modification du mot de passe. Le texte d'aide qui apparaît dans la fenêtre de l'Agent d'authentification à l'étape de la modification du mot de passe du compte utilisateur de l'Agent d'authentification.

Restauration du mot de passe. Le texte d'aide qui apparaît dans la fenêtre de l'Agent d'authentification pendant la phase de récupération du mot de passe pour le compte utilisateur d'Agent d'authentification.

Paramètres du module Chiffrement de disque BitLocker

Paramètre

Description

Mode de chiffrement

Chiffrer tous les disques durs. Si vous choisissez cette option, l'application chiffre tous les disques durs lors de l'application de la stratégie.

Si plusieurs systèmes d'exploitation sont installés sur l'ordinateur, seul le système d'exploitation dans lequel l'application est installée peut être lancé après le chiffrement.

Déchiffrer tous les disques durs. Si vous choisissez cette option, l'application déchiffre tous les disques durs chiffrés antérieurement lors de l'application de la stratégie.

Laisser tel quel. Si vous choisissez cette option, l'application ne modifie pas l'état des disques durs lors de l'application de la stratégie. Si le disque était chiffré, il reste chiffré. Si le disque était déchiffré, il reste déchiffré. L'option est sélectionnée par défaut.

Autoriser l'utilisation de l'authentification BitLocker qui requiert une saisie au clavier avant le démarrage sur les tablettes

La case active ou désactive l'utilisation de l'authentification qui requiert une saisie au clavier dans l'environnement préalable au démarrage, même si la plateforme ne dispose pas de cette possibilité (par exemple, claviers tactiles sur les tablettes).

Le clavier tactile des tablettes n'est pas accessible dans cet environnement. Pour réaliser une authentification BitLocker sur de telles tablettes, l'utilisateur doit absolument connecter un clavier USB par exemple.

Si la case est cochée, l'utilisation de l'authentification qui requiert une saisie au clavier dans l'environnement préalable au démarrage est autorisée. Il est recommandé d'utiliser ce paramètre uniquement pour les appareils qui, pendant le chargement préalable, disposent de modes alternatifs de saisie de données, par exemple un clavier USB en plus du clavier tactile.

Si cette case est décochée, le chiffrement de disque BitLocker n'est pas possible sur les tablettes.

Utiliser le chiffrement au niveau matériel (Windows 8 et versions ultérieures)

Si la case est cochée, l'application adopte le chiffrement au niveau du matériel. Cela permet d'augmenter la vitesse du chiffrement et de réduire l'utilisation des ressources de l'ordinateur.

Chiffrer uniquement l'espace occupé (Windows 8 et versions ultérieures)

La case active/désactive la fonction qui limite le secteur de chiffrement aux secteurs occupés du disque dur. Cette restriction permet de réduire la durée du chiffrement.

L'activation ou la désactivation de la fonctionnalité Chiffrer uniquement l'espace occupé (réduit la durée du chiffrement) après le lancement du chiffrement ne modifie pas ce paramètre tant que les disques durs ne sont pas déchiffrés. Il faut cocher ou décocher la case avant le début du chiffrement.

Si la case est cochée, seule la partie du disque dur qui contient des fichiers est chiffrée. Kaspersky Endpoint Security chiffre les nouvelles données automatiquement au fur et à mesure qu'elles sont ajoutées.

Si la case est décochée, tout le disque dur est chiffré, y compris les restes des fichiers supprimés ou modifiés auparavant.

Cette fonction est recommandée pour les nouveaux disques durs dont les données n'ont pas été modifiées ou supprimées. Si vous appliquez le chiffrement sur un disque dur déjà utilisé, il est conseillé de chiffrer tout le disque dur. Cela garantit la protection de toutes les données, mêmes celles qui ont été supprimées mais qui pourraient être restaurées.

La case est décochée par défaut.

Méthode d'authentification

Uniquement le mot de passe (Windows 8 et versions ultérieures)

Si vous avez choisi cette option, Kaspersky Endpoint Security demande le mot de passe à l'utilisateur lorsque celui-ci souhaite accéder au disque chiffré.

Cette option peut être choisie si la Trusted Platform Module (TPM) n'est pas utilisée.

Trusted platform module (TPM)

Si vous avez choisi cette option, BitLocker utilise le Trusted Platform Module (TPM).

Module de plateforme sécurisée (en anglais, Trusted Platform Module (TPM)) : puce développée pour proposer les fonctions principales associées à la sécurité (par exemple, pour stocker des clés de chiffrement). Le Trusted Platform Module s'installe en général sur la carte mère de l'ordinateur et interagit avec les autres modules système via le bus matériel.

Pour les ordinateurs tournant sous les systèmes d'exploitation Windows 7 et Windows Server 2008 R2, seul le chiffrement à l'aide du module TPM est disponible. Si le module TPM n'est pas installé, le chiffrement BitLocker n'est pas possible. L'utilisation d'un mot de passe sur ces ordinateurs n'est pas prise en charge.

L'appareil équipé du Trusted Platform Module peut créer des clés de chiffrement qui peuvent être déchiffrées uniquement à l'aide de celui-ci. Le Trusted Platform Module chiffre les clés de chiffrement à l'aide de la clé racine de stockage correspondante. La clé racine de stockage se trouve à l'intérieur du Trusted Platform Module. Cela offre un niveau de sécurité complémentaire pour les clés de chiffrement contre les tentatives d'attaque.

Cette action est sélectionnée par défaut.

Vous pouvez définir une couche de protection supplémentaire pour l'accès à la clé de chiffrement, et chiffrer la clé à l'aide d'un mot de passe ou d'un code PIN :

  • Utiliser un code PIN pour le TPM. Quand la case est cochée, l'utilisateur doit saisir un code PIN pour accéder à la clé de chiffrement conservée dans le module de plateforme sécurisée (TPM).

    Si cette case n'est pas cochée, l'utilisateur n'est pas autorisé à utiliser le code PIN. Pour accéder à la clé de chiffrement, l'utilisateur utilise un mot de passe.

  • Trusted Platform Module (TPM) ou mot de passe si le TPM n'est pas disponible. Si la case est cochée, l'utilisateur peut accéder aux clés de chiffrement à l'aide d'un mot de passe en l'absence du Trusted Platform Module (TPM).

    Si la case n'est pas cochée et que le TPM n'est pas disponible, le chiffrement complet du disque ne démarre pas.

    La méthode d'authentification sélectionnée doit être configurée en précisant les exigences en matière de mot de passe ou de code PIN :

  • Longueur minimale du code PIN (caractères).
  • Longueur minimale (caractères).
  • Limiter la durée de validité du mot de passe/code PIN pour le TPM (jours).
  • Utiliser un code PIN amélioré (lettres et chiffres). Le code PIN renforcé permet l'utilisation d'autres caractères en plus des caractères numériques : lettres latines majuscules et minuscules, caractères spéciaux et espaces.

Recréer automatiquement la clé de récupération (jours)

Mettez automatiquement à jour le mot de passe pour restaurer l'accès à un disque protégé par BitLocker. Si la case est cochée, précisez la période de validité du mot de passe de la clé de récupération. Cette mesure permet d'éviter la réutilisation du mot de passe de la clé de récupération.

Voir également l'administration de l'application via la Console d'administration de Kaspersky Security Center

Lancement de Kaspersky Disk Encryption

Lancement du chiffrement de disque BitLocker

Composition de la liste des disques durs exclus du chiffrement

Déchiffrement des disques durs

Mise à jour du système d'exploitation

Élimination des erreurs lors de la mise à jour de la fonctionnalité de chiffrement

Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.