Reprise du message précédent :

As-tu connecté un compte microsoft à ton pc?
Si oui, tu avais la possibilité d'enregistrer la clé sur ton compte, et tu la retrouveras ici :
https://account.microsoft.com/devic [...] rosoft.com
 
Si non, tu peux toujours connecter ton compte et refaire l'enregistrement je pense (Sur une version pro c'est sûr)

 
oui c'est bon ma password est gardée au chaud chez Microsoft

Chose amusante :
 
J'ai besoin d'un raid 1 (miroir).
Je l'avais déjà fait, et j'avais remarqué qu'en le faisant depuis le gestionnaire de disque de windows, bitlocker n'était pas disponible.
J'avais donc créé un .VDHX sur le raid que je pouvais mettre en bitlock.
 
J'ai remarqué également, à la suite d'un test pour voir les EdS (espace de stockages) que bitlocker était compatible.
 
Cette fois, j'ai donc fait mon "raid" via les EsD, sur mon server "nas" (c'est quand même vachement plus sympa sous windows )
 
Problème : lorsque j'ai voulu mettre bitlocker dessus... "accès refusé".
J'ai cherché... cherché... mais impossible de trouver.
 
Puis, par le plus grand des miracles, au moment de laisser tomber... je tombe sur un post en anglais qui parle de problème pour activer bitlocker depuis le RDP... (bah oui, c'est un nas... je vais pas lui coller écran/clavier).
Et miracle, en direct, il accepte l'activation bitlocker...

Je me demandais :
La sécurité par TPM n'est pas sans faille (elle complique la vie simplement).
 
J'ai vu que BitLokcer pouvait aussi tourner par le réseau.
Existe-t-il un moyen quelconque pour que le système ne récupère la clé BitLocker que via une autorité?
 
Mon idée est que tant qu'un poste qui a le rôle (ou secondaire) tourne sur le réseau, il puisse envoyer les clés (de façon sécurisé) aux postes qui démarrent sans TPM.
 
Si tous les postes sont éteints > obligation de taper un déverrouillage à la main (ou par clé USB ou autre).
Mais tant qu'un des postes (serveur) tourne, il peut permettre le démarrage des autres.
 
Je fais redémarrer mes postes une fois par jour, donc si à chaque fois faut aller taper les clés...
 
J'avais la solution des comptes AD comme comptes autorisés, mais ça implique que le système soit chargé, donc ça tombe à l'eau...

Bonjour,  je viens de recevoir un Pc lenovo, au lancement j'ai renseigné un code Pin et j'ai partagé mon disque en 3 partitions.  
Tout est ok et les partitions sont indiquées chiffrées par bitlocker.
A part le code pin je n'ai rien d'autre. Que dois faire?
- rien c'est tout bon
- Récupérer sur mon compte microsoft la clé  à imprimer, ou sur une usb
- créer un nouveau mot de passe bitlocker ?  
Merci de votre aide
Ps: j'avais regardé comment faire pour installer bitlocker mais là je n'ai rien fait , alors je voudrais être sûr que c'est bon

le pin c'est bien au démarrage sur un écran bleu ou tu parles du pin de windows sur l'écran de connexion ?

Sur l'écran de Windows  
Tout fonctionne bien
Comme je n'ai rien renseigné pour bitlocker et que c'est crypté (je suppose car c'est indiqué dans la gestion des disques) et que partout on indique qu'il faut récupérer les clés de bitlocker,.......

Bonjour
 
J'ai un DELL Precision 7760 de mon entreprise où windows 10 est chiffré avec BitLocker.
Je ne suis pas administrateur sur ce windows.
Sur un 2em SSD, j'ai installé un 2em windows (non chiffré) en double boot.
Tout est fonctionnel.
Après une mise à jour du BIOS, la clé bitlocker est maintenant demandée à chaque démarrage pour démarrer sur le windows de l'entreprise.
J'ai cette clé en ma possession, c'est fonctionnel mais très long à taper à chaque démarrage.
Comment faire pour que le laptop garde la clé BitLocker en mémoire, comme avant la mise à jour ?
 
Merci

Suspendre bitlocker et reprendre.
Mais faut être admin...

Admin obligatoire alors
La clé est stocké dans le BIOS ou dans windows ?

 
Ni l'un ni l'autre, Dans le TPM qui est une puce dédiée.
 
Mais en cas de changement genre MAJ du bios, qu'il considère comme une tentative de contournement, il est vidé.

De suspendre bitlocker et reprendre renseigne la clé bitlocker dans le TPM ?
 
  1-Suspendre bitlocker dans windows (en admin)
  2-Redemarer ?
  3-Relancer bitlocker dans windows (en admin)
 
Quand doit-on renseigner la clé ?

Je suis même pas sûr qu'il y ait besoin de redémarrer. (bon c'est pas un truc que je fais tous les jours).

Pas besoin non. Maintenant je m'interroge quand même beaucoup sur la légalité de coller un deuxième OS Windows (avec quelle licence ?) sur un pc pro bien protégé (tu as eu la validation de ton SI pour ça ?).
Une boîte qui investit suffisamment pour combiner pas de droits admin + Windows Enterprise + Bitlocker, c'est logiquement une boîte assez à cheval sur la sécurité, qu'on bousille avec ce genre de bidouille.

faudrait qu'ils investissent un peu plus alors parce que pas protéger l'UEFI ca fait très amateur

Tu n'es pas sensé fournir la clé de récupération à tes utilisateurs aussi

 
 
Illégalité n'est peut-être pas le bon mot, mais contraire à la charte d'entreprise (et dans certaines boites considéré comme faute grave et motif de renvoi) oui probablement.

Même si le topic n’est pas très actif, je

Tu peux effectivement relancer bitlocker grâce à ton deuxième os et la clé de récupération...
 
Pour une raison évidente, je ne vais pas dire comment t'y prendre... car ça consiste à faire sauter des sécurités (idem en MP, pas la peine d'essayer).
 
 
Demande à ton SI de réenregistrer BL, et de faire sauter ton dual boot au passage (sauf si c'est eux qui l'ont validé...)
N'oublie pas que tu signes une charte informatique (normalement) en entrant dans la boite, et son non respect est un motif de faute grave (tu peux contaminer un réseau d'entreprise avec ton dual boot non certifié par ton SI).
 
Et si ton SI venait à valider ton hérésie, demande une trace écrite, sinon, t'as rien pour te couvrir...
 

 
Il m'est arrivé un problème plutôt cocasse ce soir : j'ai une tour de test où j'avais activé Bitlocker sur C: en utilisant le module TPM (1.2) pour stocker la clef. Cette machine est restée un temps inutilisé et hors secteur, car j'attendais notamment un disque dur. L'ayant réceptionné aujourd'hui, je m'empresse de le monter, mais un câble SATA trop court m'oblige à le permuter avec celui du disque C: (je ne sais pas si ça peut avoir une importance)  
Lors du démarrage de la machine, on me demande la clef de récupération, chose bien sur que je n'ai pas sauvegardée Heureusement, il n'y avait pas de données importantes...
 
Mais j'aimerais bien savoir pourquoi Windows 10 n'a pas pu retrouver la clef dans le module TPM ? J'ai une supposition, mais j'aimerais bien avoir vos avis.
 
Merci

Déjà, la version 1.2 de la TPM n'est plus supportée. Ensuite, en branchant/débranchant les disques, tu as modifié les composants et l'ordre de la séquence de démarrage, ce qui est interprété par Bitlocker comme une possible attaque, d'où la demande de clé de récupération.

Re-post de mon message (je l’ai supprimé sans le faire exprès depuis mon malinphone en voulant l’éditer )
 
OK, merci. Donc c’est pas du tout ce que j’avais pensé.
Par contre pour je viens de le rebrancher seul sur son port SATA original m, il me demande encore la clef.
 
Et pour la TPM, j’ai beau chercher sur le site de Dell, il ne me propose aucune MAJ vers la v2.0 pour mon modèle

Une modification suffit pour demander la clé. Revenir en arrière n'annule par l'alerte générée.

La clé est dans ton compte MS.
 
Sauf si bien entendu malgré tout ce qu'on rabache, tu es sur un compte local.

Ok, merci.  
Mais prenons le cas ou j'ai la clef. Je repeuple comment le module TPM avec ma clef ?

Pour cette machine de test, j'avais fait un compte local oui  

Tu ne peux pas repeupler une TPM avec ta clé. Tu peux réinitialiser la TPM, c'est tout.

Euh, "plus supportée" mouis...
Ca fonctionne toujours en touts cas. Notamment pour W10
 
Le tpm se vide aussi en cas de reset de l'uefi, comme s'il il n'a plus de pile (ou vide) et n'est plus branché sur le courant par exemple.
La séquence de démarrage ne change rien. C'est basé sur la signature de démarrage à ma connaissance (j'avais moulte pc en 1.2, des dell optiplex, et je faisais des manip sans perdre l'enregistrement de la clé dans le TPM).

ça n'existe pas. 1.2 et 2.0 sont des révisions hardware, pas software. Ils ne fonctionnent pas de la même façon.
Le 1.2 se "pirate" facilement avec un oscilloscope.
 

Impossible. C'est un système de certificats, pas de clé à proprement dit.
 
 
Bitlocker chiffre avec un secret.
 
Ce secret n'est jamais connu.
 
Tu peux ajouter des protecteurs.
Un protecteur est le secret du secret.
 
En gros, ton disque est chiffré avec le secret 123456, et pour que windows puisse y avoir accès (toi tu ne peux pas), il faut que tu lui donnes le secret du protecteur.
 
En cas de problème de fuite d'un secret des protecteurs, il suffit de virer le protecteur en question (TPM, compte AD, mdp, pin, clé usb externe, ou clé de récupération), et d'en générer un nouveau à sa place. de cette façon, pas besoin de déchiffrer et rechiffrer le disque... juste le protecteur.
 
 
Donc il suffit de ré-enroller le tpm de bitlocker une fois sous windows.
 
Quand windows ajoute un tpm automatiquement, il te donne une clé de récupération de 48 chiffres (8 groupes de 6), qu'il te demande soit d'imprimer, d'exporter, ou de lier à ton compte MS.
C'est cette clé de récupération qu'il te demande, pas la clé tpm.

 
Euh, j'ai vu passer plein d'upgrades firwmares pour passer de 1.2 à 2.0.
 
edit : exemple : https://www.dell.com/support/kbdoc/ [...] ersion-2-0

Ce n'est pas parce que ça fonctionne que c'est supporté. Surtout pour un composant de sécurité qu'on sait défaillant depuis des années...
La séquence de démarrage compte oui, entre autres. L'implémentation exacte varie en fonction du constructeur (de mémoire, 23 paramètres sur lesquels jouer, dont une poignée seulement obligatoires).
Si tu peux modifier ta séquence de boot, ta protection Bitlocker ne vaut plus grand-chose.

Comment ? Avec ça ?
Je peux pas juste réactiver Bitlocker comme si rien ne s'était passé ?

Ce point la je ne le comprends pas. Comment peux tu virer le protecteur ? (ici un TPM)

Malheureusement rien pour mon Optiplex 7020 SFF

 
Rien non plus pour la carte mère de mon PC principal (une Intel DQ77KB) : elle est sortie en 2012, avec un support de 5 ans. Le TPM 2.0 est sorti en octobre 2014, Intel n'a rien fait pour sortir une màj du firmware

/my bad.
 
Ca reste une exception je pense...

Réinitialiser le tpm fait juste sauter le certificat je dirais.
Inutile en gros pour toi.
 
C'est des commande à base de manage-bde que tu devrais utiliser.
 
Le plus simple, de toutes façons, si tu n'as plus la clé de récup, passera par le formatage/réinstallation. Donc une nouvelle clé tpm et une nouvelle clé de récupération seront créées.
 
Connecte ton compte microsoft avant d'activer bitlocker cette fois, et sauvegarde sur ton compte si t'es pas parano

Donc l'ancienne clef TPM de mon ancienne installation devient orpheline, et je suppose prend un peu de place dans le module TPM.  
Comment faire pour ne garder que les clefs dont j'ai besoin ? (j'avais aussi chiffré D: qui était un storage space)

non...
 
Y'a qu'une clé à la fois.

ok merci

Hello,
Quelqu'un sait comment automatiquement déverrouiller un volume "amovible" (disque dur externe) au démarrage de l'OS, sans connexion utilisateur ?

L'OS, forcément, ça fonctionne. Les disque de données "fixes", ça fonctionne (automatiquement toujours), mais ce disque amovible réclame la connexion de l'utilisateur pour se débloquer automatiquement.

A défaut, j'imagine que forcer une reconnaissance du disque externe comme un disque fixe serait un solution, mais si je peux le faire avec bitlocker, je préfère.

Merci !

EDIT : évidement, l'option de déverrouillage automatique est mise pour tous les disques/volumes

Tu peux utiliser ça dans un script au boot : https://docs.microsoft.com/en-us/po [...] ver2022-ps

Ca oblige à mettre la clé en clair...

Pas si tu utilises une SecureString

Je ne sais pas ce que c'est (même en lisant le net), et je n'utilise pas powershell, juste "cmd/bat".