Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1396 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Activer Bitlocker avec un SSD Samsung 840 EVO sans devoir perdre win10

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Activer Bitlocker avec un SSD Samsung 840 EVO sans devoir perdre win10

n°3299322
Bloodyjust​ice
Posté le 09-02-2018 à 01:58:29  profilanswer
 

Bonsoir à tous,  
 
Je possède un 840  EVO, j'ai envie d'utiliser le bitlocker sous Windows 10 Pro et je dois donc activer "Encripted drive" dans Samsung Magicien. Or, j'ai lu à de nombreuses reprises que le fait d'activer cette procédure aller effacer le disque dur... Et que par la suite, on n'était obligé de faire une nouvelle installation de Windows 10.    
 
N'y a-t-il pas un moyen d'éviter d'effacer le disque dur (donc de conserver Windows 10) ou de restaurer l'image de la partition du Windows 10 que l'on voulait conserver ?
 
Cordialement

mood
Publicité
Posté le 09-02-2018 à 01:58:29  profilanswer
 

n°3299325
flash_gord​on
Posté le 09-02-2018 à 02:50:07  profilanswer
 

Bitlocker c'est bitlocker et samsung Magician c'est samsung Magician.  
 
Ce sont deux produits différents, et concurrents, l'un fourni par ton Os, et l'autre par le fabriquant de ton SSD. Tu n'as pas besoin d'activer l'un pour utiliser l'autre.
 
Bitlocker fait ce que tu demandes, il n'y a aucun besoin de reinstaller quoique ce soit quand on l'active.


Message édité par flash_gordon le 09-02-2018 à 02:51:38
n°3299350
Bloodyjust​ice
Posté le 09-02-2018 à 11:18:08  profilanswer
 

Je raconte peut-être des conneries mais il me semble que l'on est obligé d'activer "encripted drive" pour faire fonctionner Bitlocker. C'est indiqué partout sur internet, même sur le site de Samsung. De plus, j'ai activé Bitlocker (avec chiffrage du DD système) sans avoir activé encripted drive et résultat des courses : c'est comme si je n'avais rien fait. Pas de mot de passe demandé au démarrage du PC.
 
Mais comme tu as l'air de vraiment t'y connaitre, je suis prêt à t'écouter !  :sol:  
 

Message cité 1 fois
Message édité par Bloodyjustice le 09-02-2018 à 11:26:15
n°3299351
Bloodyjust​ice
Posté le 09-02-2018 à 11:23:48  profilanswer
 

Now the steps to enable eDrive on Windows for a Samsung EVO 840, EVO 850 or PRO 850 are as follows:
 
    Download and install the Samsung Magician software, which can be found here: http://www.samsung.com/samsungssd/
    After it’s installed, run it and click “Data Security” at the bottom of the left-hand menu.
    Here you’ll have to select the drive in question in a dropdown at the top and afterwards click the “Enable” button under “Encrypted Drive”
    Repeat step 3 for all drives you need to encrypt.
    Now you’ll need to do a “Secure Erase” on all the SSD drives you want to encrypt, click “Secure Erase” in the left-hand menu.
    Note: this completely erases the SSD – make sure you have backup of everything you need.
    You’ll likely be asked to create a bootable CD or USB stick here, so follow the instructions to do so.
    Then reboot the PC and enter UEFI (commonly known as BIOS) and ensure the SATA ports are all configured as AHCI. (RAID is thus not an option with hardware encryption)
    After checking this, boot the PC using the CD or USB stick you just created.
    If once booted the text looks like gibberish, press the ESCAPE key on your keyboard and enter “segui0 /2” and press enter – the “0” is a zero, not the letter O. this should make the text read fine. If it however doesn’t, press the ESCAPE key again, and try with “segui0 /s” – thanks to Tom Jeanne for this tip.
    Follow the instructions in the tool to do a secure erase of each drive – the tool will probably say the drive is frozen and you have to unplug the power to the drive and reconnect it. If it says this, you’ll have to unplug the power (NOT THE SATA CABLE) from your SSD with the PC still running, and reconnecting it again after 5 seconds.
 
    If you’re on a laptop, it’s okay to remove both the SATA cable and the power cable at once, if they’re in a single connector. (Thanks to Tim Armitage for this tip)
 
    If you’re on a laptop and the tool refuses to do a secure erase (for instance by rebooting automatically when plugging the drive back in), you can check if the manufacturer of your laptop has a secure erase tool themselves. This was for the case for commentator Patrick Plank who owns a Lenovo laptop. (Thanks to Patrick Plank for this tip)
    Now the tool should complete the secure erase and if you have more SSDs it’ll now ask about the next one, repeat until all the SSDs you want encrypted have been erased. Do notice the secure erase is done very quickly, do not be alarmed by this – it’s perfectly normal.
    Reboot the PC and install Windows 8 as normal.
    To ensure you’ve installed in UEFI mode, run msinfo32 and look for “BIOS Mode” in the right-hand part of the window. If it says UEFI you’re ready to continue, and if it says legacy, you need to check your UEFI settings as somethings is forcing it into BIOS emulation mode. The most likely cause is that CSM is still enabled in UEFI. If this happens refer to my article on enabling UEFI mode here: Making Windows run in UEFI mode with Secure Boot
    Once Windows is properly installed you’ll most likely need to change some settings to allow Bitlocker to work with a password instead of a TPM module. You can skip these steps if you do have a TPM module, but normally you don’t.
    To enable Bitlocker to use a password run gpedit.msc
    Navigate to “Computer Configuration” -> “Administrative Templates” -> “Windows Components” -> “Bitlocker Drive Encryption” -> “Operating System Drives”
    Double-click “Require additional authentication at startup”. NOTE: There are 2 very similar settings, the other one being named “Require additional authentication at startup (Windows Server 2008 and Windows Vista)”. You want the one with the shorter name.
    Set this to “Enabled” and click “OK” – reboot if Windows asks you to.
    Now Bitlocker can use a password which you’ll have to enter before Windows boots.
    Navigate to “Computer” and right-click your C drive (or whichever drive you want to encrypt) and click “Turn on Bitlocker”
    Bitlocker will ask how you want to unlock the drive – click “Enter a password”
    Enter whatever password you’d like to use, make sure you can remember it ^^
    Next Bitlocker asks how to store the recovery key. Personally I prefer to store it on my Microsoft account, but feel free to pick what you’re most comfortable with. Make sure you keep the recovery key safe though, if either you forget the password or Bitlocker somehow screws up you will need the recovery key.
    Finally Bitlocker will ask to run a system check to ensure everything is in order, make sure the checkmark is set and click “Continue”.
    Note: If you get an error message around this time saying “Parameter is incorrect”. OR if you cannot get the PC to boot past the Bitlocker screen, make sure you’ve done a complete Windows Update before enabling Bitlocker. Thanks to commentator Alex for this tip.
    After Windows is rebooted Bitlocker may open automatically and tell you the result of the system check. Assuming everything went well it should now ask if you’re ready to encrypt. NOTE: Sometimes it just enables encryption immediately and doesn’t open Bitlocker at all after reboot. You can tell whether your drive is encrypted, by opening “Computer” and looking for the small lock icon on your drive. Or you can run “manage-bde -status C:” from an elevated command prompt. (Thanks to Tim Armitage for pointing this out)
    If Bitlocker asks how much of the drive you want to encrypt, STOP! In this case it is using software encryption, not hardware encryption. This is not what you want. In case this happens, make sure that:
        You’re running Windows in UEFI mode – run msinfo32 and check “BIOS mode” as described in step 13.
        You’ve run the secure erase on your SSD AFTER enabling Encryption using Samsung Magician
        If you are in UEFI mode and did the secure erase everything points to your motherboard being the culprit – most likely it doesn’t properly support UEFI 2.3.1 or the EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. In this case you can either go with software encryption which will cause a performance overhead, or purchase a new motherboard
 
 
http://www.ckode.dk/desktop-machin [...] nt-page-1/


Message édité par Bloodyjustice le 09-02-2018 à 11:24:10
n°3299354
flash_gord​on
Posté le 09-02-2018 à 11:33:01  profilanswer
 

Bloodyjustice a écrit :

Je raconte peut-être des conneries


Oui, je confirme.

 
Bloodyjustice a écrit :

C'est indiqué partout sur internet, même sur le site de Samsung.


Je ne sais pas ce qui est 'partout sur internet', mais le site de samsung forcément, ils vont pas t'expliquer que windows gere ça tout seul, ça irait a l'encontre du business.

 
Bloodyjustice a écrit :

 

De plus, j'ai activé Bitlocker (avec chiffrage du DD système) sans avoir activé encripted drive et résultat des courses : c'est comme si je n'avais rien fait. Pas de mot de passe demandé au démarrage du PC.

 


 

Ben oui, c'est l'idée, c'est pour ça que dans l'autre topic j'explique que BL est bien plus pratique que VC.
Windows a enregistré la clé de déverrouillage dans le TPM, c'est une puce sur ta carte mère, ça permet justement de ne pas avoir a taper le mot de passe a l'allumage.
Par contre si tu extrait ton disque pour le brancher ailleurs (ou que tu tentes les forcing avec un cd linux par exemple) , tu constateras que tu ne peux pas y accéder sans la clé de chiffrement, celle qui t'a été demandé de sauver.

 

Apres ça implique d'avoir quand même un mot de passe sur ta session. Si tu as bricolé windows comme le font certains pour se logger automatiquement sans mot de passe sur la session, effectivement tu annules l'intérêt de bitlocker.

 

Si tu veux vraiment avoir un mot de passe au boot tu peux le rajouter dans les option BL, mais ça n'a vraiment aucun intérêt quand on a un TPM.  (et autre chose que 1234 comme mot de passe de session).

Message cité 1 fois
Message édité par flash_gordon le 09-02-2018 à 11:40:01
n°3299355
Bloodyjust​ice
Posté le 09-02-2018 à 11:39:50  profilanswer
 

Mais du coup, où se trouve l'accélération hardware ?
Sur la carte mère ?
Si je ne passe pas par le disque dur pour la protection, mon système va t il être plus lent ?
Je suis dans le flou total...
 
Si des types arrivent à aller jusqu'à l'écran de log win, n'y a t il pas moyen qu'ils arrivent à sniffer mon mot de passe ou la clé de codage via la RAM ou autre ?

Message cité 1 fois
Message édité par Bloodyjustice le 09-02-2018 à 11:41:17
n°3299356
flash_gord​on
Posté le 09-02-2018 à 11:42:49  profilanswer
 

Bloodyjustice a écrit :

Mais du coup, où se trouve l'accélération hardware ?
Sur la carte mère ?

 

Dans les instructions du proc.
Tous les cpu > coreduo ont les instructions pour gerer ça.

 
Bloodyjustice a écrit :


Si je ne passe pas par le disque dur, mon système va t il être plus lent ?

 

Je vais pas mentir et dire non, mais c'est invisible sorti des benchmarks.
La preuve, tu n'as vu aucune différence.

 

Effectivement, la procédure au dessus explique comment activer le chiffrement géré nativement par le disque. Tu y gagneras un peu de perfs (et encore, invisible sans benchmark, surtout sur un SSD), mais tu vas grandement compliquer ton utilisation.
A moins de ne pas pouvoir vivre en sachant que tu as perdu un quart de microseconde lors de la copie de fichiers, ça n'a pas vraiment d'interet.

 


Bloodyjustice a écrit :

 

Si des types arrivent à aller jusqu'à l'écran de log win, n'y a t il pas moyen qu'ils arrivent à sniffer mon mot de passe ou la clé de codage via la RAM ou autre ?

 

Comme dit dans l'autre topic, a moins que ton mot de passe soit 1234 ou qu'il y ait un compte admin sans mot de passe sur cette becane en plus du tien :non.


Message édité par flash_gordon le 09-02-2018 à 12:05:16
n°3299360
leroimerli​nbis
Posté le 09-02-2018 à 12:01:42  profilanswer
 

flash_gordon a écrit :


Ben oui, c'est l'idée, c'est pour ça que dans l'autre topic j'explique que BL est bien plus pratique que VC.
Windows a enregistré la clé de déverrouillage dans le TPM, c'est une puce sur ta carte mère, ça permet justement de ne pas avoir a taper le mot de passe a l'allumage.
Par contre si tu extrait ton disque pour le brancher ailleurs (ou que tu tentes les forcing avec un cd linux par exemple) , tu constateras que tu ne peux pas y accéder sans la clé de chiffrement, celle qui t'a été demandé de sauver.
 
Apres ça implique d'avoir quand même un mot de passe sur ta session. Si tu as bricolé windows comme le font certains pour se logger automatiquement sans mot de passe sur la session, effectivement tu annules l'intérêt de bitlocker.
 
Si tu veux vraiment avoir un mot de passe au boot tu peux le rajouter dans les option BL, mais ça n'a vraiment aucun intérêt quand on a un TPM.  
(et autre chose que 1234 comme mot de passe de session).


 
A choisir, je préfère faire sauter le mot de passe session et avoir un mot de passe BL.
Parce que cracker un mot de passe session, c'est fastoche, mais cracker un mot de passe BL, c'est déjà beaucouppppp plus compliqué (pour ne pas dire impossible)
A moins que BL empêche le crackage de mot de passe session?

n°3299361
flash_gord​on
Posté le 09-02-2018 à 12:08:58  profilanswer
 

leroimerlinbis a écrit :

 


A moins que BL empêche le crackage de mot de passe session?

 

Ben oui justement.

 

Comment tu fais pour faire peter un mdp windows ?
Avec un cd linux ? Sauf que le cd linux il va se retrouver devant la partition chiffrée.

 

Il n'y a que le boot windows qui saura acceder au tpm pour lire la clé. Tout accès détourné se heurtera au chiffrement.

 

Craquer un mdp windows est fastoche uniquement quand la partition n'est pas chiffrée. Sous BL tout change. C'est pour ça que je n'arrête pas mon prosélytisme BL dans le topic windows en expliquant que tous mes disques systemes sont en FDE.

Message cité 1 fois
Message édité par flash_gordon le 09-02-2018 à 12:12:01
n°3299362
Wolfman
Modérateur
Lobo'tomizado
Posté le 09-02-2018 à 12:11:12  profilanswer
 

Beaucoup de méthodes de crackage s'appuie sur le fait que tu as un accès aux données du disque. L'autre jour, sur un contrôleur de domaine AD, le mot de passe administrateur a été perdu. 2/3 manips plus tard, je l'avais réinitialisé et je pouvais rentrer sur le serveur parce que le disque n'était pas chiffré.

 

A partir du moment où tu as un accès physique à une machine, il est facile de rentrer dedans ou a minima d'en récupérer les données...à moins de chiffrer le disque, ce qui est l'intérêt de la chose.

 

Le mot de passe de session ne remplace pas le chiffrement de disque, et inversement. 2 sont deux mesures de sécurité qui agissent à des niveaux différents, et qui peuvent être complémentaires.

 

Edit: grillé par flash évidemment  [:bouh94:2]


Message édité par Wolfman le 09-02-2018 à 12:12:22
mood
Publicité
Posté le 09-02-2018 à 12:11:12  profilanswer
 

n°3299363
leroimerli​nbis
Posté le 09-02-2018 à 12:15:38  profilanswer
 

flash_gordon a écrit :


 
Ben oui justement.
 
Comment tu fais pour faire peter un mdp windows ?
Avec un cd linux ? Sauf que le cd linux il va se retrouver devant la partition chiffrée.
 
Il n'y a que le boot windows qui saura acceder au tpm pour lire la clé. Tout accès détourné se heurtera au chiffrement.


 
ahhhhh ok!
understood!


Message édité par leroimerlinbis le 09-02-2018 à 12:16:37
n°3299366
flash_gord​on
Posté le 09-02-2018 à 12:30:37  profilanswer
 

Voila.
Oui un mot de passe de session sans BL, c'est useless.
Oui BL sans mot de passe de session, c'est useless.

 

Mais les deux ensemble c'est extremement robuste tout en etant 100% transparent et n'impliquant aucun changement dans l'utilisation de l'ordi (la preuve en est l'auteur du topic qui sans explication ne voit pas de difference avant/apres).

 

C'est pour ça que ce n'est pas de la parano quand je dis que j'ai chiffré tous mes disques système. C'est simplement ce qui devrait etre par defaut a mon sens.

Message cité 1 fois
Message édité par flash_gordon le 09-02-2018 à 12:31:36
n°3299367
leroimerli​nbis
Posté le 09-02-2018 à 12:49:57  profilanswer
 

flash_gordon a écrit :

Voila.
Oui un mot de passe de session sans BL, c'est useless.
Oui BL sans mot de passe de session, c'est useless.

 

Mais les deux ensemble c'est extremement robuste tout en etant 100% transparent et n'impliquant aucun changement dans l'utilisation de l'ordi (la preuve en est l'auteur du topic qui sans explication ne voit pas de difference avant/apres).

 

C'est pour ça que ce n'est pas de la parano quand je dis que j'ai chiffré tous mes disques système. C'est simplement ce qui devrait etre par defaut a mon sens.


C'est clair que pour une machine avec des données confidentielles, c'est l'arme ultime

n°3299369
Bloodyjust​ice
Posté le 09-02-2018 à 13:26:18  profilanswer
 

Citation :

Effectivement, la procédure au dessus explique comment activer le chiffrement géré nativement par le disque. Tu y gagneras un peu de perfs (et encore, invisible sans benchmark, surtout sur un SSD), mais tu vas grandement compliquer ton utilisation.


Mais ça n'aura aucun lien avec Bitlocker ? Si ça a un lien, il prend le relai du micro processeur ?  
 

Citation :

Tu y gagneras un peu de perfs (et encore, invisible sans benchmark, surtout sur un SSD), mais tu vas grandement compliquer ton utilisation.


Pourquoi ?  
 
 

Citation :

Oui BL sans mot de passe de session, c'est useless.


Mais si on doit rentrer un mot de passe BL c'est toujours aussi useless ?  
 
Donc, pas de soucis à avoir vis à vis de la peur de se faire cracker si on laisse notre pc en veille, mais avec Bitlocker activé sur le système + demande de mot de passe uniquement au log de windows ?
 
En gros, si je comprends bien, l'état dans lequel s'était retrouvé mon système était parfait ?


Message édité par Bloodyjustice le 09-02-2018 à 13:31:52
n°3299371
Bloodyjust​ice
Posté le 09-02-2018 à 13:30:26  profilanswer
 

Donc si je comprends bien, si notre disque système est sous bitlocker, il n'est pas possible de faire du brutforce pour découvrir notre mot de passe de session Windows (car si on boot sous linux, il va tomber sur une partition encryptée) ?


Message édité par Bloodyjustice le 09-02-2018 à 13:31:09
n°3299377
flash_gord​on
Posté le 09-02-2018 à 14:50:53  profilanswer
 

C'est exactement ça.

n°3299386
Bloodyjust​ice
Posté le 09-02-2018 à 15:53:38  profilanswer
 

Merci pour ta réponse. Et en ce qui concerne le message précédent ? (je n'ai pas non plus envie d'abuser de ta patience).

n°3299396
Bloodyjust​ice
Posté le 09-02-2018 à 17:36:55  profilanswer
 

Dans l'appli bitlocker lorsque je clique sur "Administration du TPM" (en bas à gauche), j'ai doit à un "Module de plateforme sécurisée compatible introuvable" ! C'est dû à quoi ? Suis-je en droit d'être inquiet ?


Message édité par Bloodyjustice le 09-02-2018 à 18:36:29
n°3299399
nebulios
Posté le 09-02-2018 à 18:06:36  profilanswer
 

Qu'il ne trouve visiblement pas la puce TPM de ta carte-mère. Tu l'avais initialisée ?

n°3299404
Bloodyjust​ice
Posté le 09-02-2018 à 18:25:44  profilanswer
 

nebulios a écrit :

Qu'il ne trouve visiblement pas la puce TPM de ta carte-mère. Tu l'avais initialisée ?


 
C'est une asus x99 donc je pense qu'il devrait y avoir une puce TPM.  
 
J'ai fait cette méthode pour l'activer (ou pas).  
 
https://www.youtube.com/watch?v=5kUOU5HCtEQ
 

Citation :


Paramètres de stratégie de groupe BitLocker sont accessibles à l'aide de l'éditeur de stratégie de groupe et la Console de gestion Stratégie de groupe (GPMC) sousConfiguration ordinateur\Modèles d'administration\Composants Windows\Chiffrement de lecteur BitLocker.


 
 
J'ai coché le truc comme quoi windows pouvait utiliser un TMP incompatible.


Message édité par Bloodyjustice le 09-02-2018 à 18:31:30
n°3299408
Bloodyjust​ice
Posté le 09-02-2018 à 18:43:47  profilanswer
 

Finalement, il semblerait bien que mon Asus X-99 A usb 3.1 ne possède pas de TPM nativement !
Sur le site d'asus, ils proposent cela :  
 
1 x TPM connector(s)

n°3299410
flash_gord​on
Posté le 09-02-2018 à 19:08:38  profilanswer
 

Je comprends pas. Plus haut tu disais que tu avais activé bitlocker.
En fait non ?


Message édité par flash_gordon le 09-02-2018 à 19:09:04
n°3299412
Bloodyjust​ice
Posté le 09-02-2018 à 19:30:15  profilanswer
 

Il me semble que l'on peut activer bitlocker sans posséder de TPM.

n°3299440
Bloodyjust​ice
Posté le 10-02-2018 à 00:06:06  profilanswer
 

Au début, j'ai essayé d'activer bitocker sur mon DD système 840 EVO samsung. Ca n'a pas fonctionné, ensuite, j'ai activé "exiger une authentification supplémentaire au démarrage", puis j'ai pu activer Bitlocker. La première fois que je l'ai fait, effectivement, je n'avais pas d'écran bitlocker dans lequel rentrer un code. Ensuite, j'ai désactiver bitlocker et je l'ai activé à nouveau, sauf que cette fois-ci j'avais un écran bitlocker où rentrer le mot de passe... Va comprendre...

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Activer Bitlocker avec un SSD Samsung 840 EVO sans devoir perdre win10

 

Sujets relatifs
[RESOLU] Win10 - desactiver la demande de MDP en sortie de veilleWin10 Menu demarrer sur vignette par defaut
[résolu] SSD Windows 10 sous chipset Intel vers AmdCopier Windows 10 sur USB ? (Installation CLEAN, tout perdre est voulu
Separer HDD d'un SSDProbleme Pilotes sous win10 1709
Boot impossible sur win10 + Ryzen - Bug du KB4056897 ?CHKDSK se bloque à 14% (win10 64bits/WD Raptor 150)
réinitialisation Windows 10 sans perdre mes progammes[Win10]HDD Externe qui se déconnecte seul
Plus de sujets relatifs à : Activer Bitlocker avec un SSD Samsung 840 EVO sans devoir perdre win10


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR