BitLocker dans Virtual PC

Ben Armstrong vient de re-publier l'article indiquant comment activer BitLocker dans une machine virtuelle. Comme c'est une méthode que j'ai trouvée l'année dernière, je vais me permettre de la résumer ici en français. Mais avant cela, un peu d'histoire...

En avril l'année dernière, je préparais une formation dont BitLocker était un sujet majeur. Je cherchais un moyen d'en faire des démonstrations dans des scénarios assez complexes, comme par exemple l'analyse d'un volume chiffré avec BitLocker depuis une machine Windows XP. Virtual PC était un bon candidat, puisque les manipulations de disques, comme par exemple brancher le disque Vista/BitLocker en disque secondaire d'une machine Windows XP, devenaient triviales et se faisaient en quelques clics. Il fallait donc réussir à activer le chiffrement BitLocker dans une VM... Inutile d'insister du coté du TPM. Restait le mode avec clé USB, mais Virtual PC ne fait pas l'USB... Et l'interface graphique de BitLocker ne présente que les clés USB spécifiquement. La simple idée était alors : pourquoi pas une disquette ? Virtual PC sait utiliser des disquettes virtuelles (fichiers .vfd) et, au lieu d'utiliser l'interface graphique, j'ai fait le test avec la ligne de commande manage-bde.wsf avec les options -on c: (pour chiffrer c:), -rp (pour créer un mot de passe de récupération) et -sk a: (pour créer la clé de démarrage sur la disquette a:). Et cela a marché... Restait à paramétrer convenablement le BIOS de la VM pour qu'elle ne cherche pas à démarrer sur la disquette, et laisser cette dernière chargée dans la VM en permanence.

Comme à l'époque je n'avais pas commencé ce blog, j'avais donné l'idée à Ben pour qu'il la publie, ce qu'il a fait début mai, mais il a dû retirer l'article immédiatement à cause d'une clause dans le contrat de licence de WIndows Vista qui interdisait l'utilisation de certaines technologies comme BitLocker dans des environnements virtuels. Il se trouve que ce contrat de licence vient de changer et que cette configuration est maintenant autorisée !

Donc cette méthode est la suivante. Vérifiez avec l'article de Ben pour plus de détails pratiques si nécessaire.

  1. Créez la machine virtuelle avec un disque d'au moins 11 Go. Pensez que le disque prendra sa taille maximum dès que BitLocker sera activé, et qu'une fois chiffré, la conpression NTFS sur le fichier .vhd n'aura aucun effet. Utilisez donc plutôt un disque virtuel de taille fixe plutôt qu'un disque dynamique, et dans un répertoire non compressé.
     

  2. Créez une disquette virtuelle avec l'Assistant Disque Virtuel.
     

  3. Configuration du BIOS de la VMConfigurez le BIOS de la machine virtuelle pour qu'elle ne démarre pas sur la disquette : Démarrez la VM, tapez immédiatement <Suppr>, allez dans la page Boot, Sélectionnez Boot Device Priority <Entrée>, Floppy Drive <Entrée>, Disabled <Entrée>, puis <F10> pour sauvegarder.
     

  4. Installez Windows Vista, en préparant les partitions avant de lancer l'installation. Pour ce faire, utilisez cet article ou procédez comme suit (méthode de Ben, très astucieuse !).

    Au démarrage sur le DVD de Vista, choisissez Installer et continuez jusqu'à l'écran Où souhaitez-vous installer Windows. tapez Shift+F10. Dans la ligne de commande qui s'ouvre, tapez :

    Partitionnement lors de l'installationdiskpart
    select disk 0
    clean
    create partition primary size=1500
    assign letter=S
    active
    create partition primary
    assign letter=C
    exit
    format c: /y /q /fs:NTFS
    format s: /y /q /fs:NTFS
    exit

    Cliquez sur Actualiser puis choisissez la seconde partition (la plus volumineuse) pour installer Vista. Après installation, installez les additions de Virtual PC.

    Note : la lettre S utilisée ci-dessus est purement temporaire. Une fois Vista installé, la partition active de 1,5 Go s'appellera D: .
     

  5. gpedit.msc, configuration de BitLocker sans TPMPermettre l'utilisation de BitLocker sans TPM : lancez gpedit.msc et naviguez vers Configuration Ordinateur - Modèles d'administration - Composants Windows - Chiffrement de lecteur BitLocker. Activez l'option Configuration du Panneau de configuration : Activez les options de démarrage avancées. Sélectionnez Activé et cochez la case Autoriser BitLocker sans un module de plateforme sécurisée...
     

  6. Chargez la disquette virtuelle créée à l'étape 2 (menu Disquette.)
     

  7. Ouvrez une ligne de commande en tant qu'administrateur et tapez la commande :

    cscript manage-bde.wsf -on c: -rp -sk a:

    Copiez le mot de passe de récupération, puis redémarrez la machine virtuelle.
     

  8. Une fois la machine virtuelle redémarrée, vérifiez que le chiffrement en est cours dans le Panneau de configuration, Sécurité, BitLocker.

Clé BitLocker lue au démarargeUne fois le chiffrement terminé, il suffit que la disquette virtuelle soit toujours chargée dans la VM pour que celle-ci démarre automatiquement. Au démarrage, bootmgr lit la clé externe sur la disquette (ci-contre) : malgré le message, ne retirez pas la disquette de la VM.

Bien entendu les performances ne seront pas extraordinaires, mais cette configuration peut être utile pour des tests ou des démonstrations.

Bonnes démos !