Avec l’arrivée de Windows 7, certains administrateurs seront tentés d’utiliser de nouvelles GPO Bitlocker afin de limiter la sortie d’informations sur des périphériques externes…
Une des GPO intéressantes permet de « Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker »
Cette GPO est décrite par:
[…] les lecteurs de données amovibles non protégés par BitLocker seront montés en lecture seule. En revanche, les lecteurs protégés par BitLocker sont accessibles en lecture et en écriture […]
Résultat
A l’insertion d’un périphérique externe (une clé USB par exemple), Windows nous propose de chiffrer celui ci, sous peine de s’y voir condamner l’accès
Fonctionnement
A chaque volume monté, la stratégie est vérifiée par un passage dans fvevol!FveGroupPolicyIsBDEForcedOn
, qui renverra la possibilité d’écrire ou non sur le volume.
C’est là que se situe le point névralgique du contournement… la GPO n’est pas appliquée une fois pour toute dès l’ordinateur démarré…, une valeur du registre est lue à chaque volume monté.
Contournement
Très simplement, en tant qu’administrateur : reg add HKLM\SYSTEM\CurrentControlSet\Policies\Microsoft\FVE /v RDVDenyWriteAccess /t REG_DWORD /d 0 /f
Ou via un fichier .reg
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FVE] "RDVDenyWriteAccess"=dword:00000000
Remarques
- Le contournement ne s’applique pas sur les périphérique déjà montés, il faudra les éjecter puis les réinsérer
- Il faut réécrire la valeur dans le registre après que la GPO soit repassée
- Pour les périphériques fixes, utiliser
FDVDenyWriteAccess
- Ce n’est pas le contournement du siècle, mais il est bien pratique ;)