Chiffrement de lecteur Bitlocker – limitation des périphériques externes

Avec l’arrivée de Windows 7, certains administrateurs seront tentés d’utiliser de nouvelles GPO Bitlocker afin de limiter la sortie d’informations sur des périphériques externes…
Une des GPO intéressantes permet de « Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker »

Cette GPO est décrite par:

[…] les lecteurs de données amovibles non protégés par BitLocker seront montés en lecture seule. En revanche, les lecteurs protégés par BitLocker sont accessibles en lecture et en écriture […]

Résultat

A l’insertion d’un périphérique externe (une clé USB par exemple), Windows nous propose de chiffrer celui ci, sous peine de s’y voir condamner l’accès
bitlocker_removable_drive

Fonctionnement

A chaque volume monté, la stratégie est vérifiée par un passage dans fvevol!FveGroupPolicyIsBDEForcedOn, qui renverra la possibilité d’écrire ou non sur le volume.
C’est là que se situe le point névralgique du contournement… la GPO n’est pas appliquée une fois pour toute dès l’ordinateur démarré…, une valeur du registre est lue à chaque volume monté.

Contournement

Très simplement, en tant qu’administrateur : reg add HKLM\SYSTEM\CurrentControlSet\Policies\Microsoft\FVE /v RDVDenyWriteAccess /t REG_DWORD /d 0 /f

Ou via un fichier .reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FVE]
"RDVDenyWriteAccess"=dword:00000000

Remarques

  • Le contournement ne s’applique pas sur les périphérique déjà montés, il faudra les éjecter puis les réinsérer
  • Il faut réécrire la valeur dans le registre après que la GPO soit repassée
  • Pour les périphériques fixes, utiliser FDVDenyWriteAccess
  • Ce n’est pas le contournement du siècle, mais il est bien pratique ;)