La problématique de WinRE

Cet environnement est accessible soit à partir d’un CD/DVD de Windows 7

soit par le menu des options de démarrage avancées en appuyant sur la touche F8 avant le chargement de Windows. En passant par ce menu, WinRE est alors chargé depuis le disque physique. Plusieurs outils exploitent WinRE tel que ceux des constructeurs ou ceux qui composent la solution DART (Diagnostics And Recovery Toolset) que nous aborderons dans la suite de cette article. Voir figure 3.

WinRE est automatiquement installé lors de l’installation de Windows 7 ou de Windows Server 2008 R2 dans le dossier « C:\Recovery » si la lettre de lecteur C représente la partition où est installé votre système d’exploitation Windows. Ce dossier est caché et il faudrait modifier les permissions de ce répertoire pour y accéder. WinRE n’est autre qu’une image WinPE au format standard WIM nommée « winre.wim ».

Chiffrement de lecteur BitLocker

Lors de l’activation de BitLocker via l’assistant « Chiffrement de lecteur BitLocker » disponible dans le panneau de configuration, celui-ci va premièrement vérifier que la partition « System Reserved » est présente et qu’elle dispose de suffisamment de place pour déplacer WinRE. Le déplacement du WinRE est imposé via l’assistant car étant donné qu’il est stocké par défaut sur la partition qui sera chiffrée par BitLocker, nous ne pourrons pas accéder à l’environnement de récupération WinRE lors du démarrage de l’ordinateur en cas de besoin. Il faut donc le déplacer sur la partition « System Reserved ». Si cette partition n’est pas présente ou qu’elle ne dispose pas assez de place pour stocker WinRE, l’assistant va créer ou modifier la taille de la partition « System Reserved » et procédera au déplacement du fichier « winre.wim ». Lors du déploiement de Windows 7 via SCCM, si WinRE n’est pas nécessaire, il n’est pas obligatoire de la déplacer.

Faille de sécurité

Dès lors que cette opération est effectuée et que le chiffrement de la partition est terminé, nous pourrons accéder à l’environnement WinRE dès le démarrage de l’ordinateur. Bien évidemment, cela ne représente pas une faille de sécurité car dès lors que nous voudrons accéder à une partition chiffrée par BitLocker, nous devrons taper la clef de récupération BitLocker. De plus, l’accès à l’environnement de récupération nécessite que l’administrateur renseigne le mot de passe de l’Administrateur local.

La problématique liée à WinRE est que si nous souhaitons déployer à grande échelle BitLocker en entreprise, il faudra trouver une solution pour automatiser le déplacement du WinRE car il n’y a pas d’outils similaires permettant de le faire comme l’assistant BitLocker dans Windows. Enfin, il faudra également prendre en charge la modification du secteur de démarrage pour WinRE !

Pour aller plus loin avec les experts @ITPROFR :

Intégration de WinRE et DaRT · iTPro.fr

Déployer DaRT avec SCCM · iTPro.fr

Exploitation du poste de travail avec DaRT 7.0 · iTPro.fr