Exporter (0) Imprimer
Développer tout

Guide pas-à-pas de BitLocker Drive Encryption dans Windows Vista bêta 2

Ce guide pas-à-pas fournit des instructions pour l'utilisation de Microsoft® BitLocker™ Drive Encryption dans un environnement de test. Il est recommandé de commencer par utiliser la procédure de ce guide dans un environnement de laboratoire ou de test. Les guides pas-à-pas ne sont pas nécessairement destinés à une utilisation pour le déploiement des fonctionnalités du système d'exploitation Microsoft® Windows Vista™ sans la documentation correspondante (répertoriée dans la section Ressources complémentaires) et doivent être utilisés comme un document autonome.

À propos du nom du produit

BitLocker Drive Encryption est le nom final du projet, précédemment appelé Secure Startup – Full Volume Encryption. Certaines versions préliminaires de Windows Vista continuent d'utiliser l'ancien nom du projet dans les chaînes de texte et les titres Windows. Ce guide pas-à-pas utilise l'ancien nom lorsque cela est nécessaire, par exemple pour les références à l'interface utilisateur où ce nom apparaît. Dans le cas contraire, le nom officiel est utilisé.

Qu'est-ce que BitLocker Drive Encryption ?

BitLocker Drive Encryption est une toute nouvelle fonctionnalité de sécurité du système d'exploitation Windows Vista, qui fournit une protection hors connexion importante pour les données et le système d'exploitation de votre ordinateur. BitLocker garantit que les données stockées sur un ordinateur Windows Vista ne sont pas divulguées si l'ordinateur est trafiqué lorsque le système d'exploitation installé est hors connexion. Il utilise de manière facultative un module TPM (Trusted Platform Module) pour offrir une protection renforcée de vos données et pour garantir l'intégrité des composants lors de l'amorçage. Cela permet de protéger vos données contre le vol ou contre l'affichage non autorisé par cryptage du volume Windows entier.

BitLocker Drive Encryption est conçu pour offrir l'environnement utilisateur le plus transparent avec les systèmes équipés d'une puce TPM et d'un BIOS compatibles. Une puce TPM compatible est définie comme une puce TPM version 1.2 avec n'importe quelle modification BIOS appropriée requise pour prendre en charge la racine statique de mesure d'approbation, telle que définie par Trusted Computing Group. La puce TPM interagit avec BitLocker Drive Encryption afin d'offrir une protection transparente au démarrage du système.

BitLocker Drive Encryption peut également être utilisé sur les ordinateurs sans puce TPM compatible. L'utilisation de BitLocker Drive Encryption de cette façon offre des fonctionnalités de cryptage de volume, mais pas la sécurité supplémentaire de la validation d'intégrité précoce du fichier d'amorçage. En revanche, une unité flash USB valide l'identité de l'utilisateur au démarrage.

BitLocker comporte deux modes TPM :

  • TPM uniquement. Ce mode est transparent pour l'utilisateur et l'environnement d'ouverture de session utilisateur est inchangé. En revanche, si la puce TPM est manquante ou modifiée, BitLocker passe en mode récupération, et vous avez alors besoin d'une clé ou d'un mot de passe de récupération pour pouvoir accéder de nouveau aux données.

  • Clé de démarrage. L'utilisateur a besoin d'une clé de démarrage pour l'ouverture de session sur l'ordinateur. Une clé de démarrage peut être soit physique (unité flash USB avec une clé lisible par l'ordinateur), soit personnelle (code PIN défini par l'utilisateur).

BitLocker comporte également un mode pour les systèmes non TPM :

  • Clé de lecteur flash USB. L'utilisateur insère un lecteur flash USB dans l'ordinateur avant de le mettre sous tension. La clé stockée sur le lecteur flash déverrouille l'ordinateur.

Qui doit utiliser BitLocker Drive Encryption ?

Ce guide s'adresse aux publics suivants :

  • Planificateurs et analystes qui évaluent le produit

  • Adopteurs précoces

  • Architectes de sécurité.

Dans ce guide

L'objectif de ce guide est d'aider les administrateurs à se familiariser avec la fonctionnalité BitLocker Drive Encryption de Windows Vista. Les sections suivantes fournissent des informations de base et des procédures dont les administrateurs ont besoin pour commencer à configurer et à déployer BitLocker dans leurs réseaux.

Le scénario 1 fournit des instructions pour la création des deux partitions requises pour BitLocker Drive Encryption. Le scénario 2 vous guide dans l'activation et l'initialisation de votre TPM. Les scénarios 3 et 4 expliquent comment crypter une unité avec BitLocker et TPM. Si vous n'avez pas de TPM, suivez le scénario 5. Le scénario 6 décrit comment accéder aux données cryptées après le verrouillage, et comment générer un verrouillage. Le scénario 7 vous guide dans la désactivation de BitLocker Drive Encryption.


Configuration requise pour BitLocker Drive Encryption

Ces étapes concernent le test uniquement. Ce guide ne doit pas être votre seule ressource pour déployer les fonctionnalités Microsoft Windows Server® nom de code « Longhorn » ou Windows Vista.

 Remarque :

Il est vivement recommandé de ne pas exécuter de débogueur lorsque BitLocker Drive Encryption est activé. L'exécution d'un débogueur sur votre ordinateur BitLocker Drive Encryption nécessite de suivre le processus de récupération à chaque redémarrage.

Exigences matérielles et logicielles

  • Ordinateur qui satisfait aux exigences minimales pour Windows Vista.

  • Puce TPM, version 1.2, activée. (Scénarios 3 et 4).

  • BIOS compatible TCG (Trusted Computing Group) (Scénarios 3 et 4).

  • Deux partitions NTFS, une pour le volume système et une pour le volume du système d'exploitation. La partition du volume système doit comporter au moins 1,5 Go et être définie comme partition active (scénario 1).

  • Un lecteur flash USB, afin de tester l'utilisation d'un lecteur flash pour stocker une clé de démarrage (scénario 5).

  • Un paramètre BIOS pour l'amorçage à partir du disque dur en premier, et non les lecteurs USB ou CD.

    Pour tout test incluant le lecteur flash USB, votre BIOS doit être configuré pour la lecture et l'écriture sur un lecteur flash USB au démarrage.

  • Pour tester sur les ordinateurs non TPM, vous n'avez pas besoin de puce TPM compatible.

Scénario 1 : Partitionnement d'un disque dur pour BitLocker Drive Encryption

Pour que BitLocker fonctionne, votre disque doit comporter deux partitions. La première partition, appelée volume système, contient les informations d'amorçage dans un espace non crypté La deuxième partition, appelée volume du système d'exploitation, est cryptée et contient les données du système d'exploitation et les données utilisateur. Vous devez créer ces partitions avant d'installer Windows Vista.

Le scénario 1 explique comment créer les deux partitions requises pour BitLocker Drive Encryption. Cette procédure suppose que vous avez sauvegardé des données sur le lecteur.

 Remarque :

Assurez-vous d'avoir sauvegardé toutes les données et que vous disposez de la clé du produit pour Windows Vista.

Partitionnement d'une unité sans système d'exploitation pour BitLocker

Dans cette procédure, vous allez démarrer l'ordinateur à partir du DVD du produit, puis entrer une série de commande pour :

  • Créer une nouvelle partition comme partition principale

  • Formater un nouveau volume sur cette nouvelle partition.

  • Créer une deuxième partition principale, plus petite

  • Configurer la partition plus petite comme active

  • Formater un deuxième volume sur la partition plus petite

  • Installer Windows Vista sur le volume le plus gros (lecteur C)

 Remarque :

Vous devez créer une deuxième partition active pour que BitLocker fonctionne correctement.

Il se peut que vos lettres d'unité ne correspondent pas à celles de l'exemple. Dans cet exemple, le volume du système d'exploitation est appelé C, et le volume système est appelé S (pour le volume système). Dans cet exemple, nous supposons également que le système ne comporte qu'un seul disque dur physique.

Pour partitionner une unité sans système d'exploitation pour BitLocker
  1. Démarrez l'ordinateur à partir du DVD du produit Windows Vista.

  2. Sur l'écran Installation de Windows initial, choisissez la Langue d'installation, le Format d'heure et de devise, la Disposition du clavier, puis cliquez sur Suivant.

  3. Dans l'écran Installation de Windows suivant, cliquez sur Options de récupération système, dans la partie inférieure gauche de l'écran.

  4. Dans la boîte de dialogue Options de récupération système, choisissez la disposition du clavier et cliquez sur Suivant.

  5. Dans la boîte de dialogue Options de récupération système suivante, assurez-vous qu'aucun système d'exploitation n'est sélectionné. Pour cela, cliquez dans la zone vide de la liste Système d'exploitation, sous les entrées répertoriées. Ensuite, cliquez sur Suivant.

  6. Dans la boîte de dialogue Options de récupération système suivante, cliquez sur Invite de commande.

  7. Utilisez Diskpart pour créer la partition pour le volume du système d'exploitation. À l'invite de commande, tapez diskpart et appuyez sur Entrée.

  8. Tapez select disk 0.

  9. Tapez clean pour supprimer la table de partition existante.

  10. Tapez create partition primary pour configurer la partition que vous êtes en train de créer comme partition de type principal.

  11. Tapez assign letter=c pour affecter la lettre d'unité C: à cette partition.

  12. Tapez shrink minimum=1500 pour réduire la partition de 1,5 gigaoctets à la fin. Cela permet de créer l'espace pour le volume système.

  13. Tapez create partition primary pour créer une autre partition de type principal dans l'espace laissé par la commande shrink.

  14. Tapez active pour configurer la nouvelle partition comme partition active.

  15. Tapez assign letter=s pour affecter la lettre d'unité S.

  16. Tapez exit afin de quitter l'application diskpart.

  17. Tapez format c: /y /q /fs:NTFS pour formater correctement le volume C.

  18. Tapez format s: /y /q /fs:NTFS pour formater correctement le volume S.

  19. Tapez exit afin de quitter l'invite de commande.

  20. Dans la fenêtre Options de récupération système, utilisez l'icône de fermeture de la fenêtre dans le coin supérieur droit (ou appuyez sur ALT+F4) pour fermer la fenêtre afin de revenir à l'écran d'installation principal. (Ne cliquez pas sur Arrêter ou sur Redémarrer.)

  21. Cliquez sur Installer maintenant et passez au processus d'installation de Windows Vista. Installez Windows Vista sur le volume C (le volume du système d'exploitation).

Scénario 2 : Initialisation du TPM

Ce scénario décrit comment initialiser le TPM sur votre ordinateur. Pour initialiser le TPM, vous devez l'activer, puis définir la propriété du TPM. Ce scénario peut être utilisé par les administrateurs locaux responsables de la configuration des ordinateurs équipés de TPM.

Pour initialiser le TPM sur votre ordinateur, effectuez les opérations suivantes :

Étape 1 : Activer le TPM

Le TPM doit être activé pour sécuriser l'ordinateur.

Les ordinateurs fabriqués pour satisfaire aux exigences Windows Vista incluent la fonction BIOS de pré-amorçage, qui facilite l'activation du TPM d'un ordinateur via l'Assistant Initialisation TPM. Au lancement, l'Assistant Initialisation TPM informe l'utilisateur si le TPM de l'ordinateur est activé ou non.

La procédure suivante explique comment lancer l'Assistant Initialisation TPM et activer le TPM.

 Remarque :

Pour exécuter la procédure suivante, vous devez être connecté en tant qu'administrateur à un ordinateur équipé de TPM.

Pour lancer l'Assistant Initialisation TPM et activer le TPM
  1. Cliquez sur Démarrer, sur Tous les programmes, sur Accessoires, puis sur Exécuter.

  2. Tapez tpm.msc dans la zone Ouvrir, puis cliquez sur OK. La Console de gestion TPM s'affiche.

  3. Si une boîte de dialogue Contrôle de compte utilisateur apparaît, vérifiez que l'action proposée correspond à ce que vous avez demandé, puis cliquez sur Continuer. Pour plus d'informations, reportez-vous à la section « Ressources complémentaires » dans ce document.

  4. Sous Actions, cliquez sur Initialiser TPM afin de lancer l'Assistant Initialisation TPM.

    • Si le TPM est désactivé, l'Assistant Initialisation TPM affiche la boîte de dialogue Activer le matériel de sécurité TPM. Cette boîte de dialogue vous guide dans l'activation du TPM. Vous devrez redémarrer votre système pour activer le TPM.

    • Si le TPM est déjà activé, l'Assistant Initialisation TPM affiche la boîte de dialogue Créer le mot de passe propriétaire TPM.

    • Si l'Assistant Initialisation TPM détecte que le BIOS de l'ordinateur ne satisfait pas aux exigences de Windows Vista, vous ne pourrez pas poursuivre avec l'Assistant, et vous serez invité à consulter la documentation du fabricant de l'ordinateur afin de savoir comment activer le TPM.

  5. Cliquez sur Arrêter (ou Redémarrer), puis suivez les invites BIOS.

     Remarque :

    Les invites et contrôles BIOS peuvent varier.

     Remarque :

    Après le redémarrage, une invite d'acceptation s'affiche afin de s'assurer que c'est bien un utilisateur présent, et non un logiciel malveillant, qui tente d'activer le TPM.

Étape 2 : Définir la propriété du TPM

Le TPM a besoin d'un propriétaire pour sécuriser l'ordinateur. Lorsque vous définissez le propriétaire du TPM, vous affectez un mot de passe, de sorte que seul le propriétaire TPM autorisé puisse accéder au TPM et le gérer. Utilisez le mot de passe TPM pour désactiver le TPM, ou pour le supprimer si l'ordinateur doit être recyclé. Appliquez la procédure ci-dessous pour définir la propriété du TPM via l'Assistant Installation TPM.

 Remarque :

Vous devez être connecté en tant qu'administrateur pour définir la propriété du TPM.

Pour définir la propriété du TPM
  1. Lancez l'Assistant Initialisation TPM. Voir Étape 1 : Activer le TPM plus haut dans ce guide.

  2. Dans la boîte de dialogue Créer le mot de passe propriétaire TPM, sélectionnez Créer le mot de passe automatiquement (recommandé).

  3. Dans la boîte de dialogue Enregistrer votre mot de passe propriétaire TPM, cliquez sur Enregistrer et sélectionnez un emplacement pour enregistrer le mot de passe.

  4. Cliquez de nouveau sur Enregistrer. Le fichier de mot de passe est enregistré sous nom_ordinateur.tpm.

  5. Cliquez sur Imprimer de mot de passe si vous souhaitez imprimer une copie de votre mot de passe.


    Important

    Il est vivement recommandé de conserver le mot de passe propriétaire TPM sur un support amovible, ainsi que d'imprimer votre mot de passe de clé de récupération et de la conserver dans un lieu sûr.

  6. Cliquez sur Initialiser.


     Remarque :

    Le processus d'initialisation du TPM peut prendre quelques minutes.

  7. Cliquez sur Fermer.


    Attention :

    Ne perdez pas votre mot de passe. Si vous le perdez, vous ne pourrez pas apporter de modifications administratives, sauf à supprimer le TPM. Si vous supprimez le TPM, vous forcerez BitLocker Drive Encryption en mode verrouillé.

Scénario 3 : Activation du cryptage BitLocker Drive Encryption élémentaire

Le scénario 3 décrit les procédures pour activer la protection de base sur un système équipé d'un TPM. La configuration de base est BitLocker Drive Encryption. Une fois le volume crypté, l'utilisateur ouvre une session normalement sur l'ordinateur.

Utilisez la procédure suivante pour activer le cryptage BitLocker Drive Encryption élémentaire.

Avant de commencer

  • Vous devez avoir activé et initialisé un TPM compatible, et en être propriétaire, pour pouvoir activer BitLocker.

  • Vous devez avoir ouvert une session en tant qu'administrateur.

  • Vous pouvez configurer une imprimante pour imprimer les mots de passe de récupération.

Pour activer le cryptage BitLocker Drive Encryption élémentaire
  1. Cliquez sur Démarrer, sur Panneau de configuration, sur Sécurité, puis sur BitLocker Drive Encryption.

  2. Si la boîte de dialogue Contrôle de compte utilisateur apparaît, vérifiez que l'action proposée correspond à ce que vous avez demandé, puis cliquez sur Continuer. Pour plus d'informations, reportez-vous à la section « Ressources complémentaires » dans ce document.

  3. Dans l'écran BitLocker Drive Encryption, cliquez sur Activer BitLocker sur le volume système.

  4. Cliquez sur Ne pas utiliser de clé de démarrage ou de code PIN.

  5. Dans la boîte de dialogue Créer le mot de passe de récupération, cliquez sur Créer un mot de passe de récupération.

  6. Dans la boîte de dialogue Enregistrer le mot de passe de récupération, vous voyez les options suivantes :

    • Enregistrer le mot de passe sur une unité USB. Enregistre le mot de passe sur une unité amovible.

    • Enregistrer le mot de passe dans un dossier. Enregistre le mot de passe sur une unité réseau ou dans un autre emplacement.

    • Afficher le mot de passe. Affiche le mot de passe à l'écran.

    • Imprimer le mot de passe. Imprime le mot de passe.

    Vous aurez besoin du mot de passe de clé de récupération pour déverrouiller les données cryptées sur le volume si BitLocker Drive Encryption passe dans un état verrouillé (voir Scénario 6 : Récupération de données protégées avec BitLocker Drive Encryption). Cette clé de récupération est propre à ce cryptage BitLocker particulier. Vous ne pouvez pas l'utiliser pour récupérer des données cryptées à partir d'une autre session de cryptage BitLocker.

    Choisissez l'une de ces options pour préserver le mot de passe de récupération. Stockez les mots de passe de récupération dans un lieu distinct de l'ordinateur, pour une sécurité maximale. Pour choisir plusieurs méthodes de stockage du mot de passe de clé de récupération, sélectionnez-en une, suivez l'assistant pour déterminer l'emplacement pour l'enregistrement ou l'impression, puis cliquez sur Précédent afin de revenir à la boîte de dialogue Enregistrer la clé de récupération en tant que mot de passe pour en choisir une autre.

  7. Lisez les informations concernant le cryptage de disque.

  8. À partir de la boîte de dialogue Crypter le volume de disque sélectionné, cliquez sur Crypter. La barre d'état Cryptage en cours s'affiche. Vous pouvez surveiller la progression du cryptage du volume de disque en faisant glisser le curseur sur l'icône BitLocker Drive Encryption dans la barre d'outils en bas de l'écran. Le cryptage du volume nécessite environ une minute par gigaoctet.

    À la fin de la procédure, vous avez crypté le volume du système d'exploitation et vous avez créé une clé de récupération propre à ce volume. Lors de la prochaine ouverture de session, vous ne verrez aucune modification. Si le TPM change ou n'est plus accessible, ou si quelqu'un tente de démarrer à partir d'un disque pour contourner le système d'exploitation, l'ordinateur passe en mode verrouillé, jusqu'à ce que la clé soit fournie.

Scénario 4 : Activation de BitLocker Drive Encryption avec un code PIN

Utilisez la procédure suivante pour activer BitLocker Drive Encryption avec un code PIN (Personal Identification Number).

Avant de commencer

  • Vous devez avoir activé et initialisé un TPM compatible, et en être propriétaire, pour pouvoir activer BitLocker.

  • Vous devez avoir ouvert une session en tant qu'administrateur.

  • Vous pouvez configurer une imprimante pour imprimer les mots de passe de récupération.

  • Vous pouvez utiliser une unité flash USB pour enregistrer la clé de démarrage.

Pour activer BitLocker Drive Encryption avec un code PIN
  1. Cliquez sur Démarrer, sur Panneau de configuration, sur Sécurité, puis sur BitLocker Drive Encryption.

  2. Si la boîte de dialogue Contrôle de compte utilisateur apparaît, vérifiez que l'action proposée correspond à ce que vous avez demandé, puis cliquez sur Continuer. Pour plus d'informations, reportez-vous à la section  « Ressources complémentaires » dans ce document.

  3. Dans l'écran BitLocker Drive Encryption, cliquez sur Activer BitLocker sur le volume système.

  4. Lisez les informations relatives à BitLocker Drive Encryption, puis cliquez sur Suivant.

  5. Cliquez sur Définir code PIN de démarrage.

  6. Dans la boîte de dialogue Définir un code PIN de démarrage, entrez et confirmez votre code PIN.

  7. Cliquez sur Définir code PIN.

  8. Dans la boîte de dialogue Créer le mot de passe de récupération, cliquez sur Créer un mot de passe de récupération.

  9. Dans la boîte de dialogue Enregistrer le mot de passe de récupération, vous voyez les options suivantes :

    • Enregistrer le mot de passe sur une unité USB. Enregistre le mot de passe sur une unité amovible.

    • Enregistrer le mot de passe dans un dossier. Enregistre le mot de passe sur une unité réseau ou dans un autre emplacement.

    • Afficher le mot de passe. Affiche le mot de passe à l'écran.

    • Imprimer le mot de passe. Imprime le mot de passe.

    Vous aurez besoin du mot de passe de clé de récupération pour déverrouiller les données cryptées sur le volume si BitLocker Drive Encryption passe dans un état verrouillé (voir Scénario 6 : Récupération de données protégées avec BitLocker Drive Encryption). Cette clé de récupération est propre à ce cryptage BitLocker particulier. Vous ne pouvez pas l'utiliser pour récupérer des données cryptées à partir d'une autre session de cryptage BitLocker.

    Choisissez l'une de ces options pour préserver le mot de passe de récupération. Stockez les mots de passe de récupération dans un lieu distinct de l'ordinateur, pour une sécurité maximale. Pour choisir plusieurs méthodes de stockage du mot de passe de clé de récupération, sélectionnez-en une, suivez l'assistant, puis revenez à cet écran pour en choisir une autre.

  10. Cliquez sur Suivant.

  11. À partir de la boîte de dialogue Crypter le volume de disque sélectionné, cliquez sur Crypter. La barre d'état Cryptage en cours s'affiche. Vous pouvez surveiller la progression du cryptage du volume de disque en faisant glisser le curseur sur l'icône BitLocker Drive Encryption dans la barre d'outils en bas de l'écran. Le cryptage du volume nécessite environ une minute par gigaoctet.

    À la fin de la procédure, vous avez crypté le volume du système d'exploitation et vous avez créé une clé de récupération propre à ce volume. Lors de la prochaine ouverture de session, vous serez invité à saisir votre code PIN. Si le TPM associé à BitLocker Drive Encryption change, ou si quelqu'un tente de démarrer à partir d'un disque pour contourner le système d'exploitation, l'ordinateur passe en mode récupération, jusqu'à ce que la clé de récupération soit fournie. Si vous oubliez le code PIN ou que vous n'avez pas l'unité flash USB avec la clé de démarrage, passez en mode récupération afin de démarrer l'ordinateur, puis entrez le mot de passe de récupération.

     Remarque :

    Au lieu d'un code PIN, vous pouvez configurer une unité flash USB pour qu'elle fonctionne comme une clé de démarrage. Pour plus d'informations, reportez-vous au Scénario 5 : Activation de BitLocker Drive Encryption sur un ordinateur sans TPM

Scénario 5 : Activation de BitLocker Drive Encryption sur un ordinateur sans TPM compatible

Utilisez la procédure suivante pour activer BitLocker Drive Encryption sans TPM.

Avant de commencer

  • Vous devez avoir ouvert une session en tant qu'administrateur.

  • Vous pouvez utiliser une imprimante configurée pour imprimer les mots de passe de récupération.

  • Vous devez avoir une unité flash USB pour enregistrer la clé de démarrage.

Pour activer BitLocker Drive Encryption sur un ordinateur sans TPM compatible
  1. Cliquez sur Démarrer, sur Panneau de configuration, sur Sécurité, puis sur BitLocker Drive Encryption.

  2. Si la boîte de dialogue Contrôle de compte utilisateur apparaît, vérifiez que l'action proposée correspond à ce que vous avez demandé, puis cliquez sur Continuer. Pour plus d'informations, reportez-vous à la section « Ressources complémentaires » dans ce document.

  3. Dans l'écran BitLocker Drive Encryption, cliquez sur Activer BitLocker sur le volume système.

  4. Sur l'écran Utiliser une clé de démarrage ou un code PIN pour plus de sécurité, choisissez Enregistrer une clé de démarrage sur une unité USB. Il s'agit de la seule option disponible pour les configurations non TPM.

  5. Dans la boîte de dialogue Enregistrer votre clé de démarrage, choisissez l'emplacement de votre lecteur flash USB, puis cliquez sur Enregistrer.

  6. Dans l'écran Créer le mot de passe de récupération, cliquez sur Créer un mot de passe de récupération.

  7. Dans la boîte de dialogue Enregistrer le mot de passe de récupération, vous voyez les options suivantes :

    • Enregistrer le mot de passe sur une unité USB. Enregistre le mot de passe sur une unité amovible.

    • Enregistrer le mot de passe dans un dossier. Enregistre le mot de passe sur une unité réseau ou dans un autre emplacement.

    • Afficher le mot de passe. Affiche le mot de passe à l'écran.

    • Imprimer le mot de passe. Imprime le mot de passe.

    Vous aurez besoin du mot de passe de clé de récupération pour déverrouiller les données cryptées sur le volume si BitLocker Drive Encryption passe dans un état verrouillé (voir Scénario 6 : Récupération de données protégées avec BitLocker Drive Encryption). Cette clé de récupération est propre à ce cryptage BitLocker particulier. Vous ne pouvez pas l'utiliser pour récupérer des données cryptées à partir d'une autre session de cryptage BitLocker.

    Choisissez l'une de ces options pour préserver le mot de passe de récupération. Stockez les mots de passe de récupération dans un lieu distinct de l'ordinateur, pour une sécurité maximale. Pour choisir plusieurs méthodes de stockage du mot de passe de clé de récupération, sélectionnez-en une, suivez l'assistant, puis revenez à cet écran pour en choisir une autre.

  8. Cliquez sur Suivant.

  9. À partir de la boîte de dialogue Crypter le volume de disque sélectionné, cliquez sur Crypter. La barre d'état Cryptage en cours s'affiche. Vous pouvez surveiller la progression du cryptage du volume de disque en faisant glisser le curseur sur l'icône BitLocker Drive Encryption dans la barre d'outils en bas de l'écran. Le cryptage du volume nécessite environ une minute par gigaoctet.

    À la fin de la procédure, vous avez crypté le volume du système d'exploitation et vous avez créé une clé de récupération propre à ce volume. La prochaine fois que vous mettez l'ordinateur sous tension, l'unité flash USB doit être insérée dans un port USB de l'ordinateur. À défaut, vous ne pourrez pas accéder aux données du volume crypté. Pour accéder aux données, vous devrez passer en mode récupération et fournir la clé de récupération.

Scénario 6 : Récupération de données protégées par BitLocker Drive Encryption

Le scénario 6 décrit le processus de récupération de vos données après le verrouillage d'une partition Windows Vista. La partition est verrouillée lorsque la clé de cryptage de disque ne peut pas être recréée automatiquement. Voici une liste des causes possibles :

  • L'utilisateur perd ou oublie le code PIN, ou perd la clé de démarrage.

  • Une erreur liée à TPM se produit.

  • L'un des premiers fichiers d'amorçage est modifié.

  • Le TPM est désactivé par inadvertance et l'ordinateur est mis sous tension.

  • Le TPM est supprimé par inadvertance et l'ordinateur est mis sous tension.

Lorsqu'un ordinateur est verrouillé, le démarrage se termine très tôt dans le processus d'amorçage, avant le démarrage du système d'exploitation. Un ordinateur verrouillé ne peut pas accepter de chiffres clavier standard ; vous devez donc utiliser les touches de fonction pour entrer le mot de passe de clé de récupération. Les touches F1-F9 représentent 1 à 9, F10 représente 0.

Ce scénario comprend deux étapes :

Pour tester la récupération des données

  1. Cliquez sur Démarrer, sur Tous les programmes, sur Accessoires, puis sur Exécuter.

  2. Tapez tpm.msc dans la zone Ouvrir, puis cliquez sur OK. La Console de gestion TPM s'affiche.

  3. Sous Actions, cliquez sur Désactiver TPM.

  4. Indiquez le mot de passe du propriétaire TPM, si nécessaire.

  5. Lorsque le panneau État du panneau de tâches Gestion TPM sur l'ordinateur local indique « Votre TPM est désactivé et la propriété du TPM a été prise », fermez ce panneau.

  6. Fermez le panneau de tâches BitLocker Drive Encryption.

  7. Si l'unité flash USB contenant votre mot de passe de clé de récupération est insérée dans le système, utilisez l'icône Retirer le périphérique en toute sécurité de la zone de notification afin de la supprimer du système.

  8. Cliquez sur le bouton Démarrer, puis cliquez sur le bouton Arrêter afin de mettre l'ordinateur hors tension.

Lorsque vous redémarrez l'ordinateur, vous êtes invité à saisir le mot de passe de la clé de récupération, car la configuration d'amorçage a changé depuis que vous avez crypté le volume.

Pour récupérer des données avec BitLocker Drive Encryption

  1. Mettez l'ordinateur sous tension.

  2. Sur la Console de récupération BitLocker Drive Encryption, vous êtes invité à insérer l'unité mémoire USB contenant la clé de démarrage ou de récupération.

    • Si vous avez le périphérique, insérez-le, puis appuyez sur ENTRÉE. L'ordinateur redémarre automatiquement. Vous n'avez pas besoin d'entrer manuellement la clé de récupération.

    • Si vous n'avez pas le périphérique, appuyez sur ÉCHAP.

  3. Sur la Console de récupération BitLocker Drive Encryption, vous êtes invité à saisir le mot de passe de clé de récupération. Si vous connaissez le mot de passe, tapez-le et appuyez sur ENTRÉE. Si vous ne le connaissez pas, appuyez deux fois sur ÉCHAP, puis mettez l'ordinateur hors tension. À ce stade, un administrateur réseau doit fournir le mot de passe de clé de récupération.

Scénario 7 : Désactivation de BitLocker Drive Encryption

Le scénario 7 décrit comment désactiver BitLocker Drive Encryption et décrypter le volume. La procédure est la même pour toutes les configurations BitLocker Drive Encryption sur les ordinateurs équipés de TPM et sur les ordinateurs sans TPM compatible.

Lorsque vous désactivez BitLocker, vous pouvez choisir de désactiver temporairement BitLocker ou de décrypter l'unité. La désactivation de BitLocker permet les changements TPM et les mises à niveau du système d'exploitation. Le décryptage de l'unité signifie que le volume sera de nouveau lisible et que la clé de récupération sera annulée. Une fois un volume décrypté, vous devez générer une nouvelle clé de récupération en passant de nouveau par le processus de cryptage.

Avant de commencer

  • Vous devez avoir ouvert une session en tant qu'administrateur.

  • L'unité doit être cryptée.

Pour désactiver le cryptage BitLocker Drive Encryption
  1. Cliquez sur Démarrer, sur Panneau de configuration, sur Sécurité, puis sur BitLocker Drive Encryption.

  2. Dans l'écran BitLocker Drive Encryption, recherchez le volume sur lequel vous souhaitez désactiver BitLocker Drive Encryption, puis cliquez sur Désactiver BitLocker Drive Encryption.

  3. Dans la boîte de dialogue Quel niveau de cryptage souhaitez-vous, cliquez sur Désactiver BitLocker Drive Encryption ou sur Décrypter le volume.

    Le décryptage du volume nécessite environ une minute par gigaoctet.

    À la fin de cette procédure, vous avez décrypté le volume du système d'exploitation.

Consignation des bogues et commentaires

Dans la mesure où BitLocker Drive Encryption est une nouvelle fonctionnalité de Windows Vista, nous sommes très intéressés par vos commentaires sur votre expérience concernant l'utilisation de BitLocker Drive Encryption, les problèmes rencontrés et l'utilité de la documentation.

Lorsque vous consignez les bogues, utilisez les instructions du site Web Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779). Nous sommes également intéressés par les demandes et les commentaires généraux concernant BitLocker Drive Encryption. Les commentaires généraux et demandes concernant BitLocker Drive Encryption peuvent être adressés à sstartup@microsoft.com.

Ressources supplémentaires (en anglais)

Les ressources suivantes fournissent des informations complémentaires sur BitLocker Drive Encryption :

  • Si vous avez besoin d'un support produit, reportez-vous au site Web Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779).

  • Pour accéder aux groupes de discussion de BitLocker Drive Encryption, suivez les instructions du site Web Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067).

Pour plus d’informations sur la fonctionnalité de contrôle des comptes utilisateur, consultez l'article Contrôle des comptes utilisateur sur le site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=66018).

Support du programme TAP

Si vous êtes testeur bêta et que vous participez au programme bêta TAP (Technology Adoption Program), vous pouvez également envoyer un e-mail à vistafb@microsoft.com pour obtenir de l'aide.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft