Exporter (0) Imprimer
Développer tout

Configuration d’Active Directory pour sauvegarder les informations de récupération du chiffrement de lecteur BitLocker Windows et du module de plateforme sécurisée (TPM)

Mis à jour: juin 2008

S'applique à: Windows Server 2008,Windows Vista

vue d’ensemble

Ce document décrit comment configurer Active Directory® pour sauvegarder les informations de récupération pour le chiffrement de lecteur Windows® BitLocker™ (BitLocker) et le module de plateforme sécurisée. Les informations de récupération incluent le mot de passe de récupération de chaque volume pour lequel BitLocker est activé, le mot de passe du propriétaire du module de plateforme sécurisée, et les informations requises pour identifier les ordinateurs et les volumes auxquelles les informations de récupération s’appliquent. Éventuellement, vous pouvez également enregistrer un package contenant les véritables clés utilisées pour chiffrer les données ainsi que le mot de passe de récupération nécessaire pour accéder à ces clés.

noteRemarques
Active Directory est appelé Services de domaine Active Directory dans Microsoft® Windows Server® 2008.

La sauvegarde des mots de passe de récupération pour les volumes protégés par BitLocker permet aux administrateurs de récupérer le volume si ce dernier est verrouillé. Cela permet de faire en sorte que les données chiffrées appartenant à l’entreprise soient toujours accessibles aux utilisateurs autorisés.

La sauvegarde des informations relatives au propriétaire du module de plateforme sécurisée d’un ordinateur permet aux administrateurs de configurer localement et à distance le matériel de sécurité du module sur cet ordinateur. Par exemple, un administrateur peut être amené à rétablir les paramètres par défaut définis en usine pour le module de plateforme sécurisée lorsque les ordinateurs sont mis hors service ou réaffectés.

ImportantImportant
Vous pouvez enregistrer les informations de récupération dans Active Directory si vos contrôleurs de domaine exécutent Microsoft® Windows Server® 2003 avec le Service Pack 1 (SP1), Windows Server 2003 R2, ou Windows Server 2008. Vous ne pouvez pas le faire si le contrôleur de domaine exécute une version de Windows Server antérieure à Windows Server 2003 avec SP1.

Si vous testez une version préliminaire de Windows Server 2008, suivez le même processus que pour Windows Server 2003 avec SP1 ou une version ultérieure à l’exception d’une étape : si vous avez installé la version Bêta 3 ou ultérieure de Windows Server 2008, vous n’avez pas besoin de mettre à jour le schéma tel que décrit plus loin dans ce document.

ImportantImportant
Exécutez ces opérations dans un environnement de test ou de pré-production avant de procéder à un déploiement dans des environnements de production.

Fichiers nécessaires

Pour configurer Active Directory en vue de la sauvegarde des informations de récupération, vous aurez besoin des exemples de scripts et des fichiers LDF disponibles auprès de Microsoft suivants :

  • Add-TPMSelfWriteACE.vbs

  • BitLockerTPMSchemaExtension.ldf

  • List-ACEs.vbs

  • Get-TPMOwnerInfo.vbs

  • Get-BitLockerRecoveryInfo.vbs

Pour télécharger les fichiers, voir http://go.microsoft.com/fwlink/?LinkId=78953 (éventuellement en anglais). Le contenu de ces fichiers et d’autres informations utiles sont traités dans les annexes suivantes :

noteRemarques
Si vous avez testé une version préliminaire ou une version bêta de Windows Vista, et configuré votre installation Active Directory avec des versions antérieures des scripts ou des extensions de schéma, vous devez vous assurer que vous utilisez bien les versions finales, publiées, de ces fichiers. En outre, avant de continuer, si vous avez exécuté une version antérieure du fichier List-ACEs.vbs, vous devez supprimer les entrées ACE BitLocker qui ont été précédemment ajoutées.

Informations générales

Cette section fournit des informations concernant la sauvegarde des informations de récupération de BitLocker et du module de plateforme sécurisée (TPM) dans Active Directory.

Par défaut, aucune information de récupération n’est sauvegardée. Les administrateurs peuvent configurer les paramètres de stratégie de groupe pour activer la sauvegarde des informations de récupération de BitLocker et du module de plateforme sécurisée. Avant de procéder à cette configuration, vous devez, en tant qu’administrateur de domaine, vérifier que le schéma Active Directory a été étendu avec les emplacements de stockage nécessaires et que les autorisations d’accès requises pour effectuer la sauvegarde ont été accordées.

Vous devez également configurer Active Directory avant de configurer BitLocker sur les ordinateurs clients. Si BitLocker est activé en premier, les informations de récupération des ordinateurs concernés ne seront pas ajoutées à Active Directory. Pour plus d’informations, voir Questions et réponses plus loin dans ce document.

Stockage des informations de récupération de BitLocker dans Active Directory

Les informations de récupération de BitLocker sauvegardées sont stockées dans un objet enfant de l’objet Ordinateur. En d’autres termes, l’objet Ordinateur est le conteneur d’un objet Récupération de BitLocker.

Chaque objet Récupération de BitLocker comporte un mot de passe de récupération et d’autres informations. Il peut y avoir plusieurs objets Récupération de BitLocker sous chaque objet Ordinateur car plusieurs mots de passe de récupération peuvent être associés à un volume activé pour BitLocker.

Le nom de l’objet Récupération de BitLocker inclut un identificateur global unique (GUID) ainsi que des informations d’horodatage, sur une longueur fixe de 63 caractères. Il se présente sous la forme suivante :

<Date et heure de création de l’objet><GUID de récupération>

Par exemple :

2005-09-30T17:08:23-08:00{063EA4E1-220C-4293-BA01-4754620A96E7}

Le nom commun de l’objet de récupération de BitLocker est ms-FVE-RecoveryInformation. Chaque objet ms-FVE-RecoveryInformation possède les attributs suivants :

  • ms-FVE-RecoveryPassword

    Cet attribut contient le mot de passe de récupération sur 48 chiffres utilisé pour récupérer le volume chiffré à l’aide de BitLocker. Les utilisateurs entrent ce mot de passe pour déverrouiller un volume lorsque BitLocker bascule en mode de récupération.

  • ms-FVE-RecoveryGuid

    Cet attribut contient le GUID associé à un mot de passe de récupération de BitLocker. Lorsque BitLocker bascule en mode de récupération, ce GUID s’affiche afin que l’utilisateur puisse trouver le mot de passe de récupération nécessaire pour déverrouiller le volume. Il est également inclus dans le nom de l’objet de récupération.

  • ms-FVE-VolumeGuid

    Cet attribut contient le GUID associé à un volume de disque pris en charge par BitLocker.

    Le mot de passe (stocké dans ms-FVE-RecoveryGuid) est unique à chaque mot de passe de récupération et cet identifiant de volume est unique à chaque volume chiffré par BitLocker.

  • ms-FVE-KeyPackage

    Cet attribut contient la clé de chiffrement BitLocker d’un volume, sécurisée par le mot de passe de récupération correspondant.

    Grâce à ce package de clé et au mot de passe de récupération (stocké dans ms-FVE-RecoveryPassword), vous pouvez déchiffrer des portions d’un volume protégé par BitLocker si le disque est endommagé. Chaque package de clé fonctionnera uniquement pour le volume qui possède l’identifiant correspondant (stocké dans ms-FVE-VolumeGuid). Pour utiliser ce package de clé, vous devez faire appel à un outil spécialisé.

Si vous avez testé BitLocker et Windows Vista avant qu’ils soient publiés, sachez que les attributs de l’objet Récupération ont été modifiés par rapport aux versions préliminaires ou bêta de Windows Vista :

  • Des GUID ont été ajoutés au catalogue global pour faciliter les recherches à l’échelle de la forêt (isMemberOfPartialAttributeSet).

  • L’utilisation du bit Confidentiel pour les attributs du GUID (bit 128 de searchFlags) a été supprimée.

  • La taille de chaque attribut a été limitée afin de minimiser les ralentissements dus à la réplication en cas d’attaque par saturation sur la base de données Active Directory (rangeUpper).

  • Les descriptions d’attributs ont été mises à jour par souci de clarté (adminDescription).

  • Un bit supplémentaire a été défini pour enregistrer les valeurs des attributs lors de la création de copies d’objets (bit 16 de searchFlags).

  • Un bit supplémentaire a été défini pour créer un index par conteneur des attributs GUID (bit é de searchFlags).

Pour plus de détails sur la syntaxe des attributs, voir le fichier d’extension de schéma dans Annexe D : contenu du fichier BitLockerTPMSchemaExtension.ldf.

Stockage des informations de récupération du module de plateforme sécurisée dans Active Directory

Il n’y a qu’un seul mot de passe de propriétaire de module de plateforme sécurisée par ordinateur. Lorsque le module de plateforme sécurisée est initialisé ou lorsque ce mot de passe est modifié, le hachage du mot de passe du propriétaire du module est sauvegardé comme attribut de l’objet Ordinateur.

Le nom commun de l’attribut de module de plateforme sécurisée est ms-TPM-OwnerInformation.

Configuration d’Active Directory

Pour configurer Active Directory afin de sauvegarder les informations de récupération de BitLocker et du module de plateforme sécurisée, procédez comme suit :

Vérification des conditions préalables générales

Vérifiez que les conditions préalables suivantes sont remplies :

  1. Tous les contrôleurs de domaine accessibles par les clients prenant en charge BitLocker exécutent Windows Server 2003 avec SP1 ou ultérieur. Sur chaque contrôleur de domaine, cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis sur l’onglet Général.

    ImportantImportant
    Si l’onglet Général indique Windows Server 2003 sans service pack, vous devez procéder à une mise à niveau. Pour plus d’informations sur la mise à niveau vers Windows Server 2003 avec SP1, voir http://go.microsoft.com/fwlink/?LinkID.

    ImportantImportant
    L’utilisation de contrôleurs de domaine qui exécutent Windows Server 2000 ou Windows Server 2003 sans SP1 pour sauvegarder les informations de récupération de BitLocker ou du module de plateforme sécurisée n’a pas été testée et n’est pas prise en charge. En outre, ces systèmes d’exploitation ne possèdent pas l’indicateur Confidentiel Active Directory servant à protéger l’accès aux informations BitLocker.

    Cette fonctionnalité est disponible à partir de Windows Server 2003 avec SP1. Elle permet de faire en sorte que seuls les administrateurs du domaine et les délégués appropriés disposent d’un accès en lecture aux attributs qui possèdent l’indicateur Confidentiel. L’extension de schéma BitLocker et du module de plateforme sécurisée marque les attributs sélectionnés comme « confidentiels » à l’aide de la propriété « searchFlags ». Pour plus d’informations concernant cet indicateur, voir la rubrique sur le fonctionnement du schéma Active Directory » à l’adresse.

    BitLocker n’impose aucune condition sur les niveaux fonctionnels de domaine ou de forêt. Cependant, les contrôleurs de domaine qui exécutent des systèmes d’exploitation antérieurs à Windows Server 2003 avec SP1 doivent être retirés des environnements fonctionnels mixtes (ou mis à niveau) car les informations BitLocker ou de module de plateforme sécurisée sauvegardées n’y seront pas protégées.

  2. Vous possédez les privilèges d’administrateur de domaine pour la forêt cible.

  3. Vous avez obtenu les fichiers suivants :

    • BitLockerTPMSchemaExtension.ldf

    • Add-TPMSelfWriteACE.vbs

Extension du schéma

La procédure suivante permet d’étendre le schéma afin d’autoriser la sauvegarde d’informations dans Active Directory.

Si vous avez installé un contrôleur de domaine qui exécute Windows Server 2008 bêta 3 ou ultérieure, les extensions de schéma nécessaires ont automatiquement été effectuées lors de l’installation. Il est donc inutile pour vous de suivre cette procédure.

Si vous avez installé un contrôleur de domaine qui exécute Windows Server 2008 bêta 2, vous devez mettre à niveau le schéma vers sch39 ou ultérieur, ou suivre la procédure ci-après.

Pour étendre le schéma Active Directory avec les attributs BitLocker et module de plateforme sécurisée
  1. Ouvrez une session avec un compte de domaine dans le groupe Administrateurs du schéma. Pour étendre le schéma, vous devez impérativement utiliser ce compte.

    Par défaut, le compte Administrateur du domaine intégré dans le domaine racine de la forêt est membre du groupe Administrateurs du schéma. Pour plus d’informations, voir la section sur la façon d’accorder des droits d’accès afin de modifier le schéma dans la rubrique sur le fonctionnement du schéma Active Directory (http://go.microsoft.com/fwlink/?LinkID=79649) (éventuellement en anglais).

  2. Vérifiez que les mises à jour de schéma sont activées dans votre installation Windows Server.

    Dans Windows Server 2003, ces mises à jour sont activées par défaut. Pour plus d’informations sur la procédure d’activation des mises à jour de schéma, voir l’article 285172 de la Base de connaissances Microsoft (http://go.microsoft.com/fwlink/?LinkId=80481).

  3. Vérifiez que vous avez accès au contrôleur de domaine qui est le maître d’opérations de schéma dans la forêt Active Directory. Les mises à jour de schéma peuvent uniquement être effectuées au niveau du maître d’opérations de schéma.

  4. Consultez BitLockerTPMSchemaExtension.ldf, le fichier LDIF qui contient l’extension de schéma.

    Pour obtenir des informations générales concernant les modifications apportées à l’extension de schéma, voir Informations générales plus haut dans ce document.

    Pour obtenir des informations de référence sur les extensions de schéma, voir la rubrique sur le fonctionnement du schéma Active Directory (http://go.microsoft.com/fwlink/?LinkId=79649) (éventuellement en anglais).

  5. Utilisez l’outil de ligne de commande Ldifde pour étendre le schéma sur le contrôleur de domaine qui sert de maître d’opérations de schéma. Par exemple, pour importer l’extension de schéma sur un domaine appelé nttest.microsoft.com, connectez-vous en tant qu’utilisateur membre du groupe Administrateurs de schéma puis tapez les instructions suivantes à l’invite de commandes.

    ldifde -i -v -f BitLockerTPMSchemaExtension.ldf -c "DC=X" "DC=nttest,dc=microsoft,dc=com" -k -j .

    Bien qu’elle s’affiche sur plusieurs lignes pour des questions de lisibilité, cette commande doit être entrée sur une seule ligne. Le point final (« . ») fait partie de la commande.

    L’utilisation de -k permet de supprimer les erreurs de type « l’objet existe déjà » si des portions du schéma existent déjà. La spécification de -j . permet d’enregistrer un fichier journal étendu dans le répertoire de travail en cours.

Pour plus d’informations sur les paramètres Ldifde, voir l’article 237677 dans la Base de connaissances Microsoft (http). Un exemple de sortie de cette commande est présenté dans l’Annexe B : exemple de sortie LDIFDE plus loin dans ce document.

Définir les autorisations requises pour sauvegarder les informations de mot de passe du module de plateforme sécurisée

La procédure suivante ajoute une entrée ACE afin de permettre la sauvegarde des informations de récupération du module de plateforme sécurisée.

Un client Windows Vista peut sauvegarder les informations de récupération de BitLocker avec les autorisations par défaut de l’objet Ordinateur. En revanche, un client Windows Vista ne peut pas sauvegarder les informations de propriétaire du module de plateforme sécurisée si aucune entrée ACE n’est ajoutée.

L’annexe C,Annexe C : autorisations par défaut d’un objet Ordinateur, plus loin dans ce document, décrit les autorisations Active Directory par défaut de l’objet Ordinateur qui contient les informations de récupération de BitLocker et l’attribut des informations de propriétaire du module de plateforme sécurisée.

Pour ajouter une entrée ACE afin de permettre la sauvegarde des informations de récupération du module de plateforme sécurisée
  1. Étudiez Add-TPMSelfWriteACE.vbs, l’exemple de script contenant l’extension d’autorisation.

  2. Tapez la ligne suivante à l’invite de commandes, puis appuyez sur Entrée.

    cscript Add-TPMSelfWriteACE.vbs

Ce script ajoute une entrée ACE unique à l’objet Domaine de premier niveau. Cette entrée ACE est une autorisation pouvant être héritée qui permet à SELF (à l’ordinateur même) d’écrire dans l’attribut ms-TPM-OwnerInformation pour les objets Ordinateur dans le domaine.

Pour plus d’informations de référence, voir la rubrique sur l’utilisation de scripts pour gérer la sécurité d’Active Directory (http://go.microsoft.com/fwlink/?LinkId=79652) (éventuellement en anglais).

L’exemple de script fourni présuppose que les conditions suivantes soient remplies :

  • Vous disposez des privilèges d’administrateur de domaine pour définir les autorisations de l’objet Domaine de premier niveau.

  • Votre domaine cible est le même que le domaine du compte d’utilisateur servant à l’exécution du script.

    Par exemple, l’exécution du script en tant que TESTDOMAIN\admin étendra les autorisations pour TESTDOMAIN. Vous devrez peut-être modifier l’exemple de script si vous souhaitez définir des autorisations pour plusieurs domaines mais que vous ne disposez pas de comptes d’administrateurs de domaine pour chacun d’entre eux. Recherchez la variable dans le script et modifiez-la pour votre domaine cible, par exemple :

    "LDAP://DC=testdomain,DC=nttest,DC=microsoft,DC=com"

  • Votre domaine est configuré de telle sorte que les objets Ordinateur ciblés héritent des autorisations depuis l’objet Domaine de premier niveau.

    Les autorisations ne prennent pas effet si un des conteneurs de la hiérarchie interdit l’héritage d’autorisations depuis le parent. Par défaut, l’héritage des autorisations est défini par Active Directory. Si vous ne savez pas si votre configuration a été modifiée par rapport à la configuration Active Directory par défaut, vous pouvez poursuivre la configuration pour définir l’autorisation. Vous pouvez alors vérifier votre configuration en procédant tel qu’indiqué plus haut dans ce document, ou en cliquant sur le bouton Autorisations effectives lorsque vous affichez les propriétés d’un objet Ordinateur pour vérifier que SELF peut écrire dans l’attribut msTPM-OwnerInformation.

Configurer la stratégie de groupe afin de permettre la sauvegarde des informations de récupération de BitLocker et du module de plateforme sécurisée dans Active Directory

Ces instructions s’appliquent à la configuration de la stratégie locale sur une ordinateur client Windows Vista. Dans un environnement de production, vous modifieriez probablement plutôt un objet Stratégie de groupe qui s’applique aux ordinateurs du domaine.

Pour plus d’informations sur la configuration d’un objet Stratégie de groupe Windows Vista dans le domaine, voir le Guide pas à pas sur la gestion des fichiers ADMX de stratégie de groupe (http://go.microsoft.com/fwlink/?LinkId=79653) (éventuellement en anglais).

noteRemarques
Nous vous recommandons de conserver les options par défaut lorsque vous activez chaque paramètre Stratégie de groupe. Lisez attentivement le texte d’explication avant de procéder au moindre changement.

Pour activer les paramètres de stratégie locale afin de sauvegarder les informations de récupération de BitLocker et du module de plateforme sécurisée dans Active Directory
  1. Ouvrez une session sur l’ordinateur en tant qu’administrateur.

  2. Cliquez sur Démarrer, tapez la commande suivante dans la zone Rechercher, puis appuyez sur Entrée.

    gpedit.msc

  3. Pour activer les paramètres de stratégie locale afin de sauvegarder les informations de récupération de BitLocker et du module de plateforme sécurisée dans Active Directory

    1. Ouvrez Configuration de l’ordinateur, Modèles d’administration, Composants Windows, et Chiffrement de lecteur BitLocker.

    2. Dans le volet droit, double-cliquez sur Activer la sauvegarde BitLocker dans les services de domaine Active Directory (AD DS).

    3. Sélectionnez l’option Activé.

    4. Vérifiez que la case Requérir la sauvegarde BitLocker vers les services de domaine Active Directory (AD DS) est cochée.

  4. Activer les paramètres de stratégie locale afin de sauvegarder les informations de récupération de BitLocker et du module de plateforme sécurisée dans Active Directory

    1. Ouvrez Configuration de l’ordinateur, Modèles d’administration, Système, puis Services de module de plateforme sécurisée.

    2. Dans le volet droit, double-cliquez sur Activer la sauvegarde BitLocker dans les services de domaine Active Directory (AD DS).

    3. Sélectionnez l’option Activé.

    4. Vérifiez que la case Requérir la sauvegarde du module de plateforme sécurisée vers les services de domaine Active Directory (AD DS) est cochée.

Tester la configuration Active Directory

En joignant les ordinateurs clients basés sur Windows Vista au domaine que vous venez de configurer et en activant BitLocker, vous pouvez tester si les informations de récupération de BitLocker et de module de plateforme sécurisée sont bien enregistrées dans Active Directory.

Toutes les interfaces utilisateurs et les interfaces de programmation concernées par les fonctionnalités BitLocker et de gestion du module de plateforme sécurisée obéiront aux paramètres de stratégie de groupe configurés. Lorsque ces paramètres sont activés, les informations de récupération (par exemple les mots de passe de récupération) seront automatiquement sauvegardé dans Active Directory chaque fois qu’elles sont créées et modifiées.

Si vous sélectionnez l’option qui rend la sauvegarde obligatoire, l’initialisation du module de plateforme sécurisée ou l’activation de BitLocker par quelque méthode que ce soit sera bloquée jusqu’à ce que la sauvegarde soit exécutée avec succès. Dans ce cas, personne ne sera autorisé à activer BitLocker ou à initialiser le module de plateforme sécurisée sauf si le contrôleur de domaine est correctement configuré, que le client ordinateur dispose d’une connectivité réseau vers le contrôleur de domaine et qu’aucune erreur ne se produit pendant le processus de sauvegarde.

Tester la sauvegarde avec Windows Vista

Utilisez un ordinateur client basé sur Windows Vista pour tester la sauvegarde.

Les informations de récupération de BitLocker sont sauvegardées lorsque :

  • vous créez un mot de passe de récupération pendant l’installation de BitLocker à l’aide de l’Assistant disponible via le Panneau de configuration ;

  • vous créez un mot de passe de récupération après chiffrement du disque, à l’aide de l’outil de ligne de commande manage-bde.wsf.

Les informations de récupération du module de plateforme sécurisée sont sauvegardées lorsque :

  • vous définissez le mot de passe du propriétaire du module de plateforme sécurisée au cours de l’initialisation du module ;

  • vous modifiez le mot de passe du propriétaire du module.

Exemple de scénario de test avec Windows Vista

Cet exemple de scénario de test illustre comment vérifier la configuration Active Directory avec Windows Vista. Téléchargez les exemples de scripts ici inclus pour mener à bien le processus de test.

ImportantImportant
Nous vous recommandons de procéder à des tests supplémentaires pour avoir la certitude que votre environnement fonctionne correctement ; Ne partez pas du principe que ce scénario testera tous les aspects de votre configuration.

Les scénarios de test peuvent également varier en fonction des stratégies de votre entreprise. Par exemple, dans les entreprises où les utilisateurs sont les créateurs propriétaires des objets Ordinateurs qu’ils joignent au domaine, il est possible que ces utilisateurs soient en mesure de lire les informations de propriétaire du module de plateforme sécurisée pour leurs propres objets Ordinateur.

Pour exécuter un exemple de test
  1. Connectez-vous à un contrôleur de domaine en tant qu’administrateur de domaine.

  2. Copiez les fichiers d’exemples de script vers un emplacement adapté.

  3. Ouvrez une fenêtre d’invite de commandes et accédez à l’emplacement des fichiers d’exemples de script.

  4. À l’invite de commandes, tapez :

    cscript List-ACEs.vbs

    Résultat attendu : Si le script Add-TPMSelfWriteACE.vbs par défaut a été utilisé et que d’autres entrées ACE obsolètes ont été supprimées, il ne devrait y avoir qu’une seule entrée ACE reliée à BitLocker et au module de plateforme sécurisée :

    Accessing

    > AceFlags: 10

    > AceType: 5

    > Flags: 3

    > AccessMask: 32

    > ObjectType: {AA4E1A6D-550D-4E05-8C35-4AFCB917A9FE}

    > InheritedObjectType: {BF967A86-0DE6-11D0-A285-00AA003049E2}

    > Trustee: NT AUTHORITY\SELF

    1 ACE(s) found in DC=nttest,DC=microsoft,DC=com related to BitLocker and TPM

  5. Connectez-vous en tant qu’administrateur local (par opposition à administrateur de domaine) sur un client Windows Vista joint au domaine.

  6. Cliquez sur Démarrer, tapez la commande suivantedans la zone Rechercher, puis appuyez sur Entrée :

    tpm.msc

  7. Cliquez sur le lien Initialiser le module de plateforme sécurisée ou Changer le mot de passe du propriétaire.

  8. Définissez un mot de passe de propriétaire et sélectionnez l’option qui permet d’enregistrer les informations par impression ou sauvegarde dans un fichier, selon vos besoins.

    Résultat attendu : Cette action s’exécutera sans message d’erreur.

  9. Sous ce même compte, ouvrez une fenêtre d’invite de commandes avec privilèges élevés et accédez au dossier dans lequel vous avez enregistré une copie des exemples de scripts fournis avec le présent document.

    noteRemarques
    Pour ouvrir une fenêtre d’invite de commandes avec privilèges élevés, cliquez avec le bouton droit sur un raccourci d’invite de commandes et cliquez sur Exécuter en tant qu’administrateur

  10. À l’invite de commandes, tapez :

    cscript Get-TPMOwnerInfo.vbs

    Résultat attendu : Le système affiche le message d’erreur « Active Directory : la propriété répertoire n’est pas présente dans le cache. “  ». Aucune information n’est affichée car un administrateur qui n’est pas administrateur de domaine ne doit pas être en mesure de lire l’attribut ms-TPM-OwnerInformation.

    noteRemarques
    Si les utilisateurs sont les créateurs propriétaires des objets Ordinateurs qu’ils joignent au domaine, il est possible que ces utilisateurs soient en mesure de lire les informations de propriétaire du module de plateforme sécurisée pour leurs propres objets Ordinateur.

  11. Connectez-vous en tant qu’administrateur de domaine sur le même ordinateur client.

  12. Sous ce compte d’administrateur de domaine, ouvrez une fenêtre d’invite de commandes avec privilèges élevés et accédez au dossier dans lequel vous avez enregistré une copie des exemples de scripts fournis avec le présent document.

  13. À l’invite de commandes, tapez :

    cscript Get-TPMOwnerInfo.vbs

    Résultat attendu : le système affiche une chaîne qui correspond au hachage du mot de passe créé précédemment.

    En tant qu’administrateur de domaine, vous devriez avoir accès en lecture à l’attribut ms-TPM-OwnerInformation.

  14. À l’invite de commandes avec privilèges élevés, créez un mot de passe de récupération en tapant la commande suivante :

    manage-bde -protectors -add -RecoveryPassword C:

    Résultat attendu : Cette action s’exécutera sans message d’erreur.

  15. À l’invite de commandes, lisez tous les objets enfants de BitLocker de l’objet Active Directory de l’ordinateur client en tapant :

    cscript Get-BitLockerRecoveryInfo.vbs

    Résultat attendu : Un administrateur de domaine doit voir un ou plusieurs mots de passe de récupération, y compris celui qui a été créé à l’étape 14.

    Un administrateur qui n’est pas administrateur de domaine ne sera pas en mesure de voir ces mots de passe.

  16. Supprimez les objets enfants de récupération de BitLocker créés avec des outils Active Directory tels que l’outil d’administration Utilisateurs et ordinateurs Active Directory. Par défaut, les clients qui exécutent Windows Vista ne possèdent pas les autorisations nécessaires pour supprimer les mots de passe de récupération de BitLocker périmés.

Dépannage des problèmes courants

La section suivante traite des problèmes potentiels courants et de leurs solutions.

Problèmes d’autorisation d’accès

Si vous ne parvenez pas à lire des informations de récupération de BitLocker ou de module de plateforme sécurisée sauvegardées à partir d’un compte qui n’est pas un compte d’administrateur de domaine, vérifiez que vous exécutez des installations de Windows Server prises en charge sur tous les contrôleurs de domaine de votre réseau.

ImportantImportant
Les contrôleurs de domaine qui exécutent Windows 2000 Server ou la version initiale de Windows Server 2003 ne sont pas pris en charge pour la sauvegarde des informations de récupération de BitLocker ou du module de plateforme sécurisée.

Erreurs de script

Il est possible que vous receviez un message d’erreur lors de l’exécution d’un script. Les sections suivantes expliquent l’origine des erreurs de scripts les plus fréquentes et les solutions que vous pouvez y apporter.

Get-TPMOwnerInfo.vbs

Lors de l’exécution de Get-TPMOwnerInfo.vbs, si le système affiche un message d’erreur « Active Directory : la propriété répertoire n’est pas présente dans le cache » vous n’avez pas l’autorisation de lire l’objet Attribut des informations du propriétaire du module de plateforme sécurisée dans Active Directory.

Généralités

Si le système affiche une erreur indiquant que « le domaine spécifié n’existe pas ou n’a pas pu être contacté », vérifiez que l’ordinateur est joint au domaine et que vous disposez d’une connectivité au réseau.

Si le système affiche une erreur indiquant que « Cet objet ne se trouve pas sur le serveur », vérifiez que les ordinateurs spécifiés par leur nom dans la ligne de commande sont bien connectés au réseau.

Les messages mentionnent le numéro de la ligne au niveau de laquelle l’erreur s’est produite. Consultez le code source du script pour résoudre le problème.

Questions et réponses

Cette section inclut des questions qui ont été posées au groupe BitLocker depuis la première publication de ce document.

Ce schéma fait-il partie de Windows Server 2008 ?

Oui, ce schéma fait partie de Windows Server 2008. La version bêta 2 de Windows Windows Server 2008 contient les objets qui permettront la sauvegarde de toutes les informations de récupération de BitLocker et du module de plateforme sécurisée dans les versions préliminaires de Windows Vista. La mise à niveau de schéma pour la version commercialisée de Windows Vista reprend les modifications prévues pour la version bêta 3 de Windows Server 2008.

Puis-je appliquer la mise à jour de schéma sur un contrôleur de domaine basé sur Windows Server 2003 ?

Microsoft prend en charge les extensions de schéma BitLocker uniquement sur Windows Server 2003 avec SP1 et les versions ultérieures et sur Windows Server 2008. La première version de Windows Server 2003 ne comporte pas la fonctionnalité d’indicateur de confidentialité qui verrouille l’accès aux informations de récupération sauvegardées.

Microsoft offre-t-il un support pour ce schéma dans un environnement de production ?

Oui, il existe un support pour ce schéma, via les canaux habituels. Pour plus d’informations sur les options de support Microsoft, voir http://go.mi.

Une entrée du journal des événements est-elle enregistrée sur le client pour signaler si la sauvegarde Active Directory a réussi ou échoué ?

Oui, une entrée du journal des événements indiquant si une sauvegarde Active Directory a réussi ou échoué est enregistrée sur le client.

Cependant, l’utilité de cette entrée est limitée. Même si une entrée du journal des événements indique que la sauvegarde s’est déroulée avec « Succès », les informations peuvent avoir été par la suite supprimées d’Active Directory ou BitLocker peut avoir été reconfiguré de telle sorte que les informations Active Directory ne permettent plus de déverrouiller le lecteur (par exemple, la protection de la clé du mot de passe de récupération peut avoir été supprimée). En outre, il est également possible que l’entrée soit falsifiée.

Enfin, pour déterminer s’il existe une sauvegarde légitime dans Active Directory, il faut interroger ce dernier avec des informations d’identification d’administrateur de domaine.

Que se passe-t-il si BitLocker est activé sur un ordinateur avant que ce dernier ne soit joint au domaine ?

Vous vous demandez sans doute ce qui se passe si BitLocker est activé sur un ordinateur avant que la stratégie de groupe ne soit appliquée pour mettre en œuvre la sauvegarde. Les informations de récupération seront-elles automatiquement sauvegardées dans Active Directory lorsque l’ordinateur sera joint au domaine ou lorsque la stratégie de groupe sera appliquée ?

Cette fonctionnalité n’est pas disponible dans Windows Vista. En général, la première opération concernant de nouveaux ordinateurs au sein d’une entreprise consiste à les joindre au domaine.

L’interface WMI (Windows Management Instrumentation ) de BitLocker permet aux administrateurs d’écrire un script afin de sauvegarde ou de synchroniser les mots de passe de récupération existants d’un client en ligne. Un compte d’administrateur peut lister les mots de passe de récupération d’un volume déverrouillé en utilisant la méthode GetKeyProtectorNumericalPassword de l’interface BitLocker ou les paramètres « -protectors -get » de l’outil de ligne de commande BitLocker (manage-bde.wsf).

Que se passe-t-il si la sauvegarde échoue ? BitLocker fait-il une deuxième tentative ?

Si la sauvegarde échoue, par exemple lorsqu’un contrôleur de domaine n’est pas joignable au moment de l’exécution de l’Assistant Installation de BitLocker, ce dernier ne fait pas d’autres tentatives pou sauvegarder les informations de récupération dans Active Directory.

Lorsqu’un administrateur active la case à cocher Requérir la sauvegarde BitLocker vers les services de domaine Active Directory (AD DS) ou Requérir la sauvegarde du module de plateforme sécurisée vers les services de domaine Active Directory (AD DS) et que la sauvegarde échoue, BitLocker ne peut pas être activé.

S’il désactive ces cases à cocher, l’administrateur autorise le chiffrement d’un volume par BitLocker sans exiger que les informations de récupération soient correctement sauvegardées dans Active Directory. Cependant, en cas d’échec de la sauvegarde, BitLocker ne fera pas d’autres tentatives. Au lieu de cela, les administrateurs peuvent écrire un script de sauvegarde, tel que décrit pour la question précédente, afin de capturer les informations lorsque la connexion est rétablie.

BitLocker chiffre-t-il les informations de récupération lorsqu’elles sont envoyées à Active Directory ?

Oui, la transmission des informations de récupération d’un client Windows Vista vers Active Directory est protégée par Kerberos. Plus spécifiquement, la connexion utilise les indicateurs d’authentification ADS_SECURE_AUTHENTICATION, ADS_USE_SEALING et ADS_USE_SIGNING.

Pour plus d’informations sur les indicateurs d’authentification Active Directory, voir http://go.microsoft.com/fwlink/?LinkId=79643 (éventuellement en anglais).

noteRemarques
Une fois les informations de récupération de BitLocker et du module de plateforme sécurisée transmises, Active Directory ne les stocke pas sous une forme chiffrée. Cependant, les autorisations de contrôle d’accès sont définies afin que seuls les administrateurs de domaine ou les délégués appropriés puissent lire les informations stockées lorsque le serveur est en ligne. Si vous craignez des attaques hors connexion contre vos serveurs de succursale, nous vous recommandons d’activer BitLocker sur ces serveurs une fois que ces derniers ont été mis à niveau vers Windows Server 2008.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft