Share via

Planification des exigences en matière de stratégie de groupe MBAM 1.0

  • Article

Mis à jour: novembre 2012

S'applique à: Microsoft BitLocker Administration and Monitoring 1.0

La gestion du client Microsoft BitLocker Administration and Monitoring (MBAM) nécessite l'application de paramètres de stratégie de groupe personnalisés. Cette rubrique décrit les options de stratégie disponibles pour un objet de stratégie de groupe (GPO) lors de l'utilisation de MBAM pour gérer le chiffrement de lecteur BitLocker dans l'entreprise.

Important

MBAM n'utilise pas les paramètres GPO par défaut pour le chiffrement de lecteur BitLocker Windows. Si les paramètres par défaut sont activés, ils peuvent provoquer des comportements incompatibles. Pour permettre à MBAM de gérer BitLocker, vous devez définir les paramètres de stratégie GPO après avoir installé le modèle de stratégie de groupe MBAM.

Après avoir installé le modèle de stratégie de groupe MBAM, vous pouvez afficher et modifier les paramètres de stratégie GPO de MBAM personnalisés disponibles qui permettent à MBAM de gérer le chiffrement BitLocker d'entreprise. Le modèle de stratégie de groupe MBAM doit être installé sur un ordinateur capable d'exécuter la technologie MDOP de la console de gestion (GPMC) ou la console de gestion avancée des stratégies de groupe (AGMP). Ensuite, pour modifier l'objet de stratégie de groupe applicable, ouvrez la console GPMC ou AGPM et accédez au nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker).

Le nœud d'objet de stratégie de groupe MDOP MBAM (Gestion BitLocker) contient respectivement quatre paramètres de stratégie globale et quatre nœuds de paramètre d'objet de stratégie de groupe enfant. Les quatre paramètres de stratégie globale d'objet stratégie de groupe sont les suivants : Gestion des clients, Lecteur fixe, Lecteur du système d’exploitation et Lecteur amovible. Les sections suivantes fournissent des définitions de stratégie et des suggestions de paramètres de stratégie pour vous aider à planifier les exigences pour les paramètres de stratégie d'objet de stratégie de groupe MBAM.

Notes

Pour plus d'informations sur la configuration des paramètres minimaux des objets de stratégie de groupe suggérés pour pemettre à MBAM de gérer le chiffrement BitLocker, voir Procédure de modification des paramètres d'objet de stratégie de groupe MBAM 1.0.

Définitions de stratégie globale

Cette section décrit les définitions de stratégie globale de MBAM qui se trouvent au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker).

Nom de la stratégie Vue d'ensemble et paramètre de stratégie suggéré

Sélectionner la méthode et la puissance de chiffrement des lecteurs

Configuration suggérée : Non configuré

Configurez cette stratégie pour utiliser une méthode et une puissance de chiffrement spécifiques.

Lorsque cette stratégie n'est pas configurée, BitLocker utilise la méthode de chiffrement par défaut AES 128 bits avec diffuseur ou la méthode de chiffrement spécifiée par le script d'installation.

Empêcher le remplacement des données en mémoire au redémarrage

Configuration suggérée : Non configuré

Configurez cette stratégie pour améliorer les performances de redémarrage sans remplacer les secrets BitLocker dans la mémoire lors du redémarrage.

Lorsque cette stratégie n'est pas configurée, les secrets BitLocker sont supprimés de la mémoire lorsque l'ordinateur redémarre.

Valider la règle d'utilisation des certificats de cartes à puce

Configuration suggérée : Non configuré

Configurez cette stratégie pour utiliser la protection BitLocker basée sur les certificats de cartes à puce.

Lorsque cette stratégie n'est pas configurée, un identificateur d'objet par défaut 1.3.6.1.4.1.311.67.1.1 est utilisé pour spécifier un certificat.

Fournir les identificateurs uniques de votre organisation

Configuration suggérée : Non configuré

Configurez cette stratégie pour utiliser un agent de récupération de données basé sur un certificat ou le lecteur BitLocker To Go.

Lorsque cette stratégie n'est pas configurée, le champ Identification n'est pas utilisé.

Si votre entreprise requiert des mesures de sécurité plus avancées, vous devez configurer le champ Identification pour vous assurer qu'il est défini sur tous les périphériques USB et que ceux-ci sont alignés sur ce paramètre de stratégie de groupe.

Définitions de stratégie de gestion des clients

Cette section décrit les définitions de stratégie de gestion des clients pour MBAM, détectées au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker) \ Gestion des clients.

Nom de la stratégie Vue d'ensemble et paramètres de stratégie suggérés

Configurer les services MBAM

Configuration suggérée : Activé

  • Point de terminaison de service matériel et de récupération MBAM. Il s'agit du premier paramètre de stratégie que vous devez configurer pour activer la gestion du chiffrement BitLocker du client MBAM. Pour ce paramètre, entrez l'emplacement de point de terminaison comme dans l'exemple suivant : http://<Nom de serveur MBAM Administration and Monitoring Server>:<port auquel le service Web est lié>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Sélectionner les informations de récupération BitLocker à stocker. Ce paramètre de stratégie vous permet de configurer le service de récupération de clé pour sauvegarder les informations de récupération BitLocker. Il vous permet également de configurer l'état du service de rapport pour la collecte des rapports de conformité et d'audit. La stratégie fournit une méthode d'administration de la récupération des données chiffrées par BitLocker afin d'éviter la perte de données en raison du manque d'informations sur la clé. L'activité de rapport d'état et de récupération de clé sera automatiquement et silencieusement envoyée vers l'emplacement du serveur de rapports configuré.

    Si vous ne configurez pas ou si vous désactivez ce paramètre de stratégie, les informations de récupération de clé ne seront pas enregistrées, et l'activité de rapport d'état et de récupération de clé ne sera pas rapportée au serveur. Lorsque ce paramètre est défini sur Mot de passe de récupération et package de clés, le mot de passe de récupération et le package de clés seront automatiquement et silencieusement sauvegardés vers l'emplacement du serveur de récupération de clé configuré.

  • Entrer la fréquence d'état de vérification du client en minutes. Ce paramètre de stratégie indique la fréquence à laquelle le client vérifie l'état sur l'ordinateur client et les stratégies de protection BitLocker. Cette stratégie gère également la fréquence d'enregistrement de l'état de conformité du client sur le serveur. Le client vérifie les stratégies de protection BitLocker et l'état sur l'ordinateur client, et sauvegarde également la clé de récupération du client à la fréquence configurée.

    Définissez cette fréquence en fonction des besoins de votre entreprise en matière de fréquence de vérification de l'état de conformité de l'ordinateur, et de fréquence de sauvegarde de la clé de récupération du client.

  • Point de terminaison du service de rapport d'étatMBAM. Il s'agit du second paramètre de stratégie que vous devez configurer pour activer la gestion du chiffrement BitLocker du client MBAM. Pour ce paramètre, entrez l'emplacement de point de terminaison comme dans l'exemple suivant : http://<Nom de serveur MBAM Administration and Monitoring Server>:<port auquel le service Web est lié>/MBAMComplianceStatusService/StatusReportingService.svc.

Autoriser la vérification de la compatibilité matérielle

Configuration suggérée : Activé

Ce paramètre de stratégie vous permet de gérer la vérification de la compatibilité matérielle avant d'activer la protection BitLocker sur les lecteurs d'ordinateurs clients MBAM.

Vous devez activer cette option de stratégie si l'entreprise dispose d'un matériel informatique ancien ou d'ordinateurs qui ne prennent pas en charge le module de plateforme sécurisée (TPM). Si la valeur de l'un de ces critères est True, activez la vérification de la compatibilité matérielle pour vous assurer que MBAM est uniquement appliqué aux modèles d'ordinateurs qui prennent en charge BitLocker. Si tous les ordinateurs de votre organisation prennent en charge BitLocker, vous n'avez pas besoin de déployer la compatibilité matérielle et vous pouvez définir cette stratégie sur Non configuré.

Si vous activez ce paramètre de stratégie, le modèle d'ordinateur est validé par rapport à la liste de compatibilité matérielle toutes les 24 heures, avant que la stratégie active la protection BitLocker sur un lecteur d'ordinateur.

Notes

Avant d'activer ce paramètre de stratégie, assurez-vous d'avoir configuré le paramètre MBAM Point de terminaison de service matériel et de récupération dans les options de stratégie Configurer les services MBAM.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le modèle d'ordinateur n'est pas validé par rapport à la liste de compatibilité matérielle.

Configurer la stratégie d'exemption de l'utilisateur

Configuration suggérée : Non configuré

Ce paramètre de stratégie vous permet de configurer une adresse de site web, une adresse de messagerie ou un numéro de téléphone qui forcera un utilisateur à demander une exemption de chiffrement BitLocker.

Si vous activez ce paramètre de stratégie et spécifiez une adresse de site web, une adresse de messagerie ou un numéro de téléphone, les utilisateurs verront une boîte de dialogue contenant des instructions pour demander une exemption de protection BitLocker. Pour plus d'informations sur l'activation des exemptions de chiffrement BitLocker pour les utilisateurs, voir Gestion des exemptions de chiffrement BitLocker de l'utilisateur.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les instructions relatives à la demande d'exemption ne seront pas présentées aux utilisateurs.

Notes

L'exemption de l'utilisateur est gérée par utilisateur, non par ordinateur. Si plusieurs utilisateurs ouvrent une session sur le même ordinateur et si un utilisateur n'est pas exempté, l'ordinateur sera chiffré.

Définitions de stratégie de lecteur fixe

Cette section décrit les définitions de stratégie de lecteur fixe de MBAM qui se trouvent au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker) \ Lecteur fixe.

Nom de la stratégie Vue d'ensemble et paramètre de stratégie suggéré

Paramètres de chiffrement du lecteur de données fixe

Configuration suggérée : Activé. Activez la case à cocher Activer le lecteur de données fixe à déverrouillage automatique, si le volume du système d'exploitation est requis pour être chiffré.

Ce paramètre de stratégie vous permet de spécifier si les lecteurs fixes doivent être chiffrés ou non.

Lorsque vous activez cette stratégie, ne désactivez pas la stratégie Configurer l'utilisation des mots de passe pour les lecteurs de données fixes.

Si la case à cocher Activer le lecteur de données fixe à déverrouillage automatique est activée, le volume de système d'exploitation doit être chiffré.

Si vous activez ce paramètre de stratégie, les utilisateurs seront obligés de mettre tous les lecteurs fixes sous la protection BitLocker, qui chiffrera tous les lecteurs.

Si vous ne configurez pas cette stratégie ou si vous la désactivez, les utilisateurs ne seront pas obligés de mettre les lecteurs fixes sous la protection BitLocker.

Si vous désactivez cette stratégie, l'agent MBAM déchiffrera tous les lecteurs fixes chiffrés.

Si le chiffrement du volume de système d'exploitation n'est pas nécessaire, désactivez la case à cocher Activer le lecteur de données fixe à déverrouillage automatique.

Refuser l'accès en écriture aux lecteurs fixes non protégés par BitLocker

Configuration suggérée : Non configuré

Ce paramètre de stratégie détermine si la protection BitLocker est requise pour les lecteurs fixes sur un ordinateur afin qu'ils soient accessibles en écriture. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

Lorsque la stratégie n'est pas configurée, tous les lecteurs fixes de l'ordinateur sont montés avec des autorisations en lecture/écriture.

Autoriser l'accès aux lecteurs de données fixes protégés par BitLocker à partir de versions antérieures de Windows

Configuration suggérée : Non configuré

Activez cette stratégie pour déverrouiller et afficher les lecteurs fixes formatés avec le système de fichiers FAT (File Allocation Table) sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Ces systèmes d'exploitation ont des autorisations de lecture seule pour les lecteurs protégés par BitLocker.

Lorsque la stratégie est désactivée, les lecteurs fixes formatés avec le système de fichiers FAT ne peuvent pas être déverrouillés et leur contenu ne peut pas être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Configurer l'utilisation de mots de passe pour les lecteurs fixes

Configuration suggérée : Non configuré

Activez cette stratégie pour configurer la protection par mot de passe sur des lecteurs fixes.

Lorsque la stratégie n'est pas configurée, les mots de passe sont pris en charge avec les paramètres par défaut, qui n'incluent pas les exigences de complexité de mot de passe et n'exigent que huit caractères.

Pour davantage de sécurité, activez cette stratégie et sélectionnez Demander un mot de passe pour les lecteurs de données fixes, puis Imposer les critères de complexité des mots de passe et définissez la valeur Longueur minimale du mot de passe souhaitée.

Sélectionner la méthode de récupération des lecteurs fixes protégés par BitLocker

Configuration suggérée : Non configuré

Configurez cette stratégie pour activer l'agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS).

Lorsque cette stratégie n'est pas configurée, l'agent de récupération de données BitLocker est autorisé et les informations de récupération ne sont pas sauvegardées dans AD DS. MBAM ne nécessite pas la sauvegarde des données de récupération sur AD DS.

Définitions de stratégie de lecteur du système d'exploitation

Cette section décrit les définitions de stratégie de lecteur du système d'exploitation pour MBAM, détectées au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker) \ Lecteur système d'exploitation.

Nom de la stratégie Vue d'ensemble et paramètre de stratégie suggéré

Paramètres de chiffrement du lecteur de système d'exploitation

Configuration suggérée : Activé

Ce paramètre de stratégie détermine si le lecteur du système d'exploitation est chiffré.

Configurez cette stratégie pour effectuer les opérations suivantes :

  • appliquer la protection BitLocker pour le lecteur du système d'exploitation ;

  • configurer l'utilisation d'un code confidentiel pour utiliser un code confidentiel de module de plateforme sécurisée pour la protection du système d'exploitation ;

  • configurer des codes confidentiels de démarrage renforcés pour autoriser des caractères en majuscules, en minuscules et des nombres. MBAM ne prend pas en charge l'utilisation de symboles et d'espaces pour les codes confidentiels renforcés même si BitLocker prend en charge les symboles et les espaces.

Si vous activez ce paramètre de stratégie, les utilisateurs doivent sécuriser le lecteur du système d'exploitation à l'aide de BitLocker.

Si vous ne configurez pas ou si vous désactivez ce paramètre, les utilisateurs ne sont pas tenus de sécuriser le lecteur du système d'exploitation à l'aide de BitLocker.

Si vous désactivez cette stratégie, l'agent MBAM déchiffre le volume de système d'exploitation s'il est chiffré.

Lorsqu'il est activé, ce paramètre de stratégie exige des utilisateurs qu'ils sécurisent le système d'exploitation à l'aide de la protection BitLocker, et le lecteur est chiffré. Selon vos besoins de chiffrement, vous pouvez sélectionner la méthode de protection pour le lecteur du système d'exploitation.

Pour les exigences de sécurité plus élevées, utilisez le module de plateforme sécurisée et un code confidentiel, autorisez les codes confidentiels renforcés et définissez la longueur minimale du code confidentiel sur huit caractères.

Lorsque cette stratégie est activée avec la protection de module de plateforme sécurisée et un code confidentiel, vous pouvez envisager de désactiver les stratégies suivantes dans Système / Gestion de l'alimentation / Paramètres de la veille :

  • Autoriser les états de mise en attente (S1-S3) lorsque l'ordinateur est en veille (sur secteur)

  • Autoriser les états de mise en attente (S1-S3) lorsque l'ordinateur est en veille (sur batterie)

Configurer le profil de validation de plateforme du module de plateforme sécurisée

Configuration suggérée : non configuré

Ce paramètre de stratégie vous permet de configurer la manière dont le matériel de sécurité TPM sur un ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur ne dispose pas d'un module de plateforme sécurisée compatible ou si la protection du module de plateforme sécurisée est déjà activée dans BitLocker.

Lorsque cette stratégie n'est pas configurée, le module de plateforme sécurisée utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d'installation.

Sélectionner la méthode de récupération des lecteurs de système d'exploitation protégés par BitLocker

Configuration suggérée : non configuré

Configurez cette stratégie pour activer l'agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS).

Lorsque cette stratégie n'est pas configurée, l'agent de récupération de données est autorisé, et les informations de récupération ne sont pas sauvegardées dans les services AD DS.

L'exécution de MBAM ne nécessite pas la sauvegarde des informations de récupération dans AD DS.

Définitions de stratégie de lecteur amovible

Cette section décrit les définitions de stratégie de lecteur amovible pour MBAM, détectées au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker) \ Lecteur fixe.

Nom de la stratégie Vue d'ensemble et paramètre de stratégie suggéré

Contrôler l'utilisation de BitLocker sur les lecteurs amovibles

Configuration suggérée : activé

Cette stratégie contrôle l'utilisation de BitLocker sur des lecteurs de données amovibles.

Activez l'option Autoriser les utilisateurs à protéger les lecteurs de données amovibles avec BitLocker pour permettre aux utilisateurs d'exécuter l'Assistant d'installation BitLocker sur un lecteur de données amovible.

Activez l'option Autoriser les utilisateurs à suspendre et supprimer la protection BitLocker sur les lecteurs de données amovibles pour permettre aux utilisateurs de supprimer le chiffrement BitLocker sur un lecteur ou de suspendre le chiffrement pendant une opération de maintenance.

Lorsque cette option est activée et que l'option Autoriser les utilisateurs à protéger les lecteurs de données amovibles avec BitLocker est sélectionnée, le client MBAM enregistre les informations de récupération des lecteurs amovibles sur le serveur de récupération de clé MBAM et il permet aux utilisateurs de récupérer le lecteur en cas de perte du mot de passe.

Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker

Configuration suggérée : non configuré

Activez cette stratégie pour autoriser un accès en écriture seule aux lecteurs protégés par BitLocker.

Lorsque cette stratégie est activée, tous les lecteurs de données amovibles connectés à l'ordinateur nécessitent un chiffrement avant que les autorisations en écriture ne soient permises.

Autoriser l'accès aux lecteurs de données amovibles protégés par BitLocker à partir de versions antérieures de Windows

Configuration suggérée : non configuré

Activez cette stratégie pour déverrouiller et afficher les lecteurs fixes formatés avec le système de fichiers FAT sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Ces systèmes d'exploitation ont des autorisations de lecture seule pour les lecteurs protégés par BitLocker.

Lorsque la stratégie est désactivée, les lecteurs amovibles formatés avec le système de fichiers FAT ne peuvent pas être déverrouillés et leur contenu peut être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Configurer l'utilisation d'un mot de passe pour les lecteurs de données amovibles

Configuration suggérée : non configuré

Activez cette stratégie pour configurer la protection par mot de passe sur des lecteurs de données amovibles.

Lorsque cette stratégie n'est pas configurée, les mots de passe sont pris en charge avec les paramètres par défaut, qui n'incluent pas les exigences de complexité de mot de passe et n'exigent que huit caractères.

Pour davantage de sécurité, activez cette stratégie et sélectionnez Demander un mot de passe pour les lecteurs de données amovibles, puis Imposer les critères de complexité des mots de passe et définissez la valeur Longueur minimale du mot de passe souhaitée.

Sélectionner la méthode de récupération des lecteurs amovibles protégés par BitLocker

Configuration suggérée : non configuré

Vous pouvez configurer cette stratégie pour activer l'agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS).

Lorsque cette stratégie n'est pas configurée, l'agent de récupération de données est autorisé, et les informations de récupération ne sont pas sauvegardées dans les services AD DS.

L'exécution de MBAM ne nécessite pas la sauvegarde des informations de récupération dans AD DS.

Voir aussi

Autres ressources

Préparation de votre environnement pour MBAM 1.0

-----
Vous pouvez obtenir davantage d'informations sur MDOP dans la Librairie TechNet, rechercher des solutions de dépannage dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----