Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Sauvegarde de BitLocker et les informations de récupération du module de plateforme sécurisée à AD DS

Vous pouvez configurer le chiffrement de lecteur BitLocker pour sauvegarder des informations de récupération pour les lecteurs protégés par BitLocker et le Module de plateforme sécurisée (TPM) services de domaine Active Directory (AD DS). Les informations de récupération comprenant le mot de passe de récupération pour chaque lecteur protégé par BitLocker, le mot de passe du propriétaire du module de plateforme sécurisée et les informations requises pour identifier les ordinateurs et les lecteurs, les informations de récupération s'applique à. Si vous le souhaitez, vous pouvez également enregistrer un lot contenant les clés réelles utilisées pour crypter les données ainsi que le mot de passe de récupération requis pour accéder à ces clés.

À l'aide de AD DS pour stocker les informations de récupération BitLocker

Sauvegarde des mots de passe de récupération pour un lecteur protégé par BitLocker permet aux administrateurs de récupérer le lecteur s'il est verrouillé. Cela garantit que les données chiffrées appartenant à l'entreprise reste toujours accessible par les utilisateurs autorisés.

Sauvegarder les informations de propriétaire TPM pour un ordinateur permet aux administrateurs de localement et à distance à configurer le matériel de sécurité TPM sur cet ordinateur. Par exemple, un administrateur peut souhaiter de réinitialiser le module de plateforme sécurisée par défaut lors de la désactivation ou la réaffectation des ordinateurs.

Dans une installation de BitLocker par défaut, les informations de récupération ne sont pas sauvegardées et les utilisateurs locaux doivent être responsables de la conservation d'une copie du mot de passe de récupération ou de la clé de récupération. Si l'utilisateur que les informations de perd ou oublie de déchiffrer le lecteur avant de quitter l'organisation, l'administrateur ne peut pas facilement obtenir accès au lecteur. Pour atténuer cette situation, les administrateurs peuvent configurer les paramètres de stratégie de groupe pour activer la sauvegarde des informations de récupération BitLocker et TPM. Avant de configurer ces paramètres, en tant qu'administrateur de domaine vous devez vous assurer que le schéma Active Directory possède les emplacements de stockage nécessaire et que les autorisations d'accès ont été accordées pour effectuer la sauvegarde.

Vous devez également configurer les services AD DS avant de configurer BitLocker sur des ordinateurs clients. Si BitLocker est activé en premier lieu, les informations de récupération pour les ordinateurs ne seront pas automatiquement ajoutées aux services AD DS. Si nécessaire, les informations de récupération peuvent être sauvegardées de AD DS après l'activation de BitLocker en utilisant l'outil de ligne de commande Manage-bde ou le fournisseur WMI (Windows Management Instrumentation) de BitLocker. Pour plus d'informations sur le fournisseur WMI, consultez la rubrique MSDN Méthode BackupRecoveryInformationToActiveDirectory de la classe à Win32_EncryptableVolume (http://go.Microsoft.com/fwlink/?)LinkId = 167132).

Dd875529.Important(fr-fr,WS.10).gif Important
Si vos contrôleurs de domaine exécutent Windows Server 2003 avec Service Pack 1 (SP1) ou Service Pack 2 (SP2), Windows Server 2003 R2, Windows Server 2008 ou Windows Server 2008 R2, vous pouvez enregistrer les informations de récupération dans AD DS. Impossible d'enregistrer les informations de récupération dans AD DS si le contrôleur de domaine exécute une version de Windows Server antérieures à Windows Server 2003 avec SP1.

Si vous exécutez Windows Server 2008 R2 ou Windows Server 2008, suivez le même processus décrit pour Windows Server 2003 avec SP1 ou version ultérieure, à une exception près : vous n'avez pas besoin de mettre à jour le schéma, comme décrit plus loin dans ce document.

Dd875529.Important(fr-fr,WS.10).gif Important
Vous devez effectuer les étapes décrites dans les rubriques suivantes dans un test ou d'un environnement de pré-production préalable au déploiement pour les environnements de production.

Avant de commencer

Télécharger et consulter les exemples de scripts suivants, qui sont utilisés dans les procédures suivantes pour configurer les services AD DS pour sauvegarder les informations de récupération BitLocker :

  • TPMSelfWriteACE.vbs ajouter (http://go.Microsoft.com/fwlink/?)LinkId = 167133)

    Ce script ajoute l'entrée de contrôle d'accès (ACE) pour le module de plateforme sécurisée à AD DS afin que l'ordinateur peut sauvegarder les informations de récupération TPM dans AD DS.

  • Liste ACEs.vbs (http://go.Microsoft.com/fwlink/?)LinkId = 167134)

    Ce script répertorie ou supprime les entrées ACE configurés sur BitLocker et TPM des objets de schéma pour le domaine de niveau supérieur de sorte que vous pouvez vérifier que les ACE attendues ont été ajoutés correctement ou pour supprimer les entrées ACE liés à BitLocker ou le module de plateforme sécurisée si nécessaire.

  • Get-TPMOwnerInfo.vbs (http://go.Microsoft.com/fwlink/?)LinkId = 167135)

    Ce script récupère les informations de récupération du module de plateforme sécurisée de domaine Active Directory pour un ordinateur particulier afin que vous pouvez vérifier que les administrateurs de domaine uniquement (ou des rôles délégués) peuvent lire les informations de récupération TPM sauvegardés et vérifiez que les informations à sauvegarder correctement.

  • Get-BitLockerRecoveryInfo.vbs (http://go.Microsoft.com/fwlink/?)LinkId = 167136)

    Ce script récupère les informations de récupération BitLocker à partir d'AD DS pour un ordinateur particulier afin que vous pouvez vérifier que les administrateurs de domaine uniquement (ou des rôles délégués) peuvent lire les informations de récupération BitLocker sauvegardés et vérifiez que les informations à sauvegarder correctement.

Dd875529.note(fr-fr,WS.10).gif Remarque
Si vous utilisez un contrôleur de domaine exécutant Windows Server 2003 avec SP1 ou SP2, vous devez appliquer l'extension de schéma (BitLockerTPMSchemaExtension.ldf) pour stocker de BitLocker et les mots de passe TPM dans Active Directory. Ce fichier peut être téléchargé à partir du BitLocker et Extension de schéma de module de plateforme sécurisée page des ressources d'exemple de déploiement de BitLocker (http://go.Microsoft.com/fwlink/?)LinkId = 167137).

Cette rubrique comprend les sections suivantes :

Stockage des informations de récupération BitLocker dans AD DS

Sauvegardé les informations de récupération sont stockées dans un objet enfant de l'objet ordinateur de BitLocker. En d'autres termes, l'objet ordinateur est le conteneur pour un objet de récupération BitLocker.

Chaque objet de récupération BitLocker inclut le mot de passe de récupération et d'autres informations de récupération. Plus d'un objet de récupération BitLocker peut exister sous chaque objet ordinateur car plusieurs mots de passe de récupération peuvent être associés à un lecteur protégé par BitLocker et plusieurs lecteurs protégés par BitLocker peuvent être associés à un ordinateur.

Le nom de l'objet de récupération BitLocker incorpore un identificateur global unique (GUID) et les informations de date et heure, pour une longueur fixe de 63 caractères. Le formulaire est :

< Date et heure création d'objet >< récupération GUID >

Par exemple :

2005-09-30T17:08:23-08:00{063EA4E1-220C-4293-BA01-4754620A96E7}

Le nom commun (CN) de l'objet de récupération BitLocker est ms-FVE-RecoveryInformation. Chaque objet de ms-FVE-RecoveryInformation possède les attributs suivants :

  • MS-FVE-RecoveryPassword

    Cet attribut contient le mot de passe de récupération à 48 chiffres utilisé pour récupérer un lecteur protégé par BitLocker. Les utilisateurs entrent ce mot de passe pour déverrouiller un lecteur lorsque BitLocker passe en mode de récupération.

  • MS-FVE-RecoveryGuid.

    Cet attribut contient le GUID associé avec un mot de passe de récupération BitLocker. En mode de récupération de lecteur du BitLocker système d'exploitation et lorsque vous tentez de récupérer un lecteur de données à partir du système d'exploitation, ce GUID est affiché à l'utilisateur afin que le mot de passe de récupération peut être localisé pour déverrouiller le lecteur. Ce GUID est également inclus dans le nom de l'objet de récupération.

  • MS-FVE-GUID

    Cet attribut contient le GUID associé à un lecteur protégé par BitLocker.

    Alors que le mot de passe (stocké dans ms-FVE-RecoveryGuid) est unique pour chaque mot de passe de récupération, cet identificateur est unique pour chaque lecteur protégé par BitLocker.

  • MS-FVE-KeyPackage

    Cet attribut contient la clé de chiffrement BitLocker d'un lecteur sécurisé par le mot de passe de récupération correspondant.

    Avec ce package de clé et le mot de passe de récupération (stockée dans ms-FVE-RecoveryPassword), vous pouvez décrypter des parties d'un lecteur protégé par BitLocker si le disque est endommagé. Chaque package de clé fonctionne uniquement pour un lecteur possédant l'identificateur de lecteur correspondant (stockée dans ms-FVE-GUID). Vous devez utiliser la visionneuse de mot de passe de récupération BitLocker pour utiliser ce package de clé. Pour plus d'informations, consultez Visionneuse de mot de passe de récupération BitLocker pour Active Directory .

Si vous voulez vérifier que votre schéma AD DS (ou Active Directory) possède les attributs requis pour sauvegarder les informations de récupération TPM et BitLocker, suivez les instructions de Vérifiez que BitLocker et les objets de schéma de module de plateforme sécurisée .

Stockage des informations de récupération TPM dans AD DS

Il existe un seul mot de passe de propriétaire TPM par ordinateur. Lors de l'initialisation du TPM ou lorsque ce mot de passe est modifié, le hachage du mot de passe du propriétaire TPM sauvegardé en tant qu'attribut de l'objet ordinateur.

Le nom commun (CN) de l'attribut de module de plateforme sécurisée est ms-tpm-ownerinformation.

Configuration des services AD DS

Effectuer les tâches suivantes pour configurer les services AD DS pour sauvegarder les informations de récupération BitLocker et TPM.

Vérifiez les conditions préalables générales

Assurez-vous que les conditions préalables suivantes sont respectées :

  1. Tous les contrôleurs de domaine accessibles par les ordinateurs clients compatibles avec BitLocker exécutent Windows Server 2003 avec SP1 ou SP2. Sur chaque contrôleur de domaine, cliquez sur Démarrer, cliquez droit sur Poste de travailet cliquez sur l'onglet Général .

    Dd875529.Important(fr-fr,WS.10).gif Important
    Si l'onglet Général répertorie Windows Server 2003, mais sans informations de service pack, vous devez installer un service pack pour pouvoir sauvegarder les informations de récupération BitLocker pour AD DS. Pour plus d'informations, consultez Windows Server 2003 Service Pack (http://go.Microsoft.com/fwlink/?)LinkID = 43106).

    L'extension du schéma BitLocker et TPM marque comme « confidentiel », les attributs sélectionnés à l'aide de la propriété « searchFlags ». L'indicateur « confidentiel » est une fonctionnalité disponible dans Windows Server 2003 avec SP1 ou version ultérieure. Avec cette fonctionnalité, les administrateurs de domaine uniquement et les délégués appropriées ont accès en lecture aux attributs marqués avec l'indicateur confidentiel.

    BitLocker n'impose des exigences de niveaux fonctionnels de domaine ou une forêt. Toutefois, les contrôleurs de domaine exécutant les systèmes d'exploitation antérieurs à Windows Server 2003 avec SP1 doivent être retirés des environnements mixtes fonctionnelle-niveau (ou mis à niveau), dans la mesure où sauvegardé les informations de BitLocker et TPM ne seront pas protégés sur ces contrôleurs de domaine.

  2. Vous disposez de privilèges d'administrateur de domaine dans la forêt cible ou que vous utilisez un compte qui dispose des autorisations appropriées pour étendre le schéma de la forêt cible. Les membres des groupes Administrateurs de l'entreprise ou Administrateurs du schéma sont des exemples de comptes qui ont les autorisations appropriées.

  3. Vous avez obtenu les fichiers suivants :

    • BitLockerTPMSchemaExtension.ldf si vous avez besoin étendre le schéma Active Directory.

    • Ajouter-TPMSelfWriteACE.vbs pour autoriser le compte d'ordinateur sauvegarder les informations de propriétaire du module de plateforme sécurisée à AD DS.

Étendre le schéma (contrôleurs de domaine Windows Server 2003)

La procédure suivante étend le schéma pour autoriser les informations soient enregistrées dans Active Directory.

Dd875529.Important(fr-fr,WS.10).gif Important
Si votre contrôleur de domaine exécute Windows Server 2008 ou Windows Server 2008 R2, vous n'avez pas besoin effectuer cette procédure. Ces systèmes d'exploitation incluent déjà les extensions de schéma nécessaires.

Pour étendre le schéma Active Directory avec des attributs de BitLocker et TPM

  1. Ouvrez une session avec un compte de domaine dans le groupe Administrateurs du schéma . Ce compte doit être utilisé pour étendre le schéma.

    Par défaut, le compte administrateur intégré dans le domaine racine de forêt fait partie du groupe Administrateurs du schéma . Pour plus d'informations, consultez la section « Droits d'accès Granting pour apporter des modifications de schéma » dans Fonctionne du schéma Active Directory (http://go.Microsoft.com/fwlink/?)LinkID = 79649).

  2. Vérifiez que votre installation de Windows Server permet des mises à jour de schéma.

    Dans Windows Server 2003, les mises à jour du schéma Active Directory sont activés par défaut. Pour plus d'informations, y compris les étapes requises pour activer les mises à jour du schéma, consultez article 285172 dans la Base de connaissances Microsoft (http://go.Microsoft.com/fwlink/?)LinkId = 79644).

  3. Vérifiez que vous avez accès au contrôleur de domaine qui est le maître d'opérations de schéma de la forêt Active Directory. Mises à jour de schéma ne peuvent être effectuées que sur le maître d'opérations de schéma.

  4. Téléchargez et examinez BitLockerTPMSchemaExtension.ldf à partir de BitLocker et Extension de schéma de module de plateforme sécurisée (http://go.Microsoft.com/fwlink/?)LinkID = 167137). Ce fichier contient l'extension de schéma.

    Pour plus d'informations de référence sur extensions de schéma, consultez Fonctionne du schéma Active Directory (http://go.Microsoft.com/fwlink/?)LinkId = 79649).

  5. Utilisez l'outil de ligne de commande Ldifde pour étendre le schéma du contrôleur de domaine qui sert de maître d'opérations de schéma. Par exemple, pour importer l'extension du schéma sur un domaine nommé nttest.microsoft.com, ouvrez une session en tant qu'utilisateur dans le groupe Administrateurs du schéma et puis tapez ce qui suit à l'invite :

    ldifde -i -f BitLockerTPMSchemaExtension.ldf-v-c "DC = X" "DC = nttest, dc = microsoft, dc = com" -k -j.

    Cette commande doit être entrée comme une seule ligne. Le point (.) fait partie de la commande.

    L'utilisation de k - supprime les erreurs « Objet existe déjà » si les parties du schéma existent déjà. L'utilisation de -j. enregistre un fichier journal étendu dans le répertoire de travail actuel.

Pour plus d'informations sur les paramètres Ldifde, reportez-vous à la section. article 237677 dans la Base de connaissances Microsoft (http://go.Microsoft.com/fwlink/?)LinkId = 79650).

Définissez les autorisations requises pour sauvegarder les informations de mot de passe de module de plateforme sécurisée

La procédure suivante ajoute une entrée de contrôle d'accès (ACE) de sorte que la sauvegarde des informations de récupération du module de plateforme sécurisée est possible.

Un ordinateur client exécutant Windows 7 peut sauvegarder les informations de récupération BitLocker sous autorisation par défaut de l'objet ordinateur. Toutefois, un ordinateur client exécutant Windows 7 ne peut pas sauvegarder les informations de propriétaire TPM, sauf si cette entrée ACE supplémentaire est ajoutée.

Consultez la rubrique Autorisations par défaut les services AD DS pour un objet ordinateur , dans les annexes pour obtenir des informations sur la valeur par défaut des autorisations de AD DS sur l'objet de classe d'ordinateur qui contient la classe des informations de récupération BitLocker et l'attribut d'information propriétaire du module de plateforme sécurisée.

Pour ajouter un ACE pour autoriser les informations de récupération du module de plateforme sécurisée à sauvegarder

  1. Téléchargez et examinez Add-TPMSelfWriteACE.vbs à partir de Exemples de déploiement de BitLocker Scripts (http://go.Microsoft.com/fwlink/?)LinkID = 151997). L'exemple de script contient l'extension de l'autorisation.

  2. Modifier ajouter TPMSelfWriteACE.vbs en fonction de votre environnement.

  3. Tapez la ligne suivante à l'invite et appuyez sur ENTRÉE :

    cscript Add-TPMSelfWriteACE.vbs

Ce script ajoute un seul ACE à l'objet de domaine de niveau supérieur. L'ACE est une autorisation héritable SELF (l'ordinateur lui-même) permet d'écrire dans l'attribut ms-tpm-ownerinformation pour les objets ordinateur dans le domaine.

L'exemple de script fournie fonctionne sous les hypothèses suivantes :

  • Vous disposez des privilèges d'administrateur de domaine pour définir des autorisations pour l'objet de domaine de niveau supérieur.

  • Votre domaine cible est le même que le domaine du compte d'utilisateur qui exécute le script.

    Par exemple, l'exécution du script en tant que TESTDOMAIN\admin étendre les autorisations pour DOMAINETEST. Vous devrez peut-être modifier l'exemple de script si vous souhaitez définir des autorisations pour plusieurs domaines, mais n'avez pas de comptes d'administrateur de domaine pour chacun de ces domaines. Trouver la variable strPathToDomain dans le script et le modifier pour votre domaine cible. Voici un exemple :

    " LDAP://DC=testdomain,DC=nttest,DC=microsoft,DC=com "

  • Votre domaine est configuré pour que les autorisations héritent de l'objet de domaine de niveau supérieur à des objets ordinateur ciblé.

    Les autorisations ne seront pas entrent en vigueur si n'importe quel conteneur dans la hiérarchie n'autorise pas les autorisations héritées du parent. Par défaut, l'héritage des autorisations est définie par les services AD DS. Si vous ne savez pas si votre configuration diffère de cette valeur par défaut, vous pouvez continuer avec les étapes de configuration pour définir l'autorisation. Vous pouvez ensuite vérifier votre configuration comme décrit plus loin dans ce document, ou en cliquant sur le bouton Autorisations effectives lors de l'affichage des propriétés d'un objet ordinateur, vérifiez que SELF peut écrire l'attribut OwnerInformation de msTPM .

Configurer la stratégie de groupe pour activer la sauvegarde des informations de récupération BitLocker et TPM dans AD DS

Ces instructions sont pour la configuration de la stratégie locale sur un ordinateur client exécutant Windows 7. Dans un environnement de production, vous modifieriez probablement un objet de stratégie de groupe (GPO) qui s'applique aux ordinateurs du domaine à la place.

Pour plus d'informations sur la configuration d'un objet de stratégie de groupe dans un domaine Windows Server 2008, consultez le Guide de déploiement et de la planification des stratégies de groupe (http://go.Microsoft.com/fwlink/?)LinkID = 147296).

Dd875529.note(fr-fr,WS.10).gif Remarque
Nous vous conseillons de conserver les options par défaut lorsque vous activez chaque paramètre de stratégie de groupe. Assurez-vous de lire le texte d'explication avant d'apporter des modifications pour comprendre l'impact des différentes options.

Il existe deux procédures distinctes de cette section : une pour la configuration du paramètre de stratégie est appliquée à des ordinateurs exécutant Windows Vista ou Windows Server 2008 et l'autre pour la configuration de la stratégie de configuration qui est appliquent pour les ordinateurs exécutant Windows 7 ou Windows Server 2008 R2.

Pour activer les paramètres de stratégie locale sauvegarder les informations de récupération BitLocker et TPM pour AD DS à partir d'ordinateurs exécutant Windows Vista ou Windows Server 2008

  1. Ouvrez une session sur l'ordinateur avec un compte disposant des informations d'identification administratives.

  2. Cliquez sur Démarrer, tapez gpedit.msc dans la zone fichiers et programmes de recherche et appuyez sur ENTRÉE pour ouvrir l'éditeur de stratégie de groupe locale.

  3. Dans l'arborescence de la console, sous Ordinateur utilisateur\Modèles d'Administration\composants, cliquez sur Le chiffrement de lecteur BitLocker.

  4. Dans le volet de détails, double-cliquez sur les informations de récupération BitLocker de banque d'informations dans Active Directory (Windows Server 2008 et Windows Vista).

  5. Cliquez sur activéet configurez les paramètres suivants en fonction de votre environnement :

    • Si vous souhaitez empêcher les utilisateurs de l'activation de BitLocker sur des ordinateurs qui ne sont pas actuellement en mesure de se connecter à un contrôleur de domaine, sélectionnez sauvegarde BitLocker nécessitent à AD DS . Si ce paramètre n'est pas sélectionné, BitLocker tentent de stocker des informations de récupération dans AD DS, mais si elle échoue pour une raison quelconque BitLocker sera toujours activé et que les informations de récupération ne seront pas présentes dans AD DS pour que le lecteur.

    • Dans les informations de récupération BitLocker sélectionnez pour stocker, sélectionnez les packages de clés et les mots de passe de récupération ou mots de passe de récupération. Packages de clés sont utilisés avec l'outil de ligne de commande de réparation-bde pour effectuer une récupération spécialisée lorsque le disque est endommagé ou altéré. Pour plus d'informations, consultez le Référence de paramètre de bde.exe de réparation .

    • Cliquez sur OK pour appliquer les paramètres de stratégie et de fermer la boîte de dialogue.

  6. Dans l'arborescence de la console, sous Ordinateur Configuration ordinateur\Modèles d'administration\Système, cliquez sur Services Trusted Platform Module.

  7. Dans le volet de détails, double-cliquez sur Activer le module de plateforme sécurisée de sauvegarde sur les Services de domaine Active Directory.

  8. Cliquez sur activé.

  9. Le Module de plateforme sécurisée à AD DS nécessitent est activée par défaut. Lorsque cette option est sélectionnée, le mot de passe du propriétaire du module de plateforme sécurisée ne peut pas défini ou modifié, sauf si l'ordinateur est connecté au domaine et de sauvegarde de AD DS réussit.

Pour activer les paramètres de stratégie locale sauvegarder les informations de récupération BitLocker et TPM pour AD DS à partir d'ordinateurs exécutant Windows 7 ou Windows Server 2008 R2

  1. Ouvrez une session sur l'ordinateur avec un compte disposant des informations d'identification administratives.

  2. Cliquez sur Démarrer, tapez gpedit.msc dans la zone fichiers et programmes de recherche et appuyez sur ENTRÉE pour ouvrir l'éditeur de stratégie de groupe locale.

  3. Dans l'arborescence de la console, sous Ordinateur utilisateur\Modèles d'Administration\composants, cliquez sur Le chiffrement de lecteur BitLocker.

  4. Dans le volet de détails, double-cliquez sur le sous-dossier de type de lecteur, Lecteur de système d'exploitation, lecteur de données fixeou lecteur de données amovible— pour lequel vous souhaitez stocker les informations de récupération dans AD DS. Chaque type de lecteur peut avoir des informations de récupération stockées. Le reste de cette procédure utilisera le lecteur de données fixe comme dans l'exemple, mais chaque type de lecteur suit la même procédure de configuration et inclut les mêmes options de paramètre.

  5. Dans le volet de détails, double-cliquez sur lecteurs de choisir comment protégés par BitLocker fixé peuvent être récupérés.

  6. Cliquez sur activéet configurez les paramètres suivants en fonction de votre environnement :

    • Par défaut, BitLocker enregistrer les informations de récupération pour les Services de domaine Active Directory est sélectionné.

    • Dans les informations de récupération BitLocker sélectionnez pour stocker, sélectionnez les packages de clés et les mots de passe de récupération ou mots de passe de récupération. Packages de clés sont utilisés avec l'outil de ligne de commande de réparation-bde pour effectuer une récupération spécialisée lorsque le disque est endommagé ou altéré. Pour plus d'informations, consultez le Référence de paramètre de bde.exe de réparation .

    • Si vous souhaitez empêcher les utilisateurs de l'activation de BitLocker, sauf si l'ordinateur est connecté au domaine et la sauvegarde des informations de récupération BitLocker pour AD DS réussit, activez la case à cocher ne pas activer BitLocker jusqu'à ce que les informations de récupération sont stockées dans AD DS pour les lecteurs de données fixes . Lorsque ce paramètre est sélectionné, un mot de passe de récupération est automatiquement généré.

    • Cliquez sur OK pour appliquer les paramètres de stratégie et de fermer la boîte de dialogue.

  7. Dans l'arborescence de la console, sous Ordinateur Configuration ordinateur\Modèles d'administration\Système, cliquez sur Services Trusted Platform Module.

  8. Double-cliquez sur Activer le module de plateforme sécurisée de sauvegarde sur les Services de domaine Active Directory.

  9. Cliquez sur activé.

  10. Le Module de plateforme sécurisée à AD DS nécessitent est activée par défaut. Lorsque cette option est sélectionnée, le mot de passe du propriétaire du module de plateforme sécurisée ne peut pas défini ou modifié, sauf si l'ordinateur est connecté au domaine et de sauvegarde de AD DS réussit.

Test de votre configuration d'Active Directory

En joignant les ordinateurs clients Windows 7–based pour le domaine que vous venez de configurer et l'activation de BitLocker, vous pouvez tester si les informations de récupération BitLocker et TPM sont sauvegardées à AD DS avec succès.

Toutes les interfaces utilisateur et les interfaces de programmation au sein des fonctionnalités de BitLocker et gestion du TPM adhèrent à vos paramètres de stratégie de groupe configurés. Lorsque ces paramètres sont activés, les informations de récupération (comme les mots de passe de récupération) seront automatiquement sauvegardées sur AD DS dès que cette information est créée et modifiée.

Si vous sélectionnez l'option pour exiger la sauvegarde, initialisation du TPM ou de l'activation de BitLocker par le biais de n'importe quelle méthode est bloquée jusqu'à ce que la sauvegarde réussit. Dans ce cas, personne ne sera autorisée activez BitLocker ou l'initialisation du TPM, sauf si le contrôleur de domaine est configuré correctement, l'ordinateur client dispose d'une connectivité de réseau au contrôleur de domaine, et pas d'autres erreurs se produisent pendant le processus de sauvegarde.

Test de la sauvegarde de Windows 7

Vous devez utiliser un ordinateur client exécutant Windows 7 pour tester le processus de sauvegarde.

Informations de récupération BitLocker sont sauvegardées lorsque vous :

  • Créer un mot de passe de récupération pendant l'installation de BitLocker, à l'aide de l'Assistant disponible via le panneau de configuration.

  • Une fois le disque a été déjà chiffré, à l'aide de l'outil de ligne de commande Manage bde.exe de créer un mot de passe de récupération.

Les informations de récupération TPM sont sauvegardées lorsque vous :

  • Définir le mot de passe du propriétaire du module de plateforme sécurisée pendant l'initialisation du TPM.

  • Modifier le mot de passe du propriétaire du module de plateforme sécurisée.

Exemple de scénario de test avec Windows 7

Cet exemple de scénario de test montre comment vérifier votre configuration Active Directory à l'aide de Windows 7. Il utilise le Exemples de déploiement de BitLocker Scripts (http://go.Microsoft.com/fwlink/?)LinkID = 151997) qui sont disponibles pour téléchargement pour faciliter le processus de test.

Dd875529.Important(fr-fr,WS.10).gif Important
Vous devez effectuer des tests supplémentaires nécessaires pour vérifier que tout fonctionne correctement dans votre environnement ;ne supposez pas que ce scénario va tester complètement tous les aspects de votre configuration.

Scénarios de test peuvent également varier en fonction des stratégies de votre organisation. Par exemple, dans les organisations où les utilisateurs ont le créateur propriétaire des objets ordinateur formant au domaine, il est parfois possible pour ces utilisateurs de lire les informations de propriétaire de module de plateforme sécurisée pour les objets de leurs propre ordinateur.

Pour effectuer le test

  1. Ouvrez une session sur un contrôleur de domaine en tant qu'administrateur de domaine.

  2. Copiez les fichiers de script d'exemple dans un emplacement accessible par le contrôleur de domaine et les ordinateurs clients.

  3. Ouvrez une fenêtre d'invite de commande et modifiez l'emplacement par défaut à l'emplacement des fichiers de script d'exemple.

  4. À l'invite de commandes, tapez le texte suivant :

    cscript ACEs.vbs de la liste

    Attendu résultat : en supposant que la valeur par défaut Add-TPMSelfWriteACE.vbs a été utilisé et autres ACE désapprouvées ont été supprimés, il n'est qu'un ACE lié à BitLocker et TPM. Voici un exemple de sortie :

    Accessing

    > AceFlags: 10

    > AceType: 5

    > Flags: 3

    > AccessMask: 32

    > ObjectType: {AA4E1A6D-550D-4E05-8C35-4AFCB917A9FE}

    > InheritedObjectType: {BF967A86-0DE6-11D0-A285-00AA003049E2}

    > Trustee: NT AUTHORITY\SELF

    1 ACE(s) found in DC=nttest,DC=microsoft,DC=com related to BitLocker and TPM

  5. Ouvrez une session en tant qu'administrateur local (non-administrateur de domaine) pour un ordinateur client Windows 7–based est un membre du domaine.

  6. Cliquez sur Démarrer, tapez tpm.msc dans la zone fichiers et programmes de recherche et appuyez sur ENTRÉE.

  7. Cliquez sur Initialiser TPM soit le Mot de passe de propriétaire du changement de lien.

  8. Définir un mot de passe de propriétaire, puis sélectionnez l'option pour sauvegarder des informations à l'impression ou l'enregistrement dans un fichier en fonction des besoins.

    Prévu de résultats : l'action réussit sans un message d'erreur.

  9. À l'aide de ce même compte, ouvrez une fenêtre d'invite de commandes avec élévation de privilèges et modifiez dans le dossier dans lequel vous avez enregistré une copie des exemples de scripts fournis avec ce document.

    Dd875529.note(fr-fr,WS.10).gif Remarque
    Pour ouvrir une fenêtre d'invite de commandes avec élévation de privilèges, cliquez sur Démarrer, sur Tous les programmes, sur Accessoires, cliquez droit sur invite de commandeet puis cliquez sur Exécuter en tant qu'administrateur.

  10. À l'invite de commandes, tapez le texte suivant :

    cscript Get-TPMOwnerInfo.vbs

    Prévu de résultats : l'erreur "Active Directory : la propriété du répertoire est introuvable dans le cache » s'affiche. Aucune information n'est affichée dans la mesure où un administrateur de domaine ne doit pas être capable de lire l'attribut ms-TPM-OwnerInformation.

    Dd875529.note(fr-fr,WS.10).gif Remarque
    Si les utilisateurs sont le propriétaire créateur d'objets d'ordinateur ils rejoignent le domaine, il est possible pour ces utilisateurs à lire les informations de propriétaire du module de plateforme sécurisée pour leurs propres objets ordinateur.

  11. Ouvrez une session en tant qu'administrateur de domaine sur le même ordinateur client.

  12. À l'aide de ce compte d'administrateur de domaine, ouvrez une fenêtre d'invite de commandes avec élévation de privilèges et accédez au répertoire dans lequel vous avez enregistré une copie des exemples de scripts fournis avec ce document.

  13. À l'invite de commandes, tapez le texte suivant :

    cscript Get-TPMOwnerInfo.vbs

    Attendu résultat : une chaîne qui est le hachage du mot de passe que vous avez créé précédemment est affichée.

    En tant qu'administrateur de domaine, vous devez disposer d'un accès en lecture à l'attribut ms-TPM-OwnerInformation.

  14. À l'invite de commande avec élévation de privilèges, tapez ce qui suit pour activer BitLocker et créer un mot de passe de récupération :

    manage-bde -on C: -RecoveryPassword

    Prévu de résultats : l'action réussit sans un message d'erreur.

  15. Une fois que le lecteur a terminé le cryptage, à l'invite de commandes, tapez ce qui suit pour sauvegarder le mot de passe de récupération pour les services AD DS, remplaçant Guid_de_récupération avec l'identification clé de récupération complète GUID du mot de passe de récupération que vous stockez dans AD DS :

    manage-bde -protectors - adbackup C: -id { Guid_de_récupération }

    Dd875529.note(fr-fr,WS.10).gif Remarque
    L'identification de clé de récupération complète GUID est imprimée lorsque vous imprimez la clé de récupération BitLocker.

  16. À l'invite de commandes, tapez ce qui suit pour lire tous les objets enfants de BitLocker d'objet Active Directory de l'ordinateur client :

    cscript Get-BitLockerRecoveryInfo.vbs

    Attendu résultat : un ou plusieurs mots de passe de récupération est affiché, y compris celui créé dans l'étape précédente.

    Un administrateur de domaine ne sera pas capable de lire ces mots de passe.

  17. Supprimer des objets d'enfants de récupération BitLocker créés à l'aide d'outils tels que les utilisateurs Active Directory et les ordinateurs d'un composant logiciel enfichable d'Active Directory. Par défaut, les ordinateurs clients exécutant Windows 7 n'ont pas les autorisations pour supprimer des mots de passe de récupération BitLocker.

Résolution des problèmes courants liés à la sauvegarde AD DS

La section suivante décrit certains problèmes potentiels et leurs solutions.

Problèmes d'autorisation accès

Si vous êtes en mesure de lire sauvegardé les informations de récupération BitLocker et TPM en utilisant un compte d'administrateur non–domain, vérifiez que vous exécutez des installations prises en charge de Windows Server sur tous les contrôleurs de domaine de votre réseau.

Dd875529.Important(fr-fr,WS.10).gif Important
Les contrôleurs de domaine doivent exécuter Windows Server 2003 SP1 ou SP2 pour prendre en charge la sauvegarde des informations de récupération BitLocker et TPM.

Erreurs de script

Lorsque vous exécutez un script, vous pouvez recevoir un message d'erreur. Les sections suivantes décrivent les causes et les solutions pour les erreurs de script les plus fréquentes.

Get-TPMOwnerInfo.vbs

Lorsque vous exécutez Get-TPMOwnerInfo.vbs, si une erreur s'affiche, indiquant « Active Directory : la propriété du répertoire est introuvable dans le cache, "Cela signifie que vous êtes connecté avec un compte qui n'est pas autorisé à lire le propriétaire TPM objet attribut d'informations dans AD DS.

Général

Si une erreur indiquant "le domaine spécifié n'existe pas ou n'a pas pu être contacté. » s'affiche, assurez-vous que l'ordinateur est joint au domaine et que la connectivité réseau est disponible.

Si une erreur indiquant « Aucun tel objet n'existe sur le serveur » s'affiche, vérifiez que tout ordinateur spécifié par le nom de la ligne de commande est actuellement connecté au réseau.

Si une erreur est accompagnée du numéro de ligne dans laquelle l'erreur s'est produite, consultez le code source du script pour aider à résoudre le problème.

Ajouts de la communauté

AJOUTER
Afficher: