Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

L'utilisation de cartes à puce avec BitLocker

Dans Windows 7, vous pouvez utiliser les certificats de carte à puce avec le chiffrement de lecteur BitLocker pour protéger les lecteurs de données fixes et amovibles et récupérer les lecteurs protégés par BitLocker en l'absence de la clé d'accès principal. Une fois que vous avez obtenu des certificats, vous pouvez utiliser les agents de récupération de données BitLocker et comme un protecteur de clé BitLocker pour les lecteurs de données. Vous pouvez utiliser une des méthodes suivantes pour obtenir un certificat pour une utilisation avec BitLocker :

Après avoir obtenu un certificat, consultez L'utilisation d'Agents de récupération de données avec BitLocker Pour savoir comment configurer BitLocker pour utiliser les certificats de carte à puce pour établir des agents de récupération de données.

Dd875530.note(fr-fr,WS.10).gif Remarque
Assurez-vous de sauvegarder les certificats que vous utilisez avec BitLocker et les stockez dans un emplacement sécurisé.

Dd875530.note(fr-fr,WS.10).gif Remarque
Lorsqu'un lecteur est déverrouillé à l'aide de cartes à puce, BitLocker analyse tous les protecteurs de clés configurés pour le lecteur et essayez de les faire correspondre un certificat existant sur la carte à puce insérée. Lorsque vous utilisez une carte à puce, le processus de sélection de certificat crée un magasin de certificat temporaire qui est filtré pour éliminer tous les certificats non conformes avant de présenter l'utilisateur avec une liste de certificats parmi lesquelles choisir. Ce comportement est légèrement différent lorsqu'un certificat est spécifié à l'aide de l'outil de ligne de commande Manage-bde. Manage-bde utilise le magasin de l'utilisateur local au lieu de créer un magasin temporaire. Les modifications apportées aux propriétés du certificat situées dans le magasin local seront appliquées lorsque le magasin local est utilisé. Cela signifie que Manage-bde utilisera des propriétés spécifiques qui sont associées au certificat dans le magasin local. Dans la mesure où les certificats sur la carte à puce n'ont pas propriétés qui leur sont associées et les propriétés ne peuvent pas être définies sur les certificats lorsque vous utilisez un magasin temporaire, l'application ayant des propriétés de certificat ne se produit pas lors du choix d'un certificat à partir de l'élément du Panneau de configuration BitLocker .

Création d'un certificat à l'aide d'une autorité de certification basée sur Windows

Le Guide pas à pas des Services de certificats de répertoire actif (http://go.Microsoft.com/fwlink/?)LinkId = 151480) montre comment définir une configuration de base des Services de certificats Active Directory (AD CS). AD CS fournit des services personnalisables pour créer et gérer des certificats de clé publique utilisées dans les systèmes de sécurité logiciels employant des technologies de clé publique. L'utilisation d'une autorité de certification (CA) permet de disposer d'un contrôle centralisé des certificats dans votre organisation, afin que vous pouvez accorder, renouveler et révoquer des certificats si nécessaire. Pour les déploiements d'entreprise, il est recommandé d'utiliser des certificats basés sur l'autorité de certification avec BitLocker.

Création d'un certificat auto-signé pour une utilisation avec BitLocker

Vous pouvez créer des certificats BitLocker spécifiques et autosignés à l'aide de l'outil en ligne de commande Certreq.exe inclus avec le système d'exploitation Windows. Certreq utilise un fichier de paramètres pour créer un certificat avec les attributs spécifiés. Chaque fichier de paramètre est configuré pour utiliser l'identificateur d'objet BitLocker, que Windows 7 reconnaît par défaut. Par conséquent, les modifications aux paramètres de stratégie de groupe ne sont pas obligées d'utiliser ces certificats. Les exemples de fichiers de paramètre suivants montrent comment créer un certificat auto-signé de carte à puce de BitLocker pour le chiffrement de lecteur et un certificat d'agent de récupération BitLocker données pour la récupération du lecteur. Après création des certificats autosignés et autorisés, n'importe quel lecteur peut être chiffré.

Dd875530.note(fr-fr,WS.10).gif Remarque
L'utilisation de certificats autosignés est désactivée par défaut. Vous devez modifier le Registre pour activer l'utilisation de certificats autosignés. Pour ce faire, ouvrez l'Éditeur du Registre, accédez à la clé HKLM\Software\Policies\Microsoft\FVEet affectez la valeur DWORD SelfSignedCertificates1 1 .

Dd875530.Caution(fr-fr,WS.10).gif Attention:
Toute modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, vous devez sauvegarder les données importantes sur l'ordinateur.

Les procédures suivantes décrivent les tâches associées à cette méthode :

Pour créer un fichier de paramètres de certificat de chiffrement de lecteur

  1. Ouvrez le bloc-notes ou un autre éditeur de texte.

  2. Copiez et collez les informations suivantes dans le fichier.

    
    
    [NewRequest]Subject = "CN=BitLocker"KeyLength = 2048ProviderName = "Microsoft Smart Card Key Storage Provider"KeySpec = "AT_KEYEXCHANGE" KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"RequestType = CertSMIME = FALSE[EnhancedKeyUsageExtension]OID=1.3.6.1.4.1.311.67.1.1
    
    
  3. Enregistrez le fichier sous le nom blcert.txt.

Pour créer un fichier de paramètres de certificat pour la récupération du lecteur

  1. Ouvrez le bloc-notes ou un autre éditeur de texte.

  2. Copiez et collez les informations suivantes dans le fichier.

    
    
    [NewRequest]Subject = "CN=BitLocker DRA"KeyLength = 2048ProviderName = "Microsoft Enhanced Cryptographic Provider v1.0"Exportable = TRUE ExportableEncrypted = FALSEKeySpec = "AT_KEYEXCHANGE" KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"RequestType = CertSMIME = FALSE[EnhancedKeyUsageExtension]OID=1.3.6.1.4.1.311.67.1.2
    
    
  3. Enregistrez le fichier sous le nom bldracert.txt.

Pour utiliser Certreq pour créer des certificats

  1. Ouvrez une invite de commande.

  2. Pour créer le certificat de chiffrement de lecteur, tapez certreq – nouvelle présentation blcert.txt.

  3. Pour créer le certificat de récupération d'un disque, tapez certreq – nouvelle présentation bldracert.txt.

Partage d'un certificat EFS avec BitLocker

Vous pouvez partager un certificat auto-signé carte à puce de système EFS (ENCRYPTING File System) avec BitLocker. La procédure suivante décrit comment créer ce certificat.

Pour créer un certificat partagé pour une utilisation avec BitLocker et EFS

  1. Cliquez sur Démarreret puis cliquez sur Panneau de configuration.

  2. Dans le Panneau de configuration de recherche, tapez certificatset puis cliquez sur gérer des certificats de cryptage de fichier.

  3. L'Assistant de système de fichiers EFS s'ouvre. Cliquez sur suivant.

  4. Cliquez sur créer un nouveau certificatet puis cliquez sur suivant.

  5. Cliquez sur un certificat auto-signé stocké sur ma carte à puceet puis cliquez sur suivant.

  6. Dans la boîte de dialogue Fournisseur de carte à puce Microsoft , tapez votre numéro d'identification personnel (PIN) carte à puce dans l'espace fourni et puis cliquez sur OK.

  7. Une fois que le certificat est créé, vous pouvez choisir de mettre à jour les fichiers précédemment chiffrés pour utiliser le nouveau certificat ou cliquez sur je mettrai mes fichiers chiffrés ultérieurement pour utiliser le certificat auto-signé uniquement pour BitLocker. Faites votre choix selon le cas et puis cliquez sur suivant.

  8. L'Assistant confirme la création du certificat. Cliquez sur Fermer pour fermer l'Assistant.

  9. Pour associer l'identificateur d'objet (OID) de ce certificat avec BitLocker, vous devez modifier le paramètre de stratégie de groupe associé.

  10. Pour ouvrir l'éditeur d'objets de stratégie de groupe, cliquez sur Démarreret puis, dans la zone fichiers et programme de recherche , tapez gpedit.msc.

  11. Sous Computer Configuration\Administrative administration\Composants Windows\Chiffrement de lecteur BitLocker, cliquez sur la conformité du règle de l'utilisation de Validate carte à puce certificat.

  12. Cliquez sur Activer, configurez le paramètre identificateur d'objet correspond à l'identificateur d'objet du certificat que vous venez de créer, puis cliquez sur OK pour appliquer les paramètres.

Ajouts de la communauté

AJOUTER
Afficher: