Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

L'utilisation d'Agents de récupération de données avec BitLocker

Agents de récupération de données sont des comptes qui sont en mesure de déchiffrer les lecteurs protégés par BitLocker en utilisant leurs certificats de carte à puce et les clés publiques. Restauration d'un lecteur protégé par BitLocker peut être réalisée par un agent de récupération de données a été configuré avec le certificat approprié. Avant de pouvoir configurer un agent de récupération de données pour un lecteur, vous devez ajouter l'agent de récupération de données pour le Chiffrement de lecteur de Policies\BitLocker de clé publique dans la Console de gestion des stratégies de groupe (GPMC) ou l'éditeur de stratégie de groupe locale. Vous devez également activer et configurer le paramètre de stratégie fournir les identificateurs uniques pour votre organisation pour associer un identificateur unique pour un nouveau lecteur activé avec BitLocker. Un champ d'identification est une chaîne qui est utilisée pour identifier de manière unique une division ou une organisation. Les champs d'identification sont requises pour la gestion des agents de récupération de données sur les lecteurs protégés par BitLocker. BitLocker gère uniquement et mettre à jour les agents de récupération de données lorsqu'un champ d'identification est présent sur un lecteur et est identique à la valeur configurée sur l'ordinateur.

Configuration de BitLocker pour utiliser des agents de récupération de données

Pour utiliser des agents de récupération de données avec BitLocker, doit avoir configuré le champ d'identification BitLocker et identifié les agents de récupération de données dans les paramètres de stratégie de groupe de Stratégies de clé publique de chiffrement de lecteur BitLocker. Les procédures suivantes expliquent comment effectuer ces tâches :

Les administrateurs locaux est l'appartenance de groupe minimale requise pour exécuter ces procédures.

Pour configurer un champ d'identification

  1. Dans la console GPMC ou l'éditeur de stratégie de groupe locale sous Ordinateur utilisateur\Modèles d'Administration\composants, cliquez sur le Chiffrement de lecteur BitLocker pour afficher les paramètres de stratégie.

  2. Dans le volet de détails, double-cliquez sur le paramètre de stratégie fournir les identificateurs uniques pour votre organisation .

  3. Cliquez sur Activer. Dans le Champ d'Identification BitLocker, entrez le champ d'identification pour votre organisation.

  4. Cliquez sur OK pour appliquer et fermer le paramètre de stratégie.

Pour attribuer un champ d'identification BitLocker sur un lecteur protégé par BitLocker

  1. Par défaut, les champs d'identification BitLocker sont associés aux lecteurs protégés par BitLocker lorsque la protection BitLocker est activée pour le lecteur. Cette procédure est fournie pour une utilisation dans les cas où la décision d'utiliser un champ d'identification BitLocker a été effectuée une fois que le lecteur a été chiffré par BitLocker. Les champs d'identification BitLocker sont nécessaires pour utiliser des agents de récupération de données pour récupérer les lecteurs protégés par BitLocker.

  2. Ouvrez une session en tant qu'administrateur sur l'ordinateur où vous souhaitez affecter le champ identification.

  3. Ouvrez une fenêtre d'invite de commande en tant qu'administrateur.

    1. Pour ce faire, cliquez sur Démarrer, tapez cmd dans la zone Rechercher les programmes et fichiers , cliquez droit sur cmd.exeet puis cliquez sur Exécuter en tant qu'administrateur.

    2. Si la boîte de dialogue Contrôle du compte utilisateur s'affiche, confirmez que l'action qu'il affiche est vous le souhaitez, puis sur Oui.

  4. À l'invite de commandes, tapez la commande suivante, en remplaçant < lettre_lecteur > par l'identificateur de lettre de lecteur (par exemple, E:) du lecteur protégé par BitLocker.

    manage-bde - SetIdentifier < lettre_lecteur >

  5. L'outil de ligne de commande Manage-bde définira le champ d'identification à la valeur spécifiée dans le paramètre de stratégie de groupe de fournir les identificateurs uniques pour votre organisation .

  6. Une fois que la valeur a été définie, Manage-bde affichera un message vous informant que l'identificateur a été défini.

Dd875560.note(fr-fr,WS.10).gif Remarque
Lecteurs chiffrés avec BitLocker avant la configuration d'un champ d'identification n'auront pas d'agents de récupération de données qui leur sont affectées à l'absence d'un champ d'identification. Il est possible d'utiliser WMI (Windows Management Instrumentation) ou l'outil de ligne de commande Manage-bde pour définir un champ d'identification sur un lecteur chiffré antérieurement. Lorsque vous utilisez Manage-bde, le champ identification définira la valeur spécifiée dans le paramètre de stratégie fournir les identificateurs uniques pour votre organisation . Les champs d'identification servent également pour déterminer si la mise à jour informations de l'agent de récupération de données doivent être écrites sur le disque et pour déterminer l'entreprise à laquelle un lecteur appartient à lorsque le paramètre de stratégie ne pas autoriser l'accès en écriture aux périphériques configurés dans une autre organisation est activé. Le champ d'identification seront répercutées sur ces deux fonctionnalités.

Pour vérifier l'identification de champ a été défini sur un lecteur protégé par BitLocker

  1. Lecteurs chiffrés avec BitLocker après avoir configuré le champ d ' identification seront affectés le champ d'identification spécifié dans le paramètre de stratégie de groupe de fournir les identificateurs uniques de votre organisation et les agents de récupération de données peuvent avoir affecté leur. Si vous ne savez pas si un lecteur a été attribué un champ d'identification, vous pouvez utiliser Manage-bde pour demander l'état d'un lecteur. Les informations renvoyées comprennent le champ identification.

  2. Ouvrez une session en tant qu'administrateur sur l'ordinateur où vous souhaitez déterminer le champ identification.

  3. Ouvrez une fenêtre d'invite de commande en tant qu'administrateur.

    1. Pour ce faire, cliquez sur Démarrer, tapez cmd dans la zone Rechercher les programmes et fichiers , cliquez droit sur cmd.exeet puis cliquez sur Exécuter en tant qu'administrateur.

    2. Si la boîte de dialogue Contrôle du compte utilisateur s'affiche, confirmez que l'action qu'il affiche est vous le souhaitez, puis sur Oui.

  4. À l'invite de commandes, tapez la commande suivante, en remplaçant < lettre_lecteur > par l'identificateur de lettre de lecteur (par exemple E:) du lecteur protégé par BitLocker.

    manage-bde-status < lettre_lecteur >

  5. L'outil de ligne de commande Manage-bde fournit des informations sur les paramètres du lecteur. Voici un exemple de l'information renvoyée.

    
    
    E:\ > manage-bde-status e:BitLocker le chiffrement de lecteur : outil de Configuration version 6.1.7600Copyright (C) Microsoft Corporation.
    
    Tous droits réservés.
    
    Volume E: [] [Volume de données] taille : 1,93 Go BitLocker Version : Windows 7 état de la Conversion : chiffrement en cours pourcentage chiffré : méthode de cryptage de 27 %: AES 128 avec diffuseur état de Protection : Protection hors d'état de verrouillage : déverrouillée champ d'Identification : ContosoBitLockerSelfHost déverrouillage automatique : désactivé protecteurs de clé : phrase de passe mot de passe numérique
    
    

Pour configurer un agent de récupération de données

  1. Ouvrez la console GPMC ou l'éditeur de stratégie de groupe locale.

  2. Dans l'arborescence de la console, sous Configuration ordinateur\Paramètres Windows\Paramètres de Sécurité\stratégies de clé, cliquez droit sur Le chiffrement de lecteur BitLocker.

  3. Cliquez sur Ajouter un Agent de récupération de données pour démarrer l'Assistant Ajout d'un Agent de récupération. Cliquez sur suivant.

  4. Dans la page Sélectionner des Agents de récupération , cliquez sur Parcourir les dossierset sélectionnez un fichier .cer à utiliser comme un agent de récupération de données. Une fois que le fichier est sélectionné, il sera importée et apparaîtra dans la liste des agents de récupération de l'Assistant. Plusieurs agents de récupération de données peuvent être spécifiés. Après avoir spécifié tous les agents de récupération de données que vous souhaitez utiliser, cliquez sur suivant.

  5. La page fin de l'Agent de récupération ajouter de l'Assistant affiche une liste des agents de récupération de données qui seront ajoutés à la stratégie de groupe. Cliquez sur Terminer pour confirmer les agents de récupération de données et fermer l'Assistant.

Une fois l'Assistant terminé, les agents de récupération de données apparaissent dans le volet de détails.

Pour les agents de récupération de données de liste configurées pour un lecteur protégé par BitLocker

  1. Si un agent de récupération de données a été configuré et un champ d'identification a été défini et affecté à un lecteur, le lecteur spécifique sera affecté à l'agent de récupération de données qui a été configuré dans le paramètre de stratégie de groupe de Chiffrement de lecteur Policies\BitLocker clé de sécurité\Stratégies d'ordinateur Configuration ordinateur\Paramètres Windows\Paramètres de sécurité . Vous pouvez utiliser l'outil de ligne de commande Manage-bde pour afficher une liste les protecteurs de clé existant sur un lecteur protégé par BitLocker. Cette liste inclut les protecteurs de certificat.

  2. Ouvrez une session en tant qu'administrateur sur l'ordinateur où vous souhaitez répertorier les agents de récupération de données configurée.

  3. Ouvrez une fenêtre d'invite de commande en tant qu'administrateur.

    1. Pour ce faire, cliquez sur Démarrer, tapez cmd dans la zone Rechercher les programmes et fichiers , cliquez droit sur cmd.exeet puis cliquez sur Exécuter en tant qu'administrateur.

    2. Si la boîte de dialogue Contrôle du compte utilisateur s'affiche, confirmez que l'action qu'il affiche est vous le souhaitez, puis sur Oui.

  4. À l'invite de commandes, tapez la commande suivante, en remplaçant < lettre_lecteur > par l'identificateur de lettre de lecteur (par exemple E:) du lecteur protégé par BitLocker.

    manage-bde-protectors-get < lettre_lecteur >

  5. L'outil de ligne de commande Manage-bde fournit des informations sur les protecteurs de clés configurés pour le lecteur. Voici un exemple de l'information renvoyée.

    
    
    E:\ > manage-bde-protectors-obtenir le chiffrement de lecteur E:BitLocker : outil de Configuration version 6.1.7600Copyright (C) Microsoft Corporation.
    
    Tous droits réservés.
    
    Volume E: [] tous les protecteurs de clé phrase de passe: ID: {61DC1871-3544-4438-A153-7F1CE14297B8} de mot de passe numérique: ID: {24B0AA32-F8D0-40BA-BB05-73A800324C09} de mot de passe : l'Agent de récupération de données 461109-608201-413820-485342-181588-463056-430617-501391 (certificat de base): ID: {3F81C18D-A685-4782-8F55-99C6452980E7} empreinte numérique du certificat : 9de688607336294a52b445d30d1eb92f0bec1e78
    
    

    Dans cet exemple, si la clé privée est disponible dans le magasin de certificats local, l'administrateur pourrait utiliser la commande Manage-bde suivante pour déverrouiller le lecteur en utilisant le protecteur de l'agent de récupération données comme indiqué dans l'exemple suivant.

    
    
    manage-bde-déverrouiller E:-certificat ct - 9de688607336294a52b445d30d1eb92f0bec1e78
    
    

Ajouts de la communauté

AJOUTER
Afficher: