Planification des exigences en matière de stratégie de groupe MBAM 2.0

  • Article

Mis à jour: avril 2013

S'applique à: Microsoft BitLocker Administration and Monitoring 2.0

Pour gérer les ordinateurs clients Microsoft BitLocker Administration and Monitoring (MBAM), vous devez tenir compte des types de protecteur BitLocker que vous voulez prendre en charge dans votre organisation, puis configurer les paramètres de stratégie de groupe correspondants que vous voulez appliquer. Cette rubrique décrit les paramètres de stratégie de groupe disponibles lorsque vous utilisez Microsoft BitLocker Administration and Monitoring pour gérer le chiffrement de lecteur BitLocker dans l'entreprise.

MBAM prend en charge les types suivants de protecteurs BitLocker pour les lecteurs de système d'exploitation : module de plateforme sécurisée (TPM), module de plateforme sécurisée + code confidentiel, module de plateforme sécurisée + clé USB, mot de passe, mot de passe numérique et Agent de récupération de données. Le protecteur de mot de passe est uniquement pris en charge pour les périphériques Windows To Go et Windows 8 qui ne disposent pas d'un module de plateforme sécurisée. MBAM prend uniquement en charge les protecteurs module de plateforme sécurisée + clé USB et module de plateforme sécurisée + code confidentiel + clé USB lorsque le volume de système d'exploitation est chiffré avant l'installation de MBAM.

MBAM prend en charge les types suivants de protecteurs BitLocker pour les lecteurs de données fixes : mot de passe, déverrouillage automatique, mot de passe numérique et Agent de récupération de données.

Le protecteur de mot de passe numérique est appliqué automatiquement dans le cadre du chiffrement de volume et ne doit pas être configuré.

Important

Les paramètres d'objet de stratégie de groupe de chiffrement de lecteur Windows BitLocker par défaut ne sont pas utilisés par MBAM et peuvent entraîner des conflits s'ils sont activés. Pour activer MBAM en vue de gérer BitLocker, vous devez définir les paramètres de la stratégie de groupe MBAM uniquement après avoir installé le modèle de stratégie de groupe MBAM.

Les codes confidentiels de démarrage renforcés peuvent contenir des caractères en majuscules, en minuscules et des nombres. À la différence de BitLocker, MBAM ne prend pas en charge l'utilisation de symboles et d'espaces pour les codes confidentiels renforcés.

Installez le modèle de stratégie de groupe MBAM sur un ordinateur capable d'exécuter la technologie MDOP de la console de gestion (GPMC) ou la console de gestion avancée des stratégies de groupe (AGMP). Pour modifier les paramètres GPO qui activent les fonctionnalités de MBAM, vous devez d'abord installer le modèle de stratégie de groupe MBAM, ouvrir la console GPMC ou AGPM pour modifier le GPO applicable, puis accéder au nœud GPO suivant : Configuration ordinateur\Stratégies\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker)

Le nœud d'objet de stratégie de groupe MDOP MBAM (Gestion BitLocker) contient quatre paramètres de stratégie globale et quatre nœuds de paramètre d'objet de stratégie de groupe enfant. Gestion des clients, Lecteur fixe, Lecteur du système d’exploitation et Lecteur amovible. Les sections suivantes fournissent des définitions de stratégie et des suggestions de paramètres de stratégie pour vous aider à planifier les exigences pour les paramètres de stratégie d'objet de stratégie de groupe MBAM.

Notes

Pour plus d'informations sur la configuration des paramètres minimaux des objets de stratégie de groupe recommandés pour permettre à MBAM de gérer le chiffrement BitLocker, voir Comment MBAM 2.0 de modifier les paramètres de stratégie de groupe.

Définitions de stratégie globale

Cette section décrit les définitions de stratégie globale MBAM trouvées au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Stratégies\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker).

Nom de la stratégie Vue d'ensemble et paramètre de stratégie suggéré

Sélectionner la méthode et la puissance de chiffrement des lecteurs

Configuration suggérée : non configuré

Configurez cette stratégie pour utiliser une méthode et une puissance de chiffrement spécifiques.

Lorsque cette stratégie n'est pas configurée, BitLocker utilise la méthode de chiffrement par défaut AES 128 bits avec diffuseur ou la méthode de chiffrement spécifiée par le script d'installation.

Empêcher le remplacement des données en mémoire au redémarrage

Configuration suggérée : non configuré

Configurez cette stratégie pour améliorer les performances de redémarrage sans remplacer les secrets BitLocker dans la mémoire lors du redémarrage.

Lorsque cette stratégie n'est pas configurée, les secrets BitLocker sont supprimés de la mémoire lorsque l'ordinateur redémarre.

Valider la règle d'utilisation des certificats de cartes à puce

Configuration suggérée : non configuré

Configurez cette stratégie pour utiliser la protection BitLocker basée sur les certificats de cartes à puce.

Lorsque cette stratégie n'est pas configurée, un identificateur d'objet par défaut 1.3.6.1.4.1.311.67.1.1 est utilisé pour spécifier un certificat.

Fournir les identificateurs uniques de votre organisation

Configuration suggérée : non configuré

Configurez cette stratégie pour utiliser un agent de récupération de données basé sur un certificat ou le lecteur BitLocker To Go.

Lorsque cette stratégie n'est pas configurée, le champ Identification n'est pas utilisé.

Si votre entreprise requiert des mesures de sécurité plus avancées, vous devez configurer le champ Identification pour vous assurer qu'il est défini sur tous les périphériques USB et que ceux-ci sont alignés sur ce paramètre de stratégie de groupe.

Définitions de stratégie de gestion des clients

Cette section décrit les définitions de stratégie de gestion des clients pour Microsoft BitLocker Administration and Monitoring, détectées au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Stratégies\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker)\Gestion des clients.

Nom de la stratégie Vue d'ensemble et paramètres de stratégie suggérés

Configurer les services MBAM

Configuration suggérée : activé

  • Point de terminaison de service matériel et de récupération MBAM. Utilisez ce paramètre pour activer la gestion du chiffrement BitLocker du client MBAM. L'emplacement du point de terminaison doit être saisi de la façon suivante : http://<Nom du serveur MBAM d'administration et de surveillance>:<port auquel le service web est lié>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Sélectionner les informations de récupération BitLocker à stocker. Ce paramètre de stratégie vous permet de configurer le service de récupération de clé pour sauvegarder les informations de récupération BitLocker. Il vous permet également de configurer l'état du service de rapport pour la collecte des rapports de conformité et d'audit. La stratégie fournit une méthode d'administration de la récupération des données chiffrées par BitLocker afin d'éviter la perte de données en raison du manque d'informations sur la clé. L'activité de rapport d'état et de récupération de clé sera automatiquement et silencieusement envoyée vers l'emplacement du serveur de rapports configuré.

    Si vous ne configurez pas ou si vous désactivez ce paramètre de stratégie, les informations de récupération de clé ne seront pas enregistrées et les rapports d'état et de récupération de clé ne seront pas envoyés au serveur. Lorsque ce paramètre est défini sur Mot de passe de récupération et package de clés, le mot de passe de récupération et le package de clés seront automatiquement et silencieusement sauvegardés vers l'emplacement du serveur de récupération de clé configuré.

  • Entrer la fréquence de vérification de l'état du client en minutes. Ce paramètre de stratégie indique la fréquence à laquelle le client vérifie l'état sur l'ordinateur client et les stratégies de protection BitLocker. Cette stratégie gère également la fréquence d'enregistrement de l'état de conformité du client sur le serveur. Le client vérifie les stratégies de protection BitLocker et l'état sur l'ordinateur client, et sauvegarde également la clé de récupération du client à la fréquence configurée.

    Définissez cette fréquence en fonction des besoins de votre entreprise en matière de fréquence de vérification de l'état de conformité de l'ordinateur, et de fréquence de sauvegarde de la clé de récupération du client.

  • Point de terminaison du service de rapport d'état de MBAM. Vous devez configurer ce paramètre pour activer la gestion de chiffrement BitLocker du client MBAM. L'emplacement du point de terminaison doit être saisi de la façon suivante : http://<Nom du serveur MBAM d'administration et de surveillance>:<port auquel le service web est lié>/MBAMComplianceStatusService/StatusReportingService.svc.

Configurer la stratégie d'exemption de l'utilisateur

Configuration suggérée : non configuré

Ce paramètre de stratégie vous permet de configurer une adresse de site web, une adresse de messagerie ou un numéro de téléphone qui forcera un utilisateur à demander une exemption de chiffrement BitLocker.

Si vous activez ce paramètre de stratégie et spécifiez une adresse de site Web, une adresse de messagerie ou un numéro de téléphone, les utilisateurs verront une boîte de dialogue contenant des instructions pour demander une exemption de protection BitLocker. Pour plus d'informations sur l'activation des exemptions de chiffrement BitLocker pour les utilisateurs, consultez Comment gérer les exemptions d'utilisateur du chiffrement BitLocker.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les instructions de demande d'exemption par catégorie ne seront pas présentées aux utilisateurs.

Notes

L'exemption de l'utilisateur est gérée par utilisateur, non par ordinateur. Si plusieurs utilisateurs ouvrent une session sur le même ordinateur et si un utilisateur n'est pas exempté, l'ordinateur sera chiffré.

Configurer le programme d'amélioration de l'expérience utilisateur

Ce paramètre de stratégie vous permet de configurer comment les utilisateurs de MBAM peuvent rejoindre le programme d'amélioration de l'expérience utilisateur. Ce programme collecte des informations sur le matériel informatique et l'utilisation de MBAM sans interruption du travail des utilisateurs. Les informations permettent à Microsoft d'identifier les composants MBAM à améliorer. Microsoft n'utilisera pas ces informations pour identifier ou contacter les utilisateurs MBAM.

Si vous activez ce paramètre de stratégie, les utilisateurs pourront participer au programme d'amélioration de l'expérience utilisateur.

Si vous désactivez ce paramètre de stratégie, les utilisateurs ne pourront pas participer au programme d'amélioration de l'expérience utilisateur.

Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs auront la possibilité de participer au programme d'amélioration de l'expérience utilisateur.

Définitions de stratégie de lecteur fixe

Cette section décrit les définitions de stratégie de lecteur fixe pour Microsoft BitLocker Administration and Monitoring, détectées au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Stratégies\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker)\Lecteur fixe.

Nom de la stratégie Vue d'ensemble et paramètre de stratégie suggéré

Paramètres de chiffrement du lecteur de données fixe

Configuration suggérée : activé

Ce paramètre de stratégie vous permet de gérer le chiffrement des lecteurs fixes.

Si le volume de système d'exploitation doit être chiffré, sélectionnez l'option Activer le déverrouillage automatique du lecteur de données fixes.

Lors de l'activation de cette stratégie, vous ne devez pas désactiver la stratégie Configurer l'utilisation d'un mot de passe pour les lecteurs de données fixes sauf si l'utilisation du déverrouillage automatique est autorisée ou requise pour les lecteurs de données fixes.

Si vous devez utiliser le déverrouillage automatique pour les lecteurs de données fixes, vous devez configurer les volumes de système d'exploitation devant être chiffrés.

Si vous activez ce paramètre de stratégie, les utilisateurs seront obligés de mettre tous les lecteurs fixes sous la protection BitLocker, qui chiffrera tous les lecteurs.

Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs ne sont pas obligés de mettre les lecteurs fixes sous la protection de BitLocker. Si vous appliquez cette stratégie une fois que les lecteurs de données fixes sont chiffrés, l'agent MBAM déchiffre les lecteurs fixes chiffrés.

Si vous désactivez ce paramètre de stratégie, les utilisateurs ne seront pas en mesure de mettre leurs lecteurs de données fixes sous la protection de BitLocker.

Refuser l'accès en écriture aux lecteurs fixes non protégés par BitLocker

Configuration suggérée : non configuré

Ce paramètre de stratégie détermine si la protection BitLocker est requise pour les lecteurs fixes accessibles en écriture sur un ordinateur. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

Lorsque la stratégie n'est pas configurée, tous les lecteurs de données fixes de l'ordinateur sont montés avec des autorisations en lecture et écriture.

Autoriser l'accès aux lecteurs de données fixes protégés par BitLocker à partir de versions antérieures de Windows

Configuration suggérée : non configuré

Activez cette stratégie pour activer le déverrouillage des lecteurs fixes formatés avec le système de fichiers FAT et l'affichage de leur contenu sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Lorsque la stratégie est activée ou non configurée, les lecteurs fixes formatés avec le système de fichiers FAT peuvent être déverrouillés et leur contenu peut être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Ces systèmes d'exploitation ont un accès en lecture seule pour les lecteurs protégés par BitLocker.

Lorsque la stratégie est désactivée, les lecteurs fixes formatés avec le système de fichiers FAT ne peuvent pas être déverrouillés et leur contenu ne peut pas être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Configurer l'utilisation de mots de passe pour les lecteurs fixes

Configuration suggérée : non configuré

Cette stratégie permet de spécifier si un mot de passe est nécessaire pour déverrouiller des lecteurs de données fixes protégés par BitLocker.

Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux critères que vous définissez. BitLocker permettra aux utilisateurs de déverrouiller un lecteur avec tous les protecteurs disponibles sur le lecteur.

Ces paramètres sont appliqués lors de l'activation de BitLocker, non lors du déverrouillage d'un volume.

Si vous désactivez ce paramètre de stratégie, les utilisateurs ne sont pas autorisés à utiliser un mot de passe.

Lorsque la stratégie n'est pas configurée, les mots de passe sont pris en charge avec les paramètres par défaut, qui n'incluent pas les exigences de complexité de mot de passe et n'exigent que huit caractères.

Pour davantage de sécurité, activez cette stratégie et sélectionnez Demander un mot de passe pour les lecteurs de données fixes, puis Imposer les critères de complexité des mots de passe et définissez la valeur Longueur minimale du mot de passe souhaitée.

Si vous désactivez ce paramètre de stratégie, les utilisateurs ne sont pas autorisés à utiliser un mot de passe.

Si vous ne configurez pas ce paramètre de stratégie, les mots de passe sont pris en charge avec les paramètres par défaut, qui n'incluent pas les exigences de complexité de mot de passe et n'exigent que huit caractères.

Sélectionner la méthode de récupération des lecteurs fixes protégés par BitLocker

Configuration suggérée : non configuré

Configurez cette stratégie pour activer l'agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS).

Quand la stratégie n'est pas configurée, l'agent de récupération de données BitLocker est autorisé et les informations de récupération ne sont pas sauvegardées dans AD DS. MBAM ne nécessite pas la sauvegarde des données de récupération dans AD DS.

Définitions de stratégie de lecteur du système d'exploitation

Cette section décrit les définitions de stratégie de lecteur du système d'exploitation pour Microsoft BitLocker Administration and Monitoring, détectées au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Stratégies\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker)\Lecteur du système d'exploitation.

Nom de la stratégie Vue d'ensemble et paramètre de stratégie suggéré

Paramètres de chiffrement du lecteur de système d'exploitation

Configuration suggérée : activé

Ce paramètre de stratégie vous permet d'indiquer si le lecteur de système d'exploitation doit être chiffré.

Pour une sécurité accrue, envisagez de désactiver les paramètres de stratégie suivants dans Système/Gestion de l'alimentation/Paramètres de mise en veille lorsque vous les activez avec le protecteur module de plateforme sécurisée + code confidentiel :

  • Autoriser les états de mise en attente (S1-S3) lorsque l'ordinateur est en veille (sur secteur)

  • Autoriser les états de mise en attente (S1-S3) lorsque l'ordinateur est en veille (sur batterie)

Si vous exécutez Microsoft Windows 8 ou version ultérieure et souhaitez utiliser BitLocker sur un ordinateur dépourvu de module de plateforme sécurisée, cochez la case Autoriser BitLocker sans un module de plateforme sécurisée compatible. Dans ce mode, un mot de passe est requis pour le démarrage. Si vous oubliez le mot de passe, vous devez utiliser l'une des options de récupération BitLocker pour accéder au lecteur.

Sur un ordinateur muni d'un module de plateforme sécurisée compatible, deux types de méthodes d'authentification peuvent être utilisés au démarrage pour offrir une protection renforcée des données chiffrées. Lorsque l'ordinateur démarre, il peut utiliser uniquement le module de plateforme sécurisée pour l'authentification, ou il peut également demander la saisie d'un numéro d'identification personnel ou code confidentiel.

Si vous activez ce paramètre de stratégie, les utilisateurs doivent mettre le lecteur de système d'exploitation sous la protection de BitLocker et le lecteur sera chiffré.

Si vous désactivez cette stratégie, les utilisateurs ne sont pas en mesure de mettre le lecteur de système d'exploitation sous la protection de BitLocker. Si vous appliquez cette stratégie une fois que le lecteur de système d'exploitation est chiffré, le lecteur sera déchiffré.

Si vous ne configurez pas cette stratégie, le lecteur de système d'exploitation ne doit pas être mis sous la protection de BitLocker.

Configurer le profil de validation de plateforme du module de plateforme sécurisée

Configuration suggérée : non configuré

Ce paramètre de stratégie vous permet de configurer la manière dont le matériel de sécurité TPM sur un ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur ne dispose pas d'un module de plateforme sécurisée compatible ou si la protection du module de plateforme sécurisée est déjà activée dans BitLocker.

Lorsque ce paramètre de stratégie n'est pas configuré, le module de plateforme sécurisée utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d'installation.

Sélectionner la méthode de récupération des lecteurs de système d'exploitation protégés par BitLocker

Configuration suggérée : non configuré

Configurez cette stratégie pour activer l'agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS).

Lorsque cette stratégie n'est pas configurée, l'agent de récupération de données est autorisé, et les informations de récupération ne sont pas sauvegardées dans les services AD DS.

L'exécution de MBAM ne nécessite pas la sauvegarde des informations de récupération dans AD DS.

Définitions de stratégie de lecteur amovible

Cette section décrit les définitions de stratégie de lecteur amovible pour Microsoft BitLocker Administration and Monitoring, détectées au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur\Stratégies\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker)\Lecteur amovible.

Nom de la stratégie Vue d'ensemble et paramètre de stratégie suggéré

Contrôler l'utilisation de BitLocker sur les lecteurs amovibles

Configuration suggérée : activé

Cette stratégie contrôle l'utilisation de BitLocker sur des lecteurs de données amovibles.

Activez l'option Autoriser les utilisateurs à protéger les lecteurs de données amovibles avec BitLocker pour permettre aux utilisateurs d'exécuter l'Assistant d'installation de BitLocker sur un lecteur de données amovible.

Activez l'option Autoriser les utilisateurs à suspendre et supprimer la protection BitLocker sur les lecteurs de données amovibles pour permettre aux utilisateurs de supprimer le chiffrement BitLocker sur un lecteur ou de suspendre le chiffrement pendant une opération de maintenance.

Lorsque cette option est activée et que l'option Autoriser les utilisateurs à protéger les lecteurs de données amovibles avec BitLocker est sélectionnée, le client MBAM enregistre les informations de récupération des lecteurs amovibles sur le serveur de récupération de clé MBAM et il permet aux utilisateurs de récupérer le lecteur en cas de perte du mot de passe.

Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker

Configuration suggérée : non configuré

Activez cette stratégie pour autoriser un accès en écriture seule aux lecteurs protégés par BitLocker.

Lorsque cette stratégie est activée, tous les lecteurs de données amovibles connectés à l'ordinateur nécessitent un chiffrement avant que l'accès en écriture ne soit permis.

Autoriser l'accès aux lecteurs de données amovibles protégés par BitLocker à partir de versions antérieures de Windows

Configuration suggérée : non configuré

Activez cette stratégie pour activer le déverrouillage des lecteurs fixes formatés avec le système de fichiers FAT et l'affichage de leur contenu sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Lorsque cette stratégie n'est pas configurée, les lecteurs de données amovibles avec le système de fichiers FAT peuvent être déverrouillés et leur contenu peut être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Ces systèmes d'exploitation ont un accès en lecture seule pour les lecteurs protégés par BitLocker.

Lorsque la stratégie est désactivée, les lecteurs amovibles formatés avec le système de fichiers FAT ne peuvent pas être déverrouillés et leur contenu peut être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Configurer l'utilisation d'un mot de passe pour les lecteurs de données amovibles

Configuration suggérée : non configuré

Activez cette stratégie pour configurer la protection par mot de passe sur des lecteurs de données amovibles.

Lorsque cette stratégie n'est pas configurée, les mots de passe sont pris en charge avec les paramètres par défaut, qui n'incluent pas les exigences de complexité de mot de passe et n'exigent que huit caractères.

Pour davantage de sécurité, activez cette stratégie et sélectionnez Demander un mot de passe pour les lecteurs de données amovibles, puis Imposer les critères de complexité des mots de passe et définissez la valeur Longueur minimale du mot de passe souhaitée.

Sélectionner la méthode de récupération des lecteurs amovibles protégés par BitLocker

Configuration suggérée : non configuré

Configurez cette stratégie pour activer l'agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS).

Lorsque cette stratégie possède la valeur Non configuré, l'agent de récupération de données est autorisé, et les informations de récupération ne sont pas sauvegardées dans les services AD DS.

L'exécution de MBAM ne nécessite pas la sauvegarde des informations de récupération dans AD DS.

Voir aussi

Concepts

Conditions préalables au déploiement de MBAM 2.0

-----
Vous pouvez obtenir davantage d'informations sur MDOP dans la Librairie TechNet, rechercher des solutions de dépannage dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----