Vue d’ensemble de BitLocker
S'applique à: Windows Server 2012, Windows 8
Cette rubrique fournit une vue d’ensemble complète de BitLocker. Vous y trouverez une liste des fonctionnalités nouvelles, modifiées et déconseillées, des informations sur la configuration requise ainsi que des exemples de cas pratiques. Cette rubrique comporte des liens vers des ressources supplémentaires qui vous permettront d’en savoir plus sur l’utilisation de BitLocker.
Vouliez-vous dire…
Description de la fonctionnalité
Le chiffrement de lecteur BitLocker est une fonctionnalité de protection des données qui est disponible sur tous les systèmes d’exploitation depuis Windows Vista. Les versions de système d’exploitation ultérieures ont progressivement renforcé la sécurité fournie par BitLocker afin d’étendre cette fonctionnalité à davantage de lecteurs et de périphériques. L’intégration de BitLocker au système d’exploitation permet de répondre aux menaces liées au vol ou à l’exposition de données provenant d’ordinateurs perdus, volés ou incorrectement mis hors service. Vous pouvez également utiliser l’outil en ligne de commande Manage-bde pour effectuer certaines tâches liées à BitLocker sur votre ordinateur. Si vous installez le composant facultatif BitLocker sur un serveur, vous devez également installer la fonctionnalité de stockage étendu nécessaire pour prendre en charge les disques durs chiffrés. Sur les serveurs, vous pouvez installer une autre fonctionnalité BitLocker : le déverrouillage réseau BitLocker. Les ordinateurs exécutant Windows RT, Windows RT 8.1 ou Windows 8.1 peuvent être protégés à l’aide de la fonctionnalité Chiffrement de l’appareil, qui est une version personnalisée de BitLocker.
BitLocker offre une protection optimale lorsqu’il est utilisé avec un module de plateforme sécurisée (TPM) version 1.2 ou ultérieure. Le TPM est un composant matériel que les fabricants d’ordinateurs ont installé sur la plupart des ordinateurs récents. Il fonctionne conjointement avec BitLocker pour protéger les données de l’utilisateur et garantir qu’un ordinateur n’a pas été falsifié pendant que le système était hors connexion.
Sur les ordinateurs non dotés d’un module de plateforme sécurisée version 1.2 ou ultérieure, vous pouvez toujours utiliser BitLocker pour chiffrer le lecteur du système d’exploitation Windows. Toutefois, avec cette implémentation, l’utilisateur a besoin d’une clé de démarrage USB pour pouvoir démarrer l’ordinateur ou le sortir de la mise en veille prolongée. Dans Windows 8, vous avez la possibilité de définir un mot de passe sur le volume hébergeant le système d’exploitation pour protéger ce volume sur un ordinateur où le module TPM n’est pas installé. Aucune de ces options ne fournit la vérification de l’intégrité du système avant le démarrage, contrairement à BitLocker utilisé avec un module TPM.
Outre le TPM, BitLocker offre la possibilité de verrouiller le processus de démarrage normal jusqu’à ce que l’utilisateur décline son code confidentiel ou insère un périphérique amovible, tel qu’un disque mémoire flash USB, contenant une clé de démarrage. Ces mesures de sécurité supplémentaires fournissent l’authentification multifacteur et l’assurance que l’ordinateur ne démarrera pas ou ne sortira pas de la mise en veille prolongée tant que le code confidentiel correct ou la clé de démarrage ne sera pas présenté.
Cas pratiques
Les données d’un ordinateur perdu ou volé sont vulnérables à l’accès non autorisé lorsqu’elles sont la cible d’un outil d’attaque logicielle ou que le disque dur de l’ordinateur est transféré vers un autre ordinateur. BitLocker limite l’accès non autorisé aux données en améliorant les protections du système et des fichiers. BitLocker empêche également l’accès aux données des ordinateurs sous sa protection lorsque ceux-ci sont mis hors service ou recyclés.
Il existe deux autres outils dans les Outils d’administration de serveur distant, que vous pouvez utiliser pour gérer BitLocker.
Visionneuse des mots de passe de récupération BitLocker. La Visionneuse des mots de passe de récupération BitLocker permet de rechercher et d’afficher les mots de passe de récupération du chiffrement de lecteur BitLocker qui ont été sauvegardés dans les services de domaine Active Directory (AD DS). Vous pouvez utiliser cet outil pour faciliter la récupération de données stockées sur un lecteur qui a été chiffré à l’aide de BitLocker. L’outil Visionneuse des mots de passe de récupération BitLocker est une extension du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de la console MMC (Microsoft Management Console).
Grâce à cet outil, vous pouvez examiner la boîte de dialogue Propriétés d’un objet ordinateur et afficher les mots de passe de récupération BitLocker correspondants. Vous pouvez aussi cliquer avec le bouton droit sur un conteneur de domaine puis rechercher un mot de passe de récupération BitLocker dans tous les domaines de la forêt Active Directory. Pour pouvoir afficher les mots de passe de récupération, vous devez être administrateur de domaine, ou des autorisations doivent vous avoir été déléguées par un administrateur de domaine.
Outils de chiffrement de lecteur BitLocker. Les Outils de chiffrement de lecteur BitLocker incluent les outils de ligne de commande manage-bde et repair-bde, ainsi que les applets de commande BitLocker pour Windows PowerShell. L’outil manage-bde et les applets de commande BitLocker peuvent être utilisés pour exécuter toute tâche qui peut s’effectuer par le biais du panneau de configuration BitLocker, et conviennent aux déploiements automatisés et autres scénarios de script. L’outil repair-bde est adapté aux scénarios de récupération d’urgence quand un disque protégé par BitLocker ne peut pas être déverrouillé normalement ou à l’aide de la console de récupération.
Fonctionnalités nouvelles et modifiées
Le tableau suivant répertorie les fonctions de BitLocker qui ont été ajoutées ou modifiées dans Windows 8 et Windows Server 2012. Consultez Nouveautés de BitLocker.
Fonctionnalité/fonction |
Windows 7 |
Windows 8 et Windows Server 2012 |
|---|---|---|
Réinitialisation du code confidentiel ou du mot de passe BitLocker |
Vous devez disposer des privilèges d’administrateur pour réinitialiser le code confidentiel BitLocker sur un lecteur du système d’exploitation ou le mot de passe sur un lecteur de données fixe ou amovible. |
Les utilisateurs standard ont la possibilité de réinitialiser le code confidentiel et le mot de passe BitLocker sur les lecteurs du système d’exploitation et sur les lecteurs de données fixes ou amovibles. |
Chiffrement de disque |
Lorsque BitLocker est activé, l’intégralité du disque est chiffrée. |
Lorsque BitLocker est activé, vous pouvez choisir de ne chiffrer que l’espace utilisé sur le disque, et non la totalité du disque. L’espace disque est chiffré au fur et à mesure qu’il est utilisé. |
Prise en charge des disques durs chiffrés |
BitLocker n’offre pas de prise en charge native. |
BitLocker prend en charge les disques durs avec le logo Windows fournis déjà chiffrés par le fabricant. |
Déverrouillage à l’aide d’une clé réseau pour fournir une authentification à double critère |
Non disponible. L’authentification à double critère nécessitait une présence physique devant l’ordinateur. |
Un nouveau type de protecteur de clé permet l’utilisation d’une clé réseau spéciale pour déverrouiller et ignorer l’invite d’entrée du code confidentiel lorsque les ordinateurs sont redémarrés sur des réseaux câblés approuvés. Ce nouveau type permet de gérer à distance les ordinateurs protégés par un code confidentiel en dehors des heures de travail. Il fournit une authentification à double critère sans nécessiter une présence physique devant l’ordinateur, tout en gardant obligatoire l’authentification de l’utilisateur quand l’ordinateur n’est pas connecté au réseau approuvé. |
Protection des clusters |
Non disponible. |
Windows Server 2012 prend en charge BitLocker pour les volumes partagés de cluster Windows et les clusters de basculement Windows qui s’exécutent dans un domaine défini par un contrôleur de domaine Windows Server 2012 qui a activé le service Centre de distribution de clés Kerberos. |
Association d’un protecteur de clé BitLocker à un compte Active Directory |
Non disponible. |
Permet d’associer un protecteur de clé BitLocker à un compte d’utilisateur, de groupe ou d’ordinateur dans Active Directory. Ce protecteur de clé déverrouille les volumes de données protégés par BitLocker lorsqu’un utilisateur est connecté avec les informations d’identification appropriées ou qu’il est authentifié sur un ordinateur avec les informations d’identification appropriées. |
Fonctionnalité supprimée ou déconseillée
La méthode Diffuser ne peut plus être ajoutée à l’algorithme de chiffrement AES (Advanced Encryption Standard).
Il est déconseillé de définir la stratégie de groupe « Configurer le profil de validation TPM » dans Windows 8 et Windows Server 2012. Elle a été remplacée par des stratégies système spécifiques pour les ordinateurs BIOS et UEFI.
L’option –tpm n’est plus prise en charge par manage-bde.
Configuration système requise
BitLocker nécessite la configuration matérielle suivante :
Pour que BitLocker puisse utiliser la vérification d’intégrité du système fournie par un module de plateforme sécurisée (TPM), l’ordinateur doit être équipé de TPM 1.2 ou TPM 2.0. Si votre ordinateur en est dépourvu, l’activation de BitLocker impose d’enregistrer une clé de démarrage sur un périphérique amovible, tel qu’un disque mémoire flash USB.
Un ordinateur équipé d’un module de plateforme sécurisée doit également posséder un microprogramme BIOS ou UEFI compatible TCG (Trusted Computing Group). Le microprogramme BIOS ou UEFI établit une chaîne de confiance pour le démarrage du système de préexploitation et doit inclure la prise en charge de la racine statique spécifiée par TCG de la mesure de confiance. Un ordinateur sans TPM ne nécessite pas de microprogramme compatible TCG.
Le microprogramme BIOS ou UEFI système (pour les ordinateurs équipés ou non d’un module de plateforme sécurisée) doit prendre en charge la classe de dispositifs de stockage de masse USB, notamment la lecture des petits fichiers sur un disque mémoire flash USB dans l’environnement préalable au démarrage du système d’exploitation. Pour plus d’informations sur USB, consultez la page consacrée aux spécifications relatives au stockage de masse USB en bloc uniquement et à la commande UFI de stockage de masse sur le site web USB.
Le disque dur doit être partitionné avec deux lecteurs au minimum :
Le lecteur du système d’exploitation (ou lecteur de démarrage) contient le système d’exploitation et ses fichiers de support. Il doit être formaté avec le système de fichiers NTFS.
Le lecteur système contient les fichiers nécessaires au chargement de Windows après que le microprogramme a préparé le matériel système. BitLocker n’est pas activé sur ce lecteur. Pour que BitLocker fonctionne, le lecteur système ne doit pas être chiffré, il doit différer du lecteur du système d’exploitation, et il doit être formaté avec le système de fichiers FAT32 sur les ordinateurs qui utilisent un microprogramme UEFI ou avec le système de fichiers NTFS sur les ordinateurs qui utilisent le microprogramme BIOS. Il est recommandé d’utiliser un lecteur système d’environ 350 Mo. Après que BitLocker a été activé, le lecteur système doit avoir au moins 250 Mo d’espace libre.
Quand Windows est installé sur un nouvel ordinateur, il crée automatiquement les partitions nécessaires à BitLocker.
Dans cette bibliothèque
Nouveautés de BitLocker pour Windows 8 et Windows Server 2012 [redirigé]
: Utilisez BitLocker Drive outils de chiffrement BitLocker Pour gérer BitLocker
BitLocker : Utiliser la visionneuse de mot de passe de récupération BitLocker
Partagé de cluster protège les volumes et les réseaux SAN avec BitLocker