BitLocker : Forum Aux Questions (FAQ)
Cette rubrique destinée aux professionnels de l’informatique répond aux questions fréquemment posées sur la configuration requise pour utiliser, mettre à niveau, déployer et administrer BitLocker, et sur les stratégies de gestion de clés de BitLocker.
BitLocker est un composant de protection des données qui chiffre les disques durs de votre ordinateur afin de renforcer la protection contre le vol de données ou leur exposition sur les ordinateurs et les lecteurs amovibles perdus ou volés. Il fournit également une suppression des données plus sécurisée lorsque les ordinateurs protégés par BitLocker sont mis hors service, car il est beaucoup plus difficile de récupérer les données supprimées d’un lecteur chiffré que d’un lecteur non chiffré.
Vue d’ensemble et configuration requise
Mise à niveau
Déploiement et administration
Gestion des clés
BitLocker To Go
Services de domaine Active Directory (AD DS)
Sécurité
Déverrouillage réseau BitLocker
Autres questions
Vue d’ensemble et configuration requise
Quel est le fonctionnement de BitLocker ?
Fonctionnement de BitLocker avec des lecteurs de système d’exploitation
BitLocker permet de prévenir l’accès aux données non autorisées, stockées sur des ordinateurs perdus ou volés en chiffrant tous les fichiers utilisateur et système sur le lecteur de système d’exploitation, y compris les fichiers d’échange et de mise en veille prolongée, et en vérifiant l’intégrité des composants de prédémarrage et des données de configuration de démarrage.
Fonctionnement de BitLocker avec les lecteurs de données fixes et amovibles
BitLocker permet de chiffrer le contenu intégral d’un lecteur de données. Vous pouvez utiliser la stratégie de groupe pour que BitLocker soit tenu d’être activé sur un lecteur avant que l’ordinateur ne puisse écrire des données sur ce dernier. BitLocker peut être configuré avec de nombreuses méthodes de déverrouillage des lecteurs de données, et un lecteur de données prend en charge plusieurs méthodes de déverrouillage.
BitLocker prend-il en charge l’authentification multifacteur ?
Oui. BitLocker prend en charge l’authentification multifacteur des lecteurs de système d’exploitation. Si vous activez BitLocker sur un ordinateur qui dispose d’un module de plateforme personnalisée (TPM) version 1.2 ou ultérieure, vous pouvez utiliser d’autres formes d’authentification avec la protection du module TPM.
Quelle est la configuration matérielle et logicielle requise de BitLocker ?
Remarque
Les disques dynamiques ne sont pas pris en charge par BitLocker. Les volumes de données dynamiques ne s’affichent pas dans le panneau de configuration. Même si le volume hébergeant un système d’exploitation s’affiche toujours dans le panneau de configuration qu’il s’agisse ou non d’un disque dynamique, si c’est un disque dynamique, il ne peut être protégé par BitLocker.
Pourquoi deux partitions sont-elles requises ? Pourquoi le lecteur système doit-il être si volumineux ?
Deux partitions sont requises pour l’exécution de BitLocker, car l’authentification au prédémarrage et la vérification de l’intégrité du système doivent se produire sur une partition distincte du lecteur de système d’exploitation chiffré. Cette configuration contribue à la protection du système d’exploitation et des informations du lecteur chiffré.
Quels sont les modules TPM pris en charge par BitLocker ?
BitLocker prend en charge les modules TPM versions 1.2 ou supérieures.
Comment savoir si un module TPM est installé sur mon ordinateur ?
Ouvrez la console MMC du module TPM (tpm.msc) et regardez sous le titre État.
Puis-je utiliser BitLocker sur un lecteur de système d’exploitation dépourvu de module TPM ?
Oui. Vous pouvez activer BitLocker sur un lecteur de système d’exploitation dépourvu de module TPM version 1.2 ou supérieure si le microprogramme BIOS ou UEFI a la possibilité de lire un disque mémoire USB dans l’environnement de démarrage. Cela tient au fait que BitLocker ne déverrouille pas le lecteur protégé tant que la clé principale de volume de BitLocker n’est pas libérée par un module TPM de l’ordinateur ou par un disque mémoire USB contenant la clé de démarrage BitLocker de cet ordinateur. Toutefois, les ordinateurs dépourvus de module TPM ne peuvent pas utiliser la vérification de l’intégrité système que BitLocker peut également fournir.
Pour vous aider à déterminer si un ordinateur peut lire un périphérique USB au cours du processus de démarrage, utilisez la vérification du système BitLocker dans le cadre du processus d’installation de BitLocker. Cette vérification du système effectue des tests pour vérifier que l’ordinateur peut lire correctement les périphériques USB au moment approprié et qu’il répond aux autres exigences de BitLocker.
Comment obtenir la prise en charge par le BIOS du module TPM sur mon ordinateur ?
Contactez le fabricant de l’ordinateur pour demander un microprogramme de démarrage BIOS ou UEFI compatible avec le TCG (Trusted Computing Group) qui réponde aux critères suivants :
Il doit être conforme aux normes du TCG pour un ordinateur client.
Il doit disposer d’un mécanisme de mise à jour sécurisé afin d’empêcher l’installation d’un microprogramme BIOS ou de démarrage malveillant sur l’ordinateur.
Quelles sont les informations d’identification requises pour utiliser BitLocker ?
Pour activer, désactiver ou modifier les configurations de BitLocker sur les lecteurs de système d’exploitation et les lecteurs de données fixes, vous devez être membre du groupe Administrateurs local. Les utilisateurs standard peuvent activer, désactiver ou modifier les configurations de BitLocker sur les lecteurs de données amovibles.
Quel est l’ordre de démarrage recommandé pour les ordinateurs qui sont protégés par BitLocker ?
Vous devez configurer les options de démarrage de votre ordinateur pour que le lecteur de disque dur soit en première position dans l’ordre de démarrage avant les autres lecteurs, par exemple, les lecteurs de CD/DVD ou USB. Si le disque dur ne figure pas en première position et que vous démarrez généralement à partir de celui-ci, un changement de l’ordre de démarrage peut être détecté ou supposé lorsqu’un média amovible est trouvé au cours du démarrage. L’ordre de démarrage affecte généralement la mesure dans le système qui est vérifiée par BitLocker, et un changement de l’ordre de démarrage peut faire que vous soyez invité à entrer la clé de récupération BitLocker. Pour cette même raison, si vous possédez un ordinateur portable équipé d’une station d’accueil, veillez à ce que le lecteur de disque dur soit premier dans l’ordre de démarrage qu’il soit ancré ou non.
Mise à niveau
Puis-je mettre à niveau mon ordinateur Windows 7 ou Windows 8 vers Windows 10 avec BitLocker activé ?
Oui. Ouvrez le panneau de configuration Chiffrement de lecteur BitLocker et cliquez sur Gérer BitLocker, puis sur Interrompre. L’interruption de la protection n’entraîne pas le déchiffrement du lecteur ; elle désactive les mécanismes d’authentification utilisés par BitLocker, et utilise une clé en clair sur le lecteur afin d’activer l’accès. À l’issue de la mise à niveau, ouvrez l’Explorateur Windows, cliquez avec le bouton droit sur le lecteur, puis cliquez sur Rétablir la protection. Cette opération réapplique les méthodes d’authentification BitLocker et supprime la clé en clair.
Quelle est la différence entre l’interruption et le déchiffrement de BitLocker ?
L’option Déchiffrer supprime complètement la protection BitLocker et déchiffre entièrement le lecteur.
L’option Interrompre maintient les données chiffrées, mais chiffre la clé principale de volume BitLocker à l’aide d’une clé en clair. La clé en clair est une clé de chiffrement stockée déchiffrée et non protégée sur le disque dur. En stockant cette clé non chiffrée, l’option Interrompre autorise les modifications ou mises à niveau de l’ordinateur sans le temps ni le coût impartis pour le déchiffrement et le nouveau chiffrement de l’intégralité du lecteur. Une fois que les modifications ont été apportées et que BitLocker est de nouveau activé, BitLocker rescelle la clé de chiffrement pour les nouvelles valeurs des composants mesurés qui ont changé dans le cadre de la mise à niveau, la clé principale de volume est modifiée, les protecteurs sont mis à jour pour refléter l’opération, et la clé en clair est effacée.
Dois-je déchiffrer mon lecteur protégé par BitLocker pour télécharger et installer les mises à jour et les mises à niveau du système ?
Le tableau suivant répertorie les actions que vous devez entreprendre avant d’effectuer l’installation d’une mise à niveau ou d’une mise à jour.
| Type de mise à jour | Action |
|---|---|
Mise à niveau express |
Déchiffrer |
Mise à niveau vers Windows 10 |
Interrompre |
Mises à jour logicielles autres que Microsoft :
|
Interrompre |
Mises à jour de logiciel et de système d’exploitation à partir de Windows Update |
Aucune |
Remarque
Si vous avez interrompu BitLocker, vous pouvez rétablir la protection BitLocker après avoir installé la mise à niveau ou la mise à jour. Dès le rétablissement de la protection, BitLocker rescelle la clé de chiffrement pour les nouvelles valeurs des composants mesurés qui ont changé dans le cadre de la mise à niveau ou de la mise à jour. Si ces types de mise à niveau ou de mise à jour sont appliqués sans interruption de BitLocker, votre ordinateur passe en mode de récupération lors du redémarrage, et requiert une clé ou un mot de passe de récupération pour accéder à l’ordinateur.
Déploiement et administration
Le déploiement de BitLocker peut-il être automatisé dans un environnement d’entreprise ?
Oui. Vous pouvez automatiser le déploiement et la configuration de BitLocker et du module TPM à l’aide de scripts WMI ou Windows PowerShell. La méthode que vous choisissez pour implémenter les scripts dépend de votre environnement. Vous pouvez également utiliser Manage-bde.exe pour configurer BitLocker localement ou à distance. Pour plus d’informations sur l’écriture des scripts utilisant les fournisseurs WMI de BitLocker, voir BitLocker Drive Encryption Provider (en anglais). Pour plus d’informations sur l’utilisation des applets de commande Windows PowerShell avec le chiffrement de lecteur BitLocker, voir BitLocker Cmdlets in Windows PowerShell (en anglais).
BitLocker peut-il chiffrer des lecteurs autres que le lecteur de système d’exploitation ?
Oui.
Si BitLocker est activé sur un ordinateur, l’impact est-il notable sur les performances ?
En règle générale, il impose un plafond des performances exprimé en pourcentage à un chiffre.
Quelle est la durée du chiffrement initial lorsque BitLocker est activé ?
Bien que le chiffrement BitLocker se produise en arrière-plan pendant que vous continuez de travailler, et que le système reste utilisable, les durées de chiffrement varient en fonction du type de lecteur à chiffrer, de sa taille et de sa vitesse. Si vous chiffrez des lecteurs de très grande taille, vous voudrez peut-être définir le chiffrement pour qu’il se produise pendant les heures auxquelles vous ne prévoyez pas d’utiliser le lecteur.
Vous pouvez également indiquer si BitLocker doit chiffrer l’intégralité du lecteur ou simplement l’espace utilisé sur le ce dernier quand vous activez BitLocker. Sur un nouveau disque dur, le chiffrement du seul espace utilisé peut être sensiblement plus rapide que le chiffrement de l’intégralité du lecteur. Si cette option de chiffrement est sélectionnée, BitLocker chiffre automatiquement les données à mesure qu’elles sont enregistrées, en s’assurant qu’aucune donnée n’est stockée non chiffrée.
Que se passe-t-il si l’ordinateur est éteint pendant le chiffrement ou le déchiffrement ?
Si l’ordinateur est éteint ou mis en veille prolongée, le processus de chiffrement et de déchiffrement BitLocker reprend là où il s’est arrêté au prochain démarrage de Windows. Cela vaut même en cas d’indisponibilité soudaine de l’alimentation.
Lors de la lecture et de l’écriture des données, BitLocker procède-t-il au chiffrement et au déchiffrement de tout le lecteur à la fois ?
Non. Lors de la lecture et de l’écriture des données, BitLocker ne procède pas au chiffrement ni au déchiffrement de tout le lecteur. Les secteurs chiffrés dans le lecteur protégé par BitLocker sont déchiffrés uniquement lorsqu’ils sont demandés par les opérations de lecture du système. Les blocs qui sont écrits sur le lecteur sont chiffrés avant que le système ne les écrive sur le disque physique. Aucune donnée non chiffrée n’est stockée sur un lecteur protégé par BitLocker.
Comment empêcher les utilisateurs d’un réseau de stocker des données sur un lecteur non chiffré ?
Vous pouvez définir des paramètres de stratégie de groupe pour que les lecteurs de données soient protégés par BitLocker avant qu’un ordinateur protégé par BitLocker ne puisse y écrire des données. Pour plus d’informations, voir Paramètres de stratégie de groupe BitLocker.
Si ces paramètres de stratégie sont activés, le système d’exploitation protégé par BitLocker monte les lecteurs de données qui ne sont pas protégés par BitLocker en lecture seule.
Quelles modifications du système entraînent l’échec de la vérification de l’intégrité sur le lecteur du système d’exploitation ?
Les types suivants de modification du système peuvent provoquer un échec de la vérification de l’intégrité et empêcher le module TPM de libérer la clé BitLocker pour déchiffrer le lecteur du système d’exploitation protégé :
Déplacement du lecteur protégé par BitLocker vers un nouvel ordinateur
Installation d’une nouvelle carte mère avec un nouveau module TPM
Désactivation ou effacement du module TPM
Modification des paramètres de configuration de démarrage
Modification du microprogramme BIOS ou UEFI, de l’enregistrement de démarrage principal, du secteur de démarrage, du gestionnaire de démarrage, de la ROM optionnelle, des autres composants de prédémarrage ou des données de configuration de démarrage.
Qu’est-ce qui provoque le démarrage de BitLocker en mode de récupération lors de la tentative de démarrage du lecteur du système d’exploitation ?
Comme BitLocker est conçu pour protéger votre ordinateur contre de nombreuses attaques, les raisons motivant le démarrage de BitLocker en mode de récupération sont multiples. Dans BitLocker, la récupération est constituée du déchiffrement d’une copie de la clé principale de volume à l’aide d’une clé de récupération stockée sur un disque mémoire USB ou d’une clé de chiffrement dérivée d’un mot de passe de récupération. Si le module TPM n’intervient pas dans les scénarios de récupération, la récupération est cependant possible si le module TPM ne peut pas démarrer la validation des composants de démarrage, fonctionne de façon incorrecte ou est supprimé.
Puis-je échanger des disques durs sur un même ordinateur si BitLocker est activé sur le lecteur de système d’exploitation ?
Oui. Vous pouvez échanger plusieurs disques durs sur un même ordinateur si BitLocker est activé, mais uniquement s’ils ont été protégés par BitLocker sur le même ordinateur. Comme les clés BitLocker sont propres au module TPM et au lecteur de système d’exploitation, si vous voulez préparer un système d’exploitation ou un lecteur de données de sauvegarde à utiliser en cas de défaillance du disque, vous devez vous assurer qu’elles ont été mises en correspondance avec le module TPM correct. Vous pouvez également configurer différents disques durs pour divers systèmes d’exploitation, puis activer BitLocker sur chacun d’eux avec différentes méthodes d’authentification (par exemple, une avec le module TPM uniquement et l’autre avec le module TPM+code confidentiel) sans aucun conflit.
Puis-je accéder à mon lecteur protégé par BitLocker si j’insère le disque dur dans un autre ordinateur ?
Oui. S’il s’agit d’un lecteur de données, vous pouvez le déverrouiller à partir de l’élément du panneau de configuration Chiffrement de lecteur BitLocker comme vous le feriez pour n’importe quel autre lecteur de données à l’aide d’un mot de passe ou d’une carte à puce. Si le lecteur de données a été configuré uniquement pour le déverrouillage automatique, vous devez le déverrouiller à l’aide de la clé de récupération. Le disque dur chiffré peut être déverrouillé par un agent de récupération de données (s’il en a été configuré un) ou à l’aide de la clé de récupération.
Pourquoi l’option Activer BitLocker n’est-elle pas disponible lorsque je clique avec le bouton droit sur un lecteur ?
Certains lecteurs ne peuvent pas être chiffrés avec BitLocker. Les raisons pour lesquelles un lecteur ne peut pas être chiffré sont les suivantes : taille de disque insuffisante, système de fichiers incompatible, le lecteur est un disque dynamique ou il est désigné en tant que partition système. Par défaut, le lecteur système (ou partition système) est masqué de l’affichage. Toutefois, s’il n’est pas créé en tant que lecteur masqué lors de l’installation du système d’exploitation en raison d’un processus d’installation personnalisé, ce lecteur peut être affiché, mais il ne peut pas être chiffré.
Quels types de configuration de disque sont pris en charge par BitLocker ?
Un nombre quelconque de lecteurs de données internes, fixes peuvent être protégés par BitLocker. Sur certaines versions, les dispositifs de stockage ATA, SATA et en attachement direct sont également pris en charge.
Gestion des clés
Quelle est la différence entre un mot de passe de propriétaire du module TPM, un mot de passe de récupération, une clé de récupération, un mot de passe, un code confidentiel, un code confidentiel renforcé et une clé de démarrage ?
Plusieurs clés peuvent être générées et utilisées par BitLocker. Certaines clés sont requises tandis que d’autres sont des protecteurs facultatifs que vous pouvez choisir d’utiliser en fonction du niveau de sécurité dont vous avez besoin.
Comment stocker le mot de passe de récupération et la clé de récupération ?
Le mot de passe et la clé de récupération d’un lecteur de système d’exploitation ou d’un lecteur de données fixe peuvent être enregistrés dans un dossier, sur un ou plusieurs périphériques USB, dans votre compte Microsoft, ou encore imprimés.
Pour les lecteurs de données amovibles, le mot de passe et la clé de récupération peuvent être enregistrés dans un dossier ou dans votre compte Microsoft, ou encore imprimés. Par défaut, vous ne pouvez pas stocker de clé de récupération pour un lecteur amovible sur un lecteur de ce type.
Par ailleurs, un administrateur de domaine peut configurer une stratégie de groupe pour générer automatiquement des mots de passe de récupération et les stocker dans les services de domaine Active Directory (AD DS) pour tout lecteur protégé par BitLocker.
Est-il possible d’ajouter une méthode supplémentaire d’authentification sans déchiffrer le lecteur si je n’ai activé que la méthode d’authentification par module TPM ?
Vous pouvez utiliser l’outil en ligne de commande Manage-bde.exe pour remplacer le mode d’authentification par module TPM uniquement par un mode d’authentification multifacteur. Par exemple, si BitLocker est activé avec l’authentification par module TPM uniquement et que vous voulez ajouter l’authentification par code confidentiel, utilisez les commandes suivantes à partir d’une invite de commandes avec élévation de privilèges, en remplaçant <4-20 digit numeric PIN> par le code confidentiel numérique à utiliser :
manage-bde –protectors –delete %systemdrive% -type tpm
manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
En cas de perte de mes informations de récupération, les données protégées par BitLocker sont-elles récupérables ?
BitLocker est conçu pour rendre le lecteur chiffré irrécupérable sans l’authentification requise. En mode de récupération, l’utilisateur doit entrer le mot de passe ou la clé de récupération pour déverrouiller le lecteur chiffré.
Important
Stockez les informations de récupération dans AD DS, dans votre compte Microsoft ou dans un autre emplacement sûr.
Le disque mémoire USB qui est utilisé comme clé de démarrage peut-il être également utilisé pour stocker la clé de récupération ?
Si cette opération est techniquement possible, il n’est pas recommandé d’utiliser un disque mémoire USB pour stocker ces deux clés. Si le disque mémoire USB qui contient votre clé de démarrage est perdu ou volé, vous perdez également l’accès à votre clé de récupération. En outre, l’insertion de cette clé entraîne le démarrage automatique de votre ordinateur à partir de la clé de récupération même si les fichiers mesurés par le module TPM ont changé, ce qui contourne la vérification de l’intégrité du système par le module TPM.
Puis-je enregistrer la clé de démarrage sur plusieurs disques mémoire USB ?
Oui. Vous pouvez enregistrer la clé de démarrage d’un ordinateur sur plusieurs disques mémoire USB. Si vous cliquez avec le bouton droit sur un lecteur protégé par BitLocker et sélectionnez Gérer BitLocker, les options vous permettant de dupliquer les clés de récupération au besoin s’affichent.
Puis-je enregistrer plusieurs (différentes) clés de démarrage sur un même disque mémoire USB ?
Oui. Vous pouvez enregistrer les clés de démarrage BitLocker de différents ordinateurs sur un même disque mémoire USB.
Puis-je générer plusieurs (différentes) clés de démarrage pour un même ordinateur ?
Vous pouvez générer différentes clés de démarrage pour un même ordinateur via un script. Toutefois, pour les ordinateurs équipés d’un module TPM, la création de différentes clés de démarrage empêche BitLocker d’utiliser la vérification de l’intégrité du système par le module TPM.
Puis-je générer plusieurs combinaisons de code confidentiel ?
Vous ne pouvez pas générer plusieurs combinaisons de code confidentiel ?
Quelles sont les clés de chiffrement utilisées dans BitLocker ? Comment fonctionnent-elles ensemble ?
Les données brutes sont chiffrées avec la clé de chiffrement de volume complet, qui est à son tour chiffrée avec la clé principale de volume. La clé principale de volume est à son tour chiffrée par l’une des méthodes possibles en fonction de votre authentification (autrement dit, protecteurs de clé ou module TPM) et des scénarios de récupération.
Où les clés de chiffrement sont-elles stockées ?
La clé de chiffrement de volume complet est chiffrée par la clé principale de volume et stockée sur le lecteur chiffré. La clé principale de volume est chiffrée par le protecteur de clé approprié et stockée sur le lecteur chiffré. Si BitLocker a été interrompu, la clé en clair qui est utilisée pour chiffrer la clé principale de volume est également stockée sur le lecteur chiffré, ainsi que la clé principale de volume chiffrée.
Ce processus de stockage garantit que la clé principale de volume n’est jamais stockée non chiffrée et qu’elle est protégée à moins que vous ne désactiviez BitLocker. Les clés sont également enregistrées dans deux emplacements supplémentaires sur le lecteur à des fins de redondance. Les clés peuvent être lues et traitées par le gestionnaire de démarrage.
Pourquoi dois-je utiliser les touches de fonction pour entrer le code confidentiel ou le mot de passe de récupération à 48 caractères ?
Les touches F1 à F10 sont universellement mappées à des codes de touche enfoncée disponibles dans l’environnement de prédémarrage sur tous les ordinateurs et dans toutes les langues. Les touches numériques comprises entre 0 et 9 ne sont pas utilisables dans l’environnement de prédémarrage sur tous les claviers.
Si vous utilisez un code confidentiel renforcé, les utilisateurs doivent exécuter la vérification du système facultative au cours du processus d’installation de BitLocker pour s’assurer que le code confidentiel peut être entré correctement dans l’environnement de prédémarrage.
Comment BitLocker contribue-t-il à empêcher une personne malveillante de découvrir le code confidentiel qui déverrouille le lecteur du système d'exploitation ?
Un code confidentiel peut être découvert par une personne malveillante effectuant une attaque par force brute. Une attaque de ce type se produit quand une personne malveillante utilise un outil automatisé pour essayer différentes combinaisons de code confidentiel jusqu’à ce qu’elle trouve le bon. Pour les ordinateurs protégés par BitLocker, ce type d’attaque, également appelée attaque par dictionnaire, implique que la personne malveillante dispose d’un accès physique à l’ordinateur.
Le module TPM possède la fonctionnalité intégrée pour détecter ces types d’attaque et y réagir. Comme les modules TPM de différents fabricants peuvent prendre en charge différentes préventions d’attaque et de code confidentiel, contactez le fabricant de votre module TPM pour déterminer comme le module TPM de votre ordinateur prévient les attaques par force brute de code confidentiel.
Une fois que vous avez identifié le fabricant de votre module TPM, contactez-le pour collecter les informations propres au fournisseur de module TPM. La plupart des fabricants utilisent le nombre d’échecs d’authentification par code confidentiel pour augmenter de façon exponentielle la durée de verrouillage de l’interface de code confidentiel. Toutefois, chaque fabricant dispose de différentes stratégies relatives au moment et à la méthode de réduction ou de réinitialisation du compteur d’échecs.
Comment identifier le fabricant de mon module TPM ?
Vous pouvez identifier le fabricant de votre module TPM dans la console MMC de module TPM (tpm.msc) sous le titre Informations du fabricant du module de plateforme sécurisée.
Comment évaluer le mécanisme de prévention des attaques par dictionnaire d’un module TPM ?
Les questions suivantes peuvent vous aider lorsque vous interrogez un fabricant de module TPM sur la conception d’un mécanisme de prévention des attaques par dictionnaire :
Combien de tentatives d’autorisation en échec peuvent-elles se produire avant le verrouillage ?
Quel est l’algorithme permettant de déterminer la durée d’un verrouillage en fonction du nombre de tentatives infructueuses et des autres paramètres pertinents ?
Quelles actions peuvent provoquer la réduction ou la réinitialisation du nombre d’échecs ou de la durée de verrouillage ?
La longueur et la complexité de code confidentiel peuvent-elles être gérées par la stratégie de groupe ?
Oui et non. Vous pouvez configurer la longueur minimale de code confidentiel à l’aide du paramètre de stratégie de groupe Configurer la longueur minimale du code confidentiel de démarrage et autoriser l’utilisation de codes confidentiels alphanumériques en activant le paramètre de stratégie de groupe Autoriser les codes confidentiels améliorés au démarrage. Néanmoins, vous ne pouvez pas exiger de complexité de code confidentiel en fonction de la stratégie de groupe.
Pour plus d’informations, voir Paramètres de stratégie de groupe BitLocker.
BitLocker To Go
BitLocker To Go correspond au chiffrement de lecteur BitLocker sur les lecteurs de données amovibles. Cela inclut le chiffrement des disques mémoire USB, des cartes mémoire Secure Digital, des lecteurs de disque dur externes et des autres lecteurs formatés à l’aide des systèmes de fichiers NTFS, FAT16, FAT32 ou exFAT.
Services de domaine Active Directory (AD DS)
Que se passe-t-il si BitLocker est activé sur un ordinateur avant qu’il n’ait rejoint le domaine ?
Si BitLocker est activé sur un lecteur avant l’application de la stratégie de groupe pour mettre en œuvre la sauvegarde, les informations de récupération ne sont pas sauvegardées automatiquement dans AD DS lorsque l’ordinateur est joint au domaine ou lorsque la stratégie de groupe est appliquée par la suite. Néanmoins, vous pouvez utiliser les paramètres de stratégie de groupe Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker, Sélectionner la méthode de récupération des lecteurs fixes protégés par BitLocker et Sélectionner la méthode de récupération des lecteurs amovibles protégés par BitLocker pour que l’ordinateur se connecte obligatoirement à un domaine avant que BitLocker ne puisse être activé afin de vous assurer de la sauvegarde des informations de récupération des lecteurs protégés par BitLocker dans votre organisation dans AD DS.
Pour plus d’informations, voir Paramètres de stratégie de groupe BitLocker.
L’interface Windows Management Instrumentation (WMI) de BitLocker permet aux administrateurs d’écrire un script pour sauvegarder ou synchroniser les informations de récupération existantes d’un client en ligne, mais BitLocker ne gère pas automatiquement ce processus. L’outil en ligne de commande Manage-bde permet également de sauvegarder manuellement les informations de récupération dans AD DS. Par exemple, pour sauvegarder toutes les informations de récupération du lecteur C: dans AD DS, vous devez utiliser la commande suivante à partir d’une invite de commandes avec élévation de privilèges : manage-bde -protectors -adbackup C:.
Important
La jonction d’un ordinateur au domaine doit être la première étape pour les nouveaux ordinateurs d’une organisation. Une fois que les ordinateurs ont joint un domaine, le stockage de la clé de récupération BitLocker dans AD DS est automatique (s’il est activé dans la stratégie de groupe).
Existe-t-il une entrée de journal des événements enregistrée sur l’ordinateur client pour indiquer la réussite ou l’échec de la sauvegarde Active Directory ?
Oui. Une entrée de journal des événements qui indique la réussite ou l’échec d’une sauvegarde Active Directory est enregistrée sur l’ordinateur client. Néanmoins, même si une entrée de journal des événements indique « Réussite », les informations peuvent avoir été supprimées par la suite d’AD DS. BitLocker peut avoir été également reconfiguré de telle façon que les informations d’Active Directory ne peuvent plus déverrouiller le lecteur (par exemple en supprimant le protecteur de clé par mot de passe de récupération). En outre, il se peut également que l’entrée de journal ait été falsifiée.
Pour finir, la détermination de l’existence d’une sauvegarde légitime dans AD DS nécessite d’interroger AD DS avec les informations d’identification d’administrateur de domaine à l’aide de l’outil Visionneuse des mots de passe de récupération BitLocker.
Si je change le mot de passe de récupération BitLocker sur mon ordinateur et stocke le nouveau mot de passe dans AD DS, les services de domaine Active Directory remplacent-ils l’ancien mot de passe ?
Non. Du fait de la conception, les entrées de mots de passe de récupération BitLocker ne sont pas supprimées d’AD DS ; vous pouvez donc voir plusieurs mots de passe pour chaque lecteur. Pour identifier le dernier mot de passe, vérifiez la date de l’objet.
Que se passe-t-il en cas d’échec initial de la sauvegarde ? BitLocker effectue-t-il une nouvelle tentative de sauvegarde ?
En cas d’échec initial de la sauvegarde, par exemple lorsqu’un contrôleur de domaine est inaccessible au moment de l’exécution de l’Assistant Installation de BitLocker, BitLocker ne réessaie pas de sauvegarder les informations de récupération dans AD DS.
Si un administrateur coche la case Requérir la sauvegarde BitLocker vers les services de domaine Active Directory (AD DS) du paramètre de stratégie Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (Windows Server 2008 et Windows Vista) ou la cas équivalente Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs (système d’exploitation | données fixes | données amovibles) de l’un des paramètres de stratégie Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker, Sélectionner la méthode de récupération des données fixes protégées par BitLocker, Sélectionner la méthode de récupération des données amovibles protégées par BitLocker, les utilisateurs ne peuvent pas activer BitLocker tant que l’ordinateur n’est pas connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS n’a pas réussi. Avec ces paramètres configurés, en cas d’échec de la sauvegarde, BitLocker ne peut pas être activé, ce qui permet de s’assurer que les administrateurs seront en mesure de récupérer les lecteurs protégés par BitLocker dans l’organisation.
Pour plus d’informations, voir Paramètres de stratégie de groupe BitLocker.
Si un administrateur décoche ces cases, il autorise un lecteur à être protégé par BitLocker sans avoir sauvegardé les informations de récupération dans AD DS ; toutefois, BitLocker n’effectue pas automatiquement de nouvelles tentatives en cas d’échec de la sauvegarde. Au lieu de cela, les administrateurs peuvent créer un script pour la sauvegarde, comme décrit précédemment dans Que se passe-t-il si BitLocker est activé sur un ordinateur avant qu’il n’ait rejoint le domaine ? afin de capturer les informations à l’issue de la restauration de la connectivité.
Sécurité
Quelle est la forme de chiffrement utilisée par BitLocker ? Est-il configurable ?
BitLocker utilise l’algorithme de chiffrement AES (Advanced Encryption Standard) avec des longueurs de clé configurables de 128 ou 256 bits. Le paramètre de chiffrement par défaut est AES 128, mais les options sont configurables à l’aide de la stratégie de groupe.
Quelle est la recommandation à suivre quant à l’utilisation de BitLocker sur un lecteur de système d’exploitation ?
Pour la configuration de BitLocker sur un lecteur de système d’exploitation, il est recommandé d’implémenter BitLocker sur un ordinateur doté d’un module TPM version 1.2 ou supérieure, d’un microprogramme BIOS ou UEFI conforme au TCG (Trusted Computing Group), et d’un code PIN. Si vous exigez qu’un code confidentiel soit défini par l’utilisateur outre la validation du module TPM, un utilisateur malveillant qui dispose d’un accès physique à l’ordinateur ne pourra pas démarrer simplement l’ordinateur.
Quelles sont les conséquences de l’utilisation des options de gestion de l’alimentation de veille et de veille prolongée ?
Dans sa configuration de base, BitLocker sur les lecteurs de système d’exploitation (avec un module TPM, mais sans authentification avancée) renforce la sécurité du mode veille prolongée. Toutefois, BitLocker fournit une plus grande sécurité lorsqu’il est configuré pour utiliser un mode d’authentification avancée (module TPM+code confidentiel, module TPM+USB ou module TPM+code confidentiel+USB) avec le mode veille prolongée. Cette méthode est plus sécurisée, car le retour à partir de la veille prolongée nécessite une authentification BitLocker. Nous vous recommandons de désactiver le mode veille et d’utiliser la méthode d’authentification par module TPM+code confidentiel.
Quels sont les avantages d’un module TPM ?
La plupart des systèmes d’exploitation utilisent un espace mémoire partagé et s’appuient sur le système d’exploitation pour gérer la mémoire physique. Un module TPM est un composant matériel qui utilise son propre microprogramme interne et ses propres circuits de logique pour traiter les instructions, et qui le protège donc des vulnérabilités logicielles externes. Attaquer le module TPM nécessite un accès physique à l’ordinateur. En outre, les outils et compétences nécessaires pour attaquer le matériel sont souvent plus onéreux, et ne sont généralement pas aussi disponibles que ceux qui sont utilisés pour attaquer les logiciels. Et comme chaque module TPM est propre à l’ordinateur qui le contient, attaquer plusieurs ordinateurs TPM peut s’avérer difficile et chronophage.
Remarque
La configuration de BitLocker avec un facteur d’authentification supplémentaire fournit même une meilleure protection contre les attaques matérielles de module TPM.
Déverrouillage réseau BitLocker
Le déverrouillage réseau BitLocker facilite la gestion des ordinateurs de bureau et des serveurs sur lesquels BitLocker est activé, qui utilisent la méthode de protection module TPM+code confidentiel dans un environnement de domaine. Lorsqu’un ordinateur connecté à un réseau d’entreprise câblé est redémarré, le déverrouillage réseau permet de contourner l’invite d’entrée du code confidentiel. Il déverrouille automatiquement les volumes protégés par BitLocker hébergeant un système d’exploitation en utilisant une clé approuvée, fournie par le serveur des services de déploiement Windows, comme méthode d’authentification secondaire.
Pour utiliser le déverrouillage réseau, vous devez également avoir configuré un code confidentiel pour votre ordinateur. Si votre ordinateur n’est pas connecté au réseau, vous devez fournir le code confidentiel pour le déverrouiller.
Le déverrouillage réseau BitLocker présente une configuration logicielle et matérielle requise pour les ordinateurs clients, les services de déploiement Windows et les contrôleurs de domaine qui doivent être remplies pour que vous puissiez l’utiliser.
Il utilise deux protecteurs, le protecteur de module TPM et celui qui est fourni par le réseau ou par votre code confidentiel, tandis que le déverrouillage automatique utilise un seul et même protecteur, à savoir celui qui est stocké dans le module TPM. Si l’ordinateur est joint à un réseau sans le protecteur de clé, vous êtes invité à entrer votre code confidentiel. Si le code confidentiel n’est pas disponible, vous devez utiliser la clé de récupération pour déverrouiller l’ordinateur s’il ne peut pas être connecté au réseau.
Pour plus d’informations, voir BitLocker : Activation du déverrouillage réseau.
Autres questions
Puis-je exécuter un débogueur du noyau avec BitLocker ?
Oui. Toutefois, le débogueur doit être activé avant BitLocker. L’activation du débogueur garantit que les mesures correctes sont calculées lors du scellement pour le module TPM, permettant ainsi à l’ordinateur de démarrer correctement. Si vous devez activer ou désactiver le débogage lorsque vous utilisez BitLocker, veillez à suspendre d’abord BitLocker pour éviter de placer votre ordinateur en mode de récupération.
Comment BitLocker gère-t-il les images mémoire ?
BitLocker dispose d’une pile de pilotes de stockage qui garantit le chiffrement des images mémoire lorsque BitLocker est activé.
BitLocker peut-il prendre en charge les cartes à puce pour l’authentification de prédémarrage ?
BitLocker ne prend pas en charge les cartes à puce pour l’authentification de prédémarrage. Il n’existe pas de norme du secteur unique pour la prise en charge des cartes à puce dans le microprogramme, et la plupart des ordinateurs n’implémentent pas la prise en charge des cartes à puce par les microprogrammes, ou uniquement celle de cartes à puce et de lecteurs spécifiques. Ce manque de normalisation rend leur prise en charge très difficile.
Puis-je utiliser un pilote TPM non Microsoft ?
Microsoft ne prend pas en charge les pilotes TPM non Microsoft et déconseille vivement leur utilisation avec BitLocker. Si vous essayez d’utiliser un pilote TPM non Microsoft avec BitLocker, ce dernier risque d’indiquer qu’un module TPM n’est pas présent sur l’ordinateur et d’interdire son utilisation avec BitLocker.
Est-ce que d’autres outils qui gèrent ou modifient l’enregistrement de démarrage principal peuvent fonctionner avec BitLocker ?
Nous ne recommandons pas de modifier l’enregistrement de démarrage principal sur les ordinateurs dont les lecteurs de système d’exploitation sont protégés par BitLocker pour différentes raisons de sécurité, fiabilité et support produit. Les modifications apportées à l’enregistrement de démarrage principal (MBR) peuvent changer l’environnement de sécurité, et empêcher l’ordinateur de démarrer normalement, mais aussi compliquer les efforts de récupération d’un enregistrement MBR endommagé. Les modifications apportées à l’enregistrement MBR autrement que par Windows peuvent forcer l’ordinateur à passer en mode de récupération ou l’empêcher de démarrer complètement.
Pourquoi la vérification du système est-elle en échec lorsque je procède au chiffrement du lecteur du système d’exploitation ?
La vérification du système est conçue pour assurer la compatibilité du microprogramme BIOS ou UEFI de votre ordinateur avec BitLocker et le fonctionnement correct du module TPM. Elle peut être en échec pour plusieurs raisons :
Le microprogramme BIOS ou UEFI de l’ordinateur ne peut pas lire les disques mémoire USB.
La lecture des disques mémoire USB n’est pas activée dans le microprogramme BIOS ou UEFI ni dans le menu de démarrage de l’ordinateur.
Plusieurs disques mémoire USB sont insérés dans l’ordinateur.
Le code confidentiel n’a pas été entré correctement.
Le microprogramme BIOS ou UEFI de l’ordinateur ne prend en charge que les touches de fonction (F1 à F10) pour entrer des chiffres dans l’environnement de prédémarrage.
La clé de démarrage a été supprimée avant la fin du redémarrage de l’ordinateur.
Le module TPM a rencontré un dysfonctionnement et ne parvient pas à desceller les clés.
Que faire si la clé de récupération sur mon disque mémoire USB ne peut pas être lue ?
Certains ordinateurs ne peuvent pas lire les disques mémoire USB dans l’environnement de prédémarrage. Vérifiez tout d’abord votre microprogramme BIOS ou UEFI et les paramètres de démarrage pour vous assurer que l’utilisation des lecteurs USB est activée. Si elle ne l’est pas, activez l’utilisation des lecteurs USB dans le microprogramme BIOS ou UEFI et les paramètres de démarrage, puis essayez de lire de nouveau la clé de récupération dans le disque mémoire USB. Si elle ne peut toujours pas être lue, vous devez monter le disque dur comme lecteur de données sur un autre ordinateur afin qu’un système d’exploitation tente de lire la clé de récupération dans le disque mémoire USB. Si le disque mémoire USB a été endommagé, vous devrez peut-être fournir un mot de passe de récupération ou utiliser les informations de récupération qui ont été enregistrées dans AD DS. En outre, si vous utilisez la clé de récupération dans l’environnement de prédémarrage, assurez-vous que le lecteur est formaté à l’aide du système de fichiers NTFS, FAT16 ou FAT32.
Pourquoi ne puis-je pas enregistrer ma clé de récupération dans mon disque mémoire USB ?
L’option Enregistrer sur USB n’est pas affichée par défaut pour les lecteurs amovibles. Si elle n’est pas disponible, cela signifie qu’un administrateur système a interdit l’utilisation des clés de récupération.
Pourquoi ne puis-je pas déverrouiller automatiquement mon lecteur ?
Le déverrouillage automatique des lecteurs de données fixes implique que le lecteur du système d’exploitation soit également protégé par BitLocker. Si vous utilisez un ordinateur qui ne dispose pas d’un lecteur de système d’exploitation protégé par BitLocker, le lecteur ne peut pas être déverrouillé automatiquement. Pour les lecteurs de données amovibles, vous pouvez ajouter le déverrouillage automatique en cliquant avec le bouton droit sur le lecteur dans l’Explorateur Windows, puis en cliquant sur Gérer BitLocker. Vous serez toujours en mesure d’utiliser les informations d’identification de mot de passe ou de carte à puce que vous avez fournies si vous avez activé BitLocker pour déverrouiller le lecteur amovible sur d’autres ordinateurs.
Puis-je utiliser BitLocker en mode sans échec ?
Des fonctionnalités limitées de BitLocker sont disponibles en mode sans échec. Les lecteurs protégés par BitLocker peuvent être déverrouillés et déchiffrés à l’aide de l’élément du panneau de configuration Chiffrement de lecteur BitLocker. Le clic droit pour accéder aux options de BitLocker à partir de l’Explorateur Windows n’est pas disponible en mode sans échec.
Comment « verrouiller » un lecteur de données ?
Les lecteurs de données fixes et amovibles peuvent être verrouillés à l’aide de l’outil en ligne de commande Manage-bde et de la commande –lock.
Remarque
Vérifiez que toutes les données sont enregistrées dans le lecteur avant de le verrouiller. Une fois verrouillé, le lecteur est inaccessible.
Syntaxe de cette commande :
manage-bde <driveletter> -lock
À part avec cette commande, les lecteurs de données sont verrouillés à l’arrêt et au redémarrage du système d’exploitation. Un lecteur de données amovible est également verrouillé automatiquement s’il est retiré de l'ordinateur.
Puis-je utiliser BitLocker avec le service VSS ?
Oui. Toutefois, les clichés instantanés effectués avant d’activer BitLocker sont automatiquement supprimés si BitLocker est activé sur des lecteurs chiffrés par des logiciels. Si vous utilisez un lecteur chiffré au niveau matériel, les clichés instantanés sont conservés.
BitLocker assure-t-il la prise en charge des disques durs virtuels (VHD) ?
BitLocker n’est pas pris en charge sur les disques VHD de démarrage, mais il l’est sur les disques VHD de volume de données, tels que ceux utilisés par les clusters, si vous utilisez Windows 10, Windows 8.1, Windows 8, Windows Server 2012 ou Windows Server 2012 R2.
Informations supplémentaires
Préparer votre organisation pour BitLocker : Planification et stratégies
BitLocker : Déploiement sur Windows Server 2012 et ultérieur
BitLocker : Utiliser les outils de chiffrement de lecteur BitLocker pour gérer BitLocker
BitLocker : Utiliser la visionneuse des mots de passe de récupération BitLocker