Paramètres de stratégie de groupe BitLocker
Cette rubrique destinée aux professionnels de l’informatique décrit la fonction, l’emplacement et l’effet de chaque paramètre de stratégie de groupe utilisé pour gérer le chiffrement de lecteur BitLocker.
Pour contrôler les tâches de chiffrement de lecteur que l’utilisateur peut exécuter à partir du Panneau de configuration Windows ou pour modifier d’autres options de configuration, vous pouvez utiliser les modèles d’administration de la stratégie de groupe ou les paramètres de stratégie de l’ordinateur local. Le mode de configuration de ces paramètres de stratégie dépend du mode d’implémentation de BitLocker et du niveau d’interaction utilisateur qui sera autorisé.
Remarque
Un ensemble de paramètres de stratégie de groupe distinct prend en charge l’utilisation du module de plateforme sécurisée (TPM). Pour plus d’informations sur ces paramètres, voir Paramètres de stratégie de groupe du module de plateforme sécurisée.
Les paramètres de stratégie de groupe BitLocker sont accessibles à partir de l’Éditeur de stratégie de groupe locale et de la Console de gestion des stratégies de groupe (GPMC) sous Configuration ordinateur\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker.
La plupart des paramètres de stratégie de groupe BitLocker sont appliqués lors de l’activation initiale de BitLocker pour un lecteur. Si un ordinateur n’est pas conforme aux paramètres de stratégie de groupe existants, BitLocker ne peut pas être activé ou modifié tant que l’ordinateur se trouve dans un état non conforme. Lorsqu’un lecteur n’est pas conforme aux paramètres de stratégie de groupe (par exemple, si un paramètre de stratégie de groupe a été modifié après le déploiement initial de BitLocker dans votre organisation, puis appliqué à des lecteurs déjà chiffrés), aucune modification ne peut être apportée à la configuration BitLocker de ce lecteur, sauf si la modification le met en conformité.
Si plusieurs modifications sont nécessaires pour mettre le lecteur en conformité, vous devez suspendre la protection BitLocker, apporter les modifications requises, puis rétablir la protection. Cette situation peut par exemple se présenter lorsqu’un lecteur amovible a été initialement configuré pour être déverrouillé avec un mot de passe et que les paramètres de stratégie de groupe ont ensuite été modifiés pour désactiver les mots de passe et exiger l’utilisation de cartes à puce. Dans ce cas, vous devez suspendre la protection BitLocker à l’aide de l’outil de ligne de commande Manage-bde, supprimer la méthode de déverrouillage par mot de passe et ajouter la méthode de déverrouillage par carte à puce. Une fois cette opération effectuée, BitLocker est conforme aux paramètres de stratégie de groupe et la protection BitLocker du lecteur peut être rétablie.
Paramètres de stratégie de groupe BitLocker
Les sections suivantes fournissent une liste complète des paramètres de stratégie de groupe BitLocker, organisés par type d’utilisation. Les paramètres de stratégie de groupe BitLocker incluent des paramètres pour des types de lecteurs spécifiques (lecteurs de système d’exploitation, lecteurs de données fixes et lecteurs de données amovibles) et des paramètres appliqués à tous les lecteurs.
Les paramètres de stratégie suivants peuvent être utilisés pour définir le mode de déverrouillage d’un lecteur protégé par BitLocker.
Autoriser le déverrouillage réseau au démarrage
Demander une authentification supplémentaire au démarrage
Autoriser les codes confidentiels améliorés au démarrage
Configurer la longueur minimale du code confidentiel de démarrage
Ne pas autoriser les utilisateurs standard à modifier le code confidentiel ou le mot de passe
Configurer l’utilisation des mots de passe pour les lecteurs du système d’exploitation
Demander une authentification supplémentaire au démarrage (Windows Server 2008 et Windows Vista)
Configurer l’utilisation des cartes à puce sur les lecteurs de données fixes
Configurer l’utilisation des mots de passe pour les lecteurs de données fixes
Configurer l’utilisation des cartes à puce sur les lecteurs de données amovibles
Configurer l’utilisation des mots de passe pour les lecteurs de données amovibles
Valider la conformité à la règle d’utilisation des certificats de cartes à puce
Activer l’utilisation de l’authentification BitLocker exigeant une saisie au clavier préalable au démarrage sur tablettes tactiles
Les paramètres de stratégie suivants permettent de contrôler la manière dont les utilisateurs peuvent accéder aux lecteurs et utiliser BitLocker sur leurs ordinateurs.
Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker
Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker
Contrôler l’utilisation de BitLocker sur les lecteurs amovibles
Les paramètres de stratégie suivants spécifient les méthodes et les types de chiffrement utilisés avec BitLocker.
Sélectionner la méthode et la puissance de chiffrement des lecteurs
Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs de données fixes
Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs du système d’exploitation
Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs de données amovibles
Appliquer le type de chiffrement de lecteur aux lecteurs de données fixes
Appliquer le type de chiffrement de lecteur aux lecteurs du système d’exploitation
Appliquer le type de chiffrement de lecteur aux lecteurs de données amovibles
Les paramètres de stratégie suivants définissent les méthodes de récupération qui permettent de rétablir l’accès à un lecteur protégé par BitLocker si une méthode d’authentification échoue ou ne peut pas être utilisée.
Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker
Sélectionner la méthode de récupération des lecteurs protégés par BitLocker (Windows Server 2008 et Windows Vista)
Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (Windows Server 2008 et Windows Vista)
Sélectionner le dossier par défaut d’enregistrement du mot de passe de récupération
Sélectionner la méthode de récupération des lecteurs fixes protégés par BitLocker
Sélectionner la méthode de récupération des lecteurs amovibles protégés par BitLocker
Configurer le message de récupération préalable au démarrage et l’URL
Les paramètres de stratégie suivants assurent la prise en charge de scénarios de déploiement personnalisé dans votre organisation.
Autoriser le démarrage sécurisé pour la validation de l’intégrité
Fournir les identificateurs uniques de votre organisation
Empêcher le remplacement des données en mémoire au redémarrage
Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme BIOS
Configurer le profil de validation de plateforme du module de plateforme sécurisée (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif
Réinitialiser les données de validation de plateforme après une récupération BitLocker
Utiliser un profil amélioré de validation des données de configuration de démarrage
Autoriser l’accès aux lecteurs de données fixes protégés par BitLocker à partir de versions antérieures de Windows
Autoriser l’accès aux lecteurs de données amovibles protégés par BitLocker à partir de versions antérieures de Windows
Autoriser le déverrouillage réseau au démarrage
Ce paramètre de stratégie permet de contrôler en partie le comportement de la fonctionnalité de déverrouillage réseau dans BitLocker. Ce paramètre de stratégie est requis pour activer le déverrouillage réseau BitLocker sur un réseau, car il permet aux clients exécutant BitLocker de créer le protecteur de clé réseau nécessaire pendant le chiffrement. Ce paramètre de stratégie est utilisé en plus de la stratégie de sécurité Certificat de déverrouillage réseau pour le chiffrement de lecteur BitLocker (située dans le dossier Stratégies de clé publique de Stratégie de l’ordinateur local) pour permettre aux systèmes connectés à un réseau approuvé d’exploiter correctement la fonctionnalité Déverrouillage réseau.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez indiquer si un ordinateur protégé par BitLocker qui est connecté à un réseau local approuvé et joint à un domaine peut créer et utiliser des protecteurs de clé réseau sur les ordinateurs équipés d’un TPM pour déverrouiller automatiquement le lecteur du système d’exploitation au démarrage de l’ordinateur. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Les clients configurés avec un certificat de déverrouillage réseau BitLocker peuvent créer et utiliser des protecteurs de clé réseau. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les clients ne peuvent pas créer et utiliser de protecteurs de clé réseau. |
Référence
Pour pouvoir utiliser un protecteur de clé réseau en vue de déverrouiller un ordinateur, l’ordinateur et le serveur qui héberge le certificat de déverrouillage réseau pour le chiffrement de lecteur BitLocker doivent être configurés avec un certificat de déverrouillage réseau. Le certificat de déverrouillage réseau permet de créer un protecteur de clé réseau et de protéger les informations échangées avec le serveur pour déverrouiller l’ordinateur. Vous pouvez utiliser le paramètre de stratégie de groupe Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique\Certificat de déverrouillage réseau pour le chiffrement de lecteur BitLocker sur le contrôleur de domaine pour distribuer ce certificat aux ordinateurs de votre organisation. Cette méthode de déverrouillage fait appel au TPM de l’ordinateur. Les ordinateurs dépourvus de TPM ne peuvent donc pas créer de protecteurs de clé réseau pour le déverrouillage automatique à l’aide du déverrouillage réseau.
Remarque
À des fins de fiabilité et de sécurité, les ordinateurs doivent également disposer d’un code confidentiel de démarrage de TPM pouvant être utilisé lorsque l’ordinateur est déconnecté du réseau câblé ou ne peut pas se connecter au contrôleur de domaine au démarrage.
Pour plus d’informations sur le déverrouillage réseau, voir BitLocker : Activation du déverrouillage réseau.
Demander une authentification supplémentaire au démarrage
Ce paramètre de stratégie permet de définir les options de déverrouillage disponibles pour les lecteurs de système d’exploitation.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez indiquer si BitLocker requiert une authentification supplémentaire à chaque démarrage de l’ordinateur et si vous utilisez BitLocker avec un module de plateforme sécurisée (TPM). Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Si une méthode d’authentification est requise, les autres méthodes ne peuvent pas être autorisées. L’utilisation de BitLocker avec une clé de démarrage de TPM ou avec une clé de démarrage de TPM et un code confidentiel doit être interdite si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker est activé. |
Lorsqu’il est activé |
Les utilisateurs peuvent configurer les options de démarrage avancées dans l’Assistant d’installation de BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les utilisateurs ne peuvent configurer que les options de base sur les ordinateurs équipés d’un TPM. Une seule des options d’authentification supplémentaire peut être exigée au démarrage ; sinon, une erreur de stratégie se produit. |
Référence
Si vous voulez utiliser BitLocker sur un ordinateur dépourvu de TPM, cochez la case Autoriser BitLocker sans un module de plateforme sécurisée compatible. Dans ce mode, un lecteur USB est requis pour le démarrage. Les informations de clé utilisées pour chiffrer le lecteur sont stockées sur ce lecteur USB, créant une clé USB. Lorsque la clé USB est insérée, l’accès au lecteur est authentifié et le lecteur est accessible. Si vous perdez la clé USB ou si elle n’est pas disponible, vous devez utiliser l’une des options de récupération BitLocker pour accéder au lecteur.
Sur un ordinateur équipé d’un TPM compatible, quatre types de méthode d’authentification peuvent être utilisés au démarrage pour renforcer la protection des données chiffrées. Au démarrage, l’ordinateur peut s’appuyer sur :
le TPM seul pour l’authentification ;
l’insertion d’un disque mémoire USB contenant la clé de démarrage ;
la saisie d’un code confidentiel comprenant 4 à 20 chiffres ;
à la fois le code confidentiel et le disque mémoire USB.
Il existe quatre options pour les ordinateurs ou les appareils équipés d’un TPM :
Configurer le démarrage du module de plateforme sécurisée
Autoriser le module de plateforme sécurisée
Demander le module de plateforme sécurisée
Ne pas autoriser le module de plateforme sécurisée
Configurer le code confidentiel de démarrage de module de plateforme sécurisée
Autoriser les codes confidentiels de démarrage avec le module de plateforme sécurisée
Demander un code confidentiel de démarrage avec le module de plateforme sécurisée
Ne pas autoriser de code confidentiel de démarrage avec le module de plateforme sécurisée
Configurer la clé de démarrage de module de plateforme sécurisée
Autoriser les clés de démarrage avec le module de plateforme sécurisée
Demander une clé de démarrage avec le module de plateforme sécurisée
Ne pas autoriser de clé de démarrage avec le module de plateforme sécurisée
Configurer le code confidentiel et la clé de démarrage de module de plateforme sécurisée
Autoriser une clé et un code confidentiel de démarrage avec le module de plateforme sécurisée
Demander une clé et un code confidentiel de démarrage avec le module de plateforme sécurisée
Ne pas autoriser de clé et de code confidentiel de démarrage avec le module de plateforme sécurisée
Autoriser les codes confidentiels améliorés au démarrage
Ce paramètre de stratégie permet d’utiliser des codes confidentiels améliorés lors de l’utilisation d’une méthode de verrouillage incluant un code confidentiel.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si les codes confidentiels de démarrage améliorés sont utilisés avec BitLocker. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Tous les nouveaux codes confidentiels de démarrage BitLocker définis sont des codes confidentiels améliorés. Les lecteurs existants protégés à l’aide de codes confidentiels de démarrage standard ne sont pas affectés. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les codes confidentiels améliorés ne sont pas utilisés. |
Référence
Les codes confidentiels de démarrage améliorés permettent l’utilisation de caractères (majuscules et minuscules, symboles, chiffres et espaces compris). Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Important
Certains ordinateurs ne prennent pas en charge les caractères de code confidentiel amélioré dans l’environnement de prédémarrage. Il est vivement recommandé aux utilisateurs d’effectuer une vérification du système pendant l’installation de BitLocker pour s’assurer que les caractères de code confidentiel amélioré peuvent être utilisés.
Configurer la longueur minimale du code confidentiel de démarrage
Ce paramètre de stratégie sert à définir une longueur minimale de code confidentiel lors de l’utilisation d’une méthode de verrouillage incluant un code confidentiel.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez configurer une longueur minimale pour un code confidentiel de démarrage de TPM. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Le code confidentiel de démarrage doit présenter une longueur minimale de 4 chiffres et peut comporter un maximum de 20 chiffres. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Vous pouvez obliger les utilisateurs à saisir un nombre minimal de chiffres lorsqu’ils définissent leur code confidentiel de démarrage. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les utilisateurs peuvent configurer un code confidentiel de démarrage d’une longueur comprise entre 4 et 20 chiffres. |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Le code confidentiel de démarrage doit présenter une longueur minimale de 4 chiffres et peut comporter un maximum de 20 chiffres.
Ne pas autoriser les utilisateurs standard à modifier le code confidentiel ou le mot de passe
Ce paramètre de stratégie vous permet de spécifier si les utilisateurs standard sont autorisés à modifier le code confidentiel ou le mot de passe utilisé pour protéger le lecteur du système d’exploitation.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si les utilisateurs standard sont autorisés à modifier le code confidentiel ou le mot de passe utilisé pour protéger le lecteur du système d’exploitation. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Les utilisateurs standard ne sont pas autorisés à modifier les codes confidentiels ou les mots de passe BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les utilisateurs standard sont autorisés à modifier les codes confidentiels ou les mots de passe BitLocker. |
Référence
Pour modifier le code confidentiel ou le mot de passe, l’utilisateur doit être en mesure de fournir le code confidentiel ou le mot de passe actuel. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Configurer l’utilisation des mots de passe pour les lecteurs du système d’exploitation
Ce paramètre de stratégie permet de contrôler la manière dont les systèmes dépourvus de TPM utilisent le protecteur de mot de passe. Utilisé conjointement avec la stratégie Le mot de passe doit respecter des exigences de complexité, ce paramètre de stratégie permet aux administrateurs d’imposer une longueur et une complexité de mot de passe pour l’utilisation du protecteur de mot de passe. Par défaut, les mots de passe doivent comprendre huit caractères. Les options de configuration de la complexité déterminent l’importance de la connexion au domaine pour le client. Pour une sécurité de mot de passe optimale, les administrateurs doivent choisir l’option Exiger des critères de complexité des mots de passe, car elle nécessite une connexion au domaine et exige que le mot de passe BitLocker respecte les mêmes exigences de complexité que les mots de passe de connexion au domaine.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier les contraintes des mots de passe utilisés pour déverrouiller des lecteurs de système d’exploitation protégés par BitLocker. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Les mots de passe ne peuvent pas être utilisés si la conformité FIPS est activée. RemarqueLe paramètre de stratégie Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature, qui se trouve à l’emplacement Configuration ordinateur\Paramètres de Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité, spécifie si la conformité FIPS est activée. |
Lorsqu’il est activé |
Les utilisateurs peuvent configurer un mot de passe qui respecte les exigences que vous avez définies. Pour appliquer les exigences de complexité du mot de passe, sélectionnez Exiger des critères de complexité. |
Lorsqu’il est désactivé ou n’est pas configuré |
La contrainte de longueur par défaut de 8 caractères s’applique aux mots de passe des lecteurs de système d’exploitation et aucune vérification de la complexité n’est réalisée. |
Référence
Si des protecteurs autres que celui du TPM sont autorisés sur les lecteurs de système d’exploitation, vous pouvez configurer un mot de passe et en définir les critères de complexité et la longueur minimale. Pour que le paramètre d’exigence de complexité prenne effet, vous devez également activer le paramètre de stratégie de groupe Le mot de passe doit respecter des exigences de complexité situé dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégie de mot de passe.
Remarque
Ces paramètres sont appliqués lors de l’activation de BitLocker et non lors du déverrouillage d’un volume. BitLocker permet de déverrouiller un lecteur avec n’importe lequel des protecteurs disponibles pour celui-ci.
Lorsque l’option Exiger des critères de complexité est sélectionnée, une connexion à un contrôleur de domaine est nécessaire lors de l’activation de BitLocker pour valider la complexité du mot de passe. Lorsque l’option Autoriser des critères de complexité est sélectionnée, le système tente de se connecter à un contrôleur de domaine pour vérifier que le mot de passe respecte les règles de complexité définies par la stratégie. Si aucun contrôleur de domaine n’est trouvé, le mot de passe est accepté indépendamment de sa complexité et utilisé en tant que protecteur pour le chiffrement du lecteur. Lorsque l’option Ne pas autoriser les critères de complexité est sélectionnée, aucune validation de la complexité du mot de passe n’est réalisée.
Les mots de passe doivent comporter au moins 8 caractères. Pour configurer une longueur minimale de mot de passe supérieure, entrez le nombre de caractères souhaité dans la zone Longueur minimale des mots de passe.
Lorsque ce paramètre de stratégie est activé, vous pouvez définir l’option Configurer les critères de complexité des mots de passe pour les lecteurs du système d’exploitation sur :
Autoriser les critères de complexité des mots de passe
Ne pas autoriser les critères de complexité
Exiger des critères de complexité des mots de passe
Demander une authentification supplémentaire au démarrage (Windows Server 2008 et Windows Vista)
Ce paramètre de stratégie permet de définir les options de déverrouillage disponibles pour les ordinateurs exécutant Windows Server 2008 ou Windows Vista.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez indiquer si l’Assistant d’installation de BitLocker permet de configurer une méthode d’authentification supplémentaire demandée à chaque démarrage de l’ordinateur sur les ordinateurs exécutant Windows Vista ou Windows Server 2008. |
Introduit dans |
Windows Server 2008 et Windows Vista |
Type de lecteur |
Lecteurs de système d’exploitation (Windows Server 2008 et Windows Vista) |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Si vous choisissez de demander une méthode d’authentification supplémentaire, les autres méthodes d’authentification ne peuvent pas être autorisées. |
Lorsqu’il est activé |
L’Assistant d’installation de BitLocker affiche la page qui permet à l’utilisateur de configurer les options de démarrage avancées de BitLocker. Vous pouvez configurer davantage les options de paramétrage pour les ordinateurs équipés ou non d’un TPM. |
Lorsqu’il est désactivé ou n’est pas configuré |
L’Assistant d’installation de BitLocker affiche les étapes de base qui permettent aux utilisateurs d’activer BitLocker sur les ordinateurs équipés d’un TPM. Dans cet assistant de base, il n’est pas possible de configurer une clé de démarrage ou un code confidentiel de démarrage supplémentaire. |
Référence
Sur un ordinateur équipé d’un TPM compatible, deux types de méthode d’authentification peuvent être utilisés au démarrage pour renforcer la protection des données chiffrées. Lorsque l’ordinateur démarre, il peut demander à l’utilisateur d’insérer un lecteur USB contenant une clé de démarrage. Il peut également demander à l’utilisateur d’entrer un code confidentiel de démarrage constitué de 4 à 20 chiffres.
Un lecteur USB contenant une clé de démarrage est nécessaire sur les ordinateurs dépourvus de TPM compatible. Sans TPM, les données chiffrées par BitLocker sont protégées seulement par le matériel de clé présent sur ce lecteur USB.
Il existe deux options pour les ordinateurs ou les appareils équipés d’un TPM :
Configurer le code confidentiel de démarrage de module de plateforme sécurisée
Autoriser les codes confidentiels de démarrage avec le module de plateforme sécurisée
Demander un code confidentiel de démarrage avec le module de plateforme sécurisée
Ne pas autoriser de code confidentiel de démarrage avec le module de plateforme sécurisée
Configurer la clé de démarrage de module de plateforme sécurisée
Autoriser les clés de démarrage avec le module de plateforme sécurisée
Demander une clé de démarrage avec le module de plateforme sécurisée
Ne pas autoriser de clé de démarrage avec le module de plateforme sécurisée
Ces options sont mutuellement exclusives. Si vous exigez l’utilisation d’une clé de démarrage, vous devez interdire l’utilisation d’un code confidentiel de démarrage. Si vous exigez l’utilisation d’un code confidentiel de démarrage, vous devez interdire l’utilisation d’une clé de démarrage. Sinon, une erreur de stratégie se produit.
Pour masquer la page d’options avancées sur un ordinateur ou un appareil équipé d’un TPM, définissez ces options sur Ne pas autoriser pour la clé et le code confidentiel de démarrage.
Configurer l’utilisation des cartes à puce sur les lecteurs de données fixes
Ce paramètre de stratégie permet d’exiger, d’autoriser ou d’interdire l’utilisation de cartes à puce avec les lecteurs de données fixes.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur aux lecteurs de données fixes protégés par BitLocker sur un ordinateur. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données fixes |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données fixes |
Conflits |
Pour utiliser des cartes à puce avec BitLocker, vous pouvez également avoir besoin de modifier le paramètre d’identificateur d’objet dans le paramètre de stratégie Configuration ordinateur\Modèles d’administration\Chiffrement de lecteur BitLocker\Valider la conformité à la règle d’utilisation des certificats de cartes à puce de sorte qu’il corresponde à l’identificateur d’objet de vos certificats de cartes à puce. |
Lorsqu’il est activé |
Les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur au lecteur. Vous pouvez exiger l’authentification par carte à puce en cochant la case Exiger l’utilisation des cartes à puce sur les lecteurs de données fixes. |
Lorsqu’il est désactivé |
Les utilisateurs ne peuvent pas utiliser de cartes à puce pour authentifier leur accès à des lecteurs de données fixes protégés par BitLocker. |
Lorsqu’il n’est pas configuré |
Les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur à un lecteur protégé par BitLocker. |
Référence
Remarque
Ces paramètres sont appliqués lors de l’activation de BitLocker et non lors du déverrouillage d’un lecteur. BitLocker permet de déverrouiller un lecteur avec n’importe lequel des protecteurs disponibles pour celui-ci.
Configurer l’utilisation des mots de passe pour les lecteurs de données fixes
Ce paramètre de stratégie permet d’exiger, d’autoriser ou d’interdire l’utilisation de mots de passe avec les lecteurs de données fixes.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si un mot de passe est nécessaire pour déverrouiller les lecteurs de données fixes protégés par BitLocker. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données fixes |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données fixes |
Conflits |
Pour utiliser des critères de complexité du mot de passe, vous devez également activer le paramètre de stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégie de mot de passe\Le mot de passe doit respecter des exigences de complexité. |
Lorsqu’il est activé |
Les utilisateurs peuvent configurer un mot de passe qui respecte les exigences que vous avez définies. Pour exiger l’utilisation d’un mot de passe, sélectionnez Demander un mot de passe pour les lecteurs de données fixes. Pour appliquer les exigences de complexité du mot de passe, sélectionnez Exiger des critères de complexité. |
Lorsqu’il est désactivé |
L’utilisateur n’est pas autorisé à utiliser un mot de passe. |
Lorsqu’il n’est pas configuré |
Les mots de passe sont pris en charge avec les paramètres par défaut, qui n’incluent pas d’exigences de complexité et imposent une longueur minimale de seulement 8 caractères. |
Référence
Lorsque l’option Exiger des critères de complexité est sélectionnée, une connexion à un contrôleur de domaine est nécessaire pour valider la complexité du mot de passe lors de l’activation de BitLocker.
Lorsque l’option Autoriser des critères de complexité est sélectionnée, le système tente de se connecter à un contrôleur de domaine pour vérifier que le mot de passe respecte les règles de complexité définies par la stratégie. Cependant, si aucun contrôleur de domaine n’est trouvé, le mot de passe est accepté indépendamment de sa complexité et utilisé en tant que protecteur pour le chiffrement du lecteur.
Lorsque l’option Ne pas autoriser les critères de complexité est sélectionnée, aucune validation de la complexité du mot de passe n’est réalisée.
Les mots de passe doivent comporter au moins 8 caractères. Pour configurer une longueur minimale de mot de passe supérieure, entrez le nombre de caractères souhaité dans la zone Longueur minimale des mots de passe.
Remarque
Ces paramètres sont appliqués lors de l’activation de BitLocker et non lors du déverrouillage d’un lecteur. BitLocker permet de déverrouiller un lecteur avec n’importe lequel des protecteurs disponibles pour celui-ci.
Pour que le paramètre d’exigence de complexité prenne effet, vous devez également activer le paramètre de stratégie de groupe Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégie de mot de passe\Le mot de passe doit respecter des exigences de complexité.
Ce paramètre de stratégie est configuré pour chaque ordinateur. Cela signifie qu’il s’applique aux comptes d’utilisateurs locaux et aux comptes d’utilisateurs de domaine. Étant donné que le filtre de mot de passe utilisé pour valider la complexité du mot de passe est situé sur les contrôleurs de domaine, les comptes d’utilisateurs locaux ne peuvent pas accéder à ce filtre, car ils ne sont pas authentifiés pour l’accès au domaine. Lorsque ce paramètre de stratégie est activé, si vous vous connectez avec un compte d’utilisateur local et tentez de chiffrer un lecteur ou de modifier un mot de passe sur un lecteur protégé par BitLocker existant, vous obtenez le message d’erreur « Accès refusé ». Dans ce cas, le protecteur de clé de mot de passe ne peut pas être ajouté au lecteur.
L’activation de ce paramètre de stratégie exige que la connexion à un domaine soit établie avant d’ajouter un protecteur de clé de mot de passe à un lecteur protégé par BitLocker. Les utilisateurs qui travaillent à distance et ne peuvent pas se connecter en permanence au domaine doivent être informés de cette exigence afin de pouvoir planifier l’activation de BitLocker ou la modification d’un mot de passe sur un lecteur de données protégé par BitLocker à un moment où ils seront connectés au domaine.
Important
Les mots de passe ne peuvent pas être utilisés si la conformité FIPS est activée. Le paramètre de stratégie Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature situé dans Configuration ordinateur\Paramètres de Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité spécifie si la conformité FIPS est activée.
Configurer l’utilisation des cartes à puce sur les lecteurs de données amovibles
Ce paramètre de stratégie permet d’exiger, d’autoriser ou d’interdire l’utilisation de cartes à puce avec les lecteurs de données amovibles.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur aux lecteurs de données amovibles protégés par BitLocker sur un ordinateur. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données amovibles |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données amovibles |
Conflits |
Pour utiliser des cartes à puce avec BitLocker, vous pouvez également avoir besoin de modifier le paramètre d’identificateur d’objet dans le paramètre de stratégie Configuration ordinateur\Modèles d’administration\Chiffrement de lecteur BitLocker\Valider la conformité à la règle d’utilisation des certificats de cartes à puce de sorte qu’il corresponde à l’identificateur d’objet de vos certificats de cartes à puce. |
Lorsqu’il est activé |
Les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur au lecteur. Vous pouvez exiger l’authentification par carte à puce en cochant la case Exiger l’utilisation des cartes à puce sur les lecteurs de données amovibles. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les utilisateurs ne sont pas autorisés à utiliser des cartes à puce pour authentifier leur accès à des lecteurs de données amovibles protégés par BitLocker. |
Lorsqu’il n’est pas configuré |
Les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur à un lecteur de données amovible protégé par BitLocker. |
Référence
Remarque
Ces paramètres sont appliqués lors de l’activation de BitLocker et non lors du déverrouillage d’un lecteur. BitLocker permet de déverrouiller un lecteur avec n’importe lequel des protecteurs disponibles pour celui-ci.
Configurer l’utilisation des mots de passe pour les lecteurs de données amovibles
Ce paramètre de stratégie permet d’exiger, d’autoriser ou d’interdire l’utilisation de mots de passe avec les lecteurs de données amovibles.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si un mot de passe est nécessaire pour déverrouiller les lecteurs de données amovibles protégés par BitLocker. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données amovibles |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données amovibles |
Conflits |
Pour utiliser des critères de complexité du mot de passe, vous devez également activer le paramètre de stratégie Le mot de passe doit respecter des exigences de complexité, qui se trouve à l’emplacement Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégie de mot de passe. |
Lorsqu’il est activé |
Les utilisateurs peuvent configurer un mot de passe qui respecte les exigences que vous avez définies. Pour exiger l’utilisation d’un mot de passe, sélectionnez Demander un mot de passe pour les lecteurs de données amovibles. Pour appliquer les exigences de complexité du mot de passe, sélectionnez Exiger des critères de complexité. |
Lorsqu’il est désactivé |
L’utilisateur n’est pas autorisé à utiliser un mot de passe. |
Lorsqu’il n’est pas configuré |
Les mots de passe sont pris en charge avec les paramètres par défaut, qui n’incluent pas d’exigences de complexité et imposent une longueur minimale de seulement 8 caractères. |
Référence
Si vous choisissez d’autoriser l’utilisation d’un mot de passe, vous pouvez exiger qu’un mot de passe soit utilisé, appliquer des exigences de complexité et configurer une longueur minimale. Pour que le paramètre d’exigence de complexité prenne effet, vous devez également activer le paramètre de stratégie de groupe Le mot de passe doit respecter des exigences de complexité situé dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégie de mot de passe.
Remarque
Ces paramètres sont appliqués lors de l’activation de BitLocker et non lors du déverrouillage d’un lecteur. BitLocker permet de déverrouiller un lecteur avec n’importe lequel des protecteurs disponibles pour celui-ci.
Les mots de passe doivent comporter au moins 8 caractères. Pour configurer une longueur minimale de mot de passe supérieure, entrez le nombre de caractères souhaité dans la zone Longueur minimale des mots de passe.
Lorsque l’option Exiger des critères de complexité est sélectionnée, une connexion à un contrôleur de domaine est nécessaire lors de l’activation de BitLocker pour valider la complexité du mot de passe.
Lorsque l’option Autoriser des critères de complexité est sélectionnée, le système tente de se connecter à un contrôleur de domaine pour vérifier que le mot de passe respecte les règles de complexité définies par la stratégie. Cependant, si aucun contrôleur de domaine n’est trouvé, le mot de passe est accepté indépendamment de sa complexité et utilisé en tant que protecteur pour le chiffrement du lecteur.
Lorsque l’option Ne pas autoriser les critères de complexité est sélectionnée, aucune validation de la complexité du mot de passe n’est réalisée.
Remarque
Les mots de passe ne peuvent pas être utilisés si la conformité FIPS est activée. Le paramètre de stratégie Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature situé dans Configuration ordinateur\Paramètres de Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité spécifie si la conformité FIPS est activée.
Pour plus d’informations sur ce paramètre, voir Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature.
Valider la conformité à la règle d’utilisation des certificats de cartes à puce
Ce paramètre de stratégie permet de spécifier le certificat à utiliser avec BitLocker.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez associer un identificateur d’objet issu d’un certificat de carte à puce à un lecteur protégé par BitLocker. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données fixes et amovibles |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker |
Conflits |
Aucun |
Lorsqu’il est activé |
L’identificateur d’objet spécifié dans le paramètre Identificateur d’objet doit correspondre à l’identificateur d’objet inclus dans le certificat de carte à puce. |
Lorsqu’il est désactivé ou n’est pas configuré |
L’identificateur d’objet par défaut est utilisé. |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
L’identificateur d’objet est spécifié dans l’utilisation améliorée de la clé (EKU) d’un certificat. BitLocker peut identifier les certificats pouvant être utilisés pour authentifier un accès utilisateur à un lecteur protégé par BitLocker en faisant correspondre l’identificateur d’objet inclus dans le certificat avec l’identificateur d’objet défini par ce paramètre de stratégie.
L’identificateur d’objet par défaut est 1.3.6.1.4.1.311.67.1.1.
Remarque
BitLocker ne requiert pas qu’un certificat possède un attribut EKU ; toutefois, si un tel attribut est configuré pour le certificat, il doit être défini sur un identificateur d’objet qui correspond à l’identificateur d’objet configuré pour BitLocker.
Activer l’utilisation de l’authentification BitLocker exigeant une saisie au clavier préalable au démarrage sur tablettes tactiles
Ce paramètre de stratégie permet aux utilisateurs d’activer les options d’authentification qui nécessitent une saisie de l’utilisateur à partir de l’environnement préalable au démarrage, même si la plateforme indique l’absence d’une telle fonctionnalité de saisie.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez autoriser les utilisateurs à activer les options d’authentification qui nécessitent une saisie de l’utilisateur à partir de l’environnement de prédémarrage, même si la plateforme indique l’absence d’une telle fonctionnalité de saisie. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteur de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteur du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Les appareils doivent disposer d’un autre moyen de saisie préalable au démarrage (par exemple, un clavier USB). |
Lorsqu’il est désactivé ou n’est pas configuré |
L’environnement de récupération Windows doit être activé sur les tablettes pour que la saisie du mot de passe de récupération BitLocker soit prise en charge. |
Référence
Le clavier tactile Windows (utilisé notamment par les tablettes) n’est pas disponible dans l’environnement de prédémarrage où BitLocker requiert des informations supplémentaires, telles qu’un code confidentiel ou un mot de passe.
Il est recommandé aux administrateurs d’activer cette stratégie uniquement pour les appareils disposant de façon certaine d’un autre moyen de saisie préalable au démarrage, tel qu’un clavier USB.
Lorsque l’environnement de récupération Windows et cette stratégie ne sont pas activés, vous ne pouvez pas activer BitLocker sur un appareil utilisant le clavier tactile Windows.
Si vous n’activez pas ce paramètre de stratégie, il se peut que les options suivantes de la stratégie Demander une authentification supplémentaire au démarrage ne soient pas disponibles :
Configurer le code confidentiel de démarrage de module de plateforme sécurisée : Requis et Autorisé
Configurer le code confidentiel et la clé de démarrage de module de plateforme sécurisée : Requis et Autorisé
Configurer l’utilisation des mots de passe pour les lecteurs du système d’exploitation
Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker
Ce paramètre de stratégie permet d’exiger le chiffrement des lecteurs fixes avant d’accorder l’accès en écriture.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez définir si la protection BitLocker est requise pour que les lecteurs de données fixes soient accessibles en écriture sur un ordinateur. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données fixes |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données fixes |
Conflits |
Voir la section Référence pour obtenir une description des conflits. |
Lorsqu’il est activé |
Tous les lecteurs de données fixes qui ne sont pas protégés par BitLocker sont montés avec un accès en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture. |
Lorsqu’il est désactivé ou n’est pas configuré |
Tous les lecteurs de données fixes sur l’ordinateur sont montés avec un accès en lecture et en écriture. |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Les considérations en matière de conflits incluent :
Lorsque ce paramètre de stratégie est activé, les utilisateurs reçoivent le message d’erreur « Accès refusé » quand ils essaient d’enregistrer des données sur des lecteurs de données fixes non chiffrés. Voir la section Référence pour connaître les autres conflits.
Si BdeHdCfg.exe est exécuté sur un ordinateur lorsque ce paramètre de stratégie est activé, vous pouvez rencontrer les problèmes suivants :
Si vous tentez de réduire le lecteur et de créer le lecteur système, la taille du lecteur est réduite avec succès et une partition brute est créée. Toutefois, la partition brute n’est pas formatée. Le message d’erreur suivant s’affiche : « Impossible de reformater le nouveau lecteur actif. Vous pouvez être amené à préparer manuellement le lecteur pour BitLocker. »
Si vous tentez d’utiliser de l’espace non alloué pour créer le lecteur système, une partition brute est créée. Toutefois, la partition brute n’est pas formatée. Le message d’erreur suivant s’affiche : « Impossible de reformater le nouveau lecteur actif. Vous pouvez être amené à préparer manuellement le lecteur pour BitLocker. »
Si vous tentez de fusionner un lecteur existant dans le lecteur système, l’outil ne parvient pas à copier le fichier de démarrage requis sur le disque cible pour créer le lecteur système. Le message d’erreur suivant s’affiche : « Le programme d’installation de BitLocker n’a pas pu copier les fichiers de démarrage. Vous pouvez être amené à préparer manuellement le lecteur pour BitLocker. »
Si ce paramètre de stratégie est appliqué, il est impossible de repartitionner un disque dur, car le lecteur est protégé. Si vous mettez à niveau des ordinateurs de votre organisation à partir d’une version antérieure de Windows et que ces ordinateurs ont été configurés avec une seule partition, vous devez créer la partition système BitLocker requise avant d’appliquer ce paramètre de stratégie aux ordinateurs.
Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker
Ce paramètre de stratégie permet d’exiger que les lecteurs amovibles soient chiffrés avant d’accorder l’accès en écriture et d’indiquer si les lecteurs amovibles protégés par BitLocker qui ont été configurés dans une autre organisation peuvent être ouverts avec un accès en écriture.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si la protection BitLocker est requise pour qu’un ordinateur soit en mesure d’écrire des données sur un lecteur de données amovible. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données amovibles |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données amovibles |
Conflits |
Voir la section Référence pour obtenir une description des conflits. |
Lorsqu’il est activé |
Tous les lecteurs de données amovibles qui ne sont pas protégés par BitLocker sont montés avec un accès en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture. |
Lorsqu’il est désactivé ou n’est pas configuré |
Tous les lecteurs de données amovibles sur l’ordinateur sont montés avec un accès en lecture et en écriture. |
Référence
Si l’option Ne pas autoriser l’accès en écriture aux périphériques configurés par une autre organisation est sélectionnée, seuls les lecteurs dont le champ d’identification correspond au champ d’identification de l’ordinateur sont accessibles en écriture. Lors de l’accès à un lecteur de données amovible, la validité des champs d’identification et d’identification autorisée est vérifiée. Ces champs sont définis par le paramètre de stratégie Fournir les identificateurs uniques de votre organisation.
Remarque
Vous pouvez remplacer ce paramètre de stratégie par ceux qui se trouvent dans Configuration utilisateur\Modèles d’administration\Système\Accès au stockage amovible. Ce paramètre de stratégie est ignoré si le paramètre de stratégie Disques amovibles : refuser l’accès en écriture est activé.
Les considérations en matière de conflits incluent :
L’utilisation de BitLocker avec le TPM et une clé de démarrage ou avec le TPM, une clé de démarrage et un code confidentiel doit être interdite si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker est activé.
L’utilisation de clés de récupération doit être interdite si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker est activé.
Vous devez activer le paramètre de stratégie Fournir les identificateurs uniques de votre organisation si vous souhaitez interdire l’accès en écriture aux lecteurs qui ont été configurés par une autre organisation.
Contrôler l’utilisation de BitLocker sur les lecteurs amovibles
Ce paramètre de stratégie permet d’empêcher les utilisateurs d’activer ou de désactiver BitLocker sur des lecteurs de données amovibles.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez contrôler l’utilisation de BitLocker sur les lecteurs de données amovibles. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données amovibles |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données amovibles |
Conflits |
Aucun |
Lorsqu’il est activé |
Vous pouvez sélectionner les paramètres de propriété contrôlant la façon dont les utilisateurs peuvent configurer BitLocker. |
Lorsqu’il est désactivé |
Les utilisateurs ne peuvent pas utiliser BitLocker sur les lecteurs de données amovibles. |
Lorsqu’il n’est pas configuré |
Les utilisateurs peuvent utiliser BitLocker sur les lecteurs de données amovibles. |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Pour plus d’informations sur la suspension de la protection BitLocker, voir Déploiement de base de BitLocker.
Les options permettant de sélectionner les paramètres de propriété qui contrôlent la façon dont les utilisateurs peuvent configurer BitLocker sont les suivantes :
Autoriser les utilisateurs à protéger les lecteurs de données amovibles avec BitLocker : permet aux utilisateurs d’exécuter l’Assistant d’installation de BitLocker sur un lecteur de données amovible.
Autoriser les utilisateurs à suspendre et supprimer la protection BitLocker sur les lecteurs de données amovibles : permet aux utilisateurs de supprimer le chiffrement BitLocker sur un lecteur ou de suspendre le chiffrement pendant une opération de maintenance.
Sélectionner la méthode et la puissance de chiffrement des lecteurs
Ce paramètre de stratégie sert à contrôler la méthode et la puissance de chiffrement.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez contrôler la méthode et la puissance de chiffrement pour les lecteurs. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Tous les lecteurs |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker |
Conflits |
Aucun |
Lorsqu’il est activé |
Vous pouvez sélectionner l’algorithme et la puissance de chiffrement utilisés par BitLocker pour chiffrer les lecteurs. |
Lorsqu’il est désactivé ou n’est pas configuré |
BitLocker utilise la méthode de chiffrement par défaut AES 128 bits ou la méthode de chiffrement spécifiée par le script d’installation. |
Référence
Par défaut, BitLocker utilise le chiffrement AES 128 bits. Les options disponibles sont AES-128 et AES-256. Les valeurs de cette stratégie déterminent la puissance de chiffrement utilisée par BitLocker pour chiffrer les lecteurs. Les entreprises peuvent souhaiter contrôler le niveau de chiffrement pour renforcer la sécurité (AES-256 est plus puissant que AES-128).
La modification de la méthode de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Le cas échéant, ce paramètre de stratégie est ignoré.
Avertissement
Ce paramètre de stratégie ne s’applique pas aux lecteurs chiffrés. Les lecteurs chiffrés utilisent leur propre algorithme, qui est défini par le lecteur pendant le partitionnement.
Lorsque ce paramètre de stratégie est désactivé, BitLocker utilise AES avec la puissance de bit (128 ou 256 bits) indiquée dans le paramètre de stratégie Choisir la méthode et la puissance de chiffrement des lecteurs (Windows Vista, Windows Server 2008, Windows 7). Si aucun de ces paramètres de stratégie n’est défini, BitLocker utilise la méthode de chiffrement par défaut AES 128 bits ou la méthode de chiffrement spécifiée dans le script d’installation.
Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs de données fixes
Ce paramètre de stratégie sert à contrôler la manière dont BitLocker réagit face aux systèmes équipés de disques chiffrés lorsque ces derniers sont utilisés en tant que volumes de données fixes. L’utilisation du chiffrement au niveau matériel permet d’améliorer les performances de fonctionnement des lecteurs sur lesquels des opérations de lecture et d’écriture de données sont fréquentes.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez gérer l’utilisation par BitLocker du chiffrement au niveau matériel sur les lecteurs de données fixes et spécifier les algorithmes de chiffrement que BitLocker peut utiliser avec le chiffrement au niveau matériel. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteurs de données fixes |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données fixes |
Conflits |
Aucun |
Lorsqu’il est activé |
Vous pouvez spécifier des options supplémentaires qui déterminent si le chiffrement au niveau logiciel BitLocker est utilisé à la place du chiffrement au niveau matériel sur les ordinateurs ne prenant pas en charge le chiffrement au niveau matériel. Vous pouvez également indiquer si vous voulez restreindre les algorithmes et suites de chiffrement utilisés pour le chiffrement au niveau matériel. |
Lorsqu’il est désactivé |
BitLocker ne peut pas utiliser le chiffrement au niveau matériel avec les lecteurs de données fixes et le chiffrement au niveau logiciel BitLocker est utilisé par défaut pour chiffrer le lecteur. |
Lorsqu’il n’est pas configuré |
BitLocker utilise le chiffrement au niveau matériel avec l’algorithme de chiffrement défini pour le lecteur. Si le chiffrement au niveau matériel n’est pas disponible, le chiffrement au niveau logiciel BitLocker est utilisé à la place. |
Référence
Remarque
Le paramètre de stratégie Sélectionner la méthode et la puissance de chiffrement des lecteurs ne s’applique pas au chiffrement au niveau matériel.
L’algorithme de chiffrement utilisé par le chiffrement au niveau matériel est défini lors du partitionnement du lecteur. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer ce dernier. L’option Restreindre les algorithmes et suites de chiffrement autorisés pour le chiffrement au niveau matériel permet de restreindre les algorithmes de chiffrement utilisables par BitLocker avec le chiffrement au niveau matériel. Si l’algorithme défini pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement au niveau matériel. Les algorithmes de chiffrement sont spécifiés par des identificateurs d’objet (OID), par exemple :
OID AES (Advanced Encryption Standard) 128 en mode CBC (Cipher Block Chaining) : 2.16.840.1.101.3.4.1.2
OID AES 256 en mode CBC : 2.16.840.1.101.3.4.1.42
Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs du système d’exploitation
Ce paramètre de stratégie sert à contrôler la manière dont BitLocker réagit face aux lecteurs chiffrés utilisés en tant que lecteurs de système d’exploitation. L’utilisation du chiffrement au niveau matériel permet d’améliorer les performances de fonctionnement des lecteurs sur lesquels des opérations de lecture et d’écriture de données sont fréquentes.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez gérer l’utilisation par BitLocker du chiffrement au niveau matériel sur les lecteurs de système d’exploitation et spécifier les algorithmes de chiffrement qu’il peut utiliser avec le chiffrement au niveau matériel. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Vous pouvez spécifier des options supplémentaires qui déterminent si le chiffrement au niveau logiciel BitLocker est utilisé à la place du chiffrement au niveau matériel sur les ordinateurs ne prenant pas en charge le chiffrement au niveau matériel. Vous pouvez également indiquer si vous voulez restreindre les algorithmes et suites de chiffrement utilisés pour le chiffrement au niveau matériel. |
Lorsqu’il est désactivé |
BitLocker ne peut pas utiliser le chiffrement au niveau matériel avec les lecteurs de système d’exploitation et le chiffrement au niveau logiciel BitLocker est utilisé par défaut pour chiffrer le lecteur. |
Lorsqu’il n’est pas configuré |
BitLocker utilise le chiffrement au niveau matériel avec l’algorithme de chiffrement défini pour le lecteur. Si le chiffrement au niveau matériel n’est pas disponible, le chiffrement au niveau logiciel BitLocker est utilisé à la place. |
Référence
Si le chiffrement au niveau matériel n’est pas disponible, le chiffrement au niveau logiciel BitLocker est utilisé à la place.
Remarque
Le paramètre de stratégie Sélectionner la méthode et la puissance de chiffrement des lecteurs ne s’applique pas au chiffrement au niveau matériel.
L’algorithme de chiffrement utilisé par le chiffrement au niveau matériel est défini lors du partitionnement du lecteur. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer ce dernier. L’option Restreindre les algorithmes et suites de chiffrement autorisés pour le chiffrement au niveau matériel permet de restreindre les algorithmes de chiffrement utilisables par BitLocker avec le chiffrement au niveau matériel. Si l’algorithme défini pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement au niveau matériel. Les algorithmes de chiffrement sont spécifiés par des identificateurs d’objet (OID), par exemple :
OID AES (Advanced Encryption Standard) 128 en mode CBC (Cipher Block Chaining) : 2.16.840.1.101.3.4.1.2
OID AES 256 en mode CBC : 2.16.840.1.101.3.4.1.42
Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs de données amovibles
Ce paramètre de stratégie sert à contrôler la manière dont BitLocker réagit face aux lecteurs chiffrés utilisés en tant que lecteurs de données amovibles. L’utilisation du chiffrement au niveau matériel permet d’améliorer les performances de fonctionnement des lecteurs sur lesquels des opérations de lecture et d’écriture de données sont fréquentes.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez gérer l’utilisation par BitLocker du chiffrement au niveau matériel sur les lecteurs de données amovibles et spécifier les algorithmes de chiffrement qu’il peut utiliser avec le chiffrement au niveau matériel. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteur de données amovible |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données amovibles |
Conflits |
Aucun |
Lorsqu’il est activé |
Vous pouvez spécifier des options supplémentaires qui déterminent si le chiffrement au niveau logiciel BitLocker est utilisé à la place du chiffrement au niveau matériel sur les ordinateurs ne prenant pas en charge le chiffrement au niveau matériel. Vous pouvez également indiquer si vous voulez restreindre les algorithmes et suites de chiffrement utilisés pour le chiffrement au niveau matériel. |
Lorsqu’il est désactivé |
BitLocker ne peut pas utiliser le chiffrement au niveau matériel avec les lecteurs de données amovibles et le chiffrement au niveau logiciel BitLocker est utilisé par défaut pour chiffrer le lecteur. |
Lorsqu’il n’est pas configuré |
BitLocker utilise le chiffrement au niveau matériel avec l’algorithme de chiffrement défini pour le lecteur. Si le chiffrement au niveau matériel n’est pas disponible, le chiffrement au niveau logiciel BitLocker est utilisé à la place. |
Référence
Si le chiffrement au niveau matériel n’est pas disponible, le chiffrement au niveau logiciel BitLocker est utilisé à la place.
Remarque
Le paramètre de stratégie Sélectionner la méthode et la puissance de chiffrement des lecteurs ne s’applique pas au chiffrement au niveau matériel.
L’algorithme de chiffrement utilisé par le chiffrement au niveau matériel est défini lors du partitionnement du lecteur. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer ce dernier. L’option Restreindre les algorithmes et suites de chiffrement autorisés pour le chiffrement au niveau matériel permet de restreindre les algorithmes de chiffrement utilisables par BitLocker avec le chiffrement au niveau matériel. Si l’algorithme défini pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement au niveau matériel. Les algorithmes de chiffrement sont spécifiés par des identificateurs d’objet (OID), par exemple :
OID AES (Advanced Encryption Standard) 128 en mode CBC (Cipher Block Chaining) : 2.16.840.1.101.3.4.1.2
OID AES 256 en mode CBC : 2.16.840.1.101.3.4.1.42
Appliquer le type de chiffrement de lecteur aux lecteurs de données fixes
Ce paramètre de stratégie permet de spécifier si les lecteurs de données fixes font appel au chiffrement portant uniquement sur l’espace utilisé ou au chiffrement intégral. Par ailleurs, lorsque ce paramètre de stratégie est défini, l’Assistant d’installation de BitLocker ignore la page des options de chiffrement de sorte qu’aucune sélection de chiffrement ne s’affiche pour l’utilisateur.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez configurer le type de chiffrement utilisé par BitLocker. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteur de données fixe |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données fixes |
Conflits |
Aucun |
Lorsqu’il est activé |
Ce paramètre de stratégie définit le type de chiffrement que BitLocker utilise pour chiffrer les lecteurs et le type de chiffrement sélectionné n’est pas affiché dans l’Assistant d’installation de BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
L’Assistant d’installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker. |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement intégral pour que le lecteur entier soit chiffré lors de l’activation de BitLocker. Choisissez le chiffrement portant uniquement sur l’espace utilisé pour que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lors de l’activation de BitLocker.
Remarque
Ce paramètre de stratégie est ignoré lorsque vous réduisez ou étendez un volume et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui fait appel au chiffrement portant uniquement sur l’espace utilisé est étendu, le nouvel espace libre n’est pas effacé comme il le serait avec un lecteur faisant appel au chiffrement intégral. L’utilisateur peut effacer l’espace libre sur un lecteur faisant appel au chiffrement portant uniquement sur l’espace utilisé à l’aide de la commande suivante : manage-bde -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.
Pour plus d’informations sur l’outil de gestion de BitLocker, voir Manage-bde.
Appliquer le type de chiffrement de lecteur aux lecteurs du système d’exploitation
Ce paramètre de stratégie permet de spécifier si les lecteurs de système d’exploitation font appel au chiffrement intégral ou au chiffrement portant uniquement sur l’espace utilisé. Par ailleurs, lorsque ce paramètre de stratégie est défini, l’Assistant d’installation de BitLocker ignore la page des options de chiffrement de sorte qu’aucune sélection de chiffrement ne s’affiche pour l’utilisateur.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez configurer le type de chiffrement utilisé par BitLocker. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteur de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Ce paramètre de stratégie définit le type de chiffrement que BitLocker utilise pour chiffrer les lecteurs et le type de chiffrement sélectionné n’est pas affiché dans l’Assistant d’installation de BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
L’Assistant d’installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker. |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement intégral pour que le lecteur entier soit chiffré lors de l’activation de BitLocker. Choisissez le chiffrement portant uniquement sur l’espace utilisé pour que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lors de l’activation de BitLocker.
Remarque
Ce paramètre de stratégie est ignoré lors de la réduction ou de l’extension d’un volume et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui fait appel au chiffrement portant uniquement sur l’espace utilisé est étendu, le nouvel espace libre n’est pas effacé comme il le serait avec un lecteur faisant appel au chiffrement intégral. L’utilisateur peut effacer l’espace libre sur un lecteur faisant appel au chiffrement portant uniquement sur l’espace utilisé à l’aide de la commande suivante : manage-bde -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.
Pour plus d’informations sur l’outil de gestion de BitLocker, voir Manage-bde.
Appliquer le type de chiffrement de lecteur aux lecteurs de données amovibles
Ce paramètre de stratégie permet de spécifier si les lecteurs de données fixes font appel au chiffrement intégral ou au chiffrement portant uniquement sur l’espace utilisé. Par ailleurs, lorsque ce paramètre de stratégie est défini, l’Assistant d’installation de BitLocker ignore la page des options de chiffrement de sorte qu’aucune sélection de chiffrement ne s’affiche pour l’utilisateur.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez configurer le type de chiffrement utilisé par BitLocker. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteur de données amovible |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données amovibles |
Conflits |
Aucun |
Lorsqu’il est activé |
Ce paramètre de stratégie définit le type de chiffrement que BitLocker utilise pour chiffrer les lecteurs et le type de chiffrement sélectionné n’est pas affiché dans l’Assistant d’installation de BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
L’Assistant d’installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker. |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement intégral pour que le lecteur entier soit chiffré lors de l’activation de BitLocker. Choisissez le chiffrement portant uniquement sur l’espace utilisé pour que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lors de l’activation de BitLocker.
Remarque
Ce paramètre de stratégie est ignoré lors de la réduction ou de l’extension d’un volume et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui fait appel au chiffrement portant uniquement sur l’espace utilisé est étendu, le nouvel espace libre n’est pas effacé comme il le serait avec un lecteur faisant appel au chiffrement intégral. L’utilisateur peut effacer l’espace libre sur un lecteur faisant appel au chiffrement portant uniquement sur l’espace utilisé à l’aide de la commande suivante : manage-bde -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.
Pour plus d’informations sur l’outil de gestion de BitLocker, voir Manage-bde.
Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker
Ce paramètre de stratégie sert à configurer les méthodes de récupération pour les lecteurs de système d’exploitation.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier le mode de récupération des lecteurs de système d’exploitation protégés par BitLocker en l’absence des informations de clé de démarrage requises. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Vous devez interdire l’utilisation de clés de récupération si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker est activé. En cas d’utilisation d’agents de récupération de données, vous devez activer le paramètre de stratégie Fournir les identificateurs uniques de votre organisation. |
Lorsqu’il est activé |
Vous pouvez spécifier les méthodes mises à disposition des utilisateurs pour récupérer les données des lecteurs de système d’exploitation protégés par BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, les agents de récupération de données sont autorisés, l’utilisateur peut définir les options de récupération (y compris le mot de passe et la clé de récupération) et les informations de récupération ne sont pas sauvegardées dans les services de domaine Active Directory (AD DS). |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
La case à cocher Autoriser les agents de récupération de données permet de spécifier si un agent de récupération de données peut être utilisé avec des lecteurs de système d’exploitation protégés par BitLocker. Avant de pouvoir être utilisé, l’agent de récupération de données doit être ajouté à partir de l’élément Stratégies de clé publique, situé dans la Console de gestion des stratégies de groupe (GPMC) ou l’Éditeur de stratégie de groupe locale.
Pour plus d’informations sur l’ajout d’agents de récupération de données, voir Déploiement de base de BitLocker.
Dans Configurer le stockage par les utilisateurs des informations de récupération BitLocker, choisissez si la génération d’un mot de passe de récupération de 48 chiffres est autorisée, exigée ou interdite.
Sélectionnez Supprimer les options de configuration de l’Assistant d’installation de BitLocker pour empêcher les utilisateurs de spécifier les options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne pouvez pas indiquer les options de récupération à utiliser lorsque vous activez BitLocker. Au lieu de cela, les options de récupération BitLocker pour le lecteur sont définies par le paramètre de stratégie.
Dans Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory, sélectionnez les informations de récupération BitLocker à stocker dans les services de domaine Active Directory (AD DS) pour les lecteurs de système d’exploitation. Si vous sélectionnez Sauvegarder les mots de passe de récupération et les packages de clés, le mot de passe de récupération et le package de clé BitLocker sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur physiquement endommagé. Si vous sélectionnez Sauvegarder les mots de passe de récupération uniquement, seul le mot de passe de récupération est stocké dans AD DS.
Cochez la case N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d’exploitation pour empêcher les utilisateurs d’activer BitLocker tant que l’ordinateur n’est pas connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS n’a pas abouti.
Remarque
Si la case N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d’exploitation est cochée, un mot de passe de récupération est généré automatiquement.
Sélectionner la méthode de récupération des lecteurs protégés par BitLocker (Windows Server 2008 et Windows Vista)
Ce paramètre de stratégie sert à configurer les méthodes de récupération pour les lecteurs protégés par BitLocker sur les ordinateurs exécutant Windows Server 2008 ou Windows Vista.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez définir si l’Assistant d’installation de BitLocker peut afficher et spécifier les options de récupération BitLocker. |
Introduit dans |
Windows Server 2008 et Windows Vista |
Type de lecteur |
Lecteurs de système d’exploitation et lecteurs de données fixes sur les ordinateurs exécutant Windows Server 2008 et Windows Vista |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker |
Conflits |
Ce paramètre de stratégie fournit une méthode d’administration pour la récupération des données chiffrées par BitLocker afin d’éviter la perte de données due à l’absence des informations de clé. Si vous choisissez l’option Ne pas autoriser pour les deux options de récupération utilisateur, vous devez activer le paramètre de stratégie Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (Windows Server 2008 et Windows Vista) pour empêcher qu’une erreur de stratégie ne se produise. |
Lorsqu’il est activé |
Vous pouvez configurer les options proposées aux utilisateurs par l’Assistant d’installation de BitLocker pour la récupération des données chiffrées par BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
L’Assistant d’installation de BitLocker propose aux utilisateurs des moyens de stocker les options de récupération. |
Référence
Ce paramètre de stratégie s’applique uniquement aux ordinateurs exécutant Windows Server 2008 ou Windows Vista. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Deux options de récupération peuvent être utilisées pour déverrouiller des données chiffrées par BitLocker en l’absence des informations de clé de démarrage requises : les utilisateurs peuvent entrer un mot de passe de récupération numérique composé de 48 chiffres ou insérer un lecteur USB contenant une clé de récupération de 256 bits.
En cas d’enregistrement sur un lecteur USB, le mot de passe de récupération de 48 chiffres est stocké sous forme de fichier texte et la clé de récupération de 256 bits en tant que fichier caché. En cas d’enregistrement dans un dossier, le mot de passe de récupération de 48 chiffres est stocké sous forme de fichier texte. L’impression du mot de passe de récupération de 48 chiffres l’envoie vers l’imprimante par défaut. Par exemple, la désactivation du mot de passe de récupération de 48 chiffres empêche les utilisateurs d’imprimer ou d’enregistrer les informations de récupération dans un dossier.
Important
Si le TPM est initialisé pendant la configuration de BitLocker, les informations sur le propriétaire du TPM sont enregistrées ou imprimées avec les informations de récupération BitLocker.
Le mot de passe de récupération de 48 chiffres n’est pas disponible en mode de conformité FIPS.
Important
Pour empêcher toute perte de données, vous devez disposer d’un moyen pour récupérer les clés de chiffrement BitLocker. Si vous n’autorisez pas les deux options de récupération, vous devez activer la sauvegarde des informations de récupération BitLocker dans AD DS. Sinon, une erreur de stratégie se produit.
Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (Windows Server 2008 et Windows Vista)
Ce paramètre de stratégie sert à configurer le stockage des informations de récupération BitLocker dans AD DS. Cela permet de disposer d’une méthode d’administration pour la récupération des données chiffrées par BitLocker afin d’éviter la perte de données due à l’absence des informations de clé.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez gérer la sauvegarde des informations de récupération du chiffrement de lecteur BitLocker dans AD DS. |
Introduit dans |
Windows Server 2008 et Windows Vista |
Type de lecteur |
Lecteurs de système d’exploitation et lecteurs de données fixes sur les ordinateurs exécutant Windows Server 2008 et Windows Vista |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker |
Conflits |
Aucun |
Lorsqu’il est activé |
Les informations de récupération BitLocker sont sauvegardées automatiquement et silencieusement dans AD DS quand BitLocker est activé pour un ordinateur. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les informations de récupération BitLocker ne sont pas sauvegardées dans AD DS. |
Référence
Ce paramètre de stratégie s’applique uniquement aux ordinateurs exécutant Windows Server 2008 ou Windows Vista.
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Les informations de récupération BitLocker incluent le mot de passe de récupération et des données d’identificateur unique. Vous pouvez également inclure un package contenant une clé de chiffrement du lecteur protégé par BitLocker. Ce package de clé est sécurisé par un ou plusieurs mots de passe de récupération et peut aider à effectuer une récupération spécialisée quand le disque est endommagé ou altéré.
Si vous sélectionnez Requérir la sauvegarde BitLocker vers les services de domaine Active Directory (AD DS), BitLocker ne peut pas être activé tant que l’ordinateur n’est pas connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS n’a pas abouti. Cette option est sélectionnée par défaut de façon à garantir que la récupération BitLocker est possible.
Un mot de passe de récupération est un numéro de 48 chiffres qui déverrouille l’accès à un lecteur protégé par BitLocker. Un package de clé contient une clé de chiffrement BitLocker pour le lecteur, sécurisée par un ou plusieurs mots de passe de récupération Les packages de clés aident à réaliser des récupérations spécialisées en cas d’endommagement du disque.
Si l’option Requérir la sauvegarde BitLocker vers les services de domaine Active Directory (AD DS) n’est pas sélectionnée, le système tente d’effectuer la sauvegarde dans AD DS, mais les erreurs de sauvegarde réseau ou autres n’empêchent pas la configuration de BitLocker. La tentative de sauvegarde n’est pas automatiquement renouvelée et il se peut que le mot de passe de récupération ne soit pas stocké dans AD DS pendant la configuration de BitLocker.
L’initialisation du TPM peut être nécessaire lors de la configuration de BitLocker. Activez le paramètre de stratégie Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory (AD DS) dans Configuration ordinateur\Modèles d’administration\Système\Services de module de plateforme sécurisée pour faire en sorte que les informations du TPM soient également sauvegardées.
Pour plus d’informations sur ce paramètre, voir Paramètres de stratégie de groupe de module de plateforme sécurisée (TPM).
Si vous utilisez des contrôleurs de domaine exécutant Windows Server 2003 avec Service Pack 1, vous devez d’abord configurer les extensions de schéma et les paramètres de contrôle d’accès appropriés sur le domaine pour qu’une sauvegarde dans AD DS puisse aboutir. Pour plus d’informations, voir Sauvegarder les informations de récupération du Module de plateforme sécurisée (TPM) dans AD DS.
Sélectionner le dossier par défaut d’enregistrement du mot de passe de récupération
Ce paramètre de stratégie permet de configurer le dossier par défaut pour les mots de passe de récupération.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier le chemin d’accès par défaut qui s’affiche lorsque l’Assistant d’installation de BitLocker invite l’utilisateur à indiquer l’emplacement du dossier dans lequel enregistrer le mot de passe de récupération. |
Introduit dans |
Windows Vista |
Type de lecteur |
Tous les lecteurs |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker |
Conflits |
Aucun |
Lorsqu’il est activé |
Vous pouvez spécifier le chemin d’accès à utiliser en tant qu’emplacement de dossier par défaut lorsque l’utilisateur choisit d’enregistrer le mot de passe de récupération dans un dossier. Vous pouvez spécifier un chemin d’accès complet ou inclure les variables d’environnement de l’ordinateur cible dans le chemin d’accès. Si le chemin d’accès n’est pas valide, l’Assistant d’installation de BitLocker affiche la vue du dossier de niveau supérieur de l’ordinateur. |
Lorsqu’il est désactivé ou n’est pas configuré |
L’Assistant d’installation de BitLocker affiche la vue du dossier de niveau supérieur de l’ordinateur quand l’utilisateur choisit d’enregistrer le mot de passe de récupération dans un dossier. |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Remarque
Ce paramètre de stratégie n’empêche pas l’utilisateur d’enregistrer le mot de passe de récupération dans un autre dossier.
Sélectionner la méthode de récupération des lecteurs fixes protégés par BitLocker
Ce paramètre de stratégie sert à configurer les méthodes de récupération pour les lecteurs de données fixes.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier le mode de récupération des lecteurs de données fixes protégés par BitLocker en l’absence des informations d’identification requises. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données fixes |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données fixes |
Conflits |
Vous devez interdire l’utilisation de clés de récupération si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker est activé. En cas d’utilisation d’agents de récupération de données, vous devez activer et configurer le paramètre de stratégie Fournir les identificateurs uniques de votre organisation. |
Lorsqu’il est activé |
Vous pouvez spécifier les méthodes mises à disposition des utilisateurs pour récupérer les données des lecteurs de données fixes protégés par BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, les agents de récupération de données sont autorisés, l’utilisateur peut définir les options de récupération (y compris le mot de passe et la clé de récupération) et les informations de récupération ne sont pas sauvegardées dans les services de domaine Active Directory (AD DS). |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
La case à cocher Autoriser les agents de récupération de données permet de spécifier si un agent de récupération de données peut être utilisé avec des lecteurs de données fixes protégés par BitLocker. Avant de pouvoir être utilisé, l’agent de récupération de données doit être ajouté à partir de l’élément Stratégies de clé publique, situé dans la Console de gestion des stratégies de groupe (GPMC) ou l’Éditeur de stratégie de groupe locale.
Dans Configurer le stockage par les utilisateurs des informations de récupération BitLocker, choisissez si la génération d’un mot de passe de récupération de 48 chiffres ou d’une clé de récupération de 256 bits est autorisée, exigée ou interdite.
Sélectionnez Supprimer les options de configuration de l’Assistant d’installation de BitLocker pour empêcher les utilisateurs de spécifier les options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne pouvez pas indiquer les options de récupération à utiliser lorsque vous activez BitLocker. Au lieu de cela, les options de récupération BitLocker pour le lecteur sont définies par le paramètre de stratégie.
Dans Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory, sélectionnez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de données fixes. Si vous sélectionnez Sauvegarder les mots de passe de récupération et les packages de clés, le mot de passe de récupération et le package de clé BitLocker sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur physiquement endommagé. Pour récupérer ces données, vous pouvez utiliser l’outil de ligne de commande Repair-bde. Si vous sélectionnez Sauvegarder les mots de passe de récupération uniquement, seul le mot de passe de récupération est stocké dans AD DS.
Pour plus d’informations sur l’outil de réparation BitLocker, voir Repair-bde.
Cochez la case N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs de données fixes pour empêcher les utilisateurs d’activer BitLocker tant que l’ordinateur n’est pas connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS n’a pas abouti.
Remarque
Si la case N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs de données fixes est cochée, un mot de passe de récupération est généré automatiquement.
Sélectionner la méthode de récupération des lecteurs amovibles protégés par BitLocker
Ce paramètre de stratégie sert à configurer les méthodes de récupération pour les lecteurs de données amovibles.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier le mode de récupération des lecteurs de données amovibles protégés par BitLocker en l’absence des informations d’identification requises. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données amovibles |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données amovibles |
Conflits |
Vous devez interdire l’utilisation de clés de récupération si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker est activé. En cas d’utilisation d’agents de récupération de données, vous devez activer et configurer le paramètre de stratégie Fournir les identificateurs uniques de votre organisation. |
Lorsqu’il est activé |
Vous pouvez spécifier les méthodes mises à disposition des utilisateurs pour récupérer les données des lecteurs de données amovibles protégés par BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, les agents de récupération de données sont autorisés, l’utilisateur peut définir les options de récupération (y compris le mot de passe et la clé de récupération) et les informations de récupération ne sont pas sauvegardées dans les services de domaine Active Directory (AD DS). |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
La case à cocher Autoriser les agents de récupération de données permet de spécifier si un agent de récupération de données peut être utilisé avec des lecteurs de données amovibles protégés par BitLocker. Avant de pouvoir être utilisé, l’agent de récupération de données doit être ajouté à partir de l’élément Stratégies de clé publique, accessible depuis la console GPMC ou l’Éditeur de stratégie de groupe locale.
Dans Configurer le stockage par les utilisateurs des informations de récupération BitLocker, choisissez si la génération d’un mot de passe de récupération de 48 chiffres est autorisée, exigée ou interdite.
Sélectionnez Supprimer les options de configuration de l’Assistant d’installation de BitLocker pour empêcher les utilisateurs de spécifier les options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne pouvez pas indiquer les options de récupération à utiliser lorsque vous activez BitLocker. Au lieu de cela, les options de récupération BitLocker pour le lecteur sont définies par le paramètre de stratégie.
Dans Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory, sélectionnez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de données amovibles. Si vous sélectionnez Sauvegarder les mots de passe de récupération et les packages de clés, le mot de passe de récupération et le package de clé BitLocker sont stockés dans AD DS. Si vous sélectionnez Sauvegarder les mots de passe de récupération uniquement, seul le mot de passe de récupération est stocké dans AD DS.
Cochez la case N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs de données amovibles pour empêcher les utilisateurs d’activer BitLocker tant que l’ordinateur n’est pas connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS n’a pas abouti.
Remarque
Si la case N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs de données fixes est cochée, un mot de passe de récupération est généré automatiquement.
Configurer le message de récupération préalable au démarrage et l’URL
Ce paramètre de stratégie permet de configurer l’intégralité du message de récupération et de remplacer l’URL existante qui s’affiche dans l’écran de récupération préalable au démarrage lorsque le lecteur du système d’exploitation est verrouillé.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez configurer l’écran de récupération BitLocker de manière à afficher un message et une URL personnalisés. |
Introduit dans |
Windows 10 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation\Configurer le message de récupération préalable au démarrage et l’URL |
Conflits |
Aucun |
Lorsqu’il est activé |
Le message et l’URL personnalisés sont affichés dans l’écran de récupération préalable au démarrage. Si vous avez activé un message et une URL de récupération personnalisés précédemment et souhaitez rétablir le message et l’URL par défaut, vous devez conserver le paramètre de stratégie activé et sélectionner l’option Utiliser le message de récupération et l’URL par défaut. |
Lorsqu’il est désactivé ou n’est pas configuré |
Si le paramètre n’a pas été activé précédemment, l’écran de récupération préalable au démarrage par défaut est affiché pour la récupération BitLocker. Si le paramètre a été activé précédemment et est désactivé par la suite, le dernier message des données de configuration de démarrage (BCD) est affiché, qu’il s’agisse du message de récupération par défaut ou du message personnalisé. |
Référence
L’activation du paramètre de stratégie Configurer le message de récupération préalable au démarrage et l’URL vous permet de personnaliser le message et l’URL de l’écran de récupération pour aider les clients à récupérer leur clé.
Une fois le paramètre activé, trois options s’offrent à vous :
Si vous sélectionnez l’option Utiliser le message de récupération et l’URL par défaut, le message et l’URL de récupération BitLocker par défaut seront affichés dans l’écran de récupération préalable au démarrage.
Si vous sélectionnez l’option Utiliser le message de récupération personnalisé, tapez le message personnalisé dans la zone de texte Option de message de récupération personnalisé. Le message que vous tapez dans la zone de texte Option de message de récupération personnalisé sera affiché dans l’écran de récupération préalable au démarrage. Si une URL de récupération est disponible, incluez-la dans le message.
Si vous sélectionnez l’option Utiliser l’URL de récupération personnalisée, tapez l’URL personnalisée dans la zone de texte Option d’URL de récupération personnalisée. L’URL que vous tapez dans la zone de texte Option d’URL de récupération personnalisée remplace l’URL par défaut dans le message de récupération qui sera affiché dans l’écran de récupération préalable au démarrage.
Important
Un certain nombre de caractères et de langues ne sont pas pris en charge dans l’environnement de prédémarrage. Il est vivement recommandé de vérifier que les caractères utilisés pour le message et l’URL personnalisés s’affichent correctement dans l’écran de récupération préalable au démarrage.
Important
Dans la mesure où vous pouvez modifier manuellement les commandes BCDEdit avant d’avoir défini les paramètres de stratégie de groupe, vous ne pouvez pas rétablir la valeur par défaut du paramètre de stratégie en sélectionnant l’option Non configuré après avoir configuré ce paramètre de stratégie. Pour revenir à l’écran de récupération préalable au démarrage par défaut, laissez le paramètre de stratégie activé et sélectionnez l’option Utiliser le message par défaut dans la zone de liste déroulante Choisir une option pour le message de récupération préalable au démarrage.
Autoriser le démarrage sécurisé pour la validation de l’intégrité
Ce paramètre de stratégie permet de définir la manière dont les volumes sur lesquels BitLocker est activé sont gérés conjointement avec la fonctionnalité de démarrage sécurisé. L’activation de cette fonctionnalité force la validation via le démarrage sécurisé au cours du processus de démarrage et entraîne la vérification des paramètres des données de configuration de démarrage (BCD) en fonction de la stratégie de démarrage sécurisé.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si le démarrage sécurisé est autorisé comme fournisseur d’intégrité de plateforme pour les lecteurs du système d’exploitation protégés par BitLocker. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Tous les lecteurs |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Si le paramètre de stratégie de groupe Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif est activé et si le registre de configuration de plateforme (PCR) 7 est omis, BitLocker ne peut pas utiliser le démarrage sécurisé pour la validation de l’intégrité de la plateforme et des paramètres BCD. Pour plus d’informations sur le PCR 7, voir Registre de configuration de plateforme (PCR) dans cette rubrique. |
Lorsqu’il est activé ou n’est pas configuré |
BitLocker utilise le démarrage sécurisé pour la validation de l’intégrité de la plateforme si la plateforme prend en charge la validation de l’intégrité avec le démarrage sécurisé. |
Lorsqu’il est désactivé |
BitLocker utilise la validation de l’intégrité de la plateforme héritée, même sur les systèmes prenant en charge la validation de l’intégrité avec le démarrage sécurisé. |
Référence
Le démarrage sécurisé garantit que l’environnement préalable au démarrage de l’ordinateur charge uniquement les microprogrammes signés numériquement par les éditeurs de logiciels autorisés. Le démarrage sécurisé offre par ailleurs davantage de flexibilité pour gérer les configurations préalables au démarrage que les vérifications d’intégrité BitLocker antérieures à Windows Server 2012 et Windows 8.
Lorsque ce paramètre de stratégie est activé et que le matériel prend en charge l’utilisation du démarrage sécurisé pour les scénarios BitLocker, le paramètre de stratégie de groupe Utiliser un profil amélioré de validation des données de configuration de démarrage est ignoré et le démarrage sécurisé vérifie les paramètres BCD en fonction du paramètre de stratégie de démarrage sécurisé, qui est configuré en dehors de BitLocker.
Avertissement
L’activation de cette stratégie peut entraîner la récupération BitLocker lors de la mise à jour du microprogramme spécifique d’un fabricant. Si vous désactivez cette stratégie, suspendez BitLocker avant d’appliquer les mises à jour de microprogramme.
Fournir les identificateurs uniques de votre organisation
Ce paramètre de stratégie permet d’établir un identificateur qui est appliqué à tous les lecteurs chiffrés dans votre organisation.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez associer des identificateurs d’organisation uniques à un nouveau lecteur sur lequel BitLocker est activé. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Tous les lecteurs |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker |
Conflits |
Des champs d’identification sont nécessaires pour gérer les agents de récupération de données basés sur des certificats sur les lecteurs protégés par BitLocker. BitLocker ne gère et ne met à jour les agents de récupération de données basés sur des certificats que si le champ d’identification est présent sur un lecteur et s’il est identique à la valeur configurée sur l’ordinateur. |
Lorsqu’il est activé |
Vous pouvez configurer le champ d’identification du lecteur protégé par BitLocker et tout champ d’identification autorisée utilisé par votre organisation. |
Lorsqu’il est désactivé ou n’est pas configuré |
Le champ d’identification n’est pas requis. |
Référence
Ces identificateurs sont stockés dans les champs d’identification et d’identification autorisée. Le champ d’identification vous permet d’associer un identificateur d’organisation unique aux lecteurs protégés par BitLocker. Cet identificateur est automatiquement ajouté aux nouveaux lecteurs protégés par BitLocker et peut être mis à jour pour les lecteurs protégés par BitLocker existants à l’aide de l’outil de ligne de commande manage-bde.
Un champ d’identification est nécessaire pour gérer les agents de récupération basés sur des certificats sur les lecteurs protégés par BitLocker et pour les éventuelles mises à jour du lecteur BitLocker To Go. BitLocker ne gère et ne met à jour les agents de récupération de données que si le champ d’identification du lecteur correspond à la valeur configurée dans le champ d’identification. Il en va de même pour la mise à jour du lecteur BitLocker To Go.
Pour plus d’informations sur l’outil de gestion de BitLocker, voir Manage-bde.
Le champ d’identification autorisée est utilisé en association avec le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker pour vous aider à contrôler l’utilisation des lecteurs amovibles dans votre organisation. Il s’agit d’une liste séparée par des virgules répertoriant les champs d’identification de votre organisation ou d’organisations externes.
Vous pouvez configurer les champs d’identification des lecteurs existants à l’aide de l’outil de ligne de commande manage-bde.
Lorsqu’un lecteur protégé par BitLocker est monté sur un autre ordinateur sur lequel BitLocker est activé, les champs d’identification et d’identification autorisée sont utilisés pour déterminer si le lecteur provient d’une organisation externe.
Il est possible de saisir plusieurs valeurs séparées par des virgules dans les champs d’identification et d’identification autorisée. Le champ d’identification peut présenter n’importe quelle valeur de 260 caractères maximum.
Empêcher le remplacement des données en mémoire au redémarrage
Ce paramètre de stratégie permet de spécifier si les données en mémoire de l’ordinateur seront remplacées lors du prochain redémarrage.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez gérer les performances de redémarrage de l’ordinateur, au risque de révéler les secrets BitLocker. |
Introduit dans |
Windows Vista |
Type de lecteur |
Tous les lecteurs |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker |
Conflits |
Aucun |
Lorsqu’il est activé |
L’ordinateur ne remplace pas la mémoire lors du redémarrage. Empêcher le remplacement des données en mémoire peut améliorer les performances de redémarrage, mais augmente le risque de révéler les secrets BitLocker. |
Lorsqu’il est désactivé ou n’est pas configuré |
Les secrets BitLocker sont supprimés de la mémoire lorsque l’ordinateur redémarre. |
Référence
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Les secrets BitLocker incluent le matériel de clé utilisé pour chiffrer les données. Ce paramètre de stratégie s’applique uniquement lorsque la protection BitLocker est activée.
Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme BIOS
Ce paramètre de stratégie permet de définir les valeurs mesurées par le TPM pour valider les premiers composants de démarrage avant le déverrouillage d’un lecteur de système d’exploitation sur un ordinateur présentant une configuration BIOS ou un microprogramme UEFI avec le module de prise en charge de compatibilité (CSM) activé.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez configurer la façon dont le matériel de sécurité du TPM de l’ordinateur sécurise la clé de chiffrement BitLocker. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Vous pouvez configurer les composants de démarrage validés par le TPM avant le déverrouillage de l’accès au lecteur de système d’exploitation chiffré par BitLocker. Si l’un de ces composants est modifié alors que la protection BitLocker est activée, le TPM ne libère pas la clé de chiffrement pour déverrouiller le lecteur. Au lieu de cela, l’ordinateur affiche la console de récupération BitLocker et exige la saisie du mot de passe ou de la clé de récupération pour déverrouiller le lecteur. |
Lorsqu’il est désactivé ou n’est pas configuré |
Le TPM utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation. |
Référence
Ce paramètre de stratégie ne s’applique pas si l’ordinateur ne dispose pas d’un TPM compatible ou si BitLocker est déjà activé avec la protection du TPM.
Important
Ce paramètre de stratégie de groupe s’applique uniquement aux ordinateurs présentant une configuration BIOS ou un microprogramme UEFI avec le CSM activé. Les ordinateurs qui utilisent une configuration de microprogramme UEFI native stockent des valeurs différentes dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie de groupe Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif pour configurer le profil PCR du TPM pour les ordinateurs utilisant un microprogramme UEFI natif.
Un profil de validation de plateforme se compose d’un ensemble d’index de PCR allant de 0 à 23. Le profil de validation de plateforme par défaut protège la clé de chiffrement contre les modifications apportées aux éléments suivants :
CRTM (Core Root of Trust of Measurement), BIOS et extensions de plateforme (PCR 0)
Code de ROM en option (PCR 2)
Code d’enregistrement de démarrage principal (MBR) (PCR 4)
Secteur d’amorçage NTFS (PCR 8)
Bloc d’amorçage NTFS (PCR 9)
Gestionnaire de démarrage (PCR 10)
Contrôle d’accès BitLocker (PCR 11)
Remarque
La modification du profil par défaut affecte la sécurité et la gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) augmente ou diminue en fonction de l’inclusion ou de l’exclusion (respectivement) des PCR.
La liste suivante identifie l’ensemble des PCR disponibles :
PCR 0 : CRTM (Core Root of Trust of Measurement), BIOS et extensions de plateforme
PCR 1 : Configuration et données de plateforme et de carte mère
PCR 2 : Code de ROM en option
PCR 3 : Données et configuration de ROM en option
PCR 4 : Code d’enregistrement de démarrage principal (MBR)
PCR 5 : Table de partition d’enregistrement de démarrage principal (MBR)
PCR 6 : Événements de transition d’état et de sortie de veille
PCR 7 : Spécificité du fabricant de l’ordinateur
PCR 8 : Secteur d’amorçage NTFS
PCR 9 : Bloc d’amorçage NTFS
PCR 10 : Gestionnaire de démarrage
PCR 11 : Contrôle d’accès BitLocker
PCR 12-23 : Réservés pour une utilisation ultérieure
Configurer le profil de validation de plateforme du module de plateforme sécurisée (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Ce paramètre de stratégie permet de définir les valeurs mesurées par le TPM pour valider les premiers composants de démarrage avant le déverrouillage d’un lecteur sur un ordinateur exécutant Windows Vista, Windows Server 2008 ou Windows 7.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez configurer la façon dont le matériel de sécurité du TPM de l’ordinateur sécurise la clé de chiffrement BitLocker. |
Introduit dans |
Windows Server 2008 et Windows Vista |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Vous pouvez configurer les composants de démarrage validés par le TPM avant le déverrouillage de l’accès au lecteur de système d’exploitation chiffré par BitLocker. Si l’un de ces composants est modifié alors que la protection BitLocker est activée, le TPM ne libère pas la clé de chiffrement pour déverrouiller le lecteur. Au lieu de cela, l’ordinateur affiche la console de récupération BitLocker et exige la saisie du mot de passe ou de la clé de récupération pour déverrouiller le lecteur. |
Lorsqu’il est désactivé ou n’est pas configuré |
Le TPM utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation. |
Référence
Ce paramètre de stratégie ne s’applique pas si l’ordinateur ne dispose pas d’un TPM compatible ou si BitLocker est déjà activé avec la protection du TPM.
Un profil de validation de plateforme se compose d’un ensemble d’index de PCR allant de 0 à 23. Le profil de validation de plateforme par défaut protège la clé de chiffrement contre les modifications apportées aux éléments suivants :
CRTM (Core Root of Trust of Measurement), BIOS et extensions de plateforme (PCR 0)
Code de ROM en option (PCR 2)
Code d’enregistrement de démarrage principal (MBR) (PCR 4)
Secteur d’amorçage NTFS (PCR 8)
Bloc d’amorçage NTFS (PCR 9)
Gestionnaire de démarrage (PCR 10)
Contrôle d’accès BitLocker (PCR 11)
Remarque
Les paramètres de PCR par défaut du profil de validation du TPM pour les ordinateurs qui utilisent une interface EFI (Extensible Firmware Interface) sont les PCR 0, 2, 4 et 11 uniquement.
La liste suivante identifie l’ensemble des PCR disponibles :
PCR 0 : CRTM (Core Root of Trust of Measurement), services d’amorçage et d’exécution EFI, pilotes EFI intégrés à la ROM du système, tables ACPI statiques, code SMM intégré et code du BIOS
PCR 1 : Configuration et données de plateforme et de carte mère. Tables de relais et variables EFI qui affectent la configuration système
PCR 2 : Code de ROM en option
PCR 3 : Données et configuration de ROM en option
PCR 4 : Code d’enregistrement de démarrage principal (MBR) ou code d’autres périphériques de démarrage
PCR 5 : Table de partition d’enregistrement de démarrage principal (MBR). Variables EFI diverses et table GPT
PCR 6 : Événements de transition d’état et de sortie de veille
PCR 7 : Spécificité du fabricant de l’ordinateur
PCR 8 : Secteur d’amorçage NTFS
PCR 9 : Bloc d’amorçage NTFS
PCR 10 : Gestionnaire de démarrage
PCR 11 : Contrôle d’accès BitLocker
PCR 12-23 : Réservés pour une utilisation ultérieure
Avertissement
La modification du profil par défaut affecte la sécurité et la gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) augmente ou diminue en fonction de l’inclusion ou de l’exclusion (respectivement) des PCR.
Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif
Ce paramètre de stratégie permet de définir les valeurs mesurées par le TPM pour valider les premiers composants de démarrage avant le déverrouillage d’un lecteur de système d’exploitation sur un ordinateur utilisant une configuration de microprogramme UEFI native.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez configurer la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l’ordinateur sécurise la clé de chiffrement BitLocker. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Le fait de configurer ce paramètre de stratégie en omettant le PCR 7 entraîne le remplacement du paramètre de stratégie de groupe Autoriser le démarrage sécurisé pour la validation de l’intégrité, empêchant ainsi BitLocker d’utiliser le démarrage sécurisé pour la validation de l’intégrité de la plateforme ou des données de configuration de démarrage. Si vos environnements utilisent le TPM et le démarrage sécurisé pour les vérifications de l’intégrité de la plateforme, ce paramètre de stratégie ne doit pas être configuré. Pour plus d’informations sur le PCR 7, voir Registre de configuration de plateforme (PCR) dans cette rubrique. |
Lorsqu’il est activé |
Avant d’activer BitLocker, vous pouvez configurer les composants de démarrage validés par le TPM avant le déverrouillage de l’accès au lecteur de système d’exploitation chiffré par BitLocker. Si l’un de ces composants est modifié alors que la protection BitLocker est activée, le TPM ne libère pas la clé de chiffrement pour déverrouiller le lecteur. Au lieu de cela, l’ordinateur affiche la console de récupération BitLocker et exige la saisie du mot de passe ou de la clé de récupération pour déverrouiller le lecteur. |
Lorsqu’il est désactivé ou n’est pas configuré |
BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation. |
Référence
Ce paramètre de stratégie ne s’applique pas si l’ordinateur ne dispose pas d’un TPM compatible ou si BitLocker est déjà activé avec la protection du TPM.
Important
Ce paramètre de stratégie de groupe s’applique uniquement aux ordinateurs présentant une configuration de microprogramme UEFI native. Les ordinateurs équipés d’un microprogramme BIOS ou UEFI avec un module de prise en charge de compatibilité activé stockent des valeurs différentes dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie de groupe Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme BIOS pour configurer le profil PCR du TPM pour les ordinateurs présentant une configuration BIOS ou utilisant un microprogramme UEFI natif avec un module de prise en charge de compatibilité activé.
Un profil de validation de plateforme se compose d’un ensemble d’index de registre de configuration de plateforme (PCR) allant de 0 à 23. Le profil de validation de plateforme par défaut protège la clé de chiffrement contre les modifications du code exécutable du microprogramme du système noyau (PCR 0), du code exécutable étendu ou enfichable (PCR 2), du gestionnaire de démarrage (PCR 4) et du contrôle d’accès BitLocker (PCR 11).
La liste suivante identifie l’ensemble des PCR disponibles :
PCR 0 : Code exécutable du microprogramme du système noyau
PCR 1 : Données du microprogramme du système noyau
PCR 2 : Code exécutable étendu ou enfichable
PCR 3 : Données du microprogramme étendu ou enfichable
PCR 4 : Gestionnaire de démarrage
PCR 5 : GPT/Table de partition
PCR 6 : Reprendre à partir des événements d’alimentation S4 et S5
PCR 7 : État du démarrage sécurisé
Pour plus d’informations sur ce PCR, voir Registre de configuration de plateforme (PCR) dans cette rubrique.
PCR 8 : Initialisé à 0 sans extension (réservé pour une utilisation ultérieure)
PCR 9 : Initialisé à 0 sans extension (réservé pour une utilisation ultérieure)
PCR 10 : Initialisé à 0 sans extension (réservé pour une utilisation ultérieure)
PCR 11 : Contrôle d’accès BitLocker
PCR 12 : Événements de données et événements fortement volatiles
PCR 13 : Détails du module de démarrage
PCR 14 : Autorités de démarrage
PCR 15-23 : Réservés pour une utilisation ultérieure
Avertissement
La modification du profil par défaut affecte la sécurité et la gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) augmente ou diminue en fonction de l’inclusion ou de l’exclusion (respectivement) des PCR.
Réinitialiser les données de validation de plateforme après une récupération BitLocker
Ce paramètre de stratégie permet d’indiquer si vous voulez que les données de validation de plateforme soient actualisées lors du démarrage de Windows après une récupération BitLocker. Un profil de données de validation de plateforme se compose des valeurs d’un ensemble d’index de registre de configuration de plateforme (PCR) allant de 0 à 23.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si les données de validation de plateforme doivent être réinitialisées lors du démarrage de Windows après une récupération BitLocker. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Aucun |
Lorsqu’il est activé |
Les données de validation de plateforme sont actualisées lors du démarrage de Windows après une récupération BitLocker. |
Lorsqu’il est désactivé |
Les données de validation de plateforme ne sont pas actualisées lors du démarrage de Windows après une récupération BitLocker. |
Lorsqu’il n’est pas configuré |
Les données de validation de plateforme sont actualisées lors du démarrage de Windows après une récupération BitLocker. |
Référence
Pour plus d’informations sur le processus de récupération, voir le Guide de récupération BitLocker.
Utiliser un profil amélioré de validation des données de configuration de démarrage
Ce paramètre de stratégie permet d’indiquer les paramètres de données de configuration de démarrage (BCD) spécifiques à vérifier pendant la validation de plateforme. Une validation de plateforme exploite les données du profil de validation de plateforme, qui se compose d’un ensemble d’index de registre de configuration de plateforme (PCR) allant de 0 à 23.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier les paramètres de données de configuration de démarrage (BCD) à vérifier pendant la validation de plateforme. |
Introduit dans |
Windows Server 2012 et Windows 8 |
Type de lecteur |
Lecteurs de système d’exploitation |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation |
Conflits |
Lorsque BitLocker utilise le démarrage sécurisé pour la validation de l’intégrité de la plateforme et des paramètres BCD, le paramètre de stratégie de groupe Utiliser un profil amélioré de validation des données de configuration de démarrage est ignoré (comme indiqué par le paramètre de stratégie de groupe Autoriser le démarrage sécurisé pour la validation de l’intégrité). |
Lorsqu’il est activé |
Vous pouvez ajouter des paramètres BCD supplémentaires, exclure des paramètres BCD spécifiques ou associer des listes d’inclusions et d’exclusions pour créer un profil de validation BCD personnalisé, qui vous permet de vérifier ces paramètres BCD. |
Lorsqu’il est désactivé |
L’ordinateur revient à un profil de validation BCD similaire au profil BCD par défaut utilisé par Windows 7. |
Lorsqu’il n’est pas configuré |
L’ordinateur vérifie les paramètres BCD par défaut dans Windows. |
Référence
Remarque
Le paramètre qui contrôle le débogage de démarrage (0x16000010) est toujours validé et n’a aucun effet s’il est inclus dans la liste d’inclusions ou d’exclusions.
Autoriser l’accès aux lecteurs de données fixes protégés par BitLocker à partir de versions antérieures de Windows
Ce paramètre de stratégie permet d’indiquer si l’accès aux lecteurs est autorisé à l’aide du lecteur BitLocker To Go et si l’application est installée sur le lecteur.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si les lecteurs de données fixes formatés avec le système de fichiers FAT peuvent être déverrouillés et affichés sur les ordinateurs exécutant Windows Vista, Windows XP avec Service Pack 3 (SP3) ou Windows XP avec Service Pack 2 (SP2). |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données fixes |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données fixes |
Conflits |
Aucun |
Lorsqu’il est activé et lorsqu’il n’est pas configuré |
Les lecteurs de données fixes formatés avec le système de fichiers FAT peuvent être déverrouillés sur les ordinateurs exécutant Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2 et leur contenu peut être affiché. Ces systèmes d’exploitation offrent un accès en lecture seule aux lecteurs protégés par BitLocker. |
Lorsqu’il est désactivé |
Les lecteurs de données fixes formatés avec le système de fichiers FAT et protégés par BitLocker ne peuvent pas être déverrouillés sur les ordinateurs exécutant Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Le lecteur BitLocker To Go (bitlockertogo.exe) n’est pas installé. |
Référence
Remarque
Ce paramètre de stratégie ne s’applique pas aux lecteurs qui sont formatés avec le système de fichiers NTFS.
Lorsque ce paramètre de stratégie est activé, cochez la case Ne pas installer l’utilitaire BitLocker To Go sur les lecteurs fixes au format FAT pour empêcher les utilisateurs d’exécuter le lecteur BitLocker To Go à partir de leurs lecteurs fixes. Si le lecteur BitLocker To Go (bitlockertogo.exe) est présent sur un lecteur dont le champ d’identification n’est pas spécifié ou si le lecteur a le même champ d’identification que celui défini dans le paramètre de stratégie Fournir les identificateurs uniques pour votre organisation, l’utilisateur est invité à mettre à jour BitLocker et le lecteur BitLocker To Go est supprimé du disque. Dans ce cas, pour que le lecteur fixe puisse être déverrouillé sur les ordinateurs exécutant Windows Vista, Windows XP avec Service Pack 3 ou Windows XP avec Service Pack 2, le lecteur BitLocker To Go doit être installé sur l’ordinateur. Si cette case n’est pas cochée, le lecteur BitLocker To Go est installé sur le lecteur fixe pour permettre aux utilisateurs de déverrouiller le lecteur sur les ordinateurs exécutant Windows Vista, Windows XP avec Service Pack 3 ou Windows XP avec Service Pack 2.
Autoriser l’accès aux lecteurs de données amovibles protégés par BitLocker à partir de versions antérieures de Windows
Ce paramètre de stratégie permet de contrôler l’accès aux lecteurs de données amovibles qui utilisent le lecteur BitLocker To Go et d’indiquer si le lecteur BitLocker To Go peut être installé sur le disque.
Description du paramètre de stratégie |
Avec ce paramètre de stratégie, vous pouvez spécifier si les lecteurs de données amovibles formatés avec le système de fichiers FAT peuvent être déverrouillés et affichés sur les ordinateurs exécutant Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. |
Introduit dans |
Windows Server 2008 R2 et Windows 7 |
Type de lecteur |
Lecteurs de données amovibles |
Chemin d’accès de la stratégie |
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs de données amovibles |
Conflits |
Aucun |
Lorsqu’il est activé et lorsqu’il n’est pas configuré |
Les lecteurs de données amovibles formatés avec le système de fichiers FAT peuvent être déverrouillés sur les ordinateurs exécutant Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2 et leur contenu peut être affiché. Ces systèmes d’exploitation offrent un accès en lecture seule aux lecteurs protégés par BitLocker. |
Lorsqu’il est désactivé |
Les lecteurs de données amovibles formatés avec le système de fichiers FAT et protégés par BitLocker ne peuvent pas être déverrouillés sur les ordinateurs exécutant Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Le lecteur BitLocker To Go (bitlockertogo.exe) n’est pas installé. |
Référence
Remarque
Ce paramètre de stratégie ne s’applique pas aux lecteurs qui sont formatés avec le système de fichiers NTFS.
Lorsque ce paramètre de stratégie est activé, cochez la case Ne pas installer l’utilitaire BitLocker To Go sur les lecteurs amovibles au format FAT pour empêcher les utilisateurs d’exécuter le lecteur BitLocker To Go à partir de leurs lecteurs amovibles. Si le lecteur BitLocker To Go (bitlockertogo.exe) est présent sur un lecteur dont le champ d’identification n’est pas spécifié ou si le lecteur a le même champ d’identification que celui défini dans le paramètre de stratégie Fournir les identificateurs uniques pour votre organisation, l’utilisateur est invité à mettre à jour BitLocker et le lecteur BitLocker To Go est supprimé du disque. Dans ce cas, pour que le lecteur amovible puisse être déverrouillé sur les ordinateurs exécutant Windows Vista, Windows XP avec Service Pack 3 ou Windows XP avec Service Pack 2, le lecteur BitLocker To Go doit être installé sur l’ordinateur. Si cette case n’est pas cochée, le lecteur BitLocker To Go est installé sur le lecteur amovible pour permettre aux utilisateurs de déverrouiller le lecteur sur les ordinateurs exécutant Windows Vista, Windows XP avec Service Pack 3 ou Windows XP avec Service Pack 2 sur lesquels le lecteur BitLocker To Go n’est pas installé.
Paramètre FIPS
Vous pouvez configurer le paramètre FIPS (Federal Information Processing Standard) pour garantir la conformité aux normes FIPS. La conformité FIPS a pour effet d’empêcher les utilisateurs de créer ou d’enregistrer un mot de passe BitLocker pour la récupération ou en tant que protecteur de clé. L’utilisation d’une clé de récupération est autorisée.
Description du paramètre de stratégie |
Notes |
Introduit dans |
Windows Server 2003 avec SP1 |
Type de lecteur |
À l’échelle du système |
Chemin d’accès de la stratégie |
Stratégies locales\Options de sécurité\Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature |
Conflits |
Certaines applications, telles que Terminal Services, ne prennent pas en charge FIPS-140 sur tous les systèmes d’exploitation. |
Lorsqu’il est activé |
Les utilisateurs ne peuvent enregistrer de mot de passe de récupération à aucun emplacement. Cela inclut AD DS et les dossiers réseau. En outre, vous ne pouvez pas utiliser WMI ou l’Assistant d’installation du chiffrement de lecteur BitLocker pour créer un mot de passe de récupération. |
Lorsqu’il est désactivé ou n’est pas configuré |
Aucune clé de chiffrement BitLocker n’est générée. |
Référence
Ce paramètre de stratégie doit être activé avant la génération de toute clé de chiffrement pour BitLocker. Notez que lorsque ce paramètre de stratégie est activé, BitLocker empêche la création ou l’utilisation de mots de passe de récupération. Par conséquent, des clés de récupération doivent être utilisées à la place.
Vous pouvez enregistrer la clé de récupération facultative sur un lecteur USB. Comme les mots de passe de récupération ne peuvent pas être enregistrés dans AD DS lorsque le paramètre FIPS est activé, une erreur se produit si une sauvegarde AD DS est requise par la stratégie de groupe.
Vous pouvez modifier le paramètre FIPS à l’aide de l’éditeur de stratégie de sécurité (Secpol.msc) ou en modifiant le Registre Windows. Vous devez être administrateur pour effectuer ces procédures.
Pour plus d’informations sur la configuration de ce paramètre de stratégie, voir Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature.
Paramètres de stratégie de groupe pour la gestion de l’alimentation : Veille et Veille prolongée
Les paramètres d’alimentation par défaut d’un ordinateur provoquent la mise en veille fréquente de ce dernier afin d’économiser de l’énergie et de contribuer à prolonger l’autonomie de la batterie du système. Lorsqu’un ordinateur passe en mode veille, les programmes et documents ouverts sont conservés en mémoire. Lorsqu’un ordinateur sort du mode veille, les utilisateurs n’ont pas besoin de s’authentifier à nouveau à l’aide d’un code confidentiel ou d’une clé de démarrage USB pour accéder aux données chiffrées. Cela peut donner lieu à des situations où la sécurité des données est compromise.
Cependant, lorsqu’un ordinateur est en veille prolongée, le lecteur est verrouillé et lorsqu’il sort de la veille prolongée, le lecteur est déverrouillé. Cela signifie que les utilisateurs doivent fournir un code confidentiel ou une clé de démarrage s’ils utilisent l’authentification multifacteur avec BitLocker. Par conséquent, il peut être préférable pour les organisations qui s’appuient sur BitLocker d’utiliser la veille prolongée au lieu de la veille pour renforcer la sécurité. Ce paramètre n’a pas d’impact sur le mode de validation par le TPM uniquement, car il assure une expérience utilisateur transparente au démarrage et en sortie de veille prolongée.
Vous pouvez utiliser les paramètres de stratégie de groupe suivants, qui se trouvent dans Configuration ordinateur\Modèles d’administration\Système\Gestion de l’ordinateur de configuration de l’ordinateur\Modèles, pour désactiver tous les états de veille disponibles :
Autoriser les états de veille (S1-S3) lorsque l’ordinateur est en veille (sur secteur)
Autoriser les états de veille (S1-S3) lorsque l’ordinateur est en veille (sur batterie)
À propos du registre de configuration de plateforme (PCR)
Un profil de validation de plateforme se compose d’un ensemble d’index de PCR allant de 0 à 23. L’étendue des valeurs peut dépendre de la version du système d’exploitation.
La modification du profil par défaut affecte la sécurité et la gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) augmente ou diminue en fonction de l’inclusion ou de l’exclusion (respectivement) des PCR.
À propos du PCR 7
Le PCR 7 mesure l’état du démarrage sécurisé. Avec le PCR 7, BitLocker peut tirer parti du démarrage sécurisé pour la validation de l’intégrité. Le démarrage sécurisé garantit que l’environnement préalable au démarrage de l’ordinateur charge uniquement les microprogrammes signés numériquement par les éditeurs de logiciels autorisés. Les mesures du PCR 7 indiquent si le démarrage sécurisé est activé et déterminent les clés approuvées sur la plateforme. Si le démarrage sécurisé est activé et le microprogramme mesure le PCR 7 conformément à la spécification UEFI, BitLocker peut se lier à ces informations plutôt qu’aux PCR 0, 2 et 4, qui contiennent les mesures du micrologiciel exact et des images Bootmgr chargées. Cela réduit le risque de démarrage en mode de récupération de BitLocker à la suite de mises à jour du microprogramme et des images et vous offre une plus grande souplesse pour gérer la configuration préalable au démarrage.
Les mesures du PCR 7 doivent respecter les recommandations décrites à l’annexe A du document Protocole EFI pour les environnements d’exécution de confiance.
Les mesures du PCR 7 constituent une condition requise en matière de logo pour les systèmes qui prennent en charge InstantGo (également appelés PC toujours activés, toujours connectés), telles que la tablette Microsoft Surface RT. Sur ces systèmes, si le TPM avec la mesure du PCR 7 et le démarrage sécurisé sont correctement configurés, BitLocker se lie aux PCR 7 et 11 par défaut.
Voir aussi
Module de plateforme sécurisée
Paramètres de stratégie de groupe de module de plateforme sécurisée (TPM)
BitLocker : Forum Aux Questions (FAQ)
Préparer votre organisation pour BitLocker : Planification et stratégies