BitLocker : Utiliser les outils de chiffrement de lecteur BitLocker pour gérer BitLocker

  • Article

Cette rubrique, destinée aux professionnels de l’informatique, décrit l’utilisation de ces outils pour gérer BitLocker.

Les outils de chiffrement de lecteur BitLocker incluent les outils en ligne de commande Manage-bde et Repair-bde ainsi que les applets de commande BitLocker de Windows PowerShell.

L’outil Manage-bde et les applets de commande BitLocker permettent d’effectuer toutes les tâches pouvant être accomplies via le panneau de configuration BitLocker. Ils conviennent également pour effectuer des déploiements automatisés et d’autres scénarios de script.

L’outil Repair-bde est un outil destiné aux circonstances particulières, qui est fourni pour les scénarios de récupération d’urgence dans lesquels un lecteur protégé par BitLocker ne peut pas être déverrouillé normalement ni à l’aide de la console de récupération.

  1. Manage-bde

  2. Repair-bde

  3. Applets de commande BitLocker de Windows PowerShell

Manage-bde

Manage-bde est un outil en ligne de commande qui permet de créer des scripts pour les opérations BitLocker. Manage-bde fournit des options supplémentaires, qui ne sont pas disponibles dans le panneau de configuration BitLocker. Pour obtenir la liste complète des options de l’outil Manage-bde, voir les informations de référence sur la syntaxe de ligne de commande Manage-bde.

Manage-bde inclut moins de paramètres par défaut et nécessite une personnalisation supérieure pour la configuration de BitLocker. Par exemple, l’utilisation de la simple commande manage-bde -on sur un volume de données chiffre intégralement le volume sans le moindre dispositif d’authentification des protecteurs. Même si la commande a été correctement exécutée, un volume chiffré de cette manière nécessite encore une interaction de l’utilisateur pour activer la protection BitLocker, car une méthode d’authentification doit être ajoutée au volume pour qu’il soit parfaitement protégé. Les sections suivantes fournissent des exemples de scénario d’utilisation courante de l’outil Manage-bde.

Utilisation de Manage-bde avec des volumes hébergeant un système d’exploitation

Vous trouverez ci-dessous des exemples de commandes de base valides pour les volumes du système d’exploitation. En règle générale, l’utilisation de la simple commande manage-bde -on <drive letter> chiffre le volume du système d’exploitation avec un protecteur de TPM uniquement et sans clé de récupération. Cependant, de nombreux environnements nécessitent des dispositifs de protection plus sécurisés, tels que des mots de passe ou des codes confidentiels, et sont censés pouvoir récupérer des informations à l’aide d’une clé de récupération. Il est recommandé d’ajouter au moins un protecteur principal et un protecteur de récupération à un volume du système d’exploitation.

Lors de l’utilisation de Manage-bde, il est conseillé de déterminer l’état du volume sur le système cible. Pour déterminer l’état du volume, utilisez la commande suivante :

manage-bde -status

Cette commande renvoie les volumes présents sur le système cible, l’état de chiffrement actuel et le type de volume (système d’exploitation ou données) pour chaque volume.

L’exemple suivant illustre l’activation de BitLocker sur un ordinateur dépourvu de puce TPM. Avant de commencer le processus de chiffrement, vous devez créer la clé de démarrage nécessaire pour BitLocker et l’enregistrer sur le lecteur USB. Lorsque BitLocker est activé pour le volume du système d’exploitation, il doit accéder au disque mémoire USB pour obtenir la clé de chiffrement (dans cet exemple, la lettre de lecteur E représente le lecteur USB). Vous êtes invité à redémarrer l’ordinateur pour terminer le processus de chiffrement.

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

Remarque  

À l’issue du chiffrement, vous devez insérer la clé de démarrage USB avant que le système d’exploitation ne puisse être démarré.

 

Une alternative au protecteur de clé de démarrage ou au matériel dépourvu de module TPM consiste à utiliser un mot de passe et un protecteur ADaccountorgroup pour protéger le volume du système d’exploitation. Dans ce scénario, vous devez d’abord ajouter les protecteurs à l’aide de la commande :

manage-bde -protectors -add C: -pw -sid <user or group>

Pour exécuter cette commande, vous devez entrer, puis confirmer le protecteur de mot de passe avant d’ajouter les protecteurs au volume. Une fois les protecteurs activés sur le volume, vous pouvez alors activer BitLocker.

Sur les ordinateurs équipés d’un module TPM, il est possible de chiffrer le volume du système d’exploitation sans protecteurs définis à l’aide de Manage-bde. Pour ce faire, exécutez la commande suivante :

manage-bde -on C:

Le lecteur est chiffré en utilisant le module TPM comme protecteur par défaut. Si vous ne savez pas si un protecteur de TPM est disponible, exécutez la commande suivante pour répertorier les protecteurs disponibles pour un volume :

 manage-bde -protectors -get <volume>

Utilisation de l’outil Manage-bde avec des volumes de données

Les volumes de données utilisent la même syntaxe pour le chiffrement que les volumes de système d’exploitation, mais ils ne nécessitent pas de protecteurs pour l’exécution de l’opération. Le chiffrement des volumes de données peut être effectué à l’aide de la commande de base manage-bde -on <drive letter>, ou vous pouvez choisir d’ajouter d’abord des protecteurs supplémentaires au volume. Il est recommandé d’ajouter au moins un protecteur principal et un protecteur de récupération à un volume de données.

Un protecteur courant pour un volume de données est le protecteur de mot de passe. Dans l’exemple ci-dessous, nous ajoutons un protecteur de mot de passe au volume et activons BitLocker.

manage-bde -protectors -add -pw C:
manage-bde -on C:

Repair-bde

Vous pouvez rencontrer un problème susceptible d’endommager une zone d’un disque dur sur lequel BitLocker stocke des informations essentielles. Ce genre de problème peut être provoqué par une défaillance du disque dur ou la fermeture inattendue de Windows.

L’outil de réparation BitLocker (Repair-bde) permet d’accéder aux données chiffrées sur un disque dur gravement endommagé si le lecteur a été chiffré à l’aide de BitLocker. Repair-bde peut reconstruire des parties essentielles du lecteur et sauver les données récupérables tant qu’une clé ou un mot de passe de récupération valides sont utilisés pour déchiffrer les données. Si les données de métadonnées BitLocker du lecteur ont été endommagées, vous devez être en mesure de fournir un package de clés de sauvegarde avec le mot de passe ou la clé de récupération. Ce package de clés est sauvegardé dans les services de domaine Active Directory (AD DS) si vous avez utilisé le paramètre par défaut pour la sauvegarde AD DS. Avec ce package de clés et le mot de passe de récupération ou la clé de récupération, vous pouvez déchiffrer des parties d’un lecteur protégé par BitLocker si le disque est endommagé. Chaque package de clés fonctionne uniquement pour un lecteur pourvu de l’identificateur de lecteur correspondant. Vous pouvez utiliser la visionneuse des mots de passe de récupération BitLocker pour obtenir ce package de clés à partir d’AD DS.

Astuce  

Si vous ne sauvegardez pas les informations de récupération dans AD DS, ou si vous préférez enregistrer les packages de clés , vous pouvez utiliser la commande manage-bde -KeyPackage pour générer un package de clés pour un volume.

 

L’outil en ligne de commande Repair-bde est destiné à être utilisé quand le système d’exploitation ne démarre pas ou lorsque vous ne pouvez pas démarrer la console de récupération BitLocker. Vous devez utiliser Repair-bde si les conditions suivantes sont remplies :

  1. Vous avez chiffré le lecteur en utilisant le chiffrement de lecteur BitLocker.

  2. Windows ne démarre pas ou vous ne pouvez pas démarrer la console de récupération BitLocker.

  3. Vous ne possédez pas de copie des données qui se trouvent sur le lecteur chiffré.

Remarque  

Les dommages du lecteur peuvent ne pas être liés à BitLocker. Par conséquent, nous vous recommandons d’essayer d’autres outils pour vous aider à diagnostiquer et résoudre les problèmes liés au lecteur avant d’utiliser l’outil de réparation BitLocker. L’Environnement de récupération Windows (Windows RE) fournit des options supplémentaires pour réparer des ordinateurs.

 

Les limitations suivantes existent pour l’outil Repair-bde :

  • L’outil en ligne de commande Repair-bde ne peut pas réparer un lecteur qui a subi un échec lors du processus de chiffrement ou de déchiffrement.

  • L’outil en ligne de commande Repair-bde part du principe que si le lecteur comporte un chiffrement, alors il est intégralement chiffré.

Pour plus d’informations sur l’utilisation de Repair-bde, voir Repair-bde.

Applets de commande BitLocker de Windows PowerShell

Les applets de commande Windows PowerShell sont une nouveauté pour les administrateurs lorsqu’ils utilisent BitLocker. En utilisant les capacités de création de scripts de Windows PowerShell, les administrateurs peuvent facilement intégrer les options de BitLocker à des scripts existants. La liste ci-dessous répertorie les applets de commande BitLocker disponibles.

Nom

Paramètres

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confirm

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confirm

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confirm

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Lock-BitLocker

-Confirm

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confirm

-MountPoint

-WhatIf

Suspend-BitLocker

-Confirm

-MountPoint

-RebootCount

-WhatIf

Unlock-BitLocker

-AdAccountOrGroup

-Confirm

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

 

À l’image de Manage-bde, les applets de commande Windows PowerShell permettent d’effectuer une configuration plus poussée qu’avec les options proposées dans le panneau de configuration. Comme avec Manage-bde, les utilisateurs doivent tenir compte des besoins spécifiques du volume à chiffrer avant d’exécuter les applets de commande Windows PowerShell.

Une première étape adéquate consiste à déterminer l’état actuel du ou des volumes sur l’ordinateur. Pour ce faire, vous pouvez utiliser l’applet de commande Get-BitLockerVolume.

Le résultat de l’applet de commande Get-BitLockerVolume donne des informations sur le type de volume, les protecteurs, l’état de protection et d’autres informations utiles.

Astuce  

Lors de l’utilisation de Get-BitLockerVolume, il peut arriver que tous les protecteurs ne soient pas affichés en raison d’un manque de place. Si vous ne voyez pas l’ensemble des protecteurs d’un volume, vous pouvez utiliser la commande de canal (|) de Windows PowerShell pour mettre en forme la liste complète des protecteurs.

Get-BitLockerVolume C: | fl

 

Si vous souhaitez supprimer les protecteurs existants avant de configurer BitLocker sur le volume, vous pouvez utiliser l’applet de commande Remove-BitLockerKeyProtector. Cette opération requiert le GUID associé au protecteur à supprimer.

Un simple script permet de transmettre les valeurs renvoyées par chaque applet de commande Get-BitLockerVolume à une autre variable, comme illustré ci-dessous :

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

À l’aide de ce script, vous pouvez afficher les informations contenues dans la variable $keyprotectors pour déterminer le GUID de chaque protecteur.

Avec ces informations, nous pouvons ensuite supprimer le protecteur de clé d’un volume spécifique à l’aide de la commande :

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

Remarque  

Pour pouvoir être exécutée, l’applet de commande BitLocker nécessite que le GUID du protecteur de clé soit placé entre guillemets. Veillez à ce que le GUID en entier, accolades comprises, soit inclus dans la commande.

 

Utilisation des applets de commande BitLocker de Windows PowerShell avec les volumes de système d’exploitation

Les applets de commande BitLocker de Windows PowerShell fonctionnent de façon similaire à l’outil Manage-bde pour le chiffrement des volumes de système d’exploitation. Windows PowerShell offre une grande flexibilité aux utilisateurs. Par exemple, ils peuvent ajouter le protecteur souhaité à la commande de chiffrement du volume. Vous trouverez ci-dessous des exemples de scénarios utilisateur courants et les étapes permettant de les accomplir à l’aide des applets de commande BitLocker de Windows PowerShell.

L’exemple suivant montre comment activer BitLocker sur un lecteur du système d’exploitation en utilisant uniquement le protecteur de TPM :

Enable-BitLocker C:

L’exemple ci-dessous ajoute un protecteur supplémentaire, le protecteur StartupKey, et ignore le test matériel de BitLocker. Dans cet exemple, le chiffrement commence immédiatement sans nécessiter de redémarrage.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Utilisation des applets de commande BitLocker de Windows PowerShell avec des volumes de données

Le chiffrement des volumes de données à l’aide de Windows PowerShell fonctionne de la même manière que pour les volumes de système d’exploitation. Vous devez ajouter les protecteurs souhaités avant de chiffrer le volume. L’exemple suivant ajoute un protecteur de mot de passe au volume E: en utilisant la variable $pw comme mot de passe. La variable $pw est conservée en tant que valeur SecureString pour stocker le mot de passe défini par l’utilisateur.

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Utilisation d’un protecteur Compte ou groupe AD dans Windows PowerShell

Le protecteur ADAccountOrGroup, introduit dans Windows 8 et Windows Server 2012, est un protecteur basé sur le SID Active Directory. Ce protecteur peut être ajouté à des volumes de système d’exploitation et de données, bien qu’il ne déverrouille pas les volumes de système d’exploitation dans l’environnement de prédémarrage. Ce protecteur requiert le SID du compte ou groupe de domaine à lier au protecteur. BitLocker permet de protéger un disque prenant en charge les clusters en ajoutant un protecteur de type SID pour l’objet nom de cluster (CNO) qui assure le basculement correct du disque et son déverrouillage par n’importe quel ordinateur membre du cluster.

Avertissement  

Le protecteur ADAccountOrGroup nécessite l’utilisation d’un protecteur supplémentaire (TPM, code confidentiel, clé de récupération, etc.) en cas de chiffrement de volumes de système d’exploitation.

 

L’ajout d’un protecteur ADAccountOrGroup à un volume requiert le SID du domaine réel ou le nom du groupe précédé du domaine et d’une barre oblique inverse. Dans l’exemple ci-dessous, le compte CONTOSO\Administrator est ajouté en tant que protecteur au volume de données G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Pour les utilisateurs qui souhaitent utiliser le SID du compte ou du groupe, la première étape consiste à déterminer le SID associé au compte. Pour obtenir le SID spécifique d’un compte d’utilisateur dans Windows PowerShell, utilisez la commande suivante :

Remarque  

L’utilisation de cette commande nécessite la fonctionnalité RSAT-AD-PowerShell.

 

get-aduser -filter {samaccountname -eq "administrator"}

Astuce  

En plus de la commande Windows PowerShell ci-dessus, les informations concernant l’utilisateur connecté localement et l’appartenance à un groupe peuvent être obtenues à l’aide de la commande : WHOAMI /ALL. Aucune fonctionnalité supplémentaire n’est nécessaire pour utiliser cette commande.

 

L’exemple suivant ajoute un protecteur ADAccountOrGroup au volume du système d’exploitation précédemment chiffré à l’aide du SID du compte :

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

Remarque  

Les protecteurs basés sur Active Directory sont normalement utilisés afin de déverrouiller les volumes activés pour les clusters de basculement.

 

Informations supplémentaires

Vue d’ensemble de BitLocker

BitLocker : Forum Aux Questions (FAQ)

Préparer votre organisation pour BitLocker : Planification et stratégies

BitLocker : Activation du déverrouillage réseau

BitLocker : Déploiement sur Windows Server 2012 et ultérieur