Déploiement de base de BitLocker

S'applique à

  • Windows 10
  • Windows 11
  • Windows Server 2016 et versions ultérieures

Cet article destiné aux professionnels de l’informatique explique comment utiliser les fonctionnalités BitLocker pour protéger vos données via le chiffrement de lecteur.

Utilisation de BitLocker pour chiffrer des volumes

BitLocker fournit un chiffrement de volume complet (FVE) pour les volumes du système d’exploitation, ainsi que des lecteurs de données fixes et amovibles. Pour prendre en charge les lecteurs de système d’exploitation entièrement chiffrés, BitLocker utilise une partition système non chiffrée pour les fichiers nécessaires au démarrage, au déchiffrement et au chargement du système d’exploitation. Ce volume est automatiquement créé lors d’une nouvelle installation des systèmes d’exploitation client et serveur.

Si le lecteur a été préparé comme un seul espace contigu, BitLocker nécessite un nouveau volume pour contenir les fichiers de démarrage. BdeHdCfg.exe pouvez créer ces volumes.

Notes

Pour plus d’informations sur l’utilisation de cet outil, consultez Bdehdcfg dans la Command-Line Reference.

Le chiffrement BitLocker peut être effectué à l’aide des méthodes suivantes :

  • Panneau de configuration BitLocker
  • Explorateur Windows
  • manage-bde interface de ligne de commande
  • Applets de commande Windows PowerShell BitLocker

Chiffrement des volumes à l’aide du panneau de configuration BitLocker

Le chiffrement des volumes avec le panneau de configuration BitLocker (sélectionnez Démarrer, tapez Bitlocker, sélectionnez Gérer BitLocker) correspond au nombre d’utilisateurs qui utilisent BitLocker. Le nom du panneau de configuration BitLocker est Chiffrement de lecteur BitLocker. Le panneau de configuration BitLocker prend en charge le chiffrement du système d’exploitation, des données fixes et des volumes de données amovibles. Le panneau de configuration BitLocker organise les lecteurs disponibles dans la catégorie appropriée en fonction de la façon dont l’appareil se signale à Windows. Seuls les volumes mis en forme avec des lettres de lecteur attribuées s’affichent correctement dans l’applet du panneau de configuration BitLocker.

Pour démarrer le chiffrement d’un volume, sélectionnez Activer BitLocker pour le lecteur approprié afin d’initialiser l’Assistant Chiffrement de lecteur BitLocker. Les options de l’Assistant Chiffrement de lecteur BitLocker varient en fonction du type de volume (volume du système d’exploitation ou volume de données).

Volume du système d’exploitation

Lorsque l’Assistant Chiffrement de lecteur BitLocker démarre, il vérifie que l’ordinateur répond à la configuration système requise pour le chiffrement d’un volume de système d’exploitation. Par défaut, la configuration système requise est la suivante :

Condition requise Description
Configuration matérielle L’ordinateur doit respecter la configuration minimale requise pour les versions de Windows prises en charge.
Système d’exploitation BitLocker est une fonctionnalité facultative qui peut être installée par Gestionnaire de serveur sur Windows Server 2012 et versions ultérieures.
Module de plateforme sécurisée (TPM) matériel TPM version 1.2 ou 2.0.

Un module de plateforme sécurisée n’est pas nécessaire pour BitLocker ; Toutefois, seul un ordinateur doté d’un module de plateforme sécurisée peut fournir la sécurité supplémentaire de la vérification de l’intégrité du système avant démarrage et de l’authentification multifacteur.

Configuration du BIOS
  • Un microprogramme BIOS ou UEFI compatible TCG (Trusted Computing Group).
  • L’ordre de démarrage doit être défini pour démarrer en premier à partir du disque dur, et non des lecteurs USB ou CD.
  • Le microprogramme doit être en mesure de lire à partir d’un lecteur flash USB au démarrage.
  • Système de fichiers Une partition FAT32 pour le lecteur système et une partition NTFS pour le lecteur du système d’exploitation. Cela s’applique aux ordinateurs qui démarrent en mode natif avec le microprogramme UEFI.
    Pour les ordinateurs avec un microprogramme BIOS hérité, au moins deux partitions de disque NTFS, une pour le lecteur système et une autre pour le lecteur du système d’exploitation.
    Pour les deux microprogrammes, la partition de lecteur système doit être d’au moins 350 mégaoctets (Mo) et définie comme partition active.
    Prérequis du lecteur chiffré matériel (facultatif) Pour utiliser un lecteur chiffré matériel comme lecteur de démarrage, le lecteur doit être à l’état non initialisé et à l’état inactif de sécurité. En outre, le système doit toujours démarrer avec ueFI version 2.3.1 ou ultérieure native et le CSM (le cas échéant) désactivé.

    Lors de la réussite de la configuration initiale, les utilisateurs doivent entrer un mot de passe pour le volume. Si le volume ne passe pas la configuration initiale pour BitLocker, une boîte de dialogue d’erreur décrivant les actions appropriées à effectuer s’affiche à l’utilisateur. Une fois qu’un mot de passe fort a été créé pour le volume, une clé de récupération est générée. L’Assistant Chiffrement de lecteur BitLocker demande un emplacement pour enregistrer cette clé. Une clé de récupération BitLocker est une clé spéciale que vous pouvez créer lorsque vous activez le chiffrement de lecteur BitLocker pour la première fois sur chaque lecteur que vous chiffrez. Vous pouvez utiliser la clé de récupération pour accéder à votre ordinateur si le lecteur sur lequel Windows est installé (le lecteur du système d’exploitation) est chiffré à l’aide du chiffrement de lecteur BitLocker et que BitLocker détecte une condition qui l’empêche de déverrouiller le lecteur au démarrage de l’ordinateur. Une clé de récupération peut également être utilisée pour accéder à vos fichiers et dossiers sur un lecteur de données amovible (tel qu’un disque dur externe ou un lecteur flash USB) chiffré à l’aide de BitLocker To Go, si, pour une raison quelconque, vous oubliez le mot de passe ou si votre ordinateur ne peut pas accéder au lecteur.

    Vous devez stocker la clé de récupération en l’imprimant, en l’enregistrant sur un support amovible ou en l’enregistrant en tant que fichier dans un dossier réseau ou sur votre OneDrive, ou sur un autre lecteur de votre ordinateur que vous ne chiffrez pas. Vous ne pouvez pas enregistrer la clé de récupération dans le répertoire racine d’un lecteur non amovible et ne peut pas être stockée sur le volume chiffré. Vous ne pouvez pas enregistrer la clé de récupération d’un lecteur de données amovible (par exemple, un lecteur flash USB) sur un support amovible. Dans l’idéal, vous devez stocker la clé de récupération séparément de votre ordinateur. Après avoir créé une clé de récupération, vous pouvez utiliser le panneau de configuration BitLocker pour effectuer des copies supplémentaires.

    • Chiffrer l’espace disque utilisé uniquement : chiffre uniquement l’espace disque qui contient des données
    • Chiffrer le lecteur entier : chiffre l’intégralité du volume, y compris l’espace libre

    Il est recommandé que les lecteurs avec peu ou pas de données utilisent l’option de chiffrement de l’espace disque utilisé uniquement et que les lecteurs avec des données ou un système d’exploitation utilisent l’option chiffrer le lecteur entier .

    Notes

    Les fichiers supprimés apparaissent sous forme d’espace libre pour le système de fichiers, qui n’est pas chiffré uniquement par l’espace disque utilisé. Tant qu’ils ne sont pas réinitialisé ou remplacés, les fichiers supprimés contiennent des informations qui peuvent être récupérées avec des outils d’investigation de données courants.

    La sélection d’un type de chiffrement et la sélection de Suivant donnent à l’utilisateur la possibilité d’exécuter une vérification système BitLocker (sélectionnée par défaut) qui garantit que BitLocker peut accéder correctement aux clés de récupération et de chiffrement avant le début du chiffrement du volume. Nous vous recommandons d’exécuter cette vérification système avant de démarrer le processus de chiffrement. Si la vérification du système n’est pas exécutée et qu’un problème se produit lorsque le système d’exploitation tente de démarrer, l’utilisateur doit fournir la clé de récupération pour démarrer Windows.

    Une fois la vérification du système terminée (si elle est sélectionnée), l’Assistant Chiffrement de lecteur BitLocker redémarre l’ordinateur pour commencer le chiffrement. Au redémarrage, les utilisateurs doivent entrer le mot de passe choisi pour démarrer dans le volume du système d’exploitation. Les utilisateurs peuvent vérifier l’état du chiffrement en vérifiant la zone de notification système ou le panneau de configuration BitLocker.

    Tant que le chiffrement n’est pas terminé, les seules options disponibles pour gérer BitLocker impliquent la manipulation du mot de passe protégeant le volume du système d’exploitation, la sauvegarde de la clé de récupération et la désactivation de BitLocker.

    Volume de données

    Le chiffrement des volumes de données à l’aide de l’interface du panneau de configuration BitLocker fonctionne de la même façon que le chiffrement des volumes du système d’exploitation. Les utilisateurs sélectionnent Activer BitLocker dans le panneau de configuration pour commencer l’Assistant Chiffrement de lecteur BitLocker. Contrairement aux volumes de système d’exploitation, les volumes de données ne sont pas requis pour réussir les tests de configuration pour que l’Assistant continue. Lors du lancement de l’Assistant, un choix de méthodes d’authentification pour déverrouiller le lecteur s’affiche. Les options disponibles sont mot de passe et carte à puce et déverrouillent automatiquement ce lecteur sur cet ordinateur. Désactivée par défaut, cette dernière option déverrouille le volume de données sans entrée utilisateur lorsque le volume du système d’exploitation est déverrouillé.

    Après avoir sélectionné la méthode d’authentification souhaitée et choisi Suivant, l’Assistant présente les options de stockage de la clé de récupération. Ces options sont les mêmes que pour les volumes de système d’exploitation. Une fois la clé de récupération enregistrée, la sélection de Suivant dans l’Assistant affiche les options disponibles pour le chiffrement. Ces options sont les mêmes que pour les volumes de système d’exploitation ; espace disque utilisé uniquement et chiffrement de lecteur complet. Si le volume chiffré est nouveau ou vide, il est recommandé de sélectionner le chiffrement espace utilisé uniquement.

    Une fois la méthode de chiffrement choisie, un écran de confirmation final s’affiche avant le début du processus de chiffrement. La sélection de Démarrer le chiffrement commence le chiffrement.

    L’état du chiffrement s’affiche dans la zone de notification ou dans le panneau de configuration BitLocker.

    Option OneDrive

    Il existe une nouvelle option pour stocker la clé de récupération BitLocker à l’aide de OneDrive. Cette option nécessite que les ordinateurs ne soient pas membres d’un domaine et que l’utilisateur utilise un compte Microsoft. Les comptes locaux ne donnent pas la possibilité d’utiliser OneDrive. L’utilisation de l’option OneDrive est la méthode de stockage de clé de récupération recommandée par défaut pour les ordinateurs qui ne sont pas joints à un domaine.

    Les utilisateurs peuvent vérifier si la clé de récupération a été enregistrée correctement en vérifiant dans leur OneDrive le dossier BitLocker qui est créé automatiquement pendant le processus d’enregistrement. Le dossier contient deux fichiers, un readme.txt et la clé de récupération. Pour les utilisateurs qui stockent plusieurs mots de passe de récupération sur leur OneDrive, ils peuvent identifier la clé de récupération requise en examinant le nom de fichier. L’ID de clé de récupération est ajouté à la fin du nom de fichier.

    Utilisation de BitLocker dans l’Explorateur Windows

    L’Explorateur Windows permet aux utilisateurs de lancer l’Assistant Chiffrement de lecteur BitLocker en cliquant avec le bouton droit sur un volume et en sélectionnant Activer BitLocker. Cette option est disponible sur les ordinateurs clients par défaut. Sur les serveurs, vous devez d’abord installer les fonctionnalités BitLocker et Desktop-Experience pour que cette option soit disponible. Après avoir sélectionné Activer BitLocker, l’Assistant fonctionne exactement comme lors du lancement à l’aide du panneau de configuration BitLocker.

    Compatibilité de bas niveau

    Le tableau suivant montre la matrice de compatibilité pour les systèmes qui ont été activés pour BitLocker, puis présentés à une autre version de Windows.

    Tableau 1 : Compatibilité croisée pour les volumes chiffrés Windows 11, Windows 10, Windows8.1, Windows 8 et Windows 7

    Type de chiffrement Windows 11, Windows 10 et Windows8.1 Windows 8 Windows 7
    Entièrement chiffré sur Windows 8 Présente comme entièrement chiffré Non applicable Présenté comme entièrement chiffré
    Espace disque utilisé uniquement chiffré sur Windows 8 Présente en tant que chiffrer en écriture Non applicable Présenté comme entièrement chiffré
    Volume entièrement chiffré à partir de Windows 7 Présente comme entièrement chiffré Présenté comme entièrement chiffré Non applicable
    Volume partiellement chiffré à partir de Windows 7 Windows 11, Windows 10 et Windows8.1 effectuent le chiffrement, quelle que soit la stratégie Windows 8 terminera le chiffrement, quelle que soit la stratégie Non applicable

    Chiffrement des volumes à l’aide de l’interface de ligne de commande manage-bde

    Manage-bde est un utilitaire de ligne de commande qui peut être utilisé pour scripter des opérations BitLocker. Manage-bde offre des options supplémentaires non affichées dans le panneau de configuration BitLocker. Pour obtenir la liste complète des options, consultez Manage-bde.

    Manage-bde offre une multitude d’options plus larges pour la configuration de BitLocker. Par conséquent, l’utilisation de la syntaxe de commande peut nécessiter un soin et éventuellement une personnalisation ultérieure par l’utilisateur. Par exemple, l’utilisation de la manage-bde -on commande uniquement sur un volume de données chiffre entièrement le volume sans aucun protecteur d’authentification. Un volume chiffré de cette manière nécessite toujours l’interaction de l’utilisateur pour activer la protection BitLocker, même si la commande s’est terminée correctement, car une méthode d’authentification doit être ajoutée au volume pour qu’il soit entièrement protégé.

    Les utilisateurs en ligne de commande doivent déterminer la syntaxe appropriée pour une situation donnée. La section suivante traite du chiffrement général pour les volumes de système d’exploitation et les volumes de données.

    Volume du système d’exploitation

    Vous trouverez ci-dessous des exemples de commandes valides de base pour les volumes de système d’exploitation. En général, l’utilisation de la manage-bde -on <drive letter> commande uniquement chiffre le volume du système d’exploitation avec un protecteur TPM uniquement et aucune clé de récupération. Toutefois, de nombreux environnements nécessitent des protecteurs plus sécurisés, tels que des mots de passe ou un code confidentiel, et s’attendent à pouvoir récupérer des informations avec une clé de récupération.

    Détermination de l’état du volume

    Une bonne pratique lors de l’utilisation de manage-bde consiste à déterminer l’état du volume sur le système cible. Utilisez la commande suivante pour déterminer l’état du volume :

    manage-bde -status

    Cette commande retourne les volumes sur la cible, l’état de chiffrement actuel et le type de volume (système d’exploitation ou données) pour chaque volume. À l’aide de ces informations, les utilisateurs peuvent déterminer la meilleure méthode de chiffrement pour leur environnement.

    Activation de BitLocker sans module de plateforme sécurisée

    Par exemple, supposons que vous souhaitiez activer BitLocker sur un ordinateur sans puce TPM. Pour activer correctement BitLocker pour le volume du système d’exploitation, vous devez utiliser une clé flash USB comme clé de démarrage (dans cet exemple, la lettre de lecteur E). Vous devez d’abord créer la clé de démarrage nécessaire pour BitLocker à l’aide de l’option –protectors, l’enregistrer sur le lecteur USB sur E:, puis commencer le processus de chiffrement. Vous devez redémarrer l’ordinateur lorsque vous êtes invité à terminer le processus de chiffrement.

    manage-bde –protectors -add C: -startupkey E:
    manage-bde -on C:
    

    Activation de BitLocker avec un module de plateforme sécurisée uniquement

    Il est possible de chiffrer le volume du système d’exploitation sans aucun logiciel de protection défini à l’aide de manage-bde. Utilisez cette commande :

    manage-bde -on C:

    Cela chiffre le lecteur à l’aide du module de plateforme sécurisée (TPM) comme protecteur. Si les utilisateurs ne sont pas sûrs du logiciel de protection d’un volume, ils peuvent utiliser l’option -protectors dans manage-bde pour répertorier ces informations en exécutant la commande suivante :

    manage-bde -protectors -get <volume>

    Provisionnement de BitLocker avec deux protecteurs

    Un autre exemple est un utilisateur sur un matériel non-TPM qui souhaite ajouter un mot de passe et un protecteur basé sur SID au volume du système d’exploitation. Dans ce cas, l’utilisateur ajoute d’abord les protecteurs. Pour ce faire, utilisez la commande :

    manage-bde -protectors -add C: -pw -sid <user or group>

    Cette commande nécessite que l’utilisateur entre, puis confirme les logiciels de protection de mot de passe avant de les ajouter au volume. Une fois les protecteurs activés sur le volume, l’utilisateur doit simplement activer BitLocker.

    Volume de données

    Les volumes de données utilisent la même syntaxe pour le chiffrement que les volumes du système d’exploitation, mais ils ne nécessitent pas de protecteurs pour que l’opération se termine. Le chiffrement des volumes de données peut être effectué à l’aide de la commande de base : manage-bde -on <drive letter> ou les utilisateurs peuvent choisir d’ajouter des protecteurs au volume. Nous vous recommandons d’ajouter au moins un protecteur principal et un protecteur de récupération à un volume de données.

    Activation de BitLocker avec un mot de passe

    Le protecteur de mot de passe est un protecteur courant pour un volume de données. Dans l’exemple ci-dessous, nous ajoutons un protecteur de mot de passe au volume et nous allons activer BitLocker.

    manage-bde -protectors -add -pw C:
    manage-bde -on C:
    

    Chiffrement des volumes à l’aide des applets de commande BitLocker Windows PowerShell

    Windows PowerShell applets de commande offrent un autre moyen d’utiliser BitLocker. À l’aide des fonctionnalités de script de Windows PowerShell, les administrateurs peuvent intégrer facilement les options BitLocker dans des scripts existants. La liste ci-dessous affiche les applets de commande BitLocker disponibles.

    Nom Parameters
    Add-BitLockerKeyProtector
  • ADAccountOrGroup
  • ADAccountOrGroupProtector
  • Confirmer
  • MountPoint
  • Mot de passe
  • PasswordProtector
  • Pin
  • RecoveryKeyPath
  • RecoveryKeyProtector
  • RecoveryPassword
  • RecoveryPasswordProtector
  • Service
  • StartupKeyPath
  • StartupKeyProtector
  • TpmAndPinAndStartupKeyProtector
  • TpmAndPinProtector
  • TpmAndStartupKeyProtector
  • TpmProtector
  • Whatif
  • Backup-BitLockerKeyProtector
  • Confirmer
  • KeyProtectorId
  • MountPoint
  • Whatif
  • Disable-BitLocker
  • Confirmer
  • MountPoint
  • Whatif
  • Disable-BitLockerAutoUnlock
  • Confirmer
  • MountPoint
  • Whatif
  • Enable-BitLocker
  • AdAccountOrGroup
  • AdAccountOrGroupProtector
  • Confirmer
  • EncryptionMethod
  • HardwareEncryption
  • Mot de passe
  • PasswordProtector
  • Pin
  • RecoveryKeyPath
  • RecoveryKeyProtector
  • RecoveryPassword
  • RecoveryPasswordProtector
  • Service
  • SkipHardwareTest
  • StartupKeyPath
  • StartupKeyProtector
  • TpmAndPinAndStartupKeyProtector
  • TpmAndPinProtector
  • TpmAndStartupKeyProtector
  • TpmProtector
  • UsedSpaceOnly
  • Whatif
  • Enable-BitLockerAutoUnlock
  • Confirmer
  • MountPoint
  • Whatif
  • Get-BitLockerVolume
  • MountPoint
  • Lock-BitLocker
  • Confirmer
  • ForceDismount
  • MountPoint
  • Whatif
  • Remove-BitLockerKeyProtector
  • Confirmer
  • KeyProtectorId
  • MountPoint
  • Whatif
  • Resume-BitLocker
  • Confirmer
  • MountPoint
  • Whatif
  • Suspend-BitLocker
  • Confirmer
  • MountPoint
  • RebootCount
  • Whatif
  • Unlock-BitLocker
  • AdAccountOrGroup
  • Confirmer
  • MountPoint
  • Mot de passe
  • RecoveryKeyPath
  • RecoveryPassword
  • RecoveryPassword
  • Whatif
  • À l’instar de manage-bde, les applets de commande Windows PowerShell autorisent la configuration au-delà des options proposées dans le panneau de configuration. Comme avec manage-bde, les utilisateurs doivent tenir compte des besoins spécifiques du volume qu’ils chiffrent avant d’exécuter Windows PowerShell applets de commande.

    Une bonne étape initiale consiste à déterminer l’état actuel du ou des volumes sur l’ordinateur. Vous pouvez le faire à l’aide de l’applet de commande de Get-BitLocker volume. La sortie de cette applet de commande affiche des informations sur le type de volume, les logiciels de protection, l’état de protection et d’autres informations utiles.

    Parfois, tous les logiciels de protection peuvent ne pas être affichés lors de l’utilisation de Get-BitLockerVolume en raison d’un manque d’espace dans l’affichage de sortie. Si vous ne voyez pas tous les protecteurs d’un volume, vous pouvez utiliser la commande de canal Windows PowerShell (|) pour mettre en forme une liste des protecteurs.

    Notes

    Dans le cas où il y a plus de quatre protecteurs pour un volume, la commande de canal peut manquer d’espace d’affichage. Pour les volumes avec plus de quatre protecteurs, utilisez la méthode décrite dans la section ci-dessous pour générer une liste de tous les protecteurs avec l’ID de protecteur.

    Get-BitLockerVolume C: | fl
    

    Si vous souhaitez supprimer les logiciels de protection existants avant de provisionner BitLocker sur le volume, vous pouvez utiliser l’applet de Remove-BitLockerKeyProtector commande . Pour ce faire, vous devez supprimer le GUID associé au logiciel de protection. Un script simple peut diriger les valeurs de chaque retour Get-BitLockerVolume vers une autre variable, comme indiqué ci-dessous :

    $vol = Get-BitLockerVolume
    $keyprotectors = $vol.KeyProtector
    

    À l’aide de ce script, nous pouvons afficher les informations dans la variable $keyprotectors pour déterminer le GUID de chaque logiciel de protection. À l’aide de ces informations, nous pouvons ensuite supprimer le protecteur de clé pour un volume spécifique à l’aide de la commande :

    Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
    

    Notes

    L’applet de commande BitLocker nécessite l’exécution du GUID du protecteur de clé (entre guillemets). Vérifiez que l’ensemble du GUID, avec accolades, est inclus dans la commande.

    Volume du système d’exploitation

    L’utilisation des applets de commande bitLocker Windows PowerShell est similaire à l’utilisation de l’outil manage-bde pour chiffrer les volumes du système d’exploitation. Windows PowerShell offre aux utilisateurs beaucoup de flexibilité. Par exemple, les utilisateurs peuvent ajouter le protecteur souhaité en tant que commande de partie pour chiffrer le volume. Vous trouverez ci-dessous des exemples de scénarios utilisateur courants et des étapes à suivre pour les accomplir à l’aide des applets de commande BitLocker pour Windows PowerShell.

    Pour activer BitLocker avec uniquement le protecteur TPM, utilisez la commande suivante :

    Enable-BitLocker C:
    

    L’exemple ci-dessous ajoute un logiciel de protection supplémentaire, les protecteurs StartupKey, et choisit d’ignorer le test matériel BitLocker. Dans cet exemple, le chiffrement démarre immédiatement sans qu’il soit nécessaire de redémarrer.

    Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
    

    Volume de données

    Le chiffrement des volumes de données à l’aide de Windows PowerShell est identique à celui des volumes de système d’exploitation. Vous devez ajouter les protecteurs souhaités avant de chiffrer le volume. L’exemple suivant ajoute un protecteur de mot de passe au volume E: en utilisant la variable $pw comme mot de passe. La variable $pw est conservée en tant que valeur SecureString pour stocker le mot de passe défini par l’utilisateur. Enfin, le chiffrement commence.

    $pw = Read-Host -AsSecureString
    <user inputs password>
    Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
    

    Utilisation d’un protecteur basé sur SID dans Windows PowerShell

    Le protecteur ADAccountOrGroup est un protecteur basé sur un SID Active Directory. Ce logiciel de protection peut être ajouté aux volumes de système d’exploitation et de données, bien qu’il ne déverrouille pas les volumes de système d’exploitation dans l’environnement de prédémarrage. Le logiciel de protection requiert le SID pour que le compte de domaine ou le groupe soit lié au logiciel de protection. BitLocker peut protéger un disque prenant en charge le cluster en ajoutant un protecteur basé sur SID pour l’objet CNO (Cluster Name Object) qui permet au disque de basculer correctement et d’être déverrouillé sur n’importe quel ordinateur membre du cluster.

    Avertissement

    Le logiciel de protection basé sur SID nécessite l’utilisation d’un logiciel de protection supplémentaire (par exemple, TPM, code pin, clé de récupération, etc.) lorsqu’il est utilisé sur des volumes de système d’exploitation.

    Pour ajouter un protecteur ADAccountOrGroup à un volume, vous avez besoin du SID de domaine réel ou du nom de groupe précédé du domaine et d’une barre oblique inverse. Dans l’exemple ci-dessous, le compte CONTOSO\Administrator est ajouté en tant que protecteur au volume de données G.

    Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
    

    Pour les utilisateurs qui souhaitent utiliser le SID pour le compte ou le groupe, la première étape consiste à déterminer le SID associé au compte. Pour obtenir le SID spécifique d’un compte d’utilisateur dans Windows PowerShell, utilisez la commande suivante :

    Get-ADUser -filter {samaccountname -eq "administrator"}
    

    Notes

    L’utilisation de cette commande nécessite la fonctionnalité RSAT-AD-PowerShell.

    Conseil

    En plus de la commande Windows PowerShell ci-dessus, vous trouverez des informations sur l’appartenance de l’utilisateur et du groupe connectés localement à l’aide de : WHOAMI /ALL. Cela ne nécessite pas l’utilisation de fonctionnalités supplémentaires.

    Dans l’exemple ci-dessous, l’utilisateur souhaite ajouter un protecteur basé sur un SID de domaine au volume du système d’exploitation précédemment chiffré. L’utilisateur connaît le SID du compte d’utilisateur ou du groupe qu’il souhaite ajouter et utilise la commande suivante :

    Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"
    

    Notes

    Les protecteurs basés sur Active Directory sont normalement utilisés pour déverrouiller les volumes avec cluster de basculement.

    Vérification de l’état de BitLocker

    Pour vérifier l’état BitLocker d’un volume particulier, les administrateurs peuvent examiner l’état du lecteur dans l’applet du panneau de configuration BitLocker, l’Explorateur Windows, l’outil en ligne de commande manage-bde ou Windows PowerShell applets de commande. Chaque option offre différents niveaux de détail et de facilité d’utilisation. Nous allons examiner chacune des méthodes disponibles dans la section suivante.

    Vérification de l’état de BitLocker avec le panneau de configuration

    La vérification de l’état BitLocker avec le panneau de configuration est la méthode la plus courante utilisée par la plupart des utilisateurs. Une fois ouvert, l’état de chaque volume s’affiche en regard de la description du volume et de la lettre de lecteur. Les valeurs de retour d’état disponibles avec le panneau de configuration sont les suivantes :

    Statut Description
    Activé BitLocker est activé pour le volume
    Désactivé BitLocker n’est pas activé pour le volume
    Suspended BitLocker est suspendu et ne protège pas activement le volume
    En attente d’activation BitLocker est activé avec une clé de protection claire et nécessite une action supplémentaire pour être entièrement protégé

    Si un lecteur est préprovisionné avec BitLocker, l’état « En attente d’activation » s’affiche avec une icône d’exclamation jaune sur le volume. Cet état signifie qu’il n’y avait qu’un protecteur clair utilisé lors du chiffrement du volume. Dans ce cas, le volume n’est pas dans un état protégé et doit avoir une clé sécurisée ajoutée au volume avant que le lecteur ne soit entièrement protégé. Les administrateurs peuvent utiliser le panneau de configuration, l’outil manage-bde ou les API WMI pour ajouter un protecteur de clé approprié. Une fois l’opération terminée, le panneau de configuration est mis à jour pour refléter le nouvel état.

    À l’aide du panneau de configuration, les administrateurs peuvent choisir Activer BitLocker pour démarrer l’Assistant Chiffrement de lecteur BitLocker et ajouter un logiciel de protection, tel que le code pin d’un volume de système d’exploitation (ou le mot de passe s’il n’existe pas de TPM), ou un mot de passe ou un protecteur de carte à puce à un volume de données. La fenêtre de sécurité du lecteur s’affiche avant de modifier l’état du volume. Sélectionnez Activer BitLocker pour terminer le processus de chiffrement.

    Une fois l’activation du logiciel de protection BitLocker terminée, l’avis d’achèvement s’affiche.

    Vérification de l’état BitLocker avec manage-bde

    Les administrateurs qui préfèrent une interface de ligne de commande peuvent utiliser manage-bde pour vérifier l’état du volume. Manage-bde est capable de retourner plus d’informations sur le volume que les outils d’interface utilisateur graphique dans le panneau de configuration. Par exemple, manage-bde peut afficher la version de BitLocker utilisée, le type de chiffrement et les protecteurs associés à un volume.

    Pour vérifier l’état d’un volume à l’aide de manage-bde, utilisez la commande suivante :

    manage-bde -status <volume>
    

    Notes

    Si aucune lettre de volume n’est associée à la commande -status, tous les volumes sur l’ordinateur affichent leur état.

    Vérification de l’état BitLocker avec Windows PowerShell

    Windows PowerShell commandes offrent un autre moyen d’interroger l’état BitLocker pour les volumes. Comme manage-bde, Windows PowerShell offre l’avantage de pouvoir vérifier l’état d’un volume sur un ordinateur distant.

    À l’aide de l’applet de commande Get-BitLockerVolume, chaque volume sur le système affiche son état BitLocker actuel. Pour obtenir des informations plus détaillées sur un volume spécifique, utilisez la commande suivante :

    Get-BitLockerVolume <volume> -Verbose | fl
    

    Cette commande affiche des informations sur la méthode de chiffrement, le type de volume, les logiciels de protection de clé, etc.

    Provisionnement de BitLocker pendant le déploiement du système d’exploitation

    Les administrateurs peuvent activer BitLocker avant le déploiement du système d’exploitation à partir de l’environnement de préinstallation Windows. Pour ce faire, un protecteur de clé clair généré de manière aléatoire est appliqué au volume mis en forme et en chiffrant le volume avant d’exécuter le processus d’installation de Windows. Si le chiffrement utilise l’option Espace disque utilisé uniquement décrite plus loin dans ce document, cette étape ne prend que quelques secondes et s’intègre bien aux processus de déploiement standard.

    Déchiffrement des volumes BitLocker

    Le déchiffrement des volumes supprime BitLocker et tous les logiciels de protection associés des volumes. Le déchiffrement doit se produire lorsque la protection n’est plus nécessaire. Le déchiffrement BitLocker ne doit pas se produire en tant qu’étape de résolution des problèmes. BitLocker peut être supprimé d’un volume à l’aide de l’applet du panneau de configuration BitLocker, de manage-bde ou d’applets de commande Windows PowerShell. Nous allons aborder chaque méthode plus en détail ci-dessous.

    Déchiffrement des volumes à l’aide de l’applet du panneau de configuration BitLocker

    Le déchiffrement BitLocker à l’aide du panneau de configuration s’effectue à l’aide d’un Assistant. Le panneau de configuration peut être appelé à partir de l’Explorateur Windows ou en l’ouvrant directement. Après avoir ouvert le panneau de configuration BitLocker, les utilisateurs sélectionnent l’option Désactiver BitLocker pour commencer le processus. Après avoir sélectionné l’option Désactiver BitLocker , l’utilisateur choisit de continuer en cliquant sur la boîte de dialogue de confirmation. Avec la confirmation de la désactivation de BitLocker , le processus de déchiffrement du lecteur commence et signale l’état au panneau de configuration.

    Le panneau de configuration ne signale pas la progression du déchiffrement, mais l’affiche dans la zone de notification de la barre des tâches. La sélection de l’icône de zone de notification ouvre une boîte de dialogue modale avec progression.

    Une fois le déchiffrement terminé, le lecteur met à jour son état dans le panneau de configuration et devient disponible pour le chiffrement.

    Déchiffrement des volumes à l’aide de l’interface de ligne de commande manage-bde

    Le déchiffrement des volumes à l’aide de manage-bde est simple. Le déchiffrement avec manage-bde offre l’avantage de ne pas exiger la confirmation de l’utilisateur pour démarrer le processus. Manage-bde utilise la commande -off pour démarrer le processus de déchiffrement. Voici un exemple de commande pour le déchiffrement :

    manage-bde -off C:
    

    Cette commande désactive les protecteurs pendant qu’elle déchiffre le volume et supprime tous les protecteurs une fois le déchiffrement terminé. Si les utilisateurs souhaitent vérifier l’état du déchiffrement, ils peuvent utiliser la commande suivante :

    manage-bde -status C:
    

    Déchiffrement des volumes à l’aide des applets de commande BitLocker Windows PowerShell

    Le déchiffrement avec les applets de commande Windows PowerShell est simple, similaire à manage-bde. Windows PowerShell offre la possibilité de déchiffrer plusieurs lecteurs en une seule passe. Dans l’exemple ci-dessous, l’utilisateur a trois volumes chiffrés qu’il souhaite déchiffrer.

    À l’aide de la commande Disable-BitLocker, ils peuvent supprimer tous les protecteurs et le chiffrement en même temps sans avoir besoin de commandes supplémentaires. Voici un exemple de cette commande :

    Disable-BitLocker
    

    Si un utilisateur ne souhaite pas entrer chaque point de montage individuellement, l’utilisation du -MountPoint paramètre dans un tableau peut séquencer la même commande en une seule ligne sans nécessiter d’entrée utilisateur supplémentaire. Voici un exemple de commande :

    Disable-BitLocker -MountPoint E:,F:,G:
    

    Voir également