Partager via


Configurer BitLocker

Pour configurer BitLocker, vous pouvez utiliser l’une des options suivantes :

Remarque

Windows Server ne prend pas en charge la configuration de BitLocker avec csp ou Microsoft Configuration Manager. Utilisez plutôt un objet de stratégie de groupe.

Bien que la plupart des paramètres de stratégie BitLocker puissent être configurés à l’aide du fournisseur de solutions Cloud et de l’objet de stratégie de groupe, certains paramètres ne sont disponibles qu’à l’aide de l’une des options. Pour en savoir plus sur les paramètres de stratégie disponibles pour csp et GPO, consultez la section Paramètres de stratégie BitLocker.

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge la gestion BitLocker :

Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation
Oui Oui Oui Oui

Les droits de licence de gestion BitLocker sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE Windows Entreprise E3 Windows Entreprise E5 Windows Éducation A3 Windows Éducation A5
Non Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Paramètres de stratégie BitLocker

Cette section décrit les paramètres de stratégie pour configurer BitLocker via le fournisseur de services de configuration (CSP) et la stratégie de groupe (GPO).

Important

La plupart des paramètres de stratégie BitLocker sont appliqués lorsque BitLocker est initialement activé pour un lecteur. Le chiffrement n’est pas redémarré si les paramètres changent.

Liste des paramètres de stratégie

La liste des paramètres est triée par ordre alphabétique et organisée en quatre catégories :

  • Paramètres courants : paramètres applicables à tous les lecteurs protégés par BitLocker
  • Lecteur du système d’exploitation : paramètres applicables au lecteur sur lequel Windows est installé
  • Lecteurs de données fixes : paramètres applicables à tous les lecteurs locaux, à l’exception du lecteur du système d’exploitation
  • Lecteurs de données amovibles : paramètres applicables à tous les lecteurs amovibles

Sélectionnez l’un des onglets pour afficher la liste des paramètres disponibles :

Le tableau suivant répertorie les stratégies BitLocker applicables à tous les types de lecteurs, en indiquant si elles sont applicables via le fournisseur de services de configuration (CSP) et/ou la stratégie de groupe (GPO). Sélectionnez le nom de la stratégie pour plus d’informations.

Nom de la stratégie CSP GPO
Autoriser le chiffrement utilisateur standard
Choisir le dossier par défaut pour le mot de passe de récupération
Choisir la méthode de chiffrement de lecteur et la force de chiffrement
Configurer la rotation du mot de passe de récupération
Désactiver les nouveaux appareils DMA lorsque cet ordinateur est verrouillé
Empêcher le remplacement de la mémoire au redémarrage
Fournissez les identificateurs uniques de votre organization
Exiger le chiffrement de l’appareil
Valider la conformité aux règles d’utilisation des certificats smart carte

Autoriser le chiffrement utilisateur standard

Avec cette stratégie, vous pouvez appliquer la stratégie Exiger le chiffrement de l’appareil pour les scénarios où la stratégie est appliquée alors que l’utilisateur actuellement connecté ne dispose pas de droits d’administration.

Important

L’avertissement Autoriser pour les autres stratégies de chiffrement de disque doit être désactivé pour autoriser le chiffrement utilisateur standard.

Chemin d'accès
CSP ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
GPO Non disponible

Choisir le dossier par défaut pour le mot de passe de récupération

Spécifiez le chemin d’accès par défaut qui s’affiche lorsque l’Assistant Installation du chiffrement de lecteur BitLocker invite l’utilisateur à entrer l’emplacement d’un dossier dans lequel enregistrer le mot de passe de récupération. Vous pouvez spécifier un chemin d’accès complet ou inclure les variables d’environnement de l’ordinateur cible dans le chemin d’accès :

  • Si le chemin d’accès n’est pas valide, l’Assistant Installation de BitLocker affiche l’affichage des dossiers de niveau supérieur de l’ordinateur
  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker affiche l’affichage des dossiers de niveau supérieur de l’ordinateur lorsque l’utilisateur choisit l’option pour enregistrer le mot de passe de récupération dans un dossier

Remarque

Ce paramètre de stratégie n’empêche pas l’utilisateur d’enregistrer le mot de passe de récupération dans un autre dossier.

Chemin d'accès
CSP Non disponible
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Choisir la méthode de chiffrement de lecteur et la force de chiffrement

Avec cette stratégie, vous pouvez configurer un algorithme de chiffrement et une puissance de chiffrement de clé pour les lecteurs de données fixes, les lecteurs de système d’exploitation et les lecteurs de données amovibles individuellement.

Paramètres recommandés : XTS-AES algorithme pour tous les lecteurs. Le choix de la taille de clé( 128 bits ou 256 bits) dépend des performances de l’appareil. Pour des disques durs et un processeur plus performants, choisissez une clé 256 bits, pour les moins performants, utilisez 128.

Important

La taille des clés peut être requise par les organismes de réglementation ou le secteur.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise la méthode de chiffrement par défaut de XTS-AES 128-bit.

Remarque

Cette stratégie ne s’applique pas aux lecteurs chiffrés. Les lecteurs chiffrés utilisent leur propre algorithme, qui est défini par le lecteur pendant le partitionnement.

Chemin d'accès
CSP ./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Configurer la rotation du mot de passe de récupération

Avec cette stratégie, vous pouvez configurer une rotation de mot de passe de récupération numérique lors de l’utilisation pour le système d’exploitation et les lecteurs fixes sur Microsoft Entra appareils joints et Microsoft Entra joints hybrides.

Les valeurs possibles sont :

  • 0: la rotation du mot de passe de récupération numérique est désactivée
  • 1: la rotation du mot de passe de récupération numérique lors de l’utilisation est activée pour Microsoft Entra appareils joints. Il s’agit également de la valeur par défaut
  • 2: la rotation numérique du mot de passe de récupération lors de l’utilisation est activée pour les appareils Microsoft Entra joints et les appareils joints Microsoft Entra hybrides

Remarque

La stratégie n’est effective que lorsque l’ID Micropsoft Entra ou la sauvegarde Active Directory pour le mot de passe de récupération est configuré sur obligatoire

  • Pour le lecteur de système d’exploitation : activez Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs du système d’exploitation
  • Pour les lecteurs fixes : activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes
Chemin d'accès
CSP ./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
GPO Non disponible

Désactiver les nouveaux appareils DMA lorsque cet ordinateur est verrouillé

Lorsqu’il est activé, ce paramètre de stratégie bloque l’accès direct à la mémoire (DMA) pour tous les ports PCI enfichables à chaud jusqu’à ce qu’un utilisateur se connecte à Windows.

Une fois qu’un utilisateur se connecte, Windows énumère les appareils PCI connectés aux ports PCI Thunderbolt de l’hôte. Chaque fois que l’utilisateur verrouille l’appareil, DMA est bloqué sur les ports PCI Thunderbolt à chaud sans appareil enfant, jusqu’à ce que l’utilisateur se reconnecte.

Les appareils qui étaient déjà énumérés lorsque l’appareil a été déverrouillé continueront de fonctionner jusqu’à ce qu’ils soient débranchés ou que le système soit redémarré ou bloqué.

Ce paramètre de stratégie est appliqué uniquement lorsque BitLocker ou le chiffrement d’appareil est activé.

Important

Cette stratégie n’est pas compatible avec la protection DMA du noyau. Il est recommandé de désactiver cette stratégie si le système prend en charge la protection DMA du noyau, car la protection DMA du noyau offre une sécurité plus élevée pour le système. Pour plus d’informations sur la protection DMA du noyau, consultez Protection DMA du noyau.

Chemin d'accès
CSP Non disponible
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Empêcher le remplacement de la mémoire au redémarrage

Ce paramètre de stratégie est utilisé pour contrôler si la mémoire de l’ordinateur est remplacée lors du redémarrage de l’appareil. Les secrets BitLocker incluent le matériel de clé utilisé pour chiffrer les données.

  • Si vous activez ce paramètre de stratégie, la mémoire n’est pas remplacée lors du redémarrage de l’ordinateur. La prévention du remplacement de la mémoire peut améliorer les performances de redémarrage, mais augmente le risque d’exposition des secrets BitLocker.
  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les secrets BitLocker sont supprimés de la mémoire lors du redémarrage de l’ordinateur.

Remarque

Ce paramètre de stratégie s’applique uniquement lorsque la protection BitLocker est activée.

Chemin d'accès
CSP Non disponible
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Fournissez les identificateurs uniques de votre organization

Ce paramètre de stratégie vous permet d’associer des identificateurs organisationnels uniques à un lecteur chiffré avec BitLocker. Les identificateurs sont stockés en tant que champ d’identification et champ d’identification autorisé :

  • Le champ d’identification vous permet d’associer un identificateur organisationnel unique à des lecteurs protégés par BitLocker. Cet identificateur est automatiquement ajouté aux nouveaux lecteurs protégés par BitLocker et peut être mis à jour sur les lecteurs protégés par BitLocker existants à l’aide de l’outil Chiffrement de lecteur BitLocker : Configuration (manage-bde.exe)
  • Le champ d’identification autorisé est utilisé en combinaison avec le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker pour contrôler l’utilisation des lecteurs amovibles dans votre organization. Il s’agit d’une liste de champs d’identification séparés par des virgules de votre organization ou d’autres organisations externes. Vous pouvez configurer les champs d’identification sur des lecteurs existants à l’aide manage-bde.exede .

Si vous activez ce paramètre de stratégie, vous pouvez configurer le champ d’identification sur le lecteur protégé par BitLocker et tout champ d’identification autorisé utilisé par votre organization. Lorsqu’un lecteur protégé par BitLocker est monté sur un autre appareil avec BitLocker, le champ d’identification et le champ d’identification autorisé sont utilisés pour déterminer si le lecteur provient d’un autre organization.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le champ d’identification n’est pas obligatoire.

Important

Les champs d’identification sont requis pour la gestion des agents de récupération de données basés sur les certificats sur les lecteurs protégés par BitLocker. BitLocker gère et met à jour les agents de récupération de données basés sur les certificats uniquement lorsque le champ d’identification est présent sur un lecteur et est identique à la valeur configurée sur l’appareil. Le champ d’identification peut contenir n’importe quelle valeur de 260 caractères ou moins.

Chemin d'accès
CSP ./Device/Vendor/MSFT/BitLocker/Champ d’identification
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Exiger le chiffrement de l’appareil

Ce paramètre de stratégie détermine si BitLocker est requis :

  • S’il est activé, le chiffrement est déclenché sur tous les lecteurs en mode silencieux ou non en mode silencieux en fonction de l’avertissement Autoriser pour une autre stratégie de chiffrement de disque
  • S’il est désactivé, BitLocker n’est pas désactivé pour le lecteur système, mais il cesse d’inviter l’utilisateur à activer BitLocker.

Remarque

En règle générale, BitLocker suit la configuration choisir la méthode de chiffrement de lecteur et la configuration de la stratégie de force de chiffrement. Toutefois, ce paramètre de stratégie sera ignoré pour les lecteurs fixes à chiffrement automatique et les lecteurs de système d’exploitation autochiffrés.

Les volumes de données fixes pouvant être chiffrés sont traités de la même manière que les volumes de système d’exploitation, mais ils doivent répondre à d’autres critères pour pouvoir être chiffrés :

  • Il ne doit pas s’agir d’un volume dynamique
  • Il ne doit pas s’agir d’une partition de récupération
  • Il ne doit pas s’agir d’un volume masqué
  • Il ne doit pas s’agir d’une partition système
  • Il ne doit pas être sauvegardé par un stockage virtuel
  • Il ne doit pas avoir de référence dans le magasin BCD

Remarque

Seul le chiffrement de disque complet est pris en charge lors de l’utilisation de cette stratégie pour le chiffrement en mode silencieux. Pour le chiffrement non silencieux, le type de chiffrement dépend des stratégies Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation et Appliquer le type de chiffrement de lecteur sur les lecteurs de données fixes configurées sur l’appareil.

Chemin d'accès
CSP ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
GPO Non disponible

Valider la conformité aux règles d’utilisation des certificats smart carte

Ce paramètre de stratégie est utilisé pour déterminer le certificat à utiliser avec BitLocker en associant un identificateur d’objet (OID) d’un certificat smart carte à un lecteur protégé par BitLocker. L’identificateur d’objet est spécifié dans l’utilisation améliorée de la clé (EKU) d’un certificat.

BitLocker peut identifier les certificats qui peuvent être utilisés pour authentifier un certificat utilisateur sur un lecteur protégé par BitLocker en faisant correspondre l’identificateur d’objet dans le certificat avec l’identificateur d’objet défini par ce paramètre de stratégie. L’OID par défaut est 1.3.6.1.4.1.311.67.1.1.

Si vous activez ce paramètre de stratégie, l’identificateur d’objet spécifié dans le champ Identificateur d’objet doit correspondre à l’identificateur d’objet dans le certificat smart carte. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’OID par défaut est utilisé.

Remarque

BitLocker ne nécessite pas qu’un certificat ait un attribut EKU ; Toutefois, si un est configuré pour le certificat, il doit être défini sur un identificateur d’objet qui correspond à l’identificateur d’objet configuré pour BitLocker.

Chemin d'accès
CSP Non disponible
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Conformité de BitLocker et des paramètres de stratégie

Si un appareil n’est pas conforme aux paramètres de stratégie configurés, BitLocker peut ne pas être activé ou la configuration BitLocker peut être modifiée jusqu’à ce que l’appareil soit dans un état conforme. Lorsqu’un lecteur devient non conforme aux paramètres de stratégie, seules les modifications apportées à la configuration BitLocker qui le mettent en conformité sont autorisées. Ce scénario peut se produire, par exemple, si un lecteur précédemment chiffré devient non conforme par une modification du paramètre de stratégie.

Si plusieurs modifications sont nécessaires pour mettre le lecteur en conformité, il peut être nécessaire de suspendre la protection BitLocker, d’apporter les modifications nécessaires, puis de reprendre la protection. Une telle situation peut se produire, par exemple, si un lecteur amovible est initialement configuré pour le déverrouillage avec un mot de passe, puis que les paramètres de stratégie sont modifiés pour exiger des cartes à puce. Dans ce scénario, la protection BitLocker doit être suspendue, supprimer la méthode de déverrouillage de mot de passe et ajouter la méthode smart carte. Une fois ce processus terminé, BitLocker est conforme au paramètre de stratégie et la protection BitLocker sur le lecteur peut reprendre.

Dans d’autres scénarios, pour mettre le lecteur en conformité avec une modification des paramètres de stratégie, BitLocker peut avoir besoin d’être désactivé et le lecteur déchiffré, puis de réactiver BitLocker, puis de le chiffrer à nouveau. Un exemple de ce scénario est lorsque la méthode de chiffrement BitLocker ou la force de chiffrement est modifiée.

Pour en savoir plus sur la gestion de BitLocker, consultez le guide des opérations BitLocker.

Configurer et gérer des serveurs

Les serveurs sont souvent déployés, configurés et gérés à l’aide de PowerShell. Il est recommandé d’utiliser les paramètres de stratégie de groupe pour configurer BitLocker sur les serveurs et de gérer BitLocker à l’aide de PowerShell.

BitLocker est un composant facultatif dans Windows Server. Suivez les instructions dans Installer BitLocker sur Windows Server pour ajouter le composant facultatif BitLocker.

L’Interface serveur minimale est un composant requis pour certains outils d’administration BitLocker. Sur une installation Server Core , les composants d’interface graphique utilisateur nécessaires doivent d’abord être ajoutés. Les étapes permettant d’ajouter des composants du shell à Server Core sont décrites dans Utilisation des fonctionnalités à la demande avec les systèmes mis à jour et les images corrigées et dans Mise à jour du média source local pour ajouter des rôles et des fonctionnalités. Si un serveur est installé manuellement, le choix du serveur avec expérience utilisateur est le chemin le plus simple, car il évite d’effectuer les étapes d’ajout d’une interface graphique graphique à Server Core.

Les centres de données lumineux peuvent tirer parti de la sécurité renforcée d’un deuxième facteur tout en évitant d’avoir besoin d’intervention de l’utilisateur lors des redémarrages en utilisant éventuellement une combinaison de BitLocker (TPM+PIN) et de déverrouillage réseau BitLocker. Le déverrouillage réseau BitLocker réunit le meilleur de la protection matérielle, la dépendance d’emplacement, et le déverrouillage automatique, le tout à un emplacement fiable. Pour connaître les étapes de configuration, consultez Déverrouillage réseau.

Étapes suivantes

Consultez le guide des opérations BitLocker pour découvrir comment utiliser différents outils pour gérer et utiliser BitLocker.

Guide des opérations BitLocker >