Configurer BitLocker

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Pour configurer BitLocker, vous pouvez utiliser l’une des options suivantes :

• Fournisseur de services de configuration (CSP) : cette option est couramment utilisée pour les appareils gérés par une solution mobile Gestion des appareils (GPM), comme Microsoft Intune. Le fournisseur de services de configuration BitLocker est utilisé pour configurer BitLocker et signaler la status de différentes fonctions BitLocker à la solution MDM. Avec Microsoft Intune, vous pouvez utiliser l’status BitLocker dans les stratégies de conformité, en les combinant avec l’accès conditionnel. L’accès conditionnel peut empêcher ou accorder l’accès à des services tels que Exchange Online et SharePoint Online, en fonction des status de BitLocker. Pour en savoir plus sur les options de Intune pour configurer et surveiller BitLocker, case activée les articles suivants :
  • Gérer la stratégie BitLocker pour les appareils Windows avec Intune
  • Surveiller le chiffrement de l’appareil avec Intune
  • Utilisez des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune
• Stratégie de groupe (GPO) : cette option peut être utilisée pour les appareils qui sont joints à un domaine Active Directory et qui ne sont pas gérés par une solution de gestion des appareils. La stratégie de groupe peut également être utilisée pour les appareils qui ne sont pas joints à un domaine Active Directory, à l’aide de l’éditeur de stratégie de groupe local
• Microsoft Configuration Manager : cette option peut être utilisée pour les appareils gérés par Microsoft Configuration Manager à l’aide de l’agent de gestion BitLocker. Pour en savoir plus sur les options de configuration de BitLocker via Microsoft Configuration Manager, consultez Déployer la gestion BitLocker

Remarque

Windows Server ne prend pas en charge la configuration de BitLocker avec csp ou Microsoft Configuration Manager. Utilisez plutôt un objet de stratégie de groupe.

Bien que la plupart des paramètres de stratégie BitLocker puissent être configurés à l’aide du fournisseur de solutions Cloud et de l’objet de stratégie de groupe, certains paramètres ne sont disponibles qu’à l’aide de l’une des options. Pour en savoir plus sur les paramètres de stratégie disponibles pour csp et GPO, consultez la section Paramètres de stratégie BitLocker.

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge la gestion BitLocker :

Windows Pro	Windows Entreprise	Windows Pro Education/SE	Windows Éducation
Oui	Oui	Oui	Oui

Les droits de licence de gestion BitLocker sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE	Windows Entreprise E3	Windows Entreprise E5	Windows Éducation A3	Windows Éducation A5
Non	Oui	Oui	Oui	Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Paramètres de stratégie BitLocker

Cette section décrit les paramètres de stratégie pour configurer BitLocker via le fournisseur de services de configuration (CSP) et la stratégie de groupe (GPO).

Important

La plupart des paramètres de stratégie BitLocker sont appliqués lorsque BitLocker est initialement activé pour un lecteur. Le chiffrement n’est pas redémarré si les paramètres changent.

Liste des paramètres de stratégie

La liste des paramètres est triée par ordre alphabétique et organisée en quatre catégories :

• Paramètres courants : paramètres applicables à tous les lecteurs protégés par BitLocker
• Lecteur du système d’exploitation : paramètres applicables au lecteur sur lequel Windows est installé
• Lecteurs de données fixes : paramètres applicables à tous les lecteurs locaux, à l’exception du lecteur du système d’exploitation
• Lecteurs de données amovibles : paramètres applicables à tous les lecteurs amovibles

Sélectionnez l’un des onglets pour afficher la liste des paramètres disponibles :

Paramètres communs

Le tableau suivant répertorie les stratégies BitLocker applicables à tous les types de lecteurs, en indiquant si elles sont applicables via le fournisseur de services de configuration (CSP) et/ou la stratégie de groupe (GPO). Sélectionnez le nom de la stratégie pour plus d’informations.

Nom de la stratégie	CSP	GPO
Autoriser le chiffrement utilisateur standard	✅	❌
Choisir le dossier par défaut pour le mot de passe de récupération	❌	✅
Choisir la méthode de chiffrement de lecteur et la force de chiffrement	✅	✅
Configurer la rotation du mot de passe de récupération	✅	❌
Désactiver les nouveaux appareils DMA lorsque cet ordinateur est verrouillé	❌	✅
Empêcher le remplacement de la mémoire au redémarrage	❌	✅
Fournissez les identificateurs uniques de votre organization	✅	✅
Exiger le chiffrement de l’appareil	✅	❌
Valider la conformité aux règles d’utilisation des certificats smart carte	❌	✅

Autoriser le chiffrement utilisateur standard

Avec cette stratégie, vous pouvez appliquer la stratégie Exiger le chiffrement de l’appareil pour les scénarios où la stratégie est appliquée alors que l’utilisateur actuellement connecté ne dispose pas de droits d’administration.

Important

L’avertissement Autoriser pour les autres stratégies de chiffrement de disque doit être désactivé pour autoriser le chiffrement utilisateur standard.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ AllowStandardUserEncryption
GPO	Non disponible

Choisir le dossier par défaut pour le mot de passe de récupération

Spécifiez le chemin d’accès par défaut qui s’affiche lorsque l’Assistant Installation du chiffrement de lecteur BitLocker invite l’utilisateur à entrer l’emplacement d’un dossier dans lequel enregistrer le mot de passe de récupération. Vous pouvez spécifier un chemin d’accès complet ou inclure les variables d’environnement de l’ordinateur cible dans le chemin d’accès :

• Si le chemin d’accès n’est pas valide, l’Assistant Installation de BitLocker affiche l’affichage des dossiers de niveau supérieur de l’ordinateur
• Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker affiche l’affichage des dossiers de niveau supérieur de l’ordinateur lorsque l’utilisateur choisit l’option pour enregistrer le mot de passe de récupération dans un dossier

Remarque

Ce paramètre de stratégie n’empêche pas l’utilisateur d’enregistrer le mot de passe de récupération dans un autre dossier.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Choisir la méthode de chiffrement de lecteur et la force de chiffrement

Avec cette stratégie, vous pouvez configurer un algorithme de chiffrement et une puissance de chiffrement de clé pour les lecteurs de données fixes, les lecteurs de système d’exploitation et les lecteurs de données amovibles individuellement.

Paramètres recommandés : XTS-AES algorithme pour tous les lecteurs. Le choix de la taille de clé( 128 bits ou 256 bits) dépend des performances de l’appareil. Pour des disques durs et un processeur plus performants, choisissez une clé 256 bits, pour les moins performants, utilisez 128.

Important

La taille des clés peut être requise par les organismes de réglementation ou le secteur.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise la méthode de chiffrement par défaut de XTS-AES 128-bit.

Remarque

Cette stratégie ne s’applique pas aux lecteurs chiffrés. Les lecteurs chiffrés utilisent leur propre algorithme, qui est défini par le lecteur pendant le partitionnement.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ EncryptionMethodByDriveType
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Configurer la rotation du mot de passe de récupération

Avec cette stratégie, vous pouvez configurer une rotation de mot de passe de récupération numérique lors de l’utilisation pour le système d’exploitation et les lecteurs fixes sur Microsoft Entra appareils joints et Microsoft Entra joints hybrides.

Les valeurs possibles sont :

• 0: la rotation du mot de passe de récupération numérique est désactivée
• 1: la rotation du mot de passe de récupération numérique lors de l’utilisation est activée pour Microsoft Entra appareils joints. Il s’agit également de la valeur par défaut
• 2: la rotation numérique du mot de passe de récupération lors de l’utilisation est activée pour les appareils Microsoft Entra joints et les appareils joints Microsoft Entra hybrides

Remarque

La stratégie n’est effective que lorsque l’ID Micropsoft Entra ou la sauvegarde Active Directory pour le mot de passe de récupération est configuré sur obligatoire

• Pour le lecteur de système d’exploitation : activez Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs du système d’exploitation
• Pour les lecteurs fixes : activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ ConfigureRecoveryPasswordRotation
GPO	Non disponible

Désactiver les nouveaux appareils DMA lorsque cet ordinateur est verrouillé

Lorsqu’il est activé, ce paramètre de stratégie bloque l’accès direct à la mémoire (DMA) pour tous les ports PCI enfichables à chaud jusqu’à ce qu’un utilisateur se connecte à Windows.

Une fois qu’un utilisateur se connecte, Windows énumère les appareils PCI connectés aux ports PCI Thunderbolt de l’hôte. Chaque fois que l’utilisateur verrouille l’appareil, DMA est bloqué sur les ports PCI Thunderbolt à chaud sans appareil enfant, jusqu’à ce que l’utilisateur se reconnecte.

Les appareils qui étaient déjà énumérés lorsque l’appareil a été déverrouillé continueront de fonctionner jusqu’à ce qu’ils soient débranchés ou que le système soit redémarré ou bloqué.

Ce paramètre de stratégie est appliqué uniquement lorsque BitLocker ou le chiffrement d’appareil est activé.

Important

Cette stratégie n’est pas compatible avec la protection DMA du noyau. Il est recommandé de désactiver cette stratégie si le système prend en charge la protection DMA du noyau, car la protection DMA du noyau offre une sécurité plus élevée pour le système. Pour plus d’informations sur la protection DMA du noyau, consultez Protection DMA du noyau.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Empêcher le remplacement de la mémoire au redémarrage

Ce paramètre de stratégie est utilisé pour contrôler si la mémoire de l’ordinateur est remplacée lors du redémarrage de l’appareil. Les secrets BitLocker incluent le matériel de clé utilisé pour chiffrer les données.

• Si vous activez ce paramètre de stratégie, la mémoire n’est pas remplacée lors du redémarrage de l’ordinateur. La prévention du remplacement de la mémoire peut améliorer les performances de redémarrage, mais augmente le risque d’exposition des secrets BitLocker.
• Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les secrets BitLocker sont supprimés de la mémoire lors du redémarrage de l’ordinateur.

Remarque

Ce paramètre de stratégie s’applique uniquement lorsque la protection BitLocker est activée.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Fournissez les identificateurs uniques de votre organization

Ce paramètre de stratégie vous permet d’associer des identificateurs organisationnels uniques à un lecteur chiffré avec BitLocker. Les identificateurs sont stockés en tant que champ d’identification et champ d’identification autorisé :

• Le champ d’identification vous permet d’associer un identificateur organisationnel unique à des lecteurs protégés par BitLocker. Cet identificateur est automatiquement ajouté aux nouveaux lecteurs protégés par BitLocker et peut être mis à jour sur les lecteurs protégés par BitLocker existants à l’aide de l’outil Chiffrement de lecteur BitLocker : Configuration (manage-bde.exe)
• Le champ d’identification autorisé est utilisé en combinaison avec le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker pour contrôler l’utilisation des lecteurs amovibles dans votre organization. Il s’agit d’une liste de champs d’identification séparés par des virgules de votre organization ou d’autres organisations externes. Vous pouvez configurer les champs d’identification sur des lecteurs existants à l’aide manage-bde.exede .

Si vous activez ce paramètre de stratégie, vous pouvez configurer le champ d’identification sur le lecteur protégé par BitLocker et tout champ d’identification autorisé utilisé par votre organization. Lorsqu’un lecteur protégé par BitLocker est monté sur un autre appareil avec BitLocker, le champ d’identification et le champ d’identification autorisé sont utilisés pour déterminer si le lecteur provient d’un autre organization.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le champ d’identification n’est pas obligatoire.

Important

Les champs d’identification sont requis pour la gestion des agents de récupération de données basés sur les certificats sur les lecteurs protégés par BitLocker. BitLocker gère et met à jour les agents de récupération de données basés sur les certificats uniquement lorsque le champ d’identification est présent sur un lecteur et est identique à la valeur configurée sur l’appareil. Le champ d’identification peut contenir n’importe quelle valeur de 260 caractères ou moins.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ Champ d’identification
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Exiger le chiffrement de l’appareil

Ce paramètre de stratégie détermine si BitLocker est requis :

• S’il est activé, le chiffrement est déclenché sur tous les lecteurs en mode silencieux ou non en mode silencieux en fonction de l’avertissement Autoriser pour une autre stratégie de chiffrement de disque
• S’il est désactivé, BitLocker n’est pas désactivé pour le lecteur système, mais il cesse d’inviter l’utilisateur à activer BitLocker.

Remarque

En règle générale, BitLocker suit la configuration choisir la méthode de chiffrement de lecteur et la configuration de la stratégie de force de chiffrement. Toutefois, ce paramètre de stratégie sera ignoré pour les lecteurs fixes à chiffrement automatique et les lecteurs de système d’exploitation autochiffrés.

Les volumes de données fixes pouvant être chiffrés sont traités de la même manière que les volumes de système d’exploitation, mais ils doivent répondre à d’autres critères pour pouvoir être chiffrés :

• Il ne doit pas s’agir d’un volume dynamique
• Il ne doit pas s’agir d’une partition de récupération
• Il ne doit pas s’agir d’un volume masqué
• Il ne doit pas s’agir d’une partition système
• Il ne doit pas être sauvegardé par un stockage virtuel
• Il ne doit pas avoir de référence dans le magasin BCD

Remarque

Seul le chiffrement de disque complet est pris en charge lors de l’utilisation de cette stratégie pour le chiffrement en mode silencieux. Pour le chiffrement non silencieux, le type de chiffrement dépend des stratégies Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation et Appliquer le type de chiffrement de lecteur sur les lecteurs de données fixes configurées sur l’appareil.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ RequireDeviceEncryption
GPO	Non disponible

Valider la conformité aux règles d’utilisation des certificats smart carte

Ce paramètre de stratégie est utilisé pour déterminer le certificat à utiliser avec BitLocker en associant un identificateur d’objet (OID) d’un certificat smart carte à un lecteur protégé par BitLocker. L’identificateur d’objet est spécifié dans l’utilisation améliorée de la clé (EKU) d’un certificat.

BitLocker peut identifier les certificats qui peuvent être utilisés pour authentifier un certificat utilisateur sur un lecteur protégé par BitLocker en faisant correspondre l’identificateur d’objet dans le certificat avec l’identificateur d’objet défini par ce paramètre de stratégie. L’OID par défaut est 1.3.6.1.4.1.311.67.1.1.

Si vous activez ce paramètre de stratégie, l’identificateur d’objet spécifié dans le champ Identificateur d’objet doit correspondre à l’identificateur d’objet dans le certificat smart carte. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’OID par défaut est utilisé.

Remarque

BitLocker ne nécessite pas qu’un certificat ait un attribut EKU ; Toutefois, si un est configuré pour le certificat, il doit être défini sur un identificateur d’objet qui correspond à l’identificateur d’objet configuré pour BitLocker.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker

Lecteur du système d’exploitation

Nom de la stratégie	CSP	GPO
Autoriser les appareils compatibles avec InstantGo ou HSTI à refuser le code confidentiel avant le démarrage	✅	✅
Autoriser les codes confidentiels améliorés pour le démarrage	✅	✅
Autoriser le déverrouillage réseau au démarrage	❌	✅
Autoriser le démarrage sécurisé pour la validation de l’intégrité	❌	✅
Avertissement d’autorisation pour un autre chiffrement de disque	✅	❌
Choisir la façon dont les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés	✅	✅
Configurer la longueur minimale du code confidentiel pour le démarrage	✅	✅
Configurer le message de récupération et l’URL de prédémarrisation	✅	✅
Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme basées sur le BIOS	❌	✅
Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme UEFI natives	❌	✅
Configurer l’utilisation du chiffrement matériel pour les lecteurs de système d’exploitation	❌	✅
Configurer l’utilisation des mots de passe pour les lecteurs de système d’exploitation	❌	✅
Interdire aux utilisateurs standard de modifier le code confidentiel ou le mot de passe	✅	✅
Activer l’utilisation de l’authentification BitLocker nécessitant une entrée clavier de prédémarrage sur les ardoises	✅	✅
Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation	✅	✅
Exiger une authentification supplémentaire au démarrage	✅	✅
Réinitialiser les données de validation de la plateforme après la récupération BitLocker	❌	✅
Utiliser le profil de validation des données de configuration de démarrage amélioré	❌	✅

Autoriser les appareils compatibles avec InstantGo ou HSTI à refuser le code confidentiel de prédémarrage

Ce paramètre de stratégie permet aux utilisateurs sur les appareils qui sont conformes à InstantGo ou à l’interface de test de sécurité matérielle Microsoft (HSTI) de ne pas avoir de code confidentiel pour l’authentification de prédémarrage.

La stratégie remplace les options Exiger le code pin de démarrage avec TPM et Exiger une clé de démarrage et un code confidentiel avec TPM de la stratégie Exiger une authentification supplémentaire au démarrage sur le matériel conforme.

• Si vous activez ce paramètre de stratégie, les utilisateurs sur des appareils compatibles InstantGo et HSTI peuvent activer BitLocker sans authentification préalable au démarrage
• Si la stratégie est désactivée ou non configurée, les options de la stratégie Exiger une authentification supplémentaire au démarrage s’appliquent

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Autoriser les codes confidentiels améliorés pour le démarrage

Ce paramètre permet d’utiliser des codes confidentiels améliorés lorsqu’une méthode de déverrouillage qui inclut un code pin est utilisée.

Les codes confidentiels de démarrage améliorés permettent d’utiliser des caractères (y compris des lettres majuscules et minuscules, des symboles, des chiffres et des espaces).

Important

Tous les ordinateurs ne prennent pas en charge les caractères confidentiels améliorés dans l’environnement de prédémarrage. Il est fortement recommandé aux utilisateurs d’effectuer une case activée système pendant l’installation de BitLocker pour vérifier que les caractères de code confidentiel améliorés peuvent être utilisés.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnhancedPIN
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Autoriser le déverrouillage réseau au démarrage

Ce paramètre de stratégie détermine si un appareil protégé par BitLocker connecté à un réseau local câblé (LAN) approuvé peut créer et utiliser des protecteurs de clé réseau sur des ordinateurs compatibles TPM pour déverrouiller automatiquement le lecteur du système d’exploitation au démarrage de l’ordinateur.

Si vous activez cette stratégie, les appareils configurés avec un certificat de déverrouillage réseau BitLocker peuvent créer et utiliser des protecteurs de clé réseau. Pour utiliser un protecteur de clé réseau pour déverrouiller l’ordinateur, l’ordinateur et le serveur de déverrouillage réseau de chiffrement de lecteur BitLocker doivent être approvisionnés avec un certificat de déverrouillage réseau. Le certificat de déverrouillage réseau est utilisé pour créer des protecteurs de clé réseau et protège les informations échangées avec le serveur pour déverrouiller l’ordinateur.

Le paramètre stratégie de groupe Configuration> ordinateurParamètres Windows Paramètres>de sécurité Stratégies>de clé publique Stratégies>de chiffrement de lecteur BitLocker Certificat de déverrouillage réseau peut être utilisé sur le contrôleur de domaine pour distribuer ce certificat aux ordinateurs dans le organization. Cette méthode de déverrouillage utilise le TPM sur l’ordinateur, de sorte que les ordinateurs qui n’ont pas de module de plateforme sécurisée ne peuvent pas créer de protecteurs de clé réseau pour se déverrouiller automatiquement avec le déverrouillage réseau.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les clients BitLocker ne pourront pas créer et utiliser des protecteurs de clé réseau.

Remarque

Pour assurer la fiabilité et la sécurité, les ordinateurs doivent également disposer d’un code pin de démarrage TPM qui peut être utilisé lorsque l’ordinateur est déconnecté du réseau câblé ou du serveur au démarrage.

Pour plus d’informations sur la fonctionnalité de déverrouillage réseau, consultez BitLocker : Comment activer le déverrouillage réseau

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Autoriser le démarrage sécurisé pour la validation de l’intégrité

Ce paramètre de stratégie vous permet de configurer si le démarrage sécurisé est autorisé en tant que fournisseur d’intégrité de la plateforme pour les lecteurs de système d’exploitation BitLocker.

Le démarrage sécurisé garantit que l’environnement de prédémarrage de l’appareil ne charge que le microprogramme signé numériquement par les éditeurs de logiciels autorisés.

• Si vous activez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise le démarrage sécurisé pour l’intégrité de la plateforme si la plateforme est capable de valider l’intégrité basée sur le démarrage sécurisé
• Si vous désactivez ce paramètre de stratégie, BitLocker utilise la validation de l’intégrité de la plateforme héritée, même sur les systèmes capables de valider l’intégrité basée sur le démarrage sécurisé

Lorsque cette stratégie est activée et que le matériel est capable d’utiliser le démarrage sécurisé pour les scénarios BitLocker, le paramètre de stratégie Utiliser le profil de validation des données de configuration de démarrage améliorée est ignoré et le démarrage sécurisé vérifie les paramètres BCD en fonction du paramètre de stratégie de démarrage sécurisé, qui est configuré séparément de BitLocker.

Remarque

Si le paramètre de stratégie Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme UEFI natives est activé et que le protocole PCR 7 est omis, BitLocker ne peut pas utiliser le démarrage sécurisé pour la validation de l’intégrité de la plateforme ou des données de configuration de démarrage (BCD).

Warning

La désactivation de cette stratégie peut entraîner une récupération BitLocker lorsque le microprogramme spécifique au fabricant est mis à jour. Si cette stratégie est désactivée, suspendez BitLocker avant d’appliquer les mises à jour du microprogramme.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Avertissement d’autorisation pour un autre chiffrement de disque

Avec cette stratégie, vous pouvez désactiver toutes les notifications pour le chiffrement, l’invite d’avertissement pour un autre chiffrement de disque et activer le chiffrement en mode silencieux.

Important

Cette stratégie s’applique uniquement aux appareils joints Microsoft Entra.

Cette stratégie prend effet uniquement si l’option Exiger la stratégie de chiffrement d’appareil est activée.

Warning

Lorsque vous activez BitLocker sur un appareil avec un chiffrement non-Microsoft, cela peut rendre l’appareil inutilisable et nécessiter la réinstallation de Windows.

Les valeurs attendues pour cette stratégie sont les suivantes :

• Activé (par défaut) : l’invite d’avertissement et la notification de chiffrement sont autorisées
• Désactivé : l’invite d’avertissement et la notification de chiffrement sont supprimées. Windows tentera d’activer BitLocker en mode silencieux

Remarque

Lorsque vous désactivez l’invite d’avertissement, la clé de récupération du lecteur de système d’exploitation est sauvegardée dans le compte Microsoft Entra ID de l’utilisateur. Lorsque vous autorisez l’invite d’avertissement, l’utilisateur qui reçoit l’invite peut sélectionner l’emplacement où sauvegarder la clé de récupération du lecteur du système d’exploitation.

Le point de terminaison pour la sauvegarde d’un lecteur de données fixe est choisi dans l’ordre suivant :

1. Compte Windows Server Active Directory Domain Services de l’utilisateur
2. Compte Microsoft Entra ID de l’utilisateur
3. OneDrive personnel de l’utilisateur (MDM/GAM uniquement)

Le chiffrement attend que l’un de ces trois emplacements soit correctement sauvegardé.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ AllowWarningForOtherDiskEncryption
GPO	Non disponible

Choisir la façon dont les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés

Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de système d’exploitation protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises. Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de système d’exploitation protégés par BitLocker. Voici les options disponibles :

• Autoriser l’agent de récupération de données basé sur un certificat : spécifiez si un agent de récupération de données peut être utilisé avec des lecteurs de système d’exploitation protégés par BitLocker. Avant qu’un agent de récupération de données puisse être utilisé, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion stratégie de groupe ou la stratégie de groupe Rédacteur locale
• Configurer le stockage utilisateur des informations de récupération BitLocker : indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération de 256 bits
• Omettre les options de récupération de l’Assistant Installation de BitLocker : empêche les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker pour un lecteur. Cela signifie que les utilisateurs ne pourront pas spécifier l’option de récupération à utiliser lorsqu’ils activent BitLocker. Les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie
• Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory : choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de système d’exploitation. Si vous sélectionnez Mot de passe de récupération de sauvegarde et package de clé, le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez Mot de passe de récupération de sauvegarde uniquement, seul le mot de passe de récupération est stocké dans AD DS
• N’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de système d’exploitation : empêche les utilisateurs d’activer BitLocker, sauf si l’appareil est connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS réussit. Lorsque vous utilisez cette option, un mot de passe de récupération est généré automatiquement.

Si ce paramètre de stratégie est désactivé ou non configuré, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.

Pour Microsoft Entra appareils joints hybrides, le mot de passe de récupération BitLocker est sauvegardé dans Active Directory et l’ID Entra.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRecoveryOptions
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Configurer la longueur minimale du code confidentiel pour le démarrage

Cette stratégie configure une longueur minimale pour un code pin de démarrage du module de plateforme sécurisée (TPM). Le code pin de démarrage doit avoir une longueur minimale de 4 chiffres et peut avoir une longueur maximale de 20 chiffres.

Si vous activez ce paramètre de stratégie, vous pouvez exiger l’utilisation d’un nombre minimal de chiffres lors de la définition du code confidentiel de démarrage.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent configurer un code pin de démarrage de n’importe quelle longueur comprise entre 6 et 20 chiffres.

Le module de plateforme sécurisée peut être configuré pour utiliser les paramètres de prévention des attaques par dictionnaire (seuil de verrouillage et durée de verrouillage pour contrôler le nombre de tentatives d’autorisation ayant échoué avant le verrouillage du module de plateforme sécurisée et le temps qui doit s’écouler avant qu’une autre tentative puisse être effectuée.

Les paramètres de prévention des attaques par dictionnaire permettent d’équilibrer les besoins de sécurité et la facilité d’utilisation. Par exemple, lorsque BitLocker est utilisé avec une configuration TPM + PIN, le nombre de suppositions de code confidentiel est limité au fil du temps. Dans cet exemple, un module TPM 2.0 peut être configuré pour n’autoriser que 32 estimations de code confidentiel immédiatement, puis une seule estimation de plus toutes les deux heures. Ce nombre de tentatives s’élève à un maximum d’environ 4415 estimations par an. Si le code confidentiel est à quatre chiffres, toutes les combinaisons de code confidentiel possibles de 9999 peuvent être tentées dans un peu plus de deux ans.

Astuce

L’augmentation de la longueur du code confidentiel nécessite un plus grand nombre de suppositions pour un attaquant. Dans ce cas, la durée de verrouillage entre chaque estimation peut être raccourcie pour permettre aux utilisateurs légitimes de réessayer plus tôt une tentative ayant échoué, tout en conservant un niveau de protection similaire.

Remarque

Si la longueur minimale du code confidentiel est inférieure à 6 chiffres, Windows tente de mettre à jour la période de verrouillage TPM 2.0 pour qu’elle soit supérieure à la valeur par défaut lorsqu’un code confidentiel est modifié. En cas de réussite, Windows réinitialise uniquement la période de verrouillage du module de plateforme sécurisée à la valeur par défaut si le module de plateforme sécurisée est réinitialisé.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesMinimumPINLength
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Configurer le message et l’URL de récupération de prédémarrage

Ce paramètre de stratégie est utilisé pour configurer le message de récupération et remplacer l’URL existante qui s’affiche sur l’écran de récupération de prédémarrage lorsque le lecteur du système d’exploitation est verrouillé.

• Si vous sélectionnez l’option Utiliser le message de récupération et l’URL par défaut , le message et l’URL de récupération BitLocker par défaut s’affichent dans l’écran de récupération de la clé de prédémarrage. Si vous avez précédemment configuré un message ou une URL de récupération personnalisé et que vous souhaitez revenir au message par défaut, vous devez conserver la stratégie activée et sélectionner l’option Utiliser le message et l’URL de récupération par défaut
• Si vous sélectionnez l’option Utiliser un message de récupération personnalisé , le message que vous ajoutez à l’option Message de récupération personnalisé s’affiche dans l’écran de récupération de la clé de prédémarrage. Si une URL de récupération est disponible, incluez-la dans le message
• Si vous sélectionnez l’option Utiliser une URL de récupération personnalisée , l’URL que vous ajoutez à l’option URL de récupération personnalisée remplace l’URL par défaut dans le message de récupération par défaut, qui s’affiche dans l’écran de récupération de la clé de prédémarrage

Remarque

Tous les caractères et langues ne sont pas pris en charge dans le prédémarrement. Il est fortement recommandé de tester que les caractères que vous utilisez pour le message ou l’URL personnalisé s’affichent correctement sur l’écran de récupération préalable au démarrage.

Pour plus d’informations sur l’écran de récupération de prédémarrage BitLocker, consultez l’écran de récupération de prédémarrage.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRecoveryMessage
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme basées sur le BIOS

Ce paramètre de stratégie détermine les valeurs que le module TPM mesure lorsqu’il valide les composants de démarrage avant de déverrouiller un lecteur de système d’exploitation sur un ordinateur avec une configuration BIOS ou un microprogramme UEFI pour lequel le module de prise en charge de la compatibilité (CSM) est activé.

• Lorsqu’il est activé, les composants de démarrage validés par le module TPM avant de déverrouiller l’accès au lecteur du système d’exploitation chiffré par BitLocker peuvent être configurés. Si l’un de ces composants change pendant que la protection BitLocker est en vigueur, le TPM ne libère pas la clé de chiffrement pour déverrouiller le lecteur. Au lieu de cela, l’ordinateur affiche la console de récupération BitLocker et exige que le mot de passe de récupération ou la clé de récupération soit fourni pour déverrouiller le lecteur.
• Lorsqu’il est désactivé ou non configuré, le module de plateforme sécurisée utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation.

Ce paramètre de stratégie ne s’applique pas si l’ordinateur n’a pas de module de plateforme sécurisée compatible ou si BitLocker a déjà été activé avec la protection TPM.

Important

Ce paramètre stratégie de groupe s’applique uniquement aux ordinateurs avec des configurations BIOS ou aux ordinateurs sur lesquels le microprogramme UEFI est activé. Les ordinateurs qui utilisent une configuration de microprogramme UEFI native stockent différentes valeurs dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme UEFI natives afin de configurer le profil PCR TPM pour les ordinateurs qui utilisent un microprogramme UEFI natif.

Un profil de validation de plateforme se compose d’un ensemble d’index PCR qui varient de 0 à 23. Chaque index PCR représente une mesure spécifique que le module TPM valide lors du démarrage précoce. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées aux fichiers PCR suivants :

PCR	Description
PCR 0	Racine de confiance principale pour les extensions de mesure, de BIOS et de plateforme
PCR 2	Code ROM de l’option
PCR 4	Code MBR (Master Boot Record)
PCR 8	Secteur de démarrage NTFS
PCR 9	Bloc de démarrage NTFS
PCR 10	Gestionnaire de démarrage
PCR 11	Contrôle d’accès BitLocker

Remarque

La modification du profil de validation de plateforme par défaut affecte la sécurité et la facilité de gestion d’un ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) est augmentée ou diminuée en fonction de l’inclusion ou de l’exclusion (respectivement) des PCR.

La liste suivante identifie tous les PCR disponibles :

PCR	Description
PCR 0	Racine de confiance principale pour les extensions de mesure, de BIOS et de plateforme
PCR 1	Configuration et données de la plateforme et de la carte mère.
PCR 2	Code ROM de l’option
PCR 3	Données et configuration rom d’option
PCR 4	Code MBR (Master Boot Record)
PCR 5	Table de partition MBR (Master Boot Record)
PCR 6	Événements de transition d’état et de veille
PCR 7	Spécifique au fabricant de l’ordinateur
PCR 8	Secteur de démarrage NTFS
PCR 9	Bloc de démarrage NTFS
PCR 10	Gestionnaire de démarrage
PCR 11	Contrôle d’accès BitLocker
PCR 12-23	Réservé pour une utilisation ultérieure

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme UEFI natives

Ce paramètre de stratégie détermine les valeurs que le module de plateforme sécurisée mesure lorsqu’il valide les composants de démarrage avant de déverrouiller le lecteur du système d’exploitation sur l’appareil microprogramme UEFI natif.

• Si vous activez ce paramètre de stratégie avant d’activer BitLocker, vous pouvez configurer les composants de démarrage validés par le TPM avant de déverrouiller l’accès au lecteur de système d’exploitation chiffré par BitLocker. Si l’un de ces composants change lorsque la protection BitLocker est en vigueur, le TPM ne libère pas la clé de chiffrement pour déverrouiller le lecteur. L’appareil affiche la console de récupération BitLocker et nécessite que le mot de passe de récupération ou la clé de récupération soit fourni pour déverrouiller le lecteur
• Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise le profil de validation de plateforme par défaut pour le matériel disponible ou le profil de validation de plateforme spécifié par le script d’installation

Important

Ce paramètre de stratégie s’applique uniquement aux appareils avec une configuration de microprogramme UEFI native. Les ordinateurs avec microprogramme BIOS ou UEFI avec un module de prise en charge de compatibilité (CSM) activé stockent différentes valeurs dans les registres de configuration de la plateforme (PCR). Utilisez le paramètre de stratégie Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme basées sur le BIOS afin de configurer le profil PCR TPM pour les appareils avec des configurations BIOS ou pour les appareils avec microprogramme UEFI avec un CSM activé.

Un profil de validation de plateforme se compose d’un ensemble d’index PCR compris entre 0 et 23. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées aux fichiers PCR suivants :

PCR	Description
PCR 0	Code exécutable du microprogramme système principal
PCR 2	Code exécutable étendu ou enfichable
PCR 4	Gestionnaire de démarrage
PCR 11	Contrôle d’accès BitLocker

Remarque

Lorsque la prise en charge de l’état de démarrage sécurisé (PCR7) est disponible, le profil de validation de plateforme par défaut sécurise la clé de chiffrement à l’aide de l’état de démarrage sécurisé (PCR 7) et du contrôle d’accès BitLocker (PCR 11).

La liste suivante identifie tous les PCR disponibles :

PCR	Description
PCR 0	Code exécutable du microprogramme système principal
PCR 1	Données du microprogramme système principal
PCR 2	Code exécutable étendu ou enfichable
PCR 3	Données de microprogramme étendues ou enfichables
PCR 4	Gestionnaire de démarrage
PCR 5	GpT/Table de partition
PCR 6	Reprendre à partir des événements d’état d’alimentation S4 et S5
PCR 7	État de démarrage sécurisé
PCR 8	Initialisé à 0 sans extension (réservé pour une utilisation ultérieure)
PCR 9	Initialisé à 0 sans extension (réservé pour une utilisation ultérieure)
PCR 10	Initialisé à 0 sans extension (réservé pour une utilisation ultérieure)
PCR 11	Contrôle d’accès BitLocker
PCR 12	Événements de données et événements hautement volatiles
PCR 13	Détails du module de démarrage
PCR 14	Autorités de démarrage
PCR 15 - 23	Réservé pour une utilisation ultérieure

Warning

La modification du profil de validation de plateforme par défaut affecte la sécurité et la facilité de gestion d’un appareil. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) est augmentée ou diminuée en fonction de l’inclusion ou de l’exclusion (respectivement) des PCR.

La définition de cette stratégie avec l’option PCR 7 omise remplace la stratégie Autoriser le démarrage sécurisé pour la validation de l’intégrité , empêchant BitLocker d’utiliser le démarrage sécurisé pour la plateforme ou la validation de l’intégrité des données de configuration de démarrage (BCD).

La définition de cette stratégie peut entraîner une récupération BitLocker lors de la mise à jour du microprogramme. Si vous définissez cette stratégie pour inclure LA VERSION 0, suspendez BitLocker avant d’appliquer les mises à jour du microprogramme. Il est recommandé de ne pas configurer cette stratégie pour permettre à Windows de sélectionner le profil PCR pour la meilleure combinaison de sécurité et de facilité d’utilisation en fonction du matériel disponible sur chaque appareil.

La méthode PCR 7 mesure l’état du démarrage sécurisé. Avec LE PROTOCOLE PCR 7, BitLocker peut utiliser le démarrage sécurisé pour la validation de l’intégrité. Le démarrage sécurisé garantit que l’environnement de prédémarrage de l’ordinateur charge uniquement le microprogramme signé numériquement par les éditeurs de logiciels autorisés. Les mesures DEP 7 indiquent si le démarrage sécurisé est activé et quelles clés sont approuvées sur la plateforme. Si le démarrage sécurisé est activé et que le microprogramme mesure correctement le PROTOCOLE PCR 7 conformément à la spécification UEFI, BitLocker peut lier à ces informations plutôt qu’aux fichiers PCR 0, 2 et 4, sur lesquels les mesures du microprogramme et des images bootmgr exactes sont chargées. Ce processus réduit la probabilité que BitLocker démarre en mode récupération en raison des mises à jour du microprogramme et des images, et offre une plus grande flexibilité pour gérer la configuration de prédémarrage.

Les mesures DEP 7 doivent suivre les instructions décrites dans l’Annexe A Trusted Execution Environment EFI Protocol.

Les mesures DEP 7 sont une exigence de logo obligatoire pour les systèmes qui prennent en charge la veille moderne (également connu sous le nom de PC Always On, Always Connected). Sur ces systèmes, si le TPM avec mesure DEP7 et démarrage sécurisé sont correctement configurés, BitLocker est lié à LAP 7 et à LA PCR 11 par défaut.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Configurer l’utilisation du chiffrement matériel pour les lecteurs de système d’exploitation

Ce paramètre de stratégie vous permet de gérer l’utilisation par BitLocker du chiffrement basé sur le matériel sur les lecteurs de système d’exploitation et de spécifier les algorithmes de chiffrement qu’il peut utiliser avec le chiffrement basé sur le matériel. L’utilisation du chiffrement matériel peut améliorer les performances des opérations de lecteur qui impliquent la lecture ou l’écriture fréquentes de données sur le lecteur.

Si vous activez ce paramètre de stratégie, vous pouvez spécifier des options qui contrôlent si le chiffrement basé sur le logiciel BitLocker est utilisé au lieu du chiffrement basé sur le matériel sur les appareils qui ne prennent pas en charge le chiffrement basé sur le matériel. Vous pouvez également spécifier si vous souhaitez restreindre les algorithmes de chiffrement et les suites de chiffrement utilisés avec le chiffrement basé sur le matériel.

Si vous désactivez ce paramètre de stratégie, BitLocker ne peut pas utiliser le chiffrement matériel avec des lecteurs de système d’exploitation, et le chiffrement logiciel BitLocker est utilisé par défaut lorsque le lecteur est chiffré.

Si vous ne configurez pas ce paramètre de stratégie, BitLocker utilise le chiffrement logiciel, quelle que soit la disponibilité du chiffrement basé sur le matériel.

Remarque

Le paramètre Choisir la méthode de chiffrement de lecteur et la stratégie de force de chiffrement ne s’applique pas au chiffrement basé sur le matériel. L’algorithme de chiffrement utilisé par le chiffrement matériel est défini lorsque le lecteur est partitionné. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer le lecteur.

L’option Restreindre les algorithmes de chiffrement et les suites de chiffrement autorisés pour le chiffrement basé sur le matériel vous permet de restreindre les algorithmes de chiffrement que BitLocker peut utiliser avec le chiffrement matériel. Si l’algorithme défini pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement matériel. Les algorithmes de chiffrement sont spécifiés par les identificateurs d’objet (OID). Par exemple :

• AES 128 en mode CBC OID : 2.16.840.1.101.3.4.1.2
• AES 256 en mode CBC OID : 2.16.840.1.101.3.4.1.42

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Configurer l’utilisation des mots de passe pour les lecteurs de système d’exploitation

Ce paramètre de stratégie spécifie les contraintes pour les mots de passe utilisés pour déverrouiller les lecteurs de système d’exploitation protégés par BitLocker. Si des protecteurs non-TPM sont autorisés sur les lecteurs de système d’exploitation, vous pouvez provisionner un mot de passe, appliquer des exigences de complexité et configurer une longueur minimale.

Important

Pour que le paramètre d’exigence de complexité soit efficace, le paramètre de stratégie de groupe Mot de passe doit répondre aux exigences de complexité situées dans Configuration> ordinateurParamètres> WindowsParamètres De sécurité Stratégies> decompte Stratégie>de mot de passe doit également être activé.

Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences que vous définissez. Pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité :

• Lorsqu’il est défini sur Exiger la complexité, une connexion à un contrôleur de domaine est nécessaire lorsque BitLocker est activé pour valider la complexité du mot de passe
• Lorsqu’il est défini sur Autoriser la complexité, une connexion à un contrôleur de domaine est tentée pour vérifier que la complexité respecte les règles définies par la stratégie. Si aucun contrôleur de domaine n’est trouvé, le mot de passe est accepté quelle que soit la complexité réelle du mot de passe et le lecteur est chiffré à l’aide de ce mot de passe comme protecteur
• Lorsqu’il est défini sur Ne pas autoriser la complexité, la complexité du mot de passe n’est pas validée

Les mots de passe doivent comporter au moins huit caractères. Pour configurer une longueur minimale plus élevée pour le mot de passe, spécifiez le nombre de caractères souhaité sous Longueur minimale du mot de passe

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la contrainte de longueur par défaut de huit caractères s’applique aux mots de passe de lecteur de système d’exploitation, et aucune vérification de la complexité n’est effectuée.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Interdire aux utilisateurs standard de modifier le code confidentiel ou le mot de passe

Cette stratégie permet de déterminer si les utilisateurs standard sont autorisés à modifier le code confidentiel ou le mot de passe utilisé pour protéger le lecteur du système d’exploitation, s’ils peuvent fournir le code confidentiel existant en premier.

Si vous activez cette stratégie, les utilisateurs standard ne peuvent pas modifier les codes confidentiels ou les mots de passe BitLocker. Si vous désactivez ou ne configurez pas cette stratégie, les utilisateurs standard peuvent modifier les codes confidentiels et les mots de passe BitLocker.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesDisallowStandardUsersCanChangePIN
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Activer l’utilisation de l’authentification BitLocker nécessitant une entrée clavier de prédémarrage sur les ardoises

Ce paramètre de stratégie permet aux utilisateurs d’activer les options d’authentification qui nécessitent une entrée utilisateur à partir de l’environnement de pré-démarrage, même si la plateforme n’a pas de fonctionnalité d’entrée de pré-démarrage. Le clavier tactile Windows (tel que celui utilisé par les tablettes) n’est pas disponible dans l’environnement de prédémarrage où BitLocker nécessite des informations supplémentaires telles qu’un code confidentiel ou un mot de passe.

• Si vous activez ce paramètre de stratégie, les appareils doivent disposer d’un autre moyen d’entrée de prédémarrage (par exemple, un clavier USB attaché).
• Si cette stratégie n’est pas activée, l’environnement de récupération Windows doit être activé sur les tablettes pour prendre en charge l’entrée du mot de passe de récupération BitLocker.

Il est recommandé aux administrateurs d’activer cette stratégie uniquement pour les appareils dont l’utilisation d’un autre moyen d’entrée de prédémarrage est vérifiée, comme l’attachement d’un clavier USB.

Lorsque l’environnement de récupération Windows (WinRE) n’est pas activé et que cette stratégie n’est pas activée, BitLocker ne peut pas être activé sur un appareil qui utilise un clavier tactile.

Si ce paramètre de stratégie n’est pas activé, les options suivantes de la stratégie Exiger une authentification supplémentaire au démarrage peuvent ne pas être disponibles :

• Configurer le code pin de démarrage du module de plateforme sécurisée : obligatoire et autorisé
• Configurer la clé de démarrage et le code confidentiel du module de plateforme sécurisée : obligatoire et autorisé
• Configurer l’utilisation des mots de passe pour les lecteurs de système d’exploitation

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnablePrebootInputProtectorsOnSlates
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation

Ce paramètre de stratégie vous permet de configurer le type de chiffrement utilisé par le chiffrement de lecteur BitLocker.

Lorsque vous activez ce paramètre de stratégie, l’option de type de chiffrement n’est pas proposée dans l’Assistant Installation de BitLocker :

• Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé
• Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.

Remarque

La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours.

Cette stratégie est ignorée lors de la réduction ou du développement d’un volume, et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui utilise le chiffrement espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialise comme un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde.exe -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEncryptionType
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Exiger une authentification supplémentaire au démarrage

Ce paramètre de stratégie configure si BitLocker nécessite une authentification supplémentaire chaque fois que l’appareil démarre.

Si vous activez cette stratégie, les utilisateurs peuvent configurer des options de démarrage avancées dans l’Assistant Installation de BitLocker.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent configurer uniquement les options de base sur les ordinateurs dotés d’un TPM.

Remarque

Une seule des options d’authentification supplémentaires peut être requise au démarrage, sinon une erreur de stratégie se produit.

Si vous souhaitez utiliser BitLocker sur un appareil sans TPM, sélectionnez l’option Autoriser BitLocker sans module de plateforme sécurisée compatible. Dans ce mode, un mot de passe ou un lecteur USB est requis pour le démarrage.
Lorsque vous utilisez une clé de démarrage, les informations de clé utilisées pour chiffrer le lecteur sont stockées sur le lecteur USB, ce qui crée une clé USB. Lorsque la clé USB est insérée, l’accès au lecteur est authentifié et le lecteur est accessible. Si la clé USB est perdue ou indisponible, ou si vous avez oublié le mot de passe, vous devez utiliser l’une des options de récupération BitLocker pour accéder au lecteur.

Sur un ordinateur doté d’un module de plateforme sécurisée compatible, quatre types de méthodes d’authentification peuvent être utilisés au démarrage pour fournir une protection supplémentaire pour les données chiffrées. Lorsque l’ordinateur démarre, il peut utiliser :

• TPM uniquement
• un lecteur flash USB contenant une clé de démarrage
• un code confidentiel (6 à 20 chiffres)
• Code confidentiel + clé USB

Remarque

Si vous souhaitez exiger l’utilisation d’un code confidentiel de démarrage et d’un lecteur flash USB, vous devez configurer les paramètres BitLocker à l’aide de l’outil en ligne de commande manage-bde au lieu de l’Assistant Configuration du chiffrement de lecteur BitLocker.

Il existe quatre options pour les appareils avec TPM :

• Configurer le démarrage du module de plateforme sécurisée

  • Autoriser le module TPM
  • Exiger le module TPM
  • Ne pas autoriser le module de plateforme sécurisée

• Configurer le code pin de démarrage du module de plateforme sécurisée (TPM)

  • Autoriser le code pin de démarrage avec TPM
  • Exiger le code pin de démarrage avec TPM
  • Ne pas autoriser le code pin de démarrage avec le module de plateforme sécurisée

• Configurer la clé de démarrage du module de plateforme sécurisée

  • Autoriser la clé de démarrage avec TPM
  • Exiger une clé de démarrage avec TPM
  • Ne pas autoriser la clé de démarrage avec TPM

• Configurer la clé de démarrage et le code confidentiel du module de plateforme sécurisée

  • Autoriser la clé de démarrage du module de plateforme sécurisée avec un code confidentiel
  • Exiger une clé de démarrage et un code confidentiel avec TPM
  • N’autorisez pas la clé de démarrage du module de plateforme sécurisée avec un code confidentiel

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRequireStartupAuthentication
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Réinitialiser les données de validation de la plateforme après la récupération BitLocker

Ce paramètre de stratégie détermine si les données de validation de plateforme doivent s’actualiser lorsque Windows est démarré après une récupération BitLocker. Un profil de données de validation de plateforme se compose des valeurs d’un ensemble d’index de registre de configuration de plateforme (PCR) comprises entre 0 et 23.

Si vous activez ce paramètre de stratégie, les données de validation de plateforme sont actualisées lorsque Windows est démarré après la récupération BitLocker. Il s’agit du comportement par défaut.
Si vous désactivez ce paramètre de stratégie, les données de validation de plateforme ne sont pas actualisées lorsque Windows est démarré après la récupération BitLocker.

Pour plus d’informations sur le processus de récupération, consultez vue d’ensemble de la récupération BitLocker.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Utiliser le profil de validation des données de configuration de démarrage amélioré

Ce paramètre de stratégie détermine des paramètres bcD (Boot Configuration Data) spécifiques à vérifier lors de la validation de la plateforme. Une validation de plateforme utilise les données du profil de validation de la plateforme, qui se compose d’un ensemble d’index de registre de configuration de plateforme (PCR) allant de 0 à 23.

Si vous ne configurez pas ce paramètre de stratégie, l’appareil vérifie les paramètres BCD Windows par défaut.

Remarque

Lorsque BitLocker utilise le démarrage sécurisé pour la validation de l’intégrité de la plateforme et BCD, comme défini par le paramètre de stratégie Autoriser le démarrage sécurisé pour la validation de l’intégrité , ce paramètre de stratégie est ignoré. Le paramètre qui contrôle le débogage 0x16000010 de démarrage est toujours validé et n’a aucun effet s’il est inclus dans la liste d’inclusion ou d’exclusion.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation

Lecteurs de données fixes

Nom de la stratégie	CSP	GPO
Choisir la façon dont les lecteurs fixes protégés par BitLocker peuvent être récupérés	✅	✅
Configurer l’utilisation du chiffrement matériel pour les lecteurs de données fixes	❌	✅
Configurer l’utilisation des mots de passe pour les lecteurs de données fixes	❌	✅
Configurer l’utilisation de cartes à puce sur des lecteurs de données fixes	❌	✅
Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker	✅	✅
Appliquer le type de chiffrement de lecteur sur les lecteurs de données fixes	✅	✅

Choisir la façon dont les lecteurs fixes protégés par BitLocker peuvent être récupérés

Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de données fixes protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises. Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de données fixes protégés par BitLocker. Voici les options disponibles :

• Autoriser l’agent de récupération de données basé sur un certificat : spécifiez si un agent de récupération de données peut être utilisé avec des lecteurs de données fixes protégés par BitLocker. Avant qu’un agent de récupération de données puisse être utilisé, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion stratégie de groupe ou la stratégie de groupe Rédacteur locale
• Configurer le stockage utilisateur des informations de récupération BitLocker : indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération de 256 bits
• Omettre les options de récupération de l’Assistant Installation de BitLocker : empêche les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker pour un lecteur. Cela signifie que les utilisateurs ne pourront pas spécifier l’option de récupération à utiliser lorsqu’ils activent BitLocker. Les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie
• Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory : choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de données fixes. Si vous sélectionnez Mot de passe de récupération de sauvegarde et package de clé, le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez Mot de passe de récupération de sauvegarde uniquement, seul le mot de passe de récupération est stocké dans AD DS
• N’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes : empêche les utilisateurs d’activer BitLocker, sauf si l’appareil est connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS réussit. Lorsque vous utilisez cette option, un mot de passe de récupération est généré automatiquement.

Important

L’utilisation de clés de récupération doit être interdite si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker est activé.

Si ce paramètre de stratégie est désactivé ou non configuré, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesRecoveryOptions
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes

Configurer l’utilisation du chiffrement matériel pour les lecteurs de données fixes

Ce paramètre de stratégie vous permet de gérer l’utilisation par BitLocker du chiffrement matériel sur des lecteurs de données fixes et de spécifier les algorithmes de chiffrement qu’il peut utiliser avec le chiffrement basé sur le matériel. L’utilisation du chiffrement matériel peut améliorer les performances des opérations de lecteur qui impliquent la lecture ou l’écriture fréquentes de données sur le lecteur.

Si vous activez ce paramètre de stratégie, vous pouvez spécifier des options qui contrôlent si le chiffrement basé sur le logiciel BitLocker est utilisé au lieu du chiffrement basé sur le matériel sur les appareils qui ne prennent pas en charge le chiffrement basé sur le matériel. Vous pouvez également spécifier si vous souhaitez restreindre les algorithmes de chiffrement et les suites de chiffrement utilisés avec le chiffrement basé sur le matériel.

Si vous désactivez ce paramètre de stratégie, BitLocker ne peut pas utiliser le chiffrement matériel avec des lecteurs de données fixes, et le chiffrement logiciel BitLocker est utilisé par défaut lorsque le lecteur est chiffré.

Si vous ne configurez pas ce paramètre de stratégie, BitLocker utilise le chiffrement logiciel, quelle que soit la disponibilité du chiffrement basé sur le matériel.

Remarque

Le paramètre Choisir la méthode de chiffrement de lecteur et la stratégie de force de chiffrement ne s’applique pas au chiffrement basé sur le matériel. L’algorithme de chiffrement utilisé par le chiffrement matériel est défini lorsque le lecteur est partitionné. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer le lecteur.

L’option Restreindre les algorithmes de chiffrement et les suites de chiffrement autorisés pour le chiffrement basé sur le matériel vous permet de restreindre les algorithmes de chiffrement que BitLocker peut utiliser avec le chiffrement matériel. Si l’algorithme défini pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement matériel. Les algorithmes de chiffrement sont spécifiés par les identificateurs d’objet (OID). Par exemple :

• AES 128 en mode CBC OID : 2.16.840.1.101.3.4.1.2
• AES 256 en mode CBC OID : 2.16.840.1.101.3.4.1.42

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes

Configurer l’utilisation des mots de passe pour les lecteurs de données fixes

Ce paramètre de stratégie spécifie si un mot de passe est requis pour déverrouiller les lecteurs de données fixes protégés par BitLocker. Si vous choisissez d’autoriser l’utilisation d’un mot de passe, vous pouvez exiger l’utilisation d’un mot de passe, appliquer des exigences de complexité et configurer une longueur minimale.

Important

Pour que le paramètre d’exigence de complexité soit efficace, le paramètre de stratégie de groupe Mot de passe doit répondre aux exigences de complexité situées dans Configuration> ordinateurParamètres> WindowsParamètres De sécurité Stratégies> decompte Stratégie>de mot de passe doit également être activé.

Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences que vous définissez. Pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité :

• Lorsqu’il est défini sur Exiger la complexité, une connexion à un contrôleur de domaine est nécessaire lorsque BitLocker est activé pour valider la complexité du mot de passe
• Lorsqu’il est défini sur Autoriser la complexité, une connexion à un contrôleur de domaine est tentée pour vérifier que la complexité respecte les règles définies par la stratégie. Si aucun contrôleur de domaine n’est trouvé, le mot de passe est accepté quelle que soit la complexité réelle du mot de passe et le lecteur est chiffré à l’aide de ce mot de passe comme protecteur
• Lorsqu’il est défini sur Ne pas autoriser la complexité, la complexité du mot de passe n’est pas validée

Les mots de passe doivent comporter au moins huit caractères. Pour configurer une longueur minimale plus élevée pour le mot de passe, spécifiez le nombre de caractères souhaité sous Longueur minimale du mot de passe

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la contrainte de longueur par défaut de huit caractères s’applique aux mots de passe de lecteur de système d’exploitation, et aucune vérification de la complexité n’est effectuée.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes

Configurer l’utilisation de cartes à puce sur des lecteurs de données fixes

Ce paramètre de stratégie vous permet de spécifier si les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur aux lecteurs de données fixes protégés par BitLocker.

• Si vous activez ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur au lecteur
  • Vous pouvez exiger une authentification carte intelligente en sélectionnant l’option Exiger l’utilisation de cartes à puce sur les lecteurs de données fixes
• Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser de cartes à puce pour authentifier leur accès aux lecteurs de données fixes protégés par BitLocker
• Si vous ne configurez pas ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur à un lecteur protégé par BitLocker

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes

Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker

Ce paramètre de stratégie est utilisé pour exiger le chiffrement des lecteurs fixes avant d’accorder l’accès en écriture .

Si vous activez ce paramètre de stratégie, tous les lecteurs de données fixes qui ne sont pas protégés par BitLocker sont montés en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données fixes sur l’ordinateur sont montés avec un accès en lecture et en écriture.

Remarque

Lorsque ce paramètre de stratégie est activé, les utilisateurs reçoivent des messages d’erreur Accès refusé lorsqu’ils tentent d’enregistrer des données sur des lecteurs de données fixes non chiffrés.

Si l’outil BdeHdCfg.exe de préparation du lecteur BitLocker est exécuté sur un ordinateur lorsque ce paramètre de stratégie est activé, les problèmes suivants peuvent être rencontrés :

• Si vous essayez de réduire un lecteur pour créer le lecteur système, la taille du lecteur est réduite avec succès et une partition brute est créée. Toutefois, la partition brute n’est pas mise en forme. Le message d’erreur suivant s’affiche : Impossible de formater le nouveau lecteur actif. Vous devrez peut-être préparer manuellement votre lecteur pour BitLocker.
• Si vous essayez d’utiliser l’espace non alloué pour créer le lecteur système, une partition brute est créée. Toutefois, la partition brute n’est pas mise en forme. Le message d’erreur suivant s’affiche : Impossible de formater le nouveau lecteur actif. Vous devrez peut-être préparer manuellement votre lecteur pour BitLocker.
• Si vous essayez de fusionner un lecteur existant dans le lecteur système, l’outil ne parvient pas à copier le fichier de démarrage requis sur le lecteur cible pour créer le lecteur système. Le message d’erreur suivant s’affiche : Le programme d’installation de BitLocker n’a pas pu copier les fichiers de démarrage. Vous devrez peut-être préparer manuellement votre lecteur pour BitLocker.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesRequireEncryption
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes

Appliquer le type de chiffrement de lecteur sur les lecteurs de données fixes

Ce paramètre de stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données fixes.

Si vous activez ce paramètre de stratégie, le type de chiffrement utilisé par BitLocker pour chiffrer les lecteurs est défini par cette stratégie, et l’option de type de chiffrement ne sera pas présentée dans l’Assistant Installation de BitLocker :

• Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé
• Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.

Remarque

La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours.

Cette stratégie est ignorée lors de la réduction ou du développement d’un volume, et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui utilise le chiffrement espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialise comme un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde.exe -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesEncryptionType
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes

Lecteurs de données amovibles

Nom de la stratégie	CSP	GPO
Choisir la façon dont les lecteurs amovibles protégés par BitLocker peuvent être récupérés	❌	✅
Configurer l’utilisation du chiffrement matériel pour les lecteurs de données amovibles	❌	✅
Configurer l’utilisation des mots de passe pour les lecteurs de données amovibles	❌	✅
Configurer l’utilisation de cartes à puce sur des lecteurs de données amovibles	❌	✅
Contrôler l’utilisation de BitLocker sur les lecteurs amovibles	✅	✅
Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker	✅	✅
Appliquer le type de chiffrement de lecteur sur les lecteurs de données amovibles	✅	✅
Lecteurs amovibles exclus du chiffrement	✅	❌

Choisir la façon dont les lecteurs amovibles protégés par BitLocker peuvent être récupérés

Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de données amovibles protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises. Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de données amovibles protégés par BitLocker. Voici les options disponibles :

• Autoriser l’agent de récupération de données basé sur un certificat : spécifiez si un agent de récupération de données peut être utilisé avec des lecteurs de données amovibles protégés par BitLocker. Avant qu’un agent de récupération de données puisse être utilisé, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion stratégie de groupe ou la stratégie de groupe Rédacteur locale
• Configurer le stockage utilisateur des informations de récupération BitLocker : indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération de 256 bits
• Omettre les options de récupération de l’Assistant Installation de BitLocker : empêche les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker pour un lecteur. Cela signifie que les utilisateurs ne pourront pas spécifier l’option de récupération à utiliser lorsqu’ils activent BitLocker. Les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie
• Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory : choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de données amovibles. Si vous sélectionnez Mot de passe de récupération de sauvegarde et package de clé, le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez Mot de passe de récupération de sauvegarde uniquement, seul le mot de passe de récupération est stocké dans AD DS
• N’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données amovibles : empêche les utilisateurs d’activer BitLocker, sauf si l’appareil est connecté au domaine et que la sauvegarde des informations de récupération BitLocker sur AD DS réussit. Lorsque vous utilisez cette option, un mot de passe de récupération est généré automatiquement.

Important

L’utilisation de clés de récupération doit être interdite si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker est activé.

Si ce paramètre de stratégie est désactivé ou non configuré, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles

Configurer l’utilisation du chiffrement matériel pour les lecteurs de données amovibles

Ce paramètre de stratégie vous permet de gérer l’utilisation par BitLocker du chiffrement matériel sur des lecteurs de données amovibles et de spécifier les algorithmes de chiffrement qu’il peut utiliser avec le chiffrement basé sur le matériel. L’utilisation du chiffrement matériel peut améliorer les performances des opérations de lecteur qui impliquent la lecture ou l’écriture fréquentes de données sur le lecteur.

Si vous activez ce paramètre de stratégie, vous pouvez spécifier des options qui contrôlent si le chiffrement basé sur le logiciel BitLocker est utilisé au lieu du chiffrement basé sur le matériel sur les appareils qui ne prennent pas en charge le chiffrement basé sur le matériel. Vous pouvez également spécifier si vous souhaitez restreindre les algorithmes de chiffrement et les suites de chiffrement utilisés avec le chiffrement basé sur le matériel.

Si vous désactivez ce paramètre de stratégie, BitLocker ne peut pas utiliser le chiffrement matériel avec des lecteurs de données amovibles, et le chiffrement logiciel BitLocker est utilisé par défaut lorsque le lecteur est chiffré.

Si vous ne configurez pas ce paramètre de stratégie, BitLocker utilise le chiffrement logiciel, quelle que soit la disponibilité du chiffrement basé sur le matériel.

Remarque

Le paramètre Choisir la méthode de chiffrement de lecteur et la stratégie de force de chiffrement ne s’applique pas au chiffrement basé sur le matériel. L’algorithme de chiffrement utilisé par le chiffrement matériel est défini lorsque le lecteur est partitionné. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer le lecteur.

L’option Restreindre les algorithmes de chiffrement et les suites de chiffrement autorisés pour le chiffrement basé sur le matériel vous permet de restreindre les algorithmes de chiffrement que BitLocker peut utiliser avec le chiffrement matériel. Si l’algorithme défini pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement matériel. Les algorithmes de chiffrement sont spécifiés par les identificateurs d’objet (OID). Par exemple :

• AES 128 en mode CBC OID : 2.16.840.1.101.3.4.1.2
• AES 256 en mode CBC OID : 2.16.840.1.101.3.4.1.42

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles

Configurer l’utilisation des mots de passe pour les lecteurs de données amovibles

Ce paramètre de stratégie spécifie si un mot de passe est requis pour déverrouiller les lecteurs de données amovibles protégés par BitLocker. Si vous choisissez d’autoriser l’utilisation d’un mot de passe, vous pouvez exiger l’utilisation d’un mot de passe, appliquer des exigences de complexité et configurer une longueur minimale.

Important

Pour que le paramètre d’exigence de complexité soit efficace, le paramètre de stratégie de groupe Mot de passe doit répondre aux exigences de complexité situées dans Configuration> ordinateurParamètres> WindowsParamètres De sécurité Stratégies> decompte Stratégie>de mot de passe doit également être activé.

Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences que vous définissez. Pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité :

• Lorsqu’il est défini sur Exiger la complexité, une connexion à un contrôleur de domaine est nécessaire lorsque BitLocker est activé pour valider la complexité du mot de passe
• Lorsqu’il est défini sur Autoriser la complexité, une connexion à un contrôleur de domaine est tentée pour vérifier que la complexité respecte les règles définies par la stratégie. Si aucun contrôleur de domaine n’est trouvé, le mot de passe est accepté quelle que soit la complexité réelle du mot de passe et le lecteur est chiffré à l’aide de ce mot de passe comme protecteur
• Lorsqu’il est défini sur Ne pas autoriser la complexité, la complexité du mot de passe n’est pas validée

Les mots de passe doivent comporter au moins 8 caractères. Pour configurer une longueur minimale plus élevée pour le mot de passe, spécifiez le nombre de caractères souhaité sous Longueur minimale du mot de passe

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la contrainte de longueur par défaut de huit caractères s’applique aux mots de passe de lecteur de système d’exploitation, et aucune vérification de la complexité n’est effectuée.

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles

Configurer l’utilisation de cartes à puce sur des lecteurs de données amovibles

Ce paramètre de stratégie vous permet de spécifier si les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur aux lecteurs de données amovibles protégés par BitLocker.

• Si vous activez ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur au lecteur
  • Vous pouvez exiger une authentification smart carte en sélectionnant l’option Exiger l’utilisation de cartes à puce sur les lecteurs de données amovibles
• Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser de cartes à puce pour authentifier leur accès aux lecteurs de données amovibles protégés par BitLocker
• Si vous ne configurez pas ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur à un lecteur protégé par BitLocker

	Chemin d'accès
CSP	Non disponible
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles

Contrôler l’utilisation de BitLocker sur les lecteurs amovibles

Ce paramètre de stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données amovibles.

Lorsque ce paramètre de stratégie est activé, vous pouvez sélectionner des paramètres de propriété qui contrôlent la façon dont les utilisateurs peuvent configurer BitLocker :

• Choisissez Autoriser les utilisateurs à appliquer la protection BitLocker sur des lecteurs de données amovibles pour permettre à l’utilisateur d’exécuter l’Assistant Installation de BitLocker sur un lecteur de données amovible.
• Choisissez Autoriser les utilisateurs à suspendre et à déchiffrer BitLocker sur des lecteurs de données amovibles pour permettre à l’utilisateur de supprimer le chiffrement BitLocker du lecteur ou de suspendre le chiffrement pendant l’exécution de la maintenance

Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser BitLocker sur des lecteurs de disque amovibles.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesConfigureBDE
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles

Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker

Ce paramètre de stratégie configure si la protection BitLocker est requise pour qu’un appareil puisse écrire des données sur un lecteur de données amovible.

Si vous activez ce paramètre de stratégie :

• tous les lecteurs de données amovibles qui ne sont pas protégés par BitLocker sont montés en lecture seule
• si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture
• si l’option Refuser l’accès en écriture aux appareils configurée dans un autre organization est sélectionnée, seuls les lecteurs dont les champs d’identification correspondent aux champs d’identification de l’ordinateur bénéficient d’un accès en écriture
  • Lorsqu’un lecteur de données amovible est accessible, il est vérifié pour le champ d’identification valide et les champs d’identification autorisés. Ces champs sont définis par le paramètre de stratégie (Fournissez les identificateurs uniques de votre organization)[]

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données amovibles sur l’ordinateur sont montés avec un accès en lecture et écriture.

Remarque

Ce paramètre de stratégie est ignoré si les paramètres de stratégie Disques amovibles : Refuser l’accès en écriture sont activés .

Important

Si vous activez cette stratégie :

• L’utilisation de BitLocker avec la clé de démarrage du module de plateforme sécurisée ou la clé TPM et le code confidentiel doit être interdite
• L’utilisation des clés de récupération doit être interdite

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesRequireEncryption
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles

Appliquer le type de chiffrement de lecteur sur les lecteurs de données amovibles

Ce paramètre de stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données amovibles.

Lorsque vous activez ce paramètre de stratégie, l’option de type de chiffrement n’est pas proposée dans l’Assistant Installation de BitLocker :

• Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé
• Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.

Remarque

La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours.

Cette stratégie est ignorée lors de la réduction ou du développement d’un volume, et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui utilise le chiffrement espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialise comme un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde.exe -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesEncryptionType
GPO	Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles

Lecteurs amovibles exclus du chiffrement

	Chemin d'accès
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesExcludedFromEncryption
GPO	Non disponible

Conformité de BitLocker et des paramètres de stratégie

Si un appareil n’est pas conforme aux paramètres de stratégie configurés, BitLocker peut ne pas être activé ou la configuration BitLocker peut être modifiée jusqu’à ce que l’appareil soit dans un état conforme. Lorsqu’un lecteur devient non conforme aux paramètres de stratégie, seules les modifications apportées à la configuration BitLocker qui le mettent en conformité sont autorisées. Ce scénario peut se produire, par exemple, si un lecteur précédemment chiffré devient non conforme par une modification du paramètre de stratégie.

Si plusieurs modifications sont nécessaires pour mettre le lecteur en conformité, il peut être nécessaire de suspendre la protection BitLocker, d’apporter les modifications nécessaires, puis de reprendre la protection. Une telle situation peut se produire, par exemple, si un lecteur amovible est initialement configuré pour le déverrouillage avec un mot de passe, puis que les paramètres de stratégie sont modifiés pour exiger des cartes à puce. Dans ce scénario, la protection BitLocker doit être suspendue, supprimer la méthode de déverrouillage de mot de passe et ajouter la méthode smart carte. Une fois ce processus terminé, BitLocker est conforme au paramètre de stratégie et la protection BitLocker sur le lecteur peut reprendre.

Dans d’autres scénarios, pour mettre le lecteur en conformité avec une modification des paramètres de stratégie, BitLocker peut avoir besoin d’être désactivé et le lecteur déchiffré, puis de réactiver BitLocker, puis de le chiffrer à nouveau. Un exemple de ce scénario est lorsque la méthode de chiffrement BitLocker ou la force de chiffrement est modifiée.

Pour en savoir plus sur la gestion de BitLocker, consultez le guide des opérations BitLocker.

Configurer et gérer des serveurs

Les serveurs sont souvent déployés, configurés et gérés à l’aide de PowerShell. Il est recommandé d’utiliser les paramètres de stratégie de groupe pour configurer BitLocker sur les serveurs et de gérer BitLocker à l’aide de PowerShell.

BitLocker est un composant facultatif dans Windows Server. Suivez les instructions dans Installer BitLocker sur Windows Server pour ajouter le composant facultatif BitLocker.

L’Interface serveur minimale est un composant requis pour certains outils d’administration BitLocker. Sur une installation Server Core , les composants d’interface graphique utilisateur nécessaires doivent d’abord être ajoutés. Les étapes permettant d’ajouter des composants du shell à Server Core sont décrites dans Utilisation des fonctionnalités à la demande avec les systèmes mis à jour et les images corrigées et dans Mise à jour du média source local pour ajouter des rôles et des fonctionnalités. Si un serveur est installé manuellement, le choix du serveur avec expérience utilisateur est le chemin le plus simple, car il évite d’effectuer les étapes d’ajout d’une interface graphique graphique à Server Core.

Les centres de données lumineux peuvent tirer parti de la sécurité renforcée d’un deuxième facteur tout en évitant d’avoir besoin d’intervention de l’utilisateur lors des redémarrages en utilisant éventuellement une combinaison de BitLocker (TPM+PIN) et de déverrouillage réseau BitLocker. Le déverrouillage réseau BitLocker réunit le meilleur de la protection matérielle, la dépendance d’emplacement, et le déverrouillage automatique, le tout à un emplacement fiable. Pour connaître les étapes de configuration, consultez Déverrouillage réseau.

Étapes suivantes

Consultez le guide des opérations BitLocker pour découvrir comment utiliser différents outils pour gérer et utiliser BitLocker.

Guide des opérations BitLocker >