Guide de planification BitLocker
Une stratégie de déploiement BitLocker inclut la définition des stratégies et des exigences de configuration appropriées en fonction des exigences de sécurité de votre organization. Cet article vous aide à collecter les informations pour faciliter un déploiement BitLocker.
Auditer l’environnement
Pour planifier un déploiement BitLocker, comprenez l’environnement actuel. Effectuez un audit informel pour définir les stratégies, procédures et environnement matériel actuels. Passez en revue le logiciel de chiffrement de disque existant et les stratégies de sécurité du organization. Si le organization n’utilise pas de logiciel de chiffrement de disque, ces stratégies peuvent ne pas exister. Si le logiciel de chiffrement de disque est en cours d’utilisation, les stratégies devront peut-être être modifiées pour utiliser certaines fonctionnalités De BitLocker.
Pour documenter les stratégies de sécurité de chiffrement de disque actuelles du organization, répondez aux questions suivantes :
☑️ | Question |
---|---|
🔲 | Existe-t-il des stratégies pour déterminer quels appareils doivent utiliser BitLocker et ceux qui ne le font pas ? |
🔲 | Quelles stratégies existent pour contrôler le stockage des mots de passe de récupération et des clés de récupération ? |
🔲 | Quelles sont les stratégies permettant de valider l’identité des utilisateurs qui doivent effectuer une récupération BitLocker ? |
🔲 | Quelles stratégies existent pour contrôler qui dans le organization a accès aux données de récupération ? |
🔲 | Quelles stratégies existent pour contrôler la mise hors service ou la mise hors service des appareils ? |
🔲 | Quelle est la force de l’algorithme de chiffrement en place ? |
Clés de chiffrement et authentification
Un module de plateforme sécurisée (TPM) est un composant matériel installé sur de nombreux appareils Windows par les fabricants. Il fonctionne avec BitLocker pour protéger les données utilisateur et s’assurer qu’un appareil n’a pas été falsifié pendant que le système était hors connexion.
BitLocker peut verrouiller le processus de démarrage normal jusqu’à ce que l’utilisateur fournisse un numéro d’identification personnel (PIN) ou insère un périphérique USB amovible contenant une clé de démarrage. Ces mesures de sécurité supplémentaires fournissent une authentification multifacteur. Ils s’assurent également que l’ordinateur ne démarre pas ou ne reprend pas à partir de la mise en veille prolongée tant que le code confidentiel ou la clé de démarrage approprié n’est pas présenté.
Sur les appareils qui n’ont pas de TPM, BitLocker peut toujours être utilisé pour chiffrer le volume du système d’exploitation Windows. Toutefois, cette implémentation ne fournit pas la vérification de l’intégrité du système de prédémarreur offerte par BitLocker avec un module TPM.
Une implémentation efficace de la protection des informations, comme la plupart des contrôles de sécurité, prend en compte la facilité d’utilisation et la sécurité. Les utilisateurs préfèrent généralement une expérience de sécurité simple. En fait, plus une solution de sécurité devient transparente, plus les utilisateurs sont susceptibles de s’y conformer.
Il est essentiel que les organisations protègent les informations sur leurs appareils indépendamment de l’état de l’appareil ou de l’intention des utilisateurs. Cette protection ne doit pas être fastidieuse pour les utilisateurs. Une situation indésirable et autrefois courante est lorsque l’utilisateur est invité à entrer une entrée pendant le pré-démarrage, puis à nouveau pendant la connexion à Windows. Il convient d’éviter d’avoir plusieurs fois des utilisateurs difficiles à entrer.
Le module TPM est en mesure de protéger en toute sécurité la clé de chiffrement BitLocker lorsqu’elle est au repos, et peut déverrouiller en toute sécurité le lecteur du système d’exploitation. Lorsque la clé est en cours d’utilisation, et donc en mémoire, une combinaison de fonctionnalités matérielles et Windows peut sécuriser la clé et empêcher l’accès non autorisé par le biais d’attaques de démarrage à froid. Bien que d’autres contre-mesures telles que le déverrouillage basé sur le code confidentiel soient disponibles, elles ne sont pas aussi conviviales ; Selon la configuration des appareils, ils peuvent ne pas offrir plus de sécurité en matière de protection des clés. Pour plus d’informations, consultez Contre-mesures BitLocker.
Protecteurs de clés BitLocker
Pour protéger la clé de chiffrement BitLocker, BitLocker peut utiliser différents types de protecteurs. Lors de l’activation de BitLocker, chaque logiciel de protection reçoit une copie de la clé principale du volume, qui est ensuite chiffrée à l’aide de son propre mécanisme.
Protecteur de clé | Description |
---|---|
Déverrouillage automatique | Permet de déverrouiller automatiquement les volumes qui n’hébergent pas de système d’exploitation. BitLocker utilise des informations chiffrées stockées dans le Registre et des métadonnées de volume pour déverrouiller tous les volumes de données qui utilisent le déverrouillage automatique. |
Mot de passe et mot de passe pour le lecteur de système d’exploitation | Pour déverrouiller un lecteur, l’utilisateur doit fournir un mot de passe. Lorsqu’il est utilisé pour les lecteurs de système d’exploitation, l’utilisateur est invité à entrer un mot de passe dans l’écran de prédémarrage. Cette méthode n’offre aucune logique de verrouillage, elle ne protège donc pas contre les attaques par force brute. |
Clé de démarrage | Clé de chiffrement qui peut être stockée sur un média amovible, avec un format de nom de fichier de <protector_id>.bek . L’utilisateur est invité à entrer la clé flash USB dotée de la clé de récupération et/ou de la clé de démarrage, puis à redémarrer l’appareil. |
Certificat smart carte | Permet de déverrouiller des volumes qui n’hébergent pas de système d’exploitation. Pour déverrouiller un lecteur, l’utilisateur doit utiliser un carte intelligent. |
TPM | Appareil matériel utilisé pour aider à établir une racine de confiance sécurisée, en validant les composants de démarrage précoces. Le protecteur TPM ne peut être utilisé qu’avec le lecteur du système d’exploitation. |
TPM + code confidentiel | Protecteur de clé numérique ou alphanumérique entré par l’utilisateur qui ne peut être utilisé qu’avec des volumes de système d’exploitation et en plus du module TPM. Le module de plateforme sécurisée valide les composants de démarrage précoces. L’utilisateur doit entrer le code confidentiel approprié avant que le processus de démarrage puisse continuer et avant que le lecteur puisse être déverrouillé. Le TPM entre dans le verrouillage si le code confidentiel incorrect est entré à plusieurs reprises, afin de protéger le code confidentiel contre les attaques par force brute. Le nombre de tentatives répétées qui déclenchent un verrouillage est variable. |
TPM + Clé de démarrage | Le module de plateforme sécurisée valide correctement les composants de démarrage précoces. L’utilisateur doit insérer un lecteur USB contenant la clé de démarrage avant que le système d’exploitation puisse démarrer. |
TPM + Clé de démarrage + Code confidentiel | Le module de plateforme sécurisée valide correctement les composants de démarrage précoces. L’utilisateur doit entrer le code confidentiel approprié et insérer un lecteur USB contenant la clé de démarrage pour que le système d’exploitation puisse démarrer. |
Mot de passe de récupération | Nombre à 48 chiffres utilisé pour déverrouiller un volume lorsqu’il est en mode de récupération. Les nombres peuvent souvent être tapés sur un clavier standard. Si les nombres du clavier normal ne répondent pas, les touches de fonction (F1-F10) peuvent être utilisées pour entrer les nombres. |
TPM + Clé réseau | Le TPM valide correctement les composants de démarrage précoces, et une clé réseau chiffrée valide a été fournie à partir d’un serveur WDS. Cette méthode d’authentification permet de déverrouiller automatiquement les volumes de système d’exploitation tout en conservant l’authentification multifacteur. Ce protecteur de clé ne peut être utilisé qu’avec les volumes de système d’exploitation. |
Clé de récupération | Clé de chiffrement stockée sur un support amovible qui peut être utilisée pour récupérer des données chiffrées sur un volume BitLocker. Le format du nom de <protector_id>.bek fichier est . |
Agent de récupération de données | Les agents de récupération de données (DDA) sont des comptes capables de déchiffrer des lecteurs protégés par BitLocker à l’aide de leurs certificats. La récupération d’un lecteur protégé par BitLocker peut être effectuée par un agent de récupération de données configuré avec le certificat approprié. |
Utilisateur ou groupe Active Directory | Logiciel de protection basé sur une sécurité d’utilisateur ou de groupe Active Directory identifiée (SID). Les lecteurs de données sont automatiquement déverrouillés lorsque ces utilisateurs tentent d’y accéder. |
Prise en charge des appareils sans module de plateforme sécurisée
Déterminez si les ordinateurs qui n’ont pas de TPM 1.2 ou version ultérieure dans l’environnement seront pris en charge. Si vous décidez de prendre en charge les appareils sans TPM, un utilisateur doit utiliser une clé de démarrage USB ou un mot de passe pour démarrer le système. La clé de démarrage nécessite des processus de support supplémentaires similaires à l’authentification multifacteur.
Quels sont les domaines de l’organization besoin d’un niveau de base de protection des données ?
La méthode d’authentification TPM uniquement fournit l’expérience utilisateur la plus transparente pour les organisations qui ont besoin d’un niveau de base de protection des données pour répondre aux stratégies de sécurité. Il a le coût total de possession le plus bas. Le module TPM uniquement peut également être plus approprié pour les appareils sans assistance ou qui doivent redémarrer sans assistance.
Toutefois, la méthode d’authentification TPM uniquement n’offre pas un niveau élevé de protection des données. Cette méthode d’authentification protège contre les attaques qui modifient les composants de démarrage précoces. Toutefois, le niveau de protection peut être affecté par des faiblesses potentielles du matériel ou des composants de démarrage précoces. Les méthodes d’authentification multifacteur de BitLocker augmentent considérablement le niveau global de protection des données.
Astuce
L’un des avantages de l’authentification TPM uniquement est qu’un appareil peut démarrer Windows sans aucune interaction de l’utilisateur. En cas de perte ou de vol d’un appareil, cette configuration peut présenter un avantage : si l’appareil est connecté à Internet, il peut être réinitialisé à distance avec une solution de gestion des appareils comme Microsoft Intune.
Quels domaines de la organization ont besoin d’un niveau de protection des données plus sécurisé ?
S’il existe des appareils avec des données hautement sensibles, déployez BitLocker avec l’authentification multifacteur sur ces systèmes. L’obligation pour l’utilisateur d’entrer un code confidentiel augmente considérablement le niveau de protection du système. Le déverrouillage réseau BitLocker peut également être utilisé pour permettre à ces appareils de se déverrouiller automatiquement lorsqu’ils sont connectés à un réseau câblé approuvé qui peut fournir la clé de déverrouillage réseau.
Quelle méthode d’authentification multifacteur le organization préfère-t-il ?
Les différences de protection fournies par les méthodes d’authentification multifacteur ne peuvent pas être facilement quantifiées. Tenez compte de l’impact de chaque méthode d’authentification sur le support technique, la formation des utilisateurs, la productivité des utilisateurs et tout processus de gestion des systèmes automatisés.
Gérer les mots de passe et les codes confidentiels
Lorsque BitLocker est activé sur un lecteur système et que l’appareil dispose d’un TPM, les utilisateurs peuvent être tenus d’entrer un code confidentiel avant que BitLocker déverrouille le lecteur. Une telle exigence de code confidentiel peut empêcher un attaquant qui a un accès physique à un appareil d’accéder à la connexion Windows, ce qui rend presque impossible pour l’attaquant d’accéder aux données utilisateur et aux fichiers système ou de les modifier.
L’exigence d’un code confidentiel au démarrage est une fonctionnalité de sécurité utile, car elle agit comme un deuxième facteur d’authentification. Toutefois, cette configuration est accompagnée de certains coûts, en particulier si vous avez besoin de modifier le code confidentiel régulièrement.
En outre, les appareils de secours modernes ne nécessitent pas de code confidentiel pour le démarrage : ils sont conçus pour démarrer rarement et ont d’autres atténuations en place qui réduisent davantage la surface d’attaque du système.
Pour plus d’informations sur le fonctionnement de la sécurité de démarrage et sur les contre-mesures fournies par Windows, consultez Authentification de prédémarrage.
Configurations matérielles du module de plateforme sécurisée (TPM)
Dans le plan de déploiement, identifiez les plateformes matérielles TPM prises en charge. Documentez les modèles matériels d’un ou plusieurs OEM utilisés par le organization afin que leurs configurations puissent être testées et prises en charge. Le matériel TPM nécessite une attention particulière dans tous les aspects de la planification et du déploiement.
États et initialisation du module de plateforme sécurisée 1.2
Pour TPM 1.2, il existe plusieurs états possibles. Windows initialise automatiquement le module TPM, ce qui l’amène à un état activé, activé et détenu. Cet état est l’état requis par BitLocker avant de pouvoir utiliser le TPM.
Clés d’approbation
Pour qu’un module de plateforme sécurisée soit utilisable par BitLocker, il doit contenir une clé d’approbation, qui est une paire de clés RSA. La moitié privée de la paire de clés est conservée à l’intérieur du module de plateforme sécurisée et n’est jamais révélée ou accessible en dehors du module de plateforme sécurisée. Si le module de plateforme sécurisée n’a pas de clé d’approbation, BitLocker force le module de plateforme sécurisée à en générer une automatiquement dans le cadre de la configuration de BitLocker.
Une clé d’approbation peut être créée à différents moments du cycle de vie du module de plateforme sécurisée, mais ne doit être créée qu’une seule fois pour la durée de vie du module de plateforme sécurisée. S’il n’existe pas de clé d’approbation pour le module de plateforme sécurisée, vous devez la créer avant de pouvoir en prendre la propriété.
Pour plus d’informations sur le TPM et le TCG, consultez Trusted Computing Group : Trusted Platform Module (TPM) Specifications.
Configurations matérielles non-TPM
Les appareils sans module de plateforme sécurisée peuvent toujours être protégés avec le chiffrement de lecteur à l’aide d’une clé de démarrage.
Utilisez les questions suivantes pour identifier les problèmes susceptibles d’affecter le déploiement dans une configuration non TPM :
- Existe-t-il un budget pour les lecteurs flash USB pour chacun de ces appareils ?
- Les périphériques non TPM existants prennent-ils en charge les lecteurs USB au moment du démarrage ?
Testez les plateformes matérielles individuelles avec l’option de case activée système BitLocker lors de l’activation de BitLocker. Le système case activée s’assure que BitLocker peut lire correctement les informations de récupération à partir d’un périphérique USB et des clés de chiffrement avant de chiffrer le volume.
Considérations relatives à la configuration du disque
Pour fonctionner correctement, BitLocker nécessite une configuration de disque spécifique. BitLocker nécessite deux partitions qui répondent aux exigences suivantes :
- La partition du système d’exploitation contient le système d’exploitation et ses fichiers de support ; il doit être formaté avec le système de fichiers NTFS
- La partition système (ou partition de démarrage) inclut les fichiers nécessaires pour charger Windows une fois que le microprogramme BIOS ou UEFI a préparé le matériel système. BitLocker n’est pas activé sur cette partition. Pour que BitLocker fonctionne, la partition système ne doit pas être chiffrée et doit se trouver sur une partition différente de celle du système d’exploitation. Sur les plateformes UEFI, la partition système doit être formatée avec le système de fichiers FAT 32. Sur les plateformes BIOS, la partition système doit être formatée avec le système de fichiers NTFS. Sa taille doit être d’au moins 350 Mo.
Le programme d’installation de Windows configure automatiquement les lecteurs de disque des ordinateurs pour prendre en charge le chiffrement BitLocker.
L’environnement de récupération Windows (Windows RE) est une plateforme de récupération extensible basée sur l’environnement de préinstallation Windows (Windows PE). Lorsque l’ordinateur ne parvient pas à démarrer, Windows passe automatiquement à cet environnement, et l’outil de réparation de démarrage dans Windows RE automatise le diagnostic et la réparation d’une installation windows non démarrable. Windows RE contient également les pilotes et les outils nécessaires pour déverrouiller un volume protégé par BitLocker en fournissant une clé de récupération ou un mot de passe de récupération. Pour utiliser Windows RE avec BitLocker, l’image de démarrage Windows RE doit se trouver sur un volume qui n’est pas protégé par BitLocker.
Windows RE peuvent également être utilisés à partir d’un support de démarrage autre que le disque dur local. Si Windows RE n’est pas installé sur le disque dur local des ordinateurs bitlocker, vous pouvez utiliser différentes méthodes pour démarrer Windows RE. Par exemple, les services de déploiement Windows (WDS) ou le lecteur flash USB peuvent être utilisés pour la récupération.
Provisionnement BitLocker
Les administrateurs peuvent activer BitLocker avant le déploiement du système d’exploitation à partir de l’environnement de préinstallation Windows (WinPE). Cette étape s’effectue avec un protecteur de clé en clair généré de manière aléatoire appliqué au volume mis en forme. Il chiffre le volume avant d’exécuter le processus d’installation de Windows. Si le chiffrement utilise l’option Espace disque utilisé uniquement , cette étape ne prend que quelques secondes et peut être incorporée dans les processus de déploiement existants. Le préprovisionnement nécessite un module TPM.
Pour case activée l’status BitLocker d’un volume particulier, les administrateurs peuvent examiner le lecteur status dans l’applet de Panneau de configuration BitLocker ou l’Explorer Windows. Le status en attente d’activation signifie que le lecteur a été préprovisionné pour BitLocker et qu’il n’existe qu’un protecteur clair utilisé pour chiffrer le volume. Dans ce cas, le volume n’est pas protégé et doit avoir une clé sécurisée ajoutée au volume pour que le lecteur soit considéré comme entièrement protégé. Les administrateurs peuvent utiliser les options de Panneau de configuration, les applets de commande PowerShell, l’outil manage-bde.exe
ou les API WMI pour ajouter un protecteur de clé approprié. Le volume status est alors mis à jour.
Lors de l’utilisation des options de Panneau de configuration, les administrateurs peuvent choisir d’activer BitLocker et de suivre les étapes de l’Assistant pour ajouter un logiciel de protection, tel qu’un code confidentiel pour un volume de système d’exploitation (ou un mot de passe s’il n’existe pas de module de plateforme sécurisée), ou un mot de passe ou un protecteur de carte intelligent à un volume de données. La fenêtre de sécurité du lecteur s’affiche avant de modifier le volume status.
Chiffrement de l’espace disque utilisé uniquement
L’Assistant Installation de BitLocker permet aux administrateurs de choisir la méthode Espace disque utilisé uniquement ou Chiffrement complet lors de l’activation de BitLocker pour un volume. Les administrateurs peuvent utiliser les paramètres de stratégie BitLocker pour appliquer l’espace disque utilisé uniquement ou le chiffrement de disque complet.
Le lancement de l’Assistant Installation de BitLocker invite à utiliser la méthode d’authentification (mot de passe et carte intelligentes sont disponibles pour les volumes de données). Une fois la méthode choisie et la clé de récupération enregistrée, l’Assistant vous demande de choisir le type de chiffrement du lecteur. Sélectionnez Espace disque utilisé uniquement ou Chiffrement du lecteur complet .
Avec l’espace disque utilisé uniquement, seule la partie du lecteur qui contient des données est chiffrée. L’espace inutilisé reste non chiffré. Ce comportement accélère le processus de chiffrement, en particulier pour les nouveaux appareils et lecteurs de données. Lorsque BitLocker est activé avec cette méthode, à mesure que des données sont ajoutées au lecteur, la partie du lecteur utilisée est chiffrée. Par conséquent, il n’y a jamais de données non chiffrées stockées sur le lecteur.
Avec le chiffrement de lecteur complet, l’intégralité du lecteur est chiffrée, que les données y soient stockées ou non. Cette option est utile pour les lecteurs qui ont été réaffectés et peuvent contenir des restes de données de leur utilisation précédente.
Attention
Soyez prudent lorsque vous chiffrez uniquement l’espace utilisé sur un volume existant sur lequel des données confidentielles ont peut-être déjà été stockées dans un état non chiffré. Lorsque vous utilisez le chiffrement d’espace utilisé, les secteurs où sont stockées des données précédemment non chiffrées peuvent être récupérés via des outils de récupération de disque jusqu’à ce qu’ils soient remplacés par de nouvelles données chiffrées. En revanche, le chiffrement de l’espace utilisé uniquement sur un nouveau volume peut réduire considérablement le temps de déploiement sans risque de sécurité, car toutes les nouvelles données seront chiffrées au fur et à mesure de leur écriture sur le disque.
Prise en charge des disques durs chiffrés
Les disques durs chiffrés fournissent des fonctionnalités de chiffrement intégrées pour chiffrer les données sur les lecteurs. Cette fonctionnalité améliore les performances du lecteur et du système en déchargeant les calculs de chiffrement du processeur de l’appareil vers le lecteur lui-même. Les données sont rapidement chiffrées par le lecteur à l’aide d’un matériel dédié conçu à cet effet. Si vous envisagez d’utiliser le chiffrement de lecteur entier avec Windows, Microsoft recommande de rechercher les fabricants et les modèles de disques durs pour déterminer si l’un de leurs disques durs chiffrés répond aux exigences de sécurité et de budget.
Pour plus d’informations sur les disques durs chiffrés, consultez Disques durs chiffrés.
Microsoft Entra ID et services de domaine Active Directory considérations
BitLocker s’intègre à Microsoft Entra ID et services de domaine Active Directory (AD DS) pour fournir une gestion centralisée des clés. Par défaut, aucune information de récupération n’est sauvegardée dans Microsoft Entra ID ou AD DS. Les administrateurs peuvent configurer le paramètre de stratégie pour chaque type de lecteur afin d’activer la sauvegarde des informations de récupération BitLocker.
Les données de récupération suivantes sont enregistrées pour chaque objet ordinateur :
- Mot de passe de récupération : mot de passe de récupération à 48 chiffres utilisé pour récupérer un volume protégé par BitLocker. Les utilisateurs doivent entrer ce mot de passe pour déverrouiller un volume lorsque BitLocker passe en mode de récupération
- Package de clé : avec le package de clé et le mot de passe de récupération, des parties d’un volume protégé par BitLocker peuvent être déchiffrées si le disque est gravement endommagé. Chaque package de clé fonctionne uniquement avec le volume sur lequel il a été créé, qui est identifié par l’ID de volume correspondant
Prise en charge de FIPS pour le protecteur de mot de passe de récupération
Les appareils configurés pour fonctionner en mode FIPS peuvent créer des protecteurs de mot de passe de récupération compatibles FIPS, qui utilisent l’algorithme NIST SP800-132 FIPS-140 .
Remarque
Le États-Unis Federal Information Processing Standard (FIPS) définit les exigences de sécurité et d’interopérabilité pour les systèmes informatiques utilisés par le gouvernement fédéral des États-Unis. La norme FIPS-140 définit des algorithmes de chiffrement approuvés. La norme FIPS-140 définit également des exigences pour la génération de clés et la gestion des clés. Le NIST (National Institute of Standards and Technology) utilise le Programme de validation de module de chiffrement (CMVP) pour déterminer si une implémentation particulière d’un algorithme de chiffrement est conforme à la norme FIPS-140. Une implémentation d’un algorithme de chiffrement est considérée comme conforme à la norme FIPS-140 uniquement si elle a été soumise pour et a réussi la validation NIST. Un algorithme qui n’a pas été soumis ne peut pas être considéré comme conforme à la norme FIPS, même si l’implémentation produit des données identiques en tant qu’implémentation validée du même algorithme.
- Les protecteurs de mot de passe de récupération compatibles FIPS peuvent être exportés et stockés dans AD DS
- Les paramètres de stratégie BitLocker pour les mots de passe de récupération fonctionnent de la même façon pour toutes les versions de Windows qui prennent en charge BitLocker, que ce soit en mode FIPS ou non
Déverrouillage réseau
Certaines organisations ont des exigences de sécurité des données spécifiques à l’emplacement, en particulier dans les environnements avec des données de grande valeur. L’environnement réseau peut fournir une protection des données cruciale et appliquer l’authentification obligatoire. Par conséquent, la stratégie indique que ces appareils ne doivent pas quitter le bâtiment ou être déconnectés du réseau d’entreprise. Les dispositifs de protection tels que les verrous de sécurité physiques et le géorefencing peuvent aider à appliquer cette stratégie en tant que contrôles réactifs. Au-delà de ces protections, un contrôle de sécurité proactif qui accorde l’accès aux données uniquement lorsque l’appareil est connecté au réseau d’entreprise est nécessaire.
Le déverrouillage réseau permet aux appareils protégés par BitLocker de démarrer automatiquement lorsqu’ils sont connectés à un réseau d’entreprise câblé sur lequel les services de déploiement Windows s’exécutent. Chaque fois que l’appareil n’est pas connecté au réseau d’entreprise, un utilisateur doit entrer un code confidentiel pour déverrouiller le lecteur (si le déverrouillage basé sur le code confidentiel est activé). Le déverrouillage réseau nécessite l’infrastructure suivante :
- Appareils clients dotés d’un microprogramme UEFI (Unified Extensible Firmware Interface) version 2.3.1 ou ultérieure, qui prend en charge le protocole DHCP (Dynamic Host Configuration Protocol)
- Un serveur Windows Server exécutant le rôle des services de déploiement Windows (WDS)
- Un serveur DHCP
Pour plus d’informations sur la configuration de la fonctionnalité de déverrouillage réseau, consultez Déverrouillage réseau.
Récupération BitLocker
Les organisations doivent planifier soigneusement une stratégie de récupération BitLocker dans le cadre du plan d’implémentation de BitLocker global. Il existe différentes options lors de l’implémentation d’un modèle de récupération BitLocker, qui sont décrites dans Vue d’ensemble de la récupération BitLocker.
Surveiller BitLocker
Les organisations peuvent utiliser Microsoft Intune ou Configuration Manager pour surveiller le chiffrement des appareils sur plusieurs appareils. Pour plus d’informations, consultez Surveiller le chiffrement des appareils avec Intune et Afficher les rapports BitLocker dans Configuration Manager.
Étapes suivantes
Découvrez comment planifier une stratégie de récupération BitLocker pour votre organization :
Découvrez les options disponibles pour configurer BitLocker et comment les configurer via les fournisseurs de services de configuration (CSP) ou la stratégie de groupe (GPO) :