Le tableau suivant répertorie les stratégies BitLocker applicables à tous les types de lecteurs, en indiquant si elles sont applicables via le fournisseur de services de configuration (CSP) et/ou la stratégie de groupe (GPO). Sélectionnez le nom de la stratégie pour plus d’informations.
Autoriser le chiffrement utilisateur standard
Avec cette stratégie, vous pouvez appliquer la stratégie Exiger le chiffrement de l’appareil pour les scénarios où la stratégie est appliquée alors que l’utilisateur actuellement connecté ne dispose pas de droits d’administration.
Choisir le dossier par défaut pour le mot de passe de récupération
Spécifiez le chemin d’accès par défaut qui s’affiche lorsque l’Assistant Installation du chiffrement de lecteur BitLocker invite l’utilisateur à entrer l’emplacement d’un dossier dans lequel enregistrer le mot de passe de récupération. Vous pouvez spécifier un chemin d’accès complet ou inclure les variables d’environnement de l’ordinateur cible dans le chemin d’accès :
- Si le chemin d’accès n’est pas valide, l’Assistant Installation de BitLocker affiche l’affichage des dossiers de niveau supérieur de l’ordinateur
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker affiche l’affichage des dossiers de niveau supérieur de l’ordinateur lorsque l’utilisateur choisit l’option pour enregistrer le mot de passe de récupération dans un dossier
Remarque
Ce paramètre de stratégie n’empêche pas l’utilisateur d’enregistrer le mot de passe de récupération dans un autre dossier.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker |
Choisir la méthode de chiffrement de lecteur et la force de chiffrement
Avec cette stratégie, vous pouvez configurer un algorithme de chiffrement et une puissance de chiffrement de clé pour les lecteurs de données fixes, les lecteurs de système d’exploitation et les lecteurs de données amovibles individuellement.
Paramètres recommandés : XTS-AES algorithme pour tous les lecteurs. Le choix de la taille de clé( 128 bits ou 256 bits) dépend des performances de l’appareil. Pour des disques durs et un processeur plus performants, choisissez une clé 256 bits, pour les moins performants, utilisez 128.
Important
La taille des clés peut être requise par les organismes de réglementation ou le secteur.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise la méthode de chiffrement par défaut de XTS-AES 128-bit.
Remarque
Cette stratégie ne s’applique pas aux lecteurs chiffrés. Les lecteurs chiffrés utilisent leur propre algorithme, qui est défini par le lecteur pendant le partitionnement.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker |
Avec cette stratégie, vous pouvez configurer une rotation de mot de passe de récupération numérique lors de l’utilisation pour le système d’exploitation et les lecteurs fixes sur Microsoft Entra appareils joints et Microsoft Entra joints hybrides.
Les valeurs possibles sont :
0: la rotation du mot de passe de récupération numérique est désactivée1: la rotation du mot de passe de récupération numérique lors de l’utilisation est activée pour Microsoft Entra appareils joints. Il s’agit également de la valeur par défaut2: la rotation numérique du mot de passe de récupération lors de l’utilisation est activée pour les appareils Microsoft Entra joints et les appareils joints Microsoft Entra hybrides
Remarque
La stratégie n’est effective que lorsque l’ID Micropsoft Entra ou la sauvegarde Active Directory pour le mot de passe de récupération est configuré sur obligatoire
- Pour le lecteur de système d’exploitation : activez Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs du système d’exploitation
- Pour les lecteurs fixes : activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes
Désactiver les nouveaux appareils DMA lorsque cet ordinateur est verrouillé
Lorsqu’il est activé, ce paramètre de stratégie bloque l’accès direct à la mémoire (DMA) pour tous les ports PCI enfichables à chaud jusqu’à ce qu’un utilisateur se connecte à Windows.
Une fois qu’un utilisateur se connecte, Windows énumère les appareils PCI connectés aux ports PCI Thunderbolt de l’hôte. Chaque fois que l’utilisateur verrouille l’appareil, DMA est bloqué sur les ports PCI Thunderbolt à chaud sans appareil enfant, jusqu’à ce que l’utilisateur se reconnecte.
Les appareils qui étaient déjà énumérés lorsque l’appareil a été déverrouillé continueront de fonctionner jusqu’à ce qu’ils soient débranchés ou que le système soit redémarré ou bloqué.
Ce paramètre de stratégie est appliqué uniquement lorsque BitLocker ou le chiffrement d’appareil est activé.
Important
Cette stratégie n’est pas compatible avec la protection DMA du noyau. Il est recommandé de désactiver cette stratégie si le système prend en charge la protection DMA du noyau, car la protection DMA du noyau offre une sécurité plus élevée pour le système. Pour plus d’informations sur la protection DMA du noyau, consultez Protection DMA du noyau.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker |
Empêcher le remplacement de la mémoire au redémarrage
Ce paramètre de stratégie est utilisé pour contrôler si la mémoire de l’ordinateur est remplacée lors du redémarrage de l’appareil. Les secrets BitLocker incluent le matériel de clé utilisé pour chiffrer les données.
- Si vous activez ce paramètre de stratégie, la mémoire n’est pas remplacée lors du redémarrage de l’ordinateur. La prévention du remplacement de la mémoire peut améliorer les performances de redémarrage, mais augmente le risque d’exposition des secrets BitLocker.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les secrets BitLocker sont supprimés de la mémoire lors du redémarrage de l’ordinateur.
Remarque
Ce paramètre de stratégie s’applique uniquement lorsque la protection BitLocker est activée.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker |
Fournissez les identificateurs uniques de votre organization
Ce paramètre de stratégie vous permet d’associer des identificateurs organisationnels uniques à un lecteur chiffré avec BitLocker. Les identificateurs sont stockés en tant que champ d’identification et champ d’identification autorisé :
- Le champ d’identification vous permet d’associer un identificateur organisationnel unique à des lecteurs protégés par BitLocker. Cet identificateur est automatiquement ajouté aux nouveaux lecteurs protégés par BitLocker et peut être mis à jour sur les lecteurs protégés par BitLocker existants à l’aide de l’outil Chiffrement de lecteur BitLocker : Configuration (
manage-bde.exe)
- Le champ d’identification autorisé est utilisé en combinaison avec le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker pour contrôler l’utilisation des lecteurs amovibles dans votre organization. Il s’agit d’une liste de champs d’identification séparés par des virgules de votre organization ou d’autres organisations externes. Vous pouvez configurer les champs d’identification sur des lecteurs existants à l’aide
manage-bde.exede .
Si vous activez ce paramètre de stratégie, vous pouvez configurer le champ d’identification sur le lecteur protégé par BitLocker et tout champ d’identification autorisé utilisé par votre organization. Lorsqu’un lecteur protégé par BitLocker est monté sur un autre appareil avec BitLocker, le champ d’identification et le champ d’identification autorisé sont utilisés pour déterminer si le lecteur provient d’un autre organization.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le champ d’identification n’est pas obligatoire.
Important
Les champs d’identification sont requis pour la gestion des agents de récupération de données basés sur les certificats sur les lecteurs protégés par BitLocker. BitLocker gère et met à jour les agents de récupération de données basés sur les certificats uniquement lorsque le champ d’identification est présent sur un lecteur et est identique à la valeur configurée sur l’appareil. Le champ d’identification peut contenir n’importe quelle valeur de 260 caractères ou moins.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/Champ d’identification |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker |
Exiger le chiffrement de l’appareil
Ce paramètre de stratégie détermine si BitLocker est requis :
- S’il est activé, le chiffrement est déclenché sur tous les lecteurs en mode silencieux ou non en mode silencieux en fonction de l’avertissement Autoriser pour une autre stratégie de chiffrement de disque
- S’il est désactivé, BitLocker n’est pas désactivé pour le lecteur système, mais il cesse d’inviter l’utilisateur à activer BitLocker.
Remarque
En règle générale, BitLocker suit la configuration choisir la méthode de chiffrement de lecteur et la configuration de la stratégie de force de chiffrement. Toutefois, ce paramètre de stratégie sera ignoré pour les lecteurs fixes à chiffrement automatique et les lecteurs de système d’exploitation autochiffrés.
Les volumes de données fixes pouvant être chiffrés sont traités de la même manière que les volumes de système d’exploitation, mais ils doivent répondre à d’autres critères pour pouvoir être chiffrés :
- Il ne doit pas s’agir d’un volume dynamique
- Il ne doit pas s’agir d’une partition de récupération
- Il ne doit pas s’agir d’un volume masqué
- Il ne doit pas s’agir d’une partition système
- Il ne doit pas être sauvegardé par un stockage virtuel
- Il ne doit pas avoir de référence dans le magasin BCD
Valider la conformité aux règles d’utilisation des certificats smart carte
Ce paramètre de stratégie est utilisé pour déterminer le certificat à utiliser avec BitLocker en associant un identificateur d’objet (OID) d’un certificat smart carte à un lecteur protégé par BitLocker. L’identificateur d’objet est spécifié dans l’utilisation améliorée de la clé (EKU) d’un certificat.
BitLocker peut identifier les certificats qui peuvent être utilisés pour authentifier un certificat utilisateur sur un lecteur protégé par BitLocker en faisant correspondre l’identificateur d’objet dans le certificat avec l’identificateur d’objet défini par ce paramètre de stratégie. L’OID par défaut est 1.3.6.1.4.1.311.67.1.1.
Si vous activez ce paramètre de stratégie, l’identificateur d’objet spécifié dans le champ Identificateur d’objet doit correspondre à l’identificateur d’objet dans le certificat smart carte. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’OID par défaut est utilisé.
Remarque
BitLocker ne nécessite pas qu’un certificat ait un attribut EKU ; Toutefois, si un est configuré pour le certificat, il doit être défini sur un identificateur d’objet qui correspond à l’identificateur d’objet configuré pour BitLocker.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement de lecteur BitLocker |
Autoriser les appareils compatibles avec InstantGo ou HSTI à refuser le code confidentiel de prédémarrage
Ce paramètre de stratégie permet aux utilisateurs sur les appareils qui sont conformes à InstantGo ou à l’interface de test de sécurité matérielle Microsoft (HSTI) de ne pas avoir de code confidentiel pour l’authentification de prédémarrage.
La stratégie remplace les options Exiger le code pin de démarrage avec TPM et Exiger une clé de démarrage et un code confidentiel avec TPM de la stratégie Exiger une authentification supplémentaire au démarrage sur le matériel conforme.
- Si vous activez ce paramètre de stratégie, les utilisateurs sur des appareils compatibles InstantGo et HSTI peuvent activer BitLocker sans authentification préalable au démarrage
- Si la stratégie est désactivée ou non configurée, les options de la stratégie Exiger une authentification supplémentaire au démarrage s’appliquent
Autoriser les codes confidentiels améliorés pour le démarrage
Ce paramètre permet d’utiliser des codes confidentiels améliorés lorsqu’une méthode de déverrouillage qui inclut un code pin est utilisée.
Les codes confidentiels de démarrage améliorés permettent d’utiliser des caractères (y compris des lettres majuscules et minuscules, des symboles, des chiffres et des espaces).
Important
Tous les ordinateurs ne prennent pas en charge les caractères confidentiels améliorés dans l’environnement de prédémarrage. Il est fortement recommandé aux utilisateurs d’effectuer une case activée système pendant l’installation de BitLocker pour vérifier que les caractères de code confidentiel améliorés peuvent être utilisés.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Autoriser le déverrouillage réseau au démarrage
Ce paramètre de stratégie détermine si un appareil protégé par BitLocker connecté à un réseau local câblé (LAN) approuvé peut créer et utiliser des protecteurs de clé réseau sur des ordinateurs compatibles TPM pour déverrouiller automatiquement le lecteur du système d’exploitation au démarrage de l’ordinateur.
Si vous activez cette stratégie, les appareils configurés avec un certificat de déverrouillage réseau BitLocker peuvent créer et utiliser des protecteurs de clé réseau. Pour utiliser un protecteur de clé réseau pour déverrouiller l’ordinateur, l’ordinateur et le serveur de déverrouillage réseau de chiffrement de lecteur BitLocker doivent être approvisionnés avec un certificat de déverrouillage réseau. Le certificat de déverrouillage réseau est utilisé pour créer des protecteurs de clé réseau et protège les informations échangées avec le serveur pour déverrouiller l’ordinateur.
Le paramètre stratégie de groupe Configuration> ordinateurParamètres Windows Paramètres>de sécurité Stratégies>de clé publique Stratégies>de chiffrement de lecteur BitLocker Certificat de déverrouillage réseau peut être utilisé sur le contrôleur de domaine pour distribuer ce certificat aux ordinateurs dans le organization. Cette méthode de déverrouillage utilise le TPM sur l’ordinateur, de sorte que les ordinateurs qui n’ont pas de module de plateforme sécurisée ne peuvent pas créer de protecteurs de clé réseau pour se déverrouiller automatiquement avec le déverrouillage réseau.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les clients BitLocker ne pourront pas créer et utiliser des protecteurs de clé réseau.
Remarque
Pour assurer la fiabilité et la sécurité, les ordinateurs doivent également disposer d’un code pin de démarrage TPM qui peut être utilisé lorsque l’ordinateur est déconnecté du réseau câblé ou du serveur au démarrage.
Pour plus d’informations sur la fonctionnalité de déverrouillage réseau, consultez BitLocker : Comment activer le déverrouillage réseau
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Autoriser le démarrage sécurisé pour la validation de l’intégrité
Ce paramètre de stratégie vous permet de configurer si le démarrage sécurisé est autorisé en tant que fournisseur d’intégrité de la plateforme pour les lecteurs de système d’exploitation BitLocker.
Le démarrage sécurisé garantit que l’environnement de prédémarrage de l’appareil ne charge que le microprogramme signé numériquement par les éditeurs de logiciels autorisés.
- Si vous activez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise le démarrage sécurisé pour l’intégrité de la plateforme si la plateforme est capable de valider l’intégrité basée sur le démarrage sécurisé
- Si vous désactivez ce paramètre de stratégie, BitLocker utilise la validation de l’intégrité de la plateforme héritée, même sur les systèmes capables de valider l’intégrité basée sur le démarrage sécurisé
Lorsque cette stratégie est activée et que le matériel est capable d’utiliser le démarrage sécurisé pour les scénarios BitLocker, le paramètre de stratégie Utiliser le profil de validation des données de configuration de démarrage améliorée est ignoré et le démarrage sécurisé vérifie les paramètres BCD en fonction du paramètre de stratégie de démarrage sécurisé, qui est configuré séparément de BitLocker.
Warning
La désactivation de cette stratégie peut entraîner une récupération BitLocker lorsque le microprogramme spécifique au fabricant est mis à jour. Si cette stratégie est désactivée, suspendez BitLocker avant d’appliquer les mises à jour du microprogramme.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Avertissement d’autorisation pour un autre chiffrement de disque
Avec cette stratégie, vous pouvez désactiver toutes les notifications pour le chiffrement, l’invite d’avertissement pour un autre chiffrement de disque et activer le chiffrement en mode silencieux.
Important
Cette stratégie s’applique uniquement aux appareils joints Microsoft Entra.
Cette stratégie prend effet uniquement si l’option Exiger la stratégie de chiffrement d’appareil est activée.
Warning
Lorsque vous activez BitLocker sur un appareil avec un chiffrement non-Microsoft, cela peut rendre l’appareil inutilisable et nécessiter la réinstallation de Windows.
Les valeurs attendues pour cette stratégie sont les suivantes :
- Activé (par défaut) : l’invite d’avertissement et la notification de chiffrement sont autorisées
- Désactivé : l’invite d’avertissement et la notification de chiffrement sont supprimées. Windows tentera d’activer BitLocker en mode silencieux
Remarque
Lorsque vous désactivez l’invite d’avertissement, la clé de récupération du lecteur de système d’exploitation est sauvegardée dans le compte Microsoft Entra ID de l’utilisateur. Lorsque vous autorisez l’invite d’avertissement, l’utilisateur qui reçoit l’invite peut sélectionner l’emplacement où sauvegarder la clé de récupération du lecteur du système d’exploitation.
Le point de terminaison pour la sauvegarde d’un lecteur de données fixe est choisi dans l’ordre suivant :
- Compte Windows Server Active Directory Domain Services de l’utilisateur
- Compte Microsoft Entra ID de l’utilisateur
- OneDrive personnel de l’utilisateur (MDM/GAM uniquement)
Le chiffrement attend que l’un de ces trois emplacements soit correctement sauvegardé.
Choisir la façon dont les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés
Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de système d’exploitation protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises. Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de système d’exploitation protégés par BitLocker. Voici les options disponibles :
- Autoriser l’agent de récupération de données basé sur un certificat : spécifiez si un agent de récupération de données peut être utilisé avec des lecteurs de système d’exploitation protégés par BitLocker. Avant qu’un agent de récupération de données puisse être utilisé, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion stratégie de groupe ou la stratégie de groupe Rédacteur locale
- Configurer le stockage utilisateur des informations de récupération BitLocker : indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération de 256 bits
- Omettre les options de récupération de l’Assistant Installation de BitLocker : empêche les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker pour un lecteur. Cela signifie que les utilisateurs ne pourront pas spécifier l’option de récupération à utiliser lorsqu’ils activent BitLocker. Les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie
- Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory : choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de système d’exploitation. Si vous sélectionnez Mot de passe de récupération de sauvegarde et package de clé, le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez Mot de passe de récupération de sauvegarde uniquement, seul le mot de passe de récupération est stocké dans AD DS
- N’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de système d’exploitation : empêche les utilisateurs d’activer BitLocker, sauf si l’appareil est connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS réussit. Lorsque vous utilisez cette option, un mot de passe de récupération est généré automatiquement.
Si ce paramètre de stratégie est désactivé ou non configuré, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Cette stratégie configure une longueur minimale pour un code pin de démarrage du module de plateforme sécurisée (TPM). Le code pin de démarrage doit avoir une longueur minimale de 4 chiffres et peut avoir une longueur maximale de 20 chiffres.
Si vous activez ce paramètre de stratégie, vous pouvez exiger l’utilisation d’un nombre minimal de chiffres lors de la définition du code confidentiel de démarrage.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent configurer un code pin de démarrage de n’importe quelle longueur comprise entre 6 et 20 chiffres.
Le module de plateforme sécurisée peut être configuré pour utiliser les paramètres de prévention des attaques par dictionnaire (seuil de verrouillage et durée de verrouillage pour contrôler le nombre de tentatives d’autorisation ayant échoué avant le verrouillage du module de plateforme sécurisée et le temps qui doit s’écouler avant qu’une autre tentative puisse être effectuée.
Les paramètres de prévention des attaques par dictionnaire permettent d’équilibrer les besoins de sécurité et la facilité d’utilisation. Par exemple, lorsque BitLocker est utilisé avec une configuration TPM + PIN, le nombre de suppositions de code confidentiel est limité au fil du temps. Dans cet exemple, un module TPM 2.0 peut être configuré pour n’autoriser que 32 estimations de code confidentiel immédiatement, puis une seule estimation de plus toutes les deux heures. Ce nombre de tentatives s’élève à un maximum d’environ 4415 estimations par an. Si le code confidentiel est à quatre chiffres, toutes les combinaisons de code confidentiel possibles de 9999 peuvent être tentées dans un peu plus de deux ans.
Astuce
L’augmentation de la longueur du code confidentiel nécessite un plus grand nombre de suppositions pour un attaquant. Dans ce cas, la durée de verrouillage entre chaque estimation peut être raccourcie pour permettre aux utilisateurs légitimes de réessayer plus tôt une tentative ayant échoué, tout en conservant un niveau de protection similaire.
Remarque
Si la longueur minimale du code confidentiel est inférieure à 6 chiffres, Windows tente de mettre à jour la période de verrouillage TPM 2.0 pour qu’elle soit supérieure à la valeur par défaut lorsqu’un code confidentiel est modifié. En cas de réussite, Windows réinitialise uniquement la période de verrouillage du module de plateforme sécurisée à la valeur par défaut si le module de plateforme sécurisée est réinitialisé.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Ce paramètre de stratégie est utilisé pour configurer le message de récupération et remplacer l’URL existante qui s’affiche sur l’écran de récupération de prédémarrage lorsque le lecteur du système d’exploitation est verrouillé.
- Si vous sélectionnez l’option Utiliser le message de récupération et l’URL par défaut , le message et l’URL de récupération BitLocker par défaut s’affichent dans l’écran de récupération de la clé de prédémarrage. Si vous avez précédemment configuré un message ou une URL de récupération personnalisé et que vous souhaitez revenir au message par défaut, vous devez conserver la stratégie activée et sélectionner l’option Utiliser le message et l’URL de récupération par défaut
- Si vous sélectionnez l’option Utiliser un message de récupération personnalisé , le message que vous ajoutez à l’option Message de récupération personnalisé s’affiche dans l’écran de récupération de la clé de prédémarrage. Si une URL de récupération est disponible, incluez-la dans le message
- Si vous sélectionnez l’option Utiliser une URL de récupération personnalisée , l’URL que vous ajoutez à l’option URL de récupération personnalisée remplace l’URL par défaut dans le message de récupération par défaut, qui s’affiche dans l’écran de récupération de la clé de prédémarrage
Remarque
Tous les caractères et langues ne sont pas pris en charge dans le prédémarrement. Il est fortement recommandé de tester que les caractères que vous utilisez pour le message ou l’URL personnalisé s’affichent correctement sur l’écran de récupération préalable au démarrage.
Pour plus d’informations sur l’écran de récupération de prédémarrage BitLocker, consultez l’écran de récupération de prédémarrage.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Ce paramètre de stratégie détermine les valeurs que le module TPM mesure lorsqu’il valide les composants de démarrage avant de déverrouiller un lecteur de système d’exploitation sur un ordinateur avec une configuration BIOS ou un microprogramme UEFI pour lequel le module de prise en charge de la compatibilité (CSM) est activé.
- Lorsqu’il est activé, les composants de démarrage validés par le module TPM avant de déverrouiller l’accès au lecteur du système d’exploitation chiffré par BitLocker peuvent être configurés. Si l’un de ces composants change pendant que la protection BitLocker est en vigueur, le TPM ne libère pas la clé de chiffrement pour déverrouiller le lecteur. Au lieu de cela, l’ordinateur affiche la console de récupération BitLocker et exige que le mot de passe de récupération ou la clé de récupération soit fourni pour déverrouiller le lecteur.
- Lorsqu’il est désactivé ou non configuré, le module de plateforme sécurisée utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation.
Ce paramètre de stratégie ne s’applique pas si l’ordinateur n’a pas de module de plateforme sécurisée compatible ou si BitLocker a déjà été activé avec la protection TPM.
Important
Ce paramètre stratégie de groupe s’applique uniquement aux ordinateurs avec des configurations BIOS ou aux ordinateurs sur lesquels le microprogramme UEFI est activé. Les ordinateurs qui utilisent une configuration de microprogramme UEFI native stockent différentes valeurs dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme UEFI natives afin de configurer le profil PCR TPM pour les ordinateurs qui utilisent un microprogramme UEFI natif.
Un profil de validation de plateforme se compose d’un ensemble d’index PCR qui varient de 0 à 23. Chaque index PCR représente une mesure spécifique que le module TPM valide lors du démarrage précoce. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées aux fichiers PCR suivants :
| PCR |
Description |
| PCR 0 |
Racine de confiance principale pour les extensions de mesure, de BIOS et de plateforme |
| PCR 2 |
Code ROM de l’option |
| PCR 4 |
Code MBR (Master Boot Record) |
| PCR 8 |
Secteur de démarrage NTFS |
| PCR 9 |
Bloc de démarrage NTFS |
| PCR 10 |
Gestionnaire de démarrage |
| PCR 11 |
Contrôle d’accès BitLocker |
Remarque
La modification du profil de validation de plateforme par défaut affecte la sécurité et la facilité de gestion d’un ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) est augmentée ou diminuée en fonction de l’inclusion ou de l’exclusion (respectivement) des PCR.
La liste suivante identifie tous les PCR disponibles :
| PCR |
Description |
| PCR 0 |
Racine de confiance principale pour les extensions de mesure, de BIOS et de plateforme |
| PCR 1 |
Configuration et données de la plateforme et de la carte mère. |
| PCR 2 |
Code ROM de l’option |
| PCR 3 |
Données et configuration rom d’option |
| PCR 4 |
Code MBR (Master Boot Record) |
| PCR 5 |
Table de partition MBR (Master Boot Record) |
| PCR 6 |
Événements de transition d’état et de veille |
| PCR 7 |
Spécifique au fabricant de l’ordinateur |
| PCR 8 |
Secteur de démarrage NTFS |
| PCR 9 |
Bloc de démarrage NTFS |
| PCR 10 |
Gestionnaire de démarrage |
| PCR 11 |
Contrôle d’accès BitLocker |
| PCR 12-23 |
Réservé pour une utilisation ultérieure |
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Ce paramètre de stratégie détermine les valeurs que le module de plateforme sécurisée mesure lorsqu’il valide les composants de démarrage avant de déverrouiller le lecteur du système d’exploitation sur l’appareil microprogramme UEFI natif.
- Si vous activez ce paramètre de stratégie avant d’activer BitLocker, vous pouvez configurer les composants de démarrage validés par le TPM avant de déverrouiller l’accès au lecteur de système d’exploitation chiffré par BitLocker. Si l’un de ces composants change lorsque la protection BitLocker est en vigueur, le TPM ne libère pas la clé de chiffrement pour déverrouiller le lecteur. L’appareil affiche la console de récupération BitLocker et nécessite que le mot de passe de récupération ou la clé de récupération soit fourni pour déverrouiller le lecteur
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise le profil de validation de plateforme par défaut pour le matériel disponible ou le profil de validation de plateforme spécifié par le script d’installation
Important
Ce paramètre de stratégie s’applique uniquement aux appareils avec une configuration de microprogramme UEFI native. Les ordinateurs avec microprogramme BIOS ou UEFI avec un module de prise en charge de compatibilité (CSM) activé stockent différentes valeurs dans les registres de configuration de la plateforme (PCR). Utilisez le paramètre de stratégie Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme basées sur le BIOS afin de configurer le profil PCR TPM pour les appareils avec des configurations BIOS ou pour les appareils avec microprogramme UEFI avec un CSM activé.
Un profil de validation de plateforme se compose d’un ensemble d’index PCR compris entre 0 et 23. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées aux fichiers PCR suivants :
| PCR |
Description |
| PCR 0 |
Code exécutable du microprogramme système principal |
| PCR 2 |
Code exécutable étendu ou enfichable |
| PCR 4 |
Gestionnaire de démarrage |
| PCR 11 |
Contrôle d’accès BitLocker |
Remarque
Lorsque la prise en charge de l’état de démarrage sécurisé (PCR7) est disponible, le profil de validation de plateforme par défaut sécurise la clé de chiffrement à l’aide de l’état de démarrage sécurisé (PCR 7) et du contrôle d’accès BitLocker (PCR 11).
La liste suivante identifie tous les PCR disponibles :
| PCR |
Description |
| PCR 0 |
Code exécutable du microprogramme système principal |
| PCR 1 |
Données du microprogramme système principal |
| PCR 2 |
Code exécutable étendu ou enfichable |
| PCR 3 |
Données de microprogramme étendues ou enfichables |
| PCR 4 |
Gestionnaire de démarrage |
| PCR 5 |
GpT/Table de partition |
| PCR 6 |
Reprendre à partir des événements d’état d’alimentation S4 et S5 |
| PCR 7 |
État de démarrage sécurisé |
| PCR 8 |
Initialisé à 0 sans extension (réservé pour une utilisation ultérieure) |
| PCR 9 |
Initialisé à 0 sans extension (réservé pour une utilisation ultérieure) |
| PCR 10 |
Initialisé à 0 sans extension (réservé pour une utilisation ultérieure) |
| PCR 11 |
Contrôle d’accès BitLocker |
| PCR 12 |
Événements de données et événements hautement volatiles |
| PCR 13 |
Détails du module de démarrage |
| PCR 14 |
Autorités de démarrage |
| PCR 15 - 23 |
Réservé pour une utilisation ultérieure |
Warning
La modification du profil de validation de plateforme par défaut affecte la sécurité et la facilité de gestion d’un appareil. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) est augmentée ou diminuée en fonction de l’inclusion ou de l’exclusion (respectivement) des PCR.
La définition de cette stratégie avec l’option PCR 7 omise remplace la stratégie Autoriser le démarrage sécurisé pour la validation de l’intégrité , empêchant BitLocker d’utiliser le démarrage sécurisé pour la plateforme ou la validation de l’intégrité des données de configuration de démarrage (BCD).
La définition de cette stratégie peut entraîner une récupération BitLocker lors de la mise à jour du microprogramme. Si vous définissez cette stratégie pour inclure LA VERSION 0, suspendez BitLocker avant d’appliquer les mises à jour du microprogramme. Il est recommandé de ne pas configurer cette stratégie pour permettre à Windows de sélectionner le profil PCR pour la meilleure combinaison de sécurité et de facilité d’utilisation en fonction du matériel disponible sur chaque appareil.
La méthode PCR 7 mesure l’état du démarrage sécurisé. Avec LE PROTOCOLE PCR 7, BitLocker peut utiliser le démarrage sécurisé pour la validation de l’intégrité. Le démarrage sécurisé garantit que l’environnement de prédémarrage de l’ordinateur charge uniquement le microprogramme signé numériquement par les éditeurs de logiciels autorisés. Les mesures DEP 7 indiquent si le démarrage sécurisé est activé et quelles clés sont approuvées sur la plateforme. Si le démarrage sécurisé est activé et que le microprogramme mesure correctement le PROTOCOLE PCR 7 conformément à la spécification UEFI, BitLocker peut lier à ces informations plutôt qu’aux fichiers PCR 0, 2 et 4, sur lesquels les mesures du microprogramme et des images bootmgr exactes sont chargées. Ce processus réduit la probabilité que BitLocker démarre en mode récupération en raison des mises à jour du microprogramme et des images, et offre une plus grande flexibilité pour gérer la configuration de prédémarrage.
Les mesures DEP 7 doivent suivre les instructions décrites dans l’Annexe A Trusted Execution Environment EFI Protocol.
Les mesures DEP 7 sont une exigence de logo obligatoire pour les systèmes qui prennent en charge la veille moderne (également connu sous le nom de PC Always On, Always Connected). Sur ces systèmes, si le TPM avec mesure DEP7 et démarrage sécurisé sont correctement configurés, BitLocker est lié à LAP 7 et à LA PCR 11 par défaut.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Ce paramètre de stratégie vous permet de gérer l’utilisation par BitLocker du chiffrement basé sur le matériel sur les lecteurs de système d’exploitation et de spécifier les algorithmes de chiffrement qu’il peut utiliser avec le chiffrement basé sur le matériel. L’utilisation du chiffrement matériel peut améliorer les performances des opérations de lecteur qui impliquent la lecture ou l’écriture fréquentes de données sur le lecteur.
Si vous activez ce paramètre de stratégie, vous pouvez spécifier des options qui contrôlent si le chiffrement basé sur le logiciel BitLocker est utilisé au lieu du chiffrement basé sur le matériel sur les appareils qui ne prennent pas en charge le chiffrement basé sur le matériel. Vous pouvez également spécifier si vous souhaitez restreindre les algorithmes de chiffrement et les suites de chiffrement utilisés avec le chiffrement basé sur le matériel.
Si vous désactivez ce paramètre de stratégie, BitLocker ne peut pas utiliser le chiffrement matériel avec des lecteurs de système d’exploitation, et le chiffrement logiciel BitLocker est utilisé par défaut lorsque le lecteur est chiffré.
Si vous ne configurez pas ce paramètre de stratégie, BitLocker utilise le chiffrement logiciel, quelle que soit la disponibilité du chiffrement basé sur le matériel.
Remarque
Le paramètre Choisir la méthode de chiffrement de lecteur et la stratégie de force de chiffrement ne s’applique pas au chiffrement basé sur le matériel. L’algorithme de chiffrement utilisé par le chiffrement matériel est défini lorsque le lecteur est partitionné. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer le lecteur.
L’option Restreindre les algorithmes de chiffrement et les suites de chiffrement autorisés pour le chiffrement basé sur le matériel vous permet de restreindre les algorithmes de chiffrement que BitLocker peut utiliser avec le chiffrement matériel. Si l’algorithme défini pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement matériel. Les algorithmes de chiffrement sont spécifiés par les identificateurs d’objet (OID). Exemple :
- AES 128 en mode CBC OID :
2.16.840.1.101.3.4.1.2
- AES 256 en mode CBC OID :
2.16.840.1.101.3.4.1.42
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Ce paramètre de stratégie spécifie les contraintes pour les mots de passe utilisés pour déverrouiller les lecteurs de système d’exploitation protégés par BitLocker. Si des protecteurs non-TPM sont autorisés sur les lecteurs de système d’exploitation, vous pouvez provisionner un mot de passe, appliquer des exigences de complexité et configurer une longueur minimale.
Important
Pour que le paramètre d’exigence de complexité soit efficace, le paramètre de stratégie de groupe Mot de passe doit répondre aux exigences de complexité situées dans Configuration> ordinateurParamètres> WindowsParamètres De sécurité Stratégies> decompte Stratégie>de mot de passe doit également être activé.
Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences que vous définissez. Pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité :
- Lorsqu’il est défini sur Exiger la complexité, une connexion à un contrôleur de domaine est nécessaire lorsque BitLocker est activé pour valider la complexité du mot de passe
- Lorsqu’il est défini sur Autoriser la complexité, une connexion à un contrôleur de domaine est tentée pour vérifier que la complexité respecte les règles définies par la stratégie. Si aucun contrôleur de domaine n’est trouvé, le mot de passe est accepté quelle que soit la complexité réelle du mot de passe et le lecteur est chiffré à l’aide de ce mot de passe comme protecteur
- Lorsqu’il est défini sur Ne pas autoriser la complexité, la complexité du mot de passe n’est pas validée
Les mots de passe doivent comporter au moins huit caractères. Pour configurer une longueur minimale plus élevée pour le mot de passe, spécifiez le nombre de caractères souhaité sous Longueur minimale du mot de passe
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la contrainte de longueur par défaut de huit caractères s’applique aux mots de passe de lecteur de système d’exploitation, et aucune vérification de la complexité n’est effectuée.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Interdire aux utilisateurs standard de modifier le code confidentiel ou le mot de passe
Cette stratégie permet de déterminer si les utilisateurs standard sont autorisés à modifier le code confidentiel ou le mot de passe utilisé pour protéger le lecteur du système d’exploitation, s’ils peuvent fournir le code confidentiel existant en premier.
Si vous activez cette stratégie, les utilisateurs standard ne peuvent pas modifier les codes confidentiels ou les mots de passe BitLocker.
Si vous désactivez ou ne configurez pas cette stratégie, les utilisateurs standard peuvent modifier les codes confidentiels et les mots de passe BitLocker.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Ce paramètre de stratégie permet aux utilisateurs d’activer les options d’authentification qui nécessitent une entrée utilisateur à partir de l’environnement de pré-démarrage, même si la plateforme n’a pas de fonctionnalité d’entrée de pré-démarrage. Le clavier tactile Windows (tel que celui utilisé par les tablettes) n’est pas disponible dans l’environnement de prédémarrage où BitLocker nécessite des informations supplémentaires telles qu’un code confidentiel ou un mot de passe.
- Si vous activez ce paramètre de stratégie, les appareils doivent disposer d’un autre moyen d’entrée de prédémarrage (par exemple, un clavier USB attaché).
- Si cette stratégie n’est pas activée, l’environnement de récupération Windows doit être activé sur les tablettes pour prendre en charge l’entrée du mot de passe de récupération BitLocker.
Il est recommandé aux administrateurs d’activer cette stratégie uniquement pour les appareils dont l’utilisation d’un autre moyen d’entrée de prédémarrage est vérifiée, comme l’attachement d’un clavier USB.
Lorsque l’environnement de récupération Windows (WinRE) n’est pas activé et que cette stratégie n’est pas activée, BitLocker ne peut pas être activé sur un appareil qui utilise un clavier tactile.
Si ce paramètre de stratégie n’est pas activé, les options suivantes de la stratégie Exiger une authentification supplémentaire au démarrage peuvent ne pas être disponibles :
- Configurer le code pin de démarrage du module de plateforme sécurisée : obligatoire et autorisé
- Configurer la clé de démarrage et le code confidentiel du module de plateforme sécurisée : obligatoire et autorisé
- Configurer l’utilisation des mots de passe pour les lecteurs de système d’exploitation
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation
Ce paramètre de stratégie vous permet de configurer le type de chiffrement utilisé par le chiffrement de lecteur BitLocker.
Lorsque vous activez ce paramètre de stratégie, l’option de type de chiffrement n’est pas proposée dans l’Assistant Installation de BitLocker :
- Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé
- Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.
Remarque
La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours.
Cette stratégie est ignorée lors de la réduction ou du développement d’un volume, et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui utilise le chiffrement espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialise comme un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde.exe -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Exiger une authentification supplémentaire au démarrage
Ce paramètre de stratégie configure si BitLocker nécessite une authentification supplémentaire chaque fois que l’appareil démarre.
Si vous activez cette stratégie, les utilisateurs peuvent configurer des options de démarrage avancées dans l’Assistant Installation de BitLocker.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent configurer uniquement les options de base sur les ordinateurs dotés d’un TPM.
Remarque
Une seule des options d’authentification supplémentaires peut être requise au démarrage, sinon une erreur de stratégie se produit.
Si vous souhaitez utiliser BitLocker sur un appareil sans TPM, sélectionnez l’option Autoriser BitLocker sans module de plateforme sécurisée compatible. Dans ce mode, un mot de passe ou un lecteur USB est requis pour le démarrage.
Lorsque vous utilisez une clé de démarrage, les informations de clé utilisées pour chiffrer le lecteur sont stockées sur le lecteur USB, ce qui crée une clé USB. Lorsque la clé USB est insérée, l’accès au lecteur est authentifié et le lecteur est accessible. Si la clé USB est perdue ou indisponible, ou si vous avez oublié le mot de passe, vous devez utiliser l’une des options de récupération BitLocker pour accéder au lecteur.
Sur un ordinateur doté d’un module de plateforme sécurisée compatible, quatre types de méthodes d’authentification peuvent être utilisés au démarrage pour fournir une protection supplémentaire pour les données chiffrées. Lorsque l’ordinateur démarre, il peut utiliser :
- TPM uniquement
- un lecteur flash USB contenant une clé de démarrage
- un code confidentiel (6 à 20 chiffres)
- Code confidentiel + clé USB
Remarque
Si vous souhaitez exiger l’utilisation d’un code confidentiel de démarrage et d’un lecteur flash USB, vous devez configurer les paramètres BitLocker à l’aide de l’outil en ligne de commande manage-bde au lieu de l’Assistant Configuration du chiffrement de lecteur BitLocker.
Il existe quatre options pour les appareils avec TPM :
Configurer le démarrage du module de plateforme sécurisée
- Autoriser le module TPM
- Exiger le module TPM
- Ne pas autoriser le module de plateforme sécurisée
Configurer le code pin de démarrage du module de plateforme sécurisée (TPM)
- Autoriser le code pin de démarrage avec TPM
- Exiger le code pin de démarrage avec TPM
- Ne pas autoriser le code pin de démarrage avec le module de plateforme sécurisée
Configurer la clé de démarrage du module de plateforme sécurisée
- Autoriser la clé de démarrage avec TPM
- Exiger une clé de démarrage avec TPM
- Ne pas autoriser la clé de démarrage avec TPM
Configurer la clé de démarrage et le code confidentiel du module de plateforme sécurisée
- Autoriser la clé de démarrage du module de plateforme sécurisée avec un code confidentiel
- Exiger une clé de démarrage et un code confidentiel avec TPM
- N’autorisez pas la clé de démarrage du module de plateforme sécurisée avec un code confidentiel
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Ce paramètre de stratégie détermine si les données de validation de plateforme doivent s’actualiser lorsque Windows est démarré après une récupération BitLocker. Un profil de données de validation de plateforme se compose des valeurs d’un ensemble d’index de registre de configuration de plateforme (PCR) comprises entre 0 et 23.
Si vous activez ce paramètre de stratégie, les données de validation de plateforme sont actualisées lorsque Windows est démarré après la récupération BitLocker. Il s’agit du comportement par défaut.
Si vous désactivez ce paramètre de stratégie, les données de validation de plateforme ne sont pas actualisées lorsque Windows est démarré après la récupération BitLocker.
Pour plus d’informations sur le processus de récupération, consultez vue d’ensemble de la récupération BitLocker.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Utiliser le profil de validation des données de configuration de démarrage amélioré
Ce paramètre de stratégie détermine des paramètres bcD (Boot Configuration Data) spécifiques à vérifier lors de la validation de la plateforme. Une validation de plateforme utilise les données du profil de validation de la plateforme, qui se compose d’un ensemble d’index de registre de configuration de plateforme (PCR) allant de 0 à 23.
Si vous ne configurez pas ce paramètre de stratégie, l’appareil vérifie les paramètres BCD Windows par défaut.
Remarque
Lorsque BitLocker utilise le démarrage sécurisé pour la validation de l’intégrité de la plateforme et BCD, comme défini par le paramètre de stratégie Autoriser le démarrage sécurisé pour la validation de l’intégrité , ce paramètre de stratégie est ignoré. Le paramètre qui contrôle le débogage 0x16000010 de démarrage est toujours validé et n’a aucun effet s’il est inclus dans la liste d’inclusion ou d’exclusion.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de système d’exploitation |
Choisir la façon dont les lecteurs fixes protégés par BitLocker peuvent être récupérés
Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de données fixes protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises. Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de données fixes protégés par BitLocker. Voici les options disponibles :
- Autoriser l’agent de récupération de données basé sur un certificat : spécifiez si un agent de récupération de données peut être utilisé avec des lecteurs de données fixes protégés par BitLocker. Avant qu’un agent de récupération de données puisse être utilisé, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion stratégie de groupe ou la stratégie de groupe Rédacteur locale
- Configurer le stockage utilisateur des informations de récupération BitLocker : indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération de 256 bits
- Omettre les options de récupération de l’Assistant Installation de BitLocker : empêche les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker pour un lecteur. Cela signifie que les utilisateurs ne pourront pas spécifier l’option de récupération à utiliser lorsqu’ils activent BitLocker. Les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie
- Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory : choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de données fixes. Si vous sélectionnez Mot de passe de récupération de sauvegarde et package de clé, le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez Mot de passe de récupération de sauvegarde uniquement, seul le mot de passe de récupération est stocké dans AD DS
- N’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes : empêche les utilisateurs d’activer BitLocker, sauf si l’appareil est connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS réussit. Lorsque vous utilisez cette option, un mot de passe de récupération est généré automatiquement.
Important
L’utilisation de clés de récupération doit être interdite si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker est activé.
Si ce paramètre de stratégie est désactivé ou non configuré, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes |
Ce paramètre de stratégie vous permet de gérer l’utilisation par BitLocker du chiffrement matériel sur des lecteurs de données fixes et de spécifier les algorithmes de chiffrement qu’il peut utiliser avec le chiffrement basé sur le matériel. L’utilisation du chiffrement matériel peut améliorer les performances des opérations de lecteur qui impliquent la lecture ou l’écriture fréquentes de données sur le lecteur.
Si vous activez ce paramètre de stratégie, vous pouvez spécifier des options qui contrôlent si le chiffrement basé sur le logiciel BitLocker est utilisé au lieu du chiffrement basé sur le matériel sur les appareils qui ne prennent pas en charge le chiffrement basé sur le matériel. Vous pouvez également spécifier si vous souhaitez restreindre les algorithmes de chiffrement et les suites de chiffrement utilisés avec le chiffrement basé sur le matériel.
Si vous désactivez ce paramètre de stratégie, BitLocker ne peut pas utiliser le chiffrement matériel avec des lecteurs de données fixes, et le chiffrement logiciel BitLocker est utilisé par défaut lorsque le lecteur est chiffré.
Si vous ne configurez pas ce paramètre de stratégie, BitLocker utilise le chiffrement logiciel, quelle que soit la disponibilité du chiffrement basé sur le matériel.
Remarque
Le paramètre Choisir la méthode de chiffrement de lecteur et la stratégie de force de chiffrement ne s’applique pas au chiffrement basé sur le matériel. L’algorithme de chiffrement utilisé par le chiffrement matériel est défini lorsque le lecteur est partitionné. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer le lecteur.
L’option Restreindre les algorithmes de chiffrement et les suites de chiffrement autorisés pour le chiffrement basé sur le matériel vous permet de restreindre les algorithmes de chiffrement que BitLocker peut utiliser avec le chiffrement matériel. Si l’algorithme défini pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement matériel. Les algorithmes de chiffrement sont spécifiés par les identificateurs d’objet (OID). Par exemple :
- AES 128 en mode CBC OID :
2.16.840.1.101.3.4.1.2
- AES 256 en mode CBC OID :
2.16.840.1.101.3.4.1.42
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes |
Ce paramètre de stratégie spécifie si un mot de passe est requis pour déverrouiller les lecteurs de données fixes protégés par BitLocker. Si vous choisissez d’autoriser l’utilisation d’un mot de passe, vous pouvez exiger l’utilisation d’un mot de passe, appliquer des exigences de complexité et configurer une longueur minimale.
Important
Pour que le paramètre d’exigence de complexité soit efficace, le paramètre de stratégie de groupe Mot de passe doit répondre aux exigences de complexité situées dans Configuration> ordinateurParamètres> WindowsParamètres De sécurité Stratégies> decompte Stratégie>de mot de passe doit également être activé.
Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences que vous définissez. Pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité :
- Lorsqu’il est défini sur Exiger la complexité, une connexion à un contrôleur de domaine est nécessaire lorsque BitLocker est activé pour valider la complexité du mot de passe
- Lorsqu’il est défini sur Autoriser la complexité, une connexion à un contrôleur de domaine est tentée pour vérifier que la complexité respecte les règles définies par la stratégie. Si aucun contrôleur de domaine n’est trouvé, le mot de passe est accepté quelle que soit la complexité réelle du mot de passe et le lecteur est chiffré à l’aide de ce mot de passe comme protecteur
- Lorsqu’il est défini sur Ne pas autoriser la complexité, la complexité du mot de passe n’est pas validée
Les mots de passe doivent comporter au moins huit caractères. Pour configurer une longueur minimale plus élevée pour le mot de passe, spécifiez le nombre de caractères souhaité sous Longueur minimale du mot de passe
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la contrainte de longueur par défaut de huit caractères s’applique aux mots de passe de lecteur de système d’exploitation, et aucune vérification de la complexité n’est effectuée.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes |
Ce paramètre de stratégie vous permet de spécifier si les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur aux lecteurs de données fixes protégés par BitLocker.
- Si vous activez ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur au lecteur
- Vous pouvez exiger une authentification carte intelligente en sélectionnant l’option Exiger l’utilisation de cartes à puce sur les lecteurs de données fixes
- Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser de cartes à puce pour authentifier leur accès aux lecteurs de données fixes protégés par BitLocker
- Si vous ne configurez pas ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur à un lecteur protégé par BitLocker
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes |
Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker
Ce paramètre de stratégie est utilisé pour exiger le chiffrement des lecteurs fixes avant d’accorder l’accès en écriture .
Si vous activez ce paramètre de stratégie, tous les lecteurs de données fixes qui ne sont pas protégés par BitLocker sont montés en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données fixes sur l’ordinateur sont montés avec un accès en lecture et en écriture.
Remarque
Lorsque ce paramètre de stratégie est activé, les utilisateurs reçoivent des messages d’erreur Accès refusé lorsqu’ils tentent d’enregistrer des données sur des lecteurs de données fixes non chiffrés.
Si l’outil BdeHdCfg.exe de préparation du lecteur BitLocker est exécuté sur un ordinateur lorsque ce paramètre de stratégie est activé, les problèmes suivants peuvent être rencontrés :
- Si vous essayez de réduire un lecteur pour créer le lecteur système, la taille du lecteur est réduite avec succès et une partition brute est créée. Toutefois, la partition brute n’est pas mise en forme. Le message d’erreur suivant s’affiche : Impossible de formater le nouveau lecteur actif. Vous devrez peut-être préparer manuellement votre lecteur pour BitLocker.
- Si vous essayez d’utiliser l’espace non alloué pour créer le lecteur système, une partition brute est créée. Toutefois, la partition brute n’est pas mise en forme. Le message d’erreur suivant s’affiche : Impossible de formater le nouveau lecteur actif. Vous devrez peut-être préparer manuellement votre lecteur pour BitLocker.
- Si vous essayez de fusionner un lecteur existant dans le lecteur système, l’outil ne parvient pas à copier le fichier de démarrage requis sur le lecteur cible pour créer le lecteur système. Le message d’erreur suivant s’affiche : Le programme d’installation de BitLocker n’a pas pu copier les fichiers de démarrage. Vous devrez peut-être préparer manuellement votre lecteur pour BitLocker.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes |
Appliquer le type de chiffrement de lecteur sur les lecteurs de données fixes
Ce paramètre de stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données fixes.
Si vous activez ce paramètre de stratégie, le type de chiffrement utilisé par BitLocker pour chiffrer les lecteurs est défini par cette stratégie, et l’option de type de chiffrement ne sera pas présentée dans l’Assistant Installation de BitLocker :
- Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé
- Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.
Remarque
La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours.
Cette stratégie est ignorée lors de la réduction ou du développement d’un volume, et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui utilise le chiffrement espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialise comme un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde.exe -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données fixes |
Choisir la façon dont les lecteurs amovibles protégés par BitLocker peuvent être récupérés
Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de données amovibles protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises. Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de données amovibles protégés par BitLocker. Voici les options disponibles :
- Autoriser l’agent de récupération de données basé sur un certificat : spécifiez si un agent de récupération de données peut être utilisé avec des lecteurs de données amovibles protégés par BitLocker. Avant qu’un agent de récupération de données puisse être utilisé, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion stratégie de groupe ou la stratégie de groupe Rédacteur locale
- Configurer le stockage utilisateur des informations de récupération BitLocker : indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération de 256 bits
- Omettre les options de récupération de l’Assistant Installation de BitLocker : empêche les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker pour un lecteur. Cela signifie que les utilisateurs ne pourront pas spécifier l’option de récupération à utiliser lorsqu’ils activent BitLocker. Les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie
- Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory : choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de données amovibles. Si vous sélectionnez Mot de passe de récupération de sauvegarde et package de clé, le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez Mot de passe de récupération de sauvegarde uniquement, seul le mot de passe de récupération est stocké dans AD DS
- N’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données amovibles : empêche les utilisateurs d’activer BitLocker, sauf si l’appareil est connecté au domaine et que la sauvegarde des informations de récupération BitLocker sur AD DS réussit. Lorsque vous utilisez cette option, un mot de passe de récupération est généré automatiquement.
Important
L’utilisation de clés de récupération doit être interdite si le paramètre de stratégie Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker est activé.
Si ce paramètre de stratégie est désactivé ou non configuré, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles |
Ce paramètre de stratégie vous permet de gérer l’utilisation par BitLocker du chiffrement matériel sur des lecteurs de données amovibles et de spécifier les algorithmes de chiffrement qu’il peut utiliser avec le chiffrement basé sur le matériel. L’utilisation du chiffrement matériel peut améliorer les performances des opérations de lecteur qui impliquent la lecture ou l’écriture fréquentes de données sur le lecteur.
Si vous activez ce paramètre de stratégie, vous pouvez spécifier des options qui contrôlent si le chiffrement basé sur le logiciel BitLocker est utilisé au lieu du chiffrement basé sur le matériel sur les appareils qui ne prennent pas en charge le chiffrement basé sur le matériel. Vous pouvez également spécifier si vous souhaitez restreindre les algorithmes de chiffrement et les suites de chiffrement utilisés avec le chiffrement basé sur le matériel.
Si vous désactivez ce paramètre de stratégie, BitLocker ne peut pas utiliser le chiffrement matériel avec des lecteurs de données amovibles, et le chiffrement logiciel BitLocker est utilisé par défaut lorsque le lecteur est chiffré.
Si vous ne configurez pas ce paramètre de stratégie, BitLocker utilise le chiffrement logiciel, quelle que soit la disponibilité du chiffrement basé sur le matériel.
Remarque
Le paramètre Choisir la méthode de chiffrement de lecteur et la stratégie de force de chiffrement ne s’applique pas au chiffrement basé sur le matériel. L’algorithme de chiffrement utilisé par le chiffrement matériel est défini lorsque le lecteur est partitionné. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer le lecteur.
L’option Restreindre les algorithmes de chiffrement et les suites de chiffrement autorisés pour le chiffrement basé sur le matériel vous permet de restreindre les algorithmes de chiffrement que BitLocker peut utiliser avec le chiffrement matériel. Si l’algorithme défini pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement matériel. Les algorithmes de chiffrement sont spécifiés par les identificateurs d’objet (OID). Par exemple :
- AES 128 en mode CBC OID :
2.16.840.1.101.3.4.1.2
- AES 256 en mode CBC OID :
2.16.840.1.101.3.4.1.42
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles |
Ce paramètre de stratégie spécifie si un mot de passe est requis pour déverrouiller les lecteurs de données amovibles protégés par BitLocker. Si vous choisissez d’autoriser l’utilisation d’un mot de passe, vous pouvez exiger l’utilisation d’un mot de passe, appliquer des exigences de complexité et configurer une longueur minimale.
Important
Pour que le paramètre d’exigence de complexité soit efficace, le paramètre de stratégie de groupe Mot de passe doit répondre aux exigences de complexité situées dans Configuration> ordinateurParamètres> WindowsParamètres De sécurité Stratégies> decompte Stratégie>de mot de passe doit également être activé.
Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences que vous définissez. Pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité :
- Lorsqu’il est défini sur Exiger la complexité, une connexion à un contrôleur de domaine est nécessaire lorsque BitLocker est activé pour valider la complexité du mot de passe
- Lorsqu’il est défini sur Autoriser la complexité, une connexion à un contrôleur de domaine est tentée pour vérifier que la complexité respecte les règles définies par la stratégie. Si aucun contrôleur de domaine n’est trouvé, le mot de passe est accepté quelle que soit la complexité réelle du mot de passe et le lecteur est chiffré à l’aide de ce mot de passe comme protecteur
- Lorsqu’il est défini sur Ne pas autoriser la complexité, la complexité du mot de passe n’est pas validée
Les mots de passe doivent comporter au moins 8 caractères. Pour configurer une longueur minimale plus élevée pour le mot de passe, spécifiez le nombre de caractères souhaité sous Longueur minimale du mot de passe
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la contrainte de longueur par défaut de huit caractères s’applique aux mots de passe de lecteur de système d’exploitation, et aucune vérification de la complexité n’est effectuée.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles |
Ce paramètre de stratégie vous permet de spécifier si les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur aux lecteurs de données amovibles protégés par BitLocker.
- Si vous activez ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur au lecteur
- Vous pouvez exiger une authentification smart carte en sélectionnant l’option Exiger l’utilisation de cartes à puce sur les lecteurs de données amovibles
- Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser de cartes à puce pour authentifier leur accès aux lecteurs de données amovibles protégés par BitLocker
- Si vous ne configurez pas ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès utilisateur à un lecteur protégé par BitLocker
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles |
Contrôler l’utilisation de BitLocker sur les lecteurs amovibles
Ce paramètre de stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données amovibles.
Lorsque ce paramètre de stratégie est activé, vous pouvez sélectionner des paramètres de propriété qui contrôlent la façon dont les utilisateurs peuvent configurer BitLocker :
- Choisissez Autoriser les utilisateurs à appliquer la protection BitLocker sur des lecteurs de données amovibles pour permettre à l’utilisateur d’exécuter l’Assistant Installation de BitLocker sur un lecteur de données amovible.
- Choisissez Autoriser les utilisateurs à suspendre et à déchiffrer BitLocker sur des lecteurs de données amovibles pour permettre à l’utilisateur de supprimer le chiffrement BitLocker du lecteur ou de suspendre le chiffrement pendant l’exécution de la maintenance
Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser BitLocker sur des lecteurs de disque amovibles.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles |
Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker
Ce paramètre de stratégie configure si la protection BitLocker est requise pour qu’un appareil puisse écrire des données sur un lecteur de données amovible.
Si vous activez ce paramètre de stratégie :
- tous les lecteurs de données amovibles qui ne sont pas protégés par BitLocker sont montés en lecture seule
- si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture
- si l’option Refuser l’accès en écriture aux appareils configurée dans un autre organization est sélectionnée, seuls les lecteurs dont les champs d’identification correspondent aux champs d’identification de l’ordinateur bénéficient d’un accès en écriture
- Lorsqu’un lecteur de données amovible est accessible, il est vérifié pour le champ d’identification valide et les champs d’identification autorisés. Ces champs sont définis par le paramètre de stratégie (Fournissez les identificateurs uniques de votre organization)[]
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données amovibles sur l’ordinateur sont montés avec un accès en lecture et écriture.
Remarque
Ce paramètre de stratégie est ignoré si les paramètres de stratégie Disques amovibles : Refuser l’accès en écriture sont activés .
Important
Si vous activez cette stratégie :
- L’utilisation de BitLocker avec la clé de démarrage du module de plateforme sécurisée ou la clé TPM et le code confidentiel doit être interdite
- L’utilisation des clés de récupération doit être interdite
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles |
Appliquer le type de chiffrement de lecteur sur les lecteurs de données amovibles
Ce paramètre de stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données amovibles.
Lorsque vous activez ce paramètre de stratégie, l’option de type de chiffrement n’est pas proposée dans l’Assistant Installation de BitLocker :
- Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé
- Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.
Remarque
La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours.
Cette stratégie est ignorée lors de la réduction ou du développement d’un volume, et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui utilise le chiffrement espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialise comme un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde.exe -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsChiffrement >de lecteur BitLockerLecteurs de données amovibles |
Lecteurs amovibles exclus du chiffrement
Paramètres communs
Lecteur du système d’exploitation
Lecteurs de données fixes