Forum aux questions (FAQ) sur BitLocker

Oui. BitLocker prend en charge l’authentification multifacteur des lecteurs de système d’exploitation. Si BitLocker est activé sur un ordinateur disposant d’un module de plateforme sécurisée version 1.2 ou ultérieure, des formes d’authentification supplémentaires peuvent être utilisées avec la protection TPM.

Deux partitions sont requises pour l’exécution de BitLocker, car l’authentification au prédémarrage et la vérification de l’intégrité du système doivent se produire sur une partition distincte du lecteur de système d’exploitation chiffré. Cette configuration contribue à la protection du système d’exploitation et des informations du lecteur chiffré.

L’status TPM peut être vérifiée dans Windows Defenderdétails du processeur Security Security > de l’appareil Security de Security> Center.

Oui, BitLocker peut être activé sur un lecteur de système d’exploitation sans module TPM, si le microprogramme BIOS ou UEFI a la possibilité de lire à partir d’un lecteur flash USB dans l’environnement de démarrage. BitLocker ne déverrouillera pas le lecteur protégé tant que la clé de master de volume de BitLocker n’a pas été libérée pour la première fois par le module TPM de l’ordinateur ou par un lecteur flash USB contenant la clé de démarrage BitLocker pour cet ordinateur. Toutefois, les ordinateurs sans TPM ne pourront pas utiliser la vérification de l’intégrité du système que BitLocker peut également fournir. Pour vous aider à déterminer si un ordinateur peut lire un périphérique USB au cours du processus de démarrage, utilisez la vérification du système BitLocker dans le cadre du processus d’installation de BitLocker. Cette vérification du système effectue des tests pour vérifier que l’ordinateur peut lire correctement les périphériques USB au moment approprié et qu’il répond aux autres exigences de BitLocker.

Contactez le fabricant de l’ordinateur pour demander un microprogramme de démarrage BIOS ou UEFI compatible avec le TCG (Trusted Computing Group) qui réponde aux critères suivants :

• Il est conforme aux normes TCG pour un ordinateur client
• Il dispose d’un mécanisme de mise à jour sécurisée pour empêcher l’installation d’un microprogramme bios ou de démarrage malveillant sur l’ordinateur

Pour activer, désactiver ou modifier les configurations de BitLocker sur le système d’exploitation et les lecteurs de données fixes, l’appartenance au groupe Administrateurs local est requise. Les utilisateurs standard peuvent activer, désactiver ou modifier les configurations de BitLocker sur les lecteurs de données amovibles.

Les options de démarrage de l’ordinateur doivent être configurées pour que le disque dur soit d’abord dans l’ordre de démarrage, avant tout autre lecteur, tel que les lecteurs DE CD/DVD ou les lecteurs USB. Si le disque dur n’est pas le premier et que l’ordinateur démarre généralement à partir du disque dur, une modification de l’ordre de démarrage peut être détectée ou supposée lorsque le support amovible est trouvé pendant le démarrage. L’ordre de démarrage affecte généralement la mesure système vérifiée par BitLocker et une modification de l’ordre de démarrage entraîne une invite pour la clé de récupération BitLocker. Pour la même raison, si un ordinateur portable est utilisé avec une station d’accueil, assurez-vous que le disque dur est en premier dans l’ordre de démarrage à la fois lorsque l’ordinateur portable est ancré et non ancré.

Oui.

L’option Déchiffrer supprime complètement la protection BitLocker et déchiffre entièrement le lecteur.

L’option Interrompre maintient les données chiffrées, mais chiffre la clé principale de volume BitLocker à l’aide d’une clé en clair. La clé en clair est une clé de chiffrement stockée déchiffrée et non protégée sur le disque dur. En stockant cette clé non chiffrée, l’option Interrompre autorise les modifications ou mises à niveau de l’ordinateur sans le temps ni le coût impartis pour le déchiffrement et le nouveau chiffrement de l’intégralité du lecteur. Une fois que les modifications ont été apportées et que BitLocker est de nouveau activé, BitLocker rescelle la clé de chiffrement pour les nouvelles valeurs des composants mesurés qui ont changé dans le cadre de la mise à niveau, la clé principale de volume est modifiée, les protecteurs sont mis à jour pour refléter l’opération, et la clé en clair est effacée.

Aucune action utilisateur n’est requise pour BitLocker afin d’appliquer des mises à jour de Microsoft, y compris les mises à jour de qualité de Windows et les mises à jour de fonctionnalité. Les utilisateurs doivent interrompre BitLocker pour les mises à jour de logiciels non Microsoft, telles que :

• Certaines mises à jour du microprogramme TPM si ces mises à jour effacent le module de plateforme sécurisée en dehors de l’API Windows. Toutes les mises à jour du microprogramme TPM n’effacent pas le module de plateforme sécurisée. Les utilisateurs n’ont pas besoin de suspendre BitLocker si la mise à jour du microprogramme TPM utilise l’API Windows pour effacer le module de plateforme sécurisée, car dans ce cas, BitLocker est automatiquement suspendu. Il est recommandé aux utilisateurs de tester leurs mises à jour du microprogramme TPM s’ils ne souhaitent pas suspendre la protection BitLocker
• Mises à jour d’applications non-Microsoft qui modifient la configuration UEFI\BIOS
• Mises à jour manuelles ou non Microsoft pour les bases de données de démarrage sécurisé (uniquement si BitLocker utilise le démarrage sécurisé pour la validation de l’intégrité)
• Mises à jour au microprogramme UEFI\BIOS, l’installation de pilotes UEFI supplémentaires ou d’applications UEFI sans utiliser le mécanisme de mise à jour Windows (uniquement si BitLocker n’utilise pas le démarrage sécurisé pour la validation de l’intégrité pendant les mises à jour)
• BitLocker peut être vérifié s’il utilise le démarrage sécurisé pour la validation de l’intégrité avec la ligne manage-bde.exe -protectors -get C:de commande . Si le démarrage sécurisé pour la validation de l’intégrité est utilisé, il indique utilise le démarrage sécurisé pour la validation de l’intégrité

Oui, le déploiement et la configuration BitLocker peuvent être automatisés à l’aide de Windows PowerShell ou avec la manage-bde.exe commande . Pour plus d’informations sur les commandes de gestion BitLocker courantes, case activée le guide des opérations BitLocker.

En règle générale, il y a une petite surcharge de performances, souvent en pourcentages à un chiffre, qui est relative au débit des opérations de stockage sur lesquelles il doit fonctionner.

Bien que le chiffrement BitLocker se produise en arrière-plan pendant qu’un utilisateur continue à travailler avec le système restant utilisable, les temps de chiffrement varient en fonction du type de lecteur chiffré, de la taille du lecteur et de la vitesse du lecteur. Si vous chiffrez des lecteurs volumineux, le chiffrement peut être planifié pendant les périodes où le lecteur n’est pas utilisé.

Lorsque BitLocker est activé, BitLocker peut également être défini pour chiffrer l’intégralité du lecteur ou simplement l’espace utilisé sur le lecteur. Sur un nouveau disque dur, le chiffrement du seul espace utilisé peut être sensiblement plus rapide que le chiffrement de l’intégralité du lecteur. Si cette option de chiffrement est sélectionnée, BitLocker chiffre automatiquement les données à mesure qu’elles sont enregistrées, en s’assurant qu’aucune donnée n’est stockée non chiffrée.

Si l’ordinateur est éteint ou mis en veille prolongée, le processus de chiffrement et de déchiffrement BitLocker reprend là où il s’est arrêté au prochain démarrage de Windows. La reprise du chiffrement ou du déchiffrement par BitLocker est vraie même si l’alimentation est soudainement indisponible.

Non, BitLocker ne chiffre pas et ne déchiffre pas l’intégralité du lecteur lors de la lecture et de l’écriture de données. Les secteurs chiffrés dans le lecteur protégé par BitLocker sont déchiffrés uniquement à mesure qu’ils sont demandés à partir des opérations de lecture du système. Les blocs qui sont écrits sur le lecteur sont chiffrés avant que le système ne les écrive sur le disque physique. Aucune donnée non chiffrée n’est stockée sur un lecteur protégé par BitLocker.

Les paramètres de stratégie peuvent être configurés pour exiger que les lecteurs de données soient protégés par BitLocker avant qu’un ordinateur protégé par BitLocker puisse y écrire des données. Pour plus d’informations, consultez Paramètres de stratégie BitLocker. Lorsque ces paramètres de stratégie sont activés, le système d’exploitation protégé par BitLocker monte tous les lecteurs de données qui ne sont pas protégés par BitLocker en lecture seule.

BitLocker permet aux utilisateurs de choisir de chiffrer uniquement leurs données. Bien qu’il ne s’agisse pas de la méthode la plus sécurisée pour chiffrer un lecteur, cette option peut réduire le temps de chiffrement de plus de 99 %, en fonction de la quantité de données à chiffrer. Pour plus d’informations, consultez Chiffrement de l’espace disque utilisé uniquement.

Les types suivants de modification du système peuvent provoquer un échec de la vérification de l’intégrité et empêcher le module TPM de libérer la clé BitLocker pour déchiffrer le lecteur du système d’exploitation protégé :

• Déplacement du lecteur protégé par BitLocker vers un nouvel ordinateur
• Installation d’une nouvelle carte mère avec un nouveau module de plateforme sécurisée
• Désactivation, désactivation ou effacement du module de plateforme sécurisée
• Modification des paramètres de configuration de démarrage
• Modification du BIOS, du microprogramme UEFI, de l’enregistrement de démarrage master, du secteur de démarrage, du gestionnaire de démarrage, de l’option ROM ou d’autres composants de démarrage précoces ou des données de configuration de démarrage

Étant donné que BitLocker est conçu pour protéger les ordinateurs contre de nombreuses attaques, il existe de nombreuses raisons pour lesquelles BitLocker peut démarrer en mode de récupération. Par exemple :

• Modification de l’ordre de démarrage du BIOS pour démarrer un autre lecteur avant le disque dur
• Ajout ou suppression de matériel, comme l’insertion d’une nouvelle carte dans l’ordinateur
• Retrait, insertion ou épuisement complet de la charge sur une batterie intelligente sur un ordinateur portable

Dans BitLocker, la récupération est constituée du déchiffrement d’une copie de la clé principale de volume à l’aide d’une clé de récupération stockée sur un disque mémoire USB ou d’une clé de chiffrement dérivée d’un mot de passe de récupération. Le module de plateforme sécurisée n’est impliqué dans aucun scénario de récupération. La récupération est donc toujours possible si le module de plateforme sécurisée ne parvient pas à valider le composant de démarrage, à dysfonctionnement ou s’il est supprimé.

BitLocker peut être empêché de se lier à PCR 7 si un système d’exploitation autre que Windows a démarré avant Windows, ou si le démarrage sécurisé n’est pas disponible pour l’appareil, soit parce qu’il est désactivé ou que le matériel ne le prend pas en charge.

Oui, plusieurs disques durs peuvent être échangés sur le même ordinateur si BitLocker est activé, mais uniquement si les disques durs étaient protégés par BitLocker sur le même ordinateur. Les clés BitLocker sont uniques au TPM et au lecteur du système d’exploitation. Si un système d’exploitation de sauvegarde ou un lecteur de données doit être préparé en cas de défaillance du disque, assurez-vous qu’ils ont été mis en correspondance avec le TPM approprié. Différents disques durs peuvent également être configurés pour différents systèmes d’exploitation, puis activer BitLocker sur chacun d’eux avec des méthodes d’authentification différentes (par exemple, une avec TPM uniquement et une avec TPM+ PIN) sans aucun conflit.

Oui, si le lecteur est un lecteur de données, il peut être déverrouillé à partir de l’élément de Panneau de configuration Chiffrement de lecteur BitLocker à l’aide d’un mot de passe ou d’un carte intelligent. Si le lecteur de données a été configuré pour le déverrouillage automatique uniquement, il doit être déverrouillé à l’aide de la clé de récupération. Le disque dur chiffré peut être déverrouillé par un agent de récupération de données (s’il en a été configuré un) ou à l’aide de la clé de récupération.

Certains lecteurs ne peuvent pas être chiffrés avec BitLocker. Les raisons pour lesquelles un lecteur ne peut pas être chiffré incluent une taille de disque insuffisante, un système de fichiers incompatible, si le lecteur est un disque dynamique ou si un lecteur est désigné comme partition système. Par défaut, le lecteur système (ou partition système) est masqué de l’affichage. Toutefois, s’il n’est pas créé en tant que lecteur masqué lorsque le système d’exploitation a été installé en raison d’un processus d’installation personnalisé, ce lecteur peut être affiché mais ne peut pas être chiffré.

Un nombre quelconque de lecteurs de données internes, fixes peuvent être protégés par BitLocker. Avec certaines versions, les périphériques ATA et SATA de stockage en attachement direct sont également pris en charge.

Les lecteurs de données amovibles peuvent être déverrouillés à l’aide d’un mot de passe ou d’un carte intelligent. Un protecteur SID peut également être configuré pour déverrouiller un lecteur à l’aide des informations d’identification de domaine utilisateur. Une fois le chiffrement démarré, le lecteur peut également être déverrouillé automatiquement sur un ordinateur spécifique pour un compte d’utilisateur spécifique. Les administrateurs système peuvent configurer les options disponibles pour les utilisateurs, notamment la complexité du mot de passe et les exigences de longueur minimale. Pour déverrouiller à l’aide d’un protecteur SID, utilisez manage-bde.exe:

Manage-bde.exe -protectors -add e: -sid domain\username

BitLocker peut générer et utiliser plusieurs clés. Certaines clés sont requises et d’autres sont des logiciels de protection facultatifs que vous pouvez choisir d’utiliser en fonction du niveau de sécurité dont vous avez besoin.

Mot de passe du propriétaire du module de plateforme sécurisée

Avant d’activer BitLocker sur un ordinateur doté d’un module de plateforme sécurisée version 1.2, vous devez initialiser le module de plateforme sécurisée. Le processus d’initialisation génère un mot de passe du propriétaire du module de plateforme sécurisée, qui est un mot de passe défini sur le module de plateforme sécurisée. Vous devez être en mesure de fournir le mot de passe du propriétaire du module de plateforme sécurisée pour modifier l’état du module de plateforme sécurisée, par exemple lors de l’activation ou de la désactivation du module de plateforme sécurisée ou de la réinitialisation du verrouillage du module de plateforme sécurisée.

Mot de passe de récupération et clé de récupération

Lorsque vous configurez BitLocker, vous devez choisir comment récupérer l’accès aux lecteurs protégés par BitLocker dans le cas où la méthode de déverrouillage spécifiée ne peut pas être utilisée (par exemple, si le module TPM ne peut pas valider les composants de démarrage, si le numéro d’identification personnel (pin) est oublié ou si le mot de passe est oublié). Dans ce cas, vous devez être en mesure de fournir la clé de récupération ou le mot de passe de récupération pour déverrouiller les données chiffrées sur le lecteur. Lorsque vous fournissez les informations de récupération, vous pouvez utiliser l’un des formats suivants :

• Un mot de passe de récupération composé de 48 chiffres répartis en huit groupes. Pendant la récupération, vous devez taper ce mot de passe dans la console de récupération BitLocker à l’aide des touches de fonction de votre clavier
• Fichier de clé sur un lecteur flash USB lu directement par la console de récupération BitLocker. Lors de la récupération, vous devez insérer ce périphérique USB

Code confidentiel et code confidentiel amélioré

Pour un niveau de sécurité plus élevé avec le module TPM, vous pouvez configurer BitLocker avec un numéro d’identification personnel (PIN). Le code confidentiel est une valeur créée par l’utilisateur qui doit être entrée chaque fois que l’ordinateur démarre ou reprend sa mise en veille prolongée. Le code pin peut comporter de 4 à 20 chiffres, comme spécifié par le paramètre de stratégie Configurer la longueur minimale du code confidentiel pour le démarrage et est stocké en interne sous la forme d’un hachage 256 bits des caractères Unicode entrés. Cette valeur n’est jamais affichée à l’utilisateur. Le code pin est utilisé pour fournir un autre facteur d’authentification conjointement avec l’authentification TPM.
Pour un niveau de sécurité encore plus élevé avec le TPM, vous pouvez configurer BitLocker pour utiliser des codes confidentiels améliorés. Les codes confidentiels améliorés sont des codes confidentiels qui utilisent le jeu de caractères du clavier complet en plus du jeu numérique pour permettre davantage de combinaisons de codes confidentiels possibles et dont la longueur est comprise entre 4 et 20 caractères. Pour utiliser des codes confidentiels améliorés, vous devez activer le paramètre de stratégie Autoriser les codes confidentiels améliorés pour le démarrage avant d’ajouter le code confidentiel au lecteur. En activant cette stratégie, tous les codes confidentiels créés peuvent utiliser des caractères clavier complets.

Clé de démarrage

La configuration d’une clé de démarrage est une autre méthode permettant d’activer un niveau de sécurité plus élevé avec le TPM. La clé de démarrage est une clé stockée sur un lecteur flash USB, et la clé usb doit être insérée chaque fois que l’ordinateur démarre. La clé de démarrage est utilisée pour fournir un autre facteur d’authentification conjointement avec l’authentification TPM. Pour utiliser un lecteur flash USB comme clé de démarrage, le lecteur flash USB doit être formaté à l’aide du système de fichiers NTFS, FAT ou FAT32.

Le mot de passe de récupération et la clé de récupération d’un lecteur de système d’exploitation ou d’un lecteur de données fixe peuvent être enregistrés dans un dossier, enregistrés sur un ou plusieurs périphériques USB, enregistrés dans un compte Microsoft ou imprimés.

Pour les lecteurs de données amovibles, le mot de passe de récupération et la clé de récupération peuvent être enregistrés dans un dossier, enregistrés dans un compte Microsoft ou imprimés. Par défaut, une clé de récupération pour un lecteur amovible ne peut pas être stockée sur un lecteur amovible.

Un administrateur de domaine peut également configurer des paramètres de stratégie pour générer automatiquement des mots de passe de récupération et les stocker dans services de domaine Active Directory (AD DS) ou Microsoft Entra ID pour n’importe quel lecteur protégé par BitLocker.

L’outil Manage-bde.exe en ligne de commande peut être utilisé pour remplacer le mode d’authentification TPM uniquement par un mode d’authentification multifacteur. Par exemple, si BitLocker est activé avec l’authentification TPM uniquement et que l’authentification par code confidentiel doit être ajoutée, utilisez les commandes suivantes à partir d’une invite de commandes avec élévation de privilèges, en remplaçant le code pin numérique de 4 à 20 chiffres par le code confidentiel numérique souhaité :

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Sur le nouveau matériel conforme aux exigences du programme de compatibilité matérielle Windows, le code confidentiel est devenu moins critique en termes de protection, et la présence d’un protecteur qui se limite au module de plateforme sécurisée combiné à des stratégies telles que le verrouillage d’appareil est généralement suffisant. Par exemple, Surface Pro et Surface Book n’ont pas de ports DMA externes à attaquer. Pour le matériel plus ancien, où un code confidentiel peut être nécessaire, il est recommandé d’activer des codes confidentiels améliorés qui autorisent des caractères non numériques tels que des lettres et des signes de ponctuation, et de définir la longueur du code confidentiel en fonction de la tolérance au risque et des fonctionnalités matérielles de protection anti-marteau disponibles pour les TPM sur les ordinateurs.

BitLocker est conçu pour rendre le lecteur chiffré irrécupérable sans l’authentification requise. En mode de récupération, l’utilisateur doit entrer le mot de passe ou la clé de récupération pour déverrouiller le lecteur chiffré.

Bien que l’utilisation d’une clé flash USB comme clé de démarrage et pour le stockage de la clé de récupération soit techniquement possible, il n’est pas recommandé d’utiliser une seule clé usb pour stocker les deux clés. Si le lecteur flash USB contenant la clé de démarrage est perdu ou volé, la clé de récupération est également perdue. En outre, l’insertion de cette clé entraînerait le démarrage automatique de l’ordinateur à partir de la clé de récupération même si les fichiers mesurés par TPM ont changé, ce qui contourne l’intégrité du système du module de plateforme sécurisée case activée.

Oui, la clé de démarrage de l’ordinateur peut être enregistrée sur plusieurs lecteurs flash USB. Cliquer avec le bouton droit sur un lecteur protégé par BitLocker et sélectionner Gérer BitLocker fournit les options permettant d’enregistrer les clés de récupération sur des lecteurs flash USB supplémentaires si nécessaire.

Oui, les clés de démarrage BitLocker pour différents ordinateurs peuvent être enregistrées sur le même lecteur flash USB.

La génération de différentes clés de démarrage pour le même ordinateur peut être effectuée par le biais de scripts. Toutefois, pour les ordinateurs équipés d’un module TPM, la création de différentes clés de démarrage empêche BitLocker d’utiliser la vérification de l’intégrité du système par le module TPM.

La génération de plusieurs combinaisons de code confidentiel ne peut pas être effectuée.

Les données brutes sont chiffrées avec la clé de chiffrement de volume complet, qui est à son tour chiffrée avec la clé principale de volume. Le volume master clé est à son tour chiffré par l’une des différentes méthodes possibles en fonction de l’authentification (c’est-à-dire des protecteurs de clé ou TPM) et des scénarios de récupération.

La clé de chiffrement de volume complet est chiffrée par la clé principale de volume et stockée sur le lecteur chiffré. La clé principale de volume est chiffrée par le protecteur de clé approprié et stockée sur le lecteur chiffré. Si BitLocker a été interrompu, la clé en clair qui est utilisée pour chiffrer la clé principale de volume est également stockée sur le lecteur chiffré, ainsi que la clé principale de volume chiffrée.

Ce processus de stockage garantit que la clé de master de volume n’est jamais stockée non chiffrée et qu’elle est protégée, sauf si BitLocker est désactivé. Les clés sont également enregistrées dans deux emplacements supplémentaires sur le lecteur à des fins de redondance. Les clés peuvent être lues et traitées par le gestionnaire de démarrage.

Les touches F1 à F10 sont universellement mappées à des codes de touche enfoncée disponibles dans l’environnement de prédémarrage sur tous les ordinateurs et dans toutes les langues. Les touches numériques 0 à 9 ne sont pas utilisables dans l’environnement de prédémarreur sur tous les claviers.

Si vous utilisez un code confidentiel renforcé, les utilisateurs doivent exécuter la vérification du système facultative au cours du processus d’installation de BitLocker pour s’assurer que le code confidentiel peut être entré correctement dans l’environnement de prédémarrage.

Il est possible qu’un numéro d’identification personnel (pin) puisse être découvert par un attaquant effectuant une attaque par force brute. Une attaque de ce type se produit quand une personne malveillante utilise un outil automatisé pour essayer différentes combinaisons de code confidentiel jusqu’à ce qu’elle trouve le bon. Pour les ordinateurs protégés par BitLocker, ce type d’attaque, également appelé attaque par dictionnaire, nécessite que l’attaquant dispose d’un accès physique à l’ordinateur.

Le module TPM possède la fonctionnalité intégrée pour détecter ces types d’attaque et y réagir. Étant donné que les TPM de différents fabricants peuvent prendre en charge des atténuations de code confidentiel et d’attaque différentes, contactez le fabricant du module de plateforme sécurisée pour déterminer comment le TPM de l’ordinateur atténue les attaques par force brute du code confidentiel. Une fois le fabricant du module de plateforme sécurisée déterminé, contactez-le pour recueillir les informations spécifiques au fournisseur du module de plateforme sécurisée. La plupart des fabricants utilisent le nombre d’échecs d’authentification par code confidentiel pour augmenter de façon exponentielle la durée de verrouillage de l’interface de code confidentiel. Toutefois, chaque fabricant dispose de différentes stratégies relatives au moment et à la méthode de réduction ou de réinitialisation du compteur d’échecs.

Le fabricant du module de plateforme sécurisée peut être déterminé dans Windows Defender détails du processeur security de Security de Security du Centre>> de sécurité desappareils.

Les questions suivantes peuvent vous aider lorsque vous interrogez un fabricant de TPM sur la conception d’un mécanisme d’atténuation des attaques de dictionnaire :

• Combien de tentatives d’autorisation en échec peuvent-elles se produire avant le verrouillage ?
• Quel est l’algorithme permettant de déterminer la durée d’un verrouillage en fonction du nombre de tentatives infructueuses et des autres paramètres pertinents ?
• Quelles actions peuvent provoquer la réduction ou la réinitialisation du nombre d’échecs ou de la durée de verrouillage ?

La longueur minimale du numéro d’identification personnel (PIN) peut être configurée à l’aide du paramètre Configurer la longueur minimale du code confidentiel pour le démarrage stratégie de groupe et autoriser l’utilisation des codes confidentiels alphanumériques en activant le paramètre de stratégie Autoriser les codes confidentiels améliorés pour le démarrage. La complexité du code confidentiel ne peut pas être requise via les paramètres de stratégie.

Pour plus d’informations, consultez Paramètres de stratégie BitLocker.

BitLocker hache le numéro d’identification personnel (PIN) spécifié par l’utilisateur à l’aide de SHA-256, et les 160 premiers bits du hachage sont utilisés comme données d’autorisation envoyées au TPM pour sceller la clé de master volume. La clé de master volume est désormais protégée par le module de plateforme sécurisée et le code confidentiel. Pour décompresser le volume master clé, vous devez entrer le code confidentiel chaque fois que l’ordinateur redémarre ou reprend sa mise en veille prolongée.

BitLocker To Go correspond au chiffrement de lecteur BitLocker sur les lecteurs de données amovibles. Cette fonctionnalité inclut le chiffrement des éléments suivants :

• Lecteurs flash USB
• Cartes SD
• Disques durs externes
• Autres lecteurs formatés à l’aide du système de fichiers NTFS, FAT16, FAT32 ou exFAT.

Le partitionnement de lecteur doit répondre aux exigences de partitionnement du chiffrement de lecteur BitLocker.

Comme avec BitLocker, les lecteurs chiffrés par BitLocker To Go peuvent être ouverts à l’aide d’un mot de passe ou d’un carte intelligent sur un autre ordinateur. Dans Panneau de configuration, utilisez chiffrement de lecteur BitLocker.

Si BitLocker est activé sur un lecteur avant que les paramètres de stratégie ne soient appliqués pour appliquer une sauvegarde, les informations de récupération ne sont pas automatiquement sauvegardées sur AD DS lorsque l’ordinateur rejoint le domaine ou lorsque les paramètres de stratégie sont ensuite appliqués. Toutefois, les paramètres de stratégie Choisissez comment les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés, Choisissez comment les lecteurs fixes protégés par BitLocker peuvent être récupérés et Choisissez comment les lecteurs amovibles protégés par BitLocker peuvent être choisis pour exiger que l’ordinateur soit connecté à un domaine avant que BitLocker puisse être activé afin de garantir que les informations de récupération pour les lecteurs protégés par BitLocker dans le organization est sauvegardé dans AD DS.

Pour plus d’informations sur la sauvegarde du mot de passe de récupération dans AD DS ou Microsoft Entra ID, consultez le guide des opérations BitLocker.

Oui, une entrée du journal des événements qui indique la réussite ou l’échec d’une sauvegarde est enregistrée sur l’ordinateur client. Néanmoins, même si une entrée de journal des événements indique « Réussite », les informations peuvent avoir été supprimées par la suite d’AD DS. BitLocker peut avoir été également reconfiguré de telle façon que les informations d’Active Directory ne peuvent plus déverrouiller le lecteur (par exemple en supprimant le protecteur de clé par mot de passe de récupération). En outre, il est également possible que l’entrée de journal soit usurpée.

Pour finir, la détermination de l’existence d’une sauvegarde légitime dans AD DS nécessite d’interroger AD DS avec les informations d’identification d’administrateur de domaine à l’aide de l’outil Visionneuse des mots de passe de récupération BitLocker.

Non. Par défaut, les entrées de mot de passe de récupération BitLocker ne sont pas supprimées d’AD DS. Par conséquent, plusieurs mots de passe peuvent être affichés pour chaque lecteur. Pour identifier le dernier mot de passe, vérifiez la date de l’objet.

Si la sauvegarde échoue initialement, par exemple lorsqu’un contrôleur de domaine est inaccessible au moment de l’exécution de l’Assistant Installation de BitLocker, BitLocker ne réessaye pas de sauvegarder les informations de récupération dans AD DS.

Lorsqu’un administrateur sélectionne la case Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs (système d’exploitation | données fixes | données amovibles) case activée dans l’un des champs Choisir comment les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés, Choisir comment les lecteurs de données fixes protégés par BitLocker peuvent être récupérés et Choisir comment les lecteurs de données amovibles protégés par BitLocker peuvent être récupérés paramètres de stratégie , les utilisateurs ne peuvent pas activer BitLocker, sauf si l’ordinateur est connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS réussit. Avec ces paramètres configurés en cas d’échec de la sauvegarde, BitLocker ne peut pas être activé, ce qui garantit que les administrateurs pourront récupérer les lecteurs protégés par BitLocker dans le organization.

Pour plus d’informations, consultez Paramètres de stratégie BitLocker.

Lorsqu’un administrateur efface ces cases case activée, l’administrateur autorise un lecteur à être protégé par BitLocker sans que les informations de récupération soient correctement sauvegardées dans AD DS . Toutefois, BitLocker ne retente pas automatiquement la sauvegarde en cas d’échec. Au lieu de cela, les administrateurs peuvent créer un script de sauvegarde, comme décrit précédemment dans Que se passe-t-il si BitLocker est activé sur un ordinateur avant que l’ordinateur ne rejoigne le domaine ? pour capturer les informations après la restauration de la connectivité.

BitLocker utilise AES (Advanced Encryption Standard) comme algorithme de chiffrement avec des longueurs de clé configurables de 128 bits ou 256 bits. Le paramètre de chiffrement par défaut est AES-128, mais les options sont configurables à l’aide des paramètres de stratégie.

La pratique recommandée pour la configuration de BitLocker sur un lecteur de système d’exploitation consiste à implémenter BitLocker sur un ordinateur doté d’un module de plateforme sécurisée (TPM) version 1.2 ou ultérieure.

BitLocker sur les lecteurs de système d’exploitation dans sa configuration de base offre une sécurité supplémentaire pour le mode de mise en veille prolongée. En mode veille, l’ordinateur est vulnérable aux attaques d’accès direct à la mémoire, car les données non protégées restent dans la RAM. Par conséquent, pour améliorer la sécurité, il est recommandé de désactiver le mode veille. L’authentification au démarrage peut être configurée à l’aide d’un paramètre de stratégie.

La plupart des systèmes d’exploitation utilisent un espace mémoire partagé et s’appuient sur le système d’exploitation pour gérer la mémoire physique. Un module TPM est un composant matériel qui utilise son propre microprogramme interne et ses propres circuits de logique pour traiter les instructions, et qui le protège donc des vulnérabilités logicielles externes. Attaquer le module TPM nécessite un accès physique à l’ordinateur. En outre, les outils et les compétences nécessaires pour attaquer le matériel sont souvent plus coûteux et ne sont généralement pas aussi disponibles que ceux utilisés pour attaquer les logiciels. Et comme chaque module TPM est propre à l’ordinateur qui le contient, attaquer plusieurs ordinateurs TPM peut s’avérer difficile et chronophage.

Le déverrouillage réseau BitLocker facilite la gestion des clients et serveurs avec BitLocker qui utilisent la méthode de protection TPM+PIN dans un environnement de domaine. Lorsqu’un ordinateur connecté à un réseau d’entreprise câblé est redémarré, le déverrouillage réseau permet de contourner l’invite d’entrée du code confidentiel. Il déverrouille automatiquement les volumes protégés par BitLocker hébergeant un système d’exploitation en utilisant une clé approuvée, fournie par le serveur des services de déploiement Windows, comme méthode d’authentification secondaire.

Pour utiliser le déverrouillage réseau, un code confidentiel doit être configuré pour l’ordinateur. Lorsque l’ordinateur n’est pas connecté au réseau, un code confidentiel doit être fourni pour le déverrouiller.

Le déverrouillage réseau BitLocker présente des configurations logicielles et matérielles requises pour les ordinateurs clients, les services de déploiement Windows et les contrôleurs de domaine qui doivent être remplies avant de pouvoir être utilisés.

Le déverrouillage réseau utilise deux protecteurs : le protecteur TPM et le protecteur fourni par le réseau ou par le code confidentiel. Le déverrouillage automatique utilise un seul protecteur, celui stocké dans le module de plateforme sécurisée. Si l’ordinateur est joint à un réseau sans le protecteur de clé, il invite à entrer un code confidentiel. Si le code confidentiel n’est pas disponible, la clé de récupération doit être utilisée pour déverrouiller l’ordinateur s’il ne peut pas être connecté au réseau.

Pour plus d’informations, voir BitLocker : Activation du déverrouillage réseau.

Oui, le système de fichiers EFS (Encrypting File System) peut être utilisé pour chiffrer des fichiers sur un lecteur protégé par BitLocker. BitLocker permet de protéger l’ensemble du lecteur du système d’exploitation contre les attaques hors connexion, tandis qu’EFS peut fournir un chiffrement de niveau de fichier basé sur l’utilisateur supplémentaire pour la séparation de sécurité entre plusieurs utilisateurs du même ordinateur. EFS peut également être utilisé dans Windows pour chiffrer des fichiers sur d’autres lecteurs qui ne sont pas chiffrés par BitLocker. Les secrets racine d’EFS sont stockés par défaut sur le lecteur du système d’exploitation ; Par conséquent, si BitLocker est activé pour le lecteur du système d’exploitation, les données chiffrées par EFS sur d’autres lecteurs sont également indirectement protégées par BitLocker.

Oui. Toutefois, le débogueur doit être activé avant BitLocker. L’activation du débogueur garantit que les mesures correctes sont calculées lors du scellement pour le module TPM, permettant ainsi à l’ordinateur de démarrer correctement. Si le débogage doit être activé ou désactivé lors de l’utilisation de BitLocker, veillez d’abord à suspendre BitLocker pour éviter de mettre l’ordinateur en mode de récupération.

BitLocker dispose d’une pile de pilotes de stockage qui garantit le chiffrement des images mémoire lorsque BitLocker est activé.

BitLocker ne prend pas en charge les cartes à puce pour l’authentification préalable au démarrage. Il n’existe pas de norme industrielle unique pour la prise en charge des carte intelligentes dans le microprogramme, et la plupart des ordinateurs n’implémentent pas la prise en charge du microprogramme pour les cartes à puce ou prennent uniquement en charge des cartes à puce et des lecteurs spécifiques. Ce manque de standardisation les rend difficiles à prendre en charge.

Microsoft ne prend pas en charge les pilotes TPM non-Microsoft et recommande vivement de ne pas les utiliser avec BitLocker. Si vous tentez d’utiliser un pilote TPM non-Microsoft avec BitLocker, BitLocker peut signaler qu’un module de plateforme sécurisée n’est pas présent sur l’ordinateur et ne pas autoriser l’utilisation du module de plateforme sécurisée avec BitLocker.

Nous vous déconseillons de modifier l’enregistrement de démarrage master sur les ordinateurs dont les lecteurs du système d’exploitation sont protégés par BitLocker pour plusieurs raisons de sécurité, de fiabilité et de support produit. Les modifications apportées à l’enregistrement de démarrage master (MBR) peuvent modifier l’environnement de sécurité et empêcher l’ordinateur de démarrer normalement et compliquer les efforts de récupération à partir d’un MBR endommagé. Les modifications apportées à l’enregistrement MBR autrement que par Windows peuvent forcer l’ordinateur à passer en mode de récupération ou l’empêcher de démarrer complètement.

Le case activée système est conçu pour garantir que le microprogramme BIOS ou UEFI de l’ordinateur est compatible avec BitLocker et que le module de plateforme sécurisée fonctionne correctement. Elle peut être en échec pour plusieurs raisons :

• Le microprogramme BIOS ou UEFI de l’ordinateur ne peut pas lire les lecteurs flash USB
• Le BIOS, le microprogramme uEFI ou le menu de démarrage de l’ordinateur n’a pas de lecteurs flash USB de lecture activés
• Plusieurs lecteurs flash USB sont insérés dans l’ordinateur
• Le code confidentiel n’a pas été entré correctement
• Le microprogramme BIOS ou UEFI de l’ordinateur prend uniquement en charge l’utilisation des clés de fonction (F1-F10) pour entrer des chiffres dans l’environnement de prédémarrage
• La clé de démarrage a été supprimée avant la fin du redémarrage de l’ordinateur
• Le TPM a mal fonctionné et ne parvient pas à détacher les clés

Certains ordinateurs ne peuvent pas lire les lecteurs flash USB dans l’environnement de prédémarrage. Tout d’abord, case activée le microprogramme bios ou UEFI et les paramètres de démarrage pour vous assurer que l’utilisation des lecteurs USB est activée. Si ce n’est pas le cas, activez l’utilisation de lecteurs USB dans le microprogramme bios ou UEFI et les paramètres de démarrage, puis essayez de lire à nouveau la clé de récupération à partir du lecteur flash USB. Si le lecteur flash USB ne peut toujours pas être lu, le disque dur doit être monté en tant que lecteur de données sur un autre ordinateur afin qu’il y ait un système d’exploitation pour tenter de lire la clé de récupération à partir du lecteur flash USB. Si la clé USB a été endommagée ou endommagée, il peut être nécessaire de fournir un mot de passe de récupération ou d’utiliser les informations de récupération sauvegardées dans AD DS. En outre, si la clé de récupération est utilisée dans l’environnement de prédémarrage, vérifiez que le lecteur est formaté à l’aide du système de fichiers NTFS, FAT16 ou FAT32.

L’option Enregistrer sur USB n’est pas affichée par défaut pour les lecteurs amovibles. Si elle n’est pas disponible, cela signifie qu’un administrateur système a interdit l’utilisation des clés de récupération.

Le déverrouillage automatique pour les lecteurs de données fixes nécessite que le lecteur du système d’exploitation soit également protégé par BitLocker. Si un ordinateur qui n’a pas de lecteur de système d’exploitation protégé par BitLocker est utilisé, le lecteur fixe ne peut pas être déverrouillé automatiquement. Pour les lecteurs de données amovibles, le déverrouillage automatique peut être ajouté en cliquant avec le bouton droit sur le lecteur dans Windows Explorer et en sélectionnant Gérer BitLocker. Les informations d’identification de mot de passe ou de carte intelligente fournies lors de l’activation de BitLocker peuvent toujours être utilisées pour déverrouiller le lecteur amovible sur d’autres ordinateurs.

Des fonctionnalités limitées de BitLocker sont disponibles en mode sans échec. Les lecteurs protégés par BitLocker peuvent être déverrouillés et déchiffrés à l’aide de l’élément du panneau de configuration Chiffrement de lecteur BitLocker. Cliquer avec le bouton droit pour accéder aux options BitLocker à partir de Windows Explorer n’est pas disponible en mode sans échec.

Les lecteurs de données fixes et amovibles peuvent être verrouillés à l’aide de l’outil en ligne de commande Manage-bde et de la commande -lock.

Syntaxe de cette commande :

manage-bde.exe <driveletter> -lock

À part avec cette commande, les lecteurs de données sont verrouillés à l’arrêt et au redémarrage du système d’exploitation. Un lecteur de données amovible est également verrouillé automatiquement s’il est retiré de l’ordinateur.

Oui. Toutefois, les clichés instantanés effectués avant d’activer BitLocker sont automatiquement supprimés si BitLocker est activé sur des lecteurs chiffrés par des logiciels. Si un lecteur chiffré matériel est utilisé, les clichés instantanés sont conservés.

BitLocker doit fonctionner comme n’importe quelle machine physique spécifique dans ses limitations matérielles tant que l’environnement (physique ou virtuel) répond à la configuration requise pour s’exécuter par le système d’exploitation Windows.

• Avec TPM : Oui, il est pris en charge.
• Sans TPM : Oui, il est pris en charge (avec le protecteur de mot de passe).

BitLocker est également pris en charge sur les disques durs virtuels de volume de données, tels que ceux utilisés par les clusters.

Oui, BitLocker peut être utilisé avec des machines virtuelles si l’environnement répond à la configuration matérielle et logicielle requise de BitLocker.