Guide de récupération de BitLockerBitLocker recovery guide

S’applique àApplies to

  • Windows10Windows10

Cette rubrique, destinée aux professionnels de l’informatique, décrit la récupération de clésBitLocker à partir des services de domaine Active Directory (ADDS).This topic for IT professionals describes how to recover BitLocker keys from AD DS.

Les organisations peuvent utiliser les informations de récupération BitLocker enregistrées dans les services de domaine Active Directory (AD DS) pour accéder aux données protégées par BitLocker.Organizations can use BitLocker recovery information saved in Active Directory Domain Services (ADDS) to access BitLocker-protected data. Il est recommandé de créer un modèle de récupération pour BitLocker lors de la planification de votre déploiement de BitLocker.Creating a recovery model for BitLocker while you are planning your BitLocker deployment is recommended.

Cet article part du principe que vous comprenez comment configurer ADDS pour sauvegarder automatiquement les informations de récupération de BitLocker et quels types d’informations de récupération sont enregistrés à ajouter.This article assumes that you understand how to set up ADDS to back up BitLocker recovery information automatically, and what types of recovery information are saved to ADDS.

Cet article ne décrit pas en détail la façon de configurer ADDS pour stocker les informations de récupération de BitLocker.This article does not detail how to configure ADDS to store the BitLocker recovery information.

Qu’est-ce que la récupération BitLocker?What is BitLocker recovery?

La récupération BitLocker est le processus par lequel vous pouvez restaurer l’accès à un lecteur protégé par BitLocker si vous ne parvenez pas à déverrouiller le lecteur normalement.BitLocker recovery is the process by which you can restore access to a BitLocker-protected drive in the event that you cannot unlock the drive normally. Dans un scénario de récupération, vous disposez des options suivantes pour restaurer l’accès au lecteur:In a recovery scenario, you have the following options to restore access to the drive:

  • L’utilisateur peut fournir le mot de passe de récupération.The user can supply the recovery password. Si votre organisation autorise les utilisateurs à imprimer ou stocker des mots de passe de récupération, l’utilisateur peut entrer le mot de passe de récupération de 48 chiffres qu’il a imprimé ou stocké sur un lecteur USB ou avec votre compte Microsoft en ligne.If your organization allows users to print or store recovery passwords, the user can type in the 48-digit recovery password that they printed or stored on a USB drive or with your Microsoft Account online. L’enregistrement d’un mot de passe de récupération avec votre compte Microsoft en ligne n’est autorisé que lorsque BitLocker est utilisé sur un PC qui n’est pas membre d’un domaine.(Saving a recovery password with your Microsoft Account online is only allowed when BitLocker is used on a PC that is not a member of a domain).
  • Un agent de récupération de données peut utiliser ses informations d’identification pour déverrouiller le lecteur.A data recovery agent can use their credentials to unlock the drive. S’il s’agit d’un lecteur de système d’exploitation, le lecteur doit être monté en tant que lecteur de données sur un autre ordinateur pour que l’agent de récupération de données le déverrouille.If the drive is an operating system drive, the drive must be mounted as a data drive on another computer for the data recovery agent to unlock it.
  • Un administrateur de domaine peut obtenir le mot de passe de récupération d’AD DS et l’utiliser pour déverrouiller le lecteur.A domain administrator can obtain the recovery password from AD DS and use it to unlock the drive. Le stockage de mots de passe de récupération dans AD DS est recommandé pour permettre aux professionnels de l’informatique d’obtenir un mot de passe de récupération pour les lecteurs au sein de leur organisation le cas échéant.Storing recovery passwords in AD DS is recommended to provide a way for IT professionals to be able to obtain recovery passwords for drives in their organization if needed. Cette méthode nécessite que vous ayez activé cette méthode de récupération dans le paramètre de stratégie de groupe BitLocker, Choisissez la manière dont les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés à partir de l' ordinateur Configuration\Administrative Templates\ Windows Components\BitLocker lecteurs système Encryption\Operating dans l’éditeur de stratégies de groupe local.This method requires that you have enabled this recovery method in the BitLocker Group Policy setting Choose how BitLocker-protected operating system drives can be recovered located at Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives in the Local Group Policy Editor. Pour plus d'informations, voir Paramètres de stratégie de groupe BitLocker.For more information, see BitLocker Group Policy settings.

Quels sont les causes de la récupération BitLocker?What causes BitLocker recovery?

La liste suivante fournit des exemples d’événements spécifiques qui entraînent l’entrée du mode de récupération par BitLocker lors de la tentative de démarrage du lecteur du système d’exploitation:The following list provides examples of specific events that will cause BitLocker to enter recovery mode when attempting to start the operating system drive:

  • Sur les PC utilisant le chiffrement de lecteur BitLocker, ou sur des appareils tels que des tablettes ou des téléphones utilisant le chiffrement d’appareil BitLocker uniquement, en cas de détection d’une attaque, l’appareil se réamorcera immédiatement et entrera en mode de récupération BitLocker.On PCs that use BitLocker Drive Encryption, or on devices such as tablets or phones that use BitLocker Device Encryption only, when an attack is detected, the device will immediately reboot and enter into BitLocker recovery mode. Pour tirer parti de cette fonctionnalité, les administrateurs peuvent définir le paramètre d’ouverture de session interactif: paramètre de stratégie de groupe seuil de verrouillage du compte d’ordinateur situé dans \ordinateur Configuration\Windows Settings\Security Settings\Local Policies\ Options de sécurité dans l’éditeur de stratégies de groupe local, ou utilisez la stratégie MaxFailedPasswordAttempts d' Exchange ActiveSync (également configurable par le biais de Windows Intune) pour limiter le nombre de tentatives de mot de passe ayant échoué avant le l’appareil bascule sur le verrouillage de l’appareil.To take advantage of this functionality Administrators can set the Interactive logon: Machine account lockout threshold Group Policy setting located in \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options in the Local Group Policy Editor, or use the MaxFailedPasswordAttempts policy of Exchange ActiveSync (also configurable through Windows Intune), to limit the number of failed password attempts before the device goes into Device Lockout.

  • Sur les appareils dotés du module de plateforme sécurisée 1,2, le changement d’ordre du BIOS ou du microprogramme entraîne une récupération BitLocker.On devices with TPM 1.2, changing the BIOS or firmware boot device order causes BitLocker recovery. Toutefois, les appareils avec TPM 2,0 ne démarrent pas la récupération BitLocker dans le cas présent.However, devices with TPM 2.0 do not start BitLocker recovery in this case. Le module de plateforme sécurisée 2,0 ne considère pas un changement de microprogramme de l’ordre du périphérique de démarrage comme une menace pour la sécurité, car le chargeur de démarrage du système d’exploitation n’est pas compromis.TPM 2.0 does not consider a firmware change of boot device order as a security threat because the OS Boot Loader is not compromised.

  • La présence du CD ou du lecteur DVD avant le disque dur dans l’ordre de démarrage du BIOS, puis l’insertion ou la suppression d’un CD ou d’un DVD.Having the CD or DVD drive before the hard drive in the BIOS boot order and then inserting or removing a CD or DVD.

  • Échec du démarrage à partir d’un lecteur réseau avant le démarrage à partir du disque dur.Failing to boot from a network drive before booting from the hard drive.

  • Ancrer ou détacher un ordinateur portable.Docking or undocking a portable computer. Dans certains cas (selon le fabricant de l’ordinateur et le BIOS), la condition d’ancrage de l’ordinateur portable fait partie de la mesure du système et doit être cohérente pour valider l’état du système et déverrouiller BitLocker.In some instances (depending on the computer manufacturer and the BIOS), the docking condition of the portable computer is part of the system measurement and must be consistent to validate the system status and unlock BitLocker. Cela signifie que si votre ordinateur portable est connecté à sa station d’accueil lorsque BitLocker est activé, il peut également être nécessaire de rester connecté à la station d’ancrage lorsque celle-ci est déverrouillée.This means that if a portable computer is connected to its docking station when BitLocker is turned on, then it might also need to be connected to the docking station when it is unlocked. À l’inverse, si un ordinateur portable n’est pas connecté à sa station d’accueil lorsque BitLocker est activé, il est possible que vous deviez être déconnecté de la station d’ancrage lorsque celle-ci est déverrouillée.Conversely, if a portable computer is not connected to its docking station when BitLocker is turned on, then it might need to be disconnected from the docking station when it is unlocked.

  • Modifications apportées à la table de partitions NTFS sur le disque, y compris la création, la suppression ou le redimensionnement d’une partition principale.Changes to the NTFS partition table on the disk including creating, deleting, or resizing a primary partition.

  • Saisie incorrecte de votre code confidentiel (PIN) trop de fois pour l’activation de la logique anti-marteau du TPM.Entering the personal identification number (PIN) incorrectly too many times so that the anti-hammering logic of the TPM is activated. La logique anti-brise-brise est une méthode logicielle ou matérielle qui augmente la difficulté et le coût d’une attaque en force sur un code confidentiel en n’acceptant pas les entrées de code confidentiel tant qu’il n’a pas accepté une certaine durée.Anti-hammering logic is software or hardware methods that increase the difficulty and cost of a brute force attack on a PIN by not accepting PIN entries until after a certain amount of time has passed.

  • Désactivation de la prise en charge de la lecture de l’appareil USB dans l’environnement de pré-démarrage à partir du microprogramme BIOS ou UEFI si vous utilisez des clés USB plutôt qu’un module de plateforme sécurisée.Turning off the support for reading the USB device in the pre-boot environment from the BIOS or UEFI firmware if you are using USB-based keys instead of a TPM.

  • Désactivation, désactivation, désactivation ou effacement du module de plateforme sécurisée.Turning off, disabling, deactivating, or clearing the TPM.

  • Mise à niveau des composants cruciaux du démarrage, tels qu’une mise à jour du BIOS ou du microprogramme UEFI, provoquant la modification des mesures de démarrage associées.Upgrading critical early startup components, such as a BIOS or UEFI firmware upgrade, causing the related boot measurements to change.

  • Oubli du code confidentiel lors de l’activation de l’authentification par code confidentiel.Forgetting the PIN when PIN authentication has been enabled.

  • Mise à jour du microprogramme de la ROM optionnelle.Updating option ROM firmware.

  • Mise à niveau du microprogramme du TPM.Upgrading TPM firmware.

  • Ajout ou suppression de matériel; par exemple, en insérant une nouvelle carte sur votre ordinateur, y compris des cartes sans fil PCMIA.Adding or removing hardware; for example, inserting a new card in the computer, including some PCMIA wireless cards.

  • le retrait, l’insertion ou la décharge totale de la batterie intelligente d’un ordinateur portable;Removing, inserting, or completely depleting the charge on a smart battery on a portable computer.

  • Modifications apportées à l’enregistrement de démarrage principal sur le disque.Changes to the master boot record on the disk.

  • Modifications du gestionnaire de démarrage sur le disque.Changes to the boot manager on the disk.

  • Le masquage du TPM du système d’exploitation.Hiding the TPM from the operating system. Des paramètres BIOS ou UEFI peuvent être utilisés pour empêcher l’énumération du TPM sur le système d’exploitation.Some BIOS or UEFI settings can be used to prevent the enumeration of the TPM to the operating system. Lorsque cette option est implémentée, le module de plateforme sécurisée peut être masqué par le système d’exploitation.When implemented, this option can make the TPM hidden from the operating system. Lorsque le module de plateforme sécurisée est caché, le BIOS et le démarrage sécurisé UEFI sont désactivés et le TPM ne répond pas aux commandes de tout logiciel.When the TPM is hidden, BIOS and UEFI secure startup are disabled, and the TPM does not respond to commands from any software.

  • L’utilisation d’un clavier différent qui n’entre pas correctement le code confidentiel ou dont la carte clavier ne correspond pas à celle utilisée par l’environnement de pré-démarrage.Using a different keyboard that does not correctly enter the PIN or whose keyboard map does not match the keyboard map assumed by the pre-boot environment. Cela peut empêcher l’entrée de broches améliorées.This can prevent the entry of enhanced PINs.

  • Modification des registres de configuration de plateforme (PCRs) utilisés par le profil de validation du module de plateforme sécurisée.Modifying the Platform Configuration Registers (PCRs) used by the TPM validation profile. Par exemple, en incluant PCR \ [1 ] , la mesure de BitLocker a pour effet d’évaluer la plupart des modifications apportées aux paramètres du BIOS, provoquant l’entrée du mode de récupération de BitLocker même lorsque des paramètres BIOS critiques sans démarrage changent.For example, including PCR[1] would result in BitLocker measuring most changes to BIOS settings, causing BitLocker to enter recovery mode even when non-boot critical BIOS settings change.

    Remarque: certains ordinateurs possèdent des paramètres BIOS qui ignorent les mesures apportées à certaines PCRS, par exemple, PCR \ [2 ].Note: Some computers have BIOS settings that skip measurements to certain PCRs, such as PCR[2]. La modification de ce paramètre dans le BIOS entraînerait BitLocker à entrer le mode de récupération, car la mesure du PCR sera différente.Changing this setting in the BIOS would cause BitLocker to enter recovery mode because the PCR measurement will be different.

  • Déplacement du lecteur protégé par BitLocker vers un nouvel ordinateurMoving the BitLocker-protected drive into a new computer.

  • La mise à niveau de la carte mère vers une nouvelle carte du TPM.Upgrading the motherboard to a new one with a new TPM.

  • En perdant le lecteur flash USB contenant la clé de démarrage lorsque l’authentification par clé de démarrage est activée.Losing the USB flash drive containing the startup key when startup key authentication has been enabled.

  • Échec du test du module de plateforme sécurisée.Failing the TPM self-test.

  • Utilisation d’un microprogramme BIOS, UEFI ou d’un composant ROM optionnelle qui n’est pas conforme aux normes de groupes informatiques approuvés pertinentes pour un ordinateur client.Having a BIOS, UEFI firmware, or an option ROM component that is not compliant with the relevant Trusted Computing Group standards for a client computer. Par exemple, une implémentation non conforme peut enregistrer des données volatiles (par exemple, du temps) dans les mesures du TPM, provoquant différentes mesures à chaque démarrage et provoquant le démarrage du BitLocker en mode de récupération.For example, a non-compliant implementation may record volatile data (such as time) in the TPM measurements, causing different measurements on each startup and causing BitLocker to start in recovery mode.

  • Modification de l’autorisation d’utilisation de la clé de racine de stockage du TPM sur une valeur non nulle.Changing the usage authorization for the storage root key of the TPM to a non-zero value.

    Remarque: le processus d’initialisation du TPM BitLocker définit la valeur d’autorisation d’utilisation sur zéro, de sorte qu’un autre utilisateur ou processus doit avoir modifié cette valeur explicitement.Note: The BitLocker TPM initialization process sets the usage authorization value to zero, so another user or process must explicitly have changed this value.

  • La désactivation de la vérification de l’intégrité du code ou l’activation de la signature de test sur le gestionnaire de démarrage Windows (Bootmgr).Disabling the code integrity check or enabling test signing on Windows Boot Manager (Bootmgr).

  • Appuyer sur la touche F8 ou F10 lors du processus de démarrage.Pressing the F8 or F10 key during the boot process.

  • Ajout ou suppression de cartes de complément (par exemple, cartes vidéo ou réseau) ou mise à niveau du microprogramme sur des cartes de complément.Adding or removing add-in cards (such as video or network cards), or upgrading firmware on add-in cards.

  • À l’aide d’une touche d’accès rapide du BIOS lors du processus de démarrage, définissez l’ordre de démarrage sur un autre système que le disque dur.Using a BIOS hot key during the boot process to change the boot order to something other than the hard drive.

Remarque: avant de commencer la récupération, nous vous conseillons de déterminer la cause de votre récupération.Note: Before you begin recovery, we recommend that you determine what caused recovery. Cela peut contribuer à éviter que le problème ne se reproduise à l’avenir.This might help prevent the problem from occurring again in the future. Par exemple, si vous déterminez que l’agresseur a modifié votre ordinateur en obtenant un accès physique, vous pouvez créer de nouvelles stratégies de sécurité pour suivre les personnes ayant une présence physique.For instance, if you determine that an attacker has modified your computer by obtaining physical access, you can create new security policies for tracking who has physical presence. Après avoir utilisé le mot de passe de récupération pour récupérer l’accès au PC, BitLocker va répartir la clé de chiffrement vers les valeurs actuelles des composants mesurés.After the recovery password has been used to recover access to the PC, BitLocker will reseal the encryption key to the current values of the measured components.

Dans le cas de scénarios planifiés, par exemple des mises à niveau de matériel ou de microprogramme connus, vous pouvez éviter le lancement temporaire de la protection BitLocker.For planned scenarios, such as a known hardware or firmware upgrades, you can avoid initiating recovery by temporarily suspending BitLocker protection. Dans la mesure où l’interruption de BitLocker quitte le lecteur entièrement chiffré, l’administrateur peut rapidement reprendre la protection BitLocker après la fin de la tâche planifiée.Because suspending BitLocker leaves the drive fully encrypted, the administrator can quickly resume BitLocker protection after the planned task has been completed. L’utilisation de la fonction suspendre et reprise a pour outre accès à la clé de chiffrement sans nécessiter l’entrée de la clé de récupération.Using suspend and resume also reseals the encryption key without requiring the entry of the recovery key.

Remarque: si la fonction de BitLocker suspendue reprend automatiquement une protection lorsque le PC est redémarré, sauf si un nombre de redémarrages est spécifié à l’aide de l’outil de ligne de commande Manage-bde.Note: If suspended BitLocker will automatically resume protection when the PC is rebooted, unless a reboot count is specified using the manage-bde command line tool.

Si la maintenance logicielle nécessite le redémarrage de l’ordinateur et que vous utilisez l’authentification à deux facteurs, vous pouvez activer le déverrouillage réseau BitLocker pour fournir le facteur d’authentification secondaire lorsque les ordinateurs ne disposent pas d’un utilisateur local pour fournir le méthode d’authentification supplémentaire.If software maintenance requires the computer be restarted and you are using two-factor authentication, you can enable BitLocker Network Unlock to provide the secondary authentication factor when the computers do not have an on-premises user to provide the additional authentication method.

La récupération a été décrite dans le contexte du comportement inattendu ou indésirable, mais vous pouvez également le faire en tant que scénario de production prévu pour gérer le contrôle d’accès.Recovery has been described within the context of unplanned or undesired behavior, but you can also cause recovery as an intended production scenario, in order to manage access control. Par exemple, lorsque vous redéployez des ordinateurs de bureau ou d’ordinateur portable vers d’autres services ou employés de votre entreprise, vous pouvez forcer la reprise de l’utilisation de BitLocker avant qu’elle ne soit accordée à un nouvel utilisateur.For example, when you redeploy desktop or laptop computers to other departments or employees in your enterprise, you can force BitLocker into recovery before the computer is given to a new user.

Test de récupérationTesting recovery

Avant de créer un processus de récupération de BitLocker complet, nous vous recommandons de tester le fonctionnement du processus de récupération pour les utilisateurs finaux (les personnes qui rejoignent votre support technique pour le mot de passe de récupération) et les administrateurs (personnes qui aident l’utilisateur final à obtenir le mot de passe de récupération). .Before you create a thorough BitLocker recovery process, we recommend that you test how the recovery process works for both end users (people who call your helpdesk for the recovery password) and administrators (people who help the end user get the recovery password). La commande – forcerecovery de Manage-bde vous permet d’exécuter le processus de récupération plus facilement avant que vos utilisateurs ne rencontrent une situation de récupération.The –forcerecovery command of manage-bde is an easy way for you to step through the recovery process before your users encounter a recovery situation.

Pour forcer une récupération pour l’ordinateur localTo force a recovery for the local computer

  1. Cliquez sur le bouton Démarrer , tapez cmd dans la zone Démarrer la recherche , cliquez avec le bouton droit sur cmd. exe, puis cliquez sur exécuter en tant qu’administrateur.Click the Start button, type cmd in the Start Search box, right-click cmd.exe, and then click Run as administrator.
  2. À l’invite de commandes, tapez la commande suivante, puis appuyez sur entrée:manage-bde -forcerecovery <BitLockerVolume>At the command prompt, type the following command and then press ENTER: manage-bde -forcerecovery <BitLockerVolume>

Pour forcer la restauration d’un ordinateur distantTo force recovery for a remote computer

  1. Dans l’écran d’accueil, tapezcmd. exe, puis cliquez sur exécuter en tant qu’administrateur.On the Start screen, typecmd.exe, and then click Run as administrator.
  2. À l’invite de commandes, tapez la commande suivante, puis appuyez sur entrée:manage-bde. -ComputerName <RemoteComputerName> -forcerecovery <BitLockerVolume>At the command prompt, type the following command and then press ENTER: manage-bde. -ComputerName <RemoteComputerName> -forcerecovery <BitLockerVolume>

Remarque: la restauration déclenchée -forcerecovery par persiste pour plusieurs redémarrages jusqu’à ce qu’un protecteur de TPM soit ajouté ou que la protection soit suspendue par l’utilisateur.Note: Recovery triggered by -forcerecovery persists for multiple restarts until a TPM protector is added or protection is suspended by the user. Lors de l’utilisation de périphériques de secours modernes (comme les appareils -forcerecovery surface), l’option n’est pas recommandée, car BitLocker doit être déverrouillé et désactivé manuellement à partir de l’environnement WinRE pour que le système d’exploitation puisse redémarrer.When using Modern Standby devices (such as Surface devices), the -forcerecovery option is not recommended because BitLocker will have to be unlocked and disabled manually from the WinRE environment before the OS can boot up again. Pour plus d’informations, reportez-vous à la rubrique résolution des problèmes de BitLocker: boucle de redémarrage continu avec récupération de BitLocker sur un appareil ardoise.For more information, see BitLocker Troubleshooting: Continuous reboot loop with BitLocker recovery on a slate device.

Planification de votre processus de récupérationPlanning your recovery process

Lors de la planification du processus de récupération BitLocker, consultez d’abord les meilleures pratiques actuelles de votre organisation pour récupérer des informations sensibles.When planning the BitLocker recovery process, first consult your organization's current best practices for recovering sensitive information. Par exemple: comment votre entreprise gère-t-elle les mots de passe Windows perdus?For example: How does your enterprise handle lost Windows passwords? Comment votre organisation effectue-t-elle les réinitialisations de carte à puceHow does your organization perform smart card PIN resets? Vous pouvez utiliser ces meilleures pratiques et ressources associées (personnes et outils) pour vous aider à formuler un modèle de récupération BitLocker.You can use these best practices and related resources (people and tools) to help formulate a BitLocker recovery model.

Les organisations qui utilisent le chiffrement de lecteur BitLocker et BitLocker to Go pour protéger les données sur un grand nombre d’ordinateurs et des lecteurs amovibles exécutant les systèmes d’exploitation Windows 10, Windows 8 ou Windows 7 et Windows to Go doivent envisager d’utiliser Microsoft Outil d’administration et de surveillance de BitLocker (MBAM) version 2,0 incluse dans le pack d’optimisation de bureau Microsoft (MDOP) pour Microsoft Software Assurance.Organizations that rely on BitLocker Drive Encryption and BitLocker To Go to protect data on a large number of computers and removable drives running the Windows10, Windows 8, or Windows 7 operating systems and Windows to Go should consider using the Microsoft BitLocker Administration and Monitoring (MBAM) Tool version 2.0, which is included in the Microsoft Desktop Optimization Pack (MDOP) for Microsoft Software Assurance. MBAM simplifie le déploiement et la gestion des implémentations BitLocker et permet aux administrateurs de mettre en service et de surveiller le chiffrement pour le système d’exploitation et les lecteurs fixes.MBAM makes BitLocker implementations easier to deploy and manage and allows administrators to provision and monitor encryption for operating system and fixed drives. MBAM demande à l’utilisateur de crypter les disques fixes.MBAM prompts the user before encrypting fixed drives. MBAM gère également les clés de récupération pour les disques fixes et amovibles, ce qui facilite la gestion de la restauration.MBAM also manages recovery keys for fixed and removable drives, making recovery easier to manage. MBAM peut être utilisé dans le cadre d’un déploiement Microsoft System Center ou d’une solution autonome.MBAM can be used as part of a Microsoft System Center deployment or as a stand-alone solution. Pour plus d’informations, consultez l’article administration et analyse de BitLocker.For more info, see Microsoft BitLocker Administration and Monitoring.

Après avoir effectué une récupération de BitLocker, les utilisateurs peuvent utiliser un mot de passe pour déverrouiller l’accès aux données chiffrées.After a BitLocker recovery has been initiated, users can use a recovery password to unlock access to encrypted data. Vous devez prendre en compte les méthodes de récupération de mot de passe d’auto-récupération et de récupération de mot de passe pour votre organisation.You must consider both self-recovery and recovery password retrieval methods for your organization.

Lorsque vous déterminez votre processus de récupération, vous devez:When you determine your recovery process, you should:

Restauration automatiqueSelf-recovery

Dans certains cas, il est possible que les utilisateurs disposent du mot de passe de récupération dans une impression ou un lecteur flash USB et puissent effectuer une récupération automatique.In some cases, users might have the recovery password in a printout or a USB flash drive and can perform self-recovery. Nous vous recommandons de créer une stratégie pour l’auto-restauration de votre organisation.We recommend that your organization create a policy for self-recovery. Si la restauration automatique inclut l’utilisation d’un mot de passe ou d’une clé de récupération stockées sur une clé USB, les utilisateurs doivent être avertis de ne pas stocker la clé USB dans le même emplacement que le PC, en particulier lors du voyage, par exemple si le PC et les éléments de récupération se trouvent dans le même sac. l’accès à un PC par un utilisateur non autorisé serait très facile.If self-recovery includes using a password or recovery key stored on a USB flash drive, the users should be warned not to store the USB flash drive in the same place as the PC, especially during travel, for example if both the PC and the recovery items are in the same bag it would be very easy for access to be gained to the PC by an unauthorized user. Il est également conseillé aux utilisateurs de contacter le support technique avant ou après avoir effectué une récupération automatique afin que la cause racine puisse être identifiée.Another policy to consider is having users contact the Helpdesk before or after performing self-recovery so that the root cause can be identified.

Récupération du mot de passe de récupérationRecovery password retrieval

Si l’utilisateur ne dispose pas d’un mot de passe de récupération dans une impression ou sur une clé USB USB, il doit être en mesure de récupérer le mot de passe de récupération à partir d’une source en ligne.If the user does not have a recovery password in a printout or on a USB flash drive, the user will need to be able to retrieve the recovery password from an online source. Si le PC est membre d’un domaine, le mot de passe de récupération peut être sauvegardé sur AD DS.If the PC is a member of a domain the recovery password can be backed up to AD DS. Toutefois, cela ne se produit pas par défaut, vous devez avoir configuré les paramètres de stratégie de groupe appropriés avant l’activation de BitLocker sur le PC.However, this does not happen by default, you must have configured the appropriate Group Policy settings before BitLocker was enabled on the PC. Les paramètres de stratégie de groupe BitLocker sont accessibles dans l’éditeur de stratégies de groupe local ou la console de gestion des stratégies de groupe (GPMC) sous Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption.BitLocker Group Policy settings can be found in the Local Group Policy Editor or the Group Policy Management Console (GPMC) under Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption. Les paramètres de stratégie suivants définissent les méthodes de récupération qui peuvent être utilisées pour restaurer l’accès à un lecteur protégé par BitLocker en cas d’échec de la méthode d’authentification ou d’utilisation impossible.The following policy settings define the recovery methods that can be used to restore access to a BitLocker-protected drive if an authentication method fails or is unable to be used.

  • Choisir la manière dont les lecteurs du système d’exploitation protégés par BitLocker peuvent être récupérésChoose how BitLocker-protected operating system drives can be recovered
  • Choisir la manière dont les lecteurs fixes protégés par BitLocker peuvent être récupérésChoose how BitLocker-protected fixed drives can be recovered
  • Choisir la manière dont les lecteurs amovibles protégés par BitLocker peuvent être récupérés Dans chacune de ces stratégies, sélectionnez enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS), puis sélectionnez les informations de récupération de BitLocker à stocker dans les services de domaine Active Directory (AD DS).Choose how BitLocker-protected removable drives can be recovered In each of these policies, select Save BitLocker recovery information to Active Directory Domain Services and then choose which BitLocker recovery information to store in Active Directory Domain Services (ADDS). Activez la case à cocher ne pas activer BitLocker jusqu’à ce que les informations de récupération soient stockées dans AD DS si vous souhaitez empêcher les utilisateurs d’activer BitLocker sauf si l’ordinateur est connecté au domaine et la sauvegarde des informations de récupération BitLocker pour le lecteur à L’ajout réussit.Select the Do not enable BitLocker until recovery information is stored in AD DS check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information for the drive to ADDS succeeds.

Remarque: si les PC font partie d’un groupe de travail, les utilisateurs doivent être avertis d’enregistrer leur mot de passe de récupération BitLocker avec leur compte Microsoft en ligne.Note: If the PCs are part of a workgroup, users should be advised to save their BitLocker recovery password with their Microsoft Account online. Il est recommandé d’avoir une copie en ligne de votre mot de passe de récupération BitLocker pour vous assurer que vous ne perdez pas l’accès à vos données en cas de nécessité d’une récupération.Having an online copy of your BitLocker recovery password is recommended to help ensure that you do not lose access to your data in the event that recovery is required.

La visionneuse du mot de passe de récupération BitLocker pour l’outil utilisateurs et ordinateurs Active Directory permet aux administrateurs de domaine d’afficher des mots de passe de récupération BitLocker pour des objets d’ordinateur spécifiques dans Active Directory.The BitLocker Recovery Password Viewer for Active Directory Users and Computers tool allows domain administrators to view BitLocker recovery passwords for specific computer objects in Active Directory.

Vous pouvez utiliser la liste suivante en tant que modèle pour créer votre propre processus de récupération pour la récupération du mot de passe de récupération.You can use the following list as a template for creating your own recovery process for recovery password retrieval. Cet exemple de processus utilise la visionneuse du mot de passe de récupération BitLocker pour l’outil utilisateurs et ordinateurs Active Directory.This sample process uses the BitLocker Recovery Password Viewer for Active Directory Users and Computers tool.

Enregistrer le nom de l’ordinateur de l’utilisateurRecord the name of the user's computer

Vous pouvez utiliser le nom de l’ordinateur de l’utilisateur pour trouver le mot de passe de récupération dans ADDS.You can use the name of the user's computer to locate the recovery password in ADDS. Si l’utilisateur ne connaît pas le nom de l’ordinateur, demandez à l’utilisateur de lire le premier mot de l' étiquette du lecteur dans l’interface utilisateur de l’entrée du mot de passe de chiffrement de lecteur BitLocker .If the user does not know the name of the computer, ask the user to read the first word of the Drive Label in the BitLocker Drive Encryption Password Entry user interface. Il s’agit du nom de l’ordinateur sur lequel BitLocker a été activé et probablement du nom actuel de l’ordinateur.This is the computer name when BitLocker was enabled and is probably the current name of the computer.

Vérifier l’identité de l’utilisateurVerify the user's identity

Vérifiez que la personne demandant le mot de passe de récupération est réellement l’utilisateur autorisé de cet ordinateur.You should verify that the person that is asking for the recovery password is truly the authorized user of that computer. Vous pouvez également vérifier que l’ordinateur portant le nom fourni par l’utilisateur appartient à l’utilisateur.You may also wish to verify that the computer with the name the user provided belongs to the user.

Localiser le mot de passe de récupération dans ADDSLocate the recovery password in ADDS

Recherchez l’objet ordinateur portant le nom correspondant dans ADDS.Locate the Computer object with the matching name in ADDS. Dans la mesure où les noms d’objets d’ordinateur sont répertoriés dans le catalogue global ajoute, vous devriez être en mesure de trouver l’objet même si vous disposez d’une forêt à plusieurs domaines.Because Computer object names are listed in the ADDS global catalog, you should be able to locate the object even if you have a multi-domain forest.

Mots de passe de récupération multiplesMultiple recovery passwords

Si plusieurs mots de passe de récupération sont stockés sous un objet ordinateur dans ADDS, le nom de l’objet informations de récupération BitLocker inclut la date de création du mot de passe.If multiple recovery passwords are stored under a computer object in ADDS, the name of the BitLocker recovery information object includes the date that the password was created.

Si vous n’êtes pas sûr du mot de passe à fournir ou si vous pensez que vous fournissez éventuellement un mot de passe incorrect, demandez à l’utilisateur de lire l’ID de mot de passe à huit caractères qui s’affiche dans la console de récupération.If at any time you are unsure what password to provide, or if you think you might be providing the incorrect password, ask the user to read the eight character password ID that is displayed in the recovery console.

Dans la mesure où l’ID du mot de passe est une valeur unique associée à chaque mot de passe de récupération stocké dans ADDS, l’exécution d’une requête à l’aide de cet ID trouve le mot de passe correct pour déverrouiller le volume chiffré.Since the password ID is a unique value that is associated with each recovery password stored in ADDS, running a query using this ID will find the correct password to unlock the encrypted volume.

Collecter des informations pour déterminer pourquoi la restauration s’est produiteGather information to determine why recovery occurred

Avant de donner au mot de passe un mot de passe de récupération, il est conseillé de rassembler toutes les informations qui vous aideront à déterminer la raison pour laquelle la restauration s’est produite, afin d’analyser la cause initiale lors de l’analyse après récupération.Before you give the user the recovery password, you should gather any information that will help determine why the recovery was needed, in order to analyze the root cause during the post-recovery analysis. Pour plus d’informations sur l’analyse après récupération, voir analyse après récupération.For more info about post-recovery analysis, see Post-recovery analysis.

Donner au utilisateur le mot de passe de récupérationGive the user the recovery password

Dans la mesure où le mot de passe de récupération correspond à des chiffres de 48, l’utilisateur doit peut-être enregistrer le mot de passe en le rédigeant ou en le tapant sur un autre ordinateur.Because the recovery password is 48 digits long the user may need to record the password by writing it down or typing it on a different computer. Si vous utilisez MBAM, le mot de passe de récupération est régénéré après sa restauration à partir de la base de données MBAM afin d’éviter les risques liés à la sécurité associés à un mot de passe non contrôlé.If you are using MBAM, the recovery password will be regenerated after it is recovered from the MBAM database to avoid the security risks associated with an uncontrolled password.

Remarque: dans la mesure où le mot de passe de récupération de 48 chiffres est long et qu’il contient une combinaison de chiffres, l’utilisateur risque d’entendre ou d’entrer du mot de passe.Note: Because the 48-digit recovery password is long and contains a combination of digits, the user might mishear or mistype the password. La console de récupération au moment de l’initialisation utilise des numéros de checksum intégrés pour détecter les erreurs d’entrée dans chaque bloc de 6 chiffres du mot de passe de récupération de 48 chiffres, et permet à l’utilisateur de corriger ces erreurs.The boot-time recovery console uses built-in checksum numbers to detect input errors in each 6-digit block of the 48-digit recovery password, and offers the user the opportunity to correct such errors.

Analyse après récupérationPost-recovery analysis

Lorsqu’un volume est déverrouillé à l’aide d’un mot de passe de récupération, un événement est écrit dans le journal des événements et les mesures de validation de la plateforme sont réinitialisées dans le TPM pour correspondre à la configuration actuelle.When a volume is unlocked using a recovery password, an event is written to the event log and the platform validation measurements are reset in the TPM to match the current configuration. Le déverrouillage du volume signifie que la clé de chiffrement a été publiée et qu’elle est prête pour le chiffrement en entrée lorsque les données sont écrites sur le volume et le déchiffrement à la volée lors de la lecture de données sur le volume.Unlocking the volume means that the encryption key has been released and is ready for on-the-fly encryption when data is written to the volume, and on-the-fly decryption when data is read from the volume. Lorsque le volume est déverrouillé, BitLocker se comporte de la même manière, quelle que soit la façon dont l’accès a été accordé.After the volume is unlocked, BitLocker behaves the same way, regardless of how the access was granted.

Si vous remarquez qu’un ordinateur est déverrouillé par un mot de passe de récupération répété, il est possible que vous souhaitiez qu’un administrateur effectue une analyse après récupération pour déterminer la cause initiale de la validation de la plateforme BitLocker et actualiser les données pour qu’il ne soit plus doit entrer un mot de passe de récupération chaque fois que l’ordinateur démarre.If you notice that a computer is having repeated recovery password unlocks, you might want to have an administrator can perform post-recovery analysis to determine the root cause of the recovery and refresh BitLocker platform validation so that the user no longer needs to enter a recovery password each time that the computer starts up. SavoirSee:

Déterminez la cause initiale de la restauration.Determine the root cause of the recovery

Si un utilisateur a besoin de récupérer le lecteur, il est important de déterminer la cause initiale du lancement de la récupération le plus rapidement possible.If a user needed to recover the drive, it is important to determine the root cause that initiated the recovery as soon as possible. Le bon fonctionnement de l’état de l’ordinateur et de la détection de falsification risque de révéler des risques d’implications plus larges pour la sécurité de l’entreprise.Properly analyzing the state of the computer and detecting tampering may reveal threats that have broader implications for enterprise security.

Tant qu’un administrateur peut identifier à distance la cause de la récupération dans certains cas, l’utilisateur final peut avoir besoin de transférer l’ordinateur qui contient le lecteur restauré sur le site pour analyser davantage la cause racine.While an administrator can remotely investigate the cause of recovery in some cases, the end user might need to bring the computer that contains the recovered drive on site to analyze the root cause further.

Passez en revue et répondez aux questions suivantes pour votre organisation:Review and answer the following questions for your organization:

  1. Quel mode de protection BitLocker est en vigueur (module de plateforme sécurisée, module de plateforme sécurisée, code confidentiel + clé de démarrage, touche de démarrage uniquement)?What BitLocker protection mode is in effect (TPM, TPM + PIN, TPM + startup key, startup key only)? Quel profil PCR est utilisé sur le PC?Which PCR profile is in use on the PC?
  2. L’utilisateur a-t-il simplement oublié le code confidentiel ou perdu la clé de démarrage?Did the user merely forget the PIN or lose the startup key? Si un jeton a été perdu, où peut-être le jeton?If a token was lost, where might the token be?
  3. Si le mode TPM était en vigueur, la récupération d’un fichier de démarrage a-t-elle changé?If TPM mode was in effect, was recovery caused by a boot file change?
  4. Si une reprise a été provoquée par un changement de fichier de démarrage, est-ce que cela est dû à une action de l’utilisateur prévue (par exemple, à la mise à niveau du BIOS) ou à un logiciel malveillant?If recovery was caused by a boot file change, is this due to an intended user action (for example, BIOS upgrade), or to malicious software?
  5. Quand l’utilisateur a-t-il réussi à démarrer l’ordinateur pour la première fois, et qu’est-il arrivé à l’ordinateur depuis ce moment?When was the user last able to start the computer successfully, and what might have happened to the computer since then?
  6. Est-il possible que l’utilisateur ait rencontré un logiciel malveillant ou qu’il se trouve en mode sans assistance depuis le dernier démarrage réussi?Might the user have encountered malicious software or left the computer unattended since the last successful startup?

Pour vous aider à répondre à ces questions, utilisez l’outil de ligne de commande BitLocker pour afficher le mode de configuration et de protection actuel (par exemple, Manage-bde-État).To help you answer these questions, use the BitLocker command-line tool to view the current configuration and protection mode (for example, manage-bde -status). Parcourez le journal des événements pour rechercher des événements qui permettent d’indiquer la raison pour laquelle la récupération a été lancée (par exemple, si le fichier de démarrage a été modifié).Scan the event log to find events that help indicate why recovery was initiated (for example, if boot file change occurred). Ces deux fonctionnalités peuvent être effectuées à distance.Both of these capabilities can be performed remotely.

Résoudre la cause initialeResolve the root cause

Une fois que vous avez identifié la récupération, vous pouvez réinitialiser la protection BitLocker et éviter la récupération lors de chaque démarrage.After you have identified what caused recovery, you can reset BitLocker protection and avoid recovery on every startup.

Les détails de cette réinitialisation peuvent varier en fonction de la cause initiale de la restauration.The details of this reset can vary according to the root cause of the recovery. Si vous ne parvenez pas à déterminer la cause initiale ou si un logiciel ou un rootkit malveillant a pu avoir pu infecter votre ordinateur, le support technique doit appliquer les meilleures pratiques en matière de protection des virus pour réagir de manière appropriée.If you cannot determine the root cause, or if malicious software or a rootkit might have infected the computer, Helpdesk should apply best-practice virus policies to react appropriately.

Remarque: vous pouvez effectuer une réinitialisation du profil de validation BitLocker en interrompant et en reprise de BitLocker.Note: You can perform a BitLocker validation profile reset by suspending and resuming BitLocker.

Si un utilisateur a oublié le code confidentiel, vous devez réinitialiser le code confidentiel lorsque vous êtes connecté à l’ordinateur pour empêcher BitLocker d’initialiser la récupération chaque fois que l’ordinateur est redémarré.If a user has forgotten the PIN, you must reset the PIN while you are logged on to the computer in order to prevent BitLocker from initiating recovery each time the computer is restarted.

Pour éviter une reprise répétée à cause d’un code confidentiel inconnuTo prevent continued recovery due to an unknown PIN

  1. Déverrouillez l’ordinateur en utilisant le mot de passe de récupération.Unlock the computer using the recovery password.
  2. Réinitialisation du code confidentiel:Reset the PIN:
    1. Cliquez avec le bouton droit sur le lecteur, puis cliquez sur modifier le code confidentiel .Right-click the drive and then click Change PIN
    2. Dans la boîte de dialogue BitLocker Drive Encryption, cliquez sur Reset a oublié pin.In the BitLocker Drive Encryption dialog, click Reset a forgotten PIN. Si vous n’êtes pas connecté avec un compte d’administrateur, vous devez fournir des informations d’identification d’administrateur pour le moment.If you are not logged in with an administrator account you must provide administrative credentials at this time.
    3. Dans la boîte de dialogue réinitialisation du code confidentiel, entrez et confirmez le nouveau code confidentiel à utiliser, puis cliquez sur Terminer.In the PIN reset dialog, provide and confirm the new PIN to use and then click Finish.
  3. Vous allez utiliser le nouveau code secret lors du prochain déverrouillage du lecteur.You will use the new PIN the next time you unlock the drive.

Clé de démarrage perdueLost startup key

Si vous avez perdu le lecteur flash USB contenant la clé de démarrage, vous devez déverrouiller le lecteur à l’aide de la clé de récupération, puis créer une nouvelle clé de démarrage.If you have lost the USB flash drive that contains the startup key, then you must unlock the drive by using the recovery key and then create a new startup key.

Pour éviter une reprise répétée à cause d’une clé de démarrage perdueTo prevent continued recovery due to a lost startup key

  1. Connectez-vous en tant qu’administrateur à l’ordinateur qui dispose de la clé de démarrage perdue.Log on as an administrator to the computer that has the lost startup key.
  2. Ouvrez gérer BitLocker.Open Manage BitLocker.
  3. Cliquez sur clé d’ouverture dupliquée, insérez le lecteur USB sur lequel vous voulez écrire la clé, puis cliquez sur Enregistrer.Click Duplicate start up key, insert the clean USB drive on which you are going to write the key and then click Save.

Modifications apportées aux fichiers de démarrageChanges to boot files

Cette erreur peut se produire si vous avez mis à jour le microprogramme.This error might occur if you updated the firmware. Il est recommandé de suspendre BitLocker avant de modifier le microprogramme, puis de reprendre la protection une fois la mise à jour terminée.As a best practice you should suspend BitLocker before making changes the firmware and then resume protection after the update has completed. Le mode de récupération de l’ordinateur est alors interdit.This prevents the computer from going into recovery mode. Néanmoins, si des modifications ont été apportées lorsque la protection de BitLocker était activée, vous pouvez simplement vous connecter à l’ordinateur à l’aide du mot de passe de récupération et le profil de validation de la plateforme sera mis à jour de manière à ce que la récupération ne se produise pas la prochaineHowever if changes were made when BitLocker protection was on you can simply log on to the computer using the recovery password and the platform validation profile will be updated so that recovery will not occur the next time.

Chiffrement de périphériques Windows RE et BitLockerWindows RE and BitLocker Device Encryption

L’environnement de récupération Windows peut être utilisé pour récupérer l’accès à un lecteur protégé par le chiffrement de l’appareil BitLocker.Windows Recovery Environment (RE) can be used to recover access to a drive protected by BitLocker Device Encryption. Si un PC ne parvient pas à démarrer après deux échecs, la réparation du démarrage démarre automatiquement.If a PC is unable to boot after two failures, Startup Repair will automatically start. Lorsque la réparation du démarrage est lancée automatiquement en raison d’échecs de démarrage, il exécute uniquement les réparations du système d’exploitation et du pilote, à condition que les journaux de démarrage ou le point de vidage sur incident ne soient pas disponibles vers un fichier endommagé spécifique.When Startup Repair is launched automatically due to boot failures, it will only execute operating system and driver file repairs, provided that the boot logs or any available crash dump point to a specific corrupted file. Dans Windows 8,1 et les versions ultérieures, les appareils qui comprennent le microprogramme pour prendre en charge des mesures de TPM spécifiques pour la PCR \ [7 ] le TPM peuvent vérifier que Windows RE est un environnement d’exploitation approuvé et déverrouillera tout lecteur protégé par BitLocker si Windows RE n’a pas été modifié.In Windows 8.1 and later, devices that include firmware to support specific TPM measurements for PCR[7] the TPM can validate that Windows RE is a trusted operating environment and will unlock any BitLocker-protected drives if Windows RE has not been modified. Si l’environnement Windows RE a été modifié (par exemple, le TPM a été désactivé), les lecteurs resteront verrouillés jusqu’à ce que la clé de récupération BitLocker soit fournie.If the Windows RE environment has been modified, for example the TPM has been disabled, the drives will stay locked until the BitLocker recovery key is provided. Si la réparation de démarrage ne peut pas être exécutée automatiquement à partir du PC et que Windows RE est démarré manuellement à partir d’un disque de réparation, la clé de récupération BitLocker doit être fournie pour déverrouiller les lecteurs protégés par BitLocker.If Startup Repair is not able to be run automatically from the PC and instead Windows RE is manually started from a repair disk, the BitLocker recovery key must be provided to unlock the BitLocker–protected drives.

Utiliser des informations de récupération supplémentairesUsing additional recovery information

Outre le mot de passe de récupération BitLocker de 48-chiffres, d’autres types d’informations de récupération sont stockés dans Active Directory.Besides the 48-digit BitLocker recovery password, other types of recovery information are stored in Active Directory. Cette section décrit la manière dont vous pouvez utiliser ces informations supplémentaires.This section describes how this additional information can be used.

Package de clé BitLockerBitLocker key package

Si les méthodes de récupération mentionnées plus haut dans ce document ne déverrouille pas le volume, vous pouvez utiliser l’outil de réparation BitLocker pour déchiffrer le volume au niveau du bloc.If the recovery methods discussed earlier in this document do not unlock the volume, you can use the BitLocker Repair tool to decrypt the volume at the block level. L’outil utilise le package de clé BitLocker pour faciliter la récupération des données chiffrées provenant de lecteurs sérieusement endommagés.The tool uses the BitLocker key package to help recover encrypted data from severely damaged drives. Vous pouvez alors utiliser ces données récupérées pour récupérer les données chiffrées, même après le déverrouillage du volume endommagé par le mot de passe de récupération approprié.You can then use this recovered data to salvage encrypted data, even after the correct recovery password has failed to unlock the damaged volume. Nous vous recommandons d’enregistrer le mot de passe de récupération.We recommend that you still save the recovery password. Un package de clé ne peut pas être utilisé sans le mot de passe de récupération correspondant.A key package cannot be used without the corresponding recovery password.

Remarque: vous devez utiliser la réparation de l’outil de réparation BitLocker -BDE pour utiliser le package de clé BitLocker.Note: You must use the BitLocker Repair tool repair-bde to use the BitLocker key package.

Le package de clé BitLocker n’est pas enregistré par défaut.The BitLocker key package is not saved by default. Pour enregistrer le package avec le mot de passe de récupération dans AD DS, vous devez sélectionner l’option de récupération de mot de passe et de package de clé de récupération de sauvegarde dans les paramètres de stratégie de groupe qui contrôlent la méthode de récupération.To save the package along with the recovery password in AD DS you must select the Backup recovery password and key package option in the Group Policy settings that control the recovery method. Vous pouvez également exporter le paquet clé à partir d’un volume opérationnel.You can also export the key package from a working volume. Pour plus d’informations sur l’exportation des packages de clés, voir récupération du package de clé BitLocker.For more details on how to export key packages, see Retrieving the BitLocker Key Package.

Réinitialisation des mots de passe de récupérationResetting recovery passwords

Vous devez invalider un mot de passe de récupération une fois qu’il a été fourni et utilisé.You should invalidate a recovery password after it has been provided and used. Vous devez également effectuer cette opération lorsque vous souhaitez intentionnellement invalider un mot de passe de récupération pour une raison quelconque.It should also be done when you intentionally want to invalidate an existing recovery password for any reason.

Vous pouvez réinitialiser le mot de passe de récupération de deux manières:You can reset the recovery password in two ways:

  • Utiliser Manage-bde Vous pouvez utiliser Manage-bde pour supprimer l’ancien mot de passe de récupération et ajouter un nouveau mot de passe de récupération.Use manage-bde You can use manage-bde to remove the old recovery password and add a new recovery password. La procédure identifie la commande et la syntaxe de cette méthode.The procedure identifies the command and the syntax for this method.
  • Exécution d’un script Vous pouvez exécuter un script pour réinitialiser le mot de passe sans déchiffrer le volume.Run a script You can run a script to reset the password without decrypting the volume. L’exemple de script de la procédure illustre cette fonctionnalité.The sample script in the procedure illustrates this functionality. L’exemple de script crée un nouveau mot de passe de récupération et valide tous les autres mots de passe.The sample script creates a new recovery password and invalidates all other passwords.

Pour réinitialiser un mot de passe de récupération à l’aide de Manage-bdeTo reset a recovery password using manage-bde

  1. Supprimer le mot de passe de récupération précédentRemove the previous recovery password

    Manage-bde –protectors –delete C: –type RecoveryPassword
    
  2. Ajouter le nouveau mot de passe de récupérationAdd the new recovery password

    Manage-bde –protectors –add C: -RecoveryPassword
    
  3. Obtenez l’ID du nouveau mot de passe de récupération.Get the ID of the new recovery password. À partir de l’écran, copiez l’ID du mot de passe de récupération.From the screen copy the ID of the recovery password.

    Manage-bde –protectors –get C: -Type RecoveryPassword
    
  4. Sauvegarder le nouveau mot de passe de récupération dans AD DSBackup the new recovery password to AD DS

    Manage-bde –protectors –adbackup C: -id {EXAMPLE6-5507-4924-AA9E-AFB2EB003692}
    

    AVERTISSEMENT: vous devez inclure les accolades dans la chaîne d’ID.Warning: You must include the braces in the ID string.

Pour exécuter l’exemple de script de mot de passe de récupérationTo run the sample recovery password script

  1. Enregistrez l’exemple de script suivant dans un fichier VBScript.Save the following sample script in a VBScript file. Par exemple: ResetPassword. vbs.For example: ResetPassword.vbs.

  2. À l’invite de commandes, tapez une commande semblable à ce qui suit:At the command prompt, type a command similar to the following:

    cscript ResetPassword. vbscscript ResetPassword.vbs

Important: Cet exemple de script est configuré pour fonctionner uniquement pour le volume C.Important: This sample script is configured to work only for the C volume. Vous devez personnaliser le script pour qu’il corresponde au volume sur lequel vous souhaitez tester la réinitialisation du mot de passe.You must customize the script to match the volume where you want to test password reset.

Remarque: pour gérer un ordinateur distant, vous pouvez spécifier le nom de l’ordinateur distant plutôt que le nom de l’ordinateur local.Note: To manage a remote computer, you can specify the remote computer name rather than the local computer name.

Vous pouvez utiliser le script d’exemple suivant pour créer un fichier VBScript permettant de réinitialiser les mots de passe de récupération.You can use the following sample script to create a VBScript file to reset the recovery passwords.

' Target drive letter
strDriveLetter = "c:"
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"


On Error Resume Next 'handle permission errors
Set objWMIService = GetObject(strConnectionStr)
If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)
If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Add a new recovery password, keeping the ID around so it doesn't get deleted later
' ----------------------------------------------------------------------------------
nRC = objVolume.ProtectKeyWithNumericalPassword("Recovery Password Refreshed By Script", , sNewKeyProtectorID)
If nRC <> 0 Then
WScript.Echo "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Removes the other, "stale", recovery passwords
' ----------------------------------------------------------------------------------
nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector
nRC = objVolume.GetKeyProtectors(nKeyProtectorTypeIn, aKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Delete those key protectors other than the one we just added.
For Each sKeyProtectorID In aKeyProtectorIDs
If sKeyProtectorID <> sNewKeyProtectorID Then
nRC = objVolume.DeleteKeyProtector(sKeyProtectorID)
If nRC <> 0 Then
WScript.Echo "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" & Hex(nRC)
WScript.Quit -1
Else
' no output
'WScript.Echo "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted"
End If
End If
Next
WScript.Echo "A new recovery password has been added. Old passwords have been removed."
' - some advanced output (hidden)
'WScript.Echo ""
'WScript.Echo "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view existing passwords."

Récupération du package de clé BitLockerRetrieving the BitLocker key package

Vous pouvez utiliser deux méthodes pour récupérer le package de clés, comme décrit dans la rubrique utiliser des informations de récupération supplémentaires:You can use two methods to retrieve the key package, as described in Using Additional Recovery Information:

  • Exportation d’un package de clé enregistré précédemment depuis ADDS.Export a previously-saved key package from ADDS. Vous devez disposer d’un accès en lecture aux mots de passe de récupération BitLocker stockés dans ADDS.You must have Read access to BitLocker recovery passwords that are stored in ADDS.
  • Exportez un nouveau package de clé à partir d’un volume protégé par BitLocker déverrouillé.Export a new key package from an unlocked, BitLocker-protected volume. Vous devez disposer d’un accès administrateur local au volume opérationnel, avant qu’aucun dommage ne se produise.You must have local administrator access to the working volume, before any damage has occurred.

L’exemple de script suivant exporte tous les packages de clés précédemment enregistrés depuis ADDS.The following sample script exports all previously-saved key packages from ADDS.

Pour exécuter le script de récupération de package de l’exempleTo run the sample key package retrieval script

  1. Enregistrez l’exemple de script suivant dans un fichier VBScript.Save the following sample script in a VBScript file. Par exemple: GetBitLockerKeyPackageADDS. vbs.For example: GetBitLockerKeyPackageADDS.vbs.

  2. À l’invite de commandes, tapez une commande semblable à ce qui suit:At the command prompt, type a command similar to the following:

    cscript GetBitLockerKeyPackageADDS. vbs-?cscript GetBitLockerKeyPackageADDS.vbs -?

Vous pouvez utiliser le script d’exemple suivant pour créer un fichier VBScript permettant de récupérer le package de clé BitLocker depuis ADDS.You can use the following sample script to create a VBScript file to retrieve the BitLocker key package from ADDS.

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackageADDS [Path To Save Key Package] [Optional Computer Name]"
   Wscript.Echo "If no computer name is specified, the local computer is assumed."
   Wscript.Echo
   Wscript.Echo "Example: GetBitLockerKeyPackageADDS E:\bitlocker-ad-key-package mycomputer"
   WScript.Quit
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = WScript.Arguments
Select Case args.Count
  Case 1
    If args(0) = "/?" Or args(0) = "-?" Then
    ShowUsage
    Else
      strFilePath = args(0)
      ' Get the name of the local computer
      Set objNetwork = CreateObject("WScript.Network")
      strComputerName = objNetwork.ComputerName
    End If

  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else
      strFilePath = args(0)
      strComputerName = args(1)
    End If
  Case Else
    ShowUsage
End Select
' --------------------------------------------------------------------------------
' Get path to Active Directory computer object associated with the computer name
' --------------------------------------------------------------------------------
Function GetStrPathToComputer(strComputerName)
    ' Uses the global catalog to find the computer in the forest
    ' Search also includes deleted computers in the tombstone
    Set objRootLDAP = GetObject("LDAP://rootDSE")
    namingContext = objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com
    strBase = "<GC://" & namingContext & ">"

    Set objConnection = CreateObject("ADODB.Connection")
    Set objCommand = CreateObject("ADODB.Command")
    objConnection.Provider = "ADsDSOOBject"
    objConnection.Open "Active Directory Provider"
    Set objCommand.ActiveConnection = objConnection
    strFilter = "(&(objectCategory=Computer)(cn=" &  strComputerName & "))"
    strQuery = strBase & ";" & strFilter  & ";distinguishedName;subtree"
    objCommand.CommandText = strQuery
    objCommand.Properties("Page Size") = 100
    objCommand.Properties("Timeout") = 100
    objCommand.Properties("Cache Results") = False
    ' Enumerate all objects found.
    Set objRecordSet = objCommand.Execute
    If objRecordSet.EOF Then
      WScript.echo "The computer name '" &  strComputerName & "' cannot be found."
      WScript.Quit 1
    End If
    ' Found object matching name
    Do Until objRecordSet.EOF
      dnFound = objRecordSet.Fields("distinguishedName")
      GetStrPathToComputer = "LDAP://" & dnFound
      objRecordSet.MoveNext
    Loop
    ' Clean up.
    Set objConnection = Nothing
    Set objCommand = Nothing
    Set objRecordSet = Nothing
End Function
' --------------------------------------------------------------------------------
' Securely access the Active Directory computer object using Kerberos
' --------------------------------------------------------------------------------
Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer(strComputerName)
WScript.Echo "Accessing object: " + strPathToComputer
Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80
' --------------------------------------------------------------------------------
' Get all BitLocker recovery information from the Active Directory computer object
' --------------------------------------------------------------------------------
' Get all the recovery information child objects of the computer object
Set objFveInfos = objDSO.OpenDSObject(strPathToComputer, vbNullString, vbNullString, _
                                   ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)
objFveInfos.Filter = Array("msFVE-RecoveryInformation")
' Iterate through each recovery information object and saves any existing key packages
nCount = 1
strFilePathCurrent = strFilePath & nCount
For Each objFveInfo in objFveInfos
   strName = objFveInfo.Get("name")
   strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword")
   strKeyPackage = objFveInfo.Get("msFVE-KeyPackage")
   WScript.echo
   WScript.echo "Recovery Object Name: " + strName
   WScript.echo "Recovery Password: " + strRecoveryPassword
   ' Validate file path
   Set fso = CreateObject("Scripting.FileSystemObject")
   If (fso.FileExists(strFilePathCurrent)) Then
 WScript.Echo "The file " & strFilePathCurrent & " already exists. Please use a different path."
WScript.Quit -1
   End If
   ' Save binary data to the file
   SaveBinaryDataText strFilePathCurrent, strKeyPackage

   WScript.echo "Related key package successfully saved to " + strFilePathCurrent
   ' Update next file path using base name
   nCount = nCount + 1
   strFilePathCurrent = strFilePath & nCount
Next
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")

  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)

  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function
WScript.Quit

L’exemple de script suivant exporte un nouveau package de clé à partir d’un volume chiffré et déverrouillé.The following sample script exports a new key package from an unlocked, encrypted volume.

Pour exécuter le script de récupération de package de l’exempleTo run the sample key package retrieval script

  1. Enregistrez l’exemple de script suivant dans un fichier VBScript.Save the following sample script in a VBScript file. Par exemple: GetBitLockerKeyPackage. vbsFor example: GetBitLockerKeyPackage.vbs

  2. Ouvrez une invite de commandes administrateur, tapez une commande semblable à ce qui suit:Open an administrator command prompt, type a command similar to the following:

    cscript GetBitLockerKeyPackage. vbs-?cscript GetBitLockerKeyPackage.vbs -?

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Save Key Package]"
   Wscript.Echo
   Wscript.Echo "Example: GetBitLockerKeyPackage C: E:\bitlocker-backup-key-package"
   WScript.Quit
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = WScript.Arguments
Select Case args.Count
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else
      strDriveLetter = args(0)
      strFilePath = args(1)
    End If
  Case Else
    ShowUsage
End Select
' --------------------------------------------------------------------------------
' Other Inputs
' --------------------------------------------------------------------------------
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' Default key protector ID to use. Specify "" to let the script choose.
strDefaultKeyProtectorID = ""
' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}"  ' sample
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"


On Error Resume Next 'handle permission errors
Set objWMIService = GetObject(strConnectionStr)
If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)
If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Collect all possible valid key protector ID's that can be used to get the package
' ----------------------------------------------------------------------------------
nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector
nRC = objVolume.GetKeyProtectors(nNumericalKeyProtectorType, aNumericalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
nExternalKeyProtectorType = 2 ' type associated with "External Key" protector
nRC = objVolume.GetKeyProtectors(nExternalKeyProtectorType, aExternalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Get first key protector of the type "Numerical Password" or "External Key", if any
' ----------------------------------------------------------------------------------
if strDefaultKeyProtectorID = "" Then
' Save first numerical password, if exists
If UBound(aNumericalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0)
End If
' No numerical passwords exist, save the first external key
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0)
End If
' Fail case: no recovery key protectors exist.
If strDefaultKeyProtectorID = "" Then
WScript.Echo "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys exist. Check that BitLocker protection is on for this drive."
WScript.Echo "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""."
WScript.Quit -1
End If
End If
' Get some information about the chosen key protector ID
' ----------------------------------------------------------------------------------
' is the type valid?
nRC = objVolume.GetKeyProtectorType(strDefaultKeyProtectorID, nDefaultKeyProtectorType)
If Hex(nRC) = "80070057" Then
WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " is not valid."
WScript.Echo "This ID value may have been provided by the script writer."
ElseIf nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' what's a string that can be used to describe it?
strDefaultKeyProtectorType = ""
Select Case nDefaultKeyProtectorType
  Case nNumericalKeyProtectorType
      strDefaultKeyProtectorType = "recovery password"
  Case nExternalKeyProtectorType
      strDefaultKeyProtectorType = "recovery key"
  Case Else
      WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery password or recovery key."
      WScript.Echo "This ID value may have been provided by the script writer."
End Select
' Save the backup key package using the chosen key protector ID
' ----------------------------------------------------------------------------------
nRC = objVolume.GetKeyPackage(strDefaultKeyProtectorID, oKeyPackage)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Validate file path
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FileExists(strFilePath)) Then
WScript.Echo "The file " & strFilePath & " already exists. Please use a different path."
WScript.Quit -1
End If
Dim oKeyPackageByte, bKeyPackage
For Each oKeyPackageByte in oKeyPackage
  'WScript.echo "key package byte: " & oKeyPackageByte
  bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte)
Next
' Save binary data to the file
SaveBinaryDataText strFilePath, bKeyPackage
' Display helpful information
' ----------------------------------------------------------------------------------
WScript.Echo "The backup key package has been saved to " & strFilePath & "."
WScript.Echo "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be saved."
' Display the recovery password or a note about saving the recovery key file
If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then
nRC = objVolume.GetKeyProtectorNumericalPassword(strDefaultKeyProtectorID, sNumericalPassword)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
WScript.Echo "Save this recovery password: " & sNumericalPassword
ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then
WScript.Echo "The saved key file is named " & strDefaultKeyProtectorID & ".BEK"
WScript.Echo "For help re-saving this external key file, type ""manage-bde -protectors -get -?"""
End If
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")

  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)

  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

Articles associésSee also