Guide de récupération BitLocker

S’applique à:

  • Windows10
  • Windows 11
  • Windows Server 2016 et versions ultérieures

Cette article, destinée aux professionnels de l’informatique, décrit la récupération de clés BitLocker à partir des services de domaine Active Directory (AD DS).

Les organisations peuvent utiliser les informations de récupération BitLocker enregistrées dans services de domaine Active Directory (AD DS) pour accéder aux données protégées par BitLocker. La création d’un modèle de récupération pour BitLocker pendant la planification de votre déploiement BitLocker est recommandée.

Cet article part du principe que vous comprenez comment configurer AD DS pour sauvegarder automatiquement les informations de récupération BitLocker, et quels types d'informations de récupération sont enregistrés dans AD DS.

Cet article ne détaille pas comment configurer AD DS pour stocker les informations de récupération BitLocker.

Qu’est-ce que la récupération BitLocker?

La récupération BitLocker est le processus par lequel vous pouvez restaurer l’accès à un lecteur protégé par BitLocker dans le cas où vous ne pouvez pas déverrouiller le lecteur normalement. Dans un scénario de récupération, vous avez les options suivantes pour restaurer l’accès au lecteur:

  • L’utilisateur peut fournir le mot de passe de récupération. Si votre organisation autorise les utilisateurs à imprimer ou stocker les mots de passe de récupération, l’utilisateur peut taper le mot de passe de récupération à 48chiffres qu’il a imprimé ou stocké sur un lecteur USB ou avec votre compte Microsoft en ligne. (L’enregistrement d’un mot de passe de récupération avec votre compte Microsoft en ligne est autorisé uniquement lorsque BitLocker est utilisé sur un PC qui n’est pas membre d’un domaine).
  • Un agent de récupération de données peut utiliser ses informations d’identification pour déverrouiller le lecteur. Si le lecteur est un lecteur de système d’exploitation, il doit être monté en tant que lecteur de données sur un autre ordinateur pour que l’agent de récupération des données le déverrouille.
  • Un administrateur de domaine peut obtenir le mot de passe de récupération auprès d’AD DS et l’utiliser pour déverrouiller le lecteur. Le stockage des mots de passe de récupération dans AD DS est recommandé pour fournir aux professionnels de l’informatique un moyen d’obtenir des mots de passe de récupération pour les lecteurs de leur organisation si nécessaire. Cette méthode nécessite que vous ayez activé cette méthode de récupération dans le paramètre de stratégie de groupe BitLocker Choisissez la façon dont les lecteurs du système d’exploitation protégés par BitLocker peuvent être récupérés à l’emplacement Configuration ordinateur\Modèles d'administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d’exploitation dans le Éditeur d'objets de stratégie de groupe. Pour plus d'informations, voir Paramètres de stratégie de groupe BitLocker.

Quelles sont les causes de la récupération BitLocker?

La liste suivante fournit des exemples d’événements spécifiques qui entraînent l’entrée de BitLocker en mode de récupération lors de la tentative de démarrage du lecteur du système d’exploitation:

  • Sur les PC qui utilisent le chiffrement de lecteur BitLocker, ou sur des appareils tels que des tablettes ou des téléphones qui utilisent le chiffrement de périphérique BitLocker uniquement, lorsqu’une attaque est détectée, l’appareil redémarre immédiatement et passe en mode de récupération BitLocker. Pour tirer parti de cette fonctionnalité, les administrateurs peuvent définir le paramètre de stratégie de groupeOuverture de session interactive : seuil de verrouillage de compte d’ordinateur situé dans \Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité dans le Éditeur d'objets de stratégie de groupe. Ils peuvent également utiliser la stratégie MaxFailedPasswordAttempts de Exchange ActiveSync (également configurable via Microsoft Intune) pour limiter le nombre de tentatives de mot de passe en échec avant que l’appareil ne passe au verrouillage de l’appareil.

  • Sur les appareils avec le TPM 1.2, la modification de l’ordre des périphériques de démarrage du BIOS ou du microprogramme entraîne la récupération de BitLocker. Toutefois, les appareils avec le TPM 2.0 ne démarrent pas la récupération BitLocker dans ce cas. Le TPM 2.0 ne considère pas un changement de microprogramme de l’ordre des périphériques de démarrage comme une menace de sécurité, car le chargeur de démarrage du système d’exploitation n’est pas compromis.

  • Placer le lecteur de CD ou de DVD avant le disque dur dans l'ordre de démarrage du BIOS, puis insérer ou retirer un CD ou un DVD.

  • Échec du démarrage à partir d’un lecteur réseau avant le démarrage à partir du disque dur.

  • Ancrer ou détacher un ordinateur portable. Dans certains cas (en fonction du fabricant de l’ordinateur et du BIOS), la condition d’accueil de l’ordinateur portable fait partie de la mesure système et doit être cohérente pour valider l’état du système et déverrouiller BitLocker. Ainsi, si un ordinateur portable est connecté à sa station d’accueil lorsque BitLocker est allumé, il peut également avoir besoin d’être connecté à la station d’accueil lorsqu’il est déverrouillé. À l’inverse, si un ordinateur portable n’est pas connecté à sa station d’accueil lorsque BitLocker est activé, il peut être nécessaire de le déconnecter de la station d’accueil lorsqu’il est déverrouillé.

  • Modifications apportées à la table de partition NTFS sur le disque, notamment la création, la suppression ou le redimensionnement d’une partition principale.

  • La saisie du code confidentiel (PIN) est trop souvent incorrecte pour que la logique anti-marteau du TPM soit activée. La logique anti-martèlement est une méthode logicielle ou matérielle qui augmente la difficulté et le coût d’une attaque par force brute sur un code confidentiel en n’acceptant les entrées de code confidentiel qu’après un certain laps de temps.

  • La non-prise en charge de la lecture de l’appareil USB dans l’environnement préalable au démarrage à partir du microprogramme BIOS ou UEFI si vous utilisez des clés USB au lieu d’un TPM.

  • Extinction, désactivation ou effacement du module de plateforme sécurisée (TPM).

  • Mise à niveau des composants de démarrage précoce critiques, tels qu’une mise à niveau du microprogramme BIOS ou UEFI, entraînant la modification des mesures de démarrage associées.

  • Oubli du code confidentiel lorsque l’authentification par code confidentiel a été activée.

  • Mise à jour du microprogramme de l’option ROM.

  • Mise à niveau du microprogramme du module de plateforme sécurisée (TPM).

  • Ajout ou suppression de matériel ; par exemple, l’insertion d’une nouvelle carte sur l’ordinateur, notamment certaines cartes sans fil PCMIA.

  • le retrait, l’insertion ou la décharge totale de la batterie intelligente d’un ordinateur portable;

  • Modifications apportées à l’enregistrement de démarrage principal sur le disque.

  • Modifications apportées au gestionnaire de démarrage sur le disque.

  • Masquons le TPM du système d’exploitation. Certains paramètres BIOS ou UEFI peuvent être utilisés pour empêcher l’éumération du TPM sur le système d’exploitation. Lorsqu’elle est implémentée, cette option peut faire en sorte que le TPM soit masqué dans le système d’exploitation. Lorsque le module de plateforme sécurisée (TPM) est masqué, le démarrage sécurisé du BIOS et UEFI est désactivé et le module de plateforme sécurisée ne répond aux commandes provenant d’aucun logiciel.

  • Utilisation d’un autre clavier qui n’entre pas correctement le code confidentiel ou dont la carte du clavier ne correspond pas à la carte du clavier supposée par l’environnement de pré-démarrage. Ce problème peut empêcher l’entrée de codes confidentiels améliorés.

  • Modification des registres de configuration de plateforme (PCR) utilisés par le profil de validation du module TPM. Par exemple, l’inclusion de PCR[1] entraînerait la mesure par BitLocker de la plupart des modifications apportées aux paramètres du BIOS, ce qui entraînerait l’entrée de BitLocker en mode de récupération même en cas de modification des paramètres critiques du BIOS sans démarrage.

    Notes

    Certains ordinateurs ont des paramètres BIOS qui ignorent les mesures dans certains PCR (registre de configuration de plateforme), tels que PCR[2]. La modification de ce paramètre dans le BIOS entraînerait l’entrée de BitLocker en mode de récupération, car la mesure PCR sera différente.

  • Déplacement du lecteur protégé par BitLocker vers un nouvel ordinateur

  • Mise à niveau de la carte mère vers une nouvelle carte mère avec un nouveau TPM.

  • Perte du disque mémoire USB contenant la clé de démarrage lorsque l’authentification de la clé de démarrage a été activée.

  • Échec du test autonome du TPM.

  • Disposer d’un microprogramme BIOS, UEFI ou d’un composant d’option ROM qui n’est pas conforme aux normes de groupe informatique approuvé pertinentes pour un ordinateur client. Par exemple, une implémentation non conforme peut enregistrer des données volatiles (telles que l’heure) dans les mesures du TPM, ce qui entraîne des mesures différentes à chaque démarrage et le démarrage de BitLocker en mode de récupération.

  • Modification de l’autorisation d’utilisation pour la clé racine de stockage du TPM sur une valeur non nulle.

    Notes

    Le processus d’initialisation du TPM BitLocker définit la valeur d’autorisation d’utilisation sur zéro, de sorte qu’un autre utilisateur ou processus doit explicitement avoir modifié cette valeur.

  • Désactivation de la vérification de l’intégrité du code ou activation de la signature de test Windows Boot Manager (Bootmgr).

  • Appuyer sur la touche F8 ou F10 pendant le processus de démarrage.

  • Ajout ou suppression de cartes de complément (telles que des cartes vidéo ou réseau) ou mise à niveau du microprogramme sur les cartes de complément.

  • Utilisation d’une clé réactive BIOS pendant le processus de démarrage pour remplacer l’ordre de démarrage par autre chose que le disque dur.

Notes

Avant de commencer la récupération, nous vous recommandons de déterminer ce qui a provoqué la récupération. Cela peut aider à éviter que le problème ne se produise à nouveau à l’avenir. Par exemple, si vous déterminez qu’une personne malveillante a modifié votre ordinateur en obtenant un accès physique, vous pouvez créer de nouvelles stratégies de sécurité pour le suivi des personnes présentes physiquement. Une fois que le mot de passe de récupération a été utilisé pour récupérer l’accès au PC, BitLocker ressaisie la clé de chiffrement sur les valeurs actuelles des composants mesurés.

Pour les scénarios planifiés, tels que les mises à niveau matérielles ou micrologicielles connues, vous pouvez éviter de lancer la récupération en suspendant temporairement la protection BitLocker. Étant donné que la suspension de BitLocker laisse le lecteur entièrement chiffré, l’administrateur peut rapidement reprendre la protection BitLocker une fois la tâche planifiée terminée. L'utilisation de la suspension et de la reprise permet également de réinitialiser la clé de chiffrement sans nécessiter la saisie de la clé de récupération.

Notes

Si BitLocker est suspendu, la protection reprend automatiquement lorsque le PC est redémarrage, sauf si un nombre de redémarrages est spécifié à l’aide de l’outil de ligne de commande manage-bde.

Si la maintenance logicielle nécessite le redémarrage de l’ordinateur et que vous utilisez l’authentification à deux facteurs, vous pouvez activer le déverrouillage réseau BitLocker pour fournir le facteur d’authentification secondaire lorsque les ordinateurs n’ont pas d’utilisateur local pour fournir la méthode d’authentification supplémentaire.

La récupération a été décrite dans le contexte d’un comportement non planifié ou non voulu, mais vous pouvez également provoquer la récupération en tant que scénario de production prévu, afin de gérer le contrôle d’accès. Par exemple, lorsque vous redéployez des ordinateurs de bureau ou portables vers d'autres services ou employés de votre entreprise, vous pouvez forcer BitLocker à la récupération avant que l’ordinateur ne soit attribué à un nouvel utilisateur.

Test de la récupération

Avant de créer un processus de récupération BitLocker approfondi, nous vous recommandons de tester le fonctionnement du processus de récupération pour les utilisateurs finaux (personnes qui appellent votre helpdesk pour le mot de passe de récupération) et les administrateurs (personnes qui aident l’utilisateur final à obtenir le mot de passe de récupération). La commande -forcerecovery de manage-bde est un moyen simple pour vous aider à passer au travers du processus de récupération avant que vos utilisateurs ne rencontrent une situation de récupération.

Pour forcer une récupération pour l’ordinateur local:

  1. Sélectionnez le bouton Démarrer, tapez cmd dans la zone Démarrer la recherche, cliquez avec le bouton droit sur cmd.exe, puis sélectionnez Exécuter en tant qu’administrateur.
  2. À l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrer : manage-bde -forcerecovery <BitLockerVolume>

Pour forcer la récupération pour un ordinateur distant:

  1. Sur l’écran d’accueil, tapez cmd.exe, puis sélectionnez Exécuter en tant qu’administrateur.

  2. À l’invite de commandes, tapez la commande suivante, puis appuyez sur ENTRER: manage-bde -ComputerName <RemoteComputerName> -forcerecovery <BitLockerVolume>

    Notes

    La récupération déclenchée par la persistance -forcerecovery de plusieurs redémarrages jusqu’à l’ajout d’un protecteur de TPM ou la suspension de la protection par l’utilisateur. Lorsque vous utilisez des appareils de veille moderne (tels que les appareils Surface), -forcerecovery l’option n’est pas recommandée, car BitLocker devra être déverrouillé et désactivé manuellement à partir de l’environnement WinRE pour que le système d’exploitation puisse démarrer à nouveau. Pour plus d’informations, consultez Résolution des problèmes de BitLocker : boucle de redémarrage continu avec récupération BitLocker sur un appareil d’tablette.

Planification de votre processus de récupération

Lors de la planification du processus de récupération BitLocker, consultez d’abord les meilleures pratiques actuelles de votre organisation en matière de récupération d’informations sensibles. Par exemple: comment votre entreprise gère-t-elle les mots de passe Windows perdus? Comment votre organisation effectue-t-elle des réinitialisations de code confidentiel de carte à puce? Vous pouvez utiliser ces meilleures pratiques et les ressources associées (personnes et outils) pour formuler un modèle de récupération BitLocker.

Les organisations qui s’appuient sur Chiffrement de lecteur BitLocker et BitLocker To Go pour protéger les données sur un grand nombre d’ordinateurs et de lecteurs amovibles exécutant les systèmes d’exploitation Windows11, Windows10, Windows8 ou Windows7 et Windows to Go doivent envisager d’utiliser l’outil Microsoft BitLocker Administration and Monitoring (MBAM) version 2.0, qui est inclus dans Microsoft Desktop Optimization Pack (MDOP) pour Microsoft Software Assurance. MBAM facilite le déploiement et la gestion des implémentations BitLocker et permet aux administrateurs de mettre en service et de surveiller le chiffrement pour le système d’exploitation et les lecteurs fixes. MBAM invite l’utilisateur avant de chiffrer les lecteurs fixes. MBAM gère également les clés de récupération pour les lecteurs fixes et amovibles, ce qui facilite la gestion de la récupération. MBAM peut être utilisé dans le cadre d'un déploiement de Microsoft System Center ou en tant que solution autonome. Pour plus d’informations, consultez Administration et surveillance de Microsoft BitLocker.

Une fois qu’une récupération BitLocker a été lancée, les utilisateurs peuvent utiliser un mot de passe de récupération pour déverrouiller l’accès aux données chiffrées. Envisagez à la fois les méthodes de récupération de mot de passe de récupération autonome et de récupération pour votre organisation.

Lorsque vous déterminez votre processus de récupération, vous devez:

Auto-récupération

Dans certains cas, les utilisateurs peuvent avoir le mot de passe de récupération dans une impression ou une clé USB et peuvent effectuer une récupération autonome. Nous recommandons à votre organisation de créer une stratégie pour la récupération autonome. Si la récupération autonome inclut l’utilisation d’un mot de passe ou d’une clé de récupération stockée sur un disque mémoire USB, les utilisateurs doivent être avertis de ne pas stocker le disque mémoire USB au même endroit que le PC, en particulier pendant le déplacement, par exemple si le PC et les éléments de récupération se trouve dans le même sac, il est facile pour un utilisateur non autorisé d’accéder au PC. Une autre stratégie à envisager est de demander aux utilisateurs de contacter le service d'assistance avant ou après avoir effectué l'auto-récupération afin d'identifier la cause première.

Récupération de mot de passe de récupération

Si l'utilisateur ne dispose pas d'un mot de passe de récupération dans une impression ou sur une clé USB, il devra être en mesure de récupérer le mot de passe de récupération à partir d'une source en ligne. Si le PC est membre d’un domaine, le mot de passe de récupération peut être sauvegardé dans AD DS. Toutefois, cela ne se produit pas par défaut. Vous devez avoir configuré les paramètres de stratégie de groupe appropriés avant que BitLocker soit activé sur le PC. Les paramètres de stratégie de groupe BitLocker se trouvent dans l’Éditeur stratégie de groupe local ou la console de gestion stratégie de groupe (GPMC) sous Configuration ordinateur\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker. Les paramètres de stratégie suivants définissent les méthodes de récupération qui peuvent être utilisées pour restaurer l’accès à un lecteur protégé par BitLocker en cas d’échec ou d’impossibilité d’utilisation d’une méthode d’authentification.

  • Choisir la façon dont les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés
  • Choisir la façon dont les lecteurs fixes protégés par BitLocker peuvent être récupérés
  • Choisir la façon dont les lecteurs amovibles protégés par BitLocker peuvent être récupérés

Dans chacune de ces stratégies, sélectionnez Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory, puis choisissez les informations de récupération BitLocker à stocker dans services de domaine Active Directory (AD DS). Activez la case à cocher Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS si vous souhaitez empêcher les utilisateurs d’activer BitLocker, sauf si l’ordinateur est connecté au domaine et que la sauvegarde des informations de récupération BitLocker pour le lecteur vers AD DS a réussi.

Notes

Si les PC font partie d’un groupe de travail, les utilisateurs doivent être invités à enregistrer leur mot de passe de récupération BitLocker avec leur compte Microsoft en ligne. Il est recommandé d’avoir une copie en ligne de votre mot de passe de récupération BitLocker pour vous assurer que vous ne perdez pas l’accès à vos données si la récupération est requise.

La visionneuse de mots de passe de récupération BitLocker pour Utilisateurs et ordinateurs Active Directory permet aux administrateurs de domaine d’afficher les mots de passe de récupération BitLocker pour des objets ordinateur spécifiques dans Active Directory.

Vous pouvez utiliser la liste suivante comme modèle pour créer votre propre processus de récupération pour la récupération de mot de passe de récupération. Cet exemple de processus utilise la visionneuse de mots de passe de récupération BitLocker pour l’outil Utilisateurs et ordinateurs Active Directory.

Enregistrer le nom de l’ordinateur de l’utilisateur

Vous pouvez utiliser le nom de l’ordinateur de l’utilisateur pour localiser le mot de passe de récupération dans AD DS. Si l’utilisateur ne connaît pas le nom de l’ordinateur, demandez à l’utilisateur de lire le premier mot de l’étiquette de lecteur dans l’interface utilisateur entrée du mot de passe de chiffrement de lecteur BitLocker. Il s’agit du nom de l’ordinateur lorsque BitLocker a été activé et est probablement le nom actuel de l’ordinateur.

Vérifier l’identité de l’utilisateur

Vérifiez que la personne qui demande le mot de passe de récupération est véritablement l’utilisateur autorisé de cet ordinateur. Vous pouvez également vérifier que l'ordinateur portant le nom fourni par l'utilisateur appartient à ce dernier.

Localiser le mot de passe de récupération dans AD DS

Recherchez le compte d'ordinateur avec le nom correspondant dans AD DS. Étant donné que les noms d’objets ordinateur sont répertoriés dans le catalogue global AD DS, vous devriez être en mesure de localiser l’objet même si vous avez une forêt à plusieurs domaines.

Mots de passe de récupération multiples

Si plusieurs mots de passe de récupération sont stockés sous un objet ordinateur dans AD DS, le nom de l’objet d’informations de récupération BitLocker inclut la date de création du mot de passe.

Si, à un moment donné, vous ne savez pas quel mot de passe fournir, ou si vous pensez que vous fournissez peut-être un mot de passe incorrect, demandez à l’utilisateur de lire l’ID de mot de passe à huit caractères qui s’affiche dans la console de récupération.

Étant donné que l’ID de mot de passe est une valeur unique associée à chaque mot de passe de récupération stocké dans AD DS, l’exécution d’une requête à l’aide de cet ID trouve le mot de passe correct pour déverrouiller le volume chiffré.

Collecter des informations pour déterminer pourquoi la récupération s’est produite

Avant de donner à l’utilisateur le mot de passe de récupération, vous devez collecter toutes les informations qui vous aideront à déterminer la raison pour laquelle la récupération a été nécessaire, afin d’analyser la cause première pendant l’analyse post-récupération. Pour plus d’informations sur l’analyse post-récupération, consultezAnalyse post-récupération.

Fournir à l’utilisateur le mot de passe de récupération

Étant donné que le mot de passe de récupération comporte 48chiffres, l'utilisateur peut avoir besoin d'enregistrer le mot de passe en le notant ou en le tapant sur un autre ordinateur. Si vous utilisez MBAM, le mot de passe de récupération est régénéré après sa récupération à partir de la base de données MBAM afin d’éviter les risques de sécurité associés à un mot de passe non contrôlé.

Notes

Étant donné que le mot de passe de récupération à 48 chiffres est long et contient une combinaison de chiffres, l'utilisateur peut mal entendre ou mal saisir le mot de passe. La console de récupération au démarrage utilise des numéros de base de contrôle intégrés pour détecter les erreurs d’entrée dans chaque bloc à 6chiffres du mot de passe de récupération à 48chiffres et offre à l’utilisateur la possibilité de corriger ces erreurs.

Analyse post-récupération

Lorsqu’un volume est déverrouillé à l’aide d’un mot de passe de récupération, un événement est écrit dans le journal des événements et les mesures de validation de plateforme sont réinitialisées dans le TPM pour correspondre à la configuration actuelle. Le déverrouillage du volume signifie que la clé de chiffrement a été libérée et qu'elle est prête pour le chiffrement à la volée lorsque des données sont écrites sur le volume, et pour le déchiffrement à la volée lorsque des données sont lues sur le volume. Une fois le volume déverrouillé, BitLocker se comporte de la même manière, quelle que soit la façon dont l’accès a été accordé.

Si vous remarquez qu’un ordinateur a des déverrouillages répétés de mot de passe de récupération, vous pouvez faire en sorte qu’un administrateur effectue une analyse post-récupération pour déterminer la cause première de la récupération et actualiser la validation de la plateforme BitLocker afin que l’utilisateur n’a plus besoin d’entrer un mot de passe de récupération à chaque démarrage de l’ordinateur. Voir:

Déterminer la cause première de la récupération

Si un utilisateur a besoin de récupérer le lecteur, il est important de déterminer la cause première à l’origine de la récupération dès que possible. L’analyse correcte de l’état de l’ordinateur et la détection de la falsification peuvent révéler des menaces qui ont des implications plus larges pour la sécurité de l’entreprise.

Bien qu’un administrateur puisse examiner à distance la cause de la récupération dans certains cas, l’utilisateur final peut avoir besoin d’amener l’ordinateur qui contient le lecteur récupéré sur le site pour analyser davantage la cause première.

Examinez et répondez aux questions suivantes pour votre organisation:

  1. Quel mode de protection BitLocker est en vigueur (TPM, TPM + code confidentiel, TPM + clé de démarrage, clé de démarrage uniquement)? Quel profil PCR est utilisé sur le PC?
  2. L’utilisateur a-t-il simplement oublié le code confidentiel ou perdu la clé de démarrage? Si un jeton a été perdu, où peut-il être?
  3. Si le mode module de plateforme sécurisée (TPM) était en vigueur, la récupération a-t-elle été causée par un changement de fichier de démarrage?
  4. Si la récupération a été causée par un changement de fichier de démarrage, la modification a-t-elle été une action de l’utilisateur prévue (par exemple, la mise à niveau du BIOS) ou a-t-elle été causée par un logiciel malveillant?
  5. Quand l’utilisateur a-t-il pu démarrer l’ordinateur pour la dernière fois et qu’est-il arrivé à l’ordinateur depuis?
  6. L’utilisateur peut-il avoir rencontré des logiciels malveillants ou laissé l’ordinateur sans surveillance depuis le dernier démarrage réussi?

Pour vous aider à répondre à ces questions, utilisez l’outil en ligne de commande BitLocker pour afficher le mode de configuration et de protection actuel (par exemple, manage-bde -status). Analysez le journal des événements pour rechercher les événements qui vous aident à indiquer pourquoi la récupération a été lancée (par exemple, si le fichier de démarrage a changé). Ces deux fonctionnalités peuvent être effectuées à distance.

Résoudre la cause première

Une fois que vous avez identifié la cause de la récupération, vous pouvez réinitialiser la protection BitLocker et éviter la récupération à chaque démarrage.

Les détails de cette réinitialisation peuvent varier en fonction de la cause première de la récupération. Si vous ne pouvez pas déterminer la cause première, ou si un logiciel malveillant ou un rootkit a peut-être infecté l’ordinateur, Helpdesk doit appliquer des stratégies de virus de meilleure pratique pour réagir de manière appropriée.

Notes

Vous pouvez effectuer une réinitialisation du profil de validation BitLocker en suspendant et en reprenant BitLocker.

Code confidentiel inconnu

Si un utilisateur a oublié le code confidentiel, vous devez réinitialiser le code confidentiel lorsque vous êtes connecté à l’ordinateur afin d’empêcher BitLocker de lancer la récupération chaque fois que l’ordinateur est redémarré.

Pour empêcher une récupération continue en raison d’un code confidentiel inconnu

  1. Déverrouillez l’ordinateur à l’aide du mot de passe de récupération.
  2. Réinitialisez le code confidentiel:
    1. Cliquez avec le bouton droit sur le lecteur, puis sélectionnez Modifier le code confidentiel.
    2. Dans la boîte de dialogue Chiffrement de lecteur BitLocker, sélectionnez Réinitialiser un code confidentiel oublié. Si vous n’êtes pas connecté avec un compte d’administrateur, fournissez des informations d’identification administratives pour le moment.
    3. Dans la boîte de dialogue de réinitialisation du code confidentiel, fournissez et confirmez le nouveau code confidentiel à utiliser, puis sélectionnez Terminer.
  3. Vous utiliserez le nouveau code confidentiel la prochaine fois que vous déverrouillez le lecteur.

Clé de démarrage perdue

Si vous avez perdu le disque mémoire USB qui contient la clé de démarrage, vous devez déverrouiller le lecteur à l’aide de la clé de récupération, puis créer une nouvelle clé de démarrage.

Pour empêcher une récupération continue en raison d’une clé de démarrage perdue

  1. Connectez-vous en tant qu’administrateur à l’ordinateur qui a perdu la clé de démarrage.
  2. Ouvrez Gérer BitLocker.
  3. Sélectionnez Dupliquer la clé de démarrage, insérez le lecteur USB sur lequel vous allez écrire la clé, puis sélectionnez Enregistrer.

Modifications apportées aux fichiers de démarrage

Cette erreur peut se produire si vous avez mis à jour le microprogramme. Il est préférable de suspendre BitLocker avant d’apporter des modifications au microprogramme, puis de reprendre la protection une fois la mise à jour terminée. Cette action empêche l’ordinateur de passer en mode de récupération. Toutefois, si des modifications ont été apportées lorsque la protection BitLocker était en cours d’utilisation, connectez-vous à l’ordinateur à l’aide du mot de passe de récupération et le profil de validation de plateforme sera mis à jour afin que la récupération ne se produise pas la prochaine fois.

Windows RE et chiffrement de périphérique BitLocker

Environnement de récupération Windows (WinRE) peut être utilisé pour récupérer l’accès à un lecteur protégé par le chiffrement de périphérique BitLocker. Si un PC ne parvient pas à démarrer après deux défaillances, l’outil de redémarrage système démarre automatiquement. Lorsque l’outil de redémarrage système est lancée automatiquement en raison d’échecs de démarrage, elle exécute uniquement les réparations du système d’exploitation et des fichiers de pilotes, à condition que les journaux de démarrage ou tout vidage sur incident disponible pointent vers un fichier endommagé spécifique. Dans Windows 8.1 et les versions ultérieures, les appareils qui incluent un micrologiciel prenant en charge des mesures TPM spécifiques pour PCR [7] peuvent valider que Windows RE est un environnement d'exploitation de confiance et déverrouiller tous les disques protégés par BitLocker si Windows RE n'a pas été modifié. Si l Windows RE a été modifié, par exemple si le TPM a été désactivé, les lecteurs restent verrouillés jusqu’à ce que la clé de récupération BitLocker soit fournie. Si la réparation de démarrage ne peut pas s’exécuter automatiquement à partir du PC et que la Windows RE est démarrée manuellement à partir d’un disque de réparation, la clé de récupération BitLocker doit être fournie pour déverrouiller les lecteurs protégés par BitLocker.

Écran de récupération BitLocker

Pendant la récupération BitLocker, Windows pouvez afficher un message de récupération personnalisé et des conseils qui identifient l’endroit où une clé peut être récupérée. Ces améliorations peuvent aider un utilisateur lors de la récupération de BitLocker.

Message de récupération personnalisé

Les paramètres de stratégie de groupe BitLocker dans Windows10, version1511, ou Windows11, vous permettent de configurer un message de récupération personnalisé et une URL sur l'écran de récupération BitLocker, qui peut inclure l'adresse du portail de récupération en libre-service BitLocker, le site Web interne de l'informatique ou un numéro de téléphone pour le support technique.

Cette stratégie peut être configurée à l’aide de l’objet de stratégie de groupe sous Configuration d’ordinateur > Modèles d'administration > composants Windows > Chiffrement de lecteur BitLocker****Lecteurs de système d’exploitation > > Configurer le message et l’URL de récupération avant démarrage.

Il peut également être configuré à l’aide de la gestion des appareils mobiles Intune dans le fournisseur de solutions Cloud BitLocker : <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>

URL personnalisée.

Exemple d’écran de récupération personnalisé :

Écran de récupération BitLocker personnalisé.

Conseils de clé de récupération BitLocker

Les métadonnées BitLocker ont été améliorées dans Windows10, version1903 ou Windows11 pour inclure des informations sur le moment et l’emplacement de sauvegarde de la clé de récupération BitLocker. Ces informations ne sont pas exposées via l’interface utilisateur ou toute API publique. Il est utilisé uniquement par l’écran de récupération BitLocker sous la forme d’indications pour aider un utilisateur à localiser la clé de récupération d’un volume. Les conseils s’affichent sur l’écran de récupération et font référence à l’emplacement où la clé a été enregistrée. Les conseils s’affichent à la fois sur l’écran de récupération moderne (bleu) et hérité (noir). Cela s’applique à la fois à l’écran de récupération du gestionnaire de démarrage et à l’écran de déverrouillage WinRE.

Écran de récupération BitLocker personnalisé.

Important

Nous vous déconseillons d’imprimer des clés de récupération ou de les enregistrer dans un fichier. Utilisez plutôt la sauvegarde d'Active Directory ou une sauvegarde basée sur le cloud. La sauvegarde cloud inclut Azure Active Directory (Azure AD) et un compte Microsoft.

Il existe des règles qui régissent l'affichage des indices lors de la récupération (par ordre de traitement) :

  1. Toujours afficher le message de récupération personnalisé s’il a été configuré (à l’aide d’un GPO ou GM).
  2. Affichez toujours un conseil générique: «Pour plus d’informations, allez à https://aka.ms/recoverykeyfaq».
  3. Si plusieurs clés de récupération existent sur le volume, donnez la priorité à la dernière clé de récupération créée (et sauvegardée avec succès).
  4. Hiérarchisez les clés avec une sauvegarde réussie sur les clés qui n’ont jamais été sauvegardes.
  5. Hiérarchisez les conseils de sauvegarde dans l’ordre suivant pour les emplacements de sauvegarde à distance : Compte Microsoft > Azure AD > Active Directory.
  6. Si une clé a été imprimée et enregistrée dans un fichier, affichez un conseil combiné, « Rechercher une impression ou un fichier texte avec la clé », au lieu de deux conseils distincts.
  7. Si plusieurs sauvegardes du même type (suppression et local) ont été effectuées pour la même clé de récupération, hiérarchisez les informations de sauvegarde avec la dernière date de sauvegarde.
  8. Il n’existe aucun conseil spécifique pour les clés enregistrées dans un Active Directory local. Dans ce cas, un message personnalisé (s’il est configuré) ou un message générique, « Contacter le service d’aide de votre organisation », s’affiche.
  9. Si deux clés de récupération sont présentes sur le disque, mais qu'une seule a été sauvegardée avec succès, le système demandera une clé qui a été sauvegardée, même si une autre clé est plus récente.

Exemple 1 (clé de récupération unique avec sauvegarde unique)

URL personnalisée Oui
Enregistré dans le compte Microsoft Oui
Enregistré dans Azure AD Non
Enregistré dans Active Directory Non
Imprimé le Non
Enregistré dans le fichier Non

Résultat: L’indication du compte Microsoft et de l’URL personnalisée s’affiche.

Exemple 1 de l’écran de récupération BitLocker personnalisé.

Exemple 2 (clé de récupération unique avec sauvegarde unique)

URL personnalisée Oui
Enregistré dans le compte Microsoft Non
Enregistré dans Azure AD Non
Enregistré dans Active Directory Oui
Imprimé le Non
Enregistré dans le fichier Non

Résultat: seule l’URL personnalisée s’affiche.

Exemple 2 d’écran de récupération BitLocker personnalisé.

Exemple 3 (clé de récupération unique avec plusieurs sauvegardes)

URL personnalisée Non
Enregistré dans le compte Microsoft Oui
Enregistré dans Azure AD Oui
Enregistré dans Active Directory Non
Imprimé le Oui
Enregistré dans le fichier Oui

Résultat: seul le conseil de compte Microsoft s’affiche.

Exemple 3 d’écran de récupération BitLocker personnalisé.

Exemple 4 (plusieurs mots de passe de récupération)

URL personnalisée Non
Enregistré dans le compte Microsoft Non
Enregistré dans Azure AD Non
Enregistré dans Active Directory Non
Imprimé le Non
Enregistré dans le fichier Oui
Date de création 13:00
ID de la clé A564F193

   

URL personnalisée Non
Enregistré dans le compte Microsoft Non
Enregistré dans Azure AD Non
Enregistré dans Active Directory Non
Imprimé le Non
Enregistré dans le fichier Non
Date de création 3PM
ID de la clé T4521ER5

Résultat: seul l’indicateur d’une clé sauvegardée est affiché, même s’il ne s’agit pas de la clé la plus récente.

Exemple 4 d’écran de récupération BitLocker personnalisé.

Exemple 5 (mots de passe de récupération multiples)

URL personnalisée Non
Enregistré dans le compte Microsoft Oui
Enregistré dans Azure AD Oui
Enregistré dans Active Directory Non
Imprimé le Non
Enregistré dans le fichier Non
Date de création 13:00
ID de la clé 99631A34

   

URL personnalisée Non
Enregistré dans le compte Microsoft Non
Enregistré dans Azure AD Oui
Enregistré dans Active Directory Non
Imprimé le Non
Enregistré dans le fichier Non
Date de création 3PM
ID de la clé 9DF70931

Résultat: Le conseil de la clé la plus récente s’affiche.

Exemple 5 d’écran de récupération BitLocker personnalisé.

Utilisation d’informations de récupération supplémentaires

Outre le mot de passe de récupération BitLocker à 48chiffres, d’autres types d’informations de récupération sont stockés dans Active Directory. Cette section décrit comment ces informations supplémentaires peuvent être utilisées.

Package de clé BitLocker

Si les méthodes de récupération abordées plus haut dans ce document ne déverrouillent pas le volume, vous pouvez utiliser l’outil de réparation BitLocker pour déchiffrer le volume au niveau du bloc. L’outil utilise le package de clés BitLocker pour aider à récupérer les données chiffrées des lecteurs gravement endommagés. Vous pouvez ensuite utiliser ces données récupérées pour récupérer des données cryptées, même après que le mot de passe de récupération correct n'ait pas réussi à déverrouiller le volume endommagé. Nous vous recommandons de toujours enregistrer le mot de passe de récupération. Un package de clés ne peut pas être utilisé sans le mot de passe de récupération correspondant.

Notes

Vous devez utiliser l'outil de réparation BitLocker repair-bde pour utiliser le package de clés BitLocker.

Le package de clés BitLocker n’est pas enregistré par défaut. Pour enregistrer le package ainsi que le mot de passe de récupération dans AD DS, vous devez sélectionner l’option de Package de clés et de mot de passe de récupération de sauvegarde dans les paramètres stratégie de groupe qui contrôlent la méthode de récupération. Vous pouvez également exporter le package de clés à partir d’un volume de travail. Pour plus d’informations sur l’exportation des packages de clés, consultez Récupération du package de clé BitLocker.

Réinitialisation des mots de passe de récupération

Invalider un mot de passe de récupération une fois qu’il a été fourni et utilisé. Il doit également être effectué lorsque vous souhaitez intentionnellement invalider un mot de passe de récupération existant pour une raison quelconque.

Vous pouvez réinitialiser le mot de passe de récupération de deux manières:

  • Utilisez manage-bde: vous pouvez utiliser manage-bde pour supprimer l’ancien mot de passe de récupération et ajouter un nouveau mot de passe de récupération. La procédure identifie la commande et la syntaxe de cette méthode.
  • Exécutez un script: vous pouvez exécuter un script pour réinitialiser le mot de passe sans déchiffrer le volume. L’exemple de script de la procédure illustre cette fonctionnalité. L’exemple de script crée un mot de passe de récupération et invalide tous les autres mots de passe.

Pour réinitialiser un mot de passe de récupération à l’aide de manage-bde:

  1. Supprimer le mot de passe de récupération précédent

    Manage-bde –protectors –delete C: –type RecoveryPassword
    
  2. Ajouter le nouveau mot de passe de récupération

    Manage-bde –protectors –add C: -RecoveryPassword
    
  3. Obtenir l’ID du nouveau mot de passe de récupération. Dans l’écran, copiez l’ID du mot de passe de récupération.

    Manage-bde –protectors –get C: -Type RecoveryPassword
    
  4. Sauvegardez le nouveau mot de passe de récupération sur AD DS.

    Manage-bde –protectors –adbackup C: -id {EXAMPLE6-5507-4924-AA9E-AFB2EB003692}
    

    Avertissement

    Vous devez inclure les accolades dans la chaîne d’ID.

Pour exécuter l’exemple de script de mot de passe de récupération:

  1. Enregistrez l’exemple de script suivant dans un fichier VBScript. Par exemple: ResetPassword.vbs.

  2. À l’invite de commandes, tapez une commande semblable à l’exemple de script suivant:

    cscript ResetPassword.vbs

    Important

    Cet exemple de script est configuré pour fonctionner uniquement pour le volume C. Vous devez personnaliser le script pour qu’il corresponde au volume dans lequel vous souhaitez tester la réinitialisation du mot de passe.

Notes

Pour gérer un ordinateur distant, vous pouvez spécifier le nom de l’ordinateur distant plutôt que le nom de l’ordinateur local.

Vous pouvez utiliser l’exemple de script suivant pour créer un fichier VBScript afin de réinitialiser les mots de passe de récupération:

' Target drive letter
strDriveLetter = "c:"
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"


On Error Resume Next 'handle permission errors
Set objWMIService = GetObject(strConnectionStr)
If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)
If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Add a new recovery password, keeping the ID around so it doesn't get deleted later
' ----------------------------------------------------------------------------------
nRC = objVolume.ProtectKeyWithNumericalPassword("Recovery Password Refreshed By Script", , sNewKeyProtectorID)
If nRC <> 0 Then
WScript.Echo "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Removes the other, "stale", recovery passwords
' ----------------------------------------------------------------------------------
nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector
nRC = objVolume.GetKeyProtectors(nKeyProtectorTypeIn, aKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Delete those key protectors other than the one we just added.
For Each sKeyProtectorID In aKeyProtectorIDs
If sKeyProtectorID <> sNewKeyProtectorID Then
nRC = objVolume.DeleteKeyProtector(sKeyProtectorID)
If nRC <> 0 Then
WScript.Echo "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" & Hex(nRC)
WScript.Quit -1
Else
' no output
'WScript.Echo "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted"
End If
End If
Next
WScript.Echo "A new recovery password has been added. Old passwords have been removed."
' - some advanced output (hidden)
'WScript.Echo ""
'WScript.Echo "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view existing passwords."

Récupération du package de clé BitLocker

Vous pouvez utiliser deux méthodes pour récupérer le package de clés, comme décrit dans Utilisation d’informations de récupération supplémentaires:

  • Exporter un package de clés précédemment enregistré à partir d’AD DS. Vous devez disposer d’un accès en lecture aux mots de passe de récupération BitLocker stockés dans AD DS.
  • Exportez un nouveau package de clés à partir d’un volume protégé par BitLocker et déverrouillé. Vous devez disposer d’un accès administrateur local au volume de travail, avant que des dommages ne se produisent.

L’exemple de script suivant exporte tous les packages de clés précédemment enregistrés à partir d’AD DS.

Pour exécuter l’exemple de script de récupération de package de clé:

  1. Enregistrez l’exemple de script suivant dans un fichier VBScript. Par exemple: GetBitLockerKeyPackageADDS.vbs.

  2. À l’invite de commandes, tapez une commande semblable à l’exemple de script suivant:

    cscript GetBitLockerKeyPackageADDS.vbs -?

Vous pouvez utiliser l’exemple de script suivant pour créer un fichier VBScript afin de récupérer le package de clé BitLocker à partir de AD DS:

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackageADDS [Path To Save Key Package] [Optional Computer Name]"
   Wscript.Echo "If no computer name is specified, the local computer is assumed."
   Wscript.Echo
   Wscript.Echo "Example: GetBitLockerKeyPackageADDS E:\bitlocker-ad-key-package mycomputer"
   WScript.Quit
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = WScript.Arguments
Select Case args.Count
  Case 1
    If args(0) = "/?" Or args(0) = "-?" Then
    ShowUsage
    Else
      strFilePath = args(0)
      ' Get the name of the local computer
      Set objNetwork = CreateObject("WScript.Network")
      strComputerName = objNetwork.ComputerName
    End If

  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else
      strFilePath = args(0)
      strComputerName = args(1)
    End If
  Case Else
    ShowUsage
End Select
' --------------------------------------------------------------------------------
' Get path to Active Directory computer object associated with the computer name
' --------------------------------------------------------------------------------
Function GetStrPathToComputer(strComputerName)
    ' Uses the global catalog to find the computer in the forest
    ' Search also includes deleted computers in the tombstone
    Set objRootLDAP = GetObject("LDAP://rootDSE")
    namingContext = objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com
    strBase = "<GC://" & namingContext & ">"

    Set objConnection = CreateObject("ADODB.Connection")
    Set objCommand = CreateObject("ADODB.Command")
    objConnection.Provider = "ADsDSOOBject"
    objConnection.Open "Active Directory Provider"
    Set objCommand.ActiveConnection = objConnection
    strFilter = "(&(objectCategory=Computer)(cn=" &  strComputerName & "))"
    strQuery = strBase & ";" & strFilter  & ";distinguishedName;subtree"
    objCommand.CommandText = strQuery
    objCommand.Properties("Page Size") = 100
    objCommand.Properties("Timeout") = 100
    objCommand.Properties("Cache Results") = False
    ' Enumerate all objects found.
    Set objRecordSet = objCommand.Execute
    If objRecordSet.EOF Then
      WScript.echo "The computer name '" &  strComputerName & "' cannot be found."
      WScript.Quit 1
    End If
    ' Found object matching name
    Do Until objRecordSet.EOF
      dnFound = objRecordSet.Fields("distinguishedName")
      GetStrPathToComputer = "LDAP://" & dnFound
      objRecordSet.MoveNext
    Loop
    ' Clean up.
    Set objConnection = Nothing
    Set objCommand = Nothing
    Set objRecordSet = Nothing
End Function
' --------------------------------------------------------------------------------
' Securely access the Active Directory computer object using Kerberos
' --------------------------------------------------------------------------------
Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer(strComputerName)
WScript.Echo "Accessing object: " + strPathToComputer
Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80
' --------------------------------------------------------------------------------
' Get all BitLocker recovery information from the Active Directory computer object
' --------------------------------------------------------------------------------
' Get all the recovery information child objects of the computer object
Set objFveInfos = objDSO.OpenDSObject(strPathToComputer, vbNullString, vbNullString, _
                                   ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)
objFveInfos.Filter = Array("msFVE-RecoveryInformation")
' Iterate through each recovery information object and saves any existing key packages
nCount = 1
strFilePathCurrent = strFilePath & nCount
For Each objFveInfo in objFveInfos
   strName = objFveInfo.Get("name")
   strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword")
   strKeyPackage = objFveInfo.Get("msFVE-KeyPackage")
   WScript.echo
   WScript.echo "Recovery Object Name: " + strName
   WScript.echo "Recovery Password: " + strRecoveryPassword
   ' Validate file path
   Set fso = CreateObject("Scripting.FileSystemObject")
   If (fso.FileExists(strFilePathCurrent)) Then
 WScript.Echo "The file " & strFilePathCurrent & " already exists. Please use a different path."
WScript.Quit -1
   End If
   ' Save binary data to the file
   SaveBinaryDataText strFilePathCurrent, strKeyPackage

   WScript.echo "Related key package successfully saved to " + strFilePathCurrent
   ' Update next file path using base name
   nCount = nCount + 1
   strFilePathCurrent = strFilePath & nCount
Next
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")

  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)

  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function
WScript.Quit

L’exemple de script suivant exporte un nouveau package de clés à partir d’un volume chiffré et déverrouillé.

Pour exécuter l’exemple de script de récupération de package de clé:

  1. Enregistrez l’exemple de script suivant dans un fichier VBScript. Par exemple: GetBitLockerKeyPackage.vbs

  2. Ouvrez une invite de commandes administrateur, puis tapez une commande similaire à l’exemple de script suivant:

    cscript GetBitLockerKeyPackage.vbs -?

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Save Key Package]"
   Wscript.Echo
   Wscript.Echo "Example: GetBitLockerKeyPackage C: E:\bitlocker-backup-key-package"
   WScript.Quit
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = WScript.Arguments
Select Case args.Count
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else
      strDriveLetter = args(0)
      strFilePath = args(1)
    End If
  Case Else
    ShowUsage
End Select
' --------------------------------------------------------------------------------
' Other Inputs
' --------------------------------------------------------------------------------
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' Default key protector ID to use. Specify "" to let the script choose.
strDefaultKeyProtectorID = ""
' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}"  ' sample
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"


On Error Resume Next 'handle permission errors
Set objWMIService = GetObject(strConnectionStr)
If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)
If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Collect all possible valid key protector ID's that can be used to get the package
' ----------------------------------------------------------------------------------
nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector
nRC = objVolume.GetKeyProtectors(nNumericalKeyProtectorType, aNumericalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
nExternalKeyProtectorType = 2 ' type associated with "External Key" protector
nRC = objVolume.GetKeyProtectors(nExternalKeyProtectorType, aExternalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Get first key protector of the type "Numerical Password" or "External Key", if any
' ----------------------------------------------------------------------------------
if strDefaultKeyProtectorID = "" Then
' Save first numerical password, if exists
If UBound(aNumericalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0)
End If
' No numerical passwords exist, save the first external key
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0)
End If
' Fail case: no recovery key protectors exist.
If strDefaultKeyProtectorID = "" Then
WScript.Echo "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys exist. Check that BitLocker protection is on for this drive."
WScript.Echo "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""."
WScript.Quit -1
End If
End If
' Get some information about the chosen key protector ID
' ----------------------------------------------------------------------------------
' is the type valid?
nRC = objVolume.GetKeyProtectorType(strDefaultKeyProtectorID, nDefaultKeyProtectorType)
If Hex(nRC) = "80070057" Then
WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " is not valid."
WScript.Echo "This ID value may have been provided by the script writer."
ElseIf nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' what's a string that can be used to describe it?
strDefaultKeyProtectorType = ""
Select Case nDefaultKeyProtectorType
  Case nNumericalKeyProtectorType
      strDefaultKeyProtectorType = "recovery password"
  Case nExternalKeyProtectorType
      strDefaultKeyProtectorType = "recovery key"
  Case Else
      WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery password or recovery key."
      WScript.Echo "This ID value may have been provided by the script writer."
End Select
' Save the backup key package using the chosen key protector ID
' ----------------------------------------------------------------------------------
nRC = objVolume.GetKeyPackage(strDefaultKeyProtectorID, oKeyPackage)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Validate file path
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FileExists(strFilePath)) Then
WScript.Echo "The file " & strFilePath & " already exists. Please use a different path."
WScript.Quit -1
End If
Dim oKeyPackageByte, bKeyPackage
For Each oKeyPackageByte in oKeyPackage
  'WScript.echo "key package byte: " & oKeyPackageByte
  bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte)
Next
' Save binary data to the file
SaveBinaryDataText strFilePath, bKeyPackage
' Display helpful information
' ----------------------------------------------------------------------------------
WScript.Echo "The backup key package has been saved to " & strFilePath & "."
WScript.Echo "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be saved."
' Display the recovery password or a note about saving the recovery key file
If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then
nRC = objVolume.GetKeyProtectorNumericalPassword(strDefaultKeyProtectorID, sNumericalPassword)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
WScript.Echo "Save this recovery password: " & sNumericalPassword
ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then
WScript.Echo "The saved key file is named " & strDefaultKeyProtectorID & ".BEK"
WScript.Echo "For help re-saving this external key file, type ""manage-bde -protectors -get -?"""
End If
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")

  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)

  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

Voir également