La récupération d’un lecteur protégé par BitLocker peut être effectuée par un agent de récupération de données configuré à l’aide du certificat approprié. Avant de pouvoir configurer un agent de récupération de données pour un lecteur, vous devez ajouter l’agent de récupération de données à partir de Stratégies de clé publique dans la Console de gestion des stratégies de groupe ou l’Éditeur d’objets de stratégie de groupe. Vous devez également activer et configurer le paramètre de stratégie Fournir les identificateurs uniques de votre organisation pour associer un identificateur unique à un nouveau lecteur activé avec BitLocker. Les champs d’identification sont obligatoires pour la gestion des agents de récupération de données sur les lecteurs protégés par BitLocker. BitLocker effectue uniquement la gestion et la mise à jour des agents de récupération de données lorsqu’un champ d’identification est présent sur un lecteur et qu’il est identique à la valeur configurée sur l’ordinateur.

Conditions requises pour les certificats

Un certificat doit répondre aux exigences suivantes en matière d’utilisation de la clé et d’utilisation améliorée de la clé avant de pouvoir être utilisé pour le chiffrement d’un lecteur avec BitLocker :

  • L’attribut d’utilisation de la clé doit ne pas avoir de valeur, avoir la valeur Chiffrage de clés ou avoir l’une des valeurs d’utilisation de clé suivantes :

    CERT_DATA_ENCIPHERMENT_KEY_USAGE

    CERT_KEY_AGREEMENT_KEY_USAGE

    CERT_KEY_ENCIPHERMENT_KEY_USAGE

  • L’attribut d’utilisation améliorée de la clé doit ne pas avoir de valeur ou avoir l’une des valeurs suivantes :

    1.3.6.1.4.1.311.67.1.1

    Tout identificateur d’objet d’utilisation améliorée de la clé pris en charge par votre autorité de certification

L’identificateur d’objet BitLocker a la valeur 1.3.6.1.4.1.311.67.1.1 par défaut. Vous pouvez utiliser la stratégie de groupe pour modifier cette valeur si, par exemple, vous souhaitez partager un certificat existant avec BitLocker. Si le certificat appartient à un agent de récupération de données et s’il est uniquement utilisé pour récupérer des données protégées par BitLocker, il est préférable qu’il possède également l’un de ces attributs, mais cela n’est pas obligatoire. Aucune validation de certificat n’a lieu lors de l’ajout d’un agent de récupération de données à un lecteur.

Configuration d’un agent de récupération de données et d’un champ d’identification pour BitLocker

Les procédures suivantes expliquent comment configurer un agent de récupération de données et un champ d’identification pour BitLocker.

Pour mener à bien ces procédures, il est nécessaire d’appartenir au minimum au groupe Administrateurs locaux.

Pour configurer un agent de récupération de données

  1. Ouvrez la Console de gestion des stratégies de groupe ou l’Éditeur d’objets de stratégie de groupe.

  2. Dans l’arborescence de la console, sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique, cliquez avec le bouton droit sur Chiffrement de lecteur BitLocker.

  3. Cliquez sur Ajouter un agent de récupération de données pour démarrer l’Assistant Ajout d’un agent de récupération. Cliquez sur Suivant.

  4. Dans la page Sélectionner des agents de récupération, cliquez sur Parcourir les dossiers, puis sélectionnez un fichier .cer à utiliser en tant qu’agent de récupération de données. Une fois le fichier sélectionné, il est importé et s’affiche dans la liste Agents de récupération de l’Assistant. Plusieurs agents de récupération de données peuvent être spécifiés. Une fois que vous avez spécifié tous les agents de récupération de données à utiliser, cliquez sur Suivant.

  5. La page Dernière étape de l’Assistant Ajout d’un agent de récupération affiche une liste des agents de récupération de données qui est ajoutée à la stratégie de groupe. Cliquez sur Terminer pour confirmer les agents de récupération de données et fermer l’Assistant.

Après la fermeture de l’Assistant, les agents de récupération de données s’affichent dans le volet d’informations.
Pour configurer un champ d’identification

  1. Dans la Console de gestion des stratégies de groupe ou l’Éditeur d’objets de stratégie de groupe, développez l’arborescence de la console jusqu’à Configuration ordinateur\Modèles d’administration\Composants Windows\Chiffrement de lecteur BitLocker, puis cliquez sur Chiffrement de lecteur BitLocker afin d’afficher les paramètres de stratégie.

  2. Dans le volet d’informations, double-cliquez sur le paramètre de stratégie Fournir les identificateurs uniques de votre organisation.

  3. Cliquez sur Activer. Dans Champ d’identification BitLocker, entrez le champ d’identification de votre organisation.

  4. Cliquez sur OK pour appliquer et fermer le paramètre de stratégie.
Remarques

Les lecteurs chiffrés avec BitLocker avant la configuration d’un champ d’identification ne disposent pas d’agents de récupération de données en raison de l’absence de champ d’identification. Il est possible d’utiliser l’infrastructure WMI (Windows Management Instrumentation) ou l’outil en ligne de commande Manage-bde afin de définir un champ d’identification pour un lecteur chiffré antérieurement. Lors de l’utilisation de Manage-bde, le champ d’identification prend la valeur spécifiée dans le paramètre de stratégie Fournir les identificateurs uniques de votre organisation. Pour plus d’informations sur l’utilisation de l’infrastructure WMI ou de Manage-bde, voir https://go.microsoft.com/fwlink/?LinkId=143347.

Table des matières