entrer le nom complet ici entrer la description ici Ce paramètre de stratégie permet de gérer la sauvegarde des informations de récupération de chiffrement de lecteur BitLocker dans les services de domaine Active Directory (AD DS). Il fournit une méthode administrative de récupération des données chiffrées par BitLocker pour éviter la perte de données en l’absence d’informations de clé. Ce paramètre de stratégie n’est applicable qu’aux ordinateurs Windows Server 2008 et Windows Vista. Si vous activez ce paramètre de stratégie, les informations de récupération BitLocker sont sauvegardées automatiquement et silencieusement dans les services de domaine Active Directory quand BitLocker est activé sur un ordinateur. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Remarque : vous devrez peut-être configurer les extensions de schéma et les paramètres de contrôle d’accès appropriés pour le domaine pour que la sauvegarde AD DS puisse réussir. Vous trouverez plus d’informations sur la sauvegarde AD DS pour BitLocker sur Microsoft TechNet. Les informations de récupération BitLocker incluent le mot de passe de récupération et des données d’identificateur unique. Vous pouvez également inclure un package qui contient une clé de chiffrement du lecteur protégé par BitLocker. Ce package de clé est sécurisé par un ou plusieurs mots de passe de récupération et peut aider à effectuer une récupération spécialisée quand le disque est endommagé ou altéré. Si vous sélectionnez l’option « Exiger la sauvegarde BitLocker vers les services de domaine Active Directory (AD DS) », BitLocker ne peut pas être activé sans que l’ordinateur soit connecté au domaine et que la sauvegarde des informations de récupération BitLocker vers les services de domaine Active Directory réussisse. Cette option est sélectionnée par défaut de façon à garantir que la récupération BitLocker est possible. Dans le cas contraire, la sauvegarde des services de domaine Active Directory est tentée mais des échecs réseau ou d’autres échecs de sauvegarde n’ont pas d’impact sur la configuration BitLocker. La sauvegarde n’est pas automatiquement essayée à nouveau et le mot de passe de récupération peut ne pas avoir été stocké dans les services de domaine Active Directory lors de la configuration BitLocker. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les informations de récupération BitLocker ne seront pas sauvegardées dans les services de domaine Active Directory. Remarque : l’initialisation du module de plateforme sécurisée peut être nécessaire lors de la configuration de BitLocker. Activez le paramètre de stratégie « Activer la sauvegarde du module de plateforme sécurisée dans les services de domaine Active Directory (AD DS) » dans Système\Services de module de plateforme sécurisée\ pour faire en sorte que les informations du module de plateforme sécurisée soient également sauvegardées. Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (Windows Server 2008 et Windows Vista) Mots de passe et packages de clés de récupération Mots de passe de récupération uniquement Ce paramètre de stratégie vous permet d’indiquer si l’Assistant Installation du chiffrement de lecteur BitLocker peut configurer une méthode d’authentification supplémentaire qui est demandée à chaque démarrage de l’ordinateur. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Remarque : ce paramètre de stratégie n’est applicable qu’aux ordinateurs Windows Server 2008 et Windows Vista. Sur un ordinateur avec un module de plateforme sécurisée, deux méthodes d’authentification peuvent être utilisées au démarrage pour offrir une protection renforcée des données chiffrées. Lorsque l’ordinateur démarre, il peut demander à l’utilisateur d’insérer un lecteur flash USB contenant une clé de démarrage. Il peut également demander à l’utilisateur d’entrer un code confidentiel de démarrage constitué de 4 à 20 chiffres. Un lecteur flash USB contenant une clé de démarrage est nécessaire sur les ordinateurs sans module de plateforme sécurisée compatible. Sans module de plateforme sécurisée, les données chiffrées par BitLocker sont protégées seulement par le support de gestion des clés qui se trouve sur ce lecteur flash USB. Si vous activez ce paramètre de stratégie, l’Assistant affiche la page permettant à l’utilisateur de configurer des options de démarrage avancées pour BitLocker. Vous pouvez configurer ultérieurement des options pour les ordinateurs avec et sans module de plateforme sécurisée. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, l’Assistant d’installation de BitLocker affiche les étapes de base permettant aux utilisateurs d’activer BitLocker sur les ordinateurs avec module de plateforme sécurisée. Dans cet Assistant de base, aucune clé ni aucun code confidentiel de démarrage supplémentaires ne peuvent être configurés. Exiger une authentification supplémentaire au démarrage (Windows Server 2008 et Windows Vista) Exiger une authentification supplémentaire au démarrage Ce paramètre de stratégie vous permet de configurer si BitLocker exige une authentification supplémentaire à chaque démarrage de l’ordinateur et si vous utilisez BitLocker avec ou sans module de plateforme sécurisée. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Remarque : une seule des options d’authentification supplémentaire peut être exigée au démarrage, sans générer d’erreur de stratégie. Si vous voulez utiliser BitLocker sur un ordinateur sans un module de plateforme sécurisée, activez la case à cocher « Autoriser BitLocker sans un module de plateforme autorisée compatible ». Dans ce mode, un mot de passe ou un lecteur USB est requis pour le démarrage. Si une clé de démarrage est utilisée, les informations de clé utilisées pour chiffrer le lecteur sont stockées sur ce lecteur USB, créant une clé USB. Lorsque la clé USB est insérée, l’accès au lecteur est authentifié et le lecteur est accessible. Si la clé USB est perdue ou non disponible, ou bien encore si vous oubliez le mot de passe, vous devez utiliser l’une des options de récupération BitLocker pour accéder au lecteur. Sur un ordinateur avec un module de plateforme sécurisée compatible, quatre types de méthode d’authentification peuvent être utilisés au démarrage pour renforcer la protection de l’accès aux données chiffrées. Au démarrage, l’ordinateur ne peut utiliser que le module de plateforme sécurisée pour l’authentification ; ou il peut exiger l’insertion d’un lecteur flash USB contant une clé de démarrage et/ou la saisie d’un code confidentiel composé de 4 à 20 chiffres. Si vous activez ce paramètre de stratégie, les utilisateurs peuvent définir les options de démarrage avancées dans l’Assistant d’installation de BitLocker. Si vous désactivez ce paramètre de stratégie ou ne configurez pas, les utilisateurs ne peuvent définir que les options de base sur les ordinateurs avec module de plateforme sécurisée. Remarque : si vous voulez rendre obligatoire l’utilisation d’un code confidentiel de démarrage et d’un lecteur flash USB, vous devez définir les paramètres BitLocker à l’aide de l’outil de ligne de commande manage-bde et non avec l’Assistant. Autoriser le déverrouillage réseau au démarrage Ce paramètre de stratégie contrôle si un ordinateur protégé par BitLocker qui est connecté à un réseau local (LAN) câblé approuvé et faisant partie d’un domaine peut créer et utiliser des protecteurs de clé réseau sur des ordinateurs avec un module de plateforme sécurisée pour déverrouiller automatiquement le lecteur du système d’exploitation au démarrage de cet ordinateur. Si vous activez ce paramètre de stratégie, les clients configurés avec un certificat de déverrouillage réseau BitLocker peuvent créer et utiliser des protecteurs de clé réseau. Pour pouvoir utiliser un protecteur de clé réseau en vue de déverrouiller un ordinateur, l’ordinateur et le serveur de déverrouillage réseau pour le chiffrement de lecteur BitLocker doivent tous deux avoir un certificat de déverrouillage réseau. Le certificat de déverrouillage réseau est utilisé pour créer des protecteurs de clé réseau et protège les informations échangées avec le serveur en vue de déverrouiller l’ordinateur. Vous pouvez utiliser le paramètre de stratégie de groupe « Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique\Certificat de déverrouillage réseau pour le chiffrement de lecteur BitLocker » sur le contrôleur de domaine pour distribuer ce certificat aux ordinateurs de votre organisation. Cette méthode de déverrouillage utilise le module de plateforme sécurisée sur l’ordinateur de sorte que les ordinateurs ne possédant pas de module de plateforme sécurisée ne peuvent pas créer des protecteurs de clé réseau permettant le déverrouillage automatique avec le déverrouillage réseau. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les clients BitLocker ne peuvent pas créer et utiliser des protecteurs de clé réseau. Remarque : pour des questions de fiabilité et de sécurité, les ordinateurs doivent également avoir un code confidentiel de démarrage de module de plateforme sécurisée qui peut être utilisé lorsque l’ordinateur est déconnecté du réseau câblé ou du serveur au démarrage. Autoriser une clé et un code confidentiel de démarrage avec le module de plateforme sécurisée Exiger une clé et un code confidentiel de démarrage avec le module de plateforme sécurisée Ne pas autoriser de clé et de code confidentiel de démarrage avec le module de plateforme sécurisée Autoriser le module de plateforme sécurisée Exiger le module de plateforme sécurisée Ne pas autoriser le module de plateforme sécurisée Autoriser un code confidentiel de démarrage avec le module de plateforme sécurisée Exiger un code confidentiel de démarrage avec le module de plateforme sécurisée Ne pas autoriser de code confidentiel de démarrage avec le module de plateforme sécurisée Autoriser une clé de démarrage avec le module de plateforme sécurisée Exiger une clé de démarrage avec le module de plateforme sécurisée Ne pas autoriser de clé de démarrage avec le module de plateforme sécurisée Ce paramètre de stratégie permet de contrôler si l’Assistant Installation du chiffrement de lecteur BitLocker peut s’afficher et permet de spécifier les options de récupération BitLocker. Ce paramètre de stratégie n’est applicable qu’aux ordinateurs Windows Server 2008 et Windows Vista. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Deux options de récupération peuvent déverrouiller l’accès aux données chiffrées par BitLocker en l’absence des informations de clé de démarrage requises. L’utilisateur peut entrer un mot de passe de récupération constitué de 48 chiffres ou insérer un lecteur flash USB contenant une clé de récupération de 256 bits. Si vous activez ce paramètre de stratégie, vous pouvez configurer les options que l’Assistant affiche aux utilisateurs pour la récupération de données protégées par BitLocker. L’enregistrement sur un lecteur flash USB stocke le mot de passe de récupération de 48 chiffres sous forme de fichier texte et la clé de récupération de 256 bits sous la forme d’un fichier caché. L’enregistrement dans un dossier stocke le mot de passe de récupération de 48 chiffres sous forme de fichier texte. L’impression envoie le mot de passe à l’imprimante par défaut. Par exemple, la désactivation du mot de passe de récupération de 48 chiffres empêche les utilisateurs de pouvoir imprimer ou enregistrer les informations de récupération dans un dossier. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, l’Assistant d’installation de BitLocker propose aux utilisateurs des moyens de stocker les options de récupération. Remarque : si l’initialisation du module de plateforme sécurisée est nécessaire lors de la configuration BitLocker, les informations du propriétaire du module de plateforme sécurisée sont enregistrées ou imprimées avec les informations de récupération BitLocker. Remarque : le mot de passe de récupération de 48 chiffres ne sera pas disponible en mode de compatibilité FIPS. Important : ce paramètre de stratégie fournit une méthode administrative de récupération des données chiffrées avec BitLocker pour éviter la perte de données due à l’absence des informations de clé. Si vous n’autorisez pas les deux options de récupération, vous devez activer le paramètre de stratégie « Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (Windows Server 2008 et Windows Vista) » pour éviter toute erreur de stratégie. Sélectionner la méthode de récupération des lecteurs protégés par BitLocker (Windows Server 2008 et Windows Vista) Exiger un mot de passe de récupération (par défaut) Ne pas autoriser de mot de passe de récupération Exiger une clé de récupération (par défaut) Ne pas autoriser de clé de récupération Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker Ce paramètre de stratégie permet de contrôler la façon dont les lecteurs du système d’exploitation protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La case à cocher « Autoriser les agents de récupération de données basés sur des certificats » permet de spécifier si un agent de récupération de données peut être utilisé pour les lecteurs du système d’exploitation protégés par BitLocker. Pour pouvoir utiliser un agent de récupération de données, il doit tout d’abord être ajouté à l’élément Stratégies de clé publique soit dans la Console de gestion des stratégies de groupe soit dans l’Éditeur d’objets de stratégie de groupe. Consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft Technet pour plus d’informations sur l’ajout d’agents de récupération de données. Dans « Configurer le stockage par les utilisateurs des informations de récupération BitLocker », indiquez si les utilisateurs sont autorisés, obligés ou non autorisés à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération de 256 bits. Sélectionnez « Supprimer les options de configuration de l’Assistant d’installation BitLocker » pour empêcher les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne pouvez pas indiquer quelle option de récupération utiliser lorsque vous activez BitLocker. Les options de récupération BitLocker pour le lecteur sont alors déterminées par le paramètre de stratégie. Dans « Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs du système d’exploitation », sélectionnez les informations de récupération BitLocker à enregistrer dans les services de domaine Active Directory pour les lecteurs du système d’exploitation. Si vous sélectionnez « Sauvegarder les mots de passe de récupération et les packages de clés », le mot de passe de récupération BitLocker et le package de clés sont stockés dans les services de domaine Active Directory. Le stockage du package de clés prend en charge la récupération de données à partir d’un lecteur physiquement endommagé. Si vous sélectionnez « Sauvegarder les mots de passe de récupération uniquement », seul le mot de passe de récupération est stocké dans les services de domaine Active Directory. Activez la case à cocher « N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d’exploitation » pour autoriser les utilisateurs à n’activer BitLocker que si l’ordinateur est connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans les services de domaine Active Directory a réussi. Remarque : si la case à cocher « N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d’exploitation » est activée, un mot de passe de récupération est généré automatiquement. Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes mises à disposition des utilisateurs pour récupérer les données des lecteurs du système d’exploitation protégés par BitLocker. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, les agents de récupération de données sont autorisés, l’utilisateur peut définir les options de récupération, y compris le mot de passe de récupération et le package de clé, et les informations de récupération ne sont pas sauvegardées dans les services de domaine Active Directory. Exiger un mot de passe de récupération de 48 chiffres Autoriser un mot de passe de récupération de 48 chiffres Ne pas autoriser de mot de passe de récupération de 48 chiffres Exiger une clé de récupération de 256 bits Ne pas autoriser de clé de récupération de 256 bits Autoriser une clé de récupération de 256 bits Sélectionner la méthode de récupération des lecteurs fixes protégés par BitLocker Ce paramètre de stratégie permet de contrôler la façon dont les lecteurs de données fixes protégés par BitLocker sont récupérés en l’absence des informations d’identification requises. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La case à cocher « Autoriser les agents de récupération de données » permet de spécifier si un agent de récupération de données peut être utilisé pour les lecteurs de données fixes protégés par BitLocker. Pour pouvoir utiliser un agent de récupération de données, il doit tout d’abord être ajouté à l’élément Stratégies de clé publique soit dans la Console de gestion des stratégies de groupe soit dans l’Éditeur d’objets de stratégie de groupe. Consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft Technet pour plus d’informations sur l’ajout d’agents de récupération de données. Dans « Configurer le stockage par les utilisateurs des informations de récupération BitLocker », indiquez si les utilisateurs sont autorisés, obligés ou non autorisés à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération de 256 bits. Sélectionnez « Supprimer les options de configuration de l’Assistant d’installation BitLocker » pour empêcher les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne pouvez pas indiquer quelle option de récupération utiliser lorsque vous activez BitLocker. Les options de récupération BitLocker pour le lecteur sont alors déterminées par le paramètre de stratégie. Dans « Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs de données fixes », sélectionnez les informations de récupération BitLocker à enregistrer dans les services de domaine Active Directory pour les lecteurs de données fixes. Si vous sélectionnez « Sauvegarder les mots de passe de récupération et les packages de clés », le mot de passe de récupération BitLocker et le package de clés sont stockés dans les services de domaine Active Directory. Le stockage du package de clés prend en charge la récupération de données à partir d’un lecteur physiquement endommagé. Si vous sélectionnez « Sauvegarder les mots de passe de récupération uniquement », seul le mot de passe de récupération est stocké dans les services de domaine Active Directory. Activez la case à cocher « N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs de données fixes » pour autoriser les utilisateurs à n’activer BitLocker que si l’ordinateur est connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans les services de domaine Active Directory a réussi. Remarque : si la case à cocher « N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs de données fixes » est activée, un mot de passe de récupération est généré automatiquement. Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes mises à disposition des utilisateurs pour récupérer les données des lecteurs de données fixes protégés par BitLocker. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, un agent de réplication de répertoire est autorisé, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans les services de domaine Active Directory. Exiger un mot de passe de récupération de 48 chiffres Autoriser un mot de passe de récupération de 48 chiffres Ne pas autoriser de mot de passe de récupération de 48 chiffres Exiger une clé de récupération de 256 bits Ne pas autoriser de clé de récupération de 256 bits Autoriser une clé de récupération de 256 bits Sélectionner la méthode de récupération des lecteurs amovibles protégés par BitLocker Ce paramètre de stratégie permet de contrôler la façon dont les lecteurs de données amovibles protégés par BitLocker sont récupérés en l’absence des informations d’identification requises. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La case à cocher « Autoriser les agents de récupération de données » permet de spécifier si un agent de récupération de données peut être utilisé pour les lecteurs de données amovibles protégés par BitLocker. Pour pouvoir utiliser un agent de récupération de données, il doit tout d’abord être ajouté à l’élément Stratégies de clé publique soit dans la Console de gestion des stratégies de groupe soit dans l’Éditeur d’objets de stratégie de groupe. Consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft Technet pour plus d’informations sur l’ajout d’agents de récupération de données. Dans « Configurer le stockage par les utilisateurs des informations de récupération BitLocker », indiquez si les utilisateurs sont autorisés, obligés ou non autorisés à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération de 256 bits. Sélectionnez « Supprimer les options de configuration de l’Assistant d’installation BitLocker » pour empêcher les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne pouvez pas indiquer quelle option de récupération utiliser lorsque vous activez BitLocker. Les options de récupération BitLocker pour le lecteur sont alors déterminées par le paramètre de stratégie. Dans « Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs de données amovibles », sélectionnez les informations de récupération BitLocker à enregistrer dans les services de domaine Active Directory pour les lecteurs de données amovibles. Si vous sélectionnez « Sauvegarder les mots de passe de récupération et les packages de clés », le mot de passe de récupération BitLocker et le package de clés sont stockés dans les services de domaine Active Directory. Si vous sélectionnez « Sauvegarder les mots de passe de récupération uniquement », seul le mot de passe est stocké dans les services de domaine Active Directory. Activez la case à cocher « N’activer BitLocker qu’une fois les informations de récupération enregistrées dans les services de domaine Active Directory pour les lecteurs de données amovibles » pour autoriser les utilisateurs à n’activer BitLocker que si l’ordinateur est connecté au domaine et que les informations de récupération BitLocker sont sauvegardées dans les services de domaine Active Directory. Remarque : si la case à cocher « N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs de données fixes » est activée, un mot de passe de récupération est généré automatiquement. Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes mises à disposition des utilisateurs pour récupérer les données des lecteurs de données amovibles protégés par BitLocker. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, un agent de réplication de répertoire est autorisé, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans les services de domaine Active Directory. Exiger un mot de passe de récupération de 48 chiffres Autoriser un mot de passe de récupération de 48 chiffres Ne pas autoriser de mot de passe de récupération de 48 chiffres Exiger une clé de récupération de 256 bits Ne pas autoriser de clé de récupération de 256 bits Autoriser une clé de récupération de 256 bits Ce paramètre de stratégie permet de spécifier le chemin d’accès par défaut qui est affiché quand l’Assistant Installation du chiffrement de lecteur BitLocker invite l’utilisateur à entrer l’emplacement d’un dossier où enregistrer le mot de passe de récupération. Cette stratégie est appliquée lorsque vous activez BitLocker. Si vous activez ce paramètre de stratégie, vous pouvez spécifier le chemin d’accès par défaut affiché lorsque l’utilisateur choisit d’enregistrer le mot de passe de récupération dans un fichier. Vous pouvez spécifier un chemin d’accès complet ou inclure les variables d’environnement de l’ordinateur cible dans le chemin d’accès. Si le chemin d’accès n’est pas valide, l’Assistant d’installation de BitLocker affiche la vue du dossier de premier niveau de l’ordinateur. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, l’Assistant d’installation de BitLocker affiche la vue du dossier de premier niveau de l’ordinateur lorsque l’utilisateur choisit d’enregistrer le mot de passe de récupération dans un dossier. Remarque : dans tous les cas, l’utilisateur aura la possibilité de sélectionner un autre dossier où enregistrer le mot de passe de récupération. Sélectionner le dossier par défaut d’enregistrement du mot de passe de récupération Ce paramètre de stratégie permet de configurer l’algorithme et la puissance de chiffrement utilisés par le chiffrement de lecteur BitLocker. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification de la méthode de chiffrement est sans effet si le disque est déjà chiffré ou si le chiffrement est en cours. Consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft Technet pour plus d’informations sur les méthodes de chiffrement disponibles. Ce paramètre de stratégie n’est applicable qu’aux ordinateurs Windows Server 2008, Windows Vista, Windows Server 2008 R2 ou Windows 7. Si vous activez ce paramètre de stratégie, vous pouvez sélectionner l’algorithme et la puissance de chiffrement utilisés par BitLocker. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, BitLocker utilise la méthode de chiffrement par défaut AES 128 bits avec diffuseur ou la méthode de chiffrement spécifiée par un script d’installation d’un administrateur local. Ce paramètre de stratégie vous permet de configurer l’algorithme et la puissance de chiffrement utilisés par le chiffrement de lecteur BitLocker. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification de la méthode de chiffrement est sans effet si le disque est déjà chiffré ou si le chiffrement est en cours. Consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft Technet pour plus d’informations sur les méthodes de chiffrement disponibles. Ce paramètre de stratégie n’est applicable qu’aux ordinateurs Windows Server 8 et ultérieurs Si vous activez ce paramètre de stratégie, vous pouvez sélectionner l’algorithme et la puissance de chiffrement utilisés par BitLocker. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, BitLocker utilise AES avec la même puissance de bit (128 ou 256 bits) comme paramètre de stratégie « Choisir la méthode et la puissance de chiffrement des lecteurs (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2) », si celui-ci est défini. Si aucun de ces paramètres de stratégie n’est défini, BitLocker utilise la méthode de chiffrement par défaut AES 128 bits ou la méthode de chiffrement spécifiée par le script d’installation. Choisir la méthode et la puissance de chiffrement des lecteurs (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2) Sélectionner la méthode et la puissance de chiffrement des lecteurs AES 128 bits avec diffuseur AES 256 bits avec diffuseur AES 128 bits (par défaut) AES 256 bits Chiffrement de lecteur BitLocker Ce paramètre de stratégie de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée de l’ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s’applique pas si l’ordinateur ne dispose pas d’un module de plateforme sécurisée ou si BitLocker est déjà activé par la protection du module de plateforme sécurisée. Si vous activez ce paramètre de stratégie avant d’activer BitLocker, vous pouvez configurer les composants de démarrage que le module de plateforme sécurisée valide avant de déverrouiller l’accès au lecteur du système d’exploitation chiffré par BitLocker. Si l’un de ces composants est modifié alors que la protection BitLocker est activée, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur. À la place, l’ordinateur affiche la console Récupération BitLocker et requiert que le mot de passe ou la clé de récupération soit fourni pour déverrouiller le lecteur. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le module de plateforme sécurisée utilise le profil de validation de plateforme par défaut ou celui spécifié par le script d’installation. Un profil de validation de plateforme consiste en un ensemble d’index de registre de configuration de plateforme (PCR, Platform Configuration Register) allant de 0 à 23. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées au CTRM (Core Root of Trust of Measurement), au BIOS, aux extensions de plateforme (PCR 0), au code de ROM en option (PCR 2), au code de l’enregistrement de démarrage principal (PCR 4), au secteur de démarrage NTFS (PCR 8), au bloc de démarrage NTFS (PCR 9), au gestionnaire de démarrage (PCR 10) et au contrôle d’accès BitLocker (PCR 11). Les descriptions des paramètres PCR pour les ordinateurs qui utilisent une interface EFI (Extensible Firmware Interface) sont différentes de celles des paramètres PCR utilisés pour les ordinateurs avec BIOS standard. Avertissement : la modification du profil de validation de plateforme par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (autorisées ou malveillantes) augmente ou diminue en fonction de l’inclusion ou de l’exclusion (respectivement) des registres de configuration de plateforme. Configurer le profil de validation de plateforme du module de plateforme sécurisée (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2) Ce paramètre de stratégie permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée de l’ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s’applique pas si l’ordinateur ne dispose pas d’un module de plateforme sécurisée ou si BitLocker est déjà activé par la protection du module de plateforme sécurisée. Important : ce paramètre de stratégie de groupe s’applique uniquement aux ordinateurs avec configurations BIOS ou aux ordinateurs avec microprogramme UEFI et un module de service de compatibilité activé. Les ordinateurs utilisant une configuration de microprogramme UEFI native stockent des valeurs différentes dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie de groupe « Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme UEFI natives » pour configurer le profil PCR du module de plateforme sécurisée pour les ordinateurs utilisant le microprogramme UEFI natif. Si vous activez ce paramètre de stratégie avant d’activer BitLocker, vous pouvez configurer les composants de démarrage que le module de plateforme sécurisée valide avant de déverrouiller l’accès au lecteur du système d’exploitation chiffré par BitLocker. Si l’un de ces composants est modifié alors que la protection BitLocker est activée, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur. À la place, l’ordinateur affiche la console Récupération BitLocker et requiert que le mot de passe ou la clé de récupération soit fourni pour déverrouiller le lecteur. DIASBLE, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation. Un profil de validation de plateforme consiste en un ensemble d’index de registre de configuration de plateforme (PCR), compris entre 0 et 23. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées au CTRM (Core Root of Trust of Measurement), au BIOS, aux extensions de plateforme (PCR 0), au code de ROM en option (PCR 2), au code de l’enregistrement de démarrage principal (PCR 4), au secteur de démarrage NTFS (PCR 8), au bloc de démarrage NTFS (PCR 9), au gestionnaire de démarrage (PCR 10) et au contrôle d’accès BitLocker (PCR 11). Avertissement : la modification du profil de validation de plateforme par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (autorisées ou malveillantes) augmente ou diminue en fonction de l’inclusion ou de l’exclusion (respectivement) des registres de configuration de plateforme. Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme BIOS Ce paramètre de stratégie permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée de l’ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s’applique pas si l’ordinateur ne dispose pas d’un module de plateforme sécurisée ou si BitLocker est déjà activé par la protection du module de plateforme sécurisée. Important : ce paramètre de stratégie s’applique uniquement aux ordinateurs avec une configuration de microprogramme UEFI native. Les ordinateurs avec un microprogramme BIOS ou UEFI et un module de service de compatibilité stockent des valeurs différentes dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie de groupe « Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme BIOS » pour configurer le profil PCR du module de plateforme sécurisée pour les ordinateurs avec configurations BIOS ou les ordinateurs avec un module de service de compatibilité activé. Si vous activez ce paramètre de stratégie avant d’activer BitLocker, vous pouvez configurer les composants de démarrage que le module de plateforme sécurisée valide avant de déverrouiller l’accès au lecteur du système d’exploitation chiffré par BitLocker. Si l’un de ces composants est modifié alors que la protection BitLocker est activée, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur. À la place, l’ordinateur affiche la console Récupération BitLocker et requiert que le mot de passe ou la clé de récupération soit fourni pour déverrouiller le lecteur. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation. Un profil de validation de plateforme consiste en un ensemble d’index de registre de configuration de plateforme (PCR), compris entre 0 et 23. Le profil de validation de plateforme par défaut protège la clé de chiffrement contre les modifications du code exécutable du microprogramme du système noyau (PCR 0), le code exécutable étendu ou enfichable (PCR 2), le gestionnaire de démarrage (PCR 4), et le contrôle d’accès BitLocker (PCR 11). Avertissement : la modification du profil de validation de plateforme par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (autorisées ou malveillantes) augmente ou diminue en fonction de l’inclusion ou de l’exclusion (respectivement) des registres de configuration de plateforme. Plus particulièrement, le fait de configurer cette stratégie en omettant PCR 7 remplace la stratégie de groupe « Autoriser le démarrage sécurisé pour la validation de l’intégrité », empêchant ainsi BitLocker d’utiliser le démarrage sécurisé pour la validation de l’intégrité de la plateforme ou des données de configuration de démarrage. Le fait de configurer cette stratégie peut entraîner une récupération BitLocker lorsque des microprogrammes sont mis à jour. Si vous configurez cette stratégie en incluant PCR 0, suspendez BitLocker avant d’appliquer des mises à jour de microprogrammes. Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif Ce paramètre de stratégie gère les performances du redémarrage de l’ordinateur, au risque d’exposer les secrets BitLocker. Ce paramètre est appliqué lorsque vous activez BitLocker. Les secrets BitLocker sont notamment les éléments essentiels servant à chiffrer les données. Ce paramètre de stratégie s’applique uniquement lorsque la protection BitLocker est activée. Si vous activez ce paramètre de stratégie, les données en mémoire ne sont pas remplacées au redémarrage. En l’absence de réécriture des données en mémoire, les performances du redémarrage peuvent être supérieures, mais le risque de révéler les secrets BitLocker augmente d’autant. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les secrets BitLocker sont supprimés de la mémoire au redémarrage de l’ordinateur. Empêcher le remplacement des données en mémoire au redémarrage Lecteurs du système d’exploitation Lecteurs de données fixes Lecteurs de données amovibles Fournir les identificateurs uniques de votre organisation Ce paramètre de stratégie permet d’associer des identificateurs uniques de votre organisation à un nouveau lecteur protégé par BitLocker. Ces identificateurs sont stockés dans les champs d’identification et d’identification autorisée. Le champ d’identification vous permet d’associer un identificateur unique d’organisation aux lecteurs protégés par BitLocker. Cet identificateur est automatiquement ajouté aux nouveaux lecteurs protégés par BitLocker et peut être mis à jour pour les lecteurs BitLocker existants à l’aide du l’outil en ligne de commande manage-bde. Un champ d’identification est nécessaire pour la gestion des agents de récupération de données basés sur des certificats pour les lecteurs protégés par BitLocker et pour les éventuelles mises à jour de l’utilitaire BitLocker To Go. BitLocker ne gère et ne met à jour les agents de récupération de données que si le champ d’identification du lecteur correspond à la valeur configurée pour le champ d’identification. Idem pour la mise à jour de l’utilitaire BitLocker To Go. Le champ d’identification autorisée est utilisé en association avec le paramètre de stratégie « Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker » pour aider à contrôler l’utilisation des lecteurs amovibles dans votre organisation. Il s’agit d’une liste séparée par des virgules des champs d’identification de votre organisation ou d’organisations externes. Vous pouvez configurer les champs d’identification des lecteurs existants à l’aide de l’outil manage-bde.exe. Si vous activez ce paramètre de stratégie, vous pouvez configurer le champ d’identification du lecteur protégé par BitLocker et tout champ d’identification autorisée utilisé par votre organisation. Lorsqu’un lecteur protégé par BitLocker est monté sur un autre ordinateur compatible BitLocker, les champs d’identification et d’identification autorisée permettent de déterminer si le lecteur provient d’une autre organisation. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le champ d’identification n’est pas obligatoire. Remarque : les champs d’identification sont nécessaires à la gestion des agents de récupération de données basés sur des certificats pour les lecteurs protégés par BitLocker. BitLocker ne gère et ne met à jour ces agents que si le champ d’identification est présent sur le lecteur et s’il est identique à la valeur configurée sur l’ordinateur. Le champ d’identification peut être toute valeur de 260 caractères maximum. Valider la conformité à la règle d’utilisation des certificats de cartes à puce Ce paramètre de stratégie permet d’associer un identificateur d’objet issu d’un certificat de carte à puce à un lecteur protégé par BitLocker. Ce paramètre est appliqué lorsque vous activez BitLocker. L’identificateur d’objet est spécifié dans l’utilisation améliorée de la clé du certificat. BitLocker peut identifier les certificats permettant d’authentifier un certificat utilisateur en relation avec un lecteur protégé par BitLocker en comparant l’identificateur d’objet du certificat avec l’identificateur d’objet défini par ce paramètre de stratégie. L’identificateur d’objet par défaut est 1.3.6.1.4.1.311.67.1.1 Remarque : BitLocker ne requiert pas qu’un certificat comporte un attribut d’utilisation améliorée de la clé, mais s’il en possède un, l’identificateur d’objet doit correspondre à celui configuré pour BitLocker. Si vous activez ce paramètre de stratégie, l’identificateur d’objet spécifié dans la zone du même nom doit correspondre à l’identificateur d’objet du certificat de carte à puce. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, un identificateur d’objet par défaut est utilisé. Utiliser un profil amélioré de validation des données de configuration de démarrage Ce paramètre de stratégie permet de choisir des paramètres de données de configuration de démarrage (BCD) spécifiques à vérifier au cours de la validation de la plateforme. Si vous activez ce paramètre de stratégie, vous pouvez ajouter des paramètres supplémentaires, supprimer les paramètres par défaut ou les deux. Si vous désactivez ce paramètre de stratégie, l’ordinateur revient à un profil BCD similaire au profil BCD par défaut utilisé par Windows 7. Si vous ne configurez pas ce paramètre de stratégie, l’ordinateur vérifie les paramètres BCD Windows par défaut. Remarque : lorsque BitLocker utilise le démarrage sécurisé pour la validation de l’intégrité de la plateforme et des données de configuration de démarrage, comme défini par la stratégie de groupe « Autoriser le démarrage sécurisé pour la validation de l’intégrité », la stratégie de groupe « Utiliser un profil amélioré de validation des données de configuration de démarrage » est ignorée. Le paramètre qui contrôle le débogage du démarrage (0x16000010) sera toujours validé et n’aura aucun effet s’il est inclus dans les champs fournis. Enregistrer les mots de passe de récupération et les packages de clés Enregistrer les mots de passe de récupération uniquement Configurer la longueur minimale du code confidentiel de démarrage Ce paramètre de stratégie permet de configurer la longueur minimale du code confidentiel de démarrage du module de plateforme sécurisée. Ce paramètre est appliqué lorsque vous activez BitLocker. Le code confidentiel de démarrage doit comporter entre 4 et 20 chiffres. Si vous activez ce paramètre de stratégie, vous pouvez préciser le nombre minimal de chiffres que l’utilisateur doit entrer lorsqu’il définit le code confidentiel de démarrage. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les utilisateurs peuvent définir un code confidentiel comportant entre 4 et 20 chiffres. Autoriser les agents de récupération de données basés sur des certificats Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker Ce paramètre de stratégie détermine si les lecteurs de données fixes d’un ordinateur doivent être protégés par BitLocker pour être accessibles en écriture. Ce paramètre est appliqué lorsque vous activez BitLocker. Si vous activez ce paramètre, les lecteurs de données fixes non protégés par BitLocker seront montés en lecture seule. En revanche, les lecteurs protégés par BitLocker sont accessibles en lecture et en écriture. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, tous les lecteurs de données fixes de l’ordinateur sont montés en lecture et en écriture. Configurer l’utilisation des mots de passe pour les lecteurs de données fixes Ce paramètre de stratégie spécifie si un mot de passe est obligatoire pour déverrouiller les lecteurs de données fixes protégés par BitLocker. Si vous autorisez les mots de passe, vous pouvez en imposer l’utilisation et en définir les critères de complexité et la longueur minimale. Pour que le paramétrage des critères de complexité prenne effet, vous devez également activer le paramètre de stratégie de groupe « Le mot de passe doit respecter des exigences de complexité » situé dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe\. Remarque : ces paramètres sont appliqués lorsque BitLocker est activé et non lorsqu’un lecteur est déverrouillé. BitLocker permet de déverrouiller un lecteur avec l’un des moyens de protection disponibles pour celui-ci. Si vous activez ce paramètre, les utilisateurs peuvent configurer un mot de passe correspondant aux critères que vous définissez. Pour imposer l’utilisation d’un mot de passe, sélectionnez « Exiger un mot de passe pour les lecteurs de données fixes ». Pour appliquer des critères de complexité aux mots de passe, sélectionnez « Exiger des critères de complexité ». Lorsque « Exiger des critères de complexité » est sélectionné, la connexion à un contrôleur de domaine est nécessaire lors de l’activation de BitLocker pour valider la complexité du mot de passe. Lorsque « Autoriser les critères de complexité » est sélectionné, le système tente de se connecter à un contrôleur de domaine pour vérifier que le mot de passe respecte les règles de complexité définies par la stratégie, mais s’il ne trouve aucun contrôleur de domaine, il accepte le mot de passe quelle que soit sa complexité et protège le lecteur par ce mot de passe. Lorsque « Ne pas autoriser les critères de complexité » est sélectionné, aucune validation de la complexité du mot de passe n’est réalisée. Les mots de passe doivent comporter au moins 8 caractères. Pour configurer une longueur minimale de mot de passe supérieure à 8 caractères, entrez le nombre minimal de caractères dans la zone « Longueur minimale des mots de passe ». Si vous désactivez ce paramètre, les utilisateurs ne peuvent pas utiliser de mot de passe. Si vous ne configurez pas ce paramètre, les mots de passe sont acceptés selon les paramètres par défaut, à savoir aucun critère de complexité et une longueur de 8 caractères. Remarque : les mots de passe ne peuvent pas être utilisés si la conformité FIPS est activée. Le paramètre de stratégie de groupe « Chiffrement système : utiliser des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature » dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité spécifie si la conformité FIPS est activée. Configurer l’utilisation des mots de passe pour les lecteurs du système d’exploitation Ce paramètre de stratégie spécifie les contraintes relatives aux mots de passe utilisés pour déverrouiller les lecteurs du système d’exploitation protégés par BitLocker. Si des protecteurs autres que ceux du module de plateforme sécurisée sont autorisés sur les lecteurs du système d’exploitation, vous pouvez configurer un mot de passe et en définir les critères de complexité et la longueur minimale. Pour que le paramétrage des critères de complexité prenne effet, vous devez également activer le paramètre de stratégie de groupe « Le mot de passe doit respecter des exigences de complexité » situé dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe\. Remarque : ces paramètres sont appliqués lorsque BitLocker est activé et non lorsqu’un lecteur est déverrouillé. BitLocker permet de déverrouiller un lecteur avec l’un des moyens de protection disponibles pour celui-ci. Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe correspondant aux critères que vous définissez. Pour appliquer des critères de complexité aux mots de passe, sélectionnez « Exiger des critères de complexité ». Lorsque « Exiger des critères de complexité » est sélectionné, la connexion à un contrôleur de domaine est nécessaire lors de l’activation de BitLocker pour valider la complexité du mot de passe. Lorsque « Autoriser les critères de complexité » est sélectionné, le système tente de se connecter à un contrôleur de domaine pour vérifier que le mot de passe respecte les règles de complexité définies par la stratégie, mais s’il ne trouve aucun contrôleur de domaine, il accepte le mot de passe quelle que soit sa complexité et protège le lecteur par ce mot de passe. Lorsque « Ne pas autoriser les critères de complexité » est sélectionné, aucune validation de la complexité du mot de passe n’est réalisée. Les mots de passe doivent comporter au moins 8 caractères. Pour configurer une longueur minimale de mot de passe supérieure à 8 caractères, entrez le nombre minimal de caractères dans la zone « Longueur minimale des mots de passe ». Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, la contrainte de longueur par défaut de 8 caractères s’applique aux mots de passe des lecteurs du système d’exploitation et aucune vérification de la complexité n’est réalisée. Remarque : les mots de passe ne peuvent pas être utilisés si la conformité FIPS est activée. Le paramètre de stratégie de groupe « Chiffrement système : utiliser des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature » dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité spécifie si la conformité FIPS est activée. Autoriser les critères de complexité des mots de passe Ne pas autoriser les critères de complexité Exiger des critères de complexité des mots de passe Sauvegarder les mots de passe de récupération et les packages de clés Sauvegarder les mots de passe de récupération uniquement Autoriser l’accès aux lecteurs de données fixes protégés par BitLocker à partir de versions antérieures de Windows Ce paramètre de stratégie configure si les lecteurs de données fixes au format de système de fichiers FAT peuvent être déverrouillés et affichés par des ordinateurs Windows Server 2008, Windows Vista, Windows XP avec Service Pack 3 (SP3) ou Windows XP avec Service Pack 2 (SP2). Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, ces lecteurs peuvent être déverrouillés par ces systèmes d’exploitation et leur contenu affiché. Ces systèmes d’exploitation ont un accès en lecture aux lecteurs protégés par BitLocker. Lorsque ce paramètre est activé, sélectionnez la case à cocher « Ne pas installer l’utilitaire BitLocker To Go sur les lecteurs fixes au format FAT » pour empêcher les utilisateurs d’exécuter l’utilitaire BitLocker To Go à partir de leurs lecteurs fixes. Si l’utilitaire BitLocker To Go (bitlockertogo.exe) est présent sur un lecteur dont le champ d’identification n’est pas spécifié, ou si le lecteur a le même champ d’identification que celui défini dans le paramètre de stratégie « Fournir les identificateurs uniques de votre organisation », le système demandera à l’utilisateur de mettre à jour BitLocker et l’utilitaire BitLocker To Go sera supprimé du lecteur. Dans ce cas, pour déverrouiller les lecteurs fixes montés sur des ordinateurs Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2, l’utilitaire BitLocker To Go doit être installé sur l’ordinateur. Si cette case à cocher n’est pas activée, L’utilitaire BitLocker To Go est installé sur le lecteur fixe pour permettre aux utilisateurs de le déverrouiller sur les ordinateurs Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2 et sur lesquels l’utilitaire BitLocker To Go n’est pas installé. Si vous désactivez ce paramètre de stratégie, les lecteurs de données fixes au format de système de fichiers FAT protégés par BitLocker ne peuvent pas être déverrouillés sur les ordinateurs Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Bitlockertogo.exe ne sera pas installé. Remarque : ce paramètre de stratégie ne s’applique pas aux lecteurs au format de système de fichiers NTFS. Autoriser les agents de récupération de données basés sur des certificats Configurer l’utilisation des cartes à puce sur les lecteurs de données fixes Ce paramètre de stratégie permet de spécifier si les cartes à puce peuvent être utilisées pour authentifier l’accès de l’utilisateur aux lecteurs de données fixes protégés par BitLocker sur un ordinateur. Si vous activez ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès de l’utilisateur aux lecteurs. Vous pouvez imposer l’authentification par carte à puce en activant la case à cocher « Exiger l’utilisation des cartes à puce sur les lecteurs de données fixes ». Remarque : ces paramètres sont appliqués lorsque BitLocker est activé et non lorsqu’un lecteur est déverrouillé. BitLocker permet de déverrouiller un lecteur avec l’un des moyens de protection disponibles pour celui-ci. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser de cartes à puce pour authentifier leur accès aux lecteurs de données fixes protégés par BitLocker. Si vous ne configurez pas ce paramètre de stratégie, les cartes à puce sont autorisées pour authentifier l’accès de l’utilisateur aux lecteurs protégés par BitLocker. Configurer l’utilisation des mots de passe pour les lecteurs de données amovibles Ce paramètre de stratégie spécifie si un mot de passe est obligatoire pour déverrouiller les lecteurs de données amovibles protégés par BitLocker. Si vous autorisez les mots de passe, vous pouvez en imposer l’utilisation et en définir les critères de complexité et la longueur minimale. Pour que le paramétrage des critères de complexité prenne effet, vous devez également activer le paramètre de stratégie de groupe « Le mot de passe doit respecter des exigences de complexité » situé dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe\. Remarque : ces paramètres sont appliqués lorsque BitLocker est activé et non lorsqu’un lecteur est déverrouillé. BitLocker permet de déverrouiller un lecteur avec l’un des moyens de protection disponibles pour celui-ci. Si vous activez ce paramètre, les utilisateurs peuvent configurer un mot de passe correspondant aux critères que vous définissez. Pour imposer l’utilisation d’un mot de passe, sélectionnez « Exiger un mot de passe pour les lecteurs de données amovibles ». Pour appliquer des critères de complexité aux mots de passe, sélectionnez « Exiger des critères de complexité ». Lorsque « Exiger des critères de complexité » est sélectionné, la connexion à un contrôleur de domaine est nécessaire lors de l’activation de BitLocker pour valider la complexité du mot de passe. Lorsque « Autoriser les critères de complexité » est sélectionné, le système tente de se connecter à un contrôleur de domaine pour vérifier que le mot de passe respecte les règles de complexité définies par la stratégie, mais s’il ne trouve aucun contrôleur de domaine, il accepte le mot de passe quelle que soit sa complexité et protège le lecteur par ce mot de passe. Lorsque « Ne pas autoriser les critères de complexité » est sélectionné, aucune validation de la complexité du mot de passe n’est réalisée. Les mots de passe doivent comporter au moins 8 caractères. Pour configurer une longueur minimale de mot de passe supérieure à 8 caractères, entrez le nombre minimal de caractères dans la zone « Longueur minimale des mots de passe ». Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser de mot de passe. Si vous ne configurez pas ce paramètre de stratégie, les mots de passe sont pris en charge avec les paramètres par défaut, à savoir aucun critère de complexité et une longueur de 8 caractères. Remarque : les mots de passe ne peuvent pas être utilisés si la conformité FIPS est activée. Le paramètre de stratégie de groupe « Chiffrement système : utiliser des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature » dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité spécifie si la conformité FIPS est activée. Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker Ce paramètre de stratégie configure si les lecteurs de données amovibles doivent être protégés par BitLocker pour être accessibles en écriture. Si vous activez ce paramètre de stratégie, les lecteurs de données amovibles non protégés par BitLocker sont montés en lecture seule. En revanche, les lecteurs protégés par BitLocker sont accessibles en lecture et en écriture. Si « Ne pas autoriser l’accès en écriture aux périphériques configurés par une autre organisation » est sélectionné, seuls les lecteurs dont le champ d’identification correspond au champ d’identification de l’ordinateur sont accessibles en écriture. Lors de l’accès à un lecteur de données amovible, la validité des champs d’identification et d’identification autorisée est vérifiée. Ces champs sont définis par le paramètre de stratégie « Fournir les identificateurs uniques de votre organisation ». Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, tous les lecteurs de données amovibles de l’ordinateur sont montés en lecture et en écriture. Remarque : ce paramètre de stratégie peut être remplacé par ceux qui se trouvent dans Configuration utilisateur\Modèles d’administration\Système\Accès au stockage amovible. Ce paramètre de stratégie est ignoré si le paramètre de stratégie « Disques amovibles : refuser l’accès en écriture » est activé. Contrôler l’utilisation de BitLocker sur les lecteurs amovibles Ce paramètre de stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données amovibles. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Si vous activez ce paramètre de stratégie, vous pouvez sélectionner les paramètres de propriété contrôlant la façon dont les utilisateurs peuvent configurer BitLocker. Sélectionnez « Autoriser les utilisateurs à protéger les lecteurs de données amovibles avec BitLocker » pour permettre aux utilisateurs d’exécuter l’Assistant d’installation de BitLocker sur un lecteur de données amovible. Sélectionnez « Autoriser les utilisateurs à suspendre et supprimer la protection BitLocker sur les lecteurs de données amovibles » pour permettre aux utilisateurs de supprimer le chiffrement BitLocker sur un lecteur ou de suspendre le chiffrement pendant une opération de maintenance. Consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft TechNet pour plus d’informations sur la suspension de la protection BitLocker. Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent utiliser BitLocker sur les lecteurs amovibles. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser BitLocker sur les lecteurs amovibles. Sauvegarder les mots de passe de récupération et les packages de clés Sauvegarder les mots de passe de récupération uniquement Autoriser l’accès aux lecteurs de données amovibles protégés par BitLocker à partir de versions antérieures de Windows Ce paramètre de stratégie configure si les lecteurs de données amovibles au format de système de fichiers FAT peuvent être déverrouillés et affichés par des ordinateurs Windows Server 2008, Windows Vista, Windows XP avec Service Pack 3 (SP3) ou Windows XP avec Service Pack 2 (SP2). Si vous activez ce paramètre de stratégie ou ne le configurez pas, ces lecteurs peuvent être déverrouillés par ces systèmes d’exploitation et leur contenu affiché. Ces systèmes d’exploitation ont un accès en lecture aux lecteurs protégés par BitLocker. Lorsque ce paramètre de stratégie est activé, sélectionnez la case à cocher « Ne pas installer l’utilitaire BitLocker To Go sur les lecteurs amovibles au format FAT » pour empêcher les utilisateurs d’exécuter l’utilitaire BitLocker To Go à partir de leurs lecteurs amovibles. Si l’utilitaire BitLocker To Go (bitlockertogo.exe) est présent sur un lecteur dont le champ d’identification n’est pas spécifié, ou si le lecteur a le même champ d’identification que celui défini dans le paramètre de stratégie « Fournir les identificateurs uniques de votre organisation », le système demandera à l’utilisateur de mettre à jour BitLocker et l’utilitaire BitLocker To Go sera supprimé du lecteur. Dans ce cas, pour déverrouiller les lecteurs amovibles montés sur des ordinateurs Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2, l’utilitaire BitLocker To Go doit être installé sur l’ordinateur. Si cette case à cocher n’est pas activée, l’utilitaire BitLocker To Go est installé sur le lecteur amovible pour permettre aux utilisateurs de le déverrouiller sur les ordinateurs Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2 et sur lesquels l’utilitaire BitLocker To Go n’est pas installé. Si ce paramètre de stratégie est désactivé, les lecteurs de données amovibles au format de système de fichiers FAT protégés par BitLocker ne peuvent pas être déverrouillés sur les ordinateurs Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Bitlockertogo.exe ne sera pas installé. Remarque : ce paramètre de stratégie ne s’applique pas aux lecteurs au format de système de fichiers NTFS. Autoriser les agents de récupération de données basés sur des certificats Configurer l’utilisation des cartes à puce sur les lecteurs de données amovibles Ce paramètre de stratégie permet de spécifier si les cartes à puce peuvent être utilisées pour authentifier l’accès de l’utilisateur aux lecteurs de données amovibles protégés par BitLocker sur un ordinateur. Si vous activez ce paramètre de stratégie, les cartes à puce peuvent être utilisées pour authentifier l’accès de l’utilisateur aux lecteurs. Vous pouvez imposer l’authentification par carte à puce en activant la case à cocher « Exiger l’utilisation des cartes à puce sur les lecteurs de données amovibles ». Remarque : ces paramètres sont appliqués lorsque BitLocker est activé et non lorsqu’un lecteur est déverrouillé. BitLocker autorise le déverrouillage d’un lecteur avec l’un des protecteurs disponibles pour celui-ci. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne sont pas autorisés à utiliser de cartes à puce pour authentifier leur accès aux lecteurs de données amovibles protégés par BitLocker. Si vous ne configurez pas ce paramètre de stratégie, les cartes à puce sont autorisées pour authentifier l’accès de l’utilisateur aux lecteurs amovibles protégés par BitLocker. Autoriser les codes confidentiels améliorés au démarrage Ce paramètre de stratégie permet de configurer si les codes confidentiels améliorés peuvent être utilisés avec BitLocker au démarrage. Les codes confidentiels de démarrage améliorés permettent l’utilisation de caractères comme les majuscules et les minuscules, les symboles, les chiffres et les espaces. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Si vous activez ce paramètre de stratégie, tous les nouveaux codes confidentiels de démarrage BitLocker seront des codes améliorés. Remarque : tous les ordinateurs ne prennent pas en charge les codes confidentiels améliorés dans l’environnement préalable au démarrage. Il est fortement conseillé que les utilisateurs réalisent une vérification système pendant l’installation de BitLocker. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les codes confidentiels améliorés ne sont pas autorisés. Réinitialiser les données de validation de plateforme après une récupération BitLocker Ce paramètre de stratégie permet de contrôler si les données de validation de plateforme sont actualisées lorsque Windows est démarré à la suite d’une récupération BitLocker. Si vous activez ce paramètre de stratégie, les données de validation de plateforme sont actualisées lorsque Windows est démarré à la suite d’une récupération BitLocker. Si vous désactivez ce paramètre de stratégie, les données de validation de plateforme ne sont pas actualisées lorsque Windows est démarré à la suite d’une récupération BitLocker. Si vous ne configurez pas ce paramètre de stratégie, les données de validation de plateforme ne sont pas actualisées lorsque Windows est démarré à la suite d’une récupération BitLocker. Appliquer le type de chiffrement de lecteur aux lecteurs du système d’application Appliquer le type de chiffrement de lecteur aux lecteurs de données fixes Appliquer le type de chiffrement de lecteur aux lecteurs de données amovibles Ce paramètre de stratégie permet de configurer le type de chiffrement utilisé par le chiffrement de lecteur BitLocker. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement est sans effet si le disque est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement complet pour demander à ce que l’ensemble du lecteur soit chiffré lorsque BitLocker est activé. Choisissez le chiffrement de l’espace utilisé uniquement pour demander à ce que seule la portion du lecteur utilisée pour stocker des données soit chiffrée lorsque BitLocker est activé. Si vous activez ce paramètre de stratégie, le type de chiffrement que BitLocker utilisera pour chiffrer les lecteurs est défini par ce paramètre de stratégie et l’option de type de chiffrement n’est pas présentée dans l’Assistant d’installation de BitLocker. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, l’Assistant d’installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker. Autoriser l’utilisateur à choisir (par défaut) Chiffrement complet Chiffrement de l’espace utilisé uniquement Ne pas autoriser les utilisateurs standard à modifier le code confidentiel ou le mot de passe Ce paramètre de stratégie permet de configurer si les utilisateurs standard sont ou non autorisés à modifier les codes confidentiels des volumes BitLocker, à condition qu’ils puissent dans un premier temps fournir le code confidentiel existant. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Si vous activez ce paramètre de stratégie, les utilisateurs ne sont pas autorisés à modifier les codes confidentiels ou mots de passe BitLocker. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les utilisateurs standard sont autorisés à modifier les codes confidentiels et mots de passe BitLocker. Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs du système d’exploitation Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs de données fixes Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs de données amovibles Ce paramètre de stratégie permet de gérer l’utilisation par BitLocker du chiffrement au niveau matériel sur les lecteurs du système d’exploitation et de spécifier quels algorithmes de chiffrement il peut utiliser avec le chiffrement au niveau matériel. L’utilisation du chiffrement au niveau matériel permet d’améliorer les performances de fonctionnement des lecteurs sur lesquels des opérations de lecture et d’écriture de données sont fréquentes. Si vous activez ce paramètre de stratégie, vous pouvez spécifier des options supplémentaires qui contrôlent si le chiffrement au niveau logiciel BitLocker est utilisé à la place du chiffrement au niveau matériel sur les ordinateurs ne prenant pas en charge le chiffrement au niveau matériel, et si vous voulez restreindre les algorithmes et suites de chiffrement utilisés pour le chiffrement au niveau matériel. Si vous désactivez ce paramètre de stratégie, BitLocker ne peut pas utiliser le chiffrement au niveau matériel avec les lecteurs du système d’exploitation et le chiffrement au niveau logiciel BitLocker est utilisé par défaut pour chiffrer le lecteur. Si vous ne configurez pas ce paramètre de stratégie, BitLocker utilise le chiffrement au niveau matériel avec le jeu d’algorithmes de chiffrement pour le lecteur. Si le chiffrement au niveau matériel n’est pas disponible, le chiffrement au niveau logiciel BitLocker est utilisé à la place. Remarque : le paramètre de stratégie « Sélectionner la méthode et la puissance de chiffrement des lecteurs » ne s’applique pas au chiffrement au niveau matériel. L’algorithme de chiffrement utilisé par le chiffrement au niveau matériel est défini lors du partitionnement du lecteur. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer le lecteur. L’option « Restreindre les algorithmes et suites de chiffrement autorisés pour le chiffrement au niveau matériel » permet de restreindre les algorithmes de chiffrement que BitLocker utilise avec le chiffrement au niveau matériel. Si le jeu d’algorithmes pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement au niveau matériel. Les algorithmes de chiffrement sont spécifiés par des identificateurs d’objets (OID). Par exemple : - OID AES 128 en mode CBC : 2.16.840.1.101.3.4.1.2 - OID AES 256 en mode CBC : 2.16.840.1.101.3.4.1.42 Ce paramètre de stratégie permet de gérer l’utilisation par BitLocker du chiffrement au niveau matériel sur les lecteurs de données fixes et de spécifier quels algorithmes de chiffrement il peut utiliser avec le chiffrement au niveau matériel. L’utilisation du chiffrement au niveau matériel permet d’améliorer les performances de fonctionnement des lecteurs sur lesquels des opérations de lecture et d’écriture de données sont fréquentes. Si vous activez ce paramètre de stratégie, vous pouvez spécifier des options supplémentaires qui contrôlent si le chiffrement au niveau logiciel BitLocker est utilisé à la place du chiffrement au niveau matériel sur les ordinateurs ne prenant pas en charge le chiffrement au niveau matériel, et si vous voulez restreindre les algorithmes et suites de chiffrement utilisés pour le chiffrement au niveau matériel. Si vous désactivez ce paramètre de stratégie, BitLocker ne peut pas utiliser le chiffrement au niveau matériel avec les lecteurs du système d’exploitation et le chiffrement au niveau logiciel BitLocker est utilisé par défaut pour chiffrer le lecteur. Si vous ne configurez pas ce paramètre de stratégie, BitLocker utilise le chiffrement au niveau matériel avec le jeu d’algorithmes de chiffrement pour le lecteur. Si le chiffrement au niveau matériel n’est pas disponible, le chiffrement au niveau logiciel BitLocker est utilisé à la place. Remarque : le paramètre de stratégie « Sélectionner la méthode et la puissance de chiffrement des lecteurs » ne s’applique pas au chiffrement au niveau matériel. L’algorithme de chiffrement utilisé par le chiffrement au niveau matériel est défini lors du partitionnement du lecteur. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer le lecteur. L’option « Restreindre les algorithmes et suites de chiffrement autorisés pour le chiffrement au niveau matériel » permet de restreindre les algorithmes de chiffrement que BitLocker utilise avec le chiffrement au niveau matériel. Si le jeu d’algorithmes pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement au niveau matériel. Les algorithmes de chiffrement sont spécifiés par des identificateurs d’objets (OID). Par exemple : - OID AES 128 en mode CBC : 2.16.840.1.101.3.4.1.2 - OID AES 256 en mode CBC : 2.16.840.1.101.3.4.1.42 Ce paramètre de stratégie permet de gérer l’utilisation par BitLocker du chiffrement au niveau matériel sur les lecteurs de données amovibles et de spécifier quels algorithmes de chiffrement il peut utiliser avec le chiffrement au niveau matériel. L’utilisation du chiffrement au niveau matériel permet d’améliorer les performances de fonctionnement des lecteurs sur lesquels des opérations de lecture et d’écriture de données sont fréquentes. Si vous activez ce paramètre de stratégie, vous pouvez spécifier des options supplémentaires qui contrôlent si le chiffrement au niveau logiciel BitLocker est utilisé à la place du chiffrement au niveau matériel sur les ordinateurs ne prenant pas en charge le chiffrement au niveau matériel, et si vous voulez restreindre les algorithmes et suites de chiffrement utilisés pour le chiffrement au niveau matériel. Si vous désactivez ce paramètre de stratégie, BitLocker ne peut pas utiliser le chiffrement au niveau matériel avec les lecteurs du système d’exploitation et le chiffrement au niveau logiciel BitLocker est utilisé par défaut pour chiffrer le lecteur. Si vous ne configurez pas ce paramètre de stratégie, BitLocker utilise le chiffrement au niveau matériel avec le jeu d’algorithmes de chiffrement pour le lecteur. Si le chiffrement au niveau matériel n’est pas disponible, le chiffrement au niveau logiciel BitLocker est utilisé à la place. Remarque : le paramètre de stratégie « Sélectionner la méthode et la puissance de chiffrement des lecteurs » ne s’applique pas au chiffrement au niveau matériel. L’algorithme de chiffrement utilisé par le chiffrement au niveau matériel est défini lors du partitionnement du lecteur. Par défaut, BitLocker utilise l’algorithme configuré sur le lecteur pour chiffrer le lecteur. L’option « Restreindre les algorithmes et suites de chiffrement autorisés pour le chiffrement au niveau matériel » permet de restreindre les algorithmes de chiffrement que BitLocker utilise avec le chiffrement au niveau matériel. Si le jeu d’algorithmes pour le lecteur n’est pas disponible, BitLocker désactive l’utilisation du chiffrement au niveau matériel. Les algorithmes de chiffrement sont spécifiés par des identificateurs d’objets (OID). Par exemple : - OID AES 128 en mode CBC : 2.16.840.1.101.3.4.1.2 - OID AES 256 en mode CBC : 2.16.840.1.101.3.4.1.42 Activer l’utilisation de l’authentification BitLocker exigeant une saisie au clavier préalable au démarrage sur tablettes tactiles Ce paramètre de stratégie permet aux utilisateurs d’activer les options d’authentification qui requièrent une entrée utilisateur depuis l’environnement préalable au démarrage même si la plateforme ne dispose pas d’une fonctionnalité de saisie préalable au démarrage. Le clavier tactile Windows (comme celui utilisé sur les tablettes) n’est pas disponible dans l’environnement préalable au démarrage où BitLocker requiert des informations supplémentaires comme un code confidentiel ou un mot de passe. Si vous activez ce paramètre de stratégie, les appareils doivent disposer d’un autre moyen de saisie préalable au démarrage (par exemple un clavier USB connecté). Si ce paramètre de stratégie n’est pas activé, l’Environnement de récupération Windows (WinRE) doit être activé sur les tablettes afin de prendre en charge la saisie du mot de passe de récupération BitLocker. Lorsque ni l’Environnement de récupération Windows (WinRE) ni ce paramètre de stratégie ne sont activés, vous ne pouvez pas activer BitLocker sur un appareil qui utilise le clavier tactile Windows. Notez que si vous n’activez pas ce paramètre de stratégie, les options de la stratégie « Exiger une authentification supplémentaire au démarrage » risquent de ne pas être disponibles sur ces appareils. Ces options sont les suivantes : - Configurer le code confidentiel de démarrage du module de plateforme sécurisée : requis/autorisé - Configurer le code confidentiel et la clé de démarrage du module de plateforme sécurisée : requis/autorisé - Configurer l’utilisation de mots de passe pour les lecteurs du système d’exploitation. Autoriser le démarrage sécurisé pour la validation de l’intégrité Ce paramètre de stratégie permet de configurer si le démarrage sécurisé est autorisé comme fournisseur d’intégrité de plateforme pour les lecteurs du système d’exploitation protégés par BitLocker. Le démarrage sécurisé garantit que l’environnement préalable au démarrage de l’ordinateur charge uniquement le microprogramme signé numériquement par les éditeurs de logiciels autorisés. Le démarrage sécurisé offre par ailleurs davantage de flexibilité pour gérer la configuration préalable au démarrage que les vérifications d’intégrité BitLocker héritées. Si vous activez ce paramètre de stratégie ou ne le configurez pas, BitLocker utilise le démarrage sécurisé pour valider l’intégrité de la plateforme si cette dernière prend en charge la validation de l’intégrité avec le démarrage sécurisé Si vous désactivez ce paramètre de sécurité, BitLocker utilise la validation de l’intégrité de la plateforme héritée, même sur les systèmes prenant en charge la validation de l’intégrité avec le démarrage sécurisé. Lorsque ce paramètre de stratégie est activé et que le matériel prend en charge l’utilisation du démarrage sécurisé pour les scénarios BitLocker, le paramètre de stratégie de groupe « Utiliser un profil amélioré de validation des données de configuration de démarrage » est ignoré et le démarrage sécurisé vérifie les paramètres BCD en fonction du paramètre de stratégie Démarrage sécurisé, qui est configuré séparément de BitLocker. Remarque : si le paramètre de stratégie de groupe « Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de microprogramme UEFI natives » est activé et si PCR 7 est omis, BitLocker ne pourra pas utiliser le démarrage sécurisé pour la validation de l’intégrité de la plateforme ou des données de configuration de démarrage. Avertissement : le fait de désactiver cette stratégie peut entraîner une récupération BitLocker lorsque des microprogrammes sont mis à jour. Si vous désactivez cette stratégie, suspendez BitLocker avant d’appliquer des mises à jour de microprogrammes. Au minimum Windows Server 2012 ou Windows 8 Exiger la sauvegarde BitLocker vers les services de domaine Active Directory (AD DS) Si vous activez ce paramètre de stratégie, BitLocker ne peut pas être activé en cas d’échec de la sauvegarde (paramètre par défaut recommandé). Si vous désactivez ce paramètre de stratégie, BitLocker peut être activé même en cas d’échec de la sauvegarde. La sauvegarde n’est pas retentée automatiquement. Sélectionner les informations de récupération BitLocker à stocker : Un mot de passe de récupération est un nombre de 48 chiffres qui déverrouille l’accès à un lecteur protégé par BitLocker. Un package de clés contient une clé de chiffrement BitLocker pour le lecteur, sécurisée par un ou plusieurs mots de passe de récupération Les packages de clés aident à réaliser des récupérations spécialisées en cas d’endommagement du disque. Autoriser BitLocker sans un module de plateforme sécurisée compatible (requiert un mot de passe ou une clé de démarrage sur un disque mémoire flash USB) Paramètres pour les ordinateurs avec un module de plateforme sécurisée : Configurer la clé de démarrage de module de plateforme sécurisée : Configurer le code confidentiel de démarrage de module de plateforme sécurisée : Important : si vous imposez l’utilisation d’une clé de démarrage, vous devez interdire l’utilisation d’un code confidentiel de démarrage. Si vous imposez l’utilisation d’un code confidentiel de démarrage, vous devez interdire l’utilisation d’une clé de démarrage. Sinon, une erreur de stratégie se produira. Remarque : n’autorisez ni les options de code confidentiel ni les options de clé de démarrage à masquer la page avancée sur un ordinateur avec module de plateforme sécurisée. Autoriser BitLocker sans un module de plateforme sécurisée compatible (requiert un mot de passe ou une clé de démarrage sur un disque mémoire flash USB) Paramètres pour les ordinateurs avec un module de plateforme sécurisée : Configurer le démarrage du module de plateforme sécurisée : Configurer le code confidentiel de démarrage de module de plateforme sécurisée : Configurer la clé de démarrage de module de plateforme sécurisée : Configurer le code confidentiel et la clé de démarrage de module de plateforme sécurisée : Important : pour éviter la perte de données, vous devez disposer d’un moyen de récupérer les clés de chiffrement BitLocker. Si vous n’autorisez aucune des options de récupération ci-dessous, vous devez activer la sauvegarde des informations de récupération BitLocker dans les services de domaine Active Directory. Sinon, une erreur de stratégie se produit. Configurer le mot de passe de récupération à 48 chiffres : Configurer la clé de récupération à 256 bits : Remarque : si vous n’autorisez pas les mots de passe et exigez la clé de récupération, les utilisateurs ne peuvent activer BitLocker qu’en enregistrant les informations sur clé USB. Autoriser les agents de récupération de données Configurer le stockage par les utilisateurs des informations de récupération BitLocker : Supprimer les options de configuration de l’Assistant d’installation de BitLocker Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs du système d’exploitation Configurer le stockage des informations de récupération BitLocker dans les services de domaine Active Directory : N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d’exploitation Autoriser les agents de récupération de données Configurer le stockage par les utilisateurs des informations de récupération BitLocker : Supprimer les options de configuration de l’Assistant d’installation de BitLocker Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs de données fixes Configurer le stockage des informations de récupération BitLocker dans les services de domaine Active Directory : N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs de données fixes Autoriser les agents de récupération de données Configurer le stockage par les utilisateurs des informations de récupération BitLocker : Supprimer les options de configuration de l’Assistant d’installation de BitLocker Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs de données amovibles Configurer le stockage des informations de récupération BitLocker dans les services de domaine Active Directory : N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs de données amovibles Configurer le chemin d’accès du dossier par défaut : Spécifiez un chemin d’accès complet ou ajoutez les variables d’environnement de l’ordinateur dans le chemin d’accès. Par exemple, entrez « \\serveur\dossiersauvegarde » ou « %VariableEnvironnementLecteurSécurisé%\dossiersauvegarde » Remarque : dans tous les cas, l’utilisateur aura la possibilité de sélectionner d’autres dossiers où enregistrer le mot de passe de récupération. Sélectionner la méthode de chiffrement : Sélectionner la méthode de chiffrement : Sélectionner le type de chiffrement : Sélectionner le type de chiffrement : Sélectionner le type de chiffrement : Un profil de validation de plateforme consiste en un ensemble d’index de registre de configuration de plateforme (PCR). Chaque index PCR est associé à des composants qui s’exécutent au démarrage de Windows. Utilisez les cases à cocher ci-dessous pour sélectionner les index PCR à inclure au profil. Soyez prudent en modifiant ce paramétrage. Nous recommandons les PCR par défaut : 0, 2, 4, 8, 9, 10 et 11. Pour que la protection BitLocker prenne effet, vous devez inclure le registre de configuration de plateforme 11. Consultez la documentation en ligne pour plus d’informations sur les avantages et les risques de modifier le profil de validation de plateforme du module de plateforme sécurisée. PCR 0 : CRTM (Core Root of Trust of Measurement), BIOS et extensions de plateforme PCR 1 : Configuration et données de plateforme et de carte mère PCR 2 : Code de ROM en option PCR 3 : Configuration et données de ROM en option PCR 4 : Code d’enregistrement de démarrage principal (MBR) PCR 5 : Table de partition d’enregistrement de démarrage principal (MBR) PCR 6 : Événements de transition d’état et de sortie de veille PCR 7 : Spécificité du fabricant de l’ordinateur PCR 8 : Secteur d’amorçage NTFS PCR 9 : Bloc d’amorçage NTFS PCR 10 : Gestionnaire de démarrage PCR 11 : Contrôle d’accès BitLocker PCR 12 : Réservé pour un usage futur PCR 13 : Réservé pour un usage futur PCR 14 : Réservé pour un usage futur PCR 15 : Réservé pour un usage futur PCR 16 : Réservé pour un usage futur PCR 17 : Réservé pour un usage futur PCR 18 : Réservé pour un usage futur PCR 19 : Réservé pour un usage futur PCR 20 : Réservé pour un usage futur PCR 21 : Réservé pour un usage futur PCR 22 : Réservé pour un usage futur PCR 23 : Réservé pour un usage futur Un profil de validation de plateforme consiste en un ensemble d’index de registre de configuration de plateforme (PCR). Chaque index PCR est associé à des composants qui s’exécutent au démarrage de Windows. Utilisez les cases à cocher ci-dessous pour sélectionner les index PCR à inclure au profil. Soyez prudent en modifiant ce paramétrage. Nous recommandons les PCR par défaut : 0, 2, 4, 8, 9, 10 et 11. Pour que la protection BitLocker prenne effet, vous devez inclure le registre de configuration de plateforme 11. Consultez la documentation en ligne pour plus d’informations sur les avantages et les risques de modifier le profil de validation de plateforme du module de plateforme sécurisée. PCR 0 : CRTM (Core Root of Trust of Measurement), BIOS et extensions de plateforme PCR 1 : Configuration et données de plateforme et de carte mère PCR 2 : Code de ROM en option PCR 3 : Configuration et données de ROM en option PCR 4 : Code d’enregistrement de démarrage principal (MBR) PCR 5 : Table de partition d’enregistrement de démarrage principal (MBR) PCR 6 : Événements de transition d’état et de sortie de veille PCR 7 : Spécificité du fabricant de l’ordinateur PCR 8 : Secteur d’amorçage NTFS PCR 9 : Bloc d’amorçage NTFS PCR 10 : Gestionnaire de démarrage PCR 11 : Contrôle d’accès BitLocker PCR 12 : Réservé pour un usage futur PCR 13 : Réservé pour un usage futur PCR 14 : Réservé pour un usage futur PCR 15 : Réservé pour un usage futur PCR 16 : Réservé pour un usage futur PCR 17 : Réservé pour un usage futur PCR 18 : Réservé pour un usage futur PCR 19 : Réservé pour un usage futur PCR 20 : Réservé pour un usage futur PCR 21 : Réservé pour un usage futur PCR 22 : Réservé pour un usage futur PCR 23 : Réservé pour un usage futur Un profil de validation de plateforme consiste en un ensemble d’index de registre de configuration de plateforme (PCR). Chaque index PCR est associé à des composants qui s’exécutent au démarrage de Windows. Utilisez les cases à cocher ci-dessous pour sélectionner les index PCR à inclure au profil. Soyez prudent en modifiant ce paramétrage. Nous recommandons les PCR par défaut : 0, 2, 4 et 11. Pour que la protection BitLocker prenne effet, vous devez inclure le registre de configuration de plateforme 11. Consultez la documentation en ligne pour plus d’informations sur les avantages et les risques de modifier le profil de validation de plateforme du module de plateforme sécurisée. PCR 0 : Code exécutable du microprogramme du système noyau PCR 1 : Données du microprogramme du système noyau PCR 2 : Code exécutable étendu ou enfichable PCR 3 : Données du microprogramme étendu ou enfichable PCR 4 : Gestionnaire de démarrage PCR 5 : GPT / Table de partition PCR 6 : Reprendre à partir des événements d’état d’alimentation S4 et S5 PCR 7 : État du démarrage sécurisé PCR 8 : Initialisé à 0 sans extension (réservé pour une utilisation ultérieure) PCR 9 : Initialisé à 0 sans extension (réservé pour une utilisation ultérieure) PCR 10 : Initialisé à 0 sans extension (réservé pour une utilisation ultérieure) PCR 11 : Contrôle d’accès BitLocker PCR 12 : Événements de données et événements fortement volatiles PCR 13 : Détails du module de démarrage PCR 14 : Autorités de démarrage PCR 15 : Réservé pour un usage futur PCR 16 : Réservé pour un usage futur PCR 17 : Réservé pour un usage futur PCR 18 : Réservé pour un usage futur PCR 19 : Réservé pour un usage futur PCR 20 : Réservé pour un usage futur PCR 21 : Réservé pour un usage futur PCR 22 : Réservé pour un usage futur PCR 23 : Réservé pour un usage futur Champ d’identification BitLocker : Champ d’identification autorisée BitLocker : Identificateur d’objet : 1.3.6.1.4.1.311.67.1.1 Vérifiez les paramètres BCD supplémentaires suivants : Excluez les paramètres BCD supplémentaires suivants : Nombre minimal de caractères : Exiger un mot de passe pour les lecteurs de données fixes Configurer les critères de complexité des mots de passe pour les lecteurs de données fixes : Longueur minimale des mots de passe pour les lecteurs de données fixes : Remarque : vous devez activer le paramètre de stratégie « Le mot de passe doit respecter des exigences de complexité » pour que les critères de complexité soient appliqués. Configurer les critères de complexité des mots de passe pour les lecteurs du système d’exploitation : Longueur minimale des mots de passe pour les lecteurs du système d’exploitation : Remarque : vous devez activer le paramètre de stratégie « Le mot de passe doit respecter des exigences de complexité » pour que les critères de complexité soient appliqués. Exiger des mots de passe ASCII seulement pour les lecteurs du système d’exploitation amovibles Exiger l’utilisation des cartes à puce sur les lecteurs de données fixes Exiger un mot de passe pour les lecteurs de données amovibles Configurer les critères de complexité des mots de passe pour les lecteurs de données amovibles : Longueur minimale des mots de passe pour les lecteurs de données amovibles : Remarque : vous devez activer le paramètre de stratégie « Le mot de passe doit respecter des exigences de complexité » pour que les critères de complexité soient appliqués. Autoriser les utilisateurs à protéger les lecteurs de données amovibles avec BitLocker Autoriser les utilisateurs à suspendre et supprimer la protection BitLocker sur les lecteurs de données amovibles Ne pas autoriser l’accès en écriture aux périphériques configurés par une autre organisation Exiger l’utilisation des cartes à puce sur les lecteurs de données amovibles Ne pas installer l’utilitaire BitLocker To Go sur les lecteurs fixes au format FAT Ne pas installer l’utilitaire BitLocker To Go sur les lecteurs amovibles au format FAT Utiliser le chiffrement au niveau logiciel BitLocker lorsque le chiffrement au niveau matériel n’est pas disponible Restreindre les algorithmes et suites de chiffrement autorisés pour le chiffrement au niveau matériel Vous pouvez restreindre les algorithmes ou suites de chiffrement aux valeurs suivantes : 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Utiliser le chiffrement au niveau logiciel BitLocker lorsque le chiffrement au niveau matériel n’est pas disponible Restreindre les algorithmes et suites de chiffrement autorisés pour le chiffrement au niveau matériel Vous pouvez restreindre les algorithmes ou suites de chiffrement aux valeurs suivantes : 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Utiliser le chiffrement au niveau logiciel BitLocker lorsque le chiffrement au niveau matériel n’est pas disponible Restreindre les algorithmes et suites de chiffrement autorisés pour le chiffrement au niveau matériel Vous pouvez restreindre les algorithmes ou suites de chiffrement aux valeurs suivantes : 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42