Bitlocker : stocker le mot de passe de récupération dans l’Active Directory


Windows Server 2012R2 Windows Server 2016 Windows Server 2019

Présentation

Dans ce tutoriel, nous allons voir comment stocker le mot de passe de récupération Bitlocker dans l’Active Directrory.

Le mot de passe de récupération est demandé lorsque l’utilisateur à oublier son code pin ou que l’on souhaite accéder au disque dur sur un autre ordinateur quand on a utilisé le module TPM.

La visualisation des mots de passe se fait à l’aide de la console Utilisateurs et Ordinateurs Active Directory.

Prérequis

Le schéma avec Windows Serveur 2008 est en version 44.

Configurer l’enregistrement des mot de passe dans l’Active Directory

Installer la fonctionnalité pour voir les mots de passe de récupération dans l’Active Directory

Afin de pouvoir visualiser les mots de passe depuis la console Utilisateurs et Ordinateurs Active Directory, il est nécessaire d’ajouter la fonctionnalité sur un ou plusieurs serveurs où est installée la console (généralement sur les contrôleurs de domaine).

Depuis le Gestionnaire de serveur, cliquer sur Ajouter des rôles et des fonctionnalités 1.

Gestionnaire de serveur

Au lancement de l’assistant, cliquer sur Suivant 1.

Sélectionner l’option Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.

Choisir le serveur 1 puis cliquer sur Suivant 2.

Choisir le serveur

Passer la liste des rôles en cliquant sur Suivant 1.

Liste des rôles

Cocher la fonctionnalité Visionneuse des mots de passe de récupération Bitlocker 1 qui se trouve dans : Outils d'administration / Utilitaire d'administration de Chiffrement Bitlocker. Cliquer ensuite sur Suivant 2.

Visionneuse des mots de passe de récupération Bitlocker

Confirmer l’installation en cliquant sur le bouton Installer 1.

Confirmer l'installation

Patienter pendant l’installation …

Une fois l’installation terminée, quitter l’assistant en cliquant sur Fermer 1.

Installation terminée

Cette fonctionnalité ajoute un onglet (Récupération Bitlocker) sur les objets Ordinateur.

Configuration de la stratégie de groupe (GPO) pour la liaison Bitlocker avec Active Directory

Afin que le mot de passe de récupération Bitlocker soit enregistré dans l’Active Directory, il est nécessaire de configurer une stratégie qui va configurer la fonctionnalité sur le poste pour le mot de passe se stocke dans l’AD lors de l’activation du cryptage avec BitLocker.

Les paramètres qui sont configurés dans la stratégie se trouve dans Configuration ordinateur.

Depuis la console Gestion de stratégie de groupe, faire un clic doit sur l’OU 1 où les paramètres doivent être appliqués et cliquer sur Créer un objet GPO dans ce domaine, et le lier ici 2.

Nouvelle stratégie de groupe

Nommer la stratégie de groupe 1 et cliquer sur OK 2.

Nom de la stratégie

Faire un clic droit sur la stratégie 1 qui vient d’être créée puis cliquer sur Modifier 2.

Modifier la stratégie

Modifier le paramètre Sélectionner la méthode de récupération des lecteurs systèmes d’exploitation protégés par Bitlocker 1, qui se trouve à l’emplacement Configuration ordinateur / Stratégies / Modèles d'administration / Composants Windows / Chiffrement de lecteur BitLocker / lecteurs du système d'exploitation.

Sélectionner la méthode de récupération des lecteurs systèmes d'exploitation protégés par Bitlocker

Activer 1 le paramètre et configurer options 2 comme sur la capture et cliquer sur Appliquer 3 et OK 4.

OptionExplication
Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs du système d’exploitationCette option permet d’activer l’enregistrement des mots de passe de récupération dans l’Active Directory.
Supprimer les options de configuration de l’Assistant d’installation BitLockerCette option permet de supprimer les options de configuration de l’activation de Bitlocker.
N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d’exploitationCette option permet de s’assurer que le mot de passe de restauration est bien enregistré dans l’Active Directrory avant l’activation de Bitlocker.

Fermer l’éditeur de stratégie de groupe.

Aperçu des paramètres de la stratégie :

Paramètres de la stratégie pour Bitlocker

Valider la configuration

Sur un ordinateur où Bitlocker n’est pas configuré, ouvrir l’explorateur de fichier et faire un clic-droit sur le disque système 1 et cliquer sur Activer BitLocker 2.

Patienter pendant l’initialisation de BitLocker…

Choisir comment l’espace disque est chiffré 1 et cliquer sur Suivant 2.

Configurer le mode de chiffrement 1 puis cliquer sur Suivant 2.

Cliquer sur Démarrer le chiffrement 1.

Patienter pendant le chiffrement…

Pendant ce temps, aller voir l’objet de l’ordinateur sur la console Utilisateurs et ordinateurs Active Directory, le mot de passe de récupération est disponible sur l’onglet Récupération BitLocker.

Sur l’ordinateur, une fois le chiffrement terminé, cliquer sur Fermer 1.

Conclusion

Le stockage des mots de passe de récupération dans l’Active Directory permet de les centraliser.




Laisser un commentaire