Présentation
Dans ce tutoriel, nous allons voir comment stocker le mot de passe de récupération Bitlocker dans l’Active Directrory.
Le mot de passe de récupération est demandé lorsque l’utilisateur à oublier son code pin ou que l’on souhaite accéder au disque dur sur un autre ordinateur quand on a utilisé le module TPM.
La visualisation des mots de passe se fait à l’aide de la console Utilisateurs et Ordinateurs Active Directory.
Prérequis
- Utiliser un environnement Active Directory
- Le schéma doit être en version 40 minimum.
Le schéma avec Windows Serveur 2008 est en version 44.
Configurer l’enregistrement des mot de passe dans l’Active Directory
Installer la fonctionnalité pour voir les mots de passe de récupération dans l’Active Directory
Afin de pouvoir visualiser les mots de passe depuis la console Utilisateurs et Ordinateurs Active Directory
, il est nécessaire d’ajouter la fonctionnalité sur un ou plusieurs serveurs où est installée la console (généralement sur les contrôleurs de domaine).
Depuis le Gestionnaire de serveur, cliquer sur Ajouter des rôles et des fonctionnalités 1.
Au lancement de l’assistant, cliquer sur Suivant 1.
Sélectionner l’option Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.
Choisir le serveur 1 puis cliquer sur Suivant 2.
Passer la liste des rôles en cliquant sur Suivant 1.
Cocher la fonctionnalité Visionneuse des mots de passe de récupération Bitlocker 1 qui se trouve dans : Outils d'administration / Utilitaire d'administration de Chiffrement Bitlocker
. Cliquer ensuite sur Suivant 2.
Confirmer l’installation en cliquant sur le bouton Installer 1.
Patienter pendant l’installation …
Une fois l’installation terminée, quitter l’assistant en cliquant sur Fermer 1.
Cette fonctionnalité ajoute un onglet (Récupération Bitlocker) sur les objets Ordinateur.
Configuration de la stratégie de groupe (GPO) pour la liaison Bitlocker avec Active Directory
Afin que le mot de passe de récupération Bitlocker soit enregistré dans l’Active Directory, il est nécessaire de configurer une stratégie qui va configurer la fonctionnalité sur le poste pour le mot de passe se stocke dans l’AD lors de l’activation du cryptage avec BitLocker.
Les paramètres qui sont configurés dans la stratégie se trouve dans Configuration ordinateur.
Depuis la console Gestion de stratégie de groupe, faire un clic doit sur l’OU 1 où les paramètres doivent être appliqués et cliquer sur Créer un objet GPO dans ce domaine, et le lier ici 2.
Nommer la stratégie de groupe 1 et cliquer sur OK 2.
Faire un clic droit sur la stratégie 1 qui vient d’être créée puis cliquer sur Modifier 2.
Modifier le paramètre Sélectionner la méthode de récupération des lecteurs systèmes d’exploitation protégés par Bitlocker 1, qui se trouve à l’emplacement Configuration ordinateur / Stratégies / Modèles d'administration / Composants Windows / Chiffrement de lecteur BitLocker / lecteurs du système d'exploitation
.
Activer 1 le paramètre et configurer options 2 comme sur la capture et cliquer sur Appliquer 3 et OK 4.
Option | Explication |
---|---|
Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs du système d’exploitation | Cette option permet d’activer l’enregistrement des mots de passe de récupération dans l’Active Directory. |
Supprimer les options de configuration de l’Assistant d’installation BitLocker | Cette option permet de supprimer les options de configuration de l’activation de Bitlocker. |
N’activer BitLocker qu’une fois les informations de récupération stockées dans les services de domaine Active Directory pour les lecteurs du système d’exploitation | Cette option permet de s’assurer que le mot de passe de restauration est bien enregistré dans l’Active Directrory avant l’activation de Bitlocker. |
Fermer l’éditeur de stratégie de groupe.
Aperçu des paramètres de la stratégie :
Valider la configuration
Sur un ordinateur où Bitlocker n’est pas configuré, ouvrir l’explorateur de fichier et faire un clic-droit sur le disque système 1 et cliquer sur Activer BitLocker 2.
Patienter pendant l’initialisation de BitLocker…
Choisir comment l’espace disque est chiffré 1 et cliquer sur Suivant 2.
Configurer le mode de chiffrement 1 puis cliquer sur Suivant 2.
Cliquer sur Démarrer le chiffrement 1.
Patienter pendant le chiffrement…
Pendant ce temps, aller voir l’objet de l’ordinateur sur la console Utilisateurs et ordinateurs Active Directory, le mot de passe de récupération est disponible sur l’onglet Récupération BitLocker.
Sur l’ordinateur, une fois le chiffrement terminé, cliquer sur Fermer 1.
Conclusion
Le stockage des mots de passe de récupération dans l’Active Directory permet de les centraliser.