WebLog de Stéphane PAPP [MSFT]

Journal sur le web de Stéphane PAPP sur l'administration de systèmes.

Sauvegarder les informations de récupération de BitLocker dans l’AD

Blog - About

A propos du WebLog de Stéphane PAPP [MSFT]

Après près de 10 ans de conseil dans l'équipe française de Microsoft Consulting Services (MCS), j'ai rejoint l'équipe européenne de Customer Service and Support (CSS) comme ingénieur conseil grands comptes. Mon rôle consiste à délivrer du conseil proactif et réactif sur les logiciels de la gamme System Center (ConfigMgr et OpsMgr, principalement).
Je délivre de l'expertise technique associée aux méthodologies ITIL/MOF sous la forme d'atelier de type vérification de l'état de santé, évaluation des risques, revues de supportabilité, cours magistraux.
Si vous êtes intéressés pour avoir un contact Microsoft dédié pour des ressources techniques, travailler avec vous sur des projets, délivrer une formation ou un transfert d’expertise et vous aider à résoudre vos problèmes, le PFE dédié est fait pour vous. Pour en savoir plus, contactez votre responsable technique de compte ou interlocuteur habituel chez Microsoft.

Sauvegarder les informations de récupération de BitLocker dans l’AD

  • Comments 1

Comme vous l’avez déjà entendu, Windows 8 est disponible dans une version de test depuis quelques jours. L’un de mes collègues souhaitant le tester sur un nouveau disque dur a bien failli se retrouver dans une situation critique. Après avoir installé Windows 8 sur le nouveau disque, il est revenu à son ancien disque. C’est alors que BitLocker lui a demandé une clé qu’il ne retrouvait pas. Pour vous éviter de vous retrouver dans la même situation, je vous propose de sauvegarder les informations de récupération de BitLocker dans votre Active Directory.

Le principe de BitLocker est de chiffrer une partition en vous donnant la possibilité d’ouvrir l’accès aux données via différentes méthodes, la plus classique consistant à utiliser le module TPM du BIOS qui peut être associée ou non à la fourniture d’un code PIN. En cas de modification d’éléments susceptibles de correspondre à une tentative de violation de l’accès aux données, BitLocker vous demande une clé de récupération. Cette clé de 25 caractères peut être stockée dans un fichier sur une clé USB ou imprimée sur une feuille de papier.

Dans le cas de mon collègue, les clés USB et papiers imprimés contenaient bien des clés de BitLocker, mais pas celle correspondant au disque chiffré. Ces clés correspondaient, probablement, à une installation plus ancienne. Lors de l’appel au support, mon collègue a eu la mauvaise surprise d’apprendre que l’Active Directory ne contenait aucune information de récupération. En effet, le disque ayant été chiffré lors d’une soirée passionnante passée à l’hôtel, le processus de sauvegarde dans l’AD n’avait pas été effectué.

Si vous êtes dans une situation similaire, je vous conseille de lancer les commandes suivantes, lorsque vous avez accès à votre contrôleur de domaine. La première étape consiste à récupérer un identifiant du mot de passe numérique dans une invite de commande en mode privilégié via :

manage-bde -protectors -get c:

Ayant récupéré l’identifiant (quelque chose noté entre accolades {}), vous pouvez lancer la sauvegarde dans l’AD via :

manage-bde -protectors c: -adbackup -ID {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}

Pour finir et vous rassurer, le collègue avait stocké sur son SkyDrive, le fichier contenant la clé de son disque. Si vous êtes un tant soit peu paranoïaque, vous pouvez compresser ce fichier et le protéger par un mot de passe à l’aide d’un programme récent de compression (les anciens programmes de compression utilisent des algorithmes de protection trop légers).

  • Avec le passage sous Windows 8, j’ai pu constater que l’image préparée par le service informatique de

Page 1 of 1 (1 items)
Leave a Comment
  • Please add 8 and 4 and type the answer here:
  • Post