Sauvegarder les informations de récupération de BitLocker dans l’AD

  • Article

Comme vous l’avez déjà entendu, Windows 8 est disponible dans une version de test depuis quelques jours. L’un de mes collègues souhaitant le tester sur un nouveau disque dur a bien failli se retrouver dans une situation critique. Après avoir installé Windows 8 sur le nouveau disque, il est revenu à son ancien disque. C’est alors que BitLocker lui a demandé une clé qu’il ne retrouvait pas. Pour vous éviter de vous retrouver dans la même situation, je vous propose de sauvegarder les informations de récupération de BitLocker dans votre Active Directory.

Le principe de BitLocker est de chiffrer une partition en vous donnant la possibilité d’ouvrir l’accès aux données via différentes méthodes, la plus classique consistant à utiliser le module TPM du BIOS qui peut être associée ou non à la fourniture d’un code PIN. En cas de modification d’éléments susceptibles de correspondre à une tentative de violation de l’accès aux données, BitLocker vous demande une clé de récupération. Cette clé de 25 caractères peut être stockée dans un fichier sur une clé USB ou imprimée sur une feuille de papier.

Dans le cas de mon collègue, les clés USB et papiers imprimés contenaient bien des clés de BitLocker, mais pas celle correspondant au disque chiffré. Ces clés correspondaient, probablement, à une installation plus ancienne. Lors de l’appel au support, mon collègue a eu la mauvaise surprise d’apprendre que l’Active Directory ne contenait aucune information de récupération. En effet, le disque ayant été chiffré lors d’une soirée passionnante passée à l’hôtel, le processus de sauvegarde dans l’AD n’avait pas été effectué.

Si vous êtes dans une situation similaire, je vous conseille de lancer les commandes suivantes, lorsque vous avez accès à votre contrôleur de domaine. La première étape consiste à récupérer un identifiant du mot de passe numérique dans une invite de commande en mode privilégié via :

manage-bde -protectors -get c:

Ayant récupéré l’identifiant (quelque chose noté entre accolades {}), vous pouvez lancer la sauvegarde dans l’AD via :

manage-bde -protectors c: -adbackup -ID {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}

Pour finir et vous rassurer, le collègue avait stocké sur son SkyDrive, le fichier contenant la clé de son disque. Si vous êtes un tant soit peu paranoïaque, vous pouvez compresser ce fichier et le protéger par un mot de passe à l’aide d’un programme récent de compression (les anciens programmes de compression utilisent des algorithmes de protection trop légers).