Partager via

Déverrouillage réseau BitLocker : problèmes connus

  • Article

En utilisant la fonctionnalité de déverrouillage réseau BitLocker, les ordinateurs peuvent être gérés à distance sans avoir à entrer un code confidentiel BitLocker au démarrage de chaque ordinateur. Pour configurer ce comportement, l’environnement doit répondre aux exigences suivantes :

  • Chaque ordinateur appartient à un domaine.
  • Chaque ordinateur dispose d’une connexion câblée au réseau interne.
  • Le réseau interne utilise DHCP pour gérer les adresses IP.
  • Chaque ordinateur dispose d’un pilote DHCP implémenté dans son microprogramme UEFI (Unified Extensible Firmware Interface).

Pour obtenir des instructions générales sur la façon de résoudre les problèmes de déverrouillage réseau BitLocker, consultez Comment activer le déverrouillage réseau : résoudre les problèmes de déverrouillage réseau.

Cet article décrit plusieurs problèmes connus qui peuvent être rencontrés lorsque bitLocker Network Unlock est utilisé et fournit des conseils pour résoudre ces problèmes.

Conseil

Le déverrouillage réseau BitLocker peut être détecté s’il est activé sur un ordinateur spécifique, procédez comme suit sur les ordinateurs UEFI :

  1. Ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez la commande suivante :

    manage-bde.exe -protectors -get <Drive>

    Par exemple :

    manage-bde.exe -protectors -get C:

    Si la sortie de cette commande inclut un protecteur de clé de type TpmCertificate (9), la configuration est correcte pour le déverrouillage réseau BitLocker.

  2. Démarrez l’Éditeur du Registre et vérifiez les paramètres suivants :

    1. La clé de Registre suivante existe et a la valeur suivante :

      • Sous-clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
      • Type : REG_DWORD
      • Valeur : OSManageNKP égale à 1 (True)

    2. Clé de Registre :

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates

      a une entrée dont le nom correspond au nom de l’empreinte numérique du certificat du protecteur de clé de déverrouillage réseau BitLocker qui a été trouvé à l’étape 1.

Sur un appareil Surface Pro 4, BitLocker Network Unlock ne fonctionne pas, car la pile réseau UEFI est configurée de manière incorrecte

Examinez le cas suivant :

BitLocker Network Unlock a été configuré comme décrit dans BitLocker : comment activer le déverrouillage réseau. UEFI d’un Surface Pro 4 a été configuré pour utiliser DHCP. Toutefois, lorsque le Surface Pro 4 est redémarré, il demande toujours un code confidentiel BitLocker.

Lors du test d’un autre appareil, tel qu’un autre type de tablette ou d’ordinateur portable configuré pour utiliser la même infrastructure, l’appareil redémarre comme prévu, sans demander le code CONFIDENTIEL BitLocker. Ce test confirme que l’infrastructure est correctement configurée et que le problème est spécifique à l’appareil.

Cause du déverrouillage réseau BitLocker ne fonctionne pas sur Surface Pro 4

La pile réseau UEFI sur l’appareil est configurée de manière incorrecte.

Résolution pour le déverrouillage réseau BitLocker ne fonctionne pas sur Surface Pro 4

Pour configurer correctement la pile réseau UEFI de Surface Pro 4, le mode de gestion d’entreprise Microsoft Surface (SEMM) doit être utilisé. Pour plus d’informations sur SEMM, consultez Inscrire et configurer des appareils Surface avec SEMM.

Note

Si SEMM ne peut pas être utilisé, le Surface Pro 4 peut être en mesure d’utiliser bitLocker Network Unlock en configurant Surface Pro 4 pour utiliser le réseau comme première option de démarrage.

Impossible d’utiliser la fonctionnalité de déverrouillage réseau BitLocker sur un ordinateur client Windows

Examinez le cas suivant :

BitLocker Network Unlock a été configuré comme décrit dans BitLocker : comment activer le déverrouillage réseau. Un ordinateur client Windows 8 est connecté au réseau interne avec un câble Ethernet. Toutefois, lorsque l’appareil est redémarré, l’appareil demande toujours le code confidentiel BitLocker.

Cause de l’impossibilité d’utiliser la fonctionnalité de déverrouillage réseau BitLocker sur un ordinateur client Windows

Un ordinateur client Windows 8 ou Windows Server 2012 ne reçoit pas ou n’utilise parfois pas le protecteur BitLocker Network Unlock, selon que le client reçoit des réponses BOOTP non liées à partir d’un serveur DHCP ou d’un serveur WDS.

Les serveurs DHCP peuvent envoyer toutes les options DHCP à un client BOOTP comme autorisé par les options DHCP et les extensions du fournisseur BOOTP. Ce comportement signifie que, étant donné qu’un serveur DHCP prend en charge les clients BOOTP, le serveur DHCP répond aux demandes BOOTP.

La façon dont un serveur DHCP gère un message entrant dépend en partie de l’option Type de message :

  • Les deux premiers messages envoyés par le client de déverrouillage réseau BitLocker sont des messages DHCP DISCOVER\REQUEST. Ils utilisent l’option Type de message, de sorte que le serveur DHCP les traite comme des messages DHCP.
  • Le troisième message que le client BitLocker Network Unlock envoie n’a pas l’option Type de message. Le serveur DHCP traite le message comme une requête BOOTP.

Un serveur DHCP qui prend en charge les clients BOOTP doit interagir avec ces clients en fonction du protocole BOOTP. Le serveur doit créer un message BOOTP BOOTREPLY au lieu d’un message DHCP DHCPOFFER. En d’autres termes, le serveur ne doit pas inclure le type d’option de message DHCP et ne doit pas dépasser la limite de taille pour les messages BOOTREPLY. Une fois que le serveur a envoyé le message BOOTP BOOTREPLY, le serveur marque une liaison pour un client BOOTP en tant que BOUND. Un client non DHCP n’envoie pas de message DHCPREQUEST, ni ce client ne s’attend à recevoir un message DHCPACK.

Si un serveur DHCP qui n’est pas configuré pour prendre en charge les clients BOOTP reçoit un message BOOTREQUEST d’un client BOOTP, ce serveur ignore silencieusement le message BOOTREQUEST.

Pour plus d’informations sur le déverrouillage réseau DHCP et BitLocker, consultez BitLocker : Comment activer le déverrouillage réseau : séquence de déverrouillage réseau.

Résolution de l’impossibilité d’utiliser la fonctionnalité de déverrouillage réseau BitLocker sur un ordinateur client Windows

Pour résoudre ce problème, modifiez la configuration du serveur DHCP en remplaçant l’option DHCP et BOOTP par DHCP.