J’avais écris un tutoriel sur manage-bde. Je l’ai mis en pratique et je me suis aperçu qu’il manquait 2 ou 3 détails pour que manage-bde prenne tout son sens.

Lors de la migration tardive de Machine Windows 7 vers Windows 10, j’ai dû chiffré des disques. Partisan du moindre effort, j’ai voulu faire cela à distance.

Voici comment j’ai procédé.

Je me suis connecté à mon contrôleur de domaine.

J’ai ouvert une fenêtre « cmd » en ligne de commande.

Je savais que l’ordinateur cible n’avais pas la TPM active. J’ai alors saisi :

Ce qui donne :
manage-bde.exe -protectors -add C: -tpm -cn apcpc159

Ce qui indique à manage-bde d’utiliser la tpm as protectors pour le disque C: de la machine -cn (comme Computer Name) apcpc159.

Une fois cela effectué, il n’y avait plus qu’à chiffrer le disque C:

manage-bde -on C: -RecoveryPassword -SkipHardwareTest -ComputerName apcpc159

Explication :
-SkipHardwareTest Permet d’échapper le test matériel. Utile si on sait que le matériel et la puce TPM sont or ready to use. En effet, si vous n’échappez pas le test matériel, vous serez obligé de redémarrer la machine. Si vous ne pouvez pas faire un shutdown à distance, c’est ennuyeux.

Pour contrôler l’avancée du chiffrement :

manage-bde.exe -status -ComputerName

Pour récupérer le mot de passe de déchiffrement de la machine
manage-bde.exe -protectors -get C: -Type recoverypassword -ComputerName HOSTNAME

Pour sauvegarder la clé dans l’AD, si cela n’a pas été fait
manage-bde -protectors -adbackup c: -cn apcpc159 -ID {EF3C7A55-A9D7-4B79-84A8-9C04E6597BD7}

Pour connaitre l’id afin de backuper :
manage-bde -protectors -get c: -ComputerName HOSTNAME

L’aide de manage-bde

manage-bde[.exe] -parameter [arguments]

Description :
Configure le chiffrement de lecteur BitLocker sur des volumes de disques.

Liste des paramètres :
-status Fournit des informations sur les volumes compatibles avec
BitLocker.
-on Chiffre le volume et active la protection BitLocker.
-off Déchiffre le volume et désactive la protection BitLocker.
-pause Met en pause le chiffrement, le déchiffrement ou l'effacement
d'espace libre.
-resume Reprend le chiffrement, le déchiffrement ou l'effacement
d'espace libre.
-lock Interdit l'accès aux données chiffrées par BitLocker.
-unlock Autorise l'accès aux données chiffrées par BitLocker.
-autounlock Gère le déverrouillage automatique des volumes de données.
-protectors Gère les méthodes de protection pour la clé de chiffrement.
-SetIdentifier ou -si
Configure le champ d'identification pour un volume.
-ForceRecovery ou -fr
Force la récupération d'un système d'exploitation protégé par
BitLocker lors du démarrage.
-changepassword
Modifie le mot de passe pour un volume de données.
-changepin Modifie le code PIN pour un volume.
-changekey Modifie la clé de démarrage pour un volume.
-KeyPackage ou -kp
Génère un package de clés pour un volume.
-upgrade Met … niveau la version de BitLocker.
-WipeFreeSpace ou -w
Efface l'espace libre sur le volume.
-ComputerName ou -cn
S'exécute sur un autre ordinateur. Exemples : S’exécute sur un autre ordinateur. Exemples : « OrdinateurX »,
« 127.0.0.1 »
-' ou /' Affiche un court texte d'aide. Exemple : « -ParameterSet -? »
-Help ou -h Affiche une aide complète. Exemple : « -ParameterSet -h »

Exemples :
manage-bde -status
manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek

Liens utiles :

oameri.com – chiffrer poste de travail bitlocker

gerer-bitlocker