Manage-bde est un outil en ligne de commandes pour administrer BitLocker.
Vous pouvez l’intégrer dans des scripts ou l’utiliser pour gérer vos disques chiffrés depuis l’invite de commandes de Windows.
En effet, Manage-bde propose des options supplémentaires non présentes dans le panneau de configuration BitLocker.
Dans cet article, vous verrez comment utiliser Manage-bde pour gérer et administrer le chiffrement de vos disques.
Table des matières
- 1 Introduction à manage-bde
- 2 Manage-bde : l’outil BitLocker en invite de commandes
- 2.1 Chiffrer un disque avec BitLocker
- 2.2 Chiffrer le disque système avec BitLocker
- 2.3 Verrouiller, déverrouiller un disque chiffré
- 2.4 Afficher le statut d’un disque chiffré
- 2.5 Changer le mot de passe ou le code PIN
- 2.6 Gérer les protections de la clé de chiffrement (protectors)
- 2.7 Déchiffrer et désactiver le chiffrement BitLocker
- 3 Liens
Introduction à manage-bde
Les paramètres de manage-bde
Comme tout commandes Windows, on utilise le paramètre /? pour afficher l’aide et obtenir la liste des paramètres :
manage-bde /?
Ce qui donne cette liste et tableau suivant.
Paramètres | Description |
status | Fournit des informations sur les volumes compatibles avec BitLocker. |
on | Chiffre le volume et active la protection BitLocker. |
off | Déchiffre le volume et désactive la protection BitLocker. |
pause | Met en pause le chiffrement, le déchiffrement ou l’effacement d’espace libre. |
resume | Reprend le chiffrement, le déchiffrement ou l’effacement d’espace libre |
lock | Interdit l’accès aux données chiffrées par BitLocker |
unlock | Autorise l’accès aux données chiffrées par BitLocker. |
autounlock | Gère le déverrouillage automatique des volumes de données |
protectors | Gère les méthodes de protection pour la clé de chiffrement. Voir paragraphe suivant |
SetIdentifier | Configure le champ d’identification pour un volume |
ForceRecovery | Force la récupération d’un système d’exploitation protégé par BitLocker lors du démarrage |
changepassword | Modifie le mot de passe pour un volume de données |
changepin | Modifie le code PIN pour un volume |
changekey | Modifie la clé de démarrage pour un volume |
KeyPackage (ou -kp) | Génère un package de clés pour un volume |
upgrade | Met à niveau la version de BitLocker |
WipeFreeSpace (ou -w) | Efface l’espace libre sur le volume |
ComputerName (ou -cn) | S’exécute sur un autre ordinateur |
Gérer les méthodes de protections de la clé de chiffrement BitLocker
Pour protéger la clé de chiffrement de volume, BitLocker ajoute des couches pour la protéger, appelées protecteurs.
manage-bde permet de gérer les méthodes de protection de la clé de chiffrement BitLocker via le paramètres -protectors.
Cela permet de configurer comment la clé de chiffrement est protégée et comment Windows va déchiffrer le disque au démarrage du PC.
Trois méthodes sont possibles :
- automatiquement via la plateforme sécurisée TPM – TPM (Trusted Platform Module)
- la saisie d’un mot de passe numérique
- un fichier de certificat
- insertion d’une clé USB
Pour cela plusieurs sous-paramètres à -protectors peuvent être utilisés :
Paramètres | Description |
get | Affiche toutes les méthodes de protection des clés activées sur le lecteur et fournit leur type et leur identifiant (ID) |
add | Ajoute des méthodes de protection de clé comme spécifié en utilisant des paramètres -add supplémentaires |
delete | Supprime les méthodes de protection de clé utilisées par BitLocker. Lorsque le dernier protecteur d’un lecteur est supprimé, la protection BitLocker du lecteur est désactivée pour garantir que l’accès aux données n’est pas perdu par inadvertance |
disable | Désactive la protection, qui permettra à quiconque d’accéder aux données chiffrées en rendant la clé de chiffrement disponible non sécurisée sur le disque. Aucun protecteur de clé n’est retiré. La protection reprendra au prochain démarrage de Windows à moins que les paramètres facultatifs -disable ne soient utilisés pour spécifier le nombre de redémarrages |
enable | Active la protection en supprimant la clé de chiffrement non sécurisée du lecteur. Tous les protecteurs de clé configurés sur le lecteur seront appliqués |
adbackup | Sauvegarde toutes les informations de récupération pour le lecteur spécifié dans les services de domaine Active Directory (AD DS) |
aadbackup | Sauvegarde toutes les informations de récupération pour le lecteur spécifié dans Azure Active Directory (Azure AD) |
Quelques informations additionnelles sur les méthodes de chiffrement BitLocker :
- Une clé de chiffrement symétrique AES128 est utilisée pour chiffrer le volume lui-même. Pour modifier cette clé de chiffrement de volume, il faut rechiffrer tout le volume.
- BitLocker ne modifie jamais la clé de chiffrement de volume (à moins que BitLocker ne soit désactivé [pas suspendu], puis réactivé.
- Différents types de protecteurs existent. Tout protecteur unique peut déverrouiller lui-même la clé de chiffrement de volume.
Manage-bde : l’outil BitLocker en invite de commandes
Chiffrer un disque avec BitLocker
Chiffrer un disque avec BitLocker en ligne de commandes avec manage-bde n’a rien de compliqué.
Il faut :
- utiliser une première fois la commande avec le paramètre -protectors pour indiquer le type de protection de la clé de chiffrement
- puis on passe la commande pour chiffrer le disque avec l’option -on et la lettre de lecteur du disque
Ajouter une protection de la clé privée et chiffrer le disque
Dans cet exemple, on utilise manage-bde pour chiffrer le disque C.
Avant cela, on créé une clé de démarrage nécessaire pour BitLocker sur le lecteur USB E:.
Une fois le chiffrement BitLocker terminé, la clé de démarrage USB doit être insérée avant de pouvoir démarrer le système d’exploitation.
Cela est à utiliser sur les PC dépourvu de TPM (Trusted Platform Module).
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
Dans cet autre exemple, on protège la clé de chiffrement par un mot de passe, en utilisant manage-bde comme ceci :
manage-bde -protectors -add -pw C:
manage-bde -on C:
Et si vous désirez chiffrer un disque avec un fichier de certificat en ligne de commandes :
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
manage-bde -on E:
Enfin sur les PC avec le support TPM, la clé de chiffrement utilise alors la plateforme sécurisée et Windows pourra démarrer sans clé USB ou mot de passe.
manage-bde -on C:
Comme indiqué précédemment, vous pouvez définir plusieurs protections de la clé de chiffrement.
Par exemple, si vous avez définit TPM et le mot de passe, vous pouvez faire en sorte que TPM soit privilégié avec ces commandes.
Activez TPM de cette manière :
manage-bde tpm -turnon
Pour prendre possession du TPM et définir le mot de passe du propriétaire sur MalekalcomSuperSite666, saisissez:
manage-bde tpm takeownership MalekalcomSuperSite666
La commande status permet de vérifier les protections utilisées.
Reportez-vous plus bas au paragraphe de cet article pour plus de détails.
Chiffrer le disque système avec BitLocker
Voici les étapes complètes pour chiffrer le disque système avec BitLocker en utilisant manage-bde.
Dans cet exemple, on utilise une protection par mot de passe.
Ce qui donne :
manage-bde -protectors -add -pw C:
manage-bde -on C:
Après la première commande, vous devez saisir deux fois le mot de passe.
Ensuite on vous indique qu’il faut redémarerer le PC afin de tester le matériel.
Puis on saisit le mot de passe pour déchiffrer le lecteur BitLocker.
Si tout va bien, le chiffrement du disque débute.
Vous pouvez vérifier son avancement grâce au paramètre -status.
manage-bde -status
L’information se trouve dans la partie pourcentage chiffré.
Verrouiller, déverrouiller un disque chiffré
Avec les paramètres lock et unlock de manage-bde, vous pouvez à tout moment verrouiller et déverrouiller un disque chiffré en invite de commandes.
La syntaxe n’est pas complexe du tout puisqu’il suffit d’indiquer la lettre u lecteur chiffré.
Ce qui donne ces exemples de lignes de commandes suivantes .
Pour verrouiller le disque D :
manage-bde –lock D:
Pour déverrouiller le disque D :
manage-bde –unlock D:
Et puis si vous devez déverrouiller le disque E à partir de la clé de récupération BitLocker en ligne de commandes :
manage-bde -unlock D: -RecoveryPassword Votre-clé-de-récupération
Ou si la clé de récupération BitLocker est sous la forme d’un fichier :
manage-bde –unlock E: -recoverykey F:\Backupkeys\recoverykey.bek
Afficher le statut d’un disque chiffré
manage-bde permet d’afficher le statut d’un disque en ligne de commandes.
On obtient alors les informations suivantes :
- La taille du disque
- La version de BitLocker utilisée
- L’état de la conversion, indique si le disque est chiffré ou non chiffré par BitLocker
- Le pourcentage du disque chiffré
- La méthode de chiffrement
- L’état de la protection (activée, désactivée, suspendue)
- Les protecteurs de la clé : TPM, mot de passe numérique ou clé USB
Sur un disque non chiffré, l’état de la conversion est intégralement déchiffré.
Sur un disque chiffré par BitLocker, on obtient ceci.
Notamment ici on voit la méthode de chiffrement en XTS-AES 128.
L’état est déverrouillé et donc les données sont accessibles.
Enfin la protection de la clé se fait par TPM et mot de passe numérique.
Changer le mot de passe ou le code PIN
manage-bde gère aussi les changements de mots de passe ou de code PIN de vos lecteurs chiffré BitLocker.
Pour modifier le mot de passe utilisé pour déverrouiller BitLocker sur le lecteur de données D, tapez :
manage-bde -changepassword E:
Pour modifier le code PIN utilisé avec BitLocker sur le lecteur E, tapez :
manage-bde -changepin E:
En bonus, pour créer une nouvelle clé de démarrage sur le lecteur E, à utiliser avec le chiffrement BitLocker sur le lecteur C, tapez :
manage-bde -changekey C: E:\
Gérer les protections de la clé de chiffrement (protectors)
Le paramètre -protectors de manage-bde permet de gérer la protection de la clé de chiffrement BitLocker dans l’invite de commandes.
Vous pouvez :
- -add : ajouter une protection à la clé
- -delete : supprimer la protection de la clé
- -disable : désactiver le protecteur et le réactiver dans X redémarrage
Désactiver le protecteur en indiquant avec le paramètre -rc dans combien de redémarrage il doit se réactiver.
Par exemple, pour désactiver la protection du disque C et le réactiver dans deux redémarrages :
manage-bde -protectors -disable C: -rc 2
Pour les PC en entreprises, il est aussi possible de sauvegarder la protection dans Active Directory grâce au paramètre -adbackup :
manage-bde -protectors -adbackup C:
Pour supprimer tous les protecteurs de clés basés sur le TPM et les clés de démarrage sur le lecteur C, tapez:
manage-bde -protectors -delete C: -type tpmandstartupkey
A noter que l’on peut aussi vider totalement les données TPM via la commande suivante :
Clear-TPM
Pour plus de détails :
Déchiffrer et désactiver le chiffrement BitLocker
Enfin voici comment déchiffrer le lecteur et désactiver BitLocker en ligne de commandes.
Dans cet exemple, on désactive BitLocker sur le disque C :
manage-bde –off C:
Tous les protecteurs de clé sont supprimés une fois le déchiffrement terminé.
Liens
- Qu’est-ce que BitLocker
- 5 façons d’activer BitLocker pour chiffrer un lecteur de disque
- BitLocker : chiffrer son disque dur sur Windows 10
- BitLocker : Chiffrer un disque sur Windows 11
- BitLocker To go : Comment chiffrer (crypter) sa clé USB
- BitLocker : utiliser une clé de récupération
- Savoir si BitLocker est activé : 4 façons
- Comment désactiver BitLocker sur Windows 10/11
- Manage-bde : l’outil BitLocker en invite de commandes
- Repair-bde : réparer un disque chiffré BitLocker pour récupérer les données
- Chiffrer son disque système avec VeraCrypt
- Chiffrer ses disques dur, clé USB/disque dur externe avec DiskCryptor
- Comment protéger l’accès à un dossier par un mot de passe ?
- Chiffrer/Crypter ses emails