Manage-bde : l’outil BitLocker en invite de commandes

Manage-bde est un outil en ligne de commandes pour administrer BitLocker.
Vous pouvez l'intégrer dans des scripts ou l'utiliser pour gérer vos disques chiffrés depuis l'invite de commandes de Windows.

En effet, Manage-bde propose des options supplémentaires non présentes dans le panneau de configuration BitLocker.

Dans cet article, vous verrez comment utiliser Manage-bde pour gérer et administrer le chiffrement de vos disques.

Manage-bde : l'outil BitLocker en invite de commandes

Introduction à manage-bde

Les paramètres de manage-bde

Comme tout commandes Windows, on utilise le paramètre /? pour afficher l'aide et obtenir la liste des paramètres :

manage-bde /?
L'aide de manage-bde pour gérer BitLocker en ligne de commandes

Ce qui donne cette liste et tableau suivant.

ParamètresDescription
statusFournit des informations sur les volumes compatibles avec BitLocker.
onChiffre le volume et active la protection BitLocker.
offDéchiffre le volume et désactive la protection BitLocker.
pauseMet en pause le chiffrement, le déchiffrement ou l’effacement d’espace libre.
resumeReprend le chiffrement, le déchiffrement ou l’effacement d’espace libre
lockInterdit l’accès aux données chiffrées par BitLocker
unlockAutorise l’accès aux données chiffrées par BitLocker.
autounlockGère le déverrouillage automatique des volumes de données
protectorsGère les méthodes de protection pour la clé de chiffrement. Voir paragraphe suivant
SetIdentifierConfigure le champ d’identification pour un volume
ForceRecoveryForce la récupération d’un système d’exploitation protégé par BitLocker lors du démarrage
changepasswordModifie le mot de passe pour un volume de données
changepinModifie le code PIN pour un volume
changekeyModifie la clé de démarrage pour un volume
KeyPackage (ou -kp)Génère un package de clés pour un volume
upgradeMet à niveau la version de BitLocker
WipeFreeSpace (ou -w)Efface l’espace libre sur le volume
ComputerName (ou -cn)S’exécute sur un autre ordinateur
Liste des paramètres et commandes manage-bde

Gérer les méthodes de protections de la clé de chiffrement BitLocker

Pour protéger la clé de chiffrement de volume, BitLocker ajoute des couches pour la protéger, appelées protecteurs.
manage-bde permet de gérer les méthodes de protection de la clé de chiffrement BitLocker via le paramètres -protectors.

Cela permet de configurer comment la clé de chiffrement est protégée et comment Windows va déchiffrer le disque au démarrage du PC.
Trois méthodes sont possibles :

Plusieurs protecteurs de type Mot de passe numérique / Mot de passe de récupération peuvent être actifs sur un volume.

Pour cela plusieurs sous-paramètres à -protectors peuvent être utilisés :

ParamètresDescription
getAffiche toutes les méthodes de protection des clés activées sur le lecteur et fournit leur type et leur identifiant (ID)
addAjoute des méthodes de protection de clé comme spécifié en utilisant des paramètres -add supplémentaires
deleteSupprime les méthodes de protection de clé utilisées par BitLocker. Lorsque le dernier protecteur d'un lecteur est supprimé, la protection BitLocker du lecteur est désactivée pour garantir que l'accès aux données n'est pas perdu par inadvertance
disableDésactive la protection, qui permettra à quiconque d'accéder aux données chiffrées en rendant la clé de chiffrement disponible non sécurisée sur le disque. Aucun protecteur de clé n'est retiré. La protection reprendra au prochain démarrage de Windows à moins que les paramètres facultatifs -disable ne soient utilisés pour spécifier le nombre de redémarrages
enableActive la protection en supprimant la clé de chiffrement non sécurisée du lecteur. Tous les protecteurs de clé configurés sur le lecteur seront appliqués
adbackupSauvegarde toutes les informations de récupération pour le lecteur spécifié dans les services de domaine Active Directory (AD DS)
aadbackupSauvegarde toutes les informations de récupération pour le lecteur spécifié dans Azure Active Directory (Azure AD)
Liste des sous-paramètres de protectors de manage-bde

Quelques informations additionnelles sur les méthodes de chiffrement BitLocker :

  • Une clé de chiffrement symétrique AES128 est utilisée pour chiffrer le volume lui-même. Pour modifier cette clé de chiffrement de volume, il faut rechiffrer tout le volume.
  • BitLocker ne modifie jamais la clé de chiffrement de volume (à moins que BitLocker ne soit désactivé [pas suspendu], puis réactivé.
  • Différents types de protecteurs existent. Tout protecteur unique peut déverrouiller lui-même la clé de chiffrement de volume.

Manage-bde : l'outil BitLocker en invite de commandes

Chiffrer un disque avec BitLocker

Chiffrer un disque avec BitLocker en ligne de commandes avec manage-bde n'a rien de compliqué.
Il faut :

  • utiliser une première fois la commande avec le paramètre -protectors pour indiquer le type de protection de la clé de chiffrement
  • puis on passe la commande pour chiffrer le disque avec l'option -on et la lettre de lecteur du disque

Ajouter une protection de la clé privée et chiffrer le disque

Dans cet exemple, on utilise manage-bde pour chiffrer le disque C.
Avant cela, on créé une clé de démarrage nécessaire pour BitLocker sur le lecteur USB E:.
Une fois le chiffrement BitLocker terminé, la clé de démarrage USB doit être insérée avant de pouvoir démarrer le système d'exploitation.
Cela est à utiliser sur les PC dépourvu de TPM (Trusted Platform Module).

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

Dans cet autre exemple, on protège la clé de chiffrement par un mot de passe, en utilisant manage-bde comme ceci :

manage-bde -protectors -add -pw C:
manage-bde -on C:

Et si vous désirez chiffrer un disque avec un fichier de certificat en ligne de commandes :

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
manage-bde -on E:

Enfin sur les PC avec le support TPM, la clé de chiffrement utilise alors la plateforme sécurisée et Windows pourra démarrer sans clé USB ou mot de passe.

manage-bde -on C:

Comme indiqué précédemment, vous pouvez définir plusieurs protections de la clé de chiffrement.
Par exemple, si vous avez définit TPM et le mot de passe, vous pouvez faire en sorte que TPM soit privilégié avec ces commandes.

Activez TPM de cette manière :

manage-bde  tpm -turnon

Pour prendre possession du TPM et définir le mot de passe du propriétaire sur MalekalcomSuperSite666, saisissez:

manage-bde  tpm  takeownership MalekalcomSuperSite666

La commande status permet de vérifier les protections utilisées.
Reportez-vous plus bas au paragraphe de cet article pour plus de détails.

Chiffrer le disque système avec BitLocker

Voici les étapes complètes pour chiffrer le disque système avec BitLocker en utilisant manage-bde.
Dans cet exemple, on utilise une protection par mot de passe.

Ce qui donne :

manage-bde -protectors -add -pw C:
manage-bde -on C:

Après la première commande, vous devez saisir deux fois le mot de passe.
Ensuite on vous indique qu'il faut redémarerer le PC afin de tester le matériel.

manage-bde : Chiffrer le disque système avec BitLocker

Puis on saisit le mot de passe pour déchiffrer le lecteur BitLocker.

manage-bde : Chiffrer le disque système avec BitLocker

Si tout va bien, le chiffrement du disque débute.
Vous pouvez vérifier son avancement grâce au paramètre -status.

manage-bde -status

L'information se trouve dans la partie pourcentage chiffré.

manage-bde : Chiffrer le disque système avec BitLocker

Verrouiller, déverrouiller un disque chiffré

Avec les paramètres lock et unlock de manage-bde, vous pouvez à tout moment verrouiller et déverrouiller un disque chiffré en invite de commandes.

La syntaxe n'est pas complexe du tout puisqu'il suffit d'indiquer la lettre u lecteur chiffré.
Ce qui donne ces exemples de lignes de commandes suivantes .

Pour verrouiller le disque D :

manage-bde –lock D:

Pour déverrouiller le disque D :

manage-bde –unlock D:

Et puis si vous devez déverrouiller le disque E à partir de la clé de récupération BitLocker en ligne de commandes :

manage-bde -unlock D: -RecoveryPassword Votre-clé-de-récupération

Ou si la clé de récupération BitLocker est sous la forme d'un fichier :

manage-bde –unlock E: -recoverykey F:\Backupkeys\recoverykey.bek

Afficher le statut d'un disque chiffré

manage-bde permet d'afficher le statut d'un disque en ligne de commandes.
On obtient alors les informations suivantes :

  • La taille du disque
  • La version de BitLocker utilisée
  • L'état de la conversion, indique si le disque est chiffré ou non chiffré par BitLocker
  • Le pourcentage du disque chiffré
  • La méthode de chiffrement
  • L'état de la protection (activée, désactivée, suspendue)
  • Les protecteurs de la clé : TPM, mot de passe numérique ou clé USB

Sur un disque non chiffré, l'état de la conversion est intégralement déchiffré.

manage-bde : Afficher le statut d'un disque chiffré par bitlocker

Sur un disque chiffré par BitLocker, on obtient ceci.
Notamment ici on voit la méthode de chiffrement en XTS-AES 128.
L'état est déverrouillé et donc les données sont accessibles.
Enfin la protection de la clé se fait par TPM et mot de passe numérique.

manage-bde : Afficher le statut d'un disque chiffré par bitlocker

Changer le mot de passe ou le code PIN

manage-bde gère aussi les changements de mots de passe ou de code PIN de vos lecteurs chiffré BitLocker.

Pour modifier le mot de passe utilisé pour déverrouiller BitLocker sur le lecteur de données D, tapez :

manage-bde -changepassword E:

Pour modifier le code PIN utilisé avec BitLocker sur le lecteur E, tapez :

manage-bde -changepin E:

En bonus, pour créer une nouvelle clé de démarrage sur le lecteur E, à utiliser avec le chiffrement BitLocker sur le lecteur C, tapez :

manage-bde -changekey C: E:\

Gérer les protections de la clé de chiffrement (protectors)

Le paramètre -protectors de manage-bde permet de gérer la protection de la clé de chiffrement BitLocker dans l'invite de commandes.
Vous pouvez :

  • -add : ajouter une protection à la clé
  • -delete : supprimer la protection de la clé
  • -disable : désactiver le protecteur et le réactiver dans X redémarrage

Désactiver le protecteur en indiquant avec le paramètre -rc dans combien de redémarrage il doit se réactiver.
Par exemple, pour désactiver la protection du disque C et le réactiver dans deux redémarrages :

manage-bde -protectors -disable C: -rc 2

Pour les PC en entreprises, il est aussi possible de sauvegarder la protection dans Active Directory grâce au paramètre -adbackup :

manage-bde -protectors -adbackup C:

Pour supprimer tous les protecteurs de clés basés sur le TPM et les clés de démarrage sur le lecteur C, tapez:

manage-bde -protectors -delete C: -type tpmandstartupkey

A noter que l'on peut aussi vider totalement les données TPM via la commande suivante :

Clear-TPM

Pour plus de détails :

Déchiffrer et désactiver le chiffrement BitLocker

Enfin voici comment déchiffrer le lecteur et désactiver BitLocker en ligne de commandes.
Dans cet exemple, on désactive BitLocker sur le disque C :

manage-bde –off C:

Tous les protecteurs de clé sont supprimés une fois le déchiffrement terminé.