Partager via

Les versions antérieures de Windows ne démarrent pas après l’étape « Configurer Windows et Configuration Manager » si BitLocker préprovisionnement est utilisé avec Windows 10, version 1511

  • Article

Cet article explique pourquoi les versions antérieures de Windows ne démarrent pas après avoir exécuté l’étape « Configurer Windows et Configuration Manager » si BitLocker préprovisionnement est utilisé avec Windows 10, version 1511.

S’applique à : Windows 10 – toutes les éditions, Windows 7 Service Pack 1
Numéro de base de connaissances d’origine : 4494799

Symptômes

Considérons le scénario suivant :

  • Vous installez Windows 10, version 1511 ADK sur vos images de démarrage.
  • Vous appliquez KB3143760 à vos images de démarrage.
  • Vous souhaitez installer une version Windows antérieure à Windows 10, version 1511 à l’aide de vos nouvelles images de démarrage 1511. Pour ce faire, vous ajoutez l’étape intégrée « Préprovisionner BitLocker » à votre séquence de tâches. Cela permet à la fonctionnalité « Chiffrement de l’espace utilisé uniquement » d’accélérer le chiffrement de lecteur BitLocker.

Toutes les étapes de la séquence de tâches fonctionnent comme prévu jusqu’à l’étape « Configurer Windows et Configuration Manager ». Une fois cette étape exécutée, votre appareil démarre dans un écran « Récupération » qui affiche un message « Il n’existe plus d’options de récupération BitLocker sur votre PC » et ressemble à la capture d’écran suivante :

Capture d’écran de l’écran Récupération après cette étape.

Cause

Ce problème se produit parce que le chiffrement par défaut dans Windows 10, version 1511 a été remplacé d’AES 128 à XTS-AES 128 pour améliorer la sécurité. La nouvelle méthode de chiffrement n’est pas reconnue par les versions de systèmes publiées avant Windows 10, version 1511.

Pour vérifier cette situation, activez la prise en charge de la ligne de commande et exécutez la commande suivante pendant la phase Windows PE :

manage-bde.exe -status

Capture d’écran de la sortie de la commande, qui montre que la méthode de chiffrement est XTS-AES 128.

Résolution

Pour résoudre ce problème, utilisez une étape Exécuter la ligne de commande. Pour ce faire, ajoutez la commande suivante avant l’étape de séquence de tâches « Préprovisionner BitLocker » :

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod  /t REG_DWORD /d 3 /f

Capture d’écran des propriétés de l’étape de séquence de tâches ajoutée : Définir la force de clé BitLocker AES 128.

Si une image de démarrage x64 est utilisée, sélectionnez l’option permettant de désactiver la redirection du système de fichiers 64 bits.

Si vous préférez d’autres méthodes de chiffrement, telles que AES 256, utilisez les instructions du tableau suivant.

Valeur Méthode de chiffrement Syntaxe de signification et de ligne de commande
1 AES_128_WITH_DIFFUSER Le volume a été entièrement ou partiellement chiffré par l’algorithme AES (Advanced Encryption Standard) et amélioré à l’aide d’une couche de diffusion qui a une taille de clé AES de 128 bits.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 1 /f
2 AES_256_WITH_DIFFUSER Le volume a été entièrement ou partiellement chiffré par l’algorithme AES (Advanced Encryption Standard) et amélioré à l’aide d’une couche de diffusion qui a une taille de clé AES de 256 bits.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 2 /f
3 AES_128 Le volume a été entièrement ou partiellement chiffré par l’algorithme AES (Advanced Encryption Standard) qui a une taille de clé AES de 128 bits.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 3 /f
4 AES_256 Le volume a été entièrement ou partiellement chiffré par l’algorithme AES (Advanced Encryption Standard) qui a une taille de clé AES de 256 bits.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 4 /f
6 XTS_AES128 * Le volume a été entièrement ou partiellement chiffré par l’algorithme AES (Advanced Encryption Standard) qui a une taille de clé XTS-AES de 128 bits. Il s’agit de la valeur par défaut de Windows PE 10.0.586.0 (version 1511).

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 6 /f
7 XTS_AES256 * Le volume a été entièrement ou partiellement chiffré par l’algorithme AES (Advanced Encryption Standard) qui a une taille de clé XTS-AES de 256 bits. reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 7 /f

* Pris en charge pour les déploiements d’images Windows 10, version 1511 ou ultérieure uniquement

Votre déploiement système fonctionnera maintenant. La méthode de chiffrement est à nouveau définie sur AES 128, car elle était dans les versions antérieures de Windows PE.

Capture d’écran de la sortie de la commande d’état bde après l’utilisation de l’étape de séquence de tâches, qui montre que la méthode de chiffrement est à nouveau définie sur AES 128.

Références

Nouveautés de Windows 10, versions 1507 et 1511