Afin d’accéder à un lecteur, BitLocker propose de nombreuses méthodes qui sont exposées sous le terme de protecteur. Les protecteurs protègent l’accès à un lecteur, on dit qu’ils permettent de déverrouiller un lecteur.

Note : On distingue les protecteurs nécessitant une interaction utilisateur, de ceux qui déverrouillent automatiquement un lecteur.

BitLocker propose 10 protecteurs. Sauf exception, ils peuvent être combinés entre eux.

  1. TPM : TPM seulement
    Ce protecteur est automatiquement configuré par l'interface utilisateur par défaut lors de l’activation de BitLocker. Le mode TPM seul ne peut pas être configuré en combinaison avec d'autres protecteurs de type TPM. Il n’est pas possible de définir plusieurs protecteurs TPM.
  2. TPMAndStartupKey : TPM + clef de démarrage
    Une clef USB doit être présente dans l’ordinateur lors du démarrage pour déverrouiller le volume. Il n’est pas possible de définir plusieurs protecteurs TPM + clef de démarrage.
  3. TPMAndPIN : TPM + PIN (Il s’agit du protecteur recommandé par Microsoft)
    L’utilisateur doit saisir un code PIN composé de 4 à 20 chiffres. La longueur minimale peut être augmenté via GPO ou clef dans la base de registre. Il n’est pas possible de définir plusieurs protecteurs TPM + PIN.
  4. TPMAndPINAndStartupKey : TPM + PIN + USB
    Combine la saisie d’un code PIN au démarrage avec l'exigence d'une clef de démarrage. Cette combinaison offre un niveau de protection très avancée. Il n’est pas possible de définir plusieurs protecteurs de ce type.
  5. StartupKey : Clef de démarrage
    Ce protecteur n’est pas accessible avec l’interface graphique. Il doit être configuré avec l’outil en ligne de commande manage-bde ou via un appel WMI. Uniquement disponible lorsqu’une puce TPM est absente du système.
  6. RecoveryKey : Clef de récupération
    Une clef de récupération est similaire à une clef de démarrage, mais elle peut être sauvegardée dans Active Directory. De plus, une clef de démarrage et une clef de récupération sont listées sous la même dénomination comme clef externe (External Key) avec le même conteneur de fichier .BEK.
  7. ExternalKey : Clef externe
    Une clef externe est généralement utilisable dans le scénario de déverrouillages automatique de lecteur de données fixes ou amovibles. Dans ce cas, la clef externe est stockée dans la base de registre à cet emplacement : HKLM\SYSTEM\CurrentControlSet\Control\FVEAutoUnlock\{Volume ID}
    (Cette clef est protégée lorsque le système est alimenté électriquement par une ACL qui ne permet qu'au compte SYSTEM d'y accéder). La base de registre étant stockée sur le volume du système d’exploitation qui est intégralement chiffré.
  8. RecoveryPassword : Mot de passe de récupération
    Le mot de passe de récupération peut être enregistré dans un dossier, imprimé ou sauvegardé dans Active Directory, le tout configurable par une stratégie de groupe. Avec l’outil manage-bde ou appel WMI, il est possible de spécifier un mot de passe de récupération.
  9. Certificate : Agent de récupération
    Ce protecteur n’est pas accessible avec l’interface graphique. Il doit être configuré avec une stratégie de groupe ou bien avec l’outil en ligne de commande manage-bde ou via un appel WMI. Le lecteur n’est accessible seulement si l’on possède la clef privée associée au certificat de clef publique.
  10. ClearKey : Clef en clair
    Ce protecteur n’est pas listé en tant que protecteur avec l’interface graphique ou l’outil en ligne de commande manage-bde. Néanmoins ce protecteur est ajouté lorsque l’on décide de suspendre temporairement le chiffrement BitLocker sur la partition du système d’exploitation.