Après activation de BitLocker sur Windows Server 2019, l’écran de saisie du PIN apparaît sur fond noir. Est‑ce normal et peut‑on revenir au bleu historique ? Voici l’explication, les limites, et les options réellement prises en charge.
Écran BitLocker noir au démarrage (Windows Server 2019)
Vue d’ensemble de la question
Depuis l’activation du chiffrement, l’écran de pré‑démarrage de BitLocker (saisie du PIN ou de la clé) n’est plus « bleu » mais noir. Ce changement peut surprendre lorsqu’on est habitué aux anciens écrans bleus du boot Windows. En réalité, ce n’est pas un bug : l’apparence de cette interface dépend principalement du firmware UEFI, de la pile graphique pré‑OS (GOP) et des choix du constructeur. Windows Server 2019 ne propose aucun paramètre permettant de forcer une couleur ou un thème pour cet écran.
Réponse & solution
Ce qui est pris en charge
- Il n’existe pas de réglage Windows/BitLocker pour définir la couleur, un fond d’écran ou un thème du pré‑démarrage. L’UI dépend de la phase de boot précédant le chargement de Windows, donc du UEFI et de son pilote graphique.
- Un fond noir est comportement normal sur de nombreux matériels modernes (serveurs et postes), y compris avec Secure Boot activé ; il ne signale pas de dysfonctionnement.
- La nuance exacte (bleu, noir, logos constructeur, texte centré) peut varier d’un BIOS/UEFI à l’autre et selon la résolution native exposée au mode pré‑OS.
Actions utiles (prises en charge)
- Mettre à jour le BIOS/UEFI du serveur (et, si disponible, le module graphique UEFI/GOP). Certaines révisions modifient la manière dont l’UI pré‑OS est rendue (logos, contraste, police), et peuvent faire évoluer l’apparence.
- Vérifier les options UEFI liées au démarrage : « Quiet Boot », affichage du logo plein écran, Fast Boot, mode CSM/Legacy vs UEFI pur, prise en charge vidéo. Ces options peuvent influer sur l’interface pendant la phase pre‑boot et donc sur la présentation du prompt BitLocker.
⚠️ Ne changez pas CSM/UEFI à la légère : un basculement inadapté peut rendre le système non amorçable. - Contacter le constructeur du serveur pour connaître le degré de personnalisation supporté (logo, palette). Selon le modèle, il pourra confirmer si un retour à un fond « bleu » est possible via firmware. Aucun engagement : ce n’est pas garanti.
Ce qui n’est pas recommandé
- Éviter tout outil tiers ou modification de fichiers de boot (
bootres.dll,bootmgr,winload.efi, etc.). Ce n’est pas pris en charge, peut désactiver Secure Boot et compromettre la chaîne de confiance. Vous risquez des déverrouillages BitLocker non souhaités et/ou l’impossibilité de démarrer.
Alternative pragmatique (à évaluer côté sécurité)
Si l’objectif est surtout de ne plus afficher l’écran de pré‑démarrage, et que votre politique de sécurité l’autorise, BitLocker peut fonctionner en TPM seul (sans PIN). Attention : cela réduit le niveau de sécurité et doit être validé par l’organisation.
Contexte technique : pourquoi l’écran est‑il noir ?
Sur les générations UEFI récentes, Windows délègue au firmware la phase d’affichage initial (mode texte ou graphique minimal). Selon le constructeur :
- le firmware peut imposer un fond noir neutralisé pour l’ensemble des prompts pré‑OS ;
- le module GOP (Graphics Output Protocol) sélectionne une résolution et une palette sobres pour hâter le boot ;
- des options « Quiet Boot »/« Full Screen Logo » masquent les écrans colorés historiques au profit d’une surface sobre et uniforme.
Résultat : l’écran BitLocker (saisie PIN/clé) se fond dans la charte visuelle du firmware ; il peut être bleu sur un matériel et noir sur un autre, sans que Windows puisse l’outrepasser.
Check‑list express avant modification firmware
- Sauvegardez et testez la clé de récupération.
- Suspendez BitLocker avant tout flash BIOS/UEFI afin d’éviter une demande de clé au redémarrage.
- Planifiez un créneau de maintenance et un accès console hors bande (iDRAC, iLO, IMM, BMC) en cas de saisie PIN distante.
# Lister et sauvegarder les protecteurs
manage-bde -protectors -get C:
# Suspendre BitLocker pour 1 redémarrage
manage-bde -protectors -disable C: -RebootCount 1
# Réactiver après mise à jour firmware
manage-bde -protectors -enable C:
Tableau : reconnaître la situation
| Symptôme | Interprétation | Action recommandée |
|---|---|---|
| Écran noir avec texte blanc « Entrer le PIN » | Comportement normal pré‑OS via UEFI/GOP | Aucune ; optionnelle : mise à jour firmware pour variations d’UI |
| Écran noir sans texte, curseur clignotant | Résolution/console non compatible, headless, ou sortie vidéo inattendue | Tester autre sortie vidéo/console, vérifier Remote Console du BMC |
| Logo constructeur puis prompt PIN minimaliste | « Quiet Boot » actif ; UI simplifiée | Optionnel : désactiver « Quiet Boot » pour afficher davantage de messages |
| Clavier non pris en charge à l’écran PIN | Pilotes USB pré‑OS limités | Activer « Legacy USB Support »/« USB Keyboard Support » dans l’UEFI, ou utiliser PS/2 |
Options UEFI susceptibles d’influer sur l’UI pré‑boot
| Option | Emplacement typique | Effet possible | Remarques |
|---|---|---|---|
| Quiet Boot / Full Screen Logo | Boot > Boot Options / Advanced | Remplace les messages colorés par un fond uni (souvent noir) et un logo | Purement visuel ; n’affecte pas BitLocker |
| CSM (Compatibility Support Module) | Boot Mode / CSM | Change la voie d’amorçage (Legacy vs UEFI pur) | À ne pas basculer sur un système déjà chiffré ; risque d’inamorçabilité |
| Résolution vidéo pré‑OS / GOP | Video / Chipset / Advanced | Peut modifier la mise en page du prompt (police, centrage) | Disponibilité variable selon les modèles |
| Secure Boot | Security > Secure Boot | N’influence pas la couleur, mais impose l’intégrité de la chaîne de boot | Doit rester activé dans la plupart des environnements |
| Fast Boot | Boot > Performance | Réduction des messages et initialisations visibles | Peut masquer des écrans d’information intermédiaires |
Paramétrage BitLocker côté GPO : où agir (mais pas sur la couleur)
Bien que la couleur ne soit pas configurable, vous pouvez gérer la méthode d’authentification au démarrage via les stratégies de groupe :
- Exiger une authentification supplémentaire au démarrage :
Configuration ordinateur → Modèles d’administration → Composants Windows → Chiffrement de lecteur BitLocker → Lecteurs du système d’exploitation - Autoriser les PIN renforcés (Enhanced PINs) pour accepter un jeu de caractères plus large.
- Autoriser BitLocker sans compatibilité TPM (si besoin d’un mot de passe de démarrage sur matériel sans TPM).
Ces paramètres changent le comportement de sécurité (PIN, TPM seul, clé USB, etc.), mais pas l’apparence de l’écran.
Comparatif sécurité : choisir le bon mode d’authentification
| Mode | Expérience au démarrage | Niveau de sécurité (indicatif) | Cas d’usage | Remarques |
|---|---|---|---|---|
| TPM seul | Aucun prompt (pas de PIN) | Moyen | Serveurs protégés physiquement, redémarrages automatisés | Plus simple, mais exposition si l’attaquant a l’appareil allumé |
| TPM + PIN | Demande de PIN (écran noir ou bleu selon firmware) | Élevé | Environnements sensibles, accès console contrôlé | Compromet l’automatisation des boots non assistés |
| TPM + clé de démarrage (USB) | Insertion d’une clé USB au boot | Élevé | Sites sans accès humain fréquent mais avec procédures out‑of‑band | Gestion physique des clés à organiser |
| Network Unlock | Déverrouillage transparent sur réseau approuvé | Élevé | Domaines AD, postes/serveurs sur VLANs de confiance | Nécessite infra dédiée (WDS, certificats), non destinée aux environnements isolés |
Procédure pas‑à‑pas : mettre à jour l’UEFI sans mauvaise surprise BitLocker
- Inventorier les protecteurs et sauvegarder la clé de récupération :
manage-bde -protectors -get C: - Suspension contrôlée avant maintenance :
manage-bde -protectors -disable C: -RebootCount 1 - Appliquer la mise à jour BIOS/UEFI selon le guide du constructeur (ne pas interrompre l’opération).
- Premier redémarrage : valider que le système amorce correctement, que l’écran PIN apparaît (si TPM + PIN) et que les périphériques d’entrée fonctionnent en pré‑OS.
- Réactiver BitLocker :
manage-bde -protectors -enable C: - Vérifier l’état :
manage-bde -status C: - Archiver : consigner la version UEFI/GOP installée et joindre une capture de l’écran pré‑boot issue de la console distante pour traçabilité.
Dépannage connexe : quand l’écran n’apparaît pas comme prévu
- Clavier inopérant au prompt PIN : activer « USB Keyboard Support »/« Legacy USB », tester un autre port, préférer les ports arrière ou un clavier PS/2 sur serveurs rackables.
- Console distante (iDRAC/iLO/BMC) : s’assurer que la console virtuelle prend en charge le mode graphique pré‑OS. Certaines versions exigent un plugin ou une bascule en « Video Redirection » spécifique.
- Écrans multiples ou GPU additionnel : débrancher temporairement les sorties secondaires pour forcer l’affichage sur la sortie principale pendant le pré‑boot.
- CSM activé par inadvertance : revenir au mode UEFI précédemment utilisé. N’utilisez pas la conversion MBR/UEFI sur un volume chiffré sans procédure validée.
- Demande de clé de récupération après mise à jour : BitLocker peut détecter un changement de configuration. Saisir la clé, démarrer, puis vérifier l’intégrité du TPM et réactiver les protecteurs.
Bonnes pratiques de sécurité
- Conserver Secure Boot activé pour protéger la chaîne d’amorçage contre les charges non signées.
- Activer les PIN renforcés si vous optez pour TPM + PIN : longueur minimale plus élevée et caractères étendus.
- Surveiller les événements dans le journal Microsoft‑Windows‑BitLocker/BitLocker Management pour détecter les déverrouillages inhabituels.
- Documenter les réglages UEFI critiques (captures, export) et les versions de firmware déployées par modèle.
Questions fréquentes
Pourquoi c’était bleu avant, et noir maintenant ?
Parce que l’ancien firmware ou une autre pile vidéo pré‑OS rendait l’interface différemment. Une mise à jour UEFI/GOP ou un changement de mode vidéo peut entraîner un fond noir sans impact fonctionnel.
Peut‑on forcer la couleur via un hack ?
Ce n’est pas supporté. Modifier des éléments de boot peut briser Secure Boot, empêcher l’amorçage et exposer la machine. Évitez ces manipulations.
Le noir indique‑t‑il un problème BitLocker ?
Non. Tant que le prompt s’affiche et que la saisie fonctionne, cela relève du visuel choisi par le firmware. Les soucis réels se manifestent par des erreurs BitLocker spécifiques ou l’absence de prompt.
Changer l’option CSM peut‑il restaurer le « bleu » ?
Parfois, mais cela n’est jamais une bonne raison de basculer le mode d’amorçage sur un système déjà chiffré. Le risque d’inamorçabilité est réel.
Checklist d’exploitation pour équipes datacenter
- Avant patch firmware : suspendre BitLocker (compte à rebours d’un reboot), sauvegarder les clés, préparer accès KVM/IP.
- Pendant : ne pas interrompre la mise à jour, vérifier la sortie vidéo/console choisie par le BMC.
- Après : contrôler l’écran PIN, réactiver les protecteurs, journaliser la version UEFI et l’apparence (bleu/noir) pour cohérence d’inventaire.
Exemples concrets et retours de terrain
- Sur des hôtes où « Quiet Boot » est actif, le prompt BitLocker apparaît texte blanc sur fond noir avec logo constructeur au démarrage. Le désactiver affiche davantage de messages, mais ne force pas un fond bleu.
- Sur certains châssis blade, la console distante propose une profondeur de couleurs réduite : le fond apparaît noir, même si localement il semblerait gris très sombre. Ce n’est qu’une variation d’affichage.
- Sur des plateformes mixtes GPU/IGPU, la sortie vidéo pré‑OS peut basculer sur l’iGPU ; débrancher la carte additionnelle pendant la qualification permet d’observer l’UI effective et d’ajuster la configuration.
Scripts utiles pour l’administration
Exporter rapidement les clés de récupération et l’état BitLocker de plusieurs serveurs :
$servers = @("SRV‑APP01","SRV‑DB02","SRV‑WEB03")
foreach ($s in $servers) {
Invoke-Command -ComputerName $s -ScriptBlock {
$status = manage-bde -status C:
$protectors = manage-bde -protectors -get C:
"$env:COMPUTERNAME`n$status`n$protectors" | Out-File "C:\Temp\bitlocker_$env:COMPUTERNAME.txt"
}
}
À retenir
- Sur Windows Server 2019, l’apparence de l’écran BitLocker n’est pas personnalisable via Windows.
- Un fond noir est attendu sur beaucoup de matériels modernes et ne signifie pas un défaut.
- Les seules voies de modification visuelle prises en charge passent par le firmware/constructeur, sans garantie de résultat.
- Avant toute action firmware : sauvegarder la clé, suspendre BitLocker, réactiver ensuite.
Résumé opérationnel
- Accepter que la couleur provient du firmware (et non d’un réglage Windows).
- Mettre à jour le BIOS/UEFI si une amélioration visuelle est souhaitée.
- Contrôler les options UEFI (Quiet Boot, logo plein écran, vidéo pré‑OS) sans toucher au mode d’amorçage.
- Éviter toute modification de fichiers de boot ou outil tiers : non pris en charge.
- Adapter la stratégie BitLocker (TPM seul vs TPM+PIN) selon la politique de sécurité et les besoins d’exploitation.
Besoin d’un « retour au bleu » ? Dans la pratique, seule une évolution firmware peut, éventuellement, modifier la teinte de l’UI. Concentrez‑vous surtout sur l’intégrité de la chaîne de démarrage (Secure Boot, TPM, GPO) et sur des procédures de maintenance robustes : la couleur n’influe pas sur la sécurité ni sur les performances.