0

Bitlocker を 柔軟に使うおまじない

Scenario:0 はじめに

 Windowsの一部のエディションで利用できるBitlockerについて、いろいろ試してみたので、その記録です。
 Bitlockerに対応しているエディションは、Windows Vista および 7 については UltimateとEnterpriseエディション、Windows 8 以降では ProとEnterpriseエディション、Windows 10 では Pro、Enterprise と Educationエディションとなっています。また、Windows Server では、2008 以降のすべてのエディションで利用できます。
 Bitlockerに対応していないエディションでも、既にBitlockerが有効になっているドライブを接続したときは、ドライブのロックを解除することができるようです。

 今回試してみた項目は、以下の通りです。

    1.TPM(Trusted Platform Module)なしで、オペレーションシステムドライブのBitlockerを有効にする
    2.オペレーションシステムドライブに「パスワード キー保護機能」を追加、または削除する
    3.Bitlockerに対応していないエディションで、無理矢理オペレーションシステムドライブのBitlockerを有効にする

Scenario:1 TPM(Trusted Platform Module)なしで、オペレーションシステムドライブのBitlockerを有効にする

テスト環境

    OS:Windows 2012 R2 Standard / TPM:なし

 Windows Serverでは、デフォルトでBitlockerの機能がインストールされていませんので、コントロールパネルにBitlockerの項目が見当たりません。
WS2012R2-2016-04-02-01-05-19

 Bitlockerの機能をインストールします。
WS2012R2-2016-04-02-00-49-20

 インストール完了後も、表示されない場合は、もう一度再起動する必要があるようです。
WS2012R2-2016-04-02-02-49-37

 無事表示されるようになりましたら、早速「Bitlockerを有効にする」を試してみましょう。
WS2012R2-2016-04-02-02-50-39

WS2012R2-2016-04-02-20-29-31
 はい、確かにTPMはありません。
WS2012R2-2016-04-02-03-05-23

 TPMなしで、オペレーションシステムドライブの「Bitlockerを有効にする」ために、ローカルグループポリシーを変更します。
 ドメインレベルで適用するのであれば、ドメインコントローラーのグループポリシー管理から同様の項目を変更していきます。

 コマンドプロンプトを管理者権限で開き以下のコマンドを実行します。

WS2012R2-2016-04-02-00-58-21

WS2012R2-2016-04-02-01-01-55

 「未構成」から「有効」に変更し、”OK”をクリックします。
WS2012R2-2016-04-02-01-02-48

 グループポリシーを更新します。

WS2012R2-2016-04-02-00-58-21

 では、もう一度ためしてみましょう。
WS2012R2-2016-04-02-02-50-39

 はい、ドライブのロックを解除する方法の選択を迫られます。
WS2012R2-2016-04-02-02-51-13

 Scenario:2 で説明しますが、USBフラッシュドライブに比べて、パスワードの方がオプションのような項目になります。
 今回は、必要最小限の構成ということで、USBフラッシュドライブを選択します。
WS2012R2-2016-04-02-02-53-37

 回復キーのバックアップ方法を選択します。
 既に、USBにはスタートアップキーが保存されているので、ついでに回復キーも同じところに保存します。
WS2012R2-2016-04-02-02-56-12

 今回は、テストですので、高速な方を選択します。実装するときは、低速の方が安心ですが、Scenario:2 のおまじないコマンドを使うと、ワイプもできるようですので、とりあえず高速を選んでみるのも良いかもしれません。
WS2012R2-2016-04-02-02-58-42
WS2012R2-2016-04-02-02-59-30

 再起動後、Bitlockerが有効となり、暗号化が開始されるはずです。
WS2012R2-2016-04-02-03-00-27

※ 暗号化されない場合について
 VMwareなど、USBからのブートをサポートしていないPCでは、スタートアップキーを読み取ることができず、暗号化に失敗するようです。
 回避方法としては、USBではなく、CDやフロッピーディスクにスタートアップキーを保存すると読み取って起動することができるようです。
 それでも暗号化できない場合は、スタートアップキーでの暗号化をあきらめて、パスワードでの暗号化を試みることをお勧めします。

Scenario:2 オペレーションシステムドライブに「パスワード キー保護機能」を追加、または削除する

 Scenario:1 で暗号化が完了すると、Bitlockerの管理画面は以下のようになると思います。
WS2012R2-2016-04-02-03-04-38

 Scenario:1 でドライブのロックを解除する方法としてパスワードを選択した場合、暗号化が完了すると、Bitlockerの管理画面は以下のようになると思います。
WS2012R2-2016-04-02-03-09-50

 そして、パスワードを削除しようとすると、次のような画面が表示されます。
WS2012R2-2016-04-02-03-10-55

 逆に、パスワードを設定していない状態で、パスワードを追加しようとしても、パスワードの追加ボタンがありません。
 GUIでは、これが限界のようです。

 そこで登場するのが、以下のおまじないコマンドです。そのまま実行すると、簡単なヘルプが表示されます。

 管理者権限がなくても一部は実行できるようですが、管理者権限でコマンドプロンプトを開いていることを前提に説明します。

 現在の C ドライブのBitlockerの状態を確認したいときは、以下のコマンドを実行します。

 「外部キー」と「数字パスワード」という二つの保護機能が有効であることが分かります。
 ここで記載されている「外部キー」とは、拡張子が”.BEK”のファイルで、いわゆるスタートアップキーのことを指します。”manage-bde”コマンドでは、「外部キー」や”StartupKey”、”BitlockerExternalKey”という表現が使われるようです。”.BEK”という拡張子も合点がいきます。
 「数字パスワード」は、いわゆる回復キーを指します。

 では、さっそく以下のコマンドを実行してパスワードを追加しよう。

 コントロールパネルで確認すると、以下の通り、追加できていることが確認できます。
WS2012R2-2016-04-02-03-09-50

 再度、C ドライブのBitlockerの状態を、確認してみると。

 「パスワード」が追加されたことが確認できます。
 逆に、パスワードを削除するときは、以下のように実行します。

 コントロールパネルで確認すると、以下の通り、パスワードの項目がなくなったことが確認できます。
WS2012R2-2016-04-02-03-04-38

 では、思い切って回復キーを削除してみましょう。

 おっ、消せてしまったようですね。状態を確認してみましょう。

WS2012R2-2016-04-03-03-37-33
 き、消えてますね。正常に動作するか、再起動してみると、正常起動しました。
 コントロールパネルで確認しても、同じ状態です。

 では、思い切って、外部キーも消してみましょう!

 ふむふむ、保護が中断されました。
WS2012R2-2016-04-03-03-44-47

 では、保護の再開を試みましょう。

 やはり、無理なようですね。

 パスワード、外部キー、回復キーを追加していきます。
 まずは、パスワードを追加して、さっそくBitlockerを有効にします。

 保護が有効になりました。
 次に、外部キーを作成して E ドライブの USB フラッシュドライブに保存します。

 続いて、回復キーも作成します。

 以上の通り、GUIではいろいろな警告が表示されるだけの状態でも、非常に柔軟に”manage-bde.exe”は対応してくれます。
 また、”manage-bde.exe”の代わりに、”cscript manage-bde.wsf”を使うこともできるようですが、パスワードの設定などは、ハンドルが無効となるなど、いろいろ使い勝手が悪いので、”manage-bde.exe”の方がお勧めです。

Scenario:3 Bitlockerに対応していないエディションで、無理矢理オペレーションシステムドライブのBitlockerを有効にする。

 要点だけになりますが、以下のような挙動を確認しました。
 Bitlocker 非対応のエディションがインストールされた PC から OS のインストールされているデバイスを取り外し、Bitlocker 対応のエディションがインストールされた PC に接続します。
 このとき、Bitlocker To Go ではなく、固定データドライブとして認識されていることを確認してください。
 固定データドライブの暗号化は、問題なく行えると思います。そして、暗号化が終わったら、もとの PC にデバイスを戻します。
 そうすると、起動しようとしたとき、回復キーの入力やパスワードの入力を求められます。これに応じると、無事 Bitlocker 非対応のエディションの暗号化を行うことができます。
 回復キーの入力かパスワードの入力か、いずれの入力を求められるかについては、インストールされているOSのバージョンやBitlockerでの暗号化状況によって異なります。

abten

コメントを残す

メールアドレスが公開されることはありません。