BitLocker を 柔軟に使う方法[おまじないコマンド]

スポンサーリンク(広告)
スポンサーリンク(広告)

Scenario:0 はじめに

 Windowsの一部のエディションで利用できるBitLockerについて、いろいろ試してみたので、その記録です。

BitLockerとは

 そもそも、BitLocker とは、Windows Vista から搭載されたドライブ(ボリューム)をまるごと暗号化することができる機能です。一般的に3%から5%パフォーマンスが低下するものの、ハードディスクが物理的な盗難などにより第三者の手に渡ったときに保存されていたデータを安全に保護することができ、Windowsのさまざまな機能の中でも、モバイル環境では特に重要な機能となっています。暗号化の方法は、128bitまたは256bitのAES-CBCやElephant diffuserなどを使い、一部のWindows10ではXTS-AESもサポートしています。
 BitLockerに対応しているエディションは、Windows Vista および 7 については UltimateとEnterpriseエディション、Windows 8 以降では ProとEnterpriseエディション、Windows 10 では Pro、Enterprise と Educationエディションとなっています。また、Windows Server では、2008 以降のすべてのエディションで利用できます。
 BitLockerに対応していないエディションでも、既にBitLockerが有効になっているドライブを接続したときは、ドライブのロックを解除することができるようです。

今回試してみたこと

[追記]通常の Windows 10 での暗号化手順も、本記事と殆ど同じですが、新規で記事を作成しましたので、そちら(Windows 10 のシステムドライブを BitLocker で暗号化する)も併せて参考にしてください。

 今回試してみた項目は、以下の通りです。

Scenario:1 TPM(Trusted Platform Module)なしで、オペレーションシステムドライブのBitLockerを有効にする

テスト環境

    OS:Windows 2012 R2 Standard / TPM:なし

 Windows Serverでは、デフォルトでBitLockerの機能がインストールされていませんので、コントロールパネルにBitLockerの項目が見当たりません。
WS2012R2-2016-04-02-01-05-19

BitLockerのインストール

 BitLockerの機能をインストールします。
WS2012R2-2016-04-02-00-49-20

 インストール完了後も、表示されない場合は、もう一度再起動する必要があるようです。
WS2012R2-2016-04-02-02-49-37

 無事表示されるようになりましたら、早速「BitLockerを有効にする」を試してみましょう。
WS2012R2-2016-04-02-02-50-39

WS2012R2-2016-04-02-20-29-31
 はい、確かにTPMはありません。
WS2012R2-2016-04-02-03-05-23

グループポリシーの変更

 TPMなしで、オペレーションシステムドライブの「BitLockerを有効にする」ために、ローカルグループポリシーを変更します。
 ドメインレベルで適用するのであれば、ドメインコントローラーのグループポリシー管理から同様の項目を変更していきます。

 コマンドプロンプトを管理者権限で開き以下のコマンドを実行します。

WS2012R2-2016-04-02-00-58-21
 コンピュータの構成 > 管理用テンプレート > Windows コンポーネント > BitLocker ドライブの暗号化 > オペレーティング システムのドライブ > スタートアップ時に追加の認証を要求する
WS2012R2-2016-04-02-01-01-55

 「未構成」から「有効」に変更し、”OK”をクリックします。
WS2012R2-2016-04-02-01-02-48

 グループポリシーを更新します。

WS2012R2-2016-04-02-00-58-21

BitLocker の有効化

 では、もう一度ためしてみましょう。

WS2012R2-2016-04-02-02-50-39

 はい、ドライブのロックを解除する方法の選択を迫られます。
WS2012R2-2016-04-02-02-51-13

 Scenario:2 で説明しますが、USBフラッシュドライブに比べて、パスワードの方がオプションのような項目になります。
 今回は、必要最小限の構成ということで、USBフラッシュドライブを選択します。
WS2012R2-2016-04-02-02-53-37

 回復キーのバックアップ方法を選択します。
 既に、USBにはスタートアップキーが保存されているので、ついでに回復キーも同じところに保存します。
WS2012R2-2016-04-02-02-56-12

 今回は、テストですので、高速な方を選択します。実装するときは、低速の方が安心ですが、Scenario:2 のおまじないコマンドを使うと、ワイプもできるようですので、とりあえず高速を選んでみるのも良いかもしれません。
WS2012R2-2016-04-02-02-58-42
WS2012R2-2016-04-02-02-59-30

 再起動後、BitLockerが有効となり、暗号化が開始されるはずです。
WS2012R2-2016-04-02-03-00-27

暗号化されない場合について

 VMwareなど、USBからのブートをサポートしていないPCでは、スタートアップキーを読み取ることができず、暗号化に失敗するようです。
 回避方法としては、USBではなく、CDやフロッピーディスクにスタートアップキーを保存すると読み取って起動することができるようです。
 それでも暗号化できない場合は、スタートアップキーでの暗号化をあきらめて、パスワードでの暗号化を試みることをお勧めします。

Scenario:2 オペレーションシステムドライブに「パスワード キー保護機能」を追加、または削除する

GUI の限界

 Scenario:1 で暗号化が完了すると、BitLockerの管理画面は以下のようになると思います。
WS2012R2-2016-04-02-03-04-38

 Scenario:1 でドライブのロックを解除する方法としてパスワードを選択した場合、暗号化が完了すると、BitLockerの管理画面は以下のようになると思います。
WS2012R2-2016-04-02-03-09-50

 そして、パスワードを削除しようとすると、次のような画面が表示されます。
WS2012R2-2016-04-02-03-10-55

 逆に、パスワードを設定していない状態で、パスワードを追加しようとしても、パスワードの追加ボタンがありません。
 GUIでは、これが限界のようです。

manage-bde コマンドの紹介

 そこで登場するのが、以下のおまじないコマンドです。そのまま実行すると、簡単なヘルプが表示されます。

 管理者権限がなくても一部は実行できるようですが、管理者権限でコマンドプロンプトを開いていることを前提に説明します。

BitLockerの状態を確認

 現在の C ドライブのBitLockerの状態を確認したいときは、以下のコマンドを実行します。

 「外部キー」と「数字パスワード」という二つの保護機能が有効であることが分かります。
 ここで記載されている「外部キー」とは、拡張子が”.BEK”のファイルで、いわゆるスタートアップキーのことを指します。”manage-bde”コマンドでは、「外部キー」や”StartupKey”、”BitLockerExternalKey”という表現が使われるようです。”.BEK”という拡張子も合点がいきます。
 「数字パスワード」は、いわゆる回復キーを指します。

パスワードの追加

 では、さっそく以下のコマンドを実行してパスワードを追加しよう。

 コントロールパネルで確認すると、以下の通り、追加できていることが確認できます。
WS2012R2-2016-04-02-03-09-50

 再度、C ドライブのBitLockerの状態を、確認してみると。

 「パスワード」が追加されたことが確認できます。

 逆に、パスワードを削除するときは、以下のように実行します。

 コントロールパネルで確認すると、以下の通り、パスワードの項目がなくなったことが確認できます。
WS2012R2-2016-04-02-03-04-38

回復キーの削除

 では、思い切って回復キーを削除してみましょう。

 おっ、消せてしまったようですね。状態を確認してみましょう。

WS2012R2-2016-04-03-03-37-33
 き、消えてますね。正常に動作するか、再起動してみると、正常起動しました。
 コントロールパネルで確認しても、同じ状態です。

外部キーの削除

 では、思い切って、外部キーも消してみましょう!

 ふむふむ、保護が中断されました。
WS2012R2-2016-04-03-03-44-47

保護再開の試行

 では、保護の再開を試みましょう。

 やはり、無理なようですね。

 パスワード、外部キー、回復キーを追加していきます。

パスワードの追加

 まずは、パスワードを追加して、さっそくBitLockerを有効にします。

 保護が有効になりました。

外部キーの作成と保存

 次に、外部キーを作成して E ドライブの USB フラッシュドライブに保存します。

回復キーの作成

 続いて、回復キーも作成します。

 以上の通り、GUIではいろいろな警告が表示されるだけの状態でも、非常に柔軟に”manage-bde.exe”は対応してくれます。
 また、”manage-bde.exe”の代わりに、”cscript manage-bde.wsf”を使うこともできるようですが、パスワードの設定などは、ハンドルが無効となるなど、いろいろ使い勝手が悪いので、”manage-bde.exe”の方がお勧めです。

Scenario:3 BitLockerに対応していないエディションで、無理矢理オペレーションシステムドライブのBitLockerを有効にする。

 要点だけになりますが、以下のような挙動を確認しました。
 BitLocker 非対応のエディションがインストールされた PC から OS のインストールされているデバイスを取り外し、BitLocker 対応のエディションがインストールされた PC に接続します。
 このとき、BitLocker To Go ではなく、固定データドライブとして認識されていることを確認してください。
 固定データドライブの暗号化は、問題なく行えると思います。そして、暗号化が終わったら、もとの PC にデバイスを戻します。
 そうすると、起動しようとしたとき、回復キーの入力やパスワードの入力を求められます。これに応じると、無事 BitLocker 非対応のエディションの暗号化を行うことができます。
 回復キーの入力かパスワードの入力か、いずれの入力を求められるかについては、インストールされているOSのバージョンやBitLockerでの暗号化状況によって異なります。

スポンサーリンク(広告)
スポンサーリンク(広告)

コメント

  1. さんり より:

    はじめまして。TPMがない場合のBitLockerの記事、大変参考にさせていただきました。大変恐縮ですが、一点ご教示いただくことは可能でしょうか。「ドライブのロックを解除する方法の選択」のところでUSBメモリかパスワードかを選択する画面が出て来ず、USBメモリを選択した場合の画面になってしまいます。パスワードを選択できるようにするには、どうすればよいのでしょうか。どうぞよろしくお願いいたします。(環境は、win10 proです)

  2. さんり より:

    たびたび申し訳ありません。先ほどBitlockerについて質問した者です。先ほどの問題ですが、なんとか解決することが出来ました。お騒がせして申し訳ありません。どうもありがとうございました。

    • abten より:

      コメントありがとうございます。返信がおそくなり申し訳ありません。
      解決されたようで、また何かございましたら、コメントください。
      でわでわ。