小林さんちのメイドラゴンS

maidragon.jp

  • この一年、とんでもなく忙しくてアニメとかコミックとかに割り当てる時間が全くとれませんでしたが、これは見たい。
  • 京都アニメーション復活の第一歩になってほしいです。

Lenovo Smart Displays

  • Bitlockerの動作検証のためWindowd 10 21H1を再インストールして利用開始。特に問題なく利用できていたけど、複数モニターを接続したときの挙動がおかしい。具体的には、デスクトップアイコンの描画が壊れたり、配置が狂って勝手にあちこちに移動してしまう。デスクトップアイコンの配置をKH DeskKeeper2018で管理してけど、この機能に干渉しているような動作。
  • タスクトレイにSmart Displaysという見慣れないアプリが常駐していて、これが原因らしいことに気づいて調査したところ、Lenovoのアプリだったようだ。しかも、ドライバー群と一緒に自分でインストールしていたらしい。orz
  • マルウェアの類いではなさそうでよかったですわ。速攻でアンインストールいたしました。今後再インストールするときには注意しなくてはなりません。

support.lenovo.com
f:id:cutxout:20210711075052j:plain
f:id:cutxout:20210711073455j:plain
f:id:cutxout:20210711075055j:plain

読書

Bitlockerの検証

cutxout.hatenadiary.jp

  • 自分なりのベストプラクティスを考えてみたので、全面適用する前にノートPCを使って検証開始。ドライブ構成もコンパクトにまとまっているので検証環境としてちょうどよい。
  • 内蔵SSD 2個、物理パーティション1個、論理パーティション2個、リムーバブルメディア1個、TPM 1.2、Harddisk Password(ATA)の構成で機能的にも網羅できている。しばらく使ってみて問題なければデスクトップPCにも適用する所存。
種別 ドライブレター physical disks Bitlocker追加認証 備考
OSV C: \\.\PHYSICALDRIVE0 TPMandPIN+RecoveryPassword 論理パーティションTPM 1.2
FDV D: \\.\PHYSICALDRIVE1 AutoUnlock+RecoveryPassword 論理パーティション
FDV E: \\.\PHYSICALDRIVE3 AutoUnlock+RecoveryPassword 物理パーティション
RDV H: \\.\PHYSICALDRIVE4 AutoUnlock+RecoveryPassword+Password リムーバブルメディア

Bitlocker memo (Windows 10 21H1)

背景

  • BitlockerはWindows 7の頃に存在を知り、XPまで使っていたEFSの後継としてノートPCとUSBメモリで使い始めて今に至ります。細かいことは気にせずコントロールパネルから有効化しただけで、回復キーの管理もいい加減なままという危うい使用状況だったにも関わらず、大きなトラブルに総数することは無く、よくできた仕組みだと思います。
  • 今回、デスクトップPCでも利用することに決めたのをきっかけに、詳細仕様の調査と運用手順を纏めることにしました。ノートPCとUSBメモリでの運用は紛失した場合の保険なのでデータを失っても諦めればよい程度でしたが、デスクトップPCは話が違います。PC内のデータに加えて、バックアップ先のUSB外付けHDDもセットで扱わなくては意味が無いので、手持ちの全データを暗号化することと同義であります。
  • 暗号技術の運用ミスはおっかないです。EFSを使っていた頃に一度経験しましたが、そこにデータがあるのにアクセス出来ないわけでして...

保護するハードウェア

機種 TPM OSV FDV RDV メモ
デスクトップPC 2.0 SSD(m.2) HDD多数   自宅に固定設置
ノートPC 1.2 SSD(SATA) SSD(mSATA)   それなりの頻度で持ち歩く
ノートPC - SSD(m.2) なし   あまり持ち歩かない
USB HDD       HDD多数 自宅に固定設置、バックアップデータ
USBメモリ       128GB-512GB程度 常時携帯

機能の整理

ストレージ種別

略称 英語名称 日本語名称 具体例 保護技術
OSV Operating System Volume オペレーティングシステムドライブ C: Bitlocker
FDV Fixed Data Volume 固定データドライブ C:以外の内蔵ドライブ Bitlocker
RDV Removable Data Volume リムーバブルデータドライブ USBメモリ、外付けストレージ Bitlocker To Go

暗号化方法と暗号強度

暗号化方法と暗号強度 Windows Vista/7 Windows 8/8.1/10(1507) Windows 10(1511-)
AES-CBC 128 with Elephant Diffuser × ×
AES-CBC 256 with Elephant Diffuser × ×
AES-CBC 128 ○(default) ○(default)
AES-CBC 256
XTS-AES 128 × × ○(default)
XTS-AES 256 × ×
  • gpedit.msc
    • コンピューターの構成
      • 管理用テンプレート

f:id:cutxout:20210708230705j:plain

スタートアップ時に追加する認証(Protectors)

OSV FDV/RDV 追加認証 説明 必要な操作
× TPM OS ボリュームに TPM 保護機能を追加 なし(ログオンするだけ)
× TPMAndPIN OS ボリュームに TPM と PIN の保護機能を追加 PIN
× TPMAndStartupKey OS ボリュームに TPM とスタートアップ キーの保護機能を追加 USB Flash Memory
× TPMAndPINAndStartupKey OS ボリュームに TPM、PIN、およびスタートアップ キーの保護機能を追加 USB Flash Memory + PIN
Password ボリュームにパスワード キー保護機能を追加 パスワード
StartupKey 外部スタートアップ キー保護機能を追加 USB Flash Memory
RecoveryPassword 数字パスワード保護機能を追加 48桁の数字パスワード
RecoveryKey 外部回復キー保護機能を追加 回復キー(.BEK)を指定
AutoUnlock データ ボリュームの自動ロック解除を管理 -
  • △:TPM非搭載のPCでは、gpedit.mscで設定変更すればPasswordによるOSVの暗号化を利用できる。
  • コンピューターの構成

f:id:cutxout:20210708230736j:plainf:id:cutxout:20210708230740j:plain

  • 追加認証を指定する文字列はcase insensitive(i.e. TPMandPINでもtpmandpinでもOK)
  • AutoUnlockは追加認証ではないが、纏めて考えた方が分かりやすい。
  • 企業の環境(AD/AzureAD)は分からないため割愛。

回復キーのバックアップ方法

PINの考え方

  • TPMに対するPINは、TPMへアクセスする際の認証。
  • マイクロソフトアカウントに対するPINは、OSログオン時の認証でマイクロソフトアカウントのクレデンシャルを利用しないようにするための仕組みと思われる。おそらく、常時マイクロソフトアカウントを利用する前提で設計されているので、自分のようにローカルアカウントで生活する場合は意識しておかないと混乱する。

コマンドラインツール(manage-bde.exe)の使い方

  • manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: [########]
[OS ボリューム]

    サイズ:                 391.51 GB
    BitLocker のバージョン: 2.0
    変換状態:               完全に暗号化されています
    暗号化された割合:       100.0%
    暗号化の方法:           XTS-AES 128
    保護状態:               保護はオンです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        パスワード
        数字パスワード
  • manage-bde.exe -protectors -get c:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム C: [########]
すべてのキーの保護機能

    パスワード:
      ID: {########-####-####-####-############}

    数字パスワード:
      ID: {########-####-####-####-############}
      パスワード:
        ######-######-######-######-######-######-######-######
  • manage-bde.exe -protectors -add c: -TPMAndPIN
    • 追加認証を追加する
  • manage-bde.exe -protectors -delete c: -Password
    • 追加認証を削除する
  • manage-bde.exe -AutoUnlock -Enable d:
    • 自動ロック解除を有効にする
  • manage-bde-exe -on c: -TPMAndPIN
    • 暗号化を開始する

考え方

  • 日常生活でのPC利用が著しく不便にならない程度の手間と引換に、第三者がPC内のデータを参照出来なくすることを目的としたい。現実的な選択肢としては、PC起動時にTPMのPINとOSのID/PWを入力する程度が上限でしょうか。今まで自宅のデスクトップPCは自動ログオンになっていたので、これでも負荷は高いです。orz
  • OSVの保護では、TPMとPINを利用する。Bitlockerの既定ではTPMに対する認証が設定されておらず、OSにログオンできればTPM内の鍵へアクセスできる状態になっている。Bitlockerの存在を意識しなくて済むメリットは大きいが、セキュリティ強度がOSへログオンできるかどうかに依存するため、非常に脆弱な状態となる。そのため、追加認証としてPINを設定するのが望ましい。
  • FDVの保護では、自動ロック解除を設定し、回復キーはマイクロソフトアカウントのみに保存する。自動ロック解除用の外部キーはレジストリ(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\FveAutoUnlock\)に収納されるため、OSVが復号されない限り外部キーにアクセス出来ず、結果的にFDVの外部キーもOSVと同様にTPMとPINで保護されると考えてもよいでしょう。収納場所がHKCU配下なので、OSが起動した状態ではFDVは復号されておらず、ユーザがログオンした時点で復号される扱いになるはず。
  • RDVの保護では、FDVの設定に加えて、信頼できる2台以上のPCへ自動ロック解除を紐付ける。これにより、復号できるPCの冗長性を確保したい。信頼できるPC以外での利用はせず、不特定多数とのデータ交換には別のUSBメモリを利用する。
  • TPM非搭載PCのOSVを除き、パスワードによる保護は設定しない。自分が記憶できる程度のパスワードよりも、自動ロック解除で設定される外部キーの方が圧倒的に安全なはず。直感に反する上に、気分的に落ち着かないのは仕方ありません。
  • OSを再インストールする場合の注意事項。
    • FDV/RDVのコンテンツを全てバックアップする。
    • 再インストール完了後、OSVの保護を新規に設定する。
    • FDV/RDVを接続し、マイクロソフトアカウントに保存した回復キーで復号した後に、再度自動ロック解除の設定をする。
      • 古い自動ロック解除用の外部キー削除は慎重に行うこと。
      • 一時的に保護を中断するのもありだが、再設定する手間と再設定中にトラブルが発生するリスクとのトレードオフ次第。回復キーを確保出来ており、バックアップも取れているなら、前者の方が安全で手間も少ないと思う。
  • OSログオン時のセキュリティ対策として、以下を設定する。
    • gpedit.msc
      • コンピュータの構成
        • Windowsの設定
          • セキュリティの設定
            • ローカルポリシー
              • セキュリティオプション
                • 対話型ログオン:サインイン時にユーザー名を表示しない -> 有効
                • 対話型ログオン:コンピューターアカウントのロックアウトしきい値 -> 5程度?
    • OSVの暗号化を破られてOSが起動した場合でも、ユーザがログオンしない限りFDV/RDVは復号されないはずなので、攻撃者への嫌がらせ程度にはなるでしょう。:-p

f:id:cutxout:20210708230815j:plainf:id:cutxout:20210708230818j:plain

運用ポリシー

  • ノートPCでは、BIOSのHarddisk Password(ATA)とSupervisor Passwordも併用する。
  • PCのホスト名は、分かりやすく固有の名前を設定する。
  • OSログオン時のセキュリティ対策も併用する。
  • 暗号は、XTS-AES 256とする。
  • OSVの追加認証は、TPMandPIN + RecoveryPasswordとする。
  • FDVの追加認証は、AutoUnlock + RecoveryPasswordとする。
  • RDVの追加認証は、AutoUnlock + RecoveryPasswordとする。できれば、AutoUnlockは2台以上のPCと紐付ける。
  • RecoveryPasswordは、マイクロソフトアカウントに保存する。

運用手順(新規の場合)

  • PCに紐付くOSV/FDV/RDVの全ての回復キーを確認してメモを残す。
    • 再インストール後に各ボリュームを復号するため。
    • マイクロソフトアカウント上の不要な回復キーを削除するため。
  • OSを再インストールする。
  • gpedit.mscを起動して、以下の設定変更を行う。
    • 暗号にXTS-AES 256を指定する
    • スタートアップ時に追加の認証を要求する
    • スタートアップの拡張PINを許可する
    • 対話型ログオン:コンピューターアカウントのロックアウトしきい値 -> 5程度?
    • 対話型ログオン:サインイン時にユーザー名を表示しない -> 有効
  • OSVを暗号化する。
C:\Windows\system32> manage-bde.exe -status

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]

    サイズ:                 476.94 GB
    BitLocker のバージョン: なし
    変換状態:               暗号化は完全に解除されています
    暗号化された割合:       0.0%
    暗号化の方法:           なし
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       なし
    自動ロック解除:         無効
    キーの保護機能:         見つかりません

ボリューム C: []
[OS ボリューム]

    サイズ:                 194.72 GB
    BitLocker のバージョン: 2.0
    変換状態:               暗号化は完全に解除されています
    暗号化された割合:       0.0%
    暗号化の方法:           なし
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:         見つかりません
C:\Windows\system32> manage-bde.exe -on c: -TPMandPIN

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム C: []
[OS ボリューム]
ボリュームを保護するために使用する PIN を入力します:
PIN をもう一度入力して確認します:
追加されたキーの保護機能:

    TPM および PIN:
      ID: {########-####-####-####-############}
      PCR 検証プロファイル:
        0, 2, 4, 8, 9, 10, 11

必要な操作:

    1。ハードウェア テストを実行するには、コンピューターを再起動します
    (コマンド ラインの説明については、「shutdown /?」と入力してください)。

    2。ハードウェア テストが成功したかどうかを確認するには、
    「manage-bde -status」と入力します。

注意: ハードウェア テストが成功した後、暗号化が開始されます。

(再起動)
C:\Windows\system32>manage-bde.exe -status

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]

    サイズ:                 476.94 GB
    BitLocker のバージョン: なし
    変換状態:               暗号化は完全に解除されています
    暗号化された割合:       0.0%
    暗号化の方法:           なし
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       なし
    自動ロック解除:         無効
    キーの保護機能:         見つかりません

ボリューム C: []
[OS ボリューム]

    サイズ:                 194.72 GB
    BitLocker のバージョン: 2.0
    変換状態:               暗号化を実行中です
    暗号化された割合:       3.3%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        TPM および PIN
  • FDV/RDVを暗号化する。
C:\Windows\system32> manage-bde.exe -autounlock -enable d:

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

追加されたキーの保護機能:
    外部キー:
      ID: {########-####-####-####-############}
      外部キー ファイル名:
        ########-####-####-####-############.BEK
      自動ロック解除は有効です。
C:\Windows\system32> manage-bde.exe -status

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]

    サイズ:                 476.94 GB
    BitLocker のバージョン: 2.0
    変換状態:               暗号化は完全に解除されています
    暗号化された割合:       0.0%
    暗号化の方法:           なし
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    自動ロック解除:         有効
    キーの保護機能:
        外部キー (自動ロック解除には必要です)

ボリューム C: []
[OS ボリューム]

    サイズ:                 194.72 GB
    BitLocker のバージョン: 2.0
    変換状態:               暗号化を実行中です
    暗号化された割合:       13.2%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        TPM および PIN
C:\Windows\system32> manage-bde.exe -on d:

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム D: []
[データ ボリューム]
暗号化は現在実行中です。
C:\Windows\system32> manage-bde.exe -status

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]

    サイズ:                 476.94 GB
    BitLocker のバージョン: 2.0
    変換状態:               暗号化を実行中です
    暗号化された割合:       0.1%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    自動ロック解除:         有効
    キーの保護機能:
        外部キー (自動ロック解除には必要です)

ボリューム C: []
[OS ボリューム]

    サイズ:                 194.72 GB
    BitLocker のバージョン: 2.0
    変換状態:               暗号化を実行中です
    暗号化された割合:       23.4%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        TPM および PIN
  • OSV/FDV/RDVに回復キーを追加する。
C:\Windows\system32> manage-bde.exe -protectors -add c: -recoverypassword

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

追加されたキーの保護機能:

    数字パスワード:
      ID: {########-####-####-####-############}
      パスワード:
        ######-######-######-######-######-######-######-######

必要な操作:

    1。この数字の回復パスワードを、使用しているコンピューター
    以外のセキュリティ保護された場所に保存してください:

    ######-######-######-######-######-######-######-######

    データの消失を防ぐために、このパスワードを直ちに保存してください。
    このパスワードで、暗号化ボリュームのロックを解除できます。
C:\Windows\system32> manage-bde.exe -protectors -add d: -recoverypassword

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

追加されたキーの保護機能:

    数字パスワード:
      ID: {########-####-####-####-############}
      パスワード:
        ######-######-######-######-######-######-######-######

必要な操作:

    1。この数字の回復パスワードを、使用しているコンピューター
    以外のセキュリティ保護された場所に保存してください:

    ######-######-######-######-######-######-######-######

    データの消失を防ぐために、このパスワードを直ちに保存してください。
    このパスワードで、暗号化ボリュームのロックを解除できます。
C:\Windows\system32> manage-bde.exe -status

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]

    サイズ:                 476.94 GB
    BitLocker のバージョン: 2.0
    変換状態:               暗号化を実行中です
    暗号化された割合:       10.6%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    自動ロック解除:         有効
    キーの保護機能:
        外部キー (自動ロック解除には必要です)
        数字パスワード

ボリューム C: []
[OS ボリューム]

    サイズ:                 194.72 GB
    BitLocker のバージョン: 2.0
    変換状態:               暗号化を実行中です
    暗号化された割合:       65.8%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        TPM および PIN
        数字パスワード

運用手順(再インストールの場合)

  • 再インストール前に、全てのドライブで自動ロック解除と回復キーのメモを取得する。
C:\Windows\system32> manage-bde.exe -protectors -get d:

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム D: [不明なラベル]
すべてのキーの保護機能

    外部キー:
      ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
      外部キー ファイル名:
        5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK

    数字パスワード:
      ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
      パスワード:
        354706-520608-139172-157344-227942-476795-636746-465311
  • 再インストール直後の状態。

f:id:cutxout:20210709225622j:plain

  • OSVを暗号化する。
    • VMWare環境でTPMを利用出来ないため、パスワードで代替している。
    • FDV/RDVは再インストール前のままだが、復号できない状態。
C:\Windows\system32> manage-bde.exe -status

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: []
[OS ボリューム]

    サイズ:                 33.53 GB
    BitLocker のバージョン: 2.0
    変換状態:               暗号化を実行中です
    暗号化された割合:       13.7%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        パスワード

ボリューム D: [不明なラベル]
[データ ボリューム]

    サイズ:                 不明 GB
    BitLocker のバージョン: 2.0
    変換状態:               不明
    暗号化された割合:       不明%
    暗号化の方法:           XTS-AES 256
    保護状態:               不明
    ロック状態:             ロック
    識別子フィールド:       不明
    自動ロック解除:         無効
    キーの保護機能:
        外部キー
        数字パスワード
C:\Windows\system32> manage-bde.exe -protectors -get d:

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム D: [不明なラベル]
すべてのキーの保護機能

    外部キー:
      ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
      外部キー ファイル名:
        5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK

    数字パスワード:
      ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
  • FDV/RDVを復号する。
C:\Windows\system32> manage-bde.exe -unlock d: -recoverypassword 354706-520608-139172-157344-227942-476795-636746-465311

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

指定したパスワードにより、ボリューム D: のロックが正常に解除されました。
C:\Windows\system32> manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: []
[OS ボリューム]

    サイズ:                 33.53 GB
    BitLocker のバージョン: 2.0
    変換状態:               完全に暗号化されています
    暗号化された割合:       100.0%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオンです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        パスワード

ボリューム D: []
[データ ボリューム]

    サイズ:                 5.82 GB
    BitLocker のバージョン: 2.0
    変換状態:               完全に暗号化されています
    暗号化された割合:       100.0%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオンです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    自動ロック解除:         無効
    キーの保護機能:
        外部キー
        数字パスワード
C:\Windows\system32>manage-bde.exe -protectors -get d:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム D: []
すべてのキーの保護機能

    外部キー:
      ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
      外部キー ファイル名:
        5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK

    数字パスワード:
      ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
      パスワード:
        354706-520608-139172-157344-227942-476795-636746-465311

f:id:cutxout:20210709225631j:plain

  • FDV/RDVに自動ロック解除を設定する。
C:\Windows\system32> manage-bde.exe -autounlock -enable d:

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

追加されたキーの保護機能:
    外部キー:
      ID: {421A2FF6-5F22-4E58-AD6F-33ED9C95E00D}
      外部キー ファイル名:
        421A2FF6-5F22-4E58-AD6F-33ED9C95E00D.BEK
      自動ロック解除は有効です。
C:\Windows\system32> manage-bde.exe -status

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: []
[OS ボリューム]

    サイズ:                 33.53 GB
    BitLocker のバージョン: 2.0
    変換状態:               完全に暗号化されています
    暗号化された割合:       100.0%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオンです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        パスワード

ボリューム D: []
[データ ボリューム]

    サイズ:                 5.82 GB
    BitLocker のバージョン: 2.0
    変換状態:               完全に暗号化されています
    暗号化された割合:       100.0%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオンです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    自動ロック解除:         有効
    キーの保護機能:
        外部キー
        数字パスワード
        外部キー (自動ロック解除には必要です)
C:\Windows\system32> manage-bde.exe -protectors -get d:

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム D: []
すべてのキーの保護機能

    外部キー:
      ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
      外部キー ファイル名:
        5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK

    数字パスワード:
      ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
      パスワード:
        354706-520608-139172-157344-227942-476795-636746-465311

    外部キー:
      ID: {421A2FF6-5F22-4E58-AD6F-33ED9C95E00D}
      外部キー ファイル名:
        421A2FF6-5F22-4E58-AD6F-33ED9C95E00D.BEK
      自動ロック解除は有効です。
  • FDV/RDVから不要な外部キー(再インストール前の自動ロック解除用の外部キー)を削除する。
C:\Windows\system32> manage-bde.exe -protectors -delete d: -id {5251FB91-2047-42FC-A0B5-2D782C9844DC}

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム D: []
ID {5251FB91-2047-42FC-A0B5-2D782C9844DC} のキーの保護機能

    外部キー:
      ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
      外部キー ファイル名:
        5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK

ID "{5251FB91-2047-42FC-A0B5-2D782C9844DC}" のキーの保護機能が削除されました。
C:\Windows\system32> manage-bde.exe -protectors -get d:

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム D: []
すべてのキーの保護機能

    数字パスワード:
      ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
      パスワード:
        354706-520608-139172-157344-227942-476795-636746-465311

    外部キー:
      ID: {421A2FF6-5F22-4E58-AD6F-33ED9C95E00D}
      外部キー ファイル名:
        421A2FF6-5F22-4E58-AD6F-33ED9C95E00D.BEK
      自動ロック解除は有効です。
C:\Windows\system32> manage-bde.exe -status

BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: []
[OS ボリューム]

    サイズ:                 33.53 GB
    BitLocker のバージョン: 2.0
    変換状態:               完全に暗号化されています
    暗号化された割合:       100.0%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオンです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        パスワード

ボリューム D: []
[データ ボリューム]

    サイズ:                 5.82 GB
    BitLocker のバージョン: 2.0
    変換状態:               完全に暗号化されています
    暗号化された割合:       100.0%
    暗号化の方法:           XTS-AES 256
    保護状態:               保護はオンです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    自動ロック解除:         有効
    キーの保護機能:
        数字パスワード
        外部キー (自動ロック解除には必要です)

注意事項

  • Bitlocker PINの入力画面では、キーマップが英語キーボードのみ対応であることに注意。特殊文字を使う場合は、配置を確認しておくこと。