背景
- BitlockerはWindows 7の頃に存在を知り、XPまで使っていたEFSの後継としてノートPCとUSBメモリで使い始めて今に至ります。細かいことは気にせずコントロールパネルから有効化しただけで、回復キーの管理もいい加減なままという危うい使用状況だったにも関わらず、大きなトラブルに総数することは無く、よくできた仕組みだと思います。
- 今回、デスクトップPCでも利用することに決めたのをきっかけに、詳細仕様の調査と運用手順を纏めることにしました。ノートPCとUSBメモリでの運用は紛失した場合の保険なのでデータを失っても諦めればよい程度でしたが、デスクトップPCは話が違います。PC内のデータに加えて、バックアップ先のUSB外付けHDDもセットで扱わなくては意味が無いので、手持ちの全データを暗号化することと同義であります。
- 暗号技術の運用ミスはおっかないです。EFSを使っていた頃に一度経験しましたが、そこにデータがあるのにアクセス出来ないわけでして...
保護するハードウェア
| 機種 | TPM | OSV | FDV | RDV | メモ |
| デスクトップPC | 2.0 | SSD(m.2) | HDD多数 | 自宅に固定設置 | |
| ノートPC | 1.2 | SSD(SATA) | SSD(mSATA) | それなりの頻度で持ち歩く | |
| ノートPC | - | SSD(m.2) | なし | あまり持ち歩かない | |
| USB HDD | HDD多数 | 自宅に固定設置、バックアップデータ | |||
| USBメモリ | 128GB-512GB程度 | 常時携帯 |
機能の整理
ストレージ種別
| 略称 | 英語名称 | 日本語名称 | 具体例 | 保護技術 |
| OSV | Operating System Volume | オペレーティングシステムドライブ | C: | Bitlocker |
| FDV | Fixed Data Volume | 固定データドライブ | C:以外の内蔵ドライブ | Bitlocker |
| RDV | Removable Data Volume | リムーバブルデータドライブ | USBメモリ、外付けストレージ | Bitlocker To Go |
暗号化方法と暗号強度
| 暗号化方法と暗号強度 | Windows Vista/7 | Windows 8/8.1/10(1507) | Windows 10(1511-) |
| AES-CBC 128 with Elephant Diffuser | ○ | × | × |
| AES-CBC 256 with Elephant Diffuser | ○ | × | × |
| AES-CBC 128 | ○(default) | ○(default) | ○ |
| AES-CBC 256 | ○ | ○ | ○ |
| XTS-AES 128 | × | × | ○(default) |
| XTS-AES 256 | × | × | ○ |
スタートアップ時に追加する認証(Protectors)
| OSV | FDV/RDV | 追加認証 | 説明 | 必要な操作 |
| ○ | × | TPM | OS ボリュームに TPM 保護機能を追加 | なし(ログオンするだけ) |
| ○ | × | TPMAndPIN | OS ボリュームに TPM と PIN の保護機能を追加 | PIN |
| ○ | × | TPMAndStartupKey | OS ボリュームに TPM とスタートアップ キーの保護機能を追加 | USB Flash Memory |
| ○ | × | TPMAndPINAndStartupKey | OS ボリュームに TPM、PIN、およびスタートアップ キーの保護機能を追加 | USB Flash Memory + PIN |
| △ | ○ | Password | ボリュームにパスワード キー保護機能を追加 | パスワード |
| ○ | ○ | StartupKey | 外部スタートアップ キー保護機能を追加 | USB Flash Memory |
| ○ | ○ | RecoveryPassword | 数字パスワード保護機能を追加 | 48桁の数字パスワード |
| ○ | ○ | RecoveryKey | 外部回復キー保護機能を追加 | 回復キー(.BEK)を指定 |
| ○ | ○ | AutoUnlock | データ ボリュームの自動ロック解除を管理 | - |
- △:TPM非搭載のPCでは、gpedit.mscで設定変更すればPasswordによるOSVの暗号化を利用できる。
- コンピューターの構成
- 管理用テンプレート
- Windowsコンポーネント
- Bitlockerドライブ暗号化
- オペレーティングシステムのドライブ
- スタートアップ時に追加の認証を要求する
- スタートアップの拡張PINを許可する
- オペレーティングシステムのドライブ
- Bitlockerドライブ暗号化
- Windowsコンポーネント
- 管理用テンプレート
- 追加認証を指定する文字列はcase insensitive(i.e. TPMandPINでもtpmandpinでもOK)
- AutoUnlockは追加認証ではないが、纏めて考えた方が分かりやすい。
- 企業の環境(AD/AzureAD)は分からないため割愛。
回復キーのバックアップ方法
- マイクロソフトアカウントに保存する(AzureAD環境では異なる)
- USB Flash Memoryに保存する
- ファイルに保存する
- 回復キーを印刷する
PINの考え方
コマンドラインツール(manage-bde.exe)の使い方
- manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: [########]
[OS ボリューム]
サイズ: 391.51 GB
BitLocker のバージョン: 2.0
変換状態: 完全に暗号化されています
暗号化された割合: 100.0%
暗号化の方法: XTS-AES 128
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
パスワード
数字パスワード
- manage-bde.exe -protectors -get c:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム C: [########]
すべてのキーの保護機能
パスワード:
ID: {########-####-####-####-############}
数字パスワード:
ID: {########-####-####-####-############}
パスワード:
######-######-######-######-######-######-######-######
- manage-bde.exe -protectors -add c: -TPMAndPIN
- 追加認証を追加する
- manage-bde.exe -protectors -delete c: -Password
- 追加認証を削除する
- manage-bde.exe -AutoUnlock -Enable d:
- 自動ロック解除を有効にする
- manage-bde-exe -on c: -TPMAndPIN
- 暗号化を開始する
考え方
- 日常生活でのPC利用が著しく不便にならない程度の手間と引換に、第三者がPC内のデータを参照出来なくすることを目的としたい。現実的な選択肢としては、PC起動時にTPMのPINとOSのID/PWを入力する程度が上限でしょうか。今まで自宅のデスクトップPCは自動ログオンになっていたので、これでも負荷は高いです。orz
- OSVの保護では、TPMとPINを利用する。Bitlockerの既定ではTPMに対する認証が設定されておらず、OSにログオンできればTPM内の鍵へアクセスできる状態になっている。Bitlockerの存在を意識しなくて済むメリットは大きいが、セキュリティ強度がOSへログオンできるかどうかに依存するため、非常に脆弱な状態となる。そのため、追加認証としてPINを設定するのが望ましい。
- FDVの保護では、自動ロック解除を設定し、回復キーはマイクロソフトアカウントのみに保存する。自動ロック解除用の外部キーはレジストリ(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\FveAutoUnlock\)に収納されるため、OSVが復号されない限り外部キーにアクセス出来ず、結果的にFDVの外部キーもOSVと同様にTPMとPINで保護されると考えてもよいでしょう。収納場所がHKCU配下なので、OSが起動した状態ではFDVは復号されておらず、ユーザがログオンした時点で復号される扱いになるはず。
- RDVの保護では、FDVの設定に加えて、信頼できる2台以上のPCへ自動ロック解除を紐付ける。これにより、復号できるPCの冗長性を確保したい。信頼できるPC以外での利用はせず、不特定多数とのデータ交換には別のUSBメモリを利用する。
- TPM非搭載PCのOSVを除き、パスワードによる保護は設定しない。自分が記憶できる程度のパスワードよりも、自動ロック解除で設定される外部キーの方が圧倒的に安全なはず。直感に反する上に、気分的に落ち着かないのは仕方ありません。
- OSを再インストールする場合の注意事項。
- OSログオン時のセキュリティ対策として、以下を設定する。
運用ポリシー
- ノートPCでは、BIOSのHarddisk Password(ATA)とSupervisor Passwordも併用する。
- PCのホスト名は、分かりやすく固有の名前を設定する。
- OSログオン時のセキュリティ対策も併用する。
- 暗号は、XTS-AES 256とする。
- OSVの追加認証は、TPMandPIN + RecoveryPasswordとする。
- FDVの追加認証は、AutoUnlock + RecoveryPasswordとする。
- RDVの追加認証は、AutoUnlock + RecoveryPasswordとする。できれば、AutoUnlockは2台以上のPCと紐付ける。
- RecoveryPasswordは、マイクロソフトアカウントに保存する。
運用手順(新規の場合)
- PCに紐付くOSV/FDV/RDVの全ての回復キーを確認してメモを残す。
- 再インストール後に各ボリュームを復号するため。
- マイクロソフトアカウント上の不要な回復キーを削除するため。
- OSを再インストールする。
- gpedit.mscを起動して、以下の設定変更を行う。
- OSVを暗号化する。
C:\Windows\system32> manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]
サイズ: 476.94 GB
BitLocker のバージョン: なし
変換状態: 暗号化は完全に解除されています
暗号化された割合: 0.0%
暗号化の方法: なし
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: なし
自動ロック解除: 無効
キーの保護機能: 見つかりません
ボリューム C: []
[OS ボリューム]
サイズ: 194.72 GB
BitLocker のバージョン: 2.0
変換状態: 暗号化は完全に解除されています
暗号化された割合: 0.0%
暗号化の方法: なし
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能: 見つかりませんC:\Windows\system32> manage-bde.exe -on c: -TPMandPIN
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム C: []
[OS ボリューム]
ボリュームを保護するために使用する PIN を入力します:
PIN をもう一度入力して確認します:
追加されたキーの保護機能:
TPM および PIN:
ID: {########-####-####-####-############}
PCR 検証プロファイル:
0, 2, 4, 8, 9, 10, 11
必要な操作:
1。ハードウェア テストを実行するには、コンピューターを再起動します
(コマンド ラインの説明については、「shutdown /?」と入力してください)。
2。ハードウェア テストが成功したかどうかを確認するには、
「manage-bde -status」と入力します。
注意: ハードウェア テストが成功した後、暗号化が開始されます。
(再起動)C:\Windows\system32>manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]
サイズ: 476.94 GB
BitLocker のバージョン: なし
変換状態: 暗号化は完全に解除されています
暗号化された割合: 0.0%
暗号化の方法: なし
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: なし
自動ロック解除: 無効
キーの保護機能: 見つかりません
ボリューム C: []
[OS ボリューム]
サイズ: 194.72 GB
BitLocker のバージョン: 2.0
変換状態: 暗号化を実行中です
暗号化された割合: 3.3%
暗号化の方法: XTS-AES 256
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
TPM および PIN
- FDV/RDVを暗号化する。
C:\Windows\system32> manage-bde.exe -autounlock -enable d:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能:
外部キー:
ID: {########-####-####-####-############}
外部キー ファイル名:
########-####-####-####-############.BEK
自動ロック解除は有効です。C:\Windows\system32> manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]
サイズ: 476.94 GB
BitLocker のバージョン: 2.0
変換状態: 暗号化は完全に解除されています
暗号化された割合: 0.0%
暗号化の方法: なし
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: 不明
自動ロック解除: 有効
キーの保護機能:
外部キー (自動ロック解除には必要です)
ボリューム C: []
[OS ボリューム]
サイズ: 194.72 GB
BitLocker のバージョン: 2.0
変換状態: 暗号化を実行中です
暗号化された割合: 13.2%
暗号化の方法: XTS-AES 256
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
TPM および PINC:\Windows\system32> manage-bde.exe -on d: BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041 Copyright (C) 2013 Microsoft Corporation. All rights reserved. ボリューム D: [] [データ ボリューム] 暗号化は現在実行中です。
C:\Windows\system32> manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]
サイズ: 476.94 GB
BitLocker のバージョン: 2.0
変換状態: 暗号化を実行中です
暗号化された割合: 0.1%
暗号化の方法: XTS-AES 256
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: 不明
自動ロック解除: 有効
キーの保護機能:
外部キー (自動ロック解除には必要です)
ボリューム C: []
[OS ボリューム]
サイズ: 194.72 GB
BitLocker のバージョン: 2.0
変換状態: 暗号化を実行中です
暗号化された割合: 23.4%
暗号化の方法: XTS-AES 256
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
TPM および PIN
- OSV/FDV/RDVに回復キーを追加する。
C:\Windows\system32> manage-bde.exe -protectors -add c: -recoverypassword
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能:
数字パスワード:
ID: {########-####-####-####-############}
パスワード:
######-######-######-######-######-######-######-######
必要な操作:
1。この数字の回復パスワードを、使用しているコンピューター
以外のセキュリティ保護された場所に保存してください:
######-######-######-######-######-######-######-######
データの消失を防ぐために、このパスワードを直ちに保存してください。
このパスワードで、暗号化ボリュームのロックを解除できます。C:\Windows\system32> manage-bde.exe -protectors -add d: -recoverypassword
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能:
数字パスワード:
ID: {########-####-####-####-############}
パスワード:
######-######-######-######-######-######-######-######
必要な操作:
1。この数字の回復パスワードを、使用しているコンピューター
以外のセキュリティ保護された場所に保存してください:
######-######-######-######-######-######-######-######
データの消失を防ぐために、このパスワードを直ちに保存してください。
このパスワードで、暗号化ボリュームのロックを解除できます。C:\Windows\system32> manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム D: []
[データ ボリューム]
サイズ: 476.94 GB
BitLocker のバージョン: 2.0
変換状態: 暗号化を実行中です
暗号化された割合: 10.6%
暗号化の方法: XTS-AES 256
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: 不明
自動ロック解除: 有効
キーの保護機能:
外部キー (自動ロック解除には必要です)
数字パスワード
ボリューム C: []
[OS ボリューム]
サイズ: 194.72 GB
BitLocker のバージョン: 2.0
変換状態: 暗号化を実行中です
暗号化された割合: 65.8%
暗号化の方法: XTS-AES 256
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
TPM および PIN
数字パスワード
運用手順(再インストールの場合)
- 再インストール前に、全てのドライブで自動ロック解除と回復キーのメモを取得する。
C:\Windows\system32> manage-bde.exe -protectors -get d:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム D: [不明なラベル]
すべてのキーの保護機能
外部キー:
ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
外部キー ファイル名:
5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK
数字パスワード:
ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
パスワード:
354706-520608-139172-157344-227942-476795-636746-465311
- 再インストール直後の状態。
C:\Windows\system32> manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: []
[OS ボリューム]
サイズ: 33.53 GB
BitLocker のバージョン: 2.0
変換状態: 暗号化を実行中です
暗号化された割合: 13.7%
暗号化の方法: XTS-AES 256
保護状態: 保護はオフです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
パスワード
ボリューム D: [不明なラベル]
[データ ボリューム]
サイズ: 不明 GB
BitLocker のバージョン: 2.0
変換状態: 不明
暗号化された割合: 不明%
暗号化の方法: XTS-AES 256
保護状態: 不明
ロック状態: ロック
識別子フィールド: 不明
自動ロック解除: 無効
キーの保護機能:
外部キー
数字パスワードC:\Windows\system32> manage-bde.exe -protectors -get d:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム D: [不明なラベル]
すべてのキーの保護機能
外部キー:
ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
外部キー ファイル名:
5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK
数字パスワード:
ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
- FDV/RDVを復号する。
C:\Windows\system32> manage-bde.exe -unlock d: -recoverypassword 354706-520608-139172-157344-227942-476795-636746-465311 BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041 Copyright (C) 2013 Microsoft Corporation. All rights reserved. 指定したパスワードにより、ボリューム D: のロックが正常に解除されました。
C:\Windows\system32> manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: []
[OS ボリューム]
サイズ: 33.53 GB
BitLocker のバージョン: 2.0
変換状態: 完全に暗号化されています
暗号化された割合: 100.0%
暗号化の方法: XTS-AES 256
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
パスワード
ボリューム D: []
[データ ボリューム]
サイズ: 5.82 GB
BitLocker のバージョン: 2.0
変換状態: 完全に暗号化されています
暗号化された割合: 100.0%
暗号化の方法: XTS-AES 256
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
自動ロック解除: 無効
キーの保護機能:
外部キー
数字パスワードC:\Windows\system32>manage-bde.exe -protectors -get d:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム D: []
すべてのキーの保護機能
外部キー:
ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
外部キー ファイル名:
5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK
数字パスワード:
ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
パスワード:
354706-520608-139172-157344-227942-476795-636746-465311
- FDV/RDVに自動ロック解除を設定する。
C:\Windows\system32> manage-bde.exe -autounlock -enable d:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能:
外部キー:
ID: {421A2FF6-5F22-4E58-AD6F-33ED9C95E00D}
外部キー ファイル名:
421A2FF6-5F22-4E58-AD6F-33ED9C95E00D.BEK
自動ロック解除は有効です。C:\Windows\system32> manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: []
[OS ボリューム]
サイズ: 33.53 GB
BitLocker のバージョン: 2.0
変換状態: 完全に暗号化されています
暗号化された割合: 100.0%
暗号化の方法: XTS-AES 256
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
パスワード
ボリューム D: []
[データ ボリューム]
サイズ: 5.82 GB
BitLocker のバージョン: 2.0
変換状態: 完全に暗号化されています
暗号化された割合: 100.0%
暗号化の方法: XTS-AES 256
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
自動ロック解除: 有効
キーの保護機能:
外部キー
数字パスワード
外部キー (自動ロック解除には必要です)C:\Windows\system32> manage-bde.exe -protectors -get d:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム D: []
すべてのキーの保護機能
外部キー:
ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
外部キー ファイル名:
5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK
数字パスワード:
ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
パスワード:
354706-520608-139172-157344-227942-476795-636746-465311
外部キー:
ID: {421A2FF6-5F22-4E58-AD6F-33ED9C95E00D}
外部キー ファイル名:
421A2FF6-5F22-4E58-AD6F-33ED9C95E00D.BEK
自動ロック解除は有効です。
- FDV/RDVから不要な外部キー(再インストール前の自動ロック解除用の外部キー)を削除する。
C:\Windows\system32> manage-bde.exe -protectors -delete d: -id {5251FB91-2047-42FC-A0B5-2D782C9844DC}
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム D: []
ID {5251FB91-2047-42FC-A0B5-2D782C9844DC} のキーの保護機能
外部キー:
ID: {5251FB91-2047-42FC-A0B5-2D782C9844DC}
外部キー ファイル名:
5251FB91-2047-42FC-A0B5-2D782C9844DC.BEK
ID "{5251FB91-2047-42FC-A0B5-2D782C9844DC}" のキーの保護機能が削除されました。C:\Windows\system32> manage-bde.exe -protectors -get d:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム D: []
すべてのキーの保護機能
数字パスワード:
ID: {E5EF66E8-0FA7-49D1-BDA6-D2C089849BA6}
パスワード:
354706-520608-139172-157344-227942-476795-636746-465311
外部キー:
ID: {421A2FF6-5F22-4E58-AD6F-33ED9C95E00D}
外部キー ファイル名:
421A2FF6-5F22-4E58-AD6F-33ED9C95E00D.BEK
自動ロック解除は有効です。C:\Windows\system32> manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
BitLocker ドライブ暗号化で保護可能な
ディスク ボリューム:
ボリューム C: []
[OS ボリューム]
サイズ: 33.53 GB
BitLocker のバージョン: 2.0
変換状態: 完全に暗号化されています
暗号化された割合: 100.0%
暗号化の方法: XTS-AES 256
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
パスワード
ボリューム D: []
[データ ボリューム]
サイズ: 5.82 GB
BitLocker のバージョン: 2.0
変換状態: 完全に暗号化されています
暗号化された割合: 100.0%
暗号化の方法: XTS-AES 256
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
自動ロック解除: 有効
キーの保護機能:
数字パスワード
外部キー (自動ロック解除には必要です)
参考
- BitLockerのOS起動前認証でパスワード(PIN)を入力させる方法 | Windows777技術屋さん
- TPM and Bitlocker: fixed data drive automatically unlock - what does it mean? | Tom's Hardware Forum
- Windows Bitlocker and automatic unlock password storage safety – iTecTec
- XTS-AESが漸く使えるようになったのでBitLockerについておさらいしてみた。 – ひねもす庵
- How to Make BitLocker Use 256-bit AES Drive Encryption | PALVELIMET.NET
- BitLocker/Bitlocker To Goの自動ロック解除についてちょっと研究 ~ dsp74118の補完庫
