2019年12月18日水曜日

BitLocker暗号化手順

Windows OSにて標準で利用できるドライブ暗号化ツールとして「BitLocker」がある。名前は知っていたのだが、インストールして使ったことがなかったので使ってみた。

環境

今回は、仮想環境のWindows Server 2016を使って、TPM(Trusted Platform Module)を利用できない環境でのBitLocker暗号化手順を確認した。

本当はTPMを使った暗号化を試したかったのだが、TPMはハードウェアとして実装されている機能であり、壊してもよいPCもOSもなかったので、今回は仮想環境で試すことにした。
※ちなみに、vCenter Serverがあれば、仮想環境でも仮想TPMが利用できるようだ。

手順

  1. 「サーバーマネージャー」→「役割と機能の追加」→「機能の選択」にて、「BitLocker ドライブ暗号化」を選択する。


    同時に、必要な機能管理ツールも選択されるので、併せてインストールする。

  1. インストール後、再起動が必要なので再起動する。

  2. 再起動後、Cドライブを右クリックすると「BitLockerを有効にする」が選択できるようになる。


ただし、TPMが使えない場合は「このデバイスではトラステッドプラットフォームモジュールを使用できません」というエラーが表示され有効化できない。


  1. 上記エラーを回避するため、gpedit.mscを実行し「ローカルグループポリシーエディター」を開き、以下を選択する。
    ※【注】この手順はTPMが利用できる環境では実施しなくてよい。

「コンピューターの構成」
 →「管理用テンプレート」
  →「Windowsコンポーネント」
   →「BitLocker ドライブ暗号化」
    →「オペレーティングシステムのドライブ」
     →「スタートアップ時に追加の認証を要求する」


  1. 「スタートアップ時に追加の認証を要求する」の項目を選択し、未構成から有効にする。「互換性のあるTPMが装備されていないBitLockerを許可する」に必ずチェックを入れること。それ以外はデフォルトで問題ない。
    ※【注】この手順はTPMが利用できる環境では実施しなくてよい。


  2. 再度、Cドライブを右クリック→「BitLockerを有効にする」を選択すると、暗号化処理を進めることができる。初めにロック解除方法をパスワードにするか、USBキーにするかを選択できる。今回はパスワードで設定する。



  3. 「回復キーのバックアップ方法を指定してください」では、以下のいずれかを選択する。今回は「ファイルに保存する」を選択した。
  • USBフラッシュドライブに保存する
  • ファイルに保存する
  • 回復キーを印刷する


なお、回復キーをファイルに保存する場合は、暗号化対象のドライブへの保存はエラーとなり実施できない(以下の通り「この場所は使用できません」のエラーとなる)。別ドライブやNASなどのネットワークドライブに保存すること。


  1. 「使用する暗号化モードを選ぶ」では、デフォルトの「新しい暗号化モード」とする。Windows 10以降で利用可能なモードとなるが、今時Windows 10以前のOSを使うこともそうそうないため、特別な理由がない限り「新しい暗号化モード」で問題ないだろう。


  2. 「このドライブを暗号化する準備ができましたか?」では、「BitLockeシステムチェックを実行する」にチェック入れたままとする。


    これをチェックすると暗号化前に再起動を実施し、起動時のパスワードで問題なくログインできるか確認することができる。


  3. 再起動後、バックグラウンドで暗号化処理が開始される。


    最初はすごく処理に時間がかかるが、途中で突然早くなったりするので、あまり進捗は気にせず待つほうが良い。ちなみに、10GB程度のファイル暗号化で、5分以内に完了した。


  4. 暗号化処理が終わると、「ディスクの管理」からも「BitLockerで暗号化済み」と表示されるようになる。



別OSにBitLocker暗号化済みディスクをマウントした場合

暗号化ディスクが別のOSで見た場合、どのように見えるか確認してみた。先ほど暗号化処理を行った仮想マシンをシャットダウンし、Windows Server 2019 (BitLocker未インストール)の別OSにディスクをマウントしてみた。すると、以下の通り鍵付きマークで表示され、ダブルクリックしても反応はなく内容の確認はできなかった。



マウント先のOSにもBitLockerをインストールすると、ダブルクリックして開こうとするとパスワードを求められるようになるので、設定したパスワードを入力することで内容を確認することができる。



0 件のコメント:

コメントを投稿

人気の投稿