BitLockerでドライブ暗号化 1台目
■ このスレッドは過去ログ倉庫に格納されています
Windowsのドライブを暗号化するセキュリティ機能BitLockerについて語りましょう。
・BitLocker に関してよく寄せられる質問 (FAQ)
http://technet.microsoft.com/ja-jp/library/hh831507.aspx
【BitLocker とは何ですか。具体的な作用を教えてください。】
BitLocker は、コンピューターのハード ドライブを暗号化し、データの盗難を防ぐ機能です。
コンピューターやリムーバブル ドライブの紛失、盗難に伴うデータの漏洩を防ぎます。
また、コンピューターを廃棄する際も、BitLocker で保護されていれば
削除されたデータを確実に保護することができます。
削除したデータを暗号化済みのドライブから復元するのは、
ドライブが暗号化されていない場合と比べてはるかに困難です。
・Windows7 BitLocker ドライブ暗号化
http://windows.microsoft.com/ja-jp/windows7/products/features/bitlocker
・Windows8 BitLocker でファイルの保護をサポートする - Microsoft
http://windows.microsoft.com/ja-jp/windows-8/bitlocker-drive-encryption
・Wikipedia BitLocker
http://ja.wikipedia.org/wiki/BitLocker
・Windows 8レボリューション:第16回 データを保護するBitLocker暗号化
http://www.atmarkit.co.jp/ait/articles/1302/28/news114.html
・BitLocker To GoでUSBメモリを暗号化する
http://www.atmarkit.co.jp/fwin2k/win2ktips/1348bitlocker/bitlocker.html
・Windows7 BitLockerでドライブを暗号化する(基本編)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100222/344919/
・Windows7 BitLockerでドライブを暗号化する(応用編)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100302/345215/ ユーザーは多いだろうけど
機能は単純で使い方はシンプルで操作に迷うところなんてないし
細かい質問に回答できる人はどうせいないだろうし
なんでこんなスレ立てたのか疑問なんだけど
誰が必要としてるん 優秀な機能なの?Tiで復元とかよくやるけど、障害起きそう 非Pro版のwindows8.1デバイス暗号化はここでいいのか ソフトウェア板に見当たらんかった
暗号化ソフトって色々あるけどWin8に標準?で付いてるこれは優秀なのかな Miix28でずっと使ってるけど安定性は優秀だな
トラブル一切なし
Filevaultとはえらい違いだ eSATAのHDDに使ってるんだが
これ一度開錠すると再起動するまでアンマウントできないの? これって普通の暗号化じゃなくて
デバイス追加した時だけパス要求されて
1回認証されたらデバイス外さない限りずっとアクセスできちゃうの? 再起動しなくてもログオフしたらパスワード入力やり直しにならないか 自分は大抵電源を落とすか
ログオフやスリープしないでPCそのままのどちらかなので
出来れば10分アクセスしなかったらロックされるとかのオプションが有ればと だったらWindows10で要望出しとけよと
皆がMSにそれいっぱい言ったら本当にそうなる可能性高いから
出さずにここで愚痴っても何ともならんよ
2chとかまとめとかでどんなに話題になっても無駄だそうだし ログアウトしない限りアンマウントしないのは
内蔵ディスクだと常識的な挙動だしそうなってないと混乱する
一般人目線だと既にBitlockerにもToGoにも欠点はない
全く無い 回復キーをもっとわかりやすくしてほしい
英数でいいからもっと短い文字にしてほしい Microsoft 「>20、MSアカウントでクラウド管理しなよ、HAHAHA」 MSアカウント使ったら確か回復キーがアカウントに自動バックアップされて
そのPCが起動できなくても他PCからアクセスできるんだっけ 回復キーはパス忘れ以外でも必要なことある?
とってないが、取るなら別の暗号化な場所に置いとかないと脆弱になるって認識でOK? マウントが手動なんだからアンマウントも手動で出来ていいだろ
ログオン中に侵入されたら意味ないし Bitlockerは7proで使えてほしかったなあ
8Pro安かったからアップ版買ったけど2年使ってやっぱり7が上と思うからなあ
結局戻したしゴミOSは安くても意味ない マウントする
使用したら
メディアを取り出す、で無効化
再利用したい場合はPC再起動って感じ、めんどくさい
前のUSBコネクタにハメかえて逐一抜き差しした方が早いな、メンドクサイことには変わらんけど 数時4桁版でいいからProじゃないほうのWINOSにも開放してほしい
現状でもリードはできるんだからさあ ProでBitlockerが使える8が出てから以前と雲泥の差だな
ライバルソフトTruecryptのおかげなのかNSAの陰謀かは不明だけど
出先でPCを使う際の不安やUSBを持ち運ぶ時の不便が完全になくなった うちの3TBのディスクを暗号化してるのだけど、4時間で10%という状況
これってもしかして、空のHDDでBitLockerを有効にして、そこにファイルをコピーしたほうが速いんじゃないの?、というのを教えて欲しくて。
Windows 8.1のほうは、使用しているファイルだけ暗号化するオプションで暗号化中だけど、こっちも500GBの使用済み容量に対して1時間で3.5%という状況。
BitLockerが有効なディスクにファイルをコピーするとBitLocker無しの状態より2,3割遅くなるとのことだけど、3TBを暗号化するのにこんなに時間がかかるなら、新しいHDDを買ってコピーするよ。 空ディスクでゼロフィルしてても同じだけかかる
新規ファイルのみ暗号化を選択すれば別だけど 7のToGoでUSBメモリを使っているんだけど、コマンドプロンプト開いたまま挿して
暗号解除してもコマンドプロンプト側からは認識できなくて、仕方なくコマンドプロンプトを
開きなおしているんだけど、開きなおさずに認識させる方法ってある?
それともセキュリティ上そういう仕様なのかなぁ? バグみっけた。
パーティションサイズが100GBで割り切れるパーティションは、暗号化に失敗する。
201GBとかならOKだ。
technetでも回答付いてないけど報告が上がってる。
半日無駄にしたよ。 8GBで割り切れるときにVSSがファイルシステム破壊を起こすとか過去に在ったしあっても不思議じゃない Win8.1-64bit VDHX 100GB 可変 BitLocker暗号化問題なし Windows10ではどのバージョンにビットロッカー機能ありますか? 警察ってまじでbitlocker開けないのな。
PCとbitlocker to go で暗号化したSDカード押収されて、
所有権放棄書をあれこれ理由つけて署名押印させられそうになったが拒否。
そのままサイバーパトロール課に押収品送る。
その後、本部でもbitlockerは開けないと送り返されてきたそうだ。
刑事から開けないとPCやSDは返さないと脅されるも、刑訴法123条が
あることを知っていたので無視。
最後には頼むから開けてくれと懇願される。
それでも無視。
結局証拠不十分で不起訴、押収品全部還付されたよ。
案外無能だな。
というか、そこまでの罪状じゃなけりゃ本気ださないのか? 開かないんじゃなくてマスターキー使って開けた内容は裁判で証拠に使うと
バックドアがばれてMSと警察に怒られるから駄目なだけで
実際は分かってるだろ 全てのエディションで使えるようにしない限り普及なんかしねーよ × MSと警察
○ MSとアメリカ
7以前はEnterpriceかUltimeta買うしかなかった
8ProでBitlockerは敷居が一気に下がったと思う スマホは泥もiPhoneも暗号化普通になったしPCももうすぐ普通になるだろこれからサイバー犯罪操作はどうすんだろな >>46
国内外問わず警察のお家芸、延々と事情聴取で精神崩壊、じゃない?
同じ質問を何十回何百回と繰り返して、本当のことを言うまで帰さないと脅すのは相変わらずだと思う。
耐えられなくなって暗号化のパスワードを言っちゃったり、自分から進んで暗号解除したっていう流れにさせられる。
繰り返し繰り返し同じことを強制させられて精神崩壊しないのは並大抵の人間でも無理。多分自分も。
ところどころにそろそろさあ言ったほうがいいよ?認めれば罪軽くなるよ?不起訴になるよ?って甘い嘘吐いたり、
言わないと分かってるのか!実は解除出来てるが認めないなら罪重くなるぞ!
みたいに緩急つけてくるから、だまされてますます自白しやすくなる。
二重化して隠しボリューム作ってても、暗号解除後にこれはダミーだって必ず言ってくるだろうし。
向こうが納得するまでは別件逮捕で勾留期間延ばされて、また事情聴取開始〜ってなりそうw >>47
俺は何があっても自白しない自信ある。まじで何されても言わないから、一回本気の取り調べ受けてみたいわw >>40本人だが容疑は電車内での条例違反。
実際つり革を両手で持ってたから、否認してた不。
その時に、余罪追求?のためにiPhoneと持ってたSDカードを任意提出させられた。
中身は察しの通り、不味いデータ。
「PW言わなくても、専門部署に解析したらわかるぞ」と初めは言われていたが、
5日後には「教えろ」と強く言われる。
あー、こいつら開けないんだなと確信した。
その後はbitlockerとiPhone開けさせようと
向こうは必死になってたな。
挙げ句の果てに、開けてくれと懇願され拒否すると、
「中身がわからないものは返せない、
言わないならこちらで処理する」と言う。
刑事訴訟法123条で、所有権放棄していない限り、還付されることがわかっていたので無視。
結局13日間拘束されてしまったが、
12日目にbitlockerはサイバー課でも開けない、
AppleからはiPhoneを開けないという回答が来たと言われた。
13日目に検察のところに行き、
条例違反は証拠不十分で不起訴にしますと。
携帯、SDに関しては後ほど連絡するということで釈放。
で、一週間後全て還付された。
会社はくびにならなかったが、不利益は被ったので、
国家賠償を求めて提訴する段階。 俺は一件だけの疑いだったが、
いろんなことやっとる犯罪者は別件でくるかもね。
ただパスコード自白と天秤をかけた時
言わないほうが良いってなったら黙秘し続けるべきだな。
黙秘することで罪は重くならない。
あと、取り調べはドラマのように怒鳴られたり
というのは全くないw
淡々と奴らは嘘を言うw >>41
じゃあ、どっちにしろ黙秘しておけば、
問題ないな。 でも、BitLockerは回復キーがうざいよね・・
回復キーは通常の運用でもOS再インストール?とかなんかで必要だから
メモっておかなければいけないんでしょ?
パスワードだけ覚えてればすべてOKにしてほしかったな・・ 他のシステムに暗号化したVHDイメージコピーしても回復キーいらなかったよ。
自分も回復キーいらないんだけど、回復キー作らない選択肢がないんだよね。
今はファイルとして保存してすぐに削除してるけど、これってセキュリティ的にどうなんだっていつも思う。 https://www.microsoft.com/en-us/privacystatement/default.aspx
> The BitLocker recovery key for your device is automatically backed up online in your Microsoft OneDrive account その機能便利だよね
それがないと出先でとらぶったとき復元できなくなる マイクロソフト社ならおそらく一発で解錠できるのだろうな。 パスワードと別の鍵を用意するにしても
せいぜい20ケタ程度にしてほしいんだけど
回復キーの仕組みって誰が得するんだろうな たぶん、秘密の「マスターキー」なる特別な文字列がMS用には用意されていて、
その文字列を使えばユーザーが暗号キーに設定した文字列を回復できる
そういう仕組みになっているのだろう。(一種の公開鍵と秘密カギの関係) BitlockerのパスフレーズやPINにソルトは使われていますか
ストレッチングは何回ですか BitLockerで暗号化したドライブに、重要なファイルを入れるTrueCryptのコンテナファイルを置いて二重暗号化する予定。
二重で暗号化する分だけ速度は落ちてCPU負荷も上がるだろうけど、
一応、PCのCPUはAES-NI対応してるし、
重要なファイルの中には速度が必要なものはあまり無いので問題は無い。 あのー初めてつかうのでバックアップについて教えてほしいのですが
パソコンのデータ区画(パーティション)にロックをかけたのですが
パスワードを入れて読み書きできる状態からなら 外付けHDDに
コピペでファイルをコピーできますか?できるまらそのファイルは
暗号化されたままですか?解かれていますか? ありがとうございます
これなら今まで使っていたバックアップソフトで
差分バックアップとかもできそうですね BIOSアップデートのときは解除してからとあるんですが
解除って複合化が100パーセント完了した後のことですか PCIe用のRAIDカードを増設してRAID1を構築してBitLcokerで暗号化
ってのはできそうですか?
外付けのHDDケースのRAID1にはできそうなんですが ごめんなさい、これになったっぽいのですが、何方か回避策ご存じないでしょうか・・・。 わははは
エロ動画のコレクションHDDを暗号化してやるぜ
これでいつ死んでもオッケー Bitlockerでも、暗号化ファイルシステム(EFS)にあったような「データ回復エージェント」を設定しておくことができるのね。
データ回復エージェントが設定されたシステムにおいてBitlocker暗号化を行ったドライブ(OSボリュームを含む)は、
データ回復エージェントの秘密鍵でドライブの復号化ができるようだ。
なので俺はその秘密鍵をパスフレーズで保護して保管している。そうしておくと、いちいち回復キーを保管しておく必要がない。
プレーンテキストファイルに記載されている回復キーと違ってパスフレーズで保護しやすく、保管がしやすい。
注意点はデータ回復エージェントの秘密鍵でドライブにアクセスするには、manage-bdeコマンドを叩く必要があって、GUIではマウントできないことと、
EFSにはなかった識別子なる概念がある点か。 マザーボードにTPMコネクタがあるので、折角だから使ってみようかと思ったら、
肝心のTPMチップモジュールがどこにも売ってないじゃん…
米尼にはあるようだが、どうやら輸出規制がかかっていて火炎
ネットスケープ全盛期かよ、おい >>75
TPMがついているパソコンを買ってきて移植・・・と思ったが、
買ったパソコンからTPMが取り外せるとは限らないな 米尼にソデにされたその足で、怒りのeBayポチり…本日到着
BIOSにTPMの項目が影も形もなかったから少し心配だったが、チップを挿すと普通に出現
良く見たらAMI-AptioなBIOSだったので今更ながらに納得
で、>>1の正規翻訳版のコレを熟読してみたんだが
https://technet.microsoft.com/ja-jp/library/mt404671%28v=vs.85%29.aspx
結局TPMがあってもなくてもdでも逝っても数字48文字のパスワードで解除出来るんだから、
あんまし意味がなかったかもね
TPMがある場合に限り、起動時の整合性チェックが可能という事だけど、不審なユーザーが
これの影響を受ける場合って、全てのパスワードが破られた条件下しかないよなw >>77
数字48桁は十分な強度だと思うが消したければ管理者のコマンドプロンプトから
manage-bde -protectors -delete ドライブ文字: -t RecoveryPassword
で消せるかな
その場合Windowsが破損して起動できなくなったりしたときに回復する手段がなくなるがね
48桁の数字パスワードが設定されていれば、Windowsインストールディスクから起動して、
数字パスワードで暗号化されたハードディスクをマウントして、修復を試すことができる。
起動時の整合性チェックってのは例えばKNOPPIXでブートしてNTFSアクセス権を無視して
データを取り出そうとするのを防ぐ等の効果であって、そこそこ有効だと思うけどね
それでもUEFIを書き換えてTPMを騙そうなどという攻撃には無意味かもしれないが 何と一部メーカーのH170系マザーボードでは最新BIOSでTPM2.0が標準装備に!
マザーボードのTPM端子とは何だったのかw PINコードって数字限定で20桁しか付けられないのか
Winログインパスを複雑にすると、PCから離れて戻るたびに入力するのも面倒だし
回復キーは強制的に保存させられるし
なかなか微妙な仕様だなこれ
起動時だけ英大小、数字、記号30字以上のパス入力して
FN+F1からの復帰には、ちょっとしたパスでOKみたいな設定できないの? 正直素人には仕組みがわからない
他のPCに繋いで読むときにどうするのか
ディスクの一部が壊れても他は復号できるのか
OSのクリーンインストール時にどうなるのか
回復キーって?PINて?
すげー分かりやすい図解とか用意しない時点一般人に普及させる気はないよな
あくまで玄人と企業向け Win10Proにした記念で家中のドライブ暗号化した
これで故障しても安心して修理に出せる
むしろHomeでも標準機能にしとくべき 回復キー忘れたら怖いので設定はしない
面倒なのでしない >81
パスワード入れるだけのアプリに解説なんて不要でしょ
仕組みを理解しなくても使えるからBitlockerなわけで システムドライブを暗号化する方法が分からん
というか、7Homeだから自前で暗号化できない
暗号化したいシステムパーティションをWin10proみたいな別のシステムに繋いで、そこから暗号化かけたら起動できる?
それか、暗号化されたパーティションをCドライブのフォルダとしてマウントするとか、暗号化されたパーティション内のフォルダでシンボリックリンクを作成すれば擬似的にCドライブを暗号化出来るだろうか?
それとも起動時にコケるかな? EnableするためにはProバージョンが必要だが、一度EnableしたドライブはHomeバージョンで問題なく
読み書きできると思って良い? 私は冬の子 BitLocker
真っ白な雪の子 BitLocker 色々言われているが、BitLockerはとりあえずシステム暗号化が出来て起動前認証も可能で、
起動時に他のドライブを自動マウント出来るから、使い勝手としては合格だな
それとPINは標準の数字のみだけでなく、ポリシーエディタで設定すれば英数字記号が使える
拡張PINに変更出来る Crucial MX200だとハードウェアで暗号化できて性能劣化も少ないので、ポータブルSSDにして持ち出ししてます。便利。 >>91
ポータブルだとハードウェア暗号化は使えないぞ
UEFI&SecureBoot&CSM無効&Win8以降でハードウェア暗号化は有効になる
一つでも条件満たさないとソフトウェア暗号化になる
Bit Locker with Crucial SED - Crucial Community
http://forum.crucial.com/t5/The-Cru/Bit-Locker-with-Crucial-SED/ba-p/166046 >>92
そなの?そこそこ性能でてるからハードでやってると思ってた。 manage-bde -statusで暗号化の方法が2.16.840.1.101.3.4.1.2か2.16.840.1.101.3.4.1.42になってればハードウェア暗号化が有効
AES 128bitみたいな表示だとソフトウェア暗号化になってる
そもそも今時のCPUだとAESの復号化なんて負荷のうちに入らないので差は感じないと思うが
特にWin10で新たにサポートされたXTS-AESは軽いし ありがとうございます。AES 128ってでました。ディスク自体が高速なら、どの製品でも困らないのか。 >>91-95の書き込みを見てWindows10Pro 1607+NUC5i5MYHE+Crucial MX200の環境で
BitLockerを使ってみたのですが、以下の考え方で正しいでしょうか。
AES-CBC(ソフトウェア暗号)を使用する場合
Windows7以降が必要
AES-CBC+SED(ハードウェア暗号)を使用する場合
Windows8以降+SED対応ストレージ+UEFI(ver2.3.1以降)の環境で適切な設定が必要
AES-XTSを使用する場合
Windows10 1511以降が必要
SED(ハードウェア暗号)はBitLockerからは現状使用できない
グループポリシーの設定で、[ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する]の項目に
AES-XTSに該当するものが見当たらないのでこう考えたのですが。
せっかくTPM付きの環境、SED対応のストレージなので、TPM+スタートアップキー+SEDで無駄に厳格な環境を構築しようとしたのですが、
AES-CBC+SED(ハードウェア暗号)が良いか、AES-XTS(ソフトウェア暗号)が良いか、
実際のところ、実用上大した差が無さそうなので、逆に悩みます。 そもそもソフトウェア暗号化といっても、Ivy Bridge以降のCPUならAES-NI命令で早いし
問題ないんじゃねーの
まぁ、AES-NI非対応のはずのSandy BridgeのCPUでAES-XTS使ってるけど全くストレスはないけどな。 今更だがよく調べたらSandy BridgeでもAES-NI対応のCPUはあり、AES-NI対応のCPUを使ってたことが判明
スマン TPM付いてないのPC買ったあとで気がついた
文字パスワードとかクソ面倒なことやってられないわ ■ このスレッドは過去ログ倉庫に格納されています
