BitLockerでドライブ暗号化 1台目
■ このスレッドは過去ログ倉庫に格納されています
Windowsのドライブを暗号化するセキュリティ機能BitLockerについて語りましょう。
・BitLocker に関してよく寄せられる質問 (FAQ)
http://technet.microsoft.com/ja-jp/library/hh831507.aspx
【BitLocker とは何ですか。具体的な作用を教えてください。】
BitLocker は、コンピューターのハード ドライブを暗号化し、データの盗難を防ぐ機能です。
コンピューターやリムーバブル ドライブの紛失、盗難に伴うデータの漏洩を防ぎます。
また、コンピューターを廃棄する際も、BitLocker で保護されていれば
削除されたデータを確実に保護することができます。
削除したデータを暗号化済みのドライブから復元するのは、
ドライブが暗号化されていない場合と比べてはるかに困難です。
・Windows7 BitLocker ドライブ暗号化
http://windows.microsoft.com/ja-jp/windows7/products/features/bitlocker
・Windows8 BitLocker でファイルの保護をサポートする - Microsoft
http://windows.microsoft.com/ja-jp/windows-8/bitlocker-drive-encryption
・Wikipedia BitLocker
http://ja.wikipedia.org/wiki/BitLocker
・Windows 8レボリューション:第16回 データを保護するBitLocker暗号化
http://www.atmarkit.co.jp/ait/articles/1302/28/news114.html
・BitLocker To GoでUSBメモリを暗号化する
http://www.atmarkit.co.jp/fwin2k/win2ktips/1348bitlocker/bitlocker.html
・Windows7 BitLockerでドライブを暗号化する(基本編)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100222/344919/
・Windows7 BitLockerでドライブを暗号化する(応用編)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100302/345215/ ごめんなさい、これになったっぽいのですが、何方か回避策ご存じないでしょうか・・・。 わははは
エロ動画のコレクションHDDを暗号化してやるぜ
これでいつ死んでもオッケー Bitlockerでも、暗号化ファイルシステム(EFS)にあったような「データ回復エージェント」を設定しておくことができるのね。
データ回復エージェントが設定されたシステムにおいてBitlocker暗号化を行ったドライブ(OSボリュームを含む)は、
データ回復エージェントの秘密鍵でドライブの復号化ができるようだ。
なので俺はその秘密鍵をパスフレーズで保護して保管している。そうしておくと、いちいち回復キーを保管しておく必要がない。
プレーンテキストファイルに記載されている回復キーと違ってパスフレーズで保護しやすく、保管がしやすい。
注意点はデータ回復エージェントの秘密鍵でドライブにアクセスするには、manage-bdeコマンドを叩く必要があって、GUIではマウントできないことと、
EFSにはなかった識別子なる概念がある点か。 マザーボードにTPMコネクタがあるので、折角だから使ってみようかと思ったら、
肝心のTPMチップモジュールがどこにも売ってないじゃん…
米尼にはあるようだが、どうやら輸出規制がかかっていて火炎
ネットスケープ全盛期かよ、おい >>75
TPMがついているパソコンを買ってきて移植・・・と思ったが、
買ったパソコンからTPMが取り外せるとは限らないな 米尼にソデにされたその足で、怒りのeBayポチり…本日到着
BIOSにTPMの項目が影も形もなかったから少し心配だったが、チップを挿すと普通に出現
良く見たらAMI-AptioなBIOSだったので今更ながらに納得
で、>>1の正規翻訳版のコレを熟読してみたんだが
https://technet.microsoft.com/ja-jp/library/mt404671%28v=vs.85%29.aspx
結局TPMがあってもなくてもdでも逝っても数字48文字のパスワードで解除出来るんだから、
あんまし意味がなかったかもね
TPMがある場合に限り、起動時の整合性チェックが可能という事だけど、不審なユーザーが
これの影響を受ける場合って、全てのパスワードが破られた条件下しかないよなw >>77
数字48桁は十分な強度だと思うが消したければ管理者のコマンドプロンプトから
manage-bde -protectors -delete ドライブ文字: -t RecoveryPassword
で消せるかな
その場合Windowsが破損して起動できなくなったりしたときに回復する手段がなくなるがね
48桁の数字パスワードが設定されていれば、Windowsインストールディスクから起動して、
数字パスワードで暗号化されたハードディスクをマウントして、修復を試すことができる。
起動時の整合性チェックってのは例えばKNOPPIXでブートしてNTFSアクセス権を無視して
データを取り出そうとするのを防ぐ等の効果であって、そこそこ有効だと思うけどね
それでもUEFIを書き換えてTPMを騙そうなどという攻撃には無意味かもしれないが 何と一部メーカーのH170系マザーボードでは最新BIOSでTPM2.0が標準装備に!
マザーボードのTPM端子とは何だったのかw PINコードって数字限定で20桁しか付けられないのか
Winログインパスを複雑にすると、PCから離れて戻るたびに入力するのも面倒だし
回復キーは強制的に保存させられるし
なかなか微妙な仕様だなこれ
起動時だけ英大小、数字、記号30字以上のパス入力して
FN+F1からの復帰には、ちょっとしたパスでOKみたいな設定できないの? 正直素人には仕組みがわからない
他のPCに繋いで読むときにどうするのか
ディスクの一部が壊れても他は復号できるのか
OSのクリーンインストール時にどうなるのか
回復キーって?PINて?
すげー分かりやすい図解とか用意しない時点一般人に普及させる気はないよな
あくまで玄人と企業向け Win10Proにした記念で家中のドライブ暗号化した
これで故障しても安心して修理に出せる
むしろHomeでも標準機能にしとくべき 回復キー忘れたら怖いので設定はしない
面倒なのでしない >81
パスワード入れるだけのアプリに解説なんて不要でしょ
仕組みを理解しなくても使えるからBitlockerなわけで システムドライブを暗号化する方法が分からん
というか、7Homeだから自前で暗号化できない
暗号化したいシステムパーティションをWin10proみたいな別のシステムに繋いで、そこから暗号化かけたら起動できる?
それか、暗号化されたパーティションをCドライブのフォルダとしてマウントするとか、暗号化されたパーティション内のフォルダでシンボリックリンクを作成すれば擬似的にCドライブを暗号化出来るだろうか?
それとも起動時にコケるかな? EnableするためにはProバージョンが必要だが、一度EnableしたドライブはHomeバージョンで問題なく
読み書きできると思って良い? 私は冬の子 BitLocker
真っ白な雪の子 BitLocker 色々言われているが、BitLockerはとりあえずシステム暗号化が出来て起動前認証も可能で、
起動時に他のドライブを自動マウント出来るから、使い勝手としては合格だな
それとPINは標準の数字のみだけでなく、ポリシーエディタで設定すれば英数字記号が使える
拡張PINに変更出来る Crucial MX200だとハードウェアで暗号化できて性能劣化も少ないので、ポータブルSSDにして持ち出ししてます。便利。 >>91
ポータブルだとハードウェア暗号化は使えないぞ
UEFI&SecureBoot&CSM無効&Win8以降でハードウェア暗号化は有効になる
一つでも条件満たさないとソフトウェア暗号化になる
Bit Locker with Crucial SED - Crucial Community
http://forum.crucial.com/t5/The-Cru/Bit-Locker-with-Crucial-SED/ba-p/166046 >>92
そなの?そこそこ性能でてるからハードでやってると思ってた。 manage-bde -statusで暗号化の方法が2.16.840.1.101.3.4.1.2か2.16.840.1.101.3.4.1.42になってればハードウェア暗号化が有効
AES 128bitみたいな表示だとソフトウェア暗号化になってる
そもそも今時のCPUだとAESの復号化なんて負荷のうちに入らないので差は感じないと思うが
特にWin10で新たにサポートされたXTS-AESは軽いし ありがとうございます。AES 128ってでました。ディスク自体が高速なら、どの製品でも困らないのか。 >>91-95の書き込みを見てWindows10Pro 1607+NUC5i5MYHE+Crucial MX200の環境で
BitLockerを使ってみたのですが、以下の考え方で正しいでしょうか。
AES-CBC(ソフトウェア暗号)を使用する場合
Windows7以降が必要
AES-CBC+SED(ハードウェア暗号)を使用する場合
Windows8以降+SED対応ストレージ+UEFI(ver2.3.1以降)の環境で適切な設定が必要
AES-XTSを使用する場合
Windows10 1511以降が必要
SED(ハードウェア暗号)はBitLockerからは現状使用できない
グループポリシーの設定で、[ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する]の項目に
AES-XTSに該当するものが見当たらないのでこう考えたのですが。
せっかくTPM付きの環境、SED対応のストレージなので、TPM+スタートアップキー+SEDで無駄に厳格な環境を構築しようとしたのですが、
AES-CBC+SED(ハードウェア暗号)が良いか、AES-XTS(ソフトウェア暗号)が良いか、
実際のところ、実用上大した差が無さそうなので、逆に悩みます。 そもそもソフトウェア暗号化といっても、Ivy Bridge以降のCPUならAES-NI命令で早いし
問題ないんじゃねーの
まぁ、AES-NI非対応のはずのSandy BridgeのCPUでAES-XTS使ってるけど全くストレスはないけどな。 今更だがよく調べたらSandy BridgeでもAES-NI対応のCPUはあり、AES-NI対応のCPUを使ってたことが判明
スマン TPM付いてないのPC買ったあとで気がついた
文字パスワードとかクソ面倒なことやってられないわ この機能はPC業界の戦犯だろ
完璧すぎてフリーや商用の暗号化アプリが完全に止まってしまった
NSAの陰謀を感じるわ >>101
それなのに日本語の情報微妙に少ない気がする
manage-bdeコマンドとかBitlockerにおけるデータ回復エージェントとかについて解説した
日本語記事が少ない。
あと、他のOSとの間でのデータ交換が必要な場合は他の暗号化ソフトウェアに頼らざるをえない。
俺はVeracryptを使ってるがね
Bitlockerの目的として、HDDだけでも、PCごとでも、盗まれたときにデータの流出を防ぐというのは1つだが、
もう一つ、「HDD/SSD破棄時に面倒な消去作業をしなくてもデータの流出を防ぐ」というのがあると思う。
その点ではUSBメモリにスタートアップキーを保存してマシンに挿しっぱなしにしとくのでも効果はある。
HDD/SSDが故障したらそのまま窓から投げ捨ててもキーがなければデータは読まれない。
UEFIから認識されないせいで消去作業が不可能となっても、HDDのフタを開けてプラッタのデータを読まれても復号は不可能。 未だに廃棄時にHDDに穴開けたりしてる会社は情報遅れすぎだから近寄らないほうが良い HDDを暗号化したらPCが起動できずデータ復旧するときややこしいし
処分はお姫様もやってたドリルが確実なんだよ
素人目にも読めない状態が一目瞭然
ソフトで処理してこれで消去できてますって言ったら売れって意見が出るからな
ドリルでつぶすのがいろんな意味でラクなんです >>102
>>その点ではUSBメモリにスタートアップキーを保存してマシンに挿しっぱなしにしとくのでも効果はある。
これは気が付かんかったわ
確かに言われてみればその通りでこういう運用法があったんだな
脳みそが足らなかった 駅ロッカー使い方変わってきてる
QR紙、田舎者/年寄りには不親切だわ BitLockerで暗号化しとけばHDD/SSDの故障時に安心して修理(交換)に出せる AES-NIはSandy以降でもほぼi7とi5に限られた機能だから、あまり当たり前扱いは
しない方がいいかもな
KabyLake以降でようやく一般的と言えるレベルになるようだが >>110
Haswellからi3も搭載
Skylakeから全搭載
CoreMは全搭載
AtomはSilvermont(Baytrail)から全搭載 それよりTPMだよ
デスクトップはほぼ全滅でノートもごく一部 >>112
モバイルはHaswellの1チップ版からTPMが内蔵(IntelPTT)されて外付けチップが不要になった
デスクトップはSkylakeから同じく内蔵全搭載されて自作PCでも使えるようになった Core i3 6100のMINISTX機だけどデバイスマネージャにTPMの行はない
Skylakeでも入ってないってことだろ そりゃ低価格機にもれなく入れたら値段の高いPC売れないから当たり前 i7-6700KだけどTPMはマザーにソケットがあるだけで別売だぞ TPMモジュールが日本では手に入れられないのが問題だな
パソコンショップではまず売ってない TPMみたいなクリティカルな部品が別売だったら
信用し難いからパーツショップに置いてあってもどうせ使わないと思う
デスクトップでもノートでも使うのはM/Bに最初から組み込まれてる場合だけ 単純に考えてTPMがマザーボードから取り外せたら、
ストレージを盗むときにTPMを外して持ち去り、マザーボードのフリをする装置にTPMを接続して
鍵を読み出すことは可能に思える。
これを防ぐためにはTPMがマザーボードを認証するとか、
あるいはマザーボードはTPMに商用電源またはリチウム電池から電源を常に供給しといてそれが断たれたらTPMはロックする、
といった仕組みが考えられる。
もっともTPMの電源が切れないようにして取り外すことは決して不可能ではないように思えるし、
マザーボードに、TPMから認証を受けるための鍵を格納しておくための耐タンパー性のあるチップを搭載するくらいだったら、
最初からTPMをマザーボードに組み込めばいいわけで。
しかし、この「TPMが実際に何をしているのか」について記載した文書は乏しく、
意外とTPMは攻撃の余地があるんじゃないかという気がしないでもない。
まだ歴史が浅いから攻撃されたことがないだけではないのだろうか? >>119
USBメモリかよ
だいたいマザボに搭載されてるチップも半田付けされてるだけだから取り外せるし TPMよりUSBメモリにキーを内蔵する運用のほうが確実に見える >>122
自分の不見識でした
勘違いで知ったかして申し訳ありませんでした >>122
全然知らんかった
いい情報をありがとう >>122
deskmini110ユーザーだけど122の言うとおりだった
再起動してUEFIの設定変更したら対応できた Win10が2017年からTPM必須にした背景はこれだったんだな TPMは止めた方がいいと思うけどね
ある日突然PCが起動不能になるしリカバリも手順がややこしい
USBにキーを入れるのが楽で確実 結局マウントしてるときに踏み込まれたら意味ない気がする >>127
TPMが何をしているかがよくわからないので、どういうときに起動不可能になるかがわからないんだな
ちなみにBitLockerはTPMによる暗号化のほかにパスワードでも解除できるように設定することもできる
>>128
Windowsのログインパスワードは十分に長いならば、とっさにWindowsキー+Lでデスクトップをロックすれば大丈夫
この場合最も注意すべきはショルダーハッキングかもしれない
しかし相手にBitLockerを使用しているということがバレている場合は、
マシンを奪い、電源を切断してから速やかに(データが消える前に)メモリモジュールを取り外して別の機器でメモリモジュールを読み込むことで、
メモリに残っているディスクの暗号化鍵を取り出すことは「絶対に不可能とはいえない」らしい。
その点では例えばAppleのMacBook Airのようにメモリが簡単に取り外せないマシンを使うのが安全だという。 windows10proのクライアントHyper-Vに入れたwindows10proでBitlocker使う意味は有りますか?
仮想化上の暗号化OSをスリープした時に実PC側に保存される一時ファイルやスナップショットの中身は暗号化されていない素ですか? >>130
その不安を解消する製品は業務用の有料仮想化ソフトしかない >>130
ホストPC側に保存される一時ファイルやスナップショットは、ゲストPCにとってはメモリの中身にすぎないわけで、暗号化されてないだろう。
仮にBitlockerを使っても、鍵をどうする。
毎回起動時にパスワードを入力するのならいいが、TPMは仮想マシンには当然ないし、
鍵をディスクイメージに格納しておいといても、その場合ホストPCを暗号化してなきゃ意味がない
鍵を実物のUSBメモリに保存して、ゲストPCからディスクとして見えるように設定し、厳重に管理するならアリかもね。
BitLockerの鍵をNTFSのEFSで暗号化するのは?しかしHyper-Vの仮想マシンってSYSTEMユーザーで動くのではなかったっけ?そうするとEFSで暗号化はできないね。 >>130
131は間違ってた
Virtualboxが暗号化サポートしてた
これならBitlocker非対応のHomeでもイメージを暗号化できる それVDIファイルだけって書かれてない?
それにVBOXはVMWAREと比べて体感速度がワンテンポ遅いから
windows7/10等デスクトップOSの利用には向いてないと思う おまいらはそんなに見られたらヤバい物を扱ってるのか? 当たり前だ
おれのDドライブには夢と希望が詰まってる 見られて嫌な人はここでなくオープンソースのTrueCryptとかのがいいんじゃない TrueCryptは開発中止になってて、作者はWindowsならBitlockerを使うように勧めてる
もっとも今のところTrueCryptに大きな不具合はないとされてるけど
ただ、もう使うのは止めた方がいいんでは 監査で欠陥無が証明されてるのにVeraCreyptやBitlockerに移行する理由がない
OSが違うならCryptSetupとか他OSで動作するのに乗り換えしかないけど
WinOSなら今でもTCが鉄板でしょう ここはBitlockerスレだからNSAの陰謀があ!とか言う人はここに居なくていい
機能が制限されてるけど結果として簡単なBitlockerとOSS愛好者は永久にかみ合わない >>129
出かけてる間に家宅捜査入ったらアウトだと思うのね 別にBitLocker使ってるからってファイルコンテナ暗号化ができるそれらのツール使えないということはないからな
もちろん、解除できると豪語する業者もいるから国家権力クラス()に対抗する必要があるレベルの情報にはちと心もとないかなという館は否めないが ネット環境でBitlockertオンにしたらデータベース内で要注意人物フラグが立ってそう >>122
Pro買うわ
たまにこういう情報が書き込まれるから2chを抜けられない >>143
むしろそういう場合にこそ対応できるとされるのがBitLockerだと思うが?
ただ例えば、自宅の金庫にBitLocker回復キーを保管していて、マシンと一緒に金庫を押収されたような場合は、警察は金庫をこじ開けてBitLocker回復キーを使うだろうから確かにダメだ
そうでなければ、TPMを使ったBitLockerは、Windowsログインパスワードが破られなければ、警察によっても突破されない、と考えている。
「出かけてる間」もWindows + Lでロックするのみで、マシンの電源を入れっぱなしにしているのなら確かに、>>129に書いたようなメモリを素早く取り外して読むようなことをされたら突破される。
出かけるならば電源を切るか、休止状態にしとくのがよさそうだ。
>>147
CPUとマザボを取り換える前にパスワードによる暗号化解除を設定、取り換えてから新しいTPMにキーを設定、
設定したパスワードを削除、をやっていけばできそうだけど試したことないので具体的手順は知らん。 マザボ交換するなら保護の中断をクリックしてからシャットダウンして交換して起動するだけ DefenderにしろBitlockerにしろ
昔はブラウザやWMP入れた程度で独占禁止法がどうとか言われたのに
ここ最近は何入れてもOKなんだな
DVD再生が消えたけどアレは需要がないから消えたんだろうし
いつのまにかフリーダムになったんだ 一台のドライブを2つのパーティションにして、D/Eドライブとして暗号化してた。Dドライブを縮小してEドライブとの間に隙間作ったらEドライブ死んだ…。Dは元気なのに…。 Bitlockerでシステムドライブを暗号化しても
LinuxのライブUSBから起動してマウントすれば中身のファイルが見えんだから意味ない >>152
それそれ
やっぱ有料のじゃないとダメだよね 素人対策なんだからwindowsで読めなけりゃ十分だろ 回復キーと回復パスワードの正式な意味はどっちなん?
おまいらが、回復キーと言ってたのは、本当は回復パスワードだったんだぜ
で、回復キーは回復キーで別にあるみたいだし
MSも回復パスワードのことを回復キーと言ってるし
どーなってんの?
https://blogs.technet.microsoft.com/infrajp/2010/11/19/bitlocker/ BitLockerの回復(復号化)キーは3種類ほどあり回復パスワードはその手段の一つ 最近TPMつかうよりもUSBメモリ使った方が安全な気がしてきた
必要な時に差し込むだけだし 回復キーの中に回復キーがあるってことなの
それだと、回復キーがどっちの意味か不明なんだけど
だとしても、回復パスワードを回復キーというのはやっぱおかしいんじゃないの?
区別できてるのに、誤解させるような言い方だし。 >USBメモリー 中 USBメモリーの鍵はAES 128ビットで暗号化
>TPM 低 TPMの鍵はRSA 2048ビットで暗号化
http://ascii.jp/elem/000/000/014/14017/index-2.html
なんで2048bitなのに128bitより強度が低いの? TPMだけだとパソコン押収されたら解読できる
スマートカードやUSBメモリだけだと隠し場所発見されたら解読できる
パスワードだけだと自白させられたら解読される
複数を併用しすべしというのが専門家の見解 押収ってw
バックドアがあるBitlockerはマスターキーを持つ政府は開けられるから
警察や自衛隊と敵対したらWinPCなど丸裸だろ
TPMの有無とかパスワードの桁数なんて関係ないわ Bitlockerが開かないと信じるほうが可笑しいだろ
暗号化されてるから安全なら暴力団とかテロリストが使い放題だわ >>166
生成される乱数があらかじめ指定された範囲内で決まってるって噂のことか UEFI対応Veracryptが出てしまったからもうBitlockerは不要
MacでもLinuxでもマウントできるVCと利便性汎用性が違いすぎる 「こんにちわ」が、中国の漢字も含む1000字くらいの漢字・数字・記号の羅列に変換されるエニグマみたいなソフト(原則インターネットから遮断された環境でのみ動くLinux・BSD専用のソフト)を作るとか >>169
ああいうのが好きそうな陰謀論者から見ればTPM2.0有効は逆に危険なんだろう ■ このスレッドは過去ログ倉庫に格納されています