BitLockerでドライブ暗号化 2台目
Windowsのドライブを暗号化するセキュリティ機能BitLockerについて語りましょう。
前スレ
BitLockerでドライブ暗号化 1台目
https://mevius.5ch.net/test/read.cgi/win/1411781670/ ・BitLocker に関してよく寄せられる質問 (FAQ)
http://technet.microsoft.com/ja-jp/library/hh831507.aspx
【BitLocker とは何ですか。具体的な作用を教えてください。】
BitLocker は、コンピューターのハード ドライブを暗号化し、データの盗難を防ぐ機能です。
コンピューターやリムーバブル ドライブの紛失、盗難に伴うデータの漏洩を防ぎます。
また、コンピューターを廃棄する際も、BitLocker で保護されていれば
削除されたデータを確実に保護することができます。
削除したデータを暗号化済みのドライブから復元するのは、
ドライブが暗号化されていない場合と比べてはるかに困難です。
・Windows7 BitLocker ドライブ暗号化
http://windows.microsoft.com/ja-jp/windows7/products/features/bitlocker
・Windows8 BitLocker でファイルの保護をサポートする - Microsoft
http://windows.microsoft.com/ja-jp/windows-8/bitlocker-drive-encryption
・Wikipedia BitLocker
http://ja.wikipedia.org/wiki/BitLocker
・Windows 8レボリューション:第16回 データを保護するBitLocker暗号化
http://www.atmarkit.co.jp/ait/articles/1302/28/news114.html
・BitLocker To GoでUSBメモリを暗号化する
http://www.atmarkit.co.jp/fwin2k/win2ktips/1348bitlocker/bitlocker.html
・Windows7 BitLockerでドライブを暗号化する(基本編)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100222/344919/
・Windows7 BitLockerでドライブを暗号化する(応用編)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100302/345215/ システムドライブ暗号化ぐらいHome Editionで出来るようにしろ。
何年も前からコンシュマー向けOSの標準機能じゃないか。 なんかヤフオクでHDD売る時に消去してないって書くと値が上がるから
0で上書きした後に全体暗号化して送ってる システムドライブ暗号化ぐらいHome Editionで出来るようにしろ。
GUIでな。 ドライブ右クリから再ロックくらい最初からつけてほしいわ セキュアブートに対応したパソコンなら
窓をインスコした時点で暗号化されてる >>11
マイクロソフトアカウントでログインした事が暗号化のトリガーになるって知らないアホですか? システムドライブ暗号化ぐらいHome Editionで出来るようにしろください。 暗号化されているのは法人向けノートの一部である。
他はされてない ちなみに…
有効にすると重くなる。
SSD以外はやめた方が身のためである。
後Windows11メインでファイル管理しない事
あとで泣きます。 Secure Boot + TPM2.0 が有効な状態でマイクロソフトアカウントへとサインインすると暗号化のゴニョゴニョが始まる
ローカルアカウントのみの場合にはHome、Pro共勝手にはやられません bitlockerがかかってる内蔵SSDを別のものに交換して、その後元のSSDに戻した場合、
元のSSD用の回復キーは必要になりますか? BitLockerってのはUEFIファームが堅牢に管理していて、初心者がやるであろう内蔵ストレージの付け替え
これも暗号化してあるものを持って来たら一度、暗号化解除処理を実行しないとブートマネージャー側では起動出来なくなる
共にBitLocker暗号化解除をした後に再び暗号化処理を実行してTPM2.0へとキーファイルを保存する事になる
一旦ストレージを外してしまうと、戻してもスタートアップ解除キーではOSがもう起動しなくなるように対策されている
重箱の隅を叩くように興味があるのであれば他人には聞かずに自分でやって確認する事を勧める 立ち上げっぱなしのPCがここ数日なんか重いなと思ってて再起動かけようとしたらいくつかのソフトが反応無しなうえにOS自体の再起動も延々と終わらず強制リセット
再起動して調べてみたら暗号化したデータドライブの先頭あたりが軒並み不良セクタになってるっぽくてパーティションも認識しない
暗号化してるから復元ソフトも使えない
パーティション(ドライブ)丸々全損
暗号化はこれが怖い
30年溜めたデータが飛んだ 戦争を仕掛けたのはウクライナとNATOのユダヤ勢力ですけど 30年も維持したデータ、ローカルにしかコピー無いとか…ないない OSが起動している状態であれば.bekキーファイル含めてUSBメモリに保存出来るのだから
後で困らない様に書き込んでおけ
セーフモードで起動したい場合などは、USBメモリ内に.bekキーファイルがないと自動でスタートアップキー解除は出来ないよ セーフモード起動選択時には、解除キーフレーズでは利用出来ないんだよな
知っておいて欲しい
これが書いてあるサイトってないと思う 一言追加訂正です
SecureBootが有効のままでもUSBメモリに.bek解除キーを入れてあるのを挿したままにしてあれば
セーフモードでも起動出来ます
ただUSBメモリを挿していないで、セーフモードを起動しようとすると再起動後に画面真っ黒のままでフリーズします
私の環境だけの話しではないと思いますね
SecureBootを無効、レガシーサポートを有効としてある場合には、キーファイルが入っているUSBメモリを挿せと画面が表示されます
こんなの企業のシス管でも把握していないと思いますね
企業のパソコンが全部11となる頃までトラブル対処出ない事例が多発するはずです
マイクロソフトも随分と勝手なことをやらかしてくれますよね
おまけに広報不足です
OSが通常起動している内に初心者さんも含め.bek解除キーをUSBメモリ内に保存しておくことをお勧めしますよ 俺は長い文字列打ち込んでセーフモード入ったことが何度かあるから、その特定のビルドのバグじゃないのか? 回復環境のコマンドプロンプトを起動する際には回復キーフレーズを入れろと出て来ていますね
セーフモード起動だと現状のバージョンは違っています ローカルグループポリシーでBitLockerの制御設定をしている場合には違うのかも知れませんね
私の場合には何も弄っていないデフォルト状態です bitlockerはノートくらいしか有効になってない。
企業でトラブルならノートくらいです。
事故るのがわかっているなら無効にするか
データをNAS管理にしてダメなら端末を初期化して対応でしょう。
一番ハマるのはキーをBIOSで初期化された場合。
とりあえず一回でも事故れば使わなくなるのは時間の問題。 >>040
だから起動している内に.bek解除キーをUSBメモリへとバックアップしてあればトラブっても安全だよって話しでしょ
TPM2.0内に保存されているスタートアップキーがクリアされてしまってもOSは無事に起動出来ます やっぱり現バージョンの10はセーフモードに入れない
以前はUSBメモリにスタートアップキーを保存してあったら起動出来たのに、
再起動時にどうも読み込まない様で変なメッセージを表示しやがる
回復環境のコマンドプロンプトへは、回復キーフレーズにするのかUSBメモリの回復キーを読み込むのかを選択しろの画面の後に
正常に起動する
何か変だよ 現行バージョンの11も変なんだよ
回復キーの入ったUSBメモリを挿しておかないとセーフモードが再起動時に黒画面のままフリーズしてしまいます
何だかまともな検証をマイクロソフトは一切やっていないよな 一応10の方もセーフモードが起動しない原因はわかった
結果から言うとリブート時にUEFIファームからUSBメモリが見えていない
どうやって確認したかと言うと、再起動時にF9を連打して起動デバイス一覧を表示させてやってから
USBメモリを挿し直す
これで再認識するので、Windows Boot Managerを選択して起動すると、お馴染みの番号選択画面になったよ
だが、以前は回復環境のコマンドプロンプト画面を起動するのと同じように、
確認画面のワンクッションがあったはずなんだよな
この間にUSBメモリが見えるようになるはずなんだよ
マイクロソフトはバカな変更にばっかり手を入れているよな 今回改めて発見したことがある
コールドブート時の内容とセーフモードで起動しようとして再起動時に設定されている
UEFIブートマネージャーの内容が違います
私の環境だとOS Boot Managerとコールドブート時には先頭に設定されているんだけれども
セーフモード起動時にはWindows Boot Managerと設定されています
つまり、ブートマネージャーの設定内容を変更してから再起動しているんですね >>45
>Windows Boot Managerと設定されています
これは間違いだったみたいです
Secure Bootへと変更したから表示がOS Boot Managerから変更になったようです 回復環境でコマンドプロンプトやセーフモードを選択する分岐の前でキーフレーズを求められるから言ってる意味がわからん
選択肢無しにセーフモードに入る別の世界線? >リブート時にUEFIファームからUSBメモリが見えていない
それはOSの問題じゃなくマザーとUFFI(BIOS)のでき次第じゃないのか? 現行10と11の最新バージョンでの結果です
10は現状だと詳細オプションのスタートアップ設定をクリックするとリブートして
本来であればコマンドプロンプトと同様に回復キーフレーズかUSBメモリ内のスタートアップ回復キーを
要求する画面が表示されるはずなんですが、スタートアップ回復キーを要求する画面が表示されないんですよね
そのままずっと進めていると回復キーフレーズの入力画面へは辿り着きます
11の場合には私の環境にもよるのかも知れませんが、USBメモリのスタートアップキーを挿したままにしていないと
リブート時に黒画面のままフリーズしています 11は昨日までリブートして、
BitLocker
スタートアップ設定にアクセスするには、回復キーを入力する必要があります
なんて表示されずに黒画面のままでフリーズしていたはずなのにマイクソは黙修正したのかよ?
回復キーフレーズの入力画面へはEscキーで入れるようだな
ただ、USBメモリのスタートアップ解除キーを利用する場合には、
詳細オプションのスタートアップ設定をクリックする以前に挿しておかないと通常のブート画面に戻されてやり直しとなってしまいますね これってSecure Boot 有効のままで、Windows To Goを暗号化しても本体側とGo側共にTPM内のスタートアップキーで起動出来たら
複数のスタートアップキーにも対処しているって事になるよね?
後で確認してみる
そうすると、USBメモリ内にスタートアップキーが保存してあったら、別なマシン上でも今まで通りに起動出来ると思うんだ
こちらも後程確認してみます そもそもActiveDirectoryで社員ごとに電子証明書があるみたいな環境を想定していて
TPMに入ってるキ―はあくまでその代用品でしかないから
当然パソコン買い替えたりBIOS書き換えたりすると消失する。 manage-bde -protectors -add C: -startupkey F:\
通常はBitLockerの管理からでもスタートアップキーはUSBメモリに書き込まれない様なので
コマンドを書いておきます
暗号化をやり直さない限り保存した.bekキーをTPMの中身が吹っ飛んでもスタートアップキーとして利用出来ます
USBメモリのルートにシステム属性のファイルとして保存されますので、
エクスプローラーの設定を変更すればファイルが見える様になります >>54
スタートアップキーがあるとSecure Boot時でもTPM2.0にあるスタートアップキーに関係なく起動するのを確認した
要はブートマネージャーがシステムドライブを復号出来さえすればTPMも関係ない様だな
セーフモードで起動する時にはTPM2.0を見に行きませんね ProでもHomeでもブートマネージャーの仕様に変わりはないのでUSBメモリのスタートアップキーを利用出来ると思います
Homeだってセーフモードで起動する時はあるものな 昔はカードリーダーに社員カードみたいなやつ挿して暗号化してたな 複数の物理ドライブのいくつかだけ暗号化してみたけど起動時に手動解除してあげないとアクセスするアプリはドライブが無いとか言いよるんだな
autounlockを有効にしようと思ってもエラー0x80310020吐いて有効にできないなーと思ったらOSドライブが暗号化されてないといけないんだった
OSドライブを暗号化するとバックアップアプリでパーテーションコピーくらいしか出来なくなるから避けてたんだけどちょっと悩む
BitlockerでもOSパーテーションの圧縮差分世代管理バックアップできるアプリなんて無いよねー( ;∀;)
OSバックアップ(OS再起動1時間後に1回/日)、20差分以上古いのは削除とか細かく管理していたんだけど(自己満足で) 小一時間管理コマンドmanage-bdeでかちゃかちゃ遊んでしまった スマートカードは今も対応してるぞ
USBドングルのほーが増えて来たけど >>60
システムドライブをBitLockerで暗号化してあったってOSが起動していれば普通のバックアップソフトでも増分、差分は出来るんじゃないの?
サイトの解説に出来ないと書いているバックアップソフトなんてないぞ >>63
クローンは出来てもセクタ単位のバックアップ、差分バックアップが出来るアプリは無いんじゃないかな
あるなら教えて Sector By SectorでクローンしたってBitLockerで暗号化してあったら元のハードディスクと結び付いているんだから
復号不能となるぞ
マイクロソフトを舐めるなよw >>64
>セクタ単位のバックアップ、差分バックアップが出来る
そんな方法だと出来ないよな
増分、差分とは基準としているバックアップイメージのビットマップと比べてVSSを利用したファイル単位でのバックアップだもんな Windows11pro導入したので初めてBitlocker使おうと思うのですが
Cドライブを暗号化しようとしたけど
Dropboxのクラウド共有フォルダがあって他のスマホなどでデータ共有してるんだけど
bitlockerで暗号化して他ので使えなくなるなんてことあるのでしょうか >>68
OSが起動している状態でそのシステムドライブ全体が復号化されています
起動していない状態だと共有フォルダへはアクセス出来ませんし、
システムドライブの中も外部からでは見えません
PEなどからアクセスする場合には、回復キーファイルでシステムドライブを復号するか、回復キーフレーズを利用して復号すると
ファイルシステムとしてそのドライブ内を認識してアクセス出来る様になるのがBitLockerの仕組みです
通常のOS起動時には、TPM2.0の中に回復スタートアップキーが保存されていて、それを利用して自動で復号してから
OSが起動する様になっています
完全にマイクソの広報不足です >>68
影響ない、これまで通り意識しなくて良い。
ちなみにそのスマホも暗号化された状態で動いてる Acronis True Image for Western Digitalを利用してBitLockerでシステムドライブを暗号化してあるけれども
増分のバックアップイメージも普通に作成できたぞ
非常に勘違いしていそうな事象として、作成されているバックアップイメージは暗号化されていませんから
システムリストアしたら暗号化をやり直す必要があります
それがBitLockerですよ それと気の利いたバックアップソフトであれば、PEなどから暗号化してあるシステムドライブを解除せずに
Sector By SectorとしてクローンコピーしようとしてもBitLockerで暗号化してあるドライブのコピーは出来ませんと表示されます MiniTool Partition Wizard 12 でドライブ丸ごとコピーしてつないだら
Bitlockerのディスクとして認識されるし、普段どーりパスワード入れたら開けるけど。 パーティーションコピーと差分・増分バックアップは全然違うから
BitLockerされたドライブをバックアップするには複合化しながらバックアップする分時間がものすごくかかる
バックアップ中に再起動やシャットダウンしたくてもバックアップが終わるまでそれができないか出来たとしてもそれまでのバックアップが無駄になる可能性 >>73
ハードディスクのパーティションをSector By Sector方式でコピーするのは面倒だろうから、
NTFSでフォーマットしたUSBメモリをBitLockerで暗号化してそれをコピーしてみるとする
中身はインストールメディアの内容でもいいだろう
果たして復号可能なものが出来上がるだろうか?
ここにはいつも適当な奴が現れて出来るとほざきやがるんだよな そもそも全部勘違いしていそうだよな
BitLockerで暗号化してあるパーティションのコピーは復号しない限りファイルシステムとして見えないのだから
Sector By Sectorとしてコピーする方法しかない
これで他の媒体にコピーした場合に復号可能かとの問題であるが、
復号する際には元のデバイスIDとも紐付いているセキュリティであるから復号出来ないと考えている
後程これに関しては検証してみるけどさ >>77
>元のデバイスIDとも紐付いているセキュリティ
そんなものはない
TPMプラットフォーム検証プロファイルと混同してる
BitLockerはFVEKという鍵で暗号化され、その鍵はドライブ上にある
なのでsector-by-sectorでコピーすればコピーしたドライブ全て復元出来る
しかしこのままでは暗号化の意味がないのでFVEKを更にVMKで暗号化してある
このVMKが回復パスワード、パスワード、TPMなど色々な手法があるわけだ マイクロソフトのBitLockerは復号キーの中に元のデバイスIDに対してしか復号出来ない要素が含まれていると考えている
どちらにしても検証してみるけどな コピー先のUSBメモリを開こうとしても以下のメッセージが表示されて復号出来ませんでしたよ
「このドライブのBitLocker暗号化は、使用中のWindowsバージョンと互換性がありません。
新しいバージョンのWindowsを使用してドライブを開いてください。」
コピー元であるUSBメモリをBitLockerで暗号化する際の設定は以下のものとしました
○使用済みの領域のみ暗号化する
○新しい暗号化モード(N)(このデバイスの固定ドライブに最適)
×互換モード(C)(このデバイスから取り外すことが出来るドライブに最適)
こちらは当然ながら選択していません
同モデルのUSBメモリを2本用意してBitLockerで暗号化したものをSector By Sectorとして全領域をコピーしました
使用したソフトは、AOMEI Partition Assistantです
ParagonだとBitLocker暗号化領域のあるデバイスをコピー元として選択させてもらえませんでした
検証もなくどこかに書いてあった内容なのに、いつも偉そうに講釈するバカが目障りなんだよな 検証乙!
面倒だろうけど、後学のために互換モードだとどう違うのかも可能ならお願いしたい。
確かAcronisもコピー元として選択させてくれない SSDをクローンする時に暗号化解除を忘れて、
MacriumReflectのブートメディアから暗号化されたままセクタバイセクタでコピーしたが、
コピーしたドライブで起動したら回復パスワードを入れろ→入力で起動したよ 検証乙!
コピーソフトが対応してれば問題ないってことね >>82
11のシステムドライブを暗号化する際に
○新しい暗号化モード(N)(このデバイスの固定ドライブに最適)
こちらを指定したかどうかが重要
11で新しくセキュリティを考慮して設定された暗号化モードだと思います
Macrium Reflectでも検証してみます MacriumReflectのブートメディアは、作成する時にデフォルト設定でシステムドライブのBitLocker暗号化を
キーを保存しておいて自動で解除する機能があります
知らなかっただけではないのか? >>84
もちろん新しいモードになってるよ
固定ドライブはそっちがデフォルトになるし
>>85
それやるとブートメディアから起動するだけで中身見れちゃうので、
セキュリティ的に気持ち悪いのでオフにしてる
そもそもアイコンでちゃんと区別できるしロックされてると内容も見れない 検証結果が出ました
×互換モード(C)(このデバイスから取り外すことが出来るドライブに最適)
こちらの設定でBitLocker暗号化を実施するとデバイスに縛られずに復号処理が可能なようです
Sector By Sectorとしてコピーした場合です
11でシステムドライブをBitLocker暗号化する場合のデフォルト設定はこちらではありませんので、
通常は >>80 と同様にSector By Sectorとしてコピーしても復号不可です テストできる環境がなくて参戦できないのが悔やまれる USBメモリだとBitlocker To Go 扱いになるから
持ち運びする前提でコピー対策とかも念入りになる。
内蔵のSSDやHDDでやらないと意味がない 無駄だな
端末をおきっぱでGoogleリモートの方が楽ではw ちなみに今の最新端末はUSBから簡単に起動しない。
最速で毎回5分程度かかる。 高速スタートアップオフ又は完全シャットダウン状態からなら昔通りショートカットキーで起動デバイス選択できたりしないのか?
今時セキュアブート非対応のブートイメージでもないだろうに
意味が違う? UEFIが起動され起動するドライブをさせる。
次に、ドライブの検証が始まる。
その後再起動になり再び
UEFIが起動され起動するドライブをさせる。
そこで起動が可能になる。
検証せずに起動ができない仕組みなので時間がかかるから
もう終わってると言ってる。
古いパソコンのなら抜けられるかもねW 便利だよね
・エロ動画用HDD
・あらゆるパスワードをメモしたtxt保存用のusbメモリ
この二つに使ってます BIOSでビットロッカーの解除パス入力しないとwindowsログインさせないってどうやるの >>60です
OSドライブを暗号化してAOMEIでフルバックアップ+差分バックアップの複合バックアップを試してみているけど、バックアップに数割時間がかかるようになっただけで差分バックアップは完了した
複合化テストはまだしていないけど、複合化時に48桁の暗号化キーが必要になるかもしれないので暗号化するときに印刷するなり暗号化キーのテキストファイル名でセーブするなりマイクロソフトアカウントに紐づけしておくなりしておく必要があるみたいだけど
それと他のドライブの暗号化時に自動でアンロックするように設定しておけばOS起動時に複合キーを入れなくても見失うことは無くなった
自動でアンロックできない環境でも48桁の回復キーか8文字以上のパスワード文字列を設定して忘れないようにしておけば良いことが分かった
なお、OSドライブのBitLockerを無効にすると他のドライブの暗号化も無効に(解除)されてしまうので注意が必要 >>98
なお、暗号化時にはドライブ全体を暗号化と新しい暗号化モードを使用している 新しい暗号化モードでHDDをbitlocker暗号化しました。
他のpc(新しいバージョンのWindows10)に接続した場合って、パスワード入力すればもともとのpcと同じように使えるんですか? >>100
ここでいうパスワードとは、もちろん回復キーとは別のやつです >>100
もちろん使える
つーかそのためのパスワードだし使えなかったら意味無い >>102
ですよね。心配性が過ぎました。ありがとうございます バックアップHDDをBitLockerで暗号化してあるけど、
当然他のPCに接続してパスワード入れれば中身見える
102も書いてるけどそういう用途で使えなかったら全く役に立たない 居残るならこれ
account.cfg内のパラメータ「Mode=」を参照しないようにする
0029A7DC 04→01
アプデ警告消す
001FD398 75→EB
広告なくす
0020B3F8 53→C3
JaneStyle Ver4.23を用意して適用 >>110
そんなことしなくてもオリジナルのバイナリとAdblockerで十分だけどな じゃこれだけ
account.cfg内のパラメータ「Mode=」を参照しないようにする
0029A7DC 04→01 一旦Windows11をクリーンインタフェースしようと思うのだけど
Cドライブ以外もBitlockerで暗号化してるけど
一旦全て暗号化解除してからクリーンインストールすべきかね 解除せずともバックアップイメージはBitLockertが解除された状態で作成される
そんなのは素人向けに考えられているんだよ インストールメディアや回復ドライブのPEからBitLockerの解除方法を書いたものが
マイクロソフトも含めネット上にはないようですので書いておきます
システムドライブの暗号化無効解除まできっちりと確認しました
1行目で復号処理を実行しています
2行目でBitLockerを解除しています
manage-bde -unlock C: -RecoveryPassword "048708-112178-373494-098945-475233-033088-692439-020977" 回復キーフレーズの一例です
manage-bde -off C: 巡回冗長検査 (CRC) エラー修復
manage-bde -autounlock -clearallkeys C:
自動ロック解除
manage-bde -autounlock -enable c: 求められた回復キーさえ入力したら別なマシン上でも起動するようになる
やってみたまえ
色々と制約されているのはサインインオプションです
どうせこちらが設定されていたらわからないし、
移行したマシン上のTPM2.0には情報が保存されていないので
サインイン出来ません Windows11 22H2から23H2で特に暗号化の解除や更新手続き等は裏で自動的にされたのかなんも手間いらなくアップデート出来た Windows Pro 導入
↓
真っ先にDドライブ(外付けSSD)を全領域暗号化
無事完了したし、ばっちり機能している
↓
次にCドライブも暗号化しようと思ったら、もう暗号化した状態になっている。「あ、ちゃんと見てなかったけど一緒にやってくれたんだ」と思う
↓
にも関わらず、シャットダウン再起動してもログイン時にはPINコードしか要求されない
↓
CドライブのBitlockerを無効化して再度暗号化。しかし状態は変わらず。なぜ? TPM2.0にBitLockerを復号するためのスタートアップキーが保存されているからです
PINを無効化してからSecure Bootを無効にして起動すると復号キーを要求されるようになるよ >126
回答ありがとうございます。うまくいきませんでした
・PIN(Windows Hello)無効化
・BIOSメニュー起動>Security>Secure Boot Configuration
・「Microsoft only」→「None」で再起動
・Bitlockerのリカバリキー(数字48桁)を要求されたので入力(おっしゃっている復号キーとはこのことですよね)
で、以降はMicrosoftアカウントのパスワードでログインできるようにはなりました
私は、外付けSSDの暗号化のように、自分で設定したBitlockerパスワードでログインできるようになると期待していたのですが >>126
回答ありがとうございます。うまくいきませんでした
・PIN(Windows Hello)無効化
・BIOSメニュー起動>Security>Secure Boot Configuration
・「Microsoft only」→「None」で再起動
・Bitlockerのリカバリキー(数字48桁)を要求されたので入力(おっしゃっている復号キーとはこのことですよね)
で、以降はMicrosoftアカウントのパスワードでログインできるようにはなりました
私は、外付けSSDの暗号化のように、自分で設定したBitlockerパスワードでログインできるようになると期待していたのですが manage-bde.exeに好きなもので指定した回復パスワードを設定する方法があるからググってみなさい >>129
グループポリシー弄ってからmanage-bde -protectors -add c: -TPMAndPINでできた。親切にありがとう スタートアップの拡張PINを許可してんのに、なにをどうやっても数字しか設定できない・・・。なぜ?
TPM+PINの場合はPINには数字しか使えない、TPMなしでPINだけの場合に文字記号が設定できるって
カスペルスキーのオンラインヘルプにあったけど、それはデフォルトはそうなってるってだけの説明だよな
(https://support.kaspersky.com/KESWin/11.6.0/en-US/130689.htm)
そんな難しいことやりたいわけじゃないはずなんだけど・・・ manage-bde -protectors -add c: -password しても
Group Policy settings do not permit the creation of a password.
グループポリシーのどの項目や・・・ すべてのコンピュータがプリブート環境で拡張 PIN をサポートしているわけではないらしいが、まさかそれにひっかかってるんだろうか とりあえずTPMについての理解が全然足りてないっぽい。連投失礼しました paragonでBitLockerがかかったHDDをバックアップ&リストアできる? どのバックアップソフトでもPEメディアからならばmanage-bde.exeを利用して復号してから実行する
OS上からであれば既に復号化されているので何も考えずにバックアップが可能です
共に取得したバックアップイメージは暗号化されていませんので、リストア後に再暗号化処理が必要です サンクス
結局セクタバイセクタでバックアップすることにした
これでリストアして問題ないかわからないけど BitLockerだけの利用であればそれで起動するかもしれないけれど、
Secure Bootを併用していると多分起動出来ないと思う
サインインオプション利用でログイン出来ないはずなので・・・ どんなバックアップアプリ使っても、復元後は認証コードが必要になるよ
起動後自動認証するには最暗号化が必要だったかどうだかは忘れた いや、どうもBitLockerだけじゃないっぽい
認証以前にHDDが壊れてる扱いで起動すらせずブルー画面 ∧∧
ヽ(・ω・)/ ズコー
\(.\ ノ
、ハ,,、  ̄ 罠を仕掛けたら、仕掛けた者が一番
多く罠にはまることを証明したな 起動するかしないか以前にSector By Sectorとしてコピーしたシステムドライブを
PEからmanage-bde.exeで復号して中身を見れるかどうかが最優先項目だよな
アクセス可能であれば、起動しない別な要因がある訳だ よくわからんのだけど、Windows 11 Home だと暗号化できないんだよな?
でも設定の「プライバシーとセキュリティ」の「デバイスの暗号化」の中の「デバイス暗号化」が ON になっているのはなんだ?
この設定は ON/OFF ができるだけなんだけどね。Pro の方は他にも BitLocker でのドライブ暗号化とかあるんだよね?
Home だからそれがないのはわかるのだが、じゃあこの ON にできるデバイス暗号化ってなに? 何か他の方法で暗号化できるの? 自分で調べろ
PEからやる方法があるのかも知れない わかった。Homeなのにデバイスの暗号化の設定ができる理由はこれだ。
https://pc.watch.impress.co.jp/docs/column/win11tec/1406634.html
メーカー製PCだと暗号化されていることがあるようだ。それで回復キーの参照はMicrosoftアカウントがあるとできる。
自分のも見てみたがPC買って最初に起動した日時で作られていた。 まあしかし BitLocker 使えないくせに Windows 11 Home でも TPM ないとダメってのは、変な制限だな。Pro 使えばいいだけの話ではあるが。 HOMEでは作れないだけで
PROとかで作った暗号化ドライブは使えるぞ >>150
manage-bde -on D: -RecoveryPassword "000000-000000-000000-000000-000000-000000-000000-000000"
実際にやって確認して見たが、ProにHomeのシステムドライブを接続して回復キーフレーズを設定してやれば、
Homeを起動した際に通常通りに回復キーが要求されて、その後に通常起動する
PEからではこのコマンドがエラーとなって通らないな
PEから暗号化するのは出来ないようである
それで、このままHomeのストレージをProへと再接続しない限り暗号化は実際には開始されない
メーカーではこの状態でクローンコピーを実行しているのではないかな?
Home自体に暗号化を実行する機能がないのにも頷ける結果だ HomeだとOS上からmanage-bdeで暗号側は動かないようだけど復号と解除はPE上からでも動作します
このあたりは安全マージンが考慮されていますよね 回復キーを無くすと終わるBitLocker。自動で有効化されてしまうことも。まさかのためのBitLocker入門
https://pc.watch.impress.co.jp/docs/topic/feature/1437468.html
ここに書かれている解説がまともだ 確かにテンプレに入れたいほどまともだ。
そういやKB5012170事件あったっけな HomeエディションでもBitLockerでシステムドライブの暗号化に対応したと
AOMEI Partition Assistant 10.3.0 でサポートを始めたんだが残念な事に
起動時にパスワードでの復号のみで、ProのようなTPM2.0を利用した自動でのスタートアップ解除とはなっていない
カスタマイズしたPE起動をしてHomeのシステムドライブに暗号化を施しているようだ
manage-bde.exe を利用してもこのエディションだとダメだよって言われてしまうんだよなw
メーカー側ではどうやってHomeに自動でスタートアップ解除の登録まで施したシステムイメージとしているんだろうな?
この辺の技術に詳しい人がいたらどうか説明を頂きたいよな OSをPROで設定したあとHOMEにダウングレードできるなら可能かもしれないw >>159
AOMEI使ってるけど自動解除よ指定もできるようになってたような…違ったかな?
コマンドライン使わなくてもできるようになったのと、空エリアと誤認しなくなったのは良くなったと思う
地味に文字化けしてたのも直ってる(全部かどうかわからんけど) Windowsのディスク暗号化を43秒で突破する動画「Breaking Bitlocker」が公開。ただちに影響はない模様 2024 2/07
https://softantenna.com/blog/breaking-bitlocker/ マザボ上に載っけてるディスリートTPUを狩りに来たのかね?
セキュリティを理由にIntelの第5世代以前やAMDのfTPM非対応機を排除できるじゃない ノートPCなど盗まれても解読に1000年かかるから大丈夫と考えがちだが
数年おきにこんな穴が見つかると安心できないな ノートPCと共にあなたが拉致され拷問された場合、長くても数日で解除されてしまうだろう。 ほとんどの人達はマザーに追加でTPM2.0チップなんて装着していないよw >>170
間違ってないか?
あれはマザーに初めから付いているものです。
かなり前から普通に搭載されてます。
Home類ハード、自作が非搭載なだけで
Proが搭載されて販売されている類は標準。
基本的にHOMEは機能としてBitLockerは非対応
家で使ってる奴も使う意味がない。
単にWindows11の要件として必要なだけ。
ただノートの奴は盗難紛失対策として利用するもの。
それでデータ抜かれるって話だからね。終わってるよね。
で、本来はCPU側で行う必要がある。
ただ、CPU壊れた時でデータが全部読めなくなる問題はあるな。 間違っちゃいないよ
CPUチップ内に搭載されているTPMチップに外部から直接結線して読み取るのは結構難しい
そう言った意味で一般的な手法ではないと書いたのみ
虎挟みで挟み込めるのは後付けのTPM2.0チップだよな win11が出る前に後付けのTPM2.0チップが品切れになって高騰してたんだがな 市場で占めるパーセンテージは極少数だし、ノートパソコンに占める割合では後付けではほぼ無いに等しい
こんなものを語っても意味がないと思うわ 釈迦に念仏ですよ。
書いてますよ。
>Home類ハード、自作が非搭載なだけで
>Proが搭載されて販売されている類は標準。
Windowsを使うならはHomeなんてものは使ってはいけません。
いらなくなった時の転用がHomeだと出来ない。
台数が増えた時にゴミにならないように初めからProを選ぶしかないのですよ。 TPM2.0はIntel 6世代以降はチップセットとして標準搭載しているのでHomeエディションでも載っていますよ
OSの機能としてHomeだと標準ではBitLocker暗号化は出来ないようですけどね
Proへとアップグレードして利用すれば使えますね あれっ?と思って調べてみたらIntel 6世代CPUはTPM1.2搭載ですがTPM2.0へとファームウェアをアップデート出来るものがあるそうです 正式にはIntel 7世代以降はものがTPM2.0搭載です 単純にBitLockerをTPMを利用したスタートアップ解除として利用したいだけであれば、
Proであったら7以降のOSではTPM1.2でも問題なく利用出来るのですよ win11proをC:SSD(OS)+D:HDDにクリーンインストールして、CとDの暗号化が終わったんだけど
再起動してもパスワード入力求められず、PIN入力で済んでしまい
Dドライブの方はパスワード入力必須
これ逆に出来ないかな?
起動時には必ずパスワード入力させられ、Dドライブへのアクセスは簡易的にって感じで
せっかく糞長いパスワードを設定したのに数字のみのPINで入られちゃうとか駄目だろ
数字のみで生年月日、誕生日、他のパスワードと無関係で桁数多いのを覚えるとか無理ゲーだし マイクロソフトの糞AIに聞いたらPIN入力で済みます。便利です。
ってなことしか言わないし
その設定を覗いてみると
PIN入力orUSBメモリ
しか設定できねえ >>181
Cはアカウント設定でPIN削除でいけるんでは?
Dはあきらめろ
リムーバブルディスクなら自動解除の設定はできるけど PINはオンライン流出することはないし安全だと思うけどなぁ
試しに何度も何度も違うPIN入力してみ、面倒なことになるから pin削除しても、再起動後にWindowsのログイン画面まで普通に進んでしまったw
bitlockerパスワード認証⇒Windows起動
って動いて欲しい…
会社のノートPC(win10pro)は、最初にbitlockerの暗号化してその通りに動いているんだがなあ pinが数字入力しか受け付けてくれないから
生年月日
電話番号
キャッシュカードの暗証番号
他サイトのパスワード
は突破されそうだし、それらを封印するとパスワード忘れて困りそう 拡張PINとかいうのにしたら英数字記号設定出来て、暗号化時のパスワードをPINに設定したわ
のはいいんだが、ビットロッカーの画面で@の場所が違うという罠に嵌りそうになった
PIN2回間違い扱いになってから入力を表示して気付いたが、ヒデー罠だな
日本語キーボードのレイアウトのつもりで打っても、英語キーボード扱いになってて入力が違っている
まあ、やりたい仕様には出来た
ちょっと不便だけど >>183
OS入りSSD以外は自動いけるん?
それとも外付けつかオンライン時に外せるものオンリー?
外付けで自動解除できるようにしてから
内蔵したら自動解除できる? ノートPCだとSSD取り外せるタイプのなら必須だけど
基盤に固定されているタイプのなら使わなくても…
いわゆるウルトラモバイルみたいなのならたいてい基盤貼り付きのSSDなので使わなくてもオケ 外部ストレージからのブート封じとかないと駄目だろうしBIOSパスワードも解除可能だろうから駄目じゃね? 内部のWinREのコマンドプロンプトってPIN入力無しで使えなかったっけ? バックドアが無いことを証明できないにしても日本の組織のために協力するとは思えない 司法で争って結論を出すしかないだろうな
ただ最終的にはアメリカでの司法判断となるだろうよ
日本の司法権限なんてアメリカには及ばないだろうからさ 暗号化解除を拒否してもあらやる情報から状況証拠を積み上げられて有罪にしてくるから無意味 途中で送ってしまった
暗号化解除を拒否してもあらやる情報から状況証拠を積み上げられて有罪にしてくるから無意味だったりしない? >>197
それもうBitLocker関係ないよな 死後に家族に保存したエロ画像やエロ動画ととか見られなければ十分だわ(´・ω・`) 押収されて証拠として扱われると最後の裁判終わって判決確定するまで返してもらえないのが痛い 人質司法だからなあ
与党の気質といい現代国家に達してない 蟻共の中から金に固執した野郎共が政治を担っているに過ぎない
国民の要望が通るかどうかは、既に組織化されてしまっている伏魔殿の動き方次第ってのがある
しかし、全世界的な裏の権力もあるので阻まれてその要望が到底叶えられないってのもある
国民の要望なんてのは利害関係で阻まれて所詮通るものではないのである 馬鹿な若者がやってきた?
さすがに単独ではやればわかるがユーザーを舐めてるから?
そうそう アイスタ尼で倍
指無くなってきた(´・ω・`)
めめめめおめめめめ! BitLockerの回復キーがどこにも表示されない
マイクソ垢のデバイス欄にもそんなもの書いてない まずBitLockerの設定開いてアカウントに保存しないと 最初から暗号化されてたみたいで
時間かかったけど解除してから再設定で
回復キーとやらも出現したわ >>157リンク先の
[条件を満たせば自動的に有効になる]を読むとわかるけど
新品の未起動状態ではまだ暗号化されてない。初期状態で有効になってる場合は条件を満たした時に初回ログイン後にバックグラウンドで暗号化される Windows11のシステム設定からPCのリセットで再構築したけど、Bitlockerは保持されてた。
アプリや設定は保持する設定でリセットをかけた
OSの不安定も解消して時間もあまりかからずだった パスワード入れてロック解除してあるのに
ドライブのアイコンをダブルクリックしたら
既にロック解除されてますみ。たいなエラーが出て開かないんだけど セキュアブート解除したくらいで回復キー聞きまくらないでくださいよぉ TPMへと保存してあるものへとOSを介して自動でアクセスする場合にはSecureBootになっているのが絶対条件となる USBメモリへと.bek解除キーを保存して利用する方法も考えておいた方がいいと思うよ
OS起動時にこのUSBメモリを挿しておいたらスタートアップキーでの解除トラブルになって回復キーフレーズかわからなくても起動出来る
manage-bde -protectors -add C: -recoverykey F:\
このコマンドでF:ドライブとなっているUSBメモリのルートへと保存される Cドラ暗号化してひどい目にあったから
人にお見せできないデータドライブ(Z)だけAES256bitで暗号化してるわ
これで身内にウィザード級でもいない限り
Cドラから痕跡辿られることもそうそうないやろ manage-bde -protectors -add C: -rp 000000-000000-000000-000000-000000-000000-000000-000000
面倒になるからこの回復キーも追加して利用しているよw