none
Bitlockerとデバイスの暗号化の違い RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    デバイスの暗号化とBitlockerによる暗号化の違いについて詳細が分からないので教えてもらいたいです。

    デバイスの暗号化は Bitlocker によるデバイスの暗号化機能の1つであることは理解しました。
    ・デバイスの暗号化 (Bitlocker を使った新しい暗号化機能)
    ・標準の Bitlocker 暗号化 (Bitlocker ドライブ暗号化 のメニューから行う)

    (1)デバイスの暗号化とBitlockerの暗号化、明確な違いは何でしょうか。
    デバイスの暗号化をかけた場合、Bitlockerの暗号化をかけた場合、それぞれ動きが異なるときがあるのでしょうか。

    (2)デバイスの暗号化とBitlockerによる暗号化は、暗号化をかける先は異なるのか。
    異なる/同じ いずれの場合でも、暗号化をかける場所はどこでしょうか。
    SSD/HDDといったデバイスになるのか、それともBoot Driveのみのパーティションになるのか。

    (3)初期セットアップをローカルアカウントで設定した場合でも、デバイスの暗号化は自動的にオンになるのか。もしオンになっている場合、マザーボードの交換やTPMの情報が変更されたら、Bitlocker回復キーを求められるのか。
    もし求められた場合、ローカルアカウントでは回復キーの取得ができないので、OSのインストールの対応になるのでしょうか。

    長々と申し訳ございません。

    また、分かりやすい参照サイト等あれば教えてください。

    確認いただければ幸いです。よろしくお願いいたします。

    2021年1月21日 5:07
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    こちらの件ですが、BitlockerとBitlocker to GO のことかと思われます。

    質問1の違いですがBitlockerは内臓ドライブの暗号化でBitlocker to GOはリムバールメディア等の外付けのHDDの暗号化に使われます。

    質問2の暗号化される領域ですが、ドライブ単位での暗号化となり、暗号化するときにどのドライブを暗号化するか選択できます。

    質問3ですが誤動作(昔は特定の更新プログラムを適用すると勝手にONになることがあった。)以外でBitlockerが自動的にONになることはありません。ただし、ユーザーAでログインしてBitlockerを設定して、ユーザーBで利用した場合もドライブは暗号化された状態となります。

    リンク先は@ITですがこちらの連載が分かりやすいのではないでしょうか。

    https://www.atmarkit.co.jp/ait/articles/1702/28/news040.html

    • 編集済み kaz8629 2021年1月21日 5:41
    • 回答としてマーク Tetuki 2021年1月21日 6:53
    2021年1月21日 5:38
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    こちらの件ですが、BitlockerとBitlocker to GO のことかと思われます。

    質問1の違いですがBitlockerは内臓ドライブの暗号化でBitlocker to GOはリムバールメディア等の外付けのHDDの暗号化に使われます。

    質問2の暗号化される領域ですが、ドライブ単位での暗号化となり、暗号化するときにどのドライブを暗号化するか選択できます。

    質問3ですが誤動作(昔は特定の更新プログラムを適用すると勝手にONになることがあった。)以外でBitlockerが自動的にONになることはありません。ただし、ユーザーAでログインしてBitlockerを設定して、ユーザーBで利用した場合もドライブは暗号化された状態となります。

    リンク先は@ITですがこちらの連載が分かりやすいのではないでしょうか。

    https://www.atmarkit.co.jp/ait/articles/1702/28/news040.html

    • 編集済み kaz8629 2021年1月21日 5:41
    • 回答としてマーク Tetuki 2021年1月21日 6:53
    2021年1月21日 5:38
    |
  • Question
    サインインして投票
    0
    サインインして投票

    回答に貴重なお時間をいただき、誠にありがとうございます。
    (1)私の誤認識であったということですね。
    以下のURLにも記載の内容で、認識としては以下の通りということですね。
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn306081(v=ws.11)?redirectedfrom=MSDN
     デバイスの暗号化→Bitlocker
     Bitlocker→Bitlocker To Go

    Windows HomeではBitlockerは利用不可という認識です。以下の認識で正しいかも確認いただけますでしょうか

    "自動的にかかるデバイスの暗号化(Bitlocker)は有効だが、ユーザーがBitlockerやBitlocker To Goをかけることはできない"という認識で間違いないでしょうか・・?

    「Windows HomeでMSアカウントでセットアップして、自動的にデバイスの暗号化がオンになり、TPMの設定が変わったり、MB交換やSSD抜かれた場合、Bitlocker回復キーは求められることはある」 ということでしょうか。

    (2)上記のURLにも記載されていますが、「標準のBitLocker実装とは異なり、デバイスの暗号化は自動的に有効になるため、デバイスは常に保護されます。次のリストは、これを実現する方法の概要を示しています。」
    他のページでもMSアカウントでセットアップすると、自動的にBitlocker(デバイスの暗号化)はオンになるという情報を目にしていましたが
    この時に暗号化がかかる先は、BootDrive(一般的なCドライブ)で間違いないでしょうか。

    (3)
    "ローカルアカウントの場合"、誤動作以外で自動的にOnになることはないということで間違いないでしょうか。自分の理解が乏しく、、念のための確認をさせてください。


    URLについて、ありがとうございます。確認させていただきます


    • 編集済み Tetuki 2021年1月21日 7:20
    2021年1月21日 6:53
    |
  • Question
    サインインして投票
    1
    サインインして投票

    デバイスの暗号化は Bitlocker と同じ暗号化テクノロジーですが、管理方法や適用される方法、利用可能なエディションとハードウエア要件が異なります。

    デバイスの暗号化は TPM チップや モダン スタンバイ(Connected Standby)などのハードウエア要件を満たしているデバイスで、一定の条件で自動的に暗号化が実行される機能です(ユーザーが任意に有効/無効を切り替えることはできます)。また Windows Home エディションでも利用可能です。

    ※自動的に暗号化が行われるのは、要件を満たしたデバイスに、最初に管理者権限のある Microsoft アカウントでサインインしたタイミングです。

    BitLocker は Windows Pro 以上のエディションで利用可能で、ユーザー(または管理者)が意図的に有効にしない限り暗号化は行われません。また構成によって TMP チップ無しでも暗号化は可能です。モダン スタンバイなどのハードウエア要件もありません。

    ※BitLocker to Go はリムーバブル メディアを暗号化する機能で、ここで話題になっている固定ストレージの暗号化とは別の機能です。

    「デバイスの暗号化」について詳しい解説はあまりないのですが、以下の資料の「Device encryption」のセクションが一番詳しいかと思います。

    Hebikuzure aka Murachi Akira



    2021年1月21日 11:41
    |
  • Question
    サインインして投票
    0
    サインインして投票

    回答に貴重なお時間をいただき、誠にありがとうございます。

    度々質問して申し訳ございません。

    (1)デバイスの暗号化は Bitlocker と同じ暗号化テクノロジーで、
    異なるのは"管理方法"や"適用される方法"、"利用可能なエディション"と"ハードウエア要件"だけという認識でよろしいでしょうか。

    (2)管理方法は、回復キーの管理方法ということでしょうか?

    また、以下の認識でお間違いないでしょうか
    [管理方法]
    デバイスの暗号化-MSアカウント(Bitlocker回復キー)
    Bitlocker-MSアカウント / ファイルに保存 / 回復キー印刷

    (3)"自動的に暗号化が行われるのは、要件を満たしたデバイスに、最初に管理者権限のある Microsoft アカウントでサインインしたタイミングです。"
    ということは、以下の2つの条件の際には発生することはないということでしょうか

    ・初期セットアップ後、ローカルアカウントでログインしている場合
    →暗号化になることはないので、Bitlockerは求められない
    ・初期セットアップをMSアカウントにし、途中でローカルアカウントに切り替えた場合
    →暗号化になっているので、手動で無効に変える もしくは、BitlockerにかかったときはMSアカウントの回復キーを用いる

    (4)明確には覚えていないのですが、何かのきっかけでBitlockerがかかったとき、BIOSの設定
    Secure Bootをオンorオフ にしたときにBitlockerが自動で解除されたときがありました。
    これは、デバイスの暗号化のサポート要件にも含まれてるので、BIOSでSecure Bootの設定が変わったからという認識で正しいでしょうか。


    (5)BIOSのTPM設定をオフにした場合、デバイスの暗号化はかからないのでしょうか。

    ご確認のほどよろしくお願いします。


    • 編集済み Tetuki 2021年1月22日 6:44
    2021年1月22日 4:29
    |
  • Question
    サインインして投票
    1
    サインインして投票

    (1) はその認識の通りだと思います。なお「デバイスの暗号化」のハードウエア要件を満たすデバイスは Windows のインストール時にクリアキーでの暗号化が行われます。これは BitLocker の中断と同じ状態です。実際にデバイスの暗号化が有効になる際に、回復キーが生成され、クリアキーが削除されて暗号化が完了する動作です。

    (2) ですが、デバイスの暗号化では暗号化は必ず回復キーのクラウド(または ADDS の DC ※後述)に保存されます。この保存がされない限り暗号化は完了しません。ただしデバイスの暗号化で暗号化された場合でも、ユーザーが自分で回復キーを取得して保存/印刷することは可能(なはず)です。

    (3) で書かれている内容もご認識の通りと思います。なお What's New in BitLocker | Microsoft Docs によれば、デバイスの暗号化の要件を満たすハードウエアで Actice Directory ドメインに参加する場合、グループポリシーで Bitlocker が有効かつドメインコントローラーに回復キーを保存する設定になっている場合は、ドメイン参加の時点でデバイスの暗号化が有効になり暗号化の完了と回復キーの保存が行われるとのことです。

    (4) については実例で確認していないですが、おそらくご想像の通りではないかと思います。

    (5) もデバイスの暗号化のハードウエア要件を満たさなくなるのでそうだとそうだと思います。

    Hebikuzure aka Murachi Akira


    2021年1月22日 9:42
    |