none
BitLockerを有効にしたまま、対象PCでのみPC起動時のPIN入力を省略したい RRS feed

  • 質問

  • お世話になっております。

    グループポリシーの「スタートアップ時に追加の認証を要求する」を無効にすることで、

    BitLockerの自動ロック解除が有効にでき、PC起動時のBitLockerのPINコード入力が省略できることは分かったのですが、

    その場合、暗号化されていないドライブとして、盗難された場合、外付けドライブとしてデータの取り込みは可能なのでしょうか?

    それとも自動ロック解除はあくまで設定したPC内蔵時の状態で、取り外した場合、回復キーを求められるのでしょうか?


    • 編集済み SEC_U 2020年9月23日 5:46
    2020年9月23日 5:45

回答

  • まず、Bitlocker有効化後に「スタートアップ時に追加の認証を要求する」を無効にする様な事は、Bitlockerの状態や設定に依存して結果が複雑になるため、あまり一般的では無くイレギュラーなシナリオです。

    そういった意味では現在実施している方法では無く、前回投稿した内容にある「①TPMのみ」に認証方式を設定して頂くのが、Bitlocker暗号化はするがPIN入力を省略したい場合はシンプルかつ確実かと思います。

     

    既にBitlockerが有効なドライブの認証方法(保護)を変更する場合は、以下のコマンドで追加・削除が可能です。(詳しい使い方は -? を追加してヘルプを確認して下さい)

     

    ■追加

    manage-bde -protectors -add

     

    ■削除

    manage-bde -protectors -delete

     

    https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde-protectors?WT.mc_id=WDIT-MVP-5003093


    なお、頂いた内容に「自動ロックの解除」とありますが、これはデータドライブにおいてパスワードのみ(TPMTPMPINの組み合わせでは無い)でBitlockerを有効化している場合に、OS側で自動的にデータドライブのロックを解除する場合によく使用されます。

     

    その事を考慮すると、①~④の認証方法にはなっておらず、パスワードのみによる認証になっている可能性も考えられますので、以下のコマンドを実行し「キーの保護機能」の状態を確認頂いた方が良いかもしれません。もしパスワードのみによる認証だった場合、ディスクドライブが他のPCに接続された場合は回復パスワードではなく、まずは通常入力していたパスワードが求められるものと思われます。

     

    manage-bde -status

     

    <キーの保護機能の例>

    TPMTPMのみによる認証

    ・数字パスワード→回復パスワード(48桁の数字)

     

    【補足】

    TPMが無い環境の場合、「スタートアップ時に追加の認証を要求する」にある「互換性のある TPM が装備されていない BitLocker を許可する」にチェックをつけると、パスワードやUSBキーによる暗号化が可能となります。




    2020年9月25日 12:24

すべての返信

  • 「スタートアップ時に追加の認証を要求する」を無効にした後でBitlockerを有効化していると言う事でしょうか?(Bitlocker有効化後に、該当設定を無効にした訳では無い)

    Bitlockerの状態や認証がどの様になっているか明記頂いた方が答えやすいのですが、取り合えず「スタートアップ時に追加の認証を要求する」が無効になっている状態でBitlockerを有効化する場合は基本オプションのみが選択可能となりますので、以下の①TPMのみで暗号化がされているはずです。

    https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#%E8%B5%B7%E5%8B%95%E6%99%82%E3%81%AB%E8%BF%BD%E5%8A%A0%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A6%81%E6%B1%82%E3%81%99%E3%82%8Brequire-additional-authentication-at-startup

     

    Bitlocker認証方法>

    TPMのみ

    TPMPIN

    TPMUSBキー

    TPMPINUSBキー

     

    その場合、ユーザーの操作(PINUSBキー)による認証は行われませんが、PCに搭載されているTPMにより認証されていますので、仮にPCからディスクドライブが抜き取られ別のPC等に接続された場合はTPMによる認証が行われないため、回復パスワードが求められます。



    • 編集済み LapivyMVP 2020年9月23日 9:48
    2020年9月23日 9:47
  • お返事が遅くなり、申し訳ありません

    >「スタートアップ時に追加の認証を要求する」を無効にした後でBitlockerを有効化していると言う事でしょうか?(Bitlocker有効化後に、該当設定を無効にした訳では無い)

    こちらですが、Bitlocker有効化後に、該当設定を無効にしております。

    今回行ったこととしては、もともと社内でBitLocker有効状態の特定のパソコンに対して、
    「スタートアップ時に追加の認証を要求する」を無効に変更したグループポリシーを適用させてパソコンを再起動しました。

    しかしながら、再起動後もBitLockerのパスワードを求められるため、
    対象パソコンにてBitLockerドライブ暗号化の管理画面を開いたところ、
    自動ロック解除が有効にするという設定項目が追加されたことを知った為、こちらを実施したうえで、
    パソコンを再起動すると、BitLockerのパスワードを求めてこなくなったという流れです。

    しかし、BitLockerドライブ暗号化の管理画面を開いても【BitLockerは有効です】と表示されたままなので、
    果たしてこれは本当に暗号化されているのか、もし盗難されて、HDDだけ抜き取られても回復パスワードを入れずに中身を見られてしまうのではないか?と不安になり、質問させていただいた次第です。

    2020年9月25日 5:19
  • まず、Bitlocker有効化後に「スタートアップ時に追加の認証を要求する」を無効にする様な事は、Bitlockerの状態や設定に依存して結果が複雑になるため、あまり一般的では無くイレギュラーなシナリオです。

    そういった意味では現在実施している方法では無く、前回投稿した内容にある「①TPMのみ」に認証方式を設定して頂くのが、Bitlocker暗号化はするがPIN入力を省略したい場合はシンプルかつ確実かと思います。

     

    既にBitlockerが有効なドライブの認証方法(保護)を変更する場合は、以下のコマンドで追加・削除が可能です。(詳しい使い方は -? を追加してヘルプを確認して下さい)

     

    ■追加

    manage-bde -protectors -add

     

    ■削除

    manage-bde -protectors -delete

     

    https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde-protectors?WT.mc_id=WDIT-MVP-5003093


    なお、頂いた内容に「自動ロックの解除」とありますが、これはデータドライブにおいてパスワードのみ(TPMTPMPINの組み合わせでは無い)でBitlockerを有効化している場合に、OS側で自動的にデータドライブのロックを解除する場合によく使用されます。

     

    その事を考慮すると、①~④の認証方法にはなっておらず、パスワードのみによる認証になっている可能性も考えられますので、以下のコマンドを実行し「キーの保護機能」の状態を確認頂いた方が良いかもしれません。もしパスワードのみによる認証だった場合、ディスクドライブが他のPCに接続された場合は回復パスワードではなく、まずは通常入力していたパスワードが求められるものと思われます。

     

    manage-bde -status

     

    <キーの保護機能の例>

    TPMTPMのみによる認証

    ・数字パスワード→回復パスワード(48桁の数字)

     

    【補足】

    TPMが無い環境の場合、「スタートアップ時に追加の認証を要求する」にある「互換性のある TPM が装備されていない BitLocker を許可する」にチェックをつけると、パスワードやUSBキーによる暗号化が可能となります。




    2020年9月25日 12:24
  • BitLockerの仕様について改めて理解を深めることができました。

    いただいたご説明を参考に対処いたします。ありがとうございました。

    2020年9月30日 8:12