none
BitLocket To GOの解除(無効化)権限について RRS feed

  • 質問

  • Windows10 Proを利用しています。

    管理者(DomainAdmin)権限にて、USBに対し、BitLocker To Goを使って、暗号化をし、

    各ユーザ(DomainUsers)にUSBを提供します。

    各ユーザは別途伝えたパスワードにて、USBのロック解除し其々利用しています。

    処が、このパスワードを使うとUSBの暗号化解除(BitLockerの無効化)も出来てしまいます。

    こういうものなのでしょうか?

    Userに無効化出来ないようには、どうすれば良いでしょうか?

    (グループポリシーエディタも見てみたのですが、どの項目か判りません)

    2020年2月25日 5:05

すべての返信

  • 運用的な観点で、暗号化のロック解除(ディスク内容を読み出し/書き込みできる)と BitLocker 自体の解除でできることとは(保存されているデーターに対しては)同じですが、それでもなお解除させないということにどのような意味を考えておられるのでしょうか?


    Hebikuzure aka Murachi Akira

    2020年2月25日 7:32
  • Bitlockerの暗号化解除や有効の変更を許可しないコンピュータに以下のグループポリシーで制御してみてはいかがでしょうか?

    コンピューター構成¥管理テンプレート\Windowsコンポーネント\BitLockerドライブ暗号化\リムーバブルデータドライブ

    グループポリシー名:リムーバブルドライブでのBitlockerの使用を制御する〔有効〕

     ├リムーバブルデータドライブにBitlocker保護を適用できるようにする〔チェック外す〕

     └リムーバブルデータドライブのBitlocker保護を中断および暗号化解除できるようにする〔チェック外す〕

    ただし、暗号化を制御できてもUSBメモリをフォーマットしてしまうと普通に使えてしまうので以下も設定した方が良いと思います。

    グループポリシー名:Bitlockerで保護されていないリムーバブルドライブへの書き込みアクセスを拒否する〔有効〕


    • 編集済み kaz8629 2020年2月25日 8:13
    2020年2月25日 8:13
  • それこそ運用的な観点からの効果を目的としています。

    USBは会社支給とするので、自由な利用は困ります。

    暗号化を解除してしまえば、ほぼ普通のUSBと同じように使えるのでしょうが、

    細かいところでは制限が発生します。

    情報漏洩の観点からは、我慢して貰わないと困るのですが、ユーザの立場では不都合なことも理解できます。

    そんな時、暗号解除のパスワードを使えば、BitLocker自体が解除できるってことが

    広まってしまうと、勝手に解除して使うユーザが発生する恐れがあります。

    (ずるい人だと、最後に同じパスワードで有効化して返却したりして)

    そんなUSBが紛失などされると、情報漏洩一直線です。

    といった事があっては、会社としては困ります。

    なので運用的な観点から禁止したいのです。

    2020年2月26日 0:33
  • 回答ありがとうございます。試してみました。

    結果、BitLockerの無効化は、下記メッセージを表示して禁止する事が出来ました。

    「グループポリシー設定では、リムーバブルドライブでのBitLockerドライブ暗号化の無効化は許可されていません。

    BitLockerを無効化する必要がある場合は、システム管理者に問合せください。」

    目的は達したので大いに一歩前進することができました。ありがとうございます。

    今回は、PC単体にてポリシーエディタを設定したので、Admin/User関係なく設定PCの全ユーザでの適用と

    なったようです。(まあ、これでもよいのですが)

    どのPCに適用するか、どのユーザに適用するか等はグループポリシーの設定ということになるのでしょうね。

    調べてみます。

    2020年2月26日 2:35
  • そうですね。どのPCに適用するかであればADのOU構成とグループポリシーの適用の仕方によって制御できそうです。ただ、どのユーザに適用するかとなると、ユーザー単位で制御するポリシーが用意されていないので作り込みが必要になると思います。


    2020年2月26日 3:46