none
ビットロッカーに暗号化させない方法を教えてほしい RRS feed

  • คำถาม

  • 当方では、固定端末として使っているデスクトップ(windows10pro Ver1809)であり、盗難等による情報漏洩のリスクは別の方法で対処するため、BitLokerは不要となります。

    bitlokerは、ただ不要なだけでなく存在することで、不要なトラブルを実際に招いてしまってます。

    一つは、bitlokerを有効にした覚えがないのにwindowsupdateの翌日立ち上がらなくなり、調べた結果システムドライブがbitlokerによりロックされていました。暗号化も100%完了しており、身に覚えがないこともあり、回復キーなどは取得できず結局再インストールする羽目になりました。

    もう一つは、エクスプローラ右クリックで、Bitlokerの有効化をしてしまい処理を完了したにも関わらず。回復キーの在りかを失念し、同様に再インストールして対応しました。

    その後、調べた結果ノート等で、bitloker待機中の端末も発見し、身に覚えもなく暗号化まで済ませている端末もあります。

    必要とされてる方々には、良い機能と思うのですが当方では不要なので、アンインストールもしくは、間違って選んでしまっても、処理は禁止されてる等メッセージ出すなど、強制的に暗号化させないようにする方法はないでしょうか?

    既に試してみたことは、同サイトで拝見させていただいた「ビットロッカーに関連するサービスの停止方法が知りたい」の内容にあったBitLocker Drive Encryption Service の無効化

    結果は、サービスは確かに止まっていたのですが、bitlokerの有効化をすることで、暗号化も100%までされていました。確認はManage-bde.exe -statusで行ってます。


    • แก้ไขโดย ajk_mt 4 ตุลาคม 2562 3:21
    4 ตุลาคม 2562 3:21

คำตอบ

  • デバイスの暗号化については、例えば TPM を無効にするなど、デバイスの暗号化のハードウェア要件を満たさないようにすれば自動的に暗号化されることはなくなります。TPM を無効にすれば Bitlcker でも外部キーが必要になりますから、カジュアルにうっかり暗号化されることは減らせるでしょう。


    Hebikuzure aka Murachi Akira

    • ทำเครื่องหมายเป็นคำตอบโดย ajk_mt 7 ตุลาคม 2562 3:35
    4 ตุลาคม 2562 10:14

ตอบทั้งหมด

  • まず、ユーザーや管理者が操作した覚えがないのにディスクが暗号化されるという動作は、「デバイスの暗号化」によって行われている可能性があります。

    デバイス(のストレージ)を暗号化で保護する必要が無ければ、PC 購入時の初期設定でデバイスの暗号化は無効にされると良いでしょう。

    ただしデバイスの暗号化も Bitlocker も管理者権限のあるユーザーであればいつでも有効にして実行できるので、ユーザーに暗号化させたくないのであれば、管理者権限を与えない方法になるでしょう。

    参考:「Bitlockerを無効にする」制限する方法を教えてください


    Hebikuzure aka Murachi Akira

    4 ตุลาคม 2562 4:48
  • 株式会社シービーエスさま

    早速のアドバイスありがとうございます。まさに管理者権限のある各部署の裁量で運用しているパソコンなんです。

    現在は、再インストール中ですが、もちろん稼働後は、暗号化の準備中だった場合はbitlokerを無効に(非暗号化)します。

    又、エクスプローラの右クリックで出てくるbitlokerの有効化というメニュ自身はレジストリのあるKeyを削除する事で出なくなる事も確認できてます。そうする予定です。それでも、コントロールパネルを開けて実行する事も出来てしまうし、非暗号化してても勝手に暗号化始めたりしないものなのでしょうか?

    実際HPのprobookで、初期インストール後すぐ勝手にシステムドライブを暗号化されていて、ビットロッカーの画面で確認したら待機中になってました。驚いた事はもちろんですが、こういう事をするHWメーカーやMicorsoft(どっちのせいかわかりませんが)にあきれてしまいました。

    本当にadministrators権限が無ければ暗号化されないのでしょうか?それすら疑ってしまいます。

    そういう事もあり、あまり信用もできず、出来れば確実に暗号化されない方法があれば助かるのですが...

    皆様にお聞きして、どうしようもなければ運用で(マニュアルの作成等)対処する所存ですが、お知恵お持ちの方いらっしゃいませんでしょうか


    • แก้ไขโดย ajk_mt 4 ตุลาคม 2562 7:21
    4 ตุลาคม 2562 7:06
  • 株式会社シービーエスさま

    すいません。参考URLを見る前に返事をしてしまいました。

    先人の方の経験を見逃していました。

    当方としても、windows8の頃のレジストリ追加(PreventDeviceEncryption)等試してみたのですが効果は無かったです。

    頂いたURLは2016年だったので、3年たっても、やはり諦めるしかないのでしょうか?

    4 ตุลาคม 2562 7:19
  • デバイスの暗号化については、例えば TPM を無効にするなど、デバイスの暗号化のハードウェア要件を満たさないようにすれば自動的に暗号化されることはなくなります。TPM を無効にすれば Bitlcker でも外部キーが必要になりますから、カジュアルにうっかり暗号化されることは減らせるでしょう。


    Hebikuzure aka Murachi Akira

    • ทำเครื่องหมายเป็นคำตอบโดย ajk_mt 7 ตุลาคม 2562 3:35
    4 ตุลาคม 2562 10:14
  • 株式会社シービーエスさま

    折角返事頂いてたのに返答が遅くなり申し訳ありません。

    TPMを無効化する方法をこれから探してみます。

    ありがとうございます。又結果はご報告させていただきます。

    6 ตุลาคม 2562 23:54
  • 株式会社シービーエスさま

    いろいろヒントをありがとうございました。

    結論から言いますと、無効化する方法は判ったのですが、処理が困難なためあきらめました。

    まず。TPM無効化は、OS上では行う方法は判りませんでした。サイトでMMCを使ってTPM管理画面上で行えるように会ったのですが、TPM.msc はあったのですが、その画面では無効化できず。TPMadmin.mscで可能らしいのですがそれは存在しませんでした。

    Probook430G6のBios設定で試してみたのですが、TPMの有効化と非表示があり、非表示を選択し、起動しなおすと、デバイスマネージャのセキュリティデバイス->トランステッドプラットフォームというデバイスは、非表示になって、非表示デバイスの表示でステータスを見ると、現在このハードウェアーは、コンピュータに接続されていません(コード45)となり、成功した風に見えたのですが、bitloker画面で暗号化、無効化はできてしまいました。bootパーテーションに暗号化キーが存在してしまうから、キーがあれば、TPMロジックが使えなくてもソフト(os)で変換するのでは?と考え、TPMを無効化したまま、再インストールしました。結果は暗号化できなくなって望みの結果になったのですが、再インストールが決定的となりました。その後、HPに確認したところ、セキュアブートをレガシブートに切り替えて再インストールしても、暗号化ができないようになるとも聞きました。いずれにしても、再インストールが必要となり、これはハードルが高すぎると判断し断念することとなりました。

    結果は残念でしたが、いろいろ判ったので助かりました。ありがとうございました。

    7 ตุลาคม 2562 2:47
  • チャブーンです。

    この件ですが、まぁ難しいことは理解できます。ですが、ちょっとした回避方法として、「コンテキストメニューでの非表示」を試されてみてはどうでしょうか?固定ドライブでできるかどうかは不明ですが、したの情報(レジストリによる設定)で、非表示は可能なようです。

    https://4sysops.com/archives/how-to-disable-bitlocker/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    7 ตุลาคม 2562 4:52
  • チャブーンさま

    情報ありがとうございます。

    当方でも固定ドライブの右クリックで出てくるBitLokerを有効にするを削除する方法は取得しています。

    このスレッドの上から4つ目

    引用 ----------------------------------------------------ここから

    又、エクスプローラの右クリックで出てくるbitlokerの有効化というメニュ自身はレジストリのあるKeyを削除する事で出なくなる事も確認できてます。

    ----------------------------------------------------------ここまで

    因みに、HKEY_CLASSES_ROOT\Drive\shell の中にある encrypt-bde-elev キーを削除する事で実現しています。

    当方としても、まったく無策であきらめらるわけにいかなかったので、チャブーンさまがおっしゃるように右クリックですく暗号化できなければ多少オペミスによるものは防げるかと思っている次第です。

    あとは、windowsupdate等で無理やり暗号化される事は防げないですが、マイクロソフトもそこまでしないだろうと思うことにしました。

    当方としてはあきらめモードではありますが、再インストールしなくても絶対に暗号化させない方法があれば、ご教授願いたいです。

    7 ตุลาคม 2562 5:53
  • チャブーンです。

    この件ですが、あくまで自己責任ですが、「BitLocker Drive Encryption Service」を無効に設定すると効果があるかもしれません。おそらくサポートされない方法であろうことは、認識しておく必要があります。サービスの「無効化」設定については、グループポリシーで行えば管理者でも解除することはできなくなります。

    http://piyopiyocs.blog115.fc2.com/blog-entry-845.html
    https://www.windowspasswordsrecovery.com/password/how-to-turn-off-bitlocker-on-windows-10-8-7.html


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    7 ตุลาคม 2562 11:13
  • チャブーンさん

    ありがとうございます。

    このサイトに投稿する前に、BitLocker Drive Encryption Service については調査したことがあります。

    このサービスを無効にして再起動し、停止状態にある事を確認し、bitLokerの有効化をしたのですが、暗号化をはじめ、数時間後に正常に完了しました。せっかく頂いた情報だったのですが、かなえたい機能とは少し違っていました。

    このサービスの役割として、最初に頂いたURLにメッセージ関係を出したり、ロック状態にあるドライブを所有者に関係なく解除する事もできる等書かれてました。確かにその機能があるかもしれないのですが、暗号化自身はこのサービスによって行われてないのではないかと考えます。ですからサービスを停止してても暗号化されてしまったように思います。又復号化も同様でした。一度bitlockで暗号化した後解除して元に戻す時もサービスを停止させたままで行えました。思うのですがbootデバイスのどこかに格納されてる暗号化キーが存在するか否かがポイントではないかと。

    この何日かで分かったことはBitLockerを絶対に使わせたくない場合は、BiosでTPM機能を無効化したうえで再インストールするか、同様にBiosでbootデバイスをレガシーモードで起動しインストールするかいずれかだと実現できること以外にありませんでした。

    私もそろそろ観念してあきらめようかと思っています。

    8 ตุลาคม 2562 1:42
  • [スタート] > [設定] > [更新とセキュリティ] > [デバイスの暗号化] で
    デバイスの暗号化 が 「オフにする」 に なっていませんか?

    「オフにする」になっている場合は、勝手に暗号化されてしまいます。
    「オンにする」が表示されていれば暗号化はされません。

    1703 の時にタブレット系がインストール直後に
    デフォルトで「オフにする」※【暗号化をする】になってました。
    マスターPC作成時に真っ先にクリックして解除してました。

    8 ตุลาคม 2562 3:38
  • 七辻屋さま

    更新とセキュリティの中にデバイスの暗号化はオンにするです。

    bitloker暗号化の画面でもオペレーションシステムドライブは、bitlokerが無効ですと出てます。

    私のマシンは、再インストールした時気づいたのですが、インストール直後からデフォルトでドライブ暗号化するようになってて、すぐは暗号化中となりその後、bitloker暗号化の画面ではbitloker待機中と表示が変わってました。

    私の感想なのですが、Microsoftは可能な限り暗号化に誘導したいのかな?と疑ってます。

    七辻屋さまと同じようにインストール直後であれば、確かに情報部が介入するので暗号化を解除できるのですが、windowsupdate等で、offになっているものが、勝手に暗号化だけ済まされ、待機中(その状態では解除キーが作成されてない解除キーは一度暗号化を完了する必要がある)にされないか不安になり今回の投稿に至った次第です。

    七辻屋さまがおっしゃるように  「オンにする」が表示されていれば暗号化はされません。  が真実であればいいのですがそこを疑ってます。現在も

    初期購入時は情報部で各種ソフトをインストールし、部署に引き渡しますが、その後は不具合がない限り部署で管理します。懸念した通りWindowsUpdateで暗号化されても誰も気づかず。bitlokerを有効にしない状態のまま何かのはずみで、デバイスロック状態となったら(だれも解除するキーに心当たりがないことからの推測です)、解除でない状態になって初めて情報部に連絡があり気づくことになります。

    調査したくてもシステムドライブが読めない状態なのでログを採取して調べることもできず。結局ロック解除できないので再インストールするしかなく困ってしまいます。対策として考えられるすべてのことをしようと確実に暗号化できないようにしたかっただけです。でももう諦めました。

    再インストールする機会があった時だけ、bios上でTPMをoffにしてインストールします。そうすることで暗号化が絶対されないような気がします。(絶対はないのかもしれないけど)

    ありがとうございました。

    9 ตุลาคม 2562 2:26
  • > インストール直後からデフォルトでドライブ暗号化するようになってて、
    > すぐは暗号化中となりその後、bitloker暗号化の画面ではbitloker
    > 待機中と表示が変わってました

    これはそのデバイスが「デバイスの暗号化」の要件を満たしている時の動作ですね。

    以前に書いているように TPM を無効にしていればデバイスの暗号化の要件を満たさないので、この動作はないと思います。

    ※Android や iOS のデバイスでも既定でデバイスの暗号化が行われるように、個人情報/機密情報を多数保存するデバイスでは、ストレージを可能な限り暗号化するというのは現時点での「常識」になってきているようです。


    Hebikuzure aka Murachi Akira

    9 ตุลาคม 2562 7:02
  • 私の事例となりますが、ドライブ全体を手動で暗号化したいので、Unattemd.xmlを編集して、

    自動で暗号化をかけないようにしています。

    PreventDeviceEncryption というキーで制御できます。https://blogs.msdn.microsoft.com/microsoft_surface_blogs/2015/03/23/surface-pro-3-3/

    暗号化したくなければ、この設定を入れてセットアップすれば、その後は何もしなくても自動で暗号化しないと思います。

    こちらでは逆に暗号化したいので、OSセットアップ後、人の手で、ドライブを暗号化して、暗号化キーを保管するといった運用です。

    ご参考まで。

    9 ตุลาคม 2562 7:42
  • 株式会社シーピーエスさま

    まったくおっしゃる通りだと思いますが、当方はあえて、非暗号化の道を選ぼうとしてます。

    一つ付け加えると、要件を満たした状態でOSのインストールを完了した後で、BIOSの設定でTPMの機能を無効化しても暗号化されてしまうのです。このことは残念です。理由はよくわかりません。

    次にTMPを無効にした状態で、インストールした場合は、暗号化しようとしたときエラーとなり暗号化できませんでした。

    今思えば、その実験の時にのちにBIOSの設定でTMPを有効にしたらどうなるか試せばよかったのですが、実験レポートはそこまでです。いずれにせよ何台もそんなことやってられないので当然没案となります。

    検証結果から想像すると、実際暗号化はHWまたはソフトウェアのどちらでも可能で、HWをBIOSで停止させてても暗号化可能なフラグが立ってるとソフトウェアーで暗号化できるのだと考えます。又暗号化を禁止する条件は、数百MBの起動用パーテーションのどこかに暗号化キーが在るか無いか、ではないかと私は想像してます。

    それを確認する労力はもうありません。

    重要なことは、暗号化したくない場合、BIOS上でTMPを止めただけではだめだということです。再インストールが必要なのです。そこはHPのマシンだったのでHPに確認をとってます。HPは、セキュアブートを無効にしてレガシーモードで再インストールする必要があるとのことでしたが、私が試したのは、TMPの無効化後の再インストールです。

    折角の情報なので正確に伝えたく今一度書き込みました。



    • แก้ไขโดย ajk_mt 9 ตุลาคม 2562 8:05
    9 ตุลาคม 2562 8:01
  • チャブーンです。

    まあ、うまくいくかはわかりませんが、したのDLLファイルの実行(ロード)を禁止するよう、ソフトウェアの制限ポリシーで行うと、もしかしたら好転するかもしれません。

    • %WINDIR%\system32\bdesvc.dll

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    9 ตุลาคม 2562 9:39