「デバイスの暗号化」と「BitLockerドライブ暗号化」の違い

Question

私は、Windows 10 Home 32ビットのタブレットをテキトーに使っています。

テキトー、というのは、クリーンインストールの確認や、基本機能の確認などをするのに使用していて、アプリケーションのインストールやデータの保存などはほとんどしていない、という意味です。

で、このWindows 10タブレットは、「デバイスの暗号化」がデフォルトでオンになります。

Windows 10をクリーンインストールしてもオンになるので、どこかのHW構成か機能の有無をOSが識別しているのでしょう。

もう少し細かく言うと、「コマンドプロンプト」で「powercfg /batteryreport」を実行することで生成される「battery-report.html」に「CONNECTED STANDBY Supported」と記録されるのですが、どこかでこれを判断しているのだと思います。

で、ここからが本題なのですが、この「デバイスの暗号化」がデフォルトでオンになる機種は、ユーザーが気付かないままシステムドライブが暗号化されて、Microsoftアカウントの情報にBitlockerの「回復キー」が保存されます。

これが、何かのきっかけで起動時にBitlockerの「回復キー」を求められ、それを入力しないと起動しなくなってしまう場合があるようです。

恐らくですが、例えばTPMがクリアされるような処理が行われた場合はそうなるだろうと思います。

この場合、ユーザは「暗号化している」という意識が無いので、「回復キー」が何なのかも判らず、Microsoftアカウントで確認できることも判らず、中のデータを捨てて初期化せざるを得ないことになったりします。

ただ「TPMのクリア」を意図的に行うことはそうそう無いでしょうから、何故このような状態に陥るのかが、判らないのです。

もし、このような現象に遭遇した覚えのある方がいたら、どんなきっかけでBitLockerの回復キーを求められるようになったのか、教えていただけますでしょうか。

※参考URL

デバイスの暗号化をオフ（無効）にする方法を教えてください。

Answer 1

1. Microsoftアカウントを利用してログインしていてTPMがある場合に、ハードウェアの構成変更を検出すると、BitLockerが自動的に有効になることがある。
2. ActiveDirectryの管理下になく、ローカルアカウントを利用している場合には、BitLockerが自動的に有効になることはない。
3. シャットダウン処理を経ないで、電源ダウンが行われた場合にBitlockerの「回復キー」の入力を求められることがある。

4)  PIN入力の失敗回数には上限が設定されている。PIN入力の画面で電源ダウンしても失敗回数がカウントされ、最終的にBitLocker の回復パスワードを入力することが必要なTPM ロックアウトが発生する。

5. 一度、TPM ロックアウトが発生すると、PIN入力が必要になる局面で、毎回BitLocker の回復パスワードを入力することが必要なTPM ロックアウトが発生する。
6. そのため、TPM ロックアウトが発生した場合には、PIN入力の失敗回数のリセットをtpm.mscで行う必要がある。

要するに、電源の強制シャットダウンとか、電源ダウンといったトラブル、CMOS設定維持用のボタン電池の劣化によるファームウェアの初期化が発生したことによるハードウェアの構成変更を検出などが原因で、TPM関連のトラブルが発生しています。TPMを搭載しているパソコンを使用しているからにはTPMの取り扱いを理解しておく必要があるということでもある。

購入してから2～3年もすればマザーボード上にあるボタン電池が寿命を迎えますので、早期に交換しておいた方がいいでしょう。電源関係で乱暴な取り扱いをするのも厳禁です。