BitLocker に向けた組織の準備: 計画とポリシー
IT 担当者向けのこのトピックでは、BitLocker の展開を計画する方法について説明します。
BitLocker の展開戦略を設計するときは、組織のビジネス要件に基づく適切なポリシーおよび構成要件を定義します。次のトピックは、BitLocker システムの展開および管理に関して、意志決定プロセスの策定に使用できる情報の収集に役立ちます。
環境を監査する
暗号化キーおよび認証
TPM ハードウェア構成
非 TPM ハードウェア構成
ディスク構成の考慮事項
BitLocker のプロビジョニング
使用済みのディスク領域のみの暗号化
Active Directory ドメイン サービスの考慮事項
回復パスワード保護機能に対する FIPS のサポート
環境を監査する
BitLocker のエンタープライズ展開を計画するには、まず、現在の環境を理解する必要があります。現在のポリシー、手順、およびハードウェア環境を定義する非公式な監査を実施します。既存の企業のセキュリティ ポリシーはディスク暗号化ソフトウェアに関連するため、それらのレビューから開始します。組織で現在、ディスク暗号化ソフトウェアを使用していない場合は、これらのポリシーは存在しません。ユーザーがディスク暗号化ソフトウェアを使用している場合は、BitLocker の機能に対応するため、組織のポリシーを変更しなければならない可能性があります。
組織の現在のディスク暗号化セキュリティ ポリシーを文書化するため、次の質問を使用します。
BitLocker を使用するコンピューターと BitLocker を使用しないコンピューターに対処するポリシーはあるか。
回復パスワードおよび回復キーの格納を制御するためにどのようなポリシーが存在するか。
BitLocker の回復を実行する必要があるユーザーの身元を検証するためのポリシーは何か。
回復データに対してアクセス権を持つ組織内の誰を制御するために、どのようなポリシーが存在するか。
コンピューターの使用停止または廃棄を制御するためにどのようなポリシーがあるか。
暗号化キーおよび認証
BitLocker は、次のことにより、紛失した、または盗難にあったコンピューターのデータに対する不正アクセスの防止に役立ちます。
ハード ディスクの Windows オペレーティング システムのボリューム全体を暗号化する。
ブート プロセスの整合性を検証する。
トラステッド プラットフォーム モジュール (TPM) は、コンピューターの製造元によって多くの新しいコンピューターに搭載されているハードウェア コンポーネントです。BitLocker と連携してユーザー データを保護し、システムがオフラインになっていたとしてもコンピューターの改ざんを確実に防止します。
さらに、BitLocker には、ユーザーが暗証番号 (PIN) を入力したり、スタートアップ キーを含んだ、フラッシュ ドライブなどのリムーバブル USB デバイスを挿入するまでは、通常の起動プロセスをロックするオプションが用意されています。これらの追加のセキュリティ対策は、多要素認証を提供し、正しい PIN またはスタートアップ キーが提示されるまで、コンピューターが起動、または休止状態から再開されることがないよう保証します。
TPM バージョン 1.2 以降を備えていないコンピューターでも、Windows オペレーティング システム ボリュームの暗号化に BitLocker を使用することができます。ただし、この実装には、ユーザーが USB スタートアップ キーを挿入してコンピューターを起動、または休止状態から再開する必要があり、TPM と連携する BitLocker によって実現される、起動前のシステム整合性の検証は提供されません。
BitLocker のキーの保護機能
| キーの保護機能 | 説明 |
|---|---|
TPM |
セキュリティで保護された信頼のルートを確立するために使用されるハードウェア デバイス。BitLocker は TPM バージョン 1.2 以降のみをサポートしています。 |
PIN |
ユーザーが入力した数値キーによる保護機能であり、TPM の追加機能としてのみ使用可能。 |
拡張 PIN |
ユーザーが入力した英数字キーによる保護機能であり、TPM の追加機能としてのみ使用可能。 |
スタートアップ キー |
ほとんどのリムーバブル メディアに保存できる暗号化キー。このキー保護機能は、非 TPM コンピューター上で単独でも、または TPM と組み合わせてセキュリティ強化のためにも使用できます。 |
回復パスワード |
回復モードで、ボリュームのロックを解除するために使用される 48 桁の数字。数値は標準的なキーボードで入力できる場合が多いですが、通常のキーボードが応答しない場合、常にファンクション キー (F1 から F10) を使用して入力できます。 |
回復キー |
BitLocker のボリュームで暗号化されたデータを回復するために使用できる、リムーバブル メディアに保存された暗号化キー。 |
BitLocker 認証方法
| 認証方法 | ユーザー操作が必要 | 説明 |
|---|---|---|
TPM のみ |
省略可能 |
TPM が、初期ブート コンポーネントを検証します。 |
TPM+PIN |
必須 |
TPM が、初期ブート コンポーネントを検証します。ユーザーが正しい PIN を入力しないと、起動プロセスの続行とドライブのロック解除ができません。誤った PIN が繰り返し入力された場合、TPM はロックアウトを開始し、PIN をブルート フォース攻撃から保護します。ロックアウトをトリガーする繰り返し試行回数は変更できます。 |
TPM + ネットワーク キー |
省略可能 |
TPM が正常に初期ブート コンポーネントを検証すると、有効な暗号化されたネットワーク キーが WDS サーバーから提供されています。この認証方法はシステムの再起動時にオペレーティング システム ボリュームのロックを自動的に解除する一方で、多要素認証を維持します。 |
TPM + スタートアップ キー |
必須 |
TPM が正常に初期ブート コンポーネントを検証すると、スタートアップ キーを含む USB フラッシュ ドライブが挿入されています。 |
スタートアップ キーのみ |
必須 |
ユーザーは、回復キーまたはスタートアップ キーを保持している USB フラッシュ ドライブの挿入、およびコンピューターの再起動を求められます。 |
TPM バージョン 1.2 以降を搭載していないコンピューターをサポートするか
環境内で、TPM バージョン 1.2 以降を搭載していないコンピューターをサポートするかどうかを決定します。この種類のコンピューターで BitLocker をサポートすることを選択した場合、ユーザーは USB スタートアップ キーを使用してシステムを起動する必要があります。これには、多要素認証と同様の、追加のサポート プロセスが必要です。
組織のどの領域に、ベースライン レベルのデータ保護の必要があるか
TPM のみの認証方法は、セキュリティ ポリシーに準拠するベースライン レベルのデータ保護を必要とする組織に対し、最も透過的なユーザー エクスペリエンスを提供します。最も低い総保有コストです。また、TPM のみの認証方法は、無人のコンピューター、または無人で再起動する必要があるコンピューターに対してより適切です。
ただし、TPM のみの認証方法が提供するのは、最下位レベルのデータ保護です。この認証方法は、初期ブート コンポーネントを変更する攻撃に対する保護を提供しますが、保護のレベルはハードウェアまたは初期ブート コンポーネントの潜在的な欠点による影響を受けます。BitLocker の多要素認証方法は、データ保護の全体的なレベルを大幅に向上します。
組織のどの領域に、より高いセキュリティ レベルのデータ保護の必要があるか
ユーザーのコンピューター上に存在するデータの機密性が非常に高いと見なされる組織の領域がある場合は、これらのシステムでは、多要素認証を使用した BitLocker の展開によるベスト プラクティスを検討してください。ユーザーに PIN の入力を求めることは、システムの保護のレベルを大幅に高めます。BitLocker ネットワーク ロック解除を使用して、ネットワーク ロック解除キーを提供する信頼された有線ネットワークに接続されているときに、これらのコンピューターで自動的にロックを解除することを許可することもできます。
組織にとって、どのような多要素認証方法が適切か
多要素認証方法で提供される保護の相違点を簡単に定量化することはできません。ヘルプデスクのサポート、ユーザーの教育、ユーザーの生産性、自動化されたシステム管理プロセスに対する各認証方法の影響を検討してください。
TPM ハードウェア構成
展開計画では、サポートする TPM ベースのハードウェア プラットフォームを識別します。構成をテストおよびサポートできるようにするため、任意の OEM のハードウェア モデルについて文書化します。TPM ハードウェアは、計画と展開のすべての側面において特別な考慮を必要とします。
TPM の存在状態
TPM の存在状態ごとに、TPM は、別の状態に移行できます (たとえば、無効から有効への移行)。状態は、排他的ではありません。
| 状態 | 説明 |
|---|---|
有効 |
TPM のほとんどの機能を利用可能です。 所有権が取得されている場合、ブート期間内に TPM を複数回、有効および無効にすることができます。 |
無効 |
TPM のほとんどの操作が制限されます。例外には、TPM 機能をレポートする機能、プラットフォーム構成レジスタ (PCR) を拡張およびリセットする機能、ハッシュおよび基本的な初期化を実行する機能が含まれます。 ブート期間内に TPM を複数回、有効および無効にすることができます。 |
アクティブ化 |
TPM のほとんどの機能を利用可能です。TPM は、物理プレゼンスによってのみアクティブ化または非アクティブ化できますが、これには再起動が必要です。 |
非アクティブ化 |
無効化と同様です (非アクティブ化および有効化中に、所有権を取得可能な場合を除く)。TPM は、物理プレゼンスによってのみアクティブ化または非アクティブ化できますが、これには再起動が必要です。 |
所有 |
TPM のほとんどの機能を利用可能です。TPM には保証キーとストレージ ルート キーがあり、所有者は所有者承認データについての情報を知っています。 |
未所有 |
TPM にストレージ ルート キーがありません。また、保証キーがある、または保証キーがない可能性があります。 |
重要
BitLocker は、有効、アクティブ化、所有のいずれかの状態にならないと TPM を使用できません。TPM がこの状態にあるときに限り、すべての操作を行うことができます。
TPM の状態は、コンピューターのオペレーティング システムから独立して存在します。TPM が有効、アクティブ化、または所有の状態になると、オペレーティング システムが再インストールされても、TPM の状態が保持されます。
保証キー
TPM を BitLocker で使用できるようにするには、TPM に保証キー (RSA キーのペア) を含める必要があります。キー ペアの片方の秘密キーは TPM 内に保持され、公開されたり、TPM の外部からアクセス可能になることはありません。TPM に保証キーが含まれていない場合、BitLocker は、BitLocker セットアップの一部として、TPM に対して自動的にキーを生成するよう強制します。
保証キーは、TPM のライフサイクルのさまざまなポイントで作成できますが、TPM の有効期間に対して 1 回だけ作成する必要があります。TPM に保証キーが存在しない場合は、TPM の所有権を取得する前に作成する必要があります。
TPM および TCG の詳細については、Trusted Computing Group のトラステッド プラットフォーム モジュール (TPM) の仕様 (https://go.microsoft.com/fwlink/p/?linkid=69584) をご覧ください。
非 TPM ハードウェア構成
TPM を含まないデバイスでも、ドライブ暗号化で保護できます。Windows To Go ワークスペースは、スタートアップ パスワードを使用して BitLocker で保護でき、TPM を搭載していない PC では、スタートアップ キーを使用できます。
次の質問を使用して、非 TPM 構成で、展開に影響を与える可能性のある問題を特定します。
パスワードの複雑さの規則は適用されているか。
これらのコンピューターごとの USB フラッシュ ドライブの予算はあるか。
既存の非 TPM デバイスは、起動時に USB デバイスをサポートするか。
BitLocker が有効になっているときに、BitLocker システムのチェック オプションを使用して、個々のハードウェア プラットフォームをテストします。システム チェックにより、ボリュームを暗号化する前に、BitLocker が USB デバイスから回復情報と暗号化キーを正しく読み取ることができることが確認されます。CD ドライブと DVD ドライブはブロック記憶装置として機能せず、BitLocker の回復情報を保存するために使用できません。
ディスク構成の考慮事項
正常に機能するには、BitLocker には特定のディスク構成が必要です。BitLocker には、次の要件を満たす 2 つのパーティションが必要です。
オペレーティング システム パーティションには、オペレーティング システムとそのサポート ファイルが含まれています。このパーティションは、NTFS ファイル システムでフォーマットされている必要があります。
システム パーティション (またはブート パーティション) には、BIOS または UEFI ファームウェアがシステム ハードウェアを準備した後に Windows を読み込むために必要なファイルが含まれています。このパーティションでは、BitLocker が有効になりません。BitLocker が機能するには、システム パーティションは暗号化されていてはならず、オペレーティング システムとは別のパーティションに存在する必要があります。UEFI プラットフォームでは、システム パーティションは、FAT 32 ファイル システムでフォーマットされている必要があります。BIOS プラットフォームでは、システム パーティションは、NTFS ファイル システムでフォーマットされている必要があります。パーティションのサイズは、350 MB 以上になっている必要があります。
Windows セットアップでは、コンピューターのディスク ドライブが自動的に構成され、BitLocker 暗号化がサポートされます。
Windows 回復環境 (Windows RE) は、Windows プレインストール環境 (Windows PE) に基づく拡張可能な回復プラットフォームです。コンピューターの起動に失敗した場合、Windows は自動的にこの環境に移行し、Windows RE のスタートアップ修復ツールによって、起動できない Windows インストールの診断および修復が自動的に行われます。Windows RE には、ドライバーと、回復キーまたは回復パスワードを提供することによって BitLocker で保護されているボリュームのロックを解除するために必要なツールも含まれています。Windows RE と BitLocker を組み合わせて使用するには、Windows RE ブート イメージが、BitLocker で保護されていないボリュームに存在する必要があります。
Windows RE は、ローカル ハード ディスク以外のブート メディアからも使うことができます。BitLocker が有効なコンピューターのローカル ハード ディスクに Windows RE をインストールしないように選択した場合、回復のために Windows 展開サービス、CD-ROM、または USB フラッシュ ドライブなどの別の起動方法を使用することができます。
BitLocker のプロビジョニング
Windows Vista および Windows 7 では、BitLocker は manage-bde コマンド ライン インターフェイスまたは [コントロール パネル] ユーザー インターフェイスのいずれかにより、システム ボリュームとデータ ボリュームのインストール後にプロビジョンされていました。より新しいオペレーティング システムでは、BitLocker はオペレーティング システムをインストールする前に簡単にプロビジョニングできます。事前プロビジョニングには、コンピューターに TPM が搭載されている必要があります。
特定のボリュームの BitLocker 状態を確認するため、管理者は、BitLocker コントロール パネル アプレットまたは Windows エクスプローラーでドライブの状態を確認できます。黄色の感嘆符のアイコンが付いた、"アクティブ化を待機しています" 状態は、ドライブが BitLocker 用に事前プロビジョンされたことを意味します。この状態は、ボリュームを暗号化するときに明確な保護機能のみが使用されたことを意味します。この場合、ボリュームは保護されず、追加のセキュリティで保護されたキーを備えていないと、ドライブは完全に保護されたと見なされません。管理者は、適切なキー保護機能を追加するためにコントロール パネルのオプション、manage-bde ツール、または WMI API を使ったボリュームの状態が更新されます。
コントロール パネルのオプションを使用している場合、管理者は [BitLocker を有効にする] を選択でき、オペレーティング システム ボリュームの PIN (TPM が存在しない場合、パスワード)、またはデータ ボリュームに対するパスワードやスマート カード保護機能などをウィザードのステップに従って追加します。ボリュームの状態を変更する前に、ドライブのセキュリティ ウィンドウが表示されます。
管理者は、Windows プレインストール環境 (WinPE) からオペレーティング システムを展開する前に、BitLocker を有効にすることができます。これは、フォーマット済みのボリュームに適用され、ランダムに生成されるクリア キー保護機能と、Windows セットアップ プロセスを実行する前のボリュームの暗号化によって行われます。暗号化で使用済みのディスク領域のみのオプションを使用している場合、この手順にかかる時間はほんの数秒であるため、通常の展開プロセスに適切に組み込むことができます。
使用済みのディスク領域のみの暗号化
BitLocker のセットアップ ウィザードは、ボリュームの BitLocker を有効にした場合、管理者に、使用済みディスク領域のみまたは完全な暗号化方式を選択するための機能を提供します。管理者は、新しい BitLocker グループ ポリシー設定を使用して、使用済みディスク領域のみまたは全ディスク暗号化を適用することができます。
BitLocker セットアップ ウィザードを起動すると、使用する認証方法を確認するメッセージが表示されます (データ ボリュームには、パスワードとスマート カードを利用可能)。方法を選択し、回復キーを保存したら、ドライブ暗号化の種類について、使用済みディスク領域のみ、またはドライブ全体の暗号化のどちらかを選択するよう求められます。
使用済みディスク領域のみは、データが含まれているドライブの部分のみが暗号化されるという意味であり、使用されていない領域は暗号化されないままとなります。これにより、特に、新しい PC やデータ ドライブでの暗号化処理が非常に高速になります。この方法を使用して BitLocker が有効になっている場合、データをドライブに追加すると、使用されるドライブの部分が暗号化されるため、暗号化されていないデータがドライブに保存されることはありません。
ドライブ全体の暗号化は、データが格納されているかどうかに関係なく、ドライブ全体が暗号化されることを意味します。これは、他の目的に再利用され、以前の使用によって残余データが含まれているドライブには便利です。
Active Directory ドメイン サービスの考慮事項
BitLocker は Active Directory ドメイン サービス (AD DS) と統合され、一元的なキー管理を提供します。既定では、Active Directory に回復情報はバックアップされません。管理者は、BitLocker や TPM の回復情報のバックアップを有効にするグループ ポリシー設定を構成できます。これらの設定を構成する前に、バックアップを実行するためのアクセス許可が付与されていることを確認します。
既定では、BitLocker 回復情報にアクセスできるユーザーはドメイン管理者だけです。サポート プロセスを計画するときには、BitLocker 回復情報へのアクセス権を必要とするのは組織のどの部分かを定義します。この情報を使用して、AD DS 環境で適切なアクセス許可を委任する方法を定義します。
AD DS に対する TPM と BitLocker の両方の回復情報のバックアップを求めるのがベスト プラクティスです。このプラクティスは、BitLocker で保護されたコンピューターの下のグループ ポリシー設定を構成することで実装できます。
| BitLocker グループ ポリシー設定 | 構成 |
|---|---|
BitLocker ドライブ暗号化: Active Directory ドメイン サービスへの BitLocker バックアップを有効にする |
AD DS への BitLocker バックアップが必要 (パスワードとキー パッケージ) |
トラステッド プラットフォーム モジュール サービス: Active Directory ドメイン サービスへの TPM バックアップを有効にする |
AD DS への TPM バックアップが必要 |
次の回復データが、コンピューター オブジェクトごとに保存されます。
回復パスワード
BitLocker で保護されたボリュームを回復するために使用する 48 桁の回復パスワード。ユーザーは、BitLocker が回復モードになると、このパスワードを入力してボリュームのロックを解除します。
キー パッケージ データ
このキー パッケージと回復パスワードを使用すると、ディスクが重大な損傷を受けている場合、BitLocker で保護されたボリュームの部分の暗号化を解除できます。各キー パッケージは、自身が作成されたボリュームでしか動作しません。このボリュームは、対応するボリューム ID によって識別できます。
TPM 所有者認証パスワード ハッシュ
TPM の所有権を取得したら、所有者パスワードのハッシュを取得して AD DS に格納できます。この情報は、TPM の所有権のリセットに使うことができます。
Windows 8 以降では、TPM 所有者認証値を AD DS に格納する方法に対する変更が、AD DS スキーマに実装されました。コンピューター オブジェクトにリンクされている別のオブジェクトに、TPM 所有者認証値が格納されるようになりました。この値は、既定の Windows Server 2008 R2 以降のスキーマのコンピューター オブジェクト自体にプロパティとして格納されていました。
この統合を利用するには、ドメイン コントローラーを Windows Server 2012 にアップグレードするか、または Active Directory スキーマを拡張して BitLocker 固有のグループ ポリシー オブジェクトを構成します。
注
Active Directory スキーマを更新するために使用するアカウントは、Schema Admins グループのメンバーである必要があります。
Windows Server 2012 のドメイン コントローラーは、別のオブジェクトに TPM 所有者認証情報をバックアップする既定のスキーマを備えています。ドメイン コント ローラーを Windows Server 2012 にアップグレードしない場合は、この変更をサポートするようにスキーマを拡張する必要があります。
Windows Server 2003 または Windows 2008 ドメイン コントローラーによって管理されている Windows 8 以降のコンピューターをサポートするには
コピーして AD DS スキーマに追加できる、2 つのスキーマ拡張があります。
TpmSchemaExtension.ldf
このスキーマ拡張機能では、Windows Server 2012 スキーマとの同等性が提供されます。この変更により、TPM 所有者認証情報は、対応するコンピューター オブジェクトにリンクされている別の TPM オブジェクトに格納されます。TPM オブジェクトを作成したコンピューター オブジェクトのみが、それを更新できます。つまり、以降の TPM オブジェクトに対する更新は、デュアル ブートのシナリオ、またはコンピューターが再イメージ化され、結果的に新しい AD コンピューター オブジェクトが作成されるシナリオでは継承されません。このようなシナリオをサポートするために、スキーマの更新プログラムが作成されました。
TpmSchemaExtensionACLChanges.ldf
このスキーマの更新プログラムは、コンピューター オブジェクトの所有権を取得する、以降のすべてのオペレーティング システムが AD DS で所有者認証値を更新できるように、TPM オブジェクトの ACL の制限を緩和するように変更します。ただし、ドメイン内の任意のコンピューターで TPM オブジェクトの OwnerAuth を更新できるため、これによりセキュリティが低下し (ただし、OwnerAuth を読み取ることはできません)、エンタープライズ内から DOS 攻撃を行うことができます。このようなシナリオで推奨される軽減策は TPM オブジェクトの定期的なバックアップを行い、これらのオブジェクトの変更を追跡する監査を有効にすることです。
スキーマの拡張機能をダウンロードするには、「TPM バックアップをサポートするための AD DS スキーマ拡張機能」をご覧ください。
環境内に Windows Server 2012 のドメイン コントローラーが存在する場合、スキーマ拡張は既に配備されており、更新する必要はありません。
注意
AD DS 内の TPM と BitLocker の情報をバックアップするようにグループ ポリシー オブジェクトを構成するには、フォレスト内の 1 つ以上のドメイン コントローラーで Windows Server 2008 R2 以降が実行されている必要があります。
必要なスキーマ拡張機能がない環境で TPM 所有者認証値の Active Directory バックアップが有効になっている場合、TPM のプロビジョニングは失敗し、TPM は、Windows 8 以降を実行しているコンピューターに対して使用不可能の状態のままになります。
AD DS での適切なアクセス許可の設定
BitLocker を有効にできるように、正常に TPM を初期化するには、AD DS 内の SELF アカウントで ms-TPMOwnerInformation 属性について正しいアクセス許可が設定されている必要があります。BitLocker に必要な、これらのアクセス許可を設定する詳細な手順を以下に示します。
[Active Directory ユーザーとコンピューター] を開きます。
BitLocker が有効になっているコンピューター アカウントを含む組織単位 (OU) を選択します。
OU を右クリックし、[制御の委任] をクリックして [オブジェクト制御の委任] ウィザードを開きます。
[次へ] をクリックして [ユーザーまたはグループ] ページに移動し、[追加] をクリックします。
[ユーザー、コンピューター、またはグループの選択] ダイアログ ボックスでオブジェクト名に「SELF」と入力して [OK] をクリックします。オブジェクトが検証されると、[ユーザーまたはグループ] ウィザードのページに戻り、SELF アカウントが一覧に表示されます。[次へ] をクリックします。
[委任するタスク] ページで、[委任するカスタム タスクを作成する] を選択して [次へ] をクリックします。
[Active Directory オブジェクトの種類] ページで、[フォルダー内の次のオブジェクトのみ] を選択し、[コンピューター オブジェクト] を選択してから [次へ] をクリックします。
[アクセス許可] ページの [これらのアクセス許可を表示します] で [全般]、[プロパティ固有]、および [特定の子オブジェクトの作成または削除] のチェック ボックスをオンにします。[アクセス許可] リストまで下にスクロールし、[Write msTPM-OwnerInformation] (msTPM-OwnerInformation の書き込み) と [Write msTPM-TpmInformationForComputer] (msTPM-TpmInformationForComputer の書き込み) の両方のチェック ボックスをオンにして [次へ] をクリックします。
[Finish] をクリックしてアクセス許可設定を適用します。
回復パスワード保護機能に対する FIPS のサポート
Windows Server 2012 R2 と Windows 8.1 で導入された機能により、BitLocker は FIPS モードで完全に機能することが可能です。
注
米国連邦情報処理標準 (FIPS) は、米国連邦政府によって使用されるコンピューター システムのセキュリティおよび相互運用性の要件を定義します。FIPS 140 標準には、承認されている暗号化アルゴリズムが定義されています。FIPS 140 標準には、キーの生成とキーの管理についての要件も設定されています。米国国立標準化技術研究所 (NIST) は、暗号化モジュール検証プログラム (CMVP) を使用して、暗号化アルゴリズムの特定の実装が、FIPS 140 標準に準拠しているかどうかを判定しています。暗号化アルゴリズムの実装は、NIST の検証に提出され、合格した場合にのみ、FIPS 140 に準拠していると見なされます。提出されていないアルゴリズムについては、同じアルゴリズムの検証された実装と同一のデータがその実装によって生成されたとしても、FIPS に準拠しているとは見なされません。
これらのサポートされている Windows のバージョンより前のものでは、Windows が FIPS モードになっている場合、BitLocker によって回復パスワードの作成または使用が禁止され、ユーザーは代わりに回復キーを使用するように強制的されていました。これらの問題の詳細については、サポート記事 kb947249 をご覧ください。
しかし、これらのサポートされているシステムを実行しているコンピューターで BitLocker が有効になっていると、次のことが可能です。
FIPS に準拠した回復パスワード保護機能は、Windows が FIPS モードになっているときに作成できます。これらの保護機能は、FIPS 140 NIST SP800 132 アルゴリズムを使用します。
Windows 8.1 の FIPS モードで作成された回復パスワードは、他のシステム上で作成された回復パスワードと区別できます。
FIPS 準拠アルゴリズム ベースの回復パスワード保護機能を使用する回復のロック解除は、回復パスワードに対して現在有効となっているすべてのケースにおいて有効です。
FIPS に準拠した回復パスワードがボリュームのロックを解除した場合、ボリュームは FIPS モードになっていてもロックが解除され、読み取り/書き込みアクセスが許可されます。
FIPS に準拠した回復パスワード保護機能は、FIPS モードになっている場合はエクスポートして AD に格納できます。
FIPs モードであるかどうかに関わらず、回復パスワードの BitLocker グループ ポリシー設定は、BitLocker をサポートするすべての Windows バージョンに対して同様に機能します。
ただし、Windows Server 2012 R2 および Windows 8.1 より前のシステムのための FIPS モードで生成された回復パスワードを使うことはできません。Windows Server 2012 R2 および Windows 8.1 で作成された回復パスワードは、Windows Server 2012 R2 および Windows 8.1 より前のオペレーティング システムの BitLocker と互換性がないため、代わりに回復キーを使用する必要があります。