この記事では、Windows BitLocker の回復パスワードが Windows で FIPS に準拠していないために発生する問題について説明します。
適用対象: Windows 7 Service Pack 1、Windows Server 2008 R2
元の KB 番号: 947249
はじめに
Windows BitLocker ドライブ暗号化の回復パスワードと共に使用されるキー派生アルゴリズムは、Windows の Federal Information Processing Standards (FIPS) に準拠していません。 そのため、 System 暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する グループ ポリシー設定が有効になっている場合に、次の問題が発生する可能性があります。
問題 1
コマンド プロンプトで回復パスワードを手動で追加すると、次のエラー メッセージが表示されます。
数値パスワードは追加されませんでした。 コンピューターの FIPS グループ ポリシー設定により、回復パスワードの作成が禁止されます。
問題 2
BitLocker 回復パスワードが必要なドライブを暗号化しようとすると、ドライブを想定どおりに暗号化することはできません。 さらに、以下のエラー メッセージが表示されます。
ディスクを暗号化できません。 ポリシーには、FIPS アルゴリズムの使用に関する現在のセキュリティ ポリシーでは許可されていないパスワードが必要です。
問題 3
ドライブを暗号化すると回復キーが作成されますが、キー保護機能として回復パスワードは作成されません。
問題 4
回復パスワードは、Active Directory ディレクトリ サービスにアーカイブされません。
詳細
BitLocker 回復パスワードの桁数は 48 桁です。 このパスワードは、FIPS に準拠していないキー派生アルゴリズムで使用されます。 そのため、[システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する] グループ ポリシー設定を有効にした場合、回復パスワードを使用してドライブを作成またはロック解除することはできません。 これに対し、BitLocker 回復キーは、キー派生アルゴリズムを実行する必要のない AES キーであり、FIPS に準拠しています。 そのため、回復キーは、このグループ ポリシー設定の影響を受けられません。
[システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する] グループ ポリシー設定を無効にするには、次の手順に従います。
[Start] をクリックし、[Start Search] ボックスに「gpedit.msc」と入力し、OK をクリックします。
Note
管理者のパスワードを要求するダイアログ ボックスが表示された場合はパスワードを入力して [OK] をクリックし、確認を要求するダイアログ ボックスが表示された場合は [続行] をクリックします。
Computer の構成を展開Windows の設定を展開し、セキュリティ設定を展開ローカル ポリシーを展開し、セキュリティ オプションをクリックします。
詳細ウィンドウで、[ システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用しますDisable] をクリックし、[ OK] をクリックします。
Note
このグループ ポリシー設定は、管理者がドメイン コントローラーから自動的に適用するように構成できます。 この状況では、この設定をローカルで無効にすることはできません。