Windows で FIPS 準拠ポリシーが設定されている場合、Windows BitLocker の回復パスワードは使用できません
この記事では、Windows BitLocker の回復パスワードが Windows で FIPS に準拠していないために発生する問題について説明します。
適用対象: Windows 7 Service Pack 1、Windows Server 2008 R2
元の KB 番号: 947249
概要
Windows BitLocker ドライブ暗号化の回復パスワードと共に使用されるキー派生アルゴリズムは、Windows の連邦情報処理標準 (FIPS) に準拠していません。 そのため、[システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する] 設定が有効になっていると、次の問題が発生 グループ ポリシーする可能性があります。
問題 1
コマンド プロンプトで回復パスワードを手動で追加すると、次のエラー メッセージが表示されます。
数値パスワードは追加されませんでした。 コンピューターの FIPS グループ ポリシー設定により、回復パスワードの作成が禁止されます。
問題 2
BitLocker 回復パスワードが必要なドライブを暗号化しようとすると、想定どおりにドライブを暗号化できません。 さらに、以下のエラー メッセージが表示されます。
ディスクを暗号化できません。 ポリシーには、FIPS アルゴリズムの使用に関する現在のセキュリティ ポリシーでは許可されていないパスワードが必要です。
問題 3
ドライブを暗号化すると、回復キーが作成されますが、キー保護機能として回復パスワードは作成されません。
問題 4
回復パスワードは Active Directory ディレクトリ サービスにアーカイブされません。
詳細
BitLocker 回復パスワードの桁数は 48 桁です。 このパスワードは、FIPS に準拠していないキー派生アルゴリズムで使用されます。 そのため、[システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠のアルゴリズムを使用する グループ ポリシー] 設定を有効にした場合、回復パスワードを使用してドライブを作成またはロック解除することはできません。 一方、BitLocker 回復キーは、キー派生アルゴリズムを実行する必要のない AES キーであり、FIPS に準拠しています。 したがって、回復キーは、このグループ ポリシー設定の影響を受けません。
[システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する] グループ ポリシー 設定を無効にするには、次の手順に従います。
[スタート] をクリックし、[検索の開始] ボックスに「gpedit.msc」と入力し、[OK] をクリックします。
注:
管理者のパスワードを要求するダイアログ ボックスが表示された場合はパスワードを入力して [OK] をクリックし、確認を要求するダイアログ ボックスが表示された場合は [続行] をクリックします。
[ コンピューターの構成] を展開し 、[Windows 設定] を展開し 、[セキュリティ設定] を展開し、[ ローカル ポリシー] を展開して、[ セキュリティ オプション] をクリックします。
詳細ウィンドウで、[ システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する] をダブルクリックし、[ 無効] をクリックし、[OK] をクリック します。
注:
このグループ ポリシー設定は、管理者がドメイン コントローラーから自動的に適用するように構成できます。 この状況では、この設定をローカルで無効にすることはできません。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示