BitLocker FAQ

はい、BitLocker はオペレーティング システム ドライブに対する多要素認証をサポートしています。 TPM バージョン 1.2 以降のコンピューターで BitLocker が有効になっている場合は、TPM 保護で追加の認証形式を使用できます。

BitLocker を実行するために 2 つのパーティションが必要になるのは、起動前の認証およびシステムの整合性の検証は、暗号化されたオペレーティング システム ドライブとは別のパーティションで行う必要があるためです。 この構成により、オペレーティング システムおよび暗号化されたドライブ内の情報を保護できます。

TPM の状態は、Security Center>デバイス> セキュリティ セキュリティプロセッサの詳細Windows Defender確認できます。

はい。BIOS または UEFI ファームウェアがブート環境の USB フラッシュ ドライブから読み取ることができる場合は、TPM を使用しないオペレーティング システム ドライブで BitLocker を有効にすることができます。 BitLocker は、BitLocker の独自のボリューム マスター キーがコンピューターの TPM またはそのコンピューターの BitLocker スタートアップ キーを含む USB フラッシュ ドライブによって最初に解放されるまで、保護されたドライブのロックを解除しません。 ただし、TPM を持たないコンピューターでは、BitLocker でも提供できるシステム整合性検証を使用できません。 ブート プロセス中に USB デバイスから読み取る機能がコンピューターにあるかどうかを判断するには、BitLocker のセットアップ プロセスの一部として、BitLocker システム チェックを使用します。 このシステム チェックは、コンピューターが適切なタイミングで USB デバイスから正常に読み取れること、および BitLocker の他の要件をコンピューターが満たしていることを、テストして確認します。

コンピューターの製造元に問い合わせて、Trusted Computing Group (TCG) に準拠し以下の要件を満たす BIOS または UEFI ブート ファームウェアを要求してください。

• クライアント コンピューターの TCG 標準に準拠しています
• 悪意のある BIOS またはブート ファームウェアがコンピューターにインストールされるのを防ぐのに役立つセキュリティで保護された更新メカニズムがあります

オペレーティング システムと固定データ ドライブで BitLocker の構成をオン、オフ、または変更するには、ローカル の Administrators グループへのメンバーシップが必要です。 標準ユーザーは、リムーバブル データ ドライブでの BitLocker の有効化、無効化、または構成の変更が可能です。

コンピューターのスタートアップ オプションは、CD/DVD ドライブや USB ドライブなどの他のドライブの前に、最初にハード ディスク ドライブをブート順に構成する必要があります。 ハード ディスクが最初ではなく、コンピューターが通常ハード ディスクから起動する場合は、起動中にリムーバブル メディアが見つかったときに、ブート順序の変更が検出または想定される場合があります。 通常、ブート順序は BitLocker によって検証されるシステム測定に影響し、ブート順序の変更によって BitLocker 回復キーのプロンプトが表示されます。 同じ理由で、ドッキング ステーションでノート PC を使用する場合は、ノート PC がドッキングとドッキング解除の両方で、ハード ディスク ドライブが最初にブート順になっていることを確認します。

はい、できます。

暗号化解除では、BitLocker による保護が削除され、ドライブの暗号化が完全に解除されます。

中断では、データは暗号化されたままですが、BitLocker のボリューム マスター キーがクリア キーで暗号化されます。 クリア キーは、暗号化も保護もされずにディスク ドライブに格納される暗号化キーです。 このキーを暗号化しないで格納することにより、 [中断] オプションを使用すると、ドライブ全体を非暗号化してから再暗号化する時間とコストをかけずに、コンピューターを変更したりアップグレードしたりできます。 変更を行って BitLocker を再び有効にすると、BitLocker はアップグレードの過程で変更された測定対象コンポーネントの新しい値に暗号化キーを再シールし、ボリューム マスター キーが変更され、保護機能が一致するように更新されて、クリア キーが消去されます。

Microsoft からの更新プログラム (Windows 品質更新プログラムと機能更新プログラムなど) を適用するために、BitLocker で必要なユーザー操作はありません。 次のような Microsoft 以外のソフトウェア更新プログラムの場合、ユーザーは BitLocker を中断する必要があります。

• これらの更新プログラムが Windows API の外部で TPM をクリアする場合は、一部の TPM ファームウェアが更新されます。 すべての TPM ファームウェアの更新によって TPM がクリアされるわけではありません。 TPM ファームウェア更新プログラムが Windows API を使用して TPM をクリアする場合、BitLocker は自動的に中断されるため、ユーザーは BitLocker を中断する必要はありません。 BitLocker 保護を一時停止しない場合は、ユーザーが TPM ファームウェアの更新プログラムをテストすることをお勧めします
• UEFI\BIOS 構成を変更する Microsoft 以外のアプリケーション更新プログラム
• セキュリティで保護されたブート データベースに対する手動または Microsoft 以外の更新プログラム (BitLocker が整合性検証にセキュア ブートを使用している場合のみ)
• UEFI\BIOS ファームウェア、追加の UEFI ドライバーのインストール、または Windows 更新メカニズムを使用しない UEFI アプリケーションへの更新 (更新中に BitLocker が整合性検証にセキュア ブートを使用しない場合のみ)
• コマンド ライン manage-bde.exe -protectors -get C:で整合性検証にセキュア ブートを使用する場合は、BitLocker を確認できます。 整合性検証用のセキュア ブートが使用されている場合は、整合性検証にセキュア ブートを使用すると報告されます

はい。展開と構成 BitLocker は、Windows PowerShellまたはmanage-bde.exeコマンドを使用して自動化できます。 一般的な BitLocker 管理コマンドの詳細については、「BitLocker 操作ガイド」をチェック。

通常、パフォーマンスのオーバーヘッドは小さく、多くの場合、1 桁の割合で発生します。これは、操作する必要があるストレージ操作のスループットに対して相対的です。

BitLocker 暗号化はバックグラウンドで行われますが、ユーザーは引き続きシステムを使用できますが、暗号化時間は、暗号化されているドライブの種類、ドライブのサイズ、ドライブの速度によって異なります。 大きなドライブを暗号化する場合は、ドライブが使用されていない時間帯に暗号化をスケジュールすることが必要になる場合があります。

BitLocker を有効にすると、BitLocker を設定してドライブ全体またはドライブ上の使用済み領域のみを暗号化することもできます。 新しいハード ドライブでは、使用領域のみを暗号化すると、ドライブ全体を暗号化するよりかなり時間を短縮できる可能性があります。 この暗号化オプションを選択すると、BitLocker はデータが保存されるときに自動的にデータを暗号化するので、暗号化されていないデータが格納されることはなくなります。

コンピューターの電源が切られるか、休止状態になると、BitLocker の暗号化および暗号化解除プロセスは、Windows が次に起動したときに、前回停止したところから処理を再開します。 BitLocker による暗号化または暗号化解除の再開は、電源が突然使用できない場合でも当てはまります。

いいえ。BitLocker は、データの読み取りと書き込み時にドライブ全体を暗号化および暗号化解除しません。 BitLocker で保護されたドライブ内の暗号化されたセクターは、システムの読み取り操作から要求されたときにのみ復号化されます。 ドライブに書き込まれるブロックは、システムが物理ディスクに書き込む前に暗号化されます。 BitLocker で保護されたドライブに暗号化されていないデータが格納されることはありません。

BitLocker で保護されたコンピューターがデータを書き込む前に、データ ドライブを BitLocker で保護するようにポリシー設定を構成できます。 詳細については、「 BitLocker ポリシー設定」を参照してください。 これらのポリシー設定を有効にすると、BitLocker で保護されたオペレーティング システムは、BitLocker によって保護されていないデータ ドライブを読み取り専用としてマウントします。

BitLocker を使用すると、ユーザーは自分のデータだけを暗号化できます。 ドライブを暗号化する最も安全な方法ではありませんが、このオプションを使用すると、暗号化する必要があるデータの量に応じて、暗号化時間を 99% 以上短縮できます。 詳細については、「 使用済みディスク領域のみの暗号化」を参照してください。

次の種類のシステム変更では、整合性チェックが失敗し、保護されたオペレーティング システム ドライブを暗号化解除するための BitLocker キーを TPM がリリースしない可能性があります。

• BitLocker で保護されたドライブを新しいコンピューターに移動する
• 新しい TPM を使用した新しいマザーボードのインストール
• TPM のオフ、無効化、またはクリア
• ブート構成設定の変更
• BIOS、UEFI ファームウェア、マスター ブート レコード、ブート セクター、ブート マネージャー、オプション ROM、またはその他の初期ブート コンポーネントまたはブート構成データの変更

BitLocker は多数の攻撃からコンピューターを保護するように設計されているため、BitLocker が回復モードで起動する理由は多数あります。 次に、例を示します。

• BIOS ブート順序を変更して、ハード ドライブの前に別のドライブを起動する
• コンピューターに新しいカードを挿入するなど、ハードウェアの追加または削除
• ポータブル コンピューター上のスマート バッテリーの充電を取り外す、挿入する、または完全に使い果たす

BitLocker での回復は、USB フラッシュ ドライブに保存されている回復キーまたは回復パスワードから導出される暗号化キーを使用した、ボリューム マスター キーのコピーの暗号化解除で構成されます。 TPM は復旧シナリオには関係ないため、TPM がブート コンポーネントの検証に失敗した場合、誤動作が発生した場合、または削除された場合でも復旧できます。

Windows より前に Windows OS 以外が起動した場合、またはセキュア ブートがデバイスで使用できない場合は、無効になっているか、ハードウェアでサポートされていないため、BitLocker を PCR 7 にバインドできないようにすることができます。

はい。BitLocker が有効になっている場合は、同じコンピューター上で複数のハード ディスクをスワップできますが、ハード ディスクが同じコンピューター上で BitLocker で保護されている場合に限られます。 BitLocker キーは、TPM とオペレーティング システム ドライブに固有です。 ディスク障害が発生した場合にバックアップ オペレーティング システムまたはデータ ドライブを準備する必要がある場合は、それらが正しい TPM と一致していることを確認します。 また、オペレーティング システムごとに異なるハード ドライブを構成し、異なる認証方法 (TPM 専用のハード ドライブと TPM+PIN を使用するハード ドライブなど) で BitLocker を有効にしても、競合はありません。

はい。ドライブがデータ ドライブの場合は、パスワードまたはスマート カードを使用して、BitLocker Drive Encryption コントロール パネル 項目からロックを解除できます。 データ ドライブが自動ロック解除専用に構成されている場合は、回復キーを使用してロックを解除する必要があります。 暗号化されたハード ディスクは、データ回復エージェント (構成されている場合) または回復キーを使用してロックを解除できます。

一部のドライブは BitLocker で暗号化できません。 ドライブがダイナミック ディスクであるか、ドライブがシステム パーティションとして指定されている場合、ドライブを暗号化できない理由には、ディスク サイズが不足していること、互換性のないファイル システムが含まれます。 既定では、システム ドライブ (またはシステム パーティション) は表示されません。 ただし、カスタム インストール プロセスのためにオペレーティング システムがインストールされたときに隠しドライブとして作成されていない場合は、そのドライブが表示される可能性がありますが、暗号化できません。

任意の数の内蔵固定データ ドライブを BitLocker で保護できます。 一部のバージョンでは、ATA ベースおよび SATA ベースの直接接続された記憶装置もサポートされます。

リムーバブル データ ドライブは、パスワードまたはスマート カードを使用してロックを解除できます。 SID 保護機能は、ユーザー ドメインの資格情報を使用してドライブのロックを解除するように構成することもできます。 暗号化が開始されると、特定のユーザー アカウントの特定のコンピューターでドライブのロックを自動的に解除することもできます。 システム管理者は、パスワードの複雑さや最小長の要件など、ユーザーが使用できるオプションを構成できます。 SID 保護機能を使用してロックを解除するには、 を使用します manage-bde.exe。

Manage-bde.exe -protectors -add e: -sid domain\username

BitLocker によって生成および使用できる複数のキーがあります。 必要なキーもあれば、必要なセキュリティレベルに応じて使用できるオプションの保護機能もあります。

TPM 所有者パスワード

TPM バージョン 1.2 のコンピューターで BitLocker を有効にする前に、TPM を初期化する必要があります。 初期化プロセスでは、TPM 所有者パスワード (TPM に設定されたパスワード) が生成されます。 TPM を有効または無効にしたり、TPM ロックアウトをリセットしたりする場合など、TPM の状態を変更するには、TPM 所有者パスワードを指定できる必要があります。

回復パスワードと回復キー

BitLocker を設定するときは、指定したロック解除方法を使用できない場合 (TPM でブート コンポーネントを検証できない場合、個人識別番号 (PIN) が忘れられた場合、パスワードを忘れた場合など) に、BitLocker で保護されたドライブへのアクセスを回復する方法を選択する必要があります。 このような状況では、ドライブ上の暗号化されたデータのロックを解除するには、回復キーまたは回復パスワードを指定できる必要があります。 回復情報を指定する場合は、次のいずれかの形式を使用できます。

• 48 桁の数字で構成される回復パスワードを 8 つのグループに分割します。 回復中に、キーボードのファンクション キーを使用して、BitLocker 回復コンソールにこのパスワードを入力する必要があります
• BitLocker 回復コンソールによって直接読み取られた USB フラッシュ ドライブ上のキー ファイル。 回復中に、このUSBデバイスを挿入する必要があります

PIN と拡張 PIN

TPM を使用してセキュリティレベルを高める場合は、個人識別番号 (PIN) を使用して BitLocker を構成できます。 PIN は、コンピューターの起動または休止状態からの再開のたびに入力する必要があるユーザーが作成した値です。 PIN は、スタートアップ ポリシー設定の 最小 PIN 長の構成 で指定された 4 から 20 桁の数字で構成でき、入力された Unicode 文字の 256 ビット ハッシュとして内部的に格納されます。 この値はユーザーに表示されません。 PIN は、TPM 認証と組み合わせて別の認証要素を提供するために使用されます。
TPM を使用してさらに高いレベルのセキュリティを実現するために、強化された PIN を使用するように BitLocker を構成できます。 拡張 PIN は、数値セットに加えて完全なキーボード文字セットを使用して PIN を使用し、PIN の組み合わせを可能にし、長さは 4 から 20 文字です。 拡張 PIN を使用するには、ドライブに PIN を追加する前に、スタートアップ ポリシーの [拡張 PIN を許可する] 設定を有効にする必要があります。 このポリシーを有効にすると、作成されたすべての PIN でフル キーボード文字を利用できます。

スタートアップ キー

スタートアップ キーの構成は、TPM を使用してより高いレベルのセキュリティを有効にするもう 1 つの方法です。 スタートアップ キーは USB フラッシュ ドライブに格納されているキーであり、コンピューターが起動するたびに USB フラッシュ ドライブを挿入する必要があります。 スタートアップ キーは、TPM 認証と組み合わせて別の認証要素を提供するために使用されます。 USB フラッシュ ドライブをスタートアップ キーとして使用するには、NTFS、FAT、または FAT32 ファイル システムを使用して USB フラッシュ ドライブをフォーマットする必要があります。

オペレーティング システム ドライブまたは固定データ ドライブの回復パスワードと回復キーは、フォルダーに保存したり、1 つ以上の USB デバイスに保存したり、Microsoft アカウントに保存したり、印刷したりできます。

リムーバブル データ ドライブの場合、回復パスワードと回復キーはフォルダーに保存したり、Microsoft アカウントに保存したり、印刷したりできます。 既定では、リムーバブル ドライブの回復キーをリムーバブル ドライブに格納することはできません。

ドメイン管理者は、回復パスワードを自動的に生成し、BitLocker で保護されたドライブのActive Directory Domain Services (AD DS) またはMicrosoft Entra IDに格納するようにポリシー設定を構成することもできます。

Manage-bde.exeコマンド ライン ツールを使用すると、TPM のみの認証モードを多要素認証モードに置き換えることができます。 たとえば、TPM 認証のみで BitLocker が有効になっていて、PIN 認証を追加する必要がある場合は、管理者特権のコマンド プロンプトから次のコマンドを使用し、 4 から 20 桁の数値 PIN を目的の数値 PIN に置き換えます。

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Windows ハードウェア互換性プログラムの要件を満たしている新しいハードウェアでは、リスク緩和策としての PIN の重要度は低くなり、TPM のみの保護機能をデバイス ロックアウトなどのポリシーと組み合わせれば十分と考えられます。 たとえば、Surface ProとSurface Bookには攻撃する外部 DMA ポートがありません。 PIN が必要な古いハードウェアの場合は、文字や句読点などの数値以外の文字を許可する 拡張 PIN を 有効にし、リスク許容度とコンピューター上の TPM で使用できるハードウェアのハンマリング防止機能に基づいて PIN の長さを設定することをお勧めします。

BitLocker は、必要な認証がない場合は暗号化されたドライブを回復不能にするように設計されています。 回復モードでは、暗号化されたドライブのロックを解除するには回復パスワードまたは回復キーが必要です。

USB フラッシュ ドライブをスタートアップ キーと回復キーのストレージの両方として使用することは技術的には可能ですが、1 つの USB フラッシュ ドライブを使用して両方のキーを格納することはベスト プラクティスではありません。 起動キーを含む USB フラッシュ ドライブが紛失または盗難された場合、回復キーも失われます。 さらに、このキーを挿入すると、TPM 測定ファイルが変更された場合でも、回復キーからコンピューターが自動的に起動し、TPM のシステム整合性チェックが回避されます。

はい。コンピューターのスタートアップ キーは、複数の USB フラッシュ ドライブに保存できます。 BitLocker で保護されたドライブを右クリックし、[ BitLocker の管理 ] を選択すると、必要に応じて追加の USB フラッシュ ドライブに回復キーを保存するオプションが提供されます。

はい。異なるコンピューターの BitLocker スタートアップ キーを同じ USB フラッシュ ドライブに保存できます。

同じコンピューターに対して異なるスタートアップ キーを生成するには、スクリプトを使用します。 ただし、TPM を備えているコンピューターの場合は、異なるスタートアップ キーを作成すると、BitLocker は TPM のシステム整合性チェックを使用しなくなります。

複数の PIN の組み合わせを生成することはできません。

原データは、ボリューム全体の暗号化キーで暗号化された後、ボリューム マスター キーで暗号化されます。 ボリューム マスター キーは、認証 (つまり、キー プロテクターまたは TPM) と回復シナリオに応じて、いくつかの可能な方法のいずれかで暗号化されます。

ボリューム全体の暗号化キーは、ボリューム マスター キーによって暗号化されて、暗号化されたドライブに保存されます。 ボリューム マスター キーは、適切なキー保護機能によって暗号化されて、暗号化されたドライブに保存されます。 BitLocker が中断された場合、ボリューム マスター キーの暗号化に使用されるクリア キーも、暗号化されたボリューム マスター キーと共に、暗号化されたドライブに保存されます。

このストレージ プロセスにより、BitLocker が無効になっていない限り、ボリューム マスター キーは暗号化されず、保護されます。 キーは、冗長性のためにドライブの他の 2 つの場所にも保存されます。 キーは、ブート マネージャーで読み取って処理できます。

F1 ～ F10 キーは、すべてのコンピューターおよびすべての言語のプリブート環境で使用できる、ユニバーサルにマップされるスキャン コードです。 数値キー 0 から 9 は、すべてのキーボードのプレブート環境では使用できません。

拡張 PIN を使用する場合、ユーザーは、BitLocker のセットアップ プロセス中にオプションのシステム チェックを実行して、プリブート環境で PIN を正しく入力できることを確認する必要があります。

攻撃者がブルート フォース攻撃を実行することで、個人識別番号 (PIN) が検出される可能性があります。 ブルート フォース攻撃とは、正しい PIN が見つかるまで自動ツールで異なる PIN を試す方法です。 BitLocker で保護されたコンピューターの場合、この種類の攻撃 (辞書攻撃とも呼ばれます) では、攻撃者がコンピューターに物理的にアクセスできる必要があります。

TPM には、この種の攻撃を検出して対処する機能が組み込まれています。 製造元によって異なる PIN と攻撃の軽減策がサポートされる場合があるため、TPM の製造元に問い合わせて、コンピューターの TPM が PIN ブルート フォース攻撃を軽減する方法を確認してください。 TPM の製造元が決定されたら、製造元に問い合わせて TPM のベンダー固有の情報を収集します。 ほとんどの製造元は、PIN 認証失敗の回数を使用して、PIN インターフェイスのロックアウト時間を指数関数的に増やします。 ただし、失敗カウンターを減らしたりリセットしたりするタイミングと方法に関するポリシーは、製造元ごとに異なります。

TPM の製造元は、Security Center>デバイス> セキュリティ セキュリティプロセッサの詳細Windows Defenderで確認できます。

次の質問は、TPM の製造元に辞書攻撃軽減メカニズムの設計について質問するときに役立ちます。

• 承認の試行が何回失敗すると、ロックアウトが発生しますか。
• 試行失敗回数および他の関連パラメーターに基づいてロックアウトの時間を決定するためのアルゴリズムはどのようなものですか。
• 失敗回数およびロックアウト時間が減らされたりリセットされたりするのは、どのような操作が行われたときですか。

最小個人識別番号 (PIN) の長さは、[スタートアップ グループ ポリシーの最小 PIN 長を構成する] 設定を使用して構成でき、[スタートアップに拡張 PIN を許可する] ポリシー設定を有効にすることで英数字 PIN の使用を許可します。 PIN の複雑さは、ポリシー設定では必要ありません。

詳細については、「 BitLocker ポリシー設定」を参照してください。

BitLocker は SHA-256 を使用してユーザー指定の個人識別番号 (PIN) をハッシュし、ハッシュの最初の 160 ビットは、ボリューム マスター キーをシールするために TPM に送信される承認データとして使用されます。 これで、ボリューム マスター キーが TPM と PIN の両方によって保護されるようになりました。 ボリューム マスター キーの封印を解除するには、コンピューターが再起動または休止状態から再開するたびに PIN を入力する必要があります。

BitLocker To Go は、リムーバブル データ ドライブでの BitLocker ドライブ暗号化です。 この機能には、次の暗号化が含まれます。

• USB フラッシュ ドライブ
• SD カード
• 外付けハード ディスク ドライブ
• NTFS、FAT16、FAT32、または exFAT ファイル システムを使用してフォーマットされたその他のドライブ。

ドライブのパーティション分割は 、BitLocker ドライブ暗号化パーティション分割の要件を満たしている必要があります。

BitLocker と同様に、BitLocker To Go によって暗号化されたドライブは、別のコンピューターのパスワードまたはスマート カードを使用して開くことができます。 コントロール パネルで、BitLocker ドライブ暗号化を使用します。

バックアップを適用するためにポリシー設定が適用される前にドライブで BitLocker が有効になっている場合、コンピューターがドメインに参加したとき、またはポリシー設定が後で適用された場合、回復情報は自動的に AD DS にバックアップされません。 ただし、ポリシー設定 BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択し、BitLocker で保護された固定ドライブを回復する方法を選択し、BitLocker で保護されたリムーバブル ドライブを回復する方法を選択して、BitLocker を有効にする前にコンピューターをドメインに接続して、organization内の BitLocker で保護されたドライブの回復情報を確保する必要がありますは AD DS にバックアップされます。

回復パスワードを AD DS またはMicrosoft Entra IDにバックアップする方法の詳細については、BitLocker 操作ガイドを参照してください。

はい。バックアップの成功または失敗を示すイベント ログ エントリがクライアント コンピューターに記録されます。 ただし、イベント ログ エントリが「成功」を示している場合でも、その後で情報が AD DS から削除されている可能性、または Active Directory の情報でドライブをロック解除できないように (たとえば、回復パスワード キー保護機能を削除することで) BitLocker が再構成されている可能性があります。 さらに、ログ エントリがなりすましされる可能性もあります。

最終的に、本物のバックアップが AD DS に存在するかどうかを判断するには、BitLocker パスワード ビューアー ツールを使用して、ドメイン管理者の資格情報で AD DS を照会する必要があります。

いいえ、そうではありません。 設計上、BitLocker 回復パスワード エントリは AD DS から削除されません。 そのため、ドライブごとに複数のパスワードが表示される場合があります。 最新のパスワードを見極めるには、オブジェクトの日付を確認してください。

BitLocker セットアップ ウィザードの実行時にドメイン コントローラーに到達できない場合など、バックアップが最初に失敗した場合、BitLocker は AD DS への回復情報のバックアップを再試行しません。

管理者が[BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する]、[BitLocker で保護された固定データ ドライブを回復する方法を選択する]、[BitLocker で保護されたリムーバブル データ ドライブを回復する方法を選択する]、[BitLocker で保護されたリムーバブル データ ドライブを回復する方法を選択する] の [AD DS に回復情報が保存されるまで BitLocker を有効にしない] を選択すると(オペレーティング システム | 固定データ | リムーバブル データ) ドライブのチェックボックスポリシー設定では、コンピューターがドメインに接続されていて、AD DS への BitLocker 回復情報のバックアップが成功しない限り、ユーザーは BitLocker を有効にできません。 バックアップが失敗した場合にこれらの設定を構成すると、BitLocker を有効にできず、管理者がorganization内の BitLocker で保護されたドライブを確実に回復できるようになります。

詳細については、「 BitLocker ポリシー設定」を参照してください。

管理者がこれらのチェックボックスをクリアすると、管理者は、回復情報を AD DS に正常にバックアップせずにドライブを BitLocker で保護することを許可します。ただし、障害が発生した場合、BitLocker はバックアップを自動的に再試行しません。 代わりに、管理者は、「コンピューターが ドメインに参加する前にコンピューターで BitLocker が有効になっている場合の 動作」で説明したように、バックアップ スクリプトを作成して、接続が復元された後に情報をキャプチャできます。

BitLocker は、128 ビットまたは 256 ビットの構成可能なキー長を持つ暗号化アルゴリズムとして Advanced Encryption Standard (AES) を使用します。 既定の暗号化設定は AES-128 ですが、オプションはポリシー設定を使用して構成できます。

オペレーティング システム ドライブでの BitLocker 構成の推奨される方法は、TPM バージョン 1.2 以降のコンピューターに BitLocker を実装することです。

オペレーティング システム ドライブ上の BitLocker の基本構成により、休止状態モードのセキュリティが強化されます。 スリープ モードでは、保護されていないデータが RAM に残っているため、コンピューターは直接メモリ アクセス攻撃に対して脆弱です。 そのため、セキュリティを強化するために、スリープ モードを無効にすることをお勧めします。 スタートアップ認証は、 ポリシー設定を使用して構成できます。

ほとんどのオペレーティング システムは、共有メモリ領域を使用し、物理メモリの管理をオペレーティング システムに依存します。 TPM とはハードウェア コンポーネントであり、処理命令に独自の内部ファームウェアおよび論理回路を使用して、外部ソフトウェアの脆弱性からそれ自体を保護します。 TPM を攻撃するには、コンピューターに物理的にアクセスする必要があります。 さらに、ハードウェアを攻撃するために必要なツールとスキルは、多くの場合、より高価であり、通常はソフトウェアの攻撃に使用されるツールほど利用できません。 そして、各 TPM はそれが含まれるコンピューターに固有であり、複数の TPM コンピューターを攻撃することは難しく、時間がかかります。

BitLocker ネットワーク ロック解除を使用すると、ドメイン環境で TPM+PIN 保護方法を使用する BitLocker 対応クライアントとサーバーの管理が容易になります。 有線企業ネットワークに接続されているコンピューターを再起動するとき、ネットワーク ロック解除により PIN の入力プロンプトを省略できます。 この機能は、第 2 の認証方法として Windows 展開サービス サーバーによって提供される信頼されたキーを使用して、BitLocker で保護されたオペレーティング システム ボリュームを自動的にロック解除します。

ネットワーク ロック解除を使用するには、コンピューター用に PIN を構成する必要があります。 コンピューターがネットワークに接続されていない場合は、ロックを解除するために PIN を指定する必要があります。

BitLocker ネットワーク ロック解除には、クライアント コンピューター、Windows 展開サービス、および使用する前に満たす必要があるドメイン コントローラーの両方に対するソフトウェアとハードウェアの要件があります。

ネットワーク ロック解除では、TPM 保護機能と、ネットワークまたは PIN によって提供される保護機能の 2 つの保護機能が使用されます。 自動ロック解除では、TPM に格納されている 1 つの保護機能が使用されます。 コンピューターがキー 保護機能なしでネットワークに参加している場合は、PIN の入力を求めるメッセージが表示されます。 PIN を使用できない場合は、ネットワークに接続できない場合は、回復キーを使用してコンピューターのロックを解除する必要があります。

詳しくは、「 BitLocker: ネットワーク ロック解除を有効にする方法」をご覧ください。

はい。暗号化ファイル システム (EFS) を使用して、BitLocker で保護されたドライブ上のファイルを暗号化できます。 BitLocker は、オペレーティング システム ドライブ全体をオフライン攻撃から保護するのに役立ちますが、EFS では、同じコンピューターの複数のユーザー間でセキュリティを分離するための追加のユーザー ベースのファイル レベルの暗号化を提供できます。 EFS を Windows で使用して、BitLocker によって暗号化されていない他のドライブ上のファイルを暗号化することもできます。 EFS のルート シークレットは、既定でオペレーティング システム ドライブに格納されます。そのため、オペレーティング システム ドライブに対して BitLocker が有効になっている場合、他のドライブ上の EFS によって暗号化されたデータも BitLocker によって間接的に保護されます。

はい。 ただし、BitLocker を有効にする前にデバッガーをオンにする必要があります。 デバッガーをオンにすると、TPM への封印時に正しい測定値が計算され、コンピューターが正常に起動できるようになります。 BitLocker の使用時にデバッグをオンまたはオフにする必要がある場合は、コンピューターを回復モードにしないように、まず BitLocker を中断してください。

BitLocker は記憶域ドライバー スタックを備えており、BitLocker が有効になっているとメモリ ダンプが暗号化されます。

BitLocker では、起動前認証用のスマート カードはサポートされていません。 ファームウェアでのスマート カードサポートの業界標準は 1 つはなく、ほとんどのコンピューターではスマート カードのファームウェア サポートが実装されていないか、特定のスマート カードとリーダーのみをサポートします。 この標準化の欠如により、サポートが困難になります。

Microsoft は Microsoft 以外の TPM ドライバーをサポートしていないため、BitLocker での使用を強くお勧めします。 BitLocker で Microsoft 以外の TPM ドライバーを使用しようとすると、コンピューターに TPM が存在せず、BitLocker で TPM を使用できないという報告が BitLocker で発生する可能性があります。

オペレーティング システム ドライブが BitLocker で保護されているコンピューターでは、いくつかのセキュリティ、信頼性、および製品サポート上の理由からマスター ブート レコードを変更することはお勧めしません。 マスター ブート レコード (MBR) を変更すると、セキュリティ環境が変更され、コンピューターが正常に起動しなくなり、破損した MBR から回復する作業が複雑になる可能性があります。 Windows 以外のものが MBR を変更すると、コンピューターが強制的に回復モードになったり、完全に起動しなくなることがあります。

システム チェックは、コンピューターの BIOS または UEFI ファームウェアが BitLocker と互換性があり、TPM が正しく動作していることを確認するように設計されています。 システム チェックはいくつかの理由で失敗する可能性があります。

• コンピューターの BIOS または UEFI ファームウェアが USB フラッシュ ドライブを読み取ることができない
• コンピューターの BIOS、uEFI ファームウェア、またはブート メニューで読み取り USB フラッシュ ドライブが有効になっていない
• 複数の USB フラッシュ ドライブがコンピューターに挿入されている
• PIN が正しく入力されませんでした
• コンピューターの BIOS または UEFI ファームウェアは、ファンクション キー (F1 から F10) を使用して、プリブート環境で数字を入力することのみをサポートします
• コンピューターの再起動が完了する前に、スタートアップ キーが削除されました
• TPM が誤動作し、キーのシール解除に失敗する

一部のコンピューターでは、プリブート環境で USB フラッシュ ドライブを読み取ることはできません。 まず、BIOS または UEFI ファームウェアとブート設定をチェックして、USB ドライブの使用が有効になっていることを確認します。 有効になっていない場合は、BIOS または UEFI ファームウェアとブート設定で USB ドライブの使用を有効にしてから、USB フラッシュ ドライブから回復キーをもう一度読み取ります。 USB フラッシュ ドライブを読み取ることができない場合は、USB フラッシュ ドライブから回復キーを読み取ろうとするオペレーティング システムが存在するように、ハード ドライブを別のコンピューターにデータ ドライブとしてマウントする必要があります。 USB フラッシュ ドライブが破損または破損している場合は、回復パスワードを指定するか、AD DS にバックアップされた回復情報を使用する必要があります。 また、回復キーがプレブート環境で使用されている場合は、NTFS、FAT16、または FAT32 ファイル システムを使用してドライブの形式を確認します。

リムーバブル ドライブの場合、[ USB に保存] オプションは既定では表示されません。 オプションが使用できない場合は、システム管理者が回復キーの使用を許可していないことを意味します。

固定データ ドライブの自動ロック解除では、オペレーティング システム ドライブも BitLocker によって保護されている必要があります。 BitLocker で保護されたオペレーティング システム ドライブがないコンピューターを使用している場合、固定ドライブのロックを自動的に解除することはできません。 リムーバブル データ ドライブの場合は、Windows エクスプローラーでドライブを右クリックし、[BitLocker の管理] を選択することで、自動ロック解除を追加できます。 BitLocker がオンになったときに提供されたパスワードまたはスマート カード資格情報は、引き続き他のコンピューターでリムーバブル ドライブのロックを解除するために使用できます。

セーフ モードでは使用できる BitLocker の機能が限られています。 [BitLocker ドライブの暗号化] コントロール パネルの項目を使用して、BitLocker で保護されたドライブのロックおよび暗号化を解除できます。 Windows エクスプローラーから BitLocker オプションにアクセスするには、右クリックしてもセーフ モードでは使用できません。

固定データ ドライブとリムーバブル データ ドライブは、Manage-bde コマンド ライン ツールと -lock コマンドを使用してロックできます。

このコマンドの構文は次のとおりです。

manage-bde.exe <driveletter> -lock

このコマンド以外では、オペレーティング システムをシャットダウンして再起動したときにデータ ドライブがロックされます。 また、コンピューターからリムーバブル データ ドライブを取り外したときも、ドライブが自動的にロックされます。

はい。 ただし、BitLocker を有効にする前に作成されたシャドウ コピーは、ソフトウェアによって暗号化されたドライブで BitLocker を有効にすると自動的に削除されます。 ハードウェアで暗号化されたドライブが使用されている場合、シャドウ コピーは保持されます。

BitLocker は、環境 (物理または仮想) が Windows オペレーティング システムの要件を満たしている限り、ハードウェアの制限内で特定の物理マシンと同様に動作する必要があります。

• TPM の場合: はい、サポートされています。
• TPM なし: はい、(パスワード 保護機能付き) サポートされています。

BitLocker は、クラスターで使用される VHD など、データ ボリューム VHD でもサポートされています。

はい。環境が BitLocker のハードウェアとソフトウェアの要件を満たしている場合、BitLocker は仮想マシン (VM) で使用できます。