BitLocker FAQ

オペレーティング システム ドライブでは BitLocker はどのように動作しますか

BitLocker を使用すると、オペレーティング システム ドライブ上のすべてのユーザー ファイルとシステム ファイル (スワップ ファイルや休止状態ファイルを含む) を暗号化し、初期ブート コンポーネントとブート構成データの整合性を確認することで、紛失または盗難にあったコンピューターでの未承認のデータ アクセスを軽減できます。

固定データ ドライブおよびリムーバブル データ ドライブでは BitLocker はどのように動作しますか

BitLocker を使用して、データ ドライブの内容全体を暗号化できます。 グループ ポリシーを使用すると、コンピューターがドライブにデータを書き込む前に、ドライブで BitLocker を有効にする必要があります。 BitLocker は、データ ドライブのさまざまなロック解除方法で構成でき、データ ドライブでは複数のロック解除方法がサポートされています。

はい、BitLocker はオペレーティング システム ドライブに対する多要素認証をサポートしています。 TPM バージョン 1.2 以降のコンピューターで BitLocker が有効になっている場合は、TPM 保護で追加の認証形式を使用できます。

要件については、「システム要件」をご覧ください。

BitLocker を実行するために 2 つのパーティションが必要になるのは、起動前の認証およびシステムの整合性の検証は、暗号化されたオペレーティング システム ドライブとは別のパーティションで行う必要があるためです。 この構成により、オペレーティング システムおよび暗号化されたドライブ内の情報を保護できます。

BitLocker は TPM バージョン 1.2 以降をサポートします。 TPM 2.0 の BitLocker サポートには、デバイスの統合拡張ファームウェア インターフェイス (UEFI) が必要です。

バージョン 1803 Windows 10以降、SECURITY Center>デバイス セキュリティ>セキュリティ プロセッサの詳細Windows Defender TPM の状態を確認できます。 以前のバージョンの Windows では、TPM MMC コンソール (tpm.msc) を開き、[ 状態] 見出しの下を確認します。 Get-TPM** を PowerShell で実行して、現在のコンピューター上の TPM の詳細を取得することもできます。

はい。BIOS または UEFI ファームウェアがブート環境の USB フラッシュ ドライブから読み取ることができる場合は、TPM バージョン 1.2 以降を持たないオペレーティング システム ドライブで BitLocker を有効にすることができます。 BitLocker は、BitLocker の独自のボリューム マスター キーがコンピューターの TPM またはそのコンピューターの BitLocker スタートアップ キーを含む USB フラッシュ ドライブによって最初に解放されるまで、保護されたドライブのロックを解除しません。 ただし、TPM を持たないコンピューターでは、BitLocker でも提供できるシステム整合性検証を使用できません。 ブート プロセス中に USB デバイスから読み取る機能がコンピューターにあるかどうかを判断するには、BitLocker のセットアップ プロセスの一部として、BitLocker システム チェックを使用します。 このシステム チェックは、コンピューターが適切なタイミングで USB デバイスから正常に読み取れること、および BitLocker の他の要件をコンピューターが満たしていることを、テストして確認します。

コンピューターの製造元に問い合わせて、Trusted Computing Group (TCG) に準拠し以下の要件を満たす BIOS または UEFI ブート ファームウェアを要求してください。

• クライアント コンピューターの TCG 標準に準拠しています。
• 悪意のある BIOS またはブート ファームウェアがコンピューターにインストールされるのを防ぐセキュリティで保護された更新メカニズムを備えている。

オペレーティング システムおよび固定データ ドライブで BitLocker を有効または無効にしたり構成を変更したりするには、ローカルな Administrators グループのメンバーシップが必要です。 標準ユーザーは、リムーバブル データ ドライブでの BitLocker の有効化、無効化、または構成の変更が可能です。

コンピューターのスタートアップ オプションは、CD/DVD ドライブや USB ドライブなどの他のドライブの前に、最初にハード ディスク ドライブをブート順に構成する必要があります。 ハード ディスクが最初ではなく、コンピューターが通常ハード ディスクから起動する場合は、起動中にリムーバブル メディアが見つかったときに、ブート順序の変更が検出または想定される場合があります。 通常、ブート順序は BitLocker によって検証されるシステム測定に影響し、ブート順序の変更によって BitLocker 回復キーのプロンプトが表示されます。 同じ理由で、ドッキング ステーションでノート PC を使用する場合は、ノート PC がドッキングとドッキング解除の両方で、ハード ディスク ドライブが最初にブート順になっていることを確認します。

はい、できます。

暗号化解除では、BitLocker による保護が削除され、ドライブの暗号化が完全に解除されます。

中断では、データは暗号化されたままですが、BitLocker のボリューム マスター キーがクリア キーで暗号化されます。 クリア キーは、暗号化も保護もされずにディスク ドライブに格納される暗号化キーです。 このキーを暗号化しないで格納することにより、 [中断] オプションを使用すると、ドライブ全体を非暗号化してから再暗号化する時間とコストをかけずに、コンピューターを変更したりアップグレードしたりできます。 変更を行って BitLocker を再び有効にすると、BitLocker はアップグレードの過程で変更された測定対象コンポーネントの新しい値に暗号化キーを再シールし、ボリューム マスター キーが変更され、保護機能が一致するように更新されて、クリア キーが消去されます。

Microsoft からの更新プログラム (Windows 品質更新プログラムと機能更新プログラムなど) を適用するために、BitLocker で必要なユーザー操作はありません。 次のような Microsoft 以外のソフトウェア更新プログラムの場合、ユーザーは BitLocker を中断する必要があります。

• これらの更新プログラムが Windows API の外部で TPM をクリアする場合は、一部の TPM ファームウェアが更新されます。 すべての TPM ファームウェアの更新によって TPM がクリアされるわけではありません。 TPM ファームウェア更新プログラムが Windows API を使用して TPM をクリアする場合、BitLocker は自動的に中断されるため、ユーザーは BitLocker を中断する必要はありません。 ユーザーが BitLocker 保護を中断したくない場合は、TPM ファームウェアの更新プログラムをテストすることをお勧めします。
• UEFI\BIOS 構成を変更する Microsoft 以外のアプリケーション更新プログラム。
• ブート データベースをセキュリティで保護するための手動またはサードパーティの更新プログラム (BitLocker が整合性検証にセキュア ブートを使用している場合のみ)。
• UEFI\BIOS ファームウェア、追加の UEFI ドライバーのインストール、Windows 更新メカニズムを使用しない UEFI アプリケーションへの更新 (更新中に BitLocker が整合性検証にセキュア ブートを使用しない場合のみ)。
• コマンド ライン manage-bde.exe -protectors -get C:で整合性検証にセキュア ブートを使用する場合は、BitLocker を確認できます。 整合性検証用のセキュア ブートが使用されている場合は、セキュリティ で保護されたブートを使用して整合性検証を行うというレポートが表示されます。

はい。BitLocker と TPM の両方のデプロイと構成は、WMI または Windows PowerShell スクリプトを使用して自動化できます。 自動化を実装するために選択される方法は、環境によって異なります。 Manage-bde.exe を使用して、BitLocker をローカルまたはリモートで構成することもできます。 BitLocker WMI プロバイダーを使用するスクリプトの作成の詳細については、 BitLocker ドライブ暗号化プロバイダーに関するページを参照してください。 BitLocker ドライブ暗号化での Windows PowerShell コマンドレットの使用に関する詳細については、 Windows PowerShell での BitLocker コマンドレットに関するページを参照してください。

はい、できます。

通常、パフォーマンスのオーバーヘッドは小さく、多くの場合、1 桁の割合で発生します。これは、操作する必要があるストレージ操作のスループットに対して相対的です。

BitLocker 暗号化はバックグラウンドで行われますが、ユーザーは引き続きシステムを使用できますが、暗号化時間は、暗号化されているドライブの種類、ドライブのサイズ、ドライブの速度によって異なります。 大きなドライブを暗号化する場合は、ドライブが使用されていない時間帯に暗号化をスケジュールすることが必要になる場合があります。

BitLocker を有効にすると、BitLocker を設定してドライブ全体またはドライブ上の使用済み領域のみを暗号化することもできます。 新しいハード ドライブでは、使用領域のみを暗号化すると、ドライブ全体を暗号化するよりかなり時間を短縮できる可能性があります。 この暗号化オプションを選択すると、BitLocker はデータが保存されるときに自動的にデータを暗号化するので、暗号化されていないデータが格納されることはなくなります。

コンピューターの電源が切られるか、休止状態になると、BitLocker の暗号化および暗号化解除プロセスは、Windows が次に起動したときに、前回停止したところから処理を再開します。 BitLocker による暗号化または暗号化解除の再開は、電源が突然使用できない場合でも当てはまります。

いいえ。BitLocker は、データの読み取りと書き込み時にドライブ全体を暗号化および暗号化解除しません。 BitLocker で保護されたドライブ内の暗号化されたセクターは、システムの読み取り操作から要求されたときにのみ復号化されます。 ドライブに書き込まれるブロックは、システムが物理ディスクに書き込む前に暗号化されます。 BitLocker で保護されたドライブに暗号化されていないデータが格納されることはありません。

グループ ポリシー設定を構成して、BitLocker で保護されたコンピューターがデータを書き込む前に、データ ドライブを BitLocker で保護する必要があります。 詳しくは、「 BitLocker グループ ポリシー設定」をご覧ください。 これらのポリシー設定を有効にすると、BitLocker で保護されたオペレーティング システムは、BitLocker によって保護されていないデータ ドライブを読み取り専用としてマウントします。

Windows 10の BitLocker を使用すると、ユーザーは自分のデータだけを暗号化できます。 ドライブを暗号化する最も安全な方法ではありませんが、このオプションを使用すると、暗号化する必要があるデータの量に応じて、暗号化時間を 99% 以上短縮できます。 詳細については、「 使用済みディスク領域のみの暗号化」を参照してください。

次の種類のシステム変更では、整合性チェックが失敗し、保護されたオペレーティング システム ドライブを暗号化解除するための BitLocker キーを TPM がリリースしない可能性があります。

• BitLocker で保護されたドライブを新しいコンピューターに移動する。
• 新しい TPM を搭載する新しいマザーボードを取り付ける。
• TPM を停止、無効化、またはクリアする。
• ブート構成の設定を変更する。
• BIOS、UEFI ファームウェア、マスター ブート レコード、ブート セクター、ブート マネージャー、オプション ROM、またはその他の初期ブート コンポーネントやブート構成データを変更する。

BitLocker は多数の攻撃からコンピューターを保護するように設計されているため、BitLocker が回復モードで起動する理由は多数あります。 以下に例を示します。

• BIOS 起動順序を変更したことによって、対象のハード ドライブよりも先に、別のドライブが起動されるようになった。
• コンピューターに新しいカードを挿入するなど、ハードウェアの追加または削除。
• ポータブル コンピューターのスマート バッテリを取り外した、装着した、または充電残量を完全に使い果たした。

BitLocker での回復は、USB フラッシュ ドライブに保存されている回復キーまたは回復パスワードから導出される暗号化キーを使用した、ボリューム マスター キーのコピーの暗号化解除で構成されます。 TPM は復旧シナリオには関係ないため、TPM がブート コンポーネントの検証に失敗した場合、誤動作が発生した場合、または削除された場合でも復旧できます。

Windows より前に起動した Windows OS 以外の場合、またはデバイスでセキュア ブートが使用できない場合は、無効になっているか、ハードウェアでサポートされていないために、BitLocker を PCR 7 にバインドできないようにすることができます。

はい。BitLocker が有効になっている場合は、同じコンピューター上で複数のハード ディスクをスワップできますが、ハード ディスクが同じコンピューター上で BitLocker で保護されている場合に限られます。 BitLocker キーは、TPM とオペレーティング システム ドライブに固有です。 ディスク障害が発生した場合にバックアップ オペレーティング システムまたはデータ ドライブを準備する必要がある場合は、それらが正しい TPM と一致していることを確認します。 また、オペレーティング システムごとに異なるハード ドライブを構成し、異なる認証方法 (TPM 専用のハード ドライブと TPM+PIN を使用するハード ドライブなど) で BitLocker を有効にしても、競合はありません。

はい。ドライブがデータ ドライブの場合は、パスワードまたはスマート カードを使用して、BitLocker Drive Encryption コントロール パネル 項目からロックを解除できます。 データ ドライブが自動ロック解除専用に構成されている場合は、回復キーを使用してロックを解除する必要があります。 暗号化されたハード ディスクは、データ回復エージェント (構成されている場合) または回復キーを使用してロックを解除できます。

一部のドライブは BitLocker で暗号化できません。 ドライブがダイナミック ディスクであるか、ドライブがシステム パーティションとして指定されている場合、ドライブを暗号化できない理由には、ディスク サイズが不足していること、互換性のないファイル システムが含まれます。 既定では、システム ドライブ (またはシステム パーティション) は表示されません。 ただし、カスタム インストール プロセスのためにオペレーティング システムがインストールされたときに隠しドライブとして作成されていない場合は、そのドライブが表示される可能性がありますが、暗号化できません。

任意の数の内蔵固定データ ドライブを BitLocker で保護できます。 一部のバージョンでは、ATA ベースおよび SATA ベースの直接接続された記憶装置もサポートされます。

リムーバブル データ ドライブは、パスワードまたはスマート カードを使用してロックを解除できます。 SID 保護機能は、ユーザー ドメインの資格情報を使用してドライブのロックを解除するように構成することもできます。 暗号化が開始されると、特定のユーザー アカウントの特定のコンピューターでドライブのロックを自動的に解除することもできます。 システム管理者は、パスワードの複雑さや最小長の要件など、ユーザーが使用できるオプションを構成できます。 SID 保護機能を使用してロックを解除するには、 を使用します manage-bde.exe。

Manage-bde.exe -protectors -add e: -sid <i>domain\username</i></code>

回復パスワード、回復キー、および PIN などの要素について説明している表については、「BitLocker のキーの保護機能」と「BitLocker 認証方法」をご覧ください。

オペレーティング システム ドライブまたは固定データ ドライブの回復パスワードと回復キーは、フォルダーに保存したり、1 つ以上の USB デバイスに保存したり、Microsoft アカウントに保存したり、印刷したりできます。

リムーバブル データ ドライブの場合、回復パスワードと回復キーはフォルダーに保存したり、Microsoft アカウントに保存したり、印刷したりできます。 既定では、リムーバブル ドライブの回復キーをリムーバブル ドライブに格納することはできません。

ドメイン管理者は、回復パスワードを自動的に生成し、BitLocker で保護されたドライブのActive Directory Domain Services (AD DS) に格納するようにグループ ポリシーを構成することもできます。

Manage-bde.exeコマンド ライン ツールを使用すると、TPM のみの認証モードを多要素認証モードに置き換えることができます。 たとえば、TPM 認証のみで BitLocker が有効になっていて、PIN 認証を追加する必要がある場合は、管理者特権のコマンド プロンプトから次のコマンドを使用し、 4 から 20 桁の数値 PIN を目的の数値 PIN に置き換えます。

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Windows ハードウェア互換性プログラムの要件を満たしている新しいハードウェアでは、リスク緩和策としての PIN の重要度は低くなり、TPM のみの保護機能をデバイス ロックアウトなどのポリシーと組み合わせれば十分と考えられます。 たとえば、Surface ProとSurface Bookには攻撃する外部 DMA ポートがありません。 PIN が必要な古いハードウェアの場合は、文字や句読点などの数値以外の文字を許可する 拡張 PIN を 有効にし、リスク許容度とコンピューター上の TPM で使用できるハードウェアのハンマリング防止機能に基づいて PIN の長さを設定することをお勧めします。

BitLocker は、必要な認証がない場合は暗号化されたドライブを回復不能にするように設計されています。 回復モードでは、暗号化されたドライブのロックを解除するには回復パスワードまたは回復キーが必要です。

USB フラッシュ ドライブをスタートアップ キーと回復キーのストレージの両方として使用することは技術的には可能ですが、1 つの USB フラッシュ ドライブを使用して両方のキーを格納することはベスト プラクティスではありません。 起動キーを含む USB フラッシュ ドライブが紛失または盗難された場合、回復キーも失われます。 さらに、このキーを挿入すると、TPM 測定ファイルが変更された場合でも、回復キーからコンピューターが自動的に起動し、TPM のシステム整合性チェックが回避されます。

はい。コンピューターのスタートアップ キーは、複数の USB フラッシュ ドライブに保存できます。 BitLocker で保護されたドライブを右クリックし、[ BitLocker の管理 ] を選択すると、必要に応じて追加の USB フラッシュ ドライブに回復キーを保存するオプションが提供されます。

はい。異なるコンピューターの BitLocker スタートアップ キーを同じ USB フラッシュ ドライブに保存できます。

同じコンピューターに対して異なるスタートアップ キーを生成するには、スクリプトを使用します。 ただし、TPM を備えているコンピューターの場合は、異なるスタートアップ キーを作成すると、BitLocker は TPM のシステム整合性チェックを使用しなくなります。

複数の PIN の組み合わせを生成することはできません。

原データは、ボリューム全体の暗号化キーで暗号化された後、ボリューム マスター キーで暗号化されます。 ボリューム マスター キーは、認証 (つまり、キー プロテクターまたは TPM) と回復シナリオに応じて、いくつかの可能な方法のいずれかで暗号化されます。

ボリューム全体の暗号化キーは、ボリューム マスター キーによって暗号化されて、暗号化されたドライブに保存されます。 ボリューム マスター キーは、適切なキー保護機能によって暗号化されて、暗号化されたドライブに保存されます。 BitLocker が中断された場合、ボリューム マスター キーの暗号化に使用されるクリア キーも、暗号化されたボリューム マスター キーと共に、暗号化されたドライブに保存されます。

このストレージ プロセスにより、BitLocker が無効になっていない限り、ボリューム マスター キーは暗号化されず、保護されます。 キーは、冗長性のためにドライブの他の 2 つの場所にも保存されます。 キーは、ブート マネージャーで読み取って処理できます。

F1 ～ F10 キーは、すべてのコンピューターおよびすべての言語のプリブート環境で使用できる、ユニバーサルにマップされるスキャン コードです。 数値キー 0 から 9 は、すべてのキーボードのプレブート環境では使用できません。

拡張 PIN を使用する場合、ユーザーは、BitLocker のセットアップ プロセス中にオプションのシステム チェックを実行して、プリブート環境で PIN を正しく入力できることを確認する必要があります。

攻撃者がブルート フォース攻撃を実行することで、個人識別番号 (PIN) が検出される可能性があります。 ブルート フォース攻撃とは、正しい PIN が見つかるまで自動ツールで異なる PIN を試す方法です。 BitLocker で保護されたコンピューターの場合、この種類の攻撃 (辞書攻撃とも呼ばれます) では、攻撃者がコンピューターに物理的にアクセスできる必要があります。

TPM には、この種の攻撃を検出して対処する機能が組み込まれています。 製造元によって異なる PIN と攻撃の軽減策がサポートされる場合があるため、TPM の製造元に問い合わせて、コンピューターの TPM が PIN ブルート フォース攻撃を軽減する方法を確認してください。 TPM の製造元が決定されたら、製造元に問い合わせて TPM のベンダー固有の情報を収集します。 ほとんどの製造元は、PIN 認証失敗の回数を使用して、PIN インターフェイスのロックアウト時間を指数関数的に増やします。 ただし、失敗カウンターを減らしたりリセットしたりするタイミングと方法に関するポリシーは、製造元ごとに異なります。

TPM の製造元は、Security Center>デバイス> セキュリティ セキュリティプロセッサの詳細Windows Defenderで確認できます。

次の質問は、TPM の製造元に辞書攻撃軽減メカニズムの設計について質問するときに役立ちます。

• 承認の試行が何回失敗すると、ロックアウトが発生しますか。
• 試行失敗回数および他の関連パラメーターに基づいてロックアウトの時間を決定するためのアルゴリズムはどのようなものですか。
• 失敗回数およびロックアウト時間が減らされたりリセットされたりするのは、どのような操作が行われたときですか。

できるものと、できないものがあります。 最小個人識別番号 (PIN) の長さは、[スタートアップ グループ ポリシーの最小 PIN 長を構成する] 設定を使用して構成でき、[スタートアップグループ ポリシーの拡張 PIN を許可する] 設定を有効にすることで英数字 PIN の使用を許可します。 ただし、pin の複雑さは、グループ ポリシーを介して必要とすることはできません。

詳しくは、「 BitLocker グループ ポリシー設定」をご覧ください。

BitLocker To Go は、リムーバブル データ ドライブでの BitLocker ドライブ暗号化です。 この機能には、次の暗号化が含まれます。

• USB フラッシュ ドライブ
• SD カード
• 外付けハード ディスク ドライブ
• NTFS、FAT16、FAT32、または exFAT ファイル システムを使用してフォーマットされたその他のドライブ。

ドライブのパーティション分割は 、BitLocker ドライブ暗号化パーティション分割の要件を満たしている必要があります。

BitLocker と同様に、BitLocker To Go によって暗号化されたドライブは、別のコンピューターのパスワードまたはスマート カードを使用して開くことができます。 コントロール パネルで、BitLocker ドライブ暗号化を使用します。

バックアップを適用するためにグループ ポリシーが適用される前にドライブで BitLocker が有効になっている場合、コンピューターがドメインに参加したとき、またはグループ ポリシーが後で適用された場合、回復情報は AD DS に自動的にバックアップされません。 ただし、[グループ ポリシー] 設定 BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択し、BitLocker で保護された固定ドライブを回復する方法を選択し、BitLocker で保護されたリムーバブル ドライブを回復する方法を選択して、BitLocker を有効にする前にコンピューターをドメインに接続する必要を選択して、BitLocker で保護されたドライブの回復情報を確実に確保します。organizationは AD DS にバックアップされます。

詳しくは、「 BitLocker グループ ポリシー設定」をご覧ください。

BitLocker Windows Management Instrumentation (WMI) インターフェイスを使用すると、管理者はオンライン クライアントの既存の回復情報をバックアップまたは同期するためのスクリプトを記述できます。 ただし、BitLocker はこのプロセスを自動的に管理しません。 manage-bde.exeコマンド ライン ツールを使用して、回復情報を AD DS に手動でバックアップすることもできます。 たとえば、 のすべての回復情報 $env:SystemDrive を AD DS にバックアップするには、管理者特権のコマンド プロンプトから次のコマンド スクリプトを使用できます。

$BitLocker = Get-BitLockerVolume -MountPoint $env:SystemDrive
$RecoveryProtector = $BitLocker.KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' }

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID
BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID

はい、Active Directory のバックアップの成功または失敗を示すイベント ログ エントリが、クライアント コンピューターに記録されます。 ただし、イベント ログ エントリが「成功」を示している場合でも、その後で情報が AD DS から削除されている可能性、または Active Directory の情報でドライブをロック解除できないように (たとえば、回復パスワード キー保護機能を削除することで) BitLocker が再構成されている可能性があります。 さらに、ログ エントリがなりすましされる可能性もあります。

最終的に、本物のバックアップが AD DS に存在するかどうかを判断するには、BitLocker パスワード ビューアー ツールを使用して、ドメイン管理者の資格情報で AD DS を照会する必要があります。

いいえ、そうではありません。 設計上、BitLocker 回復パスワード エントリは AD DS から削除されません。 そのため、ドライブごとに複数のパスワードが表示される場合があります。 最新のパスワードを見極めるには、オブジェクトの日付を確認してください。

BitLocker セットアップ ウィザードの実行時にドメイン コントローラーに到達できない場合など、バックアップが最初に失敗した場合、BitLocker は AD DS への回復情報のバックアップを再試行しません。

管理者が [Active Directory ドメイン Service (Windows 2008 および Windows Vista) に BitLocker 回復情報を保存する] ポリシー設定の [AD DS への BitLocker バックアップを要求する] チェック ボックスを選択した場合、または同等の [回復情報が AD DS に保存されるまで BitLocker を有効にしない] (オペレーティング システム | 固定データ | リムーバブル データ) ドライブの場合チェック[BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する]、[BitLocker で保護された固定データ ドライブを回復する方法を選択する]、および [BitLocker で保護されたリムーバブル データ ドライブを回復する方法を選択する] ポリシー設定のいずれかのボックスで、コンピューターがドメインに接続されていて、Ad DS への BitLocker 回復情報のバックアップが成功しない限り、ユーザーは BitLocker を有効にできません。 バックアップが失敗した場合にこれらの設定を構成すると、BitLocker を有効にできず、管理者がorganization内の BitLocker で保護されたドライブを確実に回復できるようになります。

詳しくは、「 BitLocker グループ ポリシー設定」をご覧ください。

管理者がこれらのチェックボックスをクリアすると、管理者は、回復情報を AD DS に正常にバックアップせずにドライブを BitLocker で保護することを許可します。ただし、障害が発生した場合、BitLocker はバックアップを自動的に再試行しません。 代わりに、管理者は、「コンピューターが ドメインに参加する前にコンピューターで BitLocker が有効になっている場合の 動作」で説明したように、バックアップ スクリプトを作成して、接続が復元された後に情報をキャプチャできます。

BitLocker は、128 ビットまたは 256 ビットの構成可能なキー長を持つ暗号化アルゴリズムとして Advanced Encryption Standard (AES) を使用します。 既定の暗号化設定は AES-128 ですが、グループ ポリシーを使用して構成できます。

オペレーティング システム ドライブでの BitLocker 構成の推奨される方法は、TPM バージョン 1.2 以降のコンピューターに BitLocker を実装し、トラステッド コンピューティング グループ (TCG) 準拠の BIOS または UEFI ファームウェアの実装と PIN を実装することです。 TPM 検証に加えてユーザーによって設定された PIN を要求することで、コンピューターへの物理的なアクセス権を持つ悪意のあるユーザーはコンピューターを起動できません。

オペレーティング システム ドライブ上の BitLocker は、基本的な構成 (TPM を使用するが、他のスタートアップ認証を使用しない) で、休止状態モードのセキュリティを強化します。 ただし、BitLocker は、休止モードで別のスタートアップ認証要素 (TPM+PIN、TPM+USB、または TPM+PIN+USB) を使用するように構成されている場合に、より高いセキュリティを提供します。 休止状態から戻るには認証が必要なため、この方法の方が安全です。 スリープ モードでは、保護されていないデータが RAM に残っているため、コンピューターは直接メモリ アクセス攻撃に対して脆弱です。 そのため、セキュリティを強化するために、スリープ モードを無効にし、認証方法に TPM+PIN を使用することをお勧めします。 スタートアップ認証は、BitLocker CSPでグループ ポリシーまたはモバイル デバイス管理を使用して構成できます。

ほとんどのオペレーティング システムは、共有メモリ領域を使用し、物理メモリの管理をオペレーティング システムに依存します。 TPM とはハードウェア コンポーネントであり、処理命令に独自の内部ファームウェアおよび論理回路を使用して、外部ソフトウェアの脆弱性からそれ自体を保護します。 TPM を攻撃するには、コンピューターに物理的にアクセスする必要があります。 さらに、ハードウェアを攻撃するために必要なツールとスキルは、多くの場合、より高価であり、通常はソフトウェアの攻撃に使用されるツールほど利用できません。 そして、各 TPM はそれが含まれるコンピューターに固有であり、複数の TPM コンピューターを攻撃することは難しく、時間がかかります。

BitLocker ネットワーク ロック解除を使用することにより、ドメイン環境で TPM+PIN 保護方法を使用する BitLocker が有効なデスクトップおよびサーバーの管理が容易になります。 有線企業ネットワークに接続されているコンピューターを再起動するとき、ネットワーク ロック解除により PIN の入力プロンプトを省略できます。 この機能は、第 2 の認証方法として Windows 展開サービス サーバーによって提供される信頼されたキーを使用して、BitLocker で保護されたオペレーティング システム ボリュームを自動的にロック解除します。

ネットワーク ロック解除を使用するには、コンピューター用に PIN を構成する必要があります。 コンピューターがネットワークに接続されていない場合は、ロックを解除するために PIN を指定する必要があります。

BitLocker ネットワーク ロック解除には、クライアント コンピューター、Windows 展開サービス、および使用する前に満たす必要があるドメイン コントローラーの両方に対するソフトウェアとハードウェアの要件があります。

ネットワーク ロック解除では、TPM 保護機能と、ネットワークまたは PIN によって提供される保護機能の 2 つの保護機能が使用されます。 自動ロック解除では、TPM に格納されている 1 つの保護機能が使用されます。 コンピューターがキー 保護機能なしでネットワークに参加している場合は、PIN の入力を求めるメッセージが表示されます。 PIN を使用できない場合は、ネットワークに接続できない場合は、回復キーを使用してコンピューターのロックを解除する必要があります。

詳しくは、「 BitLocker: ネットワーク ロック解除を有効にする方法」をご覧ください。

はい。暗号化ファイル システム (EFS) を使用して、BitLocker で保護されたドライブ上のファイルを暗号化できます。 BitLocker は、オペレーティング システム ドライブ全体をオフライン攻撃から保護するのに役立ちますが、EFS では、同じコンピューターの複数のユーザー間でセキュリティを分離するための追加のユーザー ベースのファイル レベルの暗号化を提供できます。 EFS を Windows で使用して、BitLocker によって暗号化されていない他のドライブ上のファイルを暗号化することもできます。 EFS のルート シークレットは、既定でオペレーティング システム ドライブに格納されます。そのため、オペレーティング システム ドライブに対して BitLocker が有効になっている場合、他のドライブ上の EFS によって暗号化されたデータも BitLocker によって間接的に保護されます。

はい。 ただし、BitLocker を有効にする前にデバッガーをオンにする必要があります。 デバッガーをオンにすると、TPM への封印時に正しい測定値が計算され、コンピューターが正常に起動できるようになります。 BitLocker の使用時にデバッグをオンまたはオフにする必要がある場合は、コンピューターを回復モードにしないように、まず BitLocker を中断してください。

BitLocker は記憶域ドライバー スタックを備えており、BitLocker が有効になっているとメモリ ダンプが暗号化されます。

BitLocker では、起動前認証用のスマート カードはサポートされていません。 ファームウェアでのスマート カードサポートの業界標準は 1 つはなく、ほとんどのコンピューターではスマート カードのファームウェア サポートが実装されていないか、特定のスマート カードとリーダーのみをサポートします。 この標準化の欠如により、サポートが困難になります。

Microsoft は Microsoft 以外の TPM ドライバーをサポートしていないため、BitLocker での使用を強くお勧めします。 BitLocker で Microsoft 以外の TPM ドライバーを使用しようとすると、コンピューターに TPM が存在せず、BitLocker で TPM を使用できないという報告が BitLocker で発生する可能性があります。

オペレーティング システム ドライブが BitLocker で保護されているコンピューターでは、いくつかのセキュリティ、信頼性、および製品サポート上の理由からマスター ブート レコードを変更することはお勧めしません。 マスター ブート レコード (MBR) を変更すると、セキュリティ環境が変更され、コンピューターが正常に起動しなくなり、破損した MBR から回復する作業が複雑になる可能性があります。 Windows 以外のものが MBR を変更すると、コンピューターが強制的に回復モードになったり、完全に起動しなくなることがあります。

システム チェックは、コンピューターの BIOS または UEFI ファームウェアが BitLocker と互換性があり、TPM が正しく動作していることを確認するように設計されています。 システム チェックはいくつかの理由で失敗する可能性があります。

• コンピューターの BIOS または UEFI ファームウェアで USB フラッシュ ドライブを読み取ることはできません。
• コンピューターの BIOS、uEFI ファームウェア、またはブート メニューで読み取り USB フラッシュ ドライブが有効になっていません。
• 複数の USB フラッシュ ドライブがコンピューターに装着されている。
• PIN が正しく入力されませんでした。
• コンピューターの BIOS または UEFI ファームウェアは、ファンクション キー (F1 から F10) を使用して、プリブート環境で数字を入力することのみをサポートしています。
• コンピューターの再起動が完了する前に、スタートアップ キーが削除された。
• TPM が破損していて、キーの保護を解除できない。

一部のコンピューターでは、プリブート環境で USB フラッシュ ドライブを読み取ることはできません。 まず、BIOS または UEFI ファームウェアとブート設定をチェックして、USB ドライブの使用が有効になっていることを確認します。 有効になっていない場合は、BIOS または UEFI ファームウェアとブート設定で USB ドライブの使用を有効にしてから、USB フラッシュ ドライブから回復キーをもう一度読み取ります。 USB フラッシュ ドライブを読み取ることができない場合は、USB フラッシュ ドライブから回復キーを読み取ろうとするオペレーティング システムが存在するように、ハード ドライブを別のコンピューターにデータ ドライブとしてマウントする必要があります。 USB フラッシュ ドライブが破損または破損している場合は、回復パスワードを指定するか、AD DS にバックアップされた回復情報を使用する必要があります。 また、回復キーがプレブート環境で使用されている場合は、NTFS、FAT16、または FAT32 ファイル システムを使用してドライブの形式を確認します。

リムーバブル ドライブの場合、[ USB に保存] オプションは既定では表示されません。 オプションが使用できない場合は、システム管理者が回復キーの使用を許可していないことを意味します。

固定データ ドライブの自動ロック解除では、オペレーティング システム ドライブも BitLocker によって保護されている必要があります。 BitLocker で保護されたオペレーティング システム ドライブがないコンピューターを使用している場合、固定ドライブのロックを自動的に解除することはできません。 リムーバブル データ ドライブの場合は、Windows エクスプローラーでドライブを右クリックし、[BitLocker の管理] を選択することで、自動ロック解除を追加できます。 BitLocker がオンになったときに提供されたパスワードまたはスマート カード資格情報は、引き続き他のコンピューターでリムーバブル ドライブのロックを解除するために使用できます。

セーフ モードでは使用できる BitLocker の機能が限られています。 [BitLocker ドライブの暗号化] コントロール パネルの項目を使用して、BitLocker で保護されたドライブのロックおよび暗号化を解除できます。 Windows エクスプローラーから BitLocker オプションにアクセスするには、右クリックしてもセーフ モードでは使用できません。

固定データ ドライブとリムーバブル データ ドライブは、Manage-bde コマンド ライン ツールと -lock コマンドを使用してロックできます。

このコマンドの構文は次のとおりです。

manage-bde.exe <driveletter> -lock

このコマンド以外では、オペレーティング システムをシャットダウンして再起動したときにデータ ドライブがロックされます。 また、コンピューターからリムーバブル データ ドライブを取り外したときも、ドライブが自動的にロックされます。

はい。 ただし、BitLocker を有効にする前に作成されたシャドウ コピーは、ソフトウェアによって暗号化されたドライブで BitLocker を有効にすると自動的に削除されます。 ハードウェアで暗号化されたドライブが使用されている場合、シャドウ コピーは保持されます。

BitLocker は、環境 (物理または仮想) が Windows オペレーティング システムの要件を満たしている限り、ハードウェアの制限内で特定の物理マシンと同様に動作する必要があります。

• TPM の場合: はい、サポートされています。
• TPM なし: はい、(パスワード 保護機能付き) サポートされています。

BitLocker は、Windows 10、Windows 8.1、Windows 8、Windows Server 2016、Windows Server 2012 R2、または Windows Server 2012 を実行している場合、クラスターで使用される VHD などのデータ ボリューム VHD でもサポートされます。

はい、できます。 パスワード保護機能と仮想 TPM を BitLocker と共に利用して、仮想マシンを保護することができます。 VM は、ドメイン参加済み、Azure AD 参加済み、または職場参加済み (設定>アカウント>を使用して職場または学校>の接続にアクセス) してポリシーを受け取ることができます。 暗号化は、VM の作成時に、または BitLocker CSP などの他の既存の管理ツールを使用するか、またはグループ ポリシーによって提供されるスタートアップ スクリプトまたはサインイン スクリプトを使用して有効にすることができます。 Windows Server 2016 では、悪意のある管理者から VM を保護するために、シールドされた VM と保護されたファブリックもサポートされます。