BitLocker のorganizationを準備する: 計画とポリシー
IT プロフェッショナル向けのこの記事では、BitLocker の展開を計画する方法について説明します。
BitLocker 展開戦略が定義されている場合は、organizationのビジネス要件に基づいて適切なポリシーと構成要件を定義します。 次のセクションでは、情報の収集に役立ちます。 この情報は、BitLocker システムの展開と管理に関する意思決定プロセスに役立ちます。
環境を監査する
BitLocker の展開を計画するには、現在の環境を理解します。 非公式監査を実行して、現在のポリシー、手順、およびハードウェア環境を定義します。 既存のディスク暗号化ソフトウェア企業のセキュリティ ポリシーを確認します。 organizationがディスク暗号化ソフトウェアを使用していない場合、これらのポリシーは存在しません。 ディスク暗号化ソフトウェアを使用している場合は、BitLocker 機能を使用するためにorganizationのポリシーを変更する必要がある場合があります。
organizationの現在のディスク暗号化セキュリティ ポリシーを文書化するには、次の質問にお答えください。
BitLocker を使用するコンピューターと BitLocker を使用しないコンピューターを決定するためのポリシーはありますか?
回復パスワードと回復キーストレージを制御するためのポリシーは何ですか?
BitLocker 回復を実行する必要があるユーザーの ID を検証するためのポリシーは何ですか?
回復データにアクセスできるorganization内のユーザーを制御するためのポリシーは何ですか?
コンピューターの使用停止または廃止を制御するためのポリシーは何ですか?
暗号化キーと認証
BitLocker は、次の方法で、紛失または盗難にあったコンピューター上のデータへの不正アクセスを防ぐのに役立ちます。
- ハード ディスク上の Windows オペレーティング システム ボリューム全体を暗号化する。
- ブート プロセスの整合性の確認。
トラステッド プラットフォーム モジュール (TPM) は、コンピューターの製造元が多くの新しいコンピューターにインストールするハードウェア コンポーネントです。 BitLocker と連携して、ユーザー データの保護に役立ちます。 また、システムがオフラインの間にコンピューターが改ざんされていないことを確認してください。
また、BitLocker は、ユーザーが個人識別番号 (PIN) を提供するか、スタートアップ キーを含むリムーバブル USB デバイスを挿入するまで、通常のスタートアップ プロセスをロックできます。 これらの追加のセキュリティ対策により、多要素認証が提供されます。 また、正しい PIN またはスタートアップ キーが表示されるまで、コンピューターが休止状態から起動または再開されないようにします。
TPM バージョン 1.2 以降を持たないコンピューターでは、BitLocker を使用して Windows オペレーティング システム ボリュームを暗号化できます。 ただし、この実装では、コンピューターを起動したり休止状態から再開したりするために、USB スタートアップ キーを挿入する必要があります。 TPM を操作する BitLocker によって提供されるスタートアップ前のシステム整合性検証は提供されません。
BitLocker キー 保護機能
| キー プロテクター | 説明 |
|---|---|
| TPM | セキュリティで保護された信頼のルートを確立するために使用されるハードウェア デバイス。 BitLocker では、TPM 1.2 以降のバージョンのみがサポートされます。 |
| ピン | TPM に加えてのみ使用できる、ユーザーが入力した数値キー 保護機能。 |
| 拡張 PIN | TPM に加えてのみ使用できる、ユーザーが入力した英数字キー 保護機能。 |
| スタートアップ キー | ほとんどのリムーバブル メディアに格納できる暗号化キー。 このキー 保護機能は、TPM 以外のコンピューターで単独で使用することも、TPM を使用してセキュリティを強化することもできます。 |
| 回復パスワード | ボリュームが回復モードのときにロックを解除するために使用される 48 桁の番号。 多くの場合、数値は通常のキーボードで入力できます。 通常のキーボードの番号が応答しない場合は、ファンクション キー (F1 から F10) を使用して数値を入力できます。 |
| 回復キー | BitLocker ボリュームで暗号化されたデータを回復するために使用できるリムーバブル メディアに格納されている暗号化キー。 |
BitLocker 認証方法
| 認証方法 | ユーザー操作が必要 | 説明 |
|---|---|---|
| TPM のみ | なし | TPM は、初期ブート コンポーネントを検証します。 |
| TPM + PIN | はい | TPM は、初期ブート コンポーネントを検証します。 ユーザーは、起動プロセスを続行する前に正しい PIN を入力し、ドライブのロックを解除する前に入力する必要があります。 不適切な PIN が繰り返し入力された場合、TPM はロックアウトに入り、ブルート フォース攻撃から PIN を保護します。 ロックアウトをトリガーする繰り返し試行回数は変数です。 |
| TPM + ネットワーク キー | なし | TPM は初期ブート コンポーネントを正常に検証し、WDS サーバーから有効な暗号化されたネットワーク キーが提供されています。 この認証方法は、多要素認証を維持しながら、システムの再起動時にオペレーティング システム ボリュームの自動ロック解除を提供します。 |
| TPM + スタートアップ キー | はい | TPM は初期ブート コンポーネントを正常に検証し、スタートアップ キーを含む USB フラッシュ ドライブが挿入されました。 |
| スタートアップ キーのみ | はい | 回復キーまたはスタートアップ キーを持つ USB フラッシュ ドライブの入力を求められたら、コンピューターを再起動します。 |
TPM 1.2 以降のバージョンを持たないコンピューターはサポートされますか?
環境内に TPM 1.2 以降のバージョンを持たないコンピューターがサポートされるかどうかを判断します。 TPM 1.2 以降のバージョンのコンピューターをサポートすることにした場合、ユーザーは USB スタートアップ キーを使用してシステムを起動する必要があります。 このスタートアップ キーには、多要素認証のような追加のサポート プロセスが必要です。
ベースライン レベルのデータ保護が必要なorganizationの領域は何ですか?
TPM のみの認証方法は、セキュリティ ポリシーを満たすためにベースライン レベルのデータ保護を必要とする組織にとって最も透過的なユーザー エクスペリエンスを提供します。 総保有コストが最も低くなります。 また、TPM のみの方が無人のコンピューターや、無人で再起動する必要があるコンピューターに適している場合もあります。
ただし、TPM のみの認証方法では、最も低いレベルのデータ保護が提供されます。 この認証方法は、初期ブート コンポーネントを変更する攻撃から保護します。 ただし、保護のレベルは、ハードウェアまたは初期ブート コンポーネントの潜在的な弱点の影響を受ける可能性があります。 BitLocker の多要素認証方法により、データ保護の全体的なレベルが大幅に向上します。
より安全なレベルのデータ保護が必要なorganizationの領域は何ですか?
機密性の高いデータを持つユーザー コンピューターがある場合は、それらのシステムに多要素認証を使用して BitLocker を展開します。 ユーザーに PIN の入力を要求すると、システムの保護レベルが大幅に向上します。 BitLocker ネットワーク ロック解除を使用して、ネットワーク ロック解除キーを提供できる信頼された有線ネットワークに接続されている場合に、これらのコンピューターが自動的にロックを解除できるようにすることもできます。
organizationはどのような多要素認証方法を好みますか?
多要素認証方法によって提供される保護の違いを簡単に定量化することはできません。 ヘルプデスクのサポート、ユーザー教育、ユーザーの生産性、自動化されたシステム管理プロセスに対する各認証方法の影響を考慮してください。
TPM ハードウェア構成
展開計画で、サポートされる TPM ベースのハードウェア プラットフォームを特定します。 構成をテストしてサポートできるように、organizationで使用されている OEM のハードウェア モデルを文書化します。 TPM ハードウェアでは、計画と展開のすべての側面で特別な考慮事項が必要です。
TPM 1.2 の状態と初期化
TPM 1.2 の場合、複数の状態が考えられます。 Windows は TPM を自動的に初期化します。これにより、TPM が有効、アクティブ化、所有状態になります。 この状態は、TPM を使用する前に BitLocker が必要とする状態です。
保証キー
TPM を BitLocker で使用できるようにするには、RSA キー ペアである保証キーを含める必要があります。 キー ペアのプライベート 半分は TPM 内に保持され、TPM の外部で表示またはアクセスされることはありません。 TPM に保証キーがない場合、BitLocker は BitLocker セットアップの一部として TPM に自動的に生成するように強制します。
保証キーは、TPM のライフサイクルのさまざまなポイントで作成できますが、TPM の有効期間に 1 回だけ作成する必要があります。 TPM に保証キーが存在しない場合は、TPM 所有権を取得する前に作成する必要があります。
TPM と TCG の詳細については、「トラステッド コンピューティング グループ: トラステッド プラットフォーム モジュール (TPM) 仕様 (https://go.microsoft.com/fwlink/p/?linkid=69584)」を参照してください。
TPM 以外のハードウェア構成
TPM を含まないデバイスは、ドライブの暗号化によって保護できます。 Windows To Go ワークスペースは、スタートアップ パスワードを使用して BitLocker で保護でき、TPM を使用しない PC ではスタートアップ キーを使用できます。
TPM 以外の構成でのデプロイに影響する可能性がある問題を特定するには、次の質問を使用します。
- パスワードの複雑さの規則は整っていますか?
- これらの各コンピューターの USB フラッシュ ドライブの予算はありますか?
- 既存の TPM 以外のデバイスは、起動時に USB デバイスをサポートしていますか?
BitLocker を有効にしながら、BitLocker システム チェック オプションを使用して個々のハードウェア プラットフォームをテストします。 システム チェックは、BitLocker がボリュームを暗号化する前に、USB デバイスと暗号化キーから回復情報を正しく読み取ることができることを確認します。 CD ドライブと DVD ドライブはブロック ストレージ デバイスとして機能せず、BitLocker 回復資料を格納するために使用することはできません。
ディスク構成に関する考慮事項
正常に機能するには、BitLocker には特定のディスク構成が必要です。 BitLocker には、次の要件を満たす 2 つのパーティションが必要です。
- オペレーティング システム パーティションには、オペレーティング システムとそのサポート ファイルが含まれています。NTFS ファイル システムでフォーマットする必要があります
- システム パーティション (またはブート パーティション) には、BIOS または UEFI ファームウェアがシステム ハードウェアを準備した後に Windows を読み込むのに必要なファイルが含まれています。 このパーティションでは BitLocker が有効になっていません。 BitLocker を機能させるには、システム パーティションを暗号化し、オペレーティング システムとは異なるパーティション上に配置する必要があります。 UEFI プラットフォームでは、システム パーティションは FAT 32 ファイル システムでフォーマットする必要があります。 BIOS プラットフォームでは、システム パーティションは NTFS ファイル システムでフォーマットする必要があります。 サイズは 350 MB 以上である必要があります。
Windows セットアップでは、BitLocker 暗号化をサポートするようにコンピューターのディスク ドライブが自動的に構成されます。
Windows Recovery Environment (Windows RE) は、Windows プレインストール環境 (Windows PE) に基づく拡張可能な回復プラットフォームです。 コンピューターの起動に失敗すると、Windows はこの環境に自動的に移行し、Windows RE のスタートアップ修復ツールによって、起動できない Windows インストールの診断と修復が自動化されます。 Windows RE には、回復キーまたは回復パスワードを指定して BitLocker によって保護されたボリュームのロックを解除するために必要なドライバーとツールも含まれています。 BitLocker で Windows RE を使用するには、Windows RE ブート イメージが BitLocker によって保護されていないボリューム上にある必要があります。
Windows RE は、ローカル ハード ディスク以外のブート メディアからも使用できます。 BitLocker 対応コンピューターのローカル ハード ディスクに Windows RE がインストールされていない場合は、さまざまな方法を使用して Windows RE を起動できます。 たとえば、Windows Deployment Services (WDS)、CD-ROM、USB フラッシュ ドライブを使用して回復できます。
BitLocker プロビジョニング
Windows Vista と Windows 7 では、システム ボリュームとデータ ボリュームのインストール後に BitLocker がプロビジョニングされました。 コマンド ライン インターフェイスまたは コントロール パネル ユーザー インターフェイスを使用manage-bdeしました。 新しいオペレーティング システムでは、オペレーティング システムをインストールする前に BitLocker をプロビジョニングできます。 事前プロビジョニングには、コンピューターに TPM が必要です。
特定のボリュームの BitLocker 状態をチェックするには、管理者は BitLocker コントロール パネル アプレットまたは Windows エクスプローラーでドライブの状態を確認できます。 黄色の感嘆符アイコンが付いた "アクティブ化の待機中" 状態は、ドライブが BitLocker 用に事前プロビジョニングされたことを意味します。 この状態は、ボリュームの暗号化時に使用された明確な保護機能のみが存在したことを意味します。 この場合、ボリュームは保護されていないため、ドライブが完全に保護されていると見なされる前に、ボリュームにセキュリティで保護されたキーを追加する必要があります。 管理者は、コントロール パネル オプション、 manage-bde ツール、または WMI API を使用して、適切なキー 保護機能を追加できます。 ボリュームの状態が更新されます。
コントロール パネル オプションを使用する場合、管理者は BitLocker をオンにし、ウィザードの手順に従って、オペレーティング システム ボリュームの PIN (または TPM が存在しない場合はパスワード) やパスワード、スマート カード 保護機能をデータ ボリュームに追加できます。 その後、ボリュームの状態を変更する前に、ドライブのセキュリティ ウィンドウが表示されます。
管理者は、Windows プレインストール環境 (WinPE) からオペレーティング システムの展開を行う前に BitLocker を有効にすることができます。 この手順は、フォーマットされたボリュームにランダムに生成されたクリア キー 保護機能を適用して行います。 これは、Windows セットアップ プロセスを実行する前にボリュームを暗号化します。 暗号化で [使用済みディスク領域のみ] オプションが使用されている場合、この手順は数秒しかかかりません。 また、通常のデプロイ プロセスに組み込まれます。
使用済みのディスク領域のみの暗号化
BitLocker セットアップ ウィザードを使用すると、管理者は、ボリュームに対して BitLocker を有効にするときに、[使用済みディスク領域のみ] または [完全暗号化] 方法を選択できます。 管理者は、新しい BitLocker グループ ポリシー設定を使用して、[使用済みディスク領域のみ] または [完全なディスク暗号化] を適用できます。
BitLocker セットアップ ウィザードを起動すると、認証方法を使用するように求められます (パスワードとスマート カードはデータ ボリュームで使用できます)。 方法が選択され、回復キーが保存されると、ウィザードはドライブの暗号化の種類の選択を求めます。 [使用済みディスク領域のみ] または [フル ドライブ暗号化] を選択します。
[使用済みディスク領域のみ] では、データを含むドライブの部分のみが暗号化されます。 未使用の領域は暗号化されません。 この動作により、特に新しい PC やデータ ドライブの場合、暗号化プロセスがはるかに高速になります。 この方法で BitLocker が有効になっている場合、ドライブにデータが追加されると、使用されるドライブの部分が暗号化されます。 そのため、暗号化されていないデータがドライブに格納されることはありません。
フル ドライブ暗号化では、データが格納されているかどうかに関係なく、ドライブ全体が暗号化されます。 このオプションは、再利用されたドライブに役立ち、以前の使用からのデータ残骸が含まれている可能性があります。
Active Directory Domain Servicesに関する考慮事項
BitLocker は、Active Directory Domain Services (AD DS) と統合され、一元化されたキー管理を提供します。 既定では、回復情報は Active Directory にバックアップされません。 管理者は、BitLocker 回復情報のバックアップを有効にするために、ドライブの種類ごとに次のグループ ポリシー設定を構成できます。
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>ドライブの種類>BitLocker で保護されたドライブを回復する方法を選択します。
既定では、BitLocker 回復情報にアクセスできるのは Domain Admins のみですが、 アクセスは他のユーザーに委任できます。
次の回復データは、コンピューター オブジェクトごとに保存されます。
回復パスワード
BitLocker で保護されたボリュームを回復するために使用される 48 桁の回復パスワード。 BitLocker が回復モードになると、ユーザーはこのパスワードを入力してボリュームのロックを解除します。
キー パッケージ データ
このキー パッケージと回復パスワードを使用すると、ディスクが深刻な損傷を受けた場合、BitLocker で保護されたボリュームの一部を暗号化解除できます。 各キー パッケージは、作成されたボリュームでのみ機能します。これは、対応するボリューム ID によって識別されます。
回復パスワード 保護機能に対する FIPS のサポート
Windows Server 2012 R2 および Windows 8.1 で導入された機能により、BitLocker を FIPS モードで完全に機能できます。
注
米国連邦情報処理標準 (FIPS) は、米国連邦政府によって使用されるコンピューター システムのセキュリティと相互運用性の要件を定義します。 FIPS-140 標準では、承認された暗号化アルゴリズムが定義されています。 FIPS-140 標準では、キー生成とキー管理の要件も規定されています。 国立標準技術研究所 (NIST) は、暗号化モジュール検証プログラム (CMVP) を使用して、暗号化アルゴリズムの特定の実装が FIPS-140 標準に準拠しているかどうかを判断します。 暗号化アルゴリズムの実装は、FIPS-140 準拠と見なされます。これは、それが送信され、NIST 検証に合格した場合のみです。 送信されていないアルゴリズムは、実装が同じアルゴリズムの検証済み実装として同じデータを生成した場合でも、FIPS 準拠と見なすことはできません。
これらのサポートされているバージョンの Windows の前に、Windows が FIPS モードのとき、BitLocker は回復パスワードの作成または使用を禁止し、代わりにユーザーに回復キーの使用を強制しました。 これらの問題の詳細については、サポート記事「 Windows BitLocker の回復パスワードは、FIPS 準拠ポリシーが Windows で設定されている場合は使用できません」を参照してください。
ただし、BitLocker が有効になっているこれらのサポートされているシステムを実行しているコンピューターでは、次の手順を実行します。
FIPS 準拠の回復パスワード 保護機能は、Windows が FIPS モードの場合に作成できます。 これらの保護機能では、FIPS-140 NIST SP800-132 アルゴリズムが使用されます。
Windows 8.1で FIPS モードで作成された回復パスワードは、他のシステムで作成された回復パスワードと区別できます。
FIPS 準拠のアルゴリズム ベースの回復パスワード 保護機能を使用した回復ロック解除は、現在回復パスワードに対して機能するすべてのケースで機能します。
FIPS 準拠の回復パスワードがボリュームのロックを解除すると、FIPS モードでも読み取り/書き込みアクセスを許可するようにボリュームがロック解除されます。
FIPS 準拠の回復パスワード 保護機能は、FIPS モードでしばらくの間、AD でエクスポートおよび保存できます。
回復パスワードの BitLocker グループ ポリシー設定は、FIPS モードかどうかに関係なく、BitLocker をサポートするすべての Windows バージョンで同じように動作します。
Windows Server 2012 R2 および Windows 8.1 以前では、FIPS モードのシステムで生成された回復パスワードは使用できません。 Windows Server 2012 R2 および Windows 8.1 で作成された回復パスワードは、Windows Server 2012 R2 および Windows 8.1 より古いオペレーティング システムの BitLocker と互換性がありません。 そのため、代わりに回復キーを使用する必要があります。