Windows BitLocker ドライブ暗号化のステップ バイ ステップ ガイド
このステップ バイ ステップ ガイドでは、テスト環境で Windows® BitLocker™ ドライブ暗号化を使用するために必要な手順について説明します。このガイドに記載している手順は、まずテスト環境で使用することをお勧めします。ステップ バイ ステップ ガイドは、「関連資料」に記載した付属ドキュメントを使用せずに Windows Vista™ オペレーティング システムの機能を展開するという意図では作成されていません。このドキュメントを単独で使用する場合は、慎重にお使いください。
BitLocker ドライブ暗号化について
BitLocker ドライブ暗号化は、Windows Vista オペレーティング システムの統合セキュリティ機能で、お使いのコンピュータのオペレーティング システムおよびオペレーティング システム ボリュームに格納されたデータに対して幅広い保護を提供します。オペレーティング システムが実行されていないときにコンピュータが改ざんされた場合でも、BitLocker により、Windows Vista を実行しているコンピュータに格納されたデータは暗号化されたままです。この機能により、インストール済みのオペレーティング システムを無効化または迂回したり、ハード ディスク ドライブを物理的に取り外してデータを個別に攻撃することで行われる "オフライン攻撃" から保護されます。
BitLocker は Windows ボリューム全体を暗号化することで盗用または不正な閲覧からデータが保護されます。これに加え、トラステッド プラットフォーム モジュール (TPM) を使用して、データに対する保護を強化し、初期のブート コンポーネントの整合性を保証します。
BitLocker は、シームレスなユーザー エクスペリエンスを提供するように設計されています。互換性のある TPM マイクロチップおよび BIOS を備えたシステムに対応した設計です。互換性のある TPM は、バージョン 1.2 TPM として定義されています。互換性のある BIOS では、Trusted Computing Group で定義された TPM および静的な信頼性測定のルートがサポートされています。
TPM 仕様の詳細については、Trusted Computing Group の Web サイト (http://go.microsoft.com/fwlink/?LinkId=72757) にある「TPM Specifications」セクション (英語) を参照してください。
TPM は BitLocker と対話して、システムの起動時にシームレスな保護を提供します。これはユーザーに透過的で、ユーザー ログイン エクスペリエンスは変更されません。ただし、TPM が削除されたか変更された場合や、起動に関する情報が変更された場合は、BitLocker が回復モードになるため、データへのアクセスを回復するための回復パスワードが必要になります。
BitLocker ドライブ暗号化の対象ユーザー
このガイドは次の読者を対象としています。
| • | 製品の評価を行う IT プランナおよび IT アナリスト |
| • | セキュリティ アーキテクト |
このガイドの内容
このガイドは、管理者が Windows Vista の BitLocker ドライブ暗号化機能を理解できるようになることを目的にしています。以下のセクションでは、管理者がネットワーク内で BitLocker の構成および展開を開始するために必要な基本情報と手順について説明します。
シナリオ 1 では、BitLocker ドライブ暗号化に必要な 2 つのパーティションを作成するための手順について説明します。シナリオ 2 では、BitLocker および TPM を使用するドライブの暗号化方法について説明します。シナリオ 3 では、BitLocker の詳細な起動オプションの使用方法について説明します。シナリオ 4 では、ロックダウン後に暗号化データにアクセスする方法、およびロックダウンの生成によって BitLocker をテストする方法について説明します。シナリオ 5 では、BitLocker を無効する方法について説明します。
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • |
BitLocker ドライブ暗号化の要件
これらの手順は、テスト専用です。このガイドは、Microsoft Windows Server® 2008 または Windows Vista の機能を展開するために使用する唯一の資料ではありません。
ハードウェアおよびソフトウェアの要件
| • | Windows Vista の最低要件を満たしているコンピュータ。 |
| • | 有効な TPM マイクロチップ バージョン 1.2 (シナリオ 2 および 3) を搭載。 |
| • | Trusted Computing Group (TCG) 準拠の BIOS (シナリオ 2 および 3) を搭載。 |
| • | システム ボリュームとオペレーティング システム ボリュームの 2 つの NTFS ドライブ パーティション。システム ボリューム パーティションは 1.5 GB 以上で、アクティブなパーティションとして設定する必要があります (シナリオ 1)。 |
| • | USB ドライブや CD ドライブではなく、ハード ディスク ドライブから最初に起動する BIOS 設定。  注 :USB フラッシュ ドライブを起動キーとする場合、BIOS は起動時の USB フラッシュ ドライブの読み込みをサポートしている必要があります。 |
| • | BitLocker が有効になっているときにカーネル デバッガを実行しないことを強くお勧めします。暗号化キーとその他の機密データがデバッガを使用してアクセスされる可能性があります。ただし、BitLocker を有効にする前にカーネル デバッグを有効にすることができます。BitLocker を有効にしてからカーネル デバッグを有効にすると、コンピュータを再起動するたびに回復プロセスが自動的に開始されます。ブート デバッグを有効にすると ("-bootdebug" オプションでのカーネル デバッグ)、コンピュータを再起動するたびに回復プロセスが自動的に開始されます。 |
シナリオ 1: BitLocker ドライブ暗号化用にハード ディスクにパーティションを作成する
BitLocker を実行するには、ハード ディスクに少なくとも 2 つのパーティションを設定する必要があります。最初のパーティションはシステム ボリュームで、このドキュメントでは S というラベルが付いています。このボリュームには、暗号化されていない領域にブート情報が入っています。2 つ目のパーティションはオペレーティング システム ボリュームで、このドキュメントでは C というラベルが付いています。このボリュームは暗号化されており、オペレーティング システムとユーザー データが入っています。
パーティションは、Windows Vista をインストールする前に作成しておく必要があります。
注 :場合によっては、ボリュームは複数のパーティションになる可能性があります。このドキュメントでは、ボリュームとパーティションが機能的に同じである単純なボリュームについてのみ説明しています。BitLocker は、論理構造のボリュームで実行されます。ただし、多くのディスク ツールは物理的なディスク パーティションと関係があります。
シナリオ 1 では、BitLocker に必要な 2 つのパーティションを作成する方法について説明します。この手順は、ユーザーがディスク上のすべてのデータをバックアップしていることを前提としています。
| • | シングル パーティションで未使用のディスクがある場合は、「オペレーティング システムがないドライブを BitLocker 用に分割する」の手順に従ってください。 |
注 :すべてのデータがバックアップされており、Windows Vista のプロダクト キーがあることを確認してください。
注 :シングル パーティションで Windows Vista を既にインストールしてある場合は、BitLocker ドライブ準備ツールを使用して、BitLocker に必要なボリュームを構成できます。詳細については、http://support.microsoft.com/kb/930063 を参照してください。
オペレーティング システムがないディスクを BitLocker 用に分割する
ここでは、製品 DVD からコンピュータを起動した後、一連のコマンドを入力して次の操作を実行します。
| • | 新しい 1.5 GB のプライマリ パーティションを作成します。 |
| • | このパーティションをアクティブに設定します。 |
| • | ディスク領域の残りを使用して別のプライマリ パーティションを作成します。 |
| • | Windows のボリュームとして使用できるように、両方の新しいパーティションをフォーマットします。 |
| • | 大きなボリュームに Windows Vista をインストールします (C ドライブ)。 |
注 :BitLocker を適切に実行するには、別のアクティブなパーティションを作成する必要があります。
ドライブ文字は、この例のドライブ文字と対応していない場合があります。この例では、オペレーティング システム ボリュームには C というラベルが付いており、システム ボリュームには S というラベルが付いています (システム ボリュームの場合)。この例では、また、システムに物理的なハード ディスク ドライブが 1 つしかないことを前提としています。
オペレーティング システムがないディスクを BitLocker 用に分割するには
1. | Windows Vista 製品 DVD からコンピュータを起動します。 |
2. | 最初の [Windows のインストール] 画面で、インストール言語、時刻と通貨の形式、およびキーボード レイアウトを選択して、[次へ] をクリックします。 |
3. | 次の [Windows のインストール] 画面で、画面の左下にある [コンピュータを修復する] をクリックします。 |
4. | [システム回復オプション] ダイアログ ボックスで、オペレーティング システムが選択されていないことを確認します。これを行うには、一覧表示されたエントリの下にある [オペレーティング システム] 一覧の空いている場所でクリックして、[次へ] をクリックします。 |
5. | 次の [システム回復オプション] ダイアログ ボックスの [コマンド プロンプト] をクリックします。 |
6. | Diskpart を使用して、オペレーティング システム ボリュームのパーティションを作成します。コマンド プロンプトに「diskpart」と入力し、Enter キーを押します。 |
7. | 「select disk 0」と入力します。 |
8. | 「clean」と入力して、既存のパーティション テーブルを消去します。 |
9. | 「create partition primary size=1500」と入力して、プライマリ パーティションとして作成するパーティションを設定します。 |
10. | 「assign letter=S」と入力して、このパーティションを S ドライブに設定します。 |
11. | 「active」と入力して、新しいパーティションをアクティブなパーティションとして設定します。 |
12. | 「create partition primary」と入力して、別のプライマリ パーティションを作成します。この大きなパーティションに Windows をインストールします。 |
13. | 「assign letter=C」と入力して、このパーティションを C ドライブに設定します。 |
14. | 「list volume」と入力して、このディスク上のすべてのボリュームを表示します。各ボリューム、ボリューム番号、文字、ラベル、ファイル システム、タイプ、サイズ、ステータス、および情報の一覧を表示します。2 つのボリュームがあり、各ボリュームに使用されているラベルが認識されていることを確認します。 |
15. | 「exit」と入力して、diskpart アプリケーションを終了します。 |
16. | 「format c: /y /q /fs:NTFS」と入力して、C ボリュームをフォーマットします。 |
17. | 「format s: /y /q /fs:NTFS」と入力して、S ボリュームをフォーマットします。 |
18. | 「exit」と入力して、コマンド プロンプトを終了します。 |
19. | [システム回復オプション] ウィンドウで、右上隅のウィンドウを閉じるアイコンを使用して (または Alt+F4 キーを押す) ウィンドウを閉じ、メイン インストール画面に戻ります ([シャットダウン] または [再起動] をクリックしないでください)。 |
20. | [今すぐインストールする] をクリックして、Windows Vista のインストール プロセスを続行します。大きなボリューム C (オペレーティング システム ボリューム) に Windows Vista をインストールします。 |
シナリオ 2: BitLocker ドライブ暗号化を有効にする
シナリオ 2 では、TPM を使用したシステムで BitLocker ドライブ暗号化保護を有効にするための手順について説明します。BitLocker ドライブ暗号化を有効にするには、次の手順を実行します。
事前チェック
| • | 管理者としてログオンする必要があります。 |
| • | 回復パスワードを印刷するようにプリンタを構成できます。 |
BitLocker ドライブ暗号化を有効にするには
1. | [スタート]、[コントロール パネル]、[セキュリティ] の順にクリックし、[BitLocker ドライブ暗号化] をクリックします。 | ||||||
2. | [ユーザー アカウント制御] メッセージが表示されたら、実行するアクションが表示されていることを確認して、[続行] をクリックします。詳細については、このドキュメントの後半にある「関連資料」を参照してください。 | ||||||
3. | [BitLocker ドライブ暗号化] ページで、オペレーティング システム ボリュームに対して [BitLocker をオンにする] をクリックします。 TPM が初期化されていない場合は、TPM 初期化ウィザードが表示されます。指示に従って TPM を初期化し、コンピュータを再起動します。 | ||||||
4. | [回復パスワードの保存] ページに、次のオプションが表示されます。
1 つ、または複数のオプションを使用して、回復パスワードを保存します。オプションごとに、オプションを選択してウィザードの手順に従い、回復パスワードを保存または印刷するための場所を設定します。 回復パスワードの保存が完了したら、[次へ] をクリックします。  重要 :回復パスワードは、暗号化されたドライブを別のコンピュータに移動する場合や、システム起動情報を変更する場合に必要になります。このパスワードは非常に重要であるため、データに確実にアクセスできるように、パスワードの追加コピーを安全な場所に保管しておくことをお勧めします。BitLocker がロック状態になった場合は、ボリュームの暗号化データをロック解除するために回復パスワードが必要になります (「シナリオ 4: BitLocker ドライブ暗号化を使用して保護されたデータを回復する」を参照してください)。この回復パスワードは、この特定の BitLocker 暗号化に固有のものです。これを使用して、他の BitLocker 暗号化セッションから暗号化データを回復することはできません。 重要 :セキュリティを最大限に高めるために、回復パスワードはコンピュータとは別の場所に保管してください。 | ||||||
5. | [ボリュームの暗号化] ページの [BitLocker システム チェックを実行する] チェック ボックスがオンになっていることを確認してから、[続行] をクリックします。 今すぐ再起動する] をクリックして、コンピュータを再起動することを確認します。コンピュータが再起動されると、コンピュータが BitLocker と互換性があり、暗号化の準備が整っているかどうかが、BitLocker によって検証されます。互換性がない場合や暗号化の準備が整っていない場合は、問題を警告するエラー メッセージが表示されます。 | ||||||
6. | 暗号化の準備が整っている場合は、[暗号化しています…] ステータス バーが表示されます。画面の一番下にあるツール バーで BitLocker ドライブ暗号化のアイコンにマウス カーソルをポイントすると、ディスク ボリューム暗号化の進行状況を監視できます。 この手順を完了することで、オペレーティング システム ボリュームが暗号化され、このボリュームに固有の回復パスワードが作成されます。次にログオンしたときに、変更は表示されません。TPM が変更されたかアクセスできない場合、主要なシステム ファイルが変更された場合、またはだれかがオペレーティング システムを迂回するためにディスクからコンピュータを起動しようとした場合、コンピュータは回復パスワードが入力されるまで回復モードになります。 |
シナリオ 3: BitLocker ドライブ暗号化の詳細な起動オプションを有効にする
シナリオ 3 では、コンピュータのグループ ポリシー設定を変更する手順について説明します。TPM なしで BitLocker ドライブ暗号化を有効にしたり、BitLocker の詳細な起動オプションである PIN による TPM の使用またはスタートアップ キーによる TPM の使用のいずれかを有効にしたりできます。
TPM 以外のシナリオでは、スタートアップ キーを使用して自分自身を認証します。スタートアップ キーは、コンピュータの電源を入れる前にコンピュータに挿入された USB フラッシュ ドライブに作成されます。このようなシナリオでは、オペレーティング システムの前の環境 (起動時) で USB フラッシュ ドライブを読み込むことができる BIOS がコンピュータに必要です。BIOS は、BitLocker セットアップ ウィザードの終わりごろにハードウェア テストでチェックできます。
詳細な起動オプションで TPM を使用するシナリオでは、標準の TPM 保護に 2 つめの認証要素を追加できます。つまり、PIN ("知っていること") または USB フラッシュ ドライブのスタートアップ キー ("所有しているもの") です。TPM で USB フラッシュ ドライブを使用するには、オペレーティング システムが起動する前の環境 (起動時) で USB フラッシュ ドライブを読み込むことができる BIOS がコンピュータに必要です。BIOS は、BitLocker セットアップ ウィザードの終わりごろにハードウェア テストでチェックできます。
事前チェック
| • | 管理者としてログオンする必要があります。 |
| • | 回復パスワードを保存するには USB フラッシュ ドライブが必要です。 |
| • | 回復パスワードとは別の USB フラッシュ ドライブにスタートアップ キーを保管することをお勧めします。 |
互換性のある TPM を使用せずにコンピュータの BitLocker ドライブ暗号化を有効にするには
1. | [スタート] をクリックし、[検索の開始] ボックスに「gpedit.msc」と入力し、Enter キーを押します。 | ||||||
2. | [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、実行するアクションが表示されていることを確認して、[続行] をクリックします。詳細については、このドキュメントの後半にある「関連資料」を参照してください。 | ||||||
3. | [グループ ポリシー オブジェクト エディタ] コンソール ツリーで [ローカル コンピュータ ポリシー]、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順にクリックし、[BitLocker ドライブ暗号化] をダブルクリックします。 | ||||||
4. | [コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] 設定をダブルクリックします。[コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] ダイアログ ボックスが表示されます。 | ||||||
5. | [有効] オプションを選択し、[互換性のある TPM が装備されていない BitLocker を許可する] チェック ボックスをオンにして、[OK] をクリックします。 TPM の代わりにスタートアップ キーを使用できるようにポリシー設定が変更されました。 | ||||||
6. | グループ ポリシー オブジェクト エディタを終了します。 | ||||||
7. | グループ ポリシーをすぐに適用するには、[スタート] をクリックし、[検索開始] ボックスに「gpupdate.exe /force」と入力し、Enter キーを押します。プロセスが完了するのを待ちます。 | ||||||
8. | [スタート]、[コントロール パネル]、[セキュリティ] の順にクリックし、[BitLocker ドライブ暗号化] をクリックします。 | ||||||
9. | [ユーザー アカウント制御] メッセージが表示されたら、実行するアクションが表示されていることを確認して、[続行] をクリックします。詳細については、このドキュメントの後半にある「関連資料」を参照してください | ||||||
10. | [BitLocker ドライブ暗号化] ページで、オペレーティング システム ボリュームに対して [BitLocker をオンにする] をクリックします。 | ||||||
11. | [BitLocker のスタートアップ設定を設定する] ページの [毎回のスタートアップ時にスタートアップ USB キーを要求する] オプションを選択します。これは、TPM が搭載されていない PC の構成に利用可能な唯一のオプションです。このキーは、コンピュータの起動前ごとに挿入される必要があります。 | ||||||
12. | まだ挿入されていなければ、コンピュータに USB フラッシュ ドライブを挿入します。 | ||||||
13. | [スタートアップ キーの保存] ページで、USB フラッシュ ドライブの場所を選択し、[保存] をクリックします。 | ||||||
14. | [回復パスワードの保存] ページの次のオプションを表示します。
1 つまたは複数のオプションを使用して、回復パスワードを保存します。オプションごとに、オプションを選択してウィザードの手順に従い、回復パスワードを保存または印刷するための場所を設定します。 回復パスワードの保存が完了したら、[次へ] をクリックします。 重要 :回復パスワードは、暗号化されたドライブを別のコンピュータに移動する場合や、システム起動情報を変更する場合に必要になります。このパスワードは非常に重要であるため、データに確実にアクセスできるように、パスワードの追加コピーを安全な場所に保管しておくことをお勧めします。BitLocker がロック状態になった場合は、ボリュームの暗号化データをロック解除するために回復パスワードが必要になります (「シナリオ 4: BitLocker ドライブ暗号化を使用して保護されたデータを回復する」を参照してください)。この回復パスワードは、この特定の BitLocker 暗号化に固有のものです。これを使用して、他の BitLocker 暗号化セッションから暗号化データを回復することはできません。 重要 :セキュリティを最大限に高めるために、回復パスワードはコンピュータとは別の場所に保管してください。 | ||||||
15. | [ボリュームの暗号化] ページの [BitLocker システム チェックを実行する] チェック ボックスがオンになっていることを確認してから、[続行] をクリックします。 [今すぐ再起動する] をクリックして、コンピュータを再起動することを確認します。コンピュータが再起動されると、コンピュータが BitLocker と互換性があり、暗号化の準備が整っているかどうかが、BitLocker によって検証されます。暗号化を開始する前に、互換性がない場合や暗号化の準備が整っていない場合は、問題を警告するエラー メッセージが表示されます。 | ||||||
16. | 暗号化の準備が整っている場合は、[暗号化しています…] ステータス バーが表示されます。画面の一番下にあるツール バーで BitLocker ドライブ暗号化のアイコンにマウス カーソルをポイントするか、[暗号化を実行中です] バルーンをクリックして、ディスク ボリューム暗号化の進行状況を監視できます。 この手順を完了することで、オペレーティング システム ボリュームが暗号化され、このボリュームに固有な回復パスワードが作成されます。次回コンピュータの電源を入れるときに、USB フラッシュ ドライブをコンピュータの USB ポートに差し込む必要があります。そのようにしないと、暗号化されたボリュームのデータにアクセスできません。セキュリティを強化するために、コンピュータとは別の場所にスタートアップ キーを保管します。 スタートアップ キーを格納している USB フラッシュ ドライブがない場合、データにアクセスするには、回復モードを使用して回復パスワードを指定する必要あります。 |
USB フラッシュ ドライブ上の TPM と PIN を使用するか、TPM とスタートアップ キーを使用して BitLocker ドライブ暗号化を有効にするには
1. | [スタート] をクリックし、[検索開始] ボックスに「gpedit.msc」と入力し、Enter キーを押します。 | ||||||
2. | [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、実行するアクションが表示されていることを確認して、[続行] をクリックします。詳細については、このドキュメントの後半にある「関連資料」を参照してください。 | ||||||
3. | [グループ ポリシー オブジェクト エディタ] コンソール ツリーで [ローカル コンピュータ ポリシー]、[管理用テンプレート]、[Windows コンポーネント] の順にクリックし、[BitLocker ドライブ暗号化] をダブルクリックします。 | ||||||
4. | [コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] 設定をダブルクリックします。[コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] ダイアログ ボックスが表示されます。 | ||||||
5. | [有効] オプションを選択します。TPM と PIN またはスタートアップ キー構成の場合は、設定の変更は必要ありませんが、ユーザーがスタートアップ キーまたは PIN を作成することを要求するか、作成できないようにするかを選択できます。[OK] をクリックします。 | ||||||
6. | [スタート] をクリックし、[検索開始] ボックスに「gpupdate.exe /force」と入力し、Enter キーを押します。プロセスが完了するのを待ちます。 | ||||||
7. | [スタート]、[コントロール パネル]、[セキュリティ] の順にクリックし、[BitLocker ドライブ暗号化] をクリックします。 | ||||||
8. | [ユーザー アカウント制御] メッセージが表示されたら、実行するアクションが表示されていることを確認して、[続行] をクリックします。詳細については、このドキュメントの後半にある「関連資料」を参照してください | ||||||
9. | [BitLocker ドライブ暗号化] ページで、システム ボリュームに対して [BitLocker をオンにする] をクリックします。 | ||||||
10. | [BitLocker のスタートアップ設定を設定する] ページで、設定するスタートアップ オプションを選択します。次のオプションのうち 1 つだけ選択できます。
注 :Windows で実行されている、画面読み上げソフトウェアなどの支援技術プログラムでは、ブート マネージャが実行しているときに表示されるため、BitLocker スタートアップ画面を読み込むことができません。ブート マネージャは Windows が実行される前に実行するコードです。これには、PIN または回復パスワード、およびすべての BitLocker エラー メッセージを入力する場合に表示される画面が含まれます。 | ||||||
11. | [回復パスワードを保存する] ページの次のオプションを表示します。
重要 :回復パスワードは、暗号化されたドライブを別のコンピュータに移動する場合や、システム起動情報を変更する場合に必要になります。このパスワードは非常に重要であるため、データに確実にアクセスできるように、パスワードの追加コピーを安全な場所に保管しておくことをお勧めします。BitLocker ドライブ暗号化がロック状態になった場合は、ボリュームの暗号化データをロック解除するために回復パスワードが必要になります (「シナリオ 4: BitLocker ドライブ暗号化を使用して保護されたデータを回復する」を参照してください)。この回復パスワードは、この特定の BitLocker 暗号化に固有のものです。これを使用して、他の BitLocker 暗号化セッションから暗号化データを回復することはできません。 これらのオプションのいずれかを選択して、回復パスワードを保存します。セキュリティを最大限に高めるために、回復パスワードはコンピュータとは別の場所に保管してください。複数の回復パスワード格納方法を選択するには、1 つ選択し、ウィザードに従って保存または印刷の場所を決定してから、[次へ] をクリックします。追加の回復パスワード格納方法を選択するには、この手順を繰り返します。 | ||||||
12. | [ボリュームの暗号化] ページの [BitLocker システム チェックを実行する] チェック ボックスがオンになっていることを確認してから、[続行] をクリックします。 [今すぐ再起動する] をクリックして、コンピュータを再起動することを確認します。コンピュータが再起動されると、コンピュータが BitLocker と互換性があり、暗号化の準備が整っているかどうかが、BitLocker によって検証されます。暗号化を開始する前に、互換性がない場合や暗号化の準備が整っていない場合は、問題を警告するエラー メッセージが表示されます。 | ||||||
13. | 暗号化の準備が整っている場合は、[暗号化しています…] ステータス バーが表示されます。画面の一番下にあるツール バーで BitLocker ドライブ暗号化のアイコンにマウス カーソルをポイントするか、[暗号化を実行中です] バルーンをクリックして、ディスク ボリューム暗号化の進行状況を監視できます。 この手順を完了することで、オペレーティング システム ボリュームが暗号化され、このボリュームに固有な回復パスワードが作成されます。次回コンピュータの電源を入れるときに、USB フラッシュ ドライブをコンピュータの USB ポートに差し込むか、PIN を入力する必要があります。そのようにしないと、暗号化されたボリュームのデータにアクセスできません。セキュリティを強化するために、コンピュータとは別の場所にスタートアップ キーを保管します。スタートアップ キーまたは PIN がない場合、データにアクセスするには、回復モードを使用して回復パスワードを指定する必要あります。 |
シナリオ 4: BitLocker ドライブ暗号化を使用して保護されたデータを回復する
シナリオ 4 では、BitLocker が回復モードになった後にデータを回復するためのプロセスについて説明します。ディスク暗号化キーが利用できない場合は、BitLocker によってコンピュータがロックされています。考えられる原因の一覧を次に示します。
| • | TPM に関連したエラーが発生している。 |
| • | 初期のブート ファイルの 1 つが修正されている。 |
| • | TPM が不注意に無効にされて、コンピュータの電源が切れている。 |
| • | TPM が不注意にクリアされて、コンピュータの電源が切れている。 |
コンピュータがロックされている場合、スタートアップ プロセスは早い時期に中断されてから、オペレーティング システムが起動します。USB フラッシュ ドライブから回復パスワードを使用するか、ファンクション キーを使用して、回復パスワードを入力する必要があります。F1 〜 F9 キーは、1 〜 9 を表し、F10 キーは、0 を表します。
回復はスタートアップ プロセスの初期に発生するため、Windows のユーザー補助機能は利用できません。ユーザー補助機能が必要な場合は、回復のイベントで実行されることに注意してください。
このシナリオでは、次の 2 つの手順について説明します。
| • | データ回復のテスト |
| • | データの回復 |
データ回復をテストするには
コンピュータを再起動する場合、回復パスワードについてプロンプトが表示されます。スタートアップ構成はボリュームを暗号化して変更されたためです。
1. | [スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[ファイル名を指定して実行] の順にクリックします。 |
2. | [名前] ボックスに「tpm.msc」と入力して、[OK] をクリックします。TPM 管理コンソールが表示されます。 |
3. | [操作] で、[TPM を無効にする] をクリックします。 |
4. | 必要に応じて TPM 所有者パスワードを入力します。 |
5. | [ローカル コンピュータ上の TPM 管理] タスク パネルの [状態] パネルに "TPM はオフで、所有権は取得されています" と表示された場合は、このタスク パネルを閉じます。 |
6. | 開いているウィンドウをすべて閉じます。 |
7. | 回復パスワードが格納されている USB フラッシュ ドライブがシステムに差し込まれている場合は、通知領域の [ハードウェアの安全な取り外し] アイコンを使用して、システムから削除します。 |
8. | [スタート] ボタンをクリックし、[シャットダウン] ボタンをクリックして、コンピュータの電源を切ります。 |
BitLocker ドライブ暗号化を使用してデータへのアクセスを回復するには
1. | コンピュータの電源を入れます。 | ||||
2. | コンピュータがロックされている場合は、BitLocker ドライブ暗号化回復コンソールが表示されます。 | ||||
3. | 回復パスワードが格納されている USB フラッシュ ドライブを挿入するようプロンプトが表示されます。
注 :このコンピュータとは別のフォルダのファイル、またはリムーバブル メディアに回復パスワードを保存した場合は、別のコンピュータを使用して、パスワードを含んでいるファイルを開くことができます。適切なファイルを探すには、ロックされたコンピュータの回復コンソール表示でパスワード ID を検索して、この番号を記録します。回復キーを含んでいるファイルでは、ファイル名としてこのパスワード ID が使用されます。ファイルを開き、ファイル内で回復パスワードを探します。 |
シナリオ 5: BitLocker ドライブ暗号化を無効にする
シナリオ 5 では、BitLocker ドライブ暗号化の無効化およびボリュームの暗号化解除の方法について説明します。手順は、TPM 搭載コンピュータおよび互換性のある TPM がないコンピュータの BitLocker ドライブ暗号化構成とすべて同じです。
BitLocker を無効にする場合は、一時的に BitLocker を無効にするか、ドライブの暗号化を解除するかのいずれかを実行できます。BitLocker を無効にすると、TPM の変更およびオペレーティング システムのアップグレードが許可されます。ドライブの暗号化解除は、ボリュームが再度可読状態になり、すべてのキーが破棄されることを意味します。ボリュームの暗号化を解除した後は、暗号化プロセスを再度実行して新しいキーを生成する必要があります。
事前チェック
| • | 管理者としてログオンする必要があります。 |
| • | ドライブを暗号化する必要があります。 |
BitLocker ドライブ暗号化を無効にするには
1. | [スタート]、[コントロール パネル]、[セキュリティ] の順にクリックし、[BitLocker ドライブ暗号化] をクリックします。 |
2. | [BitLocker ドライブ暗号化] ページから、BitLocker ドライブ暗号化を無効にするボリュームを選択して、[BitLocker をオフにする] をクリックします。 |
3. | [暗号化解除レベルの選択] ダイアログ ボックスから、必要に応じて [BitLocker ドライブ暗号化を無効にします] または [ボリュームの暗号化を解除します] のいずれかをクリックします。 この手順を完了することで、BitLocker の無効化またはオペレーティング システム ボリュームの暗号化解除のいずれかが行われます。 |
関連資料
BitLocker ドライブ暗号化の詳細については、次の資料を参照してください。
| • | BitLocker は Windows Server 2008 および Windows Vista の新しい機能セットなので、BitLocker についての皆様の経験や発生した問題、ドキュメントが役立ったかどうかなどの情報が非常に役立ちます。一般的なご意見は、bdeinfo@microsoft.com に送信してください。個別のご意見に対応することはできかねますのでご承知おきください。 Microsoft Windows のコンポーネントと同様に、BitLocker ドライブ暗号化に関するヘルプを参照するには、マイクロソフト サポート オンライン Web サイト (http://go.microsoft.com/fwlink/?LinkID=76619) でいずれかのサポート オプションを選択してください。 |
| • | BitLocker に関する追加ドキュメントは、Windows Server 2008 および Windows Vista で利用できます。詳細については、http://go.microsoft.com/fwlink/?LinkId=76553 (英語) を参照してください。 |
| • | ユーザー アカウント制御機能の詳細については、「ユーザー アカウント制御」(http://go.microsoft.com/fwlink/?LinkId=66018) (英語) を参照してください。 |