BitLocker ドライブ暗号化構成ツール manage-bde を使って、PC の起動時に PIN の入力を要求するように変更する。
スポンサーリンク
コントロールパネルにある「BitLocker ドライブ暗号化」のセットアップウィザードだと、例えば、PC の起動時に PIN の入力を要求するようなオプションの指定はなかったと思います。
Microsoft 公式サイトにもそのような事が書かれていました。
USB とパスワードの両方を TPM と組み合わせて使うには、Manage-bde というコマンド ライン ツールによる構成が必要です。
BitLocker セットアップ ウィザードを使ってこの保護方法を指定することはできません。
そのため、グループポリシーエディタと、manage-bde という BitLocker ドライブ暗号化構成ツールを使って、オプション項目の設定を行いました。
まずは、グループポリシーエディタの設定手順:
- 「Windows ロゴ」+「R」キーを押して、【ファイル名を指定して実行】ダイアログを表示する。
- 【ファイル名を指定して実行】gpedit.msc と入力して、【ローカル グループ ポリシー エディタ】画面を表示する。
- 【ローカル グループ ポリシー エディタ】左側のペインにあるツリーで「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「BitLocker ドライブ暗号化」→「オペレーティングシステムのドライブ」を開く。
- 【オペレーティングシステムのドライブ】「スタートアップ時に追加の認証を要求する」をダブルクリックする。
- 【スタートアップ時に追加の認証を要求する】以下のようにオプションを指定して、「OK」ボタンを押す。
次に、manage-bde での設定手順:
- 「Windows ロゴ」+「X」キーを押してコンテキストメニューを表示し、「コマンドプロンプト(管理者)」を選択する。
- 【コマンドプロンプト】manage-bde コマンドを実行する。以下は実行例。
- manage-bde -protectors -add c: -tp
- 今回はCドライブを暗号化するので、"c:"を指定した。
- コマンドのオプションを知りたい場合は、"manage-bde -?"、"manage-bde -protectors -?"、"manage-bde -protectors -add -?"などと入力・実行する。
- manage-bde -protectors -add c: -tp
- 【コマンドプロンプト】PIN の入力を求められるので、4以上20以下の文字を入力する。
- グループポリシーエディタで「拡張スタートアップ PIN」を有効にすれば、大文字・小文字・記号・数字・空白などを PIN に使えるらしいが、今回は試さなかった。
- PC を再起動して、PIN の入力を要求されたら、設定完了。
ちなみに、PIN を忘れたり、誤入力で PC がロックされても、回復キーを覚えていれば、OS の起動は可能のはずです。
ただし上でも書いたが、回復キーを忘れてしまうと、おそらく Windows の起動やデータへのアクセスが不可能になるので、回復キーの保管は重要です。
参考資料:
前の記事:
後の記事:
関連記事:
- BitLocker 導入の前提条件。 - 量産メモ帳
- 「ローカル グループ ポリシー エディタ」でスタートアップ時の BitLocker に関するオプションを変更。 - 量産メモ帳
- ようやく BitLocker ドライブ暗号化。 - 量産メモ帳