量産メモ帳

忘れっぽいのでメモを残しています。浅く適当に書きます。

BitLocker ドライブ暗号化構成ツール manage-bde を使って、PC の起動時に PIN の入力を要求するように変更する。

スポンサーリンク

コントロールパネルにある「BitLocker ドライブ暗号化」のセットアップウィザードだと、例えば、PC の起動時に PIN の入力を要求するようなオプションの指定はなかったと思います。
Microsoft 公式サイトにもそのような事が書かれていました。

USB とパスワードの両方を TPM と組み合わせて使うには、Manage-bde というコマンド ライン ツールによる構成が必要です。
BitLocker セットアップ ウィザードを使ってこの保護方法を指定することはできません。



そのため、グループポリシーエディタと、manage-bde という BitLocker ドライブ暗号化構成ツールを使って、オプション項目の設定を行いました。


まずは、グループポリシーエディタの設定手順:

  1. Windows ロゴ」+「R」キーを押して、【ファイル名を指定して実行】ダイアログを表示する。
  2. 【ファイル名を指定して実行】gpedit.msc と入力して、【ローカル グループ ポリシー エディタ】画面を表示する。
  3. 【ローカル グループ ポリシー エディタ】左側のペインにあるツリーで「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「BitLocker ドライブ暗号化」→「オペレーティングシステムのドライブ」を開く。
  4. オペレーティングシステムのドライブ】「スタートアップ時に追加の認証を要求する」をダブルクリックする。
  5. 【スタートアップ時に追加の認証を要求する】以下のようにオプションを指定して、「OK」ボタンを押す。
    • 「有効」ラジオボタンを選択
    • 「互換性のある TPM が装備されていない BitLocker を許可する(USB フラッシュドライブでパスワードまたはスタートアップキーが必要)」のチェックを外す
    • TPM スタートアップの構成:"TPM を許可する"(デフォルト)
    • TPM スタートアップ PIN の構成:"TPM でスタートアップ PIN を要求する"
    • TPM スタートアップキーの構成:"TPM でスタートアップキーを許可する"(デフォルト)
    • TPM スタートアップキーと PIN の構成:"TPM でスタートアップキーと PIN を許可する"(デフォルト)



次に、manage-bde での設定手順:

  1. Windows ロゴ」+「X」キーを押してコンテキストメニューを表示し、「コマンドプロンプト(管理者)」を選択する。
  2. コマンドプロンプト】manage-bde コマンドを実行する。以下は実行例。
    • manage-bde -protectors -add c: -tp
      • 今回はCドライブを暗号化するので、"c:"を指定した。
      • コマンドのオプションを知りたい場合は、"manage-bde -?"、"manage-bde -protectors -?"、"manage-bde -protectors -add -?"などと入力・実行する。
  3. コマンドプロンプト】PIN の入力を求められるので、4以上20以下の文字を入力する。
    • グループポリシーエディタで「拡張スタートアップ PIN」を有効にすれば、大文字・小文字・記号・数字・空白などを PIN に使えるらしいが、今回は試さなかった。
  4. PC を再起動して、PIN の入力を要求されたら、設定完了。



ちなみに、PIN を忘れたり、誤入力で PC がロックされても、回復キーを覚えていれば、OS の起動は可能のはずです。
ただし上でも書いたが、回復キーを忘れてしまうと、おそらく Windows の起動やデータへのアクセスが不可能になるので、回復キーの保管は重要です。


参考資料:



前の記事:

後の記事:

関連記事: