web-dev-qa-db-ja.com

BitLockerの「アクティベーションを待機中」のボリュームは暗号化されていますか?

ディスクの管理では、パーティションに「NTFS(BitLocker Encrypted)」と表示されます: enter image description here

BitLockerドライブ暗号化のコントロールパネルアプレットでは、「アクティベーションを待機しているBitLocker」と表示され、「BitLockerをオンにする」オプションがあります。 enter image description here

[設定]> [デバイスの暗号化]に移動すると、「このデバイスの暗号化を完了するにはMicrosoftアカウントが必要です」と表示されますが、[オフにする]オプションがあります enter image description here

このPCでドライブを右クリックすると、「BitLockerをオンにする」オプションがあります。 enter image description here

ドライブはBitLockerで暗号化されていますか?アクティベーションは回復キーを作成するためだけですか、それともアクティベーションはパーティションを暗号化しますか?

9
Jason

ボリュームは暗号化されていますが、暗号化キーは「クリアテキスト」で保存されています

ボリュームは確かに暗号化されていますが、BitLockerは「一時停止」されています。これは、データのスクランブルに使用されるフルボリューム暗号化キー(FVEK)がプレーンテキストでディスクに保存され、誰でもアクセスできることを意味します。これは、彼らもあなたのデータにアクセスできることを意味します。

これは自分で確認できます。ボリュームがC:であると仮定して、管理者特権のコマンドプロンプトからmanage-bde -on C:を実行します(いいえ、これはBitLockerをオンにしません...それはがすでにオンです):

PS C:\> manage-bde -on c:
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
[OS Volume]
NOTE: This command did not create any new key protectors. Type
"manage-bde -protectors -add -?" for information on adding more key protectors.
NOTE: Encryption is already complete.
BitLocker protection is suspended until key protectors are created for the
volume. To enforce BitLocker protection on this volume, add a key protector.

出力の最後のステートメントに注意してください。

ボリュームにキープロテクターが作成されるまで、BitLocker保護は一時停止されます。

BitLocker の一時停止に関するMicrosoftのドキュメントによると:

BitLockerの一時停止は、BitLockerがボリューム上のデータを復号化することを意味しません。代わりに、一時停止により、データの暗号化解除に使用される[the]キーが平文で誰でも利用できるようになります。ディスクに書き込まれた新しいデータはまだ暗号化されています。

「アクティベーションを待機しています」とはどういう意味ですか?

BitLockerが「アクティブ化を待機」している理由は、ボリュームにKey Protectorsが存在しないためです。 BitLockerはプロテクターを使用してFVEKへのアクセスを制御します。 manage-bde -protectors C: -getの出力に注目してください。

PS C:\> manage-bde -protectors C: -get
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
All Key Protectors

ERROR: No key protectors found.

少なくとも1つのプロテクターが作成されるまで、BitLockerは一時停止モードを終了できず、Windows UIはアクティブ化を待機していることを報告します。

BitLockerのアクティブ化を完了する方法

この状況でBitLockerをアクティブにする方法はいくつかあります。 Microsoftアカウントを必要とせずに保護を有効にできるので、コントロールパネルからこれを行うことをお勧めします。

  1. 検索の開始manage BitLockerで、コントロールパネルから結果を選択します
    enter image description here

  2. BitLockerドライブ暗号化アプレットでBitLockerをオンにします
    enter image description here

  3. リカバリキーをバックアップするためのオプションの1つを選択します。
    enter image description here

  4. ウィザードを終了します。

このウィザードを完了すると、ボリュームの暗号化キーが「保護」され、ディスクに平文で保存されなくなります。つまり、暗号化されたデータは、不正アクセスから実際に保護されます。

BitLockerはどのようにして有効にされましたか?

デバイスが Modern Standby をサポートしている場合、または HSTI準拠 。 Windows 8.1以降、BitLockerはこれらのデバイスで 自動的に有効化されています 。これは、多くの新しいコンピューターが工場出荷時にBitLockerがデフォルトで有効になっていることを意味します。

追加のリソース

  • さまざまな種類のBitLockerのリスト キープロテクター
  • SuperUser answer フルボリューム暗号化キーとキープロテクターの関係について説明します。

会社がMcAfee Drive Encryptionを使用している場合や、AES256に切り替えたい場合など、アクティブ化する代わりにビットロッカー暗号化を取り除きたい場合は、以下を使用します。

manage-bde c: -off

その「待機」状態にある間、ビットロッカーを非アクティブ化する他の方法はありません。

2
JouMxyzptlk