ディスクの管理では、パーティションに「NTFS(BitLocker Encrypted)」と表示されます:
BitLockerドライブ暗号化のコントロールパネルアプレットでは、「アクティベーションを待機しているBitLocker」と表示され、「BitLockerをオンにする」オプションがあります。
[設定]> [デバイスの暗号化]に移動すると、「このデバイスの暗号化を完了するにはMicrosoftアカウントが必要です」と表示されますが、[オフにする]オプションがあります
このPCでドライブを右クリックすると、「BitLockerをオンにする」オプションがあります。
ドライブはBitLockerで暗号化されていますか?アクティベーションは回復キーを作成するためだけですか、それともアクティベーションはパーティションを暗号化しますか?
ボリュームは確かに暗号化されていますが、BitLockerは「一時停止」されています。これは、データのスクランブルに使用されるフルボリューム暗号化キー(FVEK)がプレーンテキストでディスクに保存され、誰でもアクセスできることを意味します。これは、彼らもあなたのデータにアクセスできることを意味します。
これは自分で確認できます。ボリュームがC:であると仮定して、管理者特権のコマンドプロンプトからmanage-bde -on C:
を実行します(いいえ、これはBitLockerをオンにしません...それはがすでにオンです):
PS C:\> manage-bde -on c:
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [Windows]
[OS Volume]
NOTE: This command did not create any new key protectors. Type
"manage-bde -protectors -add -?" for information on adding more key protectors.
NOTE: Encryption is already complete.
BitLocker protection is suspended until key protectors are created for the
volume. To enforce BitLocker protection on this volume, add a key protector.
出力の最後のステートメントに注意してください。
ボリュームにキープロテクターが作成されるまで、BitLocker保護は一時停止されます。
BitLocker の一時停止に関するMicrosoftのドキュメントによると:
BitLockerの一時停止は、BitLockerがボリューム上のデータを復号化することを意味しません。代わりに、一時停止により、データの暗号化解除に使用される[the]キーが平文で誰でも利用できるようになります。ディスクに書き込まれた新しいデータはまだ暗号化されています。
BitLockerが「アクティブ化を待機」している理由は、ボリュームにKey Protectorsが存在しないためです。 BitLockerはプロテクターを使用してFVEKへのアクセスを制御します。 manage-bde -protectors C: -get
の出力に注目してください。
PS C:\> manage-bde -protectors C: -get
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [Windows]
All Key Protectors
ERROR: No key protectors found.
少なくとも1つのプロテクターが作成されるまで、BitLockerは一時停止モードを終了できず、Windows UIはアクティブ化を待機していることを報告します。
この状況でBitLockerをアクティブにする方法はいくつかあります。 Microsoftアカウントを必要とせずに保護を有効にできるので、コントロールパネルからこれを行うことをお勧めします。
ウィザードを終了します。
このウィザードを完了すると、ボリュームの暗号化キーが「保護」され、ディスクに平文で保存されなくなります。つまり、暗号化されたデータは、不正アクセスから実際に保護されます。
デバイスが Modern Standby をサポートしている場合、または HSTI準拠 。 Windows 8.1以降、BitLockerはこれらのデバイスで 自動的に有効化されています 。これは、多くの新しいコンピューターが工場出荷時にBitLockerがデフォルトで有効になっていることを意味します。
会社がMcAfee Drive Encryptionを使用している場合や、AES256に切り替えたい場合など、アクティブ化する代わりにビットロッカー暗号化を取り除きたい場合は、以下を使用します。
manage-bde c: -off
その「待機」状態にある間、ビットロッカーを非アクティブ化する他の方法はありません。