BitLocker: BitLocker ドライブ暗号化ツールを使用して BitLocker を管理する

IT 担当者向けのこのトピックでは、BitLocker を管理するためのツールの使用方法について説明します。

BitLocker ドライブ暗号化ツールには、コマンド ライン ツール manage-bde および repair-bde と、Windows PowerShell 用の BitLocker コマンドレットが含まれます。

manage-bde と BitLocker コマンドレットはどちらも、BitLocker コントロール パネルを使用してできるすべてのタスクを実行するために使用でき、自動展開や他のスクリプト シナリオに使用するのに適しています。

repair-bde は特殊な状況のためのツールであり、BitLocker で保護されたドライブを通常の手順で、または回復コンソールを使用してロック解除できない障害回復シナリオ用に提供されています。

  1. manage-bde

  2. repair-bde

  3. Windows PowerShell 用 BitLocker コマンドレット

manage-bde

manage-bde は、BitLocker 操作のスクリプティングに使用できるコマンド ライン ツールです。 manage-bde には、BitLocker コントロール パネルに表示されない追加オプションが用意されています。 manage-bde のオプションの詳細については、manage-bde のコマンド ライン リファレンスを参照してください。

manage-bde に含まれる既定の設定は少なく、BitLocker を構成するには多くのカスタマイズが必要です。 たとえば、データ ボリュームに対して manage-bde -on コマンドだけを使用すると、どのような認証保護機能もなしでボリュームが完全に暗号化されます。 ボリュームを完全に保護するには認証方法をボリュームに追加する必要があるため、この方法で暗号化されたボリュームでは、コマンドが正常に完了したとしても、やはりユーザーが BitLocker 保護を有効にする必要があります。以下のセクションでは、manage-bde の一般的な利用シナリオの例を示します。

オペレーティング システム ボリュームでの manage-bde の使用

次に示すのは、オペレーティング システム ボリュームで有効な基本コマンドの例です。 一般に、manage-bde -on <drive letter> コマンドのみを使用すると、オペレーティング システム ボリュームは回復キーのない TPM のみの保護機能で暗号化されます。 ただし、多くの環境では、パスワードや PIN などのさらに安全な保護機能が必要であり、回復キーを使用して情報を回復できることが望まれます。 少なくとも 1 つの主要保護機能と回復保護機能をオペレーティング システム ボリュームに追加することをお勧めします。

manage-bde を使用するときは、ターゲット システムでのボリュームの状態を判別するのがよい方法です。 ボリュームの状態を判別するには、次のコマンドを使います。

manage-bde -status

このコマンドは、ターゲット上にあるボリューム、現在の暗号化の状態、および各ボリュームの種類 (オペレーティング システムまたはデータ) を返します。

次の例では、TPM チップを供えていないコンピューターで BitLocker を有効にする方法を示します。 暗号化プロセスを開始する前に、BitLocker に必要なスタートアップ キーを作成して、USB ドライブに保存する必要があります。 オペレーティング システム ボリュームで BitLocker を有効にすると、BitLocker は USB フラッシュ ドライブにアクセスして暗号化キーを取得する必要があります (この例では、ドライブ文字 E が USB ドライブを表します)。暗号化プロセスを完了するために再起動を求められます。

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

  

暗号化が完了した後、USB スタートアップ キーを挿入してから、オペレーティング システムを起動する必要があります。

 

TPM を装備しないハードウェアでスタートアップ キー保護機能を使用する代わりに、パスワードと ADaccountorgroup 保護機能を使用してオペレーティング システム ボリュームを保護することもできます。このシナリオでは、最初に保護機能を追加します。 これは次のコマンドを使用して行います。

manage-bde -protectors -add C: -pw -sid <user or group>

このコマンドでは、保護機能をボリュームに追加する前に、パスワード保護機能を入力して確認する必要があります。 ボリュームで保護機能を有効にした後は、BitLocker を有効にできます。

TPM が装備されたコンピューターでは、保護機能を定義しなくても、manage-bde を使用してオペレーティング システム ボリュームを暗号化できます。 そのためのコマンドは次のとおりです。

manage-bde -on C:

このコマンドは、既定の保護機能として TPM を使用してドライブを暗号化します。 TPM 保護機能を使用できるかどうかわからない場合、ボリュームで使用できる保護機能を一覧表示するには、次のコマンドを実行します。

 manage-bde -protectors -get <volume>

データ ボリュームでの manage-bde の使用

データ ボリュームの暗号化にはオペレーティング システム ボリュームと同じ構文を使いますが、操作を完了するために保護機能は必要ありません。 データ ボリュームの暗号化は、基本コマンド manage-bde -on <drive letter> を使用して行うことができます。または、先に追加の保護機能をボリュームに追加することもできます。 少なくとも 1 つの主要保護機能と回復保護機能をデータ ボリュームに追加することをお勧めします。

データ ボリュームの一般的な保護機能は、パスワード保護機能です。 次の例では、ボリュームにパスワード保護機能を追加し、BitLocker を有効にします。

manage-bde -protectors -add -pw C:
manage-bde -on C:

repair-bde

BitLocker が重要な情報を格納するハード ディスクの領域が損傷する問題が発生する可能性があります。この種の問題は、ハード ディスクの故障や、Windows の異常終了が原因である場合があります。

ドライブが BitLocker を使用して暗号化されている場合、BitLocker 修復ツール (repair-bde) を使用して、重大な損傷を受けたハード ディスクの暗号化されたデータにアクセスできます。有効な回復パスワードまたは回復キーを使用してデータの暗号化が解除されるなら、repair-bde はドライブの重要な部分を再構築して、回復可能なデータを修復できます。ドライブの BitLocker メタデータ データが破損した場合は、回復パスワードまたは回復キーに加えて、バックアップ キー パッケージを提供できる必要があります。Active Directory ドメイン サービス (AD DS) バックアップの既定の設定を使用した場合、このキー パッケージは AD DS にバックアップされます。このキー パッケージと回復パスワードまたは回復キーを使用すると、ディスクが破損した場合でも、BitLocker で保護されたドライブの部分の暗号化を解除できます。各キー パッケージは、対応するドライブ識別子があるドライブに対してのみ動作します。BitLocker 回復パスワード ビューアーを使用して、AD DS からこのキー パッケージを取得できます。

ヒント  

回復情報を AD DS にバックアップしていない場合、または代わりにキー パッケージを保存する場合は、manage-bde -KeyPackage コマンドを使用してボリュームのキー パッケージを生成できます。

 

repair-bde コマンド ライン ツールは、オペレーティング システムが起動しない場合、または BitLocker 回復コンソールを開始できない場合に使うためのものです。次のような場合は、repair-bde を使用する必要があります。

  1. BitLocker ドライブ暗号化を使用してドライブを暗号化してある。

  2. Windows が起動しない、または BitLocker 回復コンソールを開始できない。

  3. 暗号化されたドライブに格納されているデータのコピーがない。

  

ドライブの損傷は BitLocker に関係がないものである可能性があります。そのため、BitLocker 修復ツールを使用する前に、他のツールを使用して診断し、ドライブの問題の解決を試みることをお勧めします。Windows 回復環境 (Windows RE) では、コンピューターを修復するための他のオプションが提供されています。

 

repair-bde には次のような制限があります。

  • repair-bde コマンド ライン ツールでは、暗号化処理または暗号化解除処理の間に障害が発生したドライブを修復できません。

  • repair-bde コマンド ライン ツールでは、ドライブに何らかの暗号化がある場合、ドライブが完全に暗号化されているものと想定します。

repair-bde の使用方法について詳しくは、repair-bde に関するページを参照してください。

Windows PowerShell 用 BitLocker コマンドレット

Windows PowerShell コマンドレットでは、管理者が BitLocker を操作するときに使用する新しい方法が提供されます。 Windows PowerShell のスクリプト機能を使用すると、管理者は BitLocker のオプションを既存のスクリプトに簡単に統合できます。 使用できる BitLocker コマンドレットを次に示します。

名前

パラメーター

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confirm

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confirm

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confirm

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Lock-BitLocker

-Confirm

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confirm

-MountPoint

-WhatIf

Suspend-BitLocker

-Confirm

-MountPoint

-RebootCount

-WhatIf

Unlock-BitLocker

-AdAccountOrGroup

-Confirm

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

 

manage-bde と同様に、Windows PowerShell コマンドレットを使用すると、コントロール パネルで提供されているもの以外のオプションも構成できます。 manage-bde と同じように、ユーザーは、Windows PowerShell コマンドレットを実行する前に、暗号化するボリュームの具体的なニーズを考慮する必要があります。

最初にコンピューター上のボリュームの現在の状態を判別するのがよい手順です。 そのためには、Get-BitLockerVolume コマンドレットを使います。

Get-BitLockerVolume コマンドレットでは、ボリュームの種類、保護機能、保護の状態、その他の詳細についての情報が出力されます。

ヒント  

場合によっては、出力表示領域が足りないため、Get-BitLockerVolume を使用してもすべての保護機能が表示されないことがあります。 ボリュームのすべての保護機能が表示されない場合は、Windows PowerShell のパイプ コマンド (|) を使って、保護機能が完全に一覧表示されるように書式を設定できます。

Get-BitLockerVolume C: | fl

 

ボリュームに BitLocker をプロビジョニングする前に既存の保護機能を削除する必要がある場合は、Remove-BitLockerKeyProtector コマンドレットを使います。 これを行うには、削除する保護機能に関連付けられている GUID が必要です。

次に示すように、単純なスクリプトは各 Get-BitLockerVolume が返す値を別の変数にパイプ処理できます。

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

これを使用して、$keyprotectors 変数の情報を表示し、各保護機能の GUID を確認できます。

この情報を次のコマンドで使用して、特定のボリュームのキー保護機能を削除できます。

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

  

BitLocker コマンドレットでは、実行するキー保護機能の GUID を引用符で囲む必要があります。 中かっこで囲んだ GUID 全体をコマンドに含めるようにしてください。

 

オペレーティング システム ボリュームでの BitLocker Windows PowerShell コマンドレットの使用

BitLocker Windows PowerShell コマンドレットを使用してオペレーティング システム ボリュームを暗号化する方法は、manage-bde ツールを使用する場合と似ています。 Windows PowerShell は非常に柔軟に使用できます。たとえば、ボリュームを暗号化するために目的の保護機能を部分コマンドとして追加できます。 一般的なユーザー シナリオの例と BitLocker Windows PowerShell でそれを行うための手順を次に示します。

次の例では、TPM 保護機能のみを使用してオペレーティング システム ドライブで BitLocker を有効にする方法を示します。

Enable-BitLocker C:

次の例では、追加の保護機能としてスタートアップ キー保護機能を 1 つ追加し、BitLocker のハードウェア テストをスキップします。 この例では、暗号化は直ちに開始し、再起動の必要はありません。

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

データ ボリュームでの BitLocker Windows PowerShell コマンドレットの使用

Windows PowerShell を使用したデータ ボリュームの暗号化は、オペレーティング システム ボリュームと同じです。 ボリュームを暗号化する前に、必要な保護機能を追加する必要があります。 次の例では、パスワードとして変数 $pw を使用して、E: ボリュームにパスワード保護機能を追加します。 変数 $pw は、ユーザー定義のパスワードを保存するために SecureString 値として保持されます。

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Windows PowerShell での AD アカウントまたはグループ保護機能の使用

Windows 8 および Windows Server 2012 で導入された ADAccountOrGroup 保護機能は、Active Directory の SID に基づく保護機能です。 この保護機能はオペレーティング システム ボリュームとデータ ボリュームの両方に追加できますが、プリブート環境ではオペレーティング システム ボリュームをロック解除しません。 この保護機能では、保護機能とリンクするためにドメイン アカウントまたはグループの SID が必要です。 BitLocker は、クラスターのメンバー コンピューターにディスクを適切にフェールオーバーし、メンバー コンピューターによってロック解除できるようにする SID ベースの保護機能をクラスター名オブジェクト (CNO) に追加することによって、クラスター対応のディスクを保護することができます。

警告  

ADAccountOrGroup 保護機能は、オペレーティング システム ボリュームで使用する場合は追加の保護機能 (TPM、PIN、回復キーなど) を使用する必要があります。

 

ボリュームに ADAccountOrGroup 保護機能を追加するには、前にドメインと円記号を付けた実際のドメイン SID またはグループ名が必要です。 次の例では、CONTOSO\Administrator アカウントが保護機能としてデータ ボリューム G に追加されます。

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

アカウントまたはグループに SID を使用したい場合は、最初にアカウントに関連付けられている SID を確認します。Windows PowerShell でユーザー アカウント固有の SID を取得するには、次のコマンドを使用します。

  

このコマンドを使用するには、RSAT-AD-PowerShell 機能が必要です。

 

get-aduser -filter {samaccountname -eq "administrator"}

ヒント  

上の PowerShell コマンドに加えて、ローカルにログオンしているユーザーとグループのメンバーシップに関する情報を、WHOAMI /ALL を使用して取得できます。 追加の機能を使用する必要はありません。

 

次の例では、アカウントの SID を使用して以前に暗号化されたオペレーティング システム ボリュームに、ADAccountOrGroup 保護機能を追加します。

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

  

Active Directory による保護機能は通常、フェールオーバー クラスターが有効なボリュームのロック解除に使用されます。

 

詳細

BitLocker の概要

BitLocker に関してよく寄せられる質問 (FAQ)

BitLocker に向けた組織の準備: 計画とポリシー

BitLocker: ネットワーク ロック解除を有効にする方法

BitLocker: Windows Server 2012 に展開する方法