BitLocker に向けた組織の準備: 計画とポリシー

適用対象

  • Windows 10

IT 担当者向けのこのトピックでは、BitLocker の展開を計画する方法について説明します。

BitLocker 展開戦略を設計するときは、組織のビジネス要件に基づいて、適切なポリシーと構成要件を定義します。 次のトピックでは、BitLocker システムの展開と管理に関する意思決定プロセスを示すために使用できる情報の収集方法について説明します。

環境を監査する

BitLocker のエンタープライズ展開を計画するには、まず現在の環境を理解している必要があります。 非公式の監査を実施して、現在のポリシー、手順、ハードウェア環境を定義します。 まず、ディスク暗号化ソフトウェアに関連する既存の企業セキュリティポリシーを確認します。 組織で現在ディスク暗号化ソフトウェアを使用していない場合、これらのポリシーは存在しません。 ディスク暗号化ソフトウェアを使用している場合は、BitLocker の機能を解決するために組織のポリシーを変更する必要がある場合があります。

組織の現在のディスク暗号化セキュリティポリシーを文書化するには、次の質問を参考にしてください。

  1. どのコンピューターに対して BitLocker を使用するか、どのコンピューターで BitLocker を使用しないかを指定するポリシーがありますか。
  2. 回復パスワードと回復キーの記憶域を制御するために、どのようなポリシーが存在しますか?
  3. BitLocker の回復を実行する必要があるユーザーの id を検証するためのポリシーは何ですか。
  4. 組織内のユーザーが回復データにアクセスできるかどうかを制御するために、どのようなポリシーが存在しますか。
  5. コンピューターの廃棄または廃棄を制御するために、どのようなポリシーが存在しますか?

暗号化キーと認証

BitLocker は、次のようにして、紛失または盗難されたコンピューターのデータへの不正アクセスを防止します。

  • ハードディスク上の Windows オペレーティングシステムボリューム全体を暗号化します。
  • ブートプロセスの整合性を確認します。

トラステッドプラットフォームモジュール (TPM) は、コンピューターの製造元によって、多くの新しいコンピューターにインストールされているハードウェアコンポーネントです。 BitLocker と連携してユーザー データを保護し、システムがオフラインになっていたとしてもコンピューターの改ざんを確実に防止します。

さらに、BitLocker では、ユーザーが暗証番号 (PIN) を入力するか、またはスタートアップキーを含むリムーバブル USB デバイス (フラッシュドライブなど) を挿入するまで、通常のスタートアッププロセスをロックするオプションが提供されます。 これらの追加のセキュリティ対策は、多要素認証を提供し、正しい PIN またはスタートアップ キーが提示されるまで、コンピューターが起動、または休止状態から再開されることがないよう保証します。

TPM バージョン1.2 以上がインストールされていないコンピューターでも、BitLocker を使って Windows オペレーティングシステムのボリュームを暗号化することができます。 ただし、この実装では、ユーザーが USB スタートアップキーを挿入してコンピューターを起動したり、休止状態から再開したりする必要があります。また、TPM を使った BitLocker によって提供されるスタートアップ前のシステム整合性検証は提供されません。

BitLocker キーの保護機能

キーの保護機能 説明
TPM セキュリティで保護されたルート信頼性を確立するために使用されるハードウェアデバイス。 BitLocker は、TPM バージョン1.2 以上をサポートしています。
PIN TPM だけでなく使用できる、ユーザーが入力した数値キーの保護機能。
拡張ピン ユーザーが入力した英数字のキーの保護機能。 TPM に加えてのみ使用できます。
スタートアップキー ほとんどのリムーバブルメディアに保存できる暗号化キー。 このキーの保護機能は、TPM 以外のコンピューターで単独で使用することも、セキュリティを強化するために TPM と組み合わせて使うこともできます。
回復パスワード 回復モードのときに、ボリュームのロックを解除するために使用される48桁の数字。 通常のキーボードで数値を入力することもできますが、標準キーボードの数値が応答しない場合は、常にファンクションキー (F1-F10) を使って数値を入力できます。
回復キー BitLocker ボリュームで暗号化されたデータの回復に使用できる、リムーバブルメディアに保存されている暗号化キー。

BitLocker 認証方法

認証方法 ユーザーの操作が必要 説明
TPM のみ いいえ TPM は初期ブートコンポーネントを検証します。
TPM + PIN はい TPM は初期ブートコンポーネントを検証します。 ユーザーは、スタートアッププロセスを続行する前、ドライブのロックを解除する前に、正しい PIN を入力する必要があります。 PIN をブルートフォース攻撃から保護するために誤った PIN が繰り返し入力されている場合、TPM はロックアウトを入力します。 ロックアウトをトリガーする繰り返し試行回数は可変です。
TPM + ネットワークキー いいえ TPM は初期ブートコンポーネントを正常に検証し、有効な暗号化されたネットワークキーが WDS サーバーから提供されています。 この認証方法では、システムを再起動して、多要素認証を維持しながら、オペレーティングシステムボリュームの自動ロック解除を行うことができます。
TPM + スタートアップキー はい TPM は初期ブートコンポーネントを正常に検証し、スタートアップキーを含む USB フラッシュドライブが挿入されました。
スタートアップキーのみ はい 回復キーまたはスタートアップキーを含む USB フラッシュドライブを挿入し、コンピューターを再起動するように求めるメッセージが表示されます。

TPM バージョン1.2 以降を搭載していないコンピューターをサポートしますか?

使用している環境で TPM バージョン1.2 以降をインストールしていないコンピューターをサポートするかどうかを確認します。 この種類のコンピューターで BitLocker をサポートする場合、ユーザーは USB スタートアップキーを使用してシステムを起動する必要があります。 これには、多要素認証と同様の追加のサポートプロセスが必要です。

組織内で、データ保護のベースラインレベルが必要な領域は何ですか?

TPM のみの認証方法では、セキュリティポリシーを満たすために、データ保護のベースラインレベルが必要な組織に最も透過的なユーザーエクスペリエンスが提供されます。 最小の総所有コストがかかります。 TPM-無人か、または無人で再起動する必要があるコンピューターについての方が適している場合もあります。

ただし、TPM のみの認証方法では、最小レベルのデータ保護が提供されます。 この認証方法では、初期ブートコンポーネントを変更する攻撃を防ぐことができますが、保護のレベルは、ハードウェアまたは初期ブートコンポーネントの潜在的な弱点によって影響を受ける可能性があります。 BitLocker の多要素認証方法では、データ保護の全体的なレベルが大幅に向上します。

より安全なデータ保護レベルが必要な組織の領域を教えてください。

ユーザーコンピューター上に存在するデータが非常に重要であると考えられる組織内の領域がある場合は、それらのシステムで BitLocker を多要素認証と共に展開するためのベストプラクティスを検討してください。 PIN の入力をユーザーに要求すると、システムの保護レベルが大きく向上します。 また、BitLocker ネットワークロック解除を使用して、ネットワークロック解除キーを提供できる信頼されたワイヤードネットワークに接続したときに、これらのコンピューターが自動的にロックを解除できるようにすることもできます。

組織では、どのような多元的認証方法を使用していますか?

多元的な認証方法によって提供される保護の違いは、定量化することが困難です。 各認証方法は、ヘルプデスクのサポート、ユーザー教育、ユーザーの生産性、自動化されたシステム管理プロセスに与える影響を考慮してください。

TPM ハードウェア構成

展開計画で、サポートされる TPM ベースのハードウェアプラットフォームを特定します。 選択した OEM からハードウェアモデルを文書化して、その構成をテストしてサポートできるようにします。 TPM ハードウェアの計画と展開のすべての側面では、特別な考慮事項が必要です。

TPM 1.2 の状態と初期化

TPM 1.2 には、複数の状態が考えられます。 Windows 10 では、TPM が自動的に初期化されます。これにより、有効、アクティブ、所有している状態になります。 これは、TPM を使用する前に BitLocker が必要としている状態です。

保証キー

BitLocker で使用できる TPM の場合は、RSA キーペアである保証キーが含まれている必要があります。 キーペアの秘密の半分は TPM 内に保持され、TPM の外部では公開されたり、アクセスしたりすることはありません。 TPM に保証キーが含まれていない場合、BitLocker によって TPM のセットアップの一部として自動的に生成されるようになります。

保証キーは、TPM のライフサイクルのさまざまなポイントで作成できますが、TPM の有効期間中は1回だけ作成する必要があります。 TPM の保証キーが存在しない場合は、TPM の所有権を取得する前にそのキーを作成する必要があります。

TPM と TCG の詳細については、「トラステッドプラットフォームモジュール (TPM) 仕様 (https://go.microsoft.com/fwlink/p/?linkid=69584)」をご覧ください。

TPM 以外のハードウェア構成

TPM が含まれていないデバイスでも、ドライブの暗号化によって保護することができます。 Windows To Go ワークスペースは、起動時のパスワードを使用して BitLocker で保護することができます。また、TPM のない Pc ではスタートアップキーを使うことができます。

TPM 以外の構成での展開に影響を与える可能性がある問題を特定するには、次の質問を使用します。

  • パスワードの複雑さの規則はありますか。
  • これらの各コンピューターには USB フラッシュドライブの予算がありますか?
  • 既存の TPM 以外のデバイスでは、ブート時に USB デバイスをサポートしますか?

Bitlocker を有効にしているときに、BitLocker システムチェックオプションを使用して、個々のハードウェアプラットフォームをテストします。 システムのチェックでは、ボリュームを暗号化する前に、USB デバイスと暗号化キーからの回復情報を正しく読み取ることができるようにします。 CD ドライブと DVD ドライブはブロックストレージデバイスとして機能することはできません。 BitLocker の回復資料の保存に使用することはできません。

ディスク構成に関する考慮事項

BitLocker を正しく機能するには、特定のディスク構成が必要です。 BitLocker には、次の要件を満たす2つのパーティションが必要です。

  • オペレーティングシステムのパーティションには、オペレーティングシステムとそのサポートファイルが格納されます。NTFS ファイルシステムで書式設定されている必要があります。
  • システムパーティション (またはブートパーティション) には、BIOS または UEFI の起動後に Windows を読み込むために必要なファイルが含まれています。これには、システムハードウェアが用意されています。 BitLocker はこのパーティションでは有効になっていません。 BitLocker が機能するためには、システムパーティションが暗号化されておらず、オペレーティングシステムとは異なるパーティションに存在している必要があります。 UEFI プラットフォームでは、システムパーティションは FAT 32 ファイルシステムで書式設定する必要があります。 BIOS プラットフォームでは、システムパーティションは NTFS ファイルシステムでフォーマットされている必要があります。 350 MB 以上のサイズを指定する必要があります

Windows セットアップでは、BitLocker 暗号化をサポートするように、コンピューターのディスクドライブが自動的に構成されます。

Windows 回復環境 (Windows RE) は、windows プレインストール環境 (Windows PE) に基づく、拡張可能な回復プラットフォームです。 コンピューターの起動に失敗すると、Windows はこの環境に自動的に移行し、Windows RE のスタートアップ修復ツールによって、windows が起動していない Windows インストールの診断と修復が自動化されます。 Windows RE には、回復キーまたは回復パスワードを指定して、BitLocker で保護されているボリュームのロックを解除するために必要なドライバーとツールも含まれています。 Windows RE を BitLocker と組み合わせて使用するには、Windows RE のブートイメージが、BitLocker によって保護されていないボリューム上に存在している必要があります。

Windows RE は、ローカルのハードディスク以外のブートメディアからも使うことができます。 BitLocker 対応コンピューターのローカルハードディスクに Windows RE をインストールしない場合は、Windows 展開サービス、CD-ROM、USB フラッシュドライブなどの代替ブート方法を使用して、回復することができます。

BitLocker プロビジョニング

Windows Vista および Windows 7 では、管理-bde コマンドラインインターフェイスまたはコントロールパネルのユーザーインターフェイスを使用して、システムとデータボリュームのインストール後に BitLocker がプロビジョニングされました。 新しいオペレーティングシステムでは、オペレーティングシステムをインストールする前に BitLocker を簡単にプロビジョニングすることができます。 Preprovisioning を使用するには、コンピューターに TPM が搭載されている必要があります。

特定のボリュームの BitLocker の状態を確認するために、管理者は、BitLocker コントロールパネルアプレットまたは Windows エクスプローラーでドライブの状態を確認できます。 黄色の感嘆符アイコンが付いた "アクティブ化の待機中" の状態は、ドライブが BitLocker 用に事前にプロビジョニングされていることを意味します。 この状態は、ボリュームの暗号化時に使用されたクリアなプロテクターしかなかったことを意味します。 この場合、ボリュームは保護されておらず、ドライブが完全に保護されていると見なされる前に、セキュリティで保護されたキーがボリュームに追加されている必要があります。 管理者は、コントロールパネルのオプション、manage-bde ツール、または WMI Api を使って適切なキーの保護機能を追加し、ボリュームの状態を更新できます。

コントロールパネルのオプションを使用する場合、管理者はBitLocker を有効にし、ウィザードの手順に従って、オペレーティングシステムのボリューム (または TPM が存在しない場合はパスワード)、または dat へのパスワードまたはスマートカードプロテクターなどのプロテクターを追加することができます。ボリューム。 次に、ボリュームの状態を変更する前に、ドライブのセキュリティウィンドウが表示されます。

管理者は、Windows プレインストール環境 (WinPE) からオペレーティングシステムの展開前に BitLocker を有効にすることができます。 これは、Windows セットアッププロセスを実行する前に、書式設定されたボリュームにランダムに生成されたクリアキーのプロテクターを適用し、ボリュームを暗号化することで行われます。 暗号化で [使用されたディスク領域のみ] オプションを使用している場合、この手順は数秒で完了するため、定期的な展開プロセスに適切に組み込まれています。

使用済みのディスク領域のみの暗号化

BitLocker のセットアップウィザードを使用すると、管理者は、ボリュームに対して BitLocker を有効にするときに、使用されているディスク領域のみまたは完全な暗号化方法を選ぶことができます。 管理者は、新しい BitLocker グループポリシー設定を使用して、使用済みのディスク領域のみまたはフルディスク暗号化のいずれかを適用することができます。

BitLocker セットアップウィザードを起動すると、使用する認証方法 (パスワードとスマートカードをデータボリュームで利用できるようにする) を求められます。 メソッドが選択されて回復キーが保存されると、ドライブの暗号化の種類 (ディスクスペースのみ、またはドライブの完全な暗号化) を選択するように求められます。

使用されるディスク領域は、データを含むドライブの部分のみが暗号化され、未使用の領域は暗号化されません。 これにより、特に新しい Pc やデータドライブの暗号化プロセスがずっと速くなります。 この方法で BitLocker が有効になっている場合、使用されているドライブの部分は暗号化されるため、暗号化されていないデータがドライブに保存されることはありません。

完全なドライブ暗号化は、データが保存されているかどうかに関係なく、ドライブ全体が暗号化されることを意味します。 これは、転用され、前に使用したものとは異なるドライブが含まれている可能性があります。

Active Directory ドメインサービスに関する考慮事項

BitLocker は Active Directory ドメインサービス (AD DS) と統合され、一元的なキー管理を実現します。 既定では、回復情報は Active Directory にバックアップされません。 管理者は、各ドライブの種類に対して次のグループポリシー設定を構成して、BitLocker 回復情報のバックアップを有効にすることができます。

コンピューター構成 \ 管理 Templates\Windows Components\BitLocker Drive Encryption\ *drive type*¥ BitLocker 保護ドライブの回復方法を選択します。

既定では、ドメイン管理者のみが BitLocker 回復情報にアクセスできますが、他のユーザーにはアクセスを委任できます。

各コンピューターオブジェクトに対して、次の回復データが保存されます。

  • 回復パスワード

    BitLocker で保護されたボリュームの回復に使用する48桁の回復パスワード。 ユーザーは、BitLocker が回復モードに入るときにこのパスワードを入力して、ボリュームのロックを解除します。

  • キーパッケージデータ

    このキーパッケージと回復パスワードを使用すると、ディスクが破損している場合、BitLocker で保護されているボリュームの一部の暗号化を解除することができます。 各キーパッケージは、作成されたボリュームに対してのみ機能し、対応するボリューム ID で識別できます。

回復パスワードプロテクターの FIPS サポート

Windows Server 2012 R2 および Windows 8.1 で導入された機能により、BitLocker を FIPS モードで完全に機能させることができます。

注: 米国連邦情報処理標準 (FIPS) では、米国連邦政府によって使用されるコンピューターシステムのセキュリティと相互運用性の要件が定義されています。 FIPS 140 標準では、承認された暗号化アルゴリズムを定義しています。 FIPS 140 標準では、キーの生成とキー管理の要件も設定されています。 米国標準技術局 (NIST) は、暗号化モジュール検証プログラム (CMVP) を使用して、暗号化アルゴリズムの特定の実装が FIPS 140 標準に準拠しているかどうかを判断します。 暗号化アルゴリズムの実装は、cls 140 に準拠していることを意味します。これは、NIST によって検証されたものである場合に限られます。 送信されていないアルゴリズムは、実装によって同じアルゴリズムの検証済み実装として同一のデータが生成される場合でも、FIPS に準拠していると見なされません。

サポートされている Windows のバージョンより前では、Windows が FIPS モードになったときに、BitLocker によって回復パスワードの作成または使用が禁止され、代わりに回復キーを使用するように強制されました。 この問題の詳細については、サポートの記事「 kb947249」を参照してください。

ただし、次のようにサポートされている BitLocker を有効にしているコンピューターの場合:

  • FIPS 準拠の回復パスワードプロテクターは、Windows が FIPS モードの場合に作成できます。 これらのプロテクターは、FIPS 140 NIST SP800-132 アルゴリズムを使用しています。
  • Windows 8.1 で FIPS モードで作成された回復パスワードは、他のシステムで作成された回復パスワードと区別することができます。
  • 回復ロック解除 FIPS 準拠アルゴリズムベースの回復パスワードプロテクターは、現在のところ、回復パスワードに対して機能しているすべてのケースで動作します。
  • FIPS に準拠した回復パスワードでボリュームのロックを解除すると、FIPS モードでも読み取り/書き込みアクセスが許可されるように、ボリュームのロックが解除されます。
  • Fips に準拠した回復パスワード保護機能は、FIPS モードではなく、AD a にエクスポートして保存することができます。

回復パスワードの BitLocker グループポリシー設定は、FIPs モードであるかどうかにかかわらず、BitLocker をサポートするすべての Windows バージョンで同じように動作します。

ただし、Windows Server 2012 R2 と Windows 8.1 より前のシステムでは、システムで生成された回復パスワードを FIPS モードで使用することはできません。 Windows Server 2012 R2 および Windows 8.1 で作成された回復パスワードは、Windows Server 2012 R2 および Windows 8.1 より前のオペレーティングシステム上の BitLocker とは互換性がありません。そのため、代わりに回復キーを使用する必要があります。

詳細