BitLocker に向けた組織の準備: 計画とポリシー

適用対象

  • Windows10

IT 担当者向けのこのトピックでは、BitLocker の展開を計画する方法について説明します。

BitLocker の展開戦略を設計する場合は、適切なポリシーと、組織のビジネス要件に基づいて構成要件を定義します。 次のトピックでは、意思決定プロセスを展開して、BitLocker システムの管理についてのフレームを使って情報を収集できます。

環境内を監査します。

BitLocker のエンタープライズ展開を計画するには、まず、現在の環境を理解する必要があります。 現在のポリシー、手順、およびハードウェア環境を定義する非公式な監査を実行します。 まずのディスク暗号化ソフトウェアに関連するように、既存の企業のセキュリティ ポリシーを確認します。 組織は、現在使用していない場合のディスク暗号化ソフトウェア、これらのポリシーが存在しません。 ディスク暗号化ソフトウェアを使用している場合は、BitLocker の機能に対応する組織のポリシーを変更する必要があります。

組織の現在のディスク暗号化セキュリティ ポリシーを文書化するためには、次の質問を使用します。

  1. コンピューターで BitLocker を使用するアドレスにポリシーがあり、どのコンピューターが BitLocker を使用していないかどうか。
  2. 回復パスワードと回復キー記憶域を制御するどのようなポリシーが存在しないかどうか。
  3. BitLocker 回復を実行する必要があるユーザーの id を検証するためのポリシーとは何ですか。
  4. 組織で回復データへのアクセスを持つユーザーを制御するどのようなポリシーが存在しないかどうか。
  5. コントロールのコンピューターを廃棄または廃棄にどのようなポリシーが存在しないかどうか。

暗号化キーと認証

BitLocker は、によって、なくしたり盗まれたりしたコンピューター上のデータに承認されていないアクセスできないようにします。

  • ハード ディスクの Windows オペレーティング システムのボリューム全体を暗号化します。
  • ブート プロセスの整合性を検証しています。

トラステッド プラットフォーム モジュール (TPM) は、コンピューターの製造元によって多くの新しいコンピューターにインストールされているハードウェア コンポーネントです。 BitLocker と連携してユーザー データを保護し、システムがオフラインになっていたとしてもコンピューターの改ざんを確実に防止します。

また、BitLocker には、ユーザーが暗証番号 (PIN) を提供したり、スタートアップ キーが含まれている、フラッシュ ドライブなどのリムーバブル USB デバイスを挿入するまでは、通常の起動プロセスをロックするオプションが用意されています。 これらの追加のセキュリティ対策は、多要素認証を提供し、正しい PIN またはスタートアップ キーが提示されるまで、コンピューターが起動、または休止状態から再開されることがないよう保証します。

そうでないコンピューターの TPM version1.2 以上の場合、引き続き BitLocker を使用して、Windows オペレーティング システム ボリュームを暗号化することもできます。 ただし、この実装は、コンピューターを起動または休止状態から再開するには、USB スタートアップ キーを挿入するのには、ユーザーが必要になります、tpm が搭載された作業 BitLocker によって提供される事前起動時のシステム整合性の検証は提供されません。

BitLocker キーの保護機能

キー保護機能 説明
TPM セキュリティで保護されたルートにの信頼を確立するために使用するハードウェア デバイス。 BitLocker には、TPM バージョン 1.2 以降のみがサポートされます。
PIN ユーザーが入力した数値キー保護機能するだけでなく、TPM のみ使用できます。
拡張 PIN ユーザーが入力した英数字キー保護機能するだけでなく、TPM のみ使用できます。
スタートアップ キー 最もリムーバブル メディアに格納される暗号化キーです。 このキーの保護機能単独で使用できます以外の TPM のコンピューター、または TPM と組み合わせてセキュリティ強化のためです。
回復パスワード ボリュームが回復モードにあるときのロックを解除するために使用 48 桁の数字。 通常のキーボードで数値が数値を入力するファンクション キー (F1 F10) を使用することが常に応答しない場合、番号は多くの場合、定期的なキーボードの入力できます。
回復キー BitLocker のボリュームの暗号化されたデータを回復するために使用できるリムーバブル メディアに格納される暗号化キーです。

BitLocker の認証方法

認証方法 ユーザーの操作が必要です。 説明
TPM のみ いいえ TPM は、初期ブート コンポーネントを検証します。
TPM + 暗証番号 (PIN) はい TPM は、初期ブート コンポーネントを検証します。 ユーザーは、前に、ドライブをロック解除することと、スタートアップ プロセスを続行する前に、正しい PIN を入力する必要があります。 TPM ロックアウトの場合、入力、暗証番号 (pin) のブルート フォース攻撃から保護するために不適切な暗証番号 (pin) が繰り返し入力します。 ロックアウトをトリガーする繰り返しの試行回数は、変数です。
TPM + ネットワーク キー いいえ TPM が正常に初期ブート コンポーネントを検証し、WDS サーバーから有効な暗号化されたネットワーク キーが用意されています。 この認証方法は、自動多要素認証を維持しつつ、システムの再起動時にオペレーティング システム ボリュームのロックを解除します。
TPM + スタートアップ キー はい TPM が正常に初期ブート コンポーネントを検証し、スタートアップ キーを含む USB フラッシュ ドライブを挿入します。
スタートアップ キーのみ はい ユーザーは、回復キーやスタートアップ キーを保持する USB フラッシュ ドライブを挿入し、コンピューターを再起動するよう求められます。

TPM バージョン 1.2 以降なしのコンピューターをサポートするかどうか。

環境内で TPM バージョン 1.2 以降がないコンピューターをサポートするかどうかを決定します。 この種類のコンピューターで BitLocker をサポートするために選択した場合、ユーザーは、システムの起動に USB スタートアップ キーを使用する必要があります。 これには、多要素認証のような追加のサポート プロセスが必要です。

組織が必要、基本レベルのデータ保護の領域がどのようなかどうか。

TPM のみの認証方法では、基本的なレベルのデータ保護をセキュリティ ポリシーを満たしている必要がある組織の最も透過的なユーザー エクスペリエンスを提供します。 最も低い総所有コストがあります。 TPM のみも方が適しているコンピューターに無人にあるまたは再起動する必要があります無人します。

ただし、TPM のみの認証方法が最も低いレベルのデータ保護を提供します。 この認証方法は、初期ブート コンポーネントを変更する攻撃に対する保護が、ハードウェアまたは初期ブート コンポーネントの潜在的な脆弱性によって保護のレベルの影響を受けることができます。 BitLocker の多要素認証の方法では、全体的なレベルのデータ保護が大幅に向上します。

組織のどの領域より安全なレベルのデータ保護が必要ですか。

ユーザーのコンピューター上のデータが非常に重要なと見なされます、組織の領域がある場合は、これらのシステムでの多要素認証を使用する BitLocker の展開のベスト プラクティスを検討してください。 PIN は、システムの保護のレベルを大幅に向上を入力するユーザーが必要です。 BitLocker ネットワーク ロック解除を使用して、これらのコンピューターの信頼されたネットワーク ロック解除キーを提供できるワイヤード (有線) ネットワークに接続されているときに自動的にロック解除を許可することもします。

組織はどのような多要素認証方法を希望しますか。

多要素認証方法によって提供される保護の相違点が簡単に数値化されることはできません。 管理プロセス ヘルプデスク サポート、ユーザーの教育、ユーザーの生産性、および自動化されたシステムそれぞれの認証方法への影響を検討してください。

TPM のハードウェア構成

展開の計画では、どのような TPM ベースのハードウェア プラットフォームはサポートされているを確認します。 その構成をテストし、サポートされているように、好みの OEM からハードウェア モデルを文書化します。 TPM のハードウェアには、計画と展開のあらゆる側面中に特別な注意が必要です。

TPM 1.2 状態と初期化

TPM 1.2 では、複数の可能な状態はあります。 Windows 10 では、TPM が有効になっている、アクティブ化、およびが所有する状態に自動的に初期化します。 これは、状態、TPM を使用して前に BitLocker に必要があります。

保証キー

BitLocker で使用できるように、TPM には、RSA キーのペアである保証キーを含める必要があります。 秘密キーのペアの半分は、TPM 内で保持され、表向きまたはアクセス、TPM の外部ではありません。 TPM に、保証キーが含まれていない場合、BitLocker は、いずれかを自動的に生成 BitLocker のセットアップの一部として TPM が強制されます。

保証キーは TPM のライフ サイクルのさまざまな時点で作成できますが、TPM の有効期間に 1 回だけ作成する必要があります。 TPM の保証キーが存在しない場合は、TPM の所有権を実行する前に作成する必要があります。

TPM と、TCG について詳しくは、信頼されたコンピューティング グループを参照してください: トラステッド プラットフォーム モジュール (TPM) の仕様 (https://go.microsoft.com/fwlink/p/?linkid=69584)。

非 TPM ハードウェア構成

TPM が含まれていないデバイスをドライブ暗号化によって保護もことができます。 Windows To Go ワークスペース スタートアップ パスワードを使用して保護されている BitLocker でき、TPM なしの Pc で、スタートアップ キーを使用できます。

以外の TPM の構成では、展開に影響する可能性がある問題を識別するのにには、次の質問を使用します。

  • パスワードの場所での複雑さの規則はかどうか。
  • 予算 USB フラッシュ ドライブをこれらのコンピューターの各はありますか。
  • 既にある以外の TPM デバイスは、ブート時に USB デバイスをサポートするかどうか。

BitLocker を有効にするときに、BitLocker システム チェック オプションを使用して、個々 のハードウェア プラットフォームをテストします。 システム チェックは BitLocker 読み取れるように、回復情報 USB デバイスおよび暗号化キーから正しくボリュームを暗号化する前に確認します。 CD、DVD ドライブは、ブロック記憶域デバイスとして機能し、BitLocker 回復情報の保存に使用することはできません。

ディスクの構成に関する考慮事項

正常に機能するには、BitLocker には、特定のディスク構成が必要です。 BitLocker では、次の要件を満たす 2 つのパーティションが必要です。

  • オペレーティング システム パーティションには、オペレーティング システムとそのサポート ファイルが含まれます。NTFS ファイル システムで書式設定する必要があります。
  • システム パーティション (またはブート パーティション) は、BIOS または UEFI firware がシステムのハードウェアを準備したら、Windows を読み込むために必要なファイルが含まれています。 このパーティションには、BitLocker が有効になりません。 BitLocker が動作するのシステム パーティションが暗号化されていないと、オペレーティング システムよりも別のパーティションである必要があります。 UEFI のプラットフォームには、fat32 ファイル システムでシステム パーティションをフォーマットする必要があります。 BIOS のプラットフォームには、NTFS ファイル システムでシステム パーティションをフォーマットする必要があります。 サイズは 350 MB 以上である必要があります。

Windows セットアップでは、BitLocker の暗号化をサポートするために、コンピューターのディスク ドライブが自動的に構成します。

Windows 回復環境 (Windows RE) は、Windows プレインストール環境 (Windows PE) に基づく拡張可能な回復プラットフォームです。 コンピューターは、開始に失敗した場合、Windows が自動的にこの環境に移行し、Windows RE でスタートアップ修復ツールが診断と起動できない Windows インストールの修復を自動化します。 Windows RE には、ドライバーと回復キーまたは回復パスワードを提供することで BitLocker で保護されたボリュームのロックを解除するために必要なツールも含まれています。 Windows RE を BitLocker と組み合わせて使用するには、Windows RE のブート イメージは、BitLocker で保護されていないボリューム上に存在する必要があります。

Windows RE は、ローカルのハード ディスク以外のブート メディアからも使用できます。 BitLocker が有効なコンピューターのローカルのハード ディスク上の Windows RE をインストールしないように選択する場合は、回復の Windows 展開サービス、CD-ROM、または USB フラッシュ ドライブなどの代替ブート メソッドを使用できます。

BitLocker のプロビジョニング

Windows Vista および Windows 7 では、BitLocker は、manage-bde コマンド ライン インターフェイスまたはコントロール パネルのユーザー インターフェイスのどちらかを通じてシステムとデータ ボリューム用にプロビジョニングされた post インストールしました。 それ以降のオペレーティング システムで BitLocker 簡単にプロビジョニングし、オペレーティング システムをインストールする前にします。 Preprovisioning には、コンピューターに TPM が搭載されている必要があります。

特定のボリュームの BitLocker のステータスを確認するには、管理者は、BitLocker コントロール パネル アプレットまたは Windows エクスプ ローラーでドライブのステータスを見ることができます。 黄色の感嘆符のアイコンで"待機中のアクティブ化の"状態では、ドライブが BitLocker の preprovisioned されたことを意味します。 この状態は、ボリュームを暗号化するときに使用明確な保護機能にのみが発生したことを意味します。 この例では、ボリュームは、保護されていないと、セキュリティで保護されたキーが、ドライブが完全に保護されていると見なされるまでのボリュームに追加する必要があります。 管理者は適切なキー保護機能を追加するコントロール パネル] オプション、管理 bde ツールまたは WMI Api を使用でき、ボリュームの状態が更新されます。

コントロール パネルのオプションを使用して、管理者はBitLocker を有効にするのに選択して、dat に、オペレーティング システム ボリューム (または TPM が存在しない場合は、パスワード) では、暗証番号 (pin) など、保護機能またはパスワードまたはスマート カードの保護機能を追加するウィザードの手順に従いますボリューム。 ボリュームの状態を変更する前に、ドライブのセキュリティ] ウィンドウが表示されます。

管理者は、Windows プレインストール環境 (WinPE) からオペレーティング システムを展開する前に、BitLocker を有効にすることができます。 これは、ランダムに生成されるクリア キー保護機能、フォーマットされたボリュームに適用され、Windows セットアップ プロセスを実行する前にボリュームを暗号化します。 暗号化が使用されるディスク領域のみのオプションを使用している場合、この手順は数秒しかとため、通常の展開のプロセスにも組み込まれています。

使用済みのディスク領域のみの暗号化

BitLocker セットアップ ウィザードは、ボリュームの BitLocker を有効にすると、使用されるディスク領域のみまたは完全な暗号化の方法を選択する機能を管理者に提供します。 管理者は、使用されるディスク領域のみまたは完全なディスクの暗号化を適用するのに新しい BitLocker グループ ポリシー設定を使用できます。

使用する認証方法の BitLocker のセットアップ ウィザードを起動するように求められます (パスワードやスマート カードが利用できるデータ ボリューム)。 メソッドを選択し、回復キーの保存、ドライブの暗号化の種類、使用されるディスク領域のみまたは"完全"のドライブの暗号化を選択を求められます。

使用されるディスク領域のみのみ暗号化された、使用されていないデータが含まれているドライブの部分が表示されます領域が維持されている暗号化されていないことを意味します。 これにより、ある程度高速で、新しい Pc とデータ ドライブの特に暗号化処理します。 データがドライブの使用の部分をドライブに追加されると、このメソッドを使用して BitLocker を有効にするときは暗号化され、ドライブに保存された暗号化されていないデータがないようにします。

ドライブ全体の暗号化では、ドライブ全体暗号化されることをデータがそれに保存されているかどうかどうかに関係なくことを意味します。 これは、ドライブを再利用されているし、前の使用からデータ残っていないことを含めることができますが便利です。

Active Directory ドメイン サービスに関する考慮事項

BitLocker は、Active Directory ドメイン サービス (AD DS) を一元的なキーの管理を提供すると統合します。 既定では、回復情報がバックアップされません Active Directory に。 管理者は、BitLocker 回復情報のバックアップを有効にするドライブの種類ごとに次のグループ ポリシー設定を構成できます。

コンピューター構成テンプレート Components\BitLocker ドライブ Encryption\ドライブの種類の \Choose BitLocker で保護されたドライブの回復方法です。

既定では、ドメイン管理者のみにあるアクセス、BitLocker 回復情報が、他のユーザーにアクセスを委任することができます

コンピューター オブジェクトごとに、次の回復データが保存されます。

  • 回復パスワード

    48 桁の回復パスワード、BitLocker で保護されたボリュームを回復するために使用します。 ユーザーは、BitLocker が回復モードになると、ボリュームのロックを解除するには、このパスワードを入力します。

  • キー パッケージ データ

    このキーのパッケージと、回復パスワード、ことができる暗号化解除部分を BitLocker で保護されたボリュームのディスクが深刻な破損している場合。 各キーのパッケージは、対応するボリューム ID によって識別できますが、上で作成されたボリュームでのみ機能します。

FIPS を回復パスワード保護機能をサポートします。

Windows Server 2012 R2 および Windows 8.1 で導入された機能は、FIPS モードで完全に機能するように BitLocker を使用します。

注:、米国連邦情報処理標準 (FIPS) は、米国連邦政府機関で使われるコンピューター システムのセキュリティとの相互運用性の要件を定義します。 FIPS 140 標準では、承認済みの暗号化アルゴリズムを定義します。 FIPS 140 標準も制定要件キーの生成およびキー管理します。 米国標準とテクノロジ (NIST) は、暗号化アルゴリズムの特定の実装が FIPS 140 標準に準拠しているかどうかを判断するのに暗号化モジュール検証プログラム (CMVP) を使用します。 暗号化アルゴリズムの実装と見なされます FIPS 140 準拠用に送信されたし、NIST 検証が過ぎている場合にのみ。 送信されていないするアルゴリズムは見なされません FIPS に準拠した場合でも、実装では、同じアルゴリズムの検証済みの実装と同一のデータが生成されます。

これらのサポートされている Windows のバージョンで前に Windows が FIPS モードであった場合 BitLocker 作成できませんでしたまたは回復パスワードの使用し、回復キーを使用するユーザーの代わりに強制します。 これらの問題について詳しくは、サポート記事kb947249を参照してください。

ただし、コンピューターで BitLocker を有効になっているとこれらのサポートされているシステムを実行します。

  • FIPS に準拠した回復パスワード保護機能は、Windows が FIPS モードのときに作成できます。 これらの保護機能は、FIPS 140 NIST SP800 132 アルゴリズムを使用します。
  • Windows 8.1 で FIPS モードで作成した回復パスワードは、他のシステムで作成した回復パスワードから区別しないでください。
  • 回復は、現在動作しているすべてのケースの回復パスワード ベースのアルゴリズム回復パスワード保護機能の FIPS に準拠した作業を使用してロックを解除します。
  • FIPS に準拠した回復パスワードは、ボリュームをロック解除するとき、FIPS モードであっても、読み取り/書き込みアクセスを許可するボリュームのロックが解除されます。
  • FIPS に準拠した回復パスワード保護機能をエクスポートし、AD に格納されている FIPS モードでしばらくします。

回復パスワードの BitLocker グループ ポリシー設定は、BitLocker をサポートするすべての Windows バージョンで同じ FIPs モードであるかどうかは機能か。

ただし、Windows Server 2012 R2 と Windows 8.1 より前のシステムに対して、FIPS モードでのシステムで生成された回復パスワードを使うことはできません。 Windows Server 2012 R2 と Windows 8.1 で作成した回復パスワードが Windows Server 2012 R2 および Windows 8.1 では、前に、オペレーティング システムで BitLocker と互換性のあるではないです。その代わりに回復キーを使用する必要があります。

詳細