第4回 BitLockerをコマンドラインで管理する:超入門BitLocker
BitLockerはコマンドラインでも制御できる。ロックの解除や再ロック、回復パスワードや回復キーの追加・削除などはコマンドラインで操作できる。Active DirectoryにおけるBitLocker機能についても解説する。
本入門連載では、システム管理者やシステムエンジニアの方々を主な対象として、IT業界でよく使われる技術や概念、サービスなどの解説をコンパクトにまとめておく。
- 第1回「BitLockerとは」
- 第2回「BitLocker To GoでUSBメモリやリムーバブルハードディスクを暗号化して保護する」
- 第3回「BitLockerで内蔵HDD/SSDを暗号化して保護する」
- 第4回「BitLockerをコマンドラインで管理する」(本記事)
- 第5回「BitLockerのよくある質問集」
前回は内蔵ディスク(HDD/SSD)をBitLockerで暗号化する手順や注意点を説明した。今回は、BitLockerの管理業務で利用できるコマンドライン(CUI)ツールやActive Directory向けの機能について紹介する。
CUIのBitLocker管理ツール、manage-bdeコマンド
BitLockerをコマンドラインから制御するには、「manage-bde.exe」コマンドか、PowerShellのBitLocker用コマンドレットが利用できる。
C:\>manage-bde -?
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
manage-bde[.exe] -parameter [引数]
説明:
ディスク ボリュームに対する BitLocker ドライブ暗号化を構成します。
パラメーター一覧:
-status BitLocker 対応ボリュームに関する情報を指定します。
-on ボリュームを暗号化し、BitLocker 保護をオンにします。
-off ボリュームの暗号化を解除し、BitLocker 保護をオフにします。
-pause 暗号化、暗号化の解除、または空き領域のワイプを一時停止します。
-resume 暗号化、暗号化の解除、または空き領域のワイプを再開します。
…(以下省略)…
以下、manage-bdeコマンドの使用例を示しておく。GUIのBitLocker管理ツールではできないこともCUIなら可能となっている。例えばBitLockerドライブのロックを解除してファイルを書き込み、最後にまたロックする、といった処理をバッチファイルで記述できる。いずれも管理者権限のあるコマンドプロンプト上で実行すること。
BitLockerドライブの状態表示
現在のBitLockerドライブの概要は「manage-bde -status」で確認できる。
C:\>dir g: …BitLockerで保護されたUSBメモリをG:に挿入した状態
このドライブは、BitLocker ドライブ暗号化でロックされています。コントロール パネルからドライブのロックを解除してください。 …ロックを解除していないと、内容を見ることはできない
C:\>manage-bde -status g: …G:のBitLockerドライブの状態を調べる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: [不明なラベル]
[データ ボリューム]
サイズ: 不明 GB …ロックを解除していないとサイズやラベルなどの状態が全く分からない
BitLocker のバージョン: 2.0
変換状態: 不明
暗号化された割合: 不明%
暗号化の方法: AES 128
保護状態: 不明
ロック状態: ロック
識別子フィールド: 不明
自動ロック解除: 無効
キーの保護機能:
パスワード …このドライブはパスワード文字列と回復パスワードの2つだけで保護されている
数字パスワード
C:\>
最後にある「キーの保護機能」とは、BitLockerドライブの暗号キー情報を守るために付けられている、「パスワード」や「回復パスワード」「回復キー」などのことを指す。1つのBitLockerドライブには保護機能が複数付けられており、そのいずれかを使ってBitLockerドライブのロックを解除するようになっている。1つのBitLockerドライブに幾つの保護機能が付けられているか、どんな種類の保護機能が使われているかは、このmanage-bde -statusコマンドで確認できる。
BitLockerドライブのロック解除
BitLockerドライブをシステムに接続したら、最初にロック解除の操作を行う必要がある。これは「manage-bde -unlock」で実行できる。その際、保護機能の種類に応じてパスワードなども指定する。
C:\>manage-bde -unlock g: …G:のロックを解除してみる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
エラー: ロック解除機構 (パスワード、SID、証明書、回復パスワード、または
回復キー) を指定してください。 …解除の手段の指定が必要
C:\>manage-bde -unlock g: -pw …ここではパスワード入力でロック解除してみる。回復パスワードでのロック解除も可能
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
このボリュームをロック解除するためのパスワードを入力します: …ここでパスワードを入力する
指定したパスワードにより、ボリューム G: のロックが正常に解除されました。 …解除成功
C:\>dir g: /w …内容を確認してみる
ドライブ G のボリューム ラベルは FATUSB です …ロックが解除され、内容を見ることができるようになっている
ボリューム シリアル番号は 9478-B4CF です
G:\ のディレクトリ
[図版データ] [Photoshopアクション] [tmp] [サンプル ピクチャ] [data]
0 個のファイル 0 バイト
5 個のディレクトリ 7,629,041,664 バイトの空き領域
C:\>manage-bde -status g: …もう一度-statusで内容を確認してみる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: [FATUSB]
[データ ボリューム]
サイズ: 7.20 GB …今度は正しくBitLockerドライブの内容を確認できる
BitLocker のバージョン: 2.0
変換状態: 使用領域のみ暗号化
暗号化された割合: 100.0%
暗号化の方法: AES 128
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
自動ロック解除: 無効
キーの保護機能:
パスワード
数字パスワード
C:\>
ロック解除後、以下のようなコマンドが利用できるようになる。
BitLockerドライブのロック(ロック解除からロック状態に戻す)
ロックが解除されているドライブを、元のロック状態に戻すには「manage-bde -lock」を使う。これはGUIのBitLocker管理ツールではできない操作である。
C:\>manage-bde -lock g:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: はロックされています …ロックされた
C:\>
自動ロック解除の有効化/無効化
自動的なロック解除は「manage-bde -autounlock」で設定する。自動ロック解除を有効にするたびに、解除用の外部キーが1つ作成・追加される(自動ロック解除はユーザーごとの機能/設定なので、多くのシステムで自動ロック解除させていると、このタイプの外部キーが増えていく)。
C:\>manage-bde -autounlock -enable g: …自動ロック解除の有効化
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能: …新しく1つ外部キーが追加される
外部キー:
ID: {E9640354-7A86-45A3-8581-8072630A5DB5} …追加された外部キーの情報
外部キー ファイル名:
E9640354-7A86-45A3-8581-8072630A5DB5.BEK …外部キーファイル名。実際にはこのキー情報はレジストリ中に保存されている
自動ロック解除は有効です。
C:\>
パスワードの変更
ロック解除のために入力するパスワード文字列を変更するには「manage-bde -changepassword」を使う。
C:\>manage-bde -changepassword g: …パスワードを変更する
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
新しいパスワードを入力します: …新しいパスワードの入力。旧パスワードを入力する必要はない
新しいパスワードをもう一度入力して確認します: …確認入力
追加されたキーの保護機能:
パスワード:
ID: {23311082-08D1-47E1-A809-E2DE95506510} …元のパスワードとは別のIDになる(元のIDの項目は削除され、別項目が新規に追加されている)
C:\>
BitLockerドライブの保護の中断と再開
BitLockerドライブの保護を中断/再開するには「manage-bde -protectors -disable」「manage-bde -protectors -enable」を使う。「中断」とは、ドライブのデータは暗号化されたままだが、パスワード入力などなしでもドライブの内容にアクセスできるようになっている状態である(内部的にはクリアキーが設定されている状態)。システムのバージョンアップなどのために、一時的に暗号化を無効にしたい場合に使われる。元の保護されている状態にするには「再開」を実行する。
C:\>manage-bde -protectors -disable g: …保護の中断
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: のキーの保護機能が無効になりました。
C:\>manage-bde -protectors -enable g: …保護の再開
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: のキーの保護機能が有効になりました。
C:\>
保護機能情報の取得
1つのBitLockerディスクには複数の保護機能(ロック解除用のキーなどの情報)を付けることができる。その一覧は「manage-bde -protectors -get」で確認できる。
C:\>manage-bde -protectors -get g: …保護機能一覧の取得
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: [FATUSB]
すべてのキーの保護機能 …このドライブには3つの保護機能がある
パスワード: …パスワード文字列による保護。パスワードは1つのBitLockerドライブには1つしか付けられない
ID: {81FDD4CD-004F-4352-9227-3B1F7CF37F1C}
数字パスワード: …回復パスワード(数字パスワード)による保護。回復パスワードや外部キーは複数付けられる
ID: {82EF533B-7D83-4B3C-BBAC-97A854C79E57}
パスワード:
382129-526075-265034-540903-290015-055352-516351-004576 …ロックが解除された状態では、数字パスワードの数字列そのものを見ることができる
外部キー: …外部キーによる保護
ID: {E9640354-7A86-45A3-8581-8072630A5DB5}
外部キー ファイル名:
E9640354-7A86-45A3-8581-8072630A5DB5.BEK
自動ロック解除は有効です。 …この外部キーは自動ロック解除用に使われている
C:\>
回復パスワード(数字パスワード)の追加
新しい回復パスワードを追加するには「manage-bde -protectors -add -recoverypassword」を使う。引数なしで-recoverypassword(-rp)オプションを使うとランダムな回復パスワードが設定されるが、自分で好きな数字パスワードを指定することもできる。
C:\>manage-bde -protectors -add g: -recoverypassword …新しい回復パスワードの追加
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能:
数字パスワード: …追加された回復パスワードの情報
ID: {BFD1E88C-729A-4336-8F94-E824D906DA81}
パスワード:
198649-329263-367972-651112-595199-398354-648967-096426 …ランダムに自動生成された数字列
必要な操作: …生成された回復パスワードをどこかへ保存するようにという指示
1。この数字の回復パスワードを、使用しているコンピューター
以外のセキュリティ保護された場所に保存してください:
198649-329263-367972-651112-595199-398354-648967-096426
データの消失を防ぐために、このパスワードを直ちに保存してください。
このパスワードで、暗号化ボリュームのロックを解除できます。
C:\>manage-bde -protectors -add g: -rp 001111-002222-003333-004444-005555-006666-007777-008888 …固定的な回復パスワードを追加してみる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能:
数字パスワード:
ID: {72E06CC9-7F54-4A03-B89B-7837CE935A8A}
パスワード:
001111-002222-003333-004444-005555-006666-007777-008888 …指定した回復パスワードが追加された
必要な操作:
…(以下省略)…
C:\>
外部キー(回復キー)の追加
新しい外部キーを追加するには「manage-bde -protectors -add -recoverykey」を使う。結果は必ず.BEKファイルとして保存される。これをUSBメモリに保存すれば、USBキーとして使えるようになる。
C:\>manage-bde -protectors -add g: -recoverykey d:\key …新しい外部キーの追加
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能:
ディレクトリ d:\key に保存されました …作成したキーの保存先
外部キー:
ID: {BCF8DC78-FDD9-4654-A707-97D8A6C930CC}
外部キー ファイル名:
BCF8DC78-FDD9-4654-A707-97D8A6C930CC.BEK …作成された外部キーファイル名
C:\>
Active Directoryアカウントによる保護機能の追加
BitLockerでは、Active Directoryのユーザー名やグループ名による保護機能を追加することもできる。現在ログオンしているユーザーの名前やグループ名が指定したアカウントに一致していると自動的にロックが解除されるという機能である。ユーザーごとに自動ロック解除の設定を行う必要がなくなる(ただしActive Directoryドメインでのみ利用可能)。
この保護機能は「manage-bde -protectors -add -sid」で追加できる。
C:\>manage-bde -protectors -add g: -sid Example\Suzuki01 …ExampleドメインのSuzuki01というユーザーに対する自動ロック解除を設定する
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能:
Identity: …キーの種類は「Identity」タイプになる
ID: {C83C38B0-808C-4D33-BAF4-881C2B36EDF9}
SID:
S-1-5-21-2615804407-2451335561-1198822208-1120 …アカウントSID情報
アカウント名:
EXAMPLE\Suzuki01 …Active Directoryのユーザー名
C:\>
不要な保護機能情報の削除
不要な保護機能情報は「manage-bde -protectors -delete -id」で削除できる。回復パスワードや外部キーなどの情報が漏えいしたり、(別の回復パスワードを作ったなどの理由で)不要になったりした場合は、このコマンドで削除しておく。
C:\>manage-bde -protectors -delete g: -id {BFD1E88C-729A-4336-8F94-E824D906DA81} …先ほど追加した回復パスワードを削除してみる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: [FATUSB]
ID {BFD1E88C-729A-4336-8F94-E824D906DA81} のキーの保護機能
数字パスワード:
ID: {BFD1E88C-729A-4336-8F94-E824D906DA81} …削除対象のID
パスワード:
198649-329263-367972-651112-595199-398354-648967-096426
ID "{BFD1E88C-729A-4336-8F94-E824D906DA81}" のキーの保護機能が削除されました。
C:\>
自動ロック解除で使われている外部キーを削除すると、PCに接続した時に自動ロック解除できなくなるので注意する(次回はパスワードの入力などの操作が必要)。
また、保護機能が1つもないとロックを解除できなくなるので、それは禁止されている。もし保護機能を全部削除すると、BitLockerドライブは自動的に「中断」状態になり、常にロックが解除された状態になる(保護機能なしではロック状態にはできない)。全部削除してしまった場合は、速やかに新しいパスワード文字列や回復パスワード、回復キーなどを追加する必要がある。
C:\>manage-bde -protectors -delete g: -id {82EF533B-7D83-4B3C-BBAC-97A854C79E57} …最後の保護情報を削除してみる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
…(中略)…
ID "{82EF533B-7D83-4B3C-BBAC-97A854C79E57}" のキーの保護機能が削除されました。
注意: BitLocker 暗号化データへの継続的なアクセスを可能にするために、キーの保護
機能はボリューム G: 上で無効になっています。 …保護情報が全てなくなったので無効にしたという意味
追加された新しいキーの保護機能を再度有効にするには、
「manage-bde -protectors -enable G:」と入力してください。
C:\>manage-bde -protectors -enable g: …強制的に保護を再開させてみる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
エラー: エラーが発生しました (コード 0x80310007):
この操作を実行するには、安全なキーの保護機能が少なくとも 1 つ必要です。 …エラー発生。保護用のキーが1つもないのでBitLockerによる保護を再開できない
C:\>
BitLockerをActive Directoryで管理する
Active Directoryドメイン内でBitLockerを利用する場合、グループポリシーを使ってBitLockerの挙動を制御できる。例えばリムーバブルディスクに対してはBitLockerによる保護を強制したり、回復パスワードをActive Directoryで保管したりできる。詳細については以下のサイトを参照のこと。
- 「BitLocker グループ ポリシー設定」(マイクロソフトTechNetサイト)
●回復パスワードをActive Directoryに保存する
最後にActive Directoryと連携する例を1つだけ挙げておく。
回復パスワードは、BitLockerのデータを復元するために必要な重要な鍵データである。そのため、必ずどこか(第三者に盗み見されない)安全な場所に保存しておく必要がある。だがその管理を個々のユーザーに任せていたのでは紛失する危険性が高くなる。
Active Directoryでは、クライアントPCで利用しているBitLockerドライブの回復パスワードを自動的に収集、保存することができるので、可能ならこのような機能を利用したいところだ。
Active Directory上に保存されているBitLockerの回復パスワードの例これは、あるコンピュータにおいて発行された回復パスワードの一覧。各コンピュータオブジェクトのプロパティ画面で確認できる他、IDを指定してActive Directory全体から検索することもできる。
(1)コンピュータのプロパティで[BitLocker回復]タブを選択する。
(2)保存されている回復パスワードの詳細。
今回はBitLockerをコマンドラインから管理する方法を紹介した。次回は最終回として、BitLockerの気になる点をQ&A形式で取り上げる。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。