BitLocker BitLocker ドライブ暗号化ツールを使用して BitLocker を管理する - Windows セキュリティ (2023)

IT プロフェッショナル向けのこの記事では、ツールを使用して BitLocker を管理する方法について説明します。

BitLocker ドライブ暗号化ツールには、コマンド ライン ツール manage-bde およびrepair-bde、および Windows PowerShell 用の BitLocker コマンドレットが含まれています。

manage-bde と BitLocker コマンドレットの両方を使用して、BitLocker コントロール パネルから実行できるあらゆるタスクを実行でき、自動展開やその他のスクリプト シナリオでの使用に適しています。

Repair-bde は、BitLocker で保護されたドライブを通常どおりにロック解除できない、または回復コンソールを使用してロックを解除できない、ディザスター リカバリー シナリオのために提供される特別な状況のツールです。

1. 管理-bde
2. 修理-bde
3. Windows PowerShell 用の BitLocker コマンドレット

管理-bde

Manage-bde は、BitLocker 操作のスクリプト作成に使用できるコマンド ライン ツールです。 Manage-bde には、BitLocker コントロール パネルには表示されない追加オプションが用意されています。の完全なリストについては、管理-bde.exeオプションについては、を参照してください。管理-bdeコマンドラインリファレンス。

Manage-bde にはデフォルト設定が少なく、BitLocker を構成するために大幅なカスタマイズが必要です。たとえば、管理-bde.exe -onデータ ボリュームに対するコマンドは、認証プロテクターなしでボリュームを完全に暗号化します。この方法で暗号化されたボリュームでは、ボリュームを完全に保護するには認証方法を追加する必要があるため、コマンドが正常に完了した場合でも、BitLocker 保護を有効にするためにユーザーの操作が必要になります。次のセクションでは、manage-bde の一般的な使用シナリオの例を示します。

オペレーティング システム ボリュームでの manage-bde の使用

以下に、オペレーティング システム ボリュームに対する基本的な有効なコマンドの例を示します。一般に、manage-bde.exe -on <ドライブ文字>このコマンドは、TPM のみのプロテクターを使用し、回復キーを使用せずにオペレーティング システム ボリュームを暗号化します。ただし、多くの環境では、パスワードや PIN などのより安全な保護手段が必要であり、回復キーによる情報の回復が期待されています。少なくとも 1 つのプライマリ プロテクターと回復プロテクターをオペレーティング システム ボリュームに追加することをお勧めします。

使用する際の良い習慣管理-bde.exeターゲット システム上のボリュームのステータスを確認することです。次のコマンドを使用して、ボリュームのステータスを確認します。

管理-bde.exe -ステータス

このコマンドは、各ボリュームのターゲット上のボリューム、現在の暗号化ステータス、暗号化方式、およびボリューム タイプ (オペレーティング システムまたはデータ) を返します。

次の例は、TPM チップのないコンピューターで BitLocker を有効にする方法を示しています。暗号化プロセスを開始する前に、BitLocker に必要なスタートアップ キーを作成し、USB ドライブに保存する必要があります。 BitLocker がオペレーティング システム ボリュームに対して有効になっている場合、BitLocker は USB フラッシュ ドライブにアクセスして暗号化キーを取得する必要があります。この例では、ドライブ文字 E は USB ドライブを表します。コマンドを実行すると、暗号化プロセスを完了するためにコンピューターを再起動するように求められます。

manage-bde.exe -protectors -add C: -startupkey E:manage-bde.exe -on C:

非 TPM ハードウェア上のスタートアップ キー プロテクターの代わりに、パスワードとADアカウントグループオペレーティング システムのボリュームを保護するプロテクター。このシナリオでは、プロテクターが最初に追加されます。プロテクターを追加するには、次のコマンドを入力します。

manage-bde.exe -protectors -add C: -pw -sid <ユーザーまたはグループ>

上記のコマンドでは、ボリュームに追加する前にパスワード プロテクタを入力して確認する必要があります。ボリュームでプロテクターを有効にすると、BitLocker を有効にすることができます。

TPM を搭載したコンピューターでは、以下を使用してプロテクターを定義せずにオペレーティング システムのボリュームを暗号化できます。管理-bde.exe。プロテクターを定義せずに TPM を備えたコンピューターで BitLocker を有効にするには、次のコマンドを入力します。

manage-bde.exe -on C:

上記のコマンドは、デフォルトのプロテクターとして TPM を使用してドライブを暗号化します。 TPM プロテクターが使用可能かどうかを確認する場合は、次のコマンドを実行して、ボリュームで使用可能なプロテクターのリストを表示できます。

manage-bde.exe -protectors -get <ボリューム>

データ ボリュームでの manage-bde の使用

データ ボリュームは、オペレーティング システム ボリュームと同じ暗号化構文を使用しますが、操作を完了するためにプロテクターは必要ありません。データ ボリュームの暗号化は、次の基本コマンドを使用して実行できます。

manage-bde.exe -on <ドライブ文字>

または、最初に追加のプロテクターをボリュームに追加することもできます。少なくとも 1 つのプライマリ プロテクターとリカバリ プロテクターをデータ ボリュームに追加することをお勧めします。

データ ボリュームの一般的なプロテクターはパスワード プロテクターです。次の例では、パスワード保護機能がボリュームに追加され、BitLocker がオンになります。

manage-bde.exe -protectors -add -pw C:manage-bde.exe -on C:

修理-bde

BitLocker が重要な情報を保存するハード ディスク領域は、たとえば、ハード ディスクに障害が発生した場合や Windows が予期せず終了した場合に破損する可能性があります。

ドライブが BitLocker で暗号化されている場合、BitLocker 修復ツール (Repair-bde) を使用すると、深刻な損傷を受けたハード ディスク上の暗号化されたデータにアクセスできます。 Repair-bde は、有効な回復パスワードまたは回復キーがデータの復号化に使用されている限り、ドライブの重要な部分を再構築し、回復可能なデータをサルベージできます。ドライブ上の BitLocker メタデータ データが破損した場合は、回復パスワードまたは回復キーに加えて、バックアップ キー パッケージを提供する必要があります。 AD DS バックアップの既定の設定が使用されている場合、このキー パッケージは Active Directory ドメイン サービス (AD DS) にバックアップされます。このキー パッケージと回復パスワードまたは回復キーを使用すると、BitLocker で保護された破損したドライブの一部を復号化できます。各キー パッケージは、対応するドライブ識別子を持つドライブに対してのみ機能します。 BitLocker Recovery Password Viewer を使用して、AD DS からこのキー パッケージを取得できます。

Repair-bde コマンド ライン ツールは、オペレーティング システムが起動しない場合、または BitLocker 回復コンソールを起動できない場合に使用することを目的としています。次の条件に該当する場合は、Repair-bde を使用します。

• ドライブは BitLocker ドライブ暗号化を使用して暗号化されています。

• Windows が起動しないか、BitLocker 回復コンソールを起動できません。

• 暗号化されたドライブに含まれるデータのバックアップ コピーはありません。

Repair-bde には次の制限があります。

• Repair-bde コマンド ライン ツールは、暗号化または復号化プロセス中に障害が発生したドライブを修復できません。

• Repair-bde コマンド ライン ツールは、ドライブに何らかの暗号化がある場合、ドライブは完全に暗号化されていると想定します。

Repair-BDE の使用の詳細については、を参照してください。修理-bde。

Windows PowerShell 用の BitLocker コマンドレット

Windows PowerShell コマンドレットは、管理者が BitLocker を操作するときに使用できる新しい方法を提供します。 Windows PowerShell のスクリプト機能を使用すると、管理者は BitLocker オプションを既存のスクリプトに簡単に統合できます。以下のリストには、使用可能な BitLocker コマンドレットが表示されます。

manage-bde と同様に、Windows PowerShell コマンドレットを使用すると、コントロール パネルで提供されるオプションを超えた構成が可能になります。 manage-bde と同様に、ユーザーは Windows PowerShell コマンドレットを実行する前に、暗号化するボリュームの特定のニーズを考慮する必要があります。

適切な最初の手順は、コンピュータ上のボリュームの現在の状態を確認することです。ボリュームの現在の状態を確認するには、Get-BitLockerVolumeコマンドレット。

のGet-BitLockerVolumeコマンドレットの出力には、ボリューム タイプ、プロテクター、保護ステータス、その他の詳細に関する情報が表示されます。

ボリュームに BitLocker をプロビジョニングする前に既存のプロテクターを削除するには、削除-BitLockerKeyProtectorコマンドレット。このコマンドレットを実行するには、プロテクターに関連付けられた GUID を削除する必要があります。

以下に示すように、単純なスクリプトで各 Get-BitLockerVolume の値をパイプ処理して別の変数に返すことができます。

$vol = Get-BitLockerVolume$keyprotectors = $vol.KeyProtector

このスクリプトを使用すると、$keyprotectors 変数内の情報を表示して、各プロテクターの GUID を確認できます。

この情報を使用すると、次のコマンドを使用して特定のボリュームのキー プロテクターを削除できます。

Remove-BitLockerKeyProtector <ボリューム>: -KeyProtectorID "{GUID}"

オペレーティング システム ボリュームでの BitLocker Windows PowerShell コマンドレットの使用

BitLocker Windows PowerShell コマンドレットの使用は、オペレーティング システム ボリュームを暗号化するための manage-bde ツールの使用に似ています。 Windows PowerShell はユーザーに柔軟性を提供します。たとえば、ユーザーはボリュームを暗号化するためのコマンドの一部として目的のプロテクターを追加できます。以下に、一般的なユーザー シナリオの例と、BitLocker Windows PowerShell でそれらを実行する手順を示します。

次の例は、TPM プロテクターのみを使用してオペレーティング システム ドライブ上で BitLocker を有効にする方法を示しています。

BitLocker C を有効にする:

以下の例では、追加のプロテクターである StartupKey プロテクターを追加し、BitLocker ハードウェア テストをスキップすることを選択します。この例では、暗号化は再起動することなくすぐに開始されます。

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <パス> -SkipHardwareTest

データ ボリュームでの BitLocker Windows PowerShell コマンドレットの使用

Windows PowerShell を使用したデータ ボリュームの暗号化は、オペレーティング システム ボリュームの場合と同じです。ボリュームを暗号化する前に、必要なプロテクターを追加します。次の例では、変数 $pw をパスワードとして使用して、パスワード保護機能を E: ボリュームに追加します。 $pw 変数は、ユーザー定義のパスワードを保存するための SecureString 値として保持されます。

$pw = Read-Host -AsSecureString<ユーザー入力パスワード>Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Windows PowerShell での AD アカウントまたはグループ プロテクターの使用

のADアカウントまたはグループWindows 8 および Windows Server 2012 で導入されたプロテクターは、Active Directory SID ベースのプロテクターです。このプロテクターはオペレーティング システムとデータ ボリュームの両方に追加できますが、ブート前環境でオペレーティング システム ボリュームのロックは解除されません。プロテクターは、プロテクターとリンクするためにドメイン アカウントまたはグループの SID を必要とします。 BitLocker は、クラスター名オブジェクト (CNO) に SID ベースのプロテクターを追加することでクラスター対応ディスクを保護できます。これにより、ディスクがクラスターのメンバー コンピューターに適切にフェールオーバーし、ロックを解除できるようになります。

追加するにはADアカウントまたはグループプロテクターをボリュームに追加するには、実際のドメイン SID またはドメインとバックスラッシュが前に付いたグループ名のいずれかを使用します。以下の例では、CONTOSO\Administrator アカウントがプロテクターとしてデータ ボリューム G に追加されます。

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

アカウントまたはグループの SID を使用したいユーザーの場合、最初のステップは、アカウントに関連付けられた SID を確認することです。 Windows PowerShell でユーザー アカウントの特定の SID を取得するには、次のコマンドを使用します。

get-aduser -filter {samaccountname -eq "管理者"}

次の例では、ADアカウントまたはグループアカウントの SID を使用して、以前に暗号化されたオペレーティング システム ボリュームにプロテクターを追加します。

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

関連記事

• BitLocker の概要
• BitLocker のよくある質問 (FAQ)
• BitLocker に向けて組織を準備する: 計画とポリシー
• BitLocker: ネットワークロック解除を有効にする方法
• BitLocker: Windows Server 2012 に展開する方法