第4回 BitLockerをコマンドラインで管理する:超入門BitLocker(1/2 ページ)
BitLockerはコマンドラインでも制御できる。ロックの解除や再ロック、回復パスワードや回復キーの追加・削除などはコマンドラインで操作できる。Active DirectoryにおけるBitLocker機能についても解説する。
本入門連載では、システム管理者やシステムエンジニアの方々を主な対象として、IT業界でよく使われる技術や概念、サービスなどの解説をコンパクトにまとめておく。
- 第1回「BitLockerとは」
- 第2回「BitLocker To GoでUSBメモリやリムーバブルハードディスクを暗号化して保護する」
- 第3回「BitLockerで内蔵HDD/SSDを暗号化して保護する」
- 第4回「BitLockerをコマンドラインで管理する」(本記事)
- 第5回「BitLockerのよくある質問集」
前回は内蔵ディスク(HDD/SSD)をBitLockerで暗号化する手順や注意点を説明した。今回は、BitLockerの管理業務で利用できるコマンドライン(CUI)ツールやActive Directory向けの機能について紹介する。
CUIのBitLocker管理ツール、manage-bdeコマンド
BitLockerをコマンドラインから制御するには、「manage-bde.exe」コマンドか、PowerShellのBitLocker用コマンドレットが利用できる。
C:\>manage-bde -?
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
manage-bde[.exe] -parameter [引数]
説明:
ディスク ボリュームに対する BitLocker ドライブ暗号化を構成します。
パラメーター一覧:
-status BitLocker 対応ボリュームに関する情報を指定します。
-on ボリュームを暗号化し、BitLocker 保護をオンにします。
-off ボリュームの暗号化を解除し、BitLocker 保護をオフにします。
-pause 暗号化、暗号化の解除、または空き領域のワイプを一時停止します。
-resume 暗号化、暗号化の解除、または空き領域のワイプを再開します。
…(以下省略)…
以下、manage-bdeコマンドの使用例を示しておく。GUIのBitLocker管理ツールではできないこともCUIなら可能となっている。例えばBitLockerドライブのロックを解除してファイルを書き込み、最後にまたロックする、といった処理をバッチファイルで記述できる。いずれも管理者権限のあるコマンドプロンプト上で実行すること。
BitLockerドライブの状態表示
現在のBitLockerドライブの概要は「manage-bde -status」で確認できる。
C:\>dir g: …BitLockerで保護されたUSBメモリをG:に挿入した状態
このドライブは、BitLocker ドライブ暗号化でロックされています。コントロール パネルからドライブのロックを解除してください。 …ロックを解除していないと、内容を見ることはできない
C:\>manage-bde -status g: …G:のBitLockerドライブの状態を調べる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: [不明なラベル]
[データ ボリューム]
サイズ: 不明 GB …ロックを解除していないとサイズやラベルなどの状態が全く分からない
BitLocker のバージョン: 2.0
変換状態: 不明
暗号化された割合: 不明%
暗号化の方法: AES 128
保護状態: 不明
ロック状態: ロック
識別子フィールド: 不明
自動ロック解除: 無効
キーの保護機能:
パスワード …このドライブはパスワード文字列と回復パスワードの2つだけで保護されている
数字パスワード
C:\>
最後にある「キーの保護機能」とは、BitLockerドライブの暗号キー情報を守るために付けられている、「パスワード」や「回復パスワード」「回復キー」などのことを指す。1つのBitLockerドライブには保護機能が複数付けられており、そのいずれかを使ってBitLockerドライブのロックを解除するようになっている。1つのBitLockerドライブに幾つの保護機能が付けられているか、どんな種類の保護機能が使われているかは、このmanage-bde -statusコマンドで確認できる。
BitLockerドライブのロック解除
BitLockerドライブをシステムに接続したら、最初にロック解除の操作を行う必要がある。これは「manage-bde -unlock」で実行できる。その際、保護機能の種類に応じてパスワードなども指定する。
C:\>manage-bde -unlock g: …G:のロックを解除してみる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
エラー: ロック解除機構 (パスワード、SID、証明書、回復パスワード、または
回復キー) を指定してください。 …解除の手段の指定が必要
C:\>manage-bde -unlock g: -pw …ここではパスワード入力でロック解除してみる。回復パスワードでのロック解除も可能
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
このボリュームをロック解除するためのパスワードを入力します: …ここでパスワードを入力する
指定したパスワードにより、ボリューム G: のロックが正常に解除されました。 …解除成功
C:\>dir g: /w …内容を確認してみる
ドライブ G のボリューム ラベルは FATUSB です …ロックが解除され、内容を見ることができるようになっている
ボリューム シリアル番号は 9478-B4CF です
G:\ のディレクトリ
[図版データ] [Photoshopアクション] [tmp] [サンプル ピクチャ] [data]
0 個のファイル 0 バイト
5 個のディレクトリ 7,629,041,664 バイトの空き領域
C:\>manage-bde -status g: …もう一度-statusで内容を確認してみる
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: [FATUSB]
[データ ボリューム]
サイズ: 7.20 GB …今度は正しくBitLockerドライブの内容を確認できる
BitLocker のバージョン: 2.0
変換状態: 使用領域のみ暗号化
暗号化された割合: 100.0%
暗号化の方法: AES 128
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
自動ロック解除: 無効
キーの保護機能:
パスワード
数字パスワード
C:\>
ロック解除後、以下のようなコマンドが利用できるようになる。
BitLockerドライブのロック(ロック解除からロック状態に戻す)
ロックが解除されているドライブを、元のロック状態に戻すには「manage-bde -lock」を使う。これはGUIのBitLocker管理ツールではできない操作である。
C:\>manage-bde -lock g:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: はロックされています …ロックされた
C:\>
自動ロック解除の有効化/無効化
自動的なロック解除は「manage-bde -autounlock」で設定する。自動ロック解除を有効にするたびに、解除用の外部キーが1つ作成・追加される(自動ロック解除はユーザーごとの機能/設定なので、多くのシステムで自動ロック解除させていると、このタイプの外部キーが増えていく)。
C:\>manage-bde -autounlock -enable g: …自動ロック解除の有効化
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能: …新しく1つ外部キーが追加される
外部キー:
ID: {E9640354-7A86-45A3-8581-8072630A5DB5} …追加された外部キーの情報
外部キー ファイル名:
E9640354-7A86-45A3-8581-8072630A5DB5.BEK …外部キーファイル名。実際にはこのキー情報はレジストリ中に保存されている
自動ロック解除は有効です。
C:\>
パスワードの変更
ロック解除のために入力するパスワード文字列を変更するには「manage-bde -changepassword」を使う。
C:\>manage-bde -changepassword g: …パスワードを変更する
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
新しいパスワードを入力します: …新しいパスワードの入力。旧パスワードを入力する必要はない
新しいパスワードをもう一度入力して確認します: …確認入力
追加されたキーの保護機能:
パスワード:
ID: {23311082-08D1-47E1-A809-E2DE95506510} …元のパスワードとは別のIDになる(元のIDの項目は削除され、別項目が新規に追加されている)
C:\>
BitLockerドライブの保護の中断と再開
BitLockerドライブの保護を中断/再開するには「manage-bde -protectors -disable」「manage-bde -protectors -enable」を使う。「中断」とは、ドライブのデータは暗号化されたままだが、パスワード入力などなしでもドライブの内容にアクセスできるようになっている状態である(内部的にはクリアキーが設定されている状態)。システムのバージョンアップなどのために、一時的に暗号化を無効にしたい場合に使われる。元の保護されている状態にするには「再開」を実行する。
C:\>manage-bde -protectors -disable g: …保護の中断
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: のキーの保護機能が無効になりました。
C:\>manage-bde -protectors -enable g: …保護の再開
BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム G: のキーの保護機能が有効になりました。
C:\>
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。