BitLockerの自動有効化によるトラブル
パソコンの故障時にデータの救出をしようとして、「BitLocker回復キー」を求められたのに「BitLocker暗号化」をかけた覚えがない。
こんなトラブルで困ったことはありませんか?
最近のWindows10には「BitLocker自動有効化」という機能があり、理解しておかないとパソコンの故障時などに困った事態に陥るかもしれません。
メーカー製パソコンで「BitLocker暗号化」が最初からかけられていることがあるために引き起こされる問題です。
BitLockerが意図せずに有効化されていると「回復キー」が保存されていなくて不明なため、パソコンの故障時などにデータ救出ができなくなります。
また、Windows Updateのタイミングで「回復キー」を要求されログインできなくなっても、「回復キー」がそもそも保存されていないのでログインができなくなってしまいます。
こういったときにBitLockerを解除することができれば一番なのですが、それができては暗号化の意味が無いことになりますのでなんともやっかいです。
BitLocker暗号化とは
Windows Vista以降で利用できる、ドライブ暗号化。
Windows標準機能によりドライブを暗号化することで、パソコンが起動した場合にしか内部のデータにアクセスできなくなります。
パソコンの故障時などに、HDDを取り出して別のパソコンでデータを読み出そうとしても「回復キー」を入れないとデータが読み出せません。(元のパソコンからHDD・SSDを取り出して別のパソコンに接続して起動させた場合でも同様)
場合により「回復キー」がないとリカバリーや復元もできなくなることもあります。
この場合はドライブを取り出して物理的な消去をおこなってから、外部メディアで起動させてリカバリーやOSインストールをおこなうこととなります。
データ取り出しは不可能です。
BitLockerの要件
BitLockerを有効化するのにパソコンに必要な機能要件を書いておきましょう。
1・TPM(Trusted Platform Module)1.2もしくは2.0以降が搭載されている。
TPMはメイン基板に搭載されているセキュリティチップでOS起動前の改ざん等を防ぎます。
(USBメモリーなどを使って、TPMのないパソコンでBitlockerを有効化する方法もあります)
2・ダイレクトメモリアクセス (DMA) による保護が有効になっている。
メモリーの直接読み出し保護機能。
3・セキュアブート (secure boot)が有効化されている。
セキュアブートもセキュリティに関する機能で、認証された機能やOSを起動させるための仕組みです。
基本的にUEFI(Unified Extensible Firmware Interface)とセット。
UEFIは旧BIOS(Basic Input/Output System)に代わり拡張されたパソコンのファームウエアです。
4・WindowsがBitLockerに対応している。
Windows Vista以降のOSでProfessional以上のバージョンが必要とされますが、一部例外があるようです。
セキュアブートが無効になるとBitLocker回復キーを要求される?
先日店頭で対応した不具合で、起動時にBitLocker回復キーを要求されて起動できないものがありました。
画面の英語表示にsecure bootの文字があったので、もしかしてと考えBIOS(UEFI)を立ち上げてみるとsecure bootがOFFになっていました。
その画面でsecure bootをONにしてみると、何事もなかったかのようにWindowsが起動しました。
このケースもオーナー様はご自身ではBitLockerを有効化した覚えがなく「回復キー」の控えもありませんでした。
初期状態からBitLockerが自動で有効になっていたようですので、BitLockerの解除をお勧めしておきました。
BitLockeの自動有効化にはモダンスタンバイが必要
Windows10のバージョンがv1803以降の場合、BitLockerの自動有効化機能が備わっています。
Windows10でのBitLockerは、本来Professionalの機能のはずですがHomeバージョンでも自動有効化がされるという記述も見られます。
そのため、Windows10ではProfessional以外も初期状態でのBitLocker自動有効化に注意する必要がありそうですね。
OSのバージョンに加え、BitLockerの要件(上記)と「モダンスタンバイ」が加わるとBitLockerは自動で有効化されます。
このあたりはPCメーカーの設計によると思われますが、今後増えてゆくかもしれません。
当店で見たことのあるリカバリー直後にBitLockerが自動で有効化されていたパソコンメーカーは、富士通・HP・ASUSなどですが、富士通に多い印象です。
モダンスタンバイとは
スマートフォンが通常はスリープ状態になっているにもかかわらず、通知や電話の着信を受け取れるのと似たスタンバイ状態。
ノートパソコンでシャットダウンしておいても、画面を開くとすぐに使用できるモードがこれ。
スタンバイ中もインターネット接続を維持している機種もあります(設定による)
ローカルアカウントでのセットアップでもBitLockerは自動有効化される
パソコンでBitLockerの自動有効化がされていたとしても、ログインアカウントの設定が「マイクロソフトアカウント」でのログインに設定されているならば、マイクロソフトアカウント内にBitLockerの回復キーが登録されているはずです。
この場合は起動できなくても、「マイクロソフトアカウント」にログインさえできればBitLocker回復キーの取得が可能です。
マイクロソフトアカウントにログインできない場合や、ローカルアカウントなのにBitLockerの自動有効化がされている場合が一番トラブルになりやすいこととなります。
そもそも自分でBitLockerを使用する意図がない場合には、BitLockerの自動有効化は害でしかありません。
BitLockerを使用するつもりがないのなら初期セットアップ時に確認して、BitLockerは解除しておいた方がいいでしょう。
BitLockerがかかっているかの確認法
一般的な確認方法としては、エクスプローラーでドライブパーティーションに鍵マークがあるかどうかを確認します。鍵マークがあればBitLockerが有効になっています。
しかし、ローカルアカウントでのBitLocker自動有効化の時はこれで判別ができませんので、「ディスクの管理」で確認しましょう。
「Windowsスタートボタンを右クリック」→「コンピュータの管理」→「記憶域→ディスクの管理」
パーティーションのところに「BitLockerで暗号化済み」の表示があればBitLockerがかけられています。
ということで解除していきましょう。
BitLockerを解除する
Windowsスタートボタンをクリックして、設定を開いてください。
「更新とセキュリティ」をクリックして開きます。
左側の一番下にある「デバイスの暗号化」をクリックします。
このパソコンはローカルアカウントでセットアップしたものですが、「ディスクの管理」画面では「BitLocker暗号化済み」となっていました。
「このデバイスの暗号化を完了するにはマイクロソフトアカウントが必要です」とか書かれていますが、すでに暗号化済みでボタンも「オフにする」となっていますよね。
この状態は「暗号化はされているのに回復キーは取得できていない」状態で、ある意味一番危険です。
「オフにする」ボタンを押せばBitLockerの解除ができます。
データ量・ドライブによって違いますが、30分~1時間程度で終了します。
これで意図しないBitLockerの問題はなくなりました。
ただ、実際にはBitLockerがかかっていないのに「BitLocker回復キー」を要求されてログインできなくなるトラブルも報告されていますので、困ったものですね。
BitLockerをかける
最後にBitLockerを自分でかける方法です。
盗難時などの情報保護が目的ならば、BitLockerは有効な手段です。
「コントロールパネル」から「システムとセキュリティ」を開いてください。
「BitLocker ドライブの暗号化」をクリックします。
「BitLocker ドライブの暗号化」が表示されない場合はBitLockerは使用できません。
「BitLockerを有効にする」をクリックしてから「回復キー」の保存方法を選びますが、マイクロソフト・アカウントへの保存を選択しましょう。
トラブルがあってもマイクロソフトアカウントにログインさえすれば回復キーが確認できます。
BitLoker自動有効化機能についてはもっと大きく周知させる必要性を感じます。
参考として、当店で扱ったBitLocker自動有効化の記事リンクを貼っておきます(名古屋・庄内緑地公園店 オフィシャルサイト)
「富士通 FMVA77D1LG SSD交換・リカバリー」
「ASUS K513E UACで「はい」が表示されない 」
名古屋・庄内緑地公園店オフィシャルサイト
名古屋・庄内緑地公園店オフィシャルサイトでもブログを公開中です。
ぜひご覧ください。
公開:
シェアする
