Windows Server 2008 R2で、BitLockerを有効化しました

デモサイトという機能がございまして、Windows Serverの上で稼働しています。

この前、ハードディスクの寿命で停止しまして、再インストールしました。再インストールついでに、BitLockerを有効化したという訳です。

順番に画面写真を並べていきながら、手順をご説明していきます。

デバイスマネージャに TPM が有ったのでやってみました。これがないと、そもそもできません。

「BitLocker ドライブ暗号化」を追加します。

確認画面。

再起動が必要です。

再起動します。

再起動しました。インストールは正常に完了しました。

これから、Cドライブを暗号化していきます。

確認が入ります。

しばらくお待ちください。

回復キーをどのように保存するか、尋ねてきます。ここで重要なのは、回復キーは、自分で設定できるパスワード等ではなく、GUIDの形をしたバイト列が、本当のキーである点です。

ファイルに保存することにしました。

Cドライブには保存できません。箱の中に、その箱の鍵を入れることはできません、的な。

ネットワークパスにて保存しました。

こんな形をしているようです。0-9A-ZはXに置き換えてありますが。。。

BitLocker ドライブ暗号化の回復キー 

 回復キーは、BitLocker で保護されているドライブのデータの回復に使用します。

これが適切な回復キーであることを確認するには、このキーの ID を、回復の画面に表示される ID と比較してください。

回復キー ID: XXXXXXXX-XXXX-XX
完全な回復キー ID: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

BitLocker 回復キー:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

ようやく暗号化を開始します。

再起動を求められました。

再起動しました。コンピュータを閲覧しますと、空き容量が激減している事が確認できます。BitLockerの変換中は、OSを問わず、これに近い状態になります。

現状を確認したい。BitLocker ドライブ暗号化

「暗号化中です」　使用している領域の大小に関わりませず、全部を変換してしまいます。

暗号化が済んだ後の状態。空き容量が、5.10GB→57.1GBに激増しています。

これでやっと普通に使える状態となりました。めでたしめでたし。。。

(10/14追記)

しかし、そのめでたい平和もつかの間、、、

ある日突然、Windowsが起動しなくなりました。。。画面は次の様子です。

 

「Windows BitLockerドライブ暗号化情報
BitLockerが有効にされてから、システムのブート情報が変更されています。
このシステムを起動するには、BitLocker回復キーの入力が必要です。
システムのブート情報への変更が承認されていることを確認してください。
システムのブート情報への変更が信頼できるものである場合は、BitLockerを一時停止してから再開してください。これにより、新しいブート情報が使われるようにBitLockerがリセットされます。
そうでない場合は、システムのブート情報を復元してください。

Enter=続行」

更には、次の様に、入力を求められます。

「Windows BitLockerドライブ暗号化の回復キーの入力
このドライブの回復キーを入力してください。
____ ____ ____ ____
____ ____ ____ ____
ドライブラベル: DDS C: 2014/08/21
回復キー ID:
F1からF9キーを使って1から9を指定します。F10キーを使って0を指定します。
カーソルを移動するにはTAB、SHIFT-TAB、HOME、END、方向キーを使います。
上下の方向キーは入力された数字の変更に利用されます。
Enter=続行 Esc=終了」

バックアップ用に外付けUSBハードディスクを設けたのですが、これが気に入らなかったみたい。。。

設計は、かなり安全側に倒してあるようですね。BitLockerは。

勿論回復キーとやらを入力すると再開できたのですが、件のUSBハードディスクが無い状態で再開しても意味はなく。。。面倒なことです。


それに関して色々調べていますと、BitLockerのドライブには状態が有ることがわかります：
【有効化】　BitLockerで暗号化が済んでいて、防備が万全な状態。
【一時停止】　BitLockerで暗号化が済んでいて、恐らく私が想像するに、回復キーが無防備な状態で保存されている状態。結局、無防備な状態。しかし、回復キーが常時利用できるので、ブート情報が変更されても、起動は妨害されない。
【再開】　有効化と同じ。
【無効化】　BitLockerで暗号化されていない、無防備な状態。


時に環境を変える際には、BitLockerのドライブを【一時停止】にして、という記述が近辺で見られた気がしますので、「え、暗号化しているのに、一時停止って、どういう動き??」 を考えた時に思いました。「回復キーが無防備な状態で保存される」という動きなんだ、という結論に至りました。


運用が難しいですね。BitLockerは。