2019年03月18日

続・BitLocker - 便利な「manage-bde」コマンド活用法

こんにちは。舘(タチ)です。

今回は以前私の書いた記事「PC紛失・盗難リスクに備えて… BitLockerでディスク暗号化を!」の続きとなります。

まだご覧になっていない方は上記リンクからご確認ください。


■前回のおさらい

BitLockerとはWindows Vista以降のWindowsOSに標準搭載されているディスクドライブ暗号化機能です。

前回の記事ではコントロールパネルから暗号化を行う方法と、TPMが搭載されていない端末でも

BitLockerを利用するための設定方法を紹介しました。


前回ご紹介したようにBitLockerの操作はコントロールパネルパネルから簡単に行えます。

ですが何台ものPCを導入・管理している場合、1台1台コントロールパネル上で操作していくのは

なかなか骨の折れる作業ですよね。

そこで今回はコマンドプロンプトからBitLockerを操作できるコマンドをご紹介します!


■BitLockerのステータスをコマンドで確認する

BitLockerをコマンドプロンプトから操作する際にはmanage-bdeコマンドを使用します。

まず現在のステータスを確認してみましょう。

ステータス表示は-statusオプションを付加して

manage-bde -statusをコマンドプロンプトから実行します。

>manage-bde -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. All rights reserved. BitLocker ドライブ暗号化で保護可能な
 ディスク ボリューム:
 ボリューム C: []
 [OS ボリューム] サイズ: 297.99 GB
 BitLocker のバージョン: None
 変換状態: 完全に暗号化が解除されました
 暗号化された割合: 0%
 暗号化の方法: なし
 保護状態: 保護はオフです
 ロック状態: ロック解除
 識別子フィールド: なし
 キーの保護機能: 見つかりません

上記のように変換状態が「完全に暗号化が解除されました」となっている場合

対象のボリュームは、まだ暗号化されていないことがわかります。

暗号化が完了している場合には、変換状態は「完全に暗号化されています」となります。

>manage-bde -status
 BitLocker ドライブ暗号化: 構成ツール Version 10.0.17763
 Copyright (C) 2013 Microsoft Corporation. All rights reserved. BitLocker ドライブ暗号化で保護可能な
 ディスク ボリューム:
 ボリューム C: [Windows]
 [OS ボリューム] サイズ: 237.37 GB
 BitLocker のバージョン: 2.0
 変換状態: 完全に暗号化されています
 暗号化された割合: 100.0%
 暗号化の方法: XTS-AES 128
 保護状態: 保護はオンです
 ロック状態: ロック解除
 識別子フィールド: 不明
 キーの保護機能:
 TPM
 数字パスワード

■BitLockerをコマンドで有効化する

有効化操作もステータス確認と同じくmanage-bde コマンドを使用します。

有効化する際にはオプションとして「-on」と「暗号化するボリューム名」を付加しますので

Cドライブを暗号化したい場合は以下のようになります。

manage-bde -on c: -RecoveryPassword -skiphardwaretest


もう2つオプションを付け加えました。これはそれぞれ

-RecoveryPassword…複号化方法として回復キーを発行(画面上に表示されます。)

-skiphardwaretest…暗号化前に行われるハードウェアテストを省略します。

という意味になります。

これによりコマンド1つで、すぐ暗号化が始まります。

>manage-bde -on c: -RecoveryPassword -skiphardwaretest 
BitLocker ドライブ暗号化: 構成ツール Version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. All rights reserved.ボリューム C: [Windows]
[OS ボリューム]
追加されたキーの保護機能:数字パスワード:
ID: {5D5F562A-0000-XXXX-A271-B3AB6E6F33A1}
パスワード:
187627-XXXXXX-611765-248402-000000-421025-356741-669834TPM:
ID: {EFBC05A2-DCB0-0000-XXXX-D48A90BEE712}必要な操作:1。この数字の回復パスワードを、使用しているコンピューター
以外のセキュリティ保護された場所に保存してください:187627-XXXXXX-XXXXXX-XXXXXX-268840-421025-356741-669834データの消失を防ぐために、このパスワードを直ちに保存してください。
このパスワードで、暗号化ボリュームのロックを解除できます。

暗号化は現在実行中です。


■manage-bde 便利なオプション

@別のPCでmanage-bdeコマンドを実行する

-cnオプションを付加するとネットワーク上の別PCを操作できます。

例としてBitLocker有効化を他のPCで実行する場合

manage-bde -on c: -RecoveryPassword -skiphardwaretest -cn “PC名 or IPアドレス”

となります。


A暗号化済みボリュームの回復キーを表示する

暗号化時に表示された回復キーを控え忘れてしまった場合でもご安心を!

manage-bde -protectors -get C:

を実行すると回復キーを再表示させることができます。


BBitLockerで暗号化されたディスクをコマンドでロック解除する

たとえば暗号化されたディスクを別PCに接続したり

USBメモリからWidowsPEをブートさせた場合には

そのままではロックされているため中のデータを読み出すことはできません。


そのような場合は上記有効化コマンド実行時に表示された

回復キーを用いてロック解除を行う必要があります。

manage-bde -unlock “ボリューム名” -recoverypassword “回復キー”


・・・


いかがでしたでしょうか。

Windowsの標準機能というだけあってコマンドベースで簡単に

暗号化やロック解除が可能なことがお分かりいただけたのではないでしょうか。

別PCに対する暗号化操作も可能ということで管理者の立場からすると

非常に使い勝手のよい仕組みだと思います。


もし、ディスクの暗号化をせず使用しているPCがありましたら

紛失・情報漏えい対策のためにも是非本記事を参考に暗号化することをご検討ください。


では、今回はこの辺りで失礼いたします。

posted by 舘 at 07:00| Comment(0) | Windows・Office | このブログの読者になる | 更新情報をチェックする

2018年12月17日

PC紛失・盗難リスクに備えて… BitLockerでディスク暗号化を!


舘です。

最近は働き方改革の1つとしてテレワークを導入する企業が増えています。
オフィス内に限らず、自宅やカフェなど様々な場所で仕事ができるということで
モバイルPCを職場外へ持ち出す機会も増えていくと思われます。

そんな時代だからこそ注意しなければいけないのが
PCやデータ記録媒体を紛失してしまった際の情報漏えいリスクです。

情報漏えい対策として挙げられる、DLPやネットワークセキュリティ製品は
データの持ち出しや不正アクセスによる情報漏えいを防ぐ手立てとしては有効ですが
PCをまるごと盗まれてしまえば内蔵ディスクからいくらでもデータを読み取れてしまいます。

そこで今回はPCの紛失・盗難自体に備える手法として
ディスクのデータを暗号化し守ってくれる"BitLocker"をご紹介します。


■BitLockerとは

Windows Vista以降のWindowsに標準搭載されているディスク暗号化機能です。

ただし、Windowsのエディションによって利用できる機能に違いがあり
Windows10であれば、ProとEnterpriseエディションのみディスクの暗号化に対応しています。
Homeエディションは暗号化されたディスクの中身を読み書きすることはできますが
暗号化自体には対応していませんのでご注意ください。

BitLockerの特徴としてTPM(マザーボード上のセキュリティチップ)をキーとして利用します。
これにより同じデバイス上であればユーザーは暗号化されていることを意識せずデータを利用できます。

なお、TPMが搭載されていないPCでもUSBメモリを外部キーとしたり
毎回パスワード入力を行うことで、TPMの代わりとすることができますが
少し事前の設定変更が必要になるので以下の手順をご確認ください。


■BitLockerを有効化する手順

では、早速BitLockerの有効化方法です。
今回はCドライブの暗号化を例として説明します。

1.まずスタートメニューからコントロールパネルを開きます。


2.コントロールパネル内の「BitLockerドライブ暗号化」をクリックし開きます。


3.BitLockerの操作画面が開きます。
 まず、右下にある「TPMの管理」をクリックし、お使いのPCでTPMが利用可能か確認しましょう。


4.下の図のように状態の項目に「TPMは使用する準備ができています。」と
 記載されていればお使いのPCにTPMが搭載/有効化されています。
 早速、【TPMが有効の場合】の手順へ進んでください。

 「互換性のあるTPMが見つかりません。」と表示さる場合
 お使いのPCではTPMが搭載されていないか、BIOS設定で無効になっています。
 少し下へスクロールして【TPMが無効の場合】の手順へ進んでください。

 (BIOS設定の問題であればTPMの有効化が可能です。
 ただ、BIOS設定については迂闊に変更するとPC起動ができなくなるリスクもありますので
 変更方法を熟知している方以外はメーカーサポート等に確認することをおすすめします。)





【TPMが有効の場合】

5.「TPMの管理」画面を閉じBitLokerの操作画面へ戻ります。
 画面中央の「BitLocker」を有効にするをクリックし
 BitLockerの設定ウィザードを開きましょう。



6.ここからは設定ウィザードの案内に沿って進めていきます。
 まず、デバイスの変更などでTPMでのロック解除ができない場合に使用する
 ”回復キー”の出力方法を「ファイル保存」と「印刷」から選びます。
 どちらも出力される”回復キー”は同じなので管理のし易いほうを選択しましょう。


7.続いて暗号化する範囲の選択です。
 「使用済み領域のみ」を選択すると、ディスク使用容量が少ない場合には
 比較的高速に暗号化が進みます。

 ただし、過去に削除済みのデータでも専用のツールを用いることで
 データ復元が可能な場合が多々あります。 
 なので、既に使用を開始しているPCを途中で暗号化する場合などは
 「ドライブ全体」を選択し削除済みデータも含めて暗号化することをお勧めします。


8.次は暗号化モードの選択です。
 Windows10のバージョン1511(2015年11月リリース)以降で
 新たに導入された暗号化形式か、それ以前の暗号化形式か
 どちらかを選択する必要があります。

 今回の例のようにCドライブを暗号化する場合は
 過去のOSで閲覧することは無いと思われますので
 「新しい暗号化モード」を選択することをお勧めします。


9.最後に「BitLockerシステムチェック」を実行するかどうかを選択します。
 これはお使いのPCが暗号化後にTPMでロック解除できるかを検査してくれる機能です。

 ただ、再起動が必要になってしまうのと万が一TPMでのロック解除ができなくても
 先程出力した回復キーがあれば復号化できるので、今回はチェックを外し実行しない設定にしました。

 さて、あとは「暗号化の実施」をクリックすればBitLockerでの暗号化が始まります。


9.暗号化を開始すると暗号化の進捗状況を示すウィンドウが表示されます。
 100%の表示になればBitLockerによるディスク暗号化が完了です。
 なお、暗号化途中でシャットダウンしても次回起動時に途中から暗号化処理が再開されますのでご安心ください。


10.暗号化完了後に再度コントロールパネルからBitLocker操作画面を開くと
 「BitLockerが有効です」と表示されているはずです。



【TPMが無効な場合】

5.TPMが有効になっていないPCでBitLocker設定ウィザードを開くと
 標準設定の場合、下の図のようなエラーになってしまいます。


6.そこで、設定を変更しTPMが無い端末でもBitLockerを利用できるようにします。
 まず、キーボードの「Windowsキー」と「R」を同時押しして
 "ファイル名を指定して実行"を開き「gpedit.msc」と入力し「OK」をクリックします。


7.”ローカルグループポリシーエディター”が開きますので左列メニューから
 コンピューターの管理>管理用テンプレート>Windowsコンポーネント>BitLockerドライブ暗号化>オペレーションシステムのドライブ
 の順に展開していきます。

 右列の中から「スタートアップ時に追加の認証を要求する」をダブルクリックし開きます。


8.「スタートアップ時に追加の認証を要求する」の設定画面がひらきます。
 デフォルトだと「未構成」にチェックが入っていますので「有効」に変更してください。

 さらに「互換性のあるTPMが装備されていないBitLockerを許可する」の項目に
 チェックが入っていることを確認し「OK」をクリックして閉じます。


9.”ローカルグループポリシーエディター”も閉じて、BitLockerの操作画面へ戻ります。

 「BitLockerを有効にする」をクリックしてBitLocker設定ウィザードを開きましょう。


10.BitLocker設定ウィザードを開くとTPMの代わりに使用する
   ロック解除方法を選択する画面になります。
  「USBフラッシュドライブを挿入」か「パスワードを入力」のどちらかを選択できるので
  お好みに合わせて選択してください。

  なお、USBフラッシュドライブを選択しても、使用するUSBメモリが"キー専用"に
  なるわけでなく、通常のデータ保管にもそのまま利用できますのでご安心ください。


  ここまでがTPMが無効の場合に必要な追加手順です。
  ロック解除方法を選択したあとは【TPMが有効の場合】の6〜と同じ手順になります。


・・・


いかがでしたでしょうか。
今回はBitLockerの簡単な紹介と暗号化方法を説明させていただきました。

TPMが搭載されているPCであれば
数クリックで簡単にディスク暗号化ができる
それがBitLockerの1番の魅力かもしれません。

次の機会にはコマンドプロンプトから暗号化する方法WindowsPEでのロック解除方法など
私が実際の現場で運用するにあたって「使えた」経験をまとめたいと思いますので是非そちらもご確認ください。

それではこのあたりで失礼いたします。
posted by 舘 at 08:59| Comment(0) | Windows・Office | このブログの読者になる | 更新情報をチェックする

2018年10月22日

Microsoft Officeの64bit版は使わない方が良い!?

こんにちは。河辺です。

さて今回は、あまり気にしていなかった

「Microsoft Officeの32bit版・64bit版」についてです。


まず、オフィスソフトについては説明の必要はありませんね。

会社はもちろん自宅でも、ワープロや表計算のソフトはかかせません。

が、Officeって少々お高いんですよね(^_^;)

最近の(といっても結構昔からありますが)オフィスソフトは互換製品も多くあります。

WPS Office(キングソフト)、Thinkfree Office NEO(ソースネクスト)

等の有料ですが安価なものから、

LibreOfficeOpenOfficeGoogle Apps等の無料のものまで。

場合によっては互換製品でも良い、といった事もあるでしょう。

ですが、『安いから・無料だから』といった理由で導入するのは危険です。

Microsoft Officeとの互換性を謳ってはいますが、

『完全互換ではない』という事を覚えておいてください。


オフィスソフトの国内シェアで「Microsoft Office」が9割以上を占めると言われ、

今までの作成されているドキュメント類のほとんどは

「Microsoft Office」で作成されていると思います。

互換しているとはいえ、他製品でそのファイルを開くと
 ・マクロが動かない
 ・レイアウトが崩れる
 ・色んなエラーが表示される
 ・そもそも開かない

といった事が、必ずではありませんがよく起きます

自分だけなら良いのですが、他の会社の人、知人友人に渡したりした時に

渡した先でこのような不具合が起きる可能性もあります。

互換製品を導入する際は、このような危険性を理解した上で導入してくださいね。


ちょっと話が逸れてしまいましたが・・・。

本題の「Microsoft Officeの32bit版・64bit版」についてです。

Officeにはこのように2種類あり、どちらをインストールするか迷います。

今は一般的になりつつある「32bit・64bit」ですが、

簡単に説明しますと『PCの情報処理量の違い』ですね。

どのぐらい違うのかというと、

32bit版OSでサポートしている最大物理メモリサイズは4GB

これに対し64bit版OSでは
 Windows10 Homeで 128GB
 Windows10 Pro で 2TB

と大幅に違います。

扱えるプログラムにも違いがあるので、32bit版・64bit版と分かれているのです。

ざっくり簡単に言うと「64bit版の方が性能が高い」と言えます。


自分のPCがどちらのbitのOSなのか分からない方は、
(Windows10の場合)

・スタート → Windowsシステムツール → コントロールパネル →システム
  Office3264_01.png

・スタート → 設定(左側の歯車マーク) → システム → バージョン情報
  Office3264_02.png

にて確認してください。

上記例は「64bit版OS」ということになります。

このように64bit版OSをお使いの場合、ソフトウェアは32bit・64bitどちらも使えます

32bit版OSの場合は、64bit用ソフトを入れても動きません。

32bit用のソフトウェアしか使えませんのでご注意を。


OSが64bitだったから、Officeも64bit版を入れればいいんだな。」

と思うでしょうが、ちょっと待った!

実は「Microsoft Office」は

OSが64bitだとしても32bit版の利用をマイクロソフトが推奨

しているのです!

Microsoft Technet(プロフェッショナル向けの情報提供サイト)にて

32bit版を推奨する理由を解説しています。


抜粋すると

『Office の既存の拡張機能 (たとえば32ビット版のActiveXコントロールや一部のサードパーティ製アドインなど)との互換性にも問題が生じています。これらの拡張機能については新しいバージョンを入手する必要があり、64ビット互換の拡張機能が使用できるようになるまでにはしばらく時間がかかるでしょう。』

つまり何を言っているかというと

『32bit版向けに開発さたアプリケーションやアドインは、

 64bit版で動作しないかもしれないから、

 64bit版OS使ってても32bit版を導入しましょう

ということです。


とは言え、64bit版を導入した方が良いケースもあります。

・複雑な計算、多くのピボットテーブル等々、大きなデータセットを操作する場合。

・PowerPointでとても大きな画像、ビデオ、またはアニメーションを操作する場合。

・Projectで2GBを超えるファイルを操作している場合。

・アドインやドキュメントレベルのカスタマイズなど、
 社内Officeソリューションを開発している場合。

詳細は以下のサイトにて。

【64ビット版または32ビット版のOfficeを選択する】※マイクロソフトのサイトです。
https://support.office.com/ja-jp/article/64-ビット版または-32-ビット版の-office-を選択する-2dee7807-8f95-4d0c-b5fe-6c6f49b8d261

このような場合には64bit版を導入した方が良いようです。

逆に、このような理由が無ければ、たとえ64bit版OSを利用していたとしても

32bit版のOfficeを導入した方が良いでしょう。


以下、実際にサポートデスクにて起きた話です。

「新しいPCに交換したら、昔から使っていたExcelファイルのマクロが動かなくなった。」

と連絡が入り、調査を行いました。

ファイル自体の障害と思いましたが、他のPCで試したところ問題ありません。

Officeの2013、2016でも試しましたが問題無く、その人のPCでのみ起きます。

唯一違ったのが「Officeが64bit版だった」という事。

試しに一度アンインストールし、32bit版を入れ直したらあっさり動きました。


という事で結論

Officeは32bit版を入れた方が無難です。


では今回はこの辺で。

posted by 河辺 at 18:30| Comment(0) | Windows・Office | このブログの読者になる | 更新情報をチェックする