BitLockerを有効にする
manage-bdeを利用してPowerShellからBitLockerを有効にする手順。
数字パスワードで暗号化する
manage-bde -on C: -RecoveryPassword
再起動すると暗号化が始まる。
回復用ファイル(.BEK)について
manage-bde –protectors -add C: -startupkey D:
上記のコマンドでは回復キーファイルがDドライブに作成されるらしいが、いくら探しても見つからない。適当に弄ってると、上記のコマンドに依って作成される回復ファイルは不可視のため、ls -force とオプションを付けると見えることが分かった。
回復用数字パスワードを表示する
manage-bde -protectors -get C:
これでよし。
自動化する
今回も複数台のPCに操作を行うため、PowerShellで一連の操作を行えるようにする。
ハードウェアの検証が必要でない場合
MicroSoftの BitLocker: BitLocker ドライブ暗号化ツールを使用して BitLocker を管理する を読むと、-SkipHardwareTest オプションを指定すると、再起動の必要なしに暗号化を開始するとある。
回復キーファイル名の抽出
GUIのBitLockerの有効化手順では、数字パスワードのファイルには複合に要するIDをファイル名に含んだtxtファイルが書き出される。
これを再現せよとのこと。頑張る。
manage-bde -protectors -get C:
まずキー自体はこれで書き出せる。
PowerShellでは、コマンドの実行結果はSystem.Arrayという型のため、色々と扱いにくい。型変換したあと、正規表現で{}で囲まれてる部分だけ拾ってこよう。
出来たものがこちら
BitLocker.ps1
manage-bde -on C: -RecoveryPassword -skiphardwaretest
$obj = manage-bde -protectors -get C:
$res = [string]$obj.trim() -match "数字パスワード: ID: {(?<SID>.*?)}"
$sid = $matches.SID
$hst = hostname
echo $obj > "C:\keys\$hst`_$sid`_BITLOCKER_recoverKey.txt"