1. はじめに
TPM(Trusted Platform Module)は、コンピュータやデバイスに組み込まれたセキュリティチップの一種で、暗号化キーやパスワード、証明書などの重要なデータをハードウェアレベルで保護するために設計されている。 IBM CloudのBare Metal Server for VPC(BM for VPC)でも利用可能である。
本稿では、Windowsに標準搭載されているディスク暗号化機能であるBitLockerを使用してディスクを暗号化する。BitLockerは、TPMを利用して暗号化キーを安全に保管できる。しかし、TPMがない場合は、BitLockerは暗号化キーを保護するためのハードウェアが存在しないため、外部デバイス(通常はUSBフラッシュドライブ)に暗号化キーを保存し、システム起動時にそのUSBドライブを挿入してディスクの暗号化を解除することも可能である。ただし、この方法をクラウド環境で実現することはできない。そのため、BitLockerを利用したい場合は、TPMをサポートしている環境を使用するのが望ましいだろう。
https://learn.microsoft.com/ja-jp/windows/security/operating-system-security/data-protection/bitlocker/faq
TPM が取り付けられていないオペレーティング システム ドライブで BitLocker を使用できますか。
はい。BIOS または UEFI ファームウェアがブート環境の USB フラッシュ ドライブから読み取ることができる場合は、TPM を使用しないオペレーティング システム ドライブで BitLocker を有効にすることができます。 BitLocker は、BitLocker の独自のボリューム マスター キーがコンピューターの TPM またはそのコンピューターの BitLocker スタートアップ キーを含む USB フラッシュ ドライブによって最初に解放されるまで、保護されたドライブのロックを解除しません。 ただし、TPM を持たないコンピューターでは、BitLocker でも提供できるシステム整合性検証を使用できません。 ブート プロセス中に USB デバイスから読み取る機能がコンピューターにあるかどうかを判断するには、BitLocker のセットアップ プロセスの一部として、BitLocker システム チェックを使用します。 このシステム チェックは、コンピューターが適切なタイミングで USB デバイスから正常に読み取れること、および BitLocker の他の要件をコンピューターが満たしていることを、テストして確認します。
2. BM for VPCの注文
- サーバー名やリソースグループを入力
- Windows Server 2022を選択。
- Networkなどを選択。
- TPMを有効化する。
3. 構成確認
3-1. device security
- device securityの起動
- Security Processor Detailsを選択
- Security processor troubleshootingを選択
- Clear TPMが選択可能。
3-2. device manager
- device managerの起動
- TPMが認識されている。
4. BitLockerのインストール
Server ManageからBitLockerをインストール(詳細ステップは省略)
-
Add Roles and Featuresにて、Bitlocker Drive Encryptionを追加すれば良い。以後、再起動が発生する。
- 再起動後の画面
5. BitLockerの構成
- BitLockerの起動
- Turn on BitLocker
- Next
- Next
- Next
- Recovery Keyを保管する。保管できたらNext。
- 補足1)暗号化対象のディスクは保管先として選択できない(当たり前)。
- 補足2)別ドライブであってもrootディレクトリには保管できないので、何かしらディレクトリを作成してそこに保管する必要がある。ただし、同じサーバー内に保管することはできても、このリカバリーファイルはWindows起動の時に将来必要になるかもしれないのだから、必ずリモート環境に保管しておくこと。
Remote Desktopでは容易に端末のファイルシステムとディスク共有ができるので、直接Remote Desktop端末に配置しても良い。
- 補足1)暗号化対象のディスクは保管先として選択できない(当たり前)。
- 利用領域のみを暗号化するか、ドライブ全体を暗号化するかどうか。今回は、ドライブ全体を暗号化する。
- 新しいEncryption modeを利用する。
- BitLocker system checkを実行する
- 再起動を行う
再起動後の状態は以下の通り。
- 暗号化中
- CドライブはBitLocker Encryptedとなっている。
PS C:\Users\Administrator.SYASUDA-TPM> manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.20348
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]
Size: 98.25 GB
BitLocker Version: 2.0
Conversion Status: Encryption in Progress
Percentage Encrypted: 75.4%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
Volume D: []
[Data Volume]
Size: 795.20 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0.0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Automatic Unlock: Disabled
Key Protectors: None Found
- 暗号化完了の状態
PS C:\Users\Administrator.SYASUDA-TPM> manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.20348
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]
Size: 98.25 GB
BitLocker Version: 2.0
Conversion Status: Fully Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
Volume D: []
[Data Volume]
Size: 795.20 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0.0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Automatic Unlock: Disabled
Key Protectors: None Found
6. TPM検証
テスト1: TPMを無効にする
- サーバーを停止すれば、TPMを無効にすることが可能。
- そこで、サーバーを起動しても、Windowsが起動しない。VNC Consoleから確認すると、以下のような画面が現れている。これは、ディスクを復号するための鍵が見つからないからである(期待通り)。
- 先ほど保存したRecovery keyを入力すると無事起動する。
テスト2: TPMを再度有効化する
- サーバーを停止し、再度TPMを有効にしてみる。
- 今度は何事もなく起動できた。
