目的:BitLokerでも自動起動したい。
BitLockerをゆるく使うの続きです。
以下のやんごとなき理由で、BitLocker環境でも自動起動でないと手間だなということになりました。
- やっぱり起動時にパスワードの入力が手間だ
- 朝起きたら画面は青かった(Windows UPDATE後の自動再起動時にパスワード入力画面でとまってる)
- 起動時のパスワード画面ではキーボードがUS配置になる(?) _ を入力するには shift+= とか。
env:Windows10 Pro バージョン1803 ビルド17134.590
作業
前提条件
- C:\はすでに暗号化済み
おおまかな流れ
- システムドライブを暗号化、パスワードで解除可能の設定(済)
- USBメモリを刺す(未暗号化)
- Cドライブの暗号化解除方法に外部スタートアップ キー保護機能を追加
- 確認
- 再起動して実験
やること
ドライブの暗号化解除用鍵ファイルをUSBメモリに保存する。
準備
スタートアップキー保存用のUSBメモリをさした。
F:\ 未暗号化
Bitlockerの操作
bitlocker.bat
# Manage-bde.exe -protectors -add c: -sk f:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
追加されたキーの保護機能:
ディレクトリ f: に保存されました
外部キー:
ID: {XXXXXXX-1111-2222-3333-ZZZZZZZZZZ}
外部キー ファイル名:
XXXXXXX-YYYYY-ZZZZ-111-222333444555.BEK
私が調べていた時にManage-bde.wsfを使う記事が多くありましたが、私の環境ではexeでできました。
さて、USBメモリの中身を一応見てみましょう。
kakunin1.bat
# cd f:
# dir /a
ドライブ F のボリューム ラベルは aaa-bbb-4g です
ボリューム シリアル番号は 1111-333 です
F:\ のディレクトリ
2019/02/14 20:10 <DIR> System Volume Information
2019/02/15 00:10 XXXXXXX-YYYYY-ZZZZ-111-222333444555.BEK <-- !!!
隠しファイル属性で、外部キーファイルが作成されていました。
システムドライブの暗号化解除方式を一応確認しておきましょう。
kakunin.cmd
# manage-bde.exe -status c:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
ボリューム C: []
[OS ボリューム]
サイズ: 199.22 GB
BitLocker のバージョン: 2.0
変換状態: 完全に暗号化されています
暗号化された割合: 100.0%
暗号化の方法: XTS-AES 128
保護状態: 保護はオンです
ロック状態: ロック解除
識別子フィールド: 不明
キーの保護機能:
パスワード
数字パスワード
外部キー <----ここが追加された
確認に再起動してみる。
USBメモリを指したまま再起動したら、パスワードを聞かれなかったのでセーフ。
お疲れさまでした。
USBメモリの処遇
普段使わないですし、ドライブレターをはく奪しておきましょう。
初Bitlokerでスタートアップキーを使うからやった場合には?
C:\の暗号化時に、スタートアップキーを使うにするとパスワードがありません。
再起動後に以下のコマンドを打ちましょう。
# manage-bde -protectors -add c: -pw
ボリュームの保護に使用するパスワードを入力します:
パスワードをもう一度入力することで確認します:
追加されたキーの保護機能:
パスワード:
ID: {XXXX-YYYYY-ZZZ-SHINJUKU-HIGASHIGUCHI-BBS}
パスワードも追加されて、USBメモリが壊れても安心