続・BitLocker – 便利な「manage-bde」コマンド活用法

こんにちは。舘(タチ)です。

今回は以前私の書いた記事「PC紛失・盗難リスクに備えて… BitLockerでディスク暗号化を!」の続きとなります。

まだご覧になっていない方は上記リンクからご確認ください。

 

■前回のおさらい

BitLockerとはWindows Vista以降のWindowsOSに標準搭載されているディスクドライブ暗号化機能です。

前回の記事ではコントロールパネルから暗号化を行う方法と、TPMが搭載されていない端末でも

BitLockerを利用するための設定方法を紹介しました。

 

前回ご紹介したようにBitLockerの操作はコントロールパネルパネルから簡単に行えます。

ですが何台ものPCを導入・管理している場合、1台1台コントロールパネル上で操作していくのは

なかなか骨の折れる作業ですよね。

そこで今回はコマンドプロンプトからBitLockerを操作できるコマンドをご紹介します!

 

■BitLockerのステータスをコマンドで確認する

BitLockerをコマンドプロンプトから操作する際にはmanage-bdeコマンドを使用します。

まず現在のステータスを確認してみましょう。

ステータス表示は-statusオプションを付加して

manage-bde -statusをコマンドプロンプトから実行します。

>manage-bde -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. All rights reserved. BitLocker ドライブ暗号化で保護可能な
 ディスク ボリューム:
 ボリューム C: []
 [OS ボリューム] サイズ: 297.99 GB
 BitLocker のバージョン: None
 変換状態: 完全に暗号化が解除されました
 暗号化された割合: 0%
 暗号化の方法: なし
 保護状態: 保護はオフです
 ロック状態: ロック解除
 識別子フィールド: なし
 キーの保護機能: 見つかりません

上記のように変換状態が「完全に暗号化が解除されました」となっている場合

対象のボリュームは、まだ暗号化されていないことがわかります。

暗号化が完了している場合には、変換状態は「完全に暗号化されています」となります。

>manage-bde -status
 BitLocker ドライブ暗号化: 構成ツール Version 10.0.17763
 Copyright (C) 2013 Microsoft Corporation. All rights reserved. BitLocker ドライブ暗号化で保護可能な
 ディスク ボリューム:
 ボリューム C: [Windows]
 [OS ボリューム] サイズ: 237.37 GB
 BitLocker のバージョン: 2.0
 変換状態: 完全に暗号化されています
 暗号化された割合: 100.0%
 暗号化の方法: XTS-AES 128
 保護状態: 保護はオンです
 ロック状態: ロック解除
 識別子フィールド: 不明
 キーの保護機能:
 TPM
 数字パスワード

 

■BitLockerをコマンドで有効化する

有効化操作もステータス確認と同じくmanage-bde コマンドを使用します。

有効化する際にはオプションとして「-on」と「暗号化するボリューム名」を付加しますので

Cドライブを暗号化したい場合は以下のようになります。

manage-bde -on c: -RecoveryPassword -skiphardwaretest

 

もう2つオプションを付け加えました。これはそれぞれ

-RecoveryPassword…複号化方法として回復キーを発行(画面上に表示されます。)

-skiphardwaretest…暗号化前に行われるハードウェアテストを省略します。

という意味になります。

これによりコマンド1つで、すぐ暗号化が始まります。

>manage-bde -on c: -RecoveryPassword -skiphardwaretest 
BitLocker ドライブ暗号化: 構成ツール Version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. All rights reserved.ボリューム C: [Windows]
[OS ボリューム]
追加されたキーの保護機能:数字パスワード:
ID: {5D5F562A-0000-XXXX-A271-B3AB6E6F33A1}
パスワード:
187627-XXXXXX-611765-248402-000000-421025-356741-669834TPM:
ID: {EFBC05A2-DCB0-0000-XXXX-D48A90BEE712}必要な操作:1。この数字の回復パスワードを、使用しているコンピューター
以外のセキュリティ保護された場所に保存してください:187627-XXXXXX-XXXXXX-XXXXXX-268840-421025-356741-669834データの消失を防ぐために、このパスワードを直ちに保存してください。
このパスワードで、暗号化ボリュームのロックを解除できます。暗号化は現在実行中です。

 

■manage-bde 便利なオプション

①別のPCでmanage-bdeコマンドを実行する

-cnオプションを付加するとネットワーク上の別PCを操作できます。

例としてBitLocker有効化を他のPCで実行する場合

manage-bde -on c: -RecoveryPassword -skiphardwaretest -cn “PC名 or IPアドレス”

となります。

 

②暗号化済みボリュームの回復キーを表示する

暗号化時に表示された回復キーを控え忘れてしまった場合でもご安心を!

manage-bde -protectors -get C:

を実行すると回復キーを再表示させることができます。

 

③BitLockerで暗号化されたディスクをコマンドでロック解除する

たとえば暗号化されたディスクを別PCに接続したり

USBメモリからWidowsPEをブートさせた場合には

そのままではロックされているため中のデータを読み出すことはできません。

 

そのような場合は上記有効化コマンド実行時に表示された

回復キーを用いてロック解除を行う必要があります。

manage-bde -unlock “ボリューム名” -recoverypassword “回復キー”

 

・・・

最後に

いかがでしたでしょうか。

Windowsの標準機能というだけあってコマンドベースで簡単に

暗号化やロック解除が可能なことがお分かりいただけたのではないでしょうか。

別PCに対する暗号化操作も可能ということで管理者の立場からすると

非常に使い勝手のよい仕組みだと思います。

もし、ディスクの暗号化をせず使用しているPCがありましたら

紛失・情報漏えい対策のためにも是非本記事を参考に暗号化することをご検討ください。

 

では、今回はこの辺りで失礼いたします。

コメントを残す

名称 *
メールアドレス *
ウェブサイト