コマンドラインからBitLockerでSDカードの暗号化やロックの掛けなおしを実施

OS: Windows 10 Pro Version 1809

BitLockerにまつわる操作はmanage-bdeコマンドで自在に取り扱えるようである。Dドライブとして認識されたSDカードをBitLockerで暗号化するのであれば管理者としてコマンドプロンプトを起動してからこういう具合である。ロックの解除にパスワードを要求するよう設定するなら-passwordパラメータを付与する。

>manage-bde -on d: -password

暗号化が完了するまでYoutubeで犬とか猫が出てくるやつを見て暇をしのぐ。そうすると常になく時が早く過ぎ去るので嗚呼と言う間に処理が終わる。

ロックの解除もmanage-bdeコマンドから実施できるし、ロックを掛けなおすこともできる。とりわけロックの掛けなおしに関してはmanage-bdeコマンドを知らない時分にはいちいちSDカードを安全に取り外してから再度取り付けるという手数を踏んでいたから大変需要が高い。

>manage-bde -lock d:

ロックを解除したストレージのファイルを開いていたりフォルダへ移動していると再ロックの際にエラーメッセージを喰らうけれども、それらの柵に構うことなくロックを掛けたいなら-forcedismountパラメータが有効であるようである。

エラー: ボリュームをロックしようとしてアクセスが拒否されました。
アプリケーションがこのボリュームにアクセスしている可能性があります
(コード 0x80070005)。

ボリュームが使用中でもボリュームをロックするには、”-ForceDismount”
パラメーターを追加してください。

また、もはやBitLockerに懲りごりであるとなればやはりmanage-bdeで以って暗号化を解除することも可能であるからいちいちコントロールパネルを開いてBitLockerを無効にしてウィンドウを閉じる手間が節約できてまことに優秀である。

>manage-bde -unlock d: -password
>manage-bde -off d:

TPMを装備していないマシンでもBitLockerによるデータ暗号化を利用する

OS: Windows 10 version 1803

クライアント用にと購入されたノートPCにTPM(Trusted Platform Module)が搭載されていないことが発見されたからBitLockerが使えぬと泡を食ったのであるが、TPM無しでもまったく使用できるようであるから胸をなでおろしたところである。然し乍ら少しばかりの設定とUSBメモリやSDカードなどのストレージを要するので記録しておくものである。まずはBitLockerの管理へ移る。

「BitLockerを有効にする」とあるから当然に使えるものだと思ってクリックする。

そうするとこういう仕打ちである。あるがままの状態では使用できぬなら其の設定画面へ誘導してくれても良さそうなものであるけれどもそういった気配りがないのでつれない。

メッセージから察するにグループポリシーの設定を変更する必要があるように見受けられるからグループポリシーエディターを起動する。

「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLocker ドライブ暗号化」→「オペレーティングシステムのドライブ」と辿って「スタートアップ時に追加の認証を要求する」の編集画面へ移行する。

デフォルトでは未構成になっているものを「有効」に変更する。これでTPMのないマシンでもBitLockerによる暗号化を実施できるようになった。

もう一度BitLockerの管理画面から「BitLockerを有効にする」を選択すると無慈悲なメッセージはなりをひそめて先へ進むことができる。毎回パスワードを入力する事を肯んずることはできぬという次第であったから「USBフラッシュドライブを挿入する」を選択する。

予め用意しておいたUSBメモリやSDカードをマシンに接続していればここでスタートアップキーを保存するためのドライブとしてリストに現れる。リストに出てこないのであればUSBメモリが壊れているとか接続ポートの調子がよろしくないとか故障しているとかSKYSEAによって使用できぬよう厳しく管理されているなどの原因があるものである。

回復キーのバックアップをどうするか選択を迫られるので要件にあった方法を選べばよろしい。Microsoftアカウントの作成予定も無く、余分なUSBメモリも手元に無く、暗号化するドライブ以外にファイルを保存するドライブも無く、プリンタの使用も制限されている環境であるならば回復キーをPDFで保存するやり口で急場は凌げるようである。「回復キーを印刷する」を選択する。

そして「Microsoft Print to PDF」を選択して印刷ボタンを押し付けるとこれから暗号化しようというドライブにも保存できるので処理を先に進めることができる。暗号化を始める前に別のストレージをよしなに拵えて回復キーのPDFファイルを保存してやれば安心というものである。

あとはマシンを再起動すれば暗号化の処理が自動で開始する。

進捗はタスクバーに表示されるBitLockerのアイコンから確認できる。暗号化途中にマシンを再起動しても処理に差し障りはないので恐れずに実施すればよいけれども、起動後にBitLockerの処理が一時停止状態になっていることが多いから確認をするのがよさそうである。

タスクバーにBitLockerのアイコンが姿を表さないケースもあるからそういう場合はコマンドプロンプトからmanage-bde -statusコマンドで確認してやればよろしい。コマンドプロンプトは管理者権限で起動しておかなければ「エラー: 必要なリソースにアクセスしようとしましたが拒否されました。コンピューターの管理権限があることを確認してください。」とにべもない。

恙無く暗号化に成功したあと、USBメモリを取り外してから起動を試みるとこうである。思惑通り事が運んだようである。

BitLockerで暗号化されたストレージをLinuxでマウントするためのdislocker

OS: Windows 10 Pro ver 1709
OS: Ubuntu Desktop 16.04 日本語 Remix

起動しなくなったWindows10のマシンを寄越されて中のデータを取り出せるか問われたことがあるけれどもBitLockerで暗号化されているからLinuxで気軽にマウントしてアクセスするというわけにいかない。然し乍らLinuxからでも回復キーさえあれば復号して内部のデータへアクセスできるようなツールを拵えた人がいるようでほんとうにすごいと関心したものである。先ずはUbuntu Desktop 16.04 日本語 Remixを焼き付けたUSBの起動ディスクで以ってUbuntuを起動する。

そうしたら必要なパッケージをどんどこインストールしてゆく。なお、libmbedtls-devがないとdislockerをcmakeする際に「-- Could NOT find POLARSSL」というエラーで止まってしまった。またlibfuse-devがないと「-- Could NOT find FUSE」というメッセージが出る。cmakeの処理自体は恙無く終わったように見えるけれどもmakeを実施するとfuse.hが無いと言う咎で処理が止まるので結局は必要なのである。あとはdislockerをインストールするばかりである。

$ sudo apt install git cmake libmbedtls-dev libfuse-dev
$ git clone git://github.com/Aorimn/dislocker.git
Cloning into 'dislocker'...
remote: Counting objects: 3368, done.
remote: Total 3368 (delta 0), reused 0 (delta 0), pack-reused 3368
Receiving objects: 100% (3368/3368), 859.56 KiB | 484.00 KiB/s, done.
Resolving deltas: 100% (2336/2336), done.
Checking connectivity... done.

$ cd dislocker
$ cmake .
$ make
$ sudo make install

次は下準備としてディレクトリを2つ作成する。それから回復キーも予め用意しておく。回復キーが無いともはや為す術がない。

$ sudo mkdir /media/bitlocker /media/win10
回復キーの内容の一例

それからdmesgやlsblkなどでWindows10がインストールされていると思しきデバイスファイルを探る。今回のケースでは/dev/sdaがそれであった。/dev/sdaをfdiskで詳らかに見てゆくとこういう具合である。BitLockerのロックを解除したいパーティションは4番目にあることがわかった。

$ sudo fdisk -l /dev/sda
(snip)
デバイス     Start 最後から セクタ  Size タイプ
/dev/sda1     2048   1023999   1021952  499M Windows recovery environment
/dev/sda2  1024000   1226751    202752   99M EFI System
/dev/sda3  1226752   1259519     32768   16M Microsoft reserved
/dev/sda4  1259520 125827071 124567552 59.4G Microsoft basic data

あとはdislockerで以って/dev/sda4のロックを解除する。操作中にヘマをするといけないから-rオプションでリードオンリーにしておくと安心感がある。なお誤って関係の無いパーティションのロックを解除しようとすると「[ERROR] The signature of the volume (NTFS ) doesn’t match the BitLocker’s ones (-FVE-FS- or MSWIN4.1). Abort.」というようなメッセージを頂戴して終いであった。処理が終わると/media/bitlockerの直下にdislocker-fileという一つのイメージファイルが生まれるので、これをループバックデバイスとしてマウントする。するとBitLockerによって暗号化されていたストレージの内容がとうとう明らかになった。

$ sudo dislocker -r -V /dev/sda4 -p153659-674410-262823-201102-193336-410465-209352-219032 -- /media/bitlocker
$ sudo ls -lh /media/bitlocker/dislocker-file
-r--r--r-- 1 root root 60G  1月  1  1970 /media/bitlocker/dislocker-file

$ sudo mount -r -o loop /media/bitlocker/dislocker-file /media/win10/

あとは好き放題データをコピーするなり内容を検めることができる。飽きたらアンマウントするのが良かろうとおもう。

$ sudo umount /media/win10

参考:
Aorimn/dislocker
Use (Windows) BitLocker-encrypted drive on Ubuntu 14.04 LTS