コマンドラインからBitLockerでSDカードの暗号化やロックの掛けなおしを実施

OS: Windows 10 Pro Version 1809

BitLockerにまつわる操作はmanage-bdeコマンドで自在に取り扱えるようである。Dドライブとして認識されたSDカードをBitLockerで暗号化するのであれば管理者としてコマンドプロンプトを起動してからこういう具合である。ロックの解除にパスワードを要求するよう設定するなら-passwordパラメータを付与する。

>manage-bde -on d: -password

暗号化が完了するまでYoutubeで犬とか猫が出てくるやつを見て暇をしのぐ。そうすると常になく時が早く過ぎ去るので嗚呼と言う間に処理が終わる。

ロックの解除もmanage-bdeコマンドから実施できるし、ロックを掛けなおすこともできる。とりわけロックの掛けなおしに関してはmanage-bdeコマンドを知らない時分にはいちいちSDカードを安全に取り外してから再度取り付けるという手数を踏んでいたから大変需要が高い。

>manage-bde -lock d:

ロックを解除したストレージのファイルを開いていたりフォルダへ移動していると再ロックの際にエラーメッセージを喰らうけれども、それらの柵に構うことなくロックを掛けたいなら-forcedismountパラメータが有効であるようである。

エラー: ボリュームをロックしようとしてアクセスが拒否されました。
アプリケーションがこのボリュームにアクセスしている可能性があります
(コード 0x80070005)。

ボリュームが使用中でもボリュームをロックするには、”-ForceDismount”
パラメーターを追加してください。

また、もはやBitLockerに懲りごりであるとなればやはりmanage-bdeで以って暗号化を解除することも可能であるからいちいちコントロールパネルを開いてBitLockerを無効にしてウィンドウを閉じる手間が節約できてまことに優秀である。

>manage-bde -unlock d: -password
>manage-bde -off d:

TPMを装備していないマシンでもBitLockerによるデータ暗号化を利用する

OS: Windows 10 version 1803

クライアント用にと購入されたノートPCにTPM(Trusted Platform Module)が搭載されていないことが発見されたからBitLockerが使えぬと泡を食ったのであるが、TPM無しでもまったく使用できるようであるから胸をなでおろしたところである。然し乍ら少しばかりの設定とUSBメモリやSDカードなどのストレージを要するので記録しておくものである。まずはBitLockerの管理へ移る。

「BitLockerを有効にする」とあるから当然に使えるものだと思ってクリックする。

そうするとこういう仕打ちである。あるがままの状態では使用できぬなら其の設定画面へ誘導してくれても良さそうなものであるけれどもそういった気配りがないのでつれない。

メッセージから察するにグループポリシーの設定を変更する必要があるように見受けられるからグループポリシーエディターを起動する。

「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLocker ドライブ暗号化」→「オペレーティングシステムのドライブ」と辿って「スタートアップ時に追加の認証を要求する」の編集画面へ移行する。

デフォルトでは未構成になっているものを「有効」に変更する。これでTPMのないマシンでもBitLockerによる暗号化を実施できるようになった。

もう一度BitLockerの管理画面から「BitLockerを有効にする」を選択すると無慈悲なメッセージはなりをひそめて先へ進むことができる。毎回パスワードを入力する事を肯んずることはできぬという次第であったから「USBフラッシュドライブを挿入する」を選択する。

予め用意しておいたUSBメモリやSDカードをマシンに接続していればここでスタートアップキーを保存するためのドライブとしてリストに現れる。リストに出てこないのであればUSBメモリが壊れているとか接続ポートの調子がよろしくないとか故障しているとかSKYSEAによって使用できぬよう厳しく管理されているなどの原因があるものである。

回復キーのバックアップをどうするか選択を迫られるので要件にあった方法を選べばよろしい。Microsoftアカウントの作成予定も無く、余分なUSBメモリも手元に無く、暗号化するドライブ以外にファイルを保存するドライブも無く、プリンタの使用も制限されている環境であるならば回復キーをPDFで保存するやり口で急場は凌げるようである。「回復キーを印刷する」を選択する。

そして「Microsoft Print to PDF」を選択して印刷ボタンを押し付けるとこれから暗号化しようというドライブにも保存できるので処理を先に進めることができる。暗号化を始める前に別のストレージをよしなに拵えて回復キーのPDFファイルを保存してやれば安心というものである。

あとはマシンを再起動すれば暗号化の処理が自動で開始する。

進捗はタスクバーに表示されるBitLockerのアイコンから確認できる。暗号化途中にマシンを再起動しても処理に差し障りはないので恐れずに実施すればよいけれども、起動後にBitLockerの処理が一時停止状態になっていることが多いから確認をするのがよさそうである。

タスクバーにBitLockerのアイコンが姿を表さないケースもあるからそういう場合はコマンドプロンプトからmanage-bde -statusコマンドで確認してやればよろしい。コマンドプロンプトは管理者権限で起動しておかなければ「エラー: 必要なリソースにアクセスしようとしましたが拒否されました。コンピューターの管理権限があることを確認してください。」とにべもない。

恙無く暗号化に成功したあと、USBメモリを取り外してから起動を試みるとこうである。思惑通り事が運んだようである。