BitLocker暗号化を有効にすると、Windowsは、を使用してコンピューターを起動するたびにドライブのロックを自動的に解除します。 最新のコンピューターに組み込まれているTPM 。ただし、コンピュータがドライブを復号化してWindowsを起動する前に、起動時に存在する必要がある「起動キー」としてUSBフラッシュドライブを設定できます。
これにより、BitLocker暗号化に2要素認証が効果的に追加されます。コンピュータを起動するときはいつでも、復号化する前にUSBキーを提供する必要があります。これは、キーチェーンに入れて持ち運ぶ小さなUSBドライブで特に役立ちます。
関連: WindowsでBitLocker暗号化を設定する方法
ステップ1:BitLockerを有効にします(まだ有効にしていない場合)
これには、明らかに、BitLockerドライブの暗号化が必要です。つまり、WindowsのProfessionalエディションとEnterpriseエディションでのみ機能します。以下の手順のいずれかを実行する前に、次のことを行う必要があります システムドライブでBitLocker暗号化を有効にする コントロールパネルから。
邪魔にならない場合 TPMのないPCでBitLockerを有効にする 、セットアッププロセスの一部としてUSBスタートアップキーを作成することを選択できます。これは、TPMの代わりに使用されます。以下の手順は、TPMを搭載したコンピューターでBitLockerを有効にする場合にのみ必要です。 最近のほとんどのコンピューターには 。
Windowsのホームバージョンを使用している場合、BitLockerを使用することはできません。あなたは持っているかもしれません デバイスの暗号化 代わりに機能がありますが、これはBitLockerとは動作が異なり、起動キーを提供できません。
ステップ2:グループポリシーエディターでスタートアップキーを有効にする
BitLockerを有効にしたら、Windowsのグループポリシーでスタートアップキーの要件を有効にする必要があります。グループポリシーエディターを開くには、キーボードのWindows + Rを押し、[実行]ダイアログに「gpedit.msc」と入力して、Enterキーを押します。
[グループポリシー]ウィンドウで、[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [BitLockerドライブの暗号化]> [オペレーティングシステムドライブ]に移動します。
右ペインの「起動時に追加の認証が必要」オプションをダブルクリックします。
ここでウィンドウの上部にある「有効」を選択します。次に、[TPMスタートアップキーを構成する]の下のボックスをクリックし、[TPMでスタートアップキーを要求する]オプションを選択します。 「OK」をクリックして変更を保存します。
ステップ3:ドライブのスタートアップキーを構成する
これで、
manage-bde
BitLockerで暗号化されたドライブ用にUSBドライブを構成するコマンド。
まず、USBドライブをコンピューターに挿入します。以下のスクリーンショットのUSBドライブ-Dのドライブ文字に注意してください。 Windowsは小さな.bekファイルをドライブに保存します。これがスタートアップキーになります。
次に、管理者としてコマンドプロンプトウィンドウを起動します。 Windows 10または8では、[スタート]ボタンを右クリックし、[コマンドプロンプト(管理者)]を選択します。 Windows 7では、[スタート]メニューで[コマンドプロンプト]ショートカットを見つけて右クリックし、[管理者として実行]を選択します。
次のコマンドを実行します。以下のコマンドはC:ドライブで機能するため、別のドライブの起動キーが必要な場合は、代わりにドライブ文字を入力してください
c:
。また、スタートアップキーとして使用する接続済みのUSBドライブのドライブ文字を、代わりに入力する必要があります
バツ:
。
manage-bde -protectors -add c:-TPMAndStartupKey x:
キーは、拡張子が.bekの隠しファイルとしてUSBドライブに保存されます。あなたがするならあなたはそれを見ることができます 隠しファイルを表示する 。
次回コンピュータを起動するときに、USBドライブを挿入するように求められます。キーに注意してください。USBドライブからキーをコピーする人は、そのコピーを使用してBitLockerで暗号化されたドライブのロックを解除できます。
TPMAndStartupKeyプロテクターが適切に追加されたかどうかを再確認するには、次のコマンドを実行できます。
manage-bde -status
(ここに表示される「数値パスワード」キープロテクターは、回復キーです。)
スタートアップキーの要件を削除する方法
気が変わって後でスタートアップキーの要求をやめたい場合は、この変更を元に戻すことができます。まず、グループポリシーエディターに戻り、オプションを[TPMでスタートアップキーを許可する]に戻します。 [TPMでスタートアップキーが必要]に設定したままにすることはできません。そうしないと、Windowsではドライブからスタートアップキーの要件を削除できません。
次に、管理者としてコマンドプロンプトウィンドウを開き、次のコマンドを実行します(ここでも、
c:
別のドライブを使用している場合):
manage-bde -protectors -add c:-TPM
これにより、「TPMandStartupKey」要件が「TPM」要件に置き換えられ、PINが削除されます。 BitLockerドライブは、起動時にコンピューターのTPMを介して自動的にロック解除されます。
これが正常に完了したことを確認するには、statusコマンドを再度実行します。
manage-bde -status c:
最初にコンピュータを再起動してみてください。すべてが正常に機能し、コンピュータの起動にUSBドライブが必要ない場合は、ドライブをフォーマットするか、BEKファイルを削除するだけです。ドライブにそのままにしておくこともできます。そのファイルは実際には何もしません。
起動キーを紛失したり、ドライブから.bekファイルを削除したりした場合は、システムドライブのBitLocker回復コードを提供する必要があります。システムドライブでBitLockerを有効にしたときに、安全な場所に保存しておく必要があります。
画像クレジット: トニーオースティン / Flickr
