パソコンの備忘録など
×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
Bitlocaker キーの保護方法の追加。
コマンドラインのmanage-bde.wsfを使う。
※基本的な使い方(c:\windows\system32に移動しておく)
c:\windows\system32 > cscript manage-bde.wsf -オプション
とする。
詳細はmanage-bdeの使い方をみる。
キーは
・TPM
・スタートアップキー(USBなど)
・PIN(パスワード)
と、それぞれの組み合わせ。
通常、TPMが付いているマザーの場合でのBitlockerはTPMのみで導入を行った後、後からキーを追加する。
全体を暗号化する作業は、最初のみでキーの保護方法の増減では起こらない。
(あくまでも中間キー?に対する保護キーの変更だから)
※前提
TPMのみで暗号化したものにスタートアップキー(USB: gドライブにUSBメモリを指しておく)を追加する。
cscript manage-bde.wsf -protectors -add c: -TPMAndStartupKey g:\
※不確認情報
通常、これ以降にスタートアップキーを作る場合は、コンパネの中の「Bitlocker ドライブ暗号化」の中で作ればよいのだが、そのままではスタートアップキーを作る項目が出てこなかった。
その場合、ローカルグループポリシーエディタ(gpedit.msc)で設定すると出てくる。
問題はその後。
これで、スタートアップキーがここでいくつも作れるはずだが、ここで作るキーはなぜか使えなかった。
いろいろと試した結果、コマンドラインから作成すれば使えることがわかった。
cscript manage-bde.wsf -protectors -get -SaveExternalKey g:\
とすれば、g:\ (USBメモリーのパス)にキーが保存される。
ただし、そのままだとスタートアップキーと回復キーの二つが保存されるので、回復キーは削除しておく。
(危険だから)
どれが回復キーかスタートアップキーかわからない場合は、
cscript manage-bde.wsf -protectors-get c:
として、表示される項目を確認すればわかる。
(ファイル名がそのままの値なので・・・)
コマンドラインから作れるキーはOKで、コンパネの中から作れるキーがNGな理由がわからない。
(もう一台、同じ構成で作ったら、そっちはどちらで作ったものもOK。バグ?)
※参考
manage-bde.wsf -protectors -add -help の内容
-----
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.
manage-bde -protectors -add ボリューム
[{-RecoveryPassword|-rp} [数値パスワード]]
[{-RecoveryKey|-rk} 外部キー ディレクトリへのパス]
[{-StartupKey|-sk} 外部キー ディレクトリへのパス]
[-TPM]
[{-TPMAndPIN|-tp} PIN]
[{-TPMAndStartupKey|-tsk} 外部キー ディレクトリへのパス]
[{-TPMAndPinAndStartupKey|-tpsk} -tp PIN -tsk 外部キー ディレクトリへのパス]
[{-ComputerName|-cn} コンピュータ名]
[{-?|/?}] [{-Help|-h}]
説明:
キーの保護方法を追加します。キーの保護機能が追加されたら、'manage-bde -on' を使用して、暗号化します。
パラメータ一覧:
ボリューム 必須。後にコロンが続くドライブ文字。例: "C:"
-RecoveryPassword or -rp
数字パスワードの保護機能を追加します。追加されていない場合、暗号化を開始するために必要です。無作為な数字パスワードを生成するに
は、引数を空白のままにします (推奨)。これらのパスワードには特別な形式の要件があります。要件を読むには、"?"
のような引数を指定します。
-RecoveryKey or -rk
回復のための外部キーの保護機能を追加します。オプション。無作為に生成された外部キーを含むファイルが保存される場所の絶対ディレク
トリ パスを指定します。例: "E:"
-StartupKey or -sk
起動のために外部キーの保護機能を追加します。コンピュータにサポートされている TPM がなく、1
つも追加されていない場合に必要です。スタートアップ キーを使用するには、保存した外部キー ファイルが USB フラッシュ
ドライブのルート ディレクトリにある必要があります。-RecoveryKey と -StartupKey
の両方のパラメータが外部キーの保護機能を作成するため、保存されたファイルは同様に使用できます。
-TPMAndPIN or -tp
OS ボリュームの TPM と PIN 保護機能を追加します。オプション。コンピュータを起動するたびに入力する必要のある 4
~ 20 桁の数字 PIN を提供します。ボリューム上の TPM のみの保護機能は削除されます。
-TPMAndStartupKey or -tsk
OS ボリュームの TPM と起動キー保護機能を追加します。オプション。スタートアップ
キーを使用するには、保存したファイルを USB フラッシュ ドライブのルート ディレクトリに置く必要があります。TPM
のみの保護はこの保護機能を上書きするため、コンピュータ上の TPM 保護機能は削除され、置き換えられます。
-TPMAndPINAndStartupKey or -tpsk
OS ボリュームの TPM、PIN、およびスタートアップ キー保護機能を追加します。ボリューム上の TPM
のみの保護機能、TPM と PIN 保護機能、TPM とスタートアップ キー保護機能は削除されます。
-tpm OS ボリュームの TPM 保護機能を追加します。ボリューム上の TPM と PIN 保護機能、TPM とスタートアップ
キー保護機能、TPM、PIN およびスタートアップ キー保護機能は削除されます。
-ComputerName or -cn
別のコンピュータ上で実行します。例: "ComputerX", "127.0.0.1"
-? or /? 簡単なヘルプを表示します。例: "-ParameterSet -?"
-Help or -h 完全なヘルプを表示します。例: "-ParameterSet -h"
例:
manage-bde -protectors -add e: -RecoveryPassword
manage-bde -protectors -add e: -rp -rk h:\
manage-bde -protectors -add e: -TPMAndPIN 1234
manage-bde -protectors -add e: -TPMAndPINAndStartupKey -tp 1234 -tsk h:\
コマンドラインのmanage-bde.wsfを使う。
※基本的な使い方(c:\windows\system32に移動しておく)
c:\windows\system32 > cscript manage-bde.wsf -オプション
とする。
詳細はmanage-bdeの使い方をみる。
キーは
・TPM
・スタートアップキー(USBなど)
・PIN(パスワード)
と、それぞれの組み合わせ。
通常、TPMが付いているマザーの場合でのBitlockerはTPMのみで導入を行った後、後からキーを追加する。
全体を暗号化する作業は、最初のみでキーの保護方法の増減では起こらない。
(あくまでも中間キー?に対する保護キーの変更だから)
※前提
TPMのみで暗号化したものにスタートアップキー(USB: gドライブにUSBメモリを指しておく)を追加する。
cscript manage-bde.wsf -protectors -add c: -TPMAndStartupKey g:\
※不確認情報
通常、これ以降にスタートアップキーを作る場合は、コンパネの中の「Bitlocker ドライブ暗号化」の中で作ればよいのだが、そのままではスタートアップキーを作る項目が出てこなかった。
その場合、ローカルグループポリシーエディタ(gpedit.msc)で設定すると出てくる。
問題はその後。
これで、スタートアップキーがここでいくつも作れるはずだが、ここで作るキーはなぜか使えなかった。
いろいろと試した結果、コマンドラインから作成すれば使えることがわかった。
cscript manage-bde.wsf -protectors -get -SaveExternalKey g:\
とすれば、g:\ (USBメモリーのパス)にキーが保存される。
ただし、そのままだとスタートアップキーと回復キーの二つが保存されるので、回復キーは削除しておく。
(危険だから)
どれが回復キーかスタートアップキーかわからない場合は、
cscript manage-bde.wsf -protectors-get c:
として、表示される項目を確認すればわかる。
(ファイル名がそのままの値なので・・・)
コマンドラインから作れるキーはOKで、コンパネの中から作れるキーがNGな理由がわからない。
(もう一台、同じ構成で作ったら、そっちはどちらで作ったものもOK。バグ?)
※参考
manage-bde.wsf -protectors -add -help の内容
-----
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.
manage-bde -protectors -add ボリューム
[{-RecoveryPassword|-rp} [数値パスワード]]
[{-RecoveryKey|-rk} 外部キー ディレクトリへのパス]
[{-StartupKey|-sk} 外部キー ディレクトリへのパス]
[-TPM]
[{-TPMAndPIN|-tp} PIN]
[{-TPMAndStartupKey|-tsk} 外部キー ディレクトリへのパス]
[{-TPMAndPinAndStartupKey|-tpsk} -tp PIN -tsk 外部キー ディレクトリへのパス]
[{-ComputerName|-cn} コンピュータ名]
[{-?|/?}] [{-Help|-h}]
説明:
キーの保護方法を追加します。キーの保護機能が追加されたら、'manage-bde -on' を使用して、暗号化します。
パラメータ一覧:
ボリューム 必須。後にコロンが続くドライブ文字。例: "C:"
-RecoveryPassword or -rp
数字パスワードの保護機能を追加します。追加されていない場合、暗号化を開始するために必要です。無作為な数字パスワードを生成するに
は、引数を空白のままにします (推奨)。これらのパスワードには特別な形式の要件があります。要件を読むには、"?"
のような引数を指定します。
-RecoveryKey or -rk
回復のための外部キーの保護機能を追加します。オプション。無作為に生成された外部キーを含むファイルが保存される場所の絶対ディレク
トリ パスを指定します。例: "E:"
-StartupKey or -sk
起動のために外部キーの保護機能を追加します。コンピュータにサポートされている TPM がなく、1
つも追加されていない場合に必要です。スタートアップ キーを使用するには、保存した外部キー ファイルが USB フラッシュ
ドライブのルート ディレクトリにある必要があります。-RecoveryKey と -StartupKey
の両方のパラメータが外部キーの保護機能を作成するため、保存されたファイルは同様に使用できます。
-TPMAndPIN or -tp
OS ボリュームの TPM と PIN 保護機能を追加します。オプション。コンピュータを起動するたびに入力する必要のある 4
~ 20 桁の数字 PIN を提供します。ボリューム上の TPM のみの保護機能は削除されます。
-TPMAndStartupKey or -tsk
OS ボリュームの TPM と起動キー保護機能を追加します。オプション。スタートアップ
キーを使用するには、保存したファイルを USB フラッシュ ドライブのルート ディレクトリに置く必要があります。TPM
のみの保護はこの保護機能を上書きするため、コンピュータ上の TPM 保護機能は削除され、置き換えられます。
-TPMAndPINAndStartupKey or -tpsk
OS ボリュームの TPM、PIN、およびスタートアップ キー保護機能を追加します。ボリューム上の TPM
のみの保護機能、TPM と PIN 保護機能、TPM とスタートアップ キー保護機能は削除されます。
-tpm OS ボリュームの TPM 保護機能を追加します。ボリューム上の TPM と PIN 保護機能、TPM とスタートアップ
キー保護機能、TPM、PIN およびスタートアップ キー保護機能は削除されます。
-ComputerName or -cn
別のコンピュータ上で実行します。例: "ComputerX", "127.0.0.1"
-? or /? 簡単なヘルプを表示します。例: "-ParameterSet -?"
-Help or -h 完全なヘルプを表示します。例: "-ParameterSet -h"
例:
manage-bde -protectors -add e: -RecoveryPassword
manage-bde -protectors -add e: -rp -rk h:\
manage-bde -protectors -add e: -TPMAndPIN 1234
manage-bde -protectors -add e: -TPMAndPINAndStartupKey -tp 1234 -tsk h:\
PR