Bitlocker キーの保護方法追加

Bitlocaker 　キーの保護方法の追加。

コマンドラインのmanage-bde.wsfを使う。

※基本的な使い方(c:\windows\system32に移動しておく)

 c:\windows\system32 > cscript manage-bde.wsf -オプション

とする。
詳細はmanage-bdeの使い方をみる。

キーは
・TPM
・スタートアップキー(USBなど)
・PIN(パスワード)
と、それぞれの組み合わせ。

通常、TPMが付いているマザーの場合でのBitlockerはTPMのみで導入を行った後、後からキーを追加する。
全体を暗号化する作業は、最初のみでキーの保護方法の増減では起こらない。
(あくまでも中間キー?に対する保護キーの変更だから)

※前提
TPMのみで暗号化したものにスタートアップキー(USB: gドライブにUSBメモリを指しておく)を追加する。

cscript manage-bde.wsf -protectors -add c: -TPMAndStartupKey g:\

※不確認情報
通常、これ以降にスタートアップキーを作る場合は、コンパネの中の「Bitlocker ドライブ暗号化」の中で作ればよいのだが、そのままではスタートアップキーを作る項目が出てこなかった。

その場合、ローカルグループポリシーエディタ(gpedit.msc)で設定すると出てくる。

問題はその後。

これで、スタートアップキーがここでいくつも作れるはずだが、ここで作るキーはなぜか使えなかった。

いろいろと試した結果、コマンドラインから作成すれば使えることがわかった。

cscript manage-bde.wsf -protectors -get -SaveExternalKey g:\

とすれば、g:\　(USBメモリーのパス)にキーが保存される。

ただし、そのままだとスタートアップキーと回復キーの二つが保存されるので、回復キーは削除しておく。
(危険だから)

どれが回復キーかスタートアップキーかわからない場合は、

cscript manage-bde.wsf -protectors-get c:

として、表示される項目を確認すればわかる。
(ファイル名がそのままの値なので・・・)

コマンドラインから作れるキーはOKで、コンパネの中から作れるキーがNGな理由がわからない。
(もう一台、同じ構成で作ったら、そっちはどちらで作ったものもOK。バグ?)

※参考
manage-bde.wsf -protectors -add -help の内容
-----
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

manage-bde -protectors -add ボリューム
        [{-RecoveryPassword|-rp} [数値パスワード]]
        [{-RecoveryKey|-rk} 外部キー ディレクトリへのパス]
        [{-StartupKey|-sk} 外部キー ディレクトリへのパス]
        [-TPM]
        [{-TPMAndPIN|-tp} PIN]
        [{-TPMAndStartupKey|-tsk} 外部キー ディレクトリへのパス]
        [{-TPMAndPinAndStartupKey|-tpsk} -tp PIN -tsk 外部キー ディレクトリへのパス]
        [{-ComputerName|-cn} コンピュータ名]
                [{-?|/?}] [{-Help|-h}]

説明:
    キーの保護方法を追加します。キーの保護機能が追加されたら、'manage-bde -on' を使用して、暗号化します。

パラメータ一覧:
    ボリューム       必須。後にコロンが続くドライブ文字。例: "C:"
    -RecoveryPassword or -rp
               
                数字パスワードの保護機能を追加します。追加されていない場合、暗号化を開始するために必要です。無作為な数字パスワードを生成するに
                は、引数を空白のままにします (推奨)。これらのパスワードには特別な形式の要件があります。要件を読むには、"?"
                のような引数を指定します。
    -RecoveryKey or -rk
               
                回復のための外部キーの保護機能を追加します。オプション。無作為に生成された外部キーを含むファイルが保存される場所の絶対ディレク
                トリ パスを指定します。例: "E:"
    -StartupKey or -sk
                起動のために外部キーの保護機能を追加します。コンピュータにサポートされている TPM がなく、1
                つも追加されていない場合に必要です。スタートアップ キーを使用するには、保存した外部キー ファイルが USB フラッシュ
                ドライブのルート ディレクトリにある必要があります。-RecoveryKey と -StartupKey
                の両方のパラメータが外部キーの保護機能を作成するため、保存されたファイルは同様に使用できます。
    -TPMAndPIN or -tp
                OS ボリュームの TPM と PIN 保護機能を追加します。オプション。コンピュータを起動するたびに入力する必要のある 4
                ～ 20 桁の数字 PIN を提供します。ボリューム上の TPM のみの保護機能は削除されます。
    -TPMAndStartupKey or -tsk
                OS ボリュームの TPM と起動キー保護機能を追加します。オプション。スタートアップ
                キーを使用するには、保存したファイルを USB フラッシュ ドライブのルート ディレクトリに置く必要があります。TPM
                のみの保護はこの保護機能を上書きするため、コンピュータ上の TPM 保護機能は削除され、置き換えられます。
    -TPMAndPINAndStartupKey or -tpsk
                OS ボリュームの TPM、PIN、およびスタートアップ キー保護機能を追加します。ボリューム上の TPM
                のみの保護機能、TPM と PIN 保護機能、TPM とスタートアップ キー保護機能は削除されます。
    -tpm        OS ボリュームの TPM 保護機能を追加します。ボリューム上の TPM と PIN 保護機能、TPM とスタートアップ
                キー保護機能、TPM、PIN およびスタートアップ キー保護機能は削除されます。
    -ComputerName or -cn
                別のコンピュータ上で実行します。例: "ComputerX", "127.0.0.1"
    -? or /?    簡単なヘルプを表示します。例: "-ParameterSet -?"
    -Help or -h 完全なヘルプを表示します。例: "-ParameterSet -h"

例:
    manage-bde -protectors -add e: -RecoveryPassword
    manage-bde -protectors -add e: -rp -rk h:\
    manage-bde -protectors -add e: -TPMAndPIN 1234
    manage-bde -protectors -add e: -TPMAndPINAndStartupKey -tp 1234 -tsk h:\