treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

BitLockerを使う場合のBIOS設定ネタ

PC セキュリティ 運用管理

今日はBitlockerを利用しているシステム管理者の方と共有したい情報をご報告します。
Bitlockerはハードディスクを暗号化するWindowsの標準機能です。

ハードディスクを暗号化するソリューションは巷で販売されているものもありますが、概ね一台当たり数千円~一万円のライセンスを台数分導入する必要がある製品が多いですね。それだけに対応しているWindowsのエディションを利用しているのであればハードディスクを暗号化するにはBitlockerがお手軽かつ追加投資不要で利用できる点でお勧めできる方法の一つです。

ですが、このBitlockerはコンシューマ向けには一般的な機能ではありません。Windows全体からみてユーザ数は少ないので必然的に情報量も少なめですね。

ここまで書いておいてちと心苦しいのですが、この記事にある対象PCはレッツノート限定の話です。他のPCでもそうなるかどうか、というのは実はあまり良く知りません。
ただ、Bitlockerで同症状に悩まされている方がおられましたら、同様なBIOSUEFI)設定をご自身のPCで探し出して確認されることをお勧めしたい内容です。

Bitlockerが誤動作すると入電と検証

電話でサポートの依頼です。PC起動時にBitlockerの回復パスワードの入力を促された、という内容でした。
ユーザによれば、何回かに一回はこの回復パスワード画面になるそうです。前にも別のシステム部門の担当者に電話して解決してもらったとのこと。
ひとまず本人確認とBitlockerの回復パスワードを伝えて入力してもらいます。
回復パスワード入力後はユーザに一旦知られてしまった回復パスワードを更新しておくようにします。当時は手作業でやっていたのでちょっと面倒でしたが途中からクラウドサービスで管理し始めたので簡単になりました。

でこの対処についてミーティングで議題になったことがあります。
ちょいちょい起きるから、何か設定が関係しているよな、ということで検証することになりました。

  1. パソコンを閉じる(スリープして電源LEDが点滅状態)
  2. 設定時間後に休止(ハイバネーション)に移行する(電源LEDは消灯)
  3. 天板を開く(休止状態から電源ONし自動で復帰
  4. 回復パスワードを要求される(再現)

ただし、このタイミングの回復パスワード要求は一度電源を切って、再度PCを起動すると復帰(パスワードは要求されない)するという動作をします。

これを解消するためにはBIOS設定を要します。もしBitlockerを使う前提のPCでキッティング前/キッティング中でしたら、下記を確認してみてくださいな。

その設定とは?

レッツノートBIOS設定に「休止復帰時の起動デバイス」の指定があります。(英語の場合には「Boot Device On Hibern」などと記載されています。
休止状態からの復帰時の起動デバイスを内蔵ハードディスクより優先度の高いその他デバイスからの起動を試行するかどうか、という制御をPCが判断してくれるという設定値なのですが、デフォルト設定である、
「ハードディスクのみ」(Hard Disk only)
のままにしておくとBitlockerの回復パスワード入力要求がブートプロセス時に動作してしまうことがありました。電源OFFからのコールドスタートは大丈夫なのですが、スリープからの復帰やハイバネーション(休止状態)からのウォームスタートの場合に稀に発生します。
サポートを受けたときの話ではこの設定値を
「優先デバイスを試行」(Try prior devices)
に変更しておくと、Bitlockerの回復パスワード入力が要求されることもなく正常にBitlockerで暗号化されたハードディスクから無事ブートすることができます。
ハイバネーションは意識して使うユーザは減少していますが、バッテリ切れになって自動的に休止状態になってしまう、という状況はハイバネーションで電源をOFFにした、という状態と同一視できます。

f:id:treedown:20160315095229p:plain

設定の手順

  1. BIOSセットアップユーティリティ画面を起動する
  2. カーソルを「セキュリティ」に移動し画面を開く
  3. 「休止復帰時の起動デバイス」欄に移動しEnterキーを押下
  4. 「優先デバイスを試行」を選択してEnterキーを押下し確定
  5. F10を押下するなどでBIOS画面をセーブして終了します。

ただし、これにはBIOSの別メニューにある起動順序の設定が関係してきます。

もうちょっと踏み込んだ解説

これはデバイスの起動順序の順番によって相違するようです。

起動順序の先頭がハードディスクの場合には休止復帰時の起動デバイス設定欄の状態に関係なくBitlocker回復パスワード入力画面は表示されません。
起動順序の先頭が「CD/DVDドライブ」などのハードディスク以外になっている場合に「休止復帰時の起動デバイス」欄の設定によってBitlockerの回復パスワード入力画面が表示されることがあります。

Bitlockerでは起動順序の設定にCD/DVDドライブのような光学ドライブやリムーバブルドライブがハードディスクより上の優先順位で、かつ休止復帰時の起動デバイスが適切な設定値になっていないと起動順序が変更されたという認識をするという動作をするそうです。
以前に対処した機種では「優先デバイスを試行」(Try prior devices)に設定値を変更する、というサポートからの回答を受けましたが、別の機種や別の環境では「ハードディスクのみ」(Hard Disk only)にする設定値でOKでした。(起動の優先順位も関係していますが)
BIOSとBitlockerのデータの受け渡しの問題のようなので、どの設定値がBitlockerで正常動作するかは実機での動作確認が必要になります。
とかく、今回問題となった対象の機種では「休止復帰時の起動デバイス」欄は「優先デバイスを試行」に変更しつつ、デバイスの起動優先順位を「ハードディスク」を最優先にすると確実に発生しない、ということになりましたので全台についてその設定を実施するという作業を実施しました。

つまり、起動優先順位がPCの都合で勝手に変わったとしても、休止復帰時の起動デバイスがしっかり設定されていれば大丈夫、という二段構えです。

Bitlocker、使いこなすにもMicrosoftの情報だけではうまく運用にのらないこともありますよね。デバイスあっての話ですから、こういうときはPCメーカの力を借りなければいけません。こういう時にメーカサポートが頼りになるかどうか、という点が重要になってきますね。