treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

レッツノートでBitLockerがデフォルト有効化されている(こともある?)

PC セキュリティ

レッツノートCF-QV9をキッティングするときに行き詰まった内容を記録しておくメモ。
最近のレッツノートはデフォルトでBitLockerが有効になっている?かのような動作に遭遇しましたのでご報告です。
主な目的は、Acronis TrueImageでバックアップ取得するために、という目的です。

レッツノートのキッティング

発端は、新しいレッツノートCF-QV9をキッティングしてユーザ用PCとして仕上げる作業を依頼されました。
Intel第10世代CPU、工場出荷状態で既にWindows10は20H2になっているレッツノート、いかにも新しいPCという感じでどこか輝いているような印象を受けるPCです。シルバーボディで実際輝いていますし。

一通り、必要になる標準アプリケーションのインストールを済ませ、標準状態をイメージバックアップ、取得したバックアップで工場出荷状態にリカバリ後に実施したセットアップ作業を完了させた状態を保存しておくようにします。
※こうすれば、大型アップデートでOSが起動しなくなったとしても、最悪データだけなんとか救出すれば環境は元通り。

そんなイメージバックアップをAcronis TrueImageで取得しようと思ったら、
「ドライブがBitLockerで暗号化されているので取得出来ません。」
という感じのメッセージが表示され、Acronisのバックアップ操作が進まない状況に陥ってしまいました。

…、いままでこういうことなかったのですが。BitLocker?

BitLockerの状態を確認

いままで標準状態でBitLockerのドライブ暗号化がされていたことは無かったのですが、Acronis TrueImageの画面ではイメージバックアップ対象のドライブ(C:)はBitLockerの影響を受けている表示をしていました。

早速OSを起動し直して、Windows10から確認してみます。

f:id:treedown:20210216192524p:plain
「Windows(C:)BitLockerはアクティブ化を待機中です」
と記載があります。併せて「BitLockerを有効にする」という表示も。有効ではない?
有効無効どっちなのかがわかりにくい表示です。しかしこの画面では「有効化」しかできない=現在は無効?と考えることもできそうな表示。

もう一つの画面で確認してみます。「スタートメニュー」⇒「設定」⇒「更新とセキュリティ」の画面で、左ペインのリストから「デバイスの暗号化」という箇所をクリックして表示。
すると、

f:id:treedown:20210216192546p:plain
デバイスの暗号化を完了するには云々、というメッセージと共に「オフにする」というボタンが表示されています。と、いうことはBitLockerは有効になっているということなのかも。
※Windows7以来BitLockerは使っていなかったので、ちょっと浦島太郎状態。
そこで、画面上の「オフにする」をクリックしてみることにしました。
すると、

f:id:treedown:20210216192616p:plain
「デバイス暗号化の無効化」という画面が出てきます。暗号化解除とか出てるのでデフォルトでBitLockerの暗号化が実施されていた、ということなのかも、と考え始めました。画面中の「オフにする」をクリックします。
以下に続きます。

BitLockerをオフにする処理実行

上記の「オフにする」を二回クリックし終わると、BitLockerの暗号化解除が動作し始めます。どちらにしろ、Microsoftアカウントを利用しないとBitLockerの暗号化が出来ないのであれば(ローカルアカウントを使用する環境では)BitLockerを有効化できないことになります。暗号化解除します。

上記の「オフにする」をクリックしたあとは、画面が

f:id:treedown:20210216192646p:plain
このように前の画面で円が回転して待ちを示しています。しばらく待っていると、

f:id:treedown:20210216192700p:plain
このように「暗号化を解除しています(そのままデバイスをお使いいただけます)。」の表示で、BitLockerを無効化してくれているような画面が表示されてきました。

f:id:treedown:20210216192714p:plain
ジッと待ちます。
完了すると、

f:id:treedown:20210216192725p:plain
このように「更新とセキュリティ」のトップ画面に戻ってきました。そして左ペインのリストから「デバイスの暗号化」という項目はなくなりました。
BitLockerを解除(無効化?)すると、こちらの画面にBitLockerを示す表示はなくなってしまうようです。

このため、解除を確認するために、改めてコントロールパネルの「BitLockerドライブ暗号化」画面を確認しました。

f:id:treedown:20210216192742p:plain
最初に
「Windows(C:)BitLockerはアクティブ化を待機中です」
と表示されていた箇所は
「Windows(C:)BitLockerが無効です」
に表示が変わりました。

これでBitLockerは解除されたはず、再度Acronis TrueImageを起動してみます。

Acronis TrueImageでバックアップ

バックアップ画面から、対象のボリュームを選択して、バックアップを取得…

f:id:treedown:20210216192758p:plain
と、この画面で「次へ」を押下すると、「BitLockerのドライブはバックアップできないんですよ」とエラーで進めなくなっていたのですが、今回は、すんなりバックアップに進めました。

f:id:treedown:20210216192812p:plain
バックアップ中…

f:id:treedown:20210216192828p:plain
無事完了しました。よかった。

BitLockerはデフォルト有効化?

工場出荷状態でちょっと触っただけのWindows10だったのですが、BitLockerが有効化されていたのは初体験で面食らいました。ただアクティブ化はされていない状況で、暗号化こそされていたものの、(メッセージなどから)実際にBitLockerが有効にはなっていなかったようにも見えました。(なので実際の制限機能は働いてなかった?)

デフォルト有効化されていたBitLocker、Acronis TrueImageでイメージバックアップを取得するためには暗号化解除が必要でしたが、これ、ユーザが使用するタイミングでBitLocker有効化に戻しておいた方がいいのかなぁ、とちょっと迷うところです。

しばらく時間があるので考えておこう。