treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

Windows HomeエディションでBitLockerが回復キーを求めてくる怪(2/2)

前回「Windows HomeエディションでBitLockerが回復キーを求めてくる怪(1/2)」の続き。
前回はいったん復旧したかのようにみえたものの、再びBitLockerの回復キー要求画面が表示されてしまいました。

簡単にサポートからの回答を要約

要約すると、

  • (知らなかったのですが)HomeエディションにはBitLocker相当の機能「デバイスの暗号化」があり、DELLのXPSではデフォルト有効化⇒これがBitLockerの回復キーを要求している
  • BIOSダウングレード実施後に正常起動しても、Windows Updateを実行するとBIOSアップグレードが実行されてしまうため、元に戻ってしまう。
  • この動作は仕様なので、変更できない。
  • 回復キーを入手しないと根本的な解決策とはならない。
  • 正常起動するようになってから、Firmwareのアップデートを無効にする設定はBIOSから実施可能。

と、いうことは、いったんはBIOSダウングレードを実施し、正常起動したところで何かしらの対策を実施する、ということになりそうです。

手順実施前に決めておくこと

前回の手順に加えて、今回の手順を実施するに当たってポイントとなること。

以下、

  1. 回復キーを入手し、回復キーで運用
  2. デバイスの暗号化をオフにして非暗号化で運用

のどちらかを決定する必要がありそうです。

つまり、Homeエディションで動作しているBitLockerのような機能「デバイスの暗号化」という機能を今後はどう取り扱うかという考え方でやることが変わってくるという。
つまり、「デバイスの暗号化」を使い続ける場合、

回復キーを入手して保管、BitLockerの回復キー要求画面が表示されたら保管した回復キーを使うようにする。

ということになりますし、そもそもこの現象を起こしたくない、ということだと、

「デバイスの暗号化」を無効化し、BitLockerが動作しないようにする=BitLockerの回復キー要求画面は今後表示されない。

ということになります。

今回は、回復キーを入手し、都度必要になったところで回復キーを手入力することにしました。

リトライ

前回の「Windows HomeエディションでBitLockerが回復キーを求めてくる怪(1/2)」手順で、いまいちどBIOSダウングレードを実施。

Windows10が起動するところまでもって行きます。

途中Windows Updateが動作して、ダウングレードしたBIOSからWindowsが再起動し、回復キーの入手前に再びBitLockerの回復キー要求画面が起動する、という動きをしましたが、めげずに再度BIOSダウングレードを実施。

ようやくWindowsが起動し、サインイン画面を迎えることができました。
さっそくサインインし、「設定」⇒「更新とセキュリティ」画面から「デバイスの暗号化を選択して画面を開きます。

f:id:treedown:20210907120717p:plainHomeエディション版BitLockerとも言うべき、デバイスの暗号化画面が開きました。確かに「デバイスの暗号化が有効になっています。」と表記されており、オン/オフ切替のボタンは「オフにする」と表記されていて、BitLockerが有効化されていることが見て取れます。

デバイスの暗号化(BitLocker)を無効化するのであればこの画面でオフにしてしまえば良いのですが、今回は回復キーの入手が目的となっています。
そのため、コマンドプロンプトに頼る必要が出てきました。

参考:https://atmarkit.itmedia.co.jp/ait/articles/1703/03/news039.html

コントロールパネルにBitLockerのGUIが用意されていないHomeエディションであっても、コマンドラインでのデバイス暗号化制御はBitLockerと同じコマンドが用意されています。

コマンドラインで回復キーを入手

まずやってみたのは状態の調査。
参考URLの解説によれば、これは

manage-bde -status

で実行します。
実際やってみると、ドライブレターが割り当てられたドライブごとにデバイスの暗号化状態が表記されました。

f:id:treedown:20210907120827p:plain
c:のみの表示ですが、「保護状態:保護はオンです」という表記や、「変換状態:使用領域のみ暗号化」と暗号化が実施されている状況が見て取れます。
ちなみに、暗号化されていないドライブでは、

f:id:treedown:20210907120844p:plain

このように表記されます。「保護状態:保護はオフです」とか「変換状態:暗号化は完全に解除されています」といった暗号化されていない表記が見て取れます。

これまでHomeエディションにBitLockerは機能としてないと認識していましたが、認識を改める必要があるようです。(いつからなんだろう、とふと思いました。Windows7のときはEnterprise Ed.限定なのが、Windows 8くらいからProでもBitLockerが使えるようになっていた、というところまでは覚えているのですが。)

実際に回復キーを入手を入手するには、

manage-bde -protectors -get %ドライブレター%

と実行します。
今回はCドライブ(c:)が対象なので、「manage-bde -protectors -get c:」と実行して回復キーを入手しました。

f:id:treedown:20210907120921p:plain

コマンドを実行すると、"ID:"で始まる行が表示されるのですが、実際にBitLockerの回復キー要求画面に表示されるIDと見比べると、コマンド実行結果画面の後半の"ID:"と合致することが分ります。つまりそのID:に続く「パスワード:」に記載されている数字の羅列が必要な回復キーだということになります。

ひとまず、この画面にあるパスワードを控えて、次回BitLockerの回復キー要求画面が出てきたときに入力するように安全に保管することにしました。

目的達成(まとめ)

これでひとまず、謎の「突然BitLockerの回復キー要求画面が表示される」という問題の対処は完了しました。
いろいろと初体験だったので戸惑いもありました。

  • HomeエディションであってもBitLockerは搭載されている
  • BitLockerを設定した覚えがなくても、工場出荷状態で有効化されていることがある
  • 前準備なしでいったんBitLockerの回復キー要求画面が表示されると"詰む"
  • 今回はメーカサポートからBIOSダウングレードが案内されたので助かった=別メーカや別の機種で同様に助かるかは不明
  • BitLockerという用語だけでなく、"デバイスの暗号化"にも注意して初期設定を確認しておくほうがよさそう
  • 突然BitLockerの回復キー要求画面の起点となるのはBIOSアップグレードやWindows Update(のOEMメーカ仕様)で発生する
  • (総じて)正常に起動している今のうちに、BitLockerやデバイスの暗号化の設定や状態を確認しておく(無効なら何も気にしなくて良いが、有効になっているなら要注意)

ちなみに、
参考URL:https://atmarkit.itmedia.co.jp/ait/articles/1702/28/news040.html
によれば、
Homeエディション版BitLockerは「限定的な読み書きアクセスのみのサポート」という記載があります。つまり、全Windowsで注意した方がいいことなのかもしれません。

 

追記:(2024-07-29)

BitLocker回復キーを自動収集するバッチファイルを作成しました。タスクスケジューラなどで定期的に実行するようにしておくと、知らないうちに…が防げるかもしれません。

blog.treedown.net