topimg.jpg


コマンドラインでのBitLocker制御方法

Windows10が起動しなくなった。
結局、原因は「Intel Dynamic Power Performance Management Processor Driver」の
Windows7 64bit版ドライバをインストールしたことであったが、
その調査過程でBitLockerの制御をコマンドラインで行ったため、その覚書を記す。

●背景
Windows10の起動に失敗した際、Windows10は自動診断のためにBitLocerの「回復キー」を求めてくる。

自分はCドライブも暗号化していたため、どうやらこれを入力する必要があるようだ。
しかし、PC起動時にCドライブのBitLockerパスワードは入力済であるにも関わらず、
何故「回復キー」を更に求められるのかは謎である。TPMの関係だろうか?

もちろん、「回復キー」なんてもんは控えているはずもない。
BitLocker暗号化時に、強制的にファイル作成等を求められるが、
「回復キーが流出したら、せっかく設定したパスワードが突破されてしまうやん!!」
という思考のもの、即刻そのファイルを削除していたのだ。

そんなこんなで、先に進まないため、Windows10をセーフモードで起動。
(F8じゃ起動できなかったので、最初少し手間取った。。。)

コントロールパネルからBitLocerのアイコンを探したところ、見当たらない。
どうやらセーフモードでは利用できないようだ。
一応、コマンドプロンプトから、

control.exe /name Microsoft.BitLockerDriveEncryption

を実行したが、梨のつぶてであった。
そこで、Manage-bde.exeを直接CUIで制御することで、回復キーを調べることにした。

●手順
・状態確認
        C:\Users\User>Manage-bde.exe -status

        BitLocker ドライブ暗号化: 構成ツール Version 10.0.10011
        Copyright (C) 2013 Microsoft Corporation. All rights reserved.

        BitLocker ドライブ暗号化で保護可能な
        ディスク ボリューム:
        ボリューム C: []
        [OS ボリューム]

            サイズ:                 37.80 GB
            BitLocker のバージョン: 2.0
            変換状態:               完全に暗号化されています
            暗号化された割合:       100.0%
            暗号化の方法:           AES 128
            保護状態:               保護はオンです
            ロック状態:             ロック解除
            識別子フィールド:       不明
            キーの保護機能:
                パスワード
                数字パスワード

・回復キーの表示
        C:\Users\User>Manage-bde.exe -protectors -get C:
       
        BitLocker ドライブ暗号化: 構成ツール Version 10.0.10011
        Copyright (C) 2013 Microsoft Corporation. All rights reserved.

        ボリューム C: []
        すべてのキーの保護機能

            パスワード:
              ID: {XXXXXXXXXXXXXXXXXXXXXXXXXXXXX}

            数字パスワード:
              ID: {XXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
              パスワード:
                XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX(←この数値だけの列が回復キー)

            外部キー:
              ID: {XXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
              外部キー ファイル名:
                XXXXXXXXXXXXXXXXXXXXXXXXXXXXX

・暗号化の無効化(参考情報)
        C:\Users\User>Manage-bde.exe -off C:

        BitLocker ドライブ暗号化: 構成ツール Version 10.0.10011
        Copyright (C) 2013 Microsoft Corporation. All rights reserved.

        エラー: このボリュームは、自動的に他のボリュームをロック解除できる外部キーを
        格納しています。このボリュームの暗号化を解除する前に、このようなキーを
        削除する必要があります。

        必要な操作:

        1. データの消失を防ぐために、関連するデータ ボリュームの回復パスワードまたは
           回復キーが存在することを確認します。
        2. 格納されている外部キーを削除するには、
           「manage-bde -autounlock -ClearAllKeys ボリューム」と入力します。

  
  ↑どうやら、Dドライブをログイン時に自動暗号化解除する設定にしていたため、
   それを先に無効化する必要があるらしい。
  ↓ということで、先に以下のコマンドを実行


        C:\Users\User>manage-bde -autounlock -ClearAllKeys C:

        BitLocker ドライブ暗号化: 構成ツール Version 10.0.10011
        Copyright (C) 2013 Microsoft Corporation. All rights reserved.

        ボリューム C: から、すべての自動ロック解除キーが削除されました。

        C:\Users\User>Manage-bde.exe -off C:
        BitLocker ドライブ暗号化: 構成ツール Version 10.0.10011
        Copyright (C) 2013 Microsoft Corporation. All rights reserved.

        暗号化の解除は現在実行中です。


  ↑無事、暗号化解除が実行できた。
   ちなみに、進捗状況はステータスコマンドで確認できる。
  ↓暗号化された割合が0%になれば、解除完了。


        C:\Users\User>Manage-bde.exe -status

        BitLocker ドライブ暗号化: 構成ツール Version 10.0.10011
        Copyright (C) 2013 Microsoft Corporation. All rights reserved.

        BitLocker ドライブ暗号化で保護可能な
        ディスク ボリューム:
        ボリューム C: []
        [OS ボリューム]

            サイズ:                 37.80 GB
            BitLocker のバージョン: 2.0
            変換状態:               暗号化の解除を実行中です
            暗号化された割合:       20.2%
            暗号化の方法:           AES 128
            保護状態:               保護はオフです
            ロック状態:             ロック解除
            識別子フィールド:       不明
            キーの保護機能:
                パスワード
                数字パスワード

・Manage-bde.exeのヘルプ表示方法(参考情報)
  ↓オプションの後に-hをつければ、そのオプションの詳細使用方法が表示される。

        C:\Users\User>Manage-bde.exe -unlock -h
        BitLocker ドライブ暗号化: 構成ツール Version 10.0.10011
        Copyright (C) 2013 Microsoft Corporation. All rights reserved.

        manage-bde -unlock ボリューム
                            {[{-RecoveryPassword| -rp} 数字パスワード] |
                            [{-RecoveryKey|-rk} 外部キー ファイルへのパス]}
                            [{-Certificate|-cert} {-cf 証明書ファイルへのパス|
                                                   -ct 証明書の拇印} {-pin}]
                            [{-Password|-pw}]
                            [{-ADAccountOrGroup|-sid} [{SID|ドメイン\ユーザー|
                                                        ドメイン\グループ}]
                            [{-ComputerName|-cn} コンピューター名]
                            [{-?|/?}] [{-Help|-h}]

        説明:
            回復パスワード、回復キー、証明書、またはパスワードによって、BitLocker で
            暗号化されたデータにアクセスできるようにします。

        パラメーター一覧:
            ボリューム  必須。ドライブ文字に続けてコロン、ボリューム GUID パス、または
                        マウントされたボリュームを指定します。例: "C:"、
                        \\?\Volume{26a21bda-a627-11d7-9931-806e6f6e6963}\、または
                        "C:\MountVolume"
            -RecoveryPassword または -rp
                        ボリュームのロックを解除する回復パスワードを指定します。暗号化
                        されたボリューム用に、あらかじめ数字パスワード保護機能を作成
                        している必要があります。
            -RecoveryKey または -rk
                        ボリュームのロックを解除する外部キー ファイルを指定します。
                        -RecoveryPassword が指定されていない場合に必要です。暗号化され
                        たボリューム用に、あらかじめ外部キー保護機能を作成している必要
                        があります。
            -Certificate または -cert
                        ユーザーの証明書ストアに対し、ボリュームの暗号化に使用された
                        拇印と同じ拇印を持つ証明書があるかどうかを照会します。証明書が
                        見つかった場合は、秘密キーが取得され、このキーを使用して
                        ボリュームのロックが解除されます。証明書ファイルまたは証明書の
                        拇印を指定します。証明書 (スマート カードなど) へのアクセスに
                        PIN が必要な場合は、"-pin" パラメーターを指定すると、PIN の入力
                        を求められます。
            -Password または -pw
                        ボリュームのロックを解除するパスワードを指定します。
            -ADAccountOrGroup または -sid
                        SID ベースの ID 保護機能を使用してボリュームのロックを
                        解除します。アカウント名または SID を指定した場合は、SID が
                        一致する保護機能を使用してロックを解除します。それ以外の場合
                        は、すべての SID ベースの ID 保護機能でロックを解除します。
            -ComputerName または -cn
                        別のコンピューター上で実行します。例: "ComputerX"、"127.0.0.1"
                        -Certificate と組み合わせて使用することはできません。
            -? または /?
                        簡単なヘルプを表示します。例: "-ParameterSet -?"
            -Help または -h
                        完全なヘルプを表示します。例: "-ParameterSet -h"

        例:
            manage-bde -unlock -?
            manage-bde -unlock e: -RecoveryPassword ...
            manage-bde -unlock e: -RecoveryKey "f:\File Folder\Filename"
            manage-bde -unlock e: -Certificate -cf "C:\File Folder\Filename.cer"
            manage-bde -unlock e: -pw
            manage-bde -unlock e: -sid S-1-5-21-...-513



以上。

結局、回復キー入力後も、Windows10を復旧できず、
セーフモード時にIntel Dynamic Power Performance Management Processor Driverを
「プログラムと機能」からアンインストールしたら直りましたとさ。
システムの復元を無効にしていた自分を初めて責めた。

スポンサーサイト
  1. 2016/07/17(日) 05:25:55|
  2. Windows
  3. | トラックバック:0
  4. | コメント:0
<<FC2ブログでスペースとかをテキストエディタままのイメージで記載する方法 | ホーム | SOV31のSIMロック解除>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://192168111.blog71.fc2.com/tb.php/108-130c78cd
この記事にトラックバックする(FC2ブログユーザー)