BitLocker 回復キーとは? どこにある

追加2022.9
セキュリティ更新プログラム: 2022年8月9日 KB5012170でbitlocker回復キーが要求される問題。(win11だけ)正しい回復キーを入れてみた。正しいBitlocker回復キー

BitLocker暗号化(デバイスの暗号化)

ステータス: Microsoft では現在この問題の解決に取り組んでおり、今後のリリースで更新プログラムを提供する予定です。


ドライブ内のデータが暗号化されていて回復キーがないと読めません。

これは、そもそもパソコンが盗難にあってデータを取られることを防ぐための機能です。

マイクロソフトアカウントに回復キーが紐付けられています、マイクロソフトアカウントが分からない人は盗人とみなされますたとえ自分の所有物でも。。。

◇マイクロソフトアカウントとは

:初期設定の時マイクロソフトに登録したメールアドレスとパスワードです。

同ドライブからの初期化もできません。。

データは取れません、取れても読めません。

BitLocker デバイス暗号化では、XTS-AES128 ビット暗号化方法が使用されます。解読無理。

Windows での BitLocker デバイスの暗号化の概要

 

Cドライブがこんなアイコンになっていたはずです。

暗号化ドライブ
暗号化済ドライブ

キー無し ⇒ パソコンとして使うには、データ全削除Windows再インストールしかありません。

外部ドライブ(USBメモリ等)からのWindowsインストールになります。Windows10のダウンロード

BitLocker 回復キーを探す

回復キーとは

48桁の数字です。また、有効にするたびに変更されます

回復キー
BitlLocker 回復キーの例

 

デバイスの暗号化BitLockerドライブ暗号化 が存在する。回復キーを取得する手順は同じ。
(ざっくり、HOME:デバイスの暗号化 Pro:BitLockerドライブ暗号化)  Win10暗号化

 

デバイスの暗号化 をサポートしているかどうかを確認する

タスクバーの検索ボックスに システム情報 を入力します。結果リストで、[システム情報]を右クリックし、[管理者として実行]を選択します。下にスクロールして、[デバイス暗号化のサポート]を確認します。システムがデバイスの暗号化をサポートしている場合は、[前提条件を満たしています]と示されます。

 

◆デバイスの暗号化を有効にするには

  1. 管理者アカウントで Windows にサインインします (サインアウトしてからサインインし直してアカウントを切り替える必要がある場合があります)。 詳しくは、「Windows 10 でローカルのユーザー アカウントまたは管理者アカウントを作成する」をご覧ください。
  2. [スタート]  ボタンを選択し、[設定]  > [更新とセキュリティ] > [デバイスの暗号化] の順に選択します。 [デバイスの暗号化] が表示されない場合は、利用できません。 代わりに標準の BitLocker 暗号化を有効にできる場合があります。
  3. デバイスの暗号化がオフになっている場合は、[オンにする] を選択します。

◆BitLocker ドライブ暗号化を有効にするには (Pro)

  1. 管理者アカウントで Windows デバイスにサインインします (サインアウトしてからサインインし直してアカウントを切り替える必要がある場合があります)。
  2. タスク バーの検索ボックスに「BitLocker の管理」と入力し、結果の一覧から選択します。
    または、[スタート]  ボタンを選択し、[Windows システム] で、[コントロール パネル] を選択することもできます。 [コントロール パネル] で、[システムとセキュリティ] を選択し、[BitLocker ドライブ暗号化] で [BitLocker の管理] を選択します。
    注意: BitLocker は Windows 10 Home エディションでは利用できません。
  3. [BitLocker を有効にする] を選択し、画面に表示される指示に従って操作します。

◇ 回復キーを確認するには下記5つ

そのPCに割り付けたマイクロソフトアカウント内で確認できる。

1.Microsoftアカウントの場合: 別のデバイスでMicrosoftアカウントにサインインして、回復キーを見つけます。他のユーザーがデバイスにアカウントを持っている場合は、Microsoftアカウントにサインインして、キーを持っているかどうかを確認するように依頼できます。

 

  ココ → 回復キーを探す

 

2.保存した印刷出力の場合:回復キーは、BitLockerがアクティブ化されたときに保存された印刷出力にある可能性があります。コンピュータに関連する重要な書類をどこに保管しているかを確認してください。

3.USBフラッシュドライブの場合: USBフラッシュドライブをロックされたPCに接続し、指示に従います。キーをテキストファイルとしてフラッシュドライブに保存した場合は、別のコンピューターを使用してテキストファイルを読み取ります。

4.Azure Active Directoryアカウントの場合デバイスが職場または学校の電子メールアカウントを使用して組織にサインインしたことがある場合、回復キーはデバイスに関連付けられた組織のAzureADアカウントに保存されている可能性が あります。直接アクセスできる場合もあれば、システム管理者に連絡してリカバリキーにアクセスする必要がある場合もあります。

5.システム管理者が保持:デバイスがドメイン(通常は職場または学校のデバイス)に接続されている場合は、システム管理者に回復キーを要求します。

 

回復キーが存在しない場合下記表示となる

bitlock回復キーを探す
BitLocker 回復キーがありません

BitLocker 回復キー

Microsoft アカウントにアップロードされた BitLocker 回復キーがありません。

注: 他のユーザーに PC のセットアップを依頼した場合、お探しの BitLocker キーはそのユーザーのアカウントに存在する可能性があります。

ファイルに保存したのかもしれません、紙に印刷したのかもしれません。

回復キーの保存
回復キーのバックアップ

 




 

ーーーーー なぜ? 暗号化された!? ーーーーー

 

恐怖の自動デバイス暗号化

必要条件・デバイスの暗号化

  • UEFI
  • TPM or PTT
  • SecureBoot
  • Windows 10でコア分離が有効
  • Windows 10 Ver1703以降
  • コネクトスタンバイ/モダンスタンバイ
  • SSD or eMMC
  • Pro/HOMEどちらも

まあ普通の今時のPC ですね、自動で暗号化してくれる!機能があります。怖!! 

モダンスタンバイが搭載された2019年製あたりのPCからは注意が必要
モダンスタンバイとは、スマートフォンのような使い勝手を実現したWindows 10 の機能です。スリープ中にキーをタッチすると、すぐにパソコンが起動します。また、スリープ時でも、メールやSkypeのメッセージをいつでも受信できたり、音楽再生(Groove ミュージック)が利用できたりします。

 

例:富士通のサポートでは

デバイスの暗号化を搭載している機種は、Microsoft アカウントでサインインしたときなどに、自動的にデバイスの暗号化がオン(有効)になります

デバイスの暗号化が有効のまま、 パソコンを初期状態に戻す(リカバリ)などを実行すると、回復キーの入力を求められます。
回復キーを入力しないと、手順を続行できません。

このため、万が一の場合に備えて、Microsoft アカウントに切り替えた後は、すぐにデバイスの暗号化の回復キーを取得することをお勧めします。
または、デバイスの暗号化が必要ない場合は、デバイスの暗号化をオフ(無効)にすることもご検討ください

これは!!! ・・・怖すぎる、素人が気付くわけない

関連:マイクロソフトアカウントの失効|使わないと削除。

追加:その他 暗号化発動されるケース ためになる情報

1) Microsoftアカウントを利用してログインしていてTPMがある場合に、ハードウェアの構成変更を検出すると、BitLockerが自動的に有効になることがある。

2) ActiveDirectryの管理下になく、ローカルアカウントを利用している場合には、BitLockerが自動的に有効になることはない。

3) シャットダウン処理を経ないで、電源ダウンが行われた場合にBitlockerの「回復キー」の入力を求められることがある。

4) PIN入力の失敗回数には上限が設定されている。PIN入力の画面で電源ダウンしても失敗回数がカウントされ、最終的にBitLocker の回復パスワードを入力することが必要なTPM ロックアウトが発生する。

5) 一度、TPM ロックアウトが発生すると、PIN入力が必要になる局面で、毎回BitLocker の回復パスワードを入力することが必要なTPM ロックアウトが発生する。

6) そのため、TPM ロックアウトが発生した場合には、PIN入力の失敗回数のリセットをtpm.mscで行う必要がある。

要するに、電源の強制シャットダウンとか、電源ダウンといったトラブル、CMOS設定維持用のボタン電池の劣化によるファームウェアの初期化が発生したことによるハードウェアの構成変更を検出などが原因で、TPM関連のトラブルが発生しています。TPMを搭載しているパソコンを使用しているからにはTPMの取り扱いを理解しておく必要があるということでもある。

購入してから2~3年もすればマザーボード上にあるボタン電池が寿命を迎えますので、早期に交換しておいた方がいいでしょう。電源関係で乱暴な取り扱いをするのも厳禁です。

※異常検知によるBitLocker暗号化は、HDDでも発動されます。HDDがやたら遅くなった⇒暗号化を確認

 

心当たりありませんか? 電源強制断

 

関連:Cドライブに鍵マーク? 急げ!回復キーのバックアップ

回復キーどうしてもなかったら・・・諦めが肝心、無理。Microsoft support is unable to provide, or recreate, a lost BitLocker recovery key.

別のユーザー、または管理している組織が持っている可能性もあるが・・・

別のマイクロソフトアカウントかも!! このパターン実際ありました

 

・・・この機能は、必要なのだろうか!?

Cドライブに黄色いビックリマーク

要注意関連記事:カギと黄色の!|Cドライブに変なマークが・・・危険

追加 2022.8.23
更新プログラムKB5012170(2022 年 8 月 9 日にリリース)によって再起動時にBitLocker回復画面が表示され、BitLocker回復キーの入力を求められる現象が発生しています。影響を受けるのはWindows 11 バージョン 21H2だけ。この現象をマイクロソフトは認識しています。

kb5012170

KB5012170:既知の問題点

一部のデバイスは、Windows 11 にこの更新プログラムをインストールしようとした後、1 回目または 2 回目の再起動で BitLocker 回復に入ることがあります。

デバイスが BitLocker 回復キーの入力を求めている場合は、Windows を起動するためにそれを提供する必要があります。詳細については、「Windows で BitLocker 回復キーを検索する 」を参照してください。

この更新プログラムをインストールしておらず、デバイスで BitLocker が有効になっている場合は、以下の手順に従って BitLocker を一時的に中断してからインストールしてください。

この更新プログラムをインストールし、まだデバイスを再起動していないか、デバイスを 1 回だけ再起動した場合は、以下の手順に従って BitLocker を一時的に中断してください。

重要: この更新プログラムのインストール後にデバイスを 2 回以上再起動した場合、デバイスはこの問題の影響を受けません。

BitLocker を一時的に中断するか、この更新プログラムを展開するときに BitLocker の回復を回避するには、次の手順を実行します。

管理者コマンド プロンプトから次のコマンドを実行します。

Manage-bde -protectors -disable %systemdrive% -rebootcount 2
まだインストールされていない場合は、この更新プログラムをインストールします。

デバイスを再起動します。

次に、デバイスをもう一度再起動します。

2 回再起動すると、BitLocker が自動的に有効になります。BitLocker が有効になっていることを確認するために BitLocker を手動で再開するには、次のコマンドを使用します。

ステータス:

解決に向けて取り組んでおり、今後のリリースでアップデートを提供する予定です

*正確な情報を記載するよう努めておりますが、その完全性・最新性・正確性について保証するものではありません。

3件のピンバック

コメントを残す

外部送信プログラム名:Amazonアソシエイトプログラム-送信先の会社名:アマゾンジャパン合同会社、Rakuten -アソシエイトパートナーの利用目的:閲覧の傾向や履歴の分析のため、広告効果の分析のため-送信する情報の内容:閲覧した内容についての情報-送信先の利用目的:自社の広告宣伝を目的とした広告情報の掲載のため、ウェブサイトやアプリの監視のため。/ Google がCookie を使用して、ユーザーがそのウェブサイトや他のウェブサイトに過去にアクセスした際の情報に基づいて広告を配信しています。

Amazon プライム対象