Windowsアカウントのパスワードが変更されたときにBitLockerの自動ロック解除を無効にするにはどうすればよいですか?
Windowsのパスワードが変更されたときにラップトップからドライブの自動ロック解除を防ぐにはどうすればよいですか?アカウントのパスワードをハッキングするか、ディスクを復号化するよりもはるかに簡単に変更しますが、Windowsがボックスからそのような機能を提供しないのはなぜですか? PowerShellから自動ロック解除するスクリプトも探しています。
「ブロック解除を無効にする」ことはしません。とても便利なことです。暗号化されたボリュームから始まるものが多すぎます。アカウントを取得するだけでボリュームにアクセスできないようにしたい。システム管理者アカウントがハッキングされる可能性がある場合、すべての機密データが失われます。
再現する手順:
- アカウントにログインします
- BitLockerをセットアップし、自動ロックを解除します
- PCを再起動し、アカウントにログインします
- ドライブのロックが解除されました
- アカウントからのログアウト(PC全体の電源を切りました)
- パスワードを新しいものに変更するようにsysadminに依頼してください
- 新しいパスワードでアカウントにログインします
期待される結果:ビットロッカードライブロック済み
実際の結果:ドライブロック解除
BitLockerの自動ロック解除機能を無効にする
BitLockerの自動ロック解除機能を完全に無効にして、要求した内容を提供することができます。これにより、BitLockerで暗号化されたリムーバブルメディアや、これが構成した他のドライブの自動ロック解除を防ぐことができます。
高度なコマンドプロンプトまたはバッチスクリプト
G:を該当するドライブ文字に置き換えます。
manage-bde -autounlock -disable G:
Powershell比容積
E:を該当するドライブ文字に置き換えますが、Disable-BitLockerAutoUnlockコマンドレットを使用して、特定のボリュームのキーを削除できます。 )自動ロック解除を使用します。
Disable-BitLockerAutoUnlock -MountPoint "E:"
Powershellすべてのボリューム
Clear-BitLockerAutoUnlockコマンドレットを使用して、指定したボリュームだけでなく、自動ロック解除を使用するように構成されたすべてのボリュームのキーを削除できます。このコマンドは、現在のコンピューターに保存されているすべての自動ロック解除キーをクリアします。
Clear-BitLockerAutoUnlock
その他のリソース
- 昇格されたコマンドプロンプトから
manage-bde /? BitLocker Drive Encryption: Configuration Tool version 10.0.14393 Copyright (C) 2013 Microsoft Corporation. All rights reserved. manage-bde[.exe] -parameter [arguments] Description: Configures BitLocker Drive Encryption on disk volumes. Parameter List: -status Provides information about BitLocker-capable volumes. -on Encrypts the volume and turns BitLocker protection on. -off Decrypts the volume and turns BitLocker protection off. -pause Pauses encryption, decryption, or free space wipe. -resume Resumes encryption, decryption, or free space wipe. -lock Prevents access to BitLocker-encrypted data. -unlock Allows access to BitLocker-encrypted data. -autounlock Manages automatic unlocking of data volumes. -protectors Manages protection methods for the encryption key. -SetIdentifier or -si Configures the identification field for a volume. -ForceRecovery or -fr Forces a BitLocker-protected OS to recover on restarts. -changepassword Modifies password for a data volume. -changepin Modifies PIN for a volume. -changekey Modifies startup key for a volume. -KeyPackage or -kp Generates a key package for a volume. -upgrade Upgrades the BitLocker version. -WipeFreeSpace or -w Wipes the free space on the volume. -ComputerName or -cn Runs on another computer. Examples: "ComputerX", "127.0.0.1" -? or /? Displays brief help. Example: "-ParameterSet -?" -Help or -h Displays complete help. Example: "-ParameterSet -h" Examples: manage-bde -status manage-bde -on C: -RecoveryPassword -RecoveryKey F:\ manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek
Windowsは、パスワードから派生したキーでデータを暗号化することにより、最も機密性の高いデータ(保存されたパスワード、NTFS暗号化ファイル、証明書の秘密キーなど)を保護します。 changeパスワードを設定すると、古いパスワードを使用してデータが復号化され、新しいパスワードを使用してデータが再暗号化されます。ただし、管理者(またはハードドライブを編集する人など)強制的にリセットパスワードの場合、Windowsには、データを復号化するためのキーを生成するために必要な元のパスワードがありません。そのデータ(暗号化されたファイルなど)は永久に失われます。
BitLockerの自動ロック解除キーがこれらの他の種類のデータと同じように保護されているかどうかは実際にはわかりませんが、保護されていない場合は非常に驚きます。したがって、あなたが心配している脅威が誰かである場合強制的にリセットするあなたのアカウントのパスワード、あなたはおそらく大丈夫です。
ちなみに、そのような脅威が心配な場合は、ブートハードディスク(およびその他の内部ディスク)でもBitLockerを使用する必要があります。これにより、残りのデータが保護されるだけでなく、攻撃者がオフライン攻撃を使用してパスワードをリセットするのを防ぐことができます。
パスワード保護が適切でない場合は、スマートカードリーダーとカードを入手してください
自動ロック解除キーはWindows資格情報に関連付けられていないため、BitLocker(To Go)自動ロック解除は、Windowsアカウントのパスワードを強制的にリセットしてエントリを取得できる悪意のある管理者からの保護を提供しません。ただし、BitLockerで保護されたドライブがNTFSでフォーマットされている場合は、さらにファイルシステムの暗号化(EFS)機能を使用して、ファイルとその含まれるフォルダーを暗号化できます。 (EFSはWindows 2000から含まれています。)
EFS秘密鍵はユーザーの現在のWindowsパスワードで保護されているため、この方法は機能します(コンピューターにEFSデータ復旧エージェントが設定されていない場合)。したがって、そのユーザーがパスワードを変更すると、EFS秘密鍵は復号化され、新しいパスワードで再暗号化されます-ただし、管理者パスワードを強制的にリセットします。EFS秘密鍵は復号化できなくなります。