web-dev-qa-db-ja.com

起動時の変更を検出するためにBitlockerは何を測定しますか?

私の仕事用ラップトップは、Bitlockerが有効になっているWindowsVistaを実行しています。時々、特に休暇に行くときなど、私は個人用SSDをラップトップに交換して、外出中にラップトップを個人的に使用できるようにします。企業のOSイメージは実際にロックダウンされており、ローカル管理者を取得できません。

とにかく、休暇から戻ってWindowsで企業ドライブを交換しても、起動情報が変更されたことを示して起動しません。ヘルプデスクに電話して、ビットロッカーの問題を修正してもらう必要があります。

彼らは私にそれについて苦労することは決してなく、私は私が何をしているのかを説明しました、そして誰もそれで問題を抱えているようには見えません-しかし私が望むときにドライブを交換できないのは面倒です。

2つのハードドライブを切り替えて、他の設定を変更しないことで、コンピューター、BIOS、またはBitlockerがこれを実行するために検討している他の処理に何ができるかを誰かが知っていますか?

さらに重要なことは、何が変更されているのかを把握し、自分で元に戻して、毎回ヘルプデスクに電話することなく、会社のドライブに戻ることができるようにする方法はありますか?さらに良いことに、起こっている変化が最初から起こらないようにするにはどうすればよいでしょうか。

ラップトップは、ハードウェアの性質がそれと関係がある場合、新しいLenovo ThinkpadT420です。

前もって感謝します!

7
WerkkreW

BitLocker FAQ から:

どのシステム変更により、オペレーティングシステムドライブの整合性チェックが失敗するか

次の種類のシステム変更は、整合性チェックの失敗を引き起こし、 [〜#〜] tpm [〜#〜] が保護されたオペレーティングシステムドライブを復号化するためにBitLockerキーを解放するのを妨げる可能性があります。

  • BitLockerで保護されたドライブを新しいコンピューターに移動します。

  • 新しいTPMを使用して新しいマザーボードをインストールします。

  • TPMをオフにする、無効にする、またはクリアする。

  • ブート構成設定の変更。

  • BIOS、UEFIファームウェア、マスターブートレコード、ブートセクター、ブートマネージャー、オプションROM、またはその他の初期ブートコンポーネントまたはブート構成データの変更。

この機能は仕様によるものです。 BitLockerは、初期ブートコンポーネントの不正な変更を潜在的な攻撃として扱い、システムを回復モードにします。権限のある管理者は、事前にBitLockerを無効にすることで、回復モードに入らずにブートコンポーネントを更新できます。

オペレーティングシステムドライブを起動しようとすると、BitLockerが回復モードで起動する原因は何ですか?の下の30の奇数点もお読みください。

起動中に次のエラーが表示されると思います。

1

回復パスワードを含むテキストファイルにアクセスできますか?管理者かIT担当者だけが持っていると思いますよね?

このシナリオでは、明らかにBitLockerを完全にオフにして、作業ドライブを復号化することはできません。 FAQによると、これが役立つかもしれない何かです:

オペレーティングシステムドライブでBitLockerが有効になっている場合、同じコンピューターでハードディスクを交換できますか?

はい。BitLockerが有効になっている場合は、同じコンピューターで複数のハードディスクを交換できますが、同じコンピューターでハードディスクがBitLockerで保護されている場合に限ります。 BitLockerキーはTPMおよびオペレーティングシステムドライブに固有であるため、ディスク障害が発生した場合に使用するバックアップオペレーティングシステムまたはデータドライブを準備する場合は、それらが正しいTPMと一致していることを確認する必要があります。また、オペレーティングシステムごとに異なるハードドライブを構成し、競合することなく、異なる認証方法(TPMのみの場合とTPM + PINの場合など)を使用して、それぞれでBitLockerを有効にすることもできます。

したがって、可能であれば、同じシステムでホームドライブを暗号化できれば、ドライブを簡単に交換できると思います。

上記がオプションでない場合は、次のが機能する可能性がありますが、これには管理者アクセスが必要であると確信しています。持っている場合は、次にドライブを交換するときに、次のようにします。

  1. Start / Control Panel / System and Security / BitLocker Drive Encryptionに移動します

  2. OS(作業)ドライブの場合は保護の一時停止をクリックします。

    2

  3. プロンプトが表示されたら、はいをクリックします。

    3

  4. OSドライブのBitLockerが一時停止になっていることを確認します。

    4

  5. ここで、コンピューターをシャットダウンします(do not hibernate!)

  6. ドライブを交換し、休暇後に元に戻して、OS(作業)ドライブの保護の再開を忘れないでください

この手順を完了すると、復号化キーをクリアキーに変更して、ドライブのBitLocker保護を一時停止します。ドライブからデータを読み取るには、クリアキーを使用してファイルにアクセスします。 BitLockerが一時停止されている場合、TPM検証は行われず、オペレーティングシステムドライブのロックを解除するためのPINまたはUSBキーの使用などの他の認証方法は適用されません。

FAQからも:

BitLockerの一時停止と復号化の違いは何ですか?

復号化により、BitLocker保護が完全に削除され、ドライブが完全に復号化されます。

BitLockerが一時停止されると、BitLockerはデータを暗号化したままにしますが、BitLockerボリュームマスターキーをクリアキーで暗号化します。クリアキーは、ディスクドライブに暗号化および保護されていない状態で保存されている暗号化キーです。このキーを暗号化せずに保存することにより、サスペンドオプションを使用すると、ドライブ全体を復号化および再暗号化する時間とコストをかけずに、コンピューターを変更またはアップグレードできます。変更が行われ、BitLockerが再度有効になると、BitLockerは、アップグレードの一部として変更された測定コンポーネントの新しい値に暗号化キーを再シールし、ボリュームマスターキーが変更され、プロテクターが一致するように更新され、クリアされます。キーが消去されます。

6
Karan