Windowsで起動前のBitLocker PINを有効にする方法
WindowsシステムドライブをBitLockerで暗号化する場合は、セキュリティを強化するためにPINを追加できます。 Windowsを起動する前に、PCの電源を入れるたびにPINを入力する必要があります。これは、Windowsの起動後に入力するログインPINとは別のものです。.
起動前PINは、起動プロセス中に暗号化キーがシステムメモリに自動的にロードされないようにします。これにより、ハードウェアが脆弱なシステムでのダイレクトメモリアクセス(DMA)攻撃から保護されます。 Microsoftのドキュメントでこれをさらに詳しく説明しています.
ステップ1:BitLockerを有効にする(まだ行っていない場合)
これはBitLockerの機能なので、起動前PINを設定するにはBitLocker暗号化を使用する必要があります。これはWindowsのProfessionalおよびEnterpriseエディションでのみ利用可能です。 PINを設定する前に、システムドライブに対してBitLockerを有効にする必要があります。.
TPMのないコンピュータでBitLockerを有効にしようとした場合、TPMの代わりに使用されるスタートアップパスワードを作成するように求められます。以下の手順は、TPMを搭載したコンピューターでBitLockerを有効にする場合にのみ必要です。.
HomeバージョンのWindowsをお持ちの場合は、BitLockerを使用できません。代わりにデバイス暗号化機能を使用することもできますが、これはBitLockerとは異なる動作をし、スタートアップキーを提供することを許可しません。.
手順2:グループポリシーエディタでスタートアップPINを有効にする
BitLockerを有効にしたら、PINを有効にするために邪魔にならない必要があります。これには、グループポリシー設定の変更が必要です。グループポリシーエディタを開くには、Windows + Rを押し、[ファイル名を指定して実行]ダイアログに「gpedit.msc」と入力して、Enterキーを押します。.
[グループポリシー]ウィンドウの[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [BitLockerドライブ暗号化]> [オペレーティングシステムドライブ]に移動します。.
右側のウィンドウの[起動時に追加の認証が必要]オプションをダブルクリックします。.
ウィンドウ上部の「有効」を選択してください。次に、[TPMスタートアップPINの設定]の下のボックスをクリックし、[TPMでスタートアップPINを要求する]オプションを選択します。 「OK」をクリックして変更を保存します.
ステップ3:ドライブにPINを追加する
あなたは今使用することができます 管理する
BitLocker暗号化ドライブにPINを追加するコマンド.
これを行うには、管理者としてコマンドプロンプトウィンドウを起動します。 Windows 10または8の場合は、スタートボタンを右クリックし、「コマンドプロンプト(管理者)」を選択してください。 Windows 7では、[スタート]メニューから[コマンドプロンプト]ショートカットを見つけて右クリックし、[管理者として実行]を選択します。
次のコマンドを実行してください。下記のコマンドはあなたのC:ドライブに働きます、従ってあなたが他のドライブのためにスタートアップキーを要求したいならば、代わりにそのドライブ名を入力してください c:
.
manage-bde -protectors -add c:-TPMAndPIN
ここにPINを入力するように求められます。次回の起動時に、このPINの入力を求められます.
TPMAndPINプロテクタが追加されたかどうかを再確認するには、次のコマンドを実行します。
manage-bde -status
(ここに表示されている「Numericical Password」のキープロテクタが回復キーです。)
BitLocker PINを変更する方法
将来PINを変更するには、管理者としてコマンドプロンプトウィンドウを開き、次のコマンドを実行します。
manage-bde -changepin c:
続行する前に新しいPINを入力して確認する必要があります。.
PIN要件を削除する方法
気が変わって、後でPINの使用をやめたい場合は、この変更を元に戻すことができます。.
まず、[グループポリシー]ウィンドウに移動し、オプションを[TPMでスタートアップPINを許可する]に戻す必要があります。このオプションを[TPMでスタートアップPINを要求する]に設定したままにしておくことはできません。そうしないと、WindowsはPINを削除することを許可しません。.
次に、管理者としてコマンドプロンプトウィンドウを開き、次のコマンドを実行します。
manage-bde -protectors -add c:-TPM
これにより、「TPMandPIN」要件が「TPM」要件に置き換えられ、PINが削除されます。起動すると、BitLockerドライブがコンピュータのTPMを介して自動的にロック解除されます.
これが正常に完了したことを確認するには、statusコマンドをもう一度実行します。
manage-bde -status c:
PINを忘れた場合は、システムドライブでBitLockerを有効にしたときに安全な場所に保存しておいたはずのBitLocker回復コードを入力する必要があります。.