ホームページ » の仕方 » Windowsで起動前のBitLocker PINを有効にする方法

    Windowsで起動前のBitLocker PINを有効にする方法

    WindowsシステムドライブをBitLockerで暗号化する場合は、セキュリティを強化するためにPINを追加できます。 Windowsを起動する前に、PCの電源を入れるたびにPINを入力する必要があります。これは、Windowsの起動後に入力するログインPINとは別のものです。.

    起動前PINは、起動プロセス中に暗号化キーがシステムメモリに自動的にロードされないようにします。これにより、ハードウェアが脆弱なシステムでのダイレクトメモリアクセス(DMA)攻撃から保護されます。 Microsoftのドキュメントでこれをさらに詳しく説明しています.

    ステップ1:BitLockerを有効にする(まだ行っていない場合)

    これはBitLockerの機能なので、起動前PINを設定するにはBitLocker暗号化を使用する必要があります。これはWindowsのProfessionalおよびEnterpriseエディションでのみ利用可能です。 PINを設定する前に、システムドライブに対してBitLockerを有効にする必要があります。.

    TPMのないコンピュータでBitLockerを有効にしようとした場合、TPMの代わりに使用されるスタートアップパスワードを作成するように求められます。以下の手順は、TPMを搭載したコンピューターでBitLockerを有効にする場合にのみ必要です。.

    HomeバージョンのWindowsをお持ちの場合は、BitLockerを使用できません。代わりにデバイス暗号化機能を使用することもできますが、これはBitLockerとは異なる動作をし、スタートアップキーを提供することを許可しません。.

    手順2:グループポリシーエディタでスタートアップPINを有効にする

    BitLockerを有効にしたら、PINを有効にするために邪魔にならない必要があります。これには、グループポリシー設定の変更が必要です。グループポリシーエディタを開くには、Windows + Rを押し、[ファイル名を指定して実行]ダイアログに「gpedit.msc」と入力して、Enterキーを押します。.

    [グループポリシー]ウィンドウの[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [BitLockerドライブ暗号化]> [オペレーティングシステムドライブ]に移動します。.

    右側のウィンドウの[起動時に追加の認証が必要]オプションをダブルクリックします。.

    ウィンドウ上部の「有効」を選択してください。次に、[TPMスタートアップPINの設定]の下のボックスをクリックし、[TPMでスタートアップPINを要求する]オプションを選択します。 「OK」をクリックして変更を保存します.

    ステップ3:ドライブにPINを追加する

    あなたは今使用することができます 管理する BitLocker暗号化ドライブにPINを追加するコマンド.

    これを行うには、管理者としてコマンドプロンプトウィンドウを起動します。 Windows 10または8の場合は、スタートボタンを右クリックし、「コマンドプロンプト(管理者)」を選択してください。 Windows 7では、[スタート]メニューから[コマンドプロンプト]ショートカットを見つけて右クリックし、[管理者として実行]を選択します。

    次のコマンドを実行してください。下記のコマンドはあなたのC:ドライブに働きます、従ってあなたが他のドライブのためにスタートアップキーを要求したいならば、代わりにそのドライブ名を入力してください c: .

    manage-bde -protectors -add c:-TPMAndPIN

    ここにPINを入力するように求められます。次回の起動時に、このPINの入力を求められます.

    TPMAndPINプロテクタが追加されたかどうかを再確認するには、次のコマンドを実行します。

    manage-bde -status

    (ここに表示されている「Numericical Password」のキープロテクタが回復キーです。)

    BitLocker PINを変更する方法

    将来PINを変更するには、管理者としてコマンドプロンプトウィンドウを開き、次のコマンドを実行します。

    manage-bde -changepin c:

    続行する前に新しいPINを入力して確認する必要があります。.

    PIN要件を削除する方法

    気が変わって、後でPINの使用をやめたい場合は、この変更を元に戻すことができます。.

    まず、[グループポリシー]ウィンドウに移動し、オプションを[TPMでスタートアップPINを許可する]に戻す必要があります。このオプションを[TPMでスタートアップPINを要求する]に設定したままにしておくことはできません。そうしないと、WindowsはPINを削除することを許可しません。.

    次に、管理者としてコマンドプロンプトウィンドウを開き、次のコマンドを実行します。

    manage-bde -protectors -add c:-TPM

    これにより、「TPMandPIN」要件が「TPM」要件に置き換えられ、PINが削除されます。起動すると、BitLockerドライブがコンピュータのTPMを介して自動的にロック解除されます.

    これが正常に完了したことを確認するには、statusコマンドをもう一度実行します。

    manage-bde -status c:


    PINを忘れた場合は、システムドライブでBitLockerを有効にしたときに安全な場所に保存しておいたはずのBitLocker回復コードを入力する必要があります。.