Introduction
備忘録。
掲題通りの話なんだけど、出来ることをきちんと確認しておきたかっただけの話。
- 起動するたびに回復キーが必要になるのか?
- 自動解除を有効にすると回復キーは変化するのか?
みたいな疑問があったので試した次第。
Have a try!!
Hyper-V 上の Windows 11 24H2 で実験。
当然、Hyper-V の設定で トラステッドプラットフォーム モジュールを有効にする は有効にしておくこと (グループポリシーを設定すれば TPM 無しでも動くらしいが今回は試さない)。
BitLocker の有効化
暗号化したドライブを右クリックして BitLocker を有効にする を選択。
このコンピュータでこのドライブのロックを自動的に解除する を選択して、 次へ を選択。
回復キーを退避。
退避しないと次に進めないので適当に実施。
今回は ファイルに保存する を選択し、回復キーを保存後、 次へ を選択。
BitLockerのアクティブ化 を選択。
バックグラウンドで暗号化が進むので manage-bde -status
で進捗を確認。
今回暗号化を選択していないシステムドライブもなぜか暗号化されているような状況だが、まずは無視。
気付いたら再起動していたので、ドライブが暗号化されているかを Explorer で確認。
施錠された鍵のアイコンがドライブに付与されているのでダブルクリックすると 回復キー を求められるので、先に保存した回復キーを入力。
BitLocker を有効化した際、自動解除を有効化したはずなのに無効化されているので BitLocker の管理 から 自動ロックの解除を有効化 を実行。
試しに再起動してみると、ロックが解除されているのを確認できる。
ドライブを別マシンに接続
もう一つ仮想マシンを作成し、暗号化したドライブを接続。
ロックされていたので先と同様に回復キーを準備する。
今回はコマンドから実施。manage-bde -unlock
を使用して解除を実施。
1 | > manage-bde -unlock E: -recoverypassword 084062-631785-389125-317570-640211-268191-072545-686169 |
続いて自動ロックの解除を有効化する。
1 | > manage-bde -autounlock -enable E: |
ちなみにロックを解除していないと自動ロックの解除は有効化できない。
回復キーの確認
別マシンに接続した際、何かしらの事由により回復キーが変化したりするのか?という疑問の解消のために実施。
1 | > manage-bde -protectors -get E: |
変化していないことを確認。