BitLocker ドライブ暗号化についてのメモ

かなり未整理のメモです。

BitLocker に関してよく寄せられる質問 (FAQ)
http://technet.microsoft.com/ja-jp/library/hh831507.aspx

コールド ブート攻撃やその他の脅威に対し BitLocker で強化する
http://blogs.technet.com/b/jpsecurity/archive/2012/06/26/3505962.aspx
BitLocker適用済の端末からメモリを抜き出して直接暗号キーを抜き出す攻撃に対する防衛方法について。
•TPM + PIN の構成で BitLocker を使用する
•スリープより、休止状態にする
•不要なブート オプション/デバイスを無効にする
•周囲に注意する

Data Encryption Toolkit for Mobile PCs
http://www.microsoft.com/en-us/download/details.aspx?id=12950

Windows 8 の BitLocker の新機能
http://technet.microsoft.com/ja-jp/library/hh831412.aspx

BitLocker ネットワーク ロック解除について

Windows8とWindows Server 2012の組み合わせから社内ネットワークに接続している状態の場合のみBitLockerのロック解除を自動的に実施する仕組みが実装されている。

クライアント コンピューターの要件

•UEFI ファームウェアに実装されている DHCP ドライバー
•トラステッド プラットフォーム モジュール (TPM) 1.2 または 2.0
•オペレーティング システムのボリューム上で有効にされている BitLocker

Windows 展開サービス サーバーの要件

•BitLocker ネットワーク ロック解除機能のインストール
•2,048 ビット RSA 公開/秘密キー ペアの X.509 証明書が FVENKP 証明書ストアに存在

ドメイン コントローラーの要件

•ネットワーク ロック解除用のグループ ポリシー設定を構成するための BitLocker ネットワーク ロック解除証明書をドメイン コントローラー上の Windows 展開サービス サーバーからコピー。

manage-bdeのコマンドヘルプ

BitLocker ドライブ暗号化: 構成ツール Version 6.1.7601
Copyright (C) Microsoft Corporation. All rights reserved.

manage-bde[.exe] -parameter [引数]

説明:
    ディスク ボリュームに対する BitLocker ドライブ暗号化を構成します。

パラメーター一覧:
    -status     BitLocker 対応ボリュームに関する情報を指定します。
    -on         ボリュームを暗号化し、BitLocker 保護をオンにします。
    -off        ボリュームの暗号化を解除し、BitLocker 保護をオフにします。
    -pause      暗号化または暗号化の解除を一時停止します。
    -resume     暗号化または暗号化の解除を再開します。
    -lock       BitLocker 暗号化データへのアクセスを禁止します。
    -unlock     BitLocker 暗号化データへのアクセスを許可します。
    -autounlock データ ボリュームの自動ロック解除を管理します。
    -protectors 暗号化キーの保護方法を管理します。
    -tpm        コンピューターのトラステッド プラットフォーム モジュール (TPM)
    		を構成します。
    -SetIdentifier または -si
                ボリュームの識別子フィールドを構成します。
    -ForceRecovery または -fr
                再起動時に BitLocker で保護された OS が回復するようにします。
    -changepassword
                データ ボリュームのパスワードを変更します。
    -changepin  ボリュームの暗証番号 (PIN) を変更します。
    -changekey  ボリュームのスタートアップ キーを変更します。
    -upgrade    BitLocker のバージョンをアップグレードします。
    -ComputerName または -cn
                別のコンピューター上で実行します。例: "ComputerX"、"127.0.0.1"
    -? または /?
                簡略なヘルプを表示します。例: "-ParameterSet -?"
    -Help または -h
                完全なヘルプを表示します。例: "-ParameterSet -h"

例:
    manage-bde -status
    manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
    manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek