Yahoo!ショッピング

2018年04月24日

Bitlockerの回復パスワードのバックアップをADサーバに保存する

Bitlockerの回復パスワードのバックアップをADサーバに保存する

□ サーバ側の準備 Windows Server 2008R2
[機能の追加]-[リモートサーバ管理ツール]-[機能管理ツール]-[Bitlockerドライブ暗号化管理ユーティリティ]から
・[Bitlocker暗号化ツール]
・[bitlocker回復パスワードビュワー]
をインストール。
bitlocker2ads.PNG
→コンピュータアカウントに「Bitlocker回復」というタブが追加される。

□ クライアント側
グループポリシーエディタを開く(gpedit.msc)
[コンピュータの構成][管理用テンプレート][Windowsコンポーネント][Bitlockerドライブ暗号化]から
・[Active DirectoryドメインサービスにBitlocker回復情報を保存する]を有効にする
 AD DSへのBitlockerバックアップが必要にチェック
 格納する回復情報は「回復パスワードとパッケージ」
bitlocker2adc.PNG
上記を設定後、なかなかADサーバに保存されなかったので、一旦Bitlockerを無効にして再度暗号化を実施したところ、無事にADに回復パスワードが保存された。
回復パスワードの確認は、ADのコンピュータアカウントを開き「Bitlocker回復」に表示される。

bitlocker2ad.jpg
posted by 秘構竜 at 23:22 | Comment(0) | TPM Bitlocker

2018年03月06日

Bitlockerで起動時にパスワードを入力する方法

TPMセキュリティチップを内蔵したパソコンならBitlokcerのPINはTPMチップに保存される。
だからHDDを暗号化しても、PIN(パスワード)の入力作業をせずに、自動でロックが解除される。

しかし、それでは誰でもパソコンを起動できてしまうわけで、セキュリティ的には不安がある。
だから起動時にPIN入力も必須にしたほうが良い。

グループポリシーを変更することで、PINコードを入力しないと起動できないように設定できる。

1.[Windows]キー+[R]を押下し、[gpedit.msc]と入力し、[enter]を押す。
2.「コンピュータの構成-管理用テンプレート-Windowsコンポーネント-Bitlockerドライブ暗号化-オペレーティングシステムのドライブ」を展開する。

3.その中の以下の3つを「有効」にする。
 ・スタートアップ時に追加の認証を要求する
 ・スレートでプリブートキーボード入力が必要なBitLocker認証を使用〜
 ・スタートアップの拡張PINを許可する
bitlocker3.jpg
bitlocker4.jpg

4.コントロールパネル-セキュリティ-Bitlokcerの管理から「PINの変更」を開き、起動時のPINを設定する。
bitlocker1.JPG

※グループポリシーを変更する前に、すでにBitlockerで暗号化してしまった場合は、上記のPIN設定メニューは表示されないかもしれない。
その場合はたぶん、一旦Bitlockerを無効化し、再度有効化すると出ると思う。

PCを再起動して↓こんな画面が出たら成功!!
bitlocker2.jpg
posted by 秘構竜 at 22:06 | Comment(0) | TPM Bitlocker

2018年02月25日

TPMクリア手順

[TPM をクリアする前に実施する操作]
https://blogs.technet.microsoft.com/askcorejp/2017/11/13/tpmclear/

1. コマンド プロンプトを管理者として実行します。
2. Manage-bde コマンドを実行し、BitLocker の保護を中断します。

manage-bde -protectors –disable

[TPM をクリアした後に実施する操作]
1. コマンド プロンプトを管理者として実行します。
2. Manage-bde コマンドを実行し、BitLocker の保護を再開します。

manage-bde -protectors –enable
posted by 秘構竜 at 22:19 | Comment(0) | TPM Bitlocker

【温泉】ホテル・旅館ランキング(全国)
秘構竜の日記」の先頭へ