ボリュームは暗号化されていますが、暗号化キーは「平文」で保存されます。

Question 1

ボリュームは暗号化されていますが、暗号化キーは「平文」で保存されます。

ボリュームは確かに暗号化されていますが、BitLocker は「一時停止」されています。つまり、データを暗号化するために使用されるフルボリューム暗号化キー (FVEK) は、誰でもアクセスできるプレーンテキストでディスクに保存されます。つまり、誰でもデータにアクセスできることになります。

これを自分で確認することができます。ボリュームがC:であると仮定して、管理者manage-bde -on C:権限のコマンドプロンプトから実行します（いいえ、これでBitLockerがオンになるわけではありません...すでにの上）：

PS C:\> manage-bde -on c:
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
[OS Volume]
NOTE: This command did not create any new key protectors. Type
"manage-bde -protectors -add -?" for information on adding more key protectors.
NOTE: Encryption is already complete.
BitLocker protection is suspended until key protectors are created for the
volume. To enforce BitLocker protection on this volume, add a key protector.

出力の最後の文に注目してください。

ボリュームのキープロテクターが作成されるまで、BitLocker 保護は中断されます。

マイクロソフトのドキュメントによるとBitLocker の一時停止:

BitLocker を一時停止しても、BitLocker がボリューム上のデータを復号化するわけではありません。一時停止すると、データの復号化に使用されたキーが平文で誰でも利用できるようになります。ディスクに書き込まれる新しいデータは暗号化されたままです。

「アクティベーションを待機中」とはどういう意味ですか?

BitLockerが「アクティベーションを待機中」なのは、キープロテクターボリュームに存在します。BitLocker はプロテクターを使用して FVEK へのアクセスを制御します。次の出力に注目してくださいmanage-bde -protectors C: -get:

PS C:\> manage-bde -protectors C: -get
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
All Key Protectors

ERROR: No key protectors found.

少なくとも 1 つのプロテクターが作成されるまで、BitLocker は一時停止モードを終了できず、Windows UI にはアクティブ化を待機中であることが報告されます。

BitLocker の有効化を完了する方法

このような状況で BitLocker を有効にする方法はいくつかあります。Microsoft アカウントを必要とせずに保護を有効にできるため、コントロールパネルから有効にすることをお勧めします。

スタート検索でmanage BitLockerコントロールパネルから結果を選択します
BitLockerドライブ暗号化アプレットで、BitLockerをオンにする
回復キーをバックアップするためのオプションの 1 つを選択します。
ウィザードを終了します。

このウィザードを完了すると、ボリューム暗号化キーが「保護」され、ディスクに平文で保存されなくなります。つまり、暗号化されたデータは不正アクセスから実際に保護されるようになります。

BitLocker はどのようにして有効化されたのでしょうか?

デバイスがBitLockerをサポートしている場合、OOBE（Out Of Box Experience）を完了すると、Windowsが自動的にBitLockerを有効にすることがあります。モダンスタンバイまたはHSTI準拠Windows 8.1以降、BitLockerは自動的に有効化これらのデバイスでは、多くの新しいコンピューターが工場出荷時にデフォルトで BitLocker が有効になっていることになります。

追加リソース

BitLocker のさまざまなタイプのリストキープロテクター
スーパーユーザー答えフルボリューム暗号化キーとキープロテクターの関係について説明します。

Answer

ボリュームは暗号化されていますが、暗号化キーは「平文」で保存されます。

ボリュームは確かに暗号化されていますが、BitLocker は「一時停止」されています。つまり、データを暗号化するために使用されるフルボリューム暗号化キー (FVEK) は、誰でもアクセスできるプレーンテキストでディスクに保存されます。つまり、誰でもデータにアクセスできることになります。

これを自分で確認することができます。ボリュームがC:であると仮定して、管理者manage-bde -on C:権限のコマンドプロンプトから実行します（いいえ、これでBitLockerがオンになるわけではありません...すでにの上）：

PS C:\> manage-bde -on c:
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
[OS Volume]
NOTE: This command did not create any new key protectors. Type
"manage-bde -protectors -add -?" for information on adding more key protectors.
NOTE: Encryption is already complete.
BitLocker protection is suspended until key protectors are created for the
volume. To enforce BitLocker protection on this volume, add a key protector.

出力の最後の文に注目してください。

ボリュームのキープロテクターが作成されるまで、BitLocker 保護は中断されます。

マイクロソフトのドキュメントによるとBitLocker の一時停止:

BitLocker を一時停止しても、BitLocker がボリューム上のデータを復号化するわけではありません。一時停止すると、データの復号化に使用されたキーが平文で誰でも利用できるようになります。ディスクに書き込まれる新しいデータは暗号化されたままです。

「アクティベーションを待機中」とはどういう意味ですか?

BitLockerが「アクティベーションを待機中」なのは、キープロテクターボリュームに存在します。BitLocker はプロテクターを使用して FVEK へのアクセスを制御します。次の出力に注目してくださいmanage-bde -protectors C: -get:

PS C:\> manage-bde -protectors C: -get
BitLocker Drive Encryption: Configuration Tool version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [Windows]
All Key Protectors

ERROR: No key protectors found.

少なくとも 1 つのプロテクターが作成されるまで、BitLocker は一時停止モードを終了できず、Windows UI にはアクティブ化を待機中であることが報告されます。

BitLocker の有効化を完了する方法

このような状況で BitLocker を有効にする方法はいくつかあります。Microsoft アカウントを必要とせずに保護を有効にできるため、コントロールパネルから有効にすることをお勧めします。

スタート検索でmanage BitLockerコントロールパネルから結果を選択します
BitLockerドライブ暗号化アプレットで、BitLockerをオンにする
回復キーをバックアップするためのオプションの 1 つを選択します。
ウィザードを終了します。

このウィザードを完了すると、ボリューム暗号化キーが「保護」され、ディスクに平文で保存されなくなります。つまり、暗号化されたデータは不正アクセスから実際に保護されるようになります。

BitLocker はどのようにして有効化されたのでしょうか?

デバイスがBitLockerをサポートしている場合、OOBE（Out Of Box Experience）を完了すると、Windowsが自動的にBitLockerを有効にすることがあります。モダンスタンバイまたはHSTI準拠Windows 8.1以降、BitLockerは自動的に有効化これらのデバイスでは、多くの新しいコンピューターが工場出荷時にデフォルトで BitLocker が有効になっていることになります。

追加リソース

BitLocker のさまざまなタイプのリストキープロテクター
スーパーユーザー答えフルボリューム暗号化キーとキープロテクターの関係について説明します。

Question 2

アクティベーションなしでBitLockerをオフにするには

最初に BitLocker 暗号化をアクティブ化せずに削除する場合は、次を使用します。

manage-bde c: -off

「待機」状態にある間は、BitLocker を非アクティブ化する方法はありません。

これは、別のドライブ暗号化ソリューションを使用する場合や、AES256 に切り替える場合に便利です。

Answer

アクティベーションなしでBitLockerをオフにするには

最初に BitLocker 暗号化をアクティブ化せずに削除する場合は、次を使用します。

manage-bde c: -off

「待機」状態にある間は、BitLocker を非アクティブ化する方法はありません。

これは、別のドライブ暗号化ソリューションを使用する場合や、AES256 に切り替える場合に便利です。

Question 3

BitLockerドライブ暗号化CPに表示される「アクティベーションを待機中」は、ドライブが暗号化ただし、何らかの回復キーのリリースを待機しています。

BitLocker コントロールパネルには、「BitLocker を有効にする」オプションがあります。回復キーの生成をガイドするウィンドウが表示されます。オプションがない場合、またはエラーが発生する場合は、次の操作を試してください。

パーティションの BitLocker 暗号化を削除して、再度暗号化してみてください。これで問題が解決する可能性があります。

詳細については、MSフォーラム。

Answer

BitLockerドライブ暗号化CPに表示される「アクティベーションを待機中」は、ドライブが暗号化ただし、何らかの回復キーのリリースを待機しています。

BitLocker コントロールパネルには、「BitLocker を有効にする」オプションがあります。回復キーの生成をガイドするウィンドウが表示されます。オプションがない場合、またはエラーが発生する場合は、次の操作を試してください。

パーティションの BitLocker 暗号化を削除して、再度暗号化してみてください。これで問題が解決する可能性があります。

詳細については、MSフォーラム。

ボリュームは暗号化されていますが、暗号化キーは「平文」で保存されます。

答え1

ボリュームは暗号化されていますが、暗号化キーは「平文」で保存されます。

「アクティベーションを待機中」とはどういう意味ですか?

BitLocker の有効化を完了する方法

BitLocker はどのようにして有効化されたのでしょうか?

追加リソース

答え2

アクティベーションなしでBitLockerをオフにするには

答え3

関連情報