BitLocker 用の AD スキーマ拡張の勉強をしたいなと思って、BitLocker で暗号化された環境を作ろうと作業をしていました。
今回は、Hyper-V のゲスト OS と VHD ブートの環境で BitLocker が有効にできるか試してみました。
■Hyper-V のゲスト OS で BitLocker を設定
ゲスト OS では、TPM (トラステッド プラットフォーム モジュール) が有効にできないので、BitLocker は有効にできませんでした。
これについては以下の技術情報に記載がありました。
Hyper-V のセキュリティを計画する
BitLocker ドライブ暗号化を Hyper-V 管理オペレーティング システムで使用すると、構成ファイル、仮想ハード ディスク、およびスナップショットが含まれるボリュームを保護できます。仮想マシン内では BitLocker ドライブ暗号化を実行しないでください。BitLocker ドライブ暗号化は、仮想マシンではサポートされていません。 |
?
ゲスト OS 上での BitLocker はサポートされていないんですね。
ゲスト OS の暗号化をする場合は、ホスト OS 上で BitLocker を有効にして、ファイルを暗号化する必要があるようです。
■VHD ブートした OS で BitLocker を設定
VHD ブートした OS の場合は、TPM を有効にすることはできるのですが、BCD の構成でエラーとなってしまいます。
こちらについて書かれているのが以下の技術情報になります。
ネイティブ ブート仮想ハード ディスクとは
Bitlocker は、ネイティブ VHD ブートに使用される VHD ファイルを含むホスト ボリュームの暗号化には使用できず、 VHD 内に含まれるボリューム上で使用できません |
VHD ブートする場合は、VHD ファイルを含んでいるボリュームの暗号化は NG なんですね。
言われてみればそうなのかな~とも思うのですが、いままで全く考えていませんでした。
BitLocker 用スキーマ拡張の勉強については BitLocker To Go が一番手頃にできるのかもしれないですね。