SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Windows 8 の BitLocker のプロビジョニング機能のメモ

leave a comment

Windows 8 の BitLocker の新機能として、Bitlocker のプロビジョニングがあります。
BitLocker の新機能

Windows Vista と Windows 7 では、システム ボリュームとデータ ボリュームに対する BitLocker のプロビジョニングは、インストール後に、manage-bde コマンド ライン インターフェイスまたはコントロール パネルのユーザー インターフェイスで行う必要がありました。 Windows 8 の BitLocker は、オペレーティング システムのインストール前に、簡単にプロビジョニングすることができます。

Windows 8 では、管理者が、オペレーティング システムの展開前に、Windows プレインストール環境 (WinPE) から BitLocker を有効にできます。 具体的には、フォーマット済みのボリュームに、ランダムに生成されるクリアな保護機能を適用し、Windows セットアップ プロセスの実行前にボリュームを暗号化します。次のセクションで取り上げる “使用済みディスク領域のみを暗号化” するオプションを使った場合、この手順はわずか数秒程度で済むため、日常的な展開プロセスにも容易に組み込むことができます。

OS のインストールが終了してから BitLocker による暗号化をするのではなく、OS インストールの初期段階で暗号化をするという方法になるようです。

この機能ですが、使い方が載っているページが見当たらず、いろいろと情報を探してしまいました。

日本語の情報が見当たらなかったのですが、以下の情報が参考になりそうです。

Tip of the Day: BitLocker Pre-provisioning に記載されている、

NOTE: The WinPE option is a bit more complicated as you must add the file management and startup optional components to your WinPE image. Otherwise you will not have the manage-bde tool available.

がポイントになるのでしょうか。

WDS を使用した場合の展開時などは boot.wim をベースに WinPE のベースイメージを作ることになるかと思います。

以下のコマンドで、boot.wiim に含まれている機能を確認してみます。

dism /Mount-Wim /WimFile:C:tempboot.wim /index:1 /mountdir:c:mount
dism /image:c:mount /Get-Features

 

Windows 8.1 の boot.wim については、以下の機能が組み込まれています。

  • SMB1Protocol
  • WinPE-FontSupport-JA-JP
  • WinPE-WMI
  • WinPE-SecureStartup
  • WinPE-TPM
  • WinPE-SRT
  • WinPE-Scripting
  • WinPE-IbsProvider
  • WinPE-WDS-Tools
  • WinPE-EnhancedStorage

先ほどのブログでは、file management and startup が必要となると書かれています。

この機能は以下になります。

  • WinPE-FMAPI
  • WinPE-SecureStartup

ADK がインストールされている環境であれば、以下のコマンドでマウントした WIM に対して、該当の機能を追加することが可能です。

cd "C:Program Files (x86)Windows Kits8.1Assessment and Deployment KitWindows Preinstallation Environmentamd64WinPE_OCs"
dism /image:c:mount /add-package /packagepath:"WinPE-FMAPI.cab"
dism /image:c:mount /add-package /packagepath:"WinPE-SecureStartup.cab"
dism /unmount-wim /mountdir:c:mount /commit

 

これで、

  • Use the manage-bde tool to preform a ‘Manage-bde –protectors –add C: -rp’
  • Use the Control Panel applet to ‘Turn on BitLocker’

の準備は整うかと思います。

TPM 付きの検証用 PC は自宅の検証機材にあるはずなのですが、まだ実機確認ができていないのでメモとして。

Written by masayuki.ozawa

1月 27th, 2014 at 8:46 am

Leave a Reply

*