Windows 8 の BitLocker の新機能として、Bitlocker のプロビジョニングがあります。
BitLocker の新機能
Windows Vista と Windows 7 では、システム ボリュームとデータ ボリュームに対する BitLocker のプロビジョニングは、インストール後に、manage-bde コマンド ライン インターフェイスまたはコントロール パネルのユーザー インターフェイスで行う必要がありました。 Windows 8 の BitLocker は、オペレーティング システムのインストール前に、簡単にプロビジョニングすることができます。
Windows 8 では、管理者が、オペレーティング システムの展開前に、Windows プレインストール環境 (WinPE) から BitLocker を有効にできます。 具体的には、フォーマット済みのボリュームに、ランダムに生成されるクリアな保護機能を適用し、Windows セットアップ プロセスの実行前にボリュームを暗号化します。次のセクションで取り上げる “使用済みディスク領域のみを暗号化” するオプションを使った場合、この手順はわずか数秒程度で済むため、日常的な展開プロセスにも容易に組み込むことができます。
OS のインストールが終了してから BitLocker による暗号化をするのではなく、OS インストールの初期段階で暗号化をするという方法になるようです。
この機能ですが、使い方が載っているページが見当たらず、いろいろと情報を探してしまいました。
日本語の情報が見当たらなかったのですが、以下の情報が参考になりそうです。
- Tip of the Day: BitLocker Pre-provisioning
- Using Manage-bde from WinPE to Pre-Provision BitLocker Drive Encryption
- New BitLocker Features Speed Up Encryption in Windows 8
- how can I Pre-Provision BitLocker in WinPE for Windows 8 deployments using Configuration Manager 2012 SP1 ?
- how can I Pre-Provision BitLocker in WinPE for Windows 8 deployments using Configuration Manager 2012 SP1 ?
# こちらは掲示板の情報 - Enable and Activate TPM for BitLocker Pre-Provisioning in WinPE
Tip of the Day: BitLocker Pre-provisioning に記載されている、
NOTE: The WinPE option is a bit more complicated as you must add the file management and startup optional components to your WinPE image. Otherwise you will not have the manage-bde tool available.
がポイントになるのでしょうか。
WDS を使用した場合の展開時などは boot.wim をベースに WinPE のベースイメージを作ることになるかと思います。
以下のコマンドで、boot.wiim に含まれている機能を確認してみます。
dism /Mount-Wim /WimFile:C:tempboot.wim /index:1 /mountdir:c:mount dism /image:c:mount /Get-Features
Windows 8.1 の boot.wim については、以下の機能が組み込まれています。
- SMB1Protocol
- WinPE-FontSupport-JA-JP
- WinPE-WMI
- WinPE-SecureStartup
- WinPE-TPM
- WinPE-SRT
- WinPE-Scripting
- WinPE-IbsProvider
- WinPE-WDS-Tools
- WinPE-EnhancedStorage
先ほどのブログでは、file management and startup が必要となると書かれています。
この機能は以下になります。
- WinPE-FMAPI
- WinPE-SecureStartup
ADK がインストールされている環境であれば、以下のコマンドでマウントした WIM に対して、該当の機能を追加することが可能です。
cd "C:Program Files (x86)Windows Kits8.1Assessment and Deployment KitWindows Preinstallation Environmentamd64WinPE_OCs" dism /image:c:mount /add-package /packagepath:"WinPE-FMAPI.cab" dism /image:c:mount /add-package /packagepath:"WinPE-SecureStartup.cab" dism /unmount-wim /mountdir:c:mount /commit
これで、
- Use the manage-bde tool to preform a ‘Manage-bde ?protectors ?add C: -rp’
- Use the Control Panel applet to ‘Turn on BitLocker’
の準備は整うかと思います。
TPM 付きの検証用 PC は自宅の検証機材にあるはずなのですが、まだ実機確認ができていないのでメモとして。