動機
openSUSEホストの仮想マシン上のLUKSで暗号化されたディスクに暗号化してないイメージファイルを置いていたのですが仮想環境維持が面倒になってきました。
そこでベアメタルに回帰するにあたってlinuxの良かったところ、暗号化メソッドとしてLUKSのように自由にパスワードで開錠できるようにしたかったのでgeminiに聞いたところ以下のような方法でそれができることが分かったのでここに記しておきます。
1. bitlockerの有効化と48桁回復キーの保存
まずbitlockerを有効にしますがこれは他の方の分かりやすい記事を参照したほうがいいかと思います。
注意点としてはデフォルトでは暗号強度が128bitなのでカスタム設定で256bitに変更しておくこと。
あとリムーバブルデータ、USBメモリ等はCBCにしておけばXPを最古として読み込みだけは可能なようです。
暗号強度を変更したら次は実際にディスクを暗号化します。48桁の回復キーは今回はすぐに破棄するのでどこに保存してもいいかとも思いますが、回復キーの閉じ込めを防止のおせっかいで保存先は非暗号化メディアしかえらべないのでいったん印刷にしたほうがいいかと思います。
プリンターがない環境では破棄する前提ならば暗号化されてないUSBメモリに保存してもかまわないでしょう。
2. パスワード設定の試行1回目
暗号化が実際に完了したら今度はこの記事のメイン、bitlockerに自分のパスワードを設定していきます。
microsoftで技術仕様を詳細に記しているので全然イレギュラーなことではないのでご安心ください。
https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde-protectors
manage-bde -protectors -add C: -pw
しかし、いざパスワードを設定しようとすると上のようなエラー(0x8031006a)に直面します。暗号化にパスワードを使うな、というデフォルト設定にブロックされる状態です。
3. グループポリシーを書き換える
この制限を突破するため、グループポリシーを編集します。
以下引用元はgeminiからです。
- グループポリシーエディターを起動
Win + Rキーを押し、gpedit.mscと入力してエンター。- 対象のディレクトリへ移動
- [コンピューターの構成]
- └ [管理用テンプレート]
- └ [Windows コンポーネント]
- └ [BitLocker ドライブ暗号化]
- └ [オペレーティング システムのドライブ]
- 設定を「許可」に変更
- 右側のリストから 「スタートアップ時に追加の認証を要求する」 をダブルクリック。
- 「有効」を選択。
- オプション内の 「互換性のある TPM が装備されていない BitLocker を許可する」 にチェックが入っていることを確認(これがないとN100と7980XEを跨げません)。
- 「OK」で閉じる。
- パスワードの使用を許可(念のため)
- 同じ階層にある 「オペレーティング システムのドライブのパスワードの使用を構成する」 をダブルクリック。
- 「有効」を選択し、「パスワードの使用を許可する」または「必須にする」になっていることを確認。
設定が変更できたら以下のコマンドで有効化します
gpupdate /force
次は行けると”geminiが”言うのでパスワード設定試行2回目、コマンドを実行したところ・・・。
manage-bde -protectors -add C: -pw
なるほど、新たなエラーコード
0x803100abですね。「このドライブには TPM 保護機能が存在するため、パスワード キーの保護機能を追加できません。」
これは、BitLockerがすでに「TPM(マザーボードに縛り付ける仕様)」を使って暗号化を開始/完了してしまっているため、TPMと競合する「独立したパスワード」の追加を拒否している状態です。
…ログが汚れてしまいました(-_-;)
この段階で気付いたのですが最初にTPMを無効化してから始めるべきだったようです。
4. TPMという鎖を解く
TPMという物理的な鎖を解くための設定を行います。
manage-bde -protectors -delete C: -type TPM
結果の中に
TPM(あるいはTPM と PIN)という項目があるはずです。同時に数値パスワード(48桁)も存在することを確認してください。※数値パスワード(48桁)が絶対に存在することを確認してください。これが唯一の命綱になります。
これで、SSDはハードウェアの呪縛から解放され、純粋なパスワードのみを受け入れる状態になります。
三度目の正直で再度、パスワード設定のコマンドを実行します。
manage-bde -protectors -add C: -pw
この瞬間のリスク
手順3でTPMを消した直後は、ドライブの鍵が**「48桁の数値パスワードのみ」**になっている非常に脆弱な状態です。もしここで予期せぬ再起動が起きた場合、あの長い数字を自力で打ち込む羽目になります。手順3から手順4へは、迷わず一気に実行してください。
5. 回復キーの完全抹消
手順4でついにパスワードの追加に成功ました。最後に48桁の回復キーを消去します。
https://www.windowslatest.com/2026/04/19/microsoft-confirms-windows-11-kb5083769-issues-bitlocker-alert-on-a-few-pcs-and-multiple-reboots-for-installation/
以下をコマンドは実行しないでください。WindowsUpdate時にブートローダーの整合性チェックで引っかかったら回復キーを抹消していても回復キーを要求されて終わります。
manage-bde -protectors -delete C: -type RecoveryPassword
鋭い人は上のpowershell画像を見て、「回復キーが丸出しだ」と思われたと思いますがこのように間髪入れず消去するので問題はないわけです。
後日回復キーを再度設定し直しました^^;
完了
試行錯誤しましたが以上を以て回復キーに代わって自分で作ったパスワードになり48桁128bitという脆弱な回復キーも抹消され
さらにTPMも無効化してマザーボードに縛られない環境が手に入りました。
今回はCドライブの暗号化でしたが次回はDドライブの暗号化の記事を執筆しようと思います。
拙い記事を手掛かりに環境を構築された読者の方々へ、
お疲れさまとねぎらいの言葉を記して締めさせていただきます。
