ブログ

あなたが現在見ているのは BitLocker:やむなく回復キーは再設定した話

BitLocker:やむなく回復キーは再設定した話

  • 投稿カテゴリー:PC・スマホ
  • 投稿の最終変更日:2026年5月4日

回復キーなし という致命的な設定について

昨日のBitLockerの記事の続きです。
当初の目論見ではBitlockerに付帯する余分なものTPMと回復キーを抹消してLUKSライクにパスワードのみで運用するはずでした。

しかしBitlockerは回復キーがblankであることを想定して設計されていないらしく、
ブートローダーが改ざんされたと判断すると回復キーの有無にかかわらず回復キーを要求するという恐ろしい仕様になっているようです。
それなら回復キーは変更のみで削除は受け付けない仕様になっていて然るべきと思いますが、そうではないのでここに注意を喚起しておきます。

BitlockerのOFFスイッチ

どうしても回復キーは設定したくないという場合。
BitlockerにロックアウトされないためにはWindowsUpdateが走る前に事前にBitLockerをOFFにしておけばその懸念はなくなります。以下の手順でBitlockerの停止スクリプトができるので作成します。

【ワンクリックSuspendボタンの作成手順】

  1. デスクトップで右クリック >「新規作成」>「ショートカット」
  2. 「項目の場所」に以下をそのまま貼り付けます: powershell.exe -WindowStyle Hidden -Command "Start-Process manage-bde -ArgumentList '-protectors -disable C: -rc 0' -Verb RunAs"
  3. 名前に「BitLocker停止(Update用)」などと付けます。

これで完成です。このショートカットを実行して「はい(管理者権限の承認)」を押すだけで、一瞬でCドライブの保護がSuspend(一時停止)されます。大型アップデートが来る気配を察知したら、これを一押ししてから更新を走らせる。これでOSの自己矛盾によるロックアウトを100%防げます。

-rc 0を付記しないと一時停止というか一回停止になり再起動がかかると自動でONになってしまうので注意。
最初その罠にはまってヒヤリとしましたが幸いパスワードしか要求されず助かりました。

BitlockerのONスイッチ

OFFがあれば当然ONも必要です。
上記の手順でONのスイッチも作成します。
powershell.exe -WindowStyle Hidden -Command "Start-Process manage-bde -ArgumentList '-protectors -enable C:' -Verb RunAs"
名前は BitLocker保護再開 とでもしておきましょう。

ヒューマンエラーの懸念

上のON/OFFスイッチは最悪を避ける上での最低限の備えです。
それでも万一というか50回に1回くらいは忘れてしまうのが人間なので、次はWindowsUpdateのタイミング制御もセットで行います。
デフォルトではバックグラウンドでダウンロードされインストールを迫られますが、この設定にするとWindows Updateの通知のみで許可するまではダウンロードも行われません。

【Windows 10/11 Pro以上の設定(完全手動化)】

  1. Win + Rキーを押し、gpedit.msc と入力して実行します。
  2. 左側のツリーから以下の順に展開します。 コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Windows Update > エンドユーザーのエクスペリエンスの管理(※Windows 10の場合は Windows Update の直下にある場合があります)。
  3. 自動更新を構成する をダブルクリックし、「有効」を選択します。
  4. オプションのドロップダウンから「2 – ダウンロードと自動インストールを通知」を選択し、「OK」をクリックします。

Bitlockerの回復キーの再設定

ミス一発でロックアウトはさすがにまずいと思うので回復キーも再度設定しておきます。
削除と作成のコマンドをセットで置いておきます。

# 回復キーを削除する
manage-bde -protectors -delete C: -type RecoveryPassword
# 回復キーを設定する
manage-bde -protectors -add C: -RecoveryPassword

この方法で回復キーを設定すると普通に回復キーが表示されます。なお回復キーも複数設定できるようです。
その数なんと最大255個・・・回復キー、TPMやパスワード、その他数多のキープロテクターを含むとはいえなんとも巨大です。対するLUKS(LUKS1)はわずか8スロット。この圧倒的なマージンの差こそWindowsとLinuxの冗長性vs自由という設計思想の差なのでしょう。

筆者:しかもIDじゃ良く分からんからOS1とかdata3とかラベル分けする必要もあると

仰る通り、ID(GUID)の文字列だけでは直感的な識別が不可能です。複数のボリュームを運用する場合、「ボリュームラベル」「ID(先頭8桁程度で可)」「回復パスワード」をセットで管理

管理すべき「三位一体」の構成

管理台帳(またはテキストファイル)には、以下の形式で記録することを推奨します。

ボリュームラベル役割回復キーID(識別用)回復パスワード(48桁)
OS_SystemCドライブ (Boot){40BD702F-...}123456-789012-...
Data_WorkDドライブ (Work){8E2A1C3B-...}987654-321098-...
AI_ModelsEドライブ (GPU用){F5D6B7A9-...}456789-012345-...
タグ: , , ,

コメントを残す