Active DirectoryにBitLocker回復キーを安全に保存する方法
BitLockerは、Windowsユーザーが手遅れになるまで見過ごしてしまう機能の一つです。実際には非常に強力で、ドライブを暗号化し、データを安全に保管してくれますが、回復キーの管理は、特に企業環境では少々面倒です。肝心なのは、回復キーをActive Directoryに保存することです。そうすれば、パスワードを忘れたり、ロックアウトされたりしても、印刷された伝票やうっかり紛失したUSBドライブを探して頭を悩ませることなく、Active Directoryからキーを取得できます。すべてが一元管理され、安全であることは安心ですが、グループポリシーやコマンドラインに慣れていないと、設定が少し複雑になるかもしれません。
これを正しく行うことで、誰かがロックアウトされたり、ドライブフラグがオフになったりした際に、慌てて電話をかける必要が少なくなります。また、少し奇妙に聞こえるかもしれませんが、多数のデバイスを管理している場合、回復キーの保存を自動化することで、多くの手間を省くことができます。回復キーはADにきちんと保存され、管理ツールからアクセスできるようになっているため、簡単に復元や監査を行うことができます。基本的には、これらのキーを自動的にバックアップするグループポリシーを設定し、既存のキーを手動で転送します。もちろん、Windowsは古い暗号化に対してこれを自動的に行わないためです。それでは、概要を説明します。
Active DirectoryでBitLocker回復キーを保存および取得する方法
自動キーバックアップのグループポリシーを構成する
このステップは、多くのセットアップでつまずくポイントです。Windows に回復情報を AD に自動保存するよう指示するグループポリシーを設定する必要があります。なぜでしょうか?これは、この設定がないと回復キーがローカルに保存され、リモートからアクセスできないためです。適切に設定されていれば、ドライブが BitLocker で暗号化されるたびに、回復キーが手間をかけずに AD にアップロードされます。AD 内の各コンピューターオブジェクトの「BitLocker 回復」タブに回復キーが表示されるはずです。
ここからは技術的な話になりますが、以下の手順に従えば簡単です。
- グループポリシー管理コンソール(GPMC)を開く
- 「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLockerドライブ暗号化」に移動します。
- 「BitLocker回復情報をActive Directoryドメインサービスに保存する」というポリシーを有効にします。
- OS ドライブの場合は、「BitLocker で保護されたオペレーティング システム ドライブを回復する方法を決定する」も有効にして、両方のオプションをチェックします。
- AD DS にオペレーティング システム ドライブの BitLocker 回復情報を保存する
- OSドライブ回復情報がAD DSに保存された後にのみBitLockerを有効にする
一部のマシンでは、再起動やポリシーの更新(gpupdate /forcePowerShell の場合)が必要になる場合があります。ポリシーが適切な組織単位(OU)に適用されていることを確認してください。最悪の場合、グループポリシー管理コンソールを使用して、ポリシーを適切なOUまたはドメインにリンクしてください。私が試したある設定では、最初の更新後に動作しましたが、他の設定では再起動によって強化されたようです。
既存の BitLocker 回復キーを Active Directory に保存する
すでにドライブを暗号化している場合でもご安心ください。上記のポリシーでは古いキーは自動的にバックアップされません。PowerShellまたはCMDを使って手動で取得する必要があります。面倒な手順ではありませんが、確実に動作します。以下のコマンドで取得できます。
管理者権限のPowerShellウィンドウを開きます(管理者権限が必要です)。ドライブの回復IDを照会するには、次のコマンドを実行します。
manage-bde -protectors -get c:
このコマンドは多くの情報を出力しますが、必要なのは「数字のパスワードのID」です。これはUUIDのように見えます(例:{05296A47-B528-43C9-9E1C-FE6ACBFE2538})。このIDを取得したら、次のコマンドでバックアップします。
manage-bde -protectors -adbackup c: -id "{Your-UUID-Here}"
このコマンドは、回復キーをActive Directoryにプッシュします。成功すると、「回復情報がActive Directoryに保存されました」という成功メッセージが表示されます。マシンによっては、設定によっては、ドライブごとまたはデバイスごとにこのコマンドを実行する必要がある場合があります。必ずしも1回で成功するとは限りませんが、通常はすぐに再実行または再起動すれば問題が解決します。
Active Directoryから保存された回復キーを取得する方法
鍵がADに保存されると、アクセスは簡単ですが、適切なツールが必要です。通常、ドメイン環境では、Active Directory ユーザーとコンピューター スナップインを開くか、BitLocker 回復パスワードビューアー をインストールするのが良いでしょう。このツールは、RSAT (リモートサーバー管理ツール) から追加できます。
インストールが完了したら、ドメイン内の各コンピューターオブジェクトで「BitLocker Recovery」というタブを探してください。回復パスワードとIDが表示されます。回復情報を一括で確認したり、スクリプトで確認したりする必要がある場合は、PowerShell経由でADにクエリを実行することもできますが、これはより高度な設定を行うためのものです。
注意:この操作を実行するには、AD で適切な権限(通常はドメイン管理者または委任された権限)が必要です。権限がない場合、回復情報は非表示のままになります。本来は必要なときにアクセスできるように設計されているので、これは皮肉なことです。
全体として、この設定には事前に少し設定が必要ですが、後々の面倒な作業を大幅に軽減できます。既存の暗号化ドライブの場合は少し面倒ですが、手動でのバックアップはそれほど面倒ではありません。ただ、ドライブ数が多い場合は面倒です。新しい暗号化については、ポリシーを設定しておけば、自動的にバックアップを行うので簡単です。
誰かがロックアウトされた時のトラブルシューティングにかかる時間を数時間短縮できれば幸いです。安心のためにも、それだけの価値はあります。
まとめ
- gpedit.mscまたは GPMC経由でグループポリシーを構成し、回復キーを自動アップロードします。
manage-bdeコマンドを使用して古い回復キーを手動でバックアップする- 後でキーを取得するには、ADツールまたはシェルスクリプトを使用します。
- 適切な組織単位にポリシーを適用する
まとめ
BitLocker回復キーをADに保存するのは、最初は決して簡単ではありませんが、努力する価値は十分にあります。ドライブがクラッシュしたり、従業員がパスワードを忘れたりした場合でも、災害復旧を一元管理された安全な場所にまとめて保存できるのです。もちろん、いくつかのコマンドとポリシーが必要になりますが、一度設定してしまえば、大きなストレス解消になります。それに、Windowsはこうした操作が必ずしも直感的ではないので、既に暗号化されたドライブが多数ある場合は、手動でバックアップするのが便利です。私の場合はうまくいきました。皆さんにもうまくいくことを願っています。
この記事は役に立ちましたか?