BitLockerで暗号化したパソコンを修理に出した際、メーカーから「回復パスワードを入力する画面が表示された」との連絡があった。回復パスワードを聞かれることは想定内ではあったが、これを探すのに苦労した。
回復パスワードは後述の方法でActiveDirectoryに保管するようにしていたが、全く見当たらない。数日かけて探してみて、ようやく確認方法が分かったのでメモ。
事前準備
ActiveDirectory環境でBitLockerを使用している場合、グループポリシーを使って回復パスワードをActiveDirectoryに保管できる。
回復パスワードを保管するには、グループポリシー管理エディタから「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLockerドライブ暗号化」を開き、「Active DirectoryドメインサービスにBitLocker回復情報を保存する」を有効にする。
回復パスワード確認方法
サーバーマネージャーから「Active Directoryユーザーとコンピューター」を開き、回復パスワードを確認したいコンピューターを右クリック→「プロパティ」を押す。
「BitLocker 回復」タブで回復パスワードを確認できる。
「BitLocker 回復」タブが表示されない場合
私がまさにその状況だったのだが、下記画像のように「BitLocker 回復」タブが表示されなかった。
いろいろ調べたところ、これを表示するにはサーバーに「BitLocker ドライブ暗号化管理ユーティリティ」をインストールする必要があるということが分かった。
BitLocker ドライブ暗号化管理ユーティリティについては、下記リンク先の記事を参考。
以下、リンク先本文より引用。
2008 R2 以降の Windows Server バージョンでは、BitLocker ドライブ暗号化管理ユーティリティ機能にアクセスできます。これは、BitLocker の管理に役立ちます。 機能をインストールすると、BitLocker Active Directory 回復パスワード ビューアーが含まれるので、Active Directory のユーザーとコンピューターには BitLocker 回復情報が追加されます。
回復パスワードを表示させるには回復パスワードビューアーが必要とのこと。下記リンク先の記事によると、既定ではBitLockerはインストールされていないみたい。
以下、リンク先本文より引用。
すべての Windows Server エディションでは、BitLocker は既定ではインストールされませんが、サーバー マネージャーまたはWindows PowerShellコマンドレットを使用してインストールできます。
今回は試していないけど、記事によるとPowerShellでもインストールできるみたい。
インストール方法
サーバーマネージャーの「役割と機能の追加」からインストールする。
機能の追加画面で「リモート サーバ管理ツール」→「機能管理ツール」の中に「BitLocker ドライブ暗号化管理ユーティリティ」があるので、全てチェックを入れてインストールする。*1
インストール後、「BitLocker 回復」タブが増えていることを確認する。
おわりに
BitLockerはドライブ全体を暗号化するので、回復パスワードが分からないと暗号化が解除できない。セキュリティ対策としては優秀だと思うが、いざというときにすぐに回復パスワードが確認できないとデータが取り出せなくなって詰むので注意。
*1:私の環境では、インストール後に再起動は必要なかった