このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(163.2, 66%, 25%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EK%3C/text%3E%3C/svg%3E)
会社のPC持ち出し(の、特に持帰り時)のセキュリティ施策の一環として、
起動時に回復パスワード(48桁の数字パスワード)の入力を強制したいのですが
ポリシーで「manage-bde」の実行が禁止されているため、Powershellのコマンドで「manage-bde -forcerecovery」に
相当する処理を実施したいのですが、-statusに相当する「Get-BitLockerVolume」や-lockに相当する
「Lock-BitLocker」等は見つけられたものの、探し方が悪いのか相当するものが無いのか-forcerecoveryに当たる物が
見つけられませんでした。
manage-bdeは禁止されているがPowershellで同等の操作をすること自体の是非や、管理者権限の問題は
クリアされている前提で、起動時の回復パスワード入力強制の処理方法をご存知の方がいらっしゃいましたら
お知恵を拝借いたしたく。
vbsなりバッチなりで処理するため、コマンドでの実行が必須となりますが、manage-bdeを用いず
Powershell以外の手段があるのであれば、そちらも是非ご教示ください。
起動時に回復パスワード(48桁の数字パスワード)の入力を強制したい
は無謀に感じるのですが、本当に毎回 48桁の入力を強制したいのでしょうか。
BitLocker には PIN やパスワードを設定することが可能ですが、それではダメなのでしょうか?
返信ありがとうございます。
ご指摘のようなPIN等も検討したのですが、どちらかと言うと使わせない事を前提として
どうしても必要であれば48桁を入力する、というスタンスで行くとの結論となったものです。
ただ、manage-bdeを使用せず回復パスワードを強制する事ができないのであれば
再度PINやパスワードが俎上に乗るかと思われますので、ご教示いただいたURLを参照してコマンドでの設定が可能かなどを確認しておきたいと思います。
Power Shell の BitLocker 関連モジュールは以下の通りなので、確かに manage-bde の -forcerecovery に相当するものは無いですね。
単に BitLocker に追加の認証を行いたいということであれば、PIN やパスワードが利用できますが、それではセキュリティ要件を満たさないのでしょうか?
どうしてもということであれば、TPM をクリアすれば回復キーを求められるでしょうが.....
回答ありがとうございます。
forcerecoveryに相当するものは無いのですね。まずそこは諦めるようにします。
回答で上げていただいている「Clear-TPM」について試してみたのですが
Powershellでエラー等は帰ってこなかったものの再起動後も回復パスワードを
求められることも無く起動し、それでは試みに、とtpm.mscからTPMをクリアを
実行、メッセージに従って再起動を行い、再度Windowsにサインインした所
「保護が中断されています」のメッセージ、状況を確認すると確かにBitlockerは
一時中断状態でしたがTPMに関するメッセージ等無し。この状態で
3時間ほど置いてみましたがTPM関連のメッセージは無く、タスクマネージャーを
見ても何か処理をしている様子も無かったためもう一度再起動してみましたが通常通りに起動。tpm.mscで再度状況を確認すると「TPMをクリア」が選択できる
(グレーアウトしていない)状態でしたのでクリアできていない?ようでした。
上記のようなコマンド、GUIでのTPMのクリアは正しく無いものでしょうか。
正しい手順でTPMをクリアしても尚回復パスワードを求められる状態にできないので
あれば、その旨を報告して改めてPIN等に切替えられればと思っておりますので
恐れ入りますが今少しお力添えをお願いいたします。
試された動作に関連しそうな情報がありました。
Windows 上から TPM をクリアしても BitLocker の複合鍵は再設定されるようです。
回答ありがとうございます。色々試してみたもののPINを設定するにも
結局manage-bdeが必要なようでその旨を報告した所
・当該用途のPCに限りmanage-bdeを禁止するポリシーを除外する
・ただし、持帰り時の処理は「回復キーを削除して複合化不可」にする
という条件に変わってしまいました。
manage-bdeを使用できるとなればTPMの情報クリアはforcerecoveryで
実施できるかと思いますが、複合化不可となるとまた手段が見つからなかったため
こちらについて何かいい方法はありませんでしょうか