2013/05/23

Windows To Go の秘密 (その 2) - ワークスペースを BitLocker で暗号化

Windows To Go と BitLocker ドライブ暗号化について。

Windows To Go は、Windows ソフトウェア アシュアランス (SA) や Windows Virtual Desktop Access (VDA) ライセンスの下で利用可能な、USB デバイス (一般的な USB メモリではない!!) で持ち歩けるポータブルな Windows 8 Enterprise 環境です (→Windows To Go を起動してもよい PC (ライセンスの話) )。

簡単に持ち歩けるので、USB デバイスの紛失や盗難への対策が重要。Windows To Go ワークスペースは、次のいずれかの方法で BitLocker ドライブ暗号化を用いて保護できます。

Windows To Go ワークスペースを作成する際に同時に暗号化

[Windows To Go ワークスペースの作成]ツール (%Windir%\System32\pwcreator.exe) では、[BitLocker パスワードの設定 (オプション)]ページでワークスペースの作成と同時に暗号化を行えます。Windows To Go ワークスペースは、特定の PC の TPM を利用できるわけではないので、ロック解除の方法はパスワードになります。

Windows To Go ワークスペースは、未初期化、未フォーマットの USB デバイスを指定して作成することもできますが、その場合、暗号化は構成できません。[BitLocker パスワードの設定 (オプション)]ページを構成するには、USB デバイス上にフォーマット済みボリューム (再パーティション、再フォーマットされることになるので、ファイルシステム形式やパーティション構成は問いません) が必要です。


Windows To Go ワークスペースの作成を開始すると、選択した USB デバイスがサイズ 350 MB、FAT32 形式のシステム ボリューム (ブート環境を含むボリューム) と、残りの領域に NTFS 形式のブート ボリューム (Windows を含むボリューム) の 2 つにパーティション分けされ、後者の NTFS ボリュームが暗号化されたうえで、イメージが展開されます。

※ 一般的な USB メモリは、複数のパーティションを作成できない (Windows の場合) ため、その点からも USB メモリは Windows To Go に使えません。USB メモリ タイプ (形状のこと) の Windows To Go 認定デバイスなら OK です。
ワークスペースの暗号化ボリュームは、作成元の Windows 8 Enterprise 環境からすれば、リムーバブル ドライブの暗号化である BitLocker To Go ドライブ扱いです。 通常、BitLocker で暗号化する場合、回復キーの保存 (ファイルまたは Microsoft アカウント (SkyDrive) ) または印刷を求められますが、[Windows To Go ワークスペースの作成]ツールは何も聞かずに暗号化をしてしまいます。

回復キーはどうなっているのかというと、ユーザー プロファイル フォルダー (%USERPROFILE%、C:\Users\ユーザー名) の下に、[Windows To Go Recovery Key {~}.txt] というファイル名で保存されます。このファイルを大切に、安全に保管してください。
BitLocker の回復キーを Active Directory に格納するようにグループ ポリシーを構成している場合は、Active Directory に保存されるはずです。その場合のグループ ポリシーは、BitLocker To Go 扱いなので、次のポリシー設定になります。回復キーは、ワークスペースの作成元コンピューターに関連付けられて Active Directory に保存されます (たぶん)。

コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ\BitLocker で保護されているリムーバブル ドライブの回復方法を選択する: 有効
AD DS にリムーバブル データ ドライブの BitLocker 回復情報を保存する

また、Windows To Go ワークスペースで起動して、改めて回復キーをバックアップすることもできます。

Windows To Go ワークスペースを実行中に暗号化

Windows To Go ワークスペースを BitLocker ドライブ暗号化で保護するもう 1 つの方法は、暗号化されていない Windows To Go ワークスペースを使用して任意の PC を起動し、実行中の Windows To Go ワークスペースで C: ドライブに対して暗号化を構成する方法です。この方法は、TPM を搭載していない PC で OS ドライブを暗号化するのとほぼ同様の手順 (※USB メモリ キーによるロック解除は不可) で、パスワードによるロック解除を構成し、回復キーを保存または印刷したうえで、暗号化を実行します。


Windows To Go ワークスペースの OS 環境が Active Directory ドメインのメンバーである場合は、以下のグループ ポリシーを構成することで、回復キーを Active Directory に自動保存できます。この場合、Windows To Go ワークスペースのコンピューター アカウントに関連付けられて回復キーが保存されることになります。

コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ\BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する: 有効
  AD DS にオペレーティング システム ドライブの BitLocker 回復情報を保存する 


[Windows To Go ワークスペースの作成]ツールで作成した Windows To Go ワークスペースでは、以下のローカル ポリシーが既定で有効になっています。これにより、TPM を使用しない、パスワードによるロック解除の方法で、OS ドライブを暗号化できるようになっています (※USB メモリ キーによるロック解除は不可)。

 コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システムのドライブ\スタートアップ時に追加の認証を要求する: 有効
互換性のある TPM が装備されていない BitLocker を許可する (USB フラッシュ ドライブでパスワードまたはスタートアップ キーが必要)
 
 
タブレット PC と BitLocker ドライブ暗号化

キーボードの無いタブレット PC を暗号化された Windows To Go ワークスペースで起動しようと考えている場合は、ワークスペースの USB デバイスとともに、USB キーボードを持ち歩きましょう。ロック解除の画面はソフトウェア キーボードがありません。

※ UEFI の Windows 8 タブレットでない場合は、USB デバイスから起動するためにキーボードが必要になることもあります。

このシリーズ:
Windows To Go の秘密 (その 1) - ローカル ディスクがオフラインになる仕組み

0 件のコメント: