最初に、仮想環境での BitLocker ドライブ暗号化に関する条項を書いておきます。Windows Vista SP1 以降なら、仮想マシン環境での使用も可と受け取りました。
Windows Vista Ultimate RTM の EULA 「仮想化テクノロジの使用 ・・・ お客様は、マイクロソフトの DRM (デジタル著作権管理)、IRM (情報権利管理)、ERM (企業権利管理) などの権利管理テクノロジや他のマイクロソフトの権利管理サービスによって保護されたコンテンツを再生またはアクセスすること、また、これらのテクノロジまたはサービスによって保護されたアプリケーションを使用すること、および、BitLocker を使用することはできません。」
Windows Vista Ultimate SP1 の EULA 「仮想化テクノロジの使用 ・・・ 仮想化された環境で使用する場合、デジタル著作権管理テクノロジ、BitLocker またはフル ボリューム ディスクドライブの暗号化テクノロジで保護されるコンテンツは、仮想化されない環境のコンテンツほどセキュリティで保護されません。」
Windows 7 Ultimate RTM の EULA「仮想化テクノロジの使用 ・・・ 仮想化された環境で使用する場合、デジタル著作権管理技術、BitLocker、または任意のフル ボリューム ディスク ドライブの暗号化テクノロジで保護されたコンテンツは、仮想化された環境以外で保護されたコンテンツほどセキュリティ保護されていない場合があります。」
各 EULA の全文はこちらから検索できます。
http://www.microsoft.com/About/Legal/EN/US/IntellectualProperty/UseTerms/Default.aspx
仮想マシンの USB は BitLocker ドライブ暗号化 (システム ボリューム) に使えない
BitLocker ドライブ暗号化は、TPM を搭載したマシンで有効化できます。仮想マシンには、もちろん TPM はありませんので、他の方法が必要です。BitLocker ドライブ暗号化が TPM 以外でサポートするのは、USB キーにスタートアップ キーを格納し、コンピューター起動時に読み取らせる方法です。
BitLocker ドライブ暗号化を有効にする際に、「Bitlocker システムチェックを実行する」をオフにすれば仮想環境の USB キーで有効化できなくもないですが、できあがった仮想マシンは起動時に毎回手動で 48 桁の回復キーをキーボードから入力しなければならなくなります。
仮想フロッピーディスクにスタートアップキーを入れる
BitLocker ドライブ暗号化は、USB メモリ以外の任意のドライブをスタートアップキーの格納場所として利用することもできます。そのためには、標準の UI ではなく、manage-bde というコマンドラインツールを使います。
仮想マシンのフロッピー ディスク ドライブ(A:)に物理フロッピーディスクまたは仮想フロッピーディスクをマウントして、スタートアップキーとして利用することができます。その手順は以下のとおり。
(1) 仮想マシンにフロッピーディスクまたは仮想フロッピーディスクをマウントし、フォーマットしておきます。なお、Windows Virtual PC にはフロッピーディスクのための UI がありませんが、スクリプトから制御することができます。詳しくは、http://yamanxworld.blogspot.com/2010/03/computerworld-blog-update-20100308.html から。
(2) グループポリシーエディター(Gpedit.msc)を使用して、「互換性のある TPM が装備されていない BitLocker を許可する」を有効にします。
(3) コマンドプロンプトを管理者として開き、次のコマンドラインを実行します。BitLocker ドライブ暗号化のコントロールパネルは使用しません。
Windows Vista Enterprise/Ultimate SP1 の場合:
cscript manage-bde.wsf -on C: -rp -sk A:
cscript manage-bde.wsf -on C: -rp -sk A:
Windows 7 Enterprise/Ultimate の場合:
manage-bde.exe -on C: -rp -sk A:
(4) 仮想マシンのゲスト OS を再起動します (フロッピーディスクはそのまま)。フロッピーディスクからスタートアップキーが読み取られます。「キー記憶域メディア (この場合はフロッピー ディスク) を取り外してください」と一瞬表示されますが、フロッピー ディスクはそのままで OK です。
(5) ゲスト OS 起動後、ドライブの暗号化がスタートします。完了までには結構な時間がかかります。
※仮想マシンがフロッピー ディスクから起動しようとしてしまう場合は、仮想マシンの BIOS Setup Utility を表示して、Boot Order を変更してください。
仮想マシンで BitLocker ドライブ暗号化をお勧めしない理由
BitLocker ドライブ暗号化の処理では、ボリューム全体に何かしらが書き込まれます。そのため、容量可変タイプの仮想ハードディスク (VHD) を割り当てている場合、暗号化後に最大サイズに膨れ上がってしまいます。たとえば、Windows Virtual PC や Hyper-V の既定の VHD は、127 GB の容量可変タイプ。Windows 7 をインストールしただけなら 8 GB 程度したハードディスクの領域を消費しません。BitLocker ドライブ暗号化を有効化すると、127 GB 近くまで領域が増大します (ブート用の100 MB のパーティションは暗号化されないため、サイズは増えませんが、C: ドライブはパーティションいっぱいまで膨れます)。十分な空き領域がないと、大変なことになります。
これが、仮想マシンで BitLocker ドライブ暗号化をお勧めしない理由です。
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。