タグ付けされた質問 「bitlocker」

おそらくほとんどのSSDが完全に素朴で壊れた方法で暗号化を実装しているという最近のセキュリティの発見により、どのBitLockerマシンがハードウェア暗号化を使用しており、どのソフトウェアがソフトウェアを使用しているかを確認したいと思います。 ハードウェア暗号化の使用を無効にする方法を見つけましたが、ハードウェア暗号化を使用しているかどうかを確認する方法がわかりません（その場合、ドライブを再暗号化する必要があります）。tiはどうすればいいですか？ 次のmanage-bde.exe -statusような出力が得られることは承知しています。 Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [Windows] [OS Volume] Size: 952.62 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 128 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: …

25 windows  security  bitlocker 

Windows 7 RTMを実行していて、両方の物理ドライブがBitLockeredになっています。私のマシンにはTPMが搭載されているため、電源を入れると非常にうまく起動します。しかし、ブート時にパスワードの入力を求められた場合、私の雇用主は好むでしょう。 私はこの記事を見つけました：http : //4sysops.com/archives/review-windows-7-bitlocker/起動時にPINを要求するためにBitLockerにチャレンジさせるために設定するグループポリシーフラグを教えてくれます。 システムがすでに暗号化されている場合、このPINを設定する方法は見つかりませんか？ また、http：//technet.microsoft.com/en-us/library/dd875532%28WS.10%29.aspxを見つけましたが、これらの推奨事項のうち、既に暗号化されたシステムに安全に適用できるものを知りたいですか？

15 bitlocker 

すべてのオプションが設定され、回復キーがActive Directoryに格納されるように、グループポリシーでBitLockerとTPMの設定を構成しました。すべてのマシンでWindows 7を標準の企業イメージで実行しており、TPMチップが有効になっていてBIOSでアクティブになっています。 私の目標は、ユーザーがしなければならないすべてが[BitLockerを有効にする]をクリックするだけで済むようにすることです。マイクロソフトは、スクリプトを介して展開できる自動化サンプルも提供しています。しかし、これをスムーズなプロセスにするための小さな問題があります。 GUIでは、ユーザーがBitLockerを有効にすると、自動的に生成される所有者パスワードでTPMを初期化する必要があります。ただし、回復パスワードはユーザーに表示され、テキストファイルに保存するように求められます。このダイアログを抑制できないようで、ステップをスキップできません。キーがADに正常にバックアップされるため、これは不要な（そして不要な）プロンプトです。 展開をスクリプト化する場合、TPMを初期化するときにスクリプトで所有者パスワードを指定する必要があり、GUIのようにランダムに生成されるようにします。 BitLockerの展開を本当に希望どおりにゼロタッチする方法はありますか？

10 windows  active-directory  group-policy  bitlocker  tpm 

どういうわけか、ユーザーのマシンはTPMチップからビットロッカーパスワードを読み取ることができず、アクセスするために（ADに保存されている）回復キーを入力する必要がありました。回復ドキュメントごとにビットロッカーを一時停止しようとしましたが、TPMが初期化されていないというエラーメッセージが表示されました。TPMがオンになっていてBIOSでアクティブ化されていることはわかっていましたが、WindowsでTPMチップを再初期化しても、その過程で新しい TPM所有者パスワードが作成されました。 このパスワードを保存するか印刷するように促されたため（そうすることはできませんでした）、奇妙なことに気付きましたが、回復パスワードを参照せず、このパスワードをADまでバックアップしませんでした。 ユーザーがラップトップを持って出て行った後、TPMパスワードが変更された場合、回復パスワードも変更されるのではないかと考え始めました。その場合、その新しい回復パスワードをADにアップロードする必要がありますが、MSのドキュメントではそのことが明確にされておらず、グループポリシーで新しい回復キー（存在する場合）が自動的にADにバックアップされません。ネットワークの観点から、ADにアクセスできる必要があります。

8 bitlocker  tpm 

Hyper-V仮想マシン内からアクセス可能なiSCSI LUNに静止暗号化を適用する必要があります。 SAN上のLUNにiSCSIアクセスできるHyper-V仮想サーバーでWindows Server 2012を使用して、BitLockerを使用する実用的なソリューションを実装しています。私たちは正常に定義される「フロッピーディスク鍵記憶」ハックを使用してこれを行うことができたこの記事。しかし、この方法は私には「気さく」に思えます。 私の継続的な調査で、Amazon Corporate ITチームが「フロッピーディスクハック」なしで、よりエレガントなソリューションで私が探していたものを正確に概説するホワイトペーパーを公開していることを知りました。このホワイトペーパーの7ページで、BitLockerキーを安全に管理するためにWindows DPAPI暗号化キー管理を実装したと述べています。これはまさに私がやろうとしていることですが、これを行うにはスクリプトを作成する必要があると彼らは述べましたが、スクリプトやスクリプトの作成方法に関するポインタさえ提供していません。 「サーバーのマシンアカウントのDPAPIキーで保護されたサービスとキーストアファイルに関連するスクリプト」（ホワイトペーパーに記載されているとおり）を作成してBitLockerボリュームを管理および自動ロック解除する方法の詳細はありますか？任意のアドバイスをいただければ幸いです。 ---編集1 --- 以下のエヴァンの応答に基づいて、これは私が理解したことですが、私はまだ行き詰まっています。 PsExecを使用して次のコマンドを実行し、PowerShellがSystemアカウントで実行されており、Evanが述べたように「マシンアカウントのパスワードで文字列を暗号化」すると想定しています。これは正しいです？ PsExec.exe -i -s Powershell.exe 次に、PS内から（この投稿を参照として使用して）、次のコマンドを実行してSecureStringパスワードを生成します。 ConvertTo-SecureString -String "MyBitLockerPassword" -AsPlainText –Force | ConvertFrom-SecureString | Out-File C:\securestring.txt これにより、 "01000000d08c…"（合計524文字）の形式で安全な文字列を含むファイルが得られます。次に、起動時に実行するスケジュールタスクを作成して、次を使用してパスワードを（Se​​cureStringとして）ロードし、それをUnlock-BitLockerコマンドに渡します。 $SecureBitLockerPassword = Get-Content C:\securestring.txt | ConvertTo-SecureString Unlock-BitLocker -MountPoint "E:" -Password $ SecureBitLockerPassword ただし、暗号化されたパスワードをファイルとしてハードドライブに保存するだけの場合、パスワードの暗号化と復号化の意味は何ですか？これは、パスワードをプレーンテキストで保存し、以下を使用する（セキュリティで保護された文字列ファイルを作成する必要がない）場合と同じくらい安全ではないでしょうか。 $SecureString = ConvertTo-SecureString " MyBitLockerPassword " …

8 amazon-ec2  windows-server-2012  iscsi  disk-encryption  bitlocker