BitLockerを有効にした環境での運用上の注意点
BitLockerを有効にした環境での運用上の注意点です。
以降、起動環境の表記は下記と定義します。
・WinPE/WinRE … Windows PEまたはREベースの起動環境
・AIPBE … Linuxベースの起動環境
弊社製品のBitLockerのバックアップにおける注意点は、下記のナレッジに掲載しています。
BitLocker-のバックアップについて
上記の一部に復元の注意も含まれますが、復元後のBitLocker側の挙動も踏まえた運用において主な注意点は以下です。
・BitLocker有効時は、ディスクバックアップ、ディスク復元を行う
・起動環境はWinPE/REを使用する
・BitLockerが有効になっていると、起動環境での対象ボリュームはBitLockerによりドライブがロックされており参照できないが、WinPE/REで起動した場合、ドライブのロックを解除すれば参照可能。BitLockerを有効化したデータドライブにバックアップファイルを保存している場合、ドライブのロック解除は必須
・BitLockerで暗号化したオンラインバックアップのシステムディスク復元後には、BitLockerは解除される。データドライブをBitLockerで暗号化しているとドライブロックされるが、BitLockerの管理からドライブロックの解除などを実行し復旧できる。
・BitLockerで暗号化されたオフラインバックアップは、復元した後もBitLockerで暗号化した情報を保持する。
・BitLockerで暗号化されたオフラインバックアップは、ディスク復元以外の機能の利用は不可。仮想化、HyperRecovery、HyperStandbyといった、復元先でシステムを起動するために必要な作業が発生するような機能は正常動作しません。
・オンラインバックアップのファイル復元は可能。BitLockerで暗号化されたオフラインバックアップから、ファイル復元は不可
上記を踏まえ、下記の章立てで運用上の操作や注意点等を説明します。
1)BitLocker有効、Windowsのオンライン(ホット)バックアップと復元
2)BitLocker有効、Windowsのオフライン(コールド)バックアップと復元
3)バックアップ保存先がBitLockerで暗号化
4)BitLocker有効、データドライブのオンラインバックアップと復元
5)注意
*****
1)BitLocker有効、Windowsのオンライン(ホット)バックアップと復元
ボリュームバックアップ
BitLocker有効時はActiveImage Protectorではディスクバックアップ(Disk0等、システムを含むディスクを選択してバックアップ)を行います。
バックアップはスマートセクターで取得されますので、バックアップファイルサイズはBitLockerで暗号化していないボリュームとほぼ同じです。
取得したバックアップをシステム丸ごと復元すると、BitLockerの暗号化は解除され、暗号化設定時の回復キーは使用できなくなります。再度BitLockerで暗号化したい場合は、BitLocker管理画面から暗号化を行って下さい。
ボリューム復元
元の環境がBitLocker有効となっていると、起動環境では不明なボリュームとなっており、暗号化されているボリュームのみをボリューム復元するとエラーが発生し失敗します。これは、bitlockerが対象ボリュームをロックしていてファイルシステムを正しく認識できないためです。下記はCドライブをBitLockerで暗号化した環境をWinPEで起動した直後の画面です。
また、BitLocker有効化でのWinPE/REボリューム復元(上記C:ドライブへ上書き復元)を行った場合のエラーログの抜粋は以下の通りです。
ログ:
…
11/07/2024 05:54:18.715 Restore_WriteVolume: WriteFile(310,8388608 ,8388608,) error(-2144272384)
11/07/2024 05:54:18.715 ##### Pipe line encounter ERROR: 105, last error code:2150694912, 128 Level = ERROR[0]
…
11/07/2024 05:54:18.721 {IDS_STRING3018}Exit Code: -701
Microsoft エラー ルックアップ ツールによるcode: 2150694912について:
https://learn.microsoft.com/ja-jp/windows/win32/debug/system-error-code-lookup-tool
>Err_6.4.5.exe 2150694912
# for decimal -2144272384 / hex 0x80310000\
FVE_E_LOCKED_VOLUME winerror.h
# This drive is locked by BitLocker Drive Encryption. You
…
上記の為、ボリューム復元ではディスクを選択し復元してください。ディスク復元の場合、復元先のBitLockerの暗号化有無に依存せず復元可能です。
ディスク復元のご参考:
チュートリアル動画のシステム復元 –Windows編-
ディスク復元はAIPBEでも可能ですが、以下の理由から推奨しません。
・理由
- Hyper-Vゲストを使用し別環境にリストアする場合、AIPBEでは、セキュアブートを有効にして起動環境を起動するにはテンプレートとして「Microsoft UEFI証明機関」が必要ですが、Hyper-Vゲストからは復元した後にセキュアブートの設定を変更できないので、事前にセキュアブートを無効にしておく必要があります。WinPE/WinREであればセキュアブートを有効にし、テンプレートを「Microsoft Windows」のまま全ての作業ができるので、煩雑な作業が不要になります。
- 起動環境でBitLockerのロック解除が行えません。
- BitLockerを有効にしたオフラインバックアップでは、ファイルシステムが不明となるため、復元することができません。
*ActiveImage-Protector-エラーコード -231、AIPBEはBitlockerのボリュームに対し、対象のパーティションの設定ができない。
ActiveImage-Protector-エラーコード - 保存先にBitLockerが設定されていると、保存先が参照できません。Windows上で事前に無効化が必要です。
ファイル復元
Bitlockerの有効無効に限らず、オンラインバックアップファイルからファイル復元を行うことは可能です。
2) BitLocker有効、Windowsのオフライン(コールド)バックアップと復元
オフラインバックアップはWinPE/WinREのみ行えます。
バックアップのファイルサイズの目安は以下の通りです。暗号化されたボリュームのデータの圧縮はほぼ効かず、オンラインバックアップよりもファイルサイズは大きくなります。
同ディスク内に暗号化されていないデータボリュームがある場合、そのボリュームは圧縮が効きます。
・BitLockerの暗号化時に使用済みのみ暗号化している場合、バックアップファイルのサイズはデータ使用量とほぼ同じ
・BitLockerの暗号化時にドライブ全体で暗号化している場合、バックアップファイルのサイズはディスクサイズとほぼ同じ
また、復元もWinPE/WinREのみで行えます。暗号化は保持されますが、別コンピューターに復元した場合、Windows起動時にBitLocker回復の画面が表示されます。暗号化設定時の回復キーを入力して起動することができます。
Windowsの再起動で毎回回復キーを求められてしまう場合、Windows起動後、BitLockerの管理画面で、Cドライブ(システムの暗号化ドライブ)に対して 保護の中断 → 保護の再開 と操作してください。
以降のWindows再起動では表示されなくなります。もしも解決しない場合は、BitLockerの無効化およびBitLockerの有効化を行い、Bitlockerの暗号化をし直してください。
ファイル復元
BitLockerで暗号化されたオフラインバックアップファイルの対象となるボリュームは不明なファイルシステムとなります。そのためデータを参照できず、ファイル復元は行えません。
BitLockerで暗号化されていないボリュームについては、ファイル復元が可能です。
3) バックアップ保存先がBitLockerで暗号化
バックアップ保存先のデータドライブをBitLockerで暗号化している場合、オンラインバックアップは、保存先を参照してバックアップ保存先として利用することができます。
*AIPBEでは、BitLockerで暗号化されボリュームを参照できないので、使用する場合は事前にBitLockerの無効化が必要です。
ボリュームE:またはF:をバックアップ保存先とし、バックアップを取得したとします。
WinPE/REで起動します。
C,D,EはBitLockerで暗号化した状態でWinPE/RE起動後、ダッシュボードのディスク情報は下記になります。
FileExplorerを見ると、Bitlockerで暗号化されたD:やE:はドライブレターのみ参照可能ですが、その配下のデータは参照できません。
参照するためには、BitLockerのドライブのロック解除を行います。
ドライブのロック解除手順:
- WinPE/WinREで起動します。
- ダッシュボードを参照して、どのドライブが暗号化されているかを確認します。
*ディスクの順番やドライブレターはWindows上と異なる場合があります。その場合はディスクサイズ等で判別してください。暗号化されているボリュームのファイルシステムは不明となっています。上記例ではD:とE:となります。 - [ユーティリティ] > [コマンドプロンプト起動]でコマンドプロンプトを起動します。
BitLockerのコマンド”manage-bde -unlock”を使用してロックを解除します。
>manage-bde –unlock <ドライブレター> -password
このボリュームをロック解除するためのパスワードを入力します:<パスワード>
*BitLockerで暗号化する際、「パスワードを使用してドライブのロックを解除」を選択した場合のみ使用可能です。
または、
>manage-bde –unlock <ドライブレター> -recoverykey <暗号化時に保存された回復キー>
コマンドの詳細
ドライブのロックを解除すると、対象のボリューム内のイメージを参照できるようになり、復元が可能になります。オフラインバックアップ時も、上記操作後、バックアップ保存先として利用することが可能になります。
D:ドライブのロック解除後、FileExplorerでD:内のデータが参照可能となる。
4)BitLocker有効、データドライブのオンラインバックアップと復元
BitLocker有効化を行ったデータドライブのバックアップを行った場合、オンラインバックアップについては、Windows上のAIPを使用して、対象のボリュームを上書きでボリューム復元すると、データは正常に戻り、BitLocker有効も保持されます。
データドライブのオンラインバックアップファイルからディスク復元を行うと、データは正常に戻りますがBitLockerが無効化になるので、BitLockerの管理画面から再度有効化が必要です。また、Windows再起動後に、ディスクの管理でファイルシステムがUnknownと表示されるボリュームは、後述の5)注意の方法1.または方法2.の対応が必要です。
ファイル復元については、オフラインファイルは不可ですが、オンラインファイルは可能です。
5)注意
オンラインのシステムイメージを復元した場合、BitLockerが無効の状態で復元されるため、復元したディスク以外のBitLocker暗号化を行ったデータドライブは、ディスクの管理画面を開くと、対象のボリュームはUnknownとなっており、ドライブがロックされている状況になっています。
対象となるE:ドライブとF:ドライブはBitLockerで暗号化済みでUnknownボリュームとなっている
解除するには、BitLockerの管理画面を開いて、「ドライブのロックを解除」を選択します。パスワードまたは回復キーを求められるので入力しドライブのロックを解除します。
この操作でロックは解除され、ディスクの管理画面は下記のようになりデータの参照が可能になりますが、Windowsを再起動すると状況がロック解除前の状況に戻ってしまいます。
自動ロック解除の有効化を行おうとすると下記のようなエラーが発生します。
BitLocker管理画面より、以下のいずれかを操作することで解決可能です。
方法1.データドライブのBitLocker暗号化を保持する場合
- システム(Cドライブ)のBitLockerを有効にする
- システムのBitLockerの有効化後、各データドライブのドライブのロックを解除する
- 各データドライブの「自動ロック解除の有効化」をクリックし、データの自動ロック解除を有効にする
方法2.データドライブのBitLocker暗号化を保持しなくて良い場合
- 各データドライブのドライブのロックを解除する
- 各データドライブの「BitLockerを無効にする」でBitLockerを無効化する
テスト環境
Windows 10 22H2 (10.0.19044)
ActiveImage Protector 7.0.3.8919+アップデートパッチ 24.7.31.2
(パッチ適用後)
製品バージョン :7.0.3.8919
エージェントバージョン:7.1.0.9188
コンソールバージョン :7.1.0.9188
Support T.
