BitLockerの回復キーをADでバックアップを取るには
昨日、BitLockerの記事を書きました。
テキストファイルでBitLockerの回復キーをバックアップする記事です。
テキストにしなくてもADサーバがあればADにバックアップが取れるので記事化しました。
前回までのあらすじ
妄想ですけど、
退職者のパソコンを立ち上げたらBitLockerの回復キーを入力する画面が出てきたことがあります。退職者は問題社員というやつで、揉めて辞めてるので聞くにも聞けず、どうにもならなくなりました、妄想ですけど。
BitLockerの回復キーはMicrosoft365アカウントに紐づいていクラウドに保存されてたりするんですけどMicrosoft365アカウントは削除されていて、回復キーは見つかりませんでした。
そんなとき「回復キーをもっと原始的な方法で保存しておけばよかった」と思いました。妄想ですけど。
BitLockerの回復キーをADにバックアップしたいときのためのメモ
次のコードを実行してレジストリを書き換えればADにキーが保存されるようになります。グループポリシーでもできるんですけど、キッティングのときに一度走らせておくだけなのでバッチにしてみました。
# AD にオペレーティング システム ドライブの BitLocker 回復情報を保存する
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "OSActiveDirectoryBackup" -Value 1 -Type DWORD -Force
# 回復パスワードとキー パッケージを保存する
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "OSActiveDirectoryInfoToStore" -Value 1 -Type DWORD -Force
# AD にオペレーティング システム ドライブの回復情報が格納されるまで BitLocker を有効にしない
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "OSRequireActiveDirectoryBackup" -Value 1 -Type DWORD -Force
# AD への BitLocker バックアップが必要
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "RequireActiveDirectoryBackup" -Value 1 -Type DWORD -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "ActiveDirectoryInfoToStore" -Value 1 -Type DWORD -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "ActiveDirectoryBackup" -Value 1 -Type DWORD -Force
# データ回復エージェントを使用する
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "OSManageDRA" -Value 1 -Type DWORD -Force
# BitLockerの回復画面を隠すための設定です。1で有効
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "OSHideRecoveryPage" -Value 1 -Type DWORD -Force
# BitLockerの回復機能を有効にするかどうかを設定します。1で有効
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "OSRecovery" -Value 1 -Type DWORD -Force
# 回復キーをActive Directoryに保存するように設定
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "OSRecoveryKey" -Value 2 -Type DWORD -Force
# 回復パスワードをActive Directoryに保存するように設定
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name "OSRecoveryPassword" -Value 2 -Type DWORD -Force
そのほかのメモ
Cドライブを暗号化する
manage-bde -on C: -RecoveryPassword -SkipHardwareTest
オプションの-RecoveryPasswordはパスワードで解除する
-SkipHardwareTestはハードテストをスキップする
逆に暗号化を解除するには
manage-bde -off C:
自分の好きな数字を回復キーに追加する
manage-bde -protectors -add c: -rp 001111-002222-003333-004444-005555-006666-007777-008888
6個の数字はそれぞれ11の倍数のみの謎仕様
回復キーを抽出する
manage-bde -protectors -get C:
#PowerShell #コマンドレット #BitLocker #回復キー #バックアップ #ADサーバ #ActiveDirectory #プログラミング学習 #プログラミング初心者