これは、WindowsServerが提供する新機能の1つです 2008 Windows Vistaでも利用可能, ハードドライブを暗号化して、あらゆる種類のデータを削除できないようにする可能性, すべて暗号化されています. このキーは、USBペンドライブなどのUSBデバイスに保存することも、フロッピーディスクに直接保存することもできます, これがなければ, コンピュータはディスクを再起動または復号化できません. 彼らがデータを抽出したり、Windowsのパスワードを破ったりするために、何らかのツールのLiveCDから私たちのコンピュータを起動するときの典型的なこと. アメリカに行ってノートパソコンを税関に持ち帰られた場合に最適です, 彼, 彼らが間違いなくあなたにパスワードを尋ねたとしても、または… 彼らはゴム手袋を取り出します ;), しかし、原則として、暗号化されているためアクセスできなかった情報です.

必要に応じて、トラステッド・プラットフォーム・モジュールを使用します (TPMの) データ保護の強化. ただし、互換性のあるTPMモジュールがないコンピューターでも使用できます, こっちと, ボリュームの暗号化は提供されますが、プリブート ファイルの整合性検証のセキュリティは追加されません. やめてください, 起動時にユーザーの身元を確認するために、USBドライブまたはディスケットを使用します. 要は:

TPMには2つの方法があります: 1, TPMのみ: これはユーザーに対して透過的であり、ログインモードは変更されません. しかし, TPM が見つからないか、変更されている場合, BitLocker は回復モードに入り、データに再度アクセスするためのパスワードまたは回復キーを持ちます. そして2つ, で スタートアップキー: ユーザーがコンピューターにログオンするには、ログインキーが必要です. このキーは物理キーにすることができます (USBフラッシュドライブで、コンピューターの読み取り可能なキー付き) または個人的な (キーセット×ユーザー).

TPMなし: (このドキュメントの例になります) それは通過します USBフラッシュドライブキー. ユーザーは、アクティブ化する前に USB ドライブをコンピューターに挿入します, ペンドライブの鍵, 機器のロックを解除します.

まぁ, 開始, BitLocket または BitLocker ドライブ暗号化を使用してディスクを暗号化するには, 最初です, オペレーティングシステムをインストールする前に、ディスクをパーティション分割する必要があるということです, ディスクには2つのパーティションが必要なため. 最初のパーティション (システムボリューム), 暗号化されていないスペースにログイン情報がある. 2 番目のパーティション (オペレーティング システムのボリューム) 暗号化されており、暗号化するユーザーとオペレーティングシステムのデータが含まれています. したがって、Windows Serverをインストールする前に、これらのパーティションを作成する必要があります 2008 o Windows Vistaの.

コンピュータの電源を入れ、Windows CD を挿入します, その中でインストールウィザードを起動します, “次”,

クリック “機器の修理”,

“次”,

押した “コマンドプロンプト” コマンドラインから両方のパーティションを作成するため、.

悪くありません, 2つのパーティションを作成する必要があります, 1つ目は最小1.5Gbで、2つ目はディスク上の残りのスペースです, Windowsがインストールされ、データが暗号化されている場所であるためです. DOSコンソールから, 走る “ディスクパーツ” Microsoftパーティションユーティリティに入るには. パーティション分割するハードドライブを選択します, 1つしかない場合, 書く “ディスク 0 を選択” > “綺麗” > “パーティションのプライマリ サイズの作成 = 1500” > “文字=Sを割り当てる” > “能動” > “パーティションプライマリの作成” > “文字=Cを割り当てる” > “リストボリューム”. こっちと, BitLockerに必要な1.5Gbのパーティションを作成し、Cパーティションを作成します: Windowsをインストールする場所, 確認してみて、 “出口” DiskPart の,

ここで行う必要があるのは、両方のパーティションをNTFS形式でフォーマットすることです, こちらは:
“フォーマットC: /y /q /fs:NTFSの” そして “フォーマット S: /y /q /fs:NTFSの”

私たちはDOSから次のように出てきました “出口”,

目, 次に、クリックしてシステム回復オプションを終了する必要があります。 “X” SOのインストールを続行できるようにする😉ウィンドウの。.

通常のウィザードに従って機器をインストールします, だから私たちはクリックします “今すぐインストール”,

Diskpartから作成したパーティションが出てくるので、Windowsをインストールする大きなパーティションを選択します 2008 o Windows Vistaの, “次” そして、Windowsインストールウィザード全体を続行します, インストールが完了したら、ドキュメントを続行します.

わかりました, Windowsのインストール後, BitLockerをアクティブにしましょう, しかし、その前に, インストールする必要があります, Windowsの新機能であるため, を開きます “サーバー管理者” そして、私たちはそうするつもりです “特性” > “フィーチャの追加”,

印 “BitLocker ドライブ暗号化” & “次”,

わかりました, クリック “取り付ける” インストールするには…

…

悪くありません, インストールしたばかりのものを有効にするには、コンピューターを再起動する必要があります, だから私たちはクリックします “閉める”,

そして、私たちは今、または可能な限り再起動します,

再起動したら, BitLocker インストール ウィザードが表示され、インストールが適切であったことを確認できます. “閉める”,

まぁ, 今、それをアクティブにすることは残っています, こちらは, 私たちは行きます “Panel de Control(パネル・ド・コントロール)” そして、そこに彼を迎え入れる “安全”, クリック “BitLocker ドライブ暗号化”,

これは、私たちのコンピューターにTPMをサポートするマイクロチップがないことを示しています, そのため、USBデバイスまたはフロッピーディスクでキー暗号化を使用するしかありません. ウム.

まぁ, TPM互換チップなしでBitLockerを使用できるようにします, これは、たとえば、コンピューターのローカルポリシーを編集することによって行うことができます, こちらは: “開始” > “実行する” > “gpedit.mscの” & “受け入れる”.

私たちは、 “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “BitLocker ドライブ暗号化”. そして、ディレクティブを変更しました “コントロールパネルの設定: 高度なスタートアップ オプションを有効にする”.

有効にしてマークします “サポートされている TPM なしで BitLocker を許可する”, だけでなく、 “TPM スタートアップ キー オプションの構成” そして “TPM 開始 PIN オプションの構成” 宛先 “ユーザーに作成またはスキップを許可する” 私たちが興味を持っているかどうか. もちろんです, 編集しているこのGPO, また、ネットワーク内のすべてのコンピューターに Active Directory レベルで変更することもできます.

一度変更した場合, MMC を閉じ、ポリシーを次のように更新します。 “gpupdate /force”,

準備ができたら, に戻ると、 “Panel de Control(パネル・ド・コントロール)” > “BitLocker ドライブ暗号化” BitLockerをアクティブ化すると、すでにBitLockerを使用できるようになります “BitLocker を有効にする”,

クリックします “BitLocker ドライブ暗号化を続行する”,

ダイヤルしてUSBデバイスにスタートアップキーを保存します “すべての起動でUSBブートキーが必要”,

リムーバブルUSBメモリをコンピューターに挿入し、を押します “セーブ”,

このほかにも, リカバリパスワードを同じUSBデバイスに保存できます, ネットワークフォルダ内または直接印刷します, これは、コンピュータの起動をブロックした場合のためです. 私の場合、私は得点します “パスワードをUSBドライブに保存する”,

以前よりもIDEM, ペンドライブの紹介 & “セーブ”,

保存したら、をクリックします “次”,

また、ディスクのボリュームまたはパーティションをすでに暗号化できます, マーキング “BitLocker システム チェックを実行する” & “続ける”. 私の場合、DOSで利用可能なコマンドが表示されるため、GUIでは行いません.

この場合、パスワードをフロッピーディスクに保存するためにUSBデバイスの代わりにパスワードを保存します, したがって、このスクリプトを使用して、キーをフロッピーに保存することにより、ディスクの暗号化をアクティブにして開始します. “cscript C:WindowsSystem32manage-bde.wsf -C: -ハードアンサー -SK A:” (-オンは、暗号化するユニットを示します; -RP は、数字キーと -sk を使用してキーの宛先を示すように指示します),

コマンドが実行されると、フロッピーディスクにキーが保存されます, 次に、回復パスワードを書き留める必要があります (私たちに見せてくれるもの) スタートアップキーを紛失した場合に必要な場合に備えて、そこにあります. ハードウェアテストを実行するには、コンピューターを再起動する必要があります,

コンピューターの再起動後, スクリプトを実行すると、: “cscript C:WindowsSystem32manage-bde.wsf -status” BitLocker暗号化のステータスを確認できるようになります, この場合、ディスクはまだ暗号化されていないことがわかります, それは、 47%, 私たちは彼に仕上げる時間を与えます…

わかりました, 用意, AES 128bitでディスクを暗号化しました!

ディスクマネージャーから確認することもできます, は、それが “BitLocker 暗号化”,

また、興味がある場合はいつでもBitLockerを無効にすることもできます, から “Panel de Control(パネル・ド・コントロール)” またはコマンドラインで: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

または、両方のキーを複製することもできます, 回復パスワードまたはスタートアップ キー.

まぁ, ディスクが暗号化されると, 起動すると、スタートアップキー、USBデバイス、またはフロッピーディスクにあるスタートアップキーをどのように要求するかを確認できます, 挿入しておけばそれです, 開始できるようになります.

わかりました,

Linuxディストリビューションを見ると, NTFSパーティションは読み取れないため、自動的にマウントされなくなります,

または、手動で組み立てようとする場合, それがどのように失敗するかを見ていきます (この例では、ディスクDをマウントするとどのようになるかを確認できます: そうです, しかし、C: いいえ, 暗号化されているので).

この手順は、仮想マシン環境で完全にサポートされています, 仮想マシンの仮想ハードディスクを暗号化する場合, VMware、XenServer、Hyper-V環境のいずれであっても.