【2021年2月改訂版~最も厄介な障害】WinUp後BitLockerが勝手に有効になりログインできなくなるケースの原因と防止策【2021/2/21】

この記事を読むのに必要な時間は約 47 分です。

2021/7/15

今年の3月ぐらいからこの記事のアクセスが増えていたのですが、原因らしきものが見つかりましたので追記しておきます。

どうもPCR7バインドの問題のようで、2021年1月提供のKB4535680のバグらしいです。

後ほど単体で記事化しますが、それまでは下記のページを参照してくださいね。

この記事について

この記事の内容

・利用していないビットロッカーの回復キーを求められる不具合の対応

・実際にビットロッカーを利用していて(頻繁に)回復キーを求められる場合の対応

・ログイン時に正しいパスワードが弾かれてしまう場合の対応

 

この記事は、「【最も厄介な障害】WinUp後BitLockerが勝手に有効になりログインできなくなるケースの原因と防止策【考察】」など、【お知らせ】【WinUp個別】Bitlocker関連過去記事リンク【2018/10/13】で紹介している記事の内容が古くなってきていたり、新たに判明していることがある、追加の連続でまとまりが無くなっているなどのことから「2020年10月版」として整理しリライトし、最新情報を追加したものです。

なお、この記事ではOSの動作異常と正常ではあるが困ってしまうケース、言ってしまえば「身に覚えがないのにも関わらず、突然回復キーを求められる」という場合について主に取り扱いますが、実際にビットロッカーを利用しているケースでの問題対処も掲載しています。

また、記事中の発生原因の考察では、MSが公式に認めているものの他に「表面上の動作から私が推定している事柄」が含まれています。

ビットローカー問題以外でよく知られている、PINやパスワードがどう考えても正しいのにはじかれてしまう事態の対応策にもなりますので、できれば対策を施しておくことをおすすめします。

この記事が、.あなたのお役に立てば倖いです。

 

注:この記事内では直接的なレジストリの編集などは取り扱っていません。展開ツールの利用などまで視野に入れている場合は、後段の「システム管理者の方へ」を御覧ください。

 

対象 内容
キーワード Windows Update、不具合、パスワード、BitLocker、ビットロッカー
暗号化ドライブ、キー、ログインできない、TPM、セキュアブート機能
OS/ソフト Windows、10、8.1
対象読者 初級~上級者、ただし自己責任
最終更新日 2021/2/21…初版

更新履歴
2021/2/21…初版

 

 

ビットロッカーを実際に利用していない場合の不意の障害発生時の特徴

BitLocker 回復: 既知の問題

存在しない BitLocker 回復パスワードの入力を求める Windows 10 のプロンプト
Windows 10 では、BitLocker 回復パスワードの入力を求めるメッセージが表示されます。 ただし、BitLocker 回復パスワードは構成していません。

これをもう少し噛み砕くと次のようになります。

「あなたが実際にビットロッカー暗号化ドライブを構成していない(利用していない)で、予期せずビットロッカー回復キーを要求されるケースではドライブ自体の暗号化は構成されていません」ということです。

つまりこのケースでは、「Win OSにサインインすることはできないが、ファイルなどは暗号化されているわけではなく、通常に読み書きなどの操作が可能」ということです。

 

発生した場合の対処法

最初に

「ビットロッカーを実際に利用していて回復キーを求められ、正しい回復キーを入力しても駄目なケース」(かつ、実際にドライブが暗号化されている)に関しては、解除方法は全くと言ってよいほどありません。

1)キーボードの異常を疑い、ソフトウエアキーボードで入力してみる。

2)インストールディスクから起動して、システムの復元を試してみる。(できないことのほうが多い)

この二つでだめならばお手上げです…。

通常のパスワードがどうしても弾かれてしまう状態でも同様なのですが、ビットロッカーで暗号化されている場合にはファイルの操作が不可能ですから、バックアップなどがないと「全てを失う」ことになります。

個人的にはビットロッカーは利用しないで「BIOS/UEFIからHDDにロックをかける + ファイルはファイル金庫に保存する」という手段をお勧めします。

 

番外)繰り返し発生する場合の対処

自己責任となりますが以下の方法があるかと思います。(ちょっとしたきっかけで、PCの変更に関する累積点の制限が発動していると考えられるためです)

DISMとSFCの実行。

クリーンインストールして環境を再構築し、新たに認証をかける。

Windows10のプロダクトキーを削除してライセンス認証をリセットするコマンドを利用して現在のPC構成の状態で再認証をかけると改善する可能性があります。

 

OSをクリーンインストールし、環境やファイルをリストアする。

 

ビットロッカーを利用していないのに回復キーを求められた場合

1)システムの復元(またはOSのロールバック)を実行する。

2)コマンドラインからKBを削除してみる。

3)リストアする(1や2でダメなとき)

 

1)システムの復元(またはOSのロールバック)を実行する。
回復キーを求められるケースでは、Win回復環境やインストールメディアなどからcmdを起動し操作をします。

復元の失敗・終わらないなどの可能性も低くなりますので、手順として推奨します。

参考
Windows 10 のシステムの復元とは?やり方や終わらないときの対応策

回復ドライブを使用してシステムの復元を行う方法 ( Windows 10 )

Windows10 をインストールメディアで修復する方法

 

2)コマンドラインからKBを削除してみる。(自己責任)
システムの復元がうまく行かないケースや復元ポイントがないケースでは、(効果の程は不明ですが)次善の策として直前に導入したKBを削除してみることになります。

ぼくんちのTV別館のけんさんの記事が詳細でわかりやすいです。回復キーを求められるケースでは、Win回復環境やインストールメディアなどからcmdを起動し、操作をします。

DISMを使ってWindows10 の更新プログラムを削除する方法

 

3)リストアする(1や2でダメなとき)
OSをクリーンインストールし、アプリ(ソフト)やファイルなどをリストアします。

 

重要な注意:復元ポイントがない(なくなってしまう)ケースについて

メジャーアップデート後の場合は復元ポイントというよりも、以前のVer.に戻すという形になり、戻すまではVer.アップ前の復元ポイントを利用することはできません。

厄介なことにメジャーアップデートではない場合にも、本来あるはずの復元ポイントがない状態になることがあるんです…。

せっかく事前に(明示的に)手動で復元ポイントを作成しておいても戻すべき復元ポイントが一つもないということが起こります。

これはよく知られている「Win標準のイメージバックアップが(ファイル自体は存在しているのに)リストアができない」ケースと同様の事態と考えられます。

PC構成(パーティション構成なども含む)が、一定以上に変更されたとOSが判断すると復元ポイントも利用することができなくなるようです。

ビットロッカー・OS認証・復元ポイント・Win標準のイメージバックアップなどで判定基準が全く同じというわけではありませんから、同時に発生することは少ないかと思います。

ところが(間違いなく)PC構成が変更されたとOSが判断し、回復キーを求めてしまう誤動作が発生する場合は、PC構成が変更されたとOSが判断した状態(一定以上の点数が累積される状態)になっていますので「同時に復元ポイントの方も利用できなくなる」ケースが出てきてしまうようです。

そうなった場合はcmdからKBを削除してみる、それでもだめな場合は必要ファイルをレスキューしてOS再インストール後に戻すということになります。

となると、きちんとしたバックアップソフトで増分/差分などの形でPCのバックアップを取得するようにしていたほうが良いことになるのは明白です。

普段は一週間ごとなどタスクで取得しておけば、WinUp前の手動での増分/差分の取得はものの数分のことです。

この機会に習慣にすると良いかもしれませんね。

ビットロッカーを実際に利用していて不意に回復キーを要求された場合

このケースの場合は、「PCのハードウエア構成が変更された」とOSが判断してしまった場合が主になるような気がします。(詳細はもう少し後ろの「発生する原因⇒原因の根っこになる二つのOS動作⇒1)クリーンインストール後のビットロッカーは「いわば半落ち状態」であること。・2)WinのセキュリティーとOS認証の仕組みのこと。で書きます)

業者さんのページ(MSページよりわかりやすいです)
近年問い合わせの多いBitLocker トラブル時に回復はできるのか?

ハードウェア構成が変更されると回復キーが必要
BitLockerは、ハードウェア構成が変更されたことを検知した場合、回復キーの入力が必要となります。USBメモリーを挿した場合やモニターがPC本体から分離できるようなPCを使用している場合、頻繁に回復キーの入力が求められる可能性があります。

このケースでは、正しい回復キーを入力する以外の手段はありません。

手元に回復キーを印刷したものやUSB フラッシュドライブを利用した場合など手元にある場合はそのキーを利用示す。

なくしてしまった・作った記憶がないなどの場合は、Windows 10 での BitLocker 回復キーの検索を参考にMicrosoft アカウントに保存されていないか・システム管理者が持っていないかなど確認することになります。

なお、回復ができましたら「一旦ビットロッカー暗号化を解除 再度暗号化して回復キーなどの取得」をしておくと良いでしょう。

「PCのハードウエア構成が変更されたと判断するベースのハードウエア構成が現在のものに刷新されること」で、なにかの拍子に「繰り返し回復キーを求められる事態」を緩和・回避できる可能性があります。

それでも繰り返したり、実際に頻繁にPC構成を変更しているわけでもないのに回復キーを求められる場合は、DISMとSFCを実行してみます。これで改善しない場合は、OSをクリーンインストールして環境をリストアすることになります。

 

ビットロッカーに関するMS公式ページ

ほかにもページがあるとは思いますが、いくつかお知らせしておきます。公式ページでも「存在しない BitLocker 回復パスワードの入力を求められる場合」が発生すること自体は認めています。

なお、システム管理者の方などで、紹介したページのリンクをたどっても情報が見当たらない場合は「US公式サポートサイト(とブログ)」を参照してみることをお勧めします。

私がMSコミュニティーのWinカテゴリーのコミュニティーモデレーターをしていたときに、ファイル消失問題の原因が高速スタートアップだと言う意見を言った際には、当初MSサイドや一部モデレーターからかなりMS批判をするなというような圧力を受けました。

後に認められたのですが、実は「Win8からのLFS1.1と2.0の自動アップダウンに伴うファイル消失問題」に関して、プレビュー版の時点からUSサイトには情報があったのです。

ビットロッカーに関することでも、同じようにUSサイトには情報がある可能性も低くはないと思います。検索さえ英単語で行えば、(結果は)機械翻訳でもなんとかなりますので必要であればUSサイトで検索してみてくださいね。

もしよい情報が見つかった場合など、コメント欄で教えていただけると倖いです。

 

BitLocker 回復: 既知の問題

存在しない BitLocker 回復パスワードの入力を求める Windows 10 のプロンプト
Windows 10 では、BitLocker 回復パスワードの入力を求めるメッセージが表示されます。 ただし、BitLocker 回復パスワードは構成していません。

 

Windows 10 クライアントのトラブルシューティング

BitLocker のトラブルシューティング
BitLocker のトラブルシューティングのガイドライン
BitLocker がドライブを暗号化できない: 既知の問題
Intune を使用した BitLocker ポリシーの適用: 既知の問題
BitLocker ネットワーク ロック解除: 既知の問題
BitLocker 回復: 既知の問題
BitLocker 構成: 既知の問題
BitLocker がドライブを暗号化できない: 既知の TPM の問題
BitLocker と TPM: その他の既知の問題
メジャー ブート ログをデコードして PCR の変更を追跡する
BitLocker に関してよく寄せられる質問 (FAQ)

 

Windows 10 での BitLocker 回復キーの検索

BitLocker 回復キーの入力を求めるメッセージが表示された場合は、次の情報を参照すると、回復キーを見つけて、キーの入力が求められる理由を理解するのに役立つ可能性があります。

BitLocker 回復キーはどこで見つけることができますか?
BitLocker は、保護を有効にする前に、回復キーが安全にバックアップされていることを確認します。 BitLocker のアクティブ化の際に行われた選択に応じて、回復キーが存在する可能性がある場所がいくつかあります。

Microsoft アカウントの場合:別のデバイスでmicrosoft アカウントにサインインして、回復キーを見つけます。

デバイスの自動暗号化をサポートする最新のデバイスがある場合は、その回復キーが Microsoft アカウントに含まれている可能性があります。 詳しくは、「Windows 10 でのデバイスの暗号化」をご覧ください。

デバイスがセットアップされている場合、または BitLocker 保護が別のユーザーによってアクティブ化された場合は、そのユーザーの Microsoft アカウントに回復キーが存在する可能性があります。

保存した印刷イメージ: 回復キーは、BitLocker のアクティブ化時に保存された印刷イメージにある場合があります。 コンピューターに関連する重要な書類を保管してある場所を探します。

USB フラッシュドライブの場合: USB フラッシュドライブをロックされた PC に接続し、指示に従います。 キーをテキスト ファイルとしてフラッシュ ドライブに保存した場合は、別のコンピューターを使ってテキスト ファイルの内容を確認します。

Azure Active Directory アカウントの場合: お使いのデバイスが職場または学校のメールアカウントを使用して組織にサインインしたことがある場合、回復キーは、デバイスに関連付けられたその組織のAZURE AD アカウント に保存されている可能性があります。 直接アクセスできる場合もあれば、回復キーにアクセスするためにシステム管理者に問い合わせる必要がある場合もあります。

システム管理者によって開催された場合: 使用しているデバイスがドメイン (通常は職場または学校のデバイス) に接続されている場合は、回復キーのシステム管理者に問い合わせてください。

BitLocker 回復キーとは
BitLocker 回復キーは、システム ドライブへのアクセスの試みが承認されていることを BitLocker が確認できない場合に、システムのロックを解除するために使用できる一意の 48 桁の数字のパスワードです。 このキーは、Microsoft アカウントに保存されているか、ファイルとして印刷または保存されているか、またはデバイスを管理している組織によって保存されている可能性があります。 このような場合の回復キーの要件は、BitLocker がお使いのデータに提供する保護の重要な要素です。

Windows が BitLocker 回復キーを要求するのはなぜですか?
BitLocker は、通常の Windows の使用や承認されていないアクセス試行のいずれかにかかわらず、ドライブを暗号化して、ロックを解除する前に認証の 1 つまたは複数の要素を要求することにより、不正なアクセスからデータを保護する Windows 暗号化テクノロジです。 Windows では、データに不正にアクセスしようとしている可能性のある安全でない状態が検出されると、BitLocker 回復キーが必要になります。 この追加手順は、データを安全にセキュリティで保護するための安全措置です。 ハードウェア、ファームウェア、またはソフトウェアの一部の変更によって、BitLocker が考えられる可能性のある攻撃と区別できない状態が示される場合があります。 このような場合、BitLocker は、ユーザーがデバイスの承認された所有者であっても、回復キーの追加のセキュリティを必要とする場合があります。 これは、ロックを解除しようとしているデバイスの承認されたユーザーであることを確認するためのものです。

BitLocker はデバイスでどのようにアクティブ化されましたか?
BitLocker でデバイスの保護を開始するには、次の 3 つの一般的な方法があります。

デバイスは、デバイスの暗号化を自動的に有効にするための要件を満たす先進デバイスです。 この場合、保護を有効にする前に、お客様の Microsoft アカウント に BitLocker 回復キーが自動的に保存されます。

設定アプリまたはコントロールパネルを通じて、デバイスの所有者または管理者が、BitLocker 保護 (一部のデバイスではデバイス暗号化とも呼ばれます) を有効にしました。 この場合、BitLocker をアクティブ化するユーザーは、キーの保存場所 (デバイスの暗号化の場合) を選択して、自動的に Microsoft アカウントに保存されています。

デバイスで (現在または過去の) デバイスを管理している職場または学校の組織が、お使いのデバイスで BitLocker の保護を有効にしていること。 この場合、組織が BitLocker 回復キーを持っている可能性があります。

BitLocker は、デバイスへの完全な管理用アクセスを持つユーザー (ご自身、別のユーザー、またはデバイスを管理している組織のいずれか) によって、またはユーザーの代理でいつでもアクティブ化されます。 BitLocker のセットアップ プロセスでは、ライセンス認証時に回復キーの作成が強制されます。

必要な BitLocker 回復キーが見つからず、元の状態に戻すことができず、構成変更が必要になる場合は、いずれかの Windows 10 の回復オプションを使用してデバイスをリセットする必要があります。 デバイスをリセットすると、すべてのファイルが削除されます。

 

発生する原因

ここでは少し発生原因を考えてみたいと思います。お付き合いくださいね。

 

原因の根っこになる二つのOS動作

1)クリーンインストール後のビットロッカーは「いわば半落ち状態」であること。

2)WinのセキュリティーとOS認証の仕組みのこと。

 

1)クリーンインストール後のビットロッカーは「いわば半落ち状態」であること。

Win8.1/10では、OS 構成のデフォルト状態では、 BitLocker のサービスは有効になっています。ただし、トリガーがなければ停止中のままという状態です。 根っこの原因1はこのことになります。

BitLocker を構成すると状態は実行中になるのですが、何らかの原因でそれ以外のケースで実行中となると BitLocker の回復キーを求められることになります。また BitLocker を使っていない場合であっても、 PC の構成が変更されたと認識された場合に BitLocker の回復キーを求められるという現象が発生します。

後ほど予防方法のところで、サービスを無効にしてしまうという対策を書きますが、ご存知のように Windows 10のメジャーアップデートなどでは様々な設定やサービスがデフォルトに戻ってしまうということがあります。通常の Windows アップデートでも同じ現象が起こることがありますので、その度に毎回確認することになってしまいます。

 

2)WinのセキュリティーとOS認証の仕組みのこと。

Windows OS では、セキュリティーとOS認証の仕組みにおいて(一部)同一のプロコトルを利用しているのではないかと思われる節があります。

・パーツの交換による OS の再認証

・ PC 構成が変更されると Windows 標準のイメージバックアップのファイルが見えなくなり、リストアすることができなくなる(ハードの構成だけではなく、例えばパーティションの数や大きさなどもカウントされます)

・盗難などにより HDD や SSD などのストレージが異なる PC に接続さられた場合の ブロック

上記に関して、判定基準は多分同一のデータから必要分を取り出していると思われます。 PC のパーツ構成の変更、 PC のパーティションの変更 などが点数化され、一定の基準を上回ると OS の再認証が必要になったり、セキュリティ記述子のエラーが表示されイメージバックアップからのリストアができなくなる・復元ポイントが利用できなくなるなどのことが発生します。

BitLocker の回復キーを要求される場合において、高速スタートアップ有効状態や Intel や AMD のファーストブートが有効な状態であると毎回 PC の構成を精査しなくなっている状態から、

・Windows Update 後に高速スタートアップが有効ではない再起動をした際

・ メジャーアップデートによりクリーンインストールした場合のように PC 構成すべてをを OS が読み込み直した場合

・またパーツのドライバーを Windows Update からも導入するようにしていた場合などに新たにドライバーが入ったことで MS 汎用のドライバーが入った状態から固有の機器が特定される (逆に固有の機器が特定されていたものがMS汎用になってしまう場合もあります)

このようなケースで累積点数が一定基準を超えると( BitLocker を構成していないのにも関わらず誤った動作で) BitLocker 回復キーを要求されるという誤動作や実際にビットロッカーを利用していて不意に回復キーを求められる動作が起きてしまうのではないかと考えられます。

 


More:

認証などの仕組みについてもう少し詳しく見ていきます。

なお、セキュリティー上の観点もありMSから公式に見解は出ていませんので、「あくまで表面上の事象から逆引きで推定した事柄」になります。

基本的な仕組み

ちょうど運転免許の違反点数程度とおなじような仕組みと考えられます。

1)パーツの種類や行った操作(Winの機能以外でのパーティション操作・Winアップグレード時のOSによるパーティション追加などを含む)ごとに一定の点数が付けられている。

2-1)上記には点数の他に期限が設けられている。どうしてかというとHDD/SSDの追加やグラフィックボードの変更、またストレージやパーツの接続ポートの変更なども無期限に累積すると「何か一つの小さな変更」があるたびにセキュリティーのスイッチが入ってしまうようになるからです。

なお、点数?は3ヶ月程度でリセットされるものが多いのではないかというような挙動をしています。

2-2)一発免停や取り消しにあたる項目もある。例えば一発免停はM/Bの交換、免許取り消しはOS認証の上限回数などです。OS認証の上限回数(たぶん3ヶ月の間を置かずに10~20回の認証をかけるなど)を超えてしまうと毎回電話認証になります。

3)どのようなものが対象になるのかの詳細はわかっていません。グラフィックスカードを取り替えただけで認証が外れたり、OSの動作や認証には問題が発生していなくても「Win標準のイメージバックアップがリストアできなくなる」などのケースがあります。自分のPCの累積点数のようなものが「今何点になっているのか」が不明ですから、どうにもしようがないです…。

 

変更をカウントしていると推定されているものの例示

*M/Bの交換に関しては大概一発アウトなのですが、個別の変更個数が多くなるためではないかと考えられます。同メーカーの同一型番のM/Bで交換すると認証不可になる場合とならない場合がありますので、たぶん間違いないかと考えています。

M/B(チップセット)変更
HDD/SSDの交換や追加
パーティション構成の変更
パーティションサイズの変更
PCI接続機器の変更や追加
メモリの交換や追加
参加ドメインの変更
USBメモリ接続ポートの頻繁な変更
USBポート接続機器の頻繁な抜き差しや接続ポートの変更
管理者ユーザーの追加と削除
ビルトインadminに関する操作
…など

以下トリガーになりうるもの
PCの構成パーツのドライバがサポート外になり、更にWinUp時に自動例外登録が外れた
M/B上のTMPドライバの更新
チップセットドライバの更新
ユーザープロファイルの破損
システムファイルの破損
HDD/SSDのファーム更新

注:
・各パーツの接続ポートの変更もカウントしています。

重要
・例えばチップセットの一部構成部品がどういうわけか「MS汎用」となってしまうことがあります。これが、再認識された場合などもカウントされてしまう場合があるようです。(参考:【WinUP個別】WinUPとドライバの不正、【WinUp個別】WinUp時の注意事項など-2020/11改訂版【2020/10/18】中のWinUpによるドライバの不正化と重大障害の発生)

たぶん、このことがビットロッカーの回復キーを求められる問題に大きく関わってくると考えています。
特に高速スタートアップが有効ですと通常のシャットダウンから起動した場合にPC構成機器の確認動作が大幅に省略されています。

メジャーアップデートではない場合でも、WinUp後の再起動では機器が読み込み直される場合があるため「一気に変更として認識され、 基準点数超過とOSが誤認すること」があるのではないでしょうか。

そのことがトリガーとなり、ビットロッカーの「構成が不正に変更された場合などに回復キーを求める動作」が誤作動して回復キーを要求すると推定しています。(原因のなかの一つということです)

Win7はサポート外になりはしましたが、有料でのサポートが続いています。Win10/8.1の使用者であっても高速スタートアップの有効無効の別があります。(後方互換性の問題がある限り)LFSの自動Ver.アップダウンのこともありますので今しばらくはこの状況が続きます。

 

その他の考えられる原因/要因など

その他の原因としてはWinUpが関与する場合が多いかもしれません。特にメジャーアップデートの再などには初設定がデフォルトにリセットされるケースがありますし、TPM関連やビットロッカー関連の修正などが含まれているケースもありますので「それらが不具合発生のトリガーになる」ということはありそうです。

過去には、Windows 8.1 for x64-Based Systems 用更新プログラム(KB3084905)でTPM ロックアウト発生が予期せず Windows 8.1 または Windows RT 8.1という事例がありました。

また、回復キーを求められ、正しいキーを入れても弾かれるという現象自体も2014年ごろから直っていません。通常のパスワードの件を含めて、Win自体のどこかに「構造上弱いところがある」ということなのかもしれませんね。

参考:MSコミュの質問

Bitlockerの回復キー入力してもロック解除できずPCが起動できない

PCの起動スイッチを入れたところ、Bitlockerの回復キー入力を要求されたため回復キーを入力したのですが「ロック解除できませんでした」と表示され、PCが起動できない状態になりました。

回復キーは別のPCからアカウントにログインして確認後に入力しているのですが何度回復キー入力を試してもロック解除できない状況です。

PCを正常に起動させるにはどうしたらよいでしょうか?

回復キー入力で解決できない場合、できれば初期化はしたくないのですが、システムの復元で対応はできないでしょうか?

同じことが知りたい (587)

 

BitLockerの回復キーを正しく入力し,再起動しても再度回復キー入力画面が表示される
普段はUSBメモリの挿入でBitLockerを解除しているのですが,出先でUSBメモリを忘れたため,48文字の回復キーを入力し,

BitLockerを解除しようとしました。

しかし,正しい回復キーを入力し,[正しい回復キーです 変更を適用してPCを再起動するには,「再起動」を押してください]

というメッセージが表示される画面で,「再起動」をクリックし,再起動しても,[BitLockerキーを含んだUSBドライブを挿入してください ~]

というBitLocker解除失敗のブルースクリーンが表示され,再度回復キー入力を求められてしまいました。

何度繰り返しても,上記の現象の繰り返しでした。

出先から戻り,BitLockerキーを含むUSBメモリを挿すと,BitLockerを解除できました。

どうすれば,回復キーでBitLockerを解除できるのでしょうか?

以下にPC環境を記します。

PC:Lenovo ThinkPad Tablet2

OS:Windows8.1(2015/01/23までのWindowsUpdate適用済み)

なお,ドメインには参加しておりません。

回復キーはテキストファイルで保管しています。

同じことが知りたい (137)

以下、他にトリガーになる可能性のあるものです。

・権限/特権/アクセス権/セキュリティー記述子などの破損や障害。

・ユーザープロファイルの破損や障害。

・OSファイルの破損。

・セキュアブートの障害。

・TPMモジュールの物理的障害・ドライバの障害 +(今後のVer.アップによる障害)、TPMモジュールを搭載していないM/Bでのエミュレートの障害

 

予防方法と発生時に備えた用意/準備

予防になるのではないかという事柄と事前に用意/準備しておくとよい事柄です。

必ずやっておくべきこと

あえて一番最初に書いておきますが、ビットロッカー暗号化を利用している場合は暗号化キーや回復キー、MSアカウントの管理保存を確実にしておいてください。

トラブルの電話が入り、お話を伺ったり現場に行って、回復キーが無い・保存されているかもしれないが、どのMSアカウントかがわからない・PINはわかるがMSアカウントのパスワードがわからないなどということは珍しくありません。

 

1)一度システムディスクをビットロッカー暗号化し、暗号解除キーと回復キーを保存して後に解除する。

2)ビットロッカーのサービスを停止する。

3)ローカルアカウント(管理者)を作成し、パスワードリセットディスクを作成しておく。(MSアカウントはパスワードリセットディスクを作成できません)

4)対象となるドライブのシステムの保護を有効にしておく。パーツの追加や変更、WinUp前には必ず手動で明示的に復元ポイントを作成する。

5)定期的に、(必ずサードパーティー製のバックアップソフトを利用して)システムイメージのバックアップとファイルのバックアップを外部ストレージに保存しておく。

6)WinUpの内容にTPMやビットロッカー関連の項目が含まれていないか注意する。

 

1)一度システムディスクをビットロッカー暗号化し、暗号解除キーと回復キーを保存して後に解除し、ビットロッカーのサービスを停止する。

TPMチップあり:BitLockerを有効にしてストレージを暗号化する方法

TPMチップなし:Windows 10 TPMがなくてもグループポリシー(gpedit.msc)を使用してオペレーティング システム ドライブのBitLocker暗号化を有効にする

2)ビットロッカーのサービスを停止する。

 


・Winキー+Xで高度なコンテキストメニューを呼び出します。

・ファイル名を指定して実行を選択します。

・[ msconfig ]と入力してシステム構成を開きます。

 

 

 

 

システム構成が開いたら、ビットロッカーのサービスのチェックを外し再起動します。

 

3)ローカルアカウント(管理者)を作成し、パスワードリセットディスクを作成しておく。(MSアカウントはパスワードリセットディスクを作成できません)
直接ビットロッカーには関係ないのですが、Win OS では「正しいパスワードを入力してもはじかれてしまいサインインできなくなる」という不具合が知られています。

この機会に作成しておくことをおすすめします。

[Windows 10] パスワードリセットディスクの作成方法と使用方法を教えてください。

なお、Renee PassNow(2021/2/21時点の価格は4,928円)のようなソフトも有り、こちらのソフトなどはMSアカウントのパスワードの削除も可能です。(メーカーページ:Windowsシステムレスキューソフト Renee PassNow

私も使用しているのですが使い糧も簡単ですし、起動ディスクで起動後にパスワードを削除するとあっけないほど簡単に(1秒もかからない)ローカルパスワードや、MSアカウントの削除が完了し、パスワード無しで起動するようになります。

また、複数台のPCに対して1ライセンスで利用が可能です。

注:ビットロッカー暗号化の解除はできません。あくまでローカルパスワードとMSアカウントのパスワードの削除です。

 

More:
ちょっと詳しい方ですとcmdからパスワードを削除することができることはご存知と思います。ただどういうわけかうまく行かないことがあったり、手順も煩雑です。

Renee PassNow(2021/2/21時点の価格は4,928円)は、起動ディスクを作成しておくと個別のPCでcmdの操作がいりませんし、GUIからの簡単な操作でパスをードを削除できます。

あまり縁起の良い話ではありませんが、小規模な会社で社員の方が突然なくなってしまった場合など、故人が使用していたPCのパスワードがわからないなどということも出てくるでしょう。そのような場合も特別なスキルなしにパスワードを解除できます。

ただ、PC本体を操作できると簡単に悪用ができてしまいます。

ということで、PCのデータの暗号化はやはり必要ですね…。

 

4)対象となるドライブのシステムの保護を有効にしておく。パーツの追加や変更、WinUp前には必ず手動で明示的に復元ポイントを作成する。

先に書いたように「復元ポイントが利用できなくなる事態」というのもあるのですが、復元ポイントについては常に意識においてください。

 

5)定期的に、(必ずサードパーティー製のバックアップソフトを利用して)システムイメージのバックアップとファイルのバックアップを外部ストレージに保存しておく。

ファイルヒストリーは別にして、特にWin標準のシステムバックアップはあまりあてになりません。メーカーPCなどでメーカーのバックアップのように見えるものでも、実際にはこの機能を利用している場合もあります。

最大の弱点は「いざリストアという場面で、バックアップファイルがあるにも関わらずリストアができない」現象が「少なくとも無視できない頻度で発生する」ということです。(バックアップ時間も馬鹿みたいに長い…、差分/増分なども不可)

イメージバックアップなどは、信頼できるベンダーのものを利用するよう強くお勧めします。

 

6)WinUpの内容にTPMやビットロッカー関連の項目が含まれていないか注意する。
注意していたからといって防げるものでもないのですが、アップデート内容に目を通し、「TPMやビットロッカー関連の項目が含まれていないか注意する」ことを習慣づけてください。

含まれている場合は、何日間化様子見をし。Web上やMSコミュニティーなどの情報に注意をして「回復キーなどに関する質問やビットロッカーの障害」などが見られないか確認してください。

 

できればやっておいたほうが良いこと

1)システムの雛形の保存。

2)Win PE(6.0以降)の起動ディスクの作成ないしはシステム修復ディスクの作成、またはWin7のインストールディスクを利用できるようにしておく。

3)毎起動時に回復環境が表示されるように設定する。

 

1)システムの雛形の保存。

大規模な会社や(officeなどを含めて)エンタープライズ版を利用している場合は、展開ツールなどを用意/利用していることもあるかと思います。

そのような形でない場合は、「Winはクラッシュするもの、使用期間が長くなると調子が悪くなるもの」と割り切り、OSに必要最低限のアプリ(ソフト)・プリンターなどの接続とドライバーの導入・WinUp・OS設定のカスタマイズが完了した「極力傷の少ない状態のイメージバックアップ」を取得/保存しておきましょう。

クラッシュした場合のリストアはもちろん、年数が経過して重くなった場合、OSの傷が累積して修復を試みてうまくいってように見えても不都合が再発生する場合などに環境の回復が格段に楽になります。

現状、ノートPCなどSSD/HDDを取り外すことができない方でも、外付けUSBストレージからの起動やOSのインストールが可能ですから、インストールメデイアや作成したリカバリメディアなどからクリーンインストールした状態のものを作成できます。

できる限りやっておくべき作業の一つです。

 

2)Win PE(6.0以降)の起動ディスクの作成ないしはシステム修復ディスクの作成、またはWin7のインストールディスクを利用できるようにしておく。
上記以外にバックアップソフトやパーティション操作ソフトなどで作成できる、ファイルコピーなど各種造作ができる起動ディスクでも構いません。

PCのOSが起動しない場合の回復操作が格段に楽になります。

 

3)毎起動時に回復環境が表示されるように設定する。
こちらもPCの回復操作を楽にするため、設定しておくことをおすすめします。得に高速スタートアップを有効にしているケースでは、起動時にキー操作で回復環境にはいるのは100%無理です。

よく、「2回起動に失敗させると回復環境が出るので利用する」などと書いている記事などがありますが、自らの操作でOSをクラッシュさせるみたいなのってどうなのよなんて考えてしまいます。

注:一部のメーカーのPCではこの問題を回避するために、メーカーロゴの画面からF2キなどでBIOS設定⇒回復環境で起動という手段が用意されています。お調べになってみてくださいね。

設定方法

コマンドプロンプト(管理者)を起動する ⇒ bcdedit /set advancedoptions on を実行、これだけです。

もとに戻す場合はのコマンドは、 bcdedit /set advancedoptions off です。

 

システム管理者の方へ

システム管理者の方には、この記事の内容だけでは事足りません。ネットワークやグループポリシーなども必要かもしれません。

例えばブループポリシー設定は、BitLocker グループ ポリシー設定のページになります。その他の項目もページ左側にありますので一度見ておくと良いかもです。

なお、Win8.1のページはこちらになります。

興味があれば、一般の方も見てみてくださいね。

参考:

一般の方であっても、どうしても(専門的な)問題点や不明点などが解消できない場合でMSの有料サポートを契約していないのでしたら、Microsoft コミュニティではなく、TechNetフォーラムをおすすめします。

 

終わりに

最後までのお付き合い、ありがとうございます。

結局のところ、現時点では「一番の原因はWin OS の認証。並びにセキュリティ監視システム」の過剰な反応や誤作動という可能性が一番高いのかなと思います。

この件はユーザー側からはいかんともしがたいため、問題は今後も続くでしょう。

万一の備えと、多少は見込みのある設定、この二つは実行しておいてくださいね。

良きPCライフを!!!

 

今回の記事は以上です。

 

コメントを残す

CAPTCHA