SE の雑記

Windows Vista 以降では、BitLocker ドライブ暗号化の機能により、ドライブを暗号化できるようになりました。
展開時に暗号化をした状態にするための情報として、

• 【Windows 7 展開のコツ】 インストール時にハードディスクを自動的に暗号化
• ケース スタディ: Contoso Pharmaceuticals

があります。

これらの情報の中では、EnableBitlocker.vbs という WMI で TPM のや BitLocker を操作するためのサンプルスクリプトが使用されています。
BitLocker Deployment Sample Resources

Windows 7 であれば、TPM の初期状態に応じて公開されている応答ファイルのカスタマイズを考慮する必要はありますが、ひとまず動作せることはできるかと思います。
# 日本語環境では影響はなかったのですが、言語によっては WMI results in OS language. に書かれているような WMI 内の "Ture"/ "False" という文字列で判断してしまっている箇所の修正が必要なこともあるようですが。

このスクリプトを Windows 8 / 8.1 で動作させようとすると TPM の初期化の個所については動作するのですが、ドライブを暗号化しようとした際に [80070057] のエラーが発生し、BitLocker が有効にできないことがあります。

暗号化をする際には、rootCIMV2SecurityMicrosoftVolumeEncryption 名前空間の、Win32_EncryptableVolume クラスの Encrypt メソッドが使用されています。

メソッドの情報を確認すると先ほどのエラーは

が該当します。

暗号化する際には EncryptionMethod として、0～4 の値を指定することができ、スクリプトではデフォルトが 1 になっています。

Windows 8 / 8.1 では、暗号化のメソッドとして、0 (GP の設定を使用) / 3 (AES_128) / 4 (AES_256) を使用することができるのですが、1 (AES 128 WITH DIFFUSER) / 2 (AES 256 WITH DIFFUSER) は使用することができません。

BitLocker を管理するための方法として、[manage-bde] コマンドがあります。
# PowerShell のコマンドレットも用意されています。

下の画像は、[manage-bde –on –?) を Windows 7 と Windows 8.1 で実行した結果になります。

Windows 8.1 では暗号化のメソッドの種類が変わっていることが確認できます。
このため、EnableBitLocker.vbs を実行する際に [/em] オプションを使用してどの使用するかを明示的に指定しないとエラーとなります。

また、Windows 8 enablebitlocker not working でかかれているように [manage-bde -on c: -used –rp] を使用して代替することもできるかと思います。

Windows 8 以降の BitLocker では、ドライブ全体ではなく使用している領域のみを暗号化するオプションが追加されていますので、これについての対応も考慮するとよいかとおもいます。
Windows 8 以降の Encrypt メソッドでは、EncryptionFlags が追加されており、このフラグを使用することで従来までのドライブ全体を暗号化するか、使用領域のみを暗号化するかを設定することができます。

EnableBitlocker.vbs を拡張して、この辺のフラグを設定できるようにしておくと便利かもしれませんんで。

BitLocker を有効にした状態での展開は以下の技術情報が参考になるかと。
WDS 単体ではなく MDT を絡めたものが多いですが。
# 2012 / 2012 R2 の WDS で Windows 8 / 8.1 の展開がサポートされています。

• BitLocker に関してよく寄せられる質問 (FAQ)
• how can I Pre-Provision BitLocker in WinPE for Windows 8 deployments using Configuration Manager 2012 SP1 ?
• how can I Pre-Provision BitLocker in WinPE for Windows 8 deployments using Configuration Manager 2012 SP1 ?
• New BitLocker Features Speed Up Encryption in Windows 8
• Enable and Activate TPM for BitLocker Pre-Provisioning in WinPE
• Tip of the Day: BitLocker Pre-provisioning

実際の展開時には、回復パスワードの管理を考慮する必要がありますので、以下の情報も目を通しておく必要があるかと。
# EnableBitlocker.vbs は USB への回復パスワードの保存はできますが、AD へのバックアップができませんので、この辺りを GPO と組み合わせて、管理する必要があるかと。

• BitLocker 回復パスワードの管理方法
• Backing Up BitLocker and TPM Recovery Information to AD DS

Windows 8 / 8.1 では Pro エディションから BitLocker を使用することができますので、この辺の運用 (展開時 / 展開後) もきちんと意識していかないといけないのでしょうね。

以前書いた Windows 8 の BitLocker のプロビジョニング機能のメモ と合わせて参考になれば。