- ホーム >
- FMWORLD(法人) >
- サポート >
- サポートメニュー >
- FMVカスタムメイドプラス >
- 留意事項 >
- 「BitLockerドライブ暗号化」について
「BitLockerドライブ暗号化」について
2007年12月4日 rev.04
このたびは、弊社のFMVシリーズ パソコンをお買い上げいただき、まことにありがとうございます。
このページでは、当社FMVシリーズ向けFMVカスタムメイドプラスサービス「Windows Vista Enterpriseアップグレードサービス」を適用済みのPCに対して、 「BitLockerドライブ暗号化」を利用する際の設定手順および注意事項について説明します。 設定を行う際に必要な情報や注意事項について説明していますので、設定を始める前に必ずお読みください。
本ページの内容は以下の通りです。
※SMARTACCESSはセキュリティチップ等のセキュリティデバイスを制御する富士通独自アプリケーションです。 セキュリティチップ標準搭載のパソコンには標準添付されています。
注意
Windows Vistaでは「セキュリティチップ」を「TPM」と表記しています。 本ドキュメントで「セキュリティチップ」と表記している箇所は、OSの表記によっては「TPM」と読み替えてください。
1章 はじめに
本ページの内容にて「BitLockerドライブ暗号化」をご利用になれるのは以下の機種です。
対象機種
- 企業向けパソコン FMV-ESPRIMO及び、FMV-LIFEBOOK。
- 弊社カスタムメイドプラスサービス「Windows Vista Enterpriseアップグレードサービス」を用いてWindows Vista Enterpriseがインストール済みであること。
ハードディスクは以下の区画にて構成されていることが必要です。
(上記サービス適用済みのパソコンでは、下記区画にて設定/出荷されています)
| 区画構成 | |
|---|---|
| 第1区画 | Windows RE格納用 512MB (NTFS) |
| 第2区画 | Sドライブ 1.5GB (NTFS) アクティブに設定されています |
| 第3区画 | Cドライブ (NTFS) |
| 第4区画 | Dドライブ (NTFS) |
セキュリティチップ(TPM)をご利用になる場合には以下の条件を満たしている必要があります。
- TCGv1.2準拠のTPMを搭載していること
2章 「BitLockerドライブ暗号化」を設定する
この章では「BitLockerドライブ暗号化」を設定する際の手順について説明します。
この章の内容は以下の通りです。
- 2.1章 セットアップする前に
- 2.2章 BIOSの設定を行う
- 2.3章 SMARTACCESSの設定を行う (セキュリティチップ(TPM)を使用する場合)
- 2.4章 「BitLockerドライブ暗号化」をオンにする (セキュリティチップ(TPM)を使用する場合)
- 2.5章 「BitLockerドライブ暗号化」をオンにする (セキュリティチップ(TPM)を使用しない場合)
「BitLockerドライブ暗号化」設定手順
BitLockerの設定は以下の手順にて行います。
【TPMを使用して「BitLockerドライブ暗号化」を行う場合】
【TPMを使用せず「BitLockerドライブ暗号化」を行う場合】
2.1章 設定を行う前に
設定を行う前に以下の項目についてご確認ください。
準備するもの
- 本体添付の「ドライバーズディスク」
- USBメモリドライブ
設定を行う際の注意事項
- ノートPCでは、セットアップ中は必ずACアダプタを接続してください。
- Windows上の操作は管理者権限を持つユーザで行ってください。
- セットアップ中、「ユーザ アカウント制御」の画面が表示された場合は、「続行」をクリックしてください。
- BIOSの設定を行うには、下記ドキュメントもあわせてご覧ください。
- パソコン本体のマニュアル
- セキュリティチップ(TPM)を利用する場合、下記ドキュメントもあわせてご覧ください。
- パソコン本体のマニュアル
- 添付の紙面『セキュリティ用認証デバイスやセキュリティ用ソフトウェア「SMARTACCESS/Basic」をご利用のお客様へ』
- 「Infineon セキュリティチップ ユーティリティ」の「readme.txt」
- 「SMARTACCESS/Basic」の「SMARTACCESS ファーストステップガイド」
- 「SMARTACCESS/Basic」の「SMARTACCESS リファレンスガイド」
2.2章 BIOSの設定を行う
設定内容
- レガシーUSBサポートを有効にします
- TPMを利用する場合はTPMを有効にします
設定手順
1.本機の電源を入れて「Fujitsu」ロゴの画面が表示されたら、【F2】キーを押してください。
BIOSセットアップユーティリティが表示されます。
2.USBに以下の設定を行います。
【デスクトップの場合】
「詳細」タブに移動して、次の設定を行ってください。
- 「USBコントローラ」 : 「使用する」
- 「USBレガシーサポート」 : 「使用する」
【ノートブックの場合】
「詳細」タブに移動して「USB設定」に入り、次の設定を行ってください。
- 「レガシーUSBサポート」 : 「使用する」
- 「SCSIサブクラスサポート」 : 「使用する」
※あらかじめ設定されている場合は変更する必要はありません。
セキュリティチップ(TPM)を使用せずに「BitLockerドライブ暗号化」を行う場合は「6.」に進んでください。
3.「セキュリティ」タブに移動してください。
4.「管理者用パスワード」が未設定の場合は、パスワードを設定してください。
5.次にセキュリティチップ(TPM)を利用する設定を行います。
【デスクトップの場合】
「セキュリティチップ設定」に移動して次の設定を行ってください。
- 「セキュリティチップ」 : 「使用する」
また、以下の項目がある場合は設定を行ってください。
- 「TPM状態の変更」 : 「有効かつ使用可」
【ノートブックの場合】
「TPM(セキュリティチップ)設定」に移動して、次の設定を行ってください。
- 「セキュリティチップ」 : 「使用する」
また、以下の項目がある場合は設定を行ってください。
- 「TPM状態の変更」 : 「有効かつ使用可」
6.【ESC】キーを数回押してください。
画面が「終了」タブに移動します。
7.「変更を保存して終了する」を選択してください。
「セットアップ確認」画面が表示されます。
8.「はい」を選択し、【Enter】キーを押してください。
パソコンが再起動します。
注意
BIOSの設定を有効にするために必ず「変更を保存して終了する」を選択して、パソコンを再起動してください。 再起動を行わないと設定が正しく反映されません。
以上で、BIOSの設定は終了です。
2.3章 SMARTACCESSの設定を行う (セキュリティチップ(TPM)を使用する場合)
設定内容
1.Infineon セキュリティチップ ユーティリティをインストールする
2.SMARTACCESSをインストールする
3.SMARTACCESSの設定を完了する
4.SMARTACCESSのバックアップを行う
設定手順
1.Infineon セキュリティチップ ユーティリティをインストールする。
インストール手順については、「ドライバーズディスク」内に格納されている「Infineon セキュリティチップ ユーティリティ」の「readme.txt」をご覧ください。
2.SMARTACCESSをインストールする。
インストール手順については、「ドライバーズディスク」内に格納されている「SMARTACCESS/Basic」の「SMARTACCESS ファーストステップガイド」をご覧ください。
3.SMARTACCESSを設定する。
必要な設定を完了してください。
設定手順については、「ドライバーズディスク」内に格納されている「SMARTACCESS/Basic」の「SMARTACCESS ファーストステップガイド」をご覧ください。
4.設定が完了したらSMARTACCESSの「バックアップツール」を実行し、設定内容を「バックアップ」してください。
設定手順については、「SMARTACCESS リファレンスガイド」をご覧ください。
注意
「バックアップ」にて保存するファイルはSMARTACCESSの復元などの際に必要です。
ファイルがない場合、SMARTACCESSの設定や、暗号化ファイルの復元などができなくなってしまうので、必ず実行し、大切に保存しておくようご注意ください。
以上で、SMARTACCESSの設定は終了です。
2.4章 「BitLockerドライブ暗号化」をオンにする (セキュリティチップ(TPM)を使用する場合)
設定内容
1.BitLocker「回復パスワード」を保存する
2.「BitLockerドライブ暗号化」をオンに設定する
3.再起動して回復パスワードの動作確認をする
4.ドライブの暗号化を完了する
注意
この章の「BitLockerドライブ暗号化」の設定内容はPC出荷時のOSの設定手順にて行っています。
この場合、通常時OSはBitlockerパスワード等を入力せず起動します。
パスワード入力を行うよう設定したい場合は、別途ポリシーエディター(gpedit.msc)で設定を変更する必要があります。
設定手順
1.「スタート」ボタン→「コントロールパネル」→「セキュリティ」→「BitLockerドライブ暗号化」の順にクリックしてください。
2.「BitLocker ドライブ暗号化」の画面が開くので、「BitLocker をオンにする」をクリックしてください。
注意
画面左下の「TPMの管理」からTPMの設定を行わないでください。
セキュリティチップ(TPM)の設定は必ずSMARTACCESSから行ってください。
「TPMの管理」から行ってしまうとSMARTACCESSの保存内容と合わなくなり、SMARTACCESSが正常に動作しなくなる場合があります。
3.「回復パスワードの保存」の画面で、なるべく複数の方法で回復パスワードを保存し、「次へ」ボタンをクリックしてください。
回復パスワードの保存が完了すると「次へ」のボタンが表示されます。
注意
「回復パスワード」は暗号化ドライブを一時的に無効にするために必要です。
「BitLockerドライブ暗号化」をご利用になる際には、回復パスワードを必ず作成し、大切に保存してください。
もし紛失してしまった場合は「BitLockerドライブ暗号化」にある「BitLocker キーの管理」から「回復パスワード」の複製を行ってください。
4.「ボリュームの暗号化」の画面で、「BitLocker システム チェックを実行する」を選択し、「続行」ボタンをクリックしてください。
5.「コンピュータを再起動する必要があります」の画面で、「今すぐ再起動する」ボタンをクリックしてください。
6.再起動時、回復パスワードが正常に読み込まれた画面が表示されるのを確認してください。
7.OSが起動するとドライブの暗号化が開始します。
ドライブの暗号化が完了するまで数時間かかります。(Cドライブの容量により時間は異なります。)
以上で、「BitLockerドライブ暗号化」をオンにする(セキュリティチップを使用する場合)の手順は終了です。
2.5章 「BitLockerドライブ暗号化」をオンにする(セキュリティチップを使用しない場合)
設定内容
1.TPMを使わないBitLockerを有効にする設定をする
2.BitLocker「スタートアップキー」を設定する
3.BitLocker「回復パスワード」を保存する
4.「BitLockerドライブ暗号化」をオンにする
5.再起動して回復パスワードの動作確認をする
6.ドライブの暗号化を完了する
設定手順
1.「スタート」ボタンをクリックし、「検索の開始」に「gpedit.msc」と入力し、【Enter】キーを押してください。
「グループ ポリシー オブジェクト エディタ」が起動します。
2.画面内を以下の順にクリックしてください。
- 「ローカルコンピュータポリシー」
- → 「コンピュータの構成」
- → 「管理用テンプレート」
- → 「Windowsコンポーネント」
- → 「BitLockerドライブ暗号化」
3.「コントロール パネル セットアップ:詳細なスタートアップ オプションを有効にする」を選択してください。
4.「設定」タブ内の「有効」を選択し、「互換性のある TPM が装備されていない BitLocker を許可する」を選択して「OK」ボタンをクリックしてください。
5.「スタート」ボタンをクリックし、「検索の開始」に「gpupdate.exe」と入力し、【Enter】キーを押してください。
完了するまでしばらくお待ちください。
6.「スタート」ボタン→「コントロールパネル」→「セキュリティ」→「BitLocker ドライブ暗号化」の順にクリックしてください。
7.「BitLocker ドライブ暗号化」画面で、「BitLocker をオンにする」をクリックしてください。
8.「BitLocker のスタートアップ設定を設定する」画面で、「毎回のスタートアップ時にスタートアップ USB キーを要求する」をクリックしてください。
9.「USBメモリドライブ」を本体のUSBポートに接続してください。
10.「スタートアップ キーの保存」画面で、USBメモリドライブを選択し、「保存」ボタンをクリックしてください。
11.「回復パスワードの保存」画面で、なるべく複数の方法で回復パスワードを保存し、「次へ」ボタンをクリックしてください。
回復パスワードの保存が完了すると「次へ」のボタンが表示されます。
注意
「回復パスワード」は暗号化ドライブを一時的に無効にするために必要です。
「BitLockerドライブ暗号化」をご利用になる際には、回復パスワードを必ず作成し、大切に保存してください。
もし紛失してしまった場合は「BitLockerドライブ暗号化」にある「BitLocker キーの管理」から「回復パスワード」の複製を行ってください。
12.「ボリュームの暗号化」画面で、「BitLocker システム チェックを実行する」が選択済みであることを確認し、「続行」ボタンをクリックしてください。
13.「コンピュータを再起動する必要があります」画面で、「今すぐ再起動する」ボタンをクリックしてください。
14.再起動時、回復パスワードが正常に読み込まれた画面が表示されるのを確認してください。
15.OSが起動するとドライブの暗号化が開始されます。
ドライブの暗号化が完了するまで数時間かかります。(Cドライブの容量により時間は異なります。)
以上で、「BitLockerドライブ暗号化」をオンにする(セキュリティチップを使用しない場合)手順は終了です。
3章 運用上の注意事項
「BitLockerドライブ暗号化」をご利用になる場合、以下の事項に注意してください。
- SドライブにあるファイルやフォルダはOSの起動に必要です。編集したり削除したりしないでください。
- CDドライブなどハードディスク以外からパソコンを起動した場合、暗号化したドライブの中を見ることはできません。 ドライブ内のデータのバックアップ等はハードディスクを起動した後、行ってください。
- セキュリティチップ(TPM)で「BitLockerドライブ暗号化」を有効にした際、BIOSアップデートやハードウェアの追加等の変更はできません。 変更が必要な場合は事前に「BitLockerドライブ暗号化」を一時的に「無効」にし、変更が完了した後再度「オン」にしてください。 「BitLockerドライブ暗号化」を解除せずハードウェア変更してしまい、その変更を元に戻せない場合は、 「回復パスワード」により起動した後、「BitLockerドライブ暗号化」を一時的に「無効」にし、再度「オン」にしてください。
- セキュリティチップ(TPM)で「BitLockerドライブ暗号化」を有効にした際、修理等によりセキュリティチップ(TPM)がクリアされた状態なった場合、 先にSMARTACCESSによる「復元」を行った後、「BitLockerドライブ暗号化」を設定してください。 詳しくは下記「4章」をご覧ください。
- 「BitLockerドライブ暗号化」を「無効」にした場合、「BitLockerドライブ暗号化」の暗号鍵をハードディスクにそのまま一時的に保存します。 この状態は再度「オン」にするまで保持されます。 「BitLockerドライブ暗号化」の暗号鍵が他人に読み取られると暗号化がほどかれてしまう危険があります。 「無効」の状態で長く放置しないようご注意ください。
- 「BitLockerドライブ暗号化」を設定したハードディスクにリカバリを行う場合は、事前に「BitLocker暗号化」を解除してから、または、 リカバリーディスクで起動した後「トラブル解決ナビ」の「ユーティリティ」タブ内にある「ハードディスクデータ消去」ツールにてハードディスク内を完全に消去してから行ってください。
4章 本体修理後に「BitLockerドライブ暗号化」およびセキュリティチップを復元するには
ここでは、セキュリティチップ(TPM)を使用した「BitLockerドライブ暗号化」の設定を行った後、 修理等でセキュリテイチップ(TPM)がクリアされてしまった状態になった場合、「BitLockerドライブ暗号化」およびセキュリティチップを復元する方法を説明します。
準備するもの
- SMARTACCESSの「バックアップファイル」一式
- SMARTACCESSの回避ログオン手順 (「SMARTACCESSを利用したWindowsログオン」を設定していた場合)
- BitLocker「回復パスワード」
設定内容
1.BIOSの設定を行う
2.SMARTACCESSの復元を行う
3.「BitLockerドライブ暗号化」を設定する
復元手順
1.「2.1章 BIOSの設定を行う」をご覧になり、USBとセキュリティチップ(TPM)の設定を完了してください。
2.OSを起動してください。起動時「回復パスワード」が要求されるので入力してください。
3.「SMARTACCESSを利用したWindowsログオン」が設定されている場合は回避ログオンによりOSにログオンしてください。
4.SMARTACCESSの復元を行します。SMARTACCESSの「バックアップツール」を実行し、設定内容を「復元」してください。
回避ログオンおよびSMARTACCESSの復元の設定手順は、「SMARTACCESS リファレンスガイド」をご覧ください。
注意
以上の手順により、セキュリティチップ(TPM)およびSMARTACCESSの設定が復元できました。 続いて「BitLockerドライブ暗号化」の設定を行います。
5.「コントロールパネル」から「BitLocker ドライブ暗号化」を起動してください。
「BitLockerドライブ暗号化」が開きます。
6.「BitLocker をオフにする」をクリックし、「Bitlocker ドライブ暗号化を無効にします」を選択してください。
「ボリュームの暗号化を解除します」を選ぶ必要はありません。解除を選ぶと、完了するまで数時間かかります。
7.しばらくすると「BitLocker ドライブ暗号化」の画面に戻ります。
画面表記が「無効」になっていることを確認してください。
8.「BitLocker をオンにする」をクリックし、「BitLockerドライブ暗号化」を有効にしてください。
画面表記が「オン」になることを確認してください。
9.OSを再起動してください。
「回復パスワード」をUSBメモリドライブに保存している場合は、再起動前にUSBメモリドライブを取り外してください。
CDドライブに起動ディスクが入っている場合は、再起動前に起動ディスクを取り出してください。
以上で、復元手順は終了です。
