BitLockerを利用するとPCのストレージを暗号化することができる。しかし、そもそもWindowsにログイン可能な状態だと暗号化が解除されてしまうため、データの保護が難しくなってしまう。より安全性を高めるには、OSの起動時にもBitLockerのPINが要求されるようにしておくと安心だ。
OSの起動に制限をかける
BitLockerは、PCのストレージを暗号化する機能だ。Windows 11からはTPMが必須になったことで、BitLockerの暗号化に使用する鍵をTPMに保存可能になり、より高い安全性を確保できるようになった。
これにより、仮にPCが盗難され、内部からSSDを取り出されたとしても、そこからデータを解読することは困難となる。しかし、盗難されたPC上で利用する限り、このSSDは解読される可能性はゼロとは言えない。
当たり前だが、普段、自分がPCを利用するときと同じように、第三者がWindows起動時に登録済みのアカウントでサインイン(PIN、もしくはMicrosoftアカウントのパスワード)すれば、暗号化は解除されデータを参照可能になってしまう。
もちろん、PINの場合であれば、一定回数間違えるとチャレンジフレーズの入力に切り替わり、チャレンジフレーズの入力に成功しても、さらにPINを間違えると、再起動が必要になる。そして、この失敗は、TPMのロックアウトカウントに記録され、標準では累計で32回に到達すると2時間ロックされるようになっている。
このため、実際にはそれほど心配する必要はないのだが、念には念を入れたいという場合は、今回紹介するPINを利用したスタートアップ時のドライブロック解除機能を利用することも可能だ。なお、この機能は、BitLockerおよびグループポリシーを設定する必要があるため、Windows 11 Homeでは基本的に利用できないことをあらかじめお断りしておく。
からの記事と詳細 ( Windows起動前からBitLockerでPCを保護する方法 - PC Watch )
https://ift.tt/oBT8ICV
No comments:
Post a Comment