BIOS 更新時は BitLocker をオフに
先日、ふだん使っているノート PC の新しい BIOS がリリースされていたので、さっそく更新しました。そして起動すると、ブートローダーで止まってしまいました。
実は BIOS を変更する時には、あらかじめ BitLocker を一時的にオフにしておく必要があったのです。うっかり忘れて更新してしまった場合は、上のようにボリュームがロックされます。ロックされてしまっても、回復パスワード (48 桁の数字) を入力することで、OS を起動することができます。起動できなくなることを防ぐため、回復パスワードのありかを確認しておきましょう。
回復パスワードを使って起動した後、BitLocker を一旦オフにして、再度オンにしてください。オフ/オンせずに再起動すると、上のようなロックがかかった状態のまま、再度回復パスワードが必要になります。
BitLocker は BIOS などの初期起動コンポーネントの整合性をチェックし、変更されていないと確認された時のみ OS を起動する仕組みになっています。
TechNet Magazine June 2007
「BitLocker ドライブ暗号化を使用したデータ保護の概要」
http://www.microsoft.com/technet/technetmag/issues/2007/06/
BitLocker/default.aspx?loc=jp/
既定では、BitLocker は、Core Root of Trust Measurement (CRTM)、BIOS とプラットフォームの機能拡張、オプションの ROM コード、MBR コード、NTFS ブート セクタ、およびブート マネージャの計測値を使用してキーをシールします。これらの計測値のいずれかが突然変更された場合、BitLocker はドライブをロックし、アクセスまたは復号化できないようにします。
したがって、BIOS 以外にも、MBR やパーティションテーブルが変わるような操作をする場合には、BitLocker を一時的にオフにしておきます。
また、この整合性チェックは、TPM が装備されているコンピュータのみで行われます。TPM が装備されていないコンピュータで、USB メモリーを利用して BitLocker を動作させている場合は、整合性のチェックはできません。
さらに詳細な記述によると、整合性チェックは検証のチェーンのようになっているそうです。ご興味があれば以下の記事をご参照ください。
TechNet Magazine April 2007
「Windows Vista カーネルの内部:第3部」
http://www.microsoft.com/technet/technetmag/issues/2007/04/
VistaKernel/Default.aspx?loc=jp
「BitLocker」の項参照
