この記事について
常々、記事化していますし、最も厄介な障害の一つでもある「BitLocker暗号化機能の誤動作による回復キー要求」に関して、Win11 homeでも新規購入したメーカーPCではデフォルトで有効化されているようになり、「これはもう放置できない」ということなってきていますので、注意喚起として記事化します。
現状、homeであるのかProであるのかにかかわらず、Win11がインストールされている新しいPCを購入すると、デフォルト(最初から)でドライブ暗号化やBitLockerが有効になっていることが大半です。(一応、モダンスタンバイをサポートするコンピューターとなっていますが、少なくともノートPCは全てと考えてよいでしょう)
また、新規インストールした場合も同様です。(デスクトップ機でもデフォルトで有効になります)
重要:
最新のWin11インストールメディアでクリーンインストールした場合に、ドライブ暗号化が有効状態になるのですが「MSアカウントに回復キーが自動保存されない」という場合があるようです。
回復キーが必要になった場合に、全くわからないということになりますので厳重に注意してください。
注意必須の理由
「BitLocker暗号化機能の誤動作による回復キー要求」に関しては、従来ほとんどの場合にProバージョンの方が中心となる話題でした。
ところが、メーカーPCを購入するとhomeバージョンであっても「BitLockerの限定的機能」と言える「ドライブ暗号化」がデフォルトで有効化されています。
また、Win11 home の最新のインストールファイルをダウンロードしてクリーンインストールした場合も、ディスク暗号化はデフォルトで有効になります。
※ 2025/03/26ダウンロード。インストール中の更新は有効。
※ 古いメディアでインストールした場合の検証はしていません。ただし、インストール中の更新が有効の場合は、最新盤と同様の挙動になると考えられます。
※ 何らかのWindows Updateで強制的に有効になる事があるのかどうかと、23H2から24H2へのアップ時の挙動は未検証です。
※ Win10については、調査/検証していませんが、同様の事態の可能性も高いかと思います。ご自分の手元で確認してください。
これ、非常にまずいです。
何がまずいのかというと、万が一PCが起動しなくなってしまった場合などに回復キー無しではデータのレスキューもできなくなってしまいますし、他の回復手段を取る場合にも回復キーが必要になる可能性が非常高いということです。
従前より、ProバージョンはデフォルトでBitLockerがデフォルトで有効化されている場合が多くなっていました。Proバージョンの方もこの機会に確認してみてくださいね。
また、「自分のPCでは有効になっていない」と思っている方も確認をお願い
します。
非常にまずいと考えられる理由
・ドライブが暗号化されている場合、故障したPCから取り外してデータを取り出したりしたい場合など、必ず全てのケースで回復キーが必要になる。
・USB回復ドライブから、システムの復元を実行する際などにも回復キーが必須となるケースも。
もちろん、「BitLocker暗号化機能の誤動作による回復キー要求」・・・これはProだけではなく、homeバージョンでも同様の事態が発生します・・・の問題ももちろんあります。
・PCを購入したが、ドライブ暗号化が有効になっていると気がついていないし思ってもいない。
⇒ そうなると「暗号化の回復キー」など全く知らない ⇒ どうにもならなくなってしまう。
怖くないですか?
不都合の発生があり修復がしたい場合にも、回復キーがわからないためににっちもさっちも行かなくなってしまうことがでてくるわけです。
回復キーを要求されることがある主な状況
回復キーを要求されることがある主な状況です。
・Windowsのアップデート:Windowsの大型アップデート、セキュアブートやTPMチップに関する更新の際に、回復キーの入力を求められる場合があります。
・起動しないシステムのディスクからのデータレスキュー:PCが壊れてしまった場合他、ディスクに保存されているデータなどをレスキューするには回復キーの入力が必要になります。
・ブートの問題:システムの起動に問題が発生し、通常の起動プロセスが中断された場合、回復キーの入力が求められることがあります。
・BIOS/UEFIの設定変更:BIOS/UEFIの設定でブート順序やセキュリティ設定を変更した場合、システムが暗号化されたドライブへのアクセスを拒否し、回復キーの入力を求めることがあります。
・ハードウェアの交換:マザーボード、CPU、またはTPM(Trusted Platform Module)などの主要なハードウェアコンポーネントを交換した場合、システムはハードウェア構成の変更を検出し、セキュリティ上の理由から回復キーの入力を要求します。
・システムの復元または初期化:システムの復元ポイントからの復元や、Windowsの初期化(リカバリ)を実行する場合、暗号化されたドライブのロックを解除するために回復キーが必要になることがあります。
・TPMのクリアまたは無効化:TPMをクリアしたり、BIOS/UEFIでTPMを無効にしたりした場合、暗号化されたドライブへのアクセスが遮断され、回復キーが必要になります。
ドライブ暗号化(やBitLocker)の有効/無効を確認する
「ドライブ暗号化」の有効/無効は、ディスクの管理で確認することができます。
高度なコンテキストメニュー ⇒ ディスクの管理 と進みます。
・タスクバーのWinアイコンを右クリックし高度なコンテキストメニューを開き、ディスクの管理を起動します。
・ディスクの管理が起動したら、当該ディスクのステータスを確認します。
暗号化有効ですと有効化済みと表示されています。
無効な場合は何も表示されません。
対策をしよう !!!
今回購入したHPのノートPCでもドライブ暗号化が有効になっているみたい…。どうしたらよいのかな?
対象の方は、ふたつの対策をしてほしいと思います。
・高い必要性が無いのであればドライブ暗号化は解除しておく
・回復キーを確認して、控えておく。
高い必要性が無いのであればドライブ暗号化は解除しておく
個人が利用しているPCでhomeバージョンのOSという場合に、ドライブの暗号化まで必要というケースは多くないと思います。
暗号化の必要があるとしても、ドライブ全体ではなく特定のファイルやフォルダのみを個別に暗号化する程度で事足りるでしょう。
万が一のトラブル時に回復操作ができなくなる可能性と天秤にかけると、デフォルトで勝手に設定されるドライブ全体の暗号化は、「不要というか、余計なお世話」に他なりません。
なお、ドライブの暗号化設定は、homeではPC設定から、Proではコントロールパネルから操作します。
ドライブ暗号化解除の方法(Win11 home)
PC設定からの操作
・設定を開き、プライバシーとセキュリティー ⇒ デバイスの暗号化とししみます。
・「暗号化を実行中です」となっていれば暗号化が実行されていますので、解除しておいてくださいね。
※ 解除されている場合であっても、念の為MSアカウントページに回復キーがあるかどうかを確かめておくようにしてくださいね。
・トーストが表示されますので、オフにするを押下します。
・無効になると下の画像の状態になります。
BitLocker(ドライブ暗号化)解除の方法(Win11 Pro)
コントロールパネルからの操作/確認
通常はPC設定にあるのですが、ドライブ暗号化の項目が表示されていない場合があります。そのようなときは、コントロールパネルからの操作/確認を行います。
・コントロールパネルを開き小アイコン表示にする ⇒ ビットロッカードライブ暗号化をクリック
・表示された画面でBitLockerの有効ないし無効を確認します。
・有効にした覚えがない、必要がないという場合は無効にしてください。有効にしたい場合は、下側の有効にするをクリックして有効にしてください。
なお、ここで有効にしたいと考えて操作しても、エラーのトーストがでて有効にできないというケースが発生することがあります。この場合は、PC設定にも暗号化の項目が表示されません。
自分でグループポリシーやレジストリなどからBitLockerの動作を明示的に無効化している(私はこれ)場合はよいのですが、M/B(やTPMチップ)のファームウエアのアップデートで発生してしまうことなどもあります。
重要: もしも、有効にしていたのに今回の確認で無効になっているなどして、有効化しようとしてエラーで有効化できない場合は専門家(PCのテクニカルサポート窓口など)に「即時相談する」ことをおすすめします。
※ 相談前にとにかくいの一番にデータのバックアップをすることを強くおすすめします。(予期せずに、回復キーを要求された場合にはデータをすべて失います)
BitLocker系の不具合が発生してしまうと回復はほぼ無理になりますので、絶対に解決するようにしてくださいね。
回復キーを確認して、控えておく
重要:
最新のWin11インストールメディアでクリーンインストールした場合に、ドライブ暗号化が有効状態になるのですが「MSアカウントに回復キーが自動保存されない」という場合があるようです。
回復キーが必要になった場合に、全くわからないということになりますので厳重に注意してください。
Windows11にMSアカウントでサインインしていて新規にOSを開始した場合は、自動的に回復キーがMSアカウントに保存されるようです。そちらで確認します。
※ 自分で操作をした場合は、他のメディアなどにも保存することができます。(BitLocker to goを含む)
これは、無効化しているにも関わらずドライブ暗号化(BitLocker)の誤作動で回復キーを求められた場合に解決策となるケースがでてきますので、必ず保存しておいてくださいね。
回復キーを確認して、控えておく方法
・当該のPCで利用しているMSアカウントのページを開き、アカウントページに移動します。
・サインインできたら、デバイスから確認したいPCを選択し、詳細を表示します。
・詳細表示より、BitLockerデータ保護のなかの回復キーの管理へと進みます。
・当該する回復キーを確認して保存しておきます。なお、新規に購入したPCや新規にクリーンインストールしたPCでは、OSの開始(とOSの認証の完了)と同時に回復キーがアップロードされます。
※ システムドライブはOSV(Oparating System Volume)、そのほかの増設したドライブはFDV(Fixed Data Volume)と表示されます。1台のPCにふくすう
MSアカウントに回復キーがない場合
一度有効化して回復キーを保存し、その後無効化してください。
最後に
記事を最後までお読みくださりありがとうございました。
ドライブ暗号化やBitLockerは必要ケースではとても有用なのですが、有効であることを意識していない場合や必要ではない場合は、「不要というか、余計なお世話」に他なりません。
どうぞお気をつけください。
今回の記事は以上です。
この記事中の広告リンクについて
この記事中の広告リンク一覧です。
記事本文中の広告リンク
この記事にはありません。
サイドバーやヘッダー部分などの広告
広告が表示されています。
業者名や商品名など
この記事では明示的にプロモーションとして取り扱っているものはありません。
ただし、過去のプロモーションなどで取り扱った商品名や企業名などがプロモーション目的ではなくとも記載されている場合があります。
過去のプロモーションなどで取り扱った企業名は、できる限りステマ規制に関する表示についてのアフィリエイト等関連業者名一覧の項で記載していますので、お手数ですがそちらでご確認ください。
コメント
[…] 【BitLocker】まずい、homeでもデフォルトで有効・・・Winのドライブ暗号化【2025/03/05】 […]
[…] 2025/03/05…【BitLocker】まずい、homeでもデフォルトで有効・・・Winのドライブ暗号化【2025/03/05】 […]