BitLocker 有効化後の BIOS 更新には注意が必要 で BIOS 更新時にも求められることは書きましたが、BCD (Boot Configuration Data) を変更したときにも求められます。
ちなみに求められるのは例によって system partition のみ。
ただし、BIOS 更新時とは違い BitLocker の無効化・再有効化は必要ありません。Balloon で表示されないだけで、BIOS 更新時と同様有効化・無効化が必要でした。
調査してみたところ、こんなの見つかった。
- Data Encryption Toolkit for Mobile PCs : 計画および実装ガイド
安定したブート パスの確認
BitLocker および TPM は、総称して TPM プラットフォーム検証プロファイル (PVP) と呼ばれる一連のチェックを実行することで、コンピュータの起動から Windows Vista の起動プロセスが終了するまでブート パスの整合性を確保します。BitLoker をインストールした後に起動プロセスが大きく変更された場合、PVP の結果は異なるものになり、整合性の変化が通知されます。整合性に変化が生じた場合、BitLocker によりオペレーティング システム ボリュームのロック解除が拒否され、別の回復手段も使用できなくなる場合があります。
そのため、BitLocker を有効にする前に、ハードウェアおよびソフトウェアのブート パスが完全に構成され安定した状態にあることを確認してください。特に、BitLocker を有効にする各コンピュータでは、次の設定/装備が必要です。
| ・ |
正しいブート デバイスに対応した BIOS 構成 |
| ・ |
ファームウェアがインストールされた ROM 採用のオプション デバイス |
| ・ |
構成済みの Wake-on-LAN イベント |
| ・ |
構成済みの Windows ブート構成データ (BCD) |
ローカル コンピュータ ポリシーおよび Active Directory グループ ポリシーを使用して、起動プロセス中に TPM が使用するブート コンポーネント (プラットフォーム構成レジスタ (PCR) と呼ばれる) を構成できます。大部分のアプリケーションでは、PCR の既定の設定で十分なセキュリティの効果があるので、PCR を変更することはお勧めしません。
BitLocker をインストールした後では、対応する PCR を備えたどのコンポーネントを変更する場合にも、回復パスワードが要求されます。PCR の変更例としては、BIOS の更新、ROM 対応のブート デバイスの追加、マスタ ブート レコード (MBR)、パーティション テーブル、低レベルのブート セクタ データ、ブート構成データ、またはブート マネージャの変更、新たにデュアルブートを実現するための別のオペレーティング システムのインストールなどが挙げられます。
注 :
Windows Vista のマスタ ブート レコード (MBR)、ブート セクタ コード、およびブート マネージャでは、整合性が強固に保護されており、BitLocker に適しています。マイクロソフトでは、サードパーティ製のブート ローダーを使用しないように強くお勧めします。BitLocker を有効にした後で新しいブート ローダーを追加すると、復元処理が開始されます。BitLocker を有効にする前にブート ローダーを取り替えた場合、BitLocker は安全なブート環境を維持できなくなります。
- Windows Vista カーネルの内部 : 第 3 部