TEMTECOMAI ORTHOSTATIC HYPOTENSION

元ダメプログラマで現ダメ中間管理職の駄文

May 2018

Windows 10 (1803) になった途端に BitLocker 暗号化が実行されなくなった

Active Directory に参加させた PC を所定の OU に移動させ、BitLocker に関するグループ ポリシー オブジェクトを食ったのを確認し、その PC にて BitLocker 管理ツールからシステム ドライブを暗号化しようとすると
Active Directory ドメイン サービス スキーマは Bitlocker ドライブ暗号化を実行するように構成されていません。 システム管理者に問い合わせてください。
のようなエラーが発生。
GPO で 「AD DS にオペレーティング システム ドライブの回復情報が格納されるまで BitLocker を有効にしない」 にしてあるので、「AD に格納できる準備ができてないから暗号化をしなかった」 という事でしょう。
いや、Windows 10 (1709) までは正常に暗号化されているわけで、何かがおかしい。

とりあえず成功した

対象 PC のローカル Administrators に所属している、Active Directory 側のユーザーで作業をすれば成功しました。
TechNet の US フォーラム BitLocker on Windows 10 1803 というスレッド、というかそこから飛んだ先にある Reddit の Bitlocer with AD-stored keys bloken on new 1803 installs? というスレッドのなかでサラっと成功談が書いてありましたね。

それまでの作業方法はというと、ます PC の Administrators に参加させたローカル作業用アカウントで作業を進めていた。
たまに AD 側への認証が必要になる場面では、必要とされる資格情報を入力してパスしていく。
その流れで暗号化処理もおこなっていたのだけれど、理由は不明だが、作業者なら作業者の AD 側のアカウントを PC のローカル Administrators に参加させ、その AD 側のアカウントでログオンして暗号化処理を行えばよいとの事。

根本的な解決方法にしては腑に落ちないけれど、とりあえず今回の事象に対してはこの対策法ですすめることにした。

Windows 10 (1803) 用の ADMX が公開されてるよ

これはエラーの件とは無関係だと思いますが、Windows 10 (1803) 向けのグループ ポリシー テンプレートが公開されているとのことで、こいつを早速  Active Directory のセントラル ストアに入れてしまいます。
Administrative Templates (.admx) for Windows 10 April 2018 Update (1803) - 日本語

ここからダウンロードした Administrative Templates (.admx) for Windows 10 April 2018 Update.msi をドメインコントローラー上で実行し、C:\Program Files (x86)\Microsoft Group Policy\Windows 10 April 2018 Update (1803) に展開された PolicyDefinitions フォルダーの中身をすべてセントラル ストアにコピー。
あとは他のサイトにあるドメイン コントローラーにも複製されるのを待つだけ。
待つだけ。
いつまで?
いつまで待てばいいの?
とか気になっていたら 「古い Active Directory からバージョンアップしてきた場合、ファイル複製の機能のままになってるかもよ。 今は DFSR だよ」 なんていう記事を発見。。。

そして FSR から DFSR へのマイグレーション

マイクロソフト Network & AD サポートチーム公式ブログの FSR から DFSR への移行 (SYSVOL) という記事に丁寧な手順が書いてある。
さらに、毎度本当にお世話になっている富士通のサーバー関係の PDF 文書から今回は Windows Server 2012/2012 R2 Active Directory 移行の手引き3.2.6 SYSVOL 複製方式の変更 にも丁寧な手順が書いてある。

ローカルのサイトに PDC 役を含め DC が 2台、別のサイトに 2台、さらに別のサイトに RODC が 1台計 5台の DC で作業を開始。 途中 AD の複製スパンによる待ち時間が発生しつつ正味 3時間で再起動なしに終了。

2017年秋に Infineon 社 (IFX) TPM の脆弱性が発表され、この TPM を採用している PC 各社からファームウェアの更新プログラムが続々と出ているんですが、Sufrace Pro 3 向けの更新が一向に出ません。

対象のモジュールを積んでいる WIndows 10 PC でも Windows Defender セキュリティ センターに警告が表示されているかと思います。
[設定]-[更新とセキュリティ]-[Windows セキュリティ]-[デバイス セキュリティ]-[セキュリティ プロセッサーの詳細] を見ると搭載されている TPM の情報を見ることができ、私の Surface Pro 3 では 「セキュリティ プロセッサ (TPM) のファームウェア更新が必要です」 と表示されています。
[開始する] というボタンを押すとこの件に関する Microsoft サポートのページがブラウザで表示されます。

Update your security processor (TPM) firmware (英語ページ)
日本語ページもありました。
セキュリティ プロセッサ (TPM) ファームウェアを更新する

要するに各 PC メーカーのサイトに行って対象機種向けのファームウェア更新プログラムをダウンロードして適用してね。 詳しい情報は PC メーカーのサイトで見てね。 という内容。
Sufrace シリーズの情報は載っていないけれど、これとは別にマイクロソフトの Sruface 向けページに情報がありました。
Surface デバイスのトラステッド プラットフォーム モジュール (TPM) に関するセキュリティの問題

マイクロソフトは、次の製品についてファームウェアの更新プログラムをリリースしました。
  • Surface Pro 4 (12 月 8 日にリリース済み)
  • Surface Studio (12 月 8 日にリリース済み)
  • Surface Book (1 月 11 日にリリース済み)

さらに、次の影響を受ける Surface デバイスの更新プログラムをリリースする予定です。
  • Surface Pro 3

影響を受けないのは Surface 3, Surface Laptop, Surface Pro (モデル 1796), Surface Pro with LTE Advanced Model 1807, Surface Book 2, Surface HUB だそう。

マイクロソフトは、デバイスの信頼性と安全性を確保することを重視しています。 ユーザーと組織の中断やダウンタイムを最小限に抑えるために、時間をかけてこれらの更新プログラムを作成してきました。
時間掛けすぎ。
時間掛けすぎ。

もしやと思い、Surface Pro 3 更新履歴のページを見てみましたが、やはりまだのようです。
Surface Pro 3 更新履歴

ちなみに Surface Pro 4 更新履歴にはしっかりと掲載されています。

↑このページのトップヘ