OS基本性能から、仮想化環境まで、多岐にわたり機能改善が行われている「Windows Server 2008 R2」。すでにリリースから5カ月以上が経過しており、簡単な紹介記事も数多く出回っているが、同サーバーが本当に使えるものなのか確信が持てずに周囲の 反応を見守っているシステム管理者は多いはずだ。
そこで、本誌はWindows Server 2008 R2の導入を5人のライターに依頼。その模様を体験記というかたちでレポートしてもらっている。
今回は、岡崎俊彦氏によるセキュリティ強化の続編。前回は「AppLocker」により、ユーザー権限に応じてアプリケーションの実行を制限する方法を示したが、今回は「BitLocker To Go」をテーマに選んでいる。Active Directoryと連携させ、グループポリシーの一環としてリムーバブルディスク暗号化を強制適用する様子がご覧いただけるので、ぜひ参考にしてほしい。
Windows Server 2008 R2やWindows 7では、固定ディスクを暗号化するBitLockerが改善され、リムーバブルドライブ(USBメモリ等)を簡単に暗号化するBitLocker To Goという新機能が登場した。
- 3回
リムーバブルドライブを日常的に使用する現在、紛失や盗難を想定してデータを暗号化することは必須といえるが、現実には、多くのユーザーが面倒がって暗号化をしていない。操作自体が面倒と感じられる上、メーカーによって操作や機能がまちまちなことが、敬遠される主な理由だろう。
BitLocker To Goは、こうした問題への解決策だ。BitLocker To GoはWindows標準機能なので、インストールは不要。操作も統一できる。Active Directoryドメイン環境では、グループポリシーで設定すれば、暗号化していないリムーバブルドライブへのファイル保存を全ユーザーに禁止できる。
なおTPM(Trusted Platform Module)を使うBitLockerと違い、BitLocker To Goは暗号化したPC以外のPCでもメディアを利用できる。
さっそく、Windows Server 2008 R2のActive Directoryドメインで、ドメイン全体へのBitLocker To Goの設定を試してみた。
ネットでBitLocker To Goを検索すると、Windows 7の記事ばかりが目立つ。今回はグループポリシーを活用したかったので、TechNetで「"bitlocker to go" "windows server 2008 r2" リムーバブル」をキーワードに検索した。すぐにBitLocker To Goのグループポリシー設定情報を掲載した、マイクロソフトのエンジニアのブログ「Windows Server使い倒し塾」が見つかり、情報を得ることができた。
Windows Server使い倒し塾
http://blogs.technet.com/windowsserverjp/
GPOの作成と設定
まず、サーバーマネージャーで「機能」→「グループポリシーの管理」→「フォレスト」→「ドメイン」→(ドメイン名)→「グループポリシーオブジェクト」を展開し、GPO(グループポリシーオブジェクト)を作成する。
次にGPOを編集して、BitLocker To Goを設定する。