2018年01月29日
EnCase V7 Shift-JISテキストの表示
Codepageになぜか「Shift-JIS」(CP932)がないため、「Japanese(MAC)」(10001)を選択して日本語表示する
BITLOCKER関連まとめ
〇 利用可能なOS・エディション
フル機能サポート(BitLockerボリュームの作成/管理、GUI・CUIでの管理)
・Windows 7 Ultimate/Enterprise
・Windows 8/8.1/10 Pro/Enterprise
・Windows Server 2008〜2016
読み書きのみ(ロック解除と読み書き、manage-bde.exe等のCUIでの管理)
・Windows 7 Home Basic/Home Premium/Professional
・Windows 8/8.1(無印エディション)
・Windows 10 Home
読み出しのみ(「Bit Locker To Goリーダー」ツールによる読み出し)
・Windows XP
・Windows Vista Home Basic/Home Premium
〇 リムーバルメディア(Bitlocker To Go)やCドライブ以外の内蔵HDDの暗号化機能
・ エクスプローラ上でドライブ名を右クリックして[BitLockerで有効にする]を選択するか、コントロールパネルの[システムとセキュリティ]−[BitLockerドライブ暗号化]ツールで対象ドライブの[BitLockerで保護する]を実行し、解除パスワードを指定する
・ パスワードがわからなくなった等、非常時用の回復キー(48桁)が生成され、データとして保存するか、紙に印刷するかを選択できる。Microsoftアカウントのクラウドに保存することも可能。
・ 接続時に解除パスワードを入力することにより利用可能になる
・ 利用パソコンに接続すると、自動ロック解除する設定も可能
〇 内蔵HDDのOSドライブ(Cドライブ)の暗号化機能
・ 設定方法は上記と同じ
・ 暗号化キーはパソコンのTPMチップに保存され、起動時に自動ロック解除される
・ 取り外して、リムーバルドライブとして接続した場合は上記と同じ
〇 回復キーによる復号方法
・ パスワード入力ウィンドウで「その他オプション」−「回復キーの入力」を選択する
・ 回復キーはコピー&ペーストすることが可能
〇 回復キーの取得
・ ロック解除状態であれば、パスワードの入力等なしに回復キーの再保存や再印刷が可能
・ 管理者権限のコマンドラインから、次のコマンドで表示することもできる
manage-bde -protectors -get C: (※ -getの後方は対象ドライブレター)
〇 フォレンジックツールによる対応
・ EnCase Forensicでは、自動的にBITLOCKER暗号化メディアを検知し、回復キーの入力を要求する
・ X-WaysにはBITLOCKER解除機能はない
〇 BITLOCKERの無効化
・ ロック解除状態であれば、BITLOCKERを無効にして非暗号化メディアに復元することが可能
・ 無効化には相当の時間がかかる。過去の事例では、500GBのHDDで約4時間
フル機能サポート(BitLockerボリュームの作成/管理、GUI・CUIでの管理)
・Windows 7 Ultimate/Enterprise
・Windows 8/8.1/10 Pro/Enterprise
・Windows Server 2008〜2016
読み書きのみ(ロック解除と読み書き、manage-bde.exe等のCUIでの管理)
・Windows 7 Home Basic/Home Premium/Professional
・Windows 8/8.1(無印エディション)
・Windows 10 Home
読み出しのみ(「Bit Locker To Goリーダー」ツールによる読み出し)
・Windows XP
・Windows Vista Home Basic/Home Premium
〇 リムーバルメディア(Bitlocker To Go)やCドライブ以外の内蔵HDDの暗号化機能
・ エクスプローラ上でドライブ名を右クリックして[BitLockerで有効にする]を選択するか、コントロールパネルの[システムとセキュリティ]−[BitLockerドライブ暗号化]ツールで対象ドライブの[BitLockerで保護する]を実行し、解除パスワードを指定する
・ パスワードがわからなくなった等、非常時用の回復キー(48桁)が生成され、データとして保存するか、紙に印刷するかを選択できる。Microsoftアカウントのクラウドに保存することも可能。
・ 接続時に解除パスワードを入力することにより利用可能になる
・ 利用パソコンに接続すると、自動ロック解除する設定も可能
〇 内蔵HDDのOSドライブ(Cドライブ)の暗号化機能
・ 設定方法は上記と同じ
・ 暗号化キーはパソコンのTPMチップに保存され、起動時に自動ロック解除される
・ 取り外して、リムーバルドライブとして接続した場合は上記と同じ
〇 回復キーによる復号方法
・ パスワード入力ウィンドウで「その他オプション」−「回復キーの入力」を選択する
・ 回復キーはコピー&ペーストすることが可能
〇 回復キーの取得
・ ロック解除状態であれば、パスワードの入力等なしに回復キーの再保存や再印刷が可能
・ 管理者権限のコマンドラインから、次のコマンドで表示することもできる
manage-bde -protectors -get C: (※ -getの後方は対象ドライブレター)
〇 フォレンジックツールによる対応
・ EnCase Forensicでは、自動的にBITLOCKER暗号化メディアを検知し、回復キーの入力を要求する
・ X-WaysにはBITLOCKER解除機能はない
〇 BITLOCKERの無効化
・ ロック解除状態であれば、BITLOCKERを無効にして非暗号化メディアに復元することが可能
・ 無効化には相当の時間がかかる。過去の事例では、500GBのHDDで約4時間
2018年01月16日
UFEDによる iTunes Backup の暗号化解除
@
A2018年01月01日
新着記事
(02/06)UFED 新機能(Checkm8エクスプロイトによる Full File System Dump
(02/05)Mac OS インストール・アップデート履歴の確認方法
(02/04)Mac OSの推移
(01/14)Apple Forensic
(01/14)Windows10の起動履歴(イベントログ)
(02/05)Mac OS インストール・アップデート履歴の確認方法
(02/04)Mac OSの推移
(01/14)Apple Forensic
(01/14)Windows10の起動履歴(イベントログ)
記事検索
カテゴリ
Internet(29)
Linux(7)
WinXP(11)
Mac(19)
Win全般(19)
Network(0)
その他(2)
備忘(0)
EnCase(2)
スマートフォン(9)
X-Ways(3)
Linux(7)
WinXP(11)
Mac(19)
Win全般(19)
Network(0)
その他(2)
備忘(0)
EnCase(2)
スマートフォン(9)
X-Ways(3)
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
過去ログ
