暗号層が入ると難しいよね

Windows テクノロジ

当社の社外持ち出しPCには某社のドライブ暗号化ソフトが入っている。最近私の管轄内の持ち出しPCが2台論理的に壊れて、いい経験になったので記載しておく。

最初の1台は起動するものの、暗号化ソフトの管理プログラムが起動した瞬間にBSoDで死亡してしまう。セーフモードでは起動したので、ダンプファイルを解析してBSoDの原因を調査したところ、やはり暗号化ソフト(のドライバ)が原因で死亡しているようだった。実にめんどくさい。

まあ、セーフモードで起動しているので、暗号化ソフトのアンインストールを試みたところ、「セーフモードではアンインストールできません」とご丁寧に言われてしまった。実にめんどくさい。

Windowsの初期化再インストールしかないだろうと思い、インストールメディアを探していたところ、ほかの担当者がWindowsの機能である「リカバリインストール」を試したようだった。その結果、暗号化層の上でWindowsが初期状態に復元されるというなかなかおもしろい結果になった。そのまま、その担当者はインストールを進めたが、暗号化ソフトを入れようとして「すでに暗号化されてるからインストールできないよエラー」が出てしまった。なるほど、暗号化されたままWindowsリカバリすると、暗号化層を管理できなくなっちゃうんだな。

いずれにしても暗号化層を含めた初期化しかないし、情報システム部しか、このPCのインストールメディア持ってないし、ということで、情報システム部に初期化を依頼したところ、「二週間かかりますよ」と言われたのであった。いやいや二週間テレワーク出来なくなっちゃうじゃんアホか。

ということで、Windowsの「バックアップ(Windows7)」という機能を使ってみることにした。この機能は現在立ち上がっているWindowsを起動状態のままに丸ごとバックアップできる機能なので、暗号化層の影響をあまり受けない*1

暗号化層上でリカバリインストールしたWndowsをそのままバックアップし、パーティションをきれいに消去(暗号化層を消す)した上で、バックアップから戻せば、暗号化されていないwindowsに戻るだろうと思い、やってみたのであった。なんと、うまくいった。

さて、再度暗号化しようかなと思い、暗号化ソフトをインストールしようとしたところ、「ブート領域に暗号化ソフト入っているからインストールできません」と言われてしまった。なるほど、OSの入っているドライブを暗号化するためには、そのドライブを起動時に複合化しなきゃならないので、ブート領域にもソフト入っているのね。うわめんどくせえ。ブート領域にドライブレター割り当てて、暗号化ソフトらしきファイルをちまちま消去したのだけれど、どうやっても「ブート領域エラー」は解除できない。

こうなったら最後の手段だ。ブート領域削除して再作成しちゃえと思い、Windows10のインストールメディア*2でPCを起動し、Windowsの修復メニューに入ってdiskpartで削除してみる。なぜか削除できない。けれども、ブート領域内のファイルフォルダは削除できたので、きれいに削除して、ブート領域を修復した。ここまでやって、無事にWindowsは暗号化ソフトを入れられるようになった。めでたしめでたし。


さて2台目のPCだが、上記作業の1週間後、今度は「OSから見えるパーティションサイズ」と「ファイルシステムが報告するパーティションサイズ」が異なるという非常に厄介な症状が発生していた。暗号化ソフトの影響なのかわからないが、ディスク管理ツールは200GBと報告するパーティションが、エクスプローラから見ると50GBにしか見えない。暗号化を解除しても現象は変わらず。使えるには使えるんだけれど容量が小さすぎてWindowsUpdateができないのだ。

まあ今回は暗号化ソフトの影響かもしれないけど、上記で編み出した手法があるので、バックアップ→リカバリで問題なくうまくいくだろうと思いきや、パーティション内のデータがリカバリの邪魔をする。まあ、パーティション削除しちゃえばいいやと思い、Windows10のDVDで起動。Windowsインストールを開始するとそこでパーティション削除できるので、パーティションを削除し、インストールを中断、バックアップを復元した。


仮想化にしても暗号化にしても、層が1つ増えると、その層で新たなトラブルが発生する。ドライブ暗号化ソフトっていうのは平時はその存在を感じないレベルで安定するのだけれど、障害発生時には牙をむいてくるのだ。

今回の修復で得た知識集

  • 暗号化ソフトを入れると、ブートローダに暗号化を解除するプログラムがインストールされる→まあ、当たり前っていえば当たり前なんだけれど
  • Windowsの「バックアップ(Windows7)」機能めちゃ使える
  • USB SSDは用意しておいたほうがいい。バックアップの速度がHDDと段違い
  • Window10のメディアはDVD-DLもしくはBD-Rでないと容量が足りない
  • パーティション削除はWindowsインストーラが最強
  • ブートローダの初期化方法
diskpart
list disk	   (付属しているディスクのうちOSが入っているディスクの番号を確認)
select disk 0	   (OSが入っているディスクの番号をSELECTする)
list volume      (システムボリュームの番号を確認)
select volume 0 (システムボリュームの番号をSELECTする)
asign letter=s:  (システムボリュームにドライブレターSを付加する)
exit
s:	(Sドライブへ移動) 
rmdir /s efi
x:
bcdboot C:\Windows /s S: /f UEFI

*1:起動状態のWindowsから見たファイル群は複合化されたファイル群なので

*2:MSDN契約で入手したISOをDVDに焼いたもの。ライセンスが異なるのでこのPCのインストールには使用できないが、リカバリ目的で使用することはできる。