妄想ですけど、
退職者のパソコンを立ち上げたらBitLockerの回復キーを入力する画面が出てきたことがあります。退職者は問題社員というやつで、揉めて辞めてるので聞くにも聞けず、どうにもならなくなりました、妄想ですけど。
BitLockerの回復キーはMicrosoft365アカウントに紐づいていクラウドに保存されてたりするんですけどMicrosoft365アカウントは削除されていて、回復キーは見つかりませんでした。
そんなとき「回復キーをもっと原始的な方法で保存しておけばよかった」と思いました。
妄想ですけど、しばくぞ

BitLockerの回復キーをテキストでバックアップしたいときのためのメモ

回復キーの抽出する

次のコマンドで回復キーが抽出できます

manage-bde -protectors -get C:

実行すると

こんな感じ

もし暗号化していないドライブから回復キーを抽出しようとすると
「キーの保護機能は見つかりませんでした」と表示されます。

BitLocker ドライブ暗号化: 構成ツール Version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

ボリューム F: []
すべてのキーの保護機能

エラー: キーの保護機能は見つかりませんでした。

回復キーをテキスト保存する

できたコードがこちら
回復キーがテキストで出力されます
Dドライブの回復キーをc:\tempにテキストファイルで保存します。

$driveletter = 'D' #回復キーを取得したいドライブ
$output_folder ="c:\temp" #回復キー保存先フォルダ
$hst = hostname
manage-bde -protectors -get $driveletter`: | out-file "$output_folder`\$hst`_BITLOCER_KEY.txt"

BitLockerが無効だったら有効にして回復キーをテキスト保存する

BitLockerが無効の場合は有効にしてから回復キーを取得して
テキストで出力するコードがこちら

$driveletter = 'D' #回復キーを取得したいドライブ
$check = manage-bde -protectors -get $driveletter`:
if($check.find("キーの保護機能は見つかりませんでした") -eq -1){
  manage-bde -on $driveletter`: -RecoveryPassword -SkipHardwareTest
}
$output_folder ="c:\temp"
$hst = hostname
manage-bde -protectors -get $driveletter`: | out-file "$output_folder`\$hst`_BITLOCER_KEY.txt"

まず最初に回復キーの取得をして、その結果が「キーが見つからない」つまりBitLockerが無効化されていたら、BitLocker有効化処理してから回復キーの取得をしています。

BitLockerを有効化するにはこう、
manage-bde -on C: -RecoveryPassword -SkipHardwareTest
オプションの-RecoveryPasswordはパスワードで解除する
-SkipHardwareTestはハードテストをスキップする

逆に暗号化を解除するには
manage-bde -off C:

ついでに
自分の好きな数字を回復キーに追加するには
manage-bde -protectors -add C: -rp 001111-002222-003333-004444-005555-006666-007777-008888
6個の数字はそれぞれ11の倍数のみの謎仕様

#PowerShell #コマンドレット #BitLocker #回復キー #バックアップ