TPM 所有者パスワードの変更

IT プロフェッショナル向けのこの記事では、システムにインストールされているトラステッド プラットフォーム モジュール (TPM) の所有者のパスワードまたは PIN を変更する方法について説明します。

TPM 所有者パスワードについて

バージョン 1607 Windows 10以降、Windows は TPM をプロビジョニングするときに TPM 所有者パスワードを保持しません。 パスワードはランダムな高エントロピ値に設定され、破棄されます。

重要

TPM 所有者パスワードは、バージョン 1607 Windows 10以降は保持されませんが、既定のレジストリ キーを変更して保持できます。 ただし、この変更は行わないよう強くお勧めします。 TPM 所有者パスワードを保持するには、レジストリ キーHKLM\Software\Policies\Microsoft\TPMの下に の値OSManagedAuthLevelREG_DWORD作成し、 に設定します4

Windows 10 1703 より新しい Windows バージョンの場合、このキーの既定値は 5 です。 値 5 は、次のことを意味します。

  • TPM 2.0: ロックアウトの承認を保持します。
  • TPM 1.2: 完全な TPM 所有者の承認を破棄し、委任された承認のみを保持します。

TPM がプロビジョニングされる前にレジストリ キーの値が 5 から 4 に変更されない限り、所有者パスワードは保存されません。

TPM ごとに 1 つの所有者パスワードのみが存在します。 TPM 所有者パスワードを使用すると、リモートでコマンド ライン ツールを使用するなどして、コンピューターに物理的にアクセスすることなく TPM を有効、無効、またはクリアできます。 TPM 所有者パスワードを使用すると、TPM ディクショナリ攻撃ロジックを操作することもできます。 Windows は、各ブートのプロビジョニング プロセスの一部として TPM の所有権を取得します。 他のユーザーがパスワードを初期化できるように、パスワードを共有したり、TPM の所有権をクリアしたりすると、所有権が変更される可能性があります。

所有者パスワードがないと、UEFI からの物理的なプレゼンス確認を使用して、上記のすべてのアクションを引き続き実行できます。

その他の TPM 管理オプション

所有者パスワードを変更する代わりに、次のオプションを使用して TPM を管理することもできます。

  • TPM をクリアする - TPM の所有権を取得してから作成されたすべての既存のキーを無効にする場合は、クリアできます。 このプロセスの重要な予防策と、それを完了するための手順については、「 TPM からすべてのキーをクリアする」を参照してください。

  • TPM をオフにする - TPM 1.2 とWindows 10バージョン 1507 および 1511 では、TPM をオフにすることができます。 既存のすべてのキーとデータをそのまま保持し、TPM によって提供されるサービスを無効にする場合は、TPM をオフにします。 詳細については、「TPM を オフにする」を参照してください。

TPM 所有者パスワードの変更

Windows 10バージョン 1507 または 1511 では、TPM 所有者のパスワードを保持することを特に選択している場合は、保存したパスワードを使用して新しいパスワードに変更できます。

新しい TPM 所有者パスワードに変更するには、 で [所有者パスワードTPM.msc変更] を選択し、指示に従います。 所有者パスワード ファイルを指定するか、パスワードを入力するように求められます。 その後、新しいパスワードを自動的または手動で作成し、ファイルまたは印刷出力としてパスワードを保存できます。

TPM コマンドレットを使用する

Windows PowerShell を使用して TPM を管理できます。 詳細については、「Windows PowerShell の TPM コマンドレット」を参照してください。