TPM ロックアウトの管理

IT 担当者向けのこの記事では、Windows のトラステッド プラットフォーム モジュール (TPM) のロックアウト機能を管理する方法について説明します。

TPM ロックアウトについて

TPM は、改ざんや悪意のある攻撃を防ぐために自身をロックします。 TPM ロックアウトは、多くの場合、一定の時間、またはコンピューターの電源がオフになるまで続きます。 TPM はロックアウト モードですが、通常、承認値を必要とするコマンドを受け取るとエラー メッセージが返されます。 1 つの例外は、TPM がロックアウト モードのときに、所有者が TPM ロックアウトをリセットすることを常に 1 回許可することです。

Windows は、初回起動時に TPM 所有権の所有権を取得します。 既定では、Windows は TPM 所有者パスワードを保持しません。

場合によっては、キーにアクセスするために有効な承認値を要求することで、暗号化キーが TPM によって保護されます。 一般的な例として、TPM と PIN キー保護機能を使用するように BitLocker ドライブ暗号化を構成する方法があります。 このシナリオでは、TPM によって保護されているボリューム暗号化キーにアクセスするには、ブート プロセス中に正しい PIN を入力する必要があります。 悪意のあるユーザーまたはソフトウェアが承認値を検出するのを防ぐために、TPM は保護ロジックを実装します。 保護ロジックは、エンティティが承認値を推測しようとしている可能性があることを検出した場合に、TPM からの応答を遅くまたは停止するように設計されています。

TPM 2.0

TPM 2.0 デバイスには、Windows によって構成されるロックアウト動作が標準化されています。 TPM 2.0 デバイスには、最大カウントしきい値と復旧時間があります。 Windows では、最大カウントが 32、復旧時間が 10 分に構成されます。 この構成は、イベントなしで 10 分間の電源オン操作が継続するたびに、カウンターが 1 ずつ減少することを意味します。

TPM がロックアウト モードに入った場合、またはコマンドへの応答が遅い場合は、次の手順を使用してロックアウト値をリセットできます。 TPM ロックアウトをリセットするには、TPM 所有者の承認が必要です。 この値は、バージョン 1607 以降Windows 10既定では保持されなくなりました。

TPM 1.2

トラステッド コンピューティング グループ (TCG) の業界標準では、TPM 製造元は TPM 1.2 チップと TPM 2.0 チップで何らかの形式の保護ロジックを実装する必要があることを指定しています。 TPM 1.2 デバイスでは、さまざまな保護メカニズムと動作が実装されています。 一般に、TPM チップは、不正な承認値が TPM に送信された場合の応答に指数関数的に長くかかります。 一部の TPM チップでは、時間の経過と同時に失敗した試行が格納されない場合があります。 他の TPM チップは、失敗したすべての試行を無期限に格納する場合があります。 そのため、一部のユーザーは、TPM に送信される承認値を誤って入力すると、遅延が長くなる可能性があります。 これらの遅延により、一定期間 TPM を使用できなくなる可能性があります。

TPM MMC を使用して TPM ロックアウトをリセットする

この手順は、TPM 所有者パスワードを保持するように Windows を構成している場合にのみ使用できます。 既定では、このパスワードはバージョン 1607 以降のWindows 10では使用できません。

次の手順では、TPM MMC を使用して TPM ロックアウトをリセットする手順について説明します。

TPM ロックアウトをリセットする

  1. TPM MMC (tpm.msc) を開きます。

  2. [ 操作 ] ウィンドウで、[ TPM ロックアウトのリセット ] を選択して、TPM ロックアウトのリセット ウィザードを開始します。

  3. TPM 所有者パスワードを入力するには、次のいずれかの方法を選択します。

    • TPM 所有者パスワードをファイルに .tpm 保存した場合 は、[所有者パスワード ファイルがある] を選択し、ファイルへのパスを入力するか、[ 参照 ] を選択してファイルの場所に移動します。

    • TPM 所有者パスワードを手動で入力する場合 は、[所有者パスワードを入力する] を選択し、指定されたテキスト ボックスにパスワードを入力します。

    BitLocker と TPM を同時に有効にし、BitLocker をオンにしたときに BitLocker 回復パスワードを印刷した場合、TPM 所有者パスワードが印刷されている可能性があります。

グループ ポリシーを使用して TPM ロックアウト設定を管理する

次の一覧の TPM グループ ポリシー設定は、 にあります。

コンピューターの構成>管理用テンプレート>システム>トラステッド プラットフォーム モジュール サービス

  • 標準ユーザー ロックアウト期間

    このポリシー設定を使用すると、承認を必要とする TPM コマンドの標準ユーザー承認エラーをカウントするための期間を分単位で管理できます。 承認エラーは、ユーザーが TPM にコマンドを送信し、承認エラーが発生したことを示すエラー メッセージを受信するたびに発生します。 設定した期間より古い承認エラーは無視されます。 ロックアウト期間内に承認エラーが発生した TPM コマンドの数がしきい値と等しい場合、ユーザーは承認を必要とする TPM にコマンドを送信できません。

  • 標準ユーザーの個別ロックアウトしきい値

    このポリシー設定を使用すると、各ユーザーの TPM の承認エラーの最大数を管理できます。 この値は、ユーザーが承認を必要とする TPM にコマンドを送信することが許可されない前に、各ユーザーが実行できる承認エラーの最大数です。 承認エラーの数がポリシー設定に設定されている期間と等しい場合、ユーザーは承認を必要とする TPM にコマンドを送信できません。

  • 標準ユーザーのロックアウトの合計しきい値

    このポリシー設定を使用すると、すべての標準ユーザーの TPM の承認エラーの最大数を管理できます。 すべてのユーザーの承認エラーの合計数がポリシーに設定されている期間と等しい場合、すべてのユーザーが承認を必要とする TPM にコマンドを送信できなくなります。

ロックアウト設定を使用するディクショナリ攻撃の軽減については、「 TPM の基礎」を参照してください。

TPM コマンドレットを使用する

Windows PowerShell を使用して TPM を管理できます。 詳細については、「Windows PowerShell の TPM コマンドレット」を参照してください。