TPM ロックアウトの管理

  • [アーティクル]

IT 担当者向けのこのトピックでは、Windows でトラステッド プラットフォーム モジュール (TPM) のロックアウト機能を管理する方法について説明します。

TPM ロックアウトについて

TPM は、改ざんや悪意のある攻撃を防ぐために自身をロックします。TPM ロックアウトは多くの場合、可変の時間の長さで、またはコンピューターがオフになるまで続きます。TPM がロックアウト モードのときに認証値を必要とするコマンドを受信すると、通常はエラー メッセージが返されます。1 つの例外として、TPM はロックアウト モードのときに TPM ロックアウトをリセットするための試みを、少なくとも 1 回所有者に常に許可します。

TPM 所有権は通常、コンピューターで最初に BitLocker ドライブ暗号化が有効にされたときに取得されます。この場合、TPM 所有者認証パスワードが BitLocker 回復キーと共に保存されます。BitLocker 回復キーがファイルに保存されると、BitLocker は TPM 所有者パスワード ハッシュ値を持つ TPM 所有者パスワード ファイル (.tpm) も保存します。BitLocker 回復キーを印刷すると、TPM 所有者パスワードも同時に印刷されます。組織のグループ ポリシー設定がそのように構成されている場合には、TPM 所有者パスワード ハッシュ値を Active Directory ドメイン サービス (AD DS) に保存することもできます。

場合によっては、キーにアクセスするための有効な認証値を求めることで、暗号化キーが TPM によって保護されていることもあります。一般的な例は、TPM と PIN キー プロテクターを使うために BitLocker ドライブ暗号化を構成することです。このシナリオでは、ユーザーは TPM によって保護されたボリューム暗号化キーにアクセスするために、ブート プロセス中に正しい PIN を入力する必要があります。悪意のあるユーザーまたはソフトウェアが認証値を見つけ出すことを防ぐために、TPM には保護ロジックが実装されています。保護ロジックは、認証値を推測するためにエンティティが試みられている可能性があることを検出した場合、TPM からの応答を遅くするか、停止するように設計されています。

Trusted Computing Group (TCG) の業界標準では、TPM 製造元は TPM 1.2 チップと TPM 2.0 チップに何らかの形の保護ロジックを実装する必要があると指定されています。TPM 製造元は、さまざまな保護メカニズムと動作を実装しています。一般的なガイダンスは、正しくない認証値が TPM に送信された場合、TPM チップが応答にかける時間を指数関数的に長くすることです。一部の TPM チップは、失敗した試みを長期間保存しません。別の TPM チッは、すべての失敗した試みを無期限に保存します。そのため、一部のユーザーは TPM に送信される認証値を誤って入力したときに、遅延がどんどん長くなっていくと感じます。これにより、特定の期間の間ユーザーが TPM を使わないようにすることができます。

TPM がロックアウト モードになっている場合や、コマンドに対しての応答が遅くなっている場合は、次の手順を使ってロックアウト値をリセットできます。TPM ロックアウトをリセットするには、TPM 所有者の認証が必要です。

TPM MMC を使って TPM ロックアウトをリセットします。

次の手順では、TPM MMC を使って TPM ロックアウトをリセットするための手順について説明します。

Mt431884.wedge(ja-jp,VS.85).gifTPM ロックアウトをリセットするには

  1. TPM MMC (tpm.msc) を開きます。

  2. [操作] ウィンドウで、[TPM ロックアウトのリセット] をクリックして TPM ロックアウトのリセット ウィザードを起動します。

  3. TPM 所有者パスワードを入力するための方法を次のいずれかから選択します。

    • TPM 所有者パスワードを .tpm ファイルに保存している場合は、[所有者パスワード ファイルがあります] をクリックしてファイルへのパスを入力するか、[参照] をクリックしてファイルの場所に移動します。

    • TPM 所有者パスワードを手動で入力する場合は、[所有者パスワードを入力します] をクリックして、表示されるテキスト ボックスにパスワードを入力します。

        

      BitLocker と TPM を同時に有効にしていて、BitLocker を有効にしたときに BitLocker 回復パスワードを印刷した場合、TPM 所有者パスワードが共に印刷されている可能性があります。

       

グループ ポリシーを使って TPM ロックアウト設定を管理する

次の一覧の TPM グループ ポリシー設定は次の場所にあります。

コンピューターの構成\管理用テンプレート\システム\トラステッド プラットフォーム モジュール サービス\

  • 標準ユーザーのロックアウト期間

    このポリシー設定では、認証を必要とする TPM コマンドに対する標準ユーザーの認証の失敗を数えるための分単位の期間を管理できます。ユーザーが TPM にコマンドを送信し、認証が失敗したことを示すエラー メッセージを受け取るたびに認証の失敗が発生します。設定した期間よりも古い認証の失敗は無視されます。ロックアウト期間中に認証に失敗した TPM コマンドの数がしきい値に達すると、ユーザーは認証が必要な TPM へのコマンドの送信ができなくなります。

  • 標準ユーザーごとのロックアウトしきい値

    このポリシー設定では、ユーザーごとに TPM の認証の失敗の最大数を管理することができます。この値は、認証を必要とする TPM にコマンドを送信することが許可されなくなる前に、それぞれのユーザーが行える認証の失敗の最大数です。認証の失敗の回数がポリシー設定で設定された期間に達すると、ユーザーは認証が必要な TPM へのコマンドの送信ができなくなります。

  • 標準ユーザー全体のロックアウトしきい値

    このポリシー設定では、すべての標準ユーザーの TPM の認証の失敗の最大数を管理することができます。すべてのユーザーの認証の失敗の合計回数がポリシー設定で設定された期間に達すると、すべてのユーザーは認証が必要な TPM へのコマンドの送信ができなくなります。

ロックアウト設定を使う辞書攻撃を軽減する方法について詳しくは、「TPM の基本事項」をご覧ください。

TPM コマンドレットを使う

Windows PowerShell を使ってコンピューターを管理する場合は、Windows PowerShell を使って TPM も管理できます。TPM コマンドレットをインストールするには、次のコマンドを入力します。

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

個々のコマンドレットについて詳しくは、Windows PowerShell の TPM コマンドレットに関するページをご覧ください。

その他の情報

TPM について詳しくは、「TPM テクノロジの概要」をご覧ください。