TPM グループ ポリシー設定
IT 担当者向けのこのトピックでは、グループ ポリシー設定を使って一元管理できるトラステッド プラットフォーム モジュール (TPM) サービスについて説明します。
TPM サービスのグループ ポリシー設定は次の場所にあります。
Computer Configuration\Administrative Templates\System\Trusted Platform Module Services\
| 設定 | Windows 10 | Windows Server 2012 R2、Windows 8.1、Windows RT | Windows Server 2012、Windows 8、Windows RT | Windows Server 2008 R2、Windows 7 | Windows Server 2008、Windows Vista |
|---|---|---|---|---|---|
Active Directory ドメイン サービスへの TPM バックアップを有効にする |
○ |
○ |
○ |
○ |
○ |
ブロックされる TPM コマンドの一覧を構成する |
○ |
○ |
○ |
○ |
○ |
ブロックされる TPM コマンドの既定の一覧を無視する |
○ |
○ |
○ |
○ |
○ |
ブロックされる TPM コマンドのローカルの一覧を無視する |
○ |
○ |
○ |
○ |
○ |
オペレーティング システムで使える TPM 所有者認証情報のレベルを構成する |
○ |
○ |
○ |
||
標準ユーザーのロックアウト期間 |
○ |
○ |
○ |
||
標準ユーザーごとのロックアウトしきい値 |
○ |
○ |
○ |
||
標準ユーザー全体のロックアウトしきい値 |
○ |
○ |
○ |
Active Directory ドメイン サービスへの TPM バックアップを有効にする
このポリシー設定では、TPM 所有者情報の Active Directory ドメイン サービス (AD DS) バックアップを管理できます。
注
このポリシー設定は、バージョンの一覧に示している Windows オペレーティング システムに適用されます。
TPM 所有者情報には TPM 所有者パスワードの暗号化ハッシュが含まれています。一部の TPM コマンドは TPM 所有者のみが実行できます。このハッシュは TPM に対するこれらのコマンドの実行の許可に使われます。
重要
Windows 10、Windows 8.1、または Windows 8 を実行しているコンピューターから TPM 所有者情報をバックアップするには、AD DS バックアップを正常に実行できるように、最初に、適切なスキーマ拡張機能とアクセス制御設定をドメインで設定することが必要になる場合があります。Windows Server 2012 R2 と Windows Server 2012 には、必要なスキーマ拡張機能が既定で含まれています。詳しくは、「TPM バックアップをサポートするための AD DS スキーマ拡張機能」をご覧ください。
TPM を使って、BitLocker ドライブ暗号化とその他のアプリケーションに高度なセキュリティ機能を提供するには、最初に所有者を設定する必要があります。所有者パスワードを使って TPM の所有権を取得するには、ローカル コンピューターのコマンド プロンプトで「tpm.msc」と入力して、TPM 管理コンソールを開き、操作として [TPM を初期化] を選びます。TPM 所有者情報が失われたり、使えなかったりする場合は、tpm.msc を実行することで、制限付きで TPM 管理を行えます。
このポリシー設定を有効にした場合、Windows を使って TPM 所有者パスワードを設定または変更すると、TPM 所有者情報は通知されることなく自動的に AD DS にバックアップされます。このポリシー設定が有効になっているとき、コンピューターがドメインに接続されていなくて AD DS バックアップが失敗すると、TPM 所有者パスワードは設定も変更もできなくなります。
このポリシー設定を無効にしたか構成しない場合、TPM 所有者情報は AD DS にバックアップされません。
ブロックされる TPM コマンドの一覧を構成する
このポリシー設定では、Windows によってブロックされるトラステッド プラットフォーム モジュール (TPM) コマンドのグループ ポリシー一覧を管理できます。
注
このポリシー設定は、バージョンの一覧に示している Windows オペレーティング システムに適用されます。
このポリシー設定を有効にした場合、Windows では、指定したコマンドがブロックされて、コンピューターの TPM に送られなくなります。TPM コマンドはコマンド番号で参照されます。たとえば、コマンド番号 129 は TPM_OwnerReadInternalPub であり、コマンド番号 170 は TPM_FieldUpgrade です。各 TPM コマンドに関連付けられているコマンド番号を見つけるには、コマンド プロンプトで「tpm.msc」と入力して、TPM 管理コンソールを開き、[コマンド管理] セクションに移動します。
このポリシーの設定を無効にしたか構成しない場合、Windows では、既定またはローカルの一覧で指定した TPM コマンドのみがブロックされます。ブロックされる TPM コマンドの既定の一覧は Windows で構成済みです。
既定の一覧を表示するには、コマンド プロンプトで「tpm.msc」と入力し、[コマンド管理] セクションに移動して、[既定のブロック一覧上] 列を表示します。
ブロックされる TPM コマンドのローカルの一覧は、TPM 管理コンソールを実行するか、または Win32_Tpm インターフェイスを使うスクリプトを実行することで、グループ ポリシーの外部で構成されています。
ブロックされる TPM コマンドの既定とローカルの一覧を実施または無視する方法については、次のトピックをご覧ください。
ブロックされる TPM コマンドの既定の一覧を無視する
ブロックされる TPM コマンドのローカルの一覧を無視する
ブロックされる TPM コマンドの既定の一覧を無視する
このポリシー設定では、ブロックされたトラステッド プラットフォーム モジュール (TPM) コマンドのコンピューターにある既定の一覧を実施または無視できます。
注
このポリシー設定は、バージョンの一覧に示している Windows オペレーティング システムに適用されます。
ブロックされる TPM コマンドの既定の一覧は Windows で構成済みです。既定の一覧を表示するには、コマンド プロンプトで「tpm.msc」と入力して TPM 管理コンソールを開き、[コマンド管理] セクションに移動して、[既定のブロック一覧上] 列を表示します。 関連するポリシー設定 [ブロックされる TPM コマンドの一覧を構成する] もご覧ください。
このポリシー設定を有効にした場合、Windows オペレーティング システムでは、ブロックされる TPM コマンドのコンピューターにある既定の一覧は無視され、グループ ポリシーまたはローカルの一覧で指定した TPM コマンドのみがブロックされます。
このポリシー設定を無効にしたか構成しない場合、Windows では、グループ ポリシーで指定したコマンドとブロックされる TPM コマンドのローカルの一覧に含まれるコマンドに加えて、既定の一覧に含まれる TPM コマンドがブロックされます。
ブロックされる TPM コマンドのローカルの一覧を無視する
このポリシー設定では、ブロックされるトラステッド プラットフォーム モジュール (TPM) コマンドのコンピューターにあるローカルの一覧を実施または無視できます。
注
このポリシー設定は、バージョンの一覧に示している Windows オペレーティング システムに適用されます。
ブロックされる TPM コマンドのローカルの一覧は、コマンド プロンプトで「tpm.msc」と入力して TPM 管理コンソールを開くか、または Win32_Tpm インターフェイスを使うスクリプトを実行することで、グループ ポリシーの外部で構成されています (ブロックされる TPM コマンドの既定の一覧は Windows で構成済みです)。関連するポリシー設定 [ブロックされる TPM コマンドの一覧を構成する] もご覧ください。
このポリシー設定を有効にした場合、Windows オペレーティング システムでは、ブロックされる TPM コマンドのコンピューターにあるローカルの一覧は無視され、グループ ポリシーまたは既定の一覧で指定した TPM コマンドのみがブロックされます。
このポリシー設定を無効にしたか構成しない場合、Windows では、グループ ポリシーで指定したコマンドとブロックされる TPM コマンドの既定の一覧に含まれるコマンドに加えて、ローカルの一覧に含まれる TPM コマンドがブロックされます。
オペレーティング システムで使える TPM 所有者認証情報のレベルを構成する
このポリシー設定では、ローカル コンピューターのレジストリに格納される TPM 所有者認証情報の量を構成します。ローカルに格納される TPM 所有者認証情報の量に応じて、Windows オペレーティング システムと TPM ベースのアプリケーションは、TPM 所有者パスワードの入力をユーザーに求めずに、TPM 所有者認証を必要とする特定のアクションを TPM で実行できます。
注
このポリシー設定は、バージョンの一覧に示している Windows オペレーティング システムに適用されます。
Windows オペレーティング システムによって管理されている 3 つの TPM 所有者認証設定があります。[フル]、[委任]、[なし] のいずれかの値を選べます。
[フル] この設定では、フル TPM 所有者認証、TPM 管理者委任 BLOB、TPM ユーザー委任 BLOB がローカル レジストリに格納されます。この設定では、TPM 所有者認証値のリモートまたは外部の記憶域を必要とせずに TPM を使えます。この設定は、TPM ハンマリング対策ロジックのリセットや TPM 所有者認証値の変更が不要なシナリオに適しています。TPM ベースのアプリケーションによっては、TPM ハンマリング対策ロジックに依存する機能を使う前に、この設定の変更が必要になる場合があります。
[委任] この設定では、TPM 管理者委任 BLOB と TPM ユーザー委任 BLOB のみがローカル レジストリに格納されます。この設定は、TPM ハンマリング対策ロジックに依存する TPM ベースのアプリケーションでの使用に適しています。この設定を使うときは、外部またはリモートの記憶域へのフル TPM 所有者認証値の格納 (Active Directory ドメイン サービス (AD DS) へのその値のバックアップなど) をお勧めします。
[なし] この設定では、以前のオペレーティング システムやアプリケーションとの互換性を得られます。この設定は、TPM 所有者認証値をローカルに格納できないシナリオにも使えます。この設定を使うと、TPM ベースのアプリケーションによっては問題が起こる場合があります。
注
オペレーティング システムの管理対象の TPM 認証設定が [フル] から [委任] に変更された場合、完全な TPM 所有者認証値が生成されるようになり、前に設定した TPM 所有者認証値のコピーはすべて無効になります。AD DS に TPM 所有者認証値をバックアップする場合は、その値が変更されると、新しい値が AD DS に自動的にバックアップされます。
レジストリ情報
レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD: OSManagedAuthLevel
次の表では、レジストリ内の TPM 所有者認証値を示しています。
| 値データ | 設定 |
|---|---|
0 |
なし |
2 |
委任 |
4 |
フル |
このポリシー設定を有効にした場合、Windows オペレーティング システムでは、選んだ TPM 認証設定に応じて、ローカル コンピューターのレジストリに TPM 所有者認証値が格納されます。
このポリシーの設定を無効にしたか構成しないで、[Active Directory ドメイン サービスへの TPM バックアップを有効にする] ポリシー設定も無効にしたか構成しない場合は、既定でフル TPM 認証値がローカル レジストリに格納されます。このポリシーを無効にしたか構成せず、[Active Directory ドメイン サービスへの TPM バックアップを有効にする] を有効にした場合は、管理者委任 BLOB とユーザー委任の BLOB のみがローカル レジストリに格納されます。
標準ユーザーのロックアウト期間
このポリシー設定では、認証を必要とするトラステッド プラットフォーム モジュール (TPM) コマンドについて、標準ユーザーの認証失敗をカウントする期間を分単位で管理できます。標準ユーザーが TPM にコマンドを送り、認証失敗を示すエラー応答を受け取るたびに、認証失敗がカウントされます。設定した期間よりも古い認証失敗は無視されます。ロックアウト期間中に認証に失敗した TPM コマンドの数がしきい値に達すると、標準ユーザーは認証を必要とするコマンドを TPM に送れなくなります。
注
このポリシー設定は、バージョンの一覧に示している Windows オペレーティング システムに適用されます。
TPM は、誤った認証値を使ったコマンドをあまりにも多く受け取ると、ハードウェア ロックアウト モードを入ることで、パスワード推測攻撃に対して自らを保護するように設計されています。TPM がロックアウト モードに入ると、このモードはすべてのユーザー (管理者を含む) にも Windows の機能 (BitLocker ドライブ暗号化など) にも適用されます。
TPM が許可する認証失敗回数とロックアウト期間は、TPM の製造元によって異なります。ある TPM では、過去の失敗に応じて、ロックアウト期間が長くなり、許可する認証失敗回数が少なくなります。ある TPM では、ロックアウト モードから出るために、システムを再起動する必要があります。ある TPM では、ロックアウト モードから出るまでに、システムで十分なクロック サイクルが経過する必要があります。
この設定により、管理者は、認証を必要とするコマンドを標準ユーザーが TPM に送るのを遅らせることで、TPM ハードウェアがロックアウト モードに入らないようにできます。
標準ユーザーごとに、2 つのしきい値が適用されます。いずれかのしきい値を超えると、ユーザーは認証を必要とするコマンドを TPM に送れなくなります。ロックアウト期間を設定するには、次のポリシー設定を使います。
標準ユーザーごとのロックアウトしきい値 この値は、各標準ユーザーが認証を必要とするコマンドを TPM に送れなくなるまでに許可される認証失敗の最大回数です。
標準ユーザー全体のロックアウトしきい値 この値は、すべての標準ユーザーが認証を必要とするコマンドを TPM に送れなくなるまでに許可される認証失敗の最大回数です。
TPM 所有者パスワードを持つ管理者は、TPM 管理コンソール (tpm.msc) を使って TPM のハードウェア ロックアウト ロジックをリセットできます。管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、それまでの標準ユーザーによる TPM 認証の失敗はすべて無視されます。これにより、標準ユーザーはすぐに TPM を正常に使えるようになります。
このポリシー設定を構成しない場合は、480 分 (8 時間) の既定値が使われます。
標準ユーザーごとのロックアウトしきい値
このポリシー設定では、各ユーザーに許可されるトラステッド プラットフォーム モジュール (TPM) 認証失敗の最大回数を管理できます。この値は、各標準ユーザーが認証を必要とするコマンドを TPM に送れなくなるまでに許可される認証失敗の最大回数です。ユーザーの認証失敗回数が、[標準ユーザーのロックアウト期間] ポリシー設定で指定した期間内に、この値に達した場合、標準ユーザーは認証を必要とするコマンドをトラステッド プラットフォーム モジュール (TPM) に送れなくなります。
注
このポリシー設定は、バージョンの一覧に示している Windows オペレーティング システムに適用されます。
この設定により、管理者は、認証を必要とするコマンドを標準ユーザーが TPM に送るのを遅らせることで、TPM ハードウェアがロックアウト モードに入らないようにできます。
標準ユーザーが TPM にコマンドを送り、認証失敗を示すエラー応答を受け取るたびに、認証失敗がカウントされます。設定した期間よりも古い認証失敗は無視されます。
TPM 所有者パスワードを持つ管理者は、TPM 管理コンソール (tpm.msc) を使って TPM のハードウェア ロックアウト ロジックをリセットできます。管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、それまでの標準ユーザーによる TPM 認証の失敗はすべて無視されます。これにより、標準ユーザーはすぐに TPM を正常に使えるようになります。
このポリシー設定を構成しない場合は、4 の既定値が使われます。0 の値を設定した場合、オペレーティング システムで標準ユーザーは認証失敗になる可能性のあるコマンドを TPM に送れなくなります。
標準ユーザー全体のロックアウトしきい値
このポリシー設定では、すべてのユーザーに許可されるトラステッド プラットフォーム モジュール (TPM) 認証失敗の最大回数を管理できます。すべての標準ユーザーの認証失敗回数の合計が、[標準ユーザーのロックアウト期間] ポリシー設定で指定した期間内に、この値に達した場合、標準ユーザーは認証を必要とするコマンドをトラステッド プラットフォーム モジュール (TPM) に送れなくなります。
注
このポリシー設定は、バージョンの一覧に示している Windows オペレーティング システムに適用されます。
この設定により、管理者は、認証を必要とするコマンドを標準ユーザーが TPM に送るのを遅らせることで、TPM ハードウェアがロックアウト モードに入らないようにできます。
標準ユーザーが TPM にコマンドを送り、認証失敗を示すエラー応答を受け取るたびに、認証失敗がカウントされます。設定した期間よりも古い認証失敗は無視されます。
標準ユーザーごとに、2 つのしきい値が適用されます。いずれかのしきい値を超えると、標準ユーザーは認証を必要とするコマンドを TPM に送れなくなります。
標準ユーザーごとのロックアウトしきい値は、各標準ユーザーが認証を必要とするコマンドを TPM に送れなくなるまでに許可される認証失敗の最大回数です。
標準ユーザー全体のロックアウトしきい値は、すべての標準ユーザーが認証を必要とするコマンドを TPM に送れなくなるまでに許可される認証失敗の最大回数です。
TPM は、誤った認証値を使ったコマンドをあまりにも多く受け取ると、ハードウェア ロックアウト モードを入ることで、パスワード推測攻撃に対して自らを保護するように設計されています。TPM がロックアウト モードに入ると、このモードはすべてのユーザー (管理者を含む) にも Windows の機能 (BitLocker ドライブ暗号化など) にも適用されます。
TPM が許可する認証失敗回数とロックアウト期間は、TPM の製造元によって異なります。ある TPM では、過去の失敗に応じて、ロックアウト期間が長くなり、許可する認証失敗回数が少なくなります。ある TPM では、ロックアウト モードから出るために、システムを再起動する必要があります。 ある TPM では、ロックアウト モードから出るまでに、システムで十分なクロック サイクルが経過する必要があります。
TPM 所有者パスワードを持つ管理者は、TPM 管理コンソール (tpm.msc) を使って TPM のハードウェア ロックアウト ロジックをリセットできます。管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、それまでの標準ユーザーによる TPM 認証の失敗はすべて無視されます。これにより、標準ユーザーはすぐに TPM を正常に使えるようになります。
このポリシー設定を構成しない場合は、9 の既定値が使われます。0 の値を設定した場合、オペレーティング システムで標準ユーザーは認証失敗になる可能性のあるコマンドを TPM に送れなくなります。
その他の資料
トラステッド プラットフォーム モジュール テクノロジの概要