none
Windows 10 Enterprise 2016 LTSB におけるTPM 所有者パスワードについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    いつもお世話になっております

    TPM初期化時に不思議な現象が起きており、困っております。
    TPMを初期化すると、「所有者パスワード」を保存することができますよね?。

    DELL Latitude E7480(TPM2.0)で、Professional Creators Update、Enterprise Creators Update、Enterprise 2015 LTSBでは、問題なくTPM初期化時に、ウィザード上に所有者パスワードを保存するためのリンクが表示され、クリックすると保存先を指定することができるのですが・・・

    Enterprise 2016 LTSBですと、初期化時に本来上記リンクが表示されるところで「Windows では、TPM とそれを利用するアプリケーションを容易に管理できるように、TPM 所有者パスワードが自動的に保存されます」と表示され、所有者パスワードを保存することができない状況です

    念のため、Cドライブ以下で*.tpm でファイル検索をしてみましたが、見つかりません。

    全てのOSは、64bit版で、同一端末にOSをクリーンインストールし、その直後に試してみているので端末固体による問題とは考えにくく「2016 LTSB」固有のものだと思われるのですが・・・

    2016 LTSB でTPM所有者パスワードファイルを保存する方法は無いのでしょうか?

    ご存知の方がいらっしゃいましたら、ご教示いただけると幸いです・・・
    よろしくお願いいたします。

    2018年2月5日 9:23
    |

回答

すべての返信

  • Question
    サインインして投票
    2
    サインインして投票

    以下に有る通り Windows 10 v1607 (LTSB 2016 もこれに含まれます) 以降から、既定では TPM 所有者パスワードは保存する事が出来無い様に変更さました。

    この動作変更はセキュリティ的な理由からです。レジストリを変更する事で以前の動作へ変更する事は可能ですが、Microsoft が推奨しないセキュリティ的な理由は理解した上で設定される事をお奨めします。

     

    Change the TPM owner password

    https://docs.microsoft.com/en-us/windows/device-security/tpm/change-the-tpm-owner-password

     

    なお、TPM 所有者パスワードが必要な理由としては TPM ロックアウトの解除かと思いますが、TPM 2.0 以降からは TPM ロックアウト閾値は 32 回で、電源 ON 又はスリープ中であれば 2 時間毎にロックカウントが 1 回減るようになっています。

    私が知る環境においては TPM 所有者パスワードを利用する場面がほぼ無くなった為、レジストリは変更せずに TPM 所有者パスワードは保存しない運用にしています。

     

    TPM の基本事項 - TPM が辞書攻撃を緩和する方法

    https://technet.microsoft.com/ja-jp/library/mt431890%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396#BKMK_HowTPMmitigates

     

    Surface で BitLocker の TPM ロックアウトを繰り返す場合の対処 (16/05 追記あり)

    https://blogs.msdn.microsoft.com/microsoft_surface_blogs/2015/10/25/surface-bitlocker-tpm/




    • 編集済み LapivyMVP 2018年2月5日 11:59 改行の追加
    • 回答としてマーク どらちん 2018年2月6日 0:29
    2018年2月5日 11:58
    |
  • Question
    サインインして投票
    0
    サインインして投票

    失礼、見逃していましたが Windows 10 v1703 では TPM 所有者パスワードの保存が可能なのですね。

    私の環境で該当のレジストリを確認したところ、Windows 10 LTSB 2016 の場合は値が "2" Windows 10 v1703 / v1709 の場合は値が "5" になっていました。

    この事と、どらちん様の検証結果からすると、Windows 10 v1607 において動作変更が有り既定では TPM 所有者パスワードの保存が出来なくなったものの、Windows 10 v1703 以降では既定で TPM 所有者パスワードの保存が可能な様に戻ったのかもしれませんね。(OSManagedAuthLevel = 5 の意味する正確な動作は不明ですが)


    • 編集済み LapivyMVP 2018年2月5日 23:50
    2018年2月5日 23:50
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Lapivyさん

    早速の情報提供、ありがとうございます。
    この情報、私には見つけられず・・・お恥ずかしい限りでした。
    大変参考になりました。

    現状環境(Win7+TPM1.2)ではパスワードファイルを保存する運用をしてみましたが、今回のタイミングで運用を変えることも視野に入れて検討したいと思います。
    (次のLTSBはどうなるのでしょうね?)

    本当にありがとうございました!

    2018年2月6日 0:29
    |