none
大多数のPCに対してBitlockerのロックアウト回数を任意の回数に一括設定する方法 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    掲題の件についてご教示いただきたいです。

    PC(Windows10)のBitlockerの各ユーザーのロックアウト閾値(PIN誤入力回数上限値)を

    任意の回数に設定したいと考えています。

    グループポリシーなどを使って1,000台以上のPCに対して一括設定したいです。

    (Bitlockerのロックアウト閾値を変更するためにはTPMの設定値を変更する必要があるという前提は理解していますが、何をどう変えていいのかまでは理解できていません)

    そこで以下質問です。

    1.ネットで調べているとロックアウトの既定値は32回という記事と

      4回という記事を見たのですがどちらが正しいのでしょうか。

      (現状の設定値がいくらか確認できるなら確認したい)

    2.TPMの設定を変更することで閾値を任意の回数に変更できるようなのですが、

    具体的に大多数のPCに対して一括設定する方法があればご教示いただけますでしょうか。

    以上、宜しくお願いいたします。

    2020年10月19日 6:25
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    標準ユーザー全体のロックアウトしきい値

    標準ユーザーごとのロックアウトしきい値

    この辺りかな?

    Hebikuzure aka Murachi Akira

    2020年10月19日 6:58
    |
  • Question
    サインインして投票
    0
    サインインして投票

    1つ目のBitLokcerのロックアウト閾値 (正確には TPM のロックアウト閾値) ですが、TPM のバージョンにより異なります。

     

    TPM 1.2

    主に Windows 7 が主流だった時期の PC に搭載されていた TPM で、ロックアウトの閾値やロック解除の動作が TPM のメーカー毎に独自の仕様だったため、中々ロックアウトしない TPM も有れば、1度ロックアウトすると自動的にはロック解除されない TPM が有るなど動作は様々でした。4回と言う記事はこの時期の TPM について書かれたものでは無いかと思われます。

     

    TPM 2.0

    ISO により標準化されており、Windows により構成される標準動作としては、Windows 8 以降であればロックアウト閾値は 32 回、自動的なロック解除 (ロックカウントの減少) 10分に1回となっています。

     

    それぞれの詳しい情報については以下に記載されています。

    https://docs.microsoft.com/ja-jp/windows/security/information-protection/tpm/manage-tpm-lockout#tpm-%E3%83%AD%E3%83%83%E3%82%AF%E3%82%A2%E3%82%A6%E3%83%88%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6about-tpm-lockout

     

     

    2つ目のロックアウト閾値についてですが、上記の技術情報に [標準ユーザーの合計ロックアウトのしきい値] などのグループポリシーで TPM ロックアウトの閾値を設定できる旨の記載がありますが、実際にはこれらのポリシーで設定できなかったと記憶しています。(以下のブログの最後にも動作しない旨の記載があります)

    https://docs.microsoft.com/ja-jp/archive/blogs/dubaisec/tpm-lockout

     

    あくまで個人的な推測ですが、Bitlockerで暗号化する場合、TPM の所有者が自動的に Windows (ユーザーではない) となるため、それが影響しているのでは無いかと思われます。

    2020年10月19日 14:39
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Hebikuzure様

    返信が遅くなり失礼いたしました。

    ご回答ありがとうございます。

    初歩的な質問となり恐縮です。

    調べた限りですと、下記レジストリ値を変更することでユーザーごとのロックアウトしきい値を変更できるようです。

    HKEY_LOCAL_MACHINE/Software\Policies\Microsoft\Tpm/StandardUserAuthorizationFailureIndividualThreshold
    REG_DWORD

    そこで次のコマンドをバッチファイルにして、各PCで実行してもらえば任意のロックアウト閾値に変更できるのではと思っております。

    「 reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Tpm /v StandardUserAuthorizationFailureIndividualThreshold /t REG_DWORD /d X 」

    ※最後のXは回数の値を記載。

    ※管理者権限として実行。

    根本的に考え方として合っているのでしょうか。

    2020年10月21日 4:23
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Lapivy様

    返信が遅くなり失礼いたしました。

    初歩的な質問にも関わらずご丁寧にご回答いただきありがとうございます。

    こちらのレジストリ値を変更することでTPMのロックアウト値変更が可能なところまで何とか調べられました。

    しかし、このレジストリ値を変更するだけで、TPMのロックアウト回数を任意の回数に変更できるかまでは不明です。

    ご存知ないでしょうか。

    ■レジストリ値

    HKEY_LOCAL_MACHINE/Software\Policies\Microsoft\Tpm/StandardUserAuthorizationFailureIndividualThreshold
    REG_DWORD

    ■コマンド(サンプル)

    reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Tpm /v StandardUserAuthorizationFailureIndividualThreshold /t REG_DWORD /d X

    ※最後のXは回数の値を記載。

    ※管理者権限として実行。

    2つ目のリンクを拝見すると、英文だったため私の英語力では理解できませんでしたが、

    実際にはこれらのポリシーで設定できなかったと記憶」されているのですね。

    難解です。



    2020年10月21日 4:38
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Blog 記事自体は4年前のもので、ポリシーが動作しなかった件は開発チームに報告すると書かれているので、現時点でどうなっているかは分かりません。これは実地に確認してみるしかないと思います。

    Hebikuzure aka Murachi Akira

    2020年10月21日 7:11
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Hebikuzure様

    素早いご回答誠に助けられております。

    ありがとうございます。

    上記コマンドを実行して対象のレジストリが追加できるところまでは確認できました。

    (これをバッチ化して大多数のPC上に何らかの方法で配布して実行できればいいと考えています)

    ただ、ロックアウト回数の変更という目的を達成するためにやらなければならないことは

    このコマンドだけでいいのか、他にも確認点(注意点)があるのかを分かりかねております。

    MSに問い合わせるにも費用がかかってしまうため自分で調べるしかなさそうです。

    費用かけずに問い合わせる方法なんてないですものね・・・。

    2020年10月21日 9:46
    |
  • Question
    サインインして投票
    0
    サインインして投票

    記載頂いたレジストリとしては、グループポリシーの「標準ユーザーごとのロックアウトしきい値」で設定されるレジストリだと思われますので、該当のポリシーが意図した通り動作するのであればレジストリによる変更でも動作する可能性は高いと思われます。

    https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.TrustedPlatformModule::StandardUserAuthorizationFailureIndividualThreshold_Name&Language=ja-jp

     

    実際に動作するかについては、Hebikuzureさんも書かれている様に実際に試験を実施頂くのが確実でしょう。

    2020年10月21日 15:35
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Lapivy様

    実際に試験をやってみないと分からないということですね。

    また本件で何か分からないことがあれば投稿させていただきます。

    ありがとうございます。


    2020年10月22日 7:32
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Hebikuzure様

    前述のコマンドにて該当のレジストリ値を任意の回数に変更して検証してみました。

    その前提として、グループポリシー編集で[スタートアップ時に追加の認証を要求する]を有効にして、

    初期値のPINを設定した上でです。

    そうしたら、想定通り、PC起動時にBitlockerのPINを要求されるようになりました。

    そして、故意に設定した任意の回数だけ間違えてロックアウトされるかを確認してみたのですが、

    特にロックアウトされたとメッセージが表示されるわけでもなく、それどころか32回以上間違え続けましたが、

    一向にロックアウトされたというようなメッセージは出ませんでした。

    最終的に正確なPINを入力したら普通にログインできた。


    私のやり方がおかしいのでしょうか。

    (そもそもロックアウトされると見た目で分かるのでしょうか)



    • 編集済み MS好き 2020年10月23日 4:04
    2020年10月23日 4:03
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Lapivy

    前述のコマンドにて該当のレジストリ値を任意の回数に変更して検証してみました。

    その前提として、グループポリシー編集で[スタートアップ時に追加の認証を要求する]を有効にして、

    初期値のPINを設定した上でです。

    そうしたら、想定通り、PC起動時にBitlockerのPINを要求されるようになりました。

    そして、故意に設定した任意の回数だけ間違えてロックアウトされるかを確認してみたのですが、

    特にロックアウトされたとメッセージが表示されるわけでもなく、それどころか32回以上間違え続けましたが、

    一向にロックアウトされたというようなメッセージは出ませんでした。

    最終的に正確なPINを入力したら普通にログインできた。

    私のやり方がおかしいのでしょうか。

    (そもそもロックアウトされると見た目で分かるのでしょうか)

    2020年10月23日 4:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    どなたか分かる方、アドバイスをいただけませんでしょうか。

    PC起動時にBitlockerがPIN入力を要求するように設定変更し、

    任意の回数PIN入力を誤るとBitlockerがロックアウトして

    正しいPINを入力しても認証されないようにしたい。

    そこで、下記コマンドでレジストリ値を任意の回数に変更しました。

    ■コマンド(サンプル)

    reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Tpm /v StandardUserAuthorizationFailureIndividualThreshold /t REG_DWORD /d X

    ところが、指定した任意の回数ではなく、1回間違えただけで、正しいPINを入力しても認証されないように

    なっているようです。(回復キーで回復は可能)

    上記レジストリ以外に変更しないといけない箇所があるのでしょうか。

    ご教示いただけると助かります。

    2020年10月26日 8:05
    |