none
Windows 10に対してTPM ロックアウトのしきい値ポリシー設定が反映されない RRS feed

  • 質問

  • Windows 10でBitLockerを使用する環境にて、PINコード認証の際のエラー回数を制限したく、グループポリシーの以下の場所にて設定したのですが動作に反映されません。

    コンピューター構成 \ 管理 Templates\System\Trusted Platform Module Services\

    例えば、”標準ユーザーの個別のロックアウトのしきい値"を4に設定しても、デフォルト値の32回認証エラーが発生した際に48桁の回復キーを求められる、という動作のまま変わりません。

    gpresultコマンドにてポリシー適用結果を確認したところポリシー自体は適用されているようです。

    ADのグループポリシーでも、ローカルグループポリシーでも、結果は同じとなります。

    適用方法をご教示いただけますと助かります。

    2019年12月3日 8:52

回答

  • こちらですが、BitLocker PIN 入力で誤った入力を行った場合にロックする閾値を 32 回から変更する事はできない認識です。

    グループポリシーに関する動作の詳細は不明ですが 、グループポリシーの設定による動作範囲としては、OS 起動後に発生した Windows やアプリケーションからの TPM への認証なのではないかと個人的に推測します。

     

    以下は参考まで。

     

    TPM Lockout

    https://blogs.technet.microsoft.com/dubaisec/2016/07/10/tpm-lockout/

    • 回答としてマーク yk1203 2019年12月6日 1:25
    2019年12月5日 16:10

すべての返信

  • こちらですが、BitLocker PIN 入力で誤った入力を行った場合にロックする閾値を 32 回から変更する事はできない認識です。

    グループポリシーに関する動作の詳細は不明ですが 、グループポリシーの設定による動作範囲としては、OS 起動後に発生した Windows やアプリケーションからの TPM への認証なのではないかと個人的に推測します。

     

    以下は参考まで。

     

    TPM Lockout

    https://blogs.technet.microsoft.com/dubaisec/2016/07/10/tpm-lockout/

    • 回答としてマーク yk1203 2019年12月6日 1:25
    2019年12月5日 16:10
  • ご回答ありがとうございます。

    PIN入力が求められるタイミングではグループポリシーの動作は反映されないということですね。

    ご対応ありがとうございました。

    2019年12月6日 1:27