TPM のグループ ポリシー設定

このトピックでは、グループ ポリシー設定を使用して一元的に制御できるトラステッド プラットフォーム モジュール (TPM) サービスについて説明します。 TPM サービスのグループ ポリシー設定は、[コンピューターの構成>] [管理用テンプレート>] [システム>信頼されたプラットフォーム モジュール サービス] の下にあります。

オペレーティング システムで使用できる TPM 所有者の承認情報のレベルを構成する

重要

バージョン 1703 Windows 10以降、既定値は 5 です。 この値はプロビジョニング中に実装され、システム構成に応じて別の Windows コンポーネントが削除したり、所有権を取得したりできます。 TPM 2.0 の場合、値 5 はロックアウト承認を保持します。 TPM 1.2 の場合は、完全な TPM 所有者の承認を破棄し、委任された承認のみを保持します。

このポリシー設定は、ローカル コンピューターのレジストリに格納される TPM 承認値を構成します。 Windows が特定のアクションを実行できるようにするには、特定の承認値が必要です。

TPM 1.2 値 TPM 2.0 値 目的 レベル 0 に保持されますか? レベル 2 に保持されますか? レベル 4 に保持されますか?
OwnerAuthAdmin StorageOwnerAuth SRK の作成 なし はい はい
OwnerAuthEndorsement 保証認証 EK の作成または使用 (1.2 のみ: AIK の作成) なし
OwnerAuthFull LockoutAuth 辞書攻撃保護をリセット/変更する なし なし はい

Windows オペレーティング システムによって管理される TPM 所有者認証設定は 3 つあります。 [Full]、[デリゲート]、または [なし] の値を選択できます。

  • Full: この設定では、TPM 所有者の完全な承認、TPM 管理委任 BLOB、および TPM ユーザー委任 BLOB がローカル レジストリに格納されます。 この設定では、TPM 所有者の承認値のリモートストレージまたは外部ストレージを必要とせずに TPM を使用できます。 この設定は、TPM のハンマー対策ロジックをリセットしたり、TPM 所有者の承認値を変更したりする必要のないシナリオに適しています。 一部の TPM ベースのアプリケーションでは、TPM のハンマリング防止ロジックに依存する機能を使用する前に、この設定を変更することが必要になる場合があります。 TPM 1.2 の完全な所有者承認は、TPM 2.0 のロックアウト承認に似ています。 所有者の承認は、TPM 2.0 の意味が異なります。

  • 委任: この設定では、TPM 管理委任 BLOB と TPM ユーザー委任 BLOB のみがローカル レジストリに格納されます。 この設定は、TPM アンチハンマー ロジックに依存する TPM ベースのアプリケーションで使用する場合に適しています。 これは、バージョン 1703 より前の Windows の既定の設定です。

  • なし: この設定は、以前のオペレーティング システムとアプリケーションとの互換性を提供します。 また、TPM 所有者の承認をローカルに格納できないシナリオにも使用できます。 この設定を使用すると、一部の TPM ベースのアプリケーションで問題が発生する可能性があります。

オペレーティング システムのマネージド TPM 認証設定が Full から Delegated に変更された場合、完全な TPM 所有者承認値が再生成され、以前に設定した TPM 所有者承認値のコピーはすべて無効になります。

レジストリ情報

レジストリ キー: DWORD: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPMOSManagedAuthLevel

次の表は、レジストリの TPM 所有者の承認値を示しています。

値データ 設定
0 なし
2 委任
4 完全

このポリシー設定を有効にすると、Windows オペレーティング システムは、選択した TPM 認証設定に従って、ローカル コンピューターのレジストリに TPM 所有者の承認を格納します。

バージョン 1607 より前のWindows 10で、このポリシー設定を無効にするか、構成しない場合、および [ACTIVE DIRECTORY DOMAIN SERVICESへの TPM バックアップを有効にする] ポリシー設定も無効になっているか、構成されていない場合、既定の設定では、完全な TPM 承認値がローカル レジストリに格納されます。 このポリシーが無効になっているか、構成されていない場合、[TPM バックアップをActive Directory Domain Servicesに有効にする] ポリシー設定が有効になっている場合は、管理委任とユーザー委任 BLOB のみがローカル レジストリに格納されます。

標準ユーザー ロックアウト期間

このポリシー設定を使用すると、承認を必要とするトラステッド プラットフォーム モジュール (TPM) コマンドの標準ユーザー承認エラーをカウントするための期間を分単位で管理できます。 承認エラーは、標準ユーザーが TPM にコマンドを送信し、承認エラーが発生したことを示すエラー応答を受け取るたびに発生します。 設定した期間より古い承認エラーは無視されます。 ロックアウト期間内に承認エラーが発生した TPM コマンドの数がしきい値と等しい場合、標準ユーザーは、承認を必要とするコマンドを TPM に送信できません。

TPM は、不正な承認値を持つコマンドが多すぎる場合にハードウェア ロックアウト モードに入ることで、パスワード推測攻撃から自身を保護するように設計されています。 TPM がロックアウト モードになると、すべてのユーザー (管理者を含む) と BitLocker ドライブ暗号化などの Windows 機能がグローバルになります。

この設定を使用すると、管理者は、標準ユーザーが承認を必要とするコマンドを TPM に送信できる速度を遅くすることで、TPM ハードウェアがロックアウト モードに入らないようにすることができます。

標準ユーザーごとに、2 つのしきい値が適用されます。 いずれかのしきい値を超えると、ユーザーは TPM への承認を必要とするコマンドを送信できなくなります。 ロックアウト期間を設定するには、次のポリシー設定を使用します。

TPM 所有者パスワードを持つ管理者は、Windows Defender Security Center を使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。 これにより、標準ユーザーは TPM をすぐに正常に使用できます。

このポリシー設定を構成しない場合は、既定値の 480 分 (8 時間) が使用されます。

標準ユーザーの個別ロックアウトしきい値

このポリシー設定を使用すると、トラステッド プラットフォーム モジュール (TPM) の標準ユーザーごとの承認エラーの最大数を管理できます。 この値は、ユーザーが TPM に承認を必要とするコマンドを送信できない前に、各標準ユーザーが許可できる承認エラーの最大数です。 標準ユーザー ロックアウト期間ポリシー設定に設定されている期間内のユーザーの承認エラーの数がこの値と等しい場合、標準ユーザーは、承認を必要とするコマンドをトラステッド プラットフォーム モジュール (TPM) に送信できません。

この設定を使用すると、管理者は、標準ユーザーが承認を必要とするコマンドを TPM に送信できる速度を遅くすることで、TPM ハードウェアがロックアウト モードに入らないようにすることができます。

承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 期間より前の承認エラーは無視されます。

TPM 所有者パスワードを持つ管理者は、Windows Defender Security Center を使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。 これにより、標準ユーザーは TPM をすぐに正常に使用できます。

このポリシー設定を構成しない場合は、既定値の 4 が使用されます。 値が 0 の場合、オペレーティング システムでは標準ユーザーが TPM にコマンドを送信できないので、承認エラーが発生する可能性があります。

標準ユーザーのロックアウトの合計しきい値

このポリシー設定を使用すると、トラステッド プラットフォーム モジュール (TPM) のすべての標準ユーザーの承認エラーの最大数を管理できます。 Standard User Lockout Duration ポリシーに設定されている期間内のすべての標準ユーザーの承認エラーの合計数がこの値と等しい場合、すべての標準ユーザーは、承認を必要とするコマンドをトラステッド プラットフォーム モジュール (TPM) に送信できなくなります。

この設定は、管理者が TPM ハードウェアがロックアウト モードに入らないようにするのに役立ちます。これは、標準ユーザーが TPM に承認を必要とするコマンドを送信できる速度が低下するためです。

承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 期間より前の承認エラーは無視されます。

TPM 所有者パスワードを持つ管理者は、Windows Defender Security Center を使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。 これにより、標準ユーザーは TPM をすぐに正常に使用できます。

このポリシー設定を構成しない場合は、既定値の 9 が使用されます。 値が 0 の場合、オペレーティング システムでは標準ユーザーが TPM にコマンドを送信できないので、承認エラーが発生する可能性があります。

TPM 2.0 の従来のディクショナリ攻撃防止パラメーター設定を使用するようにシステムを構成する

バージョン 1703 Windows 10で導入されたこのポリシー設定では、ディクショナリ攻撃防止パラメーター (ロックアウトのしきい値と回復時間) を、バージョン 1607 以降Windows 10使用された値に使用するように TPM を構成します。

重要

このポリシーの設定は、次の場合にのみ有効になります。

  • TPM は、もともとバージョン 1607 以降のバージョンの Windows Windows 10使用して準備されていました
  • システムには TPM 2.0 があります。

このポリシーの有効化は、TPM メンテナンス タスクの実行後にのみ有効になります (通常はシステムの再起動後に発生します)。 このポリシーがシステムで有効になり、(システムの再起動後に) 有効になると、無効にしても影響はなく、このグループ ポリシーの値に関係なく、従来の辞書攻撃防止パラメーターを使用してシステムの TPM が構成されたままになります。 このポリシーの無効な設定を、一度有効にしたシステムに対して有効にする唯一の方法は、次のいずれかです。

  • グループ ポリシーから無効にする
  • システムで TPM をクリアする

Windows セキュリティの TPM グループ ポリシー設定

WINDOWS セキュリティで TPM に関してユーザーに表示される内容を変更できます。 Windows セキュリティの TPM 領域のグループ ポリシー設定は、コンピューター構成>管理用テンプレート>Windows コンポーネント>Windows セキュリティ>Device セキュリティにあります。

[TPM のクリア] ボタンを無効にする

ユーザーがWindows セキュリティ[TPM のクリア] ボタンをクリックできないようにする場合は、このグループ ポリシー設定で無効にすることができます。 [ 有効] を選択 して、[ TPM のクリア ] ボタンを使用できないようにします。

TPM ファームウェア更新プログラムの推奨事項を非表示にする

TPM ファームウェアを更新するための推奨事項をユーザーに表示しない場合は、この設定で無効にすることができます。 [ 有効] を 選択すると、脆弱なファームウェアが検出されたときに TPM ファームウェアを更新するための推奨事項がユーザーに表示されなくなります。