TPM 所有者パスワードの変更
IT プロフェッショナル向けのこの記事では、システムにインストールされているトラステッド プラットフォーム モジュール (TPM) の所有者のパスワードまたは PIN を変更する方法について説明します。
TPM 所有者パスワードについて
Windows 10 バージョン 1607 以降、Windows は TPM をプロビジョニングするときに TPM 所有者パスワードを保持しません。 パスワードはランダムな高エントロピ値に設定され、破棄されます。
重要
TPM 所有者パスワードは Windows 10 バージョン 1607 以降では保持されませんが、既定のレジストリ キーを変更して保持できます。 ただし、この変更は行わないよう強くお勧めします。 TPM 所有者パスワードを保持するには、レジストリ キー HKLM\Software\Policies\Microsoft\TPMの下に OSManagedAuthLevel のREG_DWORD値を作成し、4に設定します。
Windows 10 1703 より新しい Windows バージョンの場合、このキーの既定値は 5 です。 値 5 は、次のことを意味します。
- TPM 2.0: ロックアウトの承認を保持します。
- TPM 1.2: 完全な TPM 所有者の承認を破棄し、委任された承認のみを保持します。
TPM がプロビジョニングされる前にレジストリ キーの値が 5 から 4 に変更されない限り、所有者パスワードは保存されません。
TPM ごとに 1 つの所有者パスワードのみが存在します。 TPM 所有者パスワードを使用すると、リモートでコマンド ライン ツールを使用するなどして、コンピューターに物理的にアクセスすることなく TPM を有効、無効、またはクリアできます。 TPM 所有者パスワードを使用すると、TPM ディクショナリ攻撃ロジックを操作することもできます。 Windows は、各ブートのプロビジョニング プロセスの一部として TPM の所有権を取得します。 他のユーザーがパスワードを初期化できるように、パスワードを共有したり、TPM の所有権をクリアしたりすると、所有権が変更される可能性があります。
所有者パスワードがないと、UEFI からの物理的なプレゼンス確認を使用して、上記のすべてのアクションを引き続き実行できます。
その他の TPM 管理オプション
所有者パスワードを変更する代わりに、次のオプションを使用して TPM を管理することもできます。
- TPM をクリアする - TPM の所有権を取得してから作成されたすべての既存のキーを無効にする場合は、クリアできます。 このプロセスの重要な予防策と、それを完了するための手順については、「 TPM からすべてのキーをクリアする」を参照してください。
- TPM をオフにする - TPM 1.2 と Windows 10 バージョン 1507 と 1511 では、TPM をオフにすることができます。 既存のすべてのキーとデータをそのまま保持し、TPM によって提供されるサービスを無効にする場合は、TPM をオフにします。 詳細については、「TPM を オフにする」を参照してください。
TPM 所有者パスワードの変更
Windows 10 バージョン 1507 または 1511 では、TPM 所有者パスワードを保持することを特に選択している場合は、保存したパスワードを使用して新しいパスワードに変更できます。
新しい TPM 所有者パスワードに変更するには、 TPM.mscで [ 所有者パスワードの変更] を選択し、指示に従います。 所有者パスワード ファイルを指定するか、パスワードを入力するように求められます。 その後、新しいパスワードを自動的または手動で作成し、ファイルまたは印刷出力としてパスワードを保存できます。
TPM コマンドレットを使用する
Windows PowerShell を使用して TPM を管理できます。 詳細については、「Windows PowerShell の TPM コマンドレット」を参照してください。