web-dev-qa-db-ja.com

TPMをクリアすると、BitLocker暗号化データが使用できなくなりますか?

私は この答え で学習しました。Windows10 v1607以降、WindowsはデフォルトでTPM所有者パスワードの設定、保存、変更を許可しないことを学びました。そのため、所有者パスワードを入力してTPMロックアウトをリセットするオプションは、もう存在していないようです。

enter image description here

代わりの方法は、TPMをクリアすることです。次のシナリオ:

  • TPM + PINを有効にしたBitLocker
  • 間違っているPIN入力された時間が256回を超えている
  • 現在、TPMは複数のPIN試行を数分間ロックアウトする前に許可することはありません
  • tPMロックアウト中に、回復キーを使用してシステムにアクセスできます

TPMをクリアして、誤ったカウンターをリセットしても安全ですかPIN試行? BitLocker暗号化データは失われますか?警告画面が深刻に聞こえます(以下)。

前述のように、回復キーが利用可能です。ただし、コンピュータを起動するたびに入力する必要はありません。

enter image description here

7
ste12

tl; dr:

TPMをクリアして、誤ったPIN試行のカウンターをリセットすることは安全ですか?

BitLocker回復キーがある場合のみ。 TPMをクリアすると、暗号化されたドライブには、回復キーを使用した場合にのみアクセスできます。

したがって、TPMチップをクリアしても問題ありません。その後、再起動してリカバリキーを入力します。 Windowsに入ると、TPMチップを再度有効にして新しいPINを設定できます。


長い説明:

通常、BitLocker(例外については以下を参照)は、コンピューターのTPMチップを使用して、ブートドライブの暗号化解除に必要なキーを格納します。 TPMチップがクリアされると、このキーは失われます(永遠に)。その場合、ドライブを復号化する唯一の方法は、BitLocker回復キーを使用することです。このような場合のために特別に存在しています。

実際には、BitLockerで暗号化されたドライブから起動し、WindowsがTPMチップからキーを取得できないことがわかった場合、回復キーを要求します。キーを要求する醜い白黒の画面が表示されます。正しいキーを入力すると、Windowsは正常に起動します。キーを入力できない場合-不運。

BitLockerの動作の詳細については、serverfault.comで次の質問も参照してください。 TPMを再初期化する必要がありました:新しい回復パスワードをADにアップロードする必要がありますか?

注:

オプションを最初に有効にする必要がありますが、TPMなしでBitLockerを使用することは可能です。その場合、TPMをクリアしても違いはありません。ただし、TMPでBitLockerを使用しているように見えるため、これは該当しません。

10
sleske

はい、TPMは、回復キーが利用可能になったときに安全にクリアできます。 @sleskeの回答をさらにサポートするために、ここに Bitlockerリカバリに関するTechnetの記事 からの抜粋を示します。

BitLockerの回復の原因は何ですか?

次のリストは、オペレーティングシステムドライブを起動しようとしたときにBitLockerを回復モードにする特定のイベントの例を示しています。

  • TPMの無効化、無効化、非アクティブ化、またはクリア

BitLocker回復とは何ですか?

BitLockerの回復は、ドライブを正常にロック解除できない場合に、BitLockerで保護されたドライブへのアクセスを復元できるプロセスです。回復シナリオでは、ドライブへのアクセスを復元する次のオプションがあります。

  • ユーザーは回復パスワードを指定できます。組織がユーザーに回復パスワードの印刷または保存を許可している場合、ユーザーはUSBドライブに印刷または保存した48桁の回復パスワードを入力できますまたは、Microsoftアカウントをオンラインで使用します。

4
ste12