Win10デバイスのオンボードTPMからWebAuthN資格情報を削除する方法
Windows 10の最新ビルドでは、ブラウザー(少なくともEdgeとChrome)が WebAuthN パスワードなしの認証にオンボードTPMデバイスを使用できるようにしています。
それは私とテストサンドボックスサイトで機能します。秘密鍵と公開鍵のペアを生成し、TPMに秘密鍵を保存し、さらに認証するために公開鍵をサーバーに送信できます。
問題は、保存されたキーをクリアする方法が見つからないことです。 BitLockerをいじりたくないので、TPM全体をまだ消去しようとはしていません。
問題は、Windows 10で実行されているプラットフォームTPMに保存されているWebAuthN資格情報(キー)をクリアする方法です。
それも可能ですか?
Microsoftコマンドラインツールcertutilを使用して、これらのWebAuthNキーを表示および削除できます。
免責事項:間違ったキーを削除するのは非常に簡単なので、間違ったキーを削除する可能性があるというリスクを受け入れてください。元に戻すことはできません。
WebAuthNキーを表示するには、コマンドプロンプトから次のコマンドを実行します。
certutil -csp NGC -key
WebAuthNキーの名前は<sid>/<guid>/FIDO_AUTHENTICATOR//<rpIdHash>_<user id>のようになります
削除するキーを特定してから、管理者コマンドプロンプトからWebAuthNキーを削除するには、次のコマンドを実行する必要があります。
certutil -csp NGC -delkey <name>
TPMは、ほとんどの証明書リポジトリと同様に、削除操作をサポートしていないようです。
私はこの観察をマイクロソフトの記事 TrustedPlatformModule に基づいており、それ自体を次のように説明しています。
このリファレンスでは、すべてのTPMコマンドレットのコマンドレットの説明と構文について説明します。
リストには、証明書を削除するためのPowerShellコマンドレットは含まれていません。
失効証明書を作成してTPMにインポートしようとすると、既存の証明書が無効になる可能性があります。それが機能する場合、これはそれを削除せず、失効レコードを追加するだけです(つまり、TPMが他の証明書リポジトリと同様に機能する場合)。
何かを削除するために私が見つけた唯一のオプションは、TPMを完全にクリアすることです。 BitLockerを使用しているので、投稿を参照してください TPMをクリアすると、BitLockerで暗号化されたデータが使用できなくなりますか?
投稿からの引用:
TPMをクリアすると、暗号化されたドライブにはリカバリキーを使用してのみアクセスできるようになります。
したがって、TPMチップをクリアしても問題ありません。その後、再起動してリカバリキーを入力します。 Windowsに入ると、TPMチップを再度有効にして、新しいPINを設定できます。
そのような操作の前に、念のため、BitLockedディスクをバックアップすることをお勧めします(BitLockerを無効にすることさえも)。
Process Monitor で認証プロセスを記録し、%SystemRoot%\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc内のいくつかのファイルで疑わしいと思われるいくつかの操作を発見しました。少しグーグルすると、それは 実際にはWindows Hello資格情報が格納されている場所 であることがわかります。
このディレクトリのコンテンツを削除してすべてのWindows Hello資格情報を削除することを提案する回答(例: このサイトのこれ )があります。
このフォルダーの名前を( PsExec を使用してSYSTEMとして)変更しようとしましたが、WebAuthn資格情報は削除されましたが、新しいPIN)を作成できませんでした。 「サインインオプション」UI。再起動が役立つかどうかはわかりません。
編集:何度か再起動した後、Microsoftアカウントに問題があることを知らせるプロンプトが表示されました。 (ローカルアカウントを使用していますが、Microsoftアカウントにサインインしています。)再度サインインした後、NGCは初期状態に復元され、正常に動作します。