TPMをクリアすると、BitLocker暗号化データが使用できなくなりますか?
私は この答え で学習しました。Windows10 v1607以降、WindowsはデフォルトでTPM所有者パスワードの設定、保存、変更を許可しないことを学びました。そのため、所有者パスワードを入力してTPMロックアウトをリセットするオプションは、もう存在していないようです。
代わりの方法は、TPMをクリアすることです。次のシナリオ:
- TPM + PINを有効にしたBitLocker
- 間違っているPIN入力された時間が256回を超えている
- 現在、TPMは複数のPIN試行を数分間ロックアウトする前に許可することはありません
- tPMロックアウト中に、回復キーを使用してシステムにアクセスできます
TPMをクリアして、誤ったカウンターをリセットしても安全ですかPIN試行? BitLocker暗号化データは失われますか?警告画面が深刻に聞こえます(以下)。
前述のように、回復キーが利用可能です。ただし、コンピュータを起動するたびに入力する必要はありません。
tl; dr:
TPMをクリアして、誤ったPIN試行のカウンターをリセットすることは安全ですか?
BitLocker回復キーがある場合のみ。 TPMをクリアすると、暗号化されたドライブには、回復キーを使用した場合にのみアクセスできます。
したがって、TPMチップをクリアしても問題ありません。その後、再起動してリカバリキーを入力します。 Windowsに入ると、TPMチップを再度有効にして新しいPINを設定できます。
長い説明:
通常、BitLocker(例外については以下を参照)は、コンピューターのTPMチップを使用して、ブートドライブの暗号化解除に必要なキーを格納します。 TPMチップがクリアされると、このキーは失われます(永遠に)。その場合、ドライブを復号化する唯一の方法は、BitLocker回復キーを使用することです。このような場合のために特別に存在しています。
実際には、BitLockerで暗号化されたドライブから起動し、WindowsがTPMチップからキーを取得できないことがわかった場合、回復キーを要求します。キーを要求する醜い白黒の画面が表示されます。正しいキーを入力すると、Windowsは正常に起動します。キーを入力できない場合-不運。
BitLockerの動作の詳細については、serverfault.comで次の質問も参照してください。 TPMを再初期化する必要がありました:新しい回復パスワードをADにアップロードする必要がありますか?
注:
オプションを最初に有効にする必要がありますが、TPMなしでBitLockerを使用することは可能です。その場合、TPMをクリアしても違いはありません。ただし、TMPでBitLockerを使用しているように見えるため、これは該当しません。
はい、TPMは、回復キーが利用可能になったときに安全にクリアできます。 @sleskeの回答をさらにサポートするために、ここに Bitlockerリカバリに関するTechnetの記事 からの抜粋を示します。
BitLockerの回復の原因は何ですか?
次のリストは、オペレーティングシステムドライブを起動しようとしたときにBitLockerを回復モードにする特定のイベントの例を示しています。
- TPMの無効化、無効化、非アクティブ化、またはクリア。
BitLocker回復とは何ですか?
BitLockerの回復は、ドライブを正常にロック解除できない場合に、BitLockerで保護されたドライブへのアクセスを復元できるプロセスです。回復シナリオでは、ドライブへのアクセスを復元する次のオプションがあります。
- ユーザーは回復パスワードを指定できます。組織がユーザーに回復パスワードの印刷または保存を許可している場合、ユーザーはUSBドライブに印刷または保存した48桁の回復パスワードを入力できますまたは、Microsoftアカウントをオンラインで使用します。