web-dev-qa-db-ja.com

TPMロックアウトの理由

TPM + PIN=モードで有効になっているBitLockerで展開されたいくつかのSurface Pro 3デバイスがあります。デバイスにはTPM 2.0チップがあり、Windows 8.1 Proを実行しています。

ユーザーに正しいPINを入力すると、「Too many誤ったPIN試行回数が多すぎる」エラーが時々表示されるという問題があります。起動プロセスを続行するためには、回復キーを入力する必要があります次に、tpm.mscを使用して手動でTPMロックアウトをリセットするまで、デバイスを起動するたびにリカバリキーを入力する必要がありますが、これは明らかに不便です。

何らかの理由でTPMがロックアウト状態になっていますが、誤ったPINの試行が繰り返されたことが原因ではないようです。デバイスを離れた場合、ロックアウトは最終的にタイムアウトしません実行すると、不正な認証の最大試行回数に達した以外の何らかの理由が原因であることが示唆されます。TPM2.0仕様は、ベンダーに正確な動作を任せたTPM 1.2仕様とは異なり、これが当てはまると述べています。

ランニング Get-Tpmは、TPMが確実にロックされた状態であることを示しますが、原因に関する情報は提供されません。

ロックアウトの根本的な原因を特定するために私ができることがあるかどうか誰かが知っていますか?

3
dbr

結局、これをトラブルシューティングしてかなりの進歩を遂げることができました。詳細を覚えるように頑張りますが、久しぶりです...

残念ながら、問題のマシンはWindows 8マシンだったので、Get-Tpmコマンドレットは、ロックアウトカウンターに関する情報を返しません。最終的に、TPMからこれらのカウンターを直接読み取るカスタムスクリプトをまとめることができました。確かに、ロックアウトカウンターはロックアウトのしきい値に達しました。 PINを誤って入力していなくても、これは事実でした。

何度も掘り下げた後、私は最終的にTPM 2.0仕様のセクションに偶然出会い、ほぼ確実に問題を引き起こしているメカニズムを説明しています。詳細に入る前に、背景について少し説明しておくと便利です... OSがTPMを利用する前に、TPMの起動ルーチンを呼び出す必要があります。これは、BitLocker PIN画面が表示される前に発生するようです。逆に、OSがTPMの使用を終了すると、TPMのシャットダウンルーチンを呼び出す必要があります。OSのシャットダウン中にWindowsがこれを行うようですシーケンス。

問題は、OSを完全にシャットダウンせずにシステムの電源を切ると発生します。このシナリオでは、チップの電源が切断される前にTPMのシャットダウンルーチンが呼び出されていません。 TPM 2.0仕様では、TPMのシャットダウンルーチンを前に呼び出さずにTPMのスタートアップルーチンが呼び出された場合、ロックアウトカウンターを1つインクリメントする必要があると規定されています。この機能は、TPMに対する特定の種類の攻撃から保護するために存在します。したがって、デバイスの電源が再びオンになると、ユーザーが正しいBitLocker PINを入力した場合でも、ロックアウトカウンターが1つ増えます。

私の特定のケースでは、問題のデバイスはすべてMicrosoft Surface Pro 3タブレットでした。私の直感は、ユーザーが電源ボタンを押したままにして、マシンを完全にシャットダウンせずに電源をオフにしていたことでした。通常、これは大きな問題ではありません。2時間後にロックアウトカウンターが最終的に再び減少するためです。ただし、これを頻繁に行うと、ロックアウトカウンターにデクリメントする時間がありません。この問題は、マシンの電源を入れ直した場合に、減少するタイミングを追跡するために使用されるタイマーがリセットされるため、減少する前に2時間継続してオンにしておく必要があるという事実によって悪化します。一部のユーザーは自分のマシンを短期間しか出さない。

Surface Pro 3は、Microsoftが「コネクテッドスタンバイ」または「InstantGo」と呼ぶものをサポートしています。これは、デバイスを電源管理の観点からモバイルデバイスのように動作させる機能です。電源ボタンをタップすると、デバイスは従来のスタンバイやスリープではなく、低電力モードになります。ただし、電源プランを「高パフォーマンス」に切り替えました。これにより、コネクトスタンバイモードが無効になり、デバイスが従来のPCのように動作します。これが問題の要因かもしれません。

0
dbr

私が読んだ説明では、TPMには、あらゆる種類のログを書き込むアクセス権がないか、アクセスを拒否しているドライブへのロックアウトが発生しています。賢明です。理由を与えることもセキュリティ上の欠陥を示す可能性があります。

これらの行に沿って私が見つけた唯一の情報は、入力された不正なパスワードの数です。管理者特権のPowerShellプロンプトを開き、次のように入力します。

get-tpm

通常のコマンドシェルとは異なり、LockoutCountとLockoutMaxのエントリがあります。これにより、入力された不正なパスワードの数がわかります。ユーザーは常に正しいPINを入力していると確信していると思いますが、通常は誤解があることがわかりました。

そうは言っても、他にも多くのロックアウトの理由があります。 https://technet.Microsoft.com/en-us/library/dn383583(v = ws.11).aspx 具体的には「Bitlockerの回復の原因」 CDの挿入からデバイスのバッテリーを完全に放電させるまでのすべてが、ロックアウトを引き起こす可能性があります。これは、ユーザー教育、ヘルプデスク教育、変更するグループ/ローカルポリシー設定の評価を組み合わせて解決しようとしていることです。 https://technet.Microsoft.com/en-us/library/jj679890(v = ws.11).aspx

2
Kara Marfia