BitLocker回復キーの使い方!PIN認証失敗によるロックアウト解除方法

こんにちは、マイクロソフトマンです。

BitLockerの回復キーは保存されていますか?

回復キーがないと、パスワードを忘れてしまった場合や、PCが壊れた場合などにハードディスクの暗号化解除ができず、ハードディスクに保存されているデータが全て消えてしまいます。

そんなことにならないように、BitLockerの回復キーはわかりやすい場所に保存しておきましょう。例えば、メールに添付して自分自身に送っておくとか、 OneDriveなどクラウドサービスに保存しておくというのもよいですね。

いざ、回復キーが必要な状態になったときは他のPCからログインして、取得することができるからです。

間違ってもBitLockerで暗号化しているPC内に保存してはいけません!パスワード忘れでログインできなくなったり、故障したときに回復キーを取り出せなくなってしまうからです。

スポンサーリンク
スポンサーリンク

BitLocker回復キーでPIN認証のロックアウトを解除する

BitLockerでPIN認証を有効にすると、画像のようにOS起動前にPIN認証画面が表示されます。

「このドライブのロックを解除するためにPINを入力してください」と書いてあるので、あらかじめ自身で設定したPINを入力します。

PIN認証に成功するとOSが起動します。PINの入力ミスなどで認証に一定回数失敗すると、正しいPINを入力しても認証できなくなります。この現象をロックアウトといます。

 

ロックアウトした場合は、PIN認証画面でEscキーを押して、下記の回復キーの入力画面を表示します。

回復キーIDが、回復キーを格納しているテキストのファイル名になっているはずです。テキストファイルの中に、48桁の回復キーが記載されていますので、入力します。

回復キーの入力が成功すると、OSが起動します。パスワードの設定を変更しておきましょう。

スポンサーリンク

何回PIN認証に失敗するとロックアウトする?

何回PINを間違えるとロックアウトするのでしょうか。

実は、TPMのファームウェアバージョンによってロックアウトまでの失敗回数が変わります。2017年以降のPCであれば、TMP2.0のはずなので連続32回の認証失敗でロックアウトします。

32回という数字はTPMの仕様として決められております。連続で32回も間違えることはまずありえないので、ロックアウトすることはほとんどないかもしれませんね。

それに、一度PIN認証に成功してWindowsにログインすることができれば、PCが起動している間(PCがスリープ状態であっても)、2時間ごとに認証失敗した回数が減っていきます。

 

TPMのバージョンがわからない場合は、Windows + Rボタンを押して、tpm.mscと入力します。

以下画面が開き、仕様バージョンにTPMのバージョンが記載されています。製造元バージョンは、TPM2.0の中のさらに細かいバージョンになります。

 

TPM1.2の場合は、ロックアウトするまでのPIN認証失敗回数はPCメーカによって異なります。メーカ側が自由に設定できる仕様になっているためです。TPM1.2では、だいたい10回程度PIN認証を失敗するとロックアウトすることが多いみたいですね。

 

お使いのPCのTPMのバージョンが1.2の場合は、TPMのファームウェアアップデートで TPM2.0にアップデートすることが可能です。各メーカからファームウェアアップデートの実行exeが提供されています。

1.2よりも2.0のほうがセキュリティレベルも上がっているので、なるべく2.0にしたほうがよいです。

 

下記のリンクから各メーカーのTPMファームウェアのダウンロードページにとぶことができますので確認してみてください。

ご自身のPCのメーカが書かれていない場合は、直接メーカに問い合わせるか、製品名で調べてみてください。

セキュリティ プロセッサ (TPM) ファームウェアを更新する - Microsoft サポート
セキュリティ プロセッサ、つまり TPM ファームウェアを更新し、Windows 10 とデバイスを悪意のあるソフトウェアによる攻撃から保護する方法について説明します。
スポンサーリンク

パスワードの誤入力カウントをリセットする

TPM2.0の場合、Windowsにログインした状態であれば(PCがスリープ状態であっても)、2時間毎にパスワードの誤入力カウントが減っていきます。

数回パスワードを間違えても、そのあと認証が成功すれば、2時間ごとに間違えた回数が減っていくので、また32回間違えることができるようになるという仕組みです。

誤入力カウントについては、PCがスリープ状態であっても減っていきますが、電源が落ちている場合は減りませんのでご注意ください。

 

また、誤入力カウントの回数を一気に0にリセットする方法がありますので紹介します。

0にリセットするには、TPMのクリアを行います。tpm.mscで開くことができるTPMの管理画面の右上に「TPMをクリア」の項目がありますのでクリックします。

補足ですが、TPM1.2の場合は、2時間毎にパスワードの誤入力カウントが減っていくような仕組みはありません。そのため、TPMクリアによって0にリセットする必要があります。

もし誤入力カウントがMAXに到達している場合、クリアしなければ、パスワードを1回間違えただけで、またすぐにロックアウトしてしまいますのでご注意ください。

スポンサーリンク
スポンサーリンク
BitLocker



Windows777技術屋さん
タイトルとURLをコピーしました