こんにちは、マイクロソフトマンです。
BitLockerの回復キーは保存されていますか?
回復キーがないと、パスワードを忘れてしまった場合や、PCが壊れた場合などにハードディスクの暗号化解除ができず、ハードディスクに保存されているデータが全て消えてしまいます。
そんなことにならないように、BitLockerの回復キーはわかりやすい場所に保存しておきましょう。例えば、メールに添付して自分自身に送っておくとか、 OneDriveなどクラウドサービスに保存しておくというのもよいですね。
いざ、回復キーが必要な状態になったときは他のPCからログインして、取得することができるからです。
間違ってもBitLockerで暗号化しているPC内に保存してはいけません!パスワード忘れでログインできなくなったり、故障したときに回復キーを取り出せなくなってしまうからです。
BitLocker回復キーでPIN認証のロックアウトを解除する
BitLockerでPIN認証を有効にすると、画像のようにOS起動前にPIN認証画面が表示されます。
「このドライブのロックを解除するためにPINを入力してください」と書いてあるので、あらかじめ自身で設定したPINを入力します。
PIN認証に成功するとOSが起動します。PINの入力ミスなどで認証に一定回数失敗すると、正しいPINを入力しても認証できなくなります。この現象をロックアウトといます。
ロックアウトした場合は、PIN認証画面でEscキーを押して、下記の回復キーの入力画面を表示します。
回復キーIDが、回復キーを格納しているテキストのファイル名になっているはずです。テキストファイルの中に、48桁の回復キーが記載されていますので、入力します。
回復キーの入力が成功すると、OSが起動します。パスワードの設定を変更しておきましょう。
何回PIN認証に失敗するとロックアウトする?
何回PINを間違えるとロックアウトするのでしょうか。
実は、TPMのファームウェアバージョンによってロックアウトまでの失敗回数が変わります。2017年以降のPCであれば、TMP2.0のはずなので連続32回の認証失敗でロックアウトします。
32回という数字はTPMの仕様として決められております。連続で32回も間違えることはまずありえないので、ロックアウトすることはほとんどないかもしれませんね。
それに、一度PIN認証に成功してWindowsにログインすることができれば、PCが起動している間(PCがスリープ状態であっても)、2時間ごとに認証失敗した回数が減っていきます。
TPMのバージョンがわからない場合は、Windows + Rボタンを押して、tpm.mscと入力します。
以下画面が開き、仕様バージョンにTPMのバージョンが記載されています。製造元バージョンは、TPM2.0の中のさらに細かいバージョンになります。
TPM1.2の場合は、ロックアウトするまでのPIN認証失敗回数はPCメーカによって異なります。メーカ側が自由に設定できる仕様になっているためです。TPM1.2では、だいたい10回程度PIN認証を失敗するとロックアウトすることが多いみたいですね。
お使いのPCのTPMのバージョンが1.2の場合は、TPMのファームウェアアップデートで TPM2.0にアップデートすることが可能です。各メーカからファームウェアアップデートの実行exeが提供されています。
1.2よりも2.0のほうがセキュリティレベルも上がっているので、なるべく2.0にしたほうがよいです。
下記のリンクから各メーカーのTPMファームウェアのダウンロードページにとぶことができますので確認してみてください。
ご自身のPCのメーカが書かれていない場合は、直接メーカに問い合わせるか、製品名で調べてみてください。
パスワードの誤入力カウントをリセットする
TPM2.0の場合、Windowsにログインした状態であれば(PCがスリープ状態であっても)、2時間毎にパスワードの誤入力カウントが減っていきます。
数回パスワードを間違えても、そのあと認証が成功すれば、2時間ごとに間違えた回数が減っていくので、また32回間違えることができるようになるという仕組みです。
誤入力カウントについては、PCがスリープ状態であっても減っていきますが、電源が落ちている場合は減りませんのでご注意ください。
また、誤入力カウントの回数を一気に0にリセットする方法がありますので紹介します。
0にリセットするには、TPMのクリアを行います。tpm.mscで開くことができるTPMの管理画面の右上に「TPMをクリア」の項目がありますのでクリックします。
補足ですが、TPM1.2の場合は、2時間毎にパスワードの誤入力カウントが減っていくような仕組みはありません。そのため、TPMクリアによって0にリセットする必要があります。
もし誤入力カウントがMAXに到達している場合、クリアしなければ、パスワードを1回間違えただけで、またすぐにロックアウトしてしまいますのでご注意ください。