BitLocker回復キーの使い方!PIN認証失敗によるロックアウト解除方法

こんにちは、マイクロソフトマンです。

BitLockerの回復キーは保存されていますか?

回復キーがないと、パスワードを忘れてしまった場合や、PCが壊れた場合などにハードディスクの暗号化解除ができず、ハードディスクに保存されているデータが全て消えてしまいます。

そんなことにならないように、BitLockerの回復キーはわかりやすい場所に保存しておきましょう。例えば、メールに添付して自分自身に送っておくとか、 OneDriveなどクラウドサービスに保存しておくというのもよいですね。

いざ、回復キーが必要な状態になったときは他のPCからログインして、取得することができるからです。

間違ってもBitLockerで暗号化しているPC内に保存してはいけません!パスワード忘れでログインできなくなったり、故障したときに回復キーを取り出せなくなってしまうからです。

スポンサーリンク

BitLocker回復キーでPIN認証のロックアウトを解除する

BitLockerでPIN認証を有効にすると、画像のようにOS起動前にPIN認証画面が表示されます。

「このドライブのロックを解除するためにPINを入力してください」と書いてあるので、あらかじめ自身で設定したPINを入力します。

PIN認証に成功するとOSが起動します。PINの入力ミスなどで認証に一定回数失敗すると、正しいPINを入力しても認証できなくなります。この現象をロックアウトといます。

ロックアウトした場合は、PIN認証画面でEscキーを押して、下記の回復キーの入力画面を表示します。

回復キーIDが、回復キーを格納しているテキストのファイル名になっているはずです。テキストファイルの中に、48桁の回復キーが記載されていますので、入力します。

回復キーの入力が成功すると、OSが起動します。パスワードの設定を変更しておきましょう。

スポンサーリンク

何回PIN認証に失敗するとロックアウトする?

何回PINを間違えるとロックアウトするのでしょうか。

実は、TPMのファームウェアバージョンによってロックアウトまでの失敗回数が変わります。2017年以降のPCであれば、TMP2.0のはずなので連続32回の認証失敗でロックアウトします。

32回という数字はTPMの仕様として決められております。連続で32回も間違えることはまずありえないので、ロックアウトすることはほとんどないかもしれませんね。

それに、一度PIN認証に成功してWindowsにログインすることができれば、PCが起動している間(PCがスリープ状態であっても)、2時間ごとに認証失敗した回数が減っていきます。

TPMのバージョンがわからない場合は、Windows + Rボタンを押して、tpm.mscと入力します。

以下画面が開き、仕様バージョンにTPMのバージョンが記載されています。製造元バージョンは、TPM2.0の中のさらに細かいバージョンになります。

TPM1.2の場合は、ロックアウトするまでのPIN認証失敗回数はPCメーカによって異なります。メーカ側が自由に設定できる仕様になっているためです。TPM1.2では、だいたい10回程度PIN認証を失敗するとロックアウトすることが多いみたいですね。

お使いのPCのTPMのバージョンが1.2の場合は、TPMのファームウェアアップデートで TPM2.0にアップデートすることが可能です。各メーカからファームウェアアップデートの実行exeが提供されています。

1.2よりも2.0のほうがセキュリティレベルも上がっているので、なるべく2.0にしたほうがよいです。

下記のリンクから各メーカーのTPMファームウェアのダウンロードページにとぶことができますので確認してみてください。

ご自身のPCのメーカが書かれていない場合は、直接メーカに問い合わせるか、製品名で調べてみてください。

https://support.microsoft.com/ja-jp/help/4096377/windows-10-update-security-processor-tpm-firmware

スポンサーリンク

パスワードの誤入力カウントをリセットする

TPM2.0の場合、Windowsにログインした状態であれば(PCがスリープ状態であっても)、2時間毎にパスワードの誤入力カウントが減っていきます。

数回パスワードを間違えても、そのあと認証が成功すれば、2時間ごとに間違えた回数が減っていくので、また32回間違えることができるようになるという仕組みです。

誤入力カウントについては、PCがスリープ状態であっても減っていきますが、電源が落ちている場合は減りませんのでご注意ください。

また、誤入力カウントの回数を一気に0にリセットする方法がありますので紹介します。

0にリセットするには、TPMのクリアを行います。tpm.mscで開くことができるTPMの管理画面の右上に「TPMをクリア」の項目がありますのでクリックします。

補足ですが、TPM1.2の場合は、2時間毎にパスワードの誤入力カウントが減っていくような仕組みはありません。そのため、TPMクリアによって0にリセットする必要があります。

もし誤入力カウントがMAXに到達している場合、クリアしなければ、パスワードを1回間違えただけで、またすぐにロックアウトしてしまいますのでご注意ください。

スポンサーリンク
関連記事と広告