標準ユーザーのロックアウト期間

このポリシー設定では、認証が必要なトラステッド プラットフォーム モジュール (TPM) コマンドで標準ユーザーの認証に失敗した回数を数える期間 (分) を管理できます。この期間内に TPM コマンドの認証に失敗した回数がしきい値に達すると、標準ユーザーは認証が必要なコマンドを TPM に送信できなくなります。

この設定により、TPM ハードウェアがロックアウト モードになることによって、標準ユーザーによる認証が必要なコマンドの TPM への送信が低速になるのを防ぐことができます。

標準ユーザーが TPM にコマンドを送信し、認証に失敗したことを示すエラー応答を受け取るたびに、認証の失敗としてカウントされます。この期間よりも前に発生した認証の失敗は無視されます。

しきい値は、各標準ユーザーに対して 2 つ適用されます。どちらかのしきい値を超えると、その標準ユーザーは認証が必要なコマンドを TPM に送信できなくなります。

[標準ユーザーごとのロックアウトしきい値] の値は、各標準ユーザーが認証を試行できる最大回数です。ユーザーによる認証の失敗回数がこの値を超えると、そのユーザーは認証が必要なコマンドを TPM に送信できなくなります。

[標準ユーザー全体のロックアウトしきい値] の値は、標準ユーザー全体で認証を試行できる合計最大回数です。すべての標準ユーザーによる認証の失敗回数の合計がこの値を超えると、どの標準ユーザーも認証が必要なコマンドを TPM に送信できなくなります。

TPM は、認証値が正しくないコマンドを多数受け取ったときにハードウェアをロックアウト モードにすることによって、パスワード推測攻撃から保護するように設計されています。TPM がロックアウト モードになると、管理者を含むすべてのユーザー、および BitLocker ドライブ暗号化などの Windows のすべての機能に影響します。TPM で許容される認証の失敗回数やロックアウトされる期間は、TPM の製造元ごとに異なります。一部の TPM では、過去の認証の失敗に基づいて、以前よりも少ない失敗回数で以前よりも長い期間ロックアウト モードが継続される場合があります。また、ロックアウト モードを終了するためにシステムの再起動が必要なものや、十分なクロック サイクルが経過してからでないとロックアウト モードが終了しないものもあります。

TPM 所有者パスワードがあれば、管理者は TPM 管理コンソール (tpm.msc) を使用して、TPM のハードウェア ロックアウト ロジックを完全にリセットできます。管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、標準ユーザーによる以前の TPM 認証の失敗はすべて無視され、TPM をすぐに通常どおり使用できるようになります。

この値を構成しなかった場合、既定値の 480 分 (8 時間) が使用されます。

サポートされるバージョン: Windows Server 2012、Windows 8、Windows RT またはそれ以降

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureDuration
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

TPM 認証に失敗した回数を数える期間 (分):

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Tpm
Value NameStandardUserAuthorizationFailureDuration
Value TypeREG_DWORD
Default Value480
Min Value
Max Value10000

tpm.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)