このポリシー設定では、標準ユーザー全体でトラステッド プラットフォーム モジュール (TPM) の認証を試行できる最大回数を管理できます。 [標準ユーザーのロックアウト時間] で指定した期間内にすべての標準ユーザーによる認証の失敗回数の合計がこの値に達すると、すべての標準ユーザーが認証が必要なコマンドをトラステッド プラットフォーム モジュール (TPM) に送信できなくなります。
この設定により、TPM ハードウェアがロックアウト モードになることによって、標準ユーザーによる認証が必要なコマンドの TPM への送信が低速になるのを防ぐことができます。
標準ユーザーが TPM にコマンドを送信し、認証に失敗したことを示すエラー応答を受け取るたびに、認証の失敗としてカウントされます。 その期間よりも前に発生した認証の失敗は無視されます。
しきい値は、各標準ユーザーに対して 2 つ適用されます。 どちらかのしきい値を超えると、その標準ユーザーは認証が必要なコマンドを TPM に送信できなくなります。
[標準ユーザーごとのロックアウトしきい値] の値は、各標準ユーザーが認証を試行できる最大回数です。ユーザーによる認証の失敗回数がこの値を超えると、そのユーザーは認証が必要なコマンドを TPM に送信できなくなります。
この値は、標準ユーザー全体で認証を試行できる合計最大回数です。すべての標準ユーザーによる認証の失敗回数の合計がこの値を超えると、すべての標準ユーザーが認証が必要なコマンドを TPM に送信できなくなります。
TPM は、認証値が正しくないコマンドを多数受け取ったときにハードウェアをロックアウト モードにすることによって、パスワード推測攻撃から保護するように設計されています。 TPM がロックアウト モードになると、管理者を含むすべてのユーザー、および BitLocker ドライブ暗号化などの Windows のすべての機能に影響します。 TPM で許容される認証の失敗回数やロックアウトされる期間は、TPM の製造元ごとに異なります。 一部の TPM では、過去の認証の失敗に基づいて、以前よりも少ない失敗回数で以前よりも長い期間ロックアウト モードが継続される場合があります。 また、ロックアウト モードを終了するためにシステムの再起動が必要なものや、 十分なクロック サイクルが経過してからでないとロックアウト モードが終了しないものもあります。
TPM 所有者パスワードがあれば、管理者は TPM 管理コンソール (tpm.msc) を使用して、TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、標準ユーザーによる以前の TPM 認証の失敗はすべて無視され、TPM をすぐに通常どおり使用できるようになります。
この値を構成しなかった場合、既定値の 9 が使用されます。
この値が 0 の場合は、標準ユーザーに対して、認証に失敗する可能性があるコマンドの TPM への送信が許可されません。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Tpm |
Value Name | StandardUserAuthorizationFailureTotalThreshold |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Tpm |
Value Name | StandardUserAuthorizationFailureTotalThreshold |
Value Type | REG_DWORD |
Default Value | 9 |
Min Value | |
Max Value | 100 |