パソコンがどうしても起動しない、仕事が終わらないと休みの日に職場から電話 結局電話サポートでは解消できず、呼び出され(笑) 症状はというと、Bitlocker で暗号化してあるパソコンで (仕事用のパソコンは暗号化が必須ですね。泥棒に入られてパソコンが盗まれた事例が取引先にありまして) Windows Update で再起動したはいいですが、暗号化解除のパスワード(PIN)の入力を間違えてしまい、そのまま起動できない状態に。 PINを確認したところ、正しい。しかし、正しいはずなのに、入力すると 「PINが何度も入力されました 。許可される試行回数には制限があります」 となってしまいます。 再起動して続けるには ENTER を押しますと出るので、再起動して行ってもやはり同じ結果に。 回復キーを入力すればよいのですが、それが保存されているかどうか・・・ なんと、それを書いて鍵のかかる書類棚に保存しておいたそうなのですが、その紙が見つからない。それなくしちゃダメな奴やん・・・orz さんざん探しても見つからないので、もしかしてと思ってバックアップ用の外付けHDDを別のパソコンで確認してみたら あった━━━━(゚∀゚)━━━━!! なければOS再インストールで今日作業のデータはすべてパーとなるところでした、良かったデスネ(笑) とりあえず、回復キーを入力して・・・ おお、起動した・・・(^。^;)
その後、気になったので調べてみたのですが、Bitlockerのパスワード間違いについて、結構大変な事が分かりました。
- パスワード間違い(試行)には回数制限がある
- 回数はセキュリティチップ(TPM)のバージョンによって異なっている
- TPM2.0ではロックアウトまで32回、でも古いバージョン(1.2)はメーカー(なんの?)によって設定された回数となってるが、10回が多い
- 間違いの回数が制限を越えるとロックアウトされ、その後は正しいパスワードを入れてもロック解除されない
- TPM2.0は2時間毎に間違いのカウントが一回ずつ減っていく。(つまり、32回間違っても64時間放置しておけばまたカウンターはゼロに戻る。)
- TPM1.2ではカウンターのリセットの機能がない。
- つまり、TPM1.2で、一定回数以上間違うと、正しいパスワードを入れても絶対に起動できなくなる。
- 起動できなくなった後は、回復キーがなければ二度と復号はできず、HDDをフォーマットしてOSを入れ直すしかない。
- TPM1.2の場合、カウンターのリセットは「tpm.msc」を実行して管理ツールを起動、クリアを手動で実行してやる必要がある。
で、件のPSを確認してみたら、TPM1.2でした・・・orz ああなるほど。何回に設定されているのかは分かりませんが、リセット機能がないので、過去に間違った分もずっとカウントが蓄積されていて、今回数回まちがった事でリミットに到達、以降、正しいパスワードを入れても起動できないという状態になってしまったのですね。 対策としては
- 回復キーは必ず保存・保管しておく。失くさない事。
- TPMのカウンターをリセットしておく事。
- TPMは2.0にファームウェアをアップデートしておく事。
でしょうか。 ファームウェアのアップデートはTPMのメーカー等を調べて、メーカーのサイトからアップデーターをダウンロードする必要があると思うので一旦保留。 カウンターのリセットはすぐにできるのでやってみましたが、再起動を要求されます。で、再起動時に見慣れないBIOS画面みたいのが出てきて、 「リセットが要求されたけどいいの?OKならF12、キャンセルならESCを押して」 みたいな事が英文で書いてあったので、F12を押したら無事クリアされたようです。 TPM2.0なら、リミットまで32回も間違う事ができ、しかも2時間毎にカウンターも減っていくらしいので、あまり問題になる事はないと思いますが。 いやらしいなぁと思うのは、PIN試行回数が上限を迎えていても、それを表示してくれない事。 「再起動して続けるにはENTERを」なんて書いてあったら、再起動して正しいPINを入力すればOKかと思うじゃないですか・・・ ちなみにTPM2.0であっても、万が一、32回リミットに到達してしまうと、その後は正しいPINを入力しても起動できないのは一緒のようで。2時間待てば一回は挑戦できるようですが、急いでいる時に2時間待てないって事もありますよね。 その場合、すぐに起動するには必ず回復キーが必要になります。 回復キーは紙に印刷して、鍵がかかる、かつ、絶対に失くさない場所に保管しておきましょう。
コメント