Windows11/10でのBitLocker起動PINの最小長の指定

当初、BitLockerではPINに 4〜20文字が許可されていました 。現在、BitLockerPINの最小の長さは6文字に増加されました TPM 2.0を活用する他のWindows機能との整合性を高めるため 。

組織の移行を支援するために、現在Windows 11/10では、BitLockerPINの長さはデフォルトで6文字です 、ただし、4文字に減らすことができます 。 PINの最小長が6桁未満に設定されている場合 、Windowsは、PINが変更されたときに、TPM2.0のロックアウト期間をデフォルトよりも長く更新しようとします。成功した場合、Windowsは、TPMがリセットされた場合にのみ、TPMロックアウト期間をデフォルトにリセットします。

BitLockerの起動PINの長さを長くすると、攻撃者はより多くの推測を行う必要があります。その場合、各推測間のロックアウト期間を短縮して、正当なユーザーが同様のレベルの保護を維持しながら、失敗した試行をより早く再試行できるようにすることができます。

BitLocker起動PINの最小長を指定する

ローカルグループポリシーエディターを開きます。ローカルグループポリシーエディターの左側のウィンドウで、場所に移動します-

[コンピューターの構成]>[管理用テンプレート]>[Windowsコンポーネント]>[BitLockerドライブの暗号化]>[オペレーティングシステムドライブ]

オペレーティングシステムドライブの右側のペイン 起動用の最小PIN長の構成をダブルクリックします 編集するポリシー。

このポリシー設定を使用すると、トラステッドプラットフォームモジュール（TPM）のスタートアップPINの最小長を構成できます。このポリシー設定は、BitLockerをオンにしたときに適用されます。起動PINの長さは最小で4桁、最大で20桁である必要があります。

このポリシー設定を有効にすると、起動PINを設定するときに使用する最小桁数を要求できます。

このポリシー設定を無効にするか、構成しない場合、ユーザーは6〜20桁の任意の長さのスタートアップPINを構成できます。

PINの最小長が6桁未満に設定されている場合、Windowsは、PINが変更されたときに、TPM2.0のロックアウト期間をデフォルトより長く更新しようとします。成功した場合、Windowsは、TPMがリセットされた場合にのみ、TPMロックアウト期間をデフォルトにリセットします。

次の手順を実行します;

BitLocker起動PINにデフォルトの最小長を使用するには

未構成のラジオボタンを選択します または無効 、[ OK]をクリックします 。

BitLocker起動PINの最小長を指定するには

有効のラジオボタンを選択します 、 4〜20の数字を入力してください 最小文字数 必要なフィールドで、[ OK]をクリックします 。

これで、グループポリシーエディターを終了してシステムを再起動できます。

これは、Windows11/10でBitLocker起動PINの最小長を構成する方法です。