"ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する"(Windows グループポリシー)に関して説明します。
スポンサード リンク
カテゴリ:
BitLocker ドライブ暗号化設定値:
ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成するパス:
コンピュータの構成\管理用テンプレート\\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システムのドライブグループポリシエディタの説明:
このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker の暗号化キーをセキュリティで保護する方法を構成できます。コンピューターに互換性のある TPM が装備されていない場合、または BitLocker の TPM 保護が既に有効になっている場合は、このポリシー設定は適用されません。重要: このグループ ポリシーは、ネイティブの UEFI ファームウェア構成を使用するコンピューターにのみ適用されます。BIOS を使用するコンピューターまたは互換性サービス モジュール (CSM) が有効な UEFI ファームウェアを使用するコンピューターでは、プラットフォーム構成レジスタ (PCR) に格納される値が異なります。BIOS 構成を使用するコンピューターまたは CSM が有効な UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成する場合は、[BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループ ポリシー設定を使用してください。BitLocker を有効にする前にこのポリシー設定を有効にすると、BitLocker の暗号化オペレーティング システム ドライブへのアクセスのロックを解除する前に TPM が検証するブート コンポーネントを構成できます。BitLocker の保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM は、ドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するための回復パスワードまたは回復キーの指定を要求します。このポリシー設定を無効にするか、または構成しない場合、BitLocker では、既定のプラットフォーム検証プロファイルか、セットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。プラットフォーム検証プロファイルは、0 〜 23 の範囲のプラットフォーム構成レジスタ (PCR) のインデックス セットで構成されます。既定のプラットフォーム検証プロファイルは、コア システム ファームウェアの実行可能コード (PCR 0)、拡張またはプラグ可能な実行可能コード (PCR 2)、ブート マネージャー (PCR 4)、および BitLocker アクセス コントロール (PCR 11) に対する変更から暗号化キーを保護します。警告: 既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。具体的には、このポリシーの設定で PCR 7 を省略すると、[セキュア ブートによる整合性の検証を許可する] グループ ポリシーが無効になり、BitLocker でのプラットフォームやブート構成データ (BCD) の整合性の検証にセキュア ブートが使用されなくなります。このポリシーを設定すると、ファームウェアの更新時に BitLocker 回復が実行される可能性があります。このポリシーの設定で PCR 0 を含めた場合は、ファームウェアの更新を適用する前に BitLocker を中断してください。
スポンサード リンク