EFI - HP

テクニカルホワイトペーパー
HP ビジネスノートブック/デスクトップ
における EFI プリブートのガイドライン
および Windows 8 の UEFI セキュア
ブート
PPS ビジネスノートブック/デスクトップ
目次
EFI プリブートのガイドライン .......................... 2
サポート対象モデル ........................................ 2
HP EFI およびプリブートアプリケーション用の
HP_TOOLS ........................................................ 2
EFI とカスタムイメージング .............................. 3
EFI アーキテクチャー ....................................... 3
BIOS から EFI アプリケーションを起動する方
法...................................................................... 5
ハードドライブでの HP_TOOLS パーティション
の作成または復元 .......................................... 5
プリブートアプリケーション起動時のエラー ... 5
プリブートに関するセキュリティ要件 .............. 6
セキュアブート ............................................. 7
ファームウェアポリシー ................................... 7
セキュアブートキーの管理.............................. 9
BIOS 署名キー ............................................... 10
TPM とメジャーブート ..................................... 11
POST ............................................................... 12
Win8 ハイブリッドブートとフラッシュ ............. 12
BitLocker ........................................................ 12
ブート順序 ...................................................... 12
OA3 ................................................................. 15
Computrace.................................................... 16
F10 による既定値の復元動作 ...................... 17
付録 ..........................................................20
UEFI の一般要件 ........................................... 20
詳細情報 ...................................................21
お問い合わせ .............................................21
EFI プリブートのガイドライン
コンピューターテクノロジーの進化に伴い、BIOS は、新しいコンポーネント、大規模化や複雑化が進むチップセット、
アドインカードなど、各種の機能強化に対応するために拡張され続けており、こうした拡張が BIOS のさらなる複雑化
を招いています。
コンピューター業界が BIOS の制限を解消しようと開発したのが、Extensible Firmware Interface (EFI) です。EFI は、OS
とプラットフォームファームウェア間の従来の BIOS インターフェイスに代わるモジュラーインターフェイスセットです。
EFIは高水準のC言語に基づくもので、ドライバーベース、優れた拡張性、デバッグやアップグレードが簡単といった特
徴があります。また、プラットフォームに依存しないモジュラーアーキテクチャーを使用し、ブートをはじめとした各種の
BIOS機能を実行できます。HPではこのテクノロジーを採用し、すべてのビジネスノートブック/デスクトップコンピュー
ターにEFIパーティションを実装しています 1。HP EFIパーティションは従来のBIOSインターフェイスに代わるだけでなく、
プリブートシステム環境向けのさまざまなツールを提供します。
HP EFI パーティションはハードドライブ上に表示可能で、HP_TOOLS というラベルが付けられています。EFI BIOS を搭
載する 2008 年以降の HP ビジネスノートブック/デスクトッププラットフォームでは、EFI パーティションが FAT32 プライ
マリパーティションとして作成されています。これは、FAT32 以外のパーティション形式には、アクセス時の制限がある
ためです。これらのガイドラインには、Windows® 8 (Win8) OS の仕様も含まれます。
本書におけるノートブックおよびデスクトップとは、すべて HP のビジネスノートブックとビジネスデスクトップを意味しま
す。
サポート対象モデル
2012 年モデル以降、次の HP ビジネスノートブック/デスクトップコンピューターで、EFI プリブートのガイドラインと
Win8 の UEFI セキュアブートがサポートされています。
HP EliteBook p シリーズ 2012 年モデル
HP ProBook b シリーズ 2012 年モデル
HP ProBook m シリーズ 2012 年モデル
HP ProBook s シリーズ 2012 年モデル
HP Compaq 8300 Elite シリーズ 2012 年モデル
HP Compaq 6300 Pro シリーズ 2012 年モデル
HP Compaq 6305 Pro シリーズ 2012 年モデル
HP EFI およびプリブートアプリケーション用の HP_TOOLS
Win8 では、プリブートコンポーネントのパーティションとディレクトリパスが変更されました。Win8 での変更内容は、表
1 のとおりです。
表 1: プリブートコンポーネントと Win7/Win8 のパーティションおよびディレクトリパス
コンポーネント
Win 7 のパーティション名とフォルダーパス (MBR) Win 8 のパーティション名とフォルダーパス (GPT)
BIOS イメージ
[HP_TOOLS]/HEWLETT-PACKARD/BIOS
[/New、/Current、/Previous]
UEFI BIOS アップデート [HP_TOOLS]/HEWLETTPACKARD/BiosUpdate
1
[ESP]/EFI/HP/BiosUpdate
System Diagnostics
[HP_TOOLS]/HEWLETTPACKARD/SystemDiags
[ESP]/EFI/HP/SystemDiags
言語
[HP_TOOLS]/HEWLETT-PACKARD
/Language
[HP_TOOLS]/HEWLETT-PACKARD
/Language
カスタムロゴ
[HP_TOOLS]/HEWLETT-PACKARD/Logo
[HP_TOOLS]/HEWLETT-PACKARD/Logo
スペアキー言語
[HP_TOOLS]/HEWLETT-PACKARD/SpareKey
[HP_TOOLS]/HEWLETT-PACKARD/SpareKey
SecureHV
[HP_TOOLS]/HEWLETT-PACKARD/SecureHV
[HP_TOOLS]/HEWLETT-PACKARD/SecureHV
HP 2133 Mini-Note PC を除く。
2
[ESP]/EFI/HP/BIOS[/New、/Current、
/Previous]
HP EFI アプリケーションおよびプリブートアプリケーションにより、フラッシュ ROM のシステム BIOS に広範なプリブート
機能が加わります。GUID パーティションテーブル (GPT) フォーマットディスクについては、本書の 4 ページをご覧くださ
い。
注記: HP_TOOLS パーティションは、Windows BitLocker や HP ProtectTools 用の Full Volume Encryption といったソフ
トウェア暗号化プログラムで暗号化しないでください。パーティションを暗号化すると、HP プリブートアプリケーション
が動作しません。
起動時の HP System Diagnostics
コンピューターの起動時にアクセス可能な HP System Diagnostics により、プライマリハードドライブやシステムメモリ
モジュールのテストを実行できます。また、このツールを使用すると、モデル番号、プロセッサータイプ、総メモリ容量、
シリアル番号といったコンピューター関連情報を取得できます。
BIOS リカバリ
BIOS リカバリユーティリティは、BIOS イメージが破損した際に BIOS を復旧させるためのノートブックのみの機能です。
BIOS リカバリは、次の 2 通りの方法で使用できます。
 ノートブックでは、破損した BIOS を自動検出し、BIOS イメージをフラッシュすることにより修復が行えます。デスク
トップには BIOS リカバリユーティリティは付属していません。デスクトップの BIOS がフラッシュ中に破損した場合、
システムは次回ブート時に自動的に復旧モードに入り (8 回の点滅/ビープ音により POST エラーを通知)、BIOS バ
イナリファイルが存在する USB ストレージデバイスをルートディレクトリ (HDD のルート) で探します。その後、再フ
ラッシュによりシステムが復旧されます。
 BIOS リカバリユーティリティを使用して、ノートブックの強制復旧が行えます。前述のとおり、リカバリユーティリティ
が付属していないデスクトップでは、破損した BIOS が検出された時点で自動的に復旧が行われます。
初期の状態では、ノートブックの BIOS リカバリディレクトリに、プラットフォームに対応した初期リリースバージョンの
BIOS が含まれています。その後、BIOS アップデートがリリースされると、2 つの HP BIOS フラッシュユーティリティ
(HPQFlash と SSM フラッシュ) により、最新バージョンの BIOS へのアップデートが自動的に実行されます。なお、現行
バージョンの eROMPAQ フラッシュユーティリティはこの機能をサポートしていません。
EFI アプリケーションの起動
次のユーティリティを使用して EFI アプリケーションを起動できます。
System Diagnostics (ノートブックとデスクトップの両方) – 起動時に「Press Esc for Startup Menu (Esc を押して起動メ
ニューを表示)」というメッセージが表示されたら、Esc キーを押します。次に、F2 を押して System Diagnostics を起動
します。オフステートまたはスリープ/休止ステートから F2 を押しても、System Diagnostics を起動することはありませ
ん。F2 を使用できるのは、POST 中に BIOS キーが表示される場合に限られます。
BIOS リカバリ (ノートブックのみ) – コンピューターのブートに 4 つの矢印キーを押したまま電源ボタンを押すと、BIOS
リカバリが起動します。
EFI とカスタムイメージング
独自のカスタムイメージを使用する場合やシステムパーティション機能を保持したい場合は、HP_TOOLS という名前
の FAT32 パーティションを作成する必要があります。作成しなければ、次の機能が使用できなくなります。
 BIOS の破損の自動検出と復旧
 System Diagnostics のすべての機能
EFI アーキテクチャー
HP_TOOLS パーティションを変更する場合は注意が必要です。このパーティションは保護されておらず、削除が可能
です。Windows Complete PC バックアップでコンピューターをバックアップしても、EFI パーティションはバックアップされ
ません。EFI パーティションをバックアップしていなければ、パーティションの破損や障害が発生した場合、パーティショ
ンのすべてのデータが失われるだけでなく、EFI の機能も使用できなくなります。そのため HP では、他のデータを EFI
パーティションに保存しないことを推奨しています。
ボリューム名
ボリューム名は HP_TOOLSxxxx です。HP_TOOLS は初期リリースのもので、ボリューム名の末尾にあるバージョン番
号 (ここでは「xxxx」) は将来拡張する場合のものです。これは HP のプリインストールチームが管理し、変更されるこ
ともあります。ソフトウェアでボリュームバージョンをハードコーディングするのではなく、プレフィックスの「HP_TOOLS」
を検索し、プレフィックスのみで FAT32 形式の HP パーティションを特定するようにしてください。
HP_TOOLS パーティションにドライブ文字は割り当てられておらず、パーティションに最初にアクセスしたアプリケー
ションがパーティションをマウントします。HP CASL にマウント/アンマウント用のインターフェイスがあります。
ディレクトリと説明
HP_TOOLS EFI パーティションのファイルおよびフォルダー構造は、Windows のファイルおよびフォルダー構造と類似
しています。EFI アプリケーションのインストールは、次のように進行します。
HP EFI アプリケーションの SoftPaq が、C:\swsetup ディレクトリに展開されます。続いて EFI ソフトウェアのインストー
ルプロセスで、HP_TOOLS というラベルの付いた FAT32 パーティションが検出され、次のディレクトリへのインストール
が実行されます。
:\Hewlett-Packard\softwarename
ディスクレイアウト
GPT のディスクレイアウトは次のようになります。
EFI システムパーティ
ション (ESP):
プライマリ OS パーティ
ション:
ファイルシステム: FAT32
ファイルシステム: NTFS
データパーティション
1～n (該当する場合):
ファイルシステム:
NTFS
HP_TOOLS パーティション: リカバリパーティション:
データパーティション 1
～n (該当する場合):
ファイルシステム: NTFS
HP_TOOLS パーティション: リカバリパーティション:
ファイルシステム: FAT32
ファイルシステム: NTFS
MBR のディスクレイアウトは次のようになります。
システムパーティション
(該当する場合):
ファイルシステム:NTFS
プライマリ OS パーティ
ション:
ファイルシステム: NTFS
ファイルシステム: FAT32
ファイルシステム: NTFS
このシナリオでの「リカバリパーティション」とは、Windows 回復環境 (WinRe) を指します。
HP_TOOLS パーティションのサイズ
2012 年モデルの EFI アプリケーションに予定されている容量:
System Diagnostics: 5MB
UEFI BIOS アップデート: 3MB
BIOS HDD 自動リカバリイメージ: 20MB
その他 BIOS 関連: 10MB (カスタムロゴ、言語、スペアキー)
ハイパーバイザー用に予約: 100MB
2012 年モデルの HP_TOOLS パーティションのサイズは合計 2GB です。
HP_TOOLS パーティションのディレクトリと説明
HP_TOOLS パーティションは、NTFS ファイルシステムとしての既存のものと同じ構造にする必要があります。また、EFI
アプリケーションおよびプリブートアプリケーションは、一般的な HP ソフトウェアの規則に従ってインストールしてくだ
さい。
Web でリリースされるプリブートコンポーネントは、最新の SoftPaq を使用してください。SoftPaq を実行すると、他の
SoftPaq と同じく「C:\swsetup ディレクトリ」に展開されます。続いてプリブートソフトウェアのインストールプロセスで、
「HP_TOOLS」というラベルの付いた FAT32 パーティションが検出され、ディレクトリ「:\HEWLETTPACKARD\softwarename」へのインストールが実行されます。
たとえば、HP System Diagnostics とそのデジタル署名は、それぞれ「:\HEWLETTPACKARD\SYSTEMDIAGS\SystemDiags.efi」と「SystemDiags.Sig」に保存されます。
GPT フォーマットディスクに対応した HP EFI アプリケーションおよびプリブートアプリケーションの ESP パーティション
ネイティブ UEFI 対応型オペレーティングシステムをインストールすると、ESP パーティションが自動的に作成されます。
ESP に格納される要素には、オペレーティングシステムのブートローダーイメージなどがあります。ESP はドライブ文
字が割り当てられていない列挙可能な FAT32 パーティションです。また、「EFI System Partition Subdirectory Registry」
に定義された形式に従う必要があります。詳細については、http://www.uefi.org/specs/esp_registry (英語) をご覧
ください。
4
UEFI Win8 のプリインストールイメージは、2012 年モデルのプラットフォームから使用できます。いくつかの HP コン
ポーネントは、HP_TOOLS パーティションに代わって ESP に格納されるようになりました。HP_TOOLS パーティションで
はなく ESP パーティションに格納するメリットは、HP のプリインストールイメージを使用しないときでもコンポーネントを
利用できる点にあります。ただし、ESP のデフォルトサイズは 100MB であるため、HP コンポーネント全体のサイズが
制限されます。
これらの EFI コンポーネントのインストールソフトウェアでは、すべての FAT32 パーティションを列挙した後、ファーム
ウェアパッケージを ESP にコピーする必要があります。ESP の場所は、パーティションの GUID と ESP の GUID 定義を
照合して決定できます (詳細については、UEFI 仕様バージョン 2.3.1 を参照)。インストールソフトウェアで ESP を検出
できない場合は、ESP が GPT システムではなく、レガシーMBR システムであることを示しています。
BIOS から EFI アプリケーションを起動する方法
EFI アプリケーションを起動すると、BIOS と同様にシステムリソースを制御できます。EFI アプリケーションは、アクセス
制限のないドライブパーティションに格納されるため、セキュリティが十分ではありません。BIOS からは HP の署名が
付いた EFI アプリケーションのみを起動します。
注記: セキュリティの脆弱性を軽減するため、HP の署名が付いた EFI アプリケーションのみを実行してください。
HP の署名が付いた EFI アプリケーション
いずれの HP EFI アプリケーションにも、EFI アプリケーションと同じサブディレクトリに filename.efi および filename.sig
という 2 つのファイルが保存されています。
HP の署名がない EFI アプリケーション
現在、EFI Shell を始めとする各種 EFI アプリケーションをユーザーレベルで起動する機能が、2 通りの方法で利用で
きます。1 つは、[Boot from EFI File]オプションで、EFI Shell やその他の EFI アプリケーションをブートする方法で、もう
1 つは、EFI Shell を直接ブートする方法です。現在、これらのオプションは、Boot Manager (F9) の[Boot Option]メ
ニューにあります。
EFI ファイルからブート
1 つ目の方法である[Boot from EFI File]は、F9 キーを押して Boot Manager を起動することで実行でき、[Boot Option]
メニューに使用可能なすべてのブートオプションが表示されます。[Boot from EFI File]を選択すると、使用可能なすべ
てのファイルシステムのマッピングがファイルエクスプローラー画面に表示されます。各エントリのボリューム構造内
を移動して目的の EFI アプリケーションを見つけたら、そのエントリを選択して Enter キーを押し、アプリケーションを
起動させます。セキュリティ上の理由により、BIOS 管理者がこの機能を無効にすることも可能です。
ハードドライブでの HP_TOOLS パーティションの作成または復元
次の手順に従って、HP_TOOLS パーティションを作成し、関連の SoftPaq をパーティションにインストールします。
 Partition Magic を使用して、システムパーティションのあるローカルハードドライブに次の属性のパーティションを作
成します。
- パーティションタイプ: FAT32
- パーティションサイズ: 2GB
- ボリューム名: HP_TOOLS
 新しいパーティションに HEWLETT-PACKARD というフォルダーを作成します。
 プリブートコンポーネントとディレクトリパスについては、表 1 をご覧ください。
プリブートアプリケーション起動時のエラー
アプリケーション起動キーが動作しない場合は、パーティションが破損している可能性があるため、
http://www.hp.com/support から関連する SoftPaq を入手して、アプリケーションを再インストールします。再インス
トールしてもアプリケーションが動作しない場合は、テクニカルサポートにお問い合わせください。
EFI アプリケーションの起動時に問題が発生すると、次のエラーが表示されることがあります。
 HP_TOOLS Partition not found: can’t find Fat 32 partition starting with “HP_TOOLS” (HP_TOOLS パーティションが見
つかりません: 「HP_TOOLS」で始まる FAT32 パーティションを検出できません)
 Application not found: can’t find preboot application in directory (アプリケーションが見つかりません: ディレクトリ
内のプリブートアプリケーションを検出できません)
 Invalid signature: BIOS fails to verify the signature of the preboot application. (無効な署名です: BIOS がプリブート
アプリケーションの署名を検証できません。)
BIOS フラッシュにアプリケーションのバックアップバージョンがあれば (たとえば、HP System Diagnostics など)、BIOS
からバックアップが起動されます。バックアップがない場合は、BIOS でエラーメッセージが表示されます。
プリブートに関するセキュリティ要件
署名付きプリブートアプリケーション
プリブートアプリケーションを起動すると、BIOS と同様にシステムリソースを制御できます。こうしたアプリケーションは、
簡単にアクセス可能な (そのため、不正侵入されやすい) 一般のハードドライブパーティションに置かれるため、BIOS
では HP の署名が付いたプリブートアプリケーションのみを起動する必要があります。
プリブート環境に関するその他の F10 ポリシー (ノートブックのみ)
BIOS の F10 にある複数のポリシーにより、F9 を押したときに表示される Boot Manager の[Boot from EFI File]オプ
ション (詳細は、「BIOS から EFI アプリケーションを起動する方法」を参照) を使用できるかどうかが決まります。
次の順序でポリシーにアクセスします。
[System Configuration (システム構成)]  [Device Configurations (デバイス構成)] 
Boot Manager で示されるポリシーは次のとおりです。
UEFIブートモード
「無効 (レガシーOS の場合)」
「ハイブリッド (CSM を使用) (Win7 64 UEFI の場合)」
「ネイティブ (CSM を使用しない) (Win8 64 の場合)」
次のポリシーにより、BIOS で EFI ファイルをブートできるかどうかの設定が変わります。
カスタムロゴ
「有効/無効」(デフォルト: 無効)
UEFI ブートモードを無効にすると、F9 を押したときに Boot Manager の[Boot from EFI File]オプションは表示されませ
ん。この場合、ホットキーを使用する以外に HP EFI アプリケーションを起動する方法はありません。
EFI BIOS には、ブート中に表示するロゴをカスタマイズできる優れた機能があります。ロゴはビットマップファイルに
なっており、HP_TOOLS パーティションで追加/変更できます。
カスタムロゴのビットマップファイルの署名は BIOS からチェックできないため、BIOS POST プロセスの攻撃ツールとし
て利用される可能性があります。したがって、高い機密性が求められる環境では、この機能を無効にするオプション
が必要です。
6
セキュアブート
ここでは、Win8 ロゴの要件に適合する UEFI BIOS の設計要件を説明するとともに、HP のプリインストールとサービス
に必要な条件についても紹介します。セキュアブートとは、認証済みのコードのみをプラットフォームで実行できるよう
にする機能で、ファームウェアがポリシーに基づいて OS ローダーのパブリッシャーを検証し、信頼できない OS の起
動を防止する役割を担います。これはルートキット攻撃を軽減することを目的としています。
図 1: UEFI セキュアブートのフロー
ネイティブUEFI
検証済みOS
ローダー
(例: Win 8)
OS起動
 ファームウェアは、ポリシーに基づいて信頼できる署名付き OS ローダーのみを起動します。
 OS ローダーは以降の OS コンポーネントの署名検証を実行します。
図 2: Win8 セキュアブートのフロー
UEFI
Win8 OS
ローダー
カーネル
インストール
マルウェア
対策ソフト
ウェア起動
サード
パーティ製
ドライバー
 BIOS がエンティティに制御を引き渡す前に、ブート可能なすべてのデータの認証が必要となります。
 UEFI BIOS は OS ローダーの署名をロード前にチェックし、署名が有効でない場合は、プラットフォームのブートを停
止します。
ファームウェアポリシー
Win8 セキュアブートのサポートに不可欠なファームウェアポリシーは 2 つあり、これらのポリシーはノートブックとデ
スクトップで異なっています。
セキュアブート (ノートブックおよびデスクトップ)
 無効
 有効
[Secure Boot (セキュアブート)]を[Enable (有効)]に設定すると、BIOS は OS をロードする前にブートローダーの署名を
検証します。
ブートモード (ノートブックのみ)
 レガシー
 Compatibility Support Module (CSM) を使用する UEFI ハイブリッド
 CSM を使用しない UEFI ネイティブ
[Secure Boot (セキュアブート)]を[Enable (有効)]に設定すると、BIOS は OS をロードする前にブートローダーの署名を
検証します。
ノートブックのブートモードを「レガシー」に設定するか、UEFI ハイブリッドサポートの設定を「有効」にすると、CSM が
ロードされ、セキュアブートが自動的に無効になります。
Win7 以前のデスクトップでは、F10 で[Legacy Support (レガシーサポート)]を[Enabled (有効)]、[Secure Boot (セキュ
アブート)]を[Disabled (無効)]、および[Fast Boot (高速ブート)]を[Disabled (無効)]に設定すると、CSM サポートが適用
されます。このデスクトップの設定は、ノートブックの「レガシー」設定に相当します (デスクトップ BIOS には「レガシー
サポート」設定が実際に存在します)。
セキュアブートを使用する Win8 デスクトップでは、F10 で[Legacy Support (レガシーサポート)]を[Disabled (無効)]、
[Secure Boot (セキュアブート)]を[Enabled (有効)]、および[Fast Boot (高速ブート)]を[Enabled (有効)]に設定すると、
CSM サポートが適用されません。デスクトップ BIOS には明確な「UEFI ネイティブ」設定はありませんが、このデスク
トップの設定は、ノートブックの「UEFI ネイティブ」に相当します。
セキュアブートを使用しない Win8 デスクトップでは、F10 で[Legacy Support (レガシーサポート)]を[Enabled (有効)]、
[Secure Boot (セキュアブート)]を[Disabled (無効)]、および[Fast Boot (高速ブート)]を[Disabled (無効)]に設定すると、
EFI と CSM サポートの両方が適用されます。この場合、CSM サポートを適用する代わりにセキュアブートが使用でき
ません。デスクトップ BIOS には明確な「UEFI ハイブリッド」設定はありませんが、このデスクトップの設定は、ノートブッ
クの「UEFI ハイブリッド」に相当します。
注記: すべての HP ビジネスプラットフォームにおいて、工場出荷時の初期設定ではセキュアブートを設定してレガ
シーサポートを無効にしています。レガシーサポートとセキュアブートの両方を有効にしようとすると、BIOS で警告が
出力されます。
BIOS の再フラッシュが完了すると、デフォルトの構成は次のようになります。
 セキュアブート = 無効
 ブートモード = レガシー (その他のモードは、プリインストールされる OS に応じて工場でプリインストールチームが
設定します。)
Win8 64/32 のプリインストールでは、セキュアブート/ブートモードポリシーを「有効」と「レガシー」、および「無効」に設
定します。
表 2: サポートされるポリシー設定と OS
ブートモード/セキュアブート
無効
有効
レガシー
レガシーOS: XP、Vista、Windows 7、Linux
不可
UEFI ハイブリッド
レガシーOS: XP、Vista、Windows 7、Linux
不可
UEFI ネイティブ
Linux、Win8 (ネイティブ UEFI を搭載するが
セキュアブートは使用しない)
Win8
OS と BIOS のポリシーが適合しない場合、システムをブートできません。
注記: セキュアブートを「有効」にして「UEFI ハイブリッド」(ノートブックのみ) または「レガシー」を選択した場合は、不可
の状態となります。BIOS にこの変更を要求しても無視されます。
セキュアブートは、BIOS セットアップ (F10) で有効/無効にできます。または、WMI インターフェイスを介して WMI スクリ
プトを使用するか、HP の BIOSConfig ユーティリティを使用してリモートから変更できます。
セキュアブートの「無効」コマンドが WMI から BIOS に送信されても、セキュアブートのステータスはすぐに変わりませ
ん。悪意あるソフトウェアからの攻撃を防止するため、次回リブート時に物理プレゼンスをチェックする必要があるか
らです。
プロセスを完了するには、ユーザーまたは技術者が、BIOS の出力メッセージに表示される 4 桁のランダムな認証
コードを入力する必要があります。
8
セキュアブートキーの管理
図 3: HP プラットフォームキーの管理 (ノートブック)
図 4: HP プラットフォームキーの管理 (デスクトップ)
工場出荷時の HP BIOS には、HP PK、MS KEK、MS db、および空の dbx が格納され、システムはユーザーモードに
なっています。PK の新規登録は行えません。この HP プラットフォームキーは HP ファームウェア署名キーとは異なり
ます。最初の実装 (2012 年以降) では、HP PK は「Hewlett-Packard UEFI Secure Boot Platform Key」という名前の証
明書で、HP IT が発行します。BIOS 署名キーは RAW-CMIT-BIOS2012 です。MS KEK は「Microsoft Corporation KEK CA
2011」という名前の証明書です。[User Mode (ユーザーモード)]セクションはグレーアウトされ、情報は一覧表示されま
すが、変更できません。また、[Clear Secure Boot Keys (セキュアブートキーの消去)]オプションもグレーアウトされます。
[Clear Secure Boot Keys (セキュアブートキーの消去)]オプションは、セキュアブートを無効にすると使用できます。
セキュアブートを無効にするだけではモードは変わりません。ユーザーモードの間は、システムに登録されている現
在のキーが保持され、他のセクションはグレーアウトされます。
次に、[Clear Secure Boot Keys (セキュアブートキーの消去)]を選択すると、BIOS が「ユーザーモードのセットアップ」に
移り (図 5)、モードセクションが使用できるようになります。
図 5: BIOS のユーザーモードのセットアップの選択 (ノートブック)
これでシステムがセットアップモードになり、HP ファクトリキーまたはカスタマーキーを選択できます。カスタマーキー
を選択した場合、実際には BIOS データベースにキーが存在しないため、OS のアプリケーションを使用して、キー (PK、
KEK、dbs) を BIOS に取り込む必要があります。
注記: カスタマーキーを選択しているときに、もう一度 HP PK をインポートしようとすると、BIOS は PK を受け付けませ
ん。
セキュアブートを再び有効にするまで、BIOS はカスタムモードの状態を維持します。セキュアブートに戻ると、BIOS は
ユーザーモードに変わり、下部のセクションが再度グレーアウトされます。
セキュアブートの検証が失敗するケース
ESP\Microsoft\boot パーティションにあるオペレーティングシステムのブートローダーファイル bootmgfw.efi また
は Bootx64.efi は、Windows Authenticated Portable Executable Signature Format の仕様に従って署名が付けら
れています。何らかの方法でファイルが変更されると、ブートローダーの認証が失敗します。認証が失敗すると、
ファームウェアにより「Selected boot image did not authenticate. (選択されたブートイメージは認証されませんでし
た。)」というエラーメッセージを含むダイアログボックスが表示されます。このダイアログボックスでは確認が求められ、
確認を行うとシステムがシャットダウンします。
BIOS 署名キー
「System.Fundamentals.Firmware.UEFISecureBoot」 - すべてのファームウェアコンポーネントはRSA-2048/SHA-256
で署名することが必須となっています。これは署名アルゴリズムの基準を満たすための既定のポリシーです 2。
2
「Windows ハードウェア認定キット」(WHCK、旧 Windows Logo Kit) より
http://msdn.microsoft.com/en-us/windows/hardware/gg487530.aspx (英語) http://msdn.microsoft.com/ja-jp/windows/hardware/gg487530.aspx (日本語)
10
TPM とメジャーブート
Trusted Platform Module (TPM) ハードウェアチップを搭載したシステムでは、ブートプロセス中に Win8 が広範囲に及
ぶ一連の測定を実行 (メジャーブート) し、測定値をブートプロセスの認証に使用することで、オペレーティングシステ
ムがルートキットなどのマルウェアの危険にさらされないようにします。ファームウェアからブートスタートドライバーま
での各コンポーネントが測定され、測定値はマシンの TPM に保存されます。また、このログをリモートから使用して、
クライアントのブート状態を確認することも可能です。
Win8 BitLocker による PCR のシール
 Win8 ハードウェアの認定要件として、ネイティブ UEFI ブートが必要です。
 ネイティブ UEFI ブートシステムの場合、BitLocker はデフォルトで PCR[0]、[2]、[4]、および[11]に対してシールを行
います。
 接続されているスタンバイシステムの場合、BitLocker は PCR[7]と[11]に対してシールを行います。
注記: 接続されているスタンバイシステムの相反する要件 -- WHQL は、接続されているスタンバイシステムに対し、セ
キュアブートポリシー情報の測定値を PCR[7]に格納するよう求めますが、TCG は PCR[6]のセキュアブートポリシー情
報を要求します。PCR 番号については、本書の付録にある「表 A1: PCR 測定値」をご覧ください。
物理プレゼンス
TCG PPI 仕様 1.2 に新しいフラグが規定されています。NoPPIProvision というフラグで、推奨されるデフォルト値は
BIOS ごとに「True」となります。プリインストールチームは、このフラグを Win8 以降の OS に対して「True」、その他の
OS に対して「False」に設定します。NoPPIProvision が「True」で TPM 所有者がいない場合、最初の Enable/Activate
コマンドを受け取ったときに、BIOS で物理プレゼンスのプロンプトは表示されません。
NoPPIProvision が「False」であれば、BIOS で物理プレゼンスのプロンプトが表示されます。
NoPPIProvision フラグのデフォルト値
Win8 の場合、NoPPIProvision フラグはデフォルトで「True」にする必要があります。Win8 では、このデフォルト設定に
よりユーザー確認なしで TPM の所有権が認められます。
中国における Win8 の特殊要件
中国では法規定により、TPM は無効の状態で出荷する必要があり、ユーザーの物理プレゼンスによってのみ有効に
できます。
TPM のプレゼンスを有効にした場合、BIOS では物理プレゼンスのプロンプトにより、以下のメッセージが表示されま
す。それ以外の場合、物理プレゼンスのプロンプトは通常の (F1、F2) メッセージとなります。
F10 の NoPPIProvision フラグ
NoPPIProvision フラグのデフォルト値は、工場出荷時設定に基づきます。
TPM 自動プロビジョニング
Win8 では、展開シナリオを簡単にするため、自動的に TPM の所有権が認められます。また、セットアップ時の細か
い設定も不要で、OS が自動的に TPM を使用できるようにします。その際、「PPI v1.2 PC Client Specific TPM Interface」
仕様に定義される新しい PPI フラグが使用されます。OS の初回起動時には、デフォルトで「TPM が使用できない状態」
になっており、NoPPIProvision フラグが「True」に設定されています (TPM プロビジョニングのプロンプトが表示されま
せん)。この時点での TPM の状態は、「無効」、「非アクティブ」、「非所有」です。次に、OS で TPM コマンド 10 が発行
され、最初のブートサイクルが終了すると、TPM が「有効/アクティブ」になります。最終的には、2 回目の OS の起動
後に TPM が「所有済み」となり、Windows で TPM が使用できる状態であることが報告されます。このような TPM 自動
プロビジョニングオプションを使用しない場合は、Windows のウィザードを使用して手動で TPM をプロビジョニングで
きます。
POST
POST には、次のようなツールや情報が含まれています。
 インストールしたソフトウェアのドライバーとファームウェアのバージョン
 (Smart アレイコントローラーではなく) チップセットに直接接続されたディスクドライブの情報
POST のロゴに関する要件
 ネイティブ解像度を使用
 ロゴの設計:
- 左右中央揃え
- 画面上方から 38.2%
 ロゴのサイズ:
- 画面の高さの 40%以下
- 画面の幅の 40%以下
 POST の画面にロゴを配置
 ロゴを BGRT に追加
POST 時間
デフォルトのブート時に行われる USB の初期化を省きます。高速ブートでは、求められるブート時間を達成するため、
内蔵の HDD のみを初期化します。
Win8 ハイブリッドブートとフラッシュ
デフォルトでは、Win8 シャットダウンでハイブリッドブートが有効にされており、ユーザーデータ以外が休止状態にな
ります。そのため、次回ブート時に OS はコールドブートではなく、S4 から再開されます。ただし、フラッシュか POST 時
の設定変更により、BIOS でシステム構成を変更した場合は、完全な再起動を行って OS に変更を適用する必要があ
ります。そのような場合、ACPI 仕様に従って、フルブートを実行するよう BIOS から OS に通知しなければなりません。
Firmware ACPI Control Structure (FACS) テーブル (ACPI 仕様) にあるオフセット 8 の 4 バイトフィールドは「ハードウェ
アシグネチャー」と呼ばれ、次のように説明されています。
BIOS は、前回ブート時におけるシステムの「ハードウェアシグネチャー」値を可能な限り計算し、システムの基本ハー
ドウェア構成を示します。その際、ハードウェアシグネチャー値は、個々の基本ハードウェア構成で異なります。OSDirected Power Management (OSPM) では、この情報を S4 状態からの復帰時に使用して、現在のハードウェアシグネ
チャー値と不揮発性メモリのスリープイメージに保存されたシグネチャー値を比較します。値が異なる場合、OSPM は
保存された不揮発性メモリのイメージが別のハードウェア構成のもので、復元できないと判断します。
BitLocker
TPM と有線 LAN ネットワークをサポートするシステムは、UEFI 2.3.1 に定められる有線 LAN の
EFI_DHCP4_PROTOCOL、EFI_DHCP4_SERVICE_BINDING_PROTOCOL、EFI_DHCP6_PROTOCOL、および
EFI_DHCP6_SERVICE_BINDING_PROTOCOL に対応する必要があります。
これはプリブート時に、BitLocker が DHCP 経由で Windows 展開サーバー (WDS) のネットワークロック解除プロバイ
ダーを検出し、WDS から情報を取得した後に OS ボリュームのロックを解除する必要があるためです。
ブート順序
UEFI の設計では、Bootnumbers オプションの順序リストとなる UINT16 の配列が BootOrder 変数に含まれます。配
列の第 1 要素は 1 番目の論理ブートオプションの値を示し、第 2 要素は 2 番目の論理ブートオプションの値を示し
ます (以降同様)。BootOrder リストは、ファームウェアの Boot Manager によりデフォルトの起動順序として使用され、
ブート番号は OS や BIOS から追加/削除できます。
これは従来の F10 ブート順序メニューで表示されるブートオプションとは異なるため、HP では、次の 2 つのブート順
序を BIOS で個別に作成することをお勧めしています。
12
 レガシーサポートを有効にすると表示されるレガシーブート順序
 レガシーサポートを無効にすると表示される UEFI ブート順序
UEFI F10 の静的なブート順序では、BIOS からシステムの固定デバイスに特定のブート番号が割り当てられます。たと
えば、Boot0000 はハードドライブの OS Boot Manager、Boot0001 は PXE IPV4、Boot0002 は内蔵 DVD などに割り当
てることができます。また、HP UEFI Diagnostics など、HP がサポートする特定の UEFI アプリケーションも一覧に表示
されます。Win8 では、「OS ブートマネージャー」、ハードドライブ、および USB ディスク対応の「Windows To Go」のブー
ト番号が加わります。
レガシーサポートを無効にすると、BIOS はネイティブ UEFI モードに入り、POST 時間が重要となります。汎用 USB デ
バイスまたは USB ハードドライブがブート順序リストの 1 番目ではなく、OS の次回起動が[USB Hard Drive (USB ハー
ドドライブ)]または[Generic USB Device (汎用 USB デバイス)]に設定されていなければ、BIOS は USB を一覧に表示し
ません。したがって、システムに接続したリムーバブル USB デバイスが一覧に表示されず、USB デバイスの詳細情報
もブート順序に表示されません。F10 ブート順序には、汎用 USB デバイスのエントリのみが表示され、外付け USB オ
プティカルドライブや外付け USB ディスクデバイスは表示されないということです。
POST 中にボタンを押さなければ、この静的なブート順序リストは BIOS から OS に渡され、OS の[Advanced Options
(詳細オプション)]に表示されます。
図 6: レガシーサポートを有効および無効にしたときの F10 ブート順序
Windows Vista、Windows 7、および Linux の各システムは UEFI セキュアブートをサポートしていません。これらのシ
ステムについては、レガシーサポートを有効、セキュアブートを無効にしてください。セキュアブートを無効にしてレガ
シーサポートを有効にすると、UEFI とレガシー両方のブートソースをブートに使用できます。このような構成ではセ
キュアブートは動作しないものの、各種デバイスからブートする際に最も高い柔軟性が得られます。
BIOS はブート順序リストのブートシーケンスに基づいて起動を進め、ブート順序リストの 1 番目のデバイスをブートで
きない場合は、次のデバイスのブートを試みます。ブート順序は F10 ブート順序を変えることで永続的に変更できま
す。ブート順序を 1 回限りで変更する場合は、Win8 インターフェイスを使用して、次回ブートを特定のデバイスに設
定できます。この設定は次回ブート時にのみ有効です。
POST 中に F9 を押すと、BIOS はその時点でシステムに接続されているすべての USB デバイスの一覧を作成し、動的
な F9 ブート順序リストを表示します。たとえば、USB DVD と USB ハードディスクが 1 台ずつプラットフォームに接続さ
れているときに、[UEFI PXE IPV6 NIC boot (UEFI PXE IPV6 NIC ブート)]を無効にすると、静的な F10 ブート順序と動的な
F9 ブート順序は同じものになりません。また、このような場合、BIOS は F9 ブート順序を OS に渡します。
図 7: 動的な F9 ブート順序と静的な F10 ブート順序
14
OA3
Win8 には、OEM アクティベーションメカニズムの新しいバージョンである OEM Activation 3.0 (OA 3.0) が採用されてい
ます。
Microsoft デジタルマーカーキーの挿入
Microsoft デジタルマーカー (MSDM) キーを ACPI に挿入する HP の標準的な方法が BIOS でサポートされ、Windows
(パブリック WMI) や UEFI で使用できる HP BIOS コンフィギュレーションインターフェイスにより工場やサービスで利用
できるようになります。それぞれの実装で、次のプロセスがサポートされます。
製造プロセス
キーは BIOS フラッシュが完了した時点で消去されます。また、最初の書き込みまでキーのロックは解除されたままと
なります。製造モード (MPM など) では、ロックを解除することなく、キーの書き込みを何回も行うことができます。製造
モードでキーの書き込みを行う場合、製造モードが終了した時点でキーがロックされます。キーがロックされた後に再
書き込みを行うには、物理プレゼンスチェックを使用してキーのロックを解除する必要があります。
注記: ユニットの工場出荷前に必ずキーの書き込みを行うことが重要です。Win8 以外のシステムでは、ALL FFh を
キーに書き込み、(ACPI 領域に MSDM エントリが存在しないように) ACPI の MSDM テーブルを確実に消去する必要が
あります。
サービスプロセス
キーは工場出荷時にロックされています。キーを変更するには、まず物理プレゼンスチェックを使用してロックを解除
する必要があります。物理プレゼンスチェックが終了したら、ALL FFh を書き込んで MSDM ACPI テーブルからキーを消
去します。ACPI の MSDM テーブルを設定するには、ALL FFh を書き込んだ後にリブートが必要です。
BIOS の機能
BIOS では、OA3 キーを管理するために次の機能が提供されます。
 キーの読み取り:
- 「MS デジタルマーカー」のキーは、常に WMI または UEFI から読み取ることができます。
- キーの読み取りでは、常に BIOS で最後に承認されたキーの値が返されます。
- BIOS の再フラッシュが完了すると、MS デジタルマーカーのプロパティは BIOS に表示されなくなり、ACPI MSDM
テーブルも消去されます。
 キーの書き込み:
- 「MS デジタルマーカー」による WMI からのキーの書き込みには、空のキースロットが必要です。あるいは、物理
プレゼンスチェックを使用するか、BIOS フラッシュを完了させてキーのロックを解除しておく必要があります。
- キーの書き込み後は、必ずリブートを行って MSDM ACPI テーブルにキーを設定する必要があります。
- ALL FFh をキーに書き込むと、ACPI の MSDM テーブルが消去されます (次項の「キーの消去」を参照)。
 キーの消去:
- BIOS の再フラッシュが完了すると、キーと ACPI の MSDM テーブルが消去されます。
o この方法は工場環境でのみ使用します。
o 再フラッシュ後のキーの読み取り
- ALL FFh をキーに書き込むと、ACPI の MSDM が消去されます。
o 物理プレゼンスチェックの要件については、「キーの書き込み」を
参照してください。
o 書き込み後のキーを読み取ると、ALL FFh が返されます。
o MSDM ACPI テーブルを消去するには、リブートが必要です。
 SMC_RESET_PLATFORM_TO_FACTORY_DEFAULT - 次の方法以外でキーは消去できません。
- F10、WMI により工場出荷時設定にリセット
- SMC_RESET_BIOS_TO_FACTORY_DEFAULT_SAVE_IDENTITY
- 標準の BIOS アップデート
HP BIOS の構成 (REPSET) 機能
HP BIOS コンフィギュレーションユーティリティは、Windows キーの挿入について次の機能をサポートします。
 英語
 MS デジタルマーカー
 「値」
値には次のものがあります。
 ロック解除 – 書き込み時のキーのロック解除に使用
- リブートと物理プレゼンスチェックが必要
- MPM モード、または再フラッシュ直後の書き込みでは不要
 キー – Windows キーの文字列表現
- ALL FFh により ACPI MSDM テーブルのキーを消去
物理プレゼンスチェック
悪意あるソフトウェアからの攻撃を防ぐために、「新しい」キーを挿入するか、キーを「消去」する際に物理プレゼンス
チェックを実行する必要があります。パブリック WMI で新しいキーの書き込みを行うと、次回リブート時に次のメッ
セージが表示されます。
製造モードのシステムの場合、または BIOS の再フラッシュを完了してキーを消去してからキーを設定していない場合、
物理プレゼンスチェックは必要ありません。
新しいキーを挿入するプロセスを完了するには、メッセージが表示されているときに、技術者またはユーザーが認証
コード「9466」を入力する必要があります。メッセージは 60 秒間表示され、この間にコードを入力しなければ、キーは
変更されずブートが続行します。
Computrace
Absolute 社の Computrace プリブートモジュールは、必要なハードドライブコンポーネントが存在していないことを検
出すると、ハードディスクへの書き込みを行います。また、持続的なサポートを提供し、悪意ある第三者がシステムか
らファイルを削除することを防止します。ただし、この方法は OS の安定性に影響を与える可能性があり、OS パーティ
ションやハードドライブが暗号化されていると、プリブートモジュールサポートは機能しません。
Win8 では新しいアプローチが提案されており、WPBT という固定の Advanced Configuration and Power Interface
(ACPI) テーブルにより、オペレーティングシステムが実行可能なプラットフォームバイナリをブートファームウェアから
Windows に公開できます。物理メモリを介してバイナリを渡すことにより、ディスクの Windows イメージを変更するこ
となく、ブートファームウェアからプラットフォームバイナリを公開できるのです。なお、最初のバージョンでは、物理メ
モリにコピーされたフラットな Portable Executable (PE) イメージへの物理アドレスポインターのみが WPBT に組み込
まれます。
Win7 以前の OS を実行し、HDD が暗号化されていない場合は、以前の方式 (OS ファイルの変更) を使用してください。
Win8 を実行し、HDD が暗号化されている場合は、WPBT を公開してください。以前の OS では、WPBT は無視されま
す。
16
詳細については、Microsoft の Windows プラットフォームバイナリテーブル (WPBT) をご確認ください。Computrace プ
リブートモジュールの動作は次のようになります。
F10 による既定値の復元動作
表 7: [Restore Default (既定値を復元)]オプション
タブ
オプション
既定値の復元
Update System BIOS (システム BIOS を更新)
あり
Create a backup image of the System BIOS (システム BIOS の
バックアップイメージを作成)
あり
File: (ファイル:)
Security: (セキュリティ:)
Administrator Tools (管理者ツール)
System Management Command (システム管理コマンド)
あり
HP SpareKey (HP スペアキー)
あり
Fingerprint Reset on Reboot (再起動時に指紋認証をリセット)
あり
User Tool (ユーザーツール)
Intel® Anti Theft (インテル® アンチセフト)
なし
DriveLock password on restart (起動時の DriveLock パスワード)
あり
TPM Device (TPM デバイス)
なし
Embedded Security Device State (内蔵セキュリティデバイスの状態)
なし
TPM Reset to Factory Defaults (TPM を工場出荷時設定にリセット)
なし
Power-On Authentication Support (起動時の認証サポート)
なし
Reset Authentication Credential (認証情報をリセット)
なし
OS Management of TPM (TPM の OS 管理)
なし
Reset TPM from OS (OS から TPM をリセット)
なし
Utilities (ユーティリティ)
Asset Tracking Number (アセットタグ番号)
なし
Ownership Tag (オーナーシップタグ)
なし
Ownership Tag 2 (オーナーシップタグ 2)
なし
Language (言語)
なし
System Configuration:
(システム構成:)
Boot Options (ブートオプション)
Startup Menu Delay (起動メニュー遅延)
あり
Multiboot Express Popup Delay (Multiboot Express ポップアップの
遅延)
あり
Audio alerts during boot (ブート時のオーディオアラート)
あり
Custom Logo (カスタムロゴ)
N/A
Display Diagnostic URL (診断 URL の表示)
あり
Custom Help and URL message (カスタムヘルプ/URL メッセージ)
あり
タブ
オプション
既定値の復元
Require acknowledgment of battery errors (バッテリエラーの確認を
要求)
あり
Fast Boot (高速ブート)
あり
CD-ROM boot (CD-ROM ブート)
あり
SD card boot (SD カードブート)
あり
Floppy boot (フロッピーディスクブート)
あり
PXE Internal NIC boot (PXE 内蔵 NIC ブート)
あり
USB device boot (USB デバイスブート)
あり
Upgrade Bay Hard Drive boot (アップグレードベイハードドライブブート)
あり
eSATA boot (eSATA ブート)
あり
Boot Mode (ブートモード)
なし
UEFI Boot Order (UEFI ブート順序)
あり
Legacy Boot Order (レガシーブート順序)
あり
Device Configurations (デバイス構成)
USB Legacy support (USB レガシーサポート)
あり
Parallel port mode (パラレルポートモード)
あり
Fan Always on while AC Power (外部電源の使用中は常にファンをオン
にする)
あり
Data Execution Prevention (データ実行防止)
あり
Max SATA Speed (SATA 最大速度)
あり
SATA Device Mode (SATA デバイスモード)
なし
Wake on USB (ウェイクオン USB)
あり
Secondary Battery Fast Charge (セカンダリバッテリの高速充電)
あり
Virtualization Technology (VTx) (インテル® バーチャライゼーション・
テクノロジー (VT-x))
あり
Virtualization Technology for Directed I/O (VTd) (ダイレクト I/O 向けイン
テル® バーチャライゼーション・テクノロジー (VT-d))
あり
Trusted Execution Technology (TXT) (インテル® トラステッド・エグゼ
キューション・テクノロジー (TXT))
あり
HP Hypervisor (HP ハイパーバイザー)
あり
Multi Core CPU (マルチコア CPU)
N/A
Intel HT Technology (インテル HT テクノロジー)
N/A
NumLock on at boot (起動時 NumLock)
あり
Express Card Link Speed (Express カードリンク速度)
あり
Power on unit when AC is detected (AC 検出時の電源ユニット)
あり
Deep Sleep (ディープスリープ)
あり
Built-In Device Options (内蔵デバイスオプション)
Wireless Button State (無線ボタン状態)
18
あり
Embedded WLAN Device (内蔵無線 LAN デバイス)
あり
Embedded Bluetooth Device (内蔵 Bluetooth デバイス)
あり
Embedded LAN Controller (内蔵 LAN コントローラー)
あり
LAN/WLAN Switching (LAN/無線 LAN の切り替え)
あり
Wake On LAN (ウェイクオン LAN)
あり
タブ
オプション
既定値の復元
Wake on LAN on DC mode (DC モード時のウェイクオン LAN)
あり
Notebook Upgrade Bay (コンピューター本体のアップグレードベイ)
あり
Power Monitor Circuit (電源モニター回路)
あり
Audio Device (オーディオデバイス)
あり
Microphone (マイク)
あり
Speakers and Headphones (スピーカーとヘッドフォン)
あり
Wake unit from sleep when lid is opened (カバーオープン時のスリープ
からのユニットの復帰)
あり
Power on unit when lid opened (カバーオープン時の電源オンユニット)
あり
Boost Converter (ブーストコンバーター)
あり
Port Options (ポートオプション)
Serial Port (シリアルポート)
あり
Parallel Port (パラレルポート)
あり
Flash media reader (フラッシュメディアリーダー)
あり
USB Port (USB ポート)
あり
1394 Port (1394 ポート)
あり
Express Card Slot (Express カードスロット)
あり
eSATA Port (eSATA ポート)
あり
AMT Options (AMT オプション)
USB Key Provisioning Support (USB キープロビジョニングサポート)
あり
Unconfigure AMT on next boot (次回ブート時に AMT を構成解除)
あり
SOL Terminal Emulation Mode (SOL のターミナルエミュレーション
モード)
あり
Firmware Progress Event Support (ファームウェア進行イベント
サポート)
あり
Initiate Intel CIRA (インテル CIRA の実行)
あり
BIOS Power-On (BIOS 電源投入)
Sunday (日曜日)
あり
Monday (月曜日)
あり
Tuesday (火曜日)
あり
Wednesday (水曜日)
あり
Thursday (木曜日)
あり
Friday (金曜日)
あり
Saturday (土曜日)
あり
BIOS Power-On Time (hh:mm) (BIOS 電源投入時刻 (時:分))
あり
付録
表 A1: PCR 測定値
PCR
BNB (予定)
BNB (実際)
PCR 0
イベントタイプ EV_S_CRTM_VERSION を
使用する S-CRTM のバージョン ID
イベントタイプ EV_S_CRTM_VERSION を使用
する S-CRTM のバージョン ID
イベントタイプ EV_POST_CODE を使用
するすべてのホストプラットフォーム
ファームウェア
イベントタイプ EV_POST_CODE を使用するすべて
のホストプラットフォームファームウェア
イベントタイプ EV_EFI_HANDOFF_TABLES を
使用する ACPI データ
PCR 1
未使用
PCR 2
未使用
現在測定中の FV (??)
非製造業管理
オプション/UEFI
ドライバー
PCR 3
未使用
PCR 4
ブートを試みるデバイスを記録しないように
BIOS が設定または設計されている場合、
EV_OMIT_BOOT_DEVICE_EVENTS イベントを
1 回測定する必要があります。詳細について
は、「11.3.1 (Event Types)」をご覧ください。
BIOS は、「INT 19h を呼び出す」EV_ACTION
イベントまたは「ブートオプションから EFI アプリ
ケーションを呼び出す」EV_EFI_ACTION イベントを
記録する必要があります。詳細については、
「11.3.3 (EV_ACTION Event Types)」を参照してくだ
さい。
BIOS は、「INT 19h を呼び出す」EV_ACTION
イベントまたは「ブートオプションから EFI
アプリケーションを呼び出す」EV_EFI_ACTION
イベントを記録する必要があります。詳細につ
いては、「11.3.3 (EV_ACTION Event Types)」を
参照してください。
詳細情報の”従来の BIOS 向け PC クライアント
ワークグループ用実装仕様バージョン 1.2”をご
参照ください。
PCR 5
未使用
EFI アプリケーションを呼び出すイベント、GPT
PCR 6
未使用 (仕様では UEFI セキュアブート
データ、ただし MS では PCR 7 を使用
するよう指示)
セキュアブート変数
PCR 7
未使用
UEFI の一般要件
Win8 をサポートする UEFI BIOS には、UEFI 2.3.1 仕様の次のセクションが適用されます。
2.3、3.1、4.3、6.1~6.5、7.1~7.5、8.1、8.2、9.1、9.5、11.2 ~ 11.4、11.8、11.9、12.4、12.7、12.8、12.9、18.5、21.1、
21.3、21.5、27.1~27.8.
20
詳細情報
その他の詳細情報については、下記の Web サイトでご確認ください。
資料の説明
Web アドレス
UEFI 仕様バージョン 2.3.1
http://www.uefi.org/specs/download (英語)
無料のレガシーOS 向け Windows
Compatibility Support Module オプトアウト
メカニズム v1.1 (Microsoft)
Windows Authenticated Portable
Executable Signature Format 仕様
HP OA3 サービススクリプトファイル (CMIT
BIOS チーム) (必要のある対象者のみ)
Microsoft Windows プラットフォームバイナリ
テーブル
PC クライアントワークグループプラット
フォームリセット攻撃の軽減に関する
仕様、バージョン 1.0
TCG EFI プロトコルバージョン 1.20、
リビジョン 1.0
従来の BIOS 向け PC クライアントワークグ
ループ用実装仕様バージョン 1.2
http://msdn.microsoft.com/en-us/windows/hardware/gg463180 (英語)
http://msdn.microsoft.com/ja-jp/windows/hardware/gg463180 (日本語)
Microsoft Security Development Lifecycle
http://www.trustedcomputinggroup.org/resources/tcg_physical_presence_
interface_specification (英語)
http://www.trustedcomputinggroup.org/resources/pc_client_work_group_
platform_reset_attack_mitigation_specification_version_10 (英語)
http://www.trustedcomputinggroup.org/resources/tcg_efi_protocol_versio
n_120_revision_10 (英語)
http://www.trustedcomputinggroup.org/resources/pc_client_work_group_
specific_implementation_specification_for_conventional_bios_specificatio
n_version_12 (英語)
http://www.microsoft.com/security/sdl/default.aspx (英語)
お問い合わせ
HP ビジネスノートブックおよびデスクトップの詳細については、各地域の HP 営業担当者にお問い合わせいただくか、
次のサイトをご覧ください。
hp.com/go/notebooks (英語) hp.com/jp/notebooks (日本語)、hp.com/go/desktops (英語) hp.com/jp/desktops (日本語)
Get connected
http://hp.com/go/getconnectedjp
テクノロジートレンド、サポート情報、および
HP ソリューション情報をメールでお送りします。
配信登録はこちら
© Copyright 2012 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。HP 製品およびサー
ビスに対する保証については、当該製品およびサービスの保証規定書に記載されています。本書のいかなる内容も、新たな保証を追加する
ものではありません。本書の内容につきましては万全を期しておりますが、本書中の技術的あるいは校正上の誤り、省略に対しては責任を
負いかねますのでご了承ください。
Windows、Windows Vista、Windows 7、および Windows 8 は、Microsoft Corporation の米国における登録商標です。
Intel およびインテルは、米国およびその他の国における Intel Corporation の商標です。
708355-001、2013 年 1 月作成
21

Download Report