EFI Preboot Guidelines for HP Business Notebooks / Desktops and UEFI Secure Boot for Windows 8
TPM とメジャーブート
Trusted Platform Module (TPM) ハードウェアチップを搭載したシステムでは、ブートプロセス中に Win8 が広範囲に及
ぶ一連の測定を実行 (メジャーブート) し、測定値をブートプロセスの認証に使用することで、オペレーティングシステ
ムがルートキットなどのマルウェアの危険にさらされないようにします。ファームウェアからブートスタートドライバーま
での各コンポーネントが測定され、測定値はマシンの TPM に保存されます。また、このログをリモートから使用して、
クライアントのブート状態を確認することも可能です。
Win8 BitLocker による PCR のシール
Win8 ハードウェアの認定要件として、ネイティブ UEFI ブートが必要です。
ネイティブ UEFI ブートシステムの場合、BitLocker はデフォルトで PCR[0]、[2]、[4]、および[11]に対してシールを行
います。
接続されているスタンバイシステムの場合、BitLocker は PCR[7]と[11]に対してシールを行います。
注記: 接続されているスタンバイシステムの相反する要件 -- WHQL は、接続されているスタンバイシステムに対し、セ
キュアブートポリシー情報の測定値を PCR[7]に格納するよう求めますが、TCG は PCR[6]のセキュアブートポリシー情
報を要求します。PCR 番号については、本書の付録にある「表 A1: PCR 測定値」をご覧ください。
物理プレゼンス
TCG PPI 仕様 1.2 に新しいフラグが規定されています。NoPPIProvision というフラグで、推奨されるデフォルト値は
BIOS ごとに「True」となります。プリインストールチームは、このフラグを Win8 以降の OS に対して「True」、その他の
OS に対して「False」に設定します。NoPPIProvision が「True」で TPM 所有者がいない場合、最初の Enable/Activate
コマンドを受け取ったときに、BIOS で物理プレゼンスのプロンプトは表示されません。
NoPPIProvision が「False」であれば、BIOS で物理プレゼンスのプロンプトが表示されます。
NoPPIProvision フラグのデフォルト値
Win8 の場合、NoPPIProvision フラグはデフォルトで「True」にする必要があります。Win8 では、このデフォルト設定に
よりユーザー確認なしで TPM の所有権が認められます。
中国における Win8 の特殊要件
中国では法規定により、TPM は無効の状態で出荷する必要があり、ユーザーの物理プレゼンスによってのみ有効に
できます。
TPM のプレゼンスを有効にした場合、BIOS では物理プレゼンスのプロンプトにより、以下のメッセージが表示されま
す。それ以外の場合、物理プレゼンスのプロンプトは通常の (F1、F2) メッセージとなります。
F10 の NoPPIProvision フラグ
NoPPIProvision フラグのデフォルト値は、工場出荷時設定に基づきます。
TPM 自動プロビジョニング
Win8 では、展開シナリオを簡単にするため、自動的に TPM の所有権が認められます。また、セットアップ時の細か
い設定も不要で、OS が自動的に TPM を使用できるようにします。その際、「PPI v1.2 PC Client Specific TPM Interface」
仕様に定義される新しい PPI フラグが使用されます。OS の初回起動時には、デフォルトで「TPM が使用できない状態」
になっており、NoPPIProvision フラグが「True」に設定されています (TPM プロビジョニングのプロンプトが表示されま
せん)。この時点での TPM の状態は、「無効」、「非アクティブ」、「非所有」です。次に、OS で TPM コマンド 10 が発行
され、最初のブートサイクルが終了すると、TPM が「有効/アクティブ」になります。最終的には、2 回目の OS の起動
後に TPM が「所有済み」となり、Windows で TPM が使用できる状態であることが報告されます。このような TPM 自動
プロビジョニングオプションを使用しない場合は、Windows のウィザードを使用して手動で TPM をプロビジョニングで
きます。