OEM 向け Windows 10 での BitLocker ドライブ暗号化

BitLocker ドライブ暗号化では、オペレーティングシステムがオフラインになっている間、ドライブが改ざんされないようにすることで、オフラインデータとオペレーティングシステムの保護が提供されます。 BitLocker ドライブ暗号化では、 Trusted Computing Groupで定義されているように、静的な信頼の測定のルートをサポートする TPM (不連続またはファームウェア) を使用します。

BitLocker ドライブ暗号化のハードウェア要件

BitLocker ドライブ暗号化では、Windows パーティションとは別のシステムパーティションを使用します。 BitLocker システムパーティションは、次の要件を満たしている必要があります。

  • BitLocker システムパーティションは、アクティブパーティションとして構成されます。
  • BitLocker システムパーティションは暗号化しないでください。
  • BitLocker システムパーティションには、少なくとも 250 MB の空き領域が必要です。また、必要なファイルで使用されている領域を超えていなければなりません。 この追加のシステムパーティションを使用して、Windows 回復環境 (RE) と oem ツール (oem によって提供) をホストすることができます。ただし、パーティションが 250 MB の空き領域の要件を満たしている必要があります。

詳細について は、「System.string、 ハードドライブ、およびパーティション」を参照してください。

BitLocker 自動デバイス暗号化

BitLocker 自動デバイス暗号化では、BitLocker ドライブ暗号化テクノロジを使用して、ユーザーが 最新のスタンバイ または hsti 準拠のハードウェア上で Out Of Box EXPERIENCE (OOBE) を完了した後に、内部ドライブを自動的に暗号化します。

注: BitLocker 自動デバイス暗号化は、すぐに使える (OOBE) エクスペリエンスで開始されます。 ただし、保護は、ユーザーがMicrosoft アカウントまたはAzure Active Directoryアカウントを使用してサインインした後にのみ有効になります。 それまでは、保護は中断され、データは保護されません。 BitLocker 自動デバイス暗号化はローカルアカウントでは有効になっていません。その場合、bitlocker コントロールパネルを使用して BitLocker を手動で有効にすることができます。

BitLocker デバイス暗号化の自動ハードウェア要件

BitLocker 自動デバイス暗号化は、次の場合に有効になります。

  • デバイス には tpm (トラステッドプラットフォームモジュール ) (tpm 1.2 または tpm 2.0) が含まれています。
  • UEFI セキュアブート が有効になっています。 詳細については、「 セキュアブート 」を参照してください。
  • プラットフォームセキュアブート が有効になっています
  • ダイレクトメモリアクセス (DMA) による保護が有効になっている

次のテストは、BitLocker デバイスの自動暗号化を有効にする Windows 10 に合格する必要があります。 この機能をサポートするハードウェアを作成する場合は、デバイスがこれらのテストに合格したことを確認する必要があります。

  1. Tpm: デバイスには、PCR 7 のサポートがある tpm を含める必要があります。 「 TPM20. TPM20」を参照してください。
  2. セキュアブート: UEFI セキュアブートが有効になっています。 「 System.fundamentals.firmware.cs.uefisecureboot.connectedstandby」を参照してください。
  3. 最新のスタンバイ 要件または hsti 検証。 この要件は、次のいずれかによって満たされます。
    • 最新のスタンバイ要件が実装されています。 これには、 UEFI セキュアブートの要件 と承認されていない DMA からの保護の要件が含まれます。
    • Windows 10、バージョン、1703以降では、 hsti テストでこの要件を満たすことができます。
      1. プラットフォームセキュアブート自己テスト (または、レジストリに構成されている追加の自己テスト) は、HSTI によって実装および渡すとして報告される必要があります。
      2. Thunderbolt icon を除外すると、HSTI は、許可されていない DMA バスを報告する必要があります。
      3. Thunderbolt icon が存在する場合、HSTI は Thunderbolt icon が安全に構成されていることを報告する必要があります (セキュリティレベルは SL1 User Authorization 以上である必要があり –“” ます)。
  4. 250 mb を起動するために必要なすべての空き領域を確保しておく必要があります (また、システムパーティションに WinRE を配置する場合は Windows を回復します)。 詳細については、「system.string」を参照してください。

上記の要件を満たしている場合、システム情報はシステムが BitLocker 自動デバイス暗号化をサポートしていることを示します。 この機能は Windows 10、バージョン1703、またはそれ以降で使用できます。 システム情報を確認する方法を次に示します。

  1. [スタート] をクリックし、「システム情報」と入力します。
  2. システム情報アプリを右クリックし、[管理者として開く] をクリックします。 [はい]をクリックして、アプリがデバイスに変更を加えることを許可します。 一部のデバイスでは、暗号化設定を表示するために昇格されたアクセス許可が必要な場合があります。
  3. システムの概要については、「デバイスの暗号化のサポート」を参照してください。 デバイスが暗号化されている場合、値は状態になります。そうでない場合は、無効になっている理由を示します。

デバイスへのファームウェア更新プログラムの適用

HLK テストの実行に加えて、Oem は BitLocker が有効になっているファームウェア更新プログラムをテストする必要があります。 デバイスが不必要に回復を開始しないようにするには、次のガイドラインに従ってファームウェアの更新プログラムを適用します。

  1. BitLocker を中断します (PCR [07] にバインドされているデバイスでは、ファームウェアの更新によってセキュアブートポリシーが変更された場合のみ必要)
  2. 更新プログラムを適用する
  3. デバイスを再起動します
  4. BitLocker の再開

ファームウェアの更新では、デバイスが Bitlocker を短時間だけ中断し、デバイスをできるだけ早く再起動する必要があります。 BitLocker は、Windows Management Instrumentation (WMI) のdisablekeyprotectors メソッドを使用してシャットダウンする直前に、プログラムによって中断できます。

許可されていない DMA 対応バス/デバイスが検出されました

デバイスの暗号化のサポートでのこのシステム情報の状態 Windows は、dma の脅威をさらす可能性のある外部 DMA 対応のバスまたはデバイスが少なくとも1つ検出されたことを意味します。

この問題を解決するには、IHV に問い合わせて、このデバイスに外部 DMA ポートがないかどうかを確認します。 バスまたはデバイスに内部 DMA しかないことが Ihv によって確認された場合、OEM はこれを許可リストに追加できます。

許可リストにバスまたはデバイスを追加するには、レジストリキーに値を追加する必要があります。 これを行うには、まず、 Allowedbuses レジストリキーの所有権を取得する必要があります。 次の手順に従います。

  1. レジストリキーに移動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

  2. レジストリキーを右クリックし、 [ アクセス許可] を選択します。

  3. [詳細設定] をクリックし、[所有者] フィールドの [変更] リンクをクリックして、ユーザーアカウント名を入力し、[名前の確認] をクリックして、[OK] を3回クリックしてすべてのアクセス許可ダイアログを閉じます。

  4. レジストリキーを右クリックし、 [ アクセス許可] を再度選択します。

  5. [追加 ] ボタンをクリックし、ユーザーアカウントを追加して、[名前の確認] をクリックし、[OK] をクリックします。次に、[フルコントロールを許可する] のチェックボックスをオンにします。 次に、[OK] をクリックします。

次に、 allowedbuses キーの下で、安全であると判断されたフラグ付き DMA 対応バスごとに文字列 (REG_SZ) の名前と値のペアを追加します。

  • キー:デバイスのフレンドリ名説明
  • 値: PCI \ VEN_id DEV_id

Id が HLK テストの出力と一致していることを確認します。 たとえば、フレンドリ名が “ CONTOSO Pci Express ルートポート ” 、ベンダー ID 1022、デバイス ID 157c のセーフデバイスがある場合、次のように、 “ という名前のレジストリエントリを REG_SZ データ型として作成します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Value = "PCI \ VEN_1022 & DEV_157C"

BitLocker 自動デバイス暗号化を無効にする

Oem はデバイスの暗号化を無効にし、代わりに独自の暗号化テクノロジをデバイスに実装することもできます。 BitLocker 自動デバイス暗号化を無効にするには、無人セットアップファイルを使用し、 PreventDeviceEncryption を True に設定します。 また、このレジストリキーを更新することもできます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker 値: PreventDeviceEncryption equal to True (1) です。

OEM 向けの Windows 10 S のセキュリティ機能と要件