HP ZBook Firefly 14 inch G8 Mobile Workstation PC (275W0AV) 取扱説明書
- タイプ
- 取扱説明書
HP TamperLock ユーザー ガイド
概要
HP TamperLock は、攻撃者がお使いの PC のケースを開いて、悪意を持ってハードウェアを変更することを防
ぎます。
著作権およびライセンス
© Copyright 2020 HP Development Company,
L.P.
本書で取り扱っているコンピューター ソフ
トウェアは秘密情報であり、その保有、使
用、または複製には、HP から使用許諾を得
る必要があります。FAR 12.211 および
12.212 に従って、商業用コンピューター ソ
フトウェア、コンピューター ソフトウェア
資料、および商業用製品の技術データは、
ベンダー標準の商業用ライセンスのもとで
米国政府に使用許諾が付与されます。
本書の内容は、将来予告なしに変更される
ことがあります。HP 製品およびサービスに
対する保証は、当該製品およびサービスに
付属の保証規定に明示的に記載されている
ものに限られます。本書のいかなる内容
も、当該保証に新たに保証を追加するもの
ではありません。本書に記載されている製
品情報は、日本国内で販売されていないも
のも含まれている場合があります。本書の
内容につきましては万全を期しております
が、本書の技術的あるいは校正上の誤り、
省略に対して責任を負いかねますのでご了
承ください。
初版:2020 年 9 月
製品番号:M11669-291
目次
1 概要 ............................................................................................................................................................. 1
2 操作 ............................................................................................................................................................. 2
3 シーケンス ................................................................................................................................................... 3
4 ポリシー設定 ............................................................................................................................................... 4
5 状態 ............................................................................................................................................................. 6
イベント監査ログ ................................................................................................................................................ 6
iii
iv
1
概要
HP TamperLock は、攻撃者がお使いの PC のケースを開いて、悪意を持ってハードウェアを変更するこ
とを防ぎます。HP TamperLock には、ケースが開かれたかどうかを検出するセンサーと、ケースが開
かれた場合に実行する操作を設定するためのポリシー コントロールが備わっています。
HP TamperLock のポリシーには、オプションとして、有効な BIOS 管理者の証明情報が入力されるまで
BIOS レベルでのシステム起動をブロックする機能、HP Trusted Platform Module(TPM)をクリアして
すべてのユーザー キー(例:リモートで保存されている BitLocker 回復キーでのみローカル ドライブ
に保存されているデータにアクセスできるようにする BitLocker のキー)を削除する機能、およびカバ
ー取り外し時にシステムの電源をただちにオフにする機能があります。カバー開放イベントおよび
履歴はプラットフォーム ハードウェアに保存され、リモート管理者が調べることができます。
HP TamperLock のポリシーの変更を、HP Endpoint Security Controller ハードウェアに根差した保護され
たストレージによって防止しています。保護されたストレージには、HP TamperLock 設定に関連する
フラッシュ メモリに保存されている BIOS およびファームウェアのデータおよび設定に対する、物理
的な攻撃保護機能があります。この機能は HP TamperLock をサポートするシステムに常駐し、無効に
することはできません。
1
2
操作
HP TamperLock 機能は不正アクセスが発生した場合にシステムをロックするように設定されており、
カバーが不正に開けられたとき、システムの電源状態に関係なくカバーが開いたことが検出されま
す。具体的には、HP TamperLock が HP の推奨する設定になっている場合、以下のすべてのシステム電
源状態でカバー開放イベントが検出されます。
● [システム電源オン](オペレーティング システム(OS)が実行中)
● [システム電源オフ](OS がシャットダウンされている、または OS が休止状態)
● [システムがスリープ状態]
重要:このドキュメントに記載されている最適な結果を得るには、HP の推奨する設定(表 4-1)で HP
T
amperLock を設定してください。
また、
HP TamperLock カバー開放センサーは、カバーが取り外されると、内部バッテリおよびリアル
タイム クロック(RTC)コイン セルを含めて、すべての電源が取り外されている状態でもトリガーさ
れます。
注記:RTC の電源が失われると、HP TamperLock のカバー開放センサーが自動的にトリガーされます。
したがって、
電源を 2 年以上接続せずに保管されていたシステムでは、カバーが取り外されていなく
ても、HP TamperLock カバー開放センサーがトリガーされます。
システムの電源がオンになっているとき、またはスリープ状態のときに HP TamperLock によってカバ
ーが開いたことが検出された場合、
システムは直ちに電源オフになり、保存されていないデータは失
われます。カバーが開いたことが検出された時点で TPM の状態をクリアするオプションのポリシー
が[Enabled](有効)に設定されている場合、BIOS によって TPM がクリアされます。カバーが開いた
ことが検出された後、BIOS によって OS は起動されず、ローカル ユーザーは、BIOS administrator
password(BIOS 管理者パスワード)または(
[Sure Admin]モードで)1 回限りの PIN(個人識別番号)
を入力して、システムのロックを解除し通常どおり起動するよう求められます。
HP TamperLock の状態は、関連する BIOS 設定のクエリ、または
[HP Notications]ソフトウェアがインス
トールされている場合は Windows®イベント ビューアーで確認できます。
2
第 2 章 操作
3
シーケンス
ここでは、HP TamperLock の手順を説明します。
1. HP TamperLock によって、シャーシ カバーが開いたことが検出されます。
2. システムの電源がオンまたはスリープ状態になっている場合、HP TamperLock によって強制的に
シャットダウンされます。キャンセルのオプションはありません。
3. カバー開放イベントによって、システム ハードウェアがロックされた状態になります。
4. カバーを元の位置に戻すと、システムの電源を再度オンにできます。システムの電源が次回オン
になると、以下のイベントが発生します。
1. TPM をクリアするポリシーが有効になっている場合は、BIOS によって TPM がクリアされま
す。
2. ローカル ユーザーにカバーが開いていることが通知されます。
3. BIOS 管理者の証明情報が要求されます。
○ 証明情報が入力された場合、システムが正常に起動します。
○ 証明情報が入力されない場合、
OS は起動されません。
5. [HP
Notications]ソフトウェアがインストールされている場合、監査ログ エントリが Windows イ
ベント ログと同期されます。
3
4
ポリシー設定
HP Client Management ツールを使用すると、HP TamperLock ポリシーを BIOS 設定として表示および設
定できます。関連する設定によって、HP TamperLock の機能の有効化およびカバーの取り外し時に実
行される操作が制御されます。
表 4-1 TamperLock のポリシー設定
設定 説明 初期設定
HP 推奨
カバー開放センサー ● Disabled(無効):カバーが取り外さ
れたとき、何も実行しません
● Notify the user(ユーザーに通知):
カバーが開くと、次回の起動時に警
告メッセージが表示されます
● Administrator password(管理者の証
明情報):この設定を選ぶと、カバー
が開いた後に起動を続行する際、管
理者パスワードまたは([HP Sure
Admin]が有効になっている場合)1 回
限りの PIN(個人識別番号)の入力を
求められます。この設定を有効にす
るには、パスワードを設定するか、
またはローカル アクセス キーを設
定して[HP Sure Admin]の拡張 BIOS 認
証モードを有効にする必要がありま
す
● Administrator Password(管理者パス
ワード):管理者の証明情報と同じよ
うに動作します(この設定名は、カ
バー開放センサーをサポートしてい
た以前の設定管理ソフトウェアとの
互換性を維持するために存在します)
Disabled
Administrator Credential ま
たは Administrator
Password
Power o upon cover
opening(カバーが開
いた時点で電源オフ)
カバー開放センサーが[Disabled]に設定さ
れていない場合のみ使用できます
Disabled:カバーが取り外された時点でシ
ステムの電源がオンまたスリープ状態に
なっている場合、その状態のままになり
ます
Enabled(有効):カバーが取り外された
時点でシステムの電源がオンまたスリー
プ状態(S3 またはモダン スタンバイ)に
なっている場合、システムの電源が直ち
にオフになります
Disabled Enabled
Clear TPM on boot after
cover opening(カバー
が開いた後の起動時
に TPM をクリア)
カバー開放センサーが無効になっていな
い場合のみ使用できます
● Disabled:カバーが取り外されても、
TPM 状態に変化は生じません
● Enabled:カバーが取り外された後、
次回の起動時に TPM がクリアされま
Disabled
お客様の要件によって異
なります
4
第 4 章 ポリシー設定
表 4-1 TamperLock のポリシー設定 (続き)
設定 説明 初期設定
HP 推奨
す。TPM のすべてのカスタマー キー
がクリアされます
注記:この設定は、リモート バック
アップから手動復元が可能な場合、
または復元を希望しない場合のみ有
効にします。BitLocker が有効になっ
ている場合、BitLocker 回復キーを使
用せずにドライブの暗号化を解除す
ることはできません
Pre-boot DMA
protection(起動前の
DMA 保護)
Thunderbolt Only(Thunderbolt のみ):BIOS
起動前の環境において、Thunderbolt に接
続されている PCIe デバイスに対して、
Input-Output Memory Management Unit
(IOMMU)ハードウェアベースの DMA 保護
を有効にします
All PCIe devices(すべての PCIe デバイ
ス):BIOS 起動前の環境において、すべて
の内蔵および外付け PCI 接続デバイスに
対して、Input-Output Memory Management
Unit(IOMMU)ハードウェアベースの DMA
保護を有効にします
Thunderbolt
Only
All PCI-Devices
DMA Protection(DMA
の保護)
Disabled:BIOS で Input-Output Memory
Management Unit(IOMMU)ハードウェア
が設定されず、DMA 保護をサポートして
いるオペレーティング システムは使用す
ることができません
Enabled:BIOS で Input-Output Memory
Management Unit(IOMMU)ハードウェア
が設定され、DMA 保護をサポートしてい
るオペレーティング システムが使用する
ことができます
Enabled Enabled
5
5
状態
既存の BIOS 設定管理ツールを使用して BIOS 設定を調べ、HP TamperLock の状態を確認できます。こ
の設定を解除する唯一の方法は、BIOS administrator password(BIOS 管理者パスワード)または BIOS
管理者の証明情報([Sure Admin]モードの場合)を入力することです。
設定 説明
Last cover opening and count(最後にカバーが開いた日
時および回数)
カバー開放センサーが
[Disabled](無効)に設定されて
いない場合、この設定によって、最後にカバーが取り
外された日時と、BIOS 管理者による最後のクリア以降
にカバーが取り外され確認された回数がレポートされ
ます。エントリ形式は MM/DD/YYYY HH: MM: SS.X 回で
す。システム要因(コンピューターの電源がオフにな
っているなど)によっては、カバーが連続して開いた
場合は回数が増えません。リアルタイム クロックの
電源が失われた後など、値を判定できない場合は、日
付と時刻がすべて 0 としてレポートされます
イベント監査ログ
[HP Notications]
ソフトウェアがインストールされている場合、Windows イベント ビューアーの[HP
Sure Start]フォルダーで以下のイベント ログを確認できます。
表 5-2 監査ログ
ソース ID イベント ID
イベント
イベント ログのタイ
プ
0x8A 0x1E
HP TamperLock:カバーが開いたことが検出されま
した
警告
0x1F
HP TamperLock:カバーが開いたことを伝える BIOS
POST 通知をユーザーが確認しました
情報
0x20
HP TamperLock:
HP TamperLock の現在のポリシー
設定に基づき、カバーが開いたことによって TPM
がクリアされました
情報
6
第 5 章 状態
表 5-1
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
