OEM 向け Windows 10 での BitLocker ドライブ暗号化

BitLocker ドライブ暗号化は、オペレーティング システムがオフラインの間にドライブが改ざんされないようにすることで、オフライン データとオペレーティング システムを保護します。 BitLocker ドライブ暗号化では、 Trusted Computing Group で定義されているように、信頼度の測定の静的なルートをサポートする TPM (ディスクリートまたはファームウェア) を使用します。

BitLocker ドライブ暗号化のハードウェア要件

BitLocker ドライブ暗号化では、Windows パーティションとは別のシステム パーティションを使用します。 BitLocker システム パーティションは、次の要件を満たしている必要があります。

  • BitLocker システム パーティションは、アクティブ パーティションとして構成されます。
  • BitLocker システム パーティションは暗号化しないでください。
  • BitLocker システム パーティションには 250 MB 以上の空き領域が必要です。また、必要なファイルで使用されている領域よりも多くの領域が必要です。 この追加のシステム パーティションを使用して、Windows Recovery Environment (RE) と OEM ツール (OEM が提供) をホストすることができます。ただし、パーティションが 250 MB の空き領域の要件を満たしている必要があります。

詳細については、「System.Client.SystemPartition」および「ハード ドライブとパーティション」を参照してください。

BitLocker 自動デバイス暗号化

BitLocker 自動デバイス暗号化は、モダン スタンバイまたは HSTI 準拠ハードウェアで Out Of Box EXPERIENCE (OOBE) を完了した後に、BitLocker ドライブ暗号化テクノロジを使用して内部ドライブを自動的に暗号化します。

注: BitLocker 自動デバイス暗号化は、Out-Of-Box Experience (OOBE) の実行中に開始されます。 ただし、保護はユーザーが Microsoft アカウントまたは Azure Active Directory アカウントを使用してサインインインした後でのみ有効になります。 それまでは保護が中断され、データは保護されません。 BitLocker 自動デバイス暗号化はローカル アカウントでは有効になっていません。その場合、Bitlocker コントロール パネルを使用して BitLocker を手動で有効にすることができます。

BitLocker 自動デバイス暗号化のハードウェア要件

BitLocker 自動デバイス暗号化は、次の場合に有効になります。

  • デバイスに TPM (トラステッド プラットフォーム モジュール) (TPM 1.2 または TPM 2.0) が含まれている場合。
  • UEFI セキュア ブートが有効になっている場合。 詳細については、「セキュア ブート」を参照してください。
  • プラットフォームのセキュア ブートが有効になっている場合。
  • ダイレクト メモリ アクセス (DMA) による保護が有効になっている場合。

次のテストは、Windows 10 で BitLocker 自動デバイス暗号化を有効にする前に合格する必要があります。 この機能をサポートするハードウェアを作成する場合は、デバイスがこれらのテストに合格したことを確認する必要があります。

  1. TPM: デバイスに PCR 7 対応の TPM が搭載されている必要があります。 「System.Fundamentals.TPM20.TPM20」を参照してください。

    • 展開可能なカードが存在すると、ブート中に OROM UEFI ドライバーが UEFI BIOS によって読み込まれる場合、BitLocker は PCR7 バインドを使用しません。
    • PCR7 にバインドされていないデバイスを実行していて、Bitlocker が有効になっている場合、通常の UEFI PCR プロファイル (0,2,4,11) を使用する場合、BitLocker は引き続きセキュリティで保護されるため、セキュリティ上の欠点はありません。
    • 最終的な bootmgr Windows Prod CA の前に追加の CA ハッシュ (Prod CA Windowsでも) を使用すると、BitLocker が PCR7 を使用することを選択できなくなります。 余分なハッシュまたはハッシュが UEFI CA (別名) からの場合は関係ありません。Microsoft サード パーティ CA) またはその他の CA。
  2. セキュア ブート: UEFI セキュア ブートが有効になっている必要があります。 「System.Fundamentals.Firmware.UEFISecureBoot」を参照してください。

  3. モダン スタンバイの要件または HSTI の検証。 この要件は、次のいずれかによって満たすことができます。

    • モダン スタンバイの要件が実装されていること。 これには、UEFI セキュア ブートの要件と、未承認の DMA からの保護に関する要件が含まれます。
    • Windows 10 のバージョン 1703 以降では、HSTI テストで次の要件を満たしていること。
      1. プラットフォームのセキュア ブートの自己テスト (または、レジストリに構成されている追加の自己テスト) で、HSTI によって実施済みおよび合格と報告されている。
      2. HSTI で、Thunderbolt を除く未許可の DMA バスを報告する。
      3. Thunderbolt が存在する場合、HSTI は Thunderbolt が安全に構成されていることを報告する必要があります (セキュリティ レベルは SL1 – "ユーザー承認" 以上である必要があります)。
  4. 起動時に何よりも大切なのは、250 MB の空き領域を確保しておくことです (システム パーティションに WinRE を配置する場合は Windows を復元します)。 詳細については、「System.Client.SystemPartition」を参照してください。

上記の要件を満たしている場合、システム情報にシステムが BitLocker 自動デバイス暗号化をサポートしていることが表示されます。 この機能は Windows 10 のバージョン 1703 以降で使用できます。 システム情報を確認する方法を次に示します。

  1. [スタート] をクリックし、「システム情報」と入力します。
  2. システム情報アプリを右クリックし、[管理者として開く] をクリックします。 [はい] をクリックして、アプリがデバイスに変更を加えることを許可します。 一部のデバイスでは、暗号化設定を表示するために高度な権限が必要になる場合があります。
  3. システムの概要については、「デバイスの暗号化のサポート」を参照してください。 デバイスが暗号化されている場合は値が表示され、暗号化されていない場合は、無効になっている理由が表示されます。

デバイスへのファームウェア更新プログラムの適用

HLK テストの実行に加え、OEM では BitLocker を有効にした状態でファームウェアの更新をテストする必要があります。 デバイスが不必要に回復を開始しないようにするには、次のガイドラインに従ってファームウェアの更新プログラムを適用します。

  1. BitLocker を中断します (PCR [07] にバインドされているデバイスでは、ファームウェアの更新によってセキュア ブート ポリシーが変更された場合のみ必要)
  2. 更新プログラムを適用する
  3. デバイスを再起動します
  4. BitLocker を再開します

ファームウェアの更新では、デバイスで Bitlocker を短時間だけ中断し、できるだけ早く再起動する必要があります。 BitLocker は、Windows Management Instrumentation (WMI) の DisableKeyProtectors メソッド を使用して、シャットダウンする直前にプログラムによって中断できます。

許可されていない DMA 対応バス/デバイスが検出されました

デバイスの暗号化サポートでのこのシステム情報の状態は、DMA が脅威にさらされる可能性のある DMA 対応の外部バスまたはデバイスが Windows で少なくとも 1 つ検出されたことを意味します。

この問題を解決するには、IHV に問い合わせて、このデバイスに外部 DMA ポートがないかどうかを確認します。 バスまたはデバイスに内部 DMA しかないことが IHV によって確認された場合、OEM はこれを許可リストに追加できます。

許可リストにバスまたはデバイスを追加するには、レジストリ キーに値を追加する必要があります。 これを行うには、まず、AllowedBuses レジストリ キーの所有権を取得する必要があります。 次の手順のようにします。

  1. 次のレジストリ キーに移動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

  2. レジストリ キーを右クリックし、[ アクセス許可...] を選択します。

  3. [詳細設定] をクリックし、[所有者] フィールドの [変更] リンクをクリックして、ユーザー アカウント名を入力します。次に、[名前の確認] をクリックし、[OK] を 3 回クリックしてすべてのアクセス許可ダイアログを閉じます。

  4. レジストリ キーを右クリックし、[ アクセス許可... ] をもう一度選択します。

  5. [ 追加... ] ボタンをクリックし、ユーザー アカウントを追加し、[名前の確認] をクリックして、[OK] をクリックします。次に、[フル コントロールを許可する] の下のチェック ボックスをオンにします。 次に、[OK] をクリックします。

次に、AllowedBuses キーの下で、安全であると判断されたフラグ付き DMA 対応バスごとに文字列 (REG_SZ) の名前と値のペアを追加します。

  • キー: デバイスのわかりやすい名前 /説明
  • 値: PCI\VEN_ID&DEV_ID

ID が HLK テストの出力と一致していることを確認します。 たとえば、フレンドリ名が "Contoso PCI Express ルート ポート"、ベンダー ID 1022、デバイス ID 157C の安全なデバイスがある場合は、 Contoso PCI Express ルート ポート という名前のレジストリ エントリREG_SZデータ型として作成します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

ここで、値は "PCI\VEN_1022&DEV_157C" となります。

BitLocker 自動デバイス暗号化の無効化

OEM はデバイスの暗号化を無効にし、代わりに独自の暗号化テクノロジをデバイスに実装することもできます。 BitLocker 自動デバイス暗号化を無効にするには、無人セットアップ ファイルを使用して PreventDeviceEncryption を True に設定します。 または、次のレジストリ キーを更新することもできます。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker 値: PreventDeviceEncryption は True (1) と等しくなります。

BitLocker HLK テストのトラブルシューティング

トリアージは、テスト対象のデバイスに関する次の情報を知っている方がはるかに簡単です。

  1. TPM 仕様 (例: 1.2、2.0)
  2. BitLocker PCR プロファイル (例: 7、11、0、2、4、11)
  3. マシンが AOAC 以外か AOAC か (Surface デバイスは AOAC マシンなど)

この情報は推奨されますが、トリアージの実行には必要ありません。

BitLocker HLK の問題は、通常、テスト結果の解釈ミスまたは PCR7 バインドの問題のいずれかと関連しています。

テスト結果を誤って解釈する

HLK テストは、複数のテスト ステップで構成されます。 一部のテスト手順は、テスト全体の成功/失敗に影響を与えずに失敗する可能性があります。 結果ページの解釈の詳細については、こちらを参照してください。 一部のテスト手順が失敗したが、全体的なテストが成功した場合 (テスト名の横に緑色のチェックで示されているように)、ここで停止します。 テストが正常に実行され、その部分に必要なアクションはもうありません。

トリアージの手順:

  1. マシンに対して適切なテストを実行していることを確認します。 失敗したテスト > インフラストラクチャ > 収集ログ > のステップを右クリックして、 IsAOAC 項目のRUNTIMEBLOCK.xml内を確認します。 IsAOAC=true で AOAC 以外のテストを実行している場合は、失敗を無視し、マシンに対してこのテストを実行しないでください。 必要に応じて、プレイリストを渡すための正誤表をMicrosoft サポートチームに連絡してください。

    Screenshot of the failing test. The item Is A O A C is selected.

  2. フィルターがテストに適用されているかどうかを確認します。 HLK では、不適切にマップされたテストのフィルターが自動的に提案される場合があります。 フィルターは、テスト ステップの横にある円の内側に緑色のチェック マークとして表示されます。 (一部のフィルターは、後続のテスト手順が失敗したか、または取り消されたことを示している場合があることに注意してください)。特殊なアイコンを使用してテスト ステップを展開して、フィルターに関する拡張情報を確認します。 フィルターでテストエラーを無視すると表示される場合は、ここで停止します。

    Screenshot of filters

PCR7 の問題

2 つの PCR7 テストに固有の BitLocker の一般的な問題は、PCR7 にバインドできない問題です。

トリアージの手順:

  1. HLK ログでエラー メッセージを見つけます。 失敗したテスト ステップを展開し、Te.wtl ログを調べます。 (テスト ステップを右クリックしてこのログにアクセスすることもできますタスク ログ > Te.wtl) このエラーが表示された場合は、トリアージ手順に従って続行します。>

Screenshot of the error message in H L K logs.

  1. 管理者として msinfo32 を実行し、セキュア ブート状態/PCR7 構成を確認します。 テストは、セキュア ブートをオンにして実行する必要があります。 PCR7 バインドがサポートされていない場合は、代わりに適切なレガシ PCR HLK テストを実行します。 PCR7 バインドが不可能な場合は、トリアージ手順に従ってください。
  2. エラー ログを確認します。 テスト タスク > の [その他のファイル] を右クリックします。 通常、PCR7結合の問題は、PCR7への不適切な測定の結果である。
    1. イベント ログ。 Microsoft-BitLocker-Management ログには、PCR7 を使用できない理由に関する貴重なエラー情報が含まれています。 BitLocker HLK テストは、BitLocker がインストールされているコンピューターでのみ実行する必要があります。 イベント ログは、生成するマシンで確認する必要があります。
    2. 測定されたブート ログ。 これらは C:\Windows\Logs\MeasuredBoot でも確認できます
  3. TBSLogGenerator.exeまたはそれと同等の方法で、測定されたブート ログを解析します。 HLK コントローラーでは、HLK をインストールした HLK テスト ディレクトリの下にTBSLogGenerator.exeがあります。たとえば、C:\Program Files (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\nttest\BASETEST\ngscb\TBSLogGenerator.exe。
    1. 測定されたブート ログ>>への -lf <パスをTBSLogGenerator.exeOutputLog.txt
    2. OutputLog.txtでは、"PCR[07]" を検索し、測定値を順番に確認します。 最初の測定は次のようになります。

Screenshot of the measurements list in Output Log dot t x t.

BitLocker では、PCR7 での信頼の静的 ルート測定の静的ルート測定の特定の静的ルート が想定されており、これらの測定値のバリエーションによって PCR7 へのバインドが禁止されることが多くあります。 次の値を PCR7 に (順番に、間に無関係な測定値なしで) 測定する必要があります。

  • SecureBoot 変数の内容
  • PK 変数の内容
  • KEK 変数の内容
  • EFI_IMAGE_SECURITY_DATABASE変数 (DB) の内容
  • EFI_IMAGE_SECURITY_DATABASE1変数 (DBX) の内容
  • (省略可能ですが、一般的なEV_SEPARATOR)
  • ブート パスで EFI ドライバーまたは EFI ブート アプリケーションを検証するために使用されるEFI_IMAGE_SECURITY_DATABASE内のエントリ。 BitLocker では、ここでは 1 つのエントリのみが必要です。

測定されたブート ログに関する一般的な問題:

  • UEFI デバッグ モード
  • PK 変数または KEK 変数がない: PK/KEK 測定にはデータがありません (例: 4 バイトの 0)
  • 信頼されていない UEFI CA の署名

UEFI デバッグ モードで実行するなど、測定されたブートの問題の一部は、テスト担当者によって修正される可能性があります。 その他の問題では、正誤表が必要になる場合があります。その場合は、Microsoft サポート チームに連絡してガイダンスを受ける必要があります。

OEM 向けの Windows 10 S のセキュリティ機能と要件