システムセキュリティ
システム メモリーの設定を制御するにはこのウィンドウから行います。
メモ: このヘルプ ページには、お使いのシステムではサポートされていない機能や値の情報も含まれている場合があります。Server Administratorには、お使いのシステムでサポートされている機能と値のみが表示されます。 |
ユーザー権限
選択 | 表示 | 管理 |
---|---|---|
[システムセキュリティ ] | システム管理者、昇格システム管理者(Linux のみ) | システム管理者、昇格システム管理者(Linux のみ) |
メモ: 使用可能なハードウェアに基づき、設定用のさまざまな属性間に依存性が存在する可能性があります。例えば、属性値を設定することで、場合によっては従属する属性の状態が編集不能または編集可能に変更されることがあります。例えば、[パスワード ステータス]設定を [ロック]に変更すると、 [システム パスワード]を設定することはできません。 |
メモ: システムのプロセッサー タイプに基づいて、[TPM]オプションと [TCM]オプションが使用できます。 |
CPU AES-NI
プロセッサーAES-NI機能のステータスを示します。AES-NIは、Advanced Encryption Standard Instruction Setを使用して暗号化と復号化を行い、アプリケーションの速度を向上します。システム パスワード
[システム パスワード]とは、システムにオペレーティング システムの起動を許可するために入力するパスワードです。システム パスワードの変更はただちに有効になります。システムにパスワード ジャンパー(PWRD_EN)が取り付けられていない場合は、パスワードは読み取り専用です。
メモ: 大文字は第 13 世代 PowerEdge サーバ以降で有効です。 |
セットアップ パスワード
[セットアップ パスワード]とは、あらゆるBIOS設定を変更するために入力するパスワードです。ただし、[パスワード ステータス]が [アンロック]になっている場合は、正しいパスワードを入力しなくてもシステム パスワードを変更できます。セットアップ パスワードの変更はただちに有効になります。システムにパスワード ジャンパー(PWRD_EN)が取り付けられていない場合は、パスワードは読み取り専用です。
メモ: 大文字は第 13 世代 PowerEdge サーバ以降で有効です。 |
パスワード ステータス
アンロック | オプションが[アンロック]になっている場合は、 [セットアップ パスワード]を入力しなくても [システム パスワード]を変更できます。そのため、管理者はセットアップ パスワードで不正なBIOSセットアップの変更を防げる一方で、ユーザーはシステム パスワードを自由に変更できます。 |
ロック | このオプションが[ロック]になっている場合は、 [システム パスワード]を変更するには [セットアップ パスワード]を入力する必要があります。セットアップ パスワードを入力しないとシステム パスワードを変更できないようにするには、このオプションを [ロック]にして、 [セットアップ パスワード]を有効にします。 |
メモ: 手順:システム パスワードとセットアップ パスワードをロックするには、システムを再起動して、[パスワード ステータス]属性の [ロック]をクリックします。 |
TPM情報
トラステッド プラットフォーム モジュールのタイプを表示します(存在する場合)。
インテル(R) AES-NI
インテル(R)プロセッサーAES-NI機能のステータスを表示します。
TPMセキュリティ
システム内のTrusted Platform Module(TPM)の報告を制御します。
オフ(デフォルト) | オペレーティングシステムに TPM の存在は報告されていません。 |
プリブート測定ありでオン | BIOS は POST 中に TCG 対応の測定を TPM に保存します。 |
プリブート測定なしでオン | BIOS はプリブート測定を回避します。 |
メモ: このTPMセキュリティ設定では、システム パスワードまたはセットアップ パスワードの使用を推奨します。 |
TPM ファームウェア
TPMのファームウェア バージョンを表示します。
TPM 階層
ストレージと承認の階層の有効化、無効化、クリアができるようになります。このオプションを[有効]にすると、ストレージ階層と承認階層が有効になり、[無効]にするとストレージ階層と承認階層は使用できなくなります。クリアに設定すると、ストレージと承認の値が存在する場合、クリアされます。
TPM アクティブ化
ユーザーは、Trusted Platform Module(TPM)の動作状況を変更することが可能です。「TPM セキュリティ」が [オフ] に設定されている場合、このフィールドは読み取り専用になります。
アクティブ化 | TPM は有効化されてアクティブになります。 |
非アクティブ化 | TPM が無効化されてアクティブ解除されます。 |
変更なし | TPM の動作状態はそのまま変わりません。 |
メモ: この機能は、第 13 世代以降のプラットフォームでは使用できません。 |
TPMステータス
TPMのステータスを表示します。
TPM のクリア
注意: TPMをクリアすると、TPMのすべてのキーが失われます。これは OS の起動に影響を及ぼす可能性があります。 |
[はい]に設定すると、TPMのすべての内容がクリアされます。「TPM セキュリティ」が [オフ] に設定されている場合、このフィールドは読み取り専用になります。
メモ: この機能は、第 13 世代以降のプラットフォームでは使用できません。 |
TCM セキュリティ
システム内の信頼済み暗号化モジュール(TCM)の報告を制御します。
オフ(デフォルト) | オペレーティングシステムに TCM の存在は報告されていません。 |
オン | オペレーティングシステムに TCM の存在が報告されています。 |
メモ: この機能は、第 13 世代以降のプラットフォームでは使用できません。 |
TCM のアクティブ化
ユーザーは、信頼済み暗号化モジュール(TCM)の動作状況を変更することが可能です。「TCM セキュリティ」を「オフ」に設定すると、このフィールドは読み取り専用になります。
アクティブ化 | TCM は有効化されてアクティブ化されます。 |
非アクティブ化 | TCM が無効化されて非アクティブ化されます。 |
変更なし | TCM の動作状態はそのまま変わりません。 |
メモ: この機能は、第 13 世代以降のプラットフォームでは使用できません。 |
TCM クリア
注意: TCMをクリアすると、TCMのすべてのキーが失われます。これは OS の起動に影響を及ぼす可能性があります。 |
[はい]に設定すると、TCMのすべての内容がクリアされます。「TCM セキュリティ」を [オフ] に設定すると、このフィールドは読み取り専用になります。
メモ: この機能は、第 13 世代以降のプラットフォームでは使用できません。 |
TPMコマンド
ユーザーによる Trusted Platform Module(TPM)の制御を可能にします。「TPM セキュリティ」が「オフ」に設定されている場合、このフィールドは読み取り専用になります。このアクションの結果を有効にするには、再起動が必要になります。
アクティブ化 | TPM は有効化されてアクティブになります。 |
非アクティブ化 | TPM が無効化されてアクティブ解除されます。 |
なし | なしに設定すると、TPM にコマンドが送信されなくなります。 |
クリア | クリアに設定すると、TPMのすべての内容がクリアされます。 |
注意: TPMをクリアすると、TPMのすべてのキーが失われます。これによりオペレーティング システムの起動に影響する可能性があります。 |
メモ: この機能は、第 13 世代以降のプラットフォームでは使用できません。 |
インテル(R) TXT
Trusted Execution Technology を有効または無効にします。インテルTXTを有効にするには、仮想化テクノロジーが[有効]になっており、プリブート測定でTPMセキュリティが [オン]になっており、さらにTPMステータスが [有効、アクティブ]になっている必要があります。TPM2を使用する場合は、ハッシュ アルゴリズムをSHA256に設定する必要があります。
メモリー暗号化
インテルTotal Memory EncryptionとMulti-Tenant(インテル®TME-MT)を有効または無効にします。
複数キー | BIOSはTME-MTテクノロジーを有効にします。 |
単一キー | BIOSはTMEテクノロジーを有効にします。 |
無効化 | BIOSはTMEとTME-MTの両方のテクノロジーを無効にします。 |
インテル(R) SGX
インテル ソフトウェア ガード エクステンション(SGX)のオプションを有効または無効にします。インテルSGXを有効にするには、一定のプラットフォーム要件を満たす必要があります。CPUがSGXに対応している必要があります。SGXはRDIMMメモリー構成のみをサポートします。SGXはECC DIMMのみをサポートします。メモリー装着に互換性が必要です(最小構成:CPUソケットあたりDIMM1からDIMM8の8個のDIMM。DIMM番号はプラットフォームの設計によって異なる場合があります)。SGXは、すべてのCPUで同じタイプのメモリー構成のみをサポートします。SGXは、すべてのCPUで同じインターリーブ モードのみをサポートします。[メモリー設定]の [ノード インターリーブ]オプションは [無効]にする必要があります。 [メモリー設定]の [メモリー動作モード]オプションは [オプティマイザー モード]にする必要があります。SGXのTME Bypassがサポートされていない場合は、 [システム セキュリティ]の [メモリー暗号化]オプションは [有効]にする必要があります。
オフ | BIOSはSGXテクノロジーを無効にします。 |
オン | BIOSはSGXテクノロジーを有効にします。 |
ソフトウェア(利用可能な場合) | アプリケーションでSGXテクノロジーを有効にすることができます。 |
AC電源リカバリー
システムに AC 電源が回復された後、システムがどのように動作するかを指定します。これは、1つの電源タップに接続されている複数のシステムの電源がオフになっている場合に特に便利です。
最後 | AC 電源が喪失したときにシステムがオンになっていた場合、システムの電源が入ります。AC 電源が喪失したときにシステムがオフになっていた場合、システムの電源は切れたままです。 |
オン | AC 電源が回復された後でシステムの電源が入ります。 |
オフ | AC 電源が回復された後もシステムの電源は切れたままです。 |
AC電源リカバリー遅延
システムに AC電源が回復された後で、システムの電源オンを遅延するかどうかを指定します。
即時 | 電源オンに遅延はありません。 |
ランダム | システムは電源投入をランダムに遅延します。 |
ユーザー定義 | 指定された遅延の後で電源オンになります。システムでサポートされるユーザー定義の電源投入遅延範囲は60秒間~600秒間です。 |
ユーザー定義の遅延(60 ~ 600 秒)
AC電源のリカバリー後の電源投入プロセスの遅延時間を制御します。この値は、[AC電源リカバリー遅延]が [ユーザー定義]になっている場合にのみ有効です。有効な範囲は60秒間~600秒間です。
UEFI変数アクセス
UEFI変数アクセスは、さまざまなレベルのUEFI変数を保護します。
標準(デフォルト) | UEFI 変数は、UEFI 仕様に応じてオペレーティングシステムでアクセスすることができます。 |
制御 | UEFI 変数はオペレーティングシステム環境内で保護されており、新しい UEFI 起動エントリは、現在の起動順序の最後になるように強制されます。 |
インバンド管理機能インターフェイス
このオプションを[無効]にすると、管理エンジン(ME)のHECIデバイスとシステムのIPMIデバイスがオペレーティング システムから見えなくなります。これにより、 ME の電源上限が設定を変更するには、オペレーティング システム、および防止します。すべてのインバンド管理ツールへのアクセスをブロックすべての管理は帯域外で管理する必要があります。
メモ: BIOSアップデートを実行するには、HECIデバイスが作動可能な必要があり、DUPアップデートはIPMIインターフェイスが操作可能になっている必要があります。アップデートエラーを回避するには、この設定を[有効]にしておく必要があります。 |
セキュア ブート
セキュア ブートを有効にします。セキュア ブート ポリシーの証明書を使用して、BIOSが起動プロセス中に実行される各コンポーネントを認証します。起動プロセスでは、次のコンポーネントが検証されます。
- PCIeカードからロードされたUEFIドライバー
- 大容量ストレージデバイスからのUEFIドライバーと実行可能ファイル
- オペレーティング システムのブートローダー
メモ: セキュア ブートは、[ブート モード]([ブート設定]メニュー)が [UEFI]に設定されていない限り使用できません。 |
メモ: セキュア ブートは、[レガシー ビデオ オプションROMのロード]設定([その他の設定]メニュー)が[無効]に設定されていない限り使用できません。 |
メモ: セキュア ブートを有効にする場合は、セットアップ パスワードを作成してください。 |
セキュア ブート モード
BIOS がセキュア ブート ポリシーオブジェクト(PK、KEK、db、dbx)を使う方法を設定します。セットアップ モードと監査モードにはPKは存在せず、BIOSはポリシー オブジェクトに対するプログラムによるアップデートを認証しません。[ユーザー モード]と [展開モード]にはPKが存在し、BIOSはポリシー オブジェクトをアップデートするプログラムの試行で署名検証を実行します。 [展開モード]は最も安全なモードです。システムのプロビジョニング時にはセットアップ、監査、または [ユーザー モード]を使用し、通常のオペレーション時には [展開モード]を使用します。利用可能なモードの移行は、現在のモードとPKの存在によります。
監査モードは、ポリシーオブジェクトのワーキングセットをプログラムによって決定する際に役立ちます。監査モードでは、BIOSがプリブート イメージで署名の検証を実行し、イメージ実行情報テーブルに結果を記録しますが、検証の合否にかかわらずイメージを実行します。4つのモード間の移行の詳細については、UEFI仕様の「「セキュア ブート モード」」を参照してください。
セキュア ブート ポリシー
セキュア ブート ポリシーを設定します。
基準 | このオプションが[基準]に設定されていると、BIOSはシステム製造元のキーと証明書を使用してプリブート イメージを認証します。 |
カスタム | このオプションが[カスタム]に設定されていると、BIOSはユーザーのカスタム キーと証明書を使用します。
|
Authorize Device Firmware
このオプションが[有効]になっていると、このフィールドは各サードパーティー デバイス ファームウェアのSHA-256ハッシュをセキュア ブート正式署名データベースに追加します。ハッシュが追加されると、フィールドは自動的に [無効]に戻ります。
メモ: セキュアブートが[有効]で、セキュア ブート ポリシーが [カスタム]でない限り、このフィールドは読み取り専用です。このフィールドは、セキュアなシステム管理コンソールでのみ使用できます。 |
BIOS アップデートコントロール
DOS または UEFI シェルベースのフラッシュユーティリティを使用した BIOS アップデートを許可または禁止します。ローカル BIOS アップデートを必要としない環境の場合、このフィールドを [無効] に設定することをお勧めします。
メモ: Update Packageを使用したBIOSアップデートは、このセットアップ オプションの影響を受けません。 |
アンロック | すべてのBIOS アップデートを許可します。 | ||
有限 | DOS または UEFFI シェルベースのフラッシュユーティリティ、または Lifecycle Controller ユーザーインタフェースからのローカル BIOS アップデートを禁止します。
|