システム セキュリティ

システム メモリーの設定を制御するにはこのウィンドウから行います。

メモ: このヘルプ ページには、お使いのシステムではサポートされていない機能や値の情報も含まれている場合があります。Server Administratorには、お使いのシステムでサポートされている機能と値のみが表示されます。

ユーザー権限

表 1. ユーザー権限
選択 表示 管理
[システム セキュリティ ] システム管理者、昇格システム管理者(Linuxのみ) システム管理者、昇格システム管理者(Linuxのみ)
メモ: ユーザー特権レベルの詳細については、「Server Administrator GUIの特権レベル」を参照してください。
メモ: 使用可能なハードウェアに基づき、設定用のさまざまな属性間に依存性が存在する可能性があります。例えば、属性値を設定することで、場合によっては従属する属性の状態が編集不能または編集可能に変更されることがあります。例えば、[パスワード ステータス]設定を [ロック]に変更すると、 [システム パスワード]を構成することはできません。
メモ: システムのプロセッサー タイプに基づいて、[TPM]オプションと [TCM]オプションが使用できます。

CPU AES-NI

プロセッサーAES-NI機能のステータスを示します。AES-NIは、Advanced Encryption Standard Instruction Setを使用して暗号化と復号化を行い、アプリケーションの速度を向上します。

システム パスワード

[システム パスワード]とは、システムにオペレーティング システムの起動を許可するために入力するパスワードです。システム パスワードの変更はただちに有効になります。システムにパスワード ジャンパー(PWRD_EN)が取り付けられていない場合は、パスワードは読み取り専用です。

メモ: PowerEdgeサーバーでは、大文字が利用できます。

セットアップ パスワード

[セットアップ パスワード]とは、あらゆるBIOS設定を変更するために入力するパスワードです。ただし、[パスワード ステータス]が [アンロック]になっている場合は、正しいパスワードを入力しなくてもシステム パスワードを変更できます。セットアップ パスワードの変更はただちに有効になります。システムにパスワード ジャンパー(PWRD_EN)が取り付けられていない場合は、パスワードは読み取り専用です。

メモ: PowerEdgeサーバーでは、大文字が利用できます。

パスワード ステータス

アンロック オプションが[アンロック]になっている場合は、 [セットアップ パスワード]を入力しなくても [システム パスワード]を変更できます。そのため、管理者はセットアップ パスワードで不正なBIOSセットアップの変更を防げる一方で、ユーザーはシステム パスワードを自由に変更できます。
ロック このオプションが[ロック]になっている場合は、 [システム パスワード]を変更するには [セットアップ パスワード]を入力する必要があります。セットアップ パスワードを入力しないとシステム パスワードを変更できないようにするには、このオプションを [ロック]にして、 [セットアップ パスワード]を有効にします。
メモ: 手順:システム パスワードとセットアップ パスワードをロックするには、システムを再起動して、[パスワード ステータス]属性の [ロック]をクリックします。

TPM情報

トラステッド プラットフォーム モジュールのタイプを表示します(存在する場合)。

インテル(R) AES-NI

インテル(R)プロセッサーAES-NI機能のステータスを表示します。

TPMセキュリティ

システム内のTrusted Platform Module (TPM)の報告を制御します。

オフ(デフォルト) オペレーティング システムにTPMの存在は報告されていません。
プリブート測定ありでオン BIOSはPOST中にTCG対応の測定をTPMに保存します。
プリブート測定なしでオン BIOSは、プリブート測定をバイパスします。
メモ: このTPMセキュリティ設定では、システム パスワードまたはセットアップ パスワードの使用を推奨します。

TPMファームウェア

TPMのファームウェア バージョンを表示します。

TPM階層

ストレージと承認の階層の有効化、無効化、クリアができます。このオプションを[有効]にすると、ストレージ階層と承認階層が有効になり、[無効]にするとストレージ階層と承認階層は使用できなくなります。クリアに設定すると、ストレージと承認の値が存在する場合、クリアされます。

TPMアクティブ化

ユーザーは、Trusted Platform Module (TPM)の動作状況を変更できます。[TPMセキュリティ]が[オフ]に設定されている場合、このフィールドは読み取り専用になります。

アクティブ化 TPMは有効化されてアクティブになります。
非アクティブ化 TPMが無効化されてアクティブ解除されます。
変更なし TPMの動作状態はそのまま変わりません。
メモ: この機能は、PowerEdgeサーバーでは使用できません。

TPMステータス

TPMのステータスを表示します。

TPMのクリア

注意: TPMをクリアすると、TPMのすべてのキーが失われます。これはオペレーティング システムの起動に影響を及ぼす可能性があります。

[はい]に設定すると、TPMのすべての内容がクリアされます。[TPMセキュリティ]が [オフ]に設定されている場合、このフィールドは読み取り専用になります。

メモ: この機能は、第13世代以降のプラットフォームでは使用できません。

TCM セキュリティ

システム内のTrusted Platform Module (TCM)の報告を制御します。

オフ(デフォルト) オペレーティング システムにTCMの存在は報告されていません。
オン オペレーティング システムにTCMの存在が報告されています。
メモ: この機能は、PowerEdgeサーバーでは使用できません。

TCMのアクティブ化

TCMのアクティブ化により、ユーザーは、信頼済み暗号化モジュール(TCM)の動作状況を変更することが可能です。[TCMセキュリティ]が[オフ]に設定されている場合、このフィールドは読み取り専用になります。

アクティブ化 TCMは有効化されてアクティブ化されます。
非アクティブ化 TCMが無効化されて非アクティブ化されます。
変更なし TCMの動作状態はそのまま変わりません。
メモ: この機能は、第13世代以降のプラットフォームでは使用できません。

TCMクリア

注意: TCMをクリアすると、TCMのすべてのキーが失われます。これはオペレーティング システムの起動に影響を及ぼす可能性があります。

[はい]に設定すると、TCMのすべての内容がクリアされます。[TCMセキュリティ]が [オフ]に設定されている場合、このフィールドは読み取り専用になります。

メモ: この機能は、第13世代以降のプラットフォームでは使用できません。

TPMコマンド

ユーザーは、Trusted Platform Module (TPM)を制御できます。[TPMセキュリティ]が[オフ]に設定されている場合、このフィールドは読み取り専用になります。このアクションの結果を有効にするには、再起動が必要になります。

アクティブ化 TPMは有効化されてアクティブになります。
非アクティブ化 TPMが無効化されてアクティブ解除されます。
なし [なし]に設定すると、TPMにコマンドが送信されなくなります。
クリア [クリア]に設定すると、TPMのすべての内容がクリアされます。
注意: TPMをクリアすると、TPMのすべてのキーが失われます。これはオペレーティング システムの起動に影響を及ぼす可能性があります。
メモ: この機能は、PowerEdgeサーバーでは使用できません。

インテル(R) TXT

Trusted Execution Technologyを有効または無効にします。インテルTXTを有効にするには、仮想化テクノロジーが[有効]になっており、プリブート測定でTPMセキュリティが [オン]になっており、さらにTPMステータスが [有効、アクティブ]になっている必要があります。TPM2を使用する場合は、ハッシュ アルゴリズムをSHA256に設定する必要があります。

TME暗号化の回避

インテルTotal Memory Encryptionを回避できます。

メモリー暗号化

インテルTotal Memory EncryptionとMultiTenant(インテルTME-MT)を有効または無効にします。

複数キー BIOSはTME-MTテクノロジーを有効にします。
単一キー BIOSはTMEテクノロジーを有効にします。
無効 BIOSはTMEとTME-MTの両方のテクノロジーを無効にします。

インテル(R) SGX

インテル ソフトウェア ガード エクステンション(SGX)のオプションを有効または無効にします。インテルSGXを有効にするには、一定のプラットフォーム要件を満たす必要があります。CPUがSGXに対応している必要があります。SGXはRDIMMメモリー構成のみをサポートします。SGXはECC DIMMのみをサポートします。メモリー装着に互換性が必要です(最小構成:CPUソケットあたりDIMM1からDIMM8の8個のDIMM。DIMM番号はプラットフォームの設計によって異なる場合があります)。SGXは、すべてのCPUで同じタイプのメモリー構成のみをサポートします。SGXは、すべてのCPUで同じインターリーブ モードのみをサポートします。[メモリー設定][ノード インターリーブ]オプションは [無効]にする必要があります。 [メモリー設定][メモリー動作モード]オプションは [オプティマイザー モード]にする必要があります。SGXのTME Bypassがサポートされていない場合は、 [システム セキュリティ][メモリー暗号化]オプションは [有効]にする必要があります。

オフ BIOSはSGXテクノロジーを無効にします。
オン BIOSはSGXテクノロジーを有効にします。
ソフトウェア(利用可能な場合) アプリケーションでSGXテクノロジーを有効にすることができます。

AC電源リカバリー

システムにAC電源が回復された後、システムがどのように動作するかを指定します。これは、1つの電源タップに接続されている複数のシステムの電源がオフになっている場合に特に便利です。

最後 AC電源が喪失したときにシステムがオンになっていた場合、システムの電源が入ります。AC電源が喪失したときにシステムがオフになっていた場合、システムの電源は切れたままです。
オン AC電源が回復された後でシステムの電源が入ります。
オフ AC電源が回復された後もシステムの電源は切れたままです。

AC電源リカバリー遅延

システムにAC電源が回復された後で、システムの電源オンを遅延するかどうかを指定します。

即時 電源オンに遅延はありません。
ランダム システムは電源投入をランダムに遅延します。
ユーザー定義 指定された遅延の後で電源オンになります。システムでサポートされるユーザー定義の電源投入遅延範囲は60秒間~600秒間です。

ユーザー定義の遅延(60~600秒)

AC電源のリカバリー後の電源投入プロセスの遅延時間を制御します。この値は、[AC電源リカバリー遅延][ユーザー定義]に設定されている場合にのみ有効です。有効な範囲は60秒間~600秒間です。

UEFI変数アクセス

UEFI変数アクセスは、さまざまなレベルのUEFI変数を保護します。

標準(デフォルト) UEFI変数は、UEFI仕様に応じてオペレーティング システムでアクセスすることができます。
制御 UEFI変数はオペレーティング システム環境内で保護されており、新しいUEFI起動エントリーは、現在の起動順序の最後になるように強制されます。

帯域内管理機能インターフェイス

このオプションを[無効]にすると、管理エンジン(ME)のHECIデバイスとシステムのIPMIデバイスがオペレーティング システムから見えなくなります。これにより、オペレーティング システムがME電力制限設定を変更できなくなり、すべての帯域内管理ツールへのアクセスがブロックされます。すべての管理は帯域外を使用して管理する必要があります。

メモ: BIOSアップデートを実行するには、HECIデバイスが作動可能な必要があり、DUPアップデートはIPMIインターフェイスが操作可能になっている必要があります。アップデートエラーを回避するには、この設定を[有効]にしておく必要があります。

SMMセキュリティ緩和

このオプションは、追加のUEFI SMM Security Mitigation保護を有効または無効にします。このオプションはUEFIブート モードでのみ使用できます。オペレーティング システムは、この機能を使用して、仮想化ベースのセキュリティによって作成された安全な環境を保護することができます。この機能を有効にすると、追加のUEFI SMM Security Mitigation保護が提供されます。ただし、この機能により、一部のレガシー ツールまたはアプリケーションとの互換性の問題が発生したり、機能が失われる可能性があります。

セキュア ブート

セキュア ブートを有効にします。セキュア ブート ポリシーの証明書を使用して、BIOSが起動プロセス中に実行される各コンポーネントを認証します。起動プロセスでは、次のコンポーネントが検証されます。

  • PCIeカードからロードされたUEFIドライバー。
  • 大容量ストレージ デバイスからのUEFIドライバーと実行可能ファイル
  • オペレーティング システムのブート ローダー
メモ: セキュア ブートは、[ブート モード]([ブート設定]メニュー)が [UEFI]に設定されていない限り使用できません。
メモ: セキュア ブートは、[レガシー ビデオ オプションROMのロード]設定([その他の設定]メニュー)が[無効]に設定されていない限り使用できません。
メモ: セキュア ブートを有効にする場合は、セットアップ パスワードを作成してください。

[システムBIOS設定]ページでセキュア ブート機能を有効にした場合、Server Administrator UIまたはCLIからこの機能を無効にすることはできません。セキュア ブート機能を無効にするには、次の手順を実行します。

  1. システムの再起動中に[F2]を押して [BIOSセットアップ]ユーティリティーを起動します。
  2. [システム セキュリティ]タブで、[セキュア ブート]機能の下にある [無効]をクリックします。

セキュア ブート モード

BIOSがセキュア ブート ポリシー オブジェクト(PK、KEK、db、dbx)を使う方法を構成します。セットアップ モードと監査モードにはPKは存在せず、BIOSはポリシー オブジェクトに対するプログラムによるアップデートを認証しません。[ユーザー モード][展開モード]にはPKが存在し、BIOSはポリシー オブジェクトをアップデートするプログラムの試行で署名検証を実行します。 [展開モード]は最も安全なモードです。システムのプロビジョニング時にはセットアップ、監査、または [ユーザー モード]を使用し、通常のオペレーション時には [展開モード]を使用します。利用可能なモードの移行は、現在のモードとPKの存在によります。

監査モードは、ポリシー オブジェクトのワーキング セットをプログラムによって決定する際に役立ちます。監査モードでは、BIOSがプリブート イメージで署名の検証を実行し、イメージ実行情報テーブルに結果を記録しますが、検証の合否にかかわらずイメージを実行します。4つのモード間の移行の詳細については、UEFI仕様の「セキュア ブート モード」を参照してください。

セキュア ブート ポリシー

セキュア ブート ポリシーを設定します。

標準 このオプションが[基準]に設定されていると、BIOSはシステム製造元のキーと証明書を使用してプリブート イメージを認証します。
カスタム このオプションが[カスタム]に設定されていると、BIOSはユーザーのカスタム キーと証明書を使用します。
メモ: この[カスタム]モードを選択すると[セキュア ブート カスタム ポリシー設定]メニューが表示されます。
メモ: デフォルトのセキュリティ証明書を変更すると、システムが特定の起動オプションからの起動に失敗する可能性があります。

Authorize Device Firmware

このオプションが[有効]になっていると、このフィールドは各サードパーティー デバイス ファームウェアのSHA-256ハッシュをセキュア ブート正式署名データベースに追加します。ハッシュが追加されると、フィールドは自動的に [無効]に戻ります。

メモ: セキュアブートが[有効]で、セキュア ブート ポリシーが [カスタム]でない限り、このフィールドは読み取り専用です。このフィールドは、セキュアなシステム管理コンソールでのみ使用できます。

BIOSアップデートの制御

DOSまたはUEFIシェルベースのフラッシュ ユーティリティーを使用したBIOSアップデートを許可または禁止します。ローカルBIOSアップデートを必要としない環境の場合、このフィールドを[無効]に設定することをお勧めします。

メモ: Update Packageを使用したBIOSアップデートは、このセットアップ オプションの影響を受けません。
アンロック すべてのBIOSアップデートを許可します。
有限 DOSまたはUEFFIシェルベースのフラッシュ ユーティリティー、またはLifecycle Controllerユーザー インターフェイスからのローカルBIOSアップデートを禁止します。
メモ: この設定は、ローカルBIOSのアップデートを必要としない環境におすすめします。こうした環境には、Remote Enablement Updateまたはオペレーティング システムからのアップデート パッケージの実行などが含まれます。
Server Administratorアクション ページに表示されるその他のボタンの詳細については、「Server Administratorウィンドウのボタン」を参照してください。