信頼できるプラットフォーム(Trusted Platform)

信頼できるプラットフォーム(Trusted Platform)

次の表に、BIOS ポリシーまたはデフォルト BIOS 設定を介して実行できるトラステッド プラットフォーム BIOS 設定の一覧を示します。

名前

説明

サポートされる属性

バージョン

プラットフォーム

依存関係

Multikey Total Memory Encryption (MK-TME)

MK-TME を使用すると、独自のキーを持つ 1 つの暗号化ドメインを複数持つことができます。異なるメモリ ページを異なるキーで暗号化できます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

[拡張ソフトウェア保護機能(SGX)(Software Guard Extensions (SGX))]

ソフトウェア ガード拡張(SGX)機能を有効にすることができます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

Total Memory Encryption(TME)

システムの物理メモリ全体を暗号化する機能を提供します。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

[所有者 EPOCH 入力タイプを選択(Select Owner EPOCH Input Type)]

作成され、ロックされたメモリ領域に使用されるセキュリティ キーのシードを変更できます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

SGX 所有者 EPOCH がアクティブ化されました。新しいランダム所有者 EPOCH に変更します。手動でユーザー定義の所有者 EPOCH を作成します。

SGX自動MP登録エージェント

レジストレーション エージェント サービスがプラットフォーム キーを保存できるようにします。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

[SGX Epoch 0]

0 で指定された EPOCH 番号の SGX EPOCH 所有者値を定義できます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

[SGX Epoch 1]

1 で指定された EPOCH 番号の SGX EPOCH 所有者値を定義できます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

SGX初期設定へのリセット

その後の起動時にシステムが SGX の工場出荷時リセットを実行できるようにします。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

[SGX PubKey Hash n] n の範囲は 0 ~ 3 です。

ソフトウェア ガード拡張(SGX)の値を設定できます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

SGX PUBKEY HASH0、SGX PUBKEY HASH1、SGX PUBKEY HASH2、SGX PUBKEY HASH3

  • SGX PUBKEY HASH0 — 7 ~ 0 の間

  • SGX PUBKEY HASH1:15 ~ 8 の間

  • SGX PUBKEY HASH2:23 ~ 16 の間

  • SGX PUBKEY HASH3:31 ~ 24 の間

SGX書き込みが有効

SGX 書き込み機能を有効にすることができます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

[SGX パッケージ情報インバンド アクセス(SGX Package Information In-Band Access)]

SGX パッケージ情報インバンド アクセスを有効にすることができます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

SGX QoS

SGX QoS を有効にすることができます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

SHA-1 PCRバンク

プラットフォーム構成レジスタ(PCR)は、TPM 内のメモリ位置です。複数の PCR をまとめて PCR バンクと呼びます。セキュア ハッシュ アルゴリズム 1 または SHA-1 PCR バンクでは、TPM セキュリティを有効または無効にすることができます。

4.2(1)、4.3(4b)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7、C245 M8

有効、無効

(注)  

 

C245 M8 の場合、デフォルトでは [無効(Disabled)] になっています。

セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。

SHA256 PCRバンク

プラットフォーム構成レジスタ(PCR)は、TPM 内のメモリ位置です。複数の PCR をまとめて PCR バンクと呼びます。セキュア ハッシュ アルゴリズム 256 ビットまたは SHA-256PCR バンクでは、TPM セキュリティを有効または無効にすることができます。

4.2(1)、4.3(4b)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7、C245 M8

有効、無効

セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。

SHA384 PCR バンク

*

プラットフォーム構成レジスタ(PCR)は、TPM 内のメモリ位置です。複数の PCR をまとめて PCR バンクと呼びます。セキュア ハッシュ アルゴリズム 384 ビットまたは SHA-384PCR バンクでは、TPM セキュリティを有効または無効にすることができます。

4.3(3a)、4.3(4b)

X410c M7、X210c M7、C220 M7、C240 M7、C225 M6、C245 M6、C220 M6、C240 M6、X210c M6、B200 M6、C245 M8

有効、無効

セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。

[信頼されたプラットフォーム モジュールの状態(Trusted Platform Module State)]

サーバーの認証に使用するアーティファクトを安全に保存するコンポーネントであるトラステッド プラットフォーム モジュール(TPM)の有効と無効を切り替えます。

4.2(1)、4.3(4b)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7、C245 M8

有効、無効

セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。

Trust Domain Extension

機密データとアプリケーションを不正アクセスから保護する Trust Domain Extension(TDX)を有効にするか無効にするか。

4.3 (3a)

X410c M7、X210c M7、C220 M7、C240 M7

有効、無効

Trust Domain Extension を有効にするには、次のことを確認します。

  • 合計メモリ暗号化(TME)が有効です。

  • 拡張ソフトウェア保護機能(SGX)が有効です。

  • マルチキー合計メモリ暗号化(MK-TME)が有効です。

  • 46 ビットトークンへの CPU PAの制限が無効になっています。

TDX セキュア アービトレーション モード(SEAM)ローダー

Intel TDX モジュールのデジタル署名を検証し、SEAM メモリ範囲にロードするのに役立つ TDX セキュア アービトレーション モード(SEAM)ローダーを有効にするか無効にするか。

4.3 (3a)

X410c M7、X210c M7、C220 M7、C240 M7

有効、無効

TDX セキュア アービトレーション モード ローダーを有効にするには、次のことを確認します。

  • 合計メモリ暗号化(TME)が有効です。

  • 拡張ソフトウェア保護機能(SGX)が有効です。

  • マルチキー合計メモリ暗号化(MK-TME)が有効です。

  • 46 ビットトークンへの CPU PAの制限が無効になっています。

  • Trust Domain Extension(TDX)が有効になっています。

TPM保留中の操作

トラステッド プラットフォーム モジュール(TPM)Pending Operation オプションを使用すると、保留中の操作のステータスを制御できます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

なし、TpmClear

セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。

[TPM の最小限の物理的存在(TPM Minimal Physical Presence)]

TPM の最小限の物理的存在を有効または無効にするかどうか。セキュリティを損なうことなく TPM を管理するために、OS と BIOS 間の通信を有効または無効にします。

4.2(1)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。

[Intel Trusted Execution Technology のサポート(Intel Trusted Execution Technology Support)]

ビジネス サーバー上で使用され、保管される情報の保護機能を強化する、Intel Trusted Execution Technology(TXT)の有効と無効を切り替えます。

4.2(1)、5.0(1)、5.0(2)

C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

TXT を無効にしない限り、TPM を無効にすることはできません。

セキュリティデバイスのサポート

TPM 機能全体を制御します。

4.2(3)、4.3(4b)

C220M6、C240M6、C225M6、C245M6、B200M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7、C 245 M8

有効、無効

[DMA 制御オプトイン フラグ(DMA Control Opt-In Flag)]

このトークンを有効にすると、Windows 2022 カーネル DMA 保護機能が有効になります。OS はこれを、悪意のあるデバイスからの DMA 攻撃を防ぐために IOMMU を有効にする必要があるというヒントとして扱います。

4.2(2)、4.2(3)

C220 M6 および C240 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効

[CPU PA を 46 ビットに制限(LIMIT CPU PA to 46 Bits)]

古い Hyper-v CPU プラットフォームをサポートするために、CPU 物理アドレスを 46 ビットに制限します。

4.2(2)、4.2(3)

C220 M6、C240 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7

有効、無効


(注)  


SHA384 PCR バンク BIOS トークンは、PID モデル UCS-TPM-002D および UCS-TPM-002D-D をサポートします。