信頼できるプラットフォーム(Trusted Platform)
次の表に、BIOS ポリシーまたはデフォルト BIOS 設定を介して実行できるトラステッド プラットフォーム BIOS 設定の一覧を示します。
名前 |
説明 |
サポートされる属性 |
|||||
---|---|---|---|---|---|---|---|
バージョン |
プラットフォーム |
値 |
依存関係 |
||||
Multikey Total Memory Encryption (MK-TME) |
MK-TME を使用すると、独自のキーを持つ 1 つの暗号化ドメインを複数持つことができます。異なるメモリ ページを異なるキーで暗号化できます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
[拡張ソフトウェア保護機能(SGX)(Software Guard Extensions (SGX))] |
ソフトウェア ガード拡張(SGX)機能を有効にすることができます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
Total Memory Encryption(TME) |
システムの物理メモリ全体を暗号化する機能を提供します。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
[所有者 EPOCH 入力タイプを選択(Select Owner EPOCH Input Type)] |
作成され、ロックされたメモリ領域に使用されるセキュリティ キーのシードを変更できます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
SGX 所有者 EPOCH がアクティブ化されました。新しいランダム所有者 EPOCH に変更します。手動でユーザー定義の所有者 EPOCH を作成します。 |
|||
SGX自動MP登録エージェント |
レジストレーション エージェント サービスがプラットフォーム キーを保存できるようにします。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
[SGX Epoch 0] |
0 で指定された EPOCH 番号の SGX EPOCH 所有者値を定義できます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
[SGX Epoch 1] |
1 で指定された EPOCH 番号の SGX EPOCH 所有者値を定義できます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
SGX初期設定へのリセット |
その後の起動時にシステムが SGX の工場出荷時リセットを実行できるようにします。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
[SGX PubKey Hash n] n の範囲は 0 ~ 3 です。 |
ソフトウェア ガード拡張(SGX)の値を設定できます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
SGX PUBKEY HASH0、SGX PUBKEY HASH1、SGX PUBKEY HASH2、SGX PUBKEY HASH3
|
|||
SGX書き込みが有効 |
SGX 書き込み機能を有効にすることができます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
[SGX パッケージ情報インバンド アクセス(SGX Package Information In-Band Access)] |
SGX パッケージ情報インバンド アクセスを有効にすることができます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
SGX QoS |
SGX QoS を有効にすることができます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
SHA-1 PCRバンク |
プラットフォーム構成レジスタ(PCR)は、TPM 内のメモリ位置です。複数の PCR をまとめて PCR バンクと呼びます。セキュア ハッシュ アルゴリズム 1 または SHA-1 PCR バンクでは、TPM セキュリティを有効または無効にすることができます。 |
4.2(1)、4.3(4b)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7、C245 M8 |
有効、無効
|
セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。 |
||
SHA256 PCRバンク |
プラットフォーム構成レジスタ(PCR)は、TPM 内のメモリ位置です。複数の PCR をまとめて PCR バンクと呼びます。セキュア ハッシュ アルゴリズム 256 ビットまたは SHA-256PCR バンクでは、TPM セキュリティを有効または無効にすることができます。 |
4.2(1)、4.3(4b)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7、C245 M8 |
有効、無効 |
セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。 |
||
SHA384 PCR バンク * |
プラットフォーム構成レジスタ(PCR)は、TPM 内のメモリ位置です。複数の PCR をまとめて PCR バンクと呼びます。セキュア ハッシュ アルゴリズム 384 ビットまたは SHA-384PCR バンクでは、TPM セキュリティを有効または無効にすることができます。 |
4.3(3a)、4.3(4b) |
X410c M7、X210c M7、C220 M7、C240 M7、C225 M6、C245 M6、C220 M6、C240 M6、X210c M6、B200 M6、C245 M8 |
有効、無効 |
セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。 |
||
[信頼されたプラットフォーム モジュールの状態(Trusted Platform Module State)] |
サーバーの認証に使用するアーティファクトを安全に保存するコンポーネントであるトラステッド プラットフォーム モジュール(TPM)の有効と無効を切り替えます。 |
4.2(1)、4.3(4b)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7、C245 M8 |
有効、無効 |
セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。 |
||
Trust Domain Extension |
機密データとアプリケーションを不正アクセスから保護する Trust Domain Extension(TDX)を有効にするか無効にするか。 |
4.3 (3a) |
X410c M7、X210c M7、C220 M7、C240 M7 |
有効、無効 |
Trust Domain Extension を有効にするには、次のことを確認します。
|
||
TDX セキュア アービトレーション モード(SEAM)ローダー |
Intel TDX モジュールのデジタル署名を検証し、SEAM メモリ範囲にロードするのに役立つ TDX セキュア アービトレーション モード(SEAM)ローダーを有効にするか無効にするか。 |
4.3 (3a) |
X410c M7、X210c M7、C220 M7、C240 M7 |
有効、無効 |
TDX セキュア アービトレーション モード ローダーを有効にするには、次のことを確認します。
|
||
TPM保留中の操作 |
トラステッド プラットフォーム モジュール(TPM)Pending Operation オプションを使用すると、保留中の操作のステータスを制御できます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
なし、TpmClear |
セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。 |
||
[TPM の最小限の物理的存在(TPM Minimal Physical Presence)] |
TPM の最小限の物理的存在を有効または無効にするかどうか。セキュリティを損なうことなく TPM を管理するために、OS と BIOS 間の通信を有効または無効にします。 |
4.2(1) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
セキュリティ デバイス サポートが無効になっている場合、TPM 操作全体が失敗します。 |
||
[Intel Trusted Execution Technology のサポート(Intel Trusted Execution Technology Support)] |
ビジネス サーバー上で使用され、保管される情報の保護機能を強化する、Intel Trusted Execution Technology(TXT)の有効と無効を切り替えます。 |
4.2(1)、5.0(1)、5.0(2) |
C240 M6、C220 M6、C225 M6、C245 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
TXT を無効にしない限り、TPM を無効にすることはできません。 |
||
セキュリティデバイスのサポート |
TPM 機能全体を制御します。 |
4.2(3)、4.3(4b) |
C220M6、C240M6、C225M6、C245M6、B200M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7、C 245 M8 |
有効、無効 |
|||
[DMA 制御オプトイン フラグ(DMA Control Opt-In Flag)] |
このトークンを有効にすると、Windows 2022 カーネル DMA 保護機能が有効になります。OS はこれを、悪意のあるデバイスからの DMA 攻撃を防ぐために IOMMU を有効にする必要があるというヒントとして扱います。 |
4.2(2)、4.2(3) |
C220 M6 および C240 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
|||
[CPU PA を 46 ビットに制限(LIMIT CPU PA to 46 Bits)] |
古い Hyper-v CPU プラットフォームをサポートするために、CPU 物理アドレスを 46 ビットに制限します。 |
4.2(2)、4.2(3) |
C220 M6、C240 M6、B200 M6、X210c M6、C220 M7、C240 M7、X210c M7、X410c M7 |
有効、無効 |
![]() (注) |
SHA384 PCR バンク BIOS トークンは、PID モデル UCS-TPM-002D および UCS-TPM-002D-D をサポートします。 |