エクスポート (0) 印刷
すべて展開
展開 最小化

Windows トラステッド プラットフォーム モジュール管理のステップ バイ ステップ ガイド

このステップ バイ ステップ ガイドでは、テスト環境でトラステッド プラットフォーム モジュール (TPM) 管理を使用するために必要な手順について説明します。

トラステッド プラットフォーム モジュール (TPM) 管理について

トラステッド プラットフォーム モジュール (TPM) 管理は、Windows Vista™ および Microsoft® Windows Server 2008 の新しい機能セットです。この機能を使用して、コンピュータの TPM セキュリティ ハードウェアを管理します。この機能セットには、TPM 管理コンソールおよび TPM Base Services (TBS) と呼ばれる API が含まれています。このアーキテクチャでは、Windows® ベースのアプリケーションで TPM を使用および共有するためのインフラストラクチャが提供されます。

トラステッド プラットフォーム モジュールについて

TPM は、主に暗号化キーなど、基本的なセキュリティ関連機能を提供するように設計されたマイクロチップです。TPM は通常、デスクトップ コンピュータやラップトップ コンピュータのマザーボードに組み込まれており、ハードウェア バスを使用してシステムの他の部分と通信します。

TPM が組み込まれたコンピュータでは、暗号キーを作成し、そのキーを TPM だけが解読できるように暗号化することができます。この処理は、キーを "ラップする" または "バインドする" と呼ばれ、キーの漏洩を防止するために役立ちます。各 TPM には、ストレージ ルート キー (SRK) と呼ばれるルート "ラップ" キーがあり、TPM 自体に格納されています。これにより、TPM で作成されたキーの秘密部分が他のコンポーネント、ソフトウェア、プロセス、または個人に公開されることはなくなります。

TPM が組み込まれたコンピュータでは、ラップされたキーだけでなく、特定のプラットフォーム測定値に関連付けられたキーも作成できます。このタイプのキーは、プラットフォーム測定値がキー作成時の値と同じ場合にのみ、ラップを解除できます。この処理を、TPM にキーを "封印する" と言います。キーの封印を解除することを、"開封する" と言います。TPM では、TPM 外部で生成されたデータも封印および開封できます。この封印されたキーと Windows® BitLocker™ ドライブ暗号化のようなソフトウェアを使用すると、特定のハードウェア条件またはソフトウェア条件が満たされるまでデータをロックできます。

TPM を使用すると、キー ペアの秘密部分は、オペレーティング システムで制御されるメモリとは別に保持されます。キーを TPM に封印できるので、キーを使用するために開封してリリースするまでは、システムの状態 (信頼性) に関して一定の保証を行うことができます。TPM では命令の処理に独自の内部ファームウェアや論理回路を使用しているので、オペレーティング システムに依存することがなく、外部ソフトウェアの脆弱性による影響を受けにくくなります。

このガイドの対象読者

このガイドは次の読者を対象としています。

  • 製品の評価を行う IT プランナと IT アナリスト

  • 信頼性の高いコンピューティングの実装を担当しているセキュリティ アーキテクト



このガイドの内容



TPM 管理の要件

このガイドに記載している手順は、まずテスト環境で使用することをお勧めします。ステップ バイ ステップ ガイドは、「関連資料」に記載した付属ドキュメントを使用せずに Windows Vista または Windows Server 2008 の機能を展開するという意図では作成されていません。このドキュメントを単独で使用する場合は、慎重にお使いください。

TPM 管理用にテスト環境を準備する

TPM 管理のテストに必要な環境は、一般的なハブまたはレイヤ 2 スイッチ経由で独立したネットワークに接続されたクライアント コンピュータだけです。このクライアントは Windows Vista を実行していて、互換性のある TPM (バージョン 1.2) と Trusted Computing Group (TCG) 準拠の BIOS が搭載されている必要があります。ポータブル USB フラッシュ ドライブも推奨されます。テスト環境全体で、プライベート IP アドレスを使用する必要があります。


TPM 管理の主なシナリオ

このガイドでは、次の TPM 管理のシナリオについて説明します。



シナリオ 1: TPM を初期化する

このシナリオでは、コンピュータに搭載された TPM を初期化する方法について説明します。初期化プロセスでは、TPM を有効にし、TPM の所有権を設定します。このシナリオは、TPM 搭載コンピュータのセットアップを担当する管理者を対象として作成しています。

通常、コンピュータの TPM を初期化するには、TPM が物理的に存在する必要があります。ただし、TPM が初期化された状態でコンピュータが出荷される場合は、物理的に存在することは必要とされません。Windows Vista では TPM のリモートでの初期化がサポートされていますが、リモートでの初期化に関する情報と手順は、このガイドには含まれていません。

TPM Base Services (TBS) では、スクリプトまたは WMI 管理コンソールを使用してこのシナリオの手順を実行できるように、WMI クラスが公開されています。TPM タスクのスクリプト作成に関する情報も、このガイドには含まれていません。

TPM を初期化するための手順

コンピュータに搭載された TPM を初期化するには、次の手順を実行します。

ステップ 1: TPM を有効にする

TPM を使用してコンピュータのセキュリティを保護するには、まず TPM を初期化する必要があります。ステップ 1 では、コンピュータの TPM を初期化する手順について説明します。

Windows Vista の要件を満たしている TPM 搭載のコンピュータには、起動前の BIOS 機能が含まれており、TPM 初期化ウィザードを使用して簡単にコンピュータの TPM を初期化できます。

TPM 初期化ウィザードを起動すると、コンピュータの TPM が初期化されているかどうかを判断できます。

次の手順に従って、TPM 初期化ウィザードを起動し、TPM を有効にします。

次の手順を実行するには、管理者の資格情報を使用して TPM 搭載コンピュータにログオンする必要があります。

TPM 初期化ウィザードを起動して TPM を有効にするには
  1. [スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[ファイル名を指定して実行] の順にクリックします。

  2. [名前] ボックスに「tpm.msc」と入力し、Enter キーを押します。

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、実行するアクションが表示されていることを確認し、[続行] をクリックします。詳細については、このドキュメントの最後にある「関連資料」を参照してください。

  4. TPM 管理コンソールが表示されます。

  5. [操作] ウィンドウで、[TPM を初期化する] をクリックします。TPM 初期化ウィザードが起動します。

    • TPM が一度も有効になっていないか、現在無効になっている場合は、TPM 初期化ウィザードに [TPM セキュリティ ハードウェアを有効にします] ページが表示されます。このページの指示を確認し、この手順のステップ 6 に進みます。

    • TPM が既に有効になっている場合は、TPM 初期化ウィザードに [TPM 所有者パスワードを作成します] ページが表示されます。このガイドの後ろにある「ステップ 2 : TPM の所有権を設定する 」に進みます。

    • TPM 初期化ウィザードで Windows Vista の要件を満たしていない BIOS が検出されると、ウィザードを続行できません。さらに、コンピュータの製造元のマニュアルを参照して TPM を初期化する手順を確認するように警告されます。

  6. [シャットダウン] (または [再起動]) をクリックし、BIOS 画面のプロンプトに従います。

  7. 再起動後、Windows にログオンする前に、TPM の再構成を受け入れるためのプロンプトが表示されます。これにより、ユーザーが物理的に存在しており、悪意のあるソフトウェアが TPM の初期化を試みているのではないことが保証されます。


    Cc749022.note(ja-jp,WS.10).gif 注 :

    BIOS 画面のプロンプトおよび表記は、コンピュータの製造元によって異なります。

  8. Windows にログオンした後、通知領域の Windows Defender アイコンを右クリックし、[ブロックされたプログラムの実行] をポイントして、[TPM 初期化ウィザード] をクリックします。

  9. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、実行するアクションが表示されていることを確認し、[続行] をクリックします。

  10. ステップ 2 : TPM の所有権を設定する」に進みます。

ステップ 2: TPM の所有権を設定する

TPM を使用してコンピュータのセキュリティを保護するには、TPM の所有者も設定されている必要があります。TPM の所有権を設定することによって、パスワードを割り当てます。その結果、承認された TPM 所有者のみが TPM にアクセスして管理できるようになります。TPM パスワードは、TPM を使用する必要がなくなった場合に TPM を無効にするため、またはコンピュータがリサイクルされる場合に TPM をクリアするためにも使用します。

次の手順に従って、TPM 初期化ウィザードを使用して TPM の所有権を設定します。

次の手順を実行するには、管理者の資格情報を使用して TPM 搭載コンピュータにログオンする必要があります。

TPM の所有権を設定するには
  1. [TPM 所有者パスワードを作成します] ページで、[パスワードを自動的に作成します (推奨)] をクリックします。

  2. [TPM 所有者パスワードを保存します] ダイアログ ボックスで、[パスワードを保存する] をクリックします。

  3. [名前を付けて保存] ダイアログ ボックスで、パスワードを保存する場所を選択し、[保存] をクリックします。パスワード ファイルは computer_name.tpm として保存されます。


    Cc749022.important(ja-jp,WS.10).gif 重要 :

    TPM 所有者パスワードはリムーバブル メディアに保存することを強くお勧めします。

  4. パスワードを印刷する場合は、[パスワードを印刷する] をクリックします。


    Cc749022.important(ja-jp,WS.10).gif 重要 :

    TPM 所有者パスワードを印刷して安全な場所に保管することを強くお勧めします。

  5. [初期化] をクリックします。


    Cc749022.note(ja-jp,WS.10).gif 注 :

    TPM の初期化処理が完了するまで数分かかる場合があります。

  6. [閉じる] をクリックします。


    Cc749022.caution(ja-jp,WS.10).gif 注意 :

    パスワードをなくさないでください。パスワードをなくすと、TPM をクリアしない限り、所有者パスワードが必要な TPM の変更を行うことができなくなります。



シナリオ 2 : TPM を無効化およびクリアする

このシナリオでは、TPM 搭載コンピュータを再構成またはリサイクルする際に、管理者が実行する 2 つの一般的なタスクを取り上げます。つまり、TPM を無効にすることと、TPM をクリアすることです。

TPM を無効にする

管理者によっては、ネットワーク内の一部の TPM 搭載コンピュータでは、TPM によって提供される機能をすべて使用する必要はないと判断することもあります。次の手順に従って、TPM を無効にします。


Cc749022.note(ja-jp,WS.10).gif 注 :

TPM を無効にする場合、TPM 所有者パスワードを持っていれば TPM が物理的に存在する必要はありません。

次の手順を実行するには、管理者の資格情報を使用して TPM 搭載コンピュータにログオンする必要があります。

TPM を無効にするには
  1. [スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[ファイル名を指定して実行] の順にクリックします。

  2. [名前] ボックスに「tpm.msc」と入力し、Enter キーを押します。TPM 管理コンソールが表示されます。

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、実行するアクションが表示されていることを確認し、[続行] をクリックします。詳細については、このドキュメントの最後にある「関連資料」を参照してください。

  4. [操作] ウィンドウで、[TPM をオフにする] をクリックします。

  5. [TPM セキュリティ ハードウェアを無効にします] ダイアログ ボックスで、パスワードを入力して TPM を無効にする方法を選択します。

    • TPM 所有者パスワードを保存したリムーバブル メディアがあればそれを挿入して、[TPM 所有者パスワードのバックアップ ファイルがあります] をクリックします。[TPM 所有者パスワードのバックアップ ファイルを選択します] ダイアログ ボックスで [参照] をクリックして、リムーバブル メディアに保存した .tpm ファイルを指定し、[開く] をクリックして [TPM を無効にする] をクリックします。

    • パスワードを保存したリムーバブル メディアがない場合は、[TPM 所有者パスワードを入力します] をクリックします。[TPM 所有者パスワードを入力してください] ダイアログ ボックスに、パスワード (ダッシュも含む) を入力して [TPM を無効にする] をクリックします。

    • TPM 所有者パスワードがわからない場合は、[TPM 所有者パスワードを持っていません] をクリックし、ダイアログ ボックスおよび続いて表示される BIOS 画面に示されている手順に従って、パスワードを入力せずに TPM を無効にします。


    Cc749022.note(ja-jp,WS.10).gif 注 :

    そのコンピュータ上で作業するだけで、TPM 所有者パスワードを入力せずに TPM を無効にしたり、限定された一部の TPM 管理タスクを実行したりできます。TPM の状態は、結果ペインの [状態] ボックスに表示されます。

    TPM の状態は、結果ペインの [状態] ボックスに表示されます。

TPM をクリアする

TPM をクリアすると、TPM の所有権が取り消され、TPM は工場出荷時の既定の状態にリセットされます。この作業は、TPM 搭載クライアント コンピュータがリサイクルされるとき、または TPM 所有者が TPM 所有者パスワードをなくしたときに実行します。次の手順に従って、TPM をクリアします。


Cc749022.note(ja-jp,WS.10).gif 注 :

TPM をクリアする場合、TPM 所有者パスワードを持っていれば TPM が物理的に存在する必要はありません。

次の手順を実行するには、管理者の資格情報を使用して TPM 搭載コンピュータにログオンする必要があります。

TPM をクリアするには
  1. [スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[ファイル名を指定して実行] の順にクリックします。

  2. [名前] ボックスに「tpm.msc」と入力し、Enter キーを押します。TPM 管理コンソールが表示されます。

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、実行するアクションが表示されていることを確認し、[続行] をクリックします。詳細については、このドキュメントの最後にある「関連資料」を参照してください。


    Cc749022.caution(ja-jp,WS.10).gif 注意 :

    TPM をクリアすると、TPM は工場出荷時の既定の状態にリセットされます。作成したすべてのキーと、そのキーによって保護されているデータが失われます。

  4. [操作] ウィンドウで、[TPM のクリア] をクリックします。TPM が無効になっている場合は、クリアする前に TPM を有効にします (TPM を有効にする手順については、「ステップ 1 : TPM を有効にする」を参照してください)。

  5. [TPM セキュリティ ハードウェアをクリアします] ダイアログ ボックスで、パスワードを入力して TPM をクリアする方法を選択します。

    • TPM 所有者パスワードを保存したリムーバブル メディアがあればそれを挿入して、[TPM 所有者パスワードのバックアップ ファイルがあります] をクリックします。[TPM 所有者パスワードのバックアップ ファイルを選択します] ダイアログ ボックスで [参照] をクリックして、リムーバブル メディアに保存した .tpm ファイルを指定し、[開く] をクリックして [TPM のクリア] をクリックします。

    • パスワードを保存したリムーバブル メディアがない場合は、[TPM 所有者パスワードを入力します] をクリックします。[TPM 所有者パスワードを入力してください] ダイアログ ボックスに、パスワード (ダッシュも含む) を入力して [TPM のクリア] をクリックします。

    • TPM 所有者パスワードがわからない場合は、[TPM 所有者パスワードを持っていません] をクリックし、ダイアログ ボックスおよび続いて表示される BIOS 画面に示されている手順に従って、パスワードを入力せずに TPM をクリアします。


    Cc749022.note(ja-jp,WS.10).gif 注 :

    そのコンピュータ上で作業するだけで、TPM 所有者パスワードを入力せずに TPM をクリアしたり、限定された一部の TPM 管理タスクを実行したりできます。TPM の状態は、結果ペインの [状態] ボックスに表示されます。

    TPM の状態は、結果ペインの [状態] ボックスに表示されます。



シナリオ 3 : TPM コマンドをブロックまたは許可する

このシナリオでは、TPM コマンドをブロックまたは許可するための手順について説明します。この作業は、TPM 搭載コンピュータをセットアップまたは再構成する際に、管理者が実行できます。TPM コマンドは、TPM 管理コンソールの [コマンドの管理] という名前の子ノードによって管理されます。管理者はここで TPM に使用できるコマンドを探すことができます。これらのコマンドを、ローカル コンピュータ ポリシー設定とグループ ポリシー設定の制約内で、ブロックまたは許可することもできます。

次の手順を実行するには、管理者の資格情報を使用して TPM 搭載コンピュータにログオンする必要があります。

TPM コマンドをブロックまたは許可するには

  1. [スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[ファイル名を指定して実行] の順にクリックします。

  2. [名前] ボックスに「tpm.msc」と入力し、Enter キーを押します。

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、実行するアクションが表示されていることを確認し、[続行] をクリックします。詳細については、このドキュメントの最後にある「関連資料」を参照してください。

  4. コンソール ツリーで [コマンド管理] をクリックします。TPM コマンドの一覧が表示されます。

  5. ブロックまたは許可するコマンドを一覧から選択します。

  6. [操作] ウィンドウで、必要に応じて [選択したコマンドをブロック] または [選択したコマンドを許可] のいずれかをクリックします。


    Cc749022.note(ja-jp,WS.10).gif 注 :

    グループ ポリシー ドメインを使用することによって、管理者は特定の TPM コマンドのブロックまたは許可が行われないようにすることができます。グループ ポリシーの設定は、ブロックされたコマンドの一覧に対してローカルで変更が行われないようにするためにも使用できます。グループ ポリシーまたはローカル コンピュータ ポリシーの設定は、TPM 管理コンソールで上書きすることはできません。



お客様からのフィードバック

TPM 管理は Windows Server "Longhorn" および Windows Vista の新しい機能セットなので、TPM 管理についての皆様の体験や発生した問題、ドキュメントが役立ったかどうかなどの情報が非常に役立ちます。一般的なご意見は、tpminfo@microsoft.com に送信してください。個別のご意見に対応することはできかねますのでご承知おきください。

Microsoft Windows のコンポーネントと同様に、TPM 管理に関するヘルプを参照するには、マイクロソフト サポート オンライン Web サイト (http://go.microsoft.com/fwlink/?LinkID=76619 ) でいずれかのサポート オプションを選択してください。



関連資料

以下の資料は、TPM 管理の理解に役立ちます。


この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました

コミュニティの追加

追加
表示:
© 2014 Microsoft