Trusted Platform Module 管理のベスト プラクティス
下記のベスト プラクティスは、エンタープライズ環境で Trusted Platform Module (TPM) を管理する際に推奨されるものです。
このペーパーの情報は、Microsoft Windows Vista オペレーティング システムに適用されます。
トピック
 | どのような TPM システムを購入すべきか |
| TPM を初期化する |
| TPM の所有権を取得する |
| TPM の所有者のパスワードまたは承認データを変更する |
| TPM を使用する |
| TPM を廃棄する |
どのような TPM システムを購入すべきか
| • | Windows Premium ロゴを取得したプラットフォーム。 |
| • | Trusted Computing Group Version 1.2 仕様に準拠した TPM。 |
| • | システム ボードに物理的に固定された TPM。 |
| • | 保証キー付きで相手先ブランド供給 (OEM) から提供される TPM。 |
| • | TPM に重要な変更を加えるときに、物理的なプレゼンスを証明するための (自動化されていない) 直接ユーザー入力をサポートするプラットフォーム。 |
TPM を初期化する
| • | 必ず Administrators グループのメンバが TPM を初期化するようにしてください。 |
| • | 可能であれば、プラットフォームをエンド ユーザーに展開する前に TPM を初期化します。 |
| • | TPM を搭載したコンピュータを数台同時に展開する場合は、TPM 初期化ウィザードを使用します。 |
| • | 複数のプラットフォームを同時に展開したり、プラットフォームをリモートで管理したりする場合は、Windows Management Instrumentation (WMI) を呼び出す VBScripts を使用します。 |
TPM の所有権を取得する
| • | TPM の所有者が、ドメイン管理者、ローカル管理者、または別の特権アカウントであることを確認してください。TPM の所有者とは、TPM の所有者の承認データを把握している人または物です。 |
| • | TPM の所有者は、金銭的または物理的に、実際のプラットフォームの所有者である必要があります。 |
| • | 必ず、Administrators グループのメンバが TPM の所有権を取得するようにしてください。 |
| • | Microsoft Active Directory への TPM の回復情報 (TPM の所有者の承認データなど) の格納が必要とされるように、Active Directory のグループ ポリシーをセットアップおよび構成します。 |
| • | TPM を搭載したコンピュータを数台同時に展開する場合は、TPM 初期化ウィザードを使用します。 |
| • | 複数のプラットフォームを同時に展開したり、プラットフォームをリモートで管理したりする場合は、WMI を呼び出す VBScripts を使用します。 |
| • | サード パーティのツールを使用する場合は、ストレージ ルート キー (SRK) の承認がゼロに設定されていることを確認してください。 |
| • | エンタープライズのすべてのコンピュータで、TPM の所有者の承認データに一意の値を使用します。 |
| • | TPM 初期化ウィザードを使用する場合は、TPM の所有者のパスワードを手動で指定するのではなく、ランダムに生成するオプションを選択します。これは、辞書攻撃の軽減に役立ちます。 |
| • | Active Directory にデータを格納します。 |
| • | 所有者の承認を変更する場合は、暗号化されたデータをすべてバックアップするか、必要に応じてキーを保管します。キーが移動可能な場合は、操作が完了するまで、キーを安全なストレージ領域に移動します。その後、新しい承認値を Active Directory と再同期します。 |
| • | TPM の所有者の承認データやパスワードを漏らさないでください。 |
| • | 低い特権しか与えられていないユーザーが、TPM の所有者の承認データを持たないようにしてください。 |
TPM の所有者のパスワードまたは承認データを変更する
| • | 数箇所を同時に変更する場合は、TPM 管理コンソールの MMC スナップインを使用して、TPM の所有者のパスワードを変更します。 |
| • | 複数のプラットフォームを同時に変更する場合は、WMI を呼び出す VBScripts を使用します。 |
| • | TPM の回復情報 (たとえば、TPM の所有者の承認データ) を Active Directory に格納するようにグループ ポリシーが構成されていた場合は、このポリシーを設定したままにしておいて、Active Directory 内の情報の同期がとられるようにします。 |
| • | 所有者の承認を変更する場合は、暗号化されたデータをすべてバックアップするか、必要に応じてキーを保管します。キーが移動可能な場合は、操作が完了するまで、キーを安全なストレージ領域に移動します。 |
TPM を使用する
| • | TCG 1.2 仕様に準拠し、TPM Base Services (TBS) と連係動作するように移植された Trusted Software Stacks のみを使用するアプリケーションを使用します。 |
| • | 低い特権しか与えられていないユーザーが、所有者の承認が必要な TPM で操作を実行する必要がある場合は、そのユーザーに対する委任権をセットアップおよび使用できるソフトウェアを使用することをお勧めします。 |
| • | TBS インターフェイスにアクセスできるのは、Administrators グループのメンバと特定のシステム アカウントのみでなければなりません。 |
| • | キー承認データまたは所有者の承認データをプラットフォームのローカル ストレージ メディアに格納しないでください。 |
| • | プライバシーにかかわる、非推奨の、削除された TPM コマンドは、プラットフォームで実行されないようにブロックしておきます (既定の設定)。 |
TPM を廃棄する
| • | TPM プラットフォームを廃棄する場合は、他の廃棄手順を実行する前に、暗号化されたデータおよびキーを回復またはバックアップします。 |
| • | TPM をクリアし、所有者の承認データと SRK を無効にします。 |
| • | セキュリティで保護されたスタートアップ保護がオンである場合は、TPM が正常にクリアされた後に、プラットフォームをリサイクルできます。 |
| • | セキュリティで保護されたスタートアップ保護がオフである場合は、ハード ドライブを消去し、ハード ドライブ上に存在する可能性のあるすべての機密情報をクリアします。 |