ファームウェアアップデートを許可するために BitLocker を無効にする(Windows のみ)

TPM は、BitLocker とともに使用する場合、システム状態を測定します。TPM は、ROM イメージの変更を検出すると、ユーザーがリカバリキーを提供できない場合、Windows ファイルシステムへのアクセスを制限します。HP SUM は、TPM がシステムで有効になっているかどうかを検出します。ProLiant サーバーの一部の新しいモデルでは、ご使用のシステムで TPM が検出された場合やターゲットとして選択されたリモートサーバーで TPM が検出された場合に、iLO、Smart アレイ、NIC、および BIOS 用の HP SUM ユーティリティがフラッシュに先立ってユーザーに警告を行います。ユーザーが一時的に BitLocker を無効にしない場合やフラッシュをキャンセルしない場合、再起動後ユーザーデータにアクセスするには、BitLocker のリカバリキーが必要になります。

リカバリイベントは、次の状況で発生します。

  • Microsoft BitLocker ドライブ暗号化を使用している環境で、システム BIOS のフラッシュの前に BitLocker を一時的に無効にしていない。

  • iLO、Smart アレイ、および NIC ファームウェアの判定をオプションで選択している。

HP SUM が TPM を検出すると、次の警告メッセージが表示されます。

注意:このシステムで Trusted Platform Module(TPM)が検出されました。リカバリキーが利用できない場合、正しい OS 暗号化手順を実行しないと、ご使用のデータにアクセスできなくなります。Microsoft Windows (R) BitLocker (TM) で推奨される手順は、システム ROM またはオプション ROM ファームウェアのフラッシュ前に、BitLocker を「無効」にすることです。リカバリキーがない場合や BitLocker を無効にしなかった場合は、このフラッシュを終了してください。この指示に従わない場合、ご使用のデータにアクセスできなくなります。

各サーバーで TPM パスワードを入力することなくファームウェアをアップデートできるようにするには、BitLocker ドライブ暗号化を一時的に無効にする必要があります。BitLocker ドライブ暗号化を無効にしてもハードディスクドライブデータの暗号化は解除されません。ただし、BitLocker はハードディスクドライブに保存されているプレーンテキストの復号キーを使用して情報を読み取ります。BitLocker ドライブ暗号化は、ファームウェアのアップデート完了後に有効な状態に戻すことができます。BitLocker ドライブ暗号化を有効な状態に戻すと、プレーンテキストキーが削除され、BitLocker によるドライブの保護が再開されます。


[注意: ]

注意: BitLocker ドライブ暗号化を一時的に無効にするとドライブのセキュリティが脅かされる可能性があります。このため、安全な環境以外では無効化を試みないでください。安全な環境を用意できないのであれば、ファームウェアのアップデートプロセス全体にわたって、ブートパスワードを用意し、BitLocker ドライブ暗号化をそのまま有効にしておくことをおすすめします。これには、HP SUM で /tpmbypass パラメーターの設定が必要です。このパラメーターがない場合、ファームウェアのアップデートはブロックされます。


BitLocker サポートを一時的に無効にしてファームウェアアップデートを許可するには、以下の手順に従ってください。

  1. [スタート]をクリックして、検索テキストボックスで gpedit.msc を探します。

  2. ローカルグループポリシーエディターが起動したら、[ローカルコンピューターポリシー]をクリックします。

  3. [コンピューターの構成] → [管理用テンプレート] → [Windows コンポーネント] → [BitLocker ドライブ暗号化]の順にクリックします。

  4. BitLocker 設定が表示されたら、[コントロールパネルセットアップ:詳細なスタートアップオプションを有効にする]をダブルクリックします。

  5. ダイアログボックスが表示されたら、[無効]をクリックします。

  6. すべてのウィンドウを閉じて、ファームウェアアップデートを開始します。

詳細なスタートアップオプションを有効にするには、次の操作を行います。

  1. cscript manage-bde.wsf -protectors -disable c:と入力します。

  2. ファームウェアのアップデートプロセスが完了したら、手順 1~4 に従って BitLocker ドライブ暗号化サポートを有効な状態に戻せます。ただし、手順 5 では [無効] ではなく [有効]をクリックしてください。ファームウェアの展開完了後に BitLocker ドライブ暗号化を有効な状態に戻すために、次のコマンドを使用できます。

  3. cscript manage-bde.wsf -protectors -enable c:と入力します。

次の表では、発生する可能性がある TPM 検出シナリオについて説明します。

シナリオ

結果

TPM が検出され有効になっており、インストールがサイレントモードでなく、システム ROM をアップデートする必要がある場合。

[警告] パネルに、TPM が検出されたことを示す警告メッセージとともに、Easy およびアドバンストモードで [警告を無視]するオプションが表示されます。[警告を無視]を選択した場合のみ、アップデートを展開できます。

TPM が検出され有効になっており、インストールがサイレントモードで、/tpmbypass スイッチが指定されておらず、アップデートされたファームウェアをサーバーに適用しなければならない場合。GUI モードは /tpmbypass をサポートしていません。

警告メッセージは表示されません。新しいログファイル(%systemdrive%\cpqsystem\log\cpqstub.log)が生成されます。インストールがサイレントモードで行われるため、インストールは終了し、次に進むことはできません。

TPM が検出され TPM 拡張 ROM 計測が有効になっており、インストールがサイレントモードでなく、システム ROM をアップデートする必要がある場合。

警告メッセージが表示されます。[OK] を選択すると、次に進めます。インストールは取り消されません。

TPM が検出され TPM 拡張 ROM 計測が有効になっており、インストールはサイレントインストールで、/tpmbypass スイッチが指定されておらず、アップデートされたファームウェアがあればすべてサーバーに適用する必要がある場合。

警告メッセージは表示されません。新しいログファイル(%systemdrive%\cpqsystem\log\cpqstub.log)が生成されます。インストールがサイレントモードで行われるため、インストールは終了し、次に進むことはできません。

TPM が検出され有効になっており、インストールがサイレントモードで行われ、/tpmbypass スイッチが指定されている場合。

インストールは行われます。