SUMとBitLockerの併用について
TPMは、BitLockerとともに使用する場合、システム状態を測定します。TPMは、ROMイメージの変更を検出すると、ユーザーがリカバリキーを提供できない場合、Windowsファイルシステムへのアクセスを制限します。SUMは、TPMがノード上で有効になっているかどうかを検出します。ProLiantサーバーの一部の新しいモデルでは、ご使用のシステムでTPMが検出された場合やターゲットとして選択されたリモートサーバーでTPMが検出された場合に、iLO、HDD、NIC、PowerPIC、およびBIOS用のSUMユーティリティがフラッシュに先立ってユーザーに警告を行います。ユーザーが一時的にBitLockerを無効にしない場合やフラッシュをキャンセルしない場合、再起動後ユーザーデータにアクセスするには、BitLockerのリカバリキーが必要になります。
リカバリイベントは、次の状況で発生します。
-
Microsoft BitLockerドライブ暗号化を使用している環境で、システムBIOSのフラッシュの前にBitLockerを一時的に無効にしていない。
-
iLO、Smartアレイ、およびNICファームウェアの判定をオプションで選択している。
SUMがTPMを検出すると、メッセージが表示されます。
各サーバーでTPMパスワードを入力することなくファームウェアを更新できるようにするには、BitLockerドライブ暗号化を一時的に無効にします。BitLockerドライブ暗号化を無効にしてもハードディスクドライブデータの暗号化は解除されません。ただし、BitLockerはハードディスクドライブに保存されているプレーンテキストの復号キーを使用して情報を読み取ります。BitLockerドライブ暗号化は、ファームウェアの更新完了後に有効な状態に戻します。BitLockerドライブ暗号化を有効な状態に戻すと、プレーンテキストキーが削除され、BitLockerによってドライブが保護されます。
BitLockerドライブ暗号化を一時的に無効にするとドライブのセキュリティが脅かされる可能性があります。このため、安全な環境以外では無効化を試みないでください。安全な環境を用意できないのであれば、ファームウェアのアップデートプロセス全体にわたって、ブートパスワードを用意し、BitLockerドライブ暗号化をそのまま有効にしておくことをおすすめします。この場合、SUMに対して/tpmbypass
パラメーターを設定する必要があります。そうしないと、ファームウェアのアップデートはブロックされます。