「Surface Pro 4」にも採用、BIOSに代わるファームウェア「UEFI」とは何か? という記事を見つけました
クライアントPCの代わりにMicrosoftの2in1デバイス「Surface Pro 4」を使うことを検討中のIT部門は、ファームウェアへのアクセスや管理方法の変化に注意する必要がある。
Surface Pro 4は「Surface Book」と同様、最新のファームウェアインタフェース「Unified Extensible Firmware Interface」(UEFI)を採用しており、デバイスの電源が入った後、UEFIを使ってシステムを起動する。UEFIは、HDDやキーボードなどのデバイスとOS間のデータのやりとりも管理する。UEFIは、「Surface Pro 3」やそれ以前のモデルが使用するBIOS(基本入出力システム)に取って代わるものだ。
UEFIはBIOSよりも高速な起動と高いセキュリティを提供する。Surface Pro 4のUEFIはさらに、ファームウェア設定をデバイスに展開したり、設定内容の改ざんを防いだりするための専用の新機能「Surface Enterprise Management Mode」(SEMM)をサポートする。Microsoftは、SEMMを活用するための専用ツール「UEFI Configurator」も用意した。このツールとSEMMを使えば、IT管理者は社内でPCの代わりにSurface Pro 4を容易に管理できる。
UEFIはSurface Pro 4に何をもたらすか
Microsoftは最新のSurfaceデバイス向けに専用のUEFIを用意した。従来よりも広範囲にファームウェアを管理し、タッチ、マウス、キーボードでの操作をサポートする。IT管理者はこのUEFIを使って、内部デバイスコンポーネントを有効または無効にしたり、起動設定を調整したりできる。セキュリティを設定し、ユーザーが設定を変更できないようにすることも可能だ。
BIOSと同様、ユーザーはUEFIの設定を手動で確認、変更できる。IT管理者がファームウェアを管理する場合、ユーザーがUEFI経由でアクセスできる設定やデータは制限される。それでも、Surfaceの型番や汎用(はんよう)一意識別子(UUID)といった基本的なデータにはアクセスできる。
UEFI ConfiguratorとSEMMを使うことで、IT管理者はUEFIのさまざまなセキュリティ設定を管理できる。例えば、以下のような設定が可能だ。
•UEFIのパスワードを設定または変更し、ユーザーが加えられる変更を制限する。
•「セキュアブート」機能を有効にすれば、認証されていないコードがデバイスを起動するのを阻止できる。無効にすれば、サードパーティー製ソフトウェアやブータブルメディアからデバイスを起動できる。
•「Trusted Platform Module」(TPM)を有効または無効にする。TPMを有効にすれば、フルディスク暗号化機能「BitLocker」によるハードウェアレベルのセキュリティをさらに強化できる。
この他にも、Wi-FiやBluetooth、カメラなど、特定のデバイスコンポーネントやサービスを有効または無効にできる。起動デバイスの順番を変更したり、内部ストレージやUSBストレージ、Windowsブートマネージャーを有効または無効にしたりもできる。
UEFI Configuratorの使い方
UEFIの管理で鍵となるのは、SEMMへのデバイスの登録だ。デバイスをSEMMに登録すれば、UEFIの設定を安全な方法で管理し、ファームウェアを不正アクセスから守ることができる。
SEMMでUEFIの設定を管理するには、UEFI Configuratorを使うといい。まずIT管理者はUEFI Configuratorを使って、UEFIの設定パッケージを作成する。この設定パッケージを使って、SurfaceデバイスをSEMMに登録し、UEFIを設定できる。
この設定パッケージは実際には、Surfaceデバイスで実行できるWindows Installer形式の.msiファイルだ。UEFI設定を指定した設定ファイルの他、設定の改ざんを防ぐための署名証明書を含む。この証明書はファームウェアにインストールし、UEFI設定をデバイスに展開する際に設定ファイルの署名を検証するのに使用する。
設定パッケージを作成したら、設定対象のSurfaceデバイスでこの.msiファイルを実行し、設定ファイルをファームウェアにプロビジョニングする。その後、デバイスの再起動が必要だ。再起動後、デバイスは設定ファイルをロードし、SEMMが有効かを確認する。
デバイスがSEMMに登録されていない場合、IT部門は登録確認のために証明書のサムプリント(拇印)の最後の2桁の数字を入力するよう促される。つまりデバイスを登録するためには、IT管理者がその場にいる必要があるということだ。デバイスは起動の度に登録時に適用されたUEFIの設定を使用する。
設定の内容はいつでも更新が可能だ。UEFI Configuratorを使って新しい設定パッケージを作成するだけでいい。デバイスは既にSEMMに登録されているので、Microsoftの「System Center Configuration Manager」などの資産管理ツールを使えば、新しい設定を自動的に適用できる。ただし、新しい設定パッケージはデバイス登録時と同じ証明書で署名されている必要がある。
デバイスの登録を解除するためのリセットパッケージも、UEFI Configuratorを使って作成できる。設定を更新する場合と同様、リセットパッケージもデバイス登録時と同じ証明書で署名しなければならない。さらにリセットパッケージには、デバイスのシリアル番号を入力する必要がある。つまり、リセットパッケージはデバイスごとに作成する必要があるということだ。複数のデバイスに適用できる設定パッケージとは、その点が異なる。設定対象のSurfaceデバイスでリセットパッケージを実行すると、証明書が削除され、SEMMからデバイスの登録が解除され、UEFIの設定はデフォルト状態にリセットされる。
今でも PCの基本はBIOSが設定されていますが 今後変わっていくのだろうか セキュリティはしっかりしてほしいものですね
クライアントPCの代わりにMicrosoftの2in1デバイス「Surface Pro 4」を使うことを検討中のIT部門は、ファームウェアへのアクセスや管理方法の変化に注意する必要がある。
Surface Pro 4は「Surface Book」と同様、最新のファームウェアインタフェース「Unified Extensible Firmware Interface」(UEFI)を採用しており、デバイスの電源が入った後、UEFIを使ってシステムを起動する。UEFIは、HDDやキーボードなどのデバイスとOS間のデータのやりとりも管理する。UEFIは、「Surface Pro 3」やそれ以前のモデルが使用するBIOS(基本入出力システム)に取って代わるものだ。
UEFIはBIOSよりも高速な起動と高いセキュリティを提供する。Surface Pro 4のUEFIはさらに、ファームウェア設定をデバイスに展開したり、設定内容の改ざんを防いだりするための専用の新機能「Surface Enterprise Management Mode」(SEMM)をサポートする。Microsoftは、SEMMを活用するための専用ツール「UEFI Configurator」も用意した。このツールとSEMMを使えば、IT管理者は社内でPCの代わりにSurface Pro 4を容易に管理できる。
UEFIはSurface Pro 4に何をもたらすか
Microsoftは最新のSurfaceデバイス向けに専用のUEFIを用意した。従来よりも広範囲にファームウェアを管理し、タッチ、マウス、キーボードでの操作をサポートする。IT管理者はこのUEFIを使って、内部デバイスコンポーネントを有効または無効にしたり、起動設定を調整したりできる。セキュリティを設定し、ユーザーが設定を変更できないようにすることも可能だ。
BIOSと同様、ユーザーはUEFIの設定を手動で確認、変更できる。IT管理者がファームウェアを管理する場合、ユーザーがUEFI経由でアクセスできる設定やデータは制限される。それでも、Surfaceの型番や汎用(はんよう)一意識別子(UUID)といった基本的なデータにはアクセスできる。
UEFI ConfiguratorとSEMMを使うことで、IT管理者はUEFIのさまざまなセキュリティ設定を管理できる。例えば、以下のような設定が可能だ。
•UEFIのパスワードを設定または変更し、ユーザーが加えられる変更を制限する。
•「セキュアブート」機能を有効にすれば、認証されていないコードがデバイスを起動するのを阻止できる。無効にすれば、サードパーティー製ソフトウェアやブータブルメディアからデバイスを起動できる。
•「Trusted Platform Module」(TPM)を有効または無効にする。TPMを有効にすれば、フルディスク暗号化機能「BitLocker」によるハードウェアレベルのセキュリティをさらに強化できる。
この他にも、Wi-FiやBluetooth、カメラなど、特定のデバイスコンポーネントやサービスを有効または無効にできる。起動デバイスの順番を変更したり、内部ストレージやUSBストレージ、Windowsブートマネージャーを有効または無効にしたりもできる。
UEFI Configuratorの使い方
UEFIの管理で鍵となるのは、SEMMへのデバイスの登録だ。デバイスをSEMMに登録すれば、UEFIの設定を安全な方法で管理し、ファームウェアを不正アクセスから守ることができる。
SEMMでUEFIの設定を管理するには、UEFI Configuratorを使うといい。まずIT管理者はUEFI Configuratorを使って、UEFIの設定パッケージを作成する。この設定パッケージを使って、SurfaceデバイスをSEMMに登録し、UEFIを設定できる。
この設定パッケージは実際には、Surfaceデバイスで実行できるWindows Installer形式の.msiファイルだ。UEFI設定を指定した設定ファイルの他、設定の改ざんを防ぐための署名証明書を含む。この証明書はファームウェアにインストールし、UEFI設定をデバイスに展開する際に設定ファイルの署名を検証するのに使用する。
設定パッケージを作成したら、設定対象のSurfaceデバイスでこの.msiファイルを実行し、設定ファイルをファームウェアにプロビジョニングする。その後、デバイスの再起動が必要だ。再起動後、デバイスは設定ファイルをロードし、SEMMが有効かを確認する。
デバイスがSEMMに登録されていない場合、IT部門は登録確認のために証明書のサムプリント(拇印)の最後の2桁の数字を入力するよう促される。つまりデバイスを登録するためには、IT管理者がその場にいる必要があるということだ。デバイスは起動の度に登録時に適用されたUEFIの設定を使用する。
設定の内容はいつでも更新が可能だ。UEFI Configuratorを使って新しい設定パッケージを作成するだけでいい。デバイスは既にSEMMに登録されているので、Microsoftの「System Center Configuration Manager」などの資産管理ツールを使えば、新しい設定を自動的に適用できる。ただし、新しい設定パッケージはデバイス登録時と同じ証明書で署名されている必要がある。
デバイスの登録を解除するためのリセットパッケージも、UEFI Configuratorを使って作成できる。設定を更新する場合と同様、リセットパッケージもデバイス登録時と同じ証明書で署名しなければならない。さらにリセットパッケージには、デバイスのシリアル番号を入力する必要がある。つまり、リセットパッケージはデバイスごとに作成する必要があるということだ。複数のデバイスに適用できる設定パッケージとは、その点が異なる。設定対象のSurfaceデバイスでリセットパッケージを実行すると、証明書が削除され、SEMMからデバイスの登録が解除され、UEFIの設定はデフォルト状態にリセットされる。
今でも PCの基本はBIOSが設定されていますが 今後変わっていくのだろうか セキュリティはしっかりしてほしいものですね