「インテル vPro プラットフォーム」を運用する上で、最初に行うのがAMTのプロビジョニング(初期設定)だ。この操作を行うことで、システム管理者は各クライアントPCを遠隔管理することが可能になる。
今回は読者の方から、この設定を管理するうえでのセキュリティ強度について問い合わせがあったので、インテル vPro プラットフォームのすべてを知り尽くした“匠”こと牧真一郎氏に、その方法を聞いてみたい。
なお、本連載では「匠に聞いてみたい」質問を随時募集中。vProに関する疑問・質問などがあれば、記事末尾のフォームからぜひ投稿してほしい。また、既に投稿いただいた質問は、順次回答していくので、お待ちいただければ幸いだ。
今回の質問:「vProの導入を検討しているのですが、システム管理者から『社内での運用ルールとして、インテル MEBxのパスワードを定期的に変更する必要がある』と言われました。何か方法はありませんでしょうか?」
――今回、お問い合わせをいただいた読者の方は、会社に導入するクライアントPCを検討する立場にあるようですが、システム管理者から運用上のパスワード管理について問い合わせを受けたようです。各クライアントPCにおけるインテル MEBx(ME BIOS Extension)のパスワードを、定期的に変更するにはどうすればよいでしょうか?
牧氏:残念ながらリモートではインテル MEBxのパスワードを変更することはできません。リモートKVMを使って、1台1台手動で変更することもできますが、この方法で社内すべてのPCのパスワードを管理するのは現実的ではないと思います。
ただ、最新モデルとなる第12世代インテル Core プロセッサーを搭載したクライアントPCの中には、インテル MEBxがUEFI(BIOS)設定画面に統合されている機種があります。このようなモデルでインテル MEBxを起動するには、まずはUEFI設定画面を開くことになり、従来のようにホットキー(「Ctrl」+「P」キー)で画面を直接呼び出すことができません。
こうした仕様の場合は、UEFI設定画面を呼び出す際のパスワードで、一般利用ユーザーからのインテル MEBxへの直接のアクセスを保護できる、という間接的な効果が見込めます。このように実装されたPCの採用と運用をシステム管理者の方にご提案されてみてはいかがでしょうか。もちろん、メーカーや機種によって異なるので、そこを確認していただくのが前提になりますが。
なお、私の所持している第12世代のLenovo「ThinkCentre M80q Tiny Gen 3」においては、インテル MEBxの起動手順は、以下のようになっています。
匠への質問、募集中!
……さて、今回はインテル MEBxのセキュリティ強度を高める方法を教えてもらったが、「インテル vPro プラットフォーム」は非常に多機能で奥が深い。
当連載では、そんなvProを活用する上での疑問を随時、匠に伺って、解決に結び付けたいと考えている。vProの導入や活用を検討するうえで、「これはどうやるんだろう?」あるいは「できると思うのに、何故かうまくいかない」といった疑問点がもしあれば、是非、以下のフォームから質問を送っていただければ幸いだ。
アンケート回答にあたっての注意事項・同意事項
・いただきました質問につきまして、質問者やその企業を特定できないよう編集の上、匠の回答とあわせて誌面掲載させていただく可能性がございます。
・いただきました質問に対する回答は、原則として今後展開する記事内にて行わせていただきます。また、すべての質問への回答を約束するものではございません。
・氏名やメールアドレスのご記入は任意となりますが、ご記入いただければ、追加で伺いたいことなどがある場合、編集部よりご連絡させていただき、より正確な回答ができるよう務めさせていただきます。
・回答いただきました個人情報(名前/メールアドレス)は、追加の質問など編集部からの連絡のみ使用します。そのほかの目的で使用することはなく、対象者以外の個人情報は、企画終了後、速やかに消去します。
個人情報の保護について
http://www.impress.co.jp/privacy_policy/
からの記事と詳細 ( 【匠の部屋】インテル MEBxのパスワードはリモートで変更できるか? - INTERNET Watch )
https://ift.tt/Me8W5Dl
No comments:
Post a Comment