HPビジネスPCには多彩なセキュリティ機能が搭載されています。”Step by Step HPビジネスPCのセキュリティを使ってみよう"シリーズでは、毎回1つのセキュリティ機能を取り上げ、設定方法や利用手順をStep by Stepで解説し、セキュリティ機能を実際に使っていただくことを支援いたします。
今回はHP Sure Adminを設定して、F10 BIOSセットアップ画面設定のQRコードを利用したワンタイムパスワード認証を検証するための手順を解説します。HP Sure Adminの設定にはHP Connect for Microsoft Endpoint Managerを使用します。HP Sure Admnについてはこの記事もご覧ください。HP Connect for Microsoft Endpoint Managerについてはこの記事もご覧ください。
HP ConnectはサポートされているHPのビジネスPCで、暗号化キーによる非常に安全なBIOSアクセス技術であるHP Sure Adminを有効化します。HP Connectは組織が提供した証明書の内容を読み取り、この目的のために公開鍵と秘密鍵のペアを使用します。HP Connectは秘密鍵を使用しないとBIOS設定の変更ができないようにします。組織が作成して提供した証明書は、組織外に漏洩すると管理対象のデバイスのセキュリティが損なわれる可能性があるため、それを安全に保管することが非常に重要です。HP Connectは証明書をHPクラウドに保持しませんが、証明書に埋め込まれた公開鍵と秘密鍵をデバイス認証が要求されるポリシーで使用するためにHPクラウドに安全に保存します。
例として、ここではOpenSSLを使用して証明書を作成します。オープンソースソフトウェアであるOpenSSLは、正しくフォーマットされた証明書の作成をサポートします。埋め込まれた秘密鍵と公開鍵のペアが要件を満たしていれば、証明書がどのように作成されるかは関係ありません。組織の認証局を含む、証明書作成方法は次のようになります。OpenSSLコマンドを使用して、承認、署名、およびローカルアクセスキー証明書を作成できます。証明書には、HP ConnectがSecure Platform ManagementをプロビジョニングしてHP Sure Admin(EBAM)を有効化するために使用する秘密鍵と公開鍵のペアが含まれます。次の手順を使用して、必要な証明書を作成できます。例ではオープンソースのOpenSSLアプリケーションを使用して説明されていますが、証明書は組織内で利用可能な他の技術でも作成できます。
OpenSSLのインストール
公式のWin32ビルドがないため、https://slproweb.com/products/Win32OpenSSL.html からWin64 OpenSSL v3.0.1 Light、やWin64 OpenSSL v1.1.1m Lightをダウンロードしてインストールします。Win64 OpenSSLのインストール後、openssl.exeがインストールされたフォルダをシステム環境変数のPathに追加します。
エンドースメントキー証明書の作成
1-1.X.509自己署名証明書を作成します。
EKPriv.pemおよびEK.crt出力ファイルは、次に実際のエンドースメント証明書を作成するために使用されます、必要に応じて名前を変更できます。
以下のOpenSSLコマンドでは、-subjコマンドラインパラメータを実際の組織に固有の情報に更新して反映する必要があります。これらの情報が含まれていない場合、OpenSSLはプロンプトを表示します。この情報はファームウェアの将来のバージョンでユーザーと管理者に報告されるので、正しい情報にしておく必要があります。
openssl req -x509 -nodes -newkey rsa:2048 -keyout EKpriv.pem -out EK.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Konan-ku/O=Company/OU=Org/CN=www.example.com“
1-2.自己署名証明書をPKCS#12 pfxフォーマットに変換します。
以下のOpenSSLコマンドでは、証明書をパスワード“test”で保護します。-passoutコマンドラインパラメータを実際に証明書に設定するパスワードに変更する必要があります。パスワードを設定しない場合は-passout以降は省いてください。
openssl pkcs12 -inkey EKPriv.pem -in EK.crt -export -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -out EK.pfx -name "HP Secure Platform Key Endorsement Certificate" -passout pass:test
サイニングキー証明書の作成
1-3.X.509自己署名証明書の作成
SKPriv.pemおよびSK.crt出力ファイルは、次に実際のエンドースメント証明書を作成するために使用されます、必要に応じて名前を変更できます。
以下のOpenSSLコマンドでは、-subjコマンドラインパラメータを実際の組織に固有の情報に更新して反映する必要があります。これらの情報が含まれていない場合、OpenSSLはプロンプトを表示します。この情報はファームウェアの将来のバージョンでユーザーと管理者に報告されるので、正しい情報にしておく必要があります。
openssl req -x509 -nodes -newkey rsa:2048 -keyout SKpriv.pem -out SK.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Konan-ku/O=Company/OU=Org/CN=www.example.com“
1-4.自己署名証明書をPKCS#12 pfxフォーマットに変換
以下のOpenSSLコマンドでは、証明書をパスワード“test”で保護します。-passoutコマンドラインパラメータを実際に証明書に設定するパスワードに変更する必要があります。パスワードを設定しない場合は-passout以降は省いてください。
openssl pkcs12 -inkey SKPriv.pem -in SK.crt -export -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -out SK.pfx -name "HP Secure Platform Key Signing Certificate" -passout pass:test
ローカルアクセスキー(LAK)証明書の作成
1-5.X.509自己署名証明書の作成
LAK.pemおよびLAK.crt出力ファイルは、次に実際のエンドースメント証明書を作成するために使用されます、必要に応じて名前を変更できます。
以下のOpenSSLコマンドでは、-subjコマンドラインパラメータを実際の組織に固有の情報に更新して反映する必要があります。これらの情報が含まれていない場合、OpenSSLはプロンプトを表示します。この情報はファームウェアの将来のバージョンでユーザーと管理者に報告されるので、正しい情報にしておく必要があります。
openssl req -x509 -nodes -newkey rsa:2048 -keyout LAK.pem -out LAK.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Konan-ku/O=Company/OU=Org/CN=www.example.com“
1-6.自己署名証明書をPKCS#12 pfxフォーマットに変換
以下のOpenSSLコマンドでは、証明書をパスワード“test”で保護します。-passoutコマンドラインパラメータを実際に証明書に設定するパスワードに変更する必要があります。パスワードを設定しない場合は-passout以降は省いてください。
openssl pkcs12 -inkey LAK.pem -in LAK.crt -export -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -out LAK.pfx -name "'EBAM Local Access Key Certificate" -passout pass:test
注記:3つの.pfx証明書が作成されたら、その他のすべての一時ファイル(.pemと.crt)は必要ありませんので削除してください。
モダンブラウザ(Microsoft Edge、Google Chrome、Mozilla Firefoxなど)でhttps://admin.hp.com にアクセスして「Get Started」をクリックします。
Intuneの管理者権限のあるAzure ADアカウントでサインインします。組織のAzure ADのポリシーに応じて多要素認証が求められます。初回サインインの際には以下のアクセス許可を要求するMicrosoftのダイアログが表示されます。
「組織の代理として同意する」にチェックを付けます。
「承諾」をクリックします。
サインインが完了するとHP Connect for MEMのHomeタブ画面が表示されます。
3-1.Secure Platform Management用のシークレットの作成
HP Connect for MEMのHomeタブ画面またはPoliciesタブ画面で「New Secret」をクリックします。SECRET SETTINGS画面では、以下の情報を入力または選択し、「Save」をクリックします。
3-2.Local Access用のシークレットの作成
HP Connect for MEMのHomeタブ画面またはPoliciesタブ画面で「New Secret」をクリックします。SECRET SETTINGS画面では、以下の情報を入力または選択し、「Save」をクリックします。
HP Connect for MEMのHomeタブ画面またはPoliciesタブ画面で「New Policy」をクリックします。Policy Information画面では、以下の情報を入力または選択して「Next」をクリックします。
Policy Settings画面では、以下の情報を入力または選択して「Save」をクリックします。
HP Sure Adminのポリシーが作成され、引き続き作成したポリシーをAzure ADグループに公開するかどうかを確認するダイアログが表示されますので、「Apply」をクリックします。
注記:ここで「Close」をクリックすると作成したポリシーをAzure ADグループに公開せずにPoliciesタブ画面に戻ります。その場合はPolicy Listからポリシーを選択して「Add or Remove Groups」をクリックすればAzure ADグループにポリシーを公開できます。
Select Device Groups画面では作成したポリシーを公開するAzure ADグループを選択し「Next」をクリックします。
選択したAzure ADグループへのポリシーの公開を確認するダイアログが表示されますので「Apply」をクリックします。
ポリシー公開の通知が画面右下に表示されます。HP Connect for MEMのPolicy List画面ではポリシー名HP Sure AdminがIn Use(使用中)となっていることが確認できます。
HP Sure Adminのポリシーが適用された各PCではPCの起動時にHP Sure Adminを構成するために必要な、Secure Platform Managementを有効化するためのユーザー操作が求められます。PCの起動時に画面に表示される4桁の数字(パスコード)を入力するとSecure Platform Managementが有効になります。
HP Sure Adminが有効になると、BIOS F10セットアップ画面に入る前にHP Sure Adminによる認証が求められるようになります。
6-1.組織のAzure AD管理センターにサインインして、エンタープライズアプリケーションを開きます。
6-2.「HP MEM Connection Services」をクリックして、「ユーザーとグループの割り当て」をクリックします。
6-3.「ユーザーまたはグループの追加」をクリックします。
6-4.HP Sure Adminのローカルアクセス許可を与えるユーザーを選択し、ロールに「HP Sure Admin Local Access All Directory」を選択し、「割り当て」をクリックします。
6-5.追加したAzure ADユーザー(表示名:日本HPデモ用アカウント1)にHP Sure Adminのローカルアクセスが許可されます。
7-1.スマートフォンでPlayStoreやAppStoreにアクセスしてHP Sure Adminアプリをインストールします。
7-2.HP Sure Adminスマートフォンアプリを起動し、「QRコードのスキャン」をタップします。
7-3.HP Sure Adminが有効化されたPCでBIOS F10セットアップ画面に入る際に表示されるBIOS管理者資格情報画面のQRコードをHP Sure Adminスマートフォンアプリで読み取ります。
7-4.QRコードをスキャンすると、HP Sure AdminスマートフォンアプリがKMSサーバーに接続します。
7-5.Microsoftの認証画面が表示されるので、HP Sure Adminローカルアクセスを許可したAzure ADユーザーでサインインします。
7-6.HP Sure Adminスマートフォンアプリに6桁のPINが表示されるので、BIOS F10セットアップ画面に入りたいPCのBIOS管理者資格情報のレスポンスコードとしてその6桁のPINを入力します。
Author : 日本HP