今回もまたPCの話だけです。
先日自家用PC5号機組み立てましたが、昨夕から残作業でございました。
☆セキュアPC化
Windowsも10になると、ウイルスだランサムだと悪戯されまくりでは使い物にならないので、PCのハードとソフトとファームが共同で悪戯防止策作っております。市販のメーカー製品で最初っからWindows10導入済みビジネス用はこれが事実上標準。
ところが今回の自家用PC5号機はゲーム用途にらんだマザーボードなので、セキュアよりゲームパフォーマンス優先の構成とディフォルト設定。これをセキュアPCに設定しなおします。
【1.TPM追加導入】
Trusted Platform Moduleの現物はこんなもの。
ちっさい部品です。
これ何をやる物かというと、鍵箱の鍵(KEK:鍵暗号化鍵)を入れるためのモノです。そして入れたKEKは絶対に外から読めない(コピーも出来ない)構造になってます。
Win10もちゃんと認識
セキュリティ技術の根源は暗号化で、その暗号化は鍵(実際は8~512文字分のビット)がバレないことで保障するので、鍵の保管場所が極めて重要。とわ言っても鍵もデータに過ぎないで、電源切っても消えない所に記録するしかない。その記録場所がHDD/SDDでは盗まれた時に秘密守れないので、専用のチップとしてTPMが必要になります。同じことをCPUがやるのがインテルならPTT。ワタクシは半分趣味なのでTPM導入しました。
【2.bitlock適用】
Windows 10 proは、HDD/SDDの暗号化にbitlockとNTFS暗号化ファイルシステムが使えます。
お勧めは、少なくともCドライブはbitlockする事。Cドライブにはwindowsが様々の一時的ファイルを作りその中に個人的な情報が山ほどあるので、丸ごと暗号化する方が安全です。NFTS暗号化の鍵もCドライブにあるのが標準ですし。
【3.拡張ハードウエアセキュリティ対応】
・TPM 2.0
・Secure boot enabled
・DEP(データ実行阻止)
・UEFI MAT(CSM不可)
要件これだけなんですけと、結構悩みました。結局はDEPと言うやつでUEFI(昔で言うBIOS)設定のIntel VTの設定忘れ。VTってのはプロセッサの仮想PC支援ハードウエア機構の事。
===
☆NAS集約
一年ほど3TB RAID-1 NASと3TB非RAIDのNASを使ってましたが、自作5号機組み立ての予算余ったので、6TB RAID-1に集約しました。
【赤青の違い】
実はこの青6TBのお値段は一個税込み1万円ちょっと。赤の6TBだとざっくり2万円と倍。何が違うのかというと青はデスクトップPC用で赤が廉価版NAS用。具体的に何が違うのかというと、青はディスクの反応が早い代わりに発熱しやすい。赤はディスクの反応がやや遅い代わりに発熱しにくい。
NASはネットワーク経由なので、最初の反応が多少遅くても気にならないが、ちっさい箱にミッシリ詰め込むので熱処理が大変という特徴に合わせてあります。信頼性も高いはずですが。
RAID-1の自家用NASで事実上ビデオサーバー(ヘッドはあまり動かない=発熱少ない)用なので、今回はお安く青玉で容量拡大しました。
===
【DISK玉突き】
そうすると赤の3TBが2個余るので、これを自家用PC5号機に組み込んで大容量データ専用のRAIDを構成。入れるのは大体ドラレコ動画になるでしょう。
===
【ガラクタ片付け】
この際ついでに過去PCのガラクタ捨てるかと一念発起。大変だったのはHDDのセキュリティ処理でした。
・40GB 3個(IDE)
・250GB 1個
・500GB 3個
・2TB 1個
以上8個を処理して廃棄可能にしまして、自作4号機までの残骸とまとめてケース2台に仮組し、リサイクル準備まで完了。
===
金曜日夕方から始めて、夜は寝ましたが結局土曜日一日これやっとりまして、あ~くたびれた。
でわ。
*車SNSなのでIT的に細かい所はざっくり書いてますが、ご質問あればコメントなどでどうぞ。
Posted at 2020/06/14 02:31:24 | |
トラックバック(0) |
ICT | 日記
Windows11のTPM 
TPMはTrusted Platform Moduleの事で、現物はこんな部品で実際はLSI。
外出自粛のおかげ様で、積年の課題であった室内システム構成図が出来ましてw
お家のテレビ接続専用ノートPCが8年モノになって、液晶がもうダメだ。
