endpoint security e80 - ネットワーク、データ・セン … security e80.50 | 4...
TRANSCRIPT
22 June 2016
管理ガイド(FDEおよびME)
Endpoint Security
E80.50
Cla
ssif
ica
tio
n:
[Pro
tect
ed]
Endpoint Security E80.50 | 2
CHAPTER 1
Full Disk Encryption
このセクションの内容
Full Disk Encryption の概要 ...................................................................................................2
Full Disk Encryption ルールのアクション ...............................................................................2
Full Disk Encryption のインストールおよび導入 ....................................................................9
Full Disk Encryption のリカバリ ............................................................................................11
Full Disk Encryption のアップグレード .................................................................................13
Full Disk Encryption のトラブルシューティング ....................................................................13
Check Point Full Disk Encryption は、最高レベルのデータ・セキュリティを実現するものです。Full Disk
Encryption には起動時の保護や起動前認証機能、強力な暗号化機能が備えられており、権限を持つ
ユーザのみがデスクトップやラップトップ PCに格納されているデータにアクセスできるよう、安全に保護し
ます。
Full Disk Encryption の概要 Full Disk Encryptionには、2 つの主要コンポーネントがあります。
ディスクの暗号化 - ハード・ドライブのすべてのボリュームと非表示ボリュームが自動的にフル
暗号化されます。これには、システム・ファイルや一時ファイル、さらに削除されたファイルも含
まれます。暗号化はバックグラウンドで目立ったパフォーマンスの低下もなく行われるので、
ユーザのダウンタイムはありません。暗号化されたディスクには、未認証のユーザはアクセスで
きません。
起動前保護 - ユーザは、コンピュータが立ち上がる前に、起動前で自分のコンピュータを認証
する必要があります。これによって、アクセスを許可されていない人物が、オペレーティング・シ
ステムのレベルで認証スキップ・ツールを使用したり、別の起動メディアで起動保護をスキップ
したりしてオペレーティング・システムにアクセスすることを防ぐことができます。
Full Disk Encryptionの設定は、SmartEndpointの[ポリシー]タブ>[Full Disk Encryption]ルールで行いま
す。
OneCheck(ユーザ認証)ポリシーの設定も、[ポリシー]タブ>[ユーザ認証]ルールで必ず行ってください。
起動前に関する多くの設定は、ここで指定します。
Full Disk Encryption ルールのアクション ルール内の各アクションに対して、そのアクションの動作を定義するオプションを選択します。事前に定義
されているアクションのオプションを選択するか、[新規]を選択してカスタムのアクションのオプションを定
義することができます。
アクションを右クリックし、[編集]または[プロパティの編集]を選択してアクションの動作を変更します。
ポリシーのルールへの変更は、ポリシーのインストール後にのみ適用されます。
ディスクの暗号化
以下のアクションでは、ハード・ディスクのボリュームを暗号化するかどうかを定義します。
Endpoint Security E80.50 | 3
アクション 説明
すべてのローカル・ハード・ディ
スクを暗号化
ハード・ディスクのすべてのボリュームが自動的にフル暗号化されま
す。暗号化されたディスクには、許可されたユーザのみがアクセスで
きます。
ローカル・ハード・ディスクを暗
号化しない – 起動前認証に必
要な最低ボリュームのみ暗号化
起動前認証に予約されている小さなセクションを除き、ハード・ディスク
は暗号化されません。
アクションをダブルクリックして、プロパティを編集します。
ボリュームの暗号化アルゴリズム:
Full Disk Encryptionでは、以下の暗号化アルゴリズムを使用できます。
AES(256 ビット) - デフォルト
Blowfish(256 ビット)
Cast(128 ビット)
3DES(168 ビット)
暗号化されたディスクとボリューム:
デフォルトでは、インストール後に検出されるすべてのドライブと、表示されるすべてのディスク・ボ
リュームが暗号化されます。IRRTデバイスは暗号化されません。
暗号化されるボリュームとデバイスを変更するには、以下のオプションを選択できます。
起動前保護で最小限の暗号化のみを行うには、[起動前の暗号化に必要な最低ボリューム]を
選択します。
暗号化するドライブを明示的に選択するには[カスタム・ボリューム暗号化]を選択して[ボリューム
の設定]をクリックします。
コンピュータへの Full Disk Encryptionの最初のインストールより後に発見されたボリュームを暗
号化するには、[初期インストール後に検出されたボリュームの暗号化を許可]を選択します。
IRRTデバイスを暗号化するには、[IRRTデバイスの保護/暗号化を許可]を選択します。
自己暗号化ドライブ(SED)を使用するには、[SED(自己暗号化ディスク)のハードウェア機能を
許可]を選択します。
自己暗号化ドライブは、暗号化と復号が直ちに行われます。
ディスクの暗号化のカスタム設定
暗号化されたディスクとボリュームの設定で[カスタム・ボリューム暗号化]を選択すると、各ボリュームの
暗号化と起動前の設定をカスタマイズできます。
各ボリュームの設定をカスタマイズするには
1. [カスタム・ボリューム暗号化の設定]ウィンドウで、[追加]をクリックします。
2. 設定するディスク番号とボリューム番号を選択します。
3. ボリュームで起動前を有効にするには、[起動前]を選択します。
4. ボリュームを暗号化するには、[暗号化]をクリックします。
5. [OK]をクリックします。
Endpoint Security E80.50 | 4
オペレーティング・システムより前(起動前)の認証
以下のアクションでは、オペレーティング・システムを読み込む前に起動前でユーザが認証を行う必要が
あるかどうかを定義します。起動前認証メソッドや、ユーザ認証に関する他の設定は、OneCheck ユーザ
設定ルールで設定します。
注 - パスワードの同期は、起動前認証が有効にされている場合にのみ機能します。
アクション 説明
OSが読み込まれる前にユーザ
認証する(起動前認証)
ユーザは、オペレーティング・システムが読み込まれる前に、起動前で
自分のコンピュータを認証する必要があります。
OSが読み込まれる前にユーザ
認証しない(起動前認証をオフ)
ユーザは、OSレベルでのみ、自分のコンピュータを認証します。
注: この場合、セキュリティは低くなります。セキュリティ問題を軽減す
るために[1つ以上の条件が一致する場合は起動前認証を必ず実行]
で設定を行ってください。
アクションをダブルクリックして、プロパティを編集します。
[OSが読み込まれる前にユーザ認証する]を選択した場合は、特定の状況で起動前をスキップすることが
できます。
LAN接続の場合は起動前認証をスキップ- Endpoint Securityサーバにイーサネット経由で接続
されているコンピュータでは、起動前認証は不要です。クライアントは起動前認証なしで、ネット
ワーク経由で安全に自動認証されます。自動ネットワーク認証が不可能な場合は、手動の起動
前認証が必要になります。このオプションは、UEFI コンピュータとMac コンピュータでサポートさ
れています。リリース・ノート
(http://supportcontent.checkpoint.com/documentation_download?ID=24827)に記載されてい
る LANのロック解除の要件を参照してください。
OSにログイン後は起動前ユーザのロックを解除- ユーザが LANから切断されていて、(不正なロ
グオンが原因で)起動前からロックアウトされている場合、LANに次回接続したときに、ログオンが
可能になります。オペレーティング・システムにログオンすると、起動前ロックが解除されます。
テンポラリ起動前認証スキップ(Wake on LAN)設定 - メンテナンスの目的などで起動前を一時
的にスキップする場合は、「テンポラリ起動前認証スキップ」(4 ページ)を参照してください。 テ
ンポラリ起動前認証スキップは、セキュリティを低下させます。
[OSが読み込まれる前にユーザ認証しない(起動前認証をオフ)]を選択すると、ユーザの操作は簡単に
なりますが、セキュリティは低下します。起動前認証スキップの代わりに、シングル・サインオン(SSO)と起
動前認証を組み合わせることができます。
[OSが読み込まれる前にユーザ認証しない(起動前認証をオフ)]を選択した場合は、状況に応じて起動
前認証を必須にすることをお勧めします。「起動前の一時的な必須化」(5ページ)を参照してください。
テンポラリ起動前認証スキップ
テンポラリ起動前認証スキップは、メンテナンスの目的などで管理者が起動前保護を一時的に無効にで
きるものです。以前はWake on LAN(WOL)と呼ばれていました。
テンポラリ起動前認証スキップの有効化と無効化は、コンピュータまたはグループ・オブジェクトから、コン
ピュータ、グループ、OUに対して行います。Full Disk Encryptionポリシーの起動前設定により、コンピュー
タでテンポラリ起動前認証スキップを有効にした際の動作が決まります。
テンポラリ起動前認証スキップは、セキュリティを低下させます。このため、必要な場合にのみ、必要な時
間だけ使用してください。Full Disk Encryptionポリシーの設定により、テンポラリ起動前認証スキップが自
動的にオフになるタイミングと、起動前保護が再び有効になるタイミングが決まります。
Endpoint Security E80.50 | 5
テンポラリ起動前認証スキップを実行するには:
1. [コンピュータの詳細]または[ノードの詳細]ウィンドウで、[Security Blades]>[Full Disk Encryption]を
選択します。もしくは、ノードを右クリックして[Full Disk Encryption]>[起動前保護を無効にする]を選
択します。
2. [テンポラリ起動前認証スキップ]をクリックします。
3. [はい]をクリックします。
[起動前認証ポリシー設定に戻す]をクリックする、または[テンポラリ起動前認証スキップ]設定の条件が
満たされると、起動前認証は再び有効になります。
[テンポラリ起動前認証スキップ]を設定するには
1. ポリシーの Full Disk Encryption ルールで、[OSが読み込まれる前にユーザ認証する]アクションを右
クリックし、[プロパティの編集]を選択します。
2. [テンポラリ起動前認証スキップ]をクリックします。 テンポラリ起動前認証スキップ設定が開きます。
3. 以下のオプションを設定します。
オプション 説明
テンポラリ起動前認証ス
キップを無効にするまで
の自動ログイン回数
テンポラリ起動前認証スキップ機能を使用できる回数を入力します。指定した
ログイン回数に達すると、テンポラリ起動前認証スキップがクライアントで無
効になり、起動前環境が表示されます。
テンポラリ起動前認証ス
キップを無効にするまで
の日数
テンポラリ起動前認証スキップ機能を有効にする日数を入力します。指定し
た日数を過ぎると、テンポラリ起動前認証スキップがクライアントで無効にな
り、起動前環境が表示されます。起動前を長期間無効にしてセキュリティを低
下させないように、少ない日数を選択してください。
自動ログインの開始
(分)
待ち時間を分単位で入力します。指定した時間が過ぎると、テンポラリ起動前
認証スキップによりユーザがWindows環境にログインします。待機中は、起
動前のログイン・ウィンドウが表示されます。Windows環境にユーザが手動で
ログインすることも可能です。
OSログインを許可 テンポラリ起動前認証スキップ・ログイン後にユーザが OSにログインできるよ
うにします。
注 - 起動前環境でマウスを動かしたりキーを押したりすると、テンポラリ起動前認証スキッ
プ機能は無効になります。
起動前の一時的な必須化
起動前認証を無効にすると、ユーザは Windows ログインに直接進むことができます。この場合、コン
ピュータのセキュリティが低下するため、状況に応じて、起動前認証を必須にすることをお勧めします。
起動前を一時的に必須にするには
1. ポリシーの Full Disk Encryption ルールで、[OSが読み込まれる前にユーザ認証しない]アクションを
右クリックし、[プロパティの編集]を選択します。
2. 以下のオプションを[1つ以上の条件が一致する場合は起動前認証を必ず実行]で設定します。
Endpoint Security E80.50 | 6
オプション 説明
今まで X回以上のログインに
失敗
ここで指定された回数を超えてユーザがログインの試行に失敗すると、
起動前認証が必須になります。コンピュータが自動的に再起動し、ユー
ザは起動前認証が必要になります。
ハード・ディスクは元の
コンピュータで使用されてい
ない(ハードウェア・ハッシュ)
これを選択すると、BIOSおよび CPUで見つかった識別データからのハー
ドウェア・ハッシュがクライアントで生成されます。もしハード・ドライブが
盗難されて別のコンピュータで使用されると、ハッシュが正しくないため、
起動前認証が必須になります。コンピュータが自動的に再起動し、ユー
ザは起動前認証が必要になります。
注意:BIOS ファームウェアのアップグレードやハードウェアの交換を行う
前に、このオプションをオフにしてください。アップグレード後、ハードウェ
ア・ハッシュが新しい設定と一致するよう自動的にアップデートされます。
コンピュータから設定した場
所に到達できない
クライアントが正しいネットワークに接続されていることを確認するため
に、定義された数の IPアドレスへの pingがコンピュータの起動中に行わ
れます。
どの IPアドレスからも適切な時間内に応答がない場合、コンピュータは
信頼済みネットワークから切断されている可能性があり、起動前が必須
になります。コンピュータが自動的に再起動し、ユーザは起動前認証が
必要になります。
起動前認証を要求する前に
次のメッセージを表示
設定した条件が満たされて起動前が必須となった場合にユーザに表示
されるメッセージを入力します。たとえば、起動前ウィンドウが開いたらヘ
ルプ・デスクに連絡するようにといった指示を入力します。
注 - ネットワークの場所による位置の認識など、動的イベントが失敗する場合は、コンピュー
タは設定済みの場所にアクセスできなくなります。
起動前の詳細設定
次の起動前環境の権限は、Full Disk Encryptionポリシーのルールの起動前保護アクションのプロパティで
設定できます。ハードウェア関連の設定は、BIOS ファームウェアを搭載したシステムのみに適用され、
UEFI搭載のシステムには影響を与えません。
注 - これらの権限は、クライアント・コンピュータの起動前のカスタマイズ・メニューにもあり
ます。起動前のカスタマイズ・メニューを開くには
BIOSシステム - 起動時に Full Disk Encryption が読み込まれている間、クライアント・コンピュータで両方
の Shift キーを押します。
UEFIシステム - コンピュータのキーボードで Ctrlキーとスペース・キーを押します。
権限 注
起動前環境でUSBデバイス
を有効にする
(BIOSのみ)
USBポートに接続するデバイスを使用する場合に選択します。USBスマート
カードを使用する場合は、このオプションをオンにする必要があります。
USBスマートカードを使用しない場合でも、起動前時にマウスやキーボード
を使用するために、このオプションをオンにすることが必要な場合がありま
す。
Endpoint Security E80.50 | 7
権限 注
PCMCIAを有効にする
(BIOSのみ)
PCMCIAスマートカード・リーダを有効にします。これを必要とするスマート
カードを使用する場合は、有効になっていることを確認してください。
起動前環境でマウスを有効
にする
(BIOSのみ)
起動前環境でマウスの使用を有効にします。
起動前環境で低解像度グ
ラフィック・モードを許可
(BIOSのみ)
低解像度グラフィック・モードで起動前環境を表示する場合に選択します。
再起動までに許可する最大
ログイン失敗回数
有効な場合は、再起動までに許可される最大ログオン失敗回数
を指定します。
この設定はスマートカードには適用されません。スマートカードに
は独自のログオン失敗回数のしきい値が設定されています。
ログイン成功時の確認テキ
ストの表示時間
ユーザがログオンに成功した際、コンピュータの起動プロセスを一時的に
停止してユーザに成功の通知を表示する場合に選択します。停止する時
間は、[秒]フィールドで指定します。
ハイバネーションとクラッシュ・
ダンプの許可
クライアントの休止状態およびクライアントによるメモリ・ダンプの書き込み
を許可する場合に選択します。これにより、コンピュータの休止状態時に
Full Disk Encryption保護が有効になります。
注: このオプションを適用するには、Windowsの休止機能が有効になって
いる必要があります。Full Disk Encryptionでコンピュータが休止状態になる
前に、暗号化対象ボリュームをすべて暗号化する必要があります。
リモート・ヘルプ ロックアウトされているユーザに、Full Disk Encryptionで保護されている自
分のコンピュータにリモート ヘルプを使用してアクセスすることを許可する
場合に選択します。
暗号化前のユーザ認証
Full Disk Encryptionポリシーの設定では、ユーザの取得はデフォルトで有効になっています。ユーザの取
得が無効になっている場合は、暗号化を開始する前に、管理者は各クライアント・コンピュータに少なくと
も 1つの起動前ユーザ・アカウントを割り当てる必要があります。
ユーザの取得が有効になっている場合、起動前認証でユーザ・アカウントを取得できるようにするために、
ユーザはログアウトしてから再びログインするよう求められます。暗号化を開始する前に、1 人以上の
ユーザの取得を必須にすることができます。
また、起動前認証がすでに有効にされた後に、ユーザの取得を続行するようクライアントを設定すること
も可能です。これは、1 台のクライアント・コンピュータが多数のユーザに使用される場合に便利であり、
「移動プロファイル」とも呼ばれます。
Endpoint Security E80.50 | 8
アクション 説明
自動的にログイン・ユーザを
確認して認証する
ハード・ディスクの暗号化の前に、自分のローカル・コンピュータにアクセ
スするユーザを自動的に登録し、暗号化の後に、自分のコンピュータへの
アクセスを許可します。
注 - 暗号化されたコンピュータへのアクセスをユーザに手動で許可する
ことは、随時可能です。
暗号化コンピュータにアクセ
スするユーザを手動で認証
管理者は、暗号化の後に、ユーザが自分のコンピュータにアクセスするこ
とを手動で許可する必要があります。
アクションをダブルクリックして、プロパティを編集します。
通常は、1 台のコンピュータのユーザは 1 人であり、1 人のユーザの取得のみが必要です。1 台のコン
ピュータに複数のユーザがいる場合は、すべてのユーザがコンピュータにログオンしていると、Full Disk
Encryptionでユーザ情報の収集とユーザの取得を効率的に行うことができます。
[自動的にログイン・ユーザを確認して認証する]を有効にする前に、クライアントがデバイスおよびユー
ザ・ポリシーをサーバから取得できる状態であることを確認してください。
[自動的にログイン・ユーザを確認して認証する]を設定するには
以下のいずれかの条件でユーザの取得を無効にして起動前認証を開始 - Endpoint Securityは、
ユーザの取得が完了する前に、取得したユーザに起動前の実施を開始できます。これが開始
されるタイミングを以下から選択します。
取得プロセスで Xユーザの情報を取得 - 取得したユーザに起動前を実施するまでに必要なユー
ザの数を選択します。
「3」と入力すると、3 人のユーザがコンピュータにログオンするまで、暗号化は開始されません。
最低1人のユーザ情報をX日で取得 - 取得したユーザに起動前を実施するまでに待機する期間
を選択します。
この設定により、ユーザの取得をクライアントに対して有効にする日数が制限されます。期間の終
了時に 1 人のユーザが取得されている場合、起動前認証が適用され暗号化を開始できます。
ユーザが 1人も取得されていない場合、ユーザの取得が続行されます。
いずれかの条件が満たされた後に、取得したユーザに対して起動前が実施されます。
起動前認証を実施後にユーザの取得を継続 - 起動前認証は、取得されたユーザに対して有
効になり、取得されていないユーザに対してはユーザの取得が続行されます。
次の条件で取得後にユーザの取得を停止 - ユーザの取得は、選択した数の追加ユーザが取得
されるまで続行されます。
注 - 期間を無制限に設定してもクライアントでユーザ取得ができない場合などで、取得プ
ロセスを終了する必要があるときは、自動取得を無効にしたポリシーを新しく定義します。
OneCheckログオン
OneCheck Logonは、以下の認証を行う際、一度の認証でログオンできるようにするシングル・サインオン・
ソリューションです。
Full Disk Encryption
DLP
Windows
VPN
Endpoint Security E80.50 | 9
OneCheck Logonが有効な場合、通常のWindows認証ウィンドウと同様の異なるログオン・ウィンドウが開
きます。ログオンの認証情報は、内部に安全に保存されます。
以下のアクションでは、OneCheck Logonを有効にするかどうかを定義します。
アクション 説明
画面ロックの認証を有効に
する (OneCheck)
ユーザは 1度の認証でオペレーティング・システム、Full Disk Encryption、
および他の Endpoint SecurityBladeにログオンできます。
ネイティブ OSのサインオン
を使用
固有の OSログオン・メカニズムを使用します。OneCheck ユーザ設定で
OneCheckではなくシングル・サインオンを有効にすると、ログオンを OS と
Full Disk Encryptionに適用することができます。
アクションをダブルクリックして、プロパティを編集します。
OneCheck Logon のプロパティを設定するには
1. [画面ロックの認証を有効にする]を選択します。
2. オプション:Check Point Endpoint Security スクリーン・セーバを設定します。
スクリーン・セーバは、クライアントに Full Disk Encryptionポリシーがインストールされるまでは有
効になりません。
Check Point Endpoint Security スクリーン・セーバ・オプションを選択したら、以下を入力します。
スクリーン・セーバの起動時に表示されるテキスト
スクリーン・セーバが起動するまでのクライアントのアイドル時間(分)
3. オプション:[起動前認証で許可されたユーザだけが OSにログインできるよう制限]を選択します。選
択すると、オペレーティング・システムにログインできるのが、そのコンピュータ上で起動前認証を行う
ことができるユーザのみになります。
Full Disk Encryption のインストールおよび導入 Full Disk Encryptionが入ったパッケージがクライアントに正しくインストールされた後、Full Disk Encryption
ポリシーが実施される前に多くの要件を満たす必要があります。これらの要件が満たされるまで、起動前
は開始されません。インストールからポリシー実施までの期間を、「Full Disk Encryption導入フェーズ」と呼
びます。
導入フェーズから Full Disk Encryptionポリシー実施へ進むためには、以下の要件を満たす必要がありま
す。
クライアントとサーバ間で通信がある。
サーバからクライアントに Full Disk Encryptionポリシーとユーザ・ポリシーが送られている。
設定済みのポリシーに応じてユーザが取得されている。
1 つ以上のユーザ・アカウントが設定されている。
クライアントからサーバにリカバリ・ファイルが送信されている。
設定に応じて、必要なシステム領域が作成され、ブート・レコードがアップデートされている(起
動前のアクティブ化も含む)。
デバイスにクライアント要件または Full Disk Encryptionがある。
Endpoint Security E80.50 | 10
クライアントとサーバ間の通信が確立されていて、かつクライアント要件を満たしている場合、これらすべ
ての要件は自動的に確立されます。これらすべての要件が満たされないと、コンピュータは Full Disk
Encryptionで保護されず、起動前は開始しません。
Full Disk Encryption を導入するためのクライアント要件
クライアントの要件は以下のとおりです。
クライアントのシステム・ボリュームに 32 MBの連続した空き容量
注 - クライアントに Full Disk Encryption Blade を導入する間に、Full Disk Encryptionサービ
スによって、ボリュームが自動的にデフラグされて32 MBの連続した空き容量が作成されま
す。また、ディスクの暗号化中はWindowsの休止機能が一時停止されます。
クライアントには以下のものが含まれていてはいけません。
RAID
ストライプ・セットまたはボリューム・セットの一部となっているパーティション
圧縮されているルート・ディレクトリ(Windows XP)。ただし、ルート・ディレクトリのサブディレクト
リは圧縮されていてもかまいません。
クライアントへの Full Disk Encryption の導入の完了
Full Disk Encryptionの導入時、ユーザはコンピュータを2度再起動する必要があります。1度目はFull Disk
Encryptionでハード・ドライブを暗号化する前に起動前が実行中かどうかの確認、2度目は認証情報の検
証目的で再起動します。
導入フェーズの段階
導入フェーズのステータスは、以下で確認できます。
クライアントの Endpoint Security メイン・ページ- Full Disk Encryptionステータス。
SmartEndpoint - [コンピュータの詳細]>[一般的な詳細]。Full Disk Encryptionの[ブレード・ス
テータス]を確認します。
デバッグ・ログ
クライアントの Endpoint Security メイン・ページに表示されるステータスは、以下のとおりです。
ポリシーの待機中 – サーバからポリシーのダウンロードを待機している状態です。
ユーザの取得 – Full Disk EncryptionがインストールされたコンピュータのWindowsにユーザが
ログオンして、ユーザが取得されている状態です。取得する必要があるユーザの数は、設定に
より異なります。 ユーザをすべて取得し終わると、Full Disk Encryptionがアクティブになります。
セットアップの確認 – すべての設定が適切かどうか、ユーザの取得が正しく行われ、かつパス
ワード・ポリシーを満たしているかどうかクライアントで検証されている状態です。
リカバリ・ファイルの送信 - クライアントからサーバへリカバリ・ファイルを送っている状態です。
リカバリ・メディアを使用する権限を持つコンピュータのユーザも含まれています。
再起動の待機中 – クライアントの再起動が必要な状態です。再起動すると、起動前が表示さ
れるようになります。ユーザには、Windows の認証情報でログインするようメッセージが表示さ
れます。その後、ポリシーに従って Full Disk Encryptionによるボリュームの暗号化が始まりま
す。
暗号化中 – Full Disk Encryptionでボリュームの暗号化をしている状態です。
Endpoint Security E80.50 | 11
Full Disk Encryption の主要コンポーネント
コンポーネント名 ファイル名 説明
Full Disk Encryption
サービス
FDE_srv.exe Full Disk Encryptionサービスには、現在の設定データが含ま
れており、バックグラウンドで暗号化または復号を開始しま
す。Full Disk Encryption サービスでは、ボリューム・ブート・レ
コードを交換することで、暗号化するボリュームを識別します。
Crypto core ccore32.bin Crypto coreには暗号化アルゴリズムが含まれています。
フィルタ・ドライバ Prot_2k.sys 暗号化用の Full Disk Encryption ドライバです。File Allocation
Table(FAT)は、データが保存されるセクタの場所をドライバに
提供します。選択したディスクの全バイトが Full Disk
Encryptionで暗号化されます。選択したボリュームの最初のセ
クタの暗号化がバックグラウンドで開始され、最後のセクタま
で連続して実行されます。オペレーティング・システム全体が
暗号化されます。
Full Disk Encryption のリカバリ システム障害によってクライアント・コンピュータでオペレーティング・システムが立ち上がらない場合、Full
Disk Encryptionには以下のオプションがあります。
リカバリ・メディアによる完全リカバリ 『11 ページの 』 - 障害が発生したディスクを復号します。
これには、データへの迅速なアクセスを可能にする Full Disk Encryption ドライブ・スレービング・
ユーティリティおよびダイナミック・マウント・ユーティリティよりも長い時間がかかります。
ダイナミック・マウント・ユーティリティ 『13 ページの 』 - 障害が発生した暗号化されているディ
スク上の指定のファイルおよびフォルダにアクセスする場合に使用します。ダイナミック・マウン
ト・ユーティリティ・アプリケーションが含まれているWinPE CD/DVD メディアを作成します。この
WinPE CD/DVDメディアを、障害が発生した暗号化されているコンピュータで起動します。ユーザ
は、ダイナミック・マウント・ユーティリティで認証を行う場合、暗号化されたシステムからファイル
とフォルダを抽出できます。
リカバリ・メディアによる完全リカバリ
システム障害によってオペレーティング・システムがクライアント・コンピュータ上で起動できない場合、Full
Disk Encryptionのリカバリ・メディアを使用してコンピュータの復号とデータのリカバリを行うことができます。
リカバリ・ファイルは最初の導入時にクライアント・コンピュータから Endpoint Security Management Server
に 1 回送られるため、必要なときにリカバリ・メディアを作成することができます。リカバリの後、ファイルは
Full Disk Encryptionがインストールされる前のように復号された状態で復元され、起動前認証を行わずに
オペレーティング・システムが立ち上がります。
リカバリの実行後は、コンピュータに Full Disk Encryption をインストールする必要があります。
リカバリ・メディア:
クライアントにある Full Disk Encryptionデータベースのサブセットのスナップショットです。
リカバリを実行するために必要なデータのみが含まれています。
ボリュームの暗号化/復号が必要な際にアップデートを行います。
ディスクと起動の保護から暗号化のみを解除します。
Windowsのコンポーネントは削除されません。
Endpoint Security E80.50 | 12
元のブート・レコードを復元します。
ユーザは、ユーザ名とパスワードを使用してリカバリ・メディアで認証を行う必要があります。使用する認
証情報には、以下のオプションがあります。
コンピュータに割り当てられていて、[リカバリ・メディアの使用の許可]権限を持っている場合
(OneCheck ユーザ設定ルールの[詳細]>[デフォルトのログイン設定])、ユーザは通常のユー
ザ名とパスワードで認証できます。
リカバリ・メディアを作成するときは、認証できるテンポラリ・ユーザを作成することができます。
この認証情報を持つユーザは、そのリカバリ・メディアに認証を行うことができます。リカバリ・メ
ディアを使用するために、[リカバリ・メディアの使用の許可]権限は必要ありません。 スマート
カード・ユーザは、リカバリにこのオプションを使用する必要があります。
データ・リカバリ・メディアの作成
Full Disk Encryption のリカバリ・メディアを作成し、障害が発生したコンピュータでこれを実行すると、コ
ンピュータを復号できます。リカバリ・メディアは、サーバ上で作成するか、外部ツールで作成します。
メディアは、CD/DVD、USBデバイス、REC ファイルのいずれでも作成できます。
注 - USB フラッシュ・ディスクにリカバリ・メディアを作成すると、デバイスがフォーマットされ
て、保存されている内容がすべて消去されてしまいます。
リカバリ・メディアを Endpoint Security Management サーバから作成するには
1. SmartEndpointで、[ツール]>[暗号化リカバリ・メディア]を選択します。
Full Disk Encryption リカバリ・メディア・ツールのウィンドウが開きます。
2. ナビゲーション・ツリーでフォルダをダブルクリックし、フォルダに含まれているユーザとコンピュータを
表示します。
3. 復元するコンピュータを右クリックして、[暗号化リカバリ・メディア]を選択します。
クライアントからサーバにアップロードされた、最新のリカバリ・データが取得されます。
4. コンピュータに対してリカバリ・メディアを使用する権限を持つユーザが[リカバリを許可されたユーザ]
領域に表示されます。
リカバリを実行するユーザがリストに表示されていれば、次の手順に進みます。
リカバリを実行するユーザがリストに表示されていない場合は、以下を実行します。
(i) [追加]をクリックして、リカバリ・メディアを扱えるテンポラリ・ユーザを作成します。
(ii) 開いたウィンドウで、ファイルにアクセスする際にユーザが使用するユーザ名とパスワードを
追加します。
5. リカバリ・メディアの保存先を選択します。
起動可能な CD/DVDの場合は、ISO ファイルのディレクトリへのパスを入力します。
REC ファイルの場合は、そのファイルのディレクトリへのパスを入力します。
USBデバイスの場合は、リストから対象のドライブを選択します。
6. [メディアの書き込み]をクリックします。
7. リカバリを実行するユーザに、リカバリ・メディア・ファイル/デバイスを渡します。
8. ユーザが以下の情報を知っていることを確認します。
使用するユーザ名とパスワード
CD/USBデバイスを使ったコンピュータの起動方法
Endpoint Security E80.50 | 13
リカバリ・メディアを R77.20以上の管理サーバ上で外部リカバリ・メディア・ツールから作成するに
は
1. Endpoint Security Managementサーバで、次のフォルダに移動します。 C:\Program Files\CheckPoint\Endpoint Security\Full Disk Encryption\
2. UseRec.exe を右クリックして、[Run as > Administrator]を選択します。
3. ツールの指示に従ってリカバリ・メディアを作成します。
データ・リカバリ・メディアの使用
新しく作成した Full Disk Encryption リカバリ・メディアを使用して、障害が発生したコンピュータを復号しま
す。
暗号化されたコンピュータのリカバリを実行するには
1. 障害が発生したコンピュータで、CD/DVD から、もしくは起動可能な USBデバイスから、リカバリ・メディ
アを実行します。
2. リカバリ・コンソール・ログイン・ウィンドウが表示されたら、リカバリ・メディアのユーザの名前とパス
ワードを入力します。
リカバリ・メディアに含まれるパーティション・キーにより、ディスクの復号が行われます。
注 - 復号中はクライアントで他のプログラムを実行することはできません。
ダイナミック・マウント・ユーティリティ
リカバリを実行せずに、Full Disk Encryptionで保護されているコンピュータのハード・ディスク上のデータに
アクセスするには、Full Disk Encryptionのダイナミック・マウント・ユーティリティを使用します。ダイナミッ
ク・マウント・ユーティリティの管理ガイド
(http://supportcontent.checkpoint.com/documentation_download?ID=27183)を参照してください。
Full Disk Encryption のアップグレード Endpoint Securityを前のバージョンの R80、R80.x、または E80.xからアップグレードする場合、Full Disk
Encryptionに対する特別なアクションは必要ありません。「クライアントのアップグレード」にある R80.50へ
のアップグレード手順を実行してください。
アップグレードによるユーザへの影響について
アップグレードによるユーザへの大きな影響はありません。
Full Disk Encryption のトラブルシューティング このセクションでは、基本的なトラブルシューティングについて説明します。
CPinfoの使用
CPinfoを使用して、クライアントの Full Disk Encryption 環境のコンポーネントに関するデータを収集します。
収集したデータは分析するために Check Pointに送信することをお勧めします。
出力フォルダを入力しない場合、クライアントのFull Disk Encryption起動前環境でのコンポーネントに関す
るデータが CPinfoで収集されます。
Endpoint Security E80.50 | 14
CPinfoは、以下が発生した場合に実行します。
Windowsで暗号化または復号が失敗する。
選択したディスクまたはボリュームを暗号化または復号できない。
Full Disk Encryption 関連の問題が発生する。
システム問題やクラッシュが発生する。
CPinfoでは以下の収集を行います。
データ・ディレクトリにあるすべてのファイル
インストールのログ
実行可能プログラムのファイルのバージョンのデータ
Full Disk Encryption のレジストリ値
GinaDll、UpperFilters、ProviderOrder
SMBios構造
インストールされているアプリケーションのリスト
Microsoft Windowsのパーティションのリスト
CPinfo を実行するには
1. 通知領域で、クライアント・アイコンを右クリックします。
2. [概要の表示]を選択します。
3. 右ペインで、[詳細]をクリックします。
4. [テクニカル・サポート用に情報を収集する]をクリックします。
コマンド・プロンプトで CPinfo が開きます。
5. ENTERキーを押して起動します。
情報が収集されます。cab ファイルの場所を示すウィンドウが開きます。
6. いずれかのキーを押すと CPinfoが終了します。
CPinfo を手動で実行するには
1. コマンド・プロンプトを開きます。
2. CPinfo ツールのパスの場所へ移動します(cd ¥path¥)。
3. 以下のように、出力するファイル名とフォルダを指定して CPInfoを実行します。
C:\path\>CPinfo.exe <output cab filename> <output folder name>
例えば、次にように入力します。 C:\path\>CPinfo.exe SR1234 temp
CPInfoアプリケーションによって、指定したフォルダに出力が保存されます。
出力名を指定しないと、出力ファイルは出力フォルダと同じ名前になります。
出力フォルダを指定しない場合、CPinfoPreboot によって、CPInfo ツールがあるディレクトリに出力
ファイルが保存されます。
CPinfoPreboot の使用
CPinfoPreboot は、以下が発生する場合に実行します。
起動前のログオン・ウィンドウにアクセスできない場合
起動前のログオン・ウィンドウにログインできない場合
暗号化または復号を開始できない場合
Endpoint Security E80.50 | 15
システムでクラッシュが起きた場合(Windowsや Full Disk Encryption のクラッシュを含む)
Windowsがクラッシュしてブルー・スクリーンまたはブラック・スクリーンになる場合
Full Disk Encryption がクラッシュしてグリーン・スクリーンまたはレッド・スクリーンになる場合
CPinfoPreboot では以下の収集を実行します。
すべてのディスクおよびボリュームの読み取り可能なログ(scan.log)
各ディスクのマスタ・ブート・レコード
各ボリュームのパーティション・ブート・レコード
それぞれの物理ディスクの最初の 100 セクタ
各ボリュームの最初の 100 セクタ
システム領域のデータ
外部のUSBデバイスを使って起動前データを収集します。デバイスには、少なくとも 128 MBの空き容量と、
出力 cab ファイル用の十分な容量が必要です。 CPinfoPreboot は、Full Disk Encryption フィルタ・ドライバ
で準備した起動メディアでは実行できません。
起動前データを収集するには
1. CPinfoPreboot.exe を外部の USBデバイスにコピーします。
2. USBデバイスからクライアントを起動します。
注 - Microsoft Windowsの起動後は、USBデバイスは自動的に検出されません。USBデバ
イスは、コンピュータを起動している間に接続する必要があります。
3. コマンド・プロンプトを開き、次のように入力します。 <path to CPinfoPreboot> <CPinfoPreboot.exe <output cap filename> <output folder name>
例えば、次にように入力します。 C:\path\>CPinfoPreboot.exe SR1234 temp
4. CPinfoPrebootによって、指定したフォルダに出力ファイルが保存されます。
出力名を指定しないと、出力ファイルは出力フォルダと同じ名前になります。
出力フォルダを指定しない場合、CPinfoPreboot によって、外部メディアの作業ディレクトリに出力
ファイルが保存されます。作業ディレクトリが読み取り専用メディアにある場合、出力フォルダが必
要です。
デバッグ・ログ
デバッグ・ログは、導入フェーズや発生する問題の調査に使用できます。情報は CPinfoprebootに格納さ
れます。分析の依頼時は、CPinfoprebootのすべての結果をテクニカル・サポートに送信してください。
クライアントのデバッグ・ログは dlog1.txt という名前になり、以下の場所にあります。
オペレーティング シ
ステム
ログ・ファイルへのパス
Windows XP C:\Documents and Settings\All Users\Application Data\CheckPoint\Endpoint Security\Full Disk Encryption
Windows Vistaおよび
それ以降
C:\ProgramData\CheckPoint\Endpoint Security\Full Disk Encryption
起動前の問題
マウスまたはキーボードの問題
Endpoint Security E80.50 | 16
起動前にマウスやキーボードに問題が発生した場合は、[Enable USB device in 起動前 environment]の
設定の変更が必要な可能性があります。この設定は、[Full Disk Encryption Policy]>[起動前 Settings]に
あります。コンピュータの起動時に、Full Disk Encryptionが読み込まれている間に両方の Shiftキーを押し
て、起動前のカスタマイズ・メニューからこの設定を変更することも可能です。
最初の起動前のパスワードに関する問題
コンピュータで最初に開く起動前ウィンドウでは、Windowsパスワードを使ってログインするよう、ユーザ
にメッセージが表示されます。Windowsパスワードが起動前に設定された要件を満たしていない場合、認
証は失敗します。
この問題を解決するためには、OneCheck ユーザ設定でパスワードの要件を変更し、Windowsの要件と
一致させます。変更後に、新しい OneCheck ユーザ設定ポリシーをクライアントにインストールします。
スマートカードに関する問題
スマートカードの互換性に関する問題がある場合は、BIOSの[Legacy USB Support]設定を変更します。こ
れが有効にされている場合は無効にし、無効にされている場合は有効にします。
クライアントに UEFIが搭載されている場合は、以下のリリース・ノート
(http://supportcontent.checkpoint.com/documentation_download?ID=24827)に記載されている UEFIの
要件を参照してください。
Full Disk Encryption のログ
Full Disk Encryptionでは、監査ログにクライアント・ログ・モジュールを活用します。ログは、起動前および
Windows環境で作成されます。起動前で作成されたログは、クライアント・ログ・モジュールに転送される
前に Full Disk Encryptionシステム領域でキャッシュされます。 Full Disk Encryptionのログには以下の操
作が記録されます。
ユーザの取得
インストールとアップグレード
ポリシーの変更
動的な暗号化
ユーザ認証/ユーザがロックしたイベント
アップグレードの問題
FDEInsrtallDLL.dll ファイルでは、次のアップグレード・ログが作成されま
す。%ALLUSERSPROFILE%¥Application Data¥Check Point¥Full Disk Encryption¥FDE_dlog.txt. ロ
グ・ファイルで、考えられるインストール・エラーを必ず確認してください。
ログ・ファイルには、推奨される解決策と一緒にWin32 エラー・コードが含まれている場合があ
ります。Win32 エラー・コードのテキストを表示するには、次の HELPMSG コマンドを実行します。 C:\>net helpmsg <errorcode>
Full Disk Encryption 導入フェーズ
ここでは、導入フェーズで発生する可能性のある問題とその原因、問題の解決策を説明します。
問題: 導入がユーザの取得プロセスから進まない
原因と解決策
1. ユーザの取得ポリシーで、複数のユーザがコンピュータにログオンしなければならないと設定されて
いる可能性があります。この場合、以下を実行してみてください。
Endpoint Security E80.50 | 17
ユーザの取得ポリシーを変更する。
複数ユーザにコンピュータにログオンするよう指示し、Full Disk Encryptionで取得できるようにす
る。
ユーザの取得が無効になっている場合、パスワードを設定したユーザが最低1人デバイスに割り当て
られている必要があります。
2. 起動前のパスワードの要件はWindowsのログオン・パスワード要件より条件を低く設定する必要が
あります。Windowsと起動前のパスワード要件が一致していない場合は、起動前のパスワード設定を
変更してください。
3. 必要な接続が確立されていること、すべてのプロセスが実行中であることを確認します。以下を確認
してください。
ネットワーク接続が安定している。
Device Agentが実行中で、サーバに接続されている。
Device Auxiliary Framework が実行中である。
Securityパッケージのキーを確認する。
Securityパッケージのキーを確認するには
1. Regeditを起動します。
2. 次の場所へ移動します。 HKLM\SYSTEM\CurrentControlSet\Control\LSA
3. Securityパッケージのキーが以下のいずれかで起動することを確認します。
eps_kerberos_proxy
eps_msv_proxy
4. デフォルトの Kerberos msv1_0,が含まれている場合は、これを上記のいずれかの正しい値に変更し
ます。
問題:導入が暗号化プロセスから進まない
原因と解決策
暗号化プロセスが 50%で停止している場合は、システム・サービスが実行中であるか確認してみてくださ
い。fde_srv.exe サービスが実行中であることを確認します。実行中でない場合は、手動で開始させます
(Windows タスク・マネージャでサービスを右クリックして[サービスの開始]を選択)。
問題:導入プロセスが遅いまたはハングする
原因と解決策
コンピュータがクライアント要件をすべて満たしているか確認してください。
ディスク・フラグメントやハード・ドライブの破損が Full Disk Encryption の問題を引き起こす可能
性があります。ディスクの最適化ソフトウェアをボリュームで実行し、フラグメントや破損セクタを
修復してみてください。
ネットワーク接続が安定しているか確認してください。
Endpoint Security E80.50 | 18
CHAPTER 2
OneCheck ユーザ設定
このセクションの内容
OneCheck ユーザ設定の概要 .............................................................................................18
OneCheck ユーザ設定ポリシーのアクション.......................................................................18
スマートカード認証を設定する前に ....................................................................................24
ユーザのパスワードの変更 ................................................................................................26
OneCheck ユーザ設定では、Endpoint Security クライアント・コンピュータへのユーザ認証に対する設定を
定義します。
OneCheckユーザ設定の概要 OneCheckユーザ設定には以下が含まれています。
Endpoint Security でユーザが行う認証方法。
Endpoint Security での認証後、ユーザがWindowsにアクセスできるか、または、Windowsにも
ログオンする必要があるか。
ユーザが正しくない認証詳細を入力した場合の処置。
ユーザがコンピュータにアクセスできる回数。
リモート ヘルプが許可されるかどうか。これにより、認証の最大試行回数を超えてコンピュータ
がロックされた場合などに、ユーザが管理者のサポートを受けられます。
[ポリシー]タブ>[ユーザ認証]ルールで、OneCheckユーザ設定設定を設定します。
これらの多くの設定が、Full Disk Encryptionの一部である起動前認証と関連しています Full Disk
Encryptionポリシーの設定も、[ポリシー]タブ>[Full Disk Encryption]ルールで必ず行ってください。
OneCheckユーザ設定ポリシーのアクション ルール内の各アクションに対して、そのアクションの動作を定義するオプションを選択します。事前に定義
されているアクションのオプションを選択するか、[新規]を選択してカスタムのアクションのオプションを定
義することができます。
アクションを右クリックし、[編集]または[プロパティの編集]を選択してアクションの動作を変更します。
ポリシーのルールへの変更は、ポリシーのインストール後にのみ適用されます。
起動前認証メソッド
起動前が Full Disk Encryption の一部としてコンピュータ上で有効である場合、ユーザはコンピュータを起
動する前に、起動前で自分のコンピュータの認証を行う必要があります。ユーザは以下の方法で起動前
の認証を行うことができます。
パスワード - ユーザ名とパスワード。これがデフォルトの方法です。
Windowsパスワードと同じでも、ユーザや管理者により作成されたものでもかまいません。
Endpoint Security E80.50 | 19
スマートカード - 証明書と関連付けた物理的カード。これは、E80.30 以上のクライアントでサポ
ートされています。
ユーザは物理的カード、および関連付けられた証明書を所有しており、スマートカード・ドライバがイン
ストールされている必要があります。
[OneCheckユーザ設定アクション]から、起動前認証メソッドのグローバル設定を行います。
起動前認証のグローバル設定
[OneCheckユーザ設定]ポリシーのルールから、起動前認証メソッドのグローバル設定を設定します。こ
こで行う設定は、すべてのユーザに適用されます。ただし、指定したユーザに対してグローバル設定を上
書きすることができます。
以下のアクションを選択して、デフォルトの起動前認証メソッドを定義します。
アクション 説明
パスワードでユーザを認証 ユーザの認証は、ユーザ名とパスワードによってのみ行われま
す。
パスワードまたはスマートカードでユー
ザを認証
ユーザの認証は、ユーザ名とパスワード、またはスマートカード
によって行うことができます。
パスワード設定は、ユーザに割り当てられている OneCheck ユーザ設定ルールから取得されます。
アクションを右クリックし、スマートカード認証を使用すると選択した場合は、[Edit]を選択して追加の設定
を行います。
重要 - スマートカード認証のみをデフォルトに設定する前に、要件を理解しているかどうか
確認してください。「スマートカード認証を設定する前に」(24ページ)を参照してください。ユ
ーザがスマートカードで認証を行うことができるようにするには、すべての要件が正しく設定
されている必要があります。
スマートカードのみ、またはスマートカード/パスワードをデフォルトに設定するには
1. デフォルトの起動前認証方式として、スマートカード・オプションのいずれかを選択します。
2. スマートカードを選択する場合、以下を選択することをお勧めします。
ユーザがスマートカードでログイン成功後に認証方式を変更
スマートカード認証のすべての要件が適切に設定されるまでの間、ユーザ認証をパスワードで行うこ
とができます。ユーザは、スマートカードを使用した認証が一度成功したら、認証に自分のスマート
カードを使用する必要があります。ユーザの認証にスマートカードのみを設定し、このオプションを選
択しない場合、ユーザはパスワードで Full Disk Encryptionの認証を行うことはできません。
1 つ以上のスマートカードドライバを選択します。
3. [スマートカード・ドライバ]領域で、組織で使用するスマートカード・プロトコルを選択します。
非共有アクセス・カード(Not CAC) - 他のフォーマットすべて
共有アクセス・カード (CAC) - CAC フォーマット
4. [導入するスマートカード・ドライバの選択]領域で、スマートカードおよびリーダのドライバを選択しま
す。ポリシーの更新を受信すると、選択したすべてのドライバがエンドポイント・コンピュータにインス
トールされます。
スマートカードに必要となるドライバが見つからない場合、以下のいずれかの操作を行うことができま
す。
[検索]フィールドに文字列を入力します。
Endpoint Security E80.50 | 20
[インポート]をクリックして、コンピュータからドライバをインポートします。必要であれば、インポー
トするドライバを Check Point サポート・センターからダウンロードすることができます。
5. ディレクトリ・スキャナでユーザの証明書をスキャンしたい場合、[ディレクトリ・スキャナ]領域で[次の
Active Directory からのユーザ証明書をスキャン]を選択します。
6. ユーザの証明書をスキャンすると選択した場合は、ディレクトリ・スキャナでスキャンする証明書を選
択します。
すべてのユーザ証明書をスキャン
スマートカード・ログオン OIDを持つユーザ証明書のみをスキャン - OID = 1.3.6.1.4.1.311.20.2.2
7. [OK]をクリックします。
必要であれば、起動前レポート・レポートを使用して、ドライバまたはユーザの証明書に関する問題のトラ
ブルシューティングを行います。
ユーザの起動前認証設定の変更
デフォルトでは、ユーザは起動前認証メソッドをグローバルな起動前認証設定から取得します。ユーザへ
のカスタム認証設定の割り当ては、[User Details]ページで行うことができます。このページでは、ユーザ・
パスワードの割り当てや、ユーザの証明書の手動での追加も行うことができます。
ユーザの起動前認証メソッドを変更するには
1. ユーザをツリーでダブルクリックします。
2. [ユーザの詳細]ウィンドウで、[OneCheckユーザ設定]を選択します。
3. [起動前認証方式]をクリックします。
4. [デフォルトの起動前認証方式を使用]をオフにしてから、[変更]をクリックします。
5. 認証メソッドを選択します。
パスワード - このユーザは、ユーザ名とパスワードでのみ認証できます。
スマートカード (証明書が必要) - このユーザは、スマートカードでのみ認証できます。
スマートカード/パスワード- このユーザは、ユーザ名とパスワード、またはスマートカードで認証で
きます。
6. スマートカードを選択する場合、以下を選択することをお勧めします。
ユーザがスマートカードでログイン成功後に認証方式を変更
これにより、スマートカード認証のすべての要件が適切に設定されるまでの間、ユーザ認証をパス
ワードで行うことができます。ユーザは、スマートカードを使用した認証が一度成功したら、認証に自
分のスマートカードを使用する必要があります。ユーザの認証にスマートカードのみを設定し、このオ
プションを選択しない場合、ユーザはパスワードで Full Disk Encryptionの認証を行うことはできませ
ん。
1 つ以上のスマートカードドライバを選択します。
7. [OK]をクリックします。
8. [OneCheckユーザ設定]ページで以下を設定します。
パスワード認証の場合 - [ユーザ・パスワード]または[パスワードの変更]を入力できます。
スマートカード認証の場合 - [ユーザ証明書]領域で、スマートカードと使用する有効な証明書を
ユーザが持っているかどうか確認します。証明書が表示されない場合、[Add ]をクリックして証明
書をインポートできます。
パスワードの複雑さとセキュリティ
以下のアクションでは、OneCheckユーザ設定のユーザ・パスワードに対する要件を定義します。
Endpoint Security E80.50 | 21
アクション 説明
Windowsパスワードの複雑さの
要件
Windowsパスワードの標準の要件が適用されます。
パスワード要件は以下のとおりです。
6 文字以上で構成されている。
大文字、小文字、数字、記号のうち 3 種類以上の文字を組み合わせる。
カスタム設定のパスワードの複
雑さを使用
このオプションを選択する場合は、パスワードに入れなければならな
い/入れてはならない文字の種類に対する要件を選択します。
アクションをダブルクリックして、プロパティを編集します。
オプション 説明
カスタム要件を使用 このオプションを選択する場合は、パスワードに入れなければならない/
入れてはならない文字の種類に対する要件を選択します。
同一文字の連続入力(aa、33など)。
特殊文字を必ず含める。例: ! " # $ % & ' ( ) * + , - . / : < = > ? @ {
数字を必ず含める(8、4 など)。
小文字を必ず含める(g、t など)。
大文字を必ず含める(F、Gなど)。
パスワードにユーザ名/氏名の使用を禁止。
パスワードの最低文字数 有効なパスワードに対する最低文字数を入力します。
パスワードが変更可能になる
までの残り日数
ユーザがパスワードを変更できるようになるまでにパスワードが有効でな
ければならない最低日数を入力します。
パスワードの有効期間 パスワードの変更が必要になるまでの、パスワードが有効であり続けら
れる最長日数を入力します。
パスワードの変更回数 以前使用したパスワードを再度使用できるようになるまでに必要なパス
ワードの最低変更回数を入力します。
パスワードの同期化
起動前は、ユーザが認証されるまでオペレーティング・システムが起動しないようにするプログラムです。
起動前とオペレーティング・システムのパスワードを同期することができます。
注意および推奨事項
パスワードの同期は、起動前認証が有効にされている場合にのみ機能します。
OneCheck Logonを使用する予定の場合は、OS と起動前のパスワードの同期を保つことをお勧
めします。これにより、両方のパスワードが同じになり、ユーザは必要に応じてそれぞれのパス
ワードを使用できます。
パスワードの同期を使用する場合は、ユーザのWindowsのパスワードと起動前のパスワード
の要件を同じにすることをお勧めします。最初の起動前ログオン、OneCheck Logon、シングル・
サインオンで起こりうる問題を防ぐことができます。
OneCheck ユーザ設定ポリシーが起動前とWindowsのパスワードを同期するよう設定されてい
て、ユーザが自分のパスワードを変更した場合、その変更は全コンピュータに自動的に送信さ
れ、ユーザは起動前でのアクセスを許可されます。
Endpoint Security E80.50 | 22
このパスワード変更は通常のハートビートの一部として関連するクライアントに通信され、メッセージ
がクライアントとサーバ間で同期されます。あるコンピュータがパスワードの変更時に Endpoint
Securityサーバに接続されていなかった場合は、そのコンピュータが Endpoint Security サーバに接続
した後に、変更がそのコンピュータに送信されます。
この状況では、ユーザは、クライアントがサーバに接続して更新済みの認証情報を取得する前に、自
分の古いパスワードで起動前に一度ログインしなければならない場合があります。
以下のアクションを選択して、パスワードを同期するかどうか、およびその方法を定義します。
アクション 説明
OSパスワードの変更時に起動前認証パス
ワードを同期
コンピュータ上の OSのパスワードが変更されると、起動前
のパスワードが自動的に変更されます。
起動前認証パスワードの変更時に OSパ
スワードを同期
コンピュータ上の起動前のパスワードが変更されると、OSの
パスワードが自動的に変更されます。
パスワード変更時は起動前認証と OSの
双方向で同期
コンピュータ上の起動前または OSのパスワードが変更され
ると、パスワードが自動的に変更されます。
起動前認証と OSパスワードの同期はしな
い
コンピュータ上の起動前および OSのパスワードは、
Endpoint Securityによって同期されません。
アカウントのロック
指定した回数を超えて起動前ログインの試行に失敗した場合に、ユーザ・アカウントをロックするよう Full
Disk Encryption を設定できます。
一時的ロック - アカウントが一時的にロックされる場合、ユーザは指定の時間後にログオンを
再試行できます。
完全ロック - アカウントが永続的にロックされる場合、管理者によって解除されるまでロックさ
れたままになります。
以下のいずれかのアクションを選択して、ユーザ・アカウントをロックするかどうか、およびそのタイミング
を定義します。
アクション 説明
認証に失敗してもスユーザをロック・ア
ウトしない
ログオンの試行に失敗しても、ユーザのアカウントはロックされ
ません。この設定は選択しないことをお勧めします。
認証に失敗したらユーザ・アカウントを
一時的にロック
ログオンの試行に指定の回数失敗した後(デフォルトは 5 回)、
ユーザのアカウントは一時的にロックされます。
認証に失敗したらユーザ・アカウントを
完全にロック
ログオンの試行に指定の回数失敗した後(デフォルトは 10回)、
ユーザのアカウントは永続的にロックされます。
アクションを右クリックして、プロパティを編集します。また、カスタムのアカウント・ロック・アクションを作成
することも可能です。
アカウント・ロック・アクションを設定するには
1. 既存のアクションを右クリックして[プロパティの編集]を選択するか、[カスタム設定]を選択して新し
いアクションを定義します。
2. 必要に応じて設定を行います。
Endpoint Security E80.50 | 23
オプション 説明
アカウントをロック
するまでのログイン
失敗回数
アカウントが永続的にロックされるまでに許可される最大ログイン失敗回数。アカ
ウントは、管理者によって解除されるまでロックされたままになります。
一時ロックアウトま
での失敗回数
アカウントが一時的にロックされるまでに許可される最大ログイン失敗回数。
一時ロックアウトの
期間
一時ロックアウトの期間(分単位)。
アカウントのロック
までに許可される
最大ログイン成功
回数
アカウントの永続的ロックまでにログインできる最大回数。このオプションを使用す
ると、テンポラリ・ユーザに指定回数のログインを許可できます。
アカウントのロックを解除するには、値を大きくするか、このオプションをオフにしま
す。このタイプのアカウントのロックアウトには、リモート ヘルプは使用できませ
ん。
リモート・ヘルプの権限
リモート ヘルプは、ロックアウトされたユーザが、Full Disk Encryptionで保護されたコンピュータにアクセ
スできるようにするものです。ユーザは、指定された Endpoint Security 管理者に連絡して、リモート ヘル
プの手続きを行います。これを設定するには、OneCheck ユーザ設定ルールの[詳細]セクションを展開し
ます。
Full Disk Encryption リモート ヘルプには次の 2 種類あります。
補助ログイン - 補助ログインは、パスワードをリセットすることなく、仮の IDで 1回のセッション・
アクセスを許可する方法です。
スマートカードを失くしたユーザなどはこの方法を実行します。
リモート・パスワードの変更 - 固定パスワードを使用するユーザがパスワードを忘れてしまった
場合に使用します。
Media Encryption & Port Protectionポリシーで保護されたデバイスの場合は、リモート・パスワードの変更
のみが可能です。
ユーザがリモート ヘルプを使用できるようにするには
1. OneCheckユーザ設定ルール >[詳細]>[リモート・ヘルプを許可]で、[リモート・ヘルプを許可]が選
択されていることを確認します。
2. オプション:プロパティを編集して、1種類のリモート・ヘルプのみを許可します。
オプション 説明
アカウントに[リモートのパス
ワード変更]ヘルプを許可
管理者のサポートを受けながら、ユーザがアカウント・パスワードをリセ
ットできるようにします(ユーザがパスワードを忘れた場合など)。
アカウントに[補助ログイン]ヘ
ルプを許可
管理者のサポートを受けながら、ユーザが 1 度限りのログオンを実行で
きるようにします。補助ログインは、ダイナミック・トークン、USB トークン、
Check Point スマートカードなどを紛失したユーザ用です。ユーザがログ
インに何度も失敗した状況で、パスワードを変更したくない場合にも便利
です。
Endpoint Security E80.50 | 24
スマートカード認証を設定する前に 設定する前に、スマートカード認証を使用する適切な環境が整っているか確認してください。
スマートカード認証を使用するには、以下のコンポーネントおよび要件が整えられている必要が
あります。
スマートカード認証がサポートされているのは、バージョン E80.30以上の Endpoint Securityクラ
イアントのみです。すべてのユーザがサポートされるバージョンを所有しているか確認してくださ
い。
ユーザが所有しているバージョンは、Endpoint Security Management Console>[モニタリング]タブ>[使
用バージョン]で確認できます。
ユーザは、物理的スマートカードを所有している必要があります
ユーザのコンピュータに、スマートカード専用のスマートカード・リーダ・ドライバ、およびトーク
ン・ドライバがインストールされている必要があります。これらのドライバをグローバルな[起動
前認証設定]の一部としてインストールします。
各ユーザは、スマートカードに有効な証明書を所有している必要があります。
ディレクトリ・スキャナでは、ユーザ証明書を Active Directoryからスキャンできます。この設定は、
グローバルな[起動前認証設定]で行います。
[ユーザの詳細]>[Security Blades]>[OneCheck ユーザ設定]で、ユーザの証明書を手動でイン
ポートすることができます。
Full Disk Encryption ポリシーのルールで、[ OSが読み込まれる前にユーザ認証する]アクショ
ンを開きます。[詳細起動前設定]をクリックして、[起動前環境で USBデバイスを有効にする環
境]が選択されていることを確認します。
スマートカードのシナリオ
以下は、異なるニーズを持つ組織におけるスマートカード認証の導入方法に関するシナリオを示していま
す。
シナリオ 1: パスワードからスマートカードに変更
シナリオ
組織で Full Disk Encryption起動前の認証に Check Point Endpoint Securityをユーザ名とパスワードと共に
使用しています。セキュリティをさらに強化するため、すべてのユーザをスマートカード認証に変更するこ
とにします。組織では、active directoryを使用しています。
行うこと
1. スマートカード環境を計画します。
すべてのユーザにスマートカードを提供します。
各ユーザがスマートカード証明書を入手したら、それらを Active Directoryに入力します。
スマートカードで必要となるスマートカード・ドライバおよびリーダ・ドライバを確認します。
2. すべてのエンドポイントをこのバージョンにアップグレードします。レポート・レポートを使用して、すべ
てのユーザがアップグレードを行えるようにします。
3. [ポリシー]タブを開きます。
4. OneCheckユーザ設定 ルールで、[ユーザの認証]アクションを右クリックし、[編集]を選択します。
[スマートカード]を選択します。
Endpoint Security E80.50 | 25
[ユーザがスマートカードでログイン成功後に認証方式を変更]を選択します。
スマートカードに必要なドライバを選択します。
5. [ディレクトリ・スキャナ]領域で、[設定]をクリックします。
[証明書のスキャニング設定]ウィンドウが開きます。
6. [次の Active Directoryからのユーザ証明書をスキャン]を選択します。
7. 起動前レポート・レポートでスマートカードの導入をモニタリングします。
8. 必要に応じて、すべてのユーザが自分のスマートカードでログオンした後に、[ユーザがスマートカー
ドでログイン成功後に認証方式を変更]オプションをオフにすることができます。特定のユーザが一時
的にパスワード認証を使用する必要がある場合、そのユーザの起動前認証設定を[パスワード]に変
更できます。
シナリオ 2: パスワードとスマートカード認証の組み合わせ
シナリオ
組織で Check Point Endpoint Security を初めてインストールする準備をしています。ほとんどのユーザが、
ユーザ名およびパスワードによる起動前認証を使用することになります。高い管理者権限を持つ管理者
は、スマートカード認証を使用することになります。組織では、Active Directory を使用していません。
行うこと
1. スマートカード環境を計画します。
スマートカードを使用するすべてのユーザに物理的スマートカードを提供します。
スマートカードを使用する各ユーザがスマートカード証明書を入手するようにします。
スマートカードで必要となるスマートカード・ドライバおよびリーダ・ドライバを確認します。
2. Endpoint Security クライアントを導入します。同時に、「Endpoint Security クライアントのインストールと
導入」の章の指示に従い、すべてのエンドポイントに Full Disk Encryption を導入します。レポート・レ
ポートを使用して、Full Disk Encryptionにより導入フェーズが完了し、各コンピュータの[Full Disk
Encryptionステータス]が[暗号化]となっていることを確認します。
3. [ポリシー]タブを開きます。
4. [OneCheckユーザ設定 ]ルールで、以下のいずれかの[ユーザの認証]アクションを選択します。
a) [パスワードでユーザを認証]を選択し、スマートカード認証を使用するスマートカード・ユーザを手
動で設定します。
b) [パスワードまたはスマートカードでユーザを認証]を選択します。セキュリティを高めるために、各
スマートカード・ユーザがスマートカード認証のみを使用するよう手動で設定することができます。
5. [ユーザの認証]アクションを右クリックし、[編集]を選択します。
6. スマートカードおよびスマートカード・プロトコルに必要なドライバを選択します。パスワード認証を使
用するよう設定されたユーザを含め、すべてのユーザにこの設定が適用されます。
7. 各スマートカード・ユーザの[OneCheckユーザ設定]ページの[ユーザ証明書]領域で、[追加]をクリ
ックして証明書をインポートします。
8. 起動前レポート・レポートでスマートカードの導入をモニタリングします。
注 - 必要であれば、すべてのスマートカード・ユーザをバーチャル・グループに入れると、
ユーザのモニタリングおよびポリシーの変更を容易に行うことができます。
スマートカードの使用に関する注意
チェック・ポイントでは、Windowsで使用するスマートカード機能は提供していません。Windows
またはスマートカードのベンダーが提供するサード・パーティ製ソフトウェアを使用できます。
Endpoint Security E80.50 | 26
スマートカードのみのユーザにリカバリ・メディアを使用するには、リカバリ・メディアの作成時に、
そのメディアの認証を行うことができるテンポラリ・ユーザを作成します。
ユーザのパスワードの変更 ユーザは、起動前から、自分のパスワードを変更することができます。管理者は、[User Details]ウィンド
ウから、ユーザの起動前パスワードを管理することができます。
SmartEndpoint からユーザの起動前パスワードを変更するには
1. 起動前認証メソッド領域で[ユーザの詳細]>[Security Blades]>[OneCheckユーザ設定]の順に選択し、
[パスワードの変更]をクリックします。
2. [ユーザ・パスワードの変更]ウィンドウで、新しいパスワードを入力し、再度入力します。
3. [OK]をクリックします。
4. [OK]をクリックします。
5. [ファイル]>[保存]を選択します。
Endpoint Security E80.50 | 27
CHAPTER 3
共通クライアント設定
このセクションの内容
共通クライアント設定ポリシーのアクション ........................................................................27
大規模な組織では、複数のクライアントに対する共通のポリシーを作成すると、導入を容易に行うことが
でき、メンテナンス作業も軽減することができます。
共通クライアント設定ポリシーのアクション 共通クライアント設定のアクションでは、以下を設定します。
ユーザ・インタフェースの全般設定
ユーザがインストールを延期できるかどうかと、その期間
クライアントのアンインストール・パスワード
ログ・ファイルがサーバにアップロードされるタイミング
特定のネットワークの保護の設定
ルール内の各アクションに対して、そのアクションの動作を定義するオプションを選択します。事前に定義
されているアクションのオプションを選択するか、[新規]を選択してカスタムのアクションのオプションを定
義することができます。
アクションを右クリックし、[編集]または[プロパティの編集]を選択してアクションの動作を変更します。
ポリシーのルールへの変更は、ポリシーのインストール後にのみ適用されます。
クライアントのユーザ・インタフェース設定
デフォルトのクライアントのユーザ・インタフェース設定を選択するか、ユーザ・コンピュータ上の Endpoint
Security クライアントのインタフェースをカスタマイズすることができます。
以下の設定を変更できます。
クライアント・アイコンの表示 - 選択すると、Endpoint Securityクライアントがインストールされて
いる場合に、クライアント・アイコンがWindowsの通知領域に表示されます。
起動前および Onecheckで表示するグラフィック - これらの各グラフィックには、デフォルトのイ
メージを使用するか、[選択]をクリックして新しいイメージをアップロードすることができます。
項目 説明 イメージのサイズ
起動前認証の背景画像 小さいログオン・ウィンドウの背後の起動前
画面上のイメージ
800 x 600 ピクセ
ル
起動前スクリーン・セーバ システムがアイドル状態のときに表示され
るイメージ
260 x 128 ピクセ
ル
起動前認証のバナー画像 小さいログオン・ウィンドウ上のバナー・
イメージ
447 x 98 ピクセル
Endpoint Security E80.50 | 28
項目 説明 イメージのサイズ
OneCheckの背景画像 OneCheck が有効にされている場合に
Windowsのログオン・ウィンドウのバックグ
ラウンドに表示されるイメージ
256 KB以下
ログのアップロード
デフォルトのログ・アップロード・アクションは、[ポリシー・サーバへのログのアップロードを許可]です。
以下の Software Blade は、ログをポリシー・サーバにアップロードします。
ファイアウォール
アンチマルウェア
コンプライアンス
Full Disk Encryption
Media Encryption & Port Protection
アプリケーション・コントロール
以下の設定を変更できます。
項目 説明
ログのアップロードを有効にする ログのアップロードを有効にする場合に選択します。ログの
アップロードを無効にする場合はオフにします。
ログのアップロード間隔 イベントのログをアップロードする間隔(分単位)。(デフォル
ト = 1 分間)
アップロード実行前の最低イベント数 イベントのログを指定数のイベントの後でのみサーバにアッ
プロードします(デフォルト = 1)。
アップロードするイベントの最大数 サーバにアップロードするイベントの最大数(デフォルト =
1000)
イベント・アップロードまでの最長期間 オプション:指定日数より前のイベントのログのみをアップ
ロードします(デフォルト = 5 日間)。
次の時期より古いイベントを破棄 オプション:指定日数より前のイベントのログはアップロード
しません(デフォルト = 90日間)。
インストールとアップグレードの設定
インストールとアップグレードのデフォルト設定では、ユーザは Endpoint Securityクライアントのインストール
やアップグレードを延期できます。
以下の設定を変更できます。
項目 説明
デフォルトの通知間隔 ユーザにクライアントのインストールを促すまでの時間(分)
を設定します。
Endpoint Security E80.50 | 29
項目 説明
インストールの自動実施と再起動の実行
まで残り
インストールが自動的に開始されるまでの時間(時間)を設
定します。
アンインストール・パスワード クライアントをアンインストールする前にエンド・ユーザが入
力しなければならないパスワードを設定します。英語の小文
字/大文字と、次の特殊文字のみを含めることができます。0-9 , ~ = + - _ () ' " $ @ . ,".
レガシーのアンインストール パスワード レガシー・クライアントをアンインストールする前にエンド・
ユーザが入力しなければならないパスワードを設定します。
ユーザによるネットワーク保護の無効化
ユーザに自分のコンピュータでネットワーク保護を無効にすることを許可できます。
重要 - ユーザがネットワーク保護を無効にすると、ユーザのコンピュータのセキュリティが低下
し、脅威に対して脆弱になります。
このポリシーでユーザにネットワーク保護の無効化を許可していない場合、管理者は、指定の
ユーザにネットワーク保護を一時的に無効にする許可ポリシーを割り当てることができます。
ネットワーク保護には以下の Software Bladesが含まれます。
ファイアウォール
アプリケーション・コントロール
項目 説明
ユーザが PCのネットワーク保護を無効にす
ることを許可
[ネットワーク保護を無効にする]オプションが、通知領域
からクライアント・アイコンの右クリックメニューに表示され
ます。
ユーザが PCのネットワーク保護を無効にす
ることを禁止
管理者のみがユーザのネットワーク保護を無効にすること
ができます。
ネットワーク保護警告を設定するには:
1. [ポリシー]タブの[共通クライアント設定]ルールで、[ネットワーク保護]アクションをダブルクリックし
ます。
2. [プロパティの編集]をクリックします。
3. [ネットワーク保護]セクションで、各 Software Bladeに対して以下のオプションをオンまたはオフにしま
す。
ログの許可 - イベントのログを生成する場合
警告の許可 - イベントに対する警告を生成する場合