SafeGuard Easy スタートアップ ガイド 製品バージョン: 7 ドキュメント作成日: 2014年 12月 目次 1 このガイドについて...........................................................................................................3 2 Sophos SafeGuard (SafeGuard Easy) について................................................................4 2.1 Sophos SafeGuard (SafeGuard Easy) 7.0 について............................................6 3 旧バージョンからのアップグレード..................................................................................9 4 インストールするコンポーネント...................................................................................10 5 主な作業項目....................................................................................................................11 6 SafeGuard Policy Editor のインストール.........................................................................12 7 初期構成の実行................................................................................................................13 8 デフォルト ポリシーのコピーと編集...............................................................................15 9 管理者に各エンドポイントへのアクセスを許可 .............................................................16 10 ポリシーの構成パッケージへの追加..............................................................................17 11 エンドポイントへの暗号化ソフトウェアと構成パッケージのインストール.................18 11.1 暗号化前のエンドポイントの準備作業............................................................18 11.2 テストインストールの実行..............................................................................19 11.3 サービス アカウントを使った初回ログオン....................................................20 11.4 通常のユーザーとしての初回ログオン............................................................20 11.5 スクリプトによる暗号化ソフトウェアと構成パッケージのインストール .............................................................................................................................2 1 11.6 スクリプトで使用するコマンドの例 ...............................................................23 12 パスワードを忘れた場合の復旧.....................................................................................25 12.1 Local Self Help による忘れたパスワードの復旧..............................................25 12.2 チャレンジ/レスポンスによる忘れたパスワードの復旧..................................25 13 よく実行するタスクに関する参照資料..........................................................................28 14 テクニカルサポート.......................................................................................................29 15 ご利用条件.....................................................................................................................30 2 スタートアップ ガイド 1 このガイドについて このガイドでは、不正アクセスから企業のエンドポイントを保護するように Sophos SafeGuard (SafeGuard Easy 7.0) を設定する方法について説明します。 その他の情報については、「SafeGuard Easy 管理者ヘルプ」や「SafeGuard Easy ユー ザー ヘルプ」を参照してください。 3 SafeGuard Easy 2 Sophos SafeGuard (SafeGuard Easy) に ついて Sophos SafeGuard (SafeGuard Easy) は、ユーザー介入なしでデータを暗号化します。ど のデータを暗号化したらよいか、ユーザーが考える必要がありません。暗号化と復号化は、 バックグラウンドで実行されます。つまり、暗号化を行うことで、認証されていないユー ザーによる、データの読み取りや変更を防止することができます。Sophos SafeGuard によ る暗号化は、ストレージ メディアを別のシステムに接続しても同じように実行されます。 Sophos SafeGuard の特長は次のとおりです。 ■ すばやい設定が可能。 ■ 機密データの保護。 ■ FIPS 140 準拠のテクノロジーによるデータの暗号化。 Sophos SafeGuard で保護されているエンドポイントでは、プリブート段階 (OS の開始前) で SafeGuard Power-on Authentication (POA) が起動します。SafeGuard POA でユーザー 認証に成功すると、OS が起動し、ユーザーが Windows にログオンします。 SafeGuard POA には次のような使いやすく安全性の高い機能が用意されています。 4 ■ タンパー プロテクション (Sophos SafeGuard Disk Encryption で提供)。 ■ ログオン失敗時の待機時間。 ■ カスタマイズ可能な Windows スタイルのユーザーインターフェース。 ■ Windows へのパス スルー認証。 ■ Unicode および多言語対応。 スタートアップ ガイド IT 管理作業を支援するアクセス機能 Sophos SafeGuard には、エンドポイントでの IT 管理作業を支援する機能がいくつか用意 されています。 ■ ■ ■ SafeGuard Power-on Authentication は、たとえば、Wake-on LAN と併用するように設 定し、パッチ管理を容易にすることができます。 サービスアカウントを使用すると、IT 担当者がインストール後のタスクを実行する際 に、SafeGuard Power-on Authentication をアクティブにする必要なく、エンドポイント にログオンできます。 POA ユーザーアカウントは、SafeGuard Power-on Authentication がアクティブになっ た後にユーザー (IT チームのメンバーなど) が暗号化されたエンドポイントにログオンし て管理タスクを実行するための事前に定義されたローカル アカウントです。 復旧オプション Sophos SafeGuard には、さまざまな復旧シナリオに合わせて個別のオプションが用意され ています。 ■ Local Self Help によるログオン復旧 Local Self Help を使用すると、パスワードを忘れたユーザーは、ヘルプデスク担当者の 手を煩わせることなく自分のエンドポイントにログオンできます。電話もネットワーク 接続も利用できない状況 (飛行機に乗っている場合など) でも、ユーザーは自分のエンド ポイントにアクセスできるようになります。ログオンするには、SafeGuard Power-on Authentication で、事前定義済みの複数の質問に答えます。 Local Self Help の使用によって、ログオン復旧に関する問い合わせが削減するため、ヘ ルプデスク担当者は単純な作業から解放され、より複雑な問題解決に集中できるように なります。 ■ チャレンジ/レスポンスによる復旧 チャレンジ/レスポンスによる復旧では、ヘルプデスク担当者の支援が必要です。自分の エンドポイントにログオンできない場合や、暗号化データにアクセスできない場合に便 利です。チャレンジ/レスポンスでは、エンドポイントで生成されたチャレンジ コードを ユーザーがヘルプデスク担当者に渡すと、ヘルプデスク担当者は、そのエンドポイント での特定の処理の実行を認証するレスポンス コードを生成します。Sophos SafeGuard のチャレンジ/レスポンスによる復旧では、ヘルプデスク担当者の支援を必要とする一般 的な復旧シナリオに応じて、それぞれ異なったワークフローで対処しています。 ■ システム復旧 Sophos SafeGuard には、Sophos SafeGuard 用にカスタマイズされた Windows PE 回 復ディスクや Lenovo Rescue and Recovery など、システム復旧のための方法・ツール が複数あります。Windows システムおよび Sophos SafeGuard コンポーネントで発生し た問題は、これらのツールを使用して対処できます。 復旧は、鍵復旧ファイルに基づいて行われます。鍵復旧ファイルは、Sophos SafeGuard で 暗号化されているエンドポイントごとに作成され、通常、ネットワーク共有に保存されま 5 SafeGuard Easy す。この復旧鍵を使用すると、故意に暗号化システムが迂回されることなく復旧処理を実行 できます。また、復旧鍵は暗号化されるため、さらにセキュリティが強化されます。このよ うなファイルを保存するネットワーク共有とその共有へのアクセス権限は、初期構成時に自 動的に作成されます。 2.1 Sophos SafeGuard (SafeGuard Easy) 7.0 について Sophos SafeGuard では、暗号化および追加ログオン認証を通じて、強力なデータ保護を提 供できます。 このバージョンの Sophos SafeGuard (SafeGuard Easy) は、BIOS または UEFI 搭載の Windows 7 および Windows 8 環境のエンドポイントに対応しています。 ■ BIOS の場合、Sophos SafeGuard フルディスク暗号化、または Sophos SafeGuard に よって管理される BitLocker 暗号化のいずれかを選択できます。BIOS 版には、BitLocker のネイティブ復旧機能があります。 注: このガイドにある SafeGuard Power-on Authentication や SafeGuard フルディスク 暗号化の説明は、Windows 7 BIOS エンドポイントのみを対象にしています。 ■ UEFI の場合、ディスク暗号化は Sophos SafeGuard (SafeGuard Easy) で管理される BitLocker を使用して実行できます。このようなエンドポイントでは、Sophos SafeGuard のチャレンジ/レスポンス機能を使用できます。対応している UEFI のバージョンや、 SafeGuard BitLocker チャレンジ/レスポンス対応の制限事項は、次のサイトにあるリリー スノートを参照してください。 http://downloads.sophos.com/readmes/readsgeasy_7_jpn.html 使用可能なコンポーネントは次の表を参照してください。 SafeGuard フルディスク SafeGuard によって管理 BitLocker プリブート認 暗号化と SafeGuard される BitLocker プリ 証 (PBA) 用の SafeGuard Power-on Authentication ブート認証 (PBA) C/R 復旧 (POA) はい Windows 7 UEFI Windows 7 BIOS 使用可 はい はい Windows 8 UEFI はい Windows 8 BIOS はい Windows 8.1 UEFI はい Windows 8.1 BIOS はい はい はい 注: BitLocker プリブート認証 (PBA) 用の SafeGuard C/R 復旧は、64ビット版のみで使用 できます。 6 スタートアップ ガイド SafeGuard フルディスク暗号化と SafeGuard Power-on Authentication (POA)は、エンド ポイントのボリュームを暗号化するためのソフォスのモジュールです。SafeGuard Power-on Authentication (POA) と呼ばれる、ソフォスのプリブート認証機能を備えており、スマート カードや指紋を使用したログオン方法や、チャレンジ/レスポンスを使用した復旧機能があ ります。 SafeGuard によって管理される BitLocker プリブート認証 (PBA) は、BitLocker 暗号化エ ンジンと BitLocker プリブート認証を有効化・管理するコンポーネントです。 BIOS 版と UEFI 版があります。 ■ ■ UEFI 版では、さらに BitLocker 復旧用の SafeGuard チャレンジ/レスポンス機能があり ます (ユーザーが PIN を忘れた場合に使用します)。必要な UEFI のバージョンは、リリー スノートを参照してください。 BIOS 版に、SafeGuard チャレンジ/レスポンス機能を使用した復旧の強化機能はありま せんが、UEFI のバージョン要件が満たされなかった場合の代替として使用できます。ソ フォスのインストーラは、システム条件が満たされているかを確認し、満たされていな い場合は、チャレンジ/レスポンス機能のない BitLocker を自動的にインストールします。 Sophos SafeGuard (SafeGuard Easy) は、ポリシー ベースの暗号化機能を使って、エンド ポイントに保存されている情報を保護します。 管理タスクは SafeGuard Policy Editor で行います。これを使って、セキュリティ ポリシー を作成・管理したり、復旧機能を提供したりできます。ポリシーは、構成パッケージとして エンドポイントに展開されます。ユーザー環境における主なセキュリティ機能は、データの 暗号化と未認証のアクセスに対する保護です。Sophos SafeGuard は通常のユーザー環境に シームレスに統合できるため、直感的な操作で簡単に使えます。Sophos SafeGuard の認証 システムである SafeGuard Power-on Authentication (POA) は強力なアクセス保護を実現 し、使いやすいインターフェースは、ログオン情報を復旧する際にも使用できます。 Sophos SafeGuard のコンポーネント Sophos SafeGuard は、以下のコンポーネントで構成されています。 7 SafeGuard Easy コンポーネント 説明 SafeGuard Policy Editor 暗号化ポリシーや認証ポリシーの作成に使用する Sophos SafeGuard の管理ツールです。 SafeGuard Policy Editor では、初期構成時にデフォルト ポリ シーが作成されます。 SafeGuard Policy Editor には、ユーザーがパスワードを忘れ た場合など、エンドポイント コンピュータに再びアクセスで きるようにする復旧機能も用意されています。 8 Sophos SafeGuard データベース Sophos SafeGuard データベースには、エンドポイントのポ リシー設定に関するすべてのデータが格納されます。 エンドポイント上の Sophos SafeGuard ソフトウェア エンドポイント上の暗号化ソフトウェアです。 スタートアップ ガイド 3 旧バージョンからのアップグレード SafeGuard Easy 6.0 以降で暗号化されているエンドポイントは、SafeGuard Easy 7.0 に アップグレードできます。 SafeGuard Policy Editor に、有効なライセンスファイルをインポートする必要があります。 ライセンス ファイルは、セールス パートナーから取得してください。 詳細については、「SafeGuard Easy アップグレードガイド」の「アップグレードについ て」および「移行について」を参照してください。 9 SafeGuard Easy 4 インストールするコンポーネント インストールするコンポーネントは次のとおりです。 ■ SafeGuard Policy Editor:これは、Sophos SafeGuard の管理コンソールです。エンドポ イント上の暗号化ソフトウェアを管理し、復旧タスクを実行できます。 Sophos SafeGuard のポリシー設定は、Microsoft SQL Server 2012 Express Edition を使 用して保存されます。Microsoft SQL Server 2008 Express は、Microsoft SQL Server の インスタンスが使用できない場合、SafeGuard Policy Editor セットアップ時に自動的に インストールされます。 注: はじめに、Windows サーバーに SafeGuard Policy Editor をインストールします。後 で、そのサーバー上の一元管理用 Sophos SafeGuard データベースに接続している、複 数の管理者用コンピュータに SafeGuard Policy Editor をインストールできます。 ■ Sophos SafeGuard 暗号化ソフトウェア:エンドポイント上のデータを暗号化し、不正ア クセスから保護します。 注: この暗号化ソフトウェアは、SafeGuard Policy Editor がインストールされているコ ンピュータにはインストールしないことをお勧めします。 10 スタートアップ ガイド 5 主な作業項目 実行する手順は次のとおりです。 ■ ■ SafeGuard Policy Editor をインストールする。 初期構成を実行する。デフォルト ポリシーを作成し、ヘルプデスク担当者が復旧作業を 実行できるよう設定します。 ■ デフォルト ポリシーをコピーして、編集する。 ■ インストール後、管理者に各エンドポイントへのアクセスを与える。 ■ 編集したポリシーを構成パッケージに公開する。 ■ エンドポイントに暗号化ソフトウェアと構成パッケージをインストールする。 11 SafeGuard Easy 6 SafeGuard Policy Editor のインストー ル 操作を開始する前に次の内容を確認してください。 ■ ■ SafeGuard Policy Editor のインストール先コンピュータに、.NET Framework 4 がインス トール済みであることを確認します。(製品ディレクトリ内にあります。) SafeGuard Policy Editor のインストールと同時に Microsoft SQL Server 2012 Express Edition を自動インストールするには、 Microsoft Windows Installer 4.5 がインストール されていることを確認してください。 ■ 現在のリリースノートのバージョンに記載されているシステム要件を確認します。 ■ Windows の管理者権限があることを確認します。 SafeGuard Policy Editor をインストールする方法は次のとおりです。 1. 管理者権限でコンピュータにログオンします。 2. ソフォスの Web サイトを開き、社内のシステム管理者から入手したアカウント情報で 「製品・アップデート版のダウンロード」ページにログオンし、インストーラと製品ド キュメントをダウンロードします。 3. ダウンロードしたインストーラとドキュメントを、インストール先からアクセス可能な 場所に保存します。 4. 製品のインストールフォルダから、SafeGuard Policy Editor パッケージの SGNPolicyEditor.msi をダブルクリックします。ウィザードの指示に従って必要な手順を 実行します。 5. これ以降のダイアログではデフォルトの設定をそのまま指定します。 Microsoft SQL Server 2012 Express Edition をインストールするようメッセージが表示さ れたら、「はい」をクリックします。この場合、使用中の Windows ログオン情報が、 SQL のユーザー アカウントとして使用されます。 6. 「完了」をクリックして、インストールを完了します。 SafeGuard Policy Editor がインストールされます。次に、SafeGuard Policy Editor で初期構 成を実行します。 12 スタートアップ ガイド 7 初期構成の実行 Windows の管理者権限があることを確認します。 1. 「スタート」メニューから、SafeGuard Policy Editor を開始します。構成ウィザードが 起動されます。画面の指示に従って必要な手順を実行してください。 2. 「ようこそ」ページで、「次へ」をクリックします。 3. 「データベース」ページで、「次へ」をクリックします。SafeGuard の設定とポリシー を格納するための SQL データベースが作成されます。 4. 「セキュリティ担当者」ページで、SafeGuard Policy Editor のアクセスに必要なパスワー ドを入力し、確認入力します。「次へ」をクリックします。セキュリティ担当者の証明 者が作成されます。 このパスワードは安全な場所に保管してください。パスワードを忘れてしまった場合、 以降、SafeGuard Policy Editor にアクセスできなくなります。また、IT ヘルプデスク担 当者が復旧作業を実行するには、このアカウントへのアクセス権が必要です。 セキュリティ担当者の名前が表示されます。 5. 「企業」ページで、「次へ」をクリックします。企業証明書は、データベース内やエン ドポイント上のポリシー設定を保護するために作成されます。 6. 「セキュリティ担当者と企業証明書のバックアップ」 ページで、証明書のバックアップ の保存場所を指定します。次に、「次へ」 をクリックします。 今すぐデフォルトの保存場所に証明書を保存する場合は、復旧が必要なときにアクセス できる場所 (USB メモリなど) に、初期構成後すぐにエクスポートしてください。証明書 は、SafeGuard Policy Editor のインストールに失敗したり、データベースが破損したり したときに必要です。 7. 「復旧鍵」ページで、「次へ」をクリックします。IT ヘルプデスク担当者用の十分なア クセス許可のあるネットワーク共有が作成されます。この共有は、復旧に必要な鍵復旧 ファイルを、エンドポイントから収集するために使用されます。 8. 「ライセンス」ページで [...] をクリックして、SafeGuard Policy Editor を運用環境で実 行するために必要な有効なライセンス ファイルを参照します。ライセンス ファイルは、 セールス パートナーから取得してください。ファイルを選択し、「開く」をクリックし ます。「次へ」をクリックします。 9. 「完了」をクリックします。 初期構成が完了します。 ■ 会社規模のセキュリティ ポリシーをエンドポイントに実装するためのデフォルト ポリ シーが作成されました。 ■ ■ ■ SafeGuard Power-on Authentication が有効になっています。 すべての内蔵ハード ディスクで、SafeGuard フルディスク暗号化が有効になってい ます。 リムーバル メディア上のデータに対するファイル ベースの暗号化が有効になってい ます。 13 SafeGuard Easy ■ ■ ■ ■ ユーザーは、パスワードを忘れた場合、Local Self Help で事前に定義された質問に回 答して、復旧できます。 ヘルプデスク担当者は、チャレンジ/レスポンスを使用してパスワードを復旧できま す。 ヘルプデスク担当者が復旧タスクを実行するにあたり必要となる前提条件が設定されて います。 Sophos SafeGuard を運用環境で実行するため、有効なライセンス ファイルがインポー トされました。 構成ウィザードが閉じると、SafeGuard Policy Editor が開始します。 14 スタートアップ ガイド 8 デフォルト ポリシーのコピーと編集 1. SafeGuard Policy Editor のナビゲーション エリアで、「ポリシー」をクリックします。 2. 「ポリシー」ナビゲーション ペインの「ポリシー グループ」で、「デフォルト ポリ シー」を右クリックし、「ポリシーのバックアップ」をクリックします。 3. バックアップ ファイル (XML) の名前と保存場所を入力して、「保存」をクリックしま す。 4. ナビゲーション ペインで「ポリシー グループ」を右クリックし、「ポリシーの復元」を クリックします。 5. 作成したポリシーのコピー (XML) を選択し、「開く」をクリックします。 ポリシー項目すべてを含む、デフォルト ポリシーのコピーが SafeGuard Policy Editor に再 びインポートされます。 次に、このデフォルト ポリシーのコピーをカスタマイズして、インストール後の管理タス クをエンドポイントで実行できるよう、サービス アカウントのリストを設定します。これ によって、サービス担当者は、登録されることなく、暗号化ソフトウェアがインストール済 みのエンドポイントにアクセスし、事前に構成することができます。 15 SafeGuard Easy 9 管理者に各エンドポイントへのアクセ スを許可 サービス担当者は、暗号化ソフトウェアをインストールした後も、1カ所から集中的に設定 する場合など、エンドポイントにアクセスし、事前に構成を行わなくてはならないことがあ ります。しかし、暗号化ソフトウェアのインストール後、最初にエンドポイントにログオン するユーザーは SafeGuard POA をアクティブ化し、Sophos SafeGuard ユーザーとしてエ ンドポイントに追加されてしまいます。これを避けるには、ユーザーをサービスアカウント のリストに追加します。このリストに含まれるサービス担当者は、暗号化ソフトウェアのイ ンストール後、エンドポイントの OS にログオンし、Sophos SafeGuard ユーザーとしてエ ンドポイントに追加されたり、SafeGuard POA をアクティブ化したりすることなく、必要 な管理タスクを実行することができます。 サービス アカウントのリストを設定する方法は次のとおりです。 1. SafeGuard Policy Editor のナビゲーション エリアで、「ポリシー」をクリックします。 2. 「ポリシー」ナビゲーション ペインで「サービス アカウントのリスト」を右クリック し、「新規作成 - サービス アカウントのリスト」を選択します。 3. リストの名前を入力し、「OK」をクリックします。 4. ナビゲーション ペインの「サービス アカウントのリスト」で、表示される新しいリスト を選択します。 5. 処理ペインの右側を右クリックして、ショートカット メニューから「追加」を選択しま す。新しいユーザー行が追加されます。 6. 該当する列に Windows の「ユーザー名」と「ドメイン名」を入力し、「Enter」キーを 押します。さらにユーザーを追加するには、この手順を繰り返します。詳細は、 「SafeGuard Easy 管理者ヘルプ」の「ユーザー名およびドメイン名の入力に関する詳 細情報」の章を参照してください。 7. ツール バーの「保存」アイコンをクリックし、変更をデータベースに保存します。 これで、サービス アカウントのリストが登録されました。次に説明する手順で、ポリ シーに割り当てます。 8. ナビゲーション ペインの「ポリシー項目」で、先ほどコピーした「認証」ポリシー項目 を選択します。 9. 「ログオン オプション」で、「サービス アカウントのリスト」を選択し、新規作成した リストを選択します。 10. ツール バーの「保存」アイコンをクリックし、変更を保存します。 これで、サービス アカウントのリストが設定されました。「認証」ポリシー項目と関連す るポリシー グループは、随時アップデートされます。次に、編集したポリシーを構成パッ ケージに保存します。 注: SafeGuard POA をカスタマイズする場合や暗号化を構成する場合、または Wake On LAN を有効にする場合など、必要に応じてポリシー設定をさらに編集することができます。 詳細については、「SafeGuard Easy 管理者ヘルプ」の「セキュアな Wake On LAN」とい う章を参照してください。 16 スタートアップ ガイド 10 ポリシーの構成パッケージへの追加 ポリシーをエンドポイントに適用するには、まず、適用するポリシーを構成パッケージに追 加する必要があります。 1. SafeGuard Policy Editor の「ツール」メニューで、「構成パッケージ ツール」をクリッ クします。 2. 「構成パッケージの追加」をクリックします。 3. 構成パッケージに対して任意のパッケージ名を入力します。 4. 前の手順で編集した、エンドポイントに適用するための「ポリシー グループ」を選択し ます。 5. 構成パッケージの保存先を指定します。 6. 「構成パッケージの作成」をクリックします。 7. 「閉じる」をクリックします。 ポリシーは、指定した場所にある構成パッケージ (MSI) に追加されます。次に、エンドポイ ントに Sophos SafeGuard 暗号化ソフトウェアと構成パッケージをインストールします。 17 SafeGuard Easy 11 エンドポイントへの暗号化ソフトウェ アと構成パッケージのインストール ここでは、暗号化にあたってエンドポイントを準備する方法、テスト用コンピュータに暗号 化ソフトウェアをインストールする方法、さらに、お持ちのツールを使用して他のエンドポ イントに配布する方法について説明します。 11.1 暗号化前のエンドポイントの準備作業 ■ ユーザー アカウントが設定済みであること、およびアクティブ化されていることを確認 します。ユーザーはパスワードの入力が必要となります。 ■ Windows の管理者権限があることを確認します。 ■ データのフルバックアップを作成します。 ■ ■ 暗号化するドライブが適切にフォーマットされていること、ドライブ文字が割り当てら れていることを確認します。 SafeGuard POA とエンドポイントのハードウェア間で競合する可能性を最小限にするた めに、ハードウェアの設定リストが用意されています。このリストは、暗号化ソフトウェ アのインストール パッケージに含まれています。 Sophos SafeGuard を大規模に展開する前に、この構成ファイルの最新版をインストー ルすることを推奨します。このファイルは毎月更新されます。ダウンロード元は次のと おりです。 (http://www.sophos.com/ja-jpsupport/knowledgebase/65700.aspx) ■ 次のコマンドを実行してハードディスクにエラーがないかチェックします。 chkdsk %ドライブ名% /F /V /X エンドポイントを再起動し、もう一度 chkdsk を実行するようメッセージが表示される 場合があります。詳細は次の文章を参照してください。 (http://www.sophos.com/ja-jp/support/knowledgebase/107081.aspx) Windows のイベントビューアで結果 (ログファイル) を確認できます。 Windows 7 の場合:「Windows ログ」、「アプリケーション」の順に展開し、ソース が「Wininit」の項目を確認します。 ■ Windows に付属の デフラグ ツールを使用して、ローカル ボリューム上で断片化されて いるブート ファイル、データ ファイル、およびフォルダを検出し、最適化します。 defrag %ドライブ名% 詳細は次の文章を参照してください。 (http://www.sophos.com/ja-jp/support/knowledgebase/109226.aspx) ■ 18 「PROnetworks Boot Pro」や「Boot-US」などの、サードパーティ製ブートマネージャ をアンインストールします。 スタートアップ ガイド ■ マスタ ブート レコード (MBR) を初期状態にすることを推奨します。Sophos SafeGuard をインストールするには、一意で初期状態の MBR が必要です。エンドポイントでイメー ジ/クローン作成ツールを使用した場合、初期の状態でなくなる可能性があります。 Windows の DVD からエンドポイントを起動し、Windows 回復コンソールで FIXMBR コ マンドを実行します。詳細は次の文章を参照してください。 (http://www.sophos.com/ja-jp/support/knowledgebase/108088.aspx) ■ エンドポイントのブートパーティションを FAT から NTFS に変換した場合で、その後、 コンピュータを再起動していない場合は、一度再起動してください。再起動しないと、 インストールが正常に完了しないことがあります。 11.2 テストインストールの実行 暗号化ソフトウェアのテストインストールを実行する場合は、SafeGuard Policy Editor がイ ンストールされていないコンピュータにインストールしてください。 前提条件: エンドポイントに暗号化機能をインストールするための準備が完了している必要がありま す。詳細は、暗号化前のエンドポイントの準備作業 (p. 18) を参照してください。 1. エンドポイントに管理者権限でログオンします。 2. 現在最新のプレインストール パッケージ SGxClientPreinstall.msi をインストー ルします。暗号化ソフトウェアを正常にインストールするために必要なコンポーネント が、エンドポイントにインストールされます。 3. 暗号化ソフトウェアパッケージの SGNClient.msi または必要に応じてその 64ビット対 応のパッケージをダブルクリックします。ウィザードの指示に従って必要な手順を実行 します。 4. これ以降のダイアログではデフォルトの設定をそのまま指定します。 5. プロンプトに従って、インストールの種類で「完全」を選択します。 SafeGuard フルディスク暗号化と SafeGuard ファイルベースの暗号化がインストールさ れます。利用可能な暗号化パッケージと機能の詳細については、「SafeGuard Easy 管理 者ヘルプ」の「インストール」を参照してください。 6. これ以降のすべてのダイアログでデフォルト値を受け入れて、インストール ウィザード を完了します。 7. 以前作成した構成パッケージ (MSI) の保存場所に移動します。 8. この構成パッケージをエンドポイントにインストールします。エンドポイントにある古 い構成パッケージはすべて削除するようにしてください。 Sophos SafeGuard はエンドポイントにインストールされ、事前に作成されたポリシーに基 づいて構成されます。次に、インストール後の初回ログオンを行います。インストール後の 管理タスクを行う場合は、サービス アカウントを使用してログオンし、それ以外は通常の ユーザーとしてログオンします。 各ハードウェア OS で SafeGuard POA が正常に動作するには、追加の構成が必要になる場 合があります。ハードウェア競合の問題のほとんどは、SafeGuard POA に組み込まれてい る「ホットキー」機能を使用して解決できます。詳細は、「SafeGuard Easy 管理者ヘル 19 SafeGuard Easy プ」の「SafeGuard Power-on Authentication で使用可能なホットキー」を参照してくだ さい。次の文章も参照してください。 (http://www.sophos.com/ja-jp/support/knowledgebase/107781.aspx、 http://www.sophos.com/ja-jp/support/knowledgebase/107785.aspx) 11.3 サービス アカウントを使った初回ログオン エンドポイントで、インストール後の管理タスクを行う場合は、サービス アカウントでロ グオンします。 1. インストール後、エンドポイントを再起動します。Windows ログオンが表示されます。 ログオンを開始するために、最初に Ctrl + Alt + Delete キーを押す必要がある場合もあり ます。管理者は、MMC コンソールの「グループ ポリシー オブジェクト エディタ」で、 「Windows の設定 > セキュリティの設定 > ローカル ポリシー > セキュリティ オプショ ン」を選択し、「対話型ログオン: CTRL+ ALT+ DEL を必要としない」を「有効」に指 定します。 2. サービス アカウントを使用して、Windows にログオンします。SafeGuard Policy Editor のサービス アカウント リストで定義済みのドメインとログオン情報を入力します。 ゲスト ユーザーとして Windows にログオンした状態になります。SafeGuard Power-on Authentication はアクティブ化されず、エンドポイントに登録されません。これで、インス トール後の管理タスクを必要に応じて実行することができます。 11.4 通常のユーザーとしての初回ログオン 1. コンピュータを再起動します。Sophos SafeGuard 自動ログオン画面が表示された後、 Windows ログオンが表示されます。 自動ログオンおよびログオンを開始するために、最初に Ctrl + Alt + Delete キーを押す必 要がある場合もあります。管理者は、MMC コンソールの「グループ ポリシー オブジェ クト エディタ」で、「Windows の設定 > セキュリティの設定 > ローカル ポリシー > セキュリティ オプション」を選択し、「対話型ログオン: CTRL+ ALT+ DEL を必要とし ない」を「有効」に指定します。 2. Windows ユーザー名とパスワードを入力します。 3. もう一度エンドポイントを再起動します。SafeGuard Power-on Authentication がアク ティブ化されます。 4. Windows ユーザー名とパスワードを入力します。ユーザーは自動的に Windows にログ オンします。 これで Power-on Authentication がアクティブ化されました。ユーザーは、Sophos SafeGuard ユーザーとして登録されます。これは、ツールチップに表示されます。次回 ログオンするときは、SafeGuard Power-on Authentication で Windows ログオン情報を 入力するだけです。 初期暗号化が自動的に開始します。ユーザーは作業を継続でき、暗号化が完了してもエンド ポイントを再起動する必要はありません。初期暗号化が完了するまで、エンドポイントを シャットダウンしたり、休止状態にしたりしないでください。暗号化と復号化は透過的に実 20 スタートアップ ガイド 行され、ユーザー介入は不要です。詳細は、「SafeGuard Easy ユーザー ヘルプ」を参照 してください。 11.5 スクリプトによる暗号化ソフトウェアと構成パッ ケージのインストール 1. インストールの前にエンドポイントの準備を行います。詳細は、暗号化前のエンドポイ ントの準備作業 (p. 18) を参照してください。 2. 管理者用コンピュータに管理者権限でログオンします。 3. すべてのアプリケーションを一括に格納する Software という名前のフォルダを作成し ます。 21 SafeGuard Easy 4. Microsoft System Center Configuration Manager、IBM Tivoli や Enteo Netinstall などの ソフトウェア展開ツールを使用して、エンドポイントに一括インストールを行ってくだ さい。インストールが必要なパッケージの詳細は、以下の表を参照してください。 注: Active Directory からインストールを実行する場合、各パッケージに対して別のグ ループ ポリシー オブジェクト (GPO) を使用し、下記の順番でインストールすることで インストールが正常に完了します。 エンドポイントの言語がドイツ語でない場合は、追加で次の手順も実行してください。 「グループ ポリシー エディタ」で、各グループオブジェクトを選択し、「コンピュータ の構成 > ソフトウェアの設定 > 詳細設定」を選択します。「詳細展開オプション」ダイ アログで、「このパッケージを展開するときは言語を無視する」を選択して、「OK」を クリックします。 パッケージ 説明 プレインストール パッケージ SGxClientPreinstall.msi 暗号化ソフトウェアを正常にインストールするための必 須コンポーネントがエンドポイントにインストールされ ます。 注: このパッケージがインストールされていない場合、暗号 化ソフトウェアのインストールは中止されます。 暗号化ソフトウェア パッケージ ライセンスや OS に応じて、異なるインストール パッケー ジが用意されています。必要なパッケージ (<*Client*>.MSI) はすべての製品パッケージ内にあります。 注: 利用可能なパッケージのリストについては、「SafeGuard Easy 管理者ヘルプ」の「インストール」の章を参照して ください。 エンドポイント用の構成パッケージ あらかじめ SafeGuard Policy Editor で作成した構成パッ ケージを使用します。古い構成パッケージは必ず最初に 削除するようにしてください。 事前に構成されたインストール用のコ Windows インストーラのコマンドライン ツール、 マンドを実行するスクリプト msiexec を使用してスクリプトを作成することをお勧め します。詳細は、「SafeGuard Easy 管理者ヘルプ」の 「一括インストールのコマンド」の章、または次のサイ ト (英語) を参照してください。 http://msdn.microsoft.com/en-us/library/aa367988(VS.85).aspx 5. スクリプトを作成するには、コマンドプロンプトを開き、スクリプトのコマンドを入力 します。詳細は、スクリプトで使用するコマンドの例 (p. 23) を参照してください。 6. プレインストール パッケージ、暗号化ソフトウェア パッケージ、構成パッケージ、およ びスクリプトを、社内のソフトウェア配布方法を使用してエンドポイントに配布します。 パッケージはエンドポイントで実行されます。 22 スタートアップ ガイド 7. インストール後、エンドポイントを 2度再起動し、SafeGuard POA (Power-on Authentication) を有効化します。さらにもう一度エンドポイントコンピュータを再起動 し、各 Windows ブートのカーネルデータのバックアップを実行します。 正常にカーネルのバックアップを実行するために、3度目の再起動の前にエンドポイント が一時停止や休止状態ではないことを確認してください。 Sophos SafeGuard はエンドポイントにインストールされ、事前に作成されたポリシー設定 に基づいて構成されます。各エンドポイント に対し、復旧に必要な鍵復旧ファイルは、 SafeGuard Policy Editor 初期構成時に定義した場所に作成されます。 注: 各ハードウェア OS で SafeGuard Power-on Authentication (POA) が適切に機能するに は、追加の構成が必要になる場合があります。ハードウェア競合の問題のほとんどは、 SafeGuard POA に組み込まれている「ホットキー」を使用して解決できます。詳細は 「SafeGuard Easy 管理者ヘルプ」の「POA で使用可能なホットキー」というセクション を参照してください。次の文章も参照してください。 (http://www.sophos.com/ja-jp/support/knowledgebase/107781.aspx、 http://www.sophos.com/ja-jp/support/knowledgebase/107785.aspx) 11.6 スクリプトで使用するコマンドの例 msiexec /i F:\Software\Sophos\SafeGuard\SGxClientPreinstall.msi /qn msiexec /i F:\Software\Sophos\SafeGuard\SGNClient.msi /qn /L*VX G:\Temp\Sophos\SafeGuard\%computername%_SGNClient_inst.log Installdir=C:\Program Files\Sophos\Sophos SafeGuard msiexec /i F:\Software\Sophos\SafeGuard\SGNClientConfig.msi /qn 23 SafeGuard Easy このコマンドは以下の項目を実行します。 ■ msiexec /i F:\Software\Sophos\SafeGuard\SGxClientPreinstall.msi Sophos SafeGuard のプレインストール パッケージを、指定された保存場所からデフォ ルトのインストール ディレクトリ C:\Program Files\Sophos\Sophos SafeGuard にインストールします。暗号化ソフトウェアを正常にインストールするために必要なコ ンポーネントがエンドポイントにインストールされます。 ■ msiexec /i F:\Software\Sophos\SafeGuard\SGNClient.msi Installdir=C:\Program Files\Sophos\Sophos SafeGuard SafeGuard Power-on Authentication 機能を指定して暗号化ソフトウェア (ここでは SafeGuard フルディスク暗号化) を、指定された保存場所からデフォルトのインストー ル ディレクトリ C:\Program Files\Sophos\Sophos SafeGuard にインストール します。 ■ msiexec /i F:\Software\Sophos\SafeGuard\SGNClientConfig.msi 構成パッケージを、その保存場所からデフォルトのインストール ディレクトリにインス トールします。 ■ /L*VX G:\Temp\Sophos\SafeGuard\%computername%__SGNClient_inst.log すべての警告およびエラー メッセージをネットワーク上の指定したログ ファイルに記録 します。また、暗号化処理を一括確認できるログ ファイルも作成します。ログ ファイル は、Windows インストーラ ツール wilogutl.exe を使って分析可能です。 ■ /qn ユーザーの介入なしでインストールを実行し、GUI も表示しません。 24 スタートアップ ガイド 12 パスワードを忘れた場合の復旧 ユーザーがパスワードを忘れた場合、次の 2とおりの方法で復旧することができます。 ■ ユーザーが Local Self Help を使用してパスワードを復旧する。これは推奨方法です。 ■ ヘルプデスク担当者がチャレンジ/レスポンスを使用してパスワードを復旧する。 12.1 Local Self Help による忘れたパスワードの復旧 1. エンドポイントの SafeGuard Power-on Authentication で、ユーザーは自分のユーザー名 を入力します。 「復旧」ボタンが有効になります。 2. ユーザーは「復旧」をクリックします。 ■ ■ エンドポイントでログオン復旧のために Local Self Help だけが有効になっている場 合、それは自動的に開始します。 ログオン復旧のためにチャレンジ/レスポンスと Local Self Help の両方が使用可能で ある場合、ユーザーは「Local Self Help」をクリックします。 3. 次に表示される 5つのダイアログで、ユーザーは、エンドポイントに保存されている質 問の中から任意に選択された一定の数の質問に回答します。最後の質問に回答した後、 ユーザーは、「OK」をクリックして回答を確定します。 4. 次に表示されるダイアログで、ユーザーは「Enter」キーやスペースキーを押すか、青い 表示ボックスをクリックして、パスワードを表示できます。 パスワードは最長 5秒間表示されます。その後、スタートアップ処理が自動的に続行さ れます。ユーザーは、「Enter」キーやスペース キーを押すか、青い表示ボックスをク リックして、すぐにパスワードを非表示にすることができます。 5. パスワードを確認したら、「OK」をクリックします。 これでユーザーは SafeGuard Power-on Authentication および Windows にログオンしまし た。このパスワードは、今後のログオンでも使用できます。 12.2 チャレンジ/レスポンスによる忘れたパスワードの 復旧 前提条件: ヘルプデスク担当者は、Sophos SafeGuard のインストール時にエンドポイントごとに作成 される鍵復旧ファイルにアクセス可能で、そのファイル名を知っている必要があります。 チャレンジ/レスポンス機能は、エンドポイント用のポリシーで有効にする必要があります。 注: 25 SafeGuard Easy パスワードを忘れた場合、まず Local Self Help を使用して復旧することをお勧めします。 ユーザーは Local Self Help で既存のパスワードを表示でき、そのパスワードを引き続き使 用できます。したがって、パスワードの再設定を行ったり、ヘルプデスク担当者に依頼した りする必要がなくなります。 1. エンドポイントの SafeGuard Power-on Authentication で、ユーザーは自分のユーザー名 を入力します。「復旧」ボタンが有効になります。 2. ユーザーは「復旧」をクリックします。 ■ ■ ログオン復旧のためにチャレンジ/レスポンスだけが有効になっている場合、それは 自動的に開始します。 ログオン復旧のためにチャレンジ/レスポンスと Local Self Help の両方が使用可能で ある場合、ユーザーは「チャレンジ/レスポンス」をクリックします。 必要な鍵復旧ファイルの名前がダイアログに表示されます。 3. ユーザーは「次へ」をクリックします。任意のチャレンジ コードが表示されます。 4. ユーザーはヘルプデスク担当者に連絡を取り、必要な鍵復旧ファイルの名前とチャレン ジ コードを伝えます。 5. SafeGuard Policy Editor で、ヘルプデスク担当者は「復旧ウィザード」を起動します。 6. ヘルプデスク担当者は、復旧の種類「Sophos SafeGuard Client」を選択し、鍵および チャレンジ コードを確認し、必要な復旧処理「ユーザーログオンなしの SGN Client の 起動」を選択します。 ASCII 文字列形式のレスポンス コードが生成され、表示されます。 7. ヘルプデスク担当者は、電話またはテキスト メッセージを使って、ユーザーにレスポン ス コードを提供します。 8. ユーザーは、エンドポイントのチャレンジ/レスポンス ウィザードで「次へ」をクリック して、レスポンス コードを入力します。エンドポイントは、SafeGuard Power-on Authentication で起動できる状態になります。 9. Windows のログオン ダイアログでも、ユーザーは正しいパスワードがわからないため、 Windows レベルでパスワードを変更する必要があります。変更するには、Sophos SafeGuard 以外に、Windows 標準の方法による復旧処理が必要になります。Windows レベルでパスワードをリセットするときは、以下の方法をお勧めします。 ■ ■ エンドポイント上で使用できるサービスまたは管理者アカウントのうち、必要な Windows 権限を持つアカウントを使用する。 エンドポイント上で Windows パスワード リセット ディスクを使用する。 10. ユーザーは、ヘルプデスク担当者から入手した新しい Windows パスワードを入力しま す。ユーザーはすぐに、このパスワードを自分だけが知っている値に変更します。 Sophos SafeGuard 用の新しいユーザー証明書は、新しく設定された Windows パスワー ドに基づいて自動的に作成されます。この結果、ユーザーは再度コンピュータにログオ ンできるようになり、新しいパスワードを使って SafeGuard Power-on Authentication に ログオンできます。 26 スタートアップ ガイド ユーザーは、新しく設定したパスワードで SafeGuard Power-on Authentication および Windows にログインすることができます。このパスワードは、今後のログオンでも使用で きます。 27 SafeGuard Easy 13 よく実行するタスクに関する参照資料 よく実行するタスクの操作手順が記載されているドキュメントは次のとおりです。詳細は、 SafeGuard Easy の管理者ヘルプ、ユーザー ヘルプ、またはツール ガイドを参照してくだ さい。 タスク マニュアル/ヘルプ SafeGuard Policy Editor の追加インスタンスを構 管理者ヘルプ: 「SafeGuard Policy Editor の追加 成する インスタンスを構成する」 SafeGuard Power-on Authentication が正しく機能 管理者ヘルプ/ユーザー ヘルプ: 「SafeGuard していることを確認する Power-on Authentication で対応しているホット キー」 Sophos SafeGuard に固有の情報をエンドポイン ユーザ ヘルプ:「システム トレイ アイコンとバ ト コンピュータで表示する ルーンヒント」 ポリシーを作成し、グループ化する 管理者ヘルプ:「ポリシーの操作」 証明書をエクスポートする 管理者ヘルプ: 「企業証明書とセキュリティ担当 者の証明書のエクスポート」 エンドポイントで管理タスクを実行するためのア 管理者ヘルプ:「エンドポイントへの管理アクセ カウント (POA アクセス アカウント) を作成する ス」 28 暗号化データへのアクセスを復旧する 管理者ヘルプ: チャレンジ/レスポンスを使用して 暗号化データに再びアクセスする 破損したマスター ブート レコードを復旧する ツール ガイド:「破損した MBR を復旧する」 SGE 6.0.x 以降を SafeGuard Easy 7.0 に移行す る アップグレードガイド: 「アップグレードについ て」 スタートアップ ガイド 14 テクニカルサポート ソフォス製品のテクニカルサポートは、次のような形でご提供しております。 ■ 「SophosTalk」ユーザーフォーラム (英語) (http://community.sophos.com) のご利用。さ まざまな問題に関する情報を検索できます。 ■ ソフォス サポートデータベースのご利用。www.sophos.com/ja-jp/support.aspx ■ 製品ドキュメントのダウンロード。www.sophos.com/ja-jp/support/documentation/ ■ オンラインでのお問い合せ。 https://secure2.sophos.com/ja-jp/support/contact-support/support-query.aspx 29 SafeGuard Easy 15 ご利用条件 Copyright © 1996 - 2014 Sophos Limited. All rights reserved. SafeGuard は Sophos Limited および Sophos Group の登録商標です。 この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる 形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許可され ている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、 復元できるシステムに保存、または送信することを禁じます。 Sophos、Sophos Anti-Virus および SafeGuard は、Sophos Limited、Sophos Group および Utimaco Safeware AG の登録商標です。その他記載されている会社名、製品名は、各社の 登録商標または商標です。 サードパーティコンポーネントの著作権に関する情報は、製品ディレクトリ内の「Disclaimer and Copyright for 3rd Party Software」(英語) というドキュメントをご覧ください。 30
© Copyright 2024