Dell Encryption Personal インストール ガイド v10.9 December 2020 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2020 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
目次 章 1: 概要........................................................................................................................................ 5 Encryption Personal.............................................................................................................................................................. 5 Advanced Authentication.....................................................................................................................................................
テンプレートの説明.......................................................................................................................................................... 63 固定ドライブおよび外部ドライブのすべてに対する積極的な保護................................................................ 63 PCI 規制の対象............................................................................................................................................................. 63 データ漏洩規制の対象....................................................................
1 概要 このガイドでは、Advanced Authentication と Encryption Personal を同時にインストールすることを前提とします。 Encryption Personal Encryption Personal は、コンピュータを紛失した、またはコンピュータが盗難に遭ったときでも、コンピュータ上のデータを保護す ることを目的としています。 Encryption Personal は、機密データのセキュリティを確保するためにお使いの Windows コンピュータ上のデータを暗号化します。 コンピュータにログインしている間はいつでもデータにアクセスできますが、未許可のユーザーはこの保護対象データにアクセスす ることはできません。データはデバイス上で常に暗号化されたままとなりますが、暗号化は透過的であるため、ユーザーがアプリ ケーションおよびデータを扱う方法を変える必要はありません。 通常、アプリケーションは、ユーザーが作業を進めると同時にデータを復号化します。時折、アプリケーションがファイルを暗号化 または復号化しているときに、アプリケーションがそのファイルに同時アクセスしようと
2 要件 この要件には、Encryption Personal のインストールに必要な要件をすべて詳述します。 暗号化 ● Encryption Personal を正常にインストールするには資格が必要です。この資格は、Encryption Personal 購入時に提供されます。 Encryption Personal を購入する方法に応じて、それに付随する簡単な手順を使用して、資格を手動でインストールすることがで きます。また、コマンドラインで資格を入力することもできます。Encryption Personal を Dell Digital Delivery によってインスト ールした場合、資格のインストールは Dell Digital Delivery サービスによってすでに完了しています(Encryption Enterprise と Encryption Personal では同じバイナリが使用されます。どのバージョンをインストールするかは、資格によって指定されます)。 ● Encryption Personal を使用して Microsoft Live アカウントを有効にするには、KB 記事 S
イルス スキャンと暗号化の非互換性を回避するため、多くのウイルス対策プロバイダーを除外するハードコード機能をデフォル トで内蔵しています。 リストにないウイルス対策プロバイダーを使用している場合や何らかの互換性の問題が検出された場合は、KB 記事 SLN288353 を参照するか Dell ProSupport に問い合わせて、お使いのソフトウェア ソリューションと Dell Data Security ソリューションの相 互運用性の設定を確認してください。 ● オペレーティングシステムの再インストールもサポートされていません。オペレーティングシステムを再インストールするに は、ターゲットコンピュータをバックアップしてからそのコンピュータをワイプし、オペレーティングシステムをインストール した後、確立した回復手順に従って暗号化されたデータを回復してください。 ● 最新のマニュアルや技術アドバイザリーについて、dell.
ハードウェア ○ 512 MB RAM メモ: エンドポイントでファイルを暗号化する場合は、追加の空きディスク容量が必要になります。このサイズは、ポリ シーとドライブの容量によって異なります。 ● 次の表に、サポートされているコンピュータハードウェアについて詳しく示します。 オプションの組み込みハードウェア ○ TPM 1.2 または 2.0 オペレーティングシステム ● 次の表では、対応オペレーティングシステムが詳しく説明されています。 Windows オペレーティングシステム(32 ビットと 64 ビット) ○ ○ ○ ○ ○ Windows 7 SP1:Enterprise、Professional、Ultimate アプリケーション互換テンプレートでの Windows Embedded Standard 7 Windows 8.1:Enterprise、Pro Windows Embedded 8.
暗号化されたメディアにアクセスする場合にサポートされる Mac オペレーティングシステム(64 ビットカーネル) ○ macOS High Sierra 10.13.5 - 10.13.6 ○ macOS Mojave 10.14.0~10.14.4 ○ macOS Catalina 10.15.5~10.15.
前提条件 検証するために、Microsoft KB で提供されている更新プログラム(https://support.microsoft.com/help/4474419 および https://support.microsoft.
国際キーボードのサポート - UEFI DE-FR - (スイスフランス語) EN-GB - 英語(イギリス英語) DE-CH -(スイスドイツ語) EN-CA - 英語(カナダ英語) EN-US - 英語(アメリカ英語) 国際キーボードのサポート - UEFI 非対応 AR - アラビア語(ラテン文字を使用) EN-US - 英語(アメリカ英語) DE-FR - (スイスフランス語) EN-GB - 英語(イギリス英語) DE-CH -(スイスドイツ語) EN-CA - 英語(カナダ英語) オペレーティングシステム ● 次の表は、対応オペレーティングシステムの詳しい説明です。 Windows オペレーティングシステム(32 ビットと 64 ビット) ○ Windows 7 SP0-SP1:Enterprise、Professional、Ultimate(レガシーブートモードでのみサポート、UEFI では未サポート) メモ: NVMe 自動暗号化ドライブは Windows 7 ではサポートされません。 ○ Windows 8.
3 ソフトウェアのダウンロード このセクションでは、dell.com/support からソフトウェアを取得する方法の詳細について説明します。ソフトウェアをすでに取得し ている場合は、本項を省略できます。 dell.com/support にアクセスして手順を開始します。 1. Dell サポート Web ページで、 [すべての製品の参照]を選択します。 2. 製品のリストから セキュリティ を選択します。 3.
4. デル製品を選択します。 例: Dell Encryption Enterprise Dell Endpoint Security Suite Enterprise 5. ドライバおよびダウンロード を選択します。 6. 目的のクライアントのオペレーティングシステムの種類を選択します。 7. 一致する Dell Encryption を選択します。これは一例ですので、実際には内容が一部異なる場合があります。たとえば、選択対 象は 4 ファイルとは限りません。 8.
4 インストール Encryption Personal は、マスターインストーラを使用してインストール(推奨)、またはマスターインストーラから子インストーラを 抽出してインストールすることができます。いずれの方法でも、Encryption Personal は、ユーザーインタフェース、コマンドライン またはスクリプト、および組織で使用可能な任意のプッシュテクノロジを使用してインストールできます。 ユーザーは、アプリケーションに関するサポートについては次のヘルプファイルを参照するようにしてください。 メモ: Encryption Management Agent の前に Policy-Based Encryption がインストールされている場合、コンピューターでクラッシ ュが発生する可能性があります。この問題は、PBA 環境を管理する暗号化スリープ ドライバーのロードに失敗したことが原因 で発生します。回避策としては、マスター インストーラーを使用するか、Encryption Management Agent の後に Policy-Based Encryption がインストールされていることを確認します。
1. 作業を始める前に、必要に応じてインストール先のコンピュータに資格をインストールします。コンピューターに資格を追加す る手順は、ライセンス情報を説明する電子メールに記載されています。 2. DDSSetup.exe をローカルコンピュータにコピーします。 3. DDSSetup.exe をダブルクリックしてインストーラを起動します。 4. インストールの前提条件のステータスに関するアラートを示すダイアログが表示されます。これには数分かかります。 5. ようこその画面で次へをクリックします。 6. ライセンス契約を読み、条項に同意して、次へ をクリックします。 7. 次へをクリックして、Encryption Personal を次のデフォルトの場所にインストールします。 C:\Program Files\Dell\Dell Data Protection\. 8.
9.
10.[はい、今すぐコンピューターを再起動します]を選択し、[完了]をクリックします。 11.
コマンド ラインでのインストール コマンド ラインを使用して Encryption Personal をインストールするには、最初にマスター インストーラーから子実行可能ファイル を抽出する必要があります。「マスターインストーラからの子インストーラの抽出」を参照してください。完了したら、この項に戻り ます。 ● 作業を始める前に、必要に応じてインストール先のコンピュータに資格をインストールします。 ● メモ: ディスクストレージが不足しているためにインストールできない場合は、Dell Encryption ログを指定しないでくださ い。 ● スイッチ コマンド ラインを使用したインストールでは、最初にスイッチを指定する必要があります。次の表に、インストールで使用で きるスイッチの詳細を示します。 スイッチ 意味 /s サイレントモード /z InstallScript システム変数 CMDLINE にデータを渡す ● パラメーター: 次の表に、インストールで使用できるパラメータの詳細を示します。 パラメータ InstallPath=path to alternate installation lo
5 Encryption Personal Windows のユーザー名とパスワードを使用してログオンします。ユーザーは Windows にシームレスにパスされます。インターフェ イスを認識するのに慣れ以外の外観が異なる場合があります。 1. UAC によりアプリケーションを実行するよう求められる場合があります。その場合は、 [ はい ] をクリックします。 2. 初期インストールを再起動した後、Advanced Authentication のアクティブ化ウィザードが表示されます。次へ をクリックしま す。 3. 新しい Encryption 管理者パスワード(EAP)を入力し、再入力します。次へ をクリックします。 注:Encryption 管理者パスワードは 8 文字以上、127 文字以下にする必要があります。 4.
5. 適用 をクリックして Advanced Authentication のアクティベーションを開始します。 Advanced Authentication のアクティブ化ウィザードが終了したら、次の手順に進みます。 6.
7. ポリシーテンプレートを選択します。ポリシーテンプレートはデフォルトポリシー設定を確立します。 初期設定を完了すると、ローカル管理コンソールにおける異なるポリシーテンプレートの適用、または選択したテンプレートの カスタム化を簡単に行うことができるようになります。 次へ をクリックします。 8. Windows パスワードの警告を読み、確認します。この時点で Windows パスワードを作成する場合は、要件に関する項を参照し てください。 9.
10. 参照 をクリックして、暗号化キー(LSARecovery_[hostname].
11. 暗号化設定の確認 画面に暗号化設定のリストが表示されます。設定を確認し、設定に問題がなければ 確認 をクリックします。 コンピュータの設定が開始されます。ステータスバーには、設定の進捗状況が表示されます。 12.
13. コンピューターが暗号化用に設定されると再起動が必要になります。[今すぐ再起動]をクリックします。または、5 回(各 20 分)再起動を延期することができます。 14.
暗号化はバックグラウンドで実行されます。ローカルの管理コンソールを開くか閉じることができます。ファイルの暗号化は、 いずれの場合でも行われます。コンピュータは、暗号化中も通常どおり使用することができます。 15.
Encryption Personal
6 コンソールの設定 デフォルト設定では、管理者とユーザーが、追加の設定を行うことなくアクティブ化後すぐに Advanced Authentication を使用する ことができます。ユーザーは、Windows パスワードを使用してコンピュータにログオンするときに Advanced Authentication ユーザー として自動的に追加されますが、デフォルトでは、Windows 多要素認証は有効化されていません。 Advanced Authentication 機能を設定するには、コンピュータの管理者である必要があります。 管理者パスワードおよびバックアップ場所の変更 Advanced Authentication のアクティブ化後、必要に応じて管理者パスワードおよびバックアップ場所を変更することができます。 1. デスクトップショートカットから、管理者として Dell Data Security Console を起動します。 2. 管理者設定 タイルをクリックします。 3. 認証ダイアログで、アクティブ化中にセットアップされた管理者パスワードを入力し、OK をクリックします。 4.
6. 確認のためにもう一度パスワードを入力し、適用 をクリックします。 7. リカバリキーが保存されている場所を変更するには、左ペインで バックアップ場所の変更 を選択します。 8.
Pre-Boot 認証の設定 PBA は、コンピューターに SED が搭載されている場合に使用できます。PBA は、[Encryption]タブで設定します。Dell Encryption が SED の所有権を引き継ぐと、PBA が有効になります。 SED 管理を有効にするには、次の手順を実行します。 1. Data Security Console で 管理者設定 タイルをクリックします。 2.
6.
7. サマリ ページで 適用 をクリックします。 8. プロンプトが表示されたら、シャットダウン をクリックします。 暗号化が開始される前に、完全なシャットダウンが必要です。 9.
● アンインストールなど SED 管理を無効にする - [復号化]をクリックします。 最初に SED 管理を有効にして、起動前ポリシーとカスタム化を設定すると、[起動前設定]タブで次のアクションを使用できるよ うになります。 ● 起動前ポリシーまたはカスタム化の変更:起動前設定 タブをクリックし、起動前カスタム化 または 起動前ログオンポリシー の いずれかを選択します。 ユーザーおよびユーザー認証の管理 ユーザーの追加 Windows ユーザーは、Windows へのログオン時、または資格情報の登録時に自動的に Encryption Personal ユーザーになります。 Data Security Console の ユーザーの追加 タブでドメインユーザーを追加するには、コンピューターがドメインに接続されている必要 があります。 1. 管理者設定ツールの左ペインで、ユーザー を選択します。 2. ユーザー ページの右上にある ユーザーの追加 をクリックして、既存の Windows ユーザーの登録処理を開始します。 3. ユーザーの選択 ダイアログが表示されたら、オブジェクトタイプ を選択します。 4.
7 マスターインストーラのアンインストール ● 各コンポーネントを個別にアンインストールし、その後でクライアントは、アンインストールの失敗を防止するために特定の順 序でアンインストールする必要があります。 ● 手順の説明をに 抽出します。マスターインストーラから子のインストーラの 子のインストーラを入手します。 ● 必ずインストールと同じバージョンのクライアントをアンインストールにも使用してください。 ● この章では意味を別の章を含む 詳細な 指示子のインストーラのアンインストール方法の。この章で説明している手順の最後で のみ、マスターインストーラをアンインストールします。 クライアントを以下の順序でアンインストールします。 1. Encryption クライアントをアンインストールします。 2.
8 子インストーラを使用したアンインストール ● デルは、Data Security Uninstaller を使用して Encryption Personal を削除することをお勧めします。 ● 復号とアンインストールを実行するユーザーは、ローカルまたはドメイン管理者である必要があります。コマンドラインでアン インストールする場合は、ドメイン管理者資格が必要です。 ● マスターインストーラを使用して Encryption Personal をインストールした場合、「マスターインストーラから子インストーラを抽 出する」に記述されているように、アンインストールの前にマスターインストーラから子実行可能ファイルを抽出する必要があ ります。 ● 必ずインストールと同じバージョンのクライアントをアンインストールにも使用してください。 ● 可能であれば、復号化は夜間に実行してください。 ● スリープモードをオフにして、誰も操作していないコンピュータがスリープ状態になるのを防ぎます。スリープ状態のコンピュ ータでは復号化は行われません。 ● ロックされたファイルが原因で失敗する可能性を最小限に抑えるために、すべてのプロセス
● Encryption Removal Agent をインストールしない このオプションは、暗号化クライアントがアンインストールされます が、ファイルの暗号化されません.このオプションは、 Dell ProSupport の指示に従ったトラブルシューティング目的 限定 で使用するようにしてください。 次へ をクリックします。 5. バックアップファイル で、バックアップファイルのネットワークドライブまたはリムーバブルメディアの場所へのパスを入力 するか、... をクリックして、場所を参照します。ファイルフォーマットは LSARecovery_[ホスト名].exe です。 暗号管理者パスワードを入力します。これは、ソフトウェアをインストールしたときのセットアップウィザードのパスワードで す。 次へ をクリックします。 6. Dell 復号化エージェントサービスのログオン で ローカルシステムアカウント を選択し 完了 をクリックします。 7. [ プログラムの削除画面で、削除をクリックします。 8. 設定完了 画面で 9.
以下に説明されている、 意味 /qb!- キャンセル ボタンなしの進捗状況ダイアログ、処理完了後に自動で再起動 /qn ユーザーインタフェースなし ● Encryption クライアントインストーラは、マスターインストーラから抽出された後、C:\extracted\Encryption \DDPE_XXbit_setup.
コマンドラインからのアンインストール ● Encryption Management Agent インストーラは、マスターインストーラから抽出された後、次の場所に置かれます。 C:\extracted\Encryption Management Agent\EMAgent_XXbit_setup.exe ● 次の例は、SED 管理をサイレントアンインストールします。 EMAgent_XXbit_setup.
9 Data Security Uninstaller Encryption Personal のアンインストール Dell では、マスターアンインストーラとして Data Security Uninstaller を提供しています。このユーティリティは、現在インストール されている製品を収集して、適切な順序で削除します。 Data Security Uninstaller は C:\Program Files (x86)\Dell\Dell Data Protection から入手できます。 詳細またはコマンドラインインタフェース(CLI)の使用については、KB 記事 SLN307791 を参照してください。 削除されたすべてのコンポーネントに関するログが、C:\ProgramData\Dell\Dell Data Protection\ に生成されます。 このユーティリティを実行するには、格納しているフォルダを開き、DataSecurityUninstaller setup.
必要に応じて任意のアプリケーションの削除をクリアし、次へ をクリックします。 必要な依存関係が自動的に選択またはクリアされます。 Data Security Uninstaller 39
Encryption Removal Agent をインストールせずにアプリケーションを削除するには、Encryption Removal Agent で インストールし ない を選択して 次へ を選択します。 Encryption Removal Agent - ファイルからキーをインポート を選択し、次へ を選択します。 リカバリキーの場所を参照し、そのファイルのパスフレーズを入力して、次へ をクリックします。 40 Data Security Uninstaller
削除 を選択してアンインストールを開始します。 終了 をクリックして削除を完了し、コンピュータを再起動します。デフォルトでは、完了をクリックした後マシンを再起動する が 選択されています。 Data Security Uninstaller 41
アンインストールと削除が完了しました。 42 Data Security Uninstaller
10 「ポリシーテンプレートの説明」 Personal Edition ローカル管理コンソールのポリシー上にマウスを置くと、ツールヒントが表示されます。 ポリシー ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 固定ストレージポリシー SDE 暗号 化有効 True False このポリシーは、他のすべて の System Data Encryption (SDE)ポリシーに対する「マ スターポリシー」となりま す。このポリシーが False の場合は、他のポリシーの値 に関わらず、SDE 暗号化は 一切実行されません。 値が True の場合は、他の Policy-Based E
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 一般設定ポリシー 暗号化有 効 True False このポリシーは、すべての一 般設定ポリシーに対する 「マスターポリシー」となり ます。値を False にすると、 他のポリシーの値に関わら ず、暗号化は一切実行され ません。 値を True にすると、すべて の暗号化ポリシーが有効に なります。 このポリシーの値を変更す ると、ファイルを暗号化 / 復号化するための新たなス イープがトリガされます。 共通の暗 号化フォ ルダ 文字列 - それぞれ 500 文字 のエントリを最大 100 件 (最大 2048 文字) 暗号化され
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 れた場合は、このポリシーが 優先されます。 共通の暗 号化アル ゴリズム AES256 アプリケ ーション データ暗 号化リス ト winword.exe AES-256、Rijndael 256、AES 128、Rijndael 128 システムページングファイ ルは AES-128 を使用して暗 号化されます。 excel.exe powerpnt.exe msaccess.exe winproj.exe outlook.exe acrobat.exe visio.exe mspub.exe notepad.
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 以下のハードコーディング されたシステムおよびイン ストーラプロセス名は、この ポリシーに指定しても無視 されます。 hotfix.exe、update.exe、 setup.exe、msiexec.exe、 wuauclt.exe、wmiprvse.exe、 migrate.exe、unregmp2.exe、 ikernel.exe、wssetup.exe、 svchost.
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 録されたパスが、ユーザー データ暗号化キーで暗号化 されます。 インター ネット一 時ファイ ルの暗号 化 True True に設定すると、環境変 数 CSIDL_INTERNET_CACHE にリストされたパスが、ユ ーザーデータ暗号化キーで暗 号化されます。 False 暗号化スイープ時間を短縮 するため、クライアントは 初期暗号化のための CSIDL_INTERNET_CACHE の内容に加え、このポリシ ーへのアップデートもクリ アします。 このポリシーは、Microsoft Internet Explorer を使用する
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 ロックされる前に、確実に サービスを停止します。こ のポリシーによって、サービ スが無反応の場合に、ユー ザーがログオフできないよ うにすることも可能です。 構文は、1 行ごとに 1 つの サービス名となります。サ ービス名に空白を含むこと も可能です。 ワイルドカードはサポート されていません。 管理対象外のユーザーがロ グオンすると、管理対象サ ービスは起動しません。 暗号化後 クリーン アップの セキュア 化 3 パス 上書き 1 パス上書き 上書き なし 上書きなし、1 パス上書き、 3 パス上書き、7 パス上書き このポリシ
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 しくなり、暗号化処理が最 もセキュアになります。 セキュア な Windows 休止状態 ファイル True False True False 有効にした場合、コンピュ ータが休止状態に入るとき にのみ休止状態ファイルが 暗号化されます。コンピュ ータが休止状態から復帰す るとクライアントによって 保護が解除され、コンピュ ータの使用中はユーザーま たはアプリケーションに影 響することなく保護が提供 されます。 非セキュ アな休止 状態の防 止 True False True False 選択した場合、クライアン トは、
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 ユーザー暗 AES256 号化アル ゴリズム ユーザーデ ユーザ ー ータ暗号 化キー 説明 AES 256、Rijndael 256、AES 128、Rijndael 128 個々のユーザーレベルでの データの暗号化に使用され る暗号化アルゴリズムで す。同じエンドポイントの ユーザーごとに異なる値を 指定できます。 共通 ユーザ ー 共通 ユーザ ー 共通またはユーザー 次のポリシーで暗号化され たファイルにアクセスでき るユーザーと、その場所を指 定するキーを選択します。 • ユーザー暗号化フォルダ • Outlook Perso
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 ディスクパーティション全 体を暗号化する暗号化ポリ シーの組み入れを選択する 場合は、共通またはユーザー の暗号化ポリシーではなく、 デフォルトの SDE 暗号化 ポリシーを使用することを お勧めします。これによ り、管理対象ユーザーがログ インしていない状態でも、 暗号化された任意のオペレ ーティングシステムファイ ルに確実にアクセスできる ようになります。 Hardware Crypto Accelerator(v8.9.1 Encryption クライアントにより v8.
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 False に設定すると、フォレ ンジックメタデータはドラ イブに包含されません。 False から True に変更する と、ポリシーに基づいて再ス イープされ、フォレンジック が追加されます。 セカンダ False リドライ ブ暗号化 のユーザー 承認の許 可 True に設定すると、ユーザ ーが追加ドライブを暗号化 するかどうかを決定するこ とができます。 暗号化ア ルゴリズ ム AES-256 または AES-128 AES256 ポート制御ポリシー ポート制 御システ ム 無効 すべてのポート制御システ ムポリシーを有
ポリシー ポート: Firewire (1394) 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 有効 外部 Firewire(1394)ポート に対するポートアクセスを 有効化、無効化、またはバ イパスします。 ポート:SD 有効 サブクラ ブロッ スストレ ク ージ:外部 ドライブ 制御 説明 SD カードポートに対するポ ートアクセスを有効化、無効 化、またはバイパスします。 読み取り専用 完全アクセス 読み取 り専用 完全ア クセス クラス:ストレージの子。こ のポリシーを使用するには、 クラス:ストレージを Enabled に設定する必要が あります。 このポリシーには、 p
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 サブクラ 読み取 スストレ り専用 ージ:光学 ドライブ 制御 PCI (Regul ation) データ 漏洩規 制の対 象 UDF のみ HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 完全アクセス 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 UDF の み 完全ア クセス クラス:ストレージの子。こ のポリシーを使用するには、 クラス:ストレージを Enabled に設定する必要が あります。 フルアクセス:光学ドライ ブポートではデータの読み 取り/書き込み制限は適用 されません。 UDF のみ:UDF フォーマッ ト以外のすべてのデータの 書き込みをブロックします (CD/DVD 書き込み、ISO 書 き込み)。データの読み取り は有効です。 読み取り専用:読み取り機 能が可
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 読み取り/書き込み制限は 適用されません。 読み取り専用:読み取り機 能が可能です。データの書 き込みは無効です。 ブロック:ポートでは読み取 り/書き込み機能がブロッ クされます。 このポリシーはエンドポイ ントベースであり、ユーザー ポリシーによる上書きはで きません。 クラス: 有効 Windows ポータブ ルデバイ ス(WPD) 次のポリシーに対する親で す。サブクラス Windows ポータブルデバイス (WPD):ストレージポリシ ーを使用するには、このポリ シーを Enabled に設定しま す。このポリシーを Disabl
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 クラス:ヒ 有効 ューマン インター フェイス デバイス (HID) すべてのヒューマンインタ フェースデバイスへのアク セスを制御します。 クラス:そ 有効 の他 その他のクラスの対象とな らないすべてのデバイスへ のアクセスを制御します。 メモ: USB ポートレベルの ブロッキングと HID クラス レベルのブロッキングは、 コンピュータシャーシがラ ップトップまたはノートブ ックのフォームファクタと して識別できる場合にのみ 有効です。コンピュータの BIOS には、シャーシの識別 のために依存します。 リムーバブルストレー
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) ィアへの EMS アク セス データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 このポリシーには、 pc のや り取りします。「Encryption External Media と PCS Interactions」を参照してく ださい。 このポリシーがアクセスを ブロックするように設定さ れていると、暗号化されて いない限り、リムーバブルス トレージにはアクセスでき ません。 読み取り専用または完全ア クセスのいずれかを選択す ると、どのリムーバブルスト レージを暗号化するかを指 定できます。 リムーバブルストレージを 暗号化しないことを選択 し、このポリシーを完全アク セスに設定する
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 EMS 暗号化ポリシーが True になっていると、新規およ び変更されたファイルのみ が暗号化されます。 認証なしにリムーバブルメ ディアに追加されるすべて のファイルを検出できるよ うに、挿入のたびにスキャ ンが実行されます。認証が 拒否された場合、ファイル はリムーバブルストレージ に追加されますが、暗号化 されたデータにはアクセス できません。この場合、追 加されたファイルは暗号化 されないため、メディアが 認証されたタイミングで (暗号化データが機能するよ うに)、追加された可能性の あるすべてのファイルはス キャンされ、暗号化され
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 2. C:\Programdata\Dell \Dell Data Protection \Encryption\EMS の EMSService.log を開き ます。 3. 「PNPDeviceID=」を検索 します。 例:14.03.18 18:50:06.834 [I] [Volume "F:\"] PnPDeviceID = USBSTOR \DISK&VEN_SEAGATE &PROD_USB&REV_040 9\2HC015KJ&0 EMS デバイスのホワイトリ ストのポリシーで、次を指定 します。 VEN= ベンダー(例: U
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 EMS パス ワードに 英字が必 要 True EMS パス ワードに 大文字小 文字の混 在が必要 True EMS パス ワードに 必要な文 字数 最低 8 文字 EMS パス ワードに 数字が必 要 True False EMS パス ワード試 行の許可 回数 2 3 EMS パス ワードに 特殊文字 が必要 True EMS クー ルダウン 時間遅延 30 EMS クー ルダウン 時間増分 30 PCI (Regul ation) データ 漏洩規 制の対 象 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 True に設定すると、パスワ ードに 1 つまたは複数の文 字が必要になります。 Selected に設定すると、パ スワードに少なくとも大文
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 合計で 2048 文字まで使用 できます。行間にラインを 追加するために使用された 「空白」および「改行」文字 は、使用した文字として計 上されます。2048 文字を 越えるルールは無視されま す。 Firewire、USB、eSATA など のマルチインタフェース接 続を内蔵したストレージデ バイスでは、デバイスの暗 号化に Encryption External Media と暗号化ルール両方 の使用が必要となる場合が あります。これは、 Windows オペレーティング システムがストレージデバ イスを処理する方法がイン タフェースタイ
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 ユーザーエクスペリエンス制御ポリシー 更新時の 強制再起 動 True 各再起動 の遅延時 間の長さ +5 再起動遅 延の許容 回数 1 ファイル 競合通知 の抑制 False ローカル 暗号化処 理制御の 表示 False False 10 値を True に設定すると、コ ンピュータはすぐに再起動 して暗号化処理を実行する か、System Data Encryption (SDE)などの、デバイスベ ースのポリシーに関連して 更新を行います。 20 15 ユーザーがデバイスベース のポリシーに対する再起動
ポリシー 固定ド ライブ および 外部ド ライブ のすべ てに対 する積 極的な 保護 PCI (Regul ation) データ 漏洩規 制の対 象 HIPAA (Regul ation) 固定ド ライブ および 外部ド ライブ のすべ てに対 する基 本的な 保護 (デフ ォル ト) 固定ド ライブ すべて に対す る基本 的な保 護 システ ムドラ イブの みに対 する基 本保護 外部ド ライブ に対す る基本 的な保 護 暗号化 無効 説明 User-Optional では、通知領 域のアイコンにオプション が追加され、ユーザーがこの 機能をオンまたはオフにで きます。 False を設定すると、ユーザ ーが作業中であっても、暗号 化処理はいつでも実行され ます。 このオプションを有効にす ると、暗号化または復号化 を完了するために必要な時 間を大幅に増やすことがで きます。 テンプレートの説明 固定ドライブおよび外部ドライブのすべてに対する積極的な保護 このポリシーテンプレートは、企業全体における強力なセキュリティとリスク回避を主な目標とする組織のために設計されていま す。こ
化法とも呼ばれます)では、暗号化は義務付けられていませんが、ただし、連邦財務審査委員会(FFIEC)では、「金融機関は、機 密情報の漏洩および改ざんのリスクを軽減するため、情報の保存時および転送時に暗号化を採用することが望ましい」と推奨して います。カリフォルニア州上院法案 1386(California's Database Security Breach 通知条例)では、組織にコンピュータセキュリティ 侵害が発生した場合、影響された個人すべてに通知することを要求して、カリフォルニア州在住者をなりすまし犯罪から保護しよ うとしています。組織が顧客への通知を回避するための唯一の方法は、セキュリティ侵害が発生する前に個人情報がすべて暗号化 されていたことを証明できることです。 このポリシーテンプレートでは以下の機能が提供されます。 ● システムドライブおよびすべての固定ドライブに対する保護。 ● ユーザーに対するリムーバブルメディアデバイスの暗号化のプロンプト表示。 ● UDF CD/DVD 限定の書き込み機能。ポート制御設定は、すべての光学ドライブに対する読み取りアクセスを可能にします。 HIPAA 規制の
外部ドライブに対する基本的な保護 このポリシーテンプレートでは以下の機能が提供されます。 ● リムーバブルメディアデバイスの保護。 ● UDF CD/DVD 限定の書き込み機能。ポート制御設定は、すべての光学ドライブに対する読み取りアクセスを可能にします。 このポリシーテンプレートでは以下の機能は提供されません。 ● システムドライブ(通常オペレーティングシステムがロードされる C: ドライブ)またはその他固定ドライブに対する保護。 暗号化無効 このポリシーテンプレートでは、暗号化による保護は行われません。このテンプレートを使用する場合は、デバイスをデータの損失 や窃盗から守るほかの手段を講じてください。 このテンプレートは、セキュリティへの移行において、アクティブな暗号化なしでの開始を希望する組織に役立ちます。組織がセ キュリティ導入に順応していくに従い、個々のポリシーを調整する、または組織の一部または全体に対してより強力なテンプレー トを適用することによって、徐々に暗号化を有効にしていくことができます。 「ポリシーテンプレートの説明」 65
11 子インストーラの抽出 ● 各クライアントを個別にインストールするには、子の実行可能ファイルをインストーラから抽出します。 ● マスターのインストーラがインストールに使用されている場合は、クライアントの個別にアンインストールする必要があります。 このプロセスを使用します。アンインストール用にインストールできるように使用でき、マスタインストーラからクライアント を抽出します。 1. Dell インストールメディアから、DDSSetup.exe ファイルをローカルコンピュータにコピーします。 2. DDSSetup.exe ファイルと同じ場所でコマンドプロンプトを開き、次のコマンドを入力します。 DDSSetup.exe /z"\"EXTRACT_INSTALLERS=C:\extracted\"" 抽出パスは 63 文字を超えられません。 インストールを開始する前に、すべての前提条件が満たされており、インストールする予定の各子インストーラに対して必要な すべてのソフトウェアがインストールされていることを確認します。参照を 要件の 詳細については。 抽出した子インストーラは C:\extracted\.
12 トラブルシューティング Windows 10 April 2018 Update へのアップグレード Encryption を実行しているコンピューターは、特別に設定された Windows 10 アップグレードパッケージを使用して、Windows 10 October 2018 Update にアップグレードする必要があります。設定されているバージョンのアップグレードパッケージは、Encryption が暗号化ファイルへのアクセスを管理して、アップグレードプロセス中にそれらのファイルを危害から確実に保護します。 Windows 10 April 2018 Update バージョンにアップグレードするには、KB 記事 SLN298382 の手順に従います。 Dell Encryption のトラブルシューティング (オプション)Encryption Removal Agent ログファイルの作成 ● アンインストール処理を開始する前に、オプションで Encryption Removal Agent のログファイルの作成を行います。このログフ ァイルは、アンインストールや復号化操作のトラブルシューティング
● EMS で CD/DVD 暗号化を除外 = 選択なしに設定します。 ● サブクラスストレージの設定:光学ドライブコントロール = UDF Only に設定します。 WSScan の使用 ● WSScan を使用すると、Encryption をアンインストールするとき、すべてのデータが復号化されていることを確認することがで きます。また、暗号化ステータスを表示し、暗号化されるべき非暗号化状態のファイルを特定することもできます。 ● このユーティリティの実行には管理者権限が必要です。 メモ: ターゲットファイルがシステムアカウントによって所有されている場合、WSScan は PsExec ツールを使用してシステ ムモードで実行する必要があります。 WSScan Dell インストールメディアから、スキャン対象の Windows コンピュータに WSScan.exe をコピーします。 上記の場所でコマンドラインを起動して、コマンドプロンプトに wsscan.
または 1. 詳細設定 をクリックし、ビューを シンプル に切り替えて、特定のフォルダをスキャンします。 2. スキャン設定 に移動して、検索パス フィールドにフォルダパスを入力します。このフィールドを使用した場合、メニューの選 択は無視されます。 3. WSScan の出力をファイルに書き込まない場合は、ファイルに出力 チェックボックスをオフにします。 4. 必要に応じて、パスに含まれているデフォルトパスとファイル名を変更します。 5. 既存のどの WSScan 出力ファイルも上書きしない場合は、既存のファイルに追加 を選択します。 6.
WSScan 出力 暗号化ファイルに関する WSScan の情報には、次の情報が含まれています。 出力例: [2015-07-28 07:52:33] SysData.7vdlxrsb._SDENCR_: "c:\temp\Dell - test.
出力 意味 KCID キーコンピュータ ID。 上記の例では、「7vdlxrsb」 マッピングされているネットワークドライブをスキャンした場合、KCID はスキャンレポー トに表示されません。 UCID ユーザー ID。 上記の例では、「_SDENCR_」 UCID は、そのコンピュータのすべてのユーザーで共有されます。 ファイル 暗号化ファイルのパス。 上記の例では、「c:\temp\Dell - test.log」 アルゴリズム ファイルの暗号化に使用した暗号化アルゴリズム。 上記の例では、「is still AES256 encrypted」 Rijndael 128 Rijndael 256 AES-128 AES-256 3DES Encryption Removal Agent ステータスのチェック Encryption Removal Agent は、サービスパネル(スタート > ファイル名を指定して実行... > services.
Encryption External Media で iPod を暗号化する方法 これらのルールによって、iPod に限らず、すべてのリムーバブルデバイスの上記のフォルダおよびファイルタイプの暗号化が無効 または有効になります。ルールを定義するときは注意して行ってください。 ● 予期しない結果が発生する可能性があるため、iPod Shuffle の使用はお勧めしません。 ● iPod の変更に伴い、この情報も変更される場合があります。このため、Encryption External Media 対応コンピュータでの iPod の 使用許可には注意を払うようにしてください。 ● iPod 上のフォルダ名は iPod のモデルによって異なるため、すべての iPod モデルのすべてのフォルダ名を対象とする除外ポリ シーを作成することをお勧めします。 ● Encryption External Media 経由での iPod の暗号化がデバイスを使用不能にしないようにするには、Encryption External Media 暗 号化ルールポリシーに次のルールを入力してください。 -R#:\Calendars -
Dell ControlVault ドライバ Dell ControlVault ドライバおよびファームウェアのアップデート ● 工場で Dell コンピュータ にインストールされている Dell ControlVault ドライバおよびファームウェアは古いため、次の手順の順 序にしたがってアップデートする必要があります。 ● クライアントのインストールの際に、Dell ControlVault のドライバをアップデートするためにインストーラを終了することを促す エラーメッセージが表示された場合、このメッセージは無視してクライアントのインストールを続行します。Dell ControlVault ド ライバ(およびファームウェア)はクライアントのインストールが完了した後にアップデートすることができます。 最新のドライバのダウンロード 1. dell.com/support にアクセスします。 2. お使いのコンピュータモデルを選択します。 3.
4. ターゲットコンピューターの オペレーティングシステム を選択します。 5.
6. Dell ControlVault ドライバをダウンロードして保存します。 7. Dell ControlVault ファームウェアをダウンロードして保存します。 8. 必要に応じて、ターゲットコンピュータにドライバとファームウェアをコピーします。 Dell ControlVault ドライバのインストール 1.
2. Dell ControlVault ドライバをダブルクリックして自己解凍形式の実行可能ファイルを実行します。 メモ: ドライバを先にインストールします。本文書の作成時における ドライバのファイル名は ControlVault_Setup_2MYJC_A37_ZPE.exe です。 3. 続行 をクリックして開始します。 4. Ok をクリックして、ドライバー ファイルをデフォルトの場所である C:\Dell\Drivers\に解凍します。 5.
6. 正常に解凍しましたというメッセージが表示されたら Ok をクリックします。 7. 抽出後、ファイルが含まれているフォルダが表示されます。表示されない場合は、ファイルを抽出したフォルダに移動します。 この場合、フォルダは JW22F です。 8. CVHCI64.MSI をダブルクリックしてドライバインストーラを実行します。[この例の場合は CVHCI64.MSI です(32 ビットの コンピュータ用 CVHCI)]。 9.
10. 次へをクリックして、ドライバーを次のデフォルトの場所にインストールします。 C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\. 11.
12. インストール をクリックしてドライバのインストールを開始します。 13.
ドライバのインストールの検証 ● オペレーティングシステムおよびハードウェアの構成によっては、デバイスマネージャに Dell ControlVault デバイス(およびそ の他のデバイス)が表示されます。 Dell ControlVault ファームウェアのインストール 1. ファームウェアのインストールファイルをダウンロードしたフォルダに移動します。 2. Dell ControlVault ファームウェアをダブルクリックして自己解凍形式の実行可能ファイルを実行します。 3.
4. Ok をクリックして、ドライバー ファイルをデフォルトの場所である C:\Dell\Drivers\に解凍します。 5. はい をクリックして新しいフォルダの作成を許可します。 6. 正常に解凍しましたというメッセージが表示されたら Ok をクリックします。 7.
8. ushupgrade.exe をダブルクリックしてファームウェアインストーラを実行します。 9.
メモ: ファームウェアを旧バージョンからアップグレードする場合は、管理者パスワードの入力を求められることがあります。 Broadcom をパスワードとして入力し、このダイアログが表示された場合は Enter をクリックします。 いくつかのステータスメッセージが表示されます。 トラブルシューティング 83
トラブルシューティング
10.
レジストリ設定 この項では、Dell ProSupport で承認された、ローカル クライアント コンピューターのすべてのレジストリー設定について詳細に説 明します。 暗号化 (オプション)Encryption Removal Agent ログファイルの作成 ● アンインストール処理を開始する前に、オプションで Encryption Removal Agent のログファイルの作成を行います。このログフ ァイルは、アンインストールや復号化操作のトラブルシューティングを行う際に便利です。アンインストール処理中にファイル の復号化を行うつもりがない場合は、このログファイルを作成する必要はありません。 ● Encryption Removal Agent ログファイルは Encryption Removal Agent サービスが実行されるまで作成されず、このサービスはコン ピュータが再起動されるまで実行されません。クライアントが正常にアンインストールされ、コンピュータが完全に復号化され ると、ログファイルは完全に削除されます。 ● ログファイルのパスは C:\ProgramData\Dell\Dell Data
● Encryption クライアントでは、length of each policy update delay プロンプトが毎回 5 分間表示されます。このプロ ンプトに反応しないと、次の遅延が始まります。最後の遅延プロンプトには、カウントダウンとプログレスバーが表示され、 ユーザーが反応するか最終遅延が時間切れになり必要なログオフ / 再起動が発生するまで表示されています。 ユーザープロンプトの動作を変更し、暗号化を開始または遅延するようにして、ユーザーがプロンプトに反応しない場合の暗号 化処理を防止することができます。これを行うには、レジストリを次のレジストリ値に設定します。 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "SnoozeBeforeSweep"=DWORD:1 ゼロ以外の値にすると、デフォルトの動作がスヌーズに変更されます。ユーザーの操作がない場合、暗号化処理は設定可能な許 容遅延回数まで遅延されます。最後の遅延が時間切れになると、暗号化処理が開始されます。 最大可能遅延時間は次のように計算し
Advanced Authentication スマートカードとバイオメトリックサービス(オプション) Advanced Authentication がスマートカードおよびバイオメトリックデバイスに関連付けられているサービスを「自動」起動タイプに 変更することを避けるには、サービス起動機能を無効にすることができます。 無効にすると、Authentication は次の 3 つのサービスの起動を試行しなくなります。 ● SCardSvr - コンピュータが読み取るスマートカードへのアクセスを管理します。このサービスが停止されると、コンピュータは スマートカードを読み取ることができなくなります。このサービスが無効化されると、このサービスに確実に依存するサービス の開始が失敗するようになります。 ● SCPolicySvc - スマートカード取り外し時にユーザーのデスクトップをロックするようシステムを設定することができます。 ● WbioSrvc - Windows 生体認証サービスは、クライアントアプリケーションに対し、生体認証ハードウェアやサンプルに直接アク セスすることなく、生体認証データの取得、比較、 操
HKLM\Software\Dell\Dell Data Protection\ DWORD: DumpPolicies Value=1 メモ:この変更を有効にするには、再起動が必要です。 ● Encryption Management Agent からのトースター通知が表示されないようにするには、クライアントコンピュータで次のレジスト リ値を設定する必要があります。 [HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection] "PbaToastersAllowClose" =DWORD:1 0 = 有効(デフォルト) 1 = 無効 トラブルシューティング 89
13 用語集 Advanced Authentication - Advanced Authentication 製品では、オプションとしてスマートカードリーダを利用できます。Advanced Authentication は、これらの複数の認証方法の管理を支援し、自己暗号化ドライブ、SSO でのログインをサポートし、ユーザーの資 格情報およびパスワードを管理します。 暗号化管理者パスワード(EAP) - EAP は、各コンピュータ固有の管理用パスワードです。このパスワードは、ローカル管理コンソ ールで行われた設定変更の大部分で必要となります。また、このパスワードは、LSARecovery_[ホスト名].
