SafeGuard Easy スタートアップガイド

SafeGuard Easy
スタートアップガイド
製品バージョン: 7
ドキュメント作成日: 2014年 12月
目次
1 このガイドについて...........................................................................................................3
2 Sophos SafeGuard (SafeGuard Easy) について................................................................4
2.1 Sophos SafeGuard (SafeGuard Easy) 7.0 について............................................6
3 旧バージョンからのアップグレード..................................................................................9
4 インストールするコンポーネント...................................................................................10
5 主な作業項目....................................................................................................................11
6 SafeGuard Policy Editor のインストール.........................................................................12
7 初期構成の実行................................................................................................................13
8 デフォルトポリシーのコピーと編集...............................................................................15
9 管理者に各エンドポイントへのアクセスを許可 .............................................................16
10 ポリシーの構成パッケージへの追加..............................................................................17
11 エンドポイントへの暗号化ソフトウェアと構成パッケージのインストール.................18
11.1 暗号化前のエンドポイントの準備作業............................................................18
11.2 テストインストールの実行..............................................................................19
11.3 サービスアカウントを使った初回ログオン....................................................20
11.4 通常のユーザーとしての初回ログオン............................................................20
11.5 スクリプトによる暗号化ソフトウェアと構成パッケージのインストール
.............................................................................................................................2 1
11.6 スクリプトで使用するコマンドの例 ...............................................................23
12 パスワードを忘れた場合の復旧.....................................................................................25
12.1 Local Self Help による忘れたパスワードの復旧..............................................25
12.2 チャレンジ/レスポンスによる忘れたパスワードの復旧..................................25
13 よく実行するタスクに関する参照資料..........................................................................28
14 テクニカルサポート.......................................................................................................29
15 ご利用条件.....................................................................................................................30
2
スタートアップガイド
1 このガイドについて
このガイドでは、不正アクセスから企業のエンドポイントを保護するように Sophos
SafeGuard (SafeGuard Easy 7.0) を設定する方法について説明します。
その他の情報については、「SafeGuard Easy 管理者ヘルプ」や「SafeGuard Easy ユー
ザーヘルプ」を参照してください。
3
SafeGuard Easy
2 Sophos SafeGuard (SafeGuard Easy) に
ついて
Sophos SafeGuard (SafeGuard Easy) は、ユーザー介入なしでデータを暗号化します。ど
のデータを暗号化したらよいか、ユーザーが考える必要がありません。暗号化と復号化は、
バックグラウンドで実行されます。つまり、暗号化を行うことで、認証されていないユー
ザーによる、データの読み取りや変更を防止することができます。Sophos SafeGuard によ
る暗号化は、ストレージメディアを別のシステムに接続しても同じように実行されます。
Sophos SafeGuard の特長は次のとおりです。
■
すばやい設定が可能。
■
機密データの保護。
■
FIPS 140 準拠のテクノロジーによるデータの暗号化。
Sophos SafeGuard で保護されているエンドポイントでは、プリブート段階 (OS の開始前)
で SafeGuard Power-on Authentication (POA) が起動します。SafeGuard POA でユーザー
認証に成功すると、OS が起動し、ユーザーが Windows にログオンします。
SafeGuard POA には次のような使いやすく安全性の高い機能が用意されています。
4
■
タンパープロテクション (Sophos SafeGuard Disk Encryption で提供)。
■
ログオン失敗時の待機時間。
■
カスタマイズ可能な Windows スタイルのユーザーインターフェース。
■
Windows へのパススルー認証。
■
Unicode および多言語対応。
スタートアップガイド
IT 管理作業を支援するアクセス機能
Sophos SafeGuard には、エンドポイントでの IT 管理作業を支援する機能がいくつか用意
されています。
■
■
■
SafeGuard Power-on Authentication は、たとえば、Wake-on LAN と併用するように設
定し、パッチ管理を容易にすることができます。
サービスアカウントを使用すると、IT 担当者がインストール後のタスクを実行する際
に、SafeGuard Power-on Authentication をアクティブにする必要なく、エンドポイント
にログオンできます。
POA ユーザーアカウントは、SafeGuard Power-on Authentication がアクティブになっ
た後にユーザー (IT チームのメンバーなど) が暗号化されたエンドポイントにログオンし
て管理タスクを実行するための事前に定義されたローカルアカウントです。
復旧オプション
Sophos SafeGuard には、さまざまな復旧シナリオに合わせて個別のオプションが用意され
ています。
■
Local Self Help によるログオン復旧
Local Self Help を使用すると、パスワードを忘れたユーザーは、ヘルプデスク担当者の
手を煩わせることなく自分のエンドポイントにログオンできます。電話もネットワーク
接続も利用できない状況 (飛行機に乗っている場合など) でも、ユーザーは自分のエンド
ポイントにアクセスできるようになります。ログオンするには、SafeGuard Power-on
Authentication で、事前定義済みの複数の質問に答えます。
Local Self Help の使用によって、ログオン復旧に関する問い合わせが削減するため、ヘ
ルプデスク担当者は単純な作業から解放され、より複雑な問題解決に集中できるように
なります。
■
チャレンジ/レスポンスによる復旧
チャレンジ/レスポンスによる復旧では、ヘルプデスク担当者の支援が必要です。自分の
エンドポイントにログオンできない場合や、暗号化データにアクセスできない場合に便
利です。チャレンジ/レスポンスでは、エンドポイントで生成されたチャレンジコードを
ユーザーがヘルプデスク担当者に渡すと、ヘルプデスク担当者は、そのエンドポイント
での特定の処理の実行を認証するレスポンスコードを生成します。Sophos SafeGuard
のチャレンジ/レスポンスによる復旧では、ヘルプデスク担当者の支援を必要とする一般
的な復旧シナリオに応じて、それぞれ異なったワークフローで対処しています。
■
システム復旧
Sophos SafeGuard には、Sophos SafeGuard 用にカスタマイズされた Windows PE 回
復ディスクや Lenovo Rescue and Recovery など、システム復旧のための方法・ツール
が複数あります。Windows システムおよび Sophos SafeGuard コンポーネントで発生し
た問題は、これらのツールを使用して対処できます。
復旧は、鍵復旧ファイルに基づいて行われます。鍵復旧ファイルは、Sophos SafeGuard で
暗号化されているエンドポイントごとに作成され、通常、ネットワーク共有に保存されま
5
SafeGuard Easy
す。この復旧鍵を使用すると、故意に暗号化システムが迂回されることなく復旧処理を実行
できます。また、復旧鍵は暗号化されるため、さらにセキュリティが強化されます。このよ
うなファイルを保存するネットワーク共有とその共有へのアクセス権限は、初期構成時に自
動的に作成されます。
2.1 Sophos SafeGuard (SafeGuard Easy) 7.0 について
Sophos SafeGuard では、暗号化および追加ログオン認証を通じて、強力なデータ保護を提
供できます。
このバージョンの Sophos SafeGuard (SafeGuard Easy) は、BIOS または UEFI 搭載の
Windows 7 および Windows 8 環境のエンドポイントに対応しています。
■
BIOS の場合、Sophos SafeGuard フルディスク暗号化、または Sophos SafeGuard に
よって管理される BitLocker 暗号化のいずれかを選択できます。BIOS 版には、BitLocker
のネイティブ復旧機能があります。
注: このガイドにある SafeGuard Power-on Authentication や SafeGuard フルディスク
暗号化の説明は、Windows 7 BIOS エンドポイントのみを対象にしています。
■
UEFI の場合、ディスク暗号化は Sophos SafeGuard (SafeGuard Easy) で管理される
BitLocker を使用して実行できます。このようなエンドポイントでは、Sophos SafeGuard
のチャレンジ/レスポンス機能を使用できます。対応している UEFI のバージョンや、
SafeGuard BitLocker チャレンジ/レスポンス対応の制限事項は、次のサイトにあるリリー
スノートを参照してください。
http://downloads.sophos.com/readmes/readsgeasy_7_jpn.html
使用可能なコンポーネントは次の表を参照してください。
SafeGuard フルディスク SafeGuard によって管理 BitLocker プリブート認
暗号化と SafeGuard
される BitLocker プリ証 (PBA) 用の SafeGuard
Power-on Authentication
ブート認証 (PBA)
C/R 復旧
(POA)
はい
Windows 7 UEFI
Windows 7 BIOS
使用可
はい
はい
Windows 8 UEFI
はい
Windows 8 BIOS
はい
Windows 8.1 UEFI
はい
Windows 8.1 BIOS
はい
はい
はい
注: BitLocker プリブート認証 (PBA) 用の SafeGuard C/R 復旧は、64ビット版のみで使用
できます。
6
スタートアップガイド
SafeGuard フルディスク暗号化と SafeGuard Power-on Authentication (POA)は、エンド
ポイントのボリュームを暗号化するためのソフォスのモジュールです。SafeGuard Power-on
Authentication (POA) と呼ばれる、ソフォスのプリブート認証機能を備えており、スマート
カードや指紋を使用したログオン方法や、チャレンジ/レスポンスを使用した復旧機能があ
ります。
SafeGuard によって管理される BitLocker プリブート認証 (PBA) は、BitLocker 暗号化エ
ンジンと BitLocker プリブート認証を有効化・管理するコンポーネントです。
BIOS 版と UEFI 版があります。
■
■
UEFI 版では、さらに BitLocker 復旧用の SafeGuard チャレンジ/レスポンス機能があり
ます (ユーザーが PIN を忘れた場合に使用します)。必要な UEFI のバージョンは、リリー
スノートを参照してください。
BIOS 版に、SafeGuard チャレンジ/レスポンス機能を使用した復旧の強化機能はありま
せんが、UEFI のバージョン要件が満たされなかった場合の代替として使用できます。ソ
フォスのインストーラは、システム条件が満たされているかを確認し、満たされていな
い場合は、チャレンジ/レスポンス機能のない BitLocker を自動的にインストールします。
Sophos SafeGuard (SafeGuard Easy) は、ポリシーベースの暗号化機能を使って、エンド
ポイントに保存されている情報を保護します。
管理タスクは SafeGuard Policy Editor で行います。これを使って、セキュリティポリシー
を作成・管理したり、復旧機能を提供したりできます。ポリシーは、構成パッケージとして
エンドポイントに展開されます。ユーザー環境における主なセキュリティ機能は、データの
暗号化と未認証のアクセスに対する保護です。Sophos SafeGuard は通常のユーザー環境に
シームレスに統合できるため、直感的な操作で簡単に使えます。Sophos SafeGuard の認証
システムである SafeGuard Power-on Authentication (POA) は強力なアクセス保護を実現
し、使いやすいインターフェースは、ログオン情報を復旧する際にも使用できます。
Sophos SafeGuard のコンポーネント
Sophos SafeGuard は、以下のコンポーネントで構成されています。
7
SafeGuard Easy
コンポーネント
説明
SafeGuard Policy Editor
暗号化ポリシーや認証ポリシーの作成に使用する Sophos
SafeGuard の管理ツールです。
SafeGuard Policy Editor では、初期構成時にデフォルトポリ
シーが作成されます。
SafeGuard Policy Editor には、ユーザーがパスワードを忘れ
た場合など、エンドポイントコンピュータに再びアクセスで
きるようにする復旧機能も用意されています。
8
Sophos SafeGuard データベース
Sophos SafeGuard データベースには、エンドポイントのポ
リシー設定に関するすべてのデータが格納されます。
エンドポイント上の Sophos
SafeGuard ソフトウェア
エンドポイント上の暗号化ソフトウェアです。
スタートアップガイド
3 旧バージョンからのアップグレード
SafeGuard Easy 6.0 以降で暗号化されているエンドポイントは、SafeGuard Easy 7.0 に
アップグレードできます。
SafeGuard Policy Editor に、有効なライセンスファイルをインポートする必要があります。
ライセンスファイルは、セールスパートナーから取得してください。
詳細については、「SafeGuard Easy アップグレードガイド」の「アップグレードについ
て」および「移行について」を参照してください。
9
SafeGuard Easy
4 インストールするコンポーネント
インストールするコンポーネントは次のとおりです。
■
SafeGuard Policy Editor:これは、Sophos SafeGuard の管理コンソールです。エンドポ
イント上の暗号化ソフトウェアを管理し、復旧タスクを実行できます。
Sophos SafeGuard のポリシー設定は、Microsoft SQL Server 2012 Express Edition を使
用して保存されます。Microsoft SQL Server 2008 Express は、Microsoft SQL Server の
インスタンスが使用できない場合、SafeGuard Policy Editor セットアップ時に自動的に
インストールされます。
注: はじめに、Windows サーバーに SafeGuard Policy Editor をインストールします。後
で、そのサーバー上の一元管理用 Sophos SafeGuard データベースに接続している、複
数の管理者用コンピュータに SafeGuard Policy Editor をインストールできます。
■
Sophos SafeGuard 暗号化ソフトウェア:エンドポイント上のデータを暗号化し、不正ア
クセスから保護します。
注: この暗号化ソフトウェアは、SafeGuard Policy Editor がインストールされているコ
ンピュータにはインストールしないことをお勧めします。
10
スタートアップガイド
5 主な作業項目
実行する手順は次のとおりです。
■
■
SafeGuard Policy Editor をインストールする。
初期構成を実行する。デフォルトポリシーを作成し、ヘルプデスク担当者が復旧作業を
実行できるよう設定します。
■
デフォルトポリシーをコピーして、編集する。
■
インストール後、管理者に各エンドポイントへのアクセスを与える。
■
編集したポリシーを構成パッケージに公開する。
■
エンドポイントに暗号化ソフトウェアと構成パッケージをインストールする。
11
SafeGuard Easy
6 SafeGuard Policy Editor のインストー
ル
操作を開始する前に次の内容を確認してください。
■
■
SafeGuard Policy Editor のインストール先コンピュータに、.NET Framework 4 がインス
トール済みであることを確認します。(製品ディレクトリ内にあります。)
SafeGuard Policy Editor のインストールと同時に Microsoft SQL Server 2012 Express
Edition を自動インストールするには、 Microsoft Windows Installer 4.5 がインストール
されていることを確認してください。
■
現在のリリースノートのバージョンに記載されているシステム要件を確認します。
■
Windows の管理者権限があることを確認します。
SafeGuard Policy Editor をインストールする方法は次のとおりです。
1. 管理者権限でコンピュータにログオンします。
2. ソフォスの Web サイトを開き、社内のシステム管理者から入手したアカウント情報で
「製品・アップデート版のダウンロード」ページにログオンし、インストーラと製品ド
キュメントをダウンロードします。
3. ダウンロードしたインストーラとドキュメントを、インストール先からアクセス可能な
場所に保存します。
4. 製品のインストールフォルダから、SafeGuard Policy Editor パッケージの
SGNPolicyEditor.msi をダブルクリックします。ウィザードの指示に従って必要な手順を
実行します。
5. これ以降のダイアログではデフォルトの設定をそのまま指定します。
Microsoft SQL Server 2012 Express Edition をインストールするようメッセージが表示さ
れたら、「はい」をクリックします。この場合、使用中の Windows ログオン情報が、
SQL のユーザーアカウントとして使用されます。
6. 「完了」をクリックして、インストールを完了します。
SafeGuard Policy Editor がインストールされます。次に、SafeGuard Policy Editor で初期構
成を実行します。
12
スタートアップガイド
7 初期構成の実行
Windows の管理者権限があることを確認します。
1. 「スタート」メニューから、SafeGuard Policy Editor を開始します。構成ウィザードが
起動されます。画面の指示に従って必要な手順を実行してください。
2. 「ようこそ」ページで、「次へ」をクリックします。
3. 「データベース」ページで、「次へ」をクリックします。SafeGuard の設定とポリシー
を格納するための SQL データベースが作成されます。
4. 「セキュリティ担当者」ページで、SafeGuard Policy Editor のアクセスに必要なパスワー
ドを入力し、確認入力します。「次へ」をクリックします。セキュリティ担当者の証明
者が作成されます。
このパスワードは安全な場所に保管してください。パスワードを忘れてしまった場合、
以降、SafeGuard Policy Editor にアクセスできなくなります。また、IT ヘルプデスク担
当者が復旧作業を実行するには、このアカウントへのアクセス権が必要です。
セキュリティ担当者の名前が表示されます。
5. 「企業」ページで、「次へ」をクリックします。企業証明書は、データベース内やエン
ドポイント上のポリシー設定を保護するために作成されます。
6. 「セキュリティ担当者と企業証明書のバックアップ」ページで、証明書のバックアップ
の保存場所を指定します。次に、「次へ」をクリックします。
今すぐデフォルトの保存場所に証明書を保存する場合は、復旧が必要なときにアクセス
できる場所 (USB メモリなど) に、初期構成後すぐにエクスポートしてください。証明書
は、SafeGuard Policy Editor のインストールに失敗したり、データベースが破損したり
したときに必要です。
7. 「復旧鍵」ページで、「次へ」をクリックします。IT ヘルプデスク担当者用の十分なア
クセス許可のあるネットワーク共有が作成されます。この共有は、復旧に必要な鍵復旧
ファイルを、エンドポイントから収集するために使用されます。
8. 「ライセンス」ページで [...] をクリックして、SafeGuard Policy Editor を運用環境で実
行するために必要な有効なライセンスファイルを参照します。ライセンスファイルは、
セールスパートナーから取得してください。ファイルを選択し、「開く」をクリックし
ます。「次へ」をクリックします。
9. 「完了」をクリックします。
初期構成が完了します。
■
会社規模のセキュリティポリシーをエンドポイントに実装するためのデフォルトポリ
シーが作成されました。
■
■
■
SafeGuard Power-on Authentication が有効になっています。
すべての内蔵ハードディスクで、SafeGuard フルディスク暗号化が有効になってい
ます。
リムーバルメディア上のデータに対するファイルベースの暗号化が有効になってい
ます。
13
SafeGuard Easy
■
■
■
■
ユーザーは、パスワードを忘れた場合、Local Self Help で事前に定義された質問に回
答して、復旧できます。
ヘルプデスク担当者は、チャレンジ/レスポンスを使用してパスワードを復旧できま
す。
ヘルプデスク担当者が復旧タスクを実行するにあたり必要となる前提条件が設定されて
います。
Sophos SafeGuard を運用環境で実行するため、有効なライセンスファイルがインポー
トされました。
構成ウィザードが閉じると、SafeGuard Policy Editor が開始します。
14
スタートアップガイド
8 デフォルトポリシーのコピーと編集
1. SafeGuard Policy Editor のナビゲーションエリアで、「ポリシー」をクリックします。
2. 「ポリシー」ナビゲーションペインの「ポリシーグループ」で、「デフォルトポリ
シー」を右クリックし、「ポリシーのバックアップ」をクリックします。
3. バックアップファイル (XML) の名前と保存場所を入力して、「保存」をクリックしま
す。
4. ナビゲーションペインで「ポリシーグループ」を右クリックし、「ポリシーの復元」を
クリックします。
5. 作成したポリシーのコピー (XML) を選択し、「開く」をクリックします。
ポリシー項目すべてを含む、デフォルトポリシーのコピーが SafeGuard Policy Editor に再
びインポートされます。
次に、このデフォルトポリシーのコピーをカスタマイズして、インストール後の管理タス
クをエンドポイントで実行できるよう、サービスアカウントのリストを設定します。これ
によって、サービス担当者は、登録されることなく、暗号化ソフトウェアがインストール済
みのエンドポイントにアクセスし、事前に構成することができます。
15
SafeGuard Easy
9 管理者に各エンドポイントへのアクセ
スを許可
サービス担当者は、暗号化ソフトウェアをインストールした後も、1カ所から集中的に設定
する場合など、エンドポイントにアクセスし、事前に構成を行わなくてはならないことがあ
ります。しかし、暗号化ソフトウェアのインストール後、最初にエンドポイントにログオン
するユーザーは SafeGuard POA をアクティブ化し、Sophos SafeGuard ユーザーとしてエ
ンドポイントに追加されてしまいます。これを避けるには、ユーザーをサービスアカウント
のリストに追加します。このリストに含まれるサービス担当者は、暗号化ソフトウェアのイ
ンストール後、エンドポイントの OS にログオンし、Sophos SafeGuard ユーザーとしてエ
ンドポイントに追加されたり、SafeGuard POA をアクティブ化したりすることなく、必要
な管理タスクを実行することができます。
サービスアカウントのリストを設定する方法は次のとおりです。
1. SafeGuard Policy Editor のナビゲーションエリアで、「ポリシー」をクリックします。
2. 「ポリシー」ナビゲーションペインで「サービスアカウントのリスト」を右クリック
し、「新規作成 - サービスアカウントのリスト」を選択します。
3. リストの名前を入力し、「OK」をクリックします。
4. ナビゲーションペインの「サービスアカウントのリスト」で、表示される新しいリスト
を選択します。
5. 処理ペインの右側を右クリックして、ショートカットメニューから「追加」を選択しま
す。新しいユーザー行が追加されます。
6. 該当する列に Windows の「ユーザー名」と「ドメイン名」を入力し、「Enter」キーを
押します。さらにユーザーを追加するには、この手順を繰り返します。詳細は、
「SafeGuard Easy 管理者ヘルプ」の「ユーザー名およびドメイン名の入力に関する詳
細情報」の章を参照してください。
7. ツールバーの「保存」アイコンをクリックし、変更をデータベースに保存します。
これで、サービスアカウントのリストが登録されました。次に説明する手順で、ポリ
シーに割り当てます。
8. ナビゲーションペインの「ポリシー項目」で、先ほどコピーした「認証」ポリシー項目
を選択します。
9. 「ログオンオプション」で、「サービスアカウントのリスト」を選択し、新規作成した
リストを選択します。
10. ツールバーの「保存」アイコンをクリックし、変更を保存します。
これで、サービスアカウントのリストが設定されました。「認証」ポリシー項目と関連す
るポリシーグループは、随時アップデートされます。次に、編集したポリシーを構成パッ
ケージに保存します。
注: SafeGuard POA をカスタマイズする場合や暗号化を構成する場合、または Wake On
LAN を有効にする場合など、必要に応じてポリシー設定をさらに編集することができます。
詳細については、「SafeGuard Easy 管理者ヘルプ」の「セキュアな Wake On LAN」とい
う章を参照してください。
16
スタートアップガイド
10 ポリシーの構成パッケージへの追加
ポリシーをエンドポイントに適用するには、まず、適用するポリシーを構成パッケージに追
加する必要があります。
1. SafeGuard Policy Editor の「ツール」メニューで、「構成パッケージツール」をクリッ
クします。
2. 「構成パッケージの追加」をクリックします。
3. 構成パッケージに対して任意のパッケージ名を入力します。
4. 前の手順で編集した、エンドポイントに適用するための「ポリシーグループ」を選択し
ます。
5. 構成パッケージの保存先を指定します。
6. 「構成パッケージの作成」をクリックします。
7. 「閉じる」をクリックします。
ポリシーは、指定した場所にある構成パッケージ (MSI) に追加されます。次に、エンドポイ
ントに Sophos SafeGuard 暗号化ソフトウェアと構成パッケージをインストールします。
17
SafeGuard Easy
11 エンドポイントへの暗号化ソフトウェ
アと構成パッケージのインストール
ここでは、暗号化にあたってエンドポイントを準備する方法、テスト用コンピュータに暗号
化ソフトウェアをインストールする方法、さらに、お持ちのツールを使用して他のエンドポ
イントに配布する方法について説明します。
11.1 暗号化前のエンドポイントの準備作業
■
ユーザーアカウントが設定済みであること、およびアクティブ化されていることを確認
します。ユーザーはパスワードの入力が必要となります。
■
Windows の管理者権限があることを確認します。
■
データのフルバックアップを作成します。
■
■
暗号化するドライブが適切にフォーマットされていること、ドライブ文字が割り当てら
れていることを確認します。
SafeGuard POA とエンドポイントのハードウェア間で競合する可能性を最小限にするた
めに、ハードウェアの設定リストが用意されています。このリストは、暗号化ソフトウェ
アのインストールパッケージに含まれています。
Sophos SafeGuard を大規模に展開する前に、この構成ファイルの最新版をインストー
ルすることを推奨します。このファイルは毎月更新されます。ダウンロード元は次のと
おりです。 (http://www.sophos.com/ja-jpsupport/knowledgebase/65700.aspx)
■
次のコマンドを実行してハードディスクにエラーがないかチェックします。
chkdsk %ドライブ名% /F /V /X
エンドポイントを再起動し、もう一度 chkdsk を実行するようメッセージが表示される
場合があります。詳細は次の文章を参照してください。
(http://www.sophos.com/ja-jp/support/knowledgebase/107081.aspx)
Windows のイベントビューアで結果 (ログファイル) を確認できます。
Windows 7 の場合:「Windows ログ」、「アプリケーション」の順に展開し、ソース
が「Wininit」の項目を確認します。
■
Windows に付属のデフラグツールを使用して、ローカルボリューム上で断片化されて
いるブートファイル、データファイル、およびフォルダを検出し、最適化します。
defrag %ドライブ名%
詳細は次の文章を参照してください。
(http://www.sophos.com/ja-jp/support/knowledgebase/109226.aspx)
■
18
「PROnetworks Boot Pro」や「Boot-US」などの、サードパーティ製ブートマネージャ
をアンインストールします。
スタートアップガイド
■
マスタブートレコード (MBR) を初期状態にすることを推奨します。Sophos SafeGuard
をインストールするには、一意で初期状態の MBR が必要です。エンドポイントでイメー
ジ/クローン作成ツールを使用した場合、初期の状態でなくなる可能性があります。
Windows の DVD からエンドポイントを起動し、Windows 回復コンソールで FIXMBR コ
マンドを実行します。詳細は次の文章を参照してください。
(http://www.sophos.com/ja-jp/support/knowledgebase/108088.aspx)
■
エンドポイントのブートパーティションを FAT から NTFS に変換した場合で、その後、
コンピュータを再起動していない場合は、一度再起動してください。再起動しないと、
インストールが正常に完了しないことがあります。
11.2 テストインストールの実行
暗号化ソフトウェアのテストインストールを実行する場合は、SafeGuard Policy Editor がイ
ンストールされていないコンピュータにインストールしてください。
前提条件:
エンドポイントに暗号化機能をインストールするための準備が完了している必要がありま
す。詳細は、暗号化前のエンドポイントの準備作業 (p. 18) を参照してください。
1. エンドポイントに管理者権限でログオンします。
2. 現在最新のプレインストールパッケージ SGxClientPreinstall.msi をインストー
ルします。暗号化ソフトウェアを正常にインストールするために必要なコンポーネント
が、エンドポイントにインストールされます。
3. 暗号化ソフトウェアパッケージの SGNClient.msi または必要に応じてその 64ビット対
応のパッケージをダブルクリックします。ウィザードの指示に従って必要な手順を実行
します。
4. これ以降のダイアログではデフォルトの設定をそのまま指定します。
5. プロンプトに従って、インストールの種類で「完全」を選択します。
SafeGuard フルディスク暗号化と SafeGuard ファイルベースの暗号化がインストールさ
れます。利用可能な暗号化パッケージと機能の詳細については、「SafeGuard Easy 管理
者ヘルプ」の「インストール」を参照してください。
6. これ以降のすべてのダイアログでデフォルト値を受け入れて、インストールウィザード
を完了します。
7. 以前作成した構成パッケージ (MSI) の保存場所に移動します。
8. この構成パッケージをエンドポイントにインストールします。エンドポイントにある古
い構成パッケージはすべて削除するようにしてください。
Sophos SafeGuard はエンドポイントにインストールされ、事前に作成されたポリシーに基
づいて構成されます。次に、インストール後の初回ログオンを行います。インストール後の
管理タスクを行う場合は、サービスアカウントを使用してログオンし、それ以外は通常の
ユーザーとしてログオンします。
各ハードウェア OS で SafeGuard POA が正常に動作するには、追加の構成が必要になる場
合があります。ハードウェア競合の問題のほとんどは、SafeGuard POA に組み込まれてい
る「ホットキー」機能を使用して解決できます。詳細は、「SafeGuard Easy 管理者ヘル
19
SafeGuard Easy
プ」の「SafeGuard Power-on Authentication で使用可能なホットキー」を参照してくだ
さい。次の文章も参照してください。
(http://www.sophos.com/ja-jp/support/knowledgebase/107781.aspx、
http://www.sophos.com/ja-jp/support/knowledgebase/107785.aspx)
11.3 サービスアカウントを使った初回ログオン
エンドポイントで、インストール後の管理タスクを行う場合は、サービスアカウントでロ
グオンします。
1. インストール後、エンドポイントを再起動します。Windows ログオンが表示されます。
ログオンを開始するために、最初に Ctrl + Alt + Delete キーを押す必要がある場合もあり
ます。管理者は、MMC コンソールの「グループポリシーオブジェクトエディタ」で、
「Windows の設定 > セキュリティの設定 > ローカルポリシー > セキュリティオプショ
ン」を選択し、「対話型ログオン: CTRL+ ALT+ DEL を必要としない」を「有効」に指
定します。
2. サービスアカウントを使用して、Windows にログオンします。SafeGuard Policy Editor
のサービスアカウントリストで定義済みのドメインとログオン情報を入力します。
ゲストユーザーとして Windows にログオンした状態になります。SafeGuard Power-on
Authentication はアクティブ化されず、エンドポイントに登録されません。これで、インス
トール後の管理タスクを必要に応じて実行することができます。
11.4 通常のユーザーとしての初回ログオン
1. コンピュータを再起動します。Sophos SafeGuard 自動ログオン画面が表示された後、
Windows ログオンが表示されます。
自動ログオンおよびログオンを開始するために、最初に Ctrl + Alt + Delete キーを押す必
要がある場合もあります。管理者は、MMC コンソールの「グループポリシーオブジェ
クトエディタ」で、「Windows の設定 > セキュリティの設定 > ローカルポリシー >
セキュリティオプション」を選択し、「対話型ログオン: CTRL+ ALT+ DEL を必要とし
ない」を「有効」に指定します。
2. Windows ユーザー名とパスワードを入力します。
3. もう一度エンドポイントを再起動します。SafeGuard Power-on Authentication がアク
ティブ化されます。
4. Windows ユーザー名とパスワードを入力します。ユーザーは自動的に Windows にログ
オンします。
これで Power-on Authentication がアクティブ化されました。ユーザーは、Sophos
SafeGuard ユーザーとして登録されます。これは、ツールチップに表示されます。次回
ログオンするときは、SafeGuard Power-on Authentication で Windows ログオン情報を
入力するだけです。
初期暗号化が自動的に開始します。ユーザーは作業を継続でき、暗号化が完了してもエンド
ポイントを再起動する必要はありません。初期暗号化が完了するまで、エンドポイントを
シャットダウンしたり、休止状態にしたりしないでください。暗号化と復号化は透過的に実
20
スタートアップガイド
行され、ユーザー介入は不要です。詳細は、「SafeGuard Easy ユーザーヘルプ」を参照
してください。
11.5 スクリプトによる暗号化ソフトウェアと構成パッ
ケージのインストール
1. インストールの前にエンドポイントの準備を行います。詳細は、暗号化前のエンドポイ
ントの準備作業 (p. 18) を参照してください。
2. 管理者用コンピュータに管理者権限でログオンします。
3. すべてのアプリケーションを一括に格納する Software という名前のフォルダを作成し
ます。
21
SafeGuard Easy
4. Microsoft System Center Configuration Manager、IBM Tivoli や Enteo Netinstall などの
ソフトウェア展開ツールを使用して、エンドポイントに一括インストールを行ってくだ
さい。インストールが必要なパッケージの詳細は、以下の表を参照してください。
注: Active Directory からインストールを実行する場合、各パッケージに対して別のグ
ループポリシーオブジェクト (GPO) を使用し、下記の順番でインストールすることで
インストールが正常に完了します。
エンドポイントの言語がドイツ語でない場合は、追加で次の手順も実行してください。
「グループポリシーエディタ」で、各グループオブジェクトを選択し、「コンピュータ
の構成 > ソフトウェアの設定 > 詳細設定」を選択します。「詳細展開オプション」ダイ
アログで、「このパッケージを展開するときは言語を無視する」を選択して、「OK」を
クリックします。
パッケージ
説明
プレインストールパッケージ
SGxClientPreinstall.msi
暗号化ソフトウェアを正常にインストールするための必
須コンポーネントがエンドポイントにインストールされ
ます。
注:
このパッケージがインストールされていない場合、暗号
化ソフトウェアのインストールは中止されます。
暗号化ソフトウェアパッケージ
ライセンスや OS に応じて、異なるインストールパッケー
ジが用意されています。必要なパッケージ (<*Client*>.MSI)
はすべての製品パッケージ内にあります。
注:
利用可能なパッケージのリストについては、「SafeGuard
Easy 管理者ヘルプ」の「インストール」の章を参照して
ください。
エンドポイント用の構成パッケージ
あらかじめ SafeGuard Policy Editor で作成した構成パッ
ケージを使用します。古い構成パッケージは必ず最初に
削除するようにしてください。
事前に構成されたインストール用のコ Windows インストーラのコマンドラインツール、
マンドを実行するスクリプト
msiexec を使用してスクリプトを作成することをお勧め
します。詳細は、「SafeGuard Easy 管理者ヘルプ」の
「一括インストールのコマンド」の章、または次のサイ
ト (英語) を参照してください。
http://msdn.microsoft.com/en-us/library/aa367988(VS.85).aspx
5. スクリプトを作成するには、コマンドプロンプトを開き、スクリプトのコマンドを入力
します。詳細は、スクリプトで使用するコマンドの例 (p. 23) を参照してください。
6. プレインストールパッケージ、暗号化ソフトウェアパッケージ、構成パッケージ、およ
びスクリプトを、社内のソフトウェア配布方法を使用してエンドポイントに配布します。
パッケージはエンドポイントで実行されます。
22
スタートアップガイド
7. インストール後、エンドポイントを 2度再起動し、SafeGuard POA (Power-on
Authentication) を有効化します。さらにもう一度エンドポイントコンピュータを再起動
し、各 Windows ブートのカーネルデータのバックアップを実行します。
正常にカーネルのバックアップを実行するために、3度目の再起動の前にエンドポイント
が一時停止や休止状態ではないことを確認してください。
Sophos SafeGuard はエンドポイントにインストールされ、事前に作成されたポリシー設定
に基づいて構成されます。各エンドポイントに対し、復旧に必要な鍵復旧ファイルは、
SafeGuard Policy Editor 初期構成時に定義した場所に作成されます。
注: 各ハードウェア OS で SafeGuard Power-on Authentication (POA) が適切に機能するに
は、追加の構成が必要になる場合があります。ハードウェア競合の問題のほとんどは、
SafeGuard POA に組み込まれている「ホットキー」を使用して解決できます。詳細は
「SafeGuard Easy 管理者ヘルプ」の「POA で使用可能なホットキー」というセクション
を参照してください。次の文章も参照してください。
(http://www.sophos.com/ja-jp/support/knowledgebase/107781.aspx、
http://www.sophos.com/ja-jp/support/knowledgebase/107785.aspx)
11.6 スクリプトで使用するコマンドの例
msiexec /i F:\Software\Sophos\SafeGuard\SGxClientPreinstall.msi /qn
msiexec /i F:\Software\Sophos\SafeGuard\SGNClient.msi /qn /L*VX
G:\Temp\Sophos\SafeGuard\%computername%_SGNClient_inst.log
Installdir=C:\Program Files\Sophos\Sophos SafeGuard
msiexec /i F:\Software\Sophos\SafeGuard\SGNClientConfig.msi /qn
23
SafeGuard Easy
このコマンドは以下の項目を実行します。
■
msiexec /i F:\Software\Sophos\SafeGuard\SGxClientPreinstall.msi
Sophos SafeGuard のプレインストールパッケージを、指定された保存場所からデフォ
ルトのインストールディレクトリ C:\Program Files\Sophos\Sophos SafeGuard
にインストールします。暗号化ソフトウェアを正常にインストールするために必要なコ
ンポーネントがエンドポイントにインストールされます。
■
msiexec /i F:\Software\Sophos\SafeGuard\SGNClient.msi
Installdir=C:\Program Files\Sophos\Sophos SafeGuard
SafeGuard Power-on Authentication 機能を指定して暗号化ソフトウェア（ここでは
SafeGuard フルディスク暗号化) を、指定された保存場所からデフォルトのインストー
ルディレクトリ C:\Program Files\Sophos\Sophos SafeGuard にインストール
します。
■
msiexec /i F:\Software\Sophos\SafeGuard\SGNClientConfig.msi
構成パッケージを、その保存場所からデフォルトのインストールディレクトリにインス
トールします。
■
/L*VX G:\Temp\Sophos\SafeGuard\%computername%__SGNClient_inst.log
すべての警告およびエラーメッセージをネットワーク上の指定したログファイルに記録
します。また、暗号化処理を一括確認できるログファイルも作成します。ログファイル
は、Windows インストーラツール wilogutl.exe を使って分析可能です。
■
/qn
ユーザーの介入なしでインストールを実行し、GUI も表示しません。
24
スタートアップガイド
12 パスワードを忘れた場合の復旧
ユーザーがパスワードを忘れた場合、次の 2とおりの方法で復旧することができます。
■
ユーザーが Local Self Help を使用してパスワードを復旧する。これは推奨方法です。
■
ヘルプデスク担当者がチャレンジ/レスポンスを使用してパスワードを復旧する。
12.1 Local Self Help による忘れたパスワードの復旧
1. エンドポイントの SafeGuard Power-on Authentication で、ユーザーは自分のユーザー名
を入力します。
「復旧」ボタンが有効になります。
2. ユーザーは「復旧」をクリックします。
■
■
エンドポイントでログオン復旧のために Local Self Help だけが有効になっている場
合、それは自動的に開始します。
ログオン復旧のためにチャレンジ/レスポンスと Local Self Help の両方が使用可能で
ある場合、ユーザーは「Local Self Help」をクリックします。
3. 次に表示される 5つのダイアログで、ユーザーは、エンドポイントに保存されている質
問の中から任意に選択された一定の数の質問に回答します。最後の質問に回答した後、
ユーザーは、「OK」をクリックして回答を確定します。
4. 次に表示されるダイアログで、ユーザーは「Enter」キーやスペースキーを押すか、青い
表示ボックスをクリックして、パスワードを表示できます。
パスワードは最長 5秒間表示されます。その後、スタートアップ処理が自動的に続行さ
れます。ユーザーは、「Enter」キーやスペースキーを押すか、青い表示ボックスをク
リックして、すぐにパスワードを非表示にすることができます。
5. パスワードを確認したら、「OK」をクリックします。
これでユーザーは SafeGuard Power-on Authentication および Windows にログオンしまし
た。このパスワードは、今後のログオンでも使用できます。
12.2 チャレンジ/レスポンスによる忘れたパスワードの
復旧
前提条件:
ヘルプデスク担当者は、Sophos SafeGuard のインストール時にエンドポイントごとに作成
される鍵復旧ファイルにアクセス可能で、そのファイル名を知っている必要があります。
チャレンジ/レスポンス機能は、エンドポイント用のポリシーで有効にする必要があります。
注:
25
SafeGuard Easy
パスワードを忘れた場合、まず Local Self Help を使用して復旧することをお勧めします。
ユーザーは Local Self Help で既存のパスワードを表示でき、そのパスワードを引き続き使
用できます。したがって、パスワードの再設定を行ったり、ヘルプデスク担当者に依頼した
りする必要がなくなります。
1. エンドポイントの SafeGuard Power-on Authentication で、ユーザーは自分のユーザー名
を入力します。「復旧」ボタンが有効になります。
2. ユーザーは「復旧」をクリックします。
■
■
ログオン復旧のためにチャレンジ/レスポンスだけが有効になっている場合、それは
自動的に開始します。
ログオン復旧のためにチャレンジ/レスポンスと Local Self Help の両方が使用可能で
ある場合、ユーザーは「チャレンジ/レスポンス」をクリックします。
必要な鍵復旧ファイルの名前がダイアログに表示されます。
3. ユーザーは「次へ」をクリックします。任意のチャレンジコードが表示されます。
4. ユーザーはヘルプデスク担当者に連絡を取り、必要な鍵復旧ファイルの名前とチャレン
ジコードを伝えます。
5. SafeGuard Policy Editor で、ヘルプデスク担当者は「復旧ウィザード」を起動します。
6. ヘルプデスク担当者は、復旧の種類「Sophos SafeGuard Client」を選択し、鍵および
チャレンジコードを確認し、必要な復旧処理「ユーザーログオンなしの SGN Client の
起動」を選択します。
ASCII 文字列形式のレスポンスコードが生成され、表示されます。
7. ヘルプデスク担当者は、電話またはテキストメッセージを使って、ユーザーにレスポン
スコードを提供します。
8. ユーザーは、エンドポイントのチャレンジ/レスポンスウィザードで「次へ」をクリック
して、レスポンスコードを入力します。エンドポイントは、SafeGuard Power-on
Authentication で起動できる状態になります。
9. Windows のログオンダイアログでも、ユーザーは正しいパスワードがわからないため、
Windows レベルでパスワードを変更する必要があります。変更するには、Sophos
SafeGuard 以外に、Windows 標準の方法による復旧処理が必要になります。Windows
レベルでパスワードをリセットするときは、以下の方法をお勧めします。
■
■
エンドポイント上で使用できるサービスまたは管理者アカウントのうち、必要な
Windows 権限を持つアカウントを使用する。
エンドポイント上で Windows パスワードリセットディスクを使用する。
10. ユーザーは、ヘルプデスク担当者から入手した新しい Windows パスワードを入力しま
す。ユーザーはすぐに、このパスワードを自分だけが知っている値に変更します。
Sophos SafeGuard 用の新しいユーザー証明書は、新しく設定された Windows パスワー
ドに基づいて自動的に作成されます。この結果、ユーザーは再度コンピュータにログオ
ンできるようになり、新しいパスワードを使って SafeGuard Power-on Authentication に
ログオンできます。
26
スタートアップガイド
ユーザーは、新しく設定したパスワードで SafeGuard Power-on Authentication および
Windows にログインすることができます。このパスワードは、今後のログオンでも使用で
きます。
27
SafeGuard Easy
13 よく実行するタスクに関する参照資料
よく実行するタスクの操作手順が記載されているドキュメントは次のとおりです。詳細は、
SafeGuard Easy の管理者ヘルプ、ユーザーヘルプ、またはツールガイドを参照してくだ
さい。
タスク
マニュアル/ヘルプ
SafeGuard Policy Editor の追加インスタンスを構管理者ヘルプ: 「SafeGuard Policy Editor の追加
成する
インスタンスを構成する」
SafeGuard Power-on Authentication が正しく機能管理者ヘルプ/ユーザーヘルプ: 「SafeGuard
していることを確認する
Power-on Authentication で対応しているホット
キー」
Sophos SafeGuard に固有の情報をエンドポインユーザヘルプ:「システムトレイアイコンとバ
トコンピュータで表示する
ルーンヒント」
ポリシーを作成し、グループ化する
管理者ヘルプ:「ポリシーの操作」
証明書をエクスポートする
管理者ヘルプ: 「企業証明書とセキュリティ担当
者の証明書のエクスポート」
エンドポイントで管理タスクを実行するためのア管理者ヘルプ:「エンドポイントへの管理アクセ
カウント (POA アクセスアカウント) を作成するス」
28
暗号化データへのアクセスを復旧する
管理者ヘルプ: チャレンジ/レスポンスを使用して
暗号化データに再びアクセスする
破損したマスターブートレコードを復旧する
ツールガイド:「破損した MBR を復旧する」
SGE 6.0.x 以降を SafeGuard Easy 7.0 に移行す
る
アップグレードガイド: 「アップグレードについ
て」
スタートアップガイド
14 テクニカルサポート
ソフォス製品のテクニカルサポートは、次のような形でご提供しております。
■
「SophosTalk」ユーザーフォーラム (英語) (http://community.sophos.com) のご利用。さ
まざまな問題に関する情報を検索できます。
■
ソフォスサポートデータベースのご利用。www.sophos.com/ja-jp/support.aspx
■
製品ドキュメントのダウンロード。www.sophos.com/ja-jp/support/documentation/
■
オンラインでのお問い合せ。
https://secure2.sophos.com/ja-jp/support/contact-support/support-query.aspx
29
SafeGuard Easy
15 ご利用条件
Copyright © 1996 - 2014 Sophos Limited. All rights reserved. SafeGuard は Sophos Limited
および Sophos Group の登録商標です。
この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる
形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許可され
ている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、
復元できるシステムに保存、または送信することを禁じます。
Sophos、Sophos Anti-Virus および SafeGuard は、Sophos Limited、Sophos Group および
Utimaco Safeware AG の登録商標です。その他記載されている会社名、製品名は、各社の
登録商標または商標です。
サードパーティコンポーネントの著作権に関する情報は、製品ディレクトリ内の「Disclaimer
and Copyright for 3rd Party Software」(英語) というドキュメントをご覧ください。
30

Download Report