Upload
vannhi
View
217
Download
0
Embed Size (px)
Citation preview
©2013 Check Point Software Technologies Ltd.
Check Point Endpoint Security E80.32 設定ガイド
チェック・ポイント・ソフトウェア・テクノロジーズ(株)
[Protected] For public distribution
2 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Management Serverのインストールと設定
クライアント・インストールの設定 2
クライアント・インストール 3
レガシー・クライアントからのアップグレード 4
[Protected] For public distribution
トラブルシューティング 5
3 ©2013 Check Point Software Technologies Ltd.
変更履歴
Rev1
E80.30 + E80.32 Updateをベースに作成
Rev2
Rev1にレガシー製品(R73 FDE)からのアップグレード・シナリオを追加
[Protected] For public distribution
4 ©2013 Check Point Software Technologies Ltd.
Check Point Endpoint Securityとは
Check Point
Endpoint Security
Check Point Full Disk Encryption Software Blade は、ハードディスク上に保存されているユーザ・データやオペレーティング・システム、一時ファイル、ゴミ箱のファイルを含めすべて自動的かつ透過的に暗号化します。
Check Point Media Encryption は、USB ストレージ・デバイスや CD、DVD などのリムーバブル・メディアを暗号化し、ポートおよびデバイスへのアクセス(読み込み、書き込み、実行)を制御することで、企業の機密データを保護し、マルウェアの侵入を防ぎます。
その他、AntiMalware & Program Control、Firewall & Compliance Check機能などエンドユーザのPCをトータルでセキュアに守ります。
[Protected] For public distribution
Check Point Endpoint Securityは、統合管理可能なトータル・エンドポイント・ソリューションです。
5 ©2013 Check Point Software Technologies Ltd.
Endpoint Server / Client構成図
[Protected] For public distribution
Windows Server 2003 Standard Edition SP2
ドメイン サーバ & Endpoint マネージメント
IP: 192.168.52.138
Serverバージョン:E80.32
Clientバージョン:E80.32
Windows XP SP3
IP: 192.168.52.128
Endpoint Security
マネージメント
AD サーバ
Endpoint
クライアント
6 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Management Serverのインストールと設定
クライアント・インストールの設定 2
クライアント・インストール 3
レガシー・クライアントからのアップグレード 4
[Protected] For public distribution
トラブルシューティング 5
7 ©2013 Check Point Software Technologies Ltd.
テストのシナリオ
[Protected] For public distribution
Windows Server環境にEndpoint Security Management Serverを導入します
クライアントはWindows XP環境を使用します
Check Point Endpoint Security E80.30をインストールした後にパッチ版E80.32をインストールします
クライアント環境へFull Disk Encryptionを導入します
Endpoint Security
/ Full Disk Encryption
Endpoint Security
マネジメント
8 ©2013 Check Point Software Technologies Ltd.
テスト環境の前提条件および事前作業
[Protected] For public distribution
使用する環境は次の通りです
Windows Server 2003 Standard Edition SP2
Windows XP SP3
Windowsサーバ環境のサポートされている最新のSP/パッチを適用しています
9 ©2013 Check Point Software Technologies Ltd.
テスト環境の前提条件および事前作業
[Protected] For public distribution
クライアントとEndpoint Security Management Serverの通信に使われるサービス/プロトコル/ポートは以下の通りです
10 ©2013 Check Point Software Technologies Ltd.
テスト環境の前提条件および事前作業
[Protected] For public distribution
Endpoint Security管理コンソールがEndpoint Security Management
Serverと通信するために使われるSICのポートは以下の通りです
Endpoint Security Management Serverのインストール前に次のポートが使用できるか確認します
11 ©2013 Check Point Software Technologies Ltd.
テスト環境の前提条件および事前作業
[Protected] For public distribution
Windows Active Directoryの環境構成が完了しているものとします
AD環境にドメイン PC(XP01)を登録・作成します
XP01をクライアントPCとします
12 ©2013 Check Point Software Technologies Ltd.
テスト環境の前提条件および事前作業
[Protected] For public distribution
AD環境にドメイン ユーザ(user1) を登録・作成します。
13 ©2013 Check Point Software Technologies Ltd.
テスト環境の前提条件および事前作業
[Protected] For public distribution
ドメイン ユーザ(user1)はドメイン PC(XP01)上でローカルPCのAdministrator権限を付与してください
※ もしくは、ローカルPC上でEndpoint Agentインストール時にローカルのAdministrator権限ユーザでインストールを開始してください(初回インストール時のみ必要)
14 ©2013 Check Point Software Technologies Ltd.
テスト環境の前提条件および事前作業
[Protected] For public distribution
Endpoint Management ServerをインストールするWindows Server OS環境に、事前に.NET 3.5 SP1 Runtime Frameworkインストールします
15 ©2013 Check Point Software Technologies Ltd.
テスト環境の前提条件および事前作業
[Protected] For public distribution
作業の前に必ず最新の製品情報についても確認してください
Endpoint Security E80.30 / Solution ID: sk65921
https://supportcenter.checkpoint.com/supportcenter/portal?eventSub
mit_doGoviewsolutiondetails=&solutionid=sk65921
また、リリースノート、その他のマニュアルも合わせて確認してください
16 ©2013 Check Point Software Technologies Ltd.
テスト環境の前提条件および事前作業
[Protected] For public distribution
CD(E80.30_CheckPoint_Endpoint_Security_Server_Windows.iso)をマウントします
Setup.exeをクリックしてインストールを開始します
UAC(ユーザ・アクセス制御)が有効になっているWindows 7またはVistaにクライ
アント・モジュールをインストールする場合は、[管理者として実行]オプションを選択してインストーラを起動する必要があります
※必要に応じてレジストリ情報の追加が必要です。詳細は管理者ガイドを参照ください
17 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
インストールが開始されると次のウィンドウが表示されますので[Forward]をクリックして作業を進めます
18 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
License Agreementを承諾して[Forward]をクリックします
19 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
[New Installation]を選択して[Forward]クリックします
20 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
[Security Management]と[Endpoint Security]を選択します
後の作業でE80.32のSmartConsoleをインストールしますので、(二度手間を省くため)ここでは[SmartConsole]のチェックを外し、[Forward]をクリックしてください
21 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
Daylight Savingsに関するWarningが表示されますがそのまま[Forward]をクリックします
22 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
[Primary Security Management]を選択して[Forward]をクリックします
23 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
選択したインストール項目の確認ウィンドウが表示されますので、不備が無ければ[Forward]をクリックします
24 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
[Security Management]からインストールが開始されます
[Next]をクリックします
しばらくの後、[Security Management]のインストールが完了します
[OK]をクリックします
25 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
続いて[Endpoint Security]のインストールが開始されます
[Next]をクリックします
26 ©2013 Check Point Software Technologies Ltd.
ライセンスの登録
[Protected] For public distribution
インストール中[License and contracts]ウィンドウが表示されます
ライセンス無しで、インストール後15日間評価可能なプラグ・アンド・プレイ機能がついています
ライセンスを適用する場合は[Fetch From File…]をクリックします
ライセンスを適用しない場合はそのまま[次へ]をクリックします
今回は30日間の評価ライセンスを適用します
必要な評価ライセンスは次です
CPSG-CPSM-EVAL
CPEP-EVAL-SM-CLIENT-100
27 ©2013 Check Point Software Technologies Ltd.
ライセンスの登録
[Protected] For public distribution
必要な全てのライセンスファイルが登録されると[License and
contracts]ウィンドウに次のように表示されます
[次へ]をクリックします
評価ライセンスとして3つのファイルが生成されますので、[License and
contracts]ウィンドウの [Fetch From File…]をクリックしてファイルを登録します
1ファイルづつ選択し[開く]をクリック、全てのライセンス・ファイルを登録するまで作業を繰り返します
28 ©2013 Check Point Software Technologies Ltd.
管理者ユーザの登録
[Protected] For public distribution
[Add Administrator]ウィンドウが表示されますので管理者ユーザを登録します
ユーザ、パスワードを入力し[OK]をクリックします
権限等はデフォルトのままフルで与えます
29 ©2013 Check Point Software Technologies Ltd.
管理者ユーザの登録
[Protected] For public distribution
登録した管理者ユーザを確認し[次へ]をクリックします
30 ©2013 Check Point Software Technologies Ltd.
GUIクライアントの登録
[Protected] For public distribution
[GUI Clients]で接続可能なRemote Host
を設定します
今回は”any”として登録し[Add]をクリックします
[次へ]をクリックします
Warningが表示されますので確認して[OK]をクリックします
31 ©2013 Check Point Software Technologies Ltd.
GUIクライアントの登録
[Protected] For public distribution
“any”が登録されたことを確認して[次へ]をクリックします
32 ©2013 Check Point Software Technologies Ltd.
Certificate Authority
[Protected] For public distribution
[Certificate Authority]ウィンドウが表示されますので内容を確認して[次へ]をクリックします
Initializeが完了した旨表示されますので[OK]をクリックします
33 ©2013 Check Point Software Technologies Ltd.
Fingerprint
[Protected] For public distribution
[Fingerprint]ウィンドウが表示されますので必要であれば[Export to file…]
をクリックして情報を保存してください
[完了]をクリックします
34 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
次のウィンドウが表示されますので[Finish]をクリックします
続けてRebootを促されますので[はい]をクリックします
35 ©2013 Check Point Software Technologies Ltd.
Management Serverのインストール
[Protected] For public distribution
ログイン後もポスト-インストール処理が行われています
タスクマネージャなどを起動して処理が継続されているかを確認します
下のように処理が終わりCPU使用率が安定したらE80.32のアップデートモジュール適用作業に移ります
再起動が完了したら再びログインします
36 ©2013 Check Point Software Technologies Ltd.
E80.32へアップデート
[Protected] For public distribution
E80.32のアップデートモジュール[e80_32_server_upgrade.tgz]を展開します
[e80_32_server_upgrade]フォルダ配下にあるSetup.exeを実行します
37 ©2013 Check Point Software Technologies Ltd.
E80.32へアップデート
[Protected] For public distribution
Setup.exeを起動するとコマンドプロンプト画面が表示されます
プロンプトに対して’y’を入力し[Enter]
します
画面のようにSucceededと表示されRebootの確認プロンプトがでます
’y’を入力し[Enter]、Rebootします
38 ©2013 Check Point Software Technologies Ltd.
E80.32 SmartConsoleのインストール
[Protected] For public distribution
Rebootが完了したら続いてE80.32のSmartConsoleをインストールします
Install Wizardが表示されますので[Next]をクリックします
39 ©2013 Check Point Software Technologies Ltd.
E80.32 SmartConsoleのインストール
[Protected] For public distribution
License Agreement画面で[Yes]をクリックします
Install Locationを設定します
ここではデフォルトで[Next]をクリックします
40 ©2013 Check Point Software Technologies Ltd.
E80.32 SmartConsoleのインストール
[Protected] For public distribution
全ての機能が選択されていることを確認して[Next]をクリックします
処理が継続されます
41 ©2013 Check Point Software Technologies Ltd.
E80.32 SmartConsoleのインストール
[Protected] For public distribution
インストールしたSmartConsoleの
ショートカットをデスクトップに配置するか[はい]、もしくは[いいえ]で答えます
インストール完了のウィンドウが表示されますので[OK]をクリックします
次のウィンドウで[Finish] をクリックします
42 ©2013 Check Point Software Technologies Ltd.
Endpoint Security Managementの起動
[Protected] For public distribution
スタートメニューからEndpoint Security
Managementを起動します
43 ©2013 Check Point Software Technologies Ltd.
Endpoint Security Managementの起動
[Protected] For public distribution
ログイン画面が表示されますので登録した管理者IDとパスワードを入力します
続けてServerのIPアドレスを入力し[OK]をクリックします
接続したサーバとFingerprintが表示さ
れますので、正しいことを確認して[Approve]をクリックします
44 ©2013 Check Point Software Technologies Ltd.
ディレクトリ・スキャナの設定
[Protected] For public distribution
Endpoint Security管理コンソールが表示されます
AD情報を収集するため、メニューから[ツール] – [ディレクトリスキャナ]を選択します
45 ©2013 Check Point Software Technologies Ltd.
ディレクトリ・スキャナの設定
[Protected] For public distribution
[ディレクトリ・スキャナ]ウィンドウが表示されます
[ディレクトリ・スキャナの設定]をクリックします
ディレクト・リスキャナに有効なアカウントを登録します
アカウントはドメイン・アカウントでrootから全てのADコンテナに対するread権(削
除されたオブジェクトに対しても同権限を有すること)をもつユーザを設定し[OK]をクリックします
認証情報がアップデートされたことを確認して[OK]をクリックします
46 ©2013 Check Point Software Technologies Ltd.
ディレクトリ・スキャナの設定
[Protected] For public distribution
続けてスキャナ・インスタンスを追加します
[はい]をクリックします
表示されているドメイン名を確認して[OK]をクリックします
情報を確認し、ログイン名、パスワードを設定します
[OK]をクリックします
47 ©2013 Check Point Software Technologies Ltd.
ディレクトリ・スキャナの設定
[Protected] For public distribution
ディレクトリ・スキャナでステータスが[最初のスキャンを待機中]と表示されるのでしばらく待ちます
ステータスが[完了]となったら[閉じる]をクリックします
ディレクトリ・スキャナがroot(最上位)からスキャンされる設定になっているかを確認します
スキャン時間間隔はデフォルトで5分になっています
必要であれば変更します
[OK]をクリックします
48 ©2013 Check Point Software Technologies Ltd.
ディレクトリ・スキャンした情報を確認
[Protected] For public distribution
ADのスキャンが完了すると[組織]タブの[My
Organization]配下に情報が表示されます
例えば[Users]の下に今回利用するテストユーザ[user1]があるか確認します
また[Computers]の下に[XP01]があるか確認します
49 ©2013 Check Point Software Technologies Ltd.
ポリシー・データベースの初期インストール
[Protected] For public distribution
ログ・サーバへログを送付するためにポリシー・データベースを初期インストールします
[管理] - [全般プロパティ]を選択します
[General Properties] - [ポリシー サーバ]
で今回インストールさひたサーバを選択し[編集…]をクリックします
50 ©2013 Check Point Software Technologies Ltd.
ポリシー・データベースの初期インストール
[Protected] For public distribution
[変更を反映]ウィンドウが表示されますが、継続して作業を行うので、ここでは[後で適用]をクリックします(実質保存してインストールする情報はありません)
[ホスト プロパティ]ウィンドウで[インストール…]をクリックします
[Install Database]ウィンドウでステータスを確認します
[Start…]から[Installation process
complete]のメッセージが表示されたら[OK]
をクリックします
51 ©2013 Check Point Software Technologies Ltd.
ケルベロス認証の設定
[Protected] For public distribution
[管理] - [全般プロパティ]を選択します
[General Properties] - [認証設定]でケルベロス認証の設定を行うことができます
今回はテスト目的のため割愛しますが、実運用環境ではセキュリティを高めるため、ケルベロス認証での運用を推奨します
※一旦ケルベロス認証設定を行った場合はもとに戻すことはできません
※詳細および設定方法についてはマニュアルおよびマイクロソフト、その他の情報を参照ください
52 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Management Serverのインストールと設定
クライアント・インストールの設定 2
クライアント・インストール 3
レガシー・クライアントからのアップグレード 4
[Protected] For public distribution
トラブルシューティング 5
53 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - OneCheckユーザ設定
[Protected] For public distribution
クライアントへインストールをするための設定をします
まず、[ポリシー]タブの[OneCheckユーザ設定]に移動します
今回はデフォルトで用意されている[Medium Security
OneCheck User
Policy]を利用します
[編集…]をクリックします
54 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - OneCheckユーザ設定
[Protected] For public distribution
[OneCheck ユーザ設定ポリシー]の[全般プロパティ]を確認します
アカウントのロックに関する設定を行います
ここでは各5回と設定しましたが、不要であれば値を設定する必要はありません
55 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - OneCheckユーザ設定
[Protected] For public distribution
[OneCheck ユーザ設定ポリシー]の[割り当て]範囲が”My Organization”に適応されていることを確認します
56 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - OneCheckユーザ設定
[Protected] For public distribution
[パスワードのセキュリティ]で[パスワードの同期設定]を確認します
双方の設定にチェックが入っていると利便性が向上します
57 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - OneCheckユーザ設定
[Protected] For public distribution
[権限]を確認します
特に[リカバリメディアの使用を許可]、[リモートヘルプ]の各項目にチェックが入っているかを確認します【重要】
[OK]をクリックします
[変更を反映]ウィンドウが表示されますが、ポリシーの編集を継続するのでここでは[後で適用]をクリックします
58 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - 共通クライアント
[Protected] For public distribution
[ポリシー]の[共通クライアント]から[Initial Common Client Policy]を選択して[編集…]をクリックします
59 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - 共通クライアント
[Protected] For public distribution
[ログアップロード設定]にてログを
サーバにアップする諸条件を確認します
必要であれば変更します
[共通クライアント ポリシー]の[全般プロパティ]を確認します
[アンインストールパスワード]をクリッ
クしてアンインストール・パスワードを設定します
アンインストール・パスワードはアンインストール時に必須で、セキュリティを確保するため設定変更を推奨します
デフォルトは”secret”です
アンインストール・パスワードはクライアントへ通知してはいけません【重要】
60 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - 共通クライアント
[Protected] For public distribution
[共通クライアント ポリシー]の[割り当て]範囲が”My Organization”に適応されていることを確認します
[OK]をクリックします
[変更を反映]ウィンドウが表示されますが、ポリシーの編集を継続するのでここでは[後で適用]をクリックします
61 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - Full Disk Encryption
[Protected] For public distribution
[ポリシー] – [Full Disk
Encryption]から[Medium
Security Encryption Policy]
を選択して[編集…]をクリックします
62 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - Full Disk Encryption
[Protected] For public distribution
[全般プロパティ] - [ドライブの暗号化]から[設定…]をクリックします
暗号化に関する設定が表示されますので内容を確認して[OK]をクリックします
63 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - Full Disk Encryption
[Protected] For public distribution
[全般プロパティ] - [起動前認証]から[設定…]をクリックします
起動前認証に関する設定が表示されます
特に[リモート ヘルプを有効にする]
がチェックされていることを確認して[OK]をクリックします
64 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - Full Disk Encryption
[Protected] For public distribution
[全般プロパティ] - [ログインが許可されたユーザ] - [詳細]をクリックします
[ユーザ取得の設定]が表示され、1
ユーザの情報を取得する設定になっています(最低1ユーザ必須)
ユーザの情報取得(WindowsユーザID/パスワード)を初回インストール後の再起動後のWindowsログオン時に行います
取得したユーザの情報をFull Disk
Encryptionの起動前認証ユーザ情報として利用します
65 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - Full Disk Encryption
[Protected] For public distribution
[Full Disk Encryptionポリシー] - [全般プロパティ] - [OneCheck] - [詳細]をクリックします
[OneCheck設定]が表示され、[OneCheckを有効にする]がチェックされていることを確認します
[OneCheckを有効にする]ことで、OneCheckで設定したパスワード要件やリモート・ヘルプ権限が反映されます
66 ©2013 Check Point Software Technologies Ltd.
ポリシーの設定 - Full Disk Encryption
[Protected] For public distribution
[Full Disk Encryptionポリシー]の[割り当て]範囲が”My Organization”に適応されていることを確認します
[OK]をクリックして[Full Disk Encryptionポリシー]を終了します
67 ©2013 Check Point Software Technologies Ltd.
設定したPolicyのインストール
[Protected] For public distribution
[変更を反映]ウィンドウで変更したポリシー情報を適用します
[保存してインストール]をクリックします
[ポリシーのインストール]ウィンドウが表示されますので[全て選択]をクリック、続いて[インストール]
をクリックしてください
68 ©2013 Check Point Software Technologies Ltd.
最新モジュール(パッケージ)の登録と管理
[Protected] For public distribution
[ソフトウェアの導入]タブから[パッケージ リポジトリ]を確認します
クライアントにインストールするモジュールを登録し、管理する必要があります
今回はE80.32のアップデート
を適用していますので、最新のモジュールが自動で登録されています
参考としてモジュール登録のオペレーションを説明します
[ファイルの追加…]をクリックし[CPEPclnt]の[Master_FULL]を開きます
69 ©2013 Check Point Software Technologies Ltd.
最新モジュール(パッケージ)の登録と管理
[Protected] For public distribution
[Master_FULL]フォルダにある[EPS.msi]を選択して[開く]をクリックします
これでパッケージリポジトリに登録されます
尚、ファイル名[EPS.msi]を変更することはできませんのでそのままの形式で利用してください
70 ©2013 Check Point Software Technologies Ltd.
パッケージ・プロファイルの登録
[Protected] For public distribution
クライアントにインストールするパッケージモジュールを選択します
[ソフトウェアの導入] - [概要]を選択します
[新規…]をクリックします
71 ©2013 Check Point Software Technologies Ltd.
パッケージ・プロファイルの登録
[Protected] For public distribution
[Software Deployment プロファイル]ウィンドウで[全般のプロパティ]を選択します
[名前]フィールドに適宜名前を登録します(”test”という名前を登録しています)
[コメント]は必要に応じて入力します
[Full Disk Encryption]にチェックを入れます
続いて[割り当て]を選択します
72 ©2013 Check Point Software Technologies Ltd.
パッケージ・プロファイルの登録
[Protected] For public distribution
[選択ノード]ウィンドウから今回はテスト対象のPC “XP01”
を選択して[OK]します
[Software Deployment プロファイル]
ウィンドウの[割り当て]に、登録した”XP01”があることを確認します
73 ©2013 Check Point Software Technologies Ltd.
パッケージ・プロファイルの登録
[Protected] For public distribution
[詳細] - [パッケージ設定]で
最新のパッケージが適用されているかを確認します
同様に[64ビット対応]も確認します(今回は利用しません)
[OK]をクリックします
74 ©2013 Check Point Software Technologies Ltd.
設定したパッケージ・プロファイルのインストール
[Protected] For public distribution
作成したプロファイルを保存します
[変更を反映]ウィンドウで[保存してインストール]をクリックします
表示された[ポリシーのインストール]ウィンドウで[すべて選択]をクリック、続けて[インストール]
をクリックします
75 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentの生成
[Protected] For public distribution
今回はEndpoint Client Agentモジュールを
生成・取得しクライアントへインストールを行います
インストール方法の詳細および、その他のインストール方法については管理者ガイドを参照ください
※レガシーFDE製品からのアップグレード手順は『[4] レガシー・クライアントからのアップグレード』を参照してください
[ソフトウェアの導入] - [概要]から[新規クライアントパッケージの導入] -
[初期パッケージ取得]をクリックします
[レガシーのアンインストール パスワード]は[スキップ]をクリックします
76 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentの生成
[Protected] For public distribution
[保存場所の選択]でモジュールの保存場所を指定します
今回はマネージメント・サーバのデスクトップを指定します
[OK]をクリックします
[バーチャル グループの宛先を追加]は[スキップ]
をクリックします
77 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentの生成
[Protected] For public distribution
インストールパッケージ作成中は画面右下に次のようなポップアップメッセージが表示されます
[パッケージのダウンロードが完了しました]
のメッセージが表示されたら、ファイル保存先を確認します
指定したデスクトップ上に[EPS.msi]ファイルが保存されたことを確認します
ファイル名[EPS.msi]は編集してはいけません【重要】
78 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Management Serverのインストールと設定
クライアント・インストールの設定 2
クライアント・インストール 3
レガシー・クライアントからのアップグレード 4
[Protected] For public distribution
トラブルシューティング 5
79 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentのインストール
[Protected] For public distribution
クライアントのテスト環境Windows XPにログインします
ログインユーザ = ドメイン ユーザ(user1)はドメインPC(XP01)上でローカルPCのAdministrator権限が付与されていることを確認します
※ もしくは、ローカルPC上でEndpoint Agentインストール時にローカルのAdministrator権限ユーザでインストールを開始してください。(初回インストール時のみ必要)
Endpoint Management Serverで作成した[EPS.msi]ファイルをPC XP01から実行可能な場所に配置します
ここではXP01のデスクトップ上にコピーしています
※UAC(ユーザ・アクセス制御)が有効になっているWindows 7またはVistaにクライアントモジュールをインス
トールする場合は、[管理者として実行]オプションを選択してインストーラを起動する必要があります
※必要に応じてレジストリ情報の追加が必要です。詳細は管理者ガイドを参照ください
80 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentのインストール
[Protected] For public distribution
[EPS.msi]を実行すると[Check Point
Endpoint Agent]ウィザードが表示されます
エラー等が無いかを確認してください
[InstallShield Wizard Completed]が表示されれば完了です
[Finish]をクリックします
81 ©2013 Check Point Software Technologies Ltd.
Endpoint コンポーネントのインストール
[Protected] For public distribution
[Check Point Endpoint Agent]のインストールが完了すると画面右下に[鍵]アイコンが表示されます
アイコンをクリックすると接続先のサーバアドレスが表示されますので念のため正しいアドレスかを確認します
[Check Point Endpoint Agent]はEndpoint Serverと通信をしてログオンしているユーザおよびPCに設定されてい
るインストール・モジュール、ポリシーを自動でダウンロードします
画面右下のメッセージ遷移に注意してください
82 ©2013 Check Point Software Technologies Ltd.
Endpoint コンポーネントのインストール
[Protected] For public distribution
次のようなメッセージウィンドウが表示されますので[今すぐインストール]をクリックします
続けて[コンピュータが再起動します]のメッセージに[OK]をクリックします
[再起動]をクリックします
この再起動後ではまだFDEの起動前認証はインストールされません
83 ©2013 Check Point Software Technologies Ltd.
Endpoint コンポーネントのインストール
[Protected] For public distribution
再起動後、Windowsにログオンします
画面右下の[鍵]アイコンを右クリックしメニュー[概要の表示]を選択します
Full Disk Encryptionのステータスが[ユーザ情報の取得]から[保護セットアップ] - [リカバリ ファイルの送信] - [再起動の待機中]へと遷移します
画面右下に再起動のメッセージが表示されますので[はい]をクリックします
84 ©2013 Check Point Software Technologies Ltd.
Full Disk Encryptionの起動前認証
[Protected] For public distribution
PCを再起動すると次のようなFull Disk Encryptionの起動前認証画面が表示されます
初回のメッセージを確認して[OK]をクリックします
85 ©2013 Check Point Software Technologies Ltd.
Full Disk Encryptionの起動前認証
[Protected] For public distribution
テストユーザ”user1”でログインします
ユーザ情報取得機能を利用していますので、パスワードはドメイン・アカウントのものと同じです
[OK]をクリックします
[今回が初めてのログインです]と表示されますので[続行]をクリックします
Windows OSのブート処理に移行します
86 ©2013 Check Point Software Technologies Ltd.
Windowsへログオン
[Protected] For public distribution
ログオン・プロンプトが表示されるのでWindowsへログオンします
SSO設定をしていますが、初回ログオン時はまだ同期処理が行われていないためログオン操作が必要です
画面右下の[鍵]アイコンを右クリックし[概要の表示]を選択します
87 ©2013 Check Point Software Technologies Ltd.
Full Disk Encryptionの暗号化ステータス
[Protected] For public distribution
Full Disk Encryptionの[暗号化ステータス]を確認します
[暗号化完了]となれば指定したディスク領域は全て暗号化済みとなります
※暗号化中であってもユーザはWindows環境で作業を行うことができます
※また、Windowsをシャットダウンすることも可能です
88 ©2013 Check Point Software Technologies Ltd.
Endpointクライアントのインストールステータス
[Protected] For public distribution
Endpoint Security管理サーバの[組織]タブ - [Computer]からXP01を選択します
Full Disk Encryptionポリシーが配信されていることを確認します
89 ©2013 Check Point Software Technologies Ltd.
Endpointクライアントのインストールステータス
[Protected] For public distribution
Endpoint Security管理サーバの[組織]タブ - [Users]からuser1を選択します
テストで使用しているユーザとマシン名の組み合わせが正しいか、Full Disk
Encryptionがインストールされているかを確認します
90 ©2013 Check Point Software Technologies Ltd.
Endpointクライアントのインストールステータス
[Protected] For public distribution
[モニタリング]タブ - [アクティビティレポート] - [エンドポイントの接続性]から接続したPCを確認できます
user1/XP01が情報としてアップされているかモニターします
[モニタリング]タブ - [Full Disk Encryption] - [暗号化ステータス]から暗号化の状況を把握できます
user1/XP01が情報としてアップされているかモニターします
91 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Management Serverのインストールと設定
クライアント・インストールの設定 2
クライアント・インストール 3
レガシー・クライアントからのアップグレード
4
[Protected] For public distribution
トラブルシューティング 5
92 ©2013 Check Point Software Technologies Ltd.
R73 Full Disk Encryptionからのアップグレード
[Protected] For public distribution
Endpoint Security R73 Full Disk Encryptionが既にインストールされたクライアントPC(Windows XP)をEndpoint Security E80.32 Full Disk Encryptionにアップグレードする手順です
クライアントPCはR73 Full Disk Encryptionで暗号化が完了している必要があります
暗号化のアルゴリズムは同一のものを選択する必要があります(今回はAES採用)
アップグレード時は暗号化されたハードディスクを復号する必要はありません
今回のシナリオではR73 Full Disk Encryption 7.4.6が既にインストールしてあります
アップグレード可能なバージョンは各リリースノートを必ず参照してください
93 ©2013 Check Point Software Technologies Ltd.
R73 Full Disk Encryptionの設定確認
[Protected] For public distribution
R73 Full Disk
Encryptionの管理者は事前にポリシーで[更新確認パスワードの設定]が完
了していて、そのポリシーがクライアントPCに反映
されていることを確認します
E80.32 Full Disk
Encryptionへアップグ
レードする際にこのパスワードが必要になります
94 ©2013 Check Point Software Technologies Ltd.
アンインストールパスワードの設定
[Protected] For public distribution
E80.32の管理コンソールから[ポリシー] - [共通クライアント] - [Initial Common
Client Policy]を[編集…]します
95 ©2013 Check Point Software Technologies Ltd.
アンインストールパスワードの設定
[Protected] For public distribution
[共通クライアントポリシー]
- [全般プロパティ] - [レガシーのアンインストール パスワード]をクリックします
表示された[アンインストール
パスワードの変更]ウィンドウの[レガシーFDE更新確認パスワード]を設定し[OK]で終了します
パスワードはR73 FDEの[更新確認パスワードの設定]で登録した情報です
96 ©2013 Check Point Software Technologies Ltd.
ポリシーをインストール
[Protected] For public distribution
[変更を反映]ウィンドウで[保存してインストール]をクリックします
続いて表示される[ポリシーのインストール]で[すべて選択]、[インストール]をクリックしポリシーをインストールします
97 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentの生成
[Protected] For public distribution
Endpoint Client Agentモジュールを生
成・取得しクライアントへインストールを行います
[ソフトウェアの導入] - [概要]から[新規クライアントパッケージの導入] - [初期パッケージ取得]をクリックします
[レガシーのアンインストール パスワード]は[スキップ]をクリックします
アップグレードに必要なアンインストールパスワードは[レガシーFDE更新確認パスワード]で既に設定済みです
98 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentの生成
[Protected] For public distribution
[保存場所の選択]でモジュールの保存場所を指定します
今回はマネージメント・サーバのデスクトップを指定します
[OK]をクリックします
[バーチャル グループの宛先を追加]は[スキップ]
をクリックします
99 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentの生成
[Protected] For public distribution
インストールパッケージ作成中は画面右下に次のようなポップアップメッセージが表示されます
[パッケージのダウンロードが完了しました]
のメッセージが表示されたら、ファイル保存先を確認します
指定したデスクトップ上に[PreUpgrade.exe]
ファイルが保存されたことを確認します
ファイル名[PreUpgrade.exe]は編集しないでください
100 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentのインストール
[Protected] For public distribution
クライアントのテスト環境Windows XPにログインします
ログインユーザ = ドメイン ユーザ(user1)はドメインPC(XP01)上でローカルPCのAdministrator権限が付与されていることを確認します
※ もしくは、ローカルPC上でEndpoint Agentインストール時にローカルのAdministrator権限ユーザでインストールを開始してください。(初回インストール時のみ必要)
Endpoint Management Serverで作成した[PreUpgrade.exe]
ファイルをPC XP01から実行可能な場所に配置します
ここではXP01のデスクトップ上にコピーしています
※UAC(ユーザ・アクセス制御)が有効になっているWindows 7またはVistaにクライアントモジュールをインス
トールする場合は、[管理者として実行]オプションを選択してインストーラを起動する必要があります
※必要に応じてレジストリ情報の追加が必要です。詳細は管理者ガイドを参照ください
101 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentのインストール
[Protected] For public distribution
[PreUpgrade.exe]を実行すると[Visual C++]
インストール、続いてEndpointのウィザードが表示されるので[Next]、[Install]と続けてクリックします
[Endpoint Agent]インストールウィンドウが表示されます
102 ©2013 Check Point Software Technologies Ltd.
Endpoint Client Agentのインストール
[Protected] For public distribution
Rebootを促すメッセージウィンドウが表示されますので[OK]をクリックします
PCが再起動しますのでR73 FDEの認証ユーザ/パスワードで起動前認証を行います
[OK]をクリックし、次のウィンドウで[続行]をクリックします
103 ©2013 Check Point Software Technologies Ltd.
Endpoint Client モジュールのダウンロード
[Protected] For public distribution
Windowsにログオンします
アップグレード中は[鍵]アイコンはR73 FDE
のものとE80のAgentの2つ存在します
アップグレード中に処理中のメッセージが画面右下に表示されます
104 ©2013 Check Point Software Technologies Ltd.
Endpoint コンポーネントのインストール
[Protected] For public distribution
次のようなメッセージウィンドウが表示されますので[今すぐインストール]をクリックします
続けて[コンピュータが再起動します]のメッセージに[OK]をクリックします
[再起動]をクリックします
この再起動後ではまだE80.32 FDEの起動前認
証はインストールされていません
105 ©2013 Check Point Software Technologies Ltd.
Endpoint コンポーネントのインストール
[Protected] For public distribution
PCが再起動しますのでR73 FDEの認証ユーザ/パスワードで起動前認証を行います
[OK]をクリックし、次のウィンドウで[続行]をクリックします
続けてWindowsへログオンします
このWindowsログオン時に新しい起動前認証のユーザ/パスワードが取得されます
106 ©2013 Check Point Software Technologies Ltd.
Endpoint コンポーネントのアップデート
[Protected] For public distribution
Windowsにログオン後、画面右下の[鍵]アイコンを右クリックしメニュー[概要の表示]を選択します
暗号化は解除されずアップデート処理が行われます
Full Disk Encryptionのステータスが[ユーザ情報の取得]から[保護セットアップ]
- [リカバリ ファイルの送信] - [再起動の待機中]へと遷移します
107 ©2013 Check Point Software Technologies Ltd.
E80.32 Full Disk Encryptionの起動前認証
[Protected] For public distribution
R73 Full Disk
EncryptionからE80.32 Full Disk
Encryptionへの移行
が完了し、新しい認証画面が表示されます
画面左下の製品バージョンが変わっていることを確認してください
画面右下に再起動のメッセージが表示されますので[はい]をクリックします
108 ©2013 Check Point Software Technologies Ltd.
E80.32 Full Disk Encryptionの起動前認証
[Protected] For public distribution
E80.32 Full Disk Encryptionの起動前認証ユーザはWindowsログオン時のユーザへスイッチしています(ポリシーで[ユーザ取得の設定]をONにしているため)
Windowsログオンユーザ/パスワードで起動前認証を行います
初回のメッセージを確認して[OK]をクリックします
109 ©2013 Check Point Software Technologies Ltd.
Windowsへログオン
[Protected] For public distribution
[鍵]アイコンが2つから1つになっています
画面右下の[鍵]アイコンを右クリックし[概要の表示]を選択します
ログオン・プロンプトが表示されるのでWindowsへログオンします
SSO設定をしていますが、初回ログオン時はまだ同期処理が行われていないためログオン操作が必要です
110 ©2013 Check Point Software Technologies Ltd.
Full Disk Encryptionの暗号化ステータス
[Protected] For public distribution
Full Disk Encryptionの[暗号化ステータス]を確認します
[暗号化完了]と表示されアップグレードは完了となります
111 ©2013 Check Point Software Technologies Ltd.
アジェンダ
1 Management Serverのインストールと設定
クライアント・インストールの設定 2
クライアント・インストール 3
トラブルシューティング 5
[Protected] For public distribution
レガシー・クライアントからのアップグレード 4
112 ©2013 Check Point Software Technologies Ltd.
リモート・ヘルプ - Full Disk Encryption
[Protected] For public distribution
対象のFull Disk Encryptionユーザが起動前認証のパスワードを忘れた場合、もし
くはパスワード入力ミスによりアカウントがロックされた場合にリモート・ヘルプを利用します
リモート・ヘルプはオフライン環境で利用可能です
リモート・ヘルプは権限を持つ管理者と有効なポリシー(下記2点)が適用されたクライアントとの双方で、チャレンジ・レスポンス形式で作業します
[OneCheckユーザ設定] - [権限]のリモート・ヘルプ設定が有効であること
[Full Disk Enceyption] - [全般プロパティ] - [起動前認証]のリモート・ヘルプ設定が有効であること
113 ©2013 Check Point Software Technologies Ltd.
リモート・ヘルプ - Full Disk Encryption
[Protected] For public distribution
クライアントはリモート・ヘルプを管理者に要請します
管理者は[ツール] - [リモート ヘルプ] - [ユーザのログインの起動前リモート ヘルプ]を選択しツールを起動します
[ユーザのログインの起動前リモート ヘルプ]ウィンドウで、今回は[リモートパスワードの変更]を選択します
クライアントはユーザアカウントを入力し[リモートヘルプ]をクリックします
114 ©2013 Check Point Software Technologies Ltd.
リモート・ヘルプ - Full Disk Encryption
[Protected] For public distribution
クライアントはユーザ名、デバイス名を管理者に伝えます
管理者は各情報を登録し[レスポンスの生成]をクリックします
表示された[ユーザへのレスポンス
コード1]をクライアントに伝えます
クライアントは伝えられた[ユーザへのレスポンス コード1]を[レスポンス1]
に入力し、<Enter/Tab>キーでフィールドを移動します
表示された[チャレンジ]を管理者に伝えます
115 ©2013 Check Point Software Technologies Ltd.
リモート・ヘルプ - Full Disk Encryption
[Protected] For public distribution
クライアントは伝えられた[ユーザへのレスポンス コード2]を[レスポンス2]
に入力し、[OK]をクリックします
管理者は伝えられた[チャレンジ]を[ユーザからのチャレンジ]へ入力します
[レスポンスの生成]をクリックします
表示された[ユーザへのレスポンス コード2]をクライアントに伝えます
116 ©2013 Check Point Software Technologies Ltd.
リモート・ヘルプ - Full Disk Encryption
[Protected] For public distribution
チャレンジ/レスポンスが成功すると[新しいパスワードの設定]ウィンドウが表示されます
設定されているパスワードポリシーに従って、新しいパスワードを入力します
[OK]をクリックします
[ログイン成功]ウィンドウが表示されますので[続行]をクリックします
次回以降、ここで設定したパスワードが起動前認証のパスワードとなります
SSO設定している場合はWindows
のパスワードもシンクロナイズされます
117 ©2013 Check Point Software Technologies Ltd.
リカバリ - Full Disk Encryption
[Protected] For public distribution
ハードウェア等の障害で暗号化されたHDDにアクセスできない場合の最後の手段として有効です
リカバリはHDD上の暗号化されているすべての情報を復号するものですが、HDD
自身に障害が発生している場合、復号が完了しない場合があります
リカバリはオフライン環境で利用可能です
リカバリは権限を持つ管理者と有効なポリシーが適用されたクライアント上で実行できます
[OneCheckユーザ設定] - [権限]のリモート・ヘルプ設定が有効であること
118 ©2013 Check Point Software Technologies Ltd.
リカバリ - Full Disk Encryption
[Protected] For public distribution
[組織]タブの[Computers]から該当のPC(XP01)を選択します
右クリックでメニューを表示し、[暗号化リカバリ メディア]を選択します
119 ©2013 Check Point Software Technologies Ltd.
リカバリ - Full Disk Encryption
[Protected] For public distribution
[Full Disk Encryption - リカバリ メディア ツール]に表示されるデバイス名、ユーザ名を確認します
[回復を実行できるユーザ] - [追加…]
により、リカバリディスク起動後に表示される起動前認証で別のユーザを登録することができます(user1が退職等で
既に存在しておらず、他の代替起動前認証ユーザが存在しない場合など)
[書き込み先の選択]で用途に合わせたリカバリファイル形式を選択できます
ISOファイル:CDを利用してPCを起動する場合
RECファイル:DMU(ダイナミック・マウント・ユーティリティ)を利用する場合
USB:USBメモリにてPCを起動する場合
120 ©2013 Check Point Software Technologies Ltd.
リカバリ - Full Disk Encryption
[Protected] For public distribution
リカバリ・メディアで対象のクライアントPC
をブート後、有効な起動前認証ユーザで認証します
暗号化されているボリュームを選択して[Recover]もしくは[Recover All]をクリックします
121 ©2013 Check Point Software Technologies Ltd.
リカバリ - Full Disk Encryption
[Protected] For public distribution
リカバリがスタートすると進捗状況が確認できます
全ての暗号化されたHDD領域の復号が完了した場合、PCを再起動することができます
HDDは通常のWindowsフォーマットになっています
122 ©2013 Check Point Software Technologies Ltd.
リカバリ - Full Disk Encryption
[Protected] For public distribution
再起動を行うと起動前認証のプロセスはなくなり、HDDは完全に復号されています
Endpoint Securityのステータスは[未実行]となっています
Endpoint Client Agentその他製品のアンインストールはWindowsの[プログラムの追加と削除]、[プログラムのアンインストール]などから直接手動で行う必要があります