Download pdf - Endpoint Security 管理サーバ設定ガイド©2013 Check Point Software Technologies Ltd. 3 変更履歴 Rev1 E80.30 + E80.32 Updateをベースに作成 Rev2 Rev1にレガシー製品(R73

©2013 Check Point Software Technologies Ltd.

Check Point Endpoint Security E80.32 設定ガイド

チェック・ポイント・ソフトウェア・テクノロジーズ(株)

[Protected] For public distribution

2 ©2013 Check Point Software Technologies Ltd.

アジェンダ

1 Management Serverのインストールと設定

クライアント・インストールの設定 2

クライアント・インストール 3

レガシー・クライアントからのアップグレード 4


トラブルシューティング 5


変更履歴

Rev1

E80.30 + E80.32 Updateをベースに作成

Rev2

Rev1にレガシー製品(R73 FDE)からのアップグレード・シナリオを追加



Check Point Endpoint Securityとは

Check Point

Endpoint Security

Check Point Full Disk Encryption Software Blade は、ハードディスク上に保存されているユーザ・データやオペレーティング・システム、一時ファイル、ゴミ箱のファイルを含めすべて自動的かつ透過的に暗号化します。

Check Point Media Encryption は、USB ストレージ・デバイスや CD、DVD などのリムーバブル・メディアを暗号化し、ポートおよびデバイスへのアクセス（読み込み、書き込み、実行）を制御することで、企業の機密データを保護し、マルウェアの侵入を防ぎます。

その他、AntiMalware & Program Control、Firewall & Compliance Check機能などエンドユーザのPCをトータルでセキュアに守ります。


Check Point Endpoint Securityは、統合管理可能なトータル・エンドポイント・ソリューションです。


Endpoint Server / Client構成図


Windows Server 2003 Standard Edition SP2

ドメインサーバ & Endpoint マネージメント

IP: 192.168.52.138

Serverバージョン：E80.32

Clientバージョン：E80.32

Windows XP SP3

IP: 192.168.52.128

Endpoint Security

マネージメント

AD サーバ

Endpoint

クライアント


アジェンダ








テストのシナリオ


Windows Server環境にEndpoint Security Management Serverを導入します

クライアントはWindows XP環境を使用します

Check Point Endpoint Security E80.30をインストールした後にパッチ版E80.32をインストールします

クライアント環境へFull Disk Encryptionを導入します

Endpoint Security

/ Full Disk Encryption

Endpoint Security

マネジメント


テスト環境の前提条件および事前作業


使用する環境は次の通りです

Windows Server 2003 Standard Edition SP2

Windows XP SP3

Windowsサーバ環境のサポートされている最新のSP/パッチを適用しています




クライアントとEndpoint Security Management Serverの通信に使われるサービス/プロトコル/ポートは以下の通りです




Endpoint Security管理コンソールがEndpoint Security Management

Serverと通信するために使われるSICのポートは以下の通りです

Endpoint Security Management Serverのインストール前に次のポートが使用できるか確認します




Windows Active Directoryの環境構成が完了しているものとします

AD環境にドメイン PC(XP01)を登録・作成します

XP01をクライアントPCとします




AD環境にドメインユーザ(user1) を登録・作成します。




ドメインユーザ(user1)はドメイン PC(XP01)上でローカルPCのAdministrator権限を付与してください

※ もしくは、ローカルPC上でEndpoint Agentインストール時にローカルのAdministrator権限ユーザでインストールを開始してください(初回インストール時のみ必要)




Endpoint Management ServerをインストールするWindows Server OS環境に、事前に.NET 3.5 SP1 Runtime Frameworkインストールします




作業の前に必ず最新の製品情報についても確認してください

Endpoint Security E80.30 / Solution ID: sk65921

https://supportcenter.checkpoint.com/supportcenter/portal?eventSub

mit_doGoviewsolutiondetails=&solutionid=sk65921

また、リリースノート、その他のマニュアルも合わせて確認してください

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65921







CD(E80.30_CheckPoint_Endpoint_Security_Server_Windows.iso)をマウントします

Setup.exeをクリックしてインストールを開始します

UAC（ユーザ・アクセス制御）が有効になっているWindows 7またはVistaにクライ

アント・モジュールをインストールする場合は、［管理者として実行］オプションを選択してインストーラを起動する必要があります

※必要に応じてレジストリ情報の追加が必要です。詳細は管理者ガイドを参照ください


Management Serverのインストール


インストールが開始されると次のウィンドウが表示されますので[Forward]をクリックして作業を進めます




License Agreementを承諾して[Forward]をクリックします




[New Installation]を選択して[Forward]クリックします




[Security Management]と[Endpoint Security]を選択します

後の作業でE80.32のSmartConsoleをインストールしますので、(二度手間を省くため)ここでは[SmartConsole]のチェックを外し、[Forward]をクリックしてください




Daylight Savingsに関するWarningが表示されますがそのまま[Forward]をクリックします




[Primary Security Management]を選択して[Forward]をクリックします




選択したインストール項目の確認ウィンドウが表示されますので、不備が無ければ[Forward]をクリックします




[Security Management]からインストールが開始されます

[Next]をクリックします

しばらくの後、[Security Management]のインストールが完了します

[OK]をクリックします




続いて[Endpoint Security]のインストールが開始されます

[Next]をクリックします


ライセンスの登録


インストール中[License and contracts]ウィンドウが表示されます

ライセンス無しで、インストール後15日間評価可能なプラグ・アンド・プレイ機能がついています

ライセンスを適用する場合は[Fetch From File…]をクリックします

ライセンスを適用しない場合はそのまま[次へ]をクリックします

今回は30日間の評価ライセンスを適用します

必要な評価ライセンスは次です

CPSG-CPSM-EVAL

CPEP-EVAL-SM-CLIENT-100


ライセンスの登録


必要な全てのライセンスファイルが登録されると[License and

contracts]ウィンドウに次のように表示されます

[次へ]をクリックします

評価ライセンスとして3つのファイルが生成されますので、[License and

contracts]ウィンドウの [Fetch From File…]をクリックしてファイルを登録します

1ファイルづつ選択し[開く]をクリック、全てのライセンス・ファイルを登録するまで作業を繰り返します


管理者ユーザの登録


[Add Administrator]ウィンドウが表示されますので管理者ユーザを登録します

ユーザ、パスワードを入力し[OK]をクリックします

権限等はデフォルトのままフルで与えます


管理者ユーザの登録


登録した管理者ユーザを確認し[次へ]をクリックします


GUIクライアントの登録


[GUI Clients]で接続可能なRemote Host

を設定します

今回は”any”として登録し[Add]をクリックします

[次へ]をクリックします

Warningが表示されますので確認して[OK]をクリックします


GUIクライアントの登録


“any”が登録されたことを確認して[次へ]をクリックします


Certificate Authority


[Certificate Authority]ウィンドウが表示されますので内容を確認して[次へ]をクリックします

Initializeが完了した旨表示されますので[OK]をクリックします


Fingerprint


[Fingerprint]ウィンドウが表示されますので必要であれば[Export to file…]

をクリックして情報を保存してください

[完了]をクリックします




次のウィンドウが表示されますので[Finish]をクリックします

続けてRebootを促されますので[はい]をクリックします




ログイン後もポスト-インストール処理が行われています

タスクマネージャなどを起動して処理が継続されているかを確認します

下のように処理が終わりCPU使用率が安定したらE80.32のアップデートモジュール適用作業に移ります

再起動が完了したら再びログインします


E80.32へアップデート


E80.32のアップデートモジュール[e80_32_server_upgrade.tgz]を展開します

[e80_32_server_upgrade]フォルダ配下にあるSetup.exeを実行します


E80.32へアップデート


Setup.exeを起動するとコマンドプロンプト画面が表示されます

プロンプトに対して’y’を入力し[Enter]

します

画面のようにSucceededと表示されRebootの確認プロンプトがでます

’y’を入力し[Enter]、Rebootします


E80.32 SmartConsoleのインストール


Rebootが完了したら続いてE80.32のSmartConsoleをインストールします

Install Wizardが表示されますので[Next]をクリックします




License Agreement画面で[Yes]をクリックします

Install Locationを設定します

ここではデフォルトで[Next]をクリックします




全ての機能が選択されていることを確認して[Next]をクリックします

処理が継続されます




インストールしたSmartConsoleの

ショートカットをデスクトップに配置するか[はい]、もしくは[いいえ]で答えます

インストール完了のウィンドウが表示されますので[OK]をクリックします

次のウィンドウで[Finish] をクリックします


Endpoint Security Managementの起動


スタートメニューからEndpoint Security

Managementを起動します


Endpoint Security Managementの起動


ログイン画面が表示されますので登録した管理者IDとパスワードを入力します

続けてServerのIPアドレスを入力し[OK]をクリックします

接続したサーバとFingerprintが表示さ

れますので、正しいことを確認して[Approve]をクリックします


ディレクトリ・スキャナの設定


Endpoint Security管理コンソールが表示されます

AD情報を収集するため、メニューから[ツール] – [ディレクトリスキャナ]を選択します




[ディレクトリ・スキャナ]ウィンドウが表示されます

[ディレクトリ・スキャナの設定]をクリックします

ディレクト・リスキャナに有効なアカウントを登録します

アカウントはドメイン・アカウントでrootから全てのADコンテナに対するread権(削

除されたオブジェクトに対しても同権限を有すること)をもつユーザを設定し[OK]をクリックします

認証情報がアップデートされたことを確認して[OK]をクリックします




続けてスキャナ・インスタンスを追加します

[はい]をクリックします

表示されているドメイン名を確認して[OK]をクリックします

情報を確認し、ログイン名、パスワードを設定します





ディレクトリ・スキャナでステータスが[最初のスキャンを待機中]と表示されるのでしばらく待ちます

ステータスが[完了]となったら[閉じる]をクリックします

ディレクトリ・スキャナがroot(最上位)からスキャンされる設定になっているかを確認します

スキャン時間間隔はデフォルトで5分になっています

必要であれば変更します



ディレクトリ・スキャンした情報を確認


ADのスキャンが完了すると[組織]タブの[My

Organization]配下に情報が表示されます

例えば[Users]の下に今回利用するテストユーザ[user1]があるか確認します

また[Computers]の下に[XP01]があるか確認します


ポリシー・データベースの初期インストール


ログ・サーバへログを送付するためにポリシー・データベースを初期インストールします

[管理] － [全般プロパティ]を選択します

[General Properties] － [ポリシーサーバ]

で今回インストールさひたサーバを選択し[編集…]をクリックします


ポリシー・データベースの初期インストール


[変更を反映]ウィンドウが表示されますが、継続して作業を行うので、ここでは[後で適用]をクリックします(実質保存してインストールする情報はありません)

[ホストプロパティ]ウィンドウで[インストール…]をクリックします

[Install Database]ウィンドウでステータスを確認します

[Start…]から[Installation process

complete]のメッセージが表示されたら[OK]

をクリックします


ケルベロス認証の設定


[管理] － [全般プロパティ]を選択します

[General Properties] － [認証設定]でケルベロス認証の設定を行うことができます

今回はテスト目的のため割愛しますが、実運用環境ではセキュリティを高めるため、ケルベロス認証での運用を推奨します

※一旦ケルベロス認証設定を行った場合はもとに戻すことはできません

※詳細および設定方法についてはマニュアルおよびマイクロソフト、その他の情報を参照ください


アジェンダ








ポリシーの設定－ OneCheckユーザ設定


クライアントへインストールをするための設定をします

まず、[ポリシー]タブの[OneCheckユーザ設定]に移動します

今回はデフォルトで用意されている[Medium Security

OneCheck User

Policy]を利用します

[編集…]をクリックします




[OneCheck ユーザ設定ポリシー]の[全般プロパティ]を確認します

アカウントのロックに関する設定を行います

ここでは各5回と設定しましたが、不要であれば値を設定する必要はありません




[OneCheck ユーザ設定ポリシー]の[割り当て]範囲が”My Organization”に適応されていることを確認します




[パスワードのセキュリティ]で[パスワードの同期設定]を確認します

双方の設定にチェックが入っていると利便性が向上します




[権限]を確認します

特に[リカバリメディアの使用を許可]、[リモートヘルプ]の各項目にチェックが入っているかを確認します【重要】


[変更を反映]ウィンドウが表示されますが、ポリシーの編集を継続するのでここでは[後で適用]をクリックします


ポリシーの設定－共通クライアント


[ポリシー]の[共通クライアント]から[Initial Common Client Policy]を選択して[編集…]をクリックします




[ログアップロード設定]にてログを

サーバにアップする諸条件を確認します

必要であれば変更します

[共通クライアントポリシー]の[全般プロパティ]を確認します

[アンインストールパスワード]をクリッ

クしてアンインストール・パスワードを設定します

アンインストール・パスワードはアンインストール時に必須で、セキュリティを確保するため設定変更を推奨します

デフォルトは”secret”です

アンインストール・パスワードはクライアントへ通知してはいけません【重要】




[共通クライアントポリシー]の[割り当て]範囲が”My Organization”に適応されていることを確認します


[変更を反映]ウィンドウが表示されますが、ポリシーの編集を継続するのでここでは[後で適用]をクリックします


ポリシーの設定－ Full Disk Encryption


[ポリシー] – [Full Disk

Encryption]から[Medium

Security Encryption Policy]

を選択して[編集…]をクリックします




[全般プロパティ] － [ドライブの暗号化]から[設定…]をクリックします

暗号化に関する設定が表示されますので内容を確認して[OK]をクリックします




[全般プロパティ] － [起動前認証]から[設定…]をクリックします

起動前認証に関する設定が表示されます

特に[リモートヘルプを有効にする]

がチェックされていることを確認して[OK]をクリックします




[全般プロパティ] － [ログインが許可されたユーザ] － [詳細]をクリックします

[ユーザ取得の設定]が表示され、1

ユーザの情報を取得する設定になっています(最低1ユーザ必須)

ユーザの情報取得(WindowsユーザID/パスワード)を初回インストール後の再起動後のWindowsログオン時に行います

取得したユーザの情報をFull Disk

Encryptionの起動前認証ユーザ情報として利用します




[Full Disk Encryptionポリシー] － [全般プロパティ] － [OneCheck] － [詳細]をクリックします

[OneCheck設定]が表示され、[OneCheckを有効にする]がチェックされていることを確認します

[OneCheckを有効にする]ことで、OneCheckで設定したパスワード要件やリモート・ヘルプ権限が反映されます




[Full Disk Encryptionポリシー]の[割り当て]範囲が”My Organization”に適応されていることを確認します

[OK]をクリックして[Full Disk Encryptionポリシー]を終了します


設定したPolicyのインストール


[変更を反映]ウィンドウで変更したポリシー情報を適用します

[保存してインストール]をクリックします

[ポリシーのインストール]ウィンドウが表示されますので[全て選択]をクリック、続いて[インストール]

をクリックしてください


最新モジュール(パッケージ)の登録と管理


[ソフトウェアの導入]タブから[パッケージリポジトリ]を確認します

クライアントにインストールするモジュールを登録し、管理する必要があります

今回はE80.32のアップデート

を適用していますので、最新のモジュールが自動で登録されています

参考としてモジュール登録のオペレーションを説明します

[ファイルの追加…]をクリックし[CPEPclnt]の[Master_FULL]を開きます


最新モジュール(パッケージ)の登録と管理


[Master_FULL]フォルダにある[EPS.msi]を選択して[開く]をクリックします

これでパッケージリポジトリに登録されます

尚、ファイル名[EPS.msi]を変更することはできませんのでそのままの形式で利用してください


パッケージ・プロファイルの登録


クライアントにインストールするパッケージモジュールを選択します

[ソフトウェアの導入] － [概要]を選択します

[新規…]をクリックします




[Software Deployment プロファイル]ウィンドウで[全般のプロパティ]を選択します

[名前]フィールドに適宜名前を登録します(”test”という名前を登録しています)

[コメント]は必要に応じて入力します

[Full Disk Encryption]にチェックを入れます

続いて[割り当て]を選択します




[選択ノード]ウィンドウから今回はテスト対象のPC “XP01”

を選択して[OK]します

[Software Deployment プロファイル]

ウィンドウの[割り当て]に、登録した”XP01”があることを確認します




[詳細] － [パッケージ設定]で

最新のパッケージが適用されているかを確認します

同様に[64ビット対応]も確認します(今回は利用しません)



設定したパッケージ・プロファイルのインストール


作成したプロファイルを保存します

[変更を反映]ウィンドウで[保存してインストール]をクリックします

表示された[ポリシーのインストール]ウィンドウで[すべて選択]をクリック、続けて[インストール]



Endpoint Client Agentの生成


今回はEndpoint Client Agentモジュールを

生成・取得しクライアントへインストールを行います

インストール方法の詳細および、その他のインストール方法については管理者ガイドを参照ください

※レガシーFDE製品からのアップグレード手順は『[4] レガシー・クライアントからのアップグレード』を参照してください

[ソフトウェアの導入] － [概要]から[新規クライアントパッケージの導入] －

[初期パッケージ取得]をクリックします

[レガシーのアンインストールパスワード]は[スキップ]をクリックします




[保存場所の選択]でモジュールの保存場所を指定します

今回はマネージメント・サーバのデスクトップを指定します


[バーチャルグループの宛先を追加]は[スキップ]





インストールパッケージ作成中は画面右下に次のようなポップアップメッセージが表示されます

[パッケージのダウンロードが完了しました]

のメッセージが表示されたら、ファイル保存先を確認します

指定したデスクトップ上に[EPS.msi]ファイルが保存されたことを確認します

ファイル名[EPS.msi]は編集してはいけません【重要】


アジェンダ








Endpoint Client Agentのインストール


クライアントのテスト環境Windows XPにログインします

ログインユーザ = ドメインユーザ(user1)はドメインPC(XP01)上でローカルPCのAdministrator権限が付与されていることを確認します

※ もしくは、ローカルPC上でEndpoint Agentインストール時にローカルのAdministrator権限ユーザでインストールを開始してください。(初回インストール時のみ必要)

Endpoint Management Serverで作成した[EPS.msi]ファイルをPC XP01から実行可能な場所に配置します

ここではXP01のデスクトップ上にコピーしています

※UAC（ユーザ・アクセス制御）が有効になっているWindows 7またはVistaにクライアントモジュールをインス

トールする場合は、［管理者として実行］オプションを選択してインストーラを起動する必要があります





[EPS.msi]を実行すると[Check Point

Endpoint Agent]ウィザードが表示されます

エラー等が無いかを確認してください

[InstallShield Wizard Completed]が表示されれば完了です

[Finish]をクリックします


Endpoint コンポーネントのインストール


[Check Point Endpoint Agent]のインストールが完了すると画面右下に[鍵]アイコンが表示されます

アイコンをクリックすると接続先のサーバアドレスが表示されますので念のため正しいアドレスかを確認します

[Check Point Endpoint Agent]はEndpoint Serverと通信をしてログオンしているユーザおよびPCに設定されてい

るインストール・モジュール、ポリシーを自動でダウンロードします

画面右下のメッセージ遷移に注意してください




次のようなメッセージウィンドウが表示されますので[今すぐインストール]をクリックします

続けて[コンピュータが再起動します]のメッセージに[OK]をクリックします

[再起動]をクリックします

この再起動後ではまだFDEの起動前認証はインストールされません




再起動後、Windowsにログオンします

画面右下の[鍵]アイコンを右クリックしメニュー[概要の表示]を選択します

Full Disk Encryptionのステータスが[ユーザ情報の取得]から[保護セットアップ] － [リカバリファイルの送信] － [再起動の待機中]へと遷移します

画面右下に再起動のメッセージが表示されますので[はい]をクリックします


Full Disk Encryptionの起動前認証


PCを再起動すると次のようなFull Disk Encryptionの起動前認証画面が表示されます

初回のメッセージを確認して[OK]をクリックします


Full Disk Encryptionの起動前認証


テストユーザ”user1”でログインします

ユーザ情報取得機能を利用していますので、パスワードはドメイン・アカウントのものと同じです


[今回が初めてのログインです]と表示されますので[続行]をクリックします

Windows OSのブート処理に移行します


Windowsへログオン


ログオン・プロンプトが表示されるのでWindowsへログオンします

SSO設定をしていますが、初回ログオン時はまだ同期処理が行われていないためログオン操作が必要です

画面右下の[鍵]アイコンを右クリックし[概要の表示]を選択します


Full Disk Encryptionの暗号化ステータス


Full Disk Encryptionの[暗号化ステータス]を確認します

[暗号化完了]となれば指定したディスク領域は全て暗号化済みとなります

※暗号化中であってもユーザはWindows環境で作業を行うことができます

※また、Windowsをシャットダウンすることも可能です


Endpointクライアントのインストールステータス


Endpoint Security管理サーバの[組織]タブ－ [Computer]からXP01を選択します

Full Disk Encryptionポリシーが配信されていることを確認します




Endpoint Security管理サーバの[組織]タブ－ [Users]からuser1を選択します

テストで使用しているユーザとマシン名の組み合わせが正しいか、Full Disk

Encryptionがインストールされているかを確認します




[モニタリング]タブ－ [アクティビティレポート] － [エンドポイントの接続性]から接続したPCを確認できます

user1/XP01が情報としてアップされているかモニターします

[モニタリング]タブ－ [Full Disk Encryption] － [暗号化ステータス]から暗号化の状況を把握できます

user1/XP01が情報としてアップされているかモニターします


アジェンダ




レガシー・クライアントからのアップグレード

4




R73 Full Disk Encryptionからのアップグレード


Endpoint Security R73 Full Disk Encryptionが既にインストールされたクライアントPC(Windows XP)をEndpoint Security E80.32 Full Disk Encryptionにアップグレードする手順です

クライアントPCはR73 Full Disk Encryptionで暗号化が完了している必要があります

暗号化のアルゴリズムは同一のものを選択する必要があります(今回はAES採用)

アップグレード時は暗号化されたハードディスクを復号する必要はありません

今回のシナリオではR73 Full Disk Encryption 7.4.6が既にインストールしてあります

アップグレード可能なバージョンは各リリースノートを必ず参照してください


R73 Full Disk Encryptionの設定確認


R73 Full Disk

Encryptionの管理者は事前にポリシーで[更新確認パスワードの設定]が完

了していて、そのポリシーがクライアントPCに反映

されていることを確認します

E80.32 Full Disk

Encryptionへアップグ

レードする際にこのパスワードが必要になります


アンインストールパスワードの設定


E80.32の管理コンソールから[ポリシー] － [共通クライアント] － [Initial Common

Client Policy]を[編集…]します


アンインストールパスワードの設定


[共通クライアントポリシー]

－ [全般プロパティ] － [レガシーのアンインストールパスワード]をクリックします

表示された[アンインストール

パスワードの変更]ウィンドウの[レガシーFDE更新確認パスワード]を設定し[OK]で終了します

パスワードはR73 FDEの[更新確認パスワードの設定]で登録した情報です


ポリシーをインストール


[変更を反映]ウィンドウで[保存してインストール]をクリックします

続いて表示される[ポリシーのインストール]で[すべて選択]、[インストール]をクリックしポリシーをインストールします




Endpoint Client Agentモジュールを生

成・取得しクライアントへインストールを行います

[ソフトウェアの導入] － [概要]から[新規クライアントパッケージの導入] － [初期パッケージ取得]をクリックします

[レガシーのアンインストールパスワード]は[スキップ]をクリックします

アップグレードに必要なアンインストールパスワードは[レガシーFDE更新確認パスワード]で既に設定済みです




[保存場所の選択]でモジュールの保存場所を指定します

今回はマネージメント・サーバのデスクトップを指定します


[バーチャルグループの宛先を追加]は[スキップ]





インストールパッケージ作成中は画面右下に次のようなポップアップメッセージが表示されます

[パッケージのダウンロードが完了しました]

のメッセージが表示されたら、ファイル保存先を確認します

指定したデスクトップ上に[PreUpgrade.exe]

ファイルが保存されたことを確認します

ファイル名[PreUpgrade.exe]は編集しないでください




クライアントのテスト環境Windows XPにログインします

ログインユーザ = ドメインユーザ(user1)はドメインPC(XP01)上でローカルPCのAdministrator権限が付与されていることを確認します

※ もしくは、ローカルPC上でEndpoint Agentインストール時にローカルのAdministrator権限ユーザでインストールを開始してください。(初回インストール時のみ必要)

Endpoint Management Serverで作成した[PreUpgrade.exe]

ファイルをPC XP01から実行可能な場所に配置します

ここではXP01のデスクトップ上にコピーしています

※UAC（ユーザ・アクセス制御）が有効になっているWindows 7またはVistaにクライアントモジュールをインス

トールする場合は、［管理者として実行］オプションを選択してインストーラを起動する必要があります





[PreUpgrade.exe]を実行すると[Visual C++]

インストール、続いてEndpointのウィザードが表示されるので[Next]、[Install]と続けてクリックします

[Endpoint Agent]インストールウィンドウが表示されます




Rebootを促すメッセージウィンドウが表示されますので[OK]をクリックします

PCが再起動しますのでR73 FDEの認証ユーザ/パスワードで起動前認証を行います

[OK]をクリックし、次のウィンドウで[続行]をクリックします


Endpoint Client モジュールのダウンロード


Windowsにログオンします

アップグレード中は[鍵]アイコンはR73 FDE

のものとE80のAgentの2つ存在します

アップグレード中に処理中のメッセージが画面右下に表示されます




次のようなメッセージウィンドウが表示されますので[今すぐインストール]をクリックします

続けて[コンピュータが再起動します]のメッセージに[OK]をクリックします

[再起動]をクリックします

この再起動後ではまだE80.32 FDEの起動前認

証はインストールされていません




PCが再起動しますのでR73 FDEの認証ユーザ/パスワードで起動前認証を行います

[OK]をクリックし、次のウィンドウで[続行]をクリックします

続けてWindowsへログオンします

このWindowsログオン時に新しい起動前認証のユーザ/パスワードが取得されます


Endpoint コンポーネントのアップデート


Windowsにログオン後、画面右下の[鍵]アイコンを右クリックしメニュー[概要の表示]を選択します

暗号化は解除されずアップデート処理が行われます

Full Disk Encryptionのステータスが[ユーザ情報の取得]から[保護セットアップ]

－ [リカバリファイルの送信] － [再起動の待機中]へと遷移します


E80.32 Full Disk Encryptionの起動前認証


R73 Full Disk

EncryptionからE80.32 Full Disk

Encryptionへの移行

が完了し、新しい認証画面が表示されます

画面左下の製品バージョンが変わっていることを確認してください

画面右下に再起動のメッセージが表示されますので[はい]をクリックします


E80.32 Full Disk Encryptionの起動前認証


E80.32 Full Disk Encryptionの起動前認証ユーザはWindowsログオン時のユーザへスイッチしています(ポリシーで[ユーザ取得の設定]をONにしているため)

Windowsログオンユーザ/パスワードで起動前認証を行います

初回のメッセージを確認して[OK]をクリックします


Windowsへログオン


[鍵]アイコンが2つから1つになっています

画面右下の[鍵]アイコンを右クリックし[概要の表示]を選択します

ログオン・プロンプトが表示されるのでWindowsへログオンします

SSO設定をしていますが、初回ログオン時はまだ同期処理が行われていないためログオン操作が必要です


Full Disk Encryptionの暗号化ステータス


Full Disk Encryptionの[暗号化ステータス]を確認します

[暗号化完了]と表示されアップグレードは完了となります


アジェンダ








リモート・ヘルプ－ Full Disk Encryption


対象のFull Disk Encryptionユーザが起動前認証のパスワードを忘れた場合、もし

くはパスワード入力ミスによりアカウントがロックされた場合にリモート・ヘルプを利用します

リモート・ヘルプはオフライン環境で利用可能です

リモート・ヘルプは権限を持つ管理者と有効なポリシー(下記2点)が適用されたクライアントとの双方で、チャレンジ・レスポンス形式で作業します

[OneCheckユーザ設定] － [権限]のリモート・ヘルプ設定が有効であること

[Full Disk Enceyption] － [全般プロパティ] － [起動前認証]のリモート・ヘルプ設定が有効であること




クライアントはリモート・ヘルプを管理者に要請します

管理者は[ツール] － [リモートヘルプ] － [ユーザのログインの起動前リモートヘルプ]を選択しツールを起動します

[ユーザのログインの起動前リモートヘルプ]ウィンドウで、今回は[リモートパスワードの変更]を選択します

クライアントはユーザアカウントを入力し[リモートヘルプ]をクリックします




クライアントはユーザ名、デバイス名を管理者に伝えます

管理者は各情報を登録し[レスポンスの生成]をクリックします

表示された[ユーザへのレスポンス

コード1]をクライアントに伝えます

クライアントは伝えられた[ユーザへのレスポンスコード1]を[レスポンス1]

に入力し、<Enter/Tab>キーでフィールドを移動します

表示された[チャレンジ]を管理者に伝えます




クライアントは伝えられた[ユーザへのレスポンスコード2]を[レスポンス2]

に入力し、[OK]をクリックします

管理者は伝えられた[チャレンジ]を[ユーザからのチャレンジ]へ入力します

[レスポンスの生成]をクリックします

表示された[ユーザへのレスポンスコード2]をクライアントに伝えます




チャレンジ/レスポンスが成功すると[新しいパスワードの設定]ウィンドウが表示されます

設定されているパスワードポリシーに従って、新しいパスワードを入力します


[ログイン成功]ウィンドウが表示されますので[続行]をクリックします

次回以降、ここで設定したパスワードが起動前認証のパスワードとなります

SSO設定している場合はWindows

のパスワードもシンクロナイズされます


リカバリ－ Full Disk Encryption


ハードウェア等の障害で暗号化されたHDDにアクセスできない場合の最後の手段として有効です

リカバリはHDD上の暗号化されているすべての情報を復号するものですが、HDD

自身に障害が発生している場合、復号が完了しない場合があります

リカバリはオフライン環境で利用可能です

リカバリは権限を持つ管理者と有効なポリシーが適用されたクライアント上で実行できます

[OneCheckユーザ設定] － [権限]のリモート・ヘルプ設定が有効であること




[組織]タブの[Computers]から該当のPC(XP01)を選択します

右クリックでメニューを表示し、[暗号化リカバリメディア]を選択します




[Full Disk Encryption －リカバリメディアツール]に表示されるデバイス名、ユーザ名を確認します

[回復を実行できるユーザ] － [追加…]

により、リカバリディスク起動後に表示される起動前認証で別のユーザを登録することができます(user1が退職等で

既に存在しておらず、他の代替起動前認証ユーザが存在しない場合など)

[書き込み先の選択]で用途に合わせたリカバリファイル形式を選択できます

ISOファイル：CDを利用してPCを起動する場合

RECファイル：DMU(ダイナミック・マウント・ユーティリティ)を利用する場合

USB：USBメモリにてPCを起動する場合




リカバリ・メディアで対象のクライアントPC

をブート後、有効な起動前認証ユーザで認証します

暗号化されているボリュームを選択して[Recover]もしくは[Recover All]をクリックします




リカバリがスタートすると進捗状況が確認できます

全ての暗号化されたHDD領域の復号が完了した場合、PCを再起動することができます

HDDは通常のWindowsフォーマットになっています




再起動を行うと起動前認証のプロセスはなくなり、HDDは完全に復号されています

Endpoint Securityのステータスは[未実行]となっています

Endpoint Client Agentその他製品のアンインストールはWindowsの[プログラムの追加と削除]、[プログラムのアンインストール]などから直接手動で行う必要があります