復旧時に情報を暗号化して交換できるよう、Sophos SafeGuard には 「チャレ ンジ/レスポンス」が用意されています。
ヒント:
パスワードを忘れた場合、Local Self Help を使用して復旧することをお勧めし ます。ユーザーは Local Self Help で既存のパスワードを表示でき、そのパス ワードを引き続き使用できます。したがって、パスワードの再設定を行った り、ヘルプデスク担当者に依頼したりする必要がなくなります。
チャレンジ/レスポンスでの接続中に、ユーザーはチャレンジ コード (ASCII 文字列) を生成し、それをヘルプデスク担当者に提供します。提供されたチャ レンジコードに基づき、ヘルプデスク担当者は、コンピュータでの特定の処 理の実行を認証するレスポンス コードを生成します。
Locals Self Help による復旧は、Power-on Authentication での次のログオン方法 で使用できます。
■ ユーザー名とパスワードを使ったログオン
■ 指紋を使ったログオン
10.1 前提条件
チャレンジ/レスポンスを使用してログオン復旧を行うには、ヘルプデスク 担当者が鍵復旧ファイルにアクセスできることが前提になります。これらの ファイルは、共有パスやメール、またはその他のメディアなどで、ヘルプデ スク担当者に渡す必要があります。
ユーザーがパスワードを忘れた場合、パスワードをリセットするためには、
そのコンピュータで別のアカウントを利用できる必要があります。または、
パスワード リセット ディスクを使用することもできます。
チャレンジ/レスポンスを使用すると、ユーザーは Power-on Authentication で ログオンできます。また、Windows パスワードのリセットが必要とされる場
合でも、Windows にログオンすることができます。
10.2 間違ったパスワードを何度も入力した場合
間違ったパスワードを何度も入力して、コンピュータが POA レベルでロッ クされた場合は、チャレンジ/レスポンスによってコンピュータを Power-on Authentication で起動できます。その後、Windows ログオン ダイアログが表
示されます。このダイアログでWindows のパスワードを入力してログオン できます。
パスワード入力の最大試行回数のカウンタがリセットされます。
10.3 パスワードを忘れた場合
忘れたパスワードをチャレンジ/レスポンスで復旧するときは、パスワード のリセットが必要となります。
ヒント:
ユーザーは Local Self Help で既存のパスワードを表示でき、そのパスワード を引き続き使用できます。したがって、パスワードの再設定を行ったり、ヘ ルプデスク担当者に依頼したりする必要がなくなります。詳細は、Local Self Help による復旧 (p. 37) を参照してください。
1. チャレンジ/レスポンスを開始し、ヘルプデスク担当者の指示に従ってく ださい。コンピュータを Power-on Authentication で起動できるようになり ます。
2. 「Windows ログオン」ダイアログで、正しいパスワードを忘れてしまった
場合を想定します。Windows でパスワードを変更する必要があります。変 更するには、Sophos SafeGuard 以外に、Windows 標準の方法による復旧処 理が必要になります。
Windows でパスワードをリセットするには、次の 2つの方法があります。
■ コンピュータで利用可能で、必要なWindows 権限を持つサービスアカ ウントや管理者アカウントを使用する。
■ Windows パスワード リセット ディスクを使用する。
ヘルプデスク担当者は、どちらの手順を使用したらよいかをユーザーに伝 えて、追加のWindows ログオン情報や必要なディスクを提供します。
3. ヘルプデスク担当者から提供された新しいパスワードをWindows で入力 し、それをすぐに自分だけが知っている値に変更します。
4. Sophos SafeGuard 用の新しいユーザー証明書は、新しく設定されたWindows
パスワードに基づいて自動的に作成されます。これにより、ユーザーはコ ンピュータに再度ログオンし、新しいパスワードを使って Power-on Authentication でログオンできます。
5. 新しいパスワードを使用して、POA にログオンします。
ヒント:
SafeGuard Data Exchange の鍵:Windows パスワードを忘れたためにパスワード をリセットした場合は、対応するパスフレーズがないと、SafeGuard Data
Exchange 用に作成済みの鍵を使用することはできません。SafeGuard Data
Exchange の生成済みのユーザー鍵を引き続き使用するには、これらの鍵を再
度有効にするために必要な SafeGuard Data Exchange のパスフレーズを知って いる必要があります。
10.4 コンピュータにアクセスできなくなった場合
コンピュータにアクセスできなくなった場合は、Power-on Authentication が 破損している可能性があります。こうした深刻な状況でも、ヘルプデスク担 当者の支援を得ながら Sophos SafeGuard のチャレンジ/レスポンスを利用する ことで、暗号化されたドライブにアクセスできるようになります。この場 合、チャレンジ/レスポンスはWinPE 環境で実行されます。このように深刻 な状況になった場合は、Sophos SafeGuard ヘルプデスク担当者に問い合わせ ることをお勧めします。ヘルプデスク担当者は、必要なファイルを提供した 上で、コンピュータへのアクセスを復旧するために必要な手順を指示してく れます。
10.5 チャレンジ/レスポンス
チャレンジ/レスポンスは、次のような場合に開始する必要があります。
■ 間違ったパスワードを何度も入力した場合。
■ パスワードを忘れた場合。
■ 破損したキャッシュを修復する場合。
ヒント:
デフォルトでは、ローカルキャッシュが破損するとログオン復旧は無効に設 定されます。つまり、ローカルキャッシュはバックアップから自動的に復元 されます。この場合、ローカル キャッシュの修復に、チャレンジ/レスポン スは必要ありません。ただし、ローカル キャッシュをチャレンジ/レスポン スを使用して修復する場合は、ポリシーを使用してログオン復旧をアクティ ブにできます。この際、ローカルキャッシュが破損している場合、チャレン ジ/レスポンスを開始するよう自動的に表示されます。
ヒント:
チャレンジ/レスポンスでは、チャレンジを生成してから 30分以内に、ヘル プデスク担当者によって生成されたレスポンスを入力する必要があります。
30分経過すると、レスポンスコードは無効になり、使用できなくなります。
1. 「POA ログオン」ダイアログで「復旧」をクリックします。
■ ログオン復旧に対してチャレンジ/レスポンスだけが有効になっている 場合は、チャレンジ/レスポンスが開始されます。
■ ログオン復旧に対してチャレンジ/レスポンスと Local Self Help の両方が 使用可能になっている場合は、いずれかの復旧方法を選択するための ダイアログが表示されます。「チャレンジ/レスポンス」ボタンをクリッ クして、チャレンジ/レスポンスを開始します。
チャレンジ/レスポンスで必要なファイルの名前を示すダイアログが表示 されます。
2. ヘルプデスク担当者に連絡します。ヘルプデスク担当者にファイル名を通 知します。
3. 「次へ」をクリックします。
ユーザー データとランダムなチャレンジ コードが表示されます。コード は、読みやすいように 5文字ずつのブロックに分割されています。ヘルプ デスク担当者にチャレンジ コードを通知します。(チャレンジ コードを伝 えやすくするために、「スペル支援」ボタンをクリックして、読む際に利 用することもできます)。
4. 「次へ」をクリックします。
「チャレンジ/レスポンス - ステップ 3/3」ダイアログが表示されます。
ヘルプデスク担当者が、電話または SMS でユーザーにレスポンス コード を通知します。
5. 「チャレンジ/レスポンス - ステップ 3/3」ダイアログの入力フィールドに レスポンス コードを入力します。
レスポンス コードを間違って入力すると、間違った文字ブロックが赤色 でマークされます。
6. 「OK」をクリックします。
これで、Power-on Authentication でログオンされました。