• 検索結果がありません。

フルディスク暗号化クライアントのレジストリ設定

• この項では、レジストリ設定の理由に関係なく、ローカル クライアント コンピュータでの Dell ProSupport 承認レジストリ設定すべてについて詳しく説 明します。レジストリ設定が 2 つの製品で重複している場合は、それぞれのカテゴリでリストされます。

• これらのレジストリ変更は管理者のみが行うべきであり、すべての状況に適しているわけではなく、機能しない場合もあります。

• フルディスク暗号化クライアントとの通信に Security Management Server/Security Management Server Virtual を使用できない場合の再試行 間隔を設定するには、次のレジストリ値を追加します。

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"CommErrorSleepSecs"=DWORD:300

この値は、フルディスク暗号化クライアントとの通信に Security Management Server/Security Management Server Virtual を使用できない場合 に、フルディスク暗号化クライアントが Security Management Server/Security Management Server Virtual との接続を試みるために待機する秒 数です。デフォルトは 300 秒(5 分)です。

• 自己署名証明書が フルディスク暗号化管理向けの Security Management Server/Security Management Server Virtual で使用されている場 合、クライアントコンピュータで SSL/TLS 信頼検証を無効のままにしておく必要があります(フルディスク暗号化管理では SSL/TLS 信頼検証はデ フォルトで無効です)。クライアントコンピュータで SSL/TLS 信頼検証を有効にする場合は、次の要件を満たしている必要があります。

• ルート証明機関(EnTrust や Verisign など)によって署名された証明書が Security Management Server/Security Management Server Virtual にインポートされている。

• 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。

• フルディスク暗号化管理で SSL/TLS 信頼検証を有効にするには、クライアントコンピュータ上で次のレジストリエントリの値を 0 に変更します。

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"DisableSSLCertTrust"=DWORD:0 0 = 有効

1 = 無効

• PBA がアクティブ化されているかどうかを判断するには、次の値が設定されていることを確認します。

[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters]

"PBAIsActivated"=DWORD (32-bit):1

1 の値は PBA がアクティブ化されていることを示します。0 の値は PBA がアクティブ化されていないことを示します。

メモ: このキーを手動で削除すると、ユーザーが PBA と同期して手動でのリカバリが必要になるという、意図しない結果をもたらすことがあ ります。

• 必要に応じて、Security Server ホストを元のインストール先から変更することができます。ホスト情報は、ポリシーのポールが行われるたびにクライア ントコンピュータに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更してください。

[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]

30 Dell Data Security Endpoint Security Suite Enterprise レジストリ設定

"ServerHost"=REG_SZ:<newname>.<organization>.com

• 必要に応じて、Security Server のポートが元のインストール先から変更されることがあります。この値は、ポリシーのポーリングが行われるたびにクライ アントコンピュータに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更してください。

[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]

ServerPort=REG_SZ:8888

• (起動前認証を使用する場合のみ)スマートカードおよびバイオメトリックデバイスに関連付けられているサービスを Advanced Authentication クライ アントに「自動」起動タイプに変更させたくない場合は、サービス起動機能を無効にします。また、この機能を無効化すると、実行されていない必須 サービスに関連する警告も抑制されます。

無効化すると、Advanced Authentication は次のサービスの起動を試行しなくなります。

• SCardSvr - コンピュータが読み取るスマートカードへのアクセスを管理します。このサービスが停止されると、コンピュータはスマートカードを読み取

ることができなくなります。このサービスが無効化されると、このサービスに確実に依存するサービスの開始が失敗するようになります。

• SCPolicySvc - スマートカード取り外し時にユーザーのデスクトップをロックするようシステムを設定することができます。

• WbioSrvc - Windows 生体認証サービスは、クライアントアプリケーションに対し、生体認証ハードウェアやサンプルに直接アクセスすることなく、

生体認証データの取得、比較、操作、および保存する機能を提供します。このサービスは特権 SVCHOST プロセスでホストされます。

レジストリキーが存在しない、または値が 0 に設定されている場合、この機能はデフォルトで有効化されます。

[HKLM\SOFTWARE\DELL\Dell Data Protection]

SmartCardServiceCheck=REG_DWORD:0 0 = 有効

1 = 無効

• Encryption Management Agent からのトースター通知が表示されないようにするには、クライアントコンピュータで次のレジストリ値を設定する必要 があります。

[HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection]

"PbaToastersAllowClose" =DWORD:1 0=Enabled (default)

1=Disabled

Advanced Threat Prevention クライアントのレジストリ設

• Advanced Threat Prevention プラグインが、LogVerbosity 値への変更がないか HKLM\SOFTWARE\Dell\Dell Data Protection を監視し、変 更に応じてクライアントログのレベルを更新するようにするには、次の値を設定します。

[HKLM\SOFTWARE\Dell\Dell Data Protection]

"LogVerbosity"=dword:<以下を参照>

Dump: 0 Fatal: 1 Error 3 Warning 5

Dell Data Security Endpoint Security Suite Enterprise レジストリ設定

31

Info 10 Verbose 12 Trace 14 Debug 15

レジストリ値は、ATP サービスが開始するとき、または値が変化するたびにチェックされます。レジストリ値がない場合は、ログのレベルの変化はありま せん。

このレジストリ設定は、Encryption クライアントおよび Encryption Management Agent を含むその他のコンポーネントのログ冗長性を制御するた め、テストまたはデバッグ用途にのみ使用してください。

• 互換性モードは、メモリ保護ポリシーまたはメモリー保護ポリシーとスクリプト制御ポリシーの両方が有効になっている際に、クライアントコンピュータでア プリケーションを実行することを可能にします。互換性モードを有効にするには、クライアントコンピュータ上でレジストリ値を追加する必要があります。

互換性モードを有効にするには、次の手順に従います。

a リモート管理コンソールで、メモリ保護の有効化ポリシーを無効にします。スクリプト制御ポリシーが有効になっている場合は、無効にします。

b CompatibilityMode レジストリ値を追加します。

1 クライアントコンピュータのレジストリエディタを使用して、HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop に移動します。

2 デスクトップを右クリックして、許可 をクリックし、 所有権を得て自分自身にフルコントロールを付与します。

3 デスクトップ を右クリックし、新規 > バイナリ値 の順に選択します。

4 名前には、CompatibilityMode と入力します。

5 レジストリの設定を開いて、値を 01 に変更します。

6 OK をクリックして、レジストリエディタを閉じます。

コマンドでレジストリ値を追加するには、次のコマンドラインオプションのいずれかを使用して、クライアントコンピュータ上で実行することができま す。

• (1 台のコンピュータの場合)Psexec:

psexec -s reg add HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop /v CompatibilityMode /t REG_BINARY /d 01

• (複数のコンピュータの場合)Invoke-Command cmdlet:

$servers = "testComp1","testComp2","textComp3"

$credential = Get-Credential -Credential {UserName}\administrator

InvokeCommand ComputerName $servers Credential $credential ScriptBlock {NewItem -Path HKCU:\Software\Cylance\Desktop -Name CompatibilityMode -Type REG_BINARY -Value 01}

c リモート管理コンソールで、メモリ保護の有効化ポリシーを再び有効にします。スクリプト制御ポリシーが前に有効になっていた場合は、再び有 効にします。

SED クライアントのレジストリ設定

• SED クライアントとの通信に Security Management Server/Security Management Server Virtual を使用できない場合の再試行間隔を設定 するには、次のレジストリ値を追加します。

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"CommErrorSleepSecs"=DWORD:300

32 Dell Data Security Endpoint Security Suite Enterprise レジストリ設定

この値は、SED クライアントとの通信に Security Management Server/Security Management Server Virtual を使用できない場合に、SED クラ イアントが Security Management Server/Security Management Server Virtual との接続を試みるために待機する秒数です。デフォルトは 300 秒(5 分)です。

• 自己署名証明書が SED 管理向けの Security Management Server/Security Management Server Virtual で使用されている場合、クライアン トコンピュータで SSL/TLS 信頼検証を無効のままにしておく必要があります(SED 管理では SSL/TLS 信頼検証はデフォルトで無効です)。クライ アントコンピュータで SSL/TLS 信頼検証を有効にする場合は、次の要件を満たしている必要があります。

• ルート証明機関(EnTrust や Verisign など)によって署名された証明書が Security Management Server/Security Management Server Virtual にインポートされている。

• 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。

• SED 管理で SSL/TLS 信頼検証を有効にするには、クライアントコンピュータ上で次のレジストリエントリの値を 0 に変更します。

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"DisableSSLCertTrust"=DWORD:0 0 = 有効

1 = 無効

• Windows 認証にスマートカードを使用するには、クライアントコンピュータで次のレジストリ値を設定する必要があります。

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]

"MSSmartcardSupport"=DWORD:1

• 起動前認証でスマートカードを使用するには、次のレジストリ値をクライアントコンピュータに設定します。また、リモート管理コンソールで認証方法ポ リシーをスマートカードに設定し、変更をコミットします。

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]

"MSSmartcardSupport"=DWORD:1

• PBA がアクティブ化されているかどうかを判断するには、次の値が設定されていることを確認します。

[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters]

"PBAIsActivated"=DWORD (32-bit):1

1 の値は PBA がアクティブ化されていることを示します。0 の値は PBA がアクティブ化されていないことを示します。

• SED クライアントとの通信にサーバを使用できないときに SED クライアントが Security Management Server/Security Management Server Virtual との接続を試みる間隔を設定するには、クライアントコンピュータで次の値を設定します。

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"CommErrorSleepSecs"=DWORD Value:300

この値は、SED クライアントとの通信に Security Management Server/Security Management Server Virtual を使用できない場合に、SED クラ イアントが Security Management Server/Security Management Server Virtual との接続を試みるために待機する秒数です。デフォルトは 300 秒(5 分)です。

• 必要に応じて、Security Server ホストを元のインストール先から変更することができます。ホスト情報は、ポリシーのポールが行われるたびにクライア ントコンピュータに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更してください。

[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]

"ServerHost"=REG_SZ:<newname>.<organization>.com

• 必要に応じて、Security Server のポートが元のインストール先から変更されることがあります。この値は、ポリシーのポーリングが行われるたびにクライ アントコンピュータに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更してください。

[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]

Dell Data Security Endpoint Security Suite Enterprise レジストリ設定

33

今ダウンロードする "Dell Data Security End..."

Outline

関連したドキュメント