• この項では、レジストリ設定の理由に関係なく、ローカル クライアント コンピュータでの Dell ProSupport 承認レジストリ設定すべてについて詳しく説 明します。レジストリ設定が 2 つの製品で重複している場合は、それぞれのカテゴリでリストされます。
• これらのレジストリ変更は管理者のみが行うべきであり、すべての状況に適しているわけではなく、機能しない場合もあります。
• フルディスク暗号化クライアントとの通信にDell Serverを使用できない場合の再試行間隔を設定するには、次のレジストリ値を追加します。
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"CommErrorSleepSecs"=DWORD:300
この値は、Dell Encryption クライアントとの通信にDell Serverを使用できない場合に、Dell Encryption クライアントがデルサーバとの接続を試みる ために待機する秒数です。デフォルトは 300 秒(5 分)です。
• 自己署名証明書が Dell Encryption 管理向けのDell Serverで使用されている場合、クライアントコンピュータで SSL / TLS 信頼検証を無効のま まにしておく必要があります(Dell Encryption 管理では SSL / TLS 信頼検証はデフォルトで無効です)。クライアントコンピュータで SSL/TLS 信頼 検証を有効にする場合は、次の要件を満たしている必要があります。
– ルート証明機関(EnTrust や Verisign など)によって署名された証明書がDell Serverにインポートされている。
– 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。
– Dell Encryption 管理で SSL / TLS 信頼検証を有効にするには、クライアントコンピュータ上で次のレジストリエントリの値を 0 に変更します。
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"DisableSSLCertTrust"=DWORD:0 0 = 有効
1 = 無効
• PBA がアクティブ化されているかどうかを判断するには、次の値が設定されていることを確認します。
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters]
"PBAIsActivated"=DWORD (32-bit):1
1 の値は PBA がアクティブ化されていることを示します。0 の値は PBA がアクティブ化されていないことを示します。
メモ: このキーを手動で削除すると、ユーザーが PBA と同期して手動でのリカバリが必要になるという、意図しない結果をもたらすことがあ ります。
• スマートカードが存在していて、アクティブかどうかを確認するには、次の値が設定されていることを確認します。
HKLM\SOFTWARE\Dell\Dell Data Protection\
"SmartcardEnabled"=DWORD:1
SmartcardEnabled が見つからない、または値がゼロの場合、Credential Provider は認証のためパスワードのみを表示します。
SmartcardEnabled にゼロ以外の値がある場合、Credential Provider は、パスワードとスマートカード認証のオプションを表示します。
• 次のレジストリ値は、Winlogon がスマートカードからログオンイベントの通知を生成するかどうかを示します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
"SmartCardLogonNotify"=DWORD:1 0 = 無効
レジストリ設定 33
1 = 有効
• 必要に応じて、Security Server ホストを元のインストール先から変更することができます。ホスト情報は、ポリシーのポールが行われるたびにクライア ントコンピュータに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更してください。
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
"ServerHost"=REG_SZ:<newname>.<organization>.com
• 必要に応じて、Security Server のポートが元のインストール先から変更されることがあります。この値は、ポリシーのポーリングが行われるたびにクライ アントコンピュータに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更してください。
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
ServerPort=REG_SZ:8888
• (起動前認証を使用する場合のみ)スマートカードおよびバイオメトリックデバイスに関連付けられているサービスを Advanced Authentication に「自 動」起動タイプに変更させたくない場合は、サービス起動機能を無効にします。また、この機能を無効化すると、実行されていない必須サービスに 関連する警告も抑制されます。
無効化すると、Authentication は次のサービスの起動を試行しなくなります。
– SCardSvr - コンピュータが読み取るスマートカードへのアクセスを管理します。このサービスが停止されると、コンピュータはスマートカードを読み取
ることができなくなります。このサービスが無効化されると、このサービスに確実に依存するサービスの開始が失敗するようになります。
– SCPolicySvc - スマートカード取り外し時にユーザーのデスクトップをロックするようシステムを設定することができます。
– WbioSrvc - Windows 生体認証サービスは、クライアントアプリケーションに対し、生体認証ハードウェアやサンプルに直接アクセスすることなく、
生体認証データの取得、比較、操作、および保存する機能を提供します。このサービスは特権 SVCHOST プロセスでホストされます。
レジストリキーが存在しない、または値が 0 に設定されている場合、この機能はデフォルトで有効化されます。
[HKLM\SOFTWARE\DELL\Dell Data Protection]
SmartCardServiceCheck=REG_DWORD:0 0 = 有効
1 = 無効
• Encryption Management Agent からのトースター通知が表示されないようにするには、クライアントコンピュータで次のレジストリ値を設定する必要 があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection]
"PbaToastersAllowClose" =DWORD:1 0 = 有効(デフォルト)
1 = 無効
• Policy Based Encryption を使用してフルディスク暗号化のインストールを許可するには、次のレジストリ値をクライアントコンピュータに設定する必要 があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection]
" EnableFDE" = DWORD: 1 0 = 無効(デフォルト)
1 = 有効
Advanced Threat Prevention クライアントのレジストリ設 定
• Advanced Threat Prevention プラグインが、LogVerbosity 値への変更がないか HKLM\SOFTWARE\Dell\Dell Data Protection を監視し、変 更に応じてクライアントログのレベルを更新するようにするには、次の値を設定します。
[HKLM\SOFTWARE\Dell\Dell Data Protection]
"LogVerbosity"=DWORD:<see below>
Dump: 0 Fatal: 1 Error 3 Warning 5 Info 10 Verbose 12 Trace 14 Debug 15
レジストリ値は、Advanced Threat Prevention サービスが開始するとき、または値が変化するたびにチェックされます。レジストリ値がない場合は、ロ グのレベルの変化はありません。
このレジストリ設定は、Encryption クライアントおよび Encryption Management Agent を含むその他のコンポーネントのログ冗長性を制御するた め、テストまたはデバッグ用途にのみ使用してください。
• 互換性モードは、メモリ保護ポリシーまたはメモリー保護ポリシーとスクリプト制御ポリシーの両方が有効になっている際に、クライアントコンピュータでア プリケーションを実行することを可能にします。互換性モードを有効にするには、クライアントコンピュータ上でレジストリ値を追加する必要があります。
互換性モードを有効にするには、次の手順に従います。
a 管理コンソールで、メモリ保護の有効化ポリシーを無効にします。スクリプト制御ポリシーが有効になっている場合は、無効にします。
b CompatibilityMode レジストリ値を追加します。
1 クライアントコンピュータのレジストリエディタを使用して、HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop に移動します。
2 デスクトップを右クリックして、許可 をクリックし、 所有権を得て自分自身にフルコントロールを付与します。
3 デスクトップ を右クリックし、新規 > バイナリ値 の順に選択します。
4 名前には、CompatibilityMode と入力します。
5 レジストリの設定を開いて、値を 01 に変更します。
6 OK をクリックして、レジストリエディタを閉じます。
コマンドでレジストリ値を追加するには、次のコマンドラインオプションのいずれかを使用して、クライアントコンピュータ上で実行することができま す。
– (1 台のコンピュータの場合)Psexec:
psexec -s reg add HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop /v CompatibilityMode /t REG_BINARY /d 01
– (複数のコンピュータの場合)Invoke-Command cmdlet:
$servers = "testComp1","testComp2","textComp3"
レジストリ設定 35
$credential = Get-Credential -Credential {UserName}\administrator
InvokeCommand ComputerName $servers Credential $credential ScriptBlock {NewItem -Path HKCU:\Software\Cylance\Desktop -Name CompatibilityMode -Type REG_BINARY -Value 01}
c 管理コンソールで、メモリ保護の有効化ポリシーを再び有効にします。スクリプト制御ポリシーが前に有効になっていた場合は、再び有効にしま す。
SED クライアントのレジストリ設定
• SED クライアントとの通信にDell Serverを使用できない場合の再試行間隔を設定するには、次のレジストリ値を追加します。
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"CommErrorSleepSecs"=DWORD:300
この値は、SED クライアントとの通信にDell Serverを使用できない場合に、SED クライアントがデルサーバとの接続を試みるために待機する秒数で す。デフォルトは 300 秒(5 分)です。
• 自己署名証明書が SED 管理向けのDell Serverで使用されている場合、クライアントコンピュータで SSL / TLS 信頼検証を無効のままにしておく 必要があります(SED 管理では SSL / TLS 信頼検証はデフォルトで無効です)。クライアントコンピュータで SSL/TLS 信頼検証を有効にする場合 は、次の要件を満たしている必要があります。
– ルート証明機関(EnTrust や Verisign など)によって署名された証明書がDell Serverにインポートされている。
– 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。
– SED 管理で SSL/TLS 信頼検証を有効にするには、クライアントコンピュータ上で次のレジストリエントリの値を 0 に変更します。
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"DisableSSLCertTrust"=DWORD:0 0 = 有効
1 = 無効
• PBA がアクティブ化されているかどうかを判断するには、次の値が設定されていることを確認します。
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters]
"PBAIsActivated"=DWORD (32-bit):1
1 の値は PBA がアクティブ化されていることを示します。0 の値は PBA がアクティブ化されていないことを示します。
• スマートカードが存在していて、アクティブかどうかを確認するには、次の値が設定されていることを確認します。
HKLM\SOFTWARE\Dell\Dell Data Protection\
"SmartcardEnabled"=DWORD:1
SmartcardEnabled が見つからない、または値がゼロの場合、Credential Provider は認証のためパスワードのみを表示します。
SmartcardEnabled にゼロ以外の値がある場合、Credential Provider は、パスワードとスマートカード認証のオプションを表示します。
• 次のレジストリ値は、Winlogon がスマートカードからログオンイベントの通知を生成するかどうかを示します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
"SmartCardLogonNotify"=DWORD:1 0 = 無効
1 = 有効