• この項では、レジストリ設定の理由に関係なく、ローカルコンピュータでの Dell ProSupport 承認レジストリ設定すべてについて詳しく説明します。レジ ストリ設定が 2 つの製品で重複している場合は、それぞれのカテゴリでリストされます。
• これらのレジストリ変更は管理者のみが行うべきであり、すべての状況に適しているわけではなく、機能しない場合もあります。
• フルディスク暗号化との通信にDell Serverを使用できない場合の再試行間隔を設定するには、次のレジストリ値を追加します。
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"CommErrorSleepSecs"=DWORD:300
この値は、フルディスク暗号化との通信にDell Serverを使用できない場合に、フルディスク暗号化がデルサーバとの接続を試みるために待機する秒 数です。デフォルトは 300 秒(5 分)です。
• 自己署名証明書がフルディスク暗号化向けのDell Serverで使用されている場合、クライアントコンピュータで SSL / TLS 信頼検証を無効のまま にしておく必要があります(フルディスク暗号化では SSL / TLS 信頼検証はデフォルトで無効です)。クライアントコンピュータで SSL/TLS 信頼検証 を有効にする場合は、次の要件を満たしている必要があります。
– ルート証明機関(EnTrust や Verisign など)によって署名された証明書がDell Serverにインポートされている。
– 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。
– Dell Encryption 管理で SSL / TLS 信頼検証を有効にするには、クライアントコンピュータ上で次のレジストリエントリの値を 0 に変更します。
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"DisableSSLCertTrust"=DWORD:0 0 = 有効
1 = 無効
• PBA がアクティブ化されているかどうかを判断するには、次の値が設定されていることを確認します。
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters]
"PBAIsActivated"=DWORD (32-bit):1
1 の値は PBA がアクティブ化されていることを示します。0 の値は PBA がアクティブ化されていないことを示します。
メモ: このキーを手動で削除すると、ユーザーが PBA と同期して手動でのリカバリが必要になるという、意図しない結果をもたらすこと があります。
• スマートカードが存在していて、アクティブかどうかを確認するには、次の値が設定されていることを確認します。
30 レジストリ設定
HKLM\SOFTWARE\Dell\Dell Data Protection\
"SmartcardEnabled"=DWORD:1
SmartcardEnabled が見つからない、または値がゼロの場合、Credential Provider は認証のためパスワードのみを表示します。
SmartcardEnabled にゼロ以外の値がある場合、Credential Provider は、パスワードとスマートカード認証のオプションを表示します。
• 次のレジストリ値は、Winlogon がスマートカードからログオンイベントの通知を生成するかどうかを示します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
"SmartCardLogonNotify"=DWORD:1 0 = 無効
1 = 有効
• 必要に応じて、Security Server ホストを元のインストール先から変更することができます。ホスト情報は、ポリシーのポールが行われるたびにクライア ントコンピュータに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更してください。
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
"ServerHost"=REG_SZ:<newname>.<organization>.com
• 必要に応じて、Security Server のポートが元のインストール先から変更されることがあります。この値は、ポリシーのポーリングが行われるたびにクライ アントコンピュータに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更してください。
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
ServerPort=REG_SZ:8888
• (起動前認証を使用する場合のみ)スマートカードおよびバイオメトリックデバイスに関連付けられているサービスを PBA Advanced Authentication に「自動」起動タイプに変更させたくない場合は、サービス起動機能を無効にします。また、この機能を無効化すると、実行されていない必須サービ スに関連する警告も抑制されます。
無効化すると、PBA Advanced Authentication は次のサービスの起動を試行しなくなります。
– SCardSvr - コンピュータが読み取るスマートカードへのアクセスを管理します。このサービスが停止されると、コンピュータはスマートカードを読み取
ることができなくなります。このサービスが無効化されると、このサービスに確実に依存するサービスの開始が失敗するようになります。
– SCPolicySvc - スマートカード取り外し時にユーザーのデスクトップをロックするようシステムを設定することができます。
– WbioSrvc - Windows 生体認証サービスは、クライアントアプリケーションに対し、生体認証ハードウェアやサンプルに直接アクセスすることなく、
生体認証データの取得、比較、操作、および保存する機能を提供します。このサービスは特権 SVCHOST プロセスでホストされます。
レジストリキーが存在しない、または値が 0 に設定されている場合、この機能はデフォルトで有効化されます。
[HKLM\SOFTWARE\DELL\Dell Data Protection]
SmartCardServiceCheck=REG_DWORD:0 0 = 有効
1 = 無効
• Encryption Management Agent からのトースター通知が表示されないようにするには、クライアントコンピュータで次のレジストリ値を設定する必要 があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection]
"PbaToastersAllowClose" =DWORD:1 0 = 有効(デフォルト)
レジストリ設定 31
1 = 無効
• Policy Based Encryption を使用してフルディスク暗号化のインストールを許可するには、次のレジストリ値をクライアントコンピュータに設定する必要 があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection]
" EnableFDE" = DWORD: 1 0 = 無効(デフォルト)
1 = 有効
BitLocker Manager
• 自己署名証明書が BitLocker Manager 向けのDell Serverで使用されている場合は、クライアントコンピュータで SSL / TLS 信頼検証を無効の ままにしておく必要があります(BitLocker Manager では SSL / TLS 信頼検証はデフォルトで 無効 です)。クライアントコンピュータで SSL/TLS 信 頼検証を有効にする場合は、次の要件を満たしている必要があります。
– ルート証明機関(EnTrust や Verisign など)によって署名された証明書がDell Serverにインポートされている。
– 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。
– BitLocker Manager で SSL/TLS 信頼検証を有効にするには、クライアントコンピュータ上で次のレジストリエントリの値を 0 に変更します。
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"DisableSSLCertTrust"=DWORD:0 0 = 有効
1 = 無効
32 レジストリ設定