Endpoint Security 管理サーバ設定ガイド

(1)

Check Point Endpoint Security

E80.32 設定ガイド

チェック・ポイント・ソフトウェア・テクノロジーズ(株)

(2)

アジェンダ

1

Management Server

のインストールと設定

クライアント・インストールの設定

2

クライアント・インストール

3

レガシー・クライアントからのアップグレード

4

トラブルシューティング

5

(3)

3

変更履歴

 Rev1

 E80.30 + E80.32 Updateをベースに作成

 Rev2

 Rev1にレガシー製品(R73 FDE)からのアップグレード・シナリオを追加

(4)

Check Point Endpoint Securityとは

Check Point

Endpoint Security

 Check Point Full Disk Encryption Software Blade は、ハードディスク上に保存されているユーザ・

データやオペレーティング・システム、一時ファイル、ゴミ箱のファイルを含めすべて自動的かつ透過的に暗号化します。

 Check Point Media Encryption は、USB ストレージ・デバイスや CD、DVD などのリムーバブル・メ

ディアを暗号化し、ポートおよびデバイスへのアクセス（読み込み、書き込み、実行）を制御することで、企業の機密データを保護し、マルウェアの侵入を防ぎます。

 Check Point Endpoint Securityは、統

合管理可能なトータル・エンドポイント・ソリューションです。

(5)

5

Endpoint Server / Client構成図

[Protected] For public distribution

Windows Server 2003 Standard Edition SP2

ドメインサーバ & Endpoint マネージメント IP: 192.168.52.138 Serverバージョン：E80.32 Clientバージョン：E80.32 Windows XP SP3 IP: 192.168.52.128 Endpoint Security マネージメント AD サーバ Endpoint クライアント

(6)

アジェンダ

1

Management Serverのインストールと設定

クライアント・インストールの設定

2

クライアント・インストール

3

レガシー・クライアントからのアップグレード

4

トラブルシューティング

5

(7)

7

テストのシナリオ

 Windows Server環境にEndpoint Security Management Serverを導入

します

 クライアントはWindows XP環境を使用します

 Check Point Endpoint Security E80.30をインストールした後にパッチ版 E80.32をインストールします

 クライアント環境へFull Disk Encryptionを導入します

Endpoint Security / Full Disk Encryption

Endpoint Security

(8)

テスト環境の前提条件および事前作業

 使用する環境は次の通りです

Windows Server 2003 Standard Edition SP2 Windows XP SP3

 Windowsサーバ環境のサポートされている最新のSP/パッチを適用して

(9)

9

テスト環境の前提条件および事前作業

 クライアントとEndpoint Security Management Serverの通信に使われ

(10)

テスト環境の前提条件および事前作業

 Endpoint Security管理コンソールがEndpoint Security Management Serverと通信するために使われるSICのポートは以下の通りです

 Endpoint Security Management Serverのインストール前に次のポー

(11)

11

テスト環境の前提条件および事前作業

 Windows Active Directoryの環境構成が完了しているもの

とします

 AD環境にドメイン PC(XP01)を登録・作成します

(12)

テスト環境の前提条件および事前作業

(13)

13

テスト環境の前提条件および事前作業

 ドメインユーザ(user1)はドメイン PC(XP01)上でローカルPCのAdministrator権限を

付与してください

※ もしくは、ローカルPC上でEndpoint Agentインストール時にローカルの

Administrator権限ユーザでインストールを開始してください(初回インストール時の

(14)

テスト環境の前提条件および事前作業

 Endpoint Management ServerをインストールするWindows Server OS環境に、

(15)

15

テスト環境の前提条件および事前作業

 作業の前に必ず最新の製品情報についても確認してください

Endpoint Security E80.30 / Solution ID: sk65921

https://supportcenter.checkpoint.com/supportcenter/portal?eventSub mit_doGoviewsolutiondetails=&solutionid=sk65921

(16)

テスト環境の前提条件および事前作業

 CD(E80.30_CheckPoint_Endpoint_Security_Server_Windows.iso)をマウントします  Setup.exeをクリックしてインストールを開始します  UAC（ユーザ・アクセス制御）が有効になっているWindows 7またはVistaにクライアント・モジュールをインストールする場合は、［管理者として実行］オプションを選択してインストーラを起動する必要があります ※必要に応じてレジストリ情報の追加が必要です。詳細は管理者ガイドを参照ください

(17)

17

Management Serverのインストール

 インストールが開始されると次のウィンドウが表示されますので

(18)

Management Serverのインストール

(19)

19

Management Serverのインストール

(20)

Management Serverのインストール

 [Security Management]と[Endpoint Security]を選択します

 後の作業でE80.32のSmartConsoleをインストールしますので、(二度手間を省くた

(21)

21

Management Serverのインストール

 Daylight Savingsに関するWarningが表示されますがそのまま [Forward]をクリックします

(22)

Management Serverのインストール

(23)

23

Management Serverのインストール

 選択したインストール項目の確認ウィンドウが表示されますので、不

(24)

Management Serverのインストール

 [Security Management]からインストールが開始されます

 [Next]をクリックします

 しばらくの後、[Security Management]のインストール

(25)

25

Management Serverのインストール

 続いて[Endpoint Security]のインストールが開始されます

(26)

ライセンスの登録

 インストール中[License and contracts]ウィンドウが表示されます

 ライセンス無しで、インストール後15日間評価可能なプラグ・アンド・プレイ機能が

ついています

 ライセンスを適用する場合は[Fetch From File…]をクリックします

 ライセンスを適用しない場合はそのまま[次へ]をクリックします  今回は30日間の評価ライセンスを適用します  必要な評価ライセンスは次です CPSG-CPSM-EVAL CPEP-EVAL-SM-CLIENT-100

(27)

27

ライセンスの登録

 必要な全てのライセンスファイルが登録されると[License and contracts]ウィンドウに次のように表示されます  [次へ]をクリックします  評価ライセンスとして3つのファイルが生成されますので、[License and

contracts]ウィンドウの [Fetch From File…]をクリックしてファイルを登録します

 1ファイルづつ選択し[開く]をクリック、全てのライセンス・ファイルを登録するまで作

(28)

管理者ユーザの登録

 [Add Administrator]ウィンドウが表示されますので管理者ユーザを登録します

 ユーザ、パスワードを入力し[OK]をクリックします

(29)

29

管理者ユーザの登録

(30)

GUIクライアントの登録

 [GUI Clients]で接続可能なRemote Host

を設定します  今回は”any”として登録し[Add]をクリックします  [次へ]をクリックします  Warningが表示されますので確認して [OK]をクリックします

(31)

31

GUIクライアントの登録

(32)

Certificate Authority

 [Certificate Authority]ウィンドウが表示されますので内容を確認して[次へ]をクリックします  Initializeが完了した旨表示されますので [OK]をクリックします

(33)

33

Fingerprint

 [Fingerprint]ウィンドウが表示されますので必要であれば[Export to file…]

をクリックして情報を保存してください

(34)

Management Serverのインストール

 次のウィンドウが表示されますので

[Finish]をクリックします

 続けてRebootを促されますので[は

(35)

35

Management Serverのインストール

 ログイン後もポスト-インストール処理が行われています  タスクマネージャなどを起動して処理が継続されているかを確認します  下のように処理が終わりCPU使用率が安定したらE80.32のアップデートモジュール適用作業に移ります  再起動が完了したら再びログインします

(36)

E80.32へアップデート

 E80.32のアップデートモジュール[e80_32_server_upgrade.tgz]を展開します

 [e80_32_server_upgrade]フォルダ配下に

(37)

37

E80.32へアップデート

 Setup.exeを起動するとコマンドプロンプト画面が表示されます  プロンプトに対して’y’を入力し[Enter] します  画面のようにSucceededと表示され Rebootの確認プロンプトがでます

(38)

E80.32 SmartConsoleのインストール

 Rebootが完了したら続いてE80.32のSmartConsoleをインストールします

 Install Wizardが表示されま

(39)

39

E80.32 SmartConsoleのインストール

 License Agreement画面で[Yes]をクリックします

 Install Locationを設定

します

 ここではデフォルトで

(40)

E80.32 SmartConsoleのインストール

 全ての機能が選択されていること

を確認して[Next]をクリックします

(41)

41

E80.32 SmartConsoleのインストール

 インストールしたSmartConsoleのショートカットをデスクトップに配置するか[はい]、もしくは[いいえ]で答えます  インストール完了のウィンドウが表示されますので[OK]をクリックします  次のウィンドウで[Finish] をクリックします

(42)

Endpoint Security Managementの起動

 スタートメニューから

Endpoint Security Managementを起動し

(43)

43

Endpoint Security Managementの起動

 ログイン画面が表示されますので登録した管理者IDとパスワードを入力します  続けてServerのIPアドレスを入力し [OK]をクリックします  接続したサーバとFingerprintが表示されますので、正しいことを確認して [Approve]をクリックします

(44)

ディレクトリ・スキャナの設定

(45)

45

ディレクトリ・スキャナの設定

 [ディレクトリ・スキャナ]ウィンドウが表示されます  [ディレクトリ・スキャナの設定]をクリックします  ディレクト・リスキャナに有効なアカウントを登録します  アカウントはドメイン・アカウントでrootから全てのADコンテナに対するread権(削除されたオブジェクトに対しても同権限を有すること)をもつユーザを設定し[OK]をクリックします  認証情報がアップデートされたことを確認して[OK]をクリックします

(46)

ディレクトリ・スキャナの設定

 続けてスキャナ・インスタンスを追加します  [はい]をクリックします  表示されているドメイン名を確認して[OK]をクリックします  情報を確認し、ログイン名、パスワードを設定します  [OK]をクリックします

(47)

47

ディレクトリ・スキャナの設定

 ディレクトリ・スキャナでステータスが[最初のスキャンを待機中]と表示されるのでしばらく待ちます  ステータスが[完了]となったら [閉じる]をクリックします  ディレクトリ・スキャナがroot(最上位)からスキャンされる設定になっているかを確認します  スキャン時間間隔はデフォルトで5分になっています  必要であれば変更します  [OK]をクリックします

(48)

ディレクトリ・スキャンした情報を確認

 ADのスキャンが完了すると[組織]タブの[My Organization]配下に情報が表示されます  例えば[Users]の下に今回利用するテストユーザ[user1]があるか確認します  また[Computers]の下に[XP01]があるか確認します

(49)

49

ポリシー・データベースの初期インストール

 ログ・サーバへログを送付するためにポリシー・データベースを初期インストールします  [管理] － [全般プロパティ]を選択します  [General Properties] － [ポリシーサーバ] で今回インストールさひたサーバを選択し [編集…]をクリックします

(50)

ポリシー・データベースの初期インストール

 [変更を反映]ウィンドウが表示されますが、継続して作業を行うので、ここでは[後で適用]をクリッ  [ホストプロパティ]ウィンドウで[インストール …]をクリックします  [Install Database]ウィンドウでステータスを確認します

 [Start…]から[Installation process

complete]のメッセージが表示されたら[OK]

(51)

51

ケルベロス認証の設定

 [管理] － [全般プロパティ]を選択します  [General Properties] － [認証設定]でケルベロス認証の設定を行うことができます  今回はテスト目的のため割愛しますが、実運用環境ではセキュリティを高めるため、ケルベロス認証での運用を推奨します ※一旦ケルベロス認証設定を行った場合はもとに戻すことはできません ※詳細および設定方法についてはマニュアルおよびマイクロソフト、その他の情報を参照ください

(52)

アジェンダ

1

Management Server

のインストールと設定

クライアント・インストールの設定

2

クライアント・インストール

3

レガシー・クライアントからのアップグレード

4

トラブルシューティング

5

(53)

53

ポリシーの設定－ OneCheckユーザ設定

 クライアントへインストールをするための設定をします  まず、[ポリシー]タブの[OneCheckユーザ設定]に移動します  今回はデフォルトで用意されている [Medium Security OneCheck User Policy]を利用します  [編集…]をクリックします

(54)

ポリシーの設定－ OneCheckユーザ設定

 [OneCheck ユーザ設定ポリシー]の[全般プロパティ]を確認します

(55)

55

ポリシーの設定－ OneCheckユーザ設定

 [OneCheck ユーザ設定ポリシー]の[割り当て]範囲が”My Organization”に適

(56)

ポリシーの設定－ OneCheckユーザ設定

 [パスワードのセキュリティ]で[パスワードの同期設定]を確認します

(57)

57

ポリシーの設定－ OneCheckユーザ設定

 [権限]を確認します  特に[リカバリメディアの使用を許可]、[リモートヘルプ]の各項目にチェックが入っているかを確認します【重要】  [OK]をクリックします  [変更を反映]ウィンドウが表示されますが、ポリシーの編集を継続するのでここでは[後で適用]をクリックします

(58)

ポリシーの設定－共通クライアント

 [ポリシー]の[共通クライアント]から[Initial Common Client Policy]を選択

(59)

59

ポリシーの設定－共通クライアント

 [ログアップロード設定]にてログをサーバにアップする諸条件を確認します  必要であれば変更します  [共通クライアントポリシー]の[全般プロパティ]を確認します  [アンインストールパスワード]をクリックしてアンインストール・パスワードを設定します  アンインストール・パスワードはアンインストール時に必須で、セキュリティを確保するため設定変更を推奨します  デフォルトは”secret”です  アンインストール・パスワードはクライアントへ通知してはいけません【重要】

(60)

ポリシーの設定－共通クライアント

 [共通クライアントポリシー]の[割り当て]範囲が”My Organization”に適応されていることを確認します  [OK]をクリックします  [変更を反映]ウィンドウが表示されますが、ポリシーの編集を継続するのでここでは[後で適用]をクリックします

(61)

61

ポリシーの設定－ Full Disk Encryption

 [ポリシー] – [Full Disk Encryption]から[Medium Security Encryption Policy]

を選択して[編集…]をクリック

(62)

ポリシーの設定－ Full Disk Encryption

 [全般プロパティ] － [ドライブの暗号化]から[設定…]をクリックします

(63)

63

ポリシーの設定－ Full Disk Encryption

 [全般プロパティ] － [起動前認証]から[設定…]をクリックします  起動前認証に関する設定が表示されます  特に[リモートヘルプを有効にする] がチェックされていることを確認して [OK]をクリックします

(64)

ポリシーの設定－ Full Disk Encryption

 [全般プロパティ] － [ログインが許可されたユーザ] － [詳細]をクリックします  [ユーザ取得の設定]が表示され、1 ユーザの情報を取得する設定になっています(最低1ユーザ必須)  ユーザの情報取得(Windowsユーザ ID/パスワード)を初回インストール後の再起動後のWindowsログオン時に行います  取得したユーザの情報をFull Disk Encryptionの起動前認証ユーザ情報として利用します

(65)

65

ポリシーの設定－ Full Disk Encryption

 [Full Disk Encryptionポリシー] － [全般プロパティ] － [OneCheck] － [詳細]をク

リックします

 [OneCheck設定]が表示され、[OneCheckを有効にする]がチェックされていることを

確認します

 [OneCheckを有効にする]ことで、OneCheckで設定したパスワード要件やリモート・

(66)

ポリシーの設定－ Full Disk Encryption

 [Full Disk Encryptionポリシー]の[割り当て]範囲が”My Organization”に適

応されていることを確認します

(67)

67

設定したPolicyのインストール

 [変更を反映]ウィンドウで変更したポリシー情報を適用します  [保存してインストール]をクリックします  [ポリシーのインストール]ウィンドウが表示されますので[全て選択]をクリック、続いて[インストール] をクリックしてください

(68)

パッケージ・プロファイルの登録

 クライアントにインストールするパッケージモジュールを選択します  [ソフトウェアの導入] － [概要]を選択します  [新規…]をクリックします

(71)

71

パッケージ・プロファイルの登録

 [Software Deployment プロファイル]ウィン

ドウで[全般のプロパティ]を選択します

 [名前]フィールドに適宜名前を登録します

(”test”という名前を登録しています)

 [コメント]は必要に応じて入力します

 [Full Disk Encryption]にチェックを入れま

す

(72)

パッケージ・プロファイルの登録

 [選択ノード]ウィンドウから今

回はテスト対象のPC “XP01”

を選択して[OK]します

(73)

73

パッケージ・プロファイルの登録

 [詳細] － [パッケージ設定]で最新のパッケージが適用されているかを確認します  同様に[64ビット対応]も確認します(今回は利用しません)  [OK]をクリックします

(74)

設定したパッケージ・プロファイルのインストール

 作成したプロファイルを保存します  [変更を反映]ウィンドウで[保存してインストール]をクリックします  表示された[ポリシーのインストール]ウィンドウで[すべて選択]をクリック、続けて[インストール] をクリックします

(75)

75

Endpoint Client Agentの生成

 今回はEndpoint Client Agentモジュールを

生成・取得しクライアントへインストールを行います  インストール方法の詳細および、その他のインストール方法については管理者ガイドを参照ください ※レガシーFDE製品からのアップグレード手順は『[4] レガシー・クライアントからのアップグレード』を参照してください  [ソフトウェアの導入] － [概要]から[新規クライアントパッケージの導入] － [初期パッケージ取得]をクリックします  [レガシーのアンインストールパスワード]は[スキップ]をクリックします

(76)

Endpoint Client Agentの生成

 [保存場所の選択]でモジュールの保存場所を指定します  今回はマネージメント・サーバのデスクトップを指定します  [OK]をクリックします  [バーチャルグループの宛先を追加]は[スキップ] をクリックします

(77)

77

Endpoint Client Agentの生成

 インストールパッケージ作成中は画面右下に次のようなポップアップメッセージが表示されます  [パッケージのダウンロードが完了しました] のメッセージが表示されたら、ファイル保存先を確認します  指定したデスクトップ上に[EPS.msi]ファイルが保存されたことを確認します  ファイル名[EPS.msi]は編集してはいけません【重要】

(78)

アジェンダ

1

Management Serverのインストールと設定

クライアント・インストールの設定

2

クライアント・インストール

3

レガシー・クライアントからのアップグレード

4

トラブルシューティング

5

(79)

79

Endpoint Client Agentのインストール

 クライアントのテスト環境Windows XPにログインします  ログインユーザ = ドメインユーザ(user1)はドメインPC(XP01)上でローカルPCのAdministrator権限が付与されていることを確認します ※ もしくは、ローカルPC上でEndpoint Agentインストール時にローカルのAdministrator権限ユーザでインストールを開始してください。(初回インストール時のみ必要)

 Endpoint Management Serverで作成した[EPS.msi]ファイルを PC XP01から実行可能な場所に配置します  ここではXP01のデスクトップ上にコピーしています ※UAC（ユーザ・アクセス制御）が有効になっている Windows 7またはVistaにクライアントモジュールをインストールする場合は、［管理者として実行］オプションを選択してインストーラを起動する必要があります ※必要に応じてレジストリ情報の追加が必要です。詳細は管理者ガイドを参照ください

(80)

Endpoint Client Agentのインストール

 [EPS.msi]を実行すると[Check Point

Endpoint Agent]ウィザードが表示されます

 エラー等が無いかを確認してください

 [InstallShield Wizard Completed]が表示さ

れれば完了です

(81)

81

Endpoint コンポーネントのインストール

 [Check Point Endpoint Agent]のインス

トールが完了すると画面右下に[鍵]アイ

コンが表示されます

 アイコンをクリックすると接続先のサーバ

アドレスが表示されますので念のため正しいアドレスかを確認します

 [Check Point Endpoint Agent]は

Endpoint Serverと通信をしてログオンしているユーザおよびPCに設定されているインストール・モジュール、ポリシーを自動でダウンロードします  画面右下のメッセージ遷移に注意してください

(82)

Endpoint コンポーネントのインストール

 次のようなメッセージウィンドウが表示されますので[今すぐインストール]をクリックします  続けて[コンピュータが再起動します]のメッセージに[OK]をクリックします  [再起動]をクリックします  この再起動後ではまだ FDEの起動前認証はインストールされません

(83)

83

Endpoint コンポーネントのインストール

 再起動後、Windowsにログオンします

 画面右下の[鍵]アイコンを右クリックしメニュー

[概要の表示]を選択します

 Full Disk Encryptionのステータスが[ユーザ情報の取得]から[保護セットアッ

プ] － [リカバリファイルの送信] － [再起動の待機中]へと遷移します

 画面右下に再起動のメッセージが表

(84)

Full Disk Encryptionの起動前認証

 PCを再起動すると次のようなFull Disk Encryptionの起動前認証

画面が表示されます

 初回のメッセージを確認

(85)

85

Full Disk Encryptionの起動前認証

 テストユーザ”user1”でログインします  ユーザ情報取得機能を利用していますので、パスワードはドメイン・アカウントのものと同じです  [OK]をクリックします  [今回が初めてのログインです]と表示されますので[続行]をクリックします  Windows OSのブート処理に移行します

(86)

Windowsへログオン

 ログオン・プロンプトが表示されるのでWindowsへログオンします  SSO設定をしていますが、初回ログオン時はまだ同期処理が行われていないためログオン操作が必要です  画面右下の[鍵]アイコンを右クリックし [概要の表示]を選択します

(87)

87

Full Disk Encryptionの暗号化ステータス

 Full Disk Encryptionの[暗号化ステータス]を確認します

 [暗号化完了]となれば指定したディスク領域は全て暗号

化済みとなります

※暗号化中であってもユーザはWindows環境で作業を

行うことができます

(88)

Endpointクライアントのインストールステータス

 Endpoint Security管理サーバの[組織]タブ－ [Computer]からXP01を選択します

(89)

89

Endpointクライアントのインストールステータス

 Endpoint Security管理サーバの[組織]タブ－ [Users]からuser1を選択します

 テストで使用しているユーザとマシン名の組み合わせが正しいか、Full Disk

(90)

Endpointクライアントのインストールステータス

 [モニタリング]タブ－ [アクティビティレポート] － [エンドポイント

の接続性]から接続したPCを確認できます

 user1/XP01が情報としてアップされているかモニターします

 [モニタリング]タブ－ [Full Disk Encryption] － [暗号化ステータ

ス]から暗号化の状況を把握できます

(91)

91

アジェンダ

1

Management Server

のインストールと設定

クライアント・インストールの設定

2

クライアント・インストール

3

レガシー・クライアントからのアップグレード

4

トラブルシューティング

(92)

R73 Full Disk Encryptionからのアップグレード

 Endpoint Security R73 Full Disk Encryptionが既にインストールされたクライアント PC(Windows XP)をEndpoint Security E80.32 Full Disk Encryptionにアップグレード

する手順です

 クライアントPCはR73 Full Disk Encryptionで暗号化が完了している必要があります

 暗号化のアルゴリズムは同一のものを選択する必要があります(今回はAES採用)

 アップグレード時は暗号化されたハードディスクを復号する必要はありません

 今回のシナリオではR73 Full Disk Encryption 7.4.6が既にインストールしてあります

(93)

93

R73 Full Disk Encryptionの設定確認

 R73 Full Disk Encryptionの管理者は事前にポリシーで[更新確認パスワードの設定]が完了していて、そのポリシーがクライアントPCに反映されていることを確認します

 E80.32 Full Disk Encryptionへアップグ

レードする際にこのパスワードが必要になります

(94)

アンインストールパスワードの設定

 E80.32の管理コンソールから[ポリシー] － [共通クライアント] － [Initial Common Client Policy]を[編集…]します

(95)

95

アンインストールパスワードの設定

 [共通クライアントポリシー] － [全般プロパティ] － [レガシーのアンインストールパスワード]をクリックします  表示された[アンインストールパスワードの変更]ウィンドウの[レガシーFDE更新確認パスワード]を設定し[OK]で終了します  パスワードはR73 FDEの[更新確認パスワードの設定]で登録した情報です

(96)

ポリシーをインストール

 [変更を反映]ウィンドウで[保存してインストール]をクリックします  続いて表示される[ポリシーのインストール]で[すべて選択]、[インストール]をクリックしポリシーをインストールします

(97)

97

Endpoint Client Agentの生成

 Endpoint Client Agentモジュールを生

成・取得しクライアントへインストールを行います  [ソフトウェアの導入] － [概要]から[新規クライアントパッケージの導入] － [初期パッケージ取得]をクリックします  [レガシーのアンインストールパスワード]は[スキップ]をクリックします  アップグレードに必要なアンインストールパスワードは[レガシーFDE更新確認パスワード]で既に設定済みです

(98)

Endpoint Client Agentの生成

 [保存場所の選択]でモジュールの保存場所を指定します  今回はマネージメント・サーバのデスクトップを指定します  [OK]をクリックします  [バーチャルグループの宛先を追加]は[スキップ] をクリックします

(99)

99

Endpoint Client Agentの生成

 インストールパッケージ作成中は画面右下に次のようなポップアップメッセージが表示されます  [パッケージのダウンロードが完了しました] のメッセージが表示されたら、ファイル保存先を確認します  指定したデスクトップ上に[PreUpgrade.exe] ファイルが保存されたことを確認します  ファイル名[PreUpgrade.exe]は編集しないでください

(100)

Endpoint Client Agentのインストール

 クライアントのテスト環境Windows XPにログインします  ログインユーザ = ドメインユーザ(user1)はドメインPC(XP01)上でローカルPCのAdministrator権限が付与されていることを確認します ※ もしくは、ローカルPC上でEndpoint Agentインストール時にローカルのAdministrator権限ユーザでインストールを開始してください。(初回インストール時のみ必要)

 Endpoint Management Serverで作成した[PreUpgrade.exe]

ファイルをPC XP01から実行可能な場所に配置します  ここではXP01のデスクトップ上にコピーしています ※UAC（ユーザ・アクセス制御）が有効になっている Windows 7またはVistaにクライアントモジュールをインストールする場合は、［管理者として実行］オプションを選択してインストーラを起動する必要があります ※必要に応じてレジストリ情報の追加が必要です。詳細は管理

(101)

101

Endpoint Client Agentのインストール

 [PreUpgrade.exe]を実行すると[Visual C++] インストール、続いてEndpointのウィザードが表示されるので[Next]、[Install]と続けてクリックします  [Endpoint Agent]インストールウィンドウが表示されます

(102)

Endpoint Client Agentのインストール

 Rebootを促すメッセージウィンドウが表示されますので[OK]をクリックします  PCが再起動しますのでR73 FDEの認証ユーザ/パスワードで起動前認証を行います  [OK]をクリックし、次のウィンドウで[続行]をクリックします

(103)

103

Endpoint Client モジュールのダウンロード

 Windowsにログオンします

 アップグレード中は[鍵]アイコンはR73 FDE

のものとE80のAgentの2つ存在します

 アップグレード中に処理中のメッセージが画

(104)

Endpoint コンポーネントのインストール

 次のようなメッセージウィンドウが表示されますので[今すぐインストール]をクリックします  続けて[コンピュータが再起動します]のメッセージに[OK]をクリックします  [再起動]をクリックします  この再起動後ではまだ E80.32 FDEの起動前認証はインストールされていません

(105)

105

Endpoint コンポーネントのインストール

 PCが再起動しますのでR73 FDEの認証ユーザ/パスワードで起動前認証を行います  [OK]をクリックし、次のウィンドウで[続行]をクリックします  続けてWindowsへログオンします  このWindowsログオン時に新しい起動前認証のユーザ/パスワードが取得されます

(106)

Endpoint コンポーネントのアップデート

 Windowsにログオン後、画面右下の[鍵]アイコンを

右クリックしメニュー[概要の表示]を選択します

(107)

107

E80.32 Full Disk Encryptionの起動前認証

 R73 Full Disk Encryptionから E80.32 Full Disk Encryptionへの移行が完了し、新しい認証画面が表示されます  画面左下の製品バージョンが変わっていることを確認してください  画面右下に再起動のメッセージが表示されますので [はい]をクリックします

(108)

E80.32 Full Disk Encryptionの起動前認証

 E80.32 Full Disk Encryptionの起動前認証ユーザはWindowsロ

グオン時のユーザへスイッチしています(ポリシーで[ユーザ取得

の設定]をONにしているため)

 Windowsログオンユーザ/パスワードで起動前認証を行います

 初回のメッセージを確認

(109)

109

Windowsへログオン

 [鍵]アイコンが2つから1つになっています  画面右下の[鍵]アイコンを右クリックし[概要の表示]を選択します  ログオン・プロンプトが表示されるのでWindowsへログオンします  SSO設定をしていますが、初回ログオン時はまだ同期処理が行われていないためログオン操作が必要です

(110)

Full Disk Encryptionの暗号化ステータス

 Full Disk Encryptionの[暗号化ステータス]を確認します

(111)

111

アジェンダ

1

Management Server

のインストールと設定

クライアント・インストールの設定

2

クライアント・インストール

3

トラブルシューティング

5

レガシー・クライアントからのアップグレード

(112)

リモート・ヘルプ－ Full Disk Encryption

 対象のFull Disk Encryptionユーザが起動前認証のパスワードを忘れた場合、もし

くはパスワード入力ミスによりアカウントがロックされた場合にリモート・ヘルプを利用します  リモート・ヘルプはオフライン環境で利用可能です  リモート・ヘルプは権限を持つ管理者と有効なポリシー(下記2点)が適用されたクライアントとの双方で、チャレンジ・レスポンス形式で作業します  [OneCheckユーザ設定] － [権限]のリモート・ヘルプ設定が有効であること

 [Full Disk Enceyption] － [全般プロパティ] － [起動前認証]のリモート・ヘルプ設定

(113)

113

リモート・ヘルプ－ Full Disk Encryption

 クライアントはリモート・ヘルプを管理者に要請します  管理者は[ツール] － [リモートヘルプ] － [ユーザのログインの起動前リモートヘルプ]を選択しツールを起動します  [ユーザのログインの起動前リモートヘルプ]ウィンドウで、今回は[リモートパスワードの変更]を選択します  クライアントはユーザアカウントを入力し[リモートヘルプ]をクリックします

(114)

リモート・ヘルプ－ Full Disk Encryption

 クライアントはユーザ名、デバイス名を管理者に伝えます  管理者は各情報を登録し[レスポンスの生成]をクリックします  表示された[ユーザへのレスポンスコード1]をクライアントに伝えます  クライアントは伝えられた[ユーザへのレスポンスコード1]を[レスポンス1] に入力し、<Enter/Tab>キーでフィールドを移動します

(115)

115

リモート・ヘルプ－ Full Disk Encryption

 クライアントは伝えられた[ユーザへのレスポンスコード2]を[レスポンス2] に入力し、[OK]をクリックします  管理者は伝えられた[チャレンジ]を [ユーザからのチャレンジ]へ入力します  [レスポンスの生成]をクリックします  表示された[ユーザへのレスポンスコード2]をクライアントに伝えます

(116)

リモート・ヘルプ－ Full Disk Encryption

 チャレンジ/レスポンスが成功すると [新しいパスワードの設定]ウィンドウが表示されます  設定されているパスワードポリシーに従って、新しいパスワードを入力します  [OK]をクリックします  [ログイン成功]ウィンドウが表示されますので[続行]をクリックします  次回以降、ここで設定したパスワードが起動前認証のパスワードとなります  SSO設定している場合はWindows

(117)

117

リカバリ－ Full Disk Encryption

 ハードウェア等の障害で暗号化されたHDDにアクセスできない場合の最後の手段として有効です  リカバリはHDD上の暗号化されているすべての情報を復号するものですが、HDD 自身に障害が発生している場合、復号が完了しない場合があります  リカバリはオフライン環境で利用可能です  リカバリは権限を持つ管理者と有効なポリシーが適用されたクライアント上で実行できます  [OneCheckユーザ設定] － [権限]のリモート・ヘルプ設定が有効であること

(118)

リカバリ－ Full Disk Encryption

 [組織]タブの[Computers]から該当のPC(XP01)を選択します  右クリックでメニューを表示し、 [暗号化リカバリメディア]を選択します

(119)

119

リカバリ－ Full Disk Encryption

 [Full Disk Encryption －リカバリメ

ディアツール]に表示されるデバイス名、ユーザ名を確認します  [回復を実行できるユーザ] － [追加…] により、リカバリディスク起動後に表示される起動前認証で別のユーザを登録することができます(user1が退職等で既に存在しておらず、他の代替起動前認証ユーザが存在しない場合など)  [書き込み先の選択]で用途に合わせたリカバリファイル形式を選択できます  ISOファイル：CDを利用してPCを起動する場合  RECファイル：DMU(ダイナミック・マウント・ユーティリティ)を利用する場合  USB：USBメモリにてPCを起動する場合

(120)

リカバリ－ Full Disk Encryption

 リカバリ・メディアで対象のクライアントPC

をブート後、有効な起動前認証ユーザで認証します

 暗号化されているボリュームを選択して

[Recover]もしくは[Recover All]をクリック

(121)

121

リカバリ－ Full Disk Encryption

 リカバリがスタートすると進捗状況が確認できます  全ての暗号化されたHDD領域の復号が完了した場合、PCを再起動することができます  HDDは通常のWindowsフォーマットになっています

(122)

リカバリ－ Full Disk Encryption

 再起動を行うと起動前認証のプロセスはなくなり、

HDDは完全に復号されています

 Endpoint Securityのステータスは[未実行]となってい

ます

 Endpoint Client Agentその他製品のアンインストール

はWindowsの[プログラムの追加と削除]、[プログラム

のアンインストール]などから直接手動で行う必要があ