SafeGuard Easy ユーザーヘルプ

SafeGuard Easy

ユーザーヘルプ

6

製品バージョン

:

2012年 2月

ドキュメント作成日

_:

1 Sophos SafeGuard について...3

2 セキュリティのベストプラクティス ...5

3 復旧のための鍵バックアップ...7

4 Power-on Authentication...8

5 Power-on Authentication: Windows Vista および Windows 7 環境...23

6 Windows Vista および Windows 7 へのログオン...26

7 Lenovo 指紋認証リーダーを使用したログオン...28

8 復旧オプション...36

9 Local Self Help による復旧...37

10 チャレンジ/レスポンスによる復旧...48

11 システム トレイ アイコンとツールチップ...52

12 エクスプローラのショートカット メニューから暗号化機能にアクセス...56

13 フルディスク暗号化...60

14 SafeGuard Data Exchange...64

15 SafeGuard Cloud Storage...80

16 Sophos SafeGuard と Opal 準拠の自己暗号化ハードドライブ...83

17 Sophos SafeGuard および Lenovo Rescue and Recovery...84

18 テクニカルサポート...91

1 Sophos SafeGuard について

Sophos SafeGuard は、ポリシー ベースの暗号化機能を使って、エンドポイン トコンピュータに保存されている情報を保護します。主な機能は、データ暗 号化と不正アクセスに対する保護です。エンド ユーザーにとって、Sophos SafeGuard はとても使いやすく直感的に操作できる製品です。Sophos SafeGuard の認証システムである Power-on Authentication (POA) は強力なアクセス保護 を実現し、使いやすいインターフェースは、ログオン情報を復旧する際にも 使用できます。

管理タスクは SafeGuard Policy Editor で行います。これを使って、セキュリ ティ ポリシーを作成・管理したり、復旧機能を提供したりできます。Sophos SafeGuard の保護対象コンピュータは、SafeGuard Policy Editor で作成した構 成パッケージからポリシーを受け取ります。構成パッケージは、社内のソフ トウェア配布ツールを使用して配布したり、手動でコンピュータに配布した りできます。

Sophos SafeGuard の保護対象コンピュータでは以下のモジュールを利用でき ます。

■ _{SafeGuard Device Encryption}

Power-on Authentication コンピュータの電源を入れた直後に、ユーザーのログオンが実行されま す。Power-on Authentication が正常に完了すると、ユーザーは OS に自動 的にログオンします。Power-on Authentication は無効にすることもできま す。この場合、ユーザー認証は OS によって実行されます。 ボリューム ベースの暗号化 ユーザーが通常の操作手順を変更したり、セキュリティを特に考慮したり しなくても、ボリューム上のすべてのデータ (起動ファイル、スワップ ファイル、アイドル ファイル/ハイバネーション ファイル、一時ファイ ル、ディレクトリ情報などを含む) が透過的に暗号化されます。

■ _{SafeGuard Data Exchange}

SafeGuard Data Exchange は、再暗号化なしで、すべての OS 上のリムーバ ブル メディアと容易にデータを交換することを可能にします。

ファイル ベースの暗号化

外部ハード ディスクや USB メモリを含む、書き込み可能なモバイル メ ディアはすべて透過的に暗号化されます。

SafeGuard Cloud Storage は、クラウド上に保存されるデータをファイルベー スで暗号化する機能です。クラウド上のデータをローカルにコピーする と、透過的に暗号化が行われます。また、そのデータをクラウド上に保存 しても暗号化が解除されません。 ヒント: このユーザーヘルプで説明している一部の機能は、ご使用のコンピュータで 使用できないことがあります。使用可能な機能は、セキュリティ担当者が設 定するポリシーに依存します。

2 セキュリティのベストプラクティス

ここで説明する簡単な手順に従うことによって、コンピュータ上のデータを 常に安全に保護することができます。 コンピュータを使用していない場合は、完全にシャットダウンするか、休止状 態にしてください。 Sophos SafeGuard で保護されているコンピュータであっても、スリープ モー ドによっては OS が完全にシャットダウンされず、バックグラウンドのプロ セスが完全に終了しないことがあるので、攻撃者が暗号化鍵にアクセスでき る場合があります。OS を常に正しくシャットダウンまたは休止状態にする ようにすれば、保護は強化されます。 コンピュータを使用していない場合やアイドル状態のときは、次の点に注意 してください。 ■ _{スリープ (スタンバイ/一時停止) モードの使用は避ける。Windows Vista お} よびWindows 7 環境では、ハイブリッド スリープ モードの使用を避ける。 ハイブリッドスリープモードは、休止状態とスリープを組み合わせたモー ドです。 ■ _{完全にシャットダウンまたは休止状態にしない場合は、単にデスクトップ} コンピュータをロックしてモニターの電源を切ったり、モバイル PC のカ バーを閉じたりしない。再開後、パスワードの入力が必要となるように設 定しても、十分な保護は提供されません。 ■ _{代わりにコンピュータを正しくシャットダウンまたは休止状態にする。} ヒント: 休止状態ファイルは、暗号化されたボリュームに保存する必要が あります。通常、保存先は C:\ ドライブです。 特に、空港など公共の場所でモバイル PC を使用する場合は、このような手 順を実行するようにしてください。 コンピュータを休止状態または正しくシャットダウンすると、次に使用する 際、Power-on Authentication が有効化され、より高レベルの保護を提供する ことができます。 強力なパスワードを選択する データ保護にあたり、強力なパスワードを指定することは重要です。特に、 コンピュータのログオンには、強力なパスワードを指定してください。 強力なパスワードとは、次の条件を満たすものを指します。 ■ _{十分な長さがある。最低 10文字。}

■ _{半角英字 (大文字、小文字)、半角数字、および記号が組み合わされてい} る。 ■ _{一般的な単語や名称を含んでいない。} ■ _{他人に推測されるのは難しいが、自分にとって覚えやすく、正確に入力し} やすい。 パスワードは、定期的に変更するようにしてください。また、他人と共有し たり、書き留めたりしないでください。 すべてのドライブにドライブ文字が割り当てられているようにする 暗号化の対象になるのは、ドライブ文字が割り当てられているドライブのみ です。割り当てられていない場合、そのドライブから機密データが平文で漏 えいする恐れがあります。 防止対策は次のとおりです。 ■ _{ドライブ文字の割り当てを変更しない。} ■ _{ドライブ文字が割り当てられていないドライブがある場合は、システム管} 理者に連絡する。

3 復旧のための鍵バックアップ

復旧時に情報を暗号化して交換できるよう、Sophos SafeGuard には 「チャレ ンジ/レスポンス」(チャレンジ/レスポンスによる復旧 (p. 48) を参照) が用意 されています。 チャレンジ/レスポンスによる復旧を実行するには、必要なデータをヘルプ デスク担当者が使用できるようにする必要があります。復旧に必要なデータ は、特定の鍵復旧ファイル (.XML ファイル) に保存されます。 Sophos SafeGuard の設定がコンピュータに適用される際、セキュリティ担当 者が指定した場所に、鍵復旧ファイルが自動的に作成されます。セキュリ ティ担当者がファイルの場所を指定していない場合は、ファイルを手動で保 存することを求められます。 セキュリティ担当者は、構成パッケージを作成するときに、これらのファイ ルの場所を指定できます。通常、ファイルの場所は共有パスです。鍵復旧 ファイルは、そこに自動的に作成されます。 ファイルを作成するときに指定の場所にアクセスできない場合は、バルーン ヒントが表示されるとともに、システム イベント ログにメッセージが記録 され、後でファイルの保存が再試行されます。セキュリティ担当者がファイ ルの場所を指定していない場合は、ダイアログが表示され、ファイルを手動 で保存することを求められます。 セキュリティ担当者が鍵復旧ファイルの保存場所としてネットワーク共有を 指定しているのに、ローカル ユーザー アカウントで Windows にログオンし ている場合 (コンピュータがドメイン メンバーでない場合など) は、ネット ワーク共有ログオンを求められます。必要なユーザー名とパスワードをセ キュリティ担当者から提供してもらう必要があります。 ヒント: プロンプト指示に従ってファイルを保存し、ヘルプデスク担当者が アクセスできるようにしてください。ファイルは暗号化されているので、任 意の外部メディアに保存してヘルプデスク担当者に提供できます。また、 メールでもファイルを送信できます。ファイルを保存しない場合、保存を求 めるメッセージが、コンピュータを再起動するたびに表示されます。 鍵復旧ファイルのバックアップは、Sophos SafeGuard システム トレイ アイコ ンを使用すればいつでも新しく作成できます。バックアップファイルは、既 存の鍵復旧ファイルが破損したり、ヘルプディスク担当者が利用できなく なったりした場合に必要となります。

4 Power-on Authentication

Power-on Authentication (POA) では、コンピュータの OS が起動する前にユー ザーを認証する必要があります。認証後 Windows が起動し、ユーザーは自 動的にログオンされます。この処理は、コンピュータがハイバネーション (休止状態) から復帰する場合も同じです。

POA の表示内容

POA の表示内容は、会社の要件に応じてカスタマイズすることができます。 セキュリティ担当者は、SafeGuard Policy Editor のポリシー設定でこの操作を 実行します。 カスタマイズできる内容は次のとおりです。 ■ _{ログオン画像} POA で表示されるデフォルトのログオン画像は、SafeGuard のデザインで す。この画像はポリシー設定でカスタマイズ可能で、会社のロゴなどの画 像を表示できます。 ■ _{ダイアログ テキスト}

POA のすべてのテキストは、Sophos SafeGuard のインストール時にエンド ポイント コンピュータの Windows の「地域と言語のオプション」で設定 済みの既定の言語で表示されます。インストール後、Windows の「地域と 言語のオプション」の既定の言語を変更することで、POA ダイアログの 表示言語を変更することができます。ダイアログの表示言語は、セキュリ ティ担当者がポリシーで指定することもできます。

4.1 Sophos SafeGuard インストール後の初回のログオン

Sophos SafeGuard を Power-on Authentication (POA) とともにインストールした 場合、Sophos SafeGuard インストール後の初回のシステム起動では起動手順

が異なります。Sophos SafeGuard が起動手順に組み込まれたため、新しい起 動メッセージ (自動ログオン画面など) がいくつか表示されます。その後、 Windows OS が起動します。 インストール後の初回のログオンでは、通常どおりに、まず Windows に正 常にログオンする必要があります。その後、Sophos SafeGuard ユーザーとし て登録されます。この登録処理によって、次回のシステム起動時に自分のロ グオン情報が POA で認識されるようになります。 ヒント: 登録に成功すると、これを通知するツールチップがコンピュータに 表示されます。 コンピュータを再起動すると、POA がアクティブになります。これ以降、 ユーザーは自分の Windows ログオン情報を POA で入力します。続いてユー ザーは、パスワードを入力しなくても Windows に自動的にログオンします (Windows への自動ログオンが有効になっている場合)。

Power-on Authentication では、Windows のユーザー名とパスワードを使用し てログオンできます。

ヒント: Sophos SafeGuard がインストール済みのエンドポイント コンピュー

タの設定は、セキュリティ担当者によって SafeGuard Policy Editor で定義さ れ、ポリシー ファイルとしてユーザーに配布されます。

4.2 Power-on Authentication でログオンする

Power-on Authentication がアクティブになった後、Power-on Authentication の ログオン ダイアログで Windows ユーザー ログオン情報を入力してログオン します。Windows には自動的にログオンします。 ヒント: Windows への自動ログオンは、ログオン ダイアログの「オプション >>」ボ タンをクリックし、「Windows へのパス スルー 」を選択から外すことで無 効にできます。自動ログオンの無効化は、そのコンピュータで他のユーザー が Power-on Authentication を使用できるようにする場合などに必要です (他 のユーザーをインポートする (p. 11) を参照してください)。セキュリティ担 当者は、Windows へのログオン パス スルーを有効/無効に設定するか、およ びユーザーがこの設定をログオンダイアログで変更することを許可するかを 該当するポリシーで定義します。 POA でログオンする際は、大文字と小文字を区別して入力するようにしてく ださい。

ログオン失敗時のログオン待機時間 パスワードが間違っていたなどの理由で Power-on Authentication でのログオ ンに失敗した場合は、エラーメッセージが表示され、次回のログオンに遅延 が設定されます。ログオンに失敗するたびに、遅延時間は長くなります。ロ グオンの失敗はログに記録されます。 マシンのロック 一定の回数以上連続してログオンに失敗すると、コンピュータがロックされ ます。コンピュータのロックを解除するには、チャレンジ/レスポンスを起 動してください (チャレンジ/レスポンスによる復旧 (p. 48) を参照してくだ さい)。

4.2.1

_{初回の POA ユーザー ログオンの例}

初回ログオンの手順は、ご使用のコンピュータに POA がインストールされ 有効になっている場合のみ、ここで説明する手順と一致します。 システム構成によっては、「Ctrl+Alt+Del」キーを押すように求められるこ とがあります。その後、ログオン手順が続行されます。 1. コンピュータの電源を入れます。 「POA 自動ログオン」ダイアログが表示されます。 2. 次に、「Windows ログオン」ダイアログが表示されます。Windows にロ グオンします。 これで、ユーザーは「所有者」になりました。コンピュータ 1台ごとに所 有者が 1人指定されます。デフォルトでは、最初にログオンしたユーザー が所有者となります。 3. ご使用のポリシー、証明書、および鍵がすべてこのエンドポイント コン ピュータ上にある場合、Sophos SafeGuard システム コア内にユーザー用の エントリが作成されます。 4. コンピュータが再起動すると、ユーザーは POA でログオンできます。 ヒント: デフォルトの設定が適用される場合、Windows にログオンする最初 のユーザーが、このコンピュータの「所有者」として自動的に登録されま す。ポリシーの設定によっては、コンピュータの所有者だけが、他のユー ザーに Power-on Authentication でのログオンを許可することができます。 他のユーザーが POA でログオンする場合は、コンピュータの所有者が許可 する必要があります (他のユーザーをインポートする (p. 11) を参照)。

セキュリティ担当者は、Windows へのログオン パススルーを有効/無効にす るか、およびユーザーがこの設定をログオンダイアログで変更することを許 可するかを該当するポリシーで定義します。

4.3

他のユーザーをインポートする

ご使用のコンピュータに他の Windows ユーザーがログオンすることを許可 する方法は次のとおりです。 1. コンピュータの電源を入れます。 POA のログオン ダイアログが表示されます。他の Windows ユーザーは、 必要な鍵および証明書を持っていないため、POA にログオンできません。 2. 2人目のユーザーが POA にログオンするには、コンピュータの所有者の許 可が必要です。 ヒント: デフォルトでは、インストール後最初にログオンするユーザーが コンピュータの所有者として登録されるよう設定されています。セキュリ ティ担当者は、コンピュータの所有者をポリシー設定で定義することもで きます。 3. POA のログオンダイアログで、「オプション」をクリックし、「Windows へのパス スルー」チェック ボックスを選択から外します。 Windows ログオン ダイアログが表示され、2人目のユーザーはログオンを 求められます。 4. 2人目のユーザーは、自分の Windows ログオン情報を入力します。 5. 2人目のユーザー用のエントリが Sophos SafeGuard システム コア内に作成 されます。 次回のコンピュータ起動時から、このユーザーは Power-on Authentication で ログオンできます。

4.4 POA の一時パスワード

Sophos SafeGuard では、POA のパスワードを一時的に変更することができま す。入力したパスワードを他人に見られた疑いがある場合などは、パスワー ドを一時的に変更することをお勧めします。 例: 空港などの公共の場所でノート PC を起動したことを想定します。POA で入力したパスワードを他人に見られた可能性があるとします。Active Directory に接続していないため、Windows パスワードを変更することはでき ません。

解決策: POA パスワードを一時的に変更します。こうすることで、パスワー ドを知っている、権限のない人物がいないようにします。Active Directory に 再接続すると直後に、一時パスワードの変更を求めるメッセージが自動的に 表示されます。 1. POA ログオン ダイアログで、既存のパスワードを入力します。 2. 「F8」キーを押します。 ヒント: 「F8」キーを押す前に既存のパスワードを入力しないと、ログオ ンに失敗したとシステムが解釈し、エラー メッセージが表示されます。 3. ダイアログで、新しいパスワードを入力し、確認入力します。 ここで行うパスワードの変更は一時的なものであることが表示されます。 4. 「OK」をクリックします。 ヒント: このダイアログをキャンセルすると、古いパスワードを使用して ログオンされます。 Windows のログオン ダイアログが表示されます。 ヒント: ここでのログオンは、システムで構成されている場合でも、Windows にパ ス スルーされません。Windows のログオンでは、「古いパスワード」を 入力してください。一時パスワードは、POA でのログオンのみで有効で す。 5. 「OK」をクリックします。 ユーザーは Windows にログオンします。 以後、POA でログオンするには、一時的に定義されたパスワードしか使用で きません。この一時パスワードは、Windows ログオンでパスワードが変更さ れるまで有効です。その変更を行って初めて、ログオンを POA からWindows に再度パス スルーすることができます。 一時パスワードの変更 POA で一時的に変更したパスワードは、後で変更して、再度 Windows と同 じパスワードにする必要があります。

Windows にログオンすると、Active Directory に再接続したらすぐにパスワー ドを変更するよう、Sophos SafeGuard によってプロンプト表示されます。

パスワードの変更を求めるダイアログは、実際にパスワードを変更せずに キャンセルすることができます。この場合、パスワードを変更するまで、ロ グオンするたびにこのダイアログが表示されます。

ヒント: POA のパスワードは、Active Directory に接続している状態でも、一

時的に変更することができます。この場合、POA でパスワードを一時的に変 更した直後に、パスワードの変更を求めるダイアログが表示されます。ただ し、それをキャンセルして、「古いパスワード」を使用してログオンできま す。パスワードは後で変更することができます。

4.5 スマートカードやトークンを使用して Power-on

Authentication でログオンする

スマートカードやトークンを使用してログオンする方法には、次の 2種類が あります。 ■ _{スマートカードまたはトークンを使用したログオンのみが許可される。} ■ _{ユーザー名とパスワードを使用したログオンと、スマートカードやトーク} ンを使用したログオンの両方が許可される。 セキュリティ担当者は、許可するログオン方法をポリシーで定義します。 ヒント: Sophos SafeGuard では、スマートカードとトークンを同じように扱っ ています。そのため、製品およびマニュアルにおいて、「トークン」および 「スマートカード」という用語は、同じものとして理解することができま す。この後のセクションでは、「トークン」という用語を使用します。

4.5.1

インストール後の初回トークン ログオン

トークンを使用した最初のログオンの手順は、トークンを使用しないログオ ンの手順と同じです。 自分のログオン情報を含むトークンがある場合、そのトークンの PIN を入力 して Windows にログオンすることができます。 ヒント: コンピュータを再起動する前に、Windows ユーザー ログオン情報を 使用してトークンを設定することを推奨します (トークンに Windows ユー ザー ログオン情報を保存する (p. 14) を参照してください)。ユーザーに適用 されているセキュリティ ポリシーによっては、POA でトークンを使用する ことが必須になります。トークンに自分のログオン情報が含まれていない場 合、Power-on Authentication でログオンすることはできません。

4.5.2

_{トークンに Windows ユーザー ログオン情報を保存する}

トークンに自分の Windows ユーザー ログオン情報が含まれていない場合、 ユーザー自身がトークンに保存できます。 ヒント: トークンの設定は、最初のログオン時に行うことをお勧めします。 ユーザーに適用されているセキュリティ ポリシーによっては、POA でトー クンを使用することが必須になります。トークンにユーザー情報が含まれて いない場合、Power-on Authentication でログオンすることはできません。 1. インストール後の最初のログオン時に、Windows ログオン ダイアログが 表示されたらシステムにトークンを接続します。 空のトークンが検出されると、「トークンの発行」ダイアログが自動的に 表示されます。 2. Windows ユーザー名とパスワードを入力します。 3. 確認のためにパスワードを再度入力します。 4. ドメインを選択または入力し、「OK」をクリックします。 入力されたデータを使用して、Windows へのユーザーのログオンが試行さ れます。ログオンが正常に完了したら、データがトークンに書き込まれま す。 ユーザーは Windows にログオンします。 ユーザー (すでに一度、ユーザー名とパスワードを使用して POA でログオン したことがある場合) に対してトークン ログオンは任意と定義されている場 合にも、後でトークンを発行できます。 これを行うには、POA のログオン ダイアログで「オプション」をクリック し、「Windows へのパス スルー」チェックボックスを選択から外します。 Windows ログオン ダイアログが表示され、ユーザーは前述の手順でログオ ン情報をトークンに保存できます。

4.5.3

_{トークンを使用した POA ログオン}

前提条件: BIOS で USB 対応が設定されていることを確認します。トークンの 対応が設定されており、トークンがユーザーに発行されている必要がありま す。 1. トークンを接続します。

2. コンピュータの電源を入れます。 トークンを使ってログオンするためのダイアログが表示されます。 ヒント: ユーザー ログオン情報を使用したログオンがポリシーで許可され ている場合にトークンを取り外すと、ログオンのためのユーザー ログオ ン情報を入力するように求められます。ユーザー ID とパスワードを使用 してログオンするためのダイアログが表示されない場合は、トークンを使 用する方法のみで Power-on Authentication でログオンできます。 3. トークン PIN を入力します。

Power-on Authentication および Windows にログオンします (ログオン ダイ アログで「Windows へのパス スルー」チェック ボックスを選択した場 合)。

4.5.4 PIN を変更する

Windows ログオン ダイアログで、トークンの PIN を変更することができま す。

POA (Power-on Authentication) で「Windows へのパス スルー」が有効になっ ている場合、通常、Windows ログオンダイアログは表示されません。Windows ログオン ダイアログを表示するには、POA ログオン時にこのオプションを 無効にする必要があります。 ヒント: セキュリティ担当者が (たとえば特定の一定期間ごとに) PIN の変更 を要求するようにルールを定義した場合は、PIN の変更を求めるプロンプト が自動的に表示されます。 1. Windows ログオンのための「PIN」ダイアログで、「PIN を変更する」 チェック ボックスを選択します。 2. トークン PIN を入力し、「OK」をクリックします。 「PIN の変更」ダイアログが表示されます。 3. 新しい PIN を入力し、確認入力します。 4. 「OK」をクリックします。 トークン PIN が変更され、Windows ログオンが続行されます。

4.5.5

トークン ログオンの復旧

PIN を忘れた場合、次のいずれか 1つの復旧方法を使用して、コンピュータ に再度アクセスできるようになります。

■ _{Local Self Help による復旧。詳細は、Local Self Help による復旧 (p. 37) を参} 照してください。 ■ _{チャレンジ/レスポンスによる復旧。詳細は、チャレンジ/レスポンスによ} る復旧 (p. 48) を参照してください。 各コンピュータで使用できる復旧方法は、セキュリティ担当者が指定した設 定によって異なります。 復旧を開始するには、トークンログオンのダイアログで「復旧」ボタンをク リックします。

4.5.6

トークンのブロックを解除する

間違った PIN を数回入力すると、トークンがブロックされます。セキュリ ティ担当者は、このような場合に「トークンのブロック解除」ダイアログが 表示されるよう、Sophos SafeGuard を設定することができます。 ユーザーは自分のトークンに対して定義されている管理者 PIN を、セキュリ ティ担当者から入手する必要があります。 1. 「トークンのブロック解除」ダイアログで、管理者 PIN を入力します。 2. 新しい PIN を入力し、確認入力します。 PIN に関して定義されているルールに従って PIN を入力してください。た とえば、特定の文字の組み合わせが必要な場合や、すでに使用した PIN の 再使用が禁止されている場合があります。 3. 「OK」をクリックします。 トークンのブロックが解除され、ログオンが続行されます。 ヒント: この機能をコンピュータで使用できない場合、チャレンジ/レスポンスを使 用してコンピュータに再びアクセスすることができます。チャレンジ/レス ポンスを使用するとコンピュータにアクセスできるようになりますが、PIN やユーザー ログオン情報を変更することはできません。

4.5.7

リモート デスクトップ接続

Windows XP では、ユーザーがトークンを使用してローカルでログオンして いる場合、コンピュータへのリモートデスクトップ接続を確立できません。 この場合は、リモート キャプチャを実行できません。

4.6

ログオン復旧

Sophos SafeGuard には、パスワードを忘れた場合など、さまざまな復旧シナ リオに合わせていくつかのオプションが用意されています。各コンピュータ で使用できる復旧方法は、セキュリティ担当者が指定した設定によって異な ります。詳細は、復旧オプション (p. 36) を参照してください。

4.7

仮想キーボード

POA では、画面の仮想キーボードを表示/非表示にしたり、画面上のキーを クリックしてログオン情報などを入力したりできます。 前提条件: セキュリティ担当者は、仮想キーボードの表示をポリシーで有効 にしておく必要があります。 POA で仮想キーボードを表示するには、POA ログオン ダイアログで「 オプ ション >>」をクリックし、「仮想キーボード」チェック ボックスを選択し ます。 仮想キーボードは各種レイアウトに対応しており、POA のキーボード レイ アウトを変更するのと同じオプションを使用してレイアウトを変更できます (キーボードのレイアウト (p. 17) を参照してください)。

4.8 キーボードのレイアウト

通常、国ごとに独自のキーボードのレイアウトがあり、キーの割り当てが異 なっています。POA では、ユーザー名、パスワード、およびレスポンスコー ドを入力する際に、適切なキーボードのレイアウトが設定されていることが 非常に重要になります。

Sophos SafeGuard では、インストール時に Windows デフォルト ユーザーの 「地域と言語のオプション」で設定されていたキーボードのレイアウトが POA のデフォルトとして使用されます。Windows でキーボードのレイアウト として「ドイツ語」が設定されている場合、ドイツ語のキーボードのレイア ウトが POA で使用されます。

使用されているキーボードのレイアウトの言語は、POA に表示されます (例: 英語の場合は、「EN」)。デフォルトのキーボードのレイアウトとは別に、 US キーボードのレイアウト (英語) も使用できます。

4.8.1

キーボードのレイアウトを変更する

Power-on Authentication のキーボード レイアウト (仮想キーボードのレイア ウトを含む) は変更できます。 1. 「スタート > コントロールパネル > 地域と言語のオプション > 詳細設定」 を選択します。 2. 「地域オプション」タブで、必要な言語を選択します。 3. 「詳細設定」タブで、「既定のユーザー アカウントの設定」の「すべて の設定を現在のユーザー アカウントと既定のユーザー プロファイルに適 用する」を選択します。 4. 「OK」をクリックします。 次回ログオンするときには、前回、正常にログオンしたときに使用したキー ボードレイアウトが選択されて自動的に有効になります。これには、エンド ポイントコンピュータの再起動が 2回必要になります。前回のキーボードレ イアウトが「地域と言語のオプション」で選択から外されていても、ユー ザーが別のレイアウトを選択しない限りそのレイアウトが保持されます。 ヒント: Unicode 対応でないプログラムのキーボード レイアウトの言語も変更する必 要があります。 目的の言語がシステムで使用できない場合は、その言語をインストールする ことを求めるメッセージが表示されることがあります。その後、コンピュー タを 2度再起動する必要があります。最初の再起動は、新しいキーボードの レイアウトを POA で読み取るためで、2番目の再起動は、POA が新しいレイ アウトを設定するためです。 POA で使用するキーボードのレイアウトは、マウスやキーボード ( Alt+Shift キー) を使用して変更できます。 システムにインストール済みで使用可能な言語を確認するには、「スタート > ファイル名を指定して実行 > regedit」を選択し、 HKEY_USERS\.DEFAULT\Keyboard Layout\Preload の値を参照してください。

4.9 Power-on Authentication で使用できるホットキー/ファン

クション キー

コンピュータを起動するときにハードウェアの機能や設定が原因で問題が発 生し、システムがハングすることがあります。Power-on Authentication では、 これらのハードウェア設定を変更したり機能を無効にしたりするため、数種 類のホットキーを利用できます。さらに、問題を引き起こすとわかっている ハードウェア設定や機能を記載したグレーリストが、コンピュータにインス トールされた .msi ファイルに組み込まれています。

Sophos SafeGuard を大規模に展開する前に、POA 構成ファイルの最新版をイ ンストールすることをお勧めします。このファイルは毎月更新されます。ダ ウンロード先は次のとおりです。 http://www.sophos.co.jp/support/knowledgebase/article/65700.html このファイルは、特定の環境のハードウェアを反映するようにカスタマイズ できます。 ヒント: カスタマイズしたファイルを定義すると、.msi ファイルに組み込まれている ものではなく、このファイルが使用されます。POA 構成ファイルが定義され ていないときや見つからないときにだけ、デフォルトのファイルが使用され ます。 POA 構成ファイルをインストールするには、次のコマンドを入力します。

MSIEXEC /i <クライアント MSI パッケージ> POACFG=<POA 構成ファイルへ のパス>

Power-on Authentication では、数種類のファンクション キーも利用できます。

4.9.1

ホットキー

Shift+F3 = USB レガシー対応 (ON/OFF)

Shift+F4 = VESA グラフィック モード (OFF/ON) Shift+F5 = USB 1.x および 2.0 対応 (OFF/ON) Shift+F6 = ATA コントローラ (OFF/ON)

Shift+F7 = USB 2.0 対応のみ (OFF/ON)。USB 1.x への対応は、 Shift+F5 キー

での設定が維持されます。

Shift+F9 = ACPI/APIC (OFF/ON)

注釈 USB 2.0 USB 1.x レガシー Shift - F7 Shift - F3 Shift - F3 3. ON ON ON OFF OFF OFF デフォル ト ON ON OFF OFF OFF ON 1.、2. OFF OFF ON OFF ON OFF 1.、2. OFF OFF ON OFF ON ON 3. OFF ON ON ON OFF OFF OFF ON OFF ON OFF ON OFF OFF ON ON ON OFF 2. OFF OFF ON ON ON ON

1. 「Shift - F5」キーにより、USB 1.x と USB2.0 の両方が無効になります。

ヒント: 起動中に「Shift - F5」キーを押すと、POA の起動時間がかなり短

縮されます。ただし、コンピュータで USB キーボードまたは USB マウス を使用している場合、「Shift - F5」キーを押すと、無効になることがあり ます。

POA では、BIOS システム マネージメント モード (SMM) 経由で USB キー ボードを使用することができます。USB トークンには対応していません。 2. USB 対応が有効になっていない場合、POA は USB コントローラのバック

アップと復旧を行う代わりに、BIOS システムマネージメントモード (SMM) の使用を試みます。このシナリオでは、レガシー モードが動作すること があります。

3. レガシー対応が有効で、USB も有効です。POA は、USB コントローラの バックアップと復旧を試みます。使用している BIOS のバージョンによっ ては、システムがハングすることがあります。

ヒント: ホットキーを使って実行できる変更は、Sophos SafeGuard Client イン

ストール時に .mst ファイルを使用してすでに指定されている場合がありま す。 POA でホットキーを使用してハードウェアの設定を変更すると、変更した設 定を保存するようダイアログが表示されます。このダイアログには、保存さ れる設定の概要が表示されます。変更内容を保存するには、「はい」をク リックします。コンピュータを再起動すると、新しい設定が有効になりま す。「いいえ」をクリックすると、変更内容は保存されず、コンピュータの 再起動後も古い設定が有効のままになります。

いずれかの POA ダイアログで「F5」キーを押すと、POA の起動に使用され るホットキーの設定を示すダイアログを開くことができます。起動中にホッ トキーが変更されると、関連するキーの状態が青で表示されます。青は、 POA を起動するためにキーがこの状態で使用されたが、まだ保存されていな いことを意味します。変更されていない値は黒で表示されます。ダイアログ を閉じるには、「F5」キーをもう一度押すか、「Return」キーを押します。

4.9.2

ログオン ダイアログのファンクション キー

ヒント: ファンクション キーはホットキーではありません。 F2 = 自動ログオンを中止します。 F5 = POA の起動に使用されるホットキーの設定を示すダイアログを表示し ます。 F8 = POA でパスワードを変更します。「Enter」キーの代わりに使用すると、 ログオン後 POA でパスワードを変更できます。

Alt + Shift (左側の「Alt」キーと左側の「Shift」キー) = キーボードの配列を

日本語と英語で切り替えます。 POA をキャンセルし、シャットダウンの準備をする Ctrl+ Alt + Del = 認証に失敗したが、コンピュータを安全にシャットダウン する場合に使用します。このキーの組み合わせは、「シャットダウン」ボタ ンと同じ動作をします。 ヒント: 指紋を使用したログオンが有効になっている場合、「Ctrl + Alt + Del」キーを押して、ユーザー名とパスワードによる POA ログオン ダイアロ グに切り替えることができます。指紋を使用したログオンの詳細について は、Lenovo 指紋認証リーダーを使用したログオン (p. 28) を参照してくださ い。

4.10 パスワードの同期

Sophos SafeGuard では、Windows パスワードが変更された場合、Sophos SafeGuard のデータべースに保存されているパスワードに一致しなくなった ことが自動的に検出されます。これは、VPN 経由で、別のコンピュータ上 で、または Active Directory で Windows パスワードが変更された場合に発生 する可能性があります。

Sophos SafeGuard でこの状況が検出されると、古いパスワードを入力するよ う表示されます。その後、Sophos SafeGuard に保存されていたパスワードが、 新しい Windows パスワードに更新されます。

パスワードの同期は、次の 2つの状況で実行されます。 ■ _{ログオン中。}

5 Power-on Authentication: Windows Vista および

Windows 7 環境

Windows Vista および Windows 7 環境での Power-on Authentication の表示内容 と動作は、Windows XP 環境での表示内容と動作と同じです。相違点は、OS にログオンするときだけです。

ヒント: ここでは、Windows Vista および Windows 7 における相違点だけを説

明します。ここで相違点が特に明記されていない事柄については、「Power-on Authentication」のセクションで説明している手順やプロセスが適用されます (Power-on Authentication (p. 8) を参照してください)。

5.1 Sophos SafeGuard インストール後の初回のログオン:

Windows Vista および Windows 7 環境

Sophos SafeGuard を Power-on Authentication とともにインストールした場合、 Sophos SafeGuard インストール後の初回のシステム起動では起動手順が異な ります。Sophos SafeGuard が起動手順に組み込まれたため、新しい起動メッ セージ (自動ログオン画面など) がいくつか表示されます。その後、Windows OS が起動します。

ヒント: Windows Vista および Windows 7 環境では、自動ログオンやログオン

を開始するには、まず、「Ctrl + Alt + Del」キーを押す必要があります。管 理者は、MMC コンソールの「グループ ポリシー オブジェクト エディタ」 で、「Windows の設定 > セキュリティの設定 > ローカル ポリシー > セキュ リティ オプション」を選択し、「対話型ログオン: Ctrl+Alt+Del を必要とし ない」を「有効」に指定します。 インストール後の初回のログオンでは、通常どおりに自分のログオン情報を 使用して、まず、Windows に正常にログオンする必要があります。その後、 Sophos SafeGuard ユーザーとして登録されます。この登録処理によって、次 回のシステム起動時に自分のログオン情報が POA で認識されるようになり ます。 登録に成功すると、このことを知らせるツールチップがコンピュータに表示 されます。 コンピュータを再起動すると、POA がアクティブになります。これ以降、 ユーザーは自分の Windows ログオン情報を POA で入力します。続いてユー ザーは、パスワードを入力しなくても Windows に自動的にログオンします (Windows への自動ログオンが有効になっている場合)。 POA では、ユーザー名とパスワードを使用してログオンできます。

ヒント: Sophos SafeGuard がインストール済みのエンドポイント コンピュー

タの設定は、セキュリティ担当者によって SafeGuard Policy Editor で定義さ れ、ポリシーファイルとしてエンドポイントコンピュータに配布されます。

5.1.1

初回のログオンの手順

ここでは、Sophos SafeGuard のインストール後に初めてコンピュータにログ オンするときの手順について説明します。ここで説明する手順は、ご使用の コンピュータに POA がインストール済みで有効になっている場合のみを対 象にしています。 1. エンドポイント コンピュータが起動します。「Sophos SafeGuard 自動ログ オン」ダイアログが表示されます。 自動ログオンが設定済みのユーザーがログオンされます。 2. Windows Vista/Windows 7 のログオン ダイアログが表示されます。 Windows Vista/Windows 7 環境では、Sophos SafeGuard 認証方法、または Windows Vista/Windows 7 認証方法を使用できます。 3. いずれの認証方法を使用した場合でも、Windows Vista/Windows 7 では、 次の 2つのアイコンが表示されます。 ■ _{「他のユーザー」アイコン: ログオン情報を入力するダイアログを開く} には、これをクリックします。 ■ _{アイコンの下にユーザー名が表示されているアイコン: 前回システムに} ログオンしたユーザーのユーザー情報を含むダイアログを開くには、 これをクリックします。パスワードを入力するだけでログオンできま す。 Sophos SafeGuard アイコンの下に自分のユーザー名が表示されている場合 は、それをクリックします。表示されていない場合は、「他のユーザー」 アイコンをクリックします。 4. Windows ユーザー ログオン情報を通常どおりに入力します。 次回のシステム起動時には、POA で自分の Windows ユーザー ログオン情 報 (ユーザー名とパスワード) を入力するだけで、自動的にログオンでき ます。 Power-on Authentication の機能をすべて有効にするには、コンピュータを再 起動する必要があります。再起動後、コンピュータは POA によって不正ア クセスから保護されます。

5.2 Power-on Authentication でログオンする: Windows Vista

および Windows 7

Power-on Authentication が有効になった後 (初回の同期および再起動の実行)、 Power-on Authentication のログオン ダイアログに Windows ユーザー ログオン 情報を入力してログオンします。Windows には自動的にログオンします。 ヒント: ログオン ダイアログの「オプション >>」ボタンを押し、「Windows へのパススルー」を選択から外すことで、Windows への自動ログオンを無効 にできます。自動ログオンの無効化は、そのコンピュータで他のユーザーが Power-on Authentication を使用できるようにする場合などに必要です (他の ユーザーをインポートする (p. 11) を参照してください)。セキュリティ担当 者は、Windows へのログオン パス スルーを有効/無効に設定するか、および ユーザーがこの設定をログオンダイアログで変更することを許可するかを該 当するポリシーで定義します。 ログオン失敗時のログオン待機時間 パスワードが間違っていたなどの理由で Power-on Authentication でのログオ ンに失敗した場合は、エラーメッセージが表示され、次回のログオンに遅延 が設定されます。ログオンに失敗するたびに、遅延時間は長くなります。ロ グオンの失敗はログに記録されます。 マシンのロック 一定の回数以上連続してログオンに失敗すると、コンピュータがロックされ ます。コンピュータのロックを解除するには、チャレンジ/レスポンスを起 動してください (チャレンジ/レスポンスによる復旧 (p. 48) を参照してくだ さい)。

6 Windows Vista および Windows 7 へのログオン

Windows Vista および Windows 7 環境では、Sophos SafeGuard 認証方法とは違 う別の方法で認証を行うことができます。

Power-on Authentication のログオン ダイアログで、「Windows へのパスス

ルー ログオン」を選択から外すと、「Windows Vista/Windows 7 ログオン」

ダイアログが表示されます。このダイアログで、別の認証方法を選択するこ ともできます。

ヒント: 別の認証方法を使用しても、コンピュータで Sophos SafeGuard が非

アクティブになるというわけではありません。この場合、Windows ログオン 時ではなく、Windows ログオン後に Sophos SafeGuard にログオンします。

6.1 Sophos SafeGuard 認証方法を使ってログオンする

通常、Power-on Authentication (POA) で自分のパスワードを入力すると、自 動的に Windows にログオンします。「POA ログオン」ダイアログで、 「Windows へのパススルー」を選択から外して、Sophos SafeGuard 認証方法 を使った場合は、Sophos SafeGuard のすべての機能は、Windows Vista/Windows 7 へログオンした後、使用可能になります。

必要な鍵が使用可能になり、定義されているポリシーに従ってすべてのデー タが暗号化および復号化されます。

6.2 Windows Vista/Windows 7 認証方法を使ってログオンす

る

「Windows ログオン」ダイアログで、Windows へログオンするために、Sophos SafeGuard 認証方法ではなく、別の認証方法を選択することができます。 Windows Vista/Windows 7 認証方法を使用した場合、OS にログオンした後で Sophos SafeGurad へのログオンが実行されます。

Windows Vista/Windows 7 にログオン後、必要に応じて Sophos SafeGuard 認証 アプリケーションが自動的に起動されます。これによって、Sophos SafeGuard の機能すべてが利用できるようになります。

一元管理で指定されているログオン設定に応じて、ユーザーのログオン情報 を入力するためのダイアログ、または PIN を入力するためのダイアログが表 示されます。 1. ログオン情報または PIN を入力し、「OK」をクリックします。 これで Sophos SafeGuard の機能が使用可能になり、必要な鍵を持っていれ ば、暗号化されたデータへのアクセスなどができます。

6.3 パスワードの同期: Windows Vista および Windows 7 環

境

Sophos SafeGuard では、Windows パスワードが変更された場合、保存されて いるパスワードに一致しなくなったことが自動的に検出されます。これは、 VPN 経由で、別のコンピュータ上で、または Active Directory で Windows パ スワードが変更された場合に発生する可能性があります。 Sophos SafeGuard でこの状況が検出されると、古いパスワードを入力するよ うメッセージが表示されます。その後、Sophos SafeGuard に保存されていた パスワードが、新しい Windows パスワードに更新されます。 パスワードの同期は次の 2種類の状況で実行されます。 ■ _{ログオン中。} ■ _{Windows のロック/ロック解除処理中。}

7 Lenovo 指紋認証リーダーを使用したログオン

ユーザーは、コンピュータ、アプリケーション、およびネットワークにアク セスするために、多くの異なるパスワードと PIN を覚えておく必要がありま す。指紋認証リーダーを使用すれば、パスワードを使用しなくても、リー ダーに指を通すだけでログオンできるようになります。 また、指紋情報を紛失したり忘れたりすることもありません。未認証の他人 がこの情報を推測することもできません。このように指紋認証リーダーを使 用することで、ログオン操作が簡略化され、セキュリティが向上します。 Sophos SafeGuard では、Power-on Authentication と Windows ログオンで指紋 ログオンに対応しています。たとえば、Lenovo ノート PC にログオンする場 合は、ノート PC に付属の指紋認証リーダーに指を通すだけでログオンでき ます。残りのログオン手順は自動的に実行されます。また、指紋認証リー ダーに指を通すだけで Windows デスクトップのロックおよびロック解除を 行うこともできます。 指紋認証リーダーは一部の Lenovo ノート PC に組み込まれています。ただ し、外付け USB キーボードを使用して指紋ログオンを行うこともできます。 ヒント: ■ _{1台のコンピュータに一度に接続できる指紋認証リーダーは 1つだけです。} ■ _{リモートの指紋ログオンには対応していません。}

7.1 要件

指紋ログオンを使用するには、次の要件を満たしている必要があります。 一般的な要件 ■ _{Lenovo ハードウェア。} ■ _{ノート PC の Lenovo 指紋認証リーダーまたは指紋認証リーダー付き USB} キーボード ■ _{最新の BIOS (推奨)。} ■ Sophos SafeGuard ■ _{推奨されている次のベンダ固有のソフトウェアを、Sophos SafeGuard をイ} ンストールする前にインストールする必要があります。

または

■ _{UPEK 用 ThinkVantage Fingerprint。}

■ _{セキュリティ担当者は、ポリシーで指紋ログオンをアクティブに設定して} おく必要があります。 システム要件 ■ _{Windows XP、32 ビット版} ■ _{Windows Vista、32 ビット版、64 ビット版} ■ _{Windows 7、32 ビット版、64 ビット版} 対応ハードウェア 対応している指紋ログオンのハードウェアの詳細は、 http://www.sophos.co.jp/support/knowledgebase/article/108789.htmlを参照してく ださい。 対応ソフトウェア 対応している指紋ログオンのソフトウェアの詳細は、 http://www.sophos.co.jp/support/knowledgebase/article/111626.htmlを参照してく ださい。

7.2 指紋を登録する

指紋を使用してノート PC やデスクトップ PC にログオンするには、推奨さ れているベンダ固有のソフトウェアを使用して、1つまたは複数の指紋を事 前に登録する必要があります。この登録プロセスで、登録する指紋とログオ ン情報 (ユーザー名とパスワード) が関連付けられます。 前提条件: 以下の説明では、推奨されているベンダ固有のソフトウェアと Sophos SafeGuard の両方がインストール済みであることを前提としています。 1. Power-on Authentication (POA) で、ユーザー名とパスワードを入力してロ

2. インストール済みのベンダ固有のソフトウェアを使用して、1つまたは複 数の指紋を登録します。この登録により、指紋が Windows ログオン情報 に関連付けられます。

a) 指紋の登録方法の説明については、ThinkVantage Fingerprint ソフトウェ アのドキュメントを参照してください。

b) 「BIOS の POA パスワード」オプションを有効にします (UPEK のみ。 AuthenTec の場合、この手順は必要ありません)。 c) POA で指紋ログオンを使用するには、はじめに、指紋を使用して Windows にログオンして、ログオン情報を指紋認証リーダーに転送す る必要があります。UPEK の場合は、登録した指紋を指紋認証リーダー に通すだけです。AuthenTec の場合は、初回ログオン時に Windows パ スワードも入力する必要があります。 3. PC/ノート PC を再起動します。 4. 登録した指紋をテストするには、コンピュータを再起動した後で指紋認証 リーダーに指を通します。 指紋が登録されているものと一致すれば、自動的に Windows にログオン します。

7.3 指紋を使用して Power-on Authentication にログオンする

前提条件: ■ _{セキュリティ担当者は、該当する「認証」ポリシーで、指紋オプションを} 設定しておく必要があります。 ■ _{1つまたは複数の指紋を登録しておく必要があります。} 1. コンピュータを再起動します。 指紋でログオンするための POA ダイアログが表示されます。 2. 登録してある指の 1つをリーダーに通します。 指紋の認識に成功すると、Power-on Authentication によってログオン情報 が読み込まれ、Windows に送信されます。 ログオン手順では、要求、通知、または警告として、短いテキスト メッ セージ付きのアイコンが表示されます (ログオン プロセスで使用されるア イコン (p. 31) を参照)。

ユーザーは Windows に自動的にログオンします。さらに認証情報が要求さ れることはありません。 ヒント: ■ _{Windows での登録プロセスが正常に完了していなかった場合 (たとえば、} 指紋登録後に Windows をログオフして再度ログオンしていない場合)、登 録した指紋と一致していることは POA で検出されます。 ただし、関連付けされたログオン情報は見つかりません。この場合、ユー ザー名とパスワードを使用してログオンするようエラー メッセージが表 示されます。入力後、Windows へのパス スルーは行われず、ログオン情 報は指紋認証リーダーに転送されます。 ■ _{Windows へのパススルーを有効または無効にするかどうか、およびユー} ザー名とパスワードでログオンする POA の画面でユーザーがその設定を 変更できるかどうかは、ユーザーごとに適用されるポリシーでセキュリ ティ担当者が指定します (ユーザー名とパスワードを使用してログオンす る (p. 33) を参照)。

7.3.1

ログオン プロセスで使用されるアイコン

Power-on Authentication で指紋を使用してログオンする際、要求、通知、お よび警告としてアイコンが使用されます。これらのアイコンは、ログインプ ロセス中に短いテキスト メッセージと一緒に表示されます。 指紋認証リーダーに指を通して今すぐ使用 できることを示しています。 指紋ログオンが現在有効になっていないこ とを示しています。指紋ログオンモジュー ルがまだ初期化されていない場合などに表 示されます。 指紋認証リーダーが正常に動作していて使 用中であることを示しています。

指紋の読み込みに成功して、一致する指紋 が検出されたことを示しています。 指紋の読み込みに成功したが、一致する指 紋が検出されなかったことを示しています。 指紋が読み取れなかったことを示していま す。指紋認証リーダーに再度、指を通して ください。 指を置く場所が左 (または右) にずれている ことを示しています。指を指紋認証リーダー の中央に移動してください。 指を通す角度が横にずれて斜めであったこ とを示しています。指紋認証リーダーに再 度、指を通してください。 指の動きが速すぎたことを示しています。 指紋認証リーダーに再度、指を通してくだ さい。 指を通す時間が短すぎたことを示していま す。指紋認証リーダーに再度、指を通して ください。

7.3.2

ログオンの失敗

指を 5回通しても指紋の読み取りができなかった場合は、ログオンの失敗と 見なされ、イベントログが記録されます。この場合、次にログオンできるま で待機時間が発生します。 指紋の読み取りにエラーなしで成功した後、登録済みの指紋との照合を 5回 試みても一致するものが検出されなかった場合も、ログオンの失敗と見なさ れ、イベントログが記録されます。この場合も、次にログオンできるまでの 待機時間が発生します。 待機時間はログオンに失敗するたびに長くなります。

7.3.3

ユーザー名とパスワードを使用してログオンする

指紋を使用したログオンが有効になっている場合でも、ユーザー名とパス ワードを使用して Power-on Authentication にログオンできます。これは、指 紋認証リーダーが破損しているため、指紋でログオンできない場合などに利 用できます。 1. 指紋でログオンするための POA ダイアログで、「Esc」キーまたは 「Ctrl+Alt+Del」キーを押します。 ユーザー名とパスワードでログオンするための POA ダイアログが表示さ れます。 ヒント: ユーザー名とパスワードでログオンするための POA ダイアログで 「Ctrl+Alt+Del」キーを押すと、コンピュータはシャットダウンします。 この場合、「Ctrl+Alt+Del」キーは「シャットダウン」ボタンに相当しま す。 ユーザー名とパスワードでログオンするための POA ダイアログは、指紋 認証リーダーを使用できない場合や、指紋認証リーダー上のユーザーデー タをシステムが検出できない場合にも自動的に表示されます。 ヒント: ユーザー名とパスワードによるログオンは、ローカル キャッシュ が破損している場合にも自動的に有効になります。この問題が発生した場 合は、コンピュータがロックされるため、チャレンジ/レスポンスを使用 してログオンする必要があります。

2. 「Esc」キーをもう一度押せば、指紋でログオンするための POA ダイアロ グに戻ることができます。 「Esc」キーを押してユーザー名とパスワードでログオンするための POA ダイアログに切り替えた後でも、指紋認証リーダーに指を通せばログオン できます。指紋でログオンするための POA ダイアログに戻る必要はあり ません。

7.4 パスワードを変更する

1. 指紋を使用したログオンが Power-On Authentication で有効になっている場 合は、「Ctrl+Alt+Del」キーを押して Windows パスワードを変更できま す。 パスワードを変更すると、指紋認証リーダーに指を通して新しいパスワー ドを指紋認証リーダーに転送することを求められます。 ヒント: パスワードを変更するたびに、登録済みのすべての指紋に変更が適用され ます。

7.4.1

パスワードの同期をとる

Windows パスワードが指紋認証リーダーに保存されているパスワードと一致 しなくなった場合 (パスワードを変更したけれども、新しいパスワードが指 紋認証リーダーに転送されていない、など) は、パスワードを同期できます。 1. コンピュータを再起動します。 2. 指紋でログオンするための POA ダイアログで、「Esc」キーまたは 「Ctrl+Alt+Del」キーを押します。ユーザー名とパスワードでログオンす るためのダイアログに切り替わります。 3. 「オプション」をクリックし、「Windows へのパス スルー」を無効にし ます。 ヒント: セキュリティ担当者は、Windows へのパス スルーが有効/無効に なっているか、およびユーザー名とパスワードでログオンする POA ダイ アログでユーザーがこれらの設定を変更できるかどうかを、ユーザーに適 用されるポリシーで指定します。 4. パスワードを使用してログオンします。 5. Windows のログオン ダイアログが表示されます。登録してある指の 1つを

6. 指紋は認識されますが、指紋に関連付けられたパスワードが Windows に よって拒否されます。ログオンに失敗したことが表示されますが、次にロ グオンできるまでの待機時間は発生しません。 パスワードが変更されたことを示すメッセージが表示され、現在のWindows パスワードを入力することを求められます。 7. 正しい Windows パスワードを入力してください。 ヒント: ここで間違った Windows パスワードを入力すると、ログオンの失敗が記 録され、ログオンの待機時間が発生します。何も入力しないでパスワード 入力画面を閉じた場合も、ログオンの失敗として記録され、ログオンの待 機時間が発生します。 パスワードの転送に成功すると、パスワード同期プロセスが完了し、ログ オンでパスワードが使用できるようになります。

7.5

指紋ログオンの復旧

指紋ログオンに失敗し、ログオンに必要なパスワードを忘れた場合、Sophos SafeGuard では次の復旧方法を使用することができます。

■ _{Local Self Help による復旧。詳細は、Local Self Help による復旧 (p. 37) を参} 照してください。 ■ _{チャレンジ/レスポンスによる復旧。詳細は、チャレンジ/レスポンスによ} る復旧 (p. 48) を参照してください。 各コンピュータで使用できる復旧方法は、セキュリティ担当者が指定した設 定によって異なります。 復旧を開始するには、指紋ログオンのダイアログで「復旧」ボタンをクリッ クします。 ヒント: 選択した復旧方法によっては、コンピュータの起動時に、パスワードを変更 することができます。パスワードを忘れた場合、復旧を実行できるようにな ります。この場合、指紋ログイン情報を更新する手段も用意されています。

8 復旧オプション

Sophos SafeGuard には、パスワードを忘れた場合など、さまざまな復旧シナ リオに合わせていくつかのオプションが用意されています。

■ _{Local Self Help によるログオン復旧}

パスワードを忘れた場合は、Local Self Help を使用することで、ヘルプデ スク担当者の支援を受けずにコンピュータにログオンできます。電話も ネットワーク接続も利用できない状況 (飛行機に乗っている場合など) で も、コンピュータにアクセスできるようになります。ログオンするために 必要なことは、Power-on Authentication で事前に定義されたいくつかの質 問に答えるだけです。

詳細は、Local Self Help による復旧 (p. 37) を参照してください。

■ _{チャレンジ/レスポンスによる復旧} チャレンジ/レスポンスは、コンピュータにログオンできない場合や暗号 化されたデータにアクセスできない場合にユーザーを支援するための、安 全性および効率性の高い復旧システムです。チャレンジ/レスポンスでは、 コンピュータで生成されたチャレンジ コードをヘルプデスク担当者に渡 すと、ヘルプデスク担当者はそのコンピュータでの特定の処理の実行を認 証するレスポンス コードを生成してくれます。 詳細は、チャレンジ/レスポンスによる復旧 (p. 48) を参照してください。 どちらの復旧オプションも、セキュリティ担当者がポリシーで定義すること により使用が許可されます。