Drive Encryption 7.x の FAQ
最終更新: 2020-02-05 15:14:05 Etc/GMT
環境
概要
注:
- DE は以前は Endpoint Encryption for PC(EEPC)および Endpoint Encryption for Mac(EEMac)として知られていました。
- Endpoint Assistant(EA)の FAQ は、KB80070 を参照してください。EA は、DE で動作するように開発された iOS と Android 用のコンパニオン アプリケーションです。 DE のヘルプデスク コストの大部分は通常、ユーザー パスワードのリセット管理に関連するため、EA を使用してプリブート パスワード リセット関連のヘルプデスクのコストをユーザーに完全に転嫁できます。 ヘルプデスクに電話をかけることができない飛行機上にいる場合であっても、ユーザーが起動前のパスワードを安全にリセットできるようにすることができます。
ログで OptIn ユーザー/OptOut ユーザーという記述を見ることがあります (例: ポリシーの施行に失敗しました: 割り当てられた OptIn ユーザー)。OptIn ユーザーはユーザー別のポリシー (UBP) の施行が ePO で 有効に設定されています (つまり特定の UBP が適用されます)。OptOut ユーザーは UBP 施行を無効に設定しています (つまりコンピューターに割り当てられた UBP が適用されます)。
DE が必要な理由
DE の重要な目的は、ディスク上の静的な機密データのみを保護することです。 この種の保護は、個人情報保護法の適用を受ける必要があります。
プリブート認証が無効な場合に、自動ブート機能を有効にする際の保護方法
DE の重要な目的は静的なディスクを保護することですが、ディスクがロック解除されると DE はデータアクセス保護を提供しません。 したがって、安全なシステムが必要な場合は、自動ブート機能を使用しないでください。自動ブートは、プリブート認証を無効にし、製品のセキュリティを完全に無効にするためです。 自動ブート機能は、一時的な手段としてのみ提供されています。 自動ブートの詳細は、自動ブート を参照してください。より安全な Trusted Platform Module (TPM) 自動ブートの詳細は、TPM(自動ブート)を参照してください。
目次に戻る
DE 7.2.0 の新しい互換性:
インプレース アップグレード用の Windows 10 Anniversary Update の新しいコマンドライン パラメータ /ReflectDrivers をサポートしていますか?
はい。Microsoft は、Windows 10 Anniversary Update に新機能を追加しました。これにより、/Reflectdrivers オプションを使用した ISO および SCCM による OS の一括アップグレードが可能になります。
このコマンド スイッチは、サードパーティの暗号化が有効になっているコンピューターの暗号化ドライバーを含むフォルダへのパスを指定します。 PnP ドライバーがインストールされ、アップグレードを続行できます。
注:/Reflectdrivers オプションは、DE 7.1.3 HotFix 1148978 以降でもサポートされていますが、変更が製品インストーラーに追加された結果、DE 7.2.0 を使用したプロセスがさらに簡素化されます。
Drive Encryption がインストールされた Windows 10 のインプレース アップグレードの詳細については、KB87909 を参照してください。
DE 7.1.0 の新しい互換性:
どのバージョンの DE が Windows 10 をサポートしていますか?
DE 7.1 Patch 3(7.1.3)が Windows 10 をサポートする最初のバージョンですが、Windows 10 の一般リリースより先にリリースされています。 したがって、Windows 10 システムでの DE 7.1.3 の配備と使用に警告が適用される場合があります。 詳細については、KB85784 を参照してください。
注:DE 7.1.3 より前の EEPC のリリースおよび DE 7.1.x リリースは Windows 10 をサポートしていません。
Windows 10 Enterprise Long-Term Servicing Branch(LTSB)は DE でサポートされていますか?
いいえ。現在、DE は、Current Branch (CB) および Current Branch for Business (CBB)を含むすべての公式の Windows 10 ビルドのサポートのみを提供しています。
注:LTSB は、機能更新を受けず、一般的なセキュリティ パッチに限定されるサステイニング ビルドの Microsoft の用語です。
オペレーティング システム(OS)を Windows 7 または Windows 8 から Windows 10 に更新することはできますか?
はい。MA 7.1.3 以降で可能です。 DE 7.1 Patch 3 がインストールされた OS を Windows 10 にアップグレードする方法は、KB84962 を参照してください。ここで説明するプロセスは、必要な DE ドライバーを Microsoft のアップグレード プロセスに注入します。
DE 7.1.3 が既にインストールされている場合、Windows 10 November Update / Threshold 2 (TH2) をコンピュータに適用できますか?
はい。これはメジャー アップデートのため、KB84962 で概説する手順に従うことは必須です。
Windows 10 のオプション「以前のビルドに戻す」は DE がインストールされ、アクティブな環境でサポートされていますか?
はい。
DE 7.1 が、Windows 8.1 をサポートする最初のバージョンです。
注:DE 7.1 より前の EEPC リリースは Windows 8.1 をサポートしていません。
どのオペレーティング システムで DE がサポートされていますか?
KB79422 を参照してください。
DE 7.1 には Windows 8.x 専用の新機能がありますか?
はい。コールド ブート攻撃に対してシステムを強化するための機能が組み込まれています。 また、DE 7.1 では、TPM 自動ブートと呼ばれる新しい自動ブート方法があります。
Drive Encryption は、ブート攻撃が検出された場合にレポートできる新しい Dell Cylance Advanced Threat Protection Technology で動作しますか?
いいえ。DE は、Dell Cylance Advanced Threat Protection でテストされていません。
Drive Encryption はハードウェアに基づいてコンピューターをロックできる Intel Anti-Theft 技術をサポートしていますか?
いいえ。Intel は、Intel Anti-Theft サービスを廃止しました。
Microsoft アップグレード タスクを実行して、Windows 8.0 システムを Windows 8.1 にアップグレードすることはできますか?
いいえ。Microsoft では、新しい WIM イメージを作成する機能を使用しています。これは基本的にオペレーティング システムの更新プロセスであり、従来のアップグレードまたはサービス パックのアップグレードではありません。 ただし、DE は Windows 8.0 から Windows 8.1 にアップグレードし、既存のすべてのデータをプロセス全体にわたって暗号化することを可能にする OS 更新プロセスを文書化しています。 このプロセスの支援については、以下を参照してください。
Windows Vista BitLocker システムで DE 7.1 OS 更新プロセスを使用しない場合に、このプロセスを使用する理由は何ですか?
Microsoft は、アップグレード中に BitLocker 暗号化キーを公開するメカニズムを実装しており、WIM オーバーレイプロセスを実行できます。 マカフィーでは、この方法を採用していないため、Windows のアップグレードプロセス中にシステムが攻撃に対して脆弱になるためです。
Microsoft が新しい機能 Device Encryption について説明しました。これは何ですか?
Microsoft Device Encryption は、BitLocker の縮小版で、管理されていないバージョンと見なすことができます。
Microsoft Device Encryption は自動的に有効になりますか?
はい。ハードウェアが最小限のハードウェア要件に一致するか超える場合、Windows 8.1 は自動的にデバイス暗号化を有効にします。
Microsoft Device Encryption が自動的に有効になっているシステムに DE を導入するとどうなりますか?
システムが Microsoft Device Encryption の最小ハードウェア要件を満たし、自動的に有効にされ、ディスクを暗号化している場合は、次のようになります。
- アクティベーション前のチェックにより、BitLocker がアクティブであることが確認されます。 Microsoft Device Encryption は、管理されていない BitLocker の単なるバージョンです。
- ディスクがすでに Microsoft Device Encryption で暗号化されているため、DE の有効化が失敗します。
- このステータスは ePO に報告されます。
Microsoft Device Encryption の最小ハードウェア要件を満たし、Windows 7 と DE 7.1 がインストールされた新しいシステムを Windows 8.1 にアップグレードするとどうなりますか?
MSDN アカウントでログインしていない場合、システムは Microsoft Device Encryption を有効にしません。 MSDN アカウントでログインしている場合、オペレーティング システムが破損します。
Mac ハードウェアで DE / EEPC がインストールされた Windows オペレーティング システムはサポートされていますか?
いいえ。DE / EEPC は Mac ハードウェアでテストされていないため、サポートされていません。
Drive Encryption は Windows 圧縮ドライブをサポートしていますか?
いいえ。これは、互換性テストが行われていないためサポートされていません。
目次に戻る
DE に適用される、以前に利用可能な EEPC 互換性に関する FAQ
はい。キャッシュされたデータでも、データは常に安全です。Intel SRT は、頻繁にアクセスするデータだけをキャッシュするスマートキャッシュコンポーネントです。これはセクター レベルで DE フィルター ドライバによって暗号化されています。
EEPC/DE は、Intel Rapid Start (IRS) をサポートしていますか?
いいえ。IRS では、ソリッド ステート ドライブ(SSD)/ハードディスク ドライブ(HDD)に、ハイバネーション パーティションと呼ばれる特別なパーティション領域が必要です。 このパーティションは、システム メモリの容量以上である必要があります。 このパーティションにはドライブ文字はありません。IRS は、ローパワー S3 ステートを提供し、S3 の DRAM にステートを保存する代わりに、メモリの内容を SSD の専用のパーティションに書き出します。 BIOS は SSD との間でフラッシュ動作を行うため、EEPC はコンテンツを傍受して暗号化することはできません。 したがって、DRAM 上の重要なデータは、暗号化されずにディスクに書き込まれます(これは、S3 にのみ影響し S4 ステートには影響しません)。
はい。ただし、オフライン アクティベーションが可能な新しい DE 7.1 機能では、ePO に接続しなくても DE 7.1 をアクティベーションできます。 システムが ePO との通信に成功すると、クライアントがオンライン モードに移行します。ePO で管理されていないシステムのみが、Active Directory に接続する必要なく、暗号化されたままとなります。オフライン アクティベーションの FAQ も参照してください
DE 7.1 クライアントを管理するために Active Directory が必要ですか?
はい。現在、ePO 4.6 には Active Directory 専用の LDAP サポートが含まれています。
グループまたはユーザなどのオブジェクト名が Active Directory で変更された場合、割り当てられたユーザは ePO データベースから削除されますか?
いいえ。オブジェクト名の変更は、LdapSync の次の実行時に検出されます。ユーザーとグループ間の同期タスクが実行され、ePO 内で更新されます。 次の ASCI では、ユーザー オブジェクト名の変更はすべてクライアントに同期されます。
いいえ。この機能を無効にすることをお勧めします。暗号化されたディスクを自動修復することにより、誤ってオペレーティング システムファイルが破壊され、永続的なブートの問題が発生する可能性があります。旧バージョンの Windows では、修復を開始する前に、システムを修復するかどうかを聞かれましたが、Windows 8 は問題が見つかるとすぐに自動修復を起動し、暗号化されたデータの破壊を防ぐ余地はほとんどありません。 Windows 8 の自動修復の無効化について詳しくは、KB76649 の技術情報を参照してください。
DE 7.1.x は Windows 8 BitLocker を検出して DE のアクティベーションを停止しますか?
はい。DE は、DE のアクティベーション中に Windows 8 BitLocker を検出して、BitLocker が有効な場合は、DE のアクティベーションを停止します。
DE 7.1.x はハイブリッド ドライブをサポートしていますか?
ハイブリッド ドライブが他のドライブと同じようにオペレーティング システム(OS)に提供されている場合は、サポートされます。 ドライブが OS への標準ドライブとして存在しない場合、どれがブート パーティションであるかを DE が判断できない可能性があるため、DE はそサポートできない可能性があります。
注:ハイブリッド ドライブには、ソリッド ステート デバイス(SSD)キャッシュを使用して操作を高速化するプラッタ技術があります。
EEPC 7.x/DE 7.1 は Windows Server 2012 をサポートしていますか?
Windows Server 2012 R2 のサポートは、DE 7.1 Patch 1(7.1.1)で導入されました。
Windows Server 2012(R2 以外)のサポートは、DE 7.1 Patch 3(7.1.3)で導入されました。
DE 7.1.x は WinPE 4 をサポートしていますか?
McAfee では、WinPE 3 と同じユースケースで WinPE 4 の使用を検証しました。
DE は、ソリッド ステート ドライブをサポートしていますか?
はい、SSD は物理的なディスクを完全にエミュレーションしているためです。
ePO サーバーがダウンすると、エンドポイントには何が起きますか?
製品がインストールされて有効化されている場合は、クライアントはキャッシュされたポリシーのコピーを使用して動作します。クライアントが ePO サーバーと通信できるようになるまでは、追加のポリシーの更新やユーザーの割り当ては行われません。製品がまだインストールされていない場合は、ePO サーバーが再度立ち上がるまでは、製品の有効化ができません。
Novell eDirectory はサポートされていますか?
いいえ。この機能を含めるよう製品改善リクエストを提出するには、関連する情報のセクションをご参照ください。
Open LDAP はサポートされていますか?
いいえ。詳細については、記事 KB73550 を参照してください。
DE 7.1.x クライアントは Microsoft BitLocker と互換性がありますか?
いいえ。同一のシステム上で実行している Microsoft BitLocker や、他のフルディスク暗号化またはセクター レベルの暗号化ソフトウェアと互換性がありません。
DE 7.1.x は Microsoft Encrypted File System(EFS)と互換性がありますか?
はい。DE は EFS と共に使用できます。それは、それぞれ別のレベルで動作し、やり取りがないためです。 EFS はファイル レベルで暗号化し、DE はセクター レベルで暗号化します。
JAWS for Windows スクリーン リーダー ソフトウェアを、視覚障害者のために、プリブート クライアントでサポートする計画はありますか?
いいえ。JAWS は Windows のみのソフトウェア製品であり、プリブートの認証時点では、Windows が起動していないため、動作しません。
どのバージョンの Drive Encryption がOpal ドライブをサポートしますか?
DE 7.1.x は、TCG(Trusted Computing Group)Opal v1.0 仕様をサポートしています。 DE と Opal ドライブの詳細については、この記事の「Opal ドライブのサポート」を参照してください。
Opal eDrive とは何ですか? また、DE 7.1.x はこれをサポートしていますか?
Opal eDrive はシングル ユーザー モードで動作し、OS によって管理される Opal バージョン 2.0 ドライブです。
DE 7.1.x は eDrive をサポートしていません。
目次に戻る
- EEPC 7
EEPC 7.0.x でインストールされたシステムは DE 7.1 にアップグレードできます。ただし、EEPC 拡張ファイルを EEPC 7.0 Patch 2(7.0.2)または Patch 3(7.0.3)にアップグレードする必要があります。
Drive Encryption 7.1 製品ガイド(PD24867)の詳細な手順に従ってください。マニュアルの訂正は KB79912 を参照してください。- EEPC 6
EEPC 6.1.2 以降を使用している場合は、最初にすべての拡張ファイルを EEPC 7.0 Patch 2 または Patch 3 にアップグレードする必要があります。 EEPC 6.1.2 以降を実行しているクライアント システムは、直接 DE 7.1 にアップグレードできます。EEPC 7.0 Patch 2 または 3 の拡張ファイルがチェックインされた ePO のインストールは、直接 DE 7.1 にアップグレードできます。EEPC 6.1.x または 6.2.x クライアントを DE 7.1 にアップグレードする前に、詳細について KB81522 を確認することを強くお勧めします。
Drive Encryption 7.1 製品ガイド(PD24867)の詳細な手順に従ってください。- EEPC 5
EEPC 5.2.x がインストールされたシステムは、直接 DE 7.1 に移行できます。
Drive Encryption 7.1 製品ガイド PD24867 の詳細な手順に従ってください。マニュアルの訂正は KB79912 を参照してください。
どのレガシー バージョンの EEPC が DE 7.1 に移行できますか?
DE 7.1 に直接移行を実行できるレガシー バージョンは、EEPC 5.2.6、5.2.12、5.2.13 です。
EEPC 6.x を実行している場合、何をする必要がありますか?
EEPC 6.1.2 以降を使用している場合は、最初にすべての拡張ファイルを EEPC 7.0.2 または 7.0.3 にアップグレードする必要があります。DE 7.1 アップグレード プロセスを開始する前に、EEPC 6.1.2(またはそれ以降)のクライアントをアップグレードする必要はありません。
EEPC 6.1.x または 6.2.x クライアントを DE 7.1 にアップグレードする前に、KB81522 で詳細を確認することを強くお勧めします。
Drive Encryption 7.1 製品ガイド(PD24867)の詳細な手順に従っていることを確認してください。また、対応するマニュアル訂正の記事 KB79912 で、製品ガイドの内容の更新と訂正についても確認する必要があります。これは、EEAdmin 7.0.4 拡張ファイルのインストールも必要とするプロセスである、DE 7.1へのアップグレードに必要な手順を説明しています。
以前の DE 7.1 バージョンがすでにインストールされている場合、DE 7.1.x の最新バージョンにアップグレードするには、どのような手順を実行する必要がありますか?
DE 7.1.1 などの以前のバージョンがインストールされていて、それ以降の DE 7.1.x バージョンにアップグレードする場合は、次の手順を実行します。
- LDAPSync タスクが実行されていないことを確認します。実行されている場合は、完了するまで待機します。
- アップグレードを開始する前に、すべての LDAPSync タスクを無効にします。
- DE 7.1.3 拡張ファイルをインストールします。
- DE 7.1.3 エージェントと PC ソフトウェア パッケージをチェックインします。
- すべての LDAPSync タスクを再度有効にします。
- DE 7.1.3 ソフトウェア パッケージをクライアント システムに配備します。
- 配備タスクの完了後、クライアント システムを再起動します。
すべてのクライアントで McAfee Agent(MA)のバージョンをアップグレードする必要がありますか?
最小限のサポートされている MA バージョンがない場合に限ります。 DE 7.1.x でサポートされているMAの最小バージョンを確認するには、KB79422 を参照してください。
アップグレード プロセスが複雑な理由は?
新しい LDAPSync およびユーザー ディレクトリ機能を処理するために新しく導入された ePO の機能と相互依存関係があるためです。
DE 7.1.x でサポートされる ePO の最小バージョンは?
ePO 4.6.7 および ePO 5.1.0.
DE 7.1.x を実行するために最新の ePO リリースにアップグレードする必要があるのはなぜですか?
これは、ePO 4.6.7 と ePO 5.1.0 で初めて実装された、新しい LDAPSync とユーザー ディレクトリの機能を利用する唯一の方法であるためです。
ユーザー ディレクトリを使用しない場合も、ePO 4.6.7 または 5.1.x にアップグレードする必要がありますか?
はい。この機能を使用するかどうかに関わらず、ePO のバージョンをアップグレードする必要があります。
この新しいユーザー ディレクトリ構造を使用すると、ユーザー データを更新する必要がありますか?
はい。既存のユーザー データがある場合は、ユーザー データ アップグレード プロセスを実行して、既存のユーザー データをすべて新しい内部構造にアップグレードする必要があります。
ユーザー ディレクトリに関するビデオは、次の場所にあります: https://communitym.trellix.com/videos/1700EEPC 7.0.4 EEAdmin 拡張ファイルが DE 7.1 リリース パッケージに含まれているのはなぜですか?
LDAPSync とユーザー ディレクトリの変更により、既存の暗号化関連ユーザー データが新しい構造に移行する必要があります。 EEPC 7.0.4 には、既存のデータを新しい構造に移動するユーザー データ アップグレードというタスクが含まれています。
これは ePO 拡張ファイルのみですか? それとも、クライアントのアップグレードにも含まれていますか?
これは ePO 拡張ファイルのみです。 EEPC 7.0.4 ではクライアントの必要は更新はありません。EEPC クライアントの以前のバージョンを実行しているクライアントを管理する機能に、この EEPC 7.0.4 拡張ファイルと下位互換性がありますか?
はい。7.0.4 ePO 拡張ファイルがインストールされている場合は、既存の EEPC 7.0.x または 6.x クライアント(EEPC 6.1.2 以降)を管理してレポートできます。 ただし、何らかの理由でユーザー データ アップグレード タスクが失敗し、ePO 4.6.7 または 5.1 へのアップグレードが完了しない場合にのみ、この状況が続きます。
この EEPC 7.0.4 EEAdmin 拡張ファイルでサポートされる ePO のバージョンは?
ePO バージョン 4.6.4 から 4.6.7 および ePO 5.0.1 から 5.1 です。ただし、EEPC 7.0.4 EEAdmin 拡張ファイルの主な機能とタスクは、ePO 4.6.7 と ePO 5.1.x でのみ機能します。EEPC 7.0.4 拡張ファイルを使用可能な期間は?
できるだけ短い時間です。 ユーザー データのアップグレードを実行する間のみ、EEPC 7.0.4 拡張ファイルを使用します。 アップグレードが完了したらすぐに DE 7.1 にアップグレードする必要があります。
最初に EEPC 7.0.4 EEAdmin 拡張ファイルをチェックインせずに DE 7.1 に移行しようとするとどうなりますか?
まず、ePO バージョンでは動作しないため、DE 7.1 拡張ファイルのインストールは失敗します。 次に、既存の ePO 拡張ファイルでは暗号化がサポートされないため、ePO を最小バージョンに更新できません。 さらに、ユーザー データ アップグレード タスクを正常に実行していないことが検出されるため、アップグレードすることができません。 EEPC 7.0.4 EEAdmin 拡張ファイルは、DE 7.1 にアップグレードするための必須の手順です。
ユーザー データ アップグレードとは何ですか?
ユーザー データ アップグレードは、既存のすべての暗号化ユーザー情報を新しい LDAPSync およびユーザー ディレクトリの内部構造に移行するサーバー側のプロセスです。
なぜこれを実行する必要がありますか?
既存のユーザー データは、ユーザー ディレクトリと LDAPSync 拡張ファイルによって使用される新しいデータ構造に更新する必要があります。 これは、DE 7.1 にアップグレードする前に完了する必要がある 1 回限りのプロセスです。
どの ePO バージョンでユーザー データ アップグレードを実行できますか?
ePO 4.6.7 および ePO v5.1.x でのみ実行できます。以前のバージョンの ePO に EEPC 7.0.4 拡張ファイルをインストールすることは可能ですが、ePO サーバーを ePO 4.6.7 または ePO 5.1.x にアップグレードするまで、このタスクを実行することはできません。
EEPC 7.0.4 EEAdmin 拡張ファイルをチェックインした状態でユーザー データ アップグレードを実行することはできますか? それとも、以前のバージョンの EEPC でタスクを実行できますか?
いいえ。この機能は 7.0.4 EEAdmin 拡張ファイルでのみ使用でき、タスクは ePO 4.6.7 または 5.1 でのみ実行できます。
これは ePO のみのタスクですか? あるいはクライアントで何かする必要がありますか?
これは ePO のみのタスクです。 このタスクでは、SQL Server の内部構造の周辺のデータを移動するだけのソフトウェアが実行されます。 データは新しい構造に移動され、完成前に正確さと完全性が検証されます。
これを実行するには ePO サーバーを停止する必要がありますか?
いいえ、動作中の ePO サーバー上で実行できます。
ユーザー データ アップグレードの実行所要時間は?
それはデータ ベースにあるユーザー情報の量によって異なります。 およその所要時間:
- 2,000 ユーザーでは約 5 分、
- 10,000 ユーザーでは約 8 分 です。
注:パフォーマンスは、SQL Server の仕様と現在のワークロードによって異なります。これらの値は、i5 プロセッサーと 4 GB の RAM を搭載したテストシステムから得られたものです。 所要時間に影響を与える可能性のあるその他の項目には、シングル サイン オン(SSO)データやセルフリカバリ データなどの他のユーザー トークン データが含まれています。
ユーザー アップグレードで問題が発生したかどうかを確認する方法は?
ePO サーバー タスク ログには、アップグレード タスクの実行の失敗ステータスが表示されます。 また、同じタスクの失敗ステータスの監査ログ エントリも表示されます。 EEPC 7.0.4 EEAdmin 拡張ファイルを元に戻すことはできませんが、既存の EEPC クライアント システムは、EEPC 7.0.4 EEAdmin 拡張ファイルをインストールして管理することができます。
失敗した場合、ユーザー データ アップグレードを再実行できますか?
はい。失敗した場合、自動的にデータをロールバックして、すべてのユーザー関連機能を自動的に再度有効にします。 正常に完了するまで、必要な回数実行することができます。
ユーザー データ アップグレード タスクの実行中にユーザー関連の暗号化操作を実行することはできますか?
いいえ。ユーザー データ アップグレード タスクが実行されている間は、ePO ではすべてのユーザー関連のアクションが無効にされます。
ユーザー関連のアクションがいつ有効になりますか?
ユーザー データ アップグレード タスクが正常に完了し、ePO 拡張ファイルが DE 7.1 にアップグレードされた場合にのみ有効になります。失敗してデータ操作がロールバックされると、ユーザー関連のアクションも有効になります。
ユーザー データ アップグレード タスクの実行中に ePO で無効にされるものは他にありますか?
以下が適用されます。
- 新しいユーザーは、ローカル ドメイン ユーザーの追加の処理がされません。
- ユーザー関連の作業(新しいパスワードやその他の関連ユーザー トークン情報)は実行されません。
- ユーザー関連の WebAPI も無効にされます。
ただし、以下は引き続き利用できます。
- マシン キーのエクスポート
- チャレンジ/応答(マシンのみ)
- ユーザー以外の回復機能(AMT または AMT 以外)
ユーザー データ アップグレード タスク中に、クライアントに変更の影響がありますか?
クライアントは次の影響があります。
- クライアント上にある受信した既存のポリシーは引き続き強制されます。
- ユーザー データ アップグレード タスクが実行されている間、新しいポリシーがクライアントに送信されますが、強制はされません。
- 新しく取得したパスワードやその他のトークン データは、アップグレード タスクの実行中は ePO に送信されず、他のシステムに伝播することはできません。
注:リカバリの場合、セルフリカバリと同様にコンピューターのリカバリは可能ですが、パスワードをリセットするためのチャレンジ/応答は利用できません。
この間にクライアントまたは ePO で上記のいずれかを試みるとどうなりますか?
これらのクライアント アクションはすべて普通に失敗するか、ePO ユーザー インターフェースで無効にされるかブロックされます。
新しい ePO サーバーをセットアップ中で、DE クライアントを移動させる予定です。これはサポートされていますか?
はい。これは DE 7.1.3 でサポートされています。
任意のバージョンの EEPC または以前のバージョンの DE では、システムをある ePO サーバーから別の ePO サーバーに転送すると、システム上のユーザー割り当てとユーザー トークン データが移行先サーバーのデータに置き換えられ、ユーザーの割り当てが失われ、プリブート環境でユーザー資格情報が変更される可能性があります。
DE 7.1 Patch 3(7.1.3)は、ユーザー割り当てとユーザー データを保持したままシステムを 1 台の ePO サーバーから別の ePO サーバーに転送できる新しいメカニズムを ePO 管理者に提供します。 この機能が有効になっている場合、DE 7.1.3 システムはサーバーの変更を検出し、新しい DE 7.1.3 管理サーバーがユーザーを新しい管理サーバーのコンテキスト内のシステムに自動的に割り当てるよう要求します。 割り当てが成功すると、システムはユーザー トークン データを新しい管理サーバーに送信します。 システム転送プロセスで失敗したシステムは、直観的なレポートを経由して送信先サーバー上で強調表示されます。
このシステム転送プロセスを詳細に説明する個別の DE 7.1.3 クライアント システム転送ガイドが、リリースには含まれています。 詳細については、PD25905 を参照してください。
目次に戻る
DE に適用される、以前に利用可能な EEPC インストールに関する FAQ
DE 7.1 にアップグレードする際には、クライアントを復号して再度暗号化する必要がありますか?
いいえ。アップグレード プロセスは、古いエージェントから新しいエージェントにキーを転送するように設計されています。これはマカフィーが実行する通常のアップグレード方法です。(Endpoint Encryption 4 から 5 へのアップグレードも同様に動作しました。)
1 台の ePO サーバーから別のサーバーへの DE ユーザーとシステムの移行を自動化することはできますか?
完全な機能を保証するためにサポートしている唯一の方法は、新しいサーバー システム上で ePO データベースのバックアップを復元することです。 自動移行は現在利用できません。
サーバーからサーバー キー、ユーザーおよびシステムへの転送を自動化するには、製品改善リクエスト(PER)を提出してください。 製品改善リクエストを提出するには、以下の関連する情報のセクションをご参照ください。
インストール処理中に、同じデフォルト パスワードを使用するすべてのユーザーを回避するために使用できる方法は?
次の 2 つの方法があります。
- DE ポリシーを介して、デフォルトのパスワードを使用することができます。 これにより、ユーザーは選択したパスワードを入力するよう促されます。
- UBP が割り当てられているユーザーに対して異なるデフォルト パスワードを定義する、異なるユーザー ベース ポリシー(UBP)を持つポリシー割り当てルールを使用します。
いいえ。この機能を含めるよう製品改善リクエストを提出するには、関連する情報のセクションをご参照ください。
Drive Encryption に VirusScan ウイルス対策の除外項目を追加する必要がありますか(以前のバージョンの EEPC 5.x と同様)
いいえ。DE には異なる機能があります。 ウイルス対策の除外は必要なくなりました。
目次に戻る
新しい機能に関する FAQ は、DE 7.2.0 のみに適用されます。
DE 7.2.0 では、Intel Software Guard Extensions(SGX)をどのように利用していますか?
Intel SGXは Intel アーキテクチャーの拡張ファイルで、第 6 世代の Intel Core プロセッサー プラットフォームとともに導入されており、インバース サンドボックス メカニズムを介してソフトウェアのセキュリティを強化するように設計されています。このアプローチでは、プラットフォーム上のすべての潜在的な脅威や攻撃を特定して分離するのではなく、脅威の特権レベルにかかわらず、正当なソフトウェアを密閉空間内に密封してそのような脅威から保護することができます。Intel SGX と Drive Encryption を併用することで、SGX をサポートするシステムのパフォーマンスに影響を与えずに、適切なポリシーを適用して、メモリ ベースの攻撃(コールド ブート攻撃など)に対する保護をさらに向上します。
DE 7.2.0 で SGX を有効にする方法は?
DE が、利用可能な SGX を使用できるようにするには、DE 7.2.0 をターゲット システムに導入する前に SGX のサポートを有効にする必要があります。
この新機能の技術的な要件の詳細については、KB87256 を参照してください。
新しい機能に関する FAQ は、DE 7.1 以降にのみ適用されます。
BIOS が RAID を使用するように設定されている場合、DE はコンピューターでサポートされますか?
一般に、DE は、そのコンピュータの BIOS がディスクを認識できる限り、RAID モードで動作します。
注:
- レガシー/MBR BIOS モードでは、DE は Int13 呼び出しを使用してコンピューターのハードディスク(HDD)にアクセスします。
- UEFI(Unified Extensible Firmware Interface)モードでは、DE はシステムの入出力プロトコルに依存しているため、DE は BIOS の SATA モードには依存しません。 唯一の注意点は、ディスクが OPAL または自己暗号化ドライブ(SED)HDD である場合、DE には独自のコントローラー ドライバーがあり、BIOS に依存しないため、ハードディスク アクセスでは DE を AHCI(Advanced Host Controller Interface)モードに設定する必要があります。
注:この警告は、OPAL または SED ドライブのハードウェア暗号化にのみ適用され、OPAL HDD がソフトウェア暗号化に設定されている場合には適用されません。
USB ポート経由で接続されたリムーバブル メディア ストレージ デバイスを暗号化することは可能ですか?
いいえ。DE は、SATA ポートを介して検出された場合にのみドライブを検出し、暗号化します。
ユーザー ディレクトリとは何ですか?
これにより、ePO で管理されている DE が、管理対象外のドメイン以外のユーザーを持つシステムにまで拡張されます。 DE は、Active Directory で管理されているユーザーに加えて、これらの ePO 管理対象のユーザーを起動前認証に活用できるようになりました。ユーザー データは、Active Directory から同期され、ePO でローカルにキャッシュされます。 これにより、ePO から Active Directory への継続的な双方向通信が不要になり、ユーザー ベースのポリシー チェックのパフォーマンスが大幅に向上します。
このユーザー ディレクトリは Active Directory の依存関係を削除しますか?
はい。
管理者として、ユーザー ディレクトリを有効にするために何か特別な作業を行う必要がありますか?
はい。ユーザー ディレクトリ拡張ファイルをインストールする必要があります。 ePO 4.6.7 または ePO 5.1.0 では、ePO の前提条件が満たされていれば、DE 7.1.x にアップグレードする前または後にこれを行うことができます。
DE はユーザー ディレクトリを使用する唯一の製品ですか? または他のマカフィー製品でも使用できますか?
現在は DE だけが使用していますが、他のマカフィー ポイント製品は将来使用することができます。
ユーザー ディレクトリに関する詳細情報はどこで参照できますか?
コミュニティに公開されているビデオを参照してください:EEPC 5.x のスタンドアロン ユーザーとユーザー ディレクトリのユーザーの間に概念的な相違はありますか?
いいえ、概念的には同じです。
EEPC 5.x スタンドアロン ユーザーをユーザー ディレクトリに移行することはできますか?
はい。ユーザー ディレクトリにユーザーを作成することはできますか?
はい。
ユーザー ディレクトリのユーザーを削除、無効化、編集することはできますか?
はい。
ユーザーを無効にした後、再度有効にすることはできますか?
はい。
証明書をユーザーに割り当てることはできますか?
いいえ。
証明書をユーザーに割り当てる必要があるのはなぜですか?
一例は、PKI ベースのスマートカードを使用する場合です。
組織単位(OU)をユーザー ディレクトリに作成できますか?
はい。
OU でユーザーの追加または削除ができますか?
はい。
ユーザーが 2 つ以上の OU に所属できますか?
いいえ。
ある OU から別の OU にユーザーを移動できますか?
はい。
OU は階層構造にできますか?
はい。
OU を選択すると、その OU を構成するすべてのユーザー(ネストされた OU を含む)が表示されますか?
サブ OU のすべてのユーザーを表示できますが、ネストされたすべての OU は表示されません。 識別名から、各ユーザーのサブ OU を確認できます。
ePO 権限に関しては、各管理者がユーザー ディレクトリで実行できるアクションを指定または制限できますか?
ePO では、権限は権限セットにグループ化されています。 ユーザーは各権限セットに割り当てられます。 管理者が異なる権限セットに割り当てられている限り、異なる権限を持つことができます。
どのレベルの ePO 権限にユーザー ディレクトリを指定できますか?
ユーザー ディレクトリは、読み取り/書き込みおよび読み取り専用のアクセス許可をサポートしています。 読み取り専用アクセスを許可したり、すべてのアクセス許可を取り消したりすることを除き、特定のアクションへのアクセスを制限することはできません。
DE の使用に関して、EEPC 7.0 と DE 7.1 で同じ方法でユーザーを管理しますか?
ワークフローはまったく同じです。 ワークフローの観点からは違いはありません。
ユーザーを管理する際に、Active Directory かユーザー ディレクトリかに関係なく、すべてのユーザーの一覧が表示されますか?
はい。
ユーザーに暗号化関連のアクションを実行する場合、そのユーザーが Active Directory またはユーザー ディレクトリのいずれからであるかは重要ですか?
いいえ。両方のワークフローは同一です。
プリブート認証のために、ユーザー ディレクトリのユーザーや OU をコンピューターに割り当てることはできますか?
はい。
ユーザーがユーザー ディレクトリで無効になっているとどうなりますか?
Active Directory 内のユーザーが無効にされた場合と同じです。
ユーザーがユーザー ディレクトリで削除されているとどうなりますか?
Active Directory 内のユーザーが削除された場合と同じです。
スクリプトに関して、ePO Web API は「User:Machine assignments」のために変更されますか?
いいえ。
ユーザー ディレクトリ内のアクションはスクリプト作成が可能ですか?
はい。
Trusted Platform Module(TPM)自動ブートとは何ですか?
TPM 自動ブートは、ハードウェアが存在する場合は TPM を使用してキーを保護することにより、従来の自動ブート機能を強化する DE 7.1 の新機能です。
TPM 自動ブートと従来の自動ブートとの違いは?
従来の自動ブートは、システムのセキュリティを提供しません。 ディスクを暗号化するために使用されるキーは、平文でディスクに書き込まれます。 TPM 自動ブートは、鍵を平文ではなく TPM で暗号化して保護します。
TPM はどのように鍵を保護しますか?
キーは、システム状態が変更されていない場合にのみ TPM によって解読することができます。 システム状態が変更された、または新しい TPM チップが存在する(たとえば新しいマザーボードの場合)と TPM が判断する場合は、キーを復号化しません。 キーを復号化できない場合、自動ブート機能は失敗し、プリブート認証が表示されます。
TPM 自動ブートでは、システムは自動的に起動を続行しますか?
はい。ただし、TPM がすべてが正しいと判断する場合に限ります。 このような状況では、ユーザーにはプリブート環境が表示されず、単に Windows が起動します。
TPM 自動ブートに最小要件はありますか?
はい。最小要件は以下のとおりです。
- DE 7.1 は、TPM 2.0 システム上の TPM 自動ブートのみをサポートします(すべてのコネクト スタンバイ システムは TPM 2.0 をサポートします)。 注:TPM 1.2 の古いシステムはこの機能をサポートしません。
- DE 7.1 Patch 1(7.1.1)は、TPM 1.2 チップセット(UEFI システムのみ)のサポートを追加します。
- TPM 所有者のキーは、Active Directory 内ではなくローカルで管理する必要があります。
- システムは、OEM の UEFI 実装(コネクト スタンバイ システムの要件)に TPM UEFI プロトコルを含める必要があります。
TPM 自動ブートのポリシー設定は何ですか?
ポリシー オプションは、「自動ブート用のユーザー TPM:」というタイトルの下にあります。次の 3 つのオプションがあります。
- なし - ディスク キーが平文でディスクに書き込まれます。 これはオリジナルの自動ブート機能です。
- 使用可能な場合 - システムに使用可能な TPM がある場合は、TPM を使用して鍵を暗号化します。 使用可能な TPM がない場合、または使用できない場合、システムに存在する TPM は、元の自動ブート機能に従って、ディスクに平文で書き込まれたキーを保持します。
- 必須 - 自動ブートは、システムに使用可能な TPM がある場合にのみ機能します。 DE プリブート環境は、TPM を持たないシステムに表示されます。
TPM 自動ブートをリアクティブな自動ブートと組み合わせて使用できますか?
はい。
TPM 自動ブートとリアクティブ自動ブートを新しいコネクト スタンバイのサポートと組み合わせて使用し、コールド ブート攻撃機能に対してシステムを強化できますか?
はい。
TPM が鍵を解読できない場合はどうなりますか?
プリブート環境が表示され、ユーザーに認証を要求します。 TPM が疑わしい場合は、システムを自動的に起動せず、代わりにプリブート環境を表示して認証を待ちます。
マザーボードを変更したり、ブート手段を変更したりすると、ユーザーにはプリブート認証画面が表示されます。この場合ユーザーはどうすれば良いですか?
ユーザーがこのような状況に陥った場合、Windows にアクセスするためにチャレンジ/応答リカバリを実行する必要があります。
有効なプリブートのユーザー資格情報がわかっている場合、ユーザーは簡単に認証して Windows で起動できます。 ただし、ユーザーがこの自動ブート モードに入っているため、有効なユーザー資格情報を知っている可能性は低いです。
ユーザーが Windows を使用中、何かする必要がありますか?
いいえ。ユーザー、サポート担当者または管理者は何もする必要はありません。 製品は新しい情報を使用してキーを自動的に再暗号化し、通常のブート動作がその時点から再開されます。
キー暗号化するのに TPM を使用する以上のことをしていますか?
はい。起動パスの測定もしています。 システムが起動するたびに、そのデータを TPM にハッシュします。 これは、起動パスが変更されていない場合にのみ、TPM がキーを復号化することを意味します。つまり、TPM 自動ブートによってディスクがロック解除されると、別の起動パスでブートすることはできません。 起動時に別の起動オプションが選択された場合、自動ブート機能は失敗し、プリブートが表示されます。
TPM 自動ブートはどのように動作しますか?
TPM は、システムが予め定義された状態にある場合にのみ、暗号化されたデータを解読することができる封印メカニズムを提供します。 システムの起動時に、ファームウェアとすべての起動コンポーネントが TPM によって測定されます。 測定は、TPM レジスタに格納されたハッシュを、実行しようとしているコードで拡張することで構成されています。 測定はファームウェアで実行され、バイパスすることはできません。 効果的に、TPMは、システムが封印されたときと全く同じ状態にある場合にのみ、キーの解読を可能にします。 どのような小さな変化があっても、失敗します。
Windows の更新で Microsoft が Windows ブート ローダを更新するとどうなりますか?
これは、ブート測定が変更されたことを意味します。 その結果、TPM は鍵を復号化できず、回復プロセス(ヘルプデスクへの電話)を実行して、システムが正常に起動するようにする必要があります。
DE プリブートもブートパスにあるので、これをアップデートするとどうなりますか?
管理者が新しいバージョンの DE(HotFix、パッチ、または新しいバージョン)をロールアウトし、DE プリブート EFI アプリケーションを更新すると、ブート測定値も変更されます。
Windowsの更新シナリオと同様に、DE が更新をプッシュすると、ユーザーがシステムにアクセスするにはヘルプデスクに電話する必要がありますか?
はい。
新しいスマートフォン機能(Endpoint Assistant)を使用してこれに対処したり、ヘルプデスクの電話をかけたりすることはできますか?
いいえ。Endpoint Assistant は、パスワード リセットの使用例でのみ使用できます。
プりブートでより多くのユーザーを処理できるようになりましたか?
プリブート環境は、プリブート認証中に目立つほどのパフォーマンス低下なしに 5,000 人を超えるユーザーをサポートするように改良されました。 以前の制限は、プリブート時の最大ユーザー数は 250 人でした。 すべてのユーザーがデスクトップを共有するように安全にプロビジョニングできるようになり、これによりすべてのユーザーが任意のシステムを使用できます。
プリブート認証に割り当てられるユーザー数の推奨値は何人ですか?
一般的な推奨事項は変更されていません。 プリブート認証には最低限のユーザーのみを割り当てる必要があります。
5,000 人のユーザーがコンピューターのプリブートでログインできるようにすると、ペナルティはありますか?
はい。アクティベーションでは、5,000 人のユーザーに関するすべての情報をダウンロードする必要があるため、時間がかかります。 ユーザー情報の同期に時間がかかり、ePO サーバーの負荷が増大します。また、ユーザー情報を含む他のアクションは、処理に時間がかかります。 その例として、マシン情報にはユーザー情報も含まれるため、クライアントにマシン情報を保存するケースがあります。
これは ePO サーバーのスケーラビリティに影響を及ぼしますか?
はい。ePO サーバーは、すべての情報が最新であることを確認するために、エージェント-サーバー間通信間隔(ASCI)ごとにさらに多くの作業を実行します。
100 台のシステムがあり、それぞれに 5,000 人のユーザーが割り当てられているとどうなりますか?
最も一般的なものであるパスワードを変更するとします。 ユーザーにとって、これは 1 つのシステムでキャプチャされ、ePO にアップロードされ、ePO と同期するときに他の 99 台のシステムにプッシュされます。90 日ごとにパスワードを変更するようにユーザーを強制すると、5,000 人のユーザーがパスワードを更新します。 これは、システムが ePO と同期するために、ePO サーバーがさまざまな時に処理する必要がある更新が 50 回(5,000 ユーザー × 100 システム)になることを意味します。
増加する余分なネットワーク トラフィックはありますか?
はい。これらはすべてネットワーク上で処理されます。 個々のユーザーデータは小さい(通常は< 20 KB)が、トランザクション数で乗算されます。いずれかのシステムのリンクが遅い場合、すべての変更を受け取るまでにかなりの時間がかかる可能性があります。 サーバーが多くのクライアントのユーザー更新を処理している場合、ネットワーク トラフィックもかなりの量になります。 あまり快適ではない環境では、同期期間内にすべての更新を受け取ることはできません。
DE は、コールド ブート攻撃に対してどのようにシステムを防御していますか?
この新しい DE 機能の概要では、新しいコネクト スタンバイ モードをサポートできる最新の Windows プラットフォームで、ユーザーに iPad のようなエクスペリエンスが提供されるということです。 これらのシステムは常にパワーオン状態にあり、暗号化キーは常に RAM に格納されているため、RAM から暗号化キーを消去できる メモリ スクラブ攻撃の影響を受けやすくなります。DE は、エンドユーザーのネイティブの Windows エクスペリエンスのバックグラウンドで動作することができます。 デバイスがコネクト スタンバイ状態になると、DE は暗号化キーを RAM から消去し、Intel ハードウェア強化システム上のセキュア領域に移動しコールド ブート攻撃およびメモリ スクラビング攻撃を防ぎます。デバイスがアクティブ状態に移行すると、Windows へのユーザー認証が成功した後、暗号化キーが透過的に RAM に戻されます。
コールド ブート攻撃とは何ですか?
コールド ブート攻撃とは、システムの電源が入っているときやスタンバイ状態のときに、たとえシステムが Windows のパスワードで保護されていても、機密データをシステム メモリから取得する方法です。 この攻撃は、システムをハード ブートするか次回起動する際に、システム メモリをスキャンして機密情報を検出する小さなプログラムを実行するか、電源が入っているシステムから RAM を削除し、別のシステムに変換してスキャンします。
DE 7.1 は、コールド ブート攻撃に対してどのようにシステムを防御していますか?
システムがスタンバイ モードに移行すると、DE 7.1.x はメモリからキーを削除します。 これは、コネクト スタンバイ時にはまだアクセス可能な安全な場所に保管されます。 システムは、エンドユーザーの期待どおり、引き続き機能します。しかし、キーはもはやメモリに格納されていないため、システムはコールド ブートスタイルの攻撃に対して脆弱性が低くなります。
キーがメモリから完全に削除されることをマカフィーは保証していますか?
この機能により、メモリ スタイルの攻撃に対してシステムが強化されます。 キーがメモリから確実に削除されるようにあらゆる努力がされていますが、Windows がメモリを管理するために、キーが完全に削除されることは保証できません。 今後のリリースでは、さらに強化が行われます。
AOC とは何ですか?
AOAC(Always On, Always Connected)は、常時オン、常時接続を意味します。 Microsoft はこれをコネクト スタンバイと呼び、Intel はスマート コネクトと呼んでいます。 それらは基本的にすべて同じ高レベルの機能を意味します。 システムを低電力スリープ モードにして定期的にデータ(電子メール、Facebook アップデートなど)を取得し、スリープ モードに戻すことができます。 携帯電話の仕組みと似ていると考えられます。
AOAC によってフルディスク暗号化にはどのような変化がありますか?
フルディスク暗号化は、歴史的には静的なデータ(システムの電源がオフのとき)の保護でした。 さまざまな企業が AOAC 機能を導入し、ユーザーはシステムに常に最新のコンテンツがあることを期待しています。
システムのスリープ時は、データは常に静的状態ですか?
いいえ。AOAC モデルでデータは、決して静的状態にはなりません。 システムの電源は切られていません。スタンバイ状態にあるだけです。 AOAC モデルでは、以下の理由からディスクがロック解除されたままである必要があります。
- システムは、定期的にまたはプッシュ通知によりスリープ解除されます。
- アプリケーションおよびサービスは、このスリープ解除中にディスクにアクセスする必要があります。
AOAC モデルに問題はありますか?
AOAC モデルでは、システムとサービスがディスクにアクセスできる必要があります。 これは、ディスクの暗号化キーが常にメモリに残っていることを意味します。 これにより、AOAC をサポートするシステムはコールド ブート スタイルの攻撃を受けやすくなります。これは、キーが常にメモリ上にあるためです。 システムは電源OFFにはならず、スタンバイ状態にあるだけです。
DE 7.1.x は AOAC モデルをサポートしていますか?
はい。コネクト スタンバイによってサポートを提供しています。 このコネクト スタンバイ モードの間、Windows ログインは、不正アクセスからデータを保護するために使用されます。
この機能を有効にすると、AOAC とコネクト スタンバイはすべて機能しますか?
はい。
プリブートや自動ブート機能でこの機能を使用することはできますか?
この機能は、認証方法に関係な動作します。 ただし、マカフィーでは次のいずれかを使用することを推奨しています。
- プリブート
- 自動ブートが選択されている場合は、TPM 自動ブートとリアクティブ自動ブートを有効にするか、または Intel の Active Management Technology と統合します。
この機能を使用すると、どのような場合にキーがメモリからなくなりますか?
キーは、次のいずれかのイベントが発生したときにメモリから削除できます。
- システムの電源がオフの場合。
- ユーザー ログがオフの場合。
- ユーザーがワークステーションをロックしている場合。
- システムが Windows のログイン プロンプトでユーザーの認証を待機している場合。
- システムがスタンバイまたはスリープから復帰した後。
これを判断するもう 1 つの方法は、ユーザーが認証され、デスクトップにいる場合、そのキーはメモリ中にあるということです。 ユーザーが認証されていない場合、またはデスクトップにいない場合、キーはメモリにありません。
注:管理者は、ポリシーを使用して、キーを削除する必要がある条件を選択できます。
キーはどのような条件でメモリに戻されますか?
ユーザーが Windows に正常に認証された後のみです。 単に Windows を実行させても、キーはメモリに戻されません。
キーがメモリにないときは、そのキーはどこに格納されていますか?
キーはメモリ以外の安全な記憶域に保持されます。
メモリ内のキーを処理するドライバは複数ありますか?
いいえ。ただし、2 つのモードのいずれかで動作します。 2 つのモードは次のとおりです。
- 標準暗号モード
- 高セキュリティ暗号モード
- 暗号化キーが RAM 上に保存されています。
- RAM ベースのコールド ブート スタイルの攻撃に対して安全ではありません。
- パフォーマンスのために高度に最適化されています。
- 以前の EEPC 7.x リリースに実装されたものと同じアルゴリズムを使用しています。
- AES256-CBC 暗号化アルゴリズムの新しい実装を使用します。
- 暗号化キーは RAM 以外の安全な場所に保存されます。
- RAM ベースのコールド ブート スタイルの攻撃の影響を受けません。
- パフォーマンスにかなりの影響があります。
- この状態では、ポリシー施行は無効になります。
暗号化アルゴリズム AES256 で使用されるキーの長さは?
使用されるキーの長さは 128 ビットです。
ドライバーは 2 つのモードをいつ切り替えますか?
これはポリシーによって定義されます。 例として、システムが次の場合、DE 7.1 は高セキュリティ暗号モードに切り替えできます。
- ロック中
- ログオフ後
- スタンバイ モードに移行後
いつ標準暗号モードに戻りますか?
ユーザーが Windows に対して正常に認証されると、標準暗号モードが再開されます。
高セキュリティ暗号モードでは、パフォーマンスに影響がありますが、ユーザーがシステムを積極的に使用していない場合、この問題はありますか?
いいえ。高セキュリティ暗号モードが有効な場合、ディスクへのアクセス時にコネクト スタンバイからの更新が遅くなります。 ただし、ユーザーはその時点でシステムを積極的に使用していないため、一般的にはユーザーには顕著ではありません。
ディスクを集中的に使用してワークステーションをロックし、後で復帰すると、動作が遅くなることはありますか?
はい。ワークステーションをロックし、キーがメモリにない高セキュリティ暗号モードでシステムが実行されているため、タスク実行時のパフォーマンスが低下します。
これは、高セキュリティ暗号モードで起動時間が遅くなることを意味しますか?
はい。最初の起動から、ユーザーが Windows に正常に認証されるまで、キーはメモリに保存されません。 タブレットを使用している場合は、完全にシャットダウンすることはほとんどないため、このような経験をすることは多くありません。
高セキュリティ暗号モードでは、これはセキュリティ対パフォーマンスのトレードオフですか?
はい。セキュリティは大幅に向上しますが、このトレードオフがあります。 重要なことは、ユーザーがシステムを積極的に使用している場合は、通常のフル パフォーマンスが得られることです。 ユーザーがパフォーマンスに影響を受けるのは認証が行われていない期間だけです。
ドライバーが高セキュリティ暗号モードを使用しているとき、どのようなパフォーマンスへの影響がありますか?
生のアルゴリズムの性能の比較は以下のとおりです。64 ビット AES-NI 対応プロセッサ:
- 標準暗号モード = 1 CPU クロック サイクル/バイト
- 高セキュリティ暗号モード = 15 CPU クロック サイクル/バイト
32 ビット AES-NI 対応プロセッサ:
- 標準暗号モード = 35 CPU クロック サイクル/バイト
- 高セキュリティ暗号モード = 133 CPU クロック サイクル/バイト
注:上記のテストでは割り込みが無効な状態で実行されているため、実際は上記の生のアルゴリズムよりもはるかに高い影響を受ける可能性があります。これを別の方法で見ると、純粋に例としては、システムが標準暗号モードで 208 Mb/秒のスループットを経験していた場合、高セキュリティ暗号モードでは 20Mb/秒に低下する可能性があります。この高セキュリティ暗号モード機能を使用するためのハードウェア要件はありますか?
はい。この情報は、KB79291 を参照してください。
注:システムはコネクト スタンバイをサポートする必要があり、Clover Trail タブレットまたは Haswell システムである必要があります。
この機能は TPM 自動ブートと組み合わせて使用できますか?
はい。
「コネクト スタンバイ」と「スマート コネクト」に違いはありますか?
はい。スマート コネクトは、定期的にシステムを起動させ、通知を取得するためにサーバーにダイヤルするドライバを備えているという意味で、古いテクノロジー/デザインです。 コネクト スタンバイは、システムが CPU 上で新しい電源の状態に入る新技術です。コネクト スタンバイには新しいハードウェアが必要です。スマート コネクトには必要ありません。 したがって、古い CPU とハードウェアを搭載した Windows 7 システムでスマート コネクトを使用することができます。 技術的は、スマート コネクトはスリープ状態である電源状態 S3 を使用します。 コネクト スタンバイは、CPU の異なる状態である電源状態 RTD3 を使用します。
コネクト スタンバイとは何ですか?
コネクト スタンバイは本当のスリープ モードではありません。 新しい電源状態で実行され、サーバーから通知を受け取ることができるいくつかのサービスが実行されたままになります。 したがって、ハードウェア要件があり、Windows 8.x システムでのみ使用できます。
コネクト スタンバイのハードウェア要件は?
次のハードウェア要件がすべて満たされている場合、Windows 8 はコネクト スタンバイを利用します。
- この規格をサポートしていることを示すファームウェア フラグ。
- ブート ボリュームは、回転ディスクを使用することはできません。
- すべてのネットワークデバイスによる NDIS 6.30 のサポート。
- コネクト スタンバイ時の受動的冷却機能。
注:追加のセキュリティ固有の要件があります。たとえば、コンピューターからのメモリの取り外しによるコールド ブート攻撃を防ぐためにメモリをマザーボードに半田付けすること、およびセキュア ブートのサポート。
DE で暗号化されたディスクのパーティションを変更できますか?
いいえ。既に暗号化されているディスクのパーティションを変更することはできません。 ディスクのパーティションを変更する前に、ディスクを完全に復号化して DE をアンインストールする必要があります。
目次に戻る
DE に適用される、以前に利用可能な EEPC の機能に関する FAQ
いいえ。 大容量の HDD に移行するには、最初に HDD を復号化し、クローンを作成してから再暗号化する必要があります。
パーティションにドライブ文字を割り当てずに、そのパーティションを暗号化できますか
いいえ。
DE で暗号化されたハードディスク パーティションのサイズを大きくすることは可能ですか?
いいえ。ドライブ全体が暗号化されているときにはパーティション ディスク領域を増やすことはできません。 ディスクが暗号化されている間に MBR(Master Boot Record)を変更しようとするとディスクが使用できなくなります。 詳細については、KB60647 を参照してください。
暗号化されたシステムのリモート ワイプを実行することは可能ですか?
いいえ。 プリブートにはネットワーク機能がありません。
UEFI(Unified Extensible Firmware Interface)のブート プロセス GPT ディスク パーティショニング セキュア ブート ハイブリッド ブート Windows 8 モダン ユーザー インターフェース (UI) Windows 8 タブレット
はい。ご使用のシステムの設定と機能に応じて、Windows 8 は新しい UEFI ブート プロセスまたは従来の BIOS ブート プロセスのいずれかで起動する機能をインストールします。
いいえ。パーティショニング メカニズムが変わるため、Windows 8 を完全に再インストールする必要があります。
Windows 8 と DE 7.1 のリリースにより、現在、2 種類の DE プリブート環境が存在することになりますか?
はい、DE 7.1.x には、UEFI ブート プロセスを処理するプリブートと BIOS ブート プロセスを処理するプリブートがあります。 DE インテリジェント クライアントでシステムがどちらのブート プロセスを使用するように設定されているかを調べ、インストールが必要なプリブートを決めます。 このため、管理者は DE をシステムに配備して、適切なプリブートが自動的にインストールされることを知ることができます。
DE の Windows 8 への配備は、旧バージョンの Windows とは異なりますか?
いいえ。EEPC の配備はオペレーティング システムに関係なく同じです。
DE 7.1 はモダン ユーザー インターフェース (UI) を使用しますか?
いいえ。Windows がロードされた後、デスクトップでのみ利用できる Windows 8 の DE UI のみがトレイ ステータス モニターです。 モダン UI では使用できません。
自動ブートは、DE によって提供される保護を効果的にバイパスするアカウントで、ユーザーにはプリブート認証画面を表示しません。
リアクティブ自動ブート とは何ですか?
リアクティブ自動ブートは、Widows および OS X に既に存在する従来の自動ブート機能の拡張機能です。自動ブートモードと同様にドライブは暗号化されますが、ユーザーにはプリブート画面は表示されず、直接 OS が起動します。
従来の自動ブートと違い、リアクティブ自動ブートには追加の機能が 1 つあります。 この機能が有効になっていると、製品は Windows の認証要求を監視します。エンド ユーザーが指定された認証失敗の最大数を超えると、リアクティブ自動ブートが自動的にプリブート認証を有効にして、自動ブートを無効にし、すぐにコンピュータを再起動します。 その後、ユーザーはドライブ上の OS とデータにアクセスする前に、プリブート認証を通過する必要があります。この機能により、管理者が指定した特定の条件に基づいて、認証プロセスを自動的に 自動ブート (ロックされず、安全でない) からプリブート (ロックされて、安全) に移行できます。
リアクティブ自動ブートを有効にする方法は?
リアクティブ自動ブートはデフォルトでは有効になっていません。 リアクティブ自動ブートを有効にするには、製品のポリシー設定「ログオンまたはロック解除が <n> (1-10) 回失敗した後、システムを無効にして再起動する (Windows のみ、Vista 以降)」を選択して、ログオンまたはロック解除の許容失敗回数を指定する必要があります。次にこのポリシーをリアクティブ自動ブート機能が必要なシステムに割り当ててください。
リアクティブ自動ブートを使用する良い例としてはどのような場合がありますか?
組織内のあらゆるユーザーがアクセスする必要がある共有システムを暗号化したい場合があります。その結果、特定のユーザーまたはユーザーのグループをプリブート認証に割り当てることができません。そのような、自動ブートを使用して展開しなければならない場合に、リアクティブ自動ブートが許容できるソリューションになることがあります。
リアクティブ自動ブートはクライアント側のみの機能ですか、それとも ePO サーバーで何らかの応答が発生しますか?
この機能はクライアントのみの機能です。次の同期時に監査イベントが ePO にアップロードされますが、ePO サーバーはこの機能に応答しません。
リアクティブ自動ブートは Windows のみの機能ですか、それとも OS X でも動作しますか?
これは Windows のみの機能です。 現在のところ、Mac OS X ではリアクティブ自動ブートは提供されていません。Apple の変更により、EEMac Management of Native Encryption(MNE)に置き換えられました。 詳細は、KB79375 を参照してください。
どのバージョンの Windows でリアクティブ自動ブートは動作しますか?
この機能は、Windows Vista 以降で利用できます。Windows XP では動作しません。
リアクティブ自動ブートで設定されたシステムでドライブは暗号化されますか?
はい、暗号化ポリシーでそのように定義されていれば、暗号化されます。ただし、自動ブートが有効になっている場合は認証が有効でないため、データは保護されません。
リアクティブ自動ブートを使用するときに失敗した試行の最大数を指定できますか?
はい。ePO 管理者がポリシーで指定できます。 最小値は 1 で最大値は 10 です。
すべての Windows 認証に対してリアクティブ自動ブートが適用されますか?
はい、Windows のログオンとロック解除の両方の試行に適用されます。
リアクティブ自動ブートを使用している場合、Windows ユーザーがワークグループ ユーザーであるかドメイン ユーザーであるかは問題になりますか?
いいえ。
リアクティブ自動ブートはソフトウェア暗号化と Opal の両方で動作しますか?
はい。
リアクティブ自動ブートを一時的自動ブートと併用できますか?
いいえ。リアクティブ自動ブートは、自動ブートが常に有効になっている場合にのみオプションとして使用できます。
リアクティブ自動ブートが有効になっている場合、ユーザーはどのようなことを経験しますか?
エンド ユーザーがコンピュータを起動するときに、直接 Windows を起動します。自動ブートは、プリブート認証がないことを意味します。 ユーザーは直接 Windows ログオンに進みます。常に Windows 認証に成功すると仮定した場合、ユーザーの経験は変わりません。
リアクティブ自動ブートを使用する場合、Windows 認証試行の失敗の最大回数を超えた場合のエンド ユーザーの経験はどのようなになりますか?
ユーザが指定された認証試行の失敗回数を超えると、以下のような状態になります。
プリブート認証が自動的に有効になり、自動ブートが無効になります。 Windows のシャットダウンが不安定になり、システムが再起動されます。 コンピュータが再起動すると、プリブート認証画面が表示され、ユーザーは Windows にアクセスするために認証に成功する必要があります。
リアクティブ自動ブートを使用していて、ユーザーが誤って認証に失敗した (さらに認証試行の失敗の最大回数を超えた) 場合、システムが再起動する前に、作業内容を保存する時間はありますか?
いいえ。システムは攻撃を受けているとみなして、できるだけすばやくロックダウンします。
プリブート認証が表示された場合、ユーザーは Windows にアクセスするために何をしなければなりませんか?
Windows にアクセスするには、ユーザーは、プリブート画面で認証するか、標準のリカバリ メカニズムのいずれかに進む必要があります。
リアクティブ自動ブートで、定義された最大試行失敗回数を超えた場合、ユーザーは Windows の資格情報を使用して認証するか、セルフリカバリを使用し、プリブートをパスして Windows にアクセスできますか?
システムが常に自動ブートモードで動作している場合、つまりプリブート認証に成功する DE ユーザーが割り当てられていない可能性がある場合は、利用できません。
DE ユーザーが割り当てられていて、ユーザーが DE ログイン資格情報を知っている場合は、利用できます。
ユーザーが定義された試行失敗の最大回数を超える場合、チャレンジ/応答リカバリを使用して、システムから Windows にアクセスできますか?
はい。この場合、これはすべてのユーザーが利用できるオプションです。
リアクティブ自動ブートを再度有効にし、プリブート認証を無効にして、前のワークフローに戻るにはどのようにすればいいですか?
ユーザーは、プリブートで認証に成功するか、必要なリカバリ プロセスに進んで Windows にアクセスする必要があります。 Windows がロードされて、DE サービスが開始されると、リアクティブ自動ブートは自動的に再度有効になります。
Windows 認証試行の失敗により無効になったシステムでリアクティブ自動ブートを再度有効にするために、管理者は何らかの操作を行う必要がありますか?
いいえ。クライアントがシステムを再起動して、Windows にアクセスした後、リアクティブ自動ブートは自動的に再度有効になります。 システムは、自動ブートを再度有効にするために ePO と通信する必要はありません。
リアクティブ自動ブートイベントが監査され、この機能により ePO 管理者がプリブート認証を有効にしたシステムを知ることができますか?
はい。イベント 30070:“Automatic Booting Deactivated – Exceeded maximum failed logons" が ePO サーバーに送られますが、これは次回 Windows への認証が成功した後および ePO への接続が可能な場合だけです。
注: システムが攻撃を受けているとみなされる場合、システムは自動ブートを無効にして再起動します。ePO にイベントを送信する時間はないため、ePO は実装時にロックダウンを認識しません。
Intel AMT 組み込みとリアクティブ自動ブート「Location Aware」のユースケースを使用できますか?
理論上は使用できますが、これらの機能の組み合わせは、2 つの大きな理由から意味がありません。まず 1 番目に、リアクティブ自動ブートが有効になっている間、AMT 機能はプリブートで使用されません。システムは直接 Windows を起動するからです。 2 番目に、セキュリティおよびユーザービリティの面からは、AMT 機能と「Location Aware」のユースケースを使用して、システムが安全で認証された Windows の起動を実行できるようにする方が適切です。 この機能を有効にしている場合、これはリアクティブ自動ブートに比べてはるかに安全なソリューションです。
リアクティブ自動ブート機能でプリブートを有効にしている場合に、AMT を使用して、エンドユーザーからのヘルプデスクへの電話をなくしたり、減らしたりするという方法はどうでしょうか?
この方法でヘルプデスクに電話をかける必要性が少なくなったり、なくなったりして、適切なプリブート環境を継続できるかもしれませんが、それでもヘルプデスクに電話をかける必要がある場合はあります。 さらに重要なことに、AMT 機能はサーバーによって自動プリブート認証が提供されることを要求してデータのセキュリティを提供します。これに比べて、自動ブートにはプリブート認証がなく、データのセキュリティは提供されません。
AMT 統合とリアクティブ自動ブートの両方を使用すると、ユーザーは Windows に直接アクセスして認証を受けることができます。ユーザーが何度も認証に失敗し、システムをプリブートで再起動したい場合はどうなりますか?
これらの方法ではエンド ユーザーの経験は同じように見えますが、バック エンドに違いがあります。 リアクティブ自動ブートは、クライアントに既にある暗号情報を使用して Windows を起動する安全でないソリューションです。 Intel AMT の統合は、ePO と通信して、Windows を起動する権限を要求し、そのために必要な暗号情報を受け取る安全なソリューションです。
リアクティブ自動ブートを使用するクライアント システムでは、プリブートで AMT 機能は使用されません。 ユーザーが繰り返し認証に失敗した場合、リアクティブ自動ブートによってプリレブートが有効になり、システムが再起動されます。 プリブートは AMT を使用して、ePO と通信し、ブートの許可を受け取ります。ePO が応答しなかったり、否定応答を返す場合、ユーザーは AMT のない従来のリアクティブ自動ブートと同じ状況になります。 システムは Windows で起動しているため、ユーザーは Windows ログオン画面に戻り、リアクティブ自動ブートが有効になります。 Windows でユーザーが無効にされるまで、ユーザーは間違ったパスワードを入力し続けます。 このケースでは、ヘルプデスクに電話しなければならない場合があります。 リアクティブ自動ブートはクライアント側の動作で、ePO サーバーとの通信はなく、この機能が失敗したログイン試行に応答するときに、サーバーと通信する時間はありません。
高速初期暗号化(セクターにのみ使用)とは何ですか?
高速初期暗号化は、システム上に DE 製品をインストールして、通常の環境では数時間かかるのに対して、数分で暗号化を実行する機能です。
高速初期暗号化はどのように動作しますか?
高速初期暗号化は停電をなくし (これにより、停電やハードシャットダウンの場合のデータの消失を防ぎます)、ハードウェアで可能な限りの初期暗号化を実行します。また、現在使用されているセクタだけを暗号化します。
高速初期暗号化の動作は DE 7.1 やそれ以前のリリースの動作とどのように違いますか?
従来、この製品は現在使用中のシステムを暗号化することを前提にしています。 この製品はエンドユーザーの経験に優先順位を付けて、エンド ユーザーの毎日のルーチン ワークへの影響を最小限に抑えます。 これにより、ユーザーは暗号化中も作業を継続できるというメリットがあり、停電やハード シャットダウンからも保護されます。この標準の配備では、製品が暗号化ポリシーで指定されたボリューム/パーティションのすべてのセクターを暗号化するため、暗号化プロセスが完了するまでの時間が長くなります。 データを含まないブランクのセクターも暗号化されます。
高速初期暗号化を使用する場合、使用済みセクターのみ暗号化するにはどうすればいいですか?
この製品はオペレーティング システムにファイル システムがどのセクターを使用しているかを問い合わせます。次に暗号化ポリシーで指定されたボリューム/パーティション内で使用中というフラグの付いたセクターのみを暗号化します。新規インストールでは、これは通常、ディスクの合計サイズの小さなサブセットです。
新しいデータをディスクに書き込むとどうなりますか?
新しいセクターが使用されると、それらのセクターは暗号化されます。
高速初期暗号化の対象となるユースケースは何ですか?
この機能のユースケースは、新規インストール/イメージ化されたシステムの初期暗号化です。このシステムは、IT 技術者のデスク上にあり、エンドユーザーが使用することはありません。オフライン アクティベーション FAQ の「社内プロビジョニング」または「サードパーティによるプロビジョニング」を参照してください。
いいえ。DE 7.1 の Windows のみで利用可能です。Apple の変更により、EEMac 製品は MNE に置き換えられました。
高速初期暗号化はどこで有効にすることができますか?
オフライン アクティベーション プロセスの一部としてご利用いただけます。オフライン アクティベーションの FAQ も参照してください。
高速初期暗号化を標準のアクティベーション プロセスとして使用できますか?
いいえ。
いいえ。高速初期暗号化を明示的に有効にする必要があります。
オフライン アクティベーション パッケージの一部として高速初期暗号化を有効にするには、どうすればいいですか?
次の 2 つのオプションがオフライン アクティベーション パッケージに追加されています。
-
SkipUnused(デフォルト値は無効)
-
DisablePF(デフォルト値は無効)
オフライン アクティベーション パッケージがビルドされず、プロセスが失敗します。パッケージをもう一度再ビルドして、正しく「Yes」と入力するか、パッケージから「Used Sectors Only」オプションを削除します。
高速初期暗号化を有効にする場合、「使用済みセクターのみ」を使用するときに「はい」と入力する必要があるのはなぜですか?
これにより、免責事項を読み、この機能の使い方を理解していることが確認されます。「使用済みセクターのみ」に関する注意事項をよくお読みください。
いいえ。Opal ドライブは技術的に常に暗号化されているため、Opal ドライブでは高速初期暗号化を使用する必要はありません。 DE アクティベーション プロセスでこのドライブのメカニズムをロックすることができます。 現在、Opal ドライブは Inactive から Active に移行し、わずか数分で完全に暗号化されます。オフライン アクティベーションの FAQ も参照してください。
通常のハードディスク ドライブ(HDD)やソリッド ステート ドライブ(SSD)で高速初期暗号化を使用できますか?
はい、使用できます。ただし、使用済みセクターのみに関する注意事項をよくお読みください。
SSD の動作方式により、SSD の方が大きな影響を受けます。一部の SSD で報告されているパフォーマンスの問題の詳細については、KB66256 を参照してください。
ハードディスクが暗号化されている最中にコンピュータを再起動することはできますか?
2 つのシナリオがあります。
- 高速初期暗号化の使用中および DisablePF 機能が有効な場合は、再起動できません。この条件下でシステムを再起動すると、 データ損失につながる可能性があります。
- フルディスク暗号化(FDE)を使用すると、再起動が可能です。 FDE では、コンピューターが再起動すると暗号化が継続されます。 ただし、ディスクの暗号化処理が完了する前にコンピューターをシャットダウンすると、静的データが完全に保護されないことがあります。
使用済みセクターのみ オプションを使用する場合、ディスク上に暗号化されていないセクターがあることを意味するのでしょうか?
はい。このオプションでは、製品はオペレーティング システムの状態が使用中のセクターだけを暗号化します。 その他のすべてのセクター(空白)は、以前に削除された機密データを含んでいても、使用されるまでは暗号化されない状態のままになります。 通常の操作中に書き込まれる新しいセクターは、暗号化された状態で書き込まれます。
この機能は、企業の機密データがディスクに書き込まれる前に使用できます。
以前に企業の機密データを含んでいた HDD または SSD で使用済みセクターのみを使用する場合、どのような推奨事項がありますか?
以前に企業の機密データを含んでいたディスクでこの機能を使用しないでください。ボリューム/パーティション/ディスク全体が暗号化されます。
DE がサポートする最大の HDD サイズは?
BIOS または UEFI がサポートしているすべてのサイズを DE はサポートします。BIOS は技術的には 2.2TB に制限されており、UEFI は 9.4ZB に制限されています。
UEFI の制限の詳細は、http://www.uefi.org/sites/default/files/resources/UEFI_Drive_Partition_Limits_Fact_Sheet.pdf を参照してください。
DE で完全に暗号化されていた古いドライブをリサイクルするときに[使用済みセクターのみ]オプションを使用する場合、どのような推奨事項がありますか?
この機能は、機密データを含んでいたすべてのドライブが以前に暗号化されていた場合には、継続して使用できます。 この条件が満たされない場合、マカフィーでは、この機能を使用しないこを推奨します。
別の暗号化製品で暗号化されていた古いドライブをリサイクルするときに[使用済みセクターのみ]オプションを使用する場合、どのような推奨事項がありますか?
マカフィーはサードパーティ製品のセキュリティを保証することはできません。この機能を使用しないことをお勧めします。
高速初期暗号化(使用済みセクターのみ)を使用する場合のパフォーマンスの向上を示すデータを提供されますか?
はい、KB77844 を参照してください。
「Power-failure Protection」を有効にした状態でも通常またはオフライン アクティベーションを実行して、使用中のセクターだけでなく、すべてのセクターを暗号化できますか?
はい。高速初期暗号化を明示的に有効にする必要があります。 高速初期暗号化を有効にしていない場合、アクティベーションの標準プロセスおよび初期暗号化が使用されます。
Power-failure Protection オプションを無効にして、使用済みセクターのみの暗号化機能を使用することができますか?
はい。この 2 つのオプションの任意の組み合わせを選択できます。ただし、リサイクルしたドライブ(ダーティ ディスク)で「使用済みセクターのみ」の暗号化を使用するとセキュリティの問題が発生する可能性があるため、このオプションを無効にしても構いません。 使用済みセクターのみ に関する注意事項をよくお読みください。
UEFI とは何ですか?
UEFI(Unified Extensible Firmware Interface)は、パーソナル コンピュータの次世代のファームウェア インターフェースを定義します。もともとアセンブリで作成され、I/O のソフトウェア割り込みを使用する BIOS(Basic Input and Output System)ファームウェアは当初から PC エコシステムを定義していますが、コンピュータ環境の変化により、次世代のタブレットやデバイスの先駆けとなる最新のファームウェア定義に向けての新たな道が開けました。
UEFI の主なポイント:
UEFI はチップセット、ハードウェア、システム、ファームウェアおよびオペレーティング システム ベンダーの集まりである UEFI フォーラムで管理されています。このフォーラムでは、多くの UEFI コンピュータで利用できる仕様、テスト ツール、リファレンス実装を維持しています。 UEFI の目的は、ブート プロセス中にオペレーティング システムでプラットフォームのファームウェアと通信する標準的な方法を定義することにあります。UEFI 以前は、ブート プロセス中にハードウェアと通信する主要なメカニズムはソフトウェア割り込みでした。最新の PC ではハードウェアとソフトウェア間のブロック I/O をより高速かつ効率的に実行でき、UEFI ではハードウェアの機能をフルに活用する設計が可能です。 UEFI では、ハードウェア設計者やシステム設計者が最新のコンピュータ環境の要求の増大に合わせて、ファームウェアをより柔軟に設計できます。I/O はソフトウェア割り込みによって制限されていましたが、UEFI はイベント ベースのアーキテクチャに依存しないコーディング基準を推進します。
UEFI の実装方法は、すべてのベンダーで同じですか?
いいえ。UEFI の実装方法は、ハードウェア ベンダーごとに異なります。UEFI の実装方法に応じて、Opal ドライブのサポートに必要なプロトコルの欠如からネイティブ UEFI モードで動作するときに DE によって使用されるプリブート環境で提供される USB サポートまで、広範囲の問題に直面してきました。
どのバージョンの UEFI で EEPC をサポートしていますか?
DE 7.1 で UEFI バージョン 2.3.1 以降をサポートしています。
どのバージョンの Windows で UEFI ブートプロセスをサポートしていますか?
Windows 7(64-bit)および Windows 8(32-bit および 64-bit)システムで UEFI ブート プロセスをサポートしています。
UEFI ブート プロセスを備えたシステムは MBR パーティション分割したディスクで作動しますか?
いいえ。UEFI 環境でブートするには、Windows に GPT 呼ばれるディスク パーティショニング用の新しいメカニズムが必要です。
DE はアプリケーションをプリブートしますか?
はい。UEFI をオペレーティング システムのようなものだと考えると、DE プリブートは UEFI ネイティブのアプリケーションになります。 この比較では、BIOS プリブート バージョンが OS それ自体になります。どちらの場合も、DE プリブートを最初に実行して、認証に成功した後で、暗号化キーをロードして、ブート プロセスを続けることができます。 UEFI の世界では、ユーザーが DE プリブートで正しく認証すると、DE プリブート アプリケーションは単純に終了して、チェーン内の次のアプリケーションを実行できます (従来の OS ブート ローダー)。
エンドユーザーは BIOS ベースのプリブートを使用しているか、UEFI プリブートを使用しているかを知ることができますか?
いいえ。この 2 つのプリブート環境は見かけも動作もまったく同じです。エンドユーザーが UEFI プリブート環境と BIOS プリブート環境の違いを見分けることはできません。
UEFI ではすべて同じトークンとリーダーがサポートされていますか?
はい。次の例外を除いて、サポートされているトークンとリーダーはすべて BIOS と UEFI の両方で動作しなければなりません。
すべてのバイオメトリック トークン SafeNet の eToken USB トークンDrive Encryption 7.1.x で認証のためにサポートされているトークンを確認するには、KB79787 を参照してください。
Drive Encryption 7.1.x で認証のためにサポートされているリーダーを確認するには、KB79788 を参照してください。
タッチスクリーン デバイスはすべて UEFI でサポートされていますか?
UEFI をさらにオペレーティング システムに似たものだと考えれば、OEM がデバイスに含まれるハードウェア用のドライバを提供する必要があります。UEFI の場合、プリブートはシンプル ポインタ プロトコル(Simple Pointer Protocol)とアブソリュート ポインタ プロトコル(Absolute Pointer Protocol)の両方をサポートしています。該当するすべてのタッチスクリーンでこれらのプロトコルのいずれかまたは両方が実装されることが期待されます。UEFI 実装のメーカー/OEM がこれらのメカニズムのいずれかの実装dできなかっできなかった場合、タッチスクリーン デバイスのサポートは保証されません。
注:マカフィーは独自の社内テストで、OEM のすべての UEFI 実装に必ずしも実際にこれらのインターフェースが実装されているわけではないことに気がつきました。これらの事例では、システムへの UEFI 実装の作成者が UEFI 仕様のセクションをそのままにしています。
Opal ドライブは UEFI でサポートされますか?
UEFI システム上での Opal 自己暗号化ドライブのサポートは、製造時に Opal 自己暗号化ドライブに適合した Windows 8 ロゴ準拠システムでのみ利用できます。メーカーから Opal ドライブなしで出荷された Windows 8 以前のシステムまたは Windows 8 システムに Opal ドライブを取り付ける場合、UEFI 環境での Opal 自己暗号化ドライブのサポートは提供されません。これは、自己暗号化ドライブが出荷時に装備される場合にのみ、Opal 管理に必要な UEFI セキュリティ プロトコルが必須となるためです。このセキュリティ プロトコルがない場合、Opal 管理はできません。
UEFI ブート プロセスを備えたシステムにはさまざまなリカバリ ツールがありますか?
はい。別のブート プロセスなので、さまざまなブート プロセスを処理するための異なるリカバリ ツールが必要です。
それは、DETech も UEFI アプリケーションであるという意味ですか?
はい。UEFI ブート プロセスを備えたシステムでリカバリに使用される DETech アプリケーションがあります。
注:(従来の)BIOS DETech ツールは、UEFI ブート システムでは使用できません。
GPT ドライブは UEFI と連携します。それらもサポートされますか?
はい。DE 7.1 の UEFI プリブートは、GPT ドライブをサポートします。 GPT ドライブは、ブート ディスクまたはセカンダリ ディスクとしてサポートされます。
BIOS プリブートで GUID パーティション テーブル(GPT)ドライブもサポートできますか?
Windows 7
ブート ディスクとしてはサポートされません。セカンダリ ディスクとしては、サポートされます。さらに、GPT モードでセカンダリ ドライブをサポートするかどうかは OS により異なり、DETech(スタンドアローン)の大容量ディスクをサポートする BIOS でそれらのディスクをリカバリできる必要があります。
Windows 8 以降
DE 7.1.0 以降を使用する Windows 8 では、プライマリおよびセカンダリ GUID パーティション テーブル (GPT) ディスクがサポートされます。
注:
- UEFI ベースのシステムは、プライマリ GPT ディスクからのみブートできます。
- BIOS ベースのシステムは、プライマリ GPT ディスクからブートできません。これらのシステムでは、EEPC 7.0 以降、GPT ディスクのみがセカンダリ ドライブとしてサポートされています。
DETech スタンドアロン バージョンに緊急ブートに対応するより多くの機能が含まれる場合に、DETech WinPE リカバリ メディアを作成して使用しなければならないのはなぜですか?
WinPE バージョンはスタンドアロン バージョンよりもはるかに高速です。WinPE バージョンはまた、暗号化されたハードディスクへのアクセス、Windows の問題の修正、イメージの再作成前のユーザー データの別のドライブへのコピーができるようになりました。 任意の Windows ツールを実行し、ネットワークにアクセスすることもできます。
注:DETech スタンドアロン バージョンは後方互換ではありません。つまり、常に一致する DETech リカバリ メディア バージョンを使用する必要があります。 クライアントに DE 7.1 がインストールされている場合は、DETech 7.1 スタンドアロン リカバリ メディアを作成してリカバリ処理を実行します。
McAfee がユーザーに WinPE リカバリ CD を提供できないのではなぜですか?
有効な Microsoft ライセンスが必要なためです。
セキュア ブートとは何ですか?
セキュア ブートは UEFI で実現されている機能ですが、Microsoft 社が x86(Intel)PC 専用の機能として指示しているものです。Windows 8 ロゴ ステッカーを貼ったシステムは必ずセキュア ブート対応です。
UEFI にはセキュア ブートと呼ばれるファームウェア検証プロセスがあり、UEFI 2.3.1 仕様第 27 章で定義されています。セキュア ブートは、プラットフォームのファームウェアで、セキュリティ証明書、ファームウェアの検証、ファームウェアとオペレーティング システム間のインターフェース(プロトコル)の定義を管理する方法を定義します。セキュア ブートは、チェーン内の次のモジュールをロードして実行する前に検証して、デジタル署名前に変更されていないことを保証する UEFI を起動するルーツを作成します。 セキュア ブート アーキテクチャとこのアーキテクチャによる信頼のチェーンの確立によって、オペレーティング システムそのものがロードされる前に署名済みの認定された「既知の優良な」コードとブート ローダーのみを実行できることを保証することにより、ユーザーはブート プロセスで悪質なコードの実行から保護されます。
DE 7.1.x はセキュア ブートをサポートしていますか?
はい。
これは、DE が署名され、セキュア ブート プロセスがそれを信頼していることを意味しますか?
はい。
セキュア ブートは Windows 8 BIOS ベースのシステムで動作しますか?
いいえ、セキュア ブートは UEFI ベースのシステムでのみ動作します。
ハイブリッド ブートとは何ですか?
旧バージョンの Windows では、従来のシャットダウンはユーザー セッション、サービスおよびデバイスを終了し、完全なシャットダウンを準備するカーネルも終了していました。 Windows 8 ではユーザー セッションは終了しますが、カーネル セッションを終了する代わりに、Windows 8 がそれをハイバネーションします。その結果シャットダウンと起動が高速になります。
DE 7.1.x はハイブリッド ブートをサポートしていますか?
はい。ただし、初期リリースの EEPC はハイブリッド ブートをサポートしません。
シングル サイン オン(SSO)はハイブリッド ブートで動作しますか?
はい。以前の EEPC リリースとは異なり、DE はハイバネーションからの復帰で SSO をサポートします。
従来から EEPC ではハイバネーションからの再開に時間がかかりました。DE 7.1.x のハイブリッド ブートは遅くなりますか?
DE 7.1 にはパフォーマンスのすべての領域にまたがる拡張機能が含まれています。 これらの機能は、AES-NI 対応プロセッサとの組み合わせでのみ最高のパフォーマンスを発揮します。 社内テストでは、DE のハイブリッド ブートを使用した暗号化ブート時間と非暗号化ブート時間を比較しました。
Windows 8 タブレットとは何ですか??
Windows 8 タブレットは、Windows 8 を実行でき、Windows 8 の実行用に認定されたタブレット スタイルの装置です。Windows 8 タブレットには、次の 2 種類の主なカテゴリがあります。
Intel プロセッサ ベースのタブレット ARM プロセッサ ベースのタブレット
Windows RT(従来は ARM 上の Windows と呼ばれていた)は、Windows 8 の ARM デバイス用のバージョンです。Microsoft Office 2013 RT と Internet Explorer 10 を除いては、Windows 8 のモダン UI 用に書かれたソフトウェアのみが Windows RT 上で動作します。Win32 API を使用して書かれたアプリケーション(現在のアプリケーションの大半)は Windows RT では動作しません。
DE 7.1.x は ARM プロセッサと Windows RT を使用する Windows 8 タブレットをサポートしますか?
いいえ。
DE 7.1.x は Intel プロセッサを使用する Windows 8 タブレットをサポートしますか?
はい、これらは他の Windows システムのも表示されます。ただし、ユーザーが検討しなければならないいくつかあります。
CPU 機能 タッチスクリーンのサポート
マカフィーでは、マーカーから提供された Windows 8 タブレット デバイスの一部に性能の低いプロセッサが含まれ、また一部に AES-NI 機能がないことを見つけました。ユーザーは、システムが暗号化されたときにエンドユーザーが最適な経験をすることを保証する CPU 機能に気付くはずです。
タブレットでのタッチスクリーン サポートはどうですか?
これはすべてプリブート時のエンド ユーザー認証に関わっています。一部の Windows 8 タブレットにはキーボードが付属するため、問題は生じません。 キーボードのないデバイスの場合、プリブート時にエンド ユーザーがタッチ インターフェースを使用して認証する必要があります。この機能のセクションで、「タッチスクリーン デバイスは UEFI でサポートされていますか?」という質問に対応するコメントをお読みください。
どのバージョンの Windows 8 で Intel ベースのタブレット システムが動作する予定ですか?
技術的にはどのバージョンの Windows 8 バージョンでも Intel ベースのプロセッサが動作します。これは、メーカーがシステムを製造/出荷するときに行なう選択です。
社内プロビジョニング サードパーティによるプロビジョニング ePO に接続することがないリモート システム
オフライン アクティベーションの社内プロビジョニング ユースケースとはどのようなものですか?
システムにオペレーティング システムのインストールが必要であること、すべての会社がアプリケーションを承認したこと、エンド ユーザーに渡す前にシステムを完全に暗号化する必要があることを言明する独自のプロビジョニング プロセスが社内にある場合があります。プロビジョニング時に、デバイスが別の部屋の棚にあるため、ネットワークに接続する必要がない場合があります。
オフライン アクティベーション用のサードパーティのユースケースによるプロビジョニングとは何ですか?
外部のサードパーティにデバイスをプロビジョニングしてもらう場合があります。この場合には、ファイアウォールを解放して、ePO への接続を許可する必要はありませんが、すべてのノートパソコンを納入前に暗号化する必要があるという要件があります。
ePO に接続しないリモート システムのオフライン アクティベーションのユースケースとは何ですか?
遠隔地で使用し、ネットワークには接続しないが、機密データを収集する可能性があるために暗号化が必要なクライアントがある場合があります。McAfee Agent、DE、およびオフライン アクティベーション パッケージのインストールに必要な MSI を含む CD を配布できます。 これらの CD を実行して、EEPC をインストールしてアクティベーションし、システムを暗号化することができます。
オフライン アクティベーションのハイレベル プロセスとは何ですか?
管理者は ePO サーバー上にオフライン パッケージを作成します。このパッケージには、作成が必要な最初のポリシーと「オフライン ユーザー」のリストが含まれます。 パッケージが作成されると、EEPC のインストールに必要な MSI と一緒に必要なクライアントに配布できます。EEPC が正しくインストールされると、オフライン パッケージが実行されて、ポリシーが適用され、実施されます。 これで、プリブート時に「オフライン ユーザー」でログインできます。
はい。これは、このようなシステムを必ずしも ePO で表示する必要がないからであり、これらのシステムを ePO で管理できることを望まないからです。
これは、オフラインでアクティベーションされたスタンドアロンの管理対象外のバージョンの DE システムがあることを意味しますか?
いいえ。オフライン アクティベーションでは、固有のポリシーで暗号化されるスタンドアロンのシステムを作成できる場合があります。ただし、最初のポリシーの施行が完了した後、ポリシーまたはユーザーを更新できません。 ローカル コンソールがなく、ポリシーまたはユーザー情報を更新する方法がありません。ただし、キー リカバリ メカニズムはサポートされます。詳細については、下記のオフライン ユーザー リカバリの FAQ を参照してください。
ePO が製品を配備していない場合、どのようにして製品をインストールするのですか?
オフライン アクティベーションの場合、重要なのは DE をシステムにインストールできることです。 使用するインストール方法 (例えば、エンド ユーザーが実行できる MSI を含む CD/DVD のエンド ユーザーへの配布、またはさらに自動化された方法) は、個別の環境に応じて異なります。
オフライン アクティベーションのためにクライアントに何をインストールする必要がありますか?
以下のものが必要です。
McAfee Agent McAfee Endpoint Encryption Agent DE 管理者が作成したオフライン パッケージ
オフライン アクティベーションでアクティベーションしたシステムを後で ePO に接続できますか?
はい。オフライン アクティベーションでアクティベーションしたシステムは、後でいつでも ePO に接続して管理できます。
オフラインでアクティベーションしたシステムを ePO に接続するとどうなりますか?
プロビジョニング目的でオフライン アクティベーションを実行した場合、システムは 1 点で ePO に接続します。システムが ePO との通信に成功すると、クライアントがオンライン モードに移行します。オンライン モードは、 Agent と McAfee ePO が接続している状態で、通常のインストールと同じ状態になります。
さらに:
施行されたオフライン ポリシーが破棄され、オフライン ユーザーもすべて破棄されます。ePO から最新のポリシーと割り当て済みのユーザー リストを受信し、暗号化キーを ePO に保存します。これは、2 回目のアクティベーションが自動的に実行されたと考えることができます。 重要: 接続前にユーザーが ePO サーバーに認識されていない場合、オフライン情報はすべて破棄されます。オフライン ユーザーが ePO サーバーに認識されている場合、ePO ポリシーが配備されますが、オフライン モードで保存したデータは破棄されません。
いいえ。システムは ePO と通信していないため、システムに関する情報はありません。
デバイスがオフライン アクティベーションでのみアクティベーションされている場合、デバイスが暗号化されたことを証明できますか?
システムが ePO と通信していない場合、ePO には損失または盗難の発生時に監査目的で使用できる情報がありません。システムが ePO と通信して、オンライン モードになると、通常の情報はすべて ePO に存在し、システムの暗号化された状態を証明します。
オフライン ユーザーとは何ですか?
オフライン ユーザーとは、特定のオフライン パッケージにのみ存在し、プリブート認証のために使用されるユーザーです。
オフライン ユーザーは、DE の通常のユーザーとどう違うのですか?
オフライン ユーザーは特定のオフライン パッケージにのみ存在します。これらのユーザーは Active Directory には存在せず、基本的にはこのオフライン パッケージ以外のどこにも存在しません。
ALDU(ローカル ドメイン ユーザーを追加)機能は、オフライン アクティベーションで機能しますか?
いいえ。ALDU は ePO でユーザー/システム割り当てを実行する必要がある 2 ステップのプロセスです。ePO はオフライン アクティベーションで利用できないため、ALDU を完了できず、使用できません。
アクティベーションが完了し、しばらく社外でしばらく利用した後にオフライン ユーザーをオフラインでアクティベーションしたシステムに追加できますか?
いいえ。
オフライン ユーザーのパスワード以外のトークンを使用できますか?
パスワードと自己初期化をサポートするスマートカードは、オフライン アクティベーションで機能します。PKI のみのスマートカードは、ユーザーを認証するために必要な情報を取得するバックエンドがないため、機能しません。バイオメトリックはサポートできません。自己初期化トークンについては、DE サポートトークンの記事 KB79787 で説明しています。
オフライン ユーザーの場合、デフォルトのパスワードで開始できますか?
はい。
オフライン ユーザーがパスワードを忘れた場合、パスワードを回復できますか?
エンド ユーザーはローカルのリカバリ機能を使って、リカバリできます。
管理者がローカル リカバリを無効にした場合、オフライン ユーザーはどうなりますか?
ユーザーはロックアウトされます。使用できるシステム上に別のユーザーがいる場合、それらのユーザーがシステムを起動できます。または、システムを ePO に接続します。ただし、これには Windows を起動できる必要があります。
オフラインのエンド ユーザーがパスワードとローカル リカバリの答えの両方を忘れた場合はどうなりますか?
ユーザーはロックアウトされます。システム上に別のユーザーがある場合は、それらのユーザーがシステムを起動できます。または、システムを ePO に接続します。ただし、これには Windows を起動できる必要があります。
オフライン システムで ePO に接続するときにこれらのオフライン ユーザーに何が起きますか?
オフライン アクティベーションで有効になったシステムが McAfee エージェント、DE、およびオフライン アクティベーション パッケージを生成した ePO サーバーとの通信に成功すると、すべてのオフライン ユーザーを破棄し、ePO に割り当てられたユーザーを提供するように求めます。
Bob という名前のオフライン ユーザーが 1 人と Bob という名前の AD ユーザーが 1 人いる場合、彼がオフラインからオンラインに移行すると、Bob のパスワードはどうなるのでしょうか?
AD ユーザー Bob がシステムに 1 回以上サインインして、ALDU が ePO ポリシーで有効な場合は、Bob はオフライン ユーザー Bob が破棄された後、システムに割り当てられます。
注:この点から AD ユーザー Bob には 2 つの可能性があります。プリブート時に初めてログインする場合、デフォルトのパスワードを使用します。これが初めてのシステムではなく、ePO に既に Bob の資格情報がある場合、ePO のそれらの資格情報がシステム上で使用されます。
このポリシーは、オフライン パッケージ作成ユーティリティへのパラメータで定義されます。
オフライン ポリシーは、ePO で定義されたポリシーとまったく同じですか?
いいえ。ローカル ドメイン ユーザーの追加(ALDU)などの対話が必要なポリシー設定がいくつかあります。 これらのポリシー設定は、オフライン アクティベーションでは使用できません。
オフラインポリシーでどのようなポリシーオプションを設定できますか?
以下のポリシーをオフラインポリシーに利用できます。
デバイス キーのバックアップ リカバリ キーへのパス 一時的に自動ブートを有効にする 自動ブートを有効にする 以前のユーザー名を表示しない シングル サイン オンを有効にする 起動マネージャーを有効にする PBFS サイズ Opal PBFS サイズ ユーザーにパスワードの変更を要求する ユーザー名は Windows のログインユーザー名と一致しなければならない セルフリカバリを有効にする ユーザーのスマートカード PIN プリブートで USB を有効にする
重要:コンピューターに Opal ドライブが装備されている場合、オフライン アクティベーションは最初に Opal 暗号化を使用します。OPAL の設定はオフライン アクティベーション パッケージにハードコードされており、カスタム ポリシー設定は使用されません。
いいえ。オフライン アクティベーションは最初のポリシーのみ実行します。最初のポリシーが適用された後、更新はできません。
オフラインシステムを ePO に接続すると、どうなりますか?
オフライン アクティベーションで有効になったシステムが McAfee エージェント、DE、およびオフライン アクティベーション パッケージでを生成した ePO サーバーとの通信に成功すると、システムはオフライン ポリシーを破棄し、ePO に適切なポリシーを提供するように求めます。
オフライン アクティベーションの間、暗号化キーはどうなりますか?
管理者がオフライン アクティベーション パッケージを設定する場合、キーが保存されるかどうかを示すオプションを利用できます。キーを保存するかどうか、どこへ保存するかの判断は、管理者に委ねられています。 エンド ユーザーが選択したり、操作したりすることはできません。
オフライン アクティベーション プロセスから暗号化キーを保存する場合、この暗号化キーをリカバリ目的で ePO にインポートできますか?
いいえ。ただし、すべてのキーを安全な場所に保存し、ePO を使用して暗号解除して、必要なリカバリ XML ファイルを作成することはできます。
その暗号化キーを受け取った後、どのように使いますか?
管理者は暗号を解除し、EEPC リカバリ ツールで使用される XML フォーマットで情報をエクスポートできます。
社内プロビジョニング ユースケースのシステム用の暗号化キーはどうなりますか?
このシナリオでは、キーを保存したい場合と保存したくない場合があります。ePO サーバーへの初めての接続時に、ePO サーバーがキーをアップロードします。このシナリオは主に新しいシステムを対象とするため、ディスクのクラッシュの原因となっている物理的な損傷が見つかった場合、またはシステムからロックアウトされた場合、システムから失われるユーザー データがあったとしてもごくわずかです。
注:キーは USB メモリーに保存するか、リカバリが必要な場合は、特定のネットワーク共有に保存することができます。
サードパーティのシナリオでプロビジョニング中のシステム用の暗号化キーはどうなりますか?
このシナリオでは、サードパーティが暗号化キーを保存できるようにしたくないため、キーをどこにも保存しないように指定します。 組織内のすべてのシステムの各暗号化キーのコピーがサードパーティにある場合、それはセキュリティ上のリスクとみなされます。このシナリオは主に新しいシステムを対象とするため、ディスクのクラッシュの原因となっている物理的な損傷が見つかった場合、またはシステムからロックアウトされた場合、システムから失われるユーザー データがあったとしてもごくわずかです。
システムが ePO に接続することがない場合、そのシステムの暗号化キーはどうなりますか?
このシナリオでは、暗号化キーを USB メモリーやハードディスクに保存することになる可能性が高くなります。これはオプションの手順であり、管理者の判断によってのみ実行できます。暗号化キーを安全に保管するために、ePO サーバーに安全に転送するのは、ユーザーの責任です。このような転送は、暗号化キーの転送に使用することが会社で承認されている任意のメカニズムで実現できます。ePO 管理者が保存したキーのコピーを持っていれば、後でリカバリのために使用できます。
何かほかのエラーのせいで暗号化キーを保存できない場合はどうなりますか?
このシナリオでは、クライアントのハードディスクを再フォーマットして、オフライン アクティベーション プロセスを再起動する必要があります。
暗号化キーがディスク上のファイルに書き込まれる場合、プレーン テキストで保存されるのですか?
いいえ。暗号化キーは必ず暗号化されるため、サードパーティが傍受しても、役に立ちません。また、この暗号化キーがどのシステムに属しているかを識別する方法もありません。
暗号化キーは何で暗号解除できますか?
オフライン アクティベーションの暗号化キーを暗号解除できる唯一の場所は、オフライン パッケージを作成した ePO サーバーです。他の ePO サーバーではキーを暗号解除できません。
オフライン アクティベーションにはすべて同じ暗号化キーがあるのですか?
いいえ。最初のポリシーの施行中に暗号化キーが生成されます。これにより、すべてのオフライン アクティベーションが別々のキーを持つことが保証されます。
オフライン アクティベーションでは、リカバリはどのように動作しますか?
管理者が暗号化キーを保存することを選択した場合、キーは暗号化されてディスク上のファイルに書き込まれます。その暗号化キーを会社承認の方法を使用して管理者に転送するのはエンド ユーザーの責任です。管理者が暗号化キーを手に入れると、必要な場合、管理者はそのオフライン パッケージ作成した ePO サーバーを使用して、暗号を解除できます。 この暗号解除プロセスの結果は、DE リカバリ ツールで使用できる標準の XML ファイルです。
オフライン アクティベーションではどんなリカバリ オプションを利用できますか?
リカバリ オプションはローカル リカバリと EEPC リカバリ ツールです。
管理者がローカル リカバリを無効にした場合はどうなりますか?
唯一の選択肢は、DE リカバリ ツールを使用して、システムの問題を修正することです。 また、システムを ePO に接続することもでき、この時点でユーザーとポリシーは ePO により提供される情報に置き換えられます。ただし、これには Windows を起動できる必要があります。
ローカル リカバリが無効で、保存された暗号化キーがなく、暗号解除できない場合は、どんなリカバリ オプションを利用できますか?
オフライン アクティベーションに追加のリカバリ オプションはありません。
プリブート ファイル システム (PBFS) には何が含まれますか?
PBFS には認証を行う機能のあるユーザーを提供する必要な情報すべてを含みます。これには以下が含まれますが、これらに限定されません。
-
プリブート環境に必要なファイル
-
サポートされているクライアント言語の言語ファイル
-
すべてのサポートされている言語から文字を表示するフォント
-
クライアントに割り当てられたテーマ
-
クライアントに割り当てられたユーザー
いいえ。PBFS サイズ設定は、PBFS が作成されたとき、またはリカバリ手順中に再作成されるときにのみ適用されます。
新規に作成したユーザーを PBFS で使用できるようになるまでどれくらいの時間がかかりますか?
この質問に対する答えは簡単ではありません。以下のシナリオでは、最もよくある状況を対象としています。
-
シナリオ 1
初期化されていないユーザーが 1 人だけシステムに割り当てられている場合、ユーザーが ePO の EE LDAP Sync によって確認されている場合は、1 つの ASCI のみが必要です。 注: 初期化されていないユーザーは以前に DE システムにログインしていないユーザーです。このため、このユーザーにはトークン データはありません。 -
シナリオ 2
新たな初期化されていないユーザーがすでにユーザーを割り当てたシステムに追加された場合、PBFS でユーザーを完全に利用できるようになる前に 2 つの ASCI が必要になる可能性があります。 -
シナリオ 3
既にユーザーが割り当てられているシステムまたはユーザーがまだ割り当てられていないシステムに、初期化されたユーザーが追加された場合、このユーザーはトークン データを既に初期化しているため PBFS でユーザーを完全に利用できるようになるまでの間は 2 つの ASCI が必要です。
ユーザーがシステムに割り当てられると、このシステムのポリシーが追加され、ポリシーの施行中にユーザー データを要求するイベントがトリガーされます。そのイベントが ePO サーバーによって返されると、割り当てられたすべてのユーザーが確認され、クライアントにダウンロードされます。 それらのユーザーでローカル トークン データと ePO に保存されたトークン データに違いが見つかった場合、これらの詳細を更新するために第 2 のイベントがトリガーされます。
トークン データを持たない初期化されていないユーザーの場合、必要なすべてのユーザー データをクライアントに転送し、続けて PBFS に転送するための第 2 のイベントは不要です。他のシナリオでは、ユーザーを PBFS で完全に利用できるようにするには、2 つのイベントが必要です。
さらに、ユーザーがポリシー オプション Add local Domain user(ALDU)を使用している場合、ALDU リクエストに応答がない場合にトリガーされる 2.5 ASCI タイムアウトがあります。 このタイムアウト時間を超えると、確認用にユーザー データをアップロードするために新しいポリシーの施行が必要です。
プリブート テーマを作成して、カスタマイズすることができますか?
はい。ePO のテーマは簡単に作成してカスタマイズできます。
カスタム テーマは以下の要件を満たすように作成してください。
-
1024 x 768 サイズの画像
-
ファイル形式が .PNG であること
-
ファイル サイズは約 600 KB
DE 7.1.x を英語以外のオペレーティング システムに初めてインストールする際に、プリブート時に英語キーボードの使用を指定できますか?
いいえ。デフォルトでは、DE インストーラは、製品がインストールされる先のローカライズされた Windows オペレーティング システムに関連するローカライズされたキーボードを表示します。
Windows のブート可能な CD を暗号化されたシステムで使用できますか?
ブート可能な CD は暗号化されたシステムで動作しますが、ハードディスクへのアクセスはできません。フルディスク暗号化のメリットの 1 つは、認証なしにハードディスクにアクセスする目的で、ブート可能なドライブを使用することを防げることです。Windows が正しく動作せず、Windows セットアップ ディスクを使用して修復する必要がある場合、Windows の修復ツールを使用する前に、まず、ドライブを暗号解除する必要があります。 暗号化されたドライブで DETech WinPE リカバリにアクセスするには、メディアを作成する必要があります。 メディアの作成方法の詳細については、PD24204 を参照してください。
プリブート スマート チェック(PBSC)は、さまざまなプリブート ハードウェア互換性チェックを実行して、DE プリブート環境がシステムで正しく動作することを保証する DE の機能です。 このチェックでは、過去に非互換性の問題を引き起こしたことが判別された領域をテストします。
プリブート スマート チェックの目的は何ですか?
目的は、プリブート環境に共通のエラー条件をチェックして、DE フルディスク暗号化の円滑な配備を容易にすることです。 チェックを有効にしない場合、配備の問題によりユーザーがシステムからロックアウトされる可能性のある場合に、生産性が影響を受ける可能性があります。 問題がある場合、プリブート スマート チェックにより、DE が無効になり、システムを Windows のみの認証にロールバックできます。
このプリブート スマート チェック機能は、デフォルトで有効になっていますか?
いいえ。アクティベーション プロセスで、システムを複数回再起動させるため、この機能はデフォルトでは有効になっていません。このことを受け入れるユーザーもいますが、受け入れないユーザーもいます。
プリブート スマート チェックは、問題を発見した場合何をどのようなワークフローで実行しますか?
問題(プリブートのロードの失敗、Windows への引き渡しのエラーのいずれか)が見つかると、システムが自動的に再起動するか、ユーザーが強制的にシステムを再起動する必要があります。
これにより、PBSC は問題を解決するために別のセットの互換性設定を試すことができます。いずれかの設定が機能し、システムが Windows を起動すると、DE が完全にアクティブになり、暗号化ポリシーが実行されます。 すべての互換性設定を試した後に、回復不能な問題が発生した場合、DE プリブートはバイパスされ、システムは Windows で起動して、DE は無効になります。 この時点で、 エラーを警告する監査情報が ePO に送信され、システム上でのその後のアクティベーションが停止されます。
システムがプリブート スマート チェックに合格すると、どうなりますか?
システムは DE をアクティベーションし、暗号化ポリシーを実行します。
システムがプリブート スマート チェックに失敗すると、どうなりますか?
システムがプリブート スマート チェックに失敗すると、システムは EEPC をアクティベーションしません。このため、EEPC アクティベーション(およびポリシーで設定されている場合は暗号化)は継続されず、システムは Windows のみの認証にロールバックします。
システムがプリブート スマート チェックに失敗する場合、次回のポリシーの施行時にも引き続き DE をアクティベーションしようとしますか?
はい。ただし、アクティベーションはすぐに中止されます。以下のいずれかが起きるまで、その後のすべてのアクティベーションは中止されます。
ポリシーから PBSC を無効にする 次のレジストリ値を削除する: Software\McAfee Full Disk Encryption\MfeEpePc\SafeFailStatus\Status
プリブート スマート チェックが失敗すると、システムは ePO でタグ付けされますか?
いいえ。
1 台のコンピューター上のプリブート スマート チェック からの結果が別のコンピュータと共有されますか?
いいえ。各システムは個別にテストされます。現在、コンピューター タイプの共通の設定を共有する機能はないため、特定のハードウェア設定を検証し、類似のシステム間のプリブート スマート チェックからの結果を共有することはできません。
プリブート スマート チェックで設定が変更されたか、システムが初期状態のままであるかを確認する方法がありますか?
この情報は DE 7.1 では公開されていません。これはエンドユーザには透過的であり、自動的に発生します。
プリブート スマート チェックで変更が行われず、システムが初期状態のままの場合、それは配備目的でこのチェックを無効にできることを示しますか?
このチェックを無効にするかどうかは、ユーザーの判断に委ねられています。ただし、変更できるかどうかは同じモデル番号を持つシステム間で共通です。例えば、ユーザーが BIOS に進んで、USB 設定を変更したとします。その変更により、その BIOS との統合に影響を与えることがあるため、PBSC を有効にしておくことはここでは意味があります。 ただし、BIOS パスワードを使用して、ユーザーがこのような変更をできないようにすれば、PBSC を使わなくても安全な場合があります。
まだプリブート スマート チェックを実行しているシステムの ePO から、管理者は何がわかりますか?
管理者は、システムがアクティベーションされず、暗号化されていないことがわかります。管理者は、監査ログを見て、前回システムが ePO と同期されたときからの変化に関する最新情報を入手することができます。
管理者には、システムがプリブート スマート チェックに失敗したために、アクティベーションされなかったことがわかりますか?
はい。エラーは監査されます。
管理者は、システムがプリブート スマート チェックが失敗したことをどこで知ることができますか?
管理者はこれをシステムの監査ログで見ることができます。
最初の EEPC ユースケースが DE 7.1.x で Intel Active Management Technology (AMT)と McAfee ePO Deep Command を使用して実装したものは何ですか?
DE 7.1.0 で実装された最初の 4 つのユースケースは次のとおりです。
パスワードのリセット コンテクスチュアル セキュリティ ウェイクおよびパッチ リモート修正注:以下の FAQ では、これらのユースケースを詳細に説明します。
管理者として、特定のシステムで AMT 機能を使用できるかどうかはどのようにしてわかりますか?
ePO でシステム プロパティを表示する場合、その特定のシステムの AMT 情報を見ることができます。McAfee ePO Deep Command Discovery and Reporting(無料)も、ePO 内のすべての管理対象システムでこの情報を提供し、それをダッシュボードに表示します。DE と互換性を保つには、Deep Command が AMT ステータスを Post configuration として、レポートする必要があります。 また、DE では AMT をバージョン 6.0 以降にする必要があります。
システムに関する Intel AMT 情報は、どのように ePO に取り込まれますか?
まず、Discovery and Reporting 拡張ファイルを含めた Deep Command 拡張ファイルをインストールし、ePO サーバー上のパッケージにチェックインします。AMT が有効になっている場合にレポートを返す、Deep Command パッケージをクライアントに配備する必要があります。さらに、システムが実際に AMT をアクティベーションすると、クライアントはどの AMT 機能がサポートされているかというレポートを返します。Deep Command は AMT で自動的にシステムにタグを付けるスケジュール サーバー タスクを ePO に追加します。このタスクは毎日実行するようにスケジュールされており、変更することもできます。詳細については、ePO Deep Command のドキュメントを参照してください。 システムが AMT をアクティベーションしていない場合は、Deep Command Discovery and Reporting Summary Dashboard を参照して、クライアントから AMT サポート情報を入手してください。
ePO Deep Command および DE ではどのバージョンの Intel AMT がサポートされていますか?
サポートされている AMT のバージョンについては、KB79422 を参照してください。
注:AMT バージョンは ePO Deep Command でレポートが返されるコンピューターで管理者が見ることができる情報の一部です。
CILA と CIRA は Intel AMT との関係で何を意味しますか?
CILA(Client Initiated Local Access)は、内部ネットワーク アドレスからの AMT 要求です。CIRA(Client Initiated Remote Access)は、リモート ネットワーク アドレスからの AMT 要求です。ローカルとリモートの定義は、AMT プロビジョニング プロセスの一部として定義されています。
CIRA のデフォルト ポリシー設定は、なぜデフォルトでは無効になっているのですか?
これは、ユーザーが偶発的にリスクに晒されるの防ぐためのマカフィーによる意識的な決定です。 CIRA がサポートされ、明示的に有効になっていなければなりません。CIRA をデフォルトで無効にすることにより、会社が Agent Handler をインターネットに公開した場合に、Agent Handler インターネット経由の AMT 要求に応答しなくなります。マカフィーでは、この機能を有効にするかどうかはユーザーが判断する必要があると考えています。
システムに対してキューイングできる Intel AMT のアクションのタイプは何ですか?
Transient Action(過渡的操作)と Permanent Action(永続的操作)です。
Permanent Action(永続的操作)と Transient Actions(過渡的操作)の一例を挙げていただけますか?
Transient Action(過渡的操作)とは、x 回実行されて、その後、操作キューから削除される操作です。以下にいくつか例を挙げます。
ユーザー パスワードのリセット x 回のロック解除 ロック解除期間 緊急ブート MBR のリストア
Permanent Action(永続的操作)とは、管理者が削除するまで操作キューに残る操作です。
ロック解除スケジュール ロックの完全な解除
システム/ユーザーに各 Intel AMT 操作を何回割り当てることができますか?
最大 1 つの Transient Action(過渡的操作)と 1 つの Permanent Action(永続的操作)をいつでもシステムに割り当てることができます。
1 つの Intel AMT Transient Action(過渡的操作)と 1 つの Permanent Action(永続的操作)しか割り当てることができないのはなぜですか?
これは、Intel AMT との統合の最初の実装の設計時に決められたものです。追加のユースケースが生じる場合は、再検討することができます。基本となるアーキテクチャは、必要に応じてさらに多くの操作を処理するように設計されています。
クライアント システムで実行中の「ウェイク およびパッチ(リモート ロック解除)」または「コンテクスチュアル セキュリティ」(ロック解除)を見ると、プリブートはオペレーティング システムの起動に進む前にここで約 20 秒以上かかっているように見えます。
ここでかかる時間の決定に関わる要因は多数あります。考えられる要因としては、ネットワークの速度と ePO サーバーの作業負荷の 2 つがあります。AMT ファームウェアには、CILA イベントがエンドポイントから送信される前の 20 秒の遅延に関連する既知の問題があります。 このため DE では、CILA 環境でアウトオブバンドのロック解除に 20 秒以上かかる場合があります。 この問題については、現在 Intel が調査中です。DE 7.1 の既知の問題の記事を確認するには、KB84502 を参照してください。
DE 7.1 のインテグレーションには、どんなコマンド ポリシーと設定が必要ですか?
ePO Deep Command 1.5.0 と Intel AMT ポリシーが必要です。ポリシーで以下が正しく設定されていることを確認してください。
リモートからのアクセスを有効にする必要があります。 Client Initiated Local Access(CILA)を有効にします。正しいエージェント ハンドラーを選択します。 接続タイプでは、BIOS とオペレーティング システムを選択します。 Client initiated Remote Access(CIRA)が必要な場合、以下を設定してあることを確認します。
ホーム ドメイン サフィックス DMZ エージェント ハンドラー ユーザー開始トンネルを許可
パスワードのリセット ユースケースとは何ですか?
これは、Intel AMT を使用して、新しいトークン データをクライアントに送信する機能です。このユースケースは、ユーザーがシステムを起動したあとパスワードを忘れたケースです。ヘルプデスク/管理者に電話をかけて、パスワードのリセットを依頼できます。管理者は、プリブート中に Intel AMT 経由でクライアントにプッシュアウトできるワンタイム パスワードを作成します。 Intel AMT の使用は、長年にわたって確立されてきたチャレンジ/応答メソッドよりも高速な代替手段です。
パスワードのリセット ユースケースの高度な手順はどのようなものですか?
次のような手順です。
エンド ユーザーがコンピュータを起動し、ログインに失敗して、ヘルプデスクに電話をかけます。 エンド ユーザーはプリブートのリカバリ セクションに進み、ヘルプデスク ユーザーに ePO ユーザー名を提供します。 ヘルプデスク ユーザーは、ePO でユーザーが使用しているシステムを見つけます。 ヘルプデスク ユーザーは、Intel AMT 機能を使用して、一時的なワンタイム パスワードでパスワードをリセットします。 指定されたシステムで新しいトークン データを受け取るために、ePO が項目をワーク キューに書き込み、次にプリブートがワーク キューを読み取って、Intel AMT で提供されるネットワーク スタックを使用して、キーを取得します。 クライアントは新しいトークン データを受け取り、自動的にリカバリ画面を離れて、パスワード画面に戻ります。このことは、エンド ユーザーに新しいパスワードが受け取られたことを示します。さらに、エンド ユーザーは、新しいトークン データが受け取られたことを示すビープ音を聞きます。 次に、エンド ユーザーはワンタイム パスワードで認証して、新しいパスワードを設定します。
クライアントで、プリブート時にユーザーはリカバリ画面に進んで、マシン ID とマシン名 を表示できます。管理者/ヘルプデスクは、ユーザーからこの情報の提供受け、この情報を使用して、ePO 内でコンピューターを見つけることができます。
ユーザーが使用しているシステムがわからない場合、ユーザーがアクセスできるすべてのシステムに Intel AMT コマンドを送信できますか?
はい。ただし、マカフィーはこれを推奨しません。 ユーザーが 2 台のノートパソコンにアクセスできるとします。ユーザーはノートパソコン 1 で指示を受け取って、パスワードを変更します。プロセスを進めて、Windows を起動します。次にノートパソコン 2 を起動します。このノートパソコンもパスワードの変更要求を受け取ります。トークン データはワンタイム パスワードにアップデートされ、もう一度パスワードを変更するように求められます。理論上、これはユーザーが状況を認識している管理された環境ではうまくいきますが、エンド ユーザーの混乱を招く可能性は大いにあります。
管理者が Intel AMT 機能を使用してユーザーのパスワードを変更しました。エンド ユーザーは新しいリカバリ パスワードがクライアントに届くことをどのようにして知りますか?
エンド ユーザーがリカバリ画面(管理者にマシン ID の詳細を伝えた画面)にいる場合、リカバリ画面が消えて、ログオン画面に置き換わります。このことは、新しいパスワード情報が受け取られたことを示します。
注:
エンド ユーザーがリカバリ画面を終了し、更新されたパスワードが受信されるのを待っていた場合、ログオン画面が消え、すぐに再表示されるのがわかります。 さらに、新しいトークン データが受け取られると、エンド ユーザーはビープ音を聞きます。
管理者は、変更が正しく行われたことをどのようにして確認できますか? また正しく変更できなかった場合、その理由をどのようにして確認できますか?
この情報は AMTService.log に表示されます。エージェント ハンドラーからイベントを生成する ePO API がないため、ePO ではイベントが生成されないことに注意してください。
管理者は AMTService.log ファイルをどこで見つけることができますか?
このファイルは、ePO サーバーの <ePO_Install_folder>/<Agent_Handler_Install_Folder>\DB\Logs\AMTService.log にあります。また、サーバー MER の一部として収集されます。
コンテクスチュアル セキュリティ ユースケースとは何ですか?
コンテクスチュアル セキュリティ ユースケース(Location Aware とも呼ばれる)は DE プリブート環境の新しい認証機能です。 このユースケースは、システムにユーザーの操作なしに認証できる機能を提供します。ユーザーに資格情報を求める代わりに、プリブートは Intel AMT を使用して、ePO へのネットワーク接続を開始します。次に、プリブートはプリブートで認証に使用するキーを取得し、さらにコンピューターをオペレーティング システムでブートします。プリブート環境と ePO でシステムがオフィス内にあるか、インター経由で接続しているかを判定できます。コンテクスチュアル セキュリティを使って、管理者はオフライン中に ePO および AMT 経由で自動的に認証するようにシステムを設定できますが、システムがオフィス外にある場合、プリブート認証画面が表示されます。
コンテクスチュアル セキュリティが役に立つ場合の例を以下に示します。
エンド ユーザーがオフィス内にいる間はプリブート環境を表示せず、エンド ユーザーがオフィス外にいたり、システムが紛失したり、盗難に遭ったりした場合にはプリブート環境を表示するようにしたい場合。 常にオフィス内にあるシステムを暗号化し、プリブート環境を表示してエンドユーザーに影響を与えることなく、これらのエンド ユーザーを ePO および AMT で自動的に認証するようにしたい場合。さらに、コンピューターがオフィスから盗まれた場合にプリブートを表示するようにしたい場合。 ユーザーが多数の個人が共有するコンピューターを所有する場合。 会議室、トレーニング ルーム、病院内のノートパソコンやデスクトップ PC を考えます。 ユーザーがプリブートを一切表示しないことによりパスワードの同期の問題をなくし、一方でコンピューターの紛失/盗難時にパスワードを保護するようにしたい場合。ユーザーはまずオフィス外でも Windows で認証し、DE が ePO および AMT 経由で自動的に認証します。
コンテクスチュアル セキュリティはどのように動作しますか?
プリブートが起動するときに、ePO に接続してブートの許可を求めようとします。ePO はマスターであり、ロック解除キーを返すかどうかを決めます。クライアントが ePO に接続できないか、または ePO がクライアントへのロック解除キーの返却に失敗する場合、プリブート環境が表示され、エンド ユーザーが正しく認証するまで待機します。ePO がロック解除キーを送信すると、コンピューターはロック解除されます。ロック解除キーはクライアントに送信され、AMT ハードウェアによって保護された安全なチャネルに送信されます。
コンテクスチュアル セキュリティの認証は実際にはクライアントで行われ、必要な情報は ePO から送られるのですか?
はい。
このコンテクスチュアル セキュリティはプリブートをバイパスしますか?
いいえ、プリブート環境はバイパスされず、常にアクティブです。プリブートが認証に成功すると、オペレーティング システムをシャットダウンしブートします。このユース ケースでは、認証は ePO から提供されます。
ユーザーがコンピューターの前にいる場合、コンピューターが自動的に Windows を起動するのがわかりますか?
はい。ePO が肯定的な応答をする場合、応答が行われると、ePO は自動的にオペレーティング システムをブートします。
シングル サイン オン(SSO)はこのコンテクスチュアル セキュリティ ユース ケースで機能しますか?
いいえ。プリブートでの認証はコンピューターに対して行われるものであり、ユーザーに対して行われるものではないからです。DE にはどのユーザーがログインしているかはわからないため、取得した SSO データを再生できません。
コンテクスチュアル セキュリティでは、エンド ユーザーは 1 回だけログインすればいいのですか?
はい。このシナリオでは、ユーザー認証は Windows プロンプトで行われ、DE プリブート プロンプトでは行われません。
コンテクスチュアル セキュリティを使用する場合、これはユーザーが最新の Windows パスワードで Windows にのみログインすることを意味しますか?
はい。これにより、継続的にこの機能を使用するユーザーのパスワードの同期に関する不安をなくすことができます。
オフィス内でもオフィス外でも活動するモバイル ユーザーはどうなりますか?
これらのユーザーは、オフィス内にいないときはプリブートで認証するために資格情報を必要とします。
コンテクスチュアル セキュリティを使用する場合、モバイル ユーザーのパスワードの同期はどうなりますか?
モバイル ユーザーの場合、技術的にha このユースケースではエンド ユーザーがプリブートにログインすることはないため、常にプリブート認証を使用することをお勧めします。DE は、どのプリブート ユーザーがパスワードの更新を適用するかわからないため、パスワードの更新を認識しません。
コンテクスチュアル セキュリティの最適な実装方法はどのようなものですか?
最適なユースケースは、オフィスのネットワークから切断されることのないデスクトップ システムまたはノートパソコンでのみ、コンテクスチュアル セキュリティを使用することです。
コンテクスチュアル セキュリティを使用しているときにコンピューターが盗まれた場合、 そのコンピューターはプリブート環境を表示しますか?
はい。これは、システムが ePO と通信できず、ユーザーの認証を待機するためです。
CIRA を有効にしている場合、これはネットワーク上にないシステムが自動的にブートできることを意味しますか?
いいえ。DE は PBA を表示するかどうかを判断しません。 DE の「アウトオブバンド」管理が有効になっている場合、DE は支援要請を送信しようとします。
AMT チップは、環境を確認して、リモートまたはローカルのネットワークにプラグインしているかどうかを調べます。 ローカル ネットワークにプラグインしている場合は、ePO サーバーに CILA を投稿します。 ただし、リモート ネットワークに接続していることが検出された場合、CIRA サーバーが指定されていれば、CIRA サーバーに安全に接続しようとします。 CILA または CIRA のいずれかの支援要請がサーバーへの接続に成功し、サーバーが暗号化キーの送信を決定すると、PBA はロック解除して、Windows を起動します。キーが受け取られない場合は、PBA に残ります。
管理者はどのようにしてコンテクスチュアル セキュリティを有効にしますか?
管理者は 1 つ以上のシステムを選択し、「アウトオブバンド - PBA のロック解除」を選択し、ロック解除の期間(永続的か、一定期間かのいずれか)を指定します。
注:管理者は、操作をローカルで実行可能か、ローカル コンピューターとリモート コンピューターで実行可能かを選択することもできます。
このコンテクスチュアル セキュリティ機能は永続的に設定できますか、それとも一定期間のみ設定できますか?
管理者がこの機能を有効にする場合、永続的に有効にするか設定した期間のみ有効にするかを選択できます。設定された期間のオプションの場合、管理者は以下のいずれかを指定できます。
1 回以上の再起動 開始日時から終了日時まで 停止時間または利用可能時間の週間スケジュール
コンテクスチュアル セキュリティを使用している場合、ePO がビジーでシステムに応答できないと、どうなりますか?
システムはプリブート環境のままで、5 分ごとに再試行します。
システムが最初の試行で ePO に接続できない場合、もう一度試行しますか?
はい。5 分ごとに ePO に接続しようとします。 これは、CILA(ローカル)リクエストの場合に該当します。ただし、CIRA(リモート)リクエストの場合は、コンピューターは 1 回だけ ePO に接続します。応答を受け取らない場合、システムは再起動してもう一度接続する必要があります。
ePO サーバーが利用できなくなり、クライアントが ePO サーバーに接続できないとどうなりますか?
これは曖昧で好ましくないケース シナリオです。 ユーザーがプリブート資格情報を知らず、常にこのコンテクスチュアル セキュリティ機能を使用している場合、ユーザーはプリブート環境に止まります。唯一のオプションは、ヘルプ デスクに電話をかけて、チャレンジ/レスポンス プロセスでシステム リカバリを実行することです。
エンド ユーザーがオフィスでコンテクスチュアル セキュリティでデスクトップ システムを使用し、これまではプリブートにログインする必要がなかったのに、今回はプリブート画面が表示されており、資格情報がわからない場合、 どうすればいいですか?プリブートで、もう一度 ePO に接続できますか?
以下の複数の選択肢があります。
まず、次回 ePO への接続を試行するまでに 5 分間待機します。 これは、CILA(ローカル)リクエストの場合に該当します。 次に、システムの電源をオフにしてから、再度オンにします。 これにより、システムが再起動すると、プリブートはすぐに ePO に再接続します。 最後に、エンド ユーザーは常にプリブートで認証できる別の既知のユーザーのユーザー名/パスワードを入力して認証できますが、これはあらゆる状況で利用できるわけではありません。
これは、「AMTService.log」に表示されます。このファイルはロール オーバーし、ファイル サイズの制限があります(デフォルトのサイズ制限は Deep Command で設定され、設定変更が可能です)。
ウェイク アンド パッチ (リモート ロック解除)ユースケースとはどのようなものですか?
このユースケースは、コンピュータのウェイク アンド パッチを緊急または定期的にスケジュールするニーズに対応するものです。これらのコンピューターをシャットダウンしてからウェイクし、パッチを適用できるようにする必要があります。
ウェイク アンド パッチ(リモート ロック解除)ユースケースは、コンテクスチュアル ユースケースと非常によく似ています。コンテクスチュアル ユースケースを対象として既に回答されている以下の質問は、ウェイク アンド パッチ(リモート ロック解除)にも適用されます。
-
どのように機能しますか?
-
プリブートをバイパスしますか?
-
ユーザーがコンピューターの前にいる場合、コンピューターが自動的に Windows を起動するのがわかりますか?
-
シングル サイン オン(SSO)はこのユース ケースで機能しますか?
-
ePO がビジーでシステムに応答できない場合、どうなりますか?
-
システムが最初の試行で ePO に接続できない場合、もう一度試行しますか?
-
管理者はどのようにしてこの機能を有効にしますか?
-
この機能は永続的に設定できますか、それとも一定期間のみ設定できますか?
-
認証は実際にはクライアントで行われ、必要な情報は ePO から送られるのですか?
ウェイク アンド パッチ(リモート ロック解除)または ePO に接続する間隔を調整できますか?
管理者は Deep Command 電源投入時コマンド、または同等の Wake on LAN リクエストを調整する必要があります。SILA(ローカル)環境で修復されると(サーバーで動作が開始されると)システムの電源が入ります。 それ以外の場合、クライアントは ePO に接続するため、ePO サーバーに接続したときに電源がオンになるとみなすことができます。
ePO がビジーで応答しない場合、どうなりますか。クライアント システムはどのような動作をしますか?
Wake on LAN リクエスト後に ePO がビジーになり応答しない場合、システムはプリブートのままになり、5 分ごとに試行を繰り返します。 これは、CILA(ローカル)リクエストの場合に該当します。ただし、CIRA(リモート)リクエストの場合は、コンピューターは 1 回だけ ePO に接続します。応答を受信しない場合、システムは ePO サーバーに接続するために再起動する必要があります。
システムに定期的に接続するには、Alarm Clock を使用して、定期的に CIRA メッセージを送信するように設定する必要があります。Alarm Clock 機能は、指定された特定の時間にシステムをオンに切り替えます。
何台のシステムがパッチ プロセスのために Windows で起動されたか知ることができますか?
はい。管理者はこれを DE で確認できます。製品クライアント イベント クエリを適切なフィルターを使用して実行します。 この機能は、ePO サーバーと通信して、監査情報を送信しているシステムに依存しています。
ウェイク アンド パッチ機能を使用している場合、過去にプリブートしなかったシステムを判別できますか?
いいえ。システムで Windows が起動しない場合、「DE: 製品クライアント イベント」クエリーにエントリはありません。
リモート修復ユースケースとはどのようなものですか?
このユースケースは、緊急ブートの実行、または物理的にコンピューターに触れずに AMT 経由でクライアント システム上の DE MBR を交換する機能を、管理者に提供します。 これにより、管理者は地球の裏側にあるクライアント システム上の問題も修正できます。
リモート修復および UEFI については、以下を参照してください。
リモート修復はどのように機能しますか?
高いレベルで、小さなディスク イメージ(1.44MB のサイズ、ただし、そのうち使用されているのは 300k のみ)が AMT 経由でクライアント システムにプッシュ ダウンされます。このディスク イメージがクライアントで受信されると、再起動されて、IDE-R からブート ネットワークを使用してブートします。次にそのイメージが必要な修復動作を実行し、Windows をブートするプロセスを開始します。
リモート修復で可能なアクションは?
1 番目は緊急ブートを実行することで、2 番目は MBR を交換することです。リモート修復は BIOS ブート プロセスを備えたコンピュータでのみ動作します。
管理者はこのリモート修復機能をどのように使うのでしょうか?
管理者は 1 つ以上のシステムを選択し、次に「アウトオブバンド - 修復」の操作を選択して、最後に「緊急ブート」または「エンドポイント暗号化 MBR」を指定してから、OK をクリックします。
クライアントがローカルにある場合、リモート修復はクライアントでどのようにして開始されますか?
クライアント システムがローカルのエンタープライズ ネットワークに接続されている場合のプロセスの概要:
ユーザーがシステムをブートして、システムが動作していないことに気付きます。 ユーザーは管理者に電話をかけて支援を求めます。 管理者は、適切な修復操作を選択して、修復操作によりすぐに処理が開始されます。この操作は、SILA(Server Initiated Local Access)とも呼ばれます。 クライアント システムが見つかり、接続できる場合、リダイレクションが開始されて、システムを自動的に修復します。
しかし、ローカル ネットワークにクライアント システムが見つからない場合、操作が失敗して、ステータスは待機中のままになります。 これは、システムがコールインするときにのみ処理できます。この状況で、プリブートが壊れているために修復できない場合は、下記の次のシナリオで説明する同様のフローを使用することもできます。
クライアントがリモートにある場合、リモート修復はクライアントでどのようにして開始されますか?
システムがパブリック ネットワークを通じて接続されている場合のプロセスの概要:
ユーザーがシステムをブートして、システムが動作していないことに気付きます。 ユーザーは管理者に電話をかけて支援を求めます。 管理者は、適切な修復操作を選択して、修復操作によりすぐに処理が開始されます。この状況では、エンタープライズ ネットワークにシステムが見つからないため、操作が失敗します。 管理者はユーザーに BIOS から「支援要請」を開始するように求めます。この機能は OEM によって異なりますが、多くの場合、ブート オプションの下にあり、システムによっては、CTRL+ALT+F1 を押すだけで実行できます。 この機能を選択すると、システムは STunnel(Deep Command ゲートウェイ サービス)に接続し、エージェント ハンドラーがこれを検出して、Deep Command にメッセージを送信します。 Deep Command はシステムに関連するこの操作を処理します。この場合、それが修復操作になります。
私はサンタ クララにいるのですが、現在日本にいて重要な会議の前に緊急にリカバリが必要なエンド ユーザーに対して、緊急ブートを実行しようとしています。リモート修復を使用して、この操作を達成できますか?
はい。このプロセスを使用するために、エンド ユーザーの操作は不要です。エンド ユーザーは、管理者がクライアント システムを修復するのを見ているだけでいいのです。CILA(ローカル)の場合、この操作は適切です。CIRA(リモート)の場合、最初は失敗しますが、CIRA 経由で接続すると、動作します。
上記の例で、リモート修復にどれくらい時間がかかりますか?
これは、ネットワークの速度とイメージをクライアント システムにダウンロードするのにかかる時間によって大幅に変わります。ダウンロードしたイメージでいったんブートすれば、かかる時間は緊急ブートを手動で実行する場合と同じです。 実際に行なわれるプロセスは同じですが、自動化されています。
管理者は、リモート修復の進捗の通知を受け取ることはできますか?
管理者は、開始時と終了時にのみ通知を受け取ります。終了時には、修復が成功したか失敗したかが通知されます。 監査はクライアント上で行われ、次回のエージェント-サーバー間通信(ASCI)時に送り返されます。管理者は、クライアント イベントでクエリを実行して、UNLOCK イベントでクライアントを検索できます。
エンド ユーザーは、リモート修復の進捗の通知を受け取れますか?
イメージがダウンロードされ、修復プロセスが開始されると、画面にメッセージが表示されます。AMT 経由でクライアントにイメージをダウンロードする場合、画面の右上隅に点滅する記号が表示される場合があります。これは、AMT がネットワーク トラフィックを受信していることを示します。この場合も、ダウンロードにかかる時間は、ネットワーク トラフィックとネットワークの速度によって大きく変わります。ネットワークが高速の場合、Windows は瞬時にロードする場合もあります。
リモート修復を実行する際に、点滅する記号が表示されません。これは何も行われていないということでしょうか?
その可能性もあります。記号が点滅する機能は、AMT バージョン 7 までは含まれていなかったため、AMT バージョン 6 を使用している場合は、表示されません。
リモート修復を実行しているときに、時間が切迫して現在の場所を離れなければならず、離れる時にネットワーク ケーブルを取り外さなければならない場合はどうなりますか。プロセス全体をもう一度やり直さなければなりませんか?また、そのため、もう一度管理者として操作しなければなりませんか?
いいえ、プロセスは自動的に再起動されます。管理者がリモート修復のリクエストを追加した場合、このリクエストは完了するか、または管理者が削除するまで、アクション キューに残ります。 つまり、修復が成功するまで、クライアントを立ち上げるたびに修復を実行しようとします。
リモート修復プロセスが成功し、ユーザーが Windows にアクセスしました。ユーザーはプレゼンテーションを実行できますが、最終的には、会社の ePO サーバーに接続されません。 ユーザーはクライアントを再起動するときと同じプロセスを実行する必要がありますか?
はい。プリブートが損傷していた場合、クライアントは緊急ブートされていた可能性があります。これは、クライアントが ePO と正しく通信できるようになるまで、修復できません。
他の MBR を交換するユースケースでは、答えは「いいえ」です。
MBR を交換する理由は何ですか?
1 つには、システムの暗号化中に誤ってサードパーティの製品で MBR を上書きしてしまった場合があります。あるいは、システムが MBR ウイルスに感染していた場合、システムを Windows に戻して、他の修復が行われるようにする必要があります。
修復を選択すると、特定のディスク イメージを選択できます。これはなぜですか?
デフォルトのオプションは「自動」で、特に指示がない限り、常にこれを選択します。自動オプションでは、クライアントから受信した情報を使用して、正しいイメージを選択します。この情報を利用できない場合、修復は実行されません。 このオプションで実行できるのは、コンピューターにダウンロードされた正しいイメージを指定することです。 BIOS ブートと Opal と Opal 以外の修復ではイメージが異なります。
クライアントで間違ったディスク イメージを選択すると、どうなりますか?
イメージを手動で選択した場合、誤ったイメージを使用すると、ディスクが損傷する恐れがある旨が、ユーザー インターフェース(UI)に表示されます。このオプションは、暗号化プロバイダーまたは BIOS タイプが利用できない場合のために追加されました。
リモート修復機能は、UEFI 環境で動作しますか?
いいえ。UEFI では IDE リダイレクションが機能しません。リモート修復にはこの機能が必要です。
管理者はどのレポートを使用して、クライアントで AMT 操作が正しく完了したことを知ることができますか?
DE にのみサーバー側の操作があり、これが修復用です。 操作が完了したかどうかを調べるには、管理者はイベント監査ログでクエリを実行して、クライアント イベントを見る必要があります。
管理者は、問題が発生し多場合に、操作を完了できなかった原因や場所を知るために、どんなレポートやログを参照することができますか?
管理者は、「AMTService.log」と「EE: 製品クライアント イベント」クエリを参照する必要があります。
管理者は 1 つ(または複数)の AMT 操作が 1 台(または複数台)のクライアントで正しく完了したことをどこで知ることができますか?
DE: 製品クライアント イベント クエリを実行します。
管理者は AMT 操作のレポートを作成できますか?(例えば、今日、何台のシステムがリモート ロック解除機能を使用して自動的にブートしたかを表示する場合など)
「DE: 製品クライアント イベント」クエリを適切なフィルターを使用して実行します。 この機能は、ePO サーバーと正しく通信して、監査情報を送信しているシステムに依存しています。
AMT アウトオブバンドの問題に対して、管理者はどんなトラブルシューティングを実行できますか? 最初に実行する手順は何ですか?
管理者は問題が CILA(ローカル)タスクに起因するのか、CIRA(リモート)タスクに起因するのかを確定する必要があります。
CIRA(リモート)タスクが実行された場合、何をしますか?
管理者にクライアント システムをブートして、BIOS または Windows にアクセスし、Intel Management および Security Status を使用してサポートをリクエストすることを求めます。 次に、AMTService log をチェックして、リクエストが受け取られているか確認します。 受け取られている場合、サポート コールに DE テクニカルサポート チームが参加します。 受け取られていない場合、サポート コールには Deep Command Tier III チームが参加します。
AMT アウトオブバンドの問題が CILA(ローカル)タスクに起因する場合はどうなりますか?
管理者に Deep Command 操作を使用して、クライアントを BIOS にブートするように求めます。成功すると、サポート コールに DE テクニカルサポート チームが参加します。 成功しない場合は、サポート コールには Deep Command テクニカルサポート チームが参加します。
Opal とは何ですか?
Opal は、Trusted Computing Group と呼ばれる標準化団体によって開発された、自己暗号化機能付のドライブに関する仕様の名前です。
Opal ドライブとは何ですか?
Opal ドライブは、TCG Opal 標準に準拠した、自己完結型で、スタンドアロンの HDD です。 このドライブは常に暗号化されていますが、ロックすることもロック解除することもできます。 HDD の標準のコンポーネントに加えて、Opal ドライブでは追加のコンポーネント(オンボードの暗号化プロセッサなど)を搭載しており、HDD 上で必要な暗号化/復号のすべてを実行します。 一般の回転メディア(HDD)に加えて、SSD にも TCG Opal 標準をサポートしているものがあります。
Opal ドライブは、自己暗号化ドライブですか?
はい。これは自己暗号化ドライブの 1 つのタイプですが、唯一のタイプではありません。 市場には、他にも独自の自己暗号化ドライブもあります。
Opal は規格の名称ですか? あるいはブランド名ですか?
Opal は、ドライブに必要なコマンドと標準動作の詳細を定義する規格あるいは仕様の名称です。 この標準は、Trusted Computing Group(TCG)のストレージ ワーキング グループによって作成され、批准されています。
TCGは、複数のプラットフォームにまたがるトラステッド コンピューティング ビルディング ブロックとソフトウェア インターフェイスのための、オープンでベンダー中立の業界標準を、開発、定義、促進するために設立された非営利団体です。
TCG 準拠の自己暗号化機能付のドライブが Opal ドライブですか?
はい。
いいえ。ほとんどのユーザーにはソフトウェア暗号化で十分です。通常業務を担当するユーザーは、ソフトウェア暗号化による影響に気がつくことはありません。DE 7.1 では、AES-NI をサポートするための Intel CPU 搭載システムへのソフトウェア暗号化の影響はごくわずかで、ソフトウェア暗号化は Opal ドライブと同等の性能を発揮します。
Opal ドライブは、どのようなモデルの脅威に対して効果がありますか?
主な使用事例は、ラップトップ/デスクトップの紛失または盗難です。 これは、ソフトウェアによるディスク全体の暗号化が対処するものと同様の脅威をカバーし、静的なデータの保護用に設計されています。
どのような利用のシナリオが Opal ドライブに適していますか?
Opal ドライブは、非常に高いディスク I/O(パフォーマンスに敏感なアプリケーション)を必要とするユーザーに適しています。 例としては、ソフトウェア開発者、映像編集者、航空技師などが上げられます。これらのユーザーは、回転機構のある HDD の代わりに SSD を使用する場合も多くあります。
SSD Opal ドライブは、セキュリティを使用しない場合の性能を維持できますか?
はい。性能を重要視するユーザーのために、Opal ドライブの SSD 実装では、Opal ドライブのセキュリティと暗号化の機能を維持しながら、SSD の速度と性能も維持できます。 ただし、Opal ドライブは常にオンボードの暗号化プロセッサによって暗号化されているため、オンボードの暗号化プロセッサによる性能低下があったとしても、その程度を確認することは困難です。
Opal ドライブを使用すると、DE の使用感は変わりますか?
管理者にとっての日常的なタスクは、Opal ドライブでも通常の HDD でもまったく同じです。ポリシー、導入方法、管理方法はすべて同じです。 リカバリ プロセスはわずかに異なりますが、管理者が回復シナリオで実行する手順は同じです。 DE と Opal の併用の詳細については、この記事の Opal のエクスペリエンス を参照してください。
エンドユーザーが Opal ドライブを使用しているか、通常の HDD を使用しているかに関わらず、ユーザーと管理者は、DE の標準の復旧メカニズムのすべてを利用できます。
DE は、他の自己暗号化ドライブ(SED)をサポートしますか?
いいえ。現時点では、TCG Opal 規格を実装したドライブ以外の、他の SED をサポートする予定はありません。
Opal ドライブが暗号化のすべてを処理するのに、DE が必要なのはなぜですか?
Opal ドライブを管理する必要があるためです。 Opal ドライブが正しく管理されるまでは、通常の HDD と同様に動作し応答します。DE と ePO の組み合わせにより、多様な管理、レポート、復旧などの管理者にとって重要な機能が利用できます。 DE によって、Opal ドライブをロック解除する安全なプリブート環境をインストールすることにより、Opal ユーザー管理を実行し、企業内の暗号化ポリシーが一貫して施行されるようにし、デバイスの紛失の際には、デバイスが ePO と最後に同期された時点で暗号化されているようにします。 また、Opal ドライブと通常の HDD が混在して利用する企業では、管理者がデバイスの管理、ポリシーの施行、管理などを単一のツールで行い、企業が直面するリスクを評価することができます。EEPC はこのような単一のツールを提供します。 DE は、管理されていない Opal ドライブよりも多くのユーザーを潜在的にサポートできるという利点も提供します。
次の記事では、異なるメーカーの Opal ドライブの DE サポートについて詳しく説明しています。 また、ドライブがサポート リストにない場合、Opal ドライブを自己認証する方法の詳細も含まれています。 詳細は、KB81136 を参照してください。
DE はサポートされているすべてのオペレーティング システムで Opal をサポートしますか?
いいえ。現時点では、その他のオペレーティング システムで Opal をサポートする予定はありません。 現在のサポートの詳細は次のとおりです。
- EEPC 6.2 は、Windows 7 SP1 以降のシステムでのみ Opal ドライブをレガシー(BIOS)モードでサポートしています。
- DD 7.x は、Windows 7 SP1 以降および Windows 8.x のシステムで Opal ドライブをレガシー(BIOS)モードおよび UEFI モードの両方でサポートしています。
- DE 7.x は、Windows 8 が認証されたシステム上で UEFI モードの Windows 8.x で Opal ドライブをサポートしています。また、OEM には安全な通信に使用される UEFI プロトコルが含まれています。
- DE プリブート環境がドライブと通信できるメカニズムがなく、OEM がセキュア通信プロトコルをバンドルしていない UEFI システムはサポートされていません。 この場合、ソフトウェア暗号化が自動的に使用されます。
Opal ドライブによっては、512e ドライブ、つまり、実際にはセクター サイズが 4096 バイトでありながら、512 バイトのセクターのドライブをエミュレーションしているものがあります。 Windows 7 SP1 は、この 512e ドライブが正しく動作するためのドライバの修正を含んでいます。
サポートされていないオペレーティング システムの実行中に Opal ドライブで DE を有効にしようとするとどうなりますか?
DE が、互換性のない、またはサポートされていないオペレーティング システムと Opal ドライブの組み合わせを検出した場合、アクティベーション プロセスは継続されますが、ネイティブの Opal 機能を使用する代わりにソフトウェア暗号化を使用します。 システムは、ePO でソフトウェア暗号化を使用していると表示されます。
Opal ドライブは、Mac OS X でサポートされますか?
いいえ。Apple が FileVault 暗号化製品にサポートを追加するまではサポートされません。
目次に戻る
いいえ。管理者は、Opal ドライブと通常の HDD を区別して管理する必要はありません。 Opal ドライブを搭載したラップトップと通常の HDD を搭載したラップトップに同じポリシーを適用することができます。
DE ポリシーには、暗号化プロバイダの優先順位があります。これはなんの目的ですか?
これにより、管理者は、DE インテリジェント クライアントがどのようにクライアントに対してポリシーを実施するかを調整することができます。 Opal 暗号化プロバイダーがソフトウェア暗号化プロバイダーよりも優先度が高い場合、DE クライアントは最初に Opal ドライブを検索します。 接続されたドライブのすべてが Opal をサポートしている場合は、暗号化ポリシーの施行に Opal の機能を使用します。ドライブがこの条件を満たさない場合は、リスト中の次の暗号化プロバイダーに移動します。これは、暗号化ポリシーの施行にソフトウェア暗号化が使用されることを意味します。 優先順位を変更して、ソフトウェア暗号化を最優先にすることにより、Opal ドライブと通常の HDD のどちらがマシンで使用されているかに関わらず、管理者はすべてのマシンがソフトウェア暗号化を使用するように指定できます。
重要:コンピューターに Opal ドライブが装備されている場合、オフライン アクティベーションは最初に Opal 暗号化を使用します。OPAL の設定はオフライン アクティベーション パッケージにハードコードされており、カスタム ポリシー設定は使用されません。
Opal ドライブでは、配備方法は異なっていますか?
いいえ。配備方法は、クライアント システムが Opal ドライブであるか通常の HDD であるかによらず、まったく同じです。
クライアントが Opal の機能を使用しているか、あるいはソフトウェア暗号化を使用しているかを、管理者はどのようにしてわかりますか?
どの暗号化プロバイダーが暗号化ポリシーを強制しているかは、ePO のコンピューターを参照してください。 これが Opal の場合は、Opal の機能を使用しています。
通常のハードディスクを使用しているか Opal ドライブを使用しているかによって、プリブートに違いがありますか?
いいえ。プリブートの動作はまったく同じに見えます。 エンドユーザーがコンピューター上で暗号化を実行しているハードウェアの違いに気がつくことはありません。
コンピューターに Opal ドライブと非 Opal ドライブが各 1 台搭載されている場合はどうなりますか?
ソフトウェア暗号化は唯一のオプションであり、Opal ドライブと非 Opal ドライブが同じコンピューターにある場合、これが自動的に選択されます。
ユーザーが Opal ドライブを使用していることは、暗号化ステータス ダッシュボードでわかりますか?
いいえ、直接はわかりません。Endpoint Encryption ステータス モニター ウィンドウのボリュームまたはドライブのリストから知ることができます。
Opal ドライブで、非暗号化の状態から暗号化された状態に移行するのにどれくらいの時間がかかりますか?
約 1 分です。 これは、ドライブが技術的にはすでに暗号化されているためです。暗号化されていない状態から暗号化された状態に移行する時間は、Opal ドライブのネイティブ ロック メカニズムをアクティブにし、プリブート環境をインストールするのに必要な時間です。
DE から、データの暗号化に使用するキーを確認できますか?
いいえ。暗号化キーは、Opal ドライブの外からはわかりません。
リカバリはどのように機能しますか?
Opal ドライブと通常の HDD の両方で、同じ DE の復旧の手順とツールが利用できます。 Opal ドライブの暗号化キーをドライブ外から取得することはできず、ディスクが復号されることがないため、Opal ドライブは復号される可能性はありませんが、DETech は Opal ドライブをロック解除する最新の方法を取得しています。 DETech は、オペレーティング システムのブートのためにディスクをロック解除するだけです。
サードパーティの法的解析ソフトウェアについてはどうですか? Opal ドライブに使用できますか?
McAfee は、法的解析ソフトウェアを提供している企業と共同で作業をしており、Opal ドライブについてもほぼ同様です。 DE から暗号化キーの提供を受ける代わりに、ドライブをロック解除するために必要な認証情報の提供を DE に求めています。 Opal ドライブのセクター レベルのコピーを取って、その暗号化キーを使用するセクタ- レベルのコピーの解読を実行することは不可能であることに注意してください。
Opal ドライブは常に暗号化されていますか?
はい。ドライブがロックされているかロック解除されているかに関わらず、常に暗号化されています。Opal ドライブを復号化することはできません。 注:ディスク暗号化キー(DEK)は、ドライブから読み取ることはできません。
DE で有効な Opal ドライブの状態にはどのようなものがありますか?
ロック解除状態とロック状態です。
ロック解除状態とロック状態の違いは何ですか?
技術的にはその違いは、ドライブのオンボードの暗号化プロセッサによって暗号化キーにアクセスしている点です。Opal ドライブのデフォルトの状態は何ですか?
- ディスクがロック解除されている場合は、オンボードの暗号化プロセッサはディスク暗号化キーにアクセスでき、ドライブは通常の HDD とまったく同様に動作します。この状態では、Opal ドライブと通常の HDD の違いはエンド ユーザーにはわかりません。
- ディスクがロックされていると、ディスク暗号化キーは保護されていて、プリブート環境では、データにアクセスしオペレーティング システムがブートするためには、ロックを解除する必要があります。 ディスク暗号化キーはドライブ内部に保持されており、それをドライブから読み取ることはできないことに注意してください。
Opal ドライブを購入した直後は、ロック解除の状態です。 通常のHDDと同じように動作し、応答します。 ドライブのネイティブ ロック メカニズムを有効にすることによって、ドライブを明示的にロックする必要があります。 これを行う 1 つの方法は、DE を使用してドライブを管理することです。
どうすれば、ドライブをロック解除状態からロック状態にすることができますか?
プリブート環境を持つ DE などのアプリケーションは、Opal ドライブのネイティブ ロック メカニズムを有効にしてプレブート環境をインストールするために必要な手順を実行する必要があります。 ドライブがロックされると、プリブート環境では、オペレーティング システムが起動プロセスを開始する前に、ドライブをロック解除する必要があります。 プリブート環境がない場合は、ドライブをロック解除してオペレーティング システムが起動できるようにする手段はありません。
ロックされたドライブがロック解除されると、ロック解除の状態はどれくらいの期間続きますか?
Opal ドライブは、次回の電源投入サイクルまで、ロック解除されたままになります。これは、Opal ドライブをロック解除した後は、デバイスの電源をオフにするか、Opal ドライブへの電源供給がなくなるような電源の状態に移行するまで、ロック解除された状態が持続することを意味します。 ただし、DE では、DE のソフトウェア暗号化と同じ使用方法を実現するために、再起動でもドライブが明示的にロックされます。
データを暗号化している暗号化キーを知ることは可能ですか?
いいえ。キーはドライブ内で作成され、ドライブ外からそれを知る方法はありません。どのようなアプリケーションやハードウェアでもドライブのキーを要求することはできません。
ドライブのディスク イメージを取得し、EnCase などのツールを使用してそのドライブを復号化することはできますか
いいえ。キーはドライブ内で作成され、ドライブ外からそれを知る方法はありません。アプリケーションや他のハードウェアがドライブにそのキーを要求することはできないため、EnCase などのツールでは使用できません。
Opal ドライブがロックされていて、パスワードを忘れた場合、どうすれば良いですか?
DE には回復のためのメカニズムがあります。
Opal ドライブを出荷時の状態に復旧することはできますか?
復旧プロセスを実行するための TCG が批准したメカニズムがありますが、ドライブ マスター資格情報を知っておく必要があります。 ドライブ メーカーの一部は、マスター認証情報がわからない場合の、追加の非 TCG 復帰プロセス(PSID復帰とも呼ばれます)を提供しています。 ドライブが PSID の復元をサポートしておらず、ロックアウトされている(何らかの理由で DE の正常な回復機能が動作しない、またはドライブが応答しない)場合、ドライブは使用できなくなり、データが失われ、新しい Opal ドライブを購入する必要があります。 PSID 復元がサポートされている場合は、ドライブをロック解除しなくても出荷時の状態に戻すことができますが、ドライブ上のすべてのデータは失われます。この復元のためのツールは利用可能です(DE でサポートされる使用方法ではありません)。
ハードウェアの物理的な障害が発生し、Opal ドライブがロック解除に応答できなくなった場合はどうなりますか?
その場合は、ドライブは永久に使用不可となります。 データにアクセスする方法はありません。データ損失が発生したと考えて、新しい Opal ドライブを購入してください。 これは、DE が実際のディスク暗号化キーをもっておらず、ドライブから暗号化キーを取得することもできないためです。
Opal ドライブでソフトウェア暗号化を使用できますか?
はい。Opal ドライブのネイティブ ロック メカニズムを有効化するまでは、Opal ドライブは通常の HDD のように応答して動作します。 管理者が、Opal ドライブの本来の機能を使用する代わりにソフトウェア暗号化を使用することができない理由はありません。技術的に言えば、データは 2 回暗号化されます。1 回はソフトウェア暗号化、もう 1 回は Opal ドライブですが、ドライブはロックされないため、Opal 暗号化は透過的です。
Opal ドライブのプリブートは、ソフトウェア暗号化によるプリブートと異なりますか?
はい、および、いいえ、の両方です。 起動前には、オペレーティング システムを起動できるように Opal ドライブのロック解除方法を知っておく必要がありますが、プリブートの残りの部分はソフトウェア暗号化の場合と同じように見えます。 実際、プリブート コードの多くは、ソフトウェア暗号化と Opal の両方のプリブート アプリケーションの間で共有されています。
Opal 規格には複数のバージョンがありますか?
はい。現在実装されているのはバージョン 1.0 です。TCG はバージョン 2.0 も公開しています。TCG Opal v2.0 仕様のサポートは、将来のリリース用に検討中です。
Opal ドライブには、ユーザーという概念がありますか?
はい。ドライブがロックされると、ドライブのロックを解除するためにユーザー名と PIN が必要です。
ユーザーはどこで管理されていますか?
各ユーザーは、Opal ドライブごとに固有でローカルなものです。Opal ドライブを管理するアプリケーションも、Opal ユーザーを管理する必要があります。
Opal ユーザーは、DE ユーザーあるいは Windows ドメイン ユーザーと同じですか?
いいえ。これら 3 つのユーザーはまったく別の実体です。
DE が必要な管理をすべて実行しますか?
はい。
Opal のユーザーの最大数はありますか?
はい。1 台の Opal ドライブに割り当てることのできる Opal ユーザーの数はわずかです。 サポートされる Opal ユーザーの最大数は、Opal ドライブのメーカーによって異なります。
Opal ユーザーとして設定可能なユーザー数よりも多くの DE ユーザーをデバイスに割り当てたい場合は、どうなりますか?
DE のアーキテクチャでは、デバイス上の Opal ユーザー数の技術的な制限に関わらず、必要な数のユーザーを Opal ドライブに割り当てることができます。 その複雑さは管理者からは見えないようになっており、通常の HDD と同じ方法で、ユーザーをデバイスに割り当てることができます。デバイスに割り当てるユーザーの数は、使用されるハードディスクの種類によらず、一定にすることが推奨されます。
1 台の Opal ドライブに 2 つ以上の暗号化キーを設定できますか?
はい。Opal の仕様に、論理ブロックアドレス(LBA)に関する仕様がありますが、ローカル領域としても参照できます。
グローバル領域とは何ですか?
グローバル領域には、定義されたローカル領域以外の、ディスクのすべてのセクターが含まれます(下記参照)。
ローカル領域とは何ですか?
ローカル領域は、セクターの連続した領域で、セクター毎に異なる暗号化キーがあります。この領域は、ロックすることができ、ロック解除のままにすることもできます。例えば、ローカル範囲をパーティションに適用することができますが、範囲はパーティションに正確にマッピングする必要はありません。
ローカル領域を使用する理由は何ですか?
ディスクがロックあるいはロック解除されているかどうかに関わらず、ディスクの特定の部分を常にアクセス可能な状態にしておきたい場合などに利用できます。
ローカル領域はセクターの連続領域です。新しい領域を定義するとどうなりますか?
その新しい領域に対して、新しい暗号化キーが自動的に生成されます。Opal ドライブが、再暗号化をサポートしている場合は、データは古いキーで復号化されて、新しいキーで再暗号化されます。 再暗号化は、標準のオプションであり、現時点ではこれをサポートしているドライブは存在しないようです。ドライブが再暗号化をサポートしていない場合は、その領域は、暗号化された状態で消去されるため、その領域に以前あったデータは失われます。
パーティション ツールを使用している場合、ローカル範囲を使用するとすべてのデータを失う可能性がありますか?
はい、失われる可能性があります。
ローカル領域はいくつ作成できますか?
Opal の標準仕様では最低 5 つ(グローバル領域を含む)です。
DE では、ローカル領域でパーティションをロックするかどうかを指定できますか?
いいえ。
DE は Opal ドライブで S3 をサポートしていますか?
はい。
S3 とは何ですか?
S3 は、スタンバイ、スリープ、Suspend to RAM などで知られている電源の状態です。 S3 状態にあるシステムは、電源がオフの状態に見えます。CPU には電源が供給されておらず、RAM は低速リフレッシュモードで、電源装置は低電力モードになっています。
Opal ドライブは、電源オフ時にロックされています。これはが問題ありますか?
はい。ドライブがロックされている場合は Windows を再起動するのは困難です。Windows はドライブをロック解除することができません。 TCG は、S3 に対して一般的で合意されたソリューションをもっていません。
S3 は DE で動作するため、S3 サポートの独自の実装ですか?
はい。
Opal と普通の HDD が 1 台のコンピュータにあるとどうなりますか?DE は Opal ドライブにネイティブの Opal 機能を使用し、通常の HDD にはソフトウェア暗号化を使用しますか?
いいえ。これは、混在モード環境と呼ばれるものです。 DE は、コンピューターで暗号化ポリシーを強制する方法を決定する必要があります。
DE は混在モードをサポートしていますか?
はい。混在モードは、コンピューターに 2 台以上の HDD ドライブがある状況、および Opal ドライブと通常の HDD の組み合わせがある状況として定義されています。 最低の共通の選択肢は、常にソフトウェア暗号化です。 他に選択肢がない場合は、ソフトウェア暗号化が、Opal ドライブと通常の HDD の両方の暗号化に使用されます。
DE は Intel CPU を搭載した Mac ハードウェア上の Windows オペレーティング システムをサポートしていますか?
いいえ。DE は Mac ハードウェアではサポートされていません。 Macintosh ハードウェアのサポートについては、Management of Native Encryption の最新バージョンをインストールしてください。
免責事項
言語:
この記事は、次の言語で表示可能です: