Sophos Disk Encryption ヘルプ

Sophos Disk Encryption
ヘルプ
製品バージョン: 5.61
ドキュメント作成日: 2012年 6月
目次
1 Sophos SafeGuard について...............................................................................................3
2 セキュリティのベストプラクティス ............................................................................5
3 Power-on Authentication.....................................................................................................7
4 Power-on Authentication: Windows Vista および Windows 7 環境..............................16
5 Windows Vista および Windows 7 へのログオン..........................................................19
6 Lenovo 指紋認証リーダーを使用したログオン.........................................................21
7 システム トレイ アイコンとツールチップ................................................................29
8 POA からのユーザーの削除...........................................................................................32
9 エクスプローラのショートカット メニューを使用して機能にアクセス...........33
10 データの暗号化..............................................................................................................34
11 Sophos SafeGuard と Opal 準拠の自己暗号化ハードドライブ...............................36
12 復旧オプション..............................................................................................................37
13 Local Self Help による復旧.............................................................................................38
14 チャレンジ/レスポンスによる復旧............................................................................48
15 テクニカルサポート......................................................................................................52
16 ご利用条件.......................................................................................................................53
2
ヘルプ
1 Sophos SafeGuard について
Sophos SafeGuard は、ポリシー ベースの暗号化機能を使って、エンドポイン
トコンピュータに保存されている情報を保護します。主な機能は、データ暗
号化と不正アクセスに対する保護です。Sophos SafeGuard の認証システムで
ある Power-on Authentication (POA) は強力なアクセス保護を実現し、使いや
すいインターフェースは、ログオン情報を復旧する際にも使用できます。
1.1 Sophos SafeGuard の機能
Sophos SafeGuard には次の機能があります。
■
Power-on Authentication
コンピュータの電源を入れた直後に、ユーザーのログオンが実行されま
す。Power-on Authentication が正常に完了すると、ユーザーは OS に自動
的にログオンします。
■
Power-on Authentication での復旧オプション
パスワードを忘れた場合などの復旧のために、Sophos SafeGuard には次の
オプションが用意されています。
パスワードを忘れた場合は、Local Self Help を使用することで、ヘルプ
デスク担当者の支援を受けずにコンピュータに再度アクセスできます。
コンピュータにログオンするために必要なことは、Power-on
Authentication で事前に定義されたいくつかの質問に回答するだけです。
Local Self Help を使用すると、電話もネットワーク接続も利用できない
場合 (飛行機に乗っている場合など) などに再度アクセスできます。詳
細は、Local Self Help による復旧 (p. 38) を参照してください。
チャレンジ/レスポンスは、コンピュータにログオンできない場合や暗
号化されたデータにアクセスできない場合に、ヘルプデスク担当者が
ユーザーを支援するための、安全性および効率性の高い復旧システム
です。詳細は、チャレンジ/レスポンスによる復旧 (p. 48) を参照してく
ださい。
■
フルディスク暗号化
ユーザーが通常の操作手順を変更したり、セキュリティを特に考慮したり
しなくても、ボリューム上のすべてのデータ (起動ファイル、スワップ
ファイル、アイドル ファイル/ハイバネーション ファイル、一時ファイ
ル、ディレクトリ情報などを含む) が透過的に暗号化されます。
■
Sophos SafeGuard システム トレイ アイコン
3
Sophos Disk Encryption
Sophos SafeGuard システム トレイ アイコンから、重要な機能すべてにアク
セスできます。システム トレイ アイコンは Windows タスク バーにありま
す。詳細は、システム トレイ アイコンとツールチップ (p. 29) を参照して
ください。
4
ヘルプ
2 セキュリティのベストプラクティス
ここで説明する簡単な手順に従うことによって、コンピュータ上のデータを
常に安全に保護することができます。
コンピュータを使用していない場合は、シャットダウンまたは休止状態にする
Sophos Disk Encryption で保護されているコンピュータであっても、スリープ
モードによっては OS が完全にシャットダウンされず、バックグラウンド プ
ロセスが実行中のことがあるので、攻撃者が暗号化鍵にアクセスできる場合
があります。OS を常に正しくシャットダウンまたは休止状態にするように
すれば、保護は強化されます。
コンピュータを使用していない場合やアイドル状態のときは、次の点に注意
してください。
■
スリープ (スタンバイ/一時停止) モードの使用は避ける。Windows Vista お
よびWindows 7 環境では、ハイブリッド スリープ モードの使用も避ける。
ハイブリッドスリープモードは、休止状態とスリープを組み合わせたモー
ドです。
■
完全にシャットダウンまたは休止状態にしない場合は、単にデスクトップ
コンピュータをロックしてモニターの電源を切ったり、モバイル PC のカ
バーを閉じたりしない。再開後、パスワードの入力が必要となるように設
定しても、十分な保護は提供されません。
■
代わりにコンピュータを正しくシャットダウンまたは休止状態にする。
ヒント: 休止状態ファイルは、暗号化されたドライブに保存する必要があ
ります。通常、保存先は C: ドライブです。
空港など、公共の場所でモバイル PC を使用する場合は、特にここでの手順
を実行するようにしてください。
コンピュータを休止状態または正しくシャットダウンすると、次に使用する
際、Power-on Authentication が有効化され、より高レベルの保護を提供する
ことができます。
強力なパスワードを選ぶ
データ保護にあたり、強力なパスワードを指定することは重要です。特に、
コンピュータのログオンには、強力なパスワードを指定してください。
強力なパスワードとは、次の条件を満たすものを指します。
■
十分な長さがある (最低 10文字)。
5
Sophos Disk Encryption
■
半角英字 (大文字、小文字)、半角数字、および記号が組み合わされてい
る。
■
一般的な単語や名称を含んでいない。
■
他人に推測されるのは難しいが、自分にとって覚えやすく、正確に入力し
やすい。
パスワードは、定期的に変更するようにしてください。また、他人と共有し
たり、書き留めたりしないでください。
すべてのドライブにドライブ文字が割り当てられているようにする
暗号化の対象になるのは、ドライブ文字が割り当てられているドライブのみ
です。割り当てられていない場合、そのドライブから機密データが平文で漏
えいする恐れがあります。
防止対策は次のとおりです。
6
■
ドライブ文字の割り当てを変更しない。
■
ドライブ文字が割り当てられていないドライブがある場合は、システム管
理者に連絡する。
ヘルプ
3 Power-on Authentication
Power-on Authentication (POA) では、コンピュータの OS が起動する前にユー
ザーを認証する必要があります。認証後 Windows が起動し、ユーザーは自
動的にログオンされます。この処理は、コンピュータがハイバネーション
(休止状態) から復帰する場合も同じです。
3.1 Sophos SafeGuard インストール後の初回のログオン
Sophos SafeGuard を Power-on Authentication (POA) とともにインストールした
場合、インストール後の初回のシステム起動では起動手順が異なります。
Sophos SafeGuard が起動手順に組み込まれたため、新しい起動メッセージ (自
動ログオン画面など) がいくつか表示されます。その後、Windows OS が起動
します。
インストール後の初回のログオンでは、通常どおりに、まず Windows に正
常にログオンする必要があります。その後、Sophos SafeGuard ユーザーとし
て登録されます。この登録処理によって、次回のシステム起動時に自分のロ
グオン情報が POA で認識されるようになります。
ヒント: 登録に成功すると、これを通知するツールチップがコンピュータに
表示されます。
コンピュータを再起動すると、POA がアクティブになります。これ以降、
ユーザーは自分の Windows ログオン情報を POA で入力します。続いてユー
ザーは、パスワードを入力しなくてもWindows に自動的にログオンします。
Power-on Authentication では、Windows のユーザー名とパスワードを使用し
てログオンできます。
ヒント: Sophos SafeGuard がインストール済みのエンドポイント コンピュー
タの設定は、SEC 管理者によって定義され、ポリシー ファイルとしてユー
ザーに配布されます。
7
Sophos Disk Encryption
3.2 Power-on Authentication でログオンする
Power-on Authentication がアクティブになった後、Power-on Authentication の
ログオン ダイアログで Windows ユーザー ログオン情報を入力してログオン
します。Windows には自動的にログオンします。
Windows への自動ログオンは、ログオン ダイアログの「オプション >>」ボ
タンをクリックし、「Windows へのパス スルー 」を選択から外すことで無
効にできます。自動ログオンの無効化は、そのコンピュータで他のユーザー
が Power-on Authentication を使用できるようにする場合などに必要です (他
のユーザーをインポートする (p. 9) を参照してください)。
ヒント:
POA でログオンする際は、大文字と小文字を区別して入力するようにしてく
ださい。
POA のユーザー名やパスワードは全角文字に対応していません。必ず半角文
字を使用してください。また、Windows のログオン情報も、半角文字のみで
構成されている必要があります。
ログオン失敗時のログオン待機時間
パスワードが間違っていたなどの理由で Power-on Authentication でのログオ
ンに失敗した場合は、エラーメッセージが表示され、次回のログオンに遅延
が設定されます。ログオンに失敗するたびに、遅延時間は長くなります。ロ
グオンの失敗はログに記録されます。
マシンのロック
ログオンに 16回失敗すると、コンピュータはロックされます。コンピュータ
のロックを解除するには、チャレンジ/レスポンスを起動してください (チャ
レンジ/レスポンスによる復旧 (p. 48) を参照してください)。
3.2.1 初回の POA ログオンの例
初回ログオンの手順は、ご使用のコンピュータに POA がインストールされ
有効になっている場合のみ、ここで説明する手順と一致します。
システム構成によっては、「Ctrl+Alt+Del」キーを押すように求められるこ
とがあります。その後、ログオン手順が続行されます。
1. コンピュータの電源を入れます。
「POA 自動ログオン」ダイアログが表示されます。
8
ヘルプ
2. 次に、「Windows ログオン」ダイアログが表示されます。Windows にロ
グオンします。
3. ご使用のポリシー、証明書、および鍵がすべてこのエンドポイント コン
ピュータ上にある場合、Sophos SafeGuard システム コア内にユーザー用の
エントリが作成されます。
4. コンピュータが再起動すると、ユーザーは POA でログオンできます。
3.3 他のユーザーをインポートする
ご使用のコンピュータに他の Windows ユーザーがログオンすることを許可
する方法は次のとおりです。
1. コンピュータの電源を入れます。
POA のログオン ダイアログが表示されます。他の Windows ユーザーは、
必要な鍵および証明書を持っていないため、POA にログオンできません。
2. POA のログオン情報を入力します。
3. POA のログオン ダイアログで、「オプション」をクリックし、「Windows
へのパス スルー」チェック ボックスを選択から外します。
Windows ログオン ダイアログが表示され、2人目のユーザーはログオンを
求められます。
4. 2人目のユーザーは、自分の Windows ログオン情報を入力します。
5. 2人目のユーザー用のエントリが Sophos SafeGuard システム コア内に作成
されます。
次回のコンピュータ起動時から、このユーザーは Power-on Authentication で
ログオンできます。
3.4 POA の一時パスワード
Sophos SafeGuard では、POA のパスワードを一時的に変更することができま
す。入力したパスワードを他人に見られた疑いがある場合などは、パスワー
ドを一時的に変更することをお勧めします。
例:空港などの公共の場所でノート PC を起動したことを想定します。POA で
入力したパスワードを他人に見られた可能性があるとします。Active Directory
に接続していないため、Windows パスワードを変更することはできません。
9
Sophos Disk Encryption
解決策:POA パスワードを一時的に変更し、認証されたユーザー以外はパス
ワードがわからないようにします。Active Directory に再接続すると直後に、
一時パスワードの変更を求めるメッセージが自動的に表示されます。
1. POA ログオン ダイアログで、既存のパスワードを入力します。
2. 「F8」キーを押します。
ヒント: 「F8」キーを押す前に既存のパスワードを入力しないと、ログオ
ンに失敗したとシステムが解釈し、エラー メッセージが表示されます。
3. ダイアログで、新しいパスワードを入力し、確認入力します。
ここで行うパスワードの変更は一時的なものであることが表示されます。
4. 「OK」をクリックします。
ヒント: このダイアログをキャンセルすると、古いパスワードを使用して
ログオンされます。
Windows のログオン ダイアログが表示されます。
ヒント:
ここでのログオンは、システムで構成されている場合でも、Windows にパ
ス スルーされません。Windows のログオンでは、「古いパスワード」を
入力してください。一時パスワードは、POA でのログオンのみで有効で
す。
5. 「OK」をクリックします。
ユーザーは Windows にログオンします。
以後、POA でログオンするには、一時的に定義されたパスワードしか使用で
きません。この一時パスワードは、Windows ログオンでパスワードが変更さ
れるまで有効です。その変更を行って初めて、ログオンを POA からWindows
に再度パス スルーすることができます。
一時パスワードの変更
POA で一時的に変更したパスワードは、後で変更して、再度 Windows のパ
スワードと同じにする必要があります。
Windows にログオンすると、Active Directory に再接続したらすぐにパスワー
ドを変更するよう、Sophos SafeGuard によってプロンプト表示されます。
パスワードの変更を求めるダイアログは、実際にパスワードを変更せずに
キャンセルすることができます。この場合、パスワードを変更するまで、ロ
グオンするたびにこのダイアログが表示されます。
10
ヘルプ
ヒント: POA のパスワードは、Active Directory に接続している状態でも、一
時的に変更することができます。この場合、POA でパスワードを一時的に変
更した直後に、パスワードの変更を求めるダイアログが表示されます。ただ
し、それをキャンセルして、「古いパスワード」を使用してログオンできま
す。パスワードは後で変更することができます。
3.5 ログオン復旧
Sophos SafeGuard には、パスワードを忘れた場合など、さまざまな復旧シナ
リオに合わせていくつかのオプションが用意されています。各コンピュータ
で使用できる復旧方法は、SEC 管理者が指定した設定によって異なります。
詳細は、復旧オプション (p. 37) を参照してください。
3.6 仮想キーボード
POA では、画面の仮想キーボードを表示/非表示にしたり、画面上のキーを
クリックしてログオン情報などを入力したりできます。
POA で仮想キーボードを表示するには、POA ログオン ダイアログで「 オプ
ション >>」をクリックし、「仮想キーボード」チェック ボックスを選択し
ます。
仮想キーボードは各種レイアウトに対応しており、POA のキーボード レイ
アウトを変更するのと同じオプションを使用してレイアウトを変更できます
(キーボードのレイアウトを変更する (p. 12) を参照してください)。
3.7 キーボードのレイアウト
通常、国ごとに独自のキーボードのレイアウトがあり、キーの割り当てが異
なっています。POA では、ユーザー名、パスワード、およびレスポンスコー
ドを入力する際に、適切なキーボードのレイアウトが設定されていることが
重要になります。
Sophos SafeGuard では、インストール時に Windows デフォルト ユーザーの
「地域と言語のオプション」で設定されていたキーボードのレイアウトが
POA のデフォルトとして使用されます。Windows でキーボードのレイアウト
として「ドイツ語」が設定されている場合、ドイツ語のキーボードのレイア
ウトが POA で使用されます。
使用されているキーボードのレイアウトの言語は、POA に表示されます (例:
英語の場合は、「EN」)。デフォルトのキーボードのレイアウトとは別に、
US キーボードのレイアウト (英語) も使用できます。
11
Sophos Disk Encryption
3.7.1 キーボードのレイアウトを変更する
Power-on Authentication のキーボード レイアウト (仮想キーボードのレイア
ウトを含む) は変更できます。
1. 「スタート > コントロール パネル > 地域と言語のオプション > 詳細設定」
を選択します。
2. 「地域オプション」タブで、必要な言語を選択します。
3. 「詳細設定」タブで、「既定のユーザー アカウントの設定」の「すべて
の設定を現在のユーザー アカウントと既定のユーザー プロファイルに適
用する」を選択します。
4. 「OK」をクリックします。
次回ログオンするときには、前回、正常にログオンしたときに使用したキー
ボードレイアウトが選択されて自動的に有効になります。これには、エンド
ポイントコンピュータの再起動が 2回必要になります。前回のキーボードレ
イアウトが「地域と言語のオプション」で選択から外されていても、ユー
ザーが別のレイアウトを選択しない限りそのレイアウトが保持されます。
ヒント:
Unicode 対応でないプログラムのキーボード レイアウトの言語も変更する必
要があります。
目的の言語がシステムで使用できない場合は、その言語をインストールする
ことを求めるメッセージが表示されることがあります。その後、コンピュー
タを 2度再起動する必要があります。最初の再起動は、新しいキーボードの
レイアウトを POA で読み取るためで、2番目の再起動は、POA が新しいレイ
アウトを設定するためです。
POA で使用するキーボードのレイアウトは、マウスやキーボード ( Alt+Shift
キー) を使用して変更できます。
システムにインストール済みで使用可能な言語を確認するには、「スタート
> ファイル名を指定して実行 > regedit」を選択し、
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload の値を参照してください。
3.8 Power-on Authentication で使用できるホットキー/ファン
クション キー
コンピュータを起動するときにハードウェアの機能や設定が原因で問題が発
生し、システムがハングすることがあります。Power-on Authentication では、
12
ヘルプ
これらのハードウェア設定を変更したり機能を無効にしたりするため、数種
類のホットキーを利用できます。
さらに、問題を引き起こすとわかっているハードウェア設定や機能を記載し
たグレー リスト ファイル (POA 構成ファイル) が、暗号化ソフトウェアと共
にコンピュータにインストールされます。
このファイルは、特定の環境のハードウェアを反映するようにカスタマイズ
できます。
詳細は、http://www.sophos.co.jp/support/knowledgebase/article/117142.html を参
照してください。
Power-on Authentication では、数種類のファンクション キーも利用できます。
3.8.1 ホットキー
Shift+F3 = USB レガシー対応 (ON/OFF)
Shift+F4 = VESA グラフィック モード (OFF/ON)
Shift+F5 = USB 1.x および 2.0 対応 (OFF/ON)
Shift+F6 = ATA コントローラ (OFF/ON)
Shift+F7 = USB 2.0 対応のみ (OFF/ON)。USB 1.x への対応は、 Shift+F5 キー
での設定が維持されます。
Shift+F9 = ACPI/APIC (OFF/ON)
ホットキーの依存性一覧表
Shift - F3
Shift - F3
Shift - F7
レガシー
USB 1.x
USB 2.0
注釈
OFF
OFF
OFF
ON
ON
ON
3.
ON
OFF
OFF
OFF
ON
ON
デフォル
ト
OFF
ON
OFF
ON
OFF
OFF
1.、2.
ON
ON
OFF
ON
OFF
OFF
1.、2.
OFF
OFF
ON
ON
ON
OFF
3.
ON
OFF
ON
OFF
ON
OFF
OFF
ON
ON
ON
OFF
OFF
ON
ON
ON
ON
OFF
OFF
2.
13
Sophos Disk Encryption
1. 「Shift - F5」キーにより、USB 1.x と USB2.0 の両方が無効になります。
ヒント: 起動中に「Shift - F5」キーを押すと、POA の起動時間がかなり短
縮されます。ただし、コンピュータで USB キーボードまたは USB マウス
を使用している場合、「Shift - F5」キーを押すと、無効になることがあり
ます。
POA では、BIOS システム マネージメント モード (SMM) 経由で USB キー
ボードを使用することができます。USB トークンには対応していません。
2. USB 対応が有効になっていない場合、POA は USB コントローラのバック
アップと復旧を行う代わりに、BIOS システムマネージメントモード (SMM)
の使用を試みます。このシナリオでは、レガシー モードが動作すること
があります。
3. レガシー対応が有効で、USB も有効です。POA は、USB コントローラの
バックアップと復旧を試みます。使用している BIOS のバージョンによっ
ては、システムがハングすることがあります。
ヒント: ホットキーを使って実行できる変更は、Sophos SafeGuard Client イン
ストール時に .mst ファイルを使用してすでに指定されている場合がありま
す。
POA でホットキーを使用してハードウェアの設定を変更すると、変更した設
定を保存するようダイアログが表示されます。このダイアログには、保存さ
れる設定の概要が表示されます。変更内容を保存するには、「はい」をク
リックします。コンピュータを再起動すると、新しい設定が有効になりま
す。「いいえ」をクリックすると、変更内容は保存されず、コンピュータの
再起動後も古い設定が有効のままになります。
いずれかの POA ダイアログで「F5」キーを押すと、POA の起動に使用され
るホットキーの設定を示すダイアログを開くことができます。起動中にホッ
トキーが変更されると、関連するキーの状態が青で表示されます。青は、
POA を起動するためにキーがこの状態で使用されたが、まだ保存されていな
いことを意味します。変更されていない値は黒で表示されます。ダイアログ
を閉じるには、「F5」キーをもう一度押すか、「Return」キーを押します。
3.8.2 ログオン ダイアログのファンクション キー
ヒント: ファンクション キーはホットキーではありません。
F2 = 自動ログオンを中止します。
F5 = POA の起動に使用されるホットキーの設定を示すダイアログを表示し
ます。
14
ヘルプ
F8 = POA でパスワードを変更します。「Enter」キーの代わりに使用すると、
ログオン後 POA でパスワードを変更できます。
Alt + Shift (左側の「Alt」キーと左側の「Shift」キー) = キーボードの配列を
日本語と英語で切り替えます。
POA をキャンセルし、シャットダウンの準備をする
Ctrl+ Alt + Del = 認証に失敗したが、コンピュータを安全にシャットダウン
する場合に使用します。このキーの組み合わせは、「シャットダウン」ボタ
ンと同じ動作をします。
ヒント: 指紋を使用したログオンが有効になっている場合、「Ctrl + Alt +
Del」キーを押して、ユーザー名とパスワードによる POA ログオン ダイアロ
グに切り替えることができます。指紋を使用したログオンの詳細について
は、Lenovo 指紋認証リーダーを使用したログオン (p. 21) を参照してくださ
い。
3.9 パスワードの同期
Sophos SafeGuard では、Windows パスワードが変更された場合、Sophos
SafeGuard のデータべースに保存されているパスワードに一致しなくなった
ことが自動的に検出されます。これは、VPN 経由で、別のコンピュータ上
で、または Active Directory で Windows パスワードが変更された場合に発生
する可能性があります。
Sophos SafeGuard でこの状況が検出されると、古いパスワードを入力するよ
う表示されます。その後、Sophos SafeGuard に保存されていたパスワードが、
新しい Windows パスワードに更新されます。
パスワードの同期は、次の 2つの状況で実行されます。
■
ログオン中。
■
Windows のロック/ロック解除処理中。
15
Sophos Disk Encryption
4 Power-on Authentication: Windows Vista および
Windows 7 環境
Windows Vista および Windows 7 環境での Power-on Authentication の表示内容
と動作は、Windows XP 環境での表示内容と動作と同じです。相違点は、OS
にログオンするときだけです。
ヒント: ここでは、Windows Vista および Windows 7 における相違点だけを説
明します。ここで相違点が特に明記されていない事柄については、「Power-on
Authentication」のセクションで説明している手順やプロセスが適用されます
(Power-on Authentication (p. 7) を参照してください)。
4.1 Sophos SafeGuard インストール後の初回のログオン:
Windows Vista および Windows 7 環境
Sophos SafeGuard を Power-on Authentication とともにインストールした場合、
Sophos SafeGuard インストール後の初回のシステム起動では起動手順が異な
ります。Sophos SafeGuard が起動手順に組み込まれたため、新しい起動メッ
セージ (自動ログオン画面など) がいくつか表示されます。その後、Windows
OS が起動します。
ヒント: Windows Vista および Windows 7 環境では、自動ログオンやログオン
を開始するには、まず、「Ctrl + Alt + Del」キーを押す必要があります。管
理者は、MMC コンソールの「グループ ポリシー オブジェクト エディタ」
で、「Windows の設定 > セキュリティの設定 > ローカル ポリシー > セキュ
リティ オプション」を選択し、「対話型ログオン: Ctrl+Alt+Del を必要とし
ない」を「有効」に指定します。
インストール後の初回のログオンでは、通常どおりに自分のログオン情報を
使用して、まず、Windows に正常にログオンする必要があります。その後、
Sophos SafeGuard ユーザーとして登録されます。この登録処理によって、次
回のシステム起動時に自分のログオン情報が POA で認識されるようになり
ます。
登録に成功すると、このことを知らせるツールチップがコンピュータに表示
されます。
コンピュータを再起動すると、POA がアクティブになります。これ以降、
ユーザーは自分の Windows ログオン情報を POA で入力します。続いてユー
ザーは、パスワードを入力しなくても Windows に自動的にログオンします
(Windows への自動ログオンが有効になっている場合)。
POA では、ユーザー名とパスワードを使用してログオンできます。
16
ヘルプ
ヒント: Sophos SafeGuard がインストール済みのエンドポイント コンピュー
タの設定は、SEC 管理者によって定義され、ポリシー ファイルとしてエンド
ポイント コンピュータに配布されます。
4.1.1 初回のログオンの手順
ここでは、Sophos SafeGuard のインストール後に初めてコンピュータにログ
オンするときの手順について説明します。ここで説明する手順は、ご使用の
コンピュータに POA がインストール済みで有効になっている場合のみを対
象にしています。
1. エンドポイント コンピュータが起動します。「Sophos SafeGuard 自動ログ
オン」ダイアログが表示されます。
自動ログオンが設定済みのユーザーがログオンされます。
2. Windows Vista/Windows 7 のログオン ダイアログが表示されます。
Windows Vista/Windows 7 環境では、Sophos SafeGuard 認証方法、または
Windows Vista/Windows 7 認証方法を使用できます。
3. いずれの認証方法を使用した場合でも、Windows Vista/Windows 7 では、
次の 2つのアイコンが表示されます。
■
■
「他のユーザー」アイコン: ログオン情報を入力するダイアログを開く
には、これをクリックします。
アイコンの下にユーザー名が表示されているアイコン: 前回システムに
ログオンしたユーザーのユーザー情報を含むダイアログを開くには、
これをクリックします。パスワードを入力するだけでログオンできま
す。
Sophos SafeGuard アイコンの下に自分のユーザー名が表示されている場合
は、それをクリックします。表示されていない場合は、「他のユーザー」
アイコンをクリックします。
4. Windows ユーザー ログオン情報を通常どおりに入力します。
次回のシステム起動時には、POA で自分の Windows ユーザー ログオン情
報 (ユーザー名とパスワード) を入力するだけで、自動的にログオンでき
ます。
Power-on Authentication の機能をすべて有効にするには、コンピュータを再
起動する必要があります。再起動後、コンピュータは POA によって不正ア
クセスから保護されます。
17
Sophos Disk Encryption
4.2 Power-on Authentication でログオンする: Windows Vista
および Windows 7
Power-on Authentication が有効になった後 (初回の同期および再起動の実行)、
Power-on Authentication のログオン ダイアログに Windows ユーザー ログオン
情報を入力してログオンします。Windows には自動的にログオンします。
ヒント: ログオン ダイアログの「オプション >>」ボタンを押し、「Windows
へのパススルー」を選択から外すことで、Windows への自動ログオンを無効
にできます。自動ログオンの無効化は、そのコンピュータで他のユーザーが
Power-on Authentication を使用できるようにする場合などに必要です (他の
ユーザーをインポートする (p. 9) を参照してください)。
ログオン失敗時のログオン待機時間
パスワードが間違っていたなどの理由で Power-on Authentication でのログオ
ンに失敗した場合は、エラーメッセージが表示され、次回のログオンに遅延
が設定されます。ログオンに失敗するたびに、遅延時間は長くなります。ロ
グオンの失敗はログに記録されます。
マシンのロック
ログオンに 16回失敗すると、コンピュータはロックされます。コンピュータ
のロックを解除するには、チャレンジ/レスポンスを起動してください (チャ
レンジ/レスポンスによる復旧 (p. 48) を参照してください)。
18
ヘルプ
5 Windows Vista および Windows 7 へのログオン
Windows Vista および Windows 7 環境では、Sophos SafeGuard 認証方法とは違
う別の方法で認証を行うことができます。
Power-on Authentication のログオン ダイアログで、「Windows へのパスス
ルー ログオン」を選択から外すと、「Windows Vista/Windows 7 ログオン」
ダイアログが表示されます。このダイアログで、別の認証方法を選択するこ
ともできます。
ヒント: 別の認証方法を使用しても、コンピュータで Sophos SafeGuard が非
アクティブになるというわけではありません。この場合、Windows ログオン
時ではなく、Windows ログオン後に Sophos SafeGuard にログオンします。
5.1 Sophos SafeGuard 認証方法を使ってログオンする
通常、Power-on Authentication (POA) で自分のパスワードを入力すると、自
動的に Windows にログオンします。「POA ログオン」ダイアログで、
「Windows へのパススルー」を選択から外して、Sophos SafeGuard 認証方法
を使った場合は、Sophos SafeGuard のすべての機能は、Windows Vista/Windows
7 へログオンした後、使用可能になります。
必要な鍵が使用可能になり、定義されているポリシーに従ってすべてのデー
タが暗号化および復号化されます。
5.2 Windows Vista/Windows 7 認証方法を使ってログオンす
る
「Windows ログオン」ダイアログで、Windows へログオンするために、Sophos
SafeGuard 認証方法ではなく、別の認証方法を選択することができます。
Windows Vista/Windows 7 認証方法を使用した場合、OS にログオンした後で
Sophos SafeGurad へのログオンが実行されます。
Windows Vista/Windows 7 にログオン後、必要に応じて Sophos SafeGuard 認証
アプリケーションが自動的に起動されます。これによって、Sophos SafeGuard
の機能すべてが利用できるようになります。
ユーザーのログオン情報を入力するためのダイアログが表示されます。
1. ログオン情報を入力し、「OK」をクリックします。
これで Sophos SafeGuard の機能が使用可能になり、必要な鍵を持っていれ
ば、暗号化されたデータへのアクセスなどができます。
19
Sophos Disk Encryption
5.3 パスワードの同期: Windows Vista および Windows 7 環
境
Sophos SafeGuard では、Windows パスワードが変更された場合、保存されて
いるパスワードに一致しなくなったことが自動的に検出されます。これは、
VPN 経由で、別のコンピュータ上で、または Active Directory で Windows パ
スワードが変更された場合に発生する可能性があります。
Sophos SafeGuard でこの状況が検出されると、古いパスワードを入力するよ
うメッセージが表示されます。その後、Sophos SafeGuard に保存されていた
パスワードが、新しい Windows パスワードに更新されます。
パスワードの同期は、次の 2つの状況で実行されます。
20
■
ログオン中。
■
Windows のロック/ロック解除処理中。
ヘルプ
6 Lenovo 指紋認証リーダーを使用したログオン
ユーザーは、コンピュータ、アプリケーション、およびネットワークにアク
セスするために、多くの異なるパスワードと PIN を覚えておく必要がありま
す。指紋認証リーダーを使用すれば、パスワードを使用しなくても、リー
ダーに指を通すだけでログオンできるようになります。
また、指紋情報を紛失したり忘れたりすることもありません。未認証の他人
がこの情報を推測することもできません。このように指紋認証リーダーを使
用することで、ログオン操作が簡略化され、セキュリティが向上します。
Sophos SafeGuard では、Power-on Authentication と Windows ログオンで指紋
ログオンに対応しています。たとえば、Lenovo ノート PC にログオンする場
合は、ノート PC に付属の指紋認証リーダーに指を通すだけでログオンでき
ます。残りのログオン手順は自動的に実行されます。また、指紋認証リー
ダーに指を通すだけで Windows デスクトップのロックおよびロック解除を
行うこともできます。
指紋認証リーダーは一部の Lenovo ノート PC に組み込まれています。ただ
し、外付け USB キーボードを使用して指紋ログオンを行うこともできます。
ヒント:
■
1台のコンピュータに一度に接続できる指紋認証リーダーは 1つだけです。
■
リモートの指紋ログオンには対応していません。
6.1 要件
指紋ログオンを使用するには、次の要件を満たしている必要があります。
一般的な要件
■
Lenovo ハードウェア。
■
ノート PC の Lenovo 指紋認証リーダーまたは指紋認証リーダー付き USB
キーボード
■
最新の BIOS (推奨)。
■
Sophos SafeGuard
■
推奨されている次のベンダ固有のソフトウェアを、Sophos SafeGuard をイ
ンストールする前にインストールする必要があります。
■
AuthenTec 用 ThinkVantage Fingerprint
21
Sophos Disk Encryption
または
■
■
UPEK 用 ThinkVantage Fingerprint。
SEC 管理者は、ポリシーで指紋ログオンをアクティブに設定しておく必要
があります。
システム要件
■
Windows XP、32 ビット版
■
Windows Vista、32 ビット版、64 ビット版
■
Windows 7、32 ビット版、64 ビット版
対応ハードウェア
対応している指紋ログオンのハードウェアの詳細は、
http://www.sophos.co.jp/support/knowledgebase/article/108789.htmlを参照してく
ださい。
対応ソフトウェア
対応している指紋ログオンのソフトウェアの詳細は、
http://www.sophos.co.jp/support/knowledgebase/article/111626.htmlを参照してく
ださい。
6.2 指紋を登録する
指紋を使用してノート PC やデスクトップ PC にログオンするには、推奨さ
れているベンダ固有のソフトウェアを使用して、1つまたは複数の指紋を事
前に登録する必要があります。この登録プロセスで、登録する指紋とログオ
ン情報 (ユーザー名とパスワード) が関連付けられます。
前提条件:以下の説明では、推奨されているベンダ固有のソフトウェアと
Sophos SafeGuard の両方がインストール済みであることを前提としています。
1. Power-on Authentication (POA) で、ユーザー名とパスワードを入力してロ
グオンします。
22
ヘルプ
2. インストール済みのベンダ固有のソフトウェアを使用して、1つまたは複
数の指紋を登録します。この登録により、指紋が Windows ログオン情報
に関連付けられます。
a) 指紋の登録方法の説明については、ThinkVantage Fingerprint ソフトウェ
アのドキュメントを参照してください。
b) 「BIOS の POA パスワード」オプションを有効にします (UPEK のみ。
AuthenTec の場合、この手順は必要ありません)。
c) POA で指紋ログオンを使用するには、はじめに、指紋を使用して
Windows にログオンして、ログオン情報を指紋認証リーダーに転送す
る必要があります。UPEK の場合は、登録した指紋を指紋認証リーダー
に通すだけです。AuthenTec の場合は、初回ログオン時に Windows パ
スワードも入力する必要があります。
3. PC/ノート PC を再起動します。
4. 登録した指紋をテストするには、コンピュータを再起動した後で指紋認証
リーダーに指を通します。
指紋が登録されているものと一致すれば、自動的に Windows にログオン
します。
6.3 指紋を使用して Power-on Authentication にログオンする
前提条件:
■
SEC 管理者は、該当する「認証」ポリシーで、指紋オプションを設定して
おく必要があります。
■
1つまたは複数の指紋を登録しておく必要があります。
1. コンピュータを再起動します。
指紋でログオンするための POA ダイアログが表示されます。
2. 登録してある指の 1つをリーダーに通します。
指紋の認識に成功すると、Power-on Authentication によってログオン情報
が読み込まれ、Windows に送信されます。
ヒント: ログオン手順では、要求、通知、または警告として、短いテキス
ト メッセージ付きのアイコンが表示されます (ログオン プロセスで使用さ
れるアイコン (p. 24) を参照)。
23
Sophos Disk Encryption
ユーザーは Windows に自動的にログオンします。さらに認証情報が要求さ
れることはありません。
ヒント:
■
Windows での登録プロセスが正常に完了していなかった場合 (たとえば、
指紋登録後に Windows をログオフして再度ログオンしていない場合)、登
録した指紋と一致していることは POA で検出されます。
ただし、関連付けされたログオン情報は見つかりません。この場合、ユー
ザー名とパスワードを使用してログオンするようエラー メッセージが表
示されます。入力後、Windows へのパス スルーは行われず、ログオン情
報は指紋認証リーダーに転送されます。
6.3.1 ログオン プロセスで使用されるアイコン
Power-on Authentication で指紋を使用してログオンする際、要求、通知、お
よび警告としてアイコンが使用されます。これらのアイコンは、ログインプ
ロセス中に短いテキスト メッセージと一緒に表示されます。
指紋認証リーダーに指を通して今すぐ使用
できることを示しています。
指紋ログオンが現在有効になっていないこ
とを示しています。指紋ログオンモジュー
ルがまだ初期化されていない場合などに表
示されます。
指紋認証リーダーが正常に動作していて使
用中であることを示しています。
指紋の読み込みに成功して、一致する指紋
が検出されたことを示しています。
24
ヘルプ
指紋の読み込みに成功したが、一致する指
紋が検出されなかったことを示しています。
指紋が読み取れなかったことを示していま
す。指紋認証リーダーに再度、指を通して
ください。
指を置く場所が左 (または右) にずれている
ことを示しています。指を指紋認証リーダー
の中央に移動してください。
指を通す角度が横にずれて斜めであったこ
とを示しています。指紋認証リーダーに再
度、指を通してください。
指の動きが速すぎたことを示しています。
指紋認証リーダーに再度、指を通してくだ
さい。
指を通す時間が短すぎたことを示していま
す。指紋認証リーダーに再度、指を通して
ください。
25
Sophos Disk Encryption
6.3.2 ログオンの失敗
指を 5回通しても指紋の読み取りができなかった場合は、ログオンの失敗と
見なされ、イベントログが記録されます。この場合、次にログオンできるま
で待機時間が発生します。
指紋の読み取りにエラーなしで成功した後、登録済みの指紋との照合を 5回
試みても一致するものが検出されなかった場合も、ログオンの失敗と見なさ
れ、イベントログが記録されます。この場合も、次にログオンできるまでの
待機時間が発生します。
待機時間はログオンに失敗するたびに長くなります。
6.3.3 ユーザー名とパスワードを使用してログオンする
指紋を使用したログオンが有効になっている場合でも、ユーザー名とパス
ワードを使用して Power-on Authentication にログオンできます。これは、指
紋認証リーダーが破損しているため、指紋でログオンできない場合などに利
用できます。
1. 指紋でログオンするための POA ダイアログで、「Esc」キーまたは
「Ctrl+Alt+Del」キーを押します。
ユーザー名とパスワードでログオンするための POA ダイアログが表示さ
れます。
ヒント: ユーザー名とパスワードでログオンするための POA ダイアログで
「Ctrl+Alt+Del」キーを押すと、コンピュータはシャットダウンします。
この場合、「Ctrl+Alt+Del」キーは「シャットダウン」ボタンに相当しま
す。
ユーザー名とパスワードでログオンするための POA ダイアログは、指紋
認証リーダーを使用できない場合や、指紋認証リーダー上のユーザーデー
タをシステムが検出できない場合にも自動的に表示されます。
ヒント: ユーザー名とパスワードによるログオンは、ローカル キャッシュ
が破損している場合にも自動的に有効になります。この問題が発生した場
合は、コンピュータがロックされるため、チャレンジ/レスポンスを使用
してログオンする必要があります。
26
ヘルプ
2. 「Esc」キーをもう一度押せば、指紋でログオンするための POA ダイアロ
グに戻ることができます。
「Esc」キーを押してユーザー名とパスワードでログオンするための POA
ダイアログに切り替えた後でも、指紋認証リーダーに指を通せばログオン
できます。指紋でログオンするための POA ダイアログに戻る必要はあり
ません。
6.4 パスワードを変更する
1. 指紋を使用したログオンが Power-On Authentication で有効になっている場
合は、「Ctrl+Alt+Del」キーを押して Windows パスワードを変更できま
す。
パスワードを変更すると、指紋認証リーダーに指を通して新しいパスワー
ドを指紋認証リーダーに転送することを求められます。
ヒント:
パスワードを変更するたびに、登録済みのすべての指紋に変更が適用され
ます。
6.4.1 パスワードの同期をとる
Windows パスワードが指紋認証リーダーに保存されているパスワードと一致
しなくなった場合 (パスワードを変更したけれども、新しいパスワードが指
紋認証リーダーに転送されていない、など) は、パスワードを同期できます。
1. コンピュータを再起動します。
2. 指紋でログオンするための POA ダイアログで、「Esc」キーまたは
「Ctrl+Alt+Del」キーを押します。ユーザー名とパスワードでログオンす
るためのダイアログに切り替わります。
3. 「オプション」をクリックし、「Windows へのパス スルー」を無効にし
ます。
4. パスワードを使用してログオンします。
5. Windows のログオン ダイアログが表示されます。登録してある指の 1つを
指紋認証リーダーに通します。
27
Sophos Disk Encryption
6. 指紋は認識されますが、指紋に関連付けられたパスワードが Windows に
よって拒否されます。ログオンに失敗したことが表示されますが、次にロ
グオンできるまでの待機時間は発生しません。
パスワードが変更されたことを示すメッセージが表示され、現在のWindows
パスワードを入力することを求められます。
7. 正しい Windows パスワードを入力してください。
ヒント:
ここで間違った Windows パスワードを入力すると、ログオンの失敗が記
録され、ログオンの待機時間が発生します。何も入力しないでパスワード
入力画面を閉じた場合も、ログオンの失敗として記録され、ログオンの待
機時間が発生します。
パスワードの転送に成功すると、パスワード同期プロセスが完了し、ログ
オンでパスワードが使用できるようになります。
6.5 指紋ログオンの復旧
指紋ログオンに失敗し、ログオンに必要なパスワードを忘れた場合、Sophos
SafeGuard では次の復旧方法を使用することができます。
■
Local Self Help による復旧: 詳細は、Local Self Help による復旧 (p. 38) を参
照してください。
■
チャレンジ/レスポンスによる復旧: 詳細は、チャレンジ/レスポンスによ
る復旧 (p. 48) を参照してください。
各コンピュータで使用できる復旧方法は、SEC 管理者が指定した設定によっ
て異なります。
復旧を開始するには、指紋ログオンのダイアログで「復旧」ボタンをクリッ
クします。
ヒント:
選択した復旧方法によっては、コンピュータの起動時に、パスワードを変更
することができます。パスワードを忘れた場合、復旧を実行できるようにな
ります。この場合、指紋ログイン情報を更新する手段も用意されています。
28
ヘルプ
7 システム トレイ アイコンとツールチップ
以下の機能は、システム トレイ アイコンから利用できます。
■
表示
■
証明書
証明書に関する情報を表示します。
■
Local Self Help
該当するポリシーを使用して、コンピュータで Local Self Help をアクティ
ブにした場合、システム トレイ アイコンのショートカット メニューに
「Local Self Help」コマンドが表示されます。このコマンドを使用すると、
Local Self Help ウィザードを起動できます。Local Self Help は、ヘルプデス
ク担当者の支援を必要としないログオン復旧手段です。詳細は、Local Self
Help による復旧 (p. 38) を参照してください。
■
User Machine Assignments
Power-on Authentication でログオンできるユーザーの一覧を表示します。
表示されるダイアログで、ユーザーをリストから削除することができま
す。削除されたユーザーは、以後、Power-on Authentication でログオンす
ることはできません。
■
状態: Sophos SafeGuard で保護対象のコンピュータの現在の状態を示すダイ
アログを表示します。
フィールド
情報
前回ポリシーを受信した日時
前回コンピュータが新しいポリシーを受信した
日時を表示します。
前回鍵を受信した日時
前回コンピュータが新しい鍵を受信した日時を
表示します。
前回証明書を受信した日時
前回コンピュータが新しい証明書を受信した日
時を表示します。
SGN ユーザーの状態
コンピュータにログオンしているユーザー
(Windows ログオン) の状態を表示します。
■ 保留中
ユーザーが Sophos SafeGuard ユーザーとして
Sophos SafeGuard に割り当て割れている最中
に表示されます。ユーザーのデータが処理さ
れるまで待ちます。完了後、ユーザーの状態
29
Sophos Disk Encryption
フィールド
情報
が自動的に SGN ユーザー (Sophos SafeGuard
ユーザー) に変わります。
■ SGN ユーザー
ユーザーが Sophos SafeGuard ユーザーとして
Sophos SafeGuard に割り当て済みの場合に表
示されます。
■ SGN ゲスト
Windows にログオンしているユーザーが
Sophos SafeGuard ゲスト ユーザーの場合に表
示されます。ユーザーは Sophos SafeGuard で
保護されているこのコンピュータに Sophos
SafeGuard ユーザーとして割り当てられてい
ませんが、Windows へのログオンは許可され
ています。
■ SGN ゲスト (サービス アカウント)
Windows にログオンしているユーザーが
Sophos SafeGuard ゲスト ユーザーの場合で、
インストール後、Power-on Authentication が
有効になる前に、管理タスク用のサービス
アカウントを使用してログオンしているとき
に表示されます。
■ 不明
ユーザーの状態が判断できなかったことを示
します。
Local Self Help (LSH) の状態
有効
アクティブ
■
ポリシーで Local Self Help が有効になっている
か、また、ローカルコンピュータでアクティブ
化されているかを示します。
ヘルプ
Sophos SafeGuard のオンライン ヘルプを起動します。
■
Sophos SafeGuard のバージョン情報
Sophos SafeGuard のバージョンに関する情報を表示します。
システム トレイ アイコンのツールチップから、コンピュータが Sophos
SafeGuard Client であることがわかります。
ヒント:
30
ヘルプ
ツールチップは、初期同期が正常に完了したことを示します。
初期同期が正常に完了したら、コンピュータを再起動してください。コン
ピュータの再起動後に、はじめて Sophos SafeGuard のすべての機能が利用可
能になります。
31
Sophos Disk Encryption
8 POA からのユーザーの削除
SGN ユーザーや、サービスアカウントを使用してログオンした SGN ゲスト
は、他のSGN ユーザーを削除することができます。SGN ゲストユーザーは、
インストール後、Power-on Authentication が有効になる前に管理タスクを実
行できます。
削除された SGN ユーザーは、以後、Power-on Authentication でログオンする
ことはできません。すべての SGN ユーザーは、「User Machine Assignment」
というリストで管理されます。
ヒント:
現在ログオンしているユーザー、およびリスト内の最後のユーザーを削除す
ることはできません。
SGN ユーザーを削除する方法は次のとおりです。
1. システム トレイ アイコンを右クリックします。
2. システムトレイ アイコンのショートカット メニューで、「User Machine
Assignments」を選択します。「User Machine Assignments」ダイアログに、
Power-on Authentication でログオンできるユーザーの一覧が表示されます。
3. ユーザーを選択して、「選択したユーザーの削除」をクリックします。
4. 「OK」をクリックします。
このユーザーは、以後、Power-on Authentication でログオンすることはでき
ません。
32
ヘルプ
9 エクスプローラのショートカット メニューを使用
して機能にアクセス
Windows エクスプローラのショートカット メニューから、暗号化関連の機
能にアクセスすることができます。
9.1 エクスプローラの拡張機能: フルディスク暗号化用
「暗号化」というエントリが Windows エクスプローラのショートカット メ
ニューに追加されます。
ボリュームが暗号化されている場合、メニューのエントリの横に鍵の記号が
表示されます。
33
Sophos Disk Encryption
10 データの暗号化
Sophos SafeGuard では、フルディスク暗号化機能を使って、コンピュータ上
のデータを暗号化します。
暗号化するボリューム (ドライブ) は、SEC 管理者が定義します。
10.1 透過的な暗号化
暗号化されたドライブ上のファイルは、透過的に暗号化されます。ファイル
を開くとき、編集するとき、または保存するときに、暗号化や復号化の指示
は表示されません。ファイルを開くときにファイルは復号化され、編集でき
るようになります。ファイルを閉じるときや保存するときに、ファイルは再
び暗号化されます。
暗号化されたドライブからコンピュータ上の暗号化されていない場所にファ
イルをコピーまたは移動すると (「名前を付けて保存」も含む)、ファイルは
復号化されます。ファイルは新たな場所に平文で保存されます。
10.2 初期暗号化
コンピュータに暗号化ポリシーが初めて適用された後、そのポリシーに基づ
いて初期暗号化が実行されます。
初期暗号化はバックグラウンドで実行されるので、コンピュータでの作業は
続行することができます。
ヒント: システムパーティション (ファイル hiberfil.sys が保存されているパー
ティション) の初期暗号化処理中は、コンピュータを休止状態にしないでく
ださい。システムパーティションの初期暗号化が完了したら、コンピュータ
を再起動して初期暗号化後も問題なく休止状態にできることを確認してくだ
さい。
10.3 フルディスク暗号化
Sophos SafeGuard で保護されたコンピュータのフルディスク暗号化には、自
動的に生成されるコンピュータ鍵が使用されます。
暗号化を設定するポリシーがユーザーのコンピュータに適用されると、デー
タは自動的に暗号化されます。
暗号化の処理中、暗号化対象のボリュームの暗号化の進行状況が Encryption
Viewer に表示されます。また、該当する場合、暗号化された既存のボリュー
ムも表示します。Encryption Viewer は、最小化されたアイコンで Windows タ
スクバーに表示されます。アイコンをクリックすると開くことができます。
34
ヘルプ
Encryption Viewer を最小化する場合でも、「閉じる前に通知を表示する」を
有効にして、暗号化が完了したことを知らせる通知を受けることができま
す。暗号化が完了すると、ビューアは自動的に閉じます。コンピュータ上の
暗号化されたボリュームは、暗号化されていない通常のボリュームと同様に
使用することができます。
ヒント:
Windows 7 Professional/Enterprise/Ultimate 環境では、ドライブ文字の割り当て
なしに、エンドポイント コンピュータでシステム パーティションが作成さ
れます。このようなシステム パーティションは、Sophos SafeGuard で暗号化
できません。
10.4 ボリュームへのアクセス制限
Sophos SafeGuard では、次の場合にボリュームへのアクセスが拒否されます。
暗号化に失敗したボリューム
ボリュームの暗号化を定義するポリシーが存在し、暗号化に失敗した場合、
そのボリュームへのアクセスは拒否されます。
ボリュームにアクセスしようとすると、メッセージが表示されます。
不明なファイル システム オブジェクト
不明なファイル システム オブジェクトとは、暗号化されているかされてい
ないかを、Sophos SafeGuard によって明確に判断できないボリュームのこと
です。
ボリュームの暗号化を定義するポリシーが存在する場合、このボリュームへ
のアクセスは拒否されます。ボリュームにアクセスしようとすると、メッ
セージが表示されます。
不明なファイル システム オブジェクトに関する暗号化ポリシーがない場合
は、そのボリュームにアクセスできます。
35
Sophos Disk Encryption
11 Sophos SafeGuard と Opal 準拠の自己暗号化ハード
ドライブ
自己暗号化ハード ドライブは、データがハード ディスクに書き込まれると
同時にハードウェア ベースで暗号化します。Opal は Trusted Computing Group
(TCG) によって策定・公開されている、特定のベンダに依存しない暗号化標
準仕様です。さまざまなベンダ製のハードドライブが Opal 仕様に準拠して
います。Sophos SafeGuard では Opal 準拠のハードドライブを使用できます。
11.1 Opal 準拠のハード ドライブを暗号化する
Opal 準拠のハード ドライブは、自己暗号化機能を備えています。データは
ハード ディスクに書き込まれるときに自動的に暗号化されます。
Opal 準拠のハード ドライブは、Opal パスワードとして使用されるAES 128/256
鍵を使ってロックされます。このパスワードは、暗号化ポリシーを使って
Sophos SafeGuard によって管理されます。SEC 管理者は、この暗号化ポリシー
を定義し、ユーザーのコンピュータに展開します。
36
ヘルプ
12 復旧オプション
Sophos SafeGuard には、パスワードを忘れた場合など、さまざまな復旧シナ
リオに合わせていくつかのオプションが用意されています。
■
Local Self Help によるログオン復旧
パスワードを忘れた場合は、Local Self Help を使用することで、ヘルプデ
スク担当者の支援を受けずにコンピュータにログオンできます。電話も
ネットワーク接続も利用できない状況 (飛行機に乗っている場合など) で
も、コンピュータにアクセスできるようになります。ログオンするために
必要なことは、Power-on Authentication で事前に定義されたいくつかの質
問に答えるだけです。
詳細は、Local Self Help による復旧 (p. 38) を参照してください。
■
チャレンジ/レスポンスによる復旧
チャレンジ/レスポンスは、コンピュータにログオンできない場合や暗号
化されたデータにアクセスできない場合にユーザーを支援するための、安
全性および効率性の高い復旧システムです。チャレンジ/レスポンスでは、
コンピュータで生成されたチャレンジ コードをヘルプデスク担当者に渡
すと、ヘルプデスク担当者はそのコンピュータでの特定の処理の実行を認
証するレスポンス コードを生成してくれます。
詳細は、チャレンジ/レスポンスによる復旧 (p. 48) を参照してください。
どちらの復旧オプションも、SEC 管理者がポリシーで定義することにより使
用が許可されます。
37
Sophos Disk Encryption
13 Local Self Help による復旧
パスワードを忘れた場合、Sophos SafeGuard では Local Self Help を使用するこ
とができます。Local Self Help を使用すると、ヘルプデスク担当者の支援を受
けずにコンピュータに再度アクセスできます。
コンピュータにログオンするには、Power-on Authentication で事前に定義さ
れた質問に指定の数だけ回答します。
ポリシーで権限が与えられている場合、独自の質問を定義することもできま
す。Local Self Help ウィザードの指示に従って、最初の回答を入力したり、質
問を編集したりできます。Local Self Help ウィザードを開くには、Windows
タスク バーの Sophos SafeGuard システム トレイ アイコンをクリックします。
Locals Self Help による復旧は、Power-on Authentication での次のログオン方法
で使用できます。
■
ユーザー名とパスワードを使ったログオン
■
指紋を使ったログオン
前提条件
ログオン復旧に Local Self Help を使用する場合は、次の前提条件が満たされ
ている必要があります。
■
SEC 管理者が、ポリシーで Local Self Help を有効にし、この機能の詳細 (独
自の質問を定義する権限など) を設定してある。
■
ユーザーが自分のコンピュータで Local Self Help をアクティブにしてある
(Local Self Help をアクティブにする (p. 38) を参照してください)。
13.1 Local Self Help をアクティブにする
Local Self Help を使用する権限をユーザーに与えるポリシーが有効になった
後、ユーザーは、受信した事前に定義された質問に回答するか、ユーザー独
自の質問を定義し、それに回答して、この機能をアクティブにする必要があ
ります。
Local Self Help は、事前に定義された数の質問にユーザーが回答し、それを保
存してはじめてユーザーのコンピュータでアクティブになります。Local Self
Help ウィザードに従って操作を行います。ウィザードに、回答が必要な質問
38
ヘルプ
の数が表示されます。ポリシーの設定に応じて、次のシナリオが考えられま
す。
■
ユーザーは事前に定義された質問を受信しているが、ユーザー独自の質問
を定義する権限を与えられていない。
受信した事前に定義された質問のうち、事前に定義された数の質問に回答
して、それを保存します。Local Self Help ウィザードに、回答が必要な質
問の数が表示されます。
■
ユーザーは事前に定義された質問を受信しており、ユーザー独自の質問を
定義する権限を与えられている。
事前に定義された質問、あるいはユーザー自身が定義した質問、またはそ
の両方の質問のうち、必要な数の質問に回答して、それを保存します。
ヒント: Local Self Help を使用して Power-on Authentication でログオンするに
は、Local Self Help にて回答した質問の中から、ランダムに選択された質問に
回答する必要があります。SEC 管理者は、ユーザーが POA で回答する必要
のある質問数を指定します。
前提条件: ポリシーの受信後、未回答の Local Self Help の質問があることが
ツールチップに表示されます。コンピュータを再起動して、Windows タスク
バーのシステム トレイ アイコンのショートカット メニューに、「Local Self
Help」コマンドを追加します。
Local Self Help をアクティブにする方法は次のとおりです。
1. Windows タスク バーの Sophos SafeGuard システム トレイ アイコンを右ク
リックします。
2. 「Local Self Help」を選択します。
「Local Self Help ウィザードへようこそ」ダイアログが表示されます。
セキュリティ上の理由から、パスワードを入力するように求められます。
3. パスワードを入力し、「次へ」をクリックします。
「状態の概要」ダイアログが表示されます。
このダイアログには、Local Self Help をアクティブにする方法が表示され
ます。さらに、ステータス情報 (ユーザー定義の質問の回答数や、事前定
義済みの質問の回答数など) も表示されます。
4. 「次へ」をクリックします。
「事前定義済みの質問」ダイアログが表示されます。
39
Sophos Disk Encryption
5. 質問に回答するには、対象となる質問をクリックし、「回答」列に回答を
入力します。
回答を入力し終わると、入力したテキストが非表示になります。テキスト
を表示するには、「回答を表示する」を選択します。
ヒント: Power-on Authentication での復旧プロセス中に質問に回答すると
きは、Local Self Help ウィザードで入力したとおりに正確に回答を入力す
る必要があります。たとえば、Local Self Help での回答は大文字と小文字
が区別されます。
ヒント: 全角文字には対応していないので、回答を入力するときは必ず半
角文字を使用してください。そうしないと、POA で質問に回答するとき
に回答が一致しなくなります。
6. 事前に定義された質問への回答が終わったら、「次へ」をクリックしま
す。
ユーザー独自の質問を定義する権限が与えられている場合は、「ユーザー
定義の質問と回答」ダイアログが表示されます。
7. 「ユーザー定義の質問と回答」ダイアログで、ユーザー独自の質問を追加
できます。
a) 新しい質問を追加するには、「新しい質問」をクリックします。
新しい行が質問のリストに追加されます。
b) 「質問」列に質問を入力し、「回答」列にその回答を入力します。
回答を入力し終わると、入力したテキストが非表示になります。テキ
ストを表示するには、「回答を表示する」を選択します。
ヒント:
Power-on Authentication での復旧プロセス中に質問に回答するときは、Local
Self Help ウィザードで入力したとおりに正確に回答を入力する必要があり
ます。たとえば、Local Self Help での回答は大文字と小文字が区別されま
す。
ヒント:
日本語で回答を入力するときは、ローマ字を使用する必要があります。そ
うしないと、POA で質問に回答するときに回答が一致しなくなります。
40
ヘルプ
8. ユーザー独自の質問の定義と回答が終わったら、「次へ」をクリックしま
す。
Local Self Help ウィザードの最後のダイアログには、新しい状態情報が表
示されます。メッセージに、Local Self Help をアクティブにするための前
提条件が満たされたかどうかが表示されます。
9. 「完了」をクリックします。
質問と回答が保存されます。Local Self Help が正常にアクティブになった
ことを示すメッセージが表示されます。
10. 「OK」をクリックします。
これで、Local Self Help がご使用のコンピュータでアクティブになりました。
Locals Self Help は、Power-on Authentication でのログオン復旧に使用できま
す。
ヒント:
Local Self Help がコンピュータでアクティブになっている場合に、チャレン
ジ/レスポンスを使用してパスワードをリセットすると、Local Self Help 用に
保存された回答は無効になります。Local Self Help はコンピュータで非アク
ティブになります。Local Self Help を再びアクティブにするには、もう一度質
問に回答します。
13.2 質問を編集する
コンピュータで Local Self Help をアクティブにした後は、いつでも質問を編
集できます。
■
事前に定義された質問の場合は、最初に質問に回答するときに入力した回
答を変更できます。ただし、事前に定義された質問を削除することはでき
ません。
■
ユーザー定義の質問の場合は、最初に質問に回答するときに入力した回答
の変更、新しい質問の追加、または質問の削除を行うことができます。
1. Windows タスク バーの Sophos SafeGuard システム トレイ アイコンを右ク
リックします。
2. 「Local Self Help」を選択します。
「Local Self Help ウィザードへようこそ」ダイアログが表示されます。
セキュリティ上の理由から、パスワードを入力するように求められます。
41
Sophos Disk Encryption
3. パスワードを入力し、「次へ」をクリックします。
「状態の概要」ダイアログが表示されます。
このダイアログには、Local Self Help をアクティブにする方法が表示され
ます。さらに、ステータス情報 (ユーザー定義の質問の回答数や、事前定
義済みの質問の回答数など) も表示されます。
4. 「次へ」をクリックします。
回答された質問を含む「事前に定義された質問」ダイアログが表示されま
す。デフォルトで、回答は表示されません。
5. 入力されたテキストを表示するには、「回答を表示する」チェック ボッ
クスをクリックします。
6. 回答を変更するには、対象となる質問をクリックし、「回答」列に新しい
回答を入力します。
7. 変更が完了したら、「次へ」をクリックします。
ユーザー独自の質問を定義する権限が与えられている場合は、「ユーザー
定義の質問と回答」ダイアログが表示されます。デフォルトでは、入力さ
れた回答は表示されません。
8. 入力されたテキストを表示するには、「回答を表示する」チェック ボッ
クスをクリックします。
a) 既存の回答を変更するには、対象となる質問をクリックし、「回答」
列に新しい回答を入力します。
b) 新しい質問を追加するには、「新しい質問」をクリックします。
新しい行が質問のリストに追加されます。「質問」列に質問を入力し、
「回答」列にその回答を入力します。
c) 質問を削除するには、対象となる質問をクリックし、「質問の削除」
をクリックします。
質問を削除してもよいか確認を求めるメッセージが表示されます。「は
い」をクリックします。
9. 変更が完了したら、「次へ」をクリックします。
Local Self Help ウィザードの最後のダイアログには、新しい状態情報が表
示されます。Local Self Help を引き続きアクティブにしておくために必要
な前提条件が満たされたかどうかを示すメッセージが表示されます。
42
ヘルプ
10. 「完了」をクリックします。
質問と回答が保存されます。編集手順が正常に完了し、Local Self Help が
引き続きアクティブになっていることを示すメッセージが表示されます。
11. 「OK」をクリックします。
変更が有効になります。
次回 Power-on Authentication で Local Self Help を起動すると、変更された質問
または新しい質問がランダムに選択されて表示されます。変更された回答ま
たは新しい回答が適用されます。
ヒント:
変更を行ったために、回答済みの質問の数が必要な最小数を下回ってしまう
場合は、Local Self Help ウィザードの最後のダイアログに、ウィザードを閉じ
た後に Local Self Help がアクティブにならないことを示す警告メッセージが
表示されます。
Local Self Help を非アクティブにしたくない場合は、「戻る」ボタンをクリッ
クして、「ユーザー定義の質問と回答」や「事前に定義された質問」に戻る
ことができます。そして、新しい質問を追加したり、新たな質問に回答した
りできます。回答済みの質問の数が必要な最小数を下回っているにもかかわ
らず「完了」をクリックした場合は、コンピュータで Local Self Help がアク
ティブに設定されなかったことを示す警告メッセージが表示されます。この
場合でも再度 Local Self Help のアクティブ化を試みることができます (Local
Self Help をアクティブにする (p. 38) を参照してください)。
13.3 質問に関する条件の変更
SEC 管理者が、Local Self Help での質問に関して定義できる条件は次のとおり
です。
■
コンピュータで Local Self Help をアクティブにするために、ユーザーが
Local Self Help ウィザードで回答する必要のある質問数。Local Self Help が
アクティブのまま残るには、指定した数の質問と回答を使用できる必要が
あります。
■
Local Self Help を使用してログオンするために、ユーザーが POA で回答す
る必要のある質問数。POA で表示される質問は、Local Self Help ウィザー
ドでユーザーが回答した質問の中からランダムに選択されます。
ご使用のコンピュータに新しくポリシーが適用され、この 2つの条件が変更
されると、次の状態が発生することがあります。
43
Sophos Disk Encryption
状態
LSH の処理
必要なユーザー操作
ユーザーが Local Self Help
ウィザードで回答する必要
のある質問数が変更された
ものの、すでにローカルコ
ンピュータ上で十分な回答
を作成している。
Local Self Help はご使用のコ
ンピュータでアクティブの
まま残ります。
なし
ユーザーが Local Self Help
ウィザードで回答する必要
のある質問数が変更され、
かつローカルコンピュータ
上で十分な回答を作成して
いない。
Local Self Help の設定が変更
したことを伝えるメッセー
ジが表示されます。コン
ピュータにある質問は、無
効になります。Local Self
Help はコンピュータで非ア
クティブになります。
Local Self Help を再度アク
ティブにするには、Local Self
Help ウィザードを開き、
ウィザードの指示に従って
ください。
ユーザーが POA で Local Self
Help を使って回答しなけれ
ばならない質問数が変更さ
れた場合。
Local Self Help の設定が変更
したことを伝えるメッセー
ジが表示されます。コン
ピュータにある質問は、有
効のまま残ります。使用で
きる質問と有効な回答の比
率が変更されました。
Local Self Help ウィザードを
開き、ウィザードの指示に
従ってください。
13.4 Local Self Help の状態および条件が編集中に変更される
Local Self Help での質問に関する条件は、ユーザーが Local Self Help ウィザー
ドで質問を定義・編集している途中で変更されることがあります。たとえ
ば、Local Self Help の新しい設定を含む新規ポリシーが、コンピュータに転送
された場合などです。
編集中にこのような変更が発生すると、Local Self Help をユーザーのコンピュー
タでアクティブにしたり、その状態を継続したりするために必要な質問が不
足する可能性があります。
したがって、Local Self Help ウィザードでの質問の定義・編集が終わるたび
に、以下の条件が当てはまるかどうかがチェックされ、該当する処理が実行
されます。
44
状態
LSH ウィザードの処理
結果
新しいポリシーによって、
Local Self Help がグローバル
に無効になりました。
Local Self Help がグローバルに無効に
なったことを示すメッセージが表示
され、ウィザードが閉じます。
Local Self Help はこれ
以降使用できなくな
ります。
ヘルプ
状態
LSH ウィザードの処理
結果
新しいポリシーによって、
Local Self Help での質問に関
する条件 (ユーザー独自の質
問を定義する権限、回答す
る必要のある質問数など) が
変更されました。ただし、
Local Self Help は無効になっ
ていません。
Local Self Help での質問に関する条件
が変更されたことを示すメッセージ
が表示され、ユーザーの変更が保存
され、ウィザードが閉じます。
Local Self Help はコン
ピュータでアクティ
ブなままなので、ロ
グオン復旧のために
使用できます。
Local Self Help での質問に関する条件
が変更されたことを示すメッセージ
が表示されます。Local Self Help はコ
ンピュータで非アクティブになりま
す。ユーザーはウィザードを再実行
することが推奨されます。ウィザー
ドが閉じます。
Local Self Help をアク
ティブにするには、
Local Self Help ウィ
ザードを再実行し、
質問と回答をもう一
度定義してくださ
い。その後、ログオ
ン復旧のために Local
Self Help を使用でき
るようになります。
ユーザーが定義した質問と
回答は、コンピュータ上の
Local Self Help で引き続き使
用できます。
新しいポリシーによって、
Local Self Help での質問に関
する条件 (ユーザー独自の質
問を定義する権限、回答す
る必要のある質問数など) が
変更されました。Local Self
Help は無効になっていませ
ん。ただし、Local Self Help
をコンピュータでアクティ
ブにするために必要な数の
質問がありません。
13.5 Local Self Help を使って POA でログオンする
1. 「POA ログオン」ダイアログで、「復旧」ボタンをクリックします。
■
ログオン復旧のために Local Self Help だけが有効になっている場合は、
Local Self Help が開始します。
■
ログオン復旧のために Local Self Help とチャレンジ/レスポンスの両方が
使用可能になっている場合は、いずれかの復旧方法を選択するための
ダイアログが表示されます。「Local Self Help」をクリックします。
「Local Self Help へようこそ」ダイアログが表示されます。
このダイアログには、実行する手順についての簡単な説明が表示されま
す。
2. 「次へ」をクリックして、質問への回答を開始します。
最初の質問が表示されます。
45
Sophos Disk Encryption
3. 回答を入力します。
デフォルトでは、セキュリティ上の理由から入力されたテキストは入力
フィールドに表示されません。回答を表示するには、「回答を非表示にす
る」チェック ボックスを選択から外します。
4. 質問に回答した後で、「次へ」をクリックします。
回答を入力してからでないと、「次へ」をクリックして次の質問に進むこ
とはできません。
5. 残りの質問に回答します。最後の質問に回答した後で、「OK」をクリッ
クします。
次に表示されるダイアログで、現在のパスワードを表示できます。
6. パスワードを表示するには、「Enter」キーまたはスペースキーを押すか、
青いボックスをクリックします。
ヒント:
「OK」はクリックしないよう注意してください。「OK」をクリックする
と、パスワードを表示せずに起動処理が続行されます。
パスワードは最大 5秒間表示されます。その後、スタートアップ処理が自
動的に続行されます。
ヒント:
権限のないユーザーに、偶然または故意に画面の内容を見られないよう十
分注意してください。パスワードは、スペース キーや「Enter」キーを押
すか、青い表示ボックスをクリックして、すぐに非表示にすることができ
ます。
7. 読み取ったパスワードは、Power-on Authentication さらに Windows へのロ
グオンを再度実行する際に使用します。
8. パスワードを読み取った後で、「OK」をクリックします。クリックしな
い場合、パスワードを表示してから 5秒後に起動処理が自動的に続行され
ます。
これで、Power-on Authentication さらに Windows にログオンできました。
13.6 ログオンの失敗
1つまたは複数の質問に対して間違った回答を入力すると、ログオンに失敗
します。この場合は、ログオンに失敗したことを示すメッセージが表示され
46
ヘルプ
ます。セキュリティ上の理由から、Local Self Help ではどの回答が間違ってい
たか表示されません。
Local Self Help の復旧操作の失敗もログオンの失敗と見なされ、イベントとし
てログに記録されます。この場合、次にログオンできるまで待機時間が発生
します。待機時間はログオンに失敗するたびに長くなります。
ログオンに失敗した後にコンピュータを再起動し、Local Self Help によるログ
オン復旧を再度選択した場合は、質問が再びランダムに選択されます。
47
Sophos Disk Encryption
14 チャレンジ/レスポンスによる復旧
復旧時に情報を暗号化して交換できるよう、Sophos SafeGuard には 「チャレ
ンジ/レスポンス」が用意されています。
ヒント: パスワードを忘れた場合、Local Self Help を使用して復旧することを
推奨します。ユーザーは Local Self Help で既存のパスワードを表示でき、そ
のパスワードを引き続き使用できます。したがって、パスワードの再設定を
行ったり、ヘルプデスク担当者に依頼したりする必要がなくなります。
チャレンジ/レスポンスでの接続中に、ユーザーはチャレンジ コード (ASCII
文字列) を生成し、それをヘルプデスク担当者に提供します。提供されたチャ
レンジコードに基づき、ヘルプデスク担当者は、コンピュータでの特定の処
理の実行を認証するレスポンス コードを生成します。
チャレンジ/レスポンスによる復旧は、Power-on Authentication での次のログ
オン方法で使用できます。
■
ユーザー名とパスワードを使ったログオン
■
指紋を使ったログオン
ヒント: チャレンジ/レスポンスを使用後、外部メディアを使ってコンピュー
タを起動することはできません。POA ログオン ダイアログの「以下から起
動を続行 ... フロッピー ディスク/外付けメディア」オプションは実行されま
せん。外部メディアを使ってコンピュータを起動する場合は、BIOS の起動
オプションを使用してください。BIOS のデフォルト設定では、既に CD/DVD
が挿入されていると、CD/DVD ドライブから起動します。
14.1 前提条件
チャレンジ/レスポンスを使用してログオン復旧を行うには、ヘルプデスク
担当者が鍵復旧ファイルにアクセスできることが前提になります。これらの
ファイルは、共有パスやメール、またはその他のメディアなどで、ヘルプデ
スク担当者に渡す必要があります。
ユーザーがパスワードを忘れた場合、パスワードをリセットするためには、
そのコンピュータで別のアカウントを利用できる必要があります。または、
パスワード リセット ディスクを使用することもできます。
チャレンジ/レスポンスを使用すると、ユーザーは Power-on Authentication で
ログオンできます。また、Windows パスワードのリセットが必要とされる場
合でも、Windows にログオンすることができます。
14.2 間違ったパスワードを何度も入力した場合
48
ヘルプ
間違ったパスワードを何度も入力して、コンピュータが POA レベルでロッ
クされた場合は、チャレンジ/レスポンスによってコンピュータを Power-on
Authentication で起動できます。その後、Windows ログオン ダイアログが表
示されます。このダイアログで Windows のパスワードを入力してログオン
できます。
パスワード入力の最大試行回数のカウンタがリセットされます。
14.3 パスワードを忘れた場合
忘れたパスワードをチャレンジ/レスポンスで復旧するときは、パスワード
のリセットが必要となります。
ヒント:
ユーザーは Local Self Help で既存のパスワードを表示でき、そのパスワード
を引き続き使用できます。したがって、パスワードの再設定を行ったり、ヘ
ルプデスク担当者に依頼したりする必要がなくなります。詳細は、Local Self
Help による復旧 (p. 38) を参照してください。
1. チャレンジ/レスポンスを開始し、ヘルプデスク担当者の指示に従ってく
ださい。コンピュータを Power-on Authentication で起動できるようになり
ます。
2. 「Windows ログオン」ダイアログで、正しいパスワードを忘れてしまった
場合を想定します。Windows でパスワードを変更する必要があります。変
更するには、Sophos SafeGuard 以外に、Windows 標準の方法による復旧処
理が必要になります。
Windows でパスワードをリセットするには、次の 2つの方法があります。
■
コンピュータで利用可能で、必要な Windows 権限を持つサービスアカ
ウントや管理者アカウントを使用する。
■
Windows パスワード リセット ディスクを使用する。
ヘルプデスク担当者は、どちらの手順を使用したらよいかをユーザーに伝
えて、追加の Windows ログオン情報や必要なディスクを提供します。
3. ヘルプデスク担当者から提供された新しいパスワードを Windows で入力
し、それをすぐに自分だけが知っている値に変更します。
Sophos SafeGuard は、新しく設定されパスワードが、現在の Sophos SafeGuard
パスワードに一致していないことを検出します。古いパスワードの入力を
求められます。
49
Sophos Disk Encryption
4. Windows パスワードを自分で変更し、古いパスワードを覚えている場合
は、ここで古いパスワードを入力して、Sophos SafeGuard のパスワード変
更を実行することもできます。そうでない場合は、「キャンセル」をク
リックします。
Sophos SafeGuard では、古いパスワードを入力せずに新しいパスワードを
設定するには、新しい証明書が必要になります。この手続きは、自分で確
定する必要があります。新しいユーザー証明書は、新しく設定された
Windows パスワードに基づいて作成されます。これにより、ユーザーはコ
ンピュータに再度ログオンし、新しいパスワードを使って Power-on
Authentication でログオンできます。
5. 新しいパスワードを使用して、POA にログオンします。
14.4 コンピュータにアクセスできなくなった場合
コンピュータにアクセスできなくなった場合は、Power-on Authentication が
破損している可能性があります。こうした深刻な状況でも、ヘルプデスク担
当者の支援を得ながら Sophos SafeGuard のチャレンジ/レスポンスを利用する
ことで、暗号化されたドライブにアクセスできるようになります。この場
合、チャレンジ/レスポンスは WinPE 環境で実行されます。このように深刻
な状況になった場合は、Sophos SafeGuard ヘルプデスク担当者に問い合わせ
ることをお勧めします。ヘルプデスク担当者は、必要なファイルを提供した
上で、コンピュータへのアクセスを復旧するために必要な手順を指示してく
れます。
14.5 チャレンジ/レスポンス
チャレンジ/レスポンスは、次のような場合に開始する必要があります。
■
間違ったパスワードを何度も入力した場合。
■
パスワードを忘れた場合。
■
破損したキャッシュを修復する場合。
ヒント:
デフォルトでは、ローカルキャッシュが破損するとログオン復旧は無効に設
定されます。つまり、ローカルキャッシュはバックアップから自動的に復元
されます。この場合、ローカル キャッシュの修復に、チャレンジ/レスポン
スは必要ありません。ただし、ローカル キャッシュをチャレンジ/レスポン
スを使用して修復する場合は、ポリシーを使用してログオン復旧をアクティ
50
ヘルプ
ブにできます。この際、ローカルキャッシュが破損している場合、チャレン
ジ/レスポンスを開始するよう自動的に表示されます。
ヒント:
チャレンジ/レスポンスでは、チャレンジを生成してから 30分以内に、ヘル
プデスク担当者によって生成されたレスポンスを入力する必要があります。
30分経過すると、レスポンスコードは無効になり、使用できなくなります。
1. 「POA ログオン」ダイアログで「復旧」をクリックします。
■
ログオン復旧に対してチャレンジ/レスポンスだけが有効になっている
場合は、チャレンジ/レスポンスが開始されます。
■
ログオン復旧に対してチャレンジ/レスポンスと Local Self Help の両方が
使用可能になっている場合は、いずれかの復旧方法を選択するための
ダイアログが表示されます。「チャレンジ/レスポンス」ボタンをクリッ
クして、チャレンジ/レスポンスを開始します。
チャレンジ/レスポンスで必要なファイルの名前を示すダイアログが表示
されます。
2. ヘルプデスク担当者に連絡します。ヘルプデスク担当者にファイル名を通
知します。
3. 「次へ」をクリックします。
ユーザー データとランダムなチャレンジ コードが表示されます。コード
は、読みやすいように 5文字ずつのブロックに分割されています。ヘルプ
デスク担当者にチャレンジ コードを通知します。(チャレンジ コードを伝
えやすくするために、「スペル支援」ボタンをクリックして、読む際に利
用することもできます)。
4. 「次へ」をクリックします。
「チャレンジ/レスポンス - ステップ 3/3」ダイアログが表示されます。
ヘルプデスク担当者が、電話または SMS でユーザーにレスポンス コード
を通知します。
5. 「チャレンジ/レスポンス - ステップ 3/3」ダイアログの入力フィールドに
レスポンス コードを入力します。
レスポンス コードを間違って入力すると、間違った文字ブロックが赤色
でマークされます。
6. 「OK」をクリックします。
これで、Power-on Authentication でログオンされました。
51
Sophos Disk Encryption
15 テクニカルサポート
ソフォス製品のテクニカルサポートは、次のような形でご提供しておりま
す。
52
■
「SophosTalk」ユーザーフォーラム (英語) (http://community.sophos.com/)
のご利用。さまざまな問題に関する情報を検索できます。
■
ソフォス サポートデータベースのご利用。http://www.sophos.co.jp/support/
■
製品ドキュメントのダウンロード。http://www.sophos.co.jp/support/docs/
■
メールによるお問い合わせ。ソフォス製品のバージョン番号、OS および
適用しているパッチの種類、エラーメッセージの内容などを、
[email protected] までお送りください。
ヘルプ
16 ご利用条件
Copyright © 1996 - 2012 Sophos Group. All rights reserved. SafeGuard は Sophos
Group の登録商標です。
この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、
その他いかなる形や方法においても、使用許諾契約の条項に準じてドキュメ
ントを複製することを許可されている、もしくは著作権所有者からの事前の
書面による許可がある場合以外、無断に複製、復元できるシステムに保存、
または送信することを禁じます。
Sophos、Sophos Anti-Virus および SafeGuard は、適宜、Sophos Limited、Sophos
Group および Utimaco Safeware AGの登録商標です。その他記載されている会
社名、製品名は、各社の登録商標または商標です。
サードパーティコンポーネントの著作権に関する情報は、製品ディレクトリ
内の「Disclaimer and Copyright for 3rd Party Software」(英語) というドキュメ
ントをご覧ください。
53