Kaspersky Endpoint Security 10 for Windows を使用したハードディスクの暗号化
ハードディスク暗号化の準備
ハードディスク暗号化の主要機能
- ハードディスクをセクターごとに暗号化します。Kaspersky Security Center ポリシーが適用されるときに、暗号化が開始されます。
- ハードディスクのすべての論理パーティションを暗号化します。
- ハードディスク暗号化が完了した後、オペレーティングシステムへのサインイン時には、ハードディスクへのアクセスと OS の起動のために認証エージェントでの認証が必要です。そのためには、認証エージェントのアカウント管理タスクを使用してネットワーク管理者が設定したアカウントのユーザー名とパスワードを入力します。これらのアカウントは、オペレーティングシステムにログインする際に使用する Microsoft Windows ユーザーアカウントに基づいています。
- 認証エージェントのユーザーアカウントを管理して、さらにシングルサインオン(SSO)技術を使用できます。これにより、認証エージェントアカウントのユーザー名とパスワードを使用して、ユーザーがオペレーティングシステムに自動的にサインインできるようになります。
- 暗号化されたハードディスクには、Kaspersky Endpoint Security がインストールされ、ハードディスク暗号化が有効にされているコンピューターからのみアクセスできます(下の表を参照)。これにより、ハードディスクが会社の LAN の外で使用される場合に、暗号化されたハードディスクに保存された情報が漏えいするリスクを最小限にします。
要件
ポリシーで暗号化を設定する前に、管理対象ワークステーションおよび管理サーバーで次の条件が満たされていることを確認してください:
管理対象ワークステーション | サーバー |
---|---|
1:Kaspersky Endpoint Security 10 for Windows の一部としてハードディスク暗号化コンポーネントがインストールされている。 | 1:管理サーバーのバージョン 10 がインストールされている。 |
2:ネットワークエージェントのバージョン 10 がインストールされている。 | 2:データの暗号化と保護の設定がポリシーに表示されている。 |
3:拡張保護モードを有効にするライセンスが追加されている。 |
暗号化技術
Kaspersky Endpoint Security 10 for Windows で以下の技術が使用できます:
- Kaspersky Disk Encryption
- BitLocker ドライブ暗号化
Kaspersky Disk Encryption
Kaspersky Disk Encryption を使用してハードディスクを暗号化するには、次の操作を行います:
- Kaspersky Security Center 10 を開きます。
- [ポリシー]ノードに移動します。Kaspersky Endpoint Security 10 のポリシーのプロパティを開きます。
- [ドライブの暗号化]に移動します。
- [暗号化技術]で[Kaspersky Disk Encryption]を選択します。
- [暗号化モード]で、[すべてのハードディスクを暗号化する]を選択します。
- [ハードディスクの暗号化設定を適用する]ウィンドウで[はい]をクリックします。
- [暗号化の共通設定]に移動し、認証エージェントのパスワードを設定します。
- [OK]をクリックして、ワークステーションにポリシーが適用されるまで待ちます。
使用している Kaspersky Endpoint Security 10 for Windows のバージョンによって、以下のことが可能です:
- バージョン SP1 MR4(10.2.6.3733)またはそれ以前のバージョンの場合:
- 認証エージェントのアカウントのユーザー名とパスワードを入力する。
- 現在のユーザーセッション中に暗号化されたハードディスクにアクセスするための新しいパスワードを作成する。
- 暗号化されたハードディスクにアクセスするための一時パスワードを作成する。
- バージョン SP2(10.3.0.6294)の場合:
- 認証エージェントのアカウントのユーザー名とパスワードを入力する。
- 暗号化されたハードディスクにアクセスするための一時パスワードを作成する。
BitLocker ドライブ暗号化
BitLocker ドライブ暗号化を使用してハードディスクを暗号化するには:
- Kaspersky Security Center 10 を開きます。
- [管理対象デバイス]に移動して、[ポリシー]を開きます。
- Kaspersky Endpoint Security 10 のポリシーのプロパティを開き、[ドライブの暗号化]に移動します。
- [暗号化技術]で[BitLocker ドライブ暗号化]を選択します。
- [暗号化モード]で、[すべてのハードディスクを暗号化する]を選択します。
- 暗号化を設定します。
- [OK]をクリックして、ワークステーションにポリシーが適用されるまで待ちます。
Kaspersky Endpoint Security 10 がインストールされているワークステーションにポリシーを適用すると、次の要求が行われます:
- 暗号化ポリシーがシステムのハードディスクに適用されている場合、暗証番号を求めるウィンドウが表示されます。
- FIPS の要件がオペレーティングシステムで有効になっている場合、ウィンドウが表示され、復元キーのファイルを保存するための USB デバイスに接続するよう求められます。この要求は Windows 8 以降で発生します。
エージェントでの認証
ハードディスクの暗号化が完了したあとにコンピューターを再起動すると、オペレーティングシステムを読み込むために認証エージェントで認証プロセスを行う必要があります。
認証エージェントでのユーザー識別は以下の方法で行われます:
- LAN 管理者が Kaspersky Security Center 10 で作成した認証エージェントのアカウントのユーザー名とパスワードを入力する。
- コンピューターに接続されたトークンまたはスマートカードのパスワードを入力する。
ハードディスクの暗号化の実行中にコンピューターをシャットダウンまたは再起動した場合、次回のオペレーティングシステムの起動前に、認証エージェントが読み込まれます。認証エージェントでの認証が完了しオペレーティングシステムが起動したあと、Kaspersky Endpoint Security はハードディスクの暗号化を再開します。
ハードディスクの暗号化中にオペレーティングシステムがハイバネーションモードに切り替わった場合は、オペレーティングシステムがハイバネーションモードから切り替わった時点で認証エージェントが読み込まれます。認証エージェントでの認証が完了しオペレーティングシステムが起動したあと、Kaspersky Endpoint Security はハードディスクの暗号化を再開します。
ハードディスクの暗号化中にオペレーティングシステムがスリープモードに入った場合、オペレーティングシステムがスリープモードから復帰したときにハードディスクの暗号化が再開されます。認証エージェントは読み込まれません。
オペレーティングシステムを読み込む前に、ドメインと認証エージェントのアカウントのユーザー名とパスワードを入力します。[続行]をクリックします。
エージェントでの認証:暗号化されたハードディスクにアクセスするためのパスワードを要求する
[ アクティブなユーザーにパスワードを要求する ]オプションがポリシーで有効になっている場合は、ポリシーが適用されてハードディスクの暗号化タスクが起動したあとで、ワークステーションに[暗号化されたシステムハードディスクのアクセス用パスワードの要求]ウィンドウが表示されます。
現在のユーザーセッション中に暗号化されたハードディスクにアクセスするためのパスワードを要求するには:
- 暗号化されたハードディスクにアクセスするためのパスワードを設定します。[OK]をクリックします。
ポリシーで[ シングルサインオン(SSO)技術を使用する ]オプションが有効な場合、最初の再起動中にステップ 1 で設定したパスワードを入力する必要があります。次に Windows のようこそ画面で Windows ユーザーアカウントのパスワードを入力する必要があります。その後、エージェントのパスワードと Windows のパスワードが同期されます。それ以降、認証エージェントは Windows ユーザーアカウントのパスワードのみを要求し、システムに自動的にサインインします。
ポリシーで[シングルサインオン(SSO)技術を使用する]オプションが有効になっていない場合、認証エージェントのパスワードを入力してから、コンピューターを起動するときに Windows ユーザーアカウントのパスワードを入力する必要があります。
- パスワードが Windows のアカウントパスワードと一致しない場合は、[はい]をクリックします。
- パスワードが保存されるまで待ちます。
- プロセスが正常に完了しているか確認します。[OK]をクリックします。
- ワークステーションを再起動します。
- エージェントで認証を実行します。
エージェントでの認証:暗号化されたハードディスクにアクセスするための一時パスワードを作成する
Kaspersky Endpoint Security 10 for Windows は、認証エージェントのパスワードポリシーに従って各ユーザーの一時パスワードを生成します。このパスワードは管理サーバーに渡されます。
一時パスワードを取得するには:
- 暗号化されたハードディスクにアクセスするための一時パスワードを管理者から要求します。
- Kaspersky Security Center 10 を開きます。
- [管理対象デバイス]に移動します。
- ワークステーションのプロパティを開き、[タスク]に移動します。
- [暗号化(アカウント管理)]を選択し、[プロパティ]を開きます。
- [プロパティ]に移動します。
- 必要なユーザーアカウントを開きます。
- [元のパスワードの表示]を有効にします。
認証エージェントの一時パスワードが以下のフィールドに表示されます。管理者はユーザーに一時パスワードを知らせます。
- 次回のシステムの再起動時、またはハイバネーションモードの終了時に、エージェントでの認証を実行します。必要に応じて、一時パスワードを変更します。
ハードディスク暗号化前にユーザーアカウント(例:Kav4isa\user2)でオペレーティングシステムにユーザーがログインしなかった場合、このアカウントに対する認証エージェントパスワードは作成されません。この場合、[暗号化(アカウント管理)]タスクにユーザーアカウントを追加し、それに対してパスワードを設定します。