Dell Endpoint Security Suite Enterprise 詳細インストール ガイド v3.0 2021 年 5 月 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
目次 章 1: はじめに..................................................................................................................................6 作業を開始する前に............................................................................................................................................................6 このガイドの使用法............................................................................................................................................................ 7 Dell ProSupport へのお問い合わせ.........
ウェブプロテクションおよびファイアウォールのアンインストール.................................................................. 64 Advanced Threat Prevention のアンインストール...................................................................................................... 64 フル ディスク暗号化のアンインストール................................................................................................................... 64 SED Manager のアンインストール...............................................................................................................
章 19: トラブルシューティング.......................................................................................................104 すべてのクライアントのトラブルシューティング.................................................................................................. 104 すべてのクライアント - 保護ステータス................................................................................................................... 104 Dell Encryption のトラブルシューティング(クライアントおよびサーバ)......................................................
1 はじめに 本書では、Advanced Threat Prevention、、Encryption、SED 管理、フル ディスク暗号化、Web Protection と Client Firewall、BitLocker Manager のインストールおよび設定の方法について詳しく説明します。 すべてのポリシー情報とその説明は AdminHelp で参照できます。 作業を開始する前に 1.
このガイドの使用法 このガイドは次の順序で使用してください。 ● クライアントの必要条件、コンピュータハードウェアおよびソフトウェア情報、制限事項、および機能で必要になる特殊なレ ジストリの変更については、「条件」を参照してください。 ● 必要に応じて、「SED UEFI および BitLocker のための事前インストール設定」を参照してください。 ● Dell Digital Delivery を使用して資格を取る場合は、「資格を有効にするためのドメインコントローラ上での GPO の設定」を参照 してください。 ● Endpoint Security Suite Enterprise マスターインストーラを使用してクライアントをインストールする場合は、次の項目を参照し てください。 ○ マスターインストーラを使用した対話型のインストール または ○ マスターインストーラを使用したコマンドラインによるインストール ● 子インストーラを使用してクライアントをインストールする場合、子インストーラの実行可能ファイルをマスターインストー ラから抽出する必要があります。「マスターインストーラからの子インストーラの抽出
2 要件 すべてのクライアント 次の要件はすべてのクライアントに適用されます。他のセクションで挙げられる要件は、特定のクライアントに適用されます。 ● 導入中は、IT ベストプラクティスに従う必要があります。これには、初期テスト向けの管理されたテスト環境や、ユーザーへ の時間差導入が含まれますが、それらに限定されるものではありません。 ● インストール、アップグレード、アンインストールを実行するユーザーアカウントは、ローカルまたはドメイン管理者ユーザ ーである必要があります。これは、Microsoft SCCM などの導入ツールによって一時的に割り当てることができます。昇格され た権限を持つ非管理者ユーザーはサポートされません。 ● インストールまたはアンインストールを開始する前に、重要なデータをすべてバックアップします。 ● インストール中は、外付け(USB)ドライブの挿入や取り外しを含め、コンピュータに変更を加えないでください。 ● 管理者は、必要なすべてのポートが使用可能であることを確認します。 ● 最新のマニュアルや技術アドバイザリーについて、dell.
言語サポート FR - フランス語 JA - 日本語 PT-PT - ポルトガル語(ポルトガル(イベリア)) 暗号化 ● クライアントコンピュータは、アクティブ化するためにネットワーク接続が必要です。 ● 最初の暗号化にかかる時間を短縮するために、Windows ディスククリーンアップ ウィザードを実行して、一時ファイルおよび その他の不必要なデータを削除します。 ● Windows Hello for Business に対応するには、Endpoint Security Suite Enterprise v3.0 以降が Windows 10 で実行されている必要が あります。 ● Windows Hello for Business に対応するには、v11.
表示されたときにユーザーが手動で Active Directory ベースのアカウントを指定します。資格情報が入力されると、認証情報は 安全に Dell Server に送信され、構成された Active Directory ドメインに対して Dell サーバで認証情報が検証されます。詳細につ いては、KB 記事 124736 を参照してください。 ● Windows 10 の機能アップグレードの後、Dell Encryption を完了させるには再起動が必要です。Windows 10 の機能アップグレー ドの後、通知領域に次のメッセージが表示されます。 ハードウェア ● 次の表は、サポートされているハードウェアの詳細です。 オプションの組み込みハードウェア ○ TPM 1.2 または 2.
暗号化されたメディアにアクセスする場合にサポートされる Windows オペレーティングシステム(32 ビットと 64 ビット) ○ ○ ○ ○ アプリケーション互換テンプレートでの Windows Embedded Standard 7 Windows 8.1:Enterprise、Pro Windows Embedded 8.1 Industry Enterprise Windows 10:Education、Enterprise、Pro v1803~v21H1(April 2018 Update/Redstone 4~May 2021 Update/21H1) 注:Windows 10 v2004(May 2020 Update/20H1)は 32 ビット アーキテクチャをサポートしていません。詳細について は、https://docs.microsoft.
● Windows 10 v1607(Anniversary Update/Redstone 1)から Windows 10 v1903(May 2019 Update/19H1)への直接機能アップデー トは FDE ではサポートされていません。Windows 10 v1903 にアップデートする場合は、オペレーティング システムを新しい機 能アップデートにアップデートすることをお勧めします。Windows 10 v1607 から v1903 に直接アップデートしようとすると、 エラー メッセージが表示され、アップデートできなくなります。 ● これらのコンポーネントがターゲット コンピューターにインストールされていない場合は、マスター インストーラーがインス トールを行います。子インストーラを使用する場合、クライアントをインストールする前に、これらのコンポーネントをイン ストールする必要があります。 前提条件 ○ Visual C++ 2017 以降の再頒布可能パッケージ(x86 または x64) Windows 7 にインストールされている場合、Visual C++ 2017 には Windows Upda
非 UEFI PBA パスワード 指紋 接触型スマートカ ード SIPR カード 1. 認証ドライバを support.dell.com からダウンロードしたときに使用可能。 UEFI PBA - サポートされる Dell コンピューター上 パスワード Windows 10 指紋 X1 接触型スマートカ ード SIPR カード X1 1.
ポート制御システムのポリシーは、たとえば、USB デバイスによるサーバの USB ポートへのアクセスおよび使用を制 御することにより、保護対象サーバ上のリムーバブルメディアに影響します。USB ポートポリシーは外部 USB ポート に適用されます。内部 USB ポート機能は、USB ポートポリシーの影響を受けません。USB ポートポリシーが無効化さ れると、クライアント USB キーボードおよびマウスは機能しなくなり、このポリシーが適用される前にリモートデス クトップ接続がセットアップされない限り、ユーザーはコンピュータを使用することができなくなります。 ● これらのコンポーネントがターゲット コンピューターにインストールされていない場合は、マスター インストーラーがインス トールを行います。子インストーラを使用する場合、クライアントをインストールする前に、これらのコンポーネントをイン ストールする必要があります。 前提条件 ○ Visual C++ 2012 更新プログラム 4 以降再頒布可能パッケージ(x86 または x64) ○ Visual C++ 2017 以降の再頒布可能パッケージ(x86 または
○ ハードウェア重複排除 ○ 分割された RAID(単一の RAID に複数のボリュームが存在) ○ SED(RAID および非 RAID) ○ キオスク向けの自動ログオン(Windows 7、8 / 8.
Encryption External Media オペレーティングシステム ● Encryption External Media をホストするには、外部メディア上の約 55 MB の空き容量に加えて、メディア上に暗号化対象の最大 ファイルに等しい空き容量が必要です。 ● Dell で保護されたメディアにアクセスする際にサポートされるオペレーティング システムの詳細は、次のとおりです。 暗号化されたメディアにアクセスする場合にサポートされる Windows オペレーティングシステム(32 ビットと 64 ビット) ● Windows 7 SP1:Enterprise、Professional、Ultimate ● Windows 8.
Windows オペレーティングシステム(32 ビットと 64 ビット) ■ 2020 年 1 月をもって、SHA1 署名証明書の有効性は失われ、更新することはできません。Windows 7 または Windows Server 2008 R2 を実行しているデバイスには、アプリケーションおよびインストール パッケージの SHA256 署名証明 書を検証するために、Microsoft KB で提供されている更新プログラム(https://support.microsoft.com/help/4474419 お よび https://support.microsoft.com/help/4490628)をインストールする必要があります。 SHA1 証明書で署名されたアプリケーションおよびインストール パッケージは機能しますが、SHA1 証明書の更新プロ グラムがインストールされていないアプリケーションをインストールまたは実行すると、エンドポイントにエラーが 表示されます。 ○ Windows Embedded Standard 7 ○ Windows 8.
BIOS イメージの整合性検証でサポートされる Dell コンピュータモデル ● ● ● ● ● ● ● ● Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● Precision Workstation 7510 Precision Workstation 7710 Precision Workstation T3420 Venue 10 Pro 5056 Venue Pro 5855 Venue XPS 12 9250 XPS 13 9350 XPS 9550 互換性 次の表に、Windows、Mac、Linux との互換性の詳細を示します。 n/a:このプラットフォームにはテクノロジが適用されません。 空白:Endpoint Security Suite Enterprise のポリシーはサポートされません。 機能 ポリシー W
機能 ポリシー Windows macOS Linux LSASS 読み取り x n/a n/a ゼロ割り当て x x 実行制御 x x デバイスからのサービスシャットダウ ンを阻止する x x 安全でない実行中のプロセスとそのサ ブプロセスを強制終了する x x x バックグラウンド脅威検知 x x x 新しいファイルに注意する x x x スキャンするアーカイブファイルの最 大サイズ x x x 特定のフォルダを除外する x x x ファイルサンプルのコピー x 保護設定 x アプリケーション制御 変更ウィンドウ x フォルダの除外 x ログファイルの自動アップロードの有 効化 x デスクトップ通知の有効化 x アクティブスクリプト x Powershell x Office マクロ x Powershell コンソールの使用をブロッ ク x 当該フォルダ(およびサブフォルダ)内 のスクリプトを承認 x ログ レベル x 自己保護レベル x 自動アップデート x 検出の実行(エ
機能 ポリシー Windows macOS x x 手動ポリシーチェック(エージェント UI) Linux Client Firewall および Web Protection ● Client Firewall と Web Protection を正しくインストールするには、コンピュータがネットワークに接続されている必要がありま す。 ● インストールの失敗を防ぐため、Client Firewall と Web Protection のクライアントをインストールする前に、その他のベンダー のウイルス対策、マルウェア対策、スパイウェア対策、およびファイアウォール アプリケーションをアンインストールしてく ださい。拮抗するソフトウェアに、Windows Defender および Endpoint Security Suite Enterprise は含まれません。 ● これらのコンポーネントがターゲット コンピューターにインストールされていない場合は、マスター インストーラーがインス トールを行います。子インストーラーを使用する場合は、Client Firewall および Web Protec
用途 アプリケー トランス ションプロ ポートプ トコル ロトコル ポート番号 宛先 方向 URL レピュテー ションデータベ ースアップデー ト HTTP TCP 80 list.smartfilter.com アウトバウ ンド URL レピュテー ションルックア ップ SSL TCP 443 tunnel.web.trustedsource.
または ○ PBA を非アクティブ化し、認証方法を変更した後、PBA を再度アクティブ化します。 メモ: RAID と SED の性質上、SED Manager では RAID はサポートされません。SED の RAID=On には、RAID では、ディスクにア クセスして、SED がロック状態のために利用できない上位セクターの RAID 関連データを読み書きする必要があり、ユーザ ーがログオンするまで待機してこのデータを読み取ることができないという問題があります。この問題を解決するには、 BIOS で SATA の動作を RAID=On から AHCI に変更します。オペレーティングシステムに AHCI コントローラドライバがプ レインストールされていないと、RAID=On から AHCI に切り替えるときにオペレーティングシステムがクラッシュします。 ● SED Manager 用の自動暗号化ドライブの構成は、NVMe と非 NVMe(SATA)ドライブで次のように異なります。 ○ SED に利用されている NVMe ドライブ: ■ SED Manager は NVMe ドライブで AHCI をサポートし
● メモ: SED Manager で保護されているコンピューターは、Windows 10 v1703(Creators Update/Redstone 2)以降にアップデ ートしてから Windows 10 v1903(May 2019 Update/19H1)以降にアップデートする必要があります。このアップグレード パスを試行すると、エラー メッセージが表示されます。 ● メモ: 新バージョンへのインプレイス オペレーティング システムのアップグレード(Windows 7 または Windows 8.
国際キーボードのサポート - UEFI DE-FR - (スイスフランス語) EN-GB - 英語(イギリス英語) DE-CH -(スイスドイツ語) EN-CA - 英語(カナダ英語) EN-US - 英語(アメリカ英語) 国際キーボードのサポート - UEFI 非対応 AR - アラビア語(ラテン文字を使用) EN-US - 英語(アメリカ英語) DE-FR - (スイスフランス語) EN-GB - 英語(イギリス英語) DE-CH -(スイスドイツ語) EN-CA - 英語(カナダ英語) オペレーティングシステム ● 次の表は、対応オペレーティングシステムの詳しい説明です。 Windows オペレーティングシステム(32 ビットと 64 ビット) ○ Windows 7 SP0-SP1:Enterprise、Professional、Ultimate(レガシーブートモードでのみサポート、UEFI では未サポート) メモ: NVMe 自動暗号化ドライブは Windows 7 ではサポートされません。 ○ Windows 8.
● BitLocker Manager を使用するには、Dell Server が必要です。 ● データベース内で署名証明書が使用可能であることを確認してください。詳細については、KB 記事 124931 を参照してくださ い。 ● キーボード、マウス、およびビデオコンポーネントは、コンピュータに直接接続する必要があります。周辺機器の管理に KVM スイッチは使用しないでください。KVM スイッチは、ハードウェアを正しく識別するコンピュータの機能を阻害するおそれが あるためです。 ● TPM をオンにして有効にします。BitLocker Manager は TPM の所有権を取得しますが、再起動の必要はありません。ただし、 TPM の所有権がすでに存在する場合は、BitLocker Manager で暗号化セットアップ処理が開始されます。再起動する必要はあり ません。ここでのポイントは、TPM が所有かつ有効化されている必要があるという点です。 ● FIPS モードが GPO セキュリティ設定「システム暗号化:暗号化、ハッシュ、署名に FIPS 対応のアルゴリズムを使用」で有効 になった場合、BitLocke
Windows オペレーティングシステム ○ Windows 7 SP0-SP1: Enterprise、Ultimate(32 ビットと 64 ビット) メモ: BitLocker Manager は、Windows 7 デバイスでは TPM 2.0 をサポートしません。Windows 7 に BitLocker Manager がインストールされたデバイスでは、KB 記事 KB3133977 または KB3125574 がインストールされていない可能性があ ります。Windows 7 での BitLocker Manager の問題を解決するには、これらの KB がインストールされていないことを 確認します。 ○ Windows 8.
3 レジストリ設定 ● この項では、レジストリ設定の理由に関係なく、ローカル クライアント コンピュータでの Dell ProSupport 承認レジストリ設定 すべてについて詳しく説明します。レジストリ設定が 2 つの製品で重複している場合は、それぞれのカテゴリでリストされま す。 ● これらのレジストリ変更は管理者のみが行うべきであり、すべての状況に適しているわけではなく、機能しない場合もありま す。 暗号化 ● Dell Server で自己署名証明書が使用されている場合。Windows では、クライアント コンピューターの証明書信頼検証を無効に しておく必要があります(信頼検証は Dell Server ではデフォルトで無効)。クライアントコンピューターで信頼検証を有効にす る場合は、次の要件を満たしている必要があります。 ○ ルート証明機関(EnTrust や Verisign など)によって署名された証明書が Dell Server にインポートされている。 ○ 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。 ○ Encryption で
ただし、組織において \temp ディレクトリ内のファイル構成の維持を要求するサードパーティのアプリケーションを使用して いる場合は、この削除を防止する必要があります。 一時ファイルの削除を無効にするには、次のようにレジストリ設定を作成または変更します。 [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 一時ファイルを削除しないと、最初の暗号化時間が増大します。 ● Encryption は、毎回 5 分間各ポリシーアップデート遅延時間の長さプロンプトを表示します。このプロンプトに反応しないと、 次の遅延が始まります。最後の遅延プロンプトには、カウントダウンとプログレスバーが表示され、ユーザーが反応するか最 終遅延が時間切れになり必要なログオフ / 再起動が発生するまで表示されています。 ユーザープロンプトの動作を変更し、暗号化を開始または遅延するようにして、ユーザーがプロンプトに反応しない場合の暗 号化処理を防止することができます。これには、次の値を設定します。 [HKLM\Software\Microsoft\Windows N
これらのレジストリエントリの更新が有効になるには、コンピュータを再起動する必要があります。 ○ スロットアクティブ化 この機能を有効または無効にするには、次の親キーの下に SlottedActivation という名前の DWORD を作成します。 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\] ○ アクティブ化スロット この機能を有効または無効にするには、次の親キーの下に ActivationSlot という名前のサブキーを作成します。 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\] アクティブ化スロット - Dell Server で Encryption がアクティブ化を試行する期間を定義する文字列です。これらの値は秒単 位で定義され、構文は , で定義されます。たとえば、120,300 となります。これは、ユーザーのロ グイン後 2 ~ 5 分の間のランダムな時間に
1 = 有効 ● System Data Encryption(SDE)は、SDE 暗号化ルールのポリシー値に基づいて実施されます。SDE 暗号化の有効化 ポリシーが 選択されている場合、追加のディレクトリがデフォルトで保護されます。詳細については、AdminHelp で「SDE 暗号化ルール」 を検索してください。アクティブな SDE ポリシーを含むポリシーアップデートを暗号化する場合、現在のユーザープロファイ ルディレクトリは、SDE キー(デバイスキー)ではなく、デフォルトで SDUser キー(ユーザーキー)で暗号化されます。 SDUser キーは、SDE で暗号化されないユーザーディレクトリにコピーされる(移動ではない)ファイルまたはフォルダを暗号 化するためにも使用されます。 SDUser キーを無効化して、これらのユーザーディレクトリの暗号化に SDE キーを使用するには、コンピュータにレジストリを 作成します。 [HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield] "EnableSDUserKeyUsage"=DWORD:00000000 このレジスト
● 自己署名証明書がフル ディスク暗号化向けの Dell Server で使用されている場合、クライアント コンピューターで SSL/TLS 信 頼検証を無効のままにしておく必要があります(フル ディスク暗号化では SSL/TLS 信頼検証はデフォルトで無効です)。クラ イアントコンピュータで SSL/TLS 信頼検証を有効にする場合は、次の要件を満たしている必要があります。 ○ ルート証明機関(EnTrust や Verisign など)によって署名された証明書が Dell Server にインポートされている。 ○ 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。 ○ Dell Encryption 管理で SSL / TLS 信頼検証を有効にするには、クライアントコンピュータ上で次のレジストリエントリの値 を 0 に変更します。 [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "DisableSSLCertTrust"=DWORD:0 0 = 有効 1 = 無効 ●
○ WbioSrvc - Windows 生体認証サービスは、クライアントアプリケーションに対し、生体認証ハードウェアやサンプルに直接 アクセスすることなく、生体認証データの取得、比較、 操作、および保存する機能を提供します。このサービスは特権 SVCHOST プロセスでホストされます。 レジストリキーが存在しない、または値が 0 に設定されている場合、この機能はデフォルトで有効化されます。 [HKLM\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG_DWORD:0 0 = 有効 1 = 無効 ● フル ディスク暗号化で、サード パーティーの資格情報プロバイダーによる無効化ができないようにするには、次のレジストリ ー キーを作成します: HKLM\SOFTWARE\Dell\Dell Data Protection\ "AllowOtherCredProviders" = DWORD:1 0 = 無効(デフォルト) 1 = 有効 メモ:この値を用いると、サード パーティーの資格情報プロバイダーが無効化されることで、Dell 資格情報プ
このレジストリ設定は、Encryption および Encryption Management Agent を含むその他のコンポーネントのログ冗長性を制御す るため、テストまたはデバッグ用途にのみ使用してください。 ● 互換性モードは、メモリ保護ポリシーまたはメモリー保護ポリシーとスクリプト制御ポリシーの両方が有効になっている際に、 クライアントコンピュータでアプリケーションを実行することを可能にします。互換性モードを有効にするには、クライアン トコンピュータ上でレジストリ値を追加する必要があります。 互換性モードを有効にするには、次の手順に従います。 1. 管理コンソールで、メモリ保護の有効化ポリシーを無効にします。スクリプト制御ポリシーが有効になっている場合は、無 効にします。 2. CompatibilityMode レジストリ値を追加します。 a. クライアントコンピュータのレジストリエディタを使用して、 HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop に移動します。 b.
"PBAIsActivated"=DWORD (32-bit):1 1 の値は PBA がアクティブ化されていることを示します。0 の値は PBA がアクティブ化されていないことを示します。 ● スマートカードが存在し、アクティブになっていることを確認するには、次の値が設定されていることを確認します。 HKLM\SOFTWARE\Dell\Dell Data Protection\ "SmartcardEnabled"=DWORD:1 SmartcardEnabled が見つからない、または値がゼロの場合、資格情報プロバイダーは認証のためのパスワードだけを表示しま す。 SmartcardEnabled の値がゼロ以外の場合、資格情報プロバイダーはパスワードとスマートカード認証のオプションを表示しま す。 ● 次のレジストリ値は、Winlogon がスマートカードからのログオンイベントの通知を生成する必要があるかどうかを示します。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify "SmartCard
○ SCardSvr - コンピュータが読み取るスマートカードへのアクセスを管理します。このサービスが停止されると、コンピュー タはスマートカードを読み取ることができなくなります。このサービスが無効化されると、このサービスに確実に依存する サービスの開始が失敗するようになります。 ○ SCPolicySvc - スマートカード取り外し時にユーザーのデスクトップをロックするようシステムを設定することができます。 ○ WbioSrvc - Windows 生体認証サービスは、クライアントアプリケーションに対し、生体認証ハードウェアやサンプルに直接 アクセスすることなく、生体認証データの取得、比較、 操作、および保存する機能を提供します。このサービスは特権 SVCHOST プロセスでホストされます。 レジストリキーが存在しない、または値が 0 に設定されている場合、この機能はデフォルトで有効化されます。 [HKLM\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG_DWORD:0 0 = 有効 1 = 無効 ● SED PBA Authent
4 マスターインストーラを使用してインストール する ● コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 ● デフォルト以外のポートを使用してインストールするには、マスターインストーラの代わりに子インストーラを使用します。 ● Endpoint Security Suite Enterprise のマスター インストーラーのログ ファイルは、次のディレクトリーにあります。 C:\ProgramData\Dell\Dell Data Protection\Installer.
6. [次へ]をクリックして、デフォルトの場所である C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only に製品をインストールします。他の場所にインストールす ると問題が発生する可能性があります。 7.
8. [インストール] をクリックしてインストールを開始します。インストールには数分かかります。 9.
インストールが完了しました。 マスターインストーラを使用したコマンドラインによるイ ンストール ● コマンドラインでのインストールでは、最初にスイッチを指定する必要があります。その他のパラメータは、/v スイッチに渡 される引数に指定します。 スイッチ ● Endpoint Security Suite Enterprise マスターインストーラで使用できるスイッチを、次の表に示します。 メモ: サードパーティ資格情報プロバイダを使用する必要がある場合は、Encryption Management Agent をインストールす るか、FEATURE=BLM または FEATURE=BASIC パラメータを指定してアップグレードする必要があります。 スイッチ 説明 /s サイレントインストール /z DDSSuite.exe 内の .
パラメータ 説明 FEATURES SILENT モードでインストールできるコンポーネントを指定します。 ATP = Advanced Threat Prevention のみ DE-ATP = Advanced Threat Prevention と Encryption。これは、FEATURES パラメータが指定されてい ない場合のデフォルトのインストールオプションです。 DE = Drive Encryption クライアントのみ BLM = BitLocker Manager SED = SED Manager(Encryption Management Agent/Manager、PBA/GPE ドライバー) (ワークステー ション オペレーティング システム上にインストールされる場合のみ使用可能) ATP-WEBFIREWALL = Advanced Threat Prevention(Client Firewall および Web Protection 機能付き) DE-ATP-WEBFIREWALL = Encryption および Advanced Threat Prevention(
● (サーバー オペレーティング システム上)この例では、Endpoint Security Suite Enterprise マスター インストーラーを標準ポー トで使用して、C:\Program Files\Dell\Dell Data Protection\のデフォルトの場所に Encryption のみをサイレント インストールし、指定した Dell Server を使用するように設定します。 "DDSSuite.exe" /s /z"\"SERVER=server.organization.com, FEATURES=DE\"" マスターインストーラを使用してインストールする 41
5 マスターインストーラのアンインストール ● デルでは、データセキュリティスイートを削除するには、Data Security Uninstaller を使用することをお勧めします。 ● 各コンポーネントを個別にアンインストールした後で、Endpoint Security Suite Enterprise マスターインストーラのアンインスト ールを行う必要があります。クライアントは、アンインストールの失敗を防止するために特定の順序でアンインストールする 必要があります。 ● 手順の説明をに 抽出します。マスターインストーラから子のインストーラの 子のインストーラを入手します。 ● 必ず、インストール時と同じバージョンの Endpoint Security Suite Enterprise マスターインストーラ(およびそれに伴うクライ アント)を使用してアンインストールを行ってください。 ● 本章では、子インストーラのアンインストール方法の詳細な手順が記された他の章を参照します。この章で説明している手順 の最後で のみ、マスターインストーラをアンインストールします。 ● クライアントを以下の順序でアンインストー
6 子インストーラを使用したインストール ● 各クライアントを個別にインストールまたはアップグレードするには、まず「マスターインストーラからの子インストーラの 抽出」の説明に従って、Endpoint Security Suite Enterprise マスターインストーラから子実行ファイルを抽出する必要がありま す。 ● このセクションに記載されているコマンドの例は、コマンドを C:\extracted から実行することが前提になっています。 ● コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 ● コマンドラインで空白などの特殊文字を 1 つ、または複数含む値は、エスケープされた引用符で囲むようにしてください。 ● これらのインストーラを使用し、スクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ技 術を活用して、クライアントをインストールします。 ● コマンドラインの例では、再起動は省略されています。ただし、最終的には再起動する必要があります。 メモ:ポリシーベースの暗号化は、コンピューターが再起動されるまで開始できません。 ● ログファイル - Wind
● アプリケーションに関するサポートが必要なときには、次のマニュアルとヘルプファイルを参照するようにユーザーに指示し ます。 ○ Encryption の機能の使用方法については、Dell Encrypt のヘルプを参照してください。このヘルプには、\Program Files\Dell\Dell Data Protection\Encryption\Help からアクセスします。 ○ Encryption External Media の機能については、Encryption External Media ヘルプを参照してください。このヘルプには、 \Program Files\Dell\Dell Data Protection\Encryption\EMS からアクセスします。 ○ Advanced Threat Prevention の機能の使用方法については、 Endpoint Security Suite Enterprise のヘルプを参照してください。 このヘルプには、\Program Files\Dell\Dell D
パラメータ RECOVERYID=(リカバリ ID) REBOOT=ReallySuppress(Null は自動再起動に対応し、ReallySuppress は再起動を無効化) HIDEOVERLAYICONS=1(0 はオーバーレイアイコンを有効化、1 はオーバーレイアイコンを無効化) HIDESYSTRAYICON=1(0 は通知領域のアイコンを有効化、1 は通知領域のアイコンを無効化)。 ENABLE_FDE_LM=1(フルディスク暗号化がアクティブになっているコンピュータに対する Dell Encryption のインストールを 許可) EME=1(Encryption External Media モードをインストール) OPTIN=1(Deferred Activation モードでインストール) コマンドラインで使用することができる基本的な .
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" Encryption External Media のみをインストールするためのコマンドライン例 ● サイレントインストール、プログレスバーなし、自動再起動、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection\Encryption. にインストールという設定で行われます。 DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.
● 次の例では、Encryption、Encrypt for Sharing、ダイアログなし、プログレスバーなし、再起動なし、オーバーレイアイコン非表 示、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection\Encryption にインストールというデフォル トのパラメーターを使用して、Deferred Activation モードで Dell Encryption をインストールします。 DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ OPTIN=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn" MSI コマンド: msiexec.
次の例では、Encryption クライアント、Encrypt for Sharing、ダイアログなし、プログレス バーなし、自動再起動、デフォルト の場所 C:\Program Files\Dell\Dell Data Protection\Encryption にインストールというデフォルトのパラメータ ーおよび C:\Dell のインストール ログを使用して、既存のフル ディスク暗号化のインストールの上から Dell Encryption をイ ンストールします。メモ:ログを生成するには、インストールの前に C:\Dell ディレクトリーが存在している必要がありま す。 DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.
● 次の例では、サイレントインストール、再起動なし、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection\Encryption にインストールするという設定で、リモート管理されたフルディスク暗号化をインストールし、 Dell Encryption 保護コンピュータでのインストールを許可します。 EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 ENABLE_FDE_LM=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 /norestart /qn" ● フルディスク暗号化と Encryption External Media をインストールするためのコマンドライン例 暗号化 次の例では、サイレントインストール、プログレスバーなし、自動再起動、デフォルトの場所 C:\Program Files\Dell\Dell
● 正常にアクティブ化するには、コンピュータがネットワークに接続されている必要があります。 ● Trusted Platform Module(TPM)が使用可能な場合、デルハードウェア上の汎用キーを封印するために TPM が使用されます。 TPM が使用できない場合、Microsoft のデータ保護 API(DPAPI)を使用して汎用キーを保護します。 Server Encryption を実行している、TPM を搭載した Dell コンピュータに、新しいオペレーティングシステムをインストールす るときは、BIOS で TPM をクリアしてください。手順については、この記事を参照してください。 ● インストールのログファイルはユーザー %temp% ディレクトリ内にあり、このディレクトリは C:\Users\\AppData\Local\Temp にあります。正しいログファイルを見つけるには、ファイル名が MSI で始まり、.
7. [次へ] をクリックして、管理タイプ ダイアログをスキップします。 8. Security Management Server の名前に、デルサーバの完全修飾ホスト名を入力 / 検証して、ターゲットユーザーを管理します (server.organization.com など)。 管理対象ドメインにドメイン名(organization など)を入力します。[次へ] をクリックします。 9. ポリシープロキシのホスト名とポートで、情報を入力 / 検証して [次へ] をクリックします。 10.
11. [インストール] をクリックしてインストールを開始します。 インストールには数分かかる場合があります。 12.
インストールが完了しました。 13. コンピュータを再起動します。作業を保存してアプリケーションを閉じるのに時間が必要な場合のみ、再起動をスヌーズする ことをお勧めします。暗号化は、コンピュータが再起動されるまで開始できません。 コマンドラインを使用したインストール インストーラーは C:\extracted\Encryption にあります。 ● DDPE_xxbit_setup.exe を使用してスクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ 技術を活用して、インストールまたはアップグレードを行います。 スイッチ 次の表に、インストールで使用できるスイッチの詳細を示します。 スイッチ 意味 /v DDPE_XXbit_setup.exe 内の .msi に変数を渡します。 /a 管理インストール /s サイレントモード パラメータ 次の表に、インストールで使用できるパラメータの詳細を示します。 コンポーネント ログファイル コマンドラインパラメータ すべて /l*v [fullpath][filename].
コンポーネント ログファイル コマンドラインパラメータ MANAGEDDOMAIN= DEVICESERVERURL= GKPORT= MACHINEID= RECOVERYID= REBOOT=ReallySuppress HIDEOVERLAYICONS=1 HIDESYSTRAYICON=1 EME=1 メモ: 再起動を控えてもかまいませんが、最終的には再起動する必要があります。暗号化は、コンピュータが再起動されるまで 開始できません。 オプション 次の表では、表示オプションが詳しく説明されています。これらのオプションは、/v スイッチに渡された引数の末尾に指定するこ とができます。 オプション 意味 /q 進行状況ダイアログなし、処理完了後に自動で再起動 /qb [キャンセル] ボタン付きの進捗状況ダイアログ、再起動のプロンプト表示 /qb- [キャンセル] ボタン付きの進捗状況ダイアログ、処理完了後に自動で再起動 /qb! [キ
MSI コマンド: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERMODE="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" ● 次の例では、ログファイルと Encryption、サイレントインストール、Encrypt for Sharing、ダイアログなし、プログレスバーな し、再起動なし、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection\Encryption というデフォルト のパラメーターでサーバオペレーティングシステムの Encryption をインストールし、このコマンドラインが同じサーバ上で複 数回実行される場合は末尾
Dell Server は、マシン ID 用の暗号化キーの発行、仮想サーバユーザーアカウントの作成、ユーザーアカウント用の暗号化キー の作成、暗号化キーのバンドル化を行い、暗号化バンドルと仮想サーバユーザーアカウントの間の関係を確立します。 3. [閉じる] をクリックします。 アクティベーション後、暗号化が開始されます。 4. 暗号化スイープが完了した後、前に使用中だったファイルを処理するために、コンピュータを再起動します。これは、セキュ リティ上重要な手順です。 メモ: Windows 資格情報のセキュア化ポリシーが有効な場合、サーバオペレーティングシステムの Encryption は Windows 資格情 報を含む \Windows\system32\config ファイルを暗号化します。\Windows\system32\config 内のファイルは、 SDE 暗号化有効ポリシーが無効の場合でも暗号化されます。デフォルトでは、Windows 資格情報のセキュア化ポリシーは 選択済みです。 メモ: コンピュータの再起動後、共有暗号化キーの認証には保護対象サーバのマシンキーが常に必要となります。Del
仮想サーバユーザー ● 管理コンソールでは、保護対象サーバはそのマシン名の下で確認できます。さらに、各保護対象サーバーは、独自の仮想サー バーユーザーアカウントを持っています。各アカウントには、固有の静的ユーザー名と固有のマシン名があります。 ● 仮想サーバユーザーアカウントは、サーバオペレーティングシステム上の Encryption によってのみ使用され、それ以外の面で は保護対象サーバの動作に対して透過的です。仮想サーバユーザーは、暗号化キーバンドルとポリシープロキシに関連付けら れます。 ● アクティベーション後、仮想サーバーユーザーアカウントは、アクティブ化済みで、サーバーに関連付けられているユーザー アカウントです。 ● 仮想サーバーユーザーアカウントがアクティブ化された後、すべてのサーバーログオン / ログオフ通知は無視されます。代わ りに、コンピュータは起動中に仮想サーバユーザーで自動的に認証し、デルサーバからマシンキーをダウンロードします。 Advanced Threat Prevention クライアントのインストー ル ● メモ: サードパーティ資格情報プロバイダを使用する必要がある場
2. 「コマンドラインインストール」に示される Advanced Threat Prevention クライアントです。 3. 「コマンドラインでのインストール」に示される Advanced Threat Prevention プラグインです。 ● Advanced Threat Prevention クライアントインストーラは、次の場所にあります。 ○ お使いのデル FTP アカウントから - Endpoint-Security-Suite-Ent-2.x.x.xxx.zip でインストールバンドルを見つけてから、マス ターインストーラから子インストーラを抽出します。抽出後、C:\extracted\Advanced Threat Prevention\WinXXR\ と C:\extracted\Advanced Threat Prevention\WinNtAll\ でファイルを見つけます。 ● Encryption Management Agent のインストーラは次の場所にあります。 ○ お使いのデル FTP アカウントから - Endpoint-Security-Suite-Ent-2.x.x.
いません。誤ってインストールを行ってしまった場合は、プログラムの追加および削除 に移動してそのバージョンをアンストール します。 スクリプトの例 次の例では、サイレントインストール、再起動なし、コントロールパネルプログラムリストにエントリなし、デスクトップアイコ ンなし、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection にインストールという設定で、SED 管理のな い Advanced Threat Prevention または BitLocker Manager をインストールします。 :: Installing Encryption Management Agent ".\Encryption Management Agent\EMAgent_64bit_setup.
パラメータ 説明 override"hips" ホストイントルージョン防止機能をインストールしません INSTALLDIR デフォルト以外のインストール場所 nocontentupdate インストーラに、インストールプロセスの一部として自動的にコンテンツファイルのア ップデートを行わないよう指示します。インストール完了後にできる限り早くアップ デートのスケジュールを行うことをお勧めします。 nopreservesettings 設定を保存しません。 ● 次の表は、DellThreatProtection.msi ファイルに使用できるパラメータについての詳細です。 パラメータ 説明 Reboot=ReallySuppress 再起動を抑制します。 ARP 0=プログラムの追加 / 削除にエントリなし 1=プログラムの追加 / 削除にエントリ インストールまたはアップグレードを実行するには、次のワークフローを使用します。 ● コマンドラインの例 \Threat Protection\EndPointSecurity 次の例では、デフォルト パラメーター(サイレント モード、Cli
● ユーザーは、Windows 資格情報を使用して PBA にログインします。 ● SED Manager および PBA Advanced Authentication インストーラーは次の場所にあります。 ○ お使いの Dell FTP アカウントから - Endpoint-Security-Suite-Ent-2.x.x.xxx.zip でインストールバンドルを見つけてから、マス ターインストーラから子インストーラを抽出します。抽出後、C:\extracted\Encryption Management Agent でファ イルを見つけます。 コマンドラインでのインストール ● 次の表に、インストールで使用できるパラメータの詳細を示します。 パラメータ CM_EDITION=1 INSTALLDIR= SERVERHOST=
パラメータ CM_EDITION=1 INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 FEATURE=BLM FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 コマンドラインで使用可能な基本的な .
7 子インストーラを使用したアンインストール ● デルでは、データセキュリティスイートを削除するには、Data Security Uninstaller を使用することをお勧めします。 ● 各クライアントを個別にアンインストールするには、マスターインストーラからの子インストーラの抽出に記述されているよ うに、Endpoint Security Suite Enterprise のマスターインストーラから子実行ファイルを抽出する必要があります。あるいは、管 理者権限でのインストールを実行して .
オプション 意味 /qn ユーザーインタフェースなし ウェブプロテクションおよびファイアウォールのアンイン ストール ウェブプロテクションおよびファイアウォールがインストールされていない場合は、Encryption クライアントのアンインストール に進みます。 コマンドラインでのアンインストール ● Endpoint Security Suite Enterprise マスター インストーラーから抽出した後は、Web Protection およびファイアウォール クライ アント インストーラーは、C:\extracted\Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.
PBA の非アクティブ化 1. 2. 3. 4. 5. 管理コンソールに Dell 管理者としてログインします。 左ペインで[[ポピュレーション]] > [[エンドポイント]]の順にクリックします。 適切なエンドポイントの種類を選択します。 表示 > 表示、非表示 または すべて を選択します。 コンピュータのホスト名がわかっている場合は、そのホスト名を ホスト名 フィールドに入力します。ワイルドカードも使用で きます。このフィールドを空白のままにすると、すべてのコンピュータが表示されます。[検索] をクリックします。 ホスト名がわからない場合は、リストをスクロールして該当するコンピュータを探します。 検索フィルタに基づいて、1 台のコンピュータ、またはコンピュータのリストが表示されます。 6. 該当するコンピュータのホスト名を選択します。 7. 上部メニューの [セキュリティポリシー] をクリックします。 8. [[Windows 暗号化]]グループから[[フル ディスク暗号化]]を選択します。 9. [[フル ディスク暗号化]]およびポリシーを On から Off に変更します。 10.
6. 該当するコンピュータのホスト名を選択します。 7. 上部メニューの [セキュリティポリシー] をクリックします。 8. [ポリシーカテゴリ] ページから、[自己暗号化ドライブ] を選択します。 9. [自己暗号化ドライブ(SED)] およびポリシーを On から Off に変更します。 10.[保存] をクリックします。 11. 左ペインで、[ポリシーのコミット] バナーをクリックします。 12.[ポリシーのコミット] をクリックします。 ポリシーが Dell Server からアクティベーション解除対象のコンピュータに反映されるまで待ちます。 PBA を無効にした後、SED Manager と PBA Advanced Authentication をアンインストールします。 SED クライアントのアンインストール コマンドラインでのアンインストール ● マスター インストーラーから抽出された SED Manager インストーラーは、C:\extracted\Encryption Management Agent\EMAgent_XXbit_setup.
● WSScan を実行して、アンインストールが完了した後でコンピュータを再起動する前に、すべてのデータが復号化されているこ とを確認します。手順については、「WSScan の使用」を参照してください。 ● 「Encryption Removal Agent ステータスのチェック」を定期的に行ってください。Encryption Removal Agent サービスが引き続き サービスパネルに存在している場合、データ復号化はまだ進行中です。 コマンドラインでのアンインストール ● Encryption インストーラーは、Endpoint Security Suite Enterprise マスター インストーラーから抽出された後、 C:\extracted\Encryption\DDPE_XXbit_setup.
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username DA_RUNASPWD=password /qn" MSI コマンド: msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.com" DA_PORT="8050" SVCPN="administrator@domain.com" DA_RUNAS="domain\username" DA_RUNASPWD="password" /qn 終了したらコンピュータを再起動します。 ● 次の例では、Encryption をアンインストールし、フ
8 Data Security アンインストーラ Endpoint Security Suite Enterprise のアンインストール Dell では、マスターアンインストーラとして Data Security Uninstaller を提供しています。このユーティリティは、現在インストー ルされている製品を収集して、適切な順序で削除します。 メモ: FDE をアンインストールする場合は、コンピューターのハイバネーション問題を防ぐために、FDE の非アクティブ化が 完了した後に、コンピューターを再起動することをお勧めします。 この Data Security アンインストーラーは、次のフォルダーにあります: C:\Program Files (x86)\Dell\Dell Data Protection 詳細またはコマンド ライン インターフェイス(CLI)の使用方法については、KB 記事 125052 を参照してください。 C:\ProgramData\Dell\Dell Data Protection\に、削除されたすべてのコンポーネントのログが生成されます。 このユーティリティを実行するには、格納し
必要に応じて任意のアプリケーションの削除をクリアし、次へ をクリックします。 必要な依存関係が自動的に選択またはクリアされます。 70 Data Security アンインストーラ
Encryption Removal Agent をインストールせずにアプリケーションを削除するには、[Encryption Removal Agent をインストール しない]を選択して、[次へ]を選択します。 Encryption Removal Agent - サーバからキーをダウンロード を選択します。 フォレンジック管理者の完全修飾された資格情報を入力し、次へ を選択します。 Data Security アンインストーラ 71
削除 を選択してアンインストールを開始します。 終了 をクリックして削除を完了し、コンピュータを再起動します。デフォルトでは、完了をクリックした後マシンを再起動する が 選択されています。 72 Data Security アンインストーラ
アンインストールと削除が完了しました。 Data Security アンインストーラ 73
9 一般的なシナリオ ● 各クライアントを個別にインストールするには、まず、マスターインストーラからの子インストーラの抽出で示すとおりに、 Endpoint Security Suite Enterprise のマスターインストーラから子実行ファイルを抽出する必要があります。 ● Advanced Threat Prevention の子インストーラコンポーネントは、コマンドラインのみでインストールする必要があります。こ のコンポーネントをインストールするためにダブルクリックすると、製品の非 Dell、非管理下バージョンをインストールします が、これはサポートされていません。誤ってインストールを行ってしまった場合は、プログラムの追加および削除 に移動して そのバージョンをアンストールします。 ● コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 ● コマンドラインでは、空白などの特殊文字を 1 つ、または複数含む値は、エスケープされた引用符で囲むようにしてください。 ● これらのインストーラを使用し、スクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ技 術を
○ Advanced Threat Prevention の機能の使用方法については、 Endpoint Security Suite Enterprise のヘルプを参照してください。 ヘルプには、<インストール先ディレクトリ>:\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention\Help からアクセスしてください。 Encryption クライアント、、Advanced Threat Prevention ● 次の例では、サイレントインストール、再起動なし、コントロールパネルプログラムリストにエントリなし、デフォルトの場 所 C:\Program Files\Dell\Dell Data Protection\Encryption にインストールという設定で、SED 管理および Encryption Management Agent をインストールします。このコンポーネントは、Advanced Threat Prevention で必要とされる Encryption Management Agent をインストールします
EnsMgmtSdkInstaller.exe "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.log" SED Manager および Encryption External Media ● 次の例では、サイレント インストール、再起動なし、コントロール パネルのプログラム リストにエントリーなし、デフォルト の場所 C:\Program Files\Dell\Dell Data Protection\Encryption にインストールという設定で、SED Manager、 Encryption Management Agent、ローカル セキュリティ コンソールをインストールします。 EMAgent_XXbit_setup.
MSIEXEC.EXE /I "ATP_CSF_Plugins_x64.msi" /qn REBOOT="ReallySuppress" ARPSYSTEMCOMPONENT="1" /l*v "C:\ProgramData\Dell\Dell Data Protection\Installer Logs\ATP.log" APPFOLDER="C:\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention" および "\Advanced Threat Prevention\WinNtAll\ATP_AgentSetup.
10 テナントのプロビジョニング Advanced Threat Prevention のポリシーの施行がアクティブになる前に、テナントが Dell Server にプロビジョニングされる必要があ ります。 前提条件 ● システム管理者の役割を持つ管理者が実行する必要があります。 ● Dell Server でプロビジョニングをするにはインターネット接続が必要です。 ● 管理コンソールで Advanced Threat Prevention オンラインサービスの統合を表示するために、クライアント上でインターネット 接続が必要です。 ● プロビジョニングは、プロビジョニング中に証明書から生成されるトークンに基づいています。 ● Advanced Threat Prevention のライセンスが Dell Server 内に存在している必要があります。 テナントのプロビジョニング 1. 管理コンソールに Dell 管理者としてログインします。 2. 管理コンソールの左ペインで、管理 > サービス管理 の順にクリックします。 3.
4. ラインセンスがインポートされると、ガイド付きのセットアップが始まります。次へ をクリックして開始します。 5.
6. テナントのプロビジョニングのために Dell Server に ID 資格情報を入力します。次へ をクリックします。Cylance ブランドの既 存テナントのプロビジョニングはサポートされていません。 7.
8.
11 Advanced Threat Prevention エージェント自動 アップデートの設定 管理コンソールで、Advanced Threat Prevention エージェントの自動アップデートを受信するように登録できます。エージェントの 自動アップデートを受信するよう登録することにより、クライアントが Advanced Threat Prevention サービスからアップデートを 自動ダウンロードして適用できるようになります。アップデートは毎月リリースされます。 メモ: エージェントの自動アップデートは Dell Server v9.4.1 以降でサポートされます。 エージェントの自動アップデートの受信 エージェントの自動アップデートを受信するよう登録するには、次の操作を行います。 1. 管理コンソールの左ペインで、[管理] > [サービス管理] を順にクリックします。 2.
12 SED UEFI および BitLocker Manager のための 事前インストール設定 TPM の初期化 ● ローカル管理者グループまたは同等のグループのメンバーである必要があります。 ● コンピュータには互換性のある BIOS および TPM が搭載されている必要があります。 ● http://technet.microsoft.com/en-us/library/cc753140.aspx に記載された指示に従ってください。 UEFI コンピュータ用の事前インストール設定 UEFI 起動前認証中におけるネットワーク接続の有効化 UEFI ファームウェア搭載のコンピュータで起動前認証を正常に行うには、PBA にネットワーク接続が必要です。デフォルトでは、 UEFI ファームウェア搭載のコンピュータには、オペレーティングシステムがロードされるまでネットワーク接続がなく、これは PBA モードの後で実行されます。 次の手順は、UEFI 対応のコンピュータ用の PBA 中にネットワーク接続を有効にします。設定手順は UEFI コンピュータモデルによ って異なるので、次の手順は一例に過ぎません。 1.
レガシーオプション ROM の無効化 BIOS で [レガシーオプション ROM を有効にする] 設定が無効化されていることを確認します。 1. コンピュータを再起動します。 2. 再起動中に、繰り返し [F12] を押して UEFI コンピュータの起動設定を表示します。 3. 下向き矢印を押して [BIOS 設定] オプションをハイライト表示し、[Enter] を押します。 4. [設定] > [ 一般] > [ 詳細起動オプション] の順に選択します。 5.
13 レジストリーによる Dell Server の指定 ● クライアントの利用資格を Dell Digital Delivery を使用して取得した場合、次の手順に従ってグループ ポリシー オブジェクトに よりレジストリーを設定し、インストール後に使用する Dell サーバーを事前設定します。 ● ワークステーションは、グループ ポリシー オブジェクトを適用する OU のメンバーである必要があります。さもなければ、エ ンドポイントでレジストリー設定を手動で行う必要があります。 ● Dell Server から cloud.dell.com への通信に送信ポート 443 が使用可能であることを確認します。ポート 443 が(何らかの理由 で)ブロックされている場合、利用資格を取得することはできず、その資格は利用可能なプールから消尽されます。 メモ: Dell Digital Delivery を使用してインストールするときにこのレジストリー値を設定しなかった場合、またはマスター インストーラーでサーバーを指定しなかった場合には、アクティベーション URL はデフォルトの 199.199.199.
4. 作成された GPO を右クリックして [編集] を選択します。 5. グループポリシー管理エディタがロードされます。 [コンピュータ設定] > [ プリファレンス] > [ Windows 設定] > [ レジ ストリ] の順にアクセスします。 6. レジストリを右クリックし、[新規] > [ レジストリ項目] の順に選択します。次のように設定します。 アクション:作成 ハイブ:HKEY_LOCAL_MACHINE キーパス:SOFTWARE\Dell\Dell Data Protection 値の名前:Server 値の種類:REG_SZ 値のデータ: 7.
8.
14 子インストーラの抽出 ● 各クライアントを個別にインストールするには、子の実行可能ファイルをインストーラから抽出します。 ● マスターインストーラはマスターアンインストーラではありません。各クライアントを個別にアンインストールした後で、マ スターインストーラのアンインストールを行う必要があります。このプロセスを使用します。アンインストール用にインスト ールできるように使用でき、マスタインストーラからクライアントを抽出します。 1. Dell インストール メディアから、DDSSuite.exe ファイルをローカル コンピューターにコピーします。 2. DDSSuite.exe ファイルと同じ場所でコマンドプロンプトを開き、次のように入力します。 DDSSuite.exe /s /z"\"EXTRACT_INSTALLERS=C:\Extracted"" 抽出パスは 63 文字を超えられません。 インストールを開始する前に、すべての前提条件が満たされており、インストールする予定の各子インストーラに対して必要 なすべてのソフトウェアがインストールされていることを確認します。参照を 要件の 詳細については。
15 Key Server の設定 ● 本項では、Security Management Server 使用時における Kerberos 認証 / 承認との使用のためにコンポーネントを設定する方法 について説明します。Security Management Server Virtual は Key Server を使用していません。 Key Server は、ソケット上で接続されるクライアントをリスンするサービスです。クライアントが接続されたら、Kerberos API を使用して、セキュア接続のネゴシエーション、認証、暗号化が行われます。セキュア接続がネゴシエーションできない場合、 クライアントが切断されます。 Key Server は、クライアントを実行しているユーザーがキーにアクセスできるかどうかを Security Server(以前の Device Server)に確認します。このアクセスは、管理コンソールの個々のドメインを介して付与されます。 ● Kerberos 認証 / 承認を使用する場合は、Key Server コンポーネントを装備しているサーバを対象ドメインに含める必要があり ます。 ●
4. Key Server サービスを再起動します(今後の操作のため、サービスパネルを開いたままにしておきます)。 5. log.txt に移動して、サービスが正しく開始したことを確認します。 Key Server 設定ファイル - Security Management Server 通信のためのユーザーの追加 1. に移動します。 2. テキストエディタで Credant.KeyServer.exe.config を開きます。 3. に移動して、 「superadmin」の値を適切なユーザーの名前に変更します。 「superadmin」の ままにしておくこともできます。 「superadmin」形式には、Security Management Server に対する認証を行うことが可能な任意の方法を使用できます。SAM アカ ウント名、UPN、または DOMAIN\Username を使用できます。Active Directory
サンプル設定ファイル [Key Server がリッスンする TCP ポート。デフォルトは 8050 です。] [Key Server で許可されるアクティブなソケット接続数] [Security Server(以前の Device Server)URL(v7.
6. 左のメニューで [ユーザー] をクリックします。検索ボックスで、手順 5 で追加したユーザー名を検索します。[検索] をク リックします。 7. 正しいユーザーが検索されたら、[管理者] アイコンをクリックします。 8.
16 Administrative Download Utility(CMGAd)の 使用 ● このユーティリティを使用して、デルサーバに接続していないコンピュータで使用するキーマテリアルのバンドルをダウンロ ードできます。 ● このユーティリティは、アプリケーションに渡されるコマンドラインパラメーターに応じて、次のいずれかの方法でキーマテ リアルのバンドルをダウンロードします。 ○ フォレンジックモード - コマンドラインで -f が渡された場合、またはコマンドラインパラメータが使用されていない場合に 使用されます。 ○ 管理者モード - コマンドラインで -a が渡された場合に使用されます。 ログファイルは C:\ProgramData\CmgAdmin.log にあります。 フォレンジックモードの使用 1. cmgad.exe をダブルクリックして、ユーティリティを起動するか、CMGAd が置かれている場所でコマンドプロンプトを開い て cmgad.exe -f(または cmgad.exe)と入力します。 2.
3. パスフレーズ:には、ダウンロードファイルを保護するためのパスフレーズを入力します。パスフレーズは 8 文字以上の長さ にし、少なくとも 1 つのアルファベットと 1 つの数字を含む必要があります。パスフレーズを確認します。 ファイルの保存先のデフォルトの名前と場所を使用するか、... をクリックして別の場所を選択します。 [次へ] をクリックします。 キーマテリアルが正しくロック解除されたことを示すメッセージが表示されます。ファイルはこれでアクセス可能になりま す。 4.
管理者モードの使用 Security Management Server Virtual は Key Server を使用しないので、管理者モードを使用して Security Management Server Virtual か らキーバンドルを取得することはできません。Security Management Server Virtual に対してクライアントがアクティブ化されてい る場合は、フォレンジックモードを使用してキーバンドルを取得してください。 1. CMGAd が置かれている場所でコマンドプロンプトを開き、cmgad.exe -a と入力します。 2. 次の情報を入力します(一部のフィールドは事前に入力されている場合があります)。 サーバー:Key Server の完全修飾ホスト名(keyserver.domain.com など)。 ポート番号:デフォルトのポートは 8050 です。 サーバーアカウント:Key Server を実行するときのドメインユーザー。形式は DOMAIN\Username です。ユーティリティを実 行するドメインユーザーには、Key Server からダウンロードを実行
キーマテリアルが正しくロック解除されたことを示すメッセージが表示されます。ファイルはこれでアクセス可能になりま す。 4.
17 サーバオペレーティングシステム上の Encryption の設定 サーバオペレーティングシステム上の Encryption の有効化 メモ: サーバオペレーティングシステムの Encryption により、ユーザー暗号化が共通暗号化に変換されます。 1. 管理コンソールに Dell 管理者としてログインします。 2. エンドポイントグループ(または エンドポイント)を選択し、有効にするエンドポイントまたはエンドポイントグループを検 索して セキュリティポリシー を選択した後、[Server Encryption] ポリシーカテゴリを選択します。 3.
ーバがリムーバブルデバイスの存在を初めて検知するとき、リムーバルデバイスを暗号化するためのプロンプトがユーザーに表示 されます。 ● Encryption External Media ポリシーは、リムーバブルメディアのサーバへのアクセス、認証、暗号化などを制御します。 ● ポート制御ポリシーは、例えば、USB デバイスによるサーバの USB ポートへのアクセスおよび使用を制御することにより、保 護対象サーバ上のリムーバブルメディアに影響します。 リムーバブルメディア暗号化用のポリシーは、管理コンソールの Server Encryption テクノロジグループにあります。 サーバオペレーティングシステム上の Encryption および外部メディア 保護対象サーバーの EMS 暗号化外部メディアポリシー選択されている場合、外部メディアは暗号化されます。Encryption はマシン キーでそのデバイスを保護対象サーバに関連付け、リムーバブルデバイスの所有者 / ユーザーのユーザーローミングキーでデバイ スをユーザーに関連付けます。その後でリムーバルデバイスに追加されるすべてのファイルは、デバイスの接続先のコン
メモ: [復帰] をクリックすると、サーバオペレーティングシステムの Encryption は再起動後にサーバ上の暗号化データにアクセ スできるようになります。 サーバオペレーティングシステム上の Encryption の設定 99
18 Deferred Activation の設定 Deferred Activation が付属した Encryption クライアントは、2 つの点で Encryption クライアントのアクティベーションと異なりま す。 デバイスベースの暗号化ポリシー Encryption クライアントのポリシーはユーザーベースですが、Deferred Activation 付属の Encryption クライアントの暗号化ポリシー はデバイスベースです。ユーザー暗号化は共有暗号化に変換されます。この違いによって、ユーザーは組織のドメイン内で個人的 なデバイスを使用することができます。組織は暗号化ポリシーを一元管理することでセキュリティを維持します。 アクティベーション Encryption クライアントでは、アクティベーションは自動で行われます。Deferred Activation が Endpoint Security Suite Enterprise と 一緒にインストールされる場合、自動アクティベーションが無効になります。代わりに、ユーザーは暗号化をアクティブ化するか どうか、いつアクティブ化するかを選択で
デルでは、暗号化データへのアクセスを保護するため、Windows パスワードの作成を強く推奨しています(まだパスワードが存在 しない場合)。コンピュータにパスワードを作成すると、他のユーザーがパスワードなしでユーザーアカウントにログインするこ とを防止できます。 旧バージョンの Encryption クライアントのアンインストール 旧バージョンの Encryption クライアントをアンインストールする前に、必要に応じて、暗号化スイープを停止または一時停止しま す。 コンピュータがバージョン 8.
メモ: ドメイン以外または個人の電子メールアドレスはアクティブ化に使用できません。 3. [閉じる] をクリックします。 Dell サーバは、暗号化キーバンドルとユーザーの資格情報およびコンピュータの固有 ID(マシン ID)を組み合わせて、キーバ ンドル、特定のコンピュータ、およびユーザーの間に突破不可能な関係を作成します。 4.
可能な解決策 ● 組織のネットワークに直接接続し、アクティブ化を再試行します。 ● ネットワークに接続するには VPN アクセスが必要です。VPN 接続を確認して、再試行します。 ● Dell Server の URL を確認して、それが管理者から提供された URL と一致していることを確認します。 ユーザーがインストーラに入力した URL とその他のデータはレジストリに保存されています。 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] and [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet] でデータが正確であることを確認します ● 切断して再接続します: コンピュータをネットワークから切断します。 ネットワークに再接続します。 コンピュータを再起動します。 ネットワークへの接続を再試行します。 エラーメッセージ:レガシーサーバはサポートされません。 レガシーサーバの場合には Encryption をアクティ
19 トラブルシューティング すべてのクライアントのトラブルシューティング ● Endpoint Security Suite Enterprise マスタースイートインストーラログファイルは、C:\ProgramData\Dell\Dell Data Protection\Installer にあります。 ● Windows は、C:\Users\<ユーザー名>\AppData\Local\Temp に、ログインしたユーザーに関する独自の 子インストーライ ンストールログファイル を作成します。 ● Windows はログインしたユーザー用に、クライアントの前提条件(Visual C++ など)ログファイルを C:\Users\<ユーザー名 >\AppData\Local\Temp にある %temp% に作成します。例:C:\Users\<ユーザー名 >\AppData\Local\Temp\dd_vcredist_amd64_20160109003943.log ● インストール対象のコンピューターにインストールされている Microsoft .
● アクティブ化に使用される資格情報がドメイン管理者の資格情報ではない。 エラーメッセージ:不明なユーザー名または不正なパスワードです ユーザー名とパスワードが一致しません。 可能な解決策:ユーザー名とパスワードを正確に入力して、ログインを再試行します。 エラーメッセージ:ユーザーアカウントにドメイン管理者権限がないため、アクティブ化に失敗しました。 アクティブ化に使用された資格情報にドメイン管理者権限がないか、管理者のユーザー名が UPN 形式ではありませんでした。 可能な対策:アクティベーションダイアログで、ドメイン管理者の資格情報を UPN 形式で入力します。 エラーメッセージ:サーバーとの接続を確立できませんでした。 または The operation timed out.
3. ユーザーが Server Encryption の バージョン情報 ボックスを開いて、Server Encryption がサーバモードで実行中であることを確 認します。 4. ユーザーが通知領域内の Encryption アイコンを右クリックし、Dell Encryption のアクティブ化 を選択します。 5. ユーザーが アクティブ化 ダイアログにドメイン管理者資格情報を入力します。 メモ: ドメイン管理者の資格情報の要件は、サーバオペレーティングシステムの Encryption がサポートされていないサーバ環境 に展開されるのを防ぐ安全対策です。ドメイン管理者資格情報の要求を無効にするには「作業を開始する前に」を参照し てください。 6. Dell Server がエンタープライズ資格情報コンテナ(Active Directory またはその同等物)内の資格情報をチェックして、その資格 情報がドメイン管理者資格情報であることを確認します。 7. 資格情報を使用して UPN が構築されます。 8.
認証とデバイスアクティベーション 次の図は、正常な認証とデバイスアクティベーションを示します。 1. 正常な初期アクティベーション後、再起動が行われると、Server Encryption を搭載したコンピュータは、仮想サーバーユーザー アカウントを使用して Encryption クライアントを自動的に認証し、サーバーモードで実行します。 2. コンピュータは、自身のデバイスアクティベーションステータスを Dell Server でチェックします。 ● そのコンピュータがまだデバイスアクティブ化されていない場合、Dell Server は、そのコンピュータに MCID、DCID、およ び信頼証明書を割り当て、そのすべての情報を Dell Server の資格情報コンテナ内に保存します。 ● そのコンピュータがすでにデバイスアクティブ化されている場合、Dell Server は信頼証明書を検証します。 3. Dell Server が信頼証明書をサーバに割り当てると、そのサーバはその暗号化キーにアクセスできます。 4.
Encryption External Media と PCS の相互作用 メディアが読み取り専用ではなく、ポートがブロックされていないことを確実にする EMS Access から unShielded Media へのポリシーは、Port Control System - Class: Storage > Subclass Storage: External Drive Control ポ リシーと相互作用します。EMS Access から unShielded Media へのポリシーをフルアクセスに設定する場合は、メディアが読み取 り専用に設定されず、ポートがブロックされないようにするために、Subclass Storage: External Drive Control ポリシーもフルアクセ スに設定する必要があります。 CD/DVD に書き込まれたデータを暗号化する ● Windows Media Encryption = オンに設定します。 ● EMS で CD/DVD 暗号化を除外 = 選択なしに設定します。 ● サブクラスストレージの設定:光学ドライブコントロール = UDF Only に設定
または 1. [詳細設定] をクリックし、ビューを [シンプル] に切り替えて、特定のフォルダをスキャンします。 2. スキャン設定 に移動して、検索パス フィールドにフォルダパスを入力します。このフィールドを使用した場合、メニューの選 択は無視されます。 3. WSScan の出力をファイルに書き込まない場合は、[ファイルに出力] チェックボックスをオフにします。 4. 必要に応じて、パスに含まれているデフォルトパスとファイル名を変更します。 5. 既存のどの WSScan 出力ファイルも上書きしない場合は、[既存のファイルに追加] を選択します。 6.
WSScan コマンドラインの使用 WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] スイッチ 意味 ドライブ スキャンするドライブ。指定しない場合、デフォルトは、すべてのローカルの固定ハード ドライブになります。マップされたネットワークドライブにすることができます。 -ta すべてのドライブをスキャンします。 -tf 固定ドライブをスキャンします(デフォルト)。 -tr リムーバブルドライブをスキャンします。 -tc CDROM/DVDROM をスキャンします。 110 トラブルシューティング
スイッチ 意味 -s サイレント操作 -o 出力ファイルパス -a 出力ファイルに付加します。デフォルトの動作は出力ファイルを切り捨てます。 -f レポート書式指定子(レポート、固定、区切り) -r 管理者権限なしに WSScan を実行します。このモードでは、一部のファイルが表示されな いことがあります。 -u 出力ファイルに非暗号化ファイルを含めます。 このスイッチは順序に敏感です。「u」を最初に、「a」を 2 番目に(または省略)、「-」ま たは「v」を最後にする必要があります。 -u- 出力ファイルに非暗号化ファイルだけを含めます。 -ua 非暗号化ファイルも報告しますが、すべてのユーザーポリシーを使用して「should」フィ ールドを表示します。 -ua- 非暗号化ファイルだけを報告しますが、すべてのユーザーポリシーを使用して「should」 フィールドを表示します。 -uv ポリシーだけに違反した非暗号化ファイルをレポートします(Is=No / Should=Y)。 -uav すべてのユーザーポリシーを使用して、ポリシーだけに違反した非暗号化ファイルを
出力 意味 上記の例では、「7vdlxrsb」 マッピングされているネットワークドライブをスキャンした場合、KCID はスキャンレポ ートに表示されません。 ユーザー ID。 UCID 上記の例では、「_SDENCR_」 UCID は、そのコンピュータのすべてのユーザーで共有されます。 ファイル 暗号化ファイルのパス。 上記の例では、「c:\temp\Dell - test.
構文 wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] パラメータ パラメータ 目的 path オプションで、可能性のある暗号化 / 復号化についてスキャンするデバイス上の特定のパ スを指定します。パスを指定しない場合、このユーティリティは、暗号化ポリシーに関連 したすべてのフォルダをスキャンします。 -h コマンドラインヘルプを表示します。 -f TrouDell ProSupport からの指示に従ってトラブルシューティングします。 -u ユーザーアプリケーションデータ暗号化リストを一時的に無効または有効にします。こ のリストは、現在のユーザーに対して暗号化有効が選択されている場合に有効です。無効 にするには 0 を、再度有効にするには 1 を指定します。ユーザーにとって有効な現在のポ リシーは、次回のログオン時に復元されます。 -x 権限リストにプロセス名を追加します。このリスト上のコンピュータおよびインストー ラプロセス名と、このパラ
再起動し、復号化スイープを強制的に再実行します。手順については、 「(オプション) Encryption Removal Agent のログファ イルの作成」を参照してください。 ● 完了 – 復号化スイープが完了しました。サービス、実行ファイル、ドライバ、およびドライバ実行ファイルは、すべて次回の 再起動で削除されるようにスケジュールされています。 Advanced Threat Prevention のトラブルシューティング Windows Powershell を使用した製品コードの検索 ● この方法を使用すれば、将来製品コードに変更があった場合に、製品コードを容易に見つけることができます。 Get-WmiObject Win32_Product | Where-Object {$_.Name -like '*Cylance*'} | FT IdentifyingNumber, Name, LocalPackage 出力結果は、フルパスと .
トラブルシューティング 115
次の図は Advanced Threat Prevention のエージェント通信プロセスを表しています。 BIOS イメージの整合性検証プロセス 次の図は、BIOS イメージの整合性の検証プロセスを表しています。BIOS イメージの整合性検証によりサポートされる Dell コンピ ュータのモデル一覧については、「要件 - BIOS イメージの整合性検証」を参照してください。 116 トラブルシューティング
SED のトラブルシューティング 初期アクセスコードの使用 ● このポリシーは、ネットワークアクセスが使用できない場合に、コンピュータにログオンするために使用されます。つまり、 Dell Server と AD のどちらにもアクセスできません。初期アクセスコード ポリシーは、絶対に必要な場合にしか使用しないでく ださい。デルはこのログイン方法を推奨しません。初期アクセスコードポリシーを使用しても、ユーザー名、ドメイン、およ びパスワードを使用する通常のログイン方法とは同じセキュリティレベルにはなりません。 ログインの安全性が低くなる他に、初期アクセスコードでユーザーのアクティブ化すると、Dell Server にこのユーザーがコンピ ュータでアクティベーションを実行したレコードが残りません。その結果、パスワードおよびセルフヘルプの質問に正しく入 力できない場合、Dell Server で応答コードを生成できなくなります。 トラブルシューティング 117
● 初期アクセスコードを使用できるのは、アクティブ化直後 1 回限り です。エンドユーザーがログインした後は、初期アクセス コードが再度利用可能になることはありません。初期アクセスコードの入力後に初めて行われたドメインログインがキャッシ ュされ、初期アクセスコード入力フィールドは再表示されません。 ● 初期アクセス コードは、次の状況下限定で表示されます。 ○ ユーザーが PBA 内でアクティブ化されたことがない。 ○ クライアントがネットワークまたは Dell Server に接続できない。 初期アクセスコードの使用 1. 管理コンソールで [初期アクセスコード] ポリシーの値を設定します。 2. ポリシーを保存してコミットします。 3. ローカルコンピュータを起動します。 4. アクセスコード画面が表示されたら、[初期アクセスコード]を入力します。 5. [青色矢印] をクリックします。 6. 法的通知画面が表示されたら、 [OK] をクリックします。 7. このコンピュータのユーザー資格情報で Windows にログインします。この資格情報は、ドメインの一部である必要があります。 8.
Dell ControlVault ドライバ Dell ControlVault ドライバおよびファームウェアのアップデート ● 工場で Dell コンピュータ にインストールされている Dell ControlVault ドライバおよびファームウェアは古いため、次の手順の順 序にしたがってアップデートする必要があります。 ● クライアントのインストールの際に、Dell ControlVault のドライバをアップデートするためにインストーラを終了することを促 すエラーメッセージが表示された場合、このメッセージは無視してクライアントのインストールを続行します。Dell ControlVault ドライバ(およびファームウェア)はクライアントのインストールが完了した後にアップデートすることができま す。 最新のドライバのダウンロード 1. dell.com/support にアクセスします。 2. お使いのコンピュータモデルを選択します。 3.
4. ターゲットコンピューターの [オペレーティングシステム] を選択します。 5.
6. Dell ControlVault ドライバをダウンロードして保存します。 7. Dell ControlVault ファームウェアをダウンロードして保存します。 8. 必要に応じて、ターゲットコンピュータにドライバとファームウェアをコピーします。 Dell ControlVault ドライバのインストール 1.
2. Dell ControlVault ドライバをダブルクリックして自己解凍形式の実行可能ファイルを実行します。 メモ: ドライバを先にインストールします。本文書の作成時における ドライバのファイル名は ControlVault_Setup_2MYJC_A37_ZPE.exe です。 3. [続行] をクリックして開始します。 4. [Ok]をクリックして、ドライバー ファイルをデフォルトの場所である C:\Dell\Drivers\に解凍します。 5.
6. 正常に解凍しましたというメッセージが表示されたら [Ok] をクリックします。 7. 抽出後、ファイルが含まれているフォルダが表示されます。表示されない場合は、ファイルを抽出したフォルダに移動します。 この場合、フォルダは JW22F です。 8. [CVHCI64.MSI] をダブルクリックしてドライバインストーラを実行します。[この例の場合は [CVHCI64.MSI] です(32 ビッ トのコンピュータ用 CVHCI)]。 9.
10.[次へ]をクリックして、ドライバーを次のデフォルトの場所にインストールします。 C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\. 11.
12.[インストール] をクリックしてドライバのインストールを開始します。 13.
ドライバのインストールの検証 ● オペレーティングシステムおよびハードウェアの構成によっては、デバイスマネージャに Dell ControlVault デバイス(およびそ の他のデバイス)が表示されます。 Dell ControlVault ファームウェアのインストール 1. ファームウェアのインストールファイルをダウンロードしたフォルダに移動します。 2. Dell ControlVault ファームウェアをダブルクリックして自己解凍形式の実行可能ファイルを実行します。 3.
4. [Ok]をクリックして、ドライバー ファイルをデフォルトの場所である C:\Dell\Drivers\に解凍します。 5. [はい] をクリックして新しいフォルダの作成を許可します。 6. 正常に解凍しましたというメッセージが表示されたら [Ok] をクリックします。 7.
8. [ushupgrade.exe] をダブルクリックしてファームウェアインストーラを実行します。 9.
メモ: ファームウェアを旧バージョンからアップグレードする場合は、管理者パスワードの入力を求められることがあります。 Broadcom をパスワードとして入力し、このダイアログが表示された場合は [Enter ] をクリックします。 いくつかのステータスメッセージが表示されます。 トラブルシューティング 129
トラブルシューティング
10.
UEFI コンピュータ ネットワーク接続のトラブルシューティング ● UEFI ファームウェア搭載のコンピュータで起動前認証を正常に行うには、PBA モードにネットワーク接続が必要です。デフォ ルトでは、UEFI ファームウェア搭載のコンピュータには、オペレーティングシステムがロードされるまでネットワーク接続が なく、これは PBA モードの後で実行されます。「UEFI コンピュータ用の事前インストール設定」で概要が説明されているコン ピュータ手順が完了し、適切に設定されると、コンピュータがネットワークに接続するとき、起動前認証画面にネットワーク 接続アイコンが表示されます。 ● 依然として起動前認証中にネットワーク接続アイコンが表示されない場合は、ネットワークケーブルを調べてコンピュータに 接続していることを確認してください。接続していなかったり、失われていた場合、コンピュータを再起動して PBA モードを 再開します。 TPM および BitLocker TPM および BitLocker のエラーコード 定数 / 値 説明 TPM_E_ERROR_MASK これは、TPM ハードウェアエラーを
定数 / 値 説明 0x80280009 TPM_E_BAD_ORDINAL 序数が不明または一貫していませんでした。 0x8028000A TPM_E_INSTALL_DISABLED 所有者をインストールする機能が無効です。 0x8028000B TPM_E_INVALID_KEYHANDLE キーハンドルを解釈できません。 0x8028000C TPM_E_KEYNOTFOUND キーハンドルが無効なキーを示しています。 0x8028000D TPM_E_INAPPROPRIATE_ENC 受け入れられない暗号化スキーマです。 0x8028000E TPM_E_MIGRATEFAIL 移行承認に失敗しました。 0x8028000F TPM_E_INVALID_PCR_INFO PCR 情報を解釈できませんでした。 0x80280010 TPM_E_NOSPACE キーをロードする余裕がありません。 0x80280011 TPM_E_NOSRK ストレージルートキー(SRK)セットがありません。 0x80280012 TPM_E_NOTSEALED_BLOB 0x8
定数 / 値 説明 0x8028001A TPM_E_SHA_ERROR 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 既存の SHA-1 スレッドでエラーがすでに発生しているので、 計算を続行できません。 TPM ハードウェアデバイスが、その内部セルフテスト中に障 害を報告しました。問題を解決するには、コンピュータを再 起動してみてください。問題が解決しない場合、TPM ハード ウェアまたはマザーボードの交換が必要になることがありま す。 2 キー機能での 2 番目のキーの認証が失敗しました。 0x8028001D TPM_E_BADTAG コマンドに送信されたタグ値が正しくありません。 0x8028001E TPM_E_IOERROR TPM への情報の転送中に IO エラーが発生しました。 0x8028001F TPM_E_ENCRYPT_ERROR 暗号化プロセスに問題が発生しました。 0x80280020 TPM_E_DECRYPT_ERROR 復号化プロセスが完了しませんでした。 0x80280021
定数 / 値 説明 TPM_E_BAD_DATASIZE データ(または BLOB)パラメータのサイズが間違っている か、参照キーと一致していません。 0x8028002B TPM_E_BAD_MODE 0x8028002C TPM_E_BAD_PRESENCE 0x8028002D TPM_E_BAD_VERSION TPM_GetCapability の capArea および subCapArea、 TPM_PhysicalPresence の phsicalPresence パラメータ、 TPM_CreateMigrationBlob の migrationType などのモードパラ メータが間違っています。 physicalPresence または physicalPresenceLock ビットのいずれ かの値が間違っています。 TPM は、このバージョンの機能を実行できません。 0x8028002E TPM_E_NO_WRAP_TRANSPORT 0x8028002F TPM_E_AUDITFAIL_UNSUCCESSFUL 0x80280030 TPM_E_AUDITFAIL_S
定数 / 値 説明 TPM_E_AREA_LOCKED NV 領域はロックされ、書き込みできません。 0x8028003C TPM_E_BAD_LOCALITY ローカリティは、試みた操作にとって正しくありません。 0x8028003D TPM_E_READ_ONLY NV 領域は読み取り専用で、書き込みできません。 0x8028003E TPM_E_PER_NOWRITE NV 領域への書き込みが保護されていません。 0x8028003F TPM_E_FAMILYCOUNT ファミリーカウント値が一致していません。 0x80280040 TPM_E_WRITE_LOCKED NV 領域はすでに書き込まれています。 0x80280041 TPM_E_BAD_ATTRIBUTES NV 領域属性が競合しています。 0x80280042 TPM_E_INVALID_STRUCTURE 0x80280043 TPM_E_KEY_OWNER_CONTROL 0x80280044 TPM_E_BAD_COUNTER 構造タグおよびバージョンが無効であるか、一貫していませ ん。 キーが、
定数 / 値 説明 TPM_E_DELEGATE_ADMIN 委任テーブル管理が有効ではありません。 0x8028004D TPM_E_TRANSPORT_NOTEXCLUSIVE 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS 排他的なトランスポートセッションの外部で実行されたコマ ンドがありました。 所有者排除制御キーをコンテキスト保存しようとしていま す。 DAA コマンドにはその実行に利用できるリソースがありませ ん。 DAA パラメータ inputData0 の整合性チェックが失敗しまし た。 DAA パラメータ inputData1 の整合性チェックが失敗しまし た。 DAA_issuerSettings の整合性チェックが失敗しました。 0x80280053 TPM_E_DAA_TPM_SETTINGS
定数 / 値 説明 TPM_E_MA_SOURCE 移行元が正しくありません。 0x8028005E TPM_E_MA_AUTHORITY 移行承認機関が正しくありません。 0x8028005F TPM_E_PERMANENTEK 0x80280061 TPM_E_BAD_SIGNATURE EK を呼び出そうとしており、EK は呼び出し可能ではありま せん。 CMK チケットの署名が間違っています。 0x80280062 TPM_E_NOCONTEXTSPACE 0x80280063 TPM_E_COMMAND_BLOCKED コンテキストリストにコンテキストを追加するための余裕が ありません。 コマンドはブロックされました。 0x80280400 TPM_E_INVALID_HANDLE 指定されたハンドルが見つかりませんでした。 0x80280401 TPM_E_DUPLICATE_VHANDLE 0x80280402 TPM_E_EMBEDDED_COMMAND_BLOCKED TPM が重複したハンドルを返したので、コマンドを再送信す る必要があります。 トランスポート内の
定数 / 値 説明 TBS_E_INVALID_CONTEXT 指定されたコンテキストハンドルは、有効なコンテキストを 参照していません。 0x80284004 TBS_E_INSUFFICIENT_BUFFER 指定の出力バッファが小さすぎます。 0x80284005 TBS_E_IOERROR TPM との通信中にエラーが発生しました。 0x80284006 TBS_E_INVALID_CONTEXT_PARAM 1 つまたは複数のコンテキストパラメータが無効です。 0x80284007 TBS_E_SERVICE_NOT_RUNNING TBS サービスが実行しておらず、開始できません。 0x80284008 TBS_E_TOO_MANY_TBS_CONTEXTS 0x80284009 TBS_E_TOO_MANY_RESOURCES 0x8028400A TBS_E_SERVICE_START_PENDING 開いているコンテキストが多すぎるので、新しいコンテキス トを作成できませんでした。 開いている仮想リソースが多すぎるので、新しい仮想リソー スを作成できませんでした。
定数 / 値 説明 所有者認証値のシステムへのインポート、TPM をプロビジョ ニングし「ForceClear_Allowed」または 「PhysicalPresencePrompts_Allowed」のどちらかに対して TRUE を指定するための Win32_Tpm WMI メソッドの呼び出 し(追加情報で返される値で示されるとおり)、またはシステ ム BIOS での TPM の有効化があります)。 TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND 0x80284015 このファームウェアの物理プレゼンスインターフェースは、 リクエストされたメソッドをサポートしていません。 リクエストされた TPM OwnerAuth 値が見つかりませんでし た。 0x80284016 TPM プロビジョニングが完了しませんでした。プロビジョ ニングを完了するための詳細については、TPM をプロビジョ ニングするための Win32_Tpm WMI メソッド(「Provision」)を 呼び出し、リクエストされた情報をチェックして
定数 / 値 説明 TPMAPI_E_TPM_COMMAND_ERROR TPM が予想外の結果を返しました。 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE メッセージは、エンコードスキーマには大きすぎます。 0x8029010D TPMAPI_E_INVALID_ENCODING BLOB のエンコードが認識されませんでした。 0x8029010E TPMAPI_E_INVALID_KEY_SIZE キーサイズが有効ではありません。 0x8029010F TPMAPI_E_ENCRYPTION_FAILED 暗号操作が失敗しました。 0x80290110 TPMAPI_E_INVALID_KEY_PARAMS キーパラメータ構造が有効ではありませんでした。 0x80290111 TPMAPI_E_INVALID_MIGRATION_AUTHORIZATION_BLOB 0x80290112 TPMAPI_E_INVALID_PCR_INDEX リクエストされた提供データが有効な移行承認 BLOB ではな いようです。 指定の PCR インデックスが
定数 / 値 説明 TPMAPI_E_TCG_INVALID_DIGEST_ENTRY TCG ログエントリ内のダイジェスト値がハッシュされたデー タに一致しませんでした。 0x8029011D TPMAPI_E_POLICY_DENIES_OPERATION 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL リクエストされた操作は、現在の TPM ポリシーによってブロ ックされました。サポートが必要な場合は、システム管理者 に連絡してください。 指定のバッファが小さすぎました。 0x80290200 TBSIMP_E_CLEANUP_FAILED コンテキストをクリーンアップできませんでした。 0x80290201 TBSIMP_E_INVALID_CONTEXT_HANDLE 指定のコンテキストハンドルが無効です。 0x80290202 TBSIMP_E_INVALID_CONTEXT_PARAM 無効なコンテキストパラメータが指定されました。 0x80290203 TBSIMP_E_TPM_ERROR TPM との通信中にエラーが発生しました。 0x8
定数 / 値 説明 TBSIMP_E_NOT_ENOUGH_SPACE TPM には、リクエストされたリソースをロードできるだけ十 分な容量がありません。 0x8029020F TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS 使用されている TPM コンテキストが多すぎます。 0x80290210 TBSIMP_E_COMMAND_FAILED TPM コマンドが失敗しました。 0x80290211 TBSIMP_E_UNKNOWN_ORDINAL TBS は、指定の序数を認識していません。 0x80290212 TBSIMP_E_RESOURCE_EXPIRED 0x80290213 TBSIMP_E_INVALID_RESOURCE リクエストされたリソースはもはや使用可能ではありませ ん。 リソースタイプは一致しませんでした。 0x80290214 TBSIMP_E_NOTHING_TO_UNLOAD リソースをアンロードできません。 0x80290215 TBSIMP_E_HASH_TABLE_FULL 新しいエントリをハッシュテーブルに追加できません。
定数 / 値 説明 TPM_E_PPI_BLOCKED_IN_BIOS 物理プレゼンスコマンドは、現在の BIOS 設定によってブロッ クされました。システム所有者は、コマンドを許可するよう に BIOS 設定を再設定できる場合があります。 0x80290304 TPM_E_PCP_ERROR_MASK 0x80290400 TPM_E_PCP_DEVICE_NOT_READY 0x80290401 TPM_E_PCP_INVALID_HANDLE 0x80290402 TPM_E_PCP_INVALID_PARAMETER 0x80290403 TPM_E_PCP_FLAG_NOT_SUPPORTED 0x80290404 TPM_E_PCP_NOT_SUPPORTED 0x80290405 TPM_E_PCP_BUFFER_TOO_SMALL 0x80290406 TPM_E_PCP_INTERNAL_ERROR 0x80290407 TPM_E_PCP_AUTHENTICATION_FAILED これは、プラットフォーム暗号化プロバイダエラーを win エ ラーに変換するためのエラーマスクです
定数 / 値 説明 PLA_E_NO_MIN_DISK データコレクタセットを開始できるだけ十分な空きディスク 容量がありません。 0x80300070 PLA_E_DCS_ALREADY_EXISTS データコレクタセットがすでに存在しています。 0x803000B7 PLA_S_PROPERTY_IGNORED プロパティ値は無視されます。 0x00300100 PLA_E_PROPERTY_CONFLICT プロパティ値が競合しています。 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING このデータコレクタセットの現在の設定では、ちょうど 1 つ のデータコレクタを含むことが必要です。 現在のデータコレクタセットプロパティをコミットするに は、ユーザーアカウントが必要です。 データコレクタセットが実行していません。 0x80300104 PLA_E_CONFLICT_INCL_EXCL_API 0x803001
定数 / 値 説明 PLA_E_INVALID_SESSION_NAME 入力したセッション名が無効です。 0x8030010F PLA_E_PLA_CHANNEL_NOT_ENABLED 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED イベントログチャネル Microsoft-Windows-Diagnosis-PLA/ Operational でこの操作を実行できるようにする必要がありま す。 イベントログチャネル Microsoft-Windows-TaskScheduler で この操作を実行できるようにする必要があります。 Rules Manager の実行が失敗しました。 0x80300112 PLA_E_CABAPI_FAILURE 0x80300113 FVE_E_LOCKED_VOLUME 0x80310000 FVE_E_NOT_ENCRYPTED データを圧縮または抽出しようとしているときにエラーが発 生しました。 このドライブは、BitLocker ド
定数 / 値 説明 FVE_E_AD_SCHEMA_NOT_INSTALLED Active Directory ドメインサービスフォレストには、BitLocker ドライブ暗号化または TPM 情報をホストするために必要な 属性とクラスが含まれていません。ドメイン管理者に問い合 わせて、必要な BitLocker Active Directory スキーマ拡張がイン ストールされていることを確認してください。 0x8031000A FVE_E_AD_INVALID_DATATYPE 0x8031000B FVE_E_AD_INVALID_DATASIZE 0x8031000C FVE_E_AD_NO_VALUES 0x8031000D FVE_E_AD_ATTR_NOT_SET 0x8031000E FVE_E_AD_GUID_NOT_FOUND 0x8031000F FVE_E_BAD_INFORMATION 0x80310010 FVE_E_TOO_SMALL 0x80310011 FVE_E_SYSTEM_VOLUME 0x80310012 FVE_E_FAILED_WRONG_FS 0
定数 / 値 説明 FVE_E_VOLUME_NOT_BOUND 指定したデータドライブは、現在のコンピュータで自動的に ロック解除するように設定されておらず、自動的にロック解 除できません。 0x80310017 FVE_E_TPM_NOT_OWNED 0x80310018 FVE_E_NOT_DATA_VOLUME 0x80310019 FVE_E_AD_INSUFFICIENT_BUFFER 0x8031001A FVE_E_CONV_READ 0x8031001B FVE_E_CONV_WRITE 0x8031001C FVE_E_KEY_REQUIRED 0x8031001D FVE_E_CLUSTERING_NOT_SUPPORTED 0x8031001E FVE_E_VOLUME_BOUND_ALREADY 0x8031001F FVE_E_OS_NOT_PROTECTED 0x80310020 FVE_E_PROTECTION_DISABLED 0x80310021 FVE_E_RECOVERY_KEY_REQUIRED 0x80310022 FVE_E_FOREIGN_VOLUM
定数 / 値 説明 FVE_E_FAILED_SECTOR_SIZE このセクターサイズでは、ドライブ暗号化アルゴリズムを使 用できません。 0x80310026 FVE_E_FAILED_AUTHENTICATION 0x80310027 FVE_E_NOT_OS_VOLUME 0x80310028 FVE_E_AUTOUNLOCK_ENABLED 0x80310029 FVE_E_WRONG_BOOTSECTOR 0x8031002A FVE_E_WRONG_SYSTEM_FS 0x8031002B FVE_E_POLICY_PASSWORD_REQUIRED 0x8031002C FVE_E_CANNOT_SET_FVEK_ENCRYPTED 0x8031002D FVE_E_CANNOT_ENCRYPT_NO_KEY 0x8031002E FVE_E_BOOTABLE_CDDVD 0x80310030 FVE_E_PROTECTOR_EXISTS 0x80310031 FVE_E_RELATIVE_PATH 0x80310032 FVE_E_PROTECTOR_NOT_FOUND
定数 / 値 説明 FVE_E_INVALID_PASSWORD_FORMAT 入力された回復パスワードの形式が無効です。BitLocker 回復 パスワードは 48 桁です。回復パスワードが正しい形式であ ることを確認してから、再試行してください。 0x80310035 FVE_E_FIPS_RNG_CHECK_FAILED ランダム数ジェネレータのチェックテストは失敗しました。 0x80310036 FVE_E_FIPS_PREVENTS_RECOVERY_PASSWORD 0x80310037 FVE_E_FIPS_PREVENTS_EXTERNAL_KEY_EXPORT 0x80310038 FVE_E_NOT_DECRYPTED 0x80310039 FVE_E_INVALID_PROTECTOR_TYPE FIPS コンプライアンスを必要とするグループポリシー設定に より、BitLocker ドライブ暗号化でローカルの回復パスワード を生成することも使用することもできません。FIPS 対応モー ドで操作する場合は、BitLocker 回復オプションを、USB ドラ イブに保存され
定数 / 値 説明 た。ドライブが不正に変更されておらず、システムブート情 報に対する変更は信頼されたソースによって行われたことを 確認します。ドライブが安全にアクセスできることを確認し た後、BitLocker 回復コンソールを使用してドライブをロック 解除し、続いて BitLocker をサスペンドおよび再開して、 BitLocker がこのドライブに関連付けるシステムブート情報を アップデートします。 FVE_E_TPM_NO_VMK BitLocker 暗号化キーを TPM から取得できません。 0x80310042 FVE_E_PIN_INVALID 0x80310043 FVE_E_AUTH_INVALID_APPLICATION 0x80310044 FVE_E_AUTH_INVALID_CONFIG 0x80310045 FVE_E_FIPS_DISABLE_PROTECTION_NOT_ALLOWED 0x80310046 FVE_E_FS_NOT_EXTENDED 0x80310047 FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED 0x80310048 F
定数 / 値 説明 FVE_E_DEBUGGER_ENABLED ブートデバッグが有効である間、ドライブ暗号化を行えませ ん。bcdedit コマンドラインツールを使用して、ブートデバッ グをオフにします。 0x8031004F FVE_E_RAW_ACCESS 0x80310050 FVE_E_RAW_BLOCKED 0x80310051 FVE_E_BCD_APPLICATIONS_PATH_INCORRECT 0x80310052 FVE_E_NOT_ALLOWED_IN_VERSION 0x80310053 FVE_E_NO_AUTOUNLOCK_MASTER_KEY 0x80310054 FVE_E_MOR_FAILED 0x80310055 FVE_E_HIDDEN_VOLUME BitLocker ドライブ暗号化が raw アクセスモードであるとき に、アクションが行われませんでした。 このドライブは現在使用中なので、このドライブで BitLocker ドライブ暗号化は raw アクセスモードに移れません。 BitLocker ドライブ暗号化の完全性保護アプリケーションにつ いてブート
定数 / 値 説明 FVE_E_POLICY_RECOVERY_KEY_REQUIRED グループポリシー設定は、回復キーの作成を必要としていま す。 0x8031005F FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED 0x80310060 FVE_E_POLICY_STARTUP_PIN_REQUIRED 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 グループポリシー設定は、スタートアップ時に PIN の使用を 許可していません。別の BitLocker スタートアップオプショ ンを選択してください。 グループポリシー設定は、スタートアップ時に PIN の使用を 必要としています。この BitLocker スタートアップオプショ ンを選択してください。 グループポリシー設定は、スタートアップキーの使用を許可 していません。別の BitLocker スタートアップオプションを 選択してください。 グループポリシー
定数 / 値 説明 FVE_E_VOLUME_TOO_SMALL ドライブが非常に小さいため、BitLocker ドライブ暗号化を使 用して保護できません。 0x8031006F FVE_E_DV_NOT_SUPPORTED_ON_FS 0x80310070 FVE_E_DV_NOT_ALLOWED_BY_GP 0x80310071 FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED 0x80310072 FVE_E_POLICY_USER_CERTIFICATE_REQUIRED 0x80310073 FVE_E_POLICY_USER_CERT_MUST_BE_HW 0x80310074 FVE_E_POLICY_USER_CONFIGURE_FDV_AUTOUNLOCK_N OT_ALLOWED 選択した検出ドライブタイプが、ドライブ上のファイルシス テムと互換性がありません。BitLocker To Go 検出ドライブ は、FAT 形式のドライブで作成する必要があります。 選択した検出ドライブタイプは、コンピュータのグループポ リシー設定で許可されていません
定数 / 値 説明 FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON 競合するグループポリシー設定のため、BitLocker ドライブ暗 号化をこのドライブに適用できません。ユーザー回復オプシ ョンが無効になっているときに、自動的に固定データドライ ブをロック解除するように BitLocker を設定できません。キ ー検証が行われた後で BitLocker 保護された固定データドラ イブを自動的にロック解除する場合は、BitLocker を有効にす る前に、システム管理者に設定の競合を解決してもらってく ださい。 0x80310083 FVE_E_POLICY_CONFLICT_RDV_RK_OFF_AUK_ON 0x80310084 FVE_E_NON_BITLOCKER_OID 0x80310085 FVE_E_POLICY_PROHIBITS_SELFSIGNED 0x80310086 競合するグループポリシー設定のため、BitLocker ドライブ暗 号化をこのドライブに適用できません。ユーザー回復オプシ ョンが無効になっているときに、自動的にリムーバブル
定数 / 値 説明 このドライブに適用できません。回復パスワードの生成が許 可されていない場合、Active Directory ドメインサービスへの 回復情報の保存は要求できません。BitLocker を有効にしよう とする前に、システム管理者にこれらのポリシーの競合を解 決してもらってください。 FVE_E_POLICY_CONFLICT_RDV_RP_OFF_ADB_ON 0x80310092 FVE_E_NON_BITLOCKER_KU 0x80310093 FVE_E_PRIVATEKEY_AUTH_FAILED 0x80310094 FVE_E_REMOVAL_OF_DRA_FAILED 0x80310095 FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUM E 0x80310096 FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME 0x80310097 FVE_E_FIPS_HASH_KDF_NOT_ALLOWED 0x80310098 FVE_E_ENH_PIN_INVALID 0x80310099 FVE_
定数 / 値 説明 FVE_E_MULTIPLE_NKP_CERTS 複数のネットワークキー保護機能証明書がシステム上で見つ かりました。 0x8031009D FVE_E_REMOVAL_OF_NKP_FAILED 0x8031009E FVE_E_INVALID_NKP_CERT 0x8031009F FVE_E_NO_EXISTING_PIN ネットワークキー保護機能証明書の削除は、証明書スナップ インを使用して行う必要があります。 無効な証明書が、ネットワークキー保護機能証明書ストアに 見つかりました。 このドライブは PIN で保護されていません。 0x803100A0 FVE_E_PROTECTOR_CHANGE_PIN_MISMATCH 正しい現在の PIN を入力してください。 0x803100A1 FVE_E_PROTECTOR_CHANGE_BY_STD_USER_DISALLOWE D 0x803100A2 FVE_E_PROTECTOR_CHANGE_MAX_PIN_CHANGE_ATTEM PTS_REACHED 0x803100A3 FVE_E_POLICY_PAS
定数 / 値 説明 0x803100AC FVE_E_NOT_ALLOWED_ON_CSV_STACK 0x803100AD FVE_E_NOT_ALLOWED_ON_CLUSTER 0x803100AE FVE_E_EDRIVE_NO_FAILOVER_TO_SW 0x803100AF FVE_E_EDRIVE_BAND_IN_USE 0x803100B0 FVE_E_EDRIVE_DISALLOWED_BY_GP 0x803100B1 FVE_E_EDRIVE_INCOMPATIBLE_VOLUME 0x803100B2 FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTIN G このコマンドは、指定の CSV ボリュームのコーディネータノ ードからのみ実行できます。 このコマンドは、ボリュームがクラスタの一部である場合、 そのボリューム上で実行できません。 BitLocker は、グループポリシー設定のため、BitLocker ソフト ウェア暗号化の使用に復帰しませんでした。 ドライブのハードウェア暗号化機能がすでに使用されている ので、BitLocker でドラ
定数 / 値 説明 FVE_E_EDRIVE_DRY_RUN_FAILED お使いのコンピュータは、BitLocker ハードウェアベースの暗 号化をサポートしていません。ファームウェアのアップデー トについてコンピュータの製造元に確認してください。 0x803100BC FVE_E_SHADOW_COPY_PRESENT 0x803100BD FVE_E_POLICY_INVALID_ENHANCED_BCD_SETTINGS 0x803100BE FVE_E_EDRIVE_INCOMPATIBLE_FIRMWARE 0x803100BF ボリュームシャドウコピーが含まれているため、ボリューム 上で BitLocker を有効にできません。ボリュームを暗号化す る前に、ボリュームシャドウコピーをすべて削除してくださ い。 拡張ブート構成データのグループポリシー設定に無効なデー タが含まれているので、BitLocker ドライブ暗号化をこのドラ イブに適用できません。BitLocker を有効にしようとする前 に、システム管理者にこの無効な構成を解決してもらってく ださい。 この PC のファー
定数 / 値 説明 0x803100CA 0x803100CB ボリュームで保護が有効になっていません。保護を有効にす るには接続済みのアカウントが必要です。すでに接続したア カウントがあるときに、このエラーが表示される場合は、詳 細についてイベントログを参照してください。 FVE_E_INVALID_PIN_CHARS_DETAILED PIN には、0 から 9 の数字しか含められません。 FVE_E_DE_PROTECTION_NOT_YET_ENABLED 0x803100CC FVE_E_DEVICE_LOCKOUT_COUNTER_UNAVAILABLE 0x803100CD FVE_E_DEVICELOCKOUT_COUNTER_MISMATCH 0x803100CE FVE_E_BUFFER_TOO_LARGE 0x803100CF 160 トラブルシューティング お使いの PC 上でカウンタを使用できないので、BitLocker は ハードウェアリプレイ保護を使用できません。 カウンタの不一致のために、デバイスロックアウト状態の検 証が失敗しました。 入力バッファが大き
20 用語集 アクティブ化 - コンピュータが Dell Server に登録され、少なくともポリシーの初期セットを受け取ったときにアクティブ化が実行 されます。 Active Directory(AD):Windows ドメインネットワーク用に Microsoft が開発したディレクトリサービスです。 Advanced Threat Prevention - Advanced Threat Prevention 製品は、アルゴリズム的科学および機械学習を使用して、既知および不明 のサイバー攻撃や、エンドポイントの攻撃を識別、分類、および防止する、次世代のアンチウイルス対策です。オプションのクラ イアントファイアウォール機能は、コンピュータと、ネットワークおよびインターネット上のリソースとの通信をモニタし、潜在 的に悪意のある通信を中断します。オプションのウェブプロテクション機能は、オンラインのブラウジングおよび検索中に、ウェ ブサイトの安全評価とレポートに基づいて、安全でないウェブサイトおよびそれらのウェブサイトからのダウンロードをブロック します。 Application Data Encryption
あります。暗号化フォルダ、暗号化アルゴリズム、暗号化キーの使用(共通対ユーザー)の定義に関連したポリシー変更はスイー プをトリガします。さらに、暗号化の有効と無効を切り替えると、暗号化スイープがトリガされます。 起動前認証(PBA)- 起動前認証(PBA)は、BIOS または起動ファームウェアの拡張機能としての役割を果たし、信頼された認証 レイヤとして、オペレーティングシステム外部のセキュアな耐タンパ環境を保証します。PBA は、ユーザーが正しい資格情報を持 っていることを立証するまで、オペレーティングシステムなどをハードディスクから読み取ることができないようにします。 スクリプト制御 - スクリプト制御は、悪意のあるスクリプトが実行されないようにブロックすることによってデバイスを保護しま す。 SED Manager - SED Manager は、自己暗号化ドライブを安全に管理するためのプラットフォームを提供します。SED は独自の暗号 化を備えていますが、その暗号化および使用できるポリシーを管理するためのプラットフォームがありません。SED Manager は、 データを効果的に保護および管理できる、一