暗号化リカバリー v10.9 December 2020 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2020 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption, Endpoint Security Suite Enterprise, and Data Guardian suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
目次 章 1: リカバリを開始する前に............................................................................................................5 Dell ProSupport へのお問い合わせ................................................................................................................................... 5 章 2: Policy-Based 暗号化リカバリまたはファイル / フォルダ暗号化リカバリ........................................ 6 リカバリプロセスの概要.............................................................................................................................
フルディスク暗号化を使用したチャレンジリカバリ..........................................................................................42 章 7: PBA デバイスコントロール...................................................................................................... 46 PBA デバイスコントロールの使用................................................................................................................................. 46 章 8: General Purpose Key のリカバリ...........................................................................................
1 リカバリを開始する前に 本項には、リカバリ環境を作成するための必要事項詳細が記載されています。 ● CD-R、DVD-R メディアまたはフォーマット済みの USB メディア ○ CD または DVD に書き込む場合は、「リカバリ環境 ISO の CD または DVD への書き込み」で詳細を確認してください。 ○ USB メディアを使用する場合は、「リムーバブルメディアへのリカバリ環境の書き込み」で詳細を確認してください。 ● 故障したデバイスのリカバリバンドル ○ リモート管理のクライアントでは、お使いの Dell Security Management Server からのリカバリバンドルの取得方法を説明す る指示が後に記載されています。 ○ ローカル管理のクライアントでは、リカバリバンドルパッケージはセットアップ中に共有ネットワークドライブまたは外部 メディアのいずれかに作成されました。作業を進める前にこのパッケージを見つけてください。 Dell ProSupport へのお問い合わせ デル製品向けの 24 時間 365 日対応電話サポート(877-459-7304、内線 4310039)にご連絡く
2 Policy-Based 暗号化リカバリまたはファイル / フォルダ暗号化リカバリ 暗号化されたコンピュータでオペレーティングシステムを起動できない場合には、リカバリが必要です。この状況は、レジストリ が間違って変更されたか、暗号化されたコンピュータでハードウェアの変更が行われた場合に発生します。 Policy-Based 暗号化リカバリまたはファイル / フォルダ暗号化(FFE)リカバリでは、以下に対するアクセスを復元できます。 ● ● ● ● ● 起動せず、SDE リカバリを実行するためのプロンプトを表示するコンピュータ。 コンピュータは、BSOD に 0x6f または 0x74 の STOP コードを表示します。 暗号化されたデータにアクセスできない、またはポリシーを編集できないコンピュータ。 前記条件のいずれかを満たす Dell Encryption が実行されているサーバ。 Hardware Crypto Accelerator カードまたはマザーボード / TPM を交換しなければならないコンピュータ。 メモ: V8.9.
e. パスワードを入力して、デバイス リカバリー キーをダウンロードします。 f. WinPE を起動したときにアクセスできる場所に、デバイス リカバリー キーをコピーします。 リカバリファイルの入手 - ローカル管理のコンピュータ Encryption Personal リカバリファイルを入手するには、以下を行います。 1. LSARecovery_ .
2. 対象コンピュータ(データを回復するコンピュータ)に LSARecovery_ .exe をコピーします。 リカバリの実行 1. 先ほど作成した起動可能なメディアを使用して、リカバリシステム上、または回復を試みているドライブを搭載したデバイス 上で、そのメディアを起動します。WinPE 環境が開きます。 メモ: リカバリプロセスの前に SecureBoot を無効にします。終了したら、SecureBoot を再度有効にします。 2. x を入力して Enter を押し、コマンドプロンプトを表示します。 3.
4. 次の 1 つを選択します。 ● システムが起動せず、SDE リカバリの実行を指示するメッセージを表示します。 これにより OS へ起動する場合に、Encryption クライアントが実行するハードウェアチェックを再構築することができます。 ● システムで暗号化データへのアクセスまたはポリシーの編集を実行できないか、再インストール中です。 Hardware Crypto Accelerator カードまたはマザーボード / TPM を交換しなければならない場合はこれを使用してください。 5.
6. コンピュータのボリュームがリストされるダイアログで、該当するすべてのドライブを選択して 次へ をクリックします。 複数のドライブをハイライトするには、Shift+ クリックまたは control+ クリックを行います。 選択されたドライブが Policy-Based 暗号化、または FFE 暗号化されていない場合、回復は失敗します。 7.
8. 回復 ダイアログで、回復 をクリックします。リカバリプロセスが開始されます。 9. リカバリが完了したら、終了 をクリックします。 メモ: コンピュータを起動するのに使用した USB、CD / DVD メディアを必ず取り外してください。取り外すのを忘れると再度リ カバリ環境で起動してしまうことがあります。 10.
たりしようとすると、アクセス拒否エラーが発生します。Dell Encryption で保護されたドライブを Dell Encryption がインストールさ れていないシステムに接続してデータを開こうとした場合、暗号テキストが表示されます。 暗号化されたドライブデータの回復 暗号化されたドライブデータを回復するには、以下を行います。 1. コンピュータから DCID / リカバリ ID を取得するには、以下のいずれかのオプションを選択します。 a. 共有暗号化データが保存されているいずれかのフォルダで、WSScan を実行します。 「Common」の後に 8 桁の DCID / リカバリ ID が表示されます。 b. リモート管理コンソールを開き、エンドポイントの 詳細とアクション タブを選択します。 c.
2. サーバからキーをダウンロードするには、Dell Administrative Unlock(CMGAu)ユーティリティに移動して実行します。 Dell Administrative Unlock ユーティリティは、Dell ProSupport から入手できます。 3.
デバイスサーバ(プレ 8.x クライアント):https://:8081/xapi セキュリティサーバ:https://:8443/xapi/ デル管理者:フォレンジック管理者のアカウント名(Security Management Server / Security Management Server Virtual で有効化 されます) デル管理者パスワード:フォレンジック管理者のアカウントパスワード(Security Management Server / Security Management Server Virtual で有効化されます) MCID:MCID フィールドをクリアします DCID:前の手順で取得した DCID / リカバリ ID 4.
6.
3 Hardware Crypto Accelerator リカバリ メモ: V8.9.
2. ホスト名 フィールドに、エンドポイントの完全修飾ドメインネームを入力して 検索 をクリックします。 3. リカバリウィンドウでリカバリパスワードを入力して、ダウンロード をクリックします。 メモ: このパスワードは、リカバリキーへのアクセスのために覚えておかなければなりません。 リカバリファイルの入手 - ローカル管理のコンピュータ Encryption Personal リカバリファイルを入手するには、以下を行います。 1. LSARecovery_ .
2. 対象コンピュータ(データを回復するコンピュータ)に LSARecovery_ .exe をコピーします。 リカバリの実行 1. 先ほど作成した起動可能なメディアを使用して、リカバリシステム上、または回復を試みているドライブを搭載したデバイス 上で、そのメディアを起動します。 WinPE 環境が開きます。 メモ: リカバリプロセスの前に SecureBoot を無効にします。終了したら、SecureBoot を有効にします。 2. x を入力して Enter を押し、コマンドプロンプトを表示します。 3.
4. 次の 1 つを選択します。 ● HCA 暗号化済みドライブを復号化します。 ● HCA 暗号化済みドライブへのアクセスを復元します。 5.
6. コンピュータのボリュームがリストされるダイアログで、該当するすべてのドライブを選択して 次へ をクリックします。 複数のドライブをハイライトするには、Shift+ クリックまたは control+ クリックを行います。 選択されたドライブが HCA 暗号化されていない場合、回復は失敗します。 7.
8. 回復 ダイアログで、回復 をクリックします。リカバリプロセスが開始されます。 9.
完全な復号化を実施する場合、以下のダイアログがステータスを表示します。このプロセスには時間がかかる場合があります。 10.
コンピュータの再起動後、コンピュータは完全に機能した状態になります。引き続き問題が発生する場合は、Dell ProSupport に お問い合わせください。 Hardware Crypto Accelerator リカバリ 23
4 自己暗号化ドライブ(SED)リカバリ SED リカバリでは、以下の方法を通して SED 上のファイルへのアクセスを回復することができます。 ● ドライブの一回限りのアンロックを実施して、軌道前認証(PBA)を迂回します。 ● アンロックして、ドライブから永続的に PBA を削除します。PBA が削除されると、シングルサインオンが機能しなくなりま す。 ○ リモート管理 SED クライアントで、PBA を将来再度有効化できるようにして PBA を削除するには、リモート管理コンソール で製品を無効化する必要があります。 ○ ローカル管理 SED クライアントで、PBA を将来再度有効化できるようにして PBA を削除するには、OS 内で製品を無効化す る必要があります。 リカバリ要件 SED リカバリには、以下が必要です。 ● リカバリ環境 ISO へのアクセス ● 起動可能な CD / DVD または USB メディア リカバリプロセスの概要 メモ: リカバリを実行するには、BIOS 起動モードに応じて 64 ビットまたは 32 ビットのいずれかの環境が必要です。 障害が発生したシステムを回復するには、
リカバリファイルの入手 - ローカル管理の SED クライアント リカバリファイルを入手します。 ファイルが生成され、Advanced Authentication がコンピュータにインストールされたときに選択したバックアップロケーションから アクセスできます。ファイル名は OpalSPkey.dat です。 リカバリの実行 1. 先ほど作成した起動可能なメディアを使用して、リカバリシステム上、または回復を試みているドライブを搭載したデバイス 上で、そのメディアを起動します。リカバリアプリケーションと共に WinPE 環境が開きます。 メモ: リカバリプロセスの前に SecureBoot を無効にします。終了したら、SecureBoot を有効にします。 2. オプションを 1 つ選択して、Enter を押します。 3.
4.
5. これでリカバリが完了しました。任意のキーを押してメニューに戻ります。 6.
メモ: コンピュータを起動するのに使用した USB、CD / DVD メディアを必ず取り外してください。取り外すのを忘れると再度リ カバリ環境で起動してしまうことがあります。 7.
チャレンジコードはデータを入力するヘルプデスク技術者に渡されます。続いて 応答の生成 ボタンをクリックします。 この結果データは色分けされており、数字(赤)と英字(青色)を区別できるようになっています。エンドユーザーがこのデータを 読み取り、PBA 環境に入力して 送信 ボタンをクリックすると、ユーザーは Windows に移動します。 自己暗号化ドライブ(SED)リカバリ 29
認証に成功すると、次のメッセージが表示されます。 チャレンジリカバリが完了しました。 30 自己暗号化ドライブ(SED)リカバリ
5 フルディスク暗号化リカバリ リカバリを実行すると、フルディスク暗号化で暗号化されたドライブ上のファイルへのアクセスを回復することができます。 メモ: 復号化を中断しないでください。復号化を中断すると、データ損失が発生するおそれがあります。 リカバリ要件 フルディスク暗号化のリカバリには、以下が必要です。 ● リカバリ環境 ISO へのアクセス ● 起動可能な CD / DVD または USB メディア リカバリプロセスの概要 メモ: リカバリには 64 ビットの環境が必要です。 障害が発生したシステムを回復するには、次の手順を実行します。 1. リカバリ環境を CD または DVD に書き込むか、起動可能な USB を作成します。「付録 A - リカバリ環境の書き込み」を参照して ください。 2. リカバリファイルを入手します。 3.
リカバリの実行 1. 先ほど作成した起動可能なメディアを使用して、リカバリシステム上、または回復を試みているドライブを搭載したデバイス 上で、そのメディアを起動します。リカバリアプリケーションと共に WinPE 環境が開きます。 メモ: リカバリプロセスの前に SecureBoot を無効にします。終了したら、SecureBoot を再度有効にします。 2. オプションを 1 つ選択して、Enter を押します。 3.
4.
● 5. これでリカバリが完了しました。任意のキーを押してメニューに戻ります。 6. r を押して、コンピュータを再起動します。 メモ: コンピュータを起動するのに使用した USB、CD / DVD メディアを必ず取り外してください。取り外すのを忘れると再度リ カバリ環境で起動してしまうことがあります。 7.
チャレンジ応答 を選択すると、次の情報が表示されます。 リモート管理コンソールの デバイス名 フィールドは、ヘルプデスク技術者が適切なデバイスを見つけるために使用され、その後ユ ーザー名が選択されます。このフィールドは、PBA タブの 管理 > データのリカバリ にあります。 フルディスク暗号化リカバリ 35
チャレンジコードはデータを入力するヘルプデスク技術者に渡されます。続いて 応答の生成 ボタンをクリックします。 この結果データは色分けされており、数字(赤)と英字(青色)を区別できるようになっています。エンドユーザーがこのデータを 読み取り、PBA 環境に入力して 送信 ボタンをクリックすると、ユーザーは Windows に移動します。 36 フルディスク暗号化リカバリ
認証に成功すると、次のメッセージが表示されます。 チャレンジリカバリが完了しました。 フルディスク暗号化リカバリ 37
6 フルディスク暗号化と Dell Encryption のリカバ リ この章では、フルディスク暗号化で保護されたディスク上にある Dell Encryption で保護されたファイルへのアクセスをリカバリす る際に必要なリカバリ手順の詳細を説明します。 メモ: 復号化を中断しないでください。復号化を中断すると、データ損失が発生するおそれがあります。 リカバリ要件 フルディスク暗号化と Dell Encryption のリカバリには、以下が必要です。 ● リカバリ環境 ISO へのアクセス ● 起動可能な CD / DVD または USB メディア リカバリプロセスの概要 メモ: リカバリには 64 ビットの環境が必要です。 障害が発生したシステムを回復するには、次の手順を実行します。 1. リカバリ環境を CD または DVD に書き込むか、起動可能な USB を作成します。「付録 A - リカバリ環境の書き込み」を参照して ください。 2. Dell Encryption およびフルディスク暗号化のためのリカバリファイルを入手します。 3.
リカバリファイルの入手 - ポリシーベース暗号化または FFE 暗号化クラ イアント リカバリファイルを入手します。 リカバリー ファイルは、管理コンソールからダウンロードできます。Dell Encryption のインストール時に生成されたディスク リカバ リー キーをダウンロードするには、次の手順を実行します。 a. b. c. d. 管理コンソールを開き、左ペインから[ポピュレーション]>[エンドポイント]の順に選択します。 エンドポイントのホスト名を入力し、[検索]をクリックします。 エンドポイントの名前を選択します。 デバイスリカバリキー をクリックします。 e.
f. WinPE を起動したときにアクセスできる場所に、デバイス リカバリー キーをコピーします。 リカバリの実行 1. 先ほど作成した起動可能なメディアを使用して、リカバリシステム上、または回復を試みているドライブを搭載したデバイス 上で、そのメディアを起動します。リカバリアプリケーションと共に WinPE 環境が開きます。 メモ: リカバリプロセスの前に SecureBoot を無効にします。終了したら、SecureBoot を再度有効にします。 2. 3 番目のオプションを選択して、Enter を押します。 3.
4. リカバリキーを使用して、フルディスク暗号化ディスクがマウントされます。 ● 5. 次のコマンドにより、CMGAu.exe ユーティリティに移動します。cd DDPEAdminUtilities\ 6. 次のコマンドにより、CMGAu.exe を起動します。\DDPEAdminUtilities>CmgAu.exe はい、以前にダウンロードしたファイルを使ってオフラインで作業をします。 を選択します。 7.
リカバリが完了したら、終了 をクリックします。 メモ: コンピュータを起動するのに使用した USB、CD / DVD メディアを必ず取り外してください。取り外すのを忘れると再度リ カバリ環境で起動してしまうことがあります。 8.
リモート管理コンソールの デバイス名 フィールドは、ヘルプデスク技術者が適切なデバイスを見つけるために使用され、その後ユ ーザー名が選択されます。このフィールドは、PBA タブの 管理 > データのリカバリ にあります。 チャレンジコードはデータを入力するヘルプデスク技術者に渡されます。続いて 応答の生成 ボタンをクリックします。 フルディスク暗号化と Dell Encryption のリカバリ 43
この結果データは色分けされており、数字(赤)と英字(青色)を区別できるようになっています。エンドユーザーがこのデータを 読み取り、PBA 環境に入力して 送信 ボタンをクリックすると、ユーザーは Windows に移動します。 認証に成功すると、次のメッセージが表示されます。 44 フルディスク暗号化と Dell Encryption のリカバリ
チャレンジリカバリが完了しました。 フルディスク暗号化と Dell Encryption のリカバリ 45
7 PBA デバイスコントロール PBA デバイスコントロールは SED またはフルディスク暗号化で暗号化されたエンドポイントに適用されます。 PBA デバイスコントロールの使用 各エンドポイントに対する PBA コマンドは、PBA デバイスコントロールエリアで実行します。各コマンドには、優先度ランランキ ングがあります。実施キューにおいて、優先度が高いランクのコマンドが優先度の低いコマンドをキャンセルします。コマンドの 優先度ランキングのリストについては、リモート管理コンソールで ? をクリックすると表示される AdminHelp を参照してください。 PBA デバイスコントロールは、リモート管理コンソールの[エンドポイントの詳細]ページで使用できます。 次のコマンドは、PBA デバイスコントロールで使用できます。 ● ロック - PBA 画面をロックして、コンピュータへのユーザーのログインを防止します。 ● ロック解除 - ロックコマンドを送信するか、ポリシーで許可された最大認証試行回数を超過すると、このエンドポイントにロッ クされた PBA 画面のロックが解除されます。 ● ユーザーを削除 - PBA
8 General Purpose Key のリカバリ General Purpose Key (GPK) は、ドメインユーザーのレジストリの一部を暗号化するために使用されます。ただし、起動プロセス中、 まれに、破損され復号化に失敗することがあります。その場合、クライアントコンピュータの CMGShield.log ファイルに以下のエ ラーが表示されます。 [12.06.13 07:56:09:622 GeneralPurposeK: 268] GPK - Failure while unsealing data [error = 0xd] [12.06.13 07:56:09:622 GeneralPurposeK: 631] GPK - Unseal failure [12.06.
.exe ファイルがダウンロードされます。 リカバリの実行 1. リカバリ環境の起動可能なメディアを作成します。手順については、「付録 A - リカバリ環境の書き込み」を参照してください。 メモ: リカバリプロセスの前に SecureBoot を無効にします。終了したら、SecureBoot を有効にします。 2. リカバリシステム上、または回復を試みているドライブを搭載したデバイス上で、そのメディアを起動します。 WinPE 環境が開きます。 3. x を入力して Enter を押し、コマンドプロンプトを表示します。 4.
5. 管理者のコマンドプロンプトで、 .exe > -p -gpk を実行します。 GPKRCVR.txt をコンピュータに返します。 6. GPKRCVR.txt ファイルをコンピュータの OS ドライブのルートにコピーします。 7. コンピュータを再起動します。 GPKRCVR.txt ファイルはオペレーティングシステムに消費され、コンピュータに GPK が再生成されます。 8.
9 BitLocker Manager リカバリ データを回復するには、管理コンソールからリカバリー パスワードまたはキー パッケージを取得します。これにより、コンピュー ターのデータのロックを解除できるようになります。 データの回復 1. 管理コンソールに Dell 管理者としてログインします。 2. 左のペインで、管理、データの回復 の順にクリックします。 3. 管理者 タブをクリックします。 4.
ホスト名を入力します。 リカバリパスワードの取得 または キーパッケージの作成 をクリックします。 希望するリカバリ方法に応じて、データの回復にこのリカバリパスワードまたはキーパッケージを使用します。 5.
10 パスワードリカバリ ユーザーは自分のパスワードをよく忘れます。その場合、幸いにも、プリブート認証によりコンピュータへのアクセス権を取り戻す 方法がいくつかあります。 ● リカバリ質問機能は、質問と回答によって認証する機能です。 ● チャレンジ / 応答コードにより、管理者の手を借りてコンピュータへのアクセス権を取り戻すことができます。この機能は、組 織によって管理されているコンピュータを持つユーザーのみが使用できます。 リカバリ質問 ユーザーが初めてコンピュータにサインインすると、管理者が設定した標準質問セットに回答するように求められます。これらの質 問への回答を登録すると、次回パスワードを忘れたとき、ユーザーはその回答を要求されます。質問に正しく回答すると、サインイ ンできるようになり Windows へのアクセス権を取り戻すことができます。 前提条件 ● リカバリ質問は、管理者によってセットアップされている必要があります。 ● ユーザーは、質問への回答を登録しておく必要があります。 ● サインインできない場合 メニューオプションをクリックする前に、ユーザーは有効なユーザー名とドメインを入力しておく
3.
パスワードリカバリ
11 Encryption External Media パスワードリカバリ Encryption External Media を使用すると、ユーザーにユニバーサルシリアルバス(USB)フラッシュドライブや他のリムーバブルスト レージメディアの暗号化を許可すると、組織内部と外部の両方のリムーバブルストレージメディアを保護することができます。ユー ザーは、保護する各リムーバブルメディアデバイスにパスワードを割り当てます。このセクションでは、ユーザーがデバイスのパス ワードを忘れたときに、暗号化された USB ストレージデバイスへのアクセスを復元するプロセスについて説明します。 データへのアクセスの回復 ユーザーがパスワードの試行許可回数を超えて自分のパスワードが何回も間違って入力すると、USB デバイスは手動認証モードにな ります。 手動認証 は、Dell Server にログインしている管理者に、クライアントからコードを提供するプロセスです。 手動認証モードでは、ユーザーがパスワードをリセットして自分のデータへのアクセス権を取り戻すための 2 つのオプションがあり ます。 管理者がアクセスコードをクライア
4. ヘルプデスク管理者として、リモート管理コンソールへログインします。ヘルプデスク管理者のアカウントにはヘルプデスク権 限がついていることが必要です。 5. 左ペインの データの回復 メニューオプションに進みます。 6. エンドユーザーから提供されたコードを入力します。 7. 画面の右下隅にある 応答を生成 ボタンをクリックします。 8.
9. 暗号化されたメディアのパスワードをリセットします。 暗号化されたメディアのパスワードをリセットするように求められます。 自己復元 自己復元を機能させるには、最初にドライブを暗号化したマシンに、ドライブを元通りに挿入する必要があります。メディアの所 有者が、保護された Mac または PC に認証されている限り、クライアントはキーマテリアルの消失を検知し、ユーザーにデバイス を再初期化するよう求めます。その時点で、ユーザーはパスワードをリセットし、暗号化されたデータへのアクセスを取り戻すこと ができます。部分的に破損しているメディアの問題が、このプロセスによって解決できる場合があります。 1. メディアの所有者として Dell Data Security の暗号化されたワークステーションにサインインします。 2. 暗号化されたリムーバブルストレージデバイスを挿入します。 3.
成功した場合、パスワードが受け入れられたことを示す小さな通知が表示されます。 4.
12 付録 A - リカバリ環境のダウンロード 事前構築した WinPE リカバリ環境は、ここからダウンロードすることも、Dell ProSupport を通してリクエストすることもできま す。デル製品向けの 24 時間 365 日対応電話サポート(877-459-7304、内線 4310039)にご連絡ください。 米国外の電話番号については、Dell ProSupport の各国の電話番号を記載したページを参照してください。 付録 A - リカバリ環境のダウンロード 59
13 付録 B - ブータブルメディアの作成 この付録を使用して、ブータブルメディアを作成します。 リカバリ環境 ISO の CD または DVD への書き込み 次のリンクには、Microsoft Window 7、Windows 8、または Windows 10 でリカバリ環境のための起動可能 CD または DVD を作成す るのに必要なプロセスが記載されています。 http://windows.microsoft.
10.