Dell Data Protection | Endpoint Security Suite 基本インストールガイド v1.4.
凡例 注意: 注意アイコンは、指示に従わないと、ハードウェアの損傷やデータの損失を招く可能性があることを示します。 警告: 警告アイコンは、物的損害、けが、または死亡の原因となる可能性があることを示します。 重要、メモ、ヒント、モバイル、またはビデオ: 情報アイコンは、サポート情報を示します。 著作権 ©2016 Dell Inc. 無断転載を禁じます。この製品は、米国および国際著作権法、ならびに米国および国際知的財産法で保護されています。 Dell、および Dell のロゴは、米国および / またはその他管轄区域における Dell Inc.
目次 1 はじめに......................................................................................................................................................................5 作業を開始する前に....................................................................................................................................................5 このガイドの使用法....................................................................................................................................................
SED クライアントおよび Advanced Authentication クライアントのアンインストール............................ 21 プロセス................................................................................................................................................................ 21 PBA の非アクティブ化........................................................................................................................................21 SED クライアントおよび Advanced Authentication クライアントのアンインストール......................
1 はじめに 本書では、ESS マスターインストーラを使用したアプリケーションのインストールおよび設定方法を詳しく説明します。本書には、 基本インストールの手順が記載されています。ESS マスターインストーラを使用した基本手順の範囲を超える子インストーラのイ ンストール、EE Server/VE Server の設定または情報が必要である場合は、『Advanced Installation Guide』(詳細インストールガイ ド)を参照してください。 すべてのポリシー情報とその説明は、AdminHelp にあります。 作業を開始する前に 1 クライアントを導入する前に、EE Server/VE Server をインストールします。次に示すように、正しいガイドを探し、記載され ている手順に従った後、このガイドに戻ります。 • 『DDP Enterprise Server インストールおよびマイグレーションガイド 』 • 『DDP Enterprise Server - Virtual Edition クイックスタートガイドおよびインストールガイド』 希望のポリシーを設定しているかを確認します。? のマークか
2 要件 すべてのクライアント • 導入中は、IT ベストプラクティスに従う必要があります。これには、初期テスト向けの管理されたテスト環境や、ユーザーへ の時間差導入が含まれますが、それらに限定されるものではありません。 • インストール、アップグレード、アンインストールを実行するユーザーアカウントは、ローカルまたはドメイン管理者ユーザー である必要があります。これは、Microsoft SMS または Dell KACE などの導入ツールによって一時的に割り当てることができま す。昇格された権限を持つ非管理者ユーザーはサポートされません。 • インストールまたはアンインストールを開始する前に、重要なデータをすべてバックアップします。 • インストール中は、外付け(USB)ドライブの挿入や取り外しを含め、コンピュータに変更を加えないでください。 • ESS マスターインストーラクライアントが Dell Digital Delivery(DDD)を使用して資格を得る場合は、アウトバウンドポート 443 が EE Server/VE Server と通信できるようにしてください。資格機能はポート
すべてのクライアント - ハードウェア • 次の表に、サポートされているコンピュータハードウェアについて詳しく示します。 ハードウェア • 最小限のハードウェア要件は、オペレーティングシステムの最小要件を満たしている必要があります。 すべてのクライアント - 言語サポート • Encryption、Threat Protection、、 および BitLocker Manager クライアント、複数言語ユーザーインターフェース(MUI)に対 応しており、次の言語をサポートします。 言語サポート • • EN - 英語 • JA - 日本語 • ES - スペイン語 • KO - 韓国語 • FR - フランス語 • PT-BR - ポルトガル語(ブラジル) • IT - イタリア語 • PT-PT - ポルトガル語(ポルトガル(イベリア)) • DE - ドイツ語 SED および Advanced Authentication のクライアントは、複数言語ユーザーインターフェイス(MUI)に対応しており、次の言 語をサポートしています。ロシア語、繁体字中国語、また
ハードコーディングされた除外が設定されています。Encryption クライアントは、Microsoft Enhanced Mitigation Experience Toolkit でもテスト済みです。 リストにないアンチウイルスプロバイダが組織で使用されている場合は、KB 記事 KB article SLN298707 を参照するか、Dell ProSupport にお問い合わせください。 • インプレイスでのオペレーティングシステムのアップグレードは、Encryption クライアントがインストールされている場合で はサポートされていません。Encryption クライアントをアンインストールおよび復号化し、新しいオペレーティングシステム にアップグレードした後、Encryption クライアントを再度インストールしてください。 さらに、オペレーティングシステムの再インストールもサポートされていません。オペレーティングシステムを再インストール するには、ターゲットコンピュータをバックアップしてからそのコンピュータをワイプし、オペレーティングシステムをインス トールした後、確立した回復手順に従って暗号化
EMS で保護されたメディアにアクセスする場合にサポートされる Windows オペレーティングシステム(32 ビットと 64 ビッ ト) • • • • Windows 7 SP0-SP1: Enterprise、Professional、Ultimate、Home Premium Windows 8: Enterprise、Pro、Consumer Windows 8.1 Update 0-1: Enterprise Edition、Pro Edition Windows 10: Education、Enterprise、Pro EMS で保護されたメディアにアクセスする場合にサポートされる Mac オペレーティングシステム(64 ビットカーネル) • • • Mac OS X Yosemite 10.10.5 Mac OS X El Capitan 10.11.6 macOS Sierra 10.12.
使用 アプリケー トランス ションプロ ポートプ トコル ロトコル ポート番号 宛先 方向 アンチウイルス アップデート HTTP TCP 443/ フォー ルバック 80 vs.mcafeeasap.com アウトバウ ンド アンチウイルス エンジン / 署名 アップデート SSL TCP 443 vs.mcafeeasap.com アウトバウ ンド アンチスパムエ ンジン HTTP TCP 443 vs.mcafeeasap.com アウトバウ ンド アンチスパムル ールおよびスト リーミングアッ プデート HTTP TCP 80 vs.mcafeeasap.com アウトバウ ンド メモ パケットタイプ: X-SU3X-SU3Component-Name X-SU3-ComponentType X-SU3-Status レピュテーショ ンサービス SSL TCP 443 tunnel.web.trustedsource. org レピュテーショ ンサービスフィ ードバック SSL TCP 443 gtifeedback.
または • PBA を非アクティブ化し、認証方法を変更した後、PBA を再度アクティブ化します。 重要: RAID と SED の性質により、SED 管理では RAID はサポートされません。SED の RAID=On には、RAID では、デ ィスクにアクセスして、SED がロック状態のために利用できない上位セクタの RAID 関連データを読み書きする必要が あり、ユーザーがログオンするまで待機してこのデータを読み取ることができないという問題があります。この問題を 解決するには、BIOS で SATA の動作を RAID=On から AHCI に変更します。オペレーティングシステムに AHCI コン トローラドライバがプレインストールされていない場合は、RAID=On から AHCI に切り替えるときにオペレーティン グシステムがブルースクリーンになります。 • SED 管理は、Server Encryption ではサポートされません。 SED クライアントの前提条件 • Microsoft Visual C++2010 SP1 および Microsoft Visual C++ 2012 更新プ
紋、スマートカードなど、Windows サインイン用の認証資格情報のプライマリマネージャになります。Microsoft オペレーテ ィングシステムを使用して登録されている画像パスワード、PIN、および指紋資格情報は、Windows サインインでは認識され ません。 ユーザー資格情報の管理に引き続き Microsoft オペレーティングシステムを使用するには、Security Tools Authentication をイ ンストールしないでください。インストールした場合はアンインストールしてください。 • ワンタイムパスワード(OTP)機能には、TPM が存在し、有効化され、所有されている必要があります。OTP は TPM 2.0 でサ ポートされていません。TPM の所有権をクリアし、設定するには、https://technet.microsoft.
Android オペレーティングシステム • • • • 4.0~4.0.4 Ice Cream Sandwich 4.1~4.3.1 Jelly Bean 4.4~4.4.4 KitKat 5.0~5.1.1 Lollipop iOS オペレーティングシステム • • iOS 7.x iOS 8.x Windows Phone オペレーティングシステム • • Windows Phone 8.
3 ESS マスターインストーラを使用したインスト ール • コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 • デフォルト以外のポートを使用してインストールするには、ESS マスターインストーラの代わりに子インストーラを使用しま す。 • ESS マスターインストーラログファイルは、C:\ProgramData\Dell\Dell Data Protection\Installer. にあります。 • アプリケーションに関するサポートが必要なときには、次のマニュアルとヘルプファイルを参照するようにユーザーに指示しま す。 • Encryption クライアントの各機能の使用方法については、『Dell Encrypt Help』(Dell Encrypt ヘルプ)を参照してくださ い。このヘルプには、:\Program Files\Dell\Dell Data Protection\Encryption\Help からアクセスします。 • External Media Shield の各機能の使用方法については、 『EMS Help』 (E
Dell Device Server URL フィールドに、クライアントが通信する Device Server(Security Server)の URL を入力します。 の、フォーマットは https://server.organization.com:8443/xapi/(末尾のスラッシュを含む)です。 次へ をクリックします。 6 次へ をクリックして、デフォルトの場所である C:\Program Files\Dell\Dell Data Protection\.
スイッチ 説明 これらのスイッチを個別に使用しないでください。 /S サイレントインストール /z DDPSuite.exe 内の .
4 ESS マスターインストーラを使用したアンイン ストール • 各コンポーネントを個別にアンインストールした後で、ESS マスターインストーラのアンインストールを行う必要があります。 クライアントは、アンインストールの失敗を防止するための特定の順序 でアンインストールする必要があります。 • 子インストーラを取得するには、 「ESS マスターインストーラからの子インストーラの抽出」に記載されている手順に従います。 • インストールと同じバージョンの ESS マスターインストーラ(つまりクライアント)をアンインストールにも使用するように してください。 • 本章では、子インストーラのアンインストール方法の詳細な手順が記された他の章を参照します。本章では、最後の手順である ESS マスターインストーラのアンインストールのみを説明します。 • クライアントを以下の順序でアンインストールします。 a Threat Protection クライアントのアンインストール。 b Encryption クライアントのアンインストール。 c SED および Advanced Authenticat
5 子インストーラを使用したアンインストール • クライアントを個別にアンインストールする場合は、 「ESSE マスターインストーラからの子インストーラの抽出」の説明にある とおり、まず最初に実行可能子ファイルを ESS マスターインストーラから抽出する必要があります。 • アンインストールには、インストール時と同じバージョンのクライアントを使用するようにしてください。 • コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 • コマンドラインでは、空白などの特殊文字を 1 つ、または複数含む値は、エスケープされた引用符で囲むようにしてください。 コマンドラインパラメータでは大文字と小文字を区別します。 • これらのインストーラを使用し、スクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ技術 を活用して、クライアントをアンインストールします。 • ログファイル - Windows はログインしたユーザー用に、固有の子インストーラアンインストールログファイルを C:\Users \\AppData\Local\Temp.
Threat Protection クライアントのアンインストール コマンドラインでのアンインストール • ESS マスターインストーラから抽出した後は、C:\extracted\Dell Threat Protection\ThreatProtection\WinXXR \DellThreatProtection.msi で Threat Protection クライアントインストーラを見つけることができます。 • 次の例では、Threat Protection クライアントをアンインストールします。 MSIEXEC.EXE /x "DellThreatProtection.
• 次の表に、アンインストールで使用できるパラメータの詳細を示します。 パラメータ 選択 CMG_DECRYPT Encryption Removal Agent のインストールタイプを選択する ためのプロパティ: 3 - LSARecovery バンドルを使用 2 - 以前にダウンロードしたフォレンジックキーマテリアル を使用 1 - EE Server/VE Server からキーをダウンロード 0 - Encryption Removal Agent をインストールしない CMGSILENTMODE サイレントアンインストールのプロパティ 1 - サイレント 0 - 非サイレント 必須のプロパティ DA_SERVER ネゴシエーションセッションをホストする EE Server の FQHN。 DA_PORT EE Server 上の要求用ポート(デフォルトは 8050)。 SVCPN EE Server で Key Server サービスがログオンされている UPN 形式のユーザー名。 DA_RUNAS キーフェッチリクエストが行われるコンテキストでの SAM 対 応形式のユ
• 次の例は、Encryption クライアントをアンインストールし、フォレンジック管理者アカウントを使用して VE Server から暗号 化キーをダウンロードします。 DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" FORENSIC_ADMIN= \"tempsuperadmin\" FORENSIC_ADMIN_PWD=\"tempchangeit\" /qn" 終了したらコンピュータを再起動します。 重要: クライアントが VE Server に対してアクティブ化されているときに、コマンドラインでフォレンジック管理者パスワードを使用 する場合は、次のアクションをお勧めします。 1 リモート管理コンソールで、サイレントアンインストール実行用のフォレンジック管理者アカウントを作成します。 2 そのアカウント用に、アカウントと期間に固有の一時的なパスワードを設定します。 3 サイレントアンインストールが完了したら、管理者のリストから一時的なアカウントを削除するか、そのパスワードを変 更します。 SED クライアン
PBA が非アクティブ化された後、SED および Advanced Authentication クライアントをアンインストールします。 SED クライアントおよび Advanced Authentication クライア ントのアンインストール コマンドラインでのアンインストール • ESS マスターインストーラから抽出した後は、C:\extracted\Security Tools\EMAgent_XXbit_setup.exe で SED クライアントイ ンストーラを見つけることができます。 • ESS マスターインストーラから抽出した後は、C:\extracted\Security Tools\Authentication\\setup.exe で SED クラ イアントインストーラを見つけることができます。 • 次の例は、SED クライアントをサイレントアンインストールします。 EMAgent_XXbit_setup.
6 ESS マスターインストーラからの子インストー ラの抽出 • ESS マスターインストーラはマスターアンインストーラではありません。 各クライアントを個別にアンインストールした後 で、ESS マスターインストーラのアンインストールを行う必要があります。アンインストールに使用できるように、このプロセ スを使用して ESS マスターインストーラからクライアントを抽出します。 1 Dell インストールメディアから、 ファイルをローカルコンピュータにコピーします。 2 ファイルと同じ場所でコマンドプロンプトを開き、次のように入力します。 DDPSuite.exe /z"\"EXTRACT_INSTALLERS=C:\extracted\"" 抽出パスは 63 文字を超えられません。 抽出した子インストーラは C:\extracted\.
7 EE Server に対してアクティブ化した Encryption クライアントをアンインストールす るための Key Server の設定 • 本項では、EE Server 使用時における Kerberos 認証 / 承認との使用のためにコンポーネントを設定する方法について説明しま す。VE Server では Key Server は使用しません。 • Kerberos 認証 / 承認を使用する場合は、Key Server コンポーネントを装備しているサーバーを対象ドメインに含める必要があ ります。 • VE Server は Key Server を使用しないので、通常のアンインストールには影響しません。VE Server に対してアクティブ化され ている Encryption クライアントがアンインストールされると、Key Server の Kerberos メソッドの代わりに、Security Server を通じた標準的なフォレンジックキーの取得が使用されます。詳細については、「コマンドラインのアンインストール」を参照 してください。 サービスパネル - ドメインアカウントのユーザ
手順 3 の「superadmin」を使用していて、superadmin パスワードが「changeit」でない場合は、ここで変更します。ファイ ルを保存して閉じます。 サービスパネル - キーサーバーサービスの再起動 1 サービスパネル(スタート > ファイル名を指定して実行 > services.msc > OK)に戻ります。 2 Key Server サービスを再起動します。 3 log.txt に移動して、サービスが正しく開始していることを確認します。 4 サービスパネルを閉じます。 リモート管理コンソール - フォレンジック管理者の 追加 1 必要な場合は、リモート管理コンソールにログオンします。 2 ポピュレーション > ドメイン をクリックします。 3 適切なドメインを選択します。 4 Key Server タブをクリックします。 5 アカウント フィールドで、管理者アクティビティを実行しているユーザーを追加します。この形式は DOMAIN\UserName で す。アカウントの追加 をクリックします。 6
8 Administrative Download Utility (CMGAd)の 使用 • このユーティリティでは、EE Server/VE Server に接続していないコンピュータ上で使用するためにキーマテリアルのバンドル をダウンロードできます。 • このユーティリティは、アプリケーションに渡されるコマンドラインパラメータに応じて、次のいずれかの方法を使用してキー バンドルをダウンロードします。 • フォレンジックモード - コマンドラインで -f が渡された場合、またはコマンドラインパラメータが使用されていない場合に 使用されます。 • 管理者モード - コマンドラインで -a が渡された場合に使用されます。 ログファイルは、C:\ProgramData\CmgAdmin.log にあります。 フォレンジックモードでの Administrative Download Utility の使用 1 cmgad.exe をダブルクリックして、ユーティリティを起動するか、CMGAd が置かれている場所でコマンドプロンプトを開い て cmgad.exe -f(または cmgad.
管理者モードでの Administrative Download Utility の使用 VE Server は Key Server を使用しないので、管理者モードを使用して VE Server からキーバンドルを取得することはできません。 VE Server に対してクライアントがアクティブ化されている場合は、フォレンジックモードを使用してキーバンドルを取得してくだ さい。 1 CMGAd が置かれている場所でコマンドプロンプトを開き、cmgad.exe -a と入力します。 2 次の情報を入力します(一部のフィールドは事前に入力されている場合があります)。 サーバー:Key Server の完全修飾ホスト名(keyserver.domain.com など)。 ポート番号:デフォルトのポートは 8050 です。 サーバーアカウント:Key Server を実行するときのドメインユーザー。この形式は domain\username です。ユーティリティ を実行するドメインユーザーには、Key Server からダウンロードを実行する権限が与えられている必要があります。 MCID:マシン ID(mach
9 トラブルシューティング すべてのクライアントのトラブルシューティング • ESS マスターインストーラログファイルは C:\ProgramData\Dell\Dell Data Protection\Installer にあります。 • Windows は、C:\Users\\AppData\Local\Temp. に、ログインしたユーザーに関する独自の 子インストーラインス トールログファイル を作成します。 • Windows はログインしたユーザー用に、クライアントの前提条件(Visual C++ など)ログファイルを C:\Users\ \AppData\Local\Temp. にある %temp% に作成します。For example, C:\Users\\AppData\Local\Temp \dd_vcredist_amd64_20160109003943.log • インストール対象のコンピューターにインストールされている Microsoft .Net のバージョンを検証するには、http:// msdn.
WSScan の使用 • WSScan を使用すると、Encryption クライアントをアンインストールするとき、すべてのデータが復号化されていることを確 認することができます。また、暗号化ステータスを表示し、暗号化されるべき非暗号化状態のファイルを特定することもできま す。 • このユーティリティの実行には管理者権限が必要です。 WSScan 1 Dell インストールメディアから、スキャン対象の Windows コンピュータに WSScan.exe をコピーします。 2 上記の場所でコマンドラインを起動して、コマンドプロンプトに wsscan.
出力 意味 日時のタイムスタンプ ファイルがスキャンされた日時。 暗号化の種類 ファイルの暗号化に使用した暗号化の種類。 SysData:SDE 暗号化キー。 User: ユーザー暗号化キー。 Common:共通暗号化キー。 WSScan では、Encrypt for Sharing で暗号化されたファイルは報告されません。 DCID デバイス ID。 上記の例では、「7vdlxrsb」 マッピングされているネットワークドライブをスキャンした場合、DCID はスキャンレポート に表示されません。 UCID ユーザー ID。 上記の例では、「_SDENCR_」 UCID は、そのコンピュータのすべてのユーザーで共有されます。 ファイル 暗号化ファイルのパス。 上記の例では、「c:\temp\Dell - test.
• • すべてのファイルを復号化できませんでした – 復号化スイープが完了しましたが、一部のファイルを復号化できませんでした。 このステータスは、次のいずれかが発生したことを意味します。 • ロックされたファイルが大きすぎた、またはロック解除の要求時にエラーが発生したため、ロックされたファイルの復号化 をスケジュールできなかった。 • ファイルの復号化中に入出力エラーが発生した。 • ポリシーによりファイルを復号化できなかった。 • ファイルが暗号化対象としてマーク付けされている。 • 復号化スイープ中にエラーが発生した。 • いずれの場合でも、LogVerbosity=2(またはそれ以上)が設定されていれば、ログファイルが作成されます(ログが設定さ れている場合)。トラブルシューティングを行うには、ログの詳細度を 2 に設定して、Encryption Removal Agent Service を再起動し、復号化スイープを強制的に再実行します。 完了 – 復号化スイープが完了しました。サービス、実行ファイル、ドライバ、およびドライバ実行ファイルは、すべて次回の 再起動で削除される
抽出後、ファイルが含まれているフォルダが表示されます。表示されない場合は、ファイルを抽出したフォルダに移動します。 この場合、フォルダは JW22F です。 CVHCI64.MSI をダブルクリックしてドライバインストーラを実行します。[この例の場合は CVHCI64.MSI です(32 ビットの コンピュータ用 CVHCI)]。 ようこそ画面で 次へ をクリックします。 次へ をクリックしてドライバを C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\.
10 用語集 Advanced Authentication – Advanced Authentication 製品は、指紋、スマートカード、非接触型スマートカードリーダーが完全に 統合されたオプションを備えています。Advanced Authentication は、これらの複数のハードウェア認証方法の管理を支援し、自 己暗号化ドライブ、SSO でのログインをサポートし、ユーザーの資格情報およびパスワードを管理します。さらに、Advanced Authentication は、PC だけでなく、ウェブサイト、SaaS、またはアプリケーションへのアクセスにも使用できます。ユーザーが 一度その資格情報を登録すると、Advanced Authentication によって、デバイスにログオンしたりパスワードの変更を行うときに これらの資格情報が使用できるようになります。 Advanced Threat Protection – Advanced Threat Protection 製品は、アルゴリズム的科学および機械学習を使用して、既知および 不明のサイバー攻撃が実行されたり、エンドポイントを攻撃することを識別
SED Management – SED Management は、自己暗号化ドライブを安全に管理するためのプラットフォームを提供します。SED は 独自の暗号化を備えていますが、その暗号化および使用できるポリシーを管理するためのプラットフォームがありません。SED Management は、データを効果的に保護および管理できる、一元的で拡張可能な管理コンポーネントです。SED Management は、 企業の管理の迅速化および簡略化を可能にします。 Threat Protection – Threat Protection 製品は、企業のコンピュータをセキュリティの脅威から保護する一元的に管理されたポリシ ーに基づきます。Threat Protection は次の要素から構成されます。 - マルウェア対策 - アクセス時、またはポリシーで定義された スケジュールに基づいて、ウイルス、スパイウェア、迷惑プログラム、および他の脅威を自動でスキャンしてチェックします。クライアントファイアウォール - コンピュータと、ネットワークおよびインターネット上のリソースとの通信をモニタし、潜在的 に悪意のある通信を中断し