CHECK POINT ENDPOINT SECURITY 簡易インス …...Endpoint Management Server – R77.30.02/E80.64...

1 ©2017 Check Point Software Technologies Ltd. ©2017 Check Point Software Technologies Ltd.

チェック・ポイント・ソフトウェア・テクノロジーズ

Full Disk Encryption

- - Offlineインストール編 -

CHECK POINT ENDPOINT SECURITY 簡易インストールガイド

2 ©2017 Check Point Software Technologies Ltd.

Full Disk Encryption Offline版インストール編

クライアントのPCへFull Disk Encryptionをインストールするステップを説明するものです

Endpoint Management ServerをVMWare Workstation環境に導入､構築する手順は｢Endpoint Management Serverインストール編｣を参考にしてください

Endpoint Management Serverは弊社提供のGaia OSを使用して構築しています

このガイドで利用するバージョンは次の通りです

Endpoint Management Server – R77.30.02/E80.64

VMWare Workstation – 10.0.7

クライアント – Windows 7 32bit

Endpoint Management ServerとクライアントPCのネットワークは192.168.80.0を使用します

※今回利用するVMWare Workstation 環境はあくまでテストおよび評価を目的としており､正式にサポートされている構成ではありません

※正式にサポートされる環境､構成はリリースノート､ Enterprise Endpoint Security R77.30.02/E80.64(SK112793)他､関連するドキュメント､情報を参照下さい

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk112793


• Endpoint Management Server

クライアント･パッケージの登録 – Master_FULLクライアントモジュール

アンインストール･パスワード

Full Disk Encryption Offline版のポリシー､パッケージ作成

• クライアントPCへFull Disk Encryption Offline版をインストール

• 管理者用オフラインツール

インストール

リモート･ヘルプ作業

リカバリ作業

Agenda


クライアント･パッケージの登録 – Master_FULLクライアントモジュール(1/4)

ここではFull Disk Encryption用にMaster_FULL_NO_NPクライアントモジュールを登録します

Master_FULLクライアントモジュール､もしくは_x64モジュールも利用可能です

_x64はクライアントOSが64bit環境の場合使用します

Master_FULL(_X64) – 全てのSoftware Bladeが入った32(64)ビット用パッケージ

Master_FULL_NO_NP(_x64) - Media Encryption & Port ProtectionとFull Disk Encryptionで構成された32(64)ビット用パッケージ



[SmartEndpoint] – [導入]タブ – [ソフトウェアの導入ルール] – [アクション]フィールドを右クリック – [クライアントバージョンの管理…]を選択

表示された[パッケージリポジトリ]から[クライアントインストーラが入ったフォルダのロード…]を選択します

※既にモジュールはダウンロード済みというシナリオです



クライアントモジュール[Master_FULL_NO_NP]を選択します

[アップロードするMSIパッケージ]で[OK]しロードします

[パッケージリポジトリ]及び画面下にパッケージアップロードのステイタスが表示されます



[パッケージリポジトリ]及び画面下にパッケージアップロードのステイタスが表示され｢アップロード済み｣であることを確認します

これでEndpoint Management Serverに必要なパッケージの登録が完了しました


クライアント･パッケージの登録 – Master_FULLクライアントモジュール5/4)

[SmartEndpoint] – [導入]タブ – [ソフトウェアの導入ルール] – [アクション]フィールドの[選択したブレード]を右クリックして導入するブレードを選びます

今回はオフラインのFDEのみとなるので、[Full Disk Encryption]を選択します

その後、ポリシーのインストールを行います








インストール


リカバリ作業

Agenda



クライアントモジュールをインストール後､アンインストールする場合は､アンインストール用のパスワードが必要です

デフォルトは”secret”です

実運用環境でユーザ向けにインストールする場合は必ず管理者によりアンイストール用パスワードを設定してください

設定はFull Disk EncryptionのOffline版のポリシー作成時に行えます

[共通クライアントポリシー] – [インストール] – [プロパティの編集 – インストール] – [アンインストールパスワード]からアンインストールパスワードの設定を行います

設定が完了したら[OK]しポリシー設定に反映させます








インストール


リカバリ作業

Agenda


Full Disk Encryption Offline版のポリシー､パッケージ作成 (1/27)

Full Disk Encryption Offline版のポリシーおよびインストール用のパッケージ作成を行います

[ユーザ&コンピュータ]タブ – [オフライングループ]を右クリックし – [新しいオフライングループ]を選択します

[新しいオフライングループ] – [オフライングループ設定]で｢Offline group name｣を登録します

ここでは｢OfflineA｣としました



【重要】Full Disk Encryption Offline版は共有フォルダを経由してEndpoint Management Serverとクライアント間でログ等のファイル情報を交換します

まず､共有フォルダ経由で｢Recovery File｣や｢Log｣を転送､収集するルートパスを設定します

記述はUNCパスまたはHTTP/HTTPSパス(Webサーバ上でWebDAV Extensionが有効な場合にサポート)で示します

本シナリオではVMWareを使用していますのでクライアントPCからアクセス可能な共有フォルダを指定しています

ここでは｢\\vmware-host\Shared Folders\OfflineFDE｣を指定しています

VMWareでクライアントPCからアクセス可能な共有フォルダの作成方法は次ページ以降で説明を挿入しています


VMWareでの共有フォルダの設定(1/3)

VMWareでの共有フォルダの設定について説明を挿入しています

VMWare Workstationの[VM] – [設定…]を選択します

[仮想マシン設定] – [オプション]タブを選択します

[共有フォルダ]を選択し[常に有効]をチェックします

続いて[追加…]を選択して利用するフォルダを設定します



共有フォルダ追加ウィザードで[次へ] を選択します

[参照…]を選択してホストパスを登録します



共有フォルダとして｢OfflineFDE｣を選択し[OK]します

必要であれば[新しいフォルダーの作成]でフォルダを作成してください

ホストパスが登録されたことを確認し[次へ]

[この共有を有効化]にチェックを入れ[完了]します



｢OfflineFDE｣配下に手作業で各フォルダを作成する必要があります

ルートパスはVMWareで動作するクライアントで[\\vmware-host\Shared Folders\OfflineFDE]として認識しますので記述に注意してください

[Sub Paths…]を選択すると必要なフォルダ名が確認できます



全て<ROOT PATH>で設定したフォルダ配下に目的のフォルダを手作業で作成します

[Updates] – ポリシーアップデート

[Client Logs] – クライアントのログ送信先

[Recovery Files] - Full Disk Encryptionリカバリ･ファイル保存先

[Upgrades] – 新しいクライアントへのアップグレード

[Installation] – インストールパッケージの配置先

必要なフォルダの権限は次の通りです

ロケーション Read Write List Execute Modify Delete Create

Update Directory ✔ ✔ ✔ ✔

Recovery File Directory ✔ ✔ ✔ ✔ ✔ ✔ ✔

Client Log Directory ✔ ✔ ✔ ✔ ✔ ✔ ✔



[オフライングループ設定] – [同期設定]でクライアント側からルートパス配下のフォルダにアクセスする間隔等を設定できます

[次へ]で以降の設定に進めます



[起動前ユーザの認証]から[新規…]を選択します

ここで作成したポリシーを元にインストールした全PCで起動前認証が可能な(いわゆる隠し管理者)ユーザとなります

重要な情報ですので管理の徹底が必要です

[ログイン名]､[パスワード]を設定し[OK]します

ユーザ名､直接割当されていることを確認して[次へ…]で設定を進めます



[FDE ポリシー] – [ボリュームの暗号化:] – [プロパティの編集…]を選択します

[ボリュームの暗号化アルゴリズム:]で､ここでは｢AES CBC 256bit｣を選択します

UEFI環境であれば新しい｢XTS-AES｣アルゴリズムの選択も可能です

[OK]で次に進めます



[FDE ポリシー] – [起動前認証:] – [プロパティの編集…]を選択します

念のため表示される設定項目を参照してください

[Advanced Pre Boot Settings] - [起動前認証の詳細設定]でその他設定も確認してください

[OK]､[次へ]で設定を進めます



[FDE ポリシー] – [アクセス管理:] – [プロパティの編集…]を選択します

[プロパティの編集 – アクセス管理] – [自動的にログインユーザを確認して認証する]でユーザの取得が｢1｣以上になっていることを確認します

この設定でインストール時にWindowsにログインしたユーザおよびパスワードを自動的に取得し､起動前認証ユーザとして登録します




[FDE ポリシー] – [ロック画面の安全な認証(OneCheck):] – [プロパティの編集…]を選択します

[プロパティの編集 – ロック画面の安全な認証(OneCheck)]の設定項目を確認します

ここではデフォルトのままですが､セキュリティ強化のため[Check Point Endpoint Security スクリーンセーバーを有効にする]､[起動前認証で許可されたユーザだけ…]を有効にするというオプションも提供しています




[OneCheck ポリシー] – [パスワードの複雑さ:] – [プロパティの編集…]を選択します

パスワードの複雑さの要件として[Windowsの複雑さの要件を使用]にチェックします

Windowsで定義されているパスワード要件と同じ設定で起動前認証ユーザのパスワードを運用します

これによりパスワード設定の定義を統一することができ､管理者の利便性とセキュリティの向上が図れます



[OneCheck ポリシー] – [パスワードの同期:] – [プロパティの編集…]を選択します

[プロパティの編集 – パスワードの同期] – [アクションの選択:]で同期の方法を選択します

ここでは[パスワード変更時は起動前認証とOSの双方向で同期]を選択､[Allow OS passwords reset on pre-boot password reset]をチェックします

起動前認証もしくはOSのパスワードどちらかが変更されると双方向で自動的に同期されます

一例として､Windowsパスワードの有効期限を90日として､期限満了時のパスワード更新により､起動前認証のパスワードも同期･更新させるなど､Windowsの設定を運用の基本とすることができます



[OneCheck ポリシー] – [ロックアウトの設定:] – [プロパティの編集…]を選択します

[プロパティの編集 – ロックアウトの設定] – [アクションの選択:]でロックアウト時の対処設定を選択します

ここでは[認証に失敗したらユーザアカウントを一時的にロック]を選択､[ロックアウト設定を有効にする]､[一時ロックアウトまでの失敗回数]を有効にします

この場合3回のログイン失敗で5分間一時的にロックアウトする設定です

セキュリティを考慮してログイン失敗回数でアカウントをロックさせる場合は[アカウントをロックするまでのログイン失敗回数]をチェックします



[OneCheck ポリシー] – [ログインの設定:] – [プロパティの編集…]を選択します

[プロパティの編集 – ログインの設定] – [アクションの選択:]でログインに関する方法を選択します

ここでは[デフォルトのログイン設定]を選択します

障害時の救済手段の一つですので[リカバリメディアの使用の許可]は有効にしていただくことを強く推奨します



[OneCheck ポリシー] – [リモートヘルプ設定:] – [プロパティの編集…]を選択します

[プロパティの編集 – リモートヘルプ設定] – [アクションの選択:]で[リモートヘルプを許可]を選択します

パスワード忘れ/間違いによる救済措置となりますので､[リモートのパスワード変更]､[補助ログイン]を有効にしてください

無効の場合は救済の手段がなくなります



[共通クライアントポリシー] – [クライアントUI:] – [プロパティの編集…]を選択します

[プロパティの編集 – クライアントUI] – [アクションの選択:]で[デフォルトのクライアントユーザインタフェース設定]を選択します

通常デフォルトのままで運用可能ですが必要時は変更してください



[共通クライアントポリシー] – [ログアップロード:] – [プロパティの編集…]を選択します

[プロパティの編集 – ログアップロード] – [アクションの選択:]で[ポリシーサーバへのログアップロードを許可]を選択します

ログのアップロード間隔などを設定します

通常デフォルトのままで運用可能ですが必要時は変更してください



[共通クライアントポリシー] – [インストール:] – [プロパティの編集…]を選択します

[プロパティの編集 – インストール] – [アクションの選択:]で[デフォルトのインストールおよびアップグレード設定]を選択します

【重要】運用時は必ず[アンインストールパスワード]でパスワードの変更を行ってください

デフォルトのパスワードは”secret”です



[共通クライアントポリシー] – [ネットワーク保護:] – [プロパティの編集…]を選択します

[プロパティの編集 – ネットワーク保護] – [アクションの選択:]で[ユーザがPCのネットワーク保護を無効にすることを禁止]を選択します

そのままデフォルトで[OK]します



[共通クライアントポリシー] – [導入の場所:] – [プロパティの編集…]を選択します

[プロパティの編集 – 導入の場所] – [アクションの選択:]で[ローカルパスからの導入を有効にする]を選択します

必要に応じてユーザが勝手にモジュールを入手､インストールすることを制限することもできます

ローカルのパスを指定する必要有り例: パッケージの場所 C:\Packages\Package.msi



[共通クライアントポリシー] – [テレメトリ:] – [プロパティの編集…]を選択します

[プロパティの編集 – テレメトリ] – [アクションの選択:]で[チェックポイントとデータを共有する]を選択します

障害等の情報を共有したくない場合は[共有しない]を選択してください

[OK]､[次へ]で作業を進めます



[Deployment ポリシー]画面を表示します

選択したブレードにFull Disk Encryptionの機能が含まれているかを確認します

アイコン上にマウスを移動させると機能名が確認できます

[完了]を選択し次のメッセージに[はい]を選択します

データが保存されればポリシーの設定は完了です



続いて作成したポリシーに管理者権限を設定します

[ユーザ&コンピュータ]タブから[オフライングループ]､今回作成したグループ[OfflineA]を右クリックして[Create Administrator]を選択します

[Create offline group administrators] – [単一ユーザの追加…]を選択します

管理者の[ログイン名]､[パスワード]を設定し[OK]します



既に設定した管理者名を登録しようとした場合は｢エラー｣が表示されます

再度管理者の[ログイン名]､[パスワード]を設定し直し[OK]します

[Create offline group administrators] – [ログイン名]に登録した管理者名があることを確認し､[Import]､続いて表示される画面で[OK]します



設定したポリシーファイルをローカルに取得､保存しておきます

[ユーザ&コンピュータ]タブから[オフライングループ]- [OfflineA]を右クリックして[Get Offline Management File (cpomf)]を選択します

今回は保存先をデスクトップにして[保存]を選択します

ファイルがエクスポートされたことを確認して[OK]します



続いてクライアントへインストールするパッケージを取得します

[ユーザ&コンピュータ]タブから[オフライングループ]- [OfflineA]を右クリックして[ソフトウェアの導入] – [Get Initial Package]を選択します

今回の評価は32ビットOSを利用していますので[Windows 32ビット]にチェックを入れ[ダウンロード]を選択､続いて[フォルダの選択]を行います



パッケージのダウンロードの進捗は管理画面右下に情報が表示されます

ダウンロードが管理用し､保存先にファイルがあるかを確認します

クライアント用のインストールパッケージのダウンロードはこれで完了です








インストール


リカバリ作業

Agenda


Full Disk Encryption Offline版インストール(1/7)

クライアント用のインストールパッケージ｢EPS.msi｣を使用してインストールを開始します

クライアントPCでインストールを開始する際､ユーザはローカルPCの管理者権限者である必要があります（SK108354参照）

事前に.net framework 4.6.1以上のインストールが必要です

念のため､共有フォルダがクライアントPCから参照できるかを確認します

[Recovery Files]フォルダにリカバリファイルが書き込めないと暗号化が開始されません

※ローカルPCの管理者権限者を有していてもインストールしたFull Disk Encryptionをアンインストールすることはできません



ウィザードが進行し､インストール完了のメッセージが表示されたら[Finish]を選択します

続いて再起動を要求するメッセージが表示されますので[Yes]を選択しPCを再起動させます



再起動したらWindowsにログインします

今回ログインしたユーザおよびパスワードが起動前認証のユーザおよびパスワードとして利用されます

再び再起動を求めるメッセージが表示されますので[はい]を選択します



シャットダウン後再起動します

シャットダウン時のバックグラウンドは既にFull Disk Encryptionのそれに変わっています

再起動が完了するとFull Disk Encryptionの起動前認証の画面が表示されます

インストール後､初回はFull Disk Encryptionがインストールされた旨説明が表示されますので､確認後[OK]します



[ユーザアカウント名]､[パスワード]を入力し[OK]を選択します

｢初めてのログイン｣である旨､説明がなされます

[続行]を選択してWindows OSを起動させます



Windowsにログイン後､画面右下にCheck Point Endpoint Securityのアイコンが表示されます

[概要]から[Full Disk Encryption]を表示､更に詳細を表示させ､暗号化の進捗などを確認できます

暗号化はポリシーで指定したボリュームに対してバックグラウンドで100%完了するまで行われます

クライアントへのインストールはこれで終了です



管理者は今回のFull Disk Encryptionのインストールでリカバリファイルが所定の共有フォルダに作成されていることを確認してください

また､重要なファイルとなりますので保存を確実にしてください








インストール


リカバリ作業

Agenda


管理者用オフラインツール - インストール

管理者用のPC上で管理者用オフラインツールをインストールします

この管理者用オフラインツールで[リモートヘルプ]より[パスワードアシスタンス]機能､[ディスクリカバリ]機能､[ステータスとログ]の確認を行うことができます

UserCenterからダウンロードした[OfflineMgmtTool.msi]からインストールを開始します

[インストール]よりウィザードを進め最後に[完了]で終了してください

https://supportcenter.checkpoint.com/supportcenter/portal/user/anon/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=51338








インストール


リカバリ作業

Agenda


管理者用オフラインツール - リモート･ヘルプ作業(1/9)

ユーザが起動前認証のパスワードを忘れた､誤って異なるパスワードをタイプしアカウントをロックさせてしまった場合の救済措置としてリモート･ヘルプ機能利用することができます

リモート･ヘルプ機能は管理者がユーザに対して提供可能です

メニューから[Offline Management Tool]を起動します



[Get Offline Management File (cpomf)]メニュー経由で予め保存しておいたCPOMFを選択します

[OfflineMgmtFile.cpomf]ファイルを選択して[開く]で進めます



登録してあるプロファイルの管理者用[ログイン名]､[パスワード]を入力して[ログイン]を選択します

リモート･ヘルプを提供するPCのリカバリファイルを[参照…]から指定します



該当のリカバリファイルを選択して[開く]で進めます

｢パスワードがわからなくなった｣という意図で[パスワードの変更]､ [次へ]を選択します



ここから管理者とエンドユーザが同時に作業を進めます

管理者 – 該当のエンドユーザアカウントを特定し[次へ]を選択します

エンドユーザ – クライアントPC側で起動前認証のウィンドウを表示させ､該当の[ユーザアカウント名]を入力して[リモートヘルプ]を選択します



管理者 – 生成された｢レスポンスコード1｣をエンドユーザに通知します

エンドユーザ – 通知された｢レスポンスコード1｣を[レスポンス1]に入力し､[TAB]キーで次のフィールドに移動します

エンドユーザ – [チャレンジ]が表示されますので管理者に｢チャレンジコード｣を通知します



管理者 – エンドユーザから通知された｢チャレンジコード｣を[チャレンジ]に入力し[次へ]で進めます



管理者 – ｢レスポンスコード2｣が生成されますので､エンドユーザに通知します

エンドユーザ – ｢レスポンスコード2｣を[レスポンス2]に入力し[OK]します



エンドユーザ – パスワードの変更を求められますので新しいパスワードを入力し[OK]､次のメッセージで[続行]ですすめます

エンドユーザ - Windowsが起動し､最終的にパスワードが変更された旨のメッセージが画面右下に表示されます

これでリモートヘルプ作業は完了です








インストール


リカバリ作業

Agenda


管理者用オフラインツール - リカバリ作業(1/11)

ユーザのPCが何らかの障害で起動ができなくなった場合､救済措置の一つとして暗号化されている領域を復号させる｢リカバリ｣機能を提供することができます

リカバリ機能は管理者がユーザに対して提供可能です

メニューから[Offline Management Tool]を起動します



起動したOffline Management Toolから[ディスクリカバリ]を選択して該当PCのリカバリファイルを[参照…]から特定します

リカバリファイルを特定したら[開く]で作業をすすめます



リカバリファイルの選択ができたら[次へ]で進めます

リカバリを許可するユーザを特定します

ここでは該当マシンのAdministratorユーザを指定します



リカバリを実施するユーザを特定して[追加…]を選択します

リカバリに利用するパスワードを登録し[OK]します

設定したパスワードをここで作成しているリカバリ作業のみに有効です



[次へ]を選択しリカバリ用のメディア作成を行います

ここでは[ISOファイル]を選択して[メディアの作成]で進めます

保存先を指定し[保存]､ファイルの作成完了のメッセージに[OK]します



予め必要に応じてISOファイルイメージでCD/DVDを作成します

作成したISOファイルイメージを使いPCをBootします

また､BIOS他の設定で起動デバイスの登録/変更が必要となります

電源投入後､[Booting from ISO…]と表示されBootを行う旨メッセージが表示されます

｢Recovery｣用の起動前認証画面が表示されますので設定したユーザおよびパスワードで入力し[OK]し認証します



リカバリするボリュームを設定します

通常すべての領域をリカバリしますので[Recovery All]で次に進めます

[Recovery Log]で進捗を確認します

ログに｢Decryption complete｣､｢Reboot to continue｣と表示されたら[Pause]で再起動を行います



Windowsが起動しログインを行います

ログイン後､EndpointのアイコンからFull Disk Encryptionを表示させます

しばらく[初期化中]のステータスとなります



その後､Full Disk Encryption Blade｢未実行｣､｢情報を初期化しています｣と表示されます

Windows環境から製品を最終的にアンインストールします



コントロールパネルから製品をアンインストールします

｢Check Point Endpoint Security｣を選択し[はい]で作業を進めます

製品のアンインストールに必要なパスワードを入力します

パスワードは通常管理者のみしり得る､重要な情報です



アンインストール作業が進行します

再起動のメッセージが表示されたら[Yes]で再起動をおこないます

再起動したらFull Disk Encryption製品のアンインストールが完了します

リカバリの作業はこれで終了です

CHECK POINT ENDPOINT SECURITY 簡易インス …...Endpoint Management Server – R77.30.02/E80.64...

Documents

Transcript of CHECK POINT ENDPOINT SECURITY 簡易インス …...Endpoint Management Server – R77.30.02/E80.64...