次の暗号化技術を選択できます:Kaspersky Disk Encryption、BitLocker ドライブ暗号化(単に BitLocker とも)。
Kaspersky Disk Encryption
システムハードディスクが暗号化されると、次回のコンピューターの起動時、ユーザーはハードディスクにアクセスしてオペレーティングシステムを読み込む前に認証エージェントによる認証を完了する必要があります。それには、コンピューターに接続されているトークンまたはスマートカードのパスワードを入力するか、認証エージェントアカウント管理タスクを使用して LAN 管理者により作成される認証エージェントアカウントのユーザー名とパスワードを入力します。これらのアカウントは、ユーザーがオペレーティングシステムにログインする際にログインアカウントとして使用する Microsoft Windows アカウントに基づいています。また、認証エージェントアカウントのユーザー名とパスワードを使用してオペレーティングシステムに自動的にログインできるシングルサインオン(SSO)技術を使用することもできます。
認証エージェントでのユーザー認証は 2 通りの方法で実行できます:
トークンやスマートカードは、コンピューターのハードディスクが AES256 アルゴリズムを使用して暗号化されている場合にのみ使用できます。コンピューターのハードディスクが AES56 アルゴリズムで暗号化された場合、コマンドへの電子署名ファイルの追加は拒否されます。
BitLocker ドライブ暗号化
BitLocker は、Windows オペレーティングシステムの一部です。コンピューターに Trusted Platform Module(TPM)が搭載されている場合、BitLocker は、暗号化されたハードディスクにアクセスするための回復キーを TPM に保管します。コンピューターの起動時、BitLocker は Trusted Platform Module からハードディスク回復キーを要求し、ドライブのロックを解除します。回復キーにアクセスするためにパスワードや暗証番号を使用するよう設定できます。
Kaspersky Disk Encryption の設定
パラメータ |
説明 |
|---|---|
暗号化モード |
すべてのハードディスクを暗号化する:このオプションを選択すると、ポリシーが適用された時点ですべてのハードディスクが暗号化されます。 コンピューターに複数のオペレーティングシステムがインストールされている場合、暗号化が完了すると、本製品がインストールされているオペレーティングシステムしか読み込めなくなります。 すべてのハードディスクを復号化する:このオプションを選択すると、ポリシーの適用時、それ以前に暗号化されていたすべてのハードディスクが復号化されます。 変更しない:このオプションを選択すると、ポリシーの適用時、ドライブに変更を加えずそのままの状態を保持します。ドライブが暗号化されている場合は、暗号化された状態を保持します。ドライブが復号化されている場合は、復号化された状態を保持します。既定ではこのオプションが選択されます。 |
認証エージェントアカウントをユーザーに対して自動的に作成 |
このチェックボックスでは、ポリシー適用時の認証エージェントアカウントの自動作成を有効または無効にできます。Kaspersky Endpoint Security は、Windows アカウントに基づいて認証エージェントアカウントのリストを作成します。既定では、Kaspersky Endpoint Security は、過去30日間にユーザーがオペレーティングシステムにログインしたすべてのローカルアカウントとドメインアカウントを使用します。 |
認証エージェントアカウント作成の設定 |
コンピューター上のすべてのアカウント:このチェックボックスをオンにすると、ディスク全体の暗号化タスクの実行時に、アクティブになったことのあるすべてのコンピューターのアカウントを対象に認証エージェントアカウントが作成されます。 コンピューター上のすべてのドメインアカウント:このチェックボックスをオンにすると、ディスク全体の暗号化タスクの実行時に、アクティブになったことのある特定のドメインに属するすべてのコンピューターのアカウントを対象に認証エージェントアカウントが作成されます。 コンピューター上のすべてのローカルアカウント:このチェックボックスをオンにすると、ディスク全体の暗号化タスクの実行時に、アクティブになったことのあるすべてのローカルコンピューターのアカウントを対象に認証エージェントアカウントが作成されます。 ローカル管理者:このチェックボックスをオンにすると、ディスク全体の暗号化タスクの実行時に、ローカルの管理者アカウントが作成されます。 コンピューター管理者:このチェックボックスをオンにすると、ディスク全体の暗号化タスクの実行時に、Active Directory の管理者アカウントであることがプロパティに表示されているアカウントを対象に認証エージェントアカウントが作成されます。 アクティブなアカウント:このチェックボックスをオンにすると、ディスク全体の暗号化タスクの実行時に、その時点でアクティブなコンピューターのアカウントを対象に認証エージェントアカウントが自動で作成されます。 |
認証エージェントに入力したユーザー名を保存する |
チェックボックスをオンにすると、認証エージェントアカウントの名前が保存されます。次回、認証エージェントで同じアカウントを使用して認証を完了しようとした場合、アカウント名の入力は要求されません。 |
使用されているディスク領域のみを暗号化 |
このチェックボックスでは、暗号化の対象をハードディスクの使用中のセクターのみに限定する設定を有効または無効にします。限定することにより、暗号化にかかる時間を短縮できます。 暗号化の開始後に[使用されているディスク領域のみを暗号化]の有効または無効を切り替えても、ハードディスクが復号化されるまで設定は変更されません。チェックボックスのオン / オフは、暗号化が開始する前に選択してください。 このチェックボックスをオンにすると、ハードディスク内のファイルがある領域のみが暗号化されます。新しいデータは、追加されると自動的に暗号化されます。 チェックボックスをオフにすると、過去に削除されたファイルや変更が加えられたファイルの残存フラグメントも含め、ハードディスク全体が暗号化されます。 データが変更されたり削除されていない新しいハードディスクでは、このオプションをオンにしてください。既に使用されているハードディスクに暗号化を適用する場合、ハードディスク全体を暗号化してください。それにより、削除されているが回復の可能性があるデータを含め、すべてのデータが保護されます。 既定では、このチェックボックスはオフです。 |
レガシー USB サポートを使用する |
このチェックボックスでは、レガシー USB サポートを有効または無効にします。レガシー USB サポート は BIOS / UEFI 機能であり、オペレーティングシステム(BIOS モード)を起動する前のコンピューターのブートフェーズ中に USB デバイス(セキュリティトークンなど)を使用することができます。レガシー USB サポートは、オペレーティングシステムが起動した後の USB デバイスのサポートには影響しません。 このチェックボックスをオンにすると、コンピューター起動中の USB デバイスのサポートが有効になります。 レガシー USB サポートが有効になっている場合、BIOS モードの認証エージェントでは USB を介してトークンを操作することはできません。ハードウェアの互換性の問題が発生しているコンピューターでのみ、このオプションをオンにしてください。 |
パスワードの設定 |
認証エージェントアカウントのパスワード強度設定。シングルサインオン(SSO)技術の使用も有効にできます。 SSO 技術を使用すると、暗号化されたハードディスクにアクセスする際やオペレーティングシステムにサインインする際に、同一のアカウント認証情報を使用できます。 このチェックボックスをオンにすると、アカウントの資格情報を入力してから暗号化されたハードディスクにアクセスすればオペレーティングシステムに自動的にログインできます。 このチェックボックスをオフにすると、暗号化されたハードディスクにアクセスしてからオペレーティングシステムにログインする場合に、暗号化されたハードディスクへのアクセスに必要な資格情報と、オペレーティングシステムのユーザーアカウントの資格情報を個別に入力する必要があります。 |
ヘルプテキスト |
認証:アカウントの認証情報を入力するときに認証エージェントウィンドウに表示されるヘルプテキスト。 パスワードの変更:認証エージェントアカウントのパスワードを変更するときに、認証エージェントウィンドウに表示されるヘルプテキスト。 パスワードの復元:認証エージェントアカウントのパスワードを復元するときに、認証エージェントウィンドウに表示されるヘルプテキスト。 |
BitLocker ドライブ暗号化の設定
パラメータ |
説明 |
|---|---|
暗号化モード |
すべてのハードディスクを暗号化する:このオプションを選択すると、ポリシーが適用された時点ですべてのハードディスクが暗号化されます。 コンピューターに複数のオペレーティングシステムがインストールされている場合、暗号化が完了すると、本製品がインストールされているオペレーティングシステムしか読み込めなくなります。 すべてのハードディスクを復号化する:このオプションを選択すると、ポリシーの適用時、それ以前に暗号化されていたすべてのハードディスクが復号化されます。 変更しない:このオプションを選択すると、ポリシーの適用時、ドライブに変更を加えずそのままの状態を保持します。ドライブが暗号化されている場合は、暗号化された状態を保持します。ドライブが復号化されている場合は、復号化された状態を保持します。既定ではこのオプションが選択されます。 |
スレートでプリブート キーボード入力が必要な BitLocker 認証を使用できるようにする |
このチェックボックスでは、起動前の環境でデータ入力を必要とする認証を使用するかしないかを選択します。この設定は、起動前に入力できる機能がないプラットフォームに対しても適用されます(例:タブレットのタッチスクリーンキーボード)。 このチェックボックスをオンにすると、起動前の入力を必要とする認証の使用が許可されます。この設定は、起動前の環境でデータ入力ができるツールがあるデバイスに対してのみ使用してください(例:タッチスクリーンキーボードだけでなく USB キーボードも付いているデバイスなど)。 |
ハードウェア暗号化を使用 |
このチェックボックスをオンにすると、ハードウェア暗号化が適用されます。ハードウェア暗号化を使用すると、より少ないコンピューターリソースで、より速く暗号化することができます。 |
使用されているディスク領域のみを暗号化 |
このチェックボックスでは、暗号化の対象をハードディスクの使用中のセクターのみに限定する設定を有効または無効にします。限定することにより、暗号化にかかる時間を短縮できます。 暗号化の開始後に[使用されているディスク領域のみを暗号化]の有効または無効を切り替えても、ハードディスクが復号化されるまで設定は変更されません。チェックボックスのオン / オフは、暗号化が開始する前に選択してください。 このチェックボックスをオンにすると、ハードディスク内のファイルがある領域のみが暗号化されます。新しいデータは、追加されると自動的に暗号化されます。 チェックボックスをオフにすると、過去に削除されたファイルや変更が加えられたファイルの残存フラグメントも含め、ハードディスク全体が暗号化されます。 データが変更されたり削除されていない新しいハードディスクでは、このオプションをオンにしてください。既に使用されているハードディスクに暗号化を適用する場合、ハードディスク全体を暗号化してください。それにより、削除されているが回復の可能性があるデータを含め、すべてのデータが保護されます。 既定では、このチェックボックスはオフです。 |
認証設定 |
Trusted Platform Module(TPM)を使用:このオプションを選択すると、BitLocker は Trusted Platform Module(TPM)を使用します。 Trusted Platform Module(TPM)は、セキュリティ関連の基本機能(暗号化鍵の保存など)を提供するために開発されたマイクロチップです。Trusted Platform Module は通常、コンピューターのマザーボードにインストールされ、ハードウェアバスを介して他のすべてのシステムコンポーネントと連携します。 Trusted Platform Module を搭載したデバイスで作成された暗号鍵は、そのデバイスでしか復号化できません。Trusted Platform Module は、各 TPM が保持するストレージルートキーを使って暗号鍵を暗号化します。ストレージルートキーは Trusted Platform Module 内部に格納されています。そのため、暗号鍵を盗もうとする試みに対して、より強固な保護を提供することができます。 既定では、この処理が選択されています。 暗号鍵へのアクセスの設定を編集できます:
|