Sophos SafeGuard Client (スタンドアロン型) の復旧処理

管理対象外のエンドポイントのチャレンジ/レスポンスは、次のようなときに開始できます。

管理対象外のエンドポイントの場合、データベースからユーザー鍵を入手することはできません。このため、チャレンジ/レスポンスセッションで実行できる復旧オプションは、「ユーザーログオンを使用せずに SGN クライアントを起動する」だけです。

チャレンジ/レスポンスでは、SafeGuard Power-on Authentication でコンピュータを起動できます。その後、ユーザーは Windows にログオンできるようになります。

復旧の例:

ユーザーが間違ったパスワードを SafeGuard POA レベルで何度も入力したため、コンピュータがロックされた場合。しかし、ユーザーがパスワードを覚えている場合。

コンピュータがロックされ、ユーザーはロック解除のためにチャレンジ/レスポンスを開始することを求められます。ユーザーが正しいパスワードを覚えているため、パスワードをリセットする必要はありません。チャレンジ/レスポンスでは、SafeGuard Power-on Authentication でコンピュータを起動できます。この後、ユーザーは Windows のログオン ダイアログで正しいパスワードを入力して、Windows にログオンできます。

ユーザーがパスワードを忘れた場合

注: パスワードを忘れた場合、Local Self Help を使用して復旧することを推奨します。ユーザーは Local Self Help で既存のパスワードを表示でき、そのパスワードを引き続き使用できます。したがって、パスワードの再設定を行ったり、ヘルプデスク担当者に依頼したりする必要がなくなります。

忘れたパスワードをチャレンジ/レスポンスで復旧するときは、パスワードのリセットが必要です。

  1. チャレンジ/レスポンスでは、SafeGuard Power-on Authentication でコンピュータを起動できます。

  2. Windows のログオン ダイアログで、ユーザーが正しいパスワードを忘れてしまった場合を想定します。パスワードは Windows レベルでリセットする必要があります。変更するには、SafeGuard Enterprise 以外に、Windows 標準の方法による復旧処理が必要になります。

    注: チャレンジ/レスポンスを行う前に、パスワードを一括的にリセットすることは推奨しません。リセットしないことで、Windows と SafeGuard Enterprise の間でパスワードが同期されたままになります。Windows のヘルプデスク担当者にこの注意を促してください。

    Windows レベルでパスワードをリセットするときは、以下の方法を推奨します。

    • エンドポイント上で使用できるサービスまたは管理者アカウントのうち、必要な Windows 権限を持つアカウントを使用する。

    • エンドポイント上で Windows パスワード リセット ディスクを使用する。

      ヘルプデスク担当者は、どちらの手続きを使用した方がよいかをユーザーに伝えて、追加の Windows ログオン情報または必要なディスクを提供することをお勧めします。

  3. ユーザーは、ヘルプデスク担当者がリセットした、新しい Windows パスワードを入力します。その後、ユーザーは、すぐにこのパスワードを自分だけが知っているパスワードに変更する必要があります。新しいユーザー証明書は、新しく設定された Windows パスワードに基づいて作成されます。この結果、ユーザーは再度コンピュータにログオンできるようになり、新しいパスワードを使って SafeGuard Power-on Authentication にログオンできます。

    注: SafeGuard Data Exchange の鍵: パスワードがリセットされ、新しい証明書が作成されると、エンドポイントがドメインのメンバーである場合、SafeGuard Data Exchange 用に以前に作成したローカル鍵を引き続き使用することができます。エンドポイントがワークグループのメンバーである場合は、ローカル鍵を再度有効にするには、SafeGuard Data Exchange パスフレーズを記憶しておく必要があります。

ローカル キャッシュを修復する必要がある場合

ローカル キャッシュには、すべての鍵、ポリシー、ユーザー証明書、および監査ファイルが格納されます。デフォルトでは、ローカル キャッシュが破損するとログオン復旧は非アクティブ化されます。つまり、ローカル キャッシュはバックアップから自動的に復元されます。この場合、ローカル キャッシュの修復に、チャレンジ/レスポンスは必要ありません。ただし、ローカル キャッシュをチャレンジ/レスポンスを使用して修復する場合は、ポリシーを使用してログオン復旧をアクティブにできます。このとき、ローカル キャッシュが破損している場合、ユーザーはチャレンジ/レスポンスを開始することを自動的に求められます。