マシンの設定 - 基本設定

ポリシー設定 説明
以下の設定オプションは、SafeGuard Enterprise Management Center に表示される順に説明しています。
Power-On Authentication (POA)
POA (Power-on Authentication) を有効にする SafeGuard POA を有効/無効にするかどうかを定義します。
重要 セキュリティ上の理由から、SafeGuard POA は常に有効にしておくことを強く推奨します。SafeGuard POA を非アクティブ化すると、システム セキュリティが Windows ログオン セキュリティのみに低下し、暗号化されたデータに不正アクセスされる可能性が増加します。
アクセスが拒否されるまでのサーバー未接続日数 (0=拒否しない) エンドポイントがサーバーに接続していない期間が設定された期間を超えた場合に、SafeGuard POA へのログオンを拒否します。
セキュアな Wake on LAN (WOL) セキュアな Wake on LAN (WOL)」を使用して、エンドポイントにソフトウェアを集中インストールする際の事前準備ができます。該当する Wake on LAN 設定がエンドポイントに適用される場合、必要なパラメータ (SafeGuard POA の非アクティブ化や Wake on LAN の時間帯など) は、エンドポイントに直接転送され、パラメータはそこで分析されます。
重要 たとえ限られた起動処理回数であっても、SafeGuard POA を非アクティブ化すると、システムのセキュリティ レベルが低下します。

セキュアな Wake on LAN (WOL) の詳細は、SafeGuard Enterprise 8 管理者ヘルプを参照してください。
自動ログオンの数 Wake on LAN のために SafeGuard Power-on Authentication が無効になっている間の再起動の回数を定義します。

自動ログオンが事前に設定されている回数に達するまで、この設定は「POA (Power-on Authentication) を有効にする」設定を一時的に上書きします。その後、SafeGuard Power-on Authentication が再度アクティブ化されます。

自動ログオンの回数を 2に設定し、「POA (Poweron Authentication) を有効にする」が有効な場合、エンドポイントは、SafeGuard POA での認証なしに、2回起動します。

Wake on LAN の場合、予期しない問題が起こったときにコンピュータを操作できるようにするために、再起動の回数を必要な数より 3回多く設定することを推奨します。
WOL 中にローカル Windows ログオンを許可する Wake On LAN 中にローカル Windows ログオンを許可するかどうかを決定します。
外部からの WOL 起動タイム スロットの開始日時

外部からの WOL 起動タイム スロットの終了日時

 Wake on LAN (WOL) の開始および終了の日付と時刻を選択するか、または入力できます。

日付の形式: YYYY/MM/DD

時間の形式: HH:MM

以下の入力の組み合わせが可能です。

  • WOL の開始および終了を定義。

  • WOL の終了は定義し、開始は定義しない。

  • 入力なし: 時間帯を設定しない。

ソフトウェアの展開が計画されている場合、セキュリティ担当者は WOL の時間帯を設定して、スケジューリング スクリプトが十分な余裕をもって早期に開始され、すべてのエンドポイントに起動する十分な時間があるようにする必要があります。

WOLstart: スケジューリング スクリプト内の WOL の開始日時は、ポリシーに設定された時間帯内である必要があります。時間帯が定義されないと、WOL は SafeGuard Enterprise で保護されたエンドポイントのローカルでアクティブ化されません。WOLstop: このコマンドは、WOL に設定された終了日時に関係なく実行されます。
User Machine Assignment (UMA)
SGN ゲスト ユーザーのログオンを禁止する
この設定は、管理対象エンドポイントのみに適用されます。
エンドポイントで、ユーザーに Windows へのログオン資格を与えるかどうかを定義します。
Microsoft のアカウントは、常に SafeGuard Enterprise ゲスト ユーザーとして扱われます。
新しい SGN ユーザーの登録を許可する SGN ユーザーを SafeGuard POA および/または UMA に追加できるユーザーを指定します (OS へのパススルーを無効にすることで実行)。
Device Encryption モジュールがインストールされていないエンドポインで、鍵リングにアクセスできる複数のユーザーを UMA に追加するには、「新しい SGN ユーザーの登録を許可する」設定を「全員」に設定する必要があります。設定しない場合、ユーザーは Management Center のみで追加できます。この設定は、管理対象エンドポイントのみで利用できます。詳細は、ソフォスのサポートデータベースの文章 110659 を参照してください。

該当者なし」が設定されている場合、POA はアクティブになりません。ユーザーは、Management Center で手動で割り当てる必要があります。
SGN Windows ユーザーの登録を有効にする SGN Windows ユーザーをエンドポイントに登録できるかどうかを指定します。SGN Windows ユーザーは、SafeGuard POA には追加されませんが、SGN ユーザーと同様に、暗号化されたファイルにアクセスするための鍵リングを使用できます。この設定を行った場合、SGN ゲストユーザーになるはずのユーザーすべてが、SGN Windows ユーザーになります。ユーザーは、Windows にログオンすると、だたちに UMA に追加されます。
スタンドアロン型エンドポイント用に対する手動の UMA クリーンアップを有効化する
この設定は、管理対象外のエンドポイントのみに適用されます。

ユーザーが、SGN ユーザーや SGN Windows ユーザーを、User Machine Assignment から削除できるかどうかを指定します。「はい」を選択すると、「User Machine Assignments」コマンドが、エンドポイントのシステムトレイ アイコンのメニューに表示されるようになります。このコマンドを指定すると、SafeGuard Power-on Authentication で SGN ユーザーとしてログオンできるユーザー、および Windows で SGN Windows ユーザーとしてログオンできるユーザーの一覧が表示されます。表示されるダイアログで、ユーザーをリストから削除することができます。削除された SGN ユーザーや SGN Windows ユーザーは、以後、SafeGuard Power-on Authentication や Windows でログオンすることはできません。
自動クリーンアップ前に登録可能な SGN Windows ユーザーの最大数
この設定は、管理対象エンドポイントのみに適用されます。

これを使用して、管理対象エンドポイント上の SafeGuard Enterprise Windows ユーザーの自動クリーンアップを有効にできます。SafeGuard Enterprise Windows ユーザーの数が、ここで指定した最大数を超えると、新規ユーザー以外の、既存の SafeGuard Enterprise Windows ユーザーすべてが、User Machine Assignment から削除されます。デフォルト値は 10 です。
表示オプション
マシンの識別情報を表示する SafeGuard POA のタイトル バーにコンピュータ名または定義されたテキストを表示します。

Windows ネットワーク設定にコンピュータ名が含まれる場合、これは基本設定に自動的に組み込まれます。
マシンの識別情報のテキスト SafeGuard POA のタイトル バーに表示されるテキストです。

マシンの識別情報を表示する」フィールドで「定義済みの名前」を選択した場合には、この入力フィールドにテキストを入力できます。
利用条件を表示する SafeGuard POA での認証前に表示される構成可能なコンテンツが含まれたテキスト ボックスを表示します。一部の国では、特定のコンテンツを含むテキスト ボックスの表示が法律で義務づけられています。

ユーザーは、システムの起動を続ける前に、このボックスを確認する必要があります。

表示するテキストを指定する前に、「ポリシー」のナビゲーション ペインの「テキスト」で、テキストを登録する必要があります。
利用条件のテキスト 利用条件として表示されるテキストです。

ポリシー」ナビゲーション ペインの「テキスト」で登録したテキスト項目を選択できます。
詳細情報を表示する 利用条件の後に表示される (アクティブ化されている場合) 構成可能なコンテンツが含まれたテキスト ボックスを表示します。

詳細情報を表示するかどうかを定義できます。

  • なし

  • すべてのシステム起動

  • すべてのログオン

表示するテキストを指定する前に、「ポリシー」のナビゲーション ペインの「テキスト」で、テキストを登録する必要があります。
詳細情報テキスト 詳細情報として表示されるテキストです。

ポリシー」ナビゲーション ペインの「テキスト」で登録したテキスト項目を選択できます。
表示時間 (秒) 詳細情報を表示する時間 (秒単位) を定義できます。

詳細情報のテキスト ボックスが自動的に閉じられるまでの秒数を指定できます。ユーザーは「OK」をクリックすれば、いつでもテキスト ボックスを閉じることができます。
システム トレイ アイコンを有効化して表示する SafeGuard Enterprise システム トレイ アイコンを使用すると、ユーザーはエンドポイントで、すべてのユーザー機能に迅速、容易にアクセスできます。また、エンドポイントの状態についての情報 (新しいポリシーの受信など) をツールチップで表示できます。

はい:

システム トレイ アイコンがタスク バーの情報ペインに表示され、ユーザーはツールチップを介して SafeGuard Enterprise で保護されたエンドポイントの状態を常時通知します。

いいえ:

システム トレイ アイコンは表示されません。ツールチップを介してユーザーに状態情報は提供されません。

サイレント:

システム トレイ アイコンがタスク バーの情報ペインに表示されますが、ユーザーにツールチップを介して状態情報は提供されません。
エクスプローラにオーバーレイ アイコンを表示する ボリューム、デバイス、フォルダ、およびファイルの暗号化の状態を示す鍵アイコンを表示するかどうかを定義します。
POA の仮想キーボードを表示する 要求されたときに SafeGuard POA のダイアログにパスワード入力用の仮想キーボードを表示できるようにするかどうかを定義します。
インストール オプション
アンインストールを許可する SafeGuard Enterprise のアンインストールをエンドポイントで許可するかどうかを指定します。「アンインストールを許可する」を「いいえ」に設定すると、この設定が有効である限り、管理者権限を持つユーザーも SafeGuard Enterprise をアンインストールすることはできません。
ソフォス タンパー プロテクションを有効にする ソフォスのタンパー プロテクション機能を有効/無効にします。ポリシー設定「アンインストールを許可する」によって SafeGuard Enterprise のアンインストールを許可している場合でも、このポリシー設定を「はい」に設定することで、このソフトウェアが誤って削除されることがないようにアンインストール操作をチェックすることができます。

ソフォスのタンパー プロテクション機能によってアンインストールを許可しない場合は、アンインストール操作はキャンセルされます。

ソフォス タンパー プロテクションを有効にする」を「いいえ」に設定している場合は、SafeGuard Enterprise のアンインストール操作はチェック (防止) されません。

この設定は、Sophos Endpoint Security and Control バージョン 9.5 以降がインストールされているエンドポイントにのみ適用されます。
資格情報プロバイダの設定
資格情報プロバイダをラップする SafeGuard Enterprise で、Windows 資格情報プロバイダとは異なる、別のログオン情報プロバイダーを使用するよう設定できます。対応しているログオン情報プロバイダーのテンプレートは、ソフォスの Web サイトからダウンロードできます。検証済みのログオン情報プロバイダーのテンプレートの一覧や、ダウンロード元を入手するには、ソフォス テクニカルサポートにお問い合わせください。

テンプレートのインポートや、エンドポイントへの展開は、「ログオン情報プロバイダ」ポリシー設定を使用して実行できます。「テンプレートのインポート」をクリックして、テンプレートファイルを参照してください。インポートされたテンプレートと、その内容は、「ログオン情報プロバイダ」フィールドに表示され、ポリシーとして指定されます。

テンプレートを削除するには、「テンプレートのクリア」をクリックします。

ダウンロードしたテンプレートは編集しないでください。これらのファイルの XML 構造が変更されると、エンドポイントで設定が認識されず、代わりに、デフォルトの Windows 資格情報プロバイダが使用されてしまう恐れがあります。

通常、設定を行なうには、ソフォスのプロフェッショナルサービスのプロジェクト支援が必要となります。ソフォスのサポートにお問い合わせください。
トークン サポートの設定
トークン ミドルウェア モジュール名 トークンの PKCS#11 モジュールを登録します。

以下のオプションから選択できます。

  • ActiveIdentity ActivClient

  • ActiveIdentity ActivClient (PIV)

  • AET SafeSign Identity Client

  • Aladdin eToken PKI Client

  • a.sign Client

  • ATOS CardOS API

  • Charismatics Smart Security Interface

  • Estonian ID-Card

  • Gemalto Access Client

  • Gemalto Classic Client

  • Gemalto .NET Card

  • IT Solution trustware CSP+

  • Módulo PKCS#11 TC-FNMT

  • Nexus Personal

  • RSA Authentication Client 2.x

  • RSA Smart Card Middleware 3.x

  • Siemens CardOS API

  • T-Systems NetKey 3.0

  • Unizeto proCertum

  • PKCS#11 のカスタム設定...

  • PKCS#11 のカスタム設定...」を選択すると、「PKCS#11 のカスタム設定」が有効化されます。

    その後、使用するモジュール名を入力できます。

    • PKCS#11 モジュール - Windows 版
    • PKCS#11 モジュール - Power-on Authentication 版
Nexus Personal または Gemalto .NET Card ミドルウェアをインストールした場合は、コンピュータの「システムのプロパティ」で、そのインストールパスを PATH 環境変数に追加する必要があります。
  • Gemalto .NET Card のデフォルトインストールパス: C:\Program Files\ Gemalto\PKCS11 for .NET V2 smart cards
  • Nexus Personal のデフォルトインストールパス: C:\Program Files\Personal\bin
ライセンス:

標準のオペレーティング システム用の各社のミドルウェアを使用するには、該当するメーカーとの使用許諾契約が必要です。詳細は、ソフォスのサポートデータベースの文章 116585 を参照してください。

Siemens ライセンスについては以下にお問い合わせください。

Atos IT Solutions and Services GmbH

Otto-Hahn-Ring 6

D-81739 Muenchen

Germany
待機するサービス この設定は特定のトークンに関する問題を解決するために使用されます。必要に応じて、サポート チームに該当する設定をお問い合わせください。