使用ガイド: BitLockerコンプライアンス

このページでは、パックの使用方法、および使用例を説明しています。

管理者は、設定ガイド: BitLockerのコンプライアンスを参照して、インストールされたコンテンツを設定・カスタマイズできます。

BitLockerのコンプライアンスLive Dashboardは、このLibrary pack の出発点として機能します。 このdashboardは、WindowsオペレーティングシステムデバイスのBitLocker暗号化状態を管理するための単一環境を提供します:

  • 暗号化されたデバイスと未暗号化のデバイスを識別

  • 暗号化の準備ができたデバイスを識別

BitLocker暗号化のいくつかの推奨事項:

  • TPMの可用性を確保

  • TPMの状態を確認

  • TPMを初期化

  • グループポリシーを適用

  • セキュリティのギャップを検出

Library pack はを使用する

このページの使用ケースにジャンプして、関連するシナリオを確認してください。

TPMの可用性の確認

TPM (Trusted Platform Module) を持たないデバイスを、セキュリティ保護を減らした状態で暗号化することができます。 時間が経つにつれ、これらのデバイスをTPM付きのものに置き換えることを考慮してください。 また、TPMを持たないことで暗号化されないリスクのあるデバイスの数もこの表に表示されます。

TPMの初期化

TPMが初期化されていない場合は、所有権を取得します。 Windows管理ツールを通じてセキュリティ設定を構成します。 デバイスが"所有されていない"とは、そのデバイスのTrusted Platform Module (TPM) の状態を指します。 これは、オペレーティングシステムまたは管理ポリシーがTPMの初期化または所有権を取得していないことを意味します。

この問題を解決するには、Windowsセキュリティ管理ツールを通じてTPMの所有権を取得し、BitLockerの暗号化キーを正しく格納するように設定します。 これは、TPMが一度も設定されたことがないか、リセットされた場合に発生します。

グループポリシーの適用

グループポリシーがTPMと共にBitLockerの使用を許可していることを確認します。 「デバイスは保護されているがGPOは適用されていない」メトリックは、デバイスが正しく暗号化及び保護されているものの、ADにキー保護をアップロードするGPOが存在しないことを示しています。 これらのデバイスに対しては二つの手順を実行する必要があります:

  1. AD をこれらのデバイスに適用する必要があります。

  2. キー保護をADに手動でアップロードする必要があります。GPOが適用される以前に作成されたキーはバックアップされません。

「デバイスは保護されておらずGPOも適用されていない」メトリックは、これらのデバイスがまだ暗号化保護されておらず、ADにキー保護をアップロードするために必要なGPOが存在しないことを示しています。 これらのケースでは、暗号化する前にAD GPOをこれらのデバイスに適用する必要があります。 システムドライブはその後、暗号化され、通常通りBitLockerが有効になります。 GPOが配置されている場合、キー保護は自動的にアップロードされます。

セキュリティのギャップ検出

キー保護は、暗号化キーのセキュリティと管理にとって不可欠です。 それらは、暗号化キーの保護とアクセス方法を定義し、ドライブ上のデータを暗号化および復号化するために必要な暗号化キーのセキュリティを維持することを目的としています。

使用ケース

以下に取り上げられている関連する使用ケースに加え、環境に特有のトラブルシューティングシナリオも見つけることがあるかもしれません。

  • 非コンプライアントデバイスの特定: 暗号化されていない、または組織の暗号化要件を満たしていないデバイスを検出します。

  • 暗号化進捗の追跡: 暗号化が成功したデバイス数と暗号化待ちのデバイス数をモニターします。

  • セキュリティアプリケーションやコンポーネントを欠いているデバイスの強調表示: 暗号化に必要なBitLockerやTPMコンポーネントなど、必要なセキュリティツールを欠いているエンドポイントを識別します。

  • サポートされていないオペレーティングシステムの検出: TPM暗号化機能をサポートできない旧バージョンやサポートされていないOSバージョンを動作するデバイスを特定します。

  • 高リスクデバイスの優先順位付け: 暗号化コンプライアンスを欠いている機密データや重要な部署のデバイスに焦点を当てます。

  • 場所または部門別のセグメンテーション: 特定の修正を行うために、非コンプライアントデバイスをその位置、部門、または割り当てられたユーザーに基づいてフィルタします。

  • コンプライアンスの失敗に対するリアルタイムアラート: 暗号化ポリシーが失敗した、または暗号化が予期せず無効になったデバイスに対してアラートを生成します。

  • ポリシーコンプライアンスの確認: ハードウェア互換性、ソフトウェア設定を含めた暗号化ポリシーがすべてのデバイスで満たされていることを検証します。


関連トピック

Last updated