プレブート認証を使用している場合は、デバイスにポリシーを割り当てた後、ポリシー適用とディスク暗号化のワークフローが多少異なります。以下は、デバイスにディスク暗号化ポリシーを適用するときに理解する必要がある、ディスク暗号化とプレブート認証の概念です。
ZENworks Full Disk Encryptionは、標準、ソリッドステート、および自己暗号化されたハードディスクに対してソフトウェアベースの暗号化を提供します。
Full Disk Encryptionは、ディスク全体または選択したボリューム(パーティション)のセクタベースの暗号化を提供します。一時ファイル、スワップファイル、オペレーティングシステムなど、ボリューム上のすべてのファイルが暗号化されます。すべてのファイルが暗号化されるため、CD-ROM、フロッピーディスク、またはUSBドライブといった外部メディアからコンピュータを起動しても、データにアクセスできません。
互換性のあるハードディスクは、IDE、SATA、またはPATAインタフェース規格を備えた3.5または2.5インチのディスクです。
業界標準の暗号化アルゴリズム(AES、Blowfish、DES、またはDESX)と、組織の要件を最もよく満たすキー長を選択できます。デバイスファームウェアがUEFI用に設定されている場合、AESアルゴリズムと256キー長が自動的に使用されます。
メモ:標準ハードドライブを暗号化するためにZENworks Full Disk Encryptionで使用される暗号モジュールは、連邦情報処理規格(FIPS) 140-2の認定を受けていません。ただし、暗号モジュールは、FIPS 140-2レベル1証明書に一致した規格を実装しています。
ZENworks Full Disk Encryptionは、デバイスの電源がオフのときや、デバイスがハイバネーションモードのときに、デバイスのデータを保護します。誰かがWindowsオペレーティングシステムに正常にログインすると、暗号化されたボリュームは保護されなくなり、データに自由にアクセスできます。ログインセキュリティを強化するために、ZENworks Pre-Boot Authentication (PBA)を使用できます。
ZENworks PBAは、Linuxベースのコンポーネントです。ディスク暗号化ポリシーがデバイスに適用されると、ハードディスク上にLinuxカーネルとZENworks PBAを格納した500 MBのパーティションが作成されます。
通常の操作時には、このLinuxパーティションからデバイスがブートされ、ZENworks PBAがロードされます。ユーザが適切な資格情報(ユーザID/パスワードまたはスマートカード)を提出すると、PBAはすぐに終了してWindowsオペレーティングシステムが起動し、それまでは非表示でアクセスできなかったWindowsのドライブ上の暗号化データにアクセスできるようになります。
Linuxパーティションはセキュリティ向上を目指して強化されており、ZENworks PBAは、MD5チェックサムの使用により改ざんから保護され、認証キーの強力な暗号化を使用します。
ZENworksプレブート認証を使用することを、強くお勧めします。ZENworks PBAを使用しない場合、暗号化されたデータはWindows認証によってのみ保護されます。
ZENworksプレブート認証の詳細については、『ZENworks Full Disk Encryption PBAリファレンス』を参照してください。