FIPS モードで FRP をインストールする
FRP クライアントは、
McAfee Core Cryptographic Module (
MCCM) User または
Kernel FIPS 140-2 暗号モジュールを使用しています。 これらの暗号モジュールは、
Federal Information Processing Standard (
FIPS) 140-2 Level 1 の認証を受けており、FRP では FIPS モードで製品をインストールするオプションを提供しています。 また、MCCM はパフォーマンス面でも優れており、
Intel® Advanced Encryption Standard Instructions (
AES NI) を採用しています。 その結果、
AES NI をサポートするシステムでは、その他のパフォーマンスが向上します。
この記事は、FIPS コンプライアンス認証を取得した際に更新されます。
この記事では、FIPS モードを有効にしてインストールされていない既存のFRP を、FIPS モードで動作させるための要件について説明します。 この手順は、FRP と ePolicy Orchestrator(ePO)の両方を対象としています。
重要:
- FIPS 非準拠の FRP 環境から FIPS 準拠の環境へのインラインアップグレードはできません。 FIPS モードでの ePO の実行に関する追加情報は、、 各リリースの関連する ePO 製品ガイドを参照してください。
- 本手順を実行すると、FRP の非 FIPS バージョンで作成したリムーバブルメディアとユーザーローカルキーステアは、すべて使用できなくなります。 この変換を行う際には、以下の点を考慮する必要があります:
- すべてのリムーバブル USB デバイスが再初期化されていることを確認してください。
重要: そのためには、デバイスのデータをバックアップし、デバイスをフォーマットし、FRP 4.3 で初期化した後、デバイスにデータをコピーして戻す必要があります。
- ユーザーローカルキーで暗号化されたファイルをすべて復号し、キーを削除した後、キーキャッシュファイルを手動で削除する。 このファイルは、%APPDATA%\Roaming\McAfee\Endpoint Encryption for Files and Folders\Key Stores フォルダー内にあります。
- 以前の FIPS ではないバージョンの FRP で作成された CD、DVD、ISO はすべてオンサイトでは使用できません。 ただし、オフサイトでも使用できます。 これらのデバイスは再初期化できません。
- 古い自己展開は、オンサイトとオフサイトの両方で機能します。ただし、非 FIPS モードで動作します。
インストール手順
- 以前に生成したキーで暗号化されたすべてのファイルを復号します。
- ePO コンソールにログオンします。
- FRP ポリシーにアクセスします。
- 暗号化キーを使用しているポリシーで、暗号化キーを Decrypt に変更します。
例えば、Folder Encryption, File Encryption, Removable Media. などです。
- ポリシーを保存して、変更をクライアントに適用します。
- Grant Keys ポリシーから FRP キーを削除することで、クライアントシステムからすべての FRP キーを削除します。
- ePO サーバーのインストール状況に応じて、以下の作業を行ってください:
- ePO サーバーが FIPS モードでインストールされていない場合:
- ePO サーバーからすべてのキーを削除する。
重要: すべてのFRP キーを ePO サーバーから削除すると、暗号化されたままのファイルにはアクセスできなくなります。
- すべてのクライアントから FRP を削除します。 クライアントパッケージのアンインストール方法については、各 FRP 製品ガイドの "FRPのアンインストール" をご参照ください。 詳細については、この記事の関連情報のセクションを参照してください。
- FIPS モードで ePO を再インストールします。
- FRP パッケージをチェックインします。
- FRP 拡張ファイルをチェックインします。
- 次のいずれかの方法で FRP を配備します。
- FRP 配備タスクを使用します。 ePO のタスクコマンドラインにキーワード FIPS が追加されていることを確認してください。
- サードパーティ製の配備ソフトウェアを使用します。 以下のように、FRP クライアントパッケージをインストールする際に、パラメータ FIPS_MODE=1 を必ず渡してください:
- 32-bit システム:
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- 64-bit システム:
msiexec.exe/q/i eeff64.msi FIPS_MODE=1
- ePO サーバーが FIPS モードでインストールされている場合:
- すべてのクライアントから FRP を削除します。 クライアントパッケージのアンインストール方法については、各 FRP 製品ガイドの "FRPのアンインストール" をご参照ください。 詳細については、この記事の関連情報のセクションを参照してください。
- FRP パッケージをチェックインします。
- FRP 拡張ファイルをチェックインします。
- FRP クライアントを FIPS モードで再インストールします。
- 次のいずれかの方法で FRP を配備します。
- FRP 配備タスクを使用します。 ePO のタスクコマンドラインにキーワード FIPS が追加されていることを確認してください。
- コマンドラインオプションを使用します。 以下のように、FRP クライアントパッケージをインストールする際に、パラメータ FIPS_MODE=1 を渡すようにしてください:
- 32-bit システム:
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- 64-bit システム:
msiexec.exe/q/i eeff64.msi FIPS_MODE=1