DaRT 10 のセキュリティの考慮事項
このトピックでは、アカウントとグループ、ログ ファイル、およびその他の Microsoft Diagnostics and Recovery Toolset (DaRT) 10 のセキュリティに関する考慮事項について概要を説明します。詳細については、この記事のリンクに従ってください。
一般的なセキュリティに関する考慮事項
セキュリティ リスクについて理解する。DaRT 10 には、エンド ユーザーのコンピューターの問題を解決するために、管理者やヘルプ デスク担当者が DaRT ツールをリモートから実行できる機能が備わっています。さらに、国際標準化機構 (ISO) イメージを USB フラッシュ ドライブに保存したり、ISO イメージをネットワークに配置して、その内容を回復パーティションとしてコンピューターのハード ディスクに含むこともできます。これらの機能により、柔軟性が提供されますが、DaRT を構成する際に考慮しなければならない潜在的なセキュリティ リスクが生じます。
コンピューターのセキュリティを物理的に保護する。管理者やヘルプ デスク担当者がコンピューターから物理的に離れるときには、コンピューターをロックして、セキュリティで保護されているスクリーン セーバーを使用する必要があります。
すべてのコンピューターに最新のセキュリティ更新プログラムを適用する。マイクロソフト テクニカル セキュリティ情報通知サービス (https://go.microsoft.com/fwlink/?LinkId=28819) を購読して、オペレーティング システムの新しい更新プログラムの情報を常に入手します。
エンド ユーザーの DaRT ツールへのアクセスを制限する
DaRT 回復イメージを作成するときに、回復イメージに組み込むツールを選択することができます。セキュリティ上の理由で、ディスクのワイプやパスワード管理などの強力な DaRT ツールにエンド ユーザーがアクセスできないようにした方がよい場合があります。DaRT 10 では、構成中に特定のツールを無効にしておいて、エンド ユーザーがリモート接続を開始したときにヘルプ デスク担当者がその無効にされたツールを使用できるように設定できます。
さらに、エンド ユーザーが使えるのがリモート接続セッションを開始するツールだけになるように、DaRT イメージを構成することもできます。
重要
リモート接続が確立されると、エンド ユーザーが使用できないツールも含め、回復イメージに組み込んだすべてのツールを、エンド ユーザーのコンピューターで作業するヘルプ デスク担当者が使用できるようになります。
DaRT 回復イメージにツールを含める方法の詳細については、「DaRT 10 のツールの概要」を参照してください。
DaRT 回復イメージをセキュリティで保護する
DaRT 回復イメージを、USB フラッシュ ドライブに保存、またはリモート パーティションか回復パーティションを作成して展開する際、社内で使用されるドライブの暗号化方法を ISO に組み込むことができます。ISO の暗号化により、エンド ユーザーが回復イメージにアクセスした場合でも、DaRT 機能を使用できないようにし、認証されていないユーザーが、別のユーザーのコンピューターで DaRT を起動できないようにすることができます。暗号化方法は、使用する場合、すべてのコンピューターに展開され有効になっていることを確認してください。
注意
DaRT 10 は、BitLocker をネイティブでサポートします。
ドライブの暗号化を組み込むには、回復イメージを作成するときに、暗号化ソリューション ファイルを追加します。暗号化ソリューションは、WinPE 上で実行可能である必要があります。ISO から起動するエンド ユーザーは、その暗号化ソリューションにアクセスして、ドライブのロックを解除することができます。
リモート接続を使用する際 2 台のコンピューター間のセキュリティを維持する
既定では、リモート接続セッションを確立した 2 台のコンピューター間の通信は暗号化されません。したがって、この 2 台のコンピューター間のセキュリティを確保するには、両方のコンピューターを同じネットワークに配置することをお勧めします。