SCCM 2007 の「構成管理」機能を利用して Bitlocker の有効有無を確認する方法


System Center Configuration Manager サポート担当の美馬です。

SCCM 2007 の「必要な構成管理」機能を利用して BitLocker が有効になっているかどうかを判断する方法をご紹介いたします。

■前提となるテクノロジーについて

コンピュータにて各ドライブの Bitlocker が有効になっているかどうかについては、WMI 名前空間にある下記情報から判断することができます。
そのため、SCCM 2007 の「必要な構成管理」機能で下記の WMI 名前空間のプロパティ値を評価する定義を作成します。

 名前空間:root\cimv2\security\MicrosoftVolumeEncryption
 クラス:Win32_EncryptableVolume
 プロパティ:ProtectionStatus
 値: 0 - PROTECTION OFF(Bitlocker が設定されていない)
        1 - PROTECTION ON(Bitlocker が設定されている)
        2 - PROTECTION UNKNOWN(Bitlocker が設定されているか判断できない)

 - 参考情報 -
 Win32_EncryptableVolume class
 http://msdn.microsoft.com/en-us/library/aa376483(v=vs.85)

※ ProtectionStatus 値が「2」となる場合の例
 システムドライブとは別のドライブ(D ドライブ等)にBitlocker を設定している環境で、ログオン後の最初のドライブアクセス時にパスワード入力を要求する設定(パス フレーズによるロック解除設定)を行っている場合、パスワード入力前の状態では ProtectionStatus 値が「2」、パスワード入力後はProtectionStatus 値が「1」となります。
 そのため、後述の設定にて構成管理の評価が行われるタイミングにより ProtectionStatus 値が変わる可能性があるため、評価設定で注意が必要となります。

■ SCCM 2007 の「必要な構成管理」機能における設定方法

SCCM 管理コンソールにて「必要な構成管理」の設定を行います。
なお、「必要な構成管理」機能の詳細につきましては、下記情報をご参照ください。

必要な構成管理 (Desired Configuration Management)
http://www.microsoft.com/japan/systemcenter/configmgr/products/configmgmt.mspx

必要な構成管理の概要
http://technet.microsoft.com/ja-jp/library/bb680553.aspx

 

Step1:構成項目の設定


Bitlocker が有効かどうかを評価するための構成項目を新規に作成します。
各ドライブそれぞれで評価したい場合は、1 ドライブに構成項目を 1 つ作成してください。

1. SCCM 管理コンソールの [コンピュータの管理] -> [必要な構成管理] -> [構成項目] を右クリックして、[新規] -> [オペレーティング システム構成項目] をクリックします。

  

2. ウィザードが起動しますので、任意の名前を入力して [次へ] ボタンをクリックします。
  

3. 対象のOS を任意に選択して [次へ] ボタンをクリックします。
※ここでは、Windows 7 および Windows Server 2008 R2 を対象にしています。
 

4. そのまま [次へ] ボタンをクリックします。
 

5. [新規] ボタンをクリックして [WQLクエリ] をクリックします。
 

6. [全般] タブにて下記のとおり設定します。
※ここでは C ドライブを対象としております。

  表示名:任意
  名前空間:root\cimv2\security\MicrosoftVolumeEncryption
  クラス:Win32_EncryptableVolume
  プロパティ:ProtectionStatus
  WQL クエリの WHERE 句:driveletter = '<対象のドライブ名>:'

  

7. [検証] タブにて [新規] ボタンをクリックします。
 

8. [検証の構成] 画面にて下記のとおり設定して [OK] ボタンをクリックします。
※この設定では WMI 名前空間の ProtectionStatus 値の評価を行っています。下記設定の場合、ProtectionStatus 値が「1」(PROTECTION ON)のときのみ「対応」と判定され、それ以外の値は「非対応」と判定されます。
なお、[重要度] の設定につきましては、下記 URL をご参照ください。

必要な構成管理に対する非対応の重要度レベルについて
http://technet.microsoft.com/ja-jp/library/bb632369.aspx

 

9. [検証] タブに戻り、下記のとおり設定して [OK] ボタンをクリックします。
 

10. [設定] 画面にて [次へ] ボタンをクリックします。
 

11. [概要] 画面にて設定内容を確認して [次へ] ボタンをクリックし、ウィザードが正常に完了したことを確認して [閉じる] ボタンをクリックします。
  

手順は以上となります。

D ドライブの Bitlocker 有効の有無も判断したい場合は、上記と同様の手順にて D ドライブ用の構成項目の定義を作成してください。その際の判定基準として、WMI 名前空間のProtectionStatus 値が「2」(PROTECTION UNKNOWN)となることが想定される場合、上記手順「8」の箇所では下記のとおり「0」以外を「対応」とするよう設定することをお勧めいたします。

 

Step2:構成基準の作成


上記 Step1 で作成した構成項目の評価基準を SCCM クライアントに割り当てるために構成基準を作成します。

1. SCCM 管理コンソールの [コンピュータの管理] -> [必要な構成管理] -> [構成基準] を右クリックして、[新規] -> [新しい構成基準] をクリックします。
 

2. ウィザードが起動しますので、任意の名前を入力して [次へ] ボタンをクリックします。
 

3. “オペレーティング システム” のリンクをクリックします。

  

4. 上記 Step1 で作成した構成項目にチェックを入れ、[OK] ボタンをクリックします。
 ※ここでは、C ドライブ用の構成項目のみにチェックを入れていますが、複数ドライブ用の構成項目にもチェックを入れていただいても問題ありません。
  

5. [構成基準規則の設定] 画面に戻り、そのまま [次へ] ボタンをクリックします。
 

6. [概要] 画面にて設定内容を確認して [次へ] ボタンをクリックし、ウィザードが正常に完了したことを確認して [閉じる] ボタンをクリックします。
 

7. 中央ペインにて、新規に作成した構成基準を右クリックして [コレクションに割り当てる] をクリックします。
 

8. そのまま [次へ] ボタンをクリックします。
  

9. [参照] ボタンをクリックして、展開対象のコレクションを指定して [次へ] ボタンをクリックします。
 

10. SCCM クライアント側で評価を実施するスケジュールを任意に設定して [次へ] ボタンをクリックします。
※実行間隔を短く設定いたしますと、SCCM クライアント側での負荷がかかる、SCCM サイト サーバ側での データベースへの格納処理に時間がかかりパフォーマンスに影響を及ぼす可能性がございます。
頻繁に情報を採取したい場合は、パフォーマンスの状況に応じて 2~3 日に 1回程度、最低でも 1 日 1回程度に設定していただくことをお勧めいたします。
 

11. [概要] 画面にて設定内容を確認して [次へ] ボタンをクリックし、ウィザードが正常に完了したことを確認して [閉じる] ボタンをクリックします。
 

手順は以上です。
必要に応じて、同様の手順により D ドライブ専用の構成基準の定義作成してください。

なお、上記手順を実施した後で、SCCM クライアントからポリシー取得処理(既定で 1 時間おき)が実行されますと、設定した構成基準ポリシーを取得し評価が実行されます。SCCM クライアントの [コントロール パネル] にある “Configuration Manager” を開き、[構成] タブからその状況をご確認いただけます。

  

■ SCCM 管理コンソールから各クライアントの Bitlocker 設定状況を確認する方法

 

SCCM のレポート機能を利用して、各クライアントの Bitlocker 設定状況を確認できます。
SCCM 管理コンソールのレポート画面から確認することができますが、もっとも簡単な方法はSCCM 管理コンソールの「必要な構成管理」のトップページを開き、下記のリンクのいずれをクリックすることでレポートが参照できます。

  

例えば、「Bitlocker 構成基準 – C Drive」のリンクをクリックすると、下記レポートが表示されます。
 

上記レポートのリングボタンをクリックすると、下記レポートが表示されます。
 

さらに、上記レポートのリングボタンをクリックすると、下記のとおりクライアント毎のレポートが表示されます。
※Client01 はBitlocker が未設定、Client02 は Bitlocker を有効に設定しています。
 

以上となります。

それでは、また!

 

Comments (0)

Skip to main content