SCCM 2007/2012 のハードウェアインベントリ機能を拡張して Bitlocker の有効有無を確認する方法

Artikel
10/30/2012

System Center Configuration Manager サポート担当の美馬です。

SCCM のハードウェアインベントリ機能を拡張することによりBitLocker が有効になっているかどうかを判断する方法をご紹介いたします。

なお、「必要な構成管理」機能を利用する方法もありますので、こちらの記事もご参照ください。

SCCM 2007 の「構成管理」機能を利用して Bitlocker の有効有無を確認する方法
https://blogs.technet.com/b/systemcenterjp/archive/2012/06/27/3506084.aspx
■前提となるテクノロジーについて

コンピュータにて各ドライブの Bitlocker が有効になっているかどうかについては、WMI 名前空間にある下記情報から判断することができます。

そのため、SCCM 2007 のハードウェアインベントリ機能を拡張することにより、下記の WMI 名前空間のプロパティ値を収集します。

名前空間：root\cimv2\security\MicrosoftVolumeEncryption

クラス：Win32_EncryptableVolume

プロパティ：ProtectionStatus

値：0 - PROTECTION OFF（Bitlocker が設定されていない）

1 - PROTECTION ON（Bitlocker が設定されている）

2 - PROTECTION UNKNOWN（Bitlocker が設定されているか判断できない）

- 参考情報 -

Win32_EncryptableVolume class
https://msdn.microsoft.com/en-us/library/aa376483(v=vs.85)

※ ProtectionStatus　値が「2」となる場合の例

システムドライブとは別のドライブ（D ドライブ等）にBitlocker を設定している環境で、ログオン後の最初のドライブアクセス時に

パスワード入力を要求する設定（パスフレーズによるロック解除設定）を行っている場合、

パスワード入力前の状態では ProtectionStatus 値が「2」、パスワード入力後はProtectionStatus 値が「1」となります。

そのため、SCCM クライアントでの「ハードウェアインベントリスキャンサイクル」が実行されるタイミングにより ProtectionStatus 値が変わる可能性があります。

■ SCCM 2007 のハードウェアインベントリ拡張の設定方法

SCCM サイトサーバにて、ハードウェアインベントリ拡張のための設定を行います。

なお、当手順を実施することにより、該当サイトサーバで管理されるすべての SCCM クライアントに設定されます。

特定クライアントにのみ当設定を行うことができませんで、十分な検証を実施していただくことをお勧めいたします。

1. SCCM サイトサーバにて、以下のフォルダを開きます。

\Program Files\Microsoft Configuration Manager\inboxes\Clifiles.src\hinv

※ \Program Files は SCCM インストール先に応じて変更されます。

2. 以下の 2 ファイルのバックアップを取得します。

・configuration.mof

・sms_def.mof

3. configuration.mof ファイルをテキストエディタで開き、一番下までスクロール後に、以下を追記し上書き保存します。

--------------------------------

#pragma namespace("\\\\.\\root\\cimv2")

[Union,ViewSources{"select * from Win32_EncryptableVolume"},ViewSpaces{"\\\\.\\root\\cimv2\\security\\MicrosoftVolumeEncryption"},
Dynamic,Provider("MS_VIEW_INSTANCE_PROVIDER")]
class Bitlocker
{
    [PropertySources{"DeviceID"},key]
    string          DeviceID;
    [PropertySources{"DriveLetter"}]
    string          DriveLetter;
    [PropertySources{"ProtectionStatus"}]
    uint32          ProtectionStatus;
};

--------------------------------

4. sms_def.mof ファイルをテキストエディタで開き、一番下までスクロール後に、以下を追記し上書き保存します。

--------------------------------

[ SMS_Report (TRUE),
SMS_Group_Name ("Bitlocker"),
SMS_Class_ID ("MICROSOFT|Bitlocker|1.0")]

class Bitlocker : SMS_Class_Template
{
[SMS_Report(TRUE), key]
string          DeviceID;
[SMS_Report(TRUE)]
string          DriveLetter;
[SMS_Report(TRUE)]
uint32          ProtectionStatus;
};

--------------------------------

手順は以上です。

なお、上記手順を実施した後で、SCCM クライアントからポリシー取得処理（既定で 1 時間おき）が実行されますと、変更した mof ファイルの内容がクライアントに反映されます。

次回の「ハードウェアインベントリサイクル」（既定で 7 日おき）の実行により、Bitlocker 情報が SCCM サイトサーバ送信されるようになります。

ご注意：

SCCM 2007 SP1/SP2 や SCCM 2007 R2/R3 を適用しますと、上記で修正した configuration.mof、sms_def.mof ファイルが上書きされてしまい、

追加書きした内容が消えてしまいます。そのため、SP1/SP2、R2/R3 を適用した後は、再度追記していただく必要がございます。

■ SCCM 2007 管理コンソールから各クライアントの Bitlocker 設定状況を確認する方法

SCCM 管理コンソールにて、該当クライアントのリソースエクスプローラやクエリなどを利用して Bitlocker 設定状況を確認することができます。

該当クライアントのリソースエクスプローラから確認する方法

SCCM 管理コンソールのコレクション内にある対象クライアントを右クリックして [開始] -> [リソースエクスプローラ] をクリックします。

該当クライアントのリソースエクスプローラが起動しますので、下記のとおり [リソースエクスプローラ] -> [ハードウェア] -> [Bitlocker] と展開することにより Bitlocker の設定状況が確認できます。

WQL クエリによる確認方法

1. SCCM 管理コンソールにて、[コンピュータの管理] -> [クエリ] を右クリックして [新規] -> [クエリ] を選択します。

2. クエリ新規作成ウィザードが起動しますので、[名前] に任意の名前を入力後、[クエリステートメントの編集] ボタンをクリックします。

3. 下記のプロパティ画面で [クエリ言語を表示する] をクリックします。

4. [クエリステートメント] 欄に例えば下記のような WQL クエリを入力して、[OK] ボタンをクリックします。

WQL クエリ例：C ドライブの Bitlocker が無効（ProtectionStatus 値が “0”）のクライアント OS を表示

-----------------------
select SMS_R_System.Name from SMS_R_System inner join SMS_G_System_BITLOCKER on SMS_G_System_BITLOCKER.ResourceID = SMS_R_System.ResourceId where SMS_G_System_BITLOCKER.DriveLetter = "C:" and SMS_G_System_BITLOCKER.ProtectionStatus = 0 and SMS_R_System.OperatingSystemNameandVersion like "Microsoft Windows NT%Workstation%"
-----------------------
※WQL クエリは、コレクション作成時に指定するクエリとしても利用できます。

5. 下記画面に戻りますので [OK] をクリックします。