10.4 セキュリティポリシーの作成
セキュリティポリシーは11種類あります。
デバイスのセキュリティ設定は、Endpoint Security Agentが適用するセキュリティポリシーによって制御されます。セキュリティ関連の機能範囲を制御するセキュリティポリシーは8種類あります。組織のニーズに応じてポリシーの一部、または全部を使用することができます。
|
ポリシー |
目的 |
|
|---|---|---|
|
|
アプリケーション制御 |
アプリケーションの実行をブロックするか、またはアプリケーションへのインターネットアクセスを拒否します。インターネットアクセスがブロックまたは拒否されるアプリケーションを指定します。 |
|
|
通信ハードウェア |
次の通信ハードウェアを無効にします: 1394-Firewire、IrDA-Infrared、Bluetooth、シリアル/パラレル、ダイヤルアップ、有線、および無線。各通信ハードウェアは個別に構成されます。これは一部のハードウェアタイプ(Bluetoothやダイヤルアップなど)を無効にし、その他を有効なままにできることを意味します。 |
|
|
データの暗号化 |
固定ディスクおよびリムーバブルストレージデバイス上のファイルのデータ暗号化を有効にします。固定ディスクの場合、暗号化を提供するフォルダ(Safe Harborフォルダと呼ばれます)を指定します。他のすべての固定ディスクフォルダは影響されません。 |
|
|
ファイアウォール |
ポート、プロトコル、ネットワークアドレス(IPおよびMAC)を無効にすることによって、ネットワーク接続を制御します。 |
|
|
Scripting(スクリプト作成) |
デバイス上でスクリプト(JScriptまたはVBScript)を実行します。スクリプトの実行を開始するトリガを指定できます。トリガは、エンドポイントセキュリティエージェントのアクション、場所の変更、または時間間隔に基づいて実行されます。 |
|
|
ストレージデバイス制御 |
CD/DVDドライブ、フロッピードライブ、およびリムーバブルストレージドライブへのアクセスを制御します。各ストレージデバイスタイプは個別に設定されます。それは有効にも無効にもできることを意味します。 |
|
|
USB接続 |
リムーバブルストレージデバイス、プリンタ、入力デバイス(キーボード、マウスなど)のUSBデバイスへのアクセスを制御します。個別のデバイスまたはデバイスのグループを指定できます。たとえば、特定のプリンタへのアクセスを無効にして、すべてのSandisk USBデバイスへのアクセスを有効にできます。 |
|
|
VPN強制 |
デバイスの場所に基づいて、VPN接続を実施します。たとえば、デバイスの場所が不明な場合は、すべてのインターネットトラフィックがルーティングされるVPN接続を強制できます。 |
|
|
Wi-Fi |
無線アダプタの無効化、無線接続のブロック、無線アクセスポイントへの接続の制御などを行います。 |
上記のセキュリティポリシー以外に、以下のセキュリティポリシーはEndpoint Security Agentの保護と設定をサポートします。この2つのポリシーは、その特性により、最初に作成して割り当てることをお勧めします。
|
ポリシー |
目的 |
|
|---|---|---|
|
|
セキュリティの設定 |
エンドポイントセキュリティエージェントが変更されたり、アンインストールされないように保護します。 ZENworks 11 SP2では、このポリシーはZENworksエージェントセキュリティ設定に置き換えられました(>>>)。ポリシーは、SP2より以前のエージェントを実行しているデバイスでそのまま使用し続ける必要があります。 ZENworksエージェントセキュリティ設定を行う方法については、セクション 4.2, Adaptive Agentのセキュリティの設定を参照してください。 |
|
|
場所割り当て |
デバイスまたはユーザに許可されている場所のリストを提供します。Endpoint Security Agentは、現在のネットワーク環境を評価して、許可されている場所のいずれかと一致するかどうかを確認します。 一致する場合、その場所はセキュリティ場所になり、エージェントはその場所に関連付けられているすべてのセキュリティポリシーを適用します。リスト内のどの場所とも一致しない場合は、不明な場所に関連付けられているセキュリティポリシーが適用されます。 場所ベースのポリシーを使用する場合は、ロケーション割り当てポリシーが各デバイスやユーザに割り当てられていることを確認する必要があります。デバイス、またはデバイスのユーザに場所割り当てポリシーが割り当てられていない場合は、Endpoint Security Agentはデバイスに場所ベースのポリシーを適用することができません。 |
|
|
セキュリティポリシーの作成方法を説明したセキュリティポリシーを作成するには、次の手順に従います。
-
ZENworksコントロールセンターで、[]をクリックして、[ポリシー]ページを表示します。
-
[ポリシー]パネルで、>の順にクリックして新規ポリシーの作成ウィザードを起動します。
-
[Select Platform(プラットフォームの選択)]ページで、を選択して、次にをクリックします。
![新規ポリシーの作成ウィザードの[ポリシーカテゴリの選択]ページ](../graphics/es_npw_category_a.png "新規ポリシーの作成ウィザードの[ポリシーカテゴリの選択]ページ")
-
[ポリシーカテゴリの選択]ページで、を選択して、をクリックします。
![新規ポリシーの作成ウィザードの[ポリシータイプの選択]ページ](../graphics/es_npw_type_a.png "新規ポリシーの作成ウィザードの[ポリシータイプの選択]ページ")
-
[ポリシータイプの選択]ページで、作成するポリシーのタイプを選択して、をクリックします。
場所を作成し、場所ベースのポリシーを使用する予定の場合は、1つ以上の場所割り当てポリシーを作成してデバイスやデバイスのユーザに割り当てる必要があります。 割り当てておかないと、作成した場所をデバイスが使用できず、場所ベースのポリシーが適用されません。
-
[詳細の定義]ページで、ポリシーに名前を入力し、ポリシーを配置するフォルダを選択します。
名前は選択したフォルダ内にあるすべてのポリシーの間で固有でなければなりません。
-
(条件付き) [継承と場所割り当て]ページが表示されたら、以下の設定を行い、をクリックします。
-
継承: このポリシーに、ポリシー階層で上位に割り当てられたポリシータイプと同じ設定を継承させるには、の設定を選択したままにします。たとえば、このポリシーをデバイスに割り当て、別のポリシー(同じタイプ)をデバイスのフォルダに割り当てた場合、このオプションを有効にすると、このポリシーは、デバイスのフォルダに割り当てられたポリシーの設定を継承できるようになります。 このポリシーにポリシー設定を継承させたくない場合は、設定の選択を解除します。
-
場所割り当て: ポリシーは、グローバルにすることも、場所ベースにすることもできます。グローバルポリシーは、場所とは無関係に適用されます。場所べースのポリシーは、デバイスがポリシーに割り当てられた場所内にあることを検知した場合にのみ適用されます。
グローバルまたは場所ベースのいずれのポリシーかを選択します。場所ベースを選択する場合は、をクリックし、ポリシーを割り当てる場所を選択し、次にをクリックしてリストに追加します。
-
-
ポリシー特有の設定を行い、[概要]ページに達するまでをクリックします。
ポリシー設定に関する詳細は、ZENworksコントロールセンターで>の順にクリックします。
-
[概要]ページで、情報が正しいことを確認してください。間違っている場合は、ボタンをクリックして該当するウィザードページに戻り、変更します。 正しい場合は、以下のいずれかのオプションを選択し(必要に応じて)、次にをクリックします。
-
サンドボックスとして作成: サンドボックスバージョンとしてポリシーを作成する場合に、このオプションを選択します。サンドボックスバージョンは、発行するまでユーザやデバイスから分離されています。たとえば、サンドボックスバージョンをユーザやデバイスに割り当てることはできますが、発行して初めて適用されます。
-
作成後に詳細を設定: ポリシーのプロパティページを表示するには、このオプションを選択します。これらのページでは、ポリシー設定を変更し、ユーザやデバイスに割り当てることができます。
-