10.4 セキュリティポリシーの作成

セキュリティポリシーは12種類あります。

デバイスのセキュリティ設定は、Endpoint Security Agentが適用するセキュリティポリシーによって制御されます。セキュリティ関連の機能範囲を制御するセキュリティポリシーは8種類あります。組織のニーズに応じてポリシーの一部、または全部を使用することができます。

ポリシー

目的

アプリケーション制御

アプリケーションの実行をブロックするか、またはアプリケーションへのインターネットアクセスを拒否します。インターネットアクセスがブロックまたは拒否されるアプリケーションを指定します。

通信ハードウェア

次の通信ハードウェアを無効にします: 1394-Firewire、IrDA-Infrared、Bluetooth、シリアル/パラレル、ダイヤルアップ、有線、および無線。各通信ハードウェアは個別に構成されます。これは一部のハードウェアタイプ(Bluetoothやダイヤルアップなど)を無効にし、その他を有効なままにできることを意味します。

データの暗号化

リムーバブルストレージデバイス上のファイルのデータ暗号化を有効にします。

ファイアウォール

ポート、プロトコル、ネットワークアドレス(IPおよびMAC)を無効にすることによって、ネットワーク接続を制御します。

Microsoftデータ暗号化

Microsoft BitLockerおよびMicrosoft Encrypting File System (EFS)をそれぞれ使用して、リムーバブルデータドライブおよび修正されたディスクフォルダの暗号化を管理します。

Scripting(スクリプト作成)

デバイス上でスクリプト(JScriptまたはVBScript)を実行します。スクリプトの実行を開始するトリガを指定できます。トリガは、エンドポイントセキュリティエージェントのアクション、場所の変更、または時間間隔に基づいて実行されます。

ストレージデバイス制御

CD/DVDドライブ、フロッピードライブ、およびリムーバブルストレージドライブへのアクセスを制御します。各ストレージデバイスタイプは個別に設定されます。それは有効にも無効にもできることを意味します。

USB接続

リムーバブルストレージデバイス、プリンタ、入力デバイス(キーボード、マウスなど)のUSBデバイスへのアクセスを制御します。個別のデバイスまたはデバイスのグループを指定できます。たとえば、特定のプリンタへのアクセスを無効にして、すべてのSanDisk USBデバイスへのアクセスを有効にできます。

VPN強制

デバイスの場所に基づいて、VPN接続を実施します。たとえば、デバイスの場所が不明な場合は、すべてのインターネットトラフィックがルーティングされるVPN接続を強制できます。

Wi-Fi

無線アダプタの無効化、無線接続のブロック、無線アクセスポイントへの接続の制御などを行います。

上記のセキュリティポリシー以外に、以下のセキュリティポリシーはEndpoint Security Agentの保護と設定をサポートします。この2つのポリシーは、その特性により、最初に作成して割り当てることをお勧めします。

ポリシー

目的

セキュリティの設定

エンドポイントセキュリティエージェントが変更されたり、アンインストールされないように保護します。

ZENworksエージェントセキュリティ設定を行う方法については、ZENworks Agentのセキュリティの設定を参照してください。

場所割り当て

デバイスまたはユーザに許可されている場所のリストを提供します。Endpoint Security Agentは、現在のネットワーク環境を評価して、許可されている場所のいずれかと一致するかどうかを確認します。 一致する場合、その場所はセキュリティ場所になり、エージェントはその場所に関連付けられているすべてのセキュリティポリシーを適用します。リスト内のどの場所とも一致しない場合は、不明な場所に関連付けられているセキュリティポリシーが適用されます。

場所ベースのポリシーを使用する場合は、ロケーション割り当てポリシーが各デバイスやユーザに割り当てられていることを確認する必要があります。デバイス、またはデバイスのユーザに場所割り当てポリシーが割り当てられていない場合は、Endpoint Security Agentはデバイスに場所ベースのポリシーを適用することができません。

セキュリティポリシーを作成するには、次の手順に従います。

  1. ZENworksコントロールセンターで、ポリシーをクリックして、[ポリシー]ページを表示します。

  2. [ポリシー]パネルで、新規>ポリシーの順にクリックして新規ポリシーの作成ウィザードを起動します。

  3. [Select Platform(プラットフォームの選択)]ページで、Windowsを選択して、次に次へをクリックします。

  4. [ポリシーカテゴリの選択]ページで、Windows Endpointセキュリティポリシーを選択して、次へをクリックします。

  5. [ポリシータイプの選択]ページで、作成するポリシーのタイプを選択して、次へをクリックします。

    場所を作成し、場所ベースのポリシーを使用する予定の場合は、1つ以上の場所割り当てポリシーを作成してデバイスやデバイスのユーザに割り当てる必要があります。 割り当てておかないと、作成した場所をデバイスが使用できず、場所ベースのポリシーが適用されません。

  6. [詳細の定義]ページで、ポリシーに名前を入力し、ポリシーを配置するフォルダを選択します。

    名前は選択したフォルダ内にあるすべてのポリシーの間で固有でなければなりません。

  7. (条件付き) [継承と場所割り当て]ページが表示されたら、以下の設定を行い、次へをクリックします。

    • 継承: このポリシーに、ポリシー階層で上位に割り当てられたポリシータイプと同じ設定を継承させるには、ポリシー階層からの継承の設定を選択したままにします。たとえば、このポリシーをデバイスに割り当て、別のポリシー(同じタイプ)をデバイスのフォルダに割り当てた場合、このオプションを有効にすると、このポリシーは、デバイスのフォルダに割り当てられたポリシーの設定を継承できるようになります。 このポリシーにポリシー設定を継承させたくない場合は、ポリシー階層からの継承設定の選択を解除します。

    • 場所割り当て: ポリシーは、グローバルにすることも、場所ベースにすることもできます。グローバルポリシーは、場所とは無関係に適用されます。場所ベースのポリシーは、デバイスがポリシーに割り当てられた場所内にあることを検知した場合にのみ適用されます。

      グローバルまたは場所ベースのいずれのポリシーかを選択します。場所ベースを選択する場合は、追加をクリックし、ポリシーを割り当てる場所を選択し、次にOKをクリックしてリストに追加します。

  8. ポリシー特有の設定を行い、[概要]ページに達するまで次へをクリックします。

    ポリシー設定に関する詳細は、ZENworksコントロールセンターでヘルプ>現在のページの順にクリックします。

  9. [概要]ページで、情報が正しいことを確認してください。間違っている場合は、戻るボタンをクリックして該当するウィザードページに戻り、変更します。 正しい場合は、以下のいずれかのオプションを選択し(必要に応じて)、次に完了をクリックします。

    • サンドボックスとして作成: サンドボックスバージョンとしてポリシーを作成する場合に、このオプションを選択します。サンドボックスバージョンは、発行するまでユーザやデバイスから分離されています。たとえば、サンドボックスバージョンをユーザやデバイスに割り当てることはできますが、発行して初めて適用されます。

    • 作成後に詳細を設定: ポリシーのプロパティページを表示するには、このオプションを選択します。これらのページでは、ポリシー設定を変更し、ユーザやデバイスに割り当てることができます。