16.18 判定ポリシー情報ファイル

判定ポリシー更新コマンド(cscpolimport)を実行する際に指定するファイルです。このファイルの内容が判定ポリシー情報としてインポートされます。

また,判定ポリシーエクスポートコマンド(cscrexport)を実行した場合は,このファイルと同じ形式のエクスポートファイルが出力されます。

ファイルの形式はテキストファイルで,作成場所やファイル名は任意です。

<この節の構成>
(1) 書式
(2) 定義内容
(3) 指定例

(1) 書式

判定ポリシー情報ファイルは,判定項目ごとにセクションを分けて記述します。

各セクションの記述形式は共通です。記述形式および注意事項を次に示します。

セクションごとの書式を次に示します。

(a) [Policy Information]

"Version","バージョン"↓

(b) [Security updates]

"Option","判定オプション"↓
"Conditon","判定条件"↓
"Latest Level","危険レベル"↓
"Exclude Option","除外オプション"↓
"ExpUpProgram","セキュリティ情報番号","文書番号"↓
"NeedUpProgram","セキュリティ情報番号","文書番号","対象OS","OSのService Pack","製品コード","製品バージョン","製品のService Pack","危険レベル","製品名","比較条件"↓
"NeedUpServicePackProduct","製品名","製品バージョン","製品のService Pack","Service Packの条件","OS種別","OSのServicePack","危険レベル"↓
"NeedUpServicePackOS","OS種別","OSのServicePack","Service Packの条件","危険レベル"↓

(c) [Anti-virus products]

"Option","判定オプション"↓
"VirusProduct","ウィルス対策製品名","製品バージョン","エンジンバージョン","ウィルス定義ファイルバージョン","ウィルス対策製品が非常駐のPCを危険PCと判定する","危険レベル"↓

(d) [Prohibited software]

"Option","判定オプション"↓
"UnjustSoftware","ソフトウェア名","バージョン","OS種別","危険レベル","比較条件"↓

(e) [Mandatory software]

"Option","判定オプション"↓
"NeedSoftware","ソフトウェア名","バージョン","OS種別","危険レベル","グループ名"↓
"DMClient","判定オプション","バージョン","危険レベル"↓
"DMSubManager","判定オプション","バージョン","危険レベル"↓
"DMRelayManager","判定オプション","バージョン","危険レベル"↓

(f) [PC security settings]

"Option","判定オプション"↓
"PCSecurity","グループ名","グループの判定オプション","項目名","項目の判定オプション","判定条件","比較値","危険レベル","プロパティに値が設定されていなかったときの扱い"↓

(g) [User definition]

"Option","判定オプション"↓
"UserDefJudge","判定項目名","クラス","プロパティ","比較条件","比較値","プロパティに値が設定されていなかったときの扱い","危険レベル"↓

(2) 定義内容

定義内容を指定する際の注意事項を次に示します。

セクションごとの定義内容を次に示します。

(a) [Policy Information]

[Policy Information]セクションの定義内容を次に示します。

表16-50 [Policy Information]セクションの定義内容

項番パラメーター識別名項目設定値必須/任意
1Versionバージョン090100必須

(b) [Security updates]

[Security updates]は,判定項目「更新プログラム」に対応するセクションです。

[Security updates]セクションの定義内容を次に示します。

表16-51 [Security updates]セクションの定義内容

項番パラメーター識別名項目設定値必須/任意
1Option判定オプション更新プログラムを判定対象とするかどうかを指定します。
0:判定対象としない
1:判定対象とする
必須
2Conditon判定条件判定条件を指定します。
1:クライアントに最新の更新プログラムが適用されているか判定する
2:管理者が指定した更新プログラムがクライアントに適用されているか判定する
必須
3Latest Level危険レベル判定条件で「1」を指定し,かつ最新の更新プログラムが適用されていない場合の危険レベルを次のコードで指定します。
200:注意
300:警告
400:危険
必須
4Exclude Option除外オプション判定条件で「1」を指定した場合,特定の更新プログラムを除外するかどうかを指定します。
0:除外しない
1:除外する
必須
5ExpUpProgramセキュリティ情報番号除外する更新プログラムにインポートする情報を指定します。設定値については,表16-10を参照してください。任意
6文書番号
7NeedUpProgramセキュリティ情報番号必須更新プログラム(パッチ情報)にインポートする情報を指定します。
設定値については,表16-11を参照してください。
任意
8文書番号
9対象OS
10OSのService Pack
11製品コード
12製品バージョン
13製品のService Pack
14危険レベル
15製品名
16比較条件
17NeedUpServicePackProduct製品名必須更新プログラム(サービスパック情報)にインポートする,製品のサービスパック情報を指定します。
設定値については,表16-12を参照してください。
任意
18製品バージョン
19製品のService Pack
20Service Packの条件
21OS種別
22OSのServicePack
23危険レベル
24NeedUpServicePackOSOS種別必須更新プログラム(サービスパック情報)にインポートする,OSのサービスパック情報を指定します。
設定値については,表16-13を参照してください。
任意
25OSのServicePack
26Service Packの条件
27危険レベル

(c) [Anti-virus products]

[Anti-virus products]は,判定項目「ウィルス対策製品」に対応するセクションです。

[Anti-virus products]セクションの定義内容を次に示します。

表16-52 [Anti-virus products]セクションの定義内容

項番パラメーター識別名項目設定値必須/任意
1Option判定オプションウィルス対策製品を判定対象とするかどうかを指定します。
0:判定対象としない
1:判定対象とする
必須
2VirusProductウィルス対策製品名判定するウィルス対策製品にインポートする情報を指定します。
設定値については,表16-14を参照してください。
任意
3製品バージョン
4エンジンバージョン
5ウィルス定義ファイルバージョン
6ウィルス対策製品が非常駐のPCを危険PCと判定する
7危険レベル

(d) [Prohibited software]

[Prohibited software]は,判定項目「不正ソフトウェア」に対応するセクションです。

[Prohibited software]セクションの定義内容を次に示します。

表16-53 [Prohibited software]セクションの定義内容

項番パラメーター識別名項目設定値必須/任意
1Option判定オプション不正ソフトウェアを判定対象とするかどうかを指定します。
0:判定対象としない
1:判定対象とする
必須
2UnjustSoftwareソフトウェア名判定する不正ソフトウェアにインポートする情報を指定します。
設定値については,表16-15を参照してください。
任意
3バージョン
4OS種別
5危険レベル
6比較条件

(e) [Mandatory software]

[Mandatory software]は,判定項目「必須ソフトウェア」に対応するセクションです。

[Mandatory software]セクションの定義内容を次に示します。

表16-54 [Mandatory software]セクションの定義内容

項番パラメーター識別名項目設定値必須/任意
1Option判定オプション必須ソフトウェアを判定対象とするかどうかを指定します。
0:判定対象としない
1:判定対象とする
必須
2NeedSoftwareソフトウェア名判定する必須ソフトウェアにインポートする情報を指定します。
設定値については,表16-16を参照してください。
任意
3バージョン
4OS種別
5危険レベル
6グループ名
7DMClient判定オプションJP1/NETM/DM Clientを判定対象とするかどうかを指定します。
0:判定対象としない
1:判定対象とする
必須
8バージョンJP1/NETM/DM Clientのバージョンを60バイト以内の文字列で指定します。
9危険レベル危険レベルを次のコードで指定します。
200:注意
300:警告
400:危険
10DMSubManager判定オプションJP1/NETM/DM Clientを判定対象とするかどうかを指定します。
0:判定対象としない
1:判定対象とする
必須
11バージョンJP1/NETM/DM Clientのバージョンを60バイト以内の文字列で指定します。
12危険レベル危険レベルを次のコードで指定します。
200:注意
300:警告
400:危険
13DMRelayManager判定オプションJP1/NETM/DM Clientを判定対象とするかどうかを指定します。
0:判定対象としない
1:判定対象とする
必須
14バージョンJP1/NETM/DM Clientのバージョンを60バイト以内の文字列で指定します。
15危険レベル危険レベルを次のコードで指定します。
200:注意
300:警告
400:危険

(f) [PC security settings]

[PC security settings]は,判定項目「PCセキュリティ設定」に対応するセクションです。

[PC security settings]セクションの定義内容を次に示します。

表16-55 [PC security settings]セクションの定義内容

項番パラメーター識別名項目設定値必須/任意
1Option判定オプションPCセキュリティ設定を判定対象とするかどうかを指定します。
0:判定対象としない
1:判定対象とする
必須
2PCSecurityグループ名グループ名を指定します。
設定値については,表16-56を参照してください。
任意
3グループの判定オプション指定したグループを判定対象とするかどうかを指定します。「グループ名」で複数の項目を含むグループを指定した場合,グループ内で同じ値を指定してください。
0:判定対象としない
1:判定対象とする
4項目名判定項目名を指定します。
設定値については,表16-56を参照してください。
5項目の判定オプション指定した判定項目を判定対象とするかどうかを指定します。「グループ名」で項目を一つしか含まないグループを指定した場合,「グループの判定オプション」と同じ値を指定してください。
0:判定対象としない
1:判定対象とする
6判定条件判定条件を指定します。
設定値については,表16-56を参照してください。
7比較値比較値を指定します。
設定値については,表16-56を参照してください。
8危険レベル危険レベルを次のコードで指定します。
200:注意
300:警告
400:危険
9判定項目が存在しないときの扱い判定項目が存在しなかったときの扱いを指定します。
1:設定した危険レベル
2:安全とする
3:判定項目なし
4:不明とする
注※
設定値の詳細と,対応するPCセキュリティ設定の項目名を次に示します。

表16-56 [PC security settings]セクションの設定値の詳細

項番対応する項目名[PC security settings]セクションの設定値
グループ名項目名判定条件比較値
1Guestアカウントの設定AccountsGuest account settings1:Guestアカウントがあり,有効になっている
2:Guestアカウントがある
2脆弱なパスワードPasswordsVulnerable password
3無期限パスワードPassword that never expires
4パスワード更新経過日数Days since the password was updated1~1000
5自動ログオンLogonAutomatic logon settings
6パワーオンパスワードPower-on password settings1:パワーオンパスワードの設定がない
2:パワーオンパスワードの設定がない,または未実装である
7共有フォルダの設定SharesShared folder settings
8匿名接続による制限Anonymous connectionsAnonymous connections are restricted
9不要サービス稼働状態ServicesUnnecessary services are running
10Windowsファイアウォールの設定FirewallWindows Firewall Settings1:Windowsファイアウォールが無効になっている
2:Windowsファイアウォールが無効,または例外を許可する
11Windows自動更新の設定Automatic updatesSettings for Windows automatic updates
12スクリーンセーバーの設定ScreensaverScreensaver settings
13パスワードによる保護Password protection of screensaver
14BitLockerによるドライブ暗号化Drive EncryptionBitLocker Drive Encryption1:システムドライブを暗号化していない
2:暗号化していないドライブがある
(凡例)
-:設定なし

(g) [User definition]

[User definition]は,判定項目「ユーザ定義」に対応するセクションです。

[User definition]セクションの定義内容を次に示します。

表16-57 [User definition]セクションの定義内容

項番パラメーター識別名項目設定値必須/任意
1Option判定オプションウィルス対策製品を判定対象とするかどうかを指定します。
0:判定対象としない
1:判定対象とする
必須
2UserDefJudge判定項目名判定するユーザ定義にインポートする情報を指定します。設定値については,表16-17を参照してください。任意
3クラス
4プロパティ
5比較条件
6比較値
7プロパティに値が設定されていなかったときの扱い
8危険レベル

(3) 指定例

[Policy Information]↓
"Version","090100"↓
[Security updates]↓
"Option","1"↓
"Conditon","2"↓
"Latest Level","300"↓
"Exclude Option","0"↓
"ExpUpProgram","09-032","923854"↓
"ExpUpProgram","09-033","923855"↓
"NeedUpProgram","09-040","998765","0000","0","0","","0","300","",""↓
"NeedUpProgram","09-050","998855","0039","0","1","7.0","0","300","",""↓
"NeedUpProgram","09-060","999855","0028","1","99","2003","0","300","SoftA","3"↓
"NeedUpServicePackOS","0014","2","1","200"↓
"NeedUpServicePackOS","0028","1","0","400"↓
"NeedUpServicePackProduct","1","6.0","1","0","0000","0","300"↓
[Anti-virus products]↓
"Option","1"↓
"VirusProduct","AntiVirus A","10.2.1.5","5.2.3.001","20100215.001","1","400"↓
"VirusProduct","AntiVirus B","","","","0","300"↓
[Prohibited software]↓
"Option","1"↓
"UnjustSoftware","SoftA","","0000","200","2"↓
"UnjustSoftware","SoftB","0100","0200","300","1"↓
[Mandatory software]↓
"Option","0"↓
"NeedSoftware","""SoftC""","""""","0000","200","SoftC"↓
"NeedSoftware","""SoftD"",""SoftE""","""0100"",""0200""","0017","200","SoftDE"↓
"DMClient","1","0910,"200"↓
"DMSubManager","0","","200"↓
"DMRelayManager","0","","200"↓
[PC security settings]↓
"Option","1"↓
"PCSecurity","Accounts","1","Guest account settings","1","1","","200","3"↓
"PCSecurity","Passwords","1","Vulnerable password","0","","","300","1"↓
"PCSecurity","Passwords","1","Password that never expires","0","","","300","3"↓
"PCSecurity","Passwords","1","Days since the password was updated","0","","180","200","4"↓
"PCSecurity","Logon","0","Automatic logon settings","0","","","200","3"↓
"PCSecurity","Logon","0","Power-on password settings","0","1","","200","3"↓
"PCSecurity","Shares","0","Shared folder settings","0","","","200","3"↓
"PCSecurity","Firewall","0","Windows Firewall Settings","0","1","","200","3"↓
"PCSecurity","Automatic updates","0","Settings for Windows automatic updates","0","","","200","3"↓
"PCSecurity","Screensaver","0","Screensaver settings","0","","","200","3"↓
"PCSecurity","Screensaver","0","Password protection of screensaver","0","","","200","3"↓
"PCSecurity","Drive Encryption","1","BitLocker Drive Encryption","1","2","","400","2"↓
[User definition]↓
"Option","1"↓
"UserDefJudge","ItemA","""資産情報""","""資産番号""","""1""","""100000001""","""4""","200"↓
"UserDefJudge","ItemB","""資産情報"",""ハードウェア資産情報""","""機器状態"",""空ディスク容量""","""2"",""7""","""100"",""100000""","""1"",""4""","200"↓