2.9.4 セキュリティポリシーの管理
セキュリティ画面の[セキュリティポリシー]画面で、セキュリティポリシーを作成して管理します。ここでは、セキュリティポリシーの管理について説明します。
- セキュリティポリシーを作成する
-
組織のセキュリティ方針を基にセキュリティポリシーを作成します。セキュリティポリシーは複数作成できます。部署ごとに異なるセキュリティポリシーを作成したり、特別な管理が必要なコンピュータ用のセキュリティポリシーを作成したりできます。
- セキュリティポリシーをコンピュータに割り当てる
-
コンピュータのセキュリティ状況を把握するためには、作成したセキュリティポリシーをコンピュータまたはグループに割り当てる必要があります。
- セキュリティポリシーを編集する
-
セキュリティトレンドが変化したり、組織のセキュリティ方針が変更になった場合は、セキュリティポリシーを編集します。セキュリティトレンドは、コンピュータやネットワークの環境とともに変化しています。常にセキュリティトレンドを組織内に取り込み続けることで、強固なセキュリティ状況の管理を実現できます。
- セキュリティポリシーを削除する
-
管理体制の変更やセキュリティポリシーの統合に伴って、不要になったセキュリティポリシーがある場合は削除します。
- 〈この項の構成〉
(1) セキュリティポリシーに設定できる項目
セキュリティポリシーに設定できる項目を次に示します。
- セキュリティ設定項目
-
- 更新プログラム
-
Windows自動更新の実行および更新プログラムの適用状況が適正かどうかを判定できます。不適正だった場合に自動的に対策する設定もできます。
- ウィルス対策製品
-
ウィルス対策製品のインストール状況や設定状況が適正かどうかを判定できます。この項目は、判定に必要な情報をコンピュータから収集できる場合に判定されます。
- 使用ソフトウェア
-
ソフトウェアのインストール状況が適正かどうかを判定できます。不適正だった場合に自動的に対策する設定もできます。
- サービスのセキュリティ設定
-
特定のサービスの稼働状況が適正かどうかを判定できます。不適正だった場合に自動的に対策する設定もできます。
- OSのセキュリティ設定
-
OSのユーザーアカウントやスクリーンセーバー、共有フォルダの有無などの、OSのセキュリティ設定が適正かどうかを判定できます。不適正だった場合に自動的に対策する設定もできます。
- ユーザー定義のセキュリティ設定
-
セキュリティ設定に関する任意のポリシーを設定して、セキュリティ設定が適正かどうかを任意の判定条件で判定できます。
- 禁止操作
-
印刷操作や各種デバイスの利用、ソフトウェアの利用を抑止できます。
- 操作ログ
-
操作ログの取得対象や不審と見なす操作の条件を設定できます。
- アクション項目
-
- 利用者へのメッセージ通知
-
セキュリティ状況の判定結果に応じて、自動的にコンピュータにメッセージを通知できます。
- ネットワーク接続制御
-
セキュリティ状況の判定結果に応じて、自動的にコンピュータのネットワーク接続を制御できます。
- 割り当てグループ
-
- 対象の構成
-
セキュリティポリシーを割り当てるグループを設定できます。個々のコンピュータにセキュリティポリシーを割り当てたい場合は、セキュリティポリシー作成後に、メニューエリアの[機器のセキュリティ状態]画面から割り当てます。
以降では、セキュリティポリシーに設定できる項目の詳細について説明します。
セキュリティ設定項目
|
設定項目 |
説明 |
自動対策 |
|
|---|---|---|---|
|
更新プログラム |
Windows自動更新を実行 |
Windows自動更新が有効になっているかどうかを判定できます。 最新の更新プログラムの適用を徹底するためには、自動更新の適用をお勧めします。Windows自動更新が有効になっているかどうかを確認することで、更新プログラムの適用を徹底できます。 |
○ ※1 |
|
すべての更新プログラムの適用状況 |
更新プログラムが適用されているかを判定できます。 更新プログラムの適用状況を確認することで、OSが最新状態または適正な状態に保たれているかどうかを管理できます。 |
○ |
|
|
指定した更新プログラムの適用状況 |
|||
|
ウィルス対策製品 |
インストール |
JP1/IT Desktop Managementがサポートするウィルス対策製品が導入されているかどうかを判定できます。セキュリティポリシーに設定した製品のうち、どれか1つがインストールされていれば導入されていると見なされます。 |
− |
|
エンジンバージョン |
ウィルスを検知するためのスキャンエンジンのバージョンが最新かどうかを判定できます。 最新バージョンが検出されてから、スキャンエンジンを更新するまでの猶予期間を設定できます。猶予期間内は、古いバージョンでも適正と見なされます。 |
||
|
ウィルス定義ファイルのバージョン |
ウィルス定義ファイルが最新かどうかを判定できます。 最新バージョンが検出されてから、ウィルス定義ファイルを更新するまでの猶予期間を設定できます。猶予期間内は、古いバージョンでも適正と見なされます。 |
||
|
自動保護(常駐設定) |
自動保護(常駐設定)の設定が有効かどうかを判定できます。 |
||
|
ウィルススキャン最終完了日時 |
ウィルススキャン最終完了日時が指定した日数(猶予期間)以内かどうかを判定できます。 |
||
|
使用ソフトウェア |
使用必須ソフトウェア |
指定したソフトウェアがインストールされているかどうかを判定できます。 組織内で規定したソフトウェアのインストール状況を確認することで、環境の統制をチェックできます。使用必須ソフトウェアは複数設定できます。 |
○ |
|
使用禁止ソフトウェア |
使用を禁止したソフトウェアがインストールされていないかどうかを判定できます。 セキュリティ上問題のあるファイル共有ソフトウェアなどがインストールされていないかを確認することで、情報漏えいを防止できます。使用禁止ソフトウェアは複数設定できます。 |
○ |
|
|
サービスのセキュリティ設定※2 |
使用を禁止したサービスが稼働していないかどうかを判定できます。組織内で規定した使用を禁止したサービスの稼働を確認することで、コンピュータの不正利用をチェックできます。 なお、サービスは複数設定できます。設定したサービスが稼働しているかどうかで判定されます。 |
○ ※3 |
|
|
OSのセキュリティ設定 |
Guestアカウント |
有効なGuestアカウントがないかどうかを判定できます。 Guestアカウントがあると、誰でもコンピュータを利用できてしまいます。Guestアカウントを使用できないことを確認することで、コンピュータの不正利用を防止できます。 |
○ |
|
パスワードの安全性※4 |
脆弱なパスワードが設定されたアカウントがないかどうかを判定できます。 脆弱なパスワードは、簡単に解読されてしまうおそれがあります。脆弱なパスワードが設定されていないことを確認することで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。 |
− |
|
|
無期限パスワード※4 |
パスワードが無期限に設定されたアカウントがないかどうかを判定します。 同じパスワードが長期間使われると、その分解読されやすくなります。無期限のパスワードが設定されていないか確認することで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。 |
○ |
|
|
パスワード更新からの経過日数※4 |
パスワードの更新経過日数が、設定した日数を超えていないかどうかを判定できます。 同じパスワードが長期間使われると、その分解読されやすくなります。パスワードの使用日数をチェックすることで、パスワードの解読によるコンピュータへの不正アクセスを防止できます。 |
− |
|
|
自動ログオン |
自動ログオンが設定されていないかどうかを判定できます。 OSの自動ログオンが設定されていると、ほかのユーザーがコンピュータを起動しただけで不正に利用できてしまいます。自動ログオンが設定されていないかどうかを確認することで、コンピュータの不正利用を防止できます。 |
○ |
|
|
パワーオンパスワード |
パワーオンパスワードが設定されているかどうかを判定します。また、パワーオンパスワード機能が実装されているかどうかを判定します。 パワーオンパスワードが設定されているかどうかを確認することで、コンピュータの不正利用を防止できます。 |
− |
|
|
スクリーンセーバーのパスワード保護※4 |
スクリーンセーバーにパスワードによる保護が設定されているかどうかを判定できます。 スクリーンセーバーのパスワード保護を設定していないと、離席時にコンピュータを不正利用されるおそれがあります。スクリーンセーバーのパスワード保護の設定を確認することで、コンピュータの不正利用を防止できます。 |
○ ※5 |
|
|
スクリーンセーバー起動までの待ち時間※4 |
スクリーンセーバーの起動時間が指定した時間以内に設定されているかどうかを判定できます。 パスワード保護されたスクリーンセーバーが起動していない状態でコンピュータが放置されると、その間に不正利用されるおそれがあります。スクリーンセーバーの起動時間の設定を確認することで、コンピュータの不正利用を防止できます。 |
○ ※5、※6 |
|
|
共有フォルダ |
共有フォルダが設定されていないかどうかを判定できます。 不用意に共有フォルダが設定されていると、コンピュータへ不正アクセスされるおそれがあります。共有フォルダが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 |
○ |
|
|
管理共有 |
管理共有が設定されていないかどうかを判定できます。 管理共有が有効になっていると、コンピュータへ不正アクセスされるおそれがあります。管理共有が無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 |
○ |
|
|
匿名接続 |
制限なしの匿名接続が設定されていないかどうかを判定できます。 制限なしの匿名接続が有効になっていると、コンピュータへ不正アクセスされるおそれがあります。制限なしの匿名接続が無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 |
○ |
|
|
Windowsファイアウォール※7、※8 |
Windowsファイアウォールが有効になっているかどうか、および実装されているかどうかを判定できます。 Windowsファイアウォールが有効になっていないと、コンピュータへ不正アクセスされるおそれがあります。Windowsファイアウォールが有効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 |
○ ※1 |
|
|
DCOM |
DCOMが無効になっているかどうかを判定できます。 DCOMが有効になっていると、コンピュータへ不正アクセスされるおそれがあります。DCOMが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 |
○ |
|
|
リモートデスクトップ※8、※9 |
リモートデスクトップが無効になっているかどうか、および実装されているかどうかを判定できます。 リモートデスクトップが有効になっていると、コンピュータへ不正アクセスされるおそれがあります。リモートデスクトップが無効になっているかどうか確認することで、コンピュータへの不正アクセスを防止できます。 |
○ ※1 |
|
|
ユーザー定義のセキュリティ設定(システム情報) |
ホスト名 |
コンピュータ情報のホスト名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
コンピュータ名 |
コンピュータ情報のコンピュータ名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
説明 |
コンピュータ情報のコンピュータの説明を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
コンピュータのモデル |
コンピュータ情報のコンピュータのモデルを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
コンピュータのメーカー |
コンピュータ情報のコンピュータのメーカーを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
コンピュータのUUID |
コンピュータ情報のコンピュータのユニバーサルユニーク識別子(UUID)を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
コンピュータのシリアルナンバー |
コンピュータ情報のコンピュータのシリアルナンバーを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
CPU |
コンピュータ情報のCPUを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
メモリ |
コンピュータ情報のメモリを、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
ディスクの空き容量 |
コンピュータ情報のディスクの空き容量を、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
ドライブ数※15 |
システムドライブのドライブ数を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
ドライブレター |
システムドライブのドライブレターを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
論理ドライブの空き容量 |
システムドライブの論理ドライブの空き容量を判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
論理ドライブの容量 |
システムドライブの論理ドライブの容量を判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
論理ドライブのファイルシステム |
システムドライブの論理ドライブのファイルシステムを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
ハードディスクのモデル |
システムドライブのハードディスクのモデルを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
ハードディスクの容量 |
システムドライブのハードディスクの容量を、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
ハードディスクのインタフェース |
システムドライブのハードディスクのインタフェースを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
BIOS名 |
BIOS情報のBIOS名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
BIOSのメーカー |
BIOS情報のBIOSのメーカーを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
BIOSのシリアルナンバー |
BIOS情報のBIOSのシリアルナンバーを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
BIOSのバージョン(BIOS) |
BIOS情報のBIOSのバージョン(BIOS)を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
BIOSのバージョン(SMBIOS) |
BIOS情報のBIOSのバージョン(SMBIOS)を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
AMTファームウェアバージョン |
AMTファームウェアバージョンを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
モニタの電源を切る(AC) |
電源管理のモニタ電源が切れるまでの時間(AC)を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647分です。 |
− |
|
|
モニタの電源を切る(DC) |
電源管理のモニタ電源が切れるまでの時間(DC)を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647分です。 |
− |
|
|
システムスタンバイ(AC) |
電源管理のシステムスタンバイまでの時間(AC)を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647分です。 |
− |
|
|
システムスタンバイ(DC) |
電源管理のシステムスタンバイまでの時間(DC)を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647分です。 |
− |
|
|
システム休止状態(AC) |
電源管理のシステムが休止状態に入るまでの時間(AC)を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647分です。 |
− |
|
|
システム休止状態(DC) |
電源管理のシステムが休止状態に入るまでの時間(DC)を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647分です。 |
− |
|
|
ハードディスクの電源を切る(AC) |
電源管理のハードディスクの電源が切れるまでの時間(AC)を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647分です。 |
− |
|
|
ハードディスクの電源を切る(DC) |
電源管理のハードディスクの電源が切れるまでの時間(DC)を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647分です。 |
− |
|
|
最終ログオンユーザーのユーザー名 |
ユーザー情報の、最後にログオンしたユーザーのユーザー名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
最終ログオンユーザーのアカウント名 |
ユーザー情報の、最後にログオンしたユーザーのドメイン名(またはコンピュータ名)付きアカウント名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
最終ログオンユーザーの説明 |
ユーザー情報の、最後にログオンしたユーザーの説明を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
OS |
OS情報のOSを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
OSのサービスパック |
OS情報のOSのサービスパックを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
OSのシリアルナンバー |
OS情報のOSのシリアルナンバーを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
OSの所有者 |
OS情報のOSの所有者を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
OSの会社名 |
OS情報のOSの会社名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
Windows Installerのバージョン |
OS情報のWindows Installerのバージョンを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
IEバージョン |
OS情報のIEバージョンを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
IEサービスパック |
OS情報のIEサービスパックを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
Windows Updateのエージェントバージョン |
OS情報のWindows Updateのエージェントバージョンを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
ネットワークアダプタ |
ネットワーク情報のネットワークアダプタを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
MACアドレス |
ネットワーク情報のMACアドレスを、判定の対象項目にできます。 判定値に入力できる値は、1〜17文字です。 |
− |
|
|
ドメイン(ワークグループ) |
ネットワーク情報のドメイン(ワークグループ)を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
ユーザー定義のセキュリティ設定(ハードウェア情報) |
コア数※15 |
CPU情報のコア数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
プロセッサ |
CPU情報のプロセッサを判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
メモリ容量 |
メモリ情報のメモリ容量を、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
メモリスロット容量 |
メモリ情報のメモリスロット容量を、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
仮想メモリ容量 |
メモリ情報の仮想メモリ容量を、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
ハードディスク数※15 |
ハードディスク情報のハードディスク数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
ハードディスクのモデル |
ハードディスク情報のハードディスクのモデルを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
ハードディスクの容量 |
ハードディスク情報のハードディスクの容量を、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
ハードディスクのインタフェース |
ハードディスク情報のハードディスクのインタフェースを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
論理ドライブのドライブレター |
ハードディスク情報の論理ドライブのドライブレターを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
論理ドライブの空き容量 |
ハードディスク情報の論理ドライブの空き容量を、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
論理ドライブの容量 |
ハードディスク情報の論理ドライブの容量を、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
論理ドライブのファイルシステム |
ハードディスク情報の論理ドライブのファイルシステムを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
CD-ROMドライブ数※15 |
CD-ROMドライブ情報のCD-ROMドライブ数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
CD-ROMドライブのモデル |
CD-ROMドライブ情報のCD-ROMドライブのモデルを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
リムーバブルドライブ数※15 |
リムーバブルドライブ情報のリムーバブルドライブ数を、判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
プリンタ数※15 |
プリンタ情報のプリンタ数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
プリンタ名 |
プリンタ情報のプリンタ名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
プリンタドライバ |
プリンタ情報のプリンタドライバを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
プリンタ共有名 |
プリンタ情報のプリンタ共有名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
プリンタサーバ名 |
プリンタ情報のプリンタサーバ名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
プリンタポート |
プリンタ情報のプリンタポートを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
ビデオコントローラ数※15 |
ビデオコントローラ情報のビデオコントローラ数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
ビデオチップ |
ビデオコントローラ情報のビデオチップを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
ビデオカードのVRAM容量 |
ビデオコントローラ情報のビデオカードのVRAM容量を、判定の対象項目にできます。 判定値に入力できる値は、0〜9,223,372,036,854,775,807バイトです。 |
− |
|
|
ビデオドライバ |
ビデオコントローラ情報のビデオドライバを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
サウンドカード数※15 |
サウンドカード情報のサウンドカード数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
サウンドカード名 |
サウンドカード情報のサウンドカード名を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
サウンドカードメーカー |
サウンドカード情報のサウンドカードのメーカーを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
ネットワークアダプタ数※15 |
ネットワークアダプタ情報のネットワークアダプタ数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
ネットワークアダプタ |
ネットワークアダプタ情報のネットワークアダプタを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
モニタ数※15 |
モニタ情報のモニタ数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
モニタ |
モニタ情報のモニタを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
キーボード数※15 |
キーボード情報のキーボード数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
キーボード |
キーボード情報のキーボードを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
マウス数※15 |
マウス情報のマウス数を判定の対象項目にできます。 判定値に入力できる値は、0〜2,147,483,647個です。 |
− |
|
|
マウス |
マウス情報のマウスを、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
ユーザー定義のセキュリティ設定(追加管理項目) |
追加管理項目(数値型)※15 |
データ型が数値型の追加管理項目を、判定の対象項目にできます。 判定値に入力できる数値は、-2,147,483,647〜2,147,483,647です。 |
− |
|
追加管理項目(選択型) |
データ型が選択型の追加管理項目を、判定の対象項目にできます。 判定値には、プルダウンメニューに表示される値を設定できます。 |
− |
|
|
追加管理項目(テキスト型) |
データ型がテキスト型の追加管理項目を、判定の対象項目にできます。 判定値に入力できる値は、1〜256文字です。 |
− |
|
|
禁止操作※2 |
印刷の抑止 |
印刷操作を抑止できます。 印刷を許可するパスワードも設定できます。 |
− |
|
USBデバイスの読み取りと書き込みの抑止※10 |
USBデバイスの書き込みと読み取りを抑止できます。 |
− |
|
|
登録済USBデバイスの使用許可 |
ハードウェア資産情報が登録済みのUSBデバイスだけ、書き込みと読み取りを許可できます。 |
− |
|
|
USBデバイスの書き込みの抑止※10、※11 |
USBデバイスの書き込みだけを抑止できます。 |
− |
|
|
内蔵CD/DVDドライブの書き込みの抑止※12、※13 |
内蔵CD/DVDへの書き込みを抑止できます。 |
− |
|
|
CD/DVDドライブの書き込みの抑止※13、※14 |
CD/DVDへの書き込みを抑止できます。 |
− |
|
|
内蔵FDドライブの読み取りと書き込みの抑止※12 |
内蔵FDへの書き込みと読み取りを抑止できます。 |
− |
|
|
FDドライブの読み取りと書き込みの抑止※14 |
FDへの書き込みと読み取りを抑止できます。 |
− |
|
|
FDドライブの書き込みの抑止※14 |
FDへの書き込みを抑止できます。 |
− |
|
|
IEEE1394接続メディアの読み取りと書き込みの抑止※12 |
IEEE1394接続メディアへの書き込みと読み取りを抑止できます。 |
− |
|
|
内蔵SDカードの読み取りと書き込みの抑止※12 |
内蔵SDカードへの書き込みと読み取りを抑止できます。 |
− |
|
|
リムーバブルディスクの書き込みの抑止※14 |
リムーバブルディスクへの書き込みを抑止できます。 |
− |
|
|
リムーバブルディスクの読み取りと書き込みの抑止※14 |
リムーバブルディスクへの書き込みと読み取りを抑止できます。 |
− |
|
|
ソフトウェアの起動抑止 |
指定したソフトウェアの起動を抑止できます。起動を抑止したいソフトウェアは複数設定できます。 |
− |
|
|
操作ログ※2 |
操作ログの取得対象 |
操作ログを取得する対象となる操作を設定できます。 |
− |
|
添付ファイル付きメールの送受信 |
添付ファイル付きのメールを送信する際に、不審な操作と見なすかどうかを設定できます。 |
− |
|
|
Web/FTPサーバの使用 |
WebサーバまたはFTPサーバにファイルをアップロードする際に、不審な操作と見なすかどうかを設定できます。 |
− |
|
|
外部メディア(リムーバブルディスク)へのファイルコピーと移動 |
外部メディアへファイルをコピーまたは移動する際に、不審な操作と見なすかどうかを設定できます。 |
− |
|
|
大量印刷 |
規定値を超える大量印刷を、不審な操作と見なすかどうかを設定できます。 |
− |
|
(凡例)○:設定できる −:自動対策の対象外
注※1 セキュリティポリシーのセキュリティ設定項目[OSのセキュリティ設定]で、OSのセキュリティ設定のポリシーが無効になっていると、自動対策を実施しません。また、Active Directoryを使用している場合にグループポリシーで不適正な設定に固定されていると、コンピュータの設定変更ができないため自動対策が失敗します。
注※2 オフライン管理のコンピュータ、およびエージェントレスのコンピュータは対象外です。
注※3 SERVICE_STOP 権のないサービス、または依存しているサービスが稼働中のサービスは停止できないため、自動対策が失敗します。
注※4 OSに複数のユーザーアカウントがある場合、ユーザーアカウントごとに判定されます。
注※5 OSにログオン中のユーザーアカウントだけ自動対策されます。
注※6 スクリーンセーバーのデータがWindowsの「System32」フォルダ配下に存在しない場合、自動対策が失敗します。
注※7 エージェントのOSがWindows Server 2003 Service Packなし、またはWindows 2000の場合は判定されません。また、自動対策もできません。OSがWindows Server 2008 R2またはWindows 7で複数のネットワークカードを利用している場合、すべてのネットワークプロファイルに対して自動対策が実行されます。
注※8 エージェントレスのOSがWindows Server 2003 Service Packなし、Windows XP Service Pack 1、Windows XP Service Pack なし、またはWindows 2000の場合は、判定されません。
注※9 エージェントのOSがWindows 2000の場合は判定されません。また、自動対策もできません。
注※10 USB接続のFDドライブ、CD/DVDドライブ、ハードディスク、フラッシュメモリなどの使用を抑止する場合は、USBデバイスの抑止を設定してください。
注※11 エージェントのOSがWindows XPの場合に抑止できます。
注※12 エージェントのOSがWindows 2000、Windows XP、またはWindows Server 2003の場合に抑止できます。
注※13 抑止できるかどうかは、書き込みソフトウェアに依存します。WindowsのIMAPIに対応したソフトウェアだけを抑止できます。
注※14 エージェントのOSがWindows 8、Windows Server 2012、Windows 7、Windows Server 2008、Windows Vistaの場合に抑止できます。
注※15 値を設定していないのか、値が0なのかを判別できない場合は、0として扱います。
アクション項目
|
項目 |
説明 |
|---|---|
|
利用者へのメッセージ通知 |
セキュリティの判定結果が危険、警告、または注意だった場合に、自動的にコンピュータにメッセージを通知できます。 通知メッセージは、任意に作成できます。利用者には、作成したメッセージに加えて違反内容が通知されます。 |
|
ネットワーク接続制御 |
セキュリティの判定結果に応じて、コンピュータのネットワーク接続を許可したり遮断したりできます。 |
注 アクション項目は、対象のコンピュータが管理用サーバと接続している場合だけ実行されます。
割り当てグループ
|
項目 |
説明 |
|---|---|
|
対象の構成 |
セキュリティポリシーを割り当てるグループの構成(OS、ネットワーク、部署、設置場所、ユーザー定義)を指定できます。 指定したグループ構成に対して、どのグループにセキュリティポリシーを割り当てるかを設定できます。 |
(2) セキュリティポリシーの設定時の注意事項
-
オフライン管理のコンピュータ、およびエージェントレスのコンピュータは自動対策できません。
-
次の条件を満たすエージェント導入済みのコンピュータに、印刷抑止または操作ログの取得が設定されたセキュリティポリシーを割り当てた場合、そのコンピュータからはネットワーク共有フォルダにホスト名でアクセスできないことがあります。
-
エージェント導入済みのコンピュータに共有プリンタが設定されている
-
エージェント導入済みのコンピュータおよびネットワーク共有フォルダがあるコンピュータのOSが、Windows 8、Windows Server 2012、Windows 7、Windows Server 2008、またはWindows Vistaである
ネットワーク共有フォルダにアクセスできなくなった場合は、次の対策のうちどれかを実施してください。
-
ネットワーク共有フォルダにアクセスできなくなった場合は、次の対策のうちどれかを実施してください。
-
IPアドレスを指定してネットワーク共有フォルダにアクセスする。
-
登録されている共有プリンタの台数を減らす、または削除する。
-
Windowsの資格情報マネージャに、ネットワーク共有フォルダがあるコンピュータへのログオン時に使用する資格情報(ユーザー名やパスワード)を事前に登録する。
-
-
エージェントを導入したコンピュータで、次の2つの条件を満たした場合、プリンタの状況によってはプリンタサーバやネットワークに負荷が掛かり、パフォーマンスが低下することがあります。このため、次の1.の条件に合致しないセキュリティポリシーをエージェントに適用するか、エージェントを導入したコンピュータに登録されているネットワーク共有プリンタのうち、使用しないプリンタが登録されている場合は、そのプリンタを削除してください。
-
エージェントに割り当てられているセキュリティポリシーが次のどちらかに合致する。
・操作ログの取得項目の[ファイル操作/印刷操作]の[印刷]が有効。
・禁止操作の[印刷抑止]が有効。
-
エージェントを導入したコンピュータ上にネットワーク共有プリンタがインストールされている。
(3) 製品が提供するセキュリティポリシー
JP1/IT Desktop Managementは、次に示すポリシーを提供します。
- デフォルトポリシー
-
管理対象のコンピュータにセキュリティポリシーが割り当てられていない場合に、自動で割り当てられるセキュリティポリシーです。デフォルトポリシーは、サポートサービス契約をしていることを前提としています。
- 推奨セキュリティポリシー
-
エージェントを導入しているコンピュータのセキュリティを強固にするためのセキュリティポリシーです。推奨セキュリティポリシーには、JP1/IT Desktop Managementが推奨するセキュリティ設定項目およびアクション項目が設定されています。推奨セキュリティポリシーは、サポートサービス契約をしていることを前提としています。
これらのポリシーは、新たにセキュリティポリシーを作成するときのサンプルとして、コピーして利用できます。
デフォルトポリシーと推奨セキュリティポリシーの設定値を次の表に示します。
|
設定項目 |
危険レベル |
デフォルトポリシー |
推奨セキュリティポリシー |
|||
|---|---|---|---|---|---|---|
|
設定 |
自動対策 |
設定 |
自動対策 |
|||
|
更新プログラム |
Windows自動更新の実行の判定 |
警告 |
○ |
× |
○ |
○ |
|
すべての更新プログラムの適用状況の判定 |
警告 |
○ |
× |
○ |
○ |
|
|
指定した更新プログラムの適用状況の判定 |
警告 |
× |
× |
× |
× |
|
|
ウィルス対策製品 |
インストールの判定 |
危険 |
△ |
− |
△ |
− |
|
エンジンバージョンの判定 |
危険 |
△(1日) |
− |
△(1日) |
− |
|
|
ウィルス定義ファイルのバージョンの判定 |
危険 |
△(1日) |
− |
△(1日) |
− |
|
|
自動保護(常駐設定)の判定 |
危険 |
△ |
− |
△ |
− |
|
|
ウィルススキャン最終完了日時の判定 |
危険 |
△(7日) |
− |
△(7日) |
− |
|
|
使用ソフトウェア |
使用必須ソフトウェアの判定 |
危険 |
× |
× |
× |
× |
|
使用禁止ソフトウェアの判定 |
危険 |
× |
× |
× |
× |
|
|
サービスのセキュリティ設定 |
注意 |
× |
× |
× |
× |
|
|
OSのセキュリティ設定 |
Guestアカウントの判定 |
警告 |
○ |
× |
○ |
○ |
|
パスワードの安全性の判定 |
注意 |
○ |
− |
○ |
− |
|
|
無期限パスワードの判定 |
注意 |
○ |
× |
○ |
○ |
|
|
パスワード更新からの経過日数の判定 |
注意 |
○(180日) |
− |
○(180日) |
− |
|
|
自動ログオンの判定 |
注意 |
○ |
× |
○ |
○ |
|
|
パワーオンパスワードの判定 |
注意 |
○ |
− |
○ |
− |
|
|
スクリーンセーバーのパスワード保護の判定 |
注意 |
○ |
× |
○ |
○ |
|
|
スクリーンセーバー起動までの待ち時間の判定 |
注意 |
○(10分) |
× |
○(10分) |
○ |
|
|
共有フォルダの判定 |
警告 |
○ |
× |
○ |
○ |
|
|
管理共有の判定 |
警告 |
○ |
× |
○ |
○ |
|
|
匿名接続の判定 |
警告 |
○ |
× |
○ |
○ |
|
|
Windowsファイアウォールの判定 |
警告 |
○ |
× |
○ |
○ |
|
|
DCOMの判定 |
警告 |
○ |
× |
○ |
○ |
|
|
リモートデスクトップの判定 |
警告 |
○ |
× |
○ |
○ |
|
|
ユーザー定義のセキュリティ設定 |
危険 |
× |
× |
× |
× |
|
|
禁止操作 |
印刷の抑止 |
− |
× |
− |
× |
− |
|
USBデバイスの読み取りと書き込みの抑止 |
− |
× |
− |
○ |
− |
|
|
登録済USBデバイスの使用許可 |
− |
× |
− |
○ |
− |
|
|
USBデバイスの書き込みの抑止 |
− |
× |
− |
× |
− |
|
|
内蔵CD/DVDドライブの書き込みの抑止 |
− |
× |
− |
○ |
− |
|
|
CD/DVDドライブの書き込みの抑止 |
− |
× |
− |
○ |
− |
|
|
内蔵FDドライブの読み取りと書き込みの抑止 |
− |
× |
− |
○ |
− |
|
|
FDドライブの読み取りと書き込みの抑止 |
− |
× |
− |
○ |
− |
|
|
FDドライブの書き込みの抑止 |
− |
× |
− |
× |
− |
|
|
IEEE1394接続メディアの読み取りと書き込みの抑止 |
− |
× |
− |
○ |
− |
|
|
内蔵SDカードの読み取りと書き込みの抑止 |
− |
× |
− |
○ |
− |
|
|
リムーバブルディスクの読み取りと書き込みの抑止 |
− |
× |
− |
× |
− |
|
|
リムーバブルディスクの書き込みの抑止 |
− |
× |
− |
× |
− |
|
|
ソフトウェアの起動抑止 |
− |
× |
− |
× |
− |
|
|
操作ログ |
操作ログの取得対象 |
− |
× |
− |
× |
− |
|
添付ファイル付きメールの送受信 |
− |
× |
− |
× |
− |
|
|
Web/FTPサーバの使用 |
− |
× |
− |
× |
− |
|
|
外部メディア(リムーバブルディスク)へのファイルコピーと移動 |
− |
× |
− |
× |
− |
|
|
大量印刷 |
− |
× |
− |
× |
− |
|
|
アクション項目 |
利用者へのメッセージ通知 |
− |
× |
− |
○(危険、警告、注意) |
− |
(凡例) ○:有効 △:情報を収集できるウィルス対策製品で有効 ×:無効 −:設定の対象外
関連リンク
(4) セキュリティポリシーの割り当て
セキュリティ状況を判定するためには、セキュリティポリシーをグループまたはコンピュータに対して割り当てる必要があります。ここでは、セキュリティポリシーが割り当たる範囲について説明します。
- ポイント
-
コンピュータを管理対象にした直後は、自動的にデフォルトポリシーが割り当てられます。
セキュリティポリシーを割り当てる場合
セキュリティポリシーをコンピュータに割り当てた場合、対象のコンピュータにセキュリティポリシーが適用されます。セキュリティポリシーをグループに割り当てた場合、下位のグループを含めそのグループに属するすべてのコンピュータにセキュリティポリシーが適用されます。
コンピュータへの割り当てとグループへの割り当てが重複する場合は、コンピュータに割り当てられたセキュリティポリシーが適用されます。また、セキュリティポリシーが直接割り当てられているグループは、上位のグループにセキュリティポリシーを割り当てても、そのセキュリティポリシーは適用されません。
なお、コンピュータをオンライン管理からオフライン管理に切り替えた場合も、割り当てたセキュリティポリシーは適用されたままとなります。
- 注意事項
-
複数のネットワークインターフェースカードを利用している場合など、コンピュータが複数のIPアドレスのグループに登録されてしまうことがあります。コンピュータが複数のグループに登録されている場合、各登録先のグループに異なるセキュリティポリシーが割り当てられているときは、そのコンピュータにはデフォルトポリシーが適用されます。
セキュリティポリシーを割り当てた場合の、割り当て範囲の例を次の図に示します。
![[図データ]](GRAPHICS/ZU070011.GIF)
上記の図では、セキュリティポリシーAをコンピュータPC01とグループBに割り当てています。ただし、グループBのコンピュータPC03には個別にセキュリティポリシーBが割り当てられているため、セキュリティポリシーBが優先されます。
セキュリティポリシーを解除する場合
割り当てたセキュリティポリシーは解除できます。セキュリティポリシーを解除すると、上位のグループに割り当てられているセキュリティポリシーが適用されます。上位のグループにセキュリティポリシーが割り当てられていない場合は、デフォルトポリシーが適用されます。
セキュリティポリシーを解除した場合の、割り当て範囲の例を次の図に示します。
![[図データ]](GRAPHICS/ZU070015.GIF)
上記の図では、コンピュータPC01とPC03に割り当てられたセキュリティポリシーを解除しています。PC01は上位のグループAにセキュリティポリシーが割り当てられていないため、デフォルトポリシーが適用されます。PC03は上位のグループBに割り当てられているセキュリティポリシーAが適用されます。
(5) セキュリティ判定時のアクション項目
管理対象のコンピュータにセキュリティポリシーを割り当てておくと、セキュリティ状況が判定されます。このとき、セキュリティの判定結果によって、対象のコンピュータに対して、メッセージを通知したり、ネットワークを制御したりといったアクションを自動的に実行できます。
セキュリティの判定結果によって実行されるアクション項目を次に示します。
- メッセージの通知
-
セキュリティポリシーの判定結果を通知するメッセージを設定できます。通知する危険レベルや通知条件を設定すると、危険レベルが「危険」(
![[図データ]](GRAPHICS/ZU990047.GIF)
)のときだけメッセージを通知したり、設定した日数以上セキュリティ状況が危険な状態が続いたときにメッセージを通知したりできます。なお、メッセージを通知できるのは、オンライン管理のコンピュータだけです。
メッセージの通知方法については、「(6) セキュリティ状況に応じたメッセージの通知」を参照してください。
- ネットワーク接続の制御
-
セキュリティポリシーの判定結果によって、コンピュータのネットワーク接続の状態をどのように変更するかを設定できます。接続制御の対象とする危険レベルや接続拒否の条件を設定すると、危険レベルが「警告」(
![[図データ]](GRAPHICS/ZU990048.GIF)
)のコンピュータのネットワーク接続を遮断したり、設定した日数以上セキュリティ状況が危険な状態が続いたときにネットワーク接続を制御したりできます。
ネットワーク接続の制御方法については、「(9) セキュリティポリシーの判定結果に応じたネットワーク接続の遮断と許可」を参照してください。
(6) セキュリティ状況に応じたメッセージの通知
セキュリティ状況に問題のあるコンピュータに対して、メッセージを通知できます。メッセージを通知できるのは、オンライン管理のコンピュータだけです。次のどちらかの方法でメッセージを通知できます。
-
セキュリティ画面の[機器のセキュリティ状態]−[機器一覧]画面から、任意のタイミングで任意のメッセージを個別に通知する
-
セキュリティポリシーの判定結果に応じて、あらかじめ設定したメッセージを自動的に通知する
- ポイント
-
機器画面の[機器情報]−[機器一覧]画面からメッセージを通知することもできます。
管理用サーバから対象のコンピュータにメッセージが通知されると、利用者の画面にポップアップ画面が表示され、メッセージを参照できます。なお、参照できるのは最新のメッセージだけです。
- 注意事項
-
メッセージの通知に失敗した場合は、1回だけ再度通知されます。メッセージの通知に2回失敗した場合は、以降メッセージは通知されません。
(7) 自動通知の場合のメッセージの内容
自動で通知されるメッセージの内容を次に示します。
![[図データ]](GRAPHICS/ZU070023.GIF)
|
項目 |
説明 |
|---|---|
|
メッセージ本文 |
セキュリティポリシーの[アクション項目]−[利用者へのメッセージ通知]で「メッセージ」の「本文」に指定したメッセージが表示されます。 |
|
危険レベル |
判定結果に対応した危険レベルに対応して、次のような文字列が表示されます。
|
|
AAAA |
危険と判定されたユーザーアカウント名が表示されます。 |
|
BBBB |
危険と判定されたユーザーアカウントの「OSのセキュリティ設定」のうち、危険と判定された項目の説明が表示されます。表示内容を次に示します。
|
|
CCCC |
Windowsの自動更新が無効になっている場合に、メッセージ「Windows自動更新が無効になっています。」が表示されます。 |
|
DDDD |
「更新プログラム」の判定で、適用されていないと判定された更新プログラムが表示されます。表示形式を次に示します。
なお、5,000バイトを超える情報は出力されません。出力されない件数は、「その他:n件」と表示されます。 |
|
EEEE |
「使用ソフトウェア」の判定で、インストールされていると判定された使用禁止ソフトウェアのソフトウェア名とバージョンが表示されます。表示形式を次に示します。
なお、6,000バイトを超える情報は出力されません。出力されない件数は、「その他:n件」と表示されます。 |
|
FFFF |
「使用ソフトウェア」の判定で、インストールされていないと判定された使用必須ソフトウェアのソフトウェア名とバージョンが表示されます。
なお、6,000バイトを超える情報は出力されません。出力されない件数は、「その他:n件」と表示されます。 |
|
GGGG |
「サービスのセキュリティ設定」の判定で、使用されていると判定されたサービス表示名が表示されます。 情報が6,000バイトを超えた場合、表示できなかった件数が「その他:n件」の形式で表示されます。 |
|
HHHH |
「OSのセキュリティ設定」の判定で、危険と判定された項目の説明が表示されます。表示内容を次に示します。
|
|
IIII |
「ユーザー定義のセキュリティ設定」の判定で、危険と判定されたユーザー定義項目名が表示されます。 |
(凡例)△:半角スペース
(8) 自動通知の場合のメッセージに入力できる埋め込み文字
自動で通知されるメッセージ本文には、次に示す埋め込み文字を入力できます。
|
埋め込み文字 |
表示内容 |
|---|---|
|
%judgedate% |
セキュリティ判定日時 |
|
%contdays% |
不適正な状態が続いた日数※1 |
|
%refusedmsg% |
「ネットワークへの接続が遮断されました。」 「あとn日で、ネットワークへの接続が遮断されます。」※2 |
注※1 セキュリティポリシーの[アクション項目]−[利用者へのメッセージ通知]で[通知条件]を設定している場合に表示されます。
注※2 セキュリティポリシーの[アクション項目]−[ネットワーク接続制御]で[接続拒否の条件]を設定している場合に表示されます。
(9) セキュリティポリシーの判定結果に応じたネットワーク接続の遮断と許可
セキュリティポリシーの判定結果が設定した危険レベルを超えた場合、対象のコンピュータのネットワーク接続を遮断できます。判定結果が設定した危険レベルを下回った状態になると、遮断したネットワーク接続は自動的に許可されます。ネットワーク接続を遮断および許可するためには、対象のコンピュータが所属するネットワークセグメントが監視されている必要があります。
- ポイント
-
機器画面の[機器情報]−[機器一覧]画面で対象のコンピュータを選択して、[操作メニュー]からネットワーク接続を遮断または許可することもできます。詳細については、「2.8.17 手動によるネットワーク接続の制御」を参照してください。
ネットワーク接続の制御の優先度
ネットワーク接続の制御は、手動で設定した内容が優先されます。
-
手動で、ネットワーク接続を許可しない設定にしている場合
自動的にネットワーク接続が許可される契機になっても、許可されません。
ネットワークに接続してはいけないコンピュータがある場合は、手動で、許可しない設定にしてください。
(10) セキュリティポリシー違反の対策
コンピュータがセキュリティポリシーに違反している場合は、そのコンピュータの設定が適正な状態になるように対策します。JP1/IT Desktop Managementでは、セキュリティポリシー違反を自動対策、または強制対策できます。
- 自動対策
-
セキュリティポリシーに自動対策を設定すると、セキュリティポリシーに違反したコンピュータの設定を自動的に適正状態にできます。詳細については、「(11) セキュリティポリシー違反の自動対策」を参照してください。
- 強制対策
-
セキュリティポリシーに違反したコンピュータを、任意のタイミングで個別に強制対策できます。なお、セキュリティポリシーに違反したコンピュータを強制対策するには、対象のコンピュータにオンライン管理用のエージェントがインストールされている必要があります。
(11) セキュリティポリシー違反の自動対策
コンピュータがセキュリティポリシーに違反している場合、そのコンピュータの設定を確認して適正な状態になるよう設定変更する必要があります。このような作業を繰り返すのは非常に手間が掛かります。
セキュリティポリシーに自動対策を設定すると、セキュリティポリシーに違反していた場合に、自動的に適正状態となるように対策されるようになります。これによって、管理者が個々のコンピュータの設定状況を意識することなく、組織内のコンピュータのセキュリティ状況を安全に保てます。
セキュリティポリシーに設定できる自動対策
-
Windows自動更新の実行が無効だった場合に有効にする
-
必須とする更新プログラムグループに含まれる更新プログラムが適用されていない場合に、Windows自動更新を強制実行、または更新プログラムを自動的に配布する
-
使用必須ソフトウェアがインストールされていなかった場合に、ソフトウェアをインストールする
-
使用禁止ソフトウェアがインストールされていた場合に、ソフトウェアの起動を抑止する
-
使用禁止ソフトウェアがインストールされていた場合に、ソフトウェアをアンインストールする
-
使用禁止サービスが稼働している場合に、サービスを停止して無効化する
-
Guestアカウントが有効な場合に無効にする
-
無期限パスワードが設定されている場合に解除する
-
自動ログオンが設定されている場合に解除する
-
スクリーンセーバーのパスワード保護が設定されていない場合に設定する
-
スクリーンセーバーの待ち時間が規定値を超えている場合に、待ち時間を変更する
-
共有フォルダが設定されている場合に解除する
-
制限なしの匿名接続が設定されている場合に解除する
-
Windowsファイアウォールが無効な場合に有効にする
-
管理共有が設定されている場合に解除する
-
DCOMが有効な場合に無効にする
-
リモートデスクトップが有効な場合に無効にする
-
セキュリティポリシーが割り当てられたとき
-
セキュリティポリシーが更新されたとき
-
管理対象のコンピュータの属するグループが変更されたとき
-
管理対象のコンピュータの機器情報が更新されたとき
これらのタイミングで、セキュリティポリシーの設定に応じて自動対策が実行されます。セキュリティ設定とサービスの自動対策は、管理対象のコンピュータで実行されます。使用必須ソフトウェアのインストールと使用禁止ソフトウェアのアンインストールは、管理用サーバから配布機能が実行されます。
- 注意事項
-
次に示す項目は、セキュリティポリシーが割り当てられているコンピュータが再起動したあとで自動対策されます。コンピュータにセキュリティポリシーが適用されると、再起動を促すバルーンヒントが定期的に表示されます。バルーンヒントの表示は、エージェント設定の[エージェント基本動作]の設定に従います。
-
Windows自動更新を実行
-
匿名接続
-
Windowsファイアウォール※
-
管理共有
-
DCOM
-
リモートデスクトップ
注※ コンピュータのOSがWindows Server 2008、Windows 7、またはWindows Vistaの場合に限ります。
-
関連リンク
(12) セキュリティポリシー違反の自動対策の注意事項
セキュリティポリシーの適用やセキュリティ対策で自動対策をした場合、JP1/IT Desktop Managementの機能を利用して管理対象コンピュータの設定を自動対策前の状態には戻せません。JP1/IT Desktop Managementの機能で自動対策前の状態に戻せない項目は次の項目です。
-
更新プログラム
-
使用ソフトウェア
-
サービスのセキュリティ設定
-
OSのセキュリティ設定