ポリシーとは
ポリシーとは、システムの運用方針に沿って決定した約束事です。
PC使用時に許可する操作と許可しない(禁止する)操作、および、どの操作のログを採取するかが定められている情報です。
ポリシーで設定できること
Systemwalker Desktop Keeperでは、ポリシーとして「禁止する操作」と「ログを採取する操作」を設定できます。
禁止する操作には、以下の種類があります。これらは、システム管理者または部門管理者が、管理コンソールで設定します。
ファイル持出し禁止
ポリシーとしてファイル持出し禁止を設定すると、クライアント(CT)がインストールされているPCのドライブ、ネットワークドライブ、リムーバブルドライブまたは、DVD/CDへのファイルやフォルダの持出しを、条件付きで禁止できます。
設定条件によっては、禁止されたドライブなどへ、「持出しユーティリティ」を使用して、ファイルやフォルダを持ち出すことができます。持ち出すときには、暗号化することもできます。
「持出しユーティリティ」については、“Systemwalker Desktop Keeper 運用ガイド クライアント編”を参照してください。
読み込み禁止
ポリシーとして読み込み禁止を設定すると、クライアント(CT)がインストールされているPCのリムーバブルドライブ、ネットワークドライブまたは、DVD/CDからのデータ読み込みを禁止できます。
印刷禁止
ポリシーとして印刷禁止を設定すると、クライアント(CT)がインストールされているPCでは、指定したアプリケーション以外の印刷を禁止できます。
PrintScreenキー禁止
ポリシーとしてPrintScreenキー禁止を設定すると、クライアント(CT)がインストールされているPCでは、キーボードのPrintScreenキーを使用した画面のハードコピーの採取を禁止できます。このとき、どんな画面のバードコピーを採取しようとしたかが明らかになるように、画面キャプチャを採取することもできます。
ログオン禁止
ポリシーとしてログオン禁止を設定すると、クライアント(CT)がインストールされているPCからログオンするときに、設定したグループに所属しているユーザー名でのログオンを禁止できます。禁止設定が可能なグループは以下のとおりです。
Administrators
Backup Operators
Debugger Users
Power Users
Guests
Replicator
Users
Domain Admins
Domain Guests
Domain Users
Enterprise Admins
Group Policy Creator Owners
アプリケーション起動禁止
ポリシーとしてアプリケーション起動禁止を設定すると、クライアント(CT)がインストールされているPCでは、指定したアプリケーションの起動を禁止できます。
メール添付禁止
ポリシーとしてメール添付禁止を設定すると、クライアント(CT)がインストールされているPCから、禁止対象となるファイルをメールに添付して、送信または保存することを禁止できます。
ただし、ポート監視方式(添付ファイルを送信するときに利用するメールソフトが、SMTPプロトコルを使用するタイプのもの)の場合は、保存の禁止はできません。
禁止対象として指定できるファイルは、暗号化していないファイル、または指定した拡張子のファイルです。
また、添付ファイルの中に1つでも、添付禁止対象のファイルがある場合、メール(メール本文と、すべての添付ファイル)は送信できません。
URLアクセス禁止
ポリシーとしてURLアクセス禁止を設定すると、クライアント(CT)がインストールされているPCでは、許可されていないURLへのアクセスを禁止できます。
FTPサーバ接続禁止
ポリシーとしてFTPサーバ接続禁止を設定すると、クライアント(CT)がインストールされているPCでは、指定したFTPサーバ以外への接続を禁止できます。
Webアップロード・ダウンロード禁止
ポリシーとしてWebアップロード・ダウンロード禁止を設定すると、クライアント(CT)がインストールされているPCでは、指定したWebサイト以外からのアップロード・ダウンロードを禁止できます。
クリップボード操作禁止
ポリシーとしてクリップボード操作禁止すると、仮想環境から物理環境、物理環境から仮想環境へクリップボードを経由した情報の伝達を禁止できます。
ポリシーとして、どの操作に対してログを採取するかを設定します。採取できる操作ログは以下のとおりです。ポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
アプリケーション起動ログ
アプリケーション終了ログ
アプリケーション起動禁止ログ
ウィンドウタイトル取得ログ
メール送信ログ
メール送信中止ログ
メール添付禁止ログ
コマンドプロンプト操作ログ
デバイス構成変更ログ
印刷操作ログ
印刷禁止ログ
ログオン禁止ログ
ファイル持出しログ
PrintScreenキー操作ログ
PrintScreenキー禁止ログ
Web操作ログ
Web操作禁止ログ
FTP操作ログ
FTP操作禁止ログ
クリップボード操作ログ
クリップボード操作禁止ログ
ファイル操作ログ
ログオン/ログオフログ
連携アプリケーションログ
画面キャプチャ
ポリシーの設定対象
定義したポリシーを、何に対して設定するかによって、ポリシーの名称が異なります。
ポリシーを「クライアント(CT)」に対して設定する場合、「CTポリシー」といいます。
ポリシーを「ユーザー」に対して設定する場合、「ユーザーポリシー」といいます。
クライアント(CT)に対して設定するポリシーを、CTポリシーといいます。クライアント(CT)の操作時に、CTポリシーが有効になっている場合、どのユーザーが操作しても、クライアント(CT)に設定されているポリシーに従って、禁止操作やログ採取が実施されます。クライアント(CT)ごとに異なるポリシーを設定できます。
また、部門ごとにクライアント(CT)をグループ化したり、使用目的が同じクライアント(CT)をグループ化したりして、そのグループに対して設定するポリシーをCTグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからクライアント(CT)とCTグループに対して、以下の設定を行っています。
クライアント(CT)ごとに以下のポリシーを設定します。
CT(1)は、印刷だけできます。
印刷禁止:しない
ファイル持出し禁止:する
アプリケーション起動禁止:する
CT(2)は、ファイル持出しだけできます。
印刷禁止:する
ファイル持出し禁止:しない
アプリケーション起動禁止:する
CT(3)は、アプリケーション起動だけできます。
印刷禁止:する
ファイル持出し禁止:する
アプリケーション起動禁止:しない
クライアント(CT)をグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各クライアント(CT)には、次回起動時または即時にCTポリシーが適用されます。ポリシーが適用されると、適用されたポリシーに従って動作します。
【各CTにCTポリシーを適用した場合】
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、ファイル持出しだけできます。
CT(3)は、誰が操作しても、アプリケーション起動だけできます。
【CT(1)、CT(2)にはCTポリシーを適用し、CT(3)にはCTグループポリシーを適用した場合】
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、ファイル持出しだけできます。
CT(3)は、誰が操作しても、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
クライアント(CT)がインストールされたPCで、Windowsへのログオン時に入力するユーザー名に対して設定するポリシーを、ユーザーポリシーといいます。クライアント(CT)の操作時に、ユーザーポリシーが有効になっている場合、どのPCから操作しても、ログオンしたユーザー名に設定されているポリシーに従って、禁止操作やログ採取が実施されます。ユーザー名ごとに異なるポリシーを設定できます。
また、部門ごとにユーザーをグループ化したり、作業内容が同じユーザーをグループ化したりして、そのグループに対して設定するポリシーをユーザーグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからユーザーとユーザーグループに対して、以下の設定を行っています。
ユーザーごとに以下のポリシーを設定します。
ユーザー名:0100のユーザーは、印刷だけできます。
印刷禁止:しない
ファイル持出し禁止:する
アプリケーション起動禁止:する
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
印刷禁止:する
ファイル持出し禁止:しない
アプリケーション起動禁止:する
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
印刷禁止:する
ファイル持出し禁止:する
アプリケーション起動禁止:しない
ユーザーをグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各ユーザー名でWindowsにログオンすると、ユーザーポリシーが適用されます。ポリシーが適用されると、ログオンしたクライアント(CT)のCTポリシーに関係なく、ユーザーポリシーに従って動作します。
【各CTにユーザーポリシーを適用した場合】
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
【ユーザー名:0100、ユーザー名:0200にはユーザーポリシーを適用し、ユーザー名:0300にはユーザーグループポリシーを適用した場合】
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
CTポリシー/ユーザーポリシーと設定可能な項目
CTポリシーとユーザーポリシーで、設定できる項目が異なります。以下に、設定可能な項目の一覧を示します。
設定項目 | CTポリシー | ユーザーポリシー | |
|---|---|---|---|
禁止機能 | ファイル持出し禁止 | ○ | ○ |
読み込み禁止 | ○ | ○ | |
印刷禁止 | ○ | ○ | |
PrintScreenキー禁止 | ○ | ○ | |
ログオン禁止 | ○ | ― (注) | |
アプリケーション起動禁止 | ○ | ○ | |
メール添付禁止 | ○ | ○ | |
URLアクセス禁止 | ○ | ○ | |
FTPサーバ接続禁止 | ○ | ○ | |
Webアップロード・ダウンロード禁止 | ○ | ○ | |
クリップボード操作禁止 | ○ | ○ | |
記録機能 | アプリケーション起動ログ | ○ | ○ |
アプリケーション終了ログ | ○ | ○ | |
アプリケーション起動禁止ログ | ○ | ○ | |
ウィンドウタイトル取得ログ | ○ | ○ | |
メール送信ログ | ○ | ○ | |
メール送信中止ログ | ○ | ○ | |
メール添付禁止ログ | ○ | ○ | |
コマンドプロンプト操作ログ | ○ | ○ | |
デバイス構成変更ログ | ○ | ○ | |
印刷操作ログ | ○ | ○ | |
印刷禁止ログ | ○ | ○ | |
ログオン禁止ログ | ○ | ― (注) | |
ファイル持出しログ | ○ | ○ | |
PrintScreenキー操作ログ | ○ | ○ | |
PrintScreenキー禁止ログ | ○ | ○ | |
Web操作ログ | ○ | ○ | |
Web操作禁止ログ | ○ | ○ | |
FTP操作ログ | ○ | ○ | |
FTP操作禁止ログ | ○ | ○ | |
クリップボード操作ログ | ○ | ○ | |
クリップボード操作禁止ログ | ○ | ○ | |
ファイル操作ログ | ○ | ― (注) | |
ログオン/ログオフログ | ○ | ― (注) | |
連携アプリケーションログ | ○ | ― (注) | |
画面キャプチャ | ○ | ○ | |
○:設定できます。
―:設定できません。
注) クライアント(CT)操作時にユーザーポリシーが有効になる運用の場合、ユーザーポリシーとして設定できない項目に対しては、操作しているクライアント(CT)のCTポリシーの設定値が有効になります。
運用形態と、有効になる禁止操作/採取されるログ
CTポリシーやユーザーポリシーが設定され、クライアント(CT)に反映されると、クライアント(CT)での操作禁止やログ採取ができるようになりますが、運用形態によって、有効になる禁止操作と採取されるログが異なります。
以下に、有効になる項目の一覧を示します。
また、使用している環境によって、機能が制限される場合があります。詳細は、“1.2 機能に関する留意事項”を参照してください。
運用形態 | Systemwalker Desktop Keeperのクライアント(CT)の操作を記録する場合 | Citrix XenApp | |||
|---|---|---|---|---|---|
OSの起動モード | 通常モードで | セーフモード | 通常モードで起動 | ||
Windows Vista® | Windows® XP | ||||
禁 | ファイル持出し禁止 | ○ | ○ | ○ | ― |
印刷禁止 | ○ | ― | ― | ― | |
PrintScreenキー禁止 | ○ | ○ | ○ | ― | |
ログオン禁止 | ○ | ○ | ○ | ― | |
アプリケーション起動禁止 | ○ | ○ | ○ | ― | |
メール添付禁止 | ○ | ― | ○ | ― | |
URLアクセス禁止 | ○ | ○ | ○ | ― | |
FTPサーバ接続禁止 | ○ | ○ | ○ | ― | |
Webアップロード・ダウンロード禁止 | ○ | ○ | ○ | ― | |
クリップボード禁止 | ○ | ○ | ○ | ― | |
記 | アプリケーション起動ログ | ○ | ○ | ○ | ○ |
アプリケーション終了ログ | ○ | ○ | ○ | ○ | |
アプリケーション起動禁止ログ | ○ | ○ | ○ | ― | |
ウィンドウタイトル取得ログ | ○ | ○ | ○ | ○ | |
ウィンドウタイトル取得ログ(URL付き) | ○ | ○ | ○ | ○ | |
メール送信ログ | ○ | ― | ○ | ― | |
メール送信中止ログ | ○ | ○ | ○ | ― | |
メール添付禁止ログ | ○ | ― | ○ | ― | |
コマンドプロンプト操作ログ | ○(注4) | ○ | ○ | ○ | |
デバイス構成変更ログ | ○ | ○ | ○ | ― | |
印刷操作ログ | ○ | ― | ― | ○ | |
印刷禁止ログ | ○ | ― | ― | ― | |
ログオン禁止ログ | ○ | ○ | ○ | ― | |
ファイル持出しログ | ○ | ○ | ○ | ― | |
PrintScreenキー操作ログ | ○ | ○ | ○ | ○ | |
PrintScreenキー禁止ログ | ○ | ○ | ○ | ― | |
Web操作ログ | ○ | ○ | ○ | ○ | |
Web操作禁止ログ | ○ | ○ | ○ | ― | |
FTP操作ログ | ○ | ○ | ○ | ○ | |
FTP操作禁止ログ | ○ | ○ | ○ | ― | |
クリップボード操作ログ | ○ | ○ | ○ | ○ | |
クリップボード操作禁止ログ | ○ | ○ | ○ | ― | |
ファイル操作ログ | ○ | ○ | ○ | ○ | |
ログオン/ログオフログ | ○ | ○(注2) | ○(注2) | ○(注2) | |
連携アプリケーションログ | ○ | ○ | ○ | ― | |
画面キャプチャ | ○ | ○ | ○ | ― | |
○:有効です。
―:無効です。
注1) Citrix XenApp 監視に設定されるポリシーは、CTポリシーです。ユーザーポリシーは設定されません。
注2) PC休止ログ、PC復帰ログは、採取されません。
注3) セーフモードまたはネットワークが使えるセーフモードで起動した場合は、CTポリシーだけの動作となります。ユーザーポリシーは適用されません。
注4) Windows Server® 2008 64ビット版、Windows Server® 2008 R2では、禁止およびログの採取はできません。
注5) セーフモードまたはネットワークが使えるセーフモードで起動した場合は、次に通常モードで起動するまで管理サーバに操作ログが送信されない場合があります。
