ポリシーとは
ポリシーとは、システムの運用方針に沿って決定した約束事です。
PC使用時に許可する操作と許可しない(禁止する)操作、および、どの操作のログを採取するかが定められている情報です。
ポリシーで設定できること
Systemwalker Desktop Keeperでは、ポリシーとして「禁止する操作」と「ログを採取する操作」を設定できます。
禁止する操作には、以下の種類があります。これらは、システム管理者または部門管理者が、管理コンソールで設定します。
ファイル持出し禁止
ポリシーとしてファイル持出し禁止を設定すると、クライアント(CT)がインストールされているPCのドライブ、リムーバブルまたはDVD/CDへのファイルやフォルダの持ち出しを、条件付きで禁止できます。
設定条件によっては、禁止されたドライブなどへ、「持出しユーティリティ」を使用して、ファイルやフォルダを持ち出すことができます。持ち出すときには、暗号化することもできます。
「持出しユーティリティ」については、“Systemwalker Desktop Keeper 運用ガイド クライアント編”を参照してください。
印刷禁止
ポリシーとして印刷禁止を設定すると、クライアント(CT)がインストールされているPCでは、指定したアプリケーション以外の印刷を禁止できます。
PrintScreenキー禁止
ポリシーとしてPrintScreenキー禁止を設定すると、クライアント(CT)がインストールされているPCでは、キーボードのPrintScreenキーを使用した画面のハードコピーの採取を禁止できます。このとき、どんな画面のバードコピーを採取しようとしたかが明らかになるように、画面キャプチャを採取することもできます。
ログオン禁止
ポリシーとしてログオン禁止を設定すると、クライアント(CT)がインストールされているPCからログオンするときに、設定したグループに所属しているユーザー名でのログオンを禁止できます。禁止設定が可能なグループは以下のとおりです。
Administrators
Backup Operators
Debugger Users
Power Users
Guests
Replicator
Users
Domain Admins
Domain Guests
Domain Users
Enterprise Admins
Group Policy Creator Owners
アプリケーション起動禁止
ポリシーとしてアプリケーション起動禁止を設定すると、クライアント(CT)がインストールされているPCでは、指定したアプリケーションの起動を禁止できます。
メール添付禁止
ポリシーとしてメール添付禁止を設定すると、クライアント(CT)がインストールされているPCから、禁止対象となるファイルをメールに添付して、送信または保存することを禁止できます。
ただし、ポート監視方式(添付ファイルを送信するときに利用するメールソフトが、SMTPプロトコルを使用するタイプのもの)の場合は、保存の禁止はできません。
禁止対象として指定できるファイルは、暗号化していないファイル、または指定した拡張子のファイルです。
また、禁止対象のファイルと禁止対象外のファイルが混在している場合は、禁止対象外のファイルは送信することができます。
禁止対象のファイルだけを添付してメールを送信した場合は、メールの本文だけ送信されます。
ポリシーとして、どの操作に対してログを採取するかを設定します。採取できる操作ログは以下のとおりです。ポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
アプリケーション起動ログ
アプリケーション終了ログ
アプリケーション起動禁止ログ
ウィンドウタイトル取得ログ
メール送信ログ
メール添付禁止ログ
コマンドプロンプト操作ログ
デバイス構成変更ログ
印刷操作ログ
印刷禁止ログ
ログオン禁止ログ
ファイル持出しログ
PrintScreenキー操作ログ
PrintScreenキー禁止ログ
ファイル操作ログ
ログオン/ログオフログ
連携アプリケーションログ
画面キャプチャ
ポリシーの設定対象
定義したポリシーを、何に対して設定するかによって、ポリシーの名称が異なります。
ポリシーを「クライアント(CT)」に対して設定する場合、「CTポリシー」といいます。
ポリシーを「ユーザー」に対して設定する場合、「ユーザーポリシー」といいます。
クライアント(CT)に対して設定するポリシーを、CTポリシーといいます。クライアント(CT)の操作時に、CTポリシーが有効になっている場合、どのユーザーが操作しても、クライアント(CT)に設定されているポリシーに従って、禁止操作やログ採取が実施されます。クライアント(CT)ごとに異なるポリシーを設定できます。
また、部門ごとにクライアント(CT)をグループ化したり、使用目的が同じクライアント(CT)をグループ化したりして、そのグループに対して設定するポリシーをCTグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからクライアント(CT)とCTグループに対して、以下の設定を行っています。
クライアント(CT)ごとに以下のポリシーを設定します。
CT(1)は、印刷だけできます。
印刷禁止:しない
ファイル持出し禁止:する
アプリケーション起動禁止:する
CT(2)は、ファイル持出しだけできます。
印刷禁止:する
ファイル持出し禁止:しない
アプリケーション起動禁止:する
CT(3)は、アプリケーション起動だけできます。
印刷禁止:する
ファイル持出し禁止:する
アプリケーション起動禁止:しない
クライアント(CT)をグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各クライアント(CT)には、次回起動時または即時にCTポリシーが適用されます。ポリシーが適用されると、適用されたポリシーに従って動作します。
【各CTにCTポリシーを適用した場合】
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、ファイル持出しだけできます。
CT(3)は、誰が操作しても、アプリケーション起動だけできます。
【CT(1)、CT(2)にはCTポリシーを適用し、CT(3)にはCTグループポリシーを適用した場合】
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、ファイル持出しだけできます。
CT(3)は、誰が操作しても、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
クライアント(CT)がインストールされたPCで、Windowsへのログオン時に入力するユーザー名に対して設定するポリシーを、ユーザーポリシーといいます。クライアント(CT)の操作時に、ユーザーポリシーが有効になっている場合、どのPCから操作しても、ログオンしたユーザー名に設定されているポリシーに従って、禁止操作やログ採取が実施されます。ユーザー名ごとに異なるポリシーを設定できます。
また、部門ごとにユーザーをグループ化したり、作業内容が同じユーザーをグループ化したりして、そのグループに対して設定するポリシーをユーザーグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからユーザーとユーザーグループに対して、以下の設定を行っています。
ユーザーごとに以下のポリシーを設定します。
ユーザー名:0100のユーザーは、印刷だけできます。
印刷禁止:しない
ファイル持出し禁止:する
アプリケーション起動禁止:する
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
印刷禁止:する
ファイル持出し禁止:しない
アプリケーション起動禁止:する
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
印刷禁止:する
ファイル持出し禁止:する
アプリケーション起動禁止:しない
ユーザーをグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各ユーザー名でWindowsにログオンすると、ユーザーポリシーが適用されます。ポリシーが適用されると、ログオンしたクライアント(CT)のCTポリシーに関係なく、ユーザーポリシーに従って動作します。
【各CTにユーザーポリシーを適用した場合】
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
【ユーザー名:0100、ユーザー名:0200にはユーザーポリシーを適用し、ユーザー名:0300にはユーザーグループポリシーを適用した場合】
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
CTポリシー/ユーザーポリシーと設定可能な項目
CTポリシーとユーザーポリシーで、設定できる項目が異なります。以下に、設定可能な項目の一覧を示します。
設定項目 | CTポリシー | ユーザーポリシー | |
|---|---|---|---|
禁止機能 | ファイル持出し禁止 | ○ | ○ |
印刷禁止 | ○ | ○ | |
PrintScreenキー禁止 | ○ | ○ | |
ログオン禁止 | ○ | ― (注) | |
アプリケーション起動禁止 | ○ | ○ | |
メール添付禁止 | ○ | ○ | |
記録機能 | アプリケーション起動ログ | ○ | ○ |
アプリケーション終了ログ | ○ | ○ | |
アプリケーション起動禁止ログ | ○ | ○ | |
ウィンドウタイトル取得ログ | ○ | ○ | |
メール送信ログ | ○ | ○ | |
メール添付禁止ログ | ○ | ○ | |
コマンドプロンプト操作ログ | ○ | ○ | |
デバイス構成変更ログ | ○ | ○ | |
印刷操作ログ | ○ | ○ | |
印刷禁止ログ | ○ | ○ | |
ログオン禁止ログ | ○ | ― (注) | |
ファイル持出しログ | ○ | ○ | |
PrintScreenキー操作ログ | ○ | ○ | |
PrintScreenキー禁止ログ | ○ | ○ | |
ファイル操作ログ | ○ | ― (注) | |
ログオン/ログオフログ | ○ | ― (注) | |
連携アプリケーションログ | ○ | ― (注) | |
画面キャプチャ | ○ | ○ | |
○:設定できます。
―:設定できません。
注) クライアント(CT)操作時にユーザーポリシーが有効になる運用の場合、ユーザーポリシーとして設定できない項目に対しては、操作しているクライアント(CT)のCTポリシーの設定値が有効になります。
運用形態と、有効になる禁止操作/採取されるログ
CTポリシーやユーザーポリシーが設定され、クライアント(CT)に反映されると、クライアント(CT)での操作禁止やログ採取ができるようになりますが、運用形態によって、有効になる禁止操作と採取されるログが異なります。
以下に、有効になる項目の一覧を示します。
また、使用している環境によって、機能が制限される場合があります。詳細は、“1.2 機能に関する留意事項”を参照してください。
運用形態 | Systemwalker Desktop Keeperのクライアント(CT)の操作を記録する場合 | Citrix XenApp | |||
|---|---|---|---|---|---|
OSの起動モード | 通常モードで | セーフモード | 通常モードで起動 | ||
Windows Vista® | Windows® 2000 | ||||
禁 | ファイル持出し禁止 | ○ | ○ | ○ | ― |
印刷禁止 | ○ | ― | ― | ― | |
PrintScreenキー禁止 | ○ | ○ | ○ | ― | |
ログオン禁止 | ○ | ○ | ○ | ― | |
アプリケーション起動禁止 | ○ | ○ | ○ | ― | |
メール添付禁止 | ○(注4) | ― | ○ | ― | |
記 | アプリケーション起動ログ | ○ | ○ | ○ | ○ |
アプリケーション終了ログ | ○ | ○ | ○ | ○ | |
アプリケーション起動禁止ログ | ○ | ○ | ○ | ― | |
ウィンドウタイトル取得ログ | ○ | ○ | ○ | ○ | |
ウィンドウタイトル取得ログ(URL付き) | ○ | ○ | ○ | ○ | |
メール送信ログ | ○(注4) | ― | ○ | ― | |
メール添付禁止ログ | ○(注4) | ― | ○ | ― | |
コマンドプロンプト操作ログ | ○(注4) | ○ | ○ | ○ | |
デバイス構成変更ログ | ○ | ○ | ○ | ― | |
印刷操作ログ | ○ | ― | ― | ○ | |
印刷禁止ログ | ○ | ― | ― | ― | |
ログオン禁止ログ | ○ | ○ | ○ | ― | |
ファイル持出しログ | ○ | ○ | ○ | ― | |
PrintScreenキー操作ログ | ○ | ○ | ○ | ○ | |
PrintScreenキー禁止ログ | ○ | ○ | ○ | ― | |
ファイル操作ログ | ○ | ○ | ○ | ○ | |
ログオン/ログオフログ | ○ | ○(注2) | ○(注2) | ○(注2) | |
連携アプリケーションログ | ○ | ○ | ○ | ― | |
画面キャプチャ | ○ | ○ | ○ | ― | |
○:有効です。
―:無効です。
注1) Citrix XenApp 監視に設定されるポリシーは、CTポリシーです。ユーザーポリシーは設定されません。
注2) PC休止ログ、PC復帰ログは、採取されません。
注3) セーフモードまたはネットワークが使えるセーフモードで起動した場合は、CTポリシーだけの動作となります。ユーザーポリシーは適用されません。
注4) Windows Server® 2008 x64 Editionでは、禁止およびログの採取はできません。
