ポリシーとは
ポリシーとは、システムの運用方針に沿って決定した約束事です。
PC使用時に許可する操作と許可しない(禁止する)操作、および、どの操作のログを採取するかが定められている情報です。
ポリシーで設定できること
Systemwalker Desktop Keeperでは、ポリシーとして「禁止する操作」と「ログを採取する操作」を設定できます。
PCにクライアント(CT)をインストールすることで禁止できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
ファイル持出し禁止
ドライブ、ネットワークドライブ、リムーバブルドライブまたは、DVD/CDへのファイルやフォルダの持出しを、条件付きで禁止できます。
設定条件によっては、禁止されたドライブなどへ、「持出しユーティリティ」を使用して、ファイルやフォルダを持ち出すことができます。持ち出すときには、暗号化することもできます。
「持出しユーティリティ」については、“Systemwalker Desktop Keeper 運用ガイド クライアント編”を参照してください。
読み込み禁止
リムーバブルドライブ、ネットワークドライブまたは、DVD/CDからのデータ読み込みを禁止できます。
印刷禁止
指定したアプリケーション以外の印刷を禁止できます。
PrintScreenキー禁止
キーボードのPrintScreenキーを使用した画面のハードコピーの採取を禁止できます。このとき、どんな画面のハードコピーを採取しようとしたかが明らかになるように、画面キャプチャを採取することもできます。
ログオン禁止
設定したグループに所属しているユーザー名でのログオンを禁止できます。禁止設定が可能なグループは以下のとおりです。
Administrators
Backup Operators
Debugger Users
Power Users
Guests
Replicator
Users
Domain Admins
Domain Guests
Domain Users
Enterprise Admins
Group Policy Creator Owners
アプリケーション起動禁止
指定したアプリケーションの起動を禁止できます。
メール添付禁止
禁止対象となるファイルをメールに添付して、送信または保存することを禁止できます。
ただし、ポート監視方式(添付ファイルを送信するときに利用するメールソフトが、SMTPプロトコルを使用するタイプのもの)の場合は、保存の禁止はできません。
禁止対象として指定できるファイルは、暗号化していないファイル、または指定した拡張子のファイルです。
また、添付ファイルの中に1つでも、添付禁止対象のファイルがある場合、メール(メール本文と、すべての添付ファイル)は送信できません。
URLアクセス禁止
許可されていないURLへのアクセスを禁止できます。
FTPサーバ接続禁止
指定したFTPサーバ以外への接続を禁止できます。
Webアップロード・ダウンロード禁止
許可されていないWebサイトからのアップロード・ダウンロードを禁止できます。
クリップボード操作禁止
仮想環境から物理環境、物理環境から仮想環境へクリップボードを経由した情報の伝達を禁止できます。
PCにクライアント(CT)をインストールすることでログを採取できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
アプリケーション起動ログ
アプリケーション終了ログ
アプリケーション起動禁止ログ
ウィンドウタイトル取得ログ
メール送信ログ
メール送信中止ログ
メール添付禁止ログ
コマンドプロンプト操作ログ
デバイス構成変更ログ
印刷操作ログ
印刷禁止ログ
ログオン禁止ログ
ファイル持出しログ
PrintScreenキー操作ログ
PrintScreenキー禁止ログ
Web操作ログ
Web操作禁止ログ
FTP操作ログ
FTP操作禁止ログ
クリップボード操作ログ
クリップボード操作禁止ログ
ファイル操作ログ
ログオン/ログオフログ
連携アプリケーションログ
スマートデバイスにスマートデバイス(エージェント)をインストールすることで禁止できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
Wi-Fi接続禁止
ポリシーとして設定したWi-Fiアクセスポイントに接続を許可または接続を禁止することができます。
Bluetooth接続禁止
ポリシーとして設定したBluetooth機器とのペアリングを許可または禁止することができます。
アプリケーション使用禁止
ポリシーとして設定したアプリケーションの使用を禁止することができます。
スマートデバイスにスマートデバイス(エージェント)をインストールすることでログを採取できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
Wi-Fi接続ログ
Bluetooth接続ログ
アプリケーション使用ログ
Webアクセスログ
SDカードマウント/アンマウントログ
SIMカードマウント/アンマウントログ
電話発着信ログ
アプリケーション構成変更ログ
定義したポリシーを、何に対して設定するかによって、ポリシーの名称が異なります。
ポリシーを「クライアント(CT)」および「スマートデバイス(エージェント)」に対して設定する場合、「CTポリシー」といいます。
ポリシーを「ユーザー」に対して設定する場合、「ユーザーポリシー」といいます。(「ユーザーポリシー」は「スマートデバイス(エージェント)」には設定できません)
クライアント(CT)およびスマートデバイス(エージェント)に対して設定するポリシーを、CTポリシーといいます。クライアント(CT) およびスマートデバイス(エージェント)の操作時に、CTポリシーが有効になっている場合、どのユーザーが操作しても、クライアント(CT) およびスマートデバイス(エージェント)に設定されているポリシーに従って、禁止操作やログ採取が実施されます。クライアント(CT) およびスマートデバイス(エージェント)ごとに異なるポリシーを設定できます。
また、部門ごとにクライアント(CT) およびスマートデバイス(エージェント)をグループ化したり、使用目的が同じクライアント(CT) およびスマートデバイス(エージェント)をグループ化したりして、そのグループに対して設定するポリシーをCTグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからクライアント(CT) およびスマートデバイス(エージェント)とCTグループに対して、以下の設定を行っています。
クライアント(CT) およびスマートデバイス(エージェント)ごとに以下のポリシーを設定します。
1つのCTポリシーに対して、クライアント(CT)に対応する設定(印刷禁止、ファイル持出し禁止など)とスマートデバイス(エージェント)に対応する設定(Wi-Fi禁止、Bluetooth接続禁止など)両方の設定が出来ます。
CTポリシーの適用先がクライアント(CT)の場合は、クライアント(CT)に対応する設定が有効になり、適用先がスマートデバイス(エージェント)の場合は、スマートデバイス(エージェント)に対応する設定が有効となります。
CT(1)は、印刷だけできます。
印刷禁止:しない(有効)
ファイル持出し禁止:する(有効)
アプリケーション起動禁止:する(有効)
Wi-Fi禁止:する(無効)
CT(2)は、ファイル持出しだけできます。
印刷禁止:する(有効)
ファイル持出し禁止:しない(有効)
アプリケーション起動禁止:する(有効)
Wi-Fi禁止:しない(無効)
スマートデバイスエージェント(1)は、Wi-Fiが使えません。
印刷禁止:する(無効)
ファイル持出し禁止:する(無効)
アプリケーション起動禁止:しない(無効)
Wi-Fi禁止:する(有効)
クライアント(CT) およびスマートデバイス(エージェント)をグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各クライアント(CT) およびスマートデバイス(エージェント)には、次回起動時または即時にCTポリシーが適用されます。ポリシーが適用されると、適用されたポリシーに従って動作します。
【各CTにCTポリシーを適用した場合】
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、ファイル持出しだけできます。
スマートデバイスエージェント(1)は、Wi-Fiの利用は禁止されています。
【CT(1)にはCTポリシーを適用し、CT(2) 、CT(3)にはCTグループポリシーを適用した場合】
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
スマートデバイスエージェント(1)は、Wi-Fiの利用は許可されています。
クライアント(CT)がインストールされたPCで、Windowsへのログオン時に入力するユーザー名に対して設定するポリシーを、ユーザーポリシーといいます。クライアント(CT)の操作時に、ユーザーポリシーが有効になっている場合、どのPCから操作しても、ログオンしたユーザー名に設定されているポリシーに従って、禁止操作やログ採取が実施されます。ユーザー名ごとに異なるポリシーを設定できます。
また、部門ごとにユーザーをグループ化したり、作業内容が同じユーザーをグループ化したりして、そのグループに対して設定するポリシーをユーザーグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
なお、スマートデバイス(エージェント)には、ユーザーポリシーおよびユーザーグループポリシーの設定はできません。
上記イメージ図では、管理コンソールからユーザーとユーザーグループに対して、以下の設定を行っています。
ユーザーごとに以下のポリシーを設定します。
ユーザー名:0100のユーザーは、印刷だけできます。
印刷禁止:しない
ファイル持出し禁止:する
アプリケーション起動禁止:する
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
印刷禁止:する
ファイル持出し禁止:しない
アプリケーション起動禁止:する
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
印刷禁止:する
ファイル持出し禁止:する
アプリケーション起動禁止:しない
ユーザーをグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各ユーザー名でWindowsにログオンすると、ユーザーポリシーが適用されます。ポリシーが適用されると、ログオンしたクライアント(CT)のCTポリシーに関係なく、ユーザーポリシーに従って動作します。
【各CTにユーザーポリシーを適用した場合】
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
【ユーザー名:0100、ユーザー名:0200にはユーザーポリシーを適用し、ユーザー名:0300にはユーザーグループポリシーを適用した場合】
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
CTポリシー/ユーザーポリシーと設定可能な項目
CTポリシーとユーザーポリシーで、設定できる項目が異なります。以下に、設定可能な項目の一覧を示します。
設定項目 | CTポリシー | ユーザーポリシー | ||
|---|---|---|---|---|
クライアント (CT) | スマートデバイス (エージェント) | クライアント (CT) | ||
禁 | ファイル持出し禁止 | ○ | ― | ○ |
読み込み禁止 | ○ | ― | ○ | |
印刷禁止 | ○ | ― | ○ | |
PrintScreenキー禁止 | ○ | ― | ○ | |
ログオン禁止 | ○ | ― | ― (注) | |
アプリケーション起動禁止 | ○ | ― | ○ | |
メール添付禁止 | ○ | ― | ○ | |
URLアクセス禁止 | ○ | ― | ○ | |
FTPサーバ接続禁止 | ○ | ― | ○ | |
Webアップロード・ダウンロード禁止 | ○ | ― | ○ | |
クリップボード操作禁止 | ○ | ― | ○ | |
Wi-Fi接続禁止 | ― | ○ | ― | |
Bluetooth接続禁止 | ― | ○ | ― | |
アプリケーション使用禁止 | ― | ○ | ― | |
記 録 機 能 | アプリケーション起動ログ | ○ | ― | ○ |
アプリケーション終了ログ | ○ | ― | ○ | |
アプリケーション起動禁止ログ | ○ | ― | ○ | |
ウィンドウタイトル取得ログ | ○ | ― | ○ | |
メール送信ログ | ○ | ― | ○ | |
メール送信中止ログ | ○ | ― | ○ | |
メール添付禁止ログ | ○ | ― | ○ | |
コマンドプロンプト操作ログ | ○ | ― | ○ | |
デバイス構成変更ログ | ○ | ― | ○ | |
印刷操作ログ | ○ | ― | ○ | |
印刷禁止ログ | ○ | ― | ○ | |
ログオン禁止ログ | ○ | ― | ― (注) | |
ファイル持出しログ | ○ | ― | ○ | |
PrintScreenキー操作ログ | ○ | ― | ○ | |
PrintScreenキー禁止ログ | ○ | ― | ○ | |
Web操作ログ | ○ | ― | ○ | |
Web操作禁止ログ | ○ | ― | ○ | |
FTP操作ログ | ○ | ― | ○ | |
FTP操作禁止ログ | ○ | ― | ○ | |
クリップボード操作ログ | ○ | ― | ○ | |
クリップボード操作禁止ログ | ○ | ― | ○ | |
ファイル操作ログ | ○ | ― | ― (注) | |
ログオン/ログオフログ | ○ | ― | ― (注) | |
連携アプリケーションログ | ○ | ― | ― (注) | |
画面キャプチャ | ○ | ― | ○ | |
Wi-Fi接続ログ | ― | ○ | ― | |
Wi-Fi接続禁止ログ | ― | ○ | ― | |
Bluetooth接続ログ | ― | ○ | ― | |
Bluetooth接続禁止ログ | ― | ○ | ― | |
アプリケーション使用ログ | ― | ○ | ― | |
アプリケーション使用禁止ログ | ― | ○ | ― | |
Webアクセスログ | ― | ○ | ― | |
SDカードマウント/アンマウントログ | ― | ○ | ― | |
SIMカードマウント/アンマウントログ | ― | ○ | ― | |
電話発着信ログ | ― | ○ | ― | |
アプリケーション構成変更ログ | ― | ○ | ― | |
○:設定できます。
―:設定できません。
注) クライアント(CT)操作時にユーザーポリシーが有効になる運用の場合、ユーザーポリシーとして設定できない項目に対しては、操作しているクライアント(CT)のCTポリシーの設定値が有効になります。
運用形態と、有効になる禁止操作/採取されるログ
CTポリシーやユーザーポリシーが設定され、クライアント(CT)に反映されると、クライアント(CT)での操作禁止やログ採取ができるようになりますが、運用形態によって、有効になる禁止操作と採取されるログが異なります。
以下に、有効になる項目の一覧を示します。
また、使用している環境によって、機能が制限される場合があります。詳細は、“1.2 機能に関する留意事項”を参照してください。
運用形態 | Systemwalker Desktop Keeperのクライアント(CT)の操作を記録する場合 | Citrix XenApp | |||
|---|---|---|---|---|---|
OSの起動モード | 通常モードで | セーフモード | 通常モードで起動 | ||
Windows Vista® | Windows® XP | ||||
禁 | ファイル持出し禁止 | ○ | ○ | ○ | ― |
印刷禁止 | ○ | ― | ― | ― | |
PrintScreenキー禁止 | ○ | ○ | ○ | ― | |
ログオン禁止 | ○ | ○ | ○ | ― | |
アプリケーション起動禁止 | ○ | ○ | ○ | ― | |
メール添付禁止 | ○ | ― | ○ | ― | |
URLアクセス禁止 | ○ | ○ | ○ | ― | |
FTPサーバ接続禁止 | ○ | ○ | ○ | ― | |
Webアップロード・ダウンロード禁止 | ○ | ○ | ○ | ― | |
クリップボード禁止 | ○ | ○ | ○ | ― | |
記 | アプリケーション起動ログ | ○ | ○ | ○ | ○ |
アプリケーション終了ログ | ○ | ○ | ○ | ○ | |
アプリケーション起動禁止ログ | ○ | ○ | ○ | ― | |
ウィンドウタイトル取得ログ | ○ | ○ | ○ | ○ | |
ウィンドウタイトル取得ログ(URL付き) | ○ | ○ | ○ | ○ | |
メール送信ログ | ○ | ― | ○ | ― | |
メール送信中止ログ | ○ | ○ | ○ | ― | |
メール添付禁止ログ | ○ | ― | ○ | ― | |
コマンドプロンプト操作ログ | ○(注4) | ○ | ○ | ○ | |
デバイス構成変更ログ | ○ | ○ | ○ | ― | |
印刷操作ログ | ○ | ― | ― | ○ | |
印刷禁止ログ | ○ | ― | ― | ― | |
ログオン禁止ログ | ○ | ○ | ○ | ― | |
ファイル持出しログ | ○ | ○ | ○ | ― | |
PrintScreenキー操作ログ | ○ | ○ | ○ | ○ | |
PrintScreenキー禁止ログ | ○ | ○ | ○ | ― | |
Web操作ログ | ○ | ○ | ○ | ○ | |
Webアップロード禁止ログ | ○ | ○ | ○ | ― | |
Webダウンロード禁止ログ | ○ | ○ | ○ | ― | |
FTP操作ログ | ○ | ○ | ○ | ○ | |
FTP操作禁止ログ | ○ | ○ | ○ | ― | |
クリップボード操作ログ | ○ | ○ | ○ | ○ | |
クリップボード操作禁止ログ | ○ | ○ | ○ | ― | |
ファイル操作ログ | ○ | ○ | ○ | ○ | |
ログオン/ログオフログ | ○ | ○(注2) | ○(注2) | ○(注2) | |
連携アプリケーションログ | ○ | ○ | ○ | ― | |
画面キャプチャ | ○ | ○ | ○ | ― | |
○:有効です。
―:無効です。
注1) Citrix XenApp 監視に設定されるポリシーは、CTポリシーです。ユーザーポリシーは設定されません。
注2) PC休止ログ、PC復帰ログは、採取されません。
注3) セーフモードまたはネットワークが使えるセーフモードで起動した場合は、CTポリシーだけの動作となります。ユーザーポリシーは適用されません。
注4) Windows Server® 2008 64ビット版、Windows Server® 2008 R2では、禁止およびログの採取はできません。
注5) セーフモードまたはネットワークが使えるセーフモードで起動した場合は、次に通常モードで起動するまで管理サーバに操作ログが送信されない場合があります。
