セキュリティ設定の監査を行う場合は、以下の設定が必要です。
監査する更新プログラムの設定
監査するウイルス対策ソフトウェアまたは暗号化ソフトウェアの設定
監査する禁止ソフトウェアの設定
セキュリティ監査項目の設定
監査する更新プログラムを設定する
「更新プログラムの適用状況」の監査は、ソフトウェア辞書で監査対象として選択しているセキュリティパッチや、WSUS連携で拒否以外となっている更新プログラムについてチェックを行います。
ソフトウェア辞書による監査を行う場合は、メインメニューの[配信]-[セキュリティパッチの配信]で監査対象とするセキュリティパッチを選択します。セキュリティパッチの選択については、“6.2.4 セキュリティパッチを選択する”を参照してください。
WSUS連携による監査を行う場合は、メインメニューの[WSUS]-[更新プログラム]で承認状態が拒否済み以外が監査対象となりますので、拒否済みの更新プログラムを監査対象とする場合は承認し直してください。承認方法は、“9.2.3 更新プログラムを承認する”を参照してください。
監査するウイルス対策ソフトウェアまたは暗号化ソフトウェアを設定する
サポートセンター定義のソフトウェアを監査する場合は、“2.2.1 サポートセンター定義からソフトウェアを選択する”を参照してください。
ユーザー定義のソフトウェアを監査する場合は “2.2.2 ユーザー定義を作成する”を参照してください。
監査する禁止ソフトウェアを設定する
「禁止ソフトウェア」の監査は監査対象として選択している禁止ソフトウェアについてチェックを行います。
「禁止ソフトウェア」を定義し、クライアント側で禁止ソフトウェアを検出した場合は、そのソフトウェアを自動的に削除することもできます。
禁止ソフトウェアの定義は、以下の手順で行います。
メインメニューにログインし、[環境設定]をクリックします。
→[環境設定]画面が表示されます。
[監査ソフトウェアの設定]をクリックします。
→以下の画面が表示されます。
[禁止ソフトウェアの追加]ボタンをクリックします。
→以下の画面が表示されます。
以下の情報を定義します。
ソフトウェアの情報
項目 | 説明 |
|---|---|
[名称] | 監査の対象とするソフトウェア名を、全角128文字、半角256文字以内で指定します。本項目を省略することはできません。 |
[備考] | 備考を入力します。全角128文字以内、半角256文字以内で入力します。 指定可能文字は、英数字、ひらがな、カタカナ、漢字、および、次の半角記号です。 「-」「@」「.」「(」「)」「[」「]」「{」「}」「<」「>」「:」「;」 |
検索条件
本ソフトウェアの検索条件を指定します。
検索条件としては、ファイル検索、ハッシュ検索があります。どちらかの件が成立した場合にソフトウェアを検出します。
ファイル検索
禁止ソフトウェアをファイル名により検索したい場合は、[条件に一致するファイルを検索する]をチェックします。
項目 | 説明 |
|---|---|
[ファイル名] | 使用を禁止するソフトウェアとして検索したいファイル名を全角129文字、半角259文内以内で指定します。省略できません。 なお、以下の文字は指定できません。 「:」、「\」、「*」、「"」、「<」、「>」、「|」、「?」、「/」 |
ハッシュ検索
禁止ソフトウェアをハッシュ情報により検索したい場合は、[ハッシュ検索を有効にする]をチェックします。
ハッシュ情報は、コマンドが出力した結果ファイルをサーバに登録して行います。ハッシュ情報の登録は省略できません。コマンドの詳細については“リファレンスマニュアル”の“dtpfinfo.exe(実行ファイルの詳細情報の取得)”を参照してください。
ハッシュ情報は、一度登録すると削除できません。ハッシュ検索が不要な場合は「ハッシュ検索を有効にする」のチェックを外してください。
禁止ソフトウェアとして定義する対象ファイルが追加になった場合のために、以前にハッシュ情報を作成したファイル/フォルダをバックアップしておくことをおすすめします。
[OK]ボタンをクリックします。
→以下の画面が表示されます。
監査対象とするソフトウェア名の先頭にあるチェックボックスをチェックします。
[適用]ボタンをクリックして、チェック状態を保存します。
監査項目を設定する
監査するセキュリティの設定項目を、メインメニューの[環境設定]-[ポリシーグループ管理]で設定します。
詳細は、“4.2.2.1 セキュリティ設定の監査項目を設定する”を参照してください。
セキュリティ設定の監査項目を設定します。
手順は、以下のとおりです。
なお、コマンドモードCTに対しても監査項目の設定は有効です。画面を表示する設定にした場合は運用設定の診断結果画面が表示されます。
メインメニューにログインし、[環境設定]をクリックします。
→[環境設定]画面が表示されます。
[ポリシーグループ管理]をクリックします。
→以下の画面が表示されます。
[各種ポリシーのカスタマイズ]ボタンをクリックします。
→以下の画面が表示されます。
[セキュリティポリシー]タブをクリックします。
→以下の画面が表示されます。
用途に合せて、以下のどちらかの設定パターンを選択し、ポリシー名のリンクをクリックします。
各ポリシーには推奨する値が設定されています。これらの設定をベースにカスタマイズすることもできます。
用途 | 監査内容 |
|---|---|
PCのセキュリティ | 一般従業員用の業務PC(デスクトップPC、ノートPC)に対するセキュリティ監査設定です。 すべてのセキュリティの監査項目について監査する設定がされています。 |
サーバのセキュリティ | サーバPCに対するセキュリティ監査設定です。 セキュリティパッチ以外の監査項目について監査する設定がされています。 |
運用設定の診断結果画面の動作設定を行います。
[動作設定]タブをクリックすると、以下の画面が表示されます。
以下の項目を設定します。
項目 | 説明 | 初期値 | |
|---|---|---|---|
[PCの自動対処] | NG項目をSystemwalker Desktop Patrolによって自動的に設定変更するかどうかを設定します。 | しない | |
[運用設定の診断結果画面を表示する] (注) | 運用設定の診断結果画面を表示するかを設定します。 チェックした場合は、以下の項目を設定できます。 | チェックする | |
[画面の自動表示] | 診断結果画面を自動的に表示するタイミングを以下から選択します。
| 表示しない | |
| |||
[診断結果を修正する機能] | 自動対処不可能な監査項目の診断結果をOKに修正する機能を使用するときに、パスワードの入力を必要とするかどうかを指定します。 パスワードは、1~32文字以内の半角英数字および記号で指定してください。 | チェックしない | |
[診断結果にNGが存在する場合] | NG項目が存在する場合に、運用設定の診断結果画面をユーザーによって閉じられなくする場合にチェックします。 | チェックしない | |
[起動時の表示項目] | 監査画面の起動した時に、常にすべての項目を表示する場合にチェックします。 | チェックしない | |
注)
本項目は、省電力ポリシーとセキュリティポリシーで異なる設定をすることができます。
それぞれのポリシーで異なる設定をした場合の動作は以下のとおりです。
設定項目 | 省電力ポリシー | セキュリティポリシー | 動作 | |
|---|---|---|---|---|
[運用設定の診断結果画面を表示する] | - | チェックする/チェックしない | チェックする/チェックしない | チェックを付けたタブが表示されます。 両方ともチェックしない場合は、画面が表示されません。 |
[画面の自動表示] | 表示しない | 表示しない | 画面が自動表示されません。 | |
表示しない | ログオン時に表示する | ログオン時に画面が自動表示されます。 | ||
表示しない | ログオン時および指定時間に表示する | ログオン時と指定した時間に画面が自動表示されます。 | ||
ログオン時に表示する | 表示しない | ログオン時に画面が自動表示されます。 | ||
ログオン時に表示する | ログオン時に表示する | ログオン時に画面が自動表示されます。 | ||
ログオン時に表示する | ログオン時および指定時間に表示する | ログオン時と指定した時間に画面が自動表示されます。 | ||
ログオン時および指定時間に表示する | 表示しない | ログオン時と指定した時間に画面が自動表示されます。 | ||
ログオン時および指定時間に表示する | ログオン時に表示する | ログオン時と指定した時間に画面が自動表示されます。 | ||
ログオン時および指定時間に表示する | ログオン時および指定時間に表示する | ログオン時と指定した時間に画面が自動表示されます。(*1) | ||
[表示時にインベントリ収集を行う] | チェックする/チェックしない | チェックする/チェックしない | チェックを付けると、[画面の自動表示]で指定したタイミングでインベントリ収集が行われます。 それぞれのポリシーで動作を設定できます。 | |
[診断結果を修正する機能] | - | チェックする/チェックしない | 本項目はセキュリティポリシーのみ設定できます。 | |
[診断結果にNG項目が存在する場合] | チェックする/チェックしない | チェックする/チェックしない | チェック付けたタブにNG項目があると画面を閉じることができません。 | |
[起動時の表示項目] | チェックする/チェックしない | チェックする/チェックしない | チェックを付けたタブの絞込み機能が無効になります。 | |
*1)省電力ポリシーとセキュリティポリシーで、指定時間に異なる時間を指定した場合は、以下の3つのタイミングで画面が自動表示されます。
ログオン時
省電力ポリシーで設定した指定時間
セキュリティポリシーで設定した指定時間
システムセキュリティ監査の項目を設定します。
[システムセキュリティ監査設定]タブをクリックすると、以下の画面が表示されます。
以下の監査項目を設定します。
ハードウェア
項目 | 詳細 | 説明 | 自動対処時に設定される値 | 初期値 | |
|---|---|---|---|---|---|
PCのセキュリティ | サーバのセキュリティ | ||||
[BIOS/ハードディスクパスワード] | [診断結果を修正可能とする] | 診断結果を修正可能とする場合にチェックします。 | - | - | - |
[起動パスワード] | BIOSの起動パスワード(ユーザー用パスワード)が設定されているかどうかを監査します。 以下から選択します。
| 自動対処不可 | 監査する | 監査する | |
[設定パスワード] | BIOSの設定パスワード(管理者用パスワード)が設定されているかどうかを監査します。 以下から選択します。
| 自動対処不可 | 監査する | 監査する | |
[ハードディスクパスワード] | ハードディスクパスワードが設定されているかどうかを監査します。 以下から選択します。
| 自動対処不可 | 監査する | 監査する | |
OS
項目 | 詳細 | 説明 | 自動対処時に設定される値 | 初期値 | |
|---|---|---|---|---|---|
PCのセキュリティ | サーバのセキュリティ | ||||
[オペレーティングシステム] | [診断結果を修正可能とする] | 診断結果を修正可能とする場合にチェックします。 | - | - | - |
[サポート状況] | 使用しているオペレーティングシステムがサポート終了していないOS(SPを含む)かどうかを監査します。 以下の項目から選択します。
| 自動対処不可 | 監査する | 監査する | |
[更新プログラム] | [適用状況] | すべてのセキュリティパッチが適用されているかどうかを監査します。 以下から選択します。
| 監査するとした場合、セキュリティパッチを適用 | 監査する | 監査しない |
[ログオン状況] | [自動ログオンの設定] | 自動ログオンが無効になっているかどうかを監査します。 以下から選択します。
| 無効に設定 | 監査する | 監査する |
[ようこそ画面の表示の有無] | ようこそ画面を表示しない設定になっているかどうかを監査します。 以下から選択します。
| 表示しないに設定 | 監査する | 監査する | |
[最後のユーザー名表示の有無] | ログオン画面に最後にログオンを行ったユーザーを表示しない設定になっているかどうかを監査します。 以下から選択します。
| 表示しないに設定 | 監査する | 監査する | |
[Windowsアカウント] | [診断結果を修正可能とする] | 診断結果を修正可能とする場合にチェックします。 | - | - | - |
[Guestのセキュリティ] | Guestアカウントが無効になっているか、無効でない場合は適切なパスワードが設定されているかどうかを監査します。(注1) 以下から選択します。
| 自動対処不可 | 監査する | 監査する | |
[Windowsセキュリティ情報] | [Windows Update(自動更新)の設定] | Windows Updateの設定が自動更新になっているかどうかを監査します。(注2) 以下から選択します。
| 自動更新に設定 | 監査しない | 監査しない |
[ユーザーアカウント制御(UAC)の設定] | UAC(ユーザーアカウント制御)が有効になっているかを監査します。 以下から選択します。
| 有効に設定 | 監査する | 監査する | |
[共有フォルダ] | [診断結果を修正可能とする] | 診断結果を修正可能とする場合にチェックします。 | - | - | - |
[設定状況] | すべてのユーザー(Everyoneアカウント)に冗長な権限が与えられている共有フォルダが存在しないことを監査します。 以下から選択します。
| 自動対処不可 | 読み取りのみ許可の場合OKとする | 読み取りのみ許可の場合OKとする | |
[スクリーンセーバー] | [スタンバイ回復時のパスワード入力の有無] | スタンバイから回復するときにパスワードの入力が必要になっているかどうかを監査します。 以下から選択します。
| 有効に設定 | 監査する | 監査する |
[パスワードのポリシー] | [複雑なパスワードを必要とする設定] | Windowsグループポリシーの「パスワードのポリシー」において「パスワードは要求する複雑さを満たす」が有効になっているかを監査します。(注3) 以下から選択します。
| 有効に設定 | 監査しない | 監査しない |
注1) [Guestのセキュリティ]ではログオンパスワードの入力を試行することで、単純なパスワードを利用していないか監査します。
このため、システムの設定によってはイベントログに監査対象のユーザーがパスワード変更に失敗したことが記録されます。また、Windowsグループポリシーでアカウントのロックアウト設定を行っている場合は、以下のどちらかの対策を必ず実施してください。これらの対策を実施しない場合、当監査機能によりGuestアカウントをロックアウトされることがあります。
・Windowsグループポリシーでアカウントのロックアウト設定を5回以上とする。
・CustomPolicy.exeコマンドでGuestアカウントのパスワード監査を行わないように設定する。
注2) [WindowsUpdate(自動更新)の設定]では、Windowsのグループポリシーに以下を設定していた場合、OKと診断します。
・有効:2-ダウンロードとインストールを通知
・有効:3-自動ダウンロードしインストール通知
・有効:4-自動ダウンロードしインストール日時を指定
・有効:5-ローカルの管理者の設定選択を許可
Windowsのグループポリシーに「無効」を設定した場合、NGと診断します。
注3) [複雑なパスワードを必要とする設定]を監査する項目は、Windowsのグループポリシーに対して、監査と対処を実施します。
現在使用しているパスワードが複雑さの要件を満たしていない場合でも、Windowsのグループポリシーの定義が行われていれば、OKが表示されます。対処実施後に複雑さの要件を満たさないパスワードに変更しようとすると、複雑さの要件を満たすようWindowsに要求されます。
また、以下のWindowsのエディションではグループポリシー機能が提供されていないため、[監査する]と設定した場合でも監査や対処を行いません。
・Windows 8.1
・Windows 10 Home
ソフトウェア
項目 | 詳細 | 説明 | 自動対処時に設定される値 | 初期値 | |
|---|---|---|---|---|---|
PCのセキュリティ | サーバのセキュリティ | ||||
[ファイアウォール] | [診断結果を修正可能とする] | 診断結果を修正可能とする場合にチェックします。 | - | - | - |
[設定状況] | ファイアウォールの設定が有効であるかどうかを監査します。 以下から選択します。
| 自動対処不可 | 監査する | 監査する | |
[暗号化ソフトウェア] | [診断結果を修正可能とする] | 診断結果を修正可能とする場合にチェックします。 | - | - | - |
[導入状況] | 暗号化ソフトウェアがインストールされているかどうかを監査します。 以下から選択します。
“監査する”を選択した場合は、監査する暗号化ソフトウェアの名称をチェックします。(注1) | 自動対処不可 | 監査する | 監査する | |
[ウイルス対策ソフトウェア] | [診断結果を修正可能とする] | 診断結果を修正可能とする場合にチェックします。 | - | - | - |
[導入状況] | ウイルス対策ソフトウェアがインストールされているかどうかを監査します。 以下から選択します。
“監査する”を選択した場合は、監査するウイルス対策ソフトウェアの名称をチェックします。(注2) | 自動対処不可 | 監査する | 監査する | |
[ウイルスパターンの状況] | ウイルスパターンがセキュリティ上適切かどうかを監査します。ウイルスパターンの許容世代数を指定します。 以下から選択します。
※選択できる範囲は1~30世代以内です。 | 自動対処不可 | 30世代以内をOKとする | 30世代以内をOKとする | |
[リアルタイムスキャンの設定] | リアルタイムスキャンが設定されているかどうかを監査します。 以下から選択します。
| 自動対処不可 | 監査する | 監査する | |
[定時スキャンの状況] | 定時スキャンが設定されており、また1週間以内に実行されていることを監査します。 以下から選択します。
| 自動対処不可 | 監査する | 監査する | |
[スキャン対象範囲] | すべてのファイルがスキャン対象となっていることを監査します。 以下から選択します。
| 自動対処不可 | 監査する | 監査する | |
[禁止ソフトウェア] | [導入状況] | 禁止ソフトウェアがインストールされていないことを監査します。 以下から選択します。
“監査する”を選択した場合は、監査する禁止ソフトウェアの名称をチェックします。(注3) | 禁止ソフトウェアを削除 | 監査する | 監査する |
注1) 事前に[環境設定]-[監査ソフトウェアの設定]画面で、以下の設定が必要です。
- ソフトウェアを監査対象とする。
- 監査対象としたソフトウェアの名称のリンクをクリックして詳細情報を表示し、[セキュリティ監査]を[暗号化ソフトウェアとして監査する]に設定する。
注2) 事前に[環境設定]-[監査ソフトウェアの設定]画面で、以下の設定が必要です。
- ソフトウェアを監査対象とする。
- 監査対象としたソフトウェアの名称のリンクをクリックして詳細情報を表示し、[セキュリティ監査]を[ウイルス対策ソフトウェアとして監査する]に設定する。
注3) 監査する禁止ソフトウェアを選択するためには、[環境設定]-[監査ソフトウェア]の[禁止ソフトウェア]に事前に定義しておく必要があります。
ユーザーセキュリティ監査の項目を設定します。
[ユーザーセキュリティ監査設定]タブをクリックすると、以下の画面が表示されます。
以下の監査項目を設定します。
なお、「自動対処の値」とは、以下の設定/操作を行った時にSystemwalker Desktop Patrolによって自動的に変更される値です。
[動作設定]タブで[PCの自動対処]を“する”にチェックした場合
CTの[運用設定の診断結果]画面で[対処]ボタンを押した場合
OS
項目 | 詳細 | 説明 | 自動対処時に設定される値 | 初期値 | |
|---|---|---|---|---|---|
PCのセキュリティ | サーバのセキュリティ | ||||
[スクリーンセーバー] | [起動の有無] | スクリーンセーバーを起動する設定になっているかどうかを監査します。 以下から選択します。
| 起動するに設定 | 監査する | 監査する |
[起動までの時間] | スクリーンセーバーが適切な待ち時間で起動するかどうかを監査します。
※選択できる範囲は1~60分以内です。 | 監査OKとした値に設定 | 10分後以内をOKとする | 10分後以内をOKとする | |
[パスワードによる保護の設定] | パスワードによる保護が有効になっているかどうかを監査します。 以下から選択します。
| 有効に設定 | 監査する | 監査する | |
[Windowsアカウント] | [診断結果を修正可能とする] | 診断結果を修正可能とする場合にチェックします。 | - | - | - |
[ログオンパスワードのセキュリティ] | ログオンしているユーザーに適切なWindowsパスワードが設定されているかどうかを監査します。(注) 以下から選択します。
| 自動対処不可 | 監査する | 監査する | |
注) [ログオンパスワードのセキュリティ]ではログオンパスワードの入力を試行することで、単純なパスワードを利用していないか監査します。
このため、システムの設定によってはイベントログに監査対象のユーザーがパスワード変更に失敗したことが記録されます。また、グループポリシーでアカウントのロックアウト設定を行っている場合は、以下のどちらかの対策を必ず実施してください。これらの対策を実施しない場合、当監査機能によりアカウントをロックアウトされることがあります。
・グループポリシーでアカウントのロックアウト設定を、5回以上とする。
・[ログオンパスワードのセキュリティ]は[監査しない]と設定し、[複雑なパスワード指定の有無]で[監査する]と設定する。
Internet Explorer
項目 | 詳細 | 説明 | 自動対処時に設定される値 | 初期値 | |
|---|---|---|---|---|---|
PCのセキュリティ | サーバのセキュリティ | ||||
[インターネットゾーンの設定状況] | [設定状況] | Internet Explorerのセキュリティゾーンが適切な設定になっているかどうかを監査します。 以下から選択します。
| 監査OKとした値に設定 | 中高以上をOKとする | 中高以上をOKとする |
[カスタムの扱い] | セキュリティゾーンがカスタムの場合の監査結果を設定します。 以下から選択します。
| [NGとする]を選択すると、[設定状況]に定義した値に設定 | NGとする | NGとする | |
ソフトウェア
項目 | 詳細 | 説明 | 自動対処時に設定される値 | 初期値 | |
|---|---|---|---|---|---|
PCのセキュリティ | サーバのセキュリティ | ||||
[Googleデスクトップ] | [複数のコンピュータのデータ検索の設定] | Googleデスクトップの「複数のコンピュータ上のデータ検索」機能が無効になっていることを監査します。 以下から選択します。
| 無効に設定 | 監査する | 監査する |
設定した内容を保存する場合は、[適用]ボタンをクリックします。
設定した内容を別の設定パターンとして保存したい場合は、[名前を付けて保存]ボタンをクリックします。
ポイント
禁止ソフトウェアとして検知されSystemwalker Desktop Patrolにより削除されたファイルは、以下のコマンドで復旧できます。
削除されたファイルの一覧を表示します。
<DTPインストールディレクトリ>\invcl\bin\prestore.exe -list
No 削除日付 復元ファイル ---+---------------------+---------------------------- 1 2009/06/18 12:00:00 C:\Winny\Winny.exe 2 2009/06/18 14:00:00 C:\Winny2\Winny2.exe
|
一覧から復旧するファイルを指定して復旧します。
<DTPインストールディレクトリ>\invcl\bin\prestore.exe -rest 2
指定したファイルが復旧されます。
注意
自動対処について
Active Directory環境では、Windowsグループポリシーの設定が有効になるため、自動対処できない場合があります。Windowsグループポリシーで設定している項目は、監査しない設定とするか、Windowsグループポリシーで設定を変更してください。
