ポリシーとは
ポリシーとは、システムの運用方針に沿って決定した約束事です。
PC使用時に許可する操作と許可しない(禁止する)操作、および、どの操作のログを採取するかが定められている情報です。
ポリシーで設定できること
Systemwalker Desktop Keeperでは、ポリシーとして「禁止する操作」と「ログを採取する操作」を設定できます。
PCにクライアント(CT)をインストールすることで禁止できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
ファイル持出し禁止
ドライブ、ネットワークドライブ、リムーバブルドライブまたは、DVD/CDへのファイルやフォルダの持出しを、条件付きで禁止できます。
設定条件によっては、禁止されたドライブなどへ、「持出しユーティリティ」を使用して、ファイルやフォルダを持ち出すことができます。持ち出すときには、暗号化することもできます。
「持出しユーティリティ」については、“運用ガイド クライアント編”の“持出しユーティリティを使用してファイルやフォルダを持ち出す”を参照してください。
読み込み禁止
リムーバブルドライブ、ネットワークドライブまたは、DVD/CDからのデータ読み込みを禁止できます。
印刷禁止
指定したアプリケーション以外の印刷を禁止できます。
PrintScreenキー禁止
キーボードのPrintScreenキーを使用した画面のハードコピーの採取を禁止できます。このとき、どんな画面のハードコピーを採取しようとしたかが明らかになるように、画面キャプチャを採取することもできます。
ログオン禁止
設定したグループに所属しているユーザー名でのログオンを禁止できます。禁止設定が可能なグループは以下のとおりです。
Administrators
Backup Operators
Debugger Users
Power Users
Guests
Replicator
Users
Domain Admins
Domain Guests
Domain Users
Enterprise Admins
Group Policy Creator Owners
Microsoftアカウント
アプリケーション起動禁止
指定したアプリケーションの起動を禁止できます。
メール添付禁止
禁止対象となるファイルをメールに添付して、送信または保存することを禁止できます。
ただし、ポート監視方式(添付ファイルを送信するときに利用するメールソフトが、SMTPプロトコルを使用するタイプのもの)の場合は、保存の禁止はできません。
禁止対象として指定できるファイルは、暗号化していないファイル、または指定した拡張子のファイルです。
また、添付ファイルの中に1つでも、添付禁止対象のファイルがある場合、メール(メール本文と、すべての添付ファイル)は送信できません。
URLアクセス禁止
許可されていないURLへのアクセスを禁止できます。
FTPサーバ接続禁止
指定したFTPサーバ以外への接続を禁止できます。
Webアップロード・ダウンロード禁止
許可されていないWebサイトからのアップロード・ダウンロードを禁止できます。
クリップボード操作禁止
仮想環境から物理環境、物理環境から仮想環境へクリップボードを経由した情報の伝達を禁止できます。
Wi-Fi接続禁止
許可されていないWi-Fi接続を禁止できます。
Bluetooth接続禁止
許可されていないBluetooth機器種別とのペアリングを禁止できます。
PCカード使用禁止
許可されていないPCカードの使用を禁止できます。
PCI ExpressCard使用禁止
PCI ExpressCardの使用を禁止できます。
赤外線通信禁止
赤外線通信を禁止できます。
シリアルポート/パラレルポート使用禁止
シリアルポート/パラレルポートの使用を禁止できます。
IEEE1394使用禁止
IEEE1394の使用を禁止できます。
PCにクライアント(CT)をインストールすることでログを採取できる操作には、以下の種類があります。これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
アプリケーション起動ログ
アプリケーション終了ログ
アプリケーション起動禁止ログ
ウィンドウタイトル取得ログ
メール送信ログ
メール受信ログ
メール送信中止ログ
メール添付禁止ログ
コマンドプロンプト操作ログ
デバイス構成変更ログ
印刷操作ログ
印刷禁止ログ
ログオン禁止ログ
ファイル持出しログ
PrintScreenキー操作ログ
PrintScreenキー禁止ログ
Web操作ログ
Web操作禁止ログ
FTP操作ログ
FTP操作禁止ログ
クリップボード操作ログ
クリップボード操作禁止ログ
ファイル操作ログ
ログオン/ログオフログ
環境変更ログ
連携アプリケーションログ
セキュリティリスクの発生時に、クライアント(CT)に設定するポリシーを一時的に変更します。
設定できるポリシーは、上記の“禁止する操作を設定する(PC)”および“ログを採取する操作を設定する(PC)”で設定するポリシーです。
これらのポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
ポリシーの設定対象
定義したポリシーを、何に対して設定するかによって、ポリシーの名称が異なります。
ポリシーを「クライアント(CT)」に対して設定する場合、「CTポリシー」といいます。
ポリシーを「ユーザー」に対して設定する場合、「ユーザーポリシー」といいます。
また、セキュリティリスクの発生時に、クライアント(CT)に一時的に設定するポリシーを「緊急対処設定ポリシー」といいます。
クライアント(CT)に対して設定するポリシーを、CTポリシーといいます。クライアント(CT)の操作時に、CTポリシーが有効になっている場合、どのユーザーが操作しても、クライアント(CT)に設定されているポリシーに従って、禁止操作やログ採取が実施されます。クライアント(CT)ごとに異なるポリシーを設定できます。
また、部門ごとにクライアント(CT)をグループ化したり、使用目的が同じクライアント(CT)をグループ化したりして、そのグループに対して設定するポリシーをCTグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからクライアント(CT)とCTグループに対して、以下の設定を行っています。
クライアント(CT)ごとに以下のポリシーを設定します。
CT(1)は、印刷だけできます。
印刷禁止:しない
ファイル持出し禁止:する
アプリケーション起動禁止:する
CT(2)は、ファイル持出しだけできます。
印刷禁止:する
ファイル持出し禁止:しない
アプリケーション起動禁止:する
クライアント(CT)をグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各クライアント(CT)には、次回起動時または即時にCTポリシーが適用されます。ポリシーが適用されると、適用されたポリシーに従って動作します。
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、ファイル持出しだけできます。
CT(1)は、誰が操作しても、印刷だけできます。
CT(2)は、誰が操作しても、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
クライアント(CT)がインストールされたPCで、Windowsへのログオン時に入力するユーザー名に対して設定するポリシーを、ユーザーポリシーといいます。クライアント(CT)の操作時に、ユーザーポリシーが有効になっている場合、どのPCから操作しても、ログオンしたユーザー名に設定されているポリシーに従って、禁止操作やログ採取が実施されます。ユーザー名ごとに異なるポリシーを設定できます。
また、部門ごとにユーザーをグループ化したり、作業内容が同じユーザーをグループ化したりして、そのグループに対して設定するポリシーをユーザーグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからユーザーとユーザーグループに対して、以下の設定を行っています。
ユーザーごとに以下のポリシーを設定します。
ユーザー名:0100のユーザーは、印刷だけできます。
印刷禁止:しない
ファイル持出し禁止:する
アプリケーション起動禁止:する
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
印刷禁止:する
ファイル持出し禁止:しない
アプリケーション起動禁止:する
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
印刷禁止:する
ファイル持出し禁止:する
アプリケーション起動禁止:しない
ユーザーをグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各ユーザー名でWindowsにログオンすると、ユーザーポリシーが適用されます。ポリシーが適用されると、ログオンしたクライアント(CT)のCTポリシーに関係なく、ユーザーポリシーに従って動作します。
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、アプリケーション起動だけできます。
どのクライアント(CT)でログインしても、そのユーザーが可能な操作は決まっています。
ユーザー名:0100のユーザーは、印刷だけできます。
ユーザー名:0200のユーザーは、ファイル持出しだけできます。
ユーザー名:0300のユーザーは、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
セキュリティリスクの発生時に、クライアント(CT)に設定するポリシーを一時的に変更します。管理者の操作またはクライアント(CT)利用者の操作により、緊急対処設定ポリシーが適用されます。緊急対処設定ポリシーは、クライアント(CT)利用者が解除操作を行うまで適用されます。
CTポリシー/ユーザーポリシー/緊急対処設定ポリシーと設定可能な項目
CTポリシー、ユーザーポリシーおよび緊急対処設定ポリシーで設定できる項目が異なります。以下に設定可能な項目の一覧を示します。
設定項目 | CTポリシー | ユーザー ポリシー | 緊急対処設定 ポリシー | |
|---|---|---|---|---|
禁 | ファイル持出し禁止 | ○ | ○ | ○ |
読み込み禁止 | ○ | ○ | ○ | |
印刷禁止 | ○ | ○ | ○ | |
PrintScreenキー禁止 | ○ | ○ | ○ | |
ログオン禁止 | ○ | ― (注) | ○ | |
アプリケーション起動禁止 | ○ | ○ | ○ | |
メール添付禁止 | ○ | ○ | ○ | |
URLアクセス禁止 | ○ | ○ | ○ | |
FTPサーバ接続禁止 | ○ | ○ | ○ | |
Webアップロード・ダウンロード禁止 | ○ | ○ | ○ | |
クリップボード操作禁止 | ○ | ○ | ○ | |
PCカード使用禁止 | ○ | ○ | ○ | |
赤外線通信禁止 | ○ | ○ | ○ | |
シリアルポート/パラレルポート使用禁止 | ○ | ○ | ○ | |
IEEE1394使用禁止 | ○ | ○ | ○ | |
Wi-Fi接続禁止 | ○ | ○ | ○ | |
Bluetooth接続禁止 | ○ | ○ | ○ | |
記 録 機 能 | アプリケーション起動ログ | ○ | ○ | ○ |
アプリケーション終了ログ | ○ | ○ | ○ | |
アプリケーション起動禁止ログ | ○ | ○ | ○ | |
ウィンドウタイトル取得ログ | ○ | ○ | ○ | |
メール送信ログ | ○ | ○ | ○ | |
メール受信ログ | ○ | ○ | ○ | |
メール送信中止ログ | ○ | ○ | ○ | |
メール添付禁止ログ | ○ | ○ | ○ | |
コマンドプロンプト操作ログ | ○ | ○ | ○ | |
デバイス構成変更ログ | ○ | ○ | ○ | |
印刷操作ログ | ○ | ○ | ○ | |
印刷禁止ログ | ○ | ○ | ○ | |
ログオン禁止ログ | ○ | ― (注) | ○ | |
ファイル持出しログ | ○ | ○ | ○ | |
PrintScreenキー操作ログ | ○ | ○ | ○ | |
PrintScreenキー禁止ログ | ○ | ○ | ○ | |
Web操作ログ | ○ | ○ | ○ | |
Web操作禁止ログ | ○ | ○ | ○ | |
FTP操作ログ | ○ | ○ | ○ | |
FTP操作禁止ログ | ○ | ○ | ○ | |
クリップボード操作ログ | ○ | ○ | ○ | |
クリップボード操作禁止ログ | ○ | ○ | ○ | |
ファイル操作ログ | ○ | ― (注) | ○ | |
ログオン/ログオフログ | ○ | ― (注) | ○ | |
環境変更ログ | ○ | ― (注) | ○ | |
連携アプリケーションログ | ○ | ― (注) | ○ | |
画面キャプチャ | ○ | ○ | ○ | |
○:設定できます。
―:設定できません。
注) クライアント(CT)操作時にユーザーポリシーが有効になる運用の場合、ユーザーポリシーとして設定できない項目に対しては、操作しているクライアント(CT)のCTポリシーの設定値が有効になります。
運用形態と、有効になる禁止操作/採取されるログ
CTポリシーやユーザーポリシーが設定され、クライアント(CT)に反映されると、クライアント(CT)での操作禁止やログ採取ができるようになりますが、運用形態によって、有効になる禁止操作と採取されるログが異なります。
以下に、有効になる項目の一覧を示します。
また、使用している環境によって、機能が制限される場合があります。詳細は、“1.2 機能に関する留意事項”を参照してください。
運用形態 | Systemwalker Desktop Keeperのクライアント(CT)の操作を記録する場合 | Citrix Virtual Apps and Desktops | ||
|---|---|---|---|---|
OSの起動モード | 通常モードで | セーフモード | 通常モードで起動 | |
禁 | ファイル持出し禁止 | ○ | ○ | ― |
印刷禁止 | ○ | ― | ― | |
PrintScreenキー禁止 | ○ | ○ | ― | |
ログオン禁止 | ○ | ○ | ― | |
アプリケーション起動禁止 | ○ | ○ | ― | |
メール添付禁止 | ○ | ― | ― | |
URLアクセス禁止 | ○ | ○ | ― | |
FTPサーバ接続禁止 | ○ | ○ | ― | |
Webアップロード・ダウンロード禁止 | ○ | ○ | ― | |
クリップボード禁止 | ○ | ○ | ― | |
PCカード使用禁止 | ○ | ○ | ― | |
赤外線通信禁止 | ○ | ○ | ― | |
シリアルポート/パラレルポート使用禁止 | ○ | ○ | ― | |
IEEE1394使用禁止 | ○ | - | ― | |
Wi-Fi接続禁止 | ○ | ○ | ― | |
Bluetooth接続禁止 | ○ | - | ― | |
記 | アプリケーション起動ログ | ○ | ○ | ○ |
アプリケーション終了ログ | ○ | ○ | ○ | |
アプリケーション起動禁止ログ | ○ | ○ | ― | |
ウィンドウタイトル取得ログ | ○ | ○ | ○ | |
ウィンドウタイトル取得ログ(URL付き) | ○ | ○ | ○ | |
メール送信ログ | ○ | ― | ― | |
メール受信ログ | ○ | ― | ― | |
メール送信中止ログ | ○ | ― | ― | |
メール添付禁止ログ | ○ | ― | ― | |
コマンドプロンプト操作ログ | ○ | ○ | ○ | |
デバイス構成変更ログ | ○ | ○ | ― | |
印刷操作ログ | ○ | ― | ○ | |
印刷禁止ログ | ○ | ― | ― | |
ログオン禁止ログ | ○ | ○ | ― | |
ファイル持出しログ | ○ | ○ | ― | |
PrintScreenキー操作ログ | ○ | ○ | ○ | |
PrintScreenキー禁止ログ | ○ | ○ | ― | |
Web操作ログ | ○ | ○ | ○ | |
Webアップロード禁止ログ | ○ | ○ | ― | |
Webダウンロード禁止ログ | ○ | ○ | ― | |
FTP操作ログ | ○ | ○ | ○ | |
FTP操作禁止ログ | ○ | ○ | ― | |
クリップボード操作ログ | ○ | ○ | ○ | |
クリップボード操作禁止ログ | ○ | ○ | ― | |
ファイル操作ログ | ○ | ○ | ○ | |
ログオン/ログオフログ | ○ | ○(注2) | ○(注2) | |
環境変更ログ | ○ | ○ | ○ | |
連携アプリケーションログ | ○ | ○ | ○ | |
画面キャプチャ | ○ | ○ | ― | |
PCカード使用ログ | ○ | ○ | ― | |
PCカード使用禁止ログ | ○ | ○ | ― | |
Wi-Fi接続ログ | ○ | ○ | ― | |
Wi-Fi接続禁止ログ | ○ | ○ | ― | |
Bluetooth接続ログ | ○ | - | ― | |
Bluetooth接続禁止ログ | ○ | - | ― | |
○:有効です。
―:無効です。
注1) セーフモードまたはネットワークが使えるセーフモードで起動した場合は、次に通常モードで起動するまで管理サーバに操作ログが送信されないことがあります。
注2) PC休止ログ、PC復帰ログは、採取されません。
