Systemwalker Desktop Keeper 運用ガイド 管理者編 V13.3.0 - Microsoft(R) Windows(R) - |
目次
索引
![]() ![]() |
第2章 運用 | > 2.1 運用環境を整える | > 2.1.1 運用環境を整えるときに考慮すること |
ポリシーとは、システムの運用方針に沿って決定した約束事です。
PC使用時に許可する操作と許可しない(抑止する)操作、および、どの操作のログを採取するかが定められている情報です。
Systemwalker Desktop Keeperでは、ポリシーとして「抑止する操作」と「ログを採取する操作」を設定できます。
抑止する操作には、以下の種類があります。これらは、システム管理者または部門管理者が、管理コンソールで設定します。
ポリシーとしてファイル持出し抑止を設定すると、クライアント(CT)がインストールされているPCのドライブ、リムーバブルまたはDVD/CDへのファイルやフォルダの持ち出しを、条件付きで抑止できます。
設定条件によっては、抑止されたドライブなどへ、「持出しユーティリティ」を使用して、ファイルやフォルダを持ち出すことができます。持ち出すときには、暗号化することもできます。
「持出しユーティリティ」については、“Systemwalker Desktop Keeper 運用ガイド クライアント編”を参照してください。
ポリシーとして印刷抑止を設定すると、クライアント(CT)がインストールされているPCでは、指定したアプリケーション以外の印刷を抑止できます。
ポリシーとしてPrintScreenキー抑止を設定すると、クライアント(CT)がインストールされているPCでは、キーボードのPrintScreenキーを使用した画面のハードコピーの採取を抑止できます。このとき、どんな画面のバードコピーを採取しようとしたかが明らかになるように、画面キャプチャを採取することもできます。
ポリシーとしてログオン抑止を設定すると、クライアント(CT)がインストールされているPCからログオンするときに、設定したグループに所属しているユーザIDでのログオンを抑止できます。抑止設定が可能なグループは以下のとおりです。
ポリシーとしてアプリケーション起動抑止を設定すると、クライアント(CT)がインストールされているPCでは、指定したアプリケーションの起動を抑止できます。
[SE]
ポリシーとしてメール添付抑止を設定すると、クライアント(CT)がインストールされているPCから、抑止対象となるファイルをメールに添付して、送信または保存することを抑止できます。
ただし、ポート監視方式(添付ファイルを送信するときに利用するメールソフトが、SMTPプロトコルを使用するタイプのもの)の場合は、保存の抑止はできません。
抑止対象として指定できるファイルは、暗号化していないファイル、または指定した拡張子のファイルです。
また、抑止対象のファイルと抑止対象外のファイルが混在している場合は、抑止対象外のファイルは送信することができます。
抑止対象のファイルだけを添付してメールを送信した場合は、メールの本文は送信されます。
ポリシーとして、どの操作に対してログを採取するかを設定します。採取できる操作ログは以下のとおりです。ポリシーは、システム管理者または部門管理者が、管理コンソールで設定します。
※) Standard Editionの機能です。
定義したポリシーを、何に対して設定するかによって、ポリシーの名称が異なります。
ポリシーを「クライアント(CT)」に対して設定する場合、「CTポリシー」といいます。
ポリシーを「ユーザ」に対して設定する場合、「ユーザポリシー」といいます。
クライアント(CT)に対して設定するポリシーを、CTポリシーといいます。クライアント(CT)の操作時に、CTポリシーが有効になっている場合、どのユーザが操作しても、クライアント(CT)に設定されているポリシーに従って、抑止操作やログ採取が実施されます。クライアント(CT)ごとに異なるポリシーを設定できます。
また、部門ごとにクライアント(CT)をグループ化したり、使用目的が同じクライアント(CT)をグループ化したりして、そのグループに対して設定するポリシーをCTグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからクライアント(CT)とCTグループに対して、以下の設定を行っています。
クライアント(CT)ごとに以下のポリシーを設定します。
印刷抑止:しない
ファイル持出し抑止:する
アプリケーション起動抑止:する
印刷抑止:する
ファイル持出し抑止:しない
アプリケーション起動抑止:する
印刷抑止:する
ファイル持出し抑止:する
アプリケーション起動抑止:しない
クライアント(CT)をグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各クライアント(CT)には、次回起動時または即時にCTポリシーが適用されます。ポリシーが適用されると、適用されたポリシーに従って動作します。
【各CTにCTポリシーを適用した場合】
【CT(1)、CT(2)にはCTポリシーを適用し、CT(3)にはCTグループポリシーを適用した場合】
クライアント(CT)がインストールされたPCで、Windowsへのログオン時に入力するユーザIDに対して設定するポリシーを、ユーザポリシーといいます。クライアント(CT)の操作時に、ユーザポリシーが有効になっている場合、どのPCから操作しても、ログオンしたユーザIDに設定されているポリシーに従って、抑止操作やログ採取が実施されます。ユーザIDごとに異なるポリシーを設定できます。
また、部門ごとにユーザをグループ化したり、作業内容が同じユーザをグループ化したりして、そのグループに対して設定するポリシーをユーザグループポリシーといいます。グループごとに異なる内容のポリシーを設定できます。
上記イメージ図では、管理コンソールからユーザとユーザグループに対して、以下の設定を行っています。
ユーザごとに以下のポリシーを設定します。
印刷抑止:しない
ファイル持出し抑止:する
アプリケーション起動抑止:する
印刷抑止:する
ファイル持出し抑止:しない
アプリケーション起動抑止:する
印刷抑止:する
ファイル持出し抑止:する
アプリケーション起動抑止:しない
ユーザをグループ化し、グループポリシーとして、“印刷、ファイル持出し、アプリケーション起動を許可”し、“すべてのログを採取”するように設定します。
各ユーザIDでWindowsにログオンすると、ユーザポリシーが適用されます。ポリシーが適用されると、ログオンしたクライアント(CT)のCTポリシーに関係なく、ユーザポリシーに従って動作します。
【各CTにユーザポリシーを適用した場合】
ユーザID:0100のユーザは、印刷だけできます。
ユーザID:0200のユーザは、ファイル持出しだけできます。
ユーザID:0300のユーザは、アプリケーション起動だけできます。
【ユーザID:0100、ユーザID:0200にはユーザポリシーを適用し、ユーザID:0300にはユーザグループポリシーを適用した場合】
ユーザID:0100のユーザは、印刷だけできます。
ユーザID:0200のユーザは、ファイル持出しだけできます。
ユーザID:0300のユーザは、印刷、ファイル持出し、アプリケーション起動ができ、各操作のログが採取されます。
CTポリシーとユーザポリシーで、設定できる項目が異なります。以下に、設定可能な項目の一覧を示します。
設定項目 |
CTポリシー |
ユーザポリシー |
|
---|---|---|---|
抑 |
ファイル持出し抑止 |
○ |
○ |
印刷抑止 |
○ |
○ |
|
PrintScreenキー抑止 |
○ |
○ |
|
ログオン抑止 |
○ |
― (注2) |
|
アプリケーション起動抑止 |
○ |
○ |
|
メール添付抑止(注1) |
○ |
○ |
|
記 |
アプリケーション起動ログ |
○ |
○ |
アプリケーション終了ログ |
○ |
○ |
|
アプリケーション起動抑止ログ |
○ |
○ |
|
ウィンドウタイトル取得ログ(注1) |
○ |
○ |
|
メール送信ログ |
○ |
○ |
|
メール添付抑止ログ(注1) |
○ |
○ |
|
コマンドプロンプト操作ログ |
○ |
○ |
|
デバイス構成変更ログ |
○ |
○ |
|
印刷操作ログ |
○ |
○ |
|
印刷抑止ログ |
○ |
○ |
|
ログオン抑止ログ |
○ |
○ |
|
ファイル持出しログ |
○ |
○ |
|
PrintScreenキー操作ログ |
○ |
○ |
|
PrintScreenキー抑止ログ |
○ |
○ |
|
ファイル操作ログ |
○ |
― (注2) |
|
ログオン/ログオフログ |
○ |
― (注2) |
|
連携アプリケーションログ |
○ |
― (注2) |
|
設定変更ログ |
○ |
○ |
|
画面キャプチャ(注1) |
○ |
○ |
○:設定できます。
―:設定できません。
注1) Standard Editionの機能です。
注2) クライアント(CT)操作時にユーザポリシーが有効になる運用の場合、ユーザポリシーとして設定できない項目に対しては、操作しているクライアント(CT)のCTポリシーの設定値が有効になります。
CTポリシーやユーザポリシーが設定され、クライアント(CT)に反映されると、クライアント(CT)での操作抑止やログ採取ができるようになりますが、運用形態によって、有効になる抑止操作と採取されるログが異なります。
以下に、有効になる項目の一覧を示します。
また、使用している環境によって、機能が制限される場合があります。詳細は、“機能に関する留意事項”を参照してください。
運用形態 |
Systemwalker Desktop Keeperのクライアント(CT)の操作を記録する場合 |
Citrix Presentation Server上の操作を記録する場合 |
|||
---|---|---|---|---|---|
OSの起動モード |
通常モードで起動(OS起動後Windowsにログオン)する場合 |
セーフモード |
通常モードで起動(OS起動後Windowsにログオン)する場合 |
||
Windows Vista(R) |
Windows(R) 2000 |
||||
抑 |
ファイル持出し抑止 |
○ |
○ |
○ |
― |
印刷抑止 |
○ |
― |
― |
― |
|
PrintScreenキー抑止 |
○ |
○ |
― |
― |
|
ログオン抑止 |
○ |
― |
― |
― |
|
アプリケーション起動抑止 |
○ |
○ |
○ |
― |
|
メール添付抑止(注1) |
○ |
― |
○ |
― |
|
記 |
アプリケーション起動ログ |
○ |
○ |
○ |
○ |
アプリケーション終了ログ |
○ |
○ |
○ |
○ |
|
アプリケーション起動抑止ログ |
○ |
○ |
○ |
― |
|
ウィンドウタイトル取得ログ |
○ |
○ |
― |
○ |
|
ウィンドウタイトル取得ログ(URL付き)(注1) |
○ |
○ |
― |
○ |
|
メール送信ログ |
○ |
― |
○ |
― |
|
メール添付抑止ログ(注1) |
○ |
― |
○ |
― |
|
コマンドプロンプト操作ログ |
○ |
○ |
○ |
○ |
|
デバイス構成変更ログ |
○ |
― |
― |
― |
|
印刷操作ログ |
○ |
― |
― |
○ |
|
印刷抑止ログ |
○ |
― |
― |
― |
|
ログオン抑止ログ |
○ |
― |
― |
― |
|
ファイル持出しログ |
○ |
○ |
○ |
― |
|
PrintScreenキー操作ログ |
○ |
○ |
― |
○ |
|
PrintScreenキー抑止ログ |
○ |
○ |
― |
― |
|
ファイル操作ログ |
○ |
○ |
○ |
○ |
|
ログオン/ログオフログ |
○ |
○(注4) |
○(注3) |
○(注3) |
|
連携アプリケーションログ |
○ |
○ |
○ |
― |
|
設定変更ログ |
○ |
○ |
○ |
― |
|
画面キャプチャ(注1) |
○ |
○ |
― |
― |
○:有効です。
―:無効です。
注1) Standard Editionの機能です。
注2) Citrix Presentation Server監視機能に設定されるポリシーは、CTポリシーです。ユーザポリシーは設定されません。
注3) PC休止ログ、PC復帰ログは、採取されません。
注4) ログオンログ、ログオフログ、PC休止ログ、PC復帰ログは、採取されません。
注5) セーフモードまたはネットワークが使えるセーフモードで起動した場合は、CTポリシーだけの動作となります。ユーザポリシーは適用されません。
目次
索引
![]() ![]() |