目次
場所および場所認識
ユーザーは、自宅、オフィス、または旅行中のリモートサイトを含めて、さまざまな場所からネットワークに接続しなければならないことがしばしばあります。 ネットワーク接続の場所またはタイプ(無線、イーサネットまたはVPN)毎に各セキュリティポリシーを割り当てることができます。シマンテックは、プロセスを自動化する際、所属する組織をハッカーにさらす悪党を排除します。
ネットワークを保護するために、クライアントまたはサーバーへの最良のセキュリティポリシーの適用によって、この自動切り替えまたは場所の認識を起動する条件を設定しなければなりません。最良のセキュリティポリシーは、一般にユーザーが接続する場所によって異なります。
ユーザーの環境にとって適正なセキュリティポリシーを自動的に選択する各グループの場所に一連の条件を割り当てることができます。条件には、ネットワークアクセスの依頼を実行したコンピュータのネットワーク設定といった情報が含まれます。IP アドレス、MAC アドレスまたはディレクトリサーバーのアドレスが条件として機能することもあります。
コンソールでセキュリティーポリシーを変更する場合、マネージメントサーバーがクライアントについてのポリシーをアップデートするか、またはクライアントがポリシーをダウンロードするかのどちらかです。現在の場所がアップデート後に有効でなくなった場合、クライアントは別の有効な場所に切り替えるか、またはデフォルトの場所を使用します。
注: 場所認識を使用する場合、グループあたり 7 つ以上のロケーションを推奨しません。この数を超えると、すべての条件を満たしたときに、Endpoint Protection クライアントが有効な場所を処理し最終的に接続するのにかかる実行時間にマイナスの影響を与える可能性があります。
場所の計画
グループに場所を追加する前に、ご使用の環境で必要となるセキュリティポリシーのタイプを考慮してください。また、それぞれの場所を決める次の事項を考慮してください。
- ユーザーが接続する場所はどこからですか。
- どの場所を作成する必要があるか、そしてそれぞれにどのようにラベルを貼るべきか考慮してください。例えば、ユーザーがオフィス、自宅、顧客サイト、または旅先のホテルといったリモートサイトから接続することがあります。より大きなサイトからは、追加の認可を受けた場所が必要となることがあります。
- 場所毎に場所認識を設定しなければなりませんか。
- 場所認識を使用している場合、場所をどのように識別することを望みますか。
- IP アドレス、 WINS 、 DHCP または DNS サーバーアドレス、ネットワーク接続、および他の基準に基づく場所を識別してください。
- ネットワーク接続による場所を識別してください。次に、そのネットワーク接続はどのようなタイプの接続か識別してください。例えば、そのネットワーク接続は、Endpoint Protection Manager、ダイアルアップネットワーク、または特定のブランドの VPN サーバーのと接続であることがあります。
- この場所で接続しているクライアントは、特定のタイプのサーバーコントロール、ミックスコントロール、またはクライアントコントロールといったコントロールを使用しなければなりませんか。
- それぞれの場所でホストインテグリティがチェックされなければなりませんか。あるいは、Endpoint Protection Manager に接続されていないときはいつでも、ポリシーによってチェックがスキップされなければなりませんか。
- それぞれの場所でどのようなアプリケーションおよびサービスが許可されなければなりませんか。
- その場所は、グループの他の場所と同じコミュニケーション設定を使用するべきですか、そりとも異なる設定を使用するべきですか。注記:場所毎に独自のコミュニケーション設定セットを使用することができます。
デフォルトの場所
以下のいずれかが発生した場合、Endpoint Protection Manager はグループにデフォルトの場所を使用します。
- 場所の 1 つが場所の基準に適合するが、前回の場所が基準に適合していない場合
- 場所の認識を使っていて、基準に適合する場所がない場合
- ポリシー内で場所の名前を変えるか、または場所に変更を加える場合新しいポリシーを受け取ったときにクライアントがデフォルトの場所に戻る場合
最初に Symantec Endpoint Protection Manager (SEPM) をインストールするとき、デフォルトの場所のみが「デフォルト」と名付けられて設定されます。 その時点で、すべてのグループのデフォルトの場所は「デフォルト」です。他の場所を追加した後、上記デフォルトを正しい場所に変更することができます。 さらに、どのグループもデフォルトの場所がなければなりません。 「自宅」や「出張先」のような場所をデフォルトの場所に指定することもできます。
場所別の条件
あなたは、クライアントにご自分のネットワークに接続することを許可する前に、クライアントコンピュータが別の場所に切り替えることを許可するタイミングを決定する条件の数を指定することができます。場所を切り替えることによって、クライアントコンピュータがより脆弱な場所からネットワークに接続しているとき、セキュリティーポリシーの異なるセットを適用することができます。
条件が一致する場合、コンピュータは関連するポリシーとともに指定されたグループの場所に自動的に切り替わり、ネットワークへの接続が許可されます。
条件は、肯定的な内容の場合も、否定的な内容の場合もあります。以下に例を示します。
- 肯定的:クライアントコンピュータが特定の IP アドレスの範囲に含まれるか、または指定可能な特定のレジストリキーを持っている IP アドレスを使用するため、クライアントコンピュータが一致します。
- 否定的:たとえば、コンピュータが特定の無線 SSID を使っていない場合に条件に一致します。それらの条件設定を追加、編集、または削除することができます。
表:Endpoint Protection 14 として利用可能な場所の基準
オプション |
説明 |
コンピュータの IP アドレス |
この基準には次のオプションがあります。
- クライアントコンピュータがリストにある IP アドレスのいずれかを使う場合。
- クライアントコンピュータの IP アドレスのすべてがリストにある場合。
- クライアントコンピュータのアドレスがリストにあるアドレスのいずれでもない場合。
基準の種類として、IP アドレス、IP 範囲、サブネットアドレスとサブネットマスク、およびそれらの値を指定できます。
|
ゲートウェイのアドレス
|
この基準には次のオプションがあります。
- クライアントコンピュータのゲートウェイアドレスがリストにあるアドレスのいずれかである場合。この条件には、リストにある IP アドレスに一致するすべてのコンピュータが含まれます。
- クライアントコンピュータのゲートウェイアドレスがリストにない場合。
基準の種類として、IP アドレス、IP 範囲、サブネットアドレスとサブネットマスク、MAC アドレス、およびそれらの値を指定できます。
|
WINS サーバーアドレス |
この基準には次のオプションがあります。
- クライアントがリストにある WINS サーバーアドレスのいずれかを使う場合。
- クライアントコンピュータの WINS サーバーのすべてがリストにある場合。
- リストにある WINS サーバーのいずれもクライアントコンピュータにない場合。
基準の種類として、IP アドレス、IP 範囲、サブネットアドレスとサブネットマスク、およびそれらの値を指定できます。
|
DNS サーバーアドレス |
この基準には次のオプションがあります。
- クライアントコンピュータがリストにある DNS サーバーのいずれかを使う場合。
- クライアントコンピュータの DNS サーバーのすべてがリストにある場合。
- リストにある DNS サーバーのいずれもクライアントコンピュータにない場合。
基準の種類として、IP アドレス、IP 範囲、サブネットアドレスとサブネットマスク、およびそれらの値を指定できます。
|
DHCP サーバーアドレス |
この基準には次のオプションがあります。
- クライアントコンピュータの DHCP サーバーアドレスがリストにあるアドレスのいずれかである場合。
- クライアントコンピュータの DHCP サーバーアドレスがリストにあるどのアドレスとも一致しない場合。
基準の種類として、IP アドレス、IP 範囲、サブネットアドレスとサブネットマスク、MAC アドレス、およびそれらの値を指定できます。
|
ネットワーク接続の種類 |
この基準には次のオプションがあります。
- 指定するネットワーク接続の種類をクライアントコンピュータが使う場合。
- 指定するネットワーク接続の種類をクライアントコンピュータが使わない場合。
Endpoint Protection 14 として次のネットワーク接続タイプを指定することができます。
- 任意のネットワーク
- ダイヤルアップネットワーク
- イーサネット
- 無線
- Check Point VPN-1 ・ Cisco 3000 VPN
- Microsoft PPTP VPN
- Juniper NetScreen または SafeNet VPN
- Nortel Contivity VPN
- Aventail SSL VPN
- Juniper SSL VPN
|
管理サーバー接続 |
この基準には次のオプションがあります。
- クライアントコンピュータが管理サーバーに接続できる場合。
- クライアントコンピュータが管理サーバーに接続できない場合。
注: シマンテックでは複数の管理サーバーを使用しない限り、管理サーバー接続の使用は推奨していません。サーバーの停止や接続の問題により、クライアントが場所を変更することになります。
|
TPM(Trusted Platform Module) |
この基準には次のオプションがあります。
- 指定する TPM をクライアントコンピュータが使う場合。
- 指定する TPM をクライアントコンピュータが使わない場合。
次の TPM の種類を指定できます。
- 任意の TPM トークン
- IBM TPM トークン
- HP TPM トークン
|
DNS ルックアップ |
この基準には次のオプションがあります。
- 指定するホスト名をクライアントコンピュータが解決できる場合。
- 指定するホスト名をクライアントコンピュータが解決できない場合。
ホスト名と、DNS で解決したアドレスを指定できます。
|
レジストリキー |
この基準には次のオプションがあります。
- クライアントコンピュータに特定のレジストリキー名またはレジストリキー値名が存在するか、あるいは存在しないか。
- 特定のレジストリキー値データが特定のキー名、値タイプ(ストリング、DWORD、バイナリ)または値名と等しいか、あるいは等しくないか。
|
無線 SSID |
この基準には次のオプションがあります。
- リストにある無線 SSID のいずれかをクライアントコンピュータが使う場合。
- リストにある無線 SSID のいずれをもクライアントコンピュータが使わない場合。
|
NIC の説明 |
この基準には次のオプションがあります。
- リストにある NIC の説明のいずれかをクライアントコンピュータが使う場合。
- リストにある NIC の説明のいずれをもクライアントコンピュータが使わない場合。
|
DHCP 接続 DNS サフィックス |
この基準には次のオプションがあります。
- リストにある DNS サフィックスのいずれかをクライアントコンピュータが使う場合。
- リストにある DNS サフィックスのいずれもクライアントコンピュータが使わない場合。
|
ICMP Request (Ping) |
この基準には次のオプションがあります。
- リストにあるホストのいずれかに ping を実行できればこの基準と一致する。
- リストにあるホストのすべてに ping を実行できればこの基準と一致する。
- リストにあるホストのいずれかに ping を実行できなければこの基準と一致する。
- リストにあるホストのすべてに ping を実行できればこの基準と一致する。
|
一般のクライアント設定
このダイアログを使って、全般の場所の認識とクライアントの再起動の設定を指定します。これらの設定は、選択したグループ内の各クライアントに適用されます。
テーブル:クライアントの全般設定
オプション |
説明 |
場所の設定:前回の場所を記憶する |
最初のログオン時、Endpoint Protection は前回使用した場所を使用します。
- 場所の認識が有効な場合には、クライアントは数秒後に適切な場所に切り替わります。
- 場所の認識が無効になっている場合には、クライアントがサーバー制御であっても、ユーザーは手動で任意の場所に切り替えることができます。
- 検疫場所が有効な場合には、クライアントは短時間の後に検疫に切り替わります。
|
場所の認識を有効にする |
クライアントを配置する適切な場所を自動的に選択します。場所は有効なポリシーによって決まります。クライアントは、ユーザーが前回クライアントコンピュータをオフにする前に使用した場所で再起動します。
- 注: 場所の認識は、親グループからポリシーコンテンツを継承していないサブグループのクライアントのみで使うことができます。
- このオプションはデフォルトで有効になっています。
|
テーブル:オプションをリスタートする
再起動オプションは、クライアントインストレーション後、またはクライアントコンピュータがシャットダウンするときにクライアントコンピュータが再起動する方法を指定していします。
次の再起動オプションを設定できます。
オプション |
説明 |
コンピュータを再起動するのに使用するプロンプト |
ユーザーにクライアントコンピュータを再起動するよう要求する、クライアントへの通知を表示します。ユーザーは、[いいえ]をクリックすることによって、クライアントをコンピュータを再起動する時期を延長することができます。 |
メッセージ |
通知に追加できる追加テキスト。 |
休止の最大回数 |
コンピュータが自動的に再起動する前に、ユーザーがコンピュータのリスタートを延期することができる回数。 |
休止間の最大時間(秒) |
ユーザーがコンピュータのリスタートを延期するときと、通知が再び現われるときの間の時間。
- 通知ウィンドウは (秒) 経過後に自動的に閉じられます。
- クライアントが再起動する前に通知が表示される秒数。
|
コンピュータを再起動させます。 |
コンピュータが自動的に再起動します。ユーザーには、リスタートを延期する機会がありません。 |
ポリシーの自動割り当て
クライアントに割り当てられるポリシーの管理は、クライアントが接続する場所によって異なります。そのため、場所の認識を有効にする必要があります。
クライアントのポリシー自動割り当てを有効にするには
- コンソールで [クライアント] をクリックします。
- [クライアント] ページの [クライアントを表示] で、場所の自動切り替えを実行するグループを選択します。
- [ポリシー] タブで、 [ポリシーと設定を親グループ「グループ名」から継承する] のチェックマークをはずします。
親グループからの前記のポリシーおよび設定を受け継がなかった前記グループの場所に依存しない設定のみを修正してください。
- [場所に依存しないポリシーと設定] で、 [全般の設定] をクリックします。
- [全般の設定] ダイアログボックスの [全般の設定] タブの [場所の設定] で、 [前回の場所を記憶する] にチェックマークを付けます。
デフォルトでは、このオプションは有効です。 クライアントは、最初、クライアントがネットワークに前回接続した場所に関連付けられているポリシーに割り当てられます。
- クライアントコンピュータがネットワークに接続されているときに [前回の場所を記憶する] にチェックマークが付いている場合、当初クライアントにポリシーが割り当てられます。このポリシーは、前回使用された場所に関連付けられます。 場所の認識が有効な場合には、クライアントは数秒後に適切なポリシーに自動的に切り替わります。特定の場所に関連付けられているポリシーによってクライアントのネットワーク接続が決まります。場所の認識が無効な場合には、クライアントがサーバー制御下にあっても、クライアントは手動で任意の場所に切り替えることができます。検疫場所が有効な場合には、クライアントはしばらくして検疫ポリシーに切り替わる場合があります。
- [前回の場所を記憶する] にチェックマークが付いていない場合、クライアントがネットワークに接続すると、そのクライアントには、最初にデフォルトの場所に関連付けられたポリシーが割り当てられます。 クライアントは、前回使った場所に接続できません。場所の認識が有効な場合には、クライアントは数秒後に適切なポリシーに自動的に切り替わります。特定の場所に関連付けられているポリシーによってクライアントのネットワーク接続が決まります。場所の認識が無効な場合には、クライアントがサーバー制御であっても、ユーザーは手動で任意の場所に切り替えることができます。検疫場所が有効な場合には、クライアントはしばらくして検疫ポリシーに切り替わる場合があります。
- [場所の認識を有効にする] にチェックマークを付けます。
デフォルトでは場所の認識は有効です。クライアントはユーザーがネットワークに接続しようとしている場所に関連付けられているポリシーに自動的に割り当てられます。
- [OK] をクリックします。
グループに場所をウィザードと共に追加
ウィザードと、自社のポリシーのセットと設定を持つそれぞれの場所を使用することによって、場所をグループに追加することができます。基準(条件)が満たされるとき、ポリシーはクライアントが様々なセキュリティ設定と共に新しい場所に切り替えるの促進することができます。
最良のセキュリティーポリシーは、一般に、ライアントがネットワークに接続するとき、クライアントがどこに位置しているかによって異なります。場所認識を有効にすると、必要とされる最も厳しいセキュリティーポリシーが、クライアントに割り当てられることを保証します。
場所をウィザードと共に追加するためには
- コンソールで [クライアント] をクリックします。
- [クライアント] ページの [クライアントを表示] で、1つまたは複数の場所を追加するグループを選択します。
- [ポリシー] タブで、 [ポリシーと設定を親グループ「グループ名」から継承する] のチェックマークをはずします。
親グループからポリシーを継承していないグループのみに場所を追加します。
- [タスク] の下で、 [場所の追加] をクリックします。
- [場所の追加ウィザードへようこそ] パネルで、 [次へ] をクリックします。
- [場所の名前を指定] パネルで、新しい場所の名前および説明をタイプ打ちし、 [次へ] をクリックします。
- [条件を指定] パネルで、クライアントが1つの場所から別の場所に切り替える、次の条件のいずれかを選択します。
- 特定の条件なし:このオプションを選択すると、複数の場所が有効になっている場合、クライアントはこの場所を選択することができます。
- IP アドレスの範囲:このオプションを選択すると、クライアントの IP アドレスが特定の範囲に含まれている場合、クライアントはこの場所を選択することができます。スタート IP アドレスとエンド IP アドレスの両方を指定します。
- サブネットアドレスおよびサブネットマスク:このオプションを選択すると、サブネットアドレスおよびサブネットマスクが指定されている場合、クライアントはこの場所を選択することができます。
- DNS サーバー:このオプションを選択すると、クライアントが特定の DNS サーバーに接続されている場合、クライアントはこの場所を選択することができます。
- クライアントがホスト名を決定できる:このオプションを選択すると、クライアントが特定のドメイン名および DNS 決定アドレスに接続されている場合、クライアントはこの場所を選択することができます。
- クライアントが管理サーバーに接続できる:このオプションを選択すると、クライアントが特定の管理サーバーに接続されている場合、クライアントはこの場所を選択することができます。
- ネットワーク接続タイプ:このオプションを選択すると、クライアントが特定のタイプのネットワーク接続に接続されている場合、クライアントはこの場所を選択することができます。
- [次へ] をクリックします。
- [場所の追加ウィザードの完了] パネルで、 [完了] をクリックします。
場所およびファイアウォールポリシー
Endpoint Protection Manager にはオフィス環境向けのデフォルトのファイアウォールルールとファイアウォールの設定を含んだデフォルトのファイアウォールポリシーが用意されています。オフィス環境は通常は企業ファイアウォール、境界パケットフィルタ、ウイルス対策サーバーの保護下にあります。そのため、限定的な境界保護しか利用できないほとんどのホーム環境よりも通常は安全です。
コンソールが初めてインストールされるとき、コンソールは自動的にそれぞれのグループにデフォルトファイアウォールポリシーを追加します。新しい場所を追加するたびに、コンソールによってファイアウォールポリシーがデフォルトの場所に自動的にコピーされます。
デフォルトの保護が適切でない場合は、ホームサイトやカスタマーサイトなどの場所ごとに、ファイアウォールポリシーを使用して、デフォルトをカスタマイズできます。デフォルトファイアウォールポリシーが必要とするものではない場合、編集するか、またはポリシーを別の共有されたポリシーで置き換えることができます。
ファイアウォールポリシーエレメント
ファイアウォールルール |
ファイアウォールルールは、ファイアウォールが悪質な着信トラフィックとアプリケーションからコンピュータをどのように保護するかを制御するポリシーコンポーネントです。ファイアウォールはこれらのルールに違反するすべての着信パケットと発信パケットを自動的に調べ、ルールで指定された情報に基づいてパケットを許可または遮断します。 |
スマートトラフィックフィルタ |
DHCP、DNSおよびWINSトラフィックといった、大抵のネットワークで必要とされる、特定のタイプのトラフィックを許可します。 組み込みルール を参照してください。 |
トラフィックとステルスの設定 |
特定のドライバ、プロトコルおよび他のソースから来るトラフィックを検知して、そしてブロックします。 保護とステルスの設定 を参照してください。 |
ピアツーピア認証の設定 |
クライアントコンピュータがリモートコンピュータを認証するまでリモートコンピュータがクライアントコンピュータに接続しないように遮断します。 ピアツーピア認証の設定 を参照してください。 |
場所がクライアント制御または混合制御にセットできることによって、ユーザーはファイアウォールポリシーをカスタマイズすることができます。
その他のタイプのポリシーに類似しているファイアウォールポリシーを編集するか、あるいは作成することができます。さらに、ファイアウォールポリシーの割り当て、撤回、交替、コピー、エクスポート、インポートまたは削除が可能です。
一般に、セキュリティネットワーク内の複数のグループにポリシーを割り当てることができます。もし特定の場所専用の要件がある場合、共有されない、場所別に特定されたポリシーを作成してください。
シマンテックは、ポリシーを取り扱うときはポリシー構成の基本についてご存知であることを推奨します。