この文書では、アプリケーションとデバイス制御 (ADC) 機能を使用して SEP (Symantec Endpoint Protection) で特定のデバイスを遮断または許可する方法について説明します。

目次

• クラス ID
• デバイス ID
  • 任意の USB ストレージデバイス
  • 任意の USB ディスク
  • 任意の USB SanDisk ドライブ
  • 任意の USB SanDisk Micro Cruzer ドライブ
  • 特定の SanDisk デバイス
• ハードウェアデバイス
• デバイスビューア
• デバイス制御
• アプリケーション制御
• USBSTOR
• FCD
• IDE
• SCSI

SEP でデバイスを指定するには 2 つの方法があります。

• クラス ID による指定
• デバイス ID による指定

どちらの方法にも長所と短所があり、またそれぞれの方法で使用できる機能も異なります。この記事では、これらの 2 つの ID の概要と SEP での使用方法について説明します。

クラス ID

クラス ID は、Windows オペレーティングシステムによって指定されるデバイスの一般的なカテゴリです。クラス ID は、常に GUID としてリストされます。クラス ID (GUID) の例を以下に示します。

• ディスクドライブ - {4d36e967-e325-11ce-bfc1-08002be10318}
• ストレージボリューム - {71a27cdd-812a-11d0-bec7-08002be2092f}
• USB デバイス - {36FC9E60-C465-11CF-8056-444553540000}
• DVD/CD-ROM - {4D36E965-E325-11CE-BFC1-08002BE10318}
• IDE - {4d36e96a-e325-11ce-bfc1-08002be10318}
• PCMCIA - {4d36e977-e325-11ce-bfc1-08002be10318}

SEP では、クラス ID でのワイルドカードの使用はサポートされません。クラス ID の一覧は、こちらをクリックして参照してください。

デバイス ID

デバイス ID (Windows ではデバイスインスタンス ID とも呼ばれる) は、各デバイスに与えられる個別の ID です。デバイス ID は個別のデバイスに関するデータのリストを連結して作成されるので、デバイスの遮断と許可をより効果的に行うことができます。一般にデバイス ID は何を指しているのかより判読しやすい形式です。

以下に、デバイス ID の一般的な 2 つの形式を示します。

<クラス>\<タイプ>&<ベンダー>&<モデル>&<リビジョン>\<シリアル番号>
<クラス>\<タイプ><ベンダー><モデル><リビジョン>\<シリアル番号>

デバイス ID の例を以下に示します。

• SanDisk Micro Cruzer - USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033\0002071406&0
• Apple iPod - USBSTOR\DiskApple___iPod____________1.62\4&3656B0&0
• Hitachi IDE ハードドライブ - IDE\DISKHTS541060G9SA00_________________________MB3IC60H\4&14AA9DA8&0&0.0.0

デバイス ID では、ワイルドカードの「*」と「?」がサポートされます。

• アスタリスク [*] - 0 個以上の任意の文字
• 疑問符 [?] - 任意の値の 1 文字

ワイルドカードの使用例を以下に示します。

任意の USB ストレージデバイス

• USBSTOR*

任意の USB ディスク

• USBSTOR\DISK*

任意の USB SanDisk ドライブ

• USBSTOR\DISK&VEN_SANDISK*

任意の USB SanDisk Micro Cruzer ドライブ

• USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO*

特定の SanDisk デバイス

• USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033\0002071406&0

ほとんどの場合、クラス ID よりもデバイス ID の使用が推奨されます。

ハードウェアデバイス

クラス ID とデバイス ID のどちらも、［ポリシーコンポーネント］メニューの［ハードウェアデバイス］セクションで SEPM に追加することができます。

デバイスビューア

SEP CD または DVD の \Tools\NoSupport フォルダに Device Viewer (DevViewer) があります。デバイスビューアを使用して、特定のデバイスのクラス ID またはデバイス ID を取得することができます。これによって、ID を簡単にクリップボードにコピーして SEPM に貼り付けることができます。

デバイス制御

SEP では、アプリケーション制御またはデバイス制御のいずれかを使用してデバイスを遮断することができます。デバイス制御によってデバイスを完全に無効化することができます。デバイスを無効にすると、Windows デバイスマネージャで無効なデバイスとして表示されます。デバイス制御では、指定したデバイスを SEP クライアントシステムで完全に使用できないようにすることができます。デバイス制御ではクラス ID とデバイス ID の両方を使用できます。

デバイス制御を使用して、ツリーの任意のノードのデバイスを遮断することもできます。1 つのノードでデバイスを遮断すると、そのノードよりも下位のすべてのデバイス (すべての子) も遮断されます。反対に、1 つのノードでデバイスを除外すると、そのノードよりも上位のすべてのデバイスも除外されます。

注: Android、iPhone などの携帯端末は、デバイス制御でデバイス ID をブロックすると充電できません。

アプリケーション制御

アプリケーション制御機能では、詳細を指定してデバイスの遮断を行うことができます。アプリケーション制御は非常に強力なエンジンであり、デバイスでのコマンドの読み取り、書き込み、実行それぞれの遮断と許可や、どのアプリケーションを使用可能にするかを制御できます。

例: アプリケーション制御を使用してポリシーを作成し、USB ドライブから実行しているすべてのプログラムによるホストコンピュータ上のレジストリの変更やファイルの変更を遮断することができます。アプリケーション制御ではデバイス ID を使用することができます。クラス ID は使用できません。 デバイス ID は次の場所で使用できます。

プログラム定義

• • アプリケーションルールプロセス
  • 起動プロセス
  • 終了プロセス

ファイル定義

• • ファイルアクセス
  • DLL のロード

終端ノードが「汎用ボリューム」または「ストレージボリューム」の場合を除き、アプリケーション制御によって遮断できるのはツリーのノードの終端にあるデバイスのみです。終端ノードが「汎用ボリューム」または「ストレージボリューム」の場合、最後のノードの 1 つ上位のデバイス (最後のノードの親) が遮断されます。

次の例における SanDisk Cruzer Micro は、「USB 大容量ストレージデバイス」ノードまたは「汎用ボリューム」ノードのどちらでも遮断することはできません 。

アプリケーション制御によってサポートされるほとんどのデバイス ID は以下のいずれかの種類になります。

USBSTOR

• 例: USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033\0002071406&0

FCD

• 例: FDC\GENERIC_FLOPPY_DRIVE\4&371082C9&0&0

IDE

• 例: IDE\DISKHTS541060G9SA00_________________________MB3IC60H\4&14AA9DA8&0&0.0.0

SCSI

• 例: SCSI\DISK&VEN_WDC_WD50&PROD_00KS-00MNB0&REV_700.\4&1291CDED&0&000

注: アプリケーション制御は、Windows によってディスクドライブとして認識され、ドライブ文字が割り当てられているデバイスのみを遮断することが
できます。ドライブ文字が追加されていないデバイス (iPhone や iPad など) の場合は、デバイス制御を使用して遮断する必要があります。

USB デバイスをブロックしマウスとキーボードを許可する を参照してください。

[英語文書] Block or allow devices using Endpoint Protection