デバイス情報の解析

SEP は、ルールの定義および照合の際に、デバイス GUID とデバイス ID（デバイスツリーの [guid] と [device id] フィールド、図 1 を参照）を特に参照します。Windows デバイスマネージャまたは DevViewer ツールを使用すると、Windows デバイス階層を簡単に調べることができます。DevViewer ツールは、必要なデバイスプロパティをすべて直接表示するように特別に設計された GUI であるため、推奨されます。

図 1

Windows のデバイス GUID とクラスについて

デバイス GUID は、デバイスクラスを識別する一意の識別子です。Symantec Endpoint Protection Manager (SEPM) は、一般的な既知のデバイスクラスと GUID のリストを持っています (図 2 参照)。DevViewer は、そのシステムに接続されている実際のデバイスのリストを表示します。SEP のデバイス制御は、各物理デバイスに適用されるデバイスクラス GUID のリストを認識します。デバイス制御ポリシーで GUID を適用することにより、ルールのアクションに応じて、サポートされるデバイスを許可または遮断することができます。 
 
たとえば、USB クラス GUID が遮断ルールで指定された場合、USB デバイスが USB ポートに接続されると、すべての USB デバイスが無効になります。このデバイスクラスは階層内で動作するため、カメラ、マウス、ストレージデバイスなど、異なる種類の物理デバイスはすべて遮断されることに注意してください。

図 2

論理デバイスクラスの理解

USB デバイスクラスは、Windows のデバイス階層に存在する論理デバイスクラスの一例であり、複数の種類のデバイスに適用されます。これらのデバイスクラスは、複数の異なるタイプの物理デバイスクラスを含むことができ、特定の物理デバイスに適用されるポリシールールの予期せぬ重複を引き起こす可能性があります。
 
論理デバイスクラスのもう 1 つの例は、特定の実際の物理デバイスタイプに対応しない「記憶域ボリューム」です。 Windows は、物理的なハードディスク/USBディスク/その他のストレージデバイスがシステムに接続され、パーティション（論理ドライブ文字）が割り当てられた後に、記憶域ボリュームのデバイスクラスを作成します。

図 3

異なるデバイス間の関係を表示するには、DevViewer で "View devices by connection" を選択します。図 3 では、SanDisk Cruzer のデバイス階層に、システムで作成された USB 大容量記憶装置と汎用ストレージボリュームのデバイスクラスが表示されています。表示を "View devices by type" に切り替えると、これらのディスクおよびボリュームデバイスが "ディスクドライブ" および "記憶域ボリューム" ブランチの下に表示されます。 (注: Vista/Windows 7 システムでは、デバイス階層が完全に表示されない場合がありますが、デバイス制御はデバイス階層内の一致するすべてのクラスに適用されます)。
 
デバイス階層と論理デバイスを理解することは、管理者が期待通りの動作をするデバイス制御を設定するのに役立ちます。上記の例から、「ディスクドライブ」を遮断するルールは、内蔵および外付け USB ディスクを含むすべての物理ディスクを遮断すると予測できます。同様に、「記憶域ボリューム」を遮断するルールは、基礎となるストレージのタイプに関係なく、すべての論理パーティションを遮断します。 

デバイス ID について

デバイス ID は、システム内の特定のデバイスを識別する一意の識別子です。一般的にデバイス ID は、例えば "IDECDROM" のようなタイプ文字列の接頭語の後に、特定のデバイスモデルを示す文字列が続きます。デバイス制御ポリシーでデバイス ID を適用することにより、ルールのアクションに応じて、特定のデバイスを許可または遮断することができます。 たとえば、「IDECDROM*」が遮断ルールに指定された場合、ポリシーが適用されると、マザーボードに直接接続されているすべての CD/DVD ドライブが無効になります。デバイス ID ルールは、特定の物理デバイスに最も密接に結びついているため、予期しないポリシールールの動作が発生する可能性が最も低くなります。 

デバイス制御の仕組み

デバイス制御モジュールは、システムから発行されるデバイス変更メッセージを監視します。メッセージが発生するたびに、SEP はシステム内のすべてのデバイスを列挙し、各デバイスを、そのデバイスに関連するデバイスクラスのリストに適用されるルールと照合します。
 
ルール条件タイプに応じて、SEP クライアントは 2 つの異なる方法でデバイス GUID/デバイス ID をチェックします。デバイス GUID が指定された場合、文字列の直接比較が実行されます。デバイス ID の場合、SEP は正規表現による照合を行います。条件が一致した場合、SEP はルールアクションに応じてデバイスを有効または無効にします。デバイスを有効または無効にする操作は、ユーザーが Windows のデバイスマネージャで同じ操作を実行するのとよく似ています。 

デバイス制御の対象外となる Windows デバイス

Windows のシステムクリティカルなデバイスの中には、決して無効にできないものがあります。 例えば、Windows は「CPU」デバイスの無効化を許可しません。Windows のデバイスマネージャーでは、"CPU" デバイスを右クリックしても、"Disable" または "Enable" メニュー項目は表示されません。DevViewer では、プロパティウィンドウ（図 4 参照）の [can be disabled] フィールドを調べることができます。SEP クライアントはデバイスを無効にする前にこのステータスをチェックし、これらのデバイスでは動作しません。

図 4 

組み込みのホワイトリストについて

ハードウェアを使用不能にし、一部の広範な論理デバイスクラスの利用を許可するようなポリシー設定から保護するために、SEP は組み込みのホワイトリストを使用して、特定のデバイスに対するポリシー制御を防止します。 SEP は、そのようなデバイスに対するデバイス制御ポリシーを無視します。

現在のホワイトリスト対象デバイス

• USB/PCMCIA/FireWire(1394) コントローラ

これらのデバイスを遮断すると、コントローラだけでなく接続されているデバイスも影響を受けるため、予期しない動作が発生する可能性があります。コントローラがサポートするデバイスとデバイスクラスを対象としたポリシーを作成します。

• システム OS やページファイルを含むディスクやボリューム。

これらのデバイスを遮断すると、回復不能なシステムエラー (BSOD) が発生する可能性があります。SEPは これらのデバイスを無効にしませんが、その他のディスクやボリュームはポリシーで遮断できます。