Symantec Endpoint Protection (SEP) のアプリケーションとデバイス制御 (ADC) ポリシーを使用するための推奨事項を知りたい。ADC を実用化するためのベストプラクティスを教えて欲しい。避ける必要のあるプラクティスについても知りたい。
アプリケーションとデバイス制御ポリシーは、使用する環境に合わせたカスタムエンフォースメントポリシーを作成できる強力なツールです。詳細な説明は アプリケーション制御、システムロックダウン、デバイス制御について を参照してください。
アプリケーションとデバイス制御の設定でエラーが発生すると、コンピュータまたはサーバーが無効になることがあります。アプリケーションとデバイス制御ポリシーを実装すると、クライアントコンピュータがダウンしたり、Symantec Endpoint Protection Manager が遮断されたりする場合があります。
アプリケーションとデバイス制御は、経験豊富な管理者のみが設定する必要のある高度なセキュリティ機能です。
ADC を使用して、シマンテックがまだウイルス対策シグネチャを保有していない脅威の広がりを制限することもできます。不審なファイルの MD5 (一意の識別子) が見つかった場合は、ポリシーを作成してその MD5 を遮断できます。詳細については アプリケーションとデバイス制御を使用して脅威の拡散を制限する を参照してください。
ルールセットは、ルールとその条件で構成されます。ルールとは、特定のプロセスに適用される条件とアクションのセットのことです。最も実践的な方法は、1 つのルールセットを作成し、その中に 1 つのタスクを許可、遮断、監視するすべての処理を含めることです。
複数のルールを作成して、単一のアプリケーション制御ルールセットに追加できます。必要な保護を実装するために必要な数のルールとルールセットを作成できますが、過度に長いルールセットを使用すると深刻なパフォーマンスの問題が発生することに注意してください。
アプリケーション制御ルールは、最初に一致したルールが適用されるという点で、ほとんどのネットワークベースファイアウォールルールと同様に動作します。 複数の条件が該当するルールの場合は、最初のルールのみが適用されます。ただし、そのルールに設定している処理が[他のルールの処理を続ける]である場合を除きます。 ルールを設定する場合には、予期しない結果にならないようにルールとその条件の順序を考慮してください。
条件を特定のフォルダ内のすべてのエンティティに適用する場合は、最も実践的な方法は <フォルダ名>\* または <フォルダ名>\*\* を使うことです。1 つのアスタリスクには、名前付きフォルダ内のすべてのファイルとフォルダが包含されます。名前付きフォルダ内のすべてのファイルとフォルダに加え、すべてのサブフォルダ内のファイルとフォルダを含めるには、<フォルダ名>\*\* を使用します。
注: ベストプラクティスは、[プロセスを終了]アクションを使用するのではなく、[アクセスの遮断]アクションを使用して条件を回避することです。[プロセスを終了]で、要求を行ったアプリケーションが終了します。[プロセスを終了]アクションは、高度な構成でのみ使用する必要があります。
注: ルールと条件を作成する場合は、マッチングに対して複雑な正規表現 (「regex」) を使用すると、プレーンな文字列のマッチングに比べて CPU により負担がかかる可能性があります。
ポリシーで条件数に関してハードコードされた制限値がないにもかかわらず、ポリシーを過剰に複雑に設定すると、パフォーマンスに深刻な影響が及びます。以下の推定される制限値についての推奨事項を順守してください。
アプリケーション制御のルールセットまたは条件が非常に大きい場合は、複数のパフォーマンスの問題が発生します。