17 ポリシーの設定
17.1 全般設定
説明 ポリシー設定
設定のロード
マシン設定の再実行
「ポリシーのループバック」フィールドでポリシーに対し て「マシン設定の再実行」を選択し、そのポリシーがマシ ポリシーのループバック
ンから取得したものである場合 (ユーザー ポリシーの「マ シン設定の再実行」は無効)、最後にこのポリシーが再び 実装されます。すべてのユーザー設定が上書きされ、マシ ン設定が適用されます。
ユーザー設定を無視
「ポリシーのループバック」フィールドでポリシー (マシ ン ポリシー) に対して「ユーザー設定を無視」を選択し、
そのポリシーがマシンから取得したものである場合、マシ ン設定のみが分析されます。ユーザー設定は分析されませ ん。
ループバックなし
「ループバックなし」は標準の動作です。ユーザー ポリ シーがマシン ポリシーよりも優先されます。
説明 ポリシー設定
「ユーザー設定を無視」設定と「マシン設定の再実行」設 定が分析される方法
有効なポリシー割り当てが存在する場合、最初にマシン ポリシーが分析され統合されます。さまざまなポリシーを 統合した結果「ポリシーのループバック」で「ユーザー設
定を無視] 属性になる場合、ユーザーに適用されるはずだっ
たポリシーは分析されなくなります。つまり、ユーザーに 対して、マシンと同じポリシーが適用されます。
「ポリシーのループバック」で「マシン設定の再実行」値 が適用される場合、個々のマシン ポリシーが統合された 後に、ユーザー ポリシーがマシン ポリシーと結合されま す。統合後、マシン ポリシーが書き換えられ、すべての ユーザー ポリシー設定を上書きします。つまり、両方の ポリシーに設定が存在する場合、マシン ポリシーの値が ユーザー ポリシーの値を上書きします。個々のマシン ポ リシーを統合した結果、標準値になる場合、設定の優先順 位は次のとおりです。ユーザー設定がマシン設定よりも優 先されます。
転送率
SafeGuard Enterprise Client が SafeGuard Enterprise Server に ポリシー (変更) の問い合わせを送信する間隔を分単位で 指定します。
注:多数のクライアントがサーバーに同時に接続するのを 防ぐために、通信は設定された接続間隔の +/- 50% の時間 サーバーへの接続の間隔 (分)
で常に実行されます。例:「90分」に設定すると、クライ アントとサーバー間の通信間隔は 45分~135分になります。
ログ
Win32 Service 「SGM LogPlayer」として実装されたログ シ ステムは、SafeGuard Enterprise で生成されたログ エントリ フィードバックするまでのイ
ベント数
を中央データベース用に収集し、ローカル ログ ファイル に格納します。これらは、ローカルキャッシュの
「Auditing」ディレクトリ内の SGMTransLog に置かれま す。これらのファイルは転送メカニズムに転送され、
SafeGuard Enterprise サーバーを介してデータベースに送ら れます。転送は、転送メカニズムがサーバに接続できたと きにすぐに発生します。したがって、接続が確立されるま で、ログ ファイルのサイズが増大していきます。各ログ ファイルのサイズを制限するために、ポリシーでログ エ ントリの最大数を設定できます。事前に設定されたエント リ数に達すると、ログ出力システムはログ ファイルを SafeGuard Enterprise サーバーの転送キューに置き、新しい ログ ファイルを開始します。
説明 ポリシー設定
カスタマイズ
エンドポイントで SafeGuard Enterprise の設定を表示する言 語。
対応している言語を選択するか、エンドポイントの OS と 同じ言語を指定することが可能です。
クライアントで使用される言 語
ログオン復旧
Windows ローカル キャッシュは、エンドポイントとサー バー間でデータ交換するための開始および終了ポイントで
Windows ローカルキャッシュ
の破損後、ログオン復旧をア
クティブにする す。ここに、すべての鍵、ポリシー、ユーザー証明書、お よび監査ファイルが格納されます。ローカル キャッシュ に格納されたデータはすべて署名されていて、手動で変更 することはできません。
デフォルトでは、ローカル キャッシュ破損後のログオン 復旧は無効になっています。つまり、Windows ローカル キャッシュはバックアップから自動的に復旧されます。こ の場合、Windows ローカル キャッシュの修復に、チャレ ンジ/レスポンスは必要ありません。Windows ローカル キャッシュがチャレンジ/レスポンスを通じて修復される 場合は、このフィールドを明示的に「はい」に設定しま す。
Local Self Help
ユーザーがパスワードを忘れた場合に、Local Self Help を 使用して自分のエンドポイントにログオンすることを許可 Local Self Help の有効化
するかどうかを決定します。Local Self Help を使用すると、
ユーザーは SafeGuard Power-on Authentication で、指定さ れた数の以前に定義された質問に答えることによってログ オンできます。電話もインターネット接続も使用できない 場合でも、ユーザーは自分のコンピュータに再びアクセス できるようになります。
注: ユーザーが Local Self Help を使用できるようにするに は、Windows への自動ログオンを有効にする必要がありま す。そうしないと、Local Self Help が機能しません。
Local Self Help のために回答の最低文字数を定義します。
回答の最小長
エンドポイントで Local Self Help ウィザードを起動したと きに最初のダイアログに表示されるカスタム テキストを Windows の「ようこそ」テキ
スト
指定します。ここでテキストを指定する前に、「ポリ シー」ナビゲーション ペインの「情報テキスト」で、テ キストを作成、登録する必要があります。
説明 ポリシー設定
セキュリティ担当者は、回答される一連の質問を一元的に 定義し、ポリシーを介してそれをエンドポイントに配布で ユーザーが独自の質問を定義
できる
きます。ただし、独自の質問を定義する権限をユーザーに 付与することもできます。ユーザーに独自の質問を定義す ることを許可するには、オプション「はい」を選択しま す。
チャレンジ/レスポンス (C/R)
チャレンジ/レスポンスを通じて自分のコンピュータに再 びアクセスできるようになるために、SafeGuard POA C/R によるログオン復旧を有
効にする
(Power-on Authentication) でユーザーにチャレンジの生成 を許可するかどうかを指定します。
はい:ユーザーはチャレンジを生成できます。この場合、
ユーザーは緊急時に、C/R を介して自分のコンピュータに 再びアクセスできるようになります。
いいえ:ユーザーはチャレンジの発行を許可されていませ ん。この場合、ユーザーは緊急時に、自分のコンピュータ に再びアクセスできるようにするための C/R を開始できま せん。
チャレンジ/レスポンスを使用して認証を行ったユーザー に、Windows への自動ログオンを許可します。
はい:ユーザーはWindows に自動的にログオンします。
Windows への自動ログオンを 許可する
いいえ:Windows ログオン画面が表示されます。
例:ユーザーがパスワードを忘れた場合、チャレンジ/レス ポンスの実行後、SafeGuard Enterprise では SafeGuard Enterprise パスワードなしでユーザーがエンドポイントに ログオンできます。この場合、Windows への自動ログオン はオフになっており、Windows のログオン画面が表示され ます。ユーザーは自分の SafeGuard Enterprise パスワード (Windows パスワードと同じ) を知らないため、ログオンで きません。「はい」を選択すると、自動ログオンが許可さ れ、ユーザーはWindows のログオン画面で足止めされな くなります。
SafeGuard POA でチャレンジ/レスポンスが開始されたとき
に情報テキストを表示します。例:「サポート デスク (電話 01234-56789) にご連絡ください。」
ここでテキストを指定する前に、ポリシーのナビゲーショ ン ペインの「情報テキスト] で、表示するテキストをテキ スト ファイルとして作成する必要があります。
情報テキスト
画像
説明 ポリシー設定
前提条件:
新しい画像は、SafeGuard Management Center のポリシーの ナビゲーション ペインの「イメージ」で登録する必要が あります。画像は登録後のみに使用します。対応している 形式:.BMP、.PNG、.JPEG
SafeGuard Enterprise の青い背景を、カスタム版背景イメー ジで置き換えます。たとえば、SafeGuard POA および POA の背景イメージ
POA の背景イメージ (低解像
度) Windows ログオンで自社のロゴを使用することができま
す。すべての背景ビットマップの最大ファイル サイ ズ:500KB
標準:
■ 解像度:1024x768 (VESA モード)
■ 色:制限なし 低:
■ 解像度:640x480 (VGA モード)
■ 色:16色
SafeGuard POA のログオン時に表示される SafeGuard
Enterprise のイメージを、企業のロゴなど、カスタム版イ
メージで置き換えます。
POA のログオン イメージ POA のログオン イメージ (低 解像度)
標準:
■ 解像度:413 x 140 ピクセル
■ 色:制限なし 低:
■ 解像度:413 x 140 ピクセル
■ 色:16色
File Encryption
File Encryption や SafeGuard Data Exchange を使ったファイ ル ベースの暗号化では、アプリケーションを「信頼する 信頼するアプリケーション
アプリケーション」と指定して、暗号化ファイルへのアク セスを許可することができます。これは、たとえば、ウイ ルス対策ソフトが暗号化ファイルを検索する場合などに必 要です。
説明 ポリシー設定
このフィールドのエディタのリストボックスに、信頼する アプリケーションとして定義するアプリケーションを入力 します。アプリケーション名は、完全修飾パスとして指定 する必要があります。
File Encryption や SafeGuard Data Exchange を使ったファイ ル ベースの暗号化では、アプリケーションを「無視する 無視するアプリケーション
アプリケーション」と指定して、透過的な暗号化/復号化 から除外することができます。たとえば、バックアッププ ログラムを無視するアプリケーションに指定すると、この プログラムによってバックアップされた暗号化データは復 号化されません。
このフィールドのエディタのリストボックスに、無視する アプリケーションとして定義するアプリケーションを入力 します。アプリケーション名は、完全修飾パスとして指定 する必要があります。
File Encryption や SafeGuard Data Exchange を使ったファイ ル ベースの暗号化では、ファイル ベースの暗号化からデ バイス全体 (例:ディスク) を除外することができます。
エディタのリストボックスで、「ネットワーク」を選択し て、事前に指定されたデバイスを選択するか、デバイス名 を入力して、特定のデバイスを暗号化から除外します。
無視するデバイス
File Encryption や SafeGuard Data Exchange を使ったファイ ル ベースの暗号化では、永続暗号化を設定することがで 永続暗号化を有効にする
きます。永続暗号化の場合、暗号化ルールが適用されてい ない場所が保存先であっても、暗号化ファイルのコピーは 暗号化されます。
このポリシーの設定は、デフォルトで有効化されていま す。
Cloud Storage を使ったファイル ベースの暗号化では、暗 号化のためのデフォルトの鍵を、ユーザーが設定すること ユーザーはデフォルトの鍵を
設定できる
ができるかどうかを設定できます。許可する場合、「デ フォルトの鍵を設定する」コマンドが、Cloud Storage 同期 フォルダのWindows エクスプローラのショートカット メ ニューに追加されます。ユーザーはこのコマンドを使用し て、暗号化する同期フォルダごとに、異なるデフォルトの 鍵を指定することができます。