Device Control ルールは、特定のデバイスが使用された場合に実行するアクションを定義します。
このリリースでは、6 タイプの Device Control ルールのうち、リムーバブル ストレージ デバイス ルールのみが OS X でサポートされています。
• リムーバブル ストレージ デバイス ルール (Microsoft Windows、OS X) - リムーバブル ストレージ デバイス のブロックまたは監視、あるいは読み取り専用の設定に使用します。 アクションが実行されると、ユーザーに通 知することができます。
• プラグ アンド プレイ デバイス ルール (Microsoft Windows のみ) - プラグ アンド プレイ デバイスのブロッ クまたは監視に使用します。 アクションが実行されると、ユーザーに通知することができます。
• リムーバブル ストレージ ファイル アクセス ルール (Microsoft Windows のみ) - プラグイン デバイス上の実 行可能ファイルが実行されないようにブロックするために使用されます。
• 固定ハード ドライブ ルール (Microsoft Windows のみ) - 固定ハード ドライブのブロックまたは監視、あるい は読み取り専用の設定に使用します。 アクションが実行されると、ユーザーに通知することができます。 固定ハ ード ドライブ デバイス ルールは、ブート パーティションまたはシステム パーティションを保護しません。
• Citrix XenApp デバイス ルール (Microsoft Windows のみ) を使用して、共有デスクトップ セッションにマ ッピングされた Citrix デバイスをブロックします。
• TrueCrypt デバイス ルール (Microsoft Windows のみ) — TrueCrypt の保護に使用します。 ブロック、監 視、または読み取り専用の設定に使用できます。 アクションが実行されると、ユーザーに通知することができま す。
リムーバブル ストレージ デバイス ルール
リムーバブル ストレージ デバイス ルールを使用して、リムーバブル ストレージ デバイスをブロックまたは監視、
あるいは読み取り専用に設定します。 実行したアクションをユーザーに通知することができます。
リムーバブル ストレージ デバイス ルールは、Microsoft Windows と OS X の両方でサポートされています。 2 つ のタイプのデバイス ルールのデバイス クラスの使用方法が異なるため、これらには管理対象のデバイス クラスは必 要ありません。
• プラグ アンド プレイ デバイス ルールは、ハードウェア デバイスがコンピューターに接続されるとトリガーされ ます。 対応はデバイス ドライバーに対するものであるため、デバイス クラスは認識されるデバイスに対して管 理される必要があります。
• リムーバブル ストレージ デバイス ルールは、新しいファイル システムがマウントされるとトリガーされます。
ファイル システムがマウントされると、McAfee DLP Endpoint ソフトウェアが、特定のハードウェア デバイス にドライブ文字を関連付けて、デバイスのプロパティをチェックします。 対応は、デバイス ドライバーではなく ファイル システム操作に対するものであるため、デバイス クラスを管理する必要はありません。
使用例 : リムーバブル ストレージ デバイス ルールとホワイトリストに登録されたプロセス
リムーバブル ストレージ ブロック ルールの例外として、プロセスをホワイトリストに登録できます。
リムーバブル ストレージ デバイス ルールは、アプリケーションのデバイス上での動作のブロックに使用されます。
ただし、ルールでは、ホワイトリストに登録されたプロセスを 1 つ許可できます。 この例では、Sandisk リムーバ ブル ストレージ デバイスをブロックしますが、ウイルス対策ソフトウェアがデバイスをスキャンして感染したファ イルを削除することを許可します。
この機能は、Windows ベースのコンピューターのみでサポートされます。
リムーバブルメディアの保護
Device Control ルール
6
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2 [定義] タブで、Sandisk リムーバブル デバイス (Windows) の組み込みデバイス定義をみつけて、[複製] をク
リックします。
組み込みの定義を複製してカスタマイズすることを推奨します。 ただし、単純な例では、そのまま使用すること ができます。 定義では、Sandisk のベンダー ID 0781 を使用します。 他のベンダー ID を追加して、他のブラ ンドのリムーバブル デバイスを定義に追加できます。
3 [ルール セット] タブで、ルール セットを選択または作成します。
4 [Device Control] タブで、[アクション] 、 [新しいルール] 、 [リムーバブル ストレージ デバイス ルール] を 選択します。
5 ルールの名前を入力して、[状態] 、 [有効] を選択します。 [条件] セクションの [リムーバブル ストレージ] フ ィールドで、手順 2 で作成したデバイス定義を選択します。
6 [プロセス名] フィールドで、組み込みの [McAfee AV] 定義を追加します。
リムーバブル ストレージ デバイス定義で、この定義を複製してカスタマイズできます。
7 [対応] タブで、[防止アクション] 、 [ブロック] を選択します。 オプションで、ユーザー通知を追加して、[イ
ンシデントのレポート] オプションを選択できます。
8 [保存] をクリックしてから、[OK] をクリックします。
使用例: リムーバブル デバイスを読み取り専用にする
リムーバブル ストレージ デバイス保護ルールには、プラグ アンド プレイ デバイス ルールとは異なり、読み取り専 用のオプションがあります。
リムーバブル デバイスを読み取り専用に設定することにより、パーソナル デバイスをストレージ デバイスとしての 使用を防止して、MP3 プレーヤーとしての使用を許可できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2 [デバイス定義] ページの [定義] タブで、リムーバブル ストレージ デバイス定義を作成します。
リムーバブルストレージデバイス亭午をは、Windows または Mac デバイスとして分類する必要があります。
Windows または Mac の組み込み定義の 1 つを複製して、これをカスタマイズすることができます。 [バス タイ プ] には、USB、Bluetooth、および使用する予定の任意のバス タイプを含むことができます。 デバイスをベンダ ー ID またはデバイス名で識別することができます。
3 [ルール セット] タブで、ルール セットを選択または作成します。
4 [Device Control] タブで、[アクション] 、 [新しいルール] 、 [リムーバブル ストレージ デバイス ルール] を 選択します。
5 ルールの名前を入力して、[状態] 、 [有効] を選択します。 [条件] セクションの [リムーバブル ストレージ] フ ィールドで、手順 2 で作成したデバイス定義を選択します。
6
リムーバブルDevice Control メディアの保護ルール6 [対応] タブで、[防止アクション] 、 [読み取り専用] を選択します。 オプションで、ユーザー通知を追加して、
[インシデントのレポート] オプションを選択できます。
7 [保存] をクリックしてから、[OK] をクリックします。
プラグ アンド プレイ デバイス ルール
プラグ アンド プレイ デバイス ルールは、プラグ アンド プレイ デバイスのブロックまたは監視に使用します。 ア クションが実行されると、ユーザーに通知することができます。
プラグ アンド プレイ デバイスは、DLL およびドライバの設定または手動インストールを行っていない管理されたコ ンピューターに追加できるデバイスです。 プラグ アンド プレイ デバイス ルールは、Windows ベースのコンピュ ーターのみでサポートされています。 ハードウェア デバイスをコントロールするプラグ アンド プレイ デバイス ルールでは、ルールが使用するデバイス定義のデバイス クラスは [管理対象] ステータスに設定する必要があります。
使用例 : iPhone を、プラグ アンド プレイ デバイス ルールでブロックして充電する
Apple iPhones は、コンピューターから充電中にストレージとしての使用をブロックできます。
この使用例では、iPhone の大容量ストレージ デバイスとしてお使用をブロックするルールを使用します。 プラグ アンド プレイ デバイス保護ルールは、ルールがどのように指定されていても充電が可能なため、使用されます。 こ の機能は、その他のスマートフォン、または他の Apple モバイル デバイスではサポートされません。 この機能は、
コンピューターからの iPhone の充電を妨げません。
プラグ アンド プレイ デバイス ルールを特定のデバイスに定義するには、デバイスの定義をベンダーと製品 ID コー ド (VID/PID) で作成します。 この情報は、デバイスをプラグインしている時に Windows [デバイス マネージャ ー] から取得できます。 この例では VID のみが必要なため、この情報を探す代わりに、組み込みデバイス定義 [す べての Apple デバイス] を使用できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2 [ルール セット] タブで、ルール セットを選択 (または作成) します。 [デバイス コントロール] タブをクリック
して、プラグアンドプレイデバイスルール作成します。組み込みのデバイス定義 [すべての Apple デバイス] を含まれる ([いずれか (OR)]) 定義として使用します。
3 [対応] タブで、防止アクションを [ブロック] に設定します。
4 [保存] をクリックしてから、[OK] をクリックします。
リムーバブル ストレージ ファイル アクセス ルール
リムーバブル ストレージ ファイル アクセス ルールは、プラグイン デバイス上の実行可能ファイルが実行されない ようにブロックするために使用されます。
リムーバブル ストレージ ファイル アクセス ルールは、Windows ベースのコンピューターのみでサポートされてい ます。 リムーバブル ストレージ ファイル アクセス ルールは、リムーバブル ストレージ デバイス上の実行可能ファ イルが実行されないようにブロックします。 ルールで、含めるデバイスと除外するデバイスを指定できます。 暗号 化されたデバイス上の暗号化アプリケーションなどの、ある種の実行可能ファイルの実行を許可する必要があるため、
名前付きファイルをブロック ルールから免除するために、ルールには、[ファイル名] 、 [いずれでもない]パラメー ターが含まれます。
リムーバブルメディアの保護
Device Control ルール
6
ファイル アクセス ルールは、実際のファイル タイプを使用してどのファイルをブロックするか決定します。 実際の ファイル タイプは、拡張子が変更されていても正確に識別できるため、その内部で登録されたデータ タイプにより ファイルを識別します。 デフォルトで、ルールが圧縮ファイル (.zip、.gz、.jar、.rar、および .cab) と実行可能フ ァイル (.bat、.bin、.cgi、.com、.cmd、.dll、.exe、.class、.sys、および .msi) をブロックします。 ファイル 拡張子の定義は、必要な任意のファイル タイプを追加してカスタマイズできます。
ファイル フィルター ドライバーは実行可能ファイルを開くことと作成することを区別できないため、ファイル アクセ ス ルールは、実行可能ファイルのリムーバブル ストレージ デバイスへのコピーもブロックします。
固定ハード ドライブ ルール
固定ハード ドライブ ルールを使用して、固定ハード ドライブをブロックまたは監視、あるいは読み取り専用に設定 します。 アクションが実行されると、ユーザーに通知することができます。 固定ハード ドライブ デバイス ルール は、ブート パーティションまたはシステム パーティションを保護しません。
固定ハード ドライブ デバイス ルールは、Windows ベースのコンピューターのみでサポートされています。 固定ハ ード ドライブ ルールには、ブロックあるいは読み取り専用にするアクションのドライブの定義、エンドユーザー定 義、およびオプションのユーザー定義が含まれます。
Citrix XenApp デバイス ルール
Citrix XenApp デバイス ルールを使用して、共有デスクトップ セッションにマッピングされた Citrix デバイス を ブロックします。
Citrix XenApp デバイス ルールは、Windows ベースのコンピューターのみでサポートされています。 McAfee DLP Endpoint ソフトウェアは、共有デスクトップ セッションにマッピングされた Citrix デバイスをブロックでき ます。 フロッピー ディスク、固定ディスク、CD、リムーバブル ドライブ、ネットワーク ドライブ、プリンタ、お よびクリップボード リダイレクトは、すべてブロックできます。 ルールを特定のアプリケーションに割り当てでき ます。
TrueCrypt デバイス ルール
TrueCrypt デバイス ルールは、ブロック、監視、または TrueCrypt デバイスの読み取り専用の設定に使用します。
実行したアクションをユーザーに通知することができます。
TrueCrypt デバイス ルールは、Windows ベースのコンピューターのみでサポートされています。 TrueCrypt ルー ルは、リムーバブル ストレージ デバイス ルールのサプセットです。
TrueCrypt for OS X は現在サポートされていません。
TrueCrypt で暗号化された仮想デバイスは、TrueCrypt デバイス ルールまたはリムーバブル ストレージ保護ルール
で保護できます。
• TrueCrypt ボリュームをブロックまたは監視する、あるいは読み取り専用にするには、デバイス ルールを使用し ます。
• TrueCrypt ボリュームのコンテンツ依存の保護を使用するには保護ルールを使用します。
McAfee DLP Endpoint クライアントソフトウェアは、TrueCrypt アプリケーションがローカルディスクに書き込む 場合でも、すべての TrueCrypt マウントをリムーバブル ストレージとして扱います。
関連トピック:
95 ページの「ルールタイプに使用可能な対応」