1
Kaspersky Endpoint Security 10 SP1 MR2
デバイスコントロール設定ガイド
2016/06/18
株式会社カスペルスキー コーポレートビジネス本部
セールスエンジニアリング部
Ver. 2.02
⽬次
1. デバイスコントロールの概要 ... 3 1.1. デバイスを制限する⽅法 ... 4 1.1.1. ユーザー毎に設定可能なデバイスの種類と権限 ... 4 1.1.2. USBデバイスのシリアルIDについて ... 5 1.1.3. デバイスのモデル名について ... 5 1.1.4. iOSに関する注意事項 ... 6 1.2. デバイスコントロールを設定するには ... 6 2. 設定例 ... 8 2.1. USBメモリーの使⽤を禁⽌する ... 8 2.1.1. デバイスの種類で制御 ... 8 2.1.2. 接続バスでの制御 ... 9 2.2. アクセス権を変更する ...11 2.2.1. USBメモリーの「読み取り」のみ許可する ... 12 2.2.2. 特定のユーザー/ユーザーグループのみ許可する ... 14 2.3. 特定のデバイスのみの利⽤を許可する ...18 2.3.1. 特定のUSBメモリーのみ許可する ... 18 2.4. 特定モデルのデバイスのみ利⽤を許可する ...213
1.
デバイスコントロールの概要
デバイスコントロール機能はKaspersky Endpoint Security for Business Selectの「エンドポイントコントロ ール」に含まれる機能で、外付けデバイスの接続を制御することができます。 デバイスコントロールでは、シリアルIDの登録や書き込み/読み込みの制御、Windowsログインユーザーごとの許 可など、細かいコントロールが可能です。 プリンター ハードディスク DVD/CDドライブ 許可された デバイス 禁⽌された デバイス
ブロックした通知メッセージを
ユーザーの画⾯に表⽰
USBメモリーなどの リムーバブルメディア ログインユーザー毎の ポリシー設定 管理者としてログイン 外部ドライブの読み書きを許可 ⼀般ユーザーとしてログイン外部ドライブの書き込みを禁⽌4
1.1. デバイスを制限する⽅法
利⽤できるデバイスは、デバイスの種別ごと、および接続バスごとに制限できます。 また、デバイスを禁⽌した上で「信頼するデバイス」にシリアルIDやモデル名を登録することで、例外として許可する デバイスを設定することができます。1.1.1. ユーザー毎に設定可能なデバイスの種類と権限
ユーザー毎に設定可能なデバイスの種類と権限は以下の通りです。デバイス
権限
備考
読み込み/書き込み 利⽤許可 読み込み専⽤ ブロック ハードディスク ○ ○ ○ USBメモリーなど リムーバブルドライブ ○ ○ ○ プリンター ○ - ○ フロッピーディスク ○ ○ ○ CD/DVDドライブ ○ - ○ モデム ○ - ○ テープデバイス ○ - ○ 多機能デバイス ○ - ○ スマートカードリーダー ○ - ○ Windows CE USB ActiveSync デバイス ○ - ○ Wi-Fi ○ - ○ 外部ネットワーク アダプター ○ - ○ ポータブルデバイス ○ - ○ スマートフォンなど Bluetooth ○ - ○ カメラとスキャナ ○ - ○5
1.1.2. USBデバイスのシリアルIDについて
「信頼するデバイス」にはデバイスのシリアルIDを登録できます。 (☞2.3. 特定のデバイスのみの利⽤を許可する P.18) デバイスのシリアルIDは、以下の要素で構成されています。 シリアルID : ベンダー名(製造元)+モデル名+シリアル番号 なお、機器ごとにIDが異なるかどうかはメーカーの仕様に依存します。事前にご確認ください。1.1.3. デバイスのモデル名について
シリアルIDでの登録以外にも、“モデル”によって信頼できるデバイスを登録できます。 (☞2.4. 特定モデルのデバイスのみ利⽤を許可する P.21) IDで登録 モデルで登録 登録されたUSBメモリー ○ ○ 同⼀メーカーの同⼀モデル ×※1 ○ 個⼈所有のUSBメモリー ×※1 △※2 同⼀メーカーの別モデル ×※1 × 別メーカーのモデル ×※1 × ※1 メーカーの仕様に依存します。機器ごとにIDが異なる場合のみ制御可能です。 ※2 メーカーのモデル名の仕様に依存します。登録されたモデルと同⼀の場合使⽤可能です。 例)東芝: USBSTRO\DISK&VEN_TOSHIBA&PROD_TRANSMEMORY&REV_1.00\B654… SANDISK: USBSTRO\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.27\2004…ベンダー名
モデル
シリアル番号
6
1.1.4. iOSに関する注意事項
USBバスを「ブロック」に設定した場合、「MTP(Media Transfer Protocol)モード」での接続はブロックできますが、iTunesとiOSデバ イスは独⾃の⽅法によってファイル転送を実装しているため、iTunes を経由したiOSデバイスの読み書きは制御できません。 iTunesによる接続を制限したい場合は、「アプリケーション起動コ ントロール」で、iTunesを起動できないようにする必要があります。1.2. デバイスコントロールを設定するには
デバイスコントロールはデフォルトで有効となっており、すべてのユーザー(Everyone)に読み書きの許可が与え られた状態になっています。設定の内容を確認・変更するには、管理サーバーの設定で「エンドポイントコントロール」 を表⽰する必要があります。以下の⼿順で設定します。 ① 「管理サーバー」を選択して「監視」タブを開き、「管理サーバー」グループにある「ユーザーインターフェイスに表⽰ する機能の設定」をクリックします。7 ② 「インターフェイスの設定」画⾯が開くので、「エンドコ ントロール設定の表⽰」を有効にして「OK」をクリック します。 ③ 確認メッセージが表⽰されるので「OK」をクリックしま す。 表⽰の設定は、管理コンソールを再起動すると有効になります。 <設定前> <設定後(エンドポイントコントロールを表⽰)>
8
2.
設定例
以下の4つのモデルによる設定例を紹介します。 USBメモリーを社員に使わせたくない ··· P.8 アクセス権を設定したい ··· P.11 特定のデバイスだけを使わせたい ··· P.18 特定モデルのデバイスだけを使わせたい ··· P.212.1. USBメモリーの使⽤を禁⽌する
USBメモリーの使⽤を禁⽌します。 デバイスの種類で制御する⽅法(P.8)と接続バスで制御する⽅法(P.9)があります。2.1.1. デバイスの種類で制御
グループのポリシーで、デバイス種別「リムーバブルドライブ」を「ブロック」に設定します。 ① グループ(ここでは「管 理 対 象 コ ン ピ ュ ー タ ー」)の「ポリシー」タブ でKESのポリシーをダブ ルクリックしてプロパティ を開きます。 禁⽌されたデバイス9 ② 「デバイスコントロール」 セクションにある「デバイ スコントロール設定」で 「デバイス種別」の「リム ーバブルドライブ」を右 クリックして「ブロック」を 選択します。 ③ 「OK」をクリックして設 定を反映させます。 USBメモリーを挿すとエラーメッセージが表⽰され、デバイスへのアクセスが⾏えない状態となります。
2.1.2. 接続バスでの制御
グループのポリシーで、デバイス種別「リムーバブルドライブ」を「バスに依存する」に設定し、ます。 接続バス「USB」を「ブロック」に設定します。 ① グループ(ここでは「管 理 対 象 コ ン ピ ュ ー タ ー」)の「ポリシー」タブ でKESのポリシーをダブ ルクリックしてプロパティ を開きます。10 ② 「デバイスコントロール」 セクションにある「デバイ スコントロール設定」で 「デバイス種別」の「リム ーバブルドライブ」を右ク リックして「バスに依存す る」を選択します。 ③ 続いて、「接続バス」で 「USB」を右クリックして 「ブロック」 を選択しま す。 ④ 「OK」をクリックして設 定を反映させます。 USBメモリーを挿すとエラーメッセージが表⽰され、デバイスへのアクセスが⾏えない状態となります。
11
2.2. アクセス権を変更する
アクセス権限を変更したい場合の設定です。 フルコントロ ール 読み取り、 書き込み 禁⽌ 書き込みはNG! ブロックした通知メッセージを ユーザーの画⾯に表⽰ 読み取り のみ許可 読み取り、 書き込みNG! 通知メッセージをユーザーの 画⾯に表⽰ 読み取りはOK! 読み取り、 書き込みOK! ※ PCごとの許可、禁⽌はグループのポリシーで設定可能。12
2.2.1. USBメモリーの「読み取り」のみ許可する
デバイスのアクセス権は「読み取り」と「書き込み」にわけて設定できます。 ① グループ(ここでは「管 理 対 象 コ ン ピ ュ ー タ ー」)の「ポリシー」タブ でKESのポリシーをダブ ルクリックしてプロパティ を開きます。 ② 「デバイスコントロール」 セクションにある「デバイ スコントロール設定」で 「デバイス種別」の「リム ーバブルドライブ」を選 択して「編集」をクリック します。 ③ デバイスアクセスルールの設定を変更する確認メッセ ージが表⽰されるので「はい」をクリックします。13 ④ 「デバイスアクセスルールの設定」画⾯が開くの で、ユーザー「Everyone」を選択して、「書き込 み」をオフにします。 ⑤ 「OK」をクリックして設定を反映させます。 ⑥ 「デバイスコントロール」 の画⾯に戻ります。デバ イスアクセスルールを変 更すると、アクセスのア イコンが変化します。 ⑦ 「OK」をクリックして設 定を反映させます。 USBメモリー内のファイルを参照することはできますが、保存しようとするとエラーメッセージが表⽰され、ファイルの 変更や書き込みができなくなります。
14
2.2.2. 特定のユーザー/ユーザーグループのみ許可する
デバイスアクセスルールの設定では、ユーザー/ユーザーグループごとにアクセス権を設定することができます。 ① グループ(ここでは「管 理 対 象 コ ン ピ ュ ー タ ー」)の「ポリシー」タブ でKESのポリシーをダ ブルクリックしてプロパテ ィを開きます。 ② 「デバイスコントロール」 セクションにある「デバイ スコントロール設定」で 「デバイス種別」の「リム ーバブルドライブ」を選 択して「編集」をクリック します。 ③ デバイスアクセスルールの設定を変更する確認メッセ ージが表⽰されるので「はい」をクリックします。15 ④ 「デバイスアクセスルールの設定」画⾯が開くの で、「ユーザーまたはユーザーのグループ」で Everyoneを選択して「削除」をクリックします。 ⑤ Everyoneを削除したら「追加」をクリックしま す。 ⑥ 「ユーザーまたはグループの選択」が開くので、 「詳細設定」をクリックします。
16 ⑦ 「検索結果」から設定したいユーザーやユ ーザーグループを選択し「OK」をクリックし ます。 ここでは、Administrators(アカウント の種類が「管理者」のグループ)を選択 しています。 ⑧ 「デバイスアクセスルールの設定」画⾯に戻るの で、「既定のスケジュール」を有効にして、読み取 り/書き込みの設定をします。 ⑨ 設定したら「OK」をクリックします。
17 ⑩ 「デバイスコントロール」 の画⾯に戻ります。デ バイスアクセスルールを 変更したので、アクセス のアイコンが変化してい ます。 ⑪ 「OK」をクリックして設 定を反映させます。 これで、「管理者」のアカウントでログインしているときだけUSBメモリーの読み取り・書き込みができるようになりまし た。
18
2.3. 特定のデバイスのみの利⽤を許可する
制御したいデバイスのシリアルID(ベンダー名 +モデル+シリアル番号)※1を「信頼するデバイス」として登録し て制御を⾏います。2.3.1. 特定のUSBメモリーのみ許可する
USBメモリーを利⽤させないように設定し、信頼するデバイスにシリアルIDを登録することで、特定のUSBメモリー のみ使⽤可能にします。 まず、 「2.1 USBメモリーの使⽤を禁⽌する」の⼿順に従い、デバイス種別「リムーバブルドライブ」を「ブロック」ま たは 接続バスで「USB」を「ブロック」する設定を⾏います。 <リムーバブルドライブをブロックする場合(P.8)> <USBをブロックする場合(P.9)> ※デバイス種別では「バスに依存する」に設定 続いて、「信頼するデバイス」を設定します。 シリアルIDを登録※1 許可された デバイス 禁⽌された デバイス ブロックした通知メッセージを ユーザーの画⾯に表⽰ ※1 メーカーの仕様に依存します。 機器ごとにIDが異なる場合のみ制御可能です。19 ① 「信頼するデバイス」で 「追加」をクリックして、 「IDによるデバイス」を 選択します。 ② 「信頼済みデバイスをIDで追 加する」画⾯が開くので、「デ バイス種別」で「リムーバブルド ライブ」を選択し、「更新」をク リックします。
20 ③ ⼀覧から、許可したいデバイ スのチェックボックスにチェックを ⼊れます。 ※リストにはKSCと同期が取 れているクライアントPCに USBメモリーを挿すと⾃動 的に追加されます。 ※機器ごとにIDが異なるかど うかはメーカーの仕様に依 存します。事前にご確認く ださい。 ●後の管理の為、経緯などの コメントを登録することを推 奨します ●ユーザーを指定したい場合 は、「許可するユーザーまた はユーザーグループ」で「選 択」をクリックして追加しま す。(参考 ☞ P.14)
21 ④ 「 OK 」 をク リッ ク す る と 「信頼するデバイス」に 選択した機器が追加さ れます。 必要な分を追加できた ら、「OK」をクリックして 設定を反映させます。
2.4. 特定モデルのデバイスのみ利⽤を許可する
制御したいデバイスのシリアルID(ベンダー名 または ベンダー名+モデル )※1 を登録してデバイスの制御を ⾏います。 まず、USBメモリーを利⽤させないように設定し、信頼するデバイスに「メーカー名+モデル名」を登録することで、 特定のモデルだけを使⽤可能にします。 特定メーカーのみ使⽤可能※1 特定メーカーの特定モデルのみ使⽤可能※1 許可された デバイス 禁⽌された デバイス ブロックした通知メッセージを ユーザーの画⾯に表⽰ ※1 メーカーのモデル名の仕様に依存します。 登録されたモデルと同⼀の場合使⽤可能です。22 デバイス種別「リムーバブルドライブ」を「ブロック」または 接続バスで「USB」を「ブロック」する設定をあらかじめ⾏い ます。(※ 詳細は7ページ、8ページを参照ください) <リムーバブルドライブをブロックする場合(P.8)> <USBをブロックする場合(P.9)> ※デバイス種別では「バスに依存する」に設定 続いて、「信頼するデバイス」に「メーカー名+モデル名」を登録します。 ① 「信頼するデバイス」で 「追加」をクリックして、 「IDマスクによるデバイ ス」を選択します。 ② 「信頼済みデバイスをIDで追 加する」画⾯が開くので、「デ バイス種別」で「リムーバブルド ライブ」を選択し、「更新」をク リックします。
23 ③ ⼀覧の中から対象のデバイス を探し、「デバイスモデル/ID」 の値を確認します。 ※リストにはKSCと同期が取 れているクライアントPCに USBメモリーを挿すと⾃動 的に追加されます。 ※機器ごとにIDが異なるかど うかはメーカーの仕様に依 存します。事前にご確認く ださい。 ④ 「マスク」に対象デバイスのデ バイスモデルを⼊⼒します。 ※「*」は任意の⽂字列に 置き換えられます。 「?」は任意の単⼀⽂字に 置き換えられます。 ※連番のシリアル番号で購⼊ している場合、シリアル番号 の下数桁からを「*」や「?」 で利⽤可能なデバイスの範 囲を特定できます。 後の管理の為、経緯などのコ メントを登録することを推奨し ます ユーザーを指定したい場合 は、「許可するユーザーまたは ユーザーグループ」で「選択」を クリックして追加します。 (参考 ☞ P.14)
24 ⑤ 「 OK 」 をク リッ ク す る と 「信頼するデバイス」に 選択した機器が追加さ れます。 必要な分を追加できた ら、「OK」をクリックして 設定を反映させます。
25
株式会社カスペルスキー
〒101-0021 東京都千代⽥区外神⽥3-12-8 住友不動産秋葉原ビル 7F
www.kaspersky.co.jp | www.viruslistjp.com
©2016 Kaspersky Labs Japan. Kaspersky Anti-VirusおよびKaspersky Securityは、Kaspersky Lab ZAOの登録商標です。 その他記載された会社名または製品名などは、各社の登録商標または商標です。なお、本⽂中では、TM、®マークは明記していません。 記載内容は2016年4⽉現在のものです。記載された内容は、改良の為に予告なく変更されることがあります。