次 1. デバイスコントロールの概要 デバイスを制限する 法 ユーザー毎に設定可能なデバイスの種類と権限 USBデバイスのシリアルIDについて デバイスのモデル名について iosに関す

1

Kaspersky Endpoint Security 10 SP1 MR2

デバイスコントロール設定ガイド

2016/06/18

株式会社カスペルスキー コーポレートビジネス本部

セールスエンジニアリング部

Ver. 2.0

2

⽬次

1. デバイスコントロールの概要 ... 3 1.1. デバイスを制限する⽅法 ... 4 1.1.1. ユーザー毎に設定可能なデバイスの種類と権限 ... 4 1.1.2. USBデバイスのシリアルIDについて ... 5 1.1.3. デバイスのモデル名について ... 5 1.1.4. iOSに関する注意事項 ... 6 1.2. デバイスコントロールを設定するには ... 6 2. 設定例 ... 8 2.1. USBメモリーの使⽤を禁⽌する ... 8 2.1.1. デバイスの種類で制御 ... 8 2.1.2. 接続バスでの制御 ... 9 2.2. アクセス権を変更する ...11 2.2.1. USBメモリーの「読み取り」のみ許可する ... 12 2.2.2. 特定のユーザー/ユーザーグループのみ許可する ... 14 2.3. 特定のデバイスのみの利⽤を許可する ...18 2.3.1. 特定のUSBメモリーのみ許可する ... 18 2.4. 特定モデルのデバイスのみ利⽤を許可する ...21

3

1.

デバイスコントロールの概要

デバイスコントロール機能はKaspersky Endpoint Security for Business Selectの「エンドポイントコントロ ール」に含まれる機能で、外付けデバイスの接続を制御することができます。 デバイスコントロールでは、シリアルIDの登録や書き込み/読み込みの制御、Windowsログインユーザーごとの許 可など、細かいコントロールが可能です。 プリンター ハードディスク DVD/CDドライブ 許可された デバイス 禁⽌された デバイス

ブロックした通知メッセージを

ユーザーの画⾯に表⽰

USBメモリーなどの リムーバブルメディア ログインユーザー毎の ポリシー設定 管理者としてログイン 外部ドライブの読み書きを許可 ⼀般ユーザーとしてログイン外部ドライブの書き込みを禁⽌

4

1.1. デバイスを制限する⽅法

利⽤できるデバイスは、デバイスの種別ごと、および接続バスごとに制限できます。 また、デバイスを禁⽌した上で「信頼するデバイス」にシリアルIDやモデル名を登録することで、例外として許可する デバイスを設定することができます。

1.1.1. ユーザー毎に設定可能なデバイスの種類と権限

ユーザー毎に設定可能なデバイスの種類と権限は以下の通りです。

デバイス

権限

備考

読み込み/書き込み 利⽤許可 読み込み専⽤ ブロック ハードディスク ○ ○ ○ USBメモリーなど リムーバブルドライブ ○ ○ ○ プリンター ○ － ○ フロッピーディスク ○ ○ ○ CD/DVDドライブ ○ － ○ モデム ○ － ○ テープデバイス ○ － ○ 多機能デバイス ○ － ○ スマートカードリーダー ○ － ○ Windows CE USB ActiveSync デバイス ○ － ○ Wi-Fi ○ － ○ 外部ネットワーク アダプター ○ － ○ ポータブルデバイス ○ － ○ スマートフォンなど Bluetooth ○ － ○ カメラとスキャナ ○ － ○

5

1.1.2. USBデバイスのシリアルIDについて

「信頼するデバイス」にはデバイスのシリアルIDを登録できます。 （☞2.3. 特定のデバイスのみの利⽤を許可する P.18） デバイスのシリアルIDは、以下の要素で構成されています。 シリアルID ： ベンダー名（製造元）＋モデル名＋シリアル番号 なお、機器ごとにIDが異なるかどうかはメーカーの仕様に依存します。事前にご確認ください。

1.1.3. デバイスのモデル名について

シリアルIDでの登録以外にも、“モデル”によって信頼できるデバイスを登録できます。 （☞2.4. 特定モデルのデバイスのみ利⽤を許可する P.21） IDで登録 モデルで登録 登録されたUSBメモリー _{○ ○} 同⼀メーカーの同⼀モデル _×※1 _○ 個⼈所有のUSBメモリー _×※1 _△※2 同⼀メーカーの別モデル _×※1 _× 別メーカーのモデル _×※1 _× ※1 メーカーの仕様に依存します。機器ごとにIDが異なる場合のみ制御可能です。 ※2 メーカーのモデル名の仕様に依存します。登録されたモデルと同⼀の場合使⽤可能です。 例）東芝： USBSTRO\DISK&VEN_TOSHIBA&PROD_TRANSMEMORY&REV_1.00\B654… SANDISK： USBSTRO\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.27\2004…

ベンダー名

モデル

シリアル番号

6

1.1.4. iOSに関する注意事項

USBバスを「ブロック」に設定した場合、「MTP(Media Transfer Protocol)モード」での接続はブロックできますが、iTunesとiOSデバ イスは独⾃の⽅法によってファイル転送を実装しているため、iTunes を経由したiOSデバイスの読み書きは制御できません。 iTunesによる接続を制限したい場合は、「アプリケーション起動コ ントロール」で、iTunesを起動できないようにする必要があります。

1.2. デバイスコントロールを設定するには

デバイスコントロールはデフォルトで有効となっており、すべてのユーザー（Everyone）に読み書きの許可が与え られた状態になっています。設定の内容を確認・変更するには、管理サーバーの設定で「エンドポイントコントロール」 を表⽰する必要があります。以下の⼿順で設定します。 ① 「管理サーバー」を選択して「監視」タブを開き、「管理サーバー」グループにある「ユーザーインターフェイスに表⽰ する機能の設定」をクリックします。

7 ② 「インターフェイスの設定」画⾯が開くので、「エンドコ ントロール設定の表⽰」を有効にして「OK」をクリック します。 ③ 確認メッセージが表⽰されるので「OK」をクリックしま す。 表⽰の設定は、管理コンソールを再起動すると有効になります。 ＜設定前＞ ＜設定後（エンドポイントコントロールを表⽰）＞

8

2.

設定例

以下の4つのモデルによる設定例を紹介します。 USBメモリーを社員に使わせたくない ··· P.8 アクセス権を設定したい ··· P.11 特定のデバイスだけを使わせたい ··· P.18 特定モデルのデバイスだけを使わせたい ··· P.21

2.1. USBメモリーの使⽤を禁⽌する

USBメモリーの使⽤を禁⽌します。 デバイスの種類で制御する⽅法（P.8）と接続バスで制御する⽅法(P.9)があります。

2.1.1. デバイスの種類で制御

グループのポリシーで、デバイス種別「リムーバブルドライブ」を「ブロック」に設定します。 ① グループ（ここでは「管 理 対 象 コ ン ピ ュ ー タ ー」）の「ポリシー」タブ でKESのポリシーをダブ ルクリックしてプロパティ を開きます。 禁⽌されたデバイス

9 ② 「デバイスコントロール」 セクションにある「デバイ スコントロール設定」で 「デバイス種別」の「リム ーバブルドライブ」を右 クリックして「ブロック」を 選択します。 ③ 「OK」をクリックして設 定を反映させます。 USBメモリーを挿すとエラーメッセージが表⽰され、デバイスへのアクセスが⾏えない状態となります。

2.1.2. 接続バスでの制御

グループのポリシーで、デバイス種別「リムーバブルドライブ」を「バスに依存する」に設定し、ます。 接続バス「USB」を「ブロック」に設定します。 ① グループ（ここでは「管 理 対 象 コ ン ピ ュ ー タ ー」）の「ポリシー」タブ でKESのポリシーをダブ ルクリックしてプロパティ を開きます。

10 ② 「デバイスコントロール」 セクションにある「デバイ スコントロール設定」で 「デバイス種別」の「リム ーバブルドライブ」を右ク リックして「バスに依存す る」を選択します。 ③ 続いて、「接続バス」で 「USB」を右クリックして 「ブロック」 を選択しま す。 ④ 「OK」をクリックして設 定を反映させます。 USBメモリーを挿すとエラーメッセージが表⽰され、デバイスへのアクセスが⾏えない状態となります。

11

2.2. アクセス権を変更する

アクセス権限を変更したい場合の設定です。 フルコントロ ール 読み取り、 書き込み 禁⽌ 書き込みはNG！ ブロックした通知メッセージを ユーザーの画⾯に表⽰ 読み取り のみ許可 読み取り、 書き込みNG！ 通知メッセージをユーザーの 画⾯に表⽰ 読み取りはOK！ 読み取り、 書き込みOK！ ※ PCごとの許可、禁⽌はグループのポリシーで設定可能。

12

2.2.1. USBメモリーの「読み取り」のみ許可する

デバイスのアクセス権は「読み取り」と「書き込み」にわけて設定できます。 ① グループ（ここでは「管 理 対 象 コ ン ピ ュ ー タ ー」）の「ポリシー」タブ でKESのポリシーをダブ ルクリックしてプロパティ を開きます。 ② 「デバイスコントロール」 セクションにある「デバイ スコントロール設定」で 「デバイス種別」の「リム ーバブルドライブ」を選 択して「編集」をクリック します。 ③ デバイスアクセスルールの設定を変更する確認メッセ ージが表⽰されるので「はい」をクリックします。

13 ④ 「デバイスアクセスルールの設定」画⾯が開くの で、ユーザー「Everyone」を選択して、「書き込 み」をオフにします。 ⑤ 「OK」をクリックして設定を反映させます。 ⑥ 「デバイスコントロール」 の画⾯に戻ります。デバ イスアクセスルールを変 更すると、アクセスのア イコンが変化します。 ⑦ 「OK」をクリックして設 定を反映させます。 USBメモリー内のファイルを参照することはできますが、保存しようとするとエラーメッセージが表⽰され、ファイルの 変更や書き込みができなくなります。

14

2.2.2. 特定のユーザー/ユーザーグループのみ許可する

デバイスアクセスルールの設定では、ユーザー/ユーザーグループごとにアクセス権を設定することができます。 ① グループ（ここでは「管 理 対 象 コ ン ピ ュ ー タ ー」）の「ポリシー」タブ でKESのポリシーをダ ブルクリックしてプロパテ ィを開きます。 ② 「デバイスコントロール」 セクションにある「デバイ スコントロール設定」で 「デバイス種別」の「リム ーバブルドライブ」を選 択して「編集」をクリック します。 ③ デバイスアクセスルールの設定を変更する確認メッセ ージが表⽰されるので「はい」をクリックします。

15 ④ 「デバイスアクセスルールの設定」画⾯が開くの で、「ユーザーまたはユーザーのグループ」で Everyoneを選択して「削除」をクリックします。 ⑤ Everyoneを削除したら「追加」をクリックしま す。 ⑥ 「ユーザーまたはグループの選択」が開くので、 「詳細設定」をクリックします。

16 ⑦ 「検索結果」から設定したいユーザーやユ ーザーグループを選択し「OK」をクリックし ます。 ここでは、Administrators（アカウント の種類が「管理者」のグループ）を選択 しています。 ⑧ 「デバイスアクセスルールの設定」画⾯に戻るの で、「既定のスケジュール」を有効にして、読み取 り/書き込みの設定をします。 ⑨ 設定したら「OK」をクリックします。

17 ⑩ 「デバイスコントロール」 の画⾯に戻ります。デ バイスアクセスルールを 変更したので、アクセス のアイコンが変化してい ます。 ⑪ 「OK」をクリックして設 定を反映させます。 これで、「管理者」のアカウントでログインしているときだけUSBメモリーの読み取り・書き込みができるようになりまし た。

18

2.3. 特定のデバイスのみの利⽤を許可する

制御したいデバイスのシリアルID（ベンダー名 ＋モデル＋シリアル番号）※1_{を「信頼するデバイス」として登録し} て制御を⾏います。

2.3.1. 特定のUSBメモリーのみ許可する

USBメモリーを利⽤させないように設定し、信頼するデバイスにシリアルIDを登録することで、特定のUSBメモリー のみ使⽤可能にします。 まず、 「2.1 USBメモリーの使⽤を禁⽌する」の⼿順に従い、デバイス種別「リムーバブルドライブ」を「ブロック」ま たは 接続バスで「USB」を「ブロック」する設定を⾏います。 ＜リムーバブルドライブをブロックする場合(P.8)＞ ＜USBをブロックする場合(P.9)＞ ※デバイス種別では「バスに依存する」に設定 続いて、「信頼するデバイス」を設定します。 シリアルIDを登録※1 許可された デバイス 禁⽌された デバイス ブロックした通知メッセージを ユーザーの画⾯に表⽰ ※1 メーカーの仕様に依存します。 機器ごとにIDが異なる場合のみ制御可能です。

19 ① 「信頼するデバイス」で 「追加」をクリックして、 「IDによるデバイス」を 選択します。 ② 「信頼済みデバイスをIDで追 加する」画⾯が開くので、「デ バイス種別」で「リムーバブルド ライブ」を選択し、「更新」をク リックします。

20 ③ ⼀覧から、許可したいデバイ スのチェックボックスにチェックを ⼊れます。 ※リストにはKSCと同期が取 れているクライアントPCに USBメモリーを挿すと⾃動 的に追加されます。 ※機器ごとにIDが異なるかど うかはメーカーの仕様に依 存します。事前にご確認く ださい。 ●後の管理の為、経緯などの コメントを登録することを推 奨します ●ユーザーを指定したい場合 は、「許可するユーザーまた はユーザーグループ」で「選 択」をクリックして追加しま す。（参考 ☞ P.14）

21 ④ 「 OK 」 をク リッ ク す る と 「信頼するデバイス」に 選択した機器が追加さ れます。 必要な分を追加できた ら、「OK」をクリックして 設定を反映させます。

2.4. 特定モデルのデバイスのみ利⽤を許可する

制御したいデバイスのシリアルID（ベンダー名 または ベンダー名＋モデル ）※1 _{を登録してデバイスの制御を} ⾏います。 まず、USBメモリーを利⽤させないように設定し、信頼するデバイスに「メーカー名＋モデル名」を登録することで、 特定のモデルだけを使⽤可能にします。 特定メーカーのみ使⽤可能※1 特定メーカーの特定モデルのみ使⽤可能※1 許可された デバイス 禁⽌された デバイス ブロックした通知メッセージを ユーザーの画⾯に表⽰ ※1 メーカーのモデル名の仕様に依存します。 登録されたモデルと同⼀の場合使⽤可能です。

22 デバイス種別「リムーバブルドライブ」を「ブロック」または 接続バスで「USB」を「ブロック」する設定をあらかじめ⾏い ます。（※ 詳細は7ページ、8ページを参照ください） ＜リムーバブルドライブをブロックする場合(P.8)＞ ＜USBをブロックする場合(P.9)＞ ※デバイス種別では「バスに依存する」に設定 続いて、「信頼するデバイス」に「メーカー名＋モデル名」を登録します。 ① 「信頼するデバイス」で 「追加」をクリックして、 「IDマスクによるデバイ ス」を選択します。 ② 「信頼済みデバイスをIDで追 加する」画⾯が開くので、「デ バイス種別」で「リムーバブルド ライブ」を選択し、「更新」をク リックします。

23 ③ ⼀覧の中から対象のデバイス を探し、「デバイスモデル/ID」 の値を確認します。 ※リストにはKSCと同期が取 れているクライアントPCに USBメモリーを挿すと⾃動 的に追加されます。 ※機器ごとにIDが異なるかど うかはメーカーの仕様に依 存します。事前にご確認く ださい。 ④ 「マスク」に対象デバイスのデ バイスモデルを⼊⼒します。 ※「*」は任意の⽂字列に 置き換えられます。 「?」は任意の単⼀⽂字に 置き換えられます。 ※連番のシリアル番号で購⼊ している場合、シリアル番号 の下数桁からを「*」や「?」 で利⽤可能なデバイスの範 囲を特定できます。 後の管理の為、経緯などのコ メントを登録することを推奨し ます ユーザーを指定したい場合 は、「許可するユーザーまたは ユーザーグループ」で「選択」を クリックして追加します。 （参考 ☞ P.14）

24 ⑤ 「 OK 」 をク リッ ク す る と 「信頼するデバイス」に 選択した機器が追加さ れます。 必要な分を追加できた ら、「OK」をクリックして 設定を反映させます。

25

株式会社カスペルスキー

〒101-0021 東京都千代⽥区外神⽥3-12-8 住友不動産秋葉原ビル 7F

www.kaspersky.co.jp | www.viruslistjp.com

©2016 Kaspersky Labs Japan. Kaspersky Anti-VirusおよびKaspersky Securityは、Kaspersky Lab ZAOの登録商標です。 その他記載された会社名または製品名などは、各社の登録商標または商標です。なお、本⽂中では、TM、®マークは明記していません。 記載内容は2016年4⽉現在のものです。記載された内容は、改良の為に予告なく変更されることがあります。