Kaspersky Endpoint Security 10 SP1 MR2 デバイスコントロール設定ガイド 2016/06/18 株式会社カスペルスキーコーポレートビジネス本部セールスエンジニアリング部 Ver. 2.0 1
次 1. デバイスコントロールの概要... 3 1.1. デバイスを制限する 法... 4 1.1.1. ユーザー毎に設定可能なデバイスの種類と権限... 4 1.1.2. USBデバイスのシリアルIDについて... 5 1.1.3. デバイスのモデル名について... 5 1.1.4. iosに関する注意事項... 6 1.2. デバイスコントロールを設定するには... 6 2. 設定例... 8 2.1. USBメモリーの使 を禁 する... 8 2.1.1. デバイスの種類で制御... 8 2.1.2. 接続バスでの制御... 9 2.2. アクセス権を変更する...11 2.2.1. USBメモリーの 読み取り のみ許可する... 12 2.2.2. 特定のユーザー / ユーザーグループのみ許可する... 14 2.3. 特定のデバイスのみの利 を許可する...18 2.3.1. 特定のUSBメモリーのみ許可する... 18 2.4. 特定モデルのデバイスのみ利 を許可する...21 2
1. デバイスコントロールの概要 デバイスコントロール機能はKaspersky Endpoint Security for Business Selectの エンドポイントコントロール に含まれる機能で 外付けデバイスの接続を制御することができます 許可されたデバイス 禁 されたデバイス USB メモリーなどのリムーバブルメディア プリンター DVD/CD ドライブ ハードディスク ブロックした通知メッセージをユーザーの画 に表 デバイスコントロールでは シリアルIDの登録や書き込み / 読み込みの制御 Windowsログインユーザーごとの許可など 細かいコントロールが可能です ログインユーザー毎のポリシー設定 管理者としてログイン外部ドライブの読み書きを許可 般ユーザーとしてログイン外部ドライブの書き込みを禁 3
1.1. デバイスを制限する 法 利 できるデバイスは デバイスの種別ごと および接続バスごとに制限できます また デバイスを禁 した上で 信頼するデバイス にシリアルIDやモデル名を登録することで 例外として許可するデバイスを設定することができます 1.1.1. ユーザー毎に設定可能なデバイスの種類と権限 ユーザー毎に設定可能なデバイスの種類と権限は以下の通りです デバイス 権限 備考 読み込み / 書き込み 読み込み専 ブロック 利 許可 ハードディスク USBメモリーなど リムーバブルドライブ プリンター - フロッピーディスク CD/DVDドライブ - モデム - テープデバイス - 多機能デバイス - スマートカードリーダー - Windows CE USB - ActiveSync デバイス Wi-Fi - 外部ネットワーク アダプター - ポータブルデバイス - スマートフォンなど Bluetooth - カメラとスキャナ - 4
1.1.2. USB デバイスのシリアル ID について 信頼するデバイス にはデバイスのシリアルIDを登録できます ( 2.3. 特定のデバイスのみの利 を許可する P.18) デバイスのシリアルIDは 以下の要素で構成されています シリアルID : ベンダー名 ( 製造元 )+モデル名 +シリアル番号例 ) 東芝 : USBSTRO\DISK&VEN_TOSHIBA&PROD_TRANSMEMORY&REV_1.00\B654 SANDISK: USBSTRO\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.27\2004 ベンダー名モデルシリアル番号 なお 機器ごとに ID が異なるかどうかはメーカーの仕様に依存します 事前にご確認ください 1.1.3. デバイスのモデル名について シリアルIDでの登録以外にも モデル によって信頼できるデバイスを登録できます ( 2.4. 特定モデルのデバイスのみ利 を許可する P.21) ID で登録 モデルで登録 登録された USB メモリー 同 メーカーの同 モデル個 所有のUSBメモリー同 メーカーの別モデル別メーカーのモデル 1 1 2 1 1 1 メーカーの仕様に依存します 機器ごとにIDが異なる場合のみ制御可能です 2 メーカーのモデル名の仕様に依存します 登録されたモデルと同 の場合使 可能です 5
1.1.4. ios に関する注意事項 USBバスを ブロック に設定した場合 MTP(Media Transfer Protocol) モード での接続はブロックできますが itunesとiosデバイスは独 の 法によってファイル転送を実装しているため itunes を経由したiOSデバイスの読み書きは制御できません itunesによる接続を制限したい場合は アプリケーション起動コントロール で itunesを起動できないようにする必要があります 1.2. デバイスコントロールを設定するには デバイスコントロールはデフォルトで有効となっており すべてのユーザー (Everyone) に読み書きの許可が与えられた状態になっています 設定の内容を確認 変更するには 管理サーバーの設定で エンドポイントコントロール を表 する必要があります 以下の 順で設定します 1 管理サーバー を選択して 監視 タブを開き 管理サーバー グループにある ユーザーインターフェイスに表 する機能の設定 をクリックします 6
2 インターフェイスの設定 画 が開くので エンドコントロール設定の表 を有効にして OK をクリックします 3 確認メッセージが表 されるので OK をクリックします 表 の設定は 管理コンソールを再起動すると有効になります < 設定前 > < 設定後 ( エンドポイントコントロールを表 )> 7
2. 設定例 以下の4つのモデルによる設定例を紹介します USBメモリーを社員に使わせたくない P.8 アクセス権を設定したい P.11 特定のデバイスだけを使わせたい P.18 特定モデルのデバイスだけを使わせたい P.21 2.1. USB メモリーの使 を禁 する USBメモリーの使 を禁 します デバイスの種類で制御する 法 (P.8) と接続バスで制御する 法 (P.9) があります 禁 されたデバイス 2.1.1. デバイスの種類で制御 グループのポリシーで デバイス種別 リムーバブルドライブ を ブロック に設定します 1 グループ ( ここでは 管理対象コンピューター ) の ポリシー タブでKESのポリシーをダブルクリックしてプロパティを開きます 8
2 デバイスコントロール セクションにある デバイスコントロール設定 で デバイス種別 の リムーバブルドライブ を右クリックして ブロック を選択します 3 OK をクリックして設定を反映させます USB メモリーを挿すとエラーメッセージが表 され デバイスへのアクセスが えない状態となります 2.1.2. 接続バスでの制御 グループのポリシーで デバイス種別 リムーバブルドライブ を バスに依存する に設定し ます 接続バス USB を ブロック に設定します 1 グループ ( ここでは 管理対象コンピューター ) の ポリシー タブでKESのポリシーをダブルクリックしてプロパティを開きます 9
2 デバイスコントロール セクションにある デバイスコントロール設定 で デバイス種別 の リムーバブルドライブ を右クリックして バスに依存する を選択します 3 続いて 接続バス で USB を右クリックして ブロック を選択します 4 OK をクリックして設定を反映させます USB メモリーを挿すとエラーメッセージが表 され デバイスへのアクセスが えない状態となります 10
2.2. アクセス権を変更する アクセス権限を変更したい場合の設定です フルコントロール 読み取り 書き込み OK! 読み取りのみ許可 読み取りは OK! 書き込みは NG! ブロックした通知メッセージをユーザーの画 に表 読み取り 書き込み禁 読み取り 書き込み NG! 通知メッセージをユーザーの画 に表 PC ごとの許可 禁 はグループのポリシーで設定可能 11
2.2.1. USB メモリーの 読み取り のみ許可する デバイスのアクセス権は 読み取り と 書き込み にわけて設定できます 1 グループ ( ここでは 管理対象コンピューター ) の ポリシー タブでKESのポリシーをダブルクリックしてプロパティを開きます 2 デバイスコントロール セクションにある デバイスコントロール設定 で デバイス種別 の リムーバブルドライブ を選択して 編集 をクリックします 3 デバイスアクセスルールの設定を変更する確認メッセージが表 されるので はい をクリックします 12
4 デバイスアクセスルールの設定 画 が開くので ユーザー Everyone を選択して 書き込み をオフにします 5 OK をクリックして設定を反映させます 6 デバイスコントロール の画 に戻ります デバイスアクセスルールを変更すると アクセスのアイコンが変化します 7 OK をクリックして設定を反映させます USBメモリー内のファイルを参照することはできますが 保存しようとするとエラーメッセージが表 され ファイルの変更や書き込みができなくなります 13
2.2.2. 特定のユーザー / ユーザーグループのみ許可する デバイスアクセスルールの設定では ユーザー / ユーザーグループごとにアクセス権を設定することができます 1 グループ ( ここでは 管理対象コンピューター ) の ポリシー タブでKESのポリシーをダブルクリックしてプロパティを開きます 2 デバイスコントロール セクションにある デバイスコントロール設定 で デバイス種別 の リムーバブルドライブ を選択して 編集 をクリックします 3 デバイスアクセスルールの設定を変更する確認メッセージが表 されるので はい をクリックします 14
4 デバイスアクセスルールの設定 画 が開くので ユーザーまたはユーザーのグループ で Everyoneを選択して 削除 をクリックします 5 Everyoneを削除したら 追加 をクリックします 6 ユーザーまたはグループの選択 が開くので 詳細設定 をクリックします 15
7 検索結果 から設定したいユーザーやユーザーグループを選択し OK をクリックします ここでは Administrators( アカウントの種類が 管理者 のグループ ) を選択しています 8 デバイスアクセスルールの設定 画 に戻るので 既定のスケジュール を有効にして 読み取り / 書き込みの設定をします 9 設定したら OK をクリックします 16
10 デバイスコントロール の画 に戻ります デバイスアクセスルールを変更したので アクセスのアイコンが変化しています 11 OK をクリックして設定を反映させます これで 管理者 のアカウントでログインしているときだけUSBメモリーの読み取り 書き込みができるようになりました 17
2.3. 特定のデバイスのみの利 を許可する 制御したいデバイスのシリアルID( ベンダー名 +モデル+シリアル番号 ) 1 を 信頼するデバイス として登録して制御を います 許可されたデバイス 1 シリアルIDを登録 ブロックした通知メッセージをユーザーの画 に表 禁 されたデバイス 1 メーカーの仕様に依存します 機器ごとに ID が異なる場合のみ制御可能です 2.3.1. 特定の USB メモリーのみ許可する USBメモリーを利 させないように設定し 信頼するデバイスにシリアルIDを登録することで 特定のUSBメモリーのみ使 可能にします まず 2.1 USBメモリーの使 を禁 する の 順に従い デバイス種別 リムーバブルドライブ を ブロック または接続バスで USB を ブロック する設定を います <リムーバブルドライブをブロックする場合 (P.8)> <USBをブロックする場合 (P.9)> デバイス種別では バスに依存する に設定 続いて 信頼するデバイス を設定します 18
1 信頼するデバイス で 追加 をクリックして IDによるデバイス を選択します 2 信頼済みデバイスをIDで追加する 画 が開くので デバイス種別 で リムーバブルドライブ を選択し 更新 をクリックします 19
3 覧から 許可したいデバイスのチェックボックスにチェックを れます リストにはKSCと同期が取れているクライアントPCに USBメモリーを挿すと 動的に追加されます 機器ごとにIDが異なるかどうかはメーカーの仕様に依存します 事前にご確認ください 後の管理の為 経緯などのコメントを登録することを推奨します ユーザーを指定したい場合は 許可するユーザーまたはユーザーグループ で 選択 をクリックして追加します ( 参考 P.14) 20
4 OK をクリックすると 信頼するデバイス に選択した機器が追加されます 必要な分を追加できたら OK をクリックして設定を反映させます 2.4. 特定モデルのデバイスのみ利 を許可する 制御したいデバイスのシリアルID( ベンダー名またはベンダー名 +モデル ) 1 を登録してデバイスの制御を います 許可されたデバイス 1 特定メーカーのみ使 可能 1 特定メーカーの特定モデルのみ使 可能 ブロックした通知メッセージをユーザーの画 に表 禁 されたデバイス 1 メーカーのモデル名の仕様に依存します 登録されたモデルと同 の場合使 可能です まず USBメモリーを利 させないように設定し 信頼するデバイスに メーカー名 +モデル名 を登録することで 特定のモデルだけを使 可能にします 21
デバイス種別 リムーバブルドライブ を ブロック または接続バスで USB を ブロック する設定をあらかじめ います ( 詳細は7ページ 8ページを参照ください ) <リムーバブルドライブをブロックする場合 (P.8)> <USBをブロックする場合 (P.9)> デバイス種別では バスに依存する に設定続いて 信頼するデバイス に メーカー名 +モデル名 を登録します 1 信頼するデバイス で 追加 をクリックして IDマスクによるデバイス を選択します 2 信頼済みデバイスをIDで追加する 画 が開くので デバイス種別 で リムーバブルドライブ を選択し 更新 をクリックします 22
3 覧の中から対象のデバイスを探し デバイスモデル /ID の値を確認します リストにはKSCと同期が取れているクライアントPCに USBメモリーを挿すと 動的に追加されます 機器ごとにIDが異なるかどうかはメーカーの仕様に依存します 事前にご確認ください 4 マスク に対象デバイスのデバイスモデルを します * は任意の 字列に置き換えられます? は任意の単 字に置き換えられます 連番のシリアル番号で購 している場合 シリアル番号の下数桁からを * や? で利 可能なデバイスの範囲を特定できます 後の管理の為 経緯などのコメントを登録することを推奨します ユーザーを指定したい場合は 許可するユーザーまたはユーザーグループ で 選択 をクリックして追加します ( 参考 P.14) 23
5 OK をクリックすると 信頼するデバイス に選択した機器が追加されます 必要な分を追加できたら OK をクリックして設定を反映させます 24
株式会社カスペルスキー 101-0021 東京都千代 区外神 3-12-8 住友不動産秋葉原ビル 7F www.kaspersky.co.jp www.viruslistjp.com 2016 Kaspersky Labs Japan. Kaspersky Anti-VirusおよびKaspersky Securityは Kaspersky Lab ZAOの登録商標です その他記載された会社名または製品名などは 各社の登録商標または商標です なお 本 中では TM マークは明記していません 記載内容は2016 年 4 現在のものです 記載された内容は 改良の為に予告なく変更されることがあります 25