コンピュータとその他のリソースを保護するためのポリシーの作成

ポリシーでは、ルールや設定をまとめて保存し、複数のコンピュータに簡単に割り当てることができます。ポリシーエディタポリシーエディタを開くには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。でポリシーを作成および編集し、1台以上のコンピュータに割り当てることができます。また、ポリシーエディタに似たコンピュータエディタコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を使用して、特定のコンピュータに設定を適用することもできますが、コンピュータエディタで設定を編集するよりも特殊なポリシーを作成することを推奨します。

このトピックの内容:

新規ポリシーを作成する

  1. [ポリシー]→[新規]→[新規ポリシー] の順にクリックします。
  2. ポリシーの名前を入力します。既存のポリシーの設定を新規ポリシーに継承する場合は、[継承元] リストからポリシーを選択します。[次へ] をクリックします。

    継承の詳細については、ポリシー、継承、およびオーバーライドを参照してください。

  3. 既存のコンピュータの設定をこのポリシーのベースにするかどうかを選択し、[次へ] をクリックします。
  4. 手順3で [はい] を選択した場合は、以下を実行します。
    1. 新規ポリシーのベースとして使用するコンピュータを選択し、[次へ] をクリックします。
    2. 新規ポリシーに対して有効にする保護モジュールを指定します。既存のポリシーから設定を継承する場合は、それらの設定が表示されます。[次へ] をクリックします。
    3. 次の画面で、新規ポリシーに組み込むプロパティを選択し、[次へ] をクリックします。設定を確認し、[完了] をクリックします。
  5. 手順3で [いいえ] を選択した場合は、新規ポリシーに対して有効にする保護モジュールを指定します。既存のポリシーから設定を継承する場合は、それらの設定が表示されます。[完了] をクリックします。
  6. [閉じる] をクリックします。次にポリシーの設定を編集できます。手順についてはポリシーまたは個々のコンピュータの設定を編集するを参照してください。

ポリシーを作成するその他の方法

[ポリシー] 画面ではいくつかの方法でポリシーを作成できます。

  • 前述した手順で新規ポリシーを作成します。
  • [新規]→[ファイルからインポート] の順に選択してXMLファイルからポリシーをインポートします。
  • ポリシーをインポートする場合、ポリシーを作成したシステムと受け取るシステム両方に最新のセキュリティアップデートが適用されていることを確認してください。ポリシーを受け取るシステムが古いセキュリティアップデートを実行していると、最新のシステムのポリシーで参照されている一部のルールがそのシステムにない可能性があります。
  • 既存のポリシーを複製し、変更して名前を変更します。複製するポリシーを右クリックして [複製] をクリックします。
  • コンピュータの推奨設定の検索に基づいて新規ポリシーを作成します。[コンピュータ] 画面に移動し、コンピュータを右クリックして [処理]→[推奨設定の検索] の順に選択します。検索が終了したら、[ポリシー] 画面に戻り、[新規] をクリックして新規ポリシーウィザードを起動します。プロンプトが表示されたら、新規ポリシーのベースを「既存のコンピュータの現在の設定」にします。次に、コンピュータのプロパティから [推奨されるアプリケーションの種類と侵入防御ルール]、[推奨される変更監視ルール]、および [推奨されるセキュリティログ監視ルール] を選択します。
  • ポリシーは、現在コンピュータにどのようなルールが割り当てられていたとしても、そのコンピュータの推奨エレメントのみで構成されます。

ポリシーまたは個々のコンピュータの設定を編集する

[ポリシー] 画面には、階層型のツリー構造で既存のポリシーが表示されます。ポリシーの設定を編集するには、ポリシーを選択し、[詳細] をクリックしてポリシーエディタを開きます。

コンピュータエディタとポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。には以下のセクションがあります。

ポリシーをコンピュータに割り当てる

  1. [コンピュータ] に移動します。
  2. コンピュータリストからコンピュータを選択し、右クリックして [処理]→[ポリシーの割り当て] の順に選択します。
  3. 階層ツリーからポリシーを選択し、[OK] をクリックします。

次のいずれかが実行されます。

  • 通信方向[Managerから開始] または [双方向] に設定している場合、ポリシーはAgentコンピュータにただちに送信されます。
  • 通信方向を [Agent/Applianceから開始] に設定している場合、ポリシーは次のAgentハートビートが発生したときに送信されます。

階層ツリーの子ポリシーで親ポリシーの設定やルールを継承またはオーバーライドする方法については、ポリシー、継承、およびオーバーライドを参照してください。

ポリシーをコンピュータに割り当てた後も、定期的に推奨設定の検索を実行して、コンピュータ上にあるすべての脆弱性を保護してください。詳細については、推奨設定の検索の管理と実行を参照してください。

ポリシーの自動アップデートを無効にする

初期設定では、セキュリティポリシーが変更された場合、変更内容はそのポリシーを使用するコンピュータに自動的に送信されます。これを変更して、自動送信を無効にできます。この場合、手動でポリシーを送信する必要があります。

  1. 設定するポリシーのポリシーエディタポリシーエディタを開くには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。を開きます。
  2. [設定]→[一般]→[ポリシーの変更をすぐに送信] の順に選択します。
  3. ポリシー変更の自動送信を許可するには、[ポリシーの変更をコンピュータに自動的に送信] の隣にある [はい] を選択します。自動送信を無効にして手動送信のみを許可するには、[いいえ] を選択します。
  4. [保存] をクリックして変更を適用します。

ポリシーの変更を手動で送信する

ポリシーを変更し、ポリシーの変更を特定のコンピュータに手動で送信する場合は、次の手順に従います。

  1. [コンピュータ] に移動します。
  2. コンピュータリストから自分のコンピュータをダブルクリックします。
  3. ナビゲーション画面で [概要] が選択されていることを確認します。
  4. メイン画面で [処理] タブをクリックします。
  5. [ポリシー] で、[ポリシーの送信] をクリックします。

次のいずれかが実行されます。

  • 通信方向[Managerから開始] または [双方向] に設定している場合、ポリシーはAgentコンピュータにただちに送信されます。
  • 通信方向を [Agent/Applianceから開始] に設定している場合、ポリシーは次のAgentハートビートが発生したときに送信されます。

ポリシーをエクスポートする

ポリシーをXMLファイルにエクスポートするには、ポリシーツリーからポリシーを選択し、[エクスポート]→[選択したアイテムをXML形式でエクスポート (インポート用)] の順にクリックします。

選択したポリシーをXMLにエクスポートすると、子ポリシー (存在する場合) もエクスポートパッケージに追加されます。エクスポートパッケージには、ポリシーに関連するすべての実際のオブジェクトが含まれます。ただし、侵入防御ルール、セキュリティログ監視ルール、変更監視ルール、およびアプリケーションの種類は含まれません。