デバイスコントロールルールの Kaspersky Security Center からの設定

さまざまな条件に基づいてルールのリストを生成する方法、またはデバイスコントロールタスクを使用して許可ルールや拒否ルールを手動で作成する方法について説明します。

Kaspersky Security Center ポリシーでのシステムデータに基づく許可ルールの作成

デバイスコントロールタスクの［システムデータに基づいてルールを作成］オプションを使用して許可ルールを指定するには：

1. 必要に応じて、信頼する外部デバイスを、Kaspersky Security Center 管理コンソールがインストールされた保護対象デバイスに接続します。
2. ［デバイスコントロールルール］ウィンドウを開きます。
3. ［追加］をクリックし、表示されたコンテキストメニューで、［システムデータに基づいてルールを作成］オプションを選択します。
4. ［システム情報に基づいてルールを生成する］ウィンドウのデバイスリストで、デバイスを選択します。
5. ［選択したデバイスにルールを追加する］をクリックします。
6. ［デバイスコントロールルール］ウィンドウで、［保存］をクリックします。

デバイスコントロールタスクのルールリストには、Kaspersky Security Center 管理コンソールがインストールされた保護対象デバイスのシステムデータに基づいて生成される新しいルールが反映されます。

接続しているデバイスのためのルール作成

デバイスコントロールタスクの［接続したデバイスに基づいてルールを作成］オプションを使用して許可ルールを指定するには：

1. ［デバイスコントロールルール］ウィンドウを開きます。
2. ［追加］をクリックし、コンテキストメニューで［接続したデバイスに基づいてルールを作成］を選択します。

   ［システム情報に基づいてルールを生成する］ウィンドウが開きます。

3. 保護対象デバイスに接続されている検知されたデバイスのリストで、許可ルールを作成するデバイスを選択します。
4. ［選択したデバイスにルールを追加する］をクリックします。
5. ［デバイスコントロールルール］ウィンドウで、［保存］をクリックします。

デバイスコントロールタスクのルールリストには、Kaspersky Security Center 管理コンソールがインストールされた保護対象デバイスのシステムデータに基づいて生成される新しいルールが反映されます。

ブロックされたデバイスに関する Kaspersky Security Center のレポートからのルールのインポート

統計のみモードでデバイスコントロールタスクを実行後、Kaspersky Security Center で生成されるレポートからブロックされたデバイスの接続のデータをインポートできます。そのデータを使用して、設定中のポリシーでデバイスコントロールの許可ルールのリストを生成できます。

デバイスコントロールタスクの実行中に発生したイベントのレポートの生成時に、接続が制限されたデバイスを確認することができます。

ブロックされたデバイスに関する Kaspersky Security Center レポートに基づいて、保護対象デバイスのグループに対してデバイス接続のための許可ルールを指定するには：

1. ポリシーのプロパティの［イベント通知］セクションで、次の内容を確認します：
   • 重要度が［緊急イベント］のイベントに対して、［信頼しない外部デバイスが検出および制限されました］イベントの実行ログを保存する期間が、［統計のみ］モードのタスクの実行で計画された期間を超えている（既定値は 30 日）。
   • 重要度が［警告］のイベントに対して、［統計のみ：信頼しない外部デバイスが検出されました］イベントの実行ログを保存する期間が、［統計のみ］モードのタスクの実行で予定された期間を超えている（既定値は 30 日）。

     イベントの保管期間が経過すると、記録されたイベントに関する情報が削除され、レポートファイルに反映されません。統計のみモードでデバイスコントロールタスクを実行する前に、タスクの実行時間が、指定のイベントに対して設定されている保管時間を超えていないことを確認してください。

2. 統計のみモードのデバイスコントロールタスクを開始します。
   1. Kaspersky Security Center の［管理サーバー］フォルダーの作業領域で、［イベント］タブを選択します。
   2. ［抽出の作成］をクリックし、［信頼しない外部デバイスが検出および制限されました］の基準に基づいてベントの抽出を作成し、デバイスコントロールタスクによって接続が制限されるデバイスを表示します。
   3. ［インポート / エクスポート］ドロップダウンリストで、［イベントをファイルにエクスポート］をクリックして、制限された接続のレポートを TXT ファイルに保存します。

   生成したレポートとポリシーにインポートして適用する前に、レポートには接続を許可するデバイスのデータしか含まれていないことを確認してください。

3. 制限されたデバイス接続に関するデータをデバイスコントロールタスクにインポートします：
   1. ［デバイスコントロールルール］ウィンドウを開きます。
   2. ［追加］をクリックし、コンテキストメニューで［Kaspersky Security Center のレポートから、ブロック対象デバイスのデータをインポート］を選択します。
   3. Kaspersky Security Center のレポートを基に作成されたリストから以前設定されたデバイスコントロールルールのリストにルールを追加する方法を選択します。
      • 既存のルールに追加する：インポートされたルールを既存のルールのリストに追加します。同一の設定を持つルールは重複します。
      • 既存のルールを置き換える：既存のルールをインポートされたルールで置き換えます。
      • 既存のルールとマージする：インポートされたルールを既存のルールのリストに追加します。同一の設定を持つルールは追加されません。少なくとも 1 つのルールパラメータが他のルールと異なる場合にルールが追加されます。
   4. 表示される Microsoft Windows の標準のウィンドウで、制限されたデバイスについてのレポートからイベントがエクスポートされた TXT ファイルを選択します。
   5. ［デバイスコントロールルール］ウィンドウで、［保存］をクリックします。
4. ［デバイスコントロール］ウィンドウで、［OK］をクリックします。

制限されたデバイスに関する Kaspersky Security Center のレポートに従って作成されたルールが、デバイスコントロールルールのリストに追加されます。

デバイスコントロールルールの自動作成タスクを使用したルールの作成

デバイスコントロールルールの自動作成タスクを使用して保護対象デバイスのグループのためのデバイスコントロールルールを指定するには：

1. ［新規タスクウィザード］で、［設定］ウィンドウを開きます。
2. 以下を設定します：
   • ［モード］セクション：
     • 過去に接続されたすべての外部デバイスについてシステムデータを考慮する
     • 現在接続している外部デバイスだけを考慮する
   • ［タスク完了後］セクション：
     • デバイスコントロールルールのリストに許可ルールを追加する

       

       新しく作成された許可ルールのデバイスコントロールルールのリストへの追加を有効または無効にします。デバイスコントロールルールのリストは、［デバイスコントロール］フォルダーの詳細ペインの［デバイスコントロールルール］をクリックすると表示されます。

       このチェックボックスをオンにすると、選択した追加方法に基づいて、デバイスコントロールルールの自動作成タスクによって作成されたルールが、デバイスコントロールルールのリストに追加されます。

       このチェックボックスをオフにすると、新しく作成された許可ルールはデバイスコントロールルールのリストに追加されません。作成されたルールは、ファイルにエクスポートされるだけです。

       既定では、このチェックボックスはオフです。

     • 追加方法

       

       このドロップダウンリストは、新しく作成された許可ルールをアプリケーション起動コントロールルールのリストに追加する方法の指定に使用されます。

       • 既存のルールに追加する：ルールが既存のルールのリストに追加されます。同一の設定を持つルールは重複します。
       • 既存のルールを置き換える：ルールがリストの既存のルールを置き換えます。
       • 既存のルールとマージする：ルールが既存のルールのリストに追加されます。同一の設定を持つルールは追加されません。少なくとも 1 つのルールパラメータが他のルールと異なる場合にルールが追加されます。

       既定では、［既存のルールとマージする］方法が選択されます。

     • 許可ルールをファイルにエクスポートする

       

       作成されたデバイスコントロールの許可ルールのファイルへのエクスポートを有効または無効にします。

       このチェックボックスをオンにすると、デバイスコントロールルールの自動作成タスクの終了時に、下にあるフィールドで指定されたファイルに許可ルールがエクスポートされます。

       このチェックボックスをオフにすると、デバイスコントロールルールの自動作成タスクの終了時に、作成された許可ルールはファイルにエクスポートされません。代わりに、デバイスコントロールルールのリストにのみ追加されます。

       既定では、このチェックボックスはオフです。

     • ファイル名に保護対象デバイスの詳細を追加する

       

       許可ルールをエクスポートするファイルの名前に対し、保護対象デバイスに関する情報の追加を有効または無効にします。

       このチェックボックスをオンにすると、保護対象デバイスの名前、およびファイルの作成日時をエクスポートするファイルの名前に追加します。

       このチェックボックスをオフにすると、保護対象デバイスに関する情報をエクスポートするファイルの名前に追加しません。

       既定では、このチェックボックスはオンです。

3. ［次へ］をクリックします。
4. ［スケジュール］ウィンドウで、タスクの開始スケジュールを設定します。
5. ［次へ］をクリックします。
6. ［タスクを実行するアカウントの選択］ウィンドウで、使用するアカウントを指定します。
7. ［次へ］をクリックします。
8. タスク名を指定します。
9. ［次へ］をクリックします。

   タスク名は 100 文字以内にする必要があり、" * < > & \ : | の記号は使用できません。

   ［タスクの作成を終了］ウィンドウが開きます。

10. オプションで［ウィザード完了後にタスクを実行する］をオンにすると、ウィザードの終了後にタスクを実行することができます。
11. ［完了］をクリックしてタスクの作成を終了します。
12. 設定中の保護対象デバイスグループの作業領域にある、［タスク］タブのグループタスクのリストで、作成したデバイスコントロールルールの自動作成タスクを選択します。
13. ［開始］をクリックして、タスクを開始します。

    タスクが完了すると、自動で生成された許可ルールのリストは XML ファイルとして共有フォルダーに保存されます。

    ネットワークでデバイスコントロールポリシーを使用する前に、すべての保護対象デバイスがネットワーク共有フォルダーにアクセスできることを確認します。組織のポリシーによりネットワークでネットワーク共有フォルダーを使用できない場合は、テスト用保護対象デバイスグループ上、またはテンプレートマシン上で保護対象デバイスコントロールのルール生成タスクを開始してください。

デバイスコントロールルールのリストに生成されたルールを追加する

生成された許可ルールのリストをデバイスコントロールタスクに追加するには：

1. ［デバイスコントロールルール］ウィンドウを開きます。
2. ［追加］をクリックします。
3. ［追加］をクリックし、コンテキストメニューで［XML ファイルからルールをインポート］を選択します。
4. 自動で生成された許可ルールを以前作成されたデバイスコントロールルールのリストに追加する方法を選択します。
   • 既存のルールに追加する：インポートされたルールを既存のルールのリストに追加します。同一の設定を持つルールは重複します。
   • 既存のルールを置き換える：既存のルールをインポートされたルールで置き換えます。
   • 既存のルールとマージする：インポートされたルールを既存のルールのリストに追加します。同一の設定を持つルールは追加されません。少なくとも 1 つのルールパラメータが他のルールと異なる場合にルールが追加されます。
5. 表示される Microsoft Windows の標準のウィンドウで、デバイスコントロールルールの自動作成グループタスクの完了後に作成される XML ファイルを選択します。
6. ［ファイルを開く］をクリックします。

   XML ファイルから生成されたすべてのルールは、選択した方法に応じてリストに追加されます。

7. ［デバイスコントロールルール］ウィンドウで、［保存］をクリックします。
8. 作成したデバイスコントロールルールを適用する場合、ポリシー設定の［ローカルアクティビティの管理］セクションの［デバイスコントロール］の設定で［処理を実行］タスクモードを選択します。

各保護対象デバイス上のシステムデータに基づいて自動で生成される許可ルールは、設定中のポリシーの範囲となっているすべてのネットワークの保護対象デバイスに適用されます。これらの保護対象デバイスでは、許可ルールが作成されたデバイスに対してのみ接続が許可されます。