システムロックダウンの設定

システムロックダウンは、許可されていないアプリケーションを遮断することによって、クライアントコンピュータのグループのアプリケーションを制御します。指定されたリストのアプリケーションだけを許可するように、システムロックダウンを設定できます。許可リスト (ホワイトリスト) はすべての承認済みアプリケーションで構成されます。他のアプリケーションはクライアントコンピュータで遮断されます。また、指定されたリストのアプリケーションだけを遮断するように、システムロックダウンを設定することもできます。拒否リスト (ブラックリスト) は、すべての許可されていないアプリケーションで構成されます。他のアプリケーションはすべて、クライアントコンピュータで許可されます。
システムロックダウンで許可されるアプリケーションはすべて、
Symantec Endpoint Protection
の他の保護機能の対象となります。
許可リストまたは拒否リストには、ファイルフィンガープリントリストおよび特定のアプリケーション名を含めることができます。ファイルフィンガープリントリストは、ファイルチェックサムとコンピュータのパスの場所のリストです。
システムロックダウンの代りに、またはシステムロックダウンに加えて、アプリケーションとデバイス制御ポリシーを使って特定のアプリケーションを制御できます。
ネットワークの各グループまたは場所に、システムロックダウンを設定します。
システムロックダウンの手順
処理
説明
手順 1: ファイルフィンガープリントリストの作成
クライアントコンピュータで実行することを許可されている、または許可されていないアプリケーションが含まれる、ファイルフィンガープリントリストを作成できます。システムロックダウンの許可リストと拒否リストにファイルフィンガープリントリストを追加します。
システムロックダウンを実行するときは、許可リストまたは拒否リストに含めるすべてのクライアントのアプリケーションを含むファイルフィンガープリントリストが必要です。たとえば、ネットワークに Windows 8.1 32 ビットおよび 64 ビット、Windows 10 64 ビットのクライアントが含まれる場合があります。各クライアントイメージのファイルフィンガープリントリストを作成できます。
ファイルフィンガープリントのリストは、次の方法で作成できます。
  • Symantec Endpoint Protection
    には、ファイルフィンガープリントリストを作成するためのチェックサムユーティリティが用意されています。このユーティリティは、クライアントコンピュータに
    Symantec Endpoint Protection
    とともにインストールされています。
    このユーティリティは、指定されたパスの特定のアプリケーションまたはすべてのアプリケーション用にチェックサムを作成するのに使います。システムロックダウンを拒否モードで実行する場合に使うファイルフィンガープリントを生成するには、この方法を使います。
  • [ファイルフィンガープリントリストの収集]コマンドを使って、単一のコンピュータまたはコンピュータの小グループのファイルフィンガープリントのリストを作成します。
    コンソールから
    [ファイルフィンガープリントリストの収集]
    コマンドを実行できます。このコマンドは、ターゲットコンピュータのすべてのアプリケーションを含むファイルフィンガープリントリストを収集します。たとえば、ゴールドイメージを実行するコンピュータでこのコマンドを実行します。この方法は、システムロックダウンを許可モードで実行するときに使うことができます。コマンドを使って生成したファイルフィンガープリントリストは修正できません。コマンドを再実行すると、ファイルフィンガープリントリストは自動的に更新されます。
  • 任意のサードパーティ製チェックサムユーティリティを使って、ファイルフィンガープリントリストを作成します。
Symantec EDR
を実行すると、ネットワークで
Symantec EDR
からのファイルフィンガープリントリストが表示されることがあります。
手順 2:
つの Symantec Endpoint Protection Manager
へのファイルフィンガープリントリストのインポート
システムロックダウン設定でファイルフィンガープリントリストを使うには、事前に
つの Symantec Endpoint Protection Manager
でリストを利用可能にしておく必要があります。
チェックサムツールを使ってファイルフィンガープリントリストを作成する場合は、
つの Symantec Endpoint Protection Manager
にリストを手動でインポートする必要があります。
[ファイルフィンガープリントリストの収集]
コマンドを使ってファイルフィンガープリントリストを作成すると、結果のリストは自動的に
つの Symantec Endpoint Protection Manager
コンソールで利用可能になります。
つの Symantec Endpoint Protection Manager
から既存のファイルフィンガープリントリストをエクスポートすることもできます。
手順 3: 許可されているアプリケーションまたは許可されていないアプリケーションのための、アプリケーション名リストの作成
任意のテキストエディタを使って、許可リストまたは拒否リストに含めるアプリケーションのファイル名を記載したテキストファイルを作成できます。ファイルフィンガープリントリストの場合とは異なり、これらのファイルはシステムロックダウン設定に直接インポートします。ファイルをインポートした後、アプリケーションはシステムロックダウン設定の個々のエントリとして表示されます。
また、システムロックダウン設定で個々のアプリケーション名を手動で入力することもできます。
指定されたアプリケーションが多いと、システムロックダウンが拒否リストモードで有効化された場合に、クライアントコンピュータのパフォーマンスに影響を与える可能性があります。
手順 4: システムロックダウンの設定とテスト
テストモードではシステムロックダウンが無効となり、アプリケーションを遮断しません。許可されていないアプリケーションはすべてログに記録されますが、遮断はされません。
[システムロックダウン]
ダイアログボックスで
[許可しないアプリケーションだけをログする]
オプションを使って、システムロックダウン設定全体をテストします。
テストを設定し、実行するには、次の手順を実行します。
  • システムロックダウン設定にファイルフィンガープリントリストを追加します。
    許可モードでは、ファイルフィンガープリントは許可されるアプリケーションです。拒否モードでは、ファイルフィンガープリントは許可されないアプリケーションです。
  • システムロックダウン設定に個々のアプリケーション名を追加するか、アプリケーション名のリストをインポートします。
    システムロックダウン設定で、アプリケーション名を 1 つずつ入力するのではなく、アプリケーション名のリストをインポートできます。許可モードでは、許可されるアプリケーションを指定します。拒否モードでは、許可されないアプリケーションを指定します。
  • 一定の期間、テストを実行します。
    クライアントが通常のアプリケーションを実行できるだけ十分な時間、システムロックダウンをテストモードで実行します。通常の時間枠は 1 週間です。
手順 5: 許可されないアプリケーションの表示と、システムロックダウン設定の修正(必要な場合)
一定の期間テストを実行した後、許可されないアプリケーションのリストをチェックできます。
[システムロックダウン]
ダイアログボックスで状態を調べることによって、未承認アプリケーションのリストを表示できます。
記録されたイベントはアプリケーション制御ログにも表示されます。
ここで、ファイルフィンガープリントまたはアプリケーションリストにアプリケーションを追加するかどうかを決定できます。システムロックダウンを有効にする前に、必要に応じて、ファイルフィンガープリントリストまたはアプリケーションを追加または削除できます。
手順 6: システムロックダウンを有効にする
デフォルトでは、システムロックダウンは許可モードで実行されます。代わりに、システムロックダウンを拒否モードで実行するように設定できます。
許可モードでシステムロックダウンを有効にすると、許可されるアプリケーションのリストに含まれていないアプリケーションはすべて遮断されます。拒否モードでシステムロックダウンを有効にすると、許可されていないアプリケーションのリストにあるアプリケーションが遮断されます。
システムロックダウンを有効にする前に、必ず設定をテストしてください。必要なアプリケーションを遮断した場合、クライアントコンピュータが再起動できなくなる場合があります。
手順 7: システムロックダウン用のファイルフィンガープリントリストの更新
時間の経過とともに、ネットワークで実行するアプリケーションを変更する場合があります。ファイルフィンガープリントリストを更新するか、または必要に応じてリストを削除できます。
ファイルフィンガープリントリストは次の方法で更新できます。
ネットワークにクライアントコンピュータを追加する場合、システムロックダウン設定全体の再テストが必要になることがあります。別のグループに新しいクライアントを移動したり、ネットワークをテストしてシステムロックダウンを無効にしたりできます。または、システムロックダウンを有効にしたままログのみのモードで設定を実行できます。次の手順で説明するようにファイルフィンガープリントやアプリケーションを個別にテストすることもできます。
手順 8: システムロックダウンが有効な状態での、選択した項目の追加前テストまたは削除前テスト
システムロックダウンが有効化された後、個々のファイルフィンガープリント、アプリケーション名リスト、または特定のアプリケーションをテストしてから、それらをシステムロックダウン設定に追加するか、またはシステムロックダウン設定から削除できます。
リストの数が多く、その一部は使用しない場合に、ファイルフィンガープリントリストの削除が必要になることがあります。
システムロックダウンからファイルフィンガープリントリストまたは特定のアプリケーションを追加または削除するときは、注意してください。システムロックダウンの項目を追加または削除すると危険な場合があります。クライアントコンピュータ上の重要なアプリケーションが遮断される可能性があります。
  • 選択した項目をテストします。
    特定のファイルフィンガープリントリストまたは特定のアプリケーションを未承認としてログに記録するには、
    [削除前にテスト]
    を使います。
    このテストを実行するとき、システムロックダウンは有効になりますが、選択したアプリケーション、または選択したファイルフィンガープリントリスト内のアプリケーションは遮断されません。その代りに、システムロックダウンは、許可されていないアプリケーションとしてそれらのアプリケーションをログに記録します。
  • アプリケーション制御ログを調べます。
    ログエントリは、アプリケーション制御ログに表示されます。テストされたアプリケーションのエントリがログにない場合は、クライアントでこれらのアプリケーションが使われていないことがわかります。