クライアントコンピュータの保護をユーザーが無効にできない設定

つの Symantec Endpoint Protection Manager
管理者としてユーザー制御レベルを設定する、またはポリシーオプションをロックして、ユーザーがクライアントコンピュータの保護を無効にできないようにすることができます。たとえば、ファイアウォールポリシーでは制御レベルを使用し、ウイルスとスパイウェアの対策ポリシーではロックを使用します。
シマンテック社では、ユーザーによる保護の無効化を常に許可しないようにすることを推奨します。
ユーザー制御レベルについて
ユーザー制御レベルは、特定の機能の制御をクライアントユーザーに付与するために使用します。また、ユーザー制御レベルによって、クライアントユーザーインターフェースを完全に不可視にするか、一部の機能セットを表示するか、すべてを表示するかも決定されます。
ユーザー制御レベル
ユーザー制御レベル
説明
サーバー制御
ユーザーは最小レベルでクライアントを制御できます。 サーバー制御では、ユーザーはロック解除された設定を変更することはできますが、これらの設定は次のハートビート時に上書きされます。
クライアント制御
ユーザーは最大レベルでクライアントを制御できます。クライアント制御では、ユーザーによる設定が許可されます。 クライアントで修正された設定がサーバー設定に優先します。それらの設定は、新しいポリシーでロックされている場合を除き、新しいポリシーが適用されても上書きされません。
クライアント制御はリモートまたは在宅で作業する従業員に役立ちます。
ユーザーが
クライアント制御
モードまたは
混合制御
モードの設定を変更するためには、Windows の管理者グループに入っている必要があります。
混合制御
ユーザーは混合レベルでクライアントを制御できます。オプションを
[サーバー制御]
または
[クライアント制御]
に設定することで、ユーザーがどのオプションを設定できるようにするかを決定します。クライアント制御のアイテムについては、ユーザーが設定を制御します。サーバー制御のアイテムについては、管理者が設定を制御します。
Windows クライアントの場合、すべてのオプションを設定できます。Mac クライアントの場合、サーバー制御とクライアント制御において通知領域アイコンと一部の IPS オプションを利用できます。
サーバーによって検疫ポリシーが適用されると、
[クライアント制御]
または
[混合制御]
下で実行しているクライアントは
[サーバー制御]
に切り替えられます。
ユーザー制御レベルの変更
一部の管理設定には、依存関係があります。たとえば、ユーザーがファイアウォールルールを設定する権限を有していても、クライアントユーザーインターフェースにアクセスできないことがあります。ユーザーは
[ファイアウォールルールの設定]
ダイアログボックスにアクセスできないので、ルールを作成できません。
  1. コンソールで、
    [クライアント]
    をクリックします。
  2. [クライアントの表示]
    でグループを選択して
    [ポリシー]
    タブをクリックします。
  3. [場所固有のポリシーと設定]
    で、修正する場所の下の
    [場所固有の設定]
    を展開します。
  4. [クライアントユーザーインターフェース制御の設定]
    の隣で、
    [タスク] > [設定の編集]
    をクリックします。
  5. [クライアントユーザーインターフェース制御の設定]
    ダイアログボックスで、次のいずれかの操作を行います。
    • [サーバー制御]
      [カスタマイズ]
      の順にクリックします。
      必要な設定を行った後、
      [OK]
      をクリックします。
    • [クライアント制御]
      をクリックします。
    • [混合制御]
      [カスタマイズ]
      の順にクリックします。
      必要な設定を行った後、
      [OK]
      をクリックします。
  6. [OK]
    をクリックします。
ポリシー設定のロックおよびロック解除
一部のポリシー設定はロックおよびロック解除できます。ユーザーは、ロックされた設定を変更できません。錠前アイコンが、ロック可能な設定の横に表示されます。ウイルスとスパイウェアの対策の設定、改変対策の設定、提出の設定、侵入防止の設定のロックとロック解除もできます。
特定の保護技術をユーザーが無効にできない設定
クライアントを
[混合制御]
または
[サーバー制御]
に設定していても、オプションをロックしなければユーザーは設定を変更できます。これらの変更は、
つの Symantec Endpoint Protection Manager
での次回のハートビートまではそのまま保持されます。さまざまなポリシーのポリシーオプションをロックすることで、設定が
[クライアント制御]
でも、ユーザーが設定を変更できないようになります。
管理者グループに属していない Windows ユーザーは、
[場所固有の設定]
の構成に関係なく、
Symantec Endpoint Protection
クライアントユーザーインターフェースで設定を変更できません。Windows 10 の管理者は、これらのオプションを設定した後でも、通知領域のアイコンから製品を無効にできます。ただし、個々の保護技術をクライアントユーザーインターフェースから無効にすることはできません。
グループすべてに対するポリシーを変更する必要がない場合は、変更を加える対象となるグループのポリシー継承を無効にします。共有ポリシーを編集する場合、ポリシー継承が無効化されていても、そのポリシーが適用されている各グループに編集後のポリシーが適用されます。
ユーザーがファイアウォールまたはアプリケーションとデバイス制御を無効化しないようにするには
  1. コンソールで、
    [クライアント]
    をクリックします。
  2. 制限するクライアントグループをクリックし、
    [ポリシー]
    タブをクリックします。
  3. [場所固有の設定]
    を展開します。
  4. [クライアントユーザーインターフェース制御の設定]
    の隣で、
    [タスク] > [設定の編集]
    をクリックします。
  5. [サーバー制御]
    または
    [混合制御]
    をクリックし、次に
    [カスタマイズ]
    をクリックします。
  6. [クライアントユーザーインターフェースの設定]
    ダイアログボックス(サーバー制御)またはペイン(混合制御)で、
    [次のユーザーによるファイアウォールの有効と無効の切り替えを許可する]
    [ユーザーによるアプリケーションデバイス制御の有効と無効の切り替えを許可する]
    のチェックマークをはずします。
  7. [OK]
    をクリックし、もう一度
    [OK]
    をクリックします。
ユーザーが侵入防止を無効化しないようにするには
  1. コンソールで、
    [クライアント]
    をクリックします。
  2. 制限するクライアントグループをクリックし、ポリシーの
    [ポリシー]
    タブをクリックします。
  3. [場所固有のポリシー]
    を展開します。
  4. [侵入防止ポリシー]
    の隣で、
    [タスク] > [ポリシーの編集]
    をクリックします。
  5. [侵入防止]
    をクリックして、
    [ネットワーク侵入防止を有効にする]
    および
    [ブラウザ侵入防止を有効にする]
    の隣にあるロックをクリックして、これらの機能をロックします。
  6. [OK]
    をクリックします。
ユーザーがウイルスとスパイウェアの対策を無効にできないようにするには
  1. コンソールで、
    [クライアント]
    をクリックします。
  2. 制限するクライアントグループをクリックし、
    [ポリシー]
    タブをクリックします。
  3. [場所固有のポリシー]
    を展開します。
  4. [ウイルスとスパイウェアの対策ポリシー]
    の隣で、
    [タスク] > [ポリシーの編集]
    をクリックします。
  5. [Windows の設定]
    で、次の機能をロックします。
    • [Auto-Protect]
      をクリックして、次に
      [Auto-Protect を有効にする]
      の隣のロックをクリックします。
    • [ダウンロード保護]
      をクリックして、
      [ダウンロードインサイトを有効にし、ファイル評価に基づいてダウンロード済みファイルの潜在的なリスクを検出する]
      の隣のロックをクリックします。
    • [SONAR]
      をクリックして、次に
      [SONAR を有効にする]
      の隣のロックをクリックします。
    • [早期起動マルウェア対策ドライバ]
      をクリックして、
      [Symantec 早期起動マルウェア対策を有効にする]
      の隣のロックをクリックします。
    • [Microsoft Outlook Auto-Protect]
      をクリックして、次に
      [Microsoft Outlook Auto-Protect を有効にする]
      の隣のロックをクリックします。
    • 14.2 RU1 より前のバージョンでは、
      [インターネット電子メール Auto-Protect]
      をクリックして、次に
      [インターネット電子メール Auto-Protect を有効にする]
      の隣のロックをクリックします。
    • 14.2 RU1 より前のバージョンでは、
      [Lotus Notes Auto-Protect]
      をクリックして、次に
      [Lotus Notes Auto-Protect を有効にする]
      の隣のロックをクリックします。
    • [グローバルスキャンオプション]
      をクリックして、
      [有効にするインサイト]
      [Bloodhound ヒューリスティックウイルス検出の有効化]
      の隣のロックをクリックします。
  6. [OK]
    をクリックします。
ユーザーがメモリエクスプロイト緩和機能を無効化しないようにするには (14.1 以降)
バージョン 14 では、侵入防止ポリシーに
[メモリエクスプロイト緩和機能]
が表示されて、
[汎用エクスプロイト緩和機能]
と呼ばれていました。
  1. コンソールで、
    [クライアント]
    をクリックします。
  2. 制限するクライアントグループをクリックし、ポリシーの
    [ポリシー]
    タブをクリックします。
  3. [場所固有の設定]
    を展開します。
  4. [メモリエクスプロイト緩和機能]
    の隣で、
    [タスク] > [ポリシーの編集]
    をクリックします。
  5. [メモリエクスプロイト緩和機能]
    をクリックして、次に
    [メモリエクスプロイト緩和機能を有効にする]
    の隣のロックをクリックします。
  6. [OK]
    をクリックします。
つの Symantec Endpoint Protection Manager
からのクライアントポリシーのアップデート
これらの変更を加えた後、グループに属するクライアントは、グループの通信設定に応じて、アップデート済みポリシーを受信します。グループがプッシュモードの場合、
つの Symantec Endpoint Protection Manager
は数秒以内にクライアントにチェックインを求めるメッセージを表示します。グループがプルモードの場合は、クライアントは、次回の定時ハートビートでチェックインします。
次回のハートビートよりも早くポリシーを受け取るには、クライアントにチェックインしてポリシーをアップデートするように求めるメッセージを表示できます。また、
Symantec Endpoint Protection
クライアントからポリシーをアップデートすることもできます。
クライアントでポリシーがアップデートされると、
Symantec Endpoint Protection
の通知領域のアイコンを右クリックしたときに、
Symantec Endpoint Protection
を無効にする]
がグレー表示されます。