リモートクライアントの場所の管理

管理の必要なグループを設定した後で、場所を追加できます。セキュリティ戦略上必要であれば、グループごとに異なる場所を設定できます。
つの Symantec Endpoint Protection Manager
コンソールで、場所に基づいて自動ポリシー切り替えをトリガする条件を設定します。場所の認識は、クライアントが満たしている場所条件に基づいて、指定するセキュリティポリシーを自動的にクライアントに適用します。
場所条件にはさまざまな基準を利用できます。たとえば、IP アドレス、ネットワーク接続の種類、クライアントコンピュータが管理サーバーに接続できるかどうか、などを利用できます。クライアント接続は、指定する基準に基づいて許可したり遮断したりできます。
場所は、それを作成したグループと、そのグループを継承するサブグループに適用されます。ベストプラクティスは、どのクライアントでも My Company グループレベルで使うことができる場所を作成することです。その後、サブグループレベルで特定のグループの場所を作成します。
作成するグループと場所が少ないほうが、セキュリティポリシーと設定の管理が簡単になります。ただし、ネットワークの複雑さとセキュリティの必要条件によって、より多くのグループと場所が必要になることがあります。必要となるセキュリティ設定、ログ関連の設定、通信設定、ポリシーの数によって、作成するグループと場所の数が決まります。
一部の設定オプションはリモートクライアント用にカスタマイズできますが、これらは場所に依存しません。これらのオプションは、親グループから継承されるか、単独で設定されます。すべてのリモートクライアントが含まれる 1 つのグループを作成する場合、場所に依存しない設定はグループ内のクライアントの設定と同じになります。
次の設定は場所に依存しません。
  • カスタム侵入防止シグネチャ
  • システムロックダウンの設定
  • ネットワークアプリケーション監視の設定
  • LiveUpdate Content policy の設定
  • クライアントログの設定
  • クライアントサーバー通信の設定
  • 場所の認識や改変対策などの、全般的なセキュリティ関連の設定
クライアントログの処理方法など、これらの場所に依存しない設定をカスタマイズするには、別々のグループを作成する必要があります。
一部の設定は場所に固有です。
ベストプラクティスとして、ユーザーが次の保護をオフにすることを許可しないでください。
  • Auto-Protect
  • SONAR
  • 改変対策
  • 作成済みのファイアウォールルール
実行できる場所の認識タスク
タスク
説明
場所の計画
使う場所を決定するために環境内で必要なセキュリティポリシーの種類を検討します。それから各場所の定義に使う基準を決定できます。ベストプラクティスは、グループと場所を同時に計画することです。
次の情報を参照してください。
場所の認識を有効にする
クライアントの接続元の場所によってクライアントに割り当てられるポリシーを制御するには、場所の認識を有効にします。
場所の追加
グループに場所を追加できます。
デフォルトの場所の割り当て
すべてのグループにデフォルトの場所を設定する必要があります。コンソールをインストールするとき、Default と呼ばれるたった 1 つの場所があります。新しいグループを作成するとき、デフォルトの場所は常に Default です。他の場所を追加した後で、デフォルトの場所を変更できます。
デフォルトの場所は、以下の場合に使用します。
  • 複数の場所の 1 つが場所の基準に適合するが、前回の場所が基準に適合していない場合
  • 場所の認識を使っていて、基準に適合する場所がない場合
  • ポリシーで場所または場所の名前が変更され、新しいポリシーを受け取ったときにクライアントがデフォルトの場所に戻る場合
場所の通信オプションの設定
場所ごとに管理サーバーとクライアント間の通信設定を設定することもできます。