ポリシーは、複数のコンピュータに簡単に割り当てるために、ルールと設定のコレクションを保存することができます。[ポリシー]エディターを使用して、ポリシーを作成および編集し、それを1台以上のコンピュータに適用できます。また、[コンピュータ]エディター ([ポリシー]エディターと非常に似ています) を使用して特定のコンピュータに設定を適用することもできますが、推奨される方法は[コンピュータ]エディターで設定を編集するのではなく、専門的なポリシーを作成することです。
Workload Security APIを使用してポリシーの作成と構成を自動化できます。例については、ポリシーの作成と構成を参照してください。
新規ポリシーを作成する
手順
- をクリックします。
- ポリシーの名前を入力してください。新しいポリシーが既存のポリシーから設定を継承する場合は、[Inherit from]リストからポリシーを選択し、[次へ]をクリックしてください。継承の詳細については、ポリシー、継承、およびオーバーライドを参照してください。
- このポリシーを既存のコンピュータの構成に基づかせるかどうかを選択し、[次へ]をクリックしてください。
- 手順3で[はい]を選択した場合:
-
新しいポリシーの基準として使用するコンピュータを選択し、[次へ]をクリックしてください。
-
新しいポリシーに対して有効にする保護モジュールを指定してください。このポリシーが既存のポリシーから設定を継承している場合、それらの設定がここに反映されます。[次へ]をクリックしてください。
-
次の画面で、新しいポリシーに引き継ぎたいプロパティを選択し、[次へ]をクリックします。設定を確認し、[完了]をクリックします。
-
- 手順3で[いいえ]を選択した場合、新しいポリシーに対して有効にする保護モジュールを指定してください。このポリシーが既存のポリシーから設定を継承している場合、それらの設定がここに反映されます。[完了]をクリックしてください。
- [閉じる]をクリックします。次に、ポリシーまたは個別のコンピュータの設定を編集するで説明されているように、ポリシーの設定を編集できます。
ポリシーを作成する別の
ポリシーを作成する方法は他にもあります。
XMLファイルからポリシーをインポートする
ポリシーで使用するためのデフォルトのXMLファイルをダウンロードできます。
次のようにして、XMLファイルからポリシーをインポートできます。
手順
- をクリックします。ポリシーをインポートする場合、ポリシーを作成したシステムと受け取るシステム両方に最新のセキュリティアップデートが適用されていることを確認してください。ポリシーを受け取るシステムが古いセキュリティアップデートを実行していると、最新のシステムのポリシーで参照されている一部のルールがそのシステムにない可能性があります。インポートポリシーは、推奨される初期設定を使用して、一部の初期設定の検索設定またはルールをアップデートする場合があります。インポートウィザードでポリシーアップデート情報を確認してください。
- [ファイルの選択]をクリックして、XMLファイルを選択してください。
- [Import under]から選択:
- [Base Policy]。
- [Windows]を使用している場合はWindowsデスクトップ。
- [次へ] をクリックします。
- ウィザードを閉じます。新しいポリシーは、選択したXMLファイルの設定と一致します。
既存のポリシーを複製する
既存のポリシーを複製するには、[ポリシー]タブから複製したい既存のポリシーを右クリックし、[複製]を選択します。
ポリシーの複製がリストに表示されます。
コンピュータの推奨設定の検索に基づいて新しいポリシーを作成する
推奨設定の検索に基づいて新しいポリシーを作成するには、次の手順を実行します。
手順
- [コンピュータ]タブからコンピュータを右クリックし、 を選択します。
- 検索が完了したら、[ポリシー]タブに戻り、[新規]をクリックして[New Policy]ウィザードを開いてください。
- プロンプトが表示されたら、既存のコンピュータの現在の設定に基づいて新しいポリシーを作成することを選択します。
- コンピュータのプロパティから、[推奨されるアプリケーションの種類と侵入防御ルール]、[推奨される変更監視ルール]、および[推奨されるセキュリティログ監視ルール] を選択します。
コンピュータに現在割り当てられているルールに関係なく、コンピュータ上の推奨されるエレメントのみで構成される新しいポリシーが作成されます。
ポリシーまたは個別のコンピュータの設定を編集する
[ポリシー]ページには、既存のポリシーが階層ツリー構造で表示されます。ポリシーの設定を編集するには、それを選択し、[詳細]をクリックしてポリシーエディターを開きます。
次のセクションは[コンピュータ]または[ポリシー]エディターで利用可能です。
-
概要 (ポリシーエディタの概要セクションとコンピュータエディタの概要セクションは異なります)
ポリシーをコンピュータに割り当てる
- [コンピュータ]に移動します。
- [コンピュータ]リストからコンピュータを選択し、右クリックして を選択してください。
- 階層ツリーからポリシーを選択し、[OK]をクリックします。
ポリシーは、次のAgentハートビートが発生したときに送信されます。
階層ツリーの子ポリシーで親ポリシーの設定やルールを継承またはオーバーライドする方法については、ポリシー、継承、およびオーバーライドを参照してください。
ポリシーをコンピュータに割り当てた後も、定期的に推奨設定の検索を実行して、コンピュータ上にあるすべての脆弱性を保護してください。詳細については、推奨設定の検索 を参照してください。
ポリシーの自動アップデートを無効にする
初期設定では、セキュリティポリシーが変更された場合、変更内容はそのポリシーを使用するコンピュータに自動的に送信されます。これを変更して、自動送信を無効にできます。この場合、手動でポリシーを送信する必要があります。
手順
- ポリシーを設定するために[ポリシー]エディターを開きます。
- に移動します。
- [ポリシーの変更をコンピュータに自動的に送信]の横で[はい]を選択して、ポリシー変更の自動送信を許可します。自動送信を無効にして手動送信のみを許可するには、[いいえ]を選択します。
- [保存]をクリックして変更を適用します。
ポリシーの変更を手動で送信する
ポリシーの変更を特定のコンピュータに手動で送信する場合は、次の手順に従います。
手順
- [コンピュータ]に移動します。
- [コンピュータ]リストからコンピュータをダブルクリックしてください。
- ナビゲーションペインで、[概要]が選択されていることを確認してください。
- メインペインで、[処理] タブをクリックします。
- [ポリシー]の下で、[ポリシーの送信]をクリックします。
ポリシーは、次のAgentハートビートが発生したときに送信されます。
ポリシーをエクスポートする
ポリシーをXMLファイルにエクスポートするには、ポリシーツリーからポリシーを選択し、
の順にクリックします。選択したポリシーをXMLにエクスポートすると、子ポリシー (存在する場合) もエクスポートパッケージに追加されます。エクスポートパッケージには、ポリシーに関連するすべての実際のオブジェクトが含まれます。ただし、侵入防御ルール、セキュリティログ監視ルール、変更監視ルール、およびアプリケーションの種類は含まれません。