このページのトピック
ポリシーの作成
ポリシーでは、ルールや設定をまとめて保存し、複数のコンピュータに簡単に割り当てることができます。ポリシーエディタを使用してポリシーを作成および編集し、1つまたは複数のコンピュータに適用できます。特定のコンピュータに設定を適用するには、コンピュータエディタ(ポリシーエディタとよく似ています)を使用することもできますが、コンピュータエディタで設定を編集するのではなく、特殊なポリシーを作成することをお勧めします。
ポリシーの作成と設定は、 Workload Security APIを使用して自動化できます。例については、 ポリシーの作成および設定を参照してください。
新規ポリシーを作成する
-
[ポリシー]→[新規]→[新規ポリシー] の順にクリックします。
-
ポリシーの名前を入力します。既存のポリシーの設定を新規ポリシーに継承する場合は、[継承元] リストからポリシーを選択します。[次へ] をクリックします。
継承の詳細については、「ポリシー、継承、およびオーバーライド」を参照してください。
-
既存のコンピュータの設定をこのポリシーのベースにするかどうかを選択し、[次へ] をクリックします。
-
手順3で [はい] を選択した場合は、以下を実行します。
-
新規ポリシーのベースとして使用するコンピュータを選択し、[次へ] をクリックします。
-
新しいポリシーに対してどの保護モジュールを有効にするかを指定します。既存のポリシーから設定を継承する場合は、それらの設定が表示されます。[次へ] をクリックします。
-
次の画面で、新規ポリシーに組み込むプロパティを選択し、[次へ] をクリックします。設定を確認し、[完了] をクリックします。
-
-
手順3で なし を選択した場合は、新しいポリシーに対してどの保護モジュールを有効にするかを指定します。 既存のポリシーから設定を継承する場合は、それらの設定が表示されます。[完了] をクリックします。
-
[閉じる] をクリックします。次にポリシーの設定を編集できます。手順については「ポリシーまたは個々のコンピュータの設定を編集する」を参照してください。
ポリシーを作成するその他の方法
[ポリシー] 画面ではいくつかの方法でポリシーを作成できます。
-
前述した手順で新規ポリシーを作成します。
-
[新規]→[ファイルからインポート] の順に選択してXMLファイルからポリシーをインポートします。
ポリシーをインポートする場合、ポリシーを作成したシステムと受け取るシステム両方に最新のセキュリティアップデートが適用されていることを確認してください。ポリシーを受け取るシステムが古いセキュリティアップデートを実行していると、最新のシステムのポリシーで参照されている一部のルールがそのシステムにない可能性があります。
-
既存のポリシーを複製し、変更して名前を変更します。複製するポリシーを右クリックして [複製] をクリックします。
-
コンピュータの推奨設定の検索に基づいて新規ポリシーを作成します。[コンピュータ] 画面に移動し、コンピュータを右クリックして [処理]→[推奨設定の検索] の順に選択します。検索が終了したら、[ポリシー] 画面に戻り、[新規] をクリックして新規ポリシーウィザードを起動します。プロンプトが表示されたら、新規ポリシーのベースを「既存のコンピュータの現在の設定」にします。次に、コンピュータのプロパティから [推奨されるアプリケーションの種類と侵入防御ルール]、[推奨される変更監視ルール]、および [推奨されるセキュリティログ監視ルール] を選択します。
ポリシーは、現在コンピュータにどのようなルールが割り当てられていたとしても、そのコンピュータの推奨エレメントのみで構成されます。
ポリシーまたは個々のコンピュータの設定を編集する
[ポリシー] 画面には、階層型のツリー構造で既存のポリシーが表示されます。ポリシーの設定を編集するには、ポリシーを選択し、[詳細] をクリックしてポリシーエディタを開きます。
これらのセクションは、コンピュータエディタまたはポリシーエディタで使用できます。
ポリシーをコンピュータに割り当てる
-
[コンピュータ] に移動します。
-
コンピュータリストからコンピュータを選択し、右クリックして [処理]→[ポリシーの割り当て] の順に選択します。
-
階層ツリーからポリシーを選択し、[OK] をクリックします。
ポリシーは、次のAgentハートビートが発生したときに送信されます。
階層ツリーの子ポリシーで親ポリシーの設定やルールを継承またはオーバーライドする方法については、「ポリシー、継承、およびオーバーライド」を参照してください。
ポリシーをコンピュータに割り当てた後も、定期的に推奨設定の検索を実行して、コンピュータ上にあるすべての脆弱性を保護してください。詳細については、「推奨設定の検索の管理と実行」を参照してください。
ポリシーの自動アップデートを無効にする
初期設定では、セキュリティポリシーが変更された場合、変更内容はそのポリシーを使用するコンピュータに自動的に送信されます。これを変更して、自動送信を無効にできます。この場合、手動でポリシーを送信する必要があります。
-
設定するポリシーの[ポリシーエディタ]を開きます。
-
[ Settings]→[ 一般 ]→[Send Policy Changes immediately]の順に選択します。
-
ポリシー変更の自動送信を許可するには、 [コンピュータにポリシーの変更を自動的にに送信する]の横で[ ] [ ]を選択します。自動送信を無効にし、手動送信のみを許可するには、[ No]を選択します。
-
[ Save ]をクリックして変更を適用します。
ポリシーの変更を手動で送信する
ポリシーを変更し、ポリシーの変更を特定のコンピュータに手動で送信する場合は、次の手順に従います。
-
[コンピュータ] に移動します。
-
コンピュータリストから自分のコンピュータをダブルクリックします。
-
ナビゲーションペインで、 [概要] [ ]が選択されていることを確認します。
-
メイン画面で、[ Actions] [ ]タブをクリックします。
-
[ポリシー] で、[ポリシーの送信] をクリックします。
ポリシーは、次のAgentハートビートが発生したときに送信されます。
ポリシーをエクスポートする
ポリシーをXMLファイルにエクスポートするには、ポリシーツリーからポリシーを選択し、[エクスポート]→[選択したアイテムをXML形式でエクスポート (インポート用)] の順にクリックします。
選択したポリシーをXMLにエクスポートすると、子ポリシー (存在する場合) もエクスポートパッケージに追加されます。エクスポートパッケージには、ポリシーに関連するすべての実際のオブジェクトが含まれます。ただし、侵入防御ルール、セキュリティログ監視ルール、変更監視ルール、およびアプリケーションの種類は含まれません。