ポリシー、継承、およびオーバーライド
Workload Security は、階層構造で作成されます。管理者は、最初に1つ以上のベースポリシーを作成し、そこから複数レベルの子ポリシーを作成し、細分化していきます。つまり、最上位のポリシーで広範囲に適用するルールや設定を割り当ててから、子ポリシーのレベルで対象を絞って具体化し、最終的に個々のコンピュータレベルでルールや設定を割り当てることができます。
ポリシーツリーの下位になるほど設定が詳細になるだけでなく、ポリシーツリーの上位の設定から下位の設定をオーバーライドできます。
Workload Security には、ご使用の環境に合わせて独自のポリシーを設計するための初期テンプレートとして使用できる一連のポリシーが用意されています。
継承
子ポリシーは、親ポリシーから設定を継承します。これにより、すべてのコンピュータに適用する設定とルールが定義された親ベースポリシーから始まるポリシーツリーを作成できます。さらに、この親ポリシーには、より対象を具体化した設定を含む子および子孫のポリシーのセットを追加できます。ポリシーツリーは、環境に適した分類システムに基づいて構築できます。たとえば、 Workload Security に付属するポリシーツリー内のブランチには、特定のOS用に設計されたブランチがあります。Windowsブランチには、Windows OSのさまざまなサブタイプに対する子ポリシーがあります。
Overview ページの Windows ポリシーエディタで、 Windows ポリシーが 基本ポリシーの子として作成されたことがわかります。ポリシーの不正プログラム対策の設定は次のとおりです. 継承(オフ):
これは、設定が上位 基本ポリシーから継承され、 基本ポリシー で オフ から オンへの不正プログラム対策の設定を変更する場合、設定が Windowsで変更されることを意味します。 ポリシーも同様です。(これにより、Windowsポリシーの設定は [継承 (オン)] になります。カッコ内の値は、継承された現在の設定を示しています)。
個のオーバーライド
[オーバーライド] 画面には、対象のポリシーまたは特定のコンピュータレベルでオーバーライドされた設定の数が表示されます。このレベルのオーバーライドを取り消すには、[削除] ボタンをクリックします。
次の例では、Windows ServerポリシーがWindowsポリシーの子ポリシーとなっています。ここでは、不正プログラム対策設定は継承されていません。オーバーライドされ、[オン] になっています。
Workload Security APIを使用して、オーバーライドの確認、作成、および削除を自動化できます。例については、 [ポリシーをオーバーライドするコンピュータを設定する]を参照してください。
オブジェクトのプロパティをオーバーライドする
このポリシーに含まれる侵入防御ルールは、 Workload Securityによって格納される侵入防御ルールのコピーで、その他のポリシーで使用できます。特定のルールのプロパティを変更する場合は、ルールのプロパティをグローバルに変更して、そのルールを使用しているすべてのインスタンスに変更を適用するか、またはプロパティをローカルで変更して、その変更をローカルにのみ適用します。コンピュータまたはポリシーのエディタの初期設定の編集モードはローカルです。[現在割り当てられている侵入防御ルール] エリアにあるツールバーの [プロパティ] をクリックすると、[プロパティ] 画面で行うすべての変更が表示され、その変更がローカルにのみ適用されます(ルール名などの一部のプロパティはローカルでは編集できません。これらはグローバルでのみ編集できます)。
ルールを右クリックすると、コンテキストメニューが表示され、2つのプロパティ編集モードオプションが表示されます。 のプロパティ を選択すると、ローカルのエディタウィンドウが開き、 のプロパティ(グローバル) が表示され、グローバルエディタウィンドウが開きます。
Workload Security の共有共通オブジェクトの大部分は、個々のコンピュータレベルまでポリシー階層内の任意のレベルでプロパティをオーバーライドできます。
ルールの割り当てをオーバーライドする
ポリシーレベルまたはコンピュータレベルで、追加のルールをいつでも割り当てることができます。ただし、特定のポリシーレベルまたはコンピュータレベルで有効なルールの割り当てをローカルで解除することはできません。これは、そのルールの割り当てが親ポリシーから継承されているためです。このようなルールの割り当ては、ルールが最初に割り当てられたポリシーレベルで解除する必要があります。
オーバーライドする設定が多数ある場合は、親ポリシーのブランチを作成することを検討してください。
コンピュータまたはポリシーのオーバーライド項目をまとめて確認する
ポリシーまたはコンピュータでオーバーライドされた設定の数は、[コンピュータ]または ポリシーエディタの[ オーバーライド ]ページで確認できます。
保護モジュール別のオーバーライド項目が表示されます。[削除] ボタンをクリックすれば、システムまたはモジュールのオーバーライド項目を元に戻すことができます。