今回のテーマ
スタンドアロンクライアントのポリシーを変更するには?
Question: やりたいこと
DeviceLockでクライアントのデバイス制御をしています。USBメモリーについては、会社購入品であらかじめホワイトリスト登録されたものしか使えないようにしています。クライアントは外に持ち出されることが多く、外からは社内のネットワークに入れないためネットワークを通じてのリモート管理ができません。
クライアント持ち出し先ではお得意様のUSBメモリをお借りしてデータの移行などをしたいのですが、ホワイトリスト登録していないため使用が出来ません。DeviceLockには「一時的許可機能」があると聞いて実行してみたのですが、「証明書がインストールされていません」と出て使用できません。
「証明書」とはどんなもので、どのようにして作成するのでしょうか。
Answer: こうすればできる
「DeviceLock証明書」は、DeviceLockの管理ツールとクライアントエージェント(DeviceLock Service)の間の主従関係を証明するためのファイルです。管理ツール側とクライアントエージェント側の双方に証明書を適用することでお互いを信頼し、管理ツールとクライアントエージェント間でユーザー名/パスワードなどの認証行為を省略して、連携処理を行ないます。
証明書の生成には、専用の「証明書生成ツール」を使用します。
Step: 生成方法
「証明書生成ツール」を起動する方法は、3つあります。
- setup.exeを使ったDeviceLockコンソールのインストール中に「証明書生成ツール」を起動するかどうか、訊いてくる。
- DeviceLockコンソールのインストール後、Windowsの[スタート]メニューから起動する。
- [DeviceLock管理コンソール]メニューから起動する。
「証明書生成ツール」を起動したら、証明書名や、証明書ファイルを書き込む場所を指定します。
- 証明書名
- 証明書ファイルの名称を指定します。
- 既定では、「 DeviceLock 証明書 [2019/12/24 10:10:42] 」のようなファイル名が表示されています。
- 公開鍵へのパス / 秘密鍵へのパス
- 作成する証明書ファイルを配置する場所(フォルダー)を指定します。
- 公開鍵、秘密鍵を別々の場所に指定できます。
最後に、これまで指定した証明書名、公開鍵へのパス、秘密鍵へのパスを確認して「終了」をクリックすると、証明書ファイルが作成されます。
※ 公開鍵と秘密鍵
秘密鍵は管理者のコンピューター上に保存され、管理者のみがこれにアクセスできるようにしなければなりません。また、秘密鍵はDeviceLock Enterprise Serverにインストールすることもできます。
公開鍵は、DeviceLock Serviceを実行するすべてのコンピューター上にインストールします。公開鍵がユーザーのコンピューター上にインストールされていない場合、一時的ホワイトリスト機能を使用したり、DeviceLock Enterprise Server上でDeviceLock証明書を使った認証することはできません。
既定では、秘密鍵はファイル名の最後が「Private」、公開鍵は「Public」になっています。
Step: 適用方法
DeviceLock Serviceに証明書を適用するには、DeviceLock管理コンソールを使用します。
- DeviceLock管理コンソールを起動し、対象のDeviceLock Serviceに接続して左ペインで [DeviceLock Service] – [Service オプション] と展開します。
- 右ペインの [DeviceLock 証明書] の状態が「証明書がありません」となっている場合、証明書は適用されていません。この行をダブルクリックして証明書適用画面を表示します。
- 「DeviceLock 証明書」画面で「...」ボタンをクリックして公開鍵ファイルを指定し、「OK」ボタンをクリックして証明書の適用は終了です。
DeviceLock Serviceには公開鍵を適用します。
「DeviceLock 証明書」画面で誤って秘密鍵ファイルを指定すると、「証明書ファイルが無効です。」のエラー表示となりますので、再度、公開鍵ファイルを指定してください。
DeviceLock Enterprise Serverに証明書を適用するには、DeviceLock管理コンソールを使用します。
- DeviceLock管理コンソールを起動し、対象のDeviceLock Enterprise Serverに接続して左ペインで [DeviceLock Enterprise Server] – [Server オプション] と展開します。
- 右ペインの [DeviceLock 証明書] の状態が空白となっている場合、証明書は適用されていません。この行をダブルクリックして証明書適用画面を表示します。
- 「証明書名」欄で「...」ボタンをクリックして秘密鍵ファイルを指定し、「OK」ボタンをクリックして証明書の適用は終了です。
一時的ホワイトリスト機能や、DeviceLockコントロールパネルアプレットによるDeviceLock Service設定ファイルの読み込み機能を利用するには、DeviceLock 署名ツールに証明書を適用します。
- DeviceLock 署名ツールを起動するには、DeviceLock管理ツールをインストールしたコンピューターの [スタート] メニューの [DeviceLock] 配下にある「DeviceLock 署名ツール」を直接起動するか、DeviceLock管理コンソールを起動し、[操作] メニューから「DeviceLock 署名ツール」を起動します。
- [証明書名:] 欄が空白になっている場合、証明書は適用されていません。「...」ボタンをクリックして証明書読み込み画面を表示します。
- 「開く」画面で秘密鍵ファイルを指定し、「OK」ボタンをクリックして証明書を読み込み、「DeviceLock 署名ツール」画面に戻ったら [閉じる] ボタンをクリックして、適用は終了です。
Reference:参考
- DeviceLock ServiceにDeviceLock証明書が適用されていない状態でコントロールパネルの「DeviceLock」アプレットを起動すると、以下のように「証明書がインストールされていません。」というエラーが出ます。管理者にご連絡の上、組織のセキュリティポリシーに従い処理をしてください。
- DeviceLock Enterprise ServerとDeviceLock Service間で、ユーザー認証(※1)を用いず、DeviceLock証明書に基づいた認証(※2)を有効にしたい場合、DeviceLock Enterprise Serverに秘密鍵を、DeviceLock Serviceに対になる公開鍵を適用する必要があります。(※1)ユーザー認証:リモートコンピューター上のDeviceLock Serviceへのフル管理アクセス権を持つユーザーアカウントで、DeviceLock Enterprise Serverが実行されます。(※2)DeviceLock証明書認証:DeviceLock Enterprise Serverを実行しているユーザーがリモートコンピューター上のDeviceLock Serviceにアクセスできない場合、DeviceLock証明書に基づいた認証を行なう必要があります。
- DeviceLock証明書ファイルには、有効期限がありません。従って、時期が来れば自動的に失効するといった処理はできません。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年02月20日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?