今回のテーマ
特定の時間帯だけ制御を有効にするには?
Question: やりたいこと
DeviceLockで、社内のクライアントPCに、USBポートなど各種デバイスに対してアクセス制限を設定しています。全てを禁止するということではなく、デバイスによっては書込みのみを禁止するといった場合もあります。
この度、会社のセキュリティポリシーの見直しにより、DeviceLockの設定ポリシーも見直し、就業時間外のデバイスアクセスを全面的に禁止することになりました(例外的にデバイスアクセスが必要な場合は個別に対応します)。具体的には、平日の8時~12時と13時~20時の時間帯は従来のDeviceLockポリシーにて制御、それ以外の時間帯はデバイスアクセスを全面禁止する、という運用が求められています。
曜日や時間帯によってDeviceLockのポリシーを有効にしたり、アクセスを全面禁止にしたりすることはできるのでしょうか。
Answer: こうすればできる
DeviceLockの「アクセス許可」「監査/シャドウイング/アラート」ポリシー設定画面には、選択したユーザーまたはユーザーグループがデバイスにアクセスする時間、またはしない時間を定義できます。
「アクセスする時間」を設定すると、この時間帯はDeviceLockの制御ポリシーの影響を受け、デバイスはあらかじめ設定されたポリシー通りに制御されますが、「アクセスしない時間」を設定すると、この時間帯はDeviceLockの制御ポリシーの影響を受けず、無条件に(「アクセス許可」「監査/シャドウイング/アラート」機能の範囲内で)全てのアクセスが禁止、または監査/シャドウイング/アラートが無効化されます。
Step: 設定
「アクセス許可」に対する時間帯指定
時間帯により各デバイス・ポートに対してアクセス制御ポリシーを適用する、またはアクセス制御ポリシーを適用せず無条件に全面アクセス禁止にするには、各デバイス・ポートの「アクセス許可」画面右側のタイムテーブルを設定します。
- DeviceLock管理コンソールを起動し、設定対象のクライアントPCに接続します。
- 左ペインで[DeviceLock Service]-[デバイス]-[アクセス許可]と展開します。
- 右ペインに表示されるデバイス・ポートの一覧から、時間帯指定を設定したいデバイスまたはポートを探し、マウスでダブルクリック、または右クリックしてコンテキストメニューを表示させ、[アクセス許可の設定...]を選択します。
- [アクセス許可]画面の[ユーザー]欄で、時間帯制御を設定する対象のユーザーまたはユーザーグループを選択、または追加して選択します。
- [ユーザーの権利]欄で、必要なデバイス制御を設定します。
このとき、対象のユーザーまたはユーザーグループにおける時間帯指定が未設定であれば、下図のように、画面右側のタイムテーブルが全て青色になっています。 - タイムテーブルで、DeviceLockによるアクセス制御を適用する時間帯、適用せず全面アクセス禁止にする時間帯を指定します。
アクセス制御を適用 ・・・ マウスの左クリックで青色に設定
全面アクセス禁止 ・・・ マウスの右クリックで白色に設定例として、以下のように設定します。
月曜から金曜の8時~12時と13時~20時はアクセス制御を適用
月曜から金曜の0時~8時、12時~13時、20時~24時、および土曜・日曜の終日はデバイスアクセス禁止
以上で、「アクセス許可」に対する時間帯指定は終了です。
「監査/シャドウイング/アラート」に対する時間帯指定
時間帯により、各デバイス・ポートへのアクセス(監査)ログやシャドウイングログの取得、アクセスをトリガーにしたアラートを発行を行なう、またはこれらのポリシーを適用せず無条件に全ての監査ログ・シャドウイングログ・アラート設定を無効にするには、各デバイス・ポートの「監査/シャドウイング/アラート」画面右側のタイムテーブルを設定します。
設定要領については「「アクセス許可」に対する時間帯指定」と同様になります。
Reference: 参考
- 曜日・時間帯の判定は対象のコンピューターのOSのシステム日付を参照しています。従いまして、システム日付を意図的に変更すると、時間帯設定と異なる動作になることがあります。これを防ぐには、コンピューター使用者にWindows管理者権限を与えないなどの対策が必要になります。
- 時間帯の判定のタイミングにより、指定の時刻になっても設定が直ちに切り替わらないことがあります。
- 大きなファイルのコピーなど継続的な作業中に指定の時刻になりデバイスへのアクセスが禁止されると、作業中であってもデバイスへのアクセスはできなくなり作業エラーが発生します。その結果ファイル破損など予期せぬ障害を招く場合がありますのでご注意ください。
- 例えば、同じデバイスについて、あるユーザーAと、ユーザーAが属するユーザーグループBで、異なる時間帯指定をした場合、その時間帯については、全面禁止・無効の設定が優先適用されます。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年04月22日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?