45:クライアントのServiceがアンインストールされたことを知るには

今回のテーマ

クライアントのServiceがアンインストールされたことを知るには

Question: やりたいこと

社内のワークグループネットワークでDeviceLockを運用中ですが、一部のクライアントではユーザーにWindows管理者権限を付与しています。

DeviceLock Serviceをアンインストールできる権限と思いますが、アンインストール自体は阻止できないとしても、アンインストールされたことを何らかの方法で情報システム管理者に知らせることは出来ないでしょうか。

Answer: こうすればできる

DeviceLockで何らかの管理者イベントが実行されたときに、それを通知する機能が「アラート」です。Questionのように、DeviceLock Serviceがアンインストールされた場合にもアラートを発信することができ、アラートを受け取った情報システム管理者は、アラートの情報をもとに直ちに調査を開始することができます。

  • アラートの通知方法には「SNMP」「SMTP」「Syslog」の3種類がありますが、本ページでは、最も一般的と思われる、電子メールプロトコル「SMTP(Simple Mail Transfer Protocol)」での設定について説明します。

Step: 設定方法

ここでは、SMTPを利用した管理者アラートの送信方法について説明します。

SMTP設定

  1. DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[Serviceオプション]-[アラート]と展開すると、右ペインに、アラートの設定項目が表示されますので、[SMTP]をダブルクリックするか、右クリックして表示されるコンテキストメニューから[管理...]を選択すると、SMTPのアラート設定画面が表示されます。
  3. 以下のSMTP設定をします。

    接続先 - SMTPホスト

    SMTPサーバーのホスト名またはIPアドレスを入力します。

    接続先 - ポート

    SMTPホストと通信するポート番号を入力します。

    • デフォルトは「25」です。

    指定したSMTPサーバーへのSSL(暗号化)接続および非SSL(非暗号化)接続の両方をサポートします。DeviceLockは自動的に暗号化およびタイプを識別します。

    セキュリティ - サーバーは認証が必要

    SMTPサーバーで使用する認証のタイプを指定します。基本認証を指定するにはチェックボックスを選択、認証を指定しないときはチェックボックスをクリアします。

    セキュリティ - ユーザー名

    基本認証を指定した場合、SMTPサーバーとの認証に使用するユーザー名を指定します。

    セキュリティ - パスワード

    基本認証を指定した場合、SMTPサーバーとの認証に使用するパスワードを指定します。

    オプション - 送信者アドレス

    アラートの送信元の電子メールアドレスを指定します。

    オプション - 宛先アドレス

    電子メールの宛先(アラートメール通知を受信する相手)の電子メールアドレスを指定します。
    複数の電子メールアドレスを指定するには、カンマ(,)またはセミコロン(;)で区切ります。

    メッセージの編集


    テンプレートに基づいて、アラートの電子メールメッセージの定義済みコンテンツをカスタマイズします。

    [メッセージ題名]に電子メールメッセージのタイトルを指定します。

    すべてのメッセージの形式をプレーンテキストまたはHTMLに変更するには、
    [テキスト]または[HTML]のいずれかをクリックします。デフォルトでは、電子メール
    はプレーンテキスト形式で送信されます。

    [ロード]ボタンで、タブ区切りのテキストファイル(.txt)から、指定したメッセージ
    本文をロードします。ロードしたテキストは必要に応じて、プレーンテキストにすることもHTMLにすることもできます。

    [デフォルト]ボタンで、デフォルト設定に戻します。

    本ページのように管理者アラートのみ利用する場合は本設定の必要はありません。

    管理者メッセージの編集


    テンプレートに基づいて、管理者アラートの電子メールメッセージの定義済みコンテンツをカスタマイズします。

    [メッセージ題名]に電子メールメッセージのタイトルを指定します。

    すべてのメッセージの形式をプレーンテキストまたはHTMLに変更するには、[テキスト]または[HTML]のいずれかをクリックします。デフォルトでは、電子メール
    はプレーンテキスト形式で送信されます。

    [ロード]ボタンで、タブ区切りのテキストファイル(.txt)から、指定したメッセージ本文をロードします。ロードしたテキストは必要に応じて、プレーンテキストにすることもHTMLにすることもできます。

    [デフォルト]ボタンで、デフォルト設定に戻します。

    しきい値

    アラートを生成する際に、イベント統合時間の間隔(時間、分、秒単位)を指定します。以下の条件がすべて該当する場合に、しきい値の時間内に発生した複数の類似イベントが統合され、1つのアラート内に要約が生成されます。

    1. イベントが同じタイプである。(成功、失敗、および情報)
    2. イベントが同じデバイスタイプ/プロトコルに関連付けられている
    3. イベントが同じユーザーに関連付けられている
    4. イベントが同じPID(プロセスID)に関連付けられている

    デフォルトは10分です。

    テスト

    テストの電子メール通知を送信して、アラート設定が正しく構成されていることを確認します。
    このテスト動作には2通りの結果があり、各結果により、表示されるメッセージが以下のように異なります。

    1. テストが正常に完了した場合。これは、設定された電子メール通知パラメーターを使用してテストの電子メール通知が正常に送信されたことを意味します。表示されるメッセージは、「テストの SMTP アラートは正常に送信されました」となります。
    2. テストが失敗した場合。これは、テストの電子メール通知が送信されなかったことを意味します。表示されるメッセージは、「テストの SMTP アラートは次のエラーのため送信されませんでした: <エラー内容>」となります。
      テスト送信:成功

      テスト送信:失敗

      テストメールの例

続いて、管理者に通知したい管理者アラートを選択します。

管理者アラート選択

  1. DeviceLock管理コンソールを起動して、管理者アラートを選択したいコンピューターのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[Serviceオプション]-[アラート]-[管理者向けアラート]と展開すると、右ペインに、管理者アラートのリストが表示されます。
  3. リストをダブルクリックすると[標準]列の[有効][無効]が切り替わります。

    [有効]にすると、イベントの発生時に管理者アラートを発信します。
    [無効]にすると、イベントが発生しても管理者アラートは発信されません。

    オンライン(標準)とオフラインで異なる管理者向けアラートを有効にすることができます。
    オンラインアラート(標準プロファイル)は、クライアントコンピューターがオンラインで動作している場合に生成されます。オフラインアラート(オフラインプロファイル)は、クライアントコンピューターがオフラインで動作している場合に生成されます。
    デフォルトでは、DeviceLockはネットワークケーブルがクライアントコンピューターに接続されていないときにはオフラインモードで動作します。オフラインポリシーの詳細については、「テクニカルガイド 第17回 PC持ち出し時に自動で制御ポリシーを変えるには」をご覧ください。

以下、選択可能な管理者アラートについて説明します。

管理者アラートの種類と概要
  • DeviceLock管理者設定が変更されたら通知する

    DeviceLock管理者設定に変更が行なわれた場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service 設定の変更が拒否されたら通知する

    DeviceLockセキュリティが有効で、アクセス権限が不十分なユーザーがDeviceLock Serviceの設定を短期間に複数回変更しようとした場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • 「ローカルポリシーを上書き」が有効となっている Service 設定の変更が拒否されたら通知する

    DeviceLockグループポリシーマネージャーで[ローカルポリシーを上書き]パラメーターが有効になっていて、DeviceLock管理コンソールを操作しているユーザーがDeviceLock Serviceを実行しているコンピューターのサービス設定を変更しようとした場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service 設定が変更されたら通知する

    DeviceLock管理者設定を除く1つ以上のDeviceLock Service設定が変更された場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、関わっているデバイスまたはプロトコルのタイプ、ユーザーの動作タイプ、プロファイルのタイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service 設定が壊れていたら通知する

    DeviceLock Serviceが起動し、自身の設定が壊れていることを検出した場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

    • DeviceLock Serviceは、チェックサム計算を使用して設定を確認します。
    • 壊れている設定は、すべて自動的に復元されます。
  • Service が復旧したら通知する

    DeviceLock Driverが起動し、1つ以上のDeviceLock Serviceインストールファイルの削除を検出した場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

    • 欠けているファイルは、すべて自動的に復元されます。
  • ローカルストレージ割り当てを超過したら通知する

    監査/シャドウイングデータ、アラートキュー、コンテンツ分析用データのローカルストレージ割り当てを超過した場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service が停止したら通知する

    DeviceLock Serviceが停止後に起動したときに通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、DeviceLock Serviceのバージョン番号、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • Service がアンインストールされたら通知する

    DeviceLock Serviceがアンインストールされたときに通知します。
    この通知には、イベントの種類、コンピューター名、イベントを受け取った日付と時間、ユーザーの動作タイプDeviceLock Serviceのバージョン番号、ユーザー名、ユーザーのSID、イベントIDの情報が含まれます。
    本ページのテーマである、「クライアントのServiceがアンインストールされたことを知る」ためには、この通知を有効にしておく必要があります。また、「アラート設定が変更されたら通知する」を有効にしておくことで、通知自体が無効化された場合にもそれを知ることができます。

  • Service が終了したら通知する

    DeviceLock Serviceが不適切な終了後に再起動したときに通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、DeviceLock Serviceのバージョン番号、ユーザーの名前、ユーザーのSID、イベントIDなどです。

  • アラート設定が変更されたら通知する

    1つ以上のアラート設定が変更された場合に通知します。この通知は、変更前のアラート設定に従って送信されます。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、プロファイルのタイプ、ユーザーの名前、ユーザーのSID、このイベントに関連付けられたプロセスのID、イベントIDなどです。

  • キーロガーが検出されたら通知する

    ハードウェアUSBキーロガーが検出された場合に通知します。
    この通知に含まれる情報は、イベントのタイプ、コンピューターの名前、イベントが受信された日時、ユーザーの動作タイプ、キーロガーとして検出されたUSBデバイスの名前、ユーザーの名前、ユーザーのSID、イベントIDなどです。

    • この通知を許可するには、[アンチキーロガー]オプションの[イベントのログを記録する]パラメーターを有効にしておく必要があります。

管理者アラートの確認

「Service がアンインストールされたら通知する」を有効にしておくことで、クライアントコンピューターでDeviceLock Serviceがアンインストールされると、電子メールの送信先アドレスに、イベントが発生したことを通知する電子メールが送信されます。

DeviceLock Serviceのアンインストールを通知するメールの例

Reference: 参考

DeviceLockは、アラート条件が満たされたときにアラートを生成し、配信します。1回目の試行でアラートを配信できない場合は、未配信アラートが指定期間にわたって格納されるキューを作成し、再送信を行います。アラートの送信を試行する最大回数を指定すること、配信試行の間隔を設定すること、未配信アラートが配信用のキューに保持される時間を定義することができます。

  1. DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[Serviceオプション]-[アラート]と展開すると、右ペインに、アラートの設定項目が表示されますので、[配信リトライパラメーター]をダブルクリックするか、右クリックして表示されるコンテキストメニューから[管理...]を選択すると、配信リトライパラメーターの設定画面が表示されます。
  3. 以下の項目を設定します。

    配信リトライ数

    1回目の配信試行が失敗した場合に、アラートの送信を試行する最大回数を指定します。

    1回目の配信試行が失敗した場合、アラートはキューに保留され、配信試行が1回行われたことを示すマークが付けられます。その後、キュー内のアラートが送信され配信が失敗するたびに、試行回数が増加します。

    このパラメーターは、0~999の値が設定されている必要があります。デフォルト値は3回です。
    配信リトライ数に達して配信が失敗すると、エラーを監査ログに記録し、アラート配信チャネルでのさらなる送信を一時的に停止します。

    接続状態(オンラインかオフラインか)のチェック時に、指定されているSNMPサーバーとSMTPサーバー、またはSyslogサーバーとの接続を自動的に再確立しようとします。接続が回復した場合、アラートの送信を再開します。

    配信リトライ間隔: 秒

    前回の配信が失敗した場合に、アラートの次の配信を試行するまでに待つ秒数を指定します。
    このパラメーターは、10~3600の値が設定されている必要があります。デフォルト値は600秒です。

    キューに保持: 時間

    未配信アラートが削除される前に配信用キューに保持される時間数を定義します。
    同一のキューがすべての配信チャネル(SNMP、SMTP、Syslog)に使用されます。

    このパラメーターは、1~999の値が設定されている必要があります。デフォルト値は1時間です。
    このパラメーターは、標準プロファイルに対してのみ指定することができます。
    このパラメーターの値は、両方のプロファイル(通常とオフライン)に同一のものが使用されます。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム 

投稿日:2020年12月17日

How to DeviceLock 記事一覧