設定にあたって
デバイスコントロール ポリシーは、コンピュータで使用を許可するストレージデバイスやネットワーク機器を指定します。デバイスコントロール ポリシーを設定する際は、次の点に注意してください。
- 「デバイスを検出するが、ブロックしない」オプションを指定して、管理対象デバイスの検出のみを行い、ブロックは行わないようにします。設定するには、まず、検出する各デバイスタイプのステータスを「ブロック」に指定します。このように指定されていないデバイスタイプに対して検索は実行されません。はじめに、レポートのみ受信することをポリシーで指定することで、ネットワーク全体のデバイス使用の全容を把握することができます。
- 「デバイスコントロール - イベントビューア」を使用して、ブロックされたイベントをフィルタですばやく抽出し、調査してください。イベントビューアを開くには、「」をクリックします。
- 「レポートマネージャ」を使用して、コンピュータまたはユーザーごとのデバイスコントロールのイベントの傾向に関するレポートを作成してください。
- 機密情報へのアクセスが許可されているユーザーのコンピュータに対しては、より厳格なアクセスコントロールを実施することもできます。
- デバイスのブロックを指定するポリシーを適用する前に、除外対象デバイスのリストを作成します。たとえば、デザイン部門のみに対して光学メディアドライブの使用を許可することを指定できます。
- 「セキュリティ搭載リムーバブル ストレージ デバイス」カテゴリを使用して、多種の対応ベンダの、ハードウェア暗号化機能を持つ USB ストレージ デバイスを自動的に承認することができます。対応しているベンダの一覧は、ソフォス Web サイトを参照してください。サポートされているセキュリティ搭載リムーバブル ストレージ デバイスの一覧は、サポートデータベースの文章 63102 を参照してください。
- デバイスコントロール ポリシーにデバイスの除外を追加する際、「コメント」フィールドに、デバイスを除外する理由や、除外をリクエストしたユーザーの名前を入力してください。
- デスクトップメッセージの送信を有効にして、管理対象デバイスの検出時に表示するユーザー向けのメッセージを作成してください。たとえば、デバイスの使用に関する社内ポリシードキュメントへのリンクを表示することができます。
- コンピュータをネットワークから切り離したときに、ネットワークデバイス (Wi-Fi アダプタなど) が有効になるよう設定するには、ネットワークデバイスのアクセスレベルで、「ブリッジ接続をブロックする」オプションを選択します。 注 「ブリッジ接続をブロックする」モードでは、企業ネットワークと外部ネットワーク間のブリッジ接続におけるリスクを大幅に削減できます。ワイヤレスデバイス、モデムのどちらでも、「ブリッジ接続をブロックする」モードを利用できます。この動作モードは、エンドポイントが物理的なネットワーク (通常、イーサネットで接続) に接続した際に、ワイヤレスアダプタかモデムのどちらかが無効になることで作動します。エンドポイントを物理的なネットワークから切り離すと、シームレスにワイヤレスアダプタやモデムは再度有効になります。
- ポリシーを適用する前に、ブロックするデバイスの設定が適切であることを確認してください。特に、Wi-Fi やネットワークデバイスに関しては、すべての使用ケースを考慮するようにしてください。 注意 ポリシーの変更は、Sophos Enterprise Console サーバーからネットワーク経由でコンピュータに適用されます。したがって、一度ネットワークが遮断されると、それ以降サーバーから送信される設定をコンピュータで受け入れられなくなるため、Sophos Enterprise Console からブロックを解除することはできません。