全般設定

ポリシー設定 説明
設定のロード
ポリシーのループバック マシン設定の再実行

ポリシーのループバック」フィールドで「マシン設定の再実行」を選択し、そのポリシーがマシンから取得したものである場合 (ユーザー ポリシーの「マシン設定の再実行」は無効)、最後にこのポリシーが再び実装されます。すべてのユーザー設定が上書きされ、マシン設定が適用されます。

ユーザー設定を無視

ポリシーのループバック」フィールドでポリシー (マシン ポリシー) に対して「ユーザー設定を無視」を選択し、そのポリシーがマシンから取得したものである場合、マシン設定のみが分析されます。ユーザー設定は分析されません。

ループバックなし

ループバックなし」は標準の動作です。ユーザー ポリシーがマシン ポリシーよりも優先されます。

「ユーザー設定を無視」設定と「マシン設定の再実行」設定が分析される方法

有効なポリシー割り当てが存在する場合、最初にマシン ポリシーが分析され統合されます。さまざまなポリシーを統合した結果「ポリシーのループバック」で「ユーザー設定を無視] 属性になる場合、ユーザーに適用されるはずだったポリシーは分析されなくなります。つまり、ユーザーに対して、マシンと同じポリシーが適用されます。

「ポリシーのループバック」で「マシン設定の再実行」値が適用される場合、個々のマシン ポリシーが統合された後に、ユーザー ポリシーがマシン ポリシーと結合されます。統合後、マシン ポリシーが書き換えられ、すべてのユーザー ポリシー設定を上書きします。つまり、両方のポリシーに設定が存在する場合、マシン ポリシーの値がユーザー ポリシーの値を上書きします。個々のマシン ポリシーを統合した結果、「未構成」になる場合、設定の優先順位は次のとおりです。ユーザー設定がマシン設定よりも優先されます。
転送率
サーバーへの接続の間隔 (分) SafeGuard Enterprise Client が SafeGuard Enterprise Server にポリシー (変更) の問い合わせを送信する間隔を分単位で指定します。
注: 多数のクライアントがサーバーに同時に接続するのを防ぐために、通信は設定された接続間隔の +/- 50% の間隔で実行されます。例: 「90分」に設定すると、45分から 135分の間隔ごとにサーバーとの通信が行われます。
フィードバック

Sophos SafeGuard® の品質向上のために匿名で使用状況データを送信する

ソフォスでは、常に SafeGuard Enterprise の品質向上に努めています。この目的で、お客様から定期的にソフォスに送信される、匿名化されたデータを活用しています。このデータは、製品を向上する目的でのみ使用されます。収集したデータによってお客様やマシンが特定されることはありません。また機密情報は送信されません。

データはすべて匿名化されて送信されるため、データの収集機能は、デフォルトで有効化されています。

このオプションを「いいえ」に設定すると、使用状況データはソフォスに送信されません。

ログ
フィードバックするまでのイベント数 Win32 サービスの「SGM LogPlayer」として実装されているログ システムは、SafeGuard Enterprise で生成されるログを集中管理用データベースに収集し、ローカルのログファイルに保存します。これらのファイルは、ローカルキャッシュの「Auditing」ディレクトリ内の SGMTransLog に置かれます。ファイルは転送メカニズムに転送され、SafeGuard Enterprise サーバーを介してデータベースに送られます。転送は、転送メカニズムによりサーバーへの接続が確立されると実行されます。したがって、接続が確立されるまで、ログ ファイルのサイズが増大していきます。各ログ ファイルのサイズを制限するために、ポリシーでログ エントリの最大数を設定できます。事前に設定されたエントリ数に達すると、ログ出力システムはログ ファイルを SafeGuard Enterprise サーバーの転送キューに置き、新しいログ ファイルを開始します。
カスタマイズ
クライアントで使用される言語 エンドポイントで SafeGuard Enterprise の設定を表示する言語。

対応している言語を選択するか、エンドポイントの OS と同じ言語を指定することが可能です。

ログオン復旧
Windows ローカル キャッシュの破損後、ログオン復旧をアクティブにする Windows ローカル キャッシュは、エンドポイントとサーバー間でデータ交換するための開始および終了ポイントです。ここに、すべての鍵、ポリシー、ユーザー証明書、および監査ファイルが格納されます。ローカル キャッシュに格納されたデータはすべて署名されていて、手動で変更することはできません。

デフォルトでローカル キャッシュが破損した後のログオン復旧は非アクティブです。つまり、ローカル キャッシュはバックアップから自動的に復元されます。この場合、Windows ローカル キャッシュの修復に、チャレンジ/レスポンスは必要ありません。Windows ローカル キャッシュがチャレンジ/レスポンスを通じて修復される場合は、このフィールドを明示的に「はい」に設定します。

Local Self Help
Local Self Help の有効化 ユーザーがパスワードを忘れた場合に、Local Self Help を使用して自分のエンドポイントにログオンすることを許可するかどうかを決定します。Local Self Help を使用すると、ユーザーは SafeGuard Power-on Authentication で、指定された数の以前に定義された質問に答えることによってログオンできます。電話もインターネット接続も使用できない場合でも、ユーザーは自分のコンピュータに再びアクセスできるようになります。
注: ユーザーが Local Self Help を使用できるようにするには、Windows への自動ログオンを有効にする必要があります。そうしないと、Local Self Help が機能しません。
回答の最小長 Local Self Help のために回答の最低文字数を定義します。
Windows の「ようこそ」テキスト エンドポイントで Local Self Help ウィザードを起動したときに最初のダイアログに表示されるカスタム テキストを指定します。ここでテキストを指定する前に、「ポリシー」ナビゲーション ペインの「 テキスト」で、テキストを作成、登録する必要があります。
ユーザーが独自の質問を定義できる セキュリティ担当者は、回答される一連の質問を一元的に定義し、ポリシーを介してそれをエンドポイントに配布できます。ただし、独自の質問を定義する権限をユーザーに付与することもできます。ユーザーに独自の質問を定義することを許可するには、オプション「はい」を選択します。
チャレンジ/レスポンス (C/R)
C/R によるログオン復旧を有効にする チャレンジ/レスポンスを通じて自分のコンピュータに再びアクセスできるようになるために、SafeGuard POA (Power-on Authentication) でユーザーにチャレンジの生成を許可するかどうかを指定します。

はい: ユーザーはチャレンジを生成できます。この場合、ユーザーは緊急時にチャレンジ/レスポンスを通じて自分のコンピュータに再びアクセスできるようになります。

いいえ: ユーザーはチャレンジの発行を許可されていません。この場合、ユーザーは緊急時に自分のコンピュータに再びアクセスできるようにするための C/R を開始できません。

Windows への自動ログオンを許可する チャレンジ/レスポンスを使用して認証を行ったユーザーに、Windows への自動ログオンを許可します。

はい: ユーザーは Windows に自動的にログオンします。

いいえ: Windows ログオン画面が表示されます。

: ユーザーがパスワードを忘れた場合、チャレンジ/レスポンスの実行後、SafeGuard Enterprise では SafeGuard Enterprise パスワードなしでユーザーがエンドポイントにログオンできます。この場合、Windows への自動ログオンはオフになっており、Windows のログオン画面が表示されます。ユーザーは自分の SafeGuard Enterprise パスワード (Windows パスワードと同じ) を知らないため、ログオンできません。「はい」を選択すると、自動ログオンが許可され、ユーザーは Windows のログオン画面で足止めされなくなります。

情報テキスト SafeGuard POA でチャレンジ/レスポンスが開始されたときに情報テキストを表示します。例: 「サポート デスク (電話 01234-56789) にご連絡ください。」

ここでテキストを指定する前に、「ポリシー」ナビゲーション ペインの「テキスト] で、表示するテキストをテキスト ファイルとして作成する必要があります。

イメージ
  前提条件:

新しい画像は、SafeGuard Management Center の「ポリシー」ナビゲーション ペインの「イメージ」で登録する必要があります。画像は登録後のみに使用します。対応している形式: .BMP、.PNG、.JPEG

POA の背景イメージ

POA の背景イメージ (低解像度)

SafeGuard Enterprise の青い背景を、カスタム版背景イメージで置き換えます。たとえば、SafeGuard POA および Windows ログオンで自社のロゴを使用することができます。すべての背景ビットマップの最大ファイル サイズ: 500KB

標準:

  • 解像度: 1024x768 (VESA モード)

  • 色: 制限なし

低:

  • 解像度: 640x480 (VGA モード)

  • 色: 16色

POA のログオン イメージ

POA のログオン イメージ (低解像度)

SafeGuard POA のログオン時に表示される SafeGuard Enterprise のイメージを、企業のロゴなど、カスタム版イメージで置き換えます。

標準:

  • 解像度: 413 x 140 ピクセル

  • 色: 制限なし

低:

  • 解像度: 413 x 140 ピクセル

  • 色: 16色

ファイル暗号化
信頼するアプリケーション File Encryption や SafeGuard Data Exchange を使ったファイル ベースの暗号化では、アプリケーションを「信頼するアプリケーション」と指定して、暗号化ファイルへのアクセスを許可することができます。これは、たとえば、ウイルス対策ソフトが暗号化ファイルを検索する場合などに必要です。

このフィールドのエディタのリストボックスに、信頼するアプリケーションとして定義するアプリケーションを入力します。アプリケーション名は、完全修飾パスとして指定する必要があります。

無視するアプリケーション File Encryption や SafeGuard Data Exchange を使ったファイル ベースの暗号化では、アプリケーションを「無視するアプリケーション」と指定して、透過的な暗号化/復号化から除外することができます。たとえば、バックアッププログラムを無視するアプリケーションに指定すると、このプログラムによってバックアップされた暗号化データは復号化されません。

このフィールドのエディタのリストボックスに、無視するアプリケーションとして定義するアプリケーションを入力します。アプリケーション名は、完全修飾パスとして指定する必要があります。

無視するデバイス File Encryption や SafeGuard Data Exchange を使ったファイル ベースの暗号化では、ファイル ベースの暗号化からデバイス全体 (例: ディスク) を除外することができます。

エディタのリストボックスで、「ネットワーク」を選択して、事前に指定されたデバイスを選択するか、デバイス名を入力して、特定のデバイスを暗号化から除外します。

永続暗号化を有効にする File Encryption や SafeGuard Data Exchange を使ったファイル ベースの暗号化では、永続暗号化を設定することができます。永続暗号化の場合、暗号化ルールが適用されていない場所が保存先であっても、暗号化ファイルのコピーは暗号化されます。

このポリシーの設定は、デフォルトで有効化されています。

ユーザーはデフォルトの鍵を設定できる Cloud Storage を使ったファイル ベースの暗号化では、暗号化のためのデフォルトの鍵を、ユーザーが設定することができるかどうかを設定できます。許可する場合、「デフォルトの鍵を設定する」コマンドが、Cloud Storage 同期フォルダの Windows エクスプローラのショートカット メニューに追加されます。ユーザーはこのコマンドを使用して、暗号化する同期フォルダごとに、異なるデフォルトの鍵を指定することができます。
メールアドインの設定
メールのアドインを有効にする

SafeGuard Enterprise にある Microsoft Outlook のアドインを使用すると、メールの添付ファイルを簡単に暗号化できます。

このオプションを「はい」に設定すると、ユーザーが添付ファイルのあるメールを送信するたびに、添付ファイルの処理について、ユーザーの操作が必要になります。

さらに、ドメインを指定し、そのドメインに添付ファイルが送信された場合の対処方法を指定することもできます。

ホワイトリストに登録済みドメインの設定
ホワイトリストに登録済みのドメインの暗号化方法

添付ファイルの処理方法をドロップダウンリストから選択します。

暗号化する: 指定されたドメインに送信するメールの添付ファイルは、すべて暗号化されます。ユーザーに確認メッセージは表示されません。

暗号化しない: 指定されたドメインに送信するメールの添付ファイルは、暗号化されません。ユーザーに確認メッセージは表示されません。

変更しない: 暗号化されたファイルは暗号化されたままで送信され、平文ファイルは平文のままで送信されます。ユーザーに確認メッセージは表示されません。

常に確認する: ユーザーが、添付ファイルのあるメールを指定されたドメインに送信するたびに、添付ファイルの処理について確認メッセージが表示されます。

ドメインのホワイトリスト

暗号化方法を指定するドメインを入力します (複数可)。ドメインを複数入力する場合は、コンマで区切って入力します。ワイルドカード文字を使用したり、ドメインの一部のみを入力することはできません。