cancel
Showing results for 
Search instead for 
Did you mean: 
skubo
Level 9

ePO Hack :条件ごとに異なるポリシーを適用する。(DeviceControlの場合)

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

★★ 以下設定事例はあくまでサンプルの一つですので、活用される場合は自システム用の検証を十分に実施ください。 ★★

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

■事例1

DeviceControlを使用する。

 対象システムのMACアドレスによって、USBデバイスの使用可否を判別させたい場合。

 ⇒  ePOでいくつかの設定を施す必要があります。以下、その一例をあげます。

   なお、ePOが構築されており、対象システムにそのePO配下のMcAfee Agentがインストールされていることが前提となります。

    ePOのインストールについては、以下記事をご参考ください。

     

     

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

■概要

1. システムツリーにて、DeviceControlのポリシーごとにフォルダを作成し、そのフォルダにポリシーを適用する。

2. MACアドレスにより対象システムを絞り込むクエリーを作成する。

3. 2.のクエリーにより絞り込まれたシステムを該当するフォルダへ移動させるサーバタスクを作成する。

4. 3.で作成したサーバタスクを実行する。あるいは、サーバタスクの設定で定期的にタスクを起動する。

 ⇒上記により、1.のクエリで絞り込まれたシステムが、USBをブロックさせるポリシーを持つフォルダへ移動させられ、

  ポリシーを適用されてUSBがブロックされるようになります。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

■詳細

1. システムツリーにて、DeviceControlのポリシーごとにフォルダを作成し、そのフォルダにポリシーを適用する。

  ⇒DLPポリシーマネージャーにてルール(この場合はUSBデバイスをブロックする「Never-USB」)作成

  ⇒作成したルール「Never-USB」をルールセット「Device-Control-Test」に適用

  ⇒ルールセット「Device-Control-Test」を、DLPポリシーの「USB使わせない」に適用

  ⇒DLPポリシーの「USB使わせない」を、「TEST」というフォルダに割り当て

  ⇒当該フォルダへ移動されたシステムに、すぐにポリシーが適用されるようにクライアントタスクを設定しておく。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

2. MACアドレスにより対象システムを絞り込むクエリーを作成する。

  ⇒今回の例では、以下のシステムのうち、MACアドレスが「000C291~」のものを移動対象とする。(対象のグループ名が、現状「CLIENT」となっている。

  ⇒以下、サンプルクエリを作成。

  ⇒クエリ作成完了したので、試しに実行してみると、結果として該当MACアドレスを持つクライアントが抽出される。(「実行」をクリックすると、、、)

  ⇒該当システムが抽出される。(MACアドレスが000C291~)

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

3. 2.のクエリーにより絞り込まれたシステムを該当するフォルダへ移動させるサーバタスクを作成する。

  ⇒クエリーにより絞り込まれた対象を、サブアクションの「システムを移動」により、

   指定したシステムツリーグループ(この場合は「TEST」)に移動させる

  ⇒スケジュールを指定する。

  ⇒保存する。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

4. 3.で作成したサーバタスクを実行する。あるいは、サーバタスクの設定で定期的にタスクを起動する。

  ⇒サーバタスクログを確認する。(ステータスが「完了」になっている。)

  ⇒対象システムのグループ名が「CLIENT」から「TEST」に変更されている事を確認。

  ⇒このことにより、当該フォルダのポリシーが適用されて、このクライアントではUSBの使用ができなくなります。

0 Kudos