0 Replies Latest reply on Oct 11, 2017 2:18 AM by skubo

    ePO Hack :条件ごとに異なるポリシーを適用する。(DeviceControlの場合)

    skubo

      ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

      ★★ 以下設定事例はあくまでサンプルの一つですので、活用される場合は自システム用の検証を十分に実施ください。 ★★

      ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

       

      ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

      ■事例1

      DeviceControlを使用する。

       対象システムのMACアドレスによって、USBデバイスの使用可否を判別させたい場合。

       

       ⇒  ePOでいくつかの設定を施す必要があります。以下、その一例をあげます。

         なお、ePOが構築されており、対象システムにそのePO配下のMcAfee Agentがインストールされていることが前提となります。

       

       

      ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

      ■概要

      1. システムツリーにて、DeviceControlのポリシーごとにフォルダを作成し、そのフォルダにポリシーを適用する。

      2. MACアドレスにより対象システムを絞り込むクエリーを作成する。

      3. 2.のクエリーにより絞り込まれたシステムを該当するフォルダへ移動させるサーバタスクを作成する。

      4. 3.で作成したサーバタスクを実行する。あるいは、サーバタスクの設定で定期的にタスクを起動する。

       

       ⇒上記により、1.のクエリで絞り込まれたシステムが、USBをブロックさせるポリシーを持つフォルダへ移動させられ、

        ポリシーを適用されてUSBがブロックされるようになります。

       

      ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

      ■詳細

       

      1. システムツリーにて、DeviceControlのポリシーごとにフォルダを作成し、そのフォルダにポリシーを適用する。

       

        ⇒DLPポリシーマネージャーにてルール(この場合はUSBデバイスをブロックする「Never-USB」)作成

       

       

       

       

        ⇒作成したルール「Never-USB」をルールセット「Device-Control-Test」に適用

       

       

       

       

        ⇒ルールセット「Device-Control-Test」を、DLPポリシーの「USB使わせない」に適用

       

       

       

       

        ⇒DLPポリシーの「USB使わせない」を、「TEST」というフォルダに割り当て

       

       

       

        ⇒当該フォルダへ移動されたシステムに、すぐにポリシーが適用されるようにクライアントタスクを設定しておく。

       

       

       

       

      ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

      2. MACアドレスにより対象システムを絞り込むクエリーを作成する。

        ⇒今回の例では、以下のシステムのうち、MACアドレスが「000C291~」のものを移動対象とする。(対象のグループ名が、現状「CLIENT」となっている。

       

        ⇒以下、サンプルクエリを作成。

       

       

       

       

       

        ⇒クエリ作成完了したので、試しに実行してみると、結果として該当MACアドレスを持つクライアントが抽出される。(「実行」をクリックすると、、、)

       

        ⇒該当システムが抽出される。(MACアドレスが000C291~)

       

       

       

       

      ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

      3. 2.のクエリーにより絞り込まれたシステムを該当するフォルダへ移動させるサーバタスクを作成する。

       

       

        ⇒クエリーにより絞り込まれた対象を、サブアクションの「システムを移動」により、

         指定したシステムツリーグループ(この場合は「TEST」)に移動させる

       

       

       

       

        ⇒スケジュールを指定する。

       

        ⇒保存する。

       

       

      ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

      4. 3.で作成したサーバタスクを実行する。あるいは、サーバタスクの設定で定期的にタスクを起動する。

       

       

        ⇒サーバタスクログを確認する。(ステータスが「完了」になっている。)

       

        ⇒対象システムのグループ名が「CLIENT」から「TEST」に変更されている事を確認。

       

        ⇒このことにより、当該フォルダのポリシーが適用されて、このクライアントではUSBの使用ができなくなります。