新規ポリシーの作成 (Windows)
新しいポリシーを作成するには、次の手順を実行します。
1. [新規ポリシーの作成] > [Windowsポリシー]の順にクリックします。
2. 一般設定を行います。
A. ポリシー名 – ポリシー名を割り当てます。
B. 更新モード – 希望するアプリケーション更新モードを選択します。
~ 半自動 – このポリシーのデフォルト設定は、メンテナンスを月曜日から土曜日の午前0時に繰り返し、アプリケーションを[自動更新]、Windows Updateを[自動インストール]するというものです。
~ 手動 – このポリシーを選択すると、[スケジュール]および[繰り返し]オプションが無効になります。アプリケーションは[手動更新]に設定され、Windows Updateは設定されません。
~ スケジュール済み – このポリシーのデフォルト設定は、メンテナンスを月曜日から土曜日の午前0時に繰り返し、アプリケーションを[スケジュール設定による更新]、特定のWindows Updateのみを[自動インストール]にするというものです。[パッチスキャンの頻度]は[使用可能になったら、Windows Updateをダウンロードして準備を整えます。]に設定されます。
~ カスタム ‒ このポリシーのデフォルト設定は、メンテナンスを月曜日から⼟曜日の午前0時に繰り返し、アプリケーションについては[⾃動更新]、[⼿動更新]、[スケジュール設定による更新]、[バージョンの保護]を組み合わせ、特定のWindows Updateのみを[⾃動インストール]にするというものです。[パッチスキャンの頻度]は[使⽤可能になったら、Windows Updateをダウンロードして準備を整えます。]に設定されます。
~ バージョンの保護 – このポリシーを選択すると、[スケジュール]および[繰り返し]オプションが無効になります。アプリケーションは[バージョンの保護]に設定され、Windows Updateはすべて[拒否]となります。コンピュータにインストールされた後、アプリが最新バージョンに更新されることはありません。
C. スケジュールモード – 希望のモードを選択してメンテナンスを開始します。[スケジュールの指定 – 曜日]、[1日1回]、[スケジュールの指定 – 月]から選択できます。
 | メンテナンス期間は最大3時間です。 |
[スケジュールの指定 – 曜日]を選択する場合は、以下のオプションを設定します。
~ 時間 – メンテナンス開始の希望時刻をドロップダウンリストから選択するか、具体的な時刻を入力します。
~ 繰り返し – 繰り返しメンテナンスを実行する曜日を選択します。
[1日1回]を選択する場合は、以下のオプションを設定します。
~ 起動時、X分後にメンテナンスモードを開始する – 時間は最長60分まで設定できます。
[スケジュールの指定 – 月] を選択する場合は、 以下のオプションを設定します。
~ 時間 – メンテナンス開始の希望時刻をドロップダウンリストから選択するか、具体的な時刻を入力します。
~ 日付 – 毎月のメンテナンスを実行する日付を選択します。1~28 の日付を指定してください。
D. コンピュータがメンテナンスモードになったことをユーザーに通知する – このオプションを有効にすると、コンピュータがメンテナンスモードになる際にユーザーへの通知を行います。
E. 再通知の許可 – このオプションを選択すると、ユーザーによるメンテナンスモードの再通知を許可。
F. パスワード – [Deploy Agentをアンインストールするためのパスワード保護を有効化]チェックボックスをオンにし、Deploy Agentをアンインストールするためのパスワードを割り当てます。パスワード保護の有効化を選択した場合は、パスワードを入力します。
G. プロキシ – プロキシサーバーを使用してインターネットに接続する場合は、[プロキシの有効化]チェックボックスをオンにし、プロキシサーバーの設定を指定します。
~ プロキシサーバーの情報 – アドレスとポートの値を指定します。
~ ユーザー認証 – プロキシの認証が必要な場合は、[プロキシサーバーは認可が必要です]チェックボックスをオンにします。認証タイプとユーザー名、パスワード、ドメインを選択するか、それぞれ値を指定します。
3. アプリケーションを設定します – アプリケーション更新モードを指定します。[ショートカットを無効にする]および[自動更新を無効にする]という設定も可能です。
[ショートカットを無効にする]および[自動更新を無効にする]は、Faronics Deployを使ってインストールしたアプリにのみ有効です。
4. Windows Updateを設定します。
Windows Updateを管理しない – このオプションを有効にすると、DeployはWindows Updateのダウンロード方法を管理しません。
A. Windows Updateの設定 – インストールする更新の種類と、インストールステータスを選択します。
Windows Updateの種類
~ 重要な更新 – 特定の問題を修正するために広範にリリースされる修正策で、セキュリティに無関係の重大なバグに対処するための更新。
~ セキュリティ更新 – 製品特有のセキュリティ関連の脆弱性に対処するために広範にリリースさる修正策。セキュリティの脆弱性は評価を通じて、その深刻度により[緊急]、[重要]、[中]、[低]に分類されます。
~ 定義の更新 – 広範にリリースされ頻繫に行われるソフトウェア更新で、悪質なコードやフィッシングサイト、ジャンクメールなど特定の属性をもつオブジェクトの検出によく使われる、製品の定義データベースへの追加情報を含んでいます。
~ ロールアップの更新 – 検証済みのホットフィックスやセキュリティ更新、重要な更新を累積し、簡単に展開できるようひとつにまとめた更新パッケージ。ロールアップは一般に1つの領域(セキュリティなど)または製品の1コンポーネント(Internet Information Server(IIS)など)に的を絞って提供されます。
~ サービスパック – 検証済みのホットフィックスやセキュリティ更新、重要な更新、その他更新を累積しひとつにまとめたもの。製品のリリース以来、内部で発見された問題の修正策を含んでいることもあります。また、顧客が要求した設計上の変更点や機能を限定的に含んでいることもあります。
~ ツール – 1つのタスクまたは一連のタスクを完了するためのユーティリティまたは機能。
~ 機能パック – 最初は製品リリースの対象外として配布され、普通その後のフルリリースで含まれることになる新たな機能。
~ 更新 – 特定の問題を修正するため広範にリリースされ、セキュリティに無関係の重大でないバグに対処する修正策。
~ ドライバ – デバイスの入出力の低い方の値を制御するソフトウェア。
~ Microsoft – Microsoftアプリケーションの更新。
~ アップグレード – Windowsオペレーティングシステムの機能更新。
インストールステータス
~ 自動インストール – このオプションを選択すると、カテゴリパッチを自動的にインストールできます。
~ 自動インストールの繰延 – このオプションを選択すると、[自動インストール]に設定されている更新をリリース日から最大XX日延期できます。
~ 拒否 – このオプションを選択すると、カテゴリパッチのインストールを拒否できます。
使用可能になったら、Windows Updateをダウンロードして準備を整えます – このオプションを有効にすると、メンテナンスモード以外のときに更新をダウンロードし、メンテナンス開始時にインストールできます。
B. 動作の再起動の設定
~ ユーザーがログオンしている場合はインストール前に自動再起動を強制する – このオプションを有効にすると、ユーザーがログオンしている状態でコンピュータがメンテナンスに入った場合に自動再起動を強制できます。これを選択している場合、ユーザーは[コンピュータの定期メンテナンスが予定されている]という旨の通知を受信します。
~ アップデートが完了したら再起動の延期を許可(必要に応じて)
* 自動的に再起動しない – このオプションを有効化すると、アップデート完了後もコンピュータは再起動されません。
* X回まで再起動を延期 – このオプションを有効化すると、ユーザーによるコンピュータの再起動の延期を5回まで許可します。
C. パッチスキャンの頻度 – ドロップダウンリストから値を選択して、パッチスキャンの実行頻度を設定できます。
~ 24時間ごと
~ 12時間ごと
~ 6時間ごと
Windows 10の追加設定
Windows 10では、機能の更新または品質更新のインストールが必要な場合で更新のインスト-ル先となる対象チャンネルがある場合に設定を行います。
> 半期チャネル(対象指定) – このオプションを選択すると、メジャーバージョンのリリースを組織全体に展開する前に一部のコンピュータのみにインストールして評価できます。
> 半期チャネル – このオプションを選択すると、すべてのコンピュータに更新をインストールできます。
機能の更新は、新たな機能と改善点を含んでいます。この更新は最大365日延期できます。
品質更新は、セキュリティ上の改善点を含んでいます。この更新は最大30日延期できます。
5. アンチウイルスを設定する – [Anti-Virusを有効化]をクリックします。
Anti-Virus
> Anti-Virusの設定
~ アクティブ保護の有効化 – 選択すると、このポリシーを使用するすべてのコンピュータのリアルタイム保護が有効になります。
 | コンピュータでリアルタイム保護ソフトウェアが実行されていないことを確認してください。これには、サードパーティのウイルス対策アプリケーションも含まれます。 |
* ユーザーによるアクティブ保護のスイッチオフを許可 – 選択すると、ユーザーがアクティブ保護をオフにできます。
* アクティブ保護アラートを表示する – 選択すると、アクティブ保護のアラートが表示されます。
> クリーンアップアクション – 感染したファイルに対するデフォルトアクションを選択できます。
~ クリーン/隔離 – 脅威が検出されると感染ファイルの駆除を試行し、駆除に失敗した場合はファイルを隔離します。駆除できなかった感染ファイルは隔離されますが、削除はされません。
~ クリーン/削除 – 脅威が検出されると感染ファイルの駆除を試行し、駆除に失敗した場合はファイルを削除します。駆除できなかった感染ファイルはコンピュータから削除されます。
~ 隔離からX日以上経過した項目を削除します。隔離場所に項目を保持する日数を指定します。デフォルトは3日です。最長365日です。
> スキャンのスケジュール – このポリシーに対してスケジュール設定するスキャンの種類を有効にします。
~ クイックスキャン – クイックスキャンを行う場合は[編集]アイコンをクリックします。以下のオプションを設定し、[更新]をクリックします。
* クイックスキャンを有効化する – クイックスキャンを有効化するには、このチェックボックスを選択します。
* 開始 – 開始時間を指定します。
* 終了 – 終了時間を指定します。開始時間から終了時間までに設定できる最長時間は23.59時間です。終了時間前にすべてのファイルがスキャンされた場合、その時点でスキャンは終了します。終了時間前にスキャンが完了しなかった場合、スキャンは終了時間に中止されます。スキャンを確実に完了するには、[スキャンが完了した時点]を選択します。
* 曜日 – スケジュール設定したクイックスキャンを実行する曜日を選択します。
~ ディープスキャン – ディープスキャンを行う場合は[編集]アイコンをクリックします。以下のオプションを設定し、[更新]をクリックします。
* ディープスキャンを有効化する – ディープスキャンを有効化するには、このチェックボックスを選択します。
* 開始 – 開始時間を指定します。
* 終了 – 終了時間を指定します。開始時間から終了時間までに設定できる最長時間は23.59時間です。終了時間前にすべてのファイルがスキャンされた場合、その時点でスキャンは終了します。終了時間前にスキャンが完了しなかった場合、スキャンは終了時間に中止されます。スキャンを確実に完了するには、[スキャンが完了した時点]を選択します。
* 曜日 – スケジュール設定したディープスキャンを実行する曜日を選択します。
> スキャンオプション
~ スケジュール設定したスキャンの起動時刻をx分無作為化する – 分数を指定します。スケジュール設定したスキャンの開始時間を無作為化することで、ネットワークトラフィックに及ぼす影響を抑制します。複数のシステムのスキャンが同時に開始されると、ネットワークトラフィックに影響を与える可能性があります。
スキャンが失敗した場合は、次回起動時に次の手順を実行します。スケジュール設定した時間にコンピュータがオンになっていない場合のスキャン実行方法について、次のオプションのいずれかを選択します。
~ クイックスキャンを実行しない – 起動時にクイックスキャンを実行しない場合は、このオプションを選択します。
~ システムが起動してから約x分後にクイックシステムを実行する – Anti-Virusにクイックスキャンを実行させる、システム起動後の分数を指定します。
~ クイックスキャンを実行するようにユーザーに指示する – クイックスキャンを実行するようにユーザーに指示するには、このオプションを選択します。
> 詳細オプション
スキャンの種類ごとに、次のオプションを選択します(スキャンの種類によってはグレー表示されているオプションもあります)。
~ ルートキット検出を有効化 – コンピュータがルートキットに感染しているかどうかを検出します。
~ アーカイブ内をスキャン – zipファイルのコンテンツをスキャンします。スキャンに.RARファイルや.ZIPファイルなどのアーカイブファイルを含める場合に選択します。.RARファイルに感染したファイルが含まれていることがわかった場合、この.RARは隔離されます。.ZIPファイルに感染ファイルが含まれていることがわかった場合、感染ファイルは隔離されて.TXTファイルに置換され、ウイルスへの感染と隔離を示すテキストが表示されます。[ファイルサイズの制限]を指定します。
~ USBなどのリムーバブルドライブを除外する – スキャン対象から、リムーバブルドライブを除外します。外付けのハードディスクやUSBドライブなどが、スキャンされなくなります。
~ レジストリをスキャン – レジストリをスキャンして脅威を検出します。
~ 実行中のプロセスをスキャン – コンピュータで実行中のすべてのプロセスをスキャンします。
~ デフォルトに戻す – 詳細オプションのデフォルト設定をすべて復元するには、[デフォルトに戻す]をクリックします。
> スキャン例外
安全とわかっているファイルまたはフォルダを指定します。ファイルまたはフォルダを追加することで、Anti-Virusはファイルを不正または感染済みとして報告しません。次のリストには、ウイルスとして報告されない項目が表示されます。
i. [+]をクリックします。
ii. [例外の追加]ダイアログで、[フルパスによるファイル]または[フォルダ全体]を選択します。[参照]をクリックしてファイルまたはフォルダを選択し、[OK]をクリックします。
> USBデバイス
~ USBデバイスの装着時にスキャンする – このオプションを選択すると、USBデバイスの装着時にスキャンが実行されます。次のいずれかのオプションを選択します。
* USBスキャンを行うために、進行中のスキャンを中断する – USBデバイスの装着時に進行中のスキャンを中断し、USBデバイスをスキャンするには、このオプションを選択します。進行中のスキャンは自動的には再開されないため、手動で再開する必要があります。
* すでにスキャンが行われている場合、USBスキャンを実行しない – USBデバイスの装着時に進行中のスキャンが中断されないようにするには、このオプションを選択します。進行中のスキャンが終了したら、USBデバイスを手動でスキャンする必要があります。
~ 進行中のUSBスキャンを抑制する – USBデバイスの装着時にAnti-Virusがスキャン中であることを示すメッセージを非表示にするには、このオプションを選択します。Anti-Virusのインターフェイスは開かず、システムトレイのアイコンにスキャン中であることを示すツールチップは表示されません。ウイルスが検出されるとスキャン終了時にユーザーに通知されますが、検出されなかった場合はスキャンの実行に関する通知は表示されません。
[USBデバイスの装着時にスキャンする]オプションが選択されていない場合、このオプションは無視されます。
> Anti-Virusの削除 – [Anti-Virusのアンインストール]をクリックすると、このポリシーのすべてのコンピュータからAnti-Virusが削除されます。
ファイアウォール保護
> ファイアウォール保護設定
~ ファイアウォール保護を有効化する – ファイアウォール保護を有効化するには、このチェックボックスを選択します。
ファイアウォール保護により、ハッカーや悪意のあるソフトウェアがインターネットまたはネットワークを通じてコンピュータにアクセスすることを防ぎます。
* ファイアウォールの無効化を許可する – ユーザーにコンピュータのファイアウォール無効化を許可するには、このオプションを選択します。
* ファイアウォールのログ記録を有効化する – ファイアウォールに関連するすべてのアクションのログを作成するには–このオプションを選択します。
> ファイアウォールのルール – プログラムルール、ネットワークルール、詳細ルール、侵入ルール、信頼されたゾーンの設定を行います。
~ プログラムルール
プログラムルールは、ネットワークアクティビティとアプリケーションの間のファイアウォールのアクションを定義します。プログラムルールはデフォルトのルールよりも優先します。デフォルトのルールは編集できますが、削除はできません。
[+]をクリックして、新しいプログラムルールを追加します。オプションを指定または選択し、[OK]をクリックします。次のパラメータが表示されます。
* 名前 – ルールの名前。
* プログラム – フルパスと拡張子を含む、プログラムの名前。
* 信頼されたゾーン受信 – 信頼されたゾーンのプログラムへの通信に対して取られるアクション([許可]、[ブロック])。
* 信頼されたゾーン送信 – 信頼されたゾーンのプログラムからの通信に対して取られるアクション([許可]、[ブロック])。
* 信頼されないゾーン受信 – 信頼されないゾーンのプログラムへの通信に対して取られるアクション([許可]、[ブロック])。
* 信頼されないゾーン送信 – 信頼されないゾーンのプログラムからの通信に対して取られるアクション([許可]、[ブロック])。
> ネットワークルール
ネットワークルールは、ネットワークアクティビティでのファイアウォールのアクションを定義します。ネットワークルールは編集できますが、削除はできません。次の項目のネットワークルールを選択します。
名前 | 説明 | 信頼された受信ゾーン | 信頼された送信ゾーン | 信頼されない受信ゾーン | 信頼されない受信ゾーン |
|---|---|---|---|---|---|
IGMP | インターネットグループ管理プロトコル | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 |
Ping | PingおよびTracert | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 |
OtherIcmp | PingおよびTracert | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 |
DHCP | 動的ホスト構成プロトコル | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 |
DNS | ドメインネームシステム | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 |
VPN | 仮想プライベートネットワーク | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 |
LDAP | ライトウェイトディレクトリアクセスプロトコル | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 |
Kerberos ケルベロス | ケルベロスプロトコル | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 |
NETBIOS | Microsoftファイルおよびプリンタの共有 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 | [許可]または[ブロック]を選択 |
> 詳細ルール
詳細ルールは、指定したアプリケーション、ポート、またはプロトコルに対するファイアウォールのアクションを定義します。これには、1つまたは複数のプロトコル、ローカルポートまたはリモートポート、およびトラフィックの方向が含まれる場合があります。詳細ルールは、追加、編集、または削除できます。
詳細ルールはリスト順に処理されます。ユーザー定義の詳細ルールは、予め定義された詳細ルールよりも常に優先されます。
[+]をクリックして、新しい詳細ルールを追加します。オプションを指定または選択し、[OK]をクリックします。[詳細ルール]ペインに次のパラメータが表示されます。
~ 名前 – ルールの名前。
~ プログラム – プログラムとパスの名前。
~ アクション – 指定されたアプリケーション、ポート、またはプロトコルからの通信に対して、ファイアウォールが取るアクション([許可]、[ブロック])。
~ 方向 – 通信の方向([双方向]、[受信]、[送信])。
~ プロトコル – プロトコルを選択し、[追加]をクリックします。
~ ローカルポート – ローカルポートの詳細。
~ リモートポート – リモートポートの詳細。
> 信頼されたゾーン
信頼されたゾーンは、信頼されたコンピュータ、ネットワーク、IPアドレスを指定します。信頼されたゾーンを出入りするネットワークトラフィックはブロックされません。信頼されたゾーンとインターネット(信頼されていない)ゾーンは、プログラムとネットワークルールによって異なる取り扱いができます。
[+]をクリックして、新しい信頼されたゾーンを追加します。オプションを指定または選択し、[OK]をクリックします。次のパラメータが表示されます。
~ 名前 – 信頼されたゾーンの名前。
~ 説明 – 信頼されたゾーンの説明。
~ タイプ – 信頼されたゾーンのタイプ([IPアドレス]、[ネットワーク])。
コンピュータの設定
> ユーザーアクション
~ タスクバーにアイコンを表示 – Faronics Anti-Virusアイコンをコンピュータのタスクバーに表示するには、このチェックボックスを選択します。チェックボックスを選択しないと、Faronics Anti-Virusはユーザーに表示されません。
~ 手動スキャンを許可する – ユーザーがコンピュータでAnti-Virusのスキャンを手動で開始できるようにするには、このチェックボックスを選択します。
~ ユーザーによるスキャン結果への対応を許可する – ユーザーがスキャン結果に応じたアクションを実行できるようにするには、このチェックボックスを選択します。
~ ローカルで開始したスキャンのユーザーによる中止を許可する – ユーザーがコンピュータでローカルに開始されたスキャンを中止できるようにするには、このチェックボックスを選択します。
> キャッシュサーバー
Anti-Virusキャッシュサーバーとして少なくとも1台のコンピュータを有効にする必要があります。[ コンピュータのアクションツールバー]を参照してください。
~ Anti-Virus Cache Serverを使用する- ウイルス定義をダウンロードしてすべてのコンピュータに配布するために、ネットワークにAnti-Virus Cache Serverを設定している場合は、このチェックボックスを選択します。
* サーバー名 – Anti-Virus Cache Serverの名前を指定します。
* サーバーIP – Anti-Virus Cache ServerのIPアドレスを指定します。
~ これまでのx時間にAnti-Virus Cache Serverとの通信がなかった場合、Web Serverに接続する – 管理されたコンピュータが、何らかの理由でAnti-Virus Cache Serverにアクセスできないときに、インターネットを通じてWeb Serverに接続する必要がある場合、このオプションを選択します。
> Windowsセキュリティセンター
~ Windows セキュリティセンターに統合 – Anti-VirusをWindowsセキュリティセンターに統合するには、このチェックボックスを選択します。Windowsセキュリティセンターは、Anti-Virusが有効化または無効化されると、システムトレイでそのことを通知します。
> アクションのログ – [アクションのログ]を有効にするには、チェックボックスを選択します。
6. [保存]をクリックします。