10:DeviceLockをサイレントインストールするには?

今回のテーマ ・・・ DeviceLockをサイレントインストールするには

Question: やりたいこと

多くのスタンドアロン(ネットワークに繋がない)PCを使用していますが、使用者によるPCからのデータの持ち出しを防止するため、DeviceLockを導入することにしました。

スタンドアロン環境のため、ソフトウェアを一台一台インストールする必要があることは理解しています。ただ、台数が多いのでなるべく手間のかからない方法で行ないたいと思っています。インストール内容はDeviceLockのエージェント(DeviceLock Service)に加え管理ツールも必要、デバイス制御ポリシーは始めから設定された状態で、インストール後直ちにポリシーが有効になるようにしたいです。

良いインストール方法はありますか。

Answer: こうすればできる

DeviceLockには「サイレントインストール」という、作業者の手間を最小限にできる、半自動でインストールする方法が用意されています。

サイレントインストールには事前の準備が必要ですが、インストール自体は命令ひとつで実行され、操作は簡単です。

また、DeviceLockエージェントや管理ツールのインストール有無が選択できるなどのオプションパラメーターが用意されているのに加え、インストール中に、事前に設定済みのDeviceLock Service設定ファイルを読み込ませたり、ライセンスを適用することもできます。

Step: 準備

サイレントインストールを行なう前に、必要なファイルを用意し、「どのようなインストールを行なうか」を決めておく必要があります。

1.DeviceLockプログラムセット(メディアキットまたはダウンロードにより提供)から以下のファイルを取り出します。

  • setup.exe (DeviceLockインストーラー本体)
  • devicelock.ini (インストールパラメーター記述ファイル)

2.DeviceLockのディストリビューター(ラネクシー)から納品されたDeviceLockのライセンスファイル(*.lic)を用意します。

  • ライセンスファイルの適用は必須ではありません。

3.制御ポリシーを編集するために、任意のPCにDeviceLock管理ツールをインストールします。DeviceLock Service設定エディタを起動し、クライアントに設定したいDeviceLock制御ポリシーを作成して、DeviceLock Service設定ファイル(*.dls)として保存します。

ポリシーの保存方法につきましては「DeviceLockテクニカルガイド 第8回 ポリシーをエクスポート/インポートするには」を参考にしてください。この資料ではDeviceLock管理コンソールを使った場合で説明していますが、DeviceLock Service設定エディタでも保存(エクスポート)作業は同様の操作になります。

  • DeviceLock制御ポリシーの適用は必須ではありません。

4.インストールの方針に従って、devicelock.iniを編集します。devicelock.iniはテキストエディタで編集できます。

設定できるパラメーターにつきましては次項で説明します。

Step: 準備 そのⅡ

devicelock.iniに含まれるパラメーターは、以下の通りです。
テキストエディタでdevicelock.iniを開いて、パラメーターの値を編集してください。
先頭が「;」の行は、コメント行になります。パラメーターを有効にするには、「;」を削除してください。

Service (初期値=1)

DeviceLock Serviceをインストールします。
する場合は「1」、しない場合は「0」にします。

OnlyUpgradeService (初期値=0)

既存の設定を変更せずにDeviceLock Serviceだけをアップグレードします。このパラメーターは、他に指定されている全ての設定を無視して、DeviceLock Serviceを新バージョンにアップグレードすることのみ 行ないます。
する場合は「1」、しない場合は「0」にします。

Manager (初期値=1)

管理ツール(管理コンソール、Enterprise Manager、Service設定エディタ等)をインストールします。
する場合は「1」、しない場合は「0」にします。

Documents (初期値=1)

ドキュメント(ユーザーマニュアル)をインストールします。
する場合は「1」、しない場合は「0」にします。

InstallDir (初期値=なし)

DeviceLockのインストール先フォルダーをフルパスで指定します。
指定がない場合、64ビットOSの場合は「C:\Program Files (x86)\DeviceLock」にインストールします。
指定がない場合、32ビットOSの場合は「C:\Program Files\DeviceLock」にインストールします。
以前にインストールされたDeviceLockが見つかった場合は、同じフォルダーに上書きします。

RegFileDir (初期値=なし)

ライセンスファイル(*.lic)を配置するフォルダーをフルパスで指定します。
指定がない場合、ライセンスの適用はしません。
DeviceLock Serviceだけをインストールする場合は、ライセンスファイルをロードする必要はありません。
ライセンスファイルが必要になるのは、管理ツールおよびMac版、オプション(ContentLock、NetworkLock)の場合です。

FixedPort (初期値=0)

DeviceLock Serviceと管理コンソール間の通信で固定ポートを使用するよう設定するには、TCPポート番号を指定します。
動的ポートを使用するには、「0」を指定します(デフォルトでは、DeviceLock Serviceはポート9132を使用します)。

CreateGroups (初期値=1)

各デバイスタイプに対して特別なローカルユーザーグループである「Allow_Access_To_」を生成します。
(例. フロッピードライブに対して「Allow_Access_To_Floppy」を生成)
する場合は「1」、しない場合は「0」にします。
このグループにローカルユーザーを所属させ、グループ単位でアクセス権の設定やログの取得設定をすると便利です。

SettingsFile (初期値=なし)

あらかじめ用意されたDeviceLock Service設定ファイル(*.dls)の配置場所をフルパスで指定します。
指定がない場合、DeviceLock Service設定ファイルの適用はしません。
インストール中にDeviceLock Service設定ファイルを読み込み、アクセス許可、監査、シャドウイングのルールやアラート等の設定をインストール後直ちにDeviceLock Serviceに適用することができます。

WebConsole (初期値=0)

DeviceLock WebConsoleをインストールします。
する場合は「1」、しない場合は「0」にします。
インストールするとした場合、Apache HTTP Serverがインストールされ、DeviceLock WebConsoleのWebサーバーとして構成されます。

Port (初期値=80)

WebConsoleをインストールする場合、WebサーバーがWebブラウザーからのHTTP要求用に使用するポートを指定します。
指定がない場合、ポート80を使用します。

ServerName (初期値=なし)

WebConsoleをインストールする場合、SSLサポートのためのWebサーバーのホスト名を指定します。

SSLPort (初期値=443)

WebConsoleをインストールする場合、WebサーバーがWebブラウザーからのHTTPS要求用に使用するポートを指定します。
指定がない場合、ポート443を使用します。

SSLKeyFile (初期値=なし)

WebConsoleをインストールする場合、SSLキーファイルまでのフルパスを指定します。

SSLCertFile (初期値=なし)

WebConsoleをインストールする場合、SSL証明書ファイルまでのフルパスを指定します。

Run (初期値=なし)

インストールの正常終了後にプログラム(バッチファイルなど)を実行したい場合、以下のように指定しますRun=C:\mybatchfile.bat

DisableRestart (初期値=1)

セットアッププログラムによって自動再起動が指定されていても、自動再起動を実行しないようにします。
する場合は「1」、しない場合は「0」にします。

Step: 準備 そのⅢ

本件では、devicelock.iniを以下のように編集しました。

  • ※ 「;」で始まる行はコメント行です。

Step: 操作方法

ここでは、操作方法の例を示します。運用される際には、実際の環境に合わせて、ファイル配置場所などを調整してください。

1.以下のファイルを同一のフォルダー(ここでは説明上、「DLSET」とします)に格納し、インストール対象のPCのC:ドライブのルートに配置します。

setup.exe
devicelock.ini
DeviceLockのライセンスファイル(*.lic) ここでは説明上、「devicelock.lic」とします
DeviceLock Service設定ファイル(*.dls) ここでは説明上、「DLsettings.dls]とします

実際にファイルを配置する場所、フォルダー名、ライセンスファイル名、サービス設定ファイル名は任意です。

2.サイレントインストールはバッチファイルからも実行できますが、ここではコマンドプロンプトから実行します。

パラメーター記述ファイル(devicelock.ini)をsetup.exeと同じフォルダーに配置する必要があることに注意してください。

「/s」パラメーターを使用してsetup.exeファイルを起動します(例. c:\DLSET\setup.exe /s)。
なおプログラムをインストールするには、Windowsのローカル管理者権限を持つユーザーで実行する必要があります。

3.コマンドプロンプトを「管理者として実行」から起動します。「C:\DLSET」フォルダーに移動して以下のコマンドを入力し、実行します。

setup.exe /s

インストールコマンドを実行したら、コマンドプロンプトを閉じてもインストールは続行されています。

4.しばらくするとDeviceLockのインストールは終了します。

インストールが終了しても通知は出ませんが、出したい場合、例えば以下のようなスクリプトを作成してdevicelock.ini中の「Run」パラメーターで指定実行することで、インストールの終了時に画面にダイアログを表示することができます。

  • devicelock.ini
    Run=C:\DLSET\END.VBS
  • END.VBS
    wscript.echo “DeviceLockのサイレントインストールが終了しました“

5.必要に応じ、「DLSET」フォルダーとその内容物を削除してください。

以上で、DeviceLockのサイレントインストールは終了です。

Reference: 参考

1.サイレントインストールの場合、DeviceLock管理ツール(DeviceLock管理コンソール、DeviceLock Service設定エディタ、DeviceLock Enterprise Manager)の起動アイコンをインストール中にデスクトップに生成することはできません。必要な場合は、インストール先フォルダーにある実ファイルからショートカットを作成してください。

実ファイルのファイル名は以下の通りです。

  • DeviceLock管理コンソール → DeviceLock Management.msc
  • DeviceLock Service設定エディタ → DeviceLock Service Settings Editor.msc
  • DeviceLock Enterprise Manager → DLEnterpriseManager.exe

2.インストール済みのDeviceLockをサイレントでアンインストールする方法はありません。

DeviceLock Serviceだけであれば、DeviceLock Enterprise Managerから「Service のアンインストール」プラグインの実行でリモートアンインストールすることが可能です。この場合、アンインストール対象のPCの画面には、何も表示されません。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム