19:DeviceLock管理者を設定するには?

今回のテーマ ・・・ DeviceLock管理者を設定するには

Question: やりたいこと

DeviceLockをドメイン環境で運用していますが、クライアントPCの運用をある程度、使用者の裁量に任せているので、使用者はクライアントPCに対しローカル管理者権限(ドメイン管理者権限ではない)を持っています。

ローカル管理者権限を持っていれば、Windowsにインストールされている各種サービスを停止したりできると思いますが、これを防ぐために、DeviceLockのクライアントサービス(DeviceLock Service)を使用者が勝手に止めたりアンインストールできないように保護することはできるでしょうか。

Answer: こうすればできる

Windowsのローカル管理者によるDeviceLock Serviceの停止やアンインストールを防止するには、「DeviceLock管理者」を設定します。

DeviceLock管理者ユーザーでログオンした場合を除き、クライアントPC使用者はDeviceLock Serviceにアクセスできず、DeviceLock Serviceのポリシー変更、停止やアンインストールができないほか、インストールされたDeviceLockプログラムファイルの改ざんが検知されるなど、DeviceLock Serviceが自分自身を保護します。

Step: 方法

1.DeviceLock管理コンソールを起動して、左ペインの[DeviceLock Service]-[Serviceオプション]と展開し、[DeviceLock管理者]を右クリックして表示される コンテキストメニューから[プロパティ…]を選択し実行します。

2.「DeviceLock管理者」ウインドウが開き、現在の設定が表示されます。

デフォルトではDeviceLock管理者は設定されていないため、上図のように、[デフォルトのセキュリティを有効にする]にチェックが入っているだけで、他の項目は全てグレイアウトしている状態になっています。

3.[デフォルトのセキュリティを有効にする]チェックボックスを外すとその他の項目の 入力が可能になります。

ここで、各チェック項目の概要を説明します。

  • デフォルトのセキュリティを有効にする

    「デフォルトのセキュリティ」とはWindows標準のセキュリティ方式を意味します。このセキュリティ方式では、Windows管理者権限を持つユーザーは、そのWindows内での全権を保有しているため、設定の変更、プログラムの削除、サービスの停止など、全てを行なう権限を持っています。そのためDeviceLockのようなセキュリティソフトも無効化される恐れがあります。

  • アンフックプロテクションを有効にする

    DeviceLock Serviceを意図的に無効にするために使用される可能性があるアンチルートキット技法からDeviceLock Serviceを保護します。この機能を有効にすると、そのコードの整合性がDeviceLockドライバーによって調整されます。違反が検出されると、DeviceLock ServiceによってWindowsが停止し、致命的エラー(BSOD)が発生します。 [ログのみ]にチェックをしている場合、DeviceLockは違反が見つかった時に、致命的エラー(BSOD)を発生させない代わりに、この違反についてのイベントが監査ログに書き込まれます。

  • システム構成ファイルの変更を禁止する

    DeviceLockは、ローカルのhostsファイルを使用してホスト名を解決するため、ローカル管理者権限を持つ悪意のあるユーザーが意図的にhostsファイルを変更してDeviceLockセキュリティポリシーを回避する可能性があります。このようなセキュリティ上のリスクを最小限に抑えるため、DeviceLock Serviceがhostsファイルを保護します。

  • 強力な保全チェックを使用する

    [強力な保全チェックを使用する] チェックボックスにチェックマークを付けるか、チェックマークを外すと、使用する保全チェックのタイプを指定することができます。以下の2つのタイプの保全チェックを実行して、DeviceLock Serviceの実行ファイルの破損を検出することができます。

  1. 単純な保全チェック: DeviceLock Serviceにより、すべての実行ファイルのバージョン情報がチェックされます。このタイプの 保全チェックを指定するには、[強力な保全チェックを使用する]チェックボックスのチェックマークを外します。
  2. 強力な保全チェック: DeviceLock Serviceにより、すべての実行ファイルのデジタル署名が検証されます。このタイプの保全 チェックを指定するには、[強力な保全チェックを使用する]チェックボックスにチェックマークを付けます。強力な保全チェックは、 単純な保全チェックより時間がかかります。

4.DeviceLock管理者を追加するには[追加]ボタンをクリックします。[ユーザー または グループ の選択]ウインドウが開きますので、追加したいユーザーまたはグループを指定します。

この例では、ローカルの「Administrators」グループを指定しています。

5.登録したDeviceLock管理者に、必要に応じてオプションを設定します。

アクセス権
DeviceLock管理者には、与えられる権限に応じて3段階のランクがあります。

  • フルアクセス

    DeviceLockポリシー(アクセス許可、監査、およびその他のパラメーター)を参照・変更したり、DeviceLock Serviceの削除および更新が行なえます。※ DeviceLock管理者リストには、フルアクセス権を持つユーザー/グループが最低1つ必要です。

  • 変更可

    DeviceLockポリシー(アクセス許可、監査、およびその他のパラメーター)を参照・変更したり、DeviceLock Serviceの削除および更新が行なえます。フルアクセスと異なる点は、DeviceLock管理者リストの変更(追加・削除)やリストの既存ユーザー/グループのパラメーター(アクセス権・シャドウデータアクセス)の変更をすることができない点です。

  • 読込み専用

    DeviceLockポリシー(アクセス許可、監査、およびその他のパラメーター)の参照のみ行なうことができます。定義されたパラメーターを参照することはできますが、変更したり、DeviceLock Serviceの削除や更新を行なうことはできません。

シャドウデータアクセス
「変更可」または「読込み専用」アクセス権を持つユーザー/グループの場合、[シャドウデータアクセス]オプションを選択(チェック)することでシャドウデータにアクセスすることができます。このオプションが選択されているユーザー/グループは、サーバーのシャドウログビューアーを使用してシャドウデータのオープン、閲覧、ダウンロードができます。

Reference: 参考

1.DeviceLock管理者についての詳細、注意点等について説明します。

DeviceLockは基本的に、Windowsセキュリティ(ユーザー権限)に基づいて設定・動作をします。つまり、DeviceLockのインストール・設定変更・アンインストールといった操作については、Windowsのローカル管理者権限が必要になります。

  • DeviceLock Serviceのインストール、更新、アンインストールにはWindows Service Control Manager(SCM)や共有ネットワークリソースへのアクセス権が必要になる場合があり、また、ポリシーなどの設定変更がレジストリへのアクセスを伴なうためです。

しかし裏を返せば、コンピューターの使用者がWindowsのローカル管理者(administrator)権限を持っている場合、DeviceLockの設定変更やアンインストールができることから、セキュリティに抜け道を作ってしまうことになります。

そこでDeviceLockは、Windowsのローカル管理者権限を持つユーザーの操作からDeviceLock Serviceを保護する独自のセキュリティとして、「DeviceLock管理者」機能を搭載しています。

※ DeviceLock管理コンソールでの設定場所は以下になります。

[DeviceLock 管理コンソール]
  - [DeviceLock]
  - [DeviceLock Service]
  - [Service オプション]
  - [DeviceLock 管理者]

クライアントPCの使用者以外の、Windowsローカル管理者権限を持つユーザーをDeviceLock管理者に設定することで、それ以外のユーザーによるDeviceLock Serviceへのアクセスを禁止することができます。

具体的には、「DeviceLock Serviceへのアクセス禁止」により、DeviceLockの設定を参照・変更できない、DeviceLock Serviceを止められない、DeviceLock Serviceをアンインストールできない、ことになります。

DeviceLock管理者を選定するにあたっては、ネットワーク環境により異なる要素があります。
以下、ドメイン、ワークグループ/スタンドアロンに分けて説明します。

  • ドメイン(Active Directory)環境の場合

    基本的にDeviceLockを管理運用するユーザーには、管理対象のクライアントPCのWindowsローカル管理者権限を持つことが必要とされますが、ドメイン環境では、ドメイン管理者グループに属するユーザー(クライアントPCの使用者と異なる)をDeviceLock管理者に選定します。

    これにより、Windows(ドメイン・Active Directory)にDeviceLock管理者で認証(ログオン)した場合のみ、DeviceLock Serviceにアクセス(ポリシー参照・変更)、アンインストールすることができます。

  • ワークグループ、スタンドアロン環境の場合

    Windowsのローカル管理者権限を持つローカルユーザーをDeviceLock管理者に選定、登録します。
    このユーザーのユーザー名/パスワードは、クライアントPCの使用者には知られないようにしておきます。

    WindowsにDeviceLock管理者で認証(ログオン)した場合のみ、DeviceLock Serviceにアクセス(ポリシー参照・変更)、アンインストールすることができます。

2.ワークグループ/スタンドアロン環境では、ユーザーの扱いについて注意が必要です。

ワークグループ/スタンドアロン環境では、ユーザーは各クライアントPC内(ローカル)でのみ有効であり、たとえ同じユーザー名/パスワードを持つユーザーが別のクライアントPC(Windows)に作成されていたとしても、それぞれ別のユーザーとみなされます。これはWindows内部では、ユーザーが「ユーザー名」ではなく、一意の「SID」(Security Identifier セキュリティ識別子)により管理される仕様に起因します。

したがって、例えば、任意のローカルユーザーをDeviceLock管理者に設定したDeviceLock Service設定ファイル(DeviceLockの設定をエクスポートしたもの)を、別のクライアントPCにインポートして設定を移行した場合に、このクライアントPCに存在しないユーザーをDeviceLock管理者としてしまい、その結果、以後誰もDeviceLock Serviceにアクセスすることができなくなることになります。

なお「everyone」等、どのコンピューターでもSIDが共通な(Well Known SID)ユーザーを使用する場合は、このような問題は生じません。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム