現在地

ARCACLAVIS Policeに関するよくあるご質問

インストール

管理者による、一括でのインストールはできますか?

はい、できます。Active Directoryの「ソフトウェアのインストール」を使うことで、一斉インストールが可能です。
バージョンアップも同じ手段で一斉に行うことができます。

設定を引き継いで、旧バージョンからバージョンアップできますか?

はい、できます。新しいバージョンのインストーラを実行するだけで設定を引き継いでバージョンアップされます。
Active Directoryをお使いであれば、Active Directoryの「ソフトウェアのインストール」による一括でのバージョンアップも行えます。

アンインストールしても、制御されたままでUSBメモリなどが使えません。

アンインストールだけを行うと制御設定は残ったまま、つまりUSBメモリなどが使えない状態になってしまいます。
アンインストールする前に、管理者により「すべての制御設定を無効」にする必要があります。
制御設定を無効にせず、アンインストールした場合は、一旦、再インストールを行い、その後、制御設定を無効にした状態にし、最後にアンインストールを行います。
ポリシー設定をすべて無効にするポリシー設定ファイルは、 ポリシーメーカーで各ページの設 定項目を一つも入力せずに出力を行うことで作成できます。

仕様・制限事項

Active Directoryがないと導入できないのでしょうか?

いいえ。Active Directoryがない環境でも導入いただけます。
Active Directoryがない環境の場合は、製品付属のツールで「ポリシー設定ファイル」を作成いただき、その「ポリシー設定ファイル」とともにクライアントにインストールを行うことで、セキュリティポリシーを設定します。
「ポリシー設定ファイル」は、製品付属のツールによりウィザード形式で簡単に作成できます。

外部デバイス制御を使うと、USB接続のキーボードやマウスも制御されて使えなくなりますか?

USB接続のキーボード、マウスは、OS標準のデバイスドライバを利用している場合は禁止されません。
ご使用いただけます。
OS標準以外のデバイスドライバを利用している場合は未対応となります(使用が禁止されることがあります) 。

「プリンタの使用を禁止する」を設定した場合、ネットワーク上のプリンタも禁止されますか?

はい、禁止されます。
「外部デバイス制御」の「プリンタの使用を禁止する」を設定すると、「ローカルプリンタ」、「ネットワークプリンタ」の使用が禁止されます。
このとき、シリアル、USBなどの接続形態も関係なく禁止されます。

ノートPCなどモバイル端末で、社内ネットワークから持ち出すことのあるクライアントPCでも外部デバイス制御などのポリシー制御はできますか?

はい、制御できます。
事前に、ARCACLAVIS Policeのクライアントエージェントをインストールし、ポリシーを適用済みであれば、その後、持ち出してオフライン状態でもセキュリティ設定は維持されたままになります。

外部デバイス制御で、USBデバイスの個体単位やメーカー単位での制御はどのように行われますか?

USBデバイスごとに持っている値を基に区別を行い、制御します。
値とは以下になります。

ベンダーID

USBデバイスのメーカーごとに割り振られているコードです。この値により USB デバイスのメーカーを特定することができます。

プロダクトID

ベンダーIDを持つメーカーが、自社の製品に対して機種ごとに重複しないよう割り振るコードです。
このコードは各メーカーで独自に付与しているため、異なるメーカーの異なる製品にも同じコードが付与されていることがあります。

シリアル番号

ベンダーIDを持つメーカーが、製品のそれぞれの固体に付与することができる番号です。
ただし、製品によってはこの番号が付与されていない、または、異なる個体であっても同じ番号が付与されていることもあり、「特定のデバイス」として固体が特定できることを保障するものではありません。

実際のUSBデバイス指定値は、製品付属の専用のツール(USBデバイス情報取得ツール)を使って取得します。
ただし、USBデバイスによっては、これらの値を持たないものや、一意に持たないものがあります。
このようなUSBデバイスでは、メーカー単位の制御や個体単位の制御が行えない場合があります。
事前に、使用予定のUSBデバイスの確認を評価版でご確認いただけますのでお手数ですがご相談ください。

外部デバイス制御で使用を禁止できるデバイスはどのようなものですか?

以下の外部デバイスが使用禁止にできます。

使用を禁止できる外部デバイス一覧

USB接続

  • USBメモリ
  • CD/DVDドライブ
  • MOドライブ
  • フロッピーディスクドライブ
  • ハードディスクドライブ
  • ICカードリーダ・ライタ・ライタ
  • USBカードリーダに取り付ける各種メモリーカード(例、SDメモリーカードなど)
  • プリンタ

IEEE1394接続

  • CD/DVDドライブ
  • MOドライブ
  • ハードディスクドライブ

eSATA接続

  • ハードディスクドライブ(付属ツールにより取り外し可能であることが条件)

ATA接続(内蔵ドライブ)

  • CD/DVDドライブ
  • MOドライブ
  • フロッピーディスクドライブ

PCカードスロット接続

  • コンパクトフラッシュメモリーカード
  • データ通信カード

各種メモリーカード用スロット接続

  • SDメモリーカード
  • マルチメディアカード
  • メモリースティック
  • コンパクトフラッシュメモリーカード
USB接続のSDカード、メモリースティックなどのメモリーカードリーダーを接続した場合はどのような制御ができますか?

USB接続のメモリーカードリーダーのメーカー単位、型番単位、個体単位での制御が可能です。
ノートPCなどの内蔵タイプでも内部的にはUSB接続のメモリーカードリーダーである場合が多く、同様に制御が可能です。
ただし、メモリーカードリーダーに挿入されたSDカードなどのメディア単位での制御は行えません。

「ネットワーク制御」では、クライアントPCが接続する先(アウトバウンド)も制御できますか?

いいえ、できません。
「ネットワーク制御」では、外部からクライアントPCに接続してくる(インバウンド)ポートを制御しますが、内部から出て行くポート(アウトバウンド)は制御しません。

「アプリケーション実行制御」でP2Pソフトウェアを禁止したいと思います。悪意あるユーザにより実行ファイル名を変更された場合は制御されなくなりますか?

いいえ、ファイル名を変更された場合でも制御可能です。
「アプリケーション実行制御」には2種類ございます。
1つが「ファイル名指定」で、もう1つが「ハッシュ値指定」です。
「ファイル名指定」では、悪意あるユーザにより実行ファイル名を変更された場合は制御ができません。
しかし、「ハッシュ値指定」では、ファイル名を変更されても対応できます。
「ハッシュ値」とは、与えられたデータから生成された固定長の擬似乱数値です。
ハッシュ値は不可逆な値であるため、 ハッシュ値から元のデータを再現することはできません。
また、 同じハッシュ値を持つ異なるデータを作成することは極めて困難であることから、データの改ざんチェックに利用されます。
この「ハッシュ値」で比較することでファイル名を変えられても制御を行うことができます。
「ハッシュ値」は製品付属のツールで取得できます。
ポリシー設定時に、このツールで取得した「ハッシュ値」を指定して制御を行います。

トラブルシューティング

Active Directory環境でグループポリシーによるPoliceの設定変更が反映されません。

クライアントPCに設定が反映されない場合は以下の点をご確認ください。

グループポリシーの更新間隔

グループポリシーによる設定反映は規定では90分ごとに行われます。ランダムな遅延を加えると最大120分の更新間隔が生じます。これはMicrosoft Active Directoryの仕様です。対処には以下の方法があります。

コンピュータのグループポリシー更新間隔を変更

  1. グループポリシーエディタを起動します。
  2. 「グループポリシーオブジェクトエディタ」画面の「コンピュータの構成」-「管理用テンプレート」-「システム」-「グループポリシー」を順にクリックし、「コンピュータのグループポリシーの更新間隔」を開きます。
  3. 「ドメイン コントローラのグループ ポリシーの更新間隔のプロパティ」画面で「有効」を選択し、入力可能になった「間隔(分)」を変更します。

gpupdate コマンドを実行

自動更新が待てずに、ただちにグループポリシーを反映させたいときは、クライアントPC側で以下のコマンドを入力してください。
gpupdate /Force

低速リンク

Active Directoryとクライアント PCの間がリモートアクセスなどの低速回線の場合、またはLAN などの高速回線であってもネットワーク状況によって通信遅延が発生している場合、低速リンクと見なされて一部のグループポリシーが適用されない場合があります。 対処には以下の方法があります。

低速リンクの検出を無効にする

以下の手順で、低速リンクの検出を無効にします。

  1. グループポリシーエディタを起動します。
  2. 「グループポリシーオブジェクトエディタ」画面の「コンピュータの構成」-「管理用テンプレート」-「システム」-「グループ ポリシー」を順にクリックし、 「グループ ポリシーの低速リンクの検出」を開きます。
  3. 「グループ ポリシーの低速リンクの検出のプロパティ」画面で「有効」を選択し、入力可能になった「接続速度(Kbps)」を”0”に変更します。

DNS

グループポリシー適用のためには、クライアント PCはドメインコントローラを含む、指定されたサーバにアクセスする必要があります。DNS はこれらのサーバを検出および識別するために利用されます。ネットワークが機能していてもサーバを検出できない場合は、DNSに問題がある可能性があります。

サポートツール「Dcdiag.exe」 「Netdiag.exe」で DNS構成をチェック

ドメインコントローラで「Dcdiag.exe」を、クライアント PC で「Netdiag.exe」を実行してください。これらのツールは OSのインストールディスクに収録されているサポートツールで、DNS構成の誤りを確認できます。

以上が、グループポリシーが更新されない場合のトラブルシューティングの一例です。より詳しい情報が必要なときは、Windowsの開発元であるマイクロソフト社のサイトなどをご覧ください。

外部デバイス制御で、USBデバイスを制御しようとしています。製品付属のツールで値を取得しましたが、値が実際のデバイスと異なるようです。なぜですか?

製品付属のツールで一覧に表示されるデバイス名は、デバイスからの情報に基づいて表示を行っております。
USBデバイスがOEM 製品であった場合など、 製品ラベルなどに記載されている製品名と必ず一致するとは限りません。 ご了承ください。

CD-ROMやUSBメモリを接続したときに、これまでは自動的に再生やフォルダが開いていましたが、本製品導入後は開かなくなりました。どうしてですか?

「外部デバイス制御」の設定を有効にすると、Windows の自動実行機能が無効になります。
ご了承ください。