ポリシー、継承、およびオーバーライド
Deep Securityのほとんどのエレメントと設定は、複数の階層レベルで動作します。階層レベルは、親レベルのベースポリシーから始まり、複数レベルの子ポリシーを経由して、最後のレベルは最終的なポリシーの割り当て先であるコンピュータです。Deep Securityは、環境に合わせて独自のポリシーを設計するための開始テンプレートとして使用できる一連のポリシーを提供します。
継承
子ポリシーは、親ポリシーから設定を継承します。これにより、すべてのコンピュータに適用する設定とルールが定義された親ベースポリシーから始まるポリシーツリーを作成できます。さらに、この親ポリシーには、より対象を具体化した設定を含む子および子孫のポリシーのセットを追加できます。ポリシーツリーは、環境に適した分類システムに基づいて構築できます。たとえば、Deep Securityに含まれるポリシーツリーのDeep Securityブランチには、2つの子ポリシーがあります。1つはDeep Security Managerをホストするサーバ向けに設計されたポリシーで、もう1つはDeep Security Virtual Appliance向けに設計されたポリシーです。これは役割に基づいたツリー構造です。また、Deep Securityには、特定のOS (Linux、Solaris、およびWindows) 向けに設計された3つのブランチがあります。Windowsブランチには、さまざまなサブタイプのWindows OS用の子ポリシーが用意されています。
[概要] 画面のWindowsポリシーのエディタでは、Windowsポリシーがベースポリシーの子として作成されたことを確認できます。ポリシーの不正プログラム対策設定は [継承 (オフ)] です。
つまり、この設定は親ベースポリシーから継承されます。また、ベースポリシーの不正プログラム対策設定を [オフ] から [オン] に変更する場合は、Windowsポリシーの設定も変更されます。(これにより、Windowsポリシーの設定は [継承 (オン)] になります。カッコ内の値は、現在の継承される設定を常に示しています。)
オーバーライド
Windows Server 2008ポリシーは、Windowsポリシーの子ポリシーです。ここでは、不正プログラム対策設定は継承されていません。オーバーライドされ、[オン] になっています。
Windows 2008 Serverポリシーを詳しく見てみると、侵入防御も [オン] であることがわかります。[侵入防御] 画面を確認すると、一連の侵入防御ルールが割り当てられています。
オブジェクトのプロパティをオーバーライドする
このポリシーに含まれる侵入防御ルールは、Deep Security Managerによって保存されている侵入防御ルールのコピーであり、他のポリシーで使用できます。特定のルールのプロパティを変更する場合は、ルールのプロパティをグローバルに変更して、そのルールを使用しているすべてのインスタンスに変更を適用するか、またはプロパティをローカルで変更して、その変更をローカルにのみ適用します。コンピュータまたはポリシーのエディタの初期設定の編集モードはローカルです。[現在割り当てられている侵入防御ルール] エリアにあるツールバーの [プロパティ] をクリックすると、[プロパティ] 画面で行うすべての変更が表示され、その変更がローカルにのみ適用されます (ルール名などの一部のプロパティはローカルでは編集できません。これらはグローバルでのみ編集できます)。
ルールを右クリックすると、コンテキストメニューが表示されます。このメニューから2つのプロパティ編集モードオプションを選択できます。[プロパティ] を選択すると、ローカルエディタ画面が表示されます。[プロパティ (グローバル)] を選択すると、グローバルエディタ画面が表示されます。
Deep Securityで共有される大部分の共通オブジェクトのプロパティを、ポリシー階層内のすべてのレベルおよびその下位の個々のコンピュータレベルでオーバーライドできます。
ルールの割り当てをオーバーライドする
ポリシーレベルまたはコンピュータレベルで、追加のルールをいつでも割り当てることができます。ただし、特定のポリシーレベルまたはコンピュータレベルで有効なルールの割り当てをローカルで解除することはできません。これは、そのルールの割り当てが親ポリシーから継承されているためです。このようなルールの割り当ては、ルールが最初に割り当てられたポリシーレベルで解除する必要があります。
コンピュータまたはポリシーのオーバーライド項目をまとめて確認する
ポリシーまたはコンピュータでオーバーライドした設定の数を確認するには、コンピュータまたはポリシーのエディタで [オーバーライド] 画面に移動します。
保護モジュール別のオーバーライド項目が表示されます。[削除] ボタンをクリックすれば、システムまたはモジュールのオーバーライド項目を元に戻すことができます。
Vulnerability Protectionのほとんどのエレメントと設定は、複数の階層レベルで動作します。階層レベルは、親レベルのベースポリシーから始まり、複数レベルの子ポリシーを経由して、最終的なポリシーの割り当て先であるコンピュータのレベルで終了します。Vulnerability Protectionは、環境に合わせて独自のポリシーを設計するための開始テンプレートとして使用できる一連のポリシーを提供します。
継承
子ポリシーは、親ポリシーから設定を継承します。これにより、すべてのコンピュータに適用する設定とルールが定義された親ベースポリシーから始まるポリシーツリーを作成できます。さらに、この親ポリシーには、より対象を具体化した設定を含む子および子孫のポリシーのセットを追加できます。ポリシーツリーは、環境に適した分類システムに基づいて構築できます。また、Vulnerability Protectionには、特定のOS向けに設計されたブランチがあります。Windowsブランチには、さまざまなサブタイプのWindows OS用の子ポリシーが用意されています。
[概要] 画面のWindowsポリシーのエディタでは、Windowsポリシーがベースポリシーの子として作成されたことを確認できます。ポリシーのファイアウォール設定は [継承 (オフ)] です。
つまり、この設定は親ベースポリシーから継承されます。また、ベースポリシーのファイアウォール設定を [オフ] から [オン] に変更すると、Windowsポリシーの設定も変更されます。(これにより、Windowsポリシーの設定は [継承 (オン)] になります。カッコ内の値は、継承された現在の設定を示しています。)
オーバーライド
Windows 7 Desktopポリシーは、Windowsポリシーの子ポリシーです。ここでは、ファイアウォール設定は継承されていません。オーバーライドされ、[オン] になっています。
Windows 7 Desktopポリシーを詳しく見てみると、侵入防御も [オン] であることがわかります。[侵入防御] 画面を確認すると、一連の侵入防御ルールが割り当てられています。
オブジェクトのプロパティをオーバーライドする
このポリシーに含まれる侵入防御ルールは、Vulnerability Protection Managerによって保存されている侵入防御ルールのコピーであり、他のポリシーで使用できます。特定のルールのプロパティを変更する場合は、ルールのプロパティをグローバルに変更して、そのルールを使用しているすべてのインスタンスに変更を適用するか、またはプロパティをローカルで変更して、その変更をローカルにのみ適用します。コンピュータまたはポリシーのエディタの初期設定の編集モードはローカルです。[現在割り当てられている侵入防御ルール] エリアにあるツールバーの [プロパティ] をクリックすると、[プロパティ] 画面で行うすべての変更が表示され、その変更がローカルにのみ適用されます (ルール名などの一部のプロパティはローカルでは編集できません。これらはグローバルでのみ編集できます)。
ルールを右クリックすると、コンテキストメニューが表示されます。このメニューから2つのプロパティ編集モードオプションを選択できます。[プロパティ] を選択すると、ローカルエディタ画面が表示されます。[プロパティ (グローバル)] を選択すると、グローバルエディタ画面が表示されます。
Vulnerability ProtectionDeep Securityで共有される大部分の共通オブジェクトのプロパティを、ポリシー階層内のすべてのレベルおよびその下位の個々のコンピュータレベルでオーバーライドできます。
ルールの割り当てをオーバーライドする
ポリシーレベルまたはコンピュータレベルで、追加のルールをいつでも割り当てることができます。ただし、特定のポリシーレベルまたはコンピュータレベルで有効なルールの割り当てをローカルで解除することはできません。これは、そのルールの割り当てが親ポリシーから継承されているためです。このようなルールの割り当ては、ルールが最初に割り当てられたポリシーレベルで解除する必要があります。
コンピュータまたはポリシーのオーバーライド項目をまとめて確認する
ポリシーまたはコンピュータでオーバーライドした設定の数を確認するには、コンピュータまたはポリシーのエディタで [オーバーライド] 画面に移動します。
保護モジュール別のオーバーライド項目が表示されます。[削除] ボタンをクリックすれば、システムまたはモジュールのオーバーライド項目を元に戻すことができます。