Deep Securityのポリシーは階層構造で作成されることを意図しています。管理者として、複数の子ポリシーを作成するための1つ以上の基本ポリシーから始め、詳細が徐々に細かくなっていきます。トップレベルのポリシーで広く適用可能なルールやその他の設定を割り当て、子ポリシーのレベルを下るにつれて、よりターゲットを絞った具体的な設定を行い、最終的には個々のコンピュータレベルでルールと設定を割り当てます。
ポリシーツリーの下位になるほど設定が詳細になるだけでなく、ポリシーツリーの上位の設定から下位の設定をオーバーライドできます。
Deep Securityは、環境に合わせて独自のポリシーを設計するための開始テンプレートとして使用できる一連のポリシーを提供します。
policy-tree=d668b28e-dbd8-401c-a919-b585c468a19a.png
このトピックの内容:

継承

子ポリシーは親ポリシーから設定を継承します。これにより、すべてのコンピュータに適用される設定とルールで構成された基本の親ポリシーから始まるポリシーツリーを作成できます。この親ポリシーには、さらに特定のターゲット設定を持つ一連の子ポリシーおよびその子孫ポリシーを持たせることができます。ポリシーツリーは、環境に適した任意の分類システムに基づいて構築できます。たとえば、Deep Securityに付属するポリシーツリーのブランチには、Deep Security Managerをホストするサーバ用に設計された子ポリシーと、Deep Security Virtual Appliance用に設計された子ポリシーの2つがあります。これは役割ベースのツリー構造です。Deep Securityには、Linux、Solaris、およびWindowsの特定のオペレーティングシステム用に設計された3つのブランチもあります。Windowsブランチには、さまざまなサブタイプのWindowsオペレーティングシステム用のさらに子ポリシーがあります。
[Windows]ポリシーエディタの[概要]ページでは、[Windows]ポリシーが[ベース]ポリシーの子として作成されたことがわかります。ポリシーの不正プログラム対策設定は[継承 (オフ)]です。
2016-07-07_000101_DS10=c8f8081e-de25-4548-b6df-db4cc0248e93.png
これは、設定が親[ベース]ポリシーから継承されていることを意味し、[ベース]ポリシーの不正プログラム対策設定を[オフ]から[オン]に変更すると、[Windows]ポリシーの設定も変更されることを意味します。(その場合、[Windows]ポリシー設定は[継承 (オン)]と表示されます。括弧内の値は常に現在の継承された設定を示します。)

個のオーバーライド

[オーバーライド]ページでは、このポリシーまたは特定のコンピュータレベルでいくつの設定がオーバーライドされたかを表示します。このレベルでオーバーライドを元に戻すには、[削除]ボタンをクリックしてください。
この例では、[Windows Server]ポリシーは[Windows]ポリシーの子ポリシーです。ここでは、不正プログラム対策の設定は継承されず、上書きされて[オン]に固定されます。
policy-windows-server=06e655b2-e581-49c7-9025-f53cfea29af6.png
ヒント
ヒント
Deep Security APIを使用して、オーバーライドの確認、作成、および削除を自動化できます。例については、Deep Security Automation Centerのポリシーをオーバーライドするようにコンピュータを構成するガイドを参照してください。

オブジェクトのプロパティをオーバーライドする

このポリシーに含まれている侵入防止ルールは、Deep Security Managerによって保存されている侵入防止ルールのコピーであり、他のポリシーでも使用できます。特定のルールのプロパティを変更したい場合、2つの選択肢があります。ルールが使用されているすべてのインスタンスに変更が適用されるように、ルールのプロパティをグローバルに変更するか、変更がローカルにのみ適用されるように、プロパティをローカルに変更するかです。コンピュータまたはポリシーエディタのデフォルト編集モードは[local]です。[現在割り当てられている侵入防御ルール]エリアのツールバーで[プロパティ]をクリックすると、表示されるプロパティウィンドウで行った変更はローカルにのみ適用されます。(ルール名などの一部のプロパティはローカルでは編集できず、グローバルにのみ編集できます。)
ルールを右クリックすると、コンテキストメニューが表示され、2つのプロパティ編集モードオプションが表示されます。[プロパティ]を選択するとローカルエディタウィンドウが開き、[プロパティ (グローバル)]を選択するとグローバルエディタウィンドウが開きます。
Deep Securityで共有される大部分の共通オブジェクトのプロパティを、ポリシー階層内のすべてのレベルおよびその下位の個々のコンピュータレベルでオーバーライドできます。

ルールの割り当てをオーバーライドする

ポリシーレベルまたはコンピュータレベルで、追加のルールをいつでも割り当てることができます。ただし、特定のポリシーレベルまたはコンピュータレベルで有効なルールの割り当てをローカルで解除することはできません。これは、そのルールの割り当てが親ポリシーから継承されているためです。このようなルールの割り当ては、ルールが最初に割り当てられたポリシーレベルで解除する必要があります。
ヒント
ヒント
オーバーライドする設定が多数ある場合は、親ポリシーのブランチを作成することを検討してください。

コンピュータまたはポリシーのオーバーライド項目をまとめて確認する

ポリシーまたはコンピュータでオーバーライドした設定の数を確認するには、コンピュータまたはポリシーのエディタで [オーバーライド] 画面に移動します。
policy-windows-server-overrides=9b9f69f5-af35-4ae2-ab45-23ef898ff58e.png
オーバーライドは保護モジュールによって表示されます。[削除]ボタンをクリックして、システムまたはモジュールのオーバーライドを元に戻すことができます。