ゴールド イメージには、クローンとは異なるポリシーを割り当てることをお勧めします。センサー グループを使用して、クローンがゴールド イメージを継承しないようにします。

センサー グループの詳細については、VMware Carbon Black Cloud ユーザー ガイド を参照してください。

開始するには、Standard ポリシー ルールをインスタント クローン ポリシーに複製することを推奨します。次に、Horizon インスタント クローンに対して次の特定のポリシー設定を推奨します。

[全般] タブ

  • [名前] – 簡単に識別できるように、センサーをインスタント クローンとして区別する名前をポリシーに付けることをお勧めします。
  • [説明] - このポリシーは Horizon インスタント クローン用に最適化されています。特別な考慮事項によりパフォーマンスが向上し、レピュテーション、行動、および的を絞った防止の強力な基盤が提供されます。
  • [ターゲット バリュー] - 中

[センサー] タブ

  • [システム トレイにセンサー メッセージを表示] - この設定を有効にして、次のサンプル テキストのようなメッセージを追加します: 「仮想デスクトップ ポリシー - 質問や懸念事項がある場合は、[email protected] にお問い合わせください。問題と利用可能なレプリケーション手順に関するコンテキストを提供します。」

[防止] タブ - 権限

  • [バイパス ルール (例外)] –ポリシーレベルのバイパス ルールは、VDI 環境での安定性の確保に役立ちます。

    あらゆる組織で、パフォーマンスとセキュリティの間のトレードオフを理解する必要があります。VMware では、例外を使用することを推奨します。利害関係者と連携して、リスクおよび利点 (パフォーマンス vs. 可視性) を確認し、必要に応じてバイパス ルールを適用します。

    Carbon Black Cloud は例としてサポートされるメソッドの例外を提供します。VDI 環境にインストールされたアプリケーションを確認し、必要なバイパス ルールを適用してください。

    以下の例は、VMware ソリューションの公開ドキュメントに基づいています。追加のバイパス ルールが必要な場合があります。

VMware バイパス ルールのベスト プラクティス

**\Program Files\VMware\**,
**\SnapVolumesTemp**,
**\SVROOT**,
**\SoftwareDistribution\DataStore**,
**\System32\Spool\Printers**,
**\ProgramData\VMware\VDM\Logs**,
**\AppData\VMware\**

防止

ブロックおよび隔離

ベスト プラクティスでは、[ブロックおよび隔離] ルールを適用して、特定の攻撃面に対処することを推奨しています。

[ローカル スキャン] タブ

  • [アクセス時のファイル スキャン モード] – 有効
  • [シグネチャの更新を許可] - 無効

この設定は状況に応じたものです。生存期間の短いクローンの場合、[シグネチャの更新を許可] 設定を無効にして、[アクセス時のファイル スキャン モード] 設定を有効にすることをお勧めします。ゴールド イメージのポリシーでは、これらの両方の設定が有効になります。このセットアップにより、クローンは、確実に、ゴールド イメージから取得されたシグネチャ パックを使用してアンチウイルス スキャンをさらに実行できます。各クローンでシグネチャ パックを更新するコストはかかりません。クローンの有効期間が長いと予想される場合は、両方の設定を有効 に設定することをお勧めします(古いシグネチャ パックの使用を回避するため)。

[センサー] タブ

  • [バックグラウンド スキャンを実行] –無効パフォーマンスを最適化するには、ゴールド イメージでバックグラウンド スキャンを完了し、その後クローンに割り当てられたポリシーでバックグラウンド スキャンを無効にすることをお勧めします。
  • [ネットワーク ドライブ上のファイルをスキャン] - 無効
  • [ネットワーク ドライブ上の実行をスキャン] - 有効
  • [クラウド スキャンの実行を遅延させる] - 有効。この重要な設定は、実行前のレピュテーション検索の唯一の参照ポイントとして機能します。無効の場合、エンドポイントは実行前の予防策として[パスでのアプリケーション]および[拒否リスト]のルールに依存する必要があります。
  • [Hash MD5] - 無効センサーは常に SHA-256 を計算します。
  • [非アクティブになっている VDI クローン センサーを自動登録解除する] – インスタント クローンは一般的に寿命が短いので、指定した期間非アクティブだったインスタント クローンを削除するにはこの設定を有効にすることをお勧めします。
    注: VMware Carbon Black では、VMware Carbon Black または環境からの一般的なメンテナンス期間中にセンサーが登録解除されないように、少なくとも 24 時間の間隔を設定することをお勧めします。