ダイナミックスクリーニングを使用すると、MDaemonで受信接続から疑わしい動きを検出し必要な対応を行えるようになります。 指定した時間内に指定回数を超える認証失敗があった際、 IPアドレスのブロック (またはIPアドレス範囲のブロック)が行えます。また、短時間で認証失敗回数が多かったアカウントについてはアカウントの凍結が行えます。IPアドレスがブロックされたりアカウントが凍結される時間は無期限ではありません。IPアドレスのブロックは指定した分、時間、日数の間で行われます。凍結されたアカウントは指定した時間を経過した後か、管理者の操作によって再開できます。
ダイナミックスクリーニングサービスを有効にする
ダイナミックスクリーニングサービスを有効にするにはこのボックスをクリックします。MDaemonの管理画面のナビゲーションにあるサーバーセクションからも、このサービスの有効化・無効化が行えます。
システムオプション
認証失敗トラッキングを有効にする
このオプションを有効にすると、ダイナミックスクリーニングでプロトコル タブで指定したプロトコルでの認証失敗と認証失敗トラッキング タブのオプションに沿って実施された処理をログへ記録するようになります。このオプションはデフォルトで有効です。
ダイナミックスクリーニングブロックリスト
このオプションで ダイナミックスクリーニングのIPアドレスや範囲のブロックリスト機能が有効化されます。ブロックリストはダイナミックブロックリストタブで管理できます。ブロックリストオプションはデフォルトで有効です。
ダイナミックスクリーニング許可リスト
このオプションで ダイナミックスクリーニングの機能の1つである、IPアドレスや範囲を許可リストへ追加し ダイナミックスクリーニングから除外する ダイナミック許可リスト 機能が有効化されます。許可リストオプションはデフォルトで有効です。
ログオンポリシーに違反している場合にブロック
デフォルトでMDaemonはアカウントがアドレスのメールボックス部分ではなくメールアドレスをログインに使用するよう設定されています。(例: 「user1」ではなく「user1@example.com」を使用する必要があります) これはシステムページの「サービスは完全なメールアドレスでの認証を必要とする」オプションによって管理されています。このオプションが有効になっていて、且つ、「ログオンポリシーに違反している場合にブロック」を有効にする事で、メールアドレスを使用せずにログオンしてきたIPアドレスをブロックできます。このオプションはデフォルトで無効に設定されています。
詳細ログオプション
開始時に認証失敗データを記録
このオプションを有効化すると、起動時にダイナミックスクリーニングによる全ての 認証失敗データ を記録します。これはデフォルトで無効になっています。
開始時にブロックリストデータを記録
このオプションを有効化すると、起動時にダイナミックスクリーニングによる全ての ダイナミックブロックリスト を記録します。これはデフォルトで無効になっています。
開始時に許可リストデータを記録
このオプションを有効化すると、起動時にダイナミックスクリーニングによる全ての ダイナミック許可リスト を記録します。これはデフォルトで無効になっています。
ロケーション情報が利用できる場合に記録
接続毎のロケーション情報が使用できる場合にログへ記録する場合はこのオプションを有効にします。
ISO-3166コードでロケーションを記録
名称の代わりにISO-3166の2文字の国コードを使用する場合はこのオプションを有効にします。
許可リストとの一致を全て記録
このオプションを有効化すると、ダイナミック許可リストへ登録されているアドレスからの受信接続が発生する毎にダイナミックスクリーニングへエントリを追加します。
ブロックリストとの一致を全て記録
このオプションを有効化すると、ダイナミックブロックリストへ登録されているアドレスからの受信接続が発生する毎にダイナミックスクリーニングへエントリを追加します。
信頼するIPとの一致を全て記録
このオプションを有効化すると、信頼するIPからの受信接続を、都度ダイナミックスクリーニングログへ記録します。
国別スクリーンとの一致を全て記録
このオプションを有効化すると、国別スクリーニングによって拒否された受信接続を、都度ダイナミックスクリーニングログへ記録します。
認証失敗を全て記録
このオプションを有効化すると、認証に失敗した受信接続を、都度ダイナミックスクリーニングログへ記録します。
認証成功を全て記録
このオプションを有効化すると、認証に成功した受信接続を、都度ダイナミックスクリーニングログへ記録します。 これはデフォルトで無効になっています。
許可された接続を全て記録
このオプションを有効化すると、ダイナミックスクリーニングを通過してその後の処理を許可した接続全てをログへ記録します。 これはデフォルトで無効になっています。
拒否した接続を全て記録
このオプションを有効化すると、ダイナミックスクリーニングで拒否した受信接続全てをログへ記録します。
変更点が検出された際設定を記録
このオプションを有効化すると、(手動でINIファイルを編集した際など)外部ソースでの設定変更が検出された際、ダイナミックスクリーニング設定をログへ記録します。通常の変更は情報ログレベルで記録されます。
サマリ記録間隔 [日別 | 時間別 | 分別]
ダイナミックスクリーニング統計へ、ダイナミックスクリーニングログサマリを追加します。日毎、時間毎、分毎に記録できます。デフォルトではサマリが時間毎に記録されます。
スクリーニングデータリセットオプション
全ての認証データをリセット
ダイナミックスクリーニングの認証データ全てをクリアするにはこのチェックボックスをクリックします。適用又はOKをクリックすると初期化が行われます。
全てのブロックリストデータをリセット
ダイナミックスクリーニングのブロックリストデータ全てをクリアするにはこのチェックボックスをクリックします。適用又はOKをクリックすると初期化が行われます。
全ての許可リストデータをリセット
ダイナミックスクリーニングの許可リストデータ全てをクリアするにはこのチェックボックスをクリックします。適用又はOKをクリックすると初期化が行われます。
詳細な管理画面を有効にする
このボックスをチェックして画面を閉じるか再起動すると、MDaemonの設定画面へ詳細ダイナミックスクリーニング機能を追加する事ができます。このボックスをチェックしてMDaemonの管理画面を再度開くと、ダイナミックスクリーニング機能へ詳細な管理画面が複数追加されます。 除外ドメインNAT 画面がダイナミックスクリーニングダイアログへ追加され、対象IPアドレスでパスワード認証に失敗したユーザーをダイナミックスクリーニングから除外する事ができます。また、ツールバーのダイナミックスクリーニングセクションにもショートカットが追加され、管理画面のサーバーセクションからは、ダイナミックスクリーニングサービスを無効にするのではなく一時停止し、設定中にクライアントがサービスへアクセスする事のないよう設定する事ができます。
参照:
