Symantec™ Endpoint Protection および Symantec Network Access
by user
Comments
Transcript
Symantec™ Endpoint Protection および Symantec Network Access
Symantec™ Endpoint Protection および Symantec Network Access Control 実装 ガイド Symantec Endpoint Protection および Symantec Network Access Control 実装ガイド 本書で説明するソフトウェアは、使用許諾契約に基づいて提供され、その内容に同意する場合にの み使用することができます。 Documentation version 12.01.00.00 登録商標 Copyright © 2011 Symantec Corporation. All rights reserved. Symantec、Symantec ロゴ、Bloodhound、Confidence Online、Digital Immune System、 LiveUpdate、Norton、Sygate、TruScan は、Symantec Corporation または同社の米国およびそ の他の国における関連会社の商標または登録商標です。その他の会社名、製品名は各社の登録 商標または商標です。 Symantec 製品には、特定のサードパーティ製ソフトウェアが配布、組み込み、または同梱されてい る場合があります。また、本製品のインストールおよび使用にともない、サードパーティ製ソフトウェア の使用を推奨する場合があります。このライセンス対象ソフトウェアには、オープンソースのフリーウェ アライセンスで利用可能なサードパーティのソフトウェアプログラム(「サードパーティプログラム」)を 含めることができるものとします。本ソフトウェアに付随する使用許諾契約では、オープンソースのフ リーウェアライセンスでお客様が有することのできる権利または義務は変更されないものとします。 サードパーティのソフトウェアの著作権に関する情報については、本製品に付属のサードパーティ 製ソフトウェアのファイルを参照してください。 本書に記載する製品は、使用、コピー、頒布、逆コンパイルおよびリバース・エンジニアリングを制限 するライセンスに基づいて頒布されています。Symantec Corporation からの書面による許可なく本 書を複製することはできません。 Symantec Corporation が提供する技術文書は Symantec Corporation の著作物であり、Symantec Corporation が保有するものです。保証の免責: 技術文書は現状有姿で提供され、Symantec Corporation はその正確性や使用について何ら保証いたしません。技術文書またはこれに記載さ れる情報はお客様の責任にてご使用ください。本書には、技術的な誤りやその他不正確な点を含 んでいる可能性があります。Symantec は事前の通知なく本書を変更する権利を留保します。 本ソフトウェアは、FAR 12.212 の規定によって商業用コンピュータソフトウェアと見なされ、FAR 52.227-19 「Commercial Computer Software - Restricted Rights」、DFARS 227.7202 「Rights in Commercial Computer Software or Commercial Computer Software Documentation」、そ の他の後継規制の規定により制限された権利の対象となります。米国政府による本ソフトウェアの使 用、修正、複製のリリース、実演、表示または開示は、本使用許諾契約の条項に従ってのみ行われ るものとします。 弊社製品に関して、当資料で明示的に禁止、あるいは否定されていない利用形態およびシステム 構成などについて、これを包括的かつ暗黙的に保証するものではありません。また、弊社製品が稼 動するシステムの整合性や処理性能に関しても、これを暗黙的に保証するものではありません。これ らの保証がない状況で、弊社製品の導入、稼動、展開した結果として直接的、あるいは間接的に発 生した損害等についてこれが補償されることはありません。製品の導入、稼動、展開にあたっては、 お客様の利用目的に合致することを事前に十分に検証および確認いただく前提で、計画および準 備をお願いします。 目次 第1章 Symantec Endpoint Protection の概要 .......................... 33 Symantec Endpoint Protection について ........................................... バージョン 12.1 の新機能 ................................................................. Symantec Endpoint Protection が提供する脅威防止の種類につい て ........................................................................................ Symantec Endpoint Protection によるネットワークの保護 ........................ Symantec Endpoint Protection での初期作業 ............................... クライアントコンピュータでの保護の管理 ......................................... 環境のセキュリティの保守 ........................................................... Symantec Endpoint Protection のトラブルシューティング .................. 33 34 41 44 45 52 55 56 第1部 Symantec Endpoint Protection のインス トール ............................................................................ 59 第2章 インストール計画 ................................................................. 61 インストール計画 ............................................................................ Symantec Endpoint Protection のコンポーネント .................................. Symantec Network Access Control のコンポーネント ............................. ネットワークアーキテクチャの注意事項 ................................................. 製品ライセンスの必要条件 ............................................................... システム必要条件 .......................................................................... 国際化の必要条件 ................................................................... サポート対象の仮想インストールと仮想化製品 ....................................... Symantec Endpoint Protection Manager と他の製品との互換性につい て ........................................................................................ データベースの種類の選択について ................................................... SQL Server の設定について ............................................................. SQL Server データベースの認証モードについて .................................... 第3章 61 63 66 68 69 71 75 76 77 78 79 82 Symantec Endpoint Protection Manager のインス トール ............................................................................... 85 管理サーバーとコンソールのインストール .............................................. 85 インストール時の管理サーバーの設定 ................................................. 86 4 目次 Symantec Endpoint Protection Manager 用の自己署名証明書の受け 入れ ..................................................................................... Symantec Endpoint Protection Manager のアンインストール ................... Symantec Endpoint Protection Manager コンソールへのログオン ............ コンソールへのログオン状態を維持する期間の延長 ................................. コンソールからできること ................................................................... 第4章 製品ライセンスの管理 87 88 89 91 91 ........................................................ 95 Symantec Endpoint Protection のライセンス ....................................... 96 試用ライセンスについて ................................................................... 98 ライセンスの購入 ........................................................................... 99 シマンテック製品ライセンスの購入場所 ................................................ 99 新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライ センスのアクティブ化 ............................................................... 100 必要なライセンス連絡先情報 ........................................................... 105 体験版からのアップグレードについて ................................................. 106 製品のアップグレードとライセンスについて .......................................... 106 Symantec Endpoint Protection ライセンスの延長について .................... 107 シマンテックライセンスポータルについて ............................................. 107 製品ライセンスの管理 .................................................................... 108 ライセンス状態の確認 .................................................................... 108 新しいライセンスや延長済みライセンスまたはライセンスアップグレードのラ イセンスファイルのダウンロード ................................................... 109 ライセンスのエンフォースメントルール ................................................. 109 ライセンスファイルのバックアップ ....................................................... 110 削除されたライセンスの回復 ............................................................ 111 ライセンスのインポート ................................................................... 111 使われなくなったクライアントとそのライセンスに対する影響について ........... 112 使われなくなったクライアントのデータベースからのパージ ........................ 113 複数年ライセンスについて .............................................................. 113 管理外クライアントのライセンス交付 ................................................... 114 第5章 クライアントインストールの準備 ...................................... 115 クライアントインストールの準備 ......................................................... ファイアウォールと通信ポートについて ................................................ リモート配備のための Windows オペレーティングシステムの準備 .............. クライアントインストールパッケージの管理 ............................................ クライアントインストールパッケージ更新の追加 ...................................... 115 116 119 120 121 目次 第6章 Symantec Endpoint Protection クライアントのイン ストール .......................................................................... 123 クライアントの配備方法について ....................................................... Web リンクと電子メールを使ったクライアントの配備 .......................... リモートプッシュを使ったクライアントの配備 .................................... パッケージの保存を使ったクライアントの配備 ................................. クライアントコンピュータの再起動 ...................................................... 管理下クライアントと管理外クライアントについて .................................... 管理外クライアントのインストール ...................................................... クライアントのアンインストール .......................................................... クライアントのインストール設定について .............................................. クライアントインストールパッケージ機能の設定 ...................................... クライアントインストールパッケージのエクスポート ................................... FDCC(Federal Desktop Core Configuration)準拠のクライアントパッケー ジについて ........................................................................... 第7章 123 124 126 127 129 130 131 131 132 133 134 136 Symantec Endpoint Protection へのアップグレード および移行 .................................................................... 137 Symantec Endpoint Protection への移行について .............................. Symantec Client Security または Symantec AntiVirus からの移行 ......... コンピュータグループの移行について .......................................... グループ設定とポリシー設定の移行 ............................................ 複数の埋め込みデータベースと管理サーバーを使用するインストールイン スタンスの移行 ...................................................................... 新リリースへのアップグレード ........................................................... 移行の前に複製をオフにする .......................................................... 移行またはアップグレード後の複製の有効化 ....................................... 管理サーバーの移行 .................................................................... 管理サーバーサービスの停止と開始 ................................................. 移行前の Symantec AntiVirus での LiveUpdate の無効化 .................... クライアントコンピュータ移行時の Symantec System Center での定時ス キャンの無効化 ...................................................................... ローミングサービスのオフ ................................................................ Reporting Sever のアンインストールと削除 ......................................... Symantec System Center でのサーバーグループのロック解除 ................ クライアントソフトウェアのアップグレードについて ................................... 自動アップグレードを使ったクライアントのアップグレード .......................... LiveUpdate 設定ポリシーによるクライアントソフトウェアの更新 .................. グループ更新プロバイダの移行 ........................................................ 138 140 142 142 143 144 146 146 147 148 150 150 151 152 152 153 154 155 156 5 6 目次 第8章 サイトおよび評価の設定と管理 ...................................... 157 サイトと複製の管理 ....................................................................... 必要なサイトの数の決定 ................................................................. 複製のしくみ ............................................................................... 複製パートナーの追加 ................................................................... 自動複製スケジュールの変更 .......................................................... オンデマンドでのデータの複製 ........................................................ 複製するデータの指定 ................................................................... リモートサイトの削除 ...................................................................... 第9章 157 159 161 163 164 165 166 166 Protection Center での Symantec Endpoint Protection の管理 ........................................................ 167 Symantec Endpoint Protection と Protection Center について .............. Protection Center バージョン 2 へのアップグレードについて ................... Protection Center での Symantec Endpoint Protection の設定につい て ...................................................................................... Protection Center での複数の Symantec Endpoint Protection ドメイン の設定について ..................................................................... Symantec Endpoint Protection Manager と Protection Center 間の通 信の設定 ............................................................................. 167 168 169 169 170 第2部 Symantec Endpoint Protection での保護 の管理 ......................................................................... 173 第 10 章 クライアントコンピュータのグループの管理 .................. 175 クライアントのグループの管理 .......................................................... グループを構成する方法 ................................................................ 既存の組織構造のインポート ........................................................... グループの追加 ........................................................................... クライアントソフトウェアをインストールする前のグループへのクライアントの 割り当て .............................................................................. グループの継承の有効化と無効化 .................................................... グループへのクライアント追加の遮断 ................................................. 割り当てられたコンピュータの表示 .................................................... 別のグループへのクライアントコンピュータの移動 .................................. 第 11 章 175 177 178 180 180 181 182 182 182 クライアントの管理 ............................................................. 185 クライアントコンピュータの管理 ......................................................... 186 クライアントの保護の状態アイコンについて .......................................... 187 目次 クライアントとクライアントコンピュータの保護状態の表示 .......................... [クライアント]タブに表示するクライアントのフィルタ処理 .......................... クライアントコンピュータについての情報の検索 ..................................... クライアントコンピュータのプロパティの表示 ......................................... 保護の有効化と無効化について ....................................................... クライアントコンピュータで実行できるコマンドについて ............................ クライアントコンピュータでのコンソールからのコマンド実行 ....................... ユーザーモードとコンピュータモードの間でのクライアントの切り替え ........... 不明なデバイスを検出するようにクライアントを設定する ........................... 管理外クライアントから管理下クライアントへの変換 ................................ クライアントインターフェースへのアクセスについて ................................. 混合制御について ........................................................................ ユーザー制御レベルの変更 ............................................................ ユーザーインターフェースのオプション設定 ......................................... ユーザー情報の収集 ..................................................................... クライアントのパスワード保護 ........................................................... 第 12 章 リモートクライアントの管理 ............................................... 213 リモートクライアントの管理 ............................................................... リモートクライアントの場所の管理 ...................................................... クライアントの場所の認識の有効化 .................................................... グループへの場所の追加 ............................................................... デフォルトの場所の変更 ................................................................. グループの場所の削除 .................................................................. ネットワーク検出条件の設定シナリオ 1 ............................................... ネットワーク検出条件の設定シナリオ 2 ............................................... 場所に対する通信の設定 ............................................................... リモートクライアントのセキュリティポリシーの強化について ........................ ファイアウォールポリシー設定のベストプラクティス ............................ LiveUpdate ポリシー設定のベストプラクティスについて ..................... リモートクライアントの通知の有効化について ........................................ リモートクライアントのログ管理設定のカスタマイズ .................................. リモートクライアントの負荷分散とローミングの管理 .................................. リモートクライアントの監視について .................................................... 第 13 章 189 190 191 192 193 195 197 198 199 201 203 203 204 207 209 210 ポリシーを使ったセキュリティの管理 213 215 217 218 219 220 221 222 225 226 226 227 228 228 229 229 ............................. 231 セキュリティポリシーの種類 .............................................................. すべてのセキュリティポリシーに共通なタスクの実行 ............................... 共有ポリシーと非共有ポリシーについて .............................................. ポリシーの追加 ............................................................................ [ポリシー]ページでのポリシーのコピーと貼り付け .................................. [クライアント]ページでのポリシーのコピーと貼り付け .............................. 232 234 236 237 238 239 7 8 目次 ポリシーの編集 ............................................................................ ポリシー設定のロックおよびロック解除 ................................................ グループへのポリシーの割り当て ...................................................... セキュリティポリシーのテスト ............................................................. ポリシーの置換 ............................................................................ ポリシーのエクスポートとインポート .................................................... 共有ポリシーの非共有ポリシーへの変換 ............................................. ポリシーの撤回 ............................................................................ ポリシーの完全な削除 ................................................................... クライアントコンピュータがポリシー更新を取得する方法 ........................... クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプ ルモードの設定 ..................................................................... ポリシーのシリアル番号を使ったクライアント/サーバーの通信の確認 .......... クライアントコンピュータで動作するアプリケーションとサービスの監視 .......... クライアントコンピュータで実行されるアプリケーションに関する情報を収集 するための管理サーバーの設定 ................................................. コンピュータで実行されるアプリケーションに関する情報の検索 ................. アプリケーション検索の結果の保存 ................................................... 第 14 章 ウイルス対策とスパイウェア対策の管理 239 240 241 242 243 244 245 246 247 248 249 251 252 254 255 257 ...................... 259 クライアントコンピュータに対するウイルスとスパイウェアの攻撃の防止と処 理 ...................................................................................... ネットワーク内のコンピュータのリスクの修復 ......................................... 感染コンピュータとリスクを伴うコンピュータの識別 ............................ スキャン処理の確認と識別されたコンピュータの再スキャン ................. クライアントコンピュータでのスキャンの管理 ......................................... スキャンの種類とリアルタイム保護について .................................... Auto-Protect の種類について ................................................... ウイルスとセキュリティリスクについて ............................................. Symantec Endpoint Protection がウイルススキャンとスパイウェアス キャンから除外するファイルとフォルダについて ......................... 検出についての情報のシマンテックセキュリティレスポンスへの提出に ついて ........................................................................... 提出の調整について ............................................................... デフォルトのウイルスとスパイウェアの対策ポリシーのスキャン設定に ついて ........................................................................... Symantec Endpoint Protection がウイルスとセキュリティリスクの検 出を処理する方法 ............................................................ Windows コンピュータで実行される定時スキャンの設定 ......................... Mac コンピュータで実行される定時スキャンの設定 ................................ クライアントコンピュータでのオンデマンドスキャンの実行 ......................... スキャンの調整によるクライアントコンピュータパフォーマンスの改善 ............ 260 262 264 265 266 269 272 274 276 281 282 283 287 288 289 290 291 目次 スキャンの調整によるクライアントコンピュータでの保護の強化 ................... ダウンロードインサイト検出の管理 ..................................................... Symantec Endpoint Protection が評価データを使ってファイルに関する 決定を下す方法 ..................................................................... Symantec Endpoint Protection の保護機能が連携動作する方法 ............ シマンテックセキュリティレスポンスへのクライアントの提出の有効化または 無効化 ................................................................................ クライアントの提出と他の外部通信のためのプロキシサーバーの指定 .......... 検疫の管理 ................................................................................ ローカル検疫フォルダの指定 ..................................................... 検疫ファイルを自動的に削除するタイミングの指定 ........................... 中央検疫サーバーまたはシマンテックセキュリティレスポンスに検疫項 目を提出するクライアントの設定 ........................................... 新しい定義の到着後に検疫がファイルの再スキャンを処理する方法の 設定 ............................................................................. クライアントコンピュータにある検疫ファイルのリスクログを使った削 除 ................................................................................ クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管 理 ...................................................................................... 第 15 章 295 297 301 302 304 307 307 310 310 311 312 312 313 スキャンのカスタマイズ ..................................................... 317 Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャ ンのカスタマイズ .................................................................... Mac コンピュータで実行されるウイルススキャンとスパイウェアスキャンのカ スタマイズ ............................................................................ Windows クライアントの Auto-Protect のカスタマイズ ............................ Mac クライアントの Auto-Protect のカスタマイズ ................................... Windows コンピュータで実行する電子メールスキャンの Auto-Protect の カスタマイズ .......................................................................... Windows コンピュータで実行されるクライアントに対する管理者定義のス キャンのカスタマイズ ............................................................... Mac コンピュータで実行されるクライアントに対する管理者定義のスキャン のカスタマイズ ....................................................................... 仮想化された環境でのスキャンのランダム化によるコンピュータパフォーマ ンスの向上 ........................................................................... Windows クライアントのグローバルなスキャン設定の修正 ........................ Windows コンピュータでのウイルス対策とスパイウェアの対策に関するそ の他の設定の修正 .................................................................. ダウンロードインサイトの設定のカスタマイズ ......................................... 検出を行ったときに Symantec Endpoint Protection が実行する処理の 変更 ................................................................................... ユーザーによるスキャン進行状況の表示とスキャンの操作の許可 ............... 318 319 320 322 323 324 325 326 327 328 331 332 334 9 10 目次 Symantec Endpoint Protection と Windows セキュリティセンターとの相 互作用 ................................................................................ 仮想環境での Symantec Endpoint Protection の管理 .......................... Shared Insight Cache と通信するためのクライアントの設定 ............... 基本イメージへの Virtual Image Exception ツールの使用 ................ 基本イメージファイルのスキャンのバイパス ..................................... 第 16 章 SONAR の管理 .................................................................... 343 SONAR について ......................................................................... SONAR で検出されるファイルとアプリケーションについて ........................ SONAR の管理 ........................................................................... SONAR の誤認検出の処理と防止 .................................................... クライアントコンピュータでの SONAR 設定の調整 .................................. SONAR 検出結果の監視による誤認のチェック ..................................... レガシークライアントの TruScan プロアクティブ脅威スキャンの管理 ............ レガシークライアントの TruScan 設定の調整について ...................... レガシークライアントの TruScan プロアクティブ脅威スキャン設定の指 定 ................................................................................ 第 17 章 336 337 338 340 341 改変対策の管理 343 344 344 348 349 350 352 353 354 ................................................................ 357 改変対策について ........................................................................ 357 改変対策の設定の変更 ................................................................. 358 第 18 章 ファイアウォール保護の管理 ........................................... 361 ファイアウォール保護の管理 ............................................................ ファイアウォールのしくみ .......................................................... Symantec Endpoint Protection ファイアウォールについて ............... ファイアウォールポリシーの作成 ....................................................... ファイアウォールポリシーの有効化および無効化 ............................. 基本的なネットワークサービスの通信の自動的な許可 ....................... 混合制御のファイアウォール設定 ................................................ 攻撃側コンピュータへの接続の自動遮断 ...................................... 潜在的な攻撃と詐称の試行の検出 .............................................. ステルスの検出の防止 ............................................................. Windows ファイアウォールの無効化 ........................................... ピアツーピア認証の設定 .......................................................... ファイアウォールルールについて ...................................................... ファイアウォールのサーバールールとクライアントルールについて ......... ファイアウォールルール、ファイアウォール設定、侵入防止の処理順 について ........................................................................ 継承したファイアウォールルールについて ..................................... 361 363 363 364 367 368 369 370 371 372 373 374 376 377 379 380 目次 ファイアウォールルールの順序の変更 .......................................... ファイアウォールでのステートフルインスペクションの使い方 ................ ファイアウォールルールのアプリケーショントリガについて ................... ファイアウォールルールのホストトリガについて ................................ ファイアウォールルールのネットワークサービストリガについて .............. ファイアウォールルールのネットワークアダプタトリガについて .............. ファイアウォールルールの設定 ......................................................... 新しいファイアウォールルールの追加 ........................................... ファイアウォールルールのインポートとエクスポート ........................... ファイアウォールルールのコピーと貼り付け .................................... ファイアウォールルールのカスタマイズ .......................................... 第 19 章 侵入防止の管理 ................................................................ 411 クライアントコンピュータでの侵入防止の管理 ....................................... 侵入防止の動作 .......................................................................... Symantec IPS シグネチャについて ................................................... カスタム IPS シグネチャについて ...................................................... ネットワーク侵入防止とブラウザ侵入防止の有効化と無効化 ..................... IPS シグネチャの例外の作成 ........................................................... 除外するコンピュータのリストの設定 ................................................... クライアント侵入防止の通知の設定 .................................................... カスタム侵入防止シグネチャの管理 ................................................... カスタム IPS ライブラリの作成 ..................................................... カスタム IPS ライブラリへのシグネチャの追加 ................................. 複数のカスタム IPS ライブラリのグループへの割り当て ...................... カスタム IPS シグネチャの順序の変更 .......................................... カスタム IPS シグネチャのコピーと貼り付け .................................... カスタム IPS シグネチャの変数の定義 .......................................... カスタム IPS シグネチャのテスト .................................................. 第 20 章 382 382 383 388 391 393 395 396 397 398 399 アプリケーションとデバイス制御の管理 411 415 415 416 417 417 419 420 421 423 423 425 425 426 426 427 ........................ 429 アプリケーションとデバイス制御について ............................................. アプリケーションとデバイス制御ポリシーについて ................................... アプリケーションとデバイス制御ポリシーの構造について .......................... アプリケーションとデバイス制御の設定 ............................................... デフォルトのアプリケーション制御ルールセットの有効化 .......................... カスタムアプリケーション制御ルールの作成 ......................................... アプリケーション制御ルールの作成のベストプラクティスについて ......... 一般的なアプリケーション制御ルール .......................................... カスタムルールセットの作成とルールの追加 ................................... アプリケーション制御とデバイス制御のポリシー間で行うアプリケーショ ンルールセットまたはルールのコピー ..................................... 429 431 431 432 434 435 437 439 441 443 11 12 目次 特定のアプリケーションへのルールの適用とルールからのアプリケー ションの除外 ................................................................... カスタムアプリケーション制御ルールへの条件と処理の追加 ............... アプリケーション制御ルールセットのテスト ...................................... システムロックダウンの設定 ............................................................. ファイルフィンガープリントリストの管理 .......................................... テストモードでのシステムロックダウンの実行 ................................... システムロックダウンを有効にした未承認アプリケーションの遮断 .......... システムロックダウンからの項目のテストおよび削除 .......................... デバイス制御の管理 ...................................................................... ハードウェアデバイスのリストについて ........................................... クラス ID またはデバイス ID の取得 ............................................. ハードウェアデバイスリストへのハードウェアデバイスの追加 ................ デバイス制御の設定 ................................................................ 第 21 章 例外の管理 ......................................................................... 465 Symantec Endpoint Protection に対する例外について ........................ Symantec Endpoint Protection の例外の管理 ................................... Symantec Endpoint Protection の例外の作成 ................................... スキャンからのファイルまたはフォルダの除外 ................................. ウイルススキャンとスパイウェアスキャンからの既知のリスクの除外 ......... ウイルススキャンとスパイウェアスキャンからの拡張子の除外 ................ アプリケーションの例外を作成するための学習済みアプリケーションの 監視 ............................................................................. Symantec Endpoint Protection で監視対象アプリケーションが処理 される方法の指定 ............................................................. 信頼できる Web ドメインのスキャンからの除外 ................................ アプリケーションのアプリケーション制御からの除外 .......................... 改変対策例外の作成 .............................................................. クライアントコンピュータでユーザーが設定できる例外の種類の制限 ........... Symantec Endpoint Protection Manager でのログイベントに基づく例外 の作成 ................................................................................ 第 22 章 444 445 447 448 450 455 457 458 459 460 461 462 463 更新の設定とクライアントコンピュータ保護の更 新 .................................................................................... コンテンツ更新の管理 ................................................................... LiveUpdate で提供できるコンテンツの種類について ....................... クライアントコンピュータがコンテンツ更新を受信する方法 .................. サイトでのコンテンツ更新のダウンロードの設定 ..................................... Symantec Endpoint Protection Manager の LiveUpdate ダウンロードス ケジュールの設定 ................................................................... 465 466 468 471 473 473 474 474 475 476 476 477 478 481 482 485 489 494 498 目次 Symantec Endpoint Protection Manager への LiveUpdate コンテンツ の手動によるダウンロード ......................................................... LiveUpdate サーバー活動の確認 .................................................... インターネットにアクセスするためにプロキシサーバーに接続する Symantec Endpoint Protection Manager の設定 ....................................... クライアントが Symantec LiveUpdate または社内 LiveUpdate サーバー への通信に使うプロキシサーバーの指定 ...................................... クライアントコンピュータでの LiveUpdate スケジュールの有効化および無 効化 ................................................................................... クライアントコンピュータの更新に使われるコンテンツの種類の設定 ............. クライアントコンピュータの LiveUpdate ダウンロードスケジュールの設 定 ...................................................................................... ユーザーが LiveUpdate に対して持つ制御権限の設定 .......................... クライアントが使うコンテンツリビジョンの制御 ........................................ LiveUpdate のダウンロードに使われるディスク容量の設定 ...................... 同時コンテンツダウンロードのランダム化について .................................. デフォルトの管理サーバーまたは GUP からのコンテンツダウンロードのラ ンダム化 .............................................................................. LiveUpdate サーバーからのコンテンツダウンロードのランダム化 ............... クライアントコンピュータがアイドル状態のときにクライアント更新を実行する 設定 ................................................................................... 定義が古いときやコンピュータが切断されていたときに実行するクライアン ト更新の設定 ........................................................................ コンテンツを配布するグループ更新プロバイダの設定 ............................. グループ更新プロバイダの種類について ...................................... グループ更新プロバイダとレガシーソフトウェアリリースについて ........... 複数のグループ更新プロバイダのルールの設定について .................. グループ更新プロバイダの設定 .................................................. グループ更新プロバイダとして機能するクライアントの検索 ................. 外部 LiveUpdate サーバーの設定 .................................................... 社内 LiveUpdate サーバーの設定 .................................................... Intelligent Updater ファイルによるクライアントのウイルスとセキュリティリス クの定義の更新 ..................................................................... サードパーティの配布ツールを使ったクライアントコンピュータの更新 .......... 管理下クライアントへのサードパーティのコンテンツ配布を許可する LiveUpdate 設定ポリシーの設定 .......................................... サードパーティの配布ツールから更新を受信するための管理外クライ アントの準備 ................................................................... サードパーティの配布ツールを使ったコンテンツの配布 ..................... 498 499 499 500 501 502 503 504 505 506 507 508 509 510 511 511 513 515 516 517 519 520 521 524 525 526 527 529 13 14 目次 第 23 章 レポートとログを使った保護の監視 ................................ 533 エンドポイント保護の監視 ............................................................... 日次または週次の状態レポートの表示 ......................................... システム保護の表示 ................................................................ オフラインコンピュータの検索 .................................................... スキャンしていないコンピュータの検索 ......................................... リスクの表示 .......................................................................... クライアントインベントリの表示 .................................................... 攻撃の標的と攻撃元の表示 ...................................................... レポートの環境設定 ...................................................................... スタンドアロン Web ブラウザからのレポートへのログオン .......................... レポートの種類について ................................................................. クイックレポートの実行とカスタマイズ .................................................. カスタムレポートの保存と削除 .......................................................... 定時レポートの作成 ...................................................................... 定時レポートに使うフィルタの編集 ..................................................... レポートの印刷と保存 .................................................................... ログの表示 ................................................................................. ログについて ......................................................................... フィルタを使ったカスタムログの保存と削除 .................................... 別のサイトのログの表示 ............................................................ クライアントコンピュータでのログからのコマンド実行 ............................... 第 24 章 通知の管理 ......................................................................... 559 通知の管理 ................................................................................ 通知のしくみ ......................................................................... 事前設定された通知について .................................................... パートナー通知について .......................................................... 管理サーバーと電子メールサーバー間の通信の確立 ............................. 通知の表示と対応 ........................................................................ 管理通知フィルタの保存と削除 ........................................................ 管理者通知の設定 ....................................................................... 別のバージョンからのアップグレードが通知条件に与える影響 ................... 第 25 章 533 537 537 538 538 539 539 540 541 542 543 545 547 548 549 550 551 552 555 556 557 ドメインの管理 559 560 561 565 565 566 567 567 569 .................................................................... 571 ドメインについて ........................................................................... ドメインの追加 ............................................................................. ドメインログオンバナーの追加 .................................................... 現在のドメインの設定 .................................................................... 571 572 573 574 目次 第 26 章 管理者アカウントの管理 ................................................... 575 ドメインと管理者アカウントの管理 ...................................................... 管理者について ........................................................................... 管理者アカウントの追加 ................................................................. アクセス権について ....................................................................... ドメイン管理者のアクセス権の設定 .................................................... 限定管理者のアクセス権の設定 ....................................................... 管理者パスワードの種類の変更 ....................................................... 管理者アカウントのための認証の設定 ................................................ RSA SecurID を使ってログオンする管理者を認証するための管理サーバー の設定 ................................................................................ RSA SecurID を使って管理サーバーにログオンする管理者の認証 ............ Symantec Endpoint Protection Manager 管理者の SecurID 認証の指 定 ...................................................................................... 管理者パスワードの変更 ................................................................ 管理者によるログオンクレデンシャルの保存の許可 ................................ 忘れたパスワードの管理者によるリセットの許可 ..................................... 忘れたパスワードのリセット .............................................................. 管理者のユーザー名とパスワードの admin へのリセット .......................... ログオン失敗回数が多すぎる管理者のアカウントのロック ......................... 576 577 580 580 582 582 583 584 585 586 586 587 588 588 589 590 591 第3部 セキュリティ環境の保守 第 27 章 サーバーの管理 ................................................................. 595 ......................................... 593 サーバーの管理 .......................................................................... Symantec Endpoint Protection サーバーの種類について ..................... 管理サーバーとクライアントコンピュータ間の接続の管理 ......................... クライアントとサーバーのパフォーマンスの向上 ..................................... サーバーの設定のエクスポートとインポート .......................................... サーバー証明書の種類について ...................................................... サーバー証明書の更新 ................................................................. クライアントを孤立させないサーバーセキュリティ証明書のアップグレー ド ....................................................................................... クライアントが孤立するのを防ぐセキュア通信の設定 ......................... サーバー証明書のバックアップ ........................................................ Symantec Endpoint Protection Manager とクライアント間の SSL の設 定 ...................................................................................... ポートの可用性の検証 ............................................................. SSL ポートの割り当ての変更 ..................................................... 管理サーバーとクライアント間の SSL 通信の有効化 ......................... 595 597 598 600 602 603 604 605 606 606 607 607 608 609 15 16 目次 リモートの Symantec Endpoint Protection Manager コンソールへのアク セスの認可または拒否 ............................................................. 609 第 28 章 ディレクトリサーバーの管理 ............................................. 611 組織単位と LDAP サーバーについて ................................................. 組織単位の同期について ............................................................... LDAP ディレクトリサーバーからのユーザーとコンピュータアカウントの情報 のインポートについて .............................................................. ディレクトリサーバーと Symantec Endpoint Protection Manager 間の ユーザーアカウントの同期 ........................................................ LDAP ディレクトリサーバー上のユーザーの検索 ................................... LDAP ディレクトリサーバー検索結果リストからのユーザーのインポート ......... Active Directory または LDAP サーバーからの組織単位のインポー ト ....................................................................................... ディレクトリサーバーの追加 ............................................................. 第 29 章 フェールオーバーと負荷分散の管理 613 613 616 617 618 621 625 626 627 628 629 631 631 632 633 634 ............................. 635 フェールオーバーと負荷分散の設定 .................................................. フェールオーバーと負荷分散について ............................................... 管理サーバーリストの設定 .............................................................. グループと場所への管理サーバーリストの割り当て ................................ 第 31 章 612 データベースの管理 .......................................................... 621 データベースの保守 ..................................................................... データベースの自動バックアップのスケジュール設定 ............................. 自動データベース保守タスクのスケジュール設定 .................................. Microsoft SQL Server データベースのファイルサイズの拡大 ............. ログデータの Syslog サーバーへのエクスポート .................................... ログデータのテキストファイルへのエクスポート ...................................... ログデータのカンマ区切りテキストファイルへのエクスポート ...................... クライアントログサイズと管理サーバーにアップロードするログの指定 ........... データベース内のログエントリの保存期間の指定 ................................... クライアントログデータの量の調整による領域の拡大について ................... データベースからのログデータの手動の消去 ....................................... 第 30 章 611 612 635 636 638 639 ディザスタリカバリの準備 ................................................. 641 ディザスタリカバリの準備 ................................................................ 641 データベースとログのバックアップ ..................................................... 642 目次 第4部 Symantec Network Access Control による ネットワークコンプライアンスの管理 ......... 645 第 32 章 Symantec Network Access Control の概要 .................. 647 Symantec Network Access Control について .................................... Symantec Network Access Control でのエンフォースメントの種類につい て ...................................................................................... Symantec Network Access Control の動作方法 ................................. セルフエンフォースメントのしくみ ....................................................... Symantec Network Access Control エンフォーサアプライアンスがホスト インテグリティポリシーと連携する方法 ........................................... エンフォーサアプライアンスと Symantec Endpoint Protection Manager との通信 ........................................................... エンフォーサアプライアンスとクライアントとの通信 ............................ ゲートウェイエンフォーサアプライアンスの動作 ..................................... LAN エンフォーサアプライアンスの動作 ............................................. Microsoft DHCP サーバー用 Integrated Enforcer の動作 ..................... Microsoft Network Access Protection 用 Integrated Enforcer が Microsoft Network Policy Server(NPS)と連携する方法 ................. オンデマンドクライアントの動作 ........................................................ 第 33 章 648 649 651 653 654 655 655 656 658 660 660 Symantec Network Access Control の使用 .................. 663 Symantec Enforcer アプライアンスでできること .................................... Symantec Integrated Enforcer でできること ....................................... オンデマンドクライアントでできること ................................................... Symantec Network Access Control の配備 ....................................... 第 34 章 647 663 665 665 666 ホストインテグリティの設定 .............................................. 669 ホストインテグリティポリシーでできること .............................................. ホストインテグリティポリシーの使用について ......................................... 検疫ポリシーについて ............................................................. ホストインテグリティポリシーの作成とテスト ........................................... ホストインテグリティ必要条件について ................................................ ホストインテグリティ必要条件の追加 ................................................... Mac 用ホストインテグリティの設定 ..................................................... ホストインテグリティの必要条件の有効化、無効化、削除 .......................... ホストインテグリティ必要条件のシーケンスの変更 .................................. テンプレートからのホストインテグリティ必要条件の追加 ........................... ホストインテグリティ検査の設定について ............................................. 必要条件失敗時のホストインテグリティ検査の成功許可 ........................... 670 670 670 671 674 676 677 678 678 679 680 681 17 18 目次 ホストインテグリティ検査の通知の設定 ................................................ ホストインテグリティ修復について ...................................................... ホストインテグリティのためのアプリケーションとファイルの修復につい て ................................................................................ ホストインテグリティの修復とエンフォーサの設定 ............................. クライアントの修復待機時間の指定 .................................................... ユーザーによるホストインテグリティ修復の延期または中止の許可 .............. 第 35 章 カスタム必要条件の追加 682 683 683 684 684 685 ................................................. 687 カスタム必要条件について .............................................................. 条件について .............................................................................. ウイルス対策の条件について ..................................................... スパイウェア対策の条件について ................................................ ファイアウォールの条件について ................................................ ファイルの条件について ........................................................... オペレーティングシステムの条件について ..................................... レジストリの条件について .......................................................... 関数について .............................................................................. カスタム必要条件の論理について ..................................................... RETURN 文について .............................................................. IF、THEN、ENDIF 文について .................................................. ELSE 文について ................................................................... NOT キーワードについて .......................................................... AND、OR キーワードについて ................................................... カスタム必要条件スクリプトの記述 ..................................................... IF THEN 文の追加 ................................................................. IF 文と IF NOT 文の間での切り替え ............................................ ELSE 文の追加 ...................................................................... コメントの追加 ........................................................................ IF 文、条件、関数、コメントのコピーと貼り付け ................................ 文、条件、関数の削除 ............................................................. メッセージダイアログボックスの表示 ................................................... ファイルのダウンロード ................................................................... レジストリ値の設定 ........................................................................ レジストリ DWORD 値の増分 ........................................................... プログラムの実行 .......................................................................... スクリプトの実行 ........................................................................... ファイルのタイムスタンプの設定 ........................................................ カスタム必要条件スクリプトの待ち時間の指定 ....................................... 687 688 688 689 690 690 692 692 694 695 695 696 696 696 696 697 698 699 699 699 700 700 700 701 702 703 703 704 705 706 目次 第 36 章 Symantec Network Access Control エンフォーサア プライアンスの概要 ..................................................... 707 Symantec Network Access Control Enforcer のアプライアンスについ て ...................................................................................... 707 サードパーティのエンフォースメントソリューションのサポート ...................... 708 第 37 章 すべての種類のエンフォーサアプライアンスのイン ストール .......................................................................... 709 エンフォーサアプライアンスのインストールについて ................................ エンフォーサアプライアンスのインストール ........................................... エンフォーサアプライアンスのインジケータとコントロールボタンについ て ...................................................................................... エンフォーサアプライアンスの設定 .................................................... エンフォーサアプライアンスへのログオン ............................................. エンフォーサアプライアンスの設定 .................................................... 第 38 章 711 712 714 714 すべての種類のエンフォーサアプライアンスイメー ジのアップグレードと再イメージ処理 ........................ 717 エンフォーサアプライアンスイメージのアップグレードと再イメージ処理につ いて .................................................................................... エンフォーサハードウェアの互換性の表 .............................................. エンフォーサアプライアンスイメージの現在のバージョンの判断 ................. エンフォーサアプライアンスイメージのアップグレード .............................. エンフォーサアプライアンスイメージの再イメージ処理 ............................. 第 39 章 709 710 717 718 719 719 720 すべての種類のエンフォーサアプライアンスのコン ソールでの基本的なタスクの実行 ............................ 723 エンフォーサアプライアンスのコンソールでの基本的なタスクの実行につい て ...................................................................................... エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の接続の設定 .................................................................... SPM の設定 ......................................................................... エンフォーサコンソールでのエンフォーサアプライアンスの通信状態チェッ ク ....................................................................................... エンフォーサアプライアンスへのリモートアクセス .................................... 723 724 725 726 727 19 20 目次 第 40 章 ゲートウェイエンフォーサアプライアンスのインストー ルの計画 ....................................................................... ゲートウェイエンフォーサアプライアンスのインストール計画 ...................... ゲートウェイエンフォーサアプライアンスを配置する場所 .................... ゲートウェイエンフォーサアプライアンスで IP アドレスを設定する際の ガイドライン ..................................................................... 連続する 2 つのゲートウェイエンフォーサアプライアンスについ て ................................................................................ ゲートウェイエンフォーサアプライアンスを介した VPN アクセスの保 護 ................................................................................ ゲートウェイエンフォーサアプライアンスを介した無線アクセスポイント の保護 .......................................................................... ゲートウェイエンフォーサアプライアンスを介したサーバーの保護 ......... ゲートウェイエンフォーサアプライアンスを介した Windows 以外のサー バーおよびクライアントの保護 .............................................. Windows 以外のクライアントを認証せずに許可するための必要条 件 ................................................................................ ゲートウェイエンフォーサアプライアンスの NIC の設定 ............................ ゲートウェイエンフォーサアプライアンスのフェールオーバー計画 ............... ネットワークでのゲートウェイエンフォーサアプライアンスのフェール オーバーの動作 ............................................................... 1 つ以上の VLAN を持つネットワークでのフェールオーバー用ゲート ウェイエンフォーサアプライアンスの配置場所 ........................... フェールオーバー用のゲートウェイエンフォーサアプライアンスの設 定 ................................................................................ ゲートウェイエンフォーサアプライアンスのフェールオープンおよびフェー ルクローズ計画 ...................................................................... 第 41 章 729 729 731 733 733 734 734 734 735 736 737 737 738 739 741 741 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの 設定 ................................................................................ 743 Symantec Endpoint Protection Manager コンソールでの Symantec ゲートウェイエンフォーサアプライアンスの設定について .................... Symantec Endpoint Protection Manager でのゲートウェイエンフォーサ アプライアンス設定の変更 ........................................................ ゲートウェイアプライアンスの全般設定について .................................... ゲートウェイエンフォーサアプライアンスのグループの説明を追加また は編集する ..................................................................... ゲートウェイエンフォーサアプライアンスの説明を追加または編集す る ................................................................................. 743 744 747 747 748 目次 ゲートウェイエンフォーサアプライアンスの IP アドレスまたはホスト名を 追加または編集する .......................................................... 管理サーバーリストと conf.properties ファイルによるゲートウェイエン フォーサアプライアンスと Symantec Endpoint Protection Manager 間の通信の確立 .................................................. ゲートウェイアプライアンスの認証設定について .................................... ゲートウェイアプライアンスの認証設定 .......................................... ゲートウェイエンフォーサでの認証セッションについて アプライアン ス ................................................................................. ゲートウェイエンフォーサでのクライアント認証について アプライアン ス ................................................................................. 認証セッション中のチャレンジパケットの最大数の指定 ...................... クライアントに送信されるチャレンジパケットの頻度の指定 .................. 認証の失敗後にクライアントが遮断される期間を指定する .................. 再認証なしでネットワーク接続の保持をクライアントが許可される期間 を指定する ..................................................................... 非認証クライアントのログ記録の継続をすべてのクライアントで許可す る ................................................................................. Windows 以外のクライアントに認証なしでネットワークへの接続を許 可する ........................................................................... クライアントのポリシーのシリアル番号のチェック .............................. ゲートウェイエンフォーサアプライアンスからクライアントに非準拠につ いてのメッセージを送信する ................................................ Web ページへの HTTP 要求のリダイレクト .................................... 認証範囲の設定 .......................................................................... 信頼できる外部 IP アドレスとクライアント IP アドレス範囲との比 較 ................................................................................ クライアント IP アドレス範囲を使うタイミング .................................... 信頼できる IP アドレスについて .................................................. 認証を必要とするアドレスリストへのクライアント IP アドレス範囲の追 加 ................................................................................ 認証を必要とするアドレスリストのクライアント IP アドレス範囲の編 集 ................................................................................ 認証を必要とするアドレスリストからのクライアント IP アドレス範囲の削 除 ................................................................................ 管理サーバーでのクライアントの信頼できる内部 IP アドレスの追 加 ................................................................................ 信頼できる外部 IP アドレスの指定 ............................................... 信頼できる内部または外部 IP アドレスの編集 ................................. 信頼できる内部または外部 IP アドレスの削除 ................................. IP アドレス範囲を調べる順序 ..................................................... 拡張ゲートウェイエンフォーサアプライアンス設定について ....................... パケットの種類とプロトコルの指定 ............................................... 748 749 750 750 753 754 755 756 756 757 758 759 760 761 762 763 764 764 766 767 769 769 770 770 771 772 773 773 774 21 22 目次 第 42 章 第 43 章 レガシークライアントにゲートウェイエンフォーサアプライアンスを使用 したネットワーク接続を許可する ............................................ ゲートウェイエンフォーサアプライアンスのローカル認証を有効にす る ................................................................................. Network Time Protocol によるゲートウェイエンフォーサアプライアン スのシステム時間の更新の有効化 ......................................... ゲートウェイエンフォーサアプライアンスの Web サーバーとしての使 用 ................................................................................ ゲートウェイエンフォーサの DNS 詐称のサーバーとしての使用 ........... 777 778 LAN エンフォーサアプライアンスのインストール計 画 .................................................................................... 781 LAN エンフォーサアプライアンスのインストールの計画 ............................ LAN エンフォーサアプライアンスの配置場所 ................................. LAN エンフォーサアプライアンスのフェールオーバー計画 ....................... ネットワークでの LAN エンフォーサアプライアンスの配置場所 ............. 781 782 785 785 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 .......................... 787 Symantec Endpoint Protection Manager コンソールでの Symantec LAN エンフォーサの設定について .............................................. LAN エンフォーサアプライアンスでの RADIUS サーバーの設定につい て ...................................................................................... LAN エンフォーサアプライアンスでの 802.1x 無線アクセスポイントの設定 について .............................................................................. Symantec Endpoint Protection Manager での LAN エンフォーサ設定 の変更 ................................................................................ 全般の設定の使用 ....................................................................... LAN エンフォーサを使った LAN エンフォーサアプライアンスグルー プの名前の追加または編集 ................................................ VLAN スイッチと LAN エンフォーサの間の通信用応答準備ポートの 指定 ............................................................................. LAN エンフォーサを含むエンフォーサグループの説明の追加または 編集 ............................................................................. LAN エンフォーサの IP アドレスかホスト名の追加または編集 .............. LAN エンフォーサの説明の追加または編集 .................................. Symantec Endpoint Protection Manager への LAN エンフォーサ の接続 .......................................................................... RADIUS サーバーのグループ設定の使用 .......................................... RADIUS サーバーのグループ名と RADIUS サーバーの追加 ............. RADIUS サーバーグループの名前の編集 .................................... RADIUS サーバーの通称の編集 ................................................ 775 776 776 788 788 789 790 792 793 793 794 794 794 795 796 796 798 799 目次 RADIUS サーバーのホスト名か IP アドレスの編集 ........................... RADIUS サーバーの認証ポート番号の編集 .................................. RADIUS サーバーの共有秘密の編集 .......................................... LAN エンフォーサでの Windows NPS(Network Policy Server)の サポートの有効化 ............................................................. RADIUS サーバーグループの名前の削除 .................................... RADIUS サーバーの削除 ........................................................ スイッチ設定の使用 ...................................................................... スイッチの設定 ...................................................................... スイッチモデルの属性のサポートについて ..................................... ウィザードを使って、LAN エンフォーサアプライアンスに 802.1x スイッ チポリシーを追加する ........................................................ スイッチポリシーと 802.1x 対応スイッチについての基本情報の編 集 ................................................................................ 802.1x 対応スイッチについての情報の編集 .................................. スイッチポリシーのための VLAN 情報の編集 ................................. スイッチポリシーの処理情報の編集 ............................................. LAN エンフォーサアプライアンスの拡張設定の使用 ............................... レガシークライアントに LAN エンフォーサアプライアンスを使用した ネットワーク接続を許可する ................................................. LAN エンフォーサアプライアンスのローカル認証を有効にする ............ Network Time Protocol によるエンフォーサアプライアンスのシステ ム時間の更新の有効化 ...................................................... LAN エンフォーサでの MAC アドレスと MAC 認証バイパス(MAB)の設 定 ...................................................................................... 802.1x 認証の使用 ....................................................................... クライアントコンピュータの再認証について ..................................... 第 44 章 800 800 801 801 802 802 803 803 805 807 815 820 821 824 828 828 829 829 830 831 834 Symantec Endpoint Protection Manager でのエン フォーサの管理 ............................................................ 837 管理サーバーコンソールでのエンフォーサの管理について ...................... サーバーページからのエンフォーサの管理について .............................. エンフォーサグループについて ........................................................ コンソールがエンフォーサグループ名を判断する方法 ....................... フェールオーバーのエンフォーサグループについて ......................... グループ名の変更について ...................................................... 新しいエンフォーサグループの作成について ................................. エンフォーサコンソールに表示されるエンフォーサ情報について ................ 管理コンソールでのエンフォーサについての情報の表示 ......................... エンフォーサの名前と説明の変更 ..................................................... エンフォーサまたはエンフォーサグループの削除 .................................. エンフォーサグループの設定のエクスポートとインポート .......................... 838 838 839 839 839 840 840 840 841 842 842 843 23 24 目次 遮断されたクライアントのためのポップアップメッセージ ............................ クライアントを実行しているコンピュータのためのメッセージ ................. クライアントを実行していない Windows コンピュータのためのメッセー ジ(ゲートウェイエンフォーサのみ) ......................................... エンフォーサメッセージの設定 ................................................... クライアントの設定とエンフォーサについて ........................................... クライアントサービスの停止にパスワードを使うためのクライアントの設 定 ...................................................................................... エンフォーサのレポートとログについて ............................................... エンフォーサログの設定 ................................................................. Symantec Endpoint Protection Manager コンソールでのエンフォー サのログ記録の無効化 ....................................................... エンフォーサから Symantec Endpoint Protection Manager へのエ ンフォーサログ送信の有効化 ............................................... エンフォーサログのサイズと保持期間の設定 .................................. エンフォーサのトラフィックログのフィルタ処理 ................................. 第 45 章 844 844 844 845 846 846 846 847 849 849 850 850 Symantec Integrated Enforcer の概要 .......................... 853 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer について .................................................. 853 Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer について ....................................... 854 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストー ル .................................................................................... Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer をインストールするための処理 ........................ Microsoft DHCP サーバー用 Integrated Enforcer のシステム必要条 件 ...................................................................................... Microsoft DHCP サーバー用 Integrated Enforcer のコンポーネント ......... Microsoft DHCP サーバー用 Integrated Enforcer の配置の必要条 件 ...................................................................................... Microsoft DHCP サーバー用 Integrated Enforcer のインストールを開始 する方法 .............................................................................. Microsoft DHCP サーバー用 Integrated Enforcer のインストール ............ Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のアンインストール ................................ Microsoft DHCP サーバー用 Integrated Enforcer のアップグレー ド ................................................................................. 855 855 856 857 858 860 861 863 864 目次 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 ........................................................... 867 エンフォーサコンソールでの統合エンフォーサの設定について .................. Microsoft DHCP サーバー用 Integrated Enforcer と Symantec Endpoint Protection Manager 間の通信の確立または変更 ........................... 自動検疫の設定 .......................................................................... Symantec Endpoint Protection Manager 接続の編集 ......................... Symantec Endpoint Protection Manager の統合エンフォーサの通信の 設定 ................................................................................... 信頼できる製造元リストの設定 .......................................................... エンフォーサコンソールでのエンフォーサログの表示 .............................. 統合エンフォーサと管理サーバー間の通信サービスの停止と開始 ............. セキュアサブネットマスクの設定 ........................................................ DHCP スコープ例外の作成 ............................................................. 第 48 章 867 870 872 874 874 875 876 877 878 878 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 ........... 881 Symantec Endpoint Protection Manager での Microsoft DHCP サー バー用 Symantec Network Access Control Integrated Enforcer の設定について ..................................................................... Symantec Network Access Control Integrated Enforcer の基本設 定 ...................................................................................... Symantec Network Access Control Integrated Enforcer のエン フォーサグループの名前の追加または編集 ............................. Symantec Network Access Control Integrated Enforcer を含むエ ンフォーサグループの説明の追加または編集 .......................... Symantec Network Access Control Integrated Enforcer の説明の 追加または編集 ............................................................... Symantec Endpoint Protection Manager への Symantec Network Access Control Integrated Enforcer の接続 .......................... Symantec Network Access Control Integrated Enforcer の拡張設 定 ...................................................................................... 認証なしで信頼できるホストとしてネットワークに接続するためのサー バー、クライアント、デバイスの有効化 ..................................... 統合エンフォーサのローカル認証を有効にする .............................. Symantec Network Access Control Integrated Enforcer の認証設 定 ...................................................................................... 認証設定の使用について ......................................................... 認証セッションについて ............................................................ 認証セッション中のチャレンジパケットの最大数の指定 ...................... 882 882 883 883 883 884 885 886 887 888 888 889 890 25 26 目次 クライアントに送信されるチャレンジパケットの頻度の指定 .................. 非認証クライアントのログ記録の継続をすべてのクライアントで許可す る ................................................................................. Windows 以外のクライアントに認証なしでネットワークへの接続を許 可する ........................................................................... クライアントでの Symantec Network Access Control Integrated Enforcer によるポリシーシリアル番号の検査 ............................ Symantec Network Access Control Integrated Enforcer のログ記録の 設定 ................................................................................... 第 49 章 891 892 893 894 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール ......................... 895 Microsoft Network Access Protection 用 Symantec Integrated Enforcer をインストールする前に ............................................................ Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer をインストールするための処理 ............. Microsoft Network Access Protection 用 Integrated Enforcer のシス テム要件 .............................................................................. Microsoft Network Access Protection 用 Symantec Integrated Enforcer のコンポーネント .................................................................... Microsoft Network Access Protection 用 Integrated Enforcer のインス トール ................................................................................. Microsoft Network Access Protection 用 Integrated Enforcer の アンインストール ............................................................... Network Access Protection サーバーの手動での停止と開始 ............ 第 50 章 891 895 896 897 899 900 901 902 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 ........................ 905 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Integrated Enforcer の設定について ........................... エンフォーサコンソールでの管理サーバーへの Microsoft Network Access Protection 用 Symantec Integrated Enforcer の接続 .................... Microsoft Network Access Protection 用 Symantec Integrated Enforcer と管理サーバーとの間の通信の暗号化 ......................................... Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでのエンフォーサグループ名の設定 ............................... Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでの HTTP 通信プロトコルの設定 .................................. 906 907 909 910 911 目次 第 51 章 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 ........................................................... 913 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Integrated Enforcer の設定につ いて .................................................................................... クライアントのための NAP エンフォースメントの有効化 ............................ 管理サーバーがクライアントを管理することの検証 ................................. セキュリティ健全性確認ポリシーの確認 ............................................... クライアントがホストインテグリティ検査に成功したことの検証 ...................... Network Access Protection 用 Symantec NAC Integrated Enforcer の ログ記録の設定 ..................................................................... 第 52 章 914 915 916 916 917 917 Symantec Network Access Control On-Demand Clientのための一時接続の設定 ............................... 919 Symantec Network Access Control On-Demand Client について ........... ゲートウェイエンフォーサまたはエンフォーサのコンソールで Symantec Network Access Control On-Demand Client を設定する前に .......... Symantec Network Access Control DHCP Integrated Enforcer を使っ たゲストアクセスチャレンジの設定 ............................................... Symantec Network Access Control On-Demand Client が一時的にネッ トワークに接続できるようにする ................................................... Symantec Network Access Control On-Demand Client の無効化 .......... Symantec Network Access Control On-Demand Client のためのゲート ウェイエンフォーサコンソールでの認証の設定 ................................ ローカルデータベースによるユーザー認証の設定 ........................... Microsoft Windows 2003 Server の Active Directory によるユー ザー認証の設定 .............................................................. RADIUS サーバーによるユーザー認証の設定 ............................... Windows での dot1x-tls プロトコルによる認証のための On-Demand Client の設定 ................................................................. Windows での dot1x-peap プロトコルによる認証のための On-Demand Client の設定 ................................................ on-demand authentication コマンド .......................................... ようこそページのバナーの編集 ......................................................... 919 920 922 926 928 928 929 930 930 931 932 933 941 27 28 目次 第5部 Symantec Endpoint Protection と Symantec Network Access Control の トラブルシューティング ....................................... 943 第 53 章 ディザスタリカバリの実行 ................................................. 945 ディザスタリカバリの実行 ................................................................ 945 データベースの復元 ..................................................................... 946 Symantec Endpoint Protection Manager の再インストールまたは再設 定 ...................................................................................... 947 第 54 章 インストールと通信の問題のトラブルシューティン グ ..................................................................................... 949 コンピュータの問題を解決するための Symantec Endpoint Protection サ ポートツールのダウンロード ....................................................... インストールに失敗した場所の識別 ................................................... 管理サーバーとクライアント間の通信の問題のトラブルシューティング .......... 管理サーバーとの接続の確認または管理サーバーとの再接続 ............ クライアントが接続され、保護されているかどうかを確認する方法 .......... クライアントでのトラブルシューティングファイルを使った保護の問題の 調査 ............................................................................ クライアントが管理サーバーに接続しているかどうかを確認するための アクセスログの有効化と表示 ................................................ Apache Web サーバーの停止と開始 ........................................... ping コマンドを使用した管理サーバーへの接続性のテスト ................ クライアントコンピュータでブラウザを使った管理サーバーへの接続性 のテスト ......................................................................... クライアントコンピュータのデバッグログのチェック ............................. 管理サーバーの受信ボックスログのチェック ................................... SylinkDrop ツールを使ったクライアントの通信設定の修復 ................ 管理サーバーとコンソールまたはデータベース間の通信問題のトラブル シューティング ....................................................................... データベースとの接続の検証 .................................................... クライアント/サーバーの通信のファイル .............................................. 第 55 章 レポートに関する問題のトラブルシューティング 949 950 950 952 952 953 954 955 955 956 957 957 958 959 960 962 .......... 965 レポートに関する問題のトラブルシューティング ..................................... レポートコンソール用の状況感知型ヘルプのトラブルシューティング ............ アジア言語を表示するためのレポートフォントの変更 ............................... レポートとログを見直すためのタイムアウトパラメータの変更 ...................... 965 967 968 968 目次 ループバックアドレスの使用が無効になっている場合のレポートページへ のアクセス ............................................................................ 970 64 ビットコンピュータ上での壊れたクライアントシステムログの回復につい て ...................................................................................... 971 第 56 章 エンフォーサアプライアンスのトラブルシューティン グ ..................................................................................... 973 エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の通信問題のトラブルシューティング ......................................... エンフォーサアプライアンスのトラブルシューティング .............................. エンフォーサアプライアンスのよく寄せられる質問 .................................. ホストインテグリティによって管理されるウィルス対策ソフトウェア ............ ホストインテグリティポリシーは、グループごとや場所ごとに設定できま すか? ............................................................................ ホストインテグリティのカスタムメッセージは作成できますか? ................ エンフォーサアプライアンスが Symantec Endpoint Protection Manager と通信できない場合、どうなりますか? ......................... LAN エンフォーサアプライアンスを透過モードで実行するときに RADIUS サーバーは必要ですか? ........................................ クライアントの存在しないコンピュータに対するエンフォースメントの方 法は? ............................................................................ エンフォーサと On-Demand Client との接続のトラブルシューティング ......... 付録 A 973 974 975 976 976 976 976 978 978 981 移行とクライアント配備についての参照先 .................... 985 アップグレードと移行に関する情報 .................................................... サポートされるサーバーアップグレードパス .......................................... サポートされるクライアントアップグレードパス ........................................ Mac クライアントでサポートされている移行とサポートされていない移 行 ...................................................................................... クライアントにインストールする機能の決定 ........................................... 11.x と 12.1 のクライアントの機能のマッピング ...................................... プラットフォームでのクライアント保護機能 ............................................ プラットフォーム別の管理機能 .......................................................... Windows と Mac で利用可能なウイルスとスパイウェアの防止ポリシーの設 定 ...................................................................................... Windows と Mac で利用可能な LiveUpdate ポリシーの設定 ................... バージョン 12.1 にアップグレードする前の Symantec Endpoint Protection Manager のディスク容量の増加 ................................................. 985 987 988 988 989 990 993 994 995 996 997 29 30 目次 付録 B サードパーティツールを利用したクライアントインス トールのカスタマイズと配備 ....................................... 999 サードパーティツールを使ったクライアントソフトウェアのインストール .......... クライアントインストール機能とプロパティについて ................................ msi コマンド文字列の設定について ........................................... setaid.ini の設定について ...................................................... Symantec Endpoint Protection クライアントのインストールプロパ ティ ................................................................................... Symantec Endpoint Protection クライアントの機能 ............................. Windows インストーラのパラメータ .................................................. Windows セキュリティセンターのプロパティ ....................................... クライアントをインストールする場合のコマンドラインの例 ......................... Symantec Management Agent を使ったクライアントソフトウェアのインス トールと配備について ............................................................ Microsoft SMS 2003 を使ったクライアントのインストール ....................... Active Directory Group Policy Object を使ったクライアントのインストー ル ..................................................................................... 管理者用インストールイメージの作成 ......................................... GPO ソフトウェア配布の作成 .................................................... Windows インストーラ 3.1 の起動スクリプトの作成 ......................... 組織単位とインストールソフトウェアへのコンピュータの追加 .............. Sylink.xml ファイルのインストールファイルへのコピー .................... Active Directory Group Policy Object を使ったクライアントソフトウェアの アンインストール ................................................................... 付録 C 1000 1002 1002 1003 1004 1005 1006 1008 1009 1010 1010 1012 1013 1014 1016 1017 1018 1019 エンフォーサアプライアンスのコマンドラインインター フェース ........................................................................ 1021 エンフォーサアプライアンスの CLI コマンド階層について ....................... CLI コマンド階層 ........................................................................ コマンド階層内の移動 .................................................................. エンフォーサアプライアンス CLI のショートカットキー ............................. CLI コマンドのヘルプの使い方 ....................................................... 上位レベルコマンド ..................................................................... clear ................................................................................. date .................................................................................. exit .................................................................................. ヘルプ ............................................................................... hostname .......................................................................... password ........................................................................... ping ................................................................................. reboot ............................................................................... 1021 1022 1025 1026 1027 1029 1029 1029 1029 1029 1030 1031 1031 1032 目次 shutdown .......................................................................... show ................................................................................ start ................................................................................. stop .................................................................................. traceroute ......................................................................... update .............................................................................. 付録 D 1032 1032 1033 1033 1033 1034 クライアントのコマンドラインオプション ......................... 1035 クライアントサービスの Windows のコマンド ....................................... 1035 エラーコード .............................................................................. 1039 クライアントをパスワード保護する場合のパラメータの入力 ...................... 1040 索引 .................................................................................................................. 1043 31 32 目次 1 Symantec Endpoint Protection の概要 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection について ■ バージョン 12.1 の新機能 ■ Symantec Endpoint Protection が提供する脅威防止の種類について ■ Symantec Endpoint Protection によるネットワークの保護 Symantec Endpoint Protection について Symantec Endpoint Protection はネットワークのラップトップ、デスクトップ、Mac コン ピュータ、サーバーをマルウェアから保護するクライアントサーバーソリューションです。 Symantec Endpoint Protection はウイルス防止と高度な脅威防止を組み合わせてコン ピュータを既知の脅威や未知の脅威からプロアクティブに守ります。 Symantec Endpoint Protection はウイルス、ワーム、トロイの木馬、スパイウェア、アド ウェアのようなマルウェアから保護します。また、ルートキット、ゼロデイ攻撃、変異するス パイウェアのような、従来のセキュリティ対策で対応できない最も高度な攻撃からも保護し ます。Symantec Endpoint Protection は手間のかからない高い能力を備え、ネットワー ク上で通信しながら物理システムと仮想システムの両方に対する攻撃からコンピュータを 自動的に保護します。 この包括的なソリューションは、複数の保護層を単一の統合クライアントに結合すること で、機密性が高く価値のある情報を保護します。Symantec Endpoint Protection では、 単一の管理コンソールと単一のクライアントが提供されることで、管理のためのオーバー ヘッド、時間、コストが減少します。 p.41 の 「Symantec Endpoint Protection が提供する脅威防止の種類について」 を参 照してください。 34 第 1 章 Symantec Endpoint Protection の概要 バージョン 12.1 の新機能 バージョン 12.1 の新機能 現在のリリースには、製品をより簡単に効率的に使うことができるようにする次の改良点が 含まれています。 表 1-1 では、バージョン 12.1 の新機能を説明します。 表 1-1 バージョン 12.1 の新機能 機能 説明 マルウェアに対するより 効果的なセキュリティ 最も重要な改良点は、クライアントコンピュータでの保護を強化する次のポリシー機能です。 ウイルスとスパイウェアの対策ポリシーは、より正確に脅威を検出して誤認を減らし、次のテクノ ロジによってスキャンのパフォーマンスを向上させます。 ■ SONAR は TruScan に代わるテクノロジであり、ヒューリスティックと評価データを使って未 知の脅威の悪質な動作を特定します。TruScan はスケジュールに従って実行しますが、 SONAR は常に実行しています。 p.344 の 「SONAR の管理」 を参照してください。 ■ Auto-Protect が提供する追加保護機能であるダウンロードインサイトは、ユーザーが Web ブラウザ、テキストメッセージクライアント、その他のポータルを通してダウンロードを試みた ファイルを検査します。ダウンロードインサイトは Symantec Insight からの評価情報を使っ て、ファイルに関する決定を下します。 p.297 の 「ダウンロードインサイト検出の管理」 を参照してください。 p.301 の 「Symantec Endpoint Protection が評価データを使ってファイルに関する決定を 下す方法」 を参照してください。 ■ Insight では、シマンテックおよびコミュニティの信頼できるファイルのスキャンをスキップで き、これによりスキャンのパフォーマンスが向上します。 p.327 の 「Windows クライアントのグローバルなスキャン設定の修正」 を参照してください。 ■ Insight ルックアップは、一般にリスクとして検出されない可能性のあるアプリケーションファ イルを検出し、評価のためにファイルの情報をシマンテック社に送信します。シマンテック社 がアプリケーションファイルはリスクであると判断すると、クライアントコンピュータはファイルを リスクとして扱います。インサイトルックアップは、マルウェアの検出をより高速で正確にしま す。 p.324 の 「Windows コンピュータで実行されるクライアントに対する管理者定義のスキャンの カスタマイズ」 を参照してください。 ■ ファイアウォールポリシーには IPv6 ベースのトラフィックを遮断するためのファイアウォールルー ルが含まれます。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 ■ 侵入防止ポリシーに含まれるブラウザ侵入防止は、IPS シグネチャを使って、ブラウザの脆弱性 を狙った攻撃を検出します。 p.417 の 「ネットワーク侵入防止とブラウザ侵入防止の有効化と無効化」 を参照してください。 ■ 第 1 章 Symantec Endpoint Protection の概要 バージョン 12.1 の新機能 機能 説明 より高速で柔軟な管理 Symantec Endpoint Protection Manager では、次の新機能を使ってクライアントコンピュータを より簡単に管理できます。 ■ ■ ■ ■ ■ ■ ■ ■ ■ 集中型ライセンスを使うと、管理コンソールで製品ライセンスを購入、アクティブ化、管理するこ とができます。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 Symantec Endpoint Protection Manager は Protection Center バージョン 2 に登録されま す。Protection Center を使うと、データを一元化し、シマンテック社のセキュリティ製品の管理 を単一の環境に統合できます。 Protection Center が Symantec Endpoint Protection Manager との連携に使用する設定の一部を設定できます。 p.167 の 「Symantec Endpoint Protection と Protection Center について」 を参照してくださ い。 Symantec Endpoint Protection Manager ログオン画面では、忘れたパスワードが自分宛に 電子メールで送信されるようにすることができます。 p.89 の 「Symantec Endpoint Protection Manager コンソールへのログオン」 を参照してくだ さい。 Symantec Endpoint Protection Manager に含まれるオプションを使うと、サイトの管理者であ れば誰でも、忘れたパスワードをリセットできます。 Symantec Endpoint Protection Manager がクライアントコンピュータを再起動するタイミング と方法を設定できるので、ユーザーの活動を妨げることなく再起動できます。 p.129 の 「クライアントコンピュータの再起動」 を参照してください。 [監視]ページには、最も使う頻度が高いイベントを知らせる事前設定済みの電子メール通知が 含まれています。これらのイベントには、新しいクライアントソフトウェアはいつ利用可能か、ポリ シーはいつ変更されるか、ライセンスの更新メッセージ、管理サーバーが保護されていないコン ピュータをいつ見つけるかが含まれます。通知はデフォルトで有効になっており、BlackBerry、 iPhone、Android に対応しています。 p.561 の 「事前設定された通知について」 を参照してください。 [ホーム]ページにはクリックできる概要レベルのレポートが表示されるため、[ホーム]ページが より簡潔でわかりやすくなっています。また、[ホーム]ページには、まだ読んでいないログイベン トに関する通知へのリンクも表示されます。 p.566 の 「通知の表示と対応」 を参照してください。 改良された状態報告では、クライアントコンピュータが感染していない状態になると、コンピュー タのまだ感染している状態が自動的にリセットされます。 ログイベントを Symantec Endpoint Protection Manager に送信するように Linux クライアン トを設定できます。 35 36 第 1 章 Symantec Endpoint Protection の概要 バージョン 12.1 の新機能 機能 説明 サーバーとクライアントの 管理サーバーと管理コンソール、データベース、クライアントコンピュータの間の速度を向上させる パフォーマンスの向上 ため、次のことが行われます。 管理サーバーは、データベースの自動クリーンアップタスクを実行し、サーバークライアントの応 答性と拡張性を向上させます。 p.626 の 「自動データベース保守タスクのスケジュール設定」 を参照してください。 p.621 の 「データベースの保守」 を参照してください。 ■ ウイルススキャンとスパイウェアスキャンは、Insight を使用して、安全なファイルをスキップし、リ スクのあるファイルに集中します。Insight を使用するスキャンは高速かつ正確であり、スキャン のオーバーヘッドを最大で 70% 削減します。 p.327 の 「Windows クライアントのグローバルなスキャン設定の修正」 を参照してください。 p.320 の 「Windows クライアントの Auto-Protect のカスタマイズ」 を参照してください。 p.322 の 「クライアントコンピュータで実行できるコマンドについて」p.322 の を参照してください。 p.291 の 「スキャンの調整によるクライアントコンピュータパフォーマンスの改善」 を参照してくだ さい。 ■ LiveUpdate は、クライアントコンピュータがアイドル状態のとき、最新ではないコンテンツがある とき、または切断されているときに実行でき、メモリの使用量が少なくなります。 p.510 の 「クライアントコンピュータがアイドル状態のときにクライアント更新を実行する設定」 を 参照してください。 p.511 の 「定義が古いときやコンピュータが切断されていたときに実行するクライアント更新の設 定」 を参照してください。 ■ p.600 の 「クライアントとサーバーのパフォーマンスの向上」 を参照してください。 仮想環境のサポート 仮想インフラストラクチャの保護を強化するため、Symantec Endpoint Protection には次の新機 能が組み込まれています。 Shared Insight Cache サーバーにより、クライアントはスキャン結果を共有でき、同じファイルを すべてのクライアントコンピュータで 1 回スキャンするだけで済みます。Shared Insight Cache により、完全スキャンの影響を最大で 80% 減らすことができます。 p.338 の 「Shared Insight Cache と通信するためのクライアントの設定」 を参照してください。 ■ Virtual Image Exception ツールは、信頼できる基本イメージのすべての単一ファイルをスキャ ンする影響を軽減します。継続的にシステムファイルでウイルスをスキャンする代わりに、Virtual Image Exception ツールを使うと、仮想マシンの基本イメージからホワイトリストファイルを作成 できます。 p.340 の 「基本イメージへの Virtual Image Exception ツールの使用」 を参照してください。 ■ Symantec Endpoint Protection Manager は、ハイパーバイザ検出を使って、仮想プラット フォーム上で実行しているクライアントを自動的に検出します。仮想プラットフォーム上のクライ アントグループ用のポリシーを作成できます。 ■ シマンテックのオフラインイメージスキャナは、オフラインの VMware .vmdk ファイルをスキャン して、イメージに脅威が存在しないことを確認できます。 ■ p.337 の 「仮想環境での Symantec Endpoint Protection の管理」 を参照してください。 第 1 章 Symantec Endpoint Protection の概要 バージョン 12.1 の新機能 機能 説明 Mac クライアントのサ ポート Symantec Endpoint Protection では、場所およびグループに基づいて、Mac クライアント用のポ リシーを設定できます。 p.213 の 「リモートクライアントの管理」 を参照してください。 インストール処理の改善 次の新しいインストール機能を使うと、これまでより速く簡単に製品をインストールできます。 ■ ■ ■ ■ ■ Symantec Endpoint Protection Manager インストールウィザードを使うと、クライアントサー バー接続情報が含まれる、以前に保存したリカバリファイルをインポートできます。リカバリファイ ルを使うことで、管理サーバーはバックアップされている既存の証明書を再インストールして、既 存クライアントとの通信を自動的に復元できます。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 管理サーバーの Web サービスは、IIS ではなく Apache を使用します。以前のバージョンのよ うに IIS を最初にインストールする必要はありません。 クライアント配備ウィザードは、クライアントソフトウェアをインストールする必要がある保護されて いないコンピュータをすばやく特定します。また、このウィザードでは電子メール配備リンクも提 供されるので、ユーザーは Web を使ってクライアントソフトウェアをダウンロードできます。ウィ ザードを使うと、クライアントソフトウェアを速く簡単に配備できます。 p.124 の 「Web リンクと電子メールを使ったクライアントの配備」 を参照してください。 p.189 の 「クライアントとクライアントコンピュータの保護状態の表示」 を参照してください。 p.187 の 「クライアントの保護の状態アイコンについて」 を参照してください。 レガシークライアントの接続と保護を維持したまま、製品の最新のバージョンにアップグレードで きます。 配備の新しいクイックレポートでは、クライアントソフトウェアが正常にインストールされているコン ピュータが示されます。 p.545 の 「クイックレポートの実行とカスタマイズ」 を参照してください。 37 38 第 1 章 Symantec Endpoint Protection の概要 バージョン 12.1 の新機能 機能 説明 追加オペレーティングシ Symantec Endpoint Protection Manager は次のオペレーティングシステムを新しくサポートする ステムのサポート ようになりました。 ■ VMware Workstation 7.0 以降 ■ VMware ESXi 4.0.x 以降 ■ VMware ESX 4.0.x 以降 ■ VMware Server 2.0.1 ■ Citrix XenServer 5.1 以降 Symantec Endpoint Protection Manager は次の Web ブラウザをサポートするようになりました。 ■ Internet Explorer 7.0、8.0、9.0 ■ Firefox 3.6、4.0 Symantec AntiVirus for Linux クライアントは次のオペレーティングシステムを新しくサポートする ようになりました。 ■ RedHat Enterprise Linux 6.x SUSE Linux Enterprise Server と Linux Enterprise Desktop 11.x(OES 2 のサポートを含み ます) ■ Ubuntu 11.x ■ ■ Fedora 14.x、15.x ■ Debian 6.x Linux での Symantec AntiVirus クライアントの使用については『Symantec AntiVirus for Linux Client Guide』 を参照してください。 p.71 の 「システム必要条件」 を参照してください。 第 1 章 Symantec Endpoint Protection の概要 バージョン 12.1 の新機能 機能 説明 Symantec Endpoint Symantec Endpoint Protection Manager で次のエンフォーサ設定を行うことにより、エンフォー Protection Manager で サをより簡単に管理できます。 のエンフォーサ管理の改 ■ エンフォーサグループ内のクライアントが、Network Time Protocol サーバーを使って常時シ 良 ステム時刻を同期する機能。 p.829 の 「Network Time Protocol によるエンフォーサアプライアンスのシステム時間の更新の 有効化」 を参照してください。 ■ 次の改良によって、MAC アドレスのリストを簡単に更新できます。 ■ DHCP 統合エンフォーサの場合、信頼できるホストが定義されている MAC アドレスの例外 を含むテキストファイルをインポートできます。 ■ LAN エンフォーサの場合、次の機能を使ってホストインテグリティ検査が無視する MAC ア ドレスを追加、編集、削除できます。 [MAC 認証バイパス](MAP)は、Symantec Network Access Control クライアントがインス トールされていない非 802.1x クライアントまたはデバイスのホストインテグリティ検査をバイ パスします。 [Symantec NAC クライアント検査を無視]は、Symantec Network Access Control クライ アントがインストールされていない 802.1x サプリカントのホストインテグリティ検査をバイパス します。 ■ 個別の MAC アドレスを追加するか、またはワイルドカードを使って製造元の MAC 文字列 を表すことができます。テキストファイルから MAC アドレスをインポートすることもできます。 ■ 追加する MAC アドレスには VLAN を関連付けることも、関連付けないこともでき、複数の VLAN をサポートできます。 p.885 の 「Symantec Network Access Control Integrated Enforcer の拡張設定」 を参照して ください。 p.874 の 「Symantec Endpoint Protection Manager の統合エンフォーサの通信の設定」 を参 照してください。 39 40 第 1 章 Symantec Endpoint Protection の概要 バージョン 12.1 の新機能 機能 説明 Symantec Endpoint Symantec Endpoint Protection Manager には Symantec Network Access Control に対する Protection Manager の 次の追加機能が含まれます。 Network Access ■ エンフォーサ管理サーバーリストには、複製パートナーからの管理サーバーを含めることができ Control の新機能 ます。エンフォーサは、任意のサイトパートナーまたは複製パートナーの管理サーバーに接続 できます。 p.638 の 「管理サーバーリストの設定」 を参照してください。 p.635 の 「フェールオーバーと負荷分散の設定」 を参照してください。 ■ Symantec Network Access Control クライアントのコンプライアンスログでは、ログイベントおよ びホストインテグリティ検査の結果に関する追加情報が提供されます。必要条件のうち、クライア ントコンピュータでホストインテグリティ検査が失敗した原因を確認できます。 p.551 の 「ログの表示」 を参照してください。 LiveUpdate はホストインテグリティテンプレートを管理サーバーにダウンロードします。したがっ て、クライアントコンピュータは、更新されたホストインテグリティテンプレートを含むホストインテグ リティポリシーを取得できます。 p.679 の 「テンプレートからのホストインテグリティ必要条件の追加」 を参照してください。 ■ エンフォーサグループは、限定管理者のアカウントと管理者のアカウントとシステム管理者のア カウントをサポートします。複数のサイトやドメインを持つ大きい会社では、複数の管理者(その 一部は他の管理者よりも多くのアクセス権を持つ)が必要になることもあります。 p.577 の 「管理者について」 を参照してください。 p.580 の 「管理者アカウントの追加」 を参照してください。 ■ 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection が提供する脅威防止の種類について 機能 説明 エンフォーサの新機能 Symantec Network Access Control には次の新機能が含まれています。 ■ ■ ■ ■ ■ ■ ■ 統合エンフォーサの 64 ビットサポート。 p.856 の 「Microsoft DHCP サーバー用 Integrated Enforcer のシステム必要条件」 を参照し てください。 p.897 の 「Microsoft Network Access Protection 用 Integrated Enforcer のシステム要件」 を参照してください。 RADIUS サーバーとプロキシの Microsoft Windows Server 2008(Longhorn)による実装を 含む Network Policy Server(NPS)のサポート。エンフォーサは、Windows Vista 以降のバー ジョンを搭載し、802.1x 認証を使うクライアントを認証できるようになりました。 DHCP 統合エンフォーサの場合、ユーザーが定義するスコープに対するスコープベースのエン フォースメントを選択的に有効にできます。 p.878 の 「DHCP スコープ例外の作成」 を参照してください。 p.872 の 「自動検疫の設定」 を参照してください。 ゲートウェイエンフォーサは、802.1Q トランキングとオンデマンドクライアントを同時にサポートし ます。複数のトランク VLAN で単一の VLAN を指定してオンデマンドクライアントをホストできま す。 p.931 の 「Windows での dot1x-tls プロトコルによる認証のための On-Demand Client の設定」 を参照してください。 ゲストエンフォースメントモードのサポート。このモードでは、ゲートウェイエンフォーサはオンデ マンドクライアントに対するダウンロードサーバーとして機能できます。ゲートウェイエンフォーサ はオンデマンドクライアントをゲストコンピュータにダウンロードし、クライアントがゲストコンピュー タの Web ブラウザを使ってエンフォーサと通信できるようにします。ゲストエンフォースメントモー ドでは、ゲートウェイエンフォーサはインライントラフィックを転送しません。 p.919 の 「Symantec Network Access Control On-Demand Client について」 を参照してくだ さい。 オンデマンドクライアントの「常設」のサポート: 指定した期間「存続する」機能。 p.926 の 「Symantec Network Access Control On-Demand Client が一時的にネットワークに 接続できるようにする」 を参照してください。 ローカルデータベースのサイズが 32 MB に増え、多数の MAC アドレスに対応するようになりま した。 Symantec Endpoint Protection が提供する脅威防止 の種類について Symantec Endpoint Protection は最新の保護技術を利用して、ネットワーク内の各コ ンピュータ上にある複数の種類の保護を統合します。物理システムと仮想システムの両 方に対するあらゆる種類の攻撃に対して高度な防衛が提供されます。完全な保護と、環 境内のセキュリティのカスタマイズには、すべての保護技術を組み合わせる必要がありま す。Symantec Endpoint Protection は、従来のスキャン、動作分析、侵入防止、コミュ ニティインテリジェンスを、優れたセキュリティシステムに結合します。 41 42 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection が提供する脅威防止の種類について 表 1-2 では、この製品が提供する保護の種類とそのメリットについて説明します。 表 1-2 保護の層 保護の種類 説明 メリット ウイルス対策とス パイウェア対策 ウイルス対策とスパイウェア対策は、ウイルスとセキュ リティリスクからコンピュータを保護し、多くの場合、 その副作用を修復できます。これらの対策には、ファ イルと電子メールのリアルタイムスキャン、定時スキャ ン、オンデマンドスキャンが含まれます。ウイルスス キャンとスパイウェアスキャンは、コンピュータやネッ トワークを危険にさらすウイルスとセキュリティリスクを 検出します。セキュリティリスクには、スパイウェア、ア ドウェア、その他の悪質なファイルが含まれます。 ウイルス対策とスパイウェア対策では、シグネチャ ベースと動作ベースのソリューションだけでなく、他 の技術も利用して、より速く正確に新しい脅威を検 出します。 Symantec Insight は、速くて正確なマルウェア 検出機能を提供し、他の方法では見逃される新 しい未知の脅威を検出します。Insight では、多 数の国の膨大なシステムから集められた知識を 使って、新しいゼロデイ脅威が識別されます。 p.266 の 「クライアントコンピュータでのスキャンの管 ■ Bloodhound は、ヒューリスティックを使って、高 理」 を参照してください。 い確率で既知と未知の脅威を検出します。 ■ Auto-Protect は、クライアントコンピュータに読 み書きされるファイルを、シグネチャリストからス キャンします。 ネットワーク脅威 防止 ■ ネットワーク脅威防止はファイアウォールと侵入防止 ■ ルールベースのファイアウォールエンジンは、悪 を駆使して、クライアントソフトウェアを実行している 質な脅威がコンピュータに出現するのを未然に コンピュータに侵入攻撃と悪質なコンテンツが到達 防ぎます。 することを防止します。 ■ IPS は、ネットワークトラフィックおよびファイルで 侵入の痕跡または侵入の試みをスキャンします。 ファイアウォールは、管理者が設定したさまざまな基 準に基づいて、ネットワークトラフィックを許可または ■ ブラウザ侵入防止は、ブラウザの脆弱性を狙っ た攻撃をスキャンします。 遮断します。管理者が許可する場合は、エンドユー ■ 汎用ダウンロード保護は、ブラウザからのすべて ザーもファイアウォールポリシーを設定できます。 のダウンロードを監視し、ダウンロードがマルウェ 侵入防止システム(IPS)は、すべての着信情報と発 アではないことを検証します。 信情報について攻撃に特徴的なデータパターンの 有無も分析します。クライアントは悪質なトラフィック や外部ユーザーによるクライアントコンピュータを攻 撃する試みを検出して遮断します。侵入防止システ ムはアウトバウンドトラフィックを監視し、ワームの拡 散も防止します。 p.361 の 「ファイアウォール保護の管理」 を参照して ください。 p.411 の 「クライアントコンピュータでの侵入防止の管 理」 を参照してください。 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection が提供する脅威防止の種類について 保護の種類 説明 メリット プロアクティブ脅 威防止 プロアクティブ脅威防止は、SONAR を使って、ネッ トワーク内のゼロデイ攻撃に対する脆弱性を保護し ます。ゼロデイ攻撃に対する脆弱性とは、まだ公的 に認知されていない、新しい脆弱性です。このような 脆弱性を悪用する脅威は、シグネチャに基づく検出 (スパイウェア定義など)から逃れることができます。 ゼロデイ攻撃は目標を絞った攻撃や悪質なコードの 繁殖で使われることがあります。SONAR は、プロセ スや脅威の実行を監視することで、リアルタイムの動 作保護を提供します。 SONAR は、プログラムの実行を調べて、新しい脅 威やそれまで未知の脅威の悪質な動作を識別して 停止します。SONAR はヒューリスティックに加えて評 価データを使って、広がりつつある未知の脅威を検 出します。 アプリケーションとデバイス制御は、クライアントコン ピュータ上のアプリケーションの動作を監視および 制御し、クライアントコンピュータにアクセスするハー ドウェアデバイスを管理します。 アプリケーション制御は、実行できるアプリケーショ ンまたはシステムリソースにアクセスできるアプリケー ションを制御します。 デバイス制御は、ユーザーがデスクトップコンピュー タに接続できる周辺機器を管理します。 p.344 の 「SONAR の管理」 を参照してください。 p.429 の 「アプリケーションとデバイス制御について」 を参照してください。 p.432 の 「アプリケーションとデバイス制御の設定」 を 参照してください。 管理サーバーは、クライアントにダウンロードされた関連するポリシーを使って、各保護を エンフォースします。 図 1-1 は各種類の保護によって遮断される脅威のカテゴリを示します。 43 44 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 保護層の概要 図 1-1 企業ネットワーク インターネット バックドア DoS 攻撃 ポートスキャン スタック攻撃 トロイの木馬 ワーム アプリケーション の脆弱性 バックドア OS の脆弱性 トロイの木馬 ワーム ファイル/プロセス/ レジストリの変更 インサイダの脅威 キーロガー レトロウイルス スパイウェア 目標を絞った攻撃 トロイの木馬 ワーム ゼロデイ脅威 DNS およびホストファイ ルの変更 アドウェア バックドア 変異する脅威 スパイウェア トロイの木馬 ワーム ウイルス ネットワーク 脅威保護 ファイア ウォール ポリシー 侵入防止 ポリシー ネットワークインターフェース カード プロアクティブ脅威防止 アプリケーション とデバイスの制御 ポリシー ウイルスとスパイウ ェアの防止ポリシー (SONAR) メモリ/周辺機器 ウイルスとスパイウェアの防止 ウイルスとスパイウ ェアの防止ポリシー ファイルシステム エンドポイント p.63 の 「Symantec Endpoint Protection のコンポーネント」 を参照してください。 Symantec Endpoint Protection によるネットワークの保 護 Symantec Endpoint Protection Manager と Symantec Endpoint Protection クライ アントをインストールして管理することで、ネットワーク内のコンピュータを保護します。 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 Symantec Network Access Control の場合、Symantec Endpoint Protection Manager と Symantec Network Access Control クライアントをインストールします。 表 1-3 に、Symantec Endpoint Protection を使うために必要な主な高レベルのタスク の概要を示します。 表 1-3 Symantec Endpoint Protection をセットアップ、設定、管理する手順 タスク 説明 Symantec Endpoint Protection の設定 いくつかの簡単な手順で、Symantec Endpoint Protection Manager と Symantec Endpoint Protection クライアント、また は Symantec Network Access Control クライアントをインストー ルし、ネットワークを保護できます。 p.45 の 「Symantec Endpoint Protection での初期作業」 を参 照してください。 Symantec Endpoint Protection の管理 インストールしてすぐにネットワークが保護されるように、Symantec Endpoint Protection Manager には、デフォルトの設定とポリ シーが用意されています。実際のネットワーク環境に適合するよ うにこれらの設定を修正できます。 p.52 の 「クライアントコンピュータでの保護の管理」 を参照してく ださい。 安全なネットワーク環境の維持 ネットワーク環境がピークパフォーマンスでスムーズに動作してい る状態を維持するため、いくつかの保守作業を継続的に実施す る必要があります。たとえば、ディザスタリカバリを実行する必要 がある場合に備えて、データベースのバックアップを作成する必 要があります。 p.55 の 「環境のセキュリティの保守」 を参照してください。 Symantec Endpoint Protection と Symantec Network Access Control のト ラブルシューティング インストールや製品の使い方について問題がある場合、Symantec Endpoint Protection Manager にはクライアント/サーバー通信 やウイルスアウトブレークなど、一般的な問題の修復に役立つリ ソースが含まれています。 p.56 の 「Symantec Endpoint Protection のトラブルシューティ ング」 を参照してください。 p.63 の 「Symantec Endpoint Protection のコンポーネント」 を参照してください。 Symantec Endpoint Protection での初期作業 セキュリティの必要条件を評価し、デフォルト設定でパフォーマンスと必要なセキュリティ とのバランスが得られるかどうかを判断してください。パフォーマンス向上のためのいくつ かの手順を Symantec Endpoint Protection Manager のインストール直後に実行でき ます。 45 46 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 表 1-4 では、インストールしてネットワークのコンピュータをすぐに保護するために行う必 要があるタスクを示します。 表 1-4 処理 Symantec Endpoint Protection をインストールして設定するためのタ スク 説明 ネットワークアーキテクチャ 製品をインストールする前に、次のタスクを実行する必要があります。 を計画する ■ 管理サーバーをインストールするコンピュータがシステムの最小必要条件を満たしていること を確認します。 p.71 の 「システム必要条件」 を参照してください。 ■ インストールまたはアップグレードの対象が Microsoft SQL Server データベースである場合 は、ユーザー名とパスワードがわかっていることを確認します。 p.79 の 「SQL Server の設定について」 を参照してください。 ■ クライアントが 500 以上あるネットワークの場合は、サイズの必要条件を決定します。 ネットワークとデータベースの優れたパフォーマンスを確保するため、いくつかの要因を評価 する必要があります。たとえば、保護する必要があるコンピュータの台数やコンテンツ更新をス ケジュールする頻度を特定する必要があります。 中規模から大規模のインストールを計画するために役立つ情報については、シマンテック社 のホワイトペーパー『Sizing and Scalability Recommendations for Symantec Endpoint Protection』を参照してください。 管理サーバーをインストー 製品をはじめてインストールする場合、以前のバージョンからアップグレードする場合、別の製品 ルまたは移行する から移行する場合のいずれでも、最初に Symantec Endpoint Protection Manager をインストー ルします。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 p.138 の 「Symantec Endpoint Protection への移行について」 を参照してください。 コンソールがユーザーをロ 1 時間後、コンソールはユーザーをログアウトさせます。この時間を増やすことができます。 グオンさせておく時間を増 p.91 の 「コンソールへのログオン状態を維持する期間の延長」 を参照してください。 やす 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 処理 説明 グループと場所を作成す る セキュリティのレベルまたはコンピュータが実行する機能に基づいて、コンピュータを含むグルー プを追加できます。たとえば、セキュリティレベルの高いコンピュータを 1 つのグループにしたり、 Mac コンピュータだけを別のグループにしたりできます。 ベースとして次のグループ構造を使います。 ■ デスクトップ ■ ノートブック ■ サーバー p.177 の 「グループを構成する方法」 を参照してください。 p.180 の 「グループの追加」 を参照してください。 Symantec Endpoint Protection Manager をインストールするときには、既存の Active Directory グループを移行できます。シマンテック社の従来の保護を実行している場合、通常、古いバージョ ンからポリシーおよびグループの設定をアップグレードします。 p.178 の 「既存の組織構造のインポート」 を参照してください。 コンピュータが会社のネットワークの内側にあるか外側にあるかに基づいて、異なるレベルのセキュ リティをコンピュータに適用できます。この方法を使うには、別個の場所を作成し、それぞれの場所 に異なるセキュリティポリシーを適用します。一般に、ファイアウォールの外側から会社のネットワー クに接続するコンピュータには、ファイアウォールの内側にあるコンピュータよりも厳しいセキュリティ が必要です。 オフィス内にないモバイルコンピュータがシマンテック社のサーバーから自動的に定義を更新でき るようにする場所を設定できます。 p.218 の 「グループへの場所の追加」 を参照してください。 特別なグループで継承を デフォルトでは、グループはデフォルトの親グループ「My Company」からセキュリティとポリシーの 無効にする 設定を継承します。作成する任意の新しいグループのセキュリティとポリシーの設定を変更するに は、継承を無効にする必要があります。 p.181 の 「グループの継承の有効化と無効化」 を参照してください。 47 48 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 処理 説明 通信設定を変更してパ フォーマンスを高める 次の設定から各グループのクライアントとサーバー間の通信設定を変更することで、ネットワーク パフォーマンスを改善できます。 プッシュモードではなくプルモードを使って、クライアントがネットワークリソースを使っていつポ リシーとコンテンツ更新をダウンロードするかを制御します。 ■ ハートビートとランダム化の間隔を増やします。サーバーあたりのクライアント数が 100 より少な い場合、ハートビート間隔を 15 分から 30 分の間に延長します。クライアント数が 100 から 1,000 の場合は、ハートビート間隔を 30 分から 60 分の間に延長します。環境の規模が大き いほど、長いハートビート間隔が必要です。 ■ ダウンロードのランダム化の間隔は、ハートビート間隔の 1 倍から 3 倍の間に延ばします。 ■ p.508 の 「デフォルトの管理サーバーまたは GUP からのコンテンツダウンロードのランダム化」 を 参照してください。 p.249 の 「クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプルモードの設 定」 を参照してください。 詳しくは、Symantec Endpoint Protection のサイジングと拡張性に関するホワイトペーパーを参 照してください。 リモートコンピュータグルー ■ オフサイトの場所に対して次のデフォルトのファイアウォールルールを有効にして、リモートコ プとサーバーグループの ンピュータのセキュリティを高めます。 ファイアウォールポリシー ■ 外部コンピュータへのローカルファイル共有を遮断する を修正する ■ リモート管理の遮断 ■ ファイアウォールルール[ローカルコンピュータからのローカルファイル共有を許可する]を有 効にすることで、サーバーグループのセキュリティを低下させます。このファイアウォールルー ルはローカルトラフィックのみを許可します。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 p.215 の 「リモートクライアントの場所の管理」 を参照してください。 ウイルスとスパイウェアの保 次のデフォルトスキャン設定を変更します。 護ポリシーを修正する ■ サーバーグループについては、定時スキャンの時間を、ほとんどのユーザーがオフラインであ る時刻に変更します。 p.288 の 「Windows コンピュータで実行される定時スキャンの設定」 を参照してください。 ■ Auto-Protect でリスク追跡を有効にします。 詳しくは、シマンテック社のテクニカルサポートナレッジベースで、「What is Risk Tracer?」を 参照してください。 リスク追跡には次の前提条件があります。 ネットワーク脅威防止が有効になっている必要があります。 p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してください。 ■ Windows のファイルとプリンタの共有がオンになっている必要があります。 ■ p.320 の 「Windows クライアントの Auto-Protect のカスタマイズ」 を参照してください。 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 処理 説明 製品のライセンスをアクティ 製品インストールから 60 日以内にライセンスを購入してアクティブ化します。 ブ化する p.100 の 「新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアク ティブ化」 を参照してください。 クライアントインストールの クライアントソフトウェアをインストールする前に、必要に応じて次のタスクを実行する必要がありま ためにコンピュータを準備 す。 する(省略可能) ■ サードパーティのウイルス防止ソフトウェアをコンピュータからアンインストールします。 競合する製品を自動的にアンインストールするツールについて詳しくは、ナレッジベースの 「SEPprep competitive product uninstall tool」を参照してください。 ■ クライアントソフトウェアをリモートで配備する場合は、まずコンピュータと管理サーバーの間の 通信を許可するように、クライアントコンピュータでファイアウォール設定を修正します。 p.116 の 「ファイアウォールと通信ポートについて」 を参照してください。 p.115 の 「クライアントインストールの準備」 を参照してください。 クライアント配備ウィザード クライアントインストールパッケージを作成し、クライアントコンピュータに配備します。 を使ってクライアントソフト ベストプラクティスとして、デフォルトのエクスポートパッケージの名前を、システムでパッケージを ウェアをインストールする 一意に識別する名前に変更してください。 p.124 の 「Web リンクと電子メールを使ったクライアントの配備」 を参照してください。 p.133 の 「クライアントインストールパッケージ機能の設定」 を参照してください。 p.134 の 「クライアントインストールパッケージのエクスポート」 を参照してください。 Auto-Protect コンポーネントについては、Microsoft Outlook を使う場合は[Lotus Notes] のチェックマークをはずします。Mail Security を使う場合は[Microsoft Outlook] と[Lotus Notes]を選択解除します。大量メール送信者を遮断する助けになるように、標準の POP/SMTP を有効にしたままでも Microsoft Outlook と Lotus Notes を無効にできます。 ■ ほとんどの環境には、[ユーザーモード]ではなく[コンピュータモード]を使います。 p.198 の 「ユーザーモードとコンピュータモードの間でのクライアントの切り替え」 を参照してく ださい。 ■ 49 50 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 処理 説明 想定したグループにコン 管理コンソールの[クライアント] > [クライアント]ページで以下を行います。 ピュータが所属していて、 1 表示を[クライアントの状態]に変更し、各グループのクライアントコンピュータが管理サーバー クライアントコンピュータが と通信していることを確認します。 管理サーバーと通信して 次の列の情報を参照します。 いることを確認する ■ [名前]列では、管理サーバーに接続されているクライアントには緑のドットが表示されま す。 p.187 の 「クライアントの保護の状態アイコンについて」 を参照してください。 ■ [前回の状態変更があった日時]列には、クライアントが最後に管理サーバーと通信した 時刻が表示されます。 ■ [再起動が必要]列には、保護を有効にするために再起動する必要があるクライアントコ ンピュータが表示されます。 p.129 の 「クライアントコンピュータの再起動」 を参照してください。 ■ [ポリシーのシリアル番号]列には、最新のポリシーシリアル番号が表示されます。1 つか ら 2 つのハートビートの間、ポリシーが更新されないことがあります。 p.251 の 「ポリシーのシリアル番号を使ったクライアント/サーバーの通信の確認」 を参照 してください。 2 [保護技術]表示に変更し、次の保護の状態が[オン]であることを確認します。 ■ ウイルス対策の状態 ■ ファイアウォールの状態 p.189 の 「クライアントとクライアントコンピュータの保護状態の表示」 を参照してください。 3 クライアントで、クライアントがサーバーに接続されていることを確認し、ポリシーのシリアル番 号が最新であることを確認します。 p.952 の 「管理サーバーとの接続の確認または管理サーバーとの再接続」 を参照してくださ い。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照してくださ い。 各ネットワークセグメントの 1 台のクライアントコン ピュータを、保護されてい ないエンドポイントの検出 用にする 各ネットワークセグメントで、1 台のクライアントコンピュータが、保護されていない新しいコンピュー タがいつネットワークに追加されたかを検出できるようにします。これらのコンピュータは管理外検 出と呼ばれ、オプション名は[管理外検出として有効にする]です。 p.199 の 「不明なデバイスを検出するようにクライアントを設定する」 を参照してください。 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 処理 説明 帯域幅を減らすためにクラ クライアントの帯域幅の使用量を減らすため、サーバーに格納されるコンテンツリビジョンの数を設 イアントが利用できるコン 定します。 テンツリビジョンを設定す ■ 通常は、1 日に 3 つのコンテンツ更新が配信されます。サーバーに保持する更新の数を設定 る します。通常は最新のコンテンツ更新だけを保存します。サーバーが設定されている更新数 を蓄積するときに接続していなかったクライアントは、コンテンツパッケージ全体をダウンロード します。パッケージ全体では 100 MB を超えます。増分更新の場合は 1 ~ 2 MB です。クライ アントが完全な更新パッケージをダウンロードする必要のある頻度が最小になるように、保存さ れる更新の数を設定します。 ■ 原則として、コンテンツリビジョン数が 10 であれば Symantec Endpoint Protection Manager で約 3.5 GB のディスク容量を使います。 必要なストレージと帯域幅の計算について詳しくは、Symantec Endpoint Protection のサイジ ングと拡張性に関するホワイトペーパーを参照してください。 LiveUpdate スケジュール ユーザーへの影響が最も小さいときに、コンテンツの更新がクライアントコンピュータにダウンロー を調べて必要な場合は調 ドされるようになります。 整する p.498 の 「Symantec Endpoint Protection Manager の LiveUpdate ダウンロードスケジュール の設定」 を参照してください。 電子メール警告を送信す 警告と通知はセキュリティで保護された環境を維持するうえで重要であり、時間の節約も可能で るように Symantec す。 Endpoint Protection p.559 の 「通知の管理」 を参照してください。 Manager を設定する 新種のリスクが検出された [単一リスクイベント]に対する通知を作成し、[リスクアウトブレーク]に対する通知を変更します。 ときの単一のリスクアウトブ これらの通知について、次の操作を行います。 レークについての通知を 1 [リスクの重大度]を[カテゴリ 1 (極低レベル) 以上]に変更し、Cookie による追跡に関する電 設定する 子メールを受信しないようにします。 2 [ダンパー]の設定は[自動]のままにします。 p.567 の 「管理者通知の設定」 を参照してください。 表 1-5 では、製品をインストールして設定した後に、クライアントコンピュータの保護レベ ルが適切かどうかを評価するために実行するタスクを示します。 51 52 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 表 1-5 処理 インストールから 2 週後に実行するタスク 説明 スキャンからアプリケーショ クライアントが特定のフォルダやファイルをスキャンしないようにして、パフォーマンスを向上させる ンとファイルを除外する ことができます。たとえば、クライアントは定時のスキャン実行のたびにメールサーバーをスキャン します。 スキャンした場合に問題が発生することがわかっているフォルダとファイルを除外することで、パ フォーマンスを改善できます。たとえば、Symantec Endpoint Protection では Microsoft SQL Server 固有のファイルをスキャンしないようにする必要があります。パフォーマンスを改善し、 Microsoft SQL Server が使う必要があるときに破損またはファイルがロックされている可能性が ないように、これらのデータベースファイルが含まれるフォルダをスキャンしないための例外を作成 する必要があります。 詳しくは、ナレッジベースの「How to exclude MS SQL files and folders using Centralized Exceptions」を参照してください。 拡張子で Auto-Protect のスキャンからファイルを除外することもできます。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 p.320 の 「Windows クライアントの Auto-Protect のカスタマイズ」 を参照してください。 p.322 の 「クライアントコンピュータで実行できるコマンドについて」p.322 の を参照してください。 定時スキャンの後にクイッ クイックレポートと定時レポートを実行し、クライアントコンピュータが適切なセキュリティレベルを備 クレポートと定時レポートを えているかどうかを確認します。 実行する p.543 の 「レポートの種類について」 を参照してください。 p.545 の 「クイックレポートの実行とカスタマイズ」 を参照してください。 p.548 の 「定時レポートの作成」 を参照してください。 定時スキャンが正常に行わ クライアントコンピュータのモニタ、ログ、ステータスを調べて、各グループの保護レベルが適切で れ、クライアントが予期した あることを確認します。 とおり動作していることを検 p.533 の 「エンドポイント保護の監視」 を参照してください。 査して確認する クライアントコンピュータでの保護の管理 クライアントコンピュータで保護を管理するには、単一の管理コンソールを使います。クラ イアントコンピュータはすぐに保護されますが、ニーズに合わせて保護を修正する必要が ある場合があります。 表 1-6 に、デフォルト設定を調整する必要がある場合に実行できるタスクの概要を示しま す。 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 表 1-6 クライアントコンピュータでの保護の修正 タスク 説明 グループの編成と管 理 コンピュータを配置するグループに基づいて、クライアントコンピュータに保護を適用します。各グルー プのコンピュータのセキュリティレベルは同じです。 会社の既存のグループ構造をインポートすることができます。新しいグループを作成することもできま す。 追加するグループを決定する際は、最初にネットワークの構造を考慮してください。また、新しいグルー プ構造を作成する場合は、グループ構造を機能、役割、地理、またはこれらの基準の組み合わせに 基づいたものにします。たとえば、サイトのコンピュータの数や、コンピュータが同じ種類(Windows ま たは Mac コンピュータなど)かどうかを考慮してください。 p.175 の 「クライアントのグループの管理」 を参照してください。 p.186 の 「クライアントコンピュータの管理」 を参照してください。 グループに場所を追加することによって、コンピュータが配置されている場所に基づいて、クライアント コンピュータに割り当てるポリシーを変更することができます。たとえば、オフィス、自宅、または他の企 業のクライアントコンピュータに別のポリシーを適用することもできます。 p.215 の 「リモートクライアントの場所の管理」 を参照してください。 保護の修正 Symantec Endpoint Protection Manager には保護の種類ごとのデフォルトポリシーが含まれてい ます。ポリシーは、パフォーマンスと保護のニーズのバランスを取ります。すぐに使えるデフォルトポリ シーは、大規模な組織にも小規模な組織にも、適切な設定を提供します。会社のニーズが変化した 場合には、その時点で設定を調整することもできます。 p.232 の 「セキュリティポリシーの種類」 を参照してください。 p.41 の 「Symantec Endpoint Protection が提供する脅威防止の種類について」 を参照してくださ い。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 p.361 の 「ファイアウォール保護の管理」 を参照してください。 p.411 の 「クライアントコンピュータでの侵入防止の管理」 を参照してください。 p.432 の 「アプリケーションとデバイス制御の設定」 を参照してください。 仮想環境での保護の Symantec Endpoint Protection は仮想環境でのパフォーマンスを改善する機能を提供します。 設定 p.337 の 「仮想環境での Symantec Endpoint Protection の管理」 を参照してください。 ポリシーの管理 セキュリティポリシーは、クライアントがクライアントコンピュータに適用する前に、グループに適用する 必要があります。すべてのグループが共有するポリシー、または 1 つのグループのみに適用されるポ リシーを作成できます。Symantec Endpoint Protection Manager により、会社のすべてのセキュリ ティニーズに合わせて、簡単にポリシーを追加したり修正したりできます。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 53 54 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 タスク 説明 更新のスケジュール設 クライアントコンピュータは、ウイルス定義、侵入防止シグネチャ、製品ソフトウェアなどの保護コンテン 定と管理 ツに対する定期的な更新を受信する必要があります。Symantec Endpoint Protection がコンテンツ をクライアントコンピュータにダウンロードするために使う方式、コンテンツの種類、スケジュールを設定 できます。 p.482 の 「コンテンツ更新の管理」 を参照してください。 ユーザーアクセスの制 さまざまなクライアント機能や保護機能を表示するようにクライアントを設定できます。これらの機能の 御 設定方法は、各グループのクライアントコンピュータのユーザーがどの程度制御できるようにするかに よって異なります。 p.204 の 「ユーザー制御レベルの変更」 を参照してください。 p.207 の 「ユーザーインターフェースのオプション設定」 を参照してください。 クライアント配備の管 理 シマンテック社では、どのコンピュータにどのセキュリティの種類が必要であるかを分析することを推奨 しています。Symantec Endpoint Protection Manager のインストール時にクライアントインストール パッケージを配備しなかった場合は、後でクライアントソフトウェアを配備できます。 保護されていないコンピュータを見つけるオプションがあります。 p.115 の 「クライアントインストールの準備」 を参照してください。 p.124 の 「Web リンクと電子メールを使ったクライアントの配備」 を参照してください。 状態の変化の監視と 対応 レポートとログを使って、クライアントコンピュータのセキュリティの状態を確認します。レポートとログは、 ウイルスアウトブレークの処理と、会社のネットワークのセキュリティとパフォーマンスの向上に役立ちま す。 また、潜在的なセキュリティ上の問題について管理者とコンピュータのユーザーに警告する通知も設 定できます。 p.533 の 「エンドポイント保護の監視」 を参照してください。 p.559 の 「通知の管理」 を参照してください。 Symantec Endpoint 管理サーバーとクライアントコンピュータのパフォーマンスを改善するように Symantec Endpoint Protection の最適化 Protection を設定できます。 p.600 の 「クライアントとサーバーのパフォーマンスの向上」 を参照してください。 ドメインと管理者の管 理 ドメインは、一連のグループの管理タスクを区分するために使います。さまざまな会社や部署に配置さ れているクライアントコンピュータを管理するには、ドメインを使います。 管理者の管理 さまざまな管理者が Symantec Endpoint Protection Manager でのグループ、ポリシー、コマンド、 レポートの管理をさまざまなレベルで制御できるように、管理者アカウントを追加することができます。 p.576 の 「ドメインと管理者アカウントの管理」 を参照してください。 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 タスク 説明 エンドポイントコンプラ Symantec Network Access Control のインストールと管理によって、クライアントコンピュータが会社 イアンスの管理 のセキュリティポリシーに準拠することを保証できます。コンピュータが準拠している場合、そのコン ピュータは会社のネットワークへの接続が許可されます。クライアントコンピュータが準拠していない場 合、ネットワークに接続するためには、最初にコンプライアンスエラーの自動修復に必要なソフトウェア を入手して実行する必要があります。 p.648 の 「Symantec Network Access Control でのエンフォースメントの種類について」 を参照して ください。 p.666 の 「Symantec Network Access Control の配備」 を参照してください。 環境のセキュリティの保守 ネットワークのセキュリティを設定した後、セキュリティやパフォーマンスの向上のために保 護やインフラを修正することもできます。 たとえば、新しい管理サーバーを追加したり、追加したクライアントコンピュータの保護な ど、アーキテクチャを変更した場合には対応が必要になります。 表 1-7 タスク ネットワークのセキュリティを保守するために実行できるタスク 説明 ネットワークのセキュリ 定期的に[ホーム]ページをチェックして、ネットワークの全体的なセキュリティの状態を確認することを ティの状態の確認 お勧めします。通知、レポート、ログを使って、セキュリティの状態の詳細を確認することができます。 p.533 の 「エンドポイント保護の監視」 を参照してください。 p.559 の 「通知の管理」 を参照してください。 データベースの保守 Symantec Endpoint Protection Manager は埋め込みデータベースと Microsoft SQL データベー スの両方をサポートします。データベースは、ポリシー、グループ、クライアントインストールパッケー ジ、ログエントリなど、管理サーバーで行う設定についての情報を格納します。 帯域幅またはハードディスク容量に問題がある場合は、格納されるデータの量を最小限に抑えて、 データベースのパフォーマンスを高めるためのその他のタスクを実行できます。データの破損やハー ドウェア障害に備えて、データベースは定期的にバックアップすることをお勧めします。 p.621 の 「データベースの保守」 を参照してください。 ライセンスの保守 ライセンスの期限切れが近くなっているかどうかや、配備されたクライアントがライセンスでカバーする には多すぎるかどうかを確認できます。 p.108 の 「製品ライセンスの管理」 を参照してください。 ディザスタリカバリの準 データの破損やハードウェア障害が発生したときの影響を軽減するために、データベースを定期的に 備 バックアップし、特定の管理サーバーファイルのコピーを作成することをお勧めします。 p.641 の 「ディザスタリカバリの準備」 を参照してください。 55 56 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 タスク 説明 サーバーの再設定 追加するクライアントコンピュータの数が増えるにつれて、管理サーバーの追加と設定が必要になる 場合があります。フェールオーバーと負荷分散の設定が必要になる場合もあります。また、埋め込み データベースから Microsoft SQL データベースへの切り替えが必要になることもあります。 p.595 の 「サーバーの管理」 を参照してください。 p.565 の 「管理サーバーと電子メールサーバー間の通信の確立」 を参照してください。 p.500 の 「クライアントが Symantec LiveUpdate または社内 LiveUpdate サーバーへの通信に使う プロキシサーバーの指定」 を参照してください。 p.499 の 「インターネットにアクセスするためにプロキシサーバーに接続する Symantec Endpoint Protection Manager の設定」 を参照してください。 フェールオーバーと負 サイト内で、クライアントが管理サーバーと通信できないときに通信を維持するために、フェールオー 荷分散の設定 バーを設定します。管理サーバー間でクライアント管理を分散するためには、負荷分散を設定します。 p.635 の 「フェールオーバーと負荷分散の設定」 を参照してください。 Symantec Endpoint Protection のトラブルシューティング 表 1-8 では、Symantec Endpoint Protection をインストールしたり使っているときに起 きる可能性のある一般的な問題を示します。 表 1-8 タスク トラブルシューティング可能な一般的な問題 説明 インストールの問題の Symantec Endpoint Protection サポートツールをダウンロードして実行すると、コンピュータにイン 解決 ストールの準備ができていることを検証できます。サポートツールは、管理サーバーとクライアントで提 供されます。シマンテック社のサポート Web サイトでも入手できます。 p.949 の 「コンピュータの問題を解決するための Symantec Endpoint Protection サポートツールの ダウンロード」 を参照してください。 p.950 の 「インストールに失敗した場所の識別」 を参照してください。 ウイルスアウトブレーク 脅威によってネットワーク上のコンピュータが攻撃されるのを防ぐことができます。 の処理 p.260 の 「クライアントコンピュータに対するウイルスとスパイウェアの攻撃の防止と処理」 を参照してく ださい。 p.262 の 「ネットワーク内のコンピュータのリスクの修復」 を参照してください。 クライアントコンピュータが脅威に攻撃された場合は、その脅威を識別して対処することができます。 次のナレッジベースの記事を参照してください。 Best practices for troubleshooting viruses on a network。 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 タスク 説明 コンテンツ更新の問題 Symantec Endpoint Protection Manager またはクライアントで最新のウイルス定義が正しく更新さ のトラブルシューティン れない場合は、次のナレッジベースの記事を参照してください。 グ Symantec Endpoint Protection: LiveUpdate Troubleshooting。 通信エラーの修復 Symantec Endpoint Protection のすべてのコンポーネント間の通信チャネルが開いている必要が あります。これらのチャネルには、サーバーからクライアントへのチャネル、サーバーからデータベース へのチャネル、サーバーとクライアントから LiveUpdate などのコンテンツ配信コンポーネントへのチャ ネルが含まれます。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照してください。 p.959 の 「管理サーバーとコンソールまたはデータベース間の通信問題のトラブルシューティング」 を 参照してください。 次のナレッジベースの記事を参照してください。 Troubleshooting Symantec Endpoint Protection Manager communication problems。 ディザスタリカバリの実 データベースが破損したりハードウェア障害が発生した場合でも、データベースのバックアップファイ 行 ルがあれば、データベースの最新のスナップショットを復元できます。 p.945 の 「ディザスタリカバリの実行」 を参照してください。 データベースの領域の データベースのサイズが大きくなりすぎた場合は、データベースで利用可能な領域を増やすことがで 縮小 きます。 p.621 の 「データベースの保守」 を参照してください。 レポートに関する問題 レポートとログに関するさまざまな問題を解決できます。 のトラブルシューティン p.965 の 「レポートに関する問題のトラブルシューティング」 を参照してください。 グ エンフォーサアプライ アンスの問題のトラブ ルシューティング エンフォーサアプライアンスに関するさまざまな問題を解決できます。 p.974 の 「エンフォーサアプライアンスのトラブルシューティング」 を参照してください。 ナレッジベースの「Top "Best Practices" Articles for Symantec Endpoint Protection」 を参照してください。 57 58 第 1 章 Symantec Endpoint Protection の概要 Symantec Endpoint Protection によるネットワークの保護 1 Symantec Endpoint Protection のインストール ■ 第2章 インストール計画 ■ 第3章 Symantec Endpoint Protection Manager のインストール ■ 第4章 製品ライセンスの管理 ■ 第5章 クライアントインストールの準備 ■ 第6章 Symantec Endpoint Protection クライアントのインストール ■ 第7章 Symantec Endpoint Protection へのアップグレードおよび移行 ■ 第8章 サイトおよび評価の設定と管理 ■ 第9章 Protection Center での Symantec Endpoint Protection の管理 60 2 インストール計画 この章では以下の項目について説明しています。 ■ インストール計画 ■ Symantec Endpoint Protection のコンポーネント ■ Symantec Network Access Control のコンポーネント ■ ネットワークアーキテクチャの注意事項 ■ 製品ライセンスの必要条件 ■ システム必要条件 ■ サポート対象の仮想インストールと仮想化製品 ■ Symantec Endpoint Protection Manager と他の製品との互換性について ■ データベースの種類の選択について ■ SQL Server の設定について ■ SQL Server データベースの認証モードについて インストール計画 「表 2-1」に Symantec Endpoint Protection をインストールするための高レベルの手順 の概略を示します。 62 第 2 章 インストール計画 インストール計画 インストール計画 表 2-1 手順 処理 説明 手順 1 ネットワークアーキテクチャ ネットワークのサイズの必要条件を把握します。保護を必要とするエンドポイントを識 の計画と、ライセンスの見直 別するのみでなく、ネットワークとデータベースのパフォーマンスを高めるために、更新 しと購入 のスケジュールや、その他の要素を評価してください。 p.68 の 「ネットワークアーキテクチャの注意事項」 を参照してください。 中規模から大規模のインストールを計画するために役立つ、情報については、シマン テック社のホワイトペーパー『Sizing and Scalability Recommendations for Symantec Endpoint Protection』を参照してください。 製品インストールから 30 日以内(Small Business Edition)または60 日以内(製品 版)にライセンスを購入します。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 手順 2 システムの必要条件の見直 コンピュータがシステムの最小必要条件を満たしていて、自分が製品ライセンスの必 し 要条件を理解していることを確かめます。 p.71 の 「システム必要条件」 を参照してください。 p.69 の 「製品ライセンスの必要条件」 を参照してください。 手順 3 インストールのためのコン ピュータの準備 コンピュータから他のウイルス防止ソフトウェアをアンインストールし、システムレベルの アクセスが可能であることを確認して、リモート配備が可能なようにファイアウォールを 開きます。 p.115 の 「クライアントインストールの準備」 を参照してください。 p.119 の 「リモート配備のための Windows オペレーティングシステムの準備」 を参照 してください。 手順 4 ポートを開く設定とネット ワークプロトコルの許可 リモートからクライアントを配備するには、Symantec Endpoint Protection Manager とエンドポイントコンピュータの間で、一定のポートが開かれ、一定のプロトコルが許可 されている必要があります。 p.116 の 「ファイアウォールと通信ポートについて」 を参照してください。 手順 5 インストールの設定の識別 ユーザー名、パスワード、電子メールアドレス、インストールのその他の設定を識別し ます。インストールの間この情報を手元に置いておいてください。 p.132 の 「クライアントのインストール設定について」 を参照してください。 第 2 章 インストール計画 Symantec Endpoint Protection のコンポーネント 手順 処理 説明 手順 6 管理サーバーのインストー Symantec Endpoint Protection Manager をインストールします。 ル ビジネスをサポートするネットワークの規模が小さく複数の地域にまたがっていない場 合は、Symantec Endpoint Protection Manager を 1 つインストールすれば十分で す。ネットワークが地理的に分散している場合は、管理サーバーを追加インストールし て、負荷や帯域幅を分散しなければならない可能性があります。 ネットワークが非常に大規模な場合は、追加のデータベースを含む追加サイトをイン ストールし、レプリケーションを利用してデータを共有するように設定できます。また、 冗長性を強化するために、追加サイトをインストールしてフェールオーバーを可能に することもできます。 p.635 の 「フェールオーバーと負荷分散の設定」 を参照してください。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 手順 7 シマンテック社のレガシー シマンテック社の従来の保護を実行している場合、通常、古いバージョンからポリシー のウイルス防止ソフトウェア およびグループの設定を移行します。 の移行 p.138 の 「Symantec Endpoint Protection への移行について」 を参照してください。 手順 8 クライアントインストールの クライアントインストールのための準備は次のとおりです。 ためのコンピュータの準備 ■ クライアントソフトウェアをインストールするコンピュータを識別します。 ■ コンピュータにクライアントソフトウェアを配備するために使う方式を識別します。 サードパーティのウイルス防止ソフトウェアをコンピュータからアンインストールしま す。 ■ エンドポイントと Symantec Endpoint Protection Manager との間の通信を許可 するように、エンドポイントコンピュータでファイアウォール設定を修正するか、また は無効にします。 ■ 組織構造と一致するようにコンソールコンピュータグループを設定します。 ■ p.115 の 「クライアントインストールの準備」 を参照してください。 手順 9 クライアントのインストール エンドポイントコンピュータに Symantec Endpoint Protection クライアントをインストー ルします。 シマンテック社は Symantec Endpoint Protection Manager をホストするコンピュー タでクライアントをインストールすることも推奨します。 p.124 の 「Web リンクと電子メールを使ったクライアントの配備」 を参照してください。 手順 10 インストール後のタスク p.45 の 「Symantec Endpoint Protection での初期作業」 を参照してください。 p.98 の 「試用ライセンスについて」 を参照してください。 Symantec Endpoint Protection のコンポーネント 表 2-2 に製品コンポーネントとその機能説明の一覧を示します。 63 64 第 2 章 インストール計画 Symantec Endpoint Protection のコンポーネント 表 2-2 製品コンポーネント コンポーネント 説明 Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager は、会社のネットワー クに接続するクライアントコンピュータを管理する管理サーバーで す。 Symantec Endpoint Protection Manager には次のソフトウェ アが含まれます。 コンソールソフトウェアは、セキュリティポリシー、クライアントコ ンピュータ、レポート、ログを調整して管理します。コンソール は管理サーバーへのインターフェースです。管理サーバーに ネットワークで接続されている場合は、コンピュータにインス トールしてリモートで使うこともできます。 ■ 管理サーバーソフトウェアはクライアントコンピュータとコンソー ル間のセキュア通信を提供します。 ■ データベース データベースはセキュリティポリシーとイベントを格納します。この データベースは Symantec Endpoint Protection Manager を ホストするコンピュータにインストールされます。 p.78 の 「データベースの種類の選択について」 を参照してくだ さい。 Symantec Endpoint Protection クライアント Symantec Endpoint Protection クライアントは、ウイルスとスパ イウェアのスキャン、SONAR、ダウンロードインサイト、ファイア ウォール、侵入防止システム、他の保護技術でコンピュータを保 護します。保護するサーバー、デスクトップ、ポータブルコンピュー タで動作します。 Symantec Endpoint Protection Mac クライアントはウイルスと スパイウェアのスキャンでコンピュータを保護します。 詳しくは、『Symantec Endpoint Protection および Symantec Network Access Control クライアントガイド』を参照してくださ い。 p.33 の 「Symantec Endpoint Protection について」 を参照し てください。 Symantec Protection Center Symantec Protection Center は Symantec Endpoint Protection Manager のインストール時にインストールされます。 Protection Center では、サポート対象の複数のシマンテック社 のセキュリティ製品から単一管理環境に管理コンソールを統合で きます。 p.167 の 「Symantec Endpoint Protection と Protection Center について」 を参照してください。 第 2 章 インストール計画 Symantec Endpoint Protection のコンポーネント コンポーネント 説明 LiveUpdate Administrator (省略可能) LiveUpdate Administrator は定義、シグネチャ、製品の更新 を Symantec LiveUpdate サーバーからダウンロードしてクライ アントコンピュータに更新を配布します。 詳しくは、『Symantec LiveUpdate Administrator ユーザーガ イド』を参照してください。 中央検疫(省略可能) 中央検疫サーバーは、Symantec Endpoint Protection クライ アントから疑わしいファイルと未修復の感染アイテムを受信しま す。中央検疫はシマンテックセキュリティレスポンスにサンプルを 転送し、そこでサンプルが分析されます。脅威が新しい場合、シ マンテックセキュリティレスポンスはセキュリティ更新を生成しま す。 詳しくは、『シマンテック中央検疫実装ガイド』を参照してください。 図 2-1 ネットワークの製品コンポーネント Symantec Endpoint Protection クライアント を実行し、VPN トンネ ルを使って接続している コンピュータ インターネット ファイア ウォール ローカルイーサネット ネットワーク Symantec Endpoint Protection クライアントがインストールさ れた Symantec Endpoint Protection Manager Symantec Endpoint Protection クライアントを実行している コンピュータ 65 66 第 2 章 インストール計画 Symantec Network Access Control のコンポーネント p.66 の 「Symantec Network Access Control のコンポーネント」 を参照してください。 p.41 の 「Symantec Endpoint Protection が提供する脅威防止の種類について」 を参 照してください。 Symantec Network Access Control のコンポーネント 表 2-3 に製品コンポーネントとその機能説明の一覧を示します。 表 2-3 Symantec Network Access Control 製品コンポーネント コンポーネント 説明 Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager は、会社のネットワー クに接続するクライアントコンピュータを管理する管理サーバーで す。 Symantec Endpoint Protection Manager には次のソフトウェ アが含まれます。 コンソールソフトウェアは、セキュリティポリシー、クライアントコ ンピュータ、レポート、ログを調整して管理します。コンソール は管理サーバーへのインターフェースです。管理サーバーに ネットワークで接続されている場合は、コンピュータにインス トールしてリモートで使うこともできます。 ■ 管理サーバーソフトウェアはクライアントコンピュータとコンソー ル間のセキュア通信を提供します。 ■ データベース セキュリティポリシーとイベントを格納するデータベース。このデー タベースは Symantec Endpoint Protection Manager をホスト するコンピュータにインストールされます。 p.78 の 「データベースの種類の選択について」 を参照してくだ さい。 Symantec Network Access Control クライアント Symantec Network Access Control クライアントはホストインテ グリティ検査と自己エンフォースメント機能の使用によってクライ アントコンピュータにセキュリティポリシーコンプライアンスの保護 を適用します。クライアントは Symantec Enforcer にホストインテ グリティのコンプライアンスの状態を報告します。 詳しくは、『Symantec Endpoint Protection および Symantec Network Access Control クライアントガイド』を参照してくださ い。 p.647 の 「Symantec Network Access Control について」 を参 照してください。 第 2 章 インストール計画 Symantec Network Access Control のコンポーネント コンポーネント 説明 Symantec Protection Center Symantec Protection Center は Symantec Endpoint Protection Manager のインストール時にインストールされます。 Protection Center では、サポート対象の複数のシマンテック社 のセキュリティ製品から単一管理環境に管理コンソールを統合で きます。 p.167 の 「Symantec Endpoint Protection と Protection Center について」 を参照してください。 LiveUpdate Administrator (省略可能) LiveUpdate Administrator は定義、シグネチャ、製品の更新 を Symantec LiveUpdate サーバーからダウンロードしてクライ アントコンピュータに更新を配布します。 詳しくは、『Symantec LiveUpdate Administrator ユーザーガ イド』を参照してください。 Symantec Enforcer (省略可 能) ネットワークに接続しようとするクライアントが、設定済みセキュリ ティポリシーに準拠するように制御します。 ポリシーに従わないコ ンピュータを修復用の特別なネットワークセグメントに制限したり、 そのコンピュータへのアクセスを禁止したりすることができます。 Symantec Network Access Control には、次の種類のエン フォーサが含まれています。 ゲートウェイエンフォーサアプライアンスは、ネットワークチョー クポイントでのインラインエンフォースメントを提供します。 ■ LAN 802.1X エンフォーサアプライアンスは、LAN および無 線ネットワークに対して帯域外で標準ベースの手段を提供し ます。 ■ DHCP 統合エンフォーサは、任意のインフラストラクチャ上の LAN および無線ネットワークに対して DHCP ベースの手段 を提供します。 ■ Microsoft Network Access Protection 統合エンフォーサ は、LAN および無線ネットワークに対して Microsoft NAP ベースの手段を提供します。 ■ p.707 の About the LAN Enforcer appliance installation を参 照してください。 p.853 の 「Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer について」 を参照してく ださい。 p.854 の 「Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer について」 を参 照してください。 67 68 第 2 章 インストール計画 ネットワークアーキテクチャの注意事項 コンポーネント 説明 Windows と Mac 用の Symantec Network Access Control オンデマンドクライアン ト(省略可能) オンデマンドクライアントは、ネットワークにアクセスする権限がな いユーザーに提供する一時クライアントです。権限がないクライ アントコンピュータには、セキュリティポリシー対応のソフトウェア がありません。エンフォーサによってインストールされたオンデマ ンドクライアントは、ゲストとして企業ネットワークに一時的に接続 します。 p.919 の 「Symantec Network Access Control On-Demand Client について」 を参照してください。 ネットワークアーキテクチャの注意事項 会社のネットワークアーキテクチャを考慮せず、テスト目的で Symantec Endpoint Protection をインストールできます。Symantec Endpoint Protection Manager を少数 のクライアントとともにインストールして、機能に慣れることができます。 p.61 の 「インストール計画」 を参照してください。 実働クライアントをインストールする準備ができたら、組織構造とコンピューティングニーズ に基づいて配備を計画してください。 配備を計画するときには、次の要素を考慮してください。 ■ Symantec Endpoint Protection Manager 管理者は Symantec Endpoint Protection Manager を使って、セキュリティポリシー とクライアントコンピュータを管理します。Symantec Endpoint Protection Manager がインストールされているコンピュータのセキュリティと可用性を考慮する必要がありま す。 ■ リモートコンソール 管理者は、コンソールソフトウェアを実行して Symantec Endpoint Protection Manager にアクセスするリモートコンピュータを使うことができます。管理者は、オフィ スから離れているときにリモートコンピュータを使うことがあります。リモートコンピュー タがリモートコンソールの必要条件を満たしていることを確認してください。 ■ ローカルおよびリモートコンピュータ リモートコンピュータのネットワーク接続は低速であることがあります。ローカルコン ピュータのインストールに使った方法とは異なるインストール方法を使うことができま す。 ■ ノートパソコンなどの持ち運び可能なコンピュータ ノートパソコンは、定期的なスケジュールではネットワークに接続しないことがあります。 ノートパソコンでは、Symantec Endpoint Protection Manager ではなく LiveUpdate サーバーから更新を取得できます。 ■ 安全な領域にあるコンピュータ 第 2 章 インストール計画 製品ライセンスの必要条件 安全な領域内にあるコンピュータは、安全な領域内にないコンピュータとは異なるセ キュリティ設定を必要とする場合があります。 クライアントをインストールする予定のコンピュータを識別します。Symantec Endpoint Protection Manager を実行しているコンピュータを含め、すべての非保護コンピュータ にクライアントソフトウェアをインストールすることをお勧めします。 コンピュータを管理する方法を決定します。ほとんどの場合、Symantec Endpoint Protection Manager コンソールからコンピュータを管理します。これらは「管理下コン ピュータ」と呼ばれます。ノートパソコンのようなモバイルデバイスなど、会社のネットワー クに断続的に接続するポータブルコンピュータを手動で管理できます。手動で管理する コンピュータは「管理外コンピュータ」と呼ばれます。会社のネットワークに決して接続しな いコンピュータは、言うまでもなく管理外コンピュータです(これらは Symantec Endpoint Protection Manager に決して接続されないため)。 セキュリティニーズが類似したコンピュータをグループに編成します。たとえば、給与計算 を行う部門のコンピュータを Payroll グループに編成できます。定義するグループ構造 は、会社組織の構造に一致する場合がほとんどです。 Symantec Endpoint Protection Manager を使ってグループを作成します。追加制限 を必要とするグループのセキュリティポリシー設定を調整します。 グループにコンピュータを割り当てます。クライアントのインストール中に、グループにコン ピュータを割り当てることができます。また、クライアントのインストール後に、コンソールか らグループにコンピュータを割り当てることもできます。 製品ライセンスの必要条件 試用期間以降も Symantec Endpoint Protection を使う場合は、製品ライセンスを購入 する必要があります。次の必要条件に従って、ライセンスを購入します。 表 2-4 製品ライセンスの必要条件 製品 必要条件 有償ライセンスのインストール 配備された各クライアントに応じたライセンスを購入する必 要があります。1 つのライセンスは、プラットフォームとバー ジョンに関係なく、すべてのクライアントに対応します。 p.109 の 「ライセンスのエンフォースメントルール」 を参照し てください。 シマンテック社のレガシーのウイルス 防止ソフトウェア Symantec Endpoint Protection は、シマンテック社のレ ガシーのウイルス防止ソフトウェアからライセンスファイルを 受け取ります。レガシーライセンスが期限切れになったら、 新しいライセンスを購入する必要があります。 69 70 第 2 章 インストール計画 製品ライセンスの必要条件 製品 必要条件 体験版 60 日間の体験版ライセンスが Symantec Endpoint Protection に含まれています。体験版ライセンスが期限 切れになったら、ライセンスを購入する必要があります。 シマンテック製品のライセンスでは、次の用語が使われます。 シリアル番号 ライセンスには、ライセンスを一意に識別し、ライセンスを会社に関連付 けるシリアル番号が含まれます。このシリアル番号を使って、Symantec Endpoint Protection ライセンスをアクティブ化できます。 p.100 の 「新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアクティブ化」 を参照してください。 配備済み 配備済みとは、Symantec Endpoint Protection クライアントソフトウェ アの保護を受けているエンドポイントコンピュータを指します。たとえば、 「50 の配備済みライセンス枠があります」とは、50 のエンドポイントでク ライアントソフトウェアがインストールされていることを意味します。 アクティブ化 すべてのプログラム機能に制限なくアクセスできるようにするために、 Symantec Endpoint Protection 製品ライセンスをアクティブ化します。 アクティブ化プロセスを実行するには、ライセンスアクティブ化ウィザード を使います。 p.100 の 「新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアクティブ化」 を参照してください。 枠 枠とは、Symantec Endpoint Protection クライアントソフトウェアが保 護する単一のエンドポイントコンピュータです。ライセンスは、特定数の 枠に対して購入され、有効にされます。「有効な枠」とは、すべてのアク ティブなライセンスで指定されている枠の合計数を示します。 体験版 体験版とは、無料の試用期間内で動作する Symantec Endpoint Protection の全機能インストール版を指します。試用期間は、Symantec Endpoint Protection Manager の初回インストールから 60 日です。 試用期間以降も Symantec Endpoint Protection を使い続ける場合 は、インストールに応じたライセンスを購入し、アクティブ化する必要が あります。体験版からライセンス済みインストールに変換するときに、ソフ トウェアをアンインストールする必要はありません。 p.99 の 「ライセンスの購入」 を参照してください。 過剰配備 配備されたクライアント数がライセンス済みの枠の数を超えた場合、ライ センスは過剰配備されています。 ライセンスの必要条件を判断した後、次のタスクを行います。 ■ ライセンスを購入する。 第 2 章 インストール計画 システム必要条件 p.99 の 「ライセンスの購入」 を参照してください。 ■ ライセンスをアクティブ化する。 p.100 の 「新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライ センスのアクティブ化」 を参照してください。 ライセンスの必要条件を理解することは、Symantec Endpoint Protection インストール 計画に必要であり、インストール後には製品ライセンスの管理に必要です。 p.61 の 「インストール計画」 を参照してください。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 システム必要条件 一般に、Symantec Endpoint Protection Manager およびクライアントのシステム必要 条件は、サポートされるオペレーティングシステムのものと同じです。次の表に、追加の詳 細を示します。 表 2-5 に、Symantec Endpoint Protection Manager の最小必要条件を示します。 表 2-6 に、Symantec Endpoint Protection クライアントの最小必要条件を示します。 表 2-7 に、Symantec Network Access Control クライアントの最小必要条件を示しま す。 表 2-8 では、Symantec Network Access Control オンデマンドクライアントの最小必要 条件を示します。 表 2-5 Symantec Endpoint Protection Manager のシステムの必要条件 コンポーネント 必要条件 プロセッサ ■ 32 ビット CPU : 最低限 1 GHz Intel Pentium III または同等(Intel Pentium 4 または同等を推奨) ■ 64 ビット CPU: 最低限 2 GHz Pentium 4 with x86-64 サポートまたは 同等 メモ: Intel Itanium IA-64 CPU と PowerPC CPU はサポートされません。 物理 RAM 32 ビットオペレーティングシステムでは 1 GB の RAM、64 ビットオペレー ティングシステムでは 2 GB の RAM、またはオペレーティングシステムの必 要に応じてそれ以上 ハードディスクドライブ 4 GB 以上の空き容量 ディスプレイ 800 x 600 71 72 第 2 章 インストール計画 システム必要条件 コンポーネント 必要条件 オペレーティングシス ■ Windows 7 テム ■ Windows XP(32 ビットは SP3 以降、64 ビットはすべての SP) Web ブラウザ ■ Windows Server 2003(32 ビット、64 ビット、R2、SP1 以降) ■ Windows Server 2008(32 ビット、64 ビット) ■ Windows Small Business Server 2008(64 ビット) ■ Windows Small Business Server 2011(64 ビット) ■ Windows Essential Business Server 2008(64 ビット) ■ Microsoft Internet Explorer 7、8、9 ■ Mozilla Firefox 3.6 または 4.0 メモ: バージョン 12.1 以前のクライアントは、クライアントのオペレーティングシステムに関 係なく、このバージョンの Symantec Endpoint Protection Manager で管理できます。 Symantec Endpoint Protection Manager には埋め込みデータベースが付属していま す。次のバージョンの Microsoft SQL Server の 1 つを使うこともできます: ■ SQL Server 2000、SP4 以降 ■ SQL Server 2005、SP2 以降 ■ SQL Server 2008 メモ: Symantec Endpoint Protection Manager と SQL データベースを同じコンピュー タ上にインストールする場合は、4 GB 以上の RAM が推奨されます。 表 2-6 Symantec Endpoint Protection Windows と Mac クライアントシステ ムの必要条件 コンポーネント 必要条件 プロセッサ ■ Windows 用 32 ビット CPU: 最低限 1 GHz Intel Pentium III または 同等(Intel Pentium 4 または同等を推奨) ■ Mac 用 32 ビット CPU: Intel Core Solo、Intel Core Duo Windows 用 64 ビット CPU: 最低限 2 GHz Pentium 4 with x86-64 サポートまたは同等。Itanium CPU はサポートされません。 ■ Mac 用 64 ビット CPU: Intel Core 2 Duo、Intel Quad-Core Xeon ■ 物理 RAM 512 MB の RAM、またはオペレーティングシステムの必要に応じてそれ以 上 第 2 章 インストール計画 システム必要条件 コンポーネント 必要条件 ハードディスクドライブ ハードディスク: 820 MB(32 ビット)、850 MB(64 ビット)以上の空き容量 メモ: 必要なディスク空き領域は NTFS ファイルシステムに基づきます。 ディスプレイ 800 x 600 オペレーティングシス ■ Windows XP(32 ビットは SP2 以降、64 ビットはすべての SP) テム ■ Windows XP Embedded ■ Windows Vista(32 ビット、64 ビット) ■ Windows 7(32 ビット、64 ビット) ■ Windows Server 2003(32 ビット、64 ビット、R2、SP1 以降) ■ Windows Server 2008(32 ビット、64 ビット) ■ Windows Small Business Server 2008(64 ビット) ■ Windows Small Business Server 2011(64 ビット) ■ Windows Essential Business Server 2008(64 ビット) ■ Mac OS X 10.5 または 10.6(32 ビット、64 ビット) ■ Mac OS X 10.5 または 10.6(32 ビット、64 ビット) Linux での Symantec AntiVirus クライアントのシステム必要条件については『Symantec AntiVirus for Linux Implementation Guide』を参照してください。 表 2-7 Symantec Network Access Control クライアントのシステム必要条件 コンポーネント 必要条件 プロセッサ ■ Windows 用 32 ビット CPU: 最低限 1 GHz Intel Pentium III または 同等(Intel Pentium 4 または同等を推奨) ■ Windows 用 64 ビット CPU: 最低限 2 GHz Pentium 4 with x86-64 サポートまたは同等。Itanium CPU はサポートされません。 オペレーティングシス ■ Windows XP(32 ビットは SP2 以降、64 ビットはすべての SP) テム ■ Windows XP Embedded ■ Windows Vista(32 ビット、64 ビット) ■ Windows 7(32 ビット、64 ビット) ■ Windows Server 2003(32 ビット、64 ビット、R2、SP1 以降) ■ Windows Server 2008(32 ビット、64 ビット) ■ Windows Small Business Server 2008(64 ビット) ■ Windows Essential Business Server 2008(64 ビット) 物理 RAM 512 MB の RAM、またはオペレーティングシステムの必要に応じてそれ以 上 ハードディスク 32 ビット: 300 MB、64 ビット: 400 MB 73 74 第 2 章 インストール計画 システム必要条件 コンポーネント 必要条件 ディスプレイ 800 x 600 表 2-8 Symantec Network Access Control オンデマンドクライアントのシス テム必要条件 コンポーネント 必要条件 プロセッサ ■ Windows: Intel Pentium II 550 MHz(Windows Vista の場合は 1 GHz)以上 ■ Mac: Intel、PowerPC G5、PowerPC G4 867 MHz 以上 オペレーティングシス ■ Windows XP Home または Professional(32 ビット、SP2 と SP3) テム ■ Windows Vista(32 ビット、64 ビット) ■ Windows 7(32 ビット、64 ビット) ■ Windows Server 2003(32 ビット、64 ビット、R2、SP1 以降) ■ Windows Server 2008(32 ビット、64 ビット) ■ Windows Small Business Server 2008(64 ビット) ■ Windows Essential Business Server 2008(64 ビット) ■ Mac OS X 10.4、10.5、10.6 ディスク容量と物理 RAM ■ ダウンロードサイズ: 9 MB。クライアントの実行に必要な空きディスク容 量: 100 MB。 ■ Windows または Mac オンデマンドクライアントの場合の物理 RAM: 512 MB Web ブラウザ ■ Windows オンデマンドクライアントの場合: Microsoft Internet Explorer 6.0 以降、Mozilla Firefox 2.0、3.0、3.5、3.6.3 メモ: バージョン 11.0 RU6 以下のクライアントでは、Firefox 3.6.3 を サポートしていません。 ■ Mac オンデマンドクライアントの場合: Apple Safari 4.0 と 5.0、Mozilla Firefox 2.0、3.0、3.5、3.6.3 メモ: バージョン 11.0 RU6 以下のクライアントでは、Firefox 3.6.3 を サポートしていません。 その他 ■ ビデオディスプレイ: Super VGA(1,024 x 768)以上 ■ 1 つ以上のイーサネットアダプタ(TCP/IP インストール済み) p.76 の 「サポート対象の仮想インストールと仮想化製品」 を参照してください。 p.75 の 「国際化の必要条件」 を参照してください。 第 2 章 インストール計画 システム必要条件 国際化の必要条件 英語以外または複数言語が混在する環境に Symantec Endpoint Protection Manager をインストールするときには一定の制限があります。 表 2-9 コンポーネント 国際化の必要条件 必要条件 コンピュータ名、サー 英語以外の文字は次の制限付きでサポートされています。 バー名、ワークグループ ■ 2 バイト文字セットまたは high-ASCII 文字セットを使うホストまたはユーザーには、ネットワーク 名 監査は機能しません。 ■ Symantec Endpoint Protection Manager コンソールまたはクライアントユーザーインターフェー スではダブルバイト文字セットまたは high-ASCII 文字セットの名前は正しく表示されないことが あります。 ■ 2 バイト文字セットまたは high-ASCII 文字セットのホスト名は、NetBIOS での上限の長さを超え ることができません。ホスト名が NetBIOS での上限の長さを超えている場合、Symantec Endpoint Protection Manager コンソールで[ホーム]、[監視]、[レポート]のページが表示されません。 英語の文字 次の場合は英字である必要があります。 ■ リモートコンピュータにクライアントパッケージを配備する場合 ■ 管理サーバーの設定ウィザードでサーバーデータフォルダを定義します。 ■ Symantec Endpoint Protection Manager のインストールパスを定義する場合 ■ リモートコンピュータにクライアントを配備するときに資格情報を定義する場合 グループ名を変更する場合 英語以外の文字を含むグループ名用のクライアントパッケージを作成できます。グループ名に 英語以外の文字が含まれている場合、プッシュ配備ウィザードを使ったクライアントパッケージ の配備はできないことがあります。 ■ クライアントコンピュータに英語以外の文字をプッシュ配備する場合。サーバー側で生成される 英語以外の文字の一部がクライアントユーザーインターフェースで正しく表示されないことがあ ります。 たとえば、ダブルバイト文字セットを使ったロケーション名は、ダブルバイト文字以外の文字セッ トの名前を持つクライアントコンピュータでは正しく表示されません。 ■ クライアントコンピュータ エクスポートしたパッケージをインストールした後で、[ユーザー情報]クライアントコンピュータダイア の[ユーザー情報]ダイア ログボックスでフィードバックを提供するときには、2 バイトまたは high-ASCII 文字を使わないでく ログボックス ださい。 p.209 の 「ユーザー情報の収集」 を参照してください。 75 76 第 2 章 インストール計画 サポート対象の仮想インストールと仮想化製品 コンポーネント 必要条件 ライセンスアクティブ化 ウィザード 次のフィールドで 2 バイト文字を使わないでください。 ■ [名] ■ [姓] ■ [会社名] ■ [市区町村] ■ [都道府県] p.100 の 「新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアク ティブ化」 を参照してください。 p.71 の 「システム必要条件」 を参照してください。 サポート対象の仮想インストールと仮想化製品 Symantec Endpoint Protection クライアントを使って、サポート対象のオペレーティン グシステムの仮想インスタンスを保護できます。 Symantec Endpoint Protection Manager は、サポート対象のオペレーティングシステ ムの仮想インスタンスにインストールし保守できます。 p.71 の 「システム必要条件」 を参照してください。 表 2-10 に、サポート対象の仮想化製品を示します。 表 2-10 サポート対象の仮想化製品 シマンテック製ソフトウェア 仮想化製品 Symantec Endpoint Protection Manager、コンソール、埋め込みデータ ベースコンポーネント ■ VMware WS 5.0 (ワークステーション)以降 ■ VMware GSX 3.2 (エンタープライズ)以降 ■ VMware ESX 2.5(ワークステーション)以降 ■ VMware VMotion ■ Microsoft Virtual Server 2005 ■ Windows Server 2008 Hyper-V ■ Novell Xen 第 2 章 インストール計画 Symantec Endpoint Protection Manager と他の製品との互換性について シマンテック製ソフトウェア 仮想化製品 Symantec Endpoint Protection クライア ■ VMware WS 5.0 (ワークステーション)以降 ントソフトウェア ■ VMware GSX 3.2 (エンタープライズ)以降 ■ VMware ESX 2.5(ワークステーション)以降 ■ VMware VMotion ■ Microsoft Virtual Server 2005 ■ Windows Server 2008 Hyper-V ■ Novell Xen p.326 の 「仮想化された環境でのスキャンのランダム化によるコンピュータパフォーマンス の向上」 を参照してください。 仮想環境でのパフォーマンスを改善する Symantec Endpoint Protection 機能につい て詳しくは、『Symantec Endpoint Protection Shared Insight Cache 実装ガイド』と 『Symantec Endpoint Protection Virtual Image Exclusion Implementation Guide』 を参照してください。 Symantec Endpoint Protection Manager と他の製品 との互換性について 一部の製品は Symantec Endpoint Protection と同じサーバーにインストールしたとき に競合することがあります。次の製品の 1 つ以上が同じサーバーにインストールされてい る場合は Symantec Endpoint Protection Manager インストールを設定する必要があ ります。 ■ Symantec Backup Exec 10、10D、11D ■ Symantec Brightmail ■ Symantec Enterprise Vault ■ Symantec Ghost Solution Suite 2.0 ■ Symantec Mail Security for Exchange ■ Symantec NetBackup ■ Microsoft Outlook Web Access ■ Microsoft SharePoint ■ Microsoft Windows Update Services ほとんどの場合、これらのプログラムを Symantec Endpoint Protection と同時に実行 できるようにするためにはポートを変更する必要があります。 77 78 第 2 章 インストール計画 データベースの種類の選択について 設定変更については、シマンテック社のサポートナレッジベースの記事「Addressing Symantec Endpoint Protection compatibility issues」を参照してください。 p.71 の 「システム必要条件」 を参照してください。 データベースの種類の選択について Symantec Endpoint Protection Manager はデータベースを使ってクライアントと設定 に関する情報を格納します。データベースは設定処理の一部として作成されます。管理 サーバーをインストールする前にどの種類を使うかを決定する必要があります。データ ベースを使うように管理サーバーを設定するまでコンソールは使用できません。 表 2-11 Symantec Endpoint Protection Manager が使うデータベースの種類 データベースの種類 説明 埋め込みデータベース 埋め込みデータベースは Symantec Endpoint Protection Manager に含まれています。埋め込みデータベースは設定する 必要がなく、インストールが最も簡単です。埋め込みデータベー スは最大で 5,000 のクライアントをサポートします。 Microsoft SQL Server データ このオプションを使うことにした場合、Symantec Endpoint ベース Protection Manager をインストールする前に、Microsoft SQL Server をインストールする必要があります。また、SQL Server ク ライアントツールは、Symantec Endpoint Protection Manager をインストールする同じコンピュータにインストールする必要があ ります。 次のような場合は Microsoft SQL Server を購入しインストール することを検討してください。 5,000 以上のクライアントをサポートする必要がある。Microsoft SQL Server を使えば、各管理サーバーは最大 50,000 クラ イアントをサポートできます。社内の部署に 50,000 以上のク ライアントがある場合は、別の管理サーバーをインストールで きます。 ■ フェールオーバーと負荷分散をサポートする。 ■ ■ 追加の管理サーバーをサイトパートナーとして設定する。 p.159 の 「必要なサイトの数の決定」 を参照してください。 Microsoft SQL Server データベースを作成する場合は、最初に Microsoft SQL Server のインスタンスをインストールし、管理サー バーと通信するように設定する必要があります。追加の管理サー バーをサイトパートナーとして設定する場合は、その管理サーバー で SQL Server データベースを使う必要があります。 p.79 の 「SQL Server の設定について」 を参照してください。 第 2 章 インストール計画 SQL Server の設定について SQL Server の設定について Symantec Endpoint Protection Manager と Microsoft SQL Server データベースをイ ンストールする場合、SQL Server の設定に関する特定の必要条件があります。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 シマンテック社では、データベースを作成する前に、シマンテックのインストールと設定の 必要条件を満たす SQL Server の新しいインスタンスをインストールすることを推奨して います。データベースを既存のインスタンスにインストールすることもできますが、インスタ ンスを正しく設定する必要があります。正しく設定しないと、データベースのインストール が失敗します。たとえば、大文字と小文字を区別する SQL 照合を選択している場合も、 インストールに失敗します。 警告: Symantec Endpoint Protection Manager は、Microsoft SQL Server を平文の データベース所有者ユーザー名とパスワードで認証します。リモート Microsoft SQL Server 通信のセキュリティを最大限に高めるには、両方のサーバーを安全に保護された 同一のサブネットに配置してください。 表 2-12 必要な SQL Server 設定 設定 インストールの必要条件 インスタンス名 デフォルトの名前は使わないでください。SEPM など の名前を作成します。 Symantec Endpoint Protection Manager をインス トールするときに、SQL Server のインスタンスにデフォ ルトで Sem5 という名前のデータベースが作成されま す。デフォルト名はサポートされていますが、複数のイ ンスタンスを 1 台のコンピュータにインストールする場 合には混乱を招く可能性があります。 認証設定 混合モードまたは Windows 認証モード p.82 の 「SQL Server データベースの認証モードに ついて」 を参照してください。 sa パスワード 混合モード認証を設定するときは、このパスワードを 設定します。 有効なプロトコル TCP/IP TCP/IP 用の IP アドレス(SQL Server 2005 IP1 と IP2 を有効にします。 と 2008 のみ) 79 80 第 2 章 インストール計画 SQL Server の設定について 設定 インストールの必要条件 IP1、IP2、IPALL(SQL Server 2005 と 2008 のみ)の TCP/IP ポート番号 TCP ダイナミックポートを空白に設定し、TCP ポート番 号を指定します。デフォルトポートは通常は 1433 で す。このポート番号はデータベースの作成時に指定 できます。 Symantec Endpoint Protection Manager データ ベースではダイナミックポートをサポートしません。 リモート接続(SQL Server 2005 と 2008 のみ) 有効にする必要があります。TCP/IP プロトコルも指定 する必要があります。 データベースをリモートサーバーに配置する場合、Symantec Endpoint Protection Manager を実行するコンピュータにも BCP.EXE などの SQL Server クライアントコンポー ネントをインストールする必要があります。インストール手順については Microsoft SQL Server のマニュアルを参照してください。 インストールの Symantec Endpoint Protection Manager データベース設定フェーズ で、各種のデータベース値を選択し、入力します。データベースを正しく設定するため に、これらの決定を行う必要があることを理解してください。 表 2-13 に、インストール処理を始める前に理解しておくことが必要な場合がある設定を 示します。 表 2-13 SQL Server データベースの設定 設定 デフォルト 説明 サーバー名 ローカルホスト名 Symantec Endpoint Protection Manager を実行するコン ピュータの名前 サーバーデータフォルダ C:¥Program Files¥Symantec Endpoint Protection Manager¥data Symantec Endpoint Protection Manager がバックアップ、レ プリケーション、その他の Symantec Endpoint Protection Manager ファイルなどのデータファイルを格納するフォルダこ のフォルダが存在しない場合は、インストーラによって作成され ます。 第 2 章 インストール計画 SQL Server の設定について 設定 デフォルト 説明 暗号化パスワード なし Symantec Endpoint Protection Manager、クライアント、オプ ションのエンフォーサハードウェアデバイス間の通信を暗号化す るパスワードパスワードは英数字を組み合わせて 1 から 32 文 字以内で入力します。必須です。 このパスワードは記録して安全な場所に保管してください。デー タベースの作成後にパスワードを変更または回復することはで きません。また、復元するバックアップデータベースがない場合 にディザスタリカバリの目的でもこのパスワードを入力する必要 があります。 p.945 の 「ディザスタリカバリの実行」 を参照してください。 データベースサーバー ローカルホスト名 Microsoft SQL Server 名と省略可能なインスタンス名。データ ベースサーバーとデフォルトインスタンスをインストールした場合 は、名前が付いていないので、<ホスト名 > またはホストの <IP アドレス > を入力します。データベースサーバーと名前付きイン スタンスをインストールした場合は、<ホスト名 >¥<インスタンス名 > または <IP アドレス >¥<インスタンス名 > のいずれかを入力し ます。<ホスト名 > は、適切に設定された DNS が存在する場合 にのみ使うことができます。 リモートデータベースサーバーにインストールする場合は、最初 に SQL Server クライアントコンポーネントを Symantec Endpoint Protection Manager を実行するコンピュータにインストールす る必要があります。 SQL Server ポート 1433 SQL Server への送受信トラフィックに使うポート。 ランダムな交信用ポートの指定に使うポート 0 はサポートされま せん。 データベース名 sem5 作成するデータベースの名前。 ユーザー sem5 作成するデータベースユーザーアカウントの名前。ユーザーア カウントには読み込みと書き込みのアクセスが許可された標準 の役割があります。名前には、英数字と特殊文字 (~#%_+=|:./)を組み合わせることができます。ただし、特殊 文字のうち、'!@$^&*()-{}[]¥¥<;>,? は使えません。その ほかに使えない名前として、sysadmin、server admin、 setupadmin、securityadmin、processadmin、dbcreator、 diskadmin、bulkadmin があります。 パスワード なし データベースユーザーアカウントに関連付けるパスワード。名前 には、英数字と特殊文字(~#%_+=|:./)を組み合わせること ができます。ただし、特殊文字のうち、!@*(){}[];,? は使え ません。 81 82 第 2 章 インストール計画 SQL Server データベースの認証モードについて 設定 デフォルト 説明 SQL Client フォルダ SQL Server 2000: C:¥Program Files¥Microsoft SQL Server¥80¥Tools¥Binn bcp.exe を含んだ SQL Client ユーティリティのローカルディレク トリの場所。 SQL Server 2005: C:¥Program Files¥Microsoft SQL Server¥90¥Tools¥Binn SQL Server 2008: C:¥Program Files¥Microsoft SQL Server¥100¥Tools¥Binn DBA ユーザー なし データベースサーバー管理者アカウントの名前で、通常は sa です。 DBA パスワード なし データベースユーザーアカウントに関連付けるパスワードの名 前。 データベースのデータ フォルダ [デフォルト]をクリックすると自動 SQL Server データフォルダの場所。リモートサーバーにインス 的に検出されます。 トールする場合、ボリューム ID がリモートサーバーの ID と一致 する必要があります。 SQL Server 2000: C:¥Program Files¥Microsoft SQL ■ SQL Server 2000 の名前付きインスタンスにインストールす Server¥MSSQL¥Data る場合は、MSSQL$<インスタンス名 >¥Data のように MSSQL にドル記号を付けてインスタンス名を追加します。 SQL Server 2005: C:¥Program ■ SQL Server 2005 の名前付きインスタンスにインストールす Files¥Microsoft SQL る場合は、¥MSSQL.1¥<インスタンス名 >¥Data のように Server¥MSSQL.1¥MSSQL¥Data MSSQL にドット記号を付けてインスタンス名を追加します。 SQL Server 2008: C:¥Program ■ SQL Server 2008 の名前付きインスタンスにインストールす Files¥Microsoft SQL Server¥ る場合は、インスタンス名は MSSQL10 に追記します。たと MSSQL10.MSSQLSERVER¥ えば、¥MSSQL10.<インスタンス名 >¥Data のようにします。 MSSQL¥Data メモ: データベースサーバーとインスタンス名を正しく入力した 場合は、[デフォルト]をクリックすると正しいインストールフォル ダが表示されます。[デフォルト]をクリックしても正しいインストー ルフォルダが表示されない場合は、データベースの作成に失敗 しています。 SQL Server データベースの認証モードについて Symantec Endpoint Protection Manager は SQL Server データベース認証の 2 つの モードをサポートします。 ■ Windows 認証モード ■ 混合モード 第 2 章 インストール計画 SQL Server データベースの認証モードについて Microsoft SQL Server は Windows 認証または混合モード認証のどちらかを使うように 設定できます。混合認証モードでは Windows または SQL Server の資格情報を使用で きます。SQL Server が混合モードを使うように設定されているとき、Symantec Endpoint Protection Manager は Windows 認証または混合モード認証のどちらを使うように設定 してもかまいません。SQL Server が Windows 認証モードを使うように設定されていると き、Symantec Endpoint Protection Manager も Windows 認証モードを使うように設 定する必要があります。 Windows 認証モードを使うリモートデータベース接続については、次の必要条件に注 意してください。 ■ Active Directory 環境に配備する場合は、Symantec Endpoint Protection Manager と SQL Server を同じ Windows ドメインに配置する必要があります。 ■ ワークグループ環境に配備する場合は、Windows アカウントの資格情報がローカル コンピュータとリモートコンピュータで同じである必要があります。 p.79 の 「SQL Server の設定について」 を参照してください。 83 84 第 2 章 インストール計画 SQL Server データベースの認証モードについて 3 Symantec Endpoint Protection Manager のイン ストール この章では以下の項目について説明しています。 ■ 管理サーバーとコンソールのインストール ■ インストール時の管理サーバーの設定 ■ Symantec Endpoint Protection Manager 用の自己署名証明書の受け入れ ■ Symantec Endpoint Protection Manager のアンインストール ■ Symantec Endpoint Protection Manager コンソールへのログオン ■ コンソールへのログオン状態を維持する期間の延長 ■ コンソールからできること 管理サーバーとコンソールのインストール サーバーおよびコンソールをインストールする複数のタスクを実行します。インストールウィ ザードでは、完了した各タスクの横に緑色のチェックマークが表示されます。 p.71 の 「システム必要条件」 を参照してください。 p.115 の 「クライアントインストールの準備」 を参照してください。 p.45 の 「Symantec Endpoint Protection での初期作業」 を参照してください。 86 第 3 章 Symantec Endpoint Protection Manager のインストール インストール時の管理サーバーの設定 管理サーバーおよびコンソールをインストールするには 1 製品ディスクを挿入し、表示します。 インストールは自動的に開始します。開始しない場合は、Setup.exeをダブルクリッ クしてください。 製品をダウンロードしたら、フォルダを圧縮解除し、ハードディスクなどの物理ディス クに製品全体のディスクイメージを抽出します。物理ディスクから、Setup.exeを実行 します。 2 [Symantec Endpoint Protection]ダイアログボックスで、[Symantec Endpoint Protection のインストール]をクリックします。 3 [Symantec Endpoint Protection Manager のインストール]をクリックします。 4 [ようこそ]パネルで、[次へ]をクリックします。 5 インストールイベントのシーケンスを調べ、[次へ]をクリックします。 6 [使用許諾契約]パネルで、[使用許諾契約の条項に同意します]をクリックし、[次 へ]をクリックします。 7 [インストール先フォルダ]パネルで、デフォルトのインストール先フォルダを受け入 れるか、または別のインストール先フォルダを指定して、[次へ]をクリックします。 8 [Install]をクリックします。 インストールプロセスは、Symantec Endpoint Protection Manager およびコンソー ルのインストールから始まります。 9 インストールウィザードに表示されるメッセージに従います。 10 初期インストールが完了した後、サーバーとデータベースを設定します。 管理サーバーの設定ウィザードが自動的に起動します。 p.86 の 「インストール時の管理サーバーの設定」 を参照してください。 p.78 の 「データベースの種類の選択について」 を参照してください。 11 サーバーおよびデータベースを設定した後、必要に応じてシマンテック社のレガシー のウイルス防止のインストールを新しいバージョンに移行します。 p.142 の 「グループ設定とポリシー設定の移行」 を参照してください。 p.123 の 「クライアントの配備方法について」 を参照してください。 p.124 の 「Web リンクと電子メールを使ったクライアントの配備」 を参照してください。 インストール時の管理サーバーの設定 管理サーバー設定ウィザードは、Symantec Endpoint Protection Manager のインス トール後に自動的に開始します。 第 3 章 Symantec Endpoint Protection Manager のインストール Symantec Endpoint Protection Manager 用の自己署名証明書の受け入れ p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 管理サーバー設定ウィザードは、インストール後はいつでも、[スタート]、[すべてのプロ グラム]、[Symantec Endpoint Protection Manager]、[Symantec Endpoint Protection Manager Tools]の順にクリックして開始することもできます。 サーバーを設定するには、次の情報を指定します。 ■ 設定の種類: デフォルトまたはカスタム。ウィザードはそれぞれの種類に関する情報を 提供します。 ■ 回復ファイルを使うかどうか。 メモ: 今回が Symantec Endpoint Protection Manager の初回インストールの場合、 回復ファイルはありません。 p.945 の 「ディザスタリカバリの実行」 を参照してください。 ■ デフォルトの管理者アカウントのパスワード。 ■ 重要な通知およびレポートを受信する電子メールアドレス。 ■ メールサーバー名とポート番号。 ■ シマンテックライセンスを管理するシマンテック社販売パートナーがいる場合は、必要 に応じてパートナー情報を追加できます。 設定の種類ごとに設定プロセスは異なります。サーバー設定ウィザードに表示される手順 に従って、設定を完了します。 p.61 の 「インストール計画」 を参照してください。 Symantec Endpoint Protection Manager 用の自己署 名証明書の受け入れ Symantec Endpoint Protection Manager をインストールするときに、ブラウザに表示さ れるページの自己署名証明書がインストールの一部として組み込まれます。これらのペー ジにリモートコンソールから初めてアクセスするときに、表示するページの自己署名証明 書を受け入れる必要があります。 証明書はユーザーごとに個別に保存されます。各管理者アカウントは、管理サーバーに 接続する個々のリモートの場所用の証明書を受け入れる必要があります。 p.89 の 「Symantec Endpoint Protection Manager コンソールへのログオン」 を参照 してください。 87 88 第 3 章 Symantec Endpoint Protection Manager のインストール Symantec Endpoint Protection Manager のアンインストール Symantec Endpoint Protection Manager のアンインス トール Symantec Endpoint Protection Manager をアンインストールすると、サーバー、コン ソール、データベースがアンインストールされます。必要に応じてデータベースバックアッ プファイルをアンインストールすることもできます。 Symantec Endpoint Protection Manager を再インストールする予定の場合は、アンイ ンストールする前にデータベースをバックアップする必要があります。 レプリケーション用に設定されている Symantec Endpoint Protection Manager のアン インストールを試行する前にレプリケーションを無効にする必要があります。レプリケーショ ンをオフにした後、Symantec Endpoint Protection Manager をアンインストールするコ ンピュータを再起動してから、アンインストールを実行することができます。 p.642 の 「データベースとログのバックアップ」 を参照してください。 p.146 の 「移行の前に複製をオフにする」 を参照してください。 p.146 の 「移行またはアップグレード後の複製の有効化」 を参照してください。 Symantec Endpoint Protection Manager をアンインストールするには 1 サーバーコンピュータの[スタート]メニューから、[コントロールパネル]、[プログラム の追加と削除]の順にクリックします。 2 [プログラムの追加と削除]ダイアログボックスでは、Symantec Endpoint Protection Manager を選択し、[削除]をクリックします。 場合によっては、Symantec Endpoint Protection Manager またはクライアントを手動 でアンインストールする必要があります。 詳細については、Symantec Endpoint Protection Manager とクライアントを手動でア ンインストールする手順を記した、シマンテック社のサポートナレッジベースの記事を参照 してください。 表 3-1 バージョン 手動でのアンインストールに関するナレッジベースの記事のリスト 記事 Symantec Endpoint Protection Manager 11.0 How to manually uninstall Symantec Endpoint Protection Manager 11.0 Symantec Endpoint Protection Manager 12.0 How to manually uninstall Symantec Endpoint Protection Manager 12.0 Windows 2000、XP、2003 の 32 ビットエディショ How to manually uninstall Symantec ン上の Symantec Endpoint Protection クライア Endpoint Protection client from Windows ント 2000, XP and 2003, 32-bit Editions 第 3 章 Symantec Endpoint Protection Manager のインストール Symantec Endpoint Protection Manager コンソールへのログオン バージョン 記事 Windows Vista、Windows 7、Windows Server How to manually uninstall Symantec 2008 の 32 ビットエディション Endpoint Protection client from Windows Vista, Windows 7, and Windows 2008 32-bit Editions メモ: ここに記載されていないバージョンについては、シマンテック社のテクニカルサポー トナレッジベースを検索してください。 Symantec Endpoint Protection Manager コンソールへ のログオン Symantec Endpoint Protection Manager をインストールすると、Symantec Endpoint Protection Manager コンソールにログオンできます。コンソールにログオンする方法は、 2 つあります。 ■ 管理サーバーがインストールされているコンピュータからローカルにログオンする。 ■ リモートコンソールのシステムの必要条件を満たし、管理サーバーへのネットワーク接 続性のあるコンピュータからリモートにログオンする。 リモート Web コンソールまたはリモート Java コンソールにログオンできます。 リモートでログオンするには、管理サーバーがインストールされているコンピュータの IP アドレスまたはホスト名が必要です。また、Web ブラウザのインターネットオプションの設 定で、ログオンするサーバーの内容の表示が許可されていることを確認してください。 リモートでログオンすると、ローカルでログオンした管理者と同じタスクを実行できます。コ ンソールから表示できる内容および実行できる項目は、管理者の種類によって異なりま す。小規模組織の管理者のほとんどは、システム管理者としてログオンします。 p.577 の 「管理者について」 を参照してください。 また、管理サーバーに接続されたスタンドアロンの Web ブラウザからもレポート機能にア クセスできます。 p.542 の 「スタンドアロン Web ブラウザからのレポートへのログオン」 を参照してください。 p.609 の 「リモートの Symantec Endpoint Protection Manager コンソールへのアクセス の認可または拒否」 を参照してください。 メモ: 以前のバージョンの製品でリモート Java コンソールをインストールした場合は、新し いバージョンにアップグレードするときに再インストールする必要があります。 89 90 第 3 章 Symantec Endpoint Protection Manager のインストール Symantec Endpoint Protection Manager コンソールへのログオン コンソールにローカルでログオンするには 1 スタートメニューで[プログラム]、[Symantec Endpoint Protection Manager]、 [Symantec Endpoint Protection Manager]の順にクリックします。 2 Symantec Endpoint Protection Manager のログオンダイアログボックスで、インス トール時に設定したユーザー名(デフォルトは admin)とパスワードを入力します。 3 コンソールに複数のドメインがある場合は、[オプション >]をクリックし、ドメイン名を 入力します。 4 [ログオン]をクリックします。 コンソールにリモートでログオンするには 1 Internet Explorer を開き、アドレスバーに次の URL を入力します。 http://<ホスト名 >:9090 ここで、<ホスト名 > は管理サーバーのホスト名または IP アドレスです。 2 Symantec Endpoint Protection Manager コンソールの[Web アクセス]ページで、 希望するコンソールの種類をクリックします。 メモ: [Symantec Endpoint Protection Manager コンソール]を選択した場合、ロ グオンに使うコンピュータには、Java 2 Runtime Environment(JRE)がインストー ルされている必要があります。インストールされていない場合、ダウンロードしてイン ストールするように促すメッセージが表示されます。メッセージに従って JRE をインス トールします。 3 ホスト名メッセージが表示されたら、[はい]をクリックします。 この警告メッセージは、指定したリモートコンソールの URL が、Symantec Endpoint Protection Manager の証明書名と一致していないことを示します。管理サーバー のコンピュータ名と異なる IP アドレスを指定してログオンした場合にこの問題が生じ ます。 Web ページのセキュリティ証明書の警告が表示されたら、[このサイトの閲覧を続行 する(推奨されません)。]をクリックし、Internet Explorer に自己署名証明書を追加 します。 セキュリティ証明書を Internet Explorer に追加する方法については、シマンテック 社のテクニカルサポートナレッジベースで、「How to add the self-signed certificate for Symantec Protection Center or Symantec Endpoint Protection Manager to Internet Explorer」を参照してください。 第 3 章 Symantec Endpoint Protection Manager のインストール コンソールへのログオン状態を維持する期間の延長 4 画面のメッセージに従ってログオン処理を完了します。ログオン方法によっては、追 加情報を指定する必要がある場合もあります。 たとえば、ネットワークに複数のドメインがある場合は、ログオンするドメインの名前を 指定する必要があります。 メモ: インストールの後で最初にログオンするときは、アカウント名に admin を使い ます。 5 [ログオン]をクリックします。 リモートコンソールの起動時に、1 つ、または複数のセキュリティ警告メッセージが表 示される場合があります。表示された場合、[はい]、[実行]、[開始]などを、コンソー ルが表示されるまでクリックします。 Symantec Endpoint Protection Manager で必要な自己署名証明書を受け入れ ることが必要な場合があります。 p.87 の 「Symantec Endpoint Protection Manager 用の自己署名証明書の受け 入れ」 を参照してください。 コンソールへのログオン状態を維持する期間の延長 パスワードによってコンソールを保護できるようにするため、コンソールでは 1 時間後に ユーザー名とパスワードを再入力するように要求されます。管理コンソールに頻繁にログ オンしなくても済むように、タイムアウト期間を延長できます。 コンソールへのログオン状態を維持する期間を延長するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [ローカルサイト]またはリモートサイトをクリックし、[サイトプロパティの編集]をクリッ クします。 3 [全般]タブで、[コンソールタイムアウト]ドロップダウンリストをクリックし、[なし]を選 択します。 4 [OK]をクリックします。 コンソールからできること Symantec Endpoint Protection Manager コンソールは管理者用の GUI を提供しま す。コンソールを使用してポリシーとコンピュータを管理し、エンドポイントの保護の状態 を監視し、管理者アカウントを作成して管理できます。 コンソールでは実行する機能とタスクがページ単位に分割されています。 91 92 第 3 章 Symantec Endpoint Protection Manager のインストール コンソールからできること 表 3-2 Symantec Endpoint Protection Manager コンソールのページ ページ 説明 ホーム ネットワークのセキュリティの状態を表示します。 [ホーム]ページからは次のタスクを実行できます。 ■ 検出されたウイルスとその他のセキュリティリスクの数を取得します。 ■ ネットワーク内の保護されていないコンピュータの数を取得します。 ウイルス定義と他のコンテンツ更新を受信したコンピュータの数を取得し ます。 ■ ライセンスの状態を表示します。 ■ ■ コンソールの環境設定を調整します。 ■ 最新のインターネットとセキュリティの脅威についての情報を取得します。 p.541 の 「レポートの環境設定」 を参照してください。 p.108 の 「ライセンス状態の確認」 を参照してください。 監視 Symantec Endpoint Protection Manager と管理下コンピュータに関する イベントログを監視します。 [監視]ページからは次のタスクを実行できます。 ■ リスク分布グラフを表示します。 ■ イベントログを表示します。 ■ 最近発行されたコマンドの状態を表示します。 ■ 通知を表示、作成します。 p.566 の 「通知の表示と対応」 を参照してください。 レポート レポートを実行してコンピュータとネットワーク活動についての最新の情報を 取得します。 [レポート]ページからは次のタスクを実行できます。 ■ クイックレポートを実行します。 ■ 日次概略レポートを実行します。 ■ 週次概略レポートを実行します。 p.545 の 「クイックレポートの実行とカスタマイズ」 を参照してください。 第 3 章 Symantec Endpoint Protection Manager のインストール コンソールからできること ページ 説明 ポリシー 保護技術の設定を定義するセキュリティポリシーを表示します。 [ポリシー]ページからは次のタスクを実行できます。 ■ 保護設定を表示、調整します。 ■ セキュリティポリシーを作成、編集、コピー、削除します。 ■ コンピュータグループにセキュリティポリシーを割り当てます。 ■ LiveUpdate 用にクライアントコンピュータを設定します。 p.232 の 「セキュリティポリシーの種類」 を参照してください。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照して ください。 p.482 の 「コンテンツ更新の管理」 を参照してください。 クライアント コンピュータとグループを管理します。 このページからは次のタスクを実行できます。 ■ グループを作成、削除します。 ■ グループプロパティの編集 ■ グループに割り当てられているセキュリティポリシーを表示します。 ■ グループ上でコマンドを実行 ■ ネットワークのコンピュータにクライアントソフトウェアを配備します。 p.175 の 「クライアントのグループの管理」 を参照してください。 管理 Symantec Endpoint Protection Manager の設定、ライセンス、管理者ア カウントを管理します。 [管理]ページからは次のタスクを実行できます。 ■ 管理者アカウントを作成、編集、削除します。 ■ 電子メールサーバーとプロキシサーバーの設定を表示、編集します。 ■ ライセンスをインポート、購入します。 ■ LiveUpdate のスケジュールを調整します。 ■ LiveUpdate からコンテンツ更新をダウンロードします。 ■ LiveUpdate の状態と最近のダウンロードを表示します。 p.576 の 「ドメインと管理者アカウントの管理」 を参照してください。 p.482 の 「コンテンツ更新の管理」 を参照してください。 93 94 第 3 章 Symantec Endpoint Protection Manager のインストール コンソールからできること 4 製品ライセンスの管理 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection のライセンス ■ 試用ライセンスについて ■ ライセンスの購入 ■ シマンテック製品ライセンスの購入場所 ■ 新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのア クティブ化 ■ 必要なライセンス連絡先情報 ■ 体験版からのアップグレードについて ■ 製品のアップグレードとライセンスについて ■ Symantec Endpoint Protection ライセンスの延長について ■ シマンテックライセンスポータルについて ■ 製品ライセンスの管理 ■ ライセンス状態の確認 ■ 新しいライセンスや延長済みライセンスまたはライセンスアップグレードのライセンス ファイルのダウンロード ■ ライセンスのエンフォースメントルール ■ ライセンスファイルのバックアップ ■ 削除されたライセンスの回復 ■ ライセンスのインポート 96 第 4 章 製品ライセンスの管理 Symantec Endpoint Protection のライセンス ■ 使われなくなったクライアントとそのライセンスに対する影響について ■ 使われなくなったクライアントのデータベースからのパージ ■ 複数年ライセンスについて ■ 管理外クライアントのライセンス交付 Symantec Endpoint Protection のライセンス Symantec Endpoint Protection は、体験版ライセンスが期限切れになった後、または 現在のライセンスの期限が切れるときに、有償ライセンスを要求します。既存のライセンス を製品アップグレードに適用できます。新しいライセンスまたは延長済みライセンスをアク ティブ化するには、または体験版ライセンスを有償ライセンスに変換する場合は、ライセ ンスアクティブ化ウィザードを使います。サイトでのエンドポイントの保護に必要な Symantec Endpoint Protection クライアント数に応じて、Symantec Endpoint Protection にライ センスを交付します。 Symantec Endpoint Protection Manager をインストールした後、配備されたクライアン トすべてを扱うのに十分なライセンス枠の購入までに 60 日間の猶予が与えられます。 表 4-1 に、シマンテック製品のライセンスを購入し、アクティブ化するために必要になるタ スクを示します。 表 4-1 タスク ライセンスタスク 説明 製品ライセンスの必要条件の確認 保護するシステムによって求められる、ライセンスの必要条件 を理解することは重要です。ライセンスがあれば、指定された 数のコンピュータに Symantec Endpoint Protection クライア ントをインストールし、LiveUpdate からウイルス定義および製 品更新をダウンロードできます。 p.69 の 「製品ライセンスの必要条件」 を参照してください。 第 4 章 製品ライセンスの管理 Symantec Endpoint Protection のライセンス タスク 説明 ライセンスの購入 次の場合にライセンスを購入する必要があります。 Symantec Endpoint Protection を購入する必要がある場 合。 ■ 体験版ライセンスが期限切れになった場合。 ■ ■ 有償ライセンスが期限切れになった場合。 ■ ライセンスが過剰配備された場合。 p.108 の 「ライセンス状態の確認」 を参照してください。 p.99 の 「ライセンスの購入」 を参照してください。 p.106 の 「体験版からのアップグレードについて」 を参照してく ださい。 ライセンスのインポートおよびアク Symantec Endpoint Protection Manager のライセンスアク ティブ化 ティブ化ウィザードを使って、シマンテック製品のライセンスをイ ンポートおよびアクティブ化します。 ライセンスのアクティブ化には、次のどちらかが必要になります。 ■ シマンテックライセンスシリアル番号 ■ シマンテックライセンスファイル(.SLF) メモ: ライセンスを購入すると、これらのどちらか一方を受け取 ります。 p.100 の 「新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアクティブ化」 を参照してく ださい。 デフォルトのライセンス通知の確 認 ライセンス通知は、期限切れのライセンスと他のライセンスの問 題について、管理者に警告します。 p.561 の 「事前設定された通知について」 を参照してください。 ライセンスの状態の確認 コンソールにインポートした各ライセンスの状態を取得できま す。 p.108 の 「ライセンス状態の確認」 を参照してください。 p.107 の 「Symantec Endpoint Protection ライセンスの延長 について」 を参照してください。 ライセンスファイルのバックアップ ライセンスファイルをバックアップしておくと、データベースまた はコンピュータのハードディスクが破損した場合に備えて、ライ センスファイルを保持できます。 p.110 の 「ライセンスファイルのバックアップ」 を参照してくださ い。 97 98 第 4 章 製品ライセンスの管理 試用ライセンスについて ライセンスの製造元に応じて、製品ライセンスのシリアル番号またはシマンテックライセン スファイルのどちらかを受け取ります。ライセンスファイルは、電子メールで送信されるか、 安全な Web サイトからダウンロードされます。ライセンスファイルは拡張子 .SLF(シマン テックライセンスファイル)を使います。電子メールでライセンスファイルが送信される場 合、.ZIP ファイルとして電子メールに添付されます。.ZIP ファイルから .SLF ファイルを抽 出する必要があります。 Symantec Endpoint Protection Manager コンソールからアクセスできるコンピュータに ライセンスファイルを保存します。多くのユーザーは Symantec Endpoint Protection Manager をホストするコンピュータに保存し、保護のため、ライセンスのコピーを別のコン ピュータまたはリムーバブルストレージメディアにも保存します。 警告: ライセンスファイルの破損を防ぐため、決してファイルの内容を開いたり、変更しな いでください。ただし、必要に応じてライセンスをコピーして保管しておくことができます。 メモ: 場合によっては、ライセンスのシリアル番号しか持っていないことがあります。このシ リアル番号を使うことで、シマンテック製品のライセンスをアクティブ化し、製品ソフトウェア をダウンロードできます。 試用ライセンスについて 試用ライセンスを使って、特定の環境で Symantec Endpoint Protection を評価し、テ ストできます。 試用ライセンスは次の Symantec Endpoint Protection コンポーネントに適用されます。 ■ Symantec Endpoint Protection Manager ■ Symantec Endpoint Protection クライアント ■ セキュリティポリシーおよびイベントを格納する埋め込みデータベース ■ LiveUpdate コンテンツへのアクセス Symantec Endpoint Protection は次の Web サイトからダウンロードできます。 http://www.symantec.com/business/products/downloads/ 試用ライセンスの期限が切れた後に製品の完全な機能を維持するには、有償ライセンス をアクティブ化する必要があります。Symantec Endpoint Protection のインストールを ライセンス版のインストールに移行するために、試用ライセンスバージョンをアンインストー ルする必要はありません。 体験版ライセンスは、製品のインストールの 60 日後に期限切れになります。 p.61 の 「インストール計画」 を参照してください。 p.99 の 「ライセンスの購入」 を参照してください。 第 4 章 製品ライセンスの管理 ライセンスの購入 ライセンスの購入 Symantec Endpoint Protection には、それぞれの環境で製品をインストールし評価で きる体験版ライセンスが付属しています。試用期間以降も製品を使う場合は、ライセンス を購入する必要があります。 次の場合にも、ライセンスを購入する必要があります。 ■ 現在のライセンスが期限切れになった場合。 ■ 現在のライセンスが過剰配備された場合。過剰配備されたとは、クライアントまたは Symantec Endpoint Protection Manager のインスタンスが、現在のライセンスで認 められている数よりも多く配備されていることを意味します。 ■ バージョンアップグレードの体験版が期限切れになった後に新しいバージョンにアッ プグレードする場合。新しいバージョンの Symantec Endpoint Protection がリリー スされると、無料のアップグレード体験版が添付された、アップグレードを提案する電 子メールが送信されます。アップグレードの試用期間以降も新しいバージョンを使い 続けることにした場合は、アップグレードライセンスを購入する必要があります。 ライセンスの購入について詳しくは、次のリンクを使ってください。 ライセンスの必要条件を判断するには p.69 の 「製品ライセンスの必要条件」 を参照し てください。 製品ライセンスの購入場所を調べるには p.99 の 「ライセンスの購入」 を参照してください。 Symantec Endpoint Protection に付属する体 p.106 の 「体験版からのアップグレードについて」 験版ライセンスからアップグレードする方法につ を参照してください。 いて詳しく知るには ライセンス購入のアドバイスを得たり、ライセンス http://customercare.symantec.com/ について詳しく知るには p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 シマンテック製品ライセンスの購入場所 シマンテック製品のライセンスは次の場所から購入できます。 ■ シマンテック社の正規代理店: 代理店を見つけるには、「シマンテックパートナーの検索」を使います。 シマンテック社のパートナーについて詳しくは、 http://www.symantec.com/partners/index.jsp を参照してください。 ■ シマンテック社の営業担当: 営業窓口の情報については、Symantec Ordering Web siteにアクセスしてください。 99 100 第 4 章 製品ライセンスの管理 新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアクティブ化 新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアクティブ化 この記事は次のタスクに適用されます。 ■ 新しい有償ライセンスのアクティブ化 ■ 体験版ライセンスの有償ライセンスへの変換 ■ ライセンスの延長 ■ 以前のバージョンからのライセンスのアップグレード ビデオウォークスルーを表示することもできます。 ビデオウォークスルーを表示するには 1 http://go.symantec.com/education_septc に移動します。 2 リンクページで、[Topicks include]の下の[Symantec Endpoint Protection 12.1] をクリックします。 3 展開されたリストで、[Symantec Endpoint Protection 12.1: How to Activate the License]をクリックします。 次の種類のライセンスをアクティブ化できます。 ■ 有償ライセンス ■ ライセンス延長 ■ 過剰配備クライアントのライセンス 次のソースから受け取ったライセンスファイルをアクティブ化できます。 ■ シマンテックライセンスポータル ■ シマンテック社のパートナーまたは正規代理店 ■ シマンテック社の営業担当 ■ シマンテックビジネスストア 新しいライセンスをアクティブ化する、期限切れのライセンスを延長する、体験版ライセン スを有償ライセンスに変換するには、アクティブ化ワークフローを使います。 次の方法でライセンスアクティブ化ウィザードを起動できます。 ■ 製品のインストール後に表示される[Symantec Endpoint Protection にようこそ]画 面。 [ようこそ]画面からライセンスをアクティブ化する場合、以下の手順の最初の 3 つを 省略できます。 ■ Symantec Endpoint Protection Manager コンソールの[管理]ページ。 第 4 章 製品ライセンスの管理 新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアクティブ化 メモ: Small Business Edition のメインコンソール画面は、ここに示されているものとはわ ずかに異なります。ただし、ライセンスアクティブ化ウィザードは製品の両方のバージョン で同一です。 新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアク ティブ化 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [管理]ページで、[ライセンス]をクリックします。 3 [タスク]で、[ライセンスをアクティブ化する]をクリックします。 101 102 第 4 章 製品ライセンスの管理 新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアクティブ化 4 [ライセンスアクティブ化ウィザード]で、[新しいライセンスをアクティブ化する]を選 択し、[次へ]をクリックします。 第 4 章 製品ライセンスの管理 新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアクティブ化 5 [ライセンスのアクティブ化]パネルで、状況に合致するオプションを選択して、[次 へ]をクリックします。 次の表に各オプションの説明を示します。 オプション 説明 シリアル番号がある場合 ユーザーまたはシマンテックパートナーがライセンスを購入 したときにライセンスシリアル番号を受け取る場合がありま す。ライセンスシリアル番号がある場合は、このオプションを 選択します。(EFLEX のお客様で、EFLEX が生成したシリ アル番号がある場合は、[シマンテックライセンスファイルが ある場合]を選択してください。 シマンテックライセンスファイル ほとんどの場合、シマンテックライセンスファイル(.SLF ファ (.slf)がある場合 イル)は、購入プロセスの完了後すぐに電子メールでシマン テック社から送信されます。このファイルは通常、.ZIP ファイ ルとして通知電子メールに添付されます。.SLF ファイルを 受信した場合は、このオプションを選択します。 メモ: 製品ライセンスをアクティブ化するために使う前に、.ZIP ファイルから .SLF ファイルを抽出する必要があります。 警告: 警告: .SLF ファイルにはライセンスに一意の情報が 含まれています。破損を避けるため、ライセンスファイルの 内容は変更しないでください。記録のためにファイルをコ ピーできます。 6 前の手順で行った選択に応じて、次のタスクのいずれかを行います。 ■ [シリアル番号がある場合]を選択した場合は、シリアル番号を入力し、[次へ]を クリックします。 103 104 第 4 章 製品ライセンスの管理 新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセンスのアクティブ化 ■ [シマンテックライセンスファイル(.slf)がある場合]を選択した場合は、[ファイル の追加]をクリックし、シマンテック社からの通知電子メールに添付されていた .ZIP ファイルから抽出した .SLF ファイルを参照して選択し、[開く]をクリックし、 [次へ]をクリックします。 第 4 章 製品ライセンスの管理 必要なライセンス連絡先情報 7 技術担当者、責任者、会社に関する情報を入力し、[提出]をクリックします。 技術担当者は、Symantec Endpoint Protection システムの保守と管理を担当す る人物です。責任者の情報は技術担当者と同じ場合でも入力する必要があります。 このパネルでの最後の操作は、開示に関する声明を読んだことの確認です。確認を 行うと、[提出]ボタンが利用可能になります。 ウィザードに、ライセンスがアクティブ化されることを示すメッセージが表示されます。 8 [完了]をクリックします。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 必要なライセンス連絡先情報 アクティブ化の処理中、見つからないライセンス連絡先情報を入力するように指示されま す。ウィザードには、この情報がどのように使われるかを説明しているプライバシーに関す る声明が表示されます。アクティブ化の処理を完了するには、プライバシーの条件を受け 入れ可能であることを指定する必要があります。 表 4-2 に必要な情報が記載されています。 表 4-2 ライセンス連絡先情報 情報の種類 説明 技術担当者 エンドポイントのセキュリティインフラのインストールや保守に関係 している、技術的な活動を担当する人の連絡先情報。連絡先の 名前、電子メールアドレス、電話番号が必要です。 105 106 第 4 章 製品ライセンスの管理 体験版からのアップグレードについて 情報の種類 説明 責任者 会社を代表する人の連絡先情報。連絡先の名前、電子メールア ドレス、電話番号が必要です。 メモ: 技術担当者と責任者が同一人物である場合に、それを示 すことができるチェックボックスが用意されています。 会社情報 会社名、場所、電話番号、電子メールアドレスが含まれます。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 体験版からのアップグレードについて 最初に Symantec Endpoint Protection をインストールするときに、体験版ライセンスが 与えられ、自動的にアクティブになります。試用期間以降も Symantec Endpoint Protection を使い続けるには、ライセンスを購入する必要があります。ソフトウェアを再イ ンストールする必要はありません。 体験版ライセンスの試用期間は 60 日です。 ライセンスアクティブ化ウィザードを使って、実際のライセンスアップグレードを実行しま す。 ライセンスはシマンテックストアから、シマンテック社のパートナーを通じて、またはシマン テック社の正規代理店から購入できます。 シマンテックストアについて詳しくは、シマンテックストアの Web サイトにアクセスしてくだ さい。 p.98 の 「試用ライセンスについて」 を参照してください。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 製品のアップグレードとライセンスについて 新しいバージョンの Symantec Endpoint Protection がリリースされたときに、新しいバー ジョンに既存のアクティブライセンスを適用できます。新しい製品のダウンロードが可能で あることを知らせる電子メール通知が送信されます。この通知には、新しいバージョンの Symantec Endpoint Protection をダウンロードする手順が含まれています。 製品アップグレードのライセンスについて詳しくは「バージョンアップグレードに関する FAQ(よくある質問)」 (http://www.symantec.com/ja/jp/business/products/upgrades/faq/index.jsp)を 参照してください。 第 4 章 製品ライセンスの管理 Symantec Endpoint Protection ライセンスの延長について Symantec Endpoint Protection ライセンスの延長につ いて 現在のライセンスがもうすぐ期限切れになるときに、Symantec Endpoint Protection Manager は、Symantec Endpoint Protection 管理者へのライセンス切れの通知の送 信を開始します。期限切れになる前にライセンスを延長することを強くお勧めします。 ライセンスを延長すると、期限切れのライセンスは削除され、新しいライセンスに置き換え られます。更新ライセンスを購入するには、シマンテックストアにアクセスするか、シマン テック社のパートナーまたはシマンテック社正規代理店にお問い合わせください。 オンラインの次の場所でシマンテックストアにアクセスしてください。 http://store.symantec.com/ ライセンスを誤って削除した場合は、Symantec Endpoint Protection Manager コンソー ルから回復できます。 p.111 の 「削除されたライセンスの回復」 を参照してください。 シマンテックライセンスポータルについて シマンテックライセンスポータルを使って、製品ライセンスを購入し、アクティブ化できま す。ただし、Symantec Endpoint Protection Manager コンソールからライセンスをアク ティブ化できます。このコンソールのほうがより簡単でより迅速です。 p.100 の 「新しいまたは延長済みの Symantec Endpoint Protection 12.1 製品ライセン スのアクティブ化」 を参照してください。 シマンテックライセンスポータルは次の場所にあります。 https://licensing.symantec.com シマンテックライセンスポータルを使ったライセンスの管理についての追加情報は、シマ ンテックカスタマケア Web サイト (http://www.symantec.com/ja/jp/business/support/assistance_information.jsp) で入手できます。 メモ: このライセンスポータルを使うには、あらかじめアカウントを作成しておく必要があり ます。シマンテックライセンスポータルアカウントを持っていない場合は、アカウントを作成 するリンクがメインページに用意されています。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 107 108 第 4 章 製品ライセンスの管理 製品ライセンスの管理 製品ライセンスの管理 ライセンス管理は、セキュリティインフラを最新の状態に維持するうえで重要な要素です。 次のタスクはシマンテック製品のライセンス管理の一部を構成するものです。 ■ 製品ライセンスのバックアップ p.110 の 「ライセンスファイルのバックアップ」 を参照してください。 ■ ライセンスの状態の追跡 p.108 の 「ライセンス状態の確認」 を参照してください。 ■ ライセンスの延長 p.107 の 「Symantec Endpoint Protection ライセンスの延長について」 を参照して ください。 ■ 削除されたライセンスの回復 p.111 の 「削除されたライセンスの回復」 を参照してください。 製品ライセンスがどのようにエンフォースされるかを制御するルールに精通しておく必要 もあります。 p.109 の 「ライセンスのエンフォースメントルール」 を参照してください。 ライセンス状態の確認 コンソールにインポートした各有償ライセンスの状態を取得できます。 次のライセンス情報を入手できます。 ■ ライセンスのシリアル番号、ライセンス枠の合計数、合計の枠の件数、有効期限日 ■ 有効なライセンス枠数 ■ 配備済みのライセンス枠数 ■ 60 日と 30 日に期限切れになるライセンス枠数 ■ 期限切れのライセンス枠数 ■ 過剰配備済みのクライアント数 ■ 期間がより短い関連するシリアル番号(複数年ライセンス) ライセンス状態は、体験版ライセンスには使用できません。 インストールが有償ライセンスを使っているか、体験版ライセンスを使っているかを判断 するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[ライセンス]をクリックします。 第 4 章 製品ライセンスの管理 新しいライセンスや延長済みライセンスまたはライセンスアップグレードのライセンスファイルのダウンロード 有償ライセンスのライセンス状態を調べるには 1 コンソールで[ホーム]をクリックします。 2 [ホーム]ページで、[ライセンスの詳細]をクリックします。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 p.111 の 「ライセンスのインポート」 を参照してください。 新しいライセンスや延長済みライセンスまたはライセン スアップグレードのライセンスファイルのダウンロード 新しいシマンテック製品ライセンスまたは延長済みのシマンテック製品ライセンスをアク ティブ化する前に、Symantec Endpoint Protection Manager がライセンスファイルを 利用できるようにする必要があります。現在のライセンスの期限切れが近くなると、Symantec Endpoint Protection Manager は製品ライセンスを延長するよう注意を促す通知を製品 管理者に送信します。 バージョン 12.1 以降、ライセンスファイルを手動でダウンロードする必要はありません。ラ イセンスを購入する際に使った方法に応じて、シマンテックライセンスファイル(.SLF)また はライセンスシリアル番号が電子メールで送信されます。ライセンスをアクティブ化するに は、ライセンスアクティブ化ウィザードを使います。 デフォルトで、Symantec Endpoint Protection Manager は、ライセンスファイルのコピー をインストールディレクトリ/inetpub/licensing ディレクトリに配置します。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 p.641 の 「ディザスタリカバリの準備」 を参照してください。 ライセンスのエンフォースメントルール Symantec Endpoint Protection ライセンスは、次のルールに従ってエンフォースされま す。 109 110 第 4 章 製品ライセンスの管理 ライセンスファイルのバックアップ 表 4-3 ライセンスのエンフォースメントルール 適用される箇所 ルール ライセンスの期間 ライセンスの期間は、アクティブ化した日時から、ライ センス期間の最終日の午前 0 時までです。ライセンス 有効期限の時間と日付は、アクティブ化が行われる Symantec Endpoint Protection Manager の時間と 日付に基づきます。複数サイトの場合、ライセンスの 有効期限の日付は、最も西にある Symantec Endpoint Protection Manager データベースに基づ きます。 ライセンスの適用範囲 - Symantec Endpoint Protection コンポーネント Symantec Endpoint Protection ライセンスは Symantec Endpoint Protection クライアントに適用 されます。たとえば、エンドポイントが 50 あるネットワー クでは、ライセンスは最低 50 の枠を提供する必要が あります。Symantec Endpoint Protection Manager のインスタンスはライセンスを必要としません。 ライセンスの適用範囲 - サイトとドメイン Symantec Endpoint Protection 製品ライセンスは、 インストールを構成する複製されたサイトまたはドメイ ンの数に関係なく、インストール全体に適用されます。 たとえば、100 の枠のライセンスは、それぞれのサイト に 50 の枠がある 2 つのサイトのインストールに対応し ます。複製で結合されないサイトは、別のインストール と見なされ、個別のライセンスが必要です。 ライセンスの適用範囲 - プラットフォーム ライセンス枠はプラットフォームに関係なく適用されま す。たとえば、ライセンスは Windows を使うコンピュー タと Mac OS X を使うコンピュータを区別しません。 ライセンスの適用範囲 - 製品とバージョン ライセンス枠は製品バージョンで均等に適用されます。 たとえば、ライセンスは、バージョン 11.x と 12.x クライ アントの両方が同じサイト内に配備されるインストール に対応します。 p.108 の 「製品ライセンスの管理」 を参照してください。 ライセンスファイルのバックアップ ライセンスファイルをバックアップすることをお勧めします。ライセンスファイルをバックアッ プしておけば、データベースまたはコンソールコンピュータのハードディスクが破損した場 合に備えて、ライセンスファイルを保持できます。 第 4 章 製品ライセンスの管理 削除されたライセンスの回復 ライセンスファイルはファイルを保存したディレクトリにあります。ライセンスファイルを紛失 した場合は、シマンテックライセンスポータル Web サイトからファイルをダウンロードでき ます。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 ライセンスファイルをバックアップするには ◆ Windows を使って、ライセンスファイルを保存したディレクトリから、選択した別のコ ンピュータに .slf ライセンスファイルをコピーします。 ファイルをバックアップするための会社の手順を参照してください。 削除されたライセンスの回復 ライセンスファイルを手違いで削除した場合は、Symantec Endpoint Protection Manager コンソールからライセンスを回復できます。 削除されたライセンスを回復するには 1 Symantec Endpoint Protection Manager コンソールの[管理]ページで、[ライセ ンス]をクリックし、[タスク]の下で[削除したライセンスを回復する]をクリックします。 2 [ライセンス回復]パネルで、回復したい削除済みライセンスの横にチェックマークを 付けて、[提出]をクリックします。 p.108 の 「製品ライセンスの管理」 を参照してください。 ライセンスのインポート ライセンスをインポートすると、ライセンスファイルが Symantec Endpoint Protection Manager データベースに保存されます。 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 次の種類のライセンスをインポートできます。 ■ 初回のインストールのライセンス ■ 体験版をアップグレードするライセンス ■ ライセンス延長 ■ 過剰配備クライアントのライセンス ■ シマンテック社のレガシーのウイルス防止ソフトウェアからのライセンス 次の入手先から受け取ったライセンスファイルをインポートできます。 ■ シマンテックライセンスポータル ■ シマンテック社のパートナー 111 112 第 4 章 製品ライセンスの管理 使われなくなったクライアントとそのライセンスに対する影響について ■ シマンテック社の営業担当 ■ シマンテックビジネスストア ■ シマンテック社のレガシーのウイルス防止ソフトウェア p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 ライセンスをインポートするには 1 コンソールコンピュータからアクセスできるコンピュータまたはネットワーク上にライセ ンスファイルを保存します。 2 コンソールで、[管理]、[ライセンス]の順に選択し、[タスク]で[ライセンスをアクティ ブ化する]をクリックします。 3 ライセンスアクティブ化ウィザードのメッセージに従って、ライセンスをインポートして アクティブ化します。オプションについての追加の情報はウィザード内で提供されま す。 使われなくなったクライアントとそのライセンスに対する 影響について 時間が経つと、Symantec Endpoint Protection Manager データベースに使われてい ないクライアントが含まれるようになる場合があります。これは、保護された環境で機能し なくなったクライアントのデータベースエントリです。オペレーティングシステムをアップグ レードしたり、コンピュータの ID を変更したりすると、クライアントが使われなくなることが あります。使われなくなったクライアントは製品のライセンスを消費するので、使われなく なったクライアントが発生したときにはすぐにパージすることが重要です。配備されている ことがわかっているより多くのシートにライセンスが使われていることがライセンスレポート で示される場合は、使われなくなったクライアントのデータベースをパージする必要があ ります。デフォルトでは、パージは 30 日ごとに行われます。パージサイクルの間隔を短く すると、使われなくなったクライアントがすばやくパージされるようになります。パージサイ クルが完了した後の長期的なニーズに合うように、必要に応じて間隔を設定しなおしま す。 p.113 の 「使われなくなったクライアントのデータベースからのパージ」 を参照してくださ い。 第 4 章 製品ライセンスの管理 使われなくなったクライアントのデータベースからのパージ 使われなくなったクライアントのデータベースからのパー ジ 使われなくなったクライアントのパージ 1 Symantec Endpoint Protection Manager の[管理]ページで、[サーバー]をクリッ クします。 2 [サーバー]ツリーで、データベースサーバーを選択し、[データベースプロパティの 編集]をクリックします。 3 データベースのプロパティの[全般]タブで、削除するクライアントが接続しなかった 期間を X 日から 1 日に変更します。 4 [OK]をクリックします。 5 24 時間待った後、設定を 30 日または要件に適した他の期間に戻します。 p.112 の 「使われなくなったクライアントとそのライセンスに対する影響について」 を参照し てください。 複数年ライセンスについて 複数年ライセンスを購入すると、ライセンスが有効な年数と等しい数の一連のライセンス ファイルを受け取ります。たとえば、3 年のライセンスは、3 つの異なるライセンスファイル で構成されます。複数年ライセンスをアクティブ化するときは、同じアクティブ化セッション の間にすべてのライセンスファイルをインポートします。Symantec Endpoint Protection Manager によって異なるライセンスファイルがマージされ、購入期間のあいだ有効な単 一のアクティブ化済みライセンスが作成されます。 推奨はできませんが、全期間より少ない数のライセンスファイルをアクティブ化することも できます。その場合、Symantec Endpoint Protection Manager はファイルをマージし、 最後に期限が切れるライセンスファイルの期間を適用します。たとえば、3 年間のライセ ンスを最初の 2 つのファイルだけでアクティブ化すると、期間は 2 年だけになります。後 で 3 番目のファイルをアクティブ化すると、ライセンスの全期間は正しく 3 年と示されま す。いずれの場合にも、枠の数は購入した枠の数と一致します。 Symantec Endpoint Protection Manager がファイルをマージするときは、短い期間の ファイルは削除されて、最も長い期間のファイルが内部のライセンス保持機能用に保持 されます。ライセンスが誤って削除されたと考えられる場合は、[削除したライセンスを回 復する]の手順を使用して、削除されたライセンスを回復し、再度アクティブ化できます。 p.111 の 「削除されたライセンスの回復」 を参照してください。 アクティブなライセンスと関連付けられている短い期間のライセンスシリアル番号を確認で きます。[管理]タブで[ライセンス]をクリックし、アクティブ化されているライセンスを右ク リックして、[詳細]を選択します。 113 114 第 4 章 製品ライセンスの管理 管理外クライアントのライセンス交付 p.96 の 「Symantec Endpoint Protection のライセンス」 を参照してください。 管理外クライアントのライセンス交付 管理外クライアントからの評価データの提出を有効にするには、クライアントに有償ライセ ンスをインストールする必要があります。管理外クライアントにライセンスをインストールす るには、以下の手順を実行します。 管理外クライアントにライセンスを交付するには 1 現在のシマンテックライセンスファイル(.SLF)を検索または作成します。 Symantec Endpoint Protection Manager でライセンスをアクティブ化するために 使ったファイルと同じものを使用します。 2 クライアントコンピュータで、コピーしたライセンスファイルを Symantec Endpoint Protection のクライアント受信ボックスに置きます。 ■ Windows Vista よりも前のバージョンを使うクライアントでは、受信ボックスは < ドライブ>:¥Documents and Settings¥All Users¥Application Data¥Symantec¥Symantec Endpoint Protection¥CurrentVersion¥inbox にあります。 ■ Windows Vista 以降のバージョンを使うクライアントでは、受信ボックスは <ドラ イブ>:¥ProgramData¥Symantec¥Symantec Endpoint Protection¥CurrentVersion¥inbox¥ にあります。 ライセンスファイルが無効の場合、Invalid という名前のフォルダが作成され、無効 なライセンスがそのフォルダに置かれます。ファイルが有効の場合、処理後に受信 ボックスから自動的に削除されます。 サードパーティ製の配備パッケージの一部として .SLF ファイルを含めることもできます。 p.109 の 「新しいライセンスや延長済みライセンスまたはライセンスアップグレードのライセ ンスファイルのダウンロード」 を参照してください。 p.1000 の 「サードパーティツールを使ったクライアントソフトウェアのインストール」 を参照し てください。 5 クライアントインストールの 準備 この章では以下の項目について説明しています。 ■ クライアントインストールの準備 ■ ファイアウォールと通信ポートについて ■ リモート配備のための Windows オペレーティングシステムの準備 ■ クライアントインストールパッケージの管理 ■ クライアントインストールパッケージ更新の追加 クライアントインストールの準備 表 5-1 に、クライアントをインストールできるようにコンピュータを準備するために通常必要 となる操作を示します。 表 5-1 操作 クライアントコンピュータの準備 説明 クライアントコンピュータの識別 クライアントソフトウェアをインストールするコンピュータを識別します。すべてのコンピュータ で、サポート対象のオペレーティングシステムを実行している必要があります。 p.71 の 「システム必要条件」 を参照してください。 p.130 の 「管理下クライアントと管理外クライアントについて」 を参照してください。 メモ: シマンテック社は Symantec Endpoint Protection Manager をホストするコンピュー タでクライアントをインストールすることも推奨します。 116 第 5 章 クライアントインストールの準備 ファイアウォールと通信ポートについて 操作 説明 コンピュータグループの識別 クライアントインストール中に使うコンピュータグループを識別します。Active Directory 構造 のような既存のグループ構造をインポートすることもできます。 p.175 の 「クライアントのグループの管理」 を参照してください。 p.178 の 「既存の組織構造のインポート」 を参照してください。 p.180 の 「クライアントソフトウェアをインストールする前のグループへのクライアントの割り当 て」 を参照してください。 現在インストールされているウイ ■ サードパーティのウイルス防止ソフトウェアを削除します。 ルス防止ソフトウェアのアンイン ■ 設定を移行する予定がなければ、シマンテック社のレガシーのウイルス防止ソフトウェア ストール をアンインストールします。 p.138 の 「Symantec Endpoint Protection への移行について」 を参照してください。 アンインストールについて詳しくは、シマンテック社のレガシーのウイルス防止ソフトウェア のマニュアルを参照してください。 リモート配備のためのコンピュー リモートクライアントの配備のためのコンピュータを準備します。 タの準備 ■ ファイアウォール設定を変更し、Symantec Endpoint Protection コンポーネント間の通 信を許可します。 p.116 の 「ファイアウォールと通信ポートについて」 を参照してください。 p.119 の 「リモート配備のための Windows オペレーティングシステムの準備」 を参照して ください。 ■ クライアントコンピュータに管理者権限を設定します。 メモ: それらのコンピュータに対する管理者権限をユーザーに与えない場合は、リモート プッシュインストールを使って、クライアントソフトウェアをリモートでインストールしてくださ い。リモートプッシュインストールには、コンピュータに対するローカル管理者権限が必要 です。 p.126 の 「リモートプッシュを使ったクライアントの配備」 を参照してください。 クライアントソフトウェアの配備 3 つの利用可能な方法のいずれかを使ってクライアントソフトウェアを配備します。 p.123 の 「クライアントの配備方法について」 を参照してください。 インストール後のオプションの検 管理外コンピュータを保全し、Symantec Endpoint Protection インストールのパフォーマン 討 スを最適化するための追加手順を実行できます。 p.131 の 「管理外クライアントのインストール」 を参照してください。 p.45 の 「Symantec Endpoint Protection での初期作業」 を参照してください。 ファイアウォールと通信ポートについて Symantec Endpoint Protection Manager とクライアントコンピュータでファイアウォー ルソフトウェアを実行している場合は、管理サーバーとクライアント間の通信用に特定の 第 5 章 クライアントインストールの準備 ファイアウォールと通信ポートについて ポートを開く必要があります。ポートを開く手順やアプリケーションでポートを使えるように する手順については、ファイアウォール ソフトウェアの製品マニュアルを参照してくださ い。 警告: Symantec Endpoint Protection Manager のファイアウォールは、初期インストー ル時にはデフォルトで無効になっています。ファイアウォールの保護を確実にするため、 ソフトウェアがインストールされ、クライアントが再起動されるまで、Windows ファイアウォー ルをクライアントで有効にしたままにします。Symantec Endpoint Protection ファイア ウォールによって、コンピュータの再起動時に Windows ファイアウォールが自動的に無 効にされます。 表 5-2 クライアントとサーバーのインストールと通信に必要なポート 機能 コンポーネント プロトコルとポート プッシュ配備 管理サーバーとクライアント 管理サーバーとクライアントの TCP 139 および 445 管理サーバーとクライアントの UDP 137 と 138 管理サーバーとクライアントの TCP エフェメラルポート GUP(Group Update Provider)通信 管理サーバーと GUP (Group Update Provider) すべてのデバイスの TCP 2967 メモ: このデフォルトのポートは変更できます。 GUP とクライアント 一般的な通信 管理サーバーとクライアント 管理サーバーとクライアント デフォルトで、管理サーバーは TCP 8014。 TCP 8014(HTTP)は TCP 443(HTTPS)に変更できま す。 ■ クライアントの TCP エフェメラルポート。 ■ リモート管理サーバーとコンソール レプリケーションの通信 データベースサーバーのサイト間 リモート Symantec 管理サーバーとリモート管理サー Endpoint Protection バーコンソール Manager コンソールのイ ンストール ■ リモート管理サーバーとコンソールは TCP 8443 ■ コンソールの TCP エフェメラルポートと 9090 ■ リモート レポート コンソールは TCP 8445 データベースサーバー間の TCP 8443 リモート管理サーバーの TCP 9090 リモートコンソールの TCP エフェメラルポート メモ: ポートは変更できます。 117 118 第 5 章 クライアントインストールの準備 ファイアウォールと通信ポートについて 機能 コンポーネント プロトコルとポート 外部データベースとの通 リモート Microsoft SQL Server と管 リモートの Microsoft SQL Server の TCP 1433 信 理サーバー 管理サーバーの TCP エフェメラルポート メモ: ポート 1433 はデフォルトのポートです。 Symantec Network Access Control エン フォーサの通信 管理サーバーとエンフォーサ 管理サーバーの TCP 1812 エンフォーサの TCP エフェメラルポート メモ: RADIUS サーバーもポート 1812 を使うため、管理サー バーを同じサーバーにインストールしないでください。管理 サーバーのポートは変更できません。 UDP 39,999 のエンフォーサによるクライアント認証 移行とクライアント配備 Symantec Endpoint Protection 管理サーバーの TCP 139、TCP 445、TCP エフェメラルポー Manager とレガシーのシマンテック ト、UDP 137 管理サーバー レガシーのシマンテック管理サーバーの TCP 139、TCP 445、 TCP エフェメラルポート、UDP 137 LiveUpdate LiveUpdate クライアントとサーバー クライアントの TCP エフェメラルポート LiveUpdate サーバーの TCP 80 ■ Windows Vista、Windows Server 2008、Windows 7 には、デフォルトで有効に なっているファイアウォールがあります。ファイアウォールが有効になっていると、クラ イアントソフトウェアのリモートインストールやリモート配備を行えない場合があります。 これらのオペレーティングシステムを実行するコンピュータへのクライアントの配備で 問題が発生した場合、それらのファイアウォールで必要なトラフィックを許可するように 設定します。 ■ 環境にシマンテック社のレガシーのウイルス防止ソフトウェアがある場合、UDP ポート 2967 を開きます。 ■ 配備後、Windows ファイアウォールを使う場合、ファイルとプリンタの共有(ポート 445)を許可するようにファイアウォールを設定する必要があります。 Windows ファイアウォールの設定について詳しくは、Windows のマニュアルを参照し てください。 p.367 の 「ファイアウォールポリシーの有効化および無効化」 を参照してください。 p.533 の 「エンドポイント保護の監視」 を参照してください。 p.115 の 「クライアントインストールの準備」 を参照してください。 第 5 章 クライアントインストールの準備 リモート配備のための Windows オペレーティングシステムの準備 リモート配備のための Windows オペレーティングシステ ムの準備 表 5-3 に、クライアントをリモートで正常にインストールするために、クライアントコンピュー タオペレーティングシステムで実行する必要がある関連タスクを示します。 表 5-3 リモート配備の準備 オペレーティングシステム タスク ワークグループにインストールさ ワークグループにインストールされている Windows XP コンピュー れている Windows XP コン タはリモート配備を受け入れません。リモート配備を許可するに ピュータの準備 は、簡易ファイル共有を無効にします。 メモ: この制限は、Windows ドメインの一部であるコンピュータ には当てはまりません。 Windows Vista、Windows Windows の User Access Control(UAC)は、ローカルの管理 Server 2008、Windows 7 のコ 者アカウントが C$ や Admin$ などのリモート管理者共有にリモー ンピュータの準備 トでアクセスすることを防止します。 クライアントコンピュータが Active Directory ドメインの一部であ る場合にクライアントソフトウェアをコンピュータにプッシュ配備す るには、ドメイン管理者アカウントを使う必要があります。リモート 配備では、インストールに管理者権限も必要です。 次のタスクを実行します。 ■ ファイル共有ウィザードを無効にする ネットワークと共有センターを使って、ネットワーク探索を有効 にする ■ 組み込みの管理者アカウントを有効にして、パスワードを割り 当てる ■ アカウントに管理者権限があることを確認する ■ Windows Server 2003 コン ピュータでのリモートデスクトッ プ接続によるインストールの準 備 Symantec Endpoint Protection Manager は、インストールと通 常の操作でシステムレジストリへのアクセスを必要とします。 コンピュータで、リモートデスクトップ接続を使って Symantec Endpoint Protection Manager をインストールするための準備 をするには、次のタスクを実行します。 Windows Server 2003 が実行されているサーバーを設定し てリモート制御を許可する ■ リモートコンソールセッションを使ってリモートコンピュータから サーバーに接続するか、コンソールセッションをシャドウする ■ 詳しくは、Windows のマニュアルを参照してください。 119 120 第 5 章 クライアントインストールの準備 クライアントインストールパッケージの管理 p.115 の 「クライアントインストールの準備」 を参照してください。 クライアントインストールパッケージの管理 Symantec Endpoint Protection Manager でコンピュータを管理するには、少なくとも 1 つのクライアントインストールパッケージを、サイトの管理サーバーにエクスポートする必 要があります。クライアントインストールパッケージをエクスポートしたら、パッケージのファ イルをクライアントコンピュータにインストールします。パッケージは、シマンテック管理下 クライアント、サードパーティ管理下クライアント、管理外クライアントにエクスポートできま す。 これらのパッケージを単一の実行可能ファイルまたはディレクトリ内の一連のファイルとし てエクスポートすることができます。どちらの方法を選択するかは、配備の方法や、グルー プのクライアントソフトウェアをアップグレードするかどうかによって異なります。通常、Active Directory のグループポリシーオブジェクトを使う場合には単一の実行可能ファイルへの エクスポートは選択しません。 シマンテックは、インストールファイルの更新版パッケージを不定期に提供しています。ク ライアントコンピュータにクライアントソフトウェアをインストールするとき、自動アップグレー ド機能を使えば、グループのすべてのクライアントのクライアントソフトウェアを自動的に更 新することができます。インストール配備ツールでソフトウェアを再配備する必要はありま せん。 表 5-4 タスク クライアントインストールパッケージに関連するタスク 説明 クライアントインストールパッケー インストールする特定のクライアント保護技術を選択しインストー ジの設定 ルとエンドユーザーとの対話方法を指定できます。 p.133 の 「クライアントインストールパッケージ機能の設定」 を参照 してください。 クライアントインストールパッケー パッケージは、シマンテック管理下クライアント、サードパーティ管 ジのエクスポート 理下クライアント、管理外クライアントにエクスポートできます。 p.134 の 「クライアントインストールパッケージのエクスポート」 を参 照してください。 クライアントインストールパッケー クライアントインストールパッケージの更新をシマンテック社から受 ジ更新の追加 信したら、それをデータベースに追加して、Symantec Endpoint Protection Manager から配布できるようにします。省略可能な オプションとして、この手順を行うときにパッケージをエクスポート し、クライアントソフトウェアのないコンピュータにパッケージを配 備できるようにすることもできます。 p.121 の 「クライアントインストールパッケージ更新の追加」 を参照 してください。 第 5 章 クライアントインストールの準備 クライアントインストールパッケージ更新の追加 タスク 説明 1 つ以上のグループのクライア エクスポートしたパッケージを一度に 1 台ずつコンピュータにイ ントのアップグレード ンストールするか、エクスポートしたファイルを同時に複数のコン ピュータに配備できます。 シマンテックからクライアントインストールパッケージの更新が提 供されるときは、まずそれを Symantec Endpoint Protection Manager に追加してエクスポートできるようにします。ただし、ク ライアント配備ツールで再インストールする必要はありません。グ ループのクライアントを最新のソフトウェアで更新する場合は、コ ンソールを使ってクライアントを含むグループを更新するのが最 も簡単な方法です。最初に、少数のテストコンピュータを含むグ ループを更新してください。 クライアントによる LiveUpdate の実行を許可しており、 LiveUpdate 設定ポリシーが更新を許可している場合には、 LiveUpdate を使ってクライアントを更新することもできます。 クライアントインストールパッケー ディスク容量を節約するために古いクライアントインストールパッ ジの削除 ケージを削除できます。 クライアントインストールパッケージ更新の追加 クライアントインストールパッケージの更新をシマンテック社から受信し、それを Symantec Endpoint Protection データベースに追加して、Symantec Endpoint Protection Manager から配布できるようにします。省略可能なオプションとして、この手順を行うとき にパッケージをエクスポートし、クライアントソフトウェアを持たないコンピュータにパッケー ジを配備できるようにすることもできます。 メモ: インポートするインストールパッケージは 2 つのファイルで構成されています。1 つ が <製品名 >.dat という名前のファイルで、もう 1 つが <製品名 >.info という名前のファ イルです。 クライアントインストールパッケージ更新を追加するには 1 Symantec Endpoint Protection Manager を実行するコンピュータ上のディレクト リにパッケージをコピーします。 2 コンソールで、[管理]をクリックし、左下の[インストールパッケージ]をクリックします。 3 [タスク]で、[クライアントインストールパッケージの追加]をクリックします。 4 [クライアントインストールパッケージの追加]ダイアログボックスで、パッケージの名 前と説明を入力します。 5 [参照]をクリックします。 121 122 第 5 章 クライアントインストールの準備 クライアントインストールパッケージ更新の追加 6 [フォルダの選択]ダイアログボックスで、新しいパッケージの <製品名 >.info ファイ ルを検索して選択し、[選択]をクリックします。 7 [正常に完了しました]というメッセージが表示されたら、次のいずれかの処理を行い ます。 ■ インストールファイルをエクスポートせず、配備に利用できるようにする場合は、 [閉じる]をクリックします。 この手順はこれで終了です。 ■ インストールファイルをエクスポートしたうえで配備に利用できるようにする場合 は、[このパッケージをエクスポート]をクリックしてこの手順を完了します。 8 [パッケージのエクスポート]ダイアログボックスで[参照]をクリックします。 9 [エクスポートフォルダの選択]ダイアログボックスで、エクスポートしたパッケージの 保存先ディレクトリを参照して選択し、[OK]をクリックします。 10 [パッケージのエクスポート]ダイアログボックスで、グループを選択し、インストール 目的に応じて他のオプションを設定します。 このダイアログボックスの他のオプション設定について詳しくは[ヘルプ]を参照して ください。 11 [OK]をクリックします。 p.120 の 「クライアントインストールパッケージの管理」 を参照してください。 6 Symantec Endpoint Protection クライアントのイ ンストール この章では以下の項目について説明しています。 ■ クライアントの配備方法について ■ クライアントコンピュータの再起動 ■ 管理下クライアントと管理外クライアントについて ■ 管理外クライアントのインストール ■ クライアントのアンインストール ■ クライアントのインストール設定について ■ クライアントインストールパッケージ機能の設定 ■ クライアントインストールパッケージのエクスポート ■ FDCC(Federal Desktop Core Configuration)準拠のクライアントパッケージについ て クライアントの配備方法について クライアント配備ウィザードを使って、Symantec Endpoint Protection クライアントを配 備します。Symantec Endpoint Protection Manager がインストールされた後にクライア ントソフトウェアを配備します。 クライアント配備ウィザードを実行する前に、クライアントインストール設定を識別する必要 があります。 124 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントの配備方法について p.115 の 「クライアントインストールの準備」 を参照してください。 表 6-1 に、使うことができるクライアント配備方法を示します。 表 6-1 クライアント配備オプション オプション 説明 Web リンクと電子メール ユーザーは、クライアントソフトウェアをダウンロードおよびインス トールするリンクを含んだ電子メールメッセージを受信します。 ユーザーは、コンピュータに対するローカル管理者権限が必要 です。Web リンクと電子メール通知のインストールは、推奨の配 備方法です。 p.124 の 「Web リンクと電子メールを使ったクライアントの配備」 を 参照してください。 リモートプッシュ リモートプッシュインストールでは、クライアントインストールを制御 できます。リモートプッシュインストールは、指定したコンピュータ にクライアントソフトウェアをプッシュします。インストールは自動的 に開始します。 p.119 の 「リモート配備のための Windows オペレーティングシス テムの準備」 を参照してください。 p.126 の 「リモートプッシュを使ったクライアントの配備」 を参照し てください。 パッケージの保存 カスタムインストールは、管理サーバーに保存して、その後クライ アントコンピュータに配布する実行可能なインストールパッケージ を作成します。ユーザーは、setup.exe ファイルを実行して、クラ イアントソフトウェアをインストールします。 p.127 の 「パッケージの保存を使ったクライアントの配備」 を参照 してください。 Web リンクと電子メールを使ったクライアントの配備 Web リンクと電子メールの方法では、各クライアントインストールパッケージの URL を作 成します。電子メールでユーザーにリンクを送信するか、ネットワーク上の場所から利用 できるようにします。 この手順は 2 段階で実行します。 ■ クライアントインストールパッケージを選択して設定する。クライアントインストールパッ ケージは、32 ビットと 64 ビットの Windows コンピュータ用に作成されます。インス トールパッケージは、Symantec Endpoint Protection Manager を実行するコン ピュータに格納されます。 ■ クライアントインストールパッケージについてコンピュータユーザーに通知する。電子 メールメッセージは選択したコンピュータユーザーに送信されます。電子メールメッ 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントの配備方法について セージには、クライアントインストールパッケージをダウンロードおよびインストールす る手順が記されます。ユーザーは、クライアントソフトウェアをインストールする手順に 従います。 Mac クライアントインストールパッケージは自動的に .zip ファイルとしてエクスポートされ ます。パッケージを Apple のインストール形式 .mpkg に展開するには、Mac の Archive ユーティリティか ditto のコマンドを使ってください。Mac の圧縮解除コマンドまたは Windows の圧縮解除アプリケーションを使うことはできません。 Web リンクと電子メールを使ってクライアントを配備するには 1 [ホーム]ページの[よく使う機能]メニューで、[コンピュータに保護クライアントをイン ストール]を選択します。 2 使う配備の種類を選択して、[次へ]をクリックします。 [新しいパッケージ配備]オプションは、Symantec Endpoint Protection Manager に格納されたパッケージを使います。デフォルトでは、2 つのパッケージを利用でき ます。カスタム設定および機能を使って、新しいパッケージを作成することもできま す。[既存のパッケージ配備]では、以前にエクスポートされたパッケージを使用でき ます。 3 新しいパッケージの場合、パッケージ、グループ、インストール機能セット、コンテン ツオプションを選択し、[次へ]をクリックします。 管理サーバーには事前設定済みのパッケージが含まれます。 p.132 の 「クライアントのインストール設定について」 を参照してください。 p.133 の 「クライアントインストールパッケージ機能の設定」 を参照してください。 4 [Web リンクと電子メール]をクリックして、[次へ]をクリックします。 5 [電子メールの受信者とメッセージ]パネルで電子メールの受信者と件名を指定し、 [次へ]をクリックします。 電子メールによる URL の受信者を指定するか、URL をコピーしてオンラインの便利 な場所に送信できます。複数の電子メールの受信者を指定するには、各電子メー ルアドレスの後にカンマを入力します。 6 リンクを電子メールで配信する場合、電子メールのデフォルトの件名と本文をそのま ま使うか、または本文を編集してから[次へ]をクリックします。 7 [完了]をクリックします。 125 126 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントの配備方法について 8 管理者またはコンピュータユーザーは、クライアントコンピュータを再起動する必要 があります。 p.129 の 「クライアントコンピュータの再起動」 を参照してください。 9 コンピュータユーザーが電子メールメッセージを受信し、クライアントソフトウェアをイ ンストールしていることを確認します。 p.539 の 「クライアントインベントリの表示」 を参照してください。 リモートプッシュを使ったクライアントの配備 リモートプッシュでは、クライアントインストールを制御できます。リモートプッシュは、指定 したコンピュータにクライアントソフトウェアをプッシュします。リモートプッシュを使うには、 IP アドレスまたはコンピュータ名でネットワークからコンピュータを検索する方法に関する 知識が必要になります。 p.123 の 「クライアントの配備方法について」 を参照してください。 リモートプッシュは次の処理を実行します。 ■ 既存のクライアントインストールパッケージを選択する、または新しいインストールパッ ケージを作成する。 ■ 新しいインストールパッケージの場合は、パッケージ配備の設定を指定する。 ■ ネットワーク上でコンピュータを検索する。 リモートプッシュは、指定したコンピュータ、または非保護であると検出されたコンピュー タを検索します。 ■ 指定したコンピュータにクライアントソフトウェアをプッシュする。 クライアントソフトウェアをプッシュするには、クライアントコンピュータが Active Directory ドメインの一部である場合に、ドメイン管理アカウントを使う必要があります。リモート プッシュインストールには、システム特権が必要です。 p.119 の 「リモート配備のための Windows オペレーティングシステムの準備」 を参照 してください。 ■ クライアントソフトウェアをコンピュータにインストールする。 インストールはコンピュータ上で自動的に始まります。 コンソールからクライアントの配備を開始できます。 リモートプッシュを使ってクライアントを配備するには 1 コンソールで[ホーム]をクリックします。 2 [ホーム]ページの[よく使う機能]メニューで、[コンピュータに保護クライアントをイン ストール]を選択します。クライアント配備ウィザードが開始されます。 3 [クライアント配備ウィザードにようこそ]ペインで、新しいパッケージを使うか既存の パッケージを使うかを選択し、[次へ]をクリックします。 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントの配備方法について 4 新しいインストールパッケージの場合は、クライアントのバージョン、機能セット、クラ イアントのグループ、コンテンツのオプションを選択し、[次へ]をクリックします。 5 [リモートプッシュ]をクリックし、[次へ]をクリックします。 6 クライアントソフトウェアを受け取るコンピュータを見つけ、[>>]をクリックしてコンピュー タをリストに追加します。 ネットワークでコンピュータを参照するには、[ネットワークの参照]をクリックします。 IP アドレスまたはコンピュータ名でコンピュータを検索するには、[ネットワークの検 索]をクリックして、[コンピュータの検索]をクリックします。 メッセージが表示されたらドメインまたはワークグループを認証します。 メモ: タイムアウト値を設定して、サーバーが検索に費やす時間を制限できます。 7 [次へ]をクリックします。 8 [送信]をクリックして、クライアントソフトウェアを選択したコンピュータにプッシュしま す。 9 選択したコンピュータにクライアントソフトウェアがプッシュされるまで待機します。 10 [完了]をクリックします。 インストールがクライアントコンピュータで自動的に開始します。インストールが完了 するまでに数分かかります。 11 配備されるクライアントのクライアント再起動の設定によっては、コンピュータのユー ザーがクライアントコンピュータを再起動することが必要な場合があります。 p.129 の 「クライアントコンピュータの再起動」 を参照してください。 12 配備されたクライアントの状態を確認します。 p.539 の 「クライアントインベントリの表示」 を参照してください。 パッケージの保存を使ったクライアントの配備 パッケージの保存は、サードパーティの配備ソフトウェアまたはログインスクリプトを使って インストールできるインストールパッケージを作成します。 パッケージの保存は次の処理を実行します。 ■ 32 ビットまたは 64 ビットの実行可能なインストールパッケージを作成する。 インストールパッケージは、1 つの setup.exe ファイルか、setup.exe ファイルを含む ファイル群から構成されます。多くの場合、コンピュータユーザーは、1 つの setup.exe ファイルのほうが使いやすいと考えます。 127 128 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントの配備方法について ■ デフォルトディレクトリまたは選択したディレクトリにインストールパッケージを保存す る。 デフォルトディレクトリは次のとおりです。 C:¥temp¥Symantec¥ClientPackages コンピュータユーザーにインストールパッケージを提供する必要があります。ユーザー は、setup.exe ファイルを実行して、クライアントソフトウェアをインストールします。管 理者またはコンピュータユーザーは、インストール後にコンピュータを再起動する必 要があります。 p.123 の 「クライアントの配備方法について」 を参照してください。 コンソールからクライアントの配備を開始できます。 パッケージの保存を使ってクライアントを配備するには 1 コンソールで[ホーム]をクリックします。 2 [ホーム]ページの[よく使う機能]メニューで、[コンピュータに保護クライアントをイン ストール]を選択します。 3 [クライアント配備ウィザード]で、[新しいパッケージ配備]を選択し、すでにサーバー 上にあるインストールパッケージを選択します。以前にエクスポートされたパッケージ を選択する場合は、[既存のパッケージ配備]を選択します。[次へ]をクリックします。 4 パッケージ、グループ、インストール機能セット、コンテンツオプションを選択して、 [次へ]をクリックします。 p.132 の 「クライアントのインストール設定について」 を参照してください。 5 [参照]をクリックして、パッケージを受け取るフォルダを指定します。 6 [単一の .exe ファイル]または[個々のファイル]にチェックマークを付けます。 メモ: Windows のグループポリシーオブジェクトを使ってクライアントを配備する場 合は、単一の実行可能ファイルは使いません。 7 Symantec Endpoint Protection 12.x でサポートされていないコンピュータで実行 されるクライアントがある場合は、レガシーシステムと互換性があるパッケージを作成 することを選択できます。レガシークライアント用のパッケージを作成するには、[12.x パッケージでサポート外のシステムを備えたクライアントのパッケージを作成する]を クリックします。 8 [エクスポートフォルダ]ボックスで、デフォルトディレクトリを受け入れるか別のディレ クトリを指定して、[次へ]をクリックします。 9 設定の概略を確認して、[次へ]をクリックします。 10 インストールパッケージが作成されるまで待ってから、[完了]をクリックします。 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントコンピュータの再起動 11 共有ネットワークにインストールパッケージを保存するか、コンピュータユーザーにイ ンストールパッケージを電子メールで送信します。 12 コンピュータユーザーがカスタムインストールパッケージをインストールしていることを 確認します。 メモ: 管理者またはコンピュータユーザーは、クライアントコンピュータを再起動する 必要があります。 13 p.129 の 「クライアントコンピュータの再起動」 を参照してください。 14 配備されたクライアントの状態を確認します。 p.539 の 「クライアントインベントリの表示」 を参照してください。 クライアントコンピュータの再起動 クライアントソフトウェアまたは他のサードパーティソフトウェアをインストールしたら、クライ アントコンピュータを再起動する必要があります。管理サーバーから再起動コマンドを実 行して、いつでもクライアントコンピュータを再起動できます。ユーザーの都合のよい時間 に再起動するように、クライアントコンピュータをスケジュール設定することもできます。 p.195 の 「クライアントコンピュータで実行できるコマンドについて」 を参照してください。 p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してくださ い。 クライアントコンピュータの再起動オプションを設定するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページでグループを選択し、[ポリシー]タブをクリックします。 3 [ポリシー]タブで、[全般の設定]をクリックします。 4 [全般の設定]ダイアログボックスの[再起動の設定]タブで、再起動の方法とスケ ジュールを選択します。 再起動を行う前に、クライアントコンピュータに表示される通知を追加することもでき ます。 5 [OK]をクリックします。 選択したクライアントコンピュータを再起動するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]タブで、グループを選択します。 3 [クライアント]タブでクライアントを選択し、[グループでコマンドを実行]を右クリック して、[クライアントコンピュータの再起動]を選択します。 129 130 第 6 章 Symantec Endpoint Protection クライアントのインストール 管理下クライアントと管理外クライアントについて 選択したグループのクライアントコンピュータを再起動するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]タブでグループを選択し、[グループでコマン ドを実行]をクリックして、[クライアントコンピュータの再起動]を選択します。 3 [はい]をクリックし、必要な再起動オプションを指定します。 一部の再起動オプションは Windows クライアントにのみ適用可能です。詳しくは、 状況感知型ヘルプを参照してください。 管理下クライアントと管理外クライアントについて クライアントソフトウェアは、管理下クライアントまたは管理外クライアントとしてインストール できます。 表 6-2 クライアントコンピュータの種類 種類 説明 管理下クライアント コンソールからクライアントを管理します。管理下クライアントコン ピュータはネットワークに接続します。コンソールを使って、管理 下クライアントコンピュータで、クライアントソフトウェア、セキュリ ティポリシー、およびウイルス定義を更新します。 ほとんどの場合、クライアントソフトウェアは管理下クライアントとし てインストールします。 管理下クライアントは次のどちらかの方法でインストールできま す。 管理外クライアント ■ 初期製品インストール中 ■ インストール後のコンソールから 一次コンピュータユーザーがクライアントコンピュータを管理する 必要があります。管理外クライアントは、コンソールからは管理で きません。一次コンピュータユーザーが、管理外クライアントコン ピュータ上でクライアントソフトウェア、セキュリティポリシー、ウイ ルス定義を更新する必要があります。 管理外クライアントは製品ディスクから直接インストールします。 p.131 の 「管理外クライアントのインストール」 を参照してください。 p.201 の 「管理外クライアントから管理下クライアントへの変換」 を参照してください。 第 6 章 Symantec Endpoint Protection クライアントのインストール 管理外クライアントのインストール 管理外クライアントのインストール 管理外クライアントは Symantec Endpoint Protection Manager に接続しません。管理 者または一次コンピュータユーザーがコンピュータを管理する必要があります。ほとんど の場合、管理外クライアントは、ネットワークに断続的に接続するか、まったく接続しませ ん。 管理者または一次コンピュータユーザーがコンピュータを保守する必要があります。この 保守には、コンピュータでの保護の監視および調整と、セキュリティポリシー、ウイルス定 義、ソフトウェアの更新が含まれます。 p.130 の 「管理下クライアントと管理外クライアントについて」 を参照してください。 管理外コンピュータをインストールするには 1 コンピュータに製品ディスクを挿入します。 インストールは自動的に始まります。自動的に開始しない場合は、Setup.exe をダブ ルクリックしてください。 2 [管理外クライアントをインストールする]をクリックして、[次へ]をクリックします。 3 [使用許諾契約]パネルで、[使用許諾契約の条項に同意します]をクリックし、[次 へ]をクリックします。 4 管理外コンピュータが選択されていることを確認し、[次へ]をクリックします。 このパネルは、このコンピュータでクライアントソフトウェアを初めてインストールする 場合に表示されます。 5 [保護オプション]パネルで、保護の種類を選択して、[次へ]をクリックします。 p.132 の 「クライアントのインストール設定について」 を参照してください。 6 [プログラムをインストールする準備ができました]パネルで、[インストール]をクリック します。 7 ウィザードの完了を示すパネルで[完了]をクリックします。 クライアントのアンインストール Windows の[プログラムの追加と削除]ユーティリティを使って、Symantec Endpoint Protection クライアントをアンインストールします。 クライアントソフトウェアがハードウェアデバイスを遮断するポリシーを使っている場合、デ バイスは、ソフトウェアをアンインストールした後で遮断されます。デバイスを遮断解除す るには、Windows のデバイスマネージャを使います。 詳しくは、Windows のマニュアルを参照してください。 p.124 の 「Web リンクと電子メールを使ったクライアントの配備」 を参照してください。 131 132 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントのインストール設定について クライアントをアンインストールするには 1 クライアントコンピュータの[スタート]メニューから、[コントロールパネル]、[プログラ ムの追加と削除]の順にクリックします。 2 [プログラムの追加と削除]ダイアログボックスでは、Symantec Endpoint Protection を選択し、[削除]をクリックします。 3 画面上のプロンプトに従って、クライアントソフトウェアを削除します。 クライアントのインストール設定について クライアント配備ウィザードでは、グループ名とクライアントコンピュータにインストールする 保護技術を指定するように求められます。 保護技術は機能セットによってグループ化されています。クライアントコンピュータでアク ティブにする機能セットを指定できます。機能セットはクライアントグループに従って割り 当てられます。 表 6-3 で、クライアントコンピュータにインストールできる機能セット内のコンポーネントに ついて説明します。 機能セット 表 6-3 機能セット 説明 ウイルスとスパイウェアの対策とダ ■ ウイルス対策とスパイウェア対策 ウンロードの基本保護 コアウイルス、スパイウェア、ダウンロード保護機能をインストールします。Auto-Protect リアルタイムファイルスキャンと手動ファイルスキャンが含まれます。 ダウンロードの拡張保護 検出感度を完全に制御できます。ダウンロードインサイトは、ユーザーがブラウザまた はテキストメッセージングクライアントからファイルをダウンロードしようとしたときに、悪質 なファイルまたは潜在的に悪質なファイルを検出します。ダウンロードインサイトは評価 情報を使って、ダウンロードしたファイルのセキュリティ上の問題を調べます。 ■ 電子メール保護 電子メールが送受信される際に悪質なコードをスキャンします。 ■ p.301 の 「Symantec Endpoint Protection が評価データを使ってファイルに関する決定 を下す方法」 を参照してください。 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントインストールパッケージ機能の設定 機能セット 説明 プロアクティブ脅威防止 ■ SONAR 保護 以前のバージョンの TruScan テクノロジに代わるものです。SONAR はリアルタイムで 動作し、未知の脅威の悪質な動作を識別します。 ■ アプリケーションとデバイス制御 クライアントコンピュータ上のアプリケーションとクライアントコンピュータに接続された ハードウェアを監視します。 プロアクティブ脅威防止は、サポート対象の Windows Server オペレーティングシステム を実行するコンピュータで無効になります。 p.343 の 「SONAR について」 を参照してください。 p.429 の 「アプリケーションとデバイス制御について」 を参照してください。 ネットワーク脅威防止 ファイアウォール インバウンドとアウトバウンドの悪質なトラフィックを検出し、排除することで、ネットワーク 脅威から防護します。 ■ 侵入防止 シグネチャを使ってクライアントコンピュータに対する攻撃を識別します。既知の攻撃の 場合、侵入防止は既知の脅威と一致するパケットを自動的に破棄します。 ■ p.363 の 「ファイアウォールのしくみ」 を参照してください。 p.415 の 「侵入防止の動作」 を参照してください。 p.41 の 「Symantec Endpoint Protection が提供する脅威防止の種類について」 を参 照してください。 p.133 の 「クライアントインストールパッケージ機能の設定」 を参照してください。 インストール後、セキュリティポリシーで保護技術を有効または無効にすることができます。 p.193 の 「保護の有効化と無効化について」 を参照してください。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 クライアントインストールパッケージ機能の設定 インストール機能は、インストールで利用可能なクライアントコンポーネントです。たとえば Symantec Endpoint Protection パッケージを作成する場合には、ウイルス対策機能、 スパイウェア対策機能、ファイアウォール機能のインストールを選択できます。または、ウ イルス対策機能とスパイウェア対策機能のみのインストールも選択できます。 選択のセットごとに名前を付ける必要があります。32 ビットクライアントソフトウェアパッケー ジと 64 ビットクライアントソフトウェアパッケージをエクスポートするときに、名前を付けた 機能セットを選択します。 p.132 の 「クライアントのインストール設定について」 を参照してください。 133 134 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントインストールパッケージのエクスポート p.120 の 「クライアントインストールパッケージの管理」 を参照してください。 クライアントインストールパッケージ機能を設定するには 1 コンソールで、[管理]をクリックし、[インストールパッケージ]をクリックします。 2 [インストールパッケージ]で、[クライアントインストール機能セット]をクリックします。 3 [タスク]で、[クライアントインストール機能セットの追加]をクリックします。 4 [クライアントインストール機能セットの追加]ダイアログボックスで、[名前]ボックスに 名前を入力します。 5 [説明]ボックスに、クライアントインストール機能セットの説明を入力します。 このダイアログボックスの他のオプション設定について詳しくは[ヘルプ]を参照して ください。 6 [OK]をクリックします。 クライアントインストールパッケージのエクスポート サードパーティの配布システムを使う場合は、クライアントインストールパッケージをエクス ポートできます。 クライアントソフトウェアパッケージをエクスポートするときに、配備用のクライアントインス トールファイルを作成します。パッケージのエクスポート時には、パッケージのエクスポー ト先ディレクトリを参照する必要があります。存在しないディレクトリを指定した場合はディ レクトリが自動的に作成されます。エクスポート処理では、このディレクトリに説明的な名前 のサブディレクトリが作成され、インストールファイルはそのサブディレクトリに配置されま す。 たとえば、My Company の下に My Group という名前のグループのインストールパッ ケージを作成した場合は、My Company_My Group という名前のディレクトリが作成さ れます。このディレクトリに、エクスポートしたインストールパッケージが配置されます。 メモ: この命名規則では、Symantec Endpoint Protection と Symantec Network Access Control のクライアントインストールパッケージが区別されません。単一の実行可能ファイ ルのエクスポートパッケージ名は、Symantec Endpoint Protection でも Symantec Network Access Control でも Setup.exe です。したがって、Symantec Endpoint Protection と Symantec Network Access Control のインストールファイルを区別できる ようなディレクトリ構造を作成するようにしてください。 パッケージをエクスポートするときに決定する重要な項目が 1 つあります。インストール パッケージを、管理下クライアント用と管理外クライアント用のどちらに作成するかを決定 する必要があります。管理下クライアント用に作成したパッケージは、Symantec Endpoint Protection Manager コンソールで管理することができます。管理外クライアント用に作 成したパッケージは、コンソールでは管理できません。 第 6 章 Symantec Endpoint Protection クライアントのインストール クライアントインストールパッケージのエクスポート メモ: リモートコンソールからクライアントインストールパッケージをエクスポートする場合、 パッケージはリモートコンソールを実行しているコンピュータ上に作成されます。また、複 数のドメインを使う場合は各ドメインにパッケージをエクスポートする必要があります。そう しないと、ドメイングループに対して利用可能として表示されません。 1 つ以上のインストールパッケージのファイルをエクスポートしたら、インストールファイル をクライアントコンピュータ上に配備します。 メモ: Microsoft Windows Server 2008 または Microsoft Vista (x64)を実行している コンピュータでは、クライアントインストールパッケージをサイレントオプションまたは無人 オプションで配備する必要があります。Microsoft Vista(x86)を実行しているコンピュー タに配備されるインストールパッケージに対しては、サイレントオプションのみを使う必要 があります。サイレントな配備が使われるとき、Microsoft Outlook と Lotus Notes のよう な Symantec Endpoint Protection にプラグインするアプリケーションは再起動する必 要があります。 p.120 の 「クライアントインストールパッケージの管理」 を参照してください。 p.124 の 「Web リンクと電子メールを使ったクライアントの配備」 を参照してください。 クライアントインストールパッケージをエクスポートするには 1 コンソールで、[管理]をクリックし、[インストールパッケージ]をクリックします。 2 [インストールパッケージ]で、[クライアントインストールパッケージ]をクリックします。 3 [クライアントインストールパッケージ]ペインの[パッケージ名]で、エクスポートする パッケージを右クリックしてから[エクスポート]をクリックします。 4 [パッケージのエクスポート]ダイアログボックスの[エクスポートフォルダ]テキストボッ クスの横で、エクスポートされたパッケージの保存先ディレクトリを参照して選択し、 [OK]をクリックします。 メモ: 2 バイト文字または Hi-ASCII 文字を含むディレクトリはサポートされず、遮断さ れます。 5 [パッケージのエクスポート]ダイアログボックスで、インストール目的に応じて他のオ プションを設定します。 このダイアログボックスの他のオプション設定について詳しくは[ヘルプ]を参照して ください。 6 [OK]をクリックします。 135 136 第 6 章 Symantec Endpoint Protection クライアントのインストール FDCC(Federal Desktop Core Configuration)準拠のクライアントパッケージについて FDCC(Federal Desktop Core Configuration)準拠のク ライアントパッケージについて FDCC(Federal Desktop Core Configuration)の要件に準拠する環境で使用できるクラ イアントインストールパッケージを作成できます。ウイルス対策とスパイウェア対策のコン ポーネントは、FDCC 準拠環境での使用をテストされ、認定されています。デフォルトで は、基準 FDCC パッケージはウイルス対策とスパイウェア対策を提供します。他の非認定 機能を選択することで、他の保護を追加できます。 p.133 の 「クライアントインストールパッケージ機能の設定」 を参照してください。 p.134 の 「クライアントインストールパッケージのエクスポート」 を参照してください。 7 Symantec Endpoint Protection へのアップグレー ドおよび移行 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection への移行について ■ Symantec Client Security または Symantec AntiVirus からの移行 ■ 複数の埋め込みデータベースと管理サーバーを使用するインストールインスタンスの 移行 ■ 新リリースへのアップグレード ■ 移行の前に複製をオフにする ■ 移行またはアップグレード後の複製の有効化 ■ 管理サーバーの移行 ■ 管理サーバーサービスの停止と開始 ■ 移行前の Symantec AntiVirus での LiveUpdate の無効化 ■ クライアントコンピュータ移行時の Symantec System Center での定時スキャンの無 効化 ■ ローミングサービスのオフ ■ Reporting Sever のアンインストールと削除 ■ Symantec System Center でのサーバーグループのロック解除 ■ クライアントソフトウェアのアップグレードについて 138 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 Symantec Endpoint Protection への移行について ■ 自動アップグレードを使ったクライアントのアップグレード ■ LiveUpdate 設定ポリシーによるクライアントソフトウェアの更新 ■ グループ更新プロバイダの移行 Symantec Endpoint Protection への移行について Symantec Endpoint Protection は、シマンテック社のレガシーのウイルス防止ソフトウェ アを検出し、移行します。 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 Symantec Endpoint Protection への移行について 表 7-1 サポート対象の移行 製品 説明 シマンテック社のレガシーのウ イルス防止ソフトウェア 必要に応じて、シマンテック社のレガシーのウイルス防止ソフト ウェアを移行できます。 移行では、次のシマンテック社のレガシーのウイルス防止ソフト ウェアのインストールを検出して移行します。 ■ Symantec AntiVirus Corporate Edition 9.x および 10.x ■ Symantec Client Security 2.x および 3.x Symantec Endpoint Protection Small Business Edition 12.0 ■ Symantec Endpoint Protection 11.x ■ ■ Symantec Sygate Enterprise Protection ■ Symantec AntiVirus for Mac p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照してください。 次の情報もチェックします。 移行の Web サイト 『Symantec Endpoint Protection および Symantec Network Access Control 移行ガイド』(『Symantec Endpoint Protection および Symantec Network Access Control 実装ガイド』を含 む) p.985 の 「アップグレードと移行に関する情報」 を参照してくださ い。 次のようにして移行をスキップできます。 サーバーおよびクライアントコンピュータから、シマンテック社 のレガシーのウイルス防止ソフトウェアをアンインストールしま す。 ■ Symantec Endpoint Protection Manager インストール中 に、移行オプションを中止します。 ■ 製品の初期インストール後に、Symantec Endpoint Protection Manager を使って、グループ設定とポリシー設 定を調整します。 ■ 非保護のレガシーコンピュータに Symantec Endpoint Protection クライアントをインストールします。 ■ Symantec Endpoint Protection インストールは、Symantec Endpoint Protection を検出して、 新しい MR(Maintenance Release)にアップグレードします。 p.144 の 「新リリースへのアップグレード」 を参照してください。 139 140 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 Symantec Client Security または Symantec AntiVirus からの移行 製品 説明 Symantec Endpoint Protection クライアント Symantec Endpoint Protection クライアントは、現在 Symantec Endpoint Protection クライアント 11.x(Enterprise Edition)と 12.0(Small Business Edition)を実行しているコンピュータにイ ンストールできます。 p.115 の 「クライアントインストールの準備」 を参照してください。 Symantec Client Security または Symantec AntiVirus からの移行 シマンテック社のレガシーのウイルス防止ソフトウェアを実行するクライアントを移行できま す。移行の間に、Symantec Endpoint Protection のデータベースにはレガシーのイン ストールからのグループのデータとポリシーデータが挿入されます。レガシークライアント 用にインストールパッケージが作成されます。 メモ: 管理サーバーがレガシークライアントを移行します。 p.138 の 「Symantec Endpoint Protection への移行について」 を参照してください。 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 Symantec Client Security または Symantec AntiVirus からの移行 移行の概略 表 7-2 手順 操作 説明 1 Symantec Client 次のように、レガシーインストールの移行の準備を行います。 Security または ■ 定時スキャンを無効にしてください。 Symantec AntiVirus の 移行はスキャンが移行の間に動作すれば失敗することがあります。 移行準備 p.150 の 「クライアントコンピュータ移行時の Symantec System Center での定時ス キャンの無効化」 を参照してください。 ■ LiveUpdate を無効にしてください。 競合は LiveUpdate が移行の間にクライアントコンピュータで動作すれば起きること があります。 p.150 の 「移行前の Symantec AntiVirus での LiveUpdate の無効化」 を参照して ください。 ■ ローミングサービスをオフにしてください。 クライアントコンピュータでローミングサービスを実行していると、ハングアップして移 行が完了しない可能性があります。 p.151 の 「ローミングサービスのオフ」 を参照してください。 ■ サーバーグループのロックを解除します。 Symantec AntiVirus から移行する場合、サーバーグループがロックされていると予 測不能な結果が起きる可能性があります。 p.152 の 「Symantec System Center でのサーバーグループのロック解除」 を参照 してください。 ■ 改変対策を無効にします。 移行中、改変対策が原因で思いがけない結果が発生することがあります。 ■ レポートサーバーをアンインストールし、削除します。 Reporting Sever をアンインストールし、省略可能なオプションとしてデータベース ファイルを削除してください。 p.152 の 「Reporting Sever のアンインストールと削除」 を参照してください。 詳しくはシマンテック社のレガシーのウイルス防止のソフトウェアのマニュアルを参照して ください。 2 レガシーグループとポリ シー設定の移行 レガシーグループ設定とポリシー設定を移行します。 p.142 の 「コンピュータグループの移行について」 を参照してください。 p.142 の 「グループ設定とポリシー設定の移行」 を参照してください。 p.156 の 「グループ更新プロバイダの移行」 を参照してください。 3 移行したデータの検証 移行されたグループの設定とポリシーの設定を検証して省略可能なオプションとして調 整してください。 p.182 の 「割り当てられたコンピュータの表示」 を参照してください。 p.182 の 「別のグループへのクライアントコンピュータの移動」 を参照してください。 141 142 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 Symantec Client Security または Symantec AntiVirus からの移行 手順 操作 説明 4 レガシーライセンスのイン レガシーライセンスファイルを Symantec Endpoint Protection にインポートします。 ポート p.111 の 「ライセンスのインポート」 を参照してください。 5 クライアントソフトウェアの レガシーコンピュータにクライアントを配備します。 配備 p.123 の 「クライアントの配備方法について」 を参照してください。 メモ: Symantec Endpoint Protection Small Business Edition からアップグレードする と、アップグレードライセンスにより、以前にインストールしたクライアントで新しい機能がア クティブ化されます。 コンピュータグループの移行について 移行では、レガシーグループごとに My Company子グループが作成されます。My Company 子グループ名は、各レガシーグループとそのレガシー子グループを連結した ものです。 たとえば、レガシーグループ Clients にレガシー子グループ ClientGroup1 と ClientGroup2 が含まれているとします。My Company 子グループ名は、Clients、 Clients.ClientGroup1、Clients.ClientGroup2 になります。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 グループ設定とポリシー設定の移行 以下の手順では、移行ウィザードを使って、Symantec AntiVirus Corporate Edition と Symantec Client Security からグループ設定とポリシー設定を移行します。 移行ウィザードは、初回の製品インストール中に自動的に実行します。また、Symantec Endpoint Protection Manager をホストするコンピュータの[スタート]メニューから、移 行ウィザードを実行することもできます。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 グループ設定とポリシー設定を移行するには 1 必要に応じて移行ウィザードを開始します。 コンソールコンピュータから移行ウィザードを開始するには、[スタート]メニューで、 [すべてのプログラム]、[Symantec Endpoint Protection Manager]、[Symantec Endpoint Protection Manager Tools]、[移行ウィザード]の順にクリックします。 2 [移行ウィザード]パネルで、[次へ]をクリックします。 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 複数の埋め込みデータベースと管理サーバーを使用するインストールインスタンスの移行 3 [移行ウィザード]パネルで、次の設定を指定します。 サーバーポリシー設定 サーバーポリシーを設定する場所を指定します。 次のオプションのいずれかを選択します。 ■ サーバーグループ ■ 各親サーバー クライアントポリシー設定 クライアントポリシーを設定する場所を指定します。 次のオプションのいずれかを選択します。 ■ サーバーグループまたはクライアントグループ ■ 各親サーバー 4 [次へ]をクリックします。 5 [移行ウィザード]パネルで、次のいずれかのオプションを選択します。 サーバーの自動検出 このオプションを選択すると、すべてのサーバーから設定をイン ポートします。Symantec System Center を実行しているコンピュー タの IP アドレスを入力します。 サーバーの追加 このオプションを選択すると、単一サーバーと、それが管理するク ライアントから設定をインポートします。サーバーを実行しているコ ンピュータの IP アドレスを入力します。 6 [次へ]をクリックします。 7 画面のメッセージに従って移行を完了します。 複数の埋め込みデータベースと管理サーバーを使用す るインストールインスタンスの移行 複数の埋め込みデータベースと管理サーバーを使用するインストールインスタンスの移 行の場合、次の点が影響します。 ■ 埋め込みデータベースはフェールオーバーサーバーや負荷分散サーバーをサポー トしていないため、フェールオーバーや負荷分散は実行されない ■ 複数の埋め込みデータベースサーバーをインストールする場合は必ずレプリケーショ ンサーバーとしてインストールする必要があるため、管理サーバーはレプリケーション のみを実行するように設定される どのサイトにも、最初に管理サーバーをインストールしたコンピュータがあります。ライセン スファイルと事前共有秘密を使ってインストールされた管理サーバーは 1 つのみです。 143 144 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 新リリースへのアップグレード 最初に、この管理サーバーを移行する必要があります。その後で、レプリケーション用に インストールされたその他の管理サーバーを移行します。 複数の埋め込みデータベースと管理サーバーを使用するインストールインスタンスを移 行するには 1 すべての管理サーバーで、レプリケーションを無効にします。 p.146 の 「移行の前に複製をオフにする」 を参照してください。 2 ライセンスファイルと事前共有秘密を使ってインストールした Symantec Endpoint Protection Manager を含むコンピュータで認証を行い、そのコンピュータにログオ ンします。 Symantec Endpoint Protection Manager にログオンしないでください。 3 管理サーバーを移行します。 p.147 の 「管理サーバーの移行」 を参照してください。 4 その他のすべての管理サーバーも 1 つずつ移行します。 5 サーバーを移行してから、サーバーごとにレプリケーションを有効にします。 p.146 の 「移行またはアップグレード後の複製の有効化」 を参照してください。 新リリースへのアップグレード 製品の最新リリースにアップグレードできます。ソフトウェアの新しいバージョンをインストー ルするには、特定のタスクを実行してアップグレードの成功を確認する必要があります。 このセクションの情報は、Symantec Endpoint Protection または Symantec Network Access Control 11.x のバージョンがすでにインストールされている環境での、Symantec Sygate 5.1 または Symantec Endpoint Protection 11.x ソフトウェアからのアップグレー ドに固有です。 製品版にアップグレードするための処理 表 7-3 手順 処理 説明 1 データベースのバックアップ クライアントの情報の整合性を保証するために Symantec Endpoint Protection Manager によって使われるデータベースのバックアップを作成します。 p.642 の 「データベースとログのバックアップ」 を参照してください。 2 複製のオフ 複製パートナーとして設定されているすべてのサイトの複製をオフにします。これに より、インストールの間のデータベース更新の試行を防ぎます。 p.146 の 「移行の前に複製をオフにする」 を参照してください。 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 新リリースへのアップグレード 手順 処理 説明 3 ローカル認証を有効にする (Symantec Network Access Control をインストールしてい る場合) エンフォーサでは、アップグレード中にクライアントを認証できません。クライアント認 証に関する問題を避けるために、アップグレード前にローカル認証を有効にするこ とをお勧めします。アップグレードが完了したら、認証の設定を前の設定に戻すこと ができます。 p.887 の 「統合エンフォーサのローカル認証を有効にする」 を参照してください。 p.776 の 「ゲートウェイエンフォーサアプライアンスのローカル認証を有効にする」 を 参照してください。 p.829 の 「LAN エンフォーサアプライアンスのローカル認証を有効にする」 を参照し てください。 4 Symantec Endpoint インストール前に Symantec Endpoint Protection Manager サービスを停止する Protection Manager サービ 必要があります。 スの停止 p.148 の 「管理サーバーサービスの停止と開始」 を参照してください。 5 Symantec Endpoint Protection Manager ソフト ウェアのアップグレード ネットワークのすべてのサイトに Symantec Endpoint Protection Manager の新し いバージョンをインストールします。既存のバージョンが自動的に検出され、すべて の設定はアップグレードの間に保存されます。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 6 アップグレード後の複製のオ インストールが完了したら複製をオンにして、設定を復元します。 ン p.146 の 「移行またはアップグレード後の複製の有効化」 を参照してください。 7 シマンテック製クライアントソ フトウェアのアップグレード クライアントソフトウェアを最新版にアップグレードします。 p.153 の 「クライアントソフトウェアのアップグレードについて」 を参照してください。 シマンテックからクライアントインストールパッケージの更新が提供されるときは、更 新を Symantec Endpoint Protection Manager に追加してエクスポートできるよう にします。ただし、クライアント配備ツールを使ってクライアントを再インストールする 必要はありません。グループのクライアントを最新のソフトウェアで更新する場合は、 自動アップグレードを使うのが最も簡単な方法です。最初に少数のテストコンピュー タを含むグループを更新してから、実働ネットワーク全体を更新してください。 p.154 の 「自動アップグレードを使ったクライアントのアップグレード」 を参照してくだ さい。 クライアントによる LiveUpdate の実行を許可しており、LiveUpdate 設定ポリシーで 許可されている場合は、LiveUpdate を使ってクライアントを更新することもできま す。 p.482 の 「コンテンツ更新の管理」 を参照してください。 145 146 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 移行の前に複製をオフにする 移行の前に複製をオフにする レプリケーションを実行するように設定されているレガシーサイトがある場合、移行の前に レプリケーションをオフにする必要があります。移行中、または移行後に、サイトがレガシー データベースと更新されたデータベース間でデータをレプリケートすることはできません。 複製するサイトごとに複製をオフにする必要があります。つまり、最低でも 2 つのサイトに ログインして複製をオフにする必要があります。 p.146 の 「移行またはアップグレード後の複製の有効化」 を参照してください。 移行前に複製を無効にするには 1 コンソールで、[管理]、[サーバー]の順にクリックします。 2 [サーバー]の[複製パートナー]を展開し、サイトを選択します。 3 サイトを右クリックし、[削除]をクリックします。 4 [はい]をクリックします。 5 コンソールからログオフしてから、データを複製するすべてのサイトで同じ手順を繰 り返します。 移行またはアップグレード後の複製の有効化 複製を使ったサーバーを移行またはアップグレードした後、複製をオンにする必要があり ます。移行後、複製パートナーを追加して複製を有効にします。管理サーバーを最初に インストールしたコンピュータにのみ、複製パートナーを追加する必要があります。複製 パートナーは、自動的に他の管理サーバーに表示されます。 p.146 の 「移行の前に複製をオフにする」 を参照してください。 p.144 の 「新リリースへのアップグレード」 を参照してください。 移行またはアップグレードの後で複製をオンにするには 1 コンソールで、[管理]、[サーバー]の順にクリックします。 2 [サーバー]の[複製パートナー]を展開し、サイトを選択します。 3 サイトを右クリックしてから、[パートナー情報を追加]をクリックします。 4 [複製パートナーの追加]パネルで、[次へ]をクリックします。 5 [リモートサイト情報]パネルで、複製パートナーに関する識別情報を入力し、認証 情報を入力してから[次へ]をクリックします。 6 [スケジュール複製]パネルで、複製を自動的に実行するスケジュールを設定し、[次 へ]をクリックします。 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 管理サーバーの移行 7 [ログファイルとクライアントパッケージの複製]パネルで、複製する項目にチェック マークを付けて[次へ]をクリックします。 パッケージの複製では大量のトラフィックとハードディスク容量を使います。 8 複製パートナーの追加ウィザードの完了を示すパネルで[完了]をクリックします。 9 このコンピュータでデータを複製しているすべてのコンピュータにこの手順を繰り返 します。 管理サーバーの移行 移行ではすべての管理サーバーをまず移行してからクライアントを移行する必要がありま す。 負荷分散、フェールオーバー、レプリケーションをサポートする環境の管理サーバーを移 行する場合は、決まった順番で管理サーバーを準備して移行する必要があります。 警告: 移行に失敗しないためには、インストールの種類に該当するシナリオの手順に従う 必要があります。 移行処理は新規インストールに似ています。 p.635 の 「フェールオーバーと負荷分散の設定」 を参照してください。 p.157 の 「サイトと複製の管理」 を参照してください。 表 7-4 は、Symantec Endpoint Protection Manager を移行するためのタスクの一覧 です。 表 7-4 移行タスク タスク 説明 サーバーとクライアント間の クライアントとサーバーがセキュア通信オプションを使っている場合、 セキュア通信を無効にしま 移行またはアップグレードの前にこのオプションを無効にする必要が す。 あります。この変更を行うには、ポリシーをクライアントに発行します。 メモ: 移行またはアップグレードの後で、別のポリシーを発行して、セ キュア通信を有効にします。 p.606 の 「クライアントが孤立するのを防ぐセキュア通信の設定」 を参 照してください。 147 148 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 管理サーバーサービスの停止と開始 タスク 説明 新しい管理サーバーのイン 管理サーバーの設定ウィザードを使って管理サーバーをインストール ストール します。 ホストインテグリティポリシーまたはエンフォーサ保護を使う Symantec Sygate Enterprise Protection サーバーを移行する場合は、最初に Symantec Endpoint Protection の管理サーバーをインストールし ます。次に、同じように Symantec Network Access Control の管理 サーバーをインストールし、ホストインテグリティとエンフォーサ機能に アクセスできるようにします。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してくだ さい。 管理サーバーの設定 管理サーバーアップグレードウィザードが自動的に起動します。ウィ ザードの指示に従って新しいサーバーを設定します。 管理サーバーへのログオン Symantec Endpoint Protection Manager のログオンパネルが表 示されたら、レガシーログオン資格情報を使ってコンソールにログオ ンします。 (省略可能)Symantec Network Access Control の管理サーバーのインス トール Symantec Endpoint Protection Manager からログオフします。次 に、この処理を繰り返して、Symantec Network Access Control の 製品ディスクから Symantec Network Access Control の Symantec Endpoint Protection Manager をインストールします。 メモ: 移行後にコンピュータの再起動は必須ではありませんが、いったん再起動してログ オンし直すとパフォーマンスが向上することがあります。 管理サーバーサービスの停止と開始 アップグレードする前に、サイトのすべての管理サーバーで Symantec Endpoint Protection Manager サービスを手動で停止する必要があります。アップグレード後、 サービスは自動的に開始されます。 警告: サーバーをアップグレードする前に Symantec Endpoint Protection Manager サービスを停止しないと、既存の Symantec Endpoint Protection Manager データベー スが壊れる危険性があります。 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 管理サーバーサービスの停止と開始 メモ: 管理サーバーサービスを停止した場合、クライアントはこのサービスに接続できなく なります。クライアントがネットワークに接続するために管理サーバーと通信する必要があ る場合、管理サーバーサービスが再起動されるまでクライアントのアクセスは拒否されま す。 たとえば、クライアントはホストインテグリティ検査に成功するために管理サーバーと通信 する必要があります。 p.144 の 「新リリースへのアップグレード」 を参照してください。 Symantec Endpoint Protection Manager サービスを停止するには 1 スタートメニューで[設定]、[コントロールパネル]、[管理ツール]、[サービス]の順 に選択します。 2 [サービス]ウィンドウを表示し、スクロールして[名前]列で[Symantec Endpoint Protection Manager]を右クリックします。 3 [停止]をクリックします。 4 [サービス]ウィンドウを閉じます。 警告: [サービス]ウィンドウを閉じないと、アップグレードに失敗する場合があります。 5 すべての Symantec Endpoint Protection Manager インストールに対して上記の 手順を繰り返します。 コマンドラインを使って Symantec Endpoint Protection Manager サービスを開始する には ◆ コマンドプロンプトから、次のように入力します。 net start semsrv コマンドラインを使って Symantec Endpoint Protection Manager サービスを停止する には ◆ コマンドプロンプトから、次のように入力します。 net stop semsrv 149 150 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 移行前の Symantec AntiVirus での LiveUpdate の無効化 移行前の Symantec AntiVirus での LiveUpdate の無 効化 移行中にクライアントコンピュータで LiveUpdate が実行されると、競合が発生する可能 性があります。したがって、移行の間にクライアントコンピュータの LiveUpdate をオフに する必要があります。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 Symantec AntiVirus で LiveUpdate を無効にするには 1 Symantec System Center で、サーバーグループを右クリックします。 2 [すべてのタスク]、[Symantec AntiVirus]、[ウイルス定義ファイルマネージャ]の 順に選択します。 3 ウイルス定義マネージャのダイアログボックスで、[このサーバーグループの一次サー バーのみを更新する]にチェックマークを付け[設定]をクリックします。 4 プライマリサーバーの更新を設定するダイアログボックスで、[自動更新のスケジュー ル]のチェックマークをはずし[OK]をクリックします。 5 ウイルス定義マネージャのダイアログボックスで、次の項目のチェックマークをはずし ます。 ■ 親サーバーからのウイルス定義の更新 ■ LiveUpdate を使ってクライアントの自動更新をスケジュール設定する ■ 連続 LiveUpdate を有効にする 6 [クライアントによる LiveUpdate の手動起動を禁止]にチェックマークを付け、[OK] をクリックします。 7 サーバーグループが複数ある場合は、すべてのグループに対して上記の手順を繰 り返します。 クライアントコンピュータ移行時の Symantec System Center での定時スキャンの無効化 クライアントの移行中にスケジュール設定されたスキャンが発生すると、移行が失敗する 可能性があります。移行中は定時スキャンを無効にし移行完了後に有効にしてください。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 定時スキャンを無効にするには 1 Symantec System Center で、次のいずれかの処理を実行します。 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 ローミングサービスのオフ ■ 管理サーバーを右クリックします。 ■ クライアントグループを右クリックします。 2 [すべてのタスク]、[Symantec AntiVirus]、[定時スキャン]の順に選択します。 3 [定時スキャン]ダイアログボックスの[サーバースキャン]タブで、定時スキャンのチェッ クマークをすべてはずします。 4 [クライアントスキャン]タブで、定時スキャンのチェックマークをすべてはずして、[OK] をクリックします。 5 すべてのプライマリ管理サーバー、セカンダリ管理サーバー、クライアントグループ で、上記の手順を繰り返します。 ローミングサービスのオフ クライアントコンピュータでローミングサービスを実行していると、ハングアップして移行が 完了しない可能性があります。ローミングサービスがオンになっている場合は、移行を開 始する前にオフにする必要があります。 メモ: ローミングクライアントが Symantec AntiVirus バージョン 10.x を実行する場合、 ローミングサービスを無効にする前にサーバーグループのロックを解除する必要がありま す。こうすることで、ローミングクライアントが証明書を使用して正しく認証され親サーバー にアクセスできるようになります。 ローミングサービスをオフにするには 1 Symantec System Center で、サーバーグループを右クリックします。 2 [すべてのタスク]、[Symantec AntiVirus]、[クライアントローミングオプション]の 順に選択します。 3 クライアントローミングオプションのダイアログボックスの[親の有効性を確認する間 隔]フィールドで、「1」と入力します。 4 [最も近い親を検索する間隔]フィールドで、「1」と入力して[OK]をクリックします。 5 数分待ちます。 6 Symantec System Center で、サーバーグループを右クリックします。 7 [すべてのタスク]、[Symantec AntiVirus]、[クライアントローミングオプション]の 順に選択します。 8 クライアントローミングオプションのダイアログボックスで、[Symantec AntiVirus Roadming サービスをインストールしてあるクライアント上でローミングを有効にする] のチェックマークをはずします。 9 [OK]をクリックします。 151 152 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 Reporting Sever のアンインストールと削除 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 Reporting Sever のアンインストールと削除 1 つまたは複数の Reporting Server をインストールしている場合、それらの Reporting Server をアンインストールし、省略可能なオプションとしてデータベースファイルを削除 する必要があります。さらに、Symantec System Center から Reporting Sever を削除 する必要もあります。Reporting Sever のアンインストールについて詳しくは、Symantec System Center のヘルプを参照してください。レガシー製品の設定は Windows レジス トリに格納されていました。現在は、すべての設定がレポートデータと一緒にデータベー スに格納されています。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 Reporting Sever をアンインストールするには 1 Reporting Server を実行するコンピュータにログオンします。 2 スタートメニューで[設定]、[コントロールパネル]、[プログラムの追加と削除]の順 に選択します。 3 [プログラムの追加と削除]ダイアログボックスで、[Reporting Agents]、[削除]の 順に選択します。 4 画面のメッセージに従って、Reporting Sever の削除を完了します。 5 すべての Reporting Sever に対して上記の手順を繰り返します。 Symantec System Center から Reporting Sever を削除するには 1 Symantec System Center で、[Reporting]を右クリックして展開します。 2 各 Reporting Sever を右クリックし、[削除]をクリックします。 Symantec System Center でのサーバーグループのロッ ク解除 移行前にサーバーグループのロックを解除しないと、思いがけない結果が発生すること があります。また、クライアントでローミングサービスが有効になっている場合は、サーバー グループのロックを解除しておくとクライアントが正しく認証され親サーバーにアクセスで きます。正しく認証され親サーバーにアクセスしたクライアントはデータベースに配置され ます。データベースに配置されたクライアントは、インストール後、コンソールで自動的に 正しいレガシーグループ内に表示されます。 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 クライアントソフトウェアのアップグレードについて サーバーグループのロックを解除するには 1 Symantec System Center で、ロックされているサーバーグループを右クリックして [サーバーグループのロック解除]をクリックします。 2 サーバーグループのロック解除ダイアログボックスで、必要に応じて認証用のユー ザー名、パスワードを入力して[OK]をクリックします。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 クライアントソフトウェアのアップグレードについて シマンテック製クライアントのソフトウェアをアップグレードするには複数の方法があります。 方法によっては最大 30 分かかります。したがって、ほとんどのユーザーがコンピュータに ログオンしていないときにクライアントソフトウェアをアップグレードする必要があります。 表 7-5 Symantec Endpoint Protection と Symantec Network Access Control のクライアントソフトウェアをアップグレードする方法 アップグレード方 法 説明 自動アップグレード Symantec Endpoint Protection Manager コンソールから 1 つ以上のグ ループのクライアントを更新するには自動アップグレードを使います。 p.154 の 「自動アップグレードを使ったクライアントのアップグレード」 を参照 してください。 LiveUpdate 設定ポ LiveUpdate サーバーを定義し、LiveUpdate の実行をクライアントに許可 リシー するグループに対し、LiveUpdate 設定ポリシーを設定します。 p.155 の 「LiveUpdate 設定ポリシーによるクライアントソフトウェアの更新」 を 参照してください。 製品ディスク 製品ディスクのインストールプログラムを使って、クライアントの新しいバー ジョンをインストールします。 その他の方法 サポートされている他のクライアントソフトウェアインストール方法を使います。 p.123 の 「クライアントの配備方法について」 を参照してください。 Symantec Network Access Control クライアントもインストールされている場合は、 Symantec Endpoint Protection クライアントと Symantec Network Access Control ク ライアントを両方アップグレードします。同じグループに Symantec Endpoint Protection パッケージと Symantec Network Access Control パッケージを両方割り当てることがで きます。この場合、[更新時に既存のクライアント機能を維持する]オプションが選択され ていることを確かめます。 153 154 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 自動アップグレードを使ったクライアントのアップグレード p.144 の 「新リリースへのアップグレード」 を参照してください。 自動アップグレードを使ったクライアントのアップグレー ド 自動アップグレード処理はグループに含まれているすべてのクライアントの Symantec Endpoint Protection クライアントソフトウェアを自動的にアップグレードすることを可能 にします。たとえば、自動アップグレードを使ってクライアントを新しい MR(Maintenance Release)や製品バージョンにアップグレードできます。 実働ネットワーク内の多数のクライアントのアップグレードを試みる前に自動アップグレー ドの処理をテストする必要があります。テストネットワークがない場合は、実働ネットワーク 内にテストグループを作成できます。この種類のテストを行う場合、テストグループに少数 の重要ではないクライアントを追加し、自動アップグレードを使ってそれらをアップグレー ドします。クライアントソフトウェアのバージョン番号を調べて、アップグレードが正常に完 了したことを確認します。バージョン番号は、クライアントで[ヘルプ]、[バージョン情報] の順に選択すると表示されるパネルに示されます。 p.153 の 「クライアントソフトウェアのアップグレードについて」 を参照してください。 自動アップグレードを使ってクライアントをアップグレードするには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [インストールパッケージ]をクリックします。 3 [タスク]で、[クライアントをパッケージでアップグレード]をクリックします。 4 [グループのアップグレードウィザード]パネルで、[次へ]をクリックします。 5 [クライアントインストールパッケージの選択]パネルで、適切なクライアントインストー ルパッケージを選択し、[次へ]をクリックします。 6 [グループの指定]パネルで、アップグレードするクライアントコンピュータを含むグ ループを選択し、[次へ]をクリックします。 7 [パッケージアップグレードの設定]パネルで、[管理サーバからダウンロード]にチェッ クマークを付けます。 オプションとして、Web サーバーでパッケージをステージングして選択できます。 8 [アップグレードの設定]をクリックします。 9 [全般]タブで、[更新時に既存のクライアント機能を維持する]にチェックマークを付 けます。 アップグレード時に省略可能なオプションとして機能を追加または削除できます。 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 LiveUpdate 設定ポリシーによるクライアントソフトウェアの更新 10 省略可能なオプションとして、[通知]タブでユーザー通知の設定をカスタマイズしま す。アップグレードの間にクライアントコンピュータに表示されるメッセージをカスタマ イズできます。指定の期間までユーザーがアップグレードを延期することも許可でき ます。 スケジュールと通知の設定について詳しくは、[ヘルプ]をクリックしてください。 11 [OK]をクリックします。 12 [グループのアップグレードウィザード完了]パネルで、[次へ]をクリックします。 13 [完了]をクリックします。 LiveUpdate 設定ポリシーによるクライアントソフトウェア の更新 シマンテック製クライアント製品ソフトウェアは、LiveUpdate 設定ポリシーによる製品の更 新を許可することによって自動的に更新できます。製品の更新が許可されている場合、 パッチはクライアントで LiveUpdate セッションを実行するときにインストールされます。 セッションはスケジュールすることも手動で開始することもできます。製品の更新を拒否す るようにポリシーが設定されているときは、クライアントソフトウェアは Symantec Endpoint Protection Manager コンソールを使って手動でのみ更新できます。 Symantec Endpoint Protection Manager で LiveUpdate の更新をダウンロードして処 理する場合、更新するグループのコンテンツデルタが作成されます。コンテンツデルタ は、新しいパッケージとして自動的に表示されます。その後、パッケージを選択し、グルー プとパッケージのアップグレード機能から手動でグループと場所を更新できます。 p.153 の 「クライアントソフトウェアのアップグレードについて」 を参照してください。 p.482 の 「コンテンツ更新の管理」 を参照してください。 LiveUpdate 設定ポリシーによってシマンテック製クライアントソフトウェアを更新するに は 1 Symantec Endpoint Protection Manager コンソールで、[ポリシー]をクリックしま す。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 右ペインの[LiveUpdate の設定]タブで、[LiveUpdate ポリシー]をクリックします。 4 左下のペインの[タスク]で、[ポリシーを編集]をクリックします。 5 [LiveUpdate ポリシー]で[拡張設定]をクリックします。 6 [拡張設定]ペインの[製品更新の設定]で、以下のいずれかを実行します。 ■ クライアントソフトウェアを自動的に更新するには、[LiveUpdate サーバーを使っ て Symantec Endpoint Protection 製品の更新をダウンロードする]にチェック マークを付けます。 155 156 第 7 章 Symantec Endpoint Protection へのアップグレードおよび移行 グループ更新プロバイダの移行 ■ 7 Symantec Endpoint Protection Manager コンソールのグループとパッケージ のアップグレード機能を使ってクライアントソフトウェアを手動で更新するには、 [LiveUpdate サーバーを使って Symantec Endpoint Protection 製品の更新 をダウンロードする]のチェックマークをはずします。 [OK]をクリックし、グループまたはグループの場所にポリシーを適用します。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 グループ更新プロバイダの移行 グループ更新プロバイダであるクライアントを移行するには、次の手順を使用します。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 グループ更新プロバイダのクライアントを移行するには 1 Symantec Endpoint Protection Manager サーバーを新しいバージョンのソフト ウェアにアップグレードします。 2 グループ更新プロバイダであるクライアントを新しいバージョンのクライアントソフトウェ アにアップグレードします。 3 他のクライアントを新しいバージョンのクライアントソフトウェアに更新します。 8 サイトおよび評価の設定と 管理 この章では以下の項目について説明しています。 ■ サイトと複製の管理 ■ 必要なサイトの数の決定 ■ 複製のしくみ ■ 複製パートナーの追加 ■ 自動複製スケジュールの変更 ■ オンデマンドでのデータの複製 ■ 複製するデータの指定 ■ リモートサイトの削除 サイトと複製の管理 Symantec Endpoint Protection 管理の主要な組織単位は、サイトです。サイトは 1 つ のデータベース、1 つ以上の管理サーバーとクライアントで構成されます。デフォルトで は、1 つのサイトで Symantec Endpoint Protection を配備します。複数のデータセン ターや物理的な場所がある組織では、通常は複数のサイトを使います。 表 8-1 に、追加のサイトを設定し、複製を管理するための手順を示します。 158 第 8 章 サイトおよび評価の設定と管理 サイトと複製の管理 サイトを設定するための処理 表 8-1 手順 タスク 説明 手順 1 別のサイトを追加する 別のサイトを追加する必要があるかどうかを判断し、組織にはど 必要があるかどうかを判 のサイト設計が機能するかを決定します。 断します。 p.159 の 「必要なサイトの数の決定」 を参照してください。 手順 2 1 番目のサイトに Symantec Endpoint Protection をはじめてインストールする Symantec Endpoint 場合、デフォルトではサイト 1、つまりローカルサイトがインストー Protection Manager ルされています。 をインストールします。 p.85 の 「管理サーバーとコンソールのインストール」 を参照し てください。 手順 3 2 番目のサイトに また、管理サーバーの設定ウィザードを使って、2 番目のサイト Symantec Endpoint に管理サーバーをインストールすることもできます。 Protection Manager データの複製は、初期インストール中またはインストール後に設 をインストールします。 定できます。初期インストール中に複製を設定すると、複製パー トナーの同期のスケジュールも設定できます。 まず、最初のサイトをインストールしてから、2 番目のサイトを複 製パートナーとしてインストールします。3 番目のサイトをインス トールして、最初の 2 つのサイトのどちらかに接続するように設 定できます。サイトファームには必要な数のサイトを追加できま す。 手順 4 パートナーとして 2 番 目のサイトを追加しま す。 なぜサイト間でデータを複製する必要があるかを理解してくだ さい。既存の複製パートナーの追加ウィザードを使って複製パー トナーを設定します。 p.161 の 「複製のしくみ」 を参照してください。 p.163 の 「複製パートナーの追加」 を参照してください。 管理サーバーの最新バージョンに移行するか、またはアップグ レードする前に、複製パートナーを削除する必要があります。後 でその複製パートナーをもう一度追加して、データベースの一 貫性を保つことができます。ただし、一部の変更の不一致が発 生する可能性があります。 p.146 の 「移行の前に複製をオフにする」 を参照してください。 p.146 の 「移行またはアップグレード後の複製の有効化」 を参 照してください。 また、すべてのリモートサイトを完全に削除することもできます。 p.166 の 「リモートサイトの削除」 を参照してください。 第 8 章 サイトおよび評価の設定と管理 必要なサイトの数の決定 手順 タスク 説明 手順 5 最初のサイトの複製を スケジュールします。 デフォルトでは、複製は自動的にスケジュール設定されます。 複製スケジュールは、利用可能な空き容量に基づいて修正で きます。複製をすぐに実行することもできます。 p.164 の 「自動複製スケジュールの変更」 を参照してください。 p.165 の 「オンデマンドでのデータの複製」 を参照してください。 手順 6 1 番目のサイトのデー Symantec Endpoint Protection を設定した後、すべての設 タベースのバックアップ 定変更が含まれているデータベースのバックアップを作成する を作成します。 必要があります。 p.642 の 「データベースとログのバックアップ」 を参照してくださ い。 手順 7 最初のサイトのプロパ ティを設定します。 サイトの次の項目を設定できます。 ■ コンソールがログアウトするまでの時間の長さ。 ■ サイト名とサイトの説明。 一定時間接続していなかったクライアントを削除するかどう か。 ■ 容量を節約するためにログサイズを最小化します。 ■ p.166 の 「複製するデータの指定」 を参照してください。 必要なサイトの数の決定 大半の中小規模の組織では、ネットワークセキュリティを集中的に管理するには 1 つの サイトのみで十分です。各サイトからアクセスするのは 1 つのデータベースだけなので、 すべてのデータが中央に置かれます。 地理的に 1 つの場所にあり、クライアントの数が 45,000 ~ 50,000 未満の大規模な組織 でも、通常は 1 つのサイトで十分です。しかし、集中的に管理するには複雑すぎる組織 の場合は、複数のサイトがある分散型の管理アーキテクチャを使う必要があります。 複数のサイトの場合は、次の要因について検討することをお勧めします。 ■ 多数のクライアント。 ■ 地理的な場所の数とそれらの間の通信リンクの種類。 ■ 機能区分または管理グループの数。 ■ データセンターの数。ベストプラクティスは、データセンターごとに 1 つの Symantec Endpoint Protection サイトを設定することです。 ■ コンテンツを更新したい頻度。 159 160 第 8 章 サイトおよび評価の設定と管理 必要なサイトの数の決定 ■ 保持する必要のあるクライアントログデータの量、それらを保持する必要のある期間、 それらを格納する場所。 ■ 2 つの物理的な場所の間の WAN リンクが遅い。専用の管理サーバーを持つ 2 番目 のサイトを設定すると、その低速リンク上のクライアントサーバートラフィックを最小化 できます。 ■ 固有のさまざまな企業管理および IT セキュリティ管理に関する考慮事項。 インストールするサイトの数を決定する際は、サイズに関する次のガイドラインを参考にし てください。 ■ インストールするサイトはできるだけ少なくし、最大 20 までにする。 ■ データベースに接続する管理サーバーは 10 までにする。 ■ 管理サーバーに接続するクライアントは 50,000 までにする。 サイトを追加した後、複製によって複数のサイト全体でサイト情報を複製する必要があり ます。複製は、データベース間で情報を共有して、内容の一貫性を確保する処理です。 表 8-2 に、選択可能な複数サイトの設計を示します。 表 8-2 複数サイトの設計 サイトの設計 説明 分散型 各サイトがグループとポリシーの複製を双方向で行いますが、ログとコンテンツ の複製は行いません。サイトのレポートを表示するには、コンソールを使ってリ モートサイトの管理サーバーに接続します。 リモートサイトのデータに直接アクセスする必要がないときは、この設計を使い ます。 集中型のログ記録 すべてのログは他のサイトから中央のサイトに転送されます。 集中型のレポートが必要なときは、この設計を使います。 高可用性 すべてのサイトで、複数の管理サーバーがインストールされ、データベースが クラスタ化されます。プライマリ管理サーバーが利用不能になった場合に自動 的に代替の管理サーバーに切り替えるように、クライアントコンピュータを設定 できます。 冗長性、フェールオーバー、ディザスタリカバリを提供するには、この設計を使 います。 p.635 の 「フェールオーバーと負荷分散の設定」 を参照してください。 メモ: 追加のクライアントを処理するためにサイトを追加しないでください。代わりに、2 つ 以上の管理サーバーをインストールし、管理サーバーリストを使うことができます。 p.161 の 「複製のしくみ」 を参照してください。 第 8 章 サイトおよび評価の設定と管理 複製のしくみ 複製のしくみ 複製により、異なるサイト上のデータベース間で、両方のデータベースに同じ情報が含ま れるようにデータを複製することができます。一方のデータベースが失敗した場合でも、 もう一方のサイトにあるデータベースの情報を使うことで、サイト全体を管理できます。 パートナーとは、別のサイト上の管理サーバーのことです。そのサイト上には、別の 1 つ のデータベースと複数の管理サーバーがあります。サイトには、必要な数のパートナーを 指定できます。各パートナーまたはリモートサイトは、メインサイトまたはローカルサイトに 接続し、このサイトにログオンすることになります。パートナーとして設定されたすべてのサ イトが、同じサイトファームにあると見なされます。 データを複製する各サイトは、複製パートナーとサイトパートナーのいずれかです。複製 パートナーもサイトパートナーも複数のサーバーを使用しますが、使用するデータベース と通信する方法が異なります。 ■ 複製パートナーは埋め込みデータベースか Microsoft SQL Server データベースを 使用できます。管理サーバーはデータベースを共有しません。すべての複製パート ナーが、共通のライセンスキーを共有します。 ■ サイトパートナーは 1 つの Microsoft SQL データベースを共有します。 通常、すべてのサイトには同じ種類のデータベースがあります。ただし、埋め込みデータ ベースがあるサイトと Microsoft SQL Server データベースがある 2 番目のサイト間に複 製を設定することができます。埋め込みデータベースを使う場合は、1 つの Symantec Endpoint Protection Manager のみを接続できます。Microsoft SQL Server を使う場 合は、複数の管理サーバーを接続したり、1 つのデータベースを共有することができま す。最初の管理サーバーのみを複製パートナーとして設定する必要があります。 p.159 の 「必要なサイトの数の決定」 を参照してください。 パートナーに加えた変更は、他のすべてのパートナーに複製されます。たとえば、本社 (サイト 1)および 2 番目のサイト(サイト 2)で 1 つのサイトを設定できます。サイト 2 はサ イト 1 にとってのパートナーです。サイト 1 とサイト 2 上のデータベースは、複製スケジュー ルによって同じ内容になります。サイト 1 に変更が加えられた場合、複製によってサイト 2 にも自動的に変更が加えられます。サイト 2 に変更が加えられた場合、複製によってサ イト 1 にも自動的に変更が加えられます。3 番目のサイト(サイト 3)をインストールして、そ こにサイト 1 またはサイト 2 のデータを複製することもできます。 図 8-1 に、メインサイトから他の 2 つのサイトへのデータの複製がどのように行われるか を示します。 161 162 第 8 章 サイトおよび評価の設定と管理 複製のしくみ メインサイトと 2 つのリモートサイト間での複製のしくみ 図 8-1 サイト 1 サイト 2 Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager MS SQL データベース MS SQL データベース 複製 複製 サイト 3 Symantec Endpoint Protection Manager MS SQL データベース グループとポリシーは常に複製されます。ログ、更新されたコンテンツ、パッチを複製する ことを選択できます。 p.166 の 「複製するデータの指定」 を参照してください。 複製を行うと、サイト 1 のデータベースとサイト 2 のデータベースが同じになります。サー バーのコンピュータ識別情報だけが異なります。 管理者がサイトファームにあるサイトの設定を変更すると、競合が発生することがあります。 表 8-3 に、発生した競合を Symantec Endpoint Protection Manager がどのように処 理するかを示します。 第 8 章 サイトおよび評価の設定と管理 複製パートナーの追加 表 8-3 管理サーバーがサイト間の競合を解決するしくみ 競合の種類 解決策 2 つの変更は同時に存在できない。 管理サーバーは最後に行われた変更のみを保持します。 たとえば、サイト 1 とサイト 2 の管理者が、同じ たとえば、サイト 2 の変更は保持されます。 ファイアウォールポリシー設定を設定したとしま す。サイト 1 では、設定は有効になります。サイ ト 2 では、設定は無効になります。 同じ変数が両方のサイトに作成される。 管理サーバーは両方の変更を保持します。最後に作成された変数の後に、 波形符と数字の 1(~1)が追加されます。 たとえば、サイト 1 とサイト 2 の管理者が、同じ名 前のグループを追加したとします。 たとえば、2 つのグループに Sales という名前を付けると、最後に名前が付 けられた Sales グループは Sales ~1 になります。 データは競合なしでマージできる。 管理サーバーは変更をマージします。 たとえば、サイト 1 の管理者が 2 つのファイア たとえば、管理サーバーは両方のサイトの 7 つのファイアウォールポリシー ウォールポリシーを追加し、サイト 2 の管理者が をすべて表示します。 5 つのファイアウォールポリシーを追加したとしま す。 p.642 の 「データベースとログのバックアップ」 を参照してください。 複製パートナーの追加 別のサイトとデータを複製する場合、初期インストール中に複製を設定することができま す。初期インストール中に複製を設定しなかった場合、後で複製パートナーを追加する ことで設定することができます。 以前パートナーから削除した複製パートナーを追加することができます。削除したパート ナーを追加する場合、接続先の管理サーバーは、以前、同じサイトファーム上の複製パー トナーであった必要があります。 p.157 の 「サイトと複製の管理」 を参照してください。 複製パートナーを追加するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]でサイトを選択します。 3 [タスク]で、[既存の複製パートナーの追加]をクリックします。 4 [既存の複製パートナーの指定ウィザード]ウィザードで、[次へ]をクリックします。 5 [リモートサイト情報]パネルで、複製パートナーを作成する管理サーバーの IP アド レスまたはホスト名とポート番号を入力します。 リモートサーバーポートのデフォルト設定は 8443 です。 163 164 第 8 章 サイトおよび評価の設定と管理 自動複製スケジュールの変更 6 リモート管理サーバーの管理者のユーザー名とパスワードを入力し、[次へ]をクリッ クします。 7 [スケジュール複製]パネルで、次のいずれかの操作を実行して、2 つのパートナー 間の複製スケジュールを指定します。 ■ [自動複製]にチェックマークを付けます。 2 つのサイト間で自動複製が頻繁に行われます。 ■ 複製のカスタムスケジュールを設定するには、[自動複製]にチェックマークを付 け、スケジュールを指定します。 8 [次へ]をクリックします。 9 [ログファイルとクライアントパッケージの複製]パネルで、ログを複製するかどうかに 応じて、オプションにチェックマークを付けるか、オプションのチェックマークをはずし ます。 10 [複製パートナーの追加]ダイアログで次のいずれかを実行します。 ■ データベースが複製パートナーのサイトで復元された場合、[はい]をクリックしま す。 データベースをアップグレードまたは復元する場合は続行する前に各複製パー トナーのサイトのデータベースを復元する必要があります。 ■ データベースが復元されていない場合は[いいえ]をクリックします。 それからデータベースを復元し、このプロシージャを再起動します。 11 [次へ]をクリックします。 12 [完了]をクリックします。 [管理]ページの[複製パートナー]に複製パートナーが追加されます。 自動複製スケジュールの変更 複製は通常、初期インストール中に複製パートナーを追加するときに設定したスケジュー ルに従って行われます。ID 番号が小さいサイトにより、スケジュール設定された複製が開 始されます。複製パートナーが確立されれば複製スケジュールを変更できます。複製パー トナーでスケジュールを変更すると、次の複製後に両側のスケジュールが同じになります。 p.157 の 「サイトと複製の管理」 を参照してください。 複製の頻度を変更するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、[複製パートナー]をクリックします。 3 [タスク]で、[複製パートナープロパティの編集]をクリックします。 第 8 章 サイトおよび評価の設定と管理 オンデマンドでのデータの複製 4 [複製パートナープロパティの編集]ダイアログボックスで、次のいずれかの操作を実 行して 2 つのパートナー間の複製スケジュールを指定します。 ■ [自動複製]にチェックマークを付けます。 2 つのサイト間で自動複製が頻繁に行われます。このオプションはデフォルトで チェックマークが付いています。このため、複製のカスタムスケジュールを設定で きません。 メモ: [自動複製]オプションは、複製処理を 2 時間おきに実行します。以前の バージョンの製品では、自動的に 5 分おきに複製していました。 ■ 5 [自動複製]のチェックマークをはずします。 ここでは、複製のカスタムスケジュールを設定できます。 ■ [複製の頻度]で時単位、日単位、または週単位を選択します。 ■ [曜日]リストで、複製を行う特定の曜日を選択して、週単位のスケジュールを 設定します。 [OK]をクリックします。 オンデマンドでのデータの複製 複製は通常、インストール中に複製パートナーを追加するときに設定したスケジュールに 従って行われます。ID 番号が小さいサイトにより、スケジュール設定された複製が開始さ れます。すぐに複製を開始することもできます。 複数のサーバーで Microsoft SQL Server データベースを使っている場合、サイトの最 初のサーバーからのみ複製を開始できます。 p.157 の 「サイトと複製の管理」 を参照してください。 オンデマンド複製のスケジュール設定 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、[複製パートナー]を展開し、すぐに複製するデータベースが存在す るパートナーを選択します。 3 [タスク]の下で、[今すぐに複製]をクリックします。 4 [はい]をクリックします。 5 [OK]をクリックします。 165 166 第 8 章 サイトおよび評価の設定と管理 複製するデータの指定 複製するデータの指定 ローカルサイトとリモートサイト間でクライアントパッケージ、LiveUpdate コンテンツ、ログ を複製することを選択できます。その後、リモートサイトの管理者はクライアントパッケージ または LiveUpdate コンテンツを配備できます。 クライアントパッケージと LiveUpdate コンテンツの複製を行う場合には複製するデータ が大量になることがあります。クライアントパッケージのデータは 5 GB にもなることがあり ます。Symantec Endpoint Protection と Symantec Network Access Control の 32 ビットおよび 64 ビットインストールパッケージには、どちらも 500 MB 程度のディスク容量 が必要です。ログの複製を計画する場合、すべての複製パートナーサーバーに、ログを 追加するのに十分なディスク容量があることを確認してください。 複製するデータを指定するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、[複製パートナー]をクリックします。 3 [複製パートナー]を展開し、クライアントパッケージを複製する複製パートナーを選 択します。 4 [タスク]で、[複製パートナープロパティの編集]をクリックします。 5 [複製パートナープロパティ]ダイアログボックスで[ローカルサイトとパートナーサイト の間でクライアントパッケージを複製する]をクリックします。 6 [OK]をクリックします。 p.123 の 「クライアントの配備方法について」 を参照してください。 リモートサイトの削除 リモートサイトで管理サーバーを削除するときは、すべてのサイトから手動で削除する必 要があります。1 つの管理サーバーコンソールからソフトウェアをアンインストールしても、 そのアイコンは他のコンソールの[サーバー]ペインから削除されません。 p.157 の 「サイトと複製の管理」 を参照してください。 リモートサイトを削除するには 1 コンソールで、[管理]をクリックします。 2 [タスク]で、[サーバー]をクリックします。 3 [リモートサイト]を展開し、削除するサイトを選択します。 4 [タスク]の下で、[リモートサイトの削除]をクリックします。 5 [はい]をクリックします。 9 Protection Center での Symantec Endpoint Protection の管理 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection と Protection Center について ■ Protection Center バージョン 2 へのアップグレードについて ■ Protection Center での Symantec Endpoint Protection の設定について ■ Protection Center での複数の Symantec Endpoint Protection ドメインの設定に ついて ■ Symantec Endpoint Protection Manager と Protection Center 間の通信の設定 Symantec Endpoint Protection と Protection Center について Protection Center は単一の環境の他のシマンテック製品とともに Symantec Endpoint Protection を管理することを可能にします。 Symantec Endpoint Protection は一連の Web サービスによって Protection Center と統合的です。これらの Web サービスは、 Symantec Endpoint Protection Manager サーバーと Protection Center サーバー間 の通信を提供します。 Protection Center では、次のタスクを実行できます: ■ 他のシマンテック製品コンソールとともに、Protection Center から Symantec Endpoint Protection Manager コンソールを実行します。 168 第 9 章 Protection Center での Symantec Endpoint Protection の管理 Protection Center バージョン 2 へのアップグレードについて Protection Center の Symantec Endpoint Protection Manager コンソールは、ス タンドアロンコンソールとほとんど同一です。ただし、スタンドアロンバージョンのコン ソールウィンドウでは左側に表示される主要な機能のオプションは、Protection Center では最上部に表示されます。 ■ Symantec Endpoint Protection からのデータと、Symantec Messaging Gateway などの他の製品からのデータを含んでいるレポートを実行します。 データフィード Web サービスは、Protection Center データベースに書き込まれる Symantec Endpoint Protection データを定義します。 詳しくは、シマンテック社のテクニカルサポートから入手できる『Symantec Endpoint Protection Data for Protection Center Reference Guide』を参照してください。 ■ Symantec Endpoint Protection タスクを含む Protection Center のワークフローを 開始します。Protection Center には、次の Symantec Endpoint Protection のワー クフローが用意されています。 ■ エンドポイントの検疫ワークフロー ■ エンドポイントの移動ワークフロー ■ エンドポイントでのウイルス定義の更新ワークフロー ■ ウイルス定義の更新とエンドポイントのスキャンワークフロー 他の製品は、さまざまなタスクを提供することも、一連の統合ポイントを提供することもでき ます。製品を Protection Center とどのように統合できるかについて詳しくは、Protection Center のマニュアルを参照してください。 p.168 の 「Protection Center バージョン 2 へのアップグレードについて」 を参照してくだ さい。 p.169 の 「Protection Center での Symantec Endpoint Protection の設定について」 を参照してください。 Protection Center バージョン 2 へのアップグレードにつ いて Protection Center バージョン 2 にアップグレードするには、新しいインストールを実行し ます。続いて、Symantec Endpoint Protection を Protection Center に追加します。 追加する手順は、バージョン 1 で製品を追加する手順と同様です。 p.169 の 「Protection Center での Symantec Endpoint Protection の設定について」 を参照してください。 ただし、統合された製品に別々にアクセスするように、Protection Center のユーザーア カウントを設定します。詳しくは、Protection Center のマニュアルを参照してください。 第 9 章 Protection Center での Symantec Endpoint Protection の管理 Protection Center での Symantec Endpoint Protection の設定について Protection Center での Symantec Endpoint Protection の設定について 次のタスクを実行することによって、Protection Center で Symantec Endpoint Protection を設定します。 ■ Protection Center に Symantec Endpoint Protection Manager サーバーを追加 し、サーバーを有効にします。 ■ Symantec Endpoint Protection と他の統合製品にアクセスするために、Protection Center アカウントを作成します。 ■ Symantec Endpoint Protection と他の統合製品の適切なアカウントに Protection Center アカウントをマップします。 製品を追加しアカウントを作成する方法について詳しくは、Protection Center のマニュ アルを参照してください。 複数のドメインを個別に設定する必要があります。Symantec Endpoint Protection Manager にデフォルトのドメインのみが含まれている場合は、Protection Center でドメ インの情報を指定する必要はありません。 p.169 の 「Protection Center での複数の Symantec Endpoint Protection ドメインの設 定について」 を参照してください。 メモ: Protection Center バージョン 1 では、レポート権がある限定管理者アカウントを使 うことによって、Symantec Endpoint Protection を追加できます。バージョン 2 では、シ ステム管理者またはドメイン管理者のアカウントを使う必要があります。 Protection Center は、ネットワーク内の Symantec Endpoint Protection Manager サーバーを自動的に検出できます。デフォルトでは、このネットワーク検出は Symantec Endpoint Protection Manager で有効になります。無効にした場合、手動で Symantec Endpoint Protection Manager を追加できます。手動で製品を追加する方法について 詳しくは、Protection Center のマニュアルを参照してください。 p.170 の 「Symantec Endpoint Protection Manager と Protection Center 間の通信の 設定」 を参照してください。 Protection Center での複数の Symantec Endpoint Protection ドメインの設定について Protection Center で複数の Symantec Endpoint Protection ドメインを管理するには、 Protection Center に各ドメインを個別に追加する必要があります。<ドメイン名>¥アカウ ント名の形式で、ユーザー名の一部としてドメインを指定する必要があります。 169 170 第 9 章 Protection Center での Symantec Endpoint Protection の管理 Symantec Endpoint Protection Manager と Protection Center 間の通信の設定 メモ: Symantec Endpoint Protection ドメインは、Protection Center でのテナントに相 当します。Symantec Endpoint Protection ドメインを Protection Center に追加すると きは、テナントフィールドでドメイン名も指定します。 Symantec Endpoint Protection Manager を構成するときは、システム全体のポートを 構成します。デフォルトポートを使うことも、カスタムポートを指定することもできます。 Protection Center で複数のドメインを追加するときは、追加するドメインごとにこれらの ポートを指定する必要があります。ポート番号は同じですが、Protection Center ではド メインごとにポートを指定する必要があります。 表 9-1 では、Protection Center が Symantec Endpoint Protection Manager ポート の参照に使う用語を示します。 表 9-1 ポート名 Protection Center のポート名 Symantec Endpoint Protection Manager のポート 名 データフィードポート Web サービスポート 登録ポート Web サービスポート コンソールポート サーバーポート p.169 の 「Protection Center での Symantec Endpoint Protection の設定について」 を参照してください。 p.170 の 「Symantec Endpoint Protection Manager と Protection Center 間の通信の 設定」 を参照してください。 Symantec Endpoint Protection Manager と Protection Center 間の通信の設定 Symantec Endpoint Protection のインストール時にインストールされたデフォルトの通 信設定を使うことによって、Symantec Endpoint Protection Manager を Protection Center に追加できます。 ただし、場合によっては、これらの設定の一部を変更する必要があります。 第 9 章 Protection Center での Symantec Endpoint Protection の管理 Symantec Endpoint Protection Manager と Protection Center 間の通信の設定 Symantec Endpoint Protection Manager と Protection Center 間の通信を設定する には 1 コンソールで、[管理]、[サーバー]、[<サーバー名>]、[サイトプロパティの編集] の順に移動します。 2 [Web サービス]タブで、次のいずれかの設定を変更します。 データフィード Protection Center のデータフィードが消費するネットワーク帯域幅が 多すぎるとわかった場合は、これらの設定を変更できます。 メモ: データフィードは絶えず Protection Center を通過します。 3 ワークフローサイズ Protection Center のワークフローはイベントによってトリガされます。 したがってデータフィードより頻度は低くなります。Protection Center のワークフローが Symantec Endpoint Protection データを要求する 量を調整するために、引き続きこれらの設定を使うことができます。 ネットワーク検出 ネットワーク検出を無効にした場合、手動で Symantec Endpoint Protection Manager を Protection Center に追加する必要がありま す。詳しくは、Protection Center のマニュアルを参照してください。 認証 シマンテック社のテクニカルサポートまたはセールスエンジニアが環境 を最適化するために Web サービスベースのツールを書き込むことが できるように、セッションベースの認証を有効にします。 [OK]をクリックします。 これらの設定について詳しくは、[Web サービス]パネルの状況感知型ヘルプを参照し てください。 p.169 の 「Protection Center での Symantec Endpoint Protection の設定について」 を参照してください。 171 172 第 9 章 Protection Center での Symantec Endpoint Protection の管理 Symantec Endpoint Protection Manager と Protection Center 間の通信の設定 2 Symantec Endpoint Protection での保護の管理 ■ 第10章 クライアントコンピュータのグループの管理 ■ 第11章 クライアントの管理 ■ 第12章 リモートクライアントの管理 ■ 第13章 ポリシーを使ったセキュリティの管理 ■ 第14章 ウイルス対策とスパイウェア対策の管理 ■ 第15章 スキャンのカスタマイズ ■ 第16章 SONAR の管理 ■ 第17章 改変対策の管理 ■ 第18章 ファイアウォール保護の管理 ■ 第19章 侵入防止の管理 ■ 第20章 アプリケーションとデバイス制御の管理 ■ 第21章 例外の管理 ■ 第22章 更新の設定とクライアントコンピュータ保護の更新 174 ■ 第23章 レポートとログを使った保護の監視 ■ 第24章 通知の管理 ■ 第25章 ドメインの管理 ■ 第26章 管理者アカウントの管理 10 クライアントコンピュータのグ ループの管理 この章では以下の項目について説明しています。 ■ クライアントのグループの管理 ■ グループを構成する方法 ■ 既存の組織構造のインポート ■ グループの追加 ■ クライアントソフトウェアをインストールする前のグループへのクライアントの割り当て ■ グループの継承の有効化と無効化 ■ グループへのクライアント追加の遮断 ■ 割り当てられたコンピュータの表示 ■ 別のグループへのクライアントコンピュータの移動 クライアントのグループの管理 Symantec Endpoint Protection Manager では、グループはクライアントソフトウェアを 実行するエンドポイントのコンテナとして機能します。これらのエンドポイントは、コンピュー タかユーザーのどちらかになります。ネットワークセキュリティの管理を簡単にするため、 類似したセキュリティニーズを持つクライアントをグループに編成します。 Symantec Endpoint Protection Manager は次のデフォルトグループを含んでいます。 ■ My Company グループは最上位、または親のグループです。子グループのフラット ツリーを含んでいます。 176 第 10 章 クライアントコンピュータのグループの管理 クライアントのグループの管理 ■ Default Group は My Company のサブグループです。クライアントは事前定義済 みのグループに属さなければ、最初に Symantec Endpoint Protection Manager に登録するとき Default Group に最初に割り当て済みです。Default Group の下 にサブグループを作成することはできません。 メモ: デフォルトグループは名前を変更または削除できません。 表 10-1 グループ管理の処理 タスク 説明 グループの作成または削除 p.177 の 「グループを構成する方法」 を参照してください。 p.180 の 「グループの追加」 を参照してください。 メモ: グループを計画するときに、場所も計画できます。 p.215 の 「リモートクライアントの場所の管理」 を参照してください。 既存のグループのインポート 組織に既存のグループ構造がすでにある場合、組織単位として グループをインポートできます。 メモ: Symantec Endpoint Protection Manager で作成したグ ループを管理する方法では、インポートした組織単位を管理でき ません。 p.178 の 「既存の組織構造のインポート」 を参照してください。 サブグループの継承の無効化 サブグループは親グループから同じセキュリティの設定をデフォ ルトで継承します。継承は無効にできます。 p.181 の 「グループの継承の有効化と無効化」 を参照してくださ い。 基本的な保守の実行 管理を簡単にするためにグループを移動したり、グループ間でク ライアントを移動したり、クライアントに関する基本情報の一部を 表示または変更したりすることができます。また、特定のグループ にクライアントが追加されないようにすることもできます。 p.182 の 「グループへのクライアント追加の遮断」 を参照してくだ さい。 グループ内の場所の作成 クライアントの物理的な位置が変更された場合は異なるセキュリ ティポリシーに自動的に切り替えるようにクライアントを設定できま す。 p.215 の 「リモートクライアントの場所の管理」 を参照してください。 一部のセキュリティ設定はグループ別であり、一部の設定は場所 固有のものです。場所固有の設定をカスタマイズできます。 p.225 の 「場所に対する通信の設定」 を参照してください。 第 10 章 クライアントコンピュータのグループの管理 グループを構成する方法 タスク 説明 クライアントソフトウェアをインス p.180 の 「クライアントソフトウェアをインストールする前のグループ トールする前のグループへのク へのクライアントの割り当て」 を参照してください。 ライアントの割り当て グループのセキュリティポリシー 各グループのニーズに基づいてセキュリティポリシーを作成でき の管理 ます。さらに別々のポリシーを別々のグループまたは場所に割り 当てられます。 p.226 の 「リモートクライアントのセキュリティポリシーの強化につ いて」 を参照してください。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 グループを構成する方法 会社の組織構造と一致するために複数のグループとサブグループを作成できます。機 能、役割、地理、基準の組み合わせにグループ構造を基づかせることができます。 グループを作成するための基準 表 10-2 基準 説明 機能 ノートパソコン、デスクトップ、サーバーなど、管理されるべきコンピュータのタイプ に基づいてグループを作成できます。また、使用法の種類に基づいている複数の グループを作成できます。たとえば、持ち歩くクライアントのために Mobile グルー プを作成し、オフィスに残るクライアントのために Local グループを作成します。 役割 販売、エンジニアリング、財務、マーケティングなど、部門の役割のグループを作成 できます。 地理 コンピュータがあるオフィス、都市、州、地域、国に基づいてグループを作成できま す。 組み合わせ 基準の組み合わせに基づいてグループを作成できます。たとえば、機能と役割を 使うことができます。 次のシナリオのように、役割ごとに親グループを追加して機能ごとに子サブグルー プを追加できます。 ■ ノートパソコン、デスクトップ、サーバーのサブグループを含む販売。 ■ ノートパソコン、デスクトップ、サーバーのサブグループを含むエンジニアリン グ。 たとえば、会社に通信販売部と経理部があるとします。会社のニューヨーク、ロンドン、フ ランクフルトオフィスにこれらの部門のスタッフがいます。両方の部門のすべてのコンピュー 177 178 第 10 章 クライアントコンピュータのグループの管理 既存の組織構造のインポート タは同じ更新元からウイルス定義とセキュリティリスク定義の更新を受信するように同じグ ループに割り当てられています。ただし、IT レポートは通信販売部が経理部よりリスクに 脆弱であることを示しています。その結果、システム管理者は通信販売グループと経理グ ループを別々に作成します。通信販売のクライアントはユーザーがウイルス対策とセキュ リティリスク対策をどのように操作できるかを厳しく限定する設定を共有します。 Symantec Endpoint Protection クライアントと Symantec Network Access Control ク ライアントの両方がインストールされている場合、Symantec Endpoint Protection クライ アントと Symantec Network Access Control クライアントを個別のグループに維持しま す。 ナレッジベースの「Best Practices for Creating Group Structure」を参照してください。 p.175 の 「クライアントのグループの管理」 を参照してください。 既存の組織構造のインポート Active Directory サーバーまたは LDAP ディレクトリサーバーからユーザーアカウントと コンピュータアカウントに関する情報をインポートして、同期化できます。グループ構造、 つまり組織単位(OU)をインポートできます。Symantec Endpoint Protection では自動 的に[クライアント]タブのグループをディレクトリサーバーのグループと同期化できます。 インポートしたグループは、インポート後に[クライアント]タブを使って管理することはでき ません。インポートした組織単位内で、グループの追加、削除、移動はできません。 インポートした組織単位にセキュリティポリシーを割り当てられます。また、インポートした 組織単位から、[クライアントの表示]ペインのリストに表示されている他のグループにユー ザーをコピーできます。グループがインポートされる前にグループに割り当てられていた ポリシーが優先されます。ユーザーアカウントは、組織単位と外部グループの両方に置く ことができます。外部グループに適用されていたポリシーが優先されます。 表 10-3 組織単位をインポートするためのタスク タスク 説明 組織単位のインポートを計画する Symantec Endpoint Protection Manager が Active Directory または LDAP サーバーから OU のユー ザー、コンピュータ、グループ構造全体を自動的に同 期する方法を計画できます。 p.611 の 「組織単位と LDAP サーバーについて」 を参 照してください。 第 10 章 クライアントコンピュータのグループの管理 既存の組織構造のインポート タスク 説明 ディレクトリサーバーを追加する データをインポートする前に Active Directory サー バーからのユーザーをフィルタ処理することはできま せん。LDAP サーバーの場合は、データをインポート する前にユーザーをフィルタ処理できます。したがっ て、データをフィルタ処理する必要がある場合は、 LDAP と互換性がある Active Directory サーバーを LDAP サーバーとして追加します。 p.618 の 「ディレクトリサーバーの追加」 を参照してくだ さい。 ディレクトリサーバーと Symantec Endpoint Protection Manager の間で ユーザーアカウントとコンピュータアカウン トについての情報を同期する ユーザーアカウントとコンピュータアカウントについて の情報をインポートしてディレクトリサーバーと Symantec Endpoint Protection Manager の間で同 期することができます。 p.613 の 「ディレクトリサーバーと Symantec Endpoint Protection Manager 間のユーザーアカウントの同 期」 を参照してください。 LDAP ディレクトリサーバー上のユーザー ユーザーに関する情報を管理サーバーにインポート を検索する するときは、LDAP サーバー上のユーザーを検索す る必要があります。 p.613 の 「LDAP ディレクトリサーバー上のユーザーの 検索」 を参照してください。 LDAP ディレクトリサーバー検索結果リスト LDAP サーバーの検索結果リストからユーザーをイン からユーザーをインポートする ポートできます。 p.616 の 「LDAP ディレクトリサーバー検索結果リストか らのユーザーのインポート」 を参照してください。 Active Directory サーバーまたは LDAP Active Directory サーバーまたは LDAP ディレクトリ ディレクトリサーバーから組織単位をイン サーバーから組織単位をインポートできます。 ポートする p.617 の 「Active Directory または LDAP サーバーか らの組織単位のインポート」 を参照してください。 LDAP サーバーからユーザーアカウントと LDAP サーバーからユーザーアカウントとコンピュー コンピュータアカウントの情報をインポート タアカウントの情報をインポートできます。 する p.612 の 「LDAP ディレクトリサーバーからのユーザー とコンピュータアカウントの情報のインポートについて」 を参照してください。 組織単位を同期する 組織単位を同期できます。 p.612 の 「組織単位の同期について」 を参照してくだ さい。 179 180 第 10 章 クライアントコンピュータのグループの管理 グループの追加 グループの追加 組織のグループ構造を定義した後で、グループを追加できます。 グループの説明の長さは最大 1024 文字です。グループ名には、次の文字を除く任意 の文字を使うことができます。[” / ¥ * ? < > | :] グループの説明には制限はありません。 メモ: Default Group にグループを追加することはできません。 p.177 の 「グループを構成する方法」 を参照してください。 グループを追加するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、新しいサブグループを追加するグループを選択します。 3 [クライアント]タブの[タスク]で、[グループの追加]をクリックします。 4 [<グループ名 > のグループを追加]ダイアログボックスで、グループ名と説明を入力 します。 5 [OK]をクリックします。 クライアントソフトウェアをインストールする前のグループ へのクライアントの割り当て クライアントソフトウェアをインストールする前に、クライアントをそれぞれのグループに割り 当てることができます。このタスクを最初に実行する場合、インストールとは別にクライアン トにセキュリティポリシーを割り当てることができます。この場合、クライアントは、クライアン トインストールパッケージで指定されたグループから、セキュリティポリシーを受信しませ ん。その代わり、クライアントはインストール前に、指定したグループに割り当てられます。 ユーザー名またはコンピュータ名に基づいてクライアントを追加します。クライアントを複 数のグループに追加することはできません。 p.198 の 「ユーザーモードとコンピュータモードの間でのクライアントの切り替え」 を参照し てください。 メモ: 管理サーバーが新しいクライアントがグループに追加されることを遮断しないことを 確かめます。 p.182 の 「グループへのクライアント追加の遮断」 を参照してください。 第 10 章 クライアントコンピュータのグループの管理 グループの継承の有効化と無効化 クライアントソフトウェアをインストールする前に、クライアントをグループに割り当てるに は 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、クライアントを追加するグループを見つけま す。 3 [クライアント]タブの[タスク]で、次のいずれかの処理を行います。 4 ■ ユーザーモードについては、[ユーザーアカウントの追加]をクリックします。ユー ザー名を入力します。ユーザーが Windows ドメインの一部の場合は、ドメイン 名を入力します。ユーザーがワークグループの一部の場合は、[ローカルコン ピューターにログオン]をクリックします。 ■ コンピュータモードについては、[コンピュータアカウントの追加]をクリックします。 コンピュータ名を入力してから Windows ドメイン名または Workgroup を入力し ます。 [OK]をクリックします。 グループの継承の有効化と無効化 グループ構造において、サブグループは、その親グループから場所、ポリシー、設定を 最初に自動的に継承します。デフォルトでは、すべてのグループに対して継承が有効に なっています。サブグループに別のセキュリティのオプションを設定できるように継承を無 効にできます。変更後に継承を有効にした場合は、サブグループの設定に加えた変更 内容はすべて上書きされます。 p.175 の 「クライアントのグループの管理」 を参照してください。 グループの継承を有効または無効にするには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、継承を無効または有効にするグループを 選択します。 最上位のグループ、My Company を除くグループを選択できます。 3 [ <グループ名 >]ペインの[ポリシー]タブで、次のいずれかの処理を行います。 ■ 継承を無効にするには、[ポリシーと設定を親グループ「グループ名」から継承す る]のチェックマークをはずします。 ■ 継承を有効にするには、[ポリシーと設定を親グループ「グループ名」から継承す る]にチェックマークを付け、次に進むかどうかの確認を求められたら、[はい]を クリックします。 181 182 第 10 章 クライアントコンピュータのグループの管理 グループへのクライアント追加の遮断 グループへのクライアント追加の遮断 グループの所属がすでに定義されているクライアントインストールパッケージを設定でき ます。パッケージのグループを定義した場合、クライアントは自動的に適切なグループに 追加されます。クライアントは初めて管理サーバーに接続するときに、グループに追加さ れます。 p.120 の 「クライアントインストールパッケージの管理」 を参照してください。 クライアントがネットワークに接続するときに、特定のグループに自動的に追加されること を望まない場合は、遮断オプションを有効にできます。 遮断オプションは、ユーザーが自動的にグループに追加されることを防ぎます。新しいク ライアントが、クライアントインストールパッケージで割り当てられているグループに追加さ れるのを防ぐことができます。この場合、クライアントはデフォルトグループに追加されま す。コンピュータを、遮断されたグループに手動で移動できます。 クライアントがグループに追加されないように遮断するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]でグループを右クリックし、[プロパティ]をクリックします。 3 [詳細]タブの[タスク]で、[グループプロパティの編集]をクリックします。 4 [<グループ名 > のグループのプロパティ]ダイアログボックスで、[新しいクライアント の遮断]をクリックします。 5 [OK]をクリックします。 割り当てられたコンピュータの表示 コンピュータが正しいグループに割り当てられていることを検証できます。 割り当てられているコンピュータを表示するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[コンピュータ]タブで、グループをクリックします。 p.175 の 「クライアントのグループの管理」 を参照してください。 別のグループへのクライアントコンピュータの移動 クライアントコンピュータが正しいグループにない場合、別のグループに移動できます。 クライアントコンピュータを別のグループに移動するには 1 コンソールで、[コンピュータ]をクリックします。 2 [クライアント]ページの[コンピュータ]タブで、グループを選択します。 第 10 章 クライアントコンピュータのグループの管理 別のグループへのクライアントコンピュータの移動 3 [クライアント]タブの選択したグループで、コンピュータを選択して、[移動]を右クリッ クします。 複数のコンピュータを選択するには、Shift キーまたは Ctrl キーを使います。 4 [クライアントの移動]ダイアログボックスで、新しいグループを選択します。 5 [OK]をクリックします。 p.175 の 「クライアントのグループの管理」 を参照してください。 183 184 第 10 章 クライアントコンピュータのグループの管理 別のグループへのクライアントコンピュータの移動 11 クライアントの管理 この章では以下の項目について説明しています。 ■ クライアントコンピュータの管理 ■ クライアントの保護の状態アイコンについて ■ クライアントとクライアントコンピュータの保護状態の表示 ■ [クライアント]タブに表示するクライアントのフィルタ処理 ■ クライアントコンピュータについての情報の検索 ■ クライアントコンピュータのプロパティの表示 ■ 保護の有効化と無効化について ■ クライアントコンピュータで実行できるコマンドについて ■ クライアントコンピュータでのコンソールからのコマンド実行 ■ ユーザーモードとコンピュータモードの間でのクライアントの切り替え ■ 不明なデバイスを検出するようにクライアントを設定する ■ 管理外クライアントから管理下クライアントへの変換 ■ クライアントインターフェースへのアクセスについて ■ 混合制御について ■ ユーザー制御レベルの変更 ■ ユーザーインターフェースのオプション設定 ■ ユーザー情報の収集 ■ クライアントのパスワード保護 186 第 11 章 クライアントの管理 クライアントコンピュータの管理 クライアントコンピュータの管理 表 11-1 では、クライアントソフトウェアをインストールした後にコンピュータで行う必要があ るタスクを示します。その他のタスクは後で実行できます。 表 11-1 クライアントコンピュータを管理するためのタスク タスク 説明 クライアントとサーバー間の接 続を設定する クライアントソフトウェアをインストールした後、クライアントコンピュータは次のハートビートのと きに管理サーバーに自動的に接続します。接続の状態を検査し、発生している可能性のある 接続の問題をトラブルシューティングできます。 p.598 の 「管理サーバーとクライアントコンピュータ間の接続の管理」 を参照してください。 クライアントソフトウェアがエンド ■ 他のデバイスにクライアントソフトウェアがインストールされていないことを検出するように、 ポイントにインストールされてい クライアントコンピュータを設定できます。このようなデバイスには、保護されていないコン ることを確認する ピュータが含まれる場合があります。検出した後は、クライアントソフトウェアをそのコンピュー タにインストールできます。 p.199 の 「不明なデバイスを検出するようにクライアントを設定する」 を参照してください。 ■ 各グループ内でクライアントソフトウェアがまだインストールされていないコンピュータを表 示できます。 p.190 の 「[クライアント]タブに表示するクライアントのフィルタ処理」 を参照してください。 ■ クライアントをグループに追加し、後でクライアントソフトウェアをインストールできます。 p.123 の 「クライアントの配備方法について」 を参照してください。 クライアントコンピュータの保護 クライアントソフトウェアがインストールされているかどうか、そしてクライアントが適切な保護レ レベルが適切であることを確認 ベルを提供しているかどうかを確認できます。 する ■ クライアントコンピュータでの各保護技術の状態を表示できます。 p.189 の 「クライアントとクライアントコンピュータの保護状態の表示」 を参照してください。 p.187 の 「クライアントの保護の状態アイコンについて」 を参照してください。 ■ レポートを実行するか、ログを表示して、保護の強化またはパフォーマンスの改善が必要 かどうかを判断します。たとえば、スキャンで誤認が起きることがあります。保護の必要なク ライアントコンピュータを識別することもできます。 p.533 の 「エンドポイント保護の監視」 を参照してください。 ■ クライアントソフトウェアまたはクライアントコンピュータの特定の属性に基づいて、保護を 修正できます。 p.191 の 「クライアントコンピュータについての情報の検索」 を参照してください。 第 11 章 クライアントの管理 クライアントの保護の状態アイコンについて タスク 説明 クライアントコンピュータでの保 ■ レポートとログの結果に基づいて、各種類の保護を強化または緩和できます。 護を調整する p.232 の 「セキュリティポリシーの種類」 を参照してください。 p.41 の 「Symantec Endpoint Protection が提供する脅威防止の種類について」 を参 照してください。 ■ 問題の診断またはパフォーマンスの改善が必要な場合、クライアントコンピュータでの保 護を一時的に無効にできます。 p.193 の 「保護の有効化と無効化について」 を参照してください。 p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してくださ い。 ■ クライアントでパスワードを要求することができます。 p.210 の 「クライアントのパスワード保護」 を参照してください。 グループ間でエンドポイントを クライアントコンピュータの保護レベルを変更するには、より保護の厳しい、または緩いグルー 移動し、保護を変更する(省略 プにコンピュータを移動できます。 可能) p.182 の 「別のグループへのクライアントコンピュータの移動」 を参照してください。 ユーザーがコンピュータの保護 クライアントコンピュータでの保護についてユーザーが可能な制御の種類を指定できます。 を制御できるようにする(省略 ■ [ウイルスとスパイウェアの対策]と[プロアクティブ脅威防止]については、チェックボックス 可能) のチェックマークを付けたりはずしたりして、ユーザーが個別の設定を変更できるかどうか を指定できます。 p.240 の 「ポリシー設定のロックおよびロック解除」 を参照してください。 ■ ファイアウォールポリシー、IPS ポリシー、一部のクライアントユーザーインターフェースの 設定については、ユーザー制御レベルをさらに一般的に変更できます。 p.204 の 「ユーザー制御レベルの変更」 を参照してください。 ■ ユーザーがクライアントのフルコントロールを必要とする場合は、管理対象外クライアント をインストールできます。 p.201 の 「管理外クライアントから管理下クライアントへの変換」 を参照してください。 クライアントソフトウェアをコン 使用しなくなったコンピュータのライセンスを別のコンピュータで使用する場合は、一定の日 ピュータから削除する(省略可 数の経過後にデータベースからクライアントを削除できます。クライアントを削除すると、デー 能) タベースの領域を節約することもできます。 p.131 の 「クライアントのアンインストール」 を参照してください。 クライアントの保護の状態アイコンについて クライアントとサーバーが通信するかどうか調べることができます。 187 188 第 11 章 クライアントの管理 クライアントの保護の状態アイコンについて 表 11-2 アイコン 管理コンソールのクライアントの状態アイコン 説明 このアイコンは次の状態を示します。 ■ クライアントは Symantec Endpoint Protection Manager と通信できる ■ クライアントはコンピュータモードを使用している このアイコンは次の状態を示します。 クライアントは Symantec Endpoint Protection Manager と通信できな い ■ クライアントはコンピュータモードを使用している ■ ■ クライアントがコンソールから追加され、シマンテック製クライアントソフト ウェアがインストールされていない可能性がある このアイコンは次の状態を示します。 ■ クライアントは Symantec Endpoint Protection Manager と通信できる ■ クライアントはコンピュータモードを使用している ■ クライアントは管理外検出になっている このアイコンは次の状態を示します。 クライアントは Symantec Endpoint Protection Manager と通信できな い ■ クライアントはコンピュータモードを使用している ■ ■ クライアントは管理外検出になっている このアイコンは次の状態を示します。 ■ クライアントは Symantec Endpoint Protection Manager と通信できる ■ クライアントはユーザーモードを使用している このアイコンは次の状態を示します。 クライアントは Symantec Endpoint Protection Manager と通信できな い ■ クライアントはユーザーモードを使用している ■ ■ クライアントがコンソールから追加され、シマンテック製クライアントソフト ウェアがインストールされていない可能性がある このアイコンは次の状態を示します。 クライアントは、別のサイトの Symantec Endpoint Protection Manager と通信できる ■ クライアントはコンピュータモードを使用している ■ 第 11 章 クライアントの管理 クライアントとクライアントコンピュータの保護状態の表示 アイコン 説明 このアイコンは次の状態を示します。 クライアントは、別のサイトの Symantec Endpoint Protection Manager と通信できる ■ クライアントはコンピュータモードを使用している ■ ■ クライアントは管理外検出になっている このアイコンは次の状態を示します。 クライアントは、別のサイトの Symantec Endpoint Protection Manager と通信できる ■ クライアントはユーザーモードを使用している ■ p.189 の 「クライアントとクライアントコンピュータの保護状態の表示」 を参照してください。 クライアントとクライアントコンピュータの保護状態の表 示 ネットワークのクライアントとコンピュータのリアルタイムな操作状態と保護状態についての 情報を表示できます。 次のものを表示できます。 ■ クライアントがインストールされていない管理下クライアントコンピュータのリスト。 コンピュータ名、ドメイン名、ログオンしているユーザー名を表示できます。 ■ どの保護が有効で、どの保護が無効か。 ■ どのクライアントコンピュータが最新のポリシーと定義を備えているか。 ■ グループのポリシーシリアル番号とクライアントのバージョン番号。 ■ コンピュータが使うネットワークカードの MAC アドレスなど、クライアントコンピュータの ネットワークコンポーネントについての情報。 ■ 利用可能なディスク容量やオペレーティングシステムのバージョン番号など、クライア ントコンピュータについてのシステム情報。 特定のクライアントの状態を把握した後、クライアントコンピュータのセキュリティの問題を 解決できます。グループに対してコマンドを実行することで、多くの問題を解決できます。 たとえば、コンテンツを更新したり、Auto-Protect を有効にしたりできます。 メモ: レガシークライアントを管理している場合、新しい保護技術の一部は、[報告してい ません]と表示されることがあります。これは正常な動作です。これは、これらのクライアン トに対して処理を行う必要があることを意味していません。 189 190 第 11 章 クライアントの管理 [クライアント]タブに表示するクライアントのフィルタ処理 p.187 の 「クライアントの保護の状態アイコンについて」 を参照してください。 p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してくださ い。 p.192 の 「クライアントコンピュータのプロパティの表示」 を参照してください。 p.190 の 「[クライアント]タブに表示するクライアントのフィルタ処理」 を参照してください。 クライアントとクライアントコンピュータの保護の状態を表示するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、情報を取得する対象のクライアントを含む グループを検索します。 3 [クライアント]タブで、[表示]ドロップダウンリストをクリックします。次に、カテゴリを選 択します。 右下にあるテキストボックスにページ番号を入力することにより特定のページに直接 移動できます。 [クライアント]タブに表示するクライアントのフィルタ処理 オペレーティングシステムまたはアカウントの種類に基づいて、グループのどのクライアン トを[クライアント]タブに表示するかを決定できます。どのコンピュータが管理サーバーに 接続されているかを表示または非表示にすることができます。また各ページに表示するク ライアント数を設定することによりリストをもっと簡単に管理できるようになります。 メモ: オペレーティングシステムまたはアカウントの種類に基づいて、グループのどのクラ イアントを[クライアント]タブに表示するかを決定できます。どのコンピュータが管理サー バーに接続されているかを表示または非表示にすることができます。また各ページに表 示するクライアント数を設定することによりリストをもっと簡単に管理できるようになります。 管理サーバーによって保持され、1 人の管理者または限定管理者のログイン名を使って 保存される新しいクライアント表示フィルタの設定が利用できるようになっています。管理 者がフィルタ条件を設定すると、その条件はその管理者のために保持されます。別の管 理者には、各自が設定したフィルタのみが表示されます。 p.189 の 「クライアントとクライアントコンピュータの保護状態の表示」 を参照してください。 p.187 の 「クライアントの保護の状態アイコンについて」 を参照してください。 [クライアント]タブに表示するユーザーとコンピュータを決定するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ペインで、検索するグループを選択します。 3 [クライアント]タブの[タスク]で、[表示フィルタの設定]をクリックします。 第 11 章 クライアントの管理 クライアントコンピュータについての情報の検索 4 [表示フィルタの設定]ダイアログボックスの[プラットフォームの種類]で、Windows コンピュータ と Mac コンピュータのいずれか、または両方の表示を選択します。 5 [クライアントの種類]で、クライアントをユーザーモードまたはコンピュータモードの どちらで表示するかを選択します。 p.198 の 「ユーザーモードとコンピュータモードの間でのクライアントの切り替え」 を参 照してください。 6 [クライアントソフトウェアをインストールしていない新しいコンピュータまたはユーザー] にチェックマークを付けるかはずします。 7 リストを短くするには、[ページごとの結果]をクリックして各ページに表示する結果の 数を入力します。 有効な値は 1 から 1000 です。 8 [OK]をクリックします。 クライアントコンピュータについての情報の検索 ネットワークのセキュリティについて情報に基づく決定を行うためにクライアント、クライア ントコンピュータ、ユーザーについての情報を検索できます。たとえば、Sales グループの どのコンピュータが最新のオペレーティングシステムを実行しているかを見つけることがで きます。または、財務グループのどのクライアントコンピュータが最新のウイルス対策定義 をインストールする必要があるかを調べることができます。[クライアント]ページのグルー プの各クライアントについての情報を表示できます。クライアントの数が多すぎる場合は、 検索の範囲を狭くすることができます。 p.189 の 「クライアントとクライアントコンピュータの保護状態の表示」 を参照してください。 テキストファイルにクエリーに含まれているデータをエクスポートできます。 メモ: ユーザーに関する情報を最大限に検索するには、クライアントソフトウェアのインス トール時またはそれ以降にユーザー情報を収集する必要があります。このユーザー情報 は、クライアントの[プロパティの編集]ダイアログボックスの[全般]タブと[ユーザー情報] タブにも表示されます。 p.209 の 「ユーザー情報の収集」 を参照してください。 ユーザー、クライアント、コンピュータについての情報を検索するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]タブの[クライアントの表示]で、検索するグループを選択します。 3 [タスク]で、[クライアントの検索]をクリックします。 191 192 第 11 章 クライアントの管理 クライアントコンピュータのプロパティの表示 4 [クライアントの検索]ダイアログボックスの[検索]ドロップダウンリストで、[コンピュー タ]または[ユーザー]を選択します。 5 Default Group 以外のグループを選択するには[参照]をクリックします。 6 [グループの選択]ダイアログボックスでグループを選択してから、[OK]をクリックし ます。 7 [検索基準]で[検索フィールド]ドロップダウンリストをクリックしてから、検索に使う基 準を選択します。 8 [比較演算子]ドロップダウンリストをクリックしてから、比較演算子を選択します。 検索基準では、標準ブール演算子を使えます。 9 [値]セルに検索文字列を入力します。 10 [検索]をクリックします。 テキストファイルに結果をエクスポートできます。 11 [閉じる]をクリックします。 クライアントコンピュータのプロパティの表示 各ユーザーとコンピュータには、プロパティページがあります。編集できるフィールドは、 [全般]タブの[説明]フィールドだけです。 ページには次のタブが含まれます。 ■ 全般 コンピュータのグループ、ドメイン、ログオン名、ハードウェア構成に関する情報が表 示されます。 ■ ネットワーク コンピュータの DNS サーバー、DHCP サーバー、WINS サーバー、IP アドレスに関 する情報が表示されます。 ■ クライアント クライアントコンピュータから集められた情報が表示されます。この情報には、コンピュー タ上で実行されるクライアントの種類が含まれます。さらに、特定のソフトウェアとポリ シーの情報のリストも表示されます。この情報には、クライアントソフトウェアのバージョ ン、現在のプロファイルのシリアル番号、現在のシグネチャのシリアル番号、最終オン ライン日時が含まれます。 ■ ユーザー情報 コンピュータに現在ログオンしているユーザーに関する情報が表示されます。この情 報は、管理者がユーザー情報の収集を有効にしたときにポピュレートされます。 p.209 の 「ユーザー情報の収集」 を参照してください。 第 11 章 クライアントの管理 保護の有効化と無効化について クライアントコンピュータのプロパティを表示するには 1 コンソールで、[クライアント]をクリックします。 2 プロパティを表示するクライアントのグループを選択します。 3 [クライアント]タブで目的のクライアントを右クリックし、[プロパティの編集]をクリック します。 4 [<クライアント名 >]ダイアログボックスに、クライアントに関する情報が表示されます。 5 [OK]をクリックします。 保護の有効化と無効化について 一般に、クライアントコンピュータの保護技術は常に有効にしておきます。 クライアントコンピュータに問題がある場合は、一時的にすべての保護技術または個別の 保護技術を無効にする必要が生じる場合があります。たとえば、アプリケーションが動作 しない、または正しく動作しない場合は、ネットワーク脅威防止を無効にすることができま す。すべての保護技術を無効にした後も問題がある場合は、問題がクライアントではない ことを確認できます。 警告: トラブルシューティングの操作が完了したら、コンピュータの保護を継続できるよう に、必ずすべての保護を有効にしてください。 表 11-3 に各保護技術を無効にする理由を記述します。 193 194 第 11 章 クライアントの管理 保護の有効化と無効化について 表 11-3 保護技術 保護技術を無効にする目的 保護技術を無効にする目的 ウイルス対策とスパイウェ この保護を無効にする場合は、Auto-Protect のみを無効にします。 ア対策 管理者またはユーザーが設定している場合は定時スキャンまたは起動時スキャンが動作します。 Auto-Protect は次の理由で有効と無効を切り替える場合があります。 Auto-Protect はドキュメントを開くのを遮断することがあります。たとえば、マクロがある Microsoft Word を開く場合に、Auto-Protect が開くことを許可しないことがあります。ドキュメントが安全 であることがわかっている場合には、Auto-Protect を無効にできます。 ■ ウイルスの影響によるものでないことがわかっていてもウイルスのような活動が確認された場合 には、Auto-Protect が警告することがあります。たとえば、新しいコンピュータアプリケーション のインストール時に警告が表示されることがあります。インストールするアプリケーションが複数 あり、このような警告の表示を避けたい場合、Auto-Protect を一時的に無効にできます。 ■ Auto-Protect は Windows のドライバの交換と干渉することがあります。 ■ ■ Auto-Protect はクライアントコンピュータの速度を低下させることがあります。 メモ: Auto-Protect を無効にすると、ダウンロードインサイトを有効にしていてもダウンロードインサ イトも無効になります。SONAR もヒューリスティックな脅威を検出できません。ホストファイルとシステ ムの変更の SONAR 検出は引き続き機能します。 p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してください。 Auto-Protect によってアプリケーションで問題が起きる場合は、永続的に保護を無効にするよりも 例外を作成する方が適切です。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 プロアクティブ脅威防止 次の理由でプロアクティブ脅威防止を無効にすることがあります。 ■ 脅威ではないことがわかっている脅威について表示される警告が多すぎます。 ■ プロアクティブ脅威防止はクライアントコンピュータの速度を低下させることがあります。 p.349 の 「クライアントコンピュータでの SONAR 設定の調整」 を参照してください。 第 11 章 クライアントの管理 クライアントコンピュータで実行できるコマンドについて 保護技術 保護技術を無効にする目的 ネットワーク脅威防止 次の理由でネットワーク脅威防止を無効にすることがあります。 ■ ファイアウォールが遮断することがあるアプリケーションをインストールします。 ■ ファイアウォールまたは侵入防止システムによりネットワーク接続に関係する問題が発生します。 ■ ファイアウォールはクライアントコンピュータの速度を低下させることがあります。 ■ アプリケーションを開くことができません。 p.417 の 「ネットワーク侵入防止とブラウザ侵入防止の有効化と無効化」 を参照してください。 ネットワーク脅威防止が問題の原因であることがわからない場合は、すべての保護技術を無効にす る必要があることがあります。 ユーザーがネットワーク脅威防止を有効または無効にできないように、この機能を設定することがで きます。保護を無効にできるタイミングと期間について、次のような制限を設定することもできます。 クライアントが許可するトラフィック(すべてのトラフィックまたはアウトバウンドトラフィックのみのい ずれか) ■ 保護が無効になる期間 ■ ■ クライアントの再起動までに保護を無効にできる回数 p.207 の 「ユーザーインターフェースのオプション設定」 を参照してください。 改変対策 改変対策は通常は有効にしておくことをお勧めします。 多くの誤認検出を受け取る場合、改変対策を一時的に無効にすることもできます。誤認検出の例 外を作成できます。 p.358 の 「改変対策の設定の変更」 を参照してください。 クライアントコンピュータで実行できるコマンドについて コンソールから個々のクライアントまたはグループ全体でコマンドをリモートで実行できま す。 クライアントコンピュータでの問題をトラブルシューティングするために、保護を有効や無 効にできます。 p.193 の 「保護の有効化と無効化について」 を参照してください。 195 196 第 11 章 クライアントの管理 クライアントコンピュータで実行できるコマンドについて 表 11-4 クライアントコンピュータで実行できるコマンド コマンド 説明 スキャン クライアントコンピュータでオンデマンドスキャンを実行します。 スキャンコマンドを実行し、カスタムスキャンを選択すると、スキャンでは [管理者定義のスキャン]ページで管理者が設定したコマンドスキャン設 定が使われます。このコマンドでは、選択したクライアントコンピュータに 適用されるウイルスとスパイウェアの対策ポリシーの設定が使われます。 p.290 の 「クライアントコンピュータでのオンデマンドスキャンの実行」 を 参照してください。 すべてのスキャンを中止 クライアントコンピュータで現在実行しているすべてのスキャンをキャン セルします。 コンテンツの更新 クライアントコンピュータで LiveUpdate セッションを開始してクライアン トのコンテンツを更新します。クライアントは Symantec LiveUpdate か ら最新のコンテンツを受信します。 p.498 の 「Symantec Endpoint Protection Manager の LiveUpdate ダウンロードスケジュールの設定」 を参照してください。 コンテンツの更新とスキャ LiveUpdate セッションを開始してコンテンツを更新し、クライアントコン ン ピュータでオンデマンドスキャンを実行します。 クライアントコンピュータ の再起動 クライアントコンピュータを再起動します。 ユーザーがクライアントにログオンすると、管理者がそのクライアントに 対して設定したオプションに基づいて、再起動が警告されます。[全般 の設定]タブで、クライアントの再起動オプションを設定できます。 p.129 の 「クライアントコンピュータの再起動」 を参照してください。 メモ: 一部の再起動オプションは、Mac クライアントと Windows クライ アントで適用結果が異なります。 第 11 章 クライアントの管理 クライアントコンピュータでのコンソールからのコマンド実行 コマンド 説明 Auto-Protect を有効に クライアントコンピュータのファイルシステムに対して Auto-Protect を有 する 効にします。 デフォルトでは、ファイルシステムに対する Auto-Protect は有効になっ ています。ユーザーによる設定の変更を許可する場合、または Auto-Protect を無効にする場合は、コンソールから Auto-Protect を 有効にする必要があります。設定をロックしてクライアントコンピュータの ユーザーが Auto-Protect を無効にできないようにすることができます。 p.320 の 「Windows クライアントの Auto-Protect のカスタマイズ」 を参 照してください。 p.322 の 「クライアントコンピュータで実行できるコマンドについて」p.322 の を参照してください。 電子メールの Auto-Protect を有効または無効にする場合は、ウイルス とスパイウェアの対策ポリシーにその設定を含める必要があります。 [ネットワーク脅威防止を 有効にする]および[ネッ トワーク脅威防止を無効 にする] クライアントコンピュータでファイアウォールと侵入防止を有効や無効に します。 メモ: Mac クライアントコンピュータでは、このコマンドは処理されませ ん。 p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してくださ い。 p.557 の 「クライアントコンピュータでのログからのコマンド実行」 を参照してください。 限定管理者がこれらのコマンドの一部に対する権利を持つように、またはどのコマンドに 対する権利も持たないように設定できます。 p.582 の 「限定管理者のアクセス権の設定」 を参照してください。 クライアントコンピュータでのコンソールからのコマンド実 行 管理下クライアントでは、実行するコマンドがユーザーが実行するコマンドより優先されま す。クライアントコンピュータ上でコマンドと処理が実行される順序は、コマンドごとに異な ります。コマンドが開始される場所に関係なく、コマンドと処理は同じ方法で実行されま す。 これらのコマンドはクライアントで、[コンピュータの状態]ログからも実行できます。 p.557 の 「クライアントコンピュータでのログからのコマンド実行」 を参照してください。 p.195 の 「クライアントコンピュータで実行できるコマンドについて」 を参照してください。 197 198 第 11 章 クライアントの管理 ユーザーモードとコンピュータモードの間でのクライアントの切り替え クライアントコンピュータでコンソールからコマンドを実行するには 1 コンソールで、[クライアント]をクリックし、[コンピュータ]で、コマンドを実行するコン ピュータを含むグループを選択します。 2 次のいずれかの操作を実行します。 3 4 ■ 左ペインの[コンピュータ]で、コマンドを実行するグループを右クリックします。 ■ 右ペインの[クライアント]タブで、コマンドを実行するコンピュータまたはユーザー を選択し、右クリックします。 次のいずれかのコマンドをクリックします。 ■ [グループでコマンドを実行]、[<コマンド>]の順にクリックします。 ■ [クライアントでコマンドを実行]、[<コマンド>]の順にクリックします。 メッセージが表示されたら、[OK]をクリックします。 ユーザーモードとコンピュータモードの間でのクライアン トの切り替え グループに属するクライアントにポリシーを適用する方法に基づいて、ユーザーモードま たはコンピュータモードになるようにクライアントを追加します。ユーザーやコンピュータを グループに追加すると、グループに割り当てられているポリシーが使われます。 クライアントを追加するときは、ユーザーモードに優先するコンピュータモードにデフォル トで設定されます。 モード 説明 コンピュータモード クライアントコンピュータは、そのコンピュータがメンバーになっているグルー プからポリシーを取得します。コンピュータにログオンしているユーザーに関 係なく、クライアントは同じポリシーを使ってコンピュータを保護します。ポリ シーはコンピュータが存在しているグループに従います。コンピュータモー ドがデフォルト設定です。多くの組織はクライアントの大半をコンピュータモー ドで設定します。ネットワーク環境に基づいて、特別な必要条件を持つ少数 のクライアントをユーザーとして設定したいことがあります。 ユーザーモード クライアントコンピュータは、ユーザーがメンバーになっているグループから ポリシーを取得します。クライアントにログオンしているユーザーに応じて、ポ リシーが変更されます。ポリシーがユーザーに従います。 p.180 の 「クライアントソフトウェアをインストールする前のグループへのクライアントの割り 当て」 を参照してください。 コンピュータ名が別のグループにすでに含まれている場合、ユーザーモードからコンピュー タモードに切り替えることはできません。コンピュータモードへの切り替えにより、クライア 第 11 章 クライアントの管理 不明なデバイスを検出するようにクライアントを設定する ントのユーザー名がグループから削除され、クライアントのコンピュータ名がグループに 追加されます。 ユーザーのログオン名とコンピュータ名がグループにすでに含まれている場合はコン ピュータモードからユーザーモードに切り替えることはできません。ユーザーモードへの 切り替えにより、クライアントのコンピュータ名がグループから削除されます。次に、クライ アントのユーザー名がグループに追加されます。 コンピュータモードで追加するクライアントは管理外検出として有効にでき、権限がない デバイスを検出するために使うことができます。 p.199 の 「不明なデバイスを検出するようにクライアントを設定する」 を参照してください。 ユーザーモードとコンピュータモードの間でクライアントを切り替えるには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、ユーザーまたはコンピュータが含まれるグ ループを選択します。 3 [クライアント]タブで、表中のコンピュータ名またはユーザー名を右クリックし、[コン ピュータモードに切り替え]または[ユーザーモードに切り替え]を選択します。 このモードはトグルで切り替わる設定なので、常にどちらかが表示されます。表に表 示される情報は、新しい設定を反映して変わります。 不明なデバイスを検出するようにクライアントを設定する 権限がないデバイスは会議室での物理アクセスや不正な無線アクセスポイントなどの多 くの方法でネットワークに接続できます。あらゆるエンドポイントにポリシーを強制するに は、新しいデバイスの存在をすばやく検出できる必要があります。不明なデバイスは管理 外でクライアントソフトウェアを実行しないデバイスです。デバイスが安全であるかどうかを 判断する必要があります。不明なデバイスを検出するように管理外検出としてクライアント を有効にすることができます。 デバイスが開始するとき、オペレーティングシステムは他のコンピュータにデバイスの存 在を知らせるように ARP トラフィックをネットワークに送信します。管理外検出として有効 になっているクライアントは ARP パケットの情報を収集して管理サーバーに送信します。 管理サーバーはデバイスの MAC アドレスと IP アドレスのための ARP パケットを検索し ます。サーバーはこれらのアドレスをサーバーのデータベースの既存の MAC アドレスと IP アドレスのリストと比較します。サーバーがアドレス一致を見つけることができなければ サーバーはそのデバイスを新規として記録します。その後にデバイスが安全であるかどう かを決定できます。クライアントは情報のみを送信するので、追加リソースを使いません。 プリンタなどの特定のデバイスを無視するように管理外検出を設定できます。管理外検出 が不明なデバイスを検出したときに通知するように電子メール通知を設定することもでき ます。 管理外検出としてクライアントを設定するには、次の処理をする必要があります。 199 200 第 11 章 クライアントの管理 不明なデバイスを検出するようにクライアントを設定する ■ ネットワーク脅威防止を有効にする p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してくだ さい。 ■ クライアントをコンピュータモードに切り替える p.198 の 「ユーザーモードとコンピュータモードの間でのクライアントの切り替え」 を参 照してください。 ■ 常時稼動のコンピュータにクライアントをインストールする ■ Symantec Endpoint Protection クライアントのみを管理外検出として有効にする Symantec Network Access Control クライアントを管理外検出にすることはできませ ん。 権限がないデバイスを検出するようにクライアントを設定するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアントの表示]で、管理外検出として有効にするクライアントを含むグループ を選択します。 3 [クライアント]タブで、管理外検出として有効にするクライアントを右クリックしてから [管理外検出として有効にする]をクリックします。 4 1 つ以上のデバイスを管理外検出による検出から除外するように指定するには、[管 理外検出の設定]をクリックします。 5 [<クライアント名> の管理外検出例外]ダイアログボックスで、[追加]をクリックしま す。 6 [管理外検出例外の追加]ダイアログボックスで、次のいずれかのオプションをクリッ クします。 ■ [IP アドレス範囲の検出を除外する]をクリックしてから、複数のデバイスのため の IP アドレス範囲を入力します。 ■ [MAC アドレスの検出を除外する]をクリックしてから、デバイスの MAC アドレス を入力します。 7 [OK]をクリックします。 8 [OK]をクリックします。 クライアントが検出する権限がないデバイスのリストを表示するには 1 コンソールで[ホーム]をクリックします。 2 [ホーム]ページの[セキュリティの状態]セクションで、[詳細情報]をクリックします。 3 [セキュリティ状態の詳細]ダイアログボックスで、[不明なデバイスのエラー]の表に スクロールします。 4 ダイアログボックスを閉じます。 第 11 章 クライアントの管理 管理外クライアントから管理下クライアントへの変換 管理外クライアントから管理下クライアントへの変換 ユーザーが製品ディスクからクライアントをインストールした場合、クライアントは管理外に なり管理サーバーと通信しません。 次のどちらかの方法を使って管理外クライアントを管理下クライアントに変換できます。 ■ クライアントを管理下コンピュータとしてインストールします。 この方法では、クライアントソフトウェアを再インストールして、管理外クライアントを管 理下クライアントに変換します。 p.115 の 「クライアントインストールの準備」 を参照してください。 ■ サーバー通信設定をインポートします。 この方法では、サーバー通信設定をインポートして、管理外クライアントを管理下クラ イアントに変換します。 サーバー通信設定をインポートする場合は、次の手順に従います。 ■ クライアントを含めるグループのすべての通信の設定を含んでいるファイルをエクス ポートします。 デフォルトファイル名はグループ名_sylink.xml です。 ■ クライアントコンピュータにファイルを配備します。 ネットワーク上の場所にファイルを保存するか、またはクライアントコンピュータの個々 のユーザーに送信できます。 ■ クライアントコンピュータで、管理者またはユーザーがファイルをインポートします。 クライアントコンピュータを再起動する必要はありません。 クライアントは管理サーバーにただちに接続します。管理サーバーは通信ファイルで 指定されているグループにクライアントを配置します。クライアントはグループのポリ シーと設定によって更新されます。クライアントと管理サーバーが通信すると、緑のドッ トが付いた通知領域アイコンがクライアントコンピュータのタスクバーに表示されます。 管理外クライアントはパスワード保護されないので、ユーザーはクライアントのパスワード を必要としません。ただし、ユーザーがパスワード保護される管理下クライアントにファイ ルをインポートしようとする場合は、ユーザーはパスワードを入力する必要があります。パ スワードはポリシーをインポートするか、またはエクスポートするために使われるものと同じ です。 p.210 の 「クライアントのパスワード保護」 を参照してください。 また別のサーバーに管理下クライアントをリダイレクトする必要がある場合もあります。 p.958 の 「SylinkDrop ツールを使ったクライアントの通信設定の修復」 を参照してくださ い。 p.639 の 「グループと場所への管理サーバーリストの割り当て」 を参照してください。 201 202 第 11 章 クライアントの管理 管理外クライアントから管理下クライアントへの変換 サーバーから通信設定をエクスポートするには 1 コンソールで、[クライアント]をクリックします。 2 [クライアントの表示]で、クライアントを表示するグループを選択します。 3 グループを右クリックしてから、[通信設定のエクスポート]をクリックします。 4 [<グループ名> の通信設定のエクスポート]ダイアログボックスで、[参照]をクリック します。 5 [エクスポートファイルの選択]ダイアログボックスで .xml ファイルのエクスポート先の フォルダを検索してから、[OK]をクリックします。 6 [<グループ名> の通信設定のエクスポート]ダイアログボックスで、次のオプションの いずれかを選択します。 7 ■ コンピュータがメンバーとして所属するグループからポリシーを適用するには、 [コンピュータモード]をクリックします。 ■ ユーザーがメンバーとして所属するグループからポリシーを適用するには、[ユー ザーモード]をクリックします。 [エクスポート]をクリックします。 ファイル名がすでに存在する場合、上書きするには[OK]、新しいファイル名のファ イルを保存するには[キャンセル]をクリックします。 変換を終えるためには、管理者またはユーザーはクライアントコンピュータに通信設 定をインポートする必要があります。 サーバー通信設定をクライアントにインポートするには 1 管理下クライアントに変換するコンピュータで Symantec Endpoint Protection を 開きます。 2 右上の[ヘルプとサポート]をクリックし、[トラブルシューティング]をクリックします。 3 [トラブルシューティング]ダイアログボックスで、[通信の設定]の[インポート]をクリッ クします。 4 [通信設定のインポート]ダイアログボックスで、<グループ名_sylink>.xml ファイル を選択して[開く]をクリックします。 5 [閉じる]をクリックして[トラブルシューティング]ダイアログボックスを閉じます。 通信ファイルをインポートし、クライアントと管理サーバーが通信を開始すると、通知 領域アイコンがコンピュータのタスクバーに表示されます。緑のドットはクライアントと 管理サーバーが相互に通信していることを示します。 第 11 章 クライアントの管理 クライアントインターフェースへのアクセスについて クライアントインターフェースへのアクセスについて ユーザーに許可する Symantec Endpoint Protection クライアントの操作レベルを指定 できます。ユーザーが設定できる機能を選択します。たとえば、表示する通知数を制御し たり、ファイアウォールルールと、ウイルスとスパイウェアのスキャンを作成するユーザーの 権限を制限できます。また、ユーザーにユーザーインターフェースへのフルアクセスを許 可することもできます。 ユーザーインターフェースについてユーザーがカスタマイズできる機能は、管理設定と呼 ばれます。パスワード保護のように、クライアント機能の一部にはユーザーがアクセスでき ないものがあります。 ユーザーの操作レベルを指定するために、ユーザーインターフェースを次の方法でカス タマイズできます。 ■ ウイルスとスパイウェアの設定の場合は、設定のロックまたはロック解除ができます。 ■ ファイアウォールの設定、侵入防止の設定、一部のクライアントユーザーインターフェー スの設定の場合は、ユーザー制御レベルを設定して、関連するオプションを設定でき ます。 ■ クライアントをパスワードで保護できます。 p.210 の 「クライアントのパスワード保護」 を参照してください。 混合制御について 混合制御下のクライアントについて、管理オプションのうちユーザーが設定するものと、 ユーザーに設定させないものを決定できます。管理オプションには、ファイアウォールポ リシー、侵入防止ポリシー、クライアントユーザーインターフェースの各設定が含まれま す。 各オプションを、サーバー制御またはクライアント制御に割り当てることができます。クライ アント制御では、設定の有効化または無効化ができるのはユーザーだけです。サーバー 制御では、設定の有効化または無効化ができるのは管理者だけです。クライアント制御 は、デフォルトのユーザー制御レベルです。オプションをサーバー制御に割り当てたら、 次に、Symantec Endpoint Protection Manager コンソールの対応するページまたは ダイアログボックスで設定を行います。たとえば、ファイアウォールポリシーでファイアウォー ルの設定を有効にできます。ログは、[クライアント]ページの[ポリシー]タブにある[クライ アントログの設定]ダイアログボックスで設定できます。 次の種類の設定を行うことができます。 ■ ユーザーインターフェースの設定 p.417 の 「ネットワーク侵入防止とブラウザ侵入防止の有効化と無効化」 を参照してく ださい。 ■ 一般的なネットワーク脅威防止の設定 203 204 第 11 章 クライアントの管理 ユーザー制御レベルの変更 p.369 の 「混合制御のファイアウォール設定」 を参照してください。 ■ ファイアウォールポリシーの設定 p.363 の 「Symantec Endpoint Protection ファイアウォールについて」 を参照してく ださい。 ■ 侵入防止ポリシーの設定 p.417 の 「ネットワーク侵入防止とブラウザ侵入防止の有効化と無効化」 を参照してく ださい。 ユーザー制御レベルの変更 特定の保護技術機能とクライアントユーザーインターフェース設定を Symantec Endpoint Protection クライアントでユーザーが設定できるかどうかを決定できます。どの設定を利 用可能にするかを決定するには、ユーザー制御レベルを指定します。ユーザー制御レベ ルでは、クライアントが完全に不可視になるか、一部の機能を表示するか、全ユーザーイ ンターフェースを表示するかを決定します。 Symantec Endpoint Protection の 12.1 より前のリリースでは、クライアント制御からサー バー制御に変更すると、ポリシーが次にクライアントに配布されるときに、ロックの状態に 関係なく、すべての設定がそのサーバー制御のデフォルト値に戻ります。12.1 では、ロッ クはすべての制御モードで有効です。ロック解除された設定は、サーバー制御モードとク ライアント制御モードでは次のように動作します。 ■ サーバー制御では、ロック解除された設定を変更することはできますが、次のポリシー が適用されるときに上書きされます。 ■ クライアント制御では、クライアントで修正された設定がサーバー設定に優先します。 それらの設定は、新しいポリシーでロックされている場合を除き、新しいポリシーが適 用されても上書きされません。 メモ: サーバー制御では、Symantec Network Access Control クライアントだけが実行 されます。ユーザーがユーザーインタフェースのオプションを設定することはできません。 第 11 章 クライアントの管理 ユーザー制御レベルの変更 表 11-5 ユーザー制御レベル ユーザー制御レベル 説明 サーバー制御 ユーザーは最小レベルでクライアントを制御できます。サーバー制御 は管理設定をロックして、ユーザーが設定できないようにします。 サーバー制御には次の特性があります。 ユーザーはファイアウォールルール、アプリケーション固有の設 定、ファイアウォール設定、侵入防止設定、ネットワーク脅威防止 ログとクライアント管理ログを設定または有効化できません。 Symantec Endpoint Protection Manager で、クライアントのファ イアウォールルールとセキュリティ設定はすべて管理者が設定し ます。 ■ ユーザーはログ、クライアントのトラフィック履歴、クライアントが実 行するアプリケーションのリストを表示できます。 ■ 管理者は、特定のユーザーインターフェース設定とファイアウォー ル通知をクライアントで表示または非表示にするように設定できま す。たとえば、管理者はクライアントユーザーインターフェースを 隠すことができます。 ■ サーバー制御で管理者が行う設定は、クライアントユーザーインター フェースでは淡色表示または非表示になります。 新しい場所を作成した場合、その場所は自動的にサーバー制御に 設定されます。 クライアント制御 ユーザーは最大レベルでクライアントを制御できます。クライアント制 御は管理設定をロック解除して、ユーザーが設定できるようにします。 クライアント制御には次の特性があります。 ユーザーはファイアウォールルール、アプリケーション固有のオプ ション、ファイアウォール通知、ファイアウォールのオプション、侵 入防止のオプション、クライアントユーザーインターフェースのオ プションを設定または有効化できます。 ■ クライアントは、管理者がクライアントに対して設定したファイア ウォールルールを無視します。 ■ クライアント制御は、離れた場所または自宅でクライアントコンピュー タを使用する従業員に与えることができます。 205 206 第 11 章 クライアントの管理 ユーザー制御レベルの変更 ユーザー制御レベル 説明 混合制御 ユーザーは混合レベルでクライアントを制御できます。 混合制御には次の特性があります。 ユーザーはファイアウォールルールとアプリケーション固有の設定 を設定できます。 ■ 管理者はファイアウォールルールを設定でき、管理者のルールは ユーザーが設定したルールよりも優先される場合と優先されない 場合があります。ファイアウォールポリシーのルールリストでのサー バールールの位置により、サーバールールがクライアントルール よりも優先されるかどうかが決まります。 ■ クライアントでユーザーにより有効化と設定ができるオプションと、 できないオプションを指定できます。これらの設定には、ネットワー ク脅威防止ログ、クライアント管理ログ、ファイアウォール設定、侵 入防止設定、一部のユーザーインターフェース設定が含まれま す。 ■ 設定がロック解除されている場合でも、管理者はクライアントの設 定を無効にするようにウイルス対策設定とスパイウェア対策設定を 行うことができます。たとえば、管理者が Auto-Protect 機能をロッ ク解除し、ユーザーがその機能を無効にした場合、管理者は Auto-Protect を有効にできます。 ■ クライアントに対して管理者が設定したオプションは、ユーザーが利 用可能です。サーバー制御で管理者が行う設定は、クライアントユー ザーインターフェースでは淡色表示または非表示になります。 p.203 の 「混合制御について」 を参照してください。 一部の管理設定には、依存関係があります。たとえば、ユーザーがファイアウォールルー ルを設定する権限を有していても、クライアントユーザーインターフェースにアクセスでき ないことがあります。ユーザーは[ファイアウォールルールの設定]ダイアログボックスにア クセスできないので、ルールを作成できません。 それぞれの場所について、異なるユーザー制御レベルを設定できます。 メモ: サーバーに検疫ポリシーが適用されると、クライアント制御または混合制御下で動 作しているクライアントはサーバー制御に切り替えられます。 ユーザー制御レベルを変更するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアントの表示]で、場所を修正するグループを選択します。 3 [ポリシー]タブをクリックします。 第 11 章 クライアントの管理 ユーザーインターフェースのオプション設定 4 [場所固有のポリシーと設定]で、修正する場所の下の[場所固有の設定]を展開し ます。 5 [クライアントユーザーインターフェース制御の設定]の右側で、[タスク]、[設定の編 集]の順にクリックします。 6 デフォルトのクライアントユーザーインターフェイス制御の設定ダイアログボックスで、 次のいずれかの操作を行います。 7 ■ [サーバー制御]、[カスタマイズ]の順にクリックします。 必要な設定を行った後、[OK]をクリックします。 ■ [クライアント制御]をクリックします。 ■ [混合制御]、[カスタマイズ]の順にクリックします。 必要な設定を行った後、[OK]をクリックします。 ■ Symantec Network Access Control クライアントの場合は、[クライアントを表示 する]および[通知領域アイコンを表示する]をクリックできます。 [OK]をクリックします。 p.207 の 「ユーザーインターフェースのオプション設定」 を参照してください。 p.240 の 「ポリシー設定のロックおよびロック解除」 を参照してください。 ユーザーインターフェースのオプション設定 次のいずれかのタスクを実行して、クライアントのユーザーインターフェースを設定できま す。 ■ クライアントのユーザー制御レベルをサーバー制御に設定する。 ■ クライアントのユーザー制御レベルを混合制御に設定し、[クライアント/サーバー制御 の設定]タブで親機能を[サーバー]に設定する。 たとえば、[通知領域アイコンの表示/非表示]オプションを[クライアント]に設定でき ます。通知領域アイコンがクライアントに表示され、ユーザーがそのアイコンの表示ま たは非表示を選択できます。[通知領域アイコンの表示/非表示]を[サーバー]に設 定した場合は、クライアントに通知領域アイコンを表示するかどうかは管理者が決定 します。 混合制御でユーザーインターフェースを設定するには 1 ユーザー制御レベルを混合制御に変更します。 p.204 の 「ユーザー制御レベルの変更」 を参照してください。 2 [場所名 のクライアントユーザーインターフェース制御の設定]ダイアログボックスで、 [混合制御]の横にある[カスタマイズ]をクリックします。 207 208 第 11 章 クライアントの管理 ユーザーインターフェースのオプション設定 3 4 [クライアントユーザーインターフェース混合制御の設定]ダイアログボックスの[クラ イアント/サーバー制御の設定]タブで、次のいずれかの操作を行います。 ■ サーバーからのみ設定するオプションをロックします。ロックするオプションにつ いて、[サーバー]をクリックします。 ここで[サーバー]に設定したウイルス対策とスパイウェア対策の設定が、クライア ントの設定よりも優先されます。 ■ ユーザーがクライアントでオプションを設定できるように、ロックを解除します。ク ライアントでオプションを設定できるように、[クライアント]をクリックします。クライ アントは、ウィルスとスパイウェアの設定を除くすべての設定で、デフォルトで選 択されています。 [サーバー]に設定した次のオプションは、[クライアントユーザーインターフェースの 設定]タブをクリックして設定します。 通知領域アイコンの表示/非表示 通知領域アイコンを表示する ネットワーク脅威防止の有効と無効を切り 替える ユーザーがネットワーク脅威防止の有効と無効 を切り替えるのを許可する [ネットワークセキュリティのテスト]メニュー ユーザーによるセキュリティテストの実行を許可 コマンド する 不一致 IP トラフィックの設定 IP トラフィックまたはアプリケーショントラフィック のみを許可し、アプリケーショントラフィックを許 可する前にユーザーにメッセージを表示する 侵入防止通知の表示/非表示 侵入防止通知を表示する [サーバー]に設定した他のオプションをコンソールのどの場所で設定するかについ て詳しくは、[ヘルプ]をクリックしてください。ファイアウォールの設定と侵入防止の 設定は、ファイアウォールポリシーと侵入防止ポリシーで有効に設定します。 p.368 の 「基本的なネットワークサービスの通信の自動的な許可」 を参照してくださ い。 p.371 の 「潜在的な攻撃と詐称の試行の検出」 を参照してください。 p.417 の 「ネットワーク侵入防止とブラウザ侵入防止の有効化と無効化」 を参照して ください。 5 [クライアントユーザーインターフェースの設定]タブで、クライアントで利用可能にす るオプションのチェックボックスにチェックマークを付けます。 6 [OK]をクリックします。 7 [OK]をクリックします。 第 11 章 クライアントの管理 ユーザー情報の収集 サーバー制御でユーザーインターフェースを設定するには 1 ユーザー制御レベルを混合制御に変更します。 p.204 の 「ユーザー制御レベルの変更」 を参照してください。 2 [場所名 のクライアントユーザーインターフェース制御の設定]ダイアログボックスで、 [サーバー制御]の横にある[カスタマイズ]をクリックします。 3 [クライアントユーザーインターフェースの設定]ダイアログボックスで、ユーザーが使 用できるようにクライアントに表示するオプションのチェックボックスにチェックマーク を付けます。 4 [OK]をクリックします。 5 [OK]をクリックします。 ユーザー情報の収集 クライアントソフトウェアのインストール処理中またはポリシーの更新中に、クライアントコン ピュータのユーザーに自分自身の情報を入力させるように設定することができます。従業 員の携帯電話番号、役職名、電子メールアドレスなどの情報を収集できます。収集した 情報は、手動で保守と更新を行う必要があります。 メモ: クライアントコンピュータでメッセージを表示するように初めて設定し、ユーザーが要 求された情報を入力した後は、メッセージが再び表示されることはありません。フィールド を編集したり、メッセージを無効にしてから再び有効にした場合でも、クライアントで新し いメッセージは表示されません。ただし、ユーザーはいつでも情報を編集することができ、 管理サーバーはその情報を取得します。 p.120 の 「クライアントインストールパッケージの管理」 を参照してください。 ユーザー情報を収集するには 1 コンソールで、[管理]をクリックし、[インストールパッケージ]をクリックします。 2 [インストールパッケージの表示]で、[クライアントインストールパッケージ]をクリック します。 3 [クライアントインストールパッケージ]ペインで、ユーザー情報を収集する対象のパッ ケージをクリックします。 4 [タスク]で、[ユーザー情報収集の設定]をクリックします。 5 [ユーザー情報収集の設定]ダイアログボックスで、[ユーザー情報の収集]にチェッ クマークを付けます。 6 [ポップアップメッセージ]テキストボックスに、情報を要求するときユーザーに対して 表示するメッセージを入力します。 209 210 第 11 章 クライアントの管理 クライアントのパスワード保護 7 ユーザーがユーザー情報の収集を延期できるようにする場合は、[後で通知を有効 にする]にチェックマークを付けて、時刻を分単位で設定します。 8 [ユーザーが入力できるように表示するフィールドを選択してください]で、収集する 情報の種類を選択して[追加]をクリックします。 Shift キーまたは Ctrl キーを押すと、1つまたは複数のフィールドを同時に選択でき ます。 9 ユーザーの入力を省略可能にするフィールドの[省略可能]列のチェックボックスに、 チェックマークを付けます。 10 [OK]をクリックします。 クライアントのパスワード保護 ユーザーが特定のタスクを実行するときには常に、クライアントコンピュータでパスワード 保護を要求することにより、企業のセキュリティを向上できます。 ユーザーが次の操作のいずれかを実行するときに、ユーザーにパスワード入力を要求で きます。 ■ クライアントユーザーインターフェースを開く。 ■ クライアントを停止する。 ■ セキュリティポリシーをインポート、エクスポートする。 ■ クライアントをアンインストールする。 パスワード保護の設定を修正できるのは、親グルーブから継承されていない下位グルー プについてだけです。 p.203 の 「クライアントインターフェースへのアクセスについて」 を参照してください。 クライアントをパスワード保護するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、パスワード保護を設定するグループを選択します。 3 [ポリシー]タブの[場所に依存しないポリシーと設定]で、[全般の設定]をクリックし ます。 4 [セキュリティの設定]をクリックします。 5 [セキュリティの設定]タブで、次のいずれかのチェックボックスにチェックマークを付 けます。 ■ クライアントユーザーインターフェースを開くためのパスワードを要求する ■ クライアントサービスを停止するためのパスワードを要求する ■ ポリシーをインポートまたはエクスポートするためのパスワードを要求する 第 11 章 クライアントの管理 クライアントのパスワード保護 ■ 6 クライアントをアンインストールするためのパスワードを要求する [パスワード]テキストボックスにパスワードを入力します。 パスワードは 15 文字以内に制限されています。 7 [パスワードの確認]テキストボックスに、再びパスワードを入力します。 8 [OK]をクリックします。 211 212 第 11 章 クライアントの管理 クライアントのパスワード保護 12 リモートクライアントの管理 この章では以下の項目について説明しています。 ■ リモートクライアントの管理 ■ リモートクライアントの場所の管理 ■ クライアントの場所の認識の有効化 ■ グループへの場所の追加 ■ デフォルトの場所の変更 ■ グループの場所の削除 ■ ネットワーク検出条件の設定シナリオ 1 ■ ネットワーク検出条件の設定シナリオ 2 ■ 場所に対する通信の設定 ■ リモートクライアントのセキュリティポリシーの強化について ■ リモートクライアントの通知の有効化について ■ リモートクライアントのログ管理設定のカスタマイズ ■ リモートクライアントの負荷分散とローミングの管理 ■ リモートクライアントの監視について リモートクライアントの管理 ネットワークには、異なる場所からネットワークに接続するクライアントが含まれることがあ ります。これらのクライアントは、ネットワーク内からのみ接続するクライアントとは異なる方 法で管理することが必要な場合もあります。常にリモートから VPN に接続するクライアン トや、従業員が出張するため複数の場所から接続するクライアントを管理する必要がある 214 第 12 章 リモートクライアントの管理 リモートクライアントの管理 例もあります。また、管理者が制御する範囲外にあるコンピュータのセキュリティを管理し なければならない場合があります。たとえば、お客様、受託業者、製造元、ビジネスパー トナーにネットワークへの限定的なアクセスを許可します。一部の従業員は自分のパーソ ナルコンピュータを使ってネットワークに接続することがあるため、これらのクライアントは 異なる方法で管理する必要があるでしょう。 これらのどの場合にも、より高い危険度に対処する必要があります。接続やクライアントコ ンピュータの安全性がより低い場合があったり、制御できる範囲が狭いクライアントが存在 する場合があったりします。ネットワークセキュリティ全体に対するこれらのリスクを最小限 にするには、クライアントがネットワークへの接続で使うさまざまな種類のリモートアクセス を評価する必要があります。その後、評価に基づいてより厳しいセキュリティポリシーを適 用できます。 クライアントがもたらすセキュリティリスクのために異なる方法でネットワークに接続するク ライアントを管理するため、Symantec Endpoint Protection' の場所の認識を使って作 業できます。 クライアントの場所に基づいて、ネットワークにより大きいリスクをもたらすクライアントに異 なるポリシーを適用します。Symantec Endpoint Protection における場所は、クライア ントコンピュータがネットワークに接続するために使う接続の種類として定義されます。場 所には、接続が企業ネットワークの内部と外部のどちらに配置されているかについての情 報も含まれます。 場所はクライアントのグループに対して定義します。その後で、それぞれの場所に異なる ポリシーを割り当てます。一部のセキュリティ設定は場所にかかわらずグループ全体に割 り当てることができます。いくつかの設定は、場所に応じて異なります。 表 12-1 リモートクライアントの管理 タスク 説明 セキュリティリスクの評価に基づいて p.175 の 「クライアントのグループの管理」 を参照してくださ グループを設定する い。 リモートクライアントのグループの場 p.215 の 「リモートクライアントの場所の管理」 を参照してくだ 所を設定する さい。 場所の通信設定を指定する p.225 の 「場所に対する通信の設定」 を参照してください。 セキュリティポリシーを強化する p.226 の 「リモートクライアントのセキュリティポリシーの強化に ついて」 を参照してください。 クライアントの通知をオンにする p.228 の 「リモートクライアントの通知の有効化について」 を参 照してください。 クライアントのログ管理設定をカスタ p.228 の 「リモートクライアントのログ管理設定のカスタマイズ」 マイズする を参照してください。 第 12 章 リモートクライアントの管理 リモートクライアントの場所の管理 タスク 説明 負荷分散とローミングを管理する p.229 の 「リモートクライアントの負荷分散とローミングの管理」 を参照してください。 リモートクライアントを監視する p.229 の 「リモートクライアントの監視について」 を参照してく ださい。 リモートクライアントの場所の管理 管理の必要なグループを設定した後で、場所を追加できます。セキュリティ戦略上必要 であれば、グループごとに異なる場所を設定できます。Symantec Endpoint Protection Manager コンソールで、場所に基づいて自動ポリシー切り替えをトリガする条件を設定 します。場所の認識は、クライアントが満たしている場所条件に基づいて、指定するセキュ リティポリシーを自動的にクライアントに適用します。 場所条件にはさまざまな基準を利用できます。たとえば、IP アドレス、ネットワーク接続の 種類、クライアントコンピュータが管理サーバーに接続できるかどうか、などを利用できま す。クライアント接続は、指定する基準に基づいて許可したり遮断したりできます。 p.213 の 「リモートクライアントの管理」 を参照してください。 場所は、それを作成したグループと、そのグループを継承するサブグループに適用され ます。ベストプラクティスは、どのクライアントでも My Company グループレベルで使うこ とができる場所を作成することです。その後、サブグループレベルで特定のグループの 場所を作成します。 作成するグループと場所が少ないほうが、セキュリティポリシーと設定の管理が簡単にな ります。ただし、ネットワークの複雑さとセキュリティの必要条件によって、より多くのグルー プと場所が必要になることがあります。必要となるセキュリティ設定、ログ関連の設定、通 信設定、ポリシーの数によって、作成するグループと場所の数が決まります。 一部の設定オプションはリモートクライアント用にカスタマイズできますが、これらは場所 に依存しません。これらのオプションは、親グループから継承されるか、単独で設定され ます。すべてのリモートクライアントが含まれる 1 つのグループを作成する場合、場所に 依存しない設定はグループ内のクライアントの設定と同じになります。 次の設定は場所に依存しません。 ■ カスタム侵入防止シグネチャ ■ システムロックダウンの設定 ■ ネットワークアプリケーション監視の設定 ■ LiveUpdate コンテンツポリシーの設定 ■ クライアントログの設定 ■ クライアントサーバー通信の設定 215 216 第 12 章 リモートクライアントの管理 リモートクライアントの場所の管理 ■ 場所の認識や改変対策などの、全般的なセキュリティ関連の設定 クライアントログの処理方法など、これらの場所に依存しない設定をカスタマイズするに は、別々のグループを作成する必要があります。 一部の設定は場所に固有です。 p.225 の 「場所に対する通信の設定」 を参照してください。 ベストプラクティスとして、ユーザーが次の保護をオフにすることを許可しないでください。 ■ Auto-Protect ■ SONAR ■ レガシークライアントの場合は TruScan プロアクティブ脅威スキャン ■ 改変対策 ■ 作成済みのファイアウォールルール 表 12-2 実行できる場所の認識タスク タスク 説明 場所の計画 使う場所を決定するために環境内で必要なセキュリティポリシーの種 類を検討します。 それから各場所の定義に使う基準を決定できます。 ベストプラクティスは、グループと場所を同時に計画することです。 p.175 の 「クライアントのグループの管理」 を参照してください。 次の情報を参照してください。 p.221 の 「ネットワーク検出条件の設定シナリオ 1」 を参照してくださ い。 p.222 の 「ネットワーク検出条件の設定シナリオ 2」 を参照してくださ い。 場所の認識を有効にする クライアントの接続元の場所によってクライアントに割り当てられるポリ シーを制御するには、場所の認識を有効にします。 p.217 の 「クライアントの場所の認識の有効化」 を参照してください。 場所の追加 グループに場所を追加できます。 p.218 の 「グループへの場所の追加」 を参照してください。 第 12 章 リモートクライアントの管理 クライアントの場所の認識の有効化 タスク 説明 デフォルトの場所の割り当 すべてのグループにデフォルトの場所を設定する必要があります。コ て ンソールをインストールするとき、Default と呼ばれるたった 1 つの場 所があります。新しいグループを作成するとき、デフォルトの場所は常 に Default です。他の場所を追加した後で、デフォルトの場所を変更 できます。 デフォルトの場所は、以下の場合に使用します。 複数の場所の 1 つが場所の基準に適合するが、前回の場所が 基準に適合していない場合 ■ 場所の認識を使っていて、基準に適合する場所がない場合 ■ ■ ポリシーで場所または場所の名前が変更され、新しいポリシーを 受け取ったときにクライアントがデフォルトの場所に戻る場合 p.219 の 「デフォルトの場所の変更」 を参照してください。 場所の通信オプションの設 場所ごとに管理サーバーとクライアント間の通信設定を設定すること 定 もできます。 p.225 の 「場所に対する通信の設定」 を参照してください。 場所の削除 ネットワーク内の使われなくなったか有用ではなくなった場所を削除 できます。 p.220 の 「グループの場所の削除」 を参照してください。 ナレッジベースの「Best Practices for Symantec Endpoint Protection Location Awareness」を参照してください。 クライアントの場所の認識の有効化 クライアントの接続場所によってクライアントに割り当てられるポリシーを作成するには、ク ライアントの場所の認識を有効にします。 p.215 の 「リモートクライアントの場所の管理」 を参照してください。 p.218 の 「グループへの場所の追加」 を参照してください。 [前回の場所を記憶する]にチェックマークを付けた場合には、クライアントがネットワーク に接続すると、前回使われた場所のポリシーが割り当てられます。場所の認識が有効な 場合には、クライアントは数秒後に適切なポリシーに自動的に切り替わります。特定の場 所に関連付けられているポリシーによってクライアントのネットワーク接続が決まります。場 所の認識が無効な場合には、クライアントがサーバー制御であっても、クライアントは手動 で任意の場所に切り替えることができます。検疫場所が有効な場合には、クライアントは しばらくして検疫ポリシーに切り替わる場合があります。 [前回の場所を記憶する]のチェックマークをはずした場合には、クライアントがネットワー クに接続すると、デフォルトの場所のポリシーが割り当てられます。クライアントは、前回 217 218 第 12 章 リモートクライアントの管理 グループへの場所の追加 使った場所に接続できません。場所の認識が有効な場合には、クライアントは数秒後に 適切なポリシーに自動的に切り替わります。特定の場所に関連付けられているポリシー によってクライアントのネットワーク接続が決まります。場所の認識が無効な場合には、ク ライアントがサーバー制御であっても、ユーザーは手動で任意の場所に切り替えることが できます。検疫場所が有効な場合には、クライアントはしばらくして検疫ポリシーに切り替 わる場合があります。 クライアントの場所の認識を有効にするには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、場所の自動切り替えを実装するグループ を選択します。 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 4 [場所に依存しないポリシーと設定]で、[全般の設定]をクリックします。 5 [全般の設定]ダイアログボックスの[全般の設定]タブの[場所の設定]で、[前回の 場所を記憶する]にチェックマークを付けます。 デフォルトでは、このオプションは有効になっています。クライアントは、最初、クライ アントがネットワークに前回接続した場所に関連付けられているポリシーに割り当て られます。 6 [場所の認識を有効にする]にチェックマークを付けます。 デフォルトでは場所の認識は有効です。クライアントはユーザーがネットワークに接 続しようとしている場所に関連付けられているポリシーに自動的に割り当てられます。 7 [OK]をクリックします。 グループへの場所の追加 グループに場所を追加するときは、グループ内のクライアントをその場所に切り替える条 件を指定します。場所の認識は、その場所に適切なポリシーと設定を適用する場合にの み有効になります。 p.175 の 「クライアントのグループの管理」 を参照してください。 p.226 の 「リモートクライアントのセキュリティポリシーの強化について」 を参照してくださ い。 グループに場所を追加するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、1 つ以上の場所を追加するグループを選 択します。 第 12 章 リモートクライアントの管理 デフォルトの場所の変更 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 場所を追加できるのは、親グループからポリシーを継承していないグループのみで す。 [場所の追加]をクリックして[場所の追加]ウィザードを実行することもできます。 4 [クライアント]ページの[タスク]で、[場所の管理]をクリックします。 5 [場所の管理]ダイアログボックスの[場所]で、[追加]をクリックします。 6 [場所の追加]ダイアログボックスで、新しい場所の名前と説明を入力し、[OK]をク リックします。 7 [この場所に切り替えるタイミング]ボックスの右側で、[追加]をクリックします。 8 [種類]リストで条件を選択し、条件の適切な定義を選択します。 クライアントコンピュータが指定された条件を満たしている場合、コンピュータはその 条件の場所に切り替わります。 9 [OK]をクリックします。 10 さらに条件を追加するには、[追加]をクリックし、[AND 関係の基準]または[OR 関 係の基準]を選択します。 11 手順 8 から 9 を繰り返します。 12 [OK]をクリックします。 デフォルトの場所の変更 Symantec Endpoint Protection Manager が最初にインストールされるときには、「デ フォルト」という 1 つの場所のみがあります。その時点で、すべてのグループのデフォルト の場所は「デフォルト」です。すべてのグループにデフォルトの場所を設定する必要があ ります。新しいグループを作成するとき、Symantec Endpoint Protection Manager コン ソールは自動的にデフォルトのロケーションの「デフォルト」を作ります。 p.215 の 「リモートクライアントの場所の管理」 を参照してください。 他の場所を追加した後にグループのデフォルトの場所にするために別の場所を指定で きます。自宅や出張先のような場所をデフォルトの場所に指定することもできます。 グループのデフォルトの場所は、以下の場合に使います。 ■ 複数の場所の 1 つが場所の基準に適合するが、前回の場所が基準に適合していな い場合 ■ 場所の認識を使っていて、基準に適合する場所がない場合 ■ ポリシーで場所または場所の名前が変更され、新しいポリシーを受け取ったときにク ライアントがデフォルトの場所に戻る場合 219 220 第 12 章 リモートクライアントの管理 グループの場所の削除 デフォルトの場所を変更するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、別のデフォルトの場所を割り当てるグルー プをクリックします。 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 4 [タスク]で、[場所の管理]をクリックします。 5 [場所の管理]ダイアログボックスの[場所]で、デフォルトの場所として指定する場所 を選択します。 6 [説明]で、[競合に備えてこの場所をデフォルトの場所として設定します]にチェック マークを付けます。 グループに別の場所を割り当てるまで、常に「デフォルト」の場所がデフォルトの場 所に設定されます。 7 [OK]をクリックします。 グループの場所の削除 適用されなくなったグループの場所は削除が必要になる場合があります。 p.215 の 「リモートクライアントの場所の管理」 を参照してください。 場所を削除するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、削除する場所を含むグループを選択しま す。 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 グループから削除できるのは、親グループからポリシーを継承していない場所のみ です。 4 [クライアント]ページの[タスク]で、[場所の管理]をクリックします。 5 [場所の管理]ダイアログボックスの[場所]で、削除する場所を選択し、[削除]をク リックします。 デフォルトの場所として設定されている場所は削除できません。 6 [条件の削除]ダイアログボックスで、[はい]をクリックします。 第 12 章 リモートクライアントの管理 ネットワーク検出条件の設定シナリオ 1 ネットワーク検出条件の設定シナリオ 1 リモートクライアントがある場合、最も単純なケースでは、My Company グループと 3 つ の場所を使う方法が一般的です。これがシナリオ 1 です。 このシナリオでクライアントのセキュリティを管理するため、使う My Company グループの 下で、次の場所を作成できます。 ■ オフィスでログオンするオフィスクライアント。 ■ VPN を介してリモートから企業ネットワークにログオンするリモートクライアント。 ■ VPN を介さずにリモートからインターネットにログオンするリモートクライアント。 VPN 接続を使っていないリモートの場所は安全性が最も低いため、この場所を常にデ フォルトの場所にすることがベストプラクティスです。 メモ: My Company グループ継承をオフにしてグループを追加した場合、追加したグルー プは、My Company グループに対して設定した場所を継承しません。 次の提案は、シナリオ 1 のベストプラクティスを表します。 オフィス内に置かれたクライアントにオフィスの場所を設定するには 1 [クライアント]ページで、場所を追加するグループを選択します。 2 [ポリシー]タブの[タスク]で、[場所の追加]をクリックします。 3 [場所の追加ウィザード]で、[次へ]をクリックします。 4 場所の名前を入力し、必要に応じてその説明を追加して、[次へ]をクリックします。 5 リストボックスで、リストから[クライアントは管理サーバーに接続できます]をクリックし て、[次へ]をクリックします。 6 [完了]をクリックして、[OK]をクリックします。 7 [タスク]の下で[場所の管理]をクリックして、作成した場所を選択します。 8 [追加]をクリックして、[AND 関係の基準]をクリックします。 9 [場所の基準を指定します]ダイアログボックスの[種類]リストで、[ネットワーク接続 の種類]をクリックします。 10 [下で指定するネットワーク接続の種類をクライアントコンピュータが使わない場合] をクリックします。 11 下部のリストボックスで、組織で使う VPN クライアントの名前を選択して、[OK]をク リックします。 12 [OK]をクリックして、[場所の管理]ダイアログボックスを終了します。 221 222 第 12 章 リモートクライアントの管理 ネットワーク検出条件の設定シナリオ 2 VPN を介してログインしているクライアントのリモートの場所を設定するには 1 [クライアント]ページで、場所を追加するグループを選択します。 2 [ポリシー]タブの[タスク]で、[場所の追加]をクリックします。 3 [場所の追加ウィザード]で、[次へ]をクリックします。 4 場所の名前を入力し、必要に応じてその説明を追加して、[次へ]をクリックします。 5 リストボックスで、[ネットワーク接続の種類]をクリックします。 6 [接続の種類]リストボックスで、組織で使う VPN クライアントの名前を選択して、[次 へ]をクリックします。 7 [完了]をクリックします。 8 [OK]をクリックします。 VPN を介してログオンしていないクライアントにリモートの場所を設定するには 1 [クライアント]ページで、場所を追加するグループを選択します。 2 [ポリシー]タブの[タスク]で、[場所の追加]をクリックします。 3 [場所の追加ウィザード]で、[次へ]をクリックします。 4 場所の名前を入力し、必要に応じてその説明を追加して、[次へ]をクリックします。 5 リストボックスで、[特定の条件がありません]のままにして、[次へ]をクリックします。 これらの設定を使うことにより、この場所のポリシー(最も厳密で最も安全なポリシー) がデフォルトの場所ポリシーとして使われます。 6 [完了]をクリックして、[OK]をクリックします。 ネットワーク検出条件の設定シナリオ 2 シナリオ 2 では、シナリオ 1 で指定したもののと同じ 2 つのリモート場所と、2 つのオフィ スの場所の合計 4 つの場所を使います。 p.221 の 「ネットワーク検出条件の設定シナリオ 1」 を参照してください。 次のオフィスの場所を追加します。 ■ イーサネット接続を介してログオンするオフィス内のクライアント。 ■ 無線接続を介してログオンするオフィス内のクライアント。 この場合、管理は単純化され、すべてのクライアントはデフォルトのサーバー制御モード で管理されます。ユーザーが実行できる操作を細かく制御する場合、経験豊富な管理者 は混合制御を使うことができます。混合制御設定では、エンドユーザーはセキュリティ設 定をある程度制御できますが、管理者が必要に応じて、エンドユーザーの変更を上書き できます。クライアント制御は、実行できる操作について幅広い自由度をユーザーに提供 するため、ネットワークセキュリティに大きいリスクを引き起こします。 第 12 章 リモートクライアントの管理 ネットワーク検出条件の設定シナリオ 2 クライアント制御は、次の状況でのみ使うことをお勧めします。 ■ ユーザーがコンピュータセキュリティに詳しい場合。 ■ やむを得ない事情で使う場合。 メモ: オフィス内で一部のクライアントがイーサネット接続を使い、他のクライアントが無線 接続を使う場合があります。このため、オフィス内の無線クライアントの手順で最後の条件 を設定します。この条件では、両方の接続が同時に使われているときに、すべての無線 トラフィックを遮断するイーサネットの場所ファイアウォールポリシールールを作成できま す。 イーサネットを介してログオンするクライアントにオフィスの場所を設定するには 1 [クライアント]ページで、場所を追加するグループを選択します。 2 [タスク]の下で、[場所の追加]をクリックします。 3 [場所の追加ウィザード]で、[次へ]をクリックします。 4 場所の名前を入力し、必要に応じてその説明を追加して、[次へ]をクリックします。 5 リストボックスで、[クライアントは管理サーバーに接続できます]を選択して、[次へ] をクリックします。 6 [完了]をクリックします。 7 [OK]をクリックします。 8 [タスク]の下で[場所の管理]をクリックして、作成した場所を選択します。 9 [この場所に切り替えるタイミング]の横で、[追加]をクリックしてから、[AND 関係の 基準]を選択します。 10 [場所の基準を指定します]ダイアログボックスの[種類]リストで、[ネットワーク接続 の種類]をクリックします。 11 [下で指定するネットワーク接続の種類をクライアントコンピュータが使わない場合] をクリックします。 12 下部のリストボックスで、組織で使う VPN クライアントの名前を選択して、[OK]をク リックします。 13 [追加]をクリックして、[AND 関係の基準]をクリックします。 14 [場所の基準を指定します]ダイアログボックスの[種類]リストで、[ネットワーク接続 の種類]をクリックします。 15 [下で指定するネットワーク接続の種類をクライアントコンピュータが使う場合]をクリッ クします。 223 224 第 12 章 リモートクライアントの管理 ネットワーク検出条件の設定シナリオ 2 16 下部のリストボックスで、[イーサネット]を選択して[OK]をクリックします。 17 [OK]をクリックして、[場所の管理]ダイアログボックスを終了します。 無線接続を介してログオンするクライアントにオフィスの場所を設定するには 1 [クライアント]ページで、場所を追加するグループを選択します。 2 [タスク]の下で、[場所の追加]をクリックします。 3 [場所の追加ウィザード]で、[次へ]をクリックします。 4 場所の名前を入力し、必要に応じてその説明を追加して、[次へ]をクリックします。 5 リストボックスで、[クライアントは管理サーバーに接続できます]をクリックして、[次 へ]をクリックします。 6 [完了]をクリックします。 7 [OK]をクリックします。 8 [タスク]の下で[場所の管理]をクリックして、作成した場所を選択します。 9 [この場所に切り替えるタイミング]の横で、[追加]をクリックしてから、[AND 関係の 基準]をクリックします。 10 [場所の基準を指定します]ダイアログボックスの[種類]リストで、[ネットワーク接続 の種類]をクリックします。 11 [下で指定するネットワーク接続の種類をクライアントコンピュータが使わない場合] をクリックします。 12 下部のリストボックスで、組織で使う VPN クライアントの名前を選択して、[OK]をク リックします。 13 [追加]をクリックして、[AND 関係の基準]をクリックします。 14 [場所の基準を指定します]ダイアログボックスの[種類]リストで、[ネットワーク接続 の種類]をクリックします。 15 [下で指定するネットワーク接続の種類をクライアントコンピュータが使わない場合] をクリックします。 16 下部のリストボックスで、[イーサネット]をクリックして[OK]をクリックします。 17 [追加]をクリックして、[AND 関係の基準]をクリックします。 18 [場所の基準を指定します]ダイアログボックスの[種類]リストで、[ネットワーク接続 の種類]をクリックします。 19 [下で指定するネットワーク接続の種類をクライアントコンピュータが使う場合]をクリッ クします。 20 下部のリストボックスで、[無線]をクリックして[OK]をクリックします。 21 [OK]をクリックして、[場所の管理]ダイアログボックスを終了します。 第 12 章 リモートクライアントの管理 場所に対する通信の設定 場所に対する通信の設定 デフォルトでは、グループレベルで管理サーバーとクライアント間の通信設定を行いま す。ただし、グループ内の個々の場所に対してこれらの設定を行うこともできます。たとえ ば、クライアントコンピュータが VPN で接続する場所には別の管理サーバーを使うことが できます。管理サーバーに同時に接続するクライアントの数を最小にするために、場所ご とに異なるハートビートを指定できます。 p.249 の 「クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプル モードの設定」 を参照してください。 p.215 の 「リモートクライアントの場所の管理」 を参照してください。 p.175 の 「クライアントのグループの管理」 を参照してください。 場所に対して次の通信設定を設定できます。 ■ クライアントが動作する制御モード ■ クライアントが使う管理サーバーリスト ■ クライアントが動作するダウンロードモード ■ クライアントで実行されるすべてのアプリケーションのリストを収集し、管理サーバーに そのリストを送信するかどうか ■ クライアントがダウンロードのために使うハートビート間隔 ■ 管理サーバーでデフォルトの管理サーバーまたはグループ更新プロバイダからのコ ンテンツのダウンロードをランダム化するかどうか メモ: Mac クライアントの場合は、これらの設定の一部のみを設定できます。 場所に対する通信設定を設定するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページで、グループを選択します。 3 [ポリシー]タブの[場所固有のポリシーと設定]で、場所の下の[場所固有の設定] を展開します。 4 [通信の設定]の右側で、[タスク]をクリックし、[グループ通信設定を使う]のチェッ クマークをはずします。 5 [タスク]を再びクリックし、[設定の編集]をクリックします。 6 [場所名の通信設定]ダイアログボックスで、指定した場所専用の設定を変更します。 7 [OK]をクリックします。 225 226 第 12 章 リモートクライアントの管理 リモートクライアントのセキュリティポリシーの強化について リモートクライアントのセキュリティポリシーの強化につい て リモートユーザーを管理する場合、基本的に何らかの形で次のどちらかの方針を採りま す。 ■ リモートユーザーによるそれぞれのコンピュータの使用を妨げないように、デフォルト のポリシーをそのまま使う。 ■ リモートユーザーが行える操作を制限することになっても、デフォルトポリシーを強化 してネットワークの保護を高める。 ほとんどの状況で、リモートクライアントのセキュリティポリシーを強化する方法がベストプ ラクティスになります。 ポリシーは、共有としても非共有としても作成でき、グループに割り当てることも場所に割 り当てることもできます。共有ポリシーは、すべてのグループおよび場所に適用され、継 承できるポリシーです。非共有ポリシーは、グループ内の特定の場所にのみ適用される ポリシーです。通常、複数のグループおよび場所でポリシーを簡単に変更できるため、共 有ポリシーを作成する方法がベストプラクティスであると考えられます。ただし、場所固有 の特定のポリシーが必要な場合は、非共有ポリシーとして作成するか、または非共有ポリ シーに変換する必要があります。 ファイアウォールポリシー設定のベストプラクティス 表 12-3 で、シナリオとベストプラクティスの推奨事項について説明します。 表 12-3 シナリオ ファイアウォールポリシーのベストプラクティス 推奨事項 ユーザーが VPN を使わ ファイアウォールポリシーのベストプラクティスとして、次の設定が推奨 ずにログオンするリモート されます。 の場所 ■ VPN を使わずにリモートでログオンするクライアントに最も厳格なセ キュリティポリシーを割り当てます。 ■ NetBIOS の保護を有効にします。 メモ: リモートクライアントが VPN 経由で企業ネットワークにログオ ンする場所については、NetBIOS の保護を有効にしないでくださ い。このルールは、リモートクライアントが企業ネットワークではなく インターネットに接続される場合のみ適切です。 ■ セキュリティを高めるため、NetBIOS ポート 135、139、445 で、ロー カルの TCP トラフィックもすべて遮断します。 第 12 章 リモートクライアントの管理 リモートクライアントのセキュリティポリシーの強化について シナリオ 推奨事項 ユーザーが VPN 経由で ファイアウォールポリシーのベストプラクティスとして、次の設定が推奨 ログオンするリモートの場 されます。 所 ■ すべてのアダプタでトラフィックを遮断するルールはすべてそのま ま残します。それらのルールは変更しないでください。 ■ すべてのアダプタで VPN トラフィックを許可するルールはそのまま 残します。そのルールは変更しないでください。 ■ 処理として[許可]を使うすべてのルールで、[アダプタ]列を[すべ てのアダプタ]から、使っている VPN アダプタの名前に変更します。 ■ 他のトラフィックをすべて遮断するルールを有効にします。 メモ: VPN によって分割トンネリングが起きる可能性を回避したければ、 これらの変更をすべて作成する必要があります。 ユーザーがイーサネットま デフォルトのファイアウォールポリシーを使います。無線接続の場合は、 たは無線接続経由でログ 無線 EAPOL を許可するルールが有効になっていることを確認します。 オンするオフィスの場所 802.1x は接続の認証に EAPOL(Extensible Authentication Protocol over LAN)を使います。 p.364 の 「ファイアウォールポリシーの作成」 を参照してください。 p.368 の 「基本的なネットワークサービスの通信の自動的な許可」 を参照してください。 LiveUpdate ポリシー設定のベストプラクティスについて クライアントでシマンテック社のコンテンツおよび製品の更新を厳密に適用し続ける場合 は、リモートクライアントの LiveUpdate ポリシーを変更することを検討してください。 ユーザーが VPN を使わずにログインするリモートの場所では、次のベストプラクティスを お勧めします。 ■ デフォルトの Symantec LiveUpdate サーバーを使うように、LiveUpdate ポリシー設 定を変更します。この設定で、インターネットに接続するたびにリモートクライアントが 更新できます。 ■ LiveUpdate スケジュールの頻度設定を 1 時間に変更して、インターネットに接続す るときにクライアントが保護を更新できる可能性を増やします。 その他の場所では、Symantec Endpoint Protection Manager を使って、製品ソフトウェ アおよびコンテンツの更新を配信する方法がベストプラクティスです。管理コンソールを 通じて配信される更新パッケージは、完全パッケージではなく増分パッケージです。更新 パッケージは、Symantec LiveUpdate サーバーから直接ダウンロードされるパッケージ よりもサイズが小さくなります。 227 228 第 12 章 リモートクライアントの管理 リモートクライアントの通知の有効化について リモートクライアントの通知の有効化について VPN を介してログオンしていないリモートクライアントの場合、次の状況でクライアント通 知をオンにする方法がベストプラクティスです。 ■ 侵入検知 場所固有のサーバーを使うことによってこれらの通知をオンにすることも、[クライアン トユーザーインターフェース制御の設定]で[混合制御]オプションを選択することもで きます。[クライアントユーザーインターフェースの設定]タブで設定をカスタマイズで きます。 ■ ウイルスとセキュリティリスク ウイルスとスパイウェアの対策ポリシーで、これらの通知をオンにできます。 通知をオンにしておくと、セキュリティ上の問題が起きたときにリモートユーザーがこのこと を確実に把握できます。 リモートクライアントのログ管理設定のカスタマイズ リモートクライアントのログ管理設定をカスタマイズしたい場合があります。特に、クライア ントが数日間オフラインの場合にカスタマイズが役立ちます。 次の設定は管理サーバーの帯域幅と負荷を減らすうえで役立ちます。 ■ クライアントが管理サーバーにそれらのログをアップロードしない。 ■ クライアントがクライアントのセキュリティログのみアップロードする。 ■ 指定したイベントのみアップロードするようにログイベントをフィルタ処理する。 アップロードが推奨されるイベントには、定義更新や副作用修復エラーなどが含まれ ます。 ■ ログの保持時間を長めにする。 保持時間を長めにすると、より多くのウイルス対策とスパイウェア対策のイベントデー タを確認できるようになります。 メモ: 一部のクライアントログ設定はグループによって異なります。場所固有のログ設定は ウイルスとスパイウェアの対策ポリシーの一部です。カスタマイズしたいログ設定によって は、リモートクライアントを管理する場所ではなくグループを使う必要がある場合もありま す。 p.551 の 「ログの表示」 を参照してください。 第 12 章 リモートクライアントの管理 リモートクライアントの負荷分散とローミングの管理 リモートクライアントの負荷分散とローミングの管理 複数のサイトを設定する場合は、リモートクライアントのローミングによって生じるサーバー の負荷を分散できます。 次の手順は、リモートまたはローミングクライアントの負荷分散をサポートするうえで役立 ちます。 ■ 組織内のサイトのすべての DNS サーバーが同じドメイン名を使うように設定します。 各 DNS サーバーが最も近い管理サーバーの IP アドレスを使うように設定します。 ■ Symantec Endpoint Protection Manager で、リモートクライアントのカスタム管理 サーバーリストを作成します。リストには DNS サーバーの完全修飾ドメイン名のみを 含めてください。リモートクライアントの場所が含まれているグループにこのリストを割 り当てます。 p.638 の 「管理サーバーリストの設定」 を参照してください。 p.635 の 「フェールオーバーと負荷分散の設定」 を参照してください。 リモートクライアントの監視について 通知とログは、安全な環境を保守するために不可欠です。一般に、他のクライアントの監 視と同じ方法で、リモートクライアントを監視してください。保護が最新になっており、現 在、ネットワークが攻撃されていないことを常に確認してください。ネットワークが攻撃され ている場合は、背後で攻撃を行っている人物と、その攻撃方法を明らかにするよう考えま す。 モバイルクライアントがアップロードするクライアントログデータの一部を制限する場合で も、次の表示内容を調べることができます。 ■ ホームページで、ウイルス定義分布と侵入防止シグネチャを調べて、コンテンツが最 新であることを確認します。 ■ ホームページで、状態の概略を調べて、コンピュータ上でいずれかの保護がオフに なっていないかどうかを確認します。 ■ ホームページで、[時間あたりのリスク]、[時間あたりの攻撃]、[時間あたりの感染]を 調べて、ネットワークが攻撃を受けているかどうかを調べます。 ■ ネットワークが攻撃を受けている場合、[監視]ページの[概略]タブで、上位の攻撃対 象と攻撃元を示す[ネットワーク脅威防止]の概略を参照します。 次の表示内容を調べて、環境のセキュリティ状態を監視できます。 [ホーム]ページ上の次の表示内容のデータは、過去 12 時間または過去 24 時間に接 続したクライアントだけを示します。 ■ ウイルス定義分布 ■ 侵入防止シグネチャ 229 230 第 12 章 リモートクライアントの管理 リモートクライアントの監視について ■ 状態の概略 ホームページの優先設定は、Symantec Endpoint Protection Manager でデータを表 示する期間を特定します。高い頻度でオフラインになっているクライアントが多い場合は、 ログとレポートを参照することが、監視のうえで最良の選択肢になります。ログとレポートで は、オフラインのクライアントを含めるようにデータをフィルタ処理できます。 13 ポリシーを使ったセキュリ ティの管理 この章では以下の項目について説明しています。 ■ セキュリティポリシーの種類 ■ すべてのセキュリティポリシーに共通なタスクの実行 ■ 共有ポリシーと非共有ポリシーについて ■ ポリシーの追加 ■ [ポリシー]ページでのポリシーのコピーと貼り付け ■ [クライアント]ページでのポリシーのコピーと貼り付け ■ ポリシーの編集 ■ ポリシー設定のロックおよびロック解除 ■ グループへのポリシーの割り当て ■ セキュリティポリシーのテスト ■ ポリシーの置換 ■ ポリシーのエクスポートとインポート ■ 共有ポリシーの非共有ポリシーへの変換 ■ ポリシーの撤回 ■ ポリシーの完全な削除 ■ クライアントコンピュータがポリシー更新を取得する方法 232 第 13 章 ポリシーを使ったセキュリティの管理 セキュリティポリシーの種類 ■ クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプルモードの 設定 ■ ポリシーのシリアル番号を使ったクライアント/サーバーの通信の確認 ■ クライアントコンピュータで動作するアプリケーションとサービスの監視 ■ クライアントコンピュータで実行されるアプリケーションに関する情報を収集するため の管理サーバーの設定 ■ コンピュータで実行されるアプリケーションに関する情報の検索 ■ アプリケーション検索の結果の保存 セキュリティポリシーの種類 セキュリティポリシーでは、保護技術によって、既知の脅威と未知の脅威からコンピュータ を保護する方法を定義します。 ネットワークセキュリティを管理するため、いくかの種類のセキュリティポリシーを使います。 ほとんどの種類のポリシーはインストール時に自動的に作成されます。デフォルトポリシー を使うことも、特定の環境に合わせてポリシーをカスタマイズすることもできます。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 表 13-1 ポリシーの種類 セキュリティポリシーの種類 説明 ウイルスとスパイウェアの対策ポ [ウイルスとスパイウェアの対策ポリシー]は次の保護を提供し リシー ます。 シグネチャを使って、ウイルスとセキュリティのリスクの副作用 を検出し、削除し、修復します。 ■ ダウンロードインサイトからの評価データを使って、ユーザー がダウンロードを試みるファイルに含まれる脅威を検出しま す。 ■ SONAR のヒューリスティックと評価データを使って、疑わしい 動作を示すアプリケーションを検出します。 [ウイルスとスパイウェアの対策ポリシー]は SONAR 技術に よって動作の異常を見つけます。レガシークライアントについ ては、TruScan プロアクティブ脅威スキャンによって動作の 異常を見つけます。 ■ メモ: ダウンロードインサイトと SONAR 技術は Windows クライ アントでのみ利用可能です。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照し てください。 第 13 章 ポリシーを使ったセキュリティの管理 セキュリティポリシーの種類 ポリシーの種類 説明 ファイアウォールポリシー [ファイアウォールポリシー]は次の保護を提供します。 権限がないユーザーがインターネットに接続するコンピュータ とネットワークにアクセスすることを遮断します。 ■ ハッカーによる攻撃を検出します。 ■ ■ 迷惑な送信元からのネットワークトラフィックを除去します。 メモ: ファイアウォールポリシーは Windows クライアントにのみ 適用できます。 p.361 の 「ファイアウォール保護の管理」 を参照してください。 侵入防止ポリシー [侵入防止ポリシー]は、ネットワーク攻撃とブラウザに対する攻 撃を自動的に検出して遮断します。 メモ: 侵入防止ポリシーは Windows クライアントにのみ適用で きます。 p.411 の 「クライアントコンピュータでの侵入防止の管理」 を参照 してください。 LiveUpdate ポリシー [LiveUpdate コンテンツポリシー]と[LiveUpdate 設定ポリシー] には、クライアントコンピュータが LiveUpdate からコンテンツ更 新をダウンロードする方法と時間を指定する設定が含まれます。 クライアントが調べるために連絡するコンピュータを定義できます 更新とスケジュールいつ、どのように頻繁に クライアントコンピュー タは更新を調べます。 p.482 の 「コンテンツ更新の管理」 を参照してください。 アプリケーションとデバイス 制御 [アプリケーションとデバイス制御ポリシー]は、アプリケーションか らシステムのリソースを保護し、コンピュータに接続可能な周辺機 器を管理します。 p.432 の 「アプリケーションとデバイス制御の設定」 を参照してくだ さい。 メモ: アプリケーションとデバイス制御ポリシーは Windows クラ イアントにのみ適用できます。 ホストインテグリティ Host Integrity policyはクライアントコンピュータのセキュリティ をに定義し、エンフォースし、復元する機能を提供します エンター プライズネットワークとデータ安全なを保ってください。検証する ためにこのポリシーをことアクセスするクライアント使います ネット ワークはウイルス対策ソフトウェア、パッチをと定義する他のアプ リケーション基準を実行します。 p.670 の 「ホストインテグリティポリシーでできること」 を参照してく ださい。 233 234 第 13 章 ポリシーを使ったセキュリティの管理 すべてのセキュリティポリシーに共通なタスクの実行 ポリシーの種類 説明 例外ポリシー [例外ポリシー]は、ウイルスとスパイウェアのスキャンや SONAR によってアプリケーションとプロセスを検出から除外する機能を提 供します。 アプリケーションをアプリケーション制御から除外することもできま す。 p.466 の 「Symantec Endpoint Protection の例外の管理」 を参 照してください。 すべてのセキュリティポリシーに共通なタスクの実行 多くの方法で、Symantec Endpoint Protection セキュリティポリシーを管理できます。 たとえば、セキュリティポリシーの複製を作成してから、特定のニーズに合った複製をカス タマイズできます。ユーザーがクライアントコンピュータ上で変更できないように、特定の 設定をロックおよびロック解除できます。表 13-2 に、実行できるポリシータスクをいくつか 示します。 表 13-2 すべてのポリシーに共通するタスク タスク 説明 ポリシーの追加 デフォルトポリシーのいずれも使わない場合は、新しいポリシー を追加できます。 共有ポリシーまたは非共有ポリシーを追加できます。 メモ: 共有ポリシーを[ポリシー]ページで追加または編集した場 合は、そのポリシーをグループまたは場所にも割り当てる必要が あります。そうしないとポリシーは有効になりません。 p.236 の 「共有ポリシーと非共有ポリシーについて」 を参照してく ださい。 p.237 の 「ポリシーの追加」 を参照してください。 ポリシー設定のロックおよびロッ いくつかの[ウイルスとスパイウェアの対策ポリシー]設定をロック ク解除 およびロック解除できます。コンピュータのユーザーは、ロックさ れたポリシー設定を変更できません。錠前アイコンが、ロック可能 なポリシー設定の横に表示されます。 p.240 の 「ポリシー設定のロックおよびロック解除」 を参照してくだ さい。 第 13 章 ポリシーを使ったセキュリティの管理 すべてのセキュリティポリシーに共通なタスクの実行 タスク 説明 ポリシーの編集 既存のポリシーの設定を変更する場合は、その設定を編集でき ます。セキュリティポリシーを修正して、コンピュータの保護レベル を上げるか、または下げることができます。グループの割り当てを 変更しない限り、修正したポリシーを再割り当てする必要はありま せん。 p.239 の 「ポリシーの編集」 を参照してください。 ポリシーの割り当て ポリシーを使うには、1 つ以上のグループや場所にそのポリシー を割り当てなければなりません。 p.241 の 「グループへのポリシーの割り当て」 を参照してください。 ポリシーのテスト 実働環境で使う前に、必ず新しいポリシーをテストすることをお勧 めします。 p.242 の 「セキュリティポリシーのテスト」 を参照してください。 クライアントのポリシーの更新 利用可能な帯域幅に基づいて、ポリシー更新方法としてプッシュ モードまたはプルモードを使うようにクライアントを設定できます。 p.248 の 「クライアントコンピュータがポリシー更新を取得する方 法」 を参照してください。 p.249 の 「クライアントポリシーとコンテンツを更新するためのプッ シュモードまたはプルモードの設定」 を参照してください。 ポリシーの置換 共有ポリシーを別の共有ポリシーに置換できます。すべての場 所、1 つの場所のいずれでも、共有ポリシーを置換できます。 p.243 の 「ポリシーの置換」 を参照してください。 ポリシーのコピーと貼り付け 新しいポリシーを追加する代わりに、新しいポリシーのベースとし て使うために既存のポリシーをコピーすると便利です。 [ポリシー]ページか、[クライアント]ページの[ポリシー]タブのど ちらかで、ポリシーをコピーして貼り付けることができます。 メモ: また、[クライアント]ページの[ポリシー]タブから、グループ 内のすべてのポリシーをコピーして、別のグループに貼り付ける ことができます。 p.239 の 「[クライアント]ページでのポリシーのコピーと貼り付け」 を参照してください。 p.238 の 「[ポリシー]ページでのポリシーのコピーと貼り付け」 を 参照してください。 235 236 第 13 章 ポリシーを使ったセキュリティの管理 共有ポリシーと非共有ポリシーについて タスク 説明 共有ポリシーの非共有ポリシー 共有ポリシーのコンテンツをコピーして、そのコンテンツから非共 への変換 有ポリシーを作成できます。 p.236 の 「共有ポリシーと非共有ポリシーについて」 を参照してく ださい。 コピーを使うと、1 つの場所で共有ポリシーのコンテンツを変更で きますが、その他のすべての場所では変更できません。コピーは 既存の非共有ポリシーを上書きします。 共有ポリシーがすべてのグループまたはすべての場所に適用さ れなくなった場合は共有ポリシーを非共有ポリシーへ変換できま す。変換が完了すると、変換済みの新しい名前のポリシーが、[場 所固有のポリシーと設定]に表示されます。 p.245 の 「共有ポリシーの非共有ポリシーへの変換」 を参照して ください。 ポリシーのエクスポートおよびイ 異なるサイトで使う場合には既存のポリシーをエクスポートできま ンポート す。その後、ポリシーをインポートし、グループまたは特定の場所 に適用できます。 p.244 の 「ポリシーのエクスポートとインポート」 を参照してくださ い。 ポリシーの撤回 ポリシーを削除すると、Symantec Endpoint Protection はデー タベースからポリシーを削除します。ポリシーを削除する必要は ないが不要になった場合は、削除する代わりにポリシーを撤回で きます。 [ウイルスとスパイウェアの対策ポリシー]と[LiveUpdate 設定ポ リシー]を除き、あらゆる種類のポリシーを撤回できます。 p.246 の 「ポリシーの撤回」 を参照してください。 ポリシーの削除 ポリシーが有用ではなくなり、データベースに保存しておく必要 がなくなった場合は、ポリシーを削除できます。 p.247 の 「ポリシーの完全な削除」 を参照してください。 共有ポリシーと非共有ポリシーについて ポリシーは共有または非共有のいずれかです。ポリシーを複数のグループまたは場所に 適用する場合、ポリシーは共有されます。共有ポリシーを作成する場合、そのポリシーを 使うすべてのグループと場所で簡単にポリシーを編集や置換することができます。My Company グループレベルまたはより低いグループレベルで共有ポリシーを適用でき、サ ブグループはポリシーを継承できます。複数の共有ポリシーを作成できます。 第 13 章 ポリシーを使ったセキュリティの管理 ポリシーの追加 特定のグループまたは場所のために特別なポリシーが必要な場合は、固有のポリシーを 作成します。作成した固有の非共有ポリシーを、1 つの特定のグループまたは場所に割 り当てます。1 つの場所に割り当て可能なポリシーは、1 種類のポリシーにつき 1 つだけ です。 例として、考えられるいくつかのシナリオを以下に示します。 ■ 経理部のユーザーのグループは、在社時と在宅時には異なる場所の設定を使って 企業ネットワークに接続する必要があります。その場合、この 1 つのグループのため に、独自のルールセットと設定を持つ異なるファイアウォールポリシーを、それぞれの 場所に適用する必要があります。 ■ 会社には通常は DSL や ISDN を使うリモートユーザーがいて、これらのユーザーに は VPN 接続が必要な場合があります。他のリモートユーザーは、社内ネットワークに 接続するときにはダイヤルアップすることを望んでいます。しかし、営業やマーケティ ングのグループではワイヤレス接続を使うこともあります。これらの各グループでは、 社内ネットワークへの接続元の場所に固有のファイアウォールポリシーが必要です。 ■ 社内ネットワークを攻撃から保護するために、認定されていないアプリケーションのイ ンストールを制限するポリシーをほとんどの社員のワークステーションに実装すること を推奨します。IT グループは、追加のアプリケーションへのアクセスが必要な場合が あります。そのため、IT グループに対しては一般の社員よりも制限の緩いセキュリティ ポリシーが必要です。この場合、IT グループ向けに異なるファイアウォールポリシー を作成できます。 一般に、[ポリシー]ページの[ポリシー]タブでグループと場所が共有するポリシーを追 加します。ただし、グループ間では共有されず、特定の場所にのみ適用されるポリシー は、[クライアント]ページで追加します。[クライアント]ページでポリシーを追加する場合、 次のいずれかの方法を使って新しいポリシーを追加できます。 ■ 新しいポリシーを追加します。 ■ 新しいポリシーの基になる既存のポリシーをコピーします。 ■ 別のサイトから以前エクスポートされたポリシーをインポートします。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 ポリシーの追加 各種ポリシーの複数のバージョンを作成できます。作成したポリシーは、データベースに 格納されます。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 新しいポリシーはすべて、実働環境で使う前にテストすることをお勧めします。 p.242 の 「セキュリティポリシーのテスト」 を参照してください。 237 238 第 13 章 ポリシーを使ったセキュリティの管理 [ポリシー]ページでのポリシーのコピーと貼り付け 新しいポリシーを追加するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページで、ポリシーの種類を選択して、新しいポリシーを追加するリンクを クリックします。 3 保護を強めるか弱めるようにポリシー設定を修正します。 4 [OK]をクリックしてポリシーを保存します。 5 必要に応じて、新しいポリシーをグループに割り当てます。 ポリシーの作成中でも作成後でも、新しいポリシーをグループに割り当てることがで きます。新しいポリシーは、現在割り当てられている、保護の種類が同じポリシーに 置き換わります。 p.241 の 「グループへのポリシーの割り当て」 を参照してください。 [ポリシー]ページでのポリシーのコピーと貼り付け [ポリシー]ページではポリシーのコピーと貼り付けが可能です。たとえば、ポリシー設定 を少し編集して別のグループに適用すると便利な場合があります。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 [ポリシー]ページでポリシーをコピーするには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページの[ポリシー]で、コピーするポリシーの種類をクリックします。 3 [ポリシーの種類 Policies]ペインで、コピーする特定のポリシーをクリックします。 4 [ポリシー]ページの[タスク]で、[ポリシーのコピー]をクリックします。 5 この処理に関する通知が今後表示されないようにする場合は、[ポリシーのコピー] ダイアログボックスで、[今後このメッセージを表示しない]にチェックマークを付けま す。このメッセージは、ポリシーがクリップボードにコピーされ、貼り付けることができ ることを示します。 6 [OK]をクリックします。 [ポリシー]ページでポリシーを貼り付けるには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページの[ポリシー]で、貼り付けるポリシーの種類をクリックします。 3 [ポリシーの種類 Policies]ペインで、貼り付ける特定のポリシーをクリックします。 4 [ポリシー]ページの[タスク]で、[ポリシーの貼り付け]をクリックします。 第 13 章 ポリシーを使ったセキュリティの管理 [クライアント]ページでのポリシーのコピーと貼り付け [クライアント]ページでのポリシーのコピーと貼り付け 新しいポリシーを追加する代わりに、ポリシーをコピーして貼り付けることができます。[ク ライアント]ページでは、共有ポリシーや非共有ポリシーをコピーできます。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 [クライアント]ページでポリシーをコピーするには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、ポリシーのコピー先のグループを選択しま す。 3 [ポリシー]タブの[場所固有のポリシーと設定]でスクロールして、ポリシーのコピー 元の場所の名前を検索します。 4 コピーする場所固有のポリシーを検索します。 5 ポリシーの右側で、[タスク]をクリックしてから、[コピー]をクリックします。 6 [OK]をクリックします。 [クライアント]ページでポリシーを貼り付けるには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、ポリシーの貼り付け先のグループを選択し ます。 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 ポリシーを削除するグループの継承を無効にする必要があります。継承のチェック マークをはずさないと、ポリシーを貼り付けることはできません。 4 [場所固有のポリシーと設定]でスクロールして、貼り付けるポリシーのある場所の名 前を検索します。 5 貼り付ける場所固有のポリシーを検索します。 6 ポリシーの右側で、[タスク]をクリックしてから、[貼り付け]をクリックします。 7 既存のポリシーを上書きするかどうかの確認を求められたら、[はい]をクリックしま す。 ポリシーの編集 共有ポリシーと非共有ポリシーは、[ポリシー]ページでも、[クライアント]ページの[ポリ シー]タブでも編集できます。 グループだけでなく場所も同じポリシーを共有できます。共有ポリシーを編集したら、そ れを割り当てる必要があります。 239 240 第 13 章 ポリシーを使ったセキュリティの管理 ポリシー設定のロックおよびロック解除 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 [ポリシー]ページでポリシーを編集するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページの[ポリシー]で、ポリシーの種類をクリックします。 3 [ポリシーの種類 Policies]ペインで、編集する特定のポリシーをクリックします。 4 [タスク]の下で、[ポリシーの編集]をクリックします。 5 [ポリシーの種類 Policy Overview]ペインで、必要に応じて、ポリシーの名前と説 明を編集します。 6 ポリシーを編集するには、ポリシーに対する[ポリシーの種類 Policy]ページのいず れかをクリックします。 [クライアント]ページでポリシーを編集するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、編集するポリシーのグループを選択します。 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 ポリシーを削除するグループの継承を無効にする必要があります。継承のチェック マークをはずさないと、ポリシーを編集できません。 4 [場所固有のポリシーと設定]でスクロールして、編集するポリシーのある場所の名前 を検索します。 5 編集する場所固有のポリシーを検索します。 6 選択したポリシーの右側で[タスク]をクリックして、[ポリシーの編集]をクリックします。 7 次のいずれかのタスクを行います。 8 ■ 非共有ポリシーを編集するには、手順 8 に進む。 ■ 共有ポリシーを編集するには、[ポリシーの編集]ダイアログボックスで、[共有の 編集]をクリックし、すべての場所のポリシーを編集します。 編集するポリシーの種類のリンクをクリックできます。 ポリシー設定のロックおよびロック解除 [ウイルスとスパイウェアの対策ポリシー]設定のいくつかをロックおよびロック解除できま す。エンドユーザーは、ロックされた設定を変更できません。錠前アイコンが、ロック可能 な設定の横に表示されます。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 第 13 章 ポリシーを使ったセキュリティの管理 グループへのポリシーの割り当て ポリシー設定をロックまたはロック解除するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 次のページのいずれかを選択します。 ■ Auto-Protect ■ ダウンロード保護 ■ インターネット電子メール Auto-Protect ■ Microsoft Outlook Auto-Protect ■ Lotus Notes Auto-Protect ■ SONAR ■ グローバルスキャンオプション ■ その他 3 対応する設定のロックまたはロック解除を行うには、錠前アイコンをクリックします。 4 [OK]をクリックします。 改変対策の設定と提出の設定のロックとロック解除もできます。 p.358 の 「改変対策の設定の変更」 を参照してください。 p.304 の 「シマンテックセキュリティレスポンスへのクライアントの提出の有効化または無効 化」 を参照してください。 グループへのポリシーの割り当て グループを通じてクライアントコンピュータにポリシーを割り当てます。すべてのグループ には、常にグループに割り当てられている保護の種類ごとに、正確に 1 つずつポリシー が含まれます。Windows クライアントと Mac クライアントの両方がある場合は、それらを 別々のグループに分けることも、同じグループで管理することもできます。同じグループ に含めてポリシー適用した場合、クライアントの種類ごとに適切なポリシー設定が適用さ れます。Windows コンピュータは、Mac コンピュータにのみ適用される設定を無視し、 Mac コンピュータは Windows コンピュータにのみ適用される設定を無視します。 割り当てられていないポリシーは、グループと場所にあるクライアントコンピュータにダウン ロードされません。ポリシーを追加するときにポリシーを割り当てない場合は、後でグルー プと場所に割り当てることができます。別のグループまたは場所にポリシーを再割り当て することもできます。 ポリシーは、次のようにコンピュータグループに割り当てられます。 ■ 初期インストール時に、シマンテック社のデフォルトのセキュリティポリシーは、My Company 親グループに割り当てられます。 241 242 第 13 章 ポリシーを使ったセキュリティの管理 セキュリティポリシーのテスト ■ MyCompany 親グループのセキュリティポリシーは、新しく作成された各子グループ に自動的に割り当てられます。 ■ 同じ種類の別のポリシーを割り当てることによって、グループ内のポリシーを置き換え ます。MyCompany 親グループまたは任意の子グループに割り当てられたポリシー を置き換えられます。 新しいグループは常に、直接の親グループからポリシーを継承します。サブグループの 階層を作成すると、各階層は最上位の親からではなく、直接の親からポリシーを継承しま す。 [ポリシーの割り当て]ダイアログボックスのユーザーインターフェースでは、次の追加情 報が伝えられます。 フォルダアイコンはグループを示します。 丸いアイコンは場所を示します。 ■ グループアイコンで、緑色の円のチェックマークは、このポリシーがグループのすべて の場所に割り当てられていることを示します。 ■ 場所アイコンで、緑色の円のチェックマークは、このポリシーがこの場所に割り当てら れていることを示します。 ■ グレー表示のテキストは、グループや場所が親グループからそのポリシーを継承する ことを意味します。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 グループにポリシーを割り当てるには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページで、ポリシーを選択し、[ポリシーの割り当て]をクリックします。 3 [ポリシーの割り当て]ダイアログボックスで、グループを選択し、[割り当て]をクリック します。 4 [OK]をクリックして確定します。 セキュリティポリシーのテスト 実働環境で使う前に、ポリシーをテストすることをお勧めします。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 第 13 章 ポリシーを使ったセキュリティの管理 ポリシーの置換 ポリシーをテストするには 1 ポリシーのテストに使うグループを作成します。 2 テストグループにテストポリシーを割り当てます。 3 ポリシーのテストに使う 3 つまたは 4 つの管理下コンピュータを特定します。 必要に応じて、クライアントソフトウェアをコンピュータにインストールします。コンピュー タを管理下コンピュータとしてインストールします。 4 テストコンピュータをテストグループに移動します。 5 テストコンピュータを動かして、正しく動作することを検証します。 ポリシーの置換 ある共有ポリシーを別の共有ポリシーと置換すると便利な場合があります。すべての場 所、個々の場所のいずれでも、共有ポリシーを置換できます。 すべての場所でポリシーを置換すると、管理サーバーによってそのポリシーを持つ場所 のポリシーのみが置換されます。たとえば、Sales グループで 4 カ所のうち 3 カ所の場所 で Sales ポリシーを使用しているとします。Sales ポリシーを Marketing ポリシーに変更 すると、その 3 カ所の場所だけが Marketing ポリシーを受け取ります。 クライアントが存在する場所に関係なく、クライアントのグループで同じ設定を使う場合は、 非共有ポリシーを共有ポリシーに置換できます。非共有ポリシーと共有ポリシーとの置換 は、各場所で個別に行います。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 すべての場所の共有ポリシーを置換するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページの[ポリシー]で、置換するポリシーの種類をクリックします。 3 [ポリシーの種類 Policies]ペインで、ポリシーをクリックします。 4 [ポリシー]ページの[タスク]で、[ポリシーの置換]をクリックします。 5 [ポリシーの種類 Policy 置換]ダイアログボックスの[新しいポリシーの種類 Policy] リストボックスで、古いポリシーを置換する共有ポリシーを選択します。 6 既存のポリシーを置換するグループと場所を選択します。 7 [置換]をクリックします。 8 グループと場所のポリシーを置換することの確認を求めるメッセージが表示された ら、[はい]をクリックします。 243 244 第 13 章 ポリシーを使ったセキュリティの管理 ポリシーのエクスポートとインポート 1 つの場所で共有ポリシーまたは非共有ポリシーを置換するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、置換するポリシーのグループを選択します。 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 ポリシーを削除するグループの継承を無効にする必要があります。継承のチェック マークをはずさないと、ポリシーを置換することはできません。 4 [場所固有のポリシーと設定]でスクロールして、ポリシーを含む場所を見つけます。 5 置換するポリシーの横で、[タスク]をクリックし、[ポリシーの置換]をクリックします。 6 [ポリシーの置換]ダイアログボックスの[新しいポリシー]リストボックスで、置換ポリ シーを選択します。 7 [OK]をクリックします。 ポリシーのエクスポートとインポート 既存のポリシーを .dat ファイルにエクスポートできます。ポリシーに関連付けられている すべての設定が自動的にエクスポートされます。 たとえば、既存のポリシーを他のサイトで使う場合にはポリシーをエクスポートすると便利 です。ファイルをエクスポートすれば、他のサイトからファイルをインポートし、グループま たは場所にのみ適用できます。[クライアント]ページでは、特定の場所の共有ポリシーま たは非共有ポリシーをエクスポートできます。 [ポリシー]ページでポリシーファイルをインポートし、あるグループまたは場所のみに適 用できます。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 [ポリシー]ページでポリシーをエクスポートするには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページの[ポリシー]で、エクスポートするポリシーの種類をクリックします。 3 [ポリシーの種類 Policies]ペインで、エクスポートする特定のポリシーをクリックしま す。 4 [ポリシー]ページの[タスク]で、[ポリシーのエクスポート]をクリックします。 5 [ポリシーのエクスポート]ダイアログボックスでポリシーファイルのエクスポート先の フォルダを検索し、[エクスポート]をクリックします。 第 13 章 ポリシーを使ったセキュリティの管理 共有ポリシーの非共有ポリシーへの変換 [クライアント]ページで共有ポリシーまたは非共有ポリシーをエクスポートするには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、エクスポートするポリシーのグループを選 択します。 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 ポリシーを削除するグループの継承を無効にする必要があります。継承のチェック マークをはずさないと、ポリシーをエクスポートすることはできません。 4 [場所固有のポリシーと設定]でスクロールして、エクスポートするポリシーのある場 所の名前を検索します。 5 エクスポートする場所固有のポリシーを検索します。 6 ポリシーの右側で、[タスク]をクリックしてから、[ポリシーのエクスポート]をクリックし ます。 7 [ポリシーのエクスポート]ダイアログボックスで、ポリシーのエクスポート先となるフォ ルダを参照します。 8 [ポリシーのエクスポート]ダイアログボックスで、[エクスポート]をクリックします。 ポリシーをインポートするには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページの[ポリシー]で、インポートするポリシーの種類をクリックします。 3 [ポリシーの種類 Policies]ペインで、インポートするポリシーをクリックします。 4 [ポリシー]ページの[タスク]で、[Import a ポリシーの種類 Policy]をクリックします。 5 [ポリシーのインポート]ダイアログボックスで、インポートするポリシーファイルを参照 して、[インポート]をクリックします。 共有ポリシーの非共有ポリシーへの変換 共有ポリシーのコンテンツをコピーして、そのコンテンツから非共有ポリシーを作成できま す。コピーを使うと、1 つの場所で共有ポリシーのコンテンツを変更できますが、その他の すべての場所では変更できません。コピーは既存の共有ポリシーを上書きします。 変換が完了すると、変換済みの新しい名前のポリシーが、[場所固有のポリシーと設定] に表示されます。 p.238 の 「[ポリシー]ページでのポリシーのコピーと貼り付け」 を参照してください。 245 246 第 13 章 ポリシーを使ったセキュリティの管理 ポリシーの撤回 共有ポリシーを非共有ポリシーに変換するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、変換するポリシーのグループを選択します。 3 前の手順で選択したグループに関連付けられたペインで、[ポリシー]タブをクリック します。 4 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 ポリシーを削除するグループの継承を無効にする必要があります。継承のチェック マークをはずさないと、ポリシーを置換することはできません。 5 [場所固有のポリシーと設定]で、場所の名前とその場所固有の変換するポリシーを スクロールして検索します。 6 固有のポリシーの隣にある[タスク]をクリックしてから、[非共有ポリシーに変換]をク リックします。 7 [概要]ダイアログボックスで、ポリシーの名前と説明を編集します。 8 必要に応じて他のポリシーの設定を修正します。 9 [OK]をクリックします。 ポリシーの撤回 特定の状況では、グループまたは場所からのポリシーの撤回が必要になる場合がありま す。 たとえば、新しいポリシーを導入した後に特定のグループに問題が生じることがあります。 データベースにポリシーを残したい場合は、削除する代わりにポリシーを撤回できます。 ポリシーを撤回すると、ポリシーを割り当てたグループと場所から自動的に撤回されます。 ポリシーが使われている場所の番号は[ポリシー]ページの[ポリシーの種類 Policies]ペ インに表示されます。 メモ: ポリシーを削除する前にすべてのグループと場所からポリシーを撤回する必要があ ります。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 [ポリシー]ページでは、次のポリシーを除き、場所やグループからすべてのポリシーを撤 回できます。: ■ ウイルス対策とスパイウェア対策 ■ LiveUpdate 設定 第 13 章 ポリシーを使ったセキュリティの管理 ポリシーの完全な削除 これらのポリシーは別の[ウイルスとスパイウェアの対策ポリシー]または[LiveUpdate ポ リシー]との置換のみが可能です。 [ポリシー]ページで共有ポリシーを撤回するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページの[ポリシー]で、撤回するポリシーの種類をクリックします。 3 [ポリシーの種類 Policies]ペインで、撤回する特定のポリシーをクリックします。 4 [ポリシー]ページの[タスク]で、[ポリシーの撤回]をクリックします。 5 [ポリシーの撤回]ダイアログボックスで、ポリシーを撤回するグループと場所にチェッ クマークを付けます。 6 [撤回]をクリックします。 7 グループと場所のポリシーを撤回することの確認を求めるメッセージが表示された ら、[はい]をクリックします。 [クライアント]ページで共有ポリシーまたは非共有ポリシーを撤回するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、ポリシーを撤回する対象のグループを選択 します。 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 ポリシーを削除するグループの継承を無効にする必要があります。継承のチェック マークをはずさないと、ポリシーを撤回することはできません。 4 [場所固有のポリシーと設定]でスクロールして、ポリシーを撤回する場所の名前を 検索します。 5 撤回する場所のポリシーを検索します。 6 [タスク]をクリックし、[ポリシーの撤回]をクリックします。 7 [ポリシーの撤回]ダイアログボックスで、[はい]をクリックします。 ポリシーの完全な削除 ポリシーの削除が必要な場合もあります。たとえば、企業のガイドラインが変更され、異な るポリシーの実装が必要になった場合などです。新しい企業グループが追加されると、古 いグループおよびそれに関連付けられているポリシーを削除する必要のある場合があり ます。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 ポリシーが 1 つ以上のグループに割り当てられている場合、すべてのグループからその ポリシーの割り当てを解除するまで、ポリシーを削除できません。 247 248 第 13 章 ポリシーを使ったセキュリティの管理 クライアントコンピュータがポリシー更新を取得する方法 ポリシーが 1 つ以上のグループと場所に割り当てられている場合、すべてのグループと 場所からそのポリシーの割り当てを解除するまで、ポリシーを削除できません。 共有ポリシーまたは非共有ポリシーを削除すると便利な場合があります。 [ポリシー]ページでポリシーを削除するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページの[ポリシー]で、削除するポリシーの種類を選択します。 ポリシーは、1 つ以上のグループと 1 つ以上の場所に割り当てられている場合と割 り当てられていない場合があります。 3 [ポリシーの種類 Policies]ペインで、削除する特定のポリシーをクリックします。 4 [ポリシー]ページの[タスク]で、[ポリシーの削除]をクリックします。 5 選択したポリシーを削除するかどうかの確認を求められたら、[はい]をクリックします。 [クライアント]ページで非共有ポリシーを削除するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]ページの[クライアント]で、削除するポリシーのグループを選択します。 3 [ポリシー]タブで、[ポリシーと設定を親グループ「グループ名」から継承する]の チェックマークをはずします。 ポリシーを削除するグループの継承を無効にする必要があります。継承のチェック マークをはずさないと、ポリシーを削除することはできません。 4 [場所固有のポリシーと設定]でスクロールして、削除するポリシーのある場所の名前 を検索します。 5 削除する場所固有のポリシーを検索します。 6 選択したポリシーの右側で[タスク]をクリックして、[ポリシーの撤回]をクリックします。 場所から[ウイルスとスパイウェアの対策ポリシー]や[LiveUpdate 設定ポリシー]を 削除することはできません。別のポリシーとの置換のみを行うことができます。 7 [はい]をクリックします。 クライアントコンピュータがポリシー更新を取得する方法 管理サーバーのポリシーを設定するとき、更新されたポリシーをクライアントコンピュータ にダウンロードする必要があります。コンソールでは、次の更新方法のどちらかを使うよう にクライアントコンピュータを設定できます。 プルモード クライアントコンピュータは、ハートビート設定の頻度に基づいて、管理サー バーに定期的に接続します。クライアントコンピュータは、クライアントの接続 時に管理サーバーの状態を確認します。 第 13 章 ポリシーを使ったセキュリティの管理 クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプルモードの設定 プッシュモード クライアントコンピュータは管理サーバーと常時 HTTP 接続を確立します。 管理サーバーの状態に変更が発生すると、すぐにクライアントコンピュータ に通知されます。 どちらのモードでも、クライアントコンピュータは管理サーバーの状態の変化に基づいて、 対応する処理を行います。常時接続が必要であるため、プッシュモードでは大量のネッ トワーク帯域幅が必要です。プルモードを使うように設定されたクライアントコンピュータで は、必要な帯域幅は減少します。 p.249 の 「クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプル モードの設定」 を参照してください。 ハートビートプロトコルは、クライアントコンピュータがログエントリなどのデータをアップロー ドして、ポリシーをダウンロードする頻度を定義します。最初のハートビートはクライアント の起動直後に発生します。次のハートビートは設定したハートビート頻度で発生します。 ハートビートの頻度は、各 Symantec Endpoint Protection Manager がサポート可能な クライアントの数を決める主な要素です。ハートビートの頻度を 30 分以下に設定した場 合、Symantec Endpoint Protection Manager がサポート可能なクライアントの合計数 は制限されます。1,000 以上のクライアントが配備されている場合、ハートビート頻度をで きる限り最大の時間長に設定することをお勧めします。会社のセキュリティ必要条件を満 たす、最も長い間隔を使うことをお勧めします。たとえば、毎日ポリシーを更新してログを 収集する場合、ハートビート頻度は 24 時間に設定できます。シマンテックプロフェッショ ナルサービスとシマンテックエンタープライズサポートに、ご使用のネットワーク環境で必 要とされる適切な設定、ハードウェア、ネットワークアーキテクチャの評価を依頼してくだ さい。 メモ: クライアントコンピュータで手動でポリシーを更新することもできます。 p.251 の 「ポリシーのシリアル番号を使ったクライアント/サーバーの通信の確認」 を参照 してください。 クライアントポリシーとコンテンツを更新するためのプッ シュモードまたはプルモードの設定 管理サーバーがポリシーをクライアントにプッシュするかどうかを指定したり、クライアント が管理サーバーからポリシーをプルするように指定したりすることができます。デフォルト 設定はプッシュモードです。プルモードを選択した場合、デフォルトではクライアントは 5 分ごとに管理サーバーに接続しますが、このデフォルトハートビート間隔は変更できます。 p.248 の 「クライアントコンピュータがポリシー更新を取得する方法」 を参照してください。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 249 250 第 13 章 ポリシーを使ったセキュリティの管理 クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプルモードの設定 グループまたは場所に対してモードを設定できます。 グループに対してプッシュモードまたはプルモードを設定するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、ポリシーのプッシュまたはプルを指定するグループを選択します。 3 [ポリシー]タブをクリックします。 4 [ポリシーと設定を親グループ「グループ名」から継承する]のチェックマークをはず します。 5 [場所に依存しないポリシーと設定]ペインの[設定]で、[通信の設定]をクリックしま す。 6 [<グループ名> の通信設定]ダイアログボックスの[ダウンロード]で、[管理サーバー からポリシーやコンテンツをダウンロードする]にチェックマークが付けられていること を確認します。 7 次のいずれかのタスクを行います。 8 ■ [プッシュモード]をクリックします。 ■ [プルモード]をクリックし、[ハートビート間隔]で分または時間の数を設定しま す。 [OK]をクリックします。 場所に対してプッシュモードまたはプルモードを指定するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、ポリシーのプッシュまたはプルを指定するグループを選択します。 3 [ポリシー]タブをクリックします。 4 [ポリシーと設定を親グループ「グループ名」から継承する]のチェックマークをはず します。 5 [場所固有のポリシーと設定]の修正する場所に対する[場所固有のポリシー]で、 [場所固有の設定]を展開します。 6 [場所固有の設定]の[通信の設定]の右側で、[タスク]をクリックし、[グループ通信 設定を使う]のチェックマークをはずします。 7 [通信の設定]の右側で、[ローカル - プッシュ](または[ローカル - プル])をクリック します。 8 次のいずれかのタスクを行います。 ■ [プッシュモード]をクリックします。 第 13 章 ポリシーを使ったセキュリティの管理 ポリシーのシリアル番号を使ったクライアント/サーバーの通信の確認 ■ 9 [プルモード]をクリックし、[ハートビート間隔]で分または時間の数を設定しま す。 [OK]をクリックします。 ポリシーのシリアル番号を使ったクライアント/サーバー の通信の確認 手動でポリシーを更新してポリシーのシリアル番号を使うと、管理下クライアントコンピュー タが管理サーバーと通信できるかどうかを確認できます。クライアントが更新を受信してい ない場合、通信の問題が存在する可能性があります。 最初に、クライアントのポリシーのシリアル番号をチェックして、コンソールに表示されるシ リアル番号と一致するかどうかを確認します。クライアントが管理サーバーと通信しており、 定期的なポリシー更新を受信している場合、シリアル番号は一致する必要があります。 ポリシーのシリアル番号が一致しない場合、手動でクライアントコンピュータのポリシーを 更新し、トラブルシューティングのログを調べることができます。 p.234 の 「すべてのセキュリティポリシーに共通なタスクの実行」 を参照してください。 コンソールでポリシーのシリアル番号を表示するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]の下で、関連したグループを選択します。 ポリシーのシリアル番号とポリシーの日付はプログラムウィンドウの右上に表示されま す。 メモ: ポリシーのシリアル番号とポリシーの日付は、[詳細]タブの詳細リストの下部に も表示されます。 クライアントコンピュータでポリシーのシリアル番号を表示するには ◆ クライアントコンピュータのクライアントで、[ヘルプ]、[トラブルシューティング]の順 にクリックします。 [管理]タブで、ポリシーのシリアル番号を確認します。 このシリアル番号は、クライアントコンピュータが属するグループのコンソールに表示 されるシリアル番号と一致する必要があります。 251 252 第 13 章 ポリシーを使ったセキュリティの管理 クライアントコンピュータで動作するアプリケーションとサービスの監視 クライアントコンピュータから手動でポリシーを更新するには 1 クライアントコンピュータのクライアントユーザーインターフェースで、[ヘルプ]、[トラ ブルシューティング]の順にクリックします。 2 [トラブルシューティング]ダイアログボックスの左の列で、[管理]をクリックします。 3 [管理]パネルの[ポリシープロファイル]で、[更新]をクリックします。 コンソールから手動でポリシーを更新するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]の下で、プルモード用に設定されているグループを右クリックし、[グ ループでコマンドを実行]をクリックします。 プッシュモードに設定されているクライアントコンピュータは、ポリシー更新をすぐに 受信するので、手動で更新する必要はありません。 3 [コンテンツの更新]をクリックします。 4 コンソールとクライアントコンピュータでポリシーのシリアル番号を調べ、番号が一致 しているかどうかを確認します。 クライアントコンピュータで動作するアプリケーションと サービスの監視 Windows の Symantec Endpoint Protection クライアントは、各コンピュータで実行さ れているアプリケーションとサービスの情報を監視して収集します。情報をリストに収集し、 リストを管理サーバーに送信するように、クライアントを設定できます。アプリケーションの リストとそれらの特性は、学習済みアプリケーションと呼ばれます。 メモ: Mac クライアントは Mac コンピュータで実行されるアプリケーションとサービスを監 視しません。 Symantec Network Access Control クライアントは、Symantec Network Access Control クライアントが実行しているアプリケーションの情報を記録しません。Symantec Network Access Control しかインストールしていない場合は、コンソールで学習済みアプリケー ション機能を使うことができません。Symantec Network Access Control と Symantec Endpoint Protection を統合した場合は、学習済みアプリケーションツールをホストイン テグリティポリシーとともに使うことができます。この機能を使うには、ネットワーク脅威防止 モジュールと、アプリケーションとデバイス制御モジュールもクライアントにインストールす る必要があります。 この情報を使うと、ユーザーが実行しているアプリケーションを調べることができます。次 の領域のアプリケーションに関する情報を必要とする場合に、この情報を使うこともできま す。 第 13 章 ポリシーを使ったセキュリティの管理 クライアントコンピュータで動作するアプリケーションとサービスの監視 ■ ファイアウォールポリシー ■ アプリケーションとデバイス制御ポリシー ■ SONAR 技術 レガシークライアントの場合は TruScan プロアクティブ脅威スキャン ■ ホストインテグリティポリシー ■ ネットワークアプリケーション監視 ■ ファイルフィンガープリントリスト いくつかのタスクを実行して学習済みアプリケーションを設定し使用できます。 表 13-3 アプリケーションを監視する手順 手順 説明 学習済みアプリケーション の有効化 クライアントコンピュータで実行されるアプリケーションに関する情報を 収集するために管理サーバーを設定します。 p.254 の 「クライアントコンピュータで実行されるアプリケーションに関 する情報を収集するための管理サーバーの設定」 を参照してくださ い。 アプリケーションの検索 クエリーツールを使用してクライアントコンピュータで実行されるアプリ ケーションのリストを検索できます。アプリケーションベースの基準また はコンピュータベースの基準を指定して検索できます。たとえば、クラ イアントコンピュータが使っている Internet Explorer のバージョンを 調べることができます。 p.255 の 「コンピュータで実行されるアプリケーションに関する情報の 検索」 を参照してください。 アプリケーションの検索結果は確認のために保存できます。 p.257 の 「アプリケーション検索の結果の保存」 を参照してください。 メモ: 一部の国では、社員が会社のノートパソコンで自宅からオフィスのネットワークにロ グオンしノートパソコンからアプリケーション使用情報を取得する、といった特定の状況で 学習済みアプリケーションツールを使うことが法律で許可されていない場合もあります。こ のツールを使う前に、使用目的が自国の法律で許可されていることを確認してください。 許可されていない場合は、ツールを無効にする手順に従ってください。 253 254 第 13 章 ポリシーを使ったセキュリティの管理 クライアントコンピュータで実行されるアプリケーションに関する情報を収集するための管理サーバーの設定 クライアントコンピュータで実行されるアプリケーションに 関する情報を収集するための管理サーバーの設定 グループまたは場所に対して、学習済みアプリケーションを有効にできます。その後クラ イアントは、実行されるすべてのアプリケーションを追跡し、そのデータを管理サーバー に送信します。 メモ: Mac クライアントは Mac コンピュータで実行されるアプリケーションとサービスを監 視しません。 グループまたは場所の各クライアントでアプリケーションが実行されている場合、管理者 の電子メールアドレスに通知を送信するように設定できます。 p.567 の 「管理者通知の設定」 を参照してください。 メモ: この設定は、親グループからポリシーと設定を継承していないサブグループでのみ 修正できます。 学習済みアプリケーションのリストをグループの管理サーバーに送信するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアントの表示]でグループを選択します。 3 [ポリシー]タブで、[通信の設定]をクリックします。 4 [<グループ名>の通信設定]ダイアログボックスで、[クライアントコンピュータ上で動 作するアプリケーションを学習する]にチェックマークを付けます。 5 [OK]をクリックします。 学習済みアプリケーションのリストを場所の管理サーバーに送信するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアントの表示]でグループを選択します。 3 [場所固有のポリシーと設定]で場所を選択し、[場所固有の設定]を展開します。 4 [通信の設定]の右側で、[タスク]をクリックし、[グループ通信設定を使う]のチェッ クマークをはずします。 この設定のチェックマークをはずすと、グループの設定ではなく場所の設定を作成 できます。 5 [タスク]をクリックし、[設定の編集]をクリックします。 第 13 章 ポリシーを使ったセキュリティの管理 コンピュータで実行されるアプリケーションに関する情報の検索 6 [<場所名>の通信設定]ダイアログボックスで、[クライアントコンピュータ上で動作す るアプリケーションを学習する]にチェックマークを付けます。 7 [OK]をクリックします。 p.252 の 「クライアントコンピュータで動作するアプリケーションとサービスの監視」 を参照 してください。 コンピュータで実行されるアプリケーションに関する情報 の検索 管理サーバーがクライアントからアプリケーションのリストを受信したら、クエリーを実行し てアプリケーションの詳細を調べることができます。たとえば、権限のないアプリケーショ ンを使っているすべてのクライアントコンピュータを調べることができます。その後、ファイ アウォールルールを作成して、クライアントコンピュータ上のアプリケーションを遮断できま す。または、クライアントコンピュータをアップグレードして、最新バージョンの Microsoft Word を使うようにすることもできます。どの種類のポリシーからも[アプリケーションの検 索]タスクを使うことができます。 メモ: Mac クライアントは Mac コンピュータで実行されるアプリケーションとサービスを監 視しません。 アプリケーションは次の方法で検索できます。 ■ アプリケーションごと 検索対象を、特定のアプリケーションやアプリケーションの詳細(名前、ファイルフィン ガープリント、パス、サイズ、バージョン、前回の修正日時など)に制限できます。 ■ クライアントまたはクライアントコンピュータごと 特定のユーザーまたは特定のコンピュータが実行しているアプリケーションを検索で きます。たとえば、コンピュータの IP アドレスを基準として検索できます。 ファイアウォールルールに追加するアプリケーション名について、ファイアウォールポリ シーで直接検索することもできます。 p.384 の 「アプリケーションについての情報の定義」 を参照してください。 メモ: [検索]フィールドの情報はクライアントが実行するすべてのアプリケーションを追跡 する機能を有効にするまで収集されません。各グループまたは場所の[通信の設定]ダ イアログボックスにある[クライアント]ページに移動すると、この機能を有効にできます。 255 256 第 13 章 ポリシーを使ったセキュリティの管理 コンピュータで実行されるアプリケーションに関する情報の検索 コンピュータで実行されるアプリケーションに関する情報を検索するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページの[タスク]で、[アプリケーションの検索]をクリックします。 3 [アプリケーションの検索]ダイアログボックスの[アプリケーションを検索する場所] フィールドの右側で、[参照]をクリックします。 4 [グループまたは場所の選択]ダイアログボックスで、表示するアプリケーションが存 在するクライアントのグループを選択し、[OK]をクリックします。 一度に指定できるグループは 1 つだけです。 5 [サブグループを検索する]にチェックマークが付いていることを確認します。 6 次のいずれかの操作を実行します。 7 ■ ユーザーまたはコンピュータの情報に基づいて検索するには、[クライアント/コ ンピュータ情報に基づく]をクリックする ■ アプリケーションに基づいて検索するには、[アプリケーションに基づく]をクリック する [検索フィールド]の下の空のセルをクリックし、リストから検索基準を選択します。 [検索フィールド]セルに、選択したオプションに対する基準が表示されます。これら の基準について詳しくは[ヘルプ]を参照してください。 8 [比較演算子]の下の空のセルをクリックし、演算子を 1 つ選択します。 9 [値]の下の空のセルをクリックし、値を選択または入力します。 [値]セルでは、[検索フィールド]セルで選択した基準に応じて、入力形式が指定さ れるか、ドロップダウンリストから値を選択できます。 10 検索基準を追加するには、2 つ目の行をクリックし、[検索フィールド]、[比較演算 子]、[値]の各セルに情報を入力します。 検索基準の複数の行に入力した場合、すべての条件に一致するクエリーを実行し ます。 11 [検索]をクリックします。 12 [クエリー結果]の表で、次のいずれかのタスクを行います。 ■ スクロール矢印をクリックして、行や列をさらに表示する ■ [前へ]や[次へ]をクリックし、情報の画面をさらに表示する ■ 行を選択して[詳細の表示]をクリックし、アプリケーションの追加情報を表示す る 結果はファイルにエクスポートしないと保存されません。 第 13 章 ポリシーを使ったセキュリティの管理 アプリケーション検索の結果の保存 13 クエリー結果を削除するには、[すべてを消去]をクリックします。 14 [閉じる]をクリックします。 p.252 の 「クライアントコンピュータで動作するアプリケーションとサービスの監視」 を参照 してください。 アプリケーション検索の結果の保存 クエリーを実行したら、結果をテキストファイルまたはカンマ区切りのファイルに保存でき ます。クエリーツールは、選択した行ではなく、クエリーの結果をすべてエクスポートしま す。 アプリケーション検索の結果を保存するには 1 アプリケーションまたはクライアントコンピュータの詳細を検索します。 p.255 の 「コンピュータで実行されるアプリケーションに関する情報の検索」 を参照し てください。 2 [アプリケーションの検索]ダイアログボックスの[クエリー結果]で、[エクスポート]を クリックします。 3 [エクスポート結果]ダイアログボックスで、エクスポートするアプリケーションの詳細と クライアントコンピュータの詳細を含むページの番号を入力します。 4 ファイルをエクスポートする場所のパス名とファイル名を選択または入力し、[エクス ポート]をクリックします。 5 [OK]をクリックして確認します。 6 アプリケーションの検索を完了したら、[閉じる]をクリックします。 257 258 第 13 章 ポリシーを使ったセキュリティの管理 アプリケーション検索の結果の保存 14 ウイルス対策とスパイウェア 対策の管理 この章では以下の項目について説明しています。 ■ クライアントコンピュータに対するウイルスとスパイウェアの攻撃の防止と処理 ■ ネットワーク内のコンピュータのリスクの修復 ■ クライアントコンピュータでのスキャンの管理 ■ Windows コンピュータで実行される定時スキャンの設定 ■ Mac コンピュータで実行される定時スキャンの設定 ■ クライアントコンピュータでのオンデマンドスキャンの実行 ■ スキャンの調整によるクライアントコンピュータパフォーマンスの改善 ■ スキャンの調整によるクライアントコンピュータでの保護の強化 ■ ダウンロードインサイト検出の管理 ■ Symantec Endpoint Protection が評価データを使ってファイルに関する決定を下 す方法 ■ Symantec Endpoint Protection の保護機能が連携動作する方法 ■ シマンテックセキュリティレスポンスへのクライアントの提出の有効化または無効化 ■ クライアントの提出と他の外部通信のためのプロキシサーバーの指定 ■ 検疫の管理 ■ クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理 260 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータに対するウイルスとスパイウェアの攻撃の防止と処理 クライアントコンピュータに対するウイルスとスパイウェア の攻撃の防止と処理 いくつかの重要なガイドラインに従うことで、クライアントコンピュータに対するウイルスや スパイウェアの攻撃を防止し、処理できます。 表 14-1 ウイルスとスパイウェアの攻撃からのコンピュータの保護 タスク 説明 コンピュータに Symantec Endpoint ネットワーク内のすべてのコンピュータとすべてのサー Protection がインストールされていることを バーに Symantec Endpoint Protection がインストー 確認する ルされている必要があります。Symantec Endpoint Protection が正しく機能していることを確認します。 定義を最新の状態に維持する 最新のウイルス定義がクライアントコンピュータにイン ストールされていることを確認します。 定義の日付は[クライアント]タブで確認できます。最 新ではない定義はコマンドを実行して更新できます。 コンピュータの状態レポートを実行して、最新の定義 の日付を調べることもできます。 p.482 の 「コンテンツ更新の管理」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータに対するウイルスとスパイウェアの攻撃の防止と処理 タスク 説明 定期スキャンを実行する デフォルトでは、Auto-Protect と SONAR はクライア ントコンピュータで実行されます。デフォルトのアクティ ブ定時スキャンもクライアントコンピュータで実行され ます。 スキャンはオンデマンドで実行できます。スキャンの設 定はカスタマイズ可能です。 p.290 の 「クライアントコンピュータでのオンデマンドス キャンの実行」 を参照してください。 定時スキャンを作成し、カスタマイズすると便利です。 通常は、1 週間に一度実行する完全な定時スキャン、 1 日に一度実行するアクティブスキャンを作成すると 便利です。デフォルトでは、Symantec Endpoint Protection は午後 12 時 30 分に実行されるアクティ ブスキャンを生成します。管理外コンピュータでは、無 効にされたデフォルトの起動時スキャンも Symantec Endpoint Protection に含まれます。 ネットワーク内のコンピュータで毎日アクティブスキャ ンを実行していることを確認する必要があります。ネッ トワークに非アクティブな脅威があると疑われる場合 は、週または月に 1 回、完全スキャンを実行するよう にスケジュール設定することをお勧めします。完全ス キャンではコンピュータのリソースがより多く消費され、 コンピュータのパフォーマンスに影響することがありま す。 p.288 の 「Windows コンピュータで実行される定時ス キャンの設定」 を参照してください。 p.289 の 「Mac コンピュータで実行される定時スキャン の設定」 を参照してください。 261 262 第 14 章 ウイルス対策とスパイウェア対策の管理 ネットワーク内のコンピュータのリスクの修復 タスク 説明 保護を強化するためにスキャンの設定を調 デフォルトでは、ウイルススキャンとスパイウェアスキャ 査または修正する ンはウイルスとセキュリティリスクの副作用を検出、除 去、修復します。 デフォルトのスキャン設定では、高レベルの保護を提 供するのと同時にクライアントコンピュータのパフォー マンスが最適化されます。しかし、保護のレベルを高 めることができます。 たとえば、Bloodhound™ のヒューリスティック保護の レベルを高めることもできます。 また、ネットワークドライブのスキャンを有効にできま す。 p.295 の 「スキャンの調整によるクライアントコンピュー タでの保護の強化」 を参照してください。 検出についての情報をシマンテック社に提 クライアントは検出についての情報をシマンテック社 出することをクライアントを許可する に提出できます。この提出された情報は、シマンテッ ク社が脅威に対応する助けになります。 p.304 の 「シマンテックセキュリティレスポンスへのクラ イアントの提出の有効化または無効化」 を参照してく ださい。 侵入防止を実行する シマンテック社はクライアントコンピュータで、ウイルス 対策とスパイウェア対策はもとより、侵入防止を実行す ることを推奨します。 p.411 の 「クライアントコンピュータでの侵入防止の管 理」 を参照してください。 必要な場合は感染を修復する スキャンの実行後、クライアントコンピュータがまだ感 染している場合があります。たとえば、新種の脅威に はシグネチャがなかったり、Symantec Endpoint Protection が完全に脅威を削除できなかったりする 場合があります。場合により、Symantec Endpoint Protection がクリーニング処理を完了できるようにク ライアントコンピュータで再起動が必要とされます。 p.262 の 「ネットワーク内のコンピュータのリスクの修復」 を参照してください。 ネットワーク内のコンピュータのリスクの修復 コンピュータに対するウイルスやスパイウェアの攻撃を処理することの一部として、リスクを 修復します。 第 14 章 ウイルス対策とスパイウェア対策の管理 ネットワーク内のコンピュータのリスクの修復 p.260 の 「クライアントコンピュータに対するウイルスとスパイウェアの攻撃の防止と処理」 を参照してください。 ネットワークでのウイルスとアウトブレークの処理について詳しくは、ナレッジベースの記 事、「Best practices for troubleshooting viruses on a network」を参照してください。 どのコンピュータが感染したかを特定し、修復の結果を表示するには、コンソールのレ ポート機能と監視機能を使います。 p.533 の 「エンドポイント保護の監視」 を参照してください。 表 14-2 クライアントコンピュータのリスクの修復 手順 タスク 説明 手順 1 感染したコンピュータとリス 感染したコンピュータとリスクを伴うコンピュータについての情報を Symantec クを伴うコンピュータを識 Endpoint Protection Manager から入手できます。[ホーム]ページの[ウイルス 別する とリスクの活動の概略]で、[新しく感染した項目]と[まだ感染しています]の数を 調べます。[新しく感染した項目]の数は[まだ感染しています]のサブセットです。 [新しく感染した項目]の数は、概略で指定した時間間隔の間に感染したコンピュー タとリスクを伴うコンピュータの数を示します。 メモ: 未修復の SONAR 検出は[まだ感染しています]としては数えられません。 これらは概略では、[疑いあり]の数に含まれています。 その後のスキャンで感染として検出されたコンピュータは、まだ感染していると見 なされます。たとえば定時スキャンでは、部分的にファイルがクリーニングされるこ とがあります。その後の Auto-Protect では、このファイルはリスクとして検出され ます。 「まだ感染している」と見なされたファイルは、新しい定義が到着したとき、または クライアントコンピュータがアイドル状態になるととすぐに再スキャンされます。 p.264 の 「感染コンピュータとリスクを伴うコンピュータの識別」 を参照してください。 手順 2 定義を更新して再スキャン クライアントが最新のウイルスとスパイウェアの定義を使っていることを確認する必 する 要があります。 Windows コンピュータで実行されるクライアントの場合は、定時スキャンとオンデ マンドスキャンが Insight ルックアップ機能を使っていることも確認する必要があ ります。 定義の日付は、[感染コンピュータとリスクを伴うコンピュータ]レポートで調べるこ とができます。リスクログから[コンテンツの更新とスキャン]コマンドを実行できま す。 [ホーム]ページの[ウイルスとリスクの活動の概略]で、[まだ感染しています]の 数と[新しく感染した項目]の数が 0 と表示されていれば、すべてのリスクが除去 されています。 p.482 の 「コンテンツ更新の管理」 を参照してください。 263 264 第 14 章 ウイルス対策とスパイウェア対策の管理 ネットワーク内のコンピュータのリスクの修復 手順 タスク 説明 手順 3 スキャン処理を確認して再 スキャンは、リスクを放置するように設定されている場合があります。ウイルスとスパ スキャンする イウェアの対策ポリシーを編集し、リスクカテゴリの処理を変更することができます。 次回スキャンが実行されると、Symantec Endpoint Protection は新しい処理を 適用します。 処理の設定は、特定のスキャンの種類(管理者定義やオンデマンドスキャン、また は Auto-Protect)の[処理]タブで行います。ダウンロードインサイトと SONAR の 検出処理も変更できます。 p.265 の 「スキャン処理の確認と識別されたコンピュータの再スキャン」 を参照して ください。 手順 4 必要な場合はコンピュー タを再起動して修復を完 了する ウイルスやセキュリティリスクの修復を完了するために再起動が必要な場合には、 コンピュータがまだリスク状態にある、または感染している可能性があります。 リスクログを表示すると、いずれかのコンピュータで再起動が必要かどうかを判断 できます。 ログからのコマンドを実行し、コンピュータを再起動できます。 p.557 の 「クライアントコンピュータでのログからのコマンド実行」 を参照してくださ い。 手順 5 残ったリスクを調査し、ク リーニングする リスクが残った場合には、さらに調査する必要があります。 シマンテックセキュリティレスポンス Web ページでウイルスとセキュリティリスクに関 する最新情報を確認することができます。 http://www.symantec.com/ja/jp/enterprise/security_response/index.jsp http://www.symantec.com/enterprise/security_response/ クライアントコンピュータでは、スキャン結果のダイアログボックスからも、セキュリ ティレスポンスの Web サイトにアクセスできます。 シマンテック社のテクニカルサポートでは、脅威の詳細解析を迅速に提供する Threat Expert ツールも提供されています。また、問題のトラブルシューティング に役立つロードポイント分析ツールを実行できます。 手順 6 コンピュータ状態ログを調 コンピュータ状態ログを表示し、リスクが修復されるかクライアントコンピュータから べる 削除されたことを確認します。 p.551 の 「ログの表示」 を参照してください。 感染コンピュータとリスクを伴うコンピュータの識別 Symantec Endpoint Protection Manager の[ホーム]ページとリスクレポートを使って、 感染コンピュータとリスクを伴うコンピュータを識別できます。 p.262 の 「ネットワーク内のコンピュータのリスクの修復」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 ネットワーク内のコンピュータのリスクの修復 感染コンピュータを識別するには 1 コンソールで、[ホーム]をクリックし、[ウイルスとリスクの活動の概略]を表示します。 システム管理者には、サイトのコンピュータのうち[新しく感染した項目]と[まだ感染 しています]の数が表示されます。ドメイン管理者には、ドメイン内部のコンピュータ のうち[新しく感染した項目]と[まだ感染しています]の数が表示されます。 [まだ感染しています]は[新しく感染した項目]のサブセットであり、[まだ感染してい ます]の数はネットワークからリスクを除去すると減少します。その後のスキャンで感 染していると報告されたコンピュータは、まだ感染しています。たとえば、Symantec Endpoint Protection はコンピュータのリスクを部分的にしかクリーニングできてい ない場合があるので、Auto-Protect は引き続きリスクを検出します。 2 コンソールで、[レポート]をクリックします。 3 [レポートの種類]リストボックスで、[リスク]をクリックします。 4 [レポートの選択]リストボックスで、[感染コンピュータとリスクを伴うコンピュータ]をク リックします。 5 [レポートの作成]をクリックして、表示される感染コンピュータとリスクを伴うコンピュー タのリストを書き留めます。 スキャン処理の確認と識別されたコンピュータの再スキャン 感染コンピュータとリスクを伴うコンピュータがある場合は、コンピュータがまだそれらの状 態にある理由を識別する必要があります。感染したコンピュータやリスクを伴うコンピュー タ上の各リスクに対して適用した処理をチェックします。設定され適用された処理が[放 置]だった可能性があります。処理が[放置]だった場合は、コンピュータからリスクをクリー ニングするか、ネットワークからコンピュータを削除するか、リスクを受け入れるかいずれか を行う必要があります。Windows クライアントの場合はウイルスとスパイウェアの対策ポリ シーを編集し、このカテゴリのリスク、またはこの特定のリスクに対するスキャン処理を変更 することを推奨します。 p.262 の 「ネットワーク内のコンピュータのリスクの修復」 を参照してください。 265 266 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 変更が必要な処理を識別し、識別されたコンピュータを再スキャンするには 1 コンソールで、[監視]をクリックします。 2 [ログ]タブで[リスク]ログを選択して、[ログの表示]をクリックします。 リスクログの[イベント]列に、どのような状態でどの処理が適用されたかが表示され ます。[リスク名]列には、まだアクティブなリスクの名前が表示されます。[ドメイン]列 には、コンピュータが属しているグループが表示されます。 スキャンで[放置]の処理が適用されたためにクライアントがリスク状態にある場合は、 そのグループのウイルスとスパイウェアの対策ポリシーを変更する必要があります。 [コンピュータ]列に、まだアクティブなリスクがあるコンピュータの名前が表示されま す。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の 変更」 を参照してください。 [プッシュモード]を使うようにポリシーが設定されている場合には、次回のハートビー トのときにそのポリシーがグループのクライアントにプッシュされます。 p.248 の 「クライアントコンピュータがポリシー更新を取得する方法」 を参照してくださ い。 3 [戻る]をクリックします。 4 [ログ]タブで[コンピュータの状態]ログを選択して、[ログの表示]をクリックします。 5 処理を変更して新しいポリシーをプッシュした場合には、新しい設定を使って再ス キャンする必要のあるコンピュータを選択します。 6 [コマンド]リストボックスで[スキャン]を選択し、[開始]をクリックしてコンピュータを再 度スキャンします。 [スキャン]コマンドの状態は、[コマンドの状態]タブで監視できます。 クライアントコンピュータでのスキャンの管理 一部のスキャンはデフォルトで実行されますが、設定を変更したり、独自の定時スキャン を設定したいことがあります。スキャンをカスタマイズし、クライアントコンピュータでどれだ けの保護を提供するかを変更することもできます。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 表 14-3 クライアントコンピュータでのスキャンの管理 タスク 説明 スキャンの種類と標準設定を確認する スキャンの設定を確認します。デフォルトを確認して、 変更を加えるかどうかを判断できます。 p.269 の 「スキャンの種類とリアルタイム保護について」 を参照してください。 p.283 の 「デフォルトのウイルスとスパイウェアの対策ポ リシーのスキャン設定について」 を参照してください。 定時スキャンを作成してオンデマンドスキャ 定時スキャンとオンデマンドスキャンを使って、 ンを実行する Auto-Protect が提供する保護を補うことができます。 Auto-Protect は、ファイルを読み書きするときの保護 を提供します。定時スキャンとオンデマンドスキャンは、 クライアントコンピュータに存在する任意のファイルを スキャンできます。また、メモリ、ロードポイント、クライ アントコンピュータの他の重要な場所を保護することも できます。 メモ: 管理下クライアントに対し、Symantec Endpoint Protection は、クライアントコンピュータ上のすべての ファイル、フォルダ、場所をスキャンするデフォルト定 時スキャンを提供します。 p.288 の 「Windows コンピュータで実行される定時ス キャンの設定」 を参照してください。 p.289 の 「Mac コンピュータで実行される定時スキャン の設定」 を参照してください。 p.290 の 「クライアントコンピュータでのオンデマンドス キャンの実行」 を参照してください。 267 268 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 タスク 説明 環境のスキャン設定をカスタマイズする 管理者定義のスキャンのオプションに加えて、 Auto-Protect の設定をカスタマイズできます。誤認検 出の処理、コンピュータやスキャンパフォーマンスの最 適化、スキャン処理や通知の変更を行うために、スキャ ンの設定を変更したいことがあります。 定時スキャンについては、未実行のスキャン、ランダム 化されたスキャン、ネットワークドライブをスキャンする かどうかのオプションも設定できます。 p.318 の 「Windows コンピュータで実行されるウイル ススキャンとスパイウェアスキャンのカスタマイズ」 を参 照してください。 p.319 の 「Mac コンピュータで実行されるウイルススキャ ンとスパイウェアスキャンのカスタマイズ」 を参照してく ださい。 スキャンを調整してクライアントコンピュータ デフォルトでは、Symantec Endpoint Protection は のパフォーマンスを改善する クライアントコンピュータのパフォーマンスへの影響を 最小限にするのと同時に、高レベルのセキュリティを 提供します。しかし、いくつかの設定を変更するとコン ピュータのパフォーマンスをさらに最適化できます。最 適化は仮想化された環境で重要です。 メモ: クライアントコンピュータのパフォーマンスを最適 化するために設定を調整するときには、クライアントコ ンピュータで一部のセキュリティを低下させる場合があ ります。 p.291 の 「スキャンの調整によるクライアントコンピュー タパフォーマンスの改善」 を参照してください。 スキャンを調整してクライアントコンピュータ デフォルトのスキャン設定では、高レベルの保護を提 での保護レベルを高める 供するのと同時にクライアントコンピュータのパフォー マンスが最適化されます。しかし、保護のレベルを高 めることができます。 p.295 の 「スキャンの調整によるクライアントコンピュー タでの保護の強化」 を参照してください。 ダウンロードインサイト検出を管理する ダウンロードインサイトは、ユーザーが Web ブラウザ、 テキストメッセージクライアント、その他のポータルを通 してダウンロードを試みるファイルを検査します。ダウ ンロードインサイトは Symantec Insight からの評価 情報を使って、ファイルに関する決定を下します。 p.297 の 「ダウンロードインサイト検出の管理」 を参照 してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 タスク 説明 SONAR を管理する SONAR はクライアントコンピュータに対するプロアク ティブ脅威防止の一部です。ただし、SONAR の設定 はウイルスとスパイウェアの対策ポリシーの一部です。 p.344 の 「SONAR の管理」 を参照してください。 スキャンの例外を設定する 安全だとわかっているファイルとアプリケーションの例 外を作成できます。 いくつかのファイルとフォルダも、Symantec Endpoint Protection によって自動的に除外されます。 p.466 の 「Symantec Endpoint Protection の例外の 管理」 を参照してください。 p.276 の 「Symantec Endpoint Protection がウイル ススキャンとスパイウェアスキャンから除外するファイル とフォルダについて」 を参照してください。 検疫にあるファイルを管理する クライアントコンピュータで検疫されたファイルを監視 し、削除できます。 検疫についての設定も指定できます。 p.307 の 「検疫の管理」 を参照してください。 検出についての情報をシマンテック社に提 デフォルトでは、クライアントは検出についての情報を 出することをクライアントを許可する シマンテック社に送信します。提出をオフにすること も、クライアントが提出する情報の種類を選択すること もできます。 シマンテック社は提出の送信を常にクライアントに許 可することを推奨します。この情報はシマンテック社が 脅威に対処するために役立ちます。 p.304 の 「シマンテックセキュリティレスポンスへのクラ イアントの提出の有効化または無効化」 を参照してく ださい。 クライアントコンピュータに表示されるウイ ルスとスパイウェアの通知を管理する クライアントコンピュータにウイルスとスパイウェアのイ ベントについての通知を表示するかどうかを指定でき ます。 p.313 の 「クライアントコンピュータに表示されるウイル スとスパイウェアの通知の管理」 を参照してください。 スキャンの種類とリアルタイム保護について Symantec Endpoint Protection には、さまざまな種類のウイルス、脅威、リスクを検出 するために、さまざまな種類のスキャンとリアルタイム保護が用意されています。 269 270 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 デフォルトでは、Symantec Endpoint Protection は毎日午後 12 時 30 分にアクティブ スキャンを実行します。Symantec Endpoint Protection は、新しい定義がクライアントコ ンピュータに届いたときにもアクティブスキャンを実行します。管理外コンピュータでは、 無効にされたデフォルトの起動時スキャンも含まれます。 ネットワーク内のコンピュータで毎日アクティブスキャンを実行していることを確認する必 要があります。ネットワークに非アクティブな脅威があると疑われる場合は、週または月に 1 回、完全スキャンを実行するようにスケジュール設定することをお勧めします。完全ス キャンではコンピュータのリソースがより多く消費され、コンピュータのパフォーマンスに影 響することがあります。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 表 14-4 スキャンの種類 スキャンの種類 説明 Auto-Protect Auto-Protect はファイルや電子メールデータがコンピュータに対して読み書きされるときに、そ れらを連続的に検査します。Auto-Protect は検出されたウイルスとセキュリティリスクを自動的に 中和または除去します。 メモ: Mac クライアントではファイルシステムについてのみ Auto-Protect がサポートされます。 p.272 の 「Auto-Protect の種類について」 を参照してください。 ダウンロードインサイト ダウンロードインサイトは、ユーザーがブラウザや他のポータルからファイルのダウンロードを試み たときにファイルを検査することで、Auto-Protect スキャンのセキュリティを向上させます。 ダウンロードインサイトは評価情報を使ってファイルに関する決定を下します。Insight と呼ばれ るシマンテック社の技術がファイルの評価を決定します。Insight はファイルのソースだけでなく、 ファイルのコンテキストも使ってファイルの評価を決定します。Insight はダウンロードインサイトが ファイルに関する決定を下すために使うセキュリティ評価を提供します。 ダウンロードインサイトは Auto-Protect の一部として機能するので、Auto-Protect が有効になっ ている必要があります。 p.301 の 「Symantec Endpoint Protection が評価データを使ってファイルに関する決定を下す 方法」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 スキャンの種類 説明 管理者定義のスキャン 管理者定義のスキャンはクライアントコンピュータ上のすべてのファイルとプロセスを調べて、ウイ ルスとセキュリティリスクを検出します。管理者定義のスキャンはメモリとロードポイントも検査でき ます。 次の種類の管理者定義のスキャンを利用できます。 ■ 定時スキャン 定時スキャンは指定した時刻にクライアントコンピュータで実行されます。同じ時刻に設定さ れた定時スキャンがあれば順次実行されます。定時スキャンの間にコンピュータがオフになっ た場合には、未実行のスキャンを再試行するように設定されていなければスキャンは実行され ません。アクティブスキャン、完全スキャン、カスタムスキャンをスケジュール設定できます。 メモ: カスタムスキャンのみ Mac クライアントで利用可能です。 定時スキャンの設定はテンプレートとして保存できます。テンプレートとして保存した任意のス キャンを、異なるスキャンのベースとして使うことができます。スキャンテンプレートを使うと、複 数のポリシーを設定するときに時間を節約できます。定時スキャンのテンプレートは、デフォル トでポリシーに含まれています。デフォルト定時スキャンでは、すべてのファイルとディレクトリ がスキャンされます。 ■ 起動時スキャンとトリガのスキャン 起動時スキャンはユーザーがコンピュータにログオンするときに実行されます。トリガのスキャ ンは新しいウイルス定義がコンピュータにダウンロードされたときに実行されます。 メモ: 起動時スキャンとトリガのスキャンは Windows クライアントでのみ利用可能です。 ■ SONAR オンデマンドスキャン オンデマンドスキャンは Symantec Endpoint Protection Manager でスキャンコマンドを選 択するとすぐに実行されるスキャンです。 このコマンドは[クライアント]タブまたはログから選択できます。 SONAR はゼロデイ攻撃に対するリアルタイム保護を提供します。SONAR は従来のシグネチャ ベースの定義が脅威を検出する前であっても攻撃を止めることができます。SONAR は、ヒューリ スティックとファイル評価データを使って、アプリケーションまたはファイルについての決定を行い ます。 SONAR はプロアクティブ脅威スキャンのように、キーロガー、スパイウェア、悪質または潜在的に 悪質な可能性がある他のすべてのアプリケーションを検出します。 メモ: SONAR は Symantec Endpoint Protection バージョン 12.1 以降を実行する Windows コンピュータでのみサポートされます。 p.343 の 「SONAR について」 を参照してください。 271 272 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 スキャンの種類 説明 TruScan プロアクティブ脅 Symantec Endpoint Protection バージョン 11.x. を実行する Windows コンピュータでサポー 威スキャン トされます。SONAR はバージョン 11.x を実行するコンピュータではサポートされません。 TruScan プロアクティブ脅威スキャンはレガシークライアントにゼロデイ攻撃からの保護を提供し ます。TruScan プロアクティブ脅威スキャンは、アプリケーションまたはプロセスが既知の脅威の 特性を示しているかどうかを特定します。これらのスキャンは、トロイの木馬、ワーム、キーロガー、 アドウェアやスパイウェア、悪質な目的のために使われるアプリケーションを検出します。 リアルタイムに実行される SONAR とは異なり、TruScan プロアクティブ脅威スキャンは設定され た頻度で実行されます。 Auto-Protect の種類について Auto-Protect は、ファイルのほか、特定の種類の電子メールと電子メールの添付ファイ ルをスキャンします。 デフォルトでは、すべての種類の Auto-Protect が有効です。クライアントコンピュータが Symantec Mail Security などのその他の電子メールセキュリティ製品を実行している場 合は、電子メール用の Auto-Protect を有効にする必要はありません。 Mac クライアントでは電子メールの Auto-Protect スキャンはサポートされません。 p.269 の 「スキャンの種類とリアルタイム保護について」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 表 14-5 Auto-Protect の種類 Auto-Protect の種類 説明 Auto-Protect ファイルがクライアントコンピュータに対して読み書きされるときに、それらを連続 的にスキャンします Auto-Protect はデフォルトで、ファイルシステムに対して有効になります。 Auto-Protect はコンピュータの起動時にロードされます。Auto-Protect はウイル スやセキュリティリスクがないかすべてのファイルを検査し、インストールされない ようにセキュリティリスクを遮断します。オプションで、拡張子によるファイルのスキャ ン、リモートコンピュータでのファイルのスキャン、ブートウイルスを探すフロッピー ディスクのスキャンが可能です。また、オプションで、ファイルの修復を試みる前の バックアップ、プロセスの終了、サービスの停止サービスが可能です。 選択した拡張子のファイルだけをスキャンするように Auto-Protect を設定できま す。Auto-Protect は選択した拡張子のファイルをスキャンするとき、ウイルスに よってファイルの拡張子が変更された場合でもファイルの種類を判定することがで きます。 電子メール Auto-Protect を実行しない Mac クライアントまたは Windows クライ アントの場合、Auto-Protect が有効になっていれば、クライアントコンピュータは 保護されています。ほとんどの電子メールアプリケーションは、ユーザーが電子 メールの添付ファイルを開くと、それを一時フォルダに保存します。Auto-Protect は一時フォルダに書き込まれときにファイルをスキャンし、ウイルスやセキュリティリ スクを検出します。Auto-Protect では、感染した添付ファイルをユーザーがロー カルドライブまたはネットワークドライブに保存しようとした場合にもウイルスが検出 されます。 インターネット電子メール Auto-Protect ウイルスとセキュリティリスクがないかインターネット電子メール(POP3 または SMTP) と添付ファイルをスキャンし、アウトバウンド電子メールのヒューリスティックスキャン も実行します。 デフォルトでは、インターネット電子メール Auto-Protect で、POP3 と SMTP 接 続による暗号化パスワードと電子メールがサポートされています。SSL(Secure Sockets Layer)を利用する POP3 または SMTP を使う場合に、クライアントはセ キュリティで保護された接続を検出しますが、暗号化メッセージはスキャンしませ ん。 メモ: パフォーマンス上の理由により、POP3 のインターネット電子メール Auto-Protect は、サーバーオペレーティングシステムではサポートされていませ ん。インターネット電子メールスキャンは、64 ビットコンピュータではサポートされ ません。 電子メールスキャンは Hotmail または Yahoo のような IMAP、AOL、または HTTP ベースの電子メールをサポートしません電子メールスキャンは、IMAP、AOL、 Hotmail や Yahoo! メールなどの HTTP ベースの電子メールをサポートしませ ん。直前の文節は誤マッチ。こちらにすべての訳文を入れました 273 274 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 Auto-Protect の種類 説明 Microsoft Outlook Auto-Protect ウイルスとセキュリティリスクがないか Microsoft Outlook 電子メール(MAPI とイ ンターネット)と添付ファイルをスキャンします。 Microsoft Outlook 98/2000/2002/2003/2007/2010(MAPI とインターネット) がサポートされます。 クライアントソフトウェアをインストールするときに Microsoft Outlook がコンピュー タにインストール済みの場合には、クライアントソフトウェアが電子メールアプリケー ションを検出します。クライアントは自動的に Microsoft Outlook Auto-Protect をインストールします。 MAPI を介した Microsoft Outlook または Microsoft Exchange クライアントを 使っていて、電子メールの Auto-Protect を有効にした場合、添付ファイルはユー ザーが開いたときにスキャンされます。ユーザーが低速な接続でサイズの大きな 添付ファイルをダウンロードすると、メールのパフォーマンスに影響があります。サ イズの大きな添付ファイルを定期的に受信するユーザーでは、この機能を無効に することをお勧めします。 メモ: Microsoft Exchange Server には、Microsoft Outlook Auto-Protect を インストールしないでください。その代わり、Symantec Mail Security for Microsoft Exchange をインストールする必要があります。 Lotus Notes Auto-Protect ウイルスとセキュリティリスクがないか Lotus Notes 電子メールと添付ファイルをス キャンします。 Lotus Notes 4.5x、4.6、5.0、6.x がサポートされます。 クライアントソフトウェアをインストールするときに Lotus Notes がコンピュータにイ ンストール済みの場合には、クライアントソフトウェアが電子メールアプリケーション を検出します。クライアントは自動的に Lotus Notes Auto-Protect をインストール します。 ウイルスとセキュリティリスクについて Symantec Endpoint Protection はウイルスとセキュリティリスクの両方をスキャンします。 セキュリティリスクには、スパイウェア、アドウェア、ルートキット、コンピュータまたはネット ワークを危険にさらす可能性があるその他のファイルが含まれます。 ウイルスとセキュリティリスクは、電子メールメッセージやインスタントメッセンジャープログ ラムを通して到着する可能性があります。ソフトウェアプログラムのエンドユーザー使用許 諾契約を受け入れることで、気付かずにリスクをダウンロードしてしまうこともあります。 多くのウイルスとセキュリティリスクは「ドライブバイダウンロード」としてインストールされま す。これらのダウンロードは通常、ユーザーが悪質な Web サイトや感染した Web サイト にアクセスしたときに発生し、アプリケーションのダウンローダが本物の脆弱性を通してコ ンピュータにインストールされます。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 Windows クライアントでは、Symantec Endpoint Protection がウイルスまたはセキュリ ティリスクを検出したときに実行する処理を変更できます。セキュリティリスクのカテゴリは、 シマンテック社がリスクに関する情報を収集するため動的で、時間とともに変化します。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の変更」 を参照してください。 特定のリスクについての情報は、シマンテックセキュリティレスポンスの Web サイトで参照 できます。 表 14-6 ウイルスとセキュリティリスク リスク 説明 ウイルス 実行時に自身のコピーを別のコンピュータプログラムまたはファイルに 添付するプログラムまたはコード。感染したプログラムを実行すると、添 付されたウイルスプログラムがアクティブになり、自身を他のプログラム やファイルに添付します。 ウイルスのカテゴリには、次の種類の脅威が含まれます。 ■ ■ ■ ■ ■ 悪意のあるインターネットボット インターネット介して自動化されたタスクを実行するプログラム。ボッ トは、コンピュータへの攻撃を自動化したり、Web サイトから情報を 収集したりする目的で使用できます。 ワーム 他のプログラムに影響を与えることなく複製されるプログラム。ワー ムには、ディスク間で自身をコピーすることで広がるものや、メモリ 内で自己複製してコンピュータのパフォーマンスを低下させるもの があります。 トロイの木馬 ゲームやユーティリティなどの良性なものの中に隠れたプログラム。 複合型脅威 ウイルス、ワーム、トロイの木馬、サーバーの特性と、インターネット の脆弱性を利用して攻撃を開始、伝搬、拡散させるコードが複合 された脅威。複合型脅威は複数の方法や技法を使って急速に広 がり、広範な損傷を引き起こします。 ルートキット コンピュータのオペレーティングシステムから自身を隠ぺいするプ ログラム。 アドウェア 何らかの広告コンテンツを配信するプログラム。 ダイヤラー ユーザーの許可なく、またはユーザーが気付かないうちに、コンピュー タを使ってインターネット経由でダイヤル Q2 や FTP サイトにダイヤル するプログラム。一般に、課金により利益を得るためにこれらの番号に ダイヤルします。 275 276 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 リスク 説明 ハッキングツール コンピュータへの権限のないアクセスを可能にするためにハッカーが 使うプログラムです。ハッキングツールの例としては、キーストロークを 追跡して記録し、この情報をハッカーに送信するキーロガーがありま す。ハッカーはこの情報を使って、ポートスキャンまたは脆弱性スキャ ンを実行できます。ハッキングツールは、ウイルスの作成にも使うことが できます。 ジョークプログラム ユーモラスであったり、怖がらせるように、コンピュータの操作を改変し たり妨害したりするプログラム。たとえば、ジョークプログラムはユーザー がそれを削除しようとすると、ごみ箱を動かしたりします。 紛らわしいアプリケーショ コンピュータのセキュリティの状態を意図して不正に表現するアプリケー ン ション。これらのアプリケーションは通常、削除する必要がある偽の感 染に関するセキュリティの通知を偽装します。 保護者機能プログラム コンピュータの使用を監視または制限するプログラム。これらのプログ ラムは検出されることなく動作する可能性があり、通常は監視情報を別 のコンピュータに伝送します。 リモートアクセスプログラム インターネット経由で別のコンピュータからのアクセスを可能にし、情報 収集、攻撃、ユーザーのコンピュータを改変できるようにするプログラ ム。 セキュリティ評価ツール コンピュータへの権限のないアクセスを目的とした情報の収集に使わ れるプログラム。 スパイウェア 密かにシステムの動作を監視し、パスワードやその他の機密情報を検 出して別のコンピュータに中継するスタンドアロンプログラム。 トラックウェア インターネット上でのユーザーのパスを追跡して、管理者やハッカーの システムに情報を送信するスタンドアロンアプリケーションまたは追加 されたアプリケーション。 Symantec Endpoint Protection がウイルススキャンとスパイウェアスキャ ンから除外するファイルとフォルダについて Symantec Endpoint Protection は特定のサードパーティのアプリケーションや一部の シマンテック製品が存在することを検出すると、これらのファイルとフォルダのために自動 的に除外を作成します。クライアントでは、これらのファイルとフォルダをすべてのスキャン から除外します。 メモ: コンピュータ上のセキュリティの脆弱性が大幅に高まる可能性があるため、クライア ントがシステムの一時フォルダをスキャンから除外することはありません。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 スキャンパフォーマンスを改善したり、誤認検出を減らしたりするために、例外ポリシーに ファイルまたはフォルダの例外を追加することで、ファイルを除外できます。特定のスキャ ンに含める拡張子やフォルダも指定できます。 p.471 の 「スキャンからのファイルまたはフォルダの除外」 を参照してください。 警告: スキャンから除外するファイルやフォルダは、ウイルスとセキュリティリスクから保護 されません。 クライアントが自動的に作成した除外を表示できます。 Windows レジストリの次の場所を調べます。 ■ 32 ビットコンピュータでは、 HKEY_LOCAL_MACHINE¥Software¥Symantec¥Symantec Endpoint Protection¥AV¥Exclusions を参照します。 ■ 64 ビットコンピュータでは、 HKEY_LOCAL_MACHINE¥Software¥Wow6432Node¥Symantec¥Symantec Endpoint Protection¥AV¥Exclusions を参照します。 警告: このレジストリを直接編集しないでください。 277 278 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 表 14-7 ファイルとフォルダの除外 ファイル 説明 Microsoft Exchange クライアントソフトウェアは、Microsoft Exchange Server の次の バージョンに対するファイルとフォルダのスキャンの除外項目を 自動的に作成します。 ■ Exchange 5.5 ■ Exchange 6.0 ■ Exchange 2000 ■ Exchange 2003 ■ Exchange 2007 ■ Exchange 2007 SP1 ■ Exchange 2010 Exchange 2007 のウイルス対策ソフトウェアとの互換性について 詳しくは、ユーザーマニュアルを参照してください。環境によって は、Exchange 2007 のフォルダについて、スキャン除外項目を 手動で作成する必要がある場合があります。たとえば、クラスタ化 されたサーバー環境では、除外項目をいくつか作成する必要が あります。 クライアントソフトウェアは、一定の間隔で Microsoft Exchange サーバーのファイルとフォルダの場所の変更をチェックします。ク ライアントソフトウェアがすでにインストールされているコンピュー タに Microsoft Exchange サーバーをインストールした場合、ク ライアントは変更をチェックしたときに除外項目を作成します。ク ライアントは、ファイルとフォルダの両方を除外します。除外した フォルダからファイルを移動しても、そのファイルは除外されたま まになります。 詳しくは、ナレッジベースの記事「Preventing Symantec Endpoint Protection 11.0 from scanning the Microsoft Exchange 2007 directory structure」を参照してください。 Microsoft Forefront クライアントは次の Microsoft Forefront 製品のためにファイル とフォルダの除外を自動的に作成します。 ■ Forefront Server Security for Exchange ■ Forefront Server Security for SharePoint ■ Forefront Threat Management Gateway 推奨される除外のリストについては、Microsoft 社の Web サイト を確認してください。 また、シマンテック社のテクニカルサポートナレッジベースの記事 「Configuring Symantec Endpoint Protection exclusions for Microsoft Forefront」を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 ファイル 説明 Active Directory ドメインコント クライアントは、Active Directory ドメインコントローラのデータ ローラ ベース、ログ、作業ファイルに関するファイルとフォルダの除外項 目を自動的に作成します。クライアントは、クライアントコンピュー タにインストールされているアプリケーションを監視します。このソ フトウェアがクライアントコンピュータ上で Active Directory を検 出した場合は、自動的に例外項目が作成されます。 特定のシマンテック製品 クライアントは、特定のシマンテック製品が検出されると、それら に対する適切なファイルとフォルダのスキャンの除外項目を自動 的に作成します。 クライアントソフトウェアでは、次のシマンテック製品について除外 項目を自動的に作成します。 Symantec Mail Security 4.0、4.5、4.6、5.0、6.0 for Microsoft Exchange ■ Symantec AntiVirus/Filtering 3.0 for Microsoft Exchange ■ ■ Norton AntiVirus 2.x for Microsoft Exchange ■ Symantec Endpoint Protection Manager の埋め込みデー タベースとログ 279 280 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 ファイル 説明 選択した拡張子と Microsoft 社 各種類の管理者定義のスキャンや Auto-Protect では、対象に 関係のフォルダ 含めるファイルを拡張子によって選択できます。管理者定義のス キャンの場合は、対象に含めるファイルをフォルダによって選択 することもできます。たとえば、定時スキャンでは特定の拡張子の みをスキャンし、Auto-Protect ではすべての拡張子をスキャンす るように指定できます。 実行可能ファイルと Microsoft Office ファイルの場合には、ウイ ルスによって拡張子が変更されていても Auto-Protect がファイ ルの種類を特定できます。 デフォルトでは、Symantec Endpoint Protection はすべての拡 張子のファイルとフォルダをスキャンします。選択解除した拡張子 やフォルダはそのスキャンから除外されます。 どの拡張子についても、それらをスキャンから除外することは推 奨されません。しかし、拡張子や Microsoft 社関係のフォルダに よってファイルを除外する場合は、ネットワークに必要な保護のレ ベルを考慮してください。クライアントコンピュータがスキャンを完 了するために必要とする時間とリソースも考慮する必要がありま す。 メモ: ファイルシステムの Auto-Protect スキャンから除外した拡 張子はすべて、ダウンロードインサイトからも除外されます。ダウ ンロードインサイトを実行する場合、スキャンする拡張子のリスト に、一般的なプログラムとデータファイルの拡張子を含める必要 があります。.msi ファイルをスキャンすることを確認する必要もあ ります。 ファイルとフォルダの例外 例外ポリシーを使って、すべてのウイルススキャンとスパイウェア スキャンから除外するファイルまたはフォルダの例外を作成しま す。 メモ: デフォルトでは、クライアントコンピュータのユーザーはファ イルとフォルダの例外も作成できます。 たとえば、電子メールアプリケーションの受信ボックス用にファイ ルの除外を作成できます。 クライアントがオンデマンドスキャンまたは定時スキャン中に受信 ボックスのファイル内でウイルスを検出した場合、クライアントは受 信ボックス全体を検疫します。そうする代わりに、受信ボックスの ファイルを除外する例外を作成できます。ただし、ユーザーが電 子メールメッセージを開いたときにクライアントがウイルスを検出 した場合は、クライアントは今までどおりメッセージを検疫または 削除します。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 ファイル 説明 信頼ファイル ウイルススキャンとスパイウェアスキャンには、スキャンで信頼ファ イルをスキップする Insight と呼ばれる機能が含まれています。 スキップするファイルの信頼のレベルを選択することも、オプショ ンを無効にすることもできます。オプションを無効にすると、スキャ ン時間が増加することがあります。 Auto-Protect では、Windows Search などの信頼できるプロセ スがアクセスするファイルをスキップすることもできます。 検出についての情報のシマンテックセキュリティレスポンスへの提出に ついて 分析のために、検出についての情報をシマンテックセキュリティレスポンスに自動的に提 出するようにクライアントコンピュータを設定できます。 シマンテックセキュリティレスポンスと Global Intelligence Network は提出されたこの情 報を使って、発生中の新しいセキュリティの脅威への対応をすばやくまとめています。ユー ザーが提出するデータによって、脅威に対応し、保護をカスタマイズするシマンテック社 の能力が強化されています。シマンテック社では提出を常に許可することを推奨していま す。 p.41 の 「Symantec Endpoint Protection が提供する脅威防止の種類について」 を参 照してください。 次に示す種類の任意のデータを提出することを選択できます。 ■ ファイル評価 評価に基づいて検出されたファイルについての情報。これらのファイルについての情 報は、新種のリスクや広がりつつあるリスクからコンピュータを保護するための Symantec Insight 評価データベースに寄与しています。 ■ ウイルス対策の検出 ウイルスとスパイウェアスキャンの検出についての情報。 ■ ウイルス対策の拡張ヒューリスティック検出 Bloodhound などのウイルスとスパイウェアのスキャンヒューリスティックによって検出 された潜在的な脅威についての情報。 これらの検出はリスクログに表示されないサイレントな検出です。これらの検出につい ての情報は統計分析のために使われます。 ■ SONAR 検出 危険度が高い検出や危険度が低い検出、システム変更イベント、信頼できるアプリ ケーションによる疑わしい動作などの、SONAR が検出する脅威についての情報。 ■ SONAR ヒューリスティック 281 282 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 SONAR ヒューリスティック検出はリスクログに表示されないサイレントな検出です。こ の情報は統計分析のために使われます。 クライアントでは、検疫から、またはシマンテック社の Web サイトから、手動でシマンテッ クセキュリティレスポンスにサンプルを提出できます。シマンテック社の Web サイトからファ イルを提出する方法については、シマンテック社のテクニカルサポートに問い合わせてく ださい。 p.304 の 「シマンテックセキュリティレスポンスへのクライアントの提出の有効化または無効 化」 を参照してください。 p.301 の 「Symantec Endpoint Protection が評価データを使ってファイルに関する決定 を下す方法」 を参照してください。 p.282 の 「提出の調整について」 を参照してください。 p.344 の 「SONAR で検出されるファイルとアプリケーションについて」 を参照してくださ い。 提出の調整について クライアントは次の情報に応じてシマンテック社にサンプルを提出する場合と提出しない 場合があります。 ■ 提出データ制御ファイルの日付 ■ 提出の送信が許可されているコンピュータの割合 シマンテック社ではSCD(提出制御データ)ファイルを発行し、それを LiveUpdate パッ ケージの一部として含めます。各シマンテック製品には独自の SCD ファイルがあります。 このファイルは次の設定を制御します。 ■ クライアントが 1 日に提出できる回数 ■ クライアントソフトウェアが提出を再試行するまでの待機時間の長さ ■ 失敗した提出を再試行する回数 ■ 提出を受信するシマンテックセキュリティレスポンスサーバーの IP アドレス SCD ファイルが期限切れになった場合は、クライアントは提出の送信を停止します。シマ ンテック社ではクライアントコンピュータが 7 日間 LiveUpdate コンテンツを取得しなけれ ば SCD ファイルが期限切れになったと見なします。クライアントは 14 日後に提出の送信 を停止します。 クライアントが提出を停止した場合は、クライアントソフトウェアは提出情報を収集せずに 後で送信します。クライアントが提出を再び開始するときは、再開された後に発生したイ ベントに関する情報のみが送信されます。 提出を許可するコンピュータの割合は管理者が設定することもできます。各クライアントコ ンピュータは情報を提出する必要があるかどうかを決定します。クライアントコンピュータ 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 は 1 から 100 までの数値をランダムに選択します。数値がそのコンピュータのポリシーで 設定された割合以下である場合に、コンピュータは情報を提出します。この数値が設定 された割合より大きい場合は、コンピュータは情報を提出しません。 デフォルトのウイルスとスパイウェアの対策ポリシーのスキャン設定につ いて Symantec Endpoint Protection Manager には 3 つのデフォルトのポリシーが用意され ています。 ■ ウイルスとスパイウェアのバランス型対策ポリシー ■ ウイルスとスパイウェアの対策のセキュリティ重視ポリシー セキュリティ重視のポリシーは、すべての事前設定済みのポリシーでもっとも厳格なも のです。これによって、その他のアプリケーションのパフォーマンスに影響する可能性 があることに留意してください。 ■ ウイルスとスパイウェアの対策のパフォーマンス重視ポリシー パフォーマンス重視のポリシーでは、セキュリティ重視のポリシーよりもパフォーマンス は向上しますが、同じ保全は得られません。この場合、ポリシーは主に Auto-Protect を使って、選択した拡張子を持つファイルをスキャンし、脅威を検出します。 基本のウイルスとスパイウェアの対策ポリシーは、セキュリティとパフォーマンスをほどよく バランスさせたものです。 283 284 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 表 14-8 ウイルスとスパイウェアのバランス型対策ポリシーのスキャン設定 設定 説明 ファイルシステムに対す る Auto-Protect 有効 ダウンロードインサイトの悪質なファイルの感度はレベル 5 に設定され ます。 ダウンロードインサイトでの未確認ファイルの処理は[無視]です。 Auto-Protect には次の設定が含まれています。 ウイルスとセキュリティリスクがないかすべてのファイルをスキャンしま す。 ■ セキュリティリスクのインストールを遮断します。 ■ ウイルスに感染したファイルをクリーニングします。修復する前にファ イルをバックアップします。クリーニングできないファイルを検疫しま す。 ■ セキュリティリスクがあるファイルを検疫します。検疫できないファイ ルをログに記録します。 ■ ブートウイルスがないかすべてのフロッピーディスクを調べます。ブー トウイルスをログに記録します。 ■ ウイルスとセキュリティリスクについてコンピュータのユーザーに通知 します。 ■ 電子メールに対する Auto-Protect 有効 他の種類の Auto-Protect には次の設定が含まれています。 圧縮ファイルの内部にあるファイルを含め、すべてのファイルをス キャンします。 ■ ウイルスに感染したファイルをクリーニングします。クリーニングでき ないファイルを検疫します。 ■ セキュリティリスクがあるファイルを検疫します。検疫できないファイ ルをログに記録します。 ■ 検出されたウイルスとセキュリティリスクについてのメッセージをコン ピュータのユーザーに送信します。 ■ 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 設定 説明 SONAR Symantec Endpoint Protection 12.1 以降のクライアントに対して有効 にされます。レガシークライアントは TruScan の設定を使います。 TruScan は SONAR が有効なときに有効にされます。 高危険度のヒューリスティック検出は検疫されます。 低危険度のヒューリスティック検出はログに記録します。 拡張モードは無効にされます。 [検出時に警告を表示する]は有効にされます。 システム変更検出の処理は[無視]に設定されます。 疑わしい動作の検出では、高危険度の脅威が遮断され、低危険度の 脅威は無視されます。 管理者定義のスキャン 定時スキャンには次のデフォルトの設定が含まれています。 ■ アクティブスキャンを毎日午後 12 時 30 分に実行します。スキャン はランダム化されます。 圧縮ファイルに含まれるファイルを含め、すべてのファイルとフォル ダをスキャンします。 メモリ、一般的な感染場所、既知のウイルスやセキュリティリスクの場 所をスキャンします。 ウイルスに感染したファイルをクリーニングします。修復する前にファ イルをバックアップします。クリーニングできないファイルを検疫しま す。 セキュリティリスクがあるファイルを検疫します。検疫できないファイ ルをログに記録します。 3 日以内の未実行のスキャンを再試行します。 ■ Insight ルックアップはレベル 5 に設定されます。 ■ ■ ■ ■ ■ オンデマンドスキャンは次の保護を提供します。 圧縮ファイルに含まれるファイルを含め、すべてのファイルとフォル ダをスキャンします。 ■ メモリと一般的な感染場所をスキャンします。 ■ ウイルスに感染したファイルをクリーニングします。修復する前にファ イルをバックアップします。クリーニングできないファイルを検疫しま す。 ■ セキュリティリスクがあるファイルを検疫します。検疫できないファイ ルをログに記録します。 ■ デフォルトのウイルスとスパイウェアのセキュリティ重視ポリシーは、高レベルのセキュリティ を提供し、ウイルスとスパイウェアの対策ポリシーに含まれる設定の多くを含んでいます。 このポリシーでは強化されたスキャンが提供されます。 285 286 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 表 14-9 ウイルスとスパイウェアの対策のセキュリティ重視ポリシーの設定 設定 説明 ファイルシステムと電子 メールに対する Auto-Protect ウイルスとスパイウェアのバランス型対策ポリシーと同様です。 SONAR ウイルスとスパイウェアのバランス型対策ポリシーと同様ですが、次の点 が違います。 Auto-Protect はリモートコンピュータ上のファイルも検査します。 システム変更イベントを遮断します。 グローバル設定 Bloodhound は[拡張]に設定されます。 デフォルトのウイルスとスパイウェアの対策のパフォーマンス重視ポリシーは、高レベルの パフォーマンスを提供します。このポリシーには、ウイルスとスパイウェアの対策ポリシー にある設定の多くが含まれます。このポリシーではセキュリティは低下します。 表 14-10 ウイルスとスパイウェアの対策のパフォーマンス重視ポリシーの設 定 設定 説明 ファイルシステムに対す る Auto-Protect ウイルスとスパイウェアのバランス型対策ポリシーと同様ですが、次の点 が違います。 ■ ダウンロードインサイトの悪質なファイルの感度はレベル 1 に設定さ れます。 インターネット電子メール 無効 Auto-Protect Microsoft Outlook Auto-Protect Lotus Notes Auto-Protect SONAR ウイルスとスパイウェアの対策ポリシーと同様ですが、次の点が違いま す。 システム変更イベントは無視します。 動作ポリシーエンフォースメントのイベントは無視します。 管理者定義のスキャン 次の設定以外はウイルスとスパイウェアの対策ポリシーと同様です。 ■ Insight ルックアップはレベル 1 に設定されます。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのスキャンの管理 Symantec Endpoint Protection がウイルスとセキュリティリスクの検出 を処理する方法 Symantec Endpoint Protection はデフォルトの処理を使ってウイルスとセキュリティリス クの検出を処理します。デフォルトの一部は変更できます。 ウイルス デフォルトでは、Symantec Endpoint Protection クライアントは まずウイルスに感染したファイルをクリーニングしようと試みます。 クライアントソフトウェアがファイルをクリーニングできない場合は 次の処理を実行します。 セキュリティリスク ■ ファイルを感染コンピュータ上の[検疫]に移動する ■ ファイルへのアクセスを拒否する ■ イベントをログに記録する デフォルトでは、クライアントはセキュリティリスクに感染したすべ てのファイルを感染コンピュータの[検疫]に移動します。また、リ スクの副作用の削除または修復も試みます。 セキュリティリスクの検疫と修復ができない場合、第 2 の処理はリ スクをログに記録することです。 デフォルトでは、[検疫]にはクライアントが実行したすべての処 理の記録が格納されます。クライアントが削除と修復を試みる前 の状態にクライアントコンピュータを戻すことができます。 Windows クライアントのコンピュータでは、セキュリティリスクに対 する Auto-Protect スキャンを無効にできます。セキュリティリスク の検出によってコンピュータの安定性が低下する可能性がある 場合は、セキュリティリスクの Auto-Protect スキャンを一時的に 無効にしたいことがあります。他の種類のスキャンは引き続きリス クを検出します。 SONAR による検出は、疑わしいイベントと見なされます。これらの検出の処理は SONAR 設定の一部として設定します。 p.344 の 「SONAR の管理」 を参照してください。 Windows クライアントコンピュータの場合、リスクを見つけたときに Symantec Endpoint Protection が実行する第 1 と第 2 の処理を割り当てることができます。ウイルスとセキュ リティリスクには異なる処理を設定できます。定時スキャン、オンデマンドスキャン、 Auto-Protect スキャンのそれぞれに異なる処理を適用できます。 メモ: Windows クライアントコンピュータでは、セキュリティリスクの検出の種類のリストは、 シマンテック社が新しいカテゴリを発見するため動的で、変化するものです。新しいカテ ゴリは、新しい定義の受信時にコンソールまたはクライアントコンピュータにダウンロードさ れます。 287 288 第 14 章 ウイルス対策とスパイウェア対策の管理 Windows コンピュータで実行される定時スキャンの設定 Mac クライアントコンピュータの場合、見つけた感染ファイルを Symantec Endpoint Protection で修復するかどうかを指定できます。Symantec Endpoint Protection で修 復できない感染ファイルを検疫に移動するかどうかも指定できます。すべての管理者定 義のスキャンまたは Auto-Protect スキャンについて設定を指定できます。 p.307 の 「検疫の管理」 を参照してください。 Windows コンピュータで実行される定時スキャンの設定 定時スキャンは、ウイルスとスパイウェアの対策ポリシーの一部として設定します。スキャ ンの設定は Windows クライアントと Mac クライアントとでは異なります。 定時スキャンの設定はテンプレートとして保存できます。スキャンテンプレートを使うと、複 数のポリシーを設定するときに時間を節約できます。テンプレートとして保存した任意の スキャンを、異なるポリシーの新しいスキャンのベースとして利用できます。定時スキャン のテンプレートは、デフォルトでポリシーに含まれています。デフォルト定時スキャンでは、 すべてのファイルとフォルダがスキャンされます。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 p.324 の 「Windows コンピュータで実行されるクライアントに対する管理者定義のスキャ ンのカスタマイズ」 を参照してください。 コンピュータで、何かの理由で定時スキャンが実行されなかった場合、Symantec Endpoint Protection クライアントは一定の期間スキャンを実行しようとします。クライアントが期間内 にスキャンを開始できない場合、スキャンは実行されません。 スキャンを定義したユーザーがログインしていない場合でも、クライアントソフトウェアはス キャンを実行します。ユーザーがログオフしている場合はクライアントでスキャンを実行し ないように指定できます。 この手順で使うオプションについて詳しくは[ヘルプ]を参照してください。 Windows コンピュータで実行される定時スキャンを設定するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 [Windows の設定]で、[管理者定義のスキャン]をクリックします。 3 [スキャン]タブの[定時スキャン]で、[追加]をクリックします。 4 [定時スキャンの追加]ダイアログボックスで、[新しい定時スキャンを作成する]をク リックします。 5 [OK]をクリックします。 6 [定時スキャンの追加]ダイアログボックスの[スキャンの詳細]タブで、追加する定時 スキャンの名前と説明を入力します。 7 [アクティブスキャン]、[完全スキャン]、[カスタムスキャン]のいずれかをクリックしま す。 第 14 章 ウイルス対策とスパイウェア対策の管理 Mac コンピュータで実行される定時スキャンの設定 8 [カスタム]を選択した場合、[スキャン]で、スキャンするフォルダを指定できます。 9 [ファイルの種類]で、[すべてのファイルをスキャンする]または[選択した拡張子の みをスキャンする]をクリックします。 10 [次の項目を調べることによってスキャンを拡張]で、[メモリ]、[感染しやすい場所]、 [既知のウイルスやセキュリティリスクの場所]にチェックマークを付けるかはずしま す。 11 [スケジュール]タブの[スキャンスケジュール]で、スキャンを実行する頻度と時刻を 設定します。 [未実行の定時スキャン]の再試行の設定は、[日単位]、[週単位]、[月単位]のど れを選択したかに応じて自動的に変化します。 12 [未実行の定時スキャン]では、未実行のスキャンを実行するオプションを無効にす るか、再試行間隔を変更できます。 スキャンが一時停止するまでの、最長のスキャン期間も指定できます。また、スキャ ンの開始時間をランダム化できます。 13 このスキャンをテンプレートとして保存する場合は、[複製を定時スキャンのテンプ レートとして保存する]にチェックマークを付けます。 14 [OK]をクリックします。 Mac コンピュータで実行される定時スキャンの設定 定時スキャンは、ウイルスとスパイウェアの対策ポリシーの一部として設定します。スキャ ンの設定は Windows クライアントと Mac クライアントとでは異なります。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 p.325 の 「Mac コンピュータで実行されるクライアントに対する管理者定義のスキャンのカ スタマイズ」 を参照してください。 定時スキャンの設定はテンプレートとして保存できます。テンプレートとして保存した任意 のスキャンを、異なるウイルスとスパイウェアの対策ポリシーのベースとして使うことができ ます。スキャンテンプレートを使うと、新しいポリシーやスキャンを設定するときに時間を節 約できます。定時スキャンのテンプレートは、デフォルトでポリシーに含まれています。デ フォルト定時スキャンでは、すべてのファイルとディレクトリがスキャンされます。 Mac クライアントの定時スキャンを設定するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 [Mac の設定]で、[管理者定義のスキャン]をクリックします。 3 [スキャン]タブの[定時スキャン]で、[追加]をクリックします。 4 [定時スキャンの追加]ダイアログボックスで、[新しい定時スキャンを作成する]をク リックしてから[OK]をクリックします。 289 290 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータでのオンデマンドスキャンの実行 5 [定時スキャンの追加]ダイアログボックスの[スキャンの詳細]タブで、スキャンの名 前と説明を入力します。 6 [ドライブとフォルダをスキャン]で、スキャンする項目を指定します。 7 スキャン優先度を含め、任意の設定をカスタマイズします。 8 [スケジュール]タブの[スキャンスケジュール]で、スキャンを実行する頻度と時刻を 設定します。 9 このスキャンをテンプレートとして保存する場合は、[複製を定時スキャンのテンプ レートとして保存する]にチェックマークを付けます。 10 [OK]をクリックします。 クライアントコンピュータでのオンデマンドスキャンの実 行 リモートの管理コンソールから、クライアントコンピュータで手動でのスキャン、つまりオン デマンドスキャンを実行できます。クライアントコンピュータに対するウイルス攻撃とスパイ ウェア攻撃を防止して処理する戦略の一部として、オンデマンドでスキャンを実行するこ とを推奨します。 デフォルトでは、アクティブスキャンは定義の更新後、自動的に実行されます。完全スキャ ンまたはカスタムスキャンとしてオンデマンドスキャンを設定し、その後、より広範なスキャ ンのオンデマンドスキャンを実行できます。 オンデマンドスキャンの設定は、定時スキャンの設定に類似しています。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 p.260 の 「クライアントコンピュータに対するウイルスとスパイウェアの攻撃の防止と処理」 を参照してください。 Windows クライアントコンピュータの場合は、オンデマンドでアクティブスキャン、完全ス キャン、カスタムスキャンを実行できます。 Mac クライアントコンピュータの場合は、カスタムオンデマンドスキャンのみ実行できます。 カスタムスキャンでは、ウイルスとスパイウェアの対策ポリシーでオンデマンドスキャン用に 設定した設定が使われます。 メモ: オンデマンドスキャンを実行しているクライアントコンピュータで再起動コマンドを発 行した場合、スキャンは停止し、クライアントコンピュータが再起動します。スキャンは再開 されません。 オンデマンドスキャンは、コンピュータ状態ログまたはコンソールの[クライアント]タブから 実行できます。 第 14 章 ウイルス対策とスパイウェア対策の管理 スキャンの調整によるクライアントコンピュータパフォーマンスの改善 コンピュータ状態ログからは、選択されたクライアントに対して進行中のスキャンとキュー に入っているスキャンをすべてキャンセルできます。コマンドを確認すると、テーブルが更 新され、コマンド状態テーブルにキャンセルコマンドが追加されます。 p.557 の 「クライアントコンピュータでのログからのコマンド実行」 を参照してください。 p.195 の 「クライアントコンピュータで実行できるコマンドについて」 を参照してください。 クライアントコンピュータでオンデマンドスキャンを実行するには 1 Symantec Endpoint Protection Manager コンソールで、[クライアント]をクリックし ます。 2 [クライアント]で、スキャンするクライアントまたはグループを右クリックします。 3 次のいずれかの操作を実行します。 4 ■ [グループでコマンドを実行]、[スキャン]の順にクリックします。 ■ [クライアントでコマンドを実行]、[スキャン]の順にクリックします。 Windows クライアントの場合、[アクティブスキャン]、[完全スキャン]、[カスタムス キャン]のいずれかを選択し、[OK]をクリックします。 スキャンの調整によるクライアントコンピュータパフォー マンスの改善 デフォルトでは、クライアントコンピュータのリソースに対する影響が最小限になるようにウ イルスとスパイウェアのスキャンが行われます。いくつかのスキャン設定を変更するとパ フォーマンスをさらに最適化できます。ここで推奨するタスクの多くは、仮想コンピュータ (VM)のゲストオペレーティングシステムで Symantec Endpoint Protection を実行する 環境で有用です。 利用できる設定は Windows コンピュータと Mac コンピュータで異なっています。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 291 292 第 14 章 ウイルス対策とスパイウェア対策の管理 スキャンの調整によるクライアントコンピュータパフォーマンスの改善 表 14-11 スキャンの調整による Windows コンピュータでのパフォーマンスの 改善 タスク 説明 定時スキャンとオンデマンドスキャンの調整 定時スキャンとオンデマンドスキャンについて、次のオ と圧縮のファイルオプションを修正する プションを調整できます。 調整オプションの変更 スキャン調整を[アプリケーションに最適なパフォー マンス]に変更できます。この設定でスキャンを設 定すると、スキャンを開始することはできますが、ク ライアントコンピュータがアイドルのときだけ実行さ れます。新しい定義を受信したときにアクティブス キャンが実行されるように設定しても、ユーザーが コンピュータを使っている場合、スキャンは最大 15 分間実行されないことがあります。 ■ 圧縮ファイルをスキャンするレベルの数の変更 デフォルトのレベルは 3 です。スキャン時間を減ら すためにレベルを 1 や 2 に変更したいことがあり ます。 ■ p.324 の 「Windows コンピュータで実行されるクライア ントに対する管理者定義のスキャンのカスタマイズ」 を 参照してください。 再開可能スキャンを使う 大容量のボリュームを持つネットワーク内のコンピュー タの場合、定時スキャンは再開可能スキャンとして設 定できます。 スキャン期間オプションにより、スキャンを実行する期 間を指定できます。スキャンが指定した期間の終りま でに完了しない場合、次の定時スキャン期間になった ときにスキャンが再開されます。ボリューム全体がス キャンされるまで、スキャンは停止した場所で再開され ます。通常、スキャン期間のオプションはサーバーで 使います。 メモ: コンピュータが感染したことが疑われる場合は、 再開可能スキャンを使わないでください。コンピュータ 全体をスキャンするまで実行される完全スキャンを実 行してください。指定した期間より前にスキャンが完了 できる場合も再開可能スキャンを使わないでください。 p.288 の 「Windows コンピュータで実行される定時ス キャンの設定」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 スキャンの調整によるクライアントコンピュータパフォーマンスの改善 タスク 説明 Auto-Protect 設定を調整する ファイルシステムの Auto-Protect スキャンの一部の 設定を調整できます。それらの設定により、クライアン トコンピュータのパフォーマンスが改善されることがあ ります。 次のオプションを設定できます。 ファイルキャッシュ ファイルキャッシュが有効になっていることを確認 します(デフォルトは有効)。ファイルキャッシュが 有効になっていると、Auto-Protect はスキャンし た未感染ファイルを記憶して、それらを再スキャン しません。 ■ ネットワークの設定 リモートコンピュータの Auto-Protect スキャンが 有効になっている場合は、[ファイルの実行時の み]を有効になっていることを確認してください。 ■ p.320 の 「Windows クライアントの Auto-Protect のカ スタマイズ」 を参照してください。 すべてのスキャンで信頼ファイルのスキッ プを許可する ウイルススキャンとスパイウェアスキャンには、信頼ファ イルをスキップするインサイトと呼ばれるオプションが あります。デフォルトでは、インサイトは有効にされま す。スキャンでスキップするファイルの種類の信頼レベ ルを変更できます。 シマンテック信頼とコミュニティ信頼 このレベルでは、シマンテック社とシマンテック製 品コミュニティによって信頼されているファイルをス キップします。 ■ シマンテック信頼 このレベルでは、シマンテック社によって信頼され ているファイルのみスキップします。 ■ p.327 の 「Windows クライアントのグローバルなスキャ ン設定の修正」 を参照してください。 293 294 第 14 章 ウイルス対策とスパイウェア対策の管理 スキャンの調整によるクライアントコンピュータパフォーマンスの改善 タスク 説明 定時スキャンをランダム化する 複数の仮想コンピュータ(VM)が配備される仮想化さ れた環境では、同時スキャンによってリソースの問題 が発生します。たとえば、単一サーバーで 100 以上 の VM を実行することがあります。それらの VM に対 して同時スキャンが発生するとサーバーのリソースが 使い果たされます。 スキャンをランダム化すれば、サーバーへの影響を限 定できます。 p.326 の 「仮想化された環境でのスキャンのランダム化 によるコンピュータパフォーマンスの向上」 を参照して ください。 仮想化された環境で Shared Insight Cache を使う Symantec Endpoint Protection Shared Insight Cache により、Symantec Endpoint Protection がク リーンであると判断したファイルを再スキャンする必要 がなくなります。クライアントコンピュータでの定時ス キャンと手動スキャンに Shared Insight Cache を使 用できます。Shared Insight Cache は、サーバーま たは仮想化環境にインストールする独立したアプリケー ションです。 p.338 の 「Shared Insight Cache と通信するためのク ライアントの設定」 を参照してください。 表 14-12 スキャンの調整による Mac コンピュータでのパフォーマンスの改善 タスク 説明 スキャン優先度を調整する Mac コンピュータで実行されるクライアントでの定時ス キャンに適用されます。 Mac コンピュータのスキャン優先度は、Windows コ ンピュータでの調整またはパフォーマンス調節と同等 です。優先度を高く設定すると、スキャンは可能な限 り速く実行されますが、スキャン中に他のアプリケー ションの実行速度が低下する可能性があります。優先 度を低く設定すると、その他のアプリケーションは可能 な限り速く実行されますが、スキャンの実行速度が低 下する可能性があります。優先度を中レベルに設定 すると、アプリケーションとスキャンの実行速度が均等 になります。 p.325 の 「Mac コンピュータで実行されるクライアントに 対する管理者定義のスキャンのカスタマイズ」 を参照 してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 スキャンの調整によるクライアントコンピュータでの保護の強化 タスク 説明 圧縮ファイルの設定を修正する Auto-Protect スキャンとオンデマンドスキャンに適用 されます。 オプションの有効と無効は切り替え可能ですが、スキャ ンする圧縮ファイルのレベルは指定できません。 p.322 の 「クライアントコンピュータで実行できるコマン ドについて」p.322 の を参照してください。 スキャンの調整によるクライアントコンピュータでの保護 の強化 Symantec Endpoint Protection はデフォルトで、高レベルのセキュリティを提供します。 保護をさらに強化することができます。設定は、Windows コンピュータで実行されるクラ イアントと Mac コンピュータで実行されるクライアントでは異なります。 メモ: クライアントコンピュータで保護を強化すると、コンピュータのパフォーマンスに影響 することがあります。 表 14-13 スキャンの調整による Windows コンピュータでの保護の強化 タスク 説明 スキャン設定をロックする 一部の設定はデフォルトでロックされています。ユー ザーがコンピュータでの保護を変更できないように、 その他の設定をロックできます。 295 296 第 14 章 ウイルス対策とスパイウェア対策の管理 スキャンの調整によるクライアントコンピュータでの保護の強化 タスク 説明 管理者定義のスキャンの設定を修正する 次のオプションを調査または修正する必要があります。 スキャンパフォーマンス スキャン調整を[スキャンに最適なパフォーマンス] に設定します。ただし、この設定はクライアントコン ピュータのパフォーマンスに影響することがありま す。スキャンはコンピュータがアイドル状態でなく ても実行されます。 ■ 定時スキャンの期間 デフォルトでは、定時スキャンは指定された期間の 終りまで実行され、その後、クライアントコンピュー タがアイドル状態になったときに再開されます。こ のスキャン期間を[完了するまでスキャン]に設定 することができます。 ■ Insight ルックアップの使用 Insight ルックアップは、クラウドと Insight 評価 データベースにある情報から得た最新のウイルス 定義セットを使ってスキャンを行い、ファイルにつ いての決定を下します。Insight ルックアップは必 ず有効にしてください。Insight ルックアップの設 定はダウンロードインサイトの設定に類似していま す。 ■ p.324 の 「Windows コンピュータで実行されるクライア ントに対する管理者定義のスキャンのカスタマイズ」 を 参照してください。 より厳しいスキャン検出の処理を指定する 検出のために[検疫]、[削除]、[終了]の処理を指定 します。 メモ: セキュリティリスクの検出に対して[削除]や[終 了]を使うときは注意してください。この処理によって、 一部の正当なアプリケーションが機能を失うことがあり ます。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の変更」 を参照してくだ さい。 Bloodhound による保護のレベルを上げる Bloodhound は、ウイルスのような動作を検出するた め、ファイルの論理的な領域を見つけて隔離します。 検出レベルを[自動]から[拡張]に変更すると、コン ピュータでの保護を強化できます。ただし[拡張]設定 では、おそらくより多くの誤認が生成されます。 p.327 の 「Windows クライアントのグローバルなスキャ ン設定の修正」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 ダウンロードインサイト検出の管理 タスク 説明 Auto-Protect 設定を調整する 変更できるオプションは次のとおりです。 ファイルキャッシュ Auto-Protect が適切なファイルを再スキャンする ようにファイルキャッシュを無効にできます。 ■ ネットワークの設定 デフォルトでは、ネットワークドライブ上のファイル は実行時にのみスキャンされます。このオプション は無効にできます。 ■ p.320 の 「Windows クライアントの Auto-Protect のカ スタマイズ」 を参照してください。 表 14-14 スキャンの調整による Mac コンピュータでの保護の強化 タスク 説明 スキャン設定をロックする 一部の設定はデフォルトでロックされています。ユー ザーがコンピュータでの保護を変更できないように、 その他の設定をロックできます。 より厳しいスキャン検出の処理を指定する 検出のために[検疫]、[削除]、[終了]の処理を指定 します。 メモ: セキュリティリスクの検出に対して[削除]や[終 了]を使うときは注意してください。この処理によって、 一部の正当なアプリケーションが機能を失うことがあり ます。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の変更」 を参照してくだ さい。 ダウンロードインサイト検出の管理 Auto-Protect には、ユーザーが Web ブラウザ、テキストメッセージクライアント、その他 のポータルを通してダウンロードを試みたファイルを検査する、ダウンロードインサイトと呼 ばれる機能が含まれています。 サポート対象のポータルには、Internet Explorer、Firefox、Microsoft Outlook、Outlook Express、Windows Live Messenger、Yahoo! Messenger が含まれます。 ダウンロードインサイトは、ファイルの評価についての証拠に基づいて、ダウンロードされ たファイルがリスクである可能性があることを判断します。ダウンロードインサイトは Windows コンピュータで実行されるクライアントでのみサポートされます。 297 298 第 14 章 ウイルス対策とスパイウェア対策の管理 ダウンロードインサイト検出の管理 メモ: 電子メールの Auto-Protect をクライアントコンピュータにインストールした場合、 Auto-Protect はユーザーが電子メールの添付ファイルとして受信したファイルもスキャン します。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 表 14-15 タスク ダウンロードインサイト検出の管理 説明 ダウンロードインサイトがどのように評価情 ダウンロードインサイトは、ダウンロードされたファイルについて決定を下すときに 報を使ってファイルに関する決定を下すか 評価情報のみを使います。決定を下すためにシグネチャやヒューリスティックを使 を学習する いません。ダウンロードインサイトは、ユーザーがファイルを開いたとき、または実 行するときに、ファイルスキャン、Auto-Protect、SONAR にファイルのスキャンを 許可します。 p.301 の 「Symantec Endpoint Protection が評価データを使ってファイルに関 する決定を下す方法」 を参照してください。 ダウンロードリスク分布のレポートを表示し ダウンロードリスク分布のレポートを使って、ダウンロードインサイトがクライアントコ て、ダウンロードインサイト検出を表示する ンピュータで検出したファイルを表示できます。レポートは URL、Web ドメイン、ア プリケーションのいずれかでソートできます。検出されたファイルをユーザーが許 可したかどうかも確認できます。 メモ: ダウンロードインサイトによる検出のリスクの詳細には、ダウンロードを試みた 最初のポータルアプリケーションのみが表示されます。たとえば、ユーザーが Internet Explorer を使って、ダウンロードインサイトが検出したファイルのダウン ロードを試みたとします。次にユーザーが Firefox を使ってこのファイルのダウン ロードを試みると、リスクの詳細には、ポータルとして Internet Explorer が表示さ れます。 レポートに表示される「ユーザー許可」ファイルは、誤認検出を示している場合が あります。 新しいユーザー許可ダウンロードに関する電子メール通知を受信するように指定 することもできます。 p.567 の 「管理者通知の設定」 を参照してください。 ユーザーは、検出に対する通知に応答することによりファイルを許可できます。 管理者は Symantec Endpoint Protection Manager が生成し、電子メールで送 信する週次レポートの一部としてレポートを受信します。電子メールアドレスは、イ ンストール時に管理者用に指定済みであるか、管理者のプロパティの一部として 設定済みであるはずです。レポートはコンソールの[レポート]タブから生成するこ ともできます。 p.545 の 「クイックレポートの実行とカスタマイズ」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 ダウンロードインサイト検出の管理 タスク 説明 特定のファイルまたは Web ドメインの例外 ユーザーがダウンロードするアプリケーションの例外を作成できます。信頼に値す を作成する ると信じる特定の Web ドメインの例外も作成できます。 p.474 の 「Symantec Endpoint Protection で監視対象アプリケーションが処理さ れる方法の指定」 を参照してください。 p.475 の 「信頼できる Web ドメインのスキャンからの除外」 を参照してください。 メモ: クライアントコンピュータで、認証付きのプロキシを使用する場合、シマンテッ ク URL に信頼できる Web ドメイン例外を指定する必要があります。例外により、 クライアントコンピュータは Symantec Insight と他の重要なシマンテック社のサイ トと通信できます。 推奨される例外については、関連のテクニカルサポートナレッジベースの記事を 参照してください。 デフォルトでは、ダウンロードインサイトは、ユーザーが信頼できるインターネットサ イトまたはイントラネットサイトからダウンロードするファイルを検査しません。 Windows の[コントロールパネル]、[インターネットオプション]、[セキュリティ]タ ブで、信頼済みサイトと信頼済みローカルイントラネットサイトを設定します。[イン トラネット Web サイトからダウンロードしたファイルを自動的に信頼する]オプショ ンが有効になっている場合、Symantec Endpoint Protection はリストに含まれ る任意のサイトからユーザーがダウンロードするファイルを許可します。 メモ: ダウンロードインサイトは明示的に設定された信頼できるサイトのみを認識し ます。ワイルドカードは許可されますが、ルーティング不可能な IP アドレス範囲は サポートされません。たとえば、ダウンロードインサイトは 10.*.*.* を信頼済みサイ トとして認識しません。また、ダウンロードインサイトは[インターネットオプション] > [セキュリティ] > [イントラネットのネットワークを自動的に検出する]オプションに よって発見されるサイトをサポートしません。 Insight ルックアップが有効になっているこ ダウンロードインサイトでは、ファイルに関する決定を下すために Symantec Insight とを確認する からの評価データが必要です。Insight ルックアップを無効にすると、ダウンロー ドインサイトは実行されますが、評価が最悪のファイルのみが検出されます。Insight ルックアップはデフォルトでは有効になっています。 p.304 の 「シマンテックセキュリティレスポンスへのクライアントの提出の有効化また は無効化」 を参照してください。 299 300 第 14 章 ウイルス対策とスパイウェア対策の管理 ダウンロードインサイト検出の管理 タスク 説明 ダウンロードインサイトの設定のカスタマイ 次の理由でダウンロードインサイトの設定をカスタマイズしたい場合があります。 ズ ■ ダウンロードインサイト検出の数を増加または減少させます。 悪質なファイルの感度スライダーを調整し、検出数を増加または減少させるこ とができます。ダウンロードインサイトは低い感度レベルでは、より少ない数の ファイルを悪質だと検出し、より多くのファイルを未確認として検出します。検 出が少ないと誤認検出となります。 ダウンロードインサイトは高い感度レベルでは、より多くのファイルを悪質だと 検出し、より少ないファイルを未確認として検出します。検出が多いと誤認検 出となります。 ■ 悪質なファイルや未確認ファイルの検出の処理を変更します。 ダウンロードインサイトが悪質なファイルや未確認ファイルを処理する方法を 変更できます。指定した処理は、検出だけでなく、ユーザーが検出を操作で きるかどうかにも影響を与えます。 たとえば、未確認ファイルの処理を[無視]に変更できます。その後ダウンロー ドインサイトは未確認ファイルを常に許可し、ユーザーに警告しません。 ■ ダウンロードインサイト検出についてユーザーに警告します。 通知が有効になっている場合、悪質なファイルの感度設定が、ユーザーが受 信する通知の数に影響します。感度を高めると、検出の合計数が増加するた めユーザーへの通知の数が増加します。 ダウンロードインサイトが検出したときにユーザーに選択肢がないように、通知 をオフにできます。通知を有効のままにしておく場合、これらの検出が常に許 可され、ユーザーへの通知が行われないように、未確認ファイルの処理を[無 視]に設定できます。 通知が有効になっているかどうかにかかわらず、ダウンロードインサイトが未確 認ファイルを検出し、この処理が[確認する]の場合、ユーザーはファイルを許 可または遮断できます。ユーザーがファイルを許可すると、ファイルは自動的 に実行されます。 通知が有効になっていて、ダウンロードインサイトがファイルを検疫する場合、 ユーザーは検疫処理を元に戻し、ファイルを許可できます。 メモ: ユーザーが検疫ファイルを許可した場合、ファイルは自動的には実行さ れません。ユーザーはインターネット一時フォルダからファイルを実行できま す。通常、フォルダの場所はドライブ:¥¥Documents and Settings¥username¥Local Settings¥Temporary Internet Files です。 p.331 の 「ダウンロードインサイトの設定のカスタマイズ」 を参照してください。 評価検出についての情報をシマンテック社 デフォルトでは、クライアントは評価検出についての情報をシマンテック社に送信 に提出することをクライアントを許可する します。 評価検出の提出は、有効にすることを推奨します。この情報はシマンテック社が 脅威に対処するために役立ちます。 p.304 の 「シマンテックセキュリティレスポンスへのクライアントの提出の有効化また は無効化」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 Symantec Endpoint Protection が評価データを使ってファイルに関する決定を下す方法 Symantec Endpoint Protection が評価データを使って ファイルに関する決定を下す方法 シマンテック社は、数百万ユーザーのグローバルなコミュニティと、Symantec Global Intelligence Network からファイルについての情報を収集しています。収集された情報 は、シマンテック社によってホストされている評価データベースになります。シマンテック 製品はこの情報を活用して、新しい脅威、対象となる脅威、変異する脅威からクライアン トコンピュータを保護します。データはクライアントコンピュータ上には存在しないため、「ク ラウド内」に存在していると表現される場合もあります。クライアントコンピュータは評価デー タベースを要求またはクエリーする必要があります。 シマンテック社は Insight と呼ばれる技術を使って、各ファイルの危険度、すなわち「セ キュリティ評価」を決定します。 Insight はファイルとそのコンテキストについて次の特性を調べ、ファイルのセキュリティ 評価を決定します。 ■ ファイルの状態を ■ ファイルのどの程度新しいものか ■ ファイルがコミュニティでどれだけ一般的であるか ■ ファイルがマルウェアとどのように関係している可能性があるかなど、その他のセキュ リティ基準 Symantec Endpoint Protection のスキャン機能は Insight を活用して、ファイルとアプ リケーションについての決定を下します。ウイルスとスパイウェアの対策には、ダウンロー ドインサイトと呼ばれる機能が含まれます。ダウンロードインサイトは、評価情報を使って 検出を行います。Insight ルックアップを無効にすると、ダウンロードインサイトは実行され ますが検出を行うことができません。Insight ルックアップや SONAR などの他の保護機 能も、評価情報を使って検出を行います。ただし、それらの機能は他の技術を使って検 出を行うことができます。 デフォルトでは、クライアントコンピュータは分析のため、シマンテックセキュリティレスポン スに評価検出についての情報を送信します。この情報は、Insight の評価データベース を調整する助けとなります。情報を提出するクライアントが多いほど、評価データベース は有用になります。 評価情報の提出は無効にできます。ただし、シマンテック社は提出を有効にしておくこと を推奨します。 クライアントコンピュータは検出に関する他の種類の情報もシマンテックセキュリティレス ポンスに提出します。 p.297 の 「ダウンロードインサイト検出の管理」 を参照してください。 p.302 の 「Symantec Endpoint Protection の保護機能が連携動作する方法」 を参照し てください。 301 302 第 14 章 ウイルス対策とスパイウェア対策の管理 Symantec Endpoint Protection の保護機能が連携動作する方法 p.304 の 「シマンテックセキュリティレスポンスへのクライアントの提出の有効化または無効 化」 を参照してください。 Symantec Endpoint Protection の保護機能が連携動 作する方法 一部のポリシー機能は、互いに Windows クライアントコンピュータで完全な保護を提供 するように要求します。 警告: シマンテック社では、Insight ルックアップを無効にしないことを推奨しています。 表 14-16 ポリシー機能が連携動作する方法 ポリシー機能 相互運用性に関するメモ ダウンロード保護 ダウンロード保護は Auto-Protect の一部で、URL を 追跡する機能を Symantec Endpoint Protection に 付与します。URL 追跡はいくつかのポリシー機能の ために必要です。 ダウンロード保護なしで Symantec Endpoint Protection をインストールすると、ダウンロードインサ イトの機能は限定されたものになります。ブラウザ侵入 防止と SONAR にはダウンロード保護が必要です。 [イントラネット Web サイトからダウンロードしたファイ ルを自動的に信頼する]オプションにもダウンロード保 護が必要です。 第 14 章 ウイルス対策とスパイウェア対策の管理 Symantec Endpoint Protection の保護機能が連携動作する方法 ポリシー機能 相互運用性に関するメモ ダウンロードインサイト ダウンロードインサイトには次の依存関係があります。 Auto-Protect の有効化が必要 Auto-Protect を無効にしている場合、ダウンロー ドインサイトが有効になっていてもダウンロードイン サイトは機能できません。 ■ Insight ルックアップの有効化が必要 シマンテック社では、Insight ルックアップオプショ ンを有効のままにしておくことを推奨しています。 このオプションを無効にすると、ダウンロードインサ イトは完全に無効になります。 ■ メモ: ダウンロード保護がインストールされていない場 合、クライアントのダウンロードインサイトはレベル 1 で 動作します。ポリシーで設定したどのレベルも適用さ れません。また、ユーザーは感度を調整できません。 ダウンロードインサイトを無効にしても、[イントラネット Web サイトからダウンロードしたファイルを自動的に信 頼する]オプションは Insight ルックアップで引き続き 機能します。 Insight ルックアップ Insight ルックアップの使用 Insight ルックアップは、クラウドと Insight 評価デー タベースから得た最新の定義を使って、ファイルにつ いての決定を下します。Insight ルックアップを無効に すると、Insight ルックアップは最新の定義のみを使っ てファイルについての決定を下します。 Insight ルックアップでは[イントラネット Web サイトか らダウンロードしたファイルを自動的に信頼する]オプ ションも使われます。 メモ: クライアントコンピュータのフォルダやドライブを 右クリックして実行するスキャンでは、Insight ルック アップは実行されません。選択したファイルを右クリッ クして実行するスキャンでは、Insight ルックアップは 実行されません。 303 304 第 14 章 ウイルス対策とスパイウェア対策の管理 シマンテックセキュリティレスポンスへのクライアントの提出の有効化または無効化 ポリシー機能 相互運用性に関するメモ SONAR SONAR には次の依存関係があります。 ダウンロード保護がインストールされている必要が あります。 ■ Auto-Protect が有効になっている必要がありま す。 Auto-Protect が無効な場合、SONAR はいくつ の検出機能を使用できず、クライアントで誤動作し ているかのように見受けられます。ただし、SONAR は Auto-Protect が無効な場合でもヒューリスティッ ク脅威を検出できます。 ■ Insight ルックアップが有効になっている必要があ ります。 Insight ルックアップを使わない場合、SONAR は 実行されますが検出を行うことができません。まれ に、SONAR は Insight ルックアップを使わずに決 定を下すことができる場合があります。Symantec Endpoint Protection が特定のファイルに関する 評価情報を以前にキャッシュに保存している場合、 SONAR はキャッシュに保存された情報を使う場 合があります。 ■ ブラウザ侵入防止 ダウンロード保護がインストールされている必要があり ます。ダウンロードインサイトは有効と無効のどちらに もできます。 信頼できる Web ドメインの例外 ダウンロード保護がインストールされている必要があり ます。 信頼できる Web ドメイン例外を作成すると、ダウンロー ド保護がインストールされている場合にのみ例外が適 用されます。 p.297 の 「ダウンロードインサイト検出の管理」 を参照してください。 p.344 の 「SONAR の管理」 を参照してください。 p.411 の 「クライアントコンピュータでの侵入防止の管理」 を参照してください。 シマンテックセキュリティレスポンスへのクライアントの提 出の有効化または無効化 Symantec Endpoint Protection は、検出についての情報をシマンテックセキュリティレ スポンスに提出することで、コンピュータを保護できます。シマンテックセキュリティレスポ ンスは、この情報を使って新しい脅威や変化する脅威に対応します。提出されるデータ 第 14 章 ウイルス対策とスパイウェア対策の管理 シマンテックセキュリティレスポンスへのクライアントの提出の有効化または無効化 は、シマンテック社がコンピュータに対する脅威に対処して対策をカスタマイズするため に役立ちます。シマンテック社では、可能なかぎり多くの検出情報を提出することを推奨 しています。 p.281 の 「検出についての情報のシマンテックセキュリティレスポンスへの提出について」 を参照してください。 p.301 の 「Symantec Endpoint Protection が評価データを使ってファイルに関する決定 を下す方法」 を参照してください。 p.307 の 「クライアントの提出と他の外部通信のためのプロキシサーバーの指定」 を参照 してください。 クライアントコンピュータは検出についての情報を匿名で提出します。クライアントが情報 を提出する検出の種類を指定できます。クライアントコンピュータからの提出の有効と無 効を切り替えることもできます。シマンテック社では提出を常に有効にすることを推奨して います。ただし場合によっては、クライアントからそうした情報が提出されないようにしたい こともあります。たとえば、企業のポリシーで、クライアントコンピュータが社外のエンティ ティにいかなるネットワーク情報も送信できないようにする場合があります。 シマンテックセキュリティレスポンスへのクライアントの提出を有効または無効にするに は 1 コンソールで、[クライアント]を選択し、[ポリシー]タブをクリックします。 2 [設定]ペインで、[外部通信の設定]をクリックします。 3 [提出]タブをクリックします。 4 分析のためにクライアントコンピュータがデータを提出できるようにする場合は、[選 択した匿名セキュリティ情報をコンピュータでシマンテック社に自動的に転送する] にチェックマークを付けます。 5 クライアントでの提出を無効にするには、[選択した匿名セキュリティ情報をコンピュー タでシマンテック社に自動的に転送する]にチェックマークを付けます。 クライアントの提出を無効にして設定をロックすると、ユーザーは提出物を送信する ようにクライアントを設定できなくなります。有効にして、提出の種類を選択し、設定 をロックした場合、ユーザーは選択されている設定を変更できなくなります。設定を ロックしない場合、ユーザーは必要に応じて設定を変更できます。 シマンテック社では、シマンテック社がカスタムの脅威防止を提供するうえで役立つ よう、脅威の情報を提出することを推奨します。ただし、ネットワークの帯域幅の問題 やクライアントから出ていくデータの制限に応じて、この機能を無効にする必要があ る場合があります。帯域幅の使用状況を監視する必要がある場合は、クライアント活 動ログを調べると、ログ提出活動を確認できます。 p.551 の 「ログの表示」 を参照してください。 6 提出する情報の種類を選択します。 ■ ファイル評価 305 306 第 14 章 ウイルス対策とスパイウェア対策の管理 シマンテックセキュリティレスポンスへのクライアントの提出の有効化または無効化 評価に基づいて検出されたファイルについての情報。これらのファイルについて の情報は、新種のリスクや広がりつつあるリスクからコンピュータを保護するため の Symantec Insight 評価データベースに寄与しています。 メモ: 管理外クライアントでは、ファイル評価データの提出を有効にするために有 償ライセンスが必要になります。 p.114 の 「管理外クライアントのライセンス交付」 を参照してください。 7 ■ ウイルス対策の検出 ウイルスとスパイウェアスキャンの検出についての情報。 ■ ウイルス対策の拡張ヒューリスティック検出 Bloodhound などのウイルスとスパイウェアのスキャンヒューリスティックによって 検出された潜在的な脅威についての情報。 これらの検出はリスクログに表示されないサイレントな検出です。これらの検出に ついての情報は統計分析のために使われます。 ■ SONAR 検出 危険度が高い検出や危険度が低い検出、システム変更イベント、信頼できるア プリケーションによる疑わしい動作などの、SONAR が検出する脅威についての 情報。 ■ SONAR ヒューリスティック SONAR ヒューリスティック検出はリスクログに表示されないサイレントな検出で す。この情報は統計分析のために使われます。 Symantec Endpoint Protection が Symantec Insight 評価データベースを使っ て脅威についての決定を下すことができるようにするには、[脅威検出のインサイト ルックアップを許可する]にチェックマークを付けます。 Insight ルックアップはデフォルトでは有効になっています。Symantec Endpoint Protection に Symantec Insight 評価データベースのクエリーを許可したくない場 合は、このオプションを無効にできます。 ダウンロードインサイト、SONAR は脅威の検出に Insight ルックアップを使います。 Insight ルックアップを許可することを推奨します。ルックアップを無効にするとダウ ンロードインサイトが無効になり、SONAR ヒューリスティックと Insight ルックアップの 機能が損なわれることがあります。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントの提出と他の外部通信のためのプロキシサーバーの指定 クライアントの提出と他の外部通信のためのプロキシ サーバーの指定 Windows クライアントが提出と他の外部通信のために使うプロキシサーバーを設定でき ます。 p.304 の 「シマンテックセキュリティレスポンスへのクライアントの提出の有効化または無効 化」 を参照してください。 メモ: クライアントコンピュータで、認証が必要なプロキシを使用する場合、シマンテック URL に信頼できる Web ドメイン例外を指定する必要があります。例外により、クライアン トコンピュータは Symantec Insight および他の重要なシマンテックサイトと通信できま す。 推奨される例外については、関連のテクニカルサポートナレッジベースの記事を参照し てください。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 クライアントの提出と他の外部通信のためのプロキシサーバーを指定するには 1 コンソールの[クライアント]ページで、グループを選択し、[ポリシー]をクリックしま す。 2 [設定]または[場所固有の設定]で、[外部通信]をクリックします。 3 [プロキシサーバー (Windows)]タブの[HTTP プロキシの設定]で、[カスタムプロ キシ設定を使う]を選択します。 4 クライアントが使うプロキシサーバーについての情報を入力します。オプションにつ いて詳しくは、オンラインヘルプを参照してください。 5 [OK]をクリックします。 検疫の管理 ウイルススキャンとスパイウェアスキャン、または SONAR で脅威が検出されると、Symantec Endpoint Protection はファイルをクライアントコンピュータのローカル検疫に移動しま す。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 307 308 第 14 章 ウイルス対策とスパイウェア対策の管理 検疫の管理 表 14-17 検疫の管理 タスク 説明 検疫にあるファイルを監視する 多数のファイルが蓄積されないように、定期的に検疫ファイルを 調べる必要がありますネットワークで新しいウイルスのアウトブレー クが現れたときには検疫ファイルを調べます。 不明な感染のあるファイルは検疫に残します。クライアントは新し い定義を受信すると、検疫内にある項目を再スキャンして、ファイ ルを削除または修復することがあります。 検疫にあるファイルを削除する バックアップが存在する場合や、信頼に値するソースから入手し たファイルのコピーがある場合は検疫ファイルを削除できます。 Symantec Endpoint Protection コンソールでリスクログを使う と、感染コンピュータ上の検疫ファイルを直接削除できます。 p.312 の 「クライアントコンピュータにある検疫ファイルのリスクログ を使った削除」 を参照してください。 新しい定義の到着時に Symantec Endpoint Protection が検疫にある項目 を再スキャンする方法を設定す る デフォルトでは、Symantec Endpoint Protection は新しい定義 の到着時に、検疫にある項目を再スキャンします。自動的に項目 を修復し、サイレントに復元します。通常はデフォルトの設定を保 持する必要がありますが、必要性に基づいて再スキャンの処理を 変更できます。 p.312 の 「新しい定義の到着後に検疫がファイルの再スキャンを 処理する方法の設定」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 検疫の管理 タスク 説明 クライアントが検疫項目につい ての情報を提出する方法を指 定する Symantec Endpoint Protection ではユーザーが、いっそうの 分析のために感染ファイルまたは疑わしいファイルと、それらの 関連副作用をシマンテックセキュリティレスポンスに提出できま す。ユーザーから提出された情報により、シマンテックは検出と修 復を改良することができます。 検疫にあるシグネチャベースの検出について、ローカルの検疫 から中央検疫サーバーへの転送を有効にできます。ローカル検 疫にある評価検出を中央検疫サーバーに送信することはできま せん。セキュリティネットワーク内で中央検疫サーバーを使う場合 は、項目を転送するようにクライアントを設定できます。中央検疫 サーバーは、この情報をシマンテックセキュリティレスポンスに送 信できます。クライアントから提出される情報は、検出された脅威 が本物かどうかをシマンテックが判断するのに役立ちます。 シマンテックセキュリティレスポンスに提出されたファイルは、 Symantec Corporation の所有物となります。場合によって、ファ イルはウイルス対策コミュニティと共有されます。シマンテックが ファイルを共有する場合、シマンテックは業界標準の暗号化を使 い、コンテンツの整合性とプライバシーを保護するためにデータ を匿名にします。 p.311 の 「中央検疫サーバーまたはシマンテックセキュリティレス ポンスに検疫項目を提出するクライアントの設定」 を参照してくだ さい。 検疫ファイルのストレージを管 理する デフォルトでは、検疫はデフォルトのフォルダにバックアップファ イル、修復したファイル、検疫ファイルを格納します。ファイルは 30 日後に自動的に削除されます。 検疫項目のストレージは次の方法で管理できます。 検疫ファイルを格納するローカルフォルダを指定します。 デフォルトフォルダを使うことも、選択したフォルダを使うことも できます。 p.310 の 「ローカル検疫フォルダの指定」 を参照してください。 ■ ファイルをいつ自動的に削除するかを指定します。 検疫では、指定の日数後、自動的にファイルが削除されま す。ファイルが格納されるフォルダが指定したサイズに達した ときにファイルを削除するように、検疫を設定することもできま す。設定は、修復されたファイル、バックアップファイル、検疫 ファイルに対して個別に指定できます。 p.310 の 「検疫ファイルを自動的に削除するタイミングの指定」 を参照してください。 ■ 309 310 第 14 章 ウイルス対策とスパイウェア対策の管理 検疫の管理 ローカル検疫フォルダの指定 デフォルトの検疫フォルダを使わずに検疫ファイルをクライアントコンピュータに格納する 場合は、異なるローカルフォルダを指定できます。パスを入力するときにパーセント記号 を使うことでパス展開を使用できます。たとえば、%COMMON_APPDATA% と入力しま す。相対パスは指定できません。 p.307 の 「検疫の管理」 を参照してください。 ローカル検疫フォルダを指定するには 1 [ウイルスとスパイウェアの対策ポリシー]ページで、[検疫]をクリックします。 2 [その他]タブの[ローカル検疫オプション]で、[検疫フォルダを指定する]をクリック します。 3 テキストボックスに、クライアントコンピュータ上のローカルフォルダの名前を入力しま す。パスを入力するときにパーセント記号を使うことでパス展開を使用できます。たと えば、%COMMON_APPDATA% と入力できますが、相対パスは指定できません。 4 このポリシーの設定を完了したら、[OK]をクリックします。 検疫ファイルを自動的に削除するタイミングの指定 Symantec Endpoint Protection は指定した時間を超えると検疫にあるファイルを自動 的に削除します。ファイルが格納されるフォルダが指定したサイズに達したときにもファイ ルを削除するように、検疫を設定できます。 いずれかまたは両方の設定を使用できます。両方の種類の制限を設定すると、設定した 期間よりも古いファイルが最初にパージされます。それでもフォルダのサイズが設定した 制限を越えている場合には古い順にファイルが 1 つずつ削除され、フォルダサイズが指 定した限度に収まるまでファイルが削除されます。 p.307 の 「検疫の管理」 を参照してください。 自動クリーンアップオプションを設定するには 1 コンソールで、[ウイルスとスパイウェアの対策ポリシー]を開き、[検疫]をクリックしま す。 2 [クリーンアップ]タブの[修復したファイル]で、[修復したファイルの自動削除を有効 にする]をチェックするかチェックマークをはずします。 3 [削除するまで]ボックスで、値を入力するか矢印をクリックして日単位の期間を選択 します。 4 [フォルダサイズ限度に合わせて最も古いファイルを削除]チェックボックスにチェッ クマークを付け、最大フォルダサイズをメガバイト単位で入力します。デフォルト設定 は 50 MB です。 5 [バックアップファイル]で、[バックアップファイルの自動削除を有効にする]にチェッ クマークを付けるかはずします。 第 14 章 ウイルス対策とスパイウェア対策の管理 検疫の管理 6 [削除するまで]ボックスで、日単位で期間を入力するか矢印をクリックして選択しま す。 7 [フォルダサイズ限度に合わせて最も古いファイルを削除]チェックボックスにチェッ クマークを付け、最大フォルダサイズをメガバイト単位で入力します。デフォルトは 50 MB です。 8 [検疫ファイル]で、[修復できなかった検疫ファイルの自動削除を有効にする]を チェックするかチェックマークをはずします。 9 [削除するまで]ボックスで、値を入力するか矢印をクリックして日単位の期間を選択 します。 10 [フォルダサイズ限度に合わせて最も古いファイルを削除]チェックボックスにチェッ クマークを付け、最大フォルダサイズをメガバイト単位で入力します。デフォルトは 50 MB です。 11 このポリシーの設定を完了したら、[OK]をクリックします。 中央検疫サーバーまたはシマンテックセキュリティレスポンスに検疫項 目を提出するクライアントの設定 クライアントは中央検疫サーバーに検疫項目を自動的に提出できます。 また、クライアントコンピュータのユーザーに、手動でシマンテックセキュリティレスポンス に検疫項目を直接提出することを許可できます。 p.307 の 「検疫の管理」 を参照してください。 検疫項目を提出するようにクライアントを設定するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開き、[検疫]をクリックします。 2 [検疫項目]で、次のいずれかまたは両方の操作を行います。 3 ■ [クライアントコンピュータが検疫項目を検疫サーバーに自動的に提出するのを 許可する]を選択します。 検疫サーバーの名前を入力します。 使用するポート番号を入力し、接続を再試行する秒数を選択します。 ■ [クライアントコンピュータがシマンテックセキュリティレスポンスに手動で検疫項 目を提出するのを許可する]を選択します。 このポリシーの設定を完了したら、[OK]をクリックします。 311 312 第 14 章 ウイルス対策とスパイウェア対策の管理 検疫の管理 新しい定義の到着後に検疫がファイルの再スキャンを処理する方法の 設定 クライアントコンピュータに新しい定義が到着したときに適用する処理を設定できます。デ フォルトでは、クライアントは[検疫]内の項目を再度スキャンし、サイレントに、また自動的 に項目を修復して復元します。一般には、この設定を常に使います。 検疫にあるファイルまたはアプリケーションの例外を作成した場合、Symantec Endpoint Protection は新しい定義の到着後にファイルを復元します。 p.307 の 「検疫の管理」 を参照してください。 p.262 の 「ネットワーク内のコンピュータのリスクの修復」 を参照してください。 新しい定義の到着後に検疫がファイルの再スキャンを処理する方法を設定するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開き、[検疫]をクリックします。 2 [全般]タブの[新しいウイルス定義の到着時]で、次のいずれかのオプションをクリッ クします。 3 ■ 検疫項目を自動的に修復して元の場所にサイレントに復元する ■ 検疫項目をサイレントに修復して元の場所に復元しない ■ ユーザーに確認 ■ 何もしない このポリシーの設定を完了したら、[OK]をクリックします。 クライアントコンピュータにある検疫ファイルのリスクログを使った削除 Symantec Endpoint Protection Manager コンソールでリスクログを使って、クライアン トコンピュータにある検疫ファイルを削除できます。削除する任意の検疫ファイルについ て、ログから[検疫から削除]コマンドを実行します。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 Symantec Endpoint Protection が圧縮ファイル内でリスクを検出した場合、圧縮ファイ ルがまとめて検疫されます。ただし、リスクログには圧縮ファイル内の各ファイルのエントリ が別々に含まれています。圧縮ファイル内のすべてのリスクを正しく削除するには、圧縮 ファイル内のすべてのファイルを選択する必要があります。 リスクログを使って、クライアントコンピュータの検疫からファイルを削除するには 1 [監視]をクリックします。 2 [ログ]タブの[ログの種類]リストボックスで、[リスク]ログを選択して[ログの表示]を クリックします。 3 次のいずれかの操作を実行します。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理 ■ 検疫されたファイルが含まれているログでエントリを選択します。 ■ 圧縮ファイル内のファイルのすべてのエントリを選択します。 圧縮ファイルのすべてのエントリがログ表示に含まれている必要があります。[拡 張設定]の[限度]オプションを使うと、表示されるエントリの数を増やすことがで きます。 4 [処理]リストボックスで、[検疫から削除]を選択します。 5 [開始]をクリックします。 6 ダイアログボックスが表示されたら、[削除]をクリックします。 7 確認のダイアログボックスが表示されたら、[OK]をクリックします。 クライアントコンピュータに表示されるウイルスとスパイ ウェアの通知の管理 クライアントコンピュータにウイルスとスパイウェアのイベントについての通知を表示するか どうかを指定できます。検出についてのメッセージはカスタマイズできます。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 313 314 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理 表 14-18 クライアントコンピュータに表示されるウイルスとスパイウェアの通知 ユーザーへの通知 説明 スキャン検出メッセージのカスタマイズ Windows クライアントコンピュータの場合、次の種類 のスキャンについて、検出メッセージを設定できます。 ダウンロードインサイトを含むすべての種類の Auto-Protect ■ 定時スキャンとオンデマンドスキャン 定時スキャンの場合、各スキャンに別個のメッセー ジを設定できます。 ■ メモ: プロセスがクライアントコンピュータに同じセキュ リティリスクを絶えずダウンロードする場合、 Auto-Protect は 3 回の検出後、自動的に通知の送 信を停止します。Auto-Protect はイベントのログ記録 も停止します。ただし状況によっては、Auto-Protect は通知の送信とイベントのログ記録を停止しません。 検出の処理が[放置する (ログのみ)]のときには、 Auto-Protect は通知の送信とイベントのログ記録を 続けます。 Mac クライアントコンピュータの場合、すべての定時ス キャンに適用されるメッセージに適用される検出メッ セージと、オンデマンドスキャンに適用されるメッセー ジを設定できます。 p.324 の 「Windows コンピュータで実行されるクライア ントに対する管理者定義のスキャンのカスタマイズ」 を 参照してください。 p.325 の 「Mac コンピュータで実行されるクライアントに 対する管理者定義のスキャンのカスタマイズ」 を参照 してください。 ダウンロードインサイト検出に関するユー ザー通知の設定を変更する ユーザーがダウンロードインサイト検出について受信 する通知を変更できます。 p.297 の 「ダウンロードインサイト検出の管理」 を参照 してください。 SONAR 検出に関するユーザー通知の設 ユーザーが SONAR 検出について受信する通知を変 定を変更する 更できます。 p.344 の 「SONAR の管理」 を参照してください。 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理 ユーザーへの通知 説明 Auto-Protect 結果ダイアログボックスを表 該当するのは Windows クライアントコンピュータのみ 示するかどうかを選択する です。 該当するのはファイルシステムの Auto-Protect のみ です。 p.324 の 「Windows コンピュータで実行されるクライア ントに対する管理者定義のスキャンのカスタマイズ」 を 参照してください。 Auto-Protect の電子メール通知を設定す 該当するのは Windows クライアントコンピュータのみ る です。 Auto-Protect の電子メールスキャンでリスクが見つ かった場合、Auto-Protect は指定した電子メール送 信者とその他任意の電子メールアドレスに警告するた め、電子メール通知を送信できます。電子メールメッ セージに警告を挿入することもできます。 インターネット電子メール Auto-Protect については、 Auto-Protect が電子メールをスキャンするときに、ス キャン進行状況に関する通知が表示されるように指定 できます。 p.323 の 「Windows コンピュータで実行する電子メー ルスキャンの Auto-Protect のカスタマイズ」 を参照し てください。 ユーザーがスキャン進行状況とスキャンの 該当するのは Windows クライアントコンピュータのみ 開始または停止を参照できるようにする です。 スキャン進行状況のダイアログボックスを表示するか どうかを設定できます。スキャンを一時停止すること、 または遅らせることをユーザーに許可するかどうかを 設定できます。 ユーザーがスキャン進行状況を参照できるようにする と、スキャン進行状況のダイアログボックスへのリンク がクライアントユーザーインターフェースのメインペー ジに表示されます。次の定時スキャンのスケジュール を再設定するリンクも表示されます。 p.334 の 「ユーザーによるスキャン進行状況の表示と スキャンの操作の許可」 を参照してください。 315 316 第 14 章 ウイルス対策とスパイウェア対策の管理 クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理 ユーザーへの通知 説明 警告、エラー、確認を設定する 該当するのは Windows クライアントコンピュータのみ です。 クライアントコンピュータに表示される、ウイルスとスパ イウェアの対策イベントに関するいくつかの種類の警 告を有効または無効にできます。 p.328 の 「Windows コンピュータでのウイルス対策と スパイウェアの対策に関するその他の設定の修正」 を 参照してください。 15 スキャンのカスタマイズ この章では以下の項目について説明しています。 ■ Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャンのカスタ マイズ ■ Mac コンピュータで実行されるウイルススキャンとスパイウェアスキャンのカスタマイズ ■ Windows クライアントの Auto-Protect のカスタマイズ ■ Mac クライアントの Auto-Protect のカスタマイズ ■ Windows コンピュータで実行する電子メールスキャンの Auto-Protect のカスタマイ ズ ■ Windows コンピュータで実行されるクライアントに対する管理者定義のスキャンのカ スタマイズ ■ Mac コンピュータで実行されるクライアントに対する管理者定義のスキャンのカスタマ イズ ■ 仮想化された環境でのスキャンのランダム化によるコンピュータパフォーマンスの向 上 ■ Windows クライアントのグローバルなスキャン設定の修正 ■ Windows コンピュータでのウイルス対策とスパイウェアの対策に関するその他の設 定の修正 ■ ダウンロードインサイトの設定のカスタマイズ ■ 検出を行ったときに Symantec Endpoint Protection が実行する処理の変更 ■ ユーザーによるスキャン進行状況の表示とスキャンの操作の許可 ■ Symantec Endpoint Protection と Windows セキュリティセンターとの相互作用 ■ 仮想環境での Symantec Endpoint Protection の管理 318 第 15 章 スキャンのカスタマイズ Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャンのカスタマイズ Windows コンピュータで実行されるウイルススキャンと スパイウェアスキャンのカスタマイズ Windows コンピュータで実行される管理者定義のスキャン(定時スキャンとオンデマンド スキャン)のオプションをカスタマイズできます。Auto-Protect のオプションもカスタマイズ できます。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 表 15-1 Windows コンピュータでのウイルススキャンとスパイウェアスキャン のカスタマイズ タスク 説明 Auto-Protect 設定をカスタマイズする 次の設定を含め、多くの方法で Auto-Protect をカス タマイズできます。 ■ Auto-Protect でスキャンするファイルの種類 ■ 検出を行うときに Auto-Protect が実行する処理 ■ Auto-Protect 検出のユーザー通知 ファイルシステムの Auto-Protect スキャンについて、 [スキャン結果]ダイアログボックスの有効と無効を切り 替えることもできます。 p.320 の 「Windows クライアントの Auto-Protect のカ スタマイズ」 を参照してください。 p.323 の 「Windows コンピュータで実行する電子メー ルスキャンの Auto-Protect のカスタマイズ」 を参照し てください。 管理者定義のスキャンをカスタマイズする 定時スキャンとオンデマンドスキャンについて、次の種 類のオプションをカスタマイズできます。 ■ 圧縮ファイル ■ 調整オプション ■ インサイトルックアップ ■ 拡張スケジュールオプション ■ 検出についてのユーザーへの通知 p.324 の 「Windows コンピュータで実行されるクライア ントに対する管理者定義のスキャンのカスタマイズ」 を 参照してください。 スキャン処理もカスタマイズできます。 第 15 章 スキャンのカスタマイズ Mac コンピュータで実行されるウイルススキャンとスパイウェアスキャンのカスタマイズ タスク 説明 ダウンロードインサイトの設定を調整する 検出の数を増加または減少させるために、悪質なファ イルの感度を調整したいことがあります。検出の処理 と、検出についてのユーザーへの通知についても設 定できます。 p.331 の 「ダウンロードインサイトの設定のカスタマイ ズ」 を参照してください。 スキャン処理をカスタマイズする 検出を行ったときに Symantec Endpoint Protection が実行する処理を変更できます。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の変更」 を参照してくだ さい。 グローバルスキャン設定をカスタマイズす る グローバルスキャン設定をカスタマイズして、クライア ントコンピュータでの保護レベルを上げる、または下げ ることもできます。 p.327 の 「Windows クライアントのグローバルなスキャ ン設定の修正」 を参照してください。 ウイルス対策とスパイウェア対策のその他 のオプションをカスタマイズする クライアントが Symantec Endpoint Protection Manager に送信するリスクイベントの種類を指定でき ます。また、Symantec Endpoint Protection と Windows セキュリティセンターとの相互作用を調整 できます。 p.328 の 「Windows コンピュータでのウイルス対策と スパイウェアの対策に関するその他の設定の修正」 を 参照してください。 p.336 の 「Symantec Endpoint Protection と Windows セキュリティセンターとの相互作用」 を参照 してください。 Mac コンピュータで実行されるウイルススキャンとスパイ ウェアスキャンのカスタマイズ Mac コンピュータで実行される管理者定義のスキャン(定時スキャンとオンデマンドスキャ ン)のオプションをカスタマイズできます。Auto-Protect のオプションもカスタマイズできま す。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 319 320 第 15 章 スキャンのカスタマイズ Windows クライアントの Auto-Protect のカスタマイズ 表 15-2 Mac コンピュータで実行されるウイルススキャンとスパイウェアスキャ ンのカスタマイズ タスク 説明 Auto-Protect をカスタマイズする Mac コンピュータで実行されるクライアントの Auto-Protect 設定をカスタマイズできます。 p.322 の 「クライアントコンピュータで実行できるコマン ドについて」p.322 の を参照してください。 管理者定義のスキャンをカスタマイズする スキャン優先度はもちろん、一般的な設定と通知もカ スタマイズできます。 また、警告を有効または無効にして、定義が最新では ないときにユーザーに警告できます。 p.325 の 「Mac コンピュータで実行されるクライアントに 対する管理者定義のスキャンのカスタマイズ」 を参照 してください。 Windows クライアントの Auto-Protect のカスタマイズ Windows クライアントの Auto-Protect の設定をカスタマイズできます。 p.318 の 「Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャンの カスタマイズ」 を参照してください。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 Windows クライアントの Auto-Protect をカスタマイズするには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 [Windows の設定]の下の[保護技術]で、[Auto-Protect]をクリックします。 3 [スキャンの詳細]タブで、[Auto-Protect を有効にする]にチェックマークを付ける か、チェックマークをはずします。 メモ: Auto-Protect を無効にしている場合、ダウンロードインサイトが有効になって いてもダウンロードインサイトは機能できません。 4 [スキャン]の[ファイルの種類]で、次のいずれかのオプションをクリックします。 ■ すべてのファイルをスキャンする これがデフォルトで、最も安全なオプションです。 ■ 選択した拡張子のみをスキャンする 第 15 章 スキャンのカスタマイズ Windows クライアントの Auto-Protect のカスタマイズ このオプションを選択するとスキャンパフォーマンスを高められますが、コンピュー タでの保護レベルは下がる可能性があります。 5 [追加オプション]で、[セキュリティリスクをスキャンする]と[セキュリティリスクのインス トールを遮断する]にチェックマークを付けるか、チェックマークをはずします。 6 [スキャンと監視の拡張設定]をクリックし、Auto-Protect スキャンをトリガする処理の オプションと、Auto-Protect がフロッピーディスクのスキャンを処理する方法を変更 します。 7 [OK]をクリックします。 8 [ネットワークの設定]で、[リモートコンピュータ上でファイルをスキャンする]にチェッ クマークを付けるか、チェックマークをはずしてネットワークファイルの Auto-Protect スキャンを有効または無効にします。 デフォルトでは、Auto-Protect はファイルが実行されるときのみリモートコンピュータ でファイルをスキャンします。 スキャンとコンピュータのパフォーマンスを高めるためにネットワークのスキャンを無 効にしたいことがあります。 9 リモートコンピュータでのファイルスキャンが有効になっている場合は、[ネットワーク の設定]をクリックして、ネットワークのスキャンオプションを修正します。 10 [ネットワークの設定]ダイアログボックスで、次のいずれかの処理を行います。 ■ Auto-Protect を実行するリモートコンピュータのファイルを信頼するために Auto-Protect を有効または無効にする ■ Auto-Protect スキャンのネットワークキャッシュオプションを設定する 11 [OK]をクリックします。 12 [処理]タブで、いずれかのオプションを設定します。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の 変更」 を参照してください。 Auto-Protect の修復オプションも設定できます。 13 [通知]タブで、いずれかの通知オプションを設定します。 p.313 の 「クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理」 を参照してください。 14 [拡張]タブで、次のいずれかのオプションを設定します。 ■ 起動と終了 ■ Auto-Protect の再ロードと有効化 15 [追加オプション]で、[ファイルキャッシュ]または[リスク追跡]をクリックします。 321 322 第 15 章 スキャンのカスタマイズ Mac クライアントの Auto-Protect のカスタマイズ 16 ファイルキャッシュまたはリスク追跡を設定し、[OK]をクリックします。 17 このポリシーの設定を完了したら、[OK]をクリックします。 Mac クライアントの Auto-Protect のカスタマイズ Mac コンピュータで実行されるクライアントの Auto-Protect 設定をカスタマイズできます。 p.319 の 「Mac コンピュータで実行されるウイルススキャンとスパイウェアスキャンのカスタ マイズ」 を参照してください。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の変更」 を参照してください。 p.313 の 「クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理」 を 参照してください。 Mac クライアントのファイルシステム Auto-Protect を設定するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 [Mac の設定]の下の[保護技術]で、[ファイルシステム Auto-Protect]をクリックし ます。 3 [スキャンの詳細]タブの一番上にあるロックアイコンをクリックし、すべての設定をロッ クまたはロック解除します。 4 次のいずれかのオプションのチェックマークを付けるかはずします。 5 ■ ファイルシステム Auto-Protect を有効にする ■ 感染ファイルを自動的に修復する ■ 修復できないファイルを検疫する ■ 圧縮ファイルをスキャン [一般スキャンの詳細]で、Auto-Protect がスキャンするファイルを指定します。 メモ: スキャンからファイルを除外するには、[指定したフォルダを除くすべての場所 をスキャンする]を選択してから例外ポリシーを追加し、除外するファイルを指定しま す。 p.471 の 「スキャンからのファイルまたはフォルダの除外」 を参照してください。 6 [マウント済みディスクのスキャンの詳細]で、利用可能なオプションのチェックマーク を付けるかはずします。 7 [通知]タブで、いずれかの通知オプションを設定してから[OK]をクリックします。 第 15 章 スキャンのカスタマイズ Windows コンピュータで実行する電子メールスキャンの Auto-Protect のカスタマイズ Windows コンピュータで実行する電子メールスキャンの Auto-Protect のカスタマイズ Windows コンピュータでは、電子メールスキャンの Auto-Protect をカスタマイズできま す。 p.318 の 「Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャンの カスタマイズ」 を参照してください。 p.313 の 「クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理」 を 参照してください。 インターネット電子メール Auto-Protect を設定するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 [Windows の設定]で、次のいずれかのオプションをクリックします。 ■ インターネット電子メール Auto-Protect ■ Microsoft Outlook Auto-Protect ■ Lotus Notes Auto-Protect 3 [スキャンの詳細]タブで、[インターネット電子メール Auto-Protect を有効にする] にチェックマークを付けるか、チェックマークをはずします。 4 [スキャン]の[ファイルの種類]で、次のいずれかのオプションをクリックします。 ■ すべてのファイルをスキャンする これがデフォルトで、最も安全なオプションです。 ■ 選択した拡張子のみをスキャンする このオプションを選択するとスキャンパフォーマンスを高められますが、コンピュー タでの保護レベルは下がる可能性があります。 5 [圧縮ファイル内部のファイルをスキャンする]をチェックするかチェックマークをはず します。 6 [処理]タブで、いずれかのオプションを設定します。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の 変更」 を参照してください。 7 [通知]タブの[通知]で、[感染コンピュータに通知メッセージを表示する]をチェック するかチェックマークをはずします。メッセージはカスタマイズすることもできます。 8 [電子メール通知]で、次のいずれかのオプションをチェックするかチェックマークを はずします。 ■ 電子メールメッセージに警告を挿入する ■ 送信者に電子メールを送信する 323 324 第 15 章 スキャンのカスタマイズ Windows コンピュータで実行されるクライアントに対する管理者定義のスキャンのカスタマイズ ■ 他のユーザーに電子メールを送信 メッセージテキストをカスタマイズし、警告を含めることができます。インターネット電 子メール Auto-Protect の場合は、電子メールサーバーを指定する必要もあります。 9 インターネット電子メール Auto-Protect の場合のみ、[拡張]タブの[暗号化接続] で、暗号化 POP3 または SMTP 接続を有効または無効にします。 10 [大量メール送信型ワームヒューリスティック]で[アウトバウンドワームヒューリスティッ ク]をチェックするかチェックマークをはずします。 11 このポリシーの設定を完了したら、[OK]をクリックします。 Windows コンピュータで実行されるクライアントに対す る管理者定義のスキャンのカスタマイズ Windows コンピュータで実行されるクライアントに対する定時スキャンまたはオンデマン ドスキャンをカスタマイズしたい場合があります。圧縮ファイルのスキャンのオプションを設 定し、コンピュータのスキャンやスキャンパフォーマンスを最適化できます。 p.318 の 「Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャンの カスタマイズ」 を参照してください。 p.288 の 「Windows コンピュータで実行される定時スキャンの設定」 を参照してください。 Windows コンピュータで実行されるクライアントに対する管理者定義のスキャンをカスタ マイズするには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 [Windows の設定]で、[管理者定義のスキャン]をクリックします。 3 次のいずれかの操作を実行します。 ■ [定時スキャン]で、カスタマイズする定時スキャンを選択するか、新しい定時ス キャンを作成します。 ■ [管理者オンデマンドスキャン]で、[編集]をクリックします。 4 [スキャンの詳細]タブで、[スキャンの拡張オプション]を選択します。 5 [圧縮ファイル]タブで、圧縮ファイルをスキャンするレベルの数を減らすことができま す。レベルの数を減らすと、クライアントコンピュータのパフォーマンスが向上するこ とがあります。 6 [調整]タブで、クライアントコンピュータまたはスキャンにとって最適なパフォーマン スが得られるように調整のレベルを変更します。 7 [OK]をクリックします。 第 15 章 スキャンのカスタマイズ Mac コンピュータで実行されるクライアントに対する管理者定義のスキャンのカスタマイズ 8 [インサイトルックアップ]タブで、任意の設定を変更して、Insight ルックアップが評 価検出をどのように処理するかを調整します。この設定はダウンロードインサイトの設 定に類似しています。 9 定時スキャンの場合のみ、[スケジュール]タブで、次のいずれかのオプションを設 定します。 ■ スキャン期間 スキャンが一時停止し、クライアントコンピュータがアイドル状態になるまで待機 するまで、どれだけの期間スキャンを実行するかを設定できます。また、スキャン の開始時間をランダム化できます。 ■ 未実行の定時スキャン 未実行のスキャンのために再試行の間隔を指定できます。 10 [処理]タブで、任意の検出処理を変更します。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の 変更」 を参照してください。 11 [通知]タブで、スキャンが検出を行ったときにクライアントコンピュータに表示される 通知を有効または無効にします。 p.313 の 「クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理」 を参照してください。 12 [OK]をクリックします。 Mac コンピュータで実行されるクライアントに対する管理 者定義のスキャンのカスタマイズ 定時スキャンとオンデマンドスキャンは別個にカスタマイズします。オプションの一部は異 なっています。 p.319 の 「Mac コンピュータで実行されるウイルススキャンとスパイウェアスキャンのカスタ マイズ」 を参照してください。 p.289 の 「Mac コンピュータで実行される定時スキャンの設定」 を参照してください。 p.332 の 「検出を行ったときに Symantec Endpoint Protection が実行する処理の変更」 を参照してください。 p.313 の 「クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理」 を 参照してください。 Mac コンピュータで実行される定時スキャンをカスタマイズするには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 [Mac の設定]で、[管理者定義のスキャン]を選択します。 325 326 第 15 章 スキャンのカスタマイズ 仮想化された環境でのスキャンのランダム化によるコンピュータパフォーマンスの向上 3 [定時スキャン]で、カスタマイズする定時スキャンを選択するか、新しい定時スキャ ンを作成します。 4 [スキャンの詳細]タブの[ドライブとフォルダをスキャン]で、スキャンする項目を選択 します。 5 スキャン優先度を設定します。 6 [OK]をクリックします。 このポリシーに含まれている他のすべてのスキャンについて、スキャンの詳細を編集 します。 7 [通知]タブで、スキャン検出についての通知メッセージを有効または無効にします。 設定は、このポリシーに含めるすべての定時スキャンに適用されます。 8 [共通の設定]タブで、次のいずれかのオプションを設定します。 ■ スキャンオプション ■ 処理 ■ 警告 これらの設定は、このポリシーに含めるすべての定時スキャンに適用されます。 9 [OK]をクリックします。 Mac コンピュータで実行されるオンデマンドスキャンをカスタマイズするには 1 [ウイルスとスパイウェアの対策ポリシー]ページの[Mac の設定]で、[管理者定義 のスキャン]を選択します。 2 [管理者オンデマンドスキャン]で、[編集]をクリックします。 3 [スキャンの詳細]タブの[ドライブとフォルダをスキャン]で、スキャンする項目を選択 します。 また、スキャン検出の処理を指定したり、圧縮ファイルのスキャンを有効または無効 にしたりできます。 4 [通知]タブで、検出についての通知を有効または無効にします。表示されるメッセー ジも指定できます。 5 [OK]をクリックします。 仮想化された環境でのスキャンのランダム化によるコン ピュータパフォーマンスの向上 定時スキャンをランダム化して、Windows クライアントコンピュータでのパフォーマンスを 向上させることができます。ランダム化は仮想化された環境で重要です。 第 15 章 スキャンのカスタマイズ Windows クライアントのグローバルなスキャン設定の修正 たとえば、午後 8 時にスキャンを実行するようにスケジュールしたとします。間隔として 4 時間を選択すると、午後 8 時と午前 12 時の間のランダム化された時刻に、クライアントコ ンピュータでスキャンが開始されます。 p.291 の 「スキャンの調整によるクライアントコンピュータパフォーマンスの改善」 を参照し てください。 p.288 の 「Windows コンピュータで実行される定時スキャンの設定」 を参照してください。 スキャンをランダム化するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開き、[管理者定義のスキャ ン]をクリックします。 2 新しい定時スキャンを作成するか、既存の定時スキャンを選択して編集します。 3 [定時スキャンの追加]または[定時スキャンの編集]ダイアログボックスで、[スケジュー ル]タブをクリックします。 4 [スキャンスケジュール]で、スキャンを実行する頻度を選択します。 5 [スキャン期間]で、[最長で]にチェックマークを付け、時間数を選択します。この時 間数は、その間にスキャンがランダム化される時間間隔を制御します。 6 [この期間内でスキャン開始日時をランダム化する (VM で推奨)]は必ず有効にしま す。 7 [OK]をクリックします。 8 仮想コンピュータを実行するコンピュータを含むグループにポリシーを適用するよう にします。 Windows クライアントのグローバルなスキャン設定の修 正 Windows クライアントコンピュータで実行されるスキャンのグローバルな設定をカスタマ イズできます。これらのオプションを修正すると、クライアントコンピュータのセキュリティを 向上させることができます。 メモ: これらのオプションを修正してクライアントコンピュータでの保護を強化すると、クライ アントコンピュータのパフォーマンスに影響することがあります。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 p.318 の 「Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャンの カスタマイズ」 を参照してください。 327 328 第 15 章 スキャンのカスタマイズ Windows コンピュータでのウイルス対策とスパイウェアの対策に関するその他の設定の修正 Windows クライアントのグローバルなスキャン設定を修正するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 [Windows の設定]で、[グローバルスキャンオプション]をクリックします。 3 次のいずれかのオプションを設定します。 インサイト インサイトによるスキャンでは良好な信頼ファイルをス キップできます。スキャンでは、シマンテック社が良好 だと信頼するファイル(安全性は高)や、コミュニティが 良好だと信頼するファイル(安全性は低)をスキップで きます。 Bloodhound Bloodhound は、ファイルの論理部分を分離して確認 し、未知のウイルスである見込みの高いものを検出し ます。続いて、Bloodhound はウイルスのように動作 するプログラム論理を分析します。検出感度のレベル を指定できます。 マップしたネットワークドライブのパス クライアントがネットワークドライブをスキャンするときに ワード ユーザーにパスワードを要求するかどうかを指定しま す。 Shared Insight Cache 4 Shared Insight Cache により、ファイルがクリーンで あると Symantec Endpoint Protection が判断した 場合に仮想化された環境のファイルをスキャンする必 要がなくなります。Shared Insight Cache は個別にイ ンストールされます。 [OK]をクリックします。 Windows コンピュータでのウイルス対策とスパイウェア の対策に関するその他の設定の修正 それぞれのウイルスとスパイウェアの対策ポリシーには、Windows クライアントコンピュー タで実行されるすべてのウイルススキャンとスパイウェアスキャンに適用されるオプション が含まれています。 p.318 の 「Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャンの カスタマイズ」 を参照してください。 p.336 の 「Symantec Endpoint Protection と Windows セキュリティセンターとの相互作 用」 を参照してください。 p.313 の 「クライアントコンピュータに表示されるウイルスとスパイウェアの通知の管理」 を 参照してください。 第 15 章 スキャンのカスタマイズ Windows コンピュータでのウイルス対策とスパイウェアの対策に関するその他の設定の修正 Windows セキュリティセンター どのように Windows セキュリティセンター指定できま す Symantec Endpoint Protection と連携して働き ます。 インターネットブラウザ保護 ブラウザのホームページを変更したセキュリティリスク を修復するときに Symantec Endpoint Protection が使うデフォルトの URL を指定できます。 リスクログイベント デフォルトでは、クライアントは常に特定の種類のイベ ントを管理サーバーに送信します([スキャンが中止さ れました]、[スキャンが開始されました]など)。管理者 は他の種類のイベント([ファイルをスキャンしていませ ん]など)を送信するかどうかを選択できます。 クライアントが管理サーバーに送信するイベントは、レ ポートとログの情報に影響します。そのため、管理サー バーに転送するイベントの種類を決定する必要があり ます。特定のイベントだけを選択すると、ログのサイズ とレポートに含まれる情報の量を削減することができま す。 クライアントがログ項目を保持する期間を設定すること もできます。このオプションは、クライアントが管理コン ソールに送信するイベントにはいっさい影響を与えま せん。このオプションを使うと、クライアントコンピュータ 上の実際のログサイズを削減できます。 クライアントが管理コンソールに集計イベントを送信す る頻度を指定することもできます。 329 330 第 15 章 スキャンのカスタマイズ Windows コンピュータでのウイルス対策とスパイウェアの対策に関するその他の設定の修正 その他の通知 次の通知を設定できます。 定義が最新ではないときや見つからないときにユー ザーに警告する ウイルスとセキュリティリスクの定義が最新ではない 場合や消失した場合にクライアントコンピュータ上 に表示される警告メッセージを表示し、カスタマイ ズできます。自動更新をスケジュール設定してい ない場合は、ユーザーに警告する必要がある可 能性があります。 ■ スキャン中に表示されるエラーメッセージに URL を含める スキャン中、クライアントコンピュータにエラーが表 示されることがまれにあります。たとえば、クライア ントコンピュータでバッファオーバーランや圧縮解 除の問題が発生することがあります。 エラー通知に表示する URL として、シマンテック 社のサポート Web サイトやカスタム URL を指定 できます。たとえば、代わりに内部の Web サイトを 指定すると便利な場合もあります。 ■ メモ: この URL はエラーが発生したクライアントの システムイベントログにも出力されます。 仮想イメージの例外 Auto-Protect または管理者定義のスキャンから仮想 イメージを除外できます。仮想イメージ除外ツールを 使用して除外する基準イメージを作成する必要があり ます。 ウイルス対策とスパイウェア対策に関するその他の設定を修正するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開きます。 2 [Windows の設定]の下で、[その他]をクリックします。 [Windows セキュリティセンター]または[インターネットブラウザ保護]のオプション を指定します。 3 [ログの処理]タブで、イベントフィルタ、ログの保持、ログの集計のオプションを設定 します。 4 [通知]タブで、グローバルな通知を設定します。 5 [仮想イメージ]タブで、仮想イメージの例外を設定します。 6 [OK]をクリックします。 第 15 章 スキャンのカスタマイズ ダウンロードインサイトの設定のカスタマイズ ダウンロードインサイトの設定のカスタマイズ クライアントコンピュータでの誤認検出を減らすため、ダウンロードインサイトの設定をカス タマイズしたいことがあります。悪質なファイルを特徴付けるために使われるファイル評価 データに対するダウンロードインサイトの感度を変更できます。ダウンロードインサイトが 検出を行った場合にクライアントコンピュータに表示する通知も変更できます。 p.318 の 「Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャンの カスタマイズ」 を参照してください。 p.297 の 「ダウンロードインサイト検出の管理」 を参照してください。 ダウンロードインサイトの設定をカスタマイズするには 1 コンソールで、[ウイルスとスパイウェアの対策ポリシー]を開き、[ダウンロード保護] を選択します。 2 [ダウンロードインサイト]タブで、[ダウンロードインサイトのファイル評価に基づく潜 在的リスク検出を有効にする]にチェックマークが付いていることを確認します。 Auto-Protect が無効になっている場合、ダウンロードインサイトが有効になってい てもダウンロードインサイトは動作できません。 3 悪質なファイルの感度スライダーを適切なレベルまで移動します。 レベルを高く設定すると、より多くのファイルを悪質だと検出し、より少ないファイルを 未確認として検出します。しかし、高い設定であるほど、より多くの誤認が返されま す。 4 次のオプションにチェックマークを付けるかはずして、未確認ファイルを調べるため の追加条件として使います。 ■ 次の値未満のファイル: x ユーザー ■ ユーザーに知られてからの経過期間が次の日数未満のファイル: x 日 未確認ファイルがこの基準を満たすと、ダウンロードインサイトはファイルが悪質であ ると検出します。 5 [イントラネット Web サイトからダウンロードしたファイルを自動的に信頼する]にチェッ クマークが付いていることを確認します。 6 [処理]タブの[悪質なファイル]で、第 1 の処理と第 2 の処理を指定します。 7 [未確認ファイル]で処理を指定します。 8 [通知]タブで、ダウンロードインサイトが検出を行ったときにクライアントコンピュータ にメッセージを表示するかどうかを指定できます。 ダウンロードインサイトが検出したファイルをユーザーが許可すると表示される警告 メッセージのテキストをカスタマイズすることもできます。 9 [OK]をクリックします。 331 332 第 15 章 スキャンのカスタマイズ 検出を行ったときに Symantec Endpoint Protection が実行する処理の変更 検出を行ったときに Symantec Endpoint Protection が 実行する処理の変更 スキャンで検出を行ったときに実行する必要がある 1 つ以上の処理を設定できます。各 スキャンには、[クリーニング]、[検疫]、[削除]、[放置する (ログのみ)]などの独自の処 理のセットがあります。 Windows クライアントでは、検出の各カテゴリは、第 1 の処理と、第 1 の処理が可能で ない場合の第 2 の処理を指定して設定できます。 p.318 の 「Windows コンピュータで実行されるウイルススキャンとスパイウェアスキャンの カスタマイズ」 を参照してください。 p.319 の 「Mac コンピュータで実行されるウイルススキャンとスパイウェアスキャンのカスタ マイズ」 を参照してください。 p.297 の 「ダウンロードインサイト検出の管理」 を参照してください。 p.344 の 「SONAR の管理」 を参照してください。 p.265 の 「スキャン処理の確認と識別されたコンピュータの再スキャン」 を参照してくださ い。 p.262 の 「ネットワーク内のコンピュータのリスクの修復」 を参照してください。 デフォルトでは、Symantec Endpoint Protection はウイルスに感染したファイルのクリー ニングを試みます。Symantec Endpoint Protection はファイルをクリーニングできなけ れば、次の処理を実行します。 ■ ファイルを感染コンピュータの検疫に移動し、ファイルへのアクセスをすべて拒否しま す。 ■ イベントをログに記録します。 デフォルトでは、Symantec Endpoint Protection はセキュリティリスクに感染したすべて のファイルを検疫に移動します。 処理をログのみに設定した場合、デフォルトでは、ユーザーが感染ファイルを作成または 保存すると、Symantec Endpoint Protection はそれらのファイルを削除します。 Windows コンピュータでは、管理者によるスキャン、オンデマンドスキャン、ファイルシス テムの Auto-Protect スキャンについて、修復処理を設定することもできます。 ユーザーがこのポリシーを使うクライアントコンピュータ上で処理を変更できないように、 処理をロックできます。 第 15 章 スキャンのカスタマイズ 検出を行ったときに Symantec Endpoint Protection が実行する処理の変更 警告: セキュリティリスクの削除処理は慎重に使ってください。場合によっては、アプリケー ションが機能しなくなることがあります。セキュリティリスクによる影響があるファイルを削除 するようにクライアントを設定すると、ファイルを復元できなくなります。 セキュリティリスクによる影響があるファイルをバックアップするには、代わりに検疫の処理 を使います。 Windows コンピュータでの検出時に Symantec Endpoint Protection が実行する処理 を指定するには 1 コンソールで、[ウイルスとスパイウェアの対策ポリシー]を開き、スキャン(Auto-Protect スキャン、管理者によるスキャン、またはオンデマンドスキャン)を選択します。 2 [処理]タブの[検出]で、マルウェアまたはセキュリティリスクの種類を選択します。 デフォルトでは、各サブカテゴリは自動的に、カテゴリ全体に設定されている処理を 使うように設定されます。 メモ: これらのカテゴリは、シマンテック社がリスクに関する新しい情報を入手するに つれて動的に変化します。 3 サブカテゴリに対する処理のみを設定するには、次のいずれかを実行します。 ■ [マルウェアに対して設定した処理を上書きする]にチェックマークを付け、その サブカテゴリ専用の処理を設定します。 メモ: シマンテック社がリスクを分類する方法に応じて、1 つのカテゴリの下に 1 つのサブカテゴリだけが存在する場合があります。たとえば、[マルウェア]の下 に[ウイルス]という名前のサブカテゴリが 1 つ存在することもあります。 ■ 4 [セキュリティリスクに設定した処理を上書きする]にチェックマークを付け、その サブカテゴリ専用の処理を設定します。 [処理対象]で、クライアントソフトウェアがそのカテゴリのウイルスまたはセキュリティ リスクを検出したときに実行する第 1 と第 2 の処理を選択します。 セキュリティリスクの削除処理は慎重に使ってください。場合によっては、アプリケー ションが機能しなくなることがあります。 5 処理を設定するカテゴリ(ウイルスとセキュリティリスク)ごとにこれらの手順を繰り返し ます。 6 このポリシーの設定を完了したら、[OK]をクリックします。 333 334 第 15 章 スキャンのカスタマイズ ユーザーによるスキャン進行状況の表示とスキャンの操作の許可 Mac コンピュータでの検出時に Symantec Endpoint Protection が実行する処理を指 定するには 1 [ウイルスとスパイウェアの対策ポリシー]の[Mac の設定]で、[管理者定義のスキャ ン]を選択します。 2 次のいずれかの操作を実行します。 3 ■ 定時スキャンの場合は、[共通の設定]タブを選択します。 ■ オンデマンドスキャンの場合は、[スキャン]タブの[管理者オンデマンドスキャン] で、[編集]をクリックします。 [処理]で、次のオプションのどちらかにチェックマークを付けます。 ■ 感染ファイルを自動的に修復する ■ 修復できないファイルを検疫する 4 オンデマンドスキャンの場合は[OK]をクリックします。 5 このポリシーの設定を完了したら、[OK]をクリックします。 ユーザーによるスキャン進行状況の表示とスキャンの操 作の許可 スキャン進行状況のダイアログボックスをクライアントコンピュータに表示するかどうかを設 定できます。このダイアログボックスをクライアントコンピュータに表示するようにした場合、 ユーザーはいつでも管理者定義のスキャンを一時停止または延期することができます。 ユーザーがスキャン進行状況を表示することを許可すると、クライアント UI のメインペー ジに現在実行中のスキャンのスキャン進行状況を表示するためのリンクが表示されます。 次の定時スキャンのスケジュールを再設定するリンクも表示されます。 ユーザーがスキャン進行状況を表示することを許可すると、クライアント UI のメインペー ジに次のオプションが表示されます。 ■ スキャンの実行時に、メッセージリンク[スキャン実行中]が表示されます。 ユーザーはこのリンクをクリックしてスキャン進行状況を表示できます。 ■ 次の定時スキャンのスケジュールを再設定するリンクも表示されます。 p.266 の 「クライアントコンピュータでのスキャンの管理」 を参照してください。 ユーザーがスキャンを確実に停止できるように設定できます。ユーザーによるスキャンの 一時停止または延期のオプションを設定することもできます。 ユーザーによる次のスキャン処理の実行を許可できます。 第 15 章 スキャンのカスタマイズ ユーザーによるスキャン進行状況の表示とスキャンの操作の許可 一時停止 ユーザーがスキャンを一時停止すると、スキャン結果のダイアログボックスは 開いたままで、ユーザーがスキャンを続行するか中止するまで待機します。 コンピュータの電源を切った場合、一時停止されたスキャンは継続されませ ん。 休止 ユーザーが定時スキャンを休止する場合、1 時間休止または 3 時間休止の どちらかを選択できます。また、休止する回数も設定できます。スキャンが休 止されると、スキャン結果のダイアログボックスは一度閉じ、休止期間が終了 してスキャンが再開された時点で再表示されます。 中止 ユーザーがスキャンを停止した場合、通常スキャンはすぐに停止します。ク ライアントソフトウェアが圧縮ファイルをスキャン中にユーザーがスキャンを停 止した場合、スキャンはすぐには停止しません。この場合、スキャンは、圧縮 ファイルのスキャンが完了するとすぐに停止します。停止されたスキャンは再 開されません。 一時停止されたスキャンは、指定した時間間隔が経過すると自動的に再開されます。 この手順で使うオプションについて詳しくは[ヘルプ]を参照してください。 管理者定義のスキャンのスキャン進行状況オプションを設定するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開き、[管理者定義のスキャ ン]をクリックします。 2 [拡張]タブの[スキャン進行状況オプション]で、[スキャンの進行状況を表示する] または[リスクを検出した場合にスキャンの進行状況を表示する]をクリックします。 3 スキャンが完了したら自動的にスキャンの進行状況インジケータを閉じるには、[完 了したらスキャン進行状況ウインドウを閉じる]にチェックマークを付けます。 4 [ユーザーによるスキャンの停止を許可する]にチェックマークを付けます。 5 [一時停止オプション]をクリックします。 6 [スキャン一時停止オプション]ダイアログボックスで、次のいずれかの処理を行いま す。 7 ■ ユーザーがスキャンを一時停止できる時間を制限するには、[スキャンを一時停 止できる時間を限定する]にチェックマークを付け、時間を分単位で入力します。 範囲は 3 から 180 です。 ■ ユーザーがスキャンを延期(または休止)できる回数を制限するには、[休止の最 大回数]ボックスに 1 から 8 の数値を入力します。 ■ デフォルトでは、ユーザーがスキャンを延期できる時間は 1 時間です。この制限 を 3 時間に変更するには、[ユーザーがスキャンを 3 時間休止するのを許可す る]にチェックマークを付けます。 [OK]をクリックします。 335 336 第 15 章 スキャンのカスタマイズ Symantec Endpoint Protection と Windows セキュリティセンターとの相互作用 Symantec Endpoint Protection と Windows セキュリ ティセンターとの相互作用 Windows セキュリティセンターはいずれかのセキュリティソフトウェアが最新ではないか、 セキュリティ設定を強化する必要がある場合にクライアントコンピュータに警告を表示しま す。Windows セキュリティセンターは Windows XP Service Pack 2、Windows Vista、 Windows 7 に含まれています。ウイルスとスパイウェアの対策ポリシーを使って Windows XP Service Pack 2 を実行するクライアントコンピュータの Windows セキュリティセンター を設定できます。 p.324 の 「Windows コンピュータで実行されるクライアントに対する管理者定義のスキャ ンのカスタマイズ」 を参照してください。 メモ: Windows Vista または Windows 7 を実行するクライアントコンピュータの Windows セキュリティセンターを設定するためにウイルスとスパイウェアの対策ポリシーを使うことは できません。 表 15-3 オプション 説明 Windows セキュリティセンターとクライアントの連携方法を設定する オプション 使うとき Windows セキュリティセ クライアントコンピュータの Windows セキュリティ セキュリティ警告をクライアントユーザーに表示し ンターを無効にする センターを永続的または一時的に無効にします。 ない場合は Windows セキュリティセンターを永 続的に無効にしてください。クライアントユーザー 利用可能なオプション: は Symantec Endpoint Protection の警告を受 ■ しない。Windows セキュリティセンターはクラ 信できます。 イアントコンピュータで常に有効になります。 セキュリティ警告をクライアントユーザーに表示す ■ 1 回。Windows セキュリティセンターを 1 回 る場合は Windows セキュリティセンターを永続 だけ無効にします。ユーザーが有効にした場 的に有効にしてください。Symantec Endpoint 合は、再び無効になりません。 Protection の警告を表示するために Windows ■ 常時。Windows セキュリティセンターはクラ セキュリティセンターを設定できます。 イアントコンピュータで永続的に無効になりま す。ユーザーが有効にしても、すぐに無効に なります。 ■ 復元。Windows セキュリティセンターはウイ ルスとスパイウェアの対策ポリシーが以前に 無効にした場合に有効になります。 Windows セキュリティセ Symantec Endpoint Protection クライアントか コンピュータの Windows の通知領域で他のセ ンターでウイルス対策警 らのウイルス対策の警告が Windows の通知領 キュリティ警告とともに Symantec Endpoint 告を表示する 域に表示されるように設定します。 Protection の警告をユーザーに表示する場合 はこの設定を有効にしてください。 第 15 章 スキャンのカスタマイズ 仮想環境での Symantec Endpoint Protection の管理 オプション 説明 使うとき 定義が最新でないときに Windows セキュリティセ ンターメッセージを表示 する Windows セキュリティセンターで定義が最新で はないと見なされるまでの日数を設定します。デ フォルトでは、Windows セキュリティセンターは 30 日後にこのメッセージを送信します。 Windows セキュリティセンターで最新ではない 定義についてクライアントユーザーにデフォルト の時間(30 日)よりも高頻度で通知する場合はこ のオプションを設定してください。 メモ: クライアントコンピュータでは、Symantec Endpoint Protection は 15 分ごとに有効期限、 定義の日付、現在の日付を比較します。通常、 定義は自動的に更新されるため、最新でない状 態が Windows セキュリティセンターに報告され ることはありません。定義を手動で更新する場合、 Windows セキュリティセンターで正確な状態を 表示するには最大 15 分待つ必要があります。 仮想環境での Symantec Endpoint Protection の管理 Symantec Endpoint Protection Manager とクライアントは、物理環境の場合と同じ機 能を仮想環境でも実行します。Symantec Endpoint Protection では、仮想環境でのパ フォーマンスを向上させる機能が用意されています。仮想インフラストラクチャへの管理 サーバーとクライアントの配備は、物理環境への配備と同じです。 表 15-4 に Symantec Endpoint Protection の仮想化機能の一覧を示します。 表 15-4 仮想化をサポートする機能 機能 説明 システム必要条件 Symantec Endpoint Protection Manager とクライアントは、仮想環境でも 物理環境と同じオペレーティングシステムでサポートされます。 p.71 の 「システム必要条件」 を参照してください。 仮想化製品 Symantec Endpoint Protection の実装は、複数のハイパーバイザと仮想 プラットフォームでサポートされます。 p.76 の 「サポート対象の仮想インストールと仮想化製品」 を参照してくださ い。 337 338 第 15 章 スキャンのカスタマイズ 仮想環境での Symantec Endpoint Protection の管理 機能 説明 スキャンパフォーマ ンス ■ スキャン時間をランダム化します。 スキャンをランダム化すると、プロセッサの負荷とハイパーバイザのリソー スが減ります。 p.326 の 「仮想化された環境でのスキャンのランダム化によるコンピュー タパフォーマンスの向上」 を参照してください。 ■ 既知のクリーンファイルを再スキャンから除外します。 Shared Insight Cache は、仮想化された環境内のファイルのうちクリー ンであることがわかっているものを追跡します。既知のクリーンファイルを 再スキャンする必要がないようにすることで、スキャン時間が短くなりま す。 クライアントのスキャン時間を短縮するには、基本イメージファイルを事前 スキャンします。 Symantec Endpoint Protection の Virtual Exception ツールを使う と、スキャンプロセスから基本イメージファイルを安全に削除でき、時間 が短縮されて、プロセッサの負荷が軽減されます。 p.340 の 「基本イメージへの Virtual Image Exception ツールの使用」 を参照してください。 ■ LiveUpdate のダウンロードをランダム化します。 p.508 の 「デフォルトの管理サーバーまたは GUP からのコンテンツダウ ンロードのランダム化」 を参照してください。 p.509 の 「LiveUpdate サーバーからのコンテンツダウンロードのランダム 化」 を参照してください。 ■ 管理サーバーからのポリシーやコンテンツの更新には、プルモードを使 います。 p.249 の 「クライアントポリシーとコンテンツを更新するためのプッシュモー ドまたはプルモードの設定」 を参照してください。 ■ Shared Insight Cache と通信するためのクライアントの設定 Symantec Endpoint Protection Shared Insight Cache により、Symantec Endpoint Protection がクリーンであると判断した仮想化された環境のファイルをスキャンする必要 がなくなります。Shared Insight Cache は、専用のサーバーまたは仮想化された環境に インストールする独立したサービスです。Shared Insight Cache をインストールして設定 した後に、Shared Insight Cache と通信するようにクライアントを設定する必要がありま す。 メモ: 定時スキャンと手動スキャンを実行するクライアントのみが Shared Insight Cache を使用できます。 ファイルがスキャンされ、クリーンであると判断されると、クライアントはファイルについての 情報を Shared Insight Cache に提出します。Shared Insight Cache はこの情報をキャッ 第 15 章 スキャンのカスタマイズ 仮想環境での Symantec Endpoint Protection の管理 シュに追加します。その後でクライアントが同じファイルにアクセスを試みたときは、クライ アントが Shared Insight Cache に照会して、ファイルがクリーンかどうかを確認すること ができます。ファイルがクリーンであれば、Shared Insight Cache はファイルがクリーンで あることをクライアントに通知します。クライアントはその特定ファイルのウイルススキャンを バイパスできます。ファイルがクリーンでない場合、クライアントはファイルのウイルスをス キャンして、その結果を Shared Insight Cache に提出します。 デフォルトで、Shared Insight Cache は認証も SSL も使用せずに設定されます。した がって、パスワードのデフォルト設定はヌルです。つまり、パスワードは空白です。Shared Insight Cache を SSL を使用する基本認証または SSL を使用しない基本認証で設定す る場合は、Shared Insight Cache にアクセスできるユーザー名のパスワードを指定する 必要があります。 ユーザー定義の認証パスワードを必要に応じて変更することもできます。その場合、クラ イアントが Shared Insight Cache と通信できるように、Symantec Endpoint Protection Manager にその認証ユーザー名とパスワードを指定する必要があります。 Shared Insight Cache について詳しくは、『Symantec Endpoint Protection Shared Insight Cache ユーザーズガイド』を参照してください。 Shared Insight Cache と通信するためにクライアントを設定するには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開き、[グローバルスキャンオ プション]をクリックします。 2 [グローバルスキャンオプション]ページの[Shared Insight Cache]で、[共有イン サイトキャッシュを有効にする]にチェックマークを付けます。 3 Shared Insight Cache サーバーを設定するときに SSL を有効にした場合、[Require SSL]にチェックマークを付けます。 SSL を有効にする場合は、クライアントが Shared Insight Cache と通信するように 設定する必要があります。これを行うには、Shared Insight Cache サーバー証明書 をローカルコンピュータの信頼できる認証局ストアに追加する必要があります。これ を怠ると、クライアントと Shared Insight Cache サーバー間の通信は失敗します。 サーバー証明書の追加方法について詳しくは、Active Directory のマニュアルを 参照してください。 4 [ホスト名]フィールドに、Shared Insight Cache のホスト名を入力します。 5 [ポート]フィールドに、Shared Insight Cache のポート番号を入力します。 6 省略可能なオプションとして Shared Insight Cache 用の認証を設定した場合、[ユー ザー名]フィールドにユーザー名を入力します。 7 省略可能なオプションとして Shared Insight Cache 用の認証を設定した場合、[パ スワードの変更]をクリックし、デフォルトのパスワード(ヌル)を認証用に作成したパ スワードに変更します。 339 340 第 15 章 スキャンのカスタマイズ 仮想環境での Symantec Endpoint Protection の管理 8 [新しいパスワード]フィールドに新しいパスワードを入力します。 パスワードを使用しない場合、このフィールドを空のままにします。 9 [パスワードの確認]フィールドに、再びパスワードを入力します。 10 [OK]をクリックします。 基本イメージへの Virtual Image Exception ツールの使用 仮想デスクトップインフラストラクチャ(VDI)環境のパフォーマンスとセキュリティを向上す るため、基本イメージを使用して、仮想マシンを構築できます。Symantec Virtual Image Exception ツールを使用して、クライアントで基本イメージファイルの脅威のスキャンをバ イパスできるため、ディスク I/O のリソース負荷を軽減できます。さらに、VDI 環境の CPU スキャンプロセスのパフォーマンスも向上します。 メモ: Symantec Endpoint Protection は、管理下クライアントと管理外クライアントに対 して Virtual Image Exception ツールをサポートしています。 表 15-5 に基本イメージへの Virtual Image Exception ツールの使用のプロセスを説明 します。 Virtual Image Exception ツールの使用のプロセス 表 15-5 手順 処理 手順 1 基本イメージに対して、すべてのファイルの完全スキャンを実行し、ファイルがクリー ンであることを確認します。 Symantec Endpoint Protection クライアントが感染ファイルを検疫した場合、検疫 ファイルを修復するか削除して、それらを検疫から除去する必要があります。 p.288 の 「Windows コンピュータで実行される定時スキャンの設定」 を参照してくだ さい。 p.310 の 「検疫ファイルを自動的に削除するタイミングの指定」 を参照してください。 手順 2 クライアントの検疫が空であることを確認します。 p.312 の 「クライアントコンピュータにある検疫ファイルのリスクログを使った削除」 を参 照してください。 手順 3 コマンドラインから Virtual Image Exception ツールを実行して、基本イメージファイ ルをマークします。 第 15 章 スキャンのカスタマイズ 仮想環境での Symantec Endpoint Protection の管理 手順 処理 手順 4 クライアントがスキャンの実行時にマークされたファイルを見つけてバイパスすること を認識するように、Symantec Endpoint Protection Manager で機能を有効にしま す。 p.341 の 「基本イメージファイルのスキャンのバイパス」 を参照してください。 手順 5 基本イメージから Virtual Image Exception ツールを削除します。 Virtual Image Exception ツールは固定のローカルドライブをサポートしています。この ツールはNTFS(New Technology File System)規格に準拠するファイルで機能します。 基本イメージファイルのスキャンのバイパス 基本イメージを利用して、仮想デスクトップインフラストラクチャ(VDI)環境で仮想マシン を構築できます。Symantec Virtual Image Exception ツールを使用すると、スキャンで 基本イメージファイルを無視して、ディスク I/O のリソース負荷を軽減できます。さらに、 VDI 環境の CPU スキャンプロセスのパフォーマンスも向上します。 Symantec Endpoint Protection Manager でこの機能を有効にする前に、基本イメー ジファイルで Virtual Image Exception ツールを実行します。Virtual Image Exception ツールは、属性を追加して、基本イメージファイルをマーク付けします。ファイルを変更す ると、この属性は削除されます。このツールは Symantec Endpoint Protection 製品ディ スクの /tools/VirtualImageExclusion フォルダにあります。 このツールの使用方法について詳しくは、同じフォルダにある『Symantec Endpoint Protection Virtual Image Exception ユーザーズガイド』を参照してください。 この機能はデフォルトでは無効になっています。この機能を有効にすると、クライアントは ファイルをスキャンするときにこの属性を検索します。基本イメージファイルにこの属性が 含まれている場合、クライアントはファイルをスキャンしません。 Auto-Protect スキャンまたは管理者定義のスキャン(手動スキャンや定時スキャンなど) で、未変更の基本イメージファイルのスキャンをバイパスするように指定できます。 基本イメージファイルのスキャンをバイパスするには 1 コンソールで、ウイルスとスパイウェアの対策ポリシーを開き、[拡張オプション]の下 にある[その他]をクリックします。 2 [Virtual Images]タブで、有効にするオプションにチェックマークを付けます。 3 [OK]をクリックします。 p.340 の 「基本イメージへの Virtual Image Exception ツールの使用」 を参照してくださ い。 341 342 第 15 章 スキャンのカスタマイズ 仮想環境での Symantec Endpoint Protection の管理 16 SONAR の管理 この章では以下の項目について説明しています。 ■ SONAR について ■ SONAR で検出されるファイルとアプリケーションについて ■ SONAR の管理 ■ SONAR の誤認検出の処理と防止 ■ クライアントコンピュータでの SONAR 設定の調整 ■ SONAR 検出結果の監視による誤認のチェック ■ レガシークライアントの TruScan プロアクティブ脅威スキャンの管理 SONAR について SONAR は、潜在的に悪質なアプリケーションがコンピュータで実行されたときにそれらを 検出するリアルタイム保護です。SONAR は、脅威に対応するために従来のウイルスやス パイウェアの検出定義が作成される前に脅威を検出するため、「ゼロデイ」対策となりま す。 SONAR はヒューリスティックに加えて評価データを使って、広がりつつある未知の脅威を 検出します。SONAR はクライアントコンピュータで保護のレベルを追加し、既存のウイル スとスパイウェアの対策、侵入防止、ファイアウォール保護を補います。 レガシークライアントは SONAR をサポートしません。 ただし、レガシークライアントは TruScan プロアクティブ脅威スキャンを使って、ゼロデイの脅威からの保護を提供します。 TruScan プロアクティブ脅威スキャンはリアルタイムではなく定期的に実行されます。 メモ: Auto-Protect も、Bloodhound と呼ばれるヒューリスティックの 1 種類を使ってファ イル内の疑わしい動作を検出します。 344 第 16 章 SONAR の管理 SONAR で検出されるファイルとアプリケーションについて p.344 の 「SONAR の管理」 を参照してください。 p.344 の 「SONAR で検出されるファイルとアプリケーションについて」 を参照してくださ い。 SONAR で検出されるファイルとアプリケーションについ て SONAR は、クライアントコンピュータでローカルに行うプロアクティブな監視とともに、シ マンテック社のオンラインインテリジェンスネットワークを利用するヒューリスティックシステ ムを使って、広がりつつある脅威を検出します。SONAR は監視する必要があるクライア ントコンピュータで変更や動作も検出します。 SONAR は、アプリケーションの種類に対してではなく、処理の動作方法について検出を 行います。SONAR はアプリケーションが悪質な動作を行う場合にのみ、アプリケーション の種類とは無関係に、そのアプリケーションに対してのみ作用します。たとえば、トロイの 木馬やキーロガーが悪質な動作を行わない場合、SONAR では検出されません。 SONAR は以下の項目を検出します。 ヒューリスティック脅威 SONAR はヒューリスティックを使って、不明なファイル が不審な動作をしているかどうかと、ファイルの危険度 が高いか低いかを判断します。また、評価データを 使って、脅威の危険度が高いか低いかを判断します。 システム変更 SONAR はクライアントコンピュータで DNS 設定やホ ストファイルの修正を試みるアプリケーションやファイ ルを検出します。 不適切な動作を示している信頼できるアプ 適切で信頼できるファイルの一部が、疑わしい動作と リケーション 関連付けられることがあります。SONAR はこれらのファ イルを、疑わしい動作のイベントとして検出します。た とえば、よく知られた文書共有アプリケーションが実行 可能ファイルを作成することがあります。 Auto-Protect を無効にすると、高危険度と低危険度のファイルの検出を行う SONAR の 機能を制限することになります。Insight ルックアップ(評価クエリー)を無効にすると、 SONAR の検出機能も制限することになります。 p.344 の 「SONAR の管理」 を参照してください。 SONAR の管理 SONAR はクライアントコンピュータに対するプロアクティブ脅威防止の一部です。SONAR の設定は、ウイルスとスパイウェアの対策ポリシーの一部として管理します。 第 16 章 SONAR の管理 SONAR の管理 SONAR の設定は、Symantec Endpoint Protection バージョン 12.1 を実行するクライ アントのために設定します。SONAR の設定には、レガシークライアントの TruScan プロ アクティブ脅威スキャンの設定も含まれます。これらの設定の多くはクライアントコンピュー タ上のユーザーが変更できないようにロックできます。 表 16-1 SONAR の管理 タスク 説明 SONAR の動作について学習する SONAR が不明な脅威をどのように検出するかについ て学習します。SONAR の動作方法についての情報 は、セキュリティネットワークでの SONAR の使用法に ついて決定を下す助けになります。 p.343 の 「SONAR について」 を参照してください。 p.344 の 「SONAR で検出されるファイルとアプリケー ションについて」 を参照してください。 SONAR が有効になっていることを確認す クライアントコンピュータに最大限の保護を提供するに る は、SONAR を有効にする必要があります。SONAR は、その他いくつかの Symantec Endpoint Protection の機能と相互動作します。SONAR には Auto-Protect が必要です。 [クライアント]タブを使って、クライアントコンピュータ でプロアクティブ脅威防止が有効になっているかどう かを確認できます。 メモ: レガシークライアントはプロアクティブ脅威防止 の状態を Symantec Endpoint Protection Manager に報告しません。 p.349 の 「クライアントコンピュータでの SONAR 設定 の調整」 を参照してください。 SONAR のデフォルト設定を確認する SONAR の設定は、ウイルスとスパイウェアの対策ポリ シーの一部です。 p.283 の 「デフォルトのウイルスとスパイウェアの対策ポ リシーのスキャン設定について」 を参照してください。 345 346 第 16 章 SONAR の管理 SONAR の管理 タスク 説明 Insight ルックアップが有効になっているこ SONAR はヒューリスティックに加えて評価データを とを確認する 使って検出を行います。Insight ルックアップを無効 にすると、SONAR はヒューリスティックのみを使って検 出を行います。誤認の比率が増える可能性があり、 SONAR が提供する保護は限られたものになります。 [提出] ダイアログボックスで、Insight ルックアップを 有効または無効にできます。 p.304 の 「シマンテックセキュリティレスポンスへのクラ イアントの提出の有効化または無効化」 を参照してく ださい。 誤認検出をチェックするために SONAR イ SONAR ログを使ってイベントを監視できます。 ベントを監視する [リスクレポート]で SONAR の検出結果レポートを表 示して、検出の情報を参照することもできます。 p.350 の 「SONAR 検出結果の監視による誤認のチェッ ク」 を参照してください。 p.533 の 「エンドポイント保護の監視」 を参照してくだ さい。 SONAR の設定を調整する SONAR が検出する一部の種類の脅威については、 検出処理を変更できます。誤認検出を減らすために、 検出処理を変更したい場合があります。 また、ヒューリスティック検出の危険度の高低に応じて 通知の有効と無効を切り替えたいことがあります。 p.349 の 「クライアントコンピュータでの SONAR 設定 の調整」 を参照してください。 第 16 章 SONAR の管理 SONAR の管理 タスク 説明 安全だとわかっているアプリケーションを SONAR が検出しないようにする クライアントコンピュータで実行したいアプリケーション やファイルが SONAR によって検出されることがありま す。例外ポリシーを使って、許可したい特定のフォル ダまたはアプリケーションのために例外を指定できま す。SONAR が検疫した項目の場合は、SONAR ログ から検疫項目の例外を作成できます。 検出をログに記録して許可するように、SONAR の処 理を設定したい場合もあります。アプリケーション学習 を利用すれば、Symantec Endpoint Protection が クライアントコンピュータの正当なアプリケーションを学 習するようにできます。ネットワークで使うアプリケー ションを Symantec Endpoint Protection が学習した 後で、検疫する SONAR の処理を変更できます。 メモ: 危険度が高い検出の処理をログに記録するだ けに設定すると、クライアントコンピュータで潜在的な 脅威を許容することになります。 p.348 の 「SONAR の誤認検出の処理と防止」 を参照 してください。 p.466 の 「Symantec Endpoint Protection の例外の 管理」 を参照してください。 レガシークライアントの TruScan プロアク ティブ脅威スキャンを管理する レガシークライアントは SONAR をサポートしません。 ただし、TruScan プロアクティブ脅威スキャンの設定 を調整して、スキャンの処理、感度、頻度を変更でき ます。レガシークライアントコンピュータでの誤認検出 を処理するため、設定を調整することがあります。 p.353 の 「レガシークライアントの TruScan 設定の調 整について」 を参照してください。 p.354 の 「レガシークライアントの TruScan プロアクティ ブ脅威スキャン設定の指定」 を参照してください。 SONAR 検出についての情報をシマンテッ シマンテック社はクライアントコンピュータで提出を有 ク社に提出することをクライアントを許可す 効にすることを推奨します。クライアントが検出につい る て提出する情報は、シマンテック社が脅威に対応する 助けになります。この情報によってシマンテック社はよ り優れたヒューリスティックを作成でき、誤認検出が減 ることになります。 p.304 の 「シマンテックセキュリティレスポンスへのクラ イアントの提出の有効化または無効化」 を参照してく ださい。 347 348 第 16 章 SONAR の管理 SONAR の誤認検出の処理と防止 SONAR の誤認検出の処理と防止 SONAR は特定の社内カスタムアプリケーションについて誤認検出を行う場合があります。 また、Insight ルックアップを無効にすると、SONAR からの誤認数が増加します。 p.304 の 「シマンテックセキュリティレスポンスへのクライアントの提出の有効化または無効 化」 を参照してください。 誤認検出全般を減らすために SONAR 設定を変更できます。SONAR で誤認検出され る特定のファイルまたはアプリケーションの例外を作成することもできます。 レガシークライアントで実行される TruScan プロアクティブ脅威スキャンについても、設 定を調整し、例外を作成できます。 p.352 の 「レガシークライアントの TruScan プロアク ティブ脅威スキャンの管理」 を参照してください。 警告: 危険度が高い検出の処理をログに記録するだけに設定すると、クライアントコン ピュータで潜在的な脅威を許容することになります。 表 16-2 タスク SONAR の誤認の処理 説明 SONAR の高危険度のヒューリスティック検 高危険度のヒューリスティック検出の検出処理を、短 出をログに記録し、アプリケーション学習を い期間[ログ]に設定することを推奨します。同じ期間、 使う アプリケーション学習が実行されるようにします。 Symantec Endpoint Protection はネットワーク内で 実行されている正当なプロセスを学習します。ただし、 一部の本当の検出が検疫されない可能性があります。 p.254 の 「クライアントコンピュータで実行されるアプリ ケーションに関する情報を収集するための管理サー バーの設定」 を参照してください。 この期間後は、検出の処理を[検疫]に設定し直す必 要があります。 メモ: 低危険度のヒューリスティック検出に拡張モード を使っている場合、誤認検出の確率が高くなっていま す。拡張モードはデフォルトでは無効になっています。 p.349 の 「クライアントコンピュータでの SONAR 設定 の調整」 を参照してください。 第 16 章 SONAR の管理 クライアントコンピュータでの SONAR 設定の調整 タスク 説明 SONAR の例外を作成して安全なアプリ ケーションを許可する SONAR の例外は次の方法で作成できます。 SONAR ログを使って、検出と検疫が行われたア プリケーションの例外を作成します。 SONAR ログから誤認検出の例外を作成できます。 項目が検疫された場合、Symantec Endpoint Protection は検疫内で項目を再スキャンした後 にその項目を復元します。検疫にある項目は、更 新された定義をクライアントが受信した後に再ス キャンされます。 p.478 の 「Symantec Endpoint Protection Manager でのログイベントに基づく例外の作成」 を参照してください。 p.312 の 「新しい定義の到着後に検疫がファイル の再スキャンを処理する方法の設定」 を参照して ください。 ■ 例外ポリシーを使って、特定のフォルダまたはア プリケーションの例外を指定します。 SONAR 検出からフォルダ全体を除外できます。 カスタムアプリケーションが存在するフォルダは除 外することを推奨します。 パスによる特定のファイル例外は SONAR ではサ ポートされません。SONAR からファイルを除外す るには、アプリケーション例外を使います。 p.468 の 「Symantec Endpoint Protection の例 外の作成」 を参照してください。 ■ クライアントコンピュータでの SONAR 設定の調整 誤認検出の比率を下げるために、SONAR の処理を変更したい場合があります。クライア ントコンピュータに表示される検出通知の数を変えるため、SONAR の処理を変更したい 場合もあります。 メモ: SONAR の通知の設定は、TruScan プロアクティブ脅威スキャンの通知にも使われ ます。 p.344 の 「SONAR の管理」 を参照してください。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 349 350 第 16 章 SONAR の管理 SONAR 検出結果の監視による誤認のチェック SONAR 設定の指定 1 ウイルスとスパイウェアの対策ポリシーで、[SONAR]を選択します。 2 [SONAR を有効にする]にチェックマークが付いていることを確認します。 3 [スキャンの詳細]で、高危険度または低危険度のヒューリスティック脅威の処理を変 更します。 低危険度検出の拡張モードを有効にできます。この設定では、低危険度検出に対 する SONAR の感度を高めます。誤認検出が増加する可能性があります。 4 オプションで、クライアントコンピュータに表示される通知の設定を変更します。 SONAR 設定は、TruScan プロアクティブ脅威スキャンの通知も制御します。 5 [システム変更イベント]で、[DNS 変更の検出]または[ホストファイル変更の検出] の処理を変更します。 警告: 処理を[遮断]に設定した場合、クライアントコンピュータ上の重要なアプリケー ションを遮断できます。 たとえば、[DNS 変更の検出]の処理を[遮断]に設定すると、VPN クライアントが遮 断される可能性があります。[ホストファイル変更の検出]の処理を[遮断]に設定す ると、ホストファイルにアクセスする必要があるアプリケーションが遮断される可能性 があります。 6 [疑わしい動作の検出]で、高危険度または低危険度の検出の処理を変更します。 7 [OK]をクリックします。 SONAR 検出結果の監視による誤認のチェック クライアントは、SONAR 検出結果を収集し、管理サーバーにアップロードします。結果は SONAR ログに保存されます。レガシークライアントは SONAR をサポートしません。レガ シークライアントは TruScan プロアクティブ脅威スキャンから同様のイベントを収集します が、それらを SONAR ログに含めます。 どの処理が正当であるか、どれがセキュリティリスクであるかを判断するには、ログ内の次 の列を調べます。 イベント イベントの種類と、クリーニングしたりログ記録するなどクライアントがプロ セスで行う処理。次のイベントの種類を調べます。 考えられる正当なプロセスは、[潜在的なリスクが見つかりました]イベ ントとしてリストされています。 ■ 推定されるセキュリティリスクは、[セキュリティリスクが見つかりました] イベントとしてリストされています。 ■ 第 16 章 SONAR の管理 SONAR 検出結果の監視による誤認のチェック アプリケーション プロセス名。 アプリケーションの種 類 SONAR または TruScan プロアクティブ脅威スキャンで検出されたマル ウェアの種類。 ファイル/パス プロセスが開始された場所からのパス名。 [イベント]列を見ると、検出されたプロセスがセキュリティリスクか、可能性のある正当なプ ロセスであるかが、すぐにわかります。ただし、検出された潜在的なリスクが正当なプロセ スである場合もない場合もあります。また、検出されたセキュリティリスクが悪意のあるプロ セスである場合もない場合もあります。したがって、詳細については、[アプリケーションの 種類]列と[ファイル/パス]列を調べる必要があります。たとえば、サードパーティ企業が 開発した正当なアプリケーションのアプリケーション名を認識できます。 p.478 の 「Symantec Endpoint Protection Manager でのログイベントに基づく例外の 作成」 を参照してください。 SONAR イベントを監視するには 1 コンソールで、[監視]、[ログ]の順にクリックします。 2 [ログ]タブの[ログの種類]ドロップダウンリストで、[SONAR]をクリックします。 3 [時間範囲]リストボックスから、スキャン設定を最後に変更した時点に最も近い時間 を選択します。 4 [拡張設定]をクリックします。 5 [イベントの種類]ドロップダウンリストで、次のログイベントのいずれかを選択します。 ■ 検出されたすべてのプロセスを表示するには、必ず[すべて]を選択します。 ■ セキュリティリスクとして評価されているプロセスを表示するには、[セキュリティリ スクが見つかりました]をクリックします。 ■ 潜在的なリスクとして評価され、ログ記録されているプロセスを表示するには、[潜 在的なリスクが見つかりました]をクリックします。 6 [ログの表示]をクリックします。 7 正当なアプリケーションとセキュリティリスクを識別した後、例外ポリシーでそれらの例 外を作成します。 直接、[SONAR ログ]ペインから例外を作成できます。 351 352 第 16 章 SONAR の管理 レガシークライアントの TruScan プロアクティブ脅威スキャンの管理 レガシークライアントの TruScan プロアクティブ脅威ス キャンの管理 TruScan プロアクティブ脅威スキャンは、2 つの異なる実装方法を使って管理できます。 ネットワークのサイズ、セキュリティ機能、テクニカルサポートのスタッフが負担する作業負 荷に関連して、それぞれの方法に利点があります。 どちらの方法を使っても、通常は誤認検出の例外を作成する必要があります。 p.353 の 「レガシークライアントの TruScan 設定の調整について」 を参照してください。 p.354 の 「レガシークライアントの TruScan プロアクティブ脅威スキャン設定の指定」 を参 照してください。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 表 16-3 レガシークライアントでの TruScan プロアクティブ脅威スキャンの管 理 タスク 説明 シマンテック社のデフォルト設定を使う シマンテック社のデフォルト設定では、高レベルの保 護が提供され、必要な管理のレベルは低くなります。 初めて Symantec Endpoint Protection Manager をインストールする場合はデフォルト設定を使ってくだ さい。 クライアントソフトウェアはシマンテック社のデフォルト を使って処理と感度レベルを決定します。クライアント コンピュータで実行されるスキャンエンジンは自動的 にセキュリティリスクを検疫し、潜在的なリスクと未知の リスクをログに記録します。 管理サーバーのセットアップ後、最初の 2 週間から 4 週間は、シマンテック社のデフォルト設定を使ってくだ さい。 デフォルト設定を手動で調整する この技術に慣れる当初のならし期間の後は、より詳細 に制御したい場合があります。この方法を使う場合は、 検出の処理と感度を自身で調整します。 シマンテック社のデフォルトを無効にするときには、検 出がリスクであるかどうかにかかわらず、検出に対して 1 つの対応処理を指定します。たとえば、あるスキャン で、検出されたすべてのプロセスを検疫することも、ロ グに記録することもできますが、両方は実行されませ ん。 第 16 章 SONAR の管理 レガシークライアントの TruScan プロアクティブ脅威スキャンの管理 レガシークライアントの TruScan 設定の調整について 通常、TruScan プロアクティブ脅威スキャンにはシマンテック社のデフォルトを使う必要 があります。ただし、最初にネットワークをセットアップするときには、設定を手動で調整し たいことがあります。 p.352 の 「レガシークライアントの TruScan プロアクティブ脅威スキャンの管理」 を参照し てください。 レガシークライアントの TruScan 設定の調整 表 16-4 設定 説明 操作 ベストプラクティスとしては、初めて自分でスキャンの管理をし始めるときには、操作を [ログ]に設定します。これは、セキュリティリスクと正当なプロセスのどちらについても、 最終的に必要な操作を行わないことを意味します。本来、スキャンではセキュリティリ スクを検疫または終了し、正当なプロセスは無視する必要があります。 すべての誤認検出に例外を作成します。例外では、指定されたプロセスをスキャンが 検出したときに実行されるプロセスと処理を定義します。 353 354 第 16 章 SONAR の管理 レガシークライアントの TruScan プロアクティブ脅威スキャンの管理 設定 説明 感度 トロイの木馬とワームの感度を初めて調整するときには、感度を 10 に設定します。感 度レベルが低いと、スキャンで検出されるプロセス数は感度レベルが高く設定された 場合より少なくなります。正当なプロセスが潜在的なリスクとしてログに記録される確 率は低くなります。感度レベル 10 を数日間実行し、任意の正当なアプリケーションの ログを監視した後で、感度レベルを 20 に上げることができます。感度レベルは 60 日 から 90 日にわたって段階的に 10 ずつ 100 まで増やせます。最大限の保護のため には、感度レベルを 100 にしておきます。 この段階的なならし期間を置く方法を使うことで、クライアントコンピュータのユーザー はクライアントの配備後すぐに多量の検出通知によって驚かされずに済みます。その 代わり、各レベルで通知数が増加するのを監視することに時間を割けます。 キーロガーの場合は、感度レベルを[低]にして開始します。 感度レベルを高めるにつれて、より多くのプロセスが検知されます。これには、悪質 なプロセスと正当なプロセスの両方が含まれます。感度レベルは、正当なプロセスが ログに記録される確率にはあまり影響を与えません。感度レベルが高いことは、セキュ リティリスクでも正当なプロセスでもある、より多量のプロセスにスキャンがフラグを付 けることを意味します。しかし、正当なプロセスと悪質なプロセスの比率は、感度レベ ルにかかわらずほぼ一定のままです。さらに、感度レベルは検出と関連付けられる確 実さのレベルを示すものではありません。たとえば、あるスキャンでは感度レベル 10 で 1 つのプロセスを検出し、感度レベル 90 で別のプロセスを検出することもありま す。しかし感度レベルは、あるプロセスが他のプロセスよりも脅威である可能性がある ことを意味しません。 スキャンの感度レベルを変更したら、SONAR ログを使って、感度レベルが低すぎる か高すぎるかを判断します。クライアントがセキュリティリスクとして報告する正当なプ ロセスが多い場合は、感度レベルをより低く設定することもできます。正当なプロセス の例外を作成した後にレベルを上げることができます。 メモ: 例外ポリシーにすべての例外を追加した後は、新しい検出はすべてセキュリ ティリスクであると考えられます。セキュリティを高めるために、すべてのプロセスの対 応処理を[検疫]または[終了]に戻すことができます。スキャンで正当なアプリケー ションが新たに検出され、検疫される場合は、SONAR ログを引き続き監視します。 スキャン頻 度 スキャンのデフォルトの頻度は 1 時間ごとです。クライアントコンピュータのパフォー マンスが低くなりすぎる場合は、スキャン頻度を減らします。 レガシークライアントの TruScan プロアクティブ脅威スキャン設定の指定 レガシークライアントは SONAR 設定を使うことができません。代わりに、レガシークライア ントは TruScan を使って不明な脅威を検出します。 p.344 の 「SONAR の管理」 を参照してください。 デフォルトでは、TruScan プロアクティブ脅威スキャンはトロイの木馬、ワーム、キーロガー を検出します。また、デフォルトでは検出の対応と感度はシマンテック社によって決定さ 第 16 章 SONAR の管理 レガシークライアントの TruScan プロアクティブ脅威スキャンの管理 れます。たとえば、検出されたプロセスは検疫またはログへの記録が可能です。処理を手 動で設定する場合は、検出に対して 1 つの処理を設定します。検出されたプロセスは、 選択する処理に応じて、常に検疫されるか、常にログに記録されます。 商用アプリケーションの検出に対する処理も設定できます。 通常はデフォルトの設定を修正しないでください。 メモ: TruScan 検出のユーザーへの通知は、SONAR の[スキャンの詳細]タブで制御し ます。 レガシークライアントの TruScan プロアクティブ脅威スキャン設定を指定するには 1 ウイルスとスパイウェアの対策ポリシーで、[SONAR]をクリックします。 2 [TruScan レガシークライアントの設定]を選択します。 デフォルトでは、[スキャンの詳細]、[商用アプリケーションの検出]、[頻度]の設定 は非表示です。 3 矢印のアイコンをクリックして[スキャンの詳細]の設定を展開します。 4 [トロイの木馬とワームをスキャンする]と[キーロガーをスキャンする]のチェックマー クを付けるかはずします。 5 どちらかのリスクの種類について処理や感度を変更するには、[シマンテック定義の デフォルト設定を使う]のチェックマークをはずします。 処理が[検疫]または[終了]に設定されている場合は自動的に通知が送信されま す。[終了]処理は注意して使います。場合によっては、アプリケーションが機能性を 失う可能性があります。 6 次のいずれかの操作を実行します。 ■ 左または右にスライダーを移動し、感度を個別に下げたり上げたりします。 ■ [低]または[高]をクリックします。 7 矢印のアイコンをクリックして[商用アプリケーションの検出]の設定を展開します。 8 商用のキーロガーやリモート制御プログラムの処理を設定します。 9 矢印をクリックして[スキャン頻度]の設定を展開します。 10 次のオプションのいずれかを設定します。 ■ デフォルトのスキャン頻度 スキャンエンジンソフトウェアによってスキャン頻度が決定されます。このオプショ ンはデフォルトでチェックマークが付いています。 ■ カスタムのスキャン頻度 355 356 第 16 章 SONAR の管理 レガシークライアントの TruScan プロアクティブ脅威スキャンの管理 このオプションを有効にすると、クライアントが新しいプロセスを検出したときにす ぐにスキャンするように指定できます。スキャン頻度の時間も設定できます。 11 [OK]をクリックします。 17 改変対策の管理 この章では以下の項目について説明しています。 ■ 改変対策について ■ 改変対策の設定の変更 改変対策について 改変対策は、サーバーとクライアントで実行されるシマンテック製アプリケーションにリア ルタイム保護を提供します。ワーム、トロイの木馬、ウイルスなどのシマンテック製品以外 のプロセスが、シマンテック製品のリソースに影響を与えることがないようにします。ソフト ウェアを設定して、シマンテック製品のリソースを変更しようとする試みを遮断またはログ に記録することができます。 メモ: 改変対策は Windows クライアントでのみ実行されます。Mac クライアントでは実行 されません。 不要なアドウェアやスパイウェアを検出して防衛するサードパーティのセキュリティリスクス キャナを使っている場合、これらのスキャナは通常シマンテック製品のリソースに影響を 与えます。そのようなスキャナを実行する場合に改変対策を有効にすると、改変対策によ り多数の通知とログエントリが生成されます。改変対策は常に有効にしておくことが最善 策です。改変対策で生成されるイベントの数が多すぎる場合は、ログフィルタを使います。 クライアントコンピュータで改変対策の通知をオフにできます。改変対策が検出するアプ リケーションの例外も作成できます。 p.476 の 「改変対策例外の作成」 を参照してください。 クライアントが管理下クライアントとしてインストールされている場合、改変対策には次の デフォルトが設定されています。 ■ 改変対策が有効になっている 358 第 17 章 改変対策の管理 改変対策の設定の変更 ■ 改変の試みを検出した場合には、イベントをログに記録する ■ 改変の試みを検出してもユーザーには通知しない メモ: 改変の試みの通知が有効になっていると、影響を受けるコンピュータにはシマンテッ ク製品のリソースに関する通知だけでなく、Windows リソースについての通知も送信され ます。 p.358 の 「改変対策の設定の変更」 を参照してください。 クライアントが管理外クライアントとしてインストールされている場合、改変対策には次の デフォルトが設定されています。 ■ 改変対策が有効になっている ■ 改変の試みを検出した場合には、試みを遮断して、イベントをログに記録する ■ 改変対策は、改変の試みを検出するとユーザーに通知します。 改変対策の設定の変更 管理者は改変対策を有効または無効にしたり、改変の試みが検出されたときに実行する 処理を設定できます。さらに、改変の試みが検出された場合にユーザーに通知するよう に設定することもできます。 改変対策の設定は、選択したグループに対してグローバルに設定されます。 Symantec Endpoint Protection を最初に使うときは、[イベントをログに記録のみする] 処理を使って、ログを週に 1 回監視することをお勧めします。誤認がないようであれば[改 変対策]を[遮断してイベントをログ記録する]に設定します。 p.357 の 「改変対策について」 を参照してください。 Symantec Endpoint Protection が改変の試みを検出したときにクライアントで表示され るメッセージを設定することもできます。デフォルトでは、ソフトウェアが改変の試みを検出 すると通知メッセージが表示されます。 作成するメッセージには、テキストと変数を混ぜることができます。変数には、攻撃の特性 を識別する値が挿入されます。変数を使う場合、表示されるとおりに正確に入力する必 要があります。 改変対策の設定を変更するには 1 コンソールで、[クライアント]をクリックします。 2 [ポリシー]タブの[設定]で、[全般の設定]をクリックします。 3 [改変対策]タブで、[シマンテック製セキュリティソフトウェアを改変または終了から 保護する]にチェックマークを付けるかはずします。 第 17 章 改変対策の管理 改変対策の設定の変更 4 [アプリケーションがシマンテック製セキュリティソフトウェアを改変または終了しようと した場合に適用する処理]の下のリストボックスで、次のいずれかのオプションを選 択します。 ■ 遮断してイベントをログ記録する ■ イベントをログに記録のみする 5 [改変の検出時に通知メッセージを表示する]にチェックマークを付けるかはずしま す。 6 ユーザーが変更できないようにするオプションの横にあるアイコンをクリックします。 7 [OK]をクリックします。 359 360 第 17 章 改変対策の管理 改変対策の設定の変更 18 ファイアウォール保護の管 理 この章では以下の項目について説明しています。 ■ ファイアウォール保護の管理 ■ ファイアウォールポリシーの作成 ■ ファイアウォールルールについて ■ ファイアウォールルールの設定 ファイアウォール保護の管理 ファイアウォールは、ファイアウォールポリシーで指定した着信ネットワークトラフィックおよ び発信ネットワークトラフィックを許可します。Symantec Endpoint Protection ファイア ウォールポリシーにはルールおよび保護設定が含まれ、そのほとんどは有効と無効を切 り替えられ、設定できます。 表 18-1 に、ファイアウォール保護を管理できる方法を示します。これらのタスクはすべて 省略可能です。 表 18-1 ファイアウォール保護の管理 タスク 説明 ファイアウォール 保護の理解 ファイアウォール保護を設定する前に、ファイアウォールに精通しておく必要が あります。 p.363 の 「ファイアウォールのしくみ」 を参照してください。 p.363 の 「Symantec Endpoint Protection ファイアウォールについて」 を参照 してください。 362 第 18 章 ファイアウォール保護の管理 ファイアウォール保護の管理 タスク 説明 ファイアウォール ポリシーの作成 Symantec Endpoint Protection は、デフォルトのファイアウォールポリシーを インストールします。デフォルトのポリシーを修正することも、新しいポリシーを 作成することもできます。 ポリシーのファイアウォールルールとファイアウォール保護設定を設定する前 に、ポリシーを作成しておく必要があります。 p.364 の 「ファイアウォールポリシーの作成」 を参照してください。 p.367 の 「ファイアウォールポリシーの有効化および無効化」 を参照してくださ い。 ファイアウォール ルールの作成お よびカスタマイズ ファイアウォールルールとは、ファイアウォールで、悪質な攻撃からクライアント コンピュータを保護する方法を制御するポリシーコンポーネントです。 デフォルトのファイアウォールポリシーには、デフォルトのファイアウォールルー ルが含まれます。また、新しいポリシーを作成すると、Symantec Endpoint Protection によりデフォルトのファイアウォールルールが与えられます。ただ し、デフォルトのルールを修正することも、新しいルールを作成することもできま す。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 ファイアウォール ファイアウォールがある特定の操作を完了した後、制御はいくつかのコンポー 保護設定の有効 ネントに渡されます。各コンポーネントは異なる種類のパケット分析を実行する 化 ように設計されています。 p.368 の 「基本的なネットワークサービスの通信の自動的な許可」 を参照してく ださい。 p.370 の 「攻撃側コンピュータへの接続の自動遮断」 を参照してください。 p.371 の 「潜在的な攻撃と詐称の試行の検出」 を参照してください。 p.372 の 「ステルスの検出の防止」 を参照してください。 p.373 の 「Windows ファイアウォールの無効化」 を参照してください。 p.374 の 「ピアツーピア認証の設定」 を参照してください。 ファイアウォール 保護の監視 定期的に、コンピュータのファイアウォール保護の状態を監視してください。 p.533 の 「エンドポイント保護の監視」 を参照してください。 p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してくださ い。 p.369 の 「混合制御のファイアウォール設定」 を参照してください。 ナレッジベースの「Network Threat Protection Firewall Overview and Best Practices White Paper」を参照してください。 第 18 章 ファイアウォール保護の管理 ファイアウォール保護の管理 ファイアウォールのしくみ ファイアウォールは、以下のタスクをすべて行います。 ■ 権限がないユーザーが、インターネットに接続した組織内のコンピュータおよびネット ワークにアクセスできないようにする ■ 使用中のコンピュータとインターネット上の他のコンピュータ間の通信を監視する ■ コンピュータ上の情報へのアクセス試行を許可または遮断するシールドを作成する ■ 他のコンピュータから接続の試みがあることを警告する ■ 他のコンピュータに接続するコンピュータのアプリケーションによって接続の試みが あったことを警告する ファイアウォールは、インターネット上で送受信されるデータのパケットを調べます。パケッ トは 2 つのコンピュータ間の情報の流れの一部である個別のデータチャンクです。パケッ トは送信先で組み立てられ連続したデータストリームとして表示されます。 パケットには、以下の要素に関する情報が含まれます。 ■ 送信元コンピュータ ■ 本来の受信者 ■ パケットデータの処理方法 ■ パケットを受信するポート ポートはインターネットから受信するデータのストリームを分割するチャネルです。コン ピュータで動作するアプリケーションはポートで応答準備を行います。アプリケーションは ポートに送られるデータを受け入れます。 ネットワーク攻撃は脆弱なアプリケーションの弱点を利用します。攻撃者はこうした弱点を 利用して悪質なプログラムコードが含まれたパケットをポートに送信します。脆弱なアプリ ケーションがポートで応答準備を行うとき、攻撃者は悪質なコードによってコンピュータへ アクセスできるようになります。 p.363 の 「Symantec Endpoint Protection ファイアウォールについて」 を参照してくださ い。 p.361 の 「ファイアウォール保護の管理」 を参照してください。 Symantec Endpoint Protection ファイアウォールについて Symantec Endpoint Protection ファイアウォールはファイアウォールポリシーとルール を使って、ネットワークトラフィックを許可または遮断します。Symantec Endpoint Protection にはオフィス環境向けのデフォルトのファイアウォールルールとファイアウォー ルの設定を含んだデフォルトのファイアウォールポリシーが用意されています。オフィス環 境は通常は企業ファイアウォール、境界パケットフィルタ、ウイルス対策サーバーの保護 363 364 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 下にあります。そのため、限定的な境界保護しか利用できないほとんどのホーム環境より も通常は安全です。 ファイアウォールルールは悪質なインバウンドトラフィックとアウトバウンドトラフィックからク ライアントコンピュータを保護する方法を制御します。ファイアウォールはすべてのインバ ウンドとアウトバウンドのパケットをこれらのルールと照合して自動的に検査します。次に ファイアウォールはルールで指定した情報に基づくパケットを許可または遮断します。コ ンピュータが別のコンピュータへ接続を試みると、ファイアウォールは接続の種類とファイ アウォールルールのリストを比較します。ファイアウォールはすべてのネットワークトラフィッ クのステートフルインスペクションも使います。 コンソールの初回のインストール時に、各グループに対してデフォルトのファイアウォール ポリシーが自動的に追加されます。 新しい場所を追加するたびに、コンソールによってファイアウォールポリシーがデフォルト の場所に自動的にコピーされます。 管理者はユーザーによるファイアウォールルールとファイアウォール設定の変更を許可 するか禁止するかによって、ユーザーが行うクライアントの管理操作のレベルを決定しま す。ユーザーがクライアントを操作できるのは、クライアントが新しいネットワーク接続と問 題の可能性について通知するときだけです。または、ユーザーインターフェースをすべて 利用することもできます。 ファイアウォールの保護は必要に応じて有効と無効を切り替えることができます。 デフォルトのファイアウォール設定を使ってクライアントをインストールできます。ほとんど の場合その設定を変更する必要はありません。ただし、ネットワークを詳しく理解している ユーザーは、クライアントのファイアウォールをさまざまに変更してクライアントコンピュー タの保護を微調整できます。 p.361 の 「ファイアウォール保護の管理」 を参照してください。 p.363 の 「ファイアウォールのしくみ」 を参照してください。 p.382 の 「ファイアウォールでのステートフルインスペクションの使い方」 を参照してくださ い。 p.232 の 「セキュリティポリシーの種類」 を参照してください。 ファイアウォールポリシーの作成 Symantec Endpoint Protection にはオフィス環境向けのデフォルトのファイアウォール のルールと設定を含むデフォルトのファイアウォールポリシーが用意されています。オフィ ス環境は通常は企業ファイアウォール、境界パケットフィルタ、ウイルス対策サーバーの 保護下にあります。そのため、限定的な境界保護しか利用できないほとんどのホーム環 境よりも通常は安全です。 コンソールの初回のインストール時に、各グループに対してデフォルトのファイアウォール ポリシーが自動的に追加されます。 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 新しい場所を追加するたびに、コンソールによってファイアウォールポリシーがデフォルト の場所に自動的にコピーされます。デフォルトの保護が適切でない場合は、ホームサイ トやカスタマーサイトなどの場所ごとにファイアウォールポリシーをカスタマイズできます。 デフォルトのファイアウォールポリシーが必要ない場合は、それを編集することも別の共 有ポリシーに置換することもできます。 ファイアウォール保護を有効にすると、ポリシーは IP ベースのインバウンドとアウトバウン ドのネットワークトラフィックをすべて許可しますが、次の例外があります。 ■ デフォルトのファイアウォール保護は、すべてのリモートシステムとのインバウンドとア ウトバウンドの IPv6 トラフィックを遮断します。 メモ: IPv6 はインターネットで使われるネットワーク層プロトコルです。Microsoft Vista が動作するコンピュータにクライアントをインストールすると、イーサネットプロトコルの 種類が IPv6 のトラフィックを遮断する複数のデフォルトルールが[ルール]リストに含 まれます。デフォルトのルールを削除する場合は、IPv6 を遮断するルールを作成す る必要があります。 ■ デフォルトのファイアウォール保護は、攻撃でよく使われるいくつかのプロトコルのイン バウンド接続を制限します(たとえば、Windows ファイル共有)。 内部ネットワーク接続は許可され、外部ネットワークは遮断されます。 表 18-2 で、新しいファイアウォールポリシーを設定する場合に実行できるタスクについて 説明します。最初にファイアウォールポリシーを追加する必要があります。その後の残り のタスクは省略可能で、任意の順序で完了できます。 表 18-2 タスク ファイアウォールポリシーを作成する方法 説明 ファイアウォールポリシーを 新しいポリシーを作成するときには、ポリシーの名前と説明を入力しま 追加する す。ポリシーの適用先のグループも指定します。 ファイアウォールポリシーは作成すると自動的に有効になります。必 要な場合は無効にできます。 p.367 の 「ファイアウォールポリシーの有効化および無効化」 を参照し てください。 365 366 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 タスク 説明 ファイアウォールルールを ファイアウォールルールはファイアウォールがどのように保護するか制 作成する 御するポリシーのコンポーネントです 悪質な着信トラフィックとアプリ ケーションからのクライアントコンピュータ。 ファイアウォールはこれら のルールに対して自動的にすべての着信パケットと発信パケットを調 べます ファイアウォールはルールで指定された情報に基づいてパケッ トを許可または遮断します。デフォルトルールを修正すること、新しい ルールを作成すること、デフォルトルールを無効にすることが可能で す。 新しいファイアウォールポリシーを作成するときには、Symantec Endpoint Protection によってデフォルトのファイアウォールルール が提供されます。 デフォルトのファイアウォールルールはデフォルトで有効になります。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 アプリケーションへのアクセ アクセスしようとしているアプリケーションが遮断されていることを知ら スが遮断されたことをユー せる通知を、ユーザーに送信できます。 ザーに伝える通知を有効 これらの設定はデフォルトで無効になっています。 にしてカスタマイズする p.387 の 「アプリケーションへのアクセスが遮断されていることに関する ユーザーへの通知」 を参照してください。 自動ファイアウォールルー 特定のネットワークサービス間の通信を自動的に許可するオプション ルを有効にする を有効にできます。これらのオプションを使うと、それらのサービスを 明示的に許可するルールを作成する必要がなくなります。トラフィック の設定を有効にすることで NetBIOS とトークンリングを使って通信す るトラフィックの検出と遮断も実行できます。 トラフィックのプロトコルのみがデフォルトで有効になります。 p.368 の 「基本的なネットワークサービスの通信の自動的な許可」 を 参照してください。 Symantec Endpoint Protection クライアントがネットワーク攻撃を検 出すると、接続を自動的に遮断してクライアントコンピュータの安全を 確保できます。クライアントはアクティブレスポンスをアクティブ化して、 クライアントと攻撃側コンピュータの間のすべての通信を一定期間自 動的に遮断します。攻撃側コンピュータの IP アドレスは単一の場所 で遮断されます。 このオプションはデフォルトでは有効になっています。 p.370 の 「攻撃側コンピュータへの接続の自動遮断」 を参照してくだ さい。 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 タスク 説明 保護とステルスの設定を指 クライアントに対する潜在的な攻撃を検出してログに記録し、詐称の 定する 試みを遮断する設定を有効にできます。 p.371 の 「潜在的な攻撃と詐称の試行の検出」 を参照してください。 外部からの攻撃によってクライアントに関する情報が検出されないよ うにする設定を有効にできます。 p.372 の 「ステルスの検出の防止」 を参照してください。 保護オプションとステルスオプションすべて、デフォルトでは無効にな ります。 Symantec Endpoint Protection ファイアウォー ルを Windows ファイア ウォールと統合する Symantec Endpoint Protection が Windows ファイアウォールを無 効にする条件を指定できます。Symantec Endpoint Protection を アンインストールするとき、Symantec Endpoint Protection は Windows ファイアウォールの設定を、Symantec Endpoint Protection がインストールされる前の状態に復元します。 デフォルト設定では、Windows ファイアウォールは一度だけ無効に され、Windows ファイアウォール無効のメッセージが無効にされま す。 p.373 の 「Windows ファイアウォールの無効化」 を参照してください。 ピアツーピア認証を設定す ピアツーピア認証を使って、リモートクライアントコンピュータ(ピア)が、 る 同じ企業ネットワーク内の別のクライアントコンピュータ(認証子)に接 続するのを許可することができます。認証子は、リモートコンピュータ がホストインテグリティ検査に合格するまで、一時的にリモートコンピュー タからの TCP および UDP のインバウンドトラフィックを遮断します。 メモ: Symantec Network Access Control をインストールし、ライセ ンスを受けている場合、このオプションを表示して有効にすることだけ が可能です。 このオプションはデフォルトでは有効になっています。 p.374 の 「ピアツーピア認証の設定」 を参照してください。 p.361 の 「ファイアウォール保護の管理」 を参照してください。 p.226 の 「ファイアウォールポリシー設定のベストプラクティス」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 ファイアウォールポリシーの有効化および無効化 ファイアウォールポリシーは、作成したときに自動的に有効になります。必要に応じてファ イアウォールポリシーを無効にして、その後、再び有効にすることができます。ファイア ウォールポリシーがアクティブであるには、これを有効にする必要があります。 367 368 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 次のいずれかの理由のためにファイアウォールを無効にする場合があります。 ■ ファイアウォールが遮断することがあるアプリケーションをインストールします。 ■ ファイアウォールルールまたはファイアウォールの設定が管理者の間違いによりアプ リケーションを遮断します。 ■ ファイアウォールによりネットワーク接続に関係する問題が発生する。 ■ ファイアウォールはクライアントコンピュータの速度を低下させることがあります。 少なくともデフォルトファイアウォール保護を有効にして、リモートクライアントインストール 中、コンピュータを保護してください。 p.193 の 「保護の有効化と無効化について」 を参照してください。 ファイアウォールポリシーを有効または無効にするには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページで、ファイアウォールポリシーを選択し、[編集]を右クリックします。 3 ポリシーの[概要]ページで、ポリシーを有効にするには、[このポリシーを有効にす る]にチェックマークを付けます。無効にするにはチェックマークをはずします。 4 [OK]をクリックします。 p.364 の 「ファイアウォールポリシーの作成」 を参照してください。 p.361 の 「ファイアウォール保護の管理」 を参照してください。 基本的なネットワークサービスの通信の自動的な許可 ある種のネットワークサービスを明示的に許可するルールを定義しなくてもいいように、そ れらの間の通信を自動的に許可するオプションを有効にできます。トラフィックの設定を 有効にすることで NetBIOS とトークンリングを使って通信するトラフィックの検出と遮断も 実行できます。 DHCP、DNS、WINS トラフィックを使うように設定されたネットワーク接続のアウトバウンド 要求とインバウンド応答を許可できます。 フィルタは DHCP、DNS、WINS クライアントがサーバーから IP アドレスを受信することを 許可します。また、次の条件でネットワークからの攻撃に対してクライアントを保護します。 クライアントがサーバーに要求 を送信する場合 クライアントはインバウンド応答の許可を 5 秒間待ちます。 クライアントがサーバーに要求 を送信しない場合 各フィルタはパケットを許可しません。 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 これらのオプションを有効にすると、要求が行われた場合にパケットが許可され、パケット は遮断されません。パケットを遮断するにはファイアウォールルールを作成する必要があ ります。 メモ: これらのオプションを混合制御で設定するには、これらのオプションを[クライアント ユーザーインターフェース混合制御の設定]ダイアログボックスでも有効にする必要があ ります。 基本的なネットワークサービスの通信を自動的に許可するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[組み込みルール]をクリックします。 3 有効にするオプションにチェックマークを付けます。 4 [OK]をクリックします。 5 メッセージが表示されたら、ポリシーを場所に割り当てます。 p.364 の 「ファイアウォールポリシーの作成」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 p.204 の 「ユーザー制御レベルの変更」 を参照してください。 混合制御のファイアウォール設定 ファイアウォール設定においてユーザーが制御不能、フルコントロール可能、限定された 制御が可能なようにクライアントを設定できます。 クライアントを設定するときは、次のガイドラインを参考にしてください。 サーバー制御 ユーザーがファイアウォールルールを作成したりファイアウォール 設定を有効にしたりすることはできません。 クライアント制御 ユーザーはファイアウォールルールを作成したりすべてのファイ アウォール設定を有効にしたりできます。 混合制御 ユーザーはファイアウォールルールを作成できます。ユーザーが どのファイアウォール設定を有効にできるかを決定します。 混合制御のファイアウォール設定を行うには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、修正するユーザー制御レベルを持つグループを選択します。 3 [ポリシー]タブの[場所固有のポリシーと設定]で、場所の下の[場所固有の設定] を展開します。 369 370 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 4 [クライアントユーザーインターフェース制御の設定]の右側で、[タスク]、[設定の編 集]の順にクリックします。 5 [制御モード設定]ダイアログボックスで、[混合制御]をクリックし、[カスタマイズ]を クリックします。 6 [クライアント/サーバー制御の設定]タブの[ファイアウォールポリシー]カテゴリで、 次のいずれかのタスクを実行します。 ■ クライアント設定をユーザーが設定できるようにするには、[クライアント]をクリッ クする ■ クライアント設定を行うには、[サーバー]をクリックする 7 [OK]をクリックします。 8 [OK]をクリックします。 9 [サーバー]に設定したファイアウォール設定ごとに、ファイアウォールポリシーの設 定を有効または無効にします。 p.361 の 「ファイアウォール保護の管理」 を参照してください。 p.368 の 「基本的なネットワークサービスの通信の自動的な許可」 を参照してください。 p.371 の 「潜在的な攻撃と詐称の試行の検出」 を参照してください。 p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してくださ い。 攻撃側コンピュータへの接続の自動遮断 Symantec Endpoint Protection クライアントがネットワーク攻撃を検出すると、接続を自 動的に遮断してクライアントコンピュータの安全を確保できます。クライアントはアクティブ レスポンスをアクティブ化して、クライアントと攻撃側コンピュータの間のすべての通信を 一定期間自動的に遮断します。攻撃側コンピュータの IP アドレスは単一の場所で遮断 されます。 攻撃者の IP アドレスはセキュリティログに記録されます。特定の IP アドレスを取り消す か、すべてのアクティブレスポンスを取り消すことによって攻撃を遮断解除できます。 クライアントを混合制御に設定している場合は、ユーザーがクライアントで有効にできる設 定を表示するかどうかを指定できます。設定が表示されていない場合は、[クライアント ユーザーインターフェース混合制御の設定]ダイアログボックスで有効にする必要があり ます。 更新された IPS シグネチャ、更新されたサービス拒否シグネチャ、ポートスキャン、MAC 詐称によってもアクティブレスポンスがトリガされます。 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 攻撃側コンピュータへの接続を自動遮断するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 左ペインの[ファイアウォールポリシー]ページで、[組み込みルール]をクリックしま す。 3 [その他]の下で、 [自動的に攻撃者の IP アドレスを遮断する]にチェックマークを 付けます。 4 [IP アドレスを遮断する秒数: XX 秒]テキストボックスに、潜在的な攻撃者を遮断す る秒数を指定します。 1 から 999,999 までの値を入力できます。 5 [OK]をクリックします。 p.364 の 「ファイアウォールポリシーの作成」 を参照してください。 p.369 の 「混合制御のファイアウォール設定」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 潜在的な攻撃と詐称の試行の検出 Symantec Endpoint Protection でクライアントに対する潜在的な攻撃を検出してログに 記録したり、詐称の試行を遮断したりするための、さまざまな設定を有効にできます。これ らのオプションはすべて、デフォルトでは無効になっています。 有効にできる設定は次のとおりです。 ポートスキャン検出を有効にす この設定を有効にすると、セキュリティルールによって遮断される る すべての着信パケットが監視されます。ルールによって短時間に 異なるポートの複数の異なるパケットが遮断される場合、Symantec Endpoint Protection はセキュリティログエントリを作成します。 ポートスキャン検出ではパケットは遮断されません。ポートスキャ ンの実行時にトラフィックを遮断するには、セキュリティポリシーを 作成する必要があります。 サービス拒否検出を有効にす サービス拒否検出は侵入検知の一種です。これが有効になって る いる場合は、ポート番号やインターネットプロトコルの種類に関係 なく、クライアントは既知のシグネチャからパターンを検出するとト ラフィックを遮断します。 MAC 詐称対策を有効にする 有効にすると、特定のホストに ARP(Address Resolution Protocol)要求が行われた場合に、Symantec Endpoint Protection は ARP トラフィックの着発信を許可します。その他の 予期されていない ARP トラフィックはすべて遮断され、セキュリ ティログにエントリが生成されます。 371 372 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 メモ: これらのオプションを混合制御で設定するには、これらのオプションを[クライアント ユーザーインターフェース混合制御の設定]ダイアログボックスでも有効にする必要があ ります。 潜在的な攻撃と詐称の試行を検出するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[保護とステルス]をクリックします。 3 [保護の設定]の下で、有効にしたいオプションにチェックマークを付けます。 4 [OK]をクリックします。 5 メッセージが表示されたら、ポリシーを場所に割り当てます。 p.364 の 「ファイアウォールポリシーの作成」 を参照してください。 p.204 の 「ユーザー制御レベルの変更」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 ステルスの検出の防止 外部からの攻撃によってクライアントに関する情報が検出されないようにする設定を有効 にできます。これらの設定はデフォルトで無効になっています。 メモ: これらのオプションを混合制御で設定するには、これらのオプションを[クライアント ユーザーインターフェース混合制御の設定]ダイアログボックスでも有効にする必要があ ります。 ステルスの検出を防ぐには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[保護とステルス]をクリックします。 3 [ステルスの設定]で、次のうち有効にするオプションにチェックマークを付けます。 ステルスモード Web 参照を 有効にする クライアントが使っているオペレーティングシステムとブラウザ を Web サイトに知られないようにします。 TCP 再順序付けを有効にす OS フィンガープリント詐称やある種の IP 詐称を避けるために る TCP の順序番号をランダム化します。 OS フィンガープリントの隠ぺ ファイアウォールが実行されているコンピュータのオペレーティ いを有効にする ングシステムがプログラムによって検出されるのを防ぎます。 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 4 [OK]をクリックします。 5 メッセージが表示されたら、ポリシーを場所に割り当てます。 p.364 の 「ファイアウォールポリシーの作成」 を参照してください。 p.204 の 「ユーザー制御レベルの変更」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 Windows ファイアウォールの無効化 Symantec Endpoint Protection が Windows ファイアウォールを無効にする条件を指 定できます。Symantec Endpoint Protection をアンインストールするとき、Symantec Endpoint Protection は Windows ファイアウォールの設定を、Symantec Endpoint Protection がインストールされる前の状態に復元します。 メモ: Symantec Endpoint Protection は既存の Windows ファイアウォールポリシーの ルールや除外は変更しません。 Symantec Endpoint Protection が実行できる処理は次の通りです。 処理なし 現在の Windows ファイアウォールの設定を変更しません。 1 回のみ無効にする Windows ファイアウォールが有効になっていることを Symantec Endpoint Protection が初めて検出した起動時に Windows ファイアウォールを無効にします。その後の起動時には、 Symantec Endpoint Protection は Windows ファイアウォール を無効にしません。 この設定はデフォルトです。 常に無効にする 起動時には毎回 Windows ファイアウォールを無効にして、 Symantec Client Firewall がアンインストールされていれば Windows ファイアウォールを再度有効にします。 無効ならば復元 起動時に Windows ファイアウォールを有効にします。 通常、Windows ユーザーは Windows ファイアウォールが無効になっている場合、コン ピュータが再起動するときに通知を受信します。Symantec Endpoint Protection は Windows ファイアウォールが無効になっているときにユーザーが警告されないように、デ フォルトでこの通知を無効にします。しかし、必要な場合は通知を有効にできます。 Windows ファイアウォールを無効にするには 1 コンソールで、[ポリシー]をクリックします。 2 [Policies]で[Firewall]をクリックします。 373 374 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 3 次のいずれかのタスクを行います。 ■ 新しいファイアウォールポリシーを作成します。 ■ [ファイアウォールポリシー]リストで、修正するファイアウォールポリシーをダブル クリックします。 4 [ファイアウォールポリシー]で[Windows 統合]をクリックします。 5 [Windows ファイアウォールを無効にする]ドロップダウンリストで、Windows ファイ アウォールをいつ無効にするかを指定します。 デフォルト設定は、[1 回のみ無効にする]です。 6 [Windows ファイアウォール無効のメッセージ]ドロップダウンリストで、ファイアウォー ルが無効になっていることを示す起動時の Windows メッセージを無効にするかど うかを指定します。 デフォルトの設定は[無効]です。これは、ユーザーはコンピュータの起動時に、 Windows ファイアウォールが無効になっているというメッセージを受信しないことを 意味します。 7 [OK]をクリックします。 p.364 の 「ファイアウォールポリシーの作成」 を参照してください。 p.232 の 「セキュリティポリシーの種類」 を参照してください。 ピアツーピア認証の設定 ピアツーピア認証を使って、リモートクライアントコンピュータ(ピア)が、同じ企業ネットワー ク内の別のクライアントコンピュータ(認証子)に接続するのを許可することができます。認 証子は、リモートコンピュータがホストインテグリティ検査に合格するまで、一時的にリモー トコンピュータからの TCP および UDP のインバウンドトラフィックを遮断します。 メモ: このオプションを表示するには、Symantec Network Access Control がインストー ルされ、ライセンスが交付されている必要があります。 ホストインテグリティ検査では、リモートコンピュータの以下の特性を確認します。 ■ リモートコンピュータに Symantec Endpoint Protection と Symantec Network Access Control の両方がインストールされている。 ■ リモートコンピュータがホストインテグリティポリシー必要条件を満たしている。 リモートコンピュータがホストインテグリティ検査に合格すると、認証子はリモートコンピュー タから認証子への接続を許可します。 リモートコンピュータがホストインテグリティ検査に失敗すると、認証子はリモートコンピュー タの遮断を継続します。リモートコンピュータが認証子への接続を再度試みることができ 第 18 章 ファイアウォール保護の管理 ファイアウォールポリシーの作成 るようになるまで遮断を継続する時間を指定することができます。ホストインテグリティ検査 に合格しなくても常に許可する特定のリモートコンピュータを指定することもできます。リ モートコンピュータに対するホストインテグリティポリシーを有効にしない場合、リモートコ ンピュータはホストインテグリティ検査に合格します。 ピアツーピア認証情報は、コンプライアンスエンフォーサクライアントログとネットワーク脅 威防止トラフィックログに表示されます。 メモ: ピアツーピア認証は、サーバー制御でも混合制御でも機能しますが、クライアント制 御では機能しません。 警告: 管理サーバーと同じコンピュータにインストールされているクライアントに対しては、 ピアツーピア認証を有効にしないでください。有効にした場合、リモートコンピュータがホ ストインテグリティ検査に失敗すると、管理サーバーがポリシーをリモートコンピュータにダ ウンロードできなくなります。 ピアツーピア認証を設定するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ピアツーピア認証の設定]をクリックします。 3 [ピアツーピア認証の設定]ペインで、[ピアツーピア認証を有効にする]にチェック マークを付けます。 4 ページ上に表示されるそれぞれの値を設定します。 これらのオプションについて詳しくは[ヘルプ]を参照してください。 5 リモートコンピュータが認証なしでクライアントコンピュータに接続するのを許可する には、[ホストを認証から除外する]にチェックマークを付け、[除外ホスト]をクリックし ます。 クライアントコンピュータは、[ホスト]リストに表示されているコンピュータに対してトラ フィックを許可します。 6 [除外ホスト]ダイアログボックスで、[追加]をクリックして認証の必要がないリモート コンピュータを追加します。 7 [ホスト]ダイアログボックスで、IP アドレス、IP 範囲、サブネットのいずれかを使って ホストを定義し、[OK]をクリックします。 8 [除外ホスト]ダイアログボックスで[OK]をクリックします。 9 このポリシーの設定を完了したら、[OK]をクリックします。 10 メッセージが表示されたら、ポリシーを場所に割り当てます。 p.364 の 「ファイアウォールポリシーの作成」 を参照してください。 375 376 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて p.239 の 「ポリシーの編集」 を参照してください。 ファイアウォールルールについて ファイアウォールルールはファイアウォールがどのように悪質な着信トラフィックとアプリ ケーションからコンピュータを保護するかを制御するポリシーコンポーネントです。ファイ アウォールは有効にしたルールを基準にして、すべての着信パケットと発信パケットを検 査します。ファイアウォールはファイアウォールルールで指定する条件に基づいてパケッ トを許可または遮断します。 ファイアウォールルールは有効または無効にできます。ファイアウォールは無効にされた ルールを検査しません。 Symantec Endpoint Protection はデフォルトのルールを含むデフォルトのファイアウォー ルポリシーとともにインストールされます。新しいファイアウォールポリシーを作成するとき には、Symantec Endpoint Protection によってデフォルトのファイアウォールルールが 提供されます。任意のデフォルトのルールを修正することも、新しいファイアウォールルー ルを作成することもできます。 ポリシーには少なくとも 1 つのルールを含める必要があります。しかし、必要な数のルー ルを利用できます。ルールは必要に応じて有効と無効を切り替えることができます。たと えば、ルールを無効にしてトラブルシューティングを実行し、終了したら有効にできます。 表 18-3 では、ファイアウォールルールについて知っておく必要がある事柄を説明します。 表 18-3 件名 ファイアウォールルールについて 説明 サーバールールとク クライアントのユーザー制御レベルと、ユーザーによるファイアウォールルー ライアントルールの ルの操作の関係に精通している必要があります。 違い p.377 の 「ファイアウォールのサーバールールとクライアントルールについて」 を参照してください。 Symantec Endpoint Protection がファイ アウォールルールを 処理する順序 ルールの順序を指定して、最も制限の厳しいルールが最初に評価され、最 も制限の緩いルールが最後に評価されるようにする方法を理解します。 継承されたルール について 親グループからルールを継承する場合の影響と、継承されたルールがどの ように処理されるかに精通している必要があります。 p.379 の 「ファイアウォールルール、ファイアウォール設定、侵入防止の処理 順について」 を参照してください。 p.380 の 「継承したファイアウォールルールについて」 を参照してください。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて 件名 説明 ステートフルインス Symantec Endpoint Protection では、追加のルールを作成する必要がな ペクションについて くなるステートフルインスペクションが使われます。ステートフルインスペクショ ンがどのようなもので、脅威からネットワークをどのように保護するかを学習で きます。 p.382 の 「ファイアウォールでのステートフルインスペクションの使い方」 を参 照してください。 ファイアウォール ファイアウォールのトリガがクライアントとサーバーの保護にどのように役立つ ルールのトリガにつ かを学習します。 いて これらのトリガと、トリガの最適な使用方法について理解すれば、それに応じ てファイアウォールルールをカスタマイズできます。 p.383 の 「ファイアウォールルールのアプリケーショントリガについて」 を参照 してください。 p.388 の 「ファイアウォールルールのホストトリガについて」 を参照してくださ い。 p.391 の 「ファイアウォールルールのネットワークサービストリガについて」 を 参照してください。 p.393 の 「ファイアウォールルールのネットワークアダプタトリガについて」 を 参照してください。 p.361 の 「ファイアウォール保護の管理」 を参照してください。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 ファイアウォールのサーバールールとクライアントルールについて ルールはサーバールールとクライアントルールのいずれかに分類されます。サーバー ルールは Symantec Endpoint Protection Manager で作成して Symantec Endpoint Protection クライアントにダウンロードしたルールです。クライアントルールはユーザーが クライアントで作成したルールです。 クライアントのユーザー制御レベルとユーザーによるファイアウォールルールに対する介 入の関係を表 18-4 に示します。 表 18-4 ユーザー制御レベルとルールの状態 ユーザー制御レベル ユーザーの介入 サーバー制御 クライアントはサーバールールを受信するがユーザーはそれらのルー ルを表示できない。ユーザーはクライアントルールを作成できない 377 378 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて ユーザー制御レベル ユーザーの介入 混合制御 クライアントはサーバールールを受信する。ユーザーはクライアント ルールを作成できる。作成したルールはサーバールールやクライア ントのセキュリティの設定とマージされる クライアント制御 クライアントはサーバールールを受信しない。ユーザーはクライアント ルールを作成できる。管理者はクライアントルールを表示できない ファイアウォールがサーバールール、クライアントルール、クライアント設定を処理する順 序を表 18-5 に示します。 表 18-5 サーバールールとクライアントルールの処理の優先度 優先度 ルールの種類または設定 1 番目 優先度レベルが高いサーバールール([ルール]リストで青色の線の 上に表示されるルール) 2 番目 クライアントルール 3 番目 優先度レベルが低いサーバールール([ルール]リストで青色の線の 下に表示されるルール) クライアントでは、青色の線の下に表示されるサーバールールはクラ イアントルールの後に処理される 4 番目 クライアントのセキュリティの設定 5 番目 クライアントのアプリケーション固有の設定 クライアントでは、ユーザーはクライアントルールやセキュリティの設定を修正できますが、 サーバールールは修正できません。 警告: クライアントが混合制御の場合、ユーザーはすべてのトラフィックを許可するクライ アントルールを作成できます。このルールは青色の線の下に表示されるすべてのサー バールールに優先します。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.382 の 「ファイアウォールルールの順序の変更」 を参照してください。 p.204 の 「ユーザー制御レベルの変更」 を参照してください。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて ファイアウォールルール、ファイアウォール設定、侵入防止の処理順に ついて ファイアウォールルールには、優先度の最も高いものから最も低いものへ、またはルール リストの一番上から一番下までの連続した順序が付けられます。1 つ目のルールでパケッ トの処理方法が指定されていない場合は、2 つ目のルールで検査されます。この処理は ファイアウォールが一致するものを検出するまで継続します。一致するルールが見つか ると、ファイアウォールではそのルールによって指定された処理が行われます。それよりも 優先度の低いルールは検査されません。たとえば、最初のルールがすべてのトラフィック を遮断し、次のルールがすべてのトラフィックを許可する場合、クライアントはすべてのト ラフィックを遮断します。 排他的にルールの順序を変更できます。最も制限の厳しいルールが最初に評価され、 最も制限の緩いルールが最後に評価されます。たとえば、トラフィックを遮断するルール はルールリストの先頭の近くに配置します。リストの後ろにあるルールではトラフィックを許 可します。 ルールリストには青色の分割線が含まれます。この分割線は次の状況においてルールの 優先度を設定します。 ■ サブグループがルールを親グループから継承する場合 ■ クライアントを混合制御に設定するとファイアウォールはサーバールールとクライアン トルールの両方を処理する ルール、ファイアウォール設定、侵入防止設定がファイアウォールで処理される順序を 表 18-6 に示します。 表 18-6 処理順 優先度 設定 1 番目 カスタム IPS シグネチャ 2 番目 侵入防止の設定、トラフィックの設定、ステルスの設定 3 番目 組み込みルール 4 番目 ファイアウォールルール 5 番目 ポートスキャンチェック 6 番目 LiveUpdate でダウンロードした IPS シグネチャ p.382 の 「ファイアウォールルールの順序の変更」 を参照してください。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.363 の 「ファイアウォールのしくみ」 を参照してください。 p.415 の 「侵入防止の動作」 を参照してください。 379 380 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて 継承したファイアウォールルールについて サブグループのポリシーは親グループで有効なファイアウォールルールのみ継承できま す。ルールを継承した場合、それらのルールを無効にできますが修正はできません。新 しいルールは親グループのポリシーに追加されるため、継承先のポリシーに自動的に追 加されます。 継承したルールが[ルール]リストに表示される場合は、紫色で網掛けされます。青色の 線の上側では、継承したルールは作成したルールの上に追加されます。青色の線の下 側では、継承したルールは作成したルールの下に追加されます。 ファイアウォールポリシーはデフォルトルールも継承するため、サブグループのファイア ウォールポリシーは 2 つのデフォルトルールを持つことがあります。一方のデフォルトルー ルを削除すると便利です。 継承したルールを除去する場合は、削除するのではなく継承解除します。選択したルー ルではなく継承したすべてのルールを除去する必要があります。 ファイアウォールは、継承したファイアウォールルールを[ルール]リストで次のように処理 します。 青色の分割線の上側 管理者が作成したルールよりもポリシーが継承したルールが優先 されます。 青色の分割線の下側 ポリシーが継承したルールよりも管理者が作成したルールが優先 されます。 図 18-1 で、サブグループがルールを親グループから継承した場合に[ルール]リストで ルールがどのように順序付けられるかを示します。この例では、Sales グループが親グ ループです。Europe Sales グループは Sales グループから継承します。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて ファイアウォールルールが互いからいかに継承するかの例 図 18-1 Sales Europe Sales グループ Europe Sales Europe Sales グループ Sales ルール 1 ルール 1 優先 ルール 3 ルール 3 青色の線 青色の線 ルール 2 ルール 4 青色の線 ルール 4 優先 ルール 2 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.381 の 「親グループから継承したファイアウォールルールの追加」 を参照してください。 親グループから継承したファイアウォールルールの追加 親グループからルールを継承することで、ファイアウォールポリシーにファイアウォール ルールを追加できます。親グループからルールを継承するには、サブグループのポリシー が非共有ポリシーである必要があります。 メモ: グループがすべてのポリシーを親グループから継承する場合、このオプションは使 用できません。 親グループから継承したファイアウォールルールを追加するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブで、[親グループからファイアウォールルールを継承する]にチェック マークを付けます。 継承したルールを除去するには、[親グループからファイアウォールルールを継承 する]のチェックマークをはずします。 4 [OK]をクリックします。 p.239 の 「ポリシーの編集」 を参照してください。 381 382 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて p.380 の 「継承したファイアウォールルールについて」 を参照してください。 p.376 の 「ファイアウォールルールについて」 を参照してください。 ファイアウォールルールの順序の変更 ファイアウォールはファイアウォールルールのリストを上から順に処理します。ルールの順 序を変更することで、ファイアウォールによるファイアウォールルールの処理方法を決定 できます。 順序の変更は、現在選択している場所での順序にのみ影響します。 メモ: 保護を改善するには、最も制限の厳しいルールを最初に、最も制限の緩いルール を最後に配置します。 ファイアウォールルールの順序を変更するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックして、移動するルールを選 択します。 3 次のいずれかのタスクを行います。 4 ■ このルールを上のルールよりも前に処理するには、[上に移動]をクリックする ■ このルールを下のルールよりも後に処理するには、[下に移動]をクリックする [OK]をクリックします。 p.379 の 「ファイアウォールルール、ファイアウォール設定、侵入防止の処理順について」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 p.376 の 「ファイアウォールルールについて」 を参照してください。 ファイアウォールでのステートフルインスペクションの使い方 ファイアウォール保護は、現在の接続の追跡にステートフルインスペクションを使います。 ステートフルインスペクションは、送信元と送信先の IP アドレス、ポート、アプリケーショ ン、およびその他の接続情報を追跡します。クライアントは、ファイアウォールルールを検 査する前に、接続情報に基づいてトラフィックフローを決定します。 たとえば、ファイアウォールルールでコンピュータが Web サーバーに接続することが許 可されている場合、ファイアウォールは接続情報をログに記録します。サーバーが応答す ると、ファイアウォールは、Web サーバーからコンピュータに応答が送信されるものと判断 します。ルールベースを検査することなく、接続を開始したコンピュータに Web サーバー 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて のトラフィックが送信されることを許可します。ファイアウォールが接続をログに記録する前 に、ルールが最初のアウトバウンドトラフィックを許可する必要があります。 ステートフルインスペクションにより、新しいルールを作成する必要性がなくなります。1 方 向で開始されるトラフィックについては、両方向のトラフィックを許可するルールを作成す る必要はありません。一方向に開始されるクライアントのトラフィックには、Telnet(ポート 23)、HTTP(ポート 80)、HTTPS(ポート 443)があります。クライアントコンピュータは、こ のアウトバウンドトラフィックを開始します。これらのプロトコルに対してアウトバウンドトラ フィックを許可するルールを作成します。ステートフルインスペクションは、自動的にアウト バウンドトラフィックに応答するリターントラフィックを可能にします。ファイアウォールは事 実上ステートフルであるため、特定のパケットの性質ではなく、接続を開始するルールを 作成すれば済みます。許可した接続に属するすべてのパケットはそれと同じ接続の一部 として暗黙に許可されます。 ステートフルインスペクションは TCP トラフィックを方向付けるすべてのルールをサポート します。 ステートフルインスペクションは、ICMP トラフィックをフィルタ処理するルールをサポートし ません。ICMP トラフィックの場合は、両方向のトラフィックを許可するルールを作成する 必要があります。たとえば、クライアントが ping コマンドを使い応答を受信するには、両 方向の ICMP トラフィックを許可するルールを作成する必要があります。 p.363 の 「ファイアウォールのしくみ」 を参照してください。 p.376 の 「ファイアウォールルールについて」 を参照してください。 ファイアウォールルールのアプリケーショントリガについて アプリケーションがトラフィックを許可するルールで定義した唯一のトリガである場合には、 ファイアウォールはそのアプリケーションが任意のネットワーク操作を実行することを許可 します。重要なのはアプリケーション自体でありアプリケーションが実行するネットワーク操 作ではありません。たとえば、Internet Explorer を許可してその他のトリガを定義しない とします。ユーザーは HTTP、HTTPS、FTP、Gopher、Web ブラウザがサポートするそ の他の任意のプロトコルを使うリモートサイトにアクセスできます。管理者は追加のトリガを 定義して通信を許可する特定のネットワークプロトコルとホストを記述できます。 アプリケーションが複数のプロトコルを使えるためアプリケーションベースのルールはトラ ブルシューティングが困難な場合があります。たとえば、ファイアウォールが FTP を遮断 するルールより前に Internet Explorer を許可するルールを処理した場合には、ユー ザーは FTP と通信できます。ユーザーはブラウザに FTP ベースの URL(たとえば ftp://ftp.symantec.com)を入力できます。 たとえば、Internet Explorer を許可し、その他のトリガを定義しない場合を考えます。コ ンピュータユーザーは HTTP、HTTPS、FTP、Gopher、Web ブラウザがサポートするそ の他の任意のプロトコルを使うリモートサイトにアクセスできます。管理者は追加のトリガを 定義して通信を許可するネットワークプロトコルとホストを記述できます。 383 384 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて アプリケーションルールはトラフィックをネットワークレベルで制御するためには使わない でください。たとえば、Internet Explorer の使用を遮断または制限するルールはユー ザーが別の Web ブラウザを使っている場合には効果がありません。その他の Web ブラ ウザが生成するトラフィックは Internet Explorer ルールを除くその他すべてのルールと 比較されます。アプリケーションベースのルールはトラフィックを送受信するアプリケーショ ンを遮断するようにルールを設定した場合に、より効果的です。 p.384 の 「アプリケーションについての情報の定義」 を参照してください。 p.387 の 「アプリケーションへのアクセスが遮断されていることに関するユーザーへの通 知」 を参照してください。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.385 の 「攻撃を受けている可能性のあるネットワークアプリケーションの遮断」 を参照し てください。 アプリケーションについての情報の定義 クライアントで動作するアプリケーションに関する情報を定義し、この情報をファイアウォー ルルールに含めることができます。 次の方法でアプリケーションの特性を定義できます。 ■ 手動で情報を入力する。 p.384 の 「アプリケーションについての情報を手動で定義するには」 を参照してくださ い。 ■ 学習済みアプリケーションのリストでアプリケーションを検索する。 学習済みアプリケーションリストのアプリケーションはネットワーク上のクライアントコン ピュータで動作しているアプリケーションです。 p.385 の 「学習済みアプリケーションリストからアプリケーションを検索するには」 を参 照してください。 アプリケーションについての情報を手動で定義するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブのルールリストで、[アプリケーション]フィールドを右クリックし、[編集] をクリックします。 4 [アプリケーションリスト]ダイアログボックスで、[追加]をクリックします。 5 [アプリケーションの追加]ダイアログボックスで、次の 1 つまたは複数のフィールドに 入力します。 ■ ファイル名 ■ 説明 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて ■ サイズ ■ 前回の修正 ■ ファイルフィンガープリント 6 [OK]をクリックします。 7 [OK]をクリックします。 学習済みアプリケーションリストからアプリケーションを検索するには 1 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 2 [ルール]タブでルールを選択し、[アプリケーション]フィールドを右クリックし、[編 集]をクリックします。 3 [アプリケーションリスト]ダイアログボックスで、[追加元]をクリックします。 4 [アプリケーションの検索]ダイアログボックスで、アプリケーションを検索します。 5 [クエリー結果]表で[アプリケーション]リストにアプリケーションを追加するには、ア プリケーションを選択し、[追加]、[OK]の順にクリックします。 6 [閉じる]をクリックします。 7 [OK]をクリックします。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 p.383 の 「ファイアウォールルールのアプリケーショントリガについて」 を参照してください。 攻撃を受けている可能性のあるネットワークアプリケーションの遮 断 ネットワークアプリケーション監視はアプリケーションの動作をセキュリティログ内で追跡し ます。アプリケーションのコンテンツが頻繁に修正される場合は、トロイの木馬によってア プリケーションが攻撃されてクライアントコンピュータが安全でないと考えられます。コンテ ンツの修正頻度が低い場合にはパッチがインストールされてクライアントコンピュータが安 全であると考えられます。この情報を使ってアプリケーションを許可または遮断するファイ アウォールルールを作成できます。 クライアントコンピュータ上で動作しネットワークに接続する任意のアプリケーションを検出 して監視するようにクライアントを設定できます。ネットワークアプリケーションはトラフィック を送受信します。クライアントはアプリケーションの内容が変更されているかどうかを検出 します。 トロイの木馬によってアプリケーションが攻撃された疑いがある場合は、ネットワークアプ リケーション監視を使ってアプリケーションを遮断するようにクライアントを設定できます。 また、アプリケーションを許可するか遮断するかをユーザーに確認するようにクライアント を設定することもできます。 385 386 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて アプリケーションのコンテンツは次の理由で変化します。 ■ トロイの木馬がアプリケーションを攻撃した ■ アプリケーションが新しいバージョンまたは更新プログラムで更新された クライアントがアプリケーションを監視しないようにアプリケーションをリストに追加できま す。アプリケーションのうち、トロイの木馬攻撃の危険はないと考えられ、パッチが頻繁か つ自動的に更新されるものは除外すると便利です。 ウイルス対策やスパイウェア対策によってクライアントコンピュータが適切に保護されてい ると確信があればネットワークアプリケーション監視を無効にできます。また、ネットワーク アプリケーションを許可するか遮断するかをユーザーに確認する通知の数を減らすことも できます。 攻撃を受けている可能性のあるネットワークアプリケーションを遮断するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]でグループを選択し、[ポリシー]タブをクリックします。 3 [ポリシー]タブの[場所に依存しないポリシーと設定]で、[ネットワークアプリケーショ ン監視]をクリックします。 4 [グループ名 のネットワークアプリケーション監視]ダイアログボックスで、[ネットワー クアプリケーション監視を有効にする]をクリックします。 5 [アプリケーション変更を検出したとき]ドロップダウンリストで、次のように、クライアン ト上で動作するアプリケーションに対してファイアウォールが行う処理を選択します。 確認 アプリケーションを許可するか遮断するかをユーザーに確 認します。 トラフィックを遮断する アプリケーションの実行を遮断します。 許可とログ アプリケーションの実行を許可してセキュリティログに情報を 記録します。 ファイアウォールは修正されたアプリケーションに対しての みこの処理を行います。 6 [確認]を選択した場合は、[追加テキスト]をクリックします。 7 [追加テキスト]ダイアログボックスで、標準メッセージの下に表示するテキストを入力 し、[OK]をクリックします。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて 8 アプリケーションを監視対象から除外するには、[監視外アプリケーションリスト]で、 次のいずれかのタスクを行います。 アプリケーションを手動で定義 するには [追加]をクリックし、1 つ以上のフィールドに入力して、[OK] をクリックします。 学習済みアプリケーションリスト [追加元]をクリックします。 からアプリケーションを定義する 学習済みアプリケーションリストではネットワークに接続する には アプリケーションと接続しないアプリケーションの両方が監 視されます。そのため、学習済みアプリケーションリストから はネットワークに接続するアプリケーションだけを選択する 必要があります。[監視外アプリケーションリスト]にアプリケー ションを追加した後で、アプリケーションを有効または無効 にしたり、編集、削除を行うことができます。 9 有効にするアプリケーションの横にあるボックスにチェックマークを付けます。無効に するにはチェックマークをはずします。 10 [OK]をクリックします。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.387 の 「アプリケーションへのアクセスが遮断されていることに関するユーザーへの通 知」 を参照してください。 p.383 の 「ファイアウォールルールのアプリケーショントリガについて」 を参照してください。 p.255 の 「コンピュータで実行されるアプリケーションに関する情報の検索」 を参照してく ださい。 p.254 の 「クライアントコンピュータで実行されるアプリケーションに関する情報を収集する ための管理サーバーの設定」 を参照してください。 アプリケーションへのアクセスが遮断されていることに関するユー ザーへの通知 アクセスしようとしているアプリケーションが遮断されていることを知らせる通知を、ユー ザーに送信できます。この通知は、ユーザーのコンピュータに表示されます。 メモ: 非常に多くの通知を有効にすると、ユーザーを困らせるだけでなく、不安にさせてし まう可能性があります。通知を有効にするときには慎重にしてください。 アプリケーションへのアクセスが遮断されていることについてユーザーに通知するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 387 388 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて 3 [通知]タブで、以下のオプションのうち適用するものにチェックマークを付けます。 クライアントがアプリケーションを クライアントがアプリケーションを遮断したときに通知が表示 遮断したときにコンピュータの画 されます。 面に通知を表示する 通知にテキストを追加する [追加テキストの設定]をクリックし、通知をカスタマイズしま す。 通知テキストのカスタマイズは省略可能です。 4 [OK]をクリックします。 p.361 の 「ファイアウォール保護の管理」 を参照してください。 p.367 の 「ファイアウォールポリシーの有効化および無効化」 を参照してください。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.383 の 「ファイアウォールルールのアプリケーショントリガについて」 を参照してください。 p.385 の 「攻撃を受けている可能性のあるネットワークアプリケーションの遮断」 を参照し てください。 ファイアウォールルールのホストトリガについて ホストトリガを定義する場合は、記述するネットワーク接続の両端のホストを指定します。 ホスト間の関係は、従来からネットワーク接続の送信元または送信先と呼ばれます。 ホストの関係は次のいずれかの方法で定義できます。 送信元と送信先 送信元ホストと送信先ホストはトラフィックの方向によって決まります。 ある場合にはローカルのクライアントコンピュータが送信元になり、別 の場合にはリモートのコンピュータが送信元になります。 送信元と送信先の関係はネットワークベースのファイアウォールでよ り一般的に使われます。 ローカルとリモート ローカルホストは常にローカルのクライアントコンピュータであり、リモー トホストは常にネットワークの別の場所にあるリモートのコンピュータで す。このホストの関係の記述は、トラフィックの方向と無関係です。 ローカルとリモートの関係はホストベースのファイアウォールでより一 般的に使われ、トラフィックも簡単に観察できます。 管理者は複数の送信元ホストと送信先ホストを定義できます。 トラフィックの方向を基準とした送信元の関係と送信先の関係を図 18-2 に示します。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて 送信元と送信先のホスト間の関係 図 18-2 送信元 送信先 ` HTTP Symantec.com SEP クライアント 送信先 ` 送信元 RDP SEP クライアント ` 他のクライアント トラフィックの方向を基準としたローカルホストとリモートホストの関係を図 18-3 に示しま す。 ローカルとリモートのホスト間の関係 図 18-3 ` HTTP Symantec.com SEP クライアント ` RDP ` SEP クライアント 関係は、文の次の種類によって評価されます。 接続の両端で定義するホスト(送信元と送信先との間) OR 文 選択したホスト AND 文 389 390 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて たとえば、単一のローカルホストと複数のリモートホストを定義するルールを考えます。ファ イアウォールがパケットを診断するときに、ローカルホストは該当する IP アドレスに一致す る必要があります。逆に、そのアドレスの反対側は任意のリモートホストと一致する場合が あります。たとえば、ローカルホストと Symantec.com、Yahoo.com、Google.com との HTTP 通信を許可するルールを定義できます。単一のルールとして定義しても 3 つの別 個のルールを定義しても同じです。 p.390 の 「ホストグループの追加」 を参照してください。 p.402 の 「特定のサーバーとの間で送受信されるトラフィックの遮断」 を参照してください。 p.376 の 「ファイアウォールルールについて」 を参照してください。 ホストグループの追加 ホストグループは DNS ドメイン名、DNS ホスト名、IP アドレス、IP アドレス範囲、MAC ア ドレス、サブネットを 1 つの名前にグループ化したものです。ホストグループの目的はホ ストのアドレスと名前を再入力しなくても済むようにすることです。たとえば、複数の IP ア ドレスをファイアウォールルールに 1 つずつ追加することは可能です。しかし、複数の IP アドレスをホストグループに追加することで、グループをファイアウォールルールに追加で きるようになります。 ホストグループを使う場合には、グループを使う場所を記述する必要があります。後でホ ストグループを削除することにした場合は、まずそのホストグループを参照しているすべ てのファイアウォールルールからグループを削除する必要があります。 ホストグループを追加すると、[ホスト]リストの末尾にそのグループが表示されます。[ホス ト]リストにアクセスするにはファイアウォールルールの[ホスト]フィールドからアクセスしま す。 ホストグループを追加するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシーコンポーネント]を展開し、[ホストグループ]をクリックします。 3 [タスク]で、[ホストグループの追加]をクリックします。 4 [ホストグループ]ダイアログボックスで、名前を入力し、[追加]をクリックします。 5 [ホスト]ダイアログボックスの[種類]ドロップダウンリストで、ホストを選択します。 6 それぞれのホストの種類に対して適切な情報を入力します。 7 [OK]をクリックします。 8 必要に応じて、さらにホストを追加します。 9 [OK]をクリックします。 p.388 の 「ファイアウォールルールのホストトリガについて」 を参照してください。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて 場所に基づいた DNS クエリーの定義 特定の場所で DNS クエリーをどれだけの頻度で実行するかを定義できます。この機能 を使うと、1 つの場所が他の場所よりも頻繁に DNS サーバーをクエリーするように設定で きます。 たとえば、VPN トラフィックを除き、企業ネットワークの外部のトラフィックをすべて遮断す るポリシーがあると仮定します。そして、ユーザーが出張し、ホテルのネットワークから VPN 経由で会社のネットワークにアクセスする必要があるとします。DNS 解決を使う、VPN 接 続用のポリシーを作成できます。Symantec Endpoint Protection は、この場所に切り替 わるまで 5 秒ごとに DNS クエリーを送信し続けます。このようにして、ユーザーはネット ワークにもっとすばやくアクセスできます。 注意: この設定を非常に低い値に設定する場合は十分注意してください。システムのす べてが、たとえば 5 秒ごとにサーバーにアクセスすると、DNS サーバーを停止させるお それがあります。 場所に基づいて DNS クエリーを定義するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]の下で、この機能を適用するグループを選択します。 3 [タスク]で、[場所の管理]をクリックします。 4 [DNS クエリーループ]にチェックマークが付いていることを確認します。 5 時間の設定と増分をクリックし、必要に応じて変更します。 値は秒、分、時間の単位で設定できます。 デフォルト値は 30 分です。 6 [OK]をクリックします。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.388 の 「ファイアウォールルールのホストトリガについて」 を参照してください。 ファイアウォールルールのネットワークサービストリガについて ネットワークサービスを利用することで、ネットワークに接続するコンピュータはメッセージ の送受信、ファイルの共有、印刷を行うことができます。ネットワークサービスは 1 つ以上 のプロトコルやポートを使って特定の種類のトラフィックを受け渡します。たとえば、HTTP サービスは TCP プロトコルのポート 80 と 443 を使います。管理者はネットワークサービ スを許可または遮断するファイアウォールルールを作成できます。ネットワークサービスト リガは記述するネットワークトラフィックに関して重要な 1 つ以上のネットワークプロトコル を識別します。 391 392 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて TCP ベースまたは UDP ベースのサービストリガを定義するときには、示されているネット ワーク接続の両側でポートを識別します。通常、ポートはネットワーク接続の送信元また は送信先と見なされています。 p.392 の 「デフォルトのネットワークサービスリストへのネットワークサービスの追加」 を参照 してください。 p.405 の 「ネットワーク内のファイルおよびプリンタを参照できるようにするクライアントの許 可」 を参照してください。 p.376 の 「ファイアウォールルールについて」 を参照してください。 デフォルトのネットワークサービスリストへのネットワークサービス の追加 ネットワークサービスを利用することで、ネットワークに接続するコンピュータはメッセージ の送受信、ファイルの共有、印刷を行うことができます。管理者はネットワークサービスを 許可または遮断するファイアウォールルールを作成できます。 ネットワークサービスリストにより、ネットワークサービスを遮断または許可するために作成 するファイアウォールルールの、プロトコルとポートを再入力する必要がなくなります。ファ イアウォールルールを作成するときは、よく使うネットワークサービスのデフォルトリストから ネットワークサービスを選択できます。また、ネットワークサービスをデフォルトリストに追加 できます。ただし、管理者はプロトコルの種類やそれが使われるポートに精通している必 要があります。 メモ: IPv4 と IPv6 はインターネットで使われる 2 つのネットワーク層プロトコルです。ファ イアウォールでは、IPv4 を通過する攻撃は遮断されますが、IPv6 を通過する攻撃は遮 断されません。Microsoft Vista が動作するコンピュータにクライアントをインストールす ると、イーサネットプロトコルの種類が IPv6 のトラフィックを遮断する複数のデフォルトルー ルが[ルール]リストに含まれます。デフォルトのルールを削除する場合は、IPv6 を遮断 するルールを作成する必要があります。 メモ: カスタムネットワークサービスはファイアウォールルールを通して追加できます。しか し、そのネットワークサービスはデフォルトリストには追加されません。また、カスタムのネッ トワークサービスには他のルールからはアクセスできません。 デフォルトのネットワークサービスリストにネットワークサービスを追加するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシーコンポーネント]を展開し、[ネットワークサービス]をクリックします。 3 [タスク]で、[ネットワークサービスの追加]をクリックします。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて 4 [ネットワークサービス]ダイアログボックスで、サービスの名前を入力し、[追加]をク リックします。 5 [プロトコル]ドロップダウンリストからプロトコルを選択します。 選択したプロトコルに基づいて、オプションが変化します。 6 適切なフィールドに情報を入力し、[OK]をクリックします。 7 必要に応じて、1 つ以上のプロトコルを追加します。 8 [OK]をクリックします。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.391 の 「ファイアウォールルールのネットワークサービストリガについて」 を参照してくだ さい。 p.404 の 「ネットワークコンピュータがメッセージ、ファイル、印刷を共有できるかどうかの制 御」 を参照してください。 p.405 の 「ネットワーク内のファイルおよびプリンタを参照できるようにするクライアントの許 可」 を参照してください。 ファイアウォールルールのネットワークアダプタトリガについて ネットワークアダプタを通過する(送信または受信される)トラフィックを遮断または許可す るファイアウォールルールを定義できます。 特定の種類のアダプタを定義する場合には、そのアダプタをどう使うか考慮してください。 たとえば、ルールがイーサネットアダプタから送信されるアウトバウンド HTTP トラフィック を許可する場合には、同じ種類のすべてのインストール済みアダプタを経由する HTTP を許可します。唯一の例外はローカルホストアドレスも指定した場合です。クライアントコ ンピュータは複数の NIC を装備したサーバーと複数のネットワークセグメントをブリッジす るワークステーションを使う場合があります。特定のアダプタに関連するトラフィックを制御 するには、アダプタ自体ではなく各セグメントのアドレス方式を使う必要があります。 ネットワークアダプタリストにより、ファイアウォールルールのアダプタの種類を再入力する 必要がなくなります。その代わり、ファイアウォールルールを作成するときに、一般に使わ れるネットワークアダプタのデフォルトリストからネットワークアダプタを選択できます。ま た、ネットワークアダプタをデフォルトリストに追加できます。 ファイアウォールポリシーとルール全体で共有されるデフォルトリストからネットワークアダ プタを選択できます。[ポリシーコンポーネント]リスト内のデフォルトリストには最も一般的 なアダプタが含まれています。一般的なアダプタとして含まれているのは、VPN アダプ タ、イーサネットアダプタ、無線アダプタ、Cisco、Nortel、および Enterasys 製のアダプ タなどです。 393 394 第 18 章 ファイアウォール保護の管理 ファイアウォールルールについて メモ: カスタムネットワークアダプタはファイアウォールルールから追加できます。しかし、 そのネットワークアダプタはデフォルトリストには追加されません。また、カスタムネットワー クアダプタには他のルールからはアクセスできません。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.394 の 「ネットワークアダプタリストへのカスタムネットワークアダプタの追加」 を参照して ください。 p.407 の 「ネットワークアダプタを通過するトラフィックの制御」 を参照してください。 ネットワークアダプタリストへのカスタムネットワークアダプタの追 加 ネットワークアダプタごとに個別のファイアウォールルールを適用できます。たとえば、VPN 経由のトラフィックをオフィスでは遮断し、ホームでは遮断したくない場合に便利です。 ファイアウォールポリシーとルール全体で共有されるデフォルトリストからネットワークアダ プタを選択できます。[ポリシーコンポーネント]リスト内のデフォルトリストには最も一般的 なアダプタが含まれています。デフォルトリストを使うと、作成するすべてのルールで各ネッ トワークアダプタを再入力する必要がありません。 ネットワークアダプタリストにより、ファイアウォールルールのアダプタを再入力する必要が なくなります。ファイアウォールルールを作成するときは、よく使うネットワークアダプタのデ フォルトリストからネットワークアダプタを選択できます。また、ネットワークアダプタをデフォ ルトリストに追加できます。 メモ: カスタムネットワークアダプタはファイアウォールルールから追加できます。しかし、 そのネットワークアダプタはデフォルトリストには追加されません。また、カスタムネットワー クアダプタには他のルールからはアクセスできません。 ネットワークアダプタリストにカスタムのネットワークアダプタを追加するには 1 コンソールで、[ポリシー]、[ポリシーコンポーネント]、[ネットワークアダプタ]の順に 選択します。 2 [タスク]で、[ネットワークアダプタの追加]をクリックします。 3 [ネットワークアダプタ]ダイアログボックスの[アダプタの種類]ドロップダウンリストで、 アダプタを選択します。 4 [アダプタ名]フィールドに、省略可能なオプションとして説明を入力します。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 5 [アダプタ ID]テキストボックスに、アダプタのブランド名を入力します(大文字と小文 字は区別されます)。 アダプタのブランド名を知るには、クライアント上でコマンドラインを開き、次のコマン ドを入力します。 ipconfig/all 6 [OK]をクリックします。 p.376 の 「ファイアウォールルールについて」 を参照してください。 p.393 の 「ファイアウォールルールのネットワークアダプタトリガについて」 を参照してくだ さい。 p.407 の 「ネットワークアダプタを通過するトラフィックの制御」 を参照してください。 ファイアウォールルールの設定 表 18-7 では、新しいファイアウォールルールを設定する方法を説明します。 ファイアウォールルールを設定する方法 表 18-7 手順 タスク 説明 1 新しいファイア ウォールルール を追加する コンソールからいくつかの方法を使って新しいファイアウォールルール を追加できます。1 つの方法では、デフォルト設定を適用した空白の ルールを追加できます。その他の方法では、新しいルールの作成手 順をガイドするウィザードが表示されます。 p.396 の 「新しいファイアウォールルールの追加」 を参照してください。 ファイアウォールルールを追加できるもう 1 つの方法は、別のファイア ウォールポリシーから既存のファイアウォールルールをエクスポートす ることです。その後はファイアウォールルールと設定をインポートできる ので、それらを再作成する必要がありません。 p.397 の 「ファイアウォールルールのインポートとエクスポート」 を参照 してください。 作成するルールに似ている既存のルールをコピーすると、新しいファ イアウォールルールを作成する時間を節約できます。その後、コピー したルールを修正して、必要を満たせます。 p.398 の 「ファイアウォールルールのコピーと貼り付け」 を参照してくだ さい。 395 396 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 手順 タスク 説明 2 (省略可能)ファ 新しいルールを作成した後、またはデフォルトのルールをカスタマイズ イアウォール する場合は、ファイアウォールルールの任意の基準を修正できます。 ルールの基準を p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 カスタマイズしま す。 p.376 の 「ファイアウォールルールについて」 を参照してください。 新しいファイアウォールルールの追加 新しいファイアウォールルールは、次のいずれかの方法で作成できます。 空白ルール 空白ルールはすべてのトラフィックを許可します。 p.396 の 「新しい空白のファイアウォールルールを追加するには」 を参照し てください。 ファイアウォールルー ファイアウォールルールの追加ウィザードでルールを追加する場合は、必 ルの追加ウィザード ずルールを設定してください。このウィザードでは、複数の基準を持つ新し いルールは設定しません。 p.397 の 「ウィザードを使って新しいファイアウォールルールを追加するに は」 を参照してください。 可能な限りインバウンドとアウトバウンドの両方のトラフィックをルールで指定してください。 HTTP などのトラフィックにはインバウンドルールを作成する必要はありません。Symantec Endpoint Protection クライアントは TCP トラフィックにステートフルインスペクションを使 います。そのため、クライアントが開始するリターントラフィックをフィルタ処理するルール を必要としません。 新しいファイアウォールルールを作成すると、自動的に有効になります。コンピュータまた はアプリケーションに対する特定のアクセスを許可する必要がある場合はファイアウォー ルルールを無効にできます。ルールは継承したすべてのポリシーについて無効になりま す。 ルールが共有ポリシーの場合にルールはすべての場所についても無効になり、場所固 有のポリシーの場合には 1 つの場所についてのみ無効になります。 メモ: ファイアウォールがルールを処理するにはルールを有効にする必要があります。 新しい空白のファイアウォールルールを追加するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 3 [ルール]タブの[ルール]リストで、[空白ルールの追加]をクリックします。 4 オプションで、必要に応じてファイアウォールルール基準をカスタマイズできます。 5 ルールの設定を完了したら、[OK]をクリックします。 ウィザードを使って新しいファイアウォールルールを追加するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブの[ルール]リストで、[ルールの追加]をクリックします。 4 [ファイアウォールルールの追加ウィザード]で、[次へ]をクリックします。 5 [ルールの種類の選択]パネルで、いずれかの種類のルールを選択します。 6 [次へ]をクリックします。 7 各パネルにデータを入力して、選択した種類のルールを作成します。 8 アプリケーションとホストについては、[さらに追加]をクリックしてアプリケーションと サービスをさらに追加します。 9 完了したら、[完了]をクリックします。 10 オプションで、必要に応じてファイアウォールルール基準をカスタマイズできます。 11 ルールの設定を完了したら、[OK]をクリックします。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 p.382 の 「ファイアウォールでのステートフルインスペクションの使い方」 を参照してくださ い。 ファイアウォールルールのインポートとエクスポート ファイアウォールルールと設定は別のファイアウォールポリシーからエクスポートしてイン ポートできるため、ルールや設定を再作成する必要はありません。たとえば、1 つのポリ シーから別のポリシーにルールセットの一部をインポートできます。ルールをインポートす るには、まずルールを .dat ファイルにエクスポートしてそのファイルにアクセスできるよう にする必要があります。 ルールは親ポリシーに青色の線を基準にして表示される順序と同じ順序で追加されま す。その後でルールの処理順を変更できます。 ファイアウォールルールをエクスポートするには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 397 398 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 3 [ルール]リストで、エクスポートするルールを選択して右クリックし、[エクスポート]を クリックします。 4 [ポリシーのエクスポート]ダイアログボックスで、.dat ファイルを保存するディレクトリ を検索してファイル名を入力し、[エクスポート]をクリックします。 ファイアウォールルールをインポートするには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 ルールリストを右クリックして、[インポート]をクリックします。 4 [ポリシーのインポート]ダイアログボックスで、インポートするファイアウォールルール を含む .dat ファイルを検索し、[インポート]をクリックします。 5 [入力]ダイアログボックスで、ポリシーの新しい名前を入力して[OK]をクリックしま す。 6 [OK]をクリックします。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 p.379 の 「ファイアウォールルール、ファイアウォール設定、侵入防止の処理順について」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 ファイアウォールルールのコピーと貼り付け 作成したい新しいルールに類似する既存のルールをコピーすることによって、新しいファ イアウォールルールの作成にかかる時間を削減します。その後、コピーしたルールを必 要に応じて修正できます。 ルールを同じポリシーまたは別のポリシーからコピーして貼り付けることができます。 ファイアウォールルールのコピーと貼り付けを行うには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブで、コピーするルールを右クリックし、[ルールのコピー]をクリックしま す。 4 ルールを貼り付ける行を右クリックし、[ルールの貼り付け]をクリックします。 5 [OK]をクリックします。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 p.239 の 「ポリシーの編集」 を参照してください。 ファイアウォールルールのカスタマイズ 新しいファイアウォールポリシーを作成すると、そのポリシーにはいくつかのデフォルトルー ルが含まれます。必要に応じて、1 つまたは複数のルールコンポーネントを修正できま す。 ファイアウォールルールのコンポーネントは次のとおりです: 処理 処理パラメータはファイアウォールが正常にルールと一致した場合に行う処理を 指定します。ルールが一致して受信したパケットに対する応答としてそのルール を選択した場合には、ファイアウォールはすべての処理を実行します。ファイア ウォールがパケットを許可するか遮断するか、またログに記録するかしないかを 指定します。ファイアウォールがトラフィックを許可すると、ルールが指定したトラ フィックはネットワークにアクセスできます。ファイアウォールがトラフィックを遮断 する場合には、ルールが指定したトラフィックがネットワークにアクセスしないよう にそのトラフィックを遮断します。 処理は次のとおりです: 許可 ファイアウォールはネットワーク接続を許可します。 ■ 遮断 ファイアウォールはネットワーク接続を遮断します。 ■ 399 400 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 トリガ ファイアウォールがルールを評価するときに、ルールを適用するためにはすべて のトリガが true になる必要があります。 現在のパケットに関していずれかのトリガ が true でない場合、ファイアウォールはルールを適用できません。複数のトリガ 定義を組み合わせてより複雑なルール(たとえば特定の送信先アドレスに関して 特定のプロトコルを識別するルール)を作成できます。 トリガは次のとおりです: アプリケーション トラフィックを許可するルールで、アプリケーションのみをトリガに定義した場 合、ファイアウォールはアプリケーションにネットワーク操作の実行を許可しま す。重要なのはアプリケーション自体でありアプリケーションが実行するネット ワーク操作ではありません。管理者は追加のトリガを定義して通信を許可す る特定のネットワークプロトコルとホストを記述できます。 p.383 の 「ファイアウォールルールのアプリケーショントリガについて」 を参照 してください。 ■ ホスト ホストトリガを定義する場合は、記述するネットワーク接続の両端のホストを指 定します。 ホスト間の関係は、従来からネットワーク接続の送信元または送信先と呼ば れます。 p.388 の 「ファイアウォールルールのホストトリガについて」 を参照してくださ い。 ■ ネットワークサービス ネットワークサービストリガは記述するトラフィックに関して重要な 1 つ以上の ネットワークプロトコルを識別します。 ローカルホストコンピュータには常にローカルポートがあり、リモートコンピュー タには常にリモートポートがあります。 このポートの関係の記述は、トラフィッ クの方向と無関係です。 p.391 の 「ファイアウォールルールのネットワークサービストリガについて」 を 参照してください。 ■ ネットワークアダプタ ネットワークアダプタトリガを定義すると、ルールは指定した種類のアダプタを 使用して送受信されたトラフィックのみに適用されます。任意のアダプタ、ま たは現在クライアントコンピュータに関連付けられているアダプタを指定でき ます。 p.393 の 「ファイアウォールルールのネットワークアダプタトリガについて」 を参 照してください。 ■ 条件 ルール条件は、ルールのスケジュールとスクリーンセーバーの状態から構成され ます。 条件パラメータはネットワーク接続に関するパラメータではありません。 条件パラ メータは、ルールがアクティブな状態を決定します。 スケジュールを設定したり、 ルールをアクティブまたは非アクティブと見なすスクリーンセーバーの状態を定 義します。 条件パラメータは省略可能で、定義しなくてもかまいません。ファイア ウォールは非アクティブなルールを評価しません。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 通知 ログ設定では、ルールに対して設定した基準にトラフィックイベントが一致したと きに、サーバーがログエントリを作成するか、電子メールメッセージを送信するか を指定できます。 重大度の設定では、ルール違反の重大度を指定できます。 ファイアウォールルールのカスタマイズ 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブの[ルール]リストにある[有効]フィールドで、ルールを有効にする場 合は、ボックスにチェックマークが付いていることを確認します。ルールを無効にす る場合は、ボックスのチェックマークをはずします。 Symantec Endpoint Protection は、有効にしたルールのみを処理します。デフォ ルトでは、すべてのルールが有効になっています。 4 [名前]フィールドをダブルクリックし、ファイアウォールルールの重複しない名前を入 力します。 5 [処理]フィールドを右クリックし、トラフィックがトリガされた場合に Symantec Endpoint Protection が行う処理を選択します。 6 [アプリケーション]フィールドで、アプリケーションを定義します。 p.384 の 「アプリケーションについての情報の定義」 を参照してください。 7 [ホスト]フィールドで、ホストトリガを指定します。 p.402 の 「特定のサーバーとの間で送受信されるトラフィックの遮断」 を参照してくだ さい。 8 ホストトリガの指定以外に、ローカルサブネットへのアクセスを許可するトラフィックも 指定できます。 p.403 の 「ローカルサブネットへの特定トラフィックのみの許可」 を参照してください。 9 [サービス]フィールドで、ネットワークサービストリガを指定します。 p.404 の 「ネットワークコンピュータがメッセージ、ファイル、印刷を共有できるかどうか の制御」 を参照してください。 10 [ログ]フィールドで、このファイアウォールルールに違反したときに、Symantec Endpoint Protection に電子メールメッセージを送信さするタイミングを指定します。 p.406 の 「ファイアウォールルール違反の通知の設定」 を参照してください。 11 [重大度]フィールドを右クリックして、ルール違反の重大度を選択します。 12 [アダプタ]列で、ルールのアダプタトリガを指定します。 p.407 の 「ネットワークアダプタを通過するトラフィックの制御」 を参照してください。 401 402 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 13 [時間]列で、このルールがアクティブである期間を指定します。 p.408 の 「ファイアウォールルールをアクティブにする期間のスケジュール設定」 を参 照してください。 14 [スクリーンセーバー]フィールドを右クリックし、ルールがアクティブになるために必 要なクライアントコンピュータのスクリーンセーバーの状態を指定します。 [次の場所に作成しました]フィールドは編集できません。ポリシーが共有される場 合、「共有」の語が表示されます。ポリシーが共有されていない場合、フィールドには 非共有ポリシーが割り当てられているグループの名前が表示されます。 15 [説明]フィールドを右クリックし、[編集]をクリックし、ルールの説明を入力して(省略 可能)、[OK]をクリックします。 16 ルールの設定を完了したら、[OK]をクリックします。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 p.376 の 「ファイアウォールルールについて」 を参照してください。 特定のサーバーとの間で送受信されるトラフィックの遮断 特定のサーバーとの間で送受信されるトラフィックの遮断では、ドメイン名やホスト名では なく IP アドレスでトラフィックを遮断できます。そうしないと、ユーザーがホスト名に対応す る IP アドレスでアクセスできる場合があります。 特定のサーバーとの間で送受信されるトラフィックを遮断するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブの[ルール]リストで、編集するルールを選択し、[ホスト]フィールドを 右クリックして、[編集]をクリックします。 4 [ホストリスト]ダイアログボックスで、次のいずれかの処理を行います。 5 ■ [送信元/送信先]をクリックする ■ [ローカル/リモート]をクリックする 次のいずれかのタスクを行います。 ホストの種類を選択す 次のすべてのタスクを実行します。 るには、[種類]ドロッ ■ [送信元と送信先]または[ローカルとリモート]テーブルで、[追 プダウンリストから入力 加]をクリックします。 します。 ■ [ホスト]ダイアログボックスの[種類]ドロップダウンリストからホスト の種類を選択し、各ホストの種類に適切な情報を入力します。 ■ [OK]をクリックします。 作成したホストは自動的に有効になります。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 ホストグループを選択 [ホストリスト]ダイアログボックスで、次のいずれかの処理を行います。 するには ■ [送信元/送信先]をクリックする ■ [ローカル/リモート]をクリックする 続いて、[ホストリスト]ダイアログボックスで、ルールに追加するすべ てのホストグループの[有効]列のボックスにチェックマークを付けま す。 6 必要に応じて、さらにホストを追加します。 7 [OK]をクリックして、[ルール]リストに戻ります。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 p.390 の 「ホストグループの追加」 を参照してください。 ローカルサブネットへの特定トラフィックのみの許可 ローカルサブネットに向かう特定のトラフィックのみを許可するファイアウォールルールを 作成できます。このファイアウォールルールは、実際のアドレスとは無関係に、常にロー カルサブネットの IP アドレスに適用されます。このため、ローカルサブネットの IP アドレ スを変更しても、新しいアドレスのためにこのルールを修正する必要はありません。 たとえば、ローカルサブネットの IP アドレスとは無関係に、ローカルサブネットのポート 80 に向かうトラフィックのみを許可するようにこのルールを作成できます。 ローカルサブネットへの特定のトラフィックのみを許可するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブの[ルール]リストで、編集するルールを選択します。 4 [ファイアウォールルール]表の[ホスト]列で、ローカルサブネットのトラフィックの条 件を作成するルールをダブルクリックします。 5 このルールを適用するホストの種類の下で([ローカル]または[リモート])、[追加] をクリックします。 6 [アドレスの種類]ドロップダウンリストをクリックし、[ローカルサブネット]を選択しま す。 7 [OK]をクリックし、もう一度[OK]をクリックして[ホストリスト]ダイアログボックスを閉じ ます。 p.232 の 「セキュリティポリシーの種類」 を参照してください。 403 404 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 p.239 の 「ポリシーの編集」 を参照してください。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 ネットワークコンピュータがメッセージ、ファイル、印刷を共有でき るかどうかの制御 ネットワークサービスを利用することで、ネットワークに接続するコンピュータはメッセージ の送受信、ファイルの共有、印刷を行うことができます。管理者はネットワークサービスを 許可または遮断するファイアウォールルールを作成できます。 カスタムネットワークサービスはファイアウォールルールを通して追加できます。しかし、そ のネットワークサービスはデフォルトリストには追加されません。また、カスタムサービスに は他のルールからはアクセスできません。 ネットワークコンピュータがメッセージ、ファイル、印刷を共有できるかどうかを制御する には 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブの[ルール]リストで、編集するルールを選択し、[サービス]フィールド を右クリックして、[編集]をクリックします。 4 [サービスリスト]ダイアログボックスで、ルールをトリガする各サービスの横のチェック ボックスにチェックマークを付けます。 5 選択したルールに対してのみサービスを追加するには、[追加]をクリックします。 6 [プロトコル]ダイアログボックスで、[プロトコル]ドロップダウンリストからプロトコルを 選択します。 7 適切なフィールドに入力します。 8 [OK]をクリックします。 9 [OK]をクリックします。 10 [OK]をクリックします。 p.391 の 「ファイアウォールルールのネットワークサービストリガについて」 を参照してくだ さい。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 p.392 の 「デフォルトのネットワークサービスリストへのネットワークサービスの追加」 を参照 してください。 p.239 の 「ポリシーの編集」 を参照してください。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 ネットワーク内のファイルおよびプリンタを参照できるようにするク ライアントの許可 管理者は、クライアントがローカルネットワークでファイルを共有したり、共有しているファ イルやプリンタを参照したりできるようにすることができます。ネットワークベースの攻撃を 防止するために、ネットワークファイルとプリンタの共有を有効にしたくない場合がありま す。 ファイアウォールルールを追加することで、ネットワークでのファイルとプリンタの共有を有 効にできます。ファイアウォールルールにより、ポートにアクセスしてファイルとプリンタを 参照したり共有したりすることができます。クライアントがファイルを共有できるように、1 つ めのファイアウォールルールを作成します。2 つめのファイアウォールルールは、クライア ントがその他のファイルとプリンタを参照できるように作成します。 設定は、次のように、クライアントに対して指定する制御の種類に基づいて、別々に機能 します。 クライアント制御または混合 クライアントのユーザーは、ネットワーク脅威防止で設定することによっ 制御 て、自動的にこれらの設定を有効にすることができます。 混合制御 この種のトラフィックを指定するサーバーのファイアウォールルール で、これらの設定を上書きできます。 サーバー制御 これらの設定はクライアントでは利用できません。 ネットワーク内のファイルおよびプリンタを参照できるようにクライアントを許可するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブの[ルール]リストで、編集するルールを選択し、[サービス]フィールド を右クリックして、[編集]をクリックします。 4 [サービスリスト]ダイアログボックスで、[追加]をクリックします。 5 [プロトコル]ダイアログボックスの[プロトコル]ドロップダウンリストで[TCP]をクリック して、[ローカル/リモート]をクリックします。 6 次のいずれかのタスクを行います。 ネットワーク内のファイ [リモートポート]ドロップダウンリストで、88,135,139,445 と入力しま ルおよびプリンタを参 す。 照できるようにクライア ントを許可するには その他のコンピュータ [ローカルポート]ドロップダウンリストで、88, 135, 139, 445 と入力し によるクライアントの ます。 ファイルの参照を有効 にするには 405 406 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 7 [OK]をクリックします。 8 [サービスリスト]ダイアログボックスで、[追加]をクリックします。 9 [プロトコル]ダイアログボックスの[プロトコル]ドロップダウンリストで、[UDP]をクリッ クします。 10 次のいずれかのタスクを行います。 ネットワーク内のファイ [ローカルポート]ドロップダウンリストで、137, 138 と入力します。 ルおよびプリンタを参 [リモートポート]ドロップダウンリストで、88 と入力します。 照できるようにクライア ントを許可するには その他のコンピュータ [ローカルポート]ドロップダウンリストで、88,137,138 と入力します。 によるクライアントの ファイルの参照を有効 にするには 11 [OK]をクリックします。 12 [サービスリスト]ダイアログボックスでこの 2 つのサービスが有効になっていることを 確認して、[OK]をクリックします。 13 [ルール]タブで、[処理]フィールドが[許可する]に設定されていることを確認しま す。 14 ポリシーの設定を完了したら、[OK]をクリックします。 15 メッセージが表示されたら、ポリシーを場所に割り当てます。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 ファイアウォールルール違反の通知の設定 ファイアウォールがルール違反、攻撃、イベントを検出するたびに Symantec Endpoint Protection が電子メールメッセージを送信するように設定できます。たとえば、クライアン トが特定の IP アドレスから送信されるトラフィックを遮断したことがわかると便利です。 ファイアウォールルール違反の通知を設定するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 3 [ルール]タブでルールを選択し、[ログ記録]フィールドを右クリックし、次のタスクを 実行します。 ファイアウォールルールがトリガ [電子メール警告の送信]にチェックマークを付けます。 されたときに電子メールメッセー ジを送信するには ファイアウォールルールがトリガ [トラフィックログに書き込み]と[パケットログに書き込み]の されたときにログイベントを生成 両方にチェックマークを付けます。 するには 4 このポリシーの設定を完了したら、[OK]をクリックします。 5 セキュリティ警告を設定します。 6 メールサーバーを設定します。 7 [OK]をクリックします。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 p.567 の 「管理者通知の設定」 を参照してください。 ネットワークアダプタを通過するトラフィックの制御 ネットワークアダプタトリガを定義するとき、ルールは、指定されたアダプタが送受信する トラフィックにのみ適用されます。 カスタムネットワークアダプタはファイアウォールルールから追加できます。しかし、そのア ダプタは共有リストには追加されません。また、カスタムアダプタには他のルールからはア クセスできません。 ネットワークアダプタを通過するトラフィックを制御するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブの[ルール]リストで、編集するルールを選択し、[アダプタ]フィールド を右クリックして、[その他のアダプタ]をクリックします。 407 408 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 4 [ネットワークアダプタ]ダイアログボックスで、次のいずれかの処理を行います。 任意のアダプタ(リストにない場合も含む)に 対してルールをトリガするには [ルールをすべてのアダプタに適用する]をク リックし、続いて手順 7 に進みます。 選択したアダプタに対してルールをトリガする [ルールを以下のアダプタに適用する]をクリッ には クします。 続いて、ルールをトリガする各アダプタの横に あるボックスにチェックマークを付けます。 5 選択したルールに対してのみカスタムアダプタを追加するには、次のタスクを実行し ます。 ■ [追加]をクリックします。 ■ [ネットワークアダプタ]ダイアログボックスで、アダプタの種類を選択して[アダプ タ ID]テキストフィールドにアダプタのブランド名を入力します。 6 [OK]をクリックします。 7 [OK]をクリックします。 8 [OK]をクリックします。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 p.393 の 「ファイアウォールルールのネットワークアダプタトリガについて」 を参照してくだ さい。 ファイアウォールルールをアクティブにする期間のスケジュール設 定 ファイアウォールルールをアクティブにする期間を指定できます。 ファイアウォールルールをアクティブにする期間をスケジュール設定するには 1 コンソールで、[ファイアウォールポリシー]を開きます。 2 [ファイアウォールポリシー]ページで、[ルール]をクリックします。 3 [ルール]タブで、編集するルールを選択し、[時間]フィールドを右クリックして、[編 集]をクリックします。 4 [スケジュールリスト]ダイアログボックスで、[追加]をクリックします。 5 [スケジュールの追加]ダイアログボックスで、ルールをアクティブまたは非アクティブ にする開始日時と終了日時を設定します。 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 6 [月]ドロップダウンリストで、[すべて]または特定の月を選択します。 7 目的の時間枠のボックスにチェックマークを付けます。 [曜日を指定する]にチェックマークを付けた場合は、リストに表示された曜日の 1 つ 以上にチェックマークを付けます。 8 [OK]をクリックします。 9 [スケジュール]リストで、次のいずれかの処理を行います。 この期間ルールをアクティブに [任意期間 - 例外]列のボックスのチェックマークをはずしま し続けるには す。 この期間ルールを非アクティブ [任意期間 - 例外]列のボックスにチェックマークを付けま にし続けるには す。 10 [OK]をクリックします。 p.395 の 「ファイアウォールルールの設定」 を参照してください。 p.399 の 「ファイアウォールルールのカスタマイズ」 を参照してください。 p.239 の 「ポリシーの編集」 を参照してください。 409 410 第 18 章 ファイアウォール保護の管理 ファイアウォールルールの設定 19 侵入防止の管理 この章では以下の項目について説明しています。 ■ クライアントコンピュータでの侵入防止の管理 ■ 侵入防止の動作 ■ Symantec IPS シグネチャについて ■ カスタム IPS シグネチャについて ■ ネットワーク侵入防止とブラウザ侵入防止の有効化と無効化 ■ IPS シグネチャの例外の作成 ■ 除外するコンピュータのリストの設定 ■ クライアント侵入防止の通知の設定 ■ カスタム侵入防止シグネチャの管理 クライアントコンピュータでの侵入防止の管理 デフォルトの侵入防止設定はクライアントコンピュータをさまざまな脅威から保護します。 デフォルトの設定はネットワークに合わせて変更できます。 表 19-1 侵入防止の管理 タスク 説明 侵入防止について学習する 侵入防止がネットワーク攻撃とブラウザ攻撃を検出し て遮断する方法を学習します。 p.415 の 「侵入防止の動作」 を参照してください。 p.415 の 「Symantec IPS シグネチャについて」 を参 照してください。 412 第 19 章 侵入防止の管理 クライアントコンピュータでの侵入防止の管理 タスク 説明 侵入防止の有効と無効を切り替える トラブルシューティングを行う目的で、またはクライアン トコンピュータが過度の誤認を検出した場合に、侵入 防止を無効にしたい場合があります。ただし、クライア ントコンピュータを安全を保つために、通常は侵入防 止を無効にしないでください。 侵入防止ポリシーで、次の種類の侵入防止の有効と 無効を切り替えることができます。 ■ ネットワーク侵入防止 ■ ブラウザ侵入防止 p.417 の 「ネットワーク侵入防止とブラウザ侵入防止の 有効化と無効化」 を参照してください。 [ネットワーク脅威防止を有効にする]または[ネットワー ク脅威防止を無効にする]コマンドを実行するときに は、両方の種類の侵入防止に加えて、ファイアウォー ルの有効と無効も切り替えることができます。 p.197 の 「クライアントコンピュータでのコンソールから のコマンド実行」 を参照してください。 第 19 章 侵入防止の管理 クライアントコンピュータでの侵入防止の管理 タスク 説明 例外を作成して、シマンテック社のネット シマンテック社のデフォルトのネットワーク侵入防止シ ワーク侵入防止シグネチャのデフォルトの グネチャのデフォルトの動作を変更するには、例外を 動作を変更する 作成すると便利です。一部のシグネチャはデフォルト でトラフィックを遮断し、他のシグネチャはデフォルトで トラフィックを許可します。 メモ: ブラウザ侵入防止シグネチャの動作を変更する ことはできません。 次の理由から、いくつかのネットワークシグネチャのデ フォルトの動作を変更すると効率的な場合があります。 クライアントコンピュータでの消費量を減らす。 たとえば、トラフィックを遮断するシグネチャの数を 減らしたい場合があります。ただし、攻撃シグネチャ が脅威を示していないことを確認してから、攻撃シ グネチャを遮断から除外してください。 ■ シマンテック社がデフォルトでは遮断する一部の ネットワークシグネチャを許可する。 たとえば、無害なネットワーク活動が攻撃シグネ チャと一致する誤認を減らすため、例外を作成し たい場合があります。ネットワーク活動が安全であ ることがわかっている場合には、例外を作成できま す。 ■ シマンテック社が許可する一部のシグネチャを遮 断する。 たとえば、シマンテック社はピアツーピアアプリケー ション用のシグネチャを含めて、デフォルトではトラ フィックを許可しています。そうする代わりに、トラ フィックを遮断する例外を作成できます。 ■ p.417 の 「IPS シグネチャの例外の作成」 を参照してく ださい。 アプリケーション制御を使って、ユーザーが各自のコ ンピュータでピアツーピアアプリケーションを実行しな いようにできます。 p.439 の 「一般的なアプリケーション制御ルール」 を参 照してください。 ピアツーピアのトラフィックを送受信するポートを遮断 する場合は、ファイアウォールポリシーを使います。 p.364 の 「ファイアウォールポリシーの作成」 を参照し てください。 413 414 第 19 章 侵入防止の管理 クライアントコンピュータでの侵入防止の管理 タスク 説明 クライアントコンピュータでブラウザシグネ チャを無視する例外を作成する ブラウザ侵入防止からブラウザシグネチャを除外する 例外を作成できます。 ネットワーク内のブラウザでブラウザ侵入防止が原因 の問題が起きている場合は、ブラウザシグネチャを無 視したいことがあります。 p.417 の 「IPS シグネチャの例外の作成」 を参照してく ださい。 侵入防止スキャンから特定のコンピュータ 侵入防止から特定のコンピュータを除外したい場合が を除外する あります。たとえば、社内ネットワークの一部のコン ピュータはテスト目的でセットアップされている可能性 があります。それらのコンピュータとの間で送受信され るトラフィックは、Symantec Endpoint Protection で は無視したい場合があります。 コンピュータを除外するときには、ファイアウォールが 提供するサービス拒否の保護とポートスキャンの保護 からも、それらのコンピュータを除外します。 p.419 の 「除外するコンピュータのリストの設定」 を参 照してください。 侵入防止の通知を設定する デフォルトでは、クライアントコンピュータに侵入の試 みについてのメッセージが表示されます。メッセージ をカスタマイズすることもできます。 p.420 の 「クライアント侵入防止の通知の設定」 を参照 してください。 カスタム侵入防止シグネチャを作成する 独自の侵入防止シグネチャを記述し、特定の脅威を 識別するすることができます。独自のシグネチャを記 述するときには、シグネチャによって誤認が発生する 可能性を減らすことができます。 たとえば、Web サイトを遮断してログに記録するため に、カスタム侵入防止シグネチャを利用できます。 p.421 の 「カスタム侵入防止シグネチャの管理」 を参 照してください。 侵入防止を監視する ネットワーク内のクライアントコンピュータで侵入防止 が有効になっていることを定期的に確認してください。 p.533 の 「エンドポイント保護の監視」 を参照してくだ さい。 第 19 章 侵入防止の管理 侵入防止の動作 侵入防止の動作 侵入防止はネットワーク脅威防止の一部です。 侵入防止は、ネットワーク攻撃とブラウザに対する攻撃を自動的に検出して遮断します。 侵入防止はクライアントコンピュータを保護するための、ファイアウォールの次にある第 2 の防衛層です。侵入防止は侵入防止システム(IPS)と呼ばれる場合もあります。 p.411 の 「クライアントコンピュータでの侵入防止の管理」 を参照してください。 侵入防止はネットワーク層でデータを傍受します。侵入防止はシグネチャを使い、パケッ トまたはパケットのストリームをスキャンします。ネットワーク攻撃またはブラウザ攻撃に対 応するパターンを検索することで、各パケットを個別にスキャンします。侵入防止はシグネ チャを使って、オペレーティングシステムコンポーネントとアプリケーション層に対する攻 撃を検出します。 侵入防止では、2 種類の保護が用意されています。 ネットワーク侵入防止 ネットワーク侵入防止は、シグネチャを使ってクライアントコ ンピュータに対する攻撃を識別します。既知の攻撃の場合、 侵入防止はシグネチャと一致するパケットを自動的に破棄 します。 また、侵入防止ポリシーの一部として独自のカスタムネット ワークシグネチャを作成できます。クライアントでカスタムシ グネチャを直接作成することはできませんが、クライアントで カスタムシグネチャをインポートできます。 p.415 の 「Symantec IPS シグネチャについて」 を参照して ください。 ブラウザ侵入防止 ブラウザ侵入防止は Internet Explorer と Firefox に対す る攻撃を監視します。ブラウザ侵入防止は、それら以外の ブラウザではサポートされません。 この種類の侵入防止は、攻撃シグネチャに加えてヒューリス ティックを使い、ブラウザに対する攻撃を識別します。 ブラウザを終了するよう侵入防止からクライアントに要求が 行われるブラウザ攻撃もあります。クライアントコンピュータ に通知が表示されます。 Symantec IPS シグネチャについて シマンテック製侵入防止のシグネチャはデフォルトでクライアントにインストールされます。 p.411 の 「クライアントコンピュータでの侵入防止の管理」 を参照してください。 侵入防止はシマンテック社のシグネチャを使って、個々のパケットまたはパケットのストリー ムを監視します。パケットのストリームの場合、侵入防止は以前のパケットのパターンまた 415 416 第 19 章 侵入防止の管理 カスタム IPS シグネチャについて は部分パターンのリストを記憶できます。その後で、この情報を以降のパケット検査に適 用できます。 シマンテック社のシグネチャには、ネットワーク侵入防止とブラウザ侵入防止のシグネチャ が含まれます。 ネットワーク侵入防止シグネチャ ネットワークシグネチャは、クライアントコンピュータでアプリケー ションをクラッシュさせたりオペレーティングシステムを悪用したり する可能性がある攻撃のパターンと一致します。 シマンテック製ネットワークシグネチャによってトラフィックを遮断 するか許可するかは変更できます。Symantec Endpoint Protection で、シグネチャによる検出をセキュリティログに記録 するかどうかも変更できます。 ブラウザ侵入防止シグネチャ ブラウザシグネチャは、ブラウザをクラッシュさせる可能性がある スクリプトファイルなど、サポート対象のブラウザに対する攻撃の パターンと一致します。 ブラウザシグネチャの処理やログの設定はカスタマイズできませ んが、ブラウザシグネチャを除外することはできます。 p.417 の 「IPS シグネチャの例外の作成」 を参照してください。 シマンテックセキュリティレスポンスのチームが攻撃のシグネチャを供給します。デフォル トでは、侵入防止エンジンと、対応するシグネチャのセットがクライアントにインストールさ れます。シグネチャはクライアントで更新を行うコンテンツの一部です。 IPS シグネチャについての情報は、シマンテック社の Web サイトで参照できます。 http://securityresponse.symantec.com/avcenter/attack_sigs/index.html カスタム IPS シグネチャについて 固有の IPS ネットワークシグネチャを作成できます。これらのシグネチャはパケットベース です。 シマンテック社のシグネチャとは異なり、カスタムシグネチャは単一のパケットペイロード のみをスキャンします。ただし、カスタムシグネチャは TCP/IP スタックで、シマンテック社 のシグネチャよりも早期に攻撃を検出できます。 パケットベースのシグネチャはルールに一致する単一のパケットを診断します。ルールは ポート、プロトコル、送信元または送信先の IP アドレス、TCP フラグ番号、アプリケーショ ンなどさまざまな基準に基づいています。たとえば、カスタムシグネチャは受信したパケッ トの、CGI プログラム攻撃を示す GET / cgi-bin/phf? 内の文字列「phf」を監視します。 各パケットに対してこの特定のパターンが評価されます。トラフィックのパケットがルールと 一致する場合に、クライアントはパケットを許可または遮断します。 第 19 章 侵入防止の管理 ネットワーク侵入防止とブラウザ侵入防止の有効化と無効化 Symantec Endpoint Protection でカスタムシグネチャによる検出をパケットログに記録 するかどうかを指定できます。 ネットワーク侵入防止とブラウザ侵入防止の有効化と無 効化 どちらの種類の侵入防止も有効と無効を切り替えることができます。通常はどちらの種類 の侵入防止も無効にしないでください。 p.411 の 「クライアントコンピュータでの侵入防止の管理」 を参照してください。 ネットワーク侵入防止から特定のコンピュータを除外することもできます。 p.419 の 「除外するコンピュータのリストの設定」 を参照してください。 メモ: これらのオプションを混合制御で設定するには、これらのオプションを[クライアント ユーザーインターフェース混合制御の設定]ダイアログボックスでも有効にする必要があ ります。 p.369 の 「混合制御のファイアウォール設定」 を参照してください。 ネットワーク侵入防止とブラウザ侵入防止の有効化と無効化 1 コンソールで、[侵入防止ポリシー]を開きます。 2 [侵入防止ポリシー]ページで、[設定]をクリックします。 3 次のオプションのチェックマークを付けるかはずします。 4 ■ ネットワーク侵入防止を有効にする ■ ブラウザ侵入防止を有効にする [OK]をクリックします。 IPS シグネチャの例外の作成 例外を作成すると次の処理を実行できます。 ■ IPS ネットワークシグネチャのデフォルトの動作を変更する ■ クライアントコンピュータが無視する必要があるブラウザシグネチャを指定する IPS がネットワークシグネチャを認識したときにクライアントが行う処理を変更できます。ま た、クライアントがイベントをセキュリティログに記録するかどうかも変更できます。 シマンテック社のブラウザシグネチャの動作は変更できません。ネットワークシグネチャと は異なり、ブラウザシグネチャについてはカスタム処理やログ記録の設定は許されていま 417 418 第 19 章 侵入防止の管理 IPS シグネチャの例外の作成 せん。ただし、クライアントがシグネチャを無視するように、ブラウザシグネチャの例外を作 成できます。 メモ: ブラウザシグネチャの例外を追加すると、Symantec Endpoint Protection Manager は例外リストにシグネチャを含めて、自動的に処理を[許可]に、ログの設定を[Do Not Block]に設定します。処理やログの設定はカスタマイズできません。 p.411 の 「クライアントコンピュータでの侵入防止の管理」 を参照してください。 メモ: 作成またはインポートするカスタム IPS シグネチャの動作を変更するには、直接シ グネチャを編集します。 Symantec IPS ネットワークシグネチャの動作を変更するには 1 コンソールで、[侵入防止]ポリシーを開きます。 2 [侵入防止ポリシー]ページで[例外]をクリックし、[追加]クリックします。 3 [侵入防止例外の追加]ダイアログボックスで、次のいずれかの処理を行ってシグネ チャをフィルタ処理します。 4 ■ 特定のカテゴリのシグネチャを表示するには、[カテゴリを表示]ドロップダウンリ ストからオプションを選択します。 ■ 特定の重大度で分類されるシグネチャを表示するには、[重大度を表示]ドロッ プダウンリストからオプションを選択します。 1 つ以上のシグネチャを選択します。 すべてのネットワークシグネチャの動作を同じにするには、[すべてを選択]をクリッ クします。 5 [次へ]をクリックします。 6 [シグネチャ処理]ダイアログボックスで、処理を[遮断]または[許可する]に設定し ます。 メモ: [シグネチャ処理]ダイアログボックスはネットワークシグネチャにのみ適用され ます。 7 オプションで、ログの処理を[トラフィックをログ記録する]または[トラフィックをログに 記録しない]に設定します。 第 19 章 侵入防止の管理 除外するコンピュータのリストの設定 8 [OK]をクリックします。 ネットワークシグネチャの動作を元の動作に戻す場合は、シグネチャを選択して[削 除]をクリックします。 クライアントがブラウザシグネチャを無視せず使うようにする場合は、シグネチャを選 択し、[削除]をクリックします。 9 [OK]をクリックします。 除外するコンピュータのリストの設定 クライアントが攻撃シグネチャの照合、ポートスキャンやサービス拒否攻撃の確認をしな いコンピュータのリストを作成できます。クライアントはファイアウォールルールや設定、IPS シグネチャにかかわらず、これらのホストとの間のインバウンドトラフィックとアウトバウンドト ラフィックをすべて許可します。 侵入防止から除外するコンピュータのリストを設定することをお勧めします。コンピュータ で実行している正当なソフトウェアが、侵入防止によって脅威として検出されてしまうこと があります。たとえば、ネットワークで脆弱性スキャナを実行しているとします。脆弱性ス キャナが動作していると、侵入防止によって遮断されます。侵入防止の検出から脆弱性 スキャナの IP アドレスを除外することができます。 インターネットサービスプロバイダがネットワーク内のポートがスキャンすることを許可して それらがサービス契約に準拠するように、コンピュータを除外することもできます。また、 内部ネットワークにある一部のコンピュータをテスト用に設定する場合があります。 メモ: また、IPS シグネチャによって攻撃が検出されないかぎり、すべてのインバウンドトラ フィックとアウトバウンドトラフィックを許可するコンピュータのリストを作成することもできま す。この場合、すべてのホストを許可するファイアウォールルールを作成します。 除外するコンピュータのリストを設定するには 1 コンソールで、[侵入防止ポリシー]を開きます。 2 [侵入防止ポリシー]ページで、[設定]をクリックします。 3 チェックマークが付いていない場合は、[除外ホストを有効にする]にチェックマーク を付け、[除外ホスト]をクリックします。 4 [除外ホスト]ダイアログボックスで、除外したいホストグループの横にある[有効]に チェックマークを付けます。 p.402 の 「特定のサーバーとの間で送受信されるトラフィックの遮断」 を参照してくだ さい。 5 除外したいホストを追加するには、[追加]をクリックします。 419 420 第 19 章 侵入防止の管理 クライアント侵入防止の通知の設定 6 7 [ホスト]ダイアログボックスのドロップダウンリストで、次のいずれかのホストの種類を 選択します。 ■ IP アドレス ■ IP アドレス範囲 ■ サブネット 選択したホストの種類に関連する適切な情報を入力します。 これらのオプションについて詳しくは[ヘルプ]を参照してください。 8 [OK]をクリックします。 9 5 と 8 を繰り返し、除外するコンピュータのリストにデバイスとコンピュータを追加しま す。 10 除外ホストを編集または削除するには、行を選択し、[編集]または[削除]をクリック します。 11 [OK]をクリックします。 12 ポリシーの設定を完了したら、[OK]をクリックします。 クライアント侵入防止の通知の設定 クライアントが侵入防止イベントを検出すると、デフォルトでクライアントコンピュータ上に 通知が表示されます。これらの通知が有効になっていると、通知によって標準のメッセー ジが表示されます。標準のメッセージにカスタマイズしたテキストを追加することもできま す。 クライアント侵入防止の通知を設定するには 1 コンソールで、[クライアント]をクリックし、[クライアント]の下でグループを選択しま す。 2 [ポリシー]タブの[場所固有のポリシーと設定]で、場所の下の[場所固有の設定] を展開します。 3 [クライアントユーザーインターフェース制御の設定]の右側で、[タスク]、[設定の編 集]の順にクリックします。 4 [<グループ名 > のクライアントユーザーインターフェース制御の設定]ダイアログボッ クスで、[サーバー制御]または[混合制御]をクリックします。 5 [混合制御]または[サーバー制御]の横で、[カスタマイズ]をクリックします。 [混合制御]をクリックした場合、[クライアント/サーバー制御の設定]タブで、[侵入 防止通知の表示/非表示]の横の[サーバー]をクリックし、[クライアントユーザーイ ンターフェースの設定]タブをクリックします。 第 19 章 侵入防止の管理 カスタム侵入防止シグネチャの管理 6 [クライアントユーザーインターフェースの設定]ダイアログボックスまたはタブで、[侵 入防止通知を表示する]をクリックします。 7 通知が表示されたときの警告音を有効にするには、[ユーザーに通知するときにサ ウンドを使う]をクリックします。 8 [通知を表示する秒数]テキストフィールドに、通知を表示する秒数を入力します。 9 表示される標準の通知にテキストを追加するには、[追加テキスト]をクリックします。 10 [追加テキスト]ダイアログボックスで、その通知に表示する追加テキストを入力し、 [OK]をクリックします。 11 [OK]をクリックします。 12 [OK]をクリックします。 p.411 の 「クライアントコンピュータでの侵入防止の管理」 を参照してください。 カスタム侵入防止シグネチャの管理 特定の侵入を識別してシグネチャが誤認の原因となる可能性を減らすために、独自の ネットワーク侵入防止シグネチャを作成できます。カスタムシグネチャに詳しい情報を追 加するほど、より効果的なシグネチャになります。 警告: 侵入防止シグネチャを作成するには、TCP、UDP、ICMP の各プロトコルに精通し ている必要があります。シグネチャを正しく作成しないと、カスタムシグネチャライブラリが 壊れてクライアントの整合性が損なわれる可能性があります。 表 19-2 カスタム侵入防止シグネチャの管理 タスク 説明 シグネチャグループを含むカスタムライブ ラリを作成する カスタムシグネチャを格納するため、カスタムライブラ リを作成する必要があります。カスタムライブラリを作 成するときには、シグネチャグループを使うとシグネ チャを管理しやすくなります。シグネチャを追加する前 に少なくとも 1 つのシグネチャグループをカスタムシグ ネチャライブラリに追加する必要があります。 p.423 の 「カスタム IPS ライブラリの作成」 を参照してく ださい。 カスタムライブラリにカスタム IPS シグネチャ カスタム IPS シグネチャは、カスタムライブラリ内のシ を追加する グネチャグループに追加します。 p.423 の 「カスタム IPS ライブラリへのシグネチャの追 加」 を参照してください。 421 422 第 19 章 侵入防止の管理 カスタム侵入防止シグネチャの管理 タスク 説明 クライアントグループにライブラリを割り当て カスタムライブラリは、場所ではなくクライアントグルー る プに割り当てます。 p.425 の 「複数のカスタム IPS ライブラリのグループへ の割り当て」 を参照してください。 シグネチャの順序を変更する 侵入防止では、最初に一致したルールが使われます。 Symantec Endpoint Protection はシグネチャリスト に記載されている順序でシグネチャを調べます。 たとえば、送信先ポート 80 で両方の方向の TCP トラ フィックを遮断するシグネチャグループを追加する場 合、次のシグネチャを追加できます。 ■ ポート 80 のすべてのトラフィックを遮断 ■ ポート 80 のすべてのトラフィックを許可 すべてのトラフィックを遮断するシグネチャを最初に置 くと、すべてのトラフィックを許可するシグネチャが実 行されることはありません。すべてのトラフィックを許可 するシグネチャを最初に置くと、すべてのトラフィックを 遮断するシグネチャが実行されることはなく、HTTP ト ラフィックは常に許可されます。 メモ: ファイアウォールルールは侵入防止シグネチャ よりも優先されます。 p.425 の 「カスタム IPS シグネチャの順序の変更」 を参 照してください。 シグネチャをコピーして貼り付ける グループ間やライブラリ間でシグネチャをコピー、貼り 付けできます。 p.426 の 「カスタム IPS シグネチャのコピーと貼り付け」 を参照してください。 シグネチャの変数を定義する カスタムシグネチャを追加するときには、変数を使って シグネチャ内の可変データを表すことができます。デー タが変更された場合には、ライブラリ全体でシグネチャ を編集する代わりに変数を編集できます。 p.426 の 「カスタム IPS シグネチャの変数の定義」 を参 照してください。 カスタムシグネチャをテストする カスタム侵入防止シグネチャをテストして、シグネチャ が機能することを確認する必要があります。 p.427 の 「カスタム IPS シグネチャのテスト」 を参照し てください。 第 19 章 侵入防止の管理 カスタム侵入防止シグネチャの管理 カスタム IPS ライブラリの作成 カスタム IPS シグネチャを格納するにはカスタム IPS ライブラリを作成します。 p.421 の 「カスタム侵入防止シグネチャの管理」 を参照してください。 カスタム IPS ライブラリを作成するには 1 コンソールで、[ポリシー]をクリックし、[侵入防止]をクリックします。 2 [タスク]で、[カスタム侵入防止シグネチャの追加]をクリックします。 3 [カスタム侵入防止シグネチャ]ダイアログボックスで、ライブラリの名前と省略可能な 説明を入力します。 [NetBIOS グループ]はサンプルのシグネチャ グループであり、1 つのサンプル シ グネチャが含まれています。既存のグループを編集することも新しいグループを追 加することもできます。 4 新しいグループを追加するには、[シグネチャ]タブの[シグネチャグループ]リストで [追加]をクリックします。 5 [侵入防止シグネチャグループ]ダイアログボックスで、グループ名と省略可能な説 明を入力し、[OK]をクリックします。 デフォルトでグループは有効です。シグネチャグループが有効であればグループ内 部のすべてのシグネチャが自動的に有効になります。参照用にグループを維持す るが設定は無効にする場合には[このグループを有効にする]のチェックマークをは ずします。 6 カスタムシグネチャを追加します。 p.423 の 「カスタム IPS ライブラリへのシグネチャの追加」 を参照してください。 カスタム IPS ライブラリへのシグネチャの追加 カスタム侵入防止シグネチャは、新規または既存のカスタム IPS ライブラリに追加します。 p.421 の 「カスタム侵入防止シグネチャの管理」 を参照してください。 カスタムシグネチャを追加するには 1 カスタム IPS ライブラリを作成する p.423 の 「カスタム IPS ライブラリの作成」 を参照してください。 2 [シグネチャ]タブの[このグループのシグネチャ]で、[追加]をクリックします。 3 [シグネチャの追加]ダイアログボックスで、シグネチャの名前と省略可能な説明を入 力します。 4 [重大度]ドロップダウンリストで、重大度を選択します。 シグネチャ条件に一致するイベントはこの重大度を使ってログに記録されます。 423 424 第 19 章 侵入防止の管理 カスタム侵入防止シグネチャの管理 5 [方向]ドロップダウンリストで、シグネチャで検査するトラフィックの方向を指定しま す。 6 [コンテンツ]フィールドに、シグネチャの構文を入力します。 たとえば、いくつかの一般的なプロトコル用のシグネチャでは、次の構文を使いま す。 HTTP rule tcp, dest=(80,443), saddr=$LOCALHOST, msg="MP3 GET in HTTP detected", regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*" FTP rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST, msg="MP3 GET in FTP detected", regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3¥x0d¥x0a" 構文について詳しくは[ヘルプ]を参照してください。 7 アプリケーションでシグネチャをトリガする場合は、[追加]をクリックします。 8 [アプリケーションの追加]ダイアログボックスで、アプリケーションのファイル名と省略 可能な説明を入力します。 たとえば、Internet Explorer アプリケーションを追加するには、ファイル名として iexplore または iexplore.exe と入力します。ファイル名を指定しないと、すべての アプリケーションでシグネチャがトリガされます。 9 [OK]をクリックします。 追加したアプリケーションはデフォルトで有効です。当面アプリケーションを無効に する場合は、[有効]列にあるチェックボックスのチェックマークをはずします。 10 [処理]グループボックスで、シグネチャがイベントを検出したときにクライアントが実 行する処理を選択します。 遮断 イベントや攻撃を識別して遮断してセキュリティログに記録します。 許可する イベントや攻撃を識別して許可してセキュリティログに記録します。 11 イベントや攻撃をパケットログに記録するには、[パケットログに書き込み]にチェック マークを付けます。 12 [OK]をクリックします。 追加したシグネチャはデフォルトで有効です。当面シグネチャを無効にする場合は、 [有効]列にあるチェックボックスのチェックマークをはずします。 第 19 章 侵入防止の管理 カスタム侵入防止シグネチャの管理 13 その他のシグネチャを追加できます。確認が終わったら、[OK]をクリックします。 14 メッセージが表示されたら、カスタム IPS シグネチャをグループに割り当てます。 複数のカスタム IPS ライブラリをグループに割り当てることもできます。 p.425 の 「複数のカスタム IPS ライブラリのグループへの割り当て」 を参照してくださ い。 複数のカスタム IPS ライブラリのグループへの割り当て カスタム IPS ライブラリを作成したら、個々の場所ではなくグループに割り当てます。その グループには後でカスタム IPS ライブラリを追加割り当てできます。 p.421 の 「カスタム侵入防止シグネチャの管理」 を参照してください。 複数のカスタム IPS ライブラリをグループに割り当てるには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、カスタムシグネチャを割り当てるグループを選択します。 3 [ポリシー]タブの[場所に依存しないポリシーと設定]で、[カスタム侵入防止]をク リックします。 4 [グループ名 のカスタム侵入防止]ダイアログボックスで、そのグループに割り当てる 各カスタム IPS ライブラリの[有効]列にあるチェックボックスにチェックマークを付け ます。 5 [OK]をクリックします。 カスタム IPS シグネチャの順序の変更 カスタムシグネチャ用の IPS エンジンはシグネチャをシグネチャリストの順に検査します。 パケットごとにトリガされるシグネチャは 1 つだけです。シグネチャがインバウンドトラフィッ クパケットまたはアウトバウンドトラフィックパケットに一致する場合、IPS エンジンは他のシ グネチャの検査を停止します。IPS エンジンがシグネチャを正しい順序で検査するように、 シグネチャリストでシグネチャの順序を変更できます。複数のシグネチャが一致する場合 は、優先度の高いシグネチャを上に移動します。 たとえば、送信先ポート 80 で両方の方向の TCP トラフィックを遮断するシグネチャグルー プを追加する場合、次のシグネチャを追加できます。 ■ ポート 80 のすべてのトラフィックを遮断 ■ ポート 80 のすべてのトラフィックを許可 すべてのトラフィックを遮断するシグネチャを最初に置くと、すべてのトラフィックを許可す るシグネチャが実行されることはありません。すべてのトラフィックを許可するシグネチャを 最初に置くと、すべてのトラフィックを遮断するシグネチャが実行されることはなく、HTTP トラフィックは常に許可されます。 425 426 第 19 章 侵入防止の管理 カスタム侵入防止シグネチャの管理 メモ: ファイアウォールルールは侵入防止シグネチャよりも優先されます。 p.421 の 「カスタム侵入防止シグネチャの管理」 を参照してください。 カスタム IPS シグネチャの順序を変更するには 1 カスタム IPS ライブラリを開きます。 2 [シグネチャ]タブの[このグループのシグネチャ]表で、移動するシグネチャを選択 して次のいずれかの処理を行います。 3 ■ このシグネチャを上のシグネチャよりも前に処理するには、[上に移動]をクリック する ■ このシグネチャを下のシグネチャよりも後に処理するには、[下に移動]をクリック する このライブラリの設定を完了したら、[OK]をクリックします。 カスタム IPS シグネチャのコピーと貼り付け 同じシグネチャグループ内、シグネチャグループ間、シグネチャライブラリ間でシグネチャ をコピー、貼り付けできます。たとえば、シグネチャを誤ったシグネチャグループに追加し たことに気づいた場合に便利です。また、ほぼ同じシグネチャが 2 つ必要な場合もありま す。 p.421 の 「カスタム侵入防止シグネチャの管理」 を参照してください。 カスタム IPS シグネチャのコピーと貼り付けを行うには 1 カスタム IPS ライブラリを開きます。 2 [カスタム侵入防止シグネチャ]ダイアログボックスの[シグネチャ]タブの[このグルー プのシグネチャ]表で、コピーするシグネチャを右クリックし、[コピー]をクリックしま す。 3 シグネチャリストを右クリックして[貼り付け]をクリックします。 4 このライブラリの設定を完了したら、[OK]をクリックします。 カスタム IPS シグネチャの変数の定義 カスタム IPS シグネチャを追加するとき、変化の多いデータは変数を使って表すことがで きます。データが変更された場合には、ライブラリ全体でシグネチャを編集する代わりに 変数を編集できます。 p.421 の 「カスタム侵入防止シグネチャの管理」 を参照してください。 シグネチャで変数を使う前に、変数を定義する必要があります。カスタムシグネチャライブ ラリで定義した変数は、そのライブラリのどのシグネチャでも使えます。 第 19 章 侵入防止の管理 カスタム侵入防止シグネチャの管理 既存のサンプル変数からコンテンツをコピーして貼り付けて、コンテンツを作成するベー スにできます。 カスタム IPS シグネチャの変数を定義するには 1 カスタム IPS ライブラリを作成する 2 [カスタム侵入防止シグネチャ]ダイアログボックスで、[変数]タブをクリックします。 3 [追加]をクリックします。 4 [変数の追加]ダイアログボックスで、変数の名前と省略可能な説明を入力します。 5 変数の値を示す 255 文字以内のコンテンツ文字列を追加します。 変数のコンテンツ文字列を入力するときは、シグネチャのコンテンツに値を入力する ときと同じ構文ガイドラインに従ってください。 6 [OK]をクリックします。 変数が表に追加されると、カスタムライブラリのすべてのシグネチャでこの変数を使 用できるようになります。 カスタム IPS シグネチャで変数を使うには 1 [シグネチャ]タブで、シグネチャを追加または編集します。 2 [シグネチャの追加]または[シグネチャの編集]ダイアログボックスの[コンテンツ] フィールドに、変数名の前にドル記号($)を付けて入力します。 たとえば、HTTP ポートを指定するための HTTP という名前の変数を作成する場合 は、次のように入力します。 $HTTP 3 [OK]をクリックします。 4 このライブラリの設定を完了したら、[OK]をクリックします。 カスタム IPS シグネチャのテスト カスタム IPS シグネチャを作成したら、それらをテストして正しく機能することを確認する 必要があります。 p.421 の 「カスタム侵入防止シグネチャの管理」 を参照してください。 427 428 第 19 章 侵入防止の管理 カスタム侵入防止シグネチャの管理 表 19-3 カスタム IPS シグネチャのテスト 手順 操作 説明 手順 1 クライアントが現在の侵入防止 クライアントは次回のポリシー受信時に、新 ポリシーを使っていることを確認 しいカスタムシグネチャを適用します。 する p.248 の 「クライアントコンピュータがポリシー 更新を取得する方法」 を参照してください。 手順 2 クライアントでシグネチャのコン 遮断したいトラフィックをクライアントコン テンツをテストする ピュータでテストする必要があります。 たとえば、カスタム IPS シグネチャによって MP3 ファイルを遮断する必要がある場合 は、クライアントコンピュータにいくつかの MP3 ファイルをダウンロードしてみます。ダ ウンロードが発生しない場合や多くの試行 後にダウンロードがタイムアウトする場合 は、カスタム IPS シグネチャが正しく作成さ れています。 カスタム IPS シグネチャで使うことができる 構文について詳しくは、[ヘルプ]をクリック してください。 手順 3 遮断されたイベントを ネットワーク脅威攻撃ログのイベントを表示 Symantec Endpoint できます。カスタム IPS シグネチャで指定 Protection Manager で表示す したメッセージはこのログ内に現れます。 る p.533 の 「エンドポイント保護の監視」 を参 照してください。 20 アプリケーションとデバイス 制御の管理 この章では以下の項目について説明しています。 ■ アプリケーションとデバイス制御について ■ アプリケーションとデバイス制御ポリシーについて ■ アプリケーションとデバイス制御ポリシーの構造について ■ アプリケーションとデバイス制御の設定 ■ デフォルトのアプリケーション制御ルールセットの有効化 ■ カスタムアプリケーション制御ルールの作成 ■ システムロックダウンの設定 ■ デバイス制御の管理 アプリケーションとデバイス制御について アプリケーションとデバイス制御を使って、クライアントコンピュータ上のアプリケーション の動作を監視および制御し、クライアントコンピュータにアクセスするハードウェアデバイ スを管理できます。また、クライアントコンピュータで承認済みアプリケーションのみを許可 するようにシステムロックダウンを設定することによって、アプリケーションを制御できます。 メモ: アプリケーション制御とデバイス制御の両方は、32 ビットコンピュータと 64 ビットコン ピュータでサポートされます。 430 第 20 章 アプリケーションとデバイス制御の管理 アプリケーションとデバイス制御について アプリケーションとデバイス制御ポリシーを使って、クライアントコンピュータでのアプリケー ション制御とデバイス制御を設定します。[コンピュータ]ページの[ポリシー]タブを使っ て、システムロックダウンを設定します。 p.431 の 「アプリケーションとデバイス制御ポリシーについて」 を参照してください。 警告: アプリケーション制御とシステムロックダウンは高度なセキュリティ機能であるため、 経験のある管理者だけが設定してください。 p.432 の 「アプリケーションとデバイス制御の設定」 を参照してください。 アプリケーションとデバイス制御機能の概略をここに示します。 アプリケーション制御 デバイス制御 アプリケーション制御を使って、次のようにアプリケーションを制 御できます。 ■ マルウェアがアプリケーションを占有できないようにする ■ 実行できるアプリケーションを制限する ■ ユーザーが設定ファイルを変更できないようにする ■ 特定のレジストリキーを保護する ■ ¥WINDOWS¥system などの特定のフォルダを保護する デバイス制御を使って、次のようにデバイスを制御できます。 USB、赤外線、FireWire デバイスなど、クライアントコンピュー タに接続するさまざまなデバイスの種類を遮断または許可す る ■ シリアルポートとパラレルポートを遮断または許可する ■ システムロックダウン システムロックダウンを使って、次のようにアプリケーションを制御 できます。 ユーザーがネットワークへ接続しているかどうかにかかわら ず、実行できるすべてのアプリケーションを制御する。 ■ ほとんどすべてのトロイの木馬、スパイウェア、または既存の アプリケーションに自己を実行またはロードしようと試みるマ ルウェアを遮断する。 ■ システムロックダウンはシステムを信頼できる既知の状態に保ち ます。 メモ: システムロックダウンの実装を慎重に行わないと、ネットワー クで深刻な問題が生じることがあります。特定の段階でシステム ロックダウンを実装することをお勧めします。 第 20 章 アプリケーションとデバイス制御の管理 アプリケーションとデバイス制御ポリシーについて アプリケーションとデバイス制御ポリシーについて アプリケーションとデバイス制御ポリシーを使って、クライアントコンピュータでアクセス制 御またはデバイス制御を実装できます。1 つのグループまたは場所に同時に割り当てる ことができるアプリケーションとデバイス制御ポリシーは 1 つのみです。 p.429 の 「アプリケーションとデバイス制御について」 を参照してください。 デフォルトでは、管理サーバーにアプリケーションとデバイス制御ポリシーがあります。た だし、デフォルトではアプリケーションとデバイス制御ポリシーのドライバはクライアントで 無効になります。ドライバを有効にするには、既存のルールを有効にするか、またはポリ シーに新しいルールを追加する必要があります。ポリシーがクライアントコンピュータに適 用された後、通知はユーザーにクライアントコンピュータを再起動するように要求します。 ユーザーは、ポリシーを有効にするために、コンピュータを再起動する必要があります。 アプリケーションとデバイス制御ポリシーを撤回するか、または無効にした場合、ドライバ は無効になり、クライアントは保護されません。ポリシーを再度有効にした場合、ユーザー はもう一度クライアントコンピュータを再起動する必要があります。 アプリケーションとデバイス制御ポリシーの構造につい て アプリケーションとデバイス制御ポリシーのアプリケーション制御部分には、複数のルー ルセットを含めることができ、各ルールセットには 1 つ以上のルールが含まれます。ルー ルセットに対してプロパティを設定できます。また、各ルールに対してプロパティ、条件、 処理を設定できます。 ルールは、ファイルや Windows レジストリキーなど、Symantec Endpoint Protection が監視するコンピュータエンティティへのアクセスの試みを制御します。これらのさまざま な種類の試みを条件として設定します。各条件に対し、条件が満たされたときに実行す る処理を設定できます。特定のアプリケーションにだけ適用されるようにルールを設定し、 他のアプリケーションを処理の適用対象から除外することもできます。 p.435 の 「カスタムアプリケーション制御ルールの作成」 を参照してください。 デバイス制御は、遮断されるデバイスのリストと、遮断対象から除外するデバイスのリスト で構成されます。これら 2 つのリストに追加でき、その内容を管理できます。 図 20-1 に、アプリケーション制御、デバイス制御のコンポーネントと、それぞれの関連を 示します。 431 432 第 20 章 アプリケーションとデバイス制御の管理 アプリケーションとデバイス制御の設定 図 20-1 アプリケーションとデバイス制御ポリシーの構造 アプリケーションとデバイス制御の設定 一部の典型的なタスクを実行することによって、アプリケーションとデバイス制御を設定で きます。 p.429 の 「アプリケーションとデバイス制御について」 を参照してください。 第 20 章 アプリケーションとデバイス制御の管理 アプリケーションとデバイス制御の設定 表 20-1 アプリケーションとデバイス制御の設定 タスク 説明 デフォルトのアプリケーション制御ルール セットを有効にする アプリケーションとデバイス制御のポリシーには、デ フォルトのアプリケーション制御ルールセットが含まれ ます。デフォルトのルールセットは無効になっていま す。必要なルールセットを有効にできます。 メモ: デフォルトルールセットが必要条件を満たしてい ない場合、カスタムルールセットを作成します。 デフォルトルールセットは、テストモードではなく実働 モードで設定されます。ただし、実働ネットワークに適 用する前にテストモードに設定を変更して、テストネッ トワークでルールをテストすることができます。 p.434 の 「デフォルトのアプリケーション制御ルールセッ トの有効化」 を参照してください。 メモ: アプリケーション制御ルールを有効にした場合、 クライアントコンピュータを再起動する必要があります。 p.129 の 「クライアントコンピュータの再起動」 を参照し てください。 カスタムアプリケーション制御ルールセット カスタムアプリケーション制御ルールセットを作成でき を作成してテストする ます。通常、詳しい知識のある管理者のみが、このタ スクを実行してください。 p.435 の 「カスタムアプリケーション制御ルールの作成」 を参照してください。 p.439 の 「一般的なアプリケーション制御ルール」 を参 照してください。 メモ: アプリケーション制御ルールを有効にした場合、 クライアントコンピュータを再起動する必要があります。 アプリケーション制御の例外を作成する アプリケーション制御は、ネットワークで実行する一部 のアプリケーションに問題を引き起こす場合がありま す。アプリケーション制御からアプリケーションを除外 できます。例外ポリシーを使って、例外を指定します。 p.476 の 「アプリケーションのアプリケーション制御から の除外」 を参照してください。 システムロックダウンを設定する システムロックダウンは、クライアントコンピュータで許 可アプリケーションを制御します。 p.448 の 「システムロックダウンの設定」 を参照してくだ さい。 433 434 第 20 章 アプリケーションとデバイス制御の管理 デフォルトのアプリケーション制御ルールセットの有効化 タスク 説明 ハードウェアデバイスを許可または遮断す デバイス制御は、クライアントコンピュータでどのハー るようにデバイス制御を設定する ドウェアデバイスを許可し、遮断するかを指定します。 Symantec Endpoint Protection Manager には、デ バイス制御設定で使うことができるデバイスリストが用 意されています。リストにデバイスを追加できます。 p.459 の 「デバイス制御の管理」 を参照してください。 アプリケーション制御ログとデバイス制御ロ Symantec Endpoint Protection Manager でのアプ グを表示する リケーション制御ログとデバイス制御ログに、アプリケー ション制御およびデバイス制御イベントを表示できま す。 クライアントコンピュータでは、アプリケーション制御お よびデバイス制御イベントは制御ログに表示されます。 メモ: 単一のアプリケーション制御処理に対して、重 複または複数のログエントリを確認できます。たとえば、 explorer.exe はファイルをコピーしようとすると、ファイ ルのアクセスマスクの書き込みおよび削除ビットを設 定します。Symantec Endpoint Protection はイベン トをログに記録します。アプリケーション制御ルールが 処理を遮断するので複製の処理が失敗すれば、 explorer.exe はかまれるアクセスマスクで削除のみ使 うことによってファイルをコピーすることを試みます。 Symantec Endpoint Protection は複製の試行の別 のイベントをログに記録します。 アプリケーションおよびデバイス制御の有 クライアントでのアプリケーションおよびデバイス制御 効と無効の切り替えをユーザーに禁止また の有効と無効の切り替えを、ユーザーに禁止すること は許可する も許可することもできます。[クライアントユーザーイン ターフェースの設定]ダイアログボックスの設定を使い ます。 p.204 の 「ユーザー制御レベルの変更」 を参照してく ださい。 デフォルトのアプリケーション制御ルールセットの有効化 アプリケーションとデバイス制御ポリシーのアプリケーションを制御する部分は、アプリケー ション制御ルールセットで構成されます。それぞれのアプリケーション制御ルールセットは 1 つ以上のルールで構成されます。デフォルトのアプリケーション制御ルールセットは、 Symantec Endpoint Protection Manager とともにインストールされます。デフォルトの ルールセットは、インストール時は無効になっています。 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 アプリケーションとデバイス制御のポリシーでデフォルトのルールセットを使う場合は、ルー ルセットを有効にする必要があります。 p.432 の 「アプリケーションとデバイス制御の設定」 を参照してください。 デフォルトのアプリケーション制御ルールセットを有効にするには 1 コンソールで、デフォルトのアプリケーション制御ルールセットを追加するアプリケー ションとデバイス制御ポリシーで、[アプリケーション制御]をクリックします。 2 デフォルトのアプリケーション制御ルールセット内の設定を確認するには、[ルール セット]で名前をクリックし、[編集]をクリックします。 変更は行わないように注意してください。 3 ルールとその条件設定を確認したら、[キャンセル]をクリックします。 4 有効にするルールセットの隣にあるチェックボックスにチェックマークを付けます。 たとえば、[USB ドライブの書き込みを遮断する]ルールセットの横にある[有効]列 のチェックボックスにチェックマークを付けます。 5 [OK]をクリックします。 ルールセット[USB ドライブの書き込みを遮断する]をテストするには 1 クライアントコンピュータで、USB ドライブを接続します。 2 Windows エクスプローラを開き、USB ドライブをダブルクリックします。 3 ウィンドウを右クリックし、[新規]、[フォルダ]の順に選択します。 4 アプリケーション制御が有効な場合、[フォルダを作成できません]というエラーメッ セージが表示されます。 カスタムアプリケーション制御ルールの作成 アプリケーションとデバイス制御を設定したときに、カスタムアプリケーション制御ルール を使うことができます。 p.432 の 「アプリケーションとデバイス制御の設定」 を参照してください。 435 436 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 表 20-2 カスタムアプリケーション制御ルールの作成 手順 処理 説明 手順 1 ルールセットを計画する 新しいアプリケーション制御ルールセットには、管理者が定義したルール が 1 つ以上含まれます。各ルールセットとルールにはプロパティがありま す。各ルールには、アプリケーションとその指定したファイル、フォルダ、 レジストリキー、プロセスへのアクセスを監視する 1 つ以上の条件を含め ることができます。 カスタムルールを作成する前に、ベストプラクティスを見直してください。 p.437 の 「アプリケーション制御ルールの作成のベストプラクティスについ て」 を参照してください。 デフォルトルールセットの構造を見直して、その構成を参照することもで きます。 手順 2 ルールセットを作成し、ルールを追加 複数のルールを作成して、単一のアプリケーション制御ルールセットに する 追加できます。必要に応じてルールをルールリストから削除したり、ルー ルセット階層内の位置を変更できます。また、ルールセットやルールセッ ト内の個別のルールを有効、無効にすることもできます。 p.441 の 「カスタムルールセットの作成とルールの追加」 を参照してくださ い。 p.439 の 「一般的なアプリケーション制御ルール」 を参照してください。 同じポリシー内、または 2 つのポリシー間で、ルールセットまたは個々の ルールをコピーして貼り付けできます。シマンテック社からダウンロードす るポリシーから、または実働ポリシーで使うルールを含むテストポリシーか らルールをコピーできます。 p.443 の 「アプリケーション制御とデバイス制御のポリシー間で行うアプリ ケーションルールセットまたはルールのコピー」 を参照してください。 手順 3 特定のアプリケーションにルールを適 すべてのルールは、少なくとも 1 つのアプリケーションに適用される必要 用し、ルールからの特定のアプリケー があります。また、ルールから特定のアプリケーションを除外できます。 ションを除外する ルールの[プロパティ]タブでアプリケーションを指定します。 p.444 の 「特定のアプリケーションへのルールの適用とルールからのアプ リケーションの除外」 を参照してください。 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 手順 処理 説明 手順 4 ルールに条件と処理を追加する 条件によってアプリケーションを制御するときは、アプリケーションが試み る内容を指定します。 次のいずれかの条件を設定できます。 ■ レジストリアクセスの試み ■ ファイルやフォルダのアクセスの試み ■ プロセス起動の試み ■ プロセス終了の試み ■ DLL ロードの試み p.445 の 「カスタムアプリケーション制御ルールへの条件と処理の追加」 を参照してください。 設定された条件を満たした場合にアプリケーションで行われる処理を、 次の中から設定できます。 ■ 他のルールの処理を続ける ■ アプリケーションにエンティティへのアクセスを許可する ■ アプリケーションによるエンティティへのアクセスを遮断する ■ エンティティにアクセスしようと試みているアプリケーションを終了する メモ: 処理は、ルールで定義されているプロセスに常に適用されることに 注意してください。条件の中で定義されているプロセスには適用されませ ん。 手順 5 ルールをテストする 実働ネットワークに適用する前に、ルールをテストしてください。 アプリケーションとデバイス制御ポリシーで使われているルールセット内 に設定エラーがあると、コンピュータまたはサーバーが使用できなくなる ことがあります。また、クライアントコンピュータが障害になったり、Symantec Endpoint Protection Manager との通信が遮断されることもあります。 p.447 の 「アプリケーション制御ルールセットのテスト」 を参照してくださ い。 テストした後、ルールを実働ネットワークに適用できます。 アプリケーション制御ルールの作成のベストプラクティスについて カスタムアプリケーション制御ルールは、慎重に計画する必要があります。 p.435 の 「カスタムアプリケーション制御ルールの作成」 を参照してください。 p.439 の 「一般的なアプリケーション制御ルール」 を参照してください。 アプリケーション制御ルールを作成するときには、次のベストプラクティスに留意してくだ さい。 437 438 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 表 20-3 ベストプラクティス アプリケーション制御ルールのベストプラクティス 説明 例 目的ごとに 1 つのルールセット 最も実践的な方法は、1 つのルールセットを すべてのリムーバブルドライブへの書き込み を使う 作成し、その中に 1 つのタスクを許可、遮断、 を遮断し、アプリケーションが特定のアプリケー 監視するすべての処理を含めることです。 ションを改変することを遮断できます。 これらの目的を実現するため、2 つの異なる ルールセットを作成します。これら両方の目的 を実現するために、必要なすべてのルールを 1 つのルールセットを使って作成しないでくだ さい。 ルールの順序を考慮する アプリケーション制御ルールは、最初に一致 したルールが適用されるという点で、ほとんど のネットワークベースファイアウォールルール と同様に動作します。複数の条件が該当する 場合、最初のルールだけが適用されます。た だし、そのルールに設定されている処理が[他 のルールの処理を続ける]である場合を除き ます。 すべてのユーザーが、USB ドライブ上のファ イルを移動、コピー、作成できないようにしま す。 Test.doc という名前のファイルへの書き込み アクセスを許可する条件が含まれた既存の ルールがあります。この既存のルールセットに 対して 2 つ目の条件を追加し、すべての USB ドライブを遮断します。このシナリオでは、ユー ザーは引き続き USB ドライブ上の Test.doc ファイルを作成、変更できます。Test.doc へ の[アクセスを許可する]という条件は、ルール セットにおいて、USB ドライブへの[アクセスを 遮断する]という条件の前に現れます。USB ドライブへの[アクセスを遮断する]という条件 は、リストでこの条件よりも前に現れる条件が 該当するときには処理されません。 [プロセスを終了する]処理を控 [プロセスを終了する]処理は、プロセスが設 プロセスが Winword.exe を起動したときはい えめに使う 定された条件を満たした場合に、プロセスを つでも、Winword.exe を終了したいと考えて 強制終了します。 いるとします。 [プロセスを終了する]処理を使うのは、詳し い知識のある管理者のみにしてください。通 常は、代わりに[アクセスを遮断する]処理を 使ってください。 これは、ルールを作成し、[プロセス起動の試 み]条件と[プロセスを終了する]処理を使っ て設定します。条件を Winword.exe に適用 し、ルールをすべてのプロセスに適用します。 このルールが Winword.exe を終了すると考 えるかもしれませんが、これはこのルールが行 う処理ではありません。Windows エクスプロー ラから Winword.exe を開始しようとすると、こ の設定を含むルールによって Winword.exe ではなく Explorer.exe が終了します。ユー ザーが直接 Winword.exe を起動する場合 は、Winword.exe は実行可能な状態のまま です。 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 ベストプラクティス 説明 例 [プロセス終了の試み]条件を 使ってプロセスを保護する [プロセス終了の試み]条件は、クライアントコ Process Explorer は、開かれているまたは ンピュータ上でのアプリケーションによるプロ ロードされている DLL プロセスと、そのプロセ セスの終了を許可または遮断します。 スが使っているリソースを表示するツールで す。 この条件は、ユーザーが[ファイル]メニュー から[中止する]をクリックするなどの通常の方 Process Explorer が特定のアプリケーション 法でアプリケーションを停止することを許可ま を終了しようと試みているとき、Process たは防止しません。 Explorer を終了することができます。 [プロセス終了の試み]条件と[プロセスを終 了する]処理を使って、この種類のルールを 作成します。Process Explorer アプリケーショ ンに条件を適用します。Process Explorer で 終了しない、1 つまたは複数のアプリケーショ ンにルールを適用します。 一般的なアプリケーション制御ルール ユーザーがアプリケーションを開いたり、ファイルに書き込んだり、ファイルを共有できな いようにするために、カスタムアプリケーション制御ルールを作成できます。 p.435 の 「カスタムアプリケーション制御ルールの作成」 を参照してください。 デフォルトのルールセットを見れば、ルールを設定する方法を決定する場合に役立ちま す。たとえば、[アプリケーションの実行を遮断する]ルールセットを編集して、[プロセス 起動の試み]条件の使い方を確認できます。 p.434 の 「デフォルトのアプリケーション制御ルールセットの有効化」 を参照してください。 表 20-4 一般的なアプリケーション制御ルール ルール 説明 ユーザーがアプリケーションを開けないよ うにする これらの条件のいずれかを満たす場合に、アプリケー ションを遮断できます。 プロセス起動の試み たとえば、ユーザーが FTP ファイルを転送できな いようにするには、ユーザーに FTP クライアントを 起動させないルールをコマンドプロンプトから追加 できます。 ■ DLL ロードの試み たとえば、クライアントコンピュータの Msvcrt.dll を遮断するルールを追加した場合、ユーザーは Microsoft WordPad を開くことができません。ルー ルはまた、DLL を使うその他のアプリケーションも すべて遮断します。 ■ 439 440 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 ルール 説明 ユーザーが特定のファイルに書き込めない ユーザーがファイルを開くことができても、ファイルを ようにする 修正できないようにすることができます。たとえば、ファ イルには、従業員が確認する必要があっても編集で きない財務データが含まれる場合があります。 ユーザーにファイルへの読み取り専用アクセスを与え るルールを作成できます。たとえば、メモ帳でテキスト ファイルを開くことはできるが、編集はできないルール を追加できます。 [ファイルやフォルダのアクセスの試み]条件を使って、 この種類のルールを作成します。 Windows コンピュータでファイル共有を遮 Windows コンピュータでローカルファイルとプリンタ 断する の共有を無効にするために、すべてのアプリケーショ ンに適用されるカスタムルールを作成できます。 次の条件を含めます。 レジストリアクセスの試み 適切な Windows セキュリティおよび共有するレジ ストリキーをすべて追加します。 ■ プロセス起動の試み サーバーサービス処理(svchost.exe)を指定しま す。 ■ DLL ロードの試み [セキュリティ]および[共有]タブで DLL を指定し ます(rshx32.dll、ntshrui.dll)。 ■ DLL ロードの試み サーバーサービス DLL(srvsvc.dll)を指定します。 ■ 各条件の処理を[アクセスを遮断する]に設定します。 メモ: ポリシーの適用後、完全にファイル共有を無効 にするには、クライアントコンピュータを再起動する必 要があります。 また、ファイアウォールルールを使って、クライアントコ ンピュータに対してファイルの共有を禁止するか共有 するかを指定できます。 p.405 の 「ネットワーク内のファイルおよびプリンタを参 照できるようにするクライアントの許可」 を参照してくだ さい。 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 ルール 説明 ユーザーがピアツーピアアプリケーション を実行できないようにする アプリケーション制御を使って、ユーザーがコンピュー タ上でピアツーピアアプリケーションを実行できないよ うにすることができます。 [プロセス起動の試み]条件で、カスタムルールを作成 できます。条件では、LimeWire.exe や *.torrent な ど、遮断するすべてのピアツーピアアプリケーションを 指定する必要があります。条件の処理を[アクセスを 遮断する]または[プロセスを終了する]に設定できま す。 侵入防止ポリシーを使って、ピアツーピアアプリケー ションからのネットワークトラフィックを遮断します。ファ イアウォールポリシーを使って、ピアツーピアアプリケー ショントラフィックを送受信するポートを遮断します。 p.411 の 「クライアントコンピュータでの侵入防止の管 理」 を参照してください。 p.364 の 「ファイアウォールポリシーの作成」 を参照し てください。 DVD ドライブへの書き込み試行を遮断す 現在、Symantec Endpoint Protection Manager は る DVD ドライブへの書き込み試行の遮断を指定する ルールセットをサポートしていません。このオプション は[アプリケーションとデバイス制御のポリシー]で選 択できますが、強制されません。その代わり、DVD ド ライブに書き込む特定のアプリケーションを遮断する アプリケーションとデバイス制御のポリシーを作成でき ます。 DVD ドライブに書き込む試行を遮断するには Windows のレジストリキーを設定するホストインテグリ ティポリシーも作成してください。 カスタムルールセットの作成とルールの追加 複数のルールを作成して、単一のアプリケーション制御ルールセットに追加できます。希 望する保護を実装するために必要な数のルールとルールセットを作成します。必要に応 じてルールをルールリストから削除したり、ルールセット階層内の位置を変更できます。ま た、ルールセットやルールセット内の個別のルールを有効、無効にすることもできます。 441 442 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 メモ: 32 ビット固有のフォルダ(Windows¥system32 など)へのアクセスを遮断するカス タムルールを作成する場合、それらのルールは 64 ビットのクライアントでは機能しませ ん。Windows¥syswow64 フォルダへのアクセスを遮断するルールも作成する必要があ ります。 p.435 の 「カスタムアプリケーション制御ルールの作成」 を参照してください。 カスタムルールセットの作成とルールの追加 1 コンソールで、アプリケーションとデバイス制御ポリシーを開き、[追加]をクリックしま す。 2 このルールセットに関するイベントをログに記録しない場合は、[アプリケーション制 御ルールセットの追加]ダイアログボックスで、[ログ記録を有効にする]のチェック マークをはずします。 3 [ルールセット名]テキストボックスで、ルールセットのデフォルトの名前を変更します。 4 [説明]フィールドに説明を入力します。 5 [ルール名]テキストボックスでルールのデフォルトの名前を変更し、ルールの説明 を入力します。 6 この時点でルールを有効にしない場合は、[このルールを有効にする]のチェック マークをはずします。 7 [プロパティ]タブで、このルールの適用先となるアプリケーションと、ルールから除外 する必要があるアプリケーションを指定します。 各ルールには適用先となるアプリケーションが必要です。 p.444 の 「特定のアプリケーションへのルールの適用とルールからのアプリケーショ ンの除外」 を参照してください。 各ルールには条件と処理も必要です。 p.445 の 「カスタムアプリケーション制御ルールへの条件と処理の追加」 を参照して ください。 8 その他のルールをルールセットに追加するには、[追加]、[ルールの追加]の順に クリックします。 9 [OK]をクリックします。 新しいルールセットが表示され、テストモードに設定されます。クライアントコンピュー タに適用する前に、新しいルールセットをテストしてください。 p.447 の 「アプリケーション制御ルールセットのテスト」 を参照してください。 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 アプリケーション制御とデバイス制御のポリシー間で行うアプリケーショ ンルールセットまたはルールのコピー 2 つの異なるポリシー間で、アプリケーション制御ルールセットや個々のルールをコピー できます。同じポリシー内でルールセットまたはルールをコピーすることもできます。この 手順では、2 つの異なるポリシー間でルールセットまたはルールをコピーする方法につい て説明します。 p.435 の 「カスタムアプリケーション制御ルールの作成」 を参照してください。 アプリケーション制御とデバイス制御のポリシー間で行うアプリケーションルールセットの コピー 1 コンソールで、コピーするルールセットが含まれるアプリケーション制御とデバイス制 御のポリシーを開きます。 2 [アプリケーション制御]をクリックします。 3 [アプリケーション制御]ページの[Application Control Rules Sets]で、コピーす るルールセットを右クリックし、[コピー]を選択します。 4 [OK]をクリックして現在のポリシーを閉じます。 5 コンソールの[アプリケーションとデバイス制御ポリシー]で、コピー先のポリシーを選 択します。 [タスク]の下で、[ポリシーの編集]をクリックします。 6 コピー先のポリシーで、[アプリケーション制御]を選択します。 7 [アプリケーション制御ルールの設定]で、右クリックして[貼り付け]を選択します。 アプリケーション制御とデバイス制御のポリシー間で行うアプリケーションルールのコピー 1 コンソールで、コピーするルールが含まれるアプリケーション制御とデバイス制御の ポリシーを開きます。 2 [アプリケーション制御]をクリックします。 3 コピーするルールがあるルールセットを選択し、[編集]をクリックします。 4 [ルール]で、コピーするルールを右クリックし、[コピー]を選択します。 5 [OK]をクリックしてルールセットを閉じます。 6 [OK]をクリックしてポリシーを閉じます。 7 コンソールの[アプリケーションとデバイス制御ポリシー]で、コピー先のポリシーを選 択します。 8 [タスク]の下で、[ポリシーの編集]をクリックします。 9 コピー先のポリシーで、[アプリケーション制御]を選択します。 443 444 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 10 ルールのコピー先のルールセットを選択し、[編集]をクリックします。 11 [ルール]で、右クリックして[貼り付け]を選択します。 特定のアプリケーションへのルールの適用とルールからのアプリケーショ ンの除外 アプリケーションにルールを適用したり、ルールの処理からアプリケーションを除外できま す。ルールが適用されるアプリケーションを含む 1 つのリストを指定します(包含)。ルー ルを適用しないアプリケーションを含む別のリストを指定します(除外)。ルールを特定の アプリケーションに結びつけるには、[このルールを次のプロセスに適用する]テキスト フィールドでそのアプリケーションを定義します。 特定のアプリケーションセットを除くすべてのアプリケーションにルールを結びつけるに は、次の設定を使用できます。 ■ [このルールを次のプロセスに適用する]テキストボックスで、すべてのプロセスを示す ワイルドカード文字(*)を定義します。 ■ [次のプロセスにこのルールを適用しない]テキストボックスで、除外する必要があるア プリケーションを列挙します。 各リストでは必要な数のアプリケーションを定義できます。 メモ: すべてのルールで、[このルールを次のプロセスに適用する]テキストボックスにアプ リケーションを 1 つ以上指定することが必要です。 アプリケーションをルールに追加するときは、次の方法を使ってアプリケーションを指定で きます。 ■ プロセス名 ■ ワイルドカード文字 ■ 正規表現 ■ ファイルフィンガープリント ■ アプリケーションを起動したドライブの種類 ■ デバイス ID p.435 の 「カスタムアプリケーション制御ルールの作成」 を参照してください。 特定のアプリケーションにルールを適用するには 1 [アプリケーション制御ルールセットの編集]ダイアログボックスで、適用するルール をクリックします。 2 ルールを適用するアプリケーションを設定する場合は、[このルールを次のプロセス に適用する]の右にある[追加]をクリックします。 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 3 4 [プロセス定義の追加]ダイアログボックスで、次の項目を設定します。 ■ このルールで照合するアプリケーションの名前を入力します。 ■ 名前の照合に対し、[ワイルドカード一致を使う (* と ? をサポートします)]と[正規 表現の一致を使う]のいずれかをクリックします。 ■ 必要に応じて、プロセスを照合するドライブの種類にチェックマークを付けます。 ■ 特定の種類の ID を持つデバイス上で実行されるプロセスだけを照合するには、 [次の ID で識別される種類のデバイス上で実行するプロセスのみを照合する] にチェックマークを付け、テキストフィールドにデバイス ID の種類を入力するか、 [選択]をクリックして、デバイス選択のダイアログボックスのリストから、デバイス ID の種類を選択します。 ■ ファイルフィンガープリントに基づいてプロセスを照合したり、指定した引数を持 つプロセスだけを照合するには、[オプション]をクリックします。引数は正確に照 合することも、正規表現による照合を使うこともできます。 [OK]をクリックします。 手順 2 から 4 を繰り返し、必要な数のアプリケーションを追加できます。 5 1 つ以上のアプリケーションをルールから除外するように設定するには、[このルー ルを次のプロセスに適用しない]テキストフィールドの右にある[追加]をクリックしま す。 必要に応じて除外するアプリケーションの設定を繰り返します。除外するアプリケー ションを定義するときには、アプリケーションにルールを適用するときと同じオプショ ンがあります。 6 アプリケーションの定義を完了したら、[OK]をクリックします。 カスタムアプリケーション制御ルールへの条件と処理の追加 カスタムルールの適用先アプリケーションを定義したら、ルールの条件と処理を定義する 必要があります。条件のプロパティは、条件によって探す内容を指定します。条件の処理 は、条件が満たされたときに実行する内容を定義します。 p.435 の 「カスタムアプリケーション制御ルールの作成」 を参照してください。 アプリケーション制御ルールへの条件と処理の追加 1 [アプリケーション制御ルールセットの追加]または[アプリケーション制御ルールセッ トの編集]ダイアログボックスの[ルール]で、[追加]をクリックし、[条件の追加]をク リックします。 2 次のいずれかの条件を選択します。 ■ レジストリアクセスの試み ■ ファイルやフォルダのアクセスの試み 445 446 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 ■ プロセス起動の試み ■ プロセス終了の試み ■ DLL ロードの試み 3 条件の[プロパティ]タブで、条件の名前と説明を入力します。 4 [次の <エンティティ > に適用する](ここで <エンティティ > はレジストリキー、ファイ ルとフォルダ、プロセス、DLL のいずれかを表す)の右にある[追加]をクリックします。 5 [エンティティ定義の追加]ダイアログボックスで、レジストリキー、ファイルまたはフォ ルダの名前、プロセス名、DLL のいずれかを入力します。 メモ: 条件を特定のフォルダ内のすべてのエンティティに適用する場合、最も実践的 な方法は、<フォルダ名 >¥* または <フォルダ名 >¥*¥* を使うことです。1 つのアス タリスクには、名前付きフォルダ内のすべてのファイルとフォルダが包含されます。名 前付きフォルダ内のすべてのファイルとフォルダに加え、すべてのサブフォルダ内 のファイルとフォルダを含めるには、<folder_name >¥*¥* を使います。 6 [OK]をクリックします。 7 [次のプロセスに適用しない]の右にある[追加]をクリックし、レジストリキー、ファイル とフォルダ、プロセス、DLL のいずれかを指定します。 8 [OK]をクリックします。 9 条件の[処理]タブで、次の処理のいずれかを選択します。 ■ 他のルールの処理を続ける ■ アクセスを許可する ■ アクセスを遮断する ■ プロセスを終了する [レジストリアクセスの試み]条件と[ファイルやフォルダのアクセスの試み]条件の場 合は、2 セットの処理を設定できます。1 セットは[読み込みの試み]用、もう 1 セット は[作成、削除、書き込みの試み]用です。 10 [ログ記録を有効にする]にチェックマークを付け、ログに記録するエントリに割り当 てられる重大度を選択します。 11 [ユーザーに通知]にチェックマークを付け、ユーザーに対して表示するテキストを 入力します。 12 [OK]をクリックします。 第 20 章 アプリケーションとデバイス制御の管理 カスタムアプリケーション制御ルールの作成 アプリケーション制御ルールセットのテスト カスタムアプリケーション制御ルールを作成した後は、ネットワークでそれらをテストする 必要があります。 p.435 の 「カスタムアプリケーション制御ルールの作成」 を参照してください。 表 20-5 手順 アプリケーション制御ルールセットのテスト 説明 ルールセットをテストモードに設定し、ルー モードをテスト(ログのみ)モードに設定することによっ ルの有効と無効を切り替える てルールセットをテストします。テストモードでは、実際 にはルールを適用しないで、ルールセットのルールが いつ適用されるかを示すログエントリが作成されます。 カスタムルールは、デフォルトでテストモードを使いま す。デフォルトのルールセットもテストできます。 セット内のルールを個別にテストしたい場合もありま す。ルールセットの各ルールの有効と無効を切り替え ることで、個々のルールをテストできます。 p.441 の 「カスタムルールセットの作成とルールの追 加」 を参照してください。 p.434 の 「デフォルトのアプリケーション制御ルールセッ トの有効化」 を参照してください。 テストネットワーク内にあるコンピュータに 新しい[アプリケーションとデバイス制御]ポリシーを作 [アプリケーションとデバイス制御]ポリシー 成したら、テストネットワーク内のクライアントにポリシー を適用する を適用する必要があります。 p.241 の 「グループへのポリシーの割り当て」 を参照し てください。 メモ: 新しい[アプリケーションとデバイス制御]ポリシー を適用した後や、デフォルトのポリシーを変更したとき には、クライアントコンピュータを再起動する必要があ ります。 制御ログを調べる ルールセットをテストモードでしばらく実行したら、エ ラーがないかクライアントのログを調べることができま す。 アプリケーション制御ログは Symantec Endpoint Protection Manager で表示できます。 クライアントコンピュータで制御ログを表示することもで きます。 ルールが予期したとおり機能している場合は、ルール セットのモードを実働モードに変更できます。 447 448 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 システムロックダウンの設定 システムロックダウンは、クライアントコンピュータでの未承認アプリケーションをすべて遮 断します。 p.432 の 「アプリケーションとデバイス制御の設定」 を参照してください。 グループのシステムロックダウンを設定するには、特定の手順に従うことをお勧めします。 表 20-6 システムロックダウンの手順 手順 処理 説明 手順 1 許可されたアプリケーションのファイルフィ クライアントコンピュータで実行することを許可されているアプリケー ンガープリントリストを作成する ションを含んだファイルフィンガープリントリストを作成する必要があ ります。このリストは、ネットワーク内のクライアントコンピュータに定 期的にインストールする企業イメージから作成できます。このイメー ジには、クライアントコンピュータで許可するすべてのアプリケーショ ンが含まれます。 p.450 の 「ファイルフィンガープリントリストの管理」 を参照してくださ い。 ファイルフィンガープリントリストを作成した後、Symantec Endpoint Protection Manager にそれらをインポートしてください。 p.454 の 「Symantec Endpoint Protection Manager でのファイル フィンガープリントリストのインポートまたはマージ」 を参照してくだ さい。 手順 2 テストモードでシステムロックダウンを実行 システムロックダウンがクライアントコンピュータで未承認アプリケー する ションを遮断できるようにする前に、テストモードでシステムロックダ ウンを実行してください。テストモードでは、未承認アプリケーション はログに記録されますが、遮断されません。 クライアントが通常のアプリケーションを実行できるだけ十分な時 間、システムロックダウンをテストモードで実行します。通常の時間 枠は 1 週間です。 テストモードでシステムロックダウンを実行した後、未承認アプリケー ションリストを表示できます。システムロックダウン設定で状態を調べ ることによって、未承認アプリケーションリストを表示できます。ここ で、ファイルフィンガープリントまたは許可リストにアプリケーションを 追加するかどうかを決定できます。 p.455 の 「テストモードでのシステムロックダウンの実行」 を参照して ください。 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 手順 処理 説明 手順 3 システムロックダウンを有効にする システムロックダウンを有効にする前に、テストモードでシステムロッ クダウンを実行したことを確認します。システムロックダウンは、承認 済みアプリケーションリストに指定されていない任意のアプリケーショ ンを遮断します。 メモ: システムロックダウンを有効にする前に、必ず設定をテストし てください。必要なアプリケーションを遮断した場合、クライアントコ ンピュータが再起動できなくなる場合があります。 p.457 の 「システムロックダウンを有効にした未承認アプリケーション の遮断」 を参照してください。 手順 4 システムロックダウンを更新する クライアントを追加するか、ネットワークで新規アプリケーションをイ ンストールした場合は、システムロックダウンを更新してください。最 新の承認済みアプリケーションを取得する新しいファイルフィンガー プリントリストを作成する必要があります。 システムロックダウンを更新するには、システムロックダウンをテスト モードにリセットするか、システムロックダウンが有効にならない別の グループに新しいクライアントを移動できます。または、テストネット ワークに生産システムと同じファイルが含まれる場合は、新しいクラ イアントおよびアプリケーションにテストネットワークを使うことができ ます。 p.457 の 「システムロックダウンを有効にした未承認アプリケーション の遮断」 を参照してください。 p.450 の 「ファイルフィンガープリントリストの管理」 を参照してくださ い。 449 450 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 手順 処理 説明 手順 5 システムロックダウンから項目をテストして 削除する しばらくの間システムロックダウンを実行すると、多数のファイルフィ ンガープリントリストが蓄積する場合があります。最終的に、これらの リストの一部が使われず、削除される場合もあります。システムロッ クダウンからのファイルフィンガープリントリストの削除は危険です。 ファイルフィンガープリントリスト内のすべてのアプリケーションは、リ ストを削除した後に遮断されます。 システムロックダウンから削除する前に、必ずアプリケーションをテ ストしてください。 システムロックダウンを有効にした場合、[削除前にテスト]オプショ ンを使って、ファイルフィンガープリントリストまたは特定のアプリケー ションを未承認としてログに記録できます。 このテストの実行時には、システムロックダウンはテストしているアプ リケーションを遮断しません。アプリケーション制御ログを調べて、 そこにどの未承認アプリケーションが表示されているかを確認でき ます。ファイルフィンガープリントリストのエントリがログにない場合 は、クライアントでこれらのアプリケーションが使われていないことが わかります。安全にリストを削除できます。 p.458 の 「システムロックダウンからの項目のテストおよび削除」 を参 照してください。 ファイルフィンガープリントリストの管理 ファイルフィンガープリントリストは、クライアントコンピュータのアプリケーションごとに 1 つ のチェックサムのリストから構成されます。ここには、これらのアプリケーションの絶対ファ イルパスが含まれます。ユーザーに実行を許可するアプリケーションがすべて含まれて いるソフトウェアイメージからファイルフィンガープリントリストを作成できます。Symantec Endpoint Protection Manager でファイルフィンガープリントリストを管理し、システムロッ クダウン設定でこれらを使うことができます。 p.448 の 「システムロックダウンの設定」 を参照してください。 表 20-7 タスク ファイルフィンガープリントリストの管理 説明 承認されたソフトウェアイメージ ユーザーにコンピュータでの実行を許可するアプリケーションを を取得する すべて含むソフトウェアイメージを作成します。 たとえば、ネットワークには Windows Vista 32 ビット、Windows Vista 64 ビット、Windows XP SP2 のクライアントが含まれる場 合があります。各クライアントイメージのファイルフィンガープリン トリストを作成できます。 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 タスク 説明 ファイルフィンガープリントリスト ファイルフィンガープリントリストを作成するために、Checksum.exe を作成する ユーティリティを使うことができます。このユーティリティは、クライ アントコンピュータに Symantec Endpoint Protection とともにイ ンストールされています。使用環境の各コンピュータイメージに対 してこのコマンドを実行して、各イメージのファイルフィンガープリ ントリストを作成できます。checksum.exe により、コンピュータ上 の全実行ファイルのリストと、各ファイルのチェックサムを含むテキ ストファイルが生成されます。 このユーティリティはコマンドプロンプトから実行できます。 Checksum.exe ファイルは以下の場所にあります。 C:¥Program Files¥Symantec¥Symantec Endpoint Protection p.452 の 「ファイルフィンガープリントリストの作成」 を参照してくだ さい。 Symantec Endpoint Protection Manager にファイ ルフィンガープリントリストをイン ポートする Symantec Endpoint Protection Manager を使って、クライアン トコンピュータの種類ごとにファイルフィンガープリントリストをイン ポートできます。リストをマスターリストにマージできます。承認す る個々のファイルについて、ファイルフィンガープリントを追加す ることもできます。 p.454 の 「Symantec Endpoint Protection Manager でのファイ ルフィンガープリントリストのインポートまたはマージ」 を参照して ください。 システムロックダウン設定にファ システムロックダウン設定でファイルフィンガープリントリストを使う イルフィンガープリントリストを追 ことができます。ファイルフィンガープリントリストはネットワーク内 加する の承認済みアプリケーションを示します。 p.448 の 「システムロックダウンの設定」 を参照してください。 451 452 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 タスク 説明 ネットワークで実行するアプリ 時間の経過とともに、ネットワーク内の許可アプリケーションを変 ケーションを追加または変更す 更する場合があります。ファイルフィンガープリントリストを更新す るときにファイルフィンガープリ るか、または必要に応じてリストを削除できます。 ントリストを更新する システムロックダウンを実行したら、ファイルフィンガープリントリス トを修正または削除する前に、システムロックダウンが無効になっ ているか、またはテストモードで実行していることを確認します。 p.455 の 「テストモードでのシステムロックダウンの実行」 を参照し てください。 ファイルフィンガープリントリストは直接編集できません。ただし、 既存のリストにファイルフィンガープリントリストを追記できます。ま た、すでにインポートした複数のファイルフィンガープリントリスト もマージできます。 p.453 の 「Symantec Endpoint Protection Manager でのファイ ルフィンガープリントリストの編集」 を参照してください。 p.454 の 「Symantec Endpoint Protection Manager でのファイ ルフィンガープリントリストのインポートまたはマージ」 を参照して ください。 使わなくなった場合にのみファ Symantec Endpoint Protection Manager からファイルフィン イルフィンガープリントリストを削 ガープリントリストを削除できます。ただし、設定をテストし終わる 除する まで、ファイルフィンガープリントリストを削除しないでください。こ れ以降リストを使わないないことが確実な場合は、Symantec Endpoint Protection Manager から削除できます。 p.458 の 「システムロックダウンからの項目のテストおよび削除」 を 参照してください。 ファイルフィンガープリントリストの作成 ファイルフィンガープリントリストの作成には Checksum.exe を使います。ファイルフィン ガープリントリストには、クライアントコンピュータイメージに存在するファイルと各ファイル のチェックサムが指定されます。このユーティリティは、クライアントの Symantec Endpoint Protection の機能です。 p.450 の 「ファイルフィンガープリントリストの管理」 を参照してください。 コンピュータイメージについて Checksum.exe を実行して生成された出力ファイルの例 を示します。各行の形式は、「<ファイルのチェックサム > スペース <EXE または DLL の 絶対パス名 >」です。 0bb018fad1b244b6020a40d7c4eb58b7 c:¥dell¥openmanage¥remind.exe 35162d98c2b445199fef95e838feae4b c:¥dell¥pnp¥m¥co¥HSFCI008.dll 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 77e4ff0b73bc0aeaaf39bf0c8104231f f59ed5a43b988a18ef582bb07b2327a7 60e1604729a15ef4a3b05f298427b3b1 4f3ef8d2183f927300ac864d63dd1532 dcd15d648779f59808b50f1a9cc3698d eeaea6514ba7c9d273b5e87c4e1aab30 0a7782b5f8bf65d12e50f506cad6d840 9a6d7bb226861f6e9b151d22b977750d d97e4c330e3c940ee42f6a95aec41147 c:¥dell¥pnp¥m¥co¥HSFHWBS2.sys c:¥dell¥pnp¥m¥co¥HSF_CNXT.sys c:¥dell¥pnp¥m¥co¥HSF_DP.sys c:¥dell¥pnp¥m¥co¥HXFSetup.exe c:¥dell¥pnp¥m¥co¥MdmXSdk.dll c:¥dell¥pnp¥m¥co¥MDMXSDK.sys c:¥dell¥pnp¥mgmt¥drac2wdm.sys c:¥dell¥pnp¥mgmt¥racser.sys c:¥dell¥pnp¥n¥bc¥b57xp32.sys ファイルフィンガープリントリストを作成するには 1 ファイルフィンガープリントリストを作成するイメージがあるコンピュータから操作を行 います。このコンピュータには Symantec Endpoint Protection クライアントソフト ウェアがインストールされている必要があります。 2 [コマンドプロンプト]ウィンドウを開きます。 3 Checksum.exe ファイルのあるディレクトリに移動します。このファイルは、デフォルト では以下の場所にあります。 C:¥Program Files¥Symantec¥Symantec Endpoint Protection 4 次のコマンドを入力します。 checksum.exe <出力ファイル> <ドライブ> <出力ファイル > は、指定ドライブに存在する各実行ファイルのチェックサムを持つ テキストファイルの名前です。出力ファイルはテキストファイル(<出力ファイル>.txt) です。 構文の使用例を以下に示します。 checksum.exe cdrive.txt c:¥ このコマンドでは、cdrive.txt という名前のファイルが生成されます。このファイルに は、checksum.exe を実行したクライアントコンピュータの C ドライブにあるすべての 実行ファイルと DLL のチェックサムとファイルパスが含まれます。 Symantec Endpoint Protection Manager でのファイルフィンガー プリントリストの編集 すでに存在しているファイルフィンガープリントリストは直接編集できません。代わりに、 Checksum.exe から作成した新しいリストを既存のフィンガープリントリストに追加できま す。または、既存のフィンガープリントリストとすでにインポート済みの別のフィンガープリ ントリストをマージできます。 p.452 の 「ファイルフィンガープリントリストの作成」 を参照してください。 453 454 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 新しいリストにフィンガープリントリストをマージして異なる名前を付ける場合は、ファイル フィンガープリントの追加ウィザードを使います。 p.454 の 「Symantec Endpoint Protection Manager でのファイルフィンガープリントリス トのインポートまたはマージ」 を参照してください。 ファイルフィンガープリントリストを編集するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で、[ポリシーコンポーネント]を展開し、[ファイルフィンガープリントリスト] をクリックします。 3 [ファイルフィンガープリントリスト]ペインで、編集するファイルフィンガープリントリス トを選択します。 4 [編集]をクリックします。 5 ファイルフィンガープリントの編集ウィザードで、[次へ]をクリックします。 6 次のいずれかを実行します。 7 ■ 新規ファイルを既存のファイルに追加するには、[このファイルフィンガープリント にフィンガープリントを追加する]をクリックし、[次へ]をクリックします。 ■ すでにインポート済みのファイルフィンガープリントリストをマージするには、[この ファイルフィンガープリントに別のファイルフィンガープリントを追記する]をクリッ クします。 次のいずれかを実行します。 ■ [ファイルフィンガープリントのインポート]パネルで、[参照]をクリックしてファイル を指定するか、ファイルフィンガープリントリストの絶対パスをテキストボックスに入 力します。 ■ [複数ファイルフィンガープリントの結合]パネルで、マージするファイルフィンガー プリントを選択します。 8 [次へ]をクリックします。 9 [閉じる]をクリックします。 10 [完了]をクリックします。 Symantec Endpoint Protection Manager でのファイルフィンガー プリントリストのインポートまたはマージ ファイルをインポートすることによってファイルフィンガープリントリストを追加できます。ファ イルフィンガープリントリストはあらかじめ作成しておく必要があります。 また、既存のファイルフィンガープリントリストをマージできます。 p.450 の 「ファイルフィンガープリントリストの管理」 を参照してください。 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 ファイルフィンガープリントリストのインポートまたはマージ 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で、[ポリシーコンポーネント]を展開し、[ファイルフィンガープリントリスト] をクリックします。 3 [タスク]で、[ファイルフィンガープリントリストの追加]をクリックします。 4 [ファイルフィンガープリントの追加ウィザードにようこそ]で、[次へ]をクリックします。 5 [新しいファイルフィンガープリントについての情報]パネルで、新しいリストの名前と 説明を入力します。 6 [次へ]をクリックします。 7 [ファイルフィンガープリントの作成]パネルで、次のいずれかのオプションを選択し ます。 ■ ファイルフィンガープリントファイルをインポートすることによってファイルフィンガー プリントを作成します ■ 複数の既存のファイルフィンガープリントを組み合わせてファイルフィンガープリ ントを作成する このオプションは複数のファイルフィンガープリントリストをすでにインポートした 場合にのみ利用可能です。 8 [次へ]をクリックします。 9 次のいずれかの操作を実行します。 ■ 作成したファイルフィンガープリントへのパスを指定します。参照してファイルを 見つけることができます。 ■ マージするフィンガープリントリストを選択します。 10 [次へ]をクリックします。 11 [閉じる]をクリックします。 12 [完了]をクリックします。 マージされたフィンガープリントリストは[ファイルフィンガープリントリスト]の下で表示 されます。 テストモードでのシステムロックダウンの実行 テストモードでシステムロックダウンを実行するときには、未承認アプリケーションを遮断し ません。その代わり、未承認アプリケーションは制御ログに記録されます。システムロック ダウン設定が正しいと判断した後、システムロックダウンを有効にできます。通常、1 週間、 またはクライアントが通常のアプリケーションを実行するのに十分な時間、テストモードで システムロックダウンを実行します。 455 456 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 p.448 の 「システムロックダウンの設定」 を参照してください。 メモ: また、承認済みアプリケーションをクライアントで許可するファイアウォールルールを 作成することもできます。 テストモードでシステムロックダウンを実行するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、システムロックダウンを設定するグループを検索します。 3 [ポリシー]タブで、[システムロックダウン]をクリックします。 4 テストモードでシステムロックダウンを実行するには、[グループ名 のシステムロック ダウン]ダイアログボックスで、[手順 1: 許可しないアプリケーションだけをログする] をクリックします。 このオプションを使用すると、クライアントが現在実行している未承認ネットワークア プリケーションに関するログが記録されます。 5 [承認済みアプリケーション]で、ファイルフィンガープリントリストまたは特定のファイ ルを追加または削除します。 p.453 の 「Symantec Endpoint Protection Manager でのファイルフィンガープリン トリストの編集」 を参照してください。 6 未承認アプリケーションのリストを表示するには、[未承認アプリケーションの表示]を クリックします。 [未承認のアプリケーション]ダイアログボックスで、アプリケーションを確認します。こ のリストには、アプリケーションの実行時刻、コンピュータホスト名、クライアントユー ザー名、実行ファイル名の情報が含まれます。 7 この未承認アプリケーションをどのように処理するかを決定します。 実行を許可するアプリケーションの名前を承認済みアプリケーションのリストに追加 できます。次回ファイルフィンガープリントを作成するときに、この実行ファイルをコン ピュータイメージに追加することもできます。 8 [閉じる]をクリックします。 9 ファイルフィンガープリントリストに入っていなくても、常に許可する実行ファイルを指 定するには、[ファイル名]リストで[追加]をクリックします。 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 10 [ファイル定義の追加]ダイアログボックスで、実行ファイル(拡張子が .exe または .dll のファイル)の絶対パス名を指定します。 この名前は、標準文字列または正規表現構文を使って指定できます。ワイルドカー ド文字として、任意の文字を表すアスタリスク(*)、1 文字を表す疑問符(?)も使用で きます。また、Program Files ディレクトリの場所を表す %ProgramFiles% または Windows インストールディレクトリを表す %windir% などの環境変数も使用できま す。 11 デフォルトでは[ワイルドカード一致を使う (* と ? をサポートします)]が選択されてい ます。これをそのまま使うか、ファイル名に正規表現を使った場合は[正規表現の一 致を使う]をクリックします。 12 ファイルを特定の種類のドライブで実行する場合にのみ許可するには、[次の種類 のドライブ上のファイルのみを照合する]をクリックします。 次に、対象から除外するドライブの種類を選択解除します。デフォルトでは、すべて の種類のドライブが選択されています。 13 デバイス ID の種類で照合する場合は、[次の ID で識別される種類のデバイス上に あるファイルのみを照合する]にチェックマークを付け、[選択]をクリックします。 14 リスト中で目的のデバイスをクリックし、[OK]をクリックします。 15 [OK]をクリックします。 16 クライアントがアプリケーションを遮断したときに、クライアントコンピュータにメッセー ジを表示するには、[アプリケーションを遮断した場合にユーザーに通知する]に チェックマークを付けます。 17 カスタムメッセージを記述するには、[通知]をクリックしてメッセージを入力し、[OK] をクリックします。 18 [OK]をクリックします。 システムロックダウンを有効にした未承認アプリケーションの遮断 システムロックダウンを有効にして、クライアントコンピュータですべての未承認アプリケー ションを遮断できます。 次の条件に該当した後でのみ、システムロックダウンが未承認アプリケーションを遮断す るように設定してください。 ■ テストモードでシステムロックダウンを実行している。 p.455 の 「テストモードでのシステムロックダウンの実行」 を参照してください。 ■ クライアントコンピュータで実行する必要のあるアプリケーションがすべて、承認済み アプリケーションリストに記されていることが確実である。 p.448 の 「システムロックダウンの設定」 を参照してください。 457 458 第 20 章 アプリケーションとデバイス制御の管理 システムロックダウンの設定 システムロックダウンを有効にして、未承認アプリケーションを遮断するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、システムロックダウンを設定するグループを検索します。 3 [ポリシー]タブで、[システムロックダウン]をクリックします。 4 クライアントコンピュータで実行するすべてのアプリケーションを、承認済みアプリケー ションリストに含めていることを確認します。 警告: クライアントコンピュータで実行するすべてのアプリケーションを承認済みアプ リケーションリストに含める必要があります。含めていない場合、一部のクライアントコ ンピュータが再起動できなくなったり、ユーザーが重要なアプリケーションを実行で きなくなる可能性があります。 5 [手順 2: システムロックダウンを有効にする]をクリックします。この手順により、クライ アントが実行しようとする未承認アプリケーションがすべて遮断されます。 6 クライアントがアプリケーションを遮断したときに、クライアントコンピュータにメッセー ジを表示するには、[アプリケーションを遮断した場合にユーザーに通知する]に チェックマークを付けます。 7 カスタムメッセージを記述するには、[通知]をクリックしてメッセージを入力し、[OK] をクリックします。 8 [OK]をクリックします。 システムロックダウンからの項目のテストおよび削除 システムロックダウンから削除するファイルフィンガープリントリストがある場合、システム ロックダウン設定から削除する前に、それらの削除をテストできます。 p.448 の 「システムロックダウンの設定」 を参照してください。 システムロックダウンからの項目のテストおよび削除 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、システムロックダウンから項目を削除するグループを検索します。 3 [ポリシー]タブで、[システムロックダウン]をクリックします。 システムロックダウン設定は、すでに有効になっている必要があります。 p.457 の 「システムロックダウンを有効にした未承認アプリケーションの遮断」 を参照 してください。 第 20 章 アプリケーションとデバイス制御の管理 デバイス制御の管理 4 テストするファイルフィンガープリントリストまたはアプリケーションの横にある[削除前 にテスト]にチェックマークを付けます。 システムロックダウンは、これらのアプリケーションを許可し続けますが、これらは未 承認アプリケーションとしてログに記録されます。 5 [OK]をクリックします。 通常、1 週間以上にわたってこのテストを実行した後、制御ログを調べることができ ます。クライアントがアプリケーションを使わなくなった場合、システムロックダウン設 定からそれらを削除できます。 デバイス制御の管理 ハードウェアデバイスのリストとアプリケーションとデバイス制御ポリシーを使ってデバイス 制御を管理します。 p.432 の 「アプリケーションとデバイス制御の設定」 を参照してください。 p.429 の 「アプリケーションとデバイス制御について」 を参照してください。 p.431 の 「アプリケーションとデバイス制御ポリシーについて」 を参照してください。 表 20-8 操作 デバイス制御の管理 説明 Symantec Endpoint Protection Manager デフォルトでは、Symantec Endpoint Protection のデフォルトのハードウェアデバイスのリス Manager にはハードウェアデバイスのリストが含まれ トを確認する ています。リストは Symantec Endpoint Protection Manager で、[ポリシーコンポーネント]の[ポリシー] タブに表示されます。このリストを使って、クライアント コンピュータ上で制御するデバイスを選択します。 リストに含まれていないデバイスを制御したい場合は、 最初にデバイスを追加する必要があります。 p.460 の 「ハードウェアデバイスのリストについて」 を参 照してください。 ハードウェアデバイスのリストにデバイスを デバイスリストにデバイスを追加するときには、デバイ 追加する(必要な場合) スのクラス ID またはデバイス ID が必要です。 p.462 の 「ハードウェアデバイスリストへのハードウェア デバイスの追加」 を参照してください。 p.461 の 「クラス ID またはデバイス ID の取得」 を参照 してください。 459 460 第 20 章 アプリケーションとデバイス制御の管理 デバイス制御の管理 操作 説明 デバイス制御を設定する 遮断するデバイスや遮断から除外するデバイスを指 定します。 p.463 の 「デバイス制御の設定」 を参照してください。 ハードウェアデバイスのリストについて Symantec Endpoint Protection Manager には、ハードウェアデバイスのリストが含まれ ています。いくつかのデバイスはデフォルトでリストに含まれています。デバイス制御を設 定するときにはデバイスを使います。 p.459 の 「デバイス制御の管理」 を参照してください。 リストにデバイスを追加できます。デフォルトのデバイスの編集や削除はできません。 デバイスはデバイス ID またはクラス ID によって識別されます。これらの値のどちらかを 使って、リストにデバイスを追加します。 p.461 の 「クラス ID またはデバイス ID の取得」 を参照してください。 クラス ID クラス ID は、Windows GUID を表します。デバイスの各種類には、Class と ClassGuid の両方が関連付けられています。ClassGuid は、以下の形式 の 16 進数値です。 {00000000-0000-0000-0000-000000000000} 第 20 章 アプリケーションとデバイス制御の管理 デバイス制御の管理 デバイス ID デバイス ID は、デバイスに最も固有の ID です。デバイス ID の構文にはク ラス ID よりも読み取りを容易にする説明的な文字列が含まれます。 デバイス ID を追加するときは、デバイスの固有の ID を使用できます。また、 デバイス ID 文字列にワイルドカード文字を使ってデバイスの特定のグルー プを示すこともできます。ゼロ文字以上の任意の値を示すにはアスタリスク (*)を、1 文字の任意の値を示すには疑問符(?)を使用できます。 特定の USB Sandisk デバイスのデバイス ID を次に示します。 USBSTOR¥DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033 ¥0002071406&0 任意の USB Sandisk デバイスを示すワイルドカードを含んだデバイス ID を 次に示します。 USBSTOR¥DISK&VEN_SANDISK* 任意の USB ディスクデバイスを示すワイルドカードを含んだデバイス ID を 次に示します。 USBSTOR¥DISK* 任意の USB ストレージデバイスを示すワイルドカードを含んだデバイス ID を次に示します。 USBSTOR* クラス ID またはデバイス ID の取得 クラス ID(GUID)またはデバイス ID を取得するためにシマンテック社の DevViewer ツー ルを使うことができます。デバイス ID を取得するために Windows のデバイスマネージャ を使うことができます。 デバイス ID を取得したら、ワイルドカード文字を使ってデバイスの特定のグループを示 すように修正できます。 クラス ID またはデバイス ID を DevViewer ツールを使って取得するには 1 製品ディスクで、¥TOOLS¥NOSUPPORT¥DEVVIEWER フォルダを検索し、クライ アントコンピュータに DevViewer.exe ツールをダウンロードします。 2 クライアントコンピュータで、DevViewer.exe を実行します。 3 [Device Tree]を展開し、デバイス ID か GUID を取得するデバイスを検索します。 たとえば、DVD-ROM のドライブを展開し、そのカテゴリのデバイスを選択します。 4 右側のペインで、デバイス ID([device ID] で始まる)を右クリックし、[Copy Device ID]を選択します。 5 [Exit]をクリックします。 6 管理サーバーで、ハードウェアデバイスのリストにデバイス ID を貼り付けます。 461 462 第 20 章 アプリケーションとデバイス制御の管理 デバイス制御の管理 コントロールパネルからデバイス ID を取得するには 1 Windows のスタートメニューで、[コントロールパネル]、[システム]の順に選択しま す。 2 [ハードウェア]タブで、[デバイスマネージャ]をクリックします。 3 [デバイスマネージャ]のリストの中から該当するデバイスをダブルクリックします。 4 そのデバイスの[プロパティ]ダイアログボックスの[詳細]タブで、[デバイス ID]を選 択します。 デフォルトでは、最初に表示される値がそのデバイスのデバイス ID になります。 5 Ctrl+C を押して ID 文字列をコピーします。 6 [OK]または[キャンセル]をクリックします。 p.462 の 「ハードウェアデバイスリストへのハードウェアデバイスの追加」 を参照してく ださい。 ハードウェアデバイスリストへのハードウェアデバイスの追加 ハードウェアデバイスのクラス ID またはデバイス ID を取得したら、デフォルトのハードウェ アデバイスリストにハードウェアデバイスを追加できます。これによってアプリケーションと デバイス制御ポリシーのデバイス制御部分からこのデフォルトリストにアクセスできます。 p.460 の 「ハードウェアデバイスのリストについて」 を参照してください。 ハードウェアデバイスリストにハードウェアデバイスを追加するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で、[ポリシーコンポーネント]を展開し、[ハードウェアデバイス]をクリック します。 3 [タスク]で、[ハードウェアデバイスの追加]をクリックします。 4 追加するデバイスの名前を入力します。 クラス ID とデバイス ID はいずれも規約に従い波カッコで囲みます。 5 [クラス ID]または[デバイス ID]を選択し、Windows のデバイスマネージャまたは DevViewer ツールからコピーした ID を貼り付けます。 6 ワイルドカード文字を使ってデバイス ID セットを定義できます。たとえば、文字列 *IDE¥DVDROM* を使うことができます。 p.461 の 「クラス ID またはデバイス ID の取得」 を参照してください。 7 [OK]をクリックします。 第 20 章 アプリケーションとデバイス制御の管理 デバイス制御の管理 デバイス制御の設定 デバイス制御を設定するには、アプリケーションとデバイス制御ポリシーを使います。必要 なデバイスはすでにハードウェアデバイスのリストに追加済みです。 p.459 の 「デバイス制御の管理」 を参照してください。 p.429 の 「アプリケーションとデバイス制御について」 を参照してください。 デバイス制御の設定 1 コンソールで、アプリケーションとデバイス制御ポリシーを開きます。 2 [デバイス制御]をクリックします。 3 [遮断するデバイス]で[追加]をクリックします。 4 [デバイス選択]ウィンドウで、1 つ以上のデバイスを選択します。必要に応じて、デ バイスを除外するポートを遮断したかどうかを確認します。 メモ: 通常は、キーボードを遮断しないでください。 5 [OK]をクリックします。 6 [遮断から除外するデバイス]で[追加]をクリックします。 7 [デバイス選択]ウィンドウで、1 つ以上のデバイスを選択します。 8 ユーザーに通知する場合は、[デバイスを遮断したときにユーザーに通知する]に チェックマークを付けます。 9 [メッセージテキストの指定]をクリックして、通知に表示するメッセージを入力します。 10 [OK]をクリックします。 463 464 第 20 章 アプリケーションとデバイス制御の管理 デバイス制御の管理 21 例外の管理 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection に対する例外について ■ Symantec Endpoint Protection の例外の管理 ■ Symantec Endpoint Protection の例外の作成 ■ クライアントコンピュータでユーザーが設定できる例外の種類の制限 ■ Symantec Endpoint Protection Manager でのログイベントに基づく例外の作成 Symantec Endpoint Protection に対する例外について 例外は通常、スキャンから除外したいファイルや Web ドメインなどの項目です。 Symantec Endpoint Protection はウイルスとスパイウェアのスキャンから一部のファイ ルを自動的に除外します。 p.276 の 「Symantec Endpoint Protection がウイルススキャンとスパイウェアスキャンか ら除外するファイルとフォルダについて」 を参照してください。 例外を使って、アプリケーションを検出したり、Symantec Endpoint Protection がアプリ ケーションを検出したときや、アプリケーションが起動したときのデフォルトの動作を変更 したりできます。 スキャン実行時間を減らすために例外を使うと便利です。たとえば、スキャンからファイル、 フォルダ、拡張子を除外できます。スキャン時間を短縮すると、クライアントコンピュータの システムパフォーマンスが向上する可能性があります。 メモ: 個々のウイルススキャンやスパイウェアスキャンの例外を作成することはできません。 たとえば、ファイル例外を作成すると、Symantec Endpoint Protection はすべてのウイ ルススキャンとスパイウェアスキャン(Auto-Protect、ダウンロードインサイト、管理者定義 またはユーザー定義のスキャン)に例外を適用します。 466 第 21 章 例外の管理 Symantec Endpoint Protection の例外の管理 例外は特定のクライアントの種類(Windows または Mac)に適用されます。例外は個別 に設定します。たとえば、ファイル例外を設定すると、Windows コンピュータで実行され るクライアントまたは Mac コンピュータで実行されるクライアントのいずれかに例外が適用 されます。一部の例外は Mac クライアントでは利用できません。 p.466 の 「Symantec Endpoint Protection の例外の管理」 を参照してください。 表 21-1 スキャン例外とクライアントの種類 クライアントの種類 例外 Mac クライアント ファイルまたはフォルダの例外 Windows クライアント 次の種類の例外を設定できます。 ■ ファイル ■ フォルダ ■ 既知のリスク ■ 拡張子 ■ 信頼できる Web ドメイン ■ 監視するアプリケーション ■ アプリケーション ■ 改変対策 ■ アプリケーション制御 Symantec Endpoint Protection の例外の管理 Symantec Endpoint Protection Manager コンソールで、Symantec Endpoint Protection の例外を管理できます。 表 21-2 例外の管理 タスク 説明 例外について学習する クライアントコンピュータで行うスキャンや保護から項 目を除外するには、例外を使います。 p.465 の 「Symantec Endpoint Protection に対する 例外について」 を参照してください。 第 21 章 例外の管理 Symantec Endpoint Protection の例外の管理 タスク 説明 Symantec Endpoint Protection がスキャ Symantec Endpoint Protection は一部のサードパー ンから自動的に除外するファイルとフォル ティアプリケーションとシマンテック製品について、例 ダの種類を確認する 外(除外)を自動的に作成します。 特定の拡張子のみをスキャンし、他の拡張子はすべ てスキップするように個々のスキャンを設定することも できます。 p.276 の 「Symantec Endpoint Protection がウイル ススキャンとスパイウェアスキャンから除外するファイル とフォルダについて」 を参照してください。 スキャンの例外を作成する 例外は、例外ポリシーに直接追加します。または[監 視]ページで、ログイベントから例外を追加できます。 p.468 の 「Symantec Endpoint Protection の例外の 作成」 を参照してください。 p.478 の 「Symantec Endpoint Protection Manager でのログイベントに基づく例外の作成」 を参照してくだ さい。 クライアントコンピュータでユーザーが設定 デフォルトでは、クライアントコンピュータ上のユーザー できる例外の種類の制限 が例外に対して持つ設定権限には限度があります。 ユーザーがウイルスとスパイウェアのスキャンの例外、 または SONAR の例外を作成できないように制限でき ます。 ユーザーは、アプリケーション検出を強制することは できず、改変対策例外を作成する権限を持つこともあ りません。 ユーザーはアプリケーション制御例外を作成すること もできません。 p.477 の 「クライアントコンピュータでユーザーが設定 できる例外の種類の制限」 を参照してください。 例外を作成する可能性がある検出のログ を確認する Symantec Endpoint Protection によって検出が行 われたら、ログイベントから検出の例外を作成できま す。 たとえば、スキャンで検出されるがユーザーがダウン ロードを要求しているファイルの例外を作成したい場 合があります。 p.478 の 「Symantec Endpoint Protection Manager でのログイベントに基づく例外の作成」 を参照してくだ さい。 467 468 第 21 章 例外の管理 Symantec Endpoint Protection の例外の作成 タスク 説明 侵入防止例外を設定する 侵入防止について例外を指定できます。 侵入防止で除外されるホストのリストも設定できます。 侵入防止例外は、侵入防止ポリシーで設定します。 p.411 の 「クライアントコンピュータでの侵入防止の管 理」 を参照してください。 Symantec Endpoint Protection の例外の作成 Symantec Endpoint Protection には異なる種類の例外を作成できます。 管理者が作成するどの例外も、ユーザーが定義することがある例外よりも優先されます。 クライアントコンピュータで、ユーザーは管理者が作成する例外を表示できません。ユー ザーは自分が作成した例外のみを表示できます。 p.466 の 「Symantec Endpoint Protection の例外の管理」 を参照してください。 p.478 の 「Symantec Endpoint Protection Manager でのログイベントに基づく例外の 作成」 を参照してください。 表 21-3 Symantec Endpoint Protection の例外の作成 タスク 説明 ウイルススキャンとスパイウェアスキャンから Windows クライアントと Mac クライアントでサポートさ ファイルを除外する れます。 ウイルススキャンとスパイウェアスキャンからファイルを 除外します。 p.471 の 「スキャンからのファイルまたはフォルダの除 外」 を参照してください。 メモ: ファイル例外は SONAR には適用されません。 SONAR からファイルを除外するには、アプリケーショ ン例外を使います。 スキャンからフォルダを除外する Windows クライアントと Mac クライアントでサポートさ れます。 Windows クライアントでは、ウイルススキャンとスパイ ウェアスキャン、SONAR、すべてのスキャンからフォル ダを除外します。Mac クライアントでも、ウイルススキャ ンとスパイウェアスキャンからフォルダを除外できます。 p.471 の 「スキャンからのファイルまたはフォルダの除 外」 を参照してください。 第 21 章 例外の管理 Symantec Endpoint Protection の例外の作成 タスク 説明 ウイルススキャンとスパイウェアスキャンから Windows クライアントでサポートされます。 既知のリスクを除外する ウイルススキャンとスパイウェアスキャンから既知のリス クを除外します。スキャンはリスクを無視しますが、ス キャンによる検出がログに記録されるように例外を設 定できます。どちらの場合も、クライアントソフトウェア は指定したリスクの検出時にユーザーに通知しませ ん。 無視するように設定した既知のリスクに対してユーザー がカスタム処理を設定している場合、Symantec Endpoint Protection はカスタム処理を無視します。 p.473 の 「ウイルススキャンとスパイウェアスキャンから の既知のリスクの除外」 を参照してください。 セキュリティリスク例外は SONAR には適用されませ ん。 ウイルススキャンとスパイウェアスキャンから Windows クライアントでサポートされます。 拡張子を除外する ウイルススキャンとスパイウェアスキャンから、指定した 拡張子が付いているファイルを除外します。 p.473 の 「ウイルススキャンとスパイウェアスキャンから の拡張子の除外」 を参照してください。 拡張子の例外は SONAR には適用されません。 アプリケーションの例外を作成するために Windows クライアントでサポートされます。 アプリケーションを監視する 特定のアプリケーションを監視するには、[監視するア プリケーション]の例外を使います。Symantec Endpoint Protection がアプリケーションを学習した ら、Symantec Endpoint Protection でアプリケーショ ンを処理する方法を指定するための例外を作成でき ます。 アプリケーションの学習を無効にした場合、[監視する アプリケーション]の例外は、指定するアプリケーショ ンのアプリケーション学習を強制します。 p.474 の 「アプリケーションの例外を作成するための学 習済みアプリケーションの監視」 を参照してください。 469 470 第 21 章 例外の管理 Symantec Endpoint Protection の例外の作成 タスク 説明 スキャンで監視対象アプリケーションが処 理される方法を指定する Windows クライアントでサポートされます。 Symantec Endpoint Protection が監視対象アプリ ケーションに適用する処理を指定するには、アプリケー ション例外を使います。Symantec Endpoint Protection が処理をアプリケーションの検出時に適 用するか、またはアプリケーションが実行されたときに 適用するかは、処理の種類によって決まります。 Symantec Endpoint Protection は、[終了]、[検 疫]、または[削除]処理をアプリケーションの起動また は実行時に適用します。[ログのみ]と[無視]処理は、 アプリケーションの検出時に適用します。 アプリケーション例外は SHA-2 ハッシュベースの例外 です。TruScan プロアクティブ脅威スキャンのレガシー の例外は、SHA-1 ハッシュベースの例外として表示さ れます。レガシークライアントは SHA-1 例外のみをサ ポートします。例外リストのファイルフィンガープリント の前には、それぞれがファイルのハッシュの種類を示 す 2 または 1 が付きます。 p.474 の 「Symantec Endpoint Protection で監視対 象アプリケーションが処理される方法の指定」 を参照 してください。 p.254 の 「クライアントコンピュータで実行されるアプリ ケーションに関する情報を収集するための管理サー バーの設定」 を参照してください。 アプリケーション制御からのアプリケーショ Windows クライアントでサポートされます。 ンを除外する アプリケーション制御はアプリケーションと干渉するこ とがあります。例外を設定して、アプリケーション制御 から特定のアプリケーションを除外できます。 p.476 の 「アプリケーションのアプリケーション制御から の除外」 を参照してください。 第 21 章 例外の管理 Symantec Endpoint Protection の例外の作成 タスク 説明 スキャンから Web ドメインを除外する Windows クライアントでサポートされます。 ダウンロードインサイトは、ユーザーが Web サイトや その他のポータルからのダウンロードを試みるファイル をスキャンします。ダウンロードインサイトはウイルスス キャンとスパイウェアスキャンの一部として実行されま す。安全だとわかっている特定の Web ドメインの例外 を設定できます。 例外を有効にするには、ダウンロードインサイトが有効 になっている必要があります。 メモ: クライアントコンピュータで、認証が必要なプロキ シを使用する場合、シマンテック URL に信頼できる Web ドメイン例外を指定する必要があります。例外に より、クライアントコンピュータは Symantec Insight お よび他の重要なシマンテックサイトと通信できます。 推奨される例外については、関連のテクニカルサポー トナレッジベースの記事を参照してください。 p.475 の 「信頼できる Web ドメインのスキャンからの除 外」 を参照してください。 改変対策の例外を作成する Windows クライアントでサポートされます。 改変対策はシマンテックのプロセスと内部オブジェク トを改変するプロセスからクライアントコンピュータを保 護します。改変対策はシマンテックの設定や Windows のレジストリ値を修正する可能性のあるプロセスを検 出すると、そのプロセスを遮断します。場合によっては アプリケーションがシマンテックの設定を修正できるよ うにする必要があります。クライアントコンピュータ上の レジストリの一定の領域または一定のファイルについ て改変対策を停止すると便利です。 場合によっては、改変対策がスクリーンリーダーなど の支援技術アプリケーションを遮断することがありま す。このようなアプリケーションをクライアントコンピュー タで実行できるように、例外を作成します。 p.476 の 「改変対策例外の作成」 を参照してください。 スキャンからのファイルまたはフォルダの除外 ファイルやフォルダの例外は個別に追加します。複数のファイルに対して例外を作成す る場合は、手順を繰り返します。 471 472 第 21 章 例外の管理 Symantec Endpoint Protection の例外の作成 SONAR はフォルダ例外をサポートしますが、ファイル例外をサポートしません。SONAR からファイルを除外する場合はアプリケーション例外を使います。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 Windows クライアントでスキャンからファイルまたはフォルダを除外するには 1 [例外ポリシー]ページで、[例外]をクリックします。 2 次のいずれかの処理を実行します。 3 ■ [例外]で、[追加]、[Windows の例外]、[フォルダ]の順にクリックします。 ■ [例外]で、[追加]、[Windows の例外]、[ファイル]の順にクリックします。 [プレフィックス変数]ドロップダウンボックスで、共通のフォルダを選択します。 絶対パスとファイル名を入力する場合には[なし]を選択します。 プレフィックスを選択するときは、例外を異なる Windows オペレーティングシステム で使うことができます。 4 [ファイル]または[フォルダ]テキストボックスに、ファイルまたはフォルダの名前を入 力します。 プレフィックス変数を選択する場合、パス名はプレフィックスに関連したものにします。 [なし]を選択した場合は、絶対パス名を入力します。 メモ: パスは円記号を使って示す必要があります。 5 フォルダ例外の場合は、[このフォルダを除外するスキャンの種類を指定してくださ い]の隣でスキャンの種類([セキュリティリスク]、[SONAR]、[すべて])を選択しま す。 [セキュリティリスク]がデフォルトです。 6 [OK]をクリックします。 Mac クライアントでファイルまたはフォルダを除外するには 1 [例外ポリシー]ページで、[例外]をクリックします。 2 [例外]で、[追加]、[Mac の例外]、[ファイルまたはフォルダ]の順にクリックします。 3 [セキュリティリスクのファイルまたはフォルダの例外]の[プレフィックス変数]ドロップ ダウンボックスで、共通のフォルダを選択します。 絶対パスとファイル名を入力する場合には[なし]を選択します。 第 21 章 例外の管理 Symantec Endpoint Protection の例外の作成 4 [フォルダ]テキストボックスに、フォルダ名を入力します。 プレフィックス変数を選択する場合、パス名はプレフィックスに関連したものにします。 [なし]を選択した場合は、絶対パス名を入力します。 メモ: フォルダのパスはスラッシュを使って示す必要があります。 5 [OK]をクリックします。 ウイルススキャンとスパイウェアスキャンからの既知のリスクの除外 クライアントソフトウェアが検出したセキュリティリスクは[既知のセキュリティリスク例外]ダ イアログボックスに表示されます。 既知のセキュリティリスクリストにはリスクの重大度に関する情報が含まれています。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 ウイルススキャンとスパイウェアスキャンから既知のリスクを除外するには 1 [例外ポリシー]ページで、[例外]をクリックします。 2 [例外]で、[追加]、[Windows の例外]、[既知のリスク]の順にクリックします。 3 [既知のセキュリティリスク例外]ダイアログボックスで、ウイルススキャンとスパイウェ アスキャンから除外する 1 つ以上のセキュリティリスクを選択します。 4 検出をログに記録する場合は[セキュリティリスクの検出時にログに記録する]にチェッ クマークを付けます。 このオプションをチェックしない場合、クライアントは選択したリスクを検出しても無視 します。そのためクライアントは検出をログに記録しません。 5 [OK]をクリックします。 6 このポリシーの設定を完了したら、[OK]をクリックします。 ウイルススキャンとスパイウェアスキャンからの拡張子の除外 1 つの例外に複数の拡張子を追加できます。例外を作成した後で、同じポリシーに対し て別の拡張子の例外は作成できません。既存の例外を編集する必要があります。 一度に追加できる拡張子は 1 つだけです。[追加]テキストボックスに複数の拡張子を入 力すると、ポリシーは入力内容を 1 つの拡張子として処理します。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 473 474 第 21 章 例外の管理 Symantec Endpoint Protection の例外の作成 ウイルススキャンとスパイウェアスキャンから拡張子を除外するには 1 [例外ポリシー]ページで、[例外]をクリックします。 2 [例外]で、[追加]、[Windows と埋め込みの例外]、[例外]の順にクリックします。 3 除外する拡張子をテキストボックスに入力し、[追加]をクリックします。 4 例外にその他任意の拡張子を追加します。 5 [OK]をクリックします。 アプリケーションの例外を作成するための学習済みアプリケーションの 監視 学習済みアプリケーションを監視できます。指定したアプリケーションは[アプリケーション 例外]ダイアログに表示されるため、例外ポリシーでそのアプリケーションの例外処理を作 成できます。アプリケーションは、関連するログにも表示され、ログから例外を作成できま す。 アプリケーションの学習を無効にした場合、[監視するアプリケーション]の例外は、指定 したアプリケーションのアプリケーション学習を強制します。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 p.474 の 「Symantec Endpoint Protection で監視対象アプリケーションが処理される方 法の指定」 を参照してください。 p.478 の 「Symantec Endpoint Protection Manager でのログイベントに基づく例外の 作成」 を参照してください。 アプリケーションを監視するには 1 [例外ポリシー]ページで、[例外]をクリックします。 2 [追加]、[Windows の例外]、[監視するアプリケーション]の順にクリックします。 3 ダイアログボックスで、アプリケーション名を入力します。 たとえば、実行可能ファイルの名前を次のように入力します。 foo.exe 4 [OK]をクリックします。 5 このポリシーの設定を完了したら、[OK]をクリックします。 Symantec Endpoint Protection で監視対象アプリケーションが処理され る方法の指定 Symantec Endpoint Protection に、特定のアプリケーションを監視するように強制でき ます。Symantec Endpoint Protection がアプリケーションを学習し、管理コンソールが 第 21 章 例外の管理 Symantec Endpoint Protection の例外の作成 イベントを受信した後、アプリケーションリストにアプリケーションが表示されます。ネット ワーク内のクライアントコンピュータがまだアプリケーションを学習していない場合は空の アプリケーションリストが表示されます。 アプリケーションリストには、監視対象アプリケーションとユーザーがダウンロードするファ イルが含まれます。Symantec Endpoint Protection は、Symantec Endpoint Protection がアプリケーションを検出したとき、またはアプリケーションが実行されたときに処理を適 用します。 p.474 の 「アプリケーションの例外を作成するための学習済みアプリケーションの監視」 を 参照してください。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 スキャンが検出したアプリケーションまたはユーザーがダウンロードしたアプリケーショ ンを Symantec Endpoint Protection で処理する方法を指定するには 1 [例外ポリシー]ページで、[例外]をクリックします。 2 [追加]、[Windows の例外]、[アプリケーション]の順にクリックします。 3 [表示]ドロップダウンリストで、[すべて]、[監視したアプリケーション]、[ユーザー許 可アプリケーション]のいずれかを選択します。 4 例外を作成するアプリケーションを選択します。 5 [処理]ドロップダウンボックスで、[無視]、[ログのみ]、[終了]、[検疫]、[削除]の いずれかを選択します。 [無視]と[ログのみ]処理は、スキャンでアプリケーションが検出されたときに適用さ れます。[終了]、[検疫]、[削除]処理は、アプリケーションが起動したときに適用さ れます。 6 [OK]をクリックします。 信頼できる Web ドメインのスキャンからの除外 ウイルススキャンとスパイウェアスキャン、SONARから Web ドメインを除外できます。 一度に指定できる Web ドメインは 1 つだけです。有効な URL を指定する必要がありま す。HTTPS または FTP の URL はサポートされません。ポート番号は使えません。 メモ: ダウンロードインサイトまたは Auto-Protect が無効になっている場合、信頼できる Web ドメイン例外も無効になります。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 475 476 第 21 章 例外の管理 Symantec Endpoint Protection の例外の作成 信頼できる Web ドメインの例外を指定するには 1 [例外ポリシー]ページで、[追加]、[Windows の例外]、[信頼できる Web ドメイン] の順にクリックします。 2 [信頼できる Web ドメイン例外]ダイアログボックスで、ダウンロードインサイトの検出 から除外する Web ドメインを入力します。 3 [OK]をクリックします。 4 より多くの Web ドメイン例外を追加するには、手順を繰り返します。 アプリケーションのアプリケーション制御からの除外 アプリケーション制御はアプリケーションにコードを挿入してアプリケーションを検査しま す。場合によっては、挿入がアプリケーションのパフォーマンスに影響したり、アプリケー ションの実行に問題を起こすことがあります。例外を作成して、アプリケーション制御によ る検査から特定のアプリケーションを除外できます。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 p.432 の 「アプリケーションとデバイス制御の設定」 を参照してください。 アプリケーション制御例外を指定するには 1 [例外ポリシー]ページで、[追加]、[Windows の例外]、[アプリケーション制御]の 順にクリックします。 2 [プレフィックス変数]ドロップダウンボックスで、共通のフォルダを選択します。 プレフィックスを選択するときは、例外を異なる Windows オペレーティングシステム で使うことができます。 絶対パスとファイル名を入力する場合には[なし]を選択します。 メモ: フォルダのパスは円記号を使って示す必要があります。 3 [アプリケーション]テキストボックスに、アプリケーションの名前を入力します。 プレフィックス変数を選択した場合は、パス名はプレフィックスに関連したものにして ください。[なし]を選択した場合は、ファイルの絶対パス名を入力します。 4 [OK]をクリックします。 改変対策例外の作成 改変対策の例外を作成できます。クライアントコンピュータで改変対策が既知の安全なア プリケーションと干渉する場合は、改変対策例外を作成すると便利です。たとえば、改変 対策がスクリーンリーダーなどの支援技術アプリケーションを遮断することがあります。 第 21 章 例外の管理 クライアントコンピュータでユーザーが設定できる例外の種類の制限 この支援技術アプリケーションのファイル名がわかっていれば、アプリケーションに実行を 許可する例外を作成することができます。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 改変対策の例外を作成するには 1 [例外ポリシー]ページで、[例外]をクリックします。 2 [追加]、[Windows の例外]、[改変対策例外]の順にクリックします。 3 [改変対策例外の追加]ダイアログボックスの[プレフィックス変数]ドロップダウンボッ クスで、共通のフォルダを選択します。 プレフィックスを選択するときは、例外を異なる Windows オペレーティングシステム で使うことができます。 絶対パスとファイル名を入力する場合には[NONE]を選択します。 4 [ファイル]テキストボックスに、ファイル名を入力します。 プレフィックスを選択した場合は、パス名はプレフィックスに関連したものにしてくだ さい。プレフィックスに[NONE]を選択した場合は、絶対パス名を入力します。 5 [OK]をクリックします。 6 このポリシーの設定を完了したら、[OK]をクリックします。 クライアントコンピュータでユーザーが設定できる例外の 種類の制限 クライアントコンピュータでユーザーがウイルスとスパイウェアのスキャンの例外や、SONAR の例外を作成できないように制限を設定できます。デフォルトでは、ユーザーは例外を設 定できます。 p.466 の 「Symantec Endpoint Protection の例外の管理」 を参照してください。 クライアントコンピュータ上のユーザーは制限の設定に関係なく、改変対策の例外を作成 できません。 ユーザーはアプリケーション制御例外を作成することもできません。 クライアントコンピュータでユーザーが設定できる例外の種類を制限するには 1 [例外ポリシー]ページで、[クライアント制限]をクリックします。 2 [クライアント制限]で、クライアントコンピュータのユーザーに設定させない例外の チェックマークをすべてはずします。 3 このポリシーの設定を完了したら、[OK]をクリックします。 477 478 第 21 章 例外の管理 Symantec Endpoint Protection Manager でのログイベントに基づく例外の作成 Symantec Endpoint Protection Manager でのログイベ ントに基づく例外の作成 ウイルススキャンとスパイウェアスキャン、SONAR、アプリケーション制御、改変対策のロ グイベントに基づいて例外を作成できます。 表 21-4 例外とログの種類 例外の種類 ログの種類 ファイル リスクログ フォルダ リスクログ SONAR ログ 既知のリスク リスクログ 拡張子 リスクログ アプリケーション リスクログ SONAR ログ 信頼できる Web ドメイン リスクログ SONAR ログ アプリケーション制御 アプリケーションとデバイス制御のログ 改変対策 アプリケーション制御ログ p.533 の 「エンドポイント保護の監視」 を参照してください。 例外を作成する項目は、Symantec Endpoint Protection によってすでに検出されてい る必要があります。ログイベントを使って例外を作成するときには、その例外を含む必要 がある例外ポリシーを指定します。 p.466 の 「Symantec Endpoint Protection の例外の管理」 を参照してください。 p.468 の 「Symantec Endpoint Protection の例外の作成」 を参照してください。 Symantec Endpoint Protection Manager でのログイベントに基づいて例外を作成する には 1 [監視]タブで、[ログ]タブをクリックします。 2 [ログの種類]ドロップダウンリストで、[リスク]、[SONAR]、[アプリケーションとデバ イス制御]のいずれかのログを選択します。 3 [アプリケーションとデバイス制御]を選択した場合は、[ログの内容]リストから[アプ リケーション制御]を選択します。 第 21 章 例外の管理 Symantec Endpoint Protection Manager でのログイベントに基づく例外の作成 4 [ログの表示]をクリックします。 5 [時間範囲]の横で、ログをフィルタ処理するための期間を選択します。 6 例外を作成するエントリを 1 つ以上選択します。 7 [処理]の横で、作成する例外の種類を選択します。 選択する例外の種類は、選択した項目に対して有効である必要があります。 8 [適用]をクリックします。 9 ダイアログボックスで、例外に含めない項目をすべて削除します。 10 セキュリティリスクについては、Symantec Endpoint Protection に検出をログに記 録させる場合は、[セキュリティリスクの検出時にログに記録する]にチェックマークを 付けます。 11 この例外を使う必要のある例外ポリシーをすべて選択します。 12 [OK]をクリックします。 479 480 第 21 章 例外の管理 Symantec Endpoint Protection Manager でのログイベントに基づく例外の作成 22 更新の設定とクライアントコ ンピュータ保護の更新 この章では以下の項目について説明しています。 ■ コンテンツ更新の管理 ■ サイトでのコンテンツ更新のダウンロードの設定 ■ Symantec Endpoint Protection Manager の LiveUpdate ダウンロードスケジュー ルの設定 ■ Symantec Endpoint Protection Manager への LiveUpdate コンテンツの手動によ るダウンロード ■ LiveUpdate サーバー活動の確認 ■ インターネットにアクセスするためにプロキシサーバーに接続する Symantec Endpoint Protection Manager の設定 ■ クライアントが Symantec LiveUpdate または社内 LiveUpdate サーバーへの通信 に使うプロキシサーバーの指定 ■ クライアントコンピュータでの LiveUpdate スケジュールの有効化および無効化 ■ クライアントコンピュータの更新に使われるコンテンツの種類の設定 ■ クライアントコンピュータの LiveUpdate ダウンロードスケジュールの設定 ■ ユーザーが LiveUpdate に対して持つ制御権限の設定 ■ クライアントが使うコンテンツリビジョンの制御 ■ LiveUpdate のダウンロードに使われるディスク容量の設定 ■ 同時コンテンツダウンロードのランダム化について 482 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 ■ デフォルトの管理サーバーまたは GUP からのコンテンツダウンロードのランダム化 ■ LiveUpdate サーバーからのコンテンツダウンロードのランダム化 ■ クライアントコンピュータがアイドル状態のときにクライアント更新を実行する設定 ■ 定義が古いときやコンピュータが切断されていたときに実行するクライアント更新の設 定 ■ コンテンツを配布するグループ更新プロバイダの設定 ■ 外部 LiveUpdate サーバーの設定 ■ 社内 LiveUpdate サーバーの設定 ■ Intelligent Updater ファイルによるクライアントのウイルスとセキュリティリスクの定義 の更新 ■ サードパーティの配布ツールを使ったクライアントコンピュータの更新 コンテンツ更新の管理 シマンテック製品は現在の情報に依存して最新の脅威防止技術を使い、脅威からコン ピュータを保護します。クライアントコンピュータとサーバーは、ウイルスとスパイウェアの 定義、侵入防止システムのシグネチャ、製品ソフトウェアなどの、保護コンテンツに対する 定期的な更新を受信する必要があります。これらの更新は LiveUpdate からインターネッ ト接続を通して提供されます。シマンテック社は更新に署名し、LiveUpdate クライアント は更新がシマンテック社のもので、いかなる方法でも改変されていないことを確認するた め、更新を検証します。 クライアントの更新を設定するには、次のポリシーを使います。 ■ LiveUpdate 設定ポリシー ■ LiveUpdate コンテンツポリシー LiveUpdate 設定ポリシーでは、クライアントコンピュータが更新の有無をチェックするた めに交信するコンテンツサーバーと、クライアントが更新をチェックする頻度を指定しま す。LiveUpdate コンテンツポリシーでは、クライアントコンピュータがダウンロードするコ ンテンツの種類を指定します。管理サーバーにダウンロードされるコンテンツの種類の一 部は、[サイトのプロパティ]ダイアログボックスの[LiveUpdate]タブでも設定できます。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 メモ: HTTP は LiveUpdate 通信でサポートされています。HTTPS はサポートされていま せんが、コンテンツはデジタル署名されます。HTTP の利点は、ほとんどのクライアントが HTTP を介して LiveUpdate サーバーに接続できることと、通常 HTTP が高速であるこ とです。 LiveUpdate は、ファイアウォールで遮断される可能性がある非標準ヘッダーを使うこと があります。LiveUpdate 設定ポリシーの[拡張設定]ダイアログボックスの設定を使うと、 Symantec Endpoint Protection Manager から LiveUpdate に標準 HTTP ヘッダーを 要求させることができます。この設定が適用されるのは、外部または社内の LiveUpdate サーバーからクライアントへのダウンロードのみです。 ユーザーがクライアントコンピュータから手動で LiveUpdate を開始できる拡張設定もあ ります。この設定はデフォルトでは無効になっています。この設定を有効にすると、ユー ザーは LiveUpdate を開始して最新のコンテンツウイルス定義、コンポーネントの更新、 製品の更新をダウンロードします。ユーザー数によっては、事前にテストしていないすべ てのコンテンツをユーザーがダウンロードすることを避けたい場合があります。さらに、2 つの LiveUpdate セッションがクライアントコンピュータで同時に実行されると、競合が生 じる場合があります。デフォルトでは、ユーザーは LiveUpdate サーバーから製品の更新 をダウンロードできません。LiveUpdate ポリシーの[拡張設定]パネルでこの設定を変更 できます。 ユーザーは Mac クライアントの LiveUpdate を常に実行できます。実行中の LiveUpdate から Windows クライアントのみ制限できます。ただし、LiveUpdate サーバーからの製品 の更新は Mac クライアントと Windows クライアント両方で制限できます。Mac クライアン トの LiveUpdate からの製品の更新を制限する場合は、それらを手動で提供してくださ い。Mac クライアントは管理サーバーから更新を取得できません。 表 22-1 では、コンテンツ更新を管理するために実行できる重要なタスクの一部について 説明します。更新にはデフォルト値を利用できるため、すべてのタスクは省略可能です。 表 22-1 タスク コンテンツ更新を管理するためのタスク 説明 インストールの後に Symantec Endpoint Protection Manager はインストール後、コンテンツを定期的に更新するよう LiveUpdate を実行する に自動的に設定されます。ただし、インストール後すぐに、または任意の時点で LiveUpdate を実 行し、最新のセキュリティ更新と製品の更新をダウンロードできます。 p.498 の 「Symantec Endpoint Protection Manager への LiveUpdate コンテンツの手動によるダ ウンロード」 を参照してください。 483 484 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 タスク 説明 管理サーバーの LiveUpdate ダウンロー ドの設定を指定する 定期的なコンテンツ更新を受信するように管理サーバーを設定します。これらのコンテンツ更新は クライアントコンピュータに配布できます。 LiveUpdate コンテンツを Symantec Endpoint Protection Manager にダウンロードするようにサ イトを設定する場合は、以下を決定する必要があります。 ■ サイトが LiveUpdate コンテンツの更新を確認する頻度。 ■ サイトにダウンロードするコンテンツの種類。 ■ ダウンロードする更新の種類の言語 ■ サイトにコンテンツを渡す LiveUpdate サーバー ■ 保持するコンテンツリビジョンの数、および圧縮解除されたクライアントパッケージを格納するか どうか p.494 の 「サイトでのコンテンツ更新のダウンロードの設定」 を参照してください。 p.506 の 「LiveUpdate のダウンロードに使われるディスク容量の設定」 を参照してください。 p.498 の 「Symantec Endpoint Protection Manager の LiveUpdate ダウンロードスケジュールの 設定」 を参照してください。 p.499 の 「LiveUpdate サーバー活動の確認」 を参照してください。 プロキシサーバーから Symantec LiveUpdate サーバーへの接続が許 可されるように接続を設 定する プロキシサーバーがシマンテック製品の更新サービスと接続できるようにサーバーと Symantec Endpoint Protection Manager との間の通信を確立します。プロキシサーバーはサイトと外部 Symantec LiveUpdate サーバーとの間に、保護のレベルを追加提供できます。 p.499 の 「インターネットにアクセスするためにプロキシサーバーに接続する Symantec Endpoint Protection Manager の設定」 を参照してください。 社内 LiveUpdate サー 更新のために社内 LiveUpdate サーバーに接続するクライアントのプロキシ設定を指定できます。 バーへのクライアント通 プロキシ設定は更新のためにのみ指定します。クライアントが使うその他の種類の外部通信には適 信用のプロキシ設定を指 用されません。その他の種類のクライアント外部通信用のプロキシは別に設定します。 定する p.500 の 「クライアントが Symantec LiveUpdate または社内 LiveUpdate サーバーへの通信に使 うプロキシサーバーの指定」 を参照してください。 クライアントコンピュータ クライアントコンピュータはセキュリティ定義と他の製品の更新を Symantec Endpoint Protection が更新を取得する方法を Manager から自動的にダウンロードできますが、その他にいくつかのコンテンツ配布方法を利用で 決定する きます。たとえば、ポータブルコンピュータを持って出張するユーザーに、インターネット接続を使っ て Symantec LiveUpdate サーバーから直接更新を取得することを許可できます。 クライアント数が多いインストールでは、管理サーバーの負荷を減らすため、1 台または複数のグ ループ更新プロバイダ(GUP)を設定することもできます。 メモ: Mac クライアントは内部または外部の LiveUpdate サーバーからのみ更新を取得します。 p.485 の 「LiveUpdate で提供できるコンテンツの種類について」 を参照してください。 p.489 の 「クライアントコンピュータがコンテンツ更新を受信する方法」 を参照してください。 p.503 の 「クライアントコンピュータの LiveUpdate ダウンロードスケジュールの設定」 を参照してくだ さい。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 タスク 説明 LiveUpdate について ユーザーに付与する制 御のレベルを設定する コンテンツ更新についてどれだけの制御をユーザーに付与するかを指定できます。 p.504 の 「ユーザーが LiveUpdate に対して持つ制御権限の設定」 を参照してください。 クライアントのダウンロー ネットワーク帯域幅に対するダウンロードの影響を軽減するため、すべてのクライアントが更新を同 ドパラメータを調整する 時に取得しないようにコンテンツをランダムにダウンロードできます。 p.507 の 「同時コンテンツダウンロードのランダム化について」 を参照してください。 p.508 の 「デフォルトの管理サーバーまたは GUP からのコンテンツダウンロードのランダム化」 を参 照してください。 クライアントコンピュータのパフォーマンスに対するダウンロードの影響を軽減するため、クライアント コンピュータがアイドルのときに、クライアントコンピュータにコンテンツ更新をダウンロードさせること ができます。 p.510 の 「クライアントコンピュータがアイドル状態のときにクライアント更新を実行する設定」 を参照 してください。 代替の配布方法を設定 クライアントコンピュータはウイルス定義と他の製品のコンテンツ更新を Symantec Endpoint する Protection Manager から自動的にダウンロードしますが、利用可能な代替の配布方法がいくつか あります。 p.489 の 「クライアントコンピュータがコンテンツ更新を受信する方法」 を参照してください。 LiveUpdate で提供できるコンテンツの種類について LiveUpdate で提供できるコンテンツの種類には、ウイルスとスパイウェアの定義、侵入防 止システムのシグネチャ、製品ソフトウェアが含まれます。クライアントコンピュータがダウ ンロードするコンテンツの種類を制御するには、LiveUpdate コンテンツポリシーを使いま す。デフォルトの管理サーバーがダウンロードしてクライアントに配布するコンテンツの種 類を制御するには、サイトのプロパティ設定を指定します。LiveUpdate ポリシーで選択 されているコンテンツがサイトのプロパティで選択されていない場合、そのコンテンツはク ライアントに配布されません。 メモ: LiveUpdate の更新には、定義とコンテンツが含まれています。ポリシーの更新は含 んでいません。Symantec Endpoint Protection Manager はグループに新しいポリシー を割り当てるときまたは既存のポリシーを編集するときにクライアントのポリシーを更新しま す。 表 22-2 に、クライアントにダウンロードするように Symantec Endpoint Protection Manager で設定できるコンテンツの種類を示します。 485 486 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 表 22-2 設定できるコンテンツの種類 コンテンツの種類 説明 クライアントの更新 クライアント更新は、サイトのプロパティと、LiveUpdate 設定ポリシーの[拡張設定]で設定さ れます。このコンテンツの種類は、LiveUpdate コンテンツポリシーでは設定されません。 クライアントの更新とは、インストール済みクライアントソフトウェアの改良を意味します。一般 的に、これらの更新は、オペレーティングシステムまたはハードウェアとの互換性の向上、性 能問題の調整、製品エラーの修正を目的として作成されます。クライアントの更新は必要に 応じてリリースされます。クライアントは LiveUpdate サーバーから製品の更新を直接受信で きます。管理下クライアントは、Symantec Endpoint Protection Manager からも製品の更 新を自動的に受信できます。 LiveUpdate 設定ポリシーの[拡張設定]にある[製品更新の設定]パラメータを使うと、クライ アントソフトウェアのバージョンを制御できます。この設定を無効にするとき、クライアントソフト ウェアは手動でのみ更新できます。管理サーバーはパッチをダウンロードして処理するとき に、新しいパッケージを自動的に作成します。 新しいパッケージは、[クライアントインストー ルパッケージ]ペインに表示されます。パッケージを選択して、Windows クライアントに[パッ ケージによるグループのアップグレード]機能を使用できます。 Mac クライアントにはサードパーティツールを使うか、または更新パッケージをネットワークで ダウンロード可能にすることによって手動の更新を提供する必要があります。 ウイルス定義とスパイウェア定義 ウイルス定義パッケージは、x86 プラットフォームと x64 プラットフォーム向けに別々に用意さ れています。 SONAR ヒューリスティックシグ ネチャ ゼロデイ攻撃の脅威から保護します。 TruScan プロアクティブ脅威ス 過去において誤認を生成した正当な商用アプリケーションを含んでいます。これらはレガシー キャン商用アプリケーションリス クライアントを管理するときに、後方互換性のために使われます。 ト 侵入防止シグネチャ ネットワーク脅威から保護し、侵入防止と検出エンジンをサポートします。 提出制御シグネチャ シマンテックセキュリティレスポンスへの提出のフローを制御します。 評価設定 保護で使われる評価データに対する更新を含めます。 ホストインテグリティテンプレート クライアントコンピュータで更新されたパッチやセキュリティ対策を強制する事前定義済みの 必要条件を含んでいます。Windows オペレーティングシステムと Mac オペレーティングシ ステムを実行するコンピュータのためのテンプレートがダウンロードされます。 メモ: このオプションが表示されるのは、Symantec Network Access Control をインストー ルするときの[サイトのプロパティ]のダイアログボックスのみです。 表 22-3 に、更新が必要な機能と更新が必要なコンテンツの種類の一覧を示します。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 表 22-3 機能と更新が必要なコンテンツ 管理外クライアントをインス 更新時に、ダウンロードする必要があるコンテンツの種類 トールする場合 ウイルス対策とスパイウェア対策 ■ ウイルス定義とスパイウェア定義 ■ ■ ■ ■ ■ SONAR 定義 [サイトのプロパティ]でダウンロードするコンテンツの種類を設定する場合、これらは [SONAR ヒューリスティックシグネチャ]という名称です。 シマンテック社のホワイトリスト サイトでコンテンツのダウンロードを設定するとき、このコンテンツの種類は[TruScan プ ロアクティブ脅威スキャン商用アプリケーションリスト]という名称です。 失効データ(デフォルトでダウンロードされる、Symantec Endpoint Protection Manager では設定不可) 集中型評価の設定 [サイトのプロパティ]でダウンロードするコンテンツの種類を設定する場合、このコンテン ツの種類は[評価設定]という名称です。 提出制御シグネチャ ウイルス対策とスパイウェア対策 ■ ウイルス定義とスパイウェア定義 の設定 > ダウンロード保護 ■ SONAR 定義 [サイトのプロパティ]でダウンロードするコンテンツの種類を設定する場合、これらは [SONAR ヒューリスティックシグネチャ]という名称です。 ■ シマンテック社のホワイトリスト サイトでコンテンツのダウンロードを設定するとき、このコンテンツの種類は[TruScan プ ロアクティブ脅威スキャン商用アプリケーションリスト]という名称です。 ■ 失効データ(デフォルトでダウンロードされる、Symantec Endpoint Protection Manager では設定不可) ■ 集中型評価の設定 [サイトのプロパティ]でダウンロードするコンテンツの種類を設定する場合、このコンテン ツの種類は[評価設定]という名称です。 ■ 提出制御シグネチャ ■ 侵入防止シグネチャ このオプションをダウンロードに選択した場合、侵入防止シグネチャと侵入防止エンジン の両方の更新が含まれています。 487 488 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 管理外クライアントをインス 更新時に、ダウンロードする必要があるコンテンツの種類 トールする場合 ウイルス対策とスパイウェア対策 ■ ウイルス定義とスパイウェア定義 の設定 > Outlook スキャナ ■ SONAR 定義 [サイトのプロパティ]でダウンロードするコンテンツの種類を設定する場合、これらは [SONAR ヒューリスティックシグネチャ]という名称です。 ■ シマンテック社のホワイトリスト サイトでコンテンツのダウンロードを設定するとき、このコンテンツの種類は[TruScan プ ロアクティブ脅威スキャン商用アプリケーションリスト]という名称です。 ■ 失効データ(デフォルトでダウンロードされる、Symantec Endpoint Protection Manager では設定不可) ■ 集中型評価の設定 [サイトのプロパティ]でダウンロードするコンテンツの種類を設定する場合、このコンテン ツの種類は[評価設定]という名称です。 ■ 提出制御シグネチャ ウイルス対策とスパイウェア対策 ■ ウイルス定義とスパイウェア定義 の設定 > Notes スキャナ ■ SONAR 定義 [サイトのプロパティ]でダウンロードするコンテンツの種類を設定する場合、これらは [SONAR ヒューリスティックシグネチャ]という名称です。 ■ シマンテック社のホワイトリスト サイトでコンテンツのダウンロードを設定するとき、このコンテンツの種類は[TruScan プ ロアクティブ脅威スキャン商用アプリケーションリスト]という名称です。 ■ 失効データ(デフォルトでダウンロードされる、Symantec Endpoint Protection Manager では設定不可) ■ 集中型評価の設定 [サイトのプロパティ]でダウンロードするコンテンツの種類を設定する場合、このコンテン ツの種類は[評価設定]という名称です。 ■ 提出制御シグネチャ プロアクティブ脅威防止 > SONAR SONAR 定義 Symantec Endpoint Protection Manager でダウンロードするコンテンツの種類を設定す る場合、これらは[SONAR ヒューリスティックシグネチャ]という名称です。 プロアクティブ脅威防止 > アプ 更新は必要ありません。 リケーションとデバイス制御 ネットワーク脅威防止 > 侵入防 侵入防止シグネチャ 止 メモ: このオプションをダウンロードに選択した場合、侵入防止シグネチャと侵入防止エンジ ンの両方の更新が含まれています。 ネットワーク脅威防止 > ファイア 更新は必要ありません。 ウォール 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 管理外クライアントをインス 更新時に、ダウンロードする必要があるコンテンツの種類 トールする場合 Symantec Network Access Control ホストインテグリティコンテンツ p.482 の 「コンテンツ更新の管理」 を参照してください。 p.502 の 「クライアントコンピュータの更新に使われるコンテンツの種類の設定」 を参照し てください。 クライアントコンピュータがコンテンツ更新を受信する方法 クライアントコンピュータは LiveUpdate を使ってセキュリティ定義と他の製品の更新を自 動的にダウンロードできますが、クライアントを更新するために、いくつかの他のコンテン ツ配布方法が利用できます。 LiveUpdate サーバーのスケジュール設定は、[管理]ページの[サイトのプロパティ]で 定義されます。LiveUpdate クライアントのスケジュール設定は、LiveUpdate 設定ポリ シーで定義されます。 LiveUpdate 設定ポリシーを追加して適用する場合、クライアントコンピュータが更新を確 認する頻度を計画する必要があります。デフォルト設定は 4 時間ごとです。また、クライア ントコンピュータがどこで更新を確認して取得するのかも把握する必要があります。可能 な場合は、Symantec Endpoint Protection Manager から提供される更新をクライアン トコンピュータで確認し、取得することを推奨します。作成したポリシーは、1 つ以上のグ ループや場所に割り当てることができます。 使うコンテンツ配布方法は次の要因によって決まります。 ■ ネットワークの設定方法。 ■ 管理するクライアントコンピュータの数。 たとえば、クライアント数が非常に多い場合は、グループ更新プロバイダ(GUP)を使っ て管理サーバーの負荷を軽減できます。必要な場合は LiveUpdate Administrator を使って、社内 LiveUpdate サーバーを設定することもできます。 ■ Windows クライアントコンピュータと Mac クライアントコンピュータのどちらを管理して いるか。 たとえば、Mac クライアントコンピュータは社内または外部の LiveUpdate サーバー からのみ更新を取得します。Windows クライアントコンピュータのみが、管理サーバー またはグループ更新プロバイダから更新を取得できます。 p.490 の 表 22-4 を参照してください。 ■ クライアントコンピュータがネットワークに定期的に接続するかどうか。 たとえば、ポータブルコンピュータを持って出張し、会社のネットワークには断続的に 接続する、またはまったく接続しないユーザーもいます。この場合、インターネットを 489 490 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 使って Symantec LiveUpdate サーバーから直接更新を取得することをクライアント コンピュータに許可できます。 p.490 の 表 22-4 を参照してください。 p.482 の 「コンテンツ更新の管理」 を参照してください。 表 22-4 方法 コンテンツ配布方法とそれを使うケース 説明 使用すべきケース Symantec Endpoint デフォルトの管理サーバーは管理するクライア メモ: Windows クライアントコンピュータのみが Protection Manager から ントコンピュータを更新できます。Symantec 管理サーバーから更新を取得できます。Mac ク クライアントコンピュータ Endpoint Protection Manager ネットワークに ライアントコンピュータは現在、更新を Symantec 複数の管理サーバーがあることがあります。管 LiveUpdate サーバーから取得するか手動で更 (デフォルト) 理サーバーを含んでいるサイトは LiveUpdate 新する必要があります。 コンテンツを受信します。 p.524 の 「Intelligent Updater ファイルによるク ライアントのウイルスとセキュリティリスクの定義 の更新」 を参照してください。 この方式は管理サーバーのインストールの後で デフォルトで設定されます。この方法は、GUP と組み合わせることもできます。 GUP からクライアントコン ピュータ グループ更新プロバイダ(GUP)は管理サーバー から更新を受信するクライアントコンピュータで す。GPU はその後、グループ内の他のクライア ントコンピュータに更新を転送します。1 つの GUP で複数のグループを更新できます。 グループ更新プロバイダを設定することは、社 内 LiveUpdate サーバーを設定することよりも 簡単です。グループ更新プロバイダで使われる リソースの方が少ないので、管理サーバーの負 荷が減少します。 グループ更新プロバイダはクライアントソフトウェ アの更新を除くすべての種類の LiveUpdate コ ンテンツを配布します。また、グループ更新プロ バイダを使ってポリシーを更新することはできま せん。 この方法は特に、最小限の帯域幅しかないリ モートの場所のグループにとって有用です。 p.511 の 「コンテンツを配布するグループ更新プ ロバイダの設定」 を参照してください。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 方法 説明 社内 LiveUpdate サー バーからクライアントコン ピュータ クライアントコンピュータは Symantec LiveUpdate サーバーから更新を受信した社内 LiveUpdate サーバーから更新を直接ダウン ロードできます。 使用すべきケース 非常に規模が大きいネットワークでは、社内 LiveUpdate サーバーを使って Symantec Endpoint Protection Manager の負荷を軽減 できます。最初に、GUP が組織のニーズを満た すかどうかを検討する必要があります。GUP は Symantec LiveUpdate サーバーから定義の更 設定がより簡単で、管理サーバーの負荷も軽減 新をダウンロードするには、LiveUpdate されます。 Administrator ユーティリティを使います。この ユーティリティは、Web サーバー、FTP サイト、 Mac クライアントが存在していて、それらがイン UNC パスで指定された場所のいずれかにパッ ターネット経由で Symantec LiveUpdate サー ケージを格納します。管理サーバーとクライアン バーに接続することを望まない場合は、社内 トコンピュータを、この場所から定義の更新をダ LiveUpdate サーバーを使ってください。 ウンロードするように設定します。 社内 LiveUpdate サーバーは、組織が複数の 必要に応じて、社内 LiveUpdate サーバーを複 シマンテック製品を実行していて、それらも 数セットアップし、クライアントコンピュータにリス LiveUpdate を使ってクライアントコンピュータを トを配布できます。 更新している場合にも役立ちます。 社内 LiveUpdate サーバーの設定について詳 通常、クライアントが 10,000 を超える大規模な しくは、『Symantec LiveUpdate Administrator ネットワークでは社内 LiveUpdate サーバーを ユーザーガイド』を参照してください。 使います。 このガイドは製品ディスクとシマンテック社のサ ポート Web サイトから入手できます。 メモ: Symantec Endpoint Protection Manager と社内 LiveUpdate サーバーは、同 一の物理ハードウェアや仮想コンピュータにイ ンストールしないでください。同じコンピュータに インストールすると、大きなサーバーパフォーマ ンスの問題が生じる可能性があります。 詳しくは、シマンテック社のテクニカルサポート ナレッジベースの記事「LiveUpdate Administrator 2.x and Symantec Endpoint Protection Manager on the Same Physical Server」を参照してください。 p.521 の 「社内 LiveUpdate サーバーの設定」 を参照してください。 491 492 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 方法 説明 インターネット経由で Symantec LiveUpdate サーバーからクライアントコ ンピュータ クライアントコンピュータは Symantec 会社のネットワークに常に接続しているわけで LiveUpdate サーバーから更新を直接受信でき はないクライアントコンピュータには、シマンテッ ます。 ク社の LiveUpdate サーバーを使います。 メモ: Mac クライアントコンピュータはこの方法 を使う必要があります。 使用すべきケース Symantec Endpoint Protection Manager と 定時 LiveUpdate はデフォルトで有効になり、 Symantec Endpoint Protection Manager へ の接続が失われ、ウイルスとスパイウェアの定義 が一定時間より古くなったときに定時 LiveUpdate のみを実行するオプションもデフォ ルトで有効になります。デフォルトの設定では、 クライアントは Symantec Endpoint Protection Manager から長期間応答がない場合を除き、 常に Symantec Endpoint Protection Manager から更新を取得します。 メモ: ネットワーク上の多数の管理下クライアン トを外部のシマンテック社の LiveUpdate サー バーから更新を取り出すように設定しないでくだ さい。このような設定では、インターネットの帯域 幅が無駄に使われることになります。 p.520 の 「外部 LiveUpdate サーバーの設定」 を参照してください。 サードパーティツールの配 Microsoft SMS などのサードパーティツールで この方法は、更新ファイルをテストしてから実際 布 は、特定の更新ファイルをクライアントに配布で に配布する場合に使います。また、サードパー きます。 ティツールの配布インフラがあり、このインフラを 補強したい場合にも使います。 p.529 の 「サードパーティの配布ツールを使った コンテンツの配布」 を参照してください。 Intelligent Updater Intelligent Updater ファイルには、手動でクラ イアントを更新するために利用できる、ウイルス とセキュリティリスクのコンテンツが含まれていま す。シマンテック社の Web サイトから Intelligent Updater の自己解凍ファイルをダウンロードで きます。 Symantec LiveUpdate を使わない場合や LiveUpdate が利用可能でない場合は Intelligent Updater ファイルを使うことができ ます。 p.524 の 「Intelligent Updater ファイルによるク ライアントのウイルスとセキュリティリスクの定義 の更新」 を参照してください。 他の種類のコンテンツを更新するには、更新ファ イルをダウンロードしてステージングするように、 管理サーバーを設定する必要があります。 p.525 の 「サードパーティの配布ツールを使った クライアントコンピュータの更新」 を参照してくだ さい。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツ更新の管理 図 22-1 により小さいネットワークのための配布アーキテクチャの例を示します。 より小さいネットワークでの配布アーキテクチャの例 図 22-1 Symantec LiveUpdate 管理サーバー 管理サーバー クライアントグループ クライアント グループ グループ更新プロ バイダ(クライア ント) クライアント クライアントグループ 図 22-2 により大きいネットワークのための配布アーキテクチャの例を示します。 493 494 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サイトでのコンテンツ更新のダウンロードの設定 より大きいネットワークでの配布アーキテクチャの例 図 22-2 Symantec LiveUpdate 社内 LiveUpdate サーバー 社内 LiveUpdate サーバー 管理サーバー クライアント グループ クライアント グループ サイトでのコンテンツ更新のダウンロードの設定 LiveUpdate コンテンツをダウンロードするようにサイトを設定するときは、多くの決定を行 う必要があります。 表 22-5 コンテンツのダウンロードに関する決定 決定 説明 サイトが LiveUpdate コンテン ツの更新を確認する頻度。 Symantec Endpoint Protection Manager のデフォルトは、最 も実践的な設定として 4 時間ごとに LiveUpdate を実行するよう にスケジュールされています。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サイトでのコンテンツ更新のダウンロードの設定 決定 説明 サイトにダウンロードするコンテ サイトに、クライアントの LiveUpdate コンテンツポリシーで指定さ ンツの種類。 れているすべてのコンテンツがダウンロードされていることを確認 します。 p.485 の 「LiveUpdate で提供できるコンテンツの種類について」 を参照してください。 p.502 の 「クライアントコンピュータの更新に使われるコンテンツの 種類の設定」 を参照してください。 ダウンロードして製品の更新で [サイトのプロパティ]ダイアログボックスでのこの設定は、製品の 使用する言語。 更新にのみ適用されます。コンテンツ更新はすべての言語に適 しています。 サイトにコンテンツを渡す 外部のシマンテック社の LiveUpdate サーバー(推奨)、または LiveUpdate サーバーの種類。 すでにインストールと設定が行われている 1 台以上の社内 LiveUpdate サーバーのいずれかを指定できます。 p.520 の 「外部 LiveUpdate サーバーの設定」 を参照してくださ い。 Symantec Endpoint Protection Manager と社内 LiveUpdate サーバーは、同一の物理ハードウェアや仮想コンピュータにイン ストールしないでください。同じコンピュータにインストールすると、 大きなサーバーパフォーマンスの問題が生じる可能性がありま す。 社内 LiveUpdate サーバーを 1 つ以上の使う予定の場合は、シ マンテック社の公開 LiveUpdate サーバーを最後のエントリとし て追加することを推奨します。クライアントがリストのどのサーバー にも到達できない場合でも、シマンテック社の LiveUpdate サー バーから更新できます。 メモ: LiveUpdate Administrator バージョン 1.x を使って社内 LiveUpdate サーバーを管理する場合、カスタム応答パッケージ を適用済みであれば変更を加える必要があります。現在のリリー スを使う LiveUpdate クライアントはカスタム応答パッケージを認 証できません。中央の LiveUpdate サーバーからすべてのカス タムパッケージを削除する必要があります。 p.521 の 「社内 LiveUpdate サーバーの設定」 を参照してくださ い。 495 496 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サイトでのコンテンツ更新のダウンロードの設定 決定 説明 サイトに格納するコンテンツリビ ジョンの数と、クライアントパッ ケージを圧縮解除して格納する かどうか。 1 つのコンテンツの種類のリビジョンを複数保存する妥当な理由 の 1 つは、クライアントにデルタを作成して配布する機能を提供 することです。Symantec Endpoint Protection Manager とクラ イアントのコンテンツリビジョンが同じ場合、Symantec Endpoint Protection Manager はそのコンテンツをクライアントに送信する デルタのベースとして利用できます。クライアントはそのデルタを ローカルにある同じベースに適用すれば、最新のコンテンツを取 得できます。デルタは通常、完全なパッケージよりずっと小さいの で、帯域幅の大幅な節約になります。 また、すべてのクライアントにロールアウトする前に最新のコンテ ンツをテストする場合などに、コンテンツリビジョンを格納すること があります。必要ならばロールバックできるように以前のバージョ ンのコンテンツを保持したいことがあります。 メモ: 保持するリビジョン数が多いほど、Symantec Endpoint Protection Manager で必要なディスク容量が増えます。 p.506 の 「LiveUpdate のダウンロードに使われるディスク容量の 設定」 を参照してください。 p.505 の 「クライアントが使うコンテンツリビジョンの制御」 を参照し てください。 サイトで更新をダウンロードするように設定するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、[ローカルサイト]を右クリックして[プロパティの編集]をクリックしま す。 3 [LiveUpdate]タブの[ダウンロードスケジュール]グループボックスで、[スケジュー ルの編集]をクリックし、サーバーが更新を確認する必要がある頻度についてのオプ ションを設定します。 4 [OK]をクリックします。 5 [ダウンロードするコンテンツの種類]で、ダウンロードする更新の種類のリストを調べ ます。 6 更新の種類を追加または削除するには、[選択項目の変更]をクリックし、リストを変 更してから[OK]をクリックします。 リストはクライアントコンピュータの LiveUpdate コンテンツポリシーに含めるコンテン ツの種類のリストと一致します。 7 [ダウンロードする言語]で、ダウンロードする更新の種類の言語リストを調べます。 8 言語を追加または削除するには、[選択項目の変更]をクリックし、リストを変更して から[OK]をクリックします。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サイトでのコンテンツ更新のダウンロードの設定 9 [ダウンロードするプラットホーム]で、[プラットフォームの変更]をクリックし、プラット フォームのリストを調べます。コンテンツをダウンロードしないプラットフォームのチェッ クマークをはずします。 10 [LiveUpdate 更新元サーバー]で、[ダウンロード元サーバーの編集]をクリックし、 管理サーバーの更新に使われている現在の LiveUpdate サーバーを調べます。こ のサーバーは、デフォルトでは Symantec LiveUpdate サーバーです。次のいずれ かの処理を行います。 ■ 既存の LiveUpdate 更新元サーバーを使うには、[OK]をクリックします。 ■ 社内 LiveUpdate サーバーを使うには、[指定した社内 LiveUpdate サーバー を使う]をクリックし、[追加]をクリックします。 11 [指定した社内 LiveUpdate サーバーを使う]を選択した場合は、[LiveUpdate サー バーの追加]ダイアログボックスで、その LiveUpdate サーバーを識別する情報を ボックスに入力し、[OK]をクリックします。 フェールオーバーの目的で複数のサーバーを追加できます。1 台のサーバーがオ フラインになっても、他のサーバーがサポートを提供します。シマンテック社の公開 LiveUpdate サーバーも、リストの最後のサーバーとして追加できます。公開サー バーを追加する場合は、URL として http://liveupdate.symantecliveupdate.com を使います。 メモ: UNC サーバーを使う場合、LiveUpdate のためには、ユーザー名の一部とし てドメインまたはワークグループを使う必要があります。 コンピュータがドメイン内にある場合は、ドメイン名¥ユーザー名の形式を使います。 コンピュータがワークグループ内にある場合は、コンピュータ名¥ユーザー名の形式 を使います。 12 [LiveUpdate サーバー]ダイアログボックスで[OK]をクリックします。 13 [ダウンロードのディスク容量管理]で、保持する LiveUpdate コンテンツリビジョンの 数を入力します。 多数のコンテンツリビジョンを格納する場合には、より多くのディスク容量が必要で す。拡張形式で格納するクライアントパッケージの場合も、より多くのディスク容量が 必要です。 497 498 第 22 章 更新の設定とクライアントコンピュータ保護の更新 Symantec Endpoint Protection Manager の LiveUpdate ダウンロードスケジュールの設定 14 [アップグレードのネットワークパフォーマンスが向上するように圧縮解除したクライア ントパッケージを格納する]にチェックマークを付けるかはずします。 メモ: このオプションを無効にすると、コンテンツリビジョン間のデルタを構築する Symantec Endpoint Protection の機能も無効になり、更新のネットワークパフォー マンスが低下する可能性があります。 15 [OK]をクリックします。 p.482 の 「コンテンツ更新の管理」 を参照してください。 Symantec Endpoint Protection Manager の LiveUpdate ダウンロードスケジュールの設定 Symantec Endpoint Protection Manager が LiveUpdate から管理サーバーにコンテ ンツ更新をダウンロードするために使うスケジュールを調整できます。たとえば、帯域幅を 節約するため、デフォルトのサーバースケジュールの頻度を毎時間から毎日に変更でき ます。 Symantec Endpoint Protection Manager への LiveUpdate ダウンロードのスケジュー ルを設定するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 3 サイトを選択し、[タスク]で、[サイトプロパティの編集]をクリックします。 4 [サーバープロパティ]ダイアログボックスの[LiveUpdate]タブで、[スケジュールの 編集]をクリックします。 5 頻度およびその他の設定を変更します。 6 [OK]をクリックします。 p.482 の 「コンテンツ更新の管理」 を参照してください。 Symantec Endpoint Protection Manager への LiveUpdate コンテンツの手動によるダウンロード 定時 LiveUpdate ダウンロードを待つ必要はありません。コンテンツ更新は、Symantec Endpoint Protection Manager に手動でダウンロードできます。次のどちらかの手順を 使うことができます。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 LiveUpdate サーバー活動の確認 Symantec Endpoint Protection Manager にコンテンツ更新を手動でダウンロードする には 1 [ホーム]ページから[よく使う機能]を選択して、[LiveUpdate の実行]を選択しま す。 2 [ダウンロード]をクリックします。 Symantec Endpoint Protection Manager にコンテンツ更新を手動でダウンロードする には 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックし、サイトを選択します。 3 [LiveUpdate コンテンツのダウンロード]をクリックします。 4 [LiveUpdate コンテンツのダウンロード]ダイアログボックスで、プロパティを確認し て、[ダウンロード]をクリックします。 いずれかのプロパティを変更する必要がある場合は、[キャンセル]をクリックして、最 初にプロパティを変更します。 p.494 の 「サイトでのコンテンツ更新のダウンロードの設定」 を参照してください。 p.482 の 「コンテンツ更新の管理」 を参照してください。 LiveUpdate サーバー活動の確認 Symantec Endpoint Protection Manager と LiveUpdate に関連するイベントをリストで きます。これらのイベントから、コンテンツが更新された日時がわかります。 LiveUpdate サーバー活動を確認するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページの[タスク]で、[サーバー]をクリックし、サイトを選択します。 3 [LiveUpdate の状態を表示する]をクリックします。 4 [閉じる]をクリックします。 p.482 の 「コンテンツ更新の管理」 を参照してください。 インターネットにアクセスするためにプロキシサーバーに 接続する Symantec Endpoint Protection Manager の 設定 Symantec Endpoint Protection Manager からインターネットにプロキシサーバー経由 で接続する場合は、プロキシサーバーに接続するように Symantec Endpoint Protection 499 500 第 22 章 更新の設定とクライアントコンピュータ保護の更新 クライアントが Symantec LiveUpdate または社内 LiveUpdate サーバーへの通信に使うプロキシサーバーの指定 Manager を設定する必要があります。インターネットに直接接続されるのはプロキシサー バーのみなので、プロキシサーバーを使えばセキュリティ層を追加できます。 インターネットにアクセスして Symantec LiveUpdate からコンテンツをダウンロードする ためにプロキシサーバーに接続する Symantec Endpoint Protection Manager を設定 するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、プロキシサーバーの接続先の管理サーバーを選択します。 3 [タスク]の下で、[サーバーのプロパティを編集する]をクリックします。 4 [プロキシサーバー]タブの[HTTP プロキシの設定]または[FTP プロキシの設定] のいずれかで、[プロキシの使用状況]について[カスタムプロキシ設定を使う]を選 択します。 5 プロキシの設定を入力します。 これらの設定について詳しくは[ヘルプ]をクリックしてください。 6 [OK]をクリックします。 p.482 の 「コンテンツ更新の管理」 を参照してください。 クライアントが Symantec LiveUpdate または社内 LiveUpdate サーバーへの通信に使うプロキシサーバー の指定 クライアントが社内 LiveUpdate サーバーとの通信に使うプロキシサーバーを指定できま す。プロキシの設定はグループ更新プロバイダの設定に影響しません。 p.482 の 「コンテンツ更新の管理」 を参照してください。 メモ: 他のクライアント通信に対するプロキシは別に設定します。 Windows コンピュータ上のクライアントが Symantec LiveUpdate または社内 LiveUpdate サーバーへの通信に使うプロキシサーバーを指定するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で[LiveUpdate]をクリックし、[LiveUpdate の設定]タブをクリックしま す。 3 目的のポリシーを右クリックして、[編集]を選択します。 4 [Windows の設定]の下で、[サーバーの設定]をクリックします。 5 [LiveUpdate プロキシの設定]で、[プロキシオプションの設定]をクリックします。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 クライアントコンピュータでの LiveUpdate スケジュールの有効化および無効化 6 [HTTP または HTTPS]タブまたは[FTP]タブで、目的のオプションを選択します。 オプションについて詳しくは、オンラインヘルプを参照してください。 7 ダイアログボックスで[OK]をクリックします。 8 [OK]をクリックします。 Mac コンピュータ上のクライアントが Symantec LiveUpdate または社内 LiveUpdate サーバーへの通信に使うプロキシサーバーを指定するには 1 コンソールで、[クライアント]、[ポリシー]の順にクリックします。 2 [場所に依存しないポリシーと設定]の[設定]で、[外部通信の設定]をクリックしま す。 3 [プロキシサーバー (Mac)]タブで、必要なオプションを選択します。 オプションについて詳しくは、オンラインヘルプを参照してください。 4 [OK]をクリックします。 クライアントコンピュータでの LiveUpdate スケジュール の有効化および無効化 クライアントコンピュータで LiveUpdate を有効にした場合、デフォルトのスケジュールま たは指定したスケジュールに基づいて、コンピュータは LiveUpdate からコンテンツ更新 を取得します。 クライアントコンピュータで LiveUpdate を無効にした場合、そのコンピュータは Symantec LiveUpdate サーバーから直接コンテンツ更新を取得しません。 クライアントコンピュータで LiveUpdate スケジュールを有効にするには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate の設定]タブで、目的のポリシーを右クリックして、[編集]をクリックし ます。 4 [Windows の設定]の下で、[スケジュール]をクリックします。 5 [LiveUpdate スケジュールを有効にする]にチェックマークを付けます。 6 頻度と再試行時間帯を指定します。 7 [OK]をクリックします。 クライアントコンピュータで LiveUpdate スケジュールを無効にするには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 501 502 第 22 章 更新の設定とクライアントコンピュータ保護の更新 クライアントコンピュータの更新に使われるコンテンツの種類の設定 3 [LiveUpdate の設定]タブで、目的のポリシーを右クリックして、[編集]をクリックし ます。 4 [Windows の設定]の下で、[スケジュール]をクリックします。 5 [LiveUpdate スケジュールを有効にする]のチェックマークをはずします。 6 [OK]をクリックします。 p.482 の 「コンテンツ更新の管理」 を参照してください。 クライアントコンピュータの更新に使われるコンテンツの 種類の設定 LiveUpdate コンテンツポリシーでは、クライアントで確認とインストールが許可されている コンテンツの種類を指定します。トラブルシューティングの状況では、コンテンツを古いリ ビジョンにロールバックすると役立つ場合があります。 メモ: この機能は特に注意して使ってください。コンテンツの種類のチェックマークをはず すことは、クライアントでその機能が最新の状態に維持されないことを意味します。この結 果、クライアントを潜在的により大きいリスクにさらす可能性があります。 クライアントコンピュータの更新コンテンツを設定するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]の下で、[LiveUpdate]をクリックし、[LiveUpdate コンテンツ]タブをク リックします。 3 目的のコンテンツポリシーを右クリックして、[編集]をクリックします。 4 [Windows の設定]の下で、[セキュリティ定義]をクリックします。 5 クライアントでダウンロードしてインストールするコンテンツ更新の種類にチェックマー クを付け、不要な種類のチェックマークをはずします。 メモ: Mac クライアントがある場合にインストールできるのは、ウイルスとスパイウェア の定義に対する更新のみです。[Mac の設定]の下にあるこのオプション[セキュリ ティ定義]は、デフォルトで有効です。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 クライアントコンピュータの LiveUpdate ダウンロードスケジュールの設定 6 オプションで、更新ごとに、最新の利用可能なコンテンツを使うか、利用可能なバー ジョンのリストからの特定のリビジョンを選択することができます。 7 [OK]をクリックします。 このポリシーをまだグループや場所に割り当てていない場合は、ポリシーを割り当て て有効にする必要があります。 p.494 の 「サイトでのコンテンツ更新のダウンロードの設定」 を参照してください。 p.482 の 「コンテンツ更新の管理」 を参照してください。 p.505 の 「クライアントが使うコンテンツリビジョンの制御」 を参照してください。 クライアントコンピュータの LiveUpdate ダウンロードスケ ジュールの設定 LiveUpdate クライアントのスケジュール設定は、LiveUpdate 設定ポリシーで定義されま す。 帯域幅を節約するため、次の条件のいずれかが満たされる場合、Symantec LiveUpdate サーバーからの定時 LiveUpdate のみを実行するように Symantec Endpoint Protection クライアントを設定できます。 ■ クライアントコンピュータのウイルス定義とスパイウェア定義の経過日数が 2 日を越え ている。 ■ クライアントコンピュータが Symantec Endpoint Protection Manager から 8 時間よ り長く接続解除されている。 両方のオプションにチェックマークを付けた場合、クライアントコンピュータのシマンテック 社からの定時 LiveUpdate は、両方の条件が満たされる場合のみ実行されます。 Windows クライアントコンピュータへの LiveUpdate ダウンロードのスケジュールを設定 するには 1 [ポリシー]をクリックし、[LiveUpdate]をクリックします。 2 [LiveUpdate の設定]タブで、目的のポリシーを右クリックして、[編集]をクリックし ます。 3 [Windows の設定]の下で、[スケジュール]をクリックします。 4 [LiveUpdate スケジュールを有効にする]にチェックマークを付けます。 5 頻度を指定します。 [毎日]を選択した場合は、実行する時刻も設定します。[毎週]を選択した場合は、 実行する時刻と曜日も設定します。 503 504 第 22 章 更新の設定とクライアントコンピュータ保護の更新 ユーザーが LiveUpdate に対して持つ制御権限の設定 6 [連続的]以外の頻度を選択した場合は、[再試行ウィンドウ]を指定します。 [再試行ウィンドウ]は、定時 LiveUpdate が何らかの理由で失敗した場合に、クライ アントコンピュータが LiveUpdate を実行しようとする時間数または日数です。 7 必要に応じてその他のオプションを設定します。 8 [OK]をクリックします。 p.509 の 「LiveUpdate サーバーからのコンテンツダウンロードのランダム化」 を参照して ください。 Mac クライアントコンピュータへの LiveUpdate ダウンロードのスケジュールを設定する には 1 [ポリシー]をクリックし、[LiveUpdate]をクリックします。 2 [LiveUpdate 設定ポリシー]タブで、目的のポリシーを右クリックし、次に[編集]をク リックします。 3 [Mac の設定]の下で、[スケジュール]をクリックします。 4 頻度を指定します。 [毎日]を選択した場合は、実行する時刻も設定します。[毎週]を選択した場合は、 実行する時刻と曜日も設定します。 5 終了したら[OK]をクリックします。 p.482 の 「コンテンツ更新の管理」 を参照してください。 ユーザーが LiveUpdate に対して持つ制御権限の設定 出張するユーザーに、インターネット接続を使って Symantec LiveUpdate サーバーか ら更新を直接取得することを許可したい場合があります。また、コンテンツダウンロードに ついて設定した LiveUpdate スケジュールの修正をユーザーに許可できます。 ユーザーが LiveUpdate に対して持つ制御権限を設定するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate の設定]タブで、目的のポリシーを右クリックして、[編集]をクリックし ます。 4 [Windows の設定]の下で、[拡張設定]をクリックします。 5 [ユーザー設定]ペインで、[ユーザーが手動で LiveUpdate を起動するのを許可 する]にチェックマークを付けます。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 クライアントが使うコンテンツリビジョンの制御 6 オプションで、[ユーザーに LiveUpdate スケジュールを修正を許可する]にチェッ クマークを付けます。 7 オプションとして、[製品更新の設定]で、[LiveUpdate サーバーを使って Symantec Endpoint Protection 製品の更新をダウンロードする]にチェックマークを付けます。 クライアントが使うクライアントソフトウェアのリビジョンを厳密に制御する必要がない 場合のみ、このオプションを有効にします。 p.505 の 「クライアントが使うコンテンツリビジョンの制御」 を参照してください。 p.503 の 「クライアントコンピュータの LiveUpdate ダウンロードスケジュールの設定」 を参 照してください。 クライアントが使うコンテンツリビジョンの制御 複数のバージョンのコンテンツを Symantec Endpoint Protection Manager に格納す る場合は、LiveUpdate コンテンツポリシーで特定のリビジョンを指定できます。たとえば、 クライアントにロールアウトする前に最新のリビジョンをテストできます。 メモ: クライアントが使うクライアントソフトウェアのリビジョンを厳密に制御し続けたい場合 は、クライアントが製品の更新をダウンロードできるようにしないでください。 p.504 の 「ユーザーが LiveUpdate に対して持つ制御権限の設定」 を参照してください。 場合によっては、ポリシーで指定されているリビジョンが Symantec Endpoint Protection Manager に格納されているリビジョンと一致しないことがあります。たとえば、サーバーに 存在しないリビジョンを参照するポリシーをインポートすることがあります。または、ポリシー を複製しても LiveUpdate コンテンツは別のサイトから複製しないことがあります。いずれ の場合も、ポリシーはリビジョンが利用できないことを示します。サーバーでリビジョンを利 用できない場合であっても、そのポリシーを使うクライアントはまだ保護されます。クライア ントはコンテンツの最新のリビジョンを使います。 コンテンツを以前のリビジョンにロールバックするには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate コンテンツ]タブをクリックします。 4 目的の LiveUpdate コンテンツポリシーを右クリックして、[編集]をクリックします。 5 [Windows の設定]の下で、[セキュリティ定義]をクリックします。 6 ロールバックするコンテンツの種類の下で、[リビジョンを選択してください]をクリック します。 505 506 第 22 章 更新の設定とクライアントコンピュータ保護の更新 LiveUpdate のダウンロードに使われるディスク容量の設定 7 [編集]をクリックし、ロールバックするリビジョンを[リビジョン]ドロップダウンリストから 選択します。 8 [OK]をクリックします。 p.482 の 「コンテンツ更新の管理」 を参照してください。 LiveUpdate のダウンロードに使われるディスク容量の 設定 Symantec Endpoint Protection Manager のインストール時に 500 以下のクライアント 数を選択した場合、Symantec Endpoint Protection Manager はデフォルトで、コンテ ンツの種類ごとに LiveUpdate コンテンツのリビジョンを 3 つ格納します。500 から 1,000 のクライアント数を選択した場合、Symantec Endpoint Protection Manager はデフォ ルトで 10 のリビジョンを格納します。1,000 より多いクライアント数を選択した場合、 Symantec Endpoint Protection Manager はデフォルトで 30 のリビジョンを格納しま す。たとえば、500 以下のクライアント数を選択した場合、Symantec Endpoint Protection Manager は 3 つのリビジョンを格納します。 ディスク容量とデータベースサイズを減らすため、サーバーで保存されるコンテンツのリビ ジョン数を減らすことができます。ただし、コンテンツのリビジョンの数を減らすと、コンテン ツ更新間のデルタを作成するサーバーの機能にも影響があることに留意してください。デ ルタは、最後の完全なコンテンツリビジョン以降に行われた増分の変更のみを含む更新 です。デルタファイルは通常、完全な更新ファイルよりも大幅に小さくなります。 保存するコンテンツリビジョンが多いほど、コンテンツリビジョン間のデルタを作成するサー バーの機能は高まります。保存するコンテンツリビジョンの数は、一度に何日間もオフライ ンになっているクライアントコンピュータが存在する場合は特に重要です。シマンテック社 は通常、ウイルスとスパイウェアのコンテンツリビジョンを 1 日ごとに 3 つから 4 つリリース します。少なくとも 10 のリビジョンを保存することで、金曜日に接続解除したコンピュータ が月曜の朝にデルタを使って更新できるようにします。デルタの更新に必要な時間と帯 域幅は、完全なコンテンツリビジョンをダウンロードする場合より少なくなります。 LiveUpdate のダウンロードに使われるディスク容量を設定するには 1 コンソールで、[管理]をクリックします。 2 [サーバー] をクリックし、設定するサイトを選択します。 3 [タスク]の下で、[サイトプロパティの編集]をクリックし、[LiveUpdate]をクリックしま す。 4 [ダウンロードのディスク容量管理]で、格納するコンテンツダウンロードの数を入力 します。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 同時コンテンツダウンロードのランダム化について 5 使われるディスク容量を減らす場合は、[アップグレードのネットワークパフォーマン スが向上するように圧縮解除したクライアントパッケージを格納する]オプションの チェックマークをはずします。 メモ: このオプションを無効にすると、コンテンツリビジョン間のデルタを構築する Symantec Endpoint Protection Manager の機能も無効になり、更新のネットワー クパフォーマンスが低下する可能性があります。 6 [OK]をクリックします。 p.494 の 「サイトでのコンテンツ更新のダウンロードの設定」 を参照してください。 p.482 の 「コンテンツ更新の管理」 を参照してください。 同時コンテンツダウンロードのランダム化について Symantec Endpoint Protection Manager はデフォルト管理サーバーまたは GUP (Group Update Provider)からクライアントへの同時コンテンツダウンロードのランダム化 をサポートします。LiveUpdate サーバーからクライアントへのコンテンツダウンロードのラ ンダム化もサポートします。ランダム化はピーク時のネットワークトラフィックを減らしデフォ ルトで有効になっています。 ランダム化機能は有効または無効にできます。デフォルト設定は有効です。ランダム化 ウィンドウを設定することもできます。管理サーバーはランダム化ウィンドウを使ってコンテ ンツダウンロードのタイミングをずらします。通常は、デフォルトのランダム化設定を変更 する必要はありません。 ただし、場合によっては、ランダム化ウィンドウの値を増やす必要があります。たとえば、 管理サーバーを実行する同じ物理コンピュータ上の複数の仮想コンピュータで Symantec Endpoint Protection クライアントを実行することがあります。ランダム化の値を大きくす るとサーバーのパフォーマンスは向上しますが、仮想コンピュータへのコンテンツ更新は 遅くなります。 管理サーバーを実行する単一のサーバーに多くの物理クライアントコンピュータが接続 しているときにもランダム化ウィンドウを大きくすることが必要になる場合があります。一般 に、クライアントとサーバーの比率が大きいほど、ランダム化ウィンドウに設定する値を高 くする必要があります。ランダム化の値を大きくするとサーバーのピーク負荷は小さくなり ますが、クライアントコンピュータへのコンテンツ更新は遅くなります。 クライアントの数が非常に少なくコンテンツの配信を急ぐ場合は、ランダム化ウィンドウに 設定する値を小さくします。ランダム化の値が小さいほどサーバーのピーク負荷は大きく なりますが、クライアントへのコンテンツ配信は速くなります。 507 508 第 22 章 更新の設定とクライアントコンピュータ保護の更新 デフォルトの管理サーバーまたは GUP からのコンテンツダウンロードのランダム化 デフォルト管理サーバーまたは GUP からのダウンロードの場合は、選択したグループの [通信の設定]ダイアログボックスでランダム化を設定します。この設定は LiveUpdate 設 定ポリシーには含まれません。 LiveUpdate サーバーからクライアントへのダウンロードの場合は、LiveUpdate 設定ポリ シーの一部としてランダム化の設定を行います。 p.508 の 「デフォルトの管理サーバーまたは GUP からのコンテンツダウンロードのランダ ム化」 を参照してください。 p.509 の 「LiveUpdate サーバーからのコンテンツダウンロードのランダム化」 を参照して ください。 p.521 の 「社内 LiveUpdate サーバーの設定」 を参照してください。 デフォルトの管理サーバーまたは GUP からのコンテンツ ダウンロードのランダム化 複数のクライアントコンピュータが同時にデフォルトの管理サーバーまたは GUP からのコ ンテンツのダウンロードを試みると、それらのサーバーや GUP ではパフォーマンスの低 下が発生することがあります。クライアントコンピュータの所属先グループの通信設定でラ ンダム化ウィンドウを設定できます。各クライアントコンピュータは、そのウィンドウ内のラン ダムな時刻にコンテンツのダウンロードを試みます。 メモ: この通信設定では、LiveUpdate サーバーからコンテンツをダウンロードするクライ アントコンピュータのランダム化の設定は制御されません。それらのコンピュータのランダ ム化の設定は LiveUpdate 設定ポリシーで変更できます。 p.509 の 「LiveUpdate サーバーからのコンテンツダウンロードのランダム化」 を参照して ください。 デフォルトの管理サーバーまたは GUP からのコンテンツダウンロードをランダム化する には 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]の下で、目的のグループをクリックします。 3 [ポリシー]タブの[場所に依存しないポリシーと設定]の[設定]で、[通信の設定]を クリックします。 4 [通信の設定]ダイアログボックスの[ダウンロードランダム化]で、[ランダム化を有効 にする]にチェックマークを付けます。 5 オプションで、ランダム化ウィンドウの期間を変更します。 6 [OK]をクリックします。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 LiveUpdate サーバーからのコンテンツダウンロードのランダム化 p.507 の 「同時コンテンツダウンロードのランダム化について」 を参照してください。 p.521 の 「社内 LiveUpdate サーバーの設定」 を参照してください。 LiveUpdate サーバーからのコンテンツダウンロードのラ ンダム化 複数のクライアントコンピュータが LiveUpdate サーバーからのコンテンツのダウンロード を試みると、ネットワークでトラフィックの混雑が発生することがあります。更新のスケジュー ルは、ランダム化ウィンドウを含むように設定できます。各クライアントコンピュータは、そ のウィンドウ内のランダムな時刻にコンテンツのダウンロードを試みます。 メモ: LiveUpdate 設定ポリシー内のスケジュール設定では、デフォルトの管理サーバー または GUP からコンテンツをダウンロードするクライアントコンピュータのために、ランダ ム化は制御されません。それらのコンピュータのランダム化の設定は、コンピュータが属 するグループの[通信の設定]ダイアログボックスで変更できます。 p.508 の 「デフォルトの管理サーバーまたは GUP からのコンテンツダウンロードのランダ ム化」 を参照してください。 LiveUpdate サーバーからのクライアントのコンテンツダウンロードをランダム化するに は 1 [ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate の設定]タブで、編集するポリシーを右クリックし、次に[編集]をクリッ クします。 4 [Windows の設定]の下で、[スケジュール]をクリックします。 5 [ダウンロードランダム化オプション]の下で、[開始日時を時間単位の±でランダム 化する]にチェックマークを付けます。 メモ: この設定は、[週単位]の更新を選択する場合は日単位です。 6 オプションで、ランダム化された開始日時の期間を変更します。 7 [OK]をクリックします。 p.507 の 「同時コンテンツダウンロードのランダム化について」 を参照してください。 p.521 の 「社内 LiveUpdate サーバーの設定」 を参照してください。 509 510 第 22 章 更新の設定とクライアントコンピュータ保護の更新 クライアントコンピュータがアイドル状態のときにクライアント更新を実行する設定 クライアントコンピュータがアイドル状態のときにクライア ント更新を実行する設定 クライアントコンピュータのパフォーマンスの問題を軽減するため、クライアントコンピュー タがアイドル状態のときにコンテンツのダウンロードが実行されるように設定できます。こ の設定はデフォルトでオンになります。コンピュータがいつアイドル状態になっているかを 特定するためには、ユーザー、CPU、ディスクの動作など、いくつかの基準が使われま す。 [アイドル検出]が有効になっている場合、いったん更新の期日になると、次の条件によっ てセッションの遅延が起きることがあります。 ■ ユーザーがアイドル状態でない。 ■ コンピュータがバッテリ電源で動作中。 ■ CPU がビジー状態。 ■ ディスク I/O がビジー状態。 ■ ネットワーク接続が存在しない。 1 時間後、実行を妨げる条件は CPU がビジー状態、ディスク I/O がビジー状態、ネット ワーク接続が存在しない、に少なくなります。定時更新が 2 時間遅滞すると、ネットワーク 接続が存在すればアイドルの状態を無視して定時 LiveUpdate が実行されます。 クライアントコンピュータがアイドル状態のときにクライアント更新が実行されるように設 定するには 1 [ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate の設定]タブで、編集するポリシーを右クリックし、次に[編集]をクリッ クします。 4 [Windows の設定]の下で、[スケジュール]をクリックします。 5 Delay scheduled LiveUpdate until the computer is idle. を調べてください遅滞 のセッションは無条件で動作します。 6 [OK]をクリックします。 p.503 の 「クライアントコンピュータの LiveUpdate ダウンロードスケジュールの設定」 を参 照してください。 p.511 の 「定義が古いときやコンピュータが切断されていたときに実行するクライアント更 新の設定」 を参照してください。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 定義が古いときやコンピュータが切断されていたときに実行するクライアント更新の設定 定義が古いときやコンピュータが切断されていたときに 実行するクライアント更新の設定 定義が古いとき、または指定された期間コンピュータがネットワークから切断されていたと きに、クライアントが更新されるようにできます。 メモ: 利用可能なオプションの両方にチェックマークを付けた場合、クライアントコンピュー タは両方の条件を満たす必要があります。 定義が古いとき、またはコンピュータがマネージャから切断されているときのクライアント 更新を設定する 1 [ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate の設定]タブで、編集するポリシーを右クリックし、次に[編集]をクリッ クします。 4 [Windows の設定]の下で、[スケジュール]をクリックします。 5 [LiveUpdate が動作するのはウイルス定義やスパイウェア定義の経過日数が次の 日数を超えた場合のみです:]にチェックマークを付けてから、時間数または日数を 指定します。 6 [LiveUpdate が動作するのはクライアントが Symantec Endpoint Protection から 切断されてからの経過日数が次の日数を超えた場合のみです:]にチェックマークを 付けてから、分数または時間数を指定します。 7 [OK]をクリックします。 p.503 の 「クライアントコンピュータの LiveUpdate ダウンロードスケジュールの設定」 を参 照してください。 p.510 の 「クライアントコンピュータがアイドル状態のときにクライアント更新を実行する設 定」 を参照してください。 コンテンツを配布するグループ更新プロバイダの設定 グループ更新プロバイダは、ローカルでクライアントにコンテンツ更新を配布するために 指定するクライアントコンピュータです。グループ更新プロバイダは管理サーバーからコ ンテンツ更新をダウンロードしてクライアントに配布します。 サーバーからグループ更新プロバイダへ処理能力をオフロードすることによって帯域幅 を節約できます。 511 512 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツを配布するグループ更新プロバイダの設定 グループ更新プロバイダはサーバーへのネットワークアクセスが制限されたクライアントに コンテンツ更新を配信するために理想的です。低速リンクでのリモートのクライアントへの 帯域幅を節約するためにグループ更新プロバイダを使うことができます。グループ更新 プロバイダを設定することは、社内 LiveUpdate サーバーを設定することよりも簡単です。 グループ更新プロバイダで使われるリソースの方が少ないので、管理サーバーの負荷が 減少します。 グループ更新プロバイダの管理 表 22-6 手順 処理 説明 手順 1 単一のグループ更新プロバイダ 単一のグループ更新プロバイダはクライアントの 1 つ と複数のグループ更新プロバイ 以上のグループにコンテンツを提供する専用のクライ ダの違いを理解する アントコンピュータです。複数のグループ更新プロバ イダは 1 組のルールまたは基準を使ってサブネット全 体のクライアントのグループで使用できるグループ更 新プロバイダを選択します。単一のグループ更新プロ バイダと複数のグループ更新プロバイダのどちらを選 択するかは、ネットワークと、そのネットワーク上のクラ イアントに左右されます。 p.513 の 「グループ更新プロバイダの種類について」 を参照してください。 p.516 の 「複数のグループ更新プロバイダのルールの 設定について」 を参照してください。 手順 2 クライアント通信の検証 グループ更新プロバイダを設定する前に、クライアン トがサーバーからコンテンツ更新を受信できることを検 証します。クライアント/サーバーの通信の問題を解決 します。 システムログでクライアント/サーバー活動を表示でき ます。 p.950 の 「管理サーバーとクライアント間の通信の問題 のトラブルシューティング」 を参照してください。 手順 3 グループ更新プロバイダの設定 LiveUpdate 設定ポリシーで設定を指定することによっ てグループ更新プロバイダを設定します。単一のグ ループ更新プロバイダまたは複数のグループ更新プ ロバイダを設定できます。 p.517 の 「グループ更新プロバイダの設定」 を参照し てください。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツを配布するグループ更新プロバイダの設定 手順 処理 説明 手順 4 グループに LiveUpdate 設定 ポリシーを割り当てる グループ更新プロバイダを使うグループに LiveUpdate 設定ポリシーを割り当てます。グループ更新プロバイ ダが存在するグループにもポリシーを割り当てます。 単一のグループ更新プロバイダについては、各サイト の各グループに 1 つの LiveUpdate 設定ポリシーを 割り当てます。 複数のグループ更新プロバイダについては、複数の サブネットにわたる複数のグループに 1 つの LiveUpdate 設定ポリシーを割り当てます。 p.241 の 「グループへのポリシーの割り当て」 を参照し てください。 手順 5 クライアントがグループ更新プロ グループ更新プロバイダとして指定されるクライアント バイダとして指定されることの検 コンピュータを表示できます。グループ更新プロバイ 証 ダのリストを表示するためにクライアントコンピュータを 検索できます。また、[クライアント]ページでクライアン トコンピュータをクリックしてそのコンピュータのプロパ ティを表示し、それがグループ更新プロバイダである かどうかを参照できます。 p.519 の 「グループ更新プロバイダとして機能するクラ イアントの検索」 を参照してください。 グループ更新プロバイダの種類について 2 種類のグループ更新プロバイダを設定できます。1 つは単一のグループ更新プロバイ ダ、もう 1 つは複数のグループ更新プロバイダです。 ■ 単一のグループ更新プロバイダ 単一のグループ更新プロバイダはクライアントの 1 つ以上のグループにコンテンツを 提供する専用のクライアントコンピュータです。単一のグループ更新プロバイダはあら ゆるグループのクライアントコンピュータになることができます。単一のグループ更新 プロバイダを設定するには、グループ更新プロバイダとして指定するクライアントコン ピュータの IP アドレスまたはホスト名を指定します。 ■ 複数のグループ更新プロバイダ 複数のグループ更新プロバイダは 1 組のルールまたは基準を使ってサブネット全体 のクライアントのグループで使用できるグループ更新プロバイダを選択します。複数 のグループ更新プロバイダを設定するには、クライアントコンピュータがグループ更新 プロバイダとしての機能を満たす必要がある基準を指定します。クライアントコンピュー タが基準を満たす場合、Symantec Endpoint Protection Manager はグループ更 新プロバイダのリストにクライアントを追加します。それから Symantec Endpoint Protection Manager はネットワークのすべてのクライアントでリストを使用できるよう 513 514 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツを配布するグループ更新プロバイダの設定 にします。クライアントはリストを調べてそれらのサブネットにあるグループ更新プロバ イダを選択します。 メモ: レガシークライアント(ローカルのグループ更新プロバイダを認識できない)のた めにローカルのグループ更新プロバイダが利用できない場合、単一の、専用のグルー プ更新プロバイダを設定し、クライアントにコンテンツを配布することもできます。 グループ更新プロバイダの種類を設定するために LiveUpdate 設定ポリシーを使いま す。設定する種類はネットワークの設定方法とネットワークがレガシークライアントを含ん でいるかどうかによって決まります。レガシークライアントとは、11.0.5 以前のバージョンの Symantec Endpoint Protection を実行しているコンピュータのことです。 メモ: バージョン 11.0.5(RU5)より前のバージョンの Symantec Endpoint Protection を 実行しているレガシークライアントには、複数のグループ更新プロバイダを使うことができ ません。 表 22-7 特定のグループ更新プロバイダの種類を使うとき グループ更新プロ 使うとき バイダの種類 単一 ネットワークが次のシナリオに含まれるときは単一のグループ更新プロバイ ダを使います。 ネットワークがレガシークライアントを含んでいます レガシークライアントは単一のグループ更新プロバイダからコンテンツを 取得でき、レガシークライアントはグループ更新プロバイダとして指定す ることもできます。 レガシークライアントは複数のグループ更新プロバイダをサポートしませ ん。 ■ すべてのクライアントコンピュータに同じグループ更新プロバイダを使い ます 単一のグループ更新プロバイダに固定 IP アドレスまたはホスト名を指定 するために単一の LiveUpdate コンテンツ設定ポリシーを使うことができ ます。ただし、クライアントが場所を変更する場合、ポリシーの IP アドレ スを変更する必要があります。 異なるグループの異なるグループ更新プロバイダを使う場合には各グ ループに個別の LiveUpdate 設定ポリシーを作成する必要があります。 ■ 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツを配布するグループ更新プロバイダの設定 グループ更新プロ 使うとき バイダの種類 複数 ネットワークが次のシナリオに含まれるときは複数のグループ更新プロバイ ダを使います。 ネットワーク上のクライアントコンピュータはレガシークライアントではあり ません。 複数のグループ更新プロバイダは、Symantec Endpoint Protection 11.0.5 (RU5)ソフトウェアまたはそれ以降のバージョンを実行するコン ピュータでサポートされます。11.0.5(RU5)より前のバージョンの Symantec Endpoint Protection を実行しているレガシークライアントに は、複数のグループ更新プロバイダを使うことができません。レガシーク ライアントは複数のグループ更新プロバイダからコンテンツを取得できま せん。レガシークライアントは複数のグループ更新プロバイダの基準を 満たす場合でもグループ更新プロバイダとして指定できません。 個別の LiveUpdate 設定ポリシーを作成してレガシークライアントのグ ループの単一で静的なグループ更新プロバイダを設定できます。 ■ 複数のグループがあり各グループに異なるグループ更新プロバイダを使 います 複数のグループ更新プロバイダの選択のためのルールを指定する 1 つ のポリシーを使うことができます。クライアントが場所を変更する場合は、 LiveUpdate 設定ポリシーを更新する必要がありません。Symantec Endpoint Protection Manager はサイトとドメイン全体で複数のグルー プ更新プロバイダを結合します。リストをネットワークのすべてのグルー プのすべてのクライアントで使用できるようにします。 ■ 複数のグループ更新プロバイダはフェールオーバー機構として機能で きます。複数のグループ更新プロバイダは少なくとも 1 つのグループ更 新プロバイダが各サブネットで利用できる確率を高くします。 ■ p.511 の 「コンテンツを配布するグループ更新プロバイダの設定」 を参照してください。 p.516 の 「複数のグループ更新プロバイダのルールの設定について」 を参照してくださ い。 p.517 の 「グループ更新プロバイダの設定」 を参照してください。 グループ更新プロバイダとレガシーソフトウェアリリースについて レガシークライアントがあり、ネットワークのグループ更新プロバイダとしてレガシークライ アントを使っている場合は、次の事項に注意する必要があります。 ■ 古いバージョンの Symantec Endpoint Protection を実行しているグループ更新プ ロバイダは、最新リリースの Symantec Endpoint Protection を実行しているクライア ントにコンテンツ更新を配信できません。 515 516 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツを配布するグループ更新プロバイダの設定 ■ バージョン 11.0.5(RU5)より前のバージョンの Symantec Endpoint Protection を 実行しているレガシークライアントには、複数のグループ更新プロバイダを使うことが できません。 p.511 の 「コンテンツを配布するグループ更新プロバイダの設定」 を参照してください。 複数のグループ更新プロバイダのルールの設定について 複数のグループ更新プロバイダはルールを使ってどのクライアントコンピュータがグルー プ更新プロバイダとして機能するかを決定します。 ルールは次のような構造になっています。 ■ ルールセット ルールセットにはクライアントがグループ更新プロバイダとして機能するために一致す る必要のあるルールが含まれます。 ■ ルール ルールでは IP アドレス、ホスト名、Windows クライアントのレジストリキー、クライアン トのオペレーティングシステムを指定できます。ルールセットはいずれか 1 つのルー ルの種類を含むことができます。 ■ ルール条件 ルールではクライアントがグループ更新プロバイダとして機能するために一致する必 要のある条件を指定します。ルールで複数の値を含む条件が指定されている場合、 クライアントは値の 1 つと一致する必要があります。 表 22-8 ルールの種類 ルールの種類 説明 IP アドレスまたはホスト名 このルールはクライアントの IP アドレスまたはホスト名を指定します。 レジストリキー このルールは Windows クライアントのレジストリキーを指定します。 オペレーティングシステ ム このルールはクライアントのオペレーティングシステムを指定します。 ルールは次のように論理 OR と AND 演算子に基づいて一致されます。 ■ 複数のルールセットは OR で結合されます。 クライアントはグループ更新プロバイダとして機能するルールセットと少なくとも 1 つ一 致する必要があります。 ■ 複数のルールは AND で結合されます。 クライアントはグループ更新プロバイダとして機能するルールセットで指定されている すべてのルールと一致する必要があります。 ■ ルール条件の複数の値は OR で結合されます。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツを配布するグループ更新プロバイダの設定 クライアントはグループ更新プロバイダとして機能するルール条件の値の 1 つと一致 する必要があります。 たとえば、複数の IP アドレスからなる IP アドレスルールを含む RuleSet1 を作成するも のとします。それからそれぞれが複数の値からなるホスト名ルールとオペレーティングシ ステムルールを含む RuleSet2 を作成します。クライアントコンピュータは RuleSet1 また は RuleSet2 と一致する必要があります。クライアントがいずれかの IP アドレスを持って いる場合は RuleSet1 と一致します。クライアントは、ホスト名の 1 つを持っていて、指定 されたオペレーティングシステムのいずれかを実行している場合のみ RuleSet2 と一致し ます。 p.511 の 「コンテンツを配布するグループ更新プロバイダの設定」 を参照してください。 p.513 の 「グループ更新プロバイダの種類について」 を参照してください。 p.517 の 「グループ更新プロバイダの設定」 を参照してください。 グループ更新プロバイダの設定 LiveUpdate 設定ポリシーで設定を指定することによってグループ更新プロバイダを設定 します。 クライアントがグループ更新プロバイダのみから更新を受け取ってサーバーからは受け取 らないように LiveUpdate 設定ポリシーを設定できます。クライアントがグループ更新プロ バイダをバイパスする必要がある場合を指定できます。グループ更新プロバイダコンピュー タでコンテンツ更新をダウンロードして格納するオプションを設定できます。グループ更 新プロバイダの種類も設定できます。 クライアントがデフォルトの管理サーバーからの更新の取得を試みる前に、グループ更新 プロバイダからの更新のダウンロードを試みる最長の時間を設定できます。この時間を 15 分に設定した場合、クライアントコンピュータは成功しなければ 15 分間継続してダウ ンロードを試みる必要があります。 メモ: グループ更新プロバイダがシマンテック社以外のファイアウォールを実行する場合 は、サーバー通信を受信することを TCP ポートが許可するようにファイアウォールを修正 する必要があることがあります。デフォルトでは、シマンテック社のファイアウォールポリシー は正しく設定されます。 グループごとの LiveUpdate 設定ポリシーごとに 1 つのグループ更新プロバイダを設定 できます。複数のサイトに単一のグループ更新プロバイダを作成するには、サイトごとに 1 つグループと 1 つの LiveUpdate 設定ポリシーを作成する必要があります。 LiveUpdate 設定ポリシーで基準を指定することによって複数のグループ更新プロバイ ダを設定できます。クライアントはこの基準を使用してグループ更新プロバイダとして機能 できるかどうかを判断します。 517 518 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツを配布するグループ更新プロバイダの設定 グループ更新プロバイダを設定するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate の設定]タブで、目的のポリシーを右クリックし、次に[編集]をクリック します。 4 [LiveUpdate 設定ポリシー]ウィンドウで、[サーバーの設定]をクリックします。 5 [社内または社外の LiveUpdate サーバー]の下で、[デフォルト管理サーバーを使 う]にチェックマークを付けます。 [LiveUpdate サーバーを使う]にチェックマークを付けないでください。設定するグ ループ更新プロバイダはデフォルトの LiveUpdate サーバーとして動作します。 6 [グループ更新プロバイダ]で、[GUP (Group Update Provider) を使います]に チェックマークを付けます。 7 [GUP(Group Update Provider)]をクリックします。 8 次のいずれかのタスクを行います。 ■ 「単一のグループ更新プロバイダを設定するには」 の手順に従います。 ■ 「複数のグループ更新プロバイダを設定するには」 の手順に従います。 メモ: レガシークライアントは単一のグループ更新プロバイダのみを使うことができま す。レガシークライアントは複数のグループ更新プロバイダをサポートしません。 9 [グループ更新プロバイダ]ダイアログボックスで、コンテンツをグループ更新プロバ イダコンピュータにダウンロードして格納する方法を制御するオプションを設定しま す。 コンテンツダウンロードについて詳しくは[ヘルプ]を参照してください。 10 [OK]をクリックします。 単一のグループ更新プロバイダを設定するには 1 [グループ更新プロバイダ]ダイアログボックスの[クライアントの GUP 選択]で、[単 一 GUP の IP アドレスまたはホスト名]をクリックします。 2 [単一 GUP の IP アドレスまたはホスト名]ボックスに、単一のグループ更新プロバイ ダとして機能するクライアントコンピュータの IP アドレスまたはホスト名を入力します。 IP アドレスまたはホスト名について詳しくは[ヘルプ]を参照してください。 3 グループ更新プロバイダを設定する手順に戻ります。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 コンテンツを配布するグループ更新プロバイダの設定 複数のグループ更新プロバイダを設定するには 1 [グループ更新プロバイダ]ダイアログボックスの[クライアントの GUP 選択]で、[複 数 GUP]をクリックします。 2 [GUP リストの設定]をクリックします。 3 [GUP リスト]ダイアログボックスで、ツリーノード[グループ更新プロバイダ]を選択し ます。 4 ルールセットを追加するには[追加]をクリックします。 5 [GUP ルール基準を指定してください]ダイアログボックスの[選択]ドロップダウンリ ストで、次のいずれかのオプションを選択します。 ■ コンピュータ IP アドレス / ホスト名 ■ レジストリキー ■ オペレーティングシステム 6 [コンピュータ IP アドレス / ホスト名]または[レジストリキー]を選択した場合は、[追 加]をクリックします。 7 IP アドレス、ホスト名、Windows レジストリキー、オペレーティングシステムの情報を 入力または選択します。 ルールの設定について詳しくは[ヘルプ]を参照してください。 p.516 の 「複数のグループ更新プロバイダのルールの設定について」 を参照してく ださい。 8 [GUP(Group Update Provider)リスト]ダイアログボックスに戻るまで[OK]をクリッ クします。このダイアログボックスでは任意に、より多くのルールセットを追加できま す。 9 [(省略可能) ローカルサブネット上の GUP が利用不能な場合に使いたい異なるサ ブネット上の GUP のホスト名または IP アドレスを指定してください。]テキストボック スにグループ更新プロバイダの IP アドレスまたはホスト名を入力します。 10 [OK]をクリックします。 11 グループ更新プロバイダを設定する手順に戻ります。 p.511 の 「コンテンツを配布するグループ更新プロバイダの設定」 を参照してください。 p.513 の 「グループ更新プロバイダの種類について」 を参照してください。 グループ更新プロバイダとして機能するクライアントの検索 クライアントがグループ更新プロバイダとして利用可能であることを検証できます。[クライ アント]タブで検索することによってグループ更新プロバイダのリストを表示できます。 519 520 第 22 章 更新の設定とクライアントコンピュータ保護の更新 外部 LiveUpdate サーバーの設定 メモ: クライアントのプロパティも調べることができます。プロパティはクライアントがグルー プ更新プロバイダであるかどうかを示すフィールドを含んでいます。 グループ更新プロバイダとして機能するクライアントを検索するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]タブの[表示]ボックスで、[クライアントの状態]を選択します。 3 [タスク]ペインで[クライアントの検索]をクリックします。 4 [検索]フィールドで、[コンピュータ]を選択します。 5 [グループ]フィールドで、グループ名を指定します。 6 [検索基準]で、[検索フィールド]列をクリックし、[グループ更新プロバイダ]を選択 します。 7 [検索基準]で、[比較演算子]列をクリックし、[=]を選択します。 8 [検索基準]で、[値]列をクリックし、[True]を選択します。 検索基準については[ヘルプ]をクリックしてください。 9 [検索]をクリックします。 p.511 の 「コンテンツを配布するグループ更新プロバイダの設定」 を参照してください。 外部 LiveUpdate サーバーの設定 ほとんどの組織はおそらく、デフォルト管理サーバーを使ってクライアントを更新する必要 がありますが、その代わりに Symantec LiveUpdate サーバーを使うことができます。 メモ: Mac クライアントコンピュータはデフォルト管理サーバーから更新を取得できません。 Windows クライアントのために外部 LiveUpdate サーバーを設定するには 1 [ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate の設定]タブで、目的のポリシーを右クリックし、次に[編集]をクリック します。 4 [Windows の設定]の下で、[サーバーの設定]をクリックします。 5 [デフォルト Symantec LiveUpdate サーバーを使う]をクリックします。 6 [OK]をクリックします。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 社内 LiveUpdate サーバーの設定 Mac クライアントのために外部 LiveUpdate サーバーを設定するには 1 [ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate の設定]タブで、目的のポリシーを右クリックし、次に[編集]をクリック します。 4 [Mac の設定]の下で、[サーバーの設定]をクリックします。 5 [デフォルト Symantec LiveUpdate サーバーを使う]をクリックします。 6 社内 LiveUpdate サーバーで FTP を使う場合は、[サーバーの拡張設定]をクリッ クします。 7 サーバーで使う FTP のモード([アクティブ]または[パッシブ]のいずれか)をクリック します。 8 [OK]をクリックします。 p.482 の 「コンテンツ更新の管理」 を参照してください。 社内 LiveUpdate サーバーの設定 デフォルトでは、クライアントは Symantec Endpoint Protection Manager を通して管理 サーバーから更新を取得します。ほとんどの組織では、クライアントの更新にはデフォル トの管理サーバーを使う必要があります。デフォルトの管理サーバーを選択し、環境に Mac と Windows のコンピュータが含まれる場合、Mac クライアントはデフォルトの LiveUpdate サーバーから更新を取得します。多くのクライアントがある組織では、グルー プ更新プロバイダ(GUP)を使うことを推奨します。GUP は管理サーバーの負荷を軽減 し、その設定は社内 LiveUpdate サーバーよりも簡単です。 p.511 の 「コンテンツを配布するグループ更新プロバイダの設定」 を参照してください。 クライアントの更新にデフォルトの管理サーバーまたは GUP を使わない場合は、以下が 可能です。 ■ 社内 LiveUpdate サーバーを設定します。 ■ 会社のネットワークの外側にある Symantec LiveUpdate サーバーを使います。 社内 LiveUpdate サーバーを使うには、次のタスクを実行する必要があります。 ■ 社内 LiveUpdate サーバーをインストールします。 LiveUpdate Administrator 1.x サーバーからのクライアントに更新を提供する場合 は、LiveUpdate 設定ポリシーの[サーバーの拡張設定]に移動し、サポートを有効に します。LiveUpdate Administrator ユーティリティ 1.x. のサポートを有効にするに は、チェックボックスにチェックマークを付ける必要があります。LiveUpdate Administrator 2.x 以降のサポートは常に有効です。 p.521 の 「社内 LiveUpdate サーバーの設定」 を参照してください。 521 522 第 22 章 更新の設定とクライアントコンピュータ保護の更新 社内 LiveUpdate サーバーの設定 社内 LiveUpdate サーバーの使用について詳しくは、『LiveUpdate 管理者ガイド』 を参照してください。 メモ: LiveUpdate Administrator バージョン 1.x を使って社内 LiveUpdate サー バーを管理する場合、カスタム応答パッケージを適用済みであれば変更を加える必 要があります。現在のリリースを使う LiveUpdate クライアントはカスタム応答パッケー ジを認証できません。中央の LiveUpdate サーバーからすべてのカスタムパッケージ を削除する必要があります。 ■ その社内 LiveUpdate サーバーを使うようにクライアントを設定するには、LiveUpdate 設定ポリシーを使います。 社内 LiveUpdate サーバーを使うように Windows クライアントを設定するには 1 [ポリシー]で、[LiveUpdate]をクリックします。 2 [LiveUpdate の設定]タブで、目的のポリシーを右クリックし、次に[編集]をクリック します。 3 [Windows の設定]の下で、[サーバーの設定]をクリックします。 4 [サーバーの設定]ペインで、[LiveUpdate サーバーを使う]にチェックマークを付 けます。 5 [指定した社内 LiveUpdate サーバーを使う]をクリックし、[追加]をクリックします。 6 [LiveUpdate サーバーの追加]ダイアログボックスで、使うサーバーを識別して通 信するために必要な情報を入力します。 たとえば、URL の場合は次のようにします。 7 ■ FTP 方式(推奨)を使う場合、サーバーの FTP アドレスを入力します。たとえば、 ftp://myliveupdateserver.com など。 ■ HTTP 方式を使う場合、サーバーの URL を入力します。たとえば、 http://myliveupdateserver.com や 2.168.133.11/Export/Home/LUDepot など。 ■ LAN 方式を使う場合、サーバー UNC パス名を入力します。たとえば、 ¥¥Myserver¥LUDepot など。 必要に応じてサーバーのユーザー名とパスワードを入力します。 メモ: UNC サーバーを使う場合、LiveUpdate のためには、ユーザー名に加えてド メインまたはワークグループを使う必要があります。コンピュータがドメインの一部に なっている場合は、ドメイン名¥ユーザー名の形式を使います。 コンピュータがワークグループの一部の場合は、computer_name¥user_name と いう形式を使います。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 社内 LiveUpdate サーバーの設定 8 [LiveUpdate ポリシー]の下で、[スケジュール]をクリックし、LiveUpdate による更 新のスケジュールを設定します。 p.503 の 「クライアントコンピュータの LiveUpdate ダウンロードスケジュールの設定」 を参照してください。 9 [OK]をクリックします。 10 [拡張設定]をクリックします。 デフォルトのユーザー設定、製品更新の設定、非標準ヘッダーの設定をそのままに しておくか、変更するかを決定します。通常、ユーザーには更新の設定を変更でき ないようにします。ただし、サポートしているクライアントが少ない場合は、ユーザー が手動で LiveUpdate セッションを起動するようにもできます。 p.504 の 「ユーザーが LiveUpdate に対して持つ制御権限の設定」 を参照してくだ さい。 11 [OK]をクリックします。 社内 LiveUpdate サーバーを使うように Mac クライアントを設定するには 1 [ポリシー]で、[LiveUpdate]をクリックします。 2 [LiveUpdate の設定]タブで、目的のポリシーを右クリックし、次に[編集]をクリック します。 3 [Mac の設定]の下で、[サーバーの設定]をクリックします。 4 [指定した社内 LiveUpdate サーバーを使う]をクリックし、[追加]をクリックします。 5 [LiveUpdate サーバーの追加]ダイアログボックスで、使うサーバーを識別して通 信するために必要な情報を入力します。 たとえば、URL の場合は次のようにします。 ■ FTP 方式(推奨)を使う場合、サーバーの FTP アドレスを入力します。たとえば、 ftp://myliveupdateserver.com など。 ■ HTTP 方式を使う場合、サーバーの URL を入力します。たとえば、 http://myliveupdateserver.com や 2.168.133.11/Export/Home/LUDepot など。 6 必要に応じてサーバーのユーザー名とパスワードを入力し、[OK]をクリックします。 7 サーバーで FTP を使う場合は、[サーバーの拡張設定]をクリックします。 8 サーバーで使う FTP のモード([アクティブ]または[パッシブ]のいずれか)をクリック し、[OK]をクリックします。 9 現在のバージョンではなく LiveUpdate Administrator バージョン 1.x を使う場合 は、[Enable support for LiveUpdate Administrator version 1.x]をクリックしま す。 523 524 第 22 章 更新の設定とクライアントコンピュータ保護の更新 Intelligent Updater ファイルによるクライアントのウイルスとセキュリティリスクの定義の更新 10 [Mac の設定]の下で、[拡張設定]をクリックします。 クライアントコンピュータが LiveUpdate を通して製品更新の設定を取得するように する場合は、[LiveUpdate サーバーを使って Symantec Endpoint Protection 製 品の更新をダウンロードする]をクリックします。 11 [OK]をクリックします。 p.509 の 「LiveUpdate サーバーからのコンテンツダウンロードのランダム化」 を参照して ください。 p.510 の 「クライアントコンピュータがアイドル状態のときにクライアント更新を実行する設 定」 を参照してください。 p.489 の 「クライアントコンピュータがコンテンツ更新を受信する方法」 を参照してください。 Intelligent Updater ファイルによるクライアントのウイル スとセキュリティリスクの定義の更新 シマンテック社は、クライアントコンピュータで LiveUpdate を使いウイルスとセキュリティリ スクの定義を更新することを推奨します。ただし、LiveUpdate の使用を望まない場合や LiveUpdate を利用できない場合は、Intelligent Updater ファイルを使ってクライアント を更新できます。Intelligent Updater の .exe ファイルはクライアントのみを更新するよう に設計されています。Intelligent Updater ファイルには、Symantec Endpoint Protection Manager やレガシーの Symantec AntiVirus 親サーバーが管理下クライアントを更新 するために必要な情報は含まれません。 Intelligent Updater ファイルは、ウイルスとスパイウェアの定義の更新が含まれる自己 実行型のファイルです。Intelligent Updater ファイルは、他の種類のコンテンツの更新 は提供しません。ファイルをダウンロードした後、クライアントに更新を配布するために選 択した配布方法を使うことができます。 Intelligent Updater ファイルをダウンロードするには 1 Web ブラウザで次のどちらかのサイトに移動します。 http://www.symantec.com/business/security_response/definitions/download/ detail.jsp?gid=savce ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/ 2 Web サイトまたは FTP サイトで、.exe 拡張子が付いている適切な製品ファイルをク リックします。 3 ファイルを保存する場所を確認するメッセージが表示されたら、ハードディスクドライ ブ上のフォルダを選択します。 4 選択した配布方法を使って、クライアントコンピュータにファイルを配布します。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サードパーティの配布ツールを使ったクライアントコンピュータの更新 ウイルスとセキュリティリスクの定義ファイルをクライアントコンピュータにインストールす るには 1 クライアントコンピュータで、クライアントに配布された Intelligent Updater ファイル を見つけます。 2 .exe ファイルをダブルクリックし、画面の指示に従います。 p.489 の 「クライアントコンピュータがコンテンツ更新を受信する方法」 を参照してください。 サードパーティの配布ツールを使ったクライアントコン ピュータの更新 ある大規模企業は IBM Tivoli か Microsoft SMS のようなサードパーティの配布のツー ルにクライアントコンピュータにコンテンツ更新を配布するために頼ります。 Symantec Endpoint Protection は Windows のオペレーティングシステムを実行するサードパー ティの配布のツールの使用を管理下をと管理外クライアントを更新するサポートします。 Mac クライアントは社内または外部 LiveUpdate サーバーからのみコンテンツ更新を受 信できます。 表 22-9 に、サードパーティの配布ツールを使うために実行する必要があるタスクの概要 を示します。 メモ: サードパーティの配布ツールの使用を設定する前に、Symantec Endpoint Protection Manager と、更新するクライアントコンピュータをインストール済みである必 要があります。 表 22-9 更新用のサードパーティの配布ツールの使用を設定するタスク タスク 説明 コンテンツ更新を受信するよう コンテンツ更新を自動または手動で受信するように管理サーバー に Symantec Endpoint を設定できます。 Protection Manager を設定す p.494 の 「サイトでのコンテンツ更新のダウンロードの設定」 を参 る 照してください。 p.482 の 「コンテンツ更新の管理」 を参照してください。 サードパーティのコンテンツ更 新の配布を許可するようにグ ループの LiveUpdate 設定ポ リシーを設定する サードパーティの配布ツールを使って管理下クライアントを更新 する場合は、それを許可するようにグループの LiveUpdate 設定 ポリシーを設定する必要があります。 p.526 の 「管理下クライアントへのサードパーティのコンテンツ配 布を許可する LiveUpdate 設定ポリシーの設定」 を参照してくだ さい。 525 526 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サードパーティの配布ツールを使ったクライアントコンピュータの更新 タスク 説明 サードパーティの配布ツールか サードパーティの配布ツールを使って管理外クライアントを更新 ら更新を受信するように管理外 する場合は、最初に、各管理外クライアントでレジストリキーを作 クライアントを準備する 成する必要があります。 p.527 の 「サードパーティの配布ツールから更新を受信するため の管理外クライアントの準備」 を参照してください。 コンテンツを検索し、コピーし、 それぞれの Symantec Endpoint Protection Manager クライア 配布する ントグループには、Symantec Endpoint Protection Manager を実行するコンピュータに配置された index2.dax ファイルがあり ます。これらのファイルファイルは、ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥data¥outbox¥agent フォルダの下のサブフォルダに あります。クライアントを更新するには、この index2.dax ファイル を使う必要があります。 p.494 の 「サイトでのコンテンツ更新のダウンロードの設定」 を参 照してください。 p.529 の 「サードパーティの配布ツールを使ったコンテンツの配 布」 を参照してください。 管理下クライアントへのサードパーティのコンテンツ配布を許可する LiveUpdate 設定ポリシーの設定 サードパーティの配布ツールを使って管理下クライアントを更新する場合は、それを許可 するようにクライアントグループの LiveUpdate 設定ポリシーを設定する必要があります。 手動で LiveUpdate を実行するクライアントユーザーの機能を無効にするかどうかを選 択できます。 この手順を終えると、グループのクライアントコンピュータでは次の場所にフォルダが表示 されます。 ■ Vista 以前のオペレーティングシステム、Symantec Endpoint Protection 11.x レガ シークライアント: ドライブ:¥Documents and Settings¥All Users¥Application Data¥Symantec¥Symantec Endpoint Protection¥inbox ■ Vista オペレーティングシステム、Symantec Endpoint Protection 11.x レガシーク ライアント: ドライブ:¥Program Data¥Symantec¥Symantec Endpoint Protection¥inbox ■ Vista 以前のオペレーティングシステム、バージョン 12.1 Symantec Endpoint Protection クライアント: ドライブ:¥Documents and Settings¥All Users¥Application Data¥Symantec¥CurrentVersion¥inbox 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サードパーティの配布ツールを使ったクライアントコンピュータの更新 ■ Vista オペレーティングシステム、バージョン 12.1 Symantec Endpoint Protection クライアント: ドライブ:¥ProgramData¥Symantec¥Symantec Endpoint Protection¥CurrentVersion¥inbox LiveUpdate ポリシーによる管理下クライアントへのサードパーティのコンテンツ配布を 有効にするには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で、[LiveUpdate]をクリックします。 3 [LiveUpdate の設定]タブの[タスク]で、[LiveUpdate 設定ポリシーの追加]をク リックします。 4 [LiveUpdate ポリシー]ウィンドウの[ポリシー名]と[説明]テキストボックスに、名前 と説明を入力します。 5 [Windows の設定]の下で、[サーバーの設定]をクリックします。 6 [サードパーティ管理]で、[サードパーティコンテンツ管理を有効にする]にチェック マークを付けます。 7 その他の LiveUpdate 更新元オプションはすべて解除します。 8 [OK]をクリックします。 9 [ポリシーの割り当て]ダイアログボックスで、[はい]をクリックします。 この手順を取り消し、後からポリシーを割り当てることもできます。 10 [LiveUpdate ポリシーの割り当て]ダイアログボックスで、このポリシーを割り当てる 1 つ以上のグループにチェックマークを付け、[割り当て]をクリックします。 p.521 の 「社内 LiveUpdate サーバーの設定」 を参照してください。 サードパーティの配布ツールから更新を受信するための管理外クライア ントの準備 製品ディスクから管理外クライアントをインストールする場合は、すぐにサードパーティの 配布ツールを使って、それらのクライアントに LiveUpdate コンテンツやポリシーの更新 を配布することはできません。セキュリティ対策として、これらのクライアントコンピュータは デフォルトではサードパーティの配布ツールが提供するコンテンツを信頼したり、処理し たりしません。 サードパーティの配布ツールを使って更新を正しく配信するには、最初に各管理外クラ イアントで Windows レジストリキーを作成する必要があります。このキーは、管理外クラ イアントで受信ボックスのフォルダを使って LiveUpdate コンテンツとポリシーの更新を配 布することを可能にします。 受信ボックスのフォルダは管理外クライアントでは次の場所にあります。 527 528 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サードパーティの配布ツールを使ったクライアントコンピュータの更新 ■ Vista 以前のオペレーティングシステム、レガシークライアント: ドライブ:¥Documents and Settings¥All Users¥Application Data¥Symantec¥ Symantec Endpoint Protection¥inbox ■ Vista オペレーティングシステム、レガシークライアント: ドライブ:¥Program Data¥Symantec¥Symantec Endpoint Protection¥inbox ■ Vista 以前のオペレーティングシステム、バージョン 12.1 Symantec Endpoint Protection クライアント: ドライブ:¥Documents and Settings¥All Users¥Application Data¥Symantec¥ CurrentVersion¥inbox ■ Vista オペレーティングシステム、バージョン 12.1 Symantec Endpoint Protection クライアント: ドライブ:¥ProgramData¥Symantec¥Symantec Endpoint Protection¥ CurrentVersion¥inbox レジストリキーを作成したら、サードパーティの配布ツールを使って、コンテンツまたはポ リシーの更新をこのフォルダにコピーできます。Symantec Endpoint Protection クライ アントソフトウェアは、更新を信頼して処理します。 サードパーティの配布ツールから更新を受信するために管理外クライアントを準備する には 1 2 各クライアントコンピュータで、regedit.exe または別の Windows レジストリ編集ツー ルを使って、次の Windows レジストリキーの 1 つを作成します。 ■ Symantec Endpoint Protection 12.1 を実行するクライアントで、 HKEY_LOCAL_MACHINE¥SOFTWARE¥Symantec¥SymantecEndpoint Protection¥SMC¥SPE¥TPMState を作成します。 ■ Symantec Endpoint Protection 11.x を実行するクライアントで、 HKLM¥Software¥Symantec¥Symantec Endpoint Protection¥SMC¥TPMState を作成します。 レジストリキーの値を次のように16 進数の 80 に設定します。 0x00000080 (128) メモ: この値の種類は DWORD です。 3 レジストリキーを保存し、レジストリ編集ツールを終了します。 p.525 の 「サードパーティの配布ツールを使ったクライアントコンピュータの更新」 を参照 してください。 p.529 の 「サードパーティの配布ツールを使ったコンテンツの配布」 を参照してください。 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サードパーティの配布ツールを使ったクライアントコンピュータの更新 サードパーティの配布ツールを使ったコンテンツの配布 サードパーティの配布ツールを使ってクライアントコンピュータにコンテンツを配布するに は、index2.dax ファイルを使う必要があります。index2 ファイルの LiveUpdate に関連 するコンテンツには、コンテンツモニカと呼ばれる 1 組の GUID とそれらに関連付けられ たシーケンス番号が含まれています。各コンテンツモニカは特定のコンテンツの種類に 対応します。index2 ファイルの各シーケンス番号は特定のコンテンツの種類のリビジョン に対応します。インストールした保護機能に応じて、必要なコンテンツの種類を決定する 必要があります。 p.485 の 「LiveUpdate で提供できるコンテンツの種類について」 を参照してください。 Content moniker mapping for updating legacy clients Symantec Endpoint Protection 11.x リリースと後方互換性のあるウイルスおよびスパイ ウェアの定義を除き、このコンテンツは Symantec Endpoint Protection の現在のリリー スを実行するクライアント用です。他の種類のコンテンツでレガシークライアントを更新す る場合は、レガシーコンテンツを使って更新する必要があります。サードパーティ管理ツー ルを使うこの方法は、Symantec Endpoint Protection 11.x リリース以前の Symantec AntiVirus または Symantec Client Security リリースを実行するクライアントの更新には 使用できません。 メモ: コンテンツモニカは通常、メジャーリリースごとに変わります。時には、マイナーリリー スで変わる場合もあります。シマンテック社は通常、リリース更新や保守パッチのモニカは 変更しません。 ContentInfo.txt ファイルを開くことによってコンテンツの種類へのモニカのマップを参照 できます。ContentInfo.txt ファイルは通常 ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥Inetpub¥content フォ ルダにあります。 たとえば、次のエントリを参照できます。 {535CB6A4-441F-4e8a-A897-804CD859100E}: SESC Virus Definitions Win32 v11 - MicroDefsB.CurDefs - SymAllLanguages Symantec Endpoint Protection Manager のクライアントグループにはそれぞれ固有の index2 ファイルがあります。各クライアントグループの index2 ファイルはそのグループの フォルダ内にあります。クライアントグループのフォルダは ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥data¥outbox¥agent で 見つかります。クライアントグループのフォルダ名はグループポリシーのシリアル番号に対 応しています。シリアル番号は、[グループのプロパティ]ダイアログボックス、または[クラ イアント]ページの[詳細]タブで見つかります。各グループポリシーのシリアル番号の最 初の 4 つの 16 進値は、そのグループのフォルダの最初の 4 つの 16 進値と一致します。 529 530 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サードパーティの配布ツールを使ったクライアントコンピュータの更新 管理下クライアントが使う index2.dax ファイルは暗号化されます。ファイルの内容を参照 するには、同じフォルダで利用可能な index2.xml ファイルを開きます。index2.xml ファ イルには、コンテンツモニカと連続(リビジョン)番号のリストがあります。たとえば、次のエ ントリを参照できます。 <File Checksum="191DEE487AA01C3EDA491418B53C0ECC" DeltaFlag="1" FullSize="30266080" LastModifiedTime="1186471722609" Moniker= "{535CB6A4-441F-4e8a-A897-804CD859100E}" Seq="80806003"/> グループの LiveUpdate コンテンツポリシーでは、特定リビジョンのコンテンツまたは最新 コンテンツのいずれかを指定します。index2 ファイル内のシーケンス番号は、グループ の LiveUpdate コンテンツポリシーのコンテンツの指定に対応するシーケンス番号と一致 している必要があります。たとえば、ポリシーがすべてのコンテンツの種類について[利用 可能な最新を使う]に設定されている場合は、各種類のシーケンス番号が、利用可能な 最新のコンテンツとなっています。この例では、index2 ファイルが最新のコンテンツリビ ジョンに対応するシーケンス番号(リビジョン)を呼び出す場合にのみ配布が機能します。 シーケンス番号が他のリビジョンにも対応する場合は配布は失敗します。 メモ: クライアントの ¥inbox フォルダにファイルを配置するには、Copy コマンドを使う必 要があります。Move コマンドを使用しても更新処理はトリガされず、更新は失敗します。 コンテンツを配布用の単一アーカイブに圧縮する場合は、直接 ¥inbox フォルダに圧縮 解除しないでください。 Symantec Endpoint Protection 11.x を使うレガシークライアントにウイルスとスパイウェ アのコンテンツを配布する場合は、モニカスキームが変化しています。12.x の定義を使っ てレガシークライアントを更新できますが、これらを配布する前に対象のモニカの名前を 変更する必要があります。 サードパーティの配布ツールを使ってクライアントにコンテンツを配布するには 1 Symantec Endpoint Protection Manager を実行するコンピュータで、¥Work_Dir などの作業フォルダを作成します。 2 次のいずれかの操作を実行します。 ■ 管理下クライアントの場合は、コンソールの[クライアント]タブで、更新するグルー プを右クリックして[プロパティ]をクリックします。 ■ 管理外クライアントの場合は、コンソールの[クライアント]タブで、[My Company] を右クリックして[プロパティ]をクリックします。 3 [ポリシーのシリアル番号]の最初の 4 つの 16 進値(たとえば 7B86)を書き留めま す。 4 次のフォルダに移動します。 ¥¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥data¥outbox¥agent 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サードパーティの配布ツールを使ったクライアントコンピュータの更新 5 最初の 4 つの 16 進数値が[ポリシーのシリアル番号]の値と一致するフォルダを探 します。 6 そのフォルダを開き、index2.dax ファイルを作業フォルダにコピーします。 7 次のフォルダに移動します。 ¥¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥Inetpub¥content 8 ContentInfo.txt を開いて読み、各 target moniker フォルダに含まれるコンテン ツを探します。 各ディレクトリのコンテンツは、target moniker¥sequence number¥full.zip|full で す。 9 各 ¥target moniker フォルダのコンテンツを ¥Work_Dir などの作業フォルダにコ ピーします。 10 ウイルスとスパイウェアの定義のコンテンツを Symantec Endpoint Protection 11.x レガシークライアントに配布するには、次の手順を実行する必要があります。 ■ 32 ビットコンピュータの場合は、 {535CB6A4-441F-4e8a-A897-804CD859100E}¥sequence number¥full.zip のコンテンツをコピーします。 コンテンツの名前を {C60DC234-65F9-4674-94AE-62158EFCA433}¥sequence number¥full.zip に変更してから、作業フォルダにコンテンツをコピーします。 ■ 64 ビットコンピュータの場合、 {07B590B3-9282-482f-BBAA-6D515D385869}¥sequence number¥full.zip のコンテンツをコピーします。 コンテンツの名前を {1CD85198-26C6-4bac-8C72-5D34B025DE35}¥sequence number¥full.zip に変更してから、作業フォルダにコンテンツをコピーします。 531 532 第 22 章 更新の設定とクライアントコンピュータ保護の更新 サードパーティの配布ツールを使ったクライアントコンピュータの更新 11 各 ¥target moniker からすべてのファイルとフォルダを削除し、次のフォルダ構造と ファイルのみが作業フォルダに残るようにします。 ¥¥Work_Dir¥target moniker¥latest sequence number¥full.zip これで、作業フォルダは、クライアントに配布するフォルダ構造とファイルが含まれて いる状態になりました。 12 サードパーティの配布ツールを使って、作業フォルダのコンテンツを各クライアントの ¥¥Symantec Endpoint Protection¥inbox¥ フォルダに配布します。 最終結果は次のようになります。 ¥¥Symantec Endpoint Protection¥inbox¥index2.dax ¥¥Symantec Endpoint Protection¥inbox¥target moniker¥latest sequence number¥full.zip 正常に処理されたファイルは処理後に削除されます。正常に処理されていないファ イルは Invalid という名前のサブフォルダに移動されます。inbox フォルダの下の Invalid フォルダ内にファイルがある場合は、それらのファイルを使って再試行する 必要があります。 p.525 の 「サードパーティの配布ツールを使ったクライアントコンピュータの更新」 を参照 してください。 p.527 の 「サードパーティの配布ツールから更新を受信するための管理外クライアントの 準備」 を参照してください。 23 レポートとログを使った保護 の監視 この章では以下の項目について説明しています。 ■ エンドポイント保護の監視 ■ レポートの環境設定 ■ スタンドアロン Web ブラウザからのレポートへのログオン ■ レポートの種類について ■ クイックレポートの実行とカスタマイズ ■ カスタムレポートの保存と削除 ■ 定時レポートの作成 ■ 定時レポートに使うフィルタの編集 ■ レポートの印刷と保存 ■ ログの表示 ■ クライアントコンピュータでのログからのコマンド実行 エンドポイント保護の監視 Symantec Endpoint Protection はネットワークのセキュリティイベントについての情報を 収集します。これらのイベントを表示するためにログとレポートを使うことができ、イベント 発生時のイベントについての情報を常に取得するために通知を使うことができます。 レポートとログを使って、コンピュータに関する次のような疑問に対する答え見つけること ができます。 534 第 23 章 レポートとログを使った保護の監視 エンドポイント保護の監視 ■ どのコンピュータが感染しているか。 ■ どのコンピュータをスキャンする必要があるか。 ■ どのようなリスクがネットワークで検出されたか。 メモ: Symantec Endpoint Protection は、レポートに表示するイベントを管理サーバー のイベントログから抽出します。イベントログには、クライアントコンピュータのタイムゾーン におけるタイムスタンプがあります。管理サーバーがイベントを受信すると、イベントのタイ ムスタンプをグリニッジ標準時(GMT)に変換してデータベースに挿入します。レポートの 作成時には、レポートを表示するコンピュータのローカル時刻で、イベントの情報がレポー トソフトウェアにより表示されます。 表 23-1 タスク エンドポイント保護を監視するためのタスク 説明 ネットワークのセキュリティ 次のリストに、クライアントコンピュータのセキュリティの状態を監視するために実行できるタスクをい の状態の確認 くつか示します。 ■ ■ ■ ■ ■ ■ ■ ■ 検出されたウイルスとその他のセキュリティリスクの件数を取得して各ウイルスとセキュリティリス クの詳細を表示します。 p.539 の 「リスクの表示」 を参照してください。 ネットワークの保護されていないコンピュータの件数を取得してそれぞれのコンピュータの詳細 を表示します。 p.537 の 「システム保護の表示」 を参照してください。 最新のウイルス定義とスパイウェア定義を含んだコンピュータの台数を表示します。 p.537 の 「システム保護の表示」 を参照してください。 クライアントコンピュータのリアルタイムの稼働状態を表示します。 p.189 の 「クライアントとクライアントコンピュータの保護状態の表示」 を参照してください。 オフラインのコンピュータの台数を表示します。 p.538 の 「オフラインコンピュータの検索」 を参照してください。 ネットワーク内で実行されているプロセスを確認します。 p.350 の 「SONAR 検出結果の監視による誤認のチェック」 を参照してください。 どのコンピュータがどのグループに割り当てられているかを検索します。 p.182 の 「割り当てられたコンピュータの表示」 を参照してください。 有効なライセンス枠数、過剰配備されたライセンス枠数、期限切れのライセンス枠数、有効期 限日など、クライアントコンピュータのライセンス情報を表示します。 p.108 の 「ライセンス状態の確認」 を参照してください。 p.539 の 「クライアントインベントリの表示」 を参照してください。 p.537 の 「日次または週次の状態レポートの表示」 を参照してください。 第 23 章 レポートとログを使った保護の監視 エンドポイント保護の監視 タスク 説明 保護が必要なクライアント どのコンピュータで付加的な保護が必要であるかを表示または検索するために次のタスクを実行 コンピュータの検索 できます。 ■ ■ ■ ■ ■ Symantec Endpoint Protection が無効なコンピュータの台数を表示します。 p.537 の 「システム保護の表示」 を参照してください。 最新ではないウイルス定義とスパイウェア定義を含んだコンピュータの台数を表示します。 p.537 の 「システム保護の表示」 を参照してください。 最近スキャンが行われなかったコンピュータを検索する。 p.538 の 「スキャンしていないコンピュータの検索」 を参照してください。 攻撃の標的と攻撃元を表示します。 p.540 の 「攻撃の標的と攻撃元の表示」 を参照してください。 イベントログを表示します。 p.551 の 「ログの表示」 を参照してください。 クライアントコンピュータの クライアントコンピュータを保護するためにコンソールからコマンドを実行できます。 保護 p.557 の 「クライアントコンピュータでのログからのコマンド実行」 を参照してください。 たとえば、クライアントコンピュータのセキュリティリスクを除去できます。 p.265 の 「スキャン処理の確認と識別されたコンピュータの再スキャン」 を参照してください。 セキュリティイベントが発生 通知を作成して、特定のセキュリティ関連イベントが発生したときにトリガされるように設定できます。 したときに警告するための たとえば、侵入の試みがクライアントコンピュータで発生したときに受け取る通知を設定できます。 通知の設定 p.567 の 「管理者通知の設定」 を参照してください。 進行中の監視用のカスタ カスタマイズされたクイックレポートを作成、生成したり、必要な情報が含まれるカスタムレポートを ムクイックレポートと定時レ スケジュール設定して定期的に実行したりできます。 ポートの作成 p.545 の 「クイックレポートの実行とカスタマイズ」 を参照してください。 p.548 の 「定時レポートの作成」 を参照してください。 p.547 の 「カスタムレポートの保存と削除」 を参照してください。 p.541 の 「レポートの環境設定」 を参照してください。 535 536 第 23 章 レポートとログを使った保護の監視 エンドポイント保護の監視 タスク 説明 クライアントログが占める 空き容量の最小化 セキュリティのため、ログ記録を長期間維持することが必要な場合があります。ただし、多数のクラ イアントがある場合は、クライアントログデータの量も多くなることがあります。 管理サーバーを低容量で実行している場合は、ログサイズとデータベースがログを保持する期間 を短縮する必要がある場合があります。 次のタスクを実行することによって、ログデータの量を減らすことができます。 サーバーにクライアントログの一部のみをアップロードし、クライアントログをアップロードする頻 度を変更する。 p.631 の 「クライアントログサイズと管理サーバーにアップロードするログの指定」 を参照してく ださい。 ■ クライアントコンピュータがデータベースに保持できるログエントリの数とそれらを保持する期間 を指定する。 p.632 の 「データベース内のログエントリの保存期間の指定」 を参照してください。 ■ サーバーに転送されるデータ量が減るように、重要度の低いリスクイベントとシステムイベントを フィルタで除外する。 p.328 の 「Windows コンピュータでのウイルス対策とスパイウェアの対策に関するその他の設 定の修正」 を参照してください。 ■ 各管理サーバーが管理するクライアントの数を減らす。 ■ クライアントログをサーバーにアップロードする頻度をコントロールするハートビートの頻度を減 らす。 p.249 の 「クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプルモードの 設定」 を参照してください。 ■ ログデータがデータベースに挿入される前にログデータが格納されるディレクトリ領域の量を減 らす。 p.633 の 「クライアントログデータの量の調整による領域の拡大について」 を参照してください。 ■ 集中管理する場所へのロ ログデータのエクスポートは、ネットワーク全体のすべてのログを 1 つの場所に集中して蓄積する グデータのエクスポート 場合に便利です。ログデータのエクスポートは、表計算などの他社製プログラムを使ってデータを 整理または操作する場合にも便利です。ログレコードを削除する前にログのデータをエクスポート することもできます。 ログのデータをカンマ区切りテキストファイルにエクスポートできる場合があります。ログのデータを、 ダンプファイルと呼ばれるタブ区切りテキストファイルや Syslog サーバーにエクスポートできる場 合もあります。 p.629 の 「ログデータのテキストファイルへのエクスポート」 を参照してください。 p.628 の 「ログデータの Syslog サーバーへのエクスポート」 を参照してください。 p.631 の 「ログデータのカンマ区切りテキストファイルへのエクスポート」 を参照してください。 p.556 の 「別のサイトのログの表示」 を参照してください。 レポートとログの問題のト ラブルシューティング レポートの問題のいくつかをトラブルシューティングできます。 p.965 の 「レポートに関する問題のトラブルシューティング」 を参照してください。 第 23 章 レポートとログを使った保護の監視 エンドポイント保護の監視 日次または週次の状態レポートの表示 日次状態レポートには、次の情報が表示されます。 ■ クリーニング、疑いあり、遮断、検疫、および削除処理のウイルス検出数 ■ ウイルス定義配布タイムライン ■ 上位 10 のリスクと感染 週次状態レポートには、次の情報が表示されます。 ■ コンピュータの状態 ■ ウイルス検出 ■ 保護の状態のスナップショット ■ ウイルス定義配布タイムライン ■ 日単位のリスク分布 ■ 上位 10 のリスクと感染 p.533 の 「エンドポイント保護の監視」 を参照してください。 日次状態レポートを表示するには 1 コンソールで[ホーム]をクリックします。 2 [ホーム]ページの[お気に入りレポート]ペインで、[Symantec Endpoint Protection の日次状態]または[Symantec Endpoint Protection の週次状態]をクリックしま す。 システム保護の表示 システム保護は、次の情報から構成されます。 ■ 最新のウイルス定義を含んだコンピュータの台数。 ■ 最新ではないウイルス定義を含んだコンピュータの台数。 ■ オフラインのコンピュータの台数。 ■ 無効になっているコンピュータの台数。 p.533 の 「エンドポイント保護の監視」 を参照してください。 システム保護を表示するには 1 コンソールで[ホーム]をクリックします。 システム保護は[エンドポイントの状態]ペインに表示されます。 2 [エンドポイントの状態]ペインで[詳細を表示]をクリックすると、より多くのシステム保 護情報が表示されます。 537 538 第 23 章 レポートとログを使った保護の監視 エンドポイント保護の監視 オフラインコンピュータの検索 オフラインになっているコンピュータをリストできます。 クライアントは多くの理由でオフラインになります。オフラインになっているコンピュータを 識別してその問題を修復する方法もさまざまです。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照 してください。 オフラインのコンピュータを検索するには 1 コンソールで[ホーム]をクリックします。 2 [ホーム]ページの[エンドポイントの状態]ペインで、オフラインコンピュータの数を 表すリンクをクリックします。 3 オフラインコンピュータについて詳しくは、[詳細を表示]リンクをクリックしてください。 オフラインのクライアントコンピュータに関するレポートを実行するには 1 コンソールで、[監視]をクリックします。 2 [ログ]タブの[ログの種類]リストボックスで、[コンピュータの状態]をクリックします。 3 [拡張設定]をクリックします。 4 [オンライン状態]リストボックスで、[オフライン]をクリックします。 5 [ログの表示]をクリックします。 デフォルトでは、過去 24 時間オフラインだったコンピュータのリストが表示されます。 リストには各コンピュータの名前、IP アドレス、前回サーバーにチェックインした時刻 が含まれます。時間範囲を調整して、任意の時間のオフラインコンピュータを表示す ることができます。 スキャンしていないコンピュータの検索 スキャンする必要があるコンピュータをリストできます。 p.533 の 「エンドポイント保護の監視」 を参照してください。 スキャンしていないコンピュータを検索するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、次の情報を指定します。 3 レポートの種類 [スキャン]を選択します。 選択したレポート [スキャンしていないコンピュータ]を選択します。 [レポートの作成]をクリックします。 第 23 章 レポートとログを使った保護の監視 エンドポイント保護の監視 リスクの表示 ネットワークのリスクに関する情報を入手できます。 p.533 の 「エンドポイント保護の監視」 を参照してください。 感染コンピュータとリスクを伴うコンピュータを表示するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、次の情報を指定します。 3 レポートの種類 [リスク]を選択します。 選択したレポート [感染コンピュータとリスクを伴うコンピュータ]を選択します。 [レポートの作成]をクリックします。 新しく検出されたリスクを表示するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、次の情報を指定します。 3 レポートの種類 [リスク]を選択します。 選択したレポート [ネットワークで検出された新種のリスク]を選択します。 [レポートの作成]をクリックします。 総合リスクレポートを表示するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、次の情報を指定します。 3 レポートの種類 [リスク]を選択します。 レポートの選択 [総合リスクレポート]を選択します。 [レポートの作成]をクリックします。 クライアントインベントリの表示 配備されたクライアントコンピュータの状態を確認できます。 p.533 の 「エンドポイント保護の監視」 を参照してください。 539 540 第 23 章 レポートとログを使った保護の監視 エンドポイント保護の監視 クライアントインベントリを表示するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、次の情報を指定します。 3 レポートの種類 [コンピュータの状態]。 レポートの選択 [クライアントインベントリの詳細]。 [レポートの作成]をクリックします。 攻撃の標的と攻撃元の表示 攻撃の標的と攻撃元を表示できます。 p.533 の 「エンドポイント保護の監視」 を参照してください。 上位を占める攻撃された標的を表示するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、次の情報を指定します。 3 レポートの種類 [ネットワーク脅威防止]を選択します。 レポートの選択 [上位を占める攻撃の標的]を選択します。 [レポートの作成]をクリックします。 上位を占める攻撃元を表示するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、次の情報を指定します。 3 レポートの種類 [ネットワーク脅威防止]を選択します。 レポートの選択 [上位を占める攻撃元]を選択します。 [レポートの作成]をクリックします。 詳細レポートには、次の統計が含まれます。 ■ 上位を占める攻撃の種類 ■ 上位を占める攻撃の標的 ■ 上位を占める攻撃元 ■ 上位を占めるトラフィック通知 第 23 章 レポートとログを使った保護の監視 レポートの環境設定 攻撃の標的と攻撃元の詳細レポートを表示するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、次の情報を指定します。 3 レポートの種類 [ネットワーク脅威防止]を選択します。 レポートの選択 [詳細レポート]を選択します。 [設定]オプション 必要に応じて、詳細レポートに含めるレポートを選択できます。 [レポートの作成]をクリックします。 レポートの環境設定 次のレポートの環境設定ができます。 ■ [ホーム]ページと[監視]ページの表示オプション ■ セキュリティ状態しきい値 ■ ログとレポート、さらにレガシーログファイルのアップロードに使われる表示オプション 設定するセキュリティ状態しきい値は、Symantec Endpoint Protection Manager の [ホーム]ページのセキュリティの状態メッセージが「不良」になる時期を決定します。しき い値は割合で表され、使用するネットワークがセキュリティポリシーを順守していないと見 なされる時期を示します。 たとえば、不良のセキュリティ状態をトリガする、ウイルス定義が古いコンピュータ台数の 割合を設定できます。また、定義が「古い」と見なされる経過日数も設定できます。 Symantec Endpoint Protection は、シグネチャや定義が古いかどうかを計算するとき に、コンソールが実行される管理サーバーで利用可能な最新のウイルス定義と IPS シグ ネチャを「最新」の基準にします。 メモ: Symantec Network Access Control のみをインストールしている場合は、セキュリ ティのしきい値を設定するための[セキュリティの状態]タブはありません。 設定できる環境設定オプションについて詳しくは、[環境設定]ダイアログボックスの各タ ブの[ヘルプ]をクリックしてください。 レポートの環境設定を行うには 1 コンソールの[ホーム]ページで、[環境設定]をクリックします。 2 設定する環境設定に合わせて、次のいずれかのタブをクリックします。 ■ ホームと監視 541 542 第 23 章 レポートとログを使った保護の監視 スタンドアロン Web ブラウザからのレポートへのログオン ■ セキュリティの状態 ■ ログとレポート 3 変更するオプションの値を設定します。 4 [OK]をクリックします。 スタンドアロン Web ブラウザからのレポートへのログオ ン 管理サーバーに接続されたスタンドアロン Web ブラウザから、[ホーム]ページ、[監視] ページ、[レポート]ページにアクセスできます。ただし、スタンドアロンブラウザを使うとき には、それ以外のコンソールの機能は使用できません。 レポートのページとログのページは、常に管理サーバーのインストールに使った言語で 表示されます。リモートコンソールまたはブラウザを使ってこれらのページを表示する場 合は、使っているコンピュータに適切なフォントがインストールされている必要があります。 Web ブラウザからレポートにアクセスするには、次の情報が必要です。 ■ 管理サーバーのホスト名。 メモ: HTTPS スタンドアロンレポート URL をブラウザに入力すると、警告が表示され ることがあります。警告が表示されるのは、管理サーバーが使う証明書が自己署名で あるからです。この問題を回避するには、ブラウザの信頼できる証明書ストアに証明 書をインストールします。証明書はホスト名のみをサポートするので、URL にホスト名 を使用します。localhost、IP アドレス、または完全修飾ドメイン名を使うと、警告が引 き続き表示されます。 ■ 管理サーバーのユーザー名とパスワード。 メモ: Internet Explorer 6.0 以降がインストールされている必要があります。それ以外の Web ブラウザはサポートされていません。 第 23 章 レポートとログを使った保護の監視 レポートの種類について スタンドアロン Web ブラウザからレポートにログオンするには 1 Web ブラウザを開きます。 2 [アドレス]テキストボックスに、次の形式でデフォルトのレポート URL を入力します。 https://<管理サーバーのホスト名>:8445/reporting メモ: Symantec Endpoint Protection バージョン 11 のデフォルトのレポート URL は http://<管理サーバーのアドレス>:8014/reporting です。バージョン 11 から移 行する場合は、ブラウザのしおりを更新する必要があります。 3 ログオンのダイアログボックスが表示されたら、ユーザー名とパスワードを入力して[ロ グオン]をクリックします。 複数のドメインがある場合は、[ドメイン]テキストボックスにドメイン名を入力します。 レポートの種類について 次のカテゴリのレポートが利用可能です。 ■ クイックレポート。必要に応じて実行できます。 ■ 定時レポート。設定したスケジュールに基づいて自動的に実行されます。 レポートには、管理サーバーおよび管理サーバーと通信するクライアントコンピュータか ら収集されたイベントデータが含まれます。確認する必要のある情報が提供されるように レポートをカスタマイズできます。 クイックレポートは前もって定義されていますが、カスタマイズすることができ、カスタマイ ズされたレポートの作成に使うフィルタを保存できます。カスタムフィルタを使って、カスタ ム定時レポートを作成できます。レポートの実行スケジュールを設定するときは、任意の 数の受信者に電子メールで送信されるように設定できます。 p.545 の 「クイックレポートの実行とカスタマイズ」 を参照してください。 デフォルトでは、定時レポートは常に実行されます。未実行の定時レポートについて、設 定を変更できます。単一の定時レポート、またはすべての定時レポートを削除することも できます。 p.548 の 「定時レポートの作成」 を参照してください。 また、レポートを印刷や保存することもできます。 p.550 の 「レポートの印刷と保存」 を参照してください。 表 23-2 に、利用可能なレポートの種類を示します。 543 544 第 23 章 レポートとログを使った保護の監視 レポートの種類について 表 23-2 クイックレポートと定時レポートとして利用可能なレポートの種類 レポートの種類 説明 監査 クライアントと場所が現在使っているポリシーに関する情報が表 示されます。イベントの日時と種類、ポリシー修正、ドメイン、サイ ト、管理者、説明など、ポリシーを修正する活動に関する情報が 含まれます。 アプリケーションとデバイス制御 ある種類の動作が遮断されたイベントに関する情報が表示され ます。これらのレポートには、アプリケーションのセキュリティ警告、 遮断したターゲット、遮断したデバイスに関する情報が含まれま す。遮断したターゲットとして、Windows のレジストリキー、dll、 ファイル、プロセスがあります。 コンプライアンス ネットワークのコンプライアンス状態に関する情報が表示されま す。これらのレポートには、エンフォーササーバー、エンフォーサ クライアント、エンフォーサトラフィック、ホストコンプライアンスに関 する情報が含まれます。 コンピュータの状態 どのコンピュータのセキュリティ機能がオフになったかなど、ネット ワーク内のコンピュータの稼働状態に関する情報が表示されま す。これらのレポートには、バージョン、サーバーにチェックインし ていないクライアント、クライアントインベントリ、オンライン状態に 関する情報が含まれます。 ネットワーク脅威防止 侵入防止、ファイアウォールへの攻撃、ファイアウォールのトラ フィックとパケットに関する情報が表示されます。 ネットワーク脅威防止レポートでは、コンピュータの活動と、他の コンピュータやネットワークとのやり取りを追跡できます。ネットワー ク接続を通してコンピュータに出入りしようとするトラフィックに関 する情報が記録されます。 リスク 管理サーバーとそのクライアントのリスクイベントに関する情報が 表示されます。TruScan プロアクティブ脅威スキャンに関する情 報が含まれます。 スキャン ウイルスとスパイウェアのスキャンアクティビティに関する情報が 表示されます。 システム イベント時間、イベントの種類、サイト、ドメイン、サーバー、重大 度に関する情報が表示されます。システムレポートには、クライア ントの問題をトラブルシューティングするときに役立つ情報が含ま れます。 第 23 章 レポートとログを使った保護の監視 クイックレポートの実行とカスタマイズ ネットワークに複数のドメインがある場合は、多くのレポートですべてのドメイン、1 つのサ イト、一部のサイトのいずれかのデータを表示できます。すべてのクイックレポートのデフォ ルトでは、作成するレポートに応じてすべてのドメイン、グループ、サーバーが表示されま す。 p.545 の 「クイックレポートの実行とカスタマイズ」 を参照してください。 メモ: 一部の事前定義済みレポートは Symantec Network Access Control から入手さ れた情報を含んでいます。Symantec Network Access Control を購入していない場合、 その製品のレポートを実行するとレポートには何も表示されません。Symantec Network Access Control しかインストールしていない場合は、多数のレポートが空になります。ア プリケーションとデバイス制御、ネットワーク脅威防止、リスク、スキャンのレポートには、 データが含まれません。コンプライアンスと監査のレポートにはデータが含まれます。コン ピュータの状態レポートとシステムレポートの一部にもデータが含まれます。 クイックレポートの実行とカスタマイズ クイックレポートは事前定義済みのカスタマイズ可能なレポートです。これらのレポートは 管理サーバーと通信するクライアントコンピュータと管理サーバーから収集されるイベント データを含んでいます。クイックレポートはレポートのために設定するオプションに特定の イベントの情報を提供します。レポート設定を保存して同じレポートを後で実行したり、レ ポートを印刷または保存できます。 クイックレポートは静的で、レポートのために指定する時間枠に特定の情報を提供します。 また、ログを使ってリアルタイムのイベントを監視できます。 クイックレポートを実行するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブの[レポートの種類]リストボックスで、実行するレポートの種類 を選択します。 3 [レポートの選択]リストボックスでは、実行するレポートの名前を選択します。 4 [レポートの作成]をクリックします。 クイックレポートをカスタマイズするには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブの[レポートの種類]リストボックスで、カスタマイズするレポー トの種類を選択します。 545 546 第 23 章 レポートとログを使った保護の監視 クイックレポートの実行とカスタマイズ 3 [レポートの選択]リストボックスでは、カスタマイズするレポートの名前を選択します。 [ネットワークコンプライアンス状態]レポートと[コンプライアンス状態]レポートにつ いては、[ステータス]リストボックスで、使いたい保存されたフィルタ設定を選択する か、デフォルトのフィルタのままにします。 [上位のリスク検出相関関係]レポートについては、[X 軸]と[Y 軸]のリストボックス の値を選択してレポートの表示方法を指定できます。 [スキャン統計ヒストグラム]レポートについては、[ビンの範囲]と[ビンの数]の値を 選択できます。 一部のレポートについては、[グループ]リストボックスでレポート結果を分ける方法 を指定できます。他のレポートについては、[対象]フィールドでレポート結果をフィ ルタ処理する対象を選択できます。 4 [保存したフィルタを使う]リストボックスで、保存したフィルタ設定を選択するか、デ フォルトのフィルタのままにします。 5 [適用したいフィルタ設定は?]の[時間範囲]リストボックスで、レポートの時間範囲を 選択します。 6 [特定日を設定する]を選択する場合は、[開始日]と[終了日]のリストボックスを使 います。これらのオプションは、情報を表示する時間間隔を設定します。 コンピュータの状態レポートを生成して[特定日を設定する]を選択するとき、日時の フィールドで指定する時間以降にサーバーでチェックインされなかったコンピュータ が関係するすべてのエントリを表示するように指定します。 7 レポートの追加設定をする場合は、[拡張設定]をクリックして、必要なオプションを 設定します。 [詳しい説明を表示]をクリックすると状況感知型ヘルプでフィルタオプションの説明 を参照できます。 メモ: フィルタオプションのテキストボックスは、ワイルドカード文字を使って一致する ものを検索でき、大文字小文字は区別しません。ワイルドカード文字として使用でき るのは、ASCII のアスタリスク文字だけです。 このレポートを後で再実行する場合は、レポート設定を保存できます。 8 [レポートの作成]をクリックします。 p.547 の 「カスタムレポートの保存と削除」 を参照してください。 p.550 の 「レポートの印刷と保存」 を参照してください。 p.548 の 「定時レポートの作成」 を参照してください。 第 23 章 レポートとログを使った保護の監視 カスタムレポートの保存と削除 カスタムレポートの保存と削除 カスタムレポートの設定をフィルタに保存して、後で再度レポートを生成できます。設定を 保存するときに、これらはデータベースに保存されます。フィルタに付けた名前は、関連 するログとレポートの[保存したフィルタを使う]リストボックスに表示されます。 メモ: ユーザーが保存したフィルタ設定は、本人のユーザーログオンアカウントでのみ利 用できます。レポート作成の権限を持つユーザーは、他のユーザーが保存した設定にア クセスできません。 p.549 の 「定時レポートに使うフィルタの編集」 を参照してください。 作成したレポート設定は削除できます。設定を削除すると、そのレポートを利用できなく なります。デフォルトのレポート設定の名前が[保存したフィルタを使う]リストボックスに表 示され、画面はデフォルトの設定で更新されます。 メモ: 管理サーバーから管理者を削除する場合、削除する管理者によって作成されたレ ポートを保存できます。レポートの所有権と名前は変更されます。新しいレポート名の形 式は、「元の名前('管理者名')」です。たとえば、管理者 JSmith によって作成された Monday_risk_reports という名前のレポートは、Monday_risk_reports(JSmith) と いう名前に変更されます。 p.577 の 「管理者について」 を参照してください。 カスタムレポートを保存するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、リストボックスからレポートの種類を選択します。 3 レポートの基本設定と拡張設定を変更します。 4 [フィルタの保存]をクリックします。 5 [フィルタ名]テキストボックスに、レポートフィルタの詳しい名前を入力します。フィル タが[保存したフィルタを使う]リストに追加されるときに、入力した名前の最初の 32 文字だけが表示されます。 6 [OK]をクリックします。 7 確認のダイアログボックスが表示されたら、[OK]をクリックします。 保存したフィルタは、関連するレポートとログの[保存したフィルタを使う]リストボック スに表示されます。 547 548 第 23 章 レポートとログを使った保護の監視 定時レポートの作成 カスタムレポートを削除するには 1 コンソールで、[レポート]をクリックします。 2 [クイックレポート]タブで、レポートの種類を選択します。 3 [保存したフィルタを使う]リストボックスで、削除するフィルタの名前を選択します。 4 [保存したフィルタを使う]リストボックスの横にある[削除]アイコンをクリックします。 5 確認のダイアログボックスが表示されたら、[はい]をクリックします。 定時レポートの作成 定時レポートは、設定したスケジュールに基づいて自動的に実行されるレポートです。定 時レポートは受信者に電子メールで送信されるため、少なくとも 1 人の受信者の電子メー ルアドレスを指定する必要があります。レポートの実行後、レポートは .mht 添付ファイル として、設定した受信者に電子メールで送信されます。 定時レポートに表示されるデータは、データベースで 1 時間ごとに更新されます。レポー トのデータは、管理サーバーによって定時レポートが電子メールで送信される日時から 1 時間以内のものです。 一定期間のデータを含むその他のレポートは、クライアントログに対して設定したアップ ロード間隔に基づいて、データベースで更新されます。 p.631 の 「クライアントログサイズと管理サーバーにアップロードするログの指定」 を参照し てください。 メモ: サイト内にデータベースを共有する複数のサーバーがある場合は、最初にインストー ルされたサーバーがサイトの定時レポートを実行します。このデフォルトの動作により、サ イトのすべてのサーバーが同じ定時スキャンを同時に実行することはありません。別の サーバーで定時レポートを実行する場合は、ローカルサイトのプロパティでこのオプショ ンを設定できます。 定時レポートを作成するには 1 コンソールで、[レポート]をクリックします。 2 [定時レポート]タブで、[追加]をクリックします。 3 [レポート名]テキストボックスに詳しい名前を入力し、さらに詳しい説明を入力します (省略可能)。 説明のテキストボックスには 255 文字を超える文字を貼り付けることができますが、 説明として保存されるのは 255 文字だけです。 4 しばらくこのレポートを実行しない場合は、[この定時レポートを有効にする]チェック ボックスのチェックマークをはずします。 第 23 章 レポートとログを使った保護の監視 定時レポートに使うフィルタの編集 5 リストボックスから、スケジュールを設定するレポートの種類を選択します。 6 リストボックスから、スケジュールを設定するレポートの名前を選択します。 7 リストボックスから、利用する保存済みフィルタの名前を選択します。 8 [実行間隔]テキストボックスで、レポートを電子メールで受信者に送信する間隔を選 択します(時間、日、週、月)。続いて、選択した間隔の値を入力します。たとえば、1 日おきにレポートを送信する場合は、[日]を選択して 2 を入力します。 9 [開始まで]テキストボックスに、レポートを開始する日付を入力するか、カレンダーア イコンをクリックして日付を選択します。続いて、リストボックスから時間と分を選択し ます。 10 [レポート受信者]に、1 つ以上の電子メールアドレスをカンマ区切りで入力します。 電子メール通知が機能するようにメールサーバーのプロパティが設定済みである必 要があります。 11 [OK]をクリックして、定時レポートの設定を保存します。 定時レポートに使うフィルタの編集 スケジュールを設定したレポートの設定を変更できます。次にレポートが実行されるとき に、新しいフィルタ設定が使われます。保存済みのレポートフィルタを基にして、追加の 定時レポートを作成することもできます。 フィルタの保存は作成者ごとに行われるため、2 人のユーザーが同じ名前のフィルタを作 成しても問題は発生しません。ただし、デフォルトの管理アカウントにログオンする 1 人ま たは 2 人のユーザーが、同じ名前のフィルタを作成しないようにしてください。 ユーザーが同じ名前のフィルタを作成する場合、次の 2 つの状況で競合が発生する場 合があります。 ■ 2 人のユーザーがデフォルトの管理アカウントに別のサイトでログオンし、それぞれが 同じ名前でフィルタを作成する場合 ■ 1 人のユーザーがフィルタを作成し、別のサイトにログオンして、すぐに同じ名前のフィ ルタを作成する場合 サイトの複製が実行される前にいずれかの状況が発生すると、フィルタリストに同じ名前 の 2 つのフィルタが表示されるようになります。使えるのは一方のフィルタだけです。最も 実践的な習慣として、この問題が発生した場合は使えるフィルタを削除し、別の名前で作 成し直します。使えるフィルタを削除するときに、使えないフィルタも削除します。 p.547 の 「カスタムレポートの保存と削除」 を参照してください。 549 550 第 23 章 レポートとログを使った保護の監視 レポートの印刷と保存 メモ: 保存したフィルタを定時レポートに関連付けるときには、フィルタにカスタム日付が 含まれていないことを確認します。フィルタでカスタム日付が指定されていると、レポート が実行されるたびに同じレポートを受け取ります。 p.548 の 「定時レポートの作成」 を参照してください。 定時レポートに使うフィルタを編集するには 1 コンソールで、[レポート]をクリックします。 2 [定時レポート]をクリックします。 3 レポートのリストで、編集する定時レポートをクリックします。 4 [フィルタの編集]をクリックします。 5 フィルタに必要な変更を行います。 6 [フィルタの保存]をクリックします。 元のレポートフィルタを維持する場合は、編集したフィルタに新しい名前を付けます。 7 [OK]をクリックします。 8 確認のダイアログボックスが表示されたら、[OK]をクリックします。 レポートの印刷と保存 レポートを印刷したり、クイックレポートのコピーを保存したりできます。定時レポートを印 刷することはできません。保存したファイルや印刷したレポートはレポートデータベースの 現在のデータを示すスナップショットであるため、履歴を保持できます。 メモ: Internet Explorer のデフォルト設定では、背景の色と画像が印刷されません。この 印刷オプションが無効の場合、作成したレポートと印刷されたレポートの見た目が異なる 場合があります。ブラウザの設定を変更して、背景の色と画像を印刷できます。 p.545 の 「クイックレポートの実行とカスタマイズ」 を参照してください。 レポートを印刷するには 1 レポートウィンドウで、[印刷]をクリックします。 2 [印刷]ダイアログボックスで、必要に応じてプリンタを選択し[印刷]をクリックします。 レポートを保存するときに、レポート用データベースの現在のデータに基づいてセキュリ ティ環境のスナップショットが保存されます。後で同じフィルタ設定に基づいて同じレポー トを実行した場合、新しいレポートには異なるデータが表示されます。 第 23 章 レポートとログを使った保護の監視 ログの表示 レポートを保存するには 1 レポートウィンドウで、[保存]をクリックします。 2 [ファイルのダウンロード]ダイアログボックスで、[保存]をクリックします。 3 [名前を付けて保存]ダイアログボックスの[保存する場所]ダイアログボックスで、ファ イルを保存する場所を参照します。 4 [ファイル名]リストボックスで、必要に応じてデフォルトのファイル名を変更します。 5 [保存]をクリックします。 レポートが、MHTML Web ページアーカイブ形式で選択した場所に保存されます。 6 [ダウンロードの完了]ダイアログボックスで、[閉じる]をクリックします。 ログの表示 選択したフィルタ設定集に基づくログから、表示するイベントのリストを生成できます。各 ログの種類とコンテンツの種類には、そのまま使うことも、修正して使うことも可能なデフォ ルトのフィルタ設定があります。新しいフィルタ設定を作成して保存することもできます。こ のような新しいフィルタは、デフォルトのフィルタまたは以前に作成した既存のフィルタを 基にして作成できます。フィルタ設定を保存すると、同じログ表示を後日作成するときに、 毎回設定し直す必要がありません。カスタマイズしたフィルタ設定が不要になった場合、 削除できます。 メモ: 大量のデータを含むログを表示したときにデータベースエラーが発生した場合、デー タベースのタイムアウトパラメータを変更すると安全です。 CGI エラーまたはプロセス終了エラーが発生する場合、その他のタイムアウトパラメータ を変更すると安全です。 p.968 の 「レポートとログを見直すためのタイムアウトパラメータの変更」 を参照してくださ い。 ログには一定間隔で収集される情報があるため、管理者はログ表示を更新できます。ロ グ更新頻度を設定するには、ログを表示してそのログ表示の右上にある[自動更新]リス トボックスから選択します。 メモ: 特定の日付を使ってログデータを表示する場合は、[自動更新]をクリックしてもデー タは変更されません。 レポートとログは、常に管理サーバーのインストールに使った言語で表示されます。リモー トの Symantec Endpoint Protection Manager コンソールまたはブラウザを使ってこれ 551 552 第 23 章 レポートとログを使った保護の監視 ログの表示 らを表示する場合は、使っているコンピュータに適切なフォントがインストールされている 必要があります。 p.552 の 「ログについて」 を参照してください。 p.555 の 「フィルタを使ったカスタムログの保存と削除」 を参照してください。 ログを表示するには 1 メインウィンドウで[監視]をクリックします。 2 [ログ]タブの[ログの種類]リストボックスで、表示するログの種類を選択します。 3 ログの種類によっては、[ログの内容]リストボックスが表示されます。このリストボック スが表示された場合、表示するログの内容を選択します。 4 [保存したフィルタを使う]リストボックスで、保存したフィルタを選択するか、値をデ フォルトのままにします。 5 [時間範囲]リストボックスで、時間を選択するか、デフォルト値のままにします。[特 定日を設定する]を選択した場合、表示するエントリの日時を設定します。 6 [拡張設定]をクリックして、表示するエントリの数を制限します。 選択した種類のログに対して、その他の利用可能な[拡張設定]を設定することもで きます。 メモ: フィルタオプションフィールドは、ワイルドカード文字を使って一致するものを検 索できますが、大文字小文字は区別しません。ワイルドカード文字として使用できる のは、ASCII のアスタリスク文字だけです。 7 目的の表示設定が完了したら、[ログの表示]をクリックします。 ログ表示は同じウィンドウに表示されます。 ログについて ログにはクライアント設定の変更、セキュリティに関する活動、エラーについての記録が含 まれています。これらの記録はイベントと呼ばれます。ログには、これらのイベントと追加 の関連情報が表示されます。セキュリティに関する活動にはウイルス検出、コンピュータ 状態、クライアントコンピュータから送受信されるトラフィックについての情報が含まれてい ます。 ログは、各クライアントコンピュータの活動や、他のコンピュータやネットワークとの通信を 追跡するための重要な手段です。このデータを使って、ネットワーク全体のセキュリティ状 態を分析し、クライアントコンピュータでの保護を変更できます。ウイルス、セキュリティリス ク、攻撃に関する傾向を追跡できます。複数のユーザーが同じコンピュータを使用する 場合、誰がリスクを持ち込んだかを識別し、そのユーザーに予防措置を取らせることがで きます。 第 23 章 レポートとログを使った保護の監視 ログの表示 [監視]ページの[ログ]タブでログデータを表示できます。 管理サーバーはクライアントからログの情報を定期的にアップロードします。ログまたはレ ポートでこの情報を表示できます。レポートは固定であり、ログほどの詳しい情報が含ま れないため、主にログを使ってネットワークを監視することが好まれる場合もあります。 メモ: Symantec Network Access Control のみをインストールしている場合、データが含 まれているログもあれば、空のログもあります。監査ログ、コンプライアンスログ、コンピュー タの状態ログ、システムログにはデータが含まれています。Symantec Endpoint Protection のみをインストールしている場合、コンプライアンスログとエンフォーサログは 空ですが、その他のすべてのログにはデータが含まれています。 作成された通知に関する情報は[通知]タブで、コマンドの状態に関する情報は[コマン ドの状態]タブで表示できます。 一部のログからはコマンドも実行できます。 p.557 の 「クライアントコンピュータでのログからのコマンド実行」 を参照してください。 「表 23-3」では、表示できるコンテンツの種類と各ログから実行できる処理について説明 します。 表 23-3 ログの種類 ログの種類 コンテンツと処理 監査 監査ログには、ポリシー修正活動に関する情報が記載されます。 利用可能な情報には、イベントの日時と種類、修正されたポリシー、関係したドメイン、サイト、 ユーザー名、説明が含まれます。 このログに関連付けされた処理はありません。 アプリケーションとデバイス制御 アプリケーション制御とデバイス制御のログには、ある種の動作が遮断されたイベントに関す る情報が記載されます。 利用可能なアプリケーションとデバイス制御のログは次のとおりです。 ■ アプリケーション制御(改変対策に関する情報を含む) ■ デバイス制御 利用可能な情報には、イベントが発生した日時、適用された処理、関係したドメインとコン ピュータ、関係したユーザー、重大度、関係したルール、呼び出し側プロセス、対象が含まれ ます。 アプリケーション制御ログから、アプリケーション制御例外または改変対策例外を作成できま す。 p.476 の 「アプリケーションのアプリケーション制御からの除外」 を参照してください。 553 554 第 23 章 レポートとログを使った保護の監視 ログの表示 ログの種類 コンテンツと処理 コンプライアンス コンプライアンスログには、エンフォーササーバー、エンフォーサクライアント、エンフォーサト ラフィック、ホストコンプライアンスに関する情報が含まれます。 このログに関連付けされた処理はありません。 コンピュータの状態 コンピュータの状態ログには、ネットワーク内のクライアントコンピュータのリアルタイム稼動状 態に関する情報が含まれます。 利用可能な情報には、コンピュータ名、IP アドレス、感染状態、保護技術、Auto-Protect の 状態、バージョン、定義の日付、ユーザー、前回のチェックイン日時、ポリシー、グループ、ド メイン、再起動が必要かどうかが含まれます。 また、このログからコンピュータの感染状態を消去することもできます。 ネットワーク脅威防止 ネットワーク脅威防止ログには、ファイアウォールでの攻撃に関する情報や、侵入防止に関 する情報が含まれます。サービス拒否攻撃、ポートスキャン、実行可能ファイルに行われた変 更に関する情報を利用できます。この中には、ファイアウォールを介して行われる接続(トラ フィック)や、通過するデータパケットに関する情報も含まれます。このログには、ネットワーク アプリケーションの検出やソフトウェアの設定など、コンピュータに対して行われる動作上の 変更情報も一部含まれます。 このログに関連付けされた処理はありません。 SONAR SONAR ログには、SONAR 脅威スキャン中に検出された脅威に関する情報が含まれます。 悪質である可能性のあるアプリケーションがクライアントコンピュータで実行されたときに、そ れらをリアルタイムに検出するスキャンです。 利用可能な情報には、発生日時、イベントの実際の処理、ユーザー名、コンピュータまたは ドメイン、アプリケーションまたはアプリケーションの種類、件数、ファイルまたはパスなどの項 目があります。 p.343 の 「SONAR について」 を参照してください。 リスク リスクログには、リスクイベントに関する情報が含まれます。利用可能な情報には、イベントの 日時、イベントの実際の処理、ユーザー名、コンピュータまたはドメイン、リスク名または送信 元、件数、ファイルまたはパスが含まれます。 スキャン スキャンログには、ウイルスとスパイウェアのスキャン活動に関する情報が含まれます。 利用可能な情報には、スキャン開始、コンピュータ、IP アドレス、状態、期間、検出、スキャン された項目、省略された項目、ドメインなどの項目があります。 このログに関連付けされた処理はありません。 システム システムログには、サービスの開始日時や停止日時などのイベントに関する情報が含まれま す。 このログに関連付けされた処理はありません。 第 23 章 レポートとログを使った保護の監視 ログの表示 フィルタを使ったカスタムログの保存と削除 [基本設定]と[拡張設定]を使ってカスタムフィルタを作成すると、表示される情報を変更 できます。フィルタ設定をデータベースに保存すると、後で同じ表示を再び作成できま す。設定を保存するときに、これらはデータベースに保存されます。フィルタに付けた名 前は、関連するログとレポートの[保存したフィルタを使う]リストボックスに表示されます。 メモ: ログフィルタの時間範囲として[過去 24 時間]を選択した場合、最初にフィルタを選 択した時点が 24 時間の起点になります。ページを更新する場合、24 時間の時間範囲 の開始時点はリセットされません。フィルタを選択して、ログの表示を待っていると、フィル タを選択したときに時間範囲の計時が始まります。ログを表示した時点で始まるのではあ りません。 過去 24 時間の時間範囲を確実に今すぐ開始するには、別の時間範囲を選択してから [過去 24 時間]を再び選択します。 フィルタを使ってカスタムログを保存するには 1 メインウィンドウで[監視]をクリックします。 2 [ログ]タブの[ログの種類]リストボックスで、フィルタを設定するログ表示の種類を選 択します。 3 ログの種類によっては、[ログの内容]リストボックスが表示されます。このリストボック スが表示された場合、フィルタを設定するログの内容を選択します。 4 [保存したフィルタを使う]リストボックスで、最初に使うフィルタを選択します。たとえ ば、デフォルトのフィルタを選択します。 5 [適用したいフィルタ設定は?]で、[拡張設定]をクリックします。 6 設定を変更します。 7 [フィルタの保存]をクリックします。 8 表示されるダイアログボックスの[フィルタ名]ボックスに、このログフィルタ設定に使う 名前を入力します。保存したフィルタがフィルタリストに追加されると、名前の最初の 32 文字のみが表示されます。 9 [OK]をクリックします。新しいフィルタ名が[保存したフィルタを使う]リストボックスに 追加されます。 10 確認のダイアログボックスが表示されたら、[OK]をクリックします。 555 556 第 23 章 レポートとログを使った保護の監視 ログの表示 保存したフィルタを削除するには 1 [保存したフィルタを使う]リストボックスで、削除するログフィルタの名前を選択しま す。 2 [保存したフィルタを使う]リストボックスの横にある[削除]アイコンをクリックします。 3 フィルタを削除するかどうかの確認を求められたら、[はい]をクリックします。 別のサイトのログの表示 別のサイトのログを表示する場合、Symantec Endpoint Protection Manager コンソー ルからリモートサイトのサーバーにログオンする必要があります。リモートサイトのサーバー にアカウントを持っている場合、リモートでログオンして、そのサイトのログを表示できます。 複製パートナーを設定した場合、複製パートナーのすべてのログをローカルパートナー にコピーしたり、その逆を行ったりすることを選択できます。 p.166 の 「複製するデータの指定」 を参照してください。 ログの複製を選択した場合、デフォルトでは、ログを表示したときに管理者のサイトと複製 されたサイトの両方の情報が表示されます。1 つのサイトのみを確認する場合、データを フィルタ処理して、表示する場所を限定する必要があります。 メモ: ログの複製を選択する場合、すべての複製パートナーに追加ログ用の十分なディ スク容量があることを確認してください。 別のサイトのログを表示するには 1 Web ブラウザを開きます。 2 アドレステキストボックスにサーバー名または IP アドレスとポート番号 9090 を次の ように入力します。 http://192.168.1.100:9090 コンソールがダウンロードを開始します。ログオンに使うコンピュータには、Java 2 Runtime Environment(JRE)がインストールされている必要があります。インストー ルされていない場合、ダウンロードしてインストールするように促すメッセージが表示 されます。メッセージに従って JRE をインストールします。 3 コンソールのログオンダイアログボックスで、ユーザー名とパスワードを入力します。 4 自動的に入力されない場合、[サーバー]テキストボックスにサーバー名または IP ア ドレスとポート番号 8443 を次のように入力します。 http://192.168.1.100:8443 5 [ログオン]をクリックします。 第 23 章 レポートとログを使った保護の監視 クライアントコンピュータでのログからのコマンド実行 クライアントコンピュータでのログからのコマンド実行 コンピュータの状態ログから、クライアントコンピュータ上でいくつかのコマンドを実行でき ます。 コマンドを実行するには、Symantec Endpoint Protection Manager コンソールの[クラ イアント]ページからグループを直接右クリックする方法もあります。 p.195 の 「クライアントコンピュータで実行できるコマンドについて」 を参照してください。 p.197 の 「クライアントコンピュータでのコンソールからのコマンド実行」 を参照してくださ い。 [コマンドの状態]タブを使うと、コンソールから実行したコマンドの状態とその詳細を表示 できます。スキャンが進行中の場合、このタブから特定のスキャンをキャンセルすることも できます。 コンソールから実行したコマンドの状態とその詳細を表示できます。スキャンが進行中の 場合、このタブから特定のスキャンをキャンセルすることもできます。 選択されたクライアントに対して進行中のスキャンとキューに入っているスキャンをすべて キャンセルできます。コマンドを確認すると、テーブルが更新され、コマンド状態テーブル にキャンセルコマンドが追加されます。 メモ: スキャンコマンドを実行し、カスタムスキャンを選択すると、スキャンでは[管理者定 義のスキャン]ページで管理者が設定したコマンドスキャン設定が使われます。コマンド では、選択したクライアントコンピュータに適用される[ウイルスとスパイウェアの対策ポリ シー]の設定が使われます。 ログから[クライアントコンピュータの再起動]コマンドを実行すると、このコマンドがすぐに 送信されます。ユーザーがクライアントにログオンすると、管理者がそのクライアントに対 して設定したオプションに基づいて再起動が警告されます。 [全般の設定]タブで、クライアントの再起動オプションを設定できます。 p.129 の 「クライアントコンピュータの再起動」 を参照してください。 [リスク]ログを使うと、[検疫]からファイルを削除することもできます。 p.312 の 「クライアントコンピュータにある検疫ファイルのリスクログを使った削除」 を参照 してください。 コンピュータの状態ログからコマンドを実行するには 1 [監視]をクリックします。 2 [ログ]タブの[ログの種類]リストボックスで、[コンピュータの状態]を選択します。 3 [ログの表示]をクリックします。 4 [処理]リストボックスでコマンドを選択します。 557 558 第 23 章 レポートとログを使った保護の監視 クライアントコンピュータでのログからのコマンド実行 5 [開始]をクリックします。 選択したコマンドに対して利用可能な設定項目がある場合、新しいページが表示さ れ、適切な設定を行うことができます。 6 設定を完了したら、[はい]または[OK]をクリックします。 7 コマンド確認のメッセージボックスが表示されたら、[はい]をクリックします。 8 [メッセージ]ダイアログボックスで[OK]をクリックします。 コマンドが正常にキューに入らない場合、この手順を繰り返す必要があります。サー バーが停止していないか確認できます。コンソールとサーバーとの接続が途切れた 場合、コンソールからいったんログオフし、再びログオンして状態を確認します。 コマンド状態の詳細を表示するには 1 [監視]をクリックします。 2 [コマンドの状態]タブのリストでコマンドを選択し、[詳細]をクリックします。 進行中の特定のスキャンをキャンセルするには 1 [監視]をクリックします。 2 [コマンドの状態]タブで、キャンセルするスキャンコマンドの[コマンド]列にある[ス キャンの中止]アイコンをクリックします。 3 コマンドが正常にキューに入ったことを示す確認メッセージが表示されたら、[OK]を クリックします。 進行中のスキャンとキューに入っているスキャンをすべてキャンセルするには 1 [監視]をクリックします。 2 [ログ]タブの[ログの種類]リストボックスで、[コンピュータの状態]を選択します。 3 [ログの表示]をクリックします。 4 リストで 1 台以上のコンピュータを選択し、コマンドリストで[すべてのスキャンを中止] を選択します。 5 [開始]をクリックします。 6 確認のダイアログボックスが表示されたら、[はい]をクリックして、選択したコンピュー タに対する進行中のスキャンとキューに入っているスキャンをすべてキャンセルしま す。 7 コマンドが正常にキューに入ったことを示す確認メッセージが表示されたら、[OK]を クリックします。 24 通知の管理 この章では以下の項目について説明しています。 ■ 通知の管理 ■ 管理サーバーと電子メールサーバー間の通信の確立 ■ 通知の表示と対応 ■ 管理通知フィルタの保存と削除 ■ 管理者通知の設定 ■ 別のバージョンからのアップグレードが通知条件に与える影響 通知の管理 通知は、潜在的なセキュリティ上の問題について管理者とコンピュータユーザーに警告 します。 通知の種類によっては、設定するときのデフォルト値が含まれていることがあります。この ガイドラインは、環境の規模に応じて、起点となる妥当な値を提供しますが、調整が必要 な場合もあります。環境に適した通知の数を特定するには、試行錯誤が必要です。まず 1 つしきい値を設定して数日様子を見ます。数日後、通知の設定を調整できます。 ウイルス、セキュリティリスク、ファイアウォールイベントの検出に関して、1 つのネットワー ク内に 100 台未満のコンピュータがあると仮定します。このネットワークでの開始値として は、1 分以内に 2 つのリスクイベントが検出されたときに通知を送信するように設定するこ とが妥当です。コンピュータの数が 100 台から 1000 台の場合、1 分以内に 5 つのリスク イベントを検出する方が開始値としては有効です。 [監視]ページで通知を管理します。[ホーム]ページを使って、注意を必要とする未対応 の通知の数を判断できます。 表 24-1 に、通知の管理で実行できるタスクを示します。 560 第 24 章 通知の管理 通知の管理 表 24-1 通知管理 タスク 説明 通知について学習する 通知のしくみを学習します。 p.560 の 「通知のしくみ」 を参照してください。 電子メール通知を有効にす 通知を電子メールで送信する場合は、Symantec Endpoint るように電子メールサーバー Protection Manager と電子メールサーバーを正しく設定している が設定されていることを確認 必要があります。 する p.565 の 「管理サーバーと電子メールサーバー間の通信の確立」 を参照してください。 事前設定された通知を確認 する Symantec Endpoint Protection に用意されている事前設定され た通知を確認します。 未対応の通知を表示する 未対応の通知を表示し、これに応答します。 p.566 の 「通知の表示と対応」 を参照してください。 新しい通知を設定する 必要に応じて、重要な問題について自身と自身以外の管理者に注 意を促す通知を作成します。 p.567 の 「管理者通知の設定」 を参照してください。 p.228 の 「リモートクライアントの通知の有効化について」 を参照し てください。 通知フィルタを作成する 必要に応じて、トリガされたすべての通知の表示を拡張または限定 するフィルタを作成します。 p.567 の 「管理通知フィルタの保存と削除」 を参照してください。 通知のしくみ 通知は、潜在的なセキュリティ上の問題について管理者とユーザーに警告します。たとえ ば、通知は、期限切れのライセンスまたはウイルスの感染について管理者に警告できま す。 イベントは通知をトリガします。新しいセキュリティリスク、クライアントコンピュータでのハー ドウェアの変更、または体験版ライセンスの期限切れで、通知をトリガできます。通知がト リガされたときに、システムによって処理が行われるように設定できます。処理には、ログ への通知の記録、バッチファイルまたは実行可能ファイルの実行、電子メールの送信な どがあります。 メモ: 電子メール通知には、Symantec Endpoint Protection Manager と電子メールサー バーとの間の通信が正しく設定されている必要があります。 第 24 章 通知の管理 通知の管理 通知のダンパー期間:を設定できます。ダンパー期間は、新しいデータの通知条件を調 べるまでに経過する必要のある時間を指定します。通知条件にダンパー期間がある場 合、通知はこの期間内でトリガ条件が最初に起きたときにのみ発行されます。たとえば、 大規模なウイルス攻撃が起き、ネットワーク上の 5 台のコンピュータにウイルスが感染す るごとに電子メールを送信するように、通知条件が設定されているとします。その通知条 件に対して 1 時間のダンパー期間を設定した場合、サーバーは、攻撃中、1 時間ごとに 通知電子メールを 1 つずつ送信します。 p.559 の 「通知の管理」 を参照してください。 p.565 の 「管理サーバーと電子メールサーバー間の通信の確立」 を参照してください。 p.561 の 「事前設定された通知について」 を参照してください。 p.567 の 「管理者通知の設定」 を参照してください。 p.566 の 「通知の表示と対応」 を参照してください。 事前設定された通知について Symantec Endpoint Protection Manager には、管理者が使うための事前設定された 通知条件が用意されています。特定のニーズを満たすように、事前設定されたこれらの 通知をカスタマイズできます。たとえば、フィルタを追加して、トリガ条件を特定のコンピュー タのみに限定できます。または、トリガされたときに特定の処理を行うように通知を設定で きます。 デフォルトで、これらの条件の一部が Symantec Endpoint Protection Manager をイン ストールしたときに有効になります。デフォルトで有効になっている通知条件は、サーバー にログ記録し、システム管理者に電子メールを送信するように設定されています。 p.559 の 「通知の管理」 を参照してください。 p.569 の 「別のバージョンからのアップグレードが通知条件に与える影響」 を参照してくだ さい。 表 24-2 事前設定された通知 通知 説明 認証エラー 認証エラー通知は、一定数のログオンエラーが定義された 期間に発生するとトリガされます。通知をトリガするために必 要なログオンエラーの数とログオンエラーが発生する期間 を設定できます。 561 562 第 24 章 通知の管理 通知の管理 通知 説明 クライアントリストを変更しました この通知は、既存のクライアントリストに変更があったときに トリガします。この通知条件はデフォルトで有効になってい ます。 クライアントリストの変更には次のものが含まれます。 クライアントセキュリティ警告 ■ クライアントの追加 ■ クライアントのグループ内での変更 ■ クライアントの名前の変更 ■ クライアントの削除 ■ クライアントハードウェアでの変更 ■ クライアントの管理外検出状態での変更 ■ クライアントモードの変更 この通知は、次のセキュリティイベントのいずれかが起きた ときにトリガします。 ■ コンプライアンスイベント ■ ネットワーク脅威防止イベント ■ トラフィックイベント ■ パケットイベント ■ デバイス制御イベント ■ アプリケーション制御イベント この通知を修正して、これらのイベントが起きる通知期間を トリガする条件の種類、重要度、頻度を指定できます。 これらの発生の種類の中には、関連するポリシーでログ記 録を有効にする必要があるものがあります。 ダウンロード保護コンテンツが最新で 最新ではないダウンロード保護コンテンツについて管理者 はありません に警告します。定義が通知をトリガする経過時間を指定で きます。 エンフォーサが休止状態です この通知は、エンフォーサアプライアンスがオフラインにな るとトリガします。通知では、各エンフォーサの名前、そのグ ループ、前回の状態の時間が報告されます。 強制アプリケーション検出 商用アプリケーションリストのアプリケーションが検出された り、管理者によって監視されるアプリケーションリストのアプ リケーションが検出されたときに、この通知がトリガします。 IPS シグネチャが最新ではありません 最新ではない IPS シグネチャについて管理者に警告しま す。定義が通知をトリガする経過時間を指定できます。 第 24 章 通知の管理 通知の管理 通知 説明 有償ライセンスの問題 この通知は、管理者や、必要に応じてパートナーに、期限 切れになった、または期限切れ間近の有償ライセンスにつ いて警告します。 この通知条件はデフォルトで有効になっています。 配備過剰の問題 この通知は、管理者や、必要に応じてパートナーに、過剰 配備の有償ライセンスについて警告します。 この通知条件はデフォルトで有効になっています。 体験版ライセンス期限 この通知は、期限切れの体験版ライセンスについて管理者 に警告します。 この通知はデフォルトで有効になっています。 新しい学習済みアプリケーション アプリケーション学習で新しいアプリケーションが検出され たときに、この通知がトリガします。 新しいユーザー許可アプリケーション ダウンロードインサイトによって検出されたアプリケーション をクライアントコンピュータが許可するときに、この通知がトリ ガします。管理者はこの情報を使って、アプリケーションを 遮断したり許可したりするための評価に役立てます。 新種のリスクを検出しました ウイルスおよびスパイウェアスキャンによって新しいリスクが 検出されたときは常に、この通知がトリガします。 新しいソフトウェアパッケージ 新しいソフトウェアパッケージをダウンロードするか、または 次の状況が起きた場合にこの通知がトリガします。 クライアントパッケージが LiveUpdate を介してダウン ロードされる。 ■ 管理サーバーがアップグレードされる。 ■ ■ クライアントパッケージが手動でコンソールを介してイン ポートされる。 新しいセキュリティ定義によってのみ、新しいクライアントパッ ケージによってのみ、またはその両方によってのみ通知が トリガされるかを指定できます。デフォルトでは、この条件に 対して、[クライアントパッケージ]設定オプションは有効で あり、[セキュリティ定義]オプションは無効です。 この通知条件はデフォルトで有効になっています。 563 564 第 24 章 通知の管理 通知の管理 通知 説明 リスクアウトブレーク この通知は、セキュリティリスクアウトブレークについて管理 者に警告します。通知をトリガするために必要な新しいリス クの発生の数および種類とリスクが発生する期間を設定し ます。発生の種類には、任意のコンピュータでの発生、単 一コンピュータでの発生、個別のコンピュータでの発生など があります。 この通知条件はデフォルトで有効になっています。 サーバーの健全性 サーバー健全性問題は通知をトリガします。通知には、サー バー名、健全性状態、理由、最新のオンライン/オフライン 状態が示されます。 この通知条件はデフォルトで有効になっています。 単一リスクイベント この通知は、単一のリスクイベントの検出時にトリガし、リスク に関する詳細を示します。詳細には、関与するユーザーお よびコンピュータと、管理サーバーにより行われる処理が含 まれます。 SONAR 定義が最新ではありません 最新ではない SONAR 定義について管理者に警告します。 定義が通知をトリガする経過時間を指定できます。 システムイベント この通知は、特定のシステムイベントが発生したときにトリガ し、このようなイベントが検出された数を示します。 システムイベントには次のイベントが含まれます。 管理外コンピュータ ■ サーバー活動 ■ エンフォーサ活動 ■ 複製エラー ■ バックアップおよび復元イベント ■ システムエラー この通知は、管理サーバーがネットワークで管理外コン ピュータを検出したときにトリガします。通知には、各管理外 コンピュータの IP アドレス、MAC アドレス、オペレーティン グシステムを含む詳細が示されます。 アップグレードライセンスの有効期限 以前のバージョンの Symantec Endpoint Protection Manager から現在のバージョンへのアップグレードでは、 アップグレードライセンスが与えられます。この通知は、アッ プグレードライセンスが期限切れ間近になったときにトリガ します。 ウイルス定義が最新ではありません 最新ではないウイルス定義について管理者に警告します。 定義が通知をトリガする経過時間を指定できます。 第 24 章 通知の管理 管理サーバーと電子メールサーバー間の通信の確立 パートナー通知について 管理サーバーは、期限切れ間近、または期限切れになった有償ライセンスがクライアント にあることを検出すると、システム管理者に通知を送信できます。同様に、管理サーバー は、ライセンスが過剰配備されていることを検出したときに、管理者に通知を送信できま す。 ただし、どちらの場合でも、問題を解決するには新しいライセンスまたは更新ライセンスの 購入が必要になることがあります。多くのインストールでは、サーバー管理者にはそのよ うな購入を行う権限がない場合がありますが、代わりに、シマンテック社のパートナーに依 頼してこのタスクを実行してください。 管理サーバーには、パートナーの連絡先情報を保持する機能が用意されています。この 情報は、サーバーがインストールされているときに入力できます。システム管理者はまた、 インストール後はいつでも、コンソールの[ライセンス]ペインで、パートナー情報を入力ま たは編集できます。 パートナーの連絡先情報が管理サーバーで利用可能なとき、有償ライセンス関連の通知 と過剰配備ライセンスの通知が管理者とパートナーの両方に自動的に送信されます。 p.561 の 「事前設定された通知について」 を参照してください。 管理サーバーと電子メールサーバー間の通信の確立 管理サーバーが自動的に電子メール通知を送信するには、管理サーバーと電子メール サーバー間の接続を設定する必要があります。 p.559 の 「通知の管理」 を参照してください。 管理サーバーと電子メールサーバー間の通信を確立するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、電子メールサーバーと接続を確立する管理サーバーを選択します。 3 [タスク]の下で、[サーバーのプロパティを編集する]をクリックします。 4 [サーバープロパティ]ダイアログボックスで、[電子メールサーバー]タブをクリックし ます。 5 電子メールサーバー設定を入力します。 このダイアログボックスのオプション設定について詳しくは[ヘルプ]を参照してくださ い。 6 [OK]をクリックします。 565 566 第 24 章 通知の管理 通知の表示と対応 通知の表示と対応 未対応の通知を表示することも、すべての通知を表示することもできます。未対応の通知 に対応できます。コンソールで現在設定されているすべての通知条件を表示できます。 [ホーム]ページの[セキュリティの状態]ペインには、過去 24 時間に起きた未対応の通 知の数が表示されます。 p.559 の 「通知の管理」 を参照してください。 最近の未対応の通知を表示するには 1 コンソールで[ホーム]をクリックします。 2 [ホーム]ページの[セキュリティの状態]ペインで、[通知の表示]をクリックします。 最近の未対応の通知のリストが、[通知]タブに表示されます。 3 必要に応じて、通知のリストの[レポート]列に文書アイコンがある場合は、これをク リックします。 通知レポートが別のブラウザウィンドウに表示されます。文書アイコンがない場合は、 通知のリストの[メッセージ]列にすべての通知情報が表示されます。 通知を表示するには 1 コンソールで、[監視]をクリックし、[通知]タブをクリックします。 2 必要に応じて、[通知]タブの[保存したフィルタを使う]メニューから、保存したフィル タを選択します。 p.567 の 「管理通知フィルタの保存と削除」 を参照してください。 3 必要に応じて、[通知]タブの[時間範囲]メニューから、時間範囲を選択します。 4 [通知]タブで、[通知の表示]をクリックします。 通知に対応するには 1 通知を表示します。 p.566 の 「最近の未対応の通知を表示するには」 を参照してください。 p.566 の 「通知を表示するには」 を参照してください。 2 [通知]タブの通知のリストにある[対応]列で、赤色のアイコンをクリックして通知に対 応します。 設定された通知条件をすべて表示するには 1 コンソールで、[監視]をクリックします。 2 [監視]ページの[通知]タブで、[通知条件]をクリックします。 コンソールで設定されたすべての通知条件が表示されます。[通知の種類を表示す る]メニューから通知の種類を選択して、リストをフィルタ処理できます。 第 24 章 通知の管理 管理通知フィルタの保存と削除 管理通知フィルタの保存と削除 フィルタを使って、コンソールでの管理通知の表示を拡張または限定できます。新しい フィルタを保存でき、以前に保存したフィルタを削除できます。 p.566 の 「通知の表示と対応」 を参照してください。 p.559 の 「通知の管理」 を参照してください。 次の基準を組み合わせて使う、保存済みのフィルタを作成できます。 ■ 時間範囲 ■ 対応済みの状態 ■ 通知の種類 ■ 作成者 ■ 通知名 たとえば、過去 24 時間に送信された未対応のリスクアウトブレーク通知のみを表示する フィルタを作成できます。 通知フィルタを追加するには 1 コンソールで、[監視]をクリックします。 2 [監視]ページの[通知]タブで、[拡張設定]をクリックします。 3 [適用したいフィルタ設定は?]の見出しの下で、フィルタの基準を設定します。 4 [フィルタの保存]をクリックします。 5 [通知]タブの[フィルタ名]ボックスにフィルタ名を入力して、[OK]をクリックします。 保存した通知フィルタを削除するには 1 コンソールで、[監視]をクリックします。 2 [監視]ページの[通知]タブの[保存したフィルタを使う]メニューで、フィルタを選択 します。 3 [保存したフィルタを使う]メニューの右側で、X アイコンをクリックします。 4 [フィルタの削除]ダイアログボックスで、[はい]をクリックします。 管理者通知の設定 特定の種類のイベントが行われるときに、自身および他の管理者に警告するように通知 を設定できます。また、重要なタスクを実行するように注意を促すための通知をトリガする 条件も追加できます。たとえば、ライセンスが期限切れになったり、セキュリティリスクが検 出されたときに知らせる通知条件を追加できます。 567 568 第 24 章 通知の管理 管理者通知の設定 トリガされると、通知は、次のような特定の処理を実行できます: ■ データベースに通知をログ記録する ■ 1 人以上の個人に電子メールを送信する ■ バッチファイルを実行する メモ: 電子メール通知を送信するには、管理サーバーと通信するようにメールサーバーを 設定する必要があります。 p.565 の 「管理サーバーと電子メールサーバー間の通信の確立」 を参照してください。 利用可能な通知の種類のリストから通知条件を選択します。 通知の種類を選択した後、次のように設定します。 ■ フィルタを指定します。 すべての種類の通知でフィルタが用意されているわけではありません。フィルタが用 意されている場合は、そのフィルタを使って通知をトリガする条件を限定できます。た とえば、特定のグループのコンピュータが影響される場合にのみトリガするように、通 知を制限できます。 ■ 設定を指定します。 すべての種類の通知で設定が用意されていますが、具体的な設定は種類ごとに異 なります。たとえば、リスクの通知では、どの種類のスキャンが通知をトリガするかを指 定できます。 ■ 処理を指定します。 すべての種類の通知で、指定できる処理が用意されています。 管理者通知を設定するには 1 コンソールで、[監視]をクリックします。 2 [監視]ページの[通知]タブで、[通知条件]をクリックします。 3 [通知]タブで、[追加]をクリックして、通知の種類をクリックします。 4 [通知条件の追加]ダイアログボックスで、次の情報を入力します。 5 ■ [通知名]テキストボックスで、通知条件に付ける名前を入力します。 ■ [適用したいフィルタ設定は?]領域が表示されている場合、この領域で通知条 件のフィルタ設定を指定します。 ■ [この通知に適用したい設定は?]領域で、通知をトリガする条件を指定します。 ■ [この通知がトリガされたときに実行したい処理は?]領域で、通知がトリガされる ときに行われる処理を指定します。 [OK]をクリックします。 第 24 章 通知の管理 別のバージョンからのアップグレードが通知条件に与える影響 p.559 の 「通知の管理」 を参照してください。 p.566 の 「通知の表示と対応」 を参照してください。 別のバージョンからのアップグレードが通知条件に与え る影響 Symantec Endpoint Protection が新しいサーバーにインストールされるときには、事前 設定済みの通知条件の多くがデフォルトで有効になります。しかし以前のバージョンから Symantec Endpoint Protection へのアップグレードは、デフォルトでどの通知条件が 有効になるかに影響を与える場合があります。また、デフォルトの設定に影響することが あります。 Symantec Endpoint Protection の新規インストールでは、次の通知条件がデフォルト で有効になります。 ■ クライアントリストを変更しました ■ 新しいクライアントソフトウェア ■ 配備過剰の問題 ■ 有償ライセンスの問題 ■ リスクアウトブレーク ■ サーバーの健全性 ■ 体験版ライセンス期限 ■ ウイルス定義が最新ではありません 管理者が以前のバージョンからソフトウェアをアップグレードするときには、以前のバー ジョンで使われていた既存の通知条件はすべて保持されます。ただし、[新しいソフトウェ アパッケージ]通知条件は[新しいクライアントソフトウェア]通知条件になります。[新しい クライアントソフトウェア]の条件には、[新しいソフトウェアパッケージ]の条件には存在し ない設定が 2 つあります。[クライアントパッケージ]と[セキュリティ定義]です。ソフトウェ アがアップグレードされると、アップグレードを経ても保存されるこの種類の通知条件で は、これらの設定はどちらも有効になります。ただし、アップグレード後に作成される条件 の[新しいクライアントソフトウェア]通知では、デフォルトで[クライアントパッケージ]設定 が有効になり、[セキュリティ定義]設定が無効になります。 メモ: [新しいクライアントソフトウェア]通知条件で[セキュリティ定義]設定が有効になって いる場合、多量の通知が送信される可能性があります。この状況は、多くのクライアントが 存在する場合や、セキュリティ定義の更新が高頻度でスケジュール設定されている場合 に起きることがあります。セキュリティ定義の更新についての通知を頻繁に受信したくない 場合は、通知条件を編集して[セキュリティ定義]設定を無効にできます。 569 570 第 24 章 通知の管理 別のバージョンからのアップグレードが通知条件に与える影響 いくつかの通知条件には、 以前のバージョンにはなかった[システム管理者に電子メー ルを送信]という新しい設定が付与されることがあります。通知条件にこの設定が新しく付 与される場合、その種類の既存の条件すべてについて、アップグレード後の設定はデ フォルトでは無効になります。 以前のインストールでデフォルトの種類の通知条件が追加されていない場合、その通知 条件は、アップグレードされるインストールで追加されます。ただし、管理者によって以前 のインストール時に意図的に削除されたデフォルトの通知条件を、アップグレード処理で 特定することはできません。そのため 1 つの例外を除いて、[システム管理者に電子メー ルを送信]、[通知をログに記録する]、[バッチファイルを実行]、[電子メールの送信先] の処理の設定はすべて、アップグレードされたインストールのデフォルトの各通知条件で 無効にされます。これらの 4 つの処理がすべて無効になっている場合、条件自体は存在 していますが通知条件は処理されません。管理者は通知条件を編集し、これらの設定の 一部またはすべてを有効にできます。 [新しいクライアントソフトウェア]通知条件は例外で、アップグレード処理中に追加された 場合はデフォルトで通知を生成できることに注意してください。他のデフォルトの通知条 件とは異なり、[通知をログに記録する]と[システム管理者に電子メールを送信]の処理 設定はどちらも、この条件では有効にされます。 以前のバージョンのソフトウェアがライセンスをサポートしていない場合、[アップグレード ライセンス期限]通知条件は有効にされます。 いくつかの種類の通知条件は、以前のバージョンのソフトウェアでは利用できません。そ れらの通知条件は、ソフトウェアがアップグレードされるときにデフォルトで有効にされま す。 p.561 の 「事前設定された通知について」 を参照してください。 25 ドメインの管理 この章では以下の項目について説明しています。 ■ ドメインについて ■ ドメインの追加 ■ 現在のドメインの設定 ドメインについて 管理サーバーをインストールするとき、Symantec Endpoint Protection Manager コン ソールには、Default という 1 つのドメインがあります。ドメインはグループ、クライアント、 コンピュータ、ポリシーの階層を編成するために使う、コンソールの構造コンテナです。 ネットワークリソースを管理するために追加ドメインを設定します。 メモ: Symantec Endpoint Protection Manager のドメインは Microsoft のドメインとは 関係ありません。 追加するそれぞれのドメインは、同じ管理サーバーおよびデータベースを共有し、コン ソールの追加インスタンスを提供します。各ドメインのすべてのデータは完全に別です。 このため、他のドメインの管理者がデータを表示することもできません。各ドメインに独自 の管理者が存在するように管理者アカウントを追加できます。これらの管理者は、自身の ドメインのコンテンツのみを表示および管理できます。 会社が大規模で複数の地域にサイトがある場合、管理情報の単一のビューが必要にな ることもあります。管理権限を委任したり、セキュリティデータを物理的に分けたり、ユー ザー、コンピュータとポリシーがどのように編成されるかについて柔軟性を高めたりするこ とができます。MSP(Managed Service Provider の略でマネージドサービスプロバイダ の意味)である場合、インターネットサービスプロバイダと同様、複数の独立した会社を運 営する必要があることもあります。これらのニーズを満たすためには、複数のドメインを作 成できます。たとえば、それぞれの国、地域、会社のための別のドメインを作成できます。 572 第 25 章 ドメインの管理 ドメインの追加 p.572 の 「ドメインの追加」 を参照してください。 図 25-1 Symantec Endpoint Protection Manager ドメインの概要 Symantec Endpoint Protection Manager 顧客 A 顧客 B 顧客 C SEPM データベース (ドメインと顧客に https SEPM コンソール ドメイン A https SEPM コンソール ドメイン B https よって分離) SEPM コンソール ドメイン C ドメインを追加すると、そのドメインは空です。現在のドメインになるようにそのドメインを設 定する必要があります。その後にこのドメインにグループ、クライアント、コンピュータとポ リシーを追加します。 1 つのドメインから別のドメインにポリシーとクライアントをコピーできます。ドメイン間でポ リシーをコピーするには、コピー元ドメインからポリシーをエクスポートしてコピー先ドメイン にポリシーをインポートします。ドメイン間でクライアントをコピーするには、SylinkDrop ツールを使うことができます。このツールはクライアントが別の管理サーバーと通信できる ようにクライアントの通信ファイルを置換します。 p.958 の 「SylinkDrop ツールを使ったクライアントの通信設定の修復」 を参照してくださ い。 不要になったら、ドメインを無効にできます。無効にしようとするときに、このドメインが現在 のドメインとして設定されていないことを確認してください。 p.574 の 「現在のドメインの設定」 を参照してください。 ドメインの追加 組織内のグループ、ユーザー、クライアント、ポリシーを階層化するときは、ドメインを作成 します。たとえば、部署ごとにユーザーを編成するためにドメインを追加できます。 p.571 の 「ドメインについて」 を参照してください。 第 25 章 ドメインの管理 ドメインの追加 メモ: ディザスタリカバリ用にドメイン ID を使用できます。組織内のすべての管理サーバー に障害が発生した場合は、古いサーバーと同じ ID を使って管理サーバーを再構築する 必要があります。古いドメイン ID は、任意のクライアントの sylink.xml ファイルから入手 できます。 ドメインを追加するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[ドメイン]をクリックします。 3 [タスク]で、[ドメインの追加]をクリックします。 4 [ドメインの追加]ダイアログボックスで、ドメイン名、省略可能な会社名、省略可能な 連絡先情報を入力します。 5 ドメイン ID を追加する場合は、[拡張]をクリックしてからテキストボックスに値を入力 します。 6 [OK]をクリックします。 ドメインログオンバナーの追加 コンソールにログオンする前に、すべての管理者に表示されるカスタマイズ可能なメッセー ジを作成し表示できます。任意のメッセージを表示できます。一般的な目的は、所有権 のあるコンピュータにログオンしようとしていることを管理者に伝える法的な通知を表示す ることです。 管理者がユーザー名とパスワードを入力し、[ログオン]をクリックした後、メッセージがコ ンソールに表示されます。メッセージを読んだ管理者は、[了解]をクリックすることで通知 の内容に同意したことを示し、ログオンできます。管理者が[取消し]をクリックすると、ログ オン処理は取り消され、管理者はログオンウィンドウに戻ります。 また、このメッセージは、管理者が管理サーバーに接続されたスタンドアロン Web ブラウ ザからレポート機能を実行するときにも表示されます。 ドメインログオンバナーを追加するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[ドメイン]をクリックします。 3 ログオンバナーを追加するドメインを選択します。 4 [タスク]の下で、[ドメインプロパティの編集]をクリックします。 5 [ログオンバナー]タブで、[管理者が Symantec Endpoint Protection マネージャ にログオンするときに法的な通知について表示します。]にチェックマークを付けま す。 573 574 第 25 章 ドメインの管理 現在のドメインの設定 6 バナーのタイトルとテキストを入力します。詳しくは[ヘルプ]をクリックしてください。 7 [OK]をクリックします。 p.571 の 「ドメインについて」 を参照してください。 p.572 の 「ドメインの追加」 を参照してください。 現在のドメインの設定 デフォルトのドメイン名は、Default であり、これが現在のドメインとして設定されます。 Symantec Endpoint Protection Manager コンソールで新しいドメインを追加したときに は、ドメインは空です。新しいドメインにグループ、クライアント、ポリシー、管理者を追加 するには、最初にこのドメインを現在のドメインに指定する必要があります。ドメインが現 在のドメインに指定されると、(現在のドメイン) というテキストがタイトルのドメイン名に続き ます。多くのドメインがある場合は、[ドメイン]リストをスクロールして現在のドメインを表示 する必要があります。 システム管理者としてコンソールにログオンした場合は、現在のドメインに関係なくすべて のドメインが表示されます。ただし、現在のドメインで作成された管理者と限定管理者の みが表示されます。管理者または限定管理者としてコンソールにログオンした場合は、ア クセスできるドメインのみが表示されます。 現在のドメインを削除する場合は、管理サーバーはログアウトします。現在のドメインでは なく唯一のドメインでもない場合のみ、そのドメインを削除できます。 現在のドメインを設定するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[ドメイン]をクリックします。 3 [ドメイン]の下で、現在のドメインにするドメインをクリックします。 4 [タスク]の下で、[ドメインの管理]をクリックします。 5 [ドメインの管理]ダイアログボックスで、[はい]をクリックして確認します。 6 [OK]をクリックします。 p.571 の 「ドメインについて」 を参照してください。 p.572 の 「ドメインの追加」 を参照してください。 26 管理者アカウントの管理 この章では以下の項目について説明しています。 ■ ドメインと管理者アカウントの管理 ■ 管理者について ■ 管理者アカウントの追加 ■ アクセス権について ■ ドメイン管理者のアクセス権の設定 ■ 限定管理者のアクセス権の設定 ■ 管理者パスワードの種類の変更 ■ 管理者アカウントのための認証の設定 ■ RSA SecurID を使ってログオンする管理者を認証するための管理サーバーの設定 ■ RSA SecurID を使って管理サーバーにログオンする管理者の認証 ■ Symantec Endpoint Protection Manager 管理者の SecurID 認証の指定 ■ 管理者パスワードの変更 ■ 管理者によるログオンクレデンシャルの保存の許可 ■ 忘れたパスワードの管理者によるリセットの許可 ■ 忘れたパスワードのリセット ■ 管理者のユーザー名とパスワードの admin へのリセット ■ ログオン失敗回数が多すぎる管理者のアカウントのロック 576 第 26 章 管理者アカウントの管理 ドメインと管理者アカウントの管理 ドメインと管理者アカウントの管理 ドメインと管理者アカウントは[管理]ページで管理します。 表 26-1 アカウントとドメインの管理 タスク 説明 複数のドメインを追加す 複数のビジネス用に付加的なドメインを追加するかどうかを決定します。 るかどうかを決定する p.571 の 「ドメインについて」 を参照してください。 p.572 の 「ドメインの追加」 を参照してください。 p.574 の 「現在のドメインの設定」 を参照してください。 アカウントを必要とする ユーザーを決定する Symantec Endpoint Protection Manager にアクセスする必要がある ユーザーを決定します。アクセスを制限する必要があるかどうかを決定 します。 p.577 の 「管理者について」 を参照してください。 アカウントを作成する Symantec Endpoint Protection Manager にアクセスする必要がある 管理者およびユーザー用のアカウントを作成します。 p.580 の 「管理者アカウントの追加」 を参照してください。 アクセス権を与える アクセス権の種類と、アクセス権が与えられたときに管理者が実行でき るタスクについて学習します。 p.580 の 「アクセス権について」 を参照してください。 p.582 の 「ドメイン管理者のアクセス権の設定」 を参照してください。 p.582 の 「限定管理者のアクセス権の設定」 を参照してください。 管理者の種類を変更す 必要に応じて、管理者の責任が変わったときに、管理者の種類を変更 る できます。 p.583 の 「管理者パスワードの種類の変更」 を参照してください。 管理者アカウントをロック 誰かが何度も Symantec Endpoint Protection Manager へのログオ する ンを試みた場合、管理者アカウントをロックできます。 p.591 の 「ログオン失敗回数が多すぎる管理者のアカウントのロック」 を 参照してください。 第 26 章 管理者アカウントの管理 管理者について タスク 説明 パスワードをリセットする パスワードに関する次のタスクを実行できます。 ある管理者が忘れたパスワードを別の管理者がリセットできるように します。 ■ 管理者のパスワードをリセットします。 p.587 の 「管理者パスワードの変更」 を参照してください。 ■ 管理アカウントのパスワードを admin にリセットします。 ■ p.590 の 「管理者のユーザー名とパスワードの admin へのリセット」 を参照してください。 管理者について 会社の組織構造とネットワークセキュリティを管理するために管理者を使います。小さい 会社では、単一の管理者のみを必要とする場合もあります。複数のサイトやドメインを持 つ大きい会社では、複数の管理者(その一部は他の管理者よりも多くのアクセス権を持 つ)が必要になることもあります。 ネットワークの管理を容易にするために、Symantec Endpoint Protection Manager コ ンソールは、システム管理者、管理者、限定管理者という管理者の役割の種類を提供し ます。システム管理者はサイトのルート管理者です。システム管理者は、サーバー、デー タベース、エンフォーサ(該当する場合)など、組織内のすべてのドメインを表示し、管理 できます。 ドメイン管理者は単一ドメインを表示し、管理できます。また、サイトの全面的な管理を許 可されているドメイン管理者は、単一ドメインに対してのみ、システム管理者と同じ権限を 持ちます。つまり、ドメイン管理者はサイトのデータベースとすべてのサーバー(該当する 場合はエンフォーサを含む)を管理できます。 限定管理者はデフォルトではアクセス権を持ちません。限定管理者に単一ドメイン内で のタスクの実行を許可するには、アクセス権を明示的に認可する必要があります。たとえ ば、限定管理者にドメイン内の特定のグループへのフルアクセス、アクセスなし、または 読み取りアクセスを許可するグループ権を設定できます。限定管理者にデータベースと サーバーの表示または管理を許可するには、サイト権利を認可できます。 p.571 の 「ドメインについて」 を参照してください。 Symantec Endpoint Protection Manager をインストールすると、「admin」というデフォ ルトのシステム管理者が作成されます。さらに、追加の管理者のアカウントを作成できま す。 p.580 の 「アクセス権について」 を参照してください。 577 578 第 26 章 管理者アカウントの管理 管理者について 表 26-2 管理者の役割と職務 管理者の役割 職務 システム管理者 システム管理者は次のタスクを実行できます。 ■ すべてのドメインを管理する。 他のすべてのシステム管理者アカウント、すべてのドメイン のための管理者アカウントと限定管理者アカウントを作成し て管理する。 ■ データベースと管理サーバーを管理する。 ■ 管理者 ■ エンフォーサを管理する。 ■ すべてのコンソールの設定を表示して管理できる。 管理者は、ドメイン管理者とも呼ばれ、次のタスクを実行できま す。 ■ 1 つのドメインを管理する。 単一ドメイン内の管理者アカウントと限定管理者アカウント を作成して管理する。 レポートを実行し、サイトを管理するためのアクセス権を指 定できます。 p.582 の 「ドメイン管理者のアクセス権の設定」 を参照してく ださい。 [サイト権利]で、サイトのデータベースとすべてのサーバー など、サイトを全面的に管理することを管理者に許可できま す。 サイトを管理する全面的な権限がある管理者は、他の管理 者と限定管理者のサイト権利を修正できます。 管理者は自分のサイト権利を修正できません。システム管 理者がこの機能を実行する必要があります。 [サイト権利]によってサイトを管理する権限がない管理者 は、他の管理者と限定管理者のサイト権利を修正できませ ん。 ■ 限定管理者と、アクセス権の制限が同じか緩いその他の管 理者のパスワード権利を管理する。 ■ エンフォーサを管理できない。 ■ 第 26 章 管理者アカウントの管理 管理者について 管理者の役割 職務 限定管理者 限定管理者には、単一ドメイン内でタスクを実行するためのアク セス権を認可できます。これらのタスクには次のものが含まれま す。 指定されたコンピュータ、IP アドレス、グループ、サーバー でレポートを実行する。 ■ レポート権が認可されている場合のみ、コンソールで[ホー ム]、[監視]、[レポート]ページを表示できる。 ■ 単一ドメイン内のグループを管理する。 ■ ■ クライアントコンピュータでコマンドをリモートで実行する。 サイトを全面的に管理したり、単一ドメイン内のサイトのデー タベースまたは選択したサーバーを表示または管理する。 ■ インストールパッケージを表示または管理する。 ■ ポリシーの管理 特定のポリシーと関連する設定へのアクセス権がない限定 管理者はそのポリシーを表示することも修正することもでき ない。さらに、ポリシーを適用することも、置換することも、撤 回することもできない。 p.582 の 「限定管理者のアクセス権の設定」 を参照してくだ さい。 ■ 他の限定管理者アカウントを作成できない。 システム管理者または管理者のみが限定管理者のアカウン トを作成できる。 ■ 自身のアカウントのみのパスワード権利を管理する。 ■ 組織内の各種類の管理者のための管理者の役割を定義できます。たとえば、大きい会 社は次の種類の管理者を使うことがあります。 ■ 管理サーバーとクライアントのインストールパッケージをインストールする管理者。製 品がインストールされた後、操作を管理する管理者が引き継ぐ。これらの管理者のほ とんどはシステム管理者です。 ■ 操作管理者はサーバー、データベースを保守し、パッチをインストールする。単一ド メインの場合は、操作管理者が、サイトを全面的に管理する権限を持つドメイン管理 者である場合もあります。 ■ クライアントのウイルスとスパイウェアのポリシーと LiveUpdate ポリシーを作成して保 守するウイルス対策管理者。この管理者のほとんどはドメイン管理者です。 ■ セキュリティを担当し、クライアントのためのファイアウォールポリシーと侵入防止ポリ シーを作成して保守するデスクトップ管理者。この管理者のほとんどはドメイン管理者 です。 ■ レポートを作成し、ポリシーへの読み取り専用アクセスがあるヘルプデスク管理者。ウ イルス対策管理者とデスクトップ管理者はヘルプデスク管理者が送信するレポートを 579 580 第 26 章 管理者アカウントの管理 管理者アカウントの追加 確認する。ヘルプデスク管理者のほとんどは、レポート権とポリシー権が認可されて いる限定管理者です。 p.580 の 「管理者アカウントの追加」 を参照してください。 p.580 の 「アクセス権について」 を参照してください。 p.582 の 「ドメイン管理者のアクセス権の設定」 を参照してください。 p.582 の 「限定管理者のアクセス権の設定」 を参照してください。 管理者アカウントの追加 システム管理者は、別のシステム管理者、管理者、または限定管理者を追加できます。 ドメイン内の管理者は、アクセス権の制限が自分のアクセス権と同じかそれより緩い他の 管理者を追加できます。管理者は限定管理者を追加して、アクセス権を設定できます。 p.577 の 「管理者について」 を参照してください。 p.580 の 「アクセス権について」 を参照してください。 p.584 の 「管理者アカウントのための認証の設定」 を参照してください。 管理者アカウントを追加するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[管理者]をクリックします。 3 [タスク]の下で、[管理者を追加する]をクリックします。 管理者アカウントを追加した後、[管理者を編集する]をクリックしてユーザー名を変 更できます。 4 [管理者の追加]ダイアログボックスの[全般]タブ、[アクセス権]タブ、[認証]タブ で、アカウント情報を指定します。 詳しくは[ヘルプ]をクリックしてください。 5 [OK]をクリックします。 アクセス権について デフォルトでは、管理者には単一ドメインのすべての機能へのアクセス権があります。つ まり、管理者はレポートの表示および実行、グループの管理、リモートからのコマンドの実 行、インストールパッケージの管理、およびそのドメインのポリシーの管理を行うことがで きます。管理者は Symantec AntiVirus 10.x から移行したグループを除いて、ドメイン のすべてのグループのレポートを実行することもできます。これらの移行されたグループ に対するレポート権は明示的に設定する必要があります。 第 26 章 管理者アカウントの管理 アクセス権について また、データベースやサーバーの管理など、サイトを完全に管理できるように許可するサ イト権を管理者に与えることができます。新しい管理者を作成した時点では、この管理者 にサイトを管理する権限は与えられていません。管理者が単一ドメイン内のサイトを完全 に管理できるように許可するサイト権限を明示的に与える必要があります。 p.582 の 「ドメイン管理者のアクセス権の設定」 を参照してください。 デフォルトでは、限定管理者にはアクセス権がありません。この種類の管理者にはレポー ト権、グループ権、コマンド権、サイト権、インストールパッケージ権、およびポリシー権を 明示的に設定する必要があります。 メモ: アクセス権を制限する場合にはユーザーインターフェースの一部は限定管理者に は利用できません。 p.582 の 「限定管理者のアクセス権の設定」 を参照してください。 表 26-3 アクセス権の種類 アクセス権の種類 説明 レポート権 管理者について、管理者がレポートを表示できる Symantec AntiVirus 10.x を実行するサーバーグループを指定します。管理者は他のレポートをすべ て表示できます。 限定管理者について、管理者がレポートを実行できるすべてのコンピュータ を指定します。管理者がレポートを表示できる Symantec AntiVirus 10.x を実行するサーバーグループも指定します。 グループ権 限定管理者のみについて、どのグループを限定管理者が表示して管理で きるか(フルアクセス)、表示のみできるか(読み取り専用アクセス)、または表 示できないか(アクセスなし)を指定します。 コマンド権 限定管理者のみについて、どのコマンドを限定管理者がクライアントコン ピュータで実行できるかを指定します。限定管理者はフルアクセスがあるク ライアントとグループでこれらのコマンドのみを実行できます。 コマンド権はレポート権またはグループ権が限定管理者に対して設定され ている場合にのみ利用可能です。 サイト権 選択したサイトを管理する許可レベルを指定します。選択したサイトの完全 な管理を許可するか、管理をまったく許可しないかを選択できます。さらに、 限定管理者には、選択したサイトのデータベースアクセス権限とサーバーア クセス権限を指定できます。 パッケージ権 限定管理者に対してのみ、インストールパッケージへの読み取り専用アクセ スまたはフルアクセスを指定します。 ポリシー権 限定管理者のみについて、どのポリシーとポリシー関連の設定を管理者が 管理できるかを指定します。 581 582 第 26 章 管理者アカウントの管理 ドメイン管理者のアクセス権の設定 アクセス権の種類 説明 場所固有の編集の みを許可する 限定管理者のみについて、限定管理者が可能な操作を、非共有ポリシーの みの作成および変更に制限します。 サイトの管理を完全に許可されている管理者は、他の管理者および限定管理者のサイト 権を変更できますが、自身のサイト権は変更できません。システム管理者が、サイトの管 理を完全に許可されている管理者のサイト権限を変更する必要があります。 限定管理者は、管理者のサイト権を変更できません。限定管理者は、同等またはそれ以 下の限定的なサイト権限を持つその他の限定管理者のサイト権を変更できます。 ドメイン管理者のアクセス権の設定 ドメイン管理者用のアカウントを追加する場合、管理者のアクセス権も指定する必要があ ります。レポート権とサイト権利を指定できます。 ドメイン管理者のアクセス権を設定するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[管理者]をクリックします。 3 ドメイン管理者を選択します。ドメイン管理者のアカウントを作成するときにアクセス 権を設定することもできます。 p.580 の 「管理者アカウントの追加」 を参照してください。 4 [タスク]の下で、[管理者を編集する]をクリックします。 5 [アクセス権]タブでドメイン管理者が選択されていることを確認し、次のいずれかの 処理を実行します。 6 ■ [レポート権]をクリックします。詳しくは[ヘルプ]をクリックしてください。 ■ [サイト権利]をクリックします。詳しくは[ヘルプ]をクリックしてください。 [OK]をクリックします。 p.580 の 「アクセス権について」 を参照してください。 限定管理者のアクセス権の設定 限定管理者用のアカウントを追加する場合、管理者のアクセス権も指定する必要があり ます。無効状態では、アクセス権が一切与えられていない限定管理者のアカウントが作 成され、限定管理者は管理サーバーにログオンできません。 p.580 の 「アクセス権について」 を参照してください。 第 26 章 管理者アカウントの管理 管理者パスワードの種類の変更 メモ: Symantec Endpoint Protection Manager を Symantec Protection Center バー ジョン 1 に統合するには、レポート権が必要です。Symantec Protection Center バー ジョン 1 を使って Symantec Endpoint Protection Manager コンソールにアクセスする すべての限定管理者にレポート権を認可していることを確認してください。詳しくは、 Protection Center バージョン 1 のヘルプを参照してください。 限定管理者のアクセス権を設定するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[管理者]をクリックします。 3 限定管理者を選択します。 限定管理者のアカウントを作成するときにアクセス権を設定することもできます。 p.580 の 「管理者アカウントの追加」 を参照してください。 4 [タスク]の下で、[管理者を編集する]をクリックします。 5 [アクセス権]タブで、オプションにチェックマークを付け、対応するボタンをクリックし てアクセス権を設定します。詳しくは[ヘルプ]をクリックしてください。 6 場所に対する非共有ポリシーの作成のみを限定管理者に許可するには、[場所固 有のポリシーの編集のみを許可する]にチェックマークを付けます。 7 [OK]をクリックします。 管理者パスワードの種類の変更 管理者に関連付けられた職務が変わった場合、管理者の種類を変更することが必要に なることがあります。 たとえば、他の管理者アカウントを限定管理者が作成できるようにすることが必要になる 場合があります。または、アクセス権を限定するために管理者を限定管理者に切り替える 必要がある場合があります。 管理者の種類を変更するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[管理者]をクリックします。 3 [管理者]で、管理者を選択します。 4 [タスク]の下で、[管理者を編集する]をクリックします。 583 584 第 26 章 管理者アカウントの管理 管理者アカウントのための認証の設定 5 [アクセス権]タブで、管理者の種類を選択し、アクセス権を設定します。詳しくは[ヘ ルプ]をクリックしてください。 p.582 の 「ドメイン管理者のアクセス権の設定」 を参照してください。 p.582 の 「限定管理者のアクセス権の設定」 を参照してください。 6 [OK]をクリックします。 管理者アカウントのための認証の設定 管理サーバーが管理者アカウントの認証に使う認証方法を指定できます。 デフォルトは、Symantec Management Server 認証の使用です。Symantec Endpoint Protection Manager データベースに格納されるパスワードとユーザー名を作成します。 管理者がユーザー名とパスワードを入力して Symantec Endpoint Protection Manager にログオンするときに、Symantec Endpoint Protection Manager データベースに対し て検証されます。 その他のモードの場合は、Symantec Endpoint Protection Manager には管理者の データベースにエントリがありますが、外部ソースはパスワードを検証します。これらの外 部ソースには、Active Directory、LDAP、または RSA サーバーがあります。 管理者アカウントのための認証を設定するには 1 コンソールで、[管理]をクリックします。 2 [管理者]ページで、[管理者]をクリックします。 3 管理者を選択します。 4 [タスク]の下で、[管理者を編集する]をクリックします。 5 [認証]タブで認証方法を選択します。詳しくは[ヘルプ]をクリックしてください。 6 [OK]をクリックします。 RSA SecurID 機構を使う管理者を認証する場合、RSA のインストールウィザードを実行 して、暗号化された認証を有効にする必要があります。 p.586 の 「RSA SecurID を使って 管理サーバーにログオンする管理者の認証」 を参照してください。 ディレクトリアカウントを使って管理者を認証する場合は、ディレクトリサーバーでアカウン トを設定する必要があります。 p.618 の 「ディレクトリサーバーの追加」 を参照してくださ い。 第 26 章 管理者アカウントの管理 RSA SecurID を使ってログオンする管理者を認証するための管理サーバーの設定 RSA SecurID を使ってログオンする管理者を認証するた めの管理サーバーの設定 企業ネットワークに RSA サーバーが含まれている場合は、Symantec Endpoint Protection Manager がインストールされているコンピュータに RSA ACE Agent 用のソ フトウェアをインストールして、このコンピュータを SecurID 認証クライアントとして設定す る必要があります。 RSA SecurID を使ってログオンする管理者を認証するように管理サーバーを設定するに は 1 管理サーバーがインストールされているコンピュータに RSA ACE Agent 用のソフト ウェアをインストールします。このソフトウェアをインストールするには、RSA Authentication Agent の製品ディスクから Windows .msi ファイルを 実行します。 2 RSA ACE サーバーから管理サーバーがインストールされているコンピュータに nodesecret.rec、sdconf.rec、agent_nsload.exe の各ファイルをコピーします。 3 コマンドプロンプトに次のコマンドを入力します。 agent_nsload -f nodesecret.rec -p -p は nodesecret ファイルのパスワードです。 4 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 5 [サーバー]で、RSA サーバーの接続先の管理サーバーを選択します。 6 [タスク]で、[SecurID 認証の設定]をクリックします。 7 [SecurID 認証の設定ウィザードにようこそ]パネルで、[次へ]をクリックします。 8 SecurID 認証の設定ウィザードの[必要条件]パネルで、前提条件を読み、必要な 条件をすべて満たしていることを確認します。 9 [次へ]をクリックします。 10 SecurID 認証の設定ウィザードの[RSA ファイルのアップロード]パネルで、 sdconf.rec ファイルがあるフォルダを参照します。 パス名を入力することもできます。 11 [次へ]をクリックします。 12 [テスト]をクリックして設定をテストします。 13 [テストの設定]ダイアログボックスで、SecurID のユーザー名とパスワードを入力し、 [テスト]をクリックします。 これで認証が正常に実行されました。 p.586 の 「RSA SecurID を使って管理サーバーにログオンする管理者の認証」 を参照し てください。 585 586 第 26 章 管理者アカウントの管理 RSA SecurID を使って管理サーバーにログオンする管理者の認証 RSA SecurID を使って管理サーバーにログオンする管 理者の認証 RSA SecurID で Symantec Endpoint Protection Manager を使う管理者を認証する 場合、RSA のインストールウィザードを実行して、暗号化された認証を有効にする必要が あります。 RSA SecurID を使って管理サーバーにログオンする管理者を認証するには 1 必要に応じて、RSA ACE サーバーをインストールします。 2 管理サーバーをインストールしたコンピュータを、RSA ACE サーバー上で有効なホ ストとして登録します。 3 同じホストにノードシークレットファイルを作成します。 4 RSA ACE サーバー上の sdconf.rec ファイルにネットワークアクセスできることを確 認します。 5 同期された SecurID カードまたはキーフォブを管理サーバーアカウントに割り当て ます。RSA ACE サーバーでログオン名をアクティブ化します。 6 管理者が利用可能な RSA PIN またはパスワードを所有していることを確認します。 シマンテック社がサポートする RSA のログオンの種類は次のとおりです。 ■ RSA SecurID トークン(ソフトウェア RSA トークンは除く) ■ RSA SecurID カード ■ RSA キーパッドカード(RSA スマートカードは除く) RSA SecurID を使って管理サーバーにログオンするには、管理者はログオン名、トーク ン(ハードウェア)、PIN 番号を所有している必要があります。 p.585 の 「RSA SecurID を使ってログオンする管理者を認証するための管理サーバーの 設定」 を参照してください。 p.584 の 「管理者アカウントのための認証の設定」 を参照してください。 Symantec Endpoint Protection Manager 管理者の SecurID 認証の指定 管理者が管理コンソールにログオンできるようにするため、必ず最初に管理者が SecurID によって認証されるように指定できます。 管理者を新規作成したり、既存の管理者の設定を変更したりすることができます。以下の 手順では、新しい管理者に認証を指定する方法について説明します。 p.580 の 「管理者アカウントの追加」 を参照してください。 第 26 章 管理者アカウントの管理 管理者パスワードの変更 Symantec Endpoint Protection Manager 管理者の SecurID 認証を作成するには 1 コンソールで、[管理]をクリックしてから、[管理者]を選択します。 2 [タスク]の下で、[管理者の追加]をクリックします。 3 [管理者の追加]ダイアログボックスで、以前に RSA ACE クライアントに設定したユー ザーの名前を入力します。 4 [認証の種類]の横にある[変更]をクリックします。 5 [管理者認証]ダイアログボックスで、[RSA SecurID 認証]を選択して[OK]をクリッ クします。 6 [OK]をクリックします。 管理者パスワードの変更 セキュリティの目的で、管理者パスワードの変更が必要になることがあります。 パスワードの変更には次のルールが適用されます。 ■ システム管理者はすべての管理者のパスワードを変更できる。 ■ ドメイン管理者は、同じドメイン内の他のドメイン管理者と限定管理者のパスワードを 変更できる。 ■ 限定管理者は自分のパスワードのみを変更できる。 メモ: 管理サーバー設定ウィザードで管理サーバーを設定するときは、デフォルトのイン ストールまたはカスタムインストールを選択します。デフォルトのインストールを選択する場 合、入力するパスワードは暗号化パスワードと同じです。管理者のパスワードを変更した 場合、暗号化パスワードは変更されません。 管理者アカウントロックアウトを解決するためにパスワードがリセットされても、管理者はロッ クアウト期間が過ぎるのを待つ必要があります。デフォルトのロックアウト期間は 15 分で す。 p.591 の 「ログオン失敗回数が多すぎる管理者のアカウントのロック」 を参照してください。 管理者パスワードを変更するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[管理者]をクリックします。 3 [管理者]で、パスワードを変更する管理者アカウントを選択し、[管理者を編集する] をクリックします。 4 現在ログオンしている管理者アカウントのパスワードを入力します。 587 588 第 26 章 管理者アカウントの管理 管理者によるログオンクレデンシャルの保存の許可 5 パスワードを変更するアカウントの新しいパスワードを入力し、確認します。 パスワードは 6 文字以上の長さにする必要があります。すべての文字を使うことがで きます。 6 [OK]をクリックします。 管理者によるログオンクレデンシャルの保存の許可 管理者が Symantec Endpoint Protection Manager コンソールにログオンするときにク レデンシャルを保存することを管理者に許可できます。 ログオンクレデンシャルを保存することを管理者に許可するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[ドメイン]をクリックします。 3 [ドメイン]の下で、ログオンクレデンシャルを保存することを管理者に許可するドメイ ンを選択します。 4 [ドメインプロパティの編集]をクリックします。 5 [パスワード]タブで、[ログオン時にユーザーによるクレデンシャルの保存を許可す る]にチェックマークを付けます。 6 [OK]をクリックします。 忘れたパスワードの管理者によるリセットの許可 サイトに対してシステム管理者のアクセス権を持っている場合は、パスワードをリセットす ることを管理者に許可できます。この機能を有効にすると、管理者はログオンパネルの[パ スワードを忘れた場合]リンクをクリックし、仮パスワードを要求できます。 メモ: Symantec Management Server 認証を使って認証する管理者アカウントにのみ、 この方法でパスワードをリセットすることを許可できます。この方法は RSA SecurID 認証 またはディレクトリ認証のいずれかを使って認証する管理者アカウントに対しては機能し ません。 p.589 の 「忘れたパスワードのリセット」 を参照してください。 忘れたパスワードのリセットを管理者に許可するには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 第 26 章 管理者アカウントの管理 忘れたパスワードのリセット 3 [サーバー]で、ローカルサイトを選択します。 メモ: この設定で制御するのはローカルサイトのみです。 4 [サイトプロパティの編集]をクリックします。 5 [パスワード]タブで、[管理者によるパスワードのリセットを許可する]にチェックマー クを付けます。 6 [OK]をクリックします。 忘れたパスワードのリセット サイトに対してシステム管理者のアクセス権を持っている場合は、パスワードをリセットす ることを管理者に許可できます。パスワードは、仮パスワードをアクティブ化するリンクを含 んだ電子メールを送信することによってリセットされます。 p.588 の 「忘れたパスワードの管理者によるリセットの許可」 を参照してください。 メモ: Symantec Management Server 認証を使って認証する管理者アカウントに対して のみパスワードをリセットする場合に、この方法を使うことができます。この方法は RSA SecurID 認証またはディレクトリ認証のいずれかを使って認証する管理者アカウントに対 しては機能しません。 p.584 の 「管理者アカウントのための認証の設定」 を参照してください。 メモ: 単一の Symantec Endpoint Protection Manager コンソールから、1 分に 1 度だ け仮パスワードを要求できます。 メモ: セキュリティ上の理由により、エントリはサーバーで検証されません。パスワードのリ セットが成功したかどうかを確かめるには、管理者の電子メールを確認する必要がありま す。 電子メールサーバーが設定されている場合は、電子メールの送信に電子メールサーバー が使われます。何らかの理由で電子メールを送信できない場合、電子メールの送信に SMTP サービスが使われます。電子メールサーバーを設定することをお勧めします。 589 590 第 26 章 管理者アカウントの管理 管理者のユーザー名とパスワードの admin へのリセット 忘れたパスワードをリセットするには 1 管理サーバーコンピュータのスタートメニューで、[すべてのプログラム]、[Symantec Endpoint Protection Manager]、[Symantec Endpoint Protection Manager] の順に選択します。 2 [ログオン]画面で、[パスワードを忘れた場合]をクリックします。 3 [パスワードを忘れた場合]ダイアログボックスで、パスワードをリセットするアカウント のユーザー名を入力します。 ドメイン管理者および限定管理者の場合、アカウントのドメイン名を入力します。ドメ インを設定していない場合は、ドメインのフィールドを空白のままにしておきます。 4 [仮パスワード]をクリックします。 仮パスワードをアクティブ化するリンクを含んだ電子メールが管理者に送信されま す。 安全のため、管理者はログオンした直後に仮パスワードを変更する必要があります。 管理者のユーザー名とパスワードの admin へのリセッ ト resetpass.bat ツールを使って、Symantec Endpoint Protection Manager へのログオ ンに使うアカウントのユーザー名とパスワードをリセットできます。ユーザー名またはパス ワードが admin 以外の場合は、resetpass.bat を実行すると、ユーザー名とパスワードが admin に戻ります。 メモ: ログオンを繰り返し試みたためにアカウントがロックアウトされている場合、 resetpass.bat ツールではアカウントはロック解除されません。デフォルトのロックアウト期 間は 15 分です。 p.591 の 「ログオン失敗回数が多すぎる管理者のアカウントのロック」 を参照してください。 警告: Symantec Endpoint Protection Enterprise Edition の場合、Active Directory の認証を設定するときに admin アカウントを使わないでください。Active Directory の認 証を使うには新しい管理者アカウントを使う必要があります。詳しくは、ナレッジベースの 「Active Directory のユーザー名とパスワードで SEPM コンソールにログインする方法」 を参照してください。 第 26 章 管理者アカウントの管理 ログオン失敗回数が多すぎる管理者のアカウントのロック 管理者パスワードをリセットするには 1 Symantec Endpoint Protection Manager を実行するコンピュータで Windows エクスプローラを開きます。 2 ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥Tools フォルダを検索します。 3 resetpass.bat をダブルクリックします。 ユーザー名とパスワードが admin にリセットされます。 4 ユーザー名とパスワードの両方で admin を使って Symantec Endpoint Protection Manager にログオンしてから、パスワードを変更します。 ログオン失敗回数が多すぎる管理者のアカウントのロッ ク ログオンの失敗が指定の回数に達した時点で、管理者のアカウントをロックできます。ま た、アカウントをロックしておく期間を指定できます。 さらに、アカウントがロックされたときに電子メールメッセージを管理者に送信するように、 管理サーバーを設定できます。 デフォルトでは、ログオンの試みのしきい値は 5. に設定されます。 ログオンの試み値は 管理者の後で 0 に正常にログオンしますリセットされます。デフォルトの再試行間隔は 15 分です。 ログオン失敗回数が多すぎる管理者のアカウントをロックするには 1 コンソールで、[管理]をクリックします。 2 [管理]ページで、[管理者]をクリックします。 3 [管理者]で、管理者を選択します。 4 [タスク]の下で、[管理者を編集する]をクリックします。 5 [全般]タブの[電子メールアドレス]テキストボックスに、管理者の電子メールアドレ スを入力します。 管理サーバーは、管理者のアカウントをロックすると、この電子メールアドレスに電子 メールメッセージを送信します。電子メールメッセージを送信するには、[アカウント のロック時に管理者に電子メール警告を送信する]にチェックマークを付ける必要が あります。 6 [指定する回数だけログオンが失敗したアカウントをロックする]にチェックマークを付 け、矢印を使って、アカウントがロックされるまで許可するログオン試行失敗回数を 選択します。デフォルトのログオン試行失敗回数は 5 回です。値の範囲は 1 から 10 です。 591 592 第 26 章 管理者アカウントの管理 ログオン失敗回数が多すぎる管理者のアカウントのロック 7 [指定する期間だけアカウントをロックする (分単位)]にチェックマークを付け、矢印 を使ってアカウントがロックされる分数を選択します。 8 [アカウントのロック時に管理者に電子メール警告を送信する]にチェックマークを付 けるか、またははずします。 9 [OK]をクリックします。 3 セキュリティ環境の保守 ■ 第27章 サーバーの管理 ■ 第28章 ディレクトリサーバーの管理 ■ 第29章 データベースの管理 ■ 第30章 フェールオーバーと負荷分散の管理 ■ 第31章 ディザスタリカバリの準備 594 27 サーバーの管理 この章では以下の項目について説明しています。 ■ サーバーの管理 ■ Symantec Endpoint Protection サーバーの種類について ■ 管理サーバーとクライアントコンピュータ間の接続の管理 ■ クライアントとサーバーのパフォーマンスの向上 ■ サーバーの設定のエクスポートとインポート ■ サーバー証明書の種類について ■ サーバー証明書の更新 ■ クライアントを孤立させないサーバーセキュリティ証明書のアップグレード ■ サーバー証明書のバックアップ ■ Symantec Endpoint Protection Manager とクライアント間の SSL の設定 ■ リモートの Symantec Endpoint Protection Manager コンソールへのアクセスの認 可または拒否 サーバーの管理 ネットワーク環境で多くの異なる種類のサーバーを統合するように Symantec Endpoint Protection Manager を設定できます。 596 第 27 章 サーバーの管理 サーバーの管理 表 27-1 サーバー管理 タスク 説明 サーバーについて学習 する 設定が必要なサーバーの種類を決定します。 サーバー通信パーミッ ションを設定する 管理サーバーへのアクセスを許可または拒否できます。サーバーアク セスを管理するには、単一コンピュータまたはコンピュータグループの IP アドレスに基づく例外を追加します。 p.597 の 「Symantec Endpoint Protection サーバーの種類について」 を参照してください。 p.609 の 「リモートの Symantec Endpoint Protection Manager コン ソールへのアクセスの認可または拒否」 を参照してください。 サーバー設定を修正す る データベース設定を修正したり、別のコンピュータ上にデータベースを 復元したりするために、サーバー設定を修正できます。 p.947 の 「Symantec Endpoint Protection Manager の再インストール または再設定」 を参照してください。 メールサーバーを設定す ネットワーク内の特定のメールサーバーを操作するには、メールサー る バーを設定する必要があります。 p.565 の 「管理サーバーと電子メールサーバー間の通信の確立」 を参 照してください。 ディレクトリサーバーを管 管理者アカウントを管理したり、組織単位を作成したりするために、 理する Symantec Endpoint Protection をディレクトリサーバーと統合できま す。 p.618 の 「ディレクトリサーバーの追加」 を参照してください。 プロキシサーバーを使っ て Symantec LiveUpdate サーバーに 接続する場合はプロキシ の設定を指定する プロキシサーバー経由でインターネットに接続するために Symantec Endpoint Protection Manager を設定するには、プロキシサーバー接 続を設定する必要があります。 p.499 の 「インターネットにアクセスするためにプロキシサーバーに接続 する Symantec Endpoint Protection Manager の設定」 を参照してく ださい。 サーバーのプロパティを サーバーの設定を xml ファイルにエクスポートし、同じ設定を再インポー インポートまたはエクス トできます。 ポートする p.602 の 「サーバーの設定のエクスポートとインポート」 を参照してくださ い。 第 27 章 サーバーの管理 Symantec Endpoint Protection サーバーの種類について タスク 説明 サーバー証明書を管理 する Symantec Endpoint Protection Manager サーバーではネットワーク 上のすべてのサーバーおよびクライアント間の通信と、オプションのエ ンフォーサ間の通信に HTTPS を使用します。サーバーはサーバー証 明書を使って自身の識別と認証を行います。サーバー証明書をバック アップまたは更新する必要がある場合もあります。 p.603 の 「サーバー証明書の種類について」 を参照してください。 p.604 の 「サーバー証明書の更新」 を参照してください。 p.606 の 「サーバー証明書のバックアップ」 を参照してください。 サーバーの SecurID 認 RSA SecurID を使用して管理者アカウントを認証するように選択する場 証を設定する 合、管理サーバーを RSA サーバーと通信するように設定する必要もあ ります。 p.585 の 「RSA SecurID を使ってログオンする管理者を認証するための 管理サーバーの設定」 を参照してください。 別のコンピュータにサー 次の理由で、あるコンピュータから別のコンピュータに管理サーバーソ バーを移動する フトウェアを移動することが必要になる場合があります。 ■ テスト環境から実働環境に管理サーバーを移動する必要がある。 ■ 管理サーバーが動作するコンピュータにハードウェア障害がある。 次の方法で管理サーバーソフトウェアを移動できます。 別のコンピュータに管理サーバーをインストールし、レプリケーション を実行する。 p.163 の 「複製パートナーの追加」 を参照してください。 ■ リカバリファイルを使って別のコンピュータに管理サーバーをインス トールする。 p.947 の 「Symantec Endpoint Protection Manager の再インストー ルまたは再設定」 を参照してください。 ■ 管理サーバーを開始ま たは終了する 管理サーバーは自動サービスとして実行されます。アップグレードした り、ディザスタリカバリを実行したりする場合は、管理サーバーサービス を停止する必要があります。 p.148 の 「管理サーバーサービスの停止と開始」 を参照してください。 Symantec Endpoint Protection サーバーの種類につ いて サーバーを管理するときには、次の定義を理解しておくと役立ちます。 ■ サイト 597 598 第 27 章 サーバーの管理 管理サーバーとクライアントコンピュータ間の接続の管理 サイトは 1 つ以上の管理サーバーと 1 つのデータベース(Microsoft SQL Server ま たは埋め込みデータベース)から構成され、オプションとして、通常は同じ事業場所 に一緒に配置される 1 つ以上のエンフォーサが加わります。ログオン先のサイトがロー カルサイトで、ローカルサイトは直接変更できます。ローカルサイト以外のサイトはす べてリモートサイトと呼ばれます。レプリケーションを使ってサイトに接続します。 ■ 管理サーバー Symantec Endpoint Protection Manager ソフトウェアがインストールされているコ ンピュータ。管理サーバーで、ポリシーを作成して異なる組織グループに割り当てる ことができます。クライアントを監視し、レポート、ログ、警告を表示し、サーバーと管理 者アカウントを設定できます。単一サイトで管理サーバーを複数使い、フェールオー バーと負荷分散の機能を提供します。 ■ データベースサーバー Symantec Endpoint Protection Manager によって使われるデータベース。サイト ごとに 1 つのデータベースがあります。データベースは管理サーバーと同じコンピュー タに配置できます。SQL Server データベースを使う場合は、異なるコンピュータに配 置できます。 ■ エンフォーサ エンフォーサは企業ネットワークへのアクセスを許可または拒否するため、Symantec Network Access Control によって使われます。Symantec Network Access Control には、ゲートウェイエンフォーサ、LAN エンフォーサ、統合エンフォーサという 3 種類 のエンフォーサがあります。 ■ 複製パートナー サイトの間のデータ複製を可能にするため、2 つのサイト間に作成される関係。 管理サーバーとクライアントコンピュータ間の接続の管 理 クライアントをインストールした後、管理サーバーはクライアントコンピュータに自動的に接 続します。管理サーバーがクライアントに接続する方法を設定するために次のタスクを実 行できます。 Symantec Network Access Control がインストールされている場合、管理サーバーとエ ンフォーサ間の接続を設定することもできます。 第 27 章 サーバーの管理 管理サーバーとクライアントコンピュータ間の接続の管理 表 27-2 管理サーバーとクライアント間の接続を管理するために実行できる タスク タスク 説明 デフォルトの管理サーバーリストを使 フェールオーバーと負荷分散用に管理サーバーの代替リス うかどうかの決定 トを使うことができます。管理サーバーリストはクライアントが 接続できる複数の管理サーバーのリストを提供します。 p.638 の 「管理サーバーリストの設定」 を参照してください。 クライアントにポリシーとコンテンツを ポリシーをクライアントにプッシュする管理サーバーまたはポ ダウンロードする方式の選択 リシーを管理サーバーからプルするクライアントを設定できま す。 p.248 の 「クライアントコンピュータがポリシー更新を取得する 方法」 を参照してください。 p.249 の 「クライアントポリシーとコンテンツを更新するための プッシュモードまたはプルモードの設定」 を参照してくださ い。 クライアントと管理コンソールのポリ シーのシリアル番号のチェック クライアントがサーバーと通信できており、定期的なポリシー 更新を受信している場合、ポリシーのシリアル番号は一致す る必要があります。 手動でポリシー更新を実行し、次にポリシーのシリアル番号 をチェックして比べることができます。 p.251 の 「ポリシーのシリアル番号を使ったクライアント/サー バーの通信の確認」 を参照してください。 場所に対する通信の設定 場所およびグループに対する個別の通信を設定できます。 p.225 の 「場所に対する通信の設定」 を参照してください。 クライアントが管理サーバーに接続 クライアントと管理コンソールでクライアントの状態アイコンを されているかどうかのチェック チェックできます。状態アイコンはクライアントとサーバーが 通信しているかどうかを示します。 p.187 の 「クライアントの保護の状態アイコンについて」 を参 照してください。 コンピュータにクライアントソフトウェアがインストールされてい る可能性がありますが、正しい通信ファイルを備えていませ ん。 p.201 の 「管理外クライアントから管理下クライアントへの変 換」 を参照してください。 599 600 第 27 章 サーバーの管理 クライアントとサーバーのパフォーマンスの向上 タスク 説明 管理サーバーとの接続性の問題の 管理サーバーとクライアントが接続していない場合、接続の トラブルシューティング 問題をトラブルシューティングできます。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラ ブルシューティング」 を参照してください。 p.953 の 「クライアントでのトラブルシューティングファイルを 使った保護の問題の調査 」 を参照してください。 クライアントとサーバーのパフォーマンスの向上 Symantec Endpoint Protection Manager は、高レベルのセキュリティを維持しながら クライアントのパフォーマンスを向上させることができるさまざまな機能を備えています。 表 27-3 タスク サーバー上とクライアント上でパフォーマンスを向上させるタスク 説明 クライアントサーバー通信設定 プッシュモードではなくプルモードを使って、管理サーバーがポリシーとコンテンツ更新をク の変更 ライアントコンピュータにダウンロードする頻度を制御します。プルモードでは、管理サーバー は多くのクライアントをサポートできます。 クライアントとサーバーが通信する頻度が低下するようにハートビート間隔を延長します。サー バーあたりのクライアント数が 100 よりも少ない場合、ハートビート間隔を 15 分から 30 分の 間に延長します。クライアント数が 100 から 1,000 の場合は、ハートビート間隔を 30 分から 60 分の間に延長します。ネットワークの規模が大きいほど、長いハートビート間隔が必要で す。ダウンロードのランダム化の間隔は、ハートビート間隔の 1 倍から 3 倍の間に延ばしま す。 p.249 の 「クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプルモード の設定」 を参照してください。 ハートビート間隔の設定について詳しくは、ホワイトペーパー『Symantec Endpoint Sizing and Scalability Best Practices』を参照してください。 第 27 章 サーバーの管理 クライアントとサーバーのパフォーマンスの向上 タスク 説明 コンテンツ更新の数のランダム コンテンツ更新は、コンテンツの種類と可用性に応じてサイズと頻度が変わります。次の方法 化と削減 を使って、コンテンツ更新一式のダウンロードとインポートの影響を軽減できます。 複数の管理サーバーにクライアント負荷を分散する。 p.638 の 「管理サーバーリストの設定」 を参照してください。 ■ 代替方法(グループ更新プロバイダ、サードパーティの配布ツールなど)を使ってコンテ ンツを配布する。 グループ更新プロバイダを使うと、サーバーからコンテンツをダウンロードするクライアント に処理能力をオフロードすることによって帯域幅を節約できます。 p.511 の 「コンテンツを配布するグループ更新プロバイダの設定」 を参照してください。 p.525 の 「サードパーティの配布ツールを使ったクライアントコンピュータの更新」 を参照 してください。 ■ LiveUpdate がクライアントコンピュータにコンテンツをダウンロードする時期をランダム化 する。 p.509 の 「LiveUpdate サーバーからのコンテンツダウンロードのランダム化」 を参照して ください。 p.508 の 「デフォルトの管理サーバーまたは GUP からのコンテンツダウンロードのランダ ム化」 を参照してください。 ■ ユーザーがクライアントコンピュータをアクティブに使っていないときにコンテンツ更新を ダウンロードする。 p.510 の 「クライアントコンピュータがアイドル状態のときにクライアント更新を実行する設 定」 を参照してください。 ■ スキャンの調整によるコンピュー クライアントコンピュータのリソースに対する影響が最小限になるようにウイルスとスパイウェア タパフォーマンスの改善 のスキャンが行われます。 前のセグメントに訳文を含めました一部のスキャン設定を変更し て、保護レベルを低下させずにコンピュータのパフォーマンスを改善することもできます。 たとえば、信頼できるファイルを無視したり、コンピュータがアイドル状態のときにスキャンする ようにスキャンを設定できます。 p.291 の 「スキャンの調整によるクライアントコンピュータパフォーマンスの改善」 を参照してく ださい。 p.320 の 「Windows クライアントの Auto-Protect のカスタマイズ」 を参照してください。 601 602 第 27 章 サーバーの管理 サーバーの設定のエクスポートとインポート タスク 説明 データベースクライアントログの ストレージの必要条件を最適化し、ログに記録されたデータの保持を制御する会社のポリシー 量の削減 に準拠するように、ログ記録オプションを設定できます。 データベースは、絶えずエントリのフローを受け取り、そのログファイルに記録します。データ ベースに格納されているデータが、利用可能なディスク領域を使い果たさないように、データ を管理する必要があります。データが多すぎると、データベースを実行しているコンピュータ がクラッシュする原因となります。 次のタスクを実行することによって、ログデータの量を減らすことができます。 ■ ■ ■ ■ ■ ■ サーバーにクライアントログの一部のみをアップロードし、クライアントログをアップロード する頻度を変更する。 p.631 の 「クライアントログサイズと管理サーバーにアップロードするログの指定」 を参照し てください。 クライアントコンピュータがデータベースに保持できるログエントリの数とそれらを保持する 期間を指定する。 p.632 の 「データベース内のログエントリの保存期間の指定」 を参照してください。 サーバーに転送されるデータ量が減るように、重要度の低いリスクイベントとシステムイベ ントをフィルタで除外する。 p.328 の 「Windows コンピュータでのウイルス対策とスパイウェアの対策に関するその他 の設定の修正」 を参照してください。 各管理サーバーが管理するクライアントの数を減らす。 p.638 の 「管理サーバーリストの設定」 を参照してください。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 クライアントログをサーバーにアップロードする頻度をコントロールするハートビートの頻度 を減らす。 p.249 の 「クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプル モードの設定」 を参照してください。 ログデータがデータベースに挿入される前にログデータが格納されるディレクトリ領域の 量を減らす。 p.633 の 「クライアントログデータの量の調整による領域の拡大について」 を参照してくだ さい。 データベース保守タスクの実行 クライアントとサーバー間の通信速度を向上させるには、通常のデータベース保守タスクをス ケジュール設定します。 p.626 の 「自動データベース保守タスクのスケジュール設定」 を参照してください。 サーバーの設定のエクスポートとインポート Symantec Endpoint Protection Manager の設定をエクスポートまたはインポートでき ます。設定は xml 形式でファイルにエクスポートされます。 p.595 の 「サーバーの管理」 を参照してください。 第 27 章 サーバーの管理 サーバー証明書の種類について サーバーの設定をエクスポートするには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、[ローカルサイト(サイト サイト名)]を展開して、エクスポートする管理 サーバーを選択します。 3 [サーバープロパティのエクスポート]をクリックします。 4 ファイルを保存する場所を選択し、ファイル名を指定します。 5 [エクスポート]をクリックします。 サーバーの設定をインポートするには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、[ローカルサイト(サイト サイト名)]を展開して、設定をインポートする 管理サーバーを選択します。 3 [サーバープロパティのインポート]をクリックします。 4 インポートするファイルを選択して、[インポート]をクリックします。 5 [はい]をクリックします。 サーバー証明書の種類について デジタル証明書は、機密データを認証し暗号化するための業界標準です。ネットワーク 上のルーターを経由するときに情報が読み取られないようにするには、データを暗号化 する必要があります。そのため、HTTPS プロトコルを使うデジタル証明書が必要になりま す。 この安全なプロトコルでは、サーバーはサーバー証明書を使って自身を識別および認証 します。シマンテック社の製品ではネットワーク上のすべてのサーバーおよびクライアント 間の通信と、オプションのエンフォーサ間の通信に HTTPS を使用します。 また、サーバー証明書を使ってサーバーが自身を識別し認証できるように、Symantec Endpoint Protection Manager 上でも暗号化を有効にする必要があります。このオプ ションを有効にしないと、デジタル証明書のインストールが有効になりません。 管理サーバーは次の種類の証明書をサポートしています。 ■ JKS キーストアファイル(.jks) キーストアファイルは、keytool.exe と呼ばれる Java ツールによって生成されます。サ ポートされる形式は、JKS(Java Key Standard)形式だけです。JCEKS(Java Cryptography Extension)形式では、特定のバージョンの JRE(Java Runtime Environment)が必要です。管理サーバーは、管理サーバー上の JDK(Java Development Kit)と同じバージョンで生成された JCEKS キーストアファイルのみを サポートします。 603 604 第 27 章 サーバーの管理 サーバー証明書の更新 キーストアには、証明書と専用キーの両方が格納されている必要があります。キース トアパスワードは、キーパスワードと同じである必要があります。 ■ PKCS12 キーストアファイル(.pfx と .p12) ■ 証明書と専用キーファイル(DER と PEM の形式) シマンテック社では、DER 形式または PEM 形式の、暗号化されていない証明書と専 用キーをサポートしています。PKCS8 で暗号化された専用キーファイルはサポートさ れていません。 証明書に関する情報は念のためバックアップすると安全です。管理サーバーが破損した 場合や、キーストアパスワードを忘れた場合でも、簡単にパスワードを取得できます。 p.604 の 「サーバー証明書の更新」 を参照してください。 p.606 の 「サーバー証明書のバックアップ」 を参照してください。 サーバー証明書の更新 サーバー証明書の更新ウィザードを使い、順を追って証明書を更新することができます。 サーバー証明書を更新するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、サーバー証明書を更新する管理サーバーをクリックします。 3 [タスク]の下で[サーバー証明書の管理]をクリックし、[次へ]をクリックします。 4 [サーバー証明書の管理]パネルで、[サーバー証明書を更新する]をクリックしてか ら[次へ]をクリックします。 5 [サーバー証明書の更新]パネルで、次のタスクのいずれかを実行してから、[次へ] をクリックします。 ■ [JKS キーストア ファイル (.jks)]をクリックします ■ [PKCS12 キーストア ファイル (.pfx または .p12)]をクリックします ■ [証明書と専用キーファイル]をクリックします この証明書は、DER 形式と PEM 形式を使います。 6 証明書の種類ごとにパネルの指示に従った後、[完了]をクリックします。 7 証明書を有効にするためには、管理サーバーからログオフして再起動する必要があ ります。 p.148 の 「管理サーバーサービスの停止と開始」 を参照してください。 p.603 の 「サーバー証明書の種類について」 を参照してください。 第 27 章 サーバーの管理 クライアントを孤立させないサーバーセキュリティ証明書のアップグレード クライアントを孤立させないサーバーセキュリティ証明書 のアップグレード クライアントがサーバーとの間でセキュア通信を使用すると、デジタル署名されたセキュリ ティ証明書がクライアントとサーバーの間で交換されます。この交換により、サーバーとク ライアントの間に信頼関係が確立されます。サーバーで証明書を変更すると、信頼関係 が壊れ、クライアントは通信できなくなります。この問題は孤立クライアントと呼ばれます。 メモ: 1 つの管理サーバーを更新する場合、または複数の管理サーバーを同時に更新す る場合は、この処理を使います。 表 27-4 では、サーバーが管理するクライアントを孤立させずに証明書をアップグレード する手順を示します。 表 27-4 手順 タスク サーバークライアント証明書の更新 説明 1 ポリシーのシグネチャの サーバーとクライアント間のセキュア通信を無効にします。 検証を無効にする p.606 の 「クライアントが孤立するのを防ぐセキュア通信の設定」 を参照してください。 2 すべてのクライアントが サーバーに接続している管理下クライアントの数によっては、更新されたポリシーの配備に 更新されたポリシーを受 1 週間以上かかることがあります。新しいポリシーを受け取るには管理下コンピュータがオン 信するのを待つ ラインになる必要があるため、大規模なインストールでは処理が完了するまでに数日かかる ことがあります。ユーザーが休暇中でコンピュータがオフラインになっている、といった可能性 があります。 3 サーバーの証明書を更 p.604 の 「サーバー証明書の更新」 を参照してください。 新する 管理サーバーを移行または更新する場合は、サーバーの移行を実行します。 p.147 の 「管理サーバーの移行」 を参照してください。 4 ポリシーのシグネチャの 手順 1 を繰り返し、[認証にデジタル認証を使うことによって管理サーバーとクライアントの間 検証を有効にする でセキュア通信を有効にする]にチェックマークを付けることで、サーバーとクライアントの間 のセキュア通信を再び有効にします。 5 すべてのクライアントが すべてのクライアントを更新するまでに 1 週間以上かかることがあります。 更新されたポリシーを受 信するのを待つ 6 複製関係を復元する (省略可能) 更新したサーバーが他の管理サーバーを複製する場合は、複製関係を復元します。 p.146 の 「移行またはアップグレード後の複製の有効化」 を参照してください。 605 606 第 27 章 サーバーの管理 サーバー証明書のバックアップ クライアントが孤立するのを防ぐセキュア通信の設定 クライアントがサーバーとの間でセキュア通信を使用すると、デジタル署名されたセキュリ ティ証明書がクライアントとサーバーの間で交換されます。この交換により、サーバーとク ライアントの間に信頼関係が確立されます。サーバーで証明書を変更すると、信頼関係 が壊れ、クライアントは通信できなくなります。この問題は孤立クライアントと呼ばれます。 管理下クライアントが移行またはアップグレードの間に孤立するのを防ぐには、クライアン トとサーバーの間のセキュア通信を無効にする必要があります。サーバーを移行または アップグレードした後、セキュア通信を有効にします。 メモ: 1 つの管理サーバーを更新する場合、または複数の管理サーバーを同時に更新す る場合は、この処理を使います。 p.605 の 表 27-4 を参照してください。 アップグレードのためのセキュア通信の設定 1 コンソールで、[クライアント]、[ポリシー]、[全般の設定]の順にクリックします。 2 [セキュリティの設定]タブで、[認証にデジタル認証を使うことによって管理サーバー とクライアントの間でセキュア通信を有効にする]のチェックマークをはずします。 3 [OK]をクリックします。 サーバー証明書のバックアップ 管理サーバーが破損した場合に備え、専用キーと、証明書を表すファイルをバックアップ する必要があります。 JKS キーストアファイルは、初期インストール時にバックアップされます。 server_timestamp.xml という名前のファイルもバックアップされます。JKS キーストアファ イルには、サーバーの専用キーと公開キーのペアおよび自己署名の証明書が格納され ています。 サーバー証明書をバックアップするには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]の下で、サーバー証明書のバックアップを作成する管理サーバーをク リックします。 3 [タスク]の下で[サーバー証明書の管理]をクリックし、[次へ]をクリックします。 4 [サーバー証明書の管理]パネルで、[サーバー証明書のバックアップを作成する] をクリックしてから[次へ]をクリックします。 第 27 章 サーバーの管理 Symantec Endpoint Protection Manager とクライアント間の SSL の設定 5 [サーバー証明書のバックアップを作成]パネルで、[参照]をクリックしてバックアッ プフォルダを指定してから[次へ]をクリックします。 管理サーバーの証明書は同じフォルダにバックアップされます。 6 [サーバー証明書のバックアップを作成]パネルで、[次へ]をクリックします。 7 [完了]をクリックします。 p.603 の 「サーバー証明書の種類について」 を参照してください。 Symantec Endpoint Protection Manager とクライアン ト間の SSL の設定 SSL(Secure Sockets Layer)通信を有効にするには、Apache の httpd.config ファイル を編集します。デフォルトでは、SSL トラフィックはポート 433 を使います。デフォルトポー トがすでに使われている場合は、変更する必要があります。 表 27-5 クライアントへの SSL 通信の有効化 手順 処理 説明 1 デフォルト SSL ネットワークによっては、ポート 433 が別のアプリケーションまたはサービスにすでにバインドされ ポートが使用可能 ている場合があります。SSL 通信を有効にする前に、デフォルトポート(433)が使用可能かどうか であることを確認 を確認する必要があります。 する p.607 の 「ポートの可用性の検証」 を参照してください。 2 必要に応じて、デ ポート 433 が使えない場合は、大きいポート番号の範囲(49152 ~ 65535)から使われていない フォルト SSL ポー ポートを選択します。新しいポートを使うようにサーバーの設定を変更します。 トを変更します。 p.608 の 「SSL ポートの割り当ての変更」 を参照してください。 3 クライアントへの クライアントへの SSL 通信を許可するには、Apache の httpd.config ファイルを編集します。 SSL 通信を有効に p.609 の 「管理サーバーとクライアント間の SSL 通信の有効化」 を参照してください。 する p.138 の 「Symantec Endpoint Protection への移行について」 を参照してください。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 ポートの可用性の検証 Symantec Endpoint Protection Manager の一部の設定では、他のアプリケーションま たはサービスとの競合を防ぐために、ポートのデフォルトの割り当てを変更する必要があ ります。新しいポートを割り当てる前に、新しいポートがまだ使われていないことを確認す る必要があります。 607 608 第 27 章 サーバーの管理 Symantec Endpoint Protection Manager とクライアント間の SSL の設定 ポートの可用性を検証するには 1 コマンドプロンプトを開き、netstat -an コマンドを実行します。 2 [Local Address]の列で、確認するポート番号で終わっているエントリを探します。 たとえば、ポート 443 が使用可能かどうかを確認するには、[Local Address]列で 末尾が 443 のエントリを探します。末尾が 443 のエントリがない場合、ポートは使用 可能です。 p.607 の 「Symantec Endpoint Protection Manager とクライアント間の SSL の設定」 を 参照してください。 SSL ポートの割り当ての変更 SSL ポートのデフォルトの割り当てを変更することが必要な場合があります。 メモ: 次の手順では、新しい SSL ポートを選択し、使われていないことの検証が済んでい るものとします。 p.607 の 「ポートの可用性の検証」 を参照してください。 SSL ポートの割り当てを変更するには 1 テキストエディタで %SEPM%¥apache¥conf¥ssl¥sslForClients.conf ファイルを 開きます。 2 文字列 Listen 443 の部分を新しいポート番号に編集します。たとえば、新しいポー ト番号が 53300 の場合、編集後の文字列は Listen 53300 になります。 3 ファイルを保存し、テキストエディタを閉じます。 4 Symantec Endpoint Protection Manager を再起動します。 5 新しいポートが正常に動作していることを確認するには、Web ブラウザで https://ServerHostName:<新しいポート番号 >/secars/secars.dll?hello.secars という URL を入力します。URL の ServerHostName は、Symantec Endpoint Protection Manager のコンピュータ 名です。「hello」と表示されれば、ポートの変更は成功しています。ページ エラーが 表示される場合は、最初の手順を繰り返し、文字列の形式が正しいことを確認しま す。また、URL を正しく入力したことを確認します。 6 コンソールの[ポリシー]タブで、[ポリシーコンポーネント]、[管理サーバーリスト]の 順にクリックします。 7 管理サーバーリストで、SSL を使うように設定する管理サーバーをクリックし、[編集] をクリックします。 第 27 章 サーバーの管理 リモートの Symantec Endpoint Protection Manager コンソールへのアクセスの認可または拒否 8 [管理サーバーの編集]ウィンドウで、[HTTPS ポートをカスタマイズする]をクリック して、新しいポート番号を入力します。 9 [OK]をクリックします。 管理サーバーとクライアント間の SSL 通信の有効化 Symantec Endpoint Protection Manager とクライアントの間の SSL(Secure Sockets Layer)通信を有効にするには、httpd.config ファイルを編集します。 管理サーバーとクライアント間の SSL 通信の有効化 1 テキストエディタで %SEPM%¥apache¥conf¥httpd.conf ファイルを開きます。 2 #Include conf/ssl/sslForClients.conf というエントリを探します。 3 テキスト文字列からシャープ記号(#)を削除して、ファイルを保存します。 4 Symantec Endpoint Protection Manager を再起動します。 p.148 の 「管理サーバーサービスの停止と開始」 を参照してください。 p.955 の 「Apache Web サーバーの停止と開始」 を参照してください。 p.607 の 「Symantec Endpoint Protection Manager とクライアント間の SSL の設定」 を 参照してください。 リモートの Symantec Endpoint Protection Manager コ ンソールへのアクセスの認可または拒否 メインコンソールはリモートコンソールがインストールされているコンピュータのアクセスを 認可または拒否することで保護できます。デフォルトでは、すべてのコンソールのアクセ スが許可されています。管理者はネットワーク上の任意のコンピュータからローカルまた はリモートでメインコンソールにログオンできます。 グローバルにアクセスを認可または拒否できるのに加えて、IP アドレスによって例外を指 定できます。すべてのリモートコンソールに対してアクセス認可を選択した場合、例外リス トでは自動的にアクセスが拒否されます。反対に、すべてのリモートコンソールに対して アクセス拒否を選択した場合、すべての例外のアクセスは自動的に許可されます。 例外を作成する場合は、指定したコンピュータに固定 IP アドレスが割り当てられている 必要があります。サブネットマスクを指定することによってコンピュータのグループに対し て例外を作成することもできます。たとえば、管理しているすべての領域のアクセスを許 可すると便利な場合があります。ただし、パブリック領域にあるコンソールのアクセスは拒 否できます。 609 610 第 27 章 サーバーの管理 リモートの Symantec Endpoint Protection Manager コンソールへのアクセスの認可または拒否 リモートコンソールのアクセスを認可または拒否するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、コンソールのアクセス権を変更するサーバーを選択します。 3 [タスク]の下で、[サーバーのプロパティを編集する]をクリックします。 4 [全般]タブで、[アクセス認可]または[アクセス拒否]をクリックします。 5 このコンソールのアクセス許可から除外するコンピュータの IP アドレスを指定する場 合は、[追加]をクリックします。 追加したコンピュータはアクセス認可に設定されているコンピュータの例外になりま す。これらのコンピュータのアクセスは拒否されます。[アクセス拒否]を選択した場 合は、指定したコンピュータのみがアクセス許可のコンピュータになります。単一コン ピュータまたはコンピュータのグループの例外を作成します。 6 7 [コンソールアクセスの拒否]ダイアログボックスで、次のいずれかのオプションをク リックします。 ■ 単一コンピュータ 1 台のコンピュータに対する設定で、その IP アドレスを入力します。 ■ コンピュータのグループ 数台のコンピュータに対する設定で、そのグループの IP アドレスとサブネットマ スクを入力します。 [OK]をクリックします。 指定したコンピュータが例外リストに表示されます。IP アドレスやマスクごとに、許可 の状態が表示されます。 アクセス認可からアクセス拒否に、またはその反対に変更すると、例外もすべて同様 に変更されます。アクセス拒否の例外を作成した場合、例外はアクセスできるように なります。 8 例外リストに表示されるコンピュータの IP アドレスまたはホスト名を変更する場合は [すべての編集]をクリックします。 IP Address エディタが表示されます。IP Address エディタは IP アドレスとサブネッ トマスクを編集できるテキストエディタです。 9 [OK]をクリックします。 10 リストへの例外の追加またはリストの編集を完了したら、[OK]をクリックします。 28 ディレクトリサーバーの管理 この章では以下の項目について説明しています。 ■ 組織単位と LDAP サーバーについて ■ 組織単位の同期について ■ LDAP ディレクトリサーバーからのユーザーとコンピュータアカウントの情報のインポー トについて ■ ディレクトリサーバーと Symantec Endpoint Protection Manager 間のユーザーア カウントの同期 ■ LDAP ディレクトリサーバー上のユーザーの検索 ■ LDAP ディレクトリサーバー検索結果リストからのユーザーのインポート ■ Active Directory または LDAP サーバーからの組織単位のインポート ■ ディレクトリサーバーの追加 組織単位と LDAP サーバーについて Symantec Endpoint Protection Manager は Active Directory または LDAP サーバー からの組織単位(OU)のユーザー、コンピュータ、グループ構造全体を自動的に同期し ます。インポート時に、作成したグループにポリシーを割り当てることができます。インポー トした組織単位をコンソールで変更することはできません。どうしても組織単位を追加、削 除、修正する必要がある場合は、LDAP サーバー上でそのタスクを実行する必要があり ます。管理サーバーでは同期を有効にした場合、ディレクトリサーバーに実装されている 構造で自動的に同期が維持されます。 コンソールでグループを作成して OU からグループにユーザーをコピーすることもできま す。管理サーバー上のグループと OU の両方に同じユーザーが存在する場合がありま す。この場合は、グループの優先度が OU の優先度より高くなります。したがってグルー プのポリシーがユーザーまたはコンピュータに適用されます。 612 第 28 章 ディレクトリサーバーの管理 組織単位の同期について 組織単位の同期について LDAP サーバーと Active Directory との統合と同期は Symantec Endpoint Protection Manager のオプション機能です。他のサーバーから組織単位(OU)をインポートして、イ ンポートした OU と他のサーバー間の自動同期を設定できます。 p.613 の 「ディレクトリサーバーと Symantec Endpoint Protection Manager 間のユー ザーアカウントの同期」 を参照してください。 LDAP サーバー上で行った変更は管理サーバーにインポートされた組織単位にはすぐ に反映されません。遅延時間は同期頻度によって異なります。コンソールでサーバープ ロパティを編集することで同期頻度を設定できます。 ユーザーの名前は、次のタスクを実行しても引き続きコンソール上のグループに表示され ます。 ■ ユーザーを組織単位からグループにコピーする ■ その後、LDAP サーバーからそのユーザーを削除する 同期は LDAP サーバーと組織単位の間でのみ実行されます。 LDAP ディレクトリサーバーからのユーザーとコンピュー タアカウントの情報のインポートについて 管理者は LDAP プロトコルを使って LDAP ディレクトリサーバーからユーザーとコンピュー タアカウントに関する情報をインポートできます。 ユーザーとアカウントに関する情報をインポートする場合は、最初に Symantec Endpoint Protection Manager とディレクトリサーバー間の接続を確立してください。 p.618 の 「ディレクトリサーバーの追加」 を参照してください。 その後、次のタスクを実行してユーザーとアカウントに関する情報を検索してインポートで きます。 ■ ユーザーについて LDAP サーバーを検索する。 p.613 の 「LDAP ディレクトリサーバー上のユーザーの検索」 を参照してください。 ■ ユーザーアカウントに関する情報をインポートする。 p.616 の 「LDAP ディレクトリサーバー検索結果リストからのユーザーのインポート」 を 参照してください。 第 28 章 ディレクトリサーバーの管理 ディレクトリサーバーと Symantec Endpoint Protection Manager 間のユーザーアカウントの同期 ディレクトリサーバーと Symantec Endpoint Protection Manager 間のユーザーアカウントの同期 ユーザーをインポートし、Symantec Endpoint Protection Manager と同期するために ディレクトリサーバーを設定できます。ユーザーに関する情報を同期する前にディレクトリ サーバーを追加しておく必要があります。 メモ: Symantec Endpoint Protection Manager からディレクトリサーバーの接続を削除 する場合は、サーバー間でデータを同期する前に、作成した組織単位(OU)をすべて削 除する必要があります。 p.618 の 「ディレクトリサーバーの追加」 を参照してください。 ディレクトリサーバーと Symantec Endpoint Protection Manager 間でユーザーアカウ ントを同期するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、ディレクトリサーバーを追加する管理サーバーを選択します。 3 [タスク]の下で、[サーバーのプロパティを編集する]をクリックします。 4 [サーバープロパティ]ダイアログボックスで、[ディレクトリサーバー]タブをクリックし ます。 5 まだチェックマークが付いていない場合は、[ディレクトリサーバーと同期]にチェック マークを付けます。 このオプションはデフォルトでチェックマークが付いています。 6 7 管理サーバーとディレクトリサーバー間の同期頻度を指定するスケジュールを設定 するには、次のいずれかの処理を行います。 ■ 24 時間ごとに自動的に同期するには、[自動スケジュール]をクリックします。 デフォルトの設定は 86400 秒おきに同期するようにスケジュール設定されてい ます。tomcat¥etc¥conf.properties ファイルを編集して同期の間隔をカスタマ イズすることもできます。 ■ 同期の頻度を指定するには、[同期間隔]をクリックし、時間数を指定します。 [OK]をクリックします。 LDAP ディレクトリサーバー上のユーザーの検索 ユーザーに関する情報を管理サーバーにインポートするときは LDAP サーバー上のユー ザーを検索する必要があります。 613 614 第 28 章 ディレクトリサーバーの管理 LDAP ディレクトリサーバー上のユーザーの検索 p.612 の 「LDAP ディレクトリサーバーからのユーザーとコンピュータアカウントの情報のイ ンポートについて」 を参照してください。 LDAP ディレクトリサーバー上のユーザーを検索するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、ユーザーのインポート先のグループを選択します。 3 [タスク]で、[Active Directory または LDAP ユーザーのインポート]をクリックしま す。 4 [Active Directory または LDAP ユーザーのインポート]ダイアログボックスで、 [サーバー]ボックスに IP アドレスまたはホスト名を入力します。 5 [サーバーポート]ボックスに、LDAP サーバーまたは Active Directory サーバーの ポート番号を入力します。 デフォルトのポート番号は 389 です。 6 SSL(Secure Sockets Layer)を使ってディレクトリサーバーと接続する場合は、[セ キュリティで保護された接続を使う]をクリックします。 このオプションにチェックマークを付けていない場合は、暗号化しない接続が使われ ます。 第 28 章 ディレクトリサーバーの管理 LDAP ディレクトリサーバー上のユーザーの検索 7 [ユーザーのリスト]をクリックしてユーザーを表示します。 [LDAP 検索ベース]ボックスに LDAP クエリーを入力して、インポートするユーザー の名前を検索することもできます。 属性=値のペアなど、検索オプションを指定できます。各属性はカンマで区切る必 要があります。 CN CommonName DC DomainComponent L LocalityName ST StateOrProvinceName O OrganizationName OU OrganizationalUnitName C CountryName STREET StreetAddress LDAP サーバーによってはサポートされていないオプションもあります。たとえば、 Microsoft Active Directory では O がサポートされていません。 属性=値のペアを指定する順序は、これにより LDAP ディレクトリ階層内のエントリの 場所が示されるため重要です。 ディレクトリサーバーのインストール時に itsupport.sygate.com などの DNS タイプ のドメイン名を指定した場合は、itsupport は標準的な NT NetBIOS ドメインのよう にディレクトリサーバーに問い合わせることができます。 その Active Directory サーバーに問い合わせるには、次の順序で LDAP 検索ベー スを指定します。 CN=Users, DC=itsupport, DC=sygate, DC=com 検索ベースではワイルドカード文字または正規表現を使用できます。次に例を示し ます。 CN=a*, CN=Users, DC=itsupport, DC=sygate, DC=com このクエリーでは文字 a で始まるすべてのユーザー名が返されます。 他の例としては、次のように組織内でディレクトリ構造の検索を実行する場合があり ます。 mycorp.com -> engineering.mycorp.com or sales.mycorp.com 615 616 第 28 章 ディレクトリサーバーの管理 LDAP ディレクトリサーバー検索結果リストからのユーザーのインポート LDAP ディレクトリの検索を開始する場所を条件とするオプションを指定することもで きます。 o=mycorp.com or o=engineering.mycorp.com LDAP の検索文字列では > または < を使って論理比較を指定できます。 LDAP クエリーの結果が 1,000 を超える場合は失敗する可能性があります。必ず 1,000 より少ないユーザーが報告されるように検索ベースを設定してください。 8 [権限があるアカウント]ボックスに LDAP ユーザーアカウントの名前を入力します。 9 [パスワード]ボックスに LDAP ユーザーアカウントのパスワードを入力します。 10 [ユーザーのリスト]をクリックして LDAP サーバー上のユーザーのリストを表示しま す。 [どのグループにも追加されないユーザーのみを表示する]にチェックマークが付い ている場合は、まだ追加されていないこれらのユーザーのみが表示されます。 LDAP ディレクトリサーバー検索結果リストからのユー ザーのインポート LDAP サーバーの検索結果リストからユーザーをインポートすることもできます。 p.612 の 「LDAP ディレクトリサーバーからのユーザーとコンピュータアカウントの情報のイ ンポートについて」 を参照してください。 LDAP ディレクトリサーバーの検索結果リストからユーザーをインポートするには 1 コンソールで、[クライアント]をクリックします。 2 [グループリスト]ツリーで、LDAP サーバーからユーザーを追加するグループを選 択します。 すべてのユーザーを追加する場合は[すべてを追加]をクリックします。またはリスト から特定のユーザーを選択して[追加]をクリックします。 3 その列を使ってソートするフィールド名をクリックします。 検索結果はフィールド単位で昇順または降順にソートできます。 4 [LDAP ユーザーリスト]領域から 1 人以上のユーザーを選択します。 Ctrl キーを使って連続していないユーザーを選択するなど、Windows の標準の キー操作を使用できます。 5 [追加]をクリックすると、新しいユーザーの名前がグループツリーに表示されます。 第 28 章 ディレクトリサーバーの管理 Active Directory または LDAP サーバーからの組織単位のインポート 6 他のグループにユーザーを追加するためのこのプロセスは、すべての新しいユー ザーを適切なグループに追加するまで必要なだけ繰り返します。 7 [閉じる]をクリックします。 Active Directory または LDAP サーバーからの組織単 位のインポート 組織単位またはコンテナをインポートする場合は、あらかじめ Symantec Endpoint Protection Manager を LDAP サーバーに接続しておく必要があります。 p.618 の 「ディレクトリサーバーの追加」 を参照してください。 [組織単位のインポート]ダイアログボックスからの結果をフィルタ処理することはできませ ん。ユーザーをフィルタ処理する必要がある場合は、LDAP サーバーを管理サーバーに 追加して行う必要があります。Active Directory サーバーの場合はどちらにあってもフィ ルタ処理することはできません。 この処理はユーザーの数によって、時間がかかることがあります。1 つの組織単位を複数 のグループツリーに配置できません。 以下の特殊文字は Active Directory の名前に使えますが、それらの名前は Symantec Endpoint Protection Manager にインポートする前に変換する必要があります。 ■ エントリの最初にある空白または番号記号(#) ■ エントリの最後にある空白文字 ■ 次のいずれかの文字: カンマ(,)、プラス記号(+)、二重引用符(")、不等号(< または >)、等号(=)、セミコロン(;)、円記号(¥) これらの文字を含む名前をインポートできるようにするには、各文字の前に円記号(¥)を 挿入します。 LDAP サーバーから組織単位をインポートするには 1 コンソールで、[クライアント]をクリックします。 2 [クライアント]で、組織単位またはコンテナの追加先のグループを選択します。 3 [タスク]で、[組織単位またはコンテナのインポート]をクリックします。 4 ドメインを選択します。 5 組織単位を選択します。 6 [OK]をクリックします。 617 618 第 28 章 ディレクトリサーバーの管理 ディレクトリサーバーの追加 ディレクトリサーバーの追加 Active Directory サーバーの場合は、データをインポートする前にユーザーをフィルタ 処理できません。LDAP サーバーの場合は、データをインポートする前にユーザーをフィ ルタ処理できます。したがって、データをフィルタ処理する必要がある場合は、LDAP と 互換性がある Active Directory サーバーを LDAP サーバーとして追加します。 ディレクトリサーバーの追加が完了したら、同期を設定できます。 p.613 の 「ディレクトリサーバーと Symantec Endpoint Protection Manager 間のユー ザーアカウントの同期」 を参照してください。 ディレクトリサーバーを追加するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、ディレクトリサーバーを追加する管理サーバーを選択します。 3 [タスク]の下で、[サーバーのプロパティを編集する]をクリックします。 4 [<サイト名>のサーバープロパティ]ダイアログボックスの[ディレクトリサーバー]タブ で[追加]をクリックします。 5 [ディレクトリサーバーの追加]ダイアログボックスで、追加するディレクトリサーバー の名前を[名前]フィールドに入力します。 6 [ディレクトリサーバーの追加]ダイアログボックスで、サーバーの種類として[Active Directory]または[LDAP]にチェックマークを付けます。 7 [ディレクトリサーバーの追加]ダイアログボックスで、[サーバーの IP アドレスまたは 名前]ボックスに IP アドレス、ホスト名、ドメイン名を入力します。 追加するディレクトリサーバーの IP アドレス、ホスト名、ドメイン名を入力する必要が あります。 8 LDAP サーバーを追加する場合は、[LDAP ポート]ボックスに LDAP サーバーの ポート番号を入力します。 Active Directory サーバーを追加する場合は、これらの値を変更できません。 ポートのデフォルト設定は 389 です。 9 LDAP サーバーを追加する場合は、[LDAP ベース DN]ボックスに LDAP BaseDN を入力します。 10 [ユーザー名]ボックスに、権限があるディレクトリサーバーアカウントのユーザー名 を入力します。 11 [パスワード]ボックスにディレクトリサーバーアカウントのパスワードを入力します。 第 28 章 ディレクトリサーバーの管理 ディレクトリサーバーの追加 12 SSL(Secure Sockets Layer)を使ってディレクトリサーバーと接続する場合は、[セ キュリティで保護された接続を使う]にチェックマークを付けます。 このオプションにチェックマークを付けていない場合は、暗号化しない通常の接続が 使われます。 13 [OK]をクリックします。 619 620 第 28 章 ディレクトリサーバーの管理 ディレクトリサーバーの追加 29 データベースの管理 この章では以下の項目について説明しています。 ■ データベースの保守 ■ データベースの自動バックアップのスケジュール設定 ■ 自動データベース保守タスクのスケジュール設定 ■ ログデータの Syslog サーバーへのエクスポート ■ ログデータのテキストファイルへのエクスポート ■ ログデータのカンマ区切りテキストファイルへのエクスポート ■ クライアントログサイズと管理サーバーにアップロードするログの指定 ■ データベース内のログエントリの保存期間の指定 ■ クライアントログデータの量の調整による領域の拡大について ■ データベースからのログデータの手動の消去 データベースの保守 Symantec Endpoint Protection は埋め込みデータベースと Microsoft SQL Server データベースの両方をサポートします。1,000 以上のクライアントがある場合は、Microsoft SQL Server データベースを使います。 Symantec Endpoint Protection Manager は埋め込みデータベースを自動的にインス トールします。データベースには、セキュリティポリシー、設定、攻撃データ、ログ、レポー トの情報が含まれています。 Symantec Endpoint Protection Manager をインストールした後、数週間または数カ月 経過すると管理サーバーの速度が低下し始めます。管理サーバーのパフォーマンスを 622 第 29 章 データベースの管理 データベースの保守 改善するには、データベースのストレージ領域を減らし、各種データベース保守タスクを スケジュール設定する必要があります。 表 29-1 データベース管理タスク タスク 説明 通常のデータベース バックアップのスケ ジュール設定 データベースが破損した場合に備えて、通常のデータベースバックアップをスケジュール設定する必 要があります。 p.642 の 「データベースとログのバックアップ」 を参照してください。 p.625 の 「データベースの自動バックアップのスケジュール設定」 を参照してください。 p.945 の 「ディザスタリカバリの実行」 を参照してください。 省略可能なオプションとして、バックアップが行われるまでデータベースの自動スイープを禁止するた めに手動でデータベースからデータをスイープできます。 p.634 の 「データベースからのログデータの手動の消去」 を参照してください。 データベース保守タス データベース保守タスクをスケジュール設定することにより、管理サーバーとデータベースの間でやり クのスケジュール設定 取りする時間を高速化できます。次の保守タスクをすぐに実行したり、ユーザーがクライアントコンピュー タを使っていないときに実行したりするために管理サーバーをスケジュール設定できます。 ■ トランザクションログから未使用のデータを削除する。 ■ データベーステーブルインデックスを再構築して、データベースのソートと検索の機能を改善す る。 p.626 の 「自動データベース保守タスクのスケジュール設定」 を参照してください。 データベースファイル サイズの定期チェック 埋め込みデータベースではなく Microsoft SQL Server データベースを使用している場合は、デー タベースが最大ファイルサイズに達していないことを確認します。 p.627 の 「Microsoft SQL Server データベースのファイルサイズの拡大」 を参照してください。 第 29 章 データベースの管理 データベースの保守 タスク 説明 必要なデータベースの ストレージ領域を減らす方法を決定する前に、必要な総ディスク領域を計算します。 ストレージ領域の計算 データベースのストレージは次の要因に基づいて決まります。 ■ ログサイズと有効期限 ■ クライアントコンピュータの台数 ■ 月あたり平均ウイルス数 ■ 各ログに保持する必要があるイベント数 コンテンツ更新の数。 コンテンツ更新ごとに約 300 MB が必要になります。 p.506 の 「LiveUpdate のダウンロードに使われるディスク容量の設定」 を参照してください。 p.505 の 「クライアントが使うコンテンツリビジョンの制御」 を参照してください。 ■ 各言語に保持する必要があるクライアントバージョンの数 たとえば、ネットワークに 32 ビットクライアントと 64 ビットクライアントがある場合があります。 ■ 保存する必要があるバックアップ数 バックアップサイズはデータベースの約 75 パーセントです。保存するバックアップコピー数を乗じ て算出します。 ■ 必要なハードディスク容量を計算する方法について詳しくは、シマンテック社のホワイトペーパー 『Sizing and Scalability Recommendations for Symantec Endpoint Protection』を参照してくだ さい。 623 624 第 29 章 データベースの管理 データベースの保守 タスク 説明 ログデータの量の削減 データベースは、絶えずエントリのフローを受け取り、そのログファイルに記録します。データベースに 格納されているデータが、利用可能なディスク領域を使い果たさないように、データを管理する必要 があります。データが多すぎると、データベースを実行しているコンピュータがクラッシュする原因とな ります。 次のタスクを実行することによって、ログデータの量を減らすことができます。 ■ ■ ■ ■ ■ ■ サーバーにクライアントログの一部のみをアップロードし、クライアントログをアップロードする頻度 を変更する。 p.631 の 「クライアントログサイズと管理サーバーにアップロードするログの指定」 を参照してくださ い。 クライアントコンピュータがデータベースに保持できるログエントリの数とそれらを保持する期間を 指定する。 p.632 の 「データベース内のログエントリの保存期間の指定」 を参照してください。 サーバーに転送されるデータ量が減るように、重要度の低いリスクイベントとシステムイベントをフィ ルタで除外する。 p.328 の 「Windows コンピュータでのウイルス対策とスパイウェアの対策に関するその他の設定の 修正」 を参照してください。 ログデータがデータベースに挿入される前にログデータが格納されるディレクトリ領域の量を減ら す。 p.633 の 「クライアントログデータの量の調整による領域の拡大について」 を参照してください。 各管理サーバーが管理するクライアントの数を減らす。 p.638 の 「管理サーバーリストの設定」 を参照してください。 クライアントログをサーバーにアップロードする頻度をコントロールするハートビートの頻度を減ら す。 p.249 の 「クライアントポリシーとコンテンツを更新するためのプッシュモードまたはプルモードの設 定」 を参照してください。 別のサーバーへのログ セキュリティのため、ログ記録の数を長期間維持することが必要な場合があります。クライアントログ データのエクスポート データの量を少なく維持するために、ログデータを別のサーバーにエクスポートできます。 p.629 の 「ログデータのテキストファイルへのエクスポート」 を参照してください。 p.628 の 「ログデータの Syslog サーバーへのエクスポート」 を参照してください。 必要な保護のみを備え クライアントにインストールする保護機能を多くするほど、データベース内でクライアント情報が占める るクライアントインストー 領域が増加します。クライアントコンピュータで必要となる適切な保護レベルのみを備えるクライアント ルパッケージの作成 インストールパッケージを作成します。追加するグループを多くするほど、データベース内でクライア ント情報が占める領域が増加します。 p.133 の 「クライアントインストールパッケージ機能の設定」 を参照してください。 第 29 章 データベースの管理 データベースの自動バックアップのスケジュール設定 タスク 説明 グループ更新プロバイ 狭帯域幅の場合、または 100 以上のクライアントコンピュータがある場合は、グループ更新プロバイ ダを使ったコンテンツ ダを使ってコンテンツをダウンロードします。たとえば、2,000 クライアントでグループ更新プロバイダ のダウンロード を使うと、4 台から 5 台の管理サーバーを使ってコンテンツをダウンロードするのと同等になります。 p.511 の 「コンテンツを配布するグループ更新プロバイダの設定」 を参照してください。 ディスク容量とデータベースサイズを減らすため、サーバーで保存されるコンテンツのリビジョン数を 減らすことができます。 p.506 の 「LiveUpdate のダウンロードに使われるディスク容量の設定」 を参照してください。 データベースの復元 壊れたデータベースを復元するには、そのデータベースがインストールされていた元のコンピュータ にデータベースを復元します。そのデータベースを、別のコンピュータにインストールできます。 p.946 の 「データベースの復元」 を参照してください。 p.960 の 「データベースとの接続の検証」 を参照してください。 データベースの情報は、テーブル(データベーススキーマとも呼ばれる)に格納されます。 特殊なレポートを作成するためのスキーマが必要になる場合があります。 詳しくは、 Symantec Endpoint Protection マニュアルのサイトにある『Symantec Endpoint Protection Manager データベーススキーマリファレンス』を参照してください。 データベースの自動バックアップのスケジュール設定 ネットワークにログオンするユーザーが少ない時間に、データベースのバックアップが行 われるようにスケジュールできます。 さらに、いつでもデータベースをバックアップできます。 p.642 の 「データベースとログのバックアップ」 を参照してください。 データベースの自動バックアップをスケジュール設定するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]の下で、バックアップを作成するデータベースを表しているアイコンをク リックします。 3 [タスク]の下で、[データベースプロパティの編集]をクリックします。 4 [データベースのプロパティ]ダイアログボックスの[バックアップの設定]タブで、次 のタスクを実行します。 ■ [バックアップサーバー]ドロップダウンリストで、バックアップを保存する管理サー バーを指定します。 ■ セキュリティ目的や会社のポリシーのために、ログのコピーを保存する必要があ る場合は、[ログのバックアップ]にチェックマークを付けます。 625 626 第 29 章 データベースの管理 自動データベース保守タスクのスケジュール設定 必要がなければ、ログは大量のディスク領域を使用するため、このオプションを 無効のままにしておいてください。 ■ 会社のポリシーで必要な場合、バックアップの数を指定します。 5 [バックアップのスケジュール]にチェックマークが付けられていることを確認し、スケ ジュールを設定します。 6 [OK]をクリックします。 自動データベース保守タスクのスケジュール設定 管理サーバーをインストール後、データベース内の領域は増加し続けます。数週間また は数カ月経過すると管理サーバーの速度が低下します。データベースのサイズを減らし、 データベースの応答時間を改善するために、管理サーバーは次のデータベース保守タ スクを実行します。 ■ トランザクションログを切り捨てる データベース内で変更が行われるたびに、トランザクションログが記録されます。管理 サーバーは、トランザクションログから未使用のデータを削除します。 ■ インデックスを再構築する 管理サーバーは、データベースのソートと検索にかかる時間を改善するためにデー タベーステーブルのインデックスの断片化を解消します。 デフォルトで、管理サーバーはこれらのタスクをスケジュールに従って実行します。保守 タスクをすぐに実行したり、ユーザーがコンピュータを使っていないときのスケジュールを 調整したりできます。 メモ: Microsoft SQL Server Management Studio でデータベース保守タスクを実行す ることもできます。ただし、これらのタスクは Symantec Endpoint Protection Manager または Management Studio のいずれかで実行し、両方では実行しないでください。詳 しくは、ナレッジベースの記事「Create database maintenance plans in MS SQL Server 2005 using SQL Server Integration Services (SSIS)」を参照してください。 データベース保守タスクをオンデマンドで実行するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、データベースを表すアイコンをクリックします。 3 [タスク]で、次のオプションのいずれかを選択します。 ■ [今すぐにトランザクションログを切り捨てる] ■ [今すぐにインデックスを再構築] 第 29 章 データベースの管理 自動データベース保守タスクのスケジュール設定 4 [実行]をクリックします。 5 タスクが完了したら、[OK]をクリックします。 データベース保守タスクを自動的に実行するようにスケジュール設定するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、データベースを表すアイコンをクリックします。 3 [タスク]の下で、[データベースプロパティの編集]をクリックします。 4 [全般]タブで、次のオプションのいずれかまたは両方にチェックマークを付けて、[タ スクのスケジュール]をクリックし、各タスクのスケジュールを指定します。 ■ [データベーストランザクションログを切り捨てる]。このタスクのデフォルトのスケ ジュールは 4 時間ごとです。 ■ [インデックスの再構築]。このタスクのデフォルトのスケジュールは毎週日曜日 の午前 2 時です。 警告: これらのタスクを SQL Server Management Studio で実行する場合は、これ らのオプションのチェックマークをはずしてください。 p.625 の 「データベースの自動バックアップのスケジュール設定」 を参照してください。 Microsoft SQL Server データベースのファイルサイズの拡大 Microsoft SQL Server データベースを使用している場合は、データベースのサイズを定 期的に調べて、データベースが最大サイズに達していないことを確認します。可能な場 合は、Microsoft SQL Server データベースが保持する最大サイズを増やします。 p.626 の 「自動データベース保守タスクのスケジュール設定」 を参照してください。 Microsoft SQL Server データベースのファイルサイズを拡大するには 1 管理サーバーで、Microsoft SQL Server のインストールパスを確認します。 デフォルトのパスは、C:¥Program Files¥Microsoft SQL Server¥MSSQL.1¥MSSQL¥Data です。 2 Data フォルダを展開し、sem5 を右クリックして、[プロパティ]をクリックします。 3 [データベースのプロパティ]ダイアログボックスで、[ファイル]を選択します。 4 [データベース ファイル]で sem5_log1 を選択し、右にスクロールして[自動拡張] 列を表示します。 5 [自動拡張]列で、[...]ボタンをクリックします。 627 628 第 29 章 データベースの管理 ログデータの Syslog サーバーへのエクスポート 6 [sem5_log1 の自動拡張を変更]ダイアログボックスで、[ファイルを無制限に拡張] をクリックし、[OK]をクリックします。 7 [OK]をクリックします。 ログデータの Syslog サーバーへのエクスポート データベースの領域を増やすには、管理サーバーでログデータを Syslog サーバーに送 信するように設定できます。 ログデータを Syslog サーバーにエクスポートする場合、ログを受信するように Syslog サーバーを設定する必要があります。 p.629 の 「ログデータのテキストファイルへのエクスポート」 を参照してください。 ログデータを Syslog サーバーにエクスポートするには 1 コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 ログデータのエクスポート元となるローカルサイトまたはリモートサイトをクリックしま す。 4 [外部ログ記録の設定]をクリックします。 5 [全般]タブの[更新頻度]リストボックスで、ログデータをファイルに送信する頻度を 選択します。 6 [マスターログ記録サーバー]リストボックスで、ログを送信する管理サーバーを選択 します。 SQL Server を使い、複数の管理サーバーをデータベースに接続する場合は、1 台 のサーバーのみをマスターログ記録サーバーとして指定します。 7 [Syslog サーバーへのログの送信を有効にする]にチェックマークを付けます。 8 次の情報が表示されます。 ■ Syslog サーバー ログデータを受信する Syslog サーバーの IP アドレスまたはドメイン名を入力し ます。 ■ 送信先ポート 使うプロトコルを選択し、Syslog サーバーが Syslog メッセージの応答準備に使 う送信先ポートを指定します。 ■ ログ機能 Syslog 設定ファイルで使うログ機能の数を入力するか、デフォルトを使います。 有効な値は 0 から 23 です。 第 29 章 データベースの管理 ログデータのテキストファイルへのエクスポート 9 [ログフィルタ]タブで、エクスポートするログにチェックマークを付けます。 10 [OK]をクリックします。 ログデータのテキストファイルへのエクスポート ログからテキストファイルにデータをエクスポートするとき、デフォルトではファイルはフォ ルダに配置されます。ファイルが配置されるフォルダパスは、ドライブ:¥Program Files¥ Symantec¥Symantec Endpoint Protection Manager¥data¥dump です。レコードが テキストファイルに転送されるまで、エントリは .tmp ファイルに配置されます。 Symantec Network Access Control がインストールされていない場合、一部のログは存 在しません。 メモ: エクスポートしたログデータを使ってデータベースを復元することはできません。 表 29-2 は、ログデータの種類とエクスポートされたログデータファイルの名前を対応させ て示しています。ログ名は、[監視]ページの[ログ]タブで使われているログ名と 1 対 1 で 対応するものではありません。 表 29-2 Symantec Endpoint Protection のログテキストファイル名 ログデータ テキストファイル名 サーバー管理 scm_admin.log アプリケーションとデバイス制御 agt_behavior.log サーバークライアント scm_agent_act.log サーバーポリシー scm_policy.log サーバーシステム scm_system.log クライアントパケット agt_packet.log クライアントプロアクティブ脅威 agt_proactive.log クライアントリスク agt_risk.log クライアントスキャン agt_scan.log クライアントセキュリティ agt_security.log クライアントシステム agt_system.log クライアントトラフィック agt_traffic.log 629 630 第 29 章 データベースの管理 ログデータのテキストファイルへのエクスポート 表 29-3 は、エンフォーサログに関して、ログデータの種類とエクスポートされたログデー タファイルの名前を対応させて示しています。 表 29-3 エンフォーサログのログテキストファイル名 ログデータ テキストファイル名 サーバーエンフォーサ活動 scm_enforcer_act.log エンフォーサクライアント活動 enf_client_act.log エンフォーサシステム enf_system.log エンフォーサトラフィック enf_traffic.log メモ: テキストファイルにエクスポートした場合、エクスポートされたレコードの数が外部ロ グ記録のダイアログボックスで設定した数と異なることがあります。この状況は管理サー バーを再起動したときに発生します。管理サーバーを再起動すると、ログエントリカウンタ はゼロにリセットされますが、すでにエントリが一時ログファイルに存在する場合がありま す。この場合、再起動後に生成された各種類の最初の *.log ファイルには、指定した値 よりも多くのエントリが含まれます。それ以降にエクスポートされたログファイルには、正し い数のエントリが含まれます。 ログデータをテキストファイルにエクスポートするには 1 コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 外部ログ記録を設定するローカルサイトまたはリモートサイトをクリックします。 4 [外部ログ記録の設定]をクリックします。 5 [全般]タブで、ログデータをファイルに送信する頻度を選択します。 6 [マスターログ記録サーバー]リストボックスで、ログを送信するサーバーを選択しま す。 複数の管理サーバーをデータベースに接続して Microsoft SQL を使う場合、1 台 のサーバーのみをマスターログ記録サーバーにする必要があります。 7 [ログをダンプファイルにエクスポート]にチェックマークを付けます。 8 必要に応じて、[ダンプファイルレコードを制限する]にチェックマークを付けて、一 度にテキストファイルに送信するエントリの数を入力します。 第 29 章 データベースの管理 ログデータのカンマ区切りテキストファイルへのエクスポート 9 [ログフィルタ]タブで、テキストファイルに送信するログのすべてを選択します。 ログの種類を選択したときに重大度を選択できる場合、エクスポートする重大度に チェックマークを付ける必要があります。 10 [OK]をクリックします。 ログデータのカンマ区切りテキストファイルへのエクス ポート ログのデータをカンマ区切りテキストファイルにエクスポートできます。 p.628 の 「ログデータの Syslog サーバーへのエクスポート」 を参照してください。 ログデータをカンマ区切りテキストファイルにエクスポートするには 1 コンソールで、[監視]をクリックします。 2 [ログ]タブで、エクスポートするログを選択します。 3 [ログの表示]をクリックします。 4 [エクスポート]をクリックします。 5 [ファイルのダウンロード]ダイアログボックスで、[保存]をクリックします。 6 ファイル名と場所を指定して、[保存]をクリックします。 7 [閉じる]をクリックします。 クライアントログサイズと管理サーバーにアップロードす るログの指定 企業ポリシーでは、データベースで保存するログイベントの時間と種類を増やす必要が ある場合があります。ログに保持されるエントリの数と、各エントリがクライアント上に維持 される日数を指定できます。 それぞれの種類のクライアントログをサーバーにアップロードするかどうかと、アップロー ドの最大サイズを設定できます。クライアントログをサーバーにアップロードしないと次の ような結果を招きます。 ■ [監視]ページの[ログ]タブを使って、Symantec Endpoint Protection Manager コ ンソールからクライアントログデータを表示できない ■ データベースをバックアップするときにクライアントログをバックアップできない ■ クライアントログデータをファイルや集中ログサーバーにエクスポートできない 631 632 第 29 章 データベースの管理 データベース内のログエントリの保存期間の指定 メモ: クライアントログ設定にはグループ固有のものやウイルス対策とスパイウェア対策ポ リシーで設定するものがあり、これらは場所に適用できます。すべてのリモートクライアン トログとオフィスのクライアントログ設定を変える必要がある場合、リモートクライアントを管 理するために、場所ではなく、グループを使う必要があります。 p.632 の 「データベース内のログエントリの保存期間の指定」 を参照してください。 クライアントログサイズと管理サーバーにアップロードするログを指定するには 1 コンソールで、[クライアント]をクリックし、グループを選択します。 2 [ポリシー]タブの[場所に依存しないポリシーと設定]で、[クライアントログの設定] をクリックします。 3 [<グループ名> のクライアントログの設定]ダイアログボックスで、最大ファイルサイズ と、ログエントリを維持する日数を設定します。 4 クライアントからサーバーに転送するすべてのログに対して[管理サーバーにアップ ロードする]にチェックマークを付けます。 5 セキュリティログとトラフィックログについては、ダンパー期間とダンパーアイドル期間 を設定します。 これらの設定により、ネットワーク脅威防止イベントの集計頻度が決まります。 6 [OK]をクリックします。 データベース内のログエントリの保存期間の指定 ハードディスク容量の制御のため、データベースで保存するログエントリ数を減らすことが できます。また、エントリが保持される日数も設定できます。 メモ: Symantec Endpoint Protection Manager コンソールの[監視]ページの[ログ]タ ブには、論理的なグループ単位でログ情報が表示されます。サイトのプロパティの[ログ の設定]タブは、[監視]ページの[ログ]タブのログの種類ではなく、ログの内容に対応し ます。 p.631 の 「クライアントログサイズと管理サーバーにアップロードするログの指定」 を参照し てください。 データベース内のログエントリの保存期間を指定するには 1 コンソールで、[管理]をクリックします。 2 [サーバー]で、[ローカルサイト]を展開してデータベースをクリックします。 3 [タスク]の下で、[データベースプロパティの編集]をクリックします。 第 29 章 データベースの管理 クライアントログデータの量の調整による領域の拡大について 4 [ログの設定]タブで、エントリの数と、それぞれの種類のログエントリを保持する日数 を設定します。 5 [OK]をクリックします。 クライアントログデータの量の調整による領域の拡大に ついて 大量のクライアントログデータをサーバーに頻繁にアップロードする設定では、サーバー 上で領域の問題が発生するおそれがあります。大量のクライアントログデータをアップロー ドする必要がある場合は、デフォルト値を調整して、これらの領域上の問題を避けること が必要になります。クライアントを配備するとき、サーバー上のログ格納ディレクトリの領域 を監視し、必要に応じてこれらの値を調整する必要があります。 ログが .dat ファイルに変換され、データベースに書き込まれるデフォルトディレクトリは、 <ドライブ >:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥ data¥inbox¥log です。 サーバー上で使用可能な領域をコントロールする値を調整するには、Windows レジスト リ内でこれらの値を変更する必要があります。変更が必要な Windows レジストリキーは、 サーバーの HKEY_LOCAL_MACHINE¥SOFTWARE¥Symantec¥Symantec Endpoint Protection¥SEPM にあります。 表 29-4 に、Windows レジストリキーとそのデフォルト値、説明を示します。 表 29-4 ログアップロード設定が含まれる Windows レジストリキー 値名 説明 MaxInboxSpace ログファイルがデータベースに格納される前に .dat ファイル に変換されるディレクトリに割り当てられた領域を指定します。 デフォルト値は 200 MB です。 MinDataFreeSpace このディレクトリ内で必要な空き領域の最低量を指定します。 このキーは、同じディレクトリを使う他のアプリケーションに対 して、パフォーマンスに悪影響をおよぼさずに動作するのに 十分な領域を保証するのに便利です。 デフォルト値は 0 です。 IntervalOfInboxSpaceChecking ログデータ用に使用可能な受信ボックス内の領域の量を確 認するときの管理サーバーの待ち時間を指定します。 デフォルト値は 30 秒です。 p.621 の 「データベースの保守」 を参照してください。 633 634 第 29 章 データベースの管理 データベースからのログデータの手動の消去 データベースからのログデータの手動の消去 この方法を定期的なデータベース保守の一部として使う場合は、データベースのバック アップ後に手動のログスイープを実行できます。 自動的なスイープの実行を許可する場合、データベースのバックアップを頻繁に行わな いと、一部のデータが失われる可能性があります。データベースのバックアップを実行し た後で手動ログスイープを定期的に実行すると、すべてのログデータが確実に保持され ます。この手順は、1 年など、比較的長い期間ログを保持する必要がある場合に非常に 便利です。ログは手動で消去できますが、この手順はオプションであり実行する必要はあ りません。 p.642 の 「データベースとログのバックアップ」 を参照してください。 p.632 の 「データベース内のログエントリの保存期間の指定」 を参照してください。 データベースからログデータを手動で消去するには 1 バックアップを行うまでデータベースの自動スイープを禁止するには、サイトのログサ イズを最大値に増やします。 2 必要に応じてバックアップを実行します。 3 マネージャがインストールされているコンピュータで、Web ブラウザを開き、次の URL を入力します。 https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action=SweepLogs このタスクを実行した後、すべての種類のログのログエントリが、代替データベース テーブルに格納されます。元のテーブルは、次のスイープを開始するまで保持され ます。 4 最新のエントリ以外のすべてのエントリを空にするには、再度スイープを実行します。 元のテーブルがクリアされ、エントリが再度そのテーブルに格納され始めます。 5 [サイトのプロパティ]ダイアログボックスの[ログの設定]タブの設定を目的の設定に 戻します。 30 フェールオーバーと負荷分 散の管理 この章では以下の項目について説明しています。 ■ フェールオーバーと負荷分散の設定 ■ フェールオーバーと負荷分散について ■ 管理サーバーリストの設定 ■ グループと場所への管理サーバーリストの割り当て フェールオーバーと負荷分散の設定 クライアントコンピュータは、セキュリティポリシーをダウンロードしたり、ログイベントを受信 したりするために、常に管理サーバーに接続可能である必要があります。 フェールオーバーは、管理サーバーが利用不能になったときに Symantec Endpoint Protection Manager との通信を維持するために使われます。クライアント管理を複数の 管理サーバー間で分散するには、負荷分散を使います。 フェールオーバーと負荷分散は Microsoft SQL Server データベースにのみ設定でき、 埋め込みデータベースには設定できません。 フェールオーバーと負荷分散を設定するには、複数の管理サーバーまたはエンフォーサ を管理サーバーリストに追加します。 表 30-1 に、フェールオーバーと負荷分散を設定するために実行する必要があるタスク の一覧を示します。 636 第 30 章 フェールオーバーと負荷分散の管理 フェールオーバーと負荷分散について 表 30-1 タスク フェールオーバーと負荷分散を設定するための処理 説明 フェールオーバーと負荷 フェールオーバーと負荷分散は、どのような場合に、いつ設定する必要 分散のしくみを理解しま があるかを理解してください。 す。 p.636 の 「フェールオーバーと負荷分散について」 を参照してください。 管理サーバーリストに管 デフォルトの管理サーバーリストを使うか、または管理サーバーを新しい 理サーバーを追加しま 管理サーバーリストに追加することができます。管理サーバーリストに す。 は、クライアントとエンフォーサが接続できる管理サーバーの IP アドレ スまたはホスト名が含まれています。 p.638 の 「管理サーバーリストの設定」 を参照してください。 グループにカスタム管理 カスタム管理サーバーリストを作成した後、グループに管理サーバーリ サーバーリストを割り当て ストを割り当てる必要があります。 ます。 p.639 の 「グループと場所への管理サーバーリストの割り当て」 を参照し てください。 管理サーバーでの通信 管理サーバーがオフラインになる場合や、クライアントと管理サーバー 問題を修正します。 が通信を行わない場合は、その問題を解決する必要があります。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシュー ティング」 を参照してください。 フェールオーバーと負荷分散について 1 つの Microsoft SQL Server データベースと通信する 2 つ以上の管理サーバーをイン ストールして、フェールオーバーまたは負荷分散用に設定することをお勧めします。埋め 込みデータベースにフェールオーバーまたは負荷分散を提供することはできません。 管理サーバーリストは、グループに割り当てられている管理サーバーの優先度順のリスト です。サイトに少なくとも 2 つの管理サーバーを追加して、それらの間の負荷を自動的に 分散することをお勧めします。インストールする管理サーバーの数は、個々の管理サー バーの障害からクライアントを保護するために必要な数より多くてもかまいません。カスタ ム管理サーバーリストでは、すべてのサーバーが特定の優先度レベルに割り当てられて います。ネットワークに接続するクライアントは、ランダムに接続するために優先度 1 の サーバーを選択します。最初に試みたサーバーが利用不能であり、リストにその他の優 先度 1 のサーバーがある場合は、ランダムに別のサーバーへの接続が試みられます。 優先度 1の サーバーが利用可能でない場合、クライアントはリストの優先度 2 のサーバー のいずれかへの接続を試みます。このようなクライアント接続をランダムに分散することに よって、管理サーバー間にクライアントの負荷が分散されます。 図 30-1 に、異なるサブネットのコンポーネントを示します。管理サーバーとデータベース サーバーは同じサブネット上にある場合もあります。サーバーを番号 1 と 2 で識別してお り、フェールオーバー構成であることを示しています。 第 30 章 フェールオーバーと負荷分散の管理 フェールオーバーと負荷分散について 図 30-1 フェールオーバー設定 クライアント 2 1 Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager Microsoft SQL Server フェールオーバー構成では、すべてのクライアントはサーバー 1 とトラフィックの送受信を 行います。サーバー 1 がオフラインになると、すべてのクライアントはサーバー 1 がオン ラインに復帰するまでサーバー 2 とトラフィックの送受信を行います。図のデータベース はリモートインストールになっていますが、Symantec Endpoint Protection Manager を 実行するコンピュータにインストールしてもかまいません。 ローカルサーバーを使う予定の場合は、コンテンツ更新のフェールオーバーも検討する ことができます。LiveUpdate を実行するすべてのコンポーネントは、更新元の優先度付 けされたリストも使えます。管理サーバーは、ローカル LiveUpdate サーバーを使い、他 の物理的な場所の LiveUpdate サーバーにフェールオーバーできます。 メモ: 社内 LiveUpdate サーバー、GUP(Group Update Provider)、サイトの複製を使っ ても、真の高可用性、フェールオーバー、ディザスタリカバリ、負荷分散機能は得られま せん。負荷分散を目的として複数のサイトを設定しないでください。 p.638 の 「管理サーバーリストの設定」 を参照してください。 p.159 の 「必要なサイトの数の決定」 を参照してください。 637 638 第 30 章 フェールオーバーと負荷分散の管理 管理サーバーリストの設定 フェールオーバークラスタと負荷分散のしくみについて詳しくは、ナレッジベースの 「Symantec Endpoint Protection の負荷分散とフェールオーバーに関して」を参照して ください。 管理サーバーリストの設定 デフォルトでは、管理サーバーにはフェールオーバーと負荷分散に対して設定されたと きと同じ優先度が割り当てられます。インストールの後にデフォルトプライオリティを変更 する場合は、Symantec Endpoint Protection Manager コンソールを使って行うことが できます。サイトが複数の管理サーバーを含んでいるときのみフェールオーバーと負荷 分散を設定できます。 負荷分散とローミングの両方を提供するには ■ DNS を有効にし、カスタム管理サーバーリストに唯一のエントリとしてドメイン名を入力 します。 ■ Symantec Endpoint Protection ネットワーク検出機能を有効にし、各場所のカスタ ム管理サーバーリストを使います。それぞれのサイトに対して少なくとも 1 つの場所を 作成します。 ■ フェールオーバーまたは負荷分散を備えたハードウェアデバイスを使います。これら のデバイスの多くは、ローミングのセットアップも用意しています。 p.636 の 「フェールオーバーと負荷分散について」 を参照してください。 管理サーバーリストを設定するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシーコンポーネント]を展開し、[管理サーバーリスト]をクリックします。 3 [タスク]で、[管理サーバーリストの追加]をクリックします。 4 [管理サーバーリスト]ダイアログボックスで、[追加]、[新しいサーバー]の順にクリッ クします。 5 [管理サーバーの追加]ダイアログボックスの[サーバーアドレス]フィールドに、管理 サーバーまたはエンフォーサの完全修飾ドメイン名または IP アドレスを入力します。 IP アドレスを入力する場合は、それが静的であることと、すべてのクライアントがそれ を解決できることを確認します。 6 [OK]をクリックします。 7 他のサーバーをすべて追加します。 8 別の管理サーバーとの負荷分散を設定する場合は、[追加]、[新しい優先度]の順 にクリックします。 9 負荷分散に対するサーバーの優先度を変更するには、サーバーを選択し、次のい ずれかのタスクを実行します。 第 30 章 フェールオーバーと負荷分散の管理 グループと場所への管理サーバーリストの割り当て ■ その特定のサーバーに最初にクライアントを接続するには、[上に移動]をクリッ クします。 ■ サーバーの優先度を低くするには、[下に移動]をクリックします。 10 [OK]をクリックします。 その後、グループに管理サーバーリストを適用する必要があります。 p.639 の 「グループと場所への管理サーバーリストの割り当て」 を参照してください。 グループと場所への管理サーバーリストの割り当て ポリシーを追加した後はそのポリシーをグループまたは場所(またはその両方)に割り当 てる必要があります。ある管理サーバーから別の管理サーバーにクライアントのグループ を移動するために管理サーバーリストを使うこともできます。 リストを割り当てる前に、管理サーバーリストの追加または編集を完了しておく必要があり ます。 p.638 の 「管理サーバーリストの設定」 を参照してください。 グループと場所に管理サーバーリストを割り当てるには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]ページで、[ポリシーコンポーネント]を展開し、[管理サーバーリスト]をク リックします。 3 [管理サーバーリスト]ペインで、割り当てる管理サーバーリストを選択します。 4 [タスク]で、[リストの割り当て]をクリックします。 5 [管理サーバーリストの適用]ダイアログボックスで、管理サーバーリストを適用する グループと場所にチェックマークを付けます。 6 [割り当て]をクリックします。 7 [はい]をクリックします。 [クライアント]ページでグループまたは場所に管理サーバーリストを割り当てるには 1 コンソールで、[クライアント]、[ポリシー]の順にクリックします。 2 [ポリシー]タブでグループを選択したら、[ポリシーと設定を親グループから継承す る]のチェックマークをはずします。 親のグループからポリシーと設定を継承していないグループ以外は、通信を設定す ることはできません。 3 [場所に依存しないポリシーと設定]で、[通信の設定]をクリックします。 639 640 第 30 章 フェールオーバーと負荷分散の管理 グループと場所への管理サーバーリストの割り当て 4 [<グループ名 > の通信設定]ダイアログボックスの[管理サーバーリスト]で、管理 サーバーリストを選択します。 選択したグループで管理サーバーと通信するときに、ここで選択する管理サーバー リストが使用されます。 5 [OK]をクリックします。 31 ディザスタリカバリの準備 この章では以下の項目について説明しています。 ■ ディザスタリカバリの準備 ■ データベースとログのバックアップ ディザスタリカバリの準備 ハードウェア障害やデータベースの破損が発生した場合は、Symantec Endpoint Protection Manager のインストール中に収集された情報をバックアップして、ディザスタ リカバリの準備を行う必要があります。これらのファイルは後で別のコンピュータにコピー します。 表 31-1 ディザスタリカバリに備えるための高レベルの手順 手順 操作 説明 手順 1 データベースのバックアップ 定期的に(できれば週 1 回)データベースをバックアップします。 データベースバックアップフォルダは、<ドライブ >:¥¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥data¥backup に保存されます。 バックアップファイルの名前は、<日付 >_<タイムスタンプ >.zip になります。 p.642 の 「データベースとログのバックアップ」 を参照してくださ い。 642 第 31 章 ディザスタリカバリの準備 データベースとログのバックアップ 手順 操作 説明 手順 2 ディザスタリカバリファイルのバックアップ リカバリファイルには、暗号化パスワード、キーストアファイルのド メイン ID、証明書ファイル、ライセンスファイル、ポート番号が含 まれています。 管理サーバーをインストールした後に、圧縮されたリカバリファイ ルを別のコンピュータにコピーします。このファイルは、デフォル トでは次のディレクトリにあります。 <ドライブ >:¥¥Program Files¥Symantec¥ Symantec Endpoint Protection Manager¥Server Private Key Backup¥recovery_<タイムスタンプ >.zip リカバリファイルはデフォルトのドメイン ID のみを格納してい ます。複数のドメインがある場合、その情報はリカバリファイル に格納されていません。ディザスタリカバリを実行する必要が ある場合は、その他のドメインを再度追加する必要がありま す。 p.572 の 「ドメインの追加」 を参照してください。 ■ 自己署名証明書を異なる種類の証明書に更新した場合、管 理サーバーは新しいリカバリファイルを作成します。リカバリ ファイルにはタイムスタンプがあるため、どれが最新のファイ ルであるかがわかります。 p.604 の 「サーバー証明書の更新」 を参照してください。 ■ 手順 3 管理サーバーの IP アドレスとホスト名のテキスト 壊滅的なハードウェア障害が発生した場合は、元の管理サー ファイルへの保存(省略可能) バーの IP アドレスとホスト名を使って管理サーバーを再インス トールする必要があります。 IP アドレスとホスト名を Backup.txt という名前のテキストファイ ルに追加します。 手順 4 前の手順でバックアップしたファイルの別のコン バックアップしたファイルを安全な場所のコンピュータにコピーし ピュータへのコピー ます。 p.945 の 「ディザスタリカバリの実行」 を参照してください。 p.110 の 「ライセンスファイルのバックアップ」 を参照してください。 ナレッジベースの「Best Practices for Disaster Recovery with the Symantec Endpoint Protection Manager」を参照してください。 データベースとログのバックアップ データベースを少なくとも週単位でバックアップすることをお勧めします。バックアップファ イルは、別のコンピュータに格納してください。 第 31 章 ディザスタリカバリの準備 データベースとログのバックアップ デフォルトでは、バックアップファイルは次のフォルダに保存されています。 ドライ ブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥data¥backup。 バックアップは .zip ファイルで保存されています。デフォルトでは、バックアップデータ ベースファイルの名前は、バックアップを実行した日付が含まれる date_timestamp.zip です。 メモ: 製品のインストールディレクトリにバックアップファイルを保存することは避けてくださ い。そうしないと、バックアップファイルは製品がアンインストールされるときに削除されま す。 Symantec Endpoint Protection Manager でバックアップの設定を行わないかぎりログ データはバックアップされません。ログをバックアップしないと、ログ設定オプションのみが バックアップ中に保存されます。バックアップを使ってデータベースを復元できますが、 データベース内のログは復元時に空のデータになります。 サイトのバックアップは 10 バージョンまで保持できます。複数のバージョンを保持する場 合には、すべてのデータを保持するのに十分なディスク容量を確保する必要があります。 データベースバックアップが完了するまで数分かかる場合があります。バックアップ中に もバックアップ後にもシステムログとバックアップフォルダの状態を確認できます。 データベースをすぐにバックアップしたり、自動的に実行されるようにバックアップをスケ ジュール設定したりできます。Symantec Endpoint Protection Manager データベース として設定された埋め込みデータベースまたは Microsoft SQL Server データベースを バックアップできます。 p.625 の 「データベースの自動バックアップのスケジュール設定」 を参照してください。 p.641 の 「ディザスタリカバリの準備」 を参照してください。 データベースとログのバックアップを作成するには 1 Symantec Endpoint Protection Manager を実行しているコンピュータで、[スター ト]メニューから、[すべてのプログラム]、[Symantec Endpoint Protection Manager]、[Symantec Endpoint Protection Manager Tools]、[データベース のバックアップと復元]の順にクリックします。 2 [データベースのバックアップと復元]ダイアログボックスで、[バックアップ]をクリック します。 3 [データベースのバックアップ]ダイアログボックスで、省略可能なオプションとして、 [バックアップログ]にチェックマークを付け、[はい]をクリックします。 4 [OK]をクリックします。 5 データベースバックアップが完了したら、[終了]をクリックします。 6 バックアップデータベースファイルを別のコンピュータにコピーします。 643 644 第 31 章 ディザスタリカバリの準備 データベースとログのバックアップ データベースとログのバックアップをコンソール内から作成するには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、データベースを表すアイコンをクリックします。 3 [タスク]で、[今すぐにデータベースのバックアップを作成]をクリックします。 4 [データベースのバックアップ]ダイアログボックスで、省略可能なオプションとして、 [バックアップログ]にチェックマークを付け、[はい]をクリックします。 5 [OK]をクリックします。 6 [閉じる]をクリックします。 4 Symantec Network Access Control によるネットワークコ ンプライアンスの管理 ■ 第32章 Symantec Network Access Control の概要 ■ 第33章 Symantec Network Access Control の使用 ■ 第34章 ホストインテグリティの設定 ■ 第35章 カスタム必要条件の追加 ■ 第36章 Symantec Network Access Control エンフォーサアプライアンスの概要 ■ 第37章 すべての種類のエンフォーサアプライアンスのインストール ■ 第38章 すべての種類のエンフォーサアプライアンスイメージのアップグレードと再イ メージ処理 ■ 第39章 すべての種類のエンフォーサアプライアンスのコンソールでの基本的なタス クの実行 ■ 第40章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ■ 第41章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 646 ■ 第42章 LAN エンフォーサアプライアンスのインストール計画 ■ 第43章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライ アンスの設定 ■ 第44章 Symantec Endpoint Protection Manager でのエンフォーサの管理 ■ 第45章 Symantec Integrated Enforcer の概要 ■ 第46章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール ■ 第47章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 ■ 第48章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー 用 Symantec Network Access Control Integrated Enforcer の設定 ■ 第49章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール ■ 第50章 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 ■ 第51章 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 ■ 第52章 Symantec Network Access Control On-Demand Clientのための一時接 続の設定 32 Symantec Network Access Control の概要 この章では以下の項目について説明しています。 ■ Symantec Network Access Control について ■ Symantec Network Access Control でのエンフォースメントの種類について ■ Symantec Network Access Control の動作方法 ■ セルフエンフォースメントのしくみ ■ Symantec Network Access Control エンフォーサアプライアンスがホストインテグリ ティポリシーと連携する方法 ■ ゲートウェイエンフォーサアプライアンスの動作 ■ LAN エンフォーサアプライアンスの動作 ■ Microsoft DHCP サーバー用 Integrated Enforcer の動作 ■ Microsoft Network Access Protection 用 Integrated Enforcer が Microsoft Network Policy Server(NPS)と連携する方法 ■ オンデマンドクライアントの動作 Symantec Network Access Control について Symantec Network Access Control は、コンピュータがネットワークにアクセスできるよ うになる前に会社のクライアントコンピュータが会社のセキュリティポリシーに確実に準拠 するようにします。 エンフォースメント制御が設定されていないとき、組織では故意または過失によるデータ 消失が起こりやすくなります。データの回復はダウンタイムの発生や生産性の低下に伴う 648 第 32 章 Symantec Network Access Control の概要 Symantec Network Access Control でのエンフォースメントの種類について 財務上の損失を招くことがあります。このような損失を防ぐために、Symantec Network Access Control はサイトとリモートからの会社のネットワークリソースへのアクセスを制御 します。Symantec Network Access Control は完全なエンドツーエンドのネットワークア クセス制御ソリューションを提供します。 Symantec Network Access Control はホストインテグリティポリシーと省略可能な Symantec Enforcer を使ってどのコンピュータが準拠しているかを検出して評価します。 準拠していないクライアントは修復サーバーに送信されます。修復サーバーはクライアン トコンピュータを準拠させるために必要なソフトウェア、パッチ、ウイルス定義の更新などを ダウンロードします。Symantec Network Access Control はコンプライアンス状態のエ ンドポイントの変更も継続的に監視します。 Symantec Network Access Control は Symantec Endpoint Protection の連携製品 です。両方の製品は Symantec Endpoint Protection クライアントと Symantec Endpoint Protection クライアントをインストールして管理するためのインフラを提供する Symantec Endpoint Protection Manager を含んでいます。 p.33 の 「Symantec Endpoint Protection について」 を参照してください。 p.648 の 「Symantec Network Access Control でのエンフォースメントの種類について」 を参照してください。 p.651 の 「セルフエンフォースメントのしくみ」 を参照してください。 Symantec Network Access Control でのエンフォースメ ントの種類について Symantec Network Access Control はネットワークへのアクセスを制御するための異な る方法のエンフォースメントを提供します。 表 32-1 は、ホスト型エンフォースメントとネットワーク型エンフォースメントの違いについて の説明です。 第 32 章 Symantec Network Access Control の概要 Symantec Network Access Control の動作方法 表 32-1 エンフォースメントの種類 エンフォースメントの 種類 説明 ホスト型セルフエンフォー クライアントコンピュータがコンプライアンスエラーの自動修復に必要な スメント ソフトウェアを取得して実行できます。修復されたクライアントコンピュー タは安全にネットワークにアクセスできます。ホスト型エンフォースメント では、Symantec デスクトップファイアウォールを使って、アクセスを許 可または遮断します。ファイアウォールは、Symantec Endpoint Protection 製品に組み込まれています。 ホスト型エンフォースメントには次の方法が含まれます。 セルフエンフォースメントは Symantec デスクトップファイアウォール を使ってネットワークアクセスを規制するもので、最も簡単で迅速な エンフォースメント配備オプションを提供します。組織に Symantec Endpoint Protection 製品がすでに配備されている場合は、セル フエンフォースメントを簡単に実装できます。 ■ ピアツーピアエンフォースメントは、クライアント間の通信が社内のコ ンピュータと社外の準拠コンピュータ間のみで確実に行われるよう にします。準拠コンピュータは、企業の最新のセキュリティポリシー を採用しています。 ■ p.683 の 「ホストインテグリティ修復について」 を参照してください。 ネットワーク型エンフォー Symantec Enforcer アプライアンスと統合ソフトウェアエンフォーサを スメント 使って、ネットワークアクセスを制御できます。ネットワーク型エンフォー スメントは、ホストインテグリティポリシーの必要条件を満たすクライアント へのネットワークアクセスを認証して許可します。ネットワーク型エンフォー スメントはポリシーが最新であるかどうかもチェックします。 さらに、ゲートウェイエンフォーサアプライアンスが配備に含まれている 場合は、準拠したソフトウェアを持たないゲストにネットワークへのアクセ スを一時的に許可できます。これらのエンフォーサはゲストのコンピュー タにオンデマンドクライアントをインストールし、ゲストがログオフしたとき にオンデマンドクライアントを破棄することによってゲストアクセスを有効 にします。Windows と Mac の両方のクライアントと連携します。 エン フォーサアプライアンスが必要です。 p.649 の 「Symantec Network Access Control の動作方法」 を参照してください。 p.666 の 「Symantec Network Access Control の配備」 を参照してください。 Symantec Network Access Control の動作方法 Symantec Network Access Control は次の手順を実行して、エンドポイントコンプライ アンスを実行します。 649 650 第 32 章 Symantec Network Access Control の概要 Symantec Network Access Control の動作方法 表 32-2 クライアントコンピュータのコンプライアンスを検査および修復するた めに Symantec Network Access Control で行われる処理 手順 処理 説明 1 ネットワークへのアクセス エンドポイントがネットワークに接続します。エンフォーサはエン 試行をすべて検出しま ドポイントの設定を特定します。 す。 2 ポリシーに対する設定の ネットワークアクセスするすべてのクライアントコンピュータがセ コンプライアンスが検査 キュリティポリシーの必要条件を満たしていることを確認します。 されます。 3 ポリシー検査の結果に基 必要条件を満たさないクライアントコンピュータについては、エ づいて操作を実行しま ンフォーサが以下を実行します。 す。 ■ 必要なソフトウェアをダウンロード、インストール、実行して修 復します。 ■ 制限付きのアクセスを許可します。 ■ 4 エンドポイントを監視し て、進行中のコンプライ アンスを確認します。 完全なアクセスを許可してすべてのネットワークアクセス試 行をログに記録します。 エンフォーサ、システムトラフィック、コンプライアンスの状態を監 視して報告します。 図 32-1 に、Symantec Endpoint Protection Manager が管理下クライアントコンピュー タにセキュリティポリシーをどのようにエンフォースするかを示します。 第 32 章 Symantec Network Access Control の概要 セルフエンフォースメントのしくみ 図 32-1 Symantec Network Access Control のアーキテクチャ p.651 の 「セルフエンフォースメントのしくみ」 を参照してください。 p.655 の 「ゲートウェイエンフォーサアプライアンスの動作」 を参照してください。 p.656 の 「LAN エンフォーサアプライアンスの動作」 を参照してください。 p.658 の 「Microsoft DHCP サーバー用 Integrated Enforcer の動作」 を参照してくださ い。 p.660 の 「Microsoft Network Access Protection 用 Integrated Enforcer が Microsoft Network Policy Server(NPS)と連携する方法」 を参照してください。 p.660 の 「オンデマンドクライアントの動作」 を参照してください。 セルフエンフォースメントのしくみ ホストインテグリティ検査時に、クライアントはホストインテグリティポリシー内に設定された 必要条件に従います。アクティブなアプリケーション、ファイルの日付とサイズ、その他の パラメータが検査されます。これらがホストインテグリティポリシーの必要条件を満たす場 合、クライアントはネットワークにアクセスできます。必要条件を満たさない場合、クライア ントは失敗したすべての必要条件の詳細なメッセージエントリをセキュリティログに自動的 に生成します。クライアントは次に、ホストインテグリティポリシーで設計した修復手順に従 います。クライアントがホストインテグリティ検査に失敗した場合でもネットワークにアクセス できるポリシーを設定することもできますが、クライアントがセキュリティポリシーに準拠す るようにする修復手順を設定する方がより一般的です。 651 652 第 32 章 Symantec Network Access Control の概要 セルフエンフォースメントのしくみ クライアントコンピュータが必要条件を満たすことができない場合、サイレントに修復サー バーに接続するようにクライアントを設定できます。必要なソフトウェアを修復サーバーか らダウンロードしてインストールします。ソフトウェアにはソフトウェアパッチ、修正版、ウイ ルス定義の更新などが含まれます。ユーザーは、すぐにダウンロードするかダウンロード を延期するかを選択できます。ソフトウェアがインストールされるまでコンピュータが社内 ネットワークに接続できないポリシーを設定できます。 p.670 の 「ホストインテグリティポリシーでできること」 を参照してください。 クライアントが新しいセキュリティポリシーを受け取るたびに、すぐに別のホストインテグリ ティ検査が実行されます。 事前定義またはカスタマイズされた最新のホストインテグリティポリシーを Symantec Endpoint Protection Manager から自動的にダウンロードしてインストールするようにク ライアントを設定できます。クライアントがコンソールに接続できない場合、Windows また は Mac のオンデマンドクライアントは最初にダウンロードされたときにエンフォーサアプラ イアンスからホストインテグリティポリシーを取得します。その後で Symantec Endpoint Protection Manager からホストインテグリティポリシーを取得します。 ホストインテグリティエンフォースメントの必要条件を設定する場合には、次の例について 考慮できます。 ■ クライアントが最新のウイルス対策ソフトウェアを実行する ■ クライアントがエンフォーサを通じてネットワークに接続しようとした場合にのみホストイ ンテグリティ検査を実行する ■ 検査によりクライアント上で処理がサイレントに起動されるようにする また、これらのポリシーは、エンフォーサを使って強制することもできます。エンフォーサ には、ソフトウェアアプリケーションを使う場合と、クライアントをネットワークに接続するた めの処理を行うハードウェアアプライアンス(オプション)を使う場合があります。次の例の ほとんどではエンフォーサを使っています。 次の処理を自動的に実行するようにエンフォーサを設定できます。 ■ クライアントがユーザーのコンピュータにインストールされていることを確認する ■ 更新されたセキュリティポリシーがあればそれを取り込むようにクライアントに指示する ■ ホストインテグリティ検査を実行するようにクライアントに指示する クライアントはまず最新のウイルス対策ソフトウェアがインストール済みで実行中であるこ とを確認します。インストールはされているものの動作していない場合は、サイレントにウ イルス対策アプリケーションが起動されます。ウイルス対策ソフトウェアがインストールされ ていない場合にはホストインテグリティ必要条件で指定した URL からソフトウェアをダウン ロードします。その後でクライアントはソフトウェアをインストールして開始します。 次に、クライアントはウイルス対策シグネチャファイルが最新であることを確認します。ウイ ルス対策ファイルが最新でない場合は、クライアントは更新されたウイルス対策ファイルを サイレントに取り込んでインストールします。 第 32 章 Symantec Network Access Control の概要 Symantec Network Access Control エンフォーサアプライアンスがホストインテグリティポリシーと連携する方法 クライアントがホストインテグリティ検査を再度実行すると成功します。エンフォーサは結果 を受け取り、社内ネットワークへのクライアントアクセスを許可します。この例では、次の必 要条件を満たす必要があります。 ■ ホストインテグリティの更新で使うファイルサーバーに、最新のファイルがインストール されている必要があります。 クライアントは更新されたアプリケーションをファイルサーバーから取得します。社内 ネットワークに接続する修復サーバーを 1 台以上設定できます。ユーザーは必要な アプリケーションの必要なパッチや修正版を、この修復サーバーからコピーまたは自 動的にダウンロードできます。 修復サーバーが失敗すると、ホストインテグリティの修復も失敗します。クライアントが エンフォーサを通じて接続を試みた場合、ホストインテグリティに失敗すると、エンフォー サはクライアントを遮断します。クライアントが Symantec Endpoint Protection Manager に接続されている場合、検査に失敗した場合でもホストインテグリティ検査 に合格するようにコンソールを設定できます。この場合、エンフォーサはクライアントを 遮断できます。失敗したホストインテグリティ検査に関する情報は、クライアントのセ キュリティログに記録されます。 ■ 管理サーバーは、セキュリティポリシーの更新が、クライアントが動作するすべてのコ ンピュータに自動的に送信されるように設定する必要があります。 エンフォーサがクライアントを遮断した場合、クライアントは回復を試みます。ホストインテ グリティポリシーはネットワークへの接続をクライアントに許可する前にファイルを更新する ように設定されます。ユーザーはその後で更新を行う必要があることを通知されます。更 新を開始すると更新の進行インジケータが表示されます。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 Symantec Network Access Control エンフォーサアプラ イアンスがホストインテグリティポリシーと連携する方法 すべてのエンフォーサアプライアンスが Symantec Network Access Control または Symantec Endpoint Protection クライアントにクライアントコンピュータで検査させるセ キュリティポリシーは、ホストインテグリティポリシーと呼ばれます。ホストインテグリティポリ シーは Symantec Endpoint Protection Manager のコンソールで作成および管理しま す。 ホストインテグリティポリシーは、クライアント上での実行が必要なソフトウェアを指定しま す。たとえば、クライアントコンピュータ上にある次のセキュリティソフトウェアが一定の必要 条件を満たしている必要があるように指定できます。 ■ ウイルス対策ソフトウェア ■ スパイウェア対策ソフトウェア ■ ファイアウォールソフトウェア 653 654 第 32 章 Symantec Network Access Control の概要 Symantec Network Access Control エンフォーサアプライアンスがホストインテグリティポリシーと連携する方法 ■ パッチ ■ Service Pack クライアントはネットワークへの接続を試みるとき、ホストインテグリティ検査を実行します。 次に、その結果をエンフォーサアプライアンスに送信します。クライアントが様々なタイミン グでホストインテグリティ検査を実行するように設定できます。 通常エンフォーサアプライアンスは、クライアントに対してネットワークアクセスを認可する 前に、クライアントがホストインテグリティ検査に合格したことを検証するように設定されて います。クライアントがホストインテグリティ検査に合格している場合は、クライアントは会 社のホストインテグリティポリシーに準拠しています。ただし、エンフォーサアプライアンス の種類ごとにネットワークアクセスの基準の定義は異なっています。 p.655 の 「ゲートウェイエンフォーサアプライアンスの動作」 を参照してください。 p.656 の 「LAN エンフォーサアプライアンスの動作」 を参照してください。 エンフォーサアプライアンスと Symantec Endpoint Protection Manager との通信 エンフォーサアプライアンスは Symantec Endpoint Protection Manager との接続状 態を維持します。エンフォーサアプライアンスは一定の間隔(ハートビート)で、エンフォー サアプライアンスの動作を制御する管理サーバーから設定を取得します。管理サーバー でエンフォーサアプライアンスに影響する変更を行うと、エンフォーサアプライアンスは次 のハートビートの間に更新を受信します。エンフォーサアプライアンスは管理サーバーに 状態情報を伝送します。エンフォーサは、管理サーバーに転送するイベントをログに記 録することができます。次に情報は、管理サーバーのログに表示されます。 Symantec Endpoint Protection Manager は複製されたデータベース情報とともに管 理サーバーのリストを保守します。接続されているエンフォーサと管理下クライアント、お よびゲストクライアントに、管理サーバーリストをダウンロードします。エンフォーサアプライ アンスが 1 つの管理サーバーとの通信を消失した場合、管理サーバーリストに含まれる 別の管理サーバーに接続できます。エンフォーサアプライアンスが再起動した場合、管 理サーバーリストを使って管理サーバーへの接続を再確立できます。 クライアントがエンフォーサアプライアンスを介してネットワークへの接続を試みるとき、エ ンフォーサアプライアンスはクライアントの GUID(Globally Unique Identifier)を認証し ます。エンフォーサアプライアンスは GUID を管理サーバーに送信し、受け入れ応答か 拒否応答を受信します。 エンフォーサアプライアンスが GUID を認証するように設定されている場合、エンフォー サアプライアンスは管理サーバーから情報を取得できます。次にエンフォーサアプライア ンスは、クライアントプロファイルが最新のセキュリティポリシーで更新されているかどうか を判断できます。クライアントの情報が管理サーバーで変更された場合、管理サーバー はこの情報をエンフォーサアプライアンスに送信します。エンフォーサアプライアンスはク ライアントのホスト認証を再度実行します。 第 32 章 Symantec Network Access Control の概要 ゲートウェイエンフォーサアプライアンスの動作 p.744 の 「Symantec Endpoint Protection Manager でのゲートウェイエンフォーサアプ ライアンス設定の変更」 を参照してください。 p.790 の 「Symantec Endpoint Protection Manager での LAN エンフォーサ設定の変 更」 を参照してください。 エンフォーサアプライアンスとクライアントとの通信 エンフォーサアプライアンスとクライアントとの通信は、クライアントがネットワークとの接続 を試みたときに開始されます。エンフォーサアプライアンスは、クライアントが実行されて いるかどうかを検証します。クライアントが実行されている場合、エンフォーサはクライアン トの認証プロセスを開始します。これに応答してクライアントはホストインテグリティ検査を 実行し、クライアントプロファイル情報とともに結果をエンフォーサに送信します。 またクライアントは自身の GUID(Globally Unique Identifier)も送信します。エンフォー サはこの GUID をマネージャに渡し、認証が行われます。エンフォーサアプライアンスは プロファイル情報を使って、クライアントが最新のセキュリティポリシーに更新されているこ とを検証します。更新されていない場合、エンフォーサアプライアンスはクライアントにプ ロファイルを更新するように通知します。 ゲートウェイエンフォーサアプライアンスは、クライアントに接続を許可した後で、事前定 義済みの一定の間隔でクライアントと通信し続けます。エンフォーサアプライアンスはこの 通信中、クライアントの認証をし続けることができます。LAN エンフォーサアプライアンス では、802.1x スイッチがこの定期的な認証を処理します。たとえば、再認証が行われると き 802.1 スイッチは新しい認証セッションを開始します。 エンフォーサアプライアンスは常に動作している必要があります。動作していないと、企 業ネットワークに接続しようとするクライアントが遮断される場合があります。 p.671 の 「ホストインテグリティポリシーの作成とテスト」 を参照してください。 ゲートウェイエンフォーサアプライアンスの動作 ゲートウェイエンフォーサアプライアンスは一方向の検査を実行します。ゲートウェイエン フォーサは、ゲートウェイエンフォーサアプライアンスの外部 NIC を介して組織のネット ワークに接続することを試みるクライアントを調べます。 ゲートウェイエンフォーサアプライアンスはクライアントコンピュータを調べて、それらがネッ トワークにアクセスできるかどうかを判断するために次の処理を使います。 ■ ゲートウェイエンフォーサアプライアンスはクライアント情報を確認し、クライアントがホ ストインテグリティ検査に合格していることを検証します。 p.653 の 「Symantec Network Access Control エンフォーサアプライアンスがホスト インテグリティポリシーと連携する方法」 を参照してください。 ■ クライアントがアクセスの必要条件を満たしている場合、ゲートウェイエンフォーサアプ ライアンスはそのクライアントをネットワークに接続します。 655 656 第 32 章 Symantec Network Access Control の概要 LAN エンフォーサアプライアンスの動作 ■ クライアントがアクセスのための必要条件を満たさない場合、次の処理を実行するよう にゲートウェイエンフォーサアプライアンスを設定できます。 ■ 特定のイベントの監視とログ記録 ■ ホストインテグリティ検査が失敗した場合のユーザーの遮断 ■ クライアントへのポップアップメッセージの表示 ■ クライアントが修復のためにネットワークリソースを使用することを可能にするため の、ネットワークへの限定的アクセスの提供 アクセスを限定するには、修復情報を使って Web サーバーにクライアントの HTTP 要求をリダイレクトします。たとえば、この Web サーバーには修復ソフトウェアの入 手場所の指示を含めることができます。または、Symantec Network Access Control クライアントソフトウェアのダウンロードをクライアントに許可できます。 ホストインテグリティ検査に失敗した場合でも、ネットワークへのアクセスをクライア ントに許可します。 ゲートウェイエンフォーサアプライアンスには次の省略可能な設定機能があります。 ■ ■ 信頼できる IP アドレスが設定されているクライアントコンピュータにネットワークへ の即時アクセスを許可します。 確認するクライアント IP アドレスと信頼する IP アドレスを設定できます。信頼でき る IP アドレスが設定されているクライアントは追加認証なしでアクセスが認可され ます。 Windows を実行していないコンピュータにネットワークへのアクセスを許可しま す。 この場合、ゲートウェイエンフォーサアプライアンスはルーターの代わりにブリッジ として機能します。クライアントが認証されるとすぐに、ゲートウェイエンフォーサア プライアンスはネットワークへのアクセスをクライアントに許可するためのパケットを 転送します。 p.707 の About the LAN Enforcer appliance installation を参照してください。 p.663 の 「Symantec Enforcer アプライアンスでできること」 を参照してください。 p.709 の 「エンフォーサアプライアンスのインストールについて」 を参照してください。 ■ LAN エンフォーサアプライアンスの動作 LAN エンフォーサアプライアンスでは、ホストインテグリティ検査を実行するクライアントと 共に 802.1x EAP(Extensible Authentication Protocol)認証のオプションを使用でき ます。 第 32 章 Symantec Network Access Control の概要 LAN エンフォーサアプライアンスの動作 メモ: EAP について詳しくは、http://www.ietf.org/rfc/rfc2284.txt で IETF の RFC 2284 を参照してください。IEEE 標準 802.1x についてさらに詳しくは、 http://www.ieee802.org/1/files/public/MIBs/802-1x-2001-mib.txt で標準のテキス トを参照してください。 LAN エンフォーサは、次のいずれかのモードで配備できます: ■ 透過モード: クライアントがホストインテグリティのセキュリティポリシーに準拠している かどうかを調べますが、ユーザー名とパスワードは調べません。透過モードでは RADIUS サーバーは使いませんが、802.1x 対応スイッチが必要です。 ■ 完全な 802.1x モード: ホスト認証のためのクライアントチェックに加えて、ユーザーの クレデンシャル(ユーザー名とパスワード)を認証します。準拠していないクライアント は、組織がクライアントセキュリティの修復のために設定したゲスト VLAN にルーティ ングされます。完全な 802.1x 認証では、RADIUS サーバー、802.1x 対応スイッチま たは無線アクセスポイント、サプリカント (クライアント) ソフトウェアが必要です。 透過モードの LAN エンフォーサアプライアンスは、クライアントコンピュータのネットワー クアクセス要求を次の方法で処理します。 ■ クライアントコンピュータが接続し、ログオン、ホスト認証のコンプライアンス、ポリシー データを EAP で送信します。 ■ スイッチまたは無線アクセスポイントが LAN エンフォーサアプライアンスにクライアン トコンピュータのデータを転送します。 ■ クライアントがホストインテグリティ検査に成功したかどうかを、LAN エンフォーサアプ ライアンスが検証します。 p.653 の 「Symantec Network Access Control エンフォーサアプライアンスがホスト インテグリティポリシーと連携する方法」 を参照してください。 ■ クライアントがホストインテグリティ検査に成功した場合、エンフォーサはスイッチの一 部を開放し、ネットワークへのフルアクセスを許可します。 ■ クライアントがホストインテグリティ検査に失敗した場合、エンフォーサは修復リソース にアクセスできる検疫 VLAN にクライアントを割り当てます。 完全な 802.1x モードの LAN エンフォーサアプライアンスは、クライアントコンピュータの ネットワークアクセス要求を次のように処理します。 ■ クライアントコンピュータが接続し、ログオン、ホスト認証のコンプライアンス、ポリシー データを EAP で送信します。 ■ クライアントコンピュータのサプリカントがユーザーにユーザー名とパスワードを要求し ます。 ■ スイッチが LAN エンフォーサにユーザー名とパスワードを転送します。 ■ LAN エンフォーサが RADIUS サーバーにユーザー名とパスワードを転送します。 ■ RADIUS サーバーが EAP チャレンジ(ユーザー名とパスワード)を生成します。 657 658 第 32 章 Symantec Network Access Control の概要 Microsoft DHCP サーバー用 Integrated Enforcer の動作 ■ LAN エンフォーサが EAP チャレンジを受信し、ホストインテグリティ検査を追加しま す。 ■ クライアントがホストインテグリティ検査に成功したかどうかを、LAN エンフォーサが検 証します。 ■ LAN エンフォーサがホストインテグリティの結果を調べ、RADIUS サーバーに転送し ます。 ■ RADIUS サーバーが EAP の認証を実行し、LAN エンフォーサに結果を送信します。 ■ LAN エンフォーサが認証の結果を受信し、その結果と実行する処理をスイッチに転 送します。 ■ クライアントが EAP とホストインテグリティのチャレンジに成功した場合、スイッチはネッ トワークアクセスを許可します。 ■ クライアントがチャレンジに失敗した場合、スイッチは修復リソースにアクセスできる代 替 VLAN にクライアントをルーティングします。 LAN エンフォーサアプライアンスには次の省略可能な設定機能があります。次の操作を 実行できます。 ■ スイッチまたは無線アクセスポイントを使って修復 VLAN にクライアントをダイレクトす る(推奨)。 ■ EAP 認証とホストインテグリティ検査のどちらを使っているかに応じて異なるエラーレ スポンスを返すように設定する。 ■ 複数の LAN エンフォーサアプライアンスを 1 つのスイッチに接続して LAN エンフォー サのフェールオーバーを実現する。 ■ 複数の RADIUS サーバーを構成して RADIUS サーバーのフェールオーバーを実 現する。 p.663 の 「Symantec Enforcer アプライアンスでできること」 を参照してください。 Microsoft DHCP サーバー用 Integrated Enforcer の動 作 Microsoft DHCP サーバー用 Integrated Enforcer は、DHCP サーバーによって管理 される DHCP クライアントについて、Symantec Endpoint Protection または Symantec Network Access Control クライアントのインストールをチェックします。それから Symantec Endpoint Protection Manager で設定されるようにそれらのクライアントのポリシーを実 施します。 また Microsoft DHCP サーバー用 Integrated Enforcer は、次の項目についてクライア ントを認証します。 ■ エージェントの存在 第 32 章 Symantec Network Access Control の概要 Microsoft DHCP サーバー用 Integrated Enforcer の動作 ■ GUID(Globally Unique Identifier) ■ ホストインテグリティのコンプライアンス ■ 設定ポリシーごとのプロファイルバージョン Microsoft DHCP サーバー用 Integrated Enforcer は、Microsoft DHCP サーバーと 対話するソフトウェアコンポーネントです。両方とも同じコンピュータにインストールする必 要がありますが、Microsoft DHCP サーバー用 Integrated Enforcer は DHCP サーバー に依存しません。Microsoft DHCP サーバー用 Integrated Enforcer を DHCP サーバー と同じコンピュータに配置すると、Microsoft DHCP サーバー用 Integrated Enforcer に 追加のハードウェアが必要なくなります。 メモ: DHCP サーバーを停止しても、Microsoft DHCP サーバー用 Integrated Enforcer は停止しません。また、Microsoft DHCP サーバー用 Integrated Enforcer を停止して も、DHCP サーバーは停止しません。 セキュリティポリシーを設定するには、Symantec Endpoint Protection Manager を使 います。ただし、セキュリティポリシーは Microsoft DHCP サーバー用 Integrated Enforcer により適用されます。 Microsoft DHCP サーバー用 Integrated Enforcer は、次の基準に関して応答を確認 することによりクライアントコンピュータを認証します。 ■ Symantec Endpoint Protection クライアントまたは Symantec Network Access Control クライアントがクライアントコンピュータ上で実行されているか。 ■ Symantec Endpoint Protection クライアントまたは Symantec Network Access Control クライアントに適切な GUID(Globally Unique Identifier)が設定されてい るか。 GUID は 128 ビットの 16 進数値か。この番号は、Symantec Endpoint Protection クライアントまたは Symantec Network Access Control クライアントを実行している クライアントコンピュータに割り当てられます。クライアントが最初に接続されるとき、管 理サーバーにより GUID が生成されます。 ■ 管理者が Symantec Endpoint Protection Manager のコンソールで設定した最新 のホストインテグリティポリシーにクライアントが準拠しているか。 ■ クライアントが最新のセキュリティポリシーを受信しているか。 Microsoft DHCP サーバー用 Integrated Enforcer は、クライアントを認証できない場 合、検疫領域へのアクセスを提供します。この検疫領域では、クライアントが利用できる ネットワークリソースが制限されます。検疫領域は、Microsoft DHCP サーバー用 Integrated Enforcer と Microsoft DHCP サーバーが設置されているコンピュータと同 じコンピュータに設定されます。 また修復サーバーへのアクセスも設定できます。修復サーバーは、クライアントがセキュ リティに準拠することを可能にするソフトウェアへのリンクをクライアントに与えます。 659 660 第 32 章 Symantec Network Access Control の概要 Microsoft Network Access Protection 用 Integrated Enforcer が Microsoft Network Policy Server(NPS)と連携する方 法 p.853 の 「Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer について」 を参照してください。 Microsoft Network Access Protection 用 Integrated Enforcer が Microsoft Network Policy Server(NPS)と 連携する方法 Microsoft Network Access Protection 用 Integrated Enforcer を使うと、次に示す Microsoft NAP(Network Access Protection)の機能を拡張できます。 ■ エンドポイントのセキュリティポリシーへの適合の検査。接続するクライアントは、同じ ポリシーまたは異なるポリシーを使うことができます。 ■ ゲストアクセスの制御。 ■ エンドユーザーの承認 NPS(Network Policy Server)が NAP ポリシーサーバーとして設定されている場合、 NPS は NAP 対応クライアントから送信された健全性の状態(SoH)を評価します。クライ アントは健全であればネットワークに接続できます。 組織のセキュリティポリシーに準拠するためにクライアントコンピュータが設定を更新でき るようにする NAP ポリシーを NPS で設定できます。NPS のマニュアルに従って、これら のポリシーを設定します。 p.854 の 「Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer について」 を参照してください。 オンデマンドクライアントの動作 保護ネットワークにコンピュータをゲストとして接続しようとすると、オンデマンドクライアン トによってコンピュータのコンプライアンスが調べられます。クライアントが必要条件をすべ て満たせば、クライアントコンピュータと Symantec Endpoint Protection Manager との 接続が自動的に確立されます。クライアントは、セキュリティの必要条件をすべて満たす 場合に、保護ネットワークにアクセスできます。 その時点で、セキュリティに準拠するクライアントコンピュータは、管理者が Symantec Endpoint Protection Manager のこのグループに対して有効にした任意のタスクを実行 できます。クライアントがセキュリティの必要条件をすべて満たさない場合、クライアントコ ンピュータと保護ネットワークの間の接続は自動的に確立されません。ユーザーは、管理 者によって設定された修復ファイルをダウンロードすることで、クライアントコンピュータの 準拠しない必要条件をすべて修復する必要があります。修復が完了するまで、クライアン トは保護ネットワークにゲストとしてアクセスできません。 第 32 章 Symantec Network Access Control の概要 オンデマンドクライアントの動作 コンピュータは、会社の保護ネットワークに接続しようとするときに、必ず Compliance Status Check に成功または失敗します。したがって、会社の保護ネットワークへのアクセ スの状態は次のようになります。 ■ 許可 — ネットワークに接続できます。許可モードでは、エンフォーサとの通信は存在 しないか、ネットワークにエンフォーサがインストールされていません。 ■ 承認 — Symantec Network Access Control によってネットワークへの接続が承認さ れます。 ■ 検疫 — コンプライアンスの状態が失敗か、ポリシーが最新でないため、Symantec Network Access Control が検疫領域に置かれました。 p.926 の 「Symantec Network Access Control On-Demand Client が一時的にネット ワークに接続できるようにする」 を参照してください。 661 662 第 32 章 Symantec Network Access Control の概要 オンデマンドクライアントの動作 33 Symantec Network Access Control の使用 この章では以下の項目について説明しています。 ■ Symantec Enforcer アプライアンスでできること ■ Symantec Integrated Enforcer でできること ■ オンデマンドクライアントでできること ■ Symantec Network Access Control の配備 Symantec Enforcer アプライアンスでできること エンフォーサアプライアンスは、外部クライアントや内部クライアントのためにネットワーク エンドポイントに設置します。 たとえば、ネットワークと VPN サーバーの間にエンフォーサアプライアンスをインストール できます。また、802.1x 対応スイッチや無線アクセスポイントを使ってネットワークに接続 するクライアントコンピュータに対するエンフォースメントも設定できます。 エンフォーサアプライアンスは、ユーザーレベルの認証ではなく、ホスト認証を実行しま す。企業ネットワークに接続することを試みるクライアントコンピュータが企業のセキュリティ ポリシーに従うことを確認します。特定のセキュリティポリシーは、Symantec Endpoint Protection Manager で設定できます。 クライアントがセキュリティポリシーに準拠しない場合、エンフォーサアプライアンスは次の 処置をとることができます。 ■ ネットワークへのアクセスの遮断 ■ 限られたリソースのみへのアクセスの許可 ■ 準拠していないクライアントへのアクセスの許可とその処理のログ記録 664 第 33 章 Symantec Network Access Control の使用 Symantec Enforcer アプライアンスでできること エンフォーサアプライアンスはクライアントを検疫領域に隔離して修復サーバーにリダイ レクトできます。クライアントは修復サーバーから必要なソフトウェア、アプリケーション、シ グネチャファイル、またはパッチを入手できます。 たとえば、クライアントが 802.1x 対応スイッチを介してローカルエリアネットワーク(LAN) に接続するようにネットワークの一部がすでに設定されている場合は、これらのクライアン トに LAN エンフォーサアプライアンスを使用できます。 また、802.1x が有効な無線アクセスポイントから接続するクライアントに対しても、LAN エ ンフォーサアプライアンスを使うことができます。 p.656 の 「LAN エンフォーサアプライアンスの動作」 を参照してください。 p.781 の 「LAN エンフォーサアプライアンスのインストールの計画」 を参照してください。 VPN を使ってリモート接続する社員がいる場合、これらのクライアントに対してゲートウェ イエンフォーサアプライアンスを使えます。 無線アクセスポイントで 802.1x が有効ではない場合は、ゲートウェイエンフォーサアプラ イアンスを使うこともできます。 p.655 の 「ゲートウェイエンフォーサアプライアンスの動作」 を参照してください。 p.729 の 「ゲートウェイエンフォーサアプライアンスのインストール計画」 を参照してくださ い。 高可用性が要求される場合、同じ場所に複数のゲートウェイエンフォーサアプライアンス または LAN エンフォーサアプライアンスを設置すると、フェールオーバー機能が使用で きます。 p.737 の 「ゲートウェイエンフォーサアプライアンスのフェールオーバー計画」 を参照して ください。 p.785 の 「LAN エンフォーサアプライアンスのフェールオーバー計画」 を参照してくださ い。 LAN エンフォーサアプライアンスのための高可用性を実装する場合は、複数の LAN エ ンフォーサアプライアンスと 802.1x 対応スイッチをインストールする必要があります。高 可用性は、802.1x 対応のスイッチを追加することによって実現されます。802.1x 対応ス イッチなしで複数の LAN エンフォーサアプライアンスのみをインストールした場合、高可 用性は失敗します。高可用性のために 802.1x 対応スイッチを設定できます。 802.1x 対応スイッチを設定して高可用性を実現する方法について詳しくは、 802.1x 対 応スイッチに付属のマニュアルを参照してください。 ネットワーク構成によっては、クライアントが複数のエンフォーサアプライアンスを介して ネットワークに接続できる場合があります。最初のエンフォーサアプライアンスがクライア ントを認証した後、クライアントがネットワークに接続する前に、残りのエンフォーサアプラ イアンスがクライアントを認証します。 第 33 章 Symantec Network Access Control の使用 Symantec Integrated Enforcer でできること Symantec Integrated Enforcer でできること オプションの Symantec Network Access Control 統合エンフォーサは、ソフトウェアコ ンポーネントとして提供されるエンフォーサです。これらのエンフォーサは、ネットワークに 接続しようとするクライアントが組織の設定済みセキュリティポリシーに従うことを確認する ように設定できます。 ■ Microsoft DHCP サーバーのクライアントがセキュリティポリシーに従うことを確認する には、DHCP サーバー用 Symantec Network Access Control Integrated Enforcer を使います。 ■ クライアントが Microsoft クライアントの健全性ポリシーに従うことを確認するには、 Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer を使います。Symantec Health Agent を利用して Microsoft 社の健全性ポリシーに加えてシマンテック社の健全性ポリシーをチェックすることもで きます。 統合エンフォーサで実行できる主なタスクを次に示します。 ■ ネットワークに接続しようとするクライアントがコンピュータが、Symantec Endpoint Protection Manager で設定したセキュリティポリシーに従うことを確認する。 ■ Symantec Endpoint Protection Manager への接続を設定する。 ■ エンフォーサのサービスを終了、起動します。 ■ 接続状態を表示します。 ■ Symantec Endpoint Protection Manager でセキュリティログとシステムログを表示 する。 p.658 の 「Microsoft DHCP サーバー用 Integrated Enforcer の動作」 を参照してくださ い。 p.660 の 「Microsoft Network Access Protection 用 Integrated Enforcer が Microsoft Network Policy Server(NPS)と連携する方法」 を参照してください。 オンデマンドクライアントでできること 必須のコンプライアンスソフトウェアが欠けているためにユーザーがネットワークに接続で きないとき、オンデマンドクライアントでコンプライアンスソフトウェアを提供できます。オン デマンドクライアントがインストールされているとき、オンデマンドクライアントはネットワーク にアクセスする前にユーザーを認証し、コンピュータがコンプライアンス検査に合格して いることを確認します。オンデマンドクライアントはゲストがログオフするまで有効です。オ ンデマンドクライアントは Windows と Macintosh 両方のゲストのコンピュータで利用可 能です。 オンデマンドクライアントはデータ損失からネットワークの重要なビジネス情報を保護しま す。オンデマンドクライアントでは、ゲストとリモートのスタッフはネットワークに影響を与え 665 666 第 33 章 Symantec Network Access Control の使用 Symantec Network Access Control の配備 る可能性のあるスパイウェア、キーロガー、その他のマルウェアを侵入させることなく Web 対応アプリケーションによってネットワークに接続できます。 プロビジョニング処理には、次が必要です。 ■ オンデマンドクライアントを提供するために設定されたゲートウェイエンフォーサ。 ■ ゲストのコンピュータへのオンデマンドクライアントのダウンロードとインストール p.926 の 「Symantec Network Access Control On-Demand Client が一時的にネット ワークに接続できるようにする」 を参照してください。 p.928 の 「Symantec Network Access Control On-Demand Client のためのゲートウェ イエンフォーサコンソールでの認証の設定」 を参照してください。 Symantec Network Access Control の配備 Symantec Network Access Control を配備するための最良の方法は段階的に配備を 行うことです。この方法を使うと、組織のニーズに適した実装を徐々に展開することができ ます。変更や拡張を行う場合は、セキュリティインフラストラクチャ全体を再構築するので なく、前のフェーズに基づいて構築します。 表 33-1 Symantec Network Access Control を配備するためのフェーズ フェー ズ 処理 説明 フェー ズ1 Symantec Endpoint Protection Manager および Symantec Network Access Control クライアントをインストールする。Symantec Endpoint Protection Manager を使ってホス トインテグリティポリシーを設定する。 組織が管理するノートパソコン、デスクトップ、サーバーのアクセスを セルフエンフォースメントで管理できます。セルフエンフォースメント では、コンピュータはセキュリティポリシーに従うために必要なソフト ウェアを入手できます。 p.45 の 「Symantec Endpoint Protection での初期作業」 を参照 してください。 p.651 の 「セルフエンフォースメントのしくみ」 を参照してください。 p.671 の 「ホストインテグリティポリシーの作成とテスト」 を参照してくだ さい。 第 33 章 Symantec Network Access Control の使用 Symantec Network Access Control の配備 フェー ズ 処理 説明 フェー ズ2 ゲートウェイエンフォーサアプライアンスをイン 部分的なネットワーク保護のために、管理下クライアント、管理外クラ ストールして設定する。 イアント、ゲストコンピュータによるネットワークへの有線アクセスと無 線アクセスを制御します。 管理下クライアントは Symantec Network Access Control のクライ アントを実行しているクライアントです。 管理外クライアントは次のようなクライアントです。 Symantec Network Access Control クライアントソフトウェアを 実行していない。 ■ Symantec Network Access Control クライアントソフトウェアを 実行しているが、最新のポリシー更新を備えていない。 ■ ゲストクライアントは、インストール済みソフトウェアや安全なパスワー ドなどの項目のセキュリティ要件を満たさないノートパソコン、デスク トップ、サーバーです。これらは、受託業者、コンサルタント、パート ナーなどのゲストが所有するデバイスです。オンデマンドクライアント を使うと、これらのゲストクライアントにネットワークへの安全かつ一時 的な接続を許可できます。 p.709 の 「エンフォーサアプライアンスのインストールについて」 を参 照してください。 p.710 の 「エンフォーサアプライアンスのインストール」 を参照してく ださい。 p.655 の 「ゲートウェイエンフォーサアプライアンスの動作」 を参照し てください。 p.660 の 「オンデマンドクライアントの動作」 を参照してください。 フェー ズ3 LAN エンフォーサアプライアンスをインストー 完全なネットワーク保護のために、クライアントコンピュータとゲストコ ルして設定する。 ンピュータの WAN アクセスを制御できます。 管理下クライアントの場合、LAN エンフォーサアプライアンスを 使います。 ■ 管理外クライアントの場合は、LAN エンフォーサアプライアンス またはゲートウェイエンフォーサアプライアンスを使います。 ■ p.709 の 「エンフォーサアプライアンスのインストールについて」 を参 照してください。 p.710 の 「エンフォーサアプライアンスのインストール」 を参照してく ださい。 p.656 の 「LAN エンフォーサアプライアンスの動作」 を参照してくだ さい。 667 668 第 33 章 Symantec Network Access Control の使用 Symantec Network Access Control の配備 p.648 の 「Symantec Network Access Control でのエンフォースメントの種類について」 を参照してください。 34 ホストインテグリティの設定 この章では以下の項目について説明しています。 ■ ホストインテグリティポリシーでできること ■ ホストインテグリティポリシーの使用について ■ ホストインテグリティポリシーの作成とテスト ■ ホストインテグリティ必要条件について ■ ホストインテグリティ必要条件の追加 ■ Mac 用ホストインテグリティの設定 ■ ホストインテグリティの必要条件の有効化、無効化、削除 ■ ホストインテグリティ必要条件のシーケンスの変更 ■ テンプレートからのホストインテグリティ必要条件の追加 ■ ホストインテグリティ検査の設定について ■ 必要条件失敗時のホストインテグリティ検査の成功許可 ■ ホストインテグリティ検査の通知の設定 ■ ホストインテグリティ修復について ■ クライアントの修復待機時間の指定 ■ ユーザーによるホストインテグリティ修復の延期または中止の許可 670 第 34 章 ホストインテグリティの設定 ホストインテグリティポリシーでできること ホストインテグリティポリシーでできること ネットワークにアクセスするクライアントコンピュータが組織のセキュリティポリシーを満た すことを確認するには、ホストインテグリティポリシーを使います。たとえば、ホストインテグ リティポリシーを使うと、クライアントコンピュータについて次の点を確認できます。 ■ ウイルス対策およびスパイウェア対策アプリケーションを実行していること。実行してい ない場合は、必要なウイルス対策アプリケーションとスパイウェア対策アプリケーション のダウンロードとインストールを行ってクライアントを修復します。 ■ 最新のウイルス定義があること。ない場合は、ウイルス定義の更新を自動的にダウン ロードします。 ■ 最新のパッチとサービスパックがあること。ない場合は、必要なパッチまたはサービス パックのダウンロードとインストールを行ってクライアントを修復します。 ■ 強力なパスワードを使っていて適切な頻度で変更していること。 ■ 全体的に、より安全であること。たとえば、必要に応じてリモートデスクトップアクセスを 無効にしたり、プログラムの追加および削除を制御したり、レジストリツールの使用を 制御したりします。 ■ バックアップソフトウェアがインストールされていること。インストールされていない場合 は、必要なバックアップソフトウェアのダウンロードとインストールを行ってクライアント を修復します。 ■ リモートインストールを実行するためのソフトウエアがあること。ない場合は、おそらく管 理者が作成したカスタムスクリプトを使い、必要なリモートインストールソフトウェアのダ ウンロードとインストールを行ってクライアントを修復します。 p.671 の 「ホストインテグリティポリシーの作成とテスト」 を参照してください。 ホストインテグリティポリシーの使用について ホストインテグリティポリシーは他の種類のポリシーを作成、修正する場合と同様の方法 で作成、編集します。管理者はホストインテグリティポリシーの割り当て、撤回、置換、コ ピー、エクスポート、インポート、削除ができます。 一般に、ポリシーはセキュリティネットワーク内の複数のグループに割り当てます。特定の 場所に関して特定の必要条件がある場合は、非共有で場所固有のポリシーを作成でき ます。 p.651 の 「セルフエンフォースメントのしくみ」 を参照してください。 検疫ポリシーについて 検疫ポリシーは、ホストインテグリティ検査を実行する Symantec Network Access Control クライアントのポリシーです。ホストインテグリティポリシーの必要条件を満たしていない場 第 34 章 ホストインテグリティの設定 ホストインテグリティポリシーの作成とテスト 合、クライアントは修復を試みます。修復が失敗すると、クライアントは自動的に検疫ポリ シーに切り替わります。検疫ポリシーは、ウイルスとスパイウェアの対策ポリシー、ファイア ウォールポリシー、侵入防止ポリシー、LiveUpdate ポリシー、アプリケーションとデバイス 制御のポリシーのいずれかです。 検疫ポリシーを設定して、場所に割り当てることができ ます。 p.872 の 「自動検疫の設定」 を参照してください。 ホストインテグリティポリシーの作成とテスト ホストインテグリティポリシーは、Symantec Network Access Control の基盤です。この テスト用に作成するポリシーは、デモンストレーション専用です。ポリシーは、オペレーティ ングシステムの存在を検出し、検出した時点で失敗イベントを生成します。通常、失敗イ ベントは他の理由で生成します。 p.670 の 「ホストインテグリティポリシーでできること」 を参照してください。 次に Symantec Endpoint Protection Manager からホストインテグリティポリシーをテス トできます。 メモ: Symantec Network Access Control と Symantec Endpoint Protection を購入 してインストールした場合、ホストインテグリティに失敗したクライアントコンピュータのため のファイアウォールポリシーを作成できます。Symantec Network Access Control と一 緒に Symantec Enforcer を実行した場合、ホストインテグリティに失敗したクライアントを 特定のネットワークセグメントに隔離できます。この隔離により、クライアント認証とドメイン へのアクセスを防ぎます。 ホストインテグリティポリシーが有効であることを確認するには、いくつかの手順を実行す る必要があります。 ホストインテグリティの実装を準備するための手順: ■ シマンテック社から最新のホストインテグリティテンプレートをダウンロードします。 ■ テスト用のホストインテグリティポリシーを作成します。 ■ 作成したホストインテグリティポリシーをテストします。 シマンテック社から最新のホストインテグリティテンプレートをダウンロードするには 1 管理コンソールで、[管理]をクリックします。 2 [サーバー]の下で、[ローカルサイト(マイサイト)]をクリックします。 3 [タスク]の下で、[サイトプロパティの編集]をクリックします。 4 [ローカルサイト(マイサイト)のサイトのプロパティ]ダイアログボックスで、 [LiveUpdate]タブをクリックします。 671 672 第 34 章 ホストインテグリティの設定 ホストインテグリティポリシーの作成とテスト 5 [LiveUpdate]タブで、[ダウンロード元サーバーの編集]をクリックします。 6 [LiveUpdate サーバー]ダイアログボックスで、[OK]をクリックします。 メモ: デフォルトのシマンテック社の LiveUpdate サーバーはもちろん、指定した社 内 LiveUpdate サーバーを使うこともできます。社内 LiveUpdate サーバーを使う 場合は、Windows または Mac のホストインテグリティテンプレートが存在していて 利用可能であることを確認してください。 7 [ダウンロードするプラットフォーム]ペインで、[プラットフォームの変更]をクリックし ます。 8 [ダウンロードするプラットフォーム]ダイアログボックスで、LiveUpdate コンテンツを ダウンロードしたいプラットフォームを選択し、[OK]をクリックします。 9 [ダウンロードするコンテンツの種類]ペインで、[選択項目の変更]をクリックします。 10 [ダウンロードするコンテンツの種類]ダイアログボックスで、チェックボックス[ホストイ ンテグリティテンプレート]にチェックマークが付けられていることを確認してから、 [OK]をクリックします。 11 [ローカルサイト(マイサイト)のサイトのプロパティ]ダイアログボックスで、[OK]をク リックします。 12 [タスク]の下で、[LiveUpdate コンテンツのダウンロード]をクリックしてから、 [LiveUpdate コンテンツのダウンロード]ダイアログボックスで設定したばかりのデー タを確認します。 13 すべて正しい場合は、[ダウンロード]をクリックしてコンテンツのダウンロードを開始 します。 メモ: [LiveUpdate]ペインに、Windows ホストインテグリティテンプレート 12.1 が正 常に更新されたこと、または Mac のホストインテグリティテンプレート 12.1 が正常に 更新されたことが表示されたら、ホストインテグリティテンプレートは管理サーバーに ダウンロードされています。 ホストインテグリティポリシーを作成するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]で[ホストインテグリティ]をクリックして選択します。 3 右ペインで、ホストインテグリティポリシーが黄色で強調表示されている場合は、その ポリシーを選択解除します。 4 [タスク]で[ホストインテグリティポリシーの追加]をクリックします。 5 [概要]ペインの[ポリシー名]フィールドに、ポリシーの名前を入力します。 第 34 章 ホストインテグリティの設定 ホストインテグリティポリシーの作成とテスト 6 [必要条件]をクリックします。 7 [必要条件]ペインで、[常にホストインテグリティ検査を実行する]にチェックマーク を付けた後、[追加]をクリックします。 8 [必要条件の追加]ダイアログボックスの[種類]ドロップダウンメニューで、[カスタム 必要条件]をクリックした後、[OK]をクリックします。 9 [カスタム必要条件]ウィンドウの[名前]フィールドに、カスタム必要条件の名前を入 力します。 10 [カスタム必要条件スクリプト]で[下に文を挿入してください:]を右クリックし、[追加]、 [IF..THEN..]の順にクリックします。 11 右ペインの[条件を選択してください]ドロップダウンメニューで、[ユーティリティ: オ ペレーティングシステムは]をクリックします。 12 [オペレーティングシステム]で、クライアントコンピュータで実行されている、1 つまた は複数の調べたいオペレーティングシステムにチェックマークを付けます。 13 [カスタム必要条件スクリプト]で[THEN //ここに文を挿入してください]を右クリック し、[追加]、[関数]、[ユーティリティ: メッセージダイアログボックスを表示]をクリック します。 14 [メッセージウィンドウのタイトル]で、メッセージのタイトルとして表示する名前を入力 します。 15 [メッセージウィンドウのテキスト]で、表示するメッセージの本文を入力します。 16 カスタムメッセージの設定についての情報を表示するには、[ヘルプ]をクリックしま す。 17 左ペインの[カスタム必要条件スクリプト]で[PASS]をクリックします。 18 右ペインの[必要条件の結果、戻り値]の下で、[失敗]にチェックマークを付けた後、 [OK]をクリックします。 19 [ホストインテグリティポリシー]ウィンドウで、[OK]をクリックします。 20 [ポリシーの割り当て]メッセージが表示されたら、[はい]をクリックします。 21 [ホストインテグリティポリシーの割り当て]ダイアログボックスで、ポリシーを割り当て るグループにチェックマークを付けます。 メモ: 複数のグループに 1 つのホストインテグリティポリシーを割り当てることができま すが、1 つのグループが持つことができるのは 1 つのホストインテグリティポリシーの みです。つまり、すでに別のホストインテグリティポリシーが割り当てられているグルー プにホストインテグリティポリシーを割り当てると、既存のものが新しいものに置き換 えられます。 673 674 第 34 章 ホストインテグリティの設定 ホストインテグリティ必要条件について 22 [割り当て]をクリックします。 23 [はい]をクリックします。 ホストインテグリティポリシーをテストするには 1 コンソールで、[クライアント]をクリックします。 2 右ペインで、[クライアント]タブをクリックします。 3 左ペインの[コンピュータ]の下で、ホストインテグリティポリシーを適用したクライアン トコンピュータを含むグループをクリックしてハイライトします。 4 [タスク]の下で、[グループでコマンドを実行]、[コンテンツの更新]の順にクリックし ます。 5 Symantec Network Access Control を実行するクライアントコンピュータにログオ ンし、表示されるメッセージウィンドウに注目してください。 このメッセージフィールドは、ルールにより失敗テストがトリガされたため表示されま す。テスト後、テストポリシーを無効にするか削除してください。 p.651 の 「セルフエンフォースメントのしくみ」 を参照してください。 ホストインテグリティ必要条件について ホストインテグリティ必要条件を計画する場合は、次の項目について検討する必要があり ます。 ■ 企業セキュリティで必要なソフトウェア(アプリケーション、ファイル、パッチなど)の種 類。 ■ 必要条件が満たされなかった場合にどうするか。例: ■ クライアントが必要条件を満たすために、サーバーに接続してソフトウェアを復元 する ■ 必要条件が失敗した場合でも、ホストインテグリティ検査は成功にする ■ ホストインテグリティ検査が失敗し、ネットワークアクセスが遮断される ■ 次にすべきことをメッセージでユーザーに通知する 次の項目を詳細に検討してください。 ■ すべてのユーザーのコンピュータで、ネットワークに接続するときに必要な、ウイルス 対策アプリケーション、スパイウェア対策アプリケーション、ファイアウォールアプリケー ション、パッチ、更新の種類。通常は、ソフトウェアの種類ごとに個別の必要条件を作 成します。事前定義済みホストインテグリティ必要条件を使うと、これらの一般に使わ れる必要条件を簡単に設定できます。 ■ コンピュータ上で実行するファイアウォール、スパイウェア対策、ウイルス対策アプリ ケーションをユーザーに選択させることができます。事前定義済み必要条件を使うと、 第 34 章 ホストインテグリティの設定 ホストインテグリティ必要条件について 許容されるアプリケーションとして、特定のアプリケーションか、サポート対象のアプリ ケーションリスト全体のいずれかを指定できます。企業で許容されるアプリケーション が含まれたカスタム必要条件を作成できます。 ■ 必要条件を満たすようにコンピュータを復元する方法。通常、必要なソフトウェアが格 納された修復サーバーを用意する必要があります。必要条件を設定するときに、クラ イアントが必要なソフトウェアをダウンロードしてインストールするための URL を指定 する必要があります。 ■ パッチによっては、ユーザーによるコンピュータの再起動が必要になることがあります。 ユーザーによる再起動が必要になる前にすべての更新が適用されるよう、更新は特 定の順序で実行します。必要条件を検査し修復を試行する順序は、ホストインテグリ ティポリシーの一部として設定できます。 ■ 必要条件が失敗し復元できない場合にどうするかの検討もする必要があります。各必 要条件に対し、その必要条件が失敗してもホストインテグリティ検査を成功とするかど うかを選択できます。一般的なホストインテグリティポリシーの一部としてメッセージを 設定することもできます。クライアントはこれらのメッセージをホストインテグリティ検査 が失敗した場合や一度失敗した後で成功した場合にユーザーに対して表示します。 これらのメッセージでは、ユーザーに対する追加の指示を計画すると便利です。また、 ホストインテグリティが失敗した場合にアクティブ化する検疫ポリシーを設定できます。 ■ 同様のアプリケーションを 1 つのカスタム必要条件にまとめることで、必要なアプリケー ションの管理が簡単になります。たとえば、Internet Explorer や Firefox などのイン ターネットブラウザを 1 つの必要条件にまとめることができます。 ■ カスタム必要条件の一部として、必要条件が失敗したときにホストインテグリティ検査 を成功とするかどうかを指定できます。1 つのスクリプトで条件をいくつ検査するかを 計画するときは、この設定がカスタム必要条件スクリプト全体に適用されることに注意 してください。この点が、簡単なカスタム必要条件をいくつか作成するか、または複数 のステップを含む長いカスタム必要条件を 1 つ作成するかを決めるときに影響する場 合があります。 企業のホストインテグリティエンフォースメント必要条件を表す表計算ワークシートを用意 すると便利です。 ホストインテグリティポリシーには、次の種類の必要条件があります。 ■ 事前定義済み必要条件は、最も一般的なホストインテグリティ検査に対応し、次の種 類から選択できます。 ■ ウイルス対策の必要条件 ■ スパイウェア対策の必要条件 ■ ファイアウォールの必要条件 ■ パッチの必要条件 ■ Service Pack の必要条件 675 676 第 34 章 ホストインテグリティの設定 ホストインテグリティ必要条件の追加 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 ■ カスタム必要条件。管理者がカスタム必要条件エディタを使って定義します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 ■ ホストインテグリティ必要条件テンプレート。Symantec Enterprise Protection LiveUpdate の一部として更新されます。 p.679 の 「テンプレートからのホストインテグリティ必要条件の追加」 を参照してくださ い。 新しい必要条件を追加する場合はこれらの種類の事前定義済み必要条件から 1 つを選 択できます。ダイアログボックスが開き、設定可能な一連の事前定義済み設定が表示さ れます。事前定義済み設定が必要を満たさない場合は、カスタム必要条件を作成しま す。 必要条件の位置も変更できます。必要条件の位置で実行される順序が決まります。 p.678 の 「ホストインテグリティ必要条件のシーケンスの変更」 を参照してください。 ホストインテグリティ必要条件の追加 ホストインテグリティポリシーでは、ファイアウォール、ウイルス対策、スパイウェア対策、 パッチ、Service Pack などの、クライアントコンピュータで必要なアプリケーションの必要 条件を設定します。 各ホストインテグリティポリシーには、必要条件と全般の設定があります。必要条件では次 の項目を指定します。 ■ 検査の条件 ■ 条件に応じてクライアントが実行する処理(ダウンロードしてインストールするなど) ホストインテグリティ必要条件を指定するときに選択できる種類としては、事前定義済み 必要条件、カスタム必要条件、テンプレート必要条件があります。テンプレート必要条件 は、ホストインテグリティポリシー LiveUpdate サービスを介して使えます。ポリシー間で 必要条件のコピーや貼り付けを行ったり、エクスポートとインポートを行うことができます。 全般の設定では、クライアントがホストインテグリティ検査、修復オプション、通知を実行す るタイミングと頻度を設定できます。 新しい共有または非共有ホストインテグリティポリシーを作成できます。新しいポリシーを 作成した後に、事前定義済み必要条件、カスタム必要条件、またはその両方を追加でき ます。 p.674 の 「ホストインテグリティ必要条件について」 を参照してください。 ホストインテグリティ必要条件を追加するには 1 コンソールで、[ホストインテグリティポリシー]を開きます。 2 [ホストインテグリティポリシー]ページで、[必要条件]をクリックします。 第 34 章 ホストインテグリティの設定 Mac 用ホストインテグリティの設定 3 [必要条件]ページで、クライアントに対してホストインテグリティ検査を実行するタイ ミングとして、次のいずれかのオプションを選択します。 常にホストインテグリティ検査を実行する デフォルトではこれが選択される。ホストインテグ リティ検査は指定した頻度間隔でこの場所で常 に実行される ゲートウェイエンフォーサや DHCP エン フォーサを通してのみホストインテグリティ を検査を実行する ホストインテグリティ検査はクライアントがゲート ウェイエンフォーサを通して認証されたときにの みこの場所で実行される 管理サーバーに接続しているときにのみホ ホストインテグリティ検査はクライアントが管理サー ストインテグリティ検査を実行する バーに接続しているときにのみこの場所で実行 される ホストインテグリティ検査を実行しない ホストインテグリティ検査はこの場所で実行しな い 4 [追加]をクリックします。 5 [必要条件の追加]ダイアログボックスで、いずれかの必要条件の種類を選択し、 [OK]をクリックします。 6 必要条件の設定を行います。 p.674 の 「ホストインテグリティ必要条件について」 を参照してください。 7 [拡張設定]ページで、ホストインテグリティ検査、修復、通知の設定を行います。 詳しくは[ヘルプ]を参照してください。 p.680 の 「ホストインテグリティ検査の設定について」 を参照してください。 8 このポリシーの設定を完了したら、[OK]をクリックします。 9 グループまたは場所にポリシーに割り当てます。 Mac 用ホストインテグリティの設定 Mac 用ホストインテグリティは Windows で利用可能なバージョンに類似しています。す べての選択肢がユーザーインターフェースに明確に示されています。 メモ: 現在のエンフォーサより前のバージョンから移行する場合、アップグレード処理では Mac 用ホストインテグリティのポリシーは引き継がれません。これらを再入力する必要が あります。 677 678 第 34 章 ホストインテグリティの設定 ホストインテグリティの必要条件の有効化、無効化、削除 ホストインテグリティの必要条件の有効化、無効化、削 除 ホストインテグリティポリシーの必要条件を作成するときに、後で使う必要条件も作成でき ます。必要になるまで使用できないように無効にする必要があります。ホストインテグリティ ポリシーをテストする間、必要条件を一時的に無効にできます。 ホストインテグリティ必要条件を有効または無効にするには 1 コンソールで、[ホストインテグリティポリシー]を開きます。 2 [ホストインテグリティポリシー]ページで、[必要条件]をクリックします。 3 [必要条件]ページで必要条件を選択し、次のいずれかのタスクを実行します。 4 ■ 必要条件を有効にするには、選択する必要条件の[有効にする]チェックボック スにチェックマークを付けます。 ■ 必要条件を無効にするには、選択する必要条件の[有効にする]チェックボック スのチェックマークをはずします。 このポリシーの設定を完了したら、[OK]をクリックします。 ホストインテグリティの必要条件を削除するには 1 コンソールで、[ポリシー]をクリックします。 2 [ポリシー]の下で、[ホストインテグリティ]をクリックします。 3 右ペインから削除するホストインテグリティポリシーを選択します。ポリシーを選択す ると、ポリシーが黄色で強調表示されます。 4 左ペインの[タスク]の下で、[ポリシーの削除]をクリックします。 5 [ポリシーの削除]ダイアログボックスで、[はい]をクリックします。 メモ: 使用中のポリシーは削除できません。使用中のポリシーを削除するには、最初 に、割り当て済みの場所からポリシーを撤回する必要があります。 p.670 の 「ホストインテグリティポリシーでできること」 を参照してください。 ホストインテグリティ必要条件のシーケンスの変更 必要条件の位置を変更できます。位置を変更することで必要条件を実行する順序を決 定します。この位置はインストール後に再起動が必要なソフトウェアをダウンロードすると きに重要になる可能性があります。修復時に再起動を行うという必要条件をリストの最後 に配置します。 第 34 章 ホストインテグリティの設定 テンプレートからのホストインテグリティ必要条件の追加 ホストインテグリティ必要条件のシーケンスを変更するには 1 コンソールで、[ホストインテグリティポリシー]を開きます。 2 [ホストインテグリティ]ページで、[必要条件]をクリックします。 3 [必要条件]ページで、移動する必要条件を選択し、[上に移動]または[下に移動] をクリックします。 4 このポリシーの設定を完了したら、[OK]をクリックします。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 テンプレートからのホストインテグリティ必要条件の追加 オンライン更新サービスはホストインテグリティテンプレートを提供します。 最新のテンプレートをインポートしてホストインテグリティポリシーのカスタム必要条件を開 発するときに使用できます。必要な数の必要条件を選択できます。選択した必要条件は そのまま使うか環境に合わせて修正できます。 更新サービスが期限切れになった場合でも、すでにインポートした必要条件は使用を継 続できます。ただし、最新の更新はインポートできなくなります。 同名のものが存在する必要条件を 2 回目にインポートする場合、インポートした必要条 件は既存の必要条件を上書きしません。その代わりに、インポートした必要条件は[必要 条件]表で名前の横に数字の 2 が表示されます。 p.674 の 「ホストインテグリティ必要条件について」 を参照してください。 テンプレートからホストインテグリティ必要条件を追加するには 1 コンソールで、[ホストインテグリティポリシー]を開きます。 2 [ホストインテグリティ]ページで、[必要条件]をクリックします。 3 [必要条件]ページで、[追加]をクリックします。 4 [必要条件の追加]ダイアログボックスで、[クライアントプラットフォーム]の 1 つを選 択し、[既存のテンプレートを使う...]を選択してから、[OK]をクリックします。 5 [ホストインテグリティオンライン更新]ダイアログボックスで、[テンプレート]を展開し、 テンプレートカテゴリを選択します。 6 追加する各テンプレートの横にある[追加]をクリックします。 7 [インポート]をクリックします。 8 このポリシーの設定を完了したら、[OK]をクリックします。 679 680 第 34 章 ホストインテグリティの設定 ホストインテグリティ検査の設定について ホストインテグリティ検査の設定について ホストインテグリティポリシーを設定する場合にはいくつかの設定から選択できます。これ らの設定はホストインテグリティ検査の実行方法や結果の処理方法に関係します。 p.651 の 「セルフエンフォースメントのしくみ」 を参照してください。 ホストインテグリティポリシーを変更すると、次のハートビート時にクライアントにダウンロー ドされます。その後にクライアントはホストインテグリティ検査を実行します。 ホストインテグリティ検査の進行中にユーザーがホストインテグリティポリシーの異なる場 所に切り替える場合、クライアントは検査を停止します。ポリシーが要求する場合は修復 の試みも停止します。新しい場所で修復サーバー接続が利用できない場合はタイムアウ トメッセージが表示されることがあります。検査が完了するとクライアントは結果を破棄しま す。次にクライアントはその場所の新しいポリシーに基づいて新しいホストインテグリティ 検査をすぐに実行します。 新しい場所でもポリシーが同じである場合はクライアントはホストインテグリティタイマの設 定を維持します。クライアントは新しいホストインテグリティ検査をポリシー設定が要求する 場合にのみ実行します。 表 34-1 に、ホストインテグリティ検査の設定を示します。 表 34-1 ホストインテグリティ検査の設定 設定 説明 ホストインテグリティを調べる間 ホストインテグリティ検査を実行する間隔を指定します。 隔 検査の結果を保存する期間 ホストインテグリティの結果を維持する期間を設定します。 クライアントが以前のホストインテグリティ検査の結果を保持する 時間を設定できます。クライアントは通常であれば新しいホストイ ンテグリティ検査が実行されるような処理をユーザーが適用した 場合でも結果を保守します。たとえば、ユーザーが新しいソフト ウェアをダウンロードしたり場所を変更する場合です。 第 34 章 ホストインテグリティの設定 必要条件失敗時のホストインテグリティ検査の成功許可 設定 説明 失敗後に必要条件を調べ続け 必要条件が失敗した場合でも、必要条件のチェックを引き続き行 る うよう指定します。クライアントは、失敗した必要条件が復元する までホストインテグリティ検査を中止しません。 クライアントはホストインテグリティポリシーで指定した順序でホス トインテグリティ必要条件を検査します。 この設定を有効にすると、ホストインテグリティ検査が失敗しても 必要に応じて他の修復処理を試行できます。 必要条件が失敗した場合でも、ホストインテグリティ検査の合格 を許可できます。この設定は[必要条件]ダイアログボックス内に あり、必要条件の種類ごとに設定できます。各必要条件に対して この設定を個別に適用します。 必要条件失敗時のホストインテグリティ検査の成功許可 クライアントが必要条件スクリプトを実行するかどうかを判断するホストインテグリティポリ シーの必要条件を有効または無効にするほかに、クライアントが必要条件スクリプトを実 行し結果をログに記録するがその結果を無視するようにできます。必要条件が成功した か失敗したかにかかわらず、ホストインテグリティ検査を成功にできます。必要条件が満 たされていない場合でも成功にできます。 特定の必要条件のダイアログで[この必要条件が失敗してもホストインテグリティ検査の 合格を許可する]を有効にします。この設定をすべての必要条件に適用する場合は、各 必要条件について個別に有効にする必要があります。この設定は、デフォルトでは無効 です。 必要条件が失敗した場合でもホストインテグリティ検査が成功するようこの設定を有効に すると、イベントの発生時にクライアントウィンドウに次のメッセージが表示されます。 ホストインテグリティが失敗しましたが成功として報告されました 必要条件が失敗してもホストインテグリティ検査の合格を許可するには 1 コンソールで、[ホストインテグリティポリシー]を開きます。 2 [ホストインテグリティ]ページで、[必要条件]をクリックします。 3 [必要条件]ページで[追加]をクリックし、事前定義済み必要条件またはカスタム必 要条件を追加して、[OK]をクリックします。 4 必要条件のダイアログボックスで[この必要条件が失敗してもホストインテグリティ検 査の合格を許可する]にチェックマークを付けます。 5 [OK]をクリックします。 6 このポリシーの設定を完了したら、[OK]をクリックします。 681 682 第 34 章 ホストインテグリティの設定 ホストインテグリティ検査の通知の設定 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 ホストインテグリティ検査の通知の設定 クライアントがホストインテグリティ検査を実行するとき、次の条件に該当する場合に表示 される通知を設定できます。 ■ ホストインテグリティ検査が失敗する ■ ホストインテグリティ検査が失敗した後に成功する ホストインテグリティ検査の結果はクライアントのセキュリティログに表示されます。それら は管理サーバーの[監視]ページのコンプライアンスログにアップロードされます。 クライアントのセキュリティログには複数のペインがあります。ホストインテグリティ検査のイ ベントの種類を選択した場合、左下のペインには個々の必要条件が満たされているか、 または満たされていないかの一覧が表示されます。右下のペインには必要条件の条件 の一覧が表示されます。右下のペインの情報が表示されないようにクライアントを設定で きます。トラブルシューティングするときにこの情報を必要とする場合もありますが、ユー ザーに情報を表示することが望ましくない場合もあります。たとえば、レジストリ値かファイ ル名を指定するカスタム必要条件を書き込む場合があります。詳細は引き続きセキュリ ティログに記録されます。 ソフトウェアをただちにダウンロードするか、または修復を延期するかの選択をユーザー に与える通知を有効にすることもできます。 p.685 の 「ユーザーによるホストインテグリティ修復の延期または中止の許可」 を参照して ください。 ホストインテグリティ検査の通知を設定するには 1 コンソールで、[ホストインテグリティポリシー]を開きます。 2 [ホストインテグリティ]ページで、[拡張設定]をクリックします。 3 [拡張設定]ページの[通知]で、必要条件の詳細情報を表示するには、[ホストイン テグリティログの詳細を表示]にチェックマークを付けます。 クライアントのセキュリティログの右下のペインに、ホストインテグリティの必要条件に ついての詳しい情報が表示されます。 4 次のいずれかのオプションを選択します。 ■ ホストインテグリティ検査が失敗したときに通知メッセージを表示する ■ 以前に失敗したホストインテグリティ検査が成功したときに通知メッセージを表示 する 5 カスタムメッセージを追加するには、[追加テキストの設定]をクリックし、最大 512 文 字の追加テキストを入力してから、[OK]をクリックします。 6 このポリシーの設定を完了したら、[OK]をクリックします。 第 34 章 ホストインテグリティの設定 ホストインテグリティ修復について ホストインテグリティ修復について クライアントのホストインテグリティ検査でホストインテグリティの必要条件が満たされてい ないことがわかった場合、クライアントは必要条件を満たすために必要なファイルの復元 を試みることができます。その後、クライアントコンピュータはホストインテグリティ検査に合 格する必要があります。クライアントはファイルをダウンロードしてインストールするか、必 要なアプリケーションを実行します。ホストインテグリティポリシーを設定するときに、修復 処理で実行する内容を指定できます。クライアントが修復ファイルをダウンロードする場所 だけでなく、修復処理を実装する方法も指定できます。 ユーザーによるソフトウェアのダウンロードの中止を許可できます。また、ユーザーがダウ ンロードを延期できる回数と期間を設定することもできます。この設定はポリシーの中で 修復の中止を無効にしたものを除くすべての種類の必要条件に適用されます。ユーザー が中止できるのは、事前定義済み必要条件のみです。 p.683 の 「ホストインテグリティのためのアプリケーションとファイルの修復について」 を参 照してください。 ホストインテグリティのためのアプリケーションとファイルの修復について 必要条件の修復を設定する場合、ダウンロードしてインストールするインストールパッケー ジまたはファイルの場所を指定します。 p.683 の 「ホストインテグリティ修復について」 を参照してください。 ダウンロードするインストールパッケージまたはファイルの場所を指定するとき、次のいず れかの形式を使えます。 UNC ¥¥servername¥sharename¥dirname¥filename 対象のクライアントでネットワークコンピュータの参照が無効になっている場合は、 UNC の復元は機能しません。UNC パスを使って修復する場合は、ネットワークコ ンピュータの参照を無効にしないでください。 FTP FTP://ftp.ourftp.ourcompany.com/folder/filename HTTP HTTP://www.ourwww.ourcompany.com/folder/filename インストールパッケージまたはファイルは、必ず一時ディレクトリにダウンロードされます。 相対パスの基準はこのディレクトリになります。TMP 環境変数が存在する場合には一時 ディレクトリはこの環境変数で定義されます。または、TEMP 環境変数が存在すればこち らで定義されます。デフォルトフォルダは Windows ディレクトリです。 ファイルの実行では、現在の作業ディレクトリが常に Windows 一時ディレクトリに設定さ れます。実行前に環境変数が置換されます。Windows のディレクトリパスはコマンド %windir% を置換します。 683 684 第 34 章 ホストインテグリティの設定 クライアントの修復待機時間の指定 [ダウンロード URL]フィールドで指定したファイルを実行するには、%F%(デフォルト)を 使えます。%F% 変数は、最後にダウンロードしたファイルを表します。 必要条件を復元するコマンドをダウンロード、インストール、実行した後にはクライアントは 常に必要条件を再テストします。また、クライアントは結果が成功か失敗かをログに記録 します。 ホストインテグリティの修復とエンフォーサの設定 ホストインテグリティ必要条件を設定するときに、ホストインテグリティ必要条件が満たされ ていない場合、修復サーバーに接続し、あらゆる手段でクライアントコンピュータを更新 するように指定できます。エンフォーサによりネットワークに接続するクライアントにそのよ うな必要条件を適用する場合は、通常のネットワークアクセスが遮断されている場合でも、 クライアントが修復サーバーにアクセスできるようにする必要があります。そうしないと、ク ライアントではホストインテグリティが復元されず、ホストインテグリティ必要条件は失敗し 続けます。 このタスクを完了する方法はエンフォーサの種類によって異なります。いくつかの例を以 下に示します。 ■ ゲートウェイエンフォーサでは、修復サーバーを信頼できる内部 IP アドレスとして認 識するようにゲートウェイエンフォーサを設定できる ■ LAN エンフォーサでは、動的な VLAN 機能を持ったスイッチを使う場合、修復サー バーにアクセス可能な VLAN を設定できる p.683 の 「ホストインテグリティ修復について」 を参照してください。 クライアントの修復待機時間の指定 クライアントが修復ダウンロードを再度インストールして開始するまでの待機時間を指定 できます。指定した時間にかかわらず、新しいホストインテグリティ検査が開始されると、ク ライアントコンピュータの修復が再試行されます。 クライアントの修復待機時間を指定するには 1 コンソールで、[ホストインテグリティポリシー]を開きます。 2 [ホストインテグリティポリシー]ページで、[必要条件]をクリックします。 3 [必要条件]ページで[追加]をクリックし、事前定義済み必要条件を追加して、[OK] をクリックします。 4 事前定義済み必要条件ごとに、ダイアログボックスの[<必要条件名>がクライアント にインストール済みでなければインストールする]にチェックマークを付けます。 第 34 章 ホストインテグリティの設定 ユーザーによるホストインテグリティ修復の延期または中止の許可 5 [インストールパッケージのダウンロード]にチェックマークを付けます。 ウイルス対策の必要条件の場合は、[インストールパッケージをダウンロード]にチェッ クマークを付けます。 6 [ダウンロードが失敗した場合に再びダウンロードを試みる前の待ち時間を指定す る]にチェックマークを付けます。 7 分、時間、日単位で待機する期間を指定します。 8 このポリシーの設定を完了したら、[OK]をクリックします。 p.683 の 「ホストインテグリティ修復について」 を参照してください。 ユーザーによるホストインテグリティ修復の延期または 中止の許可 必要条件で修復処理を指定した場合はユーザーによる修復の中止を許可できます。ま た、ユーザーが修復を都合のいい時間まで延期することも許可できます。修復処理の例 にはアプリケーションのインストールやシグネチャファイルの更新などがあります。修復を 中止できる回数の制限や、延期できる期間を設定できます。設定した制限により、修復が 必要なときにクライアントが表示するメッセージウィンドウ上でユーザーが選択可能な内容 が決まります。メッセージウィンドウにテキストを追加することもできます。 最小時間と最大時間の設定により、メッセージウィンドウで利用可能な選択肢の範囲が 決まります。メッセージウィンドウは必要条件が失敗したときにユーザーに対して表示され ます。範囲は、メッセージ上の[後で通知する]アイコンの横にリストとして表示されます。 ユーザーがホストインテグリティ検査の頻度よりも短い延期期間を選択すると、ユーザー の選択内容は上書きされます。クライアントが次回のホストインテグリティ検査を実行する まで、メッセージウィンドウは表示されません。ユーザーが 5 分後の通知を選択したときで も、ホストインテグリティ検査が 30 分ごとに実行される場合は、修復メッセージウィンドウ は 30 分後まで表示されません。ユーザーの混乱を避けるために、最小時間設定をホス トインテグリティ検査の頻度設定に合わせることをお勧めします。 ユーザーが修復を延期すると、クライアントによってイベントがログに記録されます。必要 条件が満たされていないことから、ホストインテグリティは失敗になります。ユーザーは、ク ライアントユーザーインターフェースからいつでも手動でホストインテグリティ検査を実行 できます。 ユーザーが修復処理を延期し、その間にクライアントが更新されたポリシーを受け取った 場合、修復までの猶予期間は指定した最大期間にリセットされます。 ユーザーによるホストインテグリティ修復延期を許可するには 1 コンソールで、[ホストインテグリティポリシー]を開きます。 2 [ホストインテグリティポリシー]ページで、[拡張設定]をクリックします。 685 686 第 34 章 ホストインテグリティの設定 ユーザーによるホストインテグリティ修復の延期または中止の許可 3 [拡張設定]ページの[修復ダイアログボックスオプション]で、ユーザーが修復を延 期できる最小および最大の時間制限を設定します。 4 ユーザーが修復を中止できる最大回数を入力します。 5 クライアントコンピュータでカスタムメッセージを追加するには、[追加テキストの設定] をクリックします。 入力したメッセージは、ユーザーが[詳細]オプションをクリックした場合にクライアン ト修復ウィンドウに表示されます。追加テキストを指定しない場合、ユーザーが[詳 細]をクリックしたときに、[詳細]領域にデフォルトのウィンドウテキストが繰り返し表示 されます。 6 [追加テキストの入力]ダイアログボックスで、最大 512 文字のカスタムメッセージを 入力し、[OK]をクリックします。 7 このポリシーの設定を完了したら、[OK]をクリックします。 ユーザーによるホストインテグリティ修復中止を許可するには 1 コンソールで、[ホストインテグリティポリシー]を開きます。 2 [ホストインテグリティポリシー]ページで、[必要条件]をクリックします。 3 [必要条件]ページで[追加]をクリックし、事前定義済み必要条件を追加して、[OK] をクリックします。 4 事前定義済み必要条件ごとに、ダイアログボックスの[<必要条件名>がクライアント にインストール済みでなければインストールする]にチェックマークを付けます。 5 [インストールパッケージのダウンロード]にチェックマークを付けます。 ウイルス対策の必要条件の場合は、[インストールパッケージをダウンロード]にチェッ クマークを付けます。 6 [ユーザーがホストインテグリティ修復のダウンロードを中止できる]にチェックマーク を付けます。 7 このポリシーの設定を完了したら、[OK]をクリックします。 p.683 の 「ホストインテグリティ修復について」 を参照してください。 35 カスタム必要条件の追加 この章では以下の項目について説明しています。 ■ カスタム必要条件について ■ 条件について ■ 関数について ■ カスタム必要条件の論理について ■ カスタム必要条件スクリプトの記述 ■ メッセージダイアログボックスの表示 ■ ファイルのダウンロード ■ レジストリ値の設定 ■ レジストリ DWORD 値の増分 ■ プログラムの実行 ■ スクリプトの実行 ■ ファイルのタイムスタンプの設定 ■ カスタム必要条件スクリプトの待ち時間の指定 カスタム必要条件について カスタム必要条件は、管理者が選択または定義した任意の数の基準について、クライア ントコンピュータを検査します。カスタム必要条件を記述して、識別されたコンプライアン スの問題を修復できます。 事前定義済みの選択項目とフィールドを使って複雑または単純な必要条件スクリプトを 作成できます。 688 第 35 章 カスタム必要条件の追加 条件について 事前定義済み必要条件のダイアログボックスのフィールドとリストは、カスタム必要条件を 作成する場合にも利用できます。ただし、カスタム必要条件はより柔軟です。カスタム必 要条件ではアプリケーションの事前定義済みリストに含まれないアプリケーションを追加 できます。各アプリケーションを個別に追加することで事前定義済みリストのサブセットを 作成することもできます。 p.688 の 「条件について」 を参照してください。 p.694 の 「関数について」 を参照してください。 p.695 の 「カスタム必要条件の論理について」 を参照してください。 条件について 条件は、カスタム必要条件スクリプト内で実行され、コンプライアンスの問題を検出できる 検査です。 次の条件のカテゴリから選択できます。 ■ ウイルス防止の検査 p.688 の 「ウイルス対策の条件について」 を参照してください。 ■ スパイウェア防止の検査 p.689 の 「スパイウェア対策の条件について」 を参照してください。 ■ ファイアウォール検査 p.690 の 「ファイアウォールの条件について」 を参照してください。 ■ ファイルの検査と操作 p.690 の 「ファイルの条件について」 を参照してください。 ■ レジストリの検査と操作 p.692 の 「レジストリの条件について」 を参照してください。 ■ ユーティリティ 条件は、存在または不在(NOT)として指定できます。AND キーワードや OR キーワード を使って、複数の条件文を含めることができます。 ウイルス対策の条件について カスタム必要条件では、IF THEN 条件文の一部として、ウイルス対策アプリケーションと 検査するシグネチャファイル情報を指定できます。 次の条件を検査できます。 ■ ウイルス対策がインストールされている ■ ウイルス対策が実行されている ■ ウイルス対策シグネチャファイルが最新である 第 35 章 カスタム必要条件の追加 条件について カスタム必要条件の一部としてアプリケーションとシグネチャファイルを検査する場合は、 事前定義済み必要条件を作成するときと同じ情報を指定します。オプション名は少し異 なる場合があります。 [任意のウイルス対策製品]を選択する場合、ドロップダウンリストのアプリケーションのい ずれかが必要条件に一致します。アプリケーションのサブセットを含めるには、OR キー ワードを使って各アプリケーションを選択します。 シグネチャファイル情報を指定する場合は、シグネチャファイルが最新であることを検査 するために、いずれかまたは両方のオプションを選択できます。両方を選択すると、次の 条件が満たされている場合に必要条件が満たされます。 ■ [シグネチャファイルの期間を確認]を選択し、日数を入力します。 指定した日数よりも前の日付のファイルは古いと判断されます。 ■ [シグネチャファイルの日付を調べる]を選択し、[前]、[後]、[等しい]、[等しくない] のいずれかを選択し、「yyyy/mm/dd」の形式で日付を指定します。省略可能なオプ ションとして時間と分を指定します。デフォルトは 00:00 です。前回のファイルの修正 日付から、シグネチャファイルの経過日数を判断できます。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 スパイウェア対策の条件について カスタムホストインテグリティ必要条件では、IF-THEN 条件文の一部として、スパイウェア 対策アプリケーションと検査するシグネチャファイル情報を指定できます。 次の条件を検査できます。 ■ スパイウェア対策アプリケーションがインストール済み ■ スパイウェア対策が動作中です ■ スパイウェア対策シグネチャファイルが最新である カスタム必要条件の一部としてアプリケーションとシグネチャファイルを検査する場合は、 事前定義済み必要条件を作成するときと同じ情報を指定できます。オプション名は少し 異なる場合があります。 [任意のスパイウェア対策製品]を選択する場合、ドロップダウンリストのアプリケーション のいずれかが必要条件に一致します。 シグネチャファイル情報を指定する場合は、シグネチャファイルが最新であることを検査 するために、いずれかまたは両方のオプションを選択できます。両方のオブションを選択 すると、次の条件の両方が満たされている場合に必要条件が満たされます。 ■ [シグネチャファイルの期間を確認]を選択して、ファイルの経過時間を指定します。 ファイルの最大の経過時間である日数を入力します。 指定した日数よりも前の日付のファイルは古いと判断されます。 689 690 第 35 章 カスタム必要条件の追加 条件について ■ [シグネチャファイルの日付を調べる]を選択し、[前]、[後]、[等しい]、[等しくない] のいずれかを選択し、「yyyy/mm/dd」の形式で日付を指定します。省略可能なオプ ションとして時間と分を指定します。デフォルトは 00:00 です。前回のファイルの修正 日付から、シグネチャファイルの経過日数を判断できます。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 ファイアウォールの条件について カスタムホストインテグリティ必要条件では、IF-THEN 条件文の一部として、検査するファ イアウォールアプリケーションを指定できます。 次の条件を検査できます。 ■ ファイアウォールがインストール済みである ■ ファイアウォールが動作している ドロップダウンリストのアプリケーションのいずれかを選択する場合は、[任意のファイア ウォール製品]を選択できます。アプリケーションのサブセットを含めるには、OR キーワー ドを使って各アプリケーションを選択します。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 ファイルの条件について カスタムホストインテグリティ必要条件では、IF-THEN 条件文の一部として、アプリケー ションまたはファイルを検査できます。 次のオプションを指定して、カスタムホストインテグリティ必要条件のファイル情報を調べ ることができます。 ファイル: ファイルの経過時間を 日数または週を指定し、[より大]または[より小]を選択します。 次と比較 ファイル: ファイルの日付を次と 日付を yyyy/mm/dd の形式で指定します。省略可能なオプショ 比較 ンとして時間と分を指定します。デフォルトの時間は 00:00 午前 です。[等しい]、[等しくない]、[前]、[後]のいずれかを選択で きます。 ファイル: ファイルサイズを次と 比較 バイト数を指定します。[等しい]、[等しくない]、[よりも小]、[より も大]のいずれかを選択できます。 ファイル: ファイルバージョンを 次と比較 ファイルバージョンを x.x.x.x の形式で指定します。x は 0 から 65535 の 10 進数を表します。[等しい]、[等しくない]、[よりも 小]、[よりも大]のいずれかを選択できます。 ファイル: ファイルが存在する 検査するファイルの名前を指定します。 第 35 章 カスタム必要条件の追加 条件について ファイル: ファイルフィンガープリ 通常、この情報は[アプリケーションの検索]を使ってアプリケー ントが次と等しい ションを選択することで取得します。ファイルフィンガープリントを 指定する必要があります。 メモ: クライアントコンピュータのリストからファイルフィンガープリ ントを検索できます。 16 進数値を指定します(最大 32 桁)。 オプションを選択すると、追加のフィールドがダイアログに表示さ れます。各オプションに対してファイル名とパスを指定し、必要な 追加情報を入力します。 ファイル: ファイルのダウンロー ドが完了 FTP、UNC、または HTTP で、指定した場所から指定したディレ クトリにファイルをダウンロードできます。ファイルの場所にアクセ スするために認証が必要な場合は、ユーザー名とパスワードを指 定できます。 メモ: ユーザーに FTP または UNC ファイル共有からファイルを ダウンロードさせるには、匿名によるアクセスを許可するように共 有フォルダまたは FTP サーバーを設定する必要があります。 システム変数、レジストリ値、それらの組み合わせを使って、ファイル名とパスを指定でき ます。ファイルオプションの 1 つを選択すると、ダイアログにファイル名とパスを入力する 方法の例が表示されます。 アプリケーションの検索機能を使うことにより、記録したアプリケーションを検索できます。 カスタム必要条件スクリプトでファイルオプションを指定する場合、[アプリケーションの検 索]オプションを使うと[アプリケーションの検索]ツールと同じ検索ツールにアクセスでき ます。管理サーバーで定義されたグループを参照し、アプリケーションのフィルタ、検索 クエリーの入力、ファイルへの結果のエクスポートを行うことができます。 システム環境変数またはレジストリ値を使って検索するには システム環境変数を使うには WINDIR 環境変数で指定されたディレクトリにある cmd.exe という 名前のファイルを指定するには、次のコマンドを入力します。 %WINDIR%¥cmd.exe レジストリ値を使うには HKEY_LOCAL_MACHINE¥Software¥Symantec¥¥AppPath の値をファイル sem.exe のパスとして読み込むには、次のコマンド を入力します。 #HKEY_LOCAL_MACHINE¥Software¥Symantec¥AppPath#¥sem.exe レジストリとシステム環境変 レジストリ値とシステム環境変数の組み合わせを使う場合には次の 数の組み合わせを使うには 例を使いま す。%SYSTEMDIR%¥#HKEY_LOCAL_MACHINE¥Software¥Symantec¥¥AppPath# p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 691 692 第 35 章 カスタム必要条件の追加 条件について オペレーティングシステムの条件について カスタムホストインテグリティ必要条件では、IF-THEN 条件文の一部として、検査するオ ペレーティングシステム情報を指定できます。オプションを選択すると、追加のフィールド がダイアログに表示されます。 ユーティリティ: オペレーティングシステムは オペレーティングシステムを指定します。パッチを更新 する場合は、そのパッチが必要な正確なバージョンを 選択する必要があります。OR キーワードを使って複 数のオペレーティングシステムを指定できます。 ユーティリティ: オペレーティングシステム 言語は この関数は、クライアントのオペレーティングシステム の言語バージョンを検出します。言語バージョンが[カ スタム必要条件]ダイアログに表示されていない場合 は、[言語識別子]フィールドに識別子を入力すること で言語を追加できます。複数の識別子を追加するに は、「0405,0813」のようにカンマを使って各 ID を区 切ります。識別子の一覧については、状況感知型ヘ ルプの言語識別子の表を参照してください。 パッチ: 現在の Service Pack を指定した バージョンと比較 調べたい 2. のような Service Pack の番号を入力して ください。 番号は 2 文字に限定されます。[等しい]、 [等しくない]、[より小]、[より大]の条件を検査できま す。 数字の後に文字がある場合、数字だけの場合よりも大 きいと見なされます。たとえば、Service Pack 番号 6a は、6 よりも大きいと見なされます。パッチは必ず一度 に 1 つずつ適用してください。 パッチ: パッチがインストール済み 検査するパッチ名を入力します。たとえば、KB12345 と入力します。このフィールドには数字とアルファベッ トのみを入力できます。 パッチ名や Service Pack 番号は、正しいバージョンのオペレーティングシステムと一致 させてください。パッチまたは Service Pack に一致しないオペレーティングシステムを指 定すると、必要条件が失敗します。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 レジストリの条件について カスタムホストインテグリティ必要条件では、IF-THEN 条件文の一部として、検査する Windows のレジストリ設定を指定できます。また、レジストリ値を変更する方法も指定で きます。レジストリ設定としては、KEY_CLASSES_ROOT、HKEY_CURRENT_USER、 HKEY_LOCAL_MACHINE、HKEY_USERS、HKEY_CURRENT_CONFIG のみがサ ポートされています。 第 35 章 カスタム必要条件の追加 条件について レジストリ設定を検査するための以下の選択項目があります。 レジストリ: レジストリキーが存在する 存在するかどうかを検査するレジストリキー名を指定し ます。 レジストリ: レジストリ値が次の値と等しい レジストリキー名と値名を指定し、値を比較するデータ を指定します。 レジストリ: レジストリ値が存在する 指定した値名を持つかどうかを検査するレジストリキー 名を指定します。 レジストリ: レジストリ値の設定が正常に完 了 指定したキーに割り当てる値を指定します。キーが存 在しない場合は作成されます。この選択では、種類が 同じかどうかにかかわらず既存の値が置換されます。 既存の値が DWORD 値であり、文字列値を指定した 場合でも、DWORD が文字列値で置換されます。 レジストリ: レジストリ DWORD 値の増分が DWORD 値を指定します。この選択では、パッチを未 正常に完了 適用のコンピュータを、n 回を超えない範囲で必要条 件を満たしていると見なすなど、計数を行うことができ ます。 レジストリキーを指定する場合には以下の点に注意してください。 ■ キー名は 255 文字に制限される ■ レジストリキーの最後に円記号「¥」がある場合、レジストリキーとして解釈される。例: HKEY_LOCAL_MACHINE¥SOFTWARE¥ ■ レジストリキーの最後に円記号がない場合、レジストリ名として解釈される。例: HKEY_LOCAL_MACHINE¥SOFTWARE¥ActiveTouch レジストリ値を指定する場合には以下の点に注意してください。 ■ 値名は 255 文字に制限される。 ■ 値を DWORD(10 進)、バイナリ(16 進)、文字列のいずれかとして検査できる。 ■ DWORD 値では、値が指定した値より小さいか、等しいか、等しくないか、より大きい かを検査できる。 ■ 文字列値では、値データが指定した文字列に等しいか、指定した文字列が含まれて いるかどうかを検査できる。文字列比較で大文字と小文字を区別する場合は、[一致 のケース]チェックボックスにチェックマークを付ける。 ■ バイナリ値では、値データが指定したバイナリデータに等しいか、指定したバイナリ データが含まれているかどうかを検査できる。データは 16 進のバイトで表される。値 が含まれているかどうかを検査する場合は、このデータのオフセットも指定できる。オ フセットを空のままにすると、値の中に指定したバイナリデータが含まれているかどう 693 694 第 35 章 カスタム必要条件の追加 関数について かが検索される。16 進編集ボックスで指定可能な値は、0 から 9 までと a から f まで である。 レジストリ値の例を次に示します。 DWORD 12345(10 進) バイナリ 31 AF BF 69 74 A3 69(16 進) 文字列 ef4adf4a9d933b747361157b8ce7a22f p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 関数について 関数を使って、条件式が True または False と評価された場合に実行される処理を定義 します。 カスタム必要条件は、特定のウイルス対策製品のインストールを検査できますが、修復処 理として製品をインストールするように設定することはできません。カスタム必要条件を記 述する場合、関数の文を使って、実行される修復処理を明示的に定義する必要がありま す。 関数が記述されるのは、THEN 文と ELSE 文の内部か、カスタム必要条件スクリプトの最 初または最後です。希望する修復結果の実現には、複数の関数の指定が必要な場合も あります。各関数は、ファイルのダウンロードや実行など、非常に限定的なタスクを実行し ます。個別の関数を定義して、特定のウイルス対策製品のインストールのような特定の修 復処理を実行することはありません。特定のウイルス対策製品をダウンロードするには、 通常のダウンロード関数を使う必要があります。 表 35-1 には、カスタム必要条件スクリプトの次の関数が示されます。 表 35-1 カスタム必要条件の関数 関数 説明 ファイルのダウンロード URL または UNC で参照されるファイルをクライアントコンピュー タにダウンロードします。URL を使う場合は、HTTP と FTP の両 方がサポートされます。 レジストリ値を設定 指定されたレジストリキー内に含まれる Windows レジストリ値を 作成して設定するか、増加させます。 レジストリ DWORD 値の増分 ログメッセージ クライアントのセキュリティログとレジストリに追加するカスタムメッ セージを指定します。 第 35 章 カスタム必要条件の追加 カスタム必要条件の論理について 関数 説明 プログラムを実行 クライアントコンピュータにインストールされているプログラムを実 行します。ユーザーがログオンしているかどうかにかかわらずプ ログラムを実行するように指定できます。 スクリプトを実行 クライアントコンピュータ上でカスタムスクリプトを実行します。組 み込みテキストエディタを使って、スクリプトの内容を作成できま す。スクリプトには、バッチファイル、INI ファイルのほか、Windows が認識できる任意の実行可能形式を利用できます。また、スクリ プトは別のプログラムに渡すパラメータのみを含む場合がありま す。 タイムスタンプの設定 クライアントコンピュータ上の指定したファイルに、現在の日時で スタンプを設定します。 メッセージダイアログボックスを クライアントコンピュータ上に、[OK]オプションがあるメッセージ 表示 ダイアログウィンドウを表示します。デフォルトのタイムアウトを指 定できます。 待機 指定された期間、カスタム必要条件スクリプトの実行を一時停止 します。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 カスタム必要条件の論理について カスタム必要条件は、スクリプトに似た論理を使って記述します。ルールでは、事前定義 済みの条件と処理のリストから IF..THEN..ELSE 論理を使います。 p.695 の 「RETURN 文について」 を参照してください。 p.696 の 「IF、THEN、ENDIF 文について」 を参照してください。 p.696 の 「ELSE 文について」 を参照してください。 p.696 の 「NOT キーワードについて」 を参照してください。 p.696 の 「AND、OR キーワードについて」 を参照してください。 RETURN 文について RETURN 文を追加して、必要条件の全体的なホストインテグリティの結果を指定できま す。RETURN 文には、PASS キーワードと FAIL キーワードが含まれます。すべてのカス タム必要条件の最後に RETURN 文を含める必要があります。 事前定義済み必要条件とは異なり、カスタム必要条件ではホストインテグリティ検査の結 果を明示的に指定する必要があります。条件のセットの評価が True の場合、カスタム必 695 696 第 35 章 カスタム必要条件の追加 カスタム必要条件の論理について 要条件はホストインテグリティの評価に合格したものと見なす場合と、同じ評価でも、ホス トインテグリティの評価に失敗したものと見なす場合があります。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 IF、THEN、ENDIF 文について 1 つ以上の IF、THEN、ENDIF 文を使って、カスタム必要条件の基本的な論理構造を定 義できます。IF、THEN、ENDIF 文では以下を定義します。 ■ 特定の条件が検査される構造(IF) ■ その条件が True と評価された場合に実行される処理(THEN) IF、THEN、ENDIF 文を入れ子にして、複雑なカスタム必要条件を形成することができま す。ある条件を評価するには別の条件が True であることが必要な場合には、IF、THEN、 ENDIF 文を入れ子にする必要があります。 p.698 の 「IF THEN 文の追加」 を参照してください。 ELSE 文について IF、THEN、ENDIF 文は、条件のセットと、その条件が True と評価された場合に実行さ れる処理のセットです。さまざまな場合に、1 つ以上の処理を指定して、希望する修復処 理を実行する必要性が考えられます。ELSE 文を追加すると、指定した条件が False と評 価された場合に実行する処理を指定できます。 p.699 の 「ELSE 文の追加」 を参照してください。 NOT キーワードについて NOT キーワードを使って、特定の条件の論理的な評価を逆にすることができます。条件 の論理を逆にするには、条件がカスタム必要条件スクリプトに追加された後にその条件を 右クリックして、[NOT トグル]を選択します。NOT キーワードを使っても、IF 文全体の True と False の評価は変わりません。逆になるのは、特定の条件の True と False の状 態のみです。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 AND、OR キーワードについて IF、THEN、ENDIF 文の中では複数の条件を指定できますが、キーワードを文に追加す る必要があります。IF 文内では、AND キーワードまたは OR キーワードを追加して複数 の条件を論理的に結合することができます。条件の論理的な結合は、IF 文全体の True または False の評価に直接影響します。IF 文で AND キーワードを使った場合、IF 文が True になるには、IF 文のすべての条件が True と評価される必要があります。OR キー 第 35 章 カスタム必要条件の追加 カスタム必要条件スクリプトの記述 ワードを使った場合は、IF 文が True になるために評価される必要がある IF 文の条件は 1 つだけです。 複数の条件を指定する場合は、条件の論理的な結合を解釈して、適切な True または False の評価を予測する必要があります。カスタム必要条件スクリプトでは、カッコ形式で はなく、入れ子になったキーワードとノードで式が表示されます。. 最初の式は、常に最初 に指定された条件で始まり、同じ論理演算子キーワードが使われるかぎり続きます。たと えば、OR キーワードを使って、3 つの異なる条件を結合できます。OR キーワードを使う かぎり、すべての条件が同じ論理式内に含まれます。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 カスタム必要条件スクリプトの記述 カスタム必要条件を作成するには、スクリプトに 1 つ以上の IF..THEN.. 文を追加します。 スクリプトを実行するとき、ホストインテグリティ検査によって、IF ノードの下にある条件が 検索されます。条件がある場合は THEN ノードの下にある処理が実行され、条件がない 場合は結果(成功または失敗)が戻ります。 スクリプトでは、左ペインにツリー構造が、右ペインに条件または関数のドロップダウンリス トが表示されます。 カスタム必要条件の一部として、必要条件が失敗したときにホストインテグリティ検査を成 功とするかどうかを指定できます。1 つのスクリプトで異なる条件をいくつ検査するかを計 画するときは、この設定がカスタム必要条件スクリプト全体に適用されることに注意してく ださい。この設定が、簡単なカスタム必要条件をいくつか作成するか、または複数のステッ プを含む長いカスタム必要条件を 1 つ作成するかを決めるときに影響する場合がありま す。 カスタム必要条件スクリプトを記述するには 1 カスタム必要条件を追加します。 p.676 の 「ホストインテグリティ必要条件の追加」 を参照してください。 2 [カスタム必要条件]ダイアログボックスで、必要条件の名前を入力します。 必要条件名は、クライアントコンピュータに表示できます。名前により、必要条件が成 功したか失敗したかをユーザーに通知したり、ソフトウェアをダウンロードするように ユーザーに要求するメッセージを表示したりします。 3 条件を追加するには、[カスタム必要条件スクリプト]で[追加]、[IF..THEN..]の順に クリックします。 4 IF ノードで空の条件をハイライトして、右ペインで条件を選択します。 ホストインテグリティ検査により、クライアントコンピュータの条件が検索されます。 5 [条件を選択してください]ドロップダウンリストで、必要な追加情報を指定します。 697 698 第 35 章 カスタム必要条件の追加 カスタム必要条件スクリプトの記述 6 [カスタム必要条件スクリプト]で、[THEN]、[追加]の順にクリックします。 THEN 文には、条件に該当する場合に実行する処理を指定します。 7 8 次のいずれかのオプションをクリックします。 ■ IF..THEN 入れ子の IF..THEN.. 文を使って、追加の条件と処理を指定します。 p.698 の 「IF THEN 文の追加」 を参照してください。 ■ 関数 関数を使って、修復処理を定義します。 p.694 の 「関数について」 を参照してください。 ■ 戻り値 戻り値の文を使って、条件の成功または失敗の評価結果を指定します。すべて のカスタム必要条件は、成功または失敗の文で終える必要があります。 ■ コメント コメントを使って、追加する条件、関数、文の機能を説明します。 p.699 の 「コメントの追加」 を参照してください。 右側のペインで、追加した基準を定義します。 これらのオプションについて詳しくは[ヘルプ]を参照してください。 9 さらに入れ子になった文、条件、関数を追加するには、[カスタム必要条件スクリプ ト]でノードを右クリックして、[追加]をクリックします。 10 必要に応じて、手順 7 から 9 を繰り返します。 11 結果にかかわらずホストインテグリティ検査の合格を許可するには、[この必要条件 が失敗してもホストインテグリティ検査の合格を許可する]にチェックマークを付けま す。 12 必要条件の設定を完了したら、[OK]をクリックします。 IF THEN 文の追加 条件が True として評価された場合、IF..THEN 文をカスタムスクリプトに追加して検査の 条件と実行する処理を定義します。 IF THEN 文を追加するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件スクリプト]で、次のいずれかを選択します。 ■ 最初の IF THEN 文を追加するには、最上位ノードを選択します。 第 35 章 カスタム必要条件の追加 カスタム必要条件スクリプトの記述 ■ 既存の IF THEN 文と同じレベルに IF THEN 文を追加するには、[END IF]を 選択します。 ■ 入れ子にした IF THEN 文を追加するには、追加する行の上になる行を選択し ます。 3 [追加]をクリックします。 4 [IF..THEN]をクリックします。 IF 文と IF NOT 文の間での切り替え 検査の条件の真偽を切り替える必要が生じることがあります。 IF 文と IF NOT 文の間で変更するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 条件を右クリックして、[NOT トグル]をクリックします。 ELSE 文の追加 ELSE 文を追加すると、指定した条件が False と評価された場合に実行する処理を指定 できます。 ELSE 文を追加するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件スクリプト]で、[THEN]をクリックします。 3 [追加]、[ELSE]の順にクリックします。 コメントの追加 情報表示の目的で、文にコメントを追加することができます。 コメントを追加するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件スクリプト]ですでに追加した文を選択して、[追加]をクリックしま す。 699 700 第 35 章 カスタム必要条件の追加 メッセージダイアログボックスの表示 3 [コメント]をクリックします。 4 [ここに文を挿入してください]をクリックして、右側のペインの[コメント]テキストフィー ルドにコメントを入力します。 IF 文、条件、関数、コメントのコピーと貼り付け 文または IF THEN ノード全体を、カスタム必要条件内部または異なるカスタム必要条件 の間でコピーして貼り付けることができます。これらの要素をスクリプトの別の場所に移動 したり、機能を繰り返したりする場合は、コピーして貼り付けることができます。 IF 文のコピーと貼り付けを行うには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件スクリプト]でスクリプトの要素を右クリックして、[コピー]をクリック します。 3 空の文の行を右クリックして[貼り付け]をクリックします。 文、条件、関数の削除 文、条件、関数はいつでも削除できます。IF ノードの下に 1 つだけ条件文がある場合は、 条件文を削除すると IF THEN 文全体が削除されます。 文、条件、関数を削除するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件スクリプト]で、削除する必要条件の要素を選択します。 3 [削除]をクリックします。 4 削除するかどうかの確認を求められたら、[はい]をクリックします。 メッセージダイアログボックスの表示 クライアントがユーザーに表示するメッセージを作成するカスタムホストインテグリティ必要 条件で関数または条件を指定できます。関数または条件は、ユーザーが[OK]または[は い]をクリックした場合に True を返します。そうでない場合は False を返します。 第 35 章 カスタム必要条件の追加 ファイルのダウンロード メッセージダイアログボックスを表示するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件]ダイアログボックスの[カスタム必要条件スクリプト]で、関数を追 加するノードを選択します。 3 [追加]、[関数]の順にクリックします。 4 [ユーティリティ: メッセージダイアログボックスを表示]を選択します。 条件を挿入するには、[IF..THEN]を選択し、適切な分岐を選択します。[ユーティ リティ: メッセージダイアログボックスの戻り値が True と等価]を選択します。 5 メッセージボックスのタイトルを 64 文字以内で入力します。 6 メッセージボックスのテキストを 480 文字以内で入力します。 7 表示するアイコンを、[情報]、[質問]、[警告]、[エラー]の中から選択します。 アイコンとテキストの両方が表示されます。 8 9 ダイアログボックスに表示されるオプションのセットを選択します。 ■ OK ■ OK とキャンセル ■ はいといいえ オプションのセットごとにデフォルトのオプションを選択します。 10 一定時間ユーザーの応答がない場合にメッセージボックスを閉じてデフォルト値を 返すには、[最大待ち時間の後でメッセージウィンドウを消すために適用する処理] にチェックマークを付けて待ち時間を指定します。 時間の値は 0 よりも大きくする必要があります。 ファイルのダウンロード カスタム必要条件では、ファイルをクライアントコンピュータにダウンロードするように指定 できます。 ファイルをダウンロードするには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件]ダイアログボックスの[カスタム必要条件スクリプト]で、関数を追 加するノードを選択します。 3 [追加]、[関数]の順にクリックします。 701 702 第 35 章 カスタム必要条件の追加 レジストリ値の設定 4 [ファイル: ファイルをダウンロード]をクリックします。 5 ファイルのダウンロード元となる URL と、ダウンロード先のクライアントコンピュータ上 のフォルダを入力します。 場所は、URL または UNC で指定できます。URL を使う場合は、HTTP と FTP の両 方がサポートされます。 HTTP を選択する場合、[HTTP のみに必要な認証]にチェックマークを付けます。 認証のユーザー名とパスワードを入力します。 6 ファイルをクライアントコンピュータにダウンロードするときにユーザーがファイルを監 視できるようにするには、[ダウンロード処理のダイアログボックスを表示する]にチェッ クマークを付けます。 7 ユーザーがファイルのダウンロードを中止できるようにするには、[ユーザーがこの必 要条件のホストインテグリティを中止できる]にチェックマークを付けます。 ファイルが不適切なタイミングでダウンロードされると、ユーザーの作業が失われる 場合があります。 レジストリ値の設定 カスタム必要条件は、特定の値に Windows のレジストリ値を設定できます。レジストリ値 設定関数では、値が指定されていない場合は値が作成されます。 レジストリ値を設定するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件]ダイアログボックスの[カスタム必要条件スクリプト]で、関数を追 加するノードを選択します。 3 [追加]、[関数]の順にクリックします。 4 [レジストリ: レジストリ値を設定]をクリックします。レジストリ値には調べる値名と種類 が含まれています。 5 [レジストリキー]フィールドにレジストリキーを入力します。 6 [値名]フィールドに調べる値名を入力します。 7 [種類とデータの指定]で、次の値とコンテンツのタイプを 1 つを選択します。 ■ DWORD 値 ■ 文字列値 ■ バイナリ値 第 35 章 カスタム必要条件の追加 レジストリ DWORD 値の増分 レジストリ DWORD 値の増分 カスタム必要条件は、Windows のレジストリ DWORD 値を増分できます。レジストリの DWORD 値の増分関数では、キーが存在しない場合にはキーが作成されます。 レジストリ DWORD 値を増分するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件]ダイアログボックスの[カスタム必要条件スクリプト]で、関数を追 加するノードを選択します。 3 [追加]、[関数]の順にクリックします。 [レジストリ: レジストリの DWORD 値の増分]をクリックします。 4 [レジストリキー]フィールドに調べるレジストリキーを入力します。 5 [値名]フィールドに調べる値名を入力します。 プログラムの実行 カスタムホストインテグリティ必要条件では、クライアントでプログラムを起動する関数を指 定できます。 プログラムを実行するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件]ダイアログボックスの[カスタム必要条件スクリプト]で、関数を追 加するノードを選択します。 3 [追加]、[関数]の順にクリックします。 4 [ユーティリティ: プログラムを実行]をクリックします。 5 コマンドのテキストフィールドに、スクリプトを実行するコマンドを入力します。 実行前に環境変数が置換されます。たとえば、%windir% によって Windows ディ レクトリパスが置換されます。 6 [プログラムを実行]で、次のいずれかのオプションを選択します。 ■ システムコンテキスト内 ■ ログインユーザーのコンテキスト内 実行コマンドでファイルの絶対パスを指定して、ログインしているユーザーを表 示する必要があります。ユーザーがログインしていない場合、結果は失敗します。 703 704 第 35 章 カスタム必要条件の追加 スクリプトの実行 7 8 コマンドの実行が完了するまでに与えられる時間を指定するには、次のいずれかの オプションを選択します。 ■ 待たない 実行に成功すると処理は True を返しますが、実行が完了するのを待ちません。 ■ 実行が完了するまで待つ ■ 最大時間を入力してください 時間を秒単位で入力します。指定した時間内に実行コマンドが完了しない場合、 ファイルの実行が終了します。 省略可能なオプションとして、プログラムを実行する必要条件を示すウィンドウを表 示しない場合は、[新しいプロセスウィンドウを表示する]のチェックマークをはずしま す。 スクリプトの実行 カスタムホストインテグリティ必要条件では、クライアントでスクリプトを実行する関数を指 定できます。Microsoft Windows Script Host で実行できる、JScript や VBScript など のスクリプト言語を使えます。 スクリプトを実行するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件]ダイアログボックスの[カスタム必要条件スクリプト]で、関数を追 加するノードを選択します。 3 [追加]、[関数]の順にクリックします。 4 [ユーティリティ: スクリプトを実行]をクリックします。 5 myscript.js のように、スクリプトのファイル名を入力します。 6 スクリプトの内容を入力します。 7 [コマンドを実行する]テキストフィールドに、スクリプトを実行するコマンドを入力しま す。 スクリプトのファイル名を指定するには %F を使います。スクリプトはシステムコンテキ ストで実行されます。 8 コマンドの実行が完了するまでに与えられる時間を指定するには、次のいずれかの オプションを選択します。 ■ 待たない 実行に成功すると処理は True を返しますが、実行が完了するのを待ちません。 ■ 実行が完了するまで待つ 第 35 章 カスタム必要条件の追加 ファイルのタイムスタンプの設定 ■ 9 最大時間を入力してください 時間を秒単位で入力します。指定した時間内に実行コマンドが完了しない場合、 ファイルの実行が終了します。 省略可能なオプションとして、不要になった場合は[実行の完了後または終了後に 一時ファイルを削除する]のチェックマークをはずします。 このオプションは[待たない]を選択した場合は無効となり利用できません。 10 省略可能なオプションとして、スクリプトを実行する必要条件を示すウィンドウを表示 しない場合は、[新しいプロセスウィンドウを表示する]のチェックマークをはずしま す。 ファイルのタイムスタンプの設定 カスタムホストインテグリティ必要条件では、現在の日付と時刻を格納する Windows の レジストリ設定を作成するタイムスタンプ設定関数を指定できます。後でタイムスタンプの 確認条件を使って、タイムスタンプを作成してから指定した時間が経過したかどうかを判 定できます。 たとえば、ホストインテグリティ検査が 2 分毎に実行する場合、日などのより長い間隔で実 行する処理を指定できます。この場合、保存された次の時間の値は削除されます。 ■ クライアントが新しいプロファイルを受信した時間 ■ ユーザーが手動でホストインテグリティ検査を実行した時間 ファイルのタイムスタンプを設定するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件]ダイアログボックスの[カスタム必要条件スクリプト]で、関数を追 加するノードを選択します。 3 [追加]、[関数]の順にクリックします。 4 [ユーティリティ: タイムスタンプの設定]をクリックします。 5 日付と時刻の情報を格納するレジストリ設定の名前を、最大 256 文字で入力しま す。 現在の時刻を保存されている時刻の値と比較するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件]ダイアログボックスの[カスタム必要条件スクリプト]で、条件を追 加するノードを選択します。 3 [追加]、[IF..THEN..]の順にクリックします。 705 706 第 35 章 カスタム必要条件の追加 カスタム必要条件スクリプトの待ち時間の指定 4 [ユーティリティ: タイムスタンプの確認]をクリックします。 5 時間を格納するためのレジストリ設定の名前を入力します。 6 分、時間、日、週単位で期間を指定します。 指定した期間が経過したか、レジストリ設定の値が空の場合は、タイムスタンプの設 定関数は値 True を返します。 カスタム必要条件スクリプトの待ち時間の指定 カスタムホストインテグリティ必要条件では、カスタム必要条件スクリプトの実行前に指定 した時間待機させる関数を指定できます。 スクリプトの待ち時間を指定するには 1 カスタム必要条件スクリプトを記述します。 p.697 の 「カスタム必要条件スクリプトの記述」 を参照してください。 2 [カスタム必要条件]ダイアログボックスの[カスタム必要条件スクリプト]で、関数を追 加するノードを選択します。 3 [追加]、[関数]の順にクリックします。 4 [ユーティリティ: 待機]をクリックします。 5 待機する秒数を入力します。 36 Symantec Network Access Control エンフォーサアプラ イアンスの概要 この章では以下の項目について説明しています。 ■ Symantec Network Access Control Enforcer のアプライアンスについて ■ サードパーティのエンフォースメントソリューションのサポート Symantec Network Access Control Enforcer のアプラ イアンスについて Symantec Enforcer のアプライアンスは Symantec Network Access Control が有効 なクライアントと Symantec Network Access Control クライアントと連携動作するオプショ ンのネットワークコンポーネントです。 Symantec Network Access Control には Symantec Enforcer のアプライアンスにイン ストールする次の Linux ベースのエンフォーサイメージが付属しています。 ■ Symantec Network Access Control ゲートウェイエンフォーサアプライアンスイメー ジ ■ Symantec Network Access Control LAN エンフォーサアプライアンスイメージ さらに、すべての Windows ベースの Symantec Enforcer はネットワークを保護するた めに管理下クライアントと連携動作します。これらのクライアントは Symantec Endpoint Protection クライアントと Symantec Network Access Control クライアントを含んでい ます。 p.710 の 「エンフォーサアプライアンスのインストール」 を参照してください。 708 第 36 章 Symantec Network Access Control エンフォーサアプライアンスの概要 サードパーティのエンフォースメントソリューションのサポート p.729 の 「ゲートウェイエンフォーサアプライアンスのインストール計画」 を参照してくださ い。 p.710 の 「エンフォーサアプライアンスのインストール」 を参照してください。 サードパーティのエンフォースメントソリューションのサ ポート シマンテック社は、サードパーティの製造元向けにエンフォースメントソリューションを提供 しています。 ■ エンフォースメントの汎用 API シマンテック社は、他社が関連技術を利用して各社のソリューションとシマンテック製 ソフトウェアを統合できるようなエンフォースメントの汎用 API を開発しました。 ■ Cisco Network Admissions Control シマンテック製クライアントは Cisco Network Admissions Control のエンフォースメ ントソリューションをサポートできます。 37 すべての種類のエンフォー サアプライアンスのインス トール この章では以下の項目について説明しています。 ■ エンフォーサアプライアンスのインストールについて ■ エンフォーサアプライアンスのインストール ■ エンフォーサアプライアンスのインジケータとコントロールボタンについて ■ エンフォーサアプライアンスの設定 ■ エンフォーサアプライアンスへのログオン ■ エンフォーサアプライアンスの設定 エンフォーサアプライアンスのインストールについて 使用するエンフォーサの種類は、インストール作業中に選択します。エンフォーサアプラ イアンスをインストールする前に、次を実行します。 ■ ネットワークにおけるコンポーネントの場所に精通します。 ■ Symantec Network Access Control エンフォーサインストールディスク 2 を見つけ ます。 このディスクは Symantec Network Access Control エンフォーサアプライアンスの すべての種類のソフトウェアを含んでいます。 ■ エンフォーサアプライアンスに割り当てるホスト名を識別します。デフォルトのホスト名 は Enforcer です。ネットワークで各エンフォーサアプライアンスを簡単に識別できる ように、この名前を変更しなければならないことがあります。 710 第 37 章 すべての種類のエンフォーサアプライアンスのインストール エンフォーサアプライアンスのインストール ■ エンフォーサアプライアンスのネットワークインターフェースカード(NIC)の IP アドレス を識別します。 ■ ドメインネームサーバー(DNS)の IP アドレス、ホスト名、ドメイン ID(該当する場合) を識別します。ホスト名を解決できるのは DNS サーバーだけです。 エンフォーサアプライアンスは、ホスト名を使って Symantec Endpoint Protection Manager に接続する場合、DNS サーバーに接続する必要があります。 DNS サーバーの IP アドレスの設定は、インストール時に行なうことができます。ただ し、configure DNS コマンドを使用すれば、エンフォーサコンソールから DNS サー バーの IP アドレスを変更できます。 p.710 の 「エンフォーサアプライアンスのインストール」 を参照してください。 エンフォーサアプライアンスのインストール 表 37-1 に、すべての種類のエンフォーサアプライアンスをインストールする手順を示しま す。 エンフォーサアプライアンスのインストール概略 表 37-1 手順 操作 説明 手順 1 ネットワーク内のエン エンフォーサをネットワークの特定の場所に配置して、すべ フォーサの配置場所を学 てのエンドポイントをセキュリティポリシーに準拠させる必要 習する。 があります。 p.729 の 「ゲートウェイエンフォーサアプライアンスのインス トール計画」 を参照してください。 p.782 の 「LAN エンフォーサアプライアンスの配置場所」 を 参照してください。 手順 2 アプライアンスをセットアッ ネットワークにエンフォーサアプライアンスを接続します。 プする。 p.709 の 「エンフォーサアプライアンスのインストールについ て」 を参照してください。 p.711 の 「エンフォーサアプライアンスのインジケータとコン トロールボタンについて」 を参照してください。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してく ださい。 第 37 章 すべての種類のエンフォーサアプライアンスのインストール エンフォーサアプライアンスのインジケータとコントロールボタンについて 手順 操作 説明 手順 3 アプライアンスを設定す る。 エンフォーサのコマンドラインからエンフォーサアプライアン スにログオンして設定します。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照 してください。 p.714 の 「エンフォーサアプライアンスの設定」 を参照してく ださい。 エンフォーサアプライアンスのインジケータとコントロー ルボタンについて エンフォーサアプライアンスは、固定レール対応の 1U ラックマウント可能シャーシに設置 します。 図 37-1 は、前面パネルのオプションのベゼルの背面に配置されたコントロールボタン、 インジケータ、コネクタを示します。 図 37-1 エンフォーサアプライアンスの前面パネル 1 DVD-ROM ドライブ 2 電源スイッチ 3 リセットアイコン 4 USB ポート 5 ハードディスクドライブライト 6 ディスプレイ 7 予約済み; 使用しない 図 37-2 は、システムの背面パネルを示します。 711 712 第 37 章 すべての種類のエンフォーサアプライアンスのインストール エンフォーサアプライアンスの設定 図 37-2 エンフォーサアプライアンスの背面パネル(フェールオープンモデル) 1 電源コードコネクタ 2 マウスコネクタ 3 キーボードコネクタ 4 USB ポート 5 シリアルポート 6 ディスプレイ 7 予約済み; 使用しない 8 予約ネットワークポート; 使用しない 9 eth0 ネットワークポート 10 eth1 ネットワークポート 提供されたシリアルポートとシリアルケーブルを使って、ディスプレイとキーボードがつな がれた別のシステムに接続できます。または、ディスプレイやキーボードを直接接続でき ます。シリアルポートを使用して接続する場合、エンフォーサに設定されるデフォルトボー レートは 9600 bps です。他のシステムの接続をこれに合わせて設定する必要がありま す。接続には、シリアルポートを使うことを推奨します。シリアルポートを使って接続する と、トラブルシューティングをする場合に、接続しているコンピュータにファイル(デバッグ 情報など)を転送できます。 p.710 の 「エンフォーサアプライアンスのインストール」 を参照してください。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 エンフォーサアプライアンスの設定 エンフォーサアプライアンスハードウェアをネットワークに接続し、電源をオンにして、コマ ンドラインからログオンすることにより、エンフォーサアプライアンスハードウェアを設定し ます。 p.710 の 「エンフォーサアプライアンスのインストール」 を参照してください。 第 37 章 すべての種類のエンフォーサアプライアンスのインストール エンフォーサアプライアンスの設定 p.711 の 「エンフォーサアプライアンスのインジケータとコントロールボタンについて」 を参 照してください。 エンフォーサアプライアンスをセットアップするには 1 エンフォーサアプライアンスを開封します。 2 ラックにマウントするか、または水平な面に配置します。 エンフォーサアプライアンスに含まれるラックマウント操作手順を参照してください。 3 電源プラグをコンセントに差し込みます。 4 次のどちらかの方法でエンフォーサアプライアンスに接続します。 5 ■ シリアルポートを使って、エンフォーサアプライアンスに別のコンピュータを接続 します。 DB9 コネクタ(メスコネクタ)が付いているヌルモデムケーブルを使います。エン フォーサコンソールにアクセスするために、HyperTerminal、CRT、NetTerm などのターミナルソフトウェアを使う必要があります。ターミナルソフトウェアを、 9600 bps、データビット 8、パリティなし、1 ストップビット、フロー制御なしに設定 します。 ■ エンフォーサアプライアンスに、キーボードと VGA ディスプレイを直接接続しま す。 次のように、ネットワークインターフェースポートにイーサネットケーブルを接続しま す。 ゲートウェイエンフォーサアプラ 2 つのイーサネットケーブルを接続します。1 つのケーブル イアンス は eth0 ポートに接続します (内部 NIC)。他のケーブルは エンフォーサアプライアンス後部の eth1 ポート (外部 NIC) に接続します。 内部 NIC は、保護ネットワークと Symantec Endpoint Protection Manager 側に接続します。外部 NIC はエンド ポイント側に接続します。 LAN エンフォーサアプライアン エンフォーサアプライアンスの背面の eth0 ポートに 1 つの ス イーサネットケーブルを接続します。 このケーブルは内部 ネットワークに接続します。内部ネットワークは、802.1x 対 応スイッチとネットワーク内の任意の追加 802.1x 対応スイッ チに接続します。 6 電源のスイッチをオンにします。 エンフォーサアプライアンスが起動します。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 p.714 の 「エンフォーサアプライアンスの設定」 を参照してください。 713 714 第 37 章 すべての種類のエンフォーサアプライアンスのインストール エンフォーサアプライアンスへのログオン エンフォーサアプライアンスへのログオン エンフォーサアプライアンスをオンにしたり、再起動したりすると、エンフォーサアプライア ンスコンソールへのログオンを要求する次のようなプロンプトが表示されます。 Enforcer Login 次のレベルのアクセスが利用できます。 スーパーユーザー すべてのコマンドにアクセス 通常 コマンド階層の各レベルの clear、exit、help、および show コマンドのみ にアクセス メモ: 何も操作しないと、エンフォーサアプライアンスは 90 秒後に自動的にユーザーをロ グオフします。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 すべてのコマンドへのアクセス権付きでエンフォーサアプライアンスにログオンするには 1 コマンドラインで次のコマンドを入力して、すべてのコマンドへのアクセス権付きでエ ンフォーサアプライアンスにログオンします。 root 2 初期インストールの間に作成したパスワードを入力します。 デフォルトパスワードは symantec です。 root のコンソールコマンドプロンプトは Enforcer# です。 一部のコマンドへのアクセス権付きでエンフォーサアプライアンスにログオンするには 1 一部のコマンドへのアクセス権付きでエンフォーサアプライアンスにログオンする場 合は、コマンドラインで次のコマンドを入力します。 admin 2 コマンドラインでパスワードを入力します。 デフォルトパスワードは symantec です。 admin のコンソールコマンドプロンプトは Enforcer$ です。 p.714 の 「エンフォーサアプライアンスの設定」 を参照してください。 エンフォーサアプライアンスの設定 エンフォーサのコマンドラインインターフェースからアプライアンスを設定します。 第 37 章 すべての種類のエンフォーサアプライアンスのインストール エンフォーサアプライアンスの設定 p.1021 の 「エンフォーサアプライアンスの CLI コマンド階層について」 を参照してください。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 エンフォーサアプライアンスを設定するには 1 エンフォーサのプロンプトに応答して、次の通りにエンフォーサアプライアンスの種 類を指定します。 1. Select Enforcer mode [G] Gateway [L] LAN 上記のモードについて説明します。 2 G ゲートウェイエンフォーサアプライアンス L LAN エンフォーサアプライアンス エンフォーサアプライアンスのホスト名を変更するか、Enter キーを押してこのホスト 名をそのまま残します。 エンフォーサアプライアンスのデフォルトのホスト名は Enforcer です。エンフォーサ アプライアンスの名前は、次のハートビートで Symantec Endpoint Protection Manager に自動的に登録されます。 プロンプトが表示されたときに、エンフォーサアプライアンスのホスト名を変更するに は、次のコマンドを入力します。 2. Set the host name Note: 1) Input new hostname or press "Enter" for no change.[Enforcer]: hostname <ホスト名> p.1030 の 「hostname」 を参照してください。 この <ホスト名>は、エンフォーサアプライアンスの新しいホスト名です。 エンフォーサアプライアンスのホスト名を DNS サーバー自体に登録することを忘れ ないでください。 3 次のコマンドを入力して、エンフォーサアプライアンスの新しいホスト名を確認しま す。 show hostname 4 DNS サーバーの IP アドレスを入力し、Enter キーを押します。 715 716 第 37 章 すべての種類のエンフォーサアプライアンスのインストール エンフォーサアプライアンスの設定 5 最初に次のコマンドを入力し、プロンプトが表示されたら新しいルートパスワードを入 力します。 password Old password: <新しいパスワード> エンフォーサアプライアンスにログオンするために使った root パスワードを変更す る必要があります。リモートアクセスは、パスワードを変更するまで有効になりません。 新しいパスワードには 9 文字以上が必要で、1 つの英小文字、1 つの英大文字、1 つの数字、1 つの記号文字を含む必要があります。 6 新しい admin パスワードを入力します。 7 次のプロンプトに従ってタイムゾーンを設定します。 Set the time zone Current time zone is [+0000].Change it?[Y/n] If you click 'Y', follow the steps below: 1) Select a continent or ocean 2) Select a country 3) Select one of the time zone regions 4) Set the date and time Enable the NTP feature [Y/n] Set the NTP server: Note: We set up the NTP server as an IP address 8 日時を設定します。 9 エンフォーサのプロンプトに従ってネットワーク設定を行い、インストールを完了しま す。 Enter network settings Configure eth0: Note: Input new settings. IP address []: Subnet mask []: Set Gateway?[Y/n] Gateway IP[]: Apply all settings [Y/N]: 38 すべての種類のエンフォー サアプライアンスイメージの アップグレードと再イメージ 処理 この章では以下の項目について説明しています。 ■ エンフォーサアプライアンスイメージのアップグレードと再イメージ処理について ■ エンフォーサハードウェアの互換性の表 ■ エンフォーサアプライアンスイメージの現在のバージョンの判断 ■ エンフォーサアプライアンスイメージのアップグレード ■ エンフォーサアプライアンスイメージの再イメージ処理 エンフォーサアプライアンスイメージのアップグレードと 再イメージ処理について エンフォーサアプライアンスソフトウェアの更新または再イメージ処理を計画するには、前 もってエンフォーサアプライアンスソフトウェアのバージョンを確認します。 p.719 の 「エンフォーサアプライアンスイメージの現在のバージョンの判断」 を参照してく ださい。 Symantec Endpoint Protection Manager の最新バージョンに接続する場合、エン フォーサアプライアンスのイメージを現在のバージョンにアップグレードする必要がある場 合もあります。アップグレードは Symantec Network Access Control エンフォーサアプ 718 第 38 章 すべての種類のエンフォーサアプライアンスイメージのアップグレードと再イメージ処理 エンフォーサハードウェアの互換性の表 ライアンスが提供する新しい機能を利用することを可能にします。エンフォーサアプライア ンスは、Symantec Endpoint Protection Manager 11.0 と、それ以降のすべてのバー ジョンおよびリリース更新版と連携します。 次のいずれかの方法を選択して、エンフォーサアプライアンスイメージをアップグレード できます。 ■ 現在のエンフォーサアプライアンスイメージをアップグレードする p.719 の 「エンフォーサアプライアンスイメージのアップグレード」 を参照してください。 ■ 以前のエンフォーサアプライアンスイメージの上に異なるエンフォーサアプライアンス イメージをインストールする p.720 の 「エンフォーサアプライアンスイメージの再イメージ処理」 を参照してください。 エンフォーサハードウェアの互換性の表 「「エンフォーサハードウェアの互換性の表」」に、Symantec Network Access Control アプライアンスイメージのリリースごとに、それらの Dell エンフォーサアプライアンスハー ドウェアモデルに対するテストとサポートのレベルを示します。 表 38-1 エンフォーサハードウェアの互換性の表 イメージのバージョン Dell PE 850 Dell PE 860 バージョン 12.1 のイメージ サポート外 部分的にテ 全面的にテ 全面的にテ スト済みでサ スト済みでサ スト済みでサ ポート対象 ポート対象 ポート対象 Dell R200 Dell R210 バージョン 11.0.6100 以上(RU6 MP1 部分的にテ 部分的にテ 全面的にテ 全面的にテ 以上)のイメージ スト済みでサ スト済みでサ スト済みでサ スト済みでサ ポート対象 ポート対象 ポート対象 ポート対象 バージョン 11.0.6 のイメージ 全面的にテ 全面的にテ 全面的にテ サポート外 スト済みでサ スト済みでサ スト済みでサ ポート対象 ポート対象 ポート対象 バージョン 11.0.2、11.0.3、11.0.4、 11.0.5 のイメージ 全面的にテ 全面的にテ 全面的にテ サポート外 スト済みでサ スト済みでサ スト済みでサ ポート対象 ポート対象 ポート対象 バージョン 11.0.0、11.0.1 のイメージ 全面的にテ 全面的にテ サポート外 スト済みでサ スト済みでサ ポート対象 ポート対象 サポート外 第 38 章 すべての種類のエンフォーサアプライアンスイメージのアップグレードと再イメージ処理 エンフォーサアプライアンスイメージの現在のバージョンの判断 エンフォーサアプライアンスイメージの現在のバージョン の判断 エンフォーサアプライアンスでサポートされているイメージの現在のバージョンを調べる必 要があります。最新のバージョンを使っていない場合は、アップグレードすることを検討し てください。 エンフォーサアプライアンスイメージの現在のバージョンを調べるには、エンフォーサアプ ライアンスの CLI で次のコマンドを入力します。show version p.1032 の 「show」 を参照してください。 エンフォーサアプライアンスイメージのアップグレード エンフォーサアプライアンスイメージを最新のイメージに更新するには、次のいずれかの 方法を使うことができます。 ■ USB(Universal Serial Bus)ディスクを使ってエンフォーサアプライアンスのイメージ を 5.1.x から現在のバージョンにアップグレードする ■ TFTP サーバーからエンフォーサアプライアンスのイメージを 5.1.x から現在のバー ジョンにアップグレードする USB ディスクを使ってエンフォーサアプライアンスのイメージを 5.1.x からアップグレード するには 1 initrd-Enforcer.img.gpg とパッケージリストの 2 つの更新ファイルを USB ディス クにコピーします。 2 次のコマンドを入力してエンフォーサアプライアンスを自動更新します。 Enforcer# update p.1034 の 「update」 を参照してください。 TFTP サーバーでエンフォーサアプライアンスのイメージを 5.1.x からアップグレードする には 1 エンフォーサアプライアンスが接続できる TFTP(Trivial File Transfer Protocol) サーバーに、2 つの更新ファイル、initrd-Enforcer.img.gpg とパッケージリストを アップロードします。 2 エンフォーサアプライアンスのコンソールで、次のコマンドを実行します。 Enforcer:# update tftp://<TFTP サーバーの IP アドレス > p.1034 の 「update」 を参照してください。 3 新しいイメージを実行するかどうかを尋ねるメッセージが表示されたら、Y を選択しま す。 719 720 第 38 章 すべての種類のエンフォーサアプライアンスイメージのアップグレードと再イメージ処理 エンフォーサアプライアンスイメージの再イメージ処理 4 新しいイメージを適用したら、1 を選択してエンフォーサアプライアンスを再起動しま す。 エンフォーサアプライアンスを再起動せずに新しいイメージを実行しないでください。 5 エンフォーサアプライアンスにログオンします。 6 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 エンフォーサアプライアンスイメージの再イメージ処理 エンフォーサアプライアンスには、ゲートウェイや LAN など、すべてのエンフォーサアプ ライアンスで使える再イメージ処理ソフトウェアが付属しています。再イメージ処理ソフト ウェアには、強化された Linux オペレーティングシステムと、エンフォーサアプライアンス イメージの置換処理用のエンフォーサアプライアンスソフトウェアが含まれます。 ディスク 2 からインストールを開始すると、再イメージ処理によりエンフォーサアプライアン スの既存の設定が消去されます。新しいファイルは、すべての既存のファイルを上書きし てインストールされます。エンフォーサアプライアンスで設定されていた以前の設定はす べて消失されます。 エンフォーサアプライアンスイメージの種類を変更したい場合は、別の種類のエンフォー サアプライアンスイメージをインストールできます。エンフォーサアプライアンスイメージの 種類を変更する場合、企業ネットワークの別の場所にエンフォーサアプライアンスを配置 しなければならないことがあります。 エンフォーサを再イメージ処理するときには、Symantec Endpoint Protection Manager に保存されていた、そのエンフォーサに関係するすべてのグループ情報を破棄する必要 もあります。新しい種類のエンフォーサでは、最初から始めることになります。新しいエン フォーサは、以前の Symantec Endpoint Protection Manager グループ情報をすべて 完全に破棄します。新しい共有キーを作成する必要があり、適切な連携が行われるよう に、必要に応じて Symantec Endpoint Protection Manager グループ情報を手動で再 設定する必要があります。 エンフォーサアプライアンスを再イメージ処理するには 1 エンフォーサアプライアンスのディスクドライブに製品ディスク 2 を挿入します。 2 コマンドラインで、次のコマンドを入力します。 Enforcer:# reboot このコマンドはエンフォーサアプライアンスを再起動します。 第 38 章 すべての種類のエンフォーサアプライアンスイメージのアップグレードと再イメージ処理 エンフォーサアプライアンスイメージの再イメージ処理 3 製品ディスクから[セットアップ]メニューで、[Symantec Enforcer のセットアップ]を 選択します。 セットアップメニューが表示されない場合、エンフォーサアプライアンスは製品ディス クからではなくハードディスクから再起動します。再イメージ処理を行うには、製品 ディスクから再起動する必要があります。 4 エンフォーサアプライアンスをインストールし、設定します。 p.709 の 「エンフォーサアプライアンスのインストールについて」 を参照してください。 721 722 第 38 章 すべての種類のエンフォーサアプライアンスイメージのアップグレードと再イメージ処理 エンフォーサアプライアンスイメージの再イメージ処理 39 すべての種類のエンフォー サアプライアンスのコンソー ルでの基本的なタスクの実 行 この章では以下の項目について説明しています。 ■ エンフォーサアプライアンスのコンソールでの基本的なタスクの実行について ■ エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の接続 の設定 ■ エンフォーサコンソールでのエンフォーサアプライアンスの通信状態チェック ■ エンフォーサアプライアンスへのリモートアクセス エンフォーサアプライアンスのコンソールでの基本的な タスクの実行について 次のパラメータは、エンフォーサアプライアンスをインストールしたときにすでに設定して います。 ■ エンフォーサアプライアンスのホスト名 ■ 特定のエンフォーサアプライアンスがメンバーであるエンフォーサアプライアンスグ ループのグループ名 ■ 内部および外部のネットワークインターフェースカード(NIC)の IP アドレス ■ DNS サーバーの IP アドレス(該当する場合) 724 第 39 章 すべての種類のエンフォーサアプライアンスのコンソールでの基本的なタスクの実行 エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の接続の設定 ■ NTP サーバーの IP アドレス(該当する場合) さらに、エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の 接続を設定する必要があります。この接続を設定するには、エンフォーサアプライアンス のコンソールで spm コマンドを実行します。このタスクを行なわないと、エンフォーサアプ ライアンスを使用することはできません。 p.724 の 「エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間 の接続の設定」 を参照してください。 最初にエンフォーサアプライアンスをインストールして設定した後、エンフォーサコンソー ルまたは Symantec Endpoint Protection Manager から管理タスクを実行できます。複 数のエンフォーサアプライアンスを管理する場合は、そのすべてを 1 カ所で集中管理す ると便利です。 また、すべてのエンフォーサアプライアンスにはコマンドラインインターフェース(CLI)もあ るので、コマンドを実行して任意の数のパラメータを変更することが可能です。 p.1021 の 「エンフォーサアプライアンスの CLI コマンド階層について」 を参照してください。 エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の接続の設定 エンフォーサコンソールで、エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の通信を確立する必要があります。また、エンフォーサアプライアンスの設置 とエンフォーサアプライアンスの内部 NIC と外部 NIC の設定を完了している必要もありま す。 p.709 の 「エンフォーサアプライアンスのインストールについて」 を参照してください。 エンフォーサコンソールで、エンフォーサアプライアンスと Symantec Endpoint Protection Manager との間の通信を確立する場合は、次の情報が必要です。 ■ Symantec Endpoint Protection Manager の IP アドレス IP アドレスを入手するには、Symantec Endpoint Protection Manager がインストー ルされているサーバーの管理者に確認してください。 ■ エンフォーサアプライアンスを割り当てたいエンフォーサグループの名前 エンフォーサアプライアンスのエンフォーサグループ名を設定すると、そのグループ 名が自動的に Symantec Endpoint Protection Manager に登録されます。 ■ エンフォーサアプライアンスとの通信に使う Symantec Endpoint Protection Manager のポート番号 デフォルトのポート番号は 8014 です。 ■ Symantec Endpoint Protection Manager の初期インストールの間に作成された暗 号化パスワード 第 39 章 すべての種類のエンフォーサアプライアンスのコンソールでの基本的なタスクの実行 エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の接続の設定 エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の接続を設 定するには 1 エンフォーサアプライアンスのコンソールのコマンドラインで、configure と入力しま す。 2 次のように入力します。 spm ip <IP アドレス > group <エンフォーサのグループ名 > http <ポート番号 > key <暗号化パスワード > p.725 の 「SPM の設定」 を参照してください。 ガイドラインとして次の例を使うことができます。 spm ip 192.168.0.64 group CorpAppliance http 8014 key symantec この例は、CorpAppliance グループのエンフォーサアプライアンスが IP アドレス 192.168.0.64 の Symantec Endpoint Protection Manager と通信するように設定 します。symantec の暗号化パスワードまたは事前共有秘密を使い、8014 番ポート で HTTP プロトコルを使います。 3 エンフォーサアプライアンスと Symantec Endpoint Protection Manager の通信 状態を確認します。 p.726 の 「エンフォーサコンソールでのエンフォーサアプライアンスの通信状態チェッ ク」 を参照してください。 4 クライアントソフトウェアを設定して配備、インストールするか、まだの場合はダウン ロードします。 ゲスト(管理外クライアントコンピュータ)による Symantec Network Access Control On-Demand Client の自動ダウンロードを許可するには、自動ダウンロード処理を 管理するゲートウェイエンフォーサを設定します。 p.926 の 「Symantec Network Access Control On-Demand Client が一時的に ネットワークに接続できるようにする」 を参照してください。 SPM の設定 configure spm コマンドは、エンフォーサアプライアンスと Symantec Endpoint Protection Manager との接続を設定します。 いずれかの値を変更する場合には、すべての値を入力する必要があります。指定しない 値には自動的にデフォルトの値が使われます。 configure spm コマンドは次の構文を使います。 configure spm {[ip <IP アドレス>] | [group <グループ名>] | [http <ポート番号>] | https 725 726 第 39 章 すべての種類のエンフォーサアプライアンスのコンソールでの基本的なタスクの実行 エンフォーサコンソールでのエンフォーサアプライアンスの通信状態チェック <ポート番号>] | [key <キー名>]} | [del key <共有キー>] 上記の引数について説明します。 ip <IP アドレス> Symantec Endpoint Protection Manager の IP アドレスを追加できます。 del key <共有キー> 共有秘密キーを削除します。 group <グループ名 エンフォーサアプライアンスの任意のグループ名を指定できます。したがっ > て Symantec Endpoint Protection Manager のコンソールのエンフォーサ アプライアンスを区別するために、重複のないグループ名を割り当てること が推奨されます。 http <ポート番号> Symantec Endpoint Protection Manager との通信のための、HTTP プロ トコルとポート番号を指定できます。 デフォルトのプロトコルは HTTP です。HTTP プロトコルのデフォルトのポー ト番号は 80 です。 https <ポート番号> Symantec Endpoint Protection Manager との通信のための、HTTPS プ ロトコルとポート番号を指定できます。HTTPS プロトコルを使うように Symantec Endpoint Protection Manager が設定されている場合、このコ マンドだけを使ってください。 HTTPS プロトコルのデフォルトのポート番号は 443 です。 key <キー名> Symantec Endpoint Protection Manager が事前共有秘密キー付きでイ ンストールされている場合に必要になる、暗号化パスワードを指定できます。 次の例は、CorpAppliance というエンフォーサグループのエンフォーサアプライアンスが IP アドレス 192.168.0.64 の Symantec Endpoint Protection Manager と通信するよう に設定する方法を記述したものです。HTTP プロトコルをポート 80 で暗号化パスワード の「security」とともに使います。 configure spm ip 192.168.0.64 group CorpAppliance http 80 key security p.1022 の 「CLI コマンド階層」 を参照してください。 エンフォーサコンソールでのエンフォーサアプライアンス の通信状態チェック エンフォーサコンソールから、エンフォーサアプライアンスの通信状態をチェックできます。 第 39 章 すべての種類のエンフォーサアプライアンスのコンソールでの基本的なタスクの実行 エンフォーサアプライアンスへのリモートアクセス エンフォーサコンソールでエンフォーサアプライアンスの通信状態をチェックするには 1 まだログオンしていなければエンフォーサコンソールにログオンします。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 2 次のコマンドを入力します: show status 現在の接続状態についての情報を表示できます。 次の例は、エンフォーサアプライアンスがオンラインであり、192.168.0.1 の IP アド レスと通信ポート 8014 番で Symantec Endpoint Protection Manager に接続し ていることを示したものです。 Enforcer#: show status Enforcer Status: Policy Manager Connected: Policy Manager: Packets Received: Packets Transmitted: Packet Receive Failed: Packet Transfer Failed: Enforcer Health: Enforcer Uptime: Policy ID: ONLINE(ACTIVE) YES 192.168.0.1 HTTP 8014 3659 3615 0 0 EXCELLENT 10 days 01:10:55 24/03/2010 21:31:55 エンフォーサアプライアンスへのリモートアクセス コマンドラインアクセスでエンフォーサと安全に通信するために、次のいずれかの方法を 使います。 ■ ネットワーク KVM スイッチか同等のデバイス ■ SSH v2 ターミナルコンソールサーバーをサポートする SSH クライアント ■ シリアルケーブル p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 727 728 第 39 章 すべての種類のエンフォーサアプライアンスのコンソールでの基本的なタスクの実行 エンフォーサアプライアンスへのリモートアクセス 40 ゲートウェイエンフォーサア プライアンスのインストール の計画 この章では以下の項目について説明しています。 ■ ゲートウェイエンフォーサアプライアンスのインストール計画 ■ ゲートウェイエンフォーサアプライアンスの NIC の設定 ■ ゲートウェイエンフォーサアプライアンスのフェールオーバー計画 ■ ゲートウェイエンフォーサアプライアンスのフェールオープンおよびフェールクローズ 計画 ゲートウェイエンフォーサアプライアンスのインストール 計画 ゲートウェイエンフォーサアプライアンスは、一般に安全なポリシーを強制するブリッジと してインラインで使用され、外部の侵入者から企業ネットワークを保護します。ゲートウェ イエンフォーサアプライアンスを設置する前に、ネットワーク上の適切な配置場所を検討 する必要があります。ゲートウェイエンフォーサアプライアンスを企業ネットワークの至る所 に配置して、すべてのエンドポイントをセキュリティポリシーに準拠させることができます。 ゲートウェイエンフォーサアプライアンスの別の用途は、ゲストユーザー用のオンデマンド クライアントをホストすることです。これらのクライアントにはエンフォーサへの一時的なア クセスが提供され、セキュリティクレデンシャルが検証されてから、ネットワークへのアクセ スが許可されます。 p.919 の 「Symantec Network Access Control On-Demand Client について」 を参照 してください。 730 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのインストール計画 この場合のゲートウェイエンフォーサはパケットを通過させているのではなく、ホストとして 機能しています。この機能はあまり使われないので、エンフォーサのコマンドラインから実 行されます。 configure > advanced > guest-enf enable p.1021 の 「エンフォーサアプライアンスの CLI コマンド階層について」 を参照してください。 メモ: Symantec Sygate Endpoint Protection 5.1 クライアントからアップグレードする場 合は、最初に Symantec Endpoint Protection Manager をアップグレードし、その後エ ンフォーサ、クライアントの順にアップグレードして、それらをまずバージョン 12.1 に移行 する必要があります。Symantec Endpoint Protection Manager とエンフォーサがバー ジョン 11.x になったら、11.x より古いクライアントがある場合は最後の手順を実行する前 に、エンフォーサのメニューで[レガシークライアントを許可する]にチェックマークを付け る必要があります。その後で、現在のリリースへのアップグレードを終えます。 ゲートウェイエンフォーサアプライアンスは、一般にネットワークの次の場所で使用されま す。 ■ VPN ■ 無線アクセスポイント (WAP) ■ ダイヤルアップ(リモートアクセスサーバー(RAS)) ■ イーサネット(LAN)セグメント ネットワークでのゲートウェイエンフォーサアプライアンスの実装に役立つ、各種の計画情 報があります。 一般的な配置: ■ p.731 の 「ゲートウェイエンフォーサアプライアンスを配置する場所」 を参照してくださ い。 ■ p.733 の 「ゲートウェイエンフォーサアプライアンスで IP アドレスを設定する際のガイド ライン」 を参照してください。 ■ p.733 の 「連続する 2 つのゲートウェイエンフォーサアプライアンスについて」 を参照 してください。 ネットワークの特定の領域: ■ p.734 の 「ゲートウェイエンフォーサアプライアンスを介した VPN アクセスの保護」 を 参照してください。 ■ p.734 の 「ゲートウェイエンフォーサアプライアンスを介した無線アクセスポイントの保 護」 を参照してください。 ■ p.734 の 「ゲートウェイエンフォーサアプライアンスを介したサーバーの保護」 を参照 してください。 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのインストール計画 ■ p.735 の 「ゲートウェイエンフォーサアプライアンスを介した Windows 以外のサーバー およびクライアントの保護」 を参照してください。 ■ p.736 の 「Windows 以外のクライアントを認証せずに許可するための必要条件」 を参 照してください。 ゲートウェイエンフォーサアプライアンスを配置する場所 クライアントが次の操作を実行する前に、すべてのトラフィックがゲートウェイエンフォーサ を通過する場所にゲートウェイエンフォーサを配置できます。 ■ 企業ネットワークへの接続 ■ ネットワークの保全された領域への到達 p.733 の 「ゲートウェイエンフォーサアプライアンスで IP アドレスを設定する際のガイドライ ン」 を参照してください。 通常は、次の場所にゲートウェイエンフォーサアプライアンスを配置できます。 VPN VPN のコンセントレイタと企業ネットワークの間 無線アクセスポイント (WAP) 無線アクセスポイントと企業ネットワークの間 サーバー 企業サーバーの手前 大きい組織では、すべてのネットワークのエントリポイントを保護するためにゲートウェイエ ンフォーサアプライアンスが必要になることがあります。通常、ゲートウェイエンフォーサは 異なるサブネットに配置されます。ほとんどの場合、ハードウェア設定を変更せずに、ゲー トウェイエンフォーサアプライアンスを企業ネットワークに統合できます。 無線アクセスポイント(WAP)、または VPN に隣接させてゲートウェイエンフォーサアプラ イアンスを配置できます。企業ネットワークで、重要な情報が入っているサーバーを安全 に守ることもできます。ゲートウェイエンフォーサアプライアンスは 2 つのネットワークイン ターフェースカード (NIC) を使わなければなりません。 図 40-1 は、全体的なネットワーク構成の中でゲートウェイエンフォーサアプライアンスを 配置できる場所の例を示します。 731 732 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのインストール計画 ゲートウェイエンフォーサアプライアンスの配置 図 40-1 リモートクライアント VPN 社外 インターネット 無線 社内 内部クライアント 企業ファイア ウォール 内部無線 クライアント WAP VPN (無線アクセス ポイント) サーバー 外部 NIC 外部 NIC 内部 NIC ゲートウェイ エンフォーサ 外部 NIC 内部 NIC ゲートウェイ エンフォーサ ゲートウェイ エンフォーサ 内部 NIC 企業バックボーン 内部クライアント 外部 NIC 内部 NIC ゲートウェイ エンフォーサ 保護サーバー Symantec Endpoint Protection Manager ゲートウェイエンフォーサアプライアンスがネットワークを保護するもう 1 つの場所は、リ モートアクセスサーバー(RAS)にあります。クライアントはダイヤルアップして企業ネット ワークに接続できます。RAS のダイヤルアップクライアントは、無線および VPN のクライ 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのインストール計画 アントと同様に設定されます。外部 NIC は RAS サーバーに接続し、内部 NIC はネット ワークに接続します。 ゲートウェイエンフォーサアプライアンスで IP アドレスを設定する際のガ イドライン ゲートウェイエンフォーサアプライアンスの内部 NIC アドレスを設定するときは、次のガイ ドラインに従います。 ■ ゲートウェイエンフォーサアプライアンスの内部 NIC は Symantec Endpoint Protection Manager と通信できる必要があります。デフォルトでは、内部 NIC は Symantec Endpoint Protection Manager に接続する必要があります。 ■ クライアントはゲートウェイエンフォーサアプライアンスの内部 IP アドレスと通信できる 必要があります。VPN サーバーまたは無線 AP は異なるサブネットにある場合もあり ます。これはクライアントがゲートウェイエンフォーサアプライアンスの内部 IP アドレス と同じサブネットにルーティングされることができれば機能します。 ■ 内部サーバーを保護するゲートウェイエンフォーサアプライアンスでは、内部 NIC は VLAN に接続し、そこからサーバーに接続します。 ■ フェールオーバーの設定で複数のゲートウェイエンフォーサアプライアンスを使う場 合、各ゲートウェイエンフォーサアプライアンスの内部 NIC の IP アドレスは固有の IP アドレスである必要があります。 ゲートウェイエンフォーサは内部 NIC アドレスに基づいて偽の外部 NIC アドレスを生成 します。別のゲートウェイエンフォーサをインストールした場合にこのアドレスを再び設定 する必要はありません。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 連続する 2 つのゲートウェイエンフォーサアプライアンスについて クライアントが複数のゲートウェイエンフォーサアプライアンスを介してネットワークに接続 するように、2 つの連続したゲートウェイエンフォーサアプライアンスをネットワークでサポー トする場合、一方のゲートウェイエンフォーサアプライアンスの信頼できる内部 IP アドレス として、Symantec Endpoint Protection Manager に近い方のエンフォーサアプライア ンスを指定する必要があります。こうしなければ、クライアントがネットワークに接続できる までに 5 分の遅延が発生する可能性があります。 この遅延は、クライアントがホストインテグリティ検査を実行して失敗するときに発生する可 能性があります。ホストインテグリティ修復の一部として、クライアントは必要なソフトウェア 更新をダウンロードします。それからクライアントは、ホストインテグリティ検査を再び実行 します。その時点で、ホストインテグリティ検査は合格しますが、ネットワークアクセスは遅 れます。 p.770 の 「管理サーバーでのクライアントの信頼できる内部 IP アドレスの追加」 を参照し てください。 733 734 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのインストール計画 ゲートウェイエンフォーサアプライアンスを介した VPN アクセスの保護 ゲートウェイエンフォーサアプライアンスが使われる最初の、および最も一般的な理由は、 VPN アクセスの保護です。VPN エントリポイントにゲートウェイエンフォーサアプライアン スを配置して、企業ネットワークへのアクセスを保全します。ゲートウェイエンフォーサアプ ライアンスは VPN サーバーと企業ネットワークの間に配置されます。これにより、権限が あるユーザーにのみアクセスを許可し、その他の人のアクセスを防ぎます。 p.731 の 「ゲートウェイエンフォーサアプライアンスを配置する場所」 を参照してください。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 ゲートウェイエンフォーサアプライアンスを介した無線アクセスポイントの 保護 エンフォーサアプライアンスは無線アクセスポイント (WAP) で企業ネットワークを保護し ます。ゲートウェイエンフォーサアプライアンスは、無線技術を使ってネットワーク接続を 実行するすべてのクライアントでセキュリティの必要条件を満たすこと保証します。 これらの条件が満たされた後、クライアントはネットワークへのアクセスが許可されます。 ゲートウェイエンフォーサアプライアンスは WAP と企業ネットワークの間に配置されます。 外部 NIC は WAP 側に配置し、内部 NIC は企業ネットワーク側に配置します。 p.731 の 「ゲートウェイエンフォーサアプライアンスを配置する場所」 を参照してください。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 ゲートウェイエンフォーサアプライアンスを介したサーバーの保護 ゲートウェイエンフォーサアプライアンスは、企業ネットワークに重要な情報を保持する企 業サーバーを保護できます。組織は、ロックされたコンピュータルームに設置されたサー バーに重要なデータを配置することがあります。システム管理者のみが、このロックされた コンピュータルームにアクセスできます。 エンフォーサアプライアンスは、ドアに付け足した錠前のような役割を果たし、条件を満た したユーザーのみに保護サーバーへのアクセスを許可します。サーバーはこのセットアッ プに内部 NIC を配置します。ただし、アクセス許可を得ようとするユーザーは外部 NIC を通る必要があります。 これらのサーバーを安全に守るためには、指定された IP アドレスのクライアントのみにア クセスを限定し、厳密なホストインテグリティのルールを設定します。たとえば、ネットワー クのサーバーを保護するためにゲートウェイエンフォーサアプライアンスを設定できます。 ゲートウェイエンフォーサアプライアンスは、企業 LAN 上のクライアントと安全に守られた サーバーの間に配置できます。外部 NIC は会社内の企業 LAN 側に設定し、内部 NIC は保護サーバー側に設定します。この設定は、権限がないユーザーまたはクライアントが サーバーへのアクセスを許可されることを防ぎます。 p.731 の 「ゲートウェイエンフォーサアプライアンスを配置する場所」 を参照してください。 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのインストール計画 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 ゲートウェイエンフォーサアプライアンスを介した Windows 以外のサー バーおよびクライアントの保護 Microsoft Windows 以外のオペレーティングシステムで動作するサーバーとクライアン トをインストールできます。ただし、ゲートウェイエンフォーサアプライアンスは、Microsoft Windows をサポートしているコンピュータで実行しているサーバーやクライアントは認証 できません。 クライアントソフトウェアがインストールされていないオペレーティングシステムを持つサー バーとクライアントが組織内にある場合、次のどちらの方法を使用するかを決定する必要 があります。 ■ ゲートウェイエンフォーサアプライアンスによるサポートの実装 ■ p.735 の 「ゲートウェイエンフォーサアプライアンスによる Windows 以外のサポートの 実装」 を参照してください。 ■ ゲートウェイエンフォーサアプライアンスなしのサポートの実装 p.735 の 「ゲートウェイエンフォーサアプライアンスのない Windows 以外の実装」 を 参照してください。 ゲートウェイエンフォーサアプライアンスによる Windows 以外の サポートの実装 すべての Windows 以外のクライアントにネットワークへのアクセスを許可するようにゲー トウェイエンフォーサアプライアンスを設定して、Windows 以外のクライアントのサポート を実装できます。ゲートウェイエンフォーサアプライアンスをこのように設定した場合、 Windows 以外のオペレーティングシステムを実行するクライアントを識別するためにオ ペレーティングシステムの検出を実行します。 p.731 の 「ゲートウェイエンフォーサアプライアンスを配置する場所」 を参照してください。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 ゲートウェイエンフォーサアプライアンスのない Windows 以外の 実装 Windows 以外のクライアントに個別のアクセスポイントを通ってネットワークにアクセスす ることを許可することによって、Windows 以外のクライアントのサポートを実装できます。 個別の VPN サーバーを介して、Windows 以外のオペレーティングシステムをサポート する次のクライアントに接続できます。 ■ 1 台の VPN サーバーで、クライアントソフトウェアがインストールされたクライアントを サポートします。Windows ベースのクライアントコンピュータは、ゲートウェイエンフォー サアプライアンスを介して企業ネットワークに接続します。 735 736 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのインストール計画 ■ もう 1 つの VPN サーバーで、Windows 以外のオペレーティングシステムを実行す るクライアントをサポートします。Windows ベース以外のクライアントコンピュータは、 ゲートウェイエンフォーサアプライアンスなしで企業ネットワークに接続します。 p.731 の 「ゲートウェイエンフォーサアプライアンスを配置する場所」 を参照してください。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 Windows 以外のクライアントを認証せずに許可するための必要条件 認証なしで Windows 以外のクライアントを許可するようにゲートウェイエンフォーサアプ ライアンスを設定できます。 p.737 の 「Windows 以外のクライアントのための必要条件」 を参照してください。 クライアントがゲートウェイエンフォーサアプライアンスを介してネットワークへのアクセスを 試みるときに、エンフォーサアプライアンスは最初にクライアントソフトウェアがクライアント コンピュータにインストールされているかどうかを調べます。クライアントがソフトウェアを実 行しておらず、さらに Windows 以外のクライアントを許可するオプションが設定されてい る場合、ゲートウェイエンフォーサアプライアンスはオペレーティングシステムを調べます。 オペレーティングシステムのチェックは、クライアントを精査して現在クライアントが実行す るオペレーティングシステムの種類を検出するための情報のパケットを送信して行われま す。クライアントが Windows 以外のオペレーティングシステムを実行している場合、クラ イアントは正規のネットワークアクセスが許可されます。 Windows クライアントのための必要条件 ゲートウェイエンフォーサアプライアンスを Windows 以外のクライアントがネットワーク接 続を許可されるように設定する場合、まず、クライアントのオペレーティングシステムを確 認します。オペレーティングシステムが Windows ベースのオペレーティングシステムの 場合、ゲートウェイエンフォーサアプライアンスはクライアントを認証します。それ以外の場 合、ゲートウェイエンフォーサアプライアンスは認証なしでネットワークに接続することをク ライアントに許可します。 Windows クライアントが次の必要条件を満たしている場合、ゲートウェイエンフォーサア プライアンスは Windows オペレーティングシステムを正しく検出します。 ■ マイクロソフト用ネットワーククライアントオプションがクライアントにインストールされて おり、有効になっている必要があります。 Windows のマニュアルを参照してください。 ■ 137 番の UDP ポートがクライアントで開いている必要があります。これは、ゲートウェ イエンフォーサによってアクセス可能である必要があります。 Windows クライアントがこれらの必要条件を満たさない場合、ゲートウェイエンフォーサ アプライアンスは Windows クライアントを Windows 以外のクライアントであると解釈す ることがあります。したがってゲートウェイエンフォーサアプライアンスは認証なしでネット ワークに接続することを Windows 以外のクライアントに許可できます。 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスの NIC の設定 p.759 の 「Windows 以外のクライアントに認証なしでネットワークへの接続を許可する」 を参照してください。 Windows 以外のクライアントのための必要条件 ゲートウェイエンフォーサアプライアンスが Macintosh クライアントにネットワークへの接 続を許可するには、次の必要条件を満たす必要があります。 ■ Windows Sharing がオンになっている必要があります。 デフォルト設定では有効です。 ■ Macintosh の組み込みファイアウォールがオフになっている必要があります。 この設定はデフォルトです。 ゲートウェイエンフォーサが Linux のクライアントを許可するには、次の必要条件がありま す。: ■ Linux システムは Samba サービスを実行する必要があります。 p.759 の 「Windows 以外のクライアントに認証なしでネットワークへの接続を許可する」 を参照してください。 ゲートウェイエンフォーサアプライアンスの NIC の設定 ゲートウェイエンフォーサアプライアンスのネットワークインターフェースカード(NIC)は eth0 が内部 NIC のために使われるようにデフォルトでは設定されます。内部 NIC は Symantec Endpoint Protection Manager に接続する必要があります。 外部 NIC と内部 NIC の割り当てを変更する必要がある場合は、configure interface-role コマンドを使用できます。 メモ: ゲートウェイエンフォーサを使ってオンデマンドクライアントをダウンロードするときに、 スイッチの 801.q トランキングが有効になっている場合は、NIC の接続速度を調べてくだ さい。オンデマンドクライアントを正常にダウンロードするには、両方の NIC を同じ接続速 度のスイッチに接続する必要があります。 p.1029 の 「上位レベルコマンド」 を参照してください。 ゲートウェイエンフォーサアプライアンスのフェールオー バー計画 企業は、ゲートウェイエンフォーサアプライアンスの 1 つが利用不能になったとき操作を 続行するように設定した 2 つのゲートウェイエンフォーサアプライアンスをサポートできま す。ゲートウェイエンフォーサアプライアンスがフェールオーバーを設定されていないネッ 737 738 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのフェールオーバー計画 トワークで利用不能になった場合、その場所のネットワークアクセスは自動的に遮断され ます。ゲートウェイエンフォーサアプライアンスがフェールオーバーを提供しないネットワー クで利用不能になった場合、クライアントはそのネットワークに接続できなくなります。ゲー トウェイエンフォーサアプライアンスの問題が訂正されるまで、クライアントはネットワーク への接続から遮断され続けます。 ゲートウェイエンフォーサアプライアンスの場合、フェールオーバーはサードパーティス イッチの代わりにゲートウェイエンフォーサアプライアンス自体を通して実装されます。正 しく設定されていれば、Symantec Endpoint Protection Manager は自動的にフェー ルオーバー用ゲートウェイエンフォーサアプライアンスの設定を同期します。 メモ: エンフォーサがフェールオープンに設定されている場合、フェールオーバー機能は 利用できません。フェールオーバー機能とフェールオープンのどちらかを選択してくださ い。これらの選択肢は同時に選択できません。 p.741 の 「フェールオーバー用のゲートウェイエンフォーサアプライアンスの設定」 を参照 してください。 p.741 の 「ゲートウェイエンフォーサアプライアンスのフェールオープンおよびフェールク ローズ計画」 を参照してください。 ネットワークでのゲートウェイエンフォーサアプライアンスのフェールオー バーの動作 稼動中のゲートウェイエンフォーサアプライアンスは、アクティブなゲートウェイエンフォー サアプライアンスと呼ばれます。バックアップ用のゲートウェイエンフォーサアプライアンス は、スタンバイゲートウェイエンフォーサアプライアンスと呼ばれます。アクティブなゲート ウェイエンフォーサアプライアンスは、一次ゲートウェイエンフォーサアプライアンスとも言 われます。アクティブなゲートウェイエンフォーサアプライアンスが利用不能になった場合 は、スタンバイゲートウェイエンフォーサアプライアンスがエンフォースメントタスクを引き継 ぎます。 2 つのゲートウェイエンフォーサアプライアンスが起動されるシーケンスは次の通りです。 ■ 最初のゲートウェイエンフォーサアプライアンスは、起動するとスタンバイモードで動 作し、スタンバイモードになっている間にネットワークをクエリーして別のゲートウェイ エンフォーサアプライアンスが動作しているかどうかを調べます。最初のゲートウェイ エンフォーサアプライアンスは、別のゲートウェイエンフォーサの有無を検索するため に 3 つのクエリーを送信します。そのため、状態をオンラインに変更するために数分 かかる場合があります。 ■ 最初のゲートウェイエンフォーサアプライアンスが別のゲートウェイエンフォーサアプ ライアンスを検出しなければ、最初のゲートウェイエンフォーサアプライアンスがアク ティブなゲートウェイエンフォーサアプライアンスになります。 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのフェールオーバー計画 ■ 動作中のアクティブなゲートウェイエンフォーサアプライアンスは、内部と外部のネット ワークでフェールオーバーパケットをブロードキャストします。フェールオーバーパケッ トはブロードキャストされ続けます。 ■ 第 2 のゲートウェイエンフォーサアプライアンスは、起動するとスタンバイモードで動 作し、ネットワークをクエリーして別のゲートウェイエンフォーサアプライアンスが動作 しているかどうかを調べます。 ■ このとき第 2 のゲートウェイエンフォーサアプライアンスは動作しているアクティブな ゲートウェイエンフォーサアプライアンスを検出するので、スタンバイモードのままにな ります。 ■ アクティブなゲートウェイエンフォーサアプライアンスが利用不能になった場合、フェー ルオーバーパケットのブロードキャストを停止します。スタンバイ状態のゲートウェイエ ンフォーサアプライアンスは、アクティブなゲートウェイエンフォーサアプライアンスを 検出しなくなるので、この場所でネットワーク接続とセキュリティを処理するアクティブ なゲートウェイエンフォーサアプライアンスになります。 ■ 他のゲートウェイエンフォーサアプライアンスを起動した場合は、別のゲートウェイエ ンフォーサアプライアンスがアクティブであることを検出するので、スタンバイゲートウェ イエンフォーサアプライアンスのままになります。 p.741 の 「フェールオーバー用のゲートウェイエンフォーサアプライアンスの設定」 を参照 してください。 1 つ以上の VLAN を持つネットワークでのフェールオーバー用ゲートウェ イエンフォーサアプライアンスの配置場所 フェールオーバー用のゲートウェイエンフォーサアプライアンスは、その物理的な位置と、 Symantec Endpoint Protection Manager で実行する設定によって設定します。複数 の VLAN をサポートするハブを使う場合は、ハブの代わりに 802.1q 対応スイッチを統合 していない限り、1 つの VLAN しか使えません。 フェールオーバー用のゲートウェイエンフォーサアプライアンスは、同じネットワークセグ メントで設定されなければなりません。2 つのゲートウェイエンフォーサアプライアンスの 間に、ルーターやゲートウェイは設置できません。ルーターやゲートウェイは、フェール オーバーパケットを転送しないためです。内部 NIC は両方とも同じスイッチかハブを経由 して内部ネットワークに接続する必要があります。外部 NIC は両方とも同じスイッチかハ ブを経由して、外部 VPN サーバーかアクセスポイントに接続する必要があります。 無線 AP、ダイヤルアップ RAS、またはその他のアクセスポイントでフェールオーバー用 のゲートウェイエンフォーサアプライアンスを設定する場合も、類似の処理を使います。 両方のゲートウェイエンフォーサアプライアンスの外部 NIC は無線 AP または RAS サー バーを経由して外部ネットワークに接続します。内部 NIC は保護されている内部ネット ワークまたは内部の領域に接続します。 739 740 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのフェールオーバー計画 図 40-2 は VPN のコンセントレータでネットワークアクセスを保護するためにフェールオー バー用の 2 つのゲートウェイエンフォーサアプライアンスを設定する方法を示します。 2 つのゲートウェイエンフォーサアプライアンスの配置 図 40-2 リモートクライアント VPN 社外 インターネット 社内 内部クライアント 企業ファイア ウォール VPN サーバー 外部 NIC 外部 NIC 内部 NIC ゲートウェイ エンフォーサ 1 ハブ/VLAN 内部 NIC ハブ/VLAN 内部クライアント 保護サーバー Symantec Endpoint Protection Manager 企業バックボーン ゲートウェイ エンフォーサ 2 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのフェールオープンおよびフェールクローズ計画 p.741 の 「フェールオーバー用のゲートウェイエンフォーサアプライアンスの設定」 を参照 してください。 フェールオーバー用のゲートウェイエンフォーサアプライアンスの設定 スタンバイエンフォーサを設定する前に、ゲートウェイエンフォーサアプライアンスのフェー ルオーバーに関する概念に精通する必要があります。 p.738 の 「ネットワークでのゲートウェイエンフォーサアプライアンスのフェールオーバーの 動作」 を参照してください。 フェールオーバー用のゲートウェイエンフォーサアプライアンスを設定するには 1 コンピュータをネットワークに配置します。 p.739 の 「1 つ以上の VLAN を持つネットワークでのフェールオーバー用ゲートウェ イエンフォーサアプライアンスの配置場所」 を参照してください。 2 内部 NIC を設定します。 複数のゲートウェイエンフォーサアプライアンス上の内部 NIC には、それぞれ異な る IP アドレスを指定する必要があります。 p.733 の 「ゲートウェイエンフォーサアプライアンスで IP アドレスを設定する際のガイ ドライン」 を参照してください。 ゲートウェイエンフォーサアプライアンスのフェールオー プンおよびフェールクローズ計画 フェールオープンは、フェールオープン NIC を備えたゲートウェイエンフォーサアプライ アンスモデルで利用できます。フェールオープンはフェールオーバーの代替機能で、エ ンフォーササービスが利用できない場合にネットワークを利用できるようにします。 メモ: Symantec Network Access Control バージョン 11.0 RU6 MP1 以降のエンフォー サには fail-open モードに設定した Silcom NIC のカードが付属しています。エンフォー サを fail-closed モードに設定するには次の CLI コマンドを発行します。 configure interface failopen disable メモ: エンフォーサを fail-open モードに設定した場合、フェールオーバー機能は利用で きません。フェールオーバー機能とフェールオープンのどちらかを選択してください。これ らの選択肢は同時に選択できません。 p.710 の 「エンフォーサアプライアンスのインストール」 を参照してください。 741 742 第 40 章 ゲートウェイエンフォーサアプライアンスのインストールの計画 ゲートウェイエンフォーサアプライアンスのフェールオープンおよびフェールクローズ計画 p.737 の 「ゲートウェイエンフォーサアプライアンスのフェールオーバー計画」 を参照して ください。 41 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection Manager コンソールでの Symantec ゲートウェイ エンフォーサアプライアンスの設定について ■ Symantec Endpoint Protection Manager でのゲートウェイエンフォーサアプライア ンス設定の変更 ■ ゲートウェイアプライアンスの全般設定について ■ ゲートウェイアプライアンスの認証設定について ■ 認証範囲の設定 ■ 拡張ゲートウェイエンフォーサアプライアンス設定について Symantec Endpoint Protection Manager コンソールで の Symantec ゲートウェイエンフォーサアプライアンスの 設定について Symantec Endpoint Protection Manager コンソールで、ゲートウェイエンフォーサアプ ライアンスのオプション設定の追加と編集ができます。 744 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 Symantec Endpoint Protection Manager でのゲートウェイエンフォーサアプライアンス設定の変更 先に進む前に、次のタスクを完了する必要があります。 ■ Symantec Endpoint Protection Manager のソフトウェアをコンピュータにインストー ルします。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 Symantec Endpoint Protection Manager ソフトウェアをインストールするコンピュー タは、管理サーバーとも呼ばれます。 ■ ネットワークに Symantec Gateway Enforcer アプライアンスを接続します。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 ■ インストールの間にローカルゲートウェイエンフォーサコンソールで Symantec Gateway Enforcer アプライアンスを設定します。 p.714 の 「エンフォーサアプライアンスの設定」 を参照してください。 これらのタスクを完了すると、管理サーバーでゲートウェイエンフォーサアプライアンスの 追加設定を指定できます。 ゲートウェイエンフォーサアプライアンスをインストールするとき、いくつかのデフォルト設 定とポートは自動的に設定されます。Symantec Endpoint Protection Manager での ゲートウェイエンフォーサアプライアンスのデフォルト設定では、ホストインテグリティ検査 に合格したすべてのクライアントがネットワークへの接続を許可されます。ゲートウェイエ ンフォーサアプライアンスはブリッジとして機能します。したがって、ネットワークへのアク セスを遮断しないで、ゲートウェイエンフォーサアプライアンスを設定し、クライアントを配 備する処理を完了できます。 ただし、認証なしでアクセスを与えられるクライアントを制限するために、Symantec Endpoint Protection Manager でデフォルト設定を変更する必要があります。任意で、 エンフォースメントを開始する前にカスタマイズできるゲートウェイエンフォーサアプライア ンスの他のエンフォーサデフォルト設定があります。 Symantec Endpoint Protection Manager でのゲート ウェイエンフォーサアプライアンス設定の変更 管理サーバーでゲートウェイエンフォーサアプライアンスの設定を変更することができま す。設定は次のハートビートの間に管理サーバーからゲートウェイエンフォーサアプライ アンスに自動的にダウンロードされます。 Symantec Endpoint Protection Manager でゲートウェイエンフォーサアプライアンスの 設定を変更するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 Symantec Endpoint Protection Manager でのゲートウェイエンフォーサアプライアンス設定の変更 3 [サーバー]で、ゲートウェイエンフォーサアプライアンスがメンバーであるエンフォー サのグループを選択します。 エンフォーサグループは、設定の変更が必要なゲートウェイエンフォーサアプライア ンスを含まなければなりません。 4 設定を変更する必要があるゲートウェイエンフォーサアプライアンスを選択します。 745 746 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 Symantec Endpoint Protection Manager でのゲートウェイエンフォーサアプライアンス設定の変更 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [設定]ダイアログボックスで、設定を変更します。 ゲートウェイエンフォーサの[設定]ダイアログボックスには、次のカテゴリの設定があ ります。 全般 エンフォーサグループの説明、管理サーバーリストの設定。 p.747 の 「ゲートウェイアプライアンスの全般設定について」 を参 照してください。 認証 クライアントの認証処理に影響する各パラメータの設定。 一致するアドレスがそれでも見つけられなければ、ゲートウェイエ ンフォーサアプライアンスは認証セッションを始め、チャレンジパ ケットを送信します。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参 照してください。 認証範囲 認証の必要があるクライアントに個別の IP アドレスまたは IP アド レス範囲を指定する設定。また、認証なしでネットワークへの接続 を許可されるクライアントの個別の IP アドレスまたは IP アドレス 範囲を指定することもできます。 p.763 の 「認証範囲の設定」 を参照してください。 拡張 認証タイムアウトのパラメータと、ゲートウェイエンフォーサアプラ イアンスメッセージのタイムアウトの設定。 ゲートウェイエンフォーサアプライアンスが認証なしの接続を許可 する、信頼できるホストの MAC アドレスの設定 (省略可能)。 DNS 詐称とローカル認証のための設定。 クライアントを遮断せずに許可されるプロトコルの設定。 p.773 の 「拡張ゲートウェイエンフォーサアプライアンス設定につ いて」 を参照してください。 ログの設定 サーバーログ、クライアント活動ログのログ記録の有効化、および ログファイルパラメータの指定のための設定。 p.846 の 「エンフォーサのレポートとログについて」 を参照してくだ さい。 p.847 の 「エンフォーサログの設定」 を参照してください。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの全般設定について ゲートウェイアプライアンスの全般設定について ゲートウェイエンフォーサアプライアンス、またはゲートウェイエンフォーサアプライアンス のグループの説明を、Symantec Endpoint Protection Manager で追加または編集で きます。 p.747 の 「ゲートウェイエンフォーサアプライアンスのグループの説明を追加または編集す る」 を参照してください。 p.748 の 「ゲートウェイエンフォーサアプライアンスの説明を追加または編集する」 を参照 してください。 Symantec Endpoint Protection Manager では、ゲートウェイエンフォーサアプライアン スグループの名前の追加や編集を行うことはできません。Symantec Endpoint Protection Manager では、ゲートウェイエンフォーサアプライアンスの IP アドレスまたはホスト名の 追加や編集を行うことはできません。その代わりに、エンフォーサコンソールでこれらのタ スクを実行する必要があります。 ゲートウェイエンフォーサアプライアンスの IP アドレスまたはホスト名の追加と編集は、管 理サーバーリストで行います。 p.748 の 「ゲートウェイエンフォーサアプライアンスの IP アドレスまたはホスト名を追加また は編集する」 を参照してください。 管理サーバーリストでも、Symantec Endpoint Protection Manager の IP アドレスまた はホスト名の追加や編集を行うことができます。 p.749 の 「管理サーバーリストと conf.properties ファイルによるゲートウェイエンフォーサ アプライアンスと Symantec Endpoint Protection Manager 間の通信の確立」 を参照 してください。 ゲートウェイエンフォーサアプライアンスのグループの説明を追加または 編集する Symantec Gateway Enforcer アプライアンスがメンバーであるエンフォーサグループの 説明を追加するか、または編集できます。エンフォーサコンソールの代わりに Symantec Endpoint Protection Manager コンソールでこのタスクを実行できます。 p.743 の 「Symantec Endpoint Protection Manager コンソールでの Symantec ゲート ウェイエンフォーサアプライアンスの設定について」 を参照してください。 p.747 の 「ゲートウェイアプライアンスの全般設定について」 を参照してください。 ゲートウェイエンフォーサアプライアンスのグループの説明を追加または編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 747 748 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの全般設定について 3 説明を追加または編集するゲートウェイエンフォーサアプライアンスのグループを選 択し、展開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[全般]タブにある[説明]フィールドで、ゲートウェイエン フォーサアプライアンスのグループの説明を追加または編集します。 6 [OK]をクリックします。 ゲートウェイエンフォーサアプライアンスの説明を追加または編集する ゲートウェイエンフォーサアプライアンスの説明を追加するか、または編集できます。エン フォーサコンソールの代わりに Symantec Endpoint Protection Manager コンソールで このタスクを実行できます。このタスクを完了すると、[管理サーバー]ペインの[説明]フィー ルドに説明が表示されます。 p.747 の 「ゲートウェイアプライアンスの全般設定について」 を参照してください。 p.743 の 「Symantec Endpoint Protection Manager コンソールでの Symantec ゲート ウェイエンフォーサアプライアンスの設定について」 を参照してください。 ゲートウェイエンフォーサアプライアンスの説明を追加または編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 説明を追加または編集するゲートウェイエンフォーサアプライアンスのグループを選 択し、展開します。 4 説明を追加または編集するゲートウェイエンフォーサアプライアンスを選択します。 5 [タスク]の下で、[エンフォーサプロパティの編集]をクリックします。 6 [エンフォーサのプロパティ]ダイアログボックスの[説明]フィールドで、ゲートウェイ エンフォーサアプライアンスの説明を追加または編集します。 7 [OK]をクリックします。 ゲートウェイエンフォーサアプライアンスの IP アドレスまたはホスト名を 追加または編集する インストール中にはゲートウェイエンフォーサコンソールでゲートウェイエンフォーサアプ ライアンスの IP アドレスまたはホスト名を変更できます。ゲートウェイエンフォーサアプラ イアンスの IP アドレスまたはホスト名を後で変更したい場合は、ゲートウェイエンフォーサ コンソールで変更できます。 p.1021 の 「エンフォーサアプライアンスの CLI コマンド階層について」 を参照してください。 p.743 の 「Symantec Endpoint Protection Manager コンソールでの Symantec ゲート ウェイエンフォーサアプライアンスの設定について」 を参照してください。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの全般設定について p.747 の 「ゲートウェイアプライアンスの全般設定について」 を参照してください。 管理サーバーリストと conf.properties ファイルによるゲートウェイエン フォーサアプライアンスと Symantec Endpoint Protection Manager 間の 通信の確立 ゲートウェイエンフォーサアプライアンスは、Symantec Endpoint Protection Manager がインストールされているサーバーに接続できる必要があります。Symantec Endpoint Protection Manager には、クライアント、管理サーバー、ゲートウェイエンフォーサアプ ライアンスなどのオプションのエンフォーサ間のトラフィックを管理する場合に役立つファ イルが含まれています。 このファイルは管理サーバーリストと呼ばれます。管理サーバーリストは、どの Symantec Endpoint Protection Manager にゲートウェイエンフォーサを接続するかを指定します。 また、管理サーバーがエラーの場合に、どの Symantec Endpoint Protection にゲート ウェイエンフォーサを接続するかを指定します。 デフォルト管理サーバーリストは、初期インストールの間に各サイトで自動的に作成され ます。そのサイトで利用可能なすべての管理サーバーは、デフォルト管理サーバーリスト に自動的に追加されます。 デフォルトの管理サーバーリストは、ゲートウェイエンフォーサアプライアンスが初期イン ストールの後で接続できる管理サーバーの IP アドレスまたはホスト名を含んでいます。 ゲートウェイエンフォーサアプライアンスを配備する前に、カスタム管理サーバーリストを 作成したい場合もあります。カスタム管理サーバーリストを作成すれば、ゲートウェイエン フォーサアプライアンスが管理サーバーに接続できる優先度を指定できます。 管理者が複数の管理サーバーリストを作成すると、ゲートウェイエンフォーサアプライアン スから接続したい管理サーバーの IP アドレスまたはホスト名を含んでいる特定の管理 サーバーリストを選択できます。サイトに管理サーバーが 1 つしかない場合、デフォルト の管理サーバーリストを選択できます。 p.638 の 「管理サーバーリストの設定」 を参照してください。 p.743 の 「Symantec Endpoint Protection Manager コンソールでの Symantec ゲート ウェイエンフォーサアプライアンスの設定について」 を参照してください。 p.747 の 「ゲートウェイアプライアンスの全般設定について」 を参照してください。 ゲートウェイエンフォーサと Symantec Endpoint Protection Manager 間の通信を確立 するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループは、管理サーバーリストの IP アドレスかホスト名を変更する ゲートウェイエンフォーサアプライアンスを含んでいる必要があります。 749 750 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの、[全般]タブの[通信]の下で、このゲートウェイエン フォーサアプライアンスで使う管理サーバーリストを選択します。 6 [選択]をクリックします。 すべての利用可能な管理サーバーの IP アドレスとホスト名、およびそれらの管理 サーバーに割り当てられた優先度を表示できます。 7 [管理サーバーリスト]ダイアログボックスで、[閉じる]をクリックします。 8 [設定]ダイアログボックスで[OK]をクリックします。 conf.properties ファイルの行に変更を加えることで、管理サーバーがエンフォーサの 応答準備をするかどうかを切り替えることもできます。 conf.properties ファイルを編集して、エンフォーサスレッドの応答準備をするように 管理サーバーを設定するには 1 メモ帳のようなシンプルなテキストエディタで、conf.properties ファイルを開きま す。 conf.properties ファイルは C:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥tomcat¥etc フォルダにあります。 2 scm.radius.port.enabled で始まる行を見つけます。 3 エンフォーサスレッドを無効にするには、この行に =0 を追加し、 scm.radius.port.enabled=0 のようにします。 4 エンフォーサスレッドを有効にするには、この行に =1 を追加し、 scm.radius.port.enabled=1 のようにします。 ゲートウェイアプライアンスの認証設定について ゲートウェイエンフォーサアプライアンスの認証セッションに、多くの認証設定を指定でき ます。適用された変更は、次のハートビートの間に、選択されたゲートウェイエンフォーサ アプライアンスに自動的に送信されます。 p.750 の 「ゲートウェイアプライアンスの認証設定」 を参照してください。 ゲートウェイアプライアンスの認証設定 ネットワークをより安全に保護するために、いくつかの認証設定を実装する場合がありま す。 表 41-1 で、[認証]タブのオプションについて詳しく説明します。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について 表 41-1 ゲートウェイエンフォーサアプライアンスの認証設定 オプション 説明 認証セッションあたりのパケット ゲートウェイエンフォーサアプライアンスが各認証セッションで送 の最大数 信するチャレンジパケットの最大数。 デフォルトは 10 パケットです。範囲は 2 から 100 パケットです。 p.755 の 「認証セッション中のチャレンジパケットの最大数の指定」 を参照してください。 認証セッションのパケット送信間 エンフォーサが送信する各チャレンジパケット間の秒単位の時 隔 (秒) 間。 デフォルト値は 3 秒です。範囲は 3 から 10 です。 p.756 の 「クライアントに送信されるチャレンジパケットの頻度の指 定」 を参照してください。 拒否したクライアントを遮断する 認証の失敗後にクライアントが遮断される秒単位の時間。 時間 (秒) デフォルト設定は 30 秒です。範囲は 10 から 300 秒です。 p.756 の 「認証の失敗後にクライアントが遮断される期間を指定 する」 を参照してください。 認証済みクライアントが許可さ れる時間 (秒) 再認証なしでネットワーク接続の保持をクライアントが許可される 秒単位の時間。 デフォルト設定は 30 秒です。範囲は 10 から 300 秒です。 p.757 の 「再認証なしでネットワーク接続の保持をクライアントが許 可される期間を指定する」 を参照してください。 すべてのクライアントを許可する このオプションを有効にすると、ゲートウェイエンフォーサアプライ が、認証状況をログに記録する アンスは、クライアントを実行していることを確認して、すべての ユーザーを認証します。ゲートウェイエンフォーサアプライアンス は、クライアントがホストインテグリティ検査に合格したかどうかも 調べます。クライアントがホストインテグリティ検査に合格した場 合、ゲートウェイエンフォーサアプライアンスは結果をログに記録 します。次に、検疫のネットワーク設定ではなく通常の設定を受 信するゲートウェイ要求を転送してチェックの合否を確認します。 デフォルトでは、この設定は有効になっていません。 p.758 の 「非認証クライアントのログ記録の継続をすべてのクライ アントで許可する」 を参照してください。 751 752 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について オプション 説明 Windows 以外の OS のすべて このオプションを有効にすると、ゲートウェイエンフォーサはクライ のクライアントを許可する アントのオペレーティングシステムを調べます。次に、ゲートウェ イエンフォーサアプライアンスは、Windows のオペレーティング システムを実行していないすべてのクライアントで、認証なしで通 常のネットワーク設定を受信することを許可します。このオプショ ンを有効にしない場合、クライアントは検疫のネットワーク設定を 受信します。 デフォルトでは、この設定は有効になっていません。 p.759 の 「Windows 以外のクライアントに認証なしでネットワーク への接続を許可する」 を参照してください。 クライアントがネットワークに入る このオプションを有効にすると、ゲートウェイエンフォーサアプライ のを許可する前にクライアントポ アンスはクライアントが最新のセキュリティポリシーを管理サーバー リシーのシリアル番号を調べる から受信したことを検証します。ポリシーのシリアル番号が最新で なければ、ゲートウェイエンフォーサはセキュリティポリシーを更 新するようにクライアントに通知します。次に、クライアントは検疫 のネットワーク設定を受信するゲートウェイ要求を転送します。 このオプションを有効にせず、ホストインテグリティ検査に成功し た場合、ゲートウェイエンフォーサアプライアンスは通常のネット ワーク設定を受信するゲートウェイ要求を転送します。ゲートウェ イエンフォーサは、クライアントに最新のセキュリティポリシーがな くても要求を転送します。 デフォルトでは、この設定は有効になっていません。 p.760 の 「クライアントのポリシーのシリアル番号のチェック」 を参 照してください。 クライアントが動作していない場 合にクライアント上に表示される ポップアップメッセージを有効 にする このオプションを有効にすると、クライアントを実行せずに企業ネッ トワークに接続することを試みる Windows のコンピュータでメッ セージが表示されます。デフォルトメッセージは 1 度だけ表示す るように設定されます。このメッセージでは、クライアントが動作し ていないためにネットワークへのアクセスが遮断されたことが通知 され、クライアントをインストールするように求められます。メッセー ジを編集する、または表示の頻度を変更するには、[メッセージ] をクリックします。メッセージの長さは最大で 128 文字です。 デフォルト設定は有効です。 メモ: ポップアップメッセージは Mac クライアントでは表示されま せん。 p.761 の 「ゲートウェイエンフォーサアプライアンスからクライアン トに非準拠についてのメッセージを送信する」 を参照してくださ い。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について オプション 説明 クライアントが動作していない場 このオプションを有効にすると、ゲートウェイエンフォーサはクライ 合にクライアント上の HTTP リダ アントを修復 Web サイトにリダイレクトできます。 イレクトを有効にする このオプションを有効にすると、クライアントが実行されていない 場合にゲートウェイエンフォーサアプライアンスは内部 Web サー バーに HTTP 要求をリダイレクトします。 URL を指定しないと、このオプションを有効にすることはできませ ん。 デフォルト設定では有効であり、値は http://localhost です。 p.762 の 「Web ページへの HTTP 要求のリダイレクト」 を参照し てください。 HTTP リダイレクト URL 修復 Web サイトにクライアントをリダイレクトするときの URL を 255 文字までで指定できます。 リダイレクト URL のデフォルト設定は http://localhost です。 p.762 の 「Web ページへの HTTP 要求のリダイレクト」 を参照し てください。 HTTP リダイレクトポート 修復 Web サイトにクライアントをリダイレクトするときは、80 以外 のポート番号を指定できます。 Web サーバーのデフォルト設定は 80 番のポートです。 p.762 の 「Web ページへの HTTP 要求のリダイレクト」 を参照し てください。 ゲートウェイエンフォーサでの認証セッションについて アプライアンス クライアントが内部ネットワークへのアクセスを試みるとき、ゲートウェイエンフォーサはそ の認証セッションを確立します。認証セッションは、ゲートウェイエンフォーサアプライアン スからクライアントに送られるチャレンジパケットのセットです。 認証セッションの間に、ゲートウェイエンフォーサアプライアンスは指定の頻度でクライア ントにチャレンジパケットを送信します。デフォルト設定は 3 秒ごとです。クライアントから 応答を受信するか、指定された最大数のパケットを送信するまで、パケットの送信は続け られます。デフォルトの最大数は 10 パッケージです。 クライアントが応答して認証に合格すれば、ゲートウェイエンフォーサアプライアンスは指 定した秒数の間、内部ネットワークへのアクセスを許可します。デフォルトは 30 秒です。 ゲートウェイエンフォーサアプライアンスは新しい認証セッションを開始し、クライアントは、 内部ネットワークへの接続を保持するにはその間に応答しなければなりません。ゲート ウェイエンフォーサアプライアンスは、応答しないクライアント、または認証に失敗したた めに拒否されたクライアントを接続解除します。 753 754 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について クライアントが応答しない、または認証に失敗した場合、ゲートウェイエンフォーサアプラ イアンスは指定の秒数の間そのクライアントを遮断します。デフォルトは 30 秒です。他の クライアントが同じ IP アドレスを使用してログオンを試みたときは、再認証が必要になりま す。 各ゲートウェイエンフォーサアプライアンスの認証セッションは、管理サーバーで設定で きます。 p.744 の 「Symantec Endpoint Protection Manager でのゲートウェイエンフォーサアプ ライアンス設定の変更」 を参照してください。 p.750 の 「ゲートウェイアプライアンスの認証設定」 を参照してください。 ゲートウェイエンフォーサでのクライアント認証について アプライアンス ゲートウェイエンフォーサアプライアンスは、ネットワークへのアクセスを許可する前にリ モートクライアントを認証します。ゲートウェイエンフォーサでのクライアント認証は、次の 機能を実行します。 ■ クライアントを認証するか、または認証なしでそれを許可するかの判断 信頼または認証する個々のクライアント、または IP アドレスの範囲を[認証範囲]タブ で指定できます。 ■ 認証セッションを実行 認証セッションの設定は[認証]タブで設定します。 各ゲートウェイエンフォーサは、ゲートウェイエンフォーサ経由でネットワークへの接続を 許可される信頼できる IP アドレスについて次のリストを維持します。 ■ 静的なリスト [認証範囲]タブでエンフォーサに設定される、信頼できる外部 IP アドレス。 ■ 動的なリスト クライアントが認証され、ネットワークへの接続を許可されて、最終的に接続解除され るときに追加され、削除される信頼できる IP アドレス。 新しいクライアントからトラフィックが着信するとき、ゲートウェイエンフォーサアプライアン スはこのクライアントが信頼できるクライアントの IP アドレスリストに含まれるかどうかを判 断します。クライアントが信頼できる IP アドレスを持つ場合は、それ以上の認証なしでネッ トワークに許可されます。 クライアントに信頼できる IP アドレスがない場合、ゲートウェイエンフォーサアプライアン スは、その信頼できる IP アドレスが認証の必要なクライアントのクライアント IP アドレス範 囲内にあるかどうかを調べます。そのクライアントの IP アドレスがクライアント IP アドレス 範囲内にある場合、ゲートウェイエンフォーサアプライアンスは認証セッションを始めま す。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について 認証セッションの間に、クライアントは重複のない ID 番号、ホストインテグリティ検査の結 果、ポリシーのシリアル番号を送信します。ポリシーのシリアル番号は、クライアントのセ キュリティポリシーが最新かどうかを識別します。 ゲートウェイエンフォーサアプライアンスは結果を調べます。省略可能なオプションとして ポリシーのシリアル番号を調べることができます。結果が有効な場合、ゲートウェイエン フォーサアプライアンスはクライアントに認証済み状態を与え、クライアントにネットワーク アクセスを許可します。結果が無効な場合、ゲートウェイエンフォーサアプライアンスは ネットワークへの接続からクライアントを遮断します。 クライアントが認証済みのとき、そのクライアントの IP アドレスはタイマーが付いている動 的なリストに追加されます。デフォルトのタイマー間隔は 30 秒です。タイマー間隔が経過 した後、ゲートウェイエンフォーサアプライアンスはクライアントに対して新しい認証セッショ ンを始めます。クライアントが認証に応答しない、または失敗した場合は、クライアントの IP アドレスがリストから削除されます。また、その IP アドレスは指定された時間遮断され ます。デフォルト設定は 30 秒です。他のクライアントが同じ IP アドレスを使用してログオ ンを試みた場合、そのクライアントは再認証が必要になります。 p.750 の 「ゲートウェイアプライアンスの認証設定」 を参照してください。 認証セッション中のチャレンジパケットの最大数の指定 認証セッション中に、ゲートウェイエンフォーサアプライアンスは指定の頻度でクライアン トにチャレンジパケットを送信します。 ゲートウェイエンフォーサアプライアンスは次の条件が満たされるまでパケットを送信し続 けます。 ■ ゲートウェイエンフォーサアプライアンスがクライアントから応答を受信した ■ ゲートウェイエンフォーサアプライアンスが指定された最大パケット数を送信した 認証セッションの最大チャレンジパケット数のデフォルト設定は、10 パケットです。範囲は 2 から 100 パケットです。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参照してください。 認証セッション中のチャレンジパケットの最大数を指定するには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループには、認証セッション中の最大チャレンジパケット数を指定し たいゲートウェイエンフォーサアプライアンスを含めなければなりません。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 755 756 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について 5 [ゲートウェイの設定]ダイアログボックスの[認証]タブにある[認証パラメータ]で、認 証セッション中に許可したいチャレンジパケットの最大数を[認証セッションあたりの パケットの最大数]フィールドに入力します。 デフォルト設定は 10 秒です。範囲は 2 から 100 パケットです。 6 [OK]をクリックします。 クライアントに送信されるチャレンジパケットの頻度の指定 認証セッション中に、ゲートウェイエンフォーサアプライアンスは指定の頻度でクライアン トにチャレンジパケットを送信します。 ゲートウェイエンフォーサアプライアンスは次の条件が満たされるまでパケットを送信し続 けます。 ■ ゲートウェイエンフォーサアプライアンスがクライアントから応答を受信した ■ ゲートウェイエンフォーサアプライアンスが指定された最大パケット数を送信した デフォルト設定は 3 秒ごとです。範囲は 3 から 10 秒です。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参照してください。 クライアントにチャレンジパケットが送信される頻度を指定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループには、チャレンジパケットがクライアントに送信される頻度を指 定したいゲートウェイエンフォーサアプライアンスを含めなければなりません。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[認証]タブにある[認証パラメータ]でチャレンジパケッ トがクライアントに送信される頻度を[認証セッションのパケット送信間隔 (秒)]フィー ルドに入力します。 デフォルト設定は 3 秒です。範囲は 3 から 10 秒です。 6 [設定]ダイアログボックスの[認証]タブで、[OK]をクリックします。 認証の失敗後にクライアントが遮断される期間を指定する 認証に失敗した後クライアントが遮断される時間を指定できます。 デフォルト設定は 30 秒です。範囲は 10 から 300 秒です。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参照してください。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について 認証の失敗後にクライアントが遮断される期間を指定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループには、認証に失敗したクライアントが遮断される時間を指定す るゲートウェイエンフォーサアプライアンスを含める必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[認証]タブにある[認証パラメータ]で、認証の失敗後に クライアントが遮断される時間を、[拒否したクライアントを遮断する時間 (秒)]フィー ルドに秒単位で入力します。 6 [OK]をクリックします。 再認証なしでネットワーク接続の保持をクライアントが許可される期間を 指定する 再認証なしでネットワーク接続の保持をクライアントが許可される時間を秒単位で指定で きます。 デフォルト設定は 30 秒です。範囲は 10 から 300 秒です。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参照してください。 再認証なしでネットワーク接続の保持をクライアントが許可される期間を指定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、エンフォーサのグループを選択し、展開します。 エンフォーサグループには、認証に失敗したクライアントが遮断される時間を指定す るゲートウェイエンフォーサアプライアンスを含める必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[認証]タブにある[認証パラメータ]で、再認証なしで ネットワーク接続の保持をクライアントが許可される時間を、[認証済みクライアントが 許可される時間 (秒)]フィールドに秒単位で入力します。 デフォルト設定は 30 秒です。範囲は 10 から 300 秒です。 6 [OK]をクリックします。 757 758 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について 非認証クライアントのログ記録の継続をすべてのクライアントで許可する すべてのクライアントソフトウェアを配備するには時間がかかることがあります。すべての ユーザーにクライアントパッケージを配布し終わるまで、すべてのクライアントにネットワー クへの接続を許可するようにゲートウェイエンフォーサアプライアンスを設定したい場合も あります。ゲートウェイエンフォーサアプライアンスは、クライアントソフトウェアを実行しな いすべてのクライアントを遮断します。クライアントは Linux や Solaris のような Windows 以外のオペレーティングシステムでは実行されないので、ゲートウェイエンフォーサアプ ライアンスはこれらのクライアントを遮断します。ネットワークへの接続を Windows 以外 のすべてのクライアントで許可するオプションがあります。 この設定を有効にしているときにクライアントが認証済みでない場合、ゲートウェイエン フォーサアプライアンスはオペレーティングシステムの種類を検出します。したがって、 Windows クライアントは遮断され、Windows 以外のクライアントはネットワークへのアク セスを許可されます。 デフォルトでは、この設定は有効になっていません。 設定を適用するときは、次のガイドラインを参考にしてください。 ■ この設定はネットワークの安全性を低下させるので、一時的な処置にしてください。 ■ この設定が有効である間、エンフォーサログを確認することができます。その場所で ネットワークへの接続を試みるクライアントの種類を確認できます。 たとえば、[クライアント活動ログ]を見て、クライアントの中でクライアントソフトウェアを インストールしていないものがあるかどうかを確認できます。その後、このオプションを 無効にする前に、これらのクライアントにクライアントソフトウェアがインストールされた ことを確認できます。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参照してください。 非認証クライアントのログ記録の継続をすべてのクライアントで許可するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループは、非認証クライアントのログ記録を続行しながらすべてのク ライアントを許可するゲートウェイエンフォーサアプライアンスを含む必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[認証]タブで、[すべてのクライアントを許可するが、認 証状況をログに記録する]にチェックマークを付けます。 デフォルトでは、この設定は有効になっていません。 6 [設定]ダイアログボックスの[認証]タブで、[OK]をクリックします。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について Windows 以外のクライアントに認証なしでネットワークへの接続を許可 する ゲートウェイエンフォーサアプライアンスは、Windows 以外のオペレーティングシステム を実行しているクライアントを認証できません。したがって、Windows 以外のクライアント は、認証なしでネットワークに接続することを特別に許可されなければネットワークに接続 できません。 デフォルトでは、この設定は有効になっていません。 次の方法の 1 つを使って、Windows 以外のプラットフォームをサポートするクライアント がネットワークに接続することを許可できます。 ■ 信頼できるホストとして Windows 以外の各クライアントを指定する ■ Windows 以外の OS のすべてのクライアントを許可する ゲートウェイエンフォーサアプライアンスはクライアントのオペレーティングシステムを検出 し、Windows クライアントを認証します。ただし、認証なしでゲートウェイエンフォーサア プライアンスに接続することを Windows 以外のクライアントには許可しません。 Windows 以外のクライアントでネットワークに接続する必要があれば Symantec Endpoint Protection Manager コンソールの追加オプションを設定する必要があります。 p.736 の 「Windows 以外のクライアントを認証せずに許可するための必要条件」 を参照 してください。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参照してください。 Windows 以外のクライアントに認証なしでネットワークへの接続を許可するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 3 [サーバー]の下で、エンフォーサのグループを選択し、展開します。 エンフォーサグループは、Windows 以外のすべてのクライアントにネットワークへの 接続を許可したいゲートウェイエンフォーサアプライアンスを含まなければなりませ ん。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[認証]タブで、[Windows 以外の OS のすべてのクラ イアントを許可する]にチェックマークを付けます。 デフォルトでは、この設定は有効になっていません。 6 [OK]をクリックします。 759 760 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について クライアントのポリシーのシリアル番号のチェック Symantec Endpoint Protection Manager は、クライアントのセキュリティポリシーが変 更されるたびにクライアントポリシーのシリアル番号を更新します。クライアントが Symantec Endpoint Protection Manager に接続すると、クライアントは最新のセキュリティポリシー と最新のポリシーのシリアル番号を受信します。 クライアントがゲートウェイエンフォーサアプライアンスを介してネットワークへの接続を試 みるとき、次の処理が実行されます。 ■ Symantec Endpoint Protection Manager からポリシーのシリアル番号を取り込み ます。 ■ ポリシーのシリアル番号をクライアントから受信したポリシーのシリアル番号と比較す る ■ ポリシーのシリアル番号が一致すれば、ゲートウェイエンフォーサアプライアンスはク ライアントが最新のセキュリティポリシーを実行していることを確認したことになります。 デフォルトでは、この設定は有効ではありません。 次のガイドラインが適用されます。 ■ [クライアントがネットワークに入るのを許可する前にクライアントポリシーのシリアル番 号を調べる]オプションにチェックマークを付けた場合、ゲートウェイエンフォーサアプ ライアンスを介してネットワークに接続する前に、クライアントに最新のセキュリティポリ シーがなければなりません。クライアントに最新のセキュリティポリシーがない場合、ク ライアントは最新のポリシーをダウンロードするように通知されます。次に、ゲートウェ イエンフォーサアプライアンスは、ゲートウェイの要求を転送し、検疫のネットワーク設 定を受信します。 ■ [クライアントがネットワークに入るのを許可する前にクライアントポリシーのシリアル番 号を調べる]オプションにチェックマークを付けていない場合に、ホストインテグリティ 検査が成功すると、クライアントはネットワークに接続できます。セキュリティポリシーが 最新でない場合でも、クライアントはゲートウェイエンフォーサアプライアンスを介して 接続できます。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参照してください。 ゲートウェイエンフォーサアプライアンスでクライアントのポリシーのシリアル番号をチェッ クするには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 3 ゲートウェイエンフォーサアプライアンスのグループを選択し、展開します。 エンフォーサグループはクライアントのポリシーのシリアル番号を調べるゲートウェイ エンフォーサアプライアンスを含まなければなりません。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について 4 [設定]ダイアログボックスの[認証]タブで、[クライアントがネットワークに入るのを許 可する前にクライアントポリシーのシリアル番号を調べる]にチェックマークを付けま す。 5 [OK]をクリックします。 ゲートウェイエンフォーサアプライアンスからクライアントに非準拠につい てのメッセージを送信する ネットワークに接続できないことをユーザーに通知するために Windows ポップアップメッ セージを送信できます。このメッセージは通常、クライアントが Symantec Network Access Control クライアントを実行していないのでネットワークに接続できないことをユーザーに 通知します。 ほとんどの管理者は、Symantec Endpoint Protection クライアントか Symantec Network Access Control クライアントを実行する必要があることを示す簡単な説明を入力します。 メッセージには、ユーザーが必須のクライアントソフトウェアをダウンロードできるダウンロー ドサイトについての情報を含めることができます。また連絡先の電話番号など他の関連情 報も指定できます。 この設定はデフォルトで有効になっています。これは Symantec Endpoint Protection クライアントまたは Symantec Network Access Control クライアントを実行していないク ライアントにのみ適用されます。 このタスクを完了するとすぐ、クライアントで Windows Messenger サービスが動作してい る場合には、クライアントでポップアップメッセージが表示されます。 メモ: ポップアップメッセージは Mac クライアントでは表示されません。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参照してください。 ゲートウェイエンフォーサアプライアンスからクライアントに非準拠についてのメッセージ を送信するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[認証]タブで、[クライアントが動作していない場合に Windows クライアント上でポップアップメッセージを有効にする]にチェックマークを 付けます。 6 [メッセージ]をクリックします。 761 762 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 ゲートウェイアプライアンスの認証設定について 7 [ポップアップメッセージの設定]ダイアログボックスの[次のポップアップメッセージ が表示されます]リストで、クライアントでメッセージを表示する頻度を選択します。 次の期間を選択できます。 8 ■ 1回 デフォルト値は[1 回]です。 ■ 30 秒おき ■ 毎分 ■ 2 分おき ■ 5 分おき ■ 10 分おき テキストボックスに表示するメッセージを入力します。 文字の最大数は 125 です。スペースと句読点が含まれています。 デフォルトメッセージは次のとおりです。 ネットワークのアクセスからので遮断されます シマンテック製クライアントの実行を持たないでください。必要とします それをインストールしてください。 9 [OK]をクリックします。 10 [設定]ダイアログボックスの[認証]タブで、[OK]をクリックします。 Web ページへの HTTP 要求のリダイレクト ゲートウェイエンフォーサアプライアンスには、クライアントがブラウザを介して内部 Web サイトへのアクセスを試み、そのクライアントでクライアントソフトウェアが実行されていない 場合に、内部 Web サーバーへの HTTP 要求をリダイレクトするオプションがあります。 URL を指定していなければ、ゲートウェイエンフォーサアプライアンスのポップアップメッ セージが、最初の HTML ページの HTML 本文として表示されます。設定した Web ペー ジにユーザーを接続したい場合もあります。クライアントはこの Web サイトから修復のソフ トウェアをダウンロードできます。ゲートウェイエンフォーサアプライアンスは、指定した URL に HTTP GET 要求をリダイレクトできます。 この設定はデフォルトで有効になっています。 たとえば、Web サーバーに要求をリダイレクトして、クライアントがそこからクライアントソフ トウェア、パッチ、またはアプリケーションの最新バージョンをダウンロードできるようにでき ます。 p.750 の 「ゲートウェイアプライアンスの認証設定について」 を参照してください。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 HTTP 要求を Web ページにリダイレクトするには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 ゲートウェイエンフォーサアプライアンスのグループを選択し、展開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [ゲートウェイの設定]ダイアログボックスの[認証]タブで、[クライアントが動作してい ない場合にクライアント上の HTTP リダイレクトを有効にする]にチェックマークを付 けます。 6 [HTTP リダイレクト URL]フィールドに URL を入力します。 リダイレクト URL のホストは、Symantec Endpoint Protection Manager か、または 信頼できる内部 IP アドレス範囲の一部としてリストにある IP アドレスでなければなり ません。 この URL の文字数は 255 文字までです。 Web サーバーの名前を指定したい場合は、[拡張]タブで[すべての DNS 要求パ ケットを許可する]も有効にしなければなりません。 [URL]フィールドを空のままにして [OK] をクリックすると、次のメッセージが表示さ れます。 HTTP リダイレクトの URL には、有効な URL を指定する必要があります。 また、クライアントに返される最初の HTML ページの HTML 本文としてゲートウェイ エンフォーサのポップアップメッセージを使います。 7 [ゲートウェイの設定]ダイアログボックスの[認証]タブで、[OK]をクリックします。 認証範囲の設定 次の設定を行うことができます。 ■ ゲートウェイエンフォーサアプライアンスが認証するクライアント IP アドレス p.767 の 「認証を必要とするアドレスリストへのクライアント IP アドレス範囲の追加」 を 参照してください。 ■ ゲートウェイエンフォーサアプライアンスが認証しない外部 IP アドレス p.770 の 「信頼できる外部 IP アドレスの指定」 を参照してください。 ■ ゲートウェイエンフォーサがアクセスを許可する内部 IP アドレス p.770 の 「管理サーバーでのクライアントの信頼できる内部 IP アドレスの追加」 を参 照してください。 設定を適用すると、変更は次のハートビートの間に選択されたゲートウェイエンフォーサ アプライアンスに送信されます。次の点に留意してください。 763 764 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 ■ デフォルトでは、[次の IP アドレスを使うクライアントのみを認証する]オプションが選 択されていません。このオプションを選択して、認証する IP アドレスを指定しない場 合、ゲートウェイエンフォーサアプライアンスはネットワークブリッジと同様に機能し、す べてのクライアントアクセスを許可します。 ■ [信頼できる外部 IP アドレス範囲]のアドレスには、企業 VPN サーバーの IP アドレ スと、クライアントを実行せずに企業ネットワークへのアクセスを許可されるその他の IP アドレスを追加する必要があります。また、通常はネットワークにアクセスして Windows 以外のオペレーティングシステムを実行するデバイスも追加できます。 ■ [信頼できる内部 IP アドレス範囲]のアドレスには、更新サーバーや、ウイルス対策シ グネチャファイルを含むファイルサーバー、修復に使われるサーバー、あるいはドメイ ンやホスト名の解決に必要な DNS または WINS サーバーのアドレスを指定する必 要があります。 ■ クライアントのプロファイルが最新であることをゲートウェイエンフォーサアプライアンス で検証するように指定する場合、クライアントは Symantec Endpoint Protection Manager に接続して最新のセキュリティポリシーをダウンロードする必要があります。 DNS 名またはホスト名によって Symantec Endpoint Protection Manager を参照 するときにこのオプションを使う場合は、信頼できる内部 IP のリストに DNS か WINS サーバーの IP アドレスを追加する必要があります。 信頼できる外部 IP アドレスとクライアント IP アドレス範囲との比較 クライアント IP アドレス範囲は、ブラックリストと呼ばれるものに類似しています。特定の IP アドレスのみをチェックするようにゲートウェイエンフォーサアプライアンスに指定する クライアント IP 範囲を指定して、クライアントを実行しているかどうか、必要なセキュリティ ポリシーを満たしているかどうかを確認することができます。クライアントがクライアント IP のリストになければ、信頼できる IP アドレスを割り当てられたときと同じように機能します。 クライアント IP アドレス範囲とは対照的に、信頼できる外部 IP アドレスはホワイトリストと 呼ばれるものに類似しています。[Assigning Trusted External IP addresses]にチェッ クマークを付けると、ゲートウェイエンフォーサアプライアンスは、信頼できる外部 IP アド レスのクライアントを除いて外部から接続しようとするクライアントの有効性を確認します。 この処理は、クライアント IP アドレス範囲にあるクライアントのみの有効性を確認するよう ゲートウェイエンフォーサアプライアンスに指示するクライアント IP アドレス範囲とは逆に なります。 p.767 の 「認証を必要とするアドレスリストへのクライアント IP アドレス範囲の追加」 を参照 してください。 クライアント IP アドレス範囲を使うタイミング クライアント IP アドレス範囲を使うと、ゲートウェイエンフォーサアプライアンスが認証しな ければならないコンピュータを表す IP アドレスの範囲を管理者が指定できます。クライア 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 ント IP アドレス範囲外のアドレスを持つコンピュータは、クライアントソフトウェアまたは他 の認証を必要とせずにゲートウェイエンフォーサアプライアンスの通過を許可されます。 クライアント IP アドレス範囲を使う理由として、次の点が挙げられます。 ■ 外部 Web サイトへのネットワークアクセスの許可 ■ クライアントのサブセットの認証 p.767 の 「認証を必要とするアドレスリストへのクライアント IP アドレス範囲の追加」 を参照 してください。 外部 Web サイトへのネットワークアクセスの許可 クライアント IP アドレス範囲を使う 1 つの理由は、内部ネットワークから外部 Web サイト へのネットワークアクセスを許可することです。ゲートウェイエンフォーサアプライアンスを 経由してシマンテックや Yahoo のようなインターネット上の Web サイトにアクセスするコ ンピュータが企業ネットワーク上にある場合、内部クライアントはインターネットをクエリー できます。ただし、ゲートウェイエンフォーサアプライアンスはクライアント要求に応答する ことを試みる Web サイトの認証を試みます。 したがって、ゲートウェイエンフォーサアプライアンスを経由してインターネットに接続する 内部クライアントは、クライアント IP アドレス範囲を設定しなければインターネットにアクセ スできません。 クライアント IP アドレス範囲は、VPN サーバーが任意のクライアントに割り当てるすべて の IP アドレスであることがあります。 たとえば、クライアント IP アドレス範囲が設定されていれば内部クライアントはインターネッ トにアクセスできます。内部ユーザーが Web サイトにアクセスするとき、IP アドレスがクラ イアント IP アドレス範囲外にあれば、そのサイトはクライアントに応答できます。したがっ て、その内部ユーザーは認証を必要としません。 p.767 の 「認証を必要とするアドレスリストへのクライアント IP アドレス範囲の追加」 を参照 してください。 クライアントのサブセットの認証 クライアント IP アドレスを使うと、ゲートウェイエンフォーサアプライアンスが企業のクライ アントの限られたサブセットのみを認証するようにできるため便利です。 すべてのコンピュータにすでにクライアントがインストールされている場合、1 つのサブネッ トを経由して接続するクライアントのみを調べるように、ゲートウェイエンフォーサアプライ アンスを設定できます。その場所で企業ネットワークにアクセスする他のクライアントは、 認証なしで通過を許可されます。他のクライアントにクライアントがインストールされている ので、クライアント IP アドレス範囲にそれらのアドレスを追加するか、または異なる認証方 法を使うことができます。 765 766 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 p.767 の 「認証を必要とするアドレスリストへのクライアント IP アドレス範囲の追加」 を参照 してください。 信頼できる IP アドレスについて ゲートウェイエンフォーサでは、次の種類の信頼できる IP アドレスを使用します。 ■ 信頼できる外部 IP アドレス 信頼できる外部 IP アドレスは、クライアントを実行せずに企業ネットワークへのアクセ スを許可される外部コンピュータの IP アドレスです。 p.770 の 「信頼できる外部 IP アドレスの指定」 を参照してください。 ■ 信頼できる内部 IP アドレス 信頼できる内部 IP アドレスは、どのクライアントでも外側からアクセスできる企業ネッ トワーク内のコンピュータの IP アドレスです。 p.770 の 「管理サーバーでのクライアントの信頼できる内部 IP アドレスの追加」 を参 照してください。 Symantec Endpoint Protection Manager コンソールでは両方の種類の信頼できる IP アドレスを追加できます。コンソールへのトラフィックはゲートウェイエンフォーサアプライ アンスから常に許可されます。 信頼できる外部 IP アドレス ゲートウェイエンフォーサアプライアンスの主な義務の 1 つは、ネットワークにアクセスを 試みるすべてのコンピュータがクライアントを実行していることを調べることです。一部の コンピュータは、Windows オペレーティングシステムを実行していない、またはクライア ントを実行していない場合があります。 たとえば、VPN と無線サーバーは通常クライアントを実行していません。さらに、ネットワー ク設定によっては、通常はネットワークにアクセスして Windows 以外のオペレーティング システムを実行するデバイスが含まれることがあります。これらのコンピュータがゲートウェ イエンフォーサアプライアンスをバイパスする必要がある場合、ゲートウェイエンフォーサ アプライアンスがそれらを認識できることを確認する必要があります。信頼できる外部 IP アドレス範囲を作成すると、ゲートウェイエンフォーサアプライアンスに認識させることが可 能になります。また、その IP アドレス範囲内の IP アドレスをクライアントに割り当てる必要 があります。 p.770 の 「信頼できる外部 IP アドレスの指定」 を参照してください。 信頼できる内部 IP アドレス 信頼できる内部 IP アドレスは、外部クライアントが外側からアクセスできる企業ネットワー ク内のコンピュータの IP アドレスを表します。一部の内部 IP アドレスを、信頼できる内部 IP アドレスにすることができます。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 信頼できる内部 IP アドレスを指定すると、クライアントは、次のことに関係なく企業ネット ワーク外からその IP アドレスにアクセスできます。 ■ クライアントソフトウェアがクライアントコンピュータにインストールされているかどうか ■ クライアントがセキュリティポリシーに準拠しているかどうか 信頼できる内部 IP アドレスは、社外のユーザーがアクセスできるようにするための内部 IP アドレスです。 信頼できる IP アドレスとして指定する内部アドレスの例としては、次が挙げられます。 ■ 更新サーバー ■ ウイルス対策シグネチャファイルを含むファイルサーバー ■ 修復に使われるサーバー ■ ドメインまたはホスト名を解決するために必要な DNS サーバーまたは WINS サー バー クライアントが内部ネットワークへのアクセスを試み、ゲートウェイエンフォーサアプライア ンスによって認証されない場合、次の状況でそのクライアントを検疫に配置できます。 ■ クライアントが、クライアントコンピュータ上でクライアントソフトウェアを実行していない ■ ホストインテグリティ検査が失敗した ■ クライアントが最新のポリシーに更新されていない このときにも、クライアントは特定の IP アドレスにはアクセスを許可されます。これが、信 頼できる内部 IP アドレスです。 たとえば、信頼できる内部 IP アドレスの例としては、クライアントまたは必要な他のソフト ウェアを取得するために企業ネットワークにアクセスする必要がある外部クライアントなど を挙げることができます。ゲートウェイエンフォーサアプライアンスは、信頼できる内部 IP アドレスのリストにあるコンピュータへのアクセスを外部クライアントに許可します。 p.770 の 「管理サーバーでのクライアントの信頼できる内部 IP アドレスの追加」 を参照し てください。 認証を必要とするアドレスリストへのクライアント IP アドレス範囲の追加 ゲートウェイエンフォーサアプライアンスが認証する IP アドレスを持つクライアントを指定 できます。 次の点を確認してください。 ■ 認証したいアドレスまたはアドレス範囲の隣にある[有効にする]オプションにチェック マークを付けていることを確認します。アドレスまたはアドレス範囲の認証を一時的に 無効にしたい場合は、[有効にする]のチェックマークをはずします。 767 768 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 ■ 無効な IP アドレスを入力した場合は、クライアント IP リストに追加しようとしたときにエ ラーメッセージが表示されます。 p.764 の 「クライアント IP アドレス範囲を使うタイミング」 を参照してください。 認証されたクライアントのネットワークアクセスを制限するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 ゲートウェイエンフォーサアプライアンスグループを選択し、展開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [ゲートウェイの設定]ダイアログボックスの[認証範囲]タブにある[クライアント IP ア ドレス範囲の認証]領域で、[次の IP アドレスを使うクライアントのみを認証する]に チェックマークを付けます。 このオプションにチェックマークを付けないと、リストにあるすべての IP アドレスは無 視されます。したがって、ネットワークに接続しようとするすべてのクライアントが認証 されます。このオプションにチェックマークを付けると、ゲートウェイエンフォーサアプ ライアンスは、リストに追加された IP アドレスを持つクライアントのみを認証します。 6 [追加]をクリックします。 7 [単一の IP アドレスを追加する]ダイアログボックスで、[単一 IP アドレス]から[IP ア ドレス範囲]または[サブネット]までのなかから選択します。 フィールドは適切な情報を入力できるように変わります。 8 9 以下の項目を追加するかどうか選択します。 ■ 単一 IP アドレス ■ IP アドレス範囲 ■ IP アドレスとサブネットマスク 単一 IP アドレス、アドレス範囲の開始アドレスと終了アドレス、IP アドレスとサブネッ トマスクのいずれかを入力します。 10 [OK]をクリックします。 入力したアドレス情報がクライアント IP アドレス範囲の表に追加され、[有効にする] オプションが選択されます。 11 [追加]をクリックし、ゲートウェイエンフォーサで認証したいアドレスの他の IP アドレ スまたは範囲を指定します。 12 [OK]をクリックします。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 認証を必要とするアドレスリストのクライアント IP アドレス範囲の編集 認証する必要のあるクライアントの IP アドレス範囲を編集する必要があります。 p.764 の 「クライアント IP アドレス範囲を使うタイミング」 を参照してください。 認証を必要とするアドレスリストのクライアント IP アドレス範囲を編集するには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 4 認証を必要とするアドレスリストのクライアント IP アドレス範囲を編集したいエンフォー サのグループを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [ゲートウェイの設定]ダイアログボックスの[認証範囲]タブにある[クライアント IP ア ドレス範囲]領域で、IP アドレスの列のどこかをクリックし、[すべての編集]をクリック します。 7 [OK]をクリックします。 8 [ゲートウェイの設定]ダイアログボックスで[OK]をクリックします。 認証を必要とするアドレスリストからのクライアント IP アドレス範囲の削 除 クライアント IP アドレス範囲を削除する必要がある場合もあります。 p.764 の 「クライアント IP アドレス範囲を使うタイミング」 を参照してください。 認証を必要とするアドレスリストからクライアント IP アドレス範囲を削除するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 4 認証を必要とするアドレスリストのクライアント IP アドレス範囲を編集したいゲートウェ イエンフォーサアプライアンスのグループを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [ゲートウェイの設定]ダイアログボックスの[認証範囲]タブにある[クライアント IP ア ドレス範囲]領域で、削除したい IP アドレスを含む行をクリックします。 7 [削除]をクリックします。 8 [OK]をクリックします。 769 770 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 管理サーバーでのクライアントの信頼できる内部 IP アドレスの追加 信頼できる内部 IP アドレスの表には、クライアントが現在実行中かどうかに関係なく、ま たそのクライアントがホストインテグリティ検査に合格したかどうかにも関係なく、外部クラ イアントが通信を許可された内部 IP アドレスのリストが含まれています。 クライアントが複数のゲートウェイエンフォーサアプライアンスを介してネットワークに接続 するように、2 つのゲートウェイエンフォーサアプライアンスを連続して実行する場合、一 方のゲートウェイエンフォーサアプライアンスの信頼できる内部 IP アドレスとして、 Symantec Endpoint Protection Manager に近い方のゲートウェイエンフォーサアプラ イアンスを指定する必要があります。ホストインテグリティ検査に失敗したクライアントがそ の後検査に合格した場合、クライアントがネットワークに接続できる前に最大 5 分の遅延 があります。 p.766 の 「信頼できる IP アドレスについて」 を参照してください。 管理サーバーで、信頼できる内部 IP アドレスをクライアントに追加するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 4 認証を必要とするアドレスリストのクライアント IP アドレス範囲を編集したいゲートウェ イエンフォーサアプライアンスのグループを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [ゲートウェイの設定]ダイアログボックスの[認証範囲]タブにある[信頼できる IP ア ドレス範囲]領域で、ドロップダウンリストから[信頼できる内部 IP アドレス範囲]を選 択します。 7 [追加]をクリックします。 8 [IP アドレスの設定]ダイアログボックスで、IP アドレスかアドレス範囲を入力します。 9 [OK]をクリックします。 IP アドレスがリストに追加され、[有効にする]列にチェックマークが表示されます。 10 [設定]ダイアログボックスで[OK]をクリックします。 信頼できる外部 IP アドレスの指定 信頼できる外部 IP アドレスを追加すると、ゲートウェイエンフォーサアプライアンスはその IP アドレスのクライアントが、たとえクライアントソフトウェアを実行していない場合でもネッ トワークに接続することを許可します。 VPN サーバーにはクライアントがインストールされないので、ゲートウェイエンフォーサ経 由でネットワークアクセスを必要とする VPN サーバーを使う場合は、信頼できる IP のリス トにそのサーバーの IP を追加してください。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 無効な IP アドレスを入力した場合は、エラーメッセージが表示されます。 メモ: まず、信頼できる外部 IP アドレスのフィールドに、企業 VPN サーバーの内部 IP ア ドレスを追加する必要があります。 p.766 の 「信頼できる IP アドレスについて」 を参照してください。 信頼できる外部 IP アドレスを指定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 4 信頼できる外部 IP アドレスを指定したいエンフォーサのグループを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [ゲートウェイの設定]ダイアログボックスの[認証範囲]タブにある[信頼できる IP ア ドレス範囲]領域で、ドロップダウンリストから[信頼できる外部 IP アドレス範囲]を選 択します。 7 [追加]をクリックします。 8 [IP アドレスの設定]ダイアログボックスで、IP アドレスかアドレス範囲を入力します。 9 [OK]をクリックします。 IP アドレスがリストに追加され、[有効にする]列にチェックマークが表示されます。 10 [設定]ダイアログボックスで[OK]をクリックします。 信頼できる内部または外部 IP アドレスの編集 信頼できる内部 IP アドレスと外部 IP アドレスを編集する必要がある場合もあります。 p.766 の 「信頼できる IP アドレスについて」 を参照してください。 信頼できる内部または外部 IP アドレスを編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 4 信頼できる内部または外部 IP アドレスを編集したいエンフォーサのグループを選択 します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 771 772 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 認証範囲の設定 6 [ゲートウェイの設定]ダイアログボックスの[認証範囲]タブにある[信頼できる IP ア ドレス範囲]領域で、ドロップダウンリストから[信頼できる内部 IP アドレス範囲]また は[信頼できる外部 IP アドレス範囲]を選択します。 選択した種類のアドレスが、表に表示されます。 7 [信頼できる IP アドレス範囲]表で、IP アドレス列のどこかをクリックし、[すべての編 集]をクリックします。 8 IP アドレスの編集をするダイアログボックスで、変更するアドレスを見つけて編集し ます。 9 [OK]をクリックします。 10 [設定]ダイアログボックスで[OK]をクリックします。 信頼できる内部または外部 IP アドレスの削除 十分に認証されない外部ユーザーについて、特定の内部の場所へのアクセスを許可し ないようにしたい場合は、[Trusted Internal IP Address]表からその IP アドレスを削除 できます。 p.766 の 「信頼できる IP アドレスについて」 を参照してください。 信頼できる内部 IP または信頼できる外部 IP アドレスを削除するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 ゲートウェイエンフォーサアプライアンスグループを選択し、展開します。 4 信頼できる内部 IP アドレスまたは信頼できる外部 IP アドレスを削除するゲートウェ イエンフォーサアプライアンスのグループを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [ゲートウェイの設定]ダイアログボックスの[認証範囲]タブにある[信頼できる IP ア ドレス範囲]領域で、ドロップダウンリストから[信頼できる内部 IP アドレス範囲]また は[信頼できる外部 IP アドレス範囲]を選択します。 選択した種類のアドレスが、表に表示されます。 7 表で、削除したい IP アドレスを含む行をクリックします。 8 [削除]をクリックします。 9 [設定]ダイアログボックスで[OK]をクリックします。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 拡張ゲートウェイエンフォーサアプライアンス設定について IP アドレス範囲を調べる順序 クライアント IP アドレス範囲と信頼できる内部 IP アドレスを両方使っている場合、ゲート ウェイエンフォーサアプライアンスはクライアントからパケットを受信するとき以下の順序で クライアントのアドレスを調べます。 ■ クライアント IP アドレス範囲が有効な場合、ゲートウェイエンフォーサアプライアンス はクライアント IPアドレス 範囲の表でクライアントのソース IP と一致するアドレスを調 べます。 ■ クライアント IP アドレス範囲がそのクライアントの IP アドレスを含まなければ、ゲート ウェイエンフォーサアプライアンスは認証なしでクライアントを許可します。 ■ クライアント IP アドレス範囲がそのクライアントの IP アドレスを含んでいれば、ゲート ウェイエンフォーサアプライアンスは次に、信頼できる外部 IP アドレス範囲の中で一 致するアドレスを調べます。 ■ クライアントと一致するアドレスが信頼できる外部 IP アドレス範囲にあれば、ゲートウェ イエンフォーサアプライアンスはクライアントを許可します。 ■ 一致するアドレスが信頼できる外部 IP アドレス範囲になければ、ゲートウェイエン フォーサアプライアンスは信頼できる内部 IP アドレス範囲のリストと、Symantec Endpoint Protection Manager のインスタンスのリストに対して対象アドレスを調べ ます。 一致するアドレスがそれでも見つけられなければ、ゲートウェイエンフォーサアプライ アンスは認証セッションを始め、チャレンジパケットを送信します。 p.770 の 「信頼できる外部 IP アドレスの指定」 を参照してください。 p.767 の 「認証を必要とするアドレスリストへのクライアント IP アドレス範囲の追加」 を参照 してください。 拡張ゲートウェイエンフォーサアプライアンス設定につい て 次の拡張ゲートウェイエンフォーサアプライアンスオプションを設定できます。 ■ すべての DHCP 要求パケットを許可する ■ すべての DNS 要求パケットを許可する ■ すべての ARP 要求パケットを許可する ■ IP と ARP を除くその他のプロトコルを許可する 許可するプロトコルの種類を[フィルタ]フィールドに指定できます。 p.774 の 「パケットの種類とプロトコルの指定」 を参照してください。 ■ レガシークライアントを許可する 773 774 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 拡張ゲートウェイエンフォーサアプライアンス設定について p.775 の 「レガシークライアントにゲートウェイエンフォーサアプライアンスを使用した ネットワーク接続を許可する」 を参照してください。 ■ ローカル認証を有効にする p.776 の 「ゲートウェイエンフォーサアプライアンスのローカル認証を有効にする」 を参 照してください。 ■ ゲートウェイエンフォーサアプライアンスクライアントのシステム時間の更新を有効に する p.776 の 「Network Time Protocol によるゲートウェイエンフォーサアプライアンスの システム時間の更新の有効化」 を参照してください。 ■ Web サーバーとしてゲートウェイエンフォーサを使う p.777 の 「ゲートウェイエンフォーサアプライアンスの Web サーバーとしての使用」 を 参照してください。 ■ DNS 詐称のサーバーとしてゲートウェイエンフォーサを使う p.778 の 「ゲートウェイエンフォーサの DNS 詐称のサーバーとしての使用」 を参照し てください。 設定を適用すると、変更は次のハートビートの間に、選択したゲートウェイエンフォーサア プライアンスに送信されます。 パケットの種類とプロトコルの指定 クライアントの実行や認証を必要とせず、特定種類のパケットの通過を許可するようにゲー トウェイエンフォーサアプライアンスに指定できます。 p.773 の 「拡張ゲートウェイエンフォーサアプライアンス設定について」 を参照してくださ い。 パケットの種類とプロトコルを指定するには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 3 ゲートウェイエンフォーサアプライアンスグループを選択し、展開します。 4 パケットの種類とプロトコルを指定するゲートウェイエンフォーサアプライアンスのグ ループを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [ゲートウェイの設定]ダイアログボックスの[拡張]タブで、次のパケット種類またはプ ロトコルにチェックマークを付けるか、チェックマークをはずします。 ■ すべての DHCP 要求パケットを許可する 有効にすると、ゲートウェイエンフォーサアプライアンスは外部ネットワークからの すべての DHCP 要求を内部ネットワークに転送します。このオプションを無効に するとクライアントは IP アドレスを取得できなくなります。クライアントは、ゲート 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 拡張ゲートウェイエンフォーサアプライアンス設定について ウェイエンフォーサアプライアンスとの通信に IP アドレスを必要とするので、この オプションは無効にしないことをお奨めします。 デフォルト設定は有効です。 ■ すべての DNS 要求パケットを許可する 有効にすると、エンフォーサは外部ネットワークからのすべての DNS 要求を内 部ネットワークに転送します。クライアントが Symantec Endpoint Protection Manager と、IP アドレスではなく名前を使って通信するように設定されている場 合は、このオプションを有効にする必要があります。[認証]タブで HTTP リダイ レクト要求オプションを使いたい場合も、このオプションは有効にする必要があり ます。 デフォルト設定は有効です。 ■ すべての ARP 要求パケットを許可する このオプションを有効にすると、ゲートウェイエンフォーサアプライアンスは内部 ネットワークからのすべての ARP パケットを許可します。有効にしない場合、ゲー トウェイエンフォーサアプライアンスはパケットを通常の IP パケットとして扱い、送 信元 IP をソース IP、送信先 IP をターゲット IP として認証プロセスを実行しま す。 デフォルト設定は有効です。 ■ IP と ARP を除くその他のプロトコルを許可する このオプションを有効にすると、ゲートウェイエンフォーサアプライアンスは他の プロトコルのすべてのパケットを転送します。有効にしない場合、パケットは破棄 されます。 デフォルト設定では無効です。 [IP と ARP を除くその他のプロトコルを許可する]にチェックマークを付けた場 合は、[フィルタ]フィールドに入力すると安全です。フィールドにマウスポインタ を合わせると、次のような例が表示されます。 例: allow 800, 224.12.21,900-90d, 224.21.20-224-12.21.100; block 810,224.12.21.200 7 [OK]をクリックします。 レガシークライアントにゲートウェイエンフォーサアプライアンスを使用し たネットワーク接続を許可する ゲートウェイエンフォーサアプライアンスで 5.1.x レガシークライアントへの接続を有効に することができます。ネットワークで 11.0.2 Symantec Endpoint Protection Manager と Symantec Gateway Enforcer アプライアンスをサポートしている場合で、5.1.x レガシー クライアントをサポートする必要がある場合、管理サーバーコンソールで 5.1.x レガシーク ライアントのサポートを有効にして、Symantec Gateway Enforcer アプライアンスがこれ らのクライアントを遮断しないようにすることができます。 775 776 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 拡張ゲートウェイエンフォーサアプライアンス設定について p.773 の 「拡張ゲートウェイエンフォーサアプライアンス設定について」 を参照してくださ い。 レガシークライアントにゲートウェイエンフォーサアプライアンスを使用したネットワーク接 続を許可するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 ゲートウェイエンフォーサアプライアンスのグループを選択し、展開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[拡張]タブで、[レガシークライアントを許可する]にチェッ クマークを付けます。 6 [OK]をクリックします。 ゲートウェイエンフォーサアプライアンスのローカル認証を有効にする ローカル認証を有効にすると、ゲートウェイエンフォーサアプライアンスは Symantec Endpoint Protection Manager がインストールされているサーバーとの接続を失いま す。したがってゲートウェイエンフォーサアプライアンスはクライアントをローカルで認証し ます。 p.773 の 「拡張ゲートウェイエンフォーサアプライアンス設定について」 を参照してくださ い。 ゲートウェイエンフォーサアプライアンスのローカル認証を有効にするには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 ゲートウェイエンフォーサアプライアンスのグループを選択し、展開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[拡張]タブで、[ローカル認証を有効にする]にチェック マークを付けます。 6 [OK]をクリックします。 Network Time Protocol によるゲートウェイエンフォーサアプライアンス のシステム時間の更新の有効化 NTP(Network Time Protocol)が有効になっている場合、ゲートウェイエンフォーサア プライアンスの時計は正しい時刻に更新されます。この設定はデフォルトでは無効になっ ていますが、グループポリシーで指定して変更することができます。 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 拡張ゲートウェイエンフォーサアプライアンス設定について p.773 の 「拡張ゲートウェイエンフォーサアプライアンス設定について」 を参照してくださ い。 Symantec Endpoint Protection Manager からゲートウェイエンフォーサアプライアンス の時間更新を有効にするには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 3 [サーバー]の下で、ゲートウェイエンフォーサアプライアンスのグループを選択し、 展開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [拡張]タブで、[Enable Network Time Protocol]にチェックマークを付けます。 6 NTP サーバーの IP アドレスまたは完全修飾ドメイン名を入力します。 7 [OK]をクリックします。 時間同期の問題をトラブルシューティングする場合は、エンフォーサコンソールからこの 設定を一時的に変更できます。エンフォーサコンソールのコマンドラインで、Enforcer (configure)# ntp と入力します。 ゲートウェイエンフォーサアプライアンスの Web サーバーとしての使用 ゲートウェイエンフォーサアプライアンスは、Symantec Endpoint Protection Manage と通信してオンデマンドエージェントを提供する Web サーバーとして使用できます。エン フォーサは、Web サーバーとして、内部ネットワークと外部ネットワークからエンフォーサ 以外のローカルトラフィックを転送することを止めますが、Symantec Endpoint Protection Manager との通信は継続します。Web サーバーとして動作する機能は、802.1x 環境で VLAN にエンフォーサを配備してゲストユーザーにオンデマンドクライアントを提供する 場合に特に有用です。 ゲートウェイエンフォーサアプライアンスを Web サーバーとして使う場合は、ゲストエン フォースメントを無効にします。ゲートウェイエンフォーサアプライアンスの要素をゲストア クセスの実施に再び切り替える場合は、ゲストエンフォースメントを有効にできます。 p.773 の 「拡張ゲートウェイエンフォーサアプライアンス設定について」 を参照してくださ い。 ゲートウェイエンフォーサアプライアンスを Web サーバーとして使用するには 1 ゲートウェイエンフォーサアプライアンスにスーパーユーザーとしてログオンします。 2 次のコマンドを入力します。 Enforcer#configure advanced 3 次のコマンドを入力します。 Enforcer (advanced)#guest-enf disable 777 778 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 拡張ゲートウェイエンフォーサアプライアンス設定について ゲストエンフォースメントを有効にするには、次のコマンドを入力します。 Enforcer(advanced)# guest_enf enable ゲストエンフォースメントの状態を調べるには、次のコマンドを入力します。 Enforcer(advanced)# show status 状態は OFFLINE か、ACTIVE、STANDBY、GUEST ENFORCEMENT のいずれかの 状態の ONLINE です。 ゲートウェイエンフォーサの DNS 詐称のサーバーとしての使用 ゲストエンフォースメントが有効になっている場合、ゲートウェイエンフォーサは DNS 詐称 機能を提供します。ゲストエンフォースメントが有効になっていない場合、この機能を使う ことはできません。 有効モードでは、URL 要求が修復 Web サイトではなくゲートウェイエンフォーサにルー ティングされます。この機能をアクティブにするには、URL 要求への応答として IP アドレ スを DNS 応答パケットに格納して提供する必要があります。 p.749 の 「管理サーバーリストと conf.properties ファイルによるゲートウェイエンフォーサ アプライアンスと Symantec Endpoint Protection Manager 間の通信の確立」 を参照 してください。 ゲートウェイエンフォーサを DNS 詐称のサーバーとして使うには 1 ゲートウェイエンフォーサアプライアンスにスーパーユーザーとしてログオンします。 2 次のコマンドを入力します。 Enforcer#configure advanced 3 次のコマンドを入力します。 Enforcer (advanced)# dns-spoofing enable 1use_local_ip dns_spoofing_ip 4 ゲートウェイエンフォーサの IP アドレスを使うか、カスタム IP アドレスを設定できま す。 ゲートウェイエンフォーサの IP アドレスを 使う場合 Enforcer (advanced)# dns-spoofing use-local-ip enable カスタム IP アドレスを設定する場合 Enforcer (advanced)# dns-spoofing-ip<IP ア ドレス> 上記の引数について説明します。 <IP アドレス>は選択した IP アドレスです DNS 詐称を無効にするには、次のコマンドを入力します。 Enforcer (advanced)# dns-spoofing disable 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 拡張ゲートウェイエンフォーサアプライアンス設定について DNS 詐称の状態を調べるには、次のコマンドを入力します。 Enforcer (advanced)# show 状態は、DNS 詐称機能が ENABLED または DISABLED であることを示します。 779 780 第 41 章 Symantec Endpoint Protection Manager での Symantec Gateway Enforcer アプライアンスの設定 拡張ゲートウェイエンフォーサアプライアンス設定について 42 LAN エンフォーサアプライア ンスのインストール計画 この章では以下の項目について説明しています。 ■ LAN エンフォーサアプライアンスのインストールの計画 ■ LAN エンフォーサアプライアンスのフェールオーバー計画 LAN エンフォーサアプライアンスのインストールの計画 LAN エンフォーサアプライアンスはホスト認証を実行し、RADIUS サーバーがなくても、 擬似 RADIUS サーバー(RADIUS プロキシサーバー)として機能します。エンフォースメ ントクライアントは、802.1x サプリカントとして機能します。これは、スイッチの EAP (Extensible Authentication Protocol)チャレンジに対してホストインテグリティ状態とポ リシー番号情報を返送します。RADIUS サーバーの IP アドレスはこの場合 0 に設定さ れ、従来の EAP ユーザー認証は実行されません。LAN エンフォーサアプライアンスはホ ストインテグリティを検証します。ホストインテグリティ検査の結果に基づき、許可、遮断、 または VLAN の動的割り当てを実行します。 もう 1 つの設定も利用可能です。LAN エンフォーサアプライアンスと RADIUS サーバー を使って、802.1x EAP 認証を企業ネットワークの内部で実施することができます。LAN エンフォーサアプライアンスがこのような構成で使われる場合、RADIUS サーバーと通信 できるように LAN エンフォーサアプライアンスを配置する必要があります。 スイッチがダイナミック VLAN スイッチ処理をサポートする場合、スイッチに VLAN を追加 設定し、LAN エンフォーサアプライアンスを介してアクセスするようにできます。スイッチ は、LAN エンフォーサアプライアンスからの返信に基づき、クライアントを動的に VLAN に配置できます。検疫と修復に使う VLAN を追加することもできます。 ネットワークでの LAN エンフォーサアプライアンスの実装に役立つ、各種の計画情報が あります。 782 第 42 章 LAN エンフォーサアプライアンスのインストール計画 LAN エンフォーサアプライアンスのインストールの計画 メモ: メモ: Symantec Sygate Endpoint Protection 5.1 クライアントからアップグレードす る場合は、最初に Symantec Endpoint Protection Manager をアップグレードし、その 後エンフォーサ、クライアントの順にアップグレードして、それらをまずバージョン 11.x に 移行する必要があります。Symantec Endpoint Protection Manager とエンフォーサが バージョン 11.x になったら、最後の手順を実行する前に、エンフォーサのメニューで[レ ガシークライアントを許可する]にチェックマークを付ける必要があります。その後で、現在 のリリースへのアップグレードを終えます。 p.782 の 「LAN エンフォーサアプライアンスの配置場所」 を参照してください。 LAN エンフォーサアプライアンスの配置場所 LAN エンフォーサアプライアンスは RADIUS プロキシとして機能します。管理者は通常 LAN エンフォーサアプライアンスと RADIUS サーバーを使って、802.1x EAP(Extensible Authentication Protocol)認証を企業ネットワークで実施します。LAN エンフォーサア プライアンスをこのような構成で使う場合、LAN エンフォーサアプライアンスは RADIUS サーバーと通信できる必要があります。 たとえば、Symantec Endpoint Protection Manager、RADIUS サーバー、クライアント が含まれる内部 VLAN の 802.1x 対応 LAN スイッチに LAN エンフォーサアプライアン スを接続できます。クライアントソフトウェアを備えていないコンピュータはネットワークに接 続できません。しかし、クライアントは修復サーバーに方向付けられ、そこで準拠に必要 なソフトウェアを取得できます。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 図 42-1 は、全体的な内部ネットワーク設定の中で LAN エンフォーサアプライアンスを配 置できる場所の例を示します。 第 42 章 LAN エンフォーサアプライアンスのインストール計画 LAN エンフォーサアプライアンスのインストールの計画 図 42-1 783 LAN エンフォーサアプライアンスの配置 クライアント 802.1x 対応 LAN スイッチ (dot1x が有効なポートあり、 内部クライアント用) 修復 VLAN RADIUS サーバー 修復サーバー LAN エンフォーサ アプライアンス (RADIUS プロキシ) 企業バックボーン 保護サーバー Symantec Endpoint Protection Manager スイッチがダイナミック VLAN をサポートする場合、802.1x 対応スイッチに VLAN を追加 設定し、LAN エンフォーサアプライアンスを介してアクセスするようにできます。802.1x 対応スイッチは、RADIUS サーバーから応答を受け取ってから、クライアントを動的に VLAN に配置できます。802.1x 対応スイッチには、デフォルト VLAN またはゲストの VLAN 機能を持つものもあります。クライアントに 802.1x サプリカントがない場合、802.1x 対応スイッチはデフォルトの VLAN にクライアントを配置できます。 784 第 42 章 LAN エンフォーサアプライアンスのインストール計画 LAN エンフォーサアプライアンスのインストールの計画 配備済みの装置がネットワークを通じて EAP 認証が可能なように LAN エンフォーサア プライアンスをインストールできます。LAN エンフォーサアプライアンスは、既存の RADIUS サーバー、802.1x サプリカント、および 802.1x 対応スイッチを使用できます。それらは コンピュータレベルの認証を実行します。クライアントがセキュリティポリシーに準拠するこ とを確認します。 たとえば、ウイルス対策ソフトウェアが、最新のシグネチャファイル更新と必須ソフトウェア パッチを使って更新されていることを調べます。802.1x サプリカントと RADIUS サーバー はユーザーレベルの認証を実行します。ネットワークへの接続を試みるクライアントが、本 人であることに間違いないことをチェックします。 また、LAN エンフォーサアプライアンスは透過モードで作動することも可能であり、RADIUS サーバーの必要性がなくなります。透過モードの場合、クライアントは EAP チャレンジに 応じて 802.1x 対応スイッチにホストインテグリティ情報を渡します。次にスイッチは、LAN エンフォーサにその情報を転送します。今度は LAN エンフォーサアプライアンスが 802.1x 対応スイッチに認証の結果を送り返します。LAN エンフォーサアプライアンスが送信する 情報は、ホストインテグリティの有効性確認の結果に基づいています。したがって LAN エ ンフォーサアプライアンスは RADIUS サーバーとの通信を必要としません。 次の設定は LAN エンフォーサアプライアンスで利用可能です。 ■ 完全な 802.1x モード この設定は RADIUS サーバーとサードパーティ 802.1x サプリカントを必要とします。 従来の EAP のユーザー認証と Symantec ホストインテグリティ有効性確認の両方が 実行されます。 ■ 透過モード この設定は、RADIUS サーバーまたはサードパーティ 802.1x サプリカントの使用を 必要としません。ホストインテグリティの有効性確認のみ実行されます。 次の問題を検討します。 ■ 802.1x サプリカントを実行していないプリンタや IP 電話などのクライアントが存在す るかどうか MAB 認証を使うことを検討します。 ■ カスタム 802.1x サプリカントを実行しているプリンタや IP 電話などのクライアントが存 在するかどうか [Symantec NAC クライアント検査を無視]を設定することを検討します。 ■ すべてのコンピュータに 802.1x サプリカントをインストールする計画かどうか すべてのコンピュータに 802.1x サプリカントをインストールする計画の場合は、完全 な 802.1x モードを使えます。 ■ ホストインテグリティ検査に加えてユーザーレベルの認証を実行するかどうか ホストインテグリティ検査に加えてユーザーレベルの認証を実行する場合、完全な 802.1x モードを使う必要があります。 ■ ネットワーク構成に RADIUS サーバーを使う計画かどうか 第 42 章 LAN エンフォーサアプライアンスのインストール計画 LAN エンフォーサアプライアンスのフェールオーバー計画 ネットワーク構成に RADIUS サーバーを使う計画の場合、完全な 802.1x モードと透 過モードのいずれかを使うことができます。ネットワーク構成に RADIUS サーバーを 使う計画ではない場合、透過モードを使う必要があります。 LAN エンフォーサアプライアンスのフェールオーバー計 画 ネットワークに 2 つの LAN エンフォーサアプライアンスをインストールした場合、フェール オーバーは 802.1x 対応スイッチを通して処理されます。802.1x 対応スイッチは、複数 の LAN エンフォーサアプライアンスをサポートできます。同期設定を使って、Symantec Endpoint Protection Manager 上の LAN エンフォーサアプライアンスの設定を簡単に 同期できます。 1 つの LAN エンフォーサアプライアンスの設定を、別の LAN エンフォーサアプライアン スに同期するには、エンフォーサコンソールで同じエンフォーサグループ名を指定しま す。 ネットワークで RADIUS サーバーを使う場合は、LAN エンフォーサアプライアンスが複 数の RADIUS サーバーに接続するように設定することによって、RADIUS サーバーの フェールオーバーを指定します。その LAN エンフォーサアプライアンス用に設定されて いるすべての RADIUS サーバーが無効になれば、スイッチは LAN エンフォーサアプラ イアンスが無効になったと想定します。したがって 802.1x 対応スイッチは追加のフェー ルオーバーサポートを提供する他の LAN エンフォーサアプライアンスに接続します。 p.714 の 「エンフォーサアプライアンスの設定」 を参照してください。 ネットワークでの LAN エンフォーサアプライアンスの配置場所 図 42-2 は LAN エンフォーサアプライアンスにフェールオーバーを指定する方法を説明 します。 p.785 の 「LAN エンフォーサアプライアンスのフェールオーバー計画」 を参照してくださ い。 785 786 第 42 章 LAN エンフォーサアプライアンスのインストール計画 LAN エンフォーサアプライアンスのフェールオーバー計画 図 42-2 2 つの LAN エンフォーサアプライアンスの配置 クライアント 修復 VLAN 802.1x 対応 LAN スイッチ (dot1x が 有効なポートあり、 内部 クライアント用) 修復 サーバー RADIUS サーバー LAN エンフォーサ アプライアンス (RADIUS プロキシ) 企業バックボーン 保護サーバー Symantec Endpoint Protection Manager フェールオーバー RADIUS サーバー 43 Symantec Endpoint Protection Manager での LAN エンフォーサアプライア ンスの設定 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection Manager コンソールでの Symantec LAN エン フォーサの設定について ■ LAN エンフォーサアプライアンスでの RADIUS サーバーの設定について ■ LAN エンフォーサアプライアンスでの 802.1x 無線アクセスポイントの設定について ■ Symantec Endpoint Protection Manager での LAN エンフォーサ設定の変更 ■ 全般の設定の使用 ■ RADIUS サーバーのグループ設定の使用 ■ スイッチ設定の使用 ■ LAN エンフォーサアプライアンスの拡張設定の使用 ■ LAN エンフォーサでの MAC アドレスと MAC 認証バイパス(MAB)の設定 ■ 802.1x 認証の使用 788 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 Symantec Endpoint Protection Manager コンソールでの Symantec LAN エンフォーサの設定について Symantec Endpoint Protection Manager コンソールで の Symantec LAN エンフォーサの設定について Symantec Endpoint Protection Manager コンソールで、LAN エンフォーサのオプショ ン設定を追加したり編集できます。Symantec Endpoint Protection Manager は管理 サーバーとも呼ばれます。 先に進む前に、次のタスクを完了する必要があります。 ■ Symantec Endpoint Protection Manager のソフトウェアをコンピュータにインストー ルします。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 Symantec Endpoint Protection Manager ソフトウェアをインストールするコンピュー タは、管理サーバーとも呼ばれます。 ■ ネットワークに Symantec LAN Enforcer アプライアンスを接続します。 p.712 の 「エンフォーサアプライアンスの設定」 を参照してください。 ■ インストールの間に、ローカル LAN エンフォーサコンソールで Symantec LAN Enforcer アプライアンスを設定します。 p.790 の 「Symantec Endpoint Protection Manager での LAN エンフォーサ設定の 変更」 を参照してください。 これらのタスクを終了した後に、管理サーバーで LAN エンフォーサアプライアンスのため のすべての追加設定を指定できます。 LAN エンフォーサアプライアンスでの RADIUS サーバー の設定について Symantec Endpoint Protection コンソールで、LAN エンフォーサの設定を修正できま す。クライアントでホストインテグリティポリシーをエンフォースするように設定するには、エ ンフォーサをインストールし、Symantec Endpoint Protection Manager に接続してい る必要があります。 LAN エンフォーサの次のオプションを設定できます。 ■ エンフォーサグループの説明、応答準備ポート、管理サーバーリストを定義します。 ■ RADIUS サーバーグループを設定します。ホスト名または IP アドレス、認証ポート、 タイムアウト、共有秘密、再送信回数を設定します。複数のサーバーをグループで設 定し、1 つがダウン状態になれば、LAN エンフォーサはリストの次のサーバーに接続 します。 ■ スイッチまたはスイッチのグループを設定します。 ■ ログ記録を有効にし、ログファイルパラメータを指定します。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 LAN エンフォーサアプライアンスでの 802.1x 無線アクセスポイントの設定について ■ ローカル認証とレガシークライアントを有効または無効にします。 ■ NTP クライアントとして機能する LAN エンフォーサを設定します。 設定で 802.1x 対応スイッチが言及されている場合、無線アクセスポイントにも同じ指示 が適用されます。 p.789 の 「LAN エンフォーサアプライアンスでの 802.1x 無線アクセスポイントの設定につ いて」 を参照してください。 LAN エンフォーサアプライアンスでの 802.1x 無線アクセ スポイントの設定について LAN エンフォーサアプライアンスは、WEP 56、WEP 128、WPA/802.1x、WPA2/802.1x などを含む多くの無線プロトコルをサポートします。 次の場合、スイッチを保護するのと同じだけ無線アクセスポイント(AP)を保護するように LAN エンフォーサを設定できます。 ■ ネットワークに、802.1x の無線 LAN エンフォーサアプライアンスが含まれている。 ■ 無線クライアントがこれらのプロトコルの 1 つをサポートするサプリカントを実行してい る。 ■ 無線 AP がこれらのプロトコルの 1 つをサポートする。 無線接続の場合、認証子は無線 AP 上 の論理的な LAN ポートです。 802.1x とスイッチの無線 AP は同じように設定します。スイッチプロファイルの一部として LAN エンフォーサの設定に無線 AP を含めます。指示やユーザーインターフェースのい ずれかがスイッチに言及している場合は、対応する無線 AP の用語を使用してください。 たとえば、スイッチモデルを選択するように指示がある場合は、無線 AP モデルを選択し ます。無線 AP の製造元がリストにあったら、モデルでそれを選択します。製造元がリスト になかったら、[その他]を選択します。 802.1x とスイッチの無線 AP 設定には、次の相違があります。 ■ 基本構成のみサポートされます。 透過モードはサポートされません。 ■ また無線 AP によっては VLAN のサポートにも相違があります。 一部の動的 VLAN スイッチでは、複数のサービスセット ID (SSID) を使用して AP を 設定することが必要になる場合があります。各 SSID は VLAN と関連付けされます。 動的 VLAN スイッチに付属するマニュアルを参照してください。 使用する無線 AP モデルによっては、VLAN の代わりに次のアクセス制御オプションの 1 つを使うといい場合があります。 789 790 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 Symantec Endpoint Protection Manager での LAN エンフォーサ設定の変更 アクセス制御リスト (ACL) 一部の無線 AP は、ネットワーク管理者がネットワークトラフィック管理のポ リシーを定義できる ACL をサポートしています。無線 AP の製造元の名 前を選択して、LAN エンフォーサの汎用のオプションを使うことができま す。あるいは、(リストになければ)802.1x 対応スイッチモデルに[その他] を選択できます。 汎用オプションでは、VLAN ID または名前を持つ汎用の属性タグがアク セスポイントに送信されます。その後、アクセスポイントをカスタマイズでき ます。ここでアクセスポイントは VLAN ID の汎用の属性タグを読み込み、 WAP の ACL ID と照合できます。[ACL 処理表]表として[スイッチ処理 表]表を使うことができます。 無線 AP または AP のコントローラの追加設定が必要になることがありま す。たとえば、AP コントローラで無線 AP に送信される RADIUS タグを マップする必要がある場合もあります。 詳しくは無線 AP のマニュアルを参照してください。 MAC レベル 802.1x MAC レベル 802.1x をサポートするスイッチに無線 AP を差し込むことが できます。この実装の場合、無線 AP で 802.1x を無効にする必要があり ます。スイッチではこれのみ使うことができます。この場合、スイッチは新し い MAC アドレスを認識することによって無線クライアントを認証します。 MAC アドレスを認証した後、全ポートの代わりにその MAC アドレスを指 定の VLAN に置きます。新しい MAC アドレスはすべて、認証が必要で す。このオプションは安全ではありません。ただし、このオプションでは VLAN のスイッチ機能を使うことができます。 p.790 の 「Symantec Endpoint Protection Manager での LAN エンフォーサ設定の変 更」 を参照してください。 Symantec Endpoint Protection Manager での LAN エ ンフォーサ設定の変更 管理サーバーで LAN エンフォーサの設定を変更できます。設定は、次のハートビートの 間に管理サーバーから LAN エンフォーサアプライアンスに自動的にダウンロードされま す。 Symantec Endpoint Protection Manager で LAN エンフォーサ設定を変更するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 LAN エンフォーサアプライアンスがメンバーであるエンフォーサのグループを選択 します。 エンフォーサグループは、設定を変更する必要がある LAN エンフォーサを含んで いる必要があります。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 Symantec Endpoint Protection Manager での LAN エンフォーサ設定の変更 4 設定を変更する必要がある LAN エンフォーサアプライアンスを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [設定]ダイアログボックスで、設定を変更します。 [LAN エンフォーサの設定]ダイアログボックスには、設定の次のカテゴリが含まれ ます。 全般 このタブは、次の LAN エンフォーサの設定を提供します。 ■ LAN エンフォーサアプライアンスのグループ名 ■ 応答準備ポート ■ LAN エンフォーサアプライアンスグループの説明 ■ LAN エンフォーサが使う管理サーバーリストの選択 p.792 の 「全般の設定の使用」 を参照してください。 RADIUS サーバー グループ このタブは、次の LAN エンフォーサの設定を提供します。 ■ RADIUS サーバーグループの名前 ■ RADIUS サーバーのホスト名か IP アドレス ■ RADIUS サーバーのポート番号 ■ RADIUS サーバーの通称 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してくだ さい。 スイッチ このタブは、次の LAN エンフォーサの設定を提供します。 ■ スイッチポリシーを有効にする ■ スイッチポリシーの名前 ■ スイッチモデル(サポート対象スイッチのリストから選択) ■ 共有秘密 ■ RADIUS サーバーグループ ■ 再認証タイムアウト期間 ■ スイッチが EAP 以外のプロトコルを転送するかどうか ■ スイッチアドレス ■ スイッチの VLAN ■ 処理 p.803 の 「スイッチ設定の使用」 を参照してください。 791 792 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 全般の設定の使用 拡張 このタブは、次の LAN エンフォーサの拡張設定を提供します。 ■ Mac 認証バイパス(MAB)を設定する ■ MAC アドレスと VLAN を指定する ■ レガシークライアントを許可する ■ ローカル認証を有効にする ■ ネットワークタイムプロトコルを設定する p.828 の 「LAN エンフォーサアプライアンスの拡張設定の使用」 を参 照してください。 ログの設定 サーバーログ、クライアント活動ログのログ記録の有効化、およびログ ファイルパラメータの指定のための設定。 p.846 の 「エンフォーサのレポートとログについて」 を参照してください。 p.847 の 「エンフォーサログの設定」 を参照してください。 全般の設定の使用 Symantec Endpoint Protection Manager コンソールでは、LAN エンフォーサアプライ アンスまたは LAN エンフォーサアプライアンスグループの説明の追加や編集を行うこと ができます。 p.794 の 「LAN エンフォーサを含むエンフォーサグループの説明の追加または編集」 を 参照してください。 p.794 の 「LAN エンフォーサの説明の追加または編集」 を参照してください。 VLAN スイッチと LAN エンフォーサアプライアンス間の通信のために使われる、応答準 備ポートを確立する必要があります。 p.793 の 「VLAN スイッチと LAN エンフォーサの間の通信用応答準備ポートの指定」 を 参照してください。 ただし、Symantec Endpoint Protection Manager コンソールでは、LAN エンフォーサ アプライアンスグループの名前の追加および編集を行うことはできません。Symantec Endpoint Protection Manager コンソールでは、LAN エンフォーサアプライアンスの IP アドレスまたはホスト名の追加および編集を行うことはできません。その代わりに、エン フォーサコンソールでこれらのタスクを実行する必要があります。 p.793 の 「LAN エンフォーサを使った LAN エンフォーサアプライアンスグループの名前 の追加または編集」 を参照してください。 エンフォーサコンソールで LAN エンフォーサの IP アドレスまたはホスト名を変更できる のは、インストールの間だけです。後で LAN エンフォーサの IP アドレスかホスト名を変 更する場合は、LAN エンフォーサコンソールで実行できます。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 全般の設定の使用 p.794 の 「LAN エンフォーサの IP アドレスかホスト名の追加または編集」 を参照してくだ さい。 ただし、Symantec Endpoint Protection Manager の IP アドレスまたはホスト名の追加 や編集は、管理サーバーリストで行うことができます。 p.795 の 「Symantec Endpoint Protection Manager への LAN エンフォーサの接続」 を参照してください。 LAN エンフォーサを使った LAN エンフォーサアプライアンスグループの 名前の追加または編集 LAN エンフォーサアプライアンスがメンバーである LAN エンフォーサアプライアンスグ ループの名前は追加または編集できません。これらのタスクは、インストールの間にエン フォーサコンソールで実行します。後で LAN エンフォーサアプライアンスグループの名 前を変更する場合は、エンフォーサコンソールで実行できます。 グループのすべてのエンフォーサは同じ設定を共有します。 p.792 の 「全般の設定の使用」 を参照してください。 VLAN スイッチと LAN エンフォーサの間の通信用応答準備ポートの指定 LAN エンフォーサのオプションを設定するとき、次の応答準備ポートを指定します。 ■ VLAN スイッチと LAN エンフォーサの間の通信に使われる応答準備ポート。 VLAN スイッチは UDP ポートに RADIUS パケットを送ります。 ■ LAN エンフォーサと RADIUS サーバーの間の通信に使われる応答準備ポート。 RADIUS サーバーを指定するときこのポートを指定します。 管理サーバーに RADIUS サーバーをインストールする場合、管理サーバーは 1812 番 のポートを使うように設定しないでください。RADIUS サーバーが、デフォルト設定として 1812 番のポートを使うように設定されます。管理サーバーも LAN エンフォーサと通信す るために 1812 番のポートを使うことになると、競合が発生します。 p.792 の 「全般の設定の使用」 を参照してください。 VLAN スイッチと LAN エンフォーサの間の通信に使われる応答準備ポートを指定するに は 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 793 794 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 全般の設定の使用 5 [LAN エンフォーサの設定]ダイアログボックスの[全般]タブで、割り当てる UDP ポートの番号を[応答準備ポート]フィールドに入力します。 ポートのデフォルト設定は 1812 です。範囲は 1 から 65535 までです。 6 [OK]をクリックします。 LAN エンフォーサを含むエンフォーサグループの説明の追加または編 集 Symantec LAN エンフォーサアプライアンスがメンバーであるエンフォーサグループの 説明を追加または編集できます。LAN エンフォーサコンソールの代わりに Symantec Endpoint Protection Manager コンソールでこのタスクを実行できます。 p.792 の 「全般の設定の使用」 を参照してください。 LAN エンフォーサを含むエンフォーサグループの説明を追加または編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 説明を追加または編集するエンフォーサのグループを選択し、展開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[全般]タブで、[説明]フィールドのエンフォーサグルー プの説明を追加または編集します。 6 [OK]をクリックします。 LAN エンフォーサの IP アドレスかホスト名の追加または編集 インストールの間に、エンフォーサコンソールで LAN エンフォーサの IP アドレスかホスト 名の変更のみできます。後で LAN エンフォーサの IP アドレスかホスト名を変更する場合 は、LAN エンフォーサコンソールで実行できます。 p.792 の 「全般の設定の使用」 を参照してください。 LAN エンフォーサの説明の追加または編集 LAN エンフォーサの説明を追加または編集できます。LAN エンフォーサコンソールの代 わりに Symantec Endpoint Protection Manager コンソールでこのタスクを実行できま す。このタスクを完了すると、[管理サーバー]ペインの[説明]フィールドに説明が表示さ れます。 p.792 の 「全般の設定の使用」 を参照してください。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 全般の設定の使用 LAN エンフォーサの説明を追加または編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 説明を追加または編集する LAN エンフォーサを含むエンフォーサグループを選択 して展開します。 4 説明を追加または編集する LAN エンフォーサを選択します。 5 [タスク]の下で、[エンフォーサプロパティの編集]をクリックします。 6 [エンフォーサのプロパティ]ダイアログボックスの[説明]フィールドで、LAN エン フォーサの説明を追加または編集します。 7 [OK]をクリックします。 Symantec Endpoint Protection Manager への LAN エンフォーサの接続 エンフォーサは、Symantec Endpoint Protection Manager がインストールされている サーバーに接続できる必要があります。Symantec Endpoint Protection Manager は 管理サーバーリストを使って、クライアント、管理サーバー、および LAN エンフォーサな どのオプションのエンフォーサ間のトラフィックを管理します。管理サーバーリストは、どの Symantec Endpoint Protection Manager に LAN エンフォーサを接続するかを指定し ます。また、管理サーバーがエラーの場合に、どの Symantec Endpoint Protection Manager に LAN エンフォーサを接続するかを指定します。 管理者が複数の管理サーバーリストを作成している場合、LAN エンフォーサを接続する 管理サーバーの IP アドレスまたはホスト名を含んでいる特定の管理サーバーリストを選 択できます。サイトに管理サーバーが 1 つしかない場合、デフォルトの管理サーバーリス トを選択できます。 p.792 の 「全般の設定の使用」 を参照してください。 p.638 の 「管理サーバーリストの設定」 を参照してください。 Symantec Endpoint Protection Manager に LAN エンフォーサを接続するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループは、管理サーバーリストを変更する LAN エンフォーサを含ん でいる必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの、[全般]タブの[通信]の下で、この LAN エンフォーサ で使う管理サーバーリストを選択します。 795 796 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 RADIUS サーバーのグループ設定の使用 6 [全般]タブの[通信]の下で、[選択]をクリックします。 すべての利用可能な管理サーバーの IP アドレスとホスト名、およびそれらの管理 サーバーに割り当てられた優先度を表示できます。 7 [管理サーバーリスト]ダイアログボックスで、[閉じる]をクリックします。 8 [OK]をクリックします。 RADIUS サーバーのグループ設定の使用 1 つ以上の RADIUS サーバーに接続するように LAN エンフォーサを設定できます。 RADIUS サーバーグループの一部として RADIUS サーバーを指定する必要があります。 各グループは 1 つ以上の RADIUS サーバーを含むことができます。RADIUS サーバー グループの目的は、RADIUS サーバーでフェールオーバーを提供することです。RADIUS サーバーグループの 1 つの RADIUS サーバーが利用不能になれば、LAN エンフォー サは RADIUS サーバーグループの一部である別の RADIUS サーバーに接続すること を試みます。 RADIUS サーバーグループの名前は、Symantec Endpoint Protection Manager コン ソールで追加、編集、削除できます。 p.796 の 「RADIUS サーバーのグループ名と RADIUS サーバーの追加」 を参照してくだ さい。 p.798 の 「RADIUS サーバーグループの名前の編集」 を参照してください。 p.802 の 「RADIUS サーバーグループの名前の削除」 を参照してください。 Symantec Endpoint Protection Manager コンソールで、RADIUS サーバーの名前、 ホスト名、IP アドレス、認証ポート番号、共有秘密を追加、編集、削除します。 p.796 の 「RADIUS サーバーのグループ名と RADIUS サーバーの追加」 を参照してくだ さい。 p.799 の 「RADIUS サーバーの通称の編集」 を参照してください。 p.800 の 「RADIUS サーバーのホスト名か IP アドレスの編集」 を参照してください。 p.800 の 「RADIUS サーバーの認証ポート番号の編集」 を参照してください。 p.801 の 「RADIUS サーバーの共有秘密の編集」 を参照してください。 p.802 の 「RADIUS サーバーの削除」 を参照してください。 RADIUS サーバーのグループ名と RADIUS サーバーの追加 RADIUS サーバーのグループ名と RADIUS サーバーを同時に追加できます。 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してください。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 RADIUS サーバーのグループ設定の使用 RADIUS サーバーのグループ名と RADIUS サーバーを追加するには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[追加]をクリックします。 RADIUS サーバーグループの名前と既存の RADIUS サーバーの IP アドレスの表 が表示されます。 6 [RADIUS のサーバーグループの追加]ダイアログボックスで、[グループ]テキスト ボックスに RADIUS サーバーグループの名前を入力します。 RADIUS サーバーグループの名前、既存の RADIUS サーバーのホスト名または IP アドレス、および RADIUS サーバーのポート番号の表が表示されます。 7 [追加]をクリックします。 797 798 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 RADIUS サーバーのグループ設定の使用 8 [RADIUS サーバーの追加]ダイアログボックスで、次を入力します。 フィールド: RADIUS サーバーの通称 そのグループのサーバーのリストに表示され るときに、簡単に識別できる RADIUS サー バーの名前を入力します。 フィールド: ホスト名または IP アドレス RADIUS サーバーのホスト名または IP アドレ スを入力します。 フィールド: 認証ポート LAN エンフォーサがクライアントからの認証パ ケットを送信する RADIUS サーバーのネット ワークポートを入力します。 デフォルト設定は 1812 です。 9 フィールド: タイムアウトの切り替え(秒単位) スイッチのタイムアウト値を入力します。デフォ ルトは 3 秒です。 フィールド: 再送の切り替え スイッチの再伝送の値を入力します。デフォ ルトは 1 です。 フィールド: 共有秘密 RADIUS サーバーと LAN エンフォーサ間の 暗号化された通信のために使われる共有秘 密を入力します。RADIUS サーバーと LAN エンフォーサ間の共有秘密は、802.1x 対応 スイッチと LAN エンフォーサ間の共有秘密と 異なります。共有秘密は大文字と小文字の区 別があります。 フィールド: 共有秘密を確認 共有秘密を再び入力します。 [OK]をクリックします。 追加した RADIUS サーバーの名前、ホスト名または IP アドレス、およびポートが、 [RADIUS のサーバーグループの追加]ダイアログボックスの[RADIUS サーバー グループ]リストに表示されます。 10 [RADIUS のサーバーグループの追加]ダイアログボックスで、[OK]をクリックしま す。 11 [LAN エンフォーサの設定]ダイアログボックスで、[OK]をクリックします。 RADIUS サーバーグループの名前の編集 状況が変わった場合、RADIUS サーバーグループの名前はいつでも変更できます。 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してください。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 RADIUS サーバーのグループ設定の使用 RADIUS サーバーグループの名前を編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 LAN エンフォーサがメンバーであるエンフォーサのグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、名前を変更したい RADIUS サーバーグループをクリックします。 6 [編集]をクリックします。 7 [RADIUS サーバーの追加]ダイアログボックスの[グループ名]フィールドで、 RADIUS サーバーグループの名前を編集します。 8 [OK]をクリックします。 9 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[OK]をクリックします。 RADIUS サーバーの通称の編集 状況が変わった場合、RADIUS サーバーの通称をいつでも変更できます。 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してください。 RADIUS サーバーの通称を編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 LAN エンフォーサがメンバーであるエンフォーサのグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、通称を変更する RADIUS サーバーを含む RADIUS サーバーグループをク リックします。 6 [編集]をクリックします。 7 [RADIUS サーバーの追加]ダイアログボックスで、[RADIUS サーバーの通称] フィールドの RADIUS サーバーの通称を編集します。 8 [OK]をクリックします。 9 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[OK]をクリックします。 799 800 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 RADIUS サーバーのグループ設定の使用 RADIUS サーバーのホスト名か IP アドレスの編集 状況が変わった場合、RADIUS サーバーのホスト名か IP アドレスをいつでも変更できま す。 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してください。 RADIUS サーバーのホスト名か IP アドレスを編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 LAN エンフォーサがメンバーであるエンフォーサのグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、ホスト名か IP アドレスを変更する RADIUS サーバーを含む RADIUS サー バーグループをクリックします。 6 [編集]をクリックします。 7 [RADIUS サーバーの追加]ダイアログボックスで、[ホスト名または IP アドレス] フィールドの RADIUS サーバーのホスト名か IP アドレスを編集します。 8 [OK]をクリックします。 9 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[OK]をクリックします。 RADIUS サーバーの認証ポート番号の編集 状況が変わった場合、RADIUS サーバーの認証ポート番号をいつでも変更できます。 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してください。 RADIUS サーバーの認証ポート番号を編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 LAN エンフォーサがメンバーであるエンフォーサのグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、認証ポート番号を変更する RADIUS サーバーを含む RADIUS サーバーグ ループをクリックします。 6 [編集]をクリックします。 7 [RADIUS サーバーの追加]ダイアログボックスで、[認証ポート]フィールドの RADIUS サーバーの認証ポート番号を編集します。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 RADIUS サーバーのグループ設定の使用 8 [OK]をクリックします。 9 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[OK]をクリックします。 RADIUS サーバーの共有秘密の編集 状況が変わった場合、RADIUS サーバーの共有秘密をいつでも変更できます。 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してください。 RADIUS サーバーの共有秘密を編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 LAN エンフォーサがメンバーであるエンフォーサのグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、共有秘密を変更する RADIUS サーバーを含む RADIUS サーバーグループ をクリックします。 6 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[編集]をクリックします。 7 [RADIUS サーバーの追加]ダイアログボックスで、[共有秘密]フィールドの RADIUS サーバーの共有秘密を編集します。 共有秘密は、RADIUS サーバーと LAN エンフォーサ間の暗号化された通信のた めに使われます。RADIUS サーバーと LAN エンフォーサ間の共有秘密は、802.1x 対応スイッチと LAN エンフォーサ間の共有秘密と異なります。共有秘密は大文字と 小文字の区別があります。 8 [共有秘密を確認]フィールドの RADIUS サーバーの共有秘密を編集します。 9 [OK]をクリックします。 10 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[OK]をクリックします。 LAN エンフォーサでの Windows NPS(Network Policy Server)のサポー トの有効化 Microsoft Windows Server を RADIUS サーバーとして使うとき、従来は IAS(Internet Authentication Server)を使いました。Windows Server 2008 では、IAS は Network Policy Server(NPS)に変更されています。Server 2008 を使う場合は、NPS を使うこと を指定する必要があります。 801 802 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 RADIUS サーバーのグループ設定の使用 メモ: Windows NPS のサポートを有効にするには、クライアントと LAN エンフォーサが Symantec Endpoint Protection バージョン 11.0 RU6 MP2 以降(12.1 を含みます)を 実行している必要があります。レガシークライアントの LAN エンフォーサでこのオプション を有効にした場合、Symantec Network Access Control の機能はサポートされません。 Windows NPS のサポートを有効にするには 1 [サーバー]画面で、[LAN エンフォーサ]を選択します。 2 [タスク]の下で、[グループプロパティの編集]をクリックします。 3 [LAN エンフォーサの設定]ダイアログボックスで、[RADIUS サーバーグループ]タ ブをクリックします。 4 画面の下部にある[Windows NPS (Network Policy Server) のサポートを有効に する]にチェックマークを付けます。 前に示した注意と似た内容の警告が表示されます。クライアントと LAN エンフォー サがバージョン 11.0 RU6 MP2 以降を実行していることを確認してください。 5 [OK]をクリックして設定を保存します。 RADIUS サーバーグループの名前の削除 状況が変わった場合、RADIUS サーバーグループの名前をいつでも削除できます。 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してください。 RADIUS サーバーグループの名前を削除するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 LAN エンフォーサがメンバーであるエンフォーサのグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、削除する RADIUS サーバーグループの名前をクリックします。 6 [削除]をクリックします。 7 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[OK]をクリックします。 RADIUS サーバーの削除 状況が変わった場合、RADIUS サーバーをいつでも削除できます。 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してください。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 RADIUS サーバーを削除するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、LAN エンフォーサがメンバーであるエンフォーサのグループを 選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、削除する RADIUS サーバーがメンバーである RADIUS サーバーグループを クリックします。 6 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[編集]をクリックします。 7 [RADIUS サーバーの追加]ダイアログボックスで、削除する RADIUS サーバーを クリックします。 8 [削除]をクリックします。 9 [OK]をクリックします。 10 [LAN エンフォーサの設定]ダイアログボックスの[RADIUS サーバーグループ]タ ブで、[OK]をクリックします。 スイッチ設定の使用 スイッチのために LAN エンフォーサの設定を指定するときに、スイッチポリシーを設定し ます。スイッチポリシーは同じ製造元またはモデルのスイッチのグループに適用される設 定の集まりです。個々のスイッチのために個別に入力する必要がある情報は、スイッチの IP アドレスだけです。 p.807 の 「ウィザードを使って、LAN エンフォーサアプライアンスに 802.1x スイッチポリ シーを追加する」 を参照してください。 p.815 の 「スイッチポリシーと 802.1x 対応スイッチについての基本情報の編集」 を参照し てください。 スイッチの設定 LAN エンフォーサアプライアンス、管理サーバー、クライアント、および 802.1x 対応スイッ チがすべて連携して働くためには、次の基本情報を指定する必要があります。 ■ スイッチポリシーの任意の名前 ■ スイッチの製造元とモデル サポート対象スイッチのリストからスイッチモデルを選択します。 803 804 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 ■ 暗号化パスワードまたは共有秘密 ■ 使われる RADIUS サーバーグループ ■ 802.1x 対応スイッチの再認証タイムアウト期間 デフォルト設定は 30 秒です。 ■ スイッチが EAP 以外のプロトコルを転送するかどうか デフォルト設定では他のプロトコルを転送します。 p.807 の 「ウィザードを使って、LAN エンフォーサアプライアンスに 802.1x スイッチポリ シーを追加する」 を参照してください。 p.815 の 「スイッチポリシーと 802.1x 対応スイッチについての基本情報の編集」 を参照し てください。 スイッチポリシーが適用される 802.1x 対応スイッチのセットについて次の情報を指定す る必要があります。 ■ 任意のスイッチの通称 ■ IP アドレス、IP アドレス範囲、サブネットのいずれか p.807 の 「ウィザードを使って、LAN エンフォーサアプライアンスに 802.1x スイッチポリ シーを追加する」 を参照してください。 p.820 の 「802.1x 対応スイッチについての情報の編集」 を参照してください。 次の VLAN 情報を指定する必要があります。 ■ VLAN ID ■ VLAN 名 ■ 任意で、カスタマイズされた RADIUS 属性を 16 進法形式で指定できます。 p.807 の 「ウィザードを使って、LAN エンフォーサアプライアンスに 802.1x スイッチポリ シーを追加する」 を参照してください。 p.821 の 「スイッチポリシーのための VLAN 情報の編集」 を参照してください。 802.1x 対応スイッチが動的な VLAN の切り換えをサポートしている場合、クライアントが 特定の VLAN に接続しなければならないことを指定できます。 特定の基準が満たされたとき 802.1x 対応スイッチが実行する必要のある処理を指定す る必要があります。 ■ ホスト認証の結果: [成功]、[失敗]、[利用できません]、または[結果を無視] ■ ユーザー認証の結果: [成功]、[失敗]、[利用できません]、または[結果を無視] ■ ポリシー検査の結果: [成功]、[失敗]、[利用できません]、または[結果を無視] p.807 の 「ウィザードを使って、LAN エンフォーサアプライアンスに 802.1x スイッチポリ シーを追加する」 を参照してください。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 スイッチモデルの属性のサポートについて LAN エンフォーサアプライアンスを設定するときに、802.1x 対応スイッチのモデルを指 定します。802.1x 対応の各スイッチによって、どのクライアントが VLAN にアクセスできる かを判断するとき参照する属性が異なります。スイッチには、VLAN を VLAN ID で識別 するものと、VLAN 名で識別するものがあります。一部のデバイスは、VLAN のサポート が限られているか、まったくサポートしません。 LAN エンフォーサアプライアンスは、RADIUS サーバーからスイッチに属性を転送しま す。ただし、必要な場合には、サポートされている値を使ってスイッチの種類に基づいて、 VLAN 属性を修正または追加します。RADIUS サーバーが送信する製造元固有の属性 情報と、LAN エンフォーサが使う製造元固有の LAN 属性情報とが競合する場合、LAN エンフォーサは RADIUS サーバーが送信する製造元固有の情報を削除します。 LAN エンフォーサはその情報を表 43-1 に表示されている情報に置き換えます。 RADIUS サーバーからの情報を維持したい場合は、[ポートを開く]という処理を選択で きます。この処理を使うと、LAN エンフォーサは RADIUS サーバーからのあらゆる属性 を、変更せずに 802.1x 対応スイッチに転送します。 802.1x 対応のスイッチモデルは、VLAN ID または VLAN 名を使って、動的な VLAN 割 り当てを実行できます。LAN エンフォーサに VLAN 情報を指定するときは、Aruba スイッ チの場合を除いて、VLAN ID と VLAN 名の両方を指定します。 p.790 の 「Symantec Endpoint Protection Manager での LAN エンフォーサ設定の変 更」 を参照してください。 表 43-1 は、802.1x 対応スイッチモデルと属性を示したものです。 表 43-1 スイッチモデル スイッチモデルの属性のサポート LAN エンフォーサにより追加される属性 Airespace Wireless 製造元コードは 14179 です。 Controller 製造元割り当ての属性番号は 5 です。 備考 VLAN 名を使います。名前は大文字と小 文字の区別があります。 属性の形式は string です。 Alcatel 製造元固有 (#26) Alcatel の製造元 ID は 800 です。ID 800 で RADIUS か ら送られる製造元固有属性は、競合のときすべて削除され ます。 VLAN ID を使います。 805 806 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 スイッチモデル LAN エンフォーサにより追加される属性 Aruba 製造元固有 (#14823) 備考 VLAN 名と VLAN ID のどちらも使えます。 あるいは、VLAN 名と VLAN ID のどちら Aruba の製造元 ID は 14823 です。Aruba-User-Role 属 かを使います。 性では、VLAN ID または VLAN 名を設定できます。 有効な VLAN ID の範囲は、1 から 4094 です。 VLAN 名に使えるのは 64 バイトまでです。 Cisco Aironet シ リーズ アクセス制御に SSID を使うかどうかに依存します。 VLAN ID を使います。 VLAN-ID の割り当てに使われる RADIUS ユーザー属性 は次のとおりです。 IETF 64 (Tunnel Type): この属性を「VLAN」に設定しま す。 IETF 65 (Tunnel Medium Type): この属性を「802」に設 定します。 IETF 81 (Tunnel Private Group ID): この属性を VLAN-ID に設定します。 SSID アクセス制御に使われる RADIUS ユーザー属性は 次のとおりです。 Cisco IOS/PIX RADIUS Attribute, 009¥001 cisco-av-pair Cisco Catalyst シ リーズ Tunnel Type (#64) Tunnel Medium Type (#65) Tunnel Private Group ID (#81) Tunnel Type は 13 (VLAN) に設定されます。 Tunnel Medium Type は 6 (802 media) に設定されます。 Tunnel Private Group ID は VLAN 名に設定されます。 RADIUS サーバーから送られるこれら 3 種類の属性はす べて、競合のとき削除されます。また、製造元固有のすべ ての属性と製造元 ID が 9 (Cisco)の属性も削除されます。 VLAN 名を使います。名前は大文字と小 文字の区別があります。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 スイッチモデル LAN エンフォーサにより追加される属性 備考 Foundry、HP、 Nortel、3com、 Huawei Tunnel Type (#64) VLAN ID を使います。 Tunnel Medium Type (#65) Tunnel Private Group ID (#81) Tunnel Type は 13 (VLAN) に設定されます。 Tunnel Medium Type は 6 (802 media) に設定されます。 Tunnel Private Group ID は VLAN ID に設定されます。 RADIUS サーバーから送られるこれら 3 種類の属性はす べて、競合のとき削除されます。 Enterasys Filter ID (#11) Filter ID は次のように設定されます。 VLAN 名を使い、Enterasys スイッチでは 役割名を表します。名前は大文字と小文 字を区別します。 Enterasys : version=1: mgmt=su: policy=NAME RADIUS サーバーから送られる Filter ID 属性はすべて、 競合のとき削除されます。 Extreme 製造元固有 (#26) Extreme の製造元 ID は 1916 です。VLAN 名は製造元 ID の後に追加されます。ID 1916 で RADIUS サーバーか ら送られる製造元固有属性は、競合のときすべて削除され ます。 VLAN 名を使います。名前は大文字と小 文字を区別します。 ウィザードを使って、LAN エンフォーサアプライアンスに 802.1x スイッチ ポリシーを追加する スイッチポリシーの一部として LAN エンフォーサアプライアンスで使用できる複数の 802.1x 対応スイッチを追加できます。LAN エンフォーサとスイッチとの相互動作を設定 するために、必要な情報を入力する必要があります。 p.803 の 「スイッチ設定の使用」 を参照してください。 807 808 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 ウィザードを使って、LAN エンフォーサアプライアンスに 802.1x スイッチポリシーを追加 するには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[追加]をクリッ クします。 6 スイッチポリシーの設定ウィザードの[スイッチポリシーの設定ウィザードにようこそ] パネルで、[次へ]をクリックします。 7 スイッチポリシーの設定ウィザードの[基本情報]パネルで、次のタスクを完了します。 スイッチポリシー名 スイッチポリシーを識別する任意の名前を入力します。 たとえば、スイッチポリシー名として製造元の名前とモデルを使う ことができます。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 スイッチモデル LAN エンフォーサは、製造元別の RADIUS サーバー属性を判 断するためにスイッチモデルを使います。 サポート対象スイッチのリストから次の 802.1x 対応モデルのいず れかを選択します。 その他 モデルがリストにない場合は、汎用の RADIUS サーバー属 性として[その他]を選択します。 ■ 3Com ■ ■ Alcatel スイッチ ■ Cisco Catalyst シリーズ ■ Enterasys Matix シリーズ ■ Extreme Summit シリーズ ■ Foundry Networks ■ HP Procurve シリーズ ■ Nortel BayStack シリーズ ■ Cisco Aironet シリーズ ■ Aruba スイッチ ■ Airespace Wireless Controller ■ Nortel Wireless ■ Enterasys wireless controller ■ Allied Telesis スイッチ ■ 2009 年 1 月以降の HuaWei スイッチ メモ: HuaWei で透過モードを選択する場合は、クライアント でユーザーが選択するのではなく、透過モードを使うように管 理者がポリシーを設定する必要があります。 共有秘密 802.1x 対応スイッチと LAN エンフォーサアプライアンスの間の 通信に使われる共有秘密。共有秘密は大文字と小文字の区別 があります。 共有秘密を確認 共有秘密を再入力する必要があります。 RADIUS サーバーグルー RADIUS サーバーで LAN エンフォーサアプライアンスを使う場 プ 合、利用可能な RADIUS サーバーグループのリストから RADIUS サーバーグループを選択する必要があります。 809 810 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 再認証期間 (秒) クライアントを再認証する間隔を秒単位で入力します。再認証さ れない場合、クライアントは LAN エンフォーサ上の接続されたク ライアントのリストから削除されます。 この再認証期間は、スイッチの再認証期間の時間の少なくとも 2 倍の長さになるように設定してください。 たとえば、スイッチの再認証間隔が 30 秒なら、LAN エンフォー サアプライアンスの再認証期間は少なくとも 60 秒にする必要が あります。そうしないと、LAN エンフォーサアプライアンスはクライ アントがタイムアウトしたと想定します。したがって、クライアントは IP アドレスを解放または更新しません。 デフォルト設定は 30 秒です。 EAP を除く転送プロトコル このオプションを選択すると、EAP 以外の認証プロトコルを含ん でいる RADIUS パケットを LAN エンフォーサアプライアンスで転 送できます。他のプロトコルには、CHAP (Challenge Handshake Authentication Protocol) や PAP などがあります。 デフォルト設定は有効です。 8 スイッチポリシーの設定ウィザードの[基本情報]パネルで、[次へ]をクリックします。 9 スイッチポリシーの設定ウィザードの[スイッチリスト]パネルで、[追加]をクリックしま す。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 10 次のタスクを完了します。 名前 [単一内部 IP アドレスの追加]ダイアログボックスで、802.1x 対 応スイッチを識別するためのスイッチポリシーの通称を[名前] フィールドに入力します。 単一 IP アドレス [単一内部 IP アドレスの追加]ダイアログボックスで、[単一 IP ア ドレス]をクリックします。次に、802.1x 対応スイッチの IP アドレス を[IP アドレス]フィールドに入力します。 IP アドレス範囲 [内部 IP アドレス範囲の追加]ダイアログボックスで、[IP アドレス 範囲]をクリックします。[開始 IP アドレス]フィールドに、802.1x 対応スイッチの開始の IP アドレスを入力します。[終了 IP アドレ ス]フィールドに、802.1x 対応スイッチの IP アドレス範囲の終了 IP アドレスを入力します。 サブネット [内部 IP アドレスサブネットの追加]ダイアログボックスで、[サブ ネット]をクリックします。[IP アドレス]フィールドにサブネットの IP アドレス、[サブネットマスク]フィールドにサブネットをそれぞれ入 力します。 LAN エンフォーサアプライアンスのスイッチポリシーを指定するとき、1 つ以上の 802.1x 対応スイッチにスイッチポリシーを関連付けることができます。 11 [内部 IP アドレスの追加]ダイアログボックスで、[OK]をクリックします。. 12 スイッチポリシーの設定ウィザードの[スイッチリスト]パネルで、[次へ]をクリックしま す。 13 スイッチポリシーの設定ウィザードの[スイッチ VLAN の設定]パネルで、[追加]をク リックします。 811 812 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 14 [VLAN の追加]ダイアログボックスで、次のタスクを完了します。 VLAN ID [VLAN ID]フィールドに、1 から 4094 までの範囲で整数を入力 します。 VLAN ID は Aruba スイッチを除く 802.1x 対応スイッチで設定 されている ID と同じでなければなりません。 Aruba スイッチについての VLAN 情報を追加する予定の場合 は、他の 802.1x スイッチに指定したのと異なる VLAN と役割情 報を設定したい場合もあります。 p.823 の 「802.1x 対応 Aruba スイッチの VLAN と役割の情報の 設定」 を参照してください。 VLAN 名 VLAN の名前を入力します。 VLAN の名前には 64 文字まで指定できます。大文字と小文字 の区別があります。 VLAN 名は Aruba スイッチを除く 802.1x 対応スイッチで設定さ れている名前と同じでなければなりません。 Aruba スイッチについての VLAN 情報を追加する予定の場合 は、他の 802.1x スイッチに指定したのと異なる VLAN と役割情 報を設定したい場合もあります。 p.823 の 「802.1x 対応 Aruba スイッチの VLAN と役割の情報の 設定」 を参照してください。 カスタム RADIUS 属性を カスタマイズされた RADIUS 属性を 802.1x 対応スイッチに送る スイッチに送信する ように LAN エンフォーサに指定したい場合、[カスタム RADIUS 属性をスイッチに送信する]にチェックマークを付けます。属性に はアクセス制御リスト (ACL) も使えます。 p.805 の 「スイッチモデルの属性のサポートについて」 を参照して ください。 16 進形式のカスタム属性 RADIUS の属性を 16 進形式で入力します。 長さを等しくする必要があります。 LAN エンフォーサにスイッチポリシーを指定するときは、[VLAN]タブを使って、ス イッチで設定される各 VLAN に VLAN の情報を追加します。スイッチポリシーは、 処理として LAN エンフォーサによって利用可能にする必要があります。ベストプラク ティスは少なくとも 1 つの修復の VLAN を指定することです。 15 [OK]をクリックします。 16 スイッチポリシーの設定ウィザードの[スイッチ VLAN の設定]パネルで、[次へ]をク リックします。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 17 スイッチポリシーの設定ウィザードの[スイッチ処理の設定]パネルで、[追加]をクリッ クします。 18 [スイッチ処理の追加]ダイアログボックスで、次のタスクを完了します。 ホスト認証 次のいずれかの条件をクリックします。 ■ 成功 ■ 失敗 ■ 利用できません ■ 結果を無視 ホストインテグリティ検査が利用不能になる典型的な状況は、クラ イアントが動作していない結果です。[ホスト認証]を[利用できま せん]に設定する場合、[ポリシー検査]も[利用できません]に設 定する必要があります。 ユーザー認証 次のいずれかの条件をクリックします。 成功 クライアントはユーザー認証に成功しました。 ■ 失敗 クライアントはユーザー認証に失敗しました。 ■ 利用できません ユーザー認証が透過モードで実行されない限り、ユーザー認 証の結果は常に利用不能です。透過モードで LAN エンフォー サを使う場合は、[利用できません]条件に処理を作成する必 要があります。 基本構成を使う場合、エラー状態としてユーザー認証の処理 を設定したい場合もあります。たとえば、802.1x サプリカント が不正なユーザー認証方法を使う、または RADIUS サー バーが認証トランザクションの途中で失敗する場合などです。 ユーザー認証の[利用できません]条件は、RADIUS のデー タベースにユーザー名がない場合に RADIUS サーバーで 起きることもあります。たとえば、この問題は Microsoft IAS で起きることがあります。したがって、RADIUS サーバーでは ユーザー名の欠落状態をテストしたい場合もあります。それ がユーザー認証の[失敗]または[利用できません]条件に一 致するかどうか確認したい場合もあります。 ■ 結果を無視 ■ ホストインテグリティ検査が利用不能になる典型的な状況は、クラ イアントが動作していない結果です。[ポリシー検査]を[利用で きません]に設定する場合、[ホスト認証]も[利用できません]に 設定する必要があります。 813 814 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 ポリシー検査 次のいずれかの条件をクリックします。 成功 クライアントはポリシー検査に成功しました。 ■ 失敗 ■ クライアントはポリシー検査に失敗しました。 利用できません ポリシーで[利用できません]の結果は、次の条件の下で起き ることがあります。 ■ クライアンの識別子が無効な場合、LAN エンフォーサは 管理サーバーからポリシーの情報を入手できません。こ の問題はクライアントポリシーを配備した管理サーバーが 利用できなくなった場合に起きることがあります。 ■ 管理サーバーに接続し、ポリシーを受信する前にクライア ントが最初にエクスポートされ、インストールされた場合。 ■ 結果を無視 ■ 処理 条件が満たされたとき 802.1x 対応スイッチが実行する処理を次 の中から選択できます。 ポートを開く 802.1x 対応スイッチは、ポートが通常割り当てられるデフォ ルトの VLAN のネットワークアクセスを可能にします。また、 RADIUS サーバーから送信される属性で指定された VLAN のネットワークアクセスを可能にします。したがって、VLAN ア クセスを持っているユーザーのサポートはユーザー ID とユー ザー役割に基づいています。 デフォルトの処理は[ポートを開く]です。 ■ VLAN test に切り替え 指定した VLAN へのアクセスを許可します。選択可能な VLAN は以前に設定したものです。 ■ ポートを閉じる デフォルトまたは RADIUS 指定の VLAN のネットワークアク セスを拒否します。一部のスイッチモデルでは、スイッチ設定 によって、ポートはゲスト VLAN に割り当てられます。 ■ Aruba スイッチの場合、指定の役割と指定の VLAN に従ってア クセスを制限できます。制限は、スイッチポリシーに VLAN 情報 をどのように設定したかによって決まります。 19 [スイッチ処理の追加]ダイアログボックスで[OK]をクリックします。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 20 スイッチポリシーの設定ウィザードの[スイッチ処理の設定]パネルにある[スイッチ処 理]表で、優先度を変更したいスイッチ処理のポリシーをクリックします。 LAN エンフォーサは、表の先頭から最後に向かう順序で、スイッチ処理表のエントリ に対して認証の結果を調べます。一致する条件を見つけると、その処理を適用する ように 802.1x 対応スイッチに指示します。表にリストされている順序を変更すること によって、処理が適用される順序を変更できます。 21 [上に移動]または[下に移動]をクリックします。 22 [次へ]をクリックします。 23 スイッチポリシーの設定ウィザードの[スイッチポリシーの設定ウィザードの完了]パネ ルで、[完了]をクリックします。 スイッチポリシーと 802.1x 対応スイッチについての基本情報の編集 スイッチポリシーと 802.1x 対応スイッチについての次のパラメータを変更できます。 ■ スイッチポリシー名 p.815 の 「スイッチポリシーの名前の編集」 を参照してください。 ■ スイッチモデル p.816 の 「スイッチポリシーのための別のスイッチモデルの選択」 を参照してください。 ■ 共有秘密 p.817 の 「暗号化パスワードまたは共有秘密の編集」 を参照してください。 ■ RADIUS サーバーグループ p.818 の 「異なる RADIUS サーバーグループの選択」 を参照してください。 ■ 再認証の期間 p.818 の 「再認証期間の編集」 を参照してください。 ■ EAP 以外の転送プロトコル p.819 の 「EAP 以外のプロトコルの有効化」 を参照してください。 スイッチポリシーの名前の編集 状況が変わった場合、スイッチポリシーの名前をいつでも編集できます。 p.803 の 「スイッチの設定」 を参照してください。 スイッチポリシーの名前を編集するには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 815 816 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、変更するスイッチポリシーをクリックします。 6 [編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[基本 情報]タブで、[スイッチポリシー名]フィールドのスイッチポリシーの名前を編集しま す。 8 [OK]をクリックします。 9 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 スイッチポリシーのための別のスイッチモデルの選択 状況が変わった場合、スイッチポリシーのための別のスイッチモデルをいつでも選択でき ます。 p.803 の 「スイッチの設定」 を参照してください。 スイッチポリシーの別のスイッチモデルを選択するには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、スイッチモデルを変更するスイッチポリシーをクリックします。 6 [編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[基本 情報]タブで、次のスイッチモデルリストから別のスイッチモデルを選択します。 ■ その他 モデルがリストにない場合は、汎用の RADIUS サーバー属性として[その他]を 選択します。 ■ 3Com ■ Alcatel スイッチ ■ Cisco Catalyst シリーズ ■ Enterasys Matix シリーズ ■ Extreme Summit シリーズ ■ Foundry Networks 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 ■ HP Procurve シリーズ ■ Nortel BayStack シリーズ ■ Cisco Aironet シリーズ ■ Aruba スイッチ ■ Airespace Wireless Controller ■ Nortel Wireless ■ Enterasys wireless controller ■ HuaWei スイッチ 管理者は、HuaWei スイッチの透過モードを選択する場合、クライアントでユー ザーに選択させるのではなく透過モードを使用するようにポリシーを設定する必 要があります。 8 [OK]をクリックします。 9 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 暗号化パスワードまたは共有秘密の編集 状況が変わった場合、共有秘密をいつでも編集できます。 p.803 の 「スイッチの設定」 を参照してください。 暗号化パスワードまたは共有秘密を編集するには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブの[スイッチポリシー] 表で、共有秘密を変更するスイッチポリシーをクリックします。 6 [編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[基本 情報]タブで、[共有秘密]フィールドの共有秘密の名前を編集します。 8 [共有秘密を確認]フィールドの共有秘密の名前を編集します。 9 [OK]をクリックします。 10 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 817 818 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 異なる RADIUS サーバーグループの選択 状況が変わった場合、異なる RADIUS サーバーグループをいつでも選択できます。 p.803 の 「スイッチの設定」 を参照してください。 異なる RADIUS サーバーグループを選択するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブの[スイッチポリシー] 表で、共有秘密を変更するスイッチポリシーをクリックします。 6 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブの[スイッチポリシー] 表で、[編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[基本 情報]タブで、RADIUS サーバーグループリストから異なる RADIUS サーバーグ ループを選択します。 異なる RADIUS サーバーグループを選択する前に、複数の RADIUS サーバーグ ループを追加しておく必要があります。 8 [OK]をクリックします。 9 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 再認証期間の編集 状況が変わった場合、再認証期間をいつでも編集できます。 クライアントが再認証されなければならない時間を秒単位で指定する必要があります。再 認証されない場合、クライアントは接続されたクライアントのリストから削除され、ネットワー クから接続解除されます。 この再認証期間は、スイッチの再認証期間の時間の少なくとも 2 倍の長さになるように設 定してください。 たとえば、スイッチの再認証期間が 30 秒の場合、LAN エンフォーサの再認証期間は 60 秒以上にする必要があります。このようにしないと、LAN エンフォーサはクライアントがタ イムアウトであると想定します。したがって、クライアントは IP アドレスを解放または更新し ません。 デフォルト設定は 30 秒です。 p.803 の 「スイッチの設定」 を参照してください。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 再認証期間を編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、変更するスイッチポリシーをクリックします。 6 [編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[基本 情報]タブで、[再認証期間 (秒単位)]フィールドの再認証期間を編集します。 8 [OK]をクリックします。 9 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 EAP 以外のプロトコルの有効化 EAP 以外の認証プロトコルを含んでいる RADIUS パケットを LAN エンフォーサが転送 できるように選択できます。 他のプロトコルには下記のものが含まれます。 ■ Challenge Handshake Authentication Protocol(CHAP) ■ PAP デフォルト設定では有効です。 p.803 の 「スイッチの設定」 を参照してください。 EAP 以外のプロトコルを有効にするには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、変更するスイッチポリシーをクリックします。 6 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブの[スイッチポリシー] 表で、[編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[基本 情報]タブで、[EAP を除く転送プロトコル]をクリックします。 819 820 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 次のプロトコルを転送させることができます。 ■ Challenge Handshake Authentication Protocol(CHAP) ■ PAP 8 [OK]をクリックします。 9 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 802.1x 対応スイッチについての情報の編集 802.1x 対応スイッチについて、次のパラメータを変更できます。 ■ 802.1x 対応スイッチの IP アドレス、ホスト名、またはサブネットの変更 p.820 の 「802.1x 対応スイッチの IP アドレス、ホスト名、またはサブネットの編集」 を 参照してください。 ■ スイッチリストからの 802.1x 対応スイッチの削除 p.821 の 「スイッチリストからの 802.1x 対応スイッチの削除」 を参照してください。 802.1x 対応スイッチの IP アドレス、ホスト名、またはサブネットの 編集 状況の必要性に応じて、802.1x 対応スイッチの IP アドレス、ホスト名、またはサブネット をいつでも変更できます。 p.805 の 「スイッチモデルの属性のサポートについて」 を参照してください。 802.1x 対応スイッチの IP アドレス、ホスト名、またはサブネットを編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、変更するスイッチポリシーをクリックします。 6 [編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[スイッ チアドレス]タブで、[すべての編集]をクリックします。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 8 [IP アドレスの編集]ダイアログボックスで、802.1x 対応スイッチの IP アドレス、ホス ト、名前、またはサブネットを追加または編集します。 テキストの形式は次の通りです。 9 単一 IP アドレス 名前: アドレス IP アドレス範囲 名前: 開始アドレス-終了アドレス サブネット 名前: 開始アドレス/サブネットマスク [OK]をクリックします。 10 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 スイッチリストからの 802.1x 対応スイッチの削除 状況の必要性に応じて、スイッチリストから 802.1x 対応スイッチをいつでも削除できます。 p.805 の 「スイッチモデルの属性のサポートについて」 を参照してください。 802.1x 対応スイッチを削除するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、スイッチリストから削除する 802.1x 対応スイッチをクリックします。 6 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[削除]をクリッ クします。 7 [OK]をクリックします。 スイッチポリシーのための VLAN 情報の編集 802.1x 対応スイッチで VLAN に関する次のパラメータを変更できます。 ■ 802.1x 対応スイッチの VLAN ID と VLAN の名前を変更する p.822 の 「802.1x 対応スイッチの VLAN ID と VLAN 名の編集」 を参照してください。 ■ 802.1x 対応 Aruba スイッチの VLAN と役割の情報を設定する p.823 の 「802.1x 対応 Aruba スイッチの VLAN と役割の情報の設定」 を参照してく ださい。 ■ 802.1x 対応スイッチの VLAN を削除する 821 822 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 p.823 の 「802.1x 対応スイッチの VLAN の削除」 を参照してください。 802.1x 対応スイッチの VLAN ID と VLAN 名の編集 状況の必要性に応じて、802.1x 対応スイッチの VLAN ID と VLAN 名をいつでも変更 できます。 Cisco スイッチのような一部のスイッチは、ゲスト VLAN 機能を備えています。ゲスト VLAN は、通常は EAP のユーザー認証が失敗したときに使われます。EAP 認証が失敗した場 合、スイッチはゲスト VLAN にクライアントを自動的に接続します。 VLAN の切り替えのために LAN エンフォーサを使う場合、LAN エンフォーサの VLAN と処理を設定するときに、予約されたゲスト VLAN を使わないことが推奨されます。そうし ないと、802.1x サプリカントは EAP 認証が失敗したかのように応答することがあります。 VLAN を設定するときは、すべての VLAN が管理サーバーと通信できることを確かめて ください。 p.803 の 「スイッチの設定」 を参照してください。 802.1x 対応スイッチの VLAN ID と VLAN 名を編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、VLAN 情報を変更するスイッチポリシーをクリックします。 6 [編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[スイッ チアドレス]タブで、編集する VLAN を選択します。 8 [VLAN]タブで、[編集]をクリックします。 9 [VLAN の編集]ダイアログボックスで、[VLAN ID]フィールドの VLAN ID を編集し ます。 10 [VLAN 名]フィールドの VLAN 名を編集します。 Aruba スイッチについての VLAN 情報を編集する予定の場合、他の 802.1x スイッ チとは幾分異なる方法で VLAN と役割情報を設定する場合もあります。 p.823 の 「802.1x 対応 Aruba スイッチの VLAN と役割の情報の設定」 を参照して ください。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 11 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[VLAN] タブで、[OK]をクリックします。 12 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 802.1x 対応スイッチの VLAN の削除 状況の必要性に応じて、802.1x 対応スイッチの VLAN をいつでも削除できます。 p.803 の 「スイッチの設定」 を参照してください。 802.1x 対応スイッチの VLAN を削除するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、VLAN 情報を削除するスイッチポリシーをクリックします。 6 [編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[スイッ チアドレス]タブで、削除する VLAN を選択します。 8 [VLAN]タブで、[削除]をクリックします。 9 [OK]をクリックします。 10 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 802.1x 対応 Aruba スイッチの VLAN と役割の情報の設定 Aruba スイッチを使う場合、[VLAN ID]フィールドと[VLAN 名]フィールドは空白のまま にできます。ただし、他のスイッチの場合、どちらのフィールドにも情報を入力する必要が あります。Aruba スイッチの場合でも、これらのフィールドを使って次の通りに VLAN か 役割、または両方を指定することができます。 ■ VLAN を指定するには、[VLAN ID]フィールドに VLAN ID を入力します。 ■ 役割を指定するには、[VLAN 名]フィールドに役割名を入力します。 また Aruba スイッチの場合は、1 つの VLAN で複数の役割に異なるスイッチ処理を設定 することも、1 つの役割に複数の VLAN を設定することもできます。 p.803 の 「スイッチの設定」 を参照してください。 823 824 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 802.1x 対応 Aruba スイッチの VLAN と役割の情報を設定するには 1 役割 A と役割 B を持つ VLAN ID 1 がある場合、[VLAN ID]に 1 と入力し、[VLAN 名]に A と入力して、[OK]をクリックします。 2 もう一度[追加]をクリックします。[VLAN の追加]ダイアログボックスで、[VLAN ID] に 1、[VLAN 名]に B と入力して[OK]をクリックします。 スイッチ処理表の設定で 2 つの別々の選択が利用可能になります。 スイッチポリシーの処理情報の編集 802.1x 対応スイッチで VLAN に関する次のパラメータを変更できます。 ■ 条件検査の順序を設定する p.825 の 「条件検査の順序の設定」 を参照してください。 ■ ホスト認証、ユーザー認証、またはポリシー検査の各条件を選択する p.826 の 「ホスト認証、ユーザー認証、またはポリシー検査の異なる条件の選択」 を参 照してください。 ■ 異なる処理を選択する p.827 の 「異なる処理の選択」 を参照してください。 スイッチポリシー、関連付けされた条件、処理の問題について スイッチポリシーを設定するとき、次に注意してください。 ■ [スイッチ処理]表は少なくとも 1 つのエントリを含まなければなりません。 ■ 結果の特定の組み合わせに処理を選択しない場合、デフォルトの処理である[ポート を開く]が実行されます。 ■ 結果の可能な組み合わせにデフォルト処理を指定するには、すべての 3 つの結果に [結果を無視]を選択します。 ■ 表に処理を追加するとき、列と行の右角をクリックしてドロップダウンリストを表示する ことによってセルを編集できます。 ■ Cisco スイッチのような一部のスイッチは、ゲスト VLAN 機能を備えています。ゲスト VLAN は通常、ユーザー認証が失敗した場合に使われるように意図されています。 つまり、ユーザー認証が失敗すれば、スイッチは自動的にクライアントをゲスト VLAN に接続します。 VLAN 切り換えに LAN エンフォーサを使う場合、LAN エンフォーサで VLAN と処理 を設定するときに、予約済みのゲスト VLAN を使わないことが推奨されます。予約済 みのゲスト VLAN を使うと、802.1x サプリカントはユーザー認証が失敗したかのよう に応答することがあります。 ■ クライアントを配備し、LAN エンフォーサのフル機能を実装する準備ができていない 場合は、ホストインテグリティ検査とポリシー検査で[結果を無視]の条件に基づいて 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 内部ネットワークへのアクセス許可の処理を指定できます。ユーザー認証の結果を無 視して結果に関係なくネットワークアクセスを許可したい場合、ユーザー認証の結果 に[結果を無視]の条件を指定します。 p.825 の 「条件検査の順序の設定」 を参照してください。 p.826 の 「ホスト認証、ユーザー認証、またはポリシー検査の異なる条件の選択」 を参照 してください。 p.827 の 「異なる処理の選択」 を参照してください。 条件検査の順序の設定 状況の必要性に応じて、スイッチポリシーのホスト認証、ユーザー認証、またはポリシー 検査の条件をいつでも変更できます。 認証結果の可能な組み合わせのそれぞれについて、[スイッチ処理]表にエントリを追加 できます。 検査の条件を設定するときは、すべての 3 つの結果が成功か失敗になる唯一の状況が 基本設定であることに注意してください。基本設定では、クライアントはユーザー認証に ついての情報を提供する 802.1x サプリカントと、ホストインテグリティとポリシーシリアル 番号についての情報を提供するクライアントの両方を実行します。 クライアントなしで 802.1x サプリカントのみを実行した場合、ホストインテグリティ検査とポ リシー検査の結果は常に利用不能です。ユーザー認証検査なしで透過モードで実行し た場合、ユーザー認証の結果は常に利用不能です。 LAN エンフォーサは、表の先頭から最後に向かう順序で表のエントリに対して認証結果 を調べます。LAN エンフォーサは一致する条件を検出すると、802.1x 対応スイッチにそ の処理を適用するように指示します。表にリストされている順序を変更することによって、 処理が適用される順序を変更できます。 LAN エンフォーサが現在の条件と一致するエントリを見つけられない場合、ポートを閉じ る処理が実行されます。 p.824 の 「スイッチポリシー、関連付けされた条件、処理の問題について」 を参照してくだ さい。 条件検査の順序を設定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、条件検査の順序を変更するスイッチポリシーをクリックします。 6 [編集]をクリックします。 825 826 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[処理] タブで、条件検査の順序を変更するスイッチポリシーを選択します。 8 [上に移動]または[下に移動]をクリックします。 9 [OK]をクリックします。 10 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 ホスト認証、ユーザー認証、またはポリシー検査の異なる条件の 選択 状況の必要性に応じて、スイッチポリシーのホスト認証、ユーザー認証、またはポリシー 検査の異なる条件をいつでも選択できます。 p.824 の 「スイッチポリシー、関連付けされた条件、処理の問題について」 を参照してくだ さい。 ホスト認証、ユーザー認証、またはポリシー検査の異なる条件を選択するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブの[スイッチポリシー] 表で、認証条件を変更するスイッチポリシーをクリックします。 6 [編集]をクリックします。 7 [<スイッチポリシーの名前 >のスイッチポリシーの編集]ダイアログボックスの[処理] タブで、次の列の変更する認証条件をクリックします。 8 ■ ホスト認証 ■ ユーザー認証 ■ ポリシー検査 特定の基準が満たされたときに 802.1x 対応スイッチが実行する処理を、次から選 択します。 ■ ホスト認証の結果: [成功]、[失敗]、[利用できません]、または[結果を無視] ■ ユーザー認証の結果: [成功]、[失敗]、[利用できません]、または[結果を無 視] ■ ポリシー検査の結果: [成功]、[失敗]、[利用できません]、または[結果を無視] 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 スイッチ設定の使用 9 [OK]をクリックします。 10 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 異なる処理の選択 特定の基準が満たされたときに 802.1x 対応スイッチが実行できる異なる処理を選択で きます。 p.824 の 「スイッチポリシー、関連付けされた条件、処理の問題について」 を参照してくだ さい。 ホスト認証、ユーザー認証、またはポリシー検査の異なる条件を選択するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [LAN エンフォーサの設定]ダイアログボックスの、[スイッチ]タブの[スイッチポリ シー]表で、処理を変更するスイッチポリシーをクリックします。 6 [編集]をクリックします。 7 [処理]タブで、[処理]列で変更する処理をクリックします。 8 特定の基準が満たされたときに 802.1x 対応スイッチが実行する処理を、次から選 択します。 ■ ポートを開く 802.1x 対応スイッチは、ポートが通常割り当てられるデフォルトの VLAN のネッ トワークアクセスを可能にします。また、RADIUS サーバーから送信される属性 で指定された VLAN のネットワークアクセスを可能にします。したがって、VLAN アクセスを持っているユーザーのサポートはユーザー ID とユーザー役割に基 づいています。 デフォルトの処理は[ポートを開く]です。 ■ VLAN test に切り替え 指定した VLAN へのアクセスを許可します。選択可能な VLAN は以前に設定 したものです。 ■ ポートを閉じる デフォルトまたは RADIUS 指定の VLAN のネットワークアクセスを拒否します。 一部のスイッチモデルでは、スイッチ設定によって、ポートはゲスト VLAN に割り 当てられます。 827 828 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 LAN エンフォーサアプライアンスの拡張設定の使用 9 [OK]をクリックします。 10 [LAN エンフォーサの設定]ダイアログボックスの[スイッチ]タブで、[OK]をクリック します。 LAN エンフォーサアプライアンスの拡張設定の使用 次の拡張 LAN エンフォーサアプライアンスオプションを設定できます。 ■ レガシークライアントを許可する p.828 の 「レガシークライアントに LAN エンフォーサアプライアンスを使用したネット ワーク接続を許可する」 を参照してください。 ■ ローカル認証を有効にする p.829 の 「LAN エンフォーサアプライアンスのローカル認証を有効にする」 を参照し てください。 ■ MAC 認証バイパス用の MAC アドレスと、関連付けられている VLAN を追加、編集、 削除、インポート、エクスポートする p.830 の 「LAN エンフォーサでの MAC アドレスと MAC 認証バイパス(MAB)の設定」 を参照してください。 ■ NTP(Network Time Protocol)と、このサービスを提供するサーバーを有効にする ■ 管理サーバーの健全性チェックと間隔期間を有効にする これらの各設定を指定する方法の詳細は、LAN エンフォーサアプライアンスの拡張設定 の状況感知型ヘルプページに表示されます。 レガシークライアントに LAN エンフォーサアプライアンスを使用したネッ トワーク接続を許可する LAN エンフォーサアプライアンスで、5.1.x レガシークライアントに接続することができま す。ネットワークで 11.0.2 Symantec Endpoint Protection Manager と Symantec LAN Enforcer アプライアンスをサポートしている場合で、5.1.x レガシークライアントをサポー トする必要がある場合、管理サーバーコンソールで 5.1.x レガシークライアントのサポート を有効にして、Symantec LAN Enforcer アプライアンスがこれらのクライアントを遮断し ないようにすることができます。 p.828 の 「LAN エンフォーサアプライアンスの拡張設定の使用」 を参照してください。 レガシークライアントに LAN エンフォーサアプライアンスを使用したネットワーク接続を 許可するには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 LAN エンフォーサアプライアンスのグループを選択し、展開します。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 LAN エンフォーサアプライアンスの拡張設定の使用 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[拡張]タブで、[レガシークライアントを許可する]にチェッ クマークを付けます。 6 [OK]をクリックします。 LAN エンフォーサアプライアンスのローカル認証を有効にする LAN エンフォーサアプライアンスが、Symantec Endpoint Protection Manager がイン ストールされているコンピュータとの接続を消失した場合、LAN エンフォーサアプライア ンスはクライアントをローカルで認証できます。 p.828 の 「LAN エンフォーサアプライアンスの拡張設定の使用」 を参照してください。 LAN エンフォーサアプライアンスのローカル認証を有効にするには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 LAN エンフォーサアプライアンスのグループを選択し、展開します。 4 ローカル認証を有効にする LAN エンフォーサアプライアンスグループを選択しま す。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [LAN の設定]ダイアログボックスの[拡張]タブで、[ローカル認証を有効にする]に チェックマークを付けます。 7 [OK]をクリックします。 Network Time Protocol によるエンフォーサアプライアンスのシステム時 間の更新の有効化 NTP(Network Time Protocol)が有効になっている場合、エンフォーサアプライアンス の時計は正しい時刻に更新されます。この設定はデフォルトでは無効になっていますが、 グループポリシーで指定して変更することができます。 p.828 の 「LAN エンフォーサアプライアンスの拡張設定の使用」 を参照してください。 Symantec Endpoint Protection Manager から LAN エンフォーサアプライアンスの時間 更新を有効にするには 1 Symantec Endpoint Protection Manager で、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、LAN エンフォーサアプライアンスのグループを選択し、展開し ます。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 829 830 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 LAN エンフォーサでの MAC アドレスと MAC 認証バイパス(MAB)の設定 5 [拡張]タブで、[Enable Network Time Protocol]にチェックマークを付けます。 6 NTP サーバーの IP アドレスまたは完全修飾ドメイン名を入力します。 7 [OK]をクリックします。 時間同期の問題をトラブルシューティングする場合は、エンフォーサコンソールからこの 設定を一時的に変更できます。エンフォーサコンソールのコマンドラインで、次のように入 力します。 Enforcer (configure)# ntp メモ: Symantec Endpoint Protection の以前のバージョンで NTP を有効にしてある場 合、アップグレードするとその設定は失われます。NTP を再度有効にする必要がありま す。 LAN エンフォーサでの MAC アドレスと MAC 認証バイパ ス(MAB)の設定 管理サーバーで MAC 認証の設定を変更できます。設定は、次のハートビートの間に管 理サーバーから LAN エンフォーサアプライアンスに自動的にダウンロードされます。 LAN エンフォーサでの MAC アドレスと MAC 認証バイパスを設定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、エンフォーサのグループを選択し、展開します。 4 LAN エンフォーサを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [拡張]タブを開きます。 7 左側のドロップダウンリストで、[MAC 認証バイパス]を選択し、[有効にする]をクリッ クします。 8 [設定]ダイアログボックスの[拡張]タブで、[MAC アドレス]の隣の[追加]をクリック します。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 802.1x 認証の使用 9 [信頼できるホストの追加]ダイアログボックスで、[ホスト MAC アドレス]フィールドに クライアントまたは信頼できるホストの MAC アドレスを入力します。 MAC アドレスを指定するとき、右側のすべての 3 つのフィールドにワイルドカードを 使うことができます。 たとえば、11-22-23-*-*-* はワイルドカードの正しい使い方です。ただし、 11-22-33-44-*-66 はワイルドカードの正しい使い方ではありません。 テキストファイルから MAC アドレスのセットをコピーすることもできます。 メモ: インポートでサポートされる形式は、1 つの MAC アドレスと、MAC アドレスとマ スクです。 MAC アドレスをインポートするには、[インポート]をクリックします。[MAC アドレスを ファイルからインポート]ダイアログボックスでファイルを指定します。 MAC アドレスをエクスポートするには、いくつかの MAC アドレスをハイライトし、[エ クスポート]をクリックします。[MAC アドレスをファイルにエクスポート]ダイアログボッ クスでファイルを指定します。 10 [OK]をクリックします。 802.1x 認証の使用 企業ネットワークが認証のために LAN エンフォーサを使う場合、IEEE 802.1x 認証を実 行するようにクライアントコンピュータを設定する必要があります。 802.1x 認証プロセスには、次のステップがあります。 ■ 非認証クライアントまたはサードパーティ製サプリカントは、管理下の 802.11 ネット ワークスイッチにユーザー情報とコンプライアンス情報を送信します。 ■ ネットワークスイッチは、その情報を中継して LAN エンフォーサアプライアンスに送り ます。LAN エンフォーサアプライアンスは、認証のために認証サーバーにユーザー 情報を送信します。RADIUS サーバーが認証サーバーです。 ■ クライアントがユーザーレベルの認証に失敗するか、またはホストインテグリティポリ シーに従っていない場合、エンフォーサはネットワークアクセスを遮断することがあり ます。LAN エンフォーサアプライアンスは、非コンプライアンスクライアントコンピュー タを、[スイッチ処理]表に応じて修復できるネットワークに配置します。 ■ クライアントがコンピュータを修復し、準拠させると、802.1x プロトコルがコンピュータ を再認証し、ネットワークへのアクセス許可を与えます。 LAN エンフォーサアプライアンスを使用するために、クライアントはサードパーティ製サプ リカントか組み込みサプリカントを使うことができます。 表 43-2 は、802.1x 認証のために設定できるオプションの種類を示します。 831 832 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 802.1x 認証の使用 表 43-2 オプション 802.1x 認証オプション 説明 サードパーティ製サ サードパーティ製 802.1x サプリカントを使います。 プリカント LAN エンフォーサアプライアンスは、RADIUS サーバーとサードパーティ製 802.1x サプリカントを使ってユーザー認証を実行します。802.1x サプリカ ントは、LAN エンフォーサがユーザーレベル認証のために RADIUS サー バーに渡すユーザー情報をユーザーに要求します。クライアントは、クライ アントプロファイルとホストインテグリティ状態を LAN エンフォーサアプライア ンスに送信し、LAN エンフォーサアプライアンスはコンピュータを認証しま す。 メモ: サードパーティ製サプリカントで Symantec Network Access Control クライアントを使う場合は、Symantec Network Access Control クライアン トのネットワーク脅威防止モジュールをインストールする必要があります。 サードパーティ製 802.1x サプリカントを使うためには、下記のようにする必 要があります。 RADIUS サーバーとして LAN エンフォーサアプライアンスを使うように 802.1x スイッチを設定して、スイッチが LAN エンフォーサアプライアン スに認証パケットを転送するようにします。 ■ LAN エンフォーサアプライアンスを RADIUS サーバーのクライアントと して追加して、RADIUS サーバーが LAN エンフォーサアプライアンスか らの要求を受け入れるようにします。 ■ コンソールで、RADIUS サーバー情報を指定し、クライアントのための 802.1x 認証を有効にする必要があります。 ■ 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 802.1x 認証の使用 オプション 説明 透過モード クライアントを 802.1x サプリカントとして使います。 ユーザー認証の実行に RADIUS サーバーを使わない場合に、この方法を 使います。LAN エンフォーサアプライアンスは透過モードで動作し、擬似 RADIUS サーバーとして機能します。 透過モードは、サプリカントがユーザーに対してユーザー情報を要求しない ことを意味します。透過モードでは、クライアントが 802.1x サプリカントとして 機能します。クライアントは、スイッチの EAP チャレンジに応答して、クライア ントプロファイルとホストインテグリティ状態を渡します。次にスイッチは、擬似 RADIUS サーバーとして機能する LAN エンフォーサアプライアンスにこの 情報を転送します。LAN エンフォーサアプライアンスは、スイッチからのホス トインテグリティとクライアントプロファイル情報の有効性を確認し、状態に応 じて VLAN を許可、遮断、または動的に割り当てることができます。 メモ: 802.1x サプリカントとしてクライアントを使うためには、クライアントコン ピュータのサードパーティ製 802.1x サプリカントをアンインストールするか、 または無効にする必要があります。 透過モードでは、[LAN エンフォーサの設定]ダイアログボックスの RADIUS サーバー情報を空けておくことができます。RADIUS サーバーの IP アドレ スはこの場合 0 に設定され、従来の EAP ユーザー認証は実行されません。 組み込みサプリカン クライアントコンピュータの組み込み 802.1x サプリカントを使います。 ト 組み込み認証プロトコルには、スマートカード、PEAP、TLS などがあります。 802.1x 認証を有効にした後、ユーザーはどの認証プロトコルを使うか指定 する必要があります。 警告: 社内ネットワークで認証サーバーとして RADIUS サーバーを使っているかどうかを 確認する必要があります。802.1x 認証を不正確に設定した場合、ネットワークへの接続 が壊れることがあります。 メモ: ユーザーがクライアントの 802.1x 認証を設定することを可能にするには、クライアン トをクライアント制御に設定する必要があります。 p.656 の 「LAN エンフォーサアプライアンスの動作」 を参照してください。 透過モードまたは組み込みサプリカントを使用するようにクライアントを設定するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアントの表示]で、802.1x 認証を実行するクライアントのグループを選択しま す。 3 [ポリシー]タブの[設定]で、[全般の設定]をクリックします。 833 834 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 802.1x 認証の使用 4 [セキュリティの設定]タブで、[802.1x 認証を有効にする]にチェックマークを付けま す。 5 [クライアントを 802.1x サプリカントとして使う]にチェックマークを付けます。 6 次のいずれかの処理を実行します。 7 ■ 透過モードを選択するには、[シマンテック透過モードを使う]を選択します。 ■ ユーザーが組み込みサプリカントを設定することを可能にするには、[ユーザー が認証プロトコルを選択できる]を選択します。 ユーザーはネットワーク接続のための認証プロトコルを選択できます。 [OK]をクリックします。 サードパーティ製サプリカントを使うようにクライアントを設定するには 1 コンソールで、[クライアント]をクリックします。 2 [クライアントの表示]で、802.1x 認証を実行するクライアントのグループを選択しま す。 3 [ポリシー]タブの[設定]で、[全般の設定]をクリックします。 4 [セキュリティの設定]タブで、[802.1x 認証を有効にする]にチェックマークを付けま す。 5 [OK]をクリックします。 組み込みサプリカントを使うようにクライアントを設定できます。クライアントを 802.1x 認証向けに有効にし、802.1x サプリカントとしても有効にします。 クライアントコンピュータの再認証について ホストインテグリティ検査に成功したクライアントコンピュータをエンフォーサが遮断してい る場合、ユーザーがそれらのコンピュータを再認証しなければならない場合があります。 通常の状況では、ユーザーはコンピュータを再認証する必要はまったくありません。 次のいずれかのイベントが発生すると、エンフォーサがコンピュータを遮断することがあり ます。 ■ ユーザーがユーザー名かパスワードを不正確に入力したために、クライアントコン ピュータがユーザー認証を失敗した場合。 ■ クライアントコンピュータが、間違った VLAN にある場合。 ■ クライアントコンピュータがネットワーク接続を確立しない場合。ネットワーク接続の破 壊は、通常はクライアントコンピュータと LAN エンフォーサ間のスイッチがユーザー名 とパスワードを認証しなかったために発生します。 ■ 以前のユーザーを認証済みのクライアントコンピュータに、ユーザーがログオンする 必要がある場合。 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 802.1x 認証の使用 ■ クライアントコンピュータがコンプライアンス検査に失敗した場合。 ユーザーは、組み込みサプリカントを使ってコンピュータを設定したときのみコンピュータ を再認証できます。クライアントコンピュータの通知領域アイコンの右クリックメニューで、 再認証コマンドを表示します。 p.831 の 「802.1x 認証の使用」 を参照してください。 835 836 第 43 章 Symantec Endpoint Protection Manager での LAN エンフォーサアプライアンスの設定 802.1x 認証の使用 44 Symantec Endpoint Protection Manager でのエ ンフォーサの管理 この章では以下の項目について説明しています。 ■ 管理サーバーコンソールでのエンフォーサの管理について ■ サーバーページからのエンフォーサの管理について ■ エンフォーサグループについて ■ エンフォーサコンソールに表示されるエンフォーサ情報について ■ 管理コンソールでのエンフォーサについての情報の表示 ■ エンフォーサの名前と説明の変更 ■ エンフォーサまたはエンフォーサグループの削除 ■ エンフォーサグループの設定のエクスポートとインポート ■ 遮断されたクライアントのためのポップアップメッセージ ■ クライアントの設定とエンフォーサについて ■ クライアントサービスの停止にパスワードを使うためのクライアントの設定 ■ エンフォーサのレポートとログについて ■ エンフォーサログの設定 838 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 管理サーバーコンソールでのエンフォーサの管理について 管理サーバーコンソールでのエンフォーサの管理につい て 管理サーバーコンソールで Symantec Enforcer を設定すると、エンフォーサ、エンフォー サの認証手続き、クライアントとのエンフォースメント手続きの設定に役立ちます。コンソー ルでエンフォーサを設定する前に、エンフォーサアプライアンスまたはコンピュータでの エンフォーサのインストールと設定を完了します。 Symantec Endpoint Protection Manager コンソールのエンフォーサ設定は、設定す るエンフォーサアプライアンスの種類(ゲートウェイまたは LAN)によって決まります。した がって、それぞれの設定を個別に行います。 コンソールから、ほとんどのエンフォーサの設定と管理を実行します。ほとんどのエンフォー サの設定は、コンソールのみで変更できます。ただし、一部のエンフォーサの設定につ いては、コンソール上ではなく、エンフォーサコンピュータでエンフォーサファイルを編集 する必要があります。エンフォーサのほとんどすべての設定は、コンソールの[サーバー] ページから設定されます。LAN エンフォーサには、[ポリシー]ページで設定する必要が ある項目もあります。 p.714 の 「エンフォーサアプライアンスの設定」 を参照してください。 複数のエンフォーサを管理し、他のタスクも担当している場合、通常 1 カ所ですべてを集 中管理できると便利です。コンソールはこの機能を提供します。コンソールにログオンし て、すべてのエンフォーサについての情報を表示できます。 エンフォーサがインストールされるコンピュータで、いくつかのタスクを実行する必要があ ります。タスクには、管理コンソール以外のエンフォーサローカルコンソールの使用とハー ドウェアの保守タスクが含まれます。たとえば、エンフォーサ自体でエンフォーサとコンソー ル接続をトラブルシューティングします。問題を定義するために、物理的にエンフォーサ コンピュータのハードウェアの状態を調べるか、ネットワーク接続を変更する必要がある場 合もあります。 この章には、Symantec Enforcement クライアントの設定方法についての情報は含まれ ていません。これは、エンフォーサとは別のコンポーネントです。 サーバーページからのエンフォーサの管理について 管理コンソールの[サーバー]ページの[サーバーの表示]ペインには、インストールされ たエンフォーサと、接続されたサーバーとコンソールの一覧が表示されます。各エンフォー サはグループ名の下のリストに表示されます。グループレベルでエンフォーサのプロパ ティを編集します。 p.842 の 「エンフォーサの名前と説明の変更」 を参照してください。 [サーバー]ページを表示するには、完全なシステム管理者の権限を必要とします。 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサグループについて エンフォーサグループについて コンソールでのエンフォーサ設定は、個々のエンフォーサレベルではなくエンフォーサグ ループのレベルで行われます。エンフォーサは、コンソールの[サーバー]ページのグ ループ名の下のリストに表示されます。 エンフォーサグループは、エンフォーサの設定を同期する方法です。グループのすべて のエンフォーサは同じ設定を共有します(プロパティ)。エンフォーサのプロパティを更新 するには、[サーバー]ペインのグループ名を選択し、グループのプロパティを編集する 必要があります。 p.910 の 「Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでのエンフォーサグループ名の設定」 を参照してください。 コンソールがエンフォーサグループ名を判断する方法 エンフォーサローカルコンソールでコンソール接続を設定するとき、グループ名を指定で きます。エンフォーサは接続を確立した後、コンソールに自身を登録します。コンソール は指定したグループに自動的にエンフォーサを割り当て、コンソールの[サーバー]ペイ ンのグループ名の下のリストにエンフォーサを表示します。設定時に名前を指定しない場 合、コンソールはデフォルトのエンフォーサグループにエンフォーサを割り当てます。コン ソールはグループ名としてエンフォーサコンピュータの名前を使います。 p.910 の 「Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでのエンフォーサグループ名の設定」 を参照してください。 フェールオーバーのエンフォーサグループについて 新しいエンフォーサは、スタンバイ状態なフェールオーバーエンフォーサとしてコンソー ルに対して自身を識別します。この識別は、ハブかスイッチによって接続するフェール オーバーゲートウェイエンフォーサを同じサブネットに追加した場合に行われます。次に コンソールは、アクティブなエンフォーサと同じグループに新しいスタンバイ状態なフェー ルオーバーエンフォーサを割り当てます。この割り当ては、ローカルコンソールでの設定 時にグループ名を指定したかどうかにかかわらず実行されます。この処理によって、フェー ルオーバーゲートウェイエンフォーサが一次エンフォーサとまったく同じ設定を持つこと が保証されます。 p.737 の 「ゲートウェイエンフォーサアプライアンスのフェールオーバー計画」 を参照して ください。 LAN エンフォーサでは、フェールオーバーはエンフォーサではなくスイッチを通して処理 されます。したがって、同じグループへの自動割り当ては実行されません。複数の LAN エンフォーサが設定を共有することを保証できます。コンソールの[設定]ダイアログボッ クスのエンフォーサローカルコンソールで、同じグループ名を指定します。 p.781 の 「LAN エンフォーサアプライアンスのインストールの計画」 を参照してください。 839 840 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサコンソールに表示されるエンフォーサ情報について グループ名の変更について コンソールからエンフォーサグループの名前を変更できません。ただし、エンフォーサロー カルコンソールから新しいグループ名を指定できます。ここでエンフォーサは、新しいグ ループに移動します。変更を表示するためにコンソール画面を更新する必要がある場合 があります。 p.839 の 「コンソールがエンフォーサグループ名を判断する方法」 を参照してください。 新しいエンフォーサグループの作成について 通常、既存のエンフォーサとは異なる設定が必要なエンフォーサを追加する場合のみ、 新しいエンフォーサグループを作成する必要があります。 コンソールの[設定]ダイアログボックスで新しい名前を指定することによって、エンフォー サローカルコンソールで新しいエンフォーサグループを作成できます。新しいグループは エンフォーサのデフォルト設定を使います。 ローカルコンソールから新しいエンフォーサを接続するときに、グループ名のフィールド を空白にしておくことができます。その場合、コンソールは新しいグループにエンフォー サを割り当てます。このグループは、エンフォーサコンピュータの名前とデフォルト設定を 使います。 他のグループにエンフォーサを移動するために同じ方法を使うことができます。エンフォー サのローカルコンソールから、目的のグループ名を指定します。エンフォーサは移動先 のグループの設定を使用します。 p.793 の 「LAN エンフォーサを使った LAN エンフォーサアプライアンスグループの名前 の追加または編集」 を参照してください。 p.883 の 「Symantec Network Access Control Integrated Enforcer のエンフォーサグ ループの名前の追加または編集」 を参照してください。 エンフォーサコンソールに表示されるエンフォーサ情報 について エンフォーサコンソールでエンフォーサについての情報を表示できます。 エンフォーサアプライアンスではネットワークインターフェースカードの設定のみを変更で きますが、管理コンソールではできません。エンフォーサアプライアンスの NIC 設定を変 更した場合、新しい設定は次のハートビートの間に管理コンソールにアップロードされま す。 p.841 の 「管理コンソールでのエンフォーサについての情報の表示」 を参照してください。 表 44-1 は、表示できる情報の種類を示します。 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 管理コンソールでのエンフォーサについての情報の表示 表 44-1 管理コンソール上のエンフォーサアプライアンスについての情報 フィールド 説明 名前 [ホスト名]フィールドと同じ。 説明 エンフォーサの簡単な説明。管理コンソールで編集できる情報は、この説明 だけです。 バージョン 選択されたエンフォーサコンピュータで実行されるエンフォーサソフトウェア のバージョン。 ホスト名 エンフォーサがインストールされるコンピュータの名前。 オペレーティングシ ステム 選択されたエンフォーサがインストールされるコンピュータで作動しているオ ペレーティングシステム。 オンライン状態 オンライン: サービスが実行中であり、アクティブな一次エンフォーサです。 オフライン: サービスは停止しています。 フェールオーバーの (ゲートウェイエンフォーサのみ)エンフォーサがアクティブかスタンバイかど 状態 うか。 内部 IP 内部ネットワークインターフェースカードの IP アドレス。 外部 IP (ゲートウェイエンフォーサのみ)外部ネットワークインターフェースカードの IP アドレス。 内部 MAC 内部ネットワークインターフェースカードの MAC アドレス。 外部 MAC (ゲートウェイエンフォーサのみ)外部ネットワークインターフェースカードの MAC アドレス。 内部 NIC 内部ネットワークインターフェースカードの製造元とモデル 外部 NIC (ゲートウェイエンフォーサのみ)外部ネットワークインターフェースカードの 製造元とモデル。 管理コンソールでのエンフォーサについての情報の表示 管理コンソールからエンフォーサについての情報を表示できます。 p.840 の 「エンフォーサコンソールに表示されるエンフォーサ情報について」 を参照して ください。 841 842 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサの名前と説明の変更 管理コンソールでエンフォーサについての情報を表示するには 1 Symantec Endpoint Protection Manager コンソールの[管理]ページで、[サー バー]をクリックします。 2 [サーバー]で、情報を表示するエンフォーサの名前をクリックします。 LAN エンフォーサアプライアンスは内部 NIC しか必要としないので、外部 NIC を参 照するフィールドに LAN エンフォーサアプライアンスに関する情報は表示されませ ん。LAN エンフォーサのフェールオーバーはスイッチが管理するので、フェールオー バーの状態は表示されません。 エンフォーサの名前と説明の変更 エンフォーサの名前は、常にアプライアンスまたはインストールされるコンピュータのホス ト名です。エンフォーサ名は、コンピュータのホスト名を変更することによってのみ変更で きます。 コンソールからエンフォーサの説明を変更できます。たとえば、エンフォーサの場所を識 別するために説明を入力する場合があります。 エンフォーサの説明を変更するには 1 Symantec Endpoint Protection Manager コンソールの[管理]ページで、[サー バー]をクリックします。 2 [サーバー]の下でエンフォーサ名をクリックし、次に[タスク]の下で[エンフォーサプ ロパティの編集]クリックします。[プロパティ]ダイアログボックスが表示されます。名 前フィールドは編集できません。 3 [説明]テキストボックスに必要なテキストを入力します。 4 [OK]をクリックします。 また、エンフォーサの名前を右クリックして[プロパティの編集]を選択してもエンフォー サの説明を編集できます。 エンフォーサまたはエンフォーサグループの削除 管理コンソールでエンフォーサを削除できます。エンフォーサを削除するとき、使ってい たコンピュータがもはやエンフォーサを実行していないのでライセンスを解放します。エン フォーサがオンラインの間は、コンソールからエンフォーサを削除できません。エンフォー サをオフにしてから削除できます。エンフォーサコンピュータを再起動するとき、エンフォー サはコンソールに再接続します。エンフォーサは自身を再び登録し、[サーバー]ページ に再表示されます。コンソールからエンフォーサを永続的に削除するには、最初にエン フォーサコンピュータからエンフォーサをアンインストールします。 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサグループの設定のエクスポートとインポート エンフォーサコンピュータからエンフォーサをアンインストールした後でエンフォーサグ ループを削除するには 1 エンフォーサコンピュータのエンフォーサをオフにするかアンインストールします。 2 Symantec Endpoint Protection Manager コンソールの[管理]ページで、[サー バー]をクリックします。 3 [サーバー]の下でエンフォーサ名をクリックし、次に[タスク]の下で[エンフォーサの 削除]クリックします。削除を確認するメッセージボックスが表示されます。 4 削除を確認するには、[はい]をクリックします。 エンフォーサグループのリストにエンフォーサが記載されていないときに、そのグルー プをもう使わない場合は、エンフォーサグループを削除できます。グループを削除 するには、そのグループにエンフォーサの名前が含まれていないようにする必要が あります。エンフォーサグループを削除するとき、グループのカスタマイズされた設 定を削除します。 エンフォーサグループを削除するには 1 Symantec Endpoint Protection コンソールで、[管理]をクリックします。 [管理]ページで、[サーバー]をクリックします。 2 [サーバー]の下で、エンフォーサグループの名前をクリックします。 3 [グループの削除]をクリックします。 削除を確認するメッセージボックスが表示されます。 4 削除を確認するには、[はい]をクリックします。 エンフォーサグループの設定のエクスポートとインポート エンフォーサグループの設定をエクスポートまたはインポートする場合があります。設定 は .xml 形式のファイルにエクスポートされます。設定をインポートするとき、既存のエン フォーサグループにそれらをインポートする必要があります。ここに、選択されたグループ 設定が上書きされます。 エンフォーサグループの設定をエクスポートするには 1 Symantec Endpoint Protection Manager コンソールの[管理]ページで、[サー バー]をクリックします。 2 [サーバー]の下でエンフォーサグループ名をクリックし、次に[グループのプロパティ をエクスポート]クリックします。 3 ファイルを保存する場所を選択し、ファイル名を指定します。 4 [保存]をクリックします。 843 844 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 遮断されたクライアントのためのポップアップメッセージ エンフォーサグループの設定をインポートするには 1 Symantec Endpoint Protection Manager コンソールの[管理]ページで、[サー バー]をクリックします。 2 [サーバー]の下で、設定を上書きするエンフォーサグループ名をクリックし、次に[グ ループプロパティのインポート]をクリックします。 3 インポートするファイルを選択し、次に[開く]をクリックします。 現在のエンフォーサグループのプロパティを上書きするための確認メッセージが表 示されます。 4 [はい]をクリックします。 遮断されたクライアントのためのポップアップメッセージ エンフォーサがネットワークに接続しようとするクライアントを遮断するとき、次の 2 種類の ポップアップメッセージを設定できます。 ■ クライアントを実行しているコンピュータのためのメッセージ ■ クライアントを実行していない Windows コンピュータのためのメッセージ(ゲートウェ イエンフォーサのみ) クライアントを実行しているコンピュータのためのメッセージ エンフォーサが、クライアントを実行しているコンピュータを遮断する場合、複数の原因が 考えられます。遮断が起きる原因は、ホストインテグリティ検査が失敗したため、またはク ライアントポリシーが最新ではないためなどの可能性があります。これらのイベントが発生 するとき、クライアントに表示するポップアップメッセージを指定できます。そのメッセージ は、エンフォーサがクライアントからのすべてのトラフィックを遮断したことと、遮断の理由 をユーザーに通知します。たとえば、クライアントがホストインテグリティ検査に失敗した場 合は、次のメッセージが表示されます。 Symantec Enforcer がトラフィックを遮断しました。理由はホストインテグリティ検査が失敗しました。 デフォルトメッセージにテキストを追加できます。たとえば、状況を修正するための処置を コンピュータのユーザーに指示する場合があります。このメッセージは、エンフォーサ設 定ではなく、クライアントグループのポリシー設定の一部として設定します。 クライアントを実行していない Windows コンピュータのためのメッセージ (ゲートウェイエンフォーサのみ) 場合によっては、クライアントはクライアントを実行せずに企業ネットワークに接続すること を試みます。ゲートウェイエンフォーサは、クライアントソフトウェアをインストールする必要 性を Windows コンピュータのユーザーに通知するポップアップメッセージを表示します。 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 遮断されたクライアントのためのポップアップメッセージ メッセージは、シマンテック製クライアントが動作していないためにネットワークへのアクセ スを遮断されることをクライアントに通知します。エンフォーサの[設定]ダイアログボックス の[認証]タブで、メッセージの内容を設定できます。[クライアントが動作していない場合 にクライアント上に表示されるポップアップメッセージを有効にする]オプションを使いま す。 メモ: ポップアップメッセージの代わりにHTTP リダイレクトオプションを使います。HTTP リダイレクトオプションは、修復の操作手順または機能を持つ Web サイトにクライアントを 接続します。 エンフォーサがクライアントにメッセージを表示するには、メッセージを伝送するための UDP ポート 137 と 138 が開いている必要があります。 コンピュータがポップアップメッセージを表示するには、Messenger とも呼ばれる Windows Messaging が、Windows NT ベースのシステム(Windows NT 4.0、2000、XP と Windows Server 2003)で動作している必要があります。クライアントが動作している場 合、Windows Messaging はクライアントからのポップアップメッセージの表示に必要で はありません。 エンフォーサメッセージの設定 エンフォーサがクライアントを遮断するときにクライアントに表示されるエンフォーサメッセー ジを設定できます。 メモ: 親グループからの設定を継承しないグループについてのみ、設定を修正できます。 エンフォーサのメッセージを設定するには 1 Symantec Endpoint Protection Manager コンソールの[クライアント]ページで、 [ポリシー]タブを選択します。 2 [ポリシーの表示]で、ポップアップメッセージを指定するグループを選択します。 3 [設定]で、[全般の設定]を選択します。[全般の設定]タブを選択すると[グループ の設定]ダイアログボックスが表示されます。 4 [セキュリティの設定]タブで、[Symantec Enforcer がクライアントを遮断するときに メッセージを表示する]を選択します。 5 デフォルトメッセージにテキストを追加する場合は、[追加テキストの設定]をクリック し、テキストを入力してから[OK]をクリックします。 6 [OK]をクリックします。 845 846 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 クライアントの設定とエンフォーサについて クライアントの設定とエンフォーサについて シマンテック製クライアントは、特別な設定なしでエンフォーサを使用します。例外は LAN エンフォーサに必要な 802.1x 認証のいくつかの設定です。 クライアントサービスの停止にパスワードを使うためのク ライアントの設定 クライアントは、クライアントの実行中に、最初にエンフォーサ認証を渡して通常のネット ワーク設定と IP アドレスを受信できます。クライアントが後で認証に失敗した場合、エン フォーサはクライアントにメッセージを送ります。このエラーにより、クライアントで IP アドレ スのリリースと更新が実行されます。ただし、エンドユーザーがクライアントコンピュータの クライアントを停止した場合、エンフォーサはリリースと更新を実施できません。エンフォー サがクライアントの検疫または遮断を続行できることを保証するために、クライアントの停 止を許可されるユーザーを制限する場合があります。エンドユーザーがクライアントを停 止するときにパスワードを要求することによってユーザーを制限できます。 クライアントサービスの停止にパスワードを使うようにクライアントを設定するには 1 Symantec Endpoint Protection Manager コンソールの[クライアント]ページで、 クライアントグループを選択します。 2 [ポリシー]タブの[設定]で、[全般の設定]をクリックします。 3 [セキュリティの設定]タブの[クライアントパスワード保護]で、[クライアントサービス を停止するためのパスワードを要求する]を選択し、パスワードを指定します。 4 [OK]をクリックします。 エンフォーサのレポートとログについて エンフォーサレポートとログを使うと、エンフォーサクライアントの活動とシステムにおける エンフォーサのフローを表示できます。レポートとログの種類とそれらを表示する方法に ついて詳しくは Symantec Endpoint Protection Manager のヘルプを参照してくださ い。 Symantec Endpoint Protection Manager コンソールの[レポート]ページは事前定義 済みのレポートとカスタムレポートの両方を提供します。[レポート]ページのエンフォーサ に関する情報を含んでいる、事前定義済みのクイックレポートを表示できます。 次のエンフォーサレポートが利用可能です。 ■ 「エラーを生成する上位エンフォーサ」という名前のシステムレポートは、エラーと警告 を生成したエンフォーサについての情報を含んでいます。 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサログの設定 ■ 「サイトの状態」という名前のシステムレポートは、エンフォーサシステム、トラフィック、 パケットログスループットについての情報を含んでいます。 ■ コンプライアンスレポートは、クライアントのコンプライアンス状態についての情報を含 んでいます。 エンフォーサログには、システムアクティビティの監視とトラブルシューティングに使うこと ができる次のログがあります。 次の種類のエンフォーサログが利用できます。 ■ エンフォーササーバーログ。このログはエンフォーサの機能に関連する情報を含んで います。 ■ エンフォーサクライアントログ。このログはエンフォーサとネットワークに接続しようとし ているクライアント間の対話についての情報を含んでいます。 ■ エンフォーサトラフィックログ(ゲートウェイエンフォーサのみ)。このログはゲートウェイ エンフォーサアプライアンスの外部アダプタを通って入り、内部アダプタを通って出て いくすべてのトラフィックを記録します。 ■ エンフォーサ活動ログ。このログはエンフォーサが開始するとき、そして Symantec Endpoint Protection Manager に接続するときなどのイベントについての情報を含 んでいます。 デフォルトでは、エンフォーサログはエンフォーサソフトウェアがインストールされたコン ピュータ、またはエンフォーサアプライアンス自体に格納されます。ログは、エンフォーサ アプライアンスから、または統合エンフォーサをインストールしたコンピュータから、 Symantec Endpoint Protection Manager コンソールに自動的に送信することができま す。ただし、Symantec Endpoint Protection Manager コンソールログの送信を有効に する必要があります。 ログデータは、エンフォーサから Symantec Endpoint Protection Manager に送信さ れ、データベースに格納されます。Symantec Endpoint Protection Manager コンソー ルで、エンフォーサログの設定を修正し、エンフォーサログを表示し、エンフォーサにつ いてのレポートを生成できます。サイトのすべてのエンフォーサの活動は、同じエンフォー ササーバーログに記録されます。 レポートとログの種類とそれらを表示する方法について詳しくは Symantec Endpoint Protection Manager のヘルプを参照してください。 p.847 の 「エンフォーサログの設定」 を参照してください。 エンフォーサログの設定 [ログの設定]タブの[<エンフォーサ名 > の設定]ダイアログボックスで、エンフォーサログ を設定できます。変更は次のハートビートの間に、選択するエンフォーサに送信されま す。 847 848 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサログの設定 エンフォーサログを設定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、ログの設定を変更するエンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [<エンフォーサ名> の設定]ダイアログボックスの[ログ記録]タブで、次のいずれか を変更します。 Symantec Endpoint Protection Manager 無効にするログごとに[ログを有効にする]の コンソールでのログ記録の無効化 チェックマークをはずします。 エンフォーサから Symantec Endpoint [管理サーバーにログをアップロードする]に Protection Manager へのエンフォーサロ チェックマークを付けます。 グ送信の有効化 ログのサイズと保持期間の設定 各[最大ログファイルサイズ]フィールドに、ログ ごとに保持するデータのサイズをキロバイト単位 で指定します。 [ログエントリを保持する日数]フィールドには、 エントリが削除されるまでのデータベースに維持 される日数を指定します。範囲は 1日から 365 日です。 エンフォーサトラフィックのログのフィルタ処 次のいずれかのフィルタオプションを選択しま 理 す。 許可されるトラフィックや破棄されるトラフィッ クを含むすべてのトラフィックをログに記録す る場合は、[すべてのトラフィック]を選択しま す。 ■ エンフォーサが遮断するクライアントのみをロ グに記録する場合は、[遮断したトラフィック のみ]を選択します。 ■ エンフォーサが許可するトラフィックのみをロ グに記録する場合は、[許可したトラフィック のみ]を選択します。 ■ 6 [OK]をクリックします。 p.846 の 「エンフォーサのレポートとログについて」 を参照してください。 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサログの設定 Symantec Endpoint Protection Manager コンソールでのエンフォーサの ログ記録の無効化 デフォルトでは、エンフォーサのログ記録は有効になっています。ログ記録は、Symantec Endpoint Protection Manager コンソールで無効にできます。ログ記録を無効にした場 合、この同じ場所からそれを有効にできます。 Symantec Endpoint Protection Manager コンソールでエンフォーサのログ記録を無効 にするには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、エンフォーサのログ記録を無効にするエンフォーサグループを 選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [<エンフォーサ名> の設定]ダイアログボックスの[ログ記録]タブで、無効にするロ グごとに[ログを有効にする]のチェックマークをはずします。 6 [OK]をクリックします。 p.846 の 「エンフォーサのレポートとログについて」 を参照してください。 エンフォーサから Symantec Endpoint Protection Manager へのエン フォーサログ送信の有効化 デフォルトでは、すべてのログはエンフォーサアプライアンスから、またはソフトウェアベー スのいずれかの統合エンフォーサをインストールしたコンピュータから、Symantec Endpoint Protection Manager に自動的に送信されます。ログの送信を有効にすると ただちに、Symantec Endpoint Protection Manager コンソールの集中管理の場所で すべてのシマンテック製品関連のログを表示できます。 エンフォーサから Symantec Endpoint Protection Manager へのエンフォーサログの送 信を有効にするには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、エンフォーサから Symantec Endpoint Protection Manager へのエンフォーサログの送信を有効にするエンフォーサグループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 849 850 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサログの設定 5 [<エンフォーサ名> の設定]ダイアログボックスの[ログ記録]タブで、[管理サーバー にログをアップロードする]にチェックマークを付けます。 ログの種類ごとに、エンフォーサアプライアンスから、またはソフトウェアベースのい ずれかの統合エンフォーサをインストールしたコンピュータから Symantec Endpoint Protection Manager へのログの送信を有効にできます。 6 [OK]をクリックします。 p.846 の 「エンフォーサのレポートとログについて」 を参照してください。 エンフォーサログのサイズと保持期間の設定 エンフォーサログファイルの最大サイズと、ログエントリが格納される日数を指定できます。 エンフォーサログのサイズと保持期間を設定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、エンフォーサログのサイズと保持期間を設定するエンフォーサ グループを選択します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [<エンフォーサ名 > の設定]ダイアログボックスの[ログ記録]タブで、ログごとに保 持するデータのサイズをキロバイト単位で各[最大ログファイルサイズ]フィールドに 指定します。 64 KB から 2 GB までの間のサイズを入力できます。デフォルト設定は 512 KB で す。 6 [ログエントリを保持する日数]フィールドには、エントリが削除されるまでのデータ ベースに維持される日数を指定します。 範囲は 1 日から 365 日です。デフォルトの範囲は 30 日です。 7 [OK]をクリックします。 p.846 の 「エンフォーサのレポートとログについて」 を参照してください。 エンフォーサのトラフィックログのフィルタ処理 多くのクライアントがエンフォーサを介して接続する場合、大きいトラフィックログが生成さ れることがあります。エンフォーサがトラフィックログに記録するデータの種類をフィルタ処 理して、ログの平均サイズを減らすことができます。データを保持する前に、フィルタリスト を使ってエンフォーサがログ記録するトラフィックをフィルタ処理できます。 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサログの設定 エンフォーサのトラフィックログをフィルタ処理するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、トラフィックログをフィルタ処理するエンフォーサグループを選択 します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [<エンフォーサ名 > の設定]ダイアログボックスの[ログ記録]タブで、トラフィックログ フィルタリストから次のフィルタオプションの 1 つを選択します。 6 すべてのトラフィック 許可されるものと破棄されるものを含むすべてのトラフィック をログに記録します 遮断したトラフィックのみ エンフォーサが遮断するクライアントのみをログに記録しま す 許可したトラフィックのみ エンフォーサが許可するトラフィックのみをログに記録しま す [OK]をクリックします。 p.846 の 「エンフォーサのレポートとログについて」 を参照してください。 851 852 第 44 章 Symantec Endpoint Protection Manager でのエンフォーサの管理 エンフォーサログの設定 45 Symantec Integrated Enforcer の概要 この章では以下の項目について説明しています。 ■ Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer について ■ Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer について Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer について Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer は、Microsoft DHCP(Dynamic Host Configuration Protocol)サーバーと連携して機 能します。これにより、ネットワークに接続しようとするクライアントが設定されたセキュリティ ポリシーに準拠するようになります。 Microsoft DHCP サーバー用 Integrated Enforcer は、DHCP サーバーを通して動的 IP アドレスを受信する各クライアントからの DHCP メッセージを傍受し、チェックすること によってセキュリティを実現します。次に、安全でないコンピュータを検疫クラスにグルー プ分けし、確立されたポリシー設定ごとに利用可能な、限られたリソースを安全でないコ ンピュータに提供します。 854 第 45 章 Symantec Integrated Enforcer の概要 Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer について Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer につい て Microsoft Network Access Protection(NAP)用 Integrated Enforcer は、Microsoft Windows Network Policy Server(NPS)と連携して、Microsoft Windows Server 2008 と Windows Server 2008 R2 上で動作します。Symantec Integrated NAP Enforcer は、ネットワークへの接続を試みるクライアントが設定されたセキュリティポリシーに準拠す ることを確認します。 NAP は、制御された環境を作成することによってネットワークへのアクセスを制限します。 NAP は、クライアントが企業ネットワークに接続する前にクライアントのセキュリティの状態 を調べます。クライアントが準拠していない場合、NAP はセキュリティの状態を修正する か、または会社のセキュリティポリシーに適合しないエンドポイントにアクセスを制限しま す。 Network Access Protection は、Windows Server 2008 オペレーティングシステムに 含まれるクライアント「セキュリティの健全性ポリシー」の作成、エンフォースメント、修復を 行う技術です。システム管理者は、セキュリティポリシーを作成し、自動的にエンフォース できます。これらのセキュリティの健全性ポリシーは、ソフトウェアの必要条件、セキュリティ 更新の必要条件、必須のコンピュータ設定と他の設定を含むことがあります。セキュリティ の健全性ポリシーに準拠しないクライアントコンピュータは、ネットワークアクセスを制限さ れることがあります。設定が更新されてポリシーに準拠した状態になると、ネットワークへ のフルアクセスがクライアントに与えられます。NAP をどのように配備するかによって、手 動によるコンピュータの更新や再設定をしないで、準拠しないクライアントを自動的に更 新し、ユーザーがネットワークへのフルアクセスを取り戻せるようにできます。 メモ: Microsoft 社では、Network Access Protection のマニュアルで「セキュリティの健 全性ポリシー」を使っています。シマンテックでは、「セキュリティポリシー」と「ホストインテ グリティポリシー」を同じ意味で使っています。 p.660 の 「Microsoft Network Access Protection 用 Integrated Enforcer が Microsoft Network Policy Server(NPS)と連携する方法」 を参照してください。 46 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール この章では以下の項目について説明しています。 ■ Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer をインストールするための処理 ■ Microsoft DHCP サーバー用 Integrated Enforcer のシステム必要条件 ■ Microsoft DHCP サーバー用 Integrated Enforcer のコンポーネント ■ Microsoft DHCP サーバー用 Integrated Enforcer の配置の必要条件 ■ Microsoft DHCP サーバー用 Integrated Enforcer のインストールを開始する方法 ■ Microsoft DHCP サーバー用 Integrated Enforcer のインストール Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer をインストールするための 処理 表 46-1 に、Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer をインストールするための手順を示します。 856 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer のシステム必要条件 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストールの概要 表 46-1 手順 操作 説明 手順 1 システム要件とインストール要件を確認す エンフォーサを実行するために入手する必 る。 要があるハードウェア、ソフトウェア、 Symantec Network Access Control コン ポーネントを特定し、エンフォーサをネット ワークに配置するための計画を立てます。 p.856 の 「Microsoft DHCP サーバー用 Integrated Enforcer のシステム必要条 件」 を参照してください。 p.857 の 「Microsoft DHCP サーバー用 Integrated Enforcer のコンポーネント」 を 参照してください。 手順 2 Symantec Endpoint Protection Manager ネットワークのエンフォーサをサポートする をインストールする。 ために使うアプリケーションをインストール します。 手順 3 Microsoft DHCP サーバー用 Symantec Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Network Access Control Integrated Enforcer をインストールする。 Enforcer のコンポーネントをインストール します。 p.861 の 「Microsoft DHCP サーバー用 Integrated Enforcer のインストール」 を参 照してください。 Microsoft DHCP サーバー用 Integrated Enforcer のシ ステム必要条件 表 46-2 は、Microsoft DHCP サーバー用の統合エンフォーサをインストールするコン ピュータの最小必要条件の概略を示します。 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer のコンポーネント 表 46-2 Microsoft DHCP サーバー用統合エンフォーサのシステム必要条件 コンポーネント 必要条件 ハードウェア ユーザーが10,000 人未満の場合のインストールでは、次の推奨 される必要条件を使います。 ■ Pentium III 750 MHz ■ 256 MB のメモリ ■ 120 MB のディスク容量 ■ 高速イーサネットアダプタ ■ TCP/IP がインストールされた 1 つの NIC(Network Interface Card) ユーザーが 10,000 人以上の場合のインストールでは、次の推奨 される必要条件を使います。 オペレーティングシステム ■ Pentium 4 2.4 GHz ■ 512 MB のメモリ ■ 512 MB のディスク容量 ■ 1 GB ネットワークアダプタ ■ 256 色(最低値)の 800 x 600 解像度ディスプレイ ■ TCP/IP がインストールされた 1 つの NIC(Network Interface Card) この統合エンフォーサでは、Microsoft DHCP サーバーと次の 32 ビットオペレーティングシステムがインストールされている必要があ ります。 ■ Windows Server 2000 Service Pack 4 ■ Windows Server 2003 Service Pack ■ Windows Server 2003 Service Pack 1 ■ Windows Server 2003 x64 ■ Windows Server 2008 ■ Windows Server 2008 x64 ■ Windows Server 2008 R2 Microsoft DHCP サーバー用 Integrated Enforcer のコ ンポーネント Microsoft DHCP サーバー用 Integrated Enforcer は Microsoft DHCP サーバー、 Symantec Endpoint Protection Manager、Symantec Network Access Control クラ イアントと連携して作動します。これは、ネットワークに接続しようとするクライアントが、設 定されたセキュリティポリシーに準拠していることを確認します。 857 858 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer の配置の必要条件 表 46-3 に、Microsoft DHCP サーバー用 Integrated Enforcer を使うために必要なコ ンポーネントを示します。 表 46-3 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のコンポーネント コンポーネント 説明 Symantec Endpoint Protection Manager 集中管理する場所でセキュリティポリシーを作成し、ク ライアントに割り当てます。 Symantec Network Access Control クラ Microsoft DHCP サーバー用 Integrated Enforcer イアント が提供するセキュリティポリシーをエンフォースしてエ ンドユーザーを保護します。 Microsoft DHCP サーバー クライアントに DHCP アドレスを提供します。 Microsoft DHCP サーバー用 Integrated クライアントを認証し、セキュリティポリシーを強制しま Enforcer(DHCP サービスと同じコンピュー す。 タにインストール) Microsoft DHCP サーバー用 Integrated Enforcer の配 置の必要条件 図 46-1 は、Microsoft DHCP サーバー用 Integrated Enforcer、Microsoft DHCP サー バー、Symantec Endpoint Protection Manager、および内部クライアントやリモートク ライアントをネットワークに配置する方法を示します。 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer の配置の必要条件 図 46-1 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の配置 Symantec Endpoint Protection Manager クライアント リレー エージェント 企業バックボーン 保護サーバー ハブ/スイッチ Integrated Enforcer がインストール された DHCP サーバー 859 860 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer のインストールを開始する方法 Microsoft DHCP サーバー用 Integrated Enforcer のイ ンストールを開始する方法 このマニュアルでは、Microsoft DHCP サーバー用 Integrated Enforcer をインストー ルし、設定して使用する方法について説明します。初めに、次のタスクを実行します。 Microsoft DHCP サーバー用 Integrated Enforcer をインストールす るための処理 表 46-4 手順 処理 説明 手順 1 Symantec Network Access Control のイ Microsoft DHCP サーバー用 Integrated ンストールコンポーネントを見つけます。 Enforcer のインストールに必要なコンポー ネントを説明します。 p.857 の 「Microsoft DHCP サーバー用 Integrated Enforcer のコンポーネント」 を 参照してください。 手順 2 必須のハードウェアを入手します。 Microsoft DHCP サーバー用 Integrated Enforcer のハードウェア要件をリストしま す。 p.856 の 「Microsoft DHCP サーバー用 Integrated Enforcer のシステム必要条 件」 を参照してください。 手順 3 必須のオペレーティングシステムを入手し Microsoft DHCP サーバー用 Integrated ます。 Enforcer のオペレーティングシステム要件 をリストします。 手順 4 ネットワーク上に Microsoft DHCP サー バー用 Integrated Enforcer を配置しま す。 Microsoft DHCP サーバー用 Integrated Enforcer を配置するネットワーク環境内の 場所を説明します。 p.858 の 「Microsoft DHCP サーバー用 Integrated Enforcer の配置の必要条件」 を参照してください。 手順 5 Microsoft DHCP サーバー用 Integrated Microsoft DHCP サーバー用 Integrated Enforcer をインストールします。 Enforcer のインストール方法を説明しま す。 p.861 の 「Microsoft DHCP サーバー用 Integrated Enforcer のインストール」 を参 照してください。 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer のインストール 手順 処理 説明 手順 6 Microsoft DHCP サーバー用 Integrated エンフォーサコンソールで Microsoft Enforcer を設定します。 DHCP サーバー用 Integrated Enforcer の接続とオプションを設定する方法を説明 します。 p.867 の 「エンフォーサコンソールでの統合 エンフォーサの設定について」 を参照して ください。 Microsoft DHCP サーバー用 Integrated Enforcer のイ ンストール DHCP サービスと一緒に Microsoft Windows サーバーオペレーティングシステムをす でにインストールしてあるコンピュータに、Microsoft DHCP サーバー用 Integrated Enforcer をインストールする必要があります。管理者または管理者グループのユーザー としてログオンする必要があります。 メモ: Microsoft DHCP サーバーをインストールした後、Microsoft DHCP サーバー用 Integrated Enforcer を設定する必要があります。これを設定すると、Microsoft DHCP サーバー用 Integrated Enforcer から Symantec Endpoint Protection Manager に 接続できるようになります。 ウィザードを使って Microsoft DHCP サーバー用 Integrated Enforcer をインストールす るには 1 製品ディスクを挿入します。 インストールが自動的に開始しない場合、次のどちらかをダブルクリックします。 ■ IntegratedEnforcerInstaller86.exe(x86 OS 用) ■ IntegratedEnforcerInstaller64.exe(x64 OS 用) 次のメッセージが表示された場合は、インストールを終了し、DHCP サーバーをイン ストールする必要があります。 このコンピュータの DHCP サーバーがなければなりません この製品をインストールするため。DHCP サーバーをインストールするため、 コントロールパネルでは、追加を使いますか、または Windows を削除してください コンポーネントのウィザード。 861 862 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer のインストール DHCP サーバーがすでにインストールされている場合は、[Welcome to Symantec Integrated Enforcer Installation Wizard]と表示されます。 2 [ようこそ]パネルで、[次へ]をクリックします。 3 [使用許諾契約]パネルで、[I accept the license agreement]をクリックします。 4 [次へ]をクリックします。 5 [インストール先フォルダ]パネルで、次のいずれかのタスクを実行します。 6 ■ デフォルトのコピー先フォルダを使う場合は、[次へ]をクリックします。 ■ [参照]をクリックしコピー先フォルダを見つけて選択した後、[OK]、[次へ]の順 にクリックします。 [Role Selection]パネルが表示されたら、[DHCP Enforcement for Microsoft DHCP Server]を選択して[次へ]をクリックします。 [Role Selection]パネルは、サーバーで実行されているサービスに基づいて複数 の種類の Symantec Network Access Control Integrated Enforcer をインストー ル可能な場合のみ表示されます。 7 [Ready to Install the Application]パネルで、[次へ]をクリックします。 8 DHCP サーバーを再起動するかどうかを確認するメッセージが表示されたら、次の タスクの 1 つを実行します。 ■ DHCP サーバーをすぐに再起動するには、[はい]をクリックします。 ■ DHCP サーバーを後で手動で再起動するには、[いいえ]をクリックします。 DHCP サーバーを後で再起動する場合は、サーバーを停止してから開始する 必要があります。 DHCP サーバーを再起動しなければ、Symantec Integrated Enforcer は機能しま せん。 p.864 の 「Microsoft DHCP サーバーの手動での停止と開始」 を参照してください。 9 [完了]をクリックします。 統合エンフォーサを再インストールする必要がある場合、最初にそれをアンインス トールする必要があります。 p.863 の 「Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のアンインストール」 を参照してください。 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer のインストール コマンドラインを使って Microsoft DHCP サーバー用 Integrated Enforcer をインストー ルするには 1 コマンドラインからのインストールを始めるには、DOS コマンドプロンプトを開きます。 コマンドラインからのインストール処理は、デフォルト設定のみを使います。 2 コマンドラインで、統合エンフォーサのインストーラが配置されているディレクトリを指 定します。 デフォルトのインストール場所は次のどちらかです。 ■ C:¥Program Files¥Symantec¥Symantec Endpoint Protection¥Integrated Enforcer(x86 OS の場合) ■ C:¥Program Files (x86)¥Symantec¥Symantec Endpoint Protection¥Integrated Enforcer(x64 OS の場合) 3 コマンドラインで IntegratedEnforcerInstaller86.exe /qr(x86 OS の場合) または IntegratedEnforcerInstaller64.exe /qr(x64 OS の場合)と入力し、 Enter と入力します。 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のアンインストール Windows のタスクバーまたはコマンドラインから Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer をアンインストールできます。 Microsoft DHCP サーバー用 Integrated Enforcer をアンインストールするには 1 Windows のタスクバーで、[スタート]、[コントロールパネル]、[プログラムと機能] の順にクリックします。 2 [Symantec NAC Integrated Enforcer]をクリックし、次に[削除]をクリックします。 3 ソフトウェアを削除するかどうかを確認するメッセージが表示されたら、[はい]をクリッ クします。 4 DHCP サーバーを再起動するかどうかを確認するメッセージが表示されたら、次の タスクの 1 つを実行します。 ■ DHCP サーバーをすぐに再起動するには、[はい]をクリックします。 ■ DHCP サーバーを後で手動で再起動するには(デフォルト)、[いいえ]をクリック します。 DHCP サーバーを後で再起動する場合は、 サーバーを停止してから開始する必要があります。 Symantec Integrated Enforcer のアンインストールを完了するには、DHCP サーバーを再起動する必要があります。 863 864 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer のインストール コマンドラインを使って Microsoft DHCP サーバー用 Integrated Enforcer をアンインス トールするには 1 DOS のコマンドプロンプトを開きます。 2 コマンドプロンプトで、次のように入力します。 misexec.exe /qn /X <ファイル名>このファイル名は Program Files¥Common Files¥Wise Installation Wizard の下にあるものにしてください。 Microsoft DHCP サーバー用 Integrated Enforcer のアップグレード 次の手順は、Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer にアップグレードする方法を詳述したものです。 Microsoft DHCP サーバー用 Integrated Enforcer のアップグレード 手順 表 46-5 手順 操作 説明 手順 1 古いバージョンをアンインストールします。 既存のバージョンの統合エンフォーサをア ンインストールします。 p.863 の 「Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のアンインストール」 を参照してください。 手順 2 新しいバージョンをインストールします。 新しいバージョンの統合エンフォーサをイ ンストールします。 p.861 の 「Microsoft DHCP サーバー用 Integrated Enforcer のインストール」 を参 照してください。 メモ: 移行はサポートされません。古いバージョンをアンインストールし、新しいバージョン をインストールする必要があります。 Microsoft DHCP サーバーの手動での停止と開始 新しいバージョンの Microsoft DHCP サーバー用 Integrated Enforcer にアップグレー ドする前に、Microsoft DHCP サーバーを手動で停止します。アップグレードを完了した ら、サーバーを再起動します。 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer のインストール Microsoft DHCP サーバーを手動で開始および停止するには 1 Windows のスタートメニューで、[コントロールパネル]、[管理ツール]、[サービス] の順にクリックします。 2 [DHCP サーバー]を右クリックして[停止]をクリックします。 3 [開始]をクリックします。 865 866 第 46 章 Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer のインストール Microsoft DHCP サーバー用 Integrated Enforcer のインストール 47 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 この章では以下の項目について説明しています。 ■ エンフォーサコンソールでの統合エンフォーサの設定について ■ Microsoft DHCP サーバー用 Integrated Enforcer と Symantec Endpoint Protection Manager 間の通信の確立または変更 ■ 自動検疫の設定 ■ Symantec Endpoint Protection Manager 接続の編集 ■ Symantec Endpoint Protection Manager の統合エンフォーサの通信の設定 ■ 信頼できる製造元リストの設定 ■ エンフォーサコンソールでのエンフォーサログの表示 ■ 統合エンフォーサと管理サーバー間の通信サービスの停止と開始 ■ セキュアサブネットマスクの設定 ■ DHCP スコープ例外の作成 エンフォーサコンソールでの統合エンフォーサの設定に ついて Symantec Network Access Control のインストールを完了した後に、設定の 2 つの段 階があります。最初に、統合エンフォーサコンソールでオプションを設定します。次に、 868 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 エンフォーサコンソールでの統合エンフォーサの設定について Symantec Endpoint Protection Manager に移動し、統合エンフォーサが属するグルー プの設定に必要な変更を加えます。 表 47-1 に、これらのタスクの概要を示します。 エンフォーサコンソールの設定の概略 表 47-1 手順 処理 説明 手順 1 Microsoft DHCP サーバー用 Integrated 統合エンフォーサコンソールを使用して、 Enforcer と管理サーバー間の接続を確立 Microsoft DHCP サーバー用統合エン します。 フォーサと Symantec Endpoint Protection Manager 間の接続を設定しま す。 p.870 の 「Microsoft DHCP サーバー用 Integrated Enforcer と Symantec Endpoint Protection Manager 間の通信 の確立または変更」 を参照してください。 手順 2 検疫設定を用いて DHCP サーバーを設定 2 つの方法のどちらかを使って修復のため します。 の検疫ユーザークラスを設定します。 p.872 の 「自動検疫の設定」 を参照してく ださい。 手順 3 DHCP サービスを再起動します。 手動で DHCP サーバーの DHCP サービ スを停止し、起動します。 p.864 の 「Microsoft DHCP サーバーの手 動での停止と開始」 を参照してください。 手順 4 省略可能なオプションとして、統合エン フォーサの基本設定を変更します。 統合エンフォーサまたは統合エンフォーサ のグループ、または統合エンフォーサの IP アドレスかホスト名の説明を追加、編集しま す。 p.882 の 「Symantec Network Access Control Integrated Enforcer の基本設 定」 を参照してください。 手順 5 Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager に統合エンフォーサを接続します。 がインストールされているサーバーに統合 エンフォーサを接続します。 p.884 の 「Symantec Endpoint Protection Manager への Symantec Network Access Control Integrated Enforcer の 接続」 を参照してください。 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 エンフォーサコンソールでの統合エンフォーサの設定について 手順 処理 説明 手順 6 必要に応じて、Symantec Endpoint Symantec Endpoint Protection のサー Protection Manager への接続を更新しま バーアドレスとポートへの接続情報を必要 す。 に応じて更新します。 p.874 の 「Symantec Endpoint Protection Manager 接続の編集」 を参照してくださ い。 手順 7 必要に応じて、信頼できる製造元リストを設 プリンタまたは IP 電話などのネットワーク 定します。 上のデバイスの信頼できる製造元リストを 設定します。これらは統合エンフォーサで 認証する必要のないデバイスです。 p.875 の 「信頼できる製造元リストの設定」 を参照してください。 手順 8 省略可能なオプションとして、ログを表示す エンフォーサコンソールまたは Symantec る場所を設定します。 Endpoint Protection Manager に表示さ れるようにログを設定します。 p.876 の 「エンフォーサコンソールでのエン フォーサログの表示」 を参照してください。 p.894 の 「Symantec Network Access Control Integrated Enforcer のログ記録 の設定」 を参照してください。 手順 9 省略可能なオプションとして、ネットワーク の認証を設定します。 クライアント、サーバー、デバイスの認証方 法を設定します。 p.890 の 「認証セッション中のチャレンジパ ケットの最大数の指定」 を参照してくださ い。 p.891 の 「クライアントに送信されるチャレン ジパケットの頻度の指定」 を参照してくださ い。 p.891 の 「非認証クライアントのログ記録の 継続をすべてのクライアントで許可する」 を 参照してください。 p.892 の 「Windows 以外のクライアントに 認証なしでネットワークへの接続を許可す る」 を参照してください。 p.886 の 「認証なしで信頼できるホストとし てネットワークに接続するためのサーバー、 クライアント、デバイスの有効化」 を参照し てください。 869 870 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 Microsoft DHCP サーバー用 Integrated Enforcer と Symantec Endpoint Protection Manager 間の通信の確立または変 更 手順 処理 説明 手順 10 省略可能なオプションとして、クライアント が最新のポリシーを実行していることを確 認します。 クライアントから受信したポリシーのシリア ル番号と、Symantec Endpoint Protection Manager のポリシーのシリア ル番号を比較することによってクライアント が最新のポリシーを実行していることを確 認します。 Microsoft DHCP サーバー用 Integrated Enforcer と Symantec Endpoint Protection Manager 間の通信の 確立または変更 統合エンフォーサが接続できる Symantec Endpoint Protection Manager を指定する 必要があります。管理サーバーリストを設定した後で、暗号化パスワード、グループ名、通 信プロトコルを使って接続を設定する必要があります。暗号化パスワードは、以前は事前 共有キーと呼ばれていました。 統合エンフォーサは管理サーバーと接続した後で、自動的に自身を登録します。 p.638 の 「管理サーバーリストの設定」 を参照してください。 統合エンフォーサコンソールと Symantec Endpoint Protection Manager 間の通信を確 立するには 1 統合エンフォーサのコンピュータの Windows タスクバーで、[スタート]、[すべての プログラム]、[Symantec Endpoint Protection]、[Symantec NAC Integrated Enforcer]の順にクリックします。 Symantec Network Access Control Integrated Enforcer の設定コンソールが表 示されます。このメインページは統合エンフォーサと Symantec Endpoint Protection Manager 間の接続の状態を示します。緑色のライトは、統合エンフォーサが管理 サーバーにアクティブに接続していることを示します。赤色のライトは、接続が切断 されていることを示します。 2 左のパネルで、[Symantec Integrated Enforcer]、[設定]、[管理サーバー]の順 にクリックします。 3 [管理サーバー]ダイアログボックスで、[サーバーアドレス]テキストフィールドに Symantec Endpoint Protection Manager の IP アドレスか名前を入力します。 IP アドレス、ホスト名、またはドメイン名を入力できます。ホスト名かドメイン名を使う 場合は、名前がドメインネームサーバー(DNS サーバー)により正しく解決されること を確認してください。 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 Microsoft DHCP サーバー用 Integrated Enforcer と Symantec Endpoint Protection Manager 間の通信の確立または変 更 4 [管理サーバー]ダイアログボックスで、統合エンフォーサが Symantec Endpoint Protection Manager との通信に使うポート番号を編集します。 デフォルトのポート番号は HTTP プロトコルでは 8014、また HTTPS プロトコルでは 443 です。Symantec Endpoint Protection Manager と統合エンフォーサの HTTPS プロトコルの設定は、まったく同じにする必要があります。 5 [暗号化パスワード]テキストボックスに、接続用の Symantec Endpoint Protection Manager のパスワードを入力します。 Symantec Endpoint Protection Manager と統合エンフォーサは通信のために同 じ暗号化パスワードを使う必要があります。 アスタリスクの代わりに事前共有キーの英数字を表示するには、[Use Hash Value] にチェックマークを付けます。[Use Hash Value]にチェックマークが付いている場 合、暗号化パスワードは 32 文字にして、16 進数のみを使う必要があります。 6 [Preferred group]テキストボックスに、統合エンフォーサグループの名前を入力し ます。 グループ名を指定しない場合、Symantec Endpoint Protection Manager は、デ フォルト設定を使って Symantec Network Access Control Integrated Enforcer をデフォルトのエンフォーサグループに割り当てます。デフォルトのグループ名は I-DHCP です。ただし、Microsoft NAP サーバー用 Symantec Network Access Control Integrated Enforcer とアプライアンスベースのエンフォーサはそれぞれ別 のグループにする必要があります。 グループ設定は、[サーバー]ページの Symantec Endpoint Protection Manager コンソールで表示できます。 7 Symantec Network Access Control Integrated Enforcer が Symantec Endpoint Protection Manager との通信に使うプロトコルを指定します。[HTTP]または [HTTPS]を指定します。 Symantec Endpoint Protection Manager が SSL(Secure Sockets Layer)を実 行している場合のみ HTTPS プロトコルを使うことができます。 HTTPS を選択し、信頼できるサードパーティの認証局による管理サーバーの証明 書の検証を必要とする場合は、[HTTPS プロトコルを使うときに証明書を確認する] にチェックマークを付けます。 8 [保存]をクリックします。 統合エンフォーサが Symantec Endpoint Protection Manager に接続した後、 Symantec Endpoint Protection Manager コンソールで設定のほとんどを変更で きます。ただし、事前共有秘密または暗号化パスワードは統合エンフォーサと Symantec Endpoint Protection Manager の通信のために、両者で同じである必 要があります。 871 872 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 自動検疫の設定 自動検疫の設定 ネットワークに接続することを試みるクライアントは DHCP サーバーに DHCP 要求を送信 します。 許可された IP アドレスに基づいて Symantec Network Access Control Integrated Enforcer に検疫設定を実行させることも、検疫ユーザークラスを設定して DHCP サー バー内のサブネットごとにリソースを追加することもできます。統合エンフォーサは、準拠 していないクライアントや不明なクライアントから送信されるすべての DHCP メッセージに 検疫ユーザークラスを追加します。また、クライアントによる DHCP サーバーへの要求を 更新します。信頼できるクライアントはすぐに通常の IP アドレスが割り当てられ、検疫され ません。不明または信頼できないクライアントは検疫され、認証されます。認証が成功す れば更新されて通常の IP アドレスが割り当てられます。 アクセスは、Symantec Endpoint Protection Manager で定義されるホストインテグリティ ポリシーとグループ設定に基づいています。 認証が失敗した場合でも、検疫済みのコンピュータにアクセスを許可したい IP アドレスの リストを入力します。 Symantec Network Access Control Integrated Enforcer の自動検疫を設定するには 1 統合エンフォーサのコンピュータの Windows タスクバーで、[スタート]、[すべての プログラム]、[Symantec Endpoint Protection]、[Symantec NAC Integrated Enforcer]の順にクリックします。 2 左のパネルで、[Symantec Integrated Enforcer]、[Configure]、[Automatic Quarantine Configuration]の順にクリックします。 3 統合エンフォーサの[Automatic Quarantine Configuration]ページで、[Add] をクリックして IP アドレスリストの作成を始めます。 4 許可された IP アドレスを入力し、[OK]をクリックしてリストに IP アドレスを追加しま す。 5 [追加]を再びクリックして、IP アドレスのリストへの追加を続けます。 6 [編集]、[削除]、[すべてを削除]、[上に移動]、[下に移動]をクリックして、[IP ア ドレス]リストを修正します。 7 すべての IP アドレスがリストに記載または修正されたら、ページの一番下の[OK]を クリックして設定を保存します。 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 自動検疫の設定 DHCP サーバーで検疫設定を設定するには(高度で省略可能なタスク) 1 DHCP サーバーで、[スタート]、[管理ツール]、[DHCP]の順にクリックします。 検疫設定を用いて要求を更新するために、統合エンフォーサは準拠していないクラ イアントから送信される DHCP メッセージに検疫 DHCP ユーザークラスを動的に追 加します。検疫ユーザークラスは、SYGATE_ENF と呼ばれる ID を追加することによっ て定義しいます。次にユーザークラスに各種のリソースを割り当てます。これには、 IP アドレス、リース時間、DNS サーバー、および修復のための十分に静的な経路が 含まれます。 2 DHCP ダイアログボックスのツリーで、DHCP サーバーを右クリックし、[ユーザークラ スの定義]をクリックします。 3 [DHCP ユーザークラス]ダイアログボックスで、[追加]をクリックします。 4 [新しいクラス]ダイアログボックスで、検疫設定としてこの検疫ユーザークラスを識別 する表示名と、省略可能な説明を入力します。 たとえば、QUARANTINE のような検疫ユーザークラスを識別できます。 5 新しいユーザークラスを定義するには、[ASCII]列をクリックし、SYGATE_ENF と 大文字で入力します。 6 [OK]をクリックします。 7 [閉じる]をクリックします。 DHCP サーバーの範囲オプションを設定するには(高度で省略可能なタスク) 1 ツリーで、[サーバーオプション]を右クリックします。 2 [オプションの構成...]をクリックします。 3 [全般]タブで、[003 ルーター]にチェックマークを付け、DHCP リレークライアントと 関連付けられるルーターの IP アドレスを設定します。 4 [拡張]タブの[ベンダクラス]ドロップダウンリストで、[DHCP 標準オプション]をクリッ クします。 5 [拡張]タブの[ユーザークラス]ドロップダウンリストで、[QUARANTINE]をクリックし ます。 6 [003 ルーター]にチェックマークを付けます。 7 [IP アドレス]フィールドに、127.0.0.1(推奨)と入力します。ただし、どのルーター IP を検疫済みクライアントに割り当てるかは管理者の決定によります。 8 [051 リース]にチェックマークを付けます。 9 秒単位のリース時間を 16 進値で入力します。 たとえば、2 分は 0x78 と入力します。 873 874 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 Symantec Endpoint Protection Manager 接続の編集 10 [OK]をクリックします。 11 [ファイル]、[終了]の順に選択します。 Symantec Endpoint Protection Manager 接続の編集 必要に応じて Symantec Endpoint Protection Manager の IP アドレスとポート情報を 更新できます。 Symantec Endpoint Protection Manager 接続を編集するには 1 エンフォーサコンピュータの Windows タスクバーで、[スタート]、[すべてのプログ ラム]、[Symantec Endpoint Protection]、[Symantec Integrated Enforcer]の 順にクリックします。 2 左のパネルで、[Symantec Integrated Enforcer]を展開します。 3 [設定]を展開します。 4 [管理サーバー]をクリックします。 5 [管理サーバー]パネルで、管理サーバーリストの右側のアイコンの列から[編集]を クリックします。 6 [管理サーバーの追加/編集]ダイアログボックスで、[サーバーアドレス]テキストフィー ルドに Symantec Endpoint Protection Manager の IP アドレスか名前を入力しま す。 IP アドレス、ホスト名、またはドメイン名を入力できます。ホスト名かドメイン名を使う 場合、Symantec Network Access Control Integrated Enforcer は DNS サーバー に接続する必要があります。 7 [OK]をクリックします。 Symantec Endpoint Protection Manager の統合エン フォーサの通信の設定 Symantec Network Access Control Integrated Enforcer の設定には、2 段階の処理 があります。最初に、統合エンフォーサコンソールから統合エンフォーサを設定します。2 番目に、Symantec Endpoint Protection Manager からエンフォーサと管理サーバー 間の通信を完全に設定して設定タスクを完了します。設定は、次のハートビートの間に管 理サーバーから統合エンフォーサに自動的にダウンロードされます。 p.867 の 「エンフォーサコンソールでの統合エンフォーサの設定について」 を参照してく ださい。 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 信頼できる製造元リストの設定 Symantec Endpoint Protection Manager で統合エンフォーサの通信を設定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、統合エンフォーサがメンバーであるエンフォーサのグループを 選択します。 4 設定を変更する必要がある統合エンフォーサを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [設定]ダイアログボックスで、設定を変更します。 [設定]ダイアログボックスには、設定の次のカテゴリのタブがあります。 全般 エンフォーサグループの名前、エンフォーサグループの説明、管 理サーバーリストのための設定。 p.882 の 「Symantec Network Access Control Integrated Enforcer の基本設定」 を参照してください。 認証 クライアントの認証処理に影響する各パラメータの設定。 p.888 の 「Symantec Network Access Control Integrated Enforcer の認証設定」 を参照してください。 拡張 認証タイムアウトパラメータと DHCP メッセージのタイムアウトの設 定: これらのオプションは表示されますが、現在は、Symantec Network Access Control Integrated Enforcer 設定に利用で きません。 統合エンフォーサが認証なしで接続を許可する、信頼できるホス トの MAC アドレスの設定(省略可能)。 ローカル認証のための設定。 p.885 の 「Symantec Network Access Control Integrated Enforcer の拡張設定」 を参照してください。 ログの設定 サーバーログ、クライアント活動ログ、およびログファイルパラメー タの指定のための設定。 p.894 の 「Symantec Network Access Control Integrated Enforcer のログ記録の設定」 を参照してください。 信頼できる製造元リストの設定 プリンタや IP 電話など、一部のネットワークデバイスにはクライアントをインストールできま せん。インストールできるようにするには、信頼できる製造元リストを設定します。製造元 の名前が信頼できると見なされた場合、Symantec Network Access Control Integrated 875 876 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 エンフォーサコンソールでのエンフォーサログの表示 Enforcer はデバイスの認証を省略します。デバイスは DHCP サーバーから通常の IP ア ドレスを取得します。 信頼できる製造元リストを設定するには 1 統合エンフォーサのコンピュータの Windows タスクバーで、[スタート]、[すべての プログラム]、[Symantec Endpoint Protection]、[Symantec NAC Integrated Enforcer]の順にクリックします。 2 左のパネルで、[Symantec Integrated Enforcer]、[Configure]、[DHCP Trusted Vendors Configuration]の順にクリックします。 3 信頼できる製造元リストを有効にするには、[Turn on Trusted Vendors]にチェック マークを付けます。 [Turn on Trusted Vendors]ボックスにチェックマークが付いていると、選択した信 頼できる製造元からの DHCP トラフィックに対してホストインテグリティが適用されま せん。 4 信頼できる製造元に設定する製造元を選択します。 5 [保存]をクリックします。 エンフォーサコンソールでのエンフォーサログの表示 Symantec Network Access Control Integrated Enforcer は、エンフォーサクライアン トログとエンフォーサシステムログに自動的にメッセージをログ記録します。これらのエン フォーサログは Symantec Endpoint Protection Manager にアップロードされます。ク ライアントログは、統合エンフォーサとの接続と通信についてのクライアントの情報を提供 します。システムログは、エンフォーササービスの開始と停止のインスタンスなど、統合エ ンフォーサ自体に関連する情報を記録します。 Symantec Endpoint Protection Manager では、統合エンフォーサのログ記録を有効 または無効にしたり、ログファイルパラメータを設定したりできます。すべてのログはデフォ ルトで有効になり、Symantec Endpoint Protection Manager に送信されます。 エンフォーサコンソールでエンフォーサログを表示するには 1 左ペインで、[Symantec NAC Integrated Enforcer]を展開します。 2 [View Logs]を展開し、[System Log]をクリックするか、または[Client Log]をクリッ クします。 3 前回ログを開いたときから追加された変更を表示するには、[Refresh]をクリックしま す。 4 [OK]をクリックします。 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 統合エンフォーサと管理サーバー間の通信サービスの停止と開始 統合エンフォーサと管理サーバー間の通信サービスの 停止と開始 トラブルシューティングのために、エンフォーササービスや Symantec Endpoint Protection Manager と通信するサービス(SNACLink.exe)を停止したり開始したりでき ます。エンフォーササービスを停止した場合、統合エンフォーサは既存のクライアントの ためのコンプライアンス情報を削除します。また、新しいクライアントの情報の収集も停止 します。ただし、Symantec Endpoint Protection Manager との通信は続けます。 Symantec Endpoint Protection Manager が利用不能な場合でも、統合エンフォーサ はすべての認証済みクライアントのためにポリシーバージョンと GUID を実施します。同 じ処理は、Symantec Endpoint Protection Manager との接続を停止した場合も実行 されます。この情報は、ローカルキャッシュに格納されます(キャッシュが有効なときのみ)。 自動的に新しいクライアントを(それらのホストインテグリティ状態に基づいて)認証します が、GUID とポリシーの確認は行いません。 Symantec Endpoint Protection Manager への通信が再確立されるとすぐに、統合エ ンフォーサはポリシーのバージョンを更新します。また、接続が解除された後で追加され たクライアントを認証します。 メモ: Symantec Endpoint Protection Manager との接続が利用不能な間に、新しいク ライアントを認証するのではなく検疫するように、Symantec Network Access Control Integrated Enforcer を設定できます。Windows のレジストリの DetectEnableUidCache キーのデフォルト値を変更することにより、これを実行します。 統合エンフォーサを停止しても DHCP サーバーは停止しません。統合エンフォーサが停 止した場合、DHCP サーバーはエンフォーサがインストールされなかったかのように機能 します。DHCP サーバーが利用不能になった場合、統合エンフォーサは新しいクライア ントについてのコンプライアンス状態の収集を中止します。ただし、既存のクライアントと の通信は続行し、状態の変更をログに記録し続けます。DHCP サーバーは、保守やその 他の問題のために利用不能になることがあります。 統合エンフォーサと管理サーバー間の通信サービスを停止または開始するには 1 Symantec Network Access Control Integrated Enforcer を起動します。 2 [Symantec NAC Integrated Enforcer]をクリックします。 3 エンフォーササービス(IntegratedEnf.exe)や Symantec Endpoint Protection Manager と通信するサービス(SNACLink.exe)を停止したり開始したりできます。 次のタスクの 1 つまたは両方を実行します。 ■ エンフォーササービスグループのフィールドで、[Stop]をクリックします。 このオプションはエンフォーササービスを停止します。 877 878 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 セキュアサブネットマスクの設定 ■ 管理サーバー通信サービスグループのフィールドで、[Stop]をクリックします。 このオプションは Symantec Endpoint Protection Manager に接続するエン フォーササービスを停止します。 状態が「停止」に設定されている場合は、サービスは動作していません。 4 どちらかのサービスを再起動するには、[Start]をクリックします。 Symantec Network Access Control Integrated Enforcer が接続するコンピュー タをオフにするか、または再起動した場合、エンフォーササービスはコンピュータが 再起動すると自動的に再開します。 サーバー通信サービスが停止し、続いて再開された場合、Symantec Network Access Control Integrated Enforcer はそれが最後に接続していた Symantec Endpoint Protection Manager に接続することを試みます。その Symantec Endpoint Protection Manager が利用不能な場合は、統合エンフォーサは管理 サーバーリストにある最初の管理サーバーに接続します。 セキュアサブネットマスクの設定 ユーザーは統合エンフォーサの[拡張設定]設定ページで、検疫されたクライアントに対 してセキュアサブネットマスクを設定できます。 セキュアサブネットマスクを設定するには 1 [拡張設定]設定ページで、オプションの[検疫クライアントにセキュアサブネットマス ク(255.255.255.255) を使う]にチェックマークを付けるか、チェックマークをはずして 設定を消去します。設定を消去すると、通常の DHCP サブネットマスクが使われま す。 2 [OK]をクリックして設定を保存します。 メモ: セキュアサブネットマスク(255.255.255.255)オプションは Microsoft DHCP サー バー用 Symantec Network Access Control Integrated Enforcer でのみ利用可能で す。オプションがオンになっている場合、検疫されたクライアントに対して 255.255.255.255 が使われます。オフになっている場合、現在のスコープに対するデ フォルトのサブネットマスクが使われます。 DHCP スコープ例外の作成 統合エンフォーサの拡張設定ページでは、検疫をバイパスするためのサブネットマスクを 操作できます。インストール時のデフォルトの設定では、すべての DHCP スコープに検疫 がエンフォースされます。 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 DHCP スコープ例外の作成 検疫からの除外に対するサブネットを選択するには 1 [拡張設定]設定ページで、[検疫クライアントにセキュアサブネットマスク (255.255.255.255)を使う]オプションにチェックマークを付けます。 2 [Select scopes to be enforced]で、除外する IP アドレス範囲をクリックしてチェッ クマークをはずします。チェックマークが付いている DHCP スコープに属する IP ア ドレスはエンフォースされます。 DHCP スコープを変更してスコープを除外しても(クリックして IP アドレス範囲のチェッ クマークをはずす)、クライアントにすでに割り当てられている IP アドレスはエンフォー スされます。エンフォースメントを解除するには、IP アドレスを解放して更新します。 メモ: エンフォーサをインストールした後で新しいスコープを作成または追加した場 合、新しいスコープは、[拡張設定]設定ページのユーザーインターフェースで選択 されるまでエンフォースされません。 3 設定が完了したら、[OK]をクリックして設定を保存します。 879 880 第 47 章 エンフォーサコンソールでの Symantec Integrated Enforcer の設定 DHCP スコープ例外の作成 48 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定について ■ Symantec Network Access Control Integrated Enforcer の基本設定 ■ Symantec Network Access Control Integrated Enforcer の拡張設定 ■ Symantec Network Access Control Integrated Enforcer の認証設定 ■ Symantec Network Access Control Integrated Enforcer のログ記録の設定 882 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定について Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定について ネットワーク環境で Microsoft DHCP サーバー用の Symantec Integrated Enforcer を サポートする場合は、DHCP サーバーを設定して実行しておく必要があります。ほとんど の設定は、エンフォーサコンソールで行います。インストールした後は、Symantec Endpoint Protection Manager から次の設定を行うことができます。 ■ 設定(基本と拡張の両方) p.882 の 「Symantec Network Access Control Integrated Enforcer の基本設定」 を参照してください。 p.885 の 「Symantec Network Access Control Integrated Enforcer の拡張設定」 を参照してください。 ■ 認証 p.888 の 「Symantec Network Access Control Integrated Enforcer の認証設定」 を参照してください。 ■ ログ p.894 の 「Symantec Network Access Control Integrated Enforcer のログ記録の 設定」 を参照してください。 Symantec Network Access Control Integrated Enforcer の基本設定 Symantec Endpoint Protection Manager で、Symantec Network Access Control Integrated Enforcer または統合エンフォーサグループの説明を追加または編集できま す。また、統合エンフォーサコンソールでもそれらを追加または編集できます。 p.883 の 「Symantec Network Access Control Integrated Enforcer を含むエンフォー サグループの説明の追加または編集」 を参照してください。 p.883 の 「Symantec Network Access Control Integrated Enforcer の説明の追加ま たは編集」 を参照してください。 ただし、Symantec Endpoint Protection Manager コンソールでは、統合エンフォーサ グループの名前の追加および編集を行うことはできません。Symantec Endpoint Protection Manager コンソールで統合エンフォーサの IP アドレスまたはホスト名の追 加および編集を行うことはできません。その代わりに、エンフォーサコンソールでこれらの タスクを実行する必要があります。 p.883 の 「Symantec Network Access Control Integrated Enforcer のエンフォーサグ ループの名前の追加または編集」 を参照してください。 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の基本設定 Symantec Endpoint Protection Manager に統合エンフォーサを接続する必要があり ます。 p.884 の 「Symantec Endpoint Protection Manager への Symantec Network Access Control Integrated Enforcer の接続」 を参照してください。 Symantec Network Access Control Integrated Enforcer のエンフォーサ グループの名前の追加または編集 統合エンフォーサがメンバーであるエンフォーサグループの名前を追加または編集でき ます。これらのタスクは、インストールの間にエンフォーサコンソールで実行します。後で エンフォーサグループの名前を変更する場合は、エンフォーサコンソールで実行できま す。 p.870 の 「Microsoft DHCP サーバー用 Integrated Enforcer と Symantec Endpoint Protection Manager 間の通信の確立または変更」 を参照してください。 グループのすべてのエンフォーサは同じ設定を共有します。 Symantec Network Access Control Integrated Enforcer を含むエンフォー サグループの説明の追加または編集 Symantec Network Access Control Integrated Enforcer がメンバーであるエンフォー サグループの説明を追加または編集できます。統合エンフォーサコンソールの代わりに Symantec Endpoint Protection Manager コンソールでこのタスクを実行できます。 Symantec Network Access Control Integrated Enforcer を含むエンフォーサグループ の説明を追加または編集するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、説明を追加または編集するエンフォーサグループを選択し、展 開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[全般]タブで、[説明]フィールドのエンフォーサグルー プの説明を追加または編集します。 6 [OK]をクリックします。 Symantec Network Access Control Integrated Enforcer の説明の追加 または編集 Symantec Network Access Control Integrated Enforcer の説明を追加または編集で きます。統合エンフォーサコンソールの代わりに Symantec Endpoint Protection 883 884 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の基本設定 Manager コンソールでこのタスクを実行できます。このタスクを完了すると、[管理サー バー]ペインの[説明]フィールドに説明が表示されます。 Symantec Network Access Control Integrated Enforcer の説明を追加または編集す るには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 説明を追加または編集する統合エンフォーサを含むエンフォーサグループを選択 して展開します。 4 説明を追加または編集する統合エンフォーサを選択します。 5 [タスク]の下で、[エンフォーサプロパティの編集]をクリックします。 6 [エンフォーサのプロパティ]ダイアログボックスの[説明]フィールドで、統合エンフォー サの説明を追加または編集します。 7 [OK]をクリックします。 Symantec Endpoint Protection Manager への Symantec Network Access Control Integrated Enforcer の接続 エンフォーサは、Symantec Endpoint Protection Manager がインストールされている サーバーに接続できる必要があります。管理サーバーには、クライアント、管理サーバー、 統合エンフォーサなどのオプションのエンフォーサ間のトラフィックの管理に役立つファイ ルが含まれています。このファイルは管理サーバーリストと呼ばれます。 管理サーバーリストは、どの Symantec Endpoint Protection Manager に統合エンフォー サを接続するかを指定します。また、管理サーバーがエラーの場合に、どの Symantec Endpoint Protection に統合エンフォーサを接続するかを指定します。 デフォルト管理サーバーリストは、初期インストールの間に各サイトで自動的に作成され ます。そのサイトで利用可能なすべての管理サーバーは、デフォルト管理サーバーリスト に自動的に追加されます。 デフォルト管理サーバーリストには、統合エンフォーサが初期インストールの後で接続で きる管理サーバーの IP アドレスかホスト名が含まれます。エンフォーサを配備する前に、 カスタム管理サーバーリストを作成する場合もあります。カスタム管理サーバーリストを作 成する場合、統合エンフォーサが管理サーバーに接続できる優先度を指定できます。 統合エンフォーサを接続する管理サーバーの IP アドレスかホスト名を含む、特定の管理 サーバーリストを選択できます。サイトに管理サーバーが 1 つしかない場合、デフォルト の管理サーバーリストを選択できます。 p.638 の 「管理サーバーリストの設定」 を参照してください。 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の拡張設定 Symantec Network Access Control Integrated Enforcer の管理サーバーリストを選択 するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループは、管理サーバーリストの IP アドレスかホスト名を変更する統 合エンフォーサを含んでいる必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの、[全般]タブの[通信]の下で、この統合エンフォーサで 使う管理サーバーリストを選択します。 6 [全般]タブの[通信]の下で、[選択]をクリックします。 すべての利用可能な管理サーバーの IP アドレスとホスト名、およびそれらの管理 サーバーに割り当てられた優先度を表示できます。 7 [管理サーバーリスト]ダイアログボックスで、[閉じる]をクリックします。 8 [全般]ダイアログボックスで[OK]をクリックします。 Symantec Network Access Control Integrated Enforcer の拡張設定 次の統合エンフォーサの拡張設定を設定できます。 ■ タイムアウトパラメータ、認証タイムアウト、DHCP メッセージタイムアウト これらのオプションは表示されますが、現在は Symantec Network Access Control Integrated Enforcer 設定に利用できません。 ■ 統合エンフォーサが認証なしで通常の DHCP サーバーに接続することを許可する信 頼できるホストの MAC アドレス ■ ローカル認証を有効にする ■ Symantec Endpoint Protection Manager の健全性状態 これらの設定を適用すると、次のハートビートの間に選択された Symantec Network Access Control Integrated Enforcer に変更が送信されます。 p.886 の 「認証なしで信頼できるホストとしてネットワークに接続するためのサーバー、クラ イアント、デバイスの有効化」 を参照してください。 p.887 の 「統合エンフォーサのローカル認証を有効にする」 を参照してください。 885 886 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の拡張設定 認証なしで信頼できるホストとしてネットワークに接続するためのサー バー、クライアント、デバイスの有効化 信頼できるホストは通常、Windows 以外のサーバーのようにクライアントソフトウェアをイ ンストールできないサーバー、またはプリンタなどのデバイスです。統合エンフォーサが Symantec Endpoint Protection クライアントまたは Symantec Network Access Control クライアントを実行していないクライアントを認証できないので、Windows 以外のクライア ントを信頼できるホストとして識別する場合もあります。 信頼できるホストとして特定のサーバー、クライアント、デバイスを指定するために MAC アドレスを使うことができます。 信頼できるホストとしてサーバー、クライアント、デバイスを指定すると、統合エンフォーサ は信頼できるホストを認証せずに、それらのホストからのすべての DHCP メッセージを渡 します。 認証なしで信頼できるホストとしてネットワークに接続するためにサーバー、クライアン ト、デバイスを有効にするには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、エンフォーサのグループを選択し、展開します。 4 信頼できるホストとして指定されたサーバー、クライアント、デバイスに、認証なしで ネットワークへの接続を許可する統合エンフォーサを選択します。 5 [タスク]の下で、[グループプロパティの編集]をクリックします。 6 [設定]ダイアログボックスの[拡張]タブで、[MAC アドレス]の隣の[追加]をクリック します。 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の拡張設定 7 [信頼できるホストの追加]ダイアログボックスで、[ホスト MAC アドレス]フィールドに クライアントまたは信頼できるホストの MAC アドレスを入力します。 MAC アドレスを指定するとき、右側のすべての 3 つのフィールドにワイルドカードを 使うことができます。 たとえば、11-22-23-*-*-* はワイルドカードの正しい使い方です。ただし、 11-22-33-44-*-66 はワイルドカードの正しい使い方ではありません。 テキストファイルから MAC アドレスのセットをコピーすることもできます。 メモ: インポートでサポートされる形式は、1 つの MAC アドレスと、MAC アドレスとマ スクです。 MAC アドレスをインポートするには、[インポート]をクリックします。[MAC アドレスを ファイルからインポート]ダイアログボックスでファイルを指定します。 MAC アドレスをエクスポートするには、いくつかの MAC アドレスをハイライトし、[エ クスポート]をクリックします。[MAC アドレスをファイルにエクスポート]ダイアログボッ クスでファイルを指定します。 8 [OK]をクリックします。 統合エンフォーサのローカル認証を有効にする ローカル認証が有効になっていると、統合エンフォーサは Symantec Endpoint Protection Manager がインストールされているクライアントとの接続を消失した場合、クライアントを ローカルで認証します。この場合、統合エンフォーサはクライアントを有効なユーザーと みなし、クライアントのホストインテグリティの状態のみを検査します。 メモ: 統合エンフォーサが Symantec Endpoint Protection Manager との接続を消失し ていない場合、ローカル認証が有効か無効かにかかわらず、管理サーバーにクライアン トの GUID を検証するように常に依頼します。 統合エンフォーサのローカル認証を有効にするには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、統合エンフォーサのグループを選択し、展開します。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[拡張]タブで、[ローカル認証を有効にする]にチェック マークを付けます。 6 [OK]をクリックします。 887 888 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の認証設定 Symantec Network Access Control Integrated Enforcer の認証設定 統合エンフォーサの認証セッションのために、いくつもの認証設定を指定できます。これ らの変更を適用すると、次のハートビートの間に選択された統合エンフォーサに変更が 自動的に送信されます。 認証設定の使用について ネットワークをより安全に保護するために、いくつかの認証設定を実装する場合がありま す。 表 48-1 で、[認証]タブのオプションについて詳しく説明します。 表 48-1 オプション Symantec Network Access Control Integrated Enforcer の認証設定 説明 認証セッションあたりのパケット 統合エンフォーサが各認証セッションで送信するチャレンジパケッ の最大数 トの最大数。 デフォルト値は 15 です。 p.890 の 「認証セッション中のチャレンジパケットの最大数の指定」 を参照してください。 認証セッションのパケット送信間 エンフォーサが送信する各チャレンジパケット間の間隔(秒単位)。 隔 デフォルト値は 4 秒です。 p.891 の 「クライアントに送信されるチャレンジパケットの頻度の指 定」 を参照してください。 すべてのクライアントを許可する このオプションを有効にすると、エンフォーサは、クライアントを実 が、認証状況をログに記録する 行していることを確認して、すべてのユーザーを認証します。次 に、検疫のネットワーク設定ではなく通常の設定を受信する要求 を転送してチェックの合否を確認します。 デフォルトでは、この設定は有効になっていません。 p.891 の 「非認証クライアントのログ記録の継続をすべてのクライ アントで許可する」 を参照してください。 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の認証設定 オプション 説明 Windows 以外の OS のすべて このオプションが有効の場合、統合エンフォーサはクライアントの のクライアントを許可する オペレーティングシステムを調べます。次に統合エンフォーサは、 Windows オペレーティングシステムを実行していないすべての クライアントが認証なしで通常のネットワーク設定を受信すること を許可します。このオプションを有効にしない場合、クライアント は検疫のネットワーク設定を受信します。 デフォルトでは、この設定は有効になっていません。 p.892 の 「Windows 以外のクライアントに認証なしでネットワーク への接続を許可する」 を参照してください。 クライアントがネットワークに入る このオプションが有効の場合、統合エンフォーサはクライアントが のを許可する前にクライアントポ 管理サーバーから最新のセキュリティポリシーを受信したこと検 リシーのシリアル番号を調べる 証します。ポリシーのシリアル番号が最新でない場合、統合エン フォーサはセキュリティポリシーを更新するようにクライアントに通 知します。次に、クライアントは検疫のネットワーク設定を受信す る要求を転送します。 このオプションが有効ではないときに、ホストインテグリティ検査に 成功した場合、統合エンフォーサは統合要求を転送し、通常の ネットワーク設定を受信します。統合エンフォーサは、クライアン トに最新のセキュリティポリシーがない場合でも統合要求を転送 します。 デフォルトでは、この設定は有効になっていません。 p.893 の 「クライアントでの Symantec Network Access Control Integrated Enforcer によるポリシーシリアル番号の検査」 を参 照してください。 認証セッションについて クライアントが内部ネットワークにアクセスしようとすると、Symantec Network Access Control Integrated Enforcer は最初にクライアントが Symantec Endpoint Protection クライアントを実行しているかどうかを検出します。クライアントソフトウェアを実行している 場合、エンフォーサは DHCP サーバーにクライアント DHCP メッセージを転送し、短い リース期間の検疫 IP アドレスを入手します。この処理は、認証処理のために統合エン フォーサによって内部的に使われます。 統合エンフォーサは、次にクライアントを使って認証セッションを始めます。認証セッショ ンは、統合エンフォーサがクライアントに送る一連のチャレンジパケットです。 認証セッション中に、エンフォーサは指定の頻度でクライアントにチャレンジパケットを送 ります。デフォルト設定は 3 秒ごとです。 統合エンフォーサは、次の条件が満たされるまでパケットを送信し続けます。 889 890 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の認証設定 ■ 統合エンフォーサがクライアントからレスポンスを受信する ■ 統合エンフォーサが指定された最大数のパケットを送信する デフォルト設定は 15 です。 頻度 (4 秒) にパケット数 (15) を掛け算した値が、エンフォーサのハートビートのために使 われる値です。ハートビートとは、新しい認証セッションを開始する前に、統合エンフォー サがクライアントに接続の維持を許可する間隔です。デフォルト設定は 4 秒です。 クライアントは、以下の項目を含む情報を統合エンフォーサに送信します。 ■ Globally Unique Identifier(GUID) ■ 現在のプロファイルのシリアル番号 ■ ホストインテグリティ検査の結果 統合エンフォーサは、クライアント GUID とポリシーシリアル番号を Symantec Endpoint Protection Manager と照合して検証します。クライアントが最新のセキュリティポリシー に更新されている場合、ポリシーシリアル番号は統合エンフォーサが管理サーバーから 受信するものと一致します。ホストインテグリティ検査の結果は、クライアントが現在のセ キュリティポリシーに準拠しているかどうかを示します。 ハートビート間隔の経過後、またはクライアントが IP アドレスを更新しようとしたときはいつ でも、統合エンフォーサは新しい認証セッションを開始します。クライアントは内部ネット ワークへの接続を保持するために応答する必要があります。 統合エンフォーサは応答しないクライアントを切断します。 以前は認証されたが、現在は認証に失敗したクライアントについて、統合エンフォーサは クライアントに関する内部の状態を更新します。統合エンフォーサは次に、クライアントが IP アドレスを更新することを要求するチャレンジパケットをクライアントに送信します。クラ イアントが DHCP の「renew」要求を送信すると、統合エンフォーサはそのクライアントに 検疫 IP アドレスを割り当てます。 認証セッション中のチャレンジパケットの最大数の指定 認証セッション中に、統合エンフォーサは指定の頻度でクライアントにチャレンジパケット を送ります。 統合エンフォーサは次の条件が満たされるまでパケットを送信し続けます。 ■ 統合エンフォーサがクライアントからレスポンスを受信する ■ 統合エンフォーサが指定された最大数のパケットを送信する 認証セッションのチャレンジパケットの最大数のデフォルト設定は 15 です。 認証セッション中のチャレンジパケットの最大数を指定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の認証設定 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループは、認証セッション中のチャレンジパケットの最大数を指定す る統合エンフォーサを含んでいる必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [認証]タブで、[認証セッションあたりのパケットの最大数]フィールドに認証セッショ ン中に許可するチャレンジパケットの最大数を入力します。 6 [設定]ダイアログボックスの[認証]タブで、[OK]をクリックします。 クライアントに送信されるチャレンジパケットの頻度の指定 認証セッション中に、統合エンフォーサは指定の頻度でクライアントにチャレンジパケット を送ります。 統合エンフォーサは次の条件が満たされるまでパケットを送信し続けます。 ■ 統合エンフォーサがクライアントからレスポンスを受信する ■ 統合エンフォーサが指定された最大数のパケットを送信する デフォルト設定は 4 秒ごとです。 クライアントにチャレンジパケットが送信される頻度を指定するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループは、クライアントに送信されるチャレンジパケットの頻度を指定 する統合エンフォーサを含む必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [認証]タブの[認証パラメータ]の下で、クライアントに送信されるチャレンジパケット の頻度を[認証セッションのパケット送信間隔]フィールドに入力します。 6 [設定]ダイアログボックスの[認証]タブで、[OK]をクリックします。 非認証クライアントのログ記録の継続をすべてのクライアントで許可する すべてのクライアントソフトウェアを配備するには時間がかかることがあります。すべての ユーザーへのクライアントパッケージの配布が終了するまで、すべてのクライアントがネッ トワークに接続することを許可するように統合エンフォーサを設定することができます。こ れらのユーザーはすべて、この統合エンフォーサの場所で DHCP サーバーに接続しま す。 統合エンフォーサは、この間もユーザーがクライアントを実行しているかを確認し、ホスト インテグリティを検査し、結果をログに記録することによってすべてのユーザーを承認しま 891 892 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の認証設定 す。この処理は、ホストインテグリティ検査が成功するか失敗するかに関係なく実行されま す。 デフォルトでは、この設定は有効になっていません。 設定を適用するときは、次のガイドラインを参考にしてください。 ■ この設定はネットワークの安全性を低下させるので、一時的な処置にしてください。 ■ この設定が有効である間、エンフォーサログを確認することができます。その場所で ネットワークへの接続を試みるクライアントの種類を確認できます。 たとえば、クライアント活動ログを見て、クライアントの中でクライアントソフトウェアをイ ンストールしていないものがあるかどうかを確認できます。その後、このオプションを無 効にする前に、これらのクライアントにクライアントソフトウェアがインストールされたこと を確認できます。 非認証クライアントのログ記録の継続をすべてのクライアントで許可するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [サーバー]の下で、エンフォーサのグループを選択し、展開します。 エンフォーサグループは、非認証クライアントのログ記録を続行しながらすべてのク ライアントを許可する統合エンフォーサを含む必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[認証]タブで、[すべてのクライアントを許可するが、認 証状況をログに記録する]にチェックマークを付けます。 6 [設定]ダイアログボックスの[認証]タブで、[OK]をクリックします。 Windows 以外のクライアントに認証なしでネットワークへの接続を許可 する 統合エンフォーサは、Windows 以外のオペレーティングシステムをサポートするクライア ントを認証できません。したがって、Windows 以外のクライアントは、認証なしでネットワー クに接続することを特別に許可されなければネットワークに接続できません。 デフォルトでは、この設定は有効になっていません。 次の方法の 1 つを使って、Windows 以外のプラットフォームをサポートするクライアント がネットワークに接続することを許可できます。 ■ 信頼できるホストとして Windows 以外の各クライアントを指定する ■ Windows 以外の OS のすべてのクライアントを許可する 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer の認証設定 Windows 以外のクライアントに認証なしでネットワークへの接続を許可するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループは、Windows 以外のすべてのクライアントにネットワークに接 続することを許可する統合エンフォーサを含む必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[認証]タブで、[Windows 以外の OS のすべてのクラ イアントを許可する]にチェックマークを付けます。 6 [OK]をクリックします。 クライアントでの Symantec Network Access Control Integrated Enforcer によるポリシーシリアル番号の検査 Symantec Endpoint Protection Manager は、クライアントのセキュリティポリシーが変 更されるたびにクライアントポリシーのシリアル番号を更新します。クライアントが Symantec Endpoint Protection Manager に接続すると、クライアントは最新のセキュリティポリシー と最新のポリシーのシリアル番号を受信します。 クライアントが統合エンフォーサを介してネットワークへの接続を試みるとき、統合エン フォーサは Symantec Endpoint Protection Manager からポリシーシリアル番号を取得 します。次に統合エンフォーサは、クライアントから受信する番号とそのポリシーシリアル 番号を比較します。ポリシーシリアル番号が一致する場合、統合エンフォーサはクライア ントが最新のセキュリティポリシーを実行していることを確認したことになります。 デフォルトでは、この設定は有効ではありません。 次のガイドラインが適用されます。 ■ [クライアントがネットワークに入るのを許可する前にクライアントポリシーのシリアル番 号を調べる]オプションにチェックマークを付けた場合、通常の DHCP サーバーを介 してネットワークに接続する前に、クライアントに最新のセキュリティポリシーがなけれ ばなりません。クライアントに最新のセキュリティポリシーがない場合、クライアントは最 新のポリシーをダウンロードするように通知されます。次に統合エンフォーサは、DHCP 要求を転送し、検疫用のネットワーク設定を受信します。 ■ [クライアントがネットワークに入るのを許可する前にクライアントポリシーのシリアル番 号を調べる]オプションにチェックマークを付けていない場合に、ホストインテグリティ 検査が成功すると、クライアントはネットワークに接続できます。クライアントはセキュリ ティポリシーが最新でなくても、通常の DHCP サーバーを介して接続できます。 893 894 第 48 章 Symantec Endpoint Protection Manager での Microsoft DHCP サーバー用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Network Access Control Integrated Enforcer のログ記録の設定 クライアントで Symantec Network Access Control Integrated Enforcer がポリシーシ リアル番号を検査するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [管理]ページで、[サーバー]をクリックします。 3 エンフォーサのグループを選択し、展開します。 エンフォーサグループは、クライアントのポリシーシリアル番号を調べる統合エン フォーサを含む必要があります。 4 [タスク]の下で、[グループプロパティの編集]をクリックします。 5 [設定]ダイアログボックスの[認証]タブで、[クライアントがネットワークに入るのを許 可する前にクライアントポリシーのシリアル番号を調べる]にチェックマークを付けま す。 6 [OK]をクリックします。 Symantec Network Access Control Integrated Enforcer のログ記録の設定 Symantec Network Access Control Integrated Enforcer のログは Symantec Network Access Control Integrated Enforcer をインストールしたコンピュータに格納されます。 エンフォーサログはデフォルトで生成されます。 Symantec Endpoint Protection Manager コンソールでエンフォーサログを表示する場 合、Symantec Endpoint Protection Manager コンソールでログの送信を有効にする 必要があります。このオプションが有効の場合、ログデータは統合エンフォーサから Symantec Endpoint Protection Manager に送られ、データベースに格納されます。 Symantec Endpoint Protection Manager コンソールで、統合エンフォーサのログ設定 を修正できます。サイトのすべてのエンフォーサの活動は、同じエンフォーササーバーロ グに記録されます。 統合エンフォーサが生成する次のログについて設定できます。 ■ エンフォーササーバーログ エンフォーササーバーログは、エンフォーサの機能に関係する情報を提供します。 ■ エンフォーサクライアントログ クライアントログは、統合エンフォーサと、ネットワークに接続することを試みたクライア ント間の対話についての情報を提供します。これには認証、失敗した認証、切断の情 報が含まれます。 49 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のイン ストール この章では以下の項目について説明しています。 ■ Microsoft Network Access Protection 用 Symantec Integrated Enforcer をイン ストールする前に ■ Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer をインストールするための処理 ■ Microsoft Network Access Protection 用 Integrated Enforcer のシステム要件 ■ Microsoft Network Access Protection 用 Symantec Integrated Enforcer のコン ポーネント ■ Microsoft Network Access Protection 用 Integrated Enforcer のインストール Microsoft Network Access Protection 用 Symantec Integrated Enforcer をインストールする前に Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインス トールを始める前に、次に示すインストールタスクと設定タスクを完了する必要があります。 ■ Symantec Endpoint Protection Manager のインストール 896 第 49 章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer をインストールするた めの処理 メモ: Network Access Protection 用 Symantec Integrated Enforcer をインストー ルする前に Symantec Endpoint Protection Manager をインストールすることが推 奨されます。Microsoft Network Access Protection 用 Symantec Integrated Enforcer が正しく作動するには、Symantec Endpoint Protection Manager を事 前にインストールする必要があります。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 ■ 次のコンポーネントをインストールするコンピュータの、ハードウェア要件とソフトウェア 必要条件を検証します。 ■ DHCP Server サービス ■ Network Access Protection Server サービス ■ ドメインコントローラ ■ Microsoft Network Access Protection 用 Symantec Integrated Enforcer p.899 の 「Microsoft Network Access Protection 用 Symantec Integrated Enforcer のコンポーネント」 を参照してください。 Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer をインス トールするための処理 表 49-1 に、Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer をインストールするための手順を示します。 第 49 章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール Microsoft Network Access Protection 用 Integrated Enforcer のシステム要件 Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer のインストールの概要 表 49-1 手順 処理 説明 手順 1 システム要件とインストール要件を確認す エンフォーサを実行するために入手する必 る。 要があるハードウェア、ソフトウェア、 Symantec Network Access Control コン ポーネントを特定し、エンフォーサをネット ワークに配置するための計画を立てます。 p.897 の 「Microsoft Network Access Protection 用 Integrated Enforcer のシ ステム要件」 を参照してください。 p.899 の 「Microsoft Network Access Protection 用 Symantec Integrated Enforcer のコンポーネント」 を参照してく ださい。 手順 2 Symantec Endpoint Protection Manager ネットワークのエンフォーサをサポートする をインストールする。 ために使うアプリケーションをインストール します。 p.85 の 「管理サーバーとコンソールのイン ストール」 を参照してください。 手順 3 Microsoft Network Access Protection Microsoft Network Access Protection 用 Symantec Network Access Control 用 Symantec Network Access Control Integrated Enforcer をインストールする。 Integrated Enforcer のコンポーネントを インストールします。 p.900 の 「Microsoft Network Access Protection 用 Integrated Enforcer のイ ンストール」 を参照してください。 Microsoft Network Access Protection 用 Integrated Enforcer のシステム要件 表 49-2 に、Microsoft Network Access Protection 用 Integrated Enforcer をインス トールするコンピュータの最小必要条件の概略を示します。 897 898 第 49 章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール Microsoft Network Access Protection 用 Integrated Enforcer のシステム要件 表 49-2 Microsoft Network Access Protection 用 Integrated Enforcer のシス テムの必要条件 コンポーネント 必要条件 ハードウェア メモ: ハードウェアの選択は、使う予定の NAP エンフォースメントの タイプの影響を受けます。次のガイドラインが適用されます。 ユーザーが10,000 人未満の場合のインストールでは、次の推奨さ れる必要条件を使います。 ■ Pentium III 750 MHz ■ 256 MB のメモリ ■ 120 MB のディスク容量 ■ 高速イーサネットアダプタ ■ TCP/IP がインストールされた 1 つの NIC(Network Interface Card) ユーザーが 10,000 人以上の場合のインストールでは、次の推奨 される必要条件を使います。 ■ Pentium 4 2.4 GHz ■ 512 MB のメモリ ■ 512 MB のディスク容量 ■ 1 GB ネットワークアダプタ ■ 256 色(最低値)の 800 x 600 解像度ディスプレイ ■ TCP/IP がインストールされた 1 つの NIC(Network Interface Card) 第 49 章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール Microsoft Network Access Protection 用 Symantec Integrated Enforcer のコンポーネント コンポーネント 必要条件 オペレーティングシステム 次のオペレーティングシステムおよびサービスがインストールされて いることを確認します。 ■ Windows Server 2008 Standard Edition Windows Server 2008 Enterprise Edition x86 と x64 バー ジョン ■ Windows 2008 R2 ■ 次のいずれかの設定を選択できます。 ■ DHCP エンフォースメントを使う予定がある場合には、 Windows Server 2008 DHCP サービス。 Windows Server 2008 DHCP サービスは、Windows Server 2008 Network Policy Server と同じコンピュータ上 に置いてください。 ■ 802.1x エンフォースメントを使う予定がある場合には、 Windows DHCP サービス。 Windows DHCP サービスは、Windows Server 2008 Network Policy Server と同じコンピュータ上にあります。 Windows 2008 DHCP サーバーまたは Windows 2003 DHCP サーバーとして設定した別のコンピュータ上の DHCP サービスを設定することもできます。 ■ Windows Server 2008 の Network Policy Server (NPS) サー ビス ■ Microsoft Network Access Protection 用 Symantec Integrated Enforcer のコンポーネント Microsoft Network Access Protection 用 Symantec Integrated Enforcer は、 Microsoft DHCP Server、Symantec Endpoint Protection Manager、Network Access Protection を有効にした Symantec Network Access Control クライアントと連携して動 作します。Microsoft Network Access Protection 用 Symantec Integrated Enforcer は、クライアントがネットワークに接続する前に、クライアントが設定されたセキュリティポリ シーに準拠していることを検証します。 Network Access Protection 用 Symantec Integrated Enforcer を使うには、次の必須 コンポーネントをインストールする必要があります。 Symantec Endpoint Protection Manager 集中管理する場所でセキュリティポリシーを作成し、ク バージョン 12.1 ライアントに割り当てるために必要です。 899 900 第 49 章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール Microsoft Network Access Protection 用 Integrated Enforcer のインストール DHCP Server サービスと Network Policy Server サービスを伴う Microsoft Windows Server のインス DHCP Server サービスと Network Policy トールが必要です。これら 2 つのサービスは、Network Server(NPS)サービスも、同じコンピュー Access Protection 用 Symantec Integrated タにインストールする必要があります Enforcer をインストールする前にインストールして設 定する必要があります。 Windows 2008 Server ドメインコントローラ ドメインコントローラは、Symantec Endpoint Protection Manager と同じコンピュータ、または Microsoft Windows Server 2003 をサポートする別 のコンピュータにインストールする必要があります。 Microsoft Network Access Protection 用 Symantec Integrated Enforcer クライアントを認証し、セキュリティポリシーを実施する ために必要です。 Symantec Network Access Control クラ Symantec Network Access Control クライアントのイ イアント ンストールが必要です。 Microsoft Network Access Protection 用 Integrated Enforcer のインストール Microsoft Network Policy Server をすでにインストールしてあるコンピュータに、 Microsoft Network Access Protection 用 Integrated Enforcer をインストールする必 要があります。管理者または管理者グループのユーザーとしてログオンする必要がありま す。 メモ: Symantec Integrated NAP Enforcer のインストール後に、Symantec Endpoint Protection Manager に接続する必要があります。 インストールウィザードを使って Microsoft Network Access Protection 用 Integrated Enforcer をインストールするには 1 Symantec Network Access Control の製品ディスクを DVD ドライブに挿入すると、 自動的にインストールが始まります。 インストールが自動的に開始しない場合、次のどちらかをダブルクリックします。 ■ IntegratedEnforcerInstaller86.exe(x86 OS 用) ■ IntegratedEnforcerInstaller64.exe(x64 OS 用) NPS サーバーがまだインストールされていない場合には、インストールを終了し、 NPS サーバーをインストールする必要があります。 第 49 章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール Microsoft Network Access Protection 用 Integrated Enforcer のインストール NAP Server サービスがすでにインストールされている場合は、[Welcome to Symantec Integrated NAP Enforcer Installation Wizard]と表示されます。 2 [ようこそ]パネルで、[次へ]をクリックします。 3 [使用許諾契約]パネルで、[I accept the license agreement]をクリックします。 4 [次へ]をクリックします。 5 [インストール先フォルダ]パネルで、次のいずれかのタスクを実行します。 ■ デフォルトのコピー先フォルダを使う場合は、[次へ]をクリックします。 デフォルトのインストール場所は次のどちらかです。 ■ C:¥Program Files¥Symantec¥Symantec Endpoint Protection¥Integrated Enforcer(x86 OS の場合) ■ C:¥Program Files (x86)¥Symantec¥Symantec Endpoint Protection¥Integrated Enforcer(x64 OS の場合) ■ 6 [参照]をクリックしコピー先フォルダを見つけて選択した後、[OK]、[次へ]の順 にクリックします。 [Role Selection]パネルが表示されたら、[NAP Enforcement]を選択して[次へ] をクリックします。 [Role Selection]パネルは、サーバーで実行されているサービスに基づいて複数 の種類の Symantec NAC Integrated Enforcer をインストール可能な場合のみ表 示されます。 7 [Ready to Install the Application]パネルで、[次へ]をクリックします。 以前の設定を修正する必要がある場合は、[戻る]をクリックします。 8 [完了]をクリックします。 Symantec Integrated NAP Enforcer を再インストールする必要がある場合、最初 にそれをアンインストールする必要があります。 9 スタートメニューで[プログラム]、[Symantec Endpoint Protection Manager]、 [Symantec NAC Integrated Enforcer]の順にクリックします。 Microsoft Network Access Protection 用 Integrated Enforcer のアンイ ンストール Windows のタスクバーまたはコマンドラインから Microsoft Network Access Protection 用 Integrated Enforcer をアンインストールできます。 901 902 第 49 章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール Microsoft Network Access Protection 用 Integrated Enforcer のインストール Microsoft Network Access Protection 用 Integrated Enforcer をアンインストールす るには 1 Windows のタスクバーで、[スタート]、[コントロールパネル]、[プログラムと機能] の順にクリックします。 2 [Symantec NAC Integrated Enforcer]をクリックし、次に[削除]をクリックします。 3 ソフトウェアを削除するかどうかを確認するメッセージが表示されたら、[はい]をクリッ クします。 4 NPS サーバーを再起動するかどうかを確認するメッセージが表示されたら、次のい ずれかを実行します。 ■ NPS サーバーをすぐに再起動するには、[はい]をクリックします。 ■ NPS サービスを後で手動で再開するには(デフォルト)、[いいえ]をクリックしま す。 NPS サービスを後で再開する場合は、サービスを停止してから開始する必要が あります。 Symantec Integrated Enforcer のアンインストールを完了するには、NPS サー ビスを再開する必要があります。 コマンドラインを使って Microsoft Network Access Protection 用 Integrated Enforcer をアンインストールするには 1 DOS のコマンドウィンドウを開きます。 2 コマンドプロンプトで、次のいずれかを入力します。 ■ MsiExec.exe /qn/X{A145EB45-0852-4E18-A9DC-9983A6AF2329}(x86 の 場合) ■ MsiExec.exe /qn/X{977BF644-A8FF-484f-8AF7-C1AF40F38DEA}(x64 の 場合) 3 NPS サーバーを再起動します。 Network Access Protection サーバーの手動での停止と開始 新しいバージョンの Microsoft Network Access Control 用 Integrated Enforcer に アップグレードする前に、NAP(Network Access Protection)サーバーを手動で停止し ます。アップグレードを完了したら、サーバーを再起動します。 NAP サーバーを手動で起動および停止するには 1 Windows のタスクバーで、[スタート]、[コントロールパネル]、[管理ツール]、[サー ビス]の順にクリックします。 2 [NAP サーバー]をクリックします。 第 49 章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール Microsoft Network Access Protection 用 Integrated Enforcer のインストール 3 右クリックし、[停止]をクリックします。 4 [開始]をクリックします。 903 904 第 49 章 Microsoft Network Access Protection 用 Symantec Integrated Enforcer のインストール Microsoft Network Access Protection 用 Integrated Enforcer のインストール 50 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 この章では以下の項目について説明しています。 ■ エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Integrated Enforcer の設定について ■ エンフォーサコンソールでの管理サーバーへの Microsoft Network Access Protection 用 Symantec Integrated Enforcer の接続 ■ Microsoft Network Access Protection 用 Symantec Integrated Enforcer と管理 サーバーとの間の通信の暗号化 ■ Microsoft Network Access Protection 用 Symantec Integrated Enforcer コン ソールでのエンフォーサグループ名の設定 ■ Microsoft Network Access Protection 用 Symantec Integrated Enforcer コン ソールでの HTTP 通信プロトコルの設定 906 第 50 章 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Integrated Enforcer の設定について エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Integrated Enforcer の設定 について Symantec Integrated NAP Enforcer のインストールを完了した後、Microsoft Network Access Protection 用 Symantec Integrated Enforcer が作動可能になる前に次のタ スクを実行する必要があります。 表 50-1 エンフォーサコンソールの設定の概略 手順 操作 説明 手順 1 Symantec Endpoint Protection Manager に統合エン Microsoft Network Access Protection 用 Symantec フォーサを接続します。 Integrated Enforcer が接続できる Symantec Endpoint Protection Manager を指定します。 管理サーバーリストと呼ばれるファイルに、Symantec Endpoint Protection Manager のホスト名または IP ア ドレスを加えます。Symantec NAC Integrated Enforcer は、Symantec Endpoint Protection Manager の IP ア ドレスまたはホスト名に接続する必要があります。こうしな いと、設定は失敗します。 p.907 の 「エンフォーサコンソールでの管理サーバーへ の Microsoft Network Access Protection 用 Symantec Integrated Enforcer の接続」 を参照してください。 手順 2 統合エンフォーサと管理サーバーの間の通信を暗号化 Symantec Endpoint Protection Manager のインストー します。 ル時に設定した暗号化パスワードまたは事前共有秘密 を追加します。 暗号化パスワードは、以前は事前共有キーと呼ばれてい ました。 p.909 の 「Microsoft Network Access Protection 用 Symantec Integrated Enforcer と管理サーバーとの間 の通信の暗号化」 を参照してください。 手順 3 エンフォーサグループに名前を付けます。 エンフォーサグループの名前を設定します。 p.910 の 「Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでのエン フォーサグループ名の設定」 を参照してください。 第 50 章 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 エンフォーサコンソールでの管理サーバーへの Microsoft Network Access Protection 用 Symantec Integrated Enforcer の接続 手順 操作 説明 手順 4 HTTP または HTTPS 通信プロトコルを設定します。 Microsoft Network Access Protection 用 Symantec Integrated Enforcer と Symantec Endpoint Protection Manager との間に HTTP または HTTPS の通信を確立 します。 p.911 の 「Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでの HTTP 通信プロトコルの設定」 を参照してください。 エンフォーサコンソールでの管理サーバーへの Microsoft Network Access Protection 用 Symantec Integrated Enforcer の接続 Network Access Protection Enforcer コンソールで Microsoft Network Access Protection 用 Symantec Integrated Enforcer(NAP Enforcer)を管理サーバーに接 続する必要があります。 統合エンフォーサコンソールと Symantec Endpoint Protection Manager 間の通信を確 立するには 1 統合エンフォーサのコンピュータの Windows タスクバーで、[スタート]、[すべての プログラム]、[Symantec Endpoint Protection]、[Symantec NAC Integrated Enforcer]の順にクリックします。 Symantec Network Access Control Integrated Enforcer の設定コンソールが表 示されます。このメインページは統合エンフォーサと Symantec Endpoint Protection Manager 間の接続の状態を示します。緑色のライトは、統合エンフォーサが管理 サーバーにアクティブに接続していることを示します。赤色のライトは、接続が切断 されていることを示します。 2 左のパネルで、[Symantec Integrated Enforcer]、[設定]、[管理サーバー]の順 にクリックします。 3 [管理サーバー]ダイアログボックスで、[サーバーアドレス]テキストフィールドに Symantec Endpoint Protection Manager の IP アドレスか名前を入力します。 IP アドレス、ホスト名、またはドメイン名を入力できます。ホスト名かドメイン名を使う 場合は、名前がドメインネームサーバー(DNS サーバー)により正しく解決されること を確認してください。 907 908 第 50 章 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 エンフォーサコンソールでの管理サーバーへの Microsoft Network Access Protection 用 Symantec Integrated Enforcer の接続 4 [管理サーバー]ダイアログボックスで、統合エンフォーサが Symantec Endpoint Protection Manager との通信に使うポート番号を編集します。 デフォルトのポート番号は HTTP プロトコルでは 8014、また HTTPS プロトコルでは 443 です。Symantec Endpoint Protection Manager で同様に設定されている場 合にのみ、HTTPS プロトコルを使えます。 5 [暗号化パスワード]テキストボックスに、接続用の Symantec Endpoint Protection Manager のパスワードを入力します。 Symantec Endpoint Protection Manager と統合エンフォーサは通信のために同 じ暗号化パスワードを使う必要があります。 アスタリスクの代わりに事前共有キーの英数字を表示するには、[Use Hash Value] にチェックマークを付けます。[Use Hash Value]にチェックマークが付いている場 合、暗号化パスワードは 32 文字にして、16 進数のみを使う必要があります。 6 [Preferred group]テキストボックスに、統合エンフォーサグループの名前を入力し ます。 グループ名を指定しない場合、Symantec Endpoint Protection Manager は、デ フォルト設定を使って Symantec Network Access Control Integrated Enforcer をデフォルトのエンフォーサグループに割り当てます。デフォルトのグループ名は I-DHCP です。ただし、Microsoft NAP サーバー用 Symantec Network Access Control Integrated Enforcer とアプライアンスベースのエンフォーサはそれぞれ別 のグループにする必要があります。 グループ設定は、[サーバー]ページの Symantec Endpoint Protection Manager コンソールで表示できます。 7 Symantec Network Access Control Integrated Enforcer が Symantec Endpoint Protection Manager との通信に使うプロトコルを指定します。[HTTP]または [HTTPS]を指定します。 Symantec Endpoint Protection Manager が SSL(Secure Sockets Layer)を実 行している場合のみ HTTPS プロトコルを使うことができます。 HTTPS を選択し、信頼できるサードパーティの認証局による管理サーバーの証明 書の検証を必要とする場合は、[HTTPS プロトコルを使うときに証明書を確認する] にチェックマークを付けます。 8 [保存]をクリックします。 統合エンフォーサが Symantec Endpoint Protection Manager に接続した後、 Symantec Endpoint Protection Manager コンソールで設定のほとんどを変更で きます。ただし、事前共有秘密または暗号化パスワードは統合エンフォーサと Symantec Endpoint Protection Manager の通信のために、両者で同じである必 要があります。 第 50 章 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 Microsoft Network Access Protection 用 Symantec Integrated Enforcer と管理サーバーとの間の通信の暗号化 Symantec Integrated NAP Enforcer コンソールで Symantec Endpoint Protection Manager を管理サーバーリストから削除するには 1 エンフォーサコンピュータの Windows タスクバーで、[スタート]、[すべてのプログ ラム]、[Symantec Endpoint Protection]、[Symantec Integrated NAP Enforcer] の順にクリックします。 2 左のパネルで、[Symantec NAP Enforcer]を展開します。 3 [設定]を展開します。 4 [管理サーバー]をクリックします。 5 Symantec Endpoint Protection Manager を削除するには、アイコンの列から[削 除]または[すべてを削除]をクリックします。 Microsoft Network Access Protection 用 Symantec Integrated Enforcer と管理サーバーとの間の通信の暗 号化 セキュリティをさらに強化したい場合、Symantec NAC Integrated Enforcer と Symantec Endpoint Protection Manager との間の通信を暗号化するという方法があります。暗号 化された通信では、HTTP プロトコルではなく HTTPS プロトコルを使用する必要がありま す。また、サードパーティ製の証明書を購入する必要があります。 通常は、Symantec Endpoint Protection Manager をはじめてインストールするときに、 暗号化されたパスワードを設定します。Symantec Integrated NAP Enforcer で同じパ スワードを設定する必要があります。暗号化パスワードが一致しない場合、Symantec Integrated NAP Enforcer と Symantec Endpoint Protection Manager との間の通信 は失敗します。 Symantec NAC Integrated Enforcer と管理サーバーとの間の接続を暗号化するには 1 エンフォーサコンピュータの Windows タスクバーで、[スタート]、[すべてのプログ ラム]、[Symantec Endpoint Protection]、[Symantec Integrated NAP Enforcer] の順にクリックします。 2 左のパネルで、[Symantec NAP Enforcer]を展開します。 3 [設定]を展開します。 4 [管理サーバー]をクリックします。 909 910 第 50 章 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでのエンフォーサグループ名の設定 5 Symantec Integrated NAP Enforcer コンソールの[Encryption password]テキ ストボックスに暗号化パスワードを入力します。 Symantec Integrated NAP Enforcer は、Symantec Endpoint Protection Manager との通信のために同じ暗号化パスワードを使う必要があります。暗号化パ スワードは、Symantec Endpoint Protection Manager のインストール時に必ず設 定されます。 6 [Use Hash Value]にチェックマークを付けます。[Use Hash Value]にチェックマー クが付いている場合、暗号化パスワードは 32 文字にして、16 進数のみを使う必要 があります。 暗号化パスワードの英数字がアスタリスクの代わりに表示されます。 7 [OK]をクリックします。 Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでのエンフォーサグルー プ名の設定 エンフォーサグループの名前を追加する必要があります。Symantec NAC Integrated Enforcer が Symantec Endpoint Protection Manager に接続した後、管理サーバー にエンフォーサグループの名前が自動的に登録されます。 Symantec NAC Integrated Enforcer コンソールでエンフォーサグループ名を設定する には 1 エンフォーサコンピュータの Windows タスクバーで、[スタート]、[すべてのプログ ラム]、[Symantec Endpoint Protection]、[Symantec Integrated NAP Enforcer] の順にクリックします。 2 左のパネルで、[Symantec NAP Enforcer]を展開します。 3 [設定]を展開します。 4 [管理サーバー]をクリックします。 5 右のパネルで、Symantec Integrated NAP Enforcer コンソールの[Preferred group]テキストボックスにエンフォーサグループの名前を入力します。 エンフォーサコンソールで統合エンフォーサグループの名前を追加しない場合は、 すべての統合エンフォーサが自動的に管理サーバーの Temporary グループのメ ンバーになります。エンフォーサコンソールで統合エンフォーサグループの名前を 追加した場合は、エンフォーサグループの名前が管理サーバーに自動的に登録さ れます。 6 [OK]をクリックします。 第 50 章 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでの HTTP 通信プロトコルの設定 Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでの HTTP 通信プロトコ ルの設定 Microsoft Network Access Protection 用 Symantec NAC Integrated Enforcer と Symantec Endpoint Protection Manager との間に通信プロトコルを確立する必要が あります。確立しなければ、Microsoft Network Access Protection 用 Symantec Integrated Enforcer と Symantec Endpoint Protection Manager との間の通信が失 敗します。 HTTP または HTTPS プロトコルを設定できます。HTTPS プロトコルを選択した場合は、 サードパーティ製の証明書を購入する必要があります。 Microsoft Network Access Protection 用 Symantec Integrated Enforcer で HTTP 通 信プロトコルを設定するには 1 エンフォーサコンピュータの Windows タスクバーで、[スタート]、[すべてのプログ ラム]、[Symantec Endpoint Protection]、[Symantec NAC Integrated Enforcer] の順にクリックします。 2 左のパネルで、[Symantec NAP Enforcer]を展開します。 3 [設定]を展開します。 4 [管理サーバー]をクリックします。 5 Symantec Integrated NAP Enforcer コンソールの右のパネルで[HTTP]をクリッ クします。 Symantec Integrated NAP Enforcer と Symantec Endpoint Protection Manager との間に暗号化された通信を設定する場合は、HTTPS プロトコルを使う必要があり ます。 6 HTTPS プロトコルを使っているために証明書を検証する必要がある場合は、[HTTPS プロトコルを使うときに証明書を確認する]にチェックマークを付けます。 7 [OK]をクリックします。 911 912 第 50 章 エンフォーサコンソールでの Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 Microsoft Network Access Protection 用 Symantec Integrated Enforcer コンソールでの HTTP 通信プロトコルの設定 51 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Integrated Enforcer の設定について ■ クライアントのための NAP エンフォースメントの有効化 ■ 管理サーバーがクライアントを管理することの検証 ■ セキュリティ健全性確認ポリシーの確認 ■ クライアントがホストインテグリティ検査に成功したことの検証 ■ Network Access Protection 用 Symantec NAC Integrated Enforcer のログ記録 の設定 914 第 51 章 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Integrated Enforcer の設定について Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Integrated Enforcer の設定について ネットワーク環境で Microsoft Network Access Protection 用 Symantec Integrated Enforcer をサポートする場合は、Symantec Endpoint Protection Manager で NAP のエンフォースメントを有効にする必要があります。こうしないと、エンフォーサが正しく機 能しません。 また、セキュリティ健全性確認ポリシーの必要条件のための 1 つ以上の基準を定義する 必要があります。たとえば、最新のセキュリティ健全性確認ポリシーが、クライアントにイン ストールされているかどうかを確認できます。最新のセキュリティ健全性確認ポリシーがイ ンストールされていない場合、クライアントは遮断され、ネットワークに接続できません。 Symantec Endpoint Protection Manager 設定の概略 表 51-1 手順 操作 説明 手順 1 クライアントのためにネットワークアクセス保 クライアントのためにネットワークアクセス保 護のエンフォースメントを有効にします。 護のエンフォースメントを有効にして、統合 エンフォーサがセキュリティ健全性検証ポ リシーを実行できるようにします。 p.915 の 「クライアントのための NAP エン フォースメントの有効化」 を参照してくださ い。 手順 2 必要に応じて、Symantec Endpoint Protection Manager が Symantec Network Access Control クライアントまた は Symantec Endpoint Protection クライ アントを管理していることを確認します。 管理サーバーが または Symantec Network Access Control クライアントまた は Symantec Endpoint Protection クライ アントを管理していることを確認するための 検証を設定します。 p.916 の 「管理サーバーがクライアントを管 理することの検証」 を参照してください。 手順 3 オプションで、最新のセキュリティの健全性 Symantec Network Access Control クラ 検証ポリシーがインストールされていること イアントと Symantec Endpoint Protection を確認します。 クライアントに最新のセキュリティ健全性検 証ポリシーがインストールされていることを 確認します。 p.916 の 「セキュリティ健全性確認ポリシー の確認」 を参照してください。 第 51 章 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 クライアントのための NAP エンフォースメントの有効化 手順 操作 説明 手順 4 オプションで、クライアントがホストインテグ クライアントがホストインテグリティポリシー リティ検査に成功することを確認します。 に準拠していることを確認します。 p.917 の 「クライアントがホストインテグリティ 検査に成功したことの検証」 を参照してく ださい。 手順 5 必要に応じて、Symantec Endpoint Symantec Endpoint Protection Manager Protection Manager でログを表示できる へのログデータの送信を有効にします。 ように設定します。 p.917 の 「Network Access Protection 用 Symantec NAC Integrated Enforcer の ログ記録の設定」 を参照してください。 クライアントのための NAP エンフォースメントの有効化 Symantec Endpoint Protection と Symantec Network Access Control クライアントの ために NAP(Network Access Protection)のエンフォースメントを有効にする必要があ ります。クライアントのために NAP のエンフォースメントを有効にしない場合、Microsoft Network Access Protection 用 Symantec Integrated Enforcer はセキュリティ健全性 確認ポリシーを実装できません。 クライアントのために NAP エンフォースメントを有効にするには 1 Symantec Endpoint Protection Manager コンソールで、[クライアント]をクリックし ます。 2 [クライアント]ページの[グループの表示]の下で、 NAP エンフォースメントを有効 にするグループを選択します。 3 [ポリシー]タブで、[全般の設定]をクリックします。 4 [設定]ダイアログボックスで、[セキュリティの設定]をクリックします。 5 [セキュリティの設定]タブの[クライアントのエンフォース]領域で、[NAP エンフォー スメントを有効にする]にチェックマークを付けます。 デフォルトでは、[NAP エンフォースメントを有効にする]設定は無効になっていま す。 6 [OK]をクリックします。 915 916 第 51 章 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 管理サーバーがクライアントを管理することの検証 管理サーバーがクライアントを管理することの検証 Symantec Endpoint Protection Manager が Symantec Endpoint Protection クライ アントまたは Symantec Network Access Control クライアントを管理していることを確認 するための検証を設定できます。 管理サーバーがクライアントを管理することを検証するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [表示]の下で、管理サーバーがクライアントを管理していること検証するエンフォー サグループを選択します。 4 エンフォーサグループを右クリックして、[プロパティの編集]を選択します。 5 [I-DHCP の設定]ダイアログボックスの[NAP の設定]タブの[クライアント情報]領 域で、[管理サーバーがクライアントを管理することを確認してください]にチェック マークを付けます。 [管理サーバーがクライアントを管理することを確認してください]設定は、デフォル トでは無効になっています。 6 [OK]をクリックします。 セキュリティ健全性確認ポリシーの確認 Symantec Endpoint Protection と Symantec Network Access Control クライアントが 最新のセキュリティ健全性確認ポリシーをインストールしていることを確認できます。 セキュリティ健全性確認ポリシーを確認するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [表示]の下で、セキュリティ健全性確認ポリシーを設定するグループを選択します。 4 エンフォーサグループを右クリックして、[プロパティの編集]を選択します。 5 [I-DHCP の設定]ダイアログボックスの[NAP の設定]タブの[クライアント情報]領 域で、[セキュリティ健全性確認ポリシーが最新であることを確認してください]にチェッ クマークを付けます。 [セキュリティ健全性確認ポリシーが最新であることを確認してください]設定は、デ フォルトでは無効になっています。 6 [OK]をクリックします。 第 51 章 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 クライアントがホストインテグリティ検査に成功したことの検証 クライアントがホストインテグリティ検査に成功したことの 検証 Symantec Endpoint Protection Manager でクライアントのコンプライアンス検査を設定 できます。 クライアントがホストインテグリティ検査に成功したことを検証するには 1 Symantec Endpoint Protection Manager コンソールで、[管理]をクリックします。 2 [サーバー]をクリックします。 3 [表示]の下で、クライアントがホストインテグリティ検査に成功したことを検証するエ ンフォーサグループを選択します。 4 エンフォーサグループを右クリックして、[プロパティの編集]を選択します。 5 [I-DHCP の設定]ダイアログボックスの[NAP の設定]タブの[ホストインテグリティ の状態]領域で、[クライアントのホストインテグリティ検査が成功することを確認して ください]にチェックマークを付けます。 [クライアントのホストインテグリティ検査が成功することを確認してください]設定は、 デフォルトでは無効になっています。 6 [OK]をクリックします。 Network Access Protection 用 Symantec NAC Integrated Enforcer のログ記録の設定 Symantec Integrated Network Access Protection(NAP)Enforcer のログは Symantec Integrated NAP Enforcer をインストールしたコンピュータに格納されます。エンフォー サログはデフォルトで生成されます。 Symantec Endpoint Protection Manager コンソールでエンフォーサログを表示する場 合、Symantec Endpoint Protection Manager コンソールでログの送信を有効にする 必要があります。このオプションが有効の場合、ログデータは Symantec Integrated NAP Enforcer から Symantec Endpoint Protection Manager に送られ、データベースに格 納されます。 Symantec Endpoint Protection Manager コンソールで、Symantec Integrated NAP Enforcer のログ設定を修正できます。サイトのすべてのエンフォーサの活動は、同じエ ンフォーササーバーログに記録されます。 Symantec Integrated NAP Enforcer が生成する次のログについて設定できます。 ■ エンフォーササーバーログ エンフォーササーバーログは、エンフォーサの機能に関係する情報を提供します。 ■ エンフォーサクライアントログ 917 918 第 51 章 Symantec Endpoint Protection Manager での Microsoft Network Access Protection 用 Symantec Network Access Control Integrated Enforcer の設定 Network Access Protection 用 Symantec NAC Integrated Enforcer のログ記録の設定 クライアントログは、統合エンフォーサと、ネットワークに接続することを試みたクライア ント間の対話についての情報を提供します。これには認証、失敗した認証、切断の情 報が含まれます。 52 Symantec Network Access Control On-Demand Client のための一時接続の設定 この章では以下の項目について説明しています。 ■ Symantec Network Access Control On-Demand Client について ■ ゲートウェイエンフォーサまたはエンフォーサのコンソールで Symantec Network Access Control On-Demand Client を設定する前に ■ Symantec Network Access Control DHCP Integrated Enforcer を使ったゲストア クセスチャレンジの設定 ■ Symantec Network Access Control On-Demand Client が一時的にネットワークに 接続できるようにする ■ Symantec Network Access Control On-Demand Client の無効化 ■ Symantec Network Access Control On-Demand Client のためのゲートウェイエン フォーサコンソールでの認証の設定 ■ ようこそページのバナーの編集 Symantec Network Access Control On-Demand Client について エンドユーザーは頻繁に、コンピュータが承認済みのソフトウェアを備えていないのに一 時的に企業ネットワークに接続する必要があります。企業ネットワークにゲートウェイエン フォーサアプライアンスが含まれている場合、エンフォーサは、コンピュータが準拠するよ 920 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 ゲートウェイエンフォーサまたはエンフォーサのコンソールで Symantec Network Access Control On-Demand Client を設定 する前に うに、オンデマンドクライアントをインストールできます。エンフォーサによってインストール されたオンデマンドクライアントは、ゲストとして企業ネットワークに一時的に接続します。 管理者は Windows と Mac プラットフォームの両方で、Symantec Network Access Control On-Demand Client を自動的にダウンロードするようゲートウェイエンフォーサ アプライアンスを設定できます。Symantec Network Access Control On-Demand Client がクライアントコンピュータにダウンロードされるとすぐ、そのクライアントは会社のネットワー クへの接続を試みることができます。 p.665 の 「オンデマンドクライアントでできること」 を参照してください。 p.660 の 「オンデマンドクライアントの動作」 を参照してください。 ゲートウェイエンフォーサまたはエンフォーサのコンソー ルで Symantec Network Access Control On-Demand Client を設定する前に Windows と Macintosh で Symantec Network Access Control On-Demand Client の自動ダウンロードを設定する前に、あらかじめ次のタスクを完了しておく必要がありま す。 ■ 製品のディスクで見つかる Symantec Network Access Control のソフトウェアをイ ンストールしました。 このソフトウェアはインストールする必要がある Symantec Endpoint Protection Manager のソフトウェアを含んでいます。 ■ Symantec Network Access Control ソフトウェアのインストール時に実装した、暗号 化パスワードの名前を書きとめる。 ■ ゲートウェイエンフォーサアプライアンスをインストールして設定する。 エンフォーサアプライアンスをはじめてインストールして設定するとき、インストールの 処理中にエンフォーサグループに名前が割り当てられます。またネットワークインター フェースカード (NIC) の設定と同様、IP アドレスとホスト名の割り当てを必ず計画する 必要があります。NIC が不正確に設定されている場合、インストールが失敗するか、 または予期しない動作をします。 エンフォーサグループの名前は各エンフォーサアプライアンスに関連付けされる Symantec Endpoint Protection Manager のコンソールの[サーバー]ペインに自 動的に表示されます。 また、DHCP 統合エンフォーサによるゲストアクセスも設定できます。 p.922 の 「Symantec Network Access Control DHCP Integrated Enforcer を使っ たゲストアクセスチャレンジの設定」 を参照してください。 ■ エンフォーサアプライアンスのコンソールで、エンフォーサアプライアンスと管理サー バーとの間の接続状態を確認する。 p.726 の 「エンフォーサコンソールでのエンフォーサアプライアンスの通信状態チェッ ク」 を参照してください。 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 ゲートウェイエンフォーサまたはエンフォーサのコンソールで Symantec Network Access Control On-Demand Client を設定 する前に p.1032 の 「show」 を参照してください。 ■ Symantec Endpoint Protection Manager のコンソールで HTTP リダイレクトまたは DNS 詐称を有効にする。 HTTP リダイレクトまたは DNS 詐称は、ゲートウェイエンフォーサアプライアンスにあ る内部 NIC(eth0)の IP アドレスです。 p.762 の 「Web ページへの HTTP 要求のリダイレクト」 を参照してください。 HTTP リダイレクトの場合、Symantec Endpoint Protection Manager の[管理]ペー ジの URL を追加します。[管理]ページを表示したら、[サーバー]ペインを表示し、 [サーバーの表示]でエンフォーサグループを選択する必要があります。ゲートウェイ エンフォーサがメンバーであるエンフォーサグループを選択する場合は、[タスク]で [グループプロパティの編集]をクリックします。[エンフォーサの設定]ダイアログボッ クスで[認証]タブを選択し、[HTTP リダイレクト URL]フィールドに URL を入力しま す。 ■ フルアクセス権を持つ My Company グループのサブグループとしてクライアントグ ループを作成する。 Symantec Endpoint Protection Manager の My Company グループのサブグルー プとして[クライアント]ページのクライアントグループを追加します。 Symantec Network Access Control On-Demand Client を管理するエンフォーサ のクライアントグループの名前を必ず書きとめておいてください。別のグループを作成 しない場合、Symantec Endpoint Protection Manager の Default グループが Symantec Network Access Control On-Demand Client の管理を引き継ぎます。 ■ Symantec Endpoint Protection Manager コンソールでエンフォーサのクライアント グループの別の場所をオプションで作成する。 Symantec Network Access Control On-Demand Client またはゲストクライアントを 管理するグループのための別の場所を作成しない場合、ゲストクライアントにはデフォ ルトの場所が自動的に割り当てられます。ベストプラクティスは Symantec Endpoint Protection Manager でエンフォーサのクライアントグループのための別の場所を作 成することです。もう 1 つのベストプラクティスは、Windows クライアントと Mac クライ アントには異なるグループを使うことです。これらのクライアントの機能は異なっていま す。たとえば、Windows のオンデマンドクライアントは、ポップアップメッセージを表 示するように設定できます。Mac クライアントでは設定できせん。 場所の基準を使用すると、IP アドレス、MAC アドレス、ホスト名、またはその他の基準 によって Symantec Network Access Control On-Demand Client またはゲストクラ イアントを識別できる基準を定義できます。正しいクレデンシャルなしでネットワークに 一時的に接続したい場合、ベストプラクティスはすべての Symantec Network Access Control On-Demand Client またはゲストクライアントが自動的に割り当てられる別の 場所を作成することです。 Symantec Endpoint Protection Manager の[クライアント]ページの[タスク]で、エ ンフォーサのクライアントグループに場所を追加し、割り当てることができます。 ■ Symantec Endpoint Protection Manager コンソールで、エンフォーサのクライアン トグループと場所にホストインテグリティポリシーをオプションで追加し、割り当てる。 921 922 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control DHCP Integrated Enforcer を使ったゲストアクセスチャレンジの設定 Symantec Endpoint Protection Manager コンソールでエンフォーサのクライアント グループと場所にホストインテグリティポリシーを追加し、割り当てることは省略可能で すが、ベストプラクティスは次の基準を指定することです。 ■ ホストインテグリティ検査が実行される頻度 ■ 実装するホストインテグリティポリシーの種類 エンフォーサのクライアントグループに省略可能なホストインテグリティポリシーを追加 し、割り当てるには、Symantec Endpoint Protection Manager の[ポリシー]ページ の[タスク]を使います。 ■ Windows クライアント用のポップアップメッセージをオプションで有効にする。これは Symantec Endpoint Protection Manager コンソールで設定します。 ■ Symantec Endpoint Protection Manager コンソールに表示されるドメインの ID 番 号を取得する。 on-demand spm-domain コマンドを使ってゲートウェイエンフォーサまたは DHCP エンフォーサでドメイン ID を設定する必要が生じることがあるので、ドメイン ID は手 近に用意しておいてください。 p.926 の 「Symantec Network Access Control On-Demand Client が一時的にネッ トワークに接続できるようにする」 を参照してください。 Symantec Network Access Control DHCP Integrated Enforcer を使ったゲストアクセスチャレンジの設定 DHCP Integrated Enforcer は DNS 詐称をサポートしないため、ゲストアクセスと DHCP Integrated Enforcer を使うときは、ゲートウェイエンフォーサと DNS サーバーが必要で す。 このソリューションを有効にする最初の手順は、検疫ネットワークで DNS サーバーとゲー トウェイエンフォーサを個別に設定することです。ゲストエンドポイントは、この DNS サー バーで制限される IP アドレスと検疫される IP アドレスを受け取ります。この検疫 DNS サーバーは、ゲートウェイエンフォーサに対するすべての DNS 要求を解決します。DNS の解決を受け取ったゲストエンドポイントは、すべての HTTP 要求をゲートウェイエンフォー サに送信します。その後、ゲートウェイエンフォーサは、オンデマンドクライアントのダウン ロードのために、要求をオンデマンド Web サーバーにリダイレクトします。エンドポイント へのダウンロードが完了すると、ホストインテグリティ検査が行われて、この(設定可能な ポリシー)の結果によってエンドポイントに対するアクセスが決まります。ホストインテグリ ティ検査に合格した場合、エンドポイントには通常の DNS サーバーの通常の IP アドレス が与えられます。ホストインテグリティ検査が不合格になった場合は、エンドポイントは検 疫された DNS サーバーの検疫された IP アドレスのままになります。 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control DHCP Integrated Enforcer を使ったゲストアクセスチャレンジの設定 図 52-1 923 DNS 詐称を防ぐように設定された DHCP Integrated Enforcer のネッ トワーク図 通常のネットワーク IP アドレス: 192.168.100.22 サブネットマスク: 255.255.255.0 DNS/WINS: 192.168.100.1 通常の DHCP/DNS/WINS(Win2k3) SEPM(Win2k3) 192.168.100.2 DHCP 統合エンフォーサが インストール済み 192.168.100.1 ゲスト 検疫ネットワーク IP アドレス: 192.168.100.22 サブネットマスク: 255.255.255.255 DNS/WINS: 192.168.100.3 検疫 DNS/WINS(Win2k3) 102.168.100.3 ゲートウェイエンフォーサ Eth0: 192.168.100.4 DHCP Integrated Enforcer を設定するには 1 Symantec Endpoint Protection Manager に接続するように DHCP Integrated Enforcer を設定します。 2 検疫 IP アドレスのセキュアサブネットマスクを使うように DHCP Integrated Enforcer を設定します。 p.878 の 「セキュアサブネットマスクの設定」 を参照してください。 3 DHCP サーバーに検疫 IP アドレスへの静的経路を追加するように、DHCP Integrated Enforcer を設定します。静的経路には、DHCP サーバー (192.168.100.1)、DNS サーバー(192.168.100.3)、SEPM サーバー (192.168.100.2)、ゲートウェイエンフォーサの内部 IP アドレス(192.168.100.4)が 含まれます。 4 静的経路が DHCP サーバーに追加されたことを確認します。これは Enforcer コン ソールで設定されています。スコープオプションをクリックし、各経路の[033 Static Route Option]にチェックマークが付いていることを確認します。 5 DNS サーバーを追加します。スコープオプションを右クリックし、[オプションの設 定...]をクリックします。 924 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control DHCP Integrated Enforcer を使ったゲストアクセスチャレンジの設定 6 [拡張]タブで、[ベンダクラス]として[DHCP 標準オプション]を選択し、[User class] として[Default User Class]を選択します。 7 [Available Options]スクロールボックスで、[006 DNS Servers]をクリックして選 択します。 8 [IP アドレス]入力ボックスで、通常の DNS サーバー IP アドレス(192.168.100.1) を追加します。 9 [適用]をクリックします。 10 通常の手順を使って、WINS サーバーを追加します。 11 検疫 IP アドレススコープを設定します。 12 スコープオプションを右クリックし、[オプションの設定...]をクリックします。 13 [拡張]タブで、[ベンダクラス]として[DHCP 標準オプション]を選択し、[User class] として[SNAC_QUARANTINE]を選択します。 14 [Available Options]スクロールボックスで、[006 DNS Servers]をクリックして選 択します。 15 [IP アドレス]入力ボックスで、検疫 DNS サーバー IP アドレス(192.168.100.3)を 追加します。 16 [適用]をクリックします。 17 検疫アドレスが 192.168.100.3 の検疫 WINS サーバーを追加します。 18 [適用]をクリックします。 次に、ゲートウェイエンフォーサを設定します。 ゲートウェイエンフォーサをゲストアプライアンスとして設定するには 1 eth0 をネットワークに接続し、IP アドレスを 192.168.100.4 に設定します。 2 eth1 を切断します。 3 ゲートウェイエンフォーサでコマンドラインインターフェースを使って、Symantec Endpoint Protection Manager を設定します。 configure spm ip 192.168.100.2 key sygate group Gateway 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control DHCP Integrated Enforcer を使ったゲストアクセスチャレンジの設定 4 show status コマンドを使って、エンフォーサが Symantec Endpoint Protection Manager に接続されていることを確認します。 5 コマンドラインインターフェースを使って、オンデマンドを有効にします。 On-demand Spm-domain name <ドメイン名> Client-group <クライアントグループの絶対パス> Enable Show 次に、HTTP リダイレクト用に検疫 Windows DNS を設定します。 検疫 Windows DNS HTTP リダイレクトを設定するには 1 検疫 DNS サーバー(192.168.100.3)で DNS 管理コンソールを開きます。 2 [前方参照ゾーン]を右クリックし、[新しいゾーン]を選択します。[新しいゾーン ウィ ザード]が表示されます。 3 [新しいゾーン ウィザード]で[次へ]をクリックします。 4 [プライマリ ゾーン]を選択し、[次へ]をクリックします。 5 [ゾーン名]としてピリオド(.)を入力し、[次へ]をクリックします。 6 [次の名前で新しくファイルを作成する]を選択し、root.dns と入力して、[次へ]を クリックします。 7 [動的更新を許可しない]を選択し、[次へ]をクリックします。 8 [完了]をクリックします。 作成した .(ルート) ゾーンの下に、新しいホストを作成します。 [.(ルート)]ゾーンに新しいホストを作成するには 1 [.(ルート)]ゾーンを右クリックし、[新しいホスト]を選択します。 2 [名前]にアスタリスク(*)を入力し、新しいホストの IP アドレスとしてゲートウェイエン フォーサの IP アドレス(192.168.100.4)を入力します。 3 [ホストの追加]をクリックします。 DNS サーバー自体の参照 IP アドレスを変更します。 DNS サーバーの IP アドレスを変更するには 1 右のパネルで DNS サーバーの名前をダブルクリックします。 2 IP アドレスをエンフォース IP アドレス(192.168.100.4)に変更し、[OK]をクリックし ます。 省略可能: DNS サーバーと同じ方法で解決するように WINS サーバーを設定できます。 コンピュータ名は WINS サーバーによって解決されます。エンドポイントがドメインに登録 925 926 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client が一時的にネットワークに接続できるようにする されていない場合、エンドポイントは WINS サーバーを使ってコンピュータ名を解決しま す。内部ネットワーク内のすべてのコンピュータ名をゲートウェイエンフォーサ eth0 (192.168.100.4)に解決するように、.検疫の個別の WINS サーバーを設定できます。 設定をテストする必要があります。 設定をテストするには 1 クライアントコンピュータのコマンドプロンプトで、次のように入力します。 ipconfig /release ipconfig /renew クライアントは、サブネットマスクが 255.255.255.255 で DNS サーバーが 192.168.100.3 の、検疫 IP アドレスを取得する必要があります。 2 DNS キャッシュをクリアします。ipconfig /flushdns と入力します。 3 Web ブラウザを開き、www.yahoo.com と入力します。 ゲートウェイエンフォーサのオンデマンド Web サイトにリダイレクトされる必要があり ます。 4 オンデマンドクライアントをダウンロードし、ホストインテグリティ検査に合格します。 5 クライアントには、通常の IP アドレスと 192.168.100.1 の DNS サーバーが発行さ れます。 Symantec Network Access Control On-Demand Client が一時的にネットワークに接続できるようにする Windows と Macintosh プラットフォームのクライアントコンピュータへの Symantec Network Access Control On-Demand Client の自動ダウンロードを有効にしたい場合、 すでにいくつかの設定タスクを完了している必要があります。 p.920 の 「ゲートウェイエンフォーサまたはエンフォーサのコンソールで Symantec Network Access Control On-Demand Client を設定する前に」 を参照してください。 Symantec Network Access Control On-Demand Client がネットワークに接続できるよ うにする前に、次のコマンドを設定する必要があります。 ■ spm-domain コマンドを実行します。 ■ client-group ■ enable コマンドを実行します。 コマンドを実行します。 ■ authentication enable コマンドを実行します。このコマンドは省略可能です。 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client が一時的にネットワークに接続できるようにする Symantec Network Access Control On-Demand Client が一時的にネットワークに接 続できるようにするには 1 ゲートウェイエンフォーサアプライアンスコンソールにスーパーユーザーとしてログオ ンします。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 2 ゲートウェイエンフォーサアプライアンスのコンソールで、次のコマンドを入力します。 Enforcer #on-demand 3 次のコマンドを入力します。 Enforcer (on-demand)# spm-domain 上記の引数について説明します。 spm-domain は、エンフォーサに自動的に表示される文字列を表します。 p.920 の 「ゲートウェイエンフォーサまたはエンフォーサのコンソールで Symantec Network Access Control On-Demand Client を設定する前に」 を参照してくださ い。 4 次のコマンドを入力します。 Enforcer (on-demand)# client-group "My Company/<エンフォーサのクライアン トグループの名前>" 上記の引数について説明します。 エンフォーサのクライアントグループの名前は、Symantec Endpoint Protection Manager コンソールの[クライアントの表示]の[クライアント]ページですでに設定し たエンフォーサのクライアントグループの名前を表します。フルアクセス権を持つ My Company グループにサブグループとしてすでにこのエンフォーサのクライアントグ ループを設定している必要があります。Symantec Endpoint Protection Manager のコンソールでエンフォーサクライアントグループを設定していない場合、エンフォー サによって Default グループが登録されます。エンフォーサクライアントグループに 関する情報は、次のハートビートで自動的に送信されます。 次に、Symantec Network Access Control On-Demand Client の認証を設定で きます。 p.928 の 「Symantec Network Access Control On-Demand Client のためのゲー トウェイエンフォーサコンソールでの認証の設定」 を参照してください。 5 次のコマンドを入力します。 Enforcer (on-demand)#enable persistence コマンドを使えば、オンデマンドクライアントが有効になっている期間も設 定できます。 927 928 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client の無効化 Symantec Network Access Control オンデマンドクライアントを永続的に有効にするに は 1 ゲートウェイエンフォーサアプライアンスコンソールにスーパーユーザーとしてログオ ンします。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 2 ゲートウェイエンフォーサアプライアンスのコンソールで、次のコマンドを入力します。 Enforcer #on-demand 3 次のコマンドを入力します。 Enforcer (on-demand)# persistence duration days 10 上記の引数について説明します。 duration days 10 は、クライアントを 10 日間有効にすることを指定しています。 Symantec Network Access Control On-Demand Client の無効化 ゲストアクセスの許可を停止する場合は、ゲストアクセスを無効にできます。 クライアントコンピュータで Symantec Network Access Control On-Demand Client を 無効にするには 1 ゲートウェイエンフォーサアプライアンスコンソールにスーパーユーザーとしてログオ ンします。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 2 ゲートウェイエンフォーサアプライアンスのコンソールで、on-demand と入力します。 3 disable と入力します。 4 exit と入力します。 5 exit と入力してログオフします。 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証 の設定 次のいずれかで認証を有効にすると、オンデマンドクライアントを使ってエンドユーザー を認証できます。 ■ ゲートウェイエンフォーサアプライアンスのローカルデータベース。 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 p.929 の 「ローカルデータベースによるユーザー認証の設定」 を参照してください。 ■ ゲートウェイエンフォーサアプライアンスと連携してエンドユーザーの認証を管理する ように設定された Microsoft Windows Server 2003 Active Directory。 p.930 の 「Microsoft Windows 2003 Server の Active Directory によるユーザー認 証の設定」 を参照してください。 ■ ゲートウェイエンフォーサアプライアンスと連携してエンドユーザーの認証を管理する ように設定された RADIUS サーバー。 p.930 の 「RADIUS サーバーによるユーザー認証の設定」 を参照してください。 認証を有効にしたら、認証される各エンドユーザーのユーザー名とパスワードを追加しま す。 ローカルデータベースによるユーザー認証の設定 ゲートウェイエンフォーサアプライアンスに内蔵されているローカルデータベースには、最 大で 1,000 ユーザーを設定できます。 p.938 の 「on-demand authentication local-db コマンド」 を参照してください。 ローカルデータベースによる認証を設定するには 1 ゲートウェイエンフォーサアプライアンスコンソールにスーパーユーザーとしてログオ ンします。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 2 ゲートウェイエンフォーサアプライアンスコンソールで、次のコマンドを入力します。 Enforcer# on-demand 3 ゲートウェイエンフォーサアプライアンスコンソールで、次のコマンドを入力します。 Enforcer (on-demand)# authentication 4 次のコマンドを入力します。 Enforcer (authentication)# local-db add user name <ユーザー名> password <パスワード> 5 次のコマンドを入力します。 Enforcer(authentication)# local-db enable 6 次のコマンドを入力します。 Enforcer (authentication)# enable 929 930 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 Microsoft Windows 2003 Server の Active Directory によるユーザー認 証の設定 ゲートウェイエンフォーサアプライアンスは IP アドレスの代わりにドメイン名によって、 Microsoft Windows 2003 Server への接続を確立します。したがって、ドメイン名を解 決できるドメインネームサーバー (DNS) をネットワークに設定する必要があります。 p.935 の 「on-demand authentication ad コマンド」 を参照してください。 Active Directory サーバーによる認証を設定するには 1 ゲートウェイエンフォーサアプライアンスコンソールにスーパーユーザーとしてログオ ンします。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 2 ゲートウェイエンフォーサアプライアンスコンソールで、次のコマンドを入力します。 Enforcer #on-demand 3 次のコマンドを入力します。 Enforcer (on-demand)# authentication 4 次のコマンドを入力します。 Enforcer (authentication)# ad domain <ドメイン> name <エイリアス名> 5 次のコマンドを入力します。 Enforcer (authentication)# ad enable 6 次のコマンドを入力します。 Enforcer (authentication)# enable RADIUS サーバーによるユーザー認証の設定 1 つ以上の RADIUS サーバーに認証を設定できます。たとえば、負荷分散のために複 数の RADIUS サーバーが必要になることがあります。 p.937 の 「on-demand authentication radius server コマンド」 を参照してください。 メモ: PEAP および TLS クライアント用のエンフォーサに証明書をインポートする必要が あることに注意してください。 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 RADIUS サーバーによる認証を On-Demand Client に設定するには 1 ゲートウェイエンフォーサアプライアンスコンソールにスーパーユーザーとしてログオ ンします。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 2 次のコマンドを入力します。 Enforcer# on-demand 3 次のコマンドを入力します。 Enforcer (on-demand)# authentication 4 次のコマンドを入力します。 Enforcer (authentication)# radius add name <エイリアス名> server <RADIUS サーバーアドレス> secret <共有秘密>auth_method <認証方法> 上記の引数について説明します。 5 ■ <エイリアス名>は、[ログオン]ダイアログボックスの[Auth Server] のリストに含 まれている RADIUS の認証方法の表示名を表します。 ■ <RADIUS サーバーアドレス>は RADIUS サーバーとポートを表します。ポート は 1 から 65535 の間の省略可能な番号です。ポート番号を指定しない場合、エ ンフォーサはデフォルトのポート 1812 を使います。 ■ <共有秘密>は RADIUS サーバー上の共有秘密です。 ■ <認証方法>は PAP、CHAP、MS-CHAP-V1、MS-CHAP-V2 のいずれかです。 次のコマンドを入力します。 Enforcer (authentication)# radius enable 6 Enforcer (authentication#enable radius add name や radius enable に加えて、その他の RADIUS コマンドを実行して RADIUS サーバーを管理できます。 p.930 の 「RADIUS サーバーによるユーザー認証の設定」 を参照してください。 Windows での dot1x-tls プロトコルによる認証のための On-Demand Client の設定 ゲートウェイエンフォーサアプライアンスは、tls プロトコルを使って、dot1.x 対応ポートに 接続できます。 931 932 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 Windows で dot1x-tls プロトコルによる認証のために On-Demand Client を設定する には 1 エンフォーサコンソールで、Enforcer#on-demand と入力します。 2 次のコマンドを入力します。Enforcer (on-demand)# dot1x 3 次のコマンドを入力します。Enforcer (dot1x)# protocol tls 4 次のコマンドを入力します。Enforcer (tls)# show protocol プロトコルが tls に設定されている必要があります。たとえば、Active Protocol: TLS と表示される必要があります。 5 次のコマンドを入力します。Enforcer (tls)# validate-svr enable 6 次のコマンドを入力します。Enforcer (cert-svr)# exit 7 次のコマンドを入力します。Enforcer (tls)# show tls TLS サーバー証明書が有効になっていることを確認します。次に例を示します。 TLS Validate Server Certificate: TLS Certificate Server: TLS Certificate Server: 8 ENABLED ENABLED 127.0.0.1 次のコマンドを入力します。Enforcer (dot1x)# certificate import tftp 10.34.68.69 password symantec username janedoe user-cert qa.pfx root-cert qa.ce 上記の引数について説明します。 10.34.68.69 は、エンフォーサアプライアンスが tftp で証明書をインポートできる 元の tftp サーバーです。 symantec は、ユーザー証明書のパスワードです。 janedoe は、クライアントへのログオンに使用するユーザー名です。 qa.pfx は、ユーザー証明書の名前です。 qa.cer は、ルート証明書の名前です。 Windows での dot1x-peap プロトコルによる認証のための On-Demand Client の設定 ゲートウェイエンフォーサアプライアンスは、PEAP プロトコルによる接続を確立できます。 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 933 Windows で PEAP プロトコルによる認証のために On-Demand Client を設定するには 1 エンフォーサコンソールで、Enforcer#on-demand と入力します。 2 次のコマンドを入力します。Enforcer (on-demand)# dot1x 3 次のコマンドを入力します。Enforcer (dot1x)# protocol peap 4 次のコマンドを入力します。Enforcer (peap)# show protocol 次のように、PEAP サーバー証明書が有効になっていることを確認します。 PEAP PEAP PEAP PEAP 5 Validate Server Certificate: Certificate Server: Certificate Server: Fast Reconnected: ENABLED DISABLED 127.0.0.1 DISABLED サーバーの確認が必要な場合は、次のように入力します。 Enforcer (peap) cert-svr host snac snac は PEAP 証明書名の CA サーバーであるコンピュータです。次のように入力し ます。 Enforcer (peap) exit Enforcer (dot1x certificate import tftp 10.34.68.69 root-cert qa.cer 6 サーバーの確認が必要でない場合は、次のように入力します。 Enforcer (peap) validate_svr disable on-demand authentication コマンド ゲートウェイエンフォーサアプライアンスのコンソールから Symantec Network Access Control On-Demand Client のユーザー認証を設定します。 Windows と Macintosh プラットフォームで Symantec Network Access Control On-Demand Client を認証する場合は、次のいずれかを使うことができます。 ■ ゲートウェイエンフォーサアプライアンス上に常駐しているローカルデータベース ローカルの内蔵データベースを使って個々のユーザーのユーザー名とパスワードを 追加できます。 ■ ゲートウェイエンフォーサアプライアンスと連携して動作するように設定された Active Directory サーバー ゲートウェイアプライアンスと連携して動作するように設定された Microsoft Windows Server 2003 Active Directory に接続できる必要があります。 ■ RADIUS サーバー 934 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 1 つ以上の RADIUS サーバーに接続できる必要があります。 表 52-1 は、on-demand authentication コマンドについての情報を示しています。 表 52-1 on-demand authentication の引数 コマンド 説明 ad ゲートウェイエンフォーサアプライアンスのローカルの内蔵データベースの代 わりに Active Directory サーバーを使用する認証を有効にします。 p.935 の 「on-demand authentication ad コマンド」 を参照してください。 disable ゲートウェイエンフォーサで Symantec Network Access Control On-Demand Client の認証を無効にします。エンドユーザーはクライアントコンピュータで Symantec Network Access Control On-Demand Client の自動ダウンロー ドを認証なしでトリガできます。 p.937 の 「on-demand authentication disable コマンド」 を参照してください。 デフォルト ゲストユーザーがログオン時に選択できる認証方法(Active Directory、ロー カルの内蔵データベース、RADIUS サーバー)を設定します。 p.934 の 「on-demand authentication default コマンド」 を参照してください。 enable ゲートウェイエンフォーサアプライアンスで Symantec Network Access Control On-Demand Client の認証を有効にします。認証を有効にした場合、エンド ユーザーは Symantec Network Access Control On-Demand Client をダウ ンロードする前に、認証に合格する(正しいユーザー名とパスワードを入力す る)必要があります。 p.936 の 「on-demand authentication enable コマンド」 を参照してください。 local-db ゲートウェイエンフォーサアプライアンスのローカルの内蔵データベースを使 用する認証を有効にします。 p.938 の 「on-demand authentication local-db コマンド」 を参照してくださ い。 radius RADIUS サーバーを使用する認証を有効にします。 p.937 の 「on-demand authentication radius server コマンド」 を参照してく ださい。 show 認証コマンドの各オプションと引数についての状態情報をリストします。 upload 認証関連のファイルをサーバーにアップロードします。 on-demand authentication default コマンド on-demand authentication default コマンドはゲストとしてログオンするための 1 つ以 上の認証方法をユーザーに提供します。on-demand default コマンドを使用して Active 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 Directory、ローカルデータベース、1 つ以上の RADIUS サーバーによる認証方法を設 定します。複数の認証方法を設定した場合、ユーザーはオンデマンドクライアントのダウ ンロードの[ようこそ]画面にある[Auth Server]ドロップダウンリストから認証方法を選択 します。 on-demand authentication default コマンドは次の構文を使います。 on-demand authentication default ad | radius | local-db <インデックス> 上記の引数について説明します。 ad、radius、local-db は認証方法を表し、インデックスは RADIUS サーバーのインデッ クスを表します。 次の例は Active Directory と RADIUS サーバーによる認証方法を指定する方法を示 しています。 Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# default ad | radius radiusAuthServerIndex on-demand authentication ad コマンド 企業ネットワークが Microsoft Windows Server 2003 Active Directory をサポートす る場合、Active Directory サーバーでユーザーを認証できます。サポートしない場合、 内蔵データベースまたは RADIUS サーバーを設定してユーザーを認証する必要があり ます。 on-demand authentication ad disable コマンド on-demand authentication ad disable コマンドは、Microsoft Windows Server 2003 Active Directory によるクライアントの認証を無効にするために次の構文を使います。 このコマンドを実行するには、ゲートウェイエンフォーサアプライアンスのコンソールにスー パーユーザーとしてログオンする必要があります。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 次の例は、Microsoft Windows Server 2003 Active Directory による On-Demand Client の認証を無効にする方法を示します。 on-demand authentication ad disable on-demand authentication ad domain コマンド on-demand authentication ad domain コマンドは次の構文を使用して、Microsoft Windows Server 2003 Active Directory のドメイン ID またはドメイン ID アドレスを指 定します。 935 936 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 on-demand authentication ad domain <Active Directory ドメインのドメイン名> | name <エイリアス名> 上記の引数について説明します。 Active Directory ドメインのドメイン名 Microsoft Windows Server 2003 Active Directory のドメイン名を表します。 エイリアス名 [ログオン]ダイアログボックスの[Auth Server] のリストに含まれている Active Directory の認 証方法の表示名を表します。 次の例は、Microsoft Windows Server 2003 Active Directory のドメイン ID を指定す る方法を示します。 Enforcer # on-demand Enforcer (on-demand) # authentication Enforcer (authentication) # ad domain symantec.com name symantec 上記の引数について説明します。 symantec.com は、[ログオン]ダイアログボックスの認証サーバーの表示エイリアス名を 表します。 on-demand authentication ad enable コマンド on-demand authentication ad enable コマンドは、Microsoft Windows Server 2003 Active Directory によるエンドユーザー認証を有効にするために次の構文を使います。 on-demand authentication ad enable 次の例は、Microsoft Windows Server 2003 Active Directory による On-Demand Client の認証を有効にする方法を示します。 Enforcer # on-demand Enforcer (on-demand) # authentication Enforcer (authentication) # ad enable on-demand authentication enable コマンド Symantec Network Access Control On-Demand Client のゲートウェイアプライアンス のコンソールでは、認証プロセス(auth デーモン)を開始することができます。 on-demand authentication enable コマンドは次の構文を使います。 on-demand authentication enable 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 このコマンドを実行するには、ゲートウェイエンフォーサアプライアンスのコンソールにスー パーユーザーとしてログオンする必要があります。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 次の例に、ゲートウェイエンフォーサアプライアンスのコンソールで、Symantec Network Access Control On-Demand Client に対する認証を有効にする方法を記述していま す。 Enforcer# on-demand Enforcer (on-demand)# authentication enable on-demand authentication disable コマンド Symantec Network Access Control On-Demand Client のゲートウェイアプライアンス のコンソールでは、認証プロセス(auth デーモン)を停止することができます。 on-demand authentication disable コマンドは次の構文を使います。 on-demand authentication disable このコマンドを実行するには、ゲートウェイエンフォーサアプライアンスのコンソールにスー パーユーザーとしてログオンする必要があります。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 次の例に、ゲートウェイエンフォーサアプライアンスのコンソールで、Symantec Network Access Control On-Demand Client に対する認証を無効にする方法を記述していま す。 Enforcer# on-demand Enforcer (on-demand)# authentication disable on-demand authentication radius server コマンド RADIUS サーバーでゲストユーザーを認証するには、ゲートウェイエンフォーサアプライ アンスで RADIUS サーバーの設定を追加する必要があります。RADIUS サーバーを追 加したら、RADIUS の属性をカスタマイズまたは削除できます。 p.930 の 「RADIUS サーバーによるユーザー認証の設定」 を参照してください。 このコマンドを実行するには、ゲートウェイエンフォーサアプライアンスのコンソールにスー パーユーザーとしてログオンする必要があります。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 937 938 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 on-demand authentication radius server add コマンド on-demand radius authentication add コマンド構文は、ゲートウェイエンフォーサアプ ライアンスに RADIUS サーバーの設定を追加します。このコマンドは次の構文を使いま す。 on-demand authentication radius add name alias_name server RADIUS server address secret shared secret auth method 上記の引数について説明します。 エイリアス名 [ログオン]ダイアログボックスの[Auth Server] のリ ストに含まれている RADIUS の認証方法の表示名で す。 RADIUS サーバーアドレス IP:<ポート> または host:<ポート> 形式の、RADIUS サーバーのアドレスとポートです。デフォルトポートの 1812 を受け入れるか、1 から 65535 の間のポート番 号を指定できます。 RADIUS サーバーのエイリアス名です。 共有秘密 RADIUS サーバーの共有秘密です。 認証方法 次のいずれかの認証方法です。 ■ PAP(Password Authentication Protocol) ■ CHAP(Challenge Handshake Authentication) ■ MS-CHAP-1(Microsoft CHAP バージョン 1) ■ MS-CHAP-V2(Microsoft CHAP バージョン 2) 次の例は、RADIUS サーバーを追加する方法を示しています。 Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# radius add name guests server IP:1812 shared secret8d#>9fq4bV)H7%a3-zE13sW CHAP on-demand authentication local-db コマンド 企業は、ゲートウェイエンフォーサアプライアンスで設定できる内蔵データベースを使っ てユーザーを認証できます。 on-demand authentication local-db add コマンド 内蔵データベースを使ってユーザーを認証する場合は、ゲートウェイエンフォーサアプラ イアンスでクライアントごとにユーザーアカウントを追加する必要があります。 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 p.929 の 「ローカルデータベースによるユーザー認証の設定」 を参照してください。 このコマンドを実行するには、ゲートウェイエンフォーサアプライアンスのコンソールにスー パーユーザーとしてログオンする必要があります。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 on-demand local-db authentication add コマンドは、次の構文を使ってゲートウェイエ ンフォーサアプライアンスで設定した内蔵データベースにユーザーアカウントを追加しま す。 on-demand authentication local-db add user <ユーザー名> 上記の引数について説明します。 <ユーザー名>は、内蔵データベースに追加できるユーザーアカウントを表します。 次に、local-db に追加する方法を示します。 Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db add user jim on-demand authentication local-db enable コマンド on-demand local-db authentication enable コマンドは、次の構文を使ってゲートウェ イエンフォーサアプライアンスで設定できる内蔵データベースを有効にします。 on-demand authentication local-db enable 次の例は、local-db を有効にする方法を示しています。 Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer(authentication)# local-db enable on-demand authentication local-db disable コマンド on-demand local-db authentication disable コマンドは、次の構文を使ってゲートウェ イエンフォーサアプライアンスで設定した内蔵データベースを無効にします。 on-demand authentication local-db disable 次の例は、local-db を無効にする方法を示しています。 Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db disable 939 940 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 Symantec Network Access Control On-Demand Client のためのゲートウェイエンフォーサコンソールでの認証の設定 on-demand authentication local-db username コマンド on-demand authentication local-db username コマンドを使うと、ユーザー名を追加、 削除、編集できます。 local-db local-db local-db local-db add username 文字列 password 文字列 delete username 文字列 edit username 文字列 password string enable |disable | clear 上記の引数について説明します。 add ローカルデータベースに新しいユーザーアカウントを作成します。 clear ローカルデータベースのすべてのユーザーアカウントをクリーンアップしま す。 delete ローカルデータベースから既存のユーザーを削除します。 disable ローカルデータベース認証を無効にします。 edit 既存のユーザーアカウントを修正します。 enable ローカルデータベース認証を有効にします。 次の例に、ゲートウェイエンフォーサアプライアンスのコンソールの Symantec Network Access Control On-Demand Client でローカルデータベース認証を設定する方法を記 述しています。 Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db disable Local database authentication is disabled. Enforcer(authentication)# local-db enable Local database authentication is enabled. Enforcer(authentication)# local add username test password test Enforcer(authentication)# local-db delete username test Your action will delete the user account "test" permanently. Please confirm.[Y/N]y Enforcer(authentication)# local-db edit username test password b Enforcer(authentication)# local-db clear 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 ようこそページのバナーの編集 Notice that your action will remove ALL user account permanently! Please confirm.[Y/N]y ようこそページのバナーの編集 Symantec Network Access Control On-Demand Client の[ようこそ]ページにあるデ フォルトのバナーテキストを編集できます。 ようこそページのバナーを編集するには 1 ゲートウェイエンフォーサアプライアンスコンソールにスーパーユーザーとしてログオ ンします。 p.714 の 「エンフォーサアプライアンスへのログオン」 を参照してください。 2 ゲートウェイエンフォーサアプライアンスのコンソールで、次のコマンドを入力します。 Enforcer #on-demand 3 次のコマンドを入力します。 Enforcer(on-demand)# banner Enter キーを押します。 4 ポップアップウィンドウで、Symantec Network Access Control On-Demand Client の[ようこそ]ページに表示したいメッセージを入力します。 1024 文字まで入力できます。 941 942 第 52 章 Symantec Network Access Control On-Demand Clientのための一時接続の設定 ようこそページのバナーの編集 5 Symantec Endpoint Protection と Symantec Network Access Control のト ラブルシューティング ■ 第53章 ディザスタリカバリの実行 ■ 第54章 インストールと通信の問題のトラブルシューティング ■ 第55章 レポートに関する問題のトラブルシューティング ■ 第56章 エンフォーサアプライアンスのトラブルシューティング 944 53 ディザスタリカバリの実行 この章では以下の項目について説明しています。 ■ ディザスタリカバリの実行 ■ データベースの復元 ■ Symantec Endpoint Protection Manager の再インストールまたは再設定 ディザスタリカバリの実行 表 53-1 に、ハードウェア障害やデータベースの破損が発生した場合に Symantec Endpoint Protection 環境を回復する手順を示します。 メモ: このトピックは、ディザスタリカバリの準備を行い、バックアップとリカバリファイルを作 成したことを前提にしています。 ディザスタリカバリを実行するための処理 表 53-1 手順 処理 手順 1 ディザスタリカバリファイルを使って Symantec Endpoint Protection Manager を 再インストールします。 管理サーバーを再インストールすることで、初期インストール後に保存されたファイ ルを回復できます。 p.947 の 「Symantec Endpoint Protection Manager の再インストールまたは再設 定」 を参照してください。 手順 2 データベースを復元します。 p.946 の 「データベースの復元」 を参照してください。 p.641 の 「ディザスタリカバリの準備」 を参照してください。 946 第 53 章 ディザスタリカバリの実行 データベースの復元 ナレッジベースの「Perform a disaster recovery when the database backup/restore process fails using the "Database Backup/Restore Wizard" for an Embedded Database」を参照してください。 データベースの復元 データベースが壊れている場合またはディザスタリカバリを実行する必要がある場合、 データベースを復元できます。データベースを復元するには、最初にデータベースのバッ クアップを作成しておく必要があります。 p.642 の 「データベースとログのバックアップ」 を参照してください。 データベースの復元には、データベースのバックアップ時と同じバージョンの Symantec Endpoint Protection Manager を使う必要があります。データベースは、元々インストー ルされていた同じコンピュータで復元することも、別のコンピュータで復元することもでき ます。 データベースの復元が完了するまで数分かかる場合があります。 データベースを復元するには 1 管理サーバーサービスを停止します。 p.148 の 「管理サーバーサービスの停止と開始」 を参照してください。 2 [スタート]メニューで、[すべてのプログラム]、[Symantec Endpoint Protection Manager]、[Symantec Endpoint Protection Manager Tools]、[データベース のバックアップと復元]の順にクリックします。 3 [データベースのバックアップと復元]ダイアログボックスで、[復元]をクリックします。 4 [はい]をクリックしてデータベースの復元を確認します。 5 [サイトの復元]ダイアログボックスで、バックアップデータベースファイルを選択し、 [OK]をクリックします。 データベースをバックアップするときに作成したバックアップデータベースファイルの コピーを検索します。デフォルトでは、バックアップデータベースファイルの名前は、 date_timestamp.zip です。 6 [OK]をクリックします。 7 [Exit]をクリックします。 8 管理サーバーサービスを再起動します。 第 53 章 ディザスタリカバリの実行 Symantec Endpoint Protection Manager の再インストールまたは再設定 Symantec Endpoint Protection Manager の再インス トールまたは再設定 管理サーバーを再インストールまたは再設定する必要がある場合、ディザスタリカバリファ イルを使ってすべての設定をインポートできます。続いて、同じコンピュータの同じインス トールディレクトリにソフトウェアを再インストールできます。 この手順を使って、レプリケーション用に追加サイトをインストールすることもできます。 Symantec Endpoint Protection Manager はインストール中にリカバリファイルを作成し ます。再インストール処理中、デフォルトではリカバリファイルが選択されます。 p.641 の 「ディザスタリカバリの準備」 を参照してください。 管理サーバーを再インストールするには 1 既存の管理サーバーをアンインストールします。 2 製品ディスクからサーバーをインストールします。 p.85 の 「管理サーバーとコンソールのインストール」 を参照してください。 3 [ようこそ]パネルで、[回復ファイルを使う]オプションにチェックマークが付いている ことを確認し、[次へ]をクリックします。 デフォルトでは、リカバリファイルは次の場所にあります。ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥Server Private Key Backup。 4 各パネルの指示に従います。ほとんどの場合、デフォルト設定が機能します。再イン ストールしたサーバーが既存のデータベースに接続されている場合、データベース の設定を既存のデータベースの設定に変更します。 必要に応じて、データベースを復元することもできます。ただし、Symantec Endpoint Protection Manager データベースが別のコンピュータでホストされているか、または影 響を受けない場合は、データベースを復元する必要はありません。 p.946 の 「データベースの復元」 を参照してください。 管理サーバーを再設定するには 1 管理サーバーを再設定するには、[スタート]、[すべてのプログラム]、[Symantec Endpoint Protection Manager]、[Symantec Endpoint Protection Manager Tools]、[管理サーバーの設定ウィザード]の順にクリックします。 2 レプリケーション用に管理サーバーをインストールするには、[追加サイトをインストー ルする]をクリックします。 3 各パネルの指示に従います。 947 948 第 53 章 ディザスタリカバリの実行 Symantec Endpoint Protection Manager の再インストールまたは再設定 54 インストールと通信の問題 のトラブルシューティング この章では以下の項目について説明しています。 ■ コンピュータの問題を解決するための Symantec Endpoint Protection サポートツー ルのダウンロード ■ インストールに失敗した場所の識別 ■ 管理サーバーとクライアント間の通信の問題のトラブルシューティング ■ 管理サーバーとコンソールまたはデータベース間の通信問題のトラブルシューティン グ ■ クライアント/サーバーの通信のファイル コンピュータの問題を解決するための Symantec Endpoint Protection サポートツールのダウンロード Symantec Endpoint Protection Manager または Symantec Endpoint Protection ク ライアントのインストール時または使用時に起きる一般的な問題を診断するためのユー ティリティをダウンロードできます。 Symantec Endpoint Protection ツールをダウンロードするには 1 次のいずれかのタスクを行います。 ■ ナレッジベースの記事「The Symantec Endpoint Protection Support Tool」 を参照してください。 ■ コンソールで、[ヘルプ]>[サポートツールのダウンロード]をクリックします。 950 第 54 章 インストールと通信の問題のトラブルシューティング インストールに失敗した場所の識別 ■ 2 クライアントで、[ヘルプとサポート]>[サポートツールのダウンロード]をクリックし ます。 画面の指示に従います。 インストールに失敗した場所の識別 Windows インストーラとプッシュ配備ウィザードは、インストールが正常に完了したかどう かを確認できるログファイルを作成します。ログファイルには、正常にインストールされた コンポーネントが一覧されているほか、インストールパッケージに関連するさまざまな詳細 情報が記載されています。ログファイルを使えば、インストールの失敗原因となったコン ポーネントや処理を識別できます。インストールに失敗した理由を判断できない場合は、 ログファイルを保存しておいてください。シマンテック社のテクニカルサポートからログファ イルの提出を指示されることがあります。 メモ: インストールパッケージが実行されるたびに、ログファイルは上書きされます。 インストールに失敗した場所を識別するには 1 テキストエディタで、インストールで作成されたログファイルを開きます。 2 障害を探すには、次のエントリを検索します。 Value 3 このエントリが含まれる行の前に実行した処理が、失敗原因の可能性が高いと思わ れます。このエントリの後の行は、インストールに問題があったためにロールバックさ れたインストールコンポーネントです。 管理サーバーとクライアント間の通信の問題のトラブル シューティング クライアントとサーバー間の通信に問題がある場合は、ネットワークに問題がないことを最 初に確認してください。また、シマンテック社のテクニカルサポートに問い合わせる前に、 ネットワークの接続性もチェックしてください。 クライアントと管理サーバー間の通信を、いろいろな方法でテストできます。 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとクライアント間の通信の問題のトラブルシューティング 表 54-1 管理サーバーとクライアント間の接続のチェック チェック項目 解決策 クライアントを調べて、クライアン 通信設定を検証するためにクライアントでトラブルシューティング トが管理サーバーに接続してい ファイルをダウンロードして表示できます。 るかどうか確認します。 p.952 の 「クライアントが接続され、保護されているかどうかを確認 する方法」 を参照してください。 p.952 の 「管理サーバーとの接続の確認または管理サーバーと の再接続」 を参照してください。 p.953 の 「クライアントでのトラブルシューティングファイルを使っ た保護の問題の調査 」 を参照してください。 クライアントと管理サーバー間 の接続性をテストする いくつかのタスクを実行して、クライアントと管理サーバーの間の 接続性を確認できます。 p.954 の 「クライアントが管理サーバーに接続しているかどうか を確認するためのアクセスログの有効化と表示」 を参照して ください。 ■ クライアントコンピュータから管理サーバーに ping を実行す る p.955 の 「ping コマンドを使用した管理サーバーへの接続性 のテスト」 を参照してください。 ■ クライアントコンピュータの Web ブラウザを使って管理サー バーに接続する p.956 の 「クライアントコンピュータでブラウザを使った管理サー バーへの接続性のテスト」 を参照してください。 ■ ネットワークに問題があるかどう 次の項目をチェックすることによって、ネットワークに問題がない かをチェックする ことを確認します。 最初に、クライアントと管理サーバー間の接続性をテストする。 クライアントコンピュータが管理サーバーに ping または Telnet を実行できない場合、クライアントの DNS サービスを確認し てください。 ■ クライアントのルーティングパスをチェックする ■ ■ 管理サーバーにネットワークの問題がないことをチェックする ■ Symantec Endpoint Protection ファイアウォール(または サードパーティのファイアウォール)がネットワークの問題を引 き起こしていないことをチェックする 951 952 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとクライアント間の通信の問題のトラブルシューティング チェック項目 解決策 クライアントのデバッグログを チェックする クライアントのデバッグログを使って、クライアントに通信の問題が あるかどうかを判断できます。 p.957 の 「クライアントコンピュータのデバッグログのチェック」 を参 照してください。 p.957 の 「管理サーバーの受信ボックスログのチェック」 を参照し てください。 失われたクライアント通信を回 復する クライアントが管理サーバーとの通信を失った場合、通信ファイ ルを回復するためにツールを使うことができます。 p.958 の 「SylinkDrop ツールを使ったクライアントの通信設定の 修復」 を参照してください。 Symantec Endpoint Protection Manager にログエラーまたは HTTP エラーコードが 表示された場合、ナレッジベースで「Symantec Endpoint Protection Manager の通信 のトラブルシューティング」という記事を参照してください。 管理サーバーとの接続の確認または管理サーバーとの再接続 管理下クライアントがある場合は、管理サーバーとの接続を確認できます。管理サーバー に接続されていない場合は、クライアントが接続するよう要求できます。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照 してください。 管理サーバーとの接続を確認する、または管理サーバーに再接続するには 1 [状態]ページで、[ヘルプ]、[トラブルシューティング]の順にクリックします。 2 [トラブルシューティング]ダイアログボックスで[接続の状態]をクリックします。 3 [接続の状態]ペインで、最後に試行した接続と最後に成功した接続を確認できま す。 4 管理サーバーとの接続を再確立するには、[Connect Now]をクリックします。 クライアントが接続され、保護されているかどうかを確認する方法 クライアントでは、通知領域アイコンによって、クライアントがオンラインになっているかオ フラインになっているか、およびクライアントコンピュータが十分に保護されているかどうか が示されます。このアイコンを右クリックすると、使う頻度が高いコマンドが表示されます。 このアイコンは、クライアントコンピュータデスクトップの右下に表示されます。 メモ: 管理下クライアントでは、この機能を利用不能に設定している場合、通知領域アイコ ンは表示されません。 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとクライアント間の通信の問題のトラブルシューティング Symantec Endpoint Protection クライアントの状態アイコン 表 54-2 アイコン 説明 クライアントは問題なく動作しています。オフラインになっているか管理外であるか のいずれかです。管理外クライアントは管理サーバーに接続されません。アイコン は何も付いていない黄色のシールドです。 クライアントは問題なく動作しています。管理サーバーに接続され、サーバーと通信 しています。セキュリティポリシーのすべてのコンポーネントがコンピュータを保護し ています。アイコンは緑のドットが付いた黄色のシールドです。 クライアントに軽度な問題があります。たとえば、ウイルス定義が最新ではないなど です。アイコンは中に黒い感嘆符のある明るい黄色のドットが付いた黄色のシール ドです。 クライアントが実行されていないか、クライアントに重度の問題があるか、少なくとも 1 つの保護技術が無効になっています。たとえば、ネットワーク脅威防止が無効で ある可能性があります。アイコンは真ん中に赤い斜線のある赤く縁取られた白いドッ ト付きの黄色のシールドです。 表 54-3 に、通知領域に表示される Symantec Network Access Control クライアントの 状態アイコンを示します。 Symantec Network Access Control クライアントの状態アイコン 表 54-3 アイコン 説明 クライアントは問題なく実行されており、ホストインテグリティ検査に成功し、セキュリ ティポリシーが更新されています。オフラインになっているか管理外であるかのいず れかです。管理外クライアントは管理サーバーに接続されません。アイコンは何も 付いていない金色のキーです。 クライアントは問題なく実行されており、ホストインテグリティ検査に成功し、セキュリ ティポリシーが更新されています。サーバーと通信しています。アイコンは緑のドッ トが付いた金色のキーです。 クライアントは、ホストインテグリティ検査に失敗したか、セキュリティポリシーが更新 されていないかのいずれかです。アイコンは中に白色の「x」がある赤のドットが付い た金色のキーです。 クライアントでのトラブルシューティングファイルを使った保護の問題の調 査 クライアントの問題を調査するには、Troubleshooting.txt ファイルを調べます。 Troubleshooting.txt ファイルにはポリシー、ウイルス定義、他のクライアント関連データ についての情報が含まれています。 953 954 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとクライアント間の通信の問題のトラブルシューティング p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照 してください。 クライアントからトラブルシューティングファイルをエクスポートするには 1 クライアントコンピュータで、クライアントを開きます。 2 クライアントで、[ヘルプ]をクリックし、[トラブルシューティング]をクリックします。 3 クライアントで、[トラブルシューティングデータ]の[エクスポート]をクリックします。 4 [名前を付けて保存]ダイアログボックスで、デフォルトのトラブルシューティングファ イル名を受け入れるか、または新しいファイル名を入力し、[保存]をクリックします。 デスクトップまたは選択したフォルダにファイルを保存できます。 5 テキストエディタを使って、Troubleshooting.txt を開いて内容を調べます。 詳しくはシマンテック社のテクニカルサポートに問い合わせてください。シマンテック 社テクニカルサポートは Troubleshooting.txt ファイルを電子メールで送るように要 求することがあります。 クライアントが管理サーバーに接続しているかどうかを確認するための アクセスログの有効化と表示 管理サーバーで Apache HTTP サーバーのアクセスログを表示し、クライアントが管理 サーバーに接続しているかどうかを確認できます。クライアントが接続している場合、クラ イアントの接続の問題は、おそらくネットワークの問題ではありません。ネットワークの問題 には、ファイアウォールによるアクセスの遮断や、相互に接続していないネットワークの問 題が含まれます。 ログを表示する前に、まず Apache HTTP サーバーのアクセスログを有効にする必要が あります。 メモ: ログは不必要な CPU リソースとハードディスク容量を消費するため、参照後はログ を無効にします。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照 してください。 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとクライアント間の通信の問題のトラブルシューティング Apache HTTP サーバーのアクセスログを有効にするには 1 テキストエディタで、ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥apache¥conf¥httpd.conf ファイルを開きます。 2 httpd.conf ファイルで、次の文字列から番号記号(#)を削除し、ファイルを保存し ます。 #CustomLog "logs/access.log" combined 3 Symantec Endpoint Protection Manager サービスと Apache HTTP サーバーを 停止し、再開します。 p.148 の 「管理サーバーサービスの停止と開始」 を参照してください。 p.955 の 「Apache Web サーバーの停止と開始」 を参照してください。 Apache HTTP サーバーのアクセスログを表示するには 1 管理サーバーで、ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥apache¥logs¥access.log を開きます。 2 クライアントコンピュータの IP アドレスまたはホスト名を探します。それらがあれば、ク ライアントが Apache HTTP サーバーに接続していることを示しています。 3 Apache HTTP サーバーのアクセスログを無効にします。 Apache Web サーバーの停止と開始 Symantec Endpoint Protection Manager をインストールすると、Apache Web サー バーがインストールされます。Apache Web サーバーは自動サービスとして実行されま す。Apache HTTP サーバーアクセスログを有効にするには、Web サーバーを停止して 開始することが必要な場合があります。 p.954 の 「クライアントが管理サーバーに接続しているかどうかを確認するためのアクセス ログの有効化と表示」 を参照してください。 Apache Web サーバーを停止するには ◆ コマンドプロンプトから、次のように入力します。 net stop semwebsrv Apache Web サーバーを開始するには ◆ コマンドプロンプトから、次のように入力します。 net start semwebsrv ping コマンドを使用した管理サーバーへの接続性のテスト 接続性をテストするために、クライアントコンピュータから管理サーバーに ping の実行を 試みることができます。 955 956 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとクライアント間の通信の問題のトラブルシューティング p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照 してください。 ping コマンドを使用して管理サーバーへの接続性をテストする手順 1 クライアントで、コマンドプロンプトを開きます。 2 ping コマンドを入力します。次に例を示します。 ping <名前 > ここで、<名前 > は管理サーバーのコンピュータ名です。コンピュータ名の代わりに サーバーの IP アドレスを使うことができます。どちらの場合も、コマンドはサーバー の正しい IP アドレスを返します。 ping コマンドが正しいアドレスを返さない場合は、クライアントの DNS サービスを確 認し、ルーティングパスをチェックします。 クライアントコンピュータでブラウザを使った管理サーバーへの接続性の テスト クライアントコンピュータで Web ブラウザを使って、管理サーバーとクライアントの間の接 続性をテストできます。 この方法は、クライアントの接続またはネットワークに問題がある か、クライアントに問題があるかを判断する助けになります。 次の方法を使って管理サーバーとクライアントコンピュータの間の接続をチェックすること もできます。 ■ クライアントの状態アイコンに緑のドットが表示されているかどうかのチェック。 p.952 の 「クライアントが接続され、保護されているかどうかを確認する方法」 を参照し てください。 ■ クライアントでの接続の状態のチェック。 p.952 の 「管理サーバーとの接続の確認または管理サーバーとの再接続」 を参照し てください。 クライアントコンピュータでブラウザを使って管理サーバーへの接続性をテストするには 1 クライアントコンピュータで Internet Explorer のような Web ブラウザを開きます。 2 ブラウザのコマンドラインに次のコマンドを入力します。 http://管理サーバーのアドレス:8014/secars/secars.dll?hello,secars ここで、管理サーバーのアドレス は管理サーバーの DNS 名、NetBIOS 名、IP アド レスのいずれかです。 3 Web ページが表示されたら、次のどちらの結果であるかを確認します。 ■ OK という単語が表示されている場合、クライアントコンピュータは管理サーバー に接続しています。クライアントで問題をチェックしてください。 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとクライアント間の通信の問題のトラブルシューティング ■ OK という単語が表示されていない場合、クライアントコンピュータは管理サー バーに接続していません。クライアントのネットワーク接続をチェックし、クライア ントコンピュータでネットワークサービスが実行されていることを確認します。クラ イアントのための DNS サービスを確認し、ルーティングパスをチェックします。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照してください。 クライアントコンピュータのデバッグログのチェック クライアントのデバッグログをチェックできます。クライアントで管理サーバーとの通信に問 題があれば、接続の問題についての状態メッセージがログに示されます。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照 してください。 次の方法を使って、デバッグログをチェックできます。 ■ クライアントの[ヘルプとサポート]メニューの[トラブルシューティング]ダイアログボッ クスで、[デバッグログ設定の編集]をクリックし、ログの名前を入力します。次に、[ロ グの表示]をクリックします。 ■ Windows レジストリを使ってクライアントのデバッグをオンにできます。 Windows レジストリキーは次の場所にあります。 HKEY_LOCAL_MACHINE¥SOFTWARE¥Symantec¥Symantec Endpoint Protection¥SMC¥smc_debuglog_on 管理サーバーの受信ボックスログのチェック Windows レジストリキーを使って、管理サーバー受信ボックスの活動についてのログを 生成できます。Windows レジストリキーを修正するときに、管理サーバーはログ (ersecreg.log と exsecars.log)を生成します。クライアントとサーバー間の通信の問題を 解決するために、これらのログを表示できます。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照 してください。 p.957 の 「クライアントコンピュータのデバッグログのチェック」 を参照してください。 957 958 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとクライアント間の通信の問題のトラブルシューティング 管理サーバーの受信ボックスログをチェックする手順 1 管理サーバーの HKEY_LOCAL_MACHINE¥SOFTWARE¥Symantec¥Symantec Endpoint Protection¥SEPM の下で、DebugLevel 値を 3 に設定します。 通常、受信ボックスは管理サーバーコンピュータの次の場所に置かれています。 ¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥data¥ 受信ボックス¥ログ 2 メモ帳を使ってログを開きます。 SylinkDrop ツールを使ったクライアントの通信設定の修復 Sylink.xml ファイルはクライアントと Symantec Endpoint Protection Manager サー バー間の通信設定を含んでいます。クライアントが管理サーバーとの通信を失った場合、 古い Sylink.xml のファイルを新しいファイルで置き換える必要があります。SylinkDrop ツールは新しい Sylink.xml ファイルによって自動的にクライアントコンピュータの Sylink.xml ファイルを置き換えます。 SylinkDrop ツールを実行するとき、次のタスクも実行できます。 ■ 新しいドメインか管理サーバーにクライアントを移行するか、または移動する ■ 管理サーバーで修正できないクライアントに対する通信の破損を復元する ■ 1 つのサーバーから複製パートナーではない別のサーバーにクライアントを移動する ■ 1 つのドメインから別のものにクライアントを移動する ■ 管理下クライアントに管理外クライアントを変換する ■ 管理外クライアントに管理下クライアントを変換する 多数のクライアントの通信設定を修正するためにツールを使ってスクリプトを書き込むこと ができます。 p.130 の 「管理下クライアントと管理外クライアントについて」 を参照してください。 p.950 の 「管理サーバーとクライアント間の通信の問題のトラブルシューティング」 を参照 してください。 メモ: SylinkDrop.exe ツールを使うには改変対策を無効にする必要があります。 SylinkDrop.exe ツールの改変対策例外を作成することもできます。 p.358 の 「改変対策の設定の変更」 を参照してください。 p.476 の 「改変対策例外の作成」 を参照してください。 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとコンソールまたはデータベース間の通信問題のトラブルシューティング SylinkDrop ツールを使ってクライアントの通信設定を修復するには 1 コンソールでは、クライアントコンピュータを接続する管理サーバーに接続するグルー プから通信ファイル(Sylink.xml)をエクスポートします。 p.201 の 「管理外クライアントから管理下クライアントへの変換」 を参照してください。 2 クライアントコンピュータに通信ファイルをコピーします。 ネットワーク上の場所にファイルを保存するか、クライアントコンピュータのユーザー に電子メールで送信するか、またはリムーバブルメディアにコピーできます。 3 次のいずれかのタスクを行います。 ■ ツールの製品ディスクで、¥Tools¥SylinkDrop¥SylinkDrop.exe を探します。 ■ 管理サーバーを実行するコンピュータで、ドライブ:¥Program Files (x86)¥Symantec¥Symantec Endpoint Protection¥Version.Number¥Bin¥SylinkDrop.exe を探します。 ツールをリモートで実行するか、またはクライアントコンピュータで保存してから実行 することができます。コマンドラインでツールを使った場合、ツールのコマンドパラメー タのリストのための SylinkDrop.txt ファイルを読み込みます。 4 [Sylink Drop]ダイアログボックスで、[参照]をクリックし、手順 2 でクライアントコン ピュータに配備した .xml ファイルを検索します。 5 [Update Sylink]をクリックします。 6 確認のダイアログボックスが表示されたら、[OK]をクリックします。 7 [Sylink Drop]ダイアログボックスで、[終了]をクリックします。 管理サーバーとコンソールまたはデータベース間の通信 問題のトラブルシューティング コンソールまたはデータベースとの接続問題がある場合、次の症状のいずれかが見られ る可能性があります。 ■ 管理サーバーサービス(semsrv)が停止する。 ■ 管理サーバーサービスが、開始した状態のままにならない。 ■ [ホーム]、[監視]、および[レポート]のページに HTTP エラーが表示される。 ■ [ホーム]、[監視]、および[レポート]のページが空白である。 ■ [ホーム]、[監視]、および[レポート]のページには、コンテンツが表示されず、進行 バーが連続的に読み込まれて表示される。 959 960 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとコンソールまたはデータベース間の通信問題のトラブルシューティング これらの問題が生じると、Windows イベントログに Java -1 エラーが示されます。Java -1 エラーの原因を特定するには、scm-server ログを調べます。scm-server ログは通常、 次の場所にあります。 C:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥tomcat¥logs¥scm-server-0.log 表 54-4 コンソールまたはデータベースとの通信の確認 チェック項目 説明 データベースと管理サーバー 管理サーバーとデータベースが正しく通信していることを検証でき 間の接続性をテストする。 ます。 p.960 の 「データベースとの接続の検証」 を参照してください。 管理サーバーのヒープサイズ 管理サーバーのオペレーティングシステムに適したヒープサイズ が正しいことを調べる。 に調整することが必要な場合があります。管理サーバーのリモー トコンソールにログインできないか、または smc-server ログにメモ リ不足メッセージが表示されている場合、ヒープサイズを増加する ことが必要になる可能性があります。Symantec Endpoint Protection Manager のデフォルトのヒープサイズは 256 MB で す。 管理サーバーで複数のバー 管理サーバーで、異なるバージョンの PHP を使っている複数のソ ジョンの PHP が実行していな フトウェアパッケージが実行しているかどうかを確認できます。PHP いことを調べる。 は、グローバル設定ファイル(php.ini)を確認します。複数の設定 ファイルがある場合は、各製品がそれぞれのインタープリタを使う ように強制する必要があります。各製品が、それぞれに関連付け られている正しいバージョンの PHP を使うと、管理サーバーは正 しく動作します。 システムの必要条件の確認。 クライアントと管理サーバーの両方で、最小のシステム必要条件を 実行しているか、推奨のシステム必要条件を実行しているかを確 認できます。 p.71 の 「システム必要条件」 を参照してください。 データベースとの接続の検証 管理サーバーとデータベースが正しく通信していない場合があります。データベースが 動作していることを確認してから、サーバーとデータベース間の接続をテストしてください。 管理サーバーで埋め込み Sybase データベースが実行している場合は、次の手順を行 います。 ■ Symantec Embedded Database サービスが動作しており、dbsrv9.exe プロセスが TCP ポート 2638 を応答準備していることを確認します。 ■ ODBC 接続をテストします。 第 54 章 インストールと通信の問題のトラブルシューティング 管理サーバーとコンソールまたはデータベース間の通信問題のトラブルシューティング 管理サーバーでリモート SQL データベースが実行している場合は、次の操作を行いま す。 ■ Symantec Endpoint Protection Manager をインストールし設定したときに、名前付 きインスタンスを指定したことを確認します。 ■ SQL Server が動作し、正しく設定されていることを確認します。 ■ 管理サーバーと SQL データベースとの間のネットワーク接続が正しいことを確認しま す。 ■ ODBC 接続をテストします。 埋め込みデータベースとの通信を検証するには 1 管理サーバーで、[スタート]、[コントロールパネル]、[管理ツール]の順にクリックし ます。 2 [管理ツール]ダイアログボックスで、[データ ソース (ODBC)]をダブルクリックします。 3 [データ ソース (ODBC) アドミニストレーター]ダイアログボックスで、[システム DSN] をクリックします。 4 [システム DSN]タブで、[SymantecEndpointSecurityDSN]をダブルクリックしま す。 5 [ODBC]タブで、データ ソースの[名前]ドロップダウンリストが [SymantecEndpointSecurityDSN]になっていることを確認し、説明を入力します (省略可能)。 6 [ログイン]をクリックします。 7 [ログイン]タブの[ユーザーID]ボックスで、dba と入力します。 8 [パスワード]テキストボックスに、データベースのパスワードを入力します。 このパスワードは、管理サーバーをインストールしたときにデータベース用に入力し たものです。 9 [データベース]をクリックします。 10 [データベース]タブの[サーバー名]テキストボックスで、 <¥¥servername¥instancename> と入力します。 英語版の Symantec Endpoint Protection Manager を使っている場合は、デフォ ルトの sem5 と入力します。それ以外の場合は、[サーバー名]テキストボックスを空 白のままにします。 11 [ODBC]タブで、[テスト接続]をクリックして、成功するかどうかを確認します。 12 [OK]をクリックします。 13 [OK]をクリックします。 961 962 第 54 章 インストールと通信の問題のトラブルシューティング クライアント/サーバーの通信のファイル SQL データベースへの通信を検証するには 1 管理サーバーで、[スタート]、[コントロールパネル]、[管理ツール]の順にクリックし ます。 2 [管理ツール]ダイアログボックスで、[データ ソース (ODBC)]をダブルクリックします。 3 [データ ソース (ODBC) アドミニストレーター]ダイアログボックスで、[システム DSN] をクリックします。 4 [システム DSN]タブで、[SymantecEndpointSecurityDSN]をダブルクリックしま す。 5 [サーバー]ドロップダウンリストで、正しいサーバーとインスタンスが選択されている ことを確認します。 6 [次へ]をクリックします。 7 [ログイン ID]に、sa と入力します。 8 [パスワード]テキストボックスに、データベースのパスワードを入力します。 このパスワードは、管理サーバーをインストールしたときにデータベース用に入力し たものです。 9 [次へ]をクリックして、デフォルトのデータベースに sem5 が選択されていることを確 認します。 10 [次へ]をクリックします。 11 [完了]をクリックします。 12 [データソースのテスト]をクリックして、次のような結果を探します。 TESTS COMPLETED SUCCESSFULLY! クライアント/サーバーの通信のファイル クライアントとサーバー間の通信設定と他のクライアントの設定は、クライアントコンピュー タのファイルに保存されます。 表 54-5 クライアントのファイル ファイル名 説明 SerDef.dat 場所ごとの通信設定を保存する暗号化ファイル。 ユーザーが場所を変更す るごとに、SerDef.datファイルが読み取られ、 新しい場所の適切な通信設 定がクライアントに適用されます。 第 54 章 インストールと通信の問題のトラブルシューティング クライアント/サーバーの通信のファイル ファイル名 説明 sylink.xml グローバルな通信設定を保存します。このファイルは内部的にのみ使われ るので、編集しないでください。 ファイルには Symantec Endpoint Protection Manager の設定が含まれています。 このファイルを編集して も、次にクライアントが管理サーバーに接続するときに、 ほとんどの設定は 管理サーバーの設定で上書きされます。 SerState.dat クライアントのスクリーンサイズ、ネットワーク脅威防止のためのクライアントの コンソールが表示されるかどうか、 Windows のサービスが表示されるかどう かのような、ユーザーインターフェースについての情報を格納する暗号化 ファイルです。 クライアントは起動時にこのファイルを読み取り、 ユーザーイ ンターフェースを前回停止したときと同じ状態に戻します。 963 964 第 54 章 インストールと通信の問題のトラブルシューティング クライアント/サーバーの通信のファイル 55 レポートに関する問題のトラ ブルシューティング この章では以下の項目について説明しています。 ■ レポートに関する問題のトラブルシューティング ■ レポートコンソール用の状況感知型ヘルプのトラブルシューティング ■ アジア言語を表示するためのレポートフォントの変更 ■ レポートとログを見直すためのタイムアウトパラメータの変更 ■ ループバックアドレスの使用が無効になっている場合のレポートページへのアクセス ■ 64 ビットコンピュータ上での壊れたクライアントシステムログの回復について レポートに関する問題のトラブルシューティング レポートを使うときは次の情報に注意してください。 ■ レポートとログのタイムスタンプ(クライアントスキャン時間を含む)はユーザーの現地 時間で表されます。レポート用データベースに含まれるイベントの時刻は、グリニッジ 標準時(GMT)です。レポートを作成するときに、GMT の値がレポートを表示するコ ンピュータのローカル時刻に変換されます。 ■ 管理下クライアントのタイムゾーンが管理サーバーとは異なる場合に、[特定日を設定 する]フィルタオプションを使用すると、予想外の結果が起きることがあります。クライア ントと管理サーバー両方のデータと時間の精度が影響を受けることがあります。 ■ サーバーのタイムゾーンを変更する場合は、コンソールからログオフして再びログオ ンし、ログとレポートの時間が正確であることを確認してください。 966 第 55 章 レポートに関する問題のトラブルシューティング レポートに関する問題のトラブルシューティング ■ レポートデータは、セキュリティ製品に表示される内容と 1 対 1 で対応していない場 合があります。この対応の不足は、レポートソフトウェアがセキュリティイベントを集計し ているために発生します。 ■ レポートのヘルプページのインストール時にデフォルトのポートを使わない場合、オン ラインの状況感知型ヘルプにはアクセスできません。デフォルト以外のポートを使っ て状況感知型ヘルプにアクセスするには、Reporter.php ファイルに変数を追加する 必要があります。 p.967 の 「レポートコンソール用の状況感知型ヘルプのトラブルシューティング」 を参 照してください。 p.542 の 「スタンドアロン Web ブラウザからのレポートへのログオン」 を参照してくださ い。 ■ セキュリティ向上の目的で、レポート機能で SSL を使うことができます。SSL により、機 密性とデータのインテグリティが得られ、クライアントとサーバーとの間の認証が行わ れます。 ナレッジベースの「Configuring Secure Sockets Layer (SSL) to work with the Symantec Endpoint Protection reporting functions on Windows Server 2003」 を参照してください。 ■ レポートのリスクカテゴリの情報は、シマンテックセキュリティレスポンスの Web サイト から取得されます。Symantec Endpoint Protection Manager コンソールがこの情 報を取得できるまで、生成するレポートのリスクカテゴリのフィールドには[不明]が表 示されます。 ■ 生成するレポートでは、ネットワーク内のセキュリティが低下したコンピュータが正確に 示されます。レポートは Windows のレジストリデータではなく、ログデータに基づきま す。 ■ レポートのページとログのページは、常に管理サーバーのインストールに使った言語 で表示されます。リモートコンソールまたはブラウザを使ってこれらのページを表示す る場合は、使っているコンピュータに適切なフォントがインストールされている必要が あります。 p.968 の 「アジア言語を表示するためのレポートフォントの変更」 を参照してください。 ■ 大量のデータを含むレポートを実行するときにデータベースエラーが発生する場合 は、データベースのタイムアウトパラメータを変更します。 p.968 の 「レポートとログを見直すためのタイムアウトパラメータの変更」 を参照してく ださい。 ■ CGI エラーまたはプロセス終了エラーが発生する場合、その他のタイムアウトパラメー タを変更すると安全です。 詳しくは、ナレッジベースで「SAV Reporting Server or SEPM Reporting does not respond or shows a timeout error message when querying large amounts of data」を参照してください。 第 55 章 レポートに関する問題のトラブルシューティング レポートコンソール用の状況感知型ヘルプのトラブルシューティング ■ コンピュータでループバックアドレスの使用を無効にした場合、レポートページは表示 されません。 p.970 の 「ループバックアドレスの使用が無効になっている場合のレポートページへの アクセス」 を参照してください。 ■ 64 ビットクライアントでシステムログが壊れた場合、Symantec Endpoint Protection Manager コンソール上のシステムログに不特定のエラーメッセージが表示されます。 p.971 の 「64 ビットコンピュータ上での壊れたクライアントシステムログの回復につい て」 を参照してください。 ネットワーク内のコンピュータがレガシー版の Symantec Antivirus を実行している場合 は、次の情報に注意してください。 ■ レポートとログのフィルタを使うときは、サーバーグループがドメインとして分類されま す。クライアントグループはグループとして、親サーバーはサーバーとして分類されま す。 ■ レガシーコンピュータを含むレポートを生成する場合は、[IP アドレス]と[MAC アドレ ス]フィールドに[なし]が表示されます。 ■ レポート機能では、一時フォルダ ドライブ:¥Symantec¥Symantec Endpoint Protection Manager¥Inetpub¥Reporting¥Temp が使われます。この一時フォル ダを定期的にクリーニングするために、独自の自動化されたタスクをスケジュール設 定できます。その場合、LegacyOptions.inc ファイルがあっても削除しないようにして ください。このファイルを削除すると、Symantec AntiVirus のレガシークライアントの ログからの着信データが失われます。 レポートコンソール用の状況感知型ヘルプのトラブル シューティング レポートのヘルプページのインストール時にデフォルトのポートを使わない場合、オンラ インの状況感知型ヘルプにはアクセスできません。デフォルト以外のポートを使って状況 感知型ヘルプにアクセスするには、Reporter.php ファイルに変数を追加する必要があり ます。 p.542 の 「スタンドアロン Web ブラウザからのレポートへのログオン」 を参照してください。 レポートの状況感知型ヘルプにアクセスするためのポートを変更するには 1 ディレクトリを、ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥Inetpub¥Reporting¥Resources に変更します。 2 エディタで Reporter.php 設定ファイルを開きます。 967 968 第 55 章 レポートに関する問題のトラブルシューティング アジア言語を表示するためのレポートフォントの変更 3 ファイルに次の行を追加します。このときに、<ポート番号 > にヘルプのインストール 時に使ったポート番号を指定します。 $scm_http_port=<ポート番号 > 4 ファイルを保存して閉じます。 アジア言語を表示するためのレポートフォントの変更 ヒストグラムと 3 次元棒グラフは、ブラウザに送信される前にサーバーで画像として作成さ れます。デフォルトでは、これらのグラフの作成に使うサーバーは MS Arial Unicode フォ ントを探します。MS Arial Unicode は、Microsoft Office の一部として利用可能で、サ ポートされるすべての言語を正しく表示します。MS Arial Unicode フォントが見つからな い場合、サーバーは Lucida sans Unicode フォントを使用します。 アジア言語で表示されるサーバー上の一部のレポートでは、サーバーに MS Arial Unicode がインストールされていないと、グラフのテキストが正しく表示されません。この 問題は、レポートにヒストグラムまたは 3 次元棒グラフが含まれている場合に発生します。 サーバーに MS Arial Unicode フォントがインストールされていない場合は、この必要条 件を回避するようにサーバーを設定できます。使っている環境の言語をサポートする任 意の Unicode 対応フォントを使うように、Symantec Endpoint Protection を設定できま す。 レポートの表示に使うフォントを変更するには 1 ディレクトリを <ドライブ >:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥Inetpub¥Reporting¥Common に変更します。 2 エディタで I18nCommon.bundle 設定ファイルを開きます。 3 SPECIAL_FONT 変数の等号(=)の後に、使うフォントファイルの名前を入力します。 たとえば、Arial を使う場合は次のように入力します。 SPECIAL_FONT=arial.ttf 4 ファイルを UTF-8 形式で保存し、ファイルを閉じます。 5 入力したフォントファイルが、%WINDIR%¥fonts ディレクトリにあることを確認しま す。 レポートとログを見直すためのタイムアウトパラメータの 変更 大量のデータが含まれるレポートまたはログを表示しているときにデータベースエラーが 発生する場合は、次の変更を行うことができます。 ■ Microsoft SQL Server の接続タイムアウトの変更 第 55 章 レポートに関する問題のトラブルシューティング レポートとログを見直すためのタイムアウトパラメータの変更 ■ Microsoft SQL Server のコマンドタイムアウトの変更 これらの値のレポートのデフォルトは次のとおりです。 ■ 接続タイムアウトは 300 秒(5 分) ■ コマンドタイムアウトは 300 秒(5 分) Reporter.php で Microsoft SQL Server のタイムアウト値を変更するには 1 Symantec Endpoint Protection Manager サーバーで次のフォルダを参照します。 ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥Inetpub¥Reporting¥Resources 2 メモ帳のようなテキスト形式エディタで、Reporter.php ファイルを開きます。 3 $CommandTimeout という行を探し、値を増やします(単位は秒)。この行が存在 しない場合は作成します。たとえば、タイムアウト期間を 10 分に延ばすには、この行 を次の値に変更します。 $CommandTimeout = 600; 4 $ConnectionTimeout という行を探し、値を増やします(単位は秒)。この行が存在 しない場合は作成します。たとえば、タイムアウト期間を 10 分に延ばすには、この行 を次の値に変更します。 $ConnectionTimeout = 600; 5 Reporter.php ファイルを保存して閉じます。 メモ: ゼロを指定するか、フィールドを空白のままにすると、デフォルトの設定が使われま す。 CGI エラーまたはプロセス終了エラーが発生する場合は、次のパラメータを変更すると安 全です。 ■ Php.ini ファイルの max_execution_time パラメータ ■ httpd.conf ファイルの Apache タイムアウトパラメータ FcgidIOTimeout、 FcgidBusyTimeout、FcgidIdleTimeout Php.ini のタイムアウト値を変更するには 1 ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥Php ディレクトリを参照します。 2 Php.ini ファイルを右クリックして[プロパティ]をクリックします。 3 [全般]タブで、[読み取り専用]のチェックマークをはずします。 4 [OK]をクリックします。 5 メモ帳のようなテキスト形式エディタで、Php.ini ファイルを開きます。 969 970 第 55 章 レポートに関する問題のトラブルシューティング ループバックアドレスの使用が無効になっている場合のレポートページへのアクセス 6 max_execution_time というエントリを探し、値を増やします(単位は秒)。たとえば、 タイムアウトを 10 分に延ばすには、この行を次の値に変更します。 max_execution_time=600 7 Php.ini ファイルを保存して閉じます。 8 Php.ini ファイルを右クリックして[プロパティ]をクリックします。 9 [全般]タブで、[読み取り専用]にチェックマークを付けます。 10 [OK]をクリックします。 httpd.conf のタイムアウト値を変更するには 1 ドライブ:¥Program Files¥Symantec¥Symantec Endpoint Protection Manager¥apache¥conf ディレクトリを参照します。 2 メモ帳のようなテキスト形式エディタで、httpd.conf ファイルを開きます。 3 次の行を探し、値を増やします(単位は秒)。 4 ■ FcgidIOTimeout 1800 ■ FcgidBusyTimeout 1800 ■ FcgidIdleTimeout 1800 httpd.conf ファイルを保存して閉じます。 ループバックアドレスの使用が無効になっている場合の レポートページへのアクセス コンピュータでループバックアドレスの使用を無効にした場合、レポートページは表示さ れません。Symantec Endpoint Protection Manager コンソールにログオンしようとした り、レポート機能にアクセスしようとすると、次のエラーメッセージが表示されます。 レポートコンポーネントと通信できません [ホーム]ページ、[監視]ページ、[レポート]ページは空白です。[ポリシー]ページ、[ク ライアント]ページ、[管理]ページは通常どおり表示され、機能します。 ループバックアドレスを無効にしているときに、[レポート]のコンポーネントを表示するに は、localhost という語をコンピュータの IP アドレスに関連付ける必要があります。Windows の hosts ファイルを編集して、localhost を IP アドレスに関連付けることができます。 p.542 の 「スタンドアロン Web ブラウザからのレポートへのログオン」 を参照してください。 第 55 章 レポートに関する問題のトラブルシューティング 64 ビットコンピュータ上での壊れたクライアントシステムログの回復について Windows を実行しているコンピュータ上で localhost を IP アドレスに関連付けるには 1 ディレクトリを hosts ファイルの場所に変更します。 デフォルトでは、hosts ファイルは %SystemRoot%¥system32¥drivers¥etc に配 置されています。 2 エディタで hosts ファイルを開きます。 3 hosts ファイルに次の行を追加します。 xxx.xxx.xxx.xxx localhost #レポート機能にログオンするため ここで、xxx.xxx.xxx.xxx を自分のコンピュータの IP アドレスに置換します。シャー プ記号(#)の後には任意のコメントを追加できます。たとえば、次の行を入力できま す。 192.168.1.100 localhost # このエントリは、コンソールコンピュータ用です 4 ファイルを保存して閉じます。 64 ビットコンピュータ上での壊れたクライアントシステム ログの回復について 64 ビットクライアントでシステムログが壊れた場合、Symantec Endpoint Protection Manager コンソール上のシステムログに不特定のエラーメッセージが表示されます。シ ステムログが壊れると、クライアント上でログのデータが表示できなくなり、データはコン ソールにアップロードされません。この状況により、コンソールのコンピュータの状態、リス ク、スキャンのログとレポートのデータが影響を受けることがあります。 この状況を修復するには、クライアント上で壊れたログファイルと serialize.dat ファイルを 削除します。これらのファイルは、クライアントの <ドライブ >:¥Documents and Settings¥ All Users¥Application Data¥Symantec¥Symantec AntiVirus Corporate Edition¥ 7.5¥Logs¥date.Log にあります。これらのファイルを削除すると、ログファイルが作成し直 され、エントリが正しくログに記録され始めます。 971 972 第 55 章 レポートに関する問題のトラブルシューティング 64 ビットコンピュータ上での壊れたクライアントシステムログの回復について 56 エンフォーサアプライアンス のトラブルシューティング この章では以下の項目について説明しています。 ■ エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の通信 問題のトラブルシューティング ■ エンフォーサアプライアンスのトラブルシューティング ■ エンフォーサアプライアンスのよく寄せられる質問 ■ エンフォーサと On-Demand Client との接続のトラブルシューティング エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間の通信問題のトラブルシューティ ング エンフォーサと管理サーバーが通信しない場合、次の可能性のある理由と解決方法を調 べてください。 974 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサアプライアンスのトラブルシューティング 表 56-1 エンフォーサと管理サーバー間の通信の問題のトラブルシューティン グ 問題 解決策 エンフォーサを Symantec Endpoint Protection Manager に登録できない ■ コマンド configure show spm を使用して、エンフォーサ 上の管理サーバーの設定を確認します。管理サーバーの IP アドレス、ポート番号、事前共有秘密が正確に設定されている ことを確認します。デフォルトのポート番号は 8014 です。 ■ エンフォーサの種類が再設定されているか、変更されている場 合、管理サーバー上のエンフォーサグループを削除するか、エ ンフォーサを別のグループに移動します。たとえば、エンフォー サの種類がゲートウェイエンフォーサから LAN エンフォーサに 変更されていることがあります。 ■ エンフォーサの管理サーバーリストに、エンフォーサが到達でき ない管理サーバーがあったり、管理サーバーの複数のインター フェースがあったりする場合があります。管理サーバーリストに は、エンフォーサに接続可能な 1 台のみの管理サーバーを追 加する必要があります。管理サーバーには 1 つの IP アドレス を指定する必要があります。 エンフォーサまたはゲートウェ フェールオープンエンフォーサを使用している場合、スイッチ設定 イエンフォーサアプライアンス を確認します。エンフォーサが接続している両方のポートで、 経由でのネットワークへの接 PortFast が有効にされていることを確認します。 続の遅延によってクライアント が遮断される LAN エンフォーサアプライア クライアントが頻繁に中断し、スイッチからの再認証要求(802.1x ンスのクライアントログのクライ EAP)に応答しない場合、スイッチ再認証タイムアウトを減らす必要 アント切断イベント がある可能性があります。 LAN エンフォーサアプライア ■ 設定で選択されているスイッチモデルが使用しているスイッチと ンスがクライアントを正しい 一致していることを確認します。 VLAN に切り替えない ■ VLAN 名が、スイッチに設定されているものと正確に一致して いることを確認します。 ■ 管理サーバーコンソールで、処理テーブルのスイッチへの VLAN 割り当てが正確であることを確認します。 p.975 の 「エンフォーサアプライアンスのよく寄せられる質問」 を参照してください。 p.974 の 「エンフォーサアプライアンスのトラブルシューティング」 を参照してください。 エンフォーサアプライアンスのトラブルシューティング 表 56-2 に、エンフォーサアプライアンスで発生する可能性がある問題とその解決策を示 します。 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサアプライアンスのよく寄せられる質問 表 56-2 問題 エンフォーサアプライアンスの問題のトラブルシューティングと解決 策 解決策 コマンドラインインターフェース パスワードを 128 文字までに制限します。パスワードの長さを短 を使った設定時にエンフォーサ くしてください。 の root パスワードが無効と表 p.1031 の 「password」 を参照してください。 示される R200 でメモリを変更するとハー このエラーの原因は IRQ のハードコーディングです。増設メモリ ドウェアエラーが起きる を取りはずすかハードウェアの変更後にエンフォーサを再インス トールしてください。シマンテック社のテストではメモリを増設して も目立つ違いは見られていません。 p.710 の 「エンフォーサアプライアンスのインストール」 を参照して ください。 エンフォーサのアップグレード デフォルトに戻る現象はアップグレード時に起きることがあります 時に一部の設定(デバッグレベ が、その後は起きません。 ル、キャプチャ)がデフォルトに p.719 の 「エンフォーサアプライアンスイメージのアップグレード」 戻る を参照してください。 エンフォーサと HP OpenView この問題を解決するには、HP OpenView を設定します。 で SNMP を実行すると問題が ■ [Option]、[Load/unload MIB]の順に選択して Symantec 起きる MIB ファイルをロードします。 ■ [Option]、[Event Configuration]の順に選択して [OnDemandTraps (.1.3.6.1.4.1.393.588)]を選択し、必要 に応じて各トラップを修正します。たとえば、[Event Message] で[Log and display in category]を選択します。次にドロッ プダウンリストでカテゴリを選択します。[Event Log Message] を $1 に設定します。 p.973 の 「エンフォーサアプライアンスと Symantec Endpoint Protection Manager 間 の通信問題のトラブルシューティング」 を参照してください。 エンフォーサアプライアンスのよく寄せられる質問 以下は、ゲートウェイエンフォーサアプライアンスまたは LAN エンフォーサアプライアン スのエンフォースメントの問題についての質問とそれに対する答えです。 ■ p.976 の 「ホストインテグリティによって管理されるウィルス対策ソフトウェア」 を参照し てください。 ■ p.976 の 「ホストインテグリティポリシーは、グループごとや場所ごとに設定できますか?」 を参照してください。 975 976 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサアプライアンスのよく寄せられる質問 ■ p.976 の 「ホストインテグリティのカスタムメッセージは作成できますか?」 を参照してく ださい。 ■ p.976 の 「エンフォーサアプライアンスが Symantec Endpoint Protection Manager と通信できない場合、どうなりますか?」 を参照してください。 ■ p.978 の 「LAN エンフォーサアプライアンスを透過モードで実行するときに RADIUS サーバーは必要ですか?」 を参照してください。 ■ p.978 の 「クライアントの存在しないコンピュータに対するエンフォースメントの方法は?」 を参照してください。 ホストインテグリティによって管理されるウィルス対策ソフトウェア ホストインテグリティによって、ウィルス対策ソフトウェアの検出と管理のカスタム必要条件 を追加できます。カスタム必要条件では、IF THEN 条件文の一部として、ウイルス対策ア プリケーションと検査するシグネチャファイル情報を指定できます。サポートされる製品は カスタム必要条件ダイアログボックスのドロップダウンリストに表示されます。 p.688 の 「ウイルス対策の条件について」 を参照してください。 p.670 の 「ホストインテグリティポリシーでできること」 を参照してください。 ホストインテグリティポリシーは、グループごとや場所ごとに設定できま すか? はい。ホストインテグリティポリシーは、Symantec Endpoint Protection Manager のコ ンソールで設定されているグループや場所ごとに割り当てることができます。 p.671 の 「ホストインテグリティポリシーの作成とテスト」 を参照してください。 ホストインテグリティのカスタムメッセージは作成できますか? Symantec Network Access Control はホストインテグリティのルールごとにホストインテ グリティのカスタムメッセージを作成できます。メッセージのアイコンやタイトルをカスタマイ ズできます。このカスタマイズは、ホストインテグリティのカスタムルールを通じて行うことが できます。 p.700 の 「メッセージダイアログボックスの表示」 を参照してください。 エンフォーサアプライアンスが Symantec Endpoint Protection Manager と通信できない場合、どうなりますか? Symantec Endpoint Protection とともにエンフォーサを使う場合には、冗長管理サー バーを使うことをお勧めします。Symantec Endpoint Protection Manager が利用でき ない場合、エンフォーサはクライアントからのトラフィックを遮断します。 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサアプライアンスのよく寄せられる質問 できれば冗長管理サーバーを使ってください。エンフォーサはポート 1812 で RADIUS プロトコルを使って Symantec Endpoint Protection Manager に UDP パケットを送信 し、クライアントからの GUID を検証します。ファイアウォールがこのポートを遮断するか、 または Symantec Endpoint Protection Manager が利用不能な場合、クライアントは遮 断されます。 エンフォーサのオプションの設定により、Symantec Endpoint Protection Manager が 利用不能なときに、クライアントがネットワークにアクセス可能になります。このオプション が有効になっていて Symantec Endpoint Protection Manager が利用不能の場合に は、GUID 検査やプロファイル検査は行われません。Symantec Endpoint Protection Manager が利用不能なときは、クライアントのホストインテグリティ検査のみ実行できま す。 advanced local-auth コマンドを使って、エンフォーサのクライアント認証を有効または無 効にできます。 p.977 の 「advanced local-auth」 を参照してください。 advanced local-auth advanced local-auth コマンドは、エンフォーサのクライアント認証を有効または無効に します。このコマンドは、トラブルシューティングのために使います。 クライアント認証は、デフォルトで無効になっています。 advanced local-auth コマンドは次の構文を使います。 advanced local-auth {disable | enable} 上記の引数について説明します。 disable 管理サーバーでエージェントを検証します。管理サーバーに接続できない 場合はエージェントを遮断します。 クライアント認証は、デフォルト設定では無効になります。 enable エージェントの検証を無効にし、ホストインテグリティの検証のみを実行しま す。 デフォルトでは、ゲートウェイエンフォーサアプライアンスは Symantec Endpoint Protection Manager でクライアントの GUID(Globally Unique Identifier)を検証しま す。ゲートウェイエンフォーサが Symantec Endpoint Protection Manager に接続して GUID を検証することができない場合には、クライアントを遮断します。トラブルシューティ ングの手順としては推奨されませんが、UID の検証結果からゲートウェイエンフォーサア プライアンスを停止できます。 デフォルトで、ゲートウェイエンフォーサアプライアンスは GUID を検証します。この代わ りに、ゲートウェイエンフォーサアプライアンスはホストインテグリティ検証のみを実行しま 977 978 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサアプライアンスのよく寄せられる質問 す。ゲートウェイエンフォーサアプライアンスが GUID を検証するようにするには、必ずこ の設定を再度有効にします。 p.654 の 「エンフォーサアプライアンスと Symantec Endpoint Protection Manager との 通信」 を参照してください。 LAN エンフォーサアプライアンスを透過モードで実行するときに RADIUS サーバーは必要ですか? RADIUS サーバーの要件は、スイッチを設定する方法やスイッチを使って認証する対象 によって異なります。 次に示す項目に注意してください。 ■ 802.1x ユーザー認証以外で RADIUS サーバーを使うスイッチ。 たとえば、スイッチにログオンするときには、ユーザー名とパスワードを入力する必要 があります。RADIUS サーバーは、通常、このログオン時に認証を実行します。LAN エンフォーサアプライアンスがインストールされていると、この認証は LAN エンフォー サアプライアンスに送信されます。認証が LAN エンフォーサアプライアンスに送信さ れる場合には、RADIUS サーバーの IP アドレスを LAN エンフォーサアプライアンス で設定する必要があります。EAP 以外の要求をすべて直接 RADIUS サーバーに転 送するように LAN エンフォーサアプライアンスを設定する必要があります。 ■ クライアントシステムへの 802.1x サプリカントのインストール。クライアントシステムに 802.1x サプリカントが存在する場合、LAN エンフォーサアプライアンスは RADIUS サーバーによる認証を試みます。Windows XP では 802.1x 認証はデフォルトで有 効になっています。クライアントを透過モードで実行できるようにすると、組み込まれて いる 802.1x サプリカントは自動的に無効になりません。802.1x サプリカントがどのク ライアントコンピュータでも動作していないことを確認する必要があります。 ■ サードパーティ製の 802.1x サプリカントが組み込まれているクライアントコンピュータ からの RADIUS 要求を無視するためのエンフォーサの設定。RADIUS サーバーに 対して 0.0.0.0 という IP アドレスを使ってこの設定を行うことができます。LAN エン フォーサを透過モードで実行する場合には、この設定を使います。802.1x サプリカン トが組み込まれているクライアントもあります。この場合、LAN エンフォーサアプライア ンスが RADIUS サーバーにトラフィックを送信しないように指定できます。 p.796 の 「RADIUS サーバーのグループ設定の使用」 を参照してください。 クライアントの存在しないコンピュータに対するエンフォースメントの方法 は? Symantec Network Access Control は、シマンテック製クライアントがインストールされ ているシステムに対してのみ、セキュリティポリシーを強制することができます。他社のシ ステムにはセキュリティポリシーを強制することはできません。他社によるエンフォースメン トは、ネットワークを破壊する恐れがあります。 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサアプライアンスのよく寄せられる質問 次のエンフォースメントの方法が利用可能です。 セルフエンフォースメント クライアントファイアウォールによるセルフエンフォースメント は、ネットワーク内のクライアントが存在しないシステムには 影響しません。 p.651 の 「セルフエンフォースメントのしくみ」 を参照してくだ さい。 ゲートウェイエンフォースメント ゲートウェイエンフォースメントを使うネットワークでは、クライ アントの存在しないシステムはゲートウェイを通過できませ ん。ネットワーク内でゲートウェイエンフォーサを配置する場 所は重要です。他のシステムがアクセスする必要のある重要 なネットワークリソースへのアクセスを遮断してしまう可能性が あるからです。 クライアントが存在しなくても信頼できる IP アドレスはゲート ウェイをインバウンド方向またはアウトバウンド方向に通過で きるように、例外を設定することができます。同様に、ゲート ウェイは Microsoft 以外のオペレーティングシステムに対し てエンフォースメントを免除できます。ネットワーク設計として 考えられる 1 つの方法は、ゲートウェイの同じ側に重要でな いサーバーを配置することです。この設定により、セキュリティ の深刻な低下を伴わずにネットワーク設計が簡略化されま す。 p.655 の 「ゲートウェイエンフォーサアプライアンスの動作」 を 参照してください。 DHCP エンフォースメント DHCP エンフォースメントは、コンプライアンスを実施してい ないコンピュータやクライアントの存在しないシステムを制限 します。これらのシステムを制限して、ネットワーク上でアドレ ス空間を分離したり、これらのシステムにルートのサブセット を指定したりします。この制限により、これらのデバイスに対 するネットワークサービスが削減されます。ゲートウェイエン フォースメントと同様に、信頼できる MAC アドレスや Microsoft 以外のオペレーティングシステムに対する例外を 設定することができます。 p.658 の 「Microsoft DHCP サーバー用 Integrated Enforcer の動作」 を参照してください。 979 980 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサアプライアンスのよく寄せられる質問 LAN エンフォースメント LAN エンフォースメントは、802.1x プロトコルを使うことによっ て機能し、ネットワークに接続しているスイッチとクライアント システムの間で認証を行います。このエンフォースメントの方 法を使うには、スイッチソフトウェアが 802.1x プロトコルをサ ポートしている必要があり、その設定が正しくなければなりま せん。管理者がユーザー ID やホストの NAC の状態を確認 する場合には、802.1x サプリカントソフトウェアも必要です。 シマンテック製品の設定ではなく、スイッチの設定により、ク ライアントの存在しないシステムに対する例外を処理する必 要があります。 このスイッチを設定する方法はいろいろあります。方法は、ス イッチの種類と実行するソフトウェアのバージョンによって変 わります。標準的な方法は、ゲスト VLAN の概念を実現した ものです。クライアントの存在しないシステムは、接続先が限 定されたネットワークに割り当てられます。もう 1 つの方法は、 MAC アドレス上の例外に基づきます。 選択したポートで 802.1x を無効にできます。ただし、802.1x を無効にしたポートを使って誰もが接続できるようになるため 推奨しません。多くの製造元が VoIP フォンに対する特別な 規定を設けており、それによってこれらのデバイスを特別な voice VLAN に自動的に移動できます。 p.656 の 「LAN エンフォーサアプライアンスの動作」 を参照 してください。 エンフォースメントの汎用 API エンフォースメントの汎用 API を使うと、サードパーティ製 API の実装によって例外が処理されます。 Cisco NAC を使ったエンフォースメ シマンテックのソリューションを使って Cisco NAC とインター ント フェースをとると、Cisco NAC のアーキテクチャが例外を処 理します。 ネットワーク上のデバッグ情報の転送について エンフォーサアプライアンスで問題が発生すると、デバッグログがエンフォーサに作成さ れます(kernel.log)。デバッグ情報をネットワーク上で転送する必要がある場合、次のデ バッグコマンドの 1 つを使ってデバッグログを転送します。 debug upload 1 つのファイルを tftp サーバーに転送 ネットワーク上でファイルを転送するには、コンピュータとエンフォーサアプライアンスをシ リアル接続する必要があります。 次の例は、HyperTerminal が実行したファイル転送出力を示します。 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサと On-Demand Client との接続のトラブルシューティング <date> <Time> <File Name> 2008-08-01 16:32:26 user.log 2008-08-01 16:32:24 kernel.log 2008-08-01 14:30:03 ServerSylink[04-05-2010-14-30-03].xml 2008-08-01 14:29:59 ServerProfile[04-05-2010-14-29-59].xml Enforcer(debug)# upload tftp 10.1.1.1 filename kernel.log p.1022 の 「CLI コマンド階層」 を参照してください。 エンフォーサと On-Demand Client との接続のトラブル シューティング ここでは、エンフォーサと On-Demand Client との接続のトラブルシューティングを行うと きに確認できるいくつかの領域と既知の問題について説明します。 接続のトラブルシューティング 表 56-3 問題 解決策 PPTP VPN、CheckPoint VPN、 この問題に対しては次のような解決策が考えられます。 Juniper VPN のいずれかを使っ ■ ファイアウォールの設定をに変更してください 39999 番の UDP ポートを遮断解除して てエージェントをダウンロードする ください。 とファイアウォールによってクライ ■ エンフォーサのルートテーブルに静的経路を追加する。 次に例を示します。 アントが遮断される route add IP netmask NM device eth0 IP と NM は、クライアントの IP アドレスプールの IP アドレスとサブネットマスクです。こ のプールは管理者によって VPN で設定されます ダウンロード時間が長くなることが クライアントが VeriSign にトラフィックを送信することがあり、その場合はダウンロードに多 ある 少時間がかかります。この問題を回避するには、信頼できる IP のリストに VeriSign を追加 するように管理者に依頼します。 初回のホストインテグリティ検査に ホストインテグリティ検査に時間がかかるのは DNS の解決の問題であり、初回以降は発生 時間がかかることがある しません。 ユーザーに管理者権利がない場 ファイアウォールの設定を変更して UDP ポート 39999 を遮断解除します。または、 合にクライアントのファイアウォー cclientctl.exe を使ってファイアウォールを設定します。 ルによって On-Demand Client が遮断される エンフォーサをアップグレードす この問題は、パッケージの合計サイズが原因です。この問題を回避するには、エンフォー ると初期状態では手動インストー サをアップグレードして Client Manual Install Package on Symantec Endpoint ルパッケージが含まれない Protection Manager をインポートしてからエンフォーサのオンデマンド機能を有効にしま す。これにより、手動インストールのファイルが追加されます。 981 982 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサと On-Demand Client との接続のトラブルシューティング 問題 解決策 エンフォーサのリダイレクト URL リダイレクト URL の上書きの問題は、エンフォーサでオンデマンド機能が有効になってい によって Symantec Endpoint る場合にのみ発生します。これは正常な動作です。 Protection Manager の前のリダ イレクト URL が上書きされる Vista クライアントで DHCP サー これはタイミングの問題です。DHCP タイムアウトの設定を 12 秒以上に変更してください。 バーから IP アドレスを受信できな いことがある JRE がインストールされていない この問題を回避するには、JRE がインストールされていることを確認します。JRE がインス と通常のユーザーがエージェント トールされていない場合、これをインストールできるのは管理者だけです。 をインストールできない 802.1x 認証を使っている場合に 無線接続を再開する必要があります。 On-Demand Client をインストー ルして終了すると無線サービスが 切断される Norton 360 v. 2.x を実行してい この問題を解決するには、手動ダウンロードのリンクからクライアントをダウンロードしてイン るシステムでクライアントを受信で ストールします。 きない ユーザー権利しかない場合に Firefox でクライアントと NP プラ グインをダウンロードできない NP プラグインのインストールには管理者権利が必要です。 手動インストールに失敗すること がある この問題を解決するには、Microsoft のパッチ KB893803 のインストールが必要になるこ とがあります。このパッチは手動インストールパッケージに含まれています。クライアントをイ ンストールする前にインストールする必要があります。管理者権限が必要です。 802.1x 認証が失敗する エージェントが動作するためにはドライバをインストールする必要があります。Windows Vista で 802.1x 認証が必要な場合は、「管理者として実行」を使ってブラウザを開くか UAC を無効にして、エージェントが管理者権限で動作するようにする必要があります。 「Old version of ActiveX 既存の ActiveX を削除する必要があります。[ツール]、[アドオンの管理]、[アドオンの有 detected」というメッセージが表示 効化または無効化]、[ダウンロードされた ActiveX コントロール]の順にクリックして、 される [HodaAgt class]を削除します。 ブラウザで「can not display クライアントがすでに実行されている可能性があります。セキュリティの一環として、実行中 webpage」というメッセージが表示 のクライアントセッション内で新しいクライアントをダウンロードすることはできません。 されてクライアントが正常にダウン ロードされない Firefox ブラウザでクライアントを この問題は Firefox を初めて実行したときに発生します。Firefox の設定を完了するには、 ダウンロードできないことがある 最初に数回 Firefox を再起動する必要があります。その後で On-Demand Client をダウ ンロードできます。 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサと On-Demand Client との接続のトラブルシューティング 問題 解決策 Mac OS 10.4 を実行しているコン これは、このバージョンの Mac OS の問題のようです。バージョン 10.5 以降ではこの問題 ピュータで、ホスト名が変更される は発生しません。バージョン 10.4 でこの問題を回避するには、/etc/hostconfig/ で ためにコンピュータが正しく認証 ホスト名を設定します。 されないことがある システム変数 %temp% に依存 これは、%temp% が永続的でないためです。この問題を回避するには別の場所を指定し するカスタムホストインテグリティ検 ます。 査が機能しない Windows のレジストリ値を参照す これは、ユーザーセッションが永続的でないためです。 るカスタムホストインテグリティルー ルが正しく機能しない Panda Titanium 2007 や Panda Panda は重要な Symantec Network Access Control ファイルを削除します。削除された Internet Security 2007 または ファイルは自動的に再インストールされるため、何もする必要はありません。 2008 をインストールすると、 「Please wait while Windows configures Symantec Network Access Control」というメッセージ が表示される Mac クライアントの透過モードの Mac オンデマンドクライアントは PEAP 認証と互換性がありません。Mac が PEAP 認証を dot1x 認証が失敗することがある 行うように設定されている場合は、Mac 上のネットワーク接続のプロパティでこの認証を無 効にする必要があります。その後は、透過モードの dot1x 認証が正常に動作します。 Windows Vista で PEAP とカス この問題は Windows Vista でカスタム VSA と PEAP 認証を使っている場合にのみ発生 タム VSA を使っている場合にオ します。この問題を回避するには、別の形式の認証を使います。 ンデマンドクライアントが正しく認 証できない 983 984 第 56 章 エンフォーサアプライアンスのトラブルシューティング エンフォーサと On-Demand Client との接続のトラブルシューティング A 移行とクライアント配備につ いての参照先 この付録では以下の項目について説明しています。 ■ アップグレードと移行に関する情報 ■ サポートされるサーバーアップグレードパス ■ サポートされるクライアントアップグレードパス ■ Mac クライアントでサポートされている移行とサポートされていない移行 ■ クライアントにインストールする機能の決定 ■ 11.x と 12.1 のクライアントの機能のマッピング ■ プラットフォームでのクライアント保護機能 ■ プラットフォーム別の管理機能 ■ Windows と Mac で利用可能なウイルスとスパイウェアの防止ポリシーの設定 ■ Windows と Mac で利用可能な LiveUpdate ポリシーの設定 ■ バージョン 12.1 にアップグレードする前の Symantec Endpoint Protection Manager のディスク容量の増加 アップグレードと移行に関する情報 表 A-1 に、Symantec Endpoint Protection のアップグレードと移行に関係のある主な トピックを示します。 986 付録 A 移行とクライアント配備についての参照先 アップグレードと移行に関する情報 表 A-1 製品のアップグレードと移行に関するリソース タスク トピック サポート対象のアップグレードパスとサ 新規インストールの場合、Symantec Endpoint Protection ポート外のアップグレードパス Manager をインストールした後で、クライアントソフトウェア をコンピュータに配備します。既存インストールの場合、 Symantec Endpoint Protection Manager をアップグレー ドした後で、既存のクライアントを Symantec Endpoint Protection の新しいバージョンにアップグレードします。 p.988 の 「サポートされるクライアントアップグレードパス」 を 参照してください。 p.987 の 「サポートされるサーバーアップグレードパス」 を 参照してください。 p.988 の 「Mac クライアントでサポートされている移行とサ ポートされていない移行」 を参照してください。 クライアントソフトウェアのインストール p.115 の 「クライアントインストールの準備」 を参照してくだ パッケージを受け取るようにコンピュー さい。 タを準備する クライアント用のセキュリティポリシーを p.232 の 「セキュリティポリシーの種類」 を参照してください。 作成する p.237 の 「ポリシーの追加」 を参照してください。 クライアントの機能セットを設定する p.132 の 「クライアントのインストール設定について」 を参照 してください。 p.133 の 「クライアントインストールパッケージ機能の設定」 を参照してください。 p.989 の 「クライアントにインストールする機能の決定」 を参 照してください。 p.123 の 「クライアントの配備方法について」 を参照してく ださい。 クライアントコンピュータにクライアント p.123 の 「クライアントの配備方法について」 を参照してく を配備する ださい。 クライアントを新しいバージョンに移行 p.138 の 「Symantec Endpoint Protection への移行につ する いて」 を参照してください。 レガシークライアントから新しいクライ p.990 の 「11.x と 12.1 のクライアントの機能のマッピング」 アントへの保護技術および機能のマッ を参照してください。 ピング 付録 A 移行とクライアント配備についての参照先 サポートされるサーバーアップグレードパス タスク トピック 機能とポリシーの説明 p.41 の 「Symantec Endpoint Protection が提供する脅 威防止の種類について」 を参照してください。 p.232 の 「セキュリティポリシーの種類」 を参照してください。 機能の依存関係 p.302 の 「Symantec Endpoint Protection の保護機能が 連携動作する方法」 を参照してください。 プラットフォームによって使用可能な 機能 p.993 の 「プラットフォームでのクライアント保護機能」 を参 照してください。 ライセンスのアップグレード p.106 の 「製品のアップグレードとライセンスについて」 を 参照してください。 移行手順と一般情報 p.138 の 「Symantec Endpoint Protection への移行につ いて」 を参照してください。 移行について詳しくは、ナレッジベースで、「Endpoint Security Migration & Installation」を参照してください。 サポートされるサーバーアップグレードパス 次の Symantec Endpoint Protection Manager アップグレードパスがサポートされてい ます。 ■ 11.x から 12.1(製品版) ■ 12.0 Small Business Edition から 12.1(製品版) ■ 12.1 Small Business Edition から 12.1(製品版) メモ: Symantec AntiVirus 9.x および 10.x サーバー情報は、Symantec Endpoint Protection Manager バージョン 12.1 のインストール時にインポートできます。 p.140 の 「Symantec Client Security または Symantec AntiVirus からの移行」 を参照 してください。 次のダウングレードパスはサポートされていません。 ■ 12.1(製品版)から 12.1 Small Business Edition ■ 11.x から 12.1 Small Business Edition 987 988 付録 A 移行とクライアント配備についての参照先 サポートされるクライアントアップグレードパス サポートされるクライアントアップグレードパス 次の Symantec Endpoint Protection クライアントバージョンはバージョン 12.1 に直接 アップグレードできます。 ■ 11.0.780.1109 ■ 11.0.1000.1375 - MR1 ■ 11.0.2000.1567 - MR2(メンテナンスパッチを含む) ■ 11.0.3001.2224 - MR3 ■ 11.0.4000.2295 - MR4(メンテナンスパッチを含む) ■ 11.0.5002.333 - RU5 ■ 11.0.6000.550 - RU6(メンテナンスパッチを含む) ■ 12.0.122.192 Small Business Edition ■ 12.0.1001.95 Small Business Edition RU1 Symantec Sygate Enterprise Protection 5.x および Symantec AntiVirus 9.x および 10.x から 12.1(製品版)へのアップグレードはサポートされています。 Mac クライアントでサポートされている移行とサポートさ れていない移行 表 A-2 は Symantec Endpoint Protection for Mac クライアントに移行できる製品を示 します。 表 A-2 移行元 Symantec AntiVirus for Mac から Symantec Endpoint Protection Mac クライアントへの移行パス 移行先 サポート対象か? 管理対象の Symantec AntiVirus 管理対象の Symantec ○ for Mac クライアント Endpoint Protection for Mac クライアント 管理外の Symantec AntiVirus for 管理外の Symantec ○ Mac クライアント Endpoint Protection for Mac クライアント 管理外の Symantec AntiVirus for 管理対象の Symantec ○ Mac クライアント Endpoint Protection for Mac クライアント 付録 A 移行とクライアント配備についての参照先 クライアントにインストールする機能の決定 移行元 移行先 サポート対象か? 管理対象の Symantec AntiVirus 管理外の Symantec はい。しかし、管理下クライア for Mac クライアント Endpoint Protection for Mac ントの設定は保持されます。 クライアント Norton AntiVirus for Mac 管理対象または管理外の Symantec Endpoint Protection for Mac クライア ント いいえ。クライアントは Symantec Endpoint Protection をインストールす る前に Norton 製品をアンイ ンストールする必要がありま す。 クライアントにインストールする機能の決定 クライアント配備ウィザードを使用して、クライアントを配備する場合、機能セットを選択す る必要があります。この機能セットには、クライアントにインストールされる複数の保護コン ポーネントが含まれます。デフォルトの機能セットを選択するか、個別のコンポーネントを 選択できます。コンピュータの役割やコンピュータに必要なセキュリティまたはパフォーマ ンスのレベルに基づいて、インストールする機能セットを決定します。 表 A-3 に、クライアントコンピュータの役割に基づいて、クライアントコンピュータにインス トールする必要がある保護技術を示します。 表 A-3 コンピュータの役割別の推奨される機能セット クライアントコンピュータの役割 推奨される機能セット ワークステーション、デスクトップ、 ラップトップの各コンピュータ クライアントの完全保護 すべての保護技術が含まれます。ラップトップ、ワークステー ション、デスクトップに適しています。完全なダウンロード保護 とメールプロトコル保護が含まれます。 メモ: 可能な限り、最大のセキュリティのために完全保護を使 用してください。 サーバー サーバーの完全保護 メールプロトコル保護を除くすべての保護技術が含まれま す。最大限のネットワークセキュリティを必要とするすべての サーバーに適しています。 高スループットのサーバー サーバーの基本保護 ウイルス対策とスパイウェア対策とダウンロード保護が含まれ ます。最大限のネットワークパフォーマンスを必要とするすべ てのサーバーに適しています。 989 990 付録 A 移行とクライアント配備についての参照先 11.x と 12.1 のクライアントの機能のマッピング p.133 の 「クライアントインストールパッケージ機能の設定」 を参照してください。 11.x と 12.1 のクライアントの機能のマッピング 自動アップグレード機能を使用してクライアントをアップグレードするときに、[既存の機能 を維持する]オプションにチェックマークを付けた場合、レガシークライアントで設定され ている機能が新しいバージョンにマップされます。 このセクションの表では、一般的な更新シナリオでの、Symantec Endpoint Protection の旧バージョンと新バージョンの機能のマッピングを示します。 以前のバージョンから移行する場合、Symantec Endpoint Protection 11.x の「ウイル ス対策とスパイウェア対策」は、バージョン 12.1 では「ウイルスとスパイウェアの対策」とい う名称であることに注意してください。 表 A-4 では、11.x と 12.1 のクライアントのデフォルトの保護技術を比較します。 表 A-4 11.x と 12.1 のクライアントのデフォルトの保護 11.x クライアントのデフォルトの保護 12.1 クライアントのデフォルトの保護 ウイルス対策 + TruScan ウイルス対策 + SONAR + ダウンロードインサイ ト ウイルス対策 ウイルス対策 + 基本ダウンロードインサイト プロアクティブ脅威防止を除くウイルス対策 SONAR またはダウンロードインサイトを除くウイ ルス対策 表 A-5 11.x から 12.1 へのマッピング(完全保護) 既存の 11.x でインストールされている機 能 自動アップグレード後にインストールされる 12.1 の機能 ウイルス対策とスパイウェア対策 ウイルス対策とスパイウェア対策 ■ ウイルス対策とスパイウェア対策 Auto-Protect 電子メール保護 ■ 基本のウイルス対策とスパイウェア対策 ■ ダウンロードインサイト Auto-Protect 電子メール保護 ■ POP3/SMTP スキャナ ■ POP3/SMTP スキャナ ■ Microsoft Outlook スキャナ ■ Microsoft Outlook スキャナ ■ Lotus Notes スキャナ ■ Lotus Notes スキャナ プロアクティブ脅威防止 プロアクティブ脅威防止 ■ TruScan プロアクティブ脅威スキャン ■ SONAR ■ アプリケーションとデバイス制御 ■ アプリケーションとデバイス制御 付録 A 移行とクライアント配備についての参照先 11.x と 12.1 のクライアントの機能のマッピング 既存の 11.x でインストールされている機 能 自動アップグレード後にインストールされる 12.1 の機能 ネットワーク脅威防止 ネットワーク脅威防止 ■ ネットワーク脅威防止 ■ ネットワーク脅威防止 ■ 侵入防止 ■ 侵入防止 表 A-6 11.x から 12.1 へのマッピング(AV のみ) 既存の 11.x でインストールされている機 能 自動アップグレード後にインストールされる 12.1 の機能 ウイルス対策とスパイウェア対策 ウイルス対策とスパイウェア対策 ■ ウイルス対策とスパイウェア対策 Auto-Protect 電子メール保護 ■ 基本のウイルス対策とスパイウェア対策 Auto-Protect 電子メール保護 ■ POP3/SMTP スキャナ ■ POP3/SMTP スキャナ ■ Microsoft Outlook スキャナ ■ Microsoft Outlook スキャナ ■ Lotus Notes スキャナ ■ Lotus Notes スキャナ 表 A-7 11.x から 12.1 へのマッピング(AV + プロアクティブ脅威防止) 既存の 11.x でインストールされている機 能 自動アップグレード後にインストールされる 12.1 の機能 ウイルス対策とスパイウェア対策 ウイルス対策とスパイウェア対策 ■ ウイルス対策とスパイウェア対策 Auto-Protect 電子メール保護 ■ 基本のウイルス対策とスパイウェア対策 ■ ダウンロードインサイト Auto-Protect 電子メール保護 ■ POP3/SMTP スキャナ ■ POP3/SMTP スキャナ ■ Microsoft Outlook スキャナ ■ Microsoft Outlook スキャナ ■ Lotus Notes スキャナ ■ Lotus Notes スキャナ プロアクティブ脅威防止 プロアクティブ脅威防止 ■ TruScan プロアクティブ脅威スキャン ■ SONAR ■ アプリケーションとデバイス制御 ■ アプリケーションとデバイス制御 ネットワーク脅威防止 ■ 侵入防止システム ネットワーク脅威防止 ■ 侵入防止システム 991 992 付録 A 移行とクライアント配備についての参照先 11.x と 12.1 のクライアントの機能のマッピング 表 A-8 11.x から 12.1(製品版)へのマッピング(ファイアウォールのみ) 既存の 11.x でインストールされている機 能 自動アップグレード後にインストールされる 12.1 の機能 Auto-Protect 電子メール保護 Auto-Protect 電子メール保護 ■ POP3/SMTP スキャナ ■ POP3/SMTP スキャナ ■ Microsoft Outlook スキャナ ■ Microsoft Outlook スキャナ ■ Lotus Notes スキャナ ■ Lotus Notes スキャナ プロアクティブ脅威防止 ■ アプリケーションとデバイス制御 ネットワーク脅威防止 ■ ネットワーク脅威防止 プロアクティブ脅威防止 ■ アプリケーションとデバイス制御 ネットワーク脅威防止 ■ ネットワーク脅威防止 メモ: 12.1 バージョンにはファイアウォール のみが含まれる 表 A-9 12.0 Small Business Edition から 12.1(製品版)へのマッピング 既存の 12.0 Small Business Edition でイ 自動アップグレード後にインストールされる ンストールされている機能 12.1 の機能 ウイルス対策とスパイウェア対策 ■ ウイルス対策とスパイウェア対策 Auto-Protect 電子メール保護 ウイルス対策とスパイウェア対策 ■ 基本のウイルス対策とスパイウェア対策 ■ ダウンロードインサイト Auto-Protect 電子メール保護 ■ POP3/SMTP スキャナ ■ POP3/SMTP スキャナ ■ Microsoft Outlook スキャナ ■ Microsoft Outlook スキャナ プロアクティブ脅威防止 ■ TruScan プロアクティブ脅威スキャン ネットワーク脅威防止 ■ ファイアウォールと侵入防止 プロアクティブ脅威防止 ■ SONAR ■ アプリケーションとデバイス制御 ネットワーク脅威防止 ■ ネットワーク脅威防止 ■ 侵入防止 p.34 の 「バージョン 12.1 の新機能」 を参照してください。 付録 A 移行とクライアント配備についての参照先 プラットフォームでのクライアント保護機能 プラットフォームでのクライアント保護機能 表 A-10 に、各クライアントコンピュータプラットフォームで利用可能な保護機能の相違を 示します。 表 A-10 Symantec Endpoint Protection クライアント保護 クライアント機能 Windows XP (SP2)、 Windows Vista、 Windows 7、 32 ビット Windows XP (SP2)、 Windows Vista、 Windows 7、 64 ビット Windows Server 2003、 Windows Server 2008、 32 ビット Windows Mac Server 2003、 Windows Server 2008、 64 ビット Linux 定時スキャン ○ ○ ○ ○ ○ ○ オンデマンドスキャン ○ ○ ○ ○ ○ ○ ファイルシステムに対する Auto-Protect ○ ○ ○ ○ ○ ○ インターネット電子メール Auto-Protect ○ × × × × × Microsoft Outlook Auto-Protect ○ ○ ○ ○ × × Lotus Notes Auto-Protect ○ ○ ○ ○ × × SONAR ○ ○ ○ ○ × × ファイアウォール ○ ○ ○ ○ × × 侵入防止 ○ ○ ○ ○ × × アプリケーションとデバイス制御 ○ ○ ○ ○ × × ホストインテグリティ ○ ○ ○ ○ × × 改変対策 ○ ○(制限あり) ○ ○(制限あり) × × p.994 の 「プラットフォーム別の管理機能」 を参照してください。 p.995 の 「Windows と Mac で利用可能なウイルスとスパイウェアの防止ポリシーの設定」 を参照してください。 p.996 の 「Windows と Mac で利用可能な LiveUpdate ポリシーの設定」 を参照してくだ さい。 993 994 付録 A 移行とクライアント配備についての参照先 プラットフォーム別の管理機能 プラットフォーム別の管理機能 表 A-11 は Windows と Mac のクライアントプラットフォームで利用可能な管理機能を説 明しています。 Windows と Mac の Symantec Endpoint Protection Manager 機能の 比較 表 A-11 機能 Windows Symantec Endpoint Protection ○ Manager からのクライアントのリモー ト配備 Symantec Endpoint Protection Manager からのクライアント管理 Mac × ○ ○ 管理サーバーからのウイルス定義と ○ 製品の更新 × 管理サーバーからのコマンドの実行 ■ スキャン ■ スキャン ■ コンテンツの更新 ■ コンテンツの更新 ■ コンテンツの更新とスキャン ■ コンテンツの更新とスキャン ■ クライアントコンピュータの再起動 ■ クライアントコンピュータの再起動 ■ Auto-Protect を有効にする ■ Auto-Protect を有効にする ■ クライアントコンピュータの再起動 ■ クライアントコンピュータの再起動 ■ Auto-Protect を有効にする ■ Auto-Protect を有効にする ■ ネットワーク脅威防止を有効にする ■ ネットワーク脅威防止を無効にする グループ更新プロバイダを使った更 ○ 新の提供 × Intelligent Updater の実行 ○ ○ 管理サーバーでのサードパーティ ツールのパッケージ更新 ○ ×* ランダム化されたスキャンの設定 ○ × ランダム化された更新の設定 ○ ○ *Intelligent Updater を実行して Mac コンテンツの更新を取得できます。そして、Apple Remote Desktop のようなサードパーティツールを使って、更新をプッシュ型で Mac クラ イアントに転送できます。 p.524 の 「Intelligent Updater ファイルによるクライアントのウイルスとセキュリティリスクの 定義の更新」 を参照してください。 付録 A 移行とクライアント配備についての参照先 Windows と Mac で利用可能なウイルスとスパイウェアの防止ポリシーの設定 p.995 の 「Windows と Mac で利用可能なウイルスとスパイウェアの防止ポリシーの設定」 を参照してください。 p.996 の 「Windows と Mac で利用可能な LiveUpdate ポリシーの設定」 を参照してくだ さい。 p.993 の 「プラットフォームでのクライアント保護機能」 を参照してください。 Windows と Mac で利用可能なウイルスとスパイウェア の防止ポリシーの設定 表 A-12 に、Windows クライアントと Mac クライアントで利用可能なポリシーの設定の相 違を示します。 ウイルスとスパイウェアの防止ポリシーの設定(Windows と Mac の み) 表 A-12 ポリシー設定 Windows スキャンの処理の定義 異なる種類のウイルスまたはリスクが見つかっ 次のいずれかの処理を指定できます。 たときの第 1 と第 2 の処理を指定できます。 ■ 感染ファイルを自動的に修復する 次の処理を指定できます。 ■ 修復できないファイルを検疫する ■ クリーニング ■ 検疫 ■ 削除 ■ 放置 Mac ウイルスまたはリスクが見つかっ 次の修復処理を指定できます。 修復は自動的に処理に関連付けられます。 た場合の修復の指定 ■ ファイルを修復する前にバックアップを作 成する ■ プロセスを自動的に終了する ■ サービスを自動的に停止する スキャンの種類の設定 アクティブ、完全、カスタム カスタムのみ 定時スキャンの再試行 ○ × 追加の場所をチェックするため ○ のスキャンの設定(スキャン拡 張) × ストレージ移行スキャンの設定 ○ × スキャン例外の設定 ○ ○ p.994 の 「プラットフォーム別の管理機能」 を参照してください。 995 996 付録 A 移行とクライアント配備についての参照先 Windows と Mac で利用可能な LiveUpdate ポリシーの設定 p.996 の 「Windows と Mac で利用可能な LiveUpdate ポリシーの設定」 を参照してくだ さい。 p.993 の 「プラットフォームでのクライアント保護機能」 を参照してください。 Windows と Mac で利用可能な LiveUpdate ポリシーの 設定 表 A-13 は Windows クライアントと Mac クライアントがサポートする LiveUpdate 設定ポ リシーのオプションを表示します。 LiveUpdate ポリシーの設定(Windows と Mac のみ) 表 A-13 ポリシー設定 Windows Mac デフォルト管理サーバーを使う ○ × LiveUpdate サーバーを使う(内部または ○ 外部) ○ GUP (Group Update Provider) を使いま ○ す × サードパーティコンテンツ管理を有効にす ○ る × LiveUpdate プロキシの設定 ○ ○(ただし、LiveUpdate ポリシーで設定 せず、[外部通信の設定]から設定する) LiveUpdate スケジュール ○ [頻度]と[ダウンロードランダム化]オプ ションの場合○、他のすべてのスケ ジュールオプションの場合× ユーザー設定 ○ × 製品更新の設定 ○ ○ HTTP ヘッダー ○ × ただし、Intelligent Updater を実行し て Mac コンテンツの更新を取得できま す。そして、Apple Remote Desktop の ようなサードパーティツールを使って、更 新をプッシュ型で Mac クライアントに転 送できます。 p.524 の 「Intelligent Updater ファイルによるクライアントのウイルスとセキュリティリスクの 定義の更新」 を参照してください。 p.994 の 「プラットフォーム別の管理機能」 を参照してください。 付録 A 移行とクライアント配備についての参照先 バージョン 12.1 にアップグレードする前の Symantec Endpoint Protection Manager のディスク容量の増加 p.995 の 「Windows と Mac で利用可能なウイルスとスパイウェアの防止ポリシーの設定」 を参照してください。 p.993 の 「プラットフォームでのクライアント保護機能」 を参照してください。 バージョン 12.1 にアップグレードする前の Symantec Endpoint Protection Manager のディスク容量の増加 Symantec Endpoint Protection Manager バージョン 12.1 では最小 5 GB の空きディ スク容量が必要です。レガシーサーバーまたは新しいハードウェアがハードウェアの最小 必要条件を満たしていることを確認してください。 メモ: 設定の変更を行う前に、データベースのバックアップを作成してください。 p.642 の 「データベースとログのバックアップ」 を参照してください。 表 A-14 に、アップグレードのために使用可能なディスク容量を増やす方法を示します。 表 A-14 タスク 管理サーバーのディスク容量を増やすためのタスク 説明 LiveUpdate の設定を、必要な容量 1 を減らすように変更する [管理]、[サーバー]の順に移動し、[ローカルサイト] を右クリックします。[プロパティの編集]を選択します。 2 [LiveUpdate]タブで、[アップグレードのネットワーク パフォーマンスが向上するように圧縮解除したクライア ントパッケージを格納する]のチェックマークをはずしま す。 3 [LiveUpdate]タブで、保持するコンテンツリビジョンの 数を減らします。最適な値は 30 リビジョンですが、設 定を少なくするほど、使われるディスク領域が少なくな ります。アップグレードのために、設定を 10 まで減ら し、アップグレード後に設定を 30 に戻すこともできま す。 Symantec Endpoint Protection 1 Manager データベースから未使用 のウィルス定義が削除されているこ 2 とを確認する [管理]、[サーバー]の順に移動し、[ローカルサイト] を右クリックします。[プロパティの編集]を選択します。 [データベース]タブで、[未使用ウイルス定義を削除] にチェックマークが付けられていることを確認します。 997 998 付録 A 移行とクライアント配備についての参照先 バージョン 12.1 にアップグレードする前の Symantec Endpoint Protection Manager のディスク容量の増加 タスク 説明 共存するプログラムとファイルを再配 ■ Symantec Endpoint Protection Manager と同じコン 置するか削除する ピュータに他のプログラムがインストールされている場合、 それらを別のサーバーに再配置することを考慮します。 使用されていないプログラムは削除できます。 ■ Symantec Endpoint Protection Manager が他のスト レージを多く使用するアプリケーションとコンピュータを共 有している場合、コンピュータを Symantec Endpoint Protection Manager のサポート専用にすることを考慮 します。 ■ Symantec Endpoint Protection の一時ファイルを削除 します。 削除可能な一時ファイルのリストについては、ナレッジ ベースの「Symantec Endpoint Protection Manager directories contain many .TMP folders consuming large amounts of disk space」を参照してください。 メモ: プログラムとファイルの削除後、ハードドライブのデフラ グを行います。 外部データベースを使用する Symantec Endpoint Protection データベースが Symantec Endpoint Protection Manager と同じコンピュータにある場 合、Microsoft SQL データベースを別のコンピュータにイン ストールすることを考慮します。大量のディスク領域を節約で き、ほとんどの場合、パフォーマンスが向上します。 p.78 の 「データベースの種類の選択について」 を参照して ください。 メモ: アップグレードの前に、クライアントコンピュータにも十分なディスク容量があることを 確認します。システムの必要条件を確認し、必要に応じて、不要なプログラムとファイルを 削除してから、クライアントコンピュータハードドライブのデフラグを行います。 p.71 の 「システム必要条件」 を参照してください。 B サードパーティツールを利用 したクライアントインストール のカスタマイズと配備 この付録では以下の項目について説明しています。 ■ サードパーティツールを使ったクライアントソフトウェアのインストール ■ クライアントインストール機能とプロパティについて ■ Symantec Endpoint Protection クライアントのインストールプロパティ ■ Symantec Endpoint Protection クライアントの機能 ■ Windows インストーラのパラメータ ■ Windows セキュリティセンターのプロパティ ■ クライアントをインストールする場合のコマンドラインの例 ■ Symantec Management Agent を使ったクライアントソフトウェアのインストールと配 備について ■ Microsoft SMS 2003 を使ったクライアントのインストール ■ Active Directory Group Policy Object を使ったクライアントのインストール ■ Active Directory Group Policy Object を使ったクライアントソフトウェアのアンイン ストール 1000 付録 B サードパーティツールを利用したクライアントインストールのカスタマイズと配備 サードパーティツールを使ったクライアントソフトウェアのインストール サードパーティツールを使ったクライアントソフトウェアの インストール 管理サーバーにインストールされているツール以外のサードパーティツールを使ってクラ イアントをインストールできます。大規模なネットワークがある場合は、シマンテック製クラ イアントソフトウェアをインストールするために、これらのオプションを使うことにより、大きい メリットが見込まれます。 クライアントは、Microsoft Active Directory、Tivoli、Microsoft SMS、Novell ZENworks を含むさまざまなサードパーティ製品を使ってインストールできます。Symantec Endpoint Protection は、Novell ZENworks、Microsoft Active Directory、Microsoft SMS をサ ポートします。 表 B-1 に、クライアントをインストールするために使うことができるサードパーティソフトウェ アとツールを示します。 付録 B サードパーティツールを利用したクライアントインストールのカスタマイズと配備 サードパーティツールを使ったクライアントソフトウェアのインストール 表 B-1 クライアントをインストールするサードパーティツール ツール 説明 Windows .msi コマンドラインツール シマンテック製クライアントソフトウェアのインストールパッ ケージは Windows インストーラ(.msi)ファイルであり、標 準の Windows インストーラオプションを使って設定できま す。Active Directory や Tivoli など、.msi の配備をサポー トする環境管理ツールを使って、ネットワークにクライアント をインストールできます。 p.1002 の 「クライアントインストール機能とプロパティについ て」 を参照してください。 p.1002 の 「msi コマンド文字列の設定について」 を参照して ください。 p.1003 の 「setaid.ini の設定について」 を参照してください。 p.1005 の 「Symantec Endpoint Protection クライアントの 機能」 を参照してください。 p.1004 の 「Symantec Endpoint Protection クライアントのイ ンストールプロパティ」 を参照してください。 p.1006 の 「Windows インストーラのパラメータ」 を参照してく ださい。 p.1009 の 「クライアントをインストールする場合のコマンドライ ンの例」 を参照してください。 Windows セキュリティセンター Windows セキュリティセンターとクライアントが連携する方 法を設定できます。 p.1008 の 「Windows セキュリティセンターのプロパティ」 を 参照してください。 Altiris Agent または Symantec Management Agent Symantec Endpoint Protection Manager によってインス トールされる Symantec 統合管理コンポーネントを使ってク ライアントをインストールできます。 p.1010 の 「Symantec Management Agent を使ったクライ アントソフトウェアのインストールと配備について」 を参照し てください。 Microsoft SMS 2003 Microsoft SMS を使ってクライアントをインストールできま す。 p.1010 の 「Microsoft SMS 2003 を使ったクライアントのイン ストール」 を参照してください。 1001 1002 付録 B サードパーティツールを利用したクライアントインストールのカスタマイズと配備 クライアントインストール機能とプロパティについて ツール 説明 Windows 2003 Active Directory クライアントコンピュータが Windows 2000/2003 を実行し ている場合は、Windows 2000/2003 Active Directory Group Policy Object を使うことができます。 p.1012 の 「Active Directory Group Policy Object を使った クライアントのインストール」 を参照してください。 p.1019 の 「Active Directory Group Policy Object を使った クライアントソフトウェアのアンインストール」 を参照してくだ さい。 仮想化ソフトウェア 仮想環境でクライアントをインストールできます。 p.76 の 「サポート対象の仮想インストールと仮想化製品」 を参照してください。 p.124 の 「Web リンクと電子メールを使ったクライアントの配備」 を参照してください。 クライアントインストール機能とプロパティについて インストール機能とプロパティは、テキストファイルやコマンドラインに文字列として表示さ れます。テキストファイルとコマンドラインはすべてのクライアントソフトウェアのインストー ルの間に処理されます。インストール機能はインストールするコンポーネントを制御しま す。インストールプロパティはインストール後に有効または無効にするサブコンポーネント を制御します。インストール機能とプロパティは、Symantec Endpoint Protection クライ アントソフトウェアのみで利用できます。また、Windows オペレーティングシステムでも利 用できます。インストール機能とプロパティは Symantec Network Access Control クラ イアントソフトウェアまたは Symantec Endpoint Protection Manager インストールでは 利用できません。 インストール機能とプロパティは、Setaid.ini ファイルの行および Windows インストーラ (MSI)コマンドの値で指定します。MSI コマンドは、Windows インストーラの文字列で指 定できます。また、カスタマイズしたプッシュ配備ウィザードの配備では vpremote.dat で 指定できます。Windows インストーラコマンドと setaid.ini は、必ずすべての管理下クラ イアントソフトウェアのインストールで処理されます。異なる値が指定された場合、Setaid.ini の値が常に優先されます。 msi コマンド文字列の設定について Symantec Endpoint Protection インストールソフトウェアはWindows インストーラ(msi) 3.1 パッケージを使ってインストールと配備を行います。コマンドラインを使ってパッケー ジを配備する場合は、インストールをカスタマイズできます。Winodws の標準インストー ラパラメータおよび Symantec 固有の機能とプロパティを使うことができます。 付録 B サードパーティツールを利用したクライアントインストールのカスタマイズと配備 クライアントインストール機能とプロパティについて Windows インストーラを使うには、システム特権が必要です。システム特権がないままイ ンストールしようとすると、インストールは通知なく失敗します。シマンテック製品のインス トールコマンドとパラメータの最新リストは、シマンテック社のサポートナレッジベースで、 「MSI command line reference for Symantec Endpoint Protection」を参照してくだ さい。 メモ: Microsoft インストーラのアドバタイズ機能はサポートされていません。setaid.ini で 指定されている機能やプロパティは、MSI で指定された機能やプロパティよりも優先され ます。msi コマンドの機能名およびプロパティ名は大文字と小文字を区別します。 p.1003 の 「setaid.ini の設定について」 を参照してください。 setaid.ini の設定について setaid.ini はすべてのインストールパッケージにあります。Setaid.ini は、インストールの 開始に使われる MSI コマンド文字列の設定よりも必ず優先されます。setaid.ini は、 setup.exe と同じディレクトリにあります。単一の .exe ファイルにエクスポートする場合、 setaid.ini の設定はできません。ただし、コンソールから Symantec Endpoint Protection クライアントインストールファイルをエクスポートするとこのファイルは自動的に設定されま す。 次の行は、setaid.ini で設定できるオプションをいくつか示しています。 [CUSTOM_SMC_CONFIG] InstallationLogDir= DestinationDirectory= [FEATURE_SELECTION] Core=1 SAVMain=1 Download=1 OutlookSnapin=1 Pop3Smtp=0 NotesSnapin=0 PTPMain=1 DCMain=1 TruScan=1 メモ: 機能は階層を示すためにインデントされています。setaid.ini ファイル内ではインデ ントされません。setaid.ini の機能名は大文字と小文字を区別します。 1003 1004 付録 B サードパーティツールを利用したクライアントインストールのカスタマイズと配備 Symantec Endpoint Protection クライアントのインストールプロパティ 値が 1 に設定されている機能はインストールされます。値が 0 に設定されている機能は インストールされません。クライアント機能を正しくインストールするには、親機能を指定し てインストールする必要があります。 p.1005 の 「Symantec Endpoint Protection クライアントの機能」 を参照してください。 SAV 製品ディスクのファイルと一緒にクライアントソフトウェアをインストールする場合の み、setaid.ini は処理されません。これらのファイルは、SMS/SCCM などのサードパー ティの配布ツールでインストールできます。 また、Symantec Endpoint Protection クライアントインストールで MSI プロパティにマッ プされるその他の以下の setaid.ini の設定についても注意してください。 ■ INSTALLDIR にマップされる DestinationDirectory ■ MIGRATESETTINGS にマップされる KeepPreviousSetting ■ ADDSTARTMENUICON にマップされる AddProgramIntoStartMenu Symantec Endpoint Protection クライアントのインストー ルプロパティ 表 B-2 Symantec Endpoint Protection クライアントのインストールプロパティ プロパティ 説明 RUNLIVEUPDATE =val LiveUpdate をインストールの一部として実行するかどうかを決定します。ここで、val は次のいず れかの値です。 ■ 1: インストール中に LiveUpdate を実行します(デフォルト)。 ■ 0: インストール中に LiveUpdate を実行しません。 デフォルトでは、グループ内のすべての Symantec Endpoint Protection クライアントは、すべ てのコンテンツおよびすべての製品の更新の最新版を受け取ります。管理サーバーから更新を 取得するように設定した場合、クライアントはサーバーがダウンロードした更新だけを受け取りま す。LiveUpdate コンテンツポリシーですべての更新の受け取りが許可されていても、管理サー バーがすべての更新をダウンロードしない場合、クライアントはサーバーがダウンロードする更新 だけを受け取ります。 ENABLEAUTOPROTECT インストールの完了後に、ファイルシステム Auto-Protect を有効にするかどうかを決定します。こ =val こで、val は次のいずれかの値です。 ■ 1: インストール後に Auto-Protect を有効にします(デフォルト)。 ■ 0: インストール後に Auto-Protect を無効にします。 付録 B サードパーティツールを利用したクライアントインストールのカスタマイズと配備 Symantec Endpoint Protection クライアントの機能 プロパティ 説明 SYMPROTECTDISABLED 改変対策をインストールの一部として有効にするかどうかを決定します。ここで、val は次のいず =val れかの値です。 ■ 1: インストール後に改変対策を無効にします。 ■ 0: インストール後に改変対策を有効にします。(デフォルト) Symantec Endpoint Protection クライアントの機能 表 B-3 では、setaid.ini ファイルと msi コマンドで指定してインストールできる Symantec Endpoint Protection の機能を示します。ほとんどの機能には親子の関係があります。 親機能を持つ子機能をインストールしたい場合は、親機能もインストールする必要があり ます。 setaid.ini と msi のいずれの場合でも、親機能を指定せずに子機能を指定しても、子機 能はインストールされま