Symantec Endpoint Protection Small Business Edition クラウド管理者ガイド Symantec Endpoint Protection Small Business Edition クラウド管理者ガイド マニュアルバージョン: 2015 年 1 月 法的通知と登録商標 Copyright © 2015 Symantec Corporation. All rights reserved. Symantec、Symantec ロゴ、Checkmark ロゴは Symantec Corporation または同社の米国およ びその他の国における関連会社の商標または登録商標です。その他の会社名、製品名は各社の 登録商標または商標です。 このシマンテック製品には、サードパーティに帰属するサードパーティソフトウェアが含まれている場 合があります。(「サードパーティプログラム」)サードパーティプログラムによっては、オープンソース またはフリーソフトウェアのライセンスの下、利用できるものもあります。ソフトウェアに付属の本ライセ ンス契約では、オープンソースまたはフリーソフトウェアのライセンスの下いかなる権利や義務の変 更も行いません。サードパーティプログラムの詳細については、本シマンテック製品に付属の TPIP ReadMe ファイルまたは本文書の付録資料、サードパーティの法的通知と登録商標を参照してくだ さい。 本書に記載の製品は、ライセンスに基づいて配布され、使用、コピー、配布、逆コンパイル、リバー スエンジニアリングはそのライセンスによって制限されます。Symantec Corporation からの書面に よる許可なく本書を複製することはできません。 本書は「現状有姿のまま」提供され、商品性、特定目的への適合性、不侵害の黙示的な保証を含 む、すべての明示的または黙示的な条件、表明、保証は、この免責が法的に無効であるとみなされ ないかぎり、免責されるものとします。Symantec Corporation は、本書の提供、本書の内容の実行 または使用に関連する付随的または間接的損害に対して、一切責任を負わないものとします。本書 に記載の情報は、予告なく変更される場合があります。 ライセンス対象ソフトウェアおよび資料は、FAR 12.212 の規定によって商用コンピュータソフトウェ アとみなされ、場合に応じて、FAR 52.227-19「Commercial Computer Software - Restricted Rights」、DFARS 227.7202「Rights in Commercial Computer Software or Commercial Computer Software Documentation」、その後続規制の規定により、シマンテック社がオンプレミスとして提供 したかホストサービスとして提供したかにかかわらず、制限された権利の対象となります。米国政府 によるライセンス対象ソフトウェアと関連書類の使用、修正、複製のリリース、実演、表示または開示 は、本使用許諾契約の条項に従ってのみ行われるものとします。 弊社製品に関して、当資料で明示的に禁止、あるいは否定されていない利用形態およびシステム 構成などについて、これを包括的かつ暗黙的に保証するものではありません。また、弊社製品が稼 動するシステムの整合性や処理性能に関しても、これを暗黙的に保証するものではありません。 これらの保証がない状況で、弊社製品の導入、稼動、展開した結果として直接的、あるいは間接的 に発生した損害等についてこれが補償されることはありません。製品の導入、稼動、展開にあたって は、お客様の利用目的に合致することを事前に十分に検証および確認いただく前提で、計画およ び準備をお願いします。 Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.com 目次 第1章 コンピュータへのエージェントの配備 ................................. 6 システムの必要条件 ......................................................................... 6 インターネットアクセス要件 ................................................................. 9 既存のウイルス対策製品とファイアウォール製品の削除 ............................ 10 ウイルス対策およびファイアウォール製品のアンインストール ...................... 13 Symantec.cloud エージェントのダウンロードとインストール ........................ 14 再配布可能インストーラの配備 .......................................................... 19 Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備 ........................................................................ 21 パッケージのダウンロード ........................................................... 22 配備用ドメインコントローラの設定 ................................................. 24 エージェントのダウンロードの招待の管理 ............................................. 25 ダウンロードの招待を説明する手順のユーザーへの送信 .......................... 26 第2章 Endpoint Protection のカスタマイズ ................................ 28 Endpoint Protection ポリシーの概要 .................................................. ニーズに合わせた Endpoint Protection の設定 ..................................... USB デバイス制御について ............................................................. USB デバイス制御の設定 ................................................................ エンドポイントの USB デバイス制御の変更 ........................................... カスタム除外を使用 ........................................................................ スマートファイアウォールの設定 ......................................................... ファイアウォールルールの使用 .................................................... ファイアウォールルールの設定 .......................................................... プログラム制御の使用 ..................................................................... コンピュータのリモートスキャン ........................................................... オンプレミス Endpoint Protection のインストール .................................... 第3章 28 40 41 42 42 43 47 47 49 53 54 55 ローカル更新サービスの実装 ........................................... 56 ローカル更新サービスについて ......................................................... ローカル更新サービスが役立つかどうかの判断 ...................................... ローカル更新ホストの選択 ................................................................ ローカル更新ホストの設定 ................................................................ ローカル更新ホストの管理 ................................................................ 56 56 57 58 59 目次 ローカル更新ホストの脆弱性についての理解 ......................................... 60 第4章 コンピュータの管理 ............................................................. 62 グループ処理の実行 ...................................................................... グローバルポリシーの使用 ............................................................... ローカルエージェントのプロキシ設定の使用 .......................................... 警告の作成 .................................................................................. 第5章 62 63 65 66 ヘルプの検索 ....................................................................... 68 Symantec Endpoint Protection Small Business Edition クラウドのサポー ト ......................................................................................... 68 Symantec Endpoint Protection Small Business Edition のビデオ ............. 69 5 1 コンピュータへのエージェン トの配備 この章では以下の項目について説明しています。 ■ システムの必要条件 ■ インターネットアクセス要件 ■ 既存のウイルス対策製品とファイアウォール製品の削除 ■ ウイルス対策およびファイアウォール製品のアンインストール ■ Symantec.cloud エージェントのダウンロードとインストール ■ 再配布可能インストーラの配備 ■ Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備 ■ エージェントのダウンロードの招待の管理 ■ ダウンロードの招待を説明する手順のユーザーへの送信 システムの必要条件 Web ブラウザを通して SEP SBE (Symantec Endpoint Protection Small Business Edition)クラウドアカウントを管理します。アカウントを管理するコンピュータには、ほとん どの Windows、Linux、Macintosh コンピュータを使えます。 Endpoint Protection エー ジェントを実行するコンピュータには Windows オペレーティングシステムが必要です。 管理コンソールのブラウザアクセス要件 ■ Cookie の有効化 第 1 章 コンピュータへのエージェントの配備 システムの必要条件 ■ JavaScript の有効化 ■ SSL の有効化 ■ ファイアウォールポート 80 と 443 の許可 ■ ユーザーアカウント、警告、レポートの電子メールアドレス ブラウザ要件 表 1-1 ブラウザ バージョン Microsoft Internet Explorer 8 以降(IE 10 以上が最適) Mozilla Firefox 最新版のみがサポート対象です Google Chrome 最新版のみがサポート対象です その他のブラウザ 動作することもありますが、サポートされません Cloud Service Agent、Symantec Endpoint Protection Small Business Edition のクライアント必要条件 ■ AMD または Intel ベースのハードウェア ■ ディスク容量 ■ デスクトップとノートパソコン: 800 MB ■ サーバー: 1000 MB 表 1-2 オペレーティングシステム(OS)要件 オペレーティングシステム 版 サービス パック (SP) アーキテク チャ Endpoint ローカル更 Protection 新ホスト Microsoft Windows 7 Enterprise SP1 x64 および x86 はい はい Microsoft Windows 7 Professional SP1 x64 および x86 はい はい Microsoft Windows 7 Ultimate x64 および x86 はい はい x64 および x86 はい はい x64 および x86 はい はい Microsoft Windows 8 Microsoft Windows 8 Enterprise SP1 7 第 1 章 コンピュータへのエージェントの配備 システムの必要条件 オペレーティングシステム 版 Microsoft Windows 8 Pro サービス パック (SP) Microsoft Windows 8.1 アーキテク チャ Endpoint ローカル更 Protection 新ホスト x64 および x86 はい はい x64 および x86 はい はい Microsoft Windows 8.1 Enterprise x64 および x86 はい はい Microsoft Windows 8.1 Pro x64 および x86 はい はい Microsoft Windows Server 2003 Enterprise SP2 x64 および x86 はい はい Microsoft Windows Server 2003 標準 SP2 x64 および x86 はい はい Microsoft Windows Server 2003 R2 標準 SP2 x64 および x86 はい はい Microsoft Windows Server 2008 Enterprise SP2 x64 および x86 はい はい Microsoft Windows Server 2008 標準 SP2 x64 および x86 はい はい Microsoft Windows Server 2008 R2 データセン ター SP1 x64 はい はい Microsoft Windows Server 2008 R2 Enterprise SP1 x64 はい はい Microsoft Windows Server 2008 R2 標準 SP1 x64 はい はい Microsoft Windows Server 2012 データセン ター x64 はい はい Microsoft Windows Server 2012 標準 x64 はい はい Microsoft Windows Server 2012 R2 標準 x64 はい はい 8 第 1 章 コンピュータへのエージェントの配備 インターネットアクセス要件 オペレーティングシステム 版 サービス パック (SP) アーキテク チャ Endpoint ローカル更 Protection 新ホスト Microsoft Windows Small Business Server 2008 標準 SP2 x64 はい はい Microsoft Windows Vista ビジネス SP2 x64 および x86 はい はい Microsoft Windows Vista Enterprise SP2 x64 および x86 はい はい Microsoft Windows Vista Ultimate SP2 x86 はい はい Microsoft Windows XP Professional SP2 x64 はい はい Microsoft Windows XP Professional SP3 x86 はい はい p.9 の 「インターネットアクセス要件」 を参照してください。 インターネットアクセス要件 プロキシを使用するネットワーク(Microsoft ISA や Linux Squid など)では、プロキシホ ワイトリストに Endpoint Protection URL を追加することが必要になる場合があります。以 下に、さまざまなタスクを実行するために Symantec.cloud Agent がアクセスするサー バーを示します。 ■ hb.lifecycle.norton.com ■ www.norton.com ■ liveupdate.symantecliveupdate.com ■ ratings-wrs.symantec.com ■ stats.qalabs.symantec.com ■ shasta-rrs.symantec.com ■ sasmain.symantec.com ■ sas1alt.symantec.com ■ www.symantec.com ■ ssaw.symantec.com ■ siaw.symantec.com ■ heartbeat.s2.spn.com 9 第 1 章 コンピュータへのエージェントの配備 既存のウイルス対策製品とファイアウォール製品の削除 ■ message.s2.spn.com ■ hostedendpoint.spn.com ■ ins.spn.com ■ https://manage.symanteccloud.com ■ https://activate.symanteccloud.com ■ http://help.elasticbeanstalk.com これらの URL をプロキシホワイトリストに追加すると、必要なすべてのエージェントと通信 できるようになります。 p.6 の 「システムの必要条件」 を参照してください。 既存のウイルス対策製品とファイアウォール製品の削除 Symantec Endpoint Protection Small Business Edition クラウドから最大限のパフォー マンスを引き出すには、エージェントをインストールする前に、シマンテック社製または他 社製のウイルス対策製品やファイアウォール製品を削除する必要があります。これらのプ ログラムは、お使いのコンピュータとの危険な通信を阻止します。ただし、こうした危険な 通信を阻止するプログラミングメカニズムは、Symantec.cloud エージェントの正しい動作 に影響する可能性があります。これらの製品をエンドポイントから確実に削除するため、 インストールプログラムは、これらのアプリケーションが削除されるまでエージェントのイン ストールをブロックします。 インストールプログラムは、Norton や他のシマンテック社製のウイルス対策製品または ファイアウォール製品のほか、検証済みのウイルス対策またはファイアウォールの製品削 除ツールを自動的に削除します。検出されたアプリケーションは[互換性のないアプリケー ション]ページに表示され、これらの削除を促すメッセージが表示されます。ユーザーが 認可されると、インストールプログラムにより、製品独自の Windows の[プログラムの追加 と削除]プログラムツールが起動します。 メモ: 互換性のないアプリケーションの自動削除では、そのプログラムの削除ツールが管 理されます。アプリケーションのアンインストールで問題が発生した場合は、該当製品の テクニカルサポート部門にお問い合わせください。 インストールプログラムが、未検証の Windows の[プログラムの追加と削除]ツールを持 つウイルス対策またはファイアウォールのアプリケーションを検出すると、検出されたプロ グラムは互換性がないものとみなされます。これらのアプリケーションは削除する必要が あります。インストールプログラムの自動削除ツールと互換性のないプログラムの検出機 能は、有人モードまたはフル UI モードでのみ使えます。 自動アンインストール操作が完了すると、エンドポイントコンピュータが再起動し、Endpoint Protection のインストールでエージェントのインストールが再開します。互換性のない製 10 第 1 章 コンピュータへのエージェントの配備 既存のウイルス対策製品とファイアウォール製品の削除 品を手動でアンインストールした場合は、エージェントのインストールプログラムを手動で 再起動する必要があります。 Endpoint Protection をインストールする前にコンピュータからウイルス対策プログラムま たはファイアウォールプログラムをアンインストールしてください。これらのプログラムをア ンインストールすることは、インストールプログラムがプログラムを検出しない、またはプロ グラムを互換性があると識別する場合にも重要です。複数のウイルス対策やファイアウォー ルプログラムを同時に実行することは基本的に危険です。これらのアプリケーション間で 発生するおそれのある干渉は、無視できないほど危険です。このような状況については、 管理コンソールのバナーにある[サポート]リンクをクリックして Symantec Endpoint Protection Small Business Edition クラウドにぜひご報告ください。 大規模な環境では、慣例となっている手法でエンドポイントからソフトウェアをアンインス トールしている場合があります。このような操作を Microsoft Active Directory を使って実 行する場合は、削除対象のアプリケーションを、これらのエンドポイントに影響するポリシー からも削除してください。この予防策により、Active Directory ポリシーに基づいたアプリ ケーションの再インストールを回避できます。 エンドポイントで実行しているウイルス対策製品やファイアウォール製品があまり一般的 でない場合や未確認のバージョンである場合、インストールプログラムは競合する可能性 のあるプログラムを検出しないことがあります。Symantec Endpoint Protection で最良の 結果を得るには、互換性がない可能性のある製品を常に削除する必要があります。 ウイルス対策ソフトウェアまたはファイアウォールソフトウェアの自動削除は、次の製品に 対応しています。 表 1-3 自動削除可能な Symantec Endpoint Protection、Endpoint Protection Small Business Edition の各バージョン バージョン Endpoint Protection Small Symantec Endpoint Business Edition Protection 11.0.7200.1147 N/A SEP 11.0 RU7 MP2 11.0.7300.1294 N/A SEP 11 RU7 MP3 11.0.3001.2224 N/A SEP 11 MR3 11.0.4000.2295 N/A SEP 11 MR4 12.0.1001.95 SEP SBE 12.0 N/A 12.0.122.192 SEP SBE 12.0 RU1 N/A 12.1.671.4971 SEP SBE 12.1 SEP 12.1 12.1.1000.157 SEP SBE 12.1 RU1 SEP 12.1 RU1 12.1.1101.401 SEP SBE 12.1 RU1-MP1 SEP 12.1 RU1-MP1 11 第 1 章 コンピュータへのエージェントの配備 既存のウイルス対策製品とファイアウォール製品の削除 バージョン Endpoint Protection Small Symantec Endpoint Business Edition Protection 12.1.2015.2015 SEP SBE 12.1 RU2 SEP 12.1 RU2 12.1.2100.2093 SEP SBE 12.1 RU2 MP1 SEP 12.1 RU2 MP1 12.1.3001.165 SEP SBE 12.1 RU3 SEP 12.1 RU3 表 1-4 自動削除可能な Norton 製品 製品 バージョン Norton AntiVirus ■ 2008 ■ 2009 ■ 2010 ■ 2012 ■ 2013 ■ 2014 ■ 2008 ■ 2009 ■ 2010 ■ 2012 ■ 2013 ■ 2014 Norton Internet Security Norton 360 バージョン 4.0 と 5.0 表 1-5 その他の自動削除可能な製品 製品 バージョン McAfee McAfee SaaS Endpoint Protection Trend Micro Worry Free Business Security Services Worry-Free Business Security Standard/Advanced 7.0 Worry-Free Business Security Standard/Advanced 8.0 Sophos Endpoint Security & Data Protection 9.5 Kaspersky Business Space Security 6.0 Antivirus for Windows Workstations 6.0 Endpoint Security 10 for Windows(ワークステーション向け) 12 第 1 章 コンピュータへのエージェントの配備 ウイルス対策およびファイアウォール製品のアンインストール 製品 バージョン Windows InTune Endpoint Protection Endpoint Protection のインストールプログラムが、コンピュータにインストールされている プログラムを検出しない場合は、検出されない製品の詳細をご報告ください。管理コン ソールのバナーにある[サポート]リンクをクリックし、リクエストフォームを使ってご連絡くだ さい。その際、次の情報を記入してください。 ■ 製造元の名前 ■ 製品名 ■ インストールされている製品のバージョン ご協力をよろしくお願いいたします。 コンピュータからのウイルス対策およびファイアウォール製品の削除に役立てるために、 シマンテック社のサポートではベンダ別の削除ツールリストを参照することをお勧めしま す。 p.13 の 「ウイルス対策およびファイアウォール製品のアンインストール」 を参照してくだ さい。 p.22 の 「パッケージのダウンロード」 を参照してください。 ウイルス対策およびファイアウォール製品のアンインス トール アクセスしようとしている Web サイトには製品の削除ツールの広範なリストがあります。 ページの一部のリンクでは実行可能ファイルを直接ダウンロードします。削除ツールには 必ずコンピュータを損傷するリスクがあるため、これらのツールを使用する前に最近のバッ クアップがあることを確認します。 メモ: シマンテック社はリンク先の内容に責任を負わず、リストにあるサイトの安全性を検 証していません。 ウイルス対策およびファイアウォール製品の削除ツールリスト p.10 の 「既存のウイルス対策製品とファイアウォール製品の削除」 を参照してください。 13 第 1 章 コンピュータへのエージェントの配備 Symantec.cloud エージェントのダウンロードとインストール Symantec.cloud エージェントのダウンロードとインストー ル SEP SBE (Symantec Endpoint Protection Small Business Edition)クラウドでコン ピュータを保護する前に、保護するコンピュータにエージェントをダウンロードしてインス トールする必要があります。 エージェントはユーザーのコンピュータにサービスを配信してそのユーザーのアカウント で管理コンソールと通信します。保護の対象になるコンピュータそれぞれにエージェント をインストールする必要があります。コンピュータがシステム要件とインターネットアクセス 要件を満たしていることを確認してください。 p.6 の 「システムの必要条件」 を参照してください。 p.9 の 「インターネットアクセス要件」 を参照してください。 エージェントをインストールするには、管理者権限が必要です。ユーザーをローカルコン ピュータ上の管理者としている組織では、この要件は特に問題とはなりません。組織のセ キュリティポリシーにより、コンピュータユーザーにローカルな管理者権限を付与すること が禁じられている場合は、Altiris などのシステム管理ツールを使用して各エージェントを プッシュできます。 メモ: デフォルトでは、新しいエージェントはアカウントで自動的に確認されます。アカウン ト管理者が組織の設定で[新しいエージェントの自動確認]を無効にしている場合、新し いエージェントは確認してアクティブにする必要があります。 コンピュータにエージェントをインストールするには、3 つの配備オプションがあります。 ■ 標準のダウンロードおよびインストール ■ インストールへの電子メール招待 ■ ポータブルインストールパッケージのダウンロードおよびビルド これらの方法により、さまざまな環境におけるニーズを満たすことができます。 標準インストール このインストール方法では、エージェントの完全インストールを管理する小規 模インストーラをダウンロードします。次の要求があります。 ■ SEP SBE クラウドアカウントへのユーザーログイン ■ コンピュータの前でのユーザー待機、またはコンピュータへのリモート接 続 14 第 1 章 コンピュータへのエージェントの配備 Symantec.cloud エージェントのダウンロードとインストール 電子メール招待 組織内のコンピュータユーザーに対し、エージェントのダウンロードについ て電子メール招待を送信できます。 ■ ■ ■ セミコロンで区切って最大 50 の電子メールアドレス宛てに送信できま す。 招待には、(管理者が無効にしないかぎり) 30 日間有効な URL が記載 されます。 コンピュータユーザーは、管理者の手を借りることなく、自身でインストー ルを実行できます。 管理者は、必要に応じて招待を無効にすることができます。 再配布可能なインス ネットワーク管理者は、保護を要するコンピュータにエージェントをプッシュ トーラパッケージ できます。パッケージで使用を想定して選択されたエージェントとサービスの サイレントインストールを提供します。 メモ: 再配布可能パッケージは、Microsoft Active Directory を使って配備 するように設定することもできます。 メモ: ウイルス対策製品やファイアウォール製品はすべて、Symantec Endpoint Protection をインストールする前にコンピュータから削除する必要があります。 p.10 の 「既存のウイルス対策製品とファイアウォール製品の削除」 を参照してください。 Windows Vista を実行している場合、[ユーザーアカウント制御]により、各ユーザーアカ ウントで実行されるプログラムをインストールできるのはコンピュータの管理者に限定され ます。[ユーザーアカウント制御]を無効にした場合でも、エージェントをインストールする には管理者権限が必要です。 保護されたコンピュータを Windows XP から Windows Vista にアップグレードするに は、エージェントを削除してコンピュータを再起動する必要があります。コンピュータが再 起動したら、Windows Vista へのアップグレードを開始できます。 エージェントのダウンロードを準備するには 1 Internet Explorer で[ツール]>[インターネットオプション]>[詳細設定]に移動しま す。 2 [詳細設定]タブで、[セキュリティ]までスクロールダウンします。 3 [暗号化されたページをディスクに保存しない]のチェックマークが外されていること を確認し、[OK]をクリックします。 個々のコンピュータにエージェントをインストールするには 1 管理コンソールにログインします。 2 [ホーム]ページの[クイックタスク]ウィジェットで[コンピュータの追加]をクリックする か、または[コンピュータ]ページで[コンピュータの追加]をクリックします。 15 第 1 章 コンピュータへのエージェントの配備 Symantec.cloud エージェントのダウンロードとインストール 3 [コンピュータの保護]ページで、コンピュータにインストールするサービス(1 つまた は複数)を選択します。 4 デフォルトグループ以外のグループに新しいコンピュータを追加したい場合は、[グ ループの選択]ドロップダウンから対象のグループを選択します。 5 [インストーラのダウンロード]で、[今すぐにインストール]をクリックし、 SymantecExtractor.exe を実行します。 必要に応じて、ファイルを保存することもできます。 6 [ファイルダウンロード]ダイアログボックスが開き、 ファイルの[実行]または[保存]を 行うオプションが表示されます。[実行]をクリックします。 7 SymantecExtractor.exe ファイルのダウンロードが完了すると、ソフトウェアを実行 するかどうかを確認するメッセージが表示されます。[実行]をクリックします。 8 Symantec Endpoint Protection Small Business Edition インストーラが開きます。 ようこそ画面で、[次へ]をクリックします。 9 コンポーネント設定画面が開き、インストールを構成するコンポーネントの状態が表 示されます。必要に応じて、[プロキシの設定]の設定または対象フォルダの変更を 行うこともできます。[インストール]をクリックします。 10 正常終了を知らせる画面が開いたら、[完了]をクリックします。 サイレントインストールに再配布可能インストーラパッケージを使用するには 1 管理コンソールにログインします。 2 [ホーム]ページの[クイックタスク]ウィジェットで[コンピュータの追加]をクリックする か、または[コンピュータ]ページで[コンピュータの追加]をクリックします。 3 [コンピュータの保護]ページで、コンピュータにインストールするサービス(1 つまた は複数)を選択します。 4 デフォルトグループ以外のグループに新しいコンピュータを追加したい場合は、[グ ループの選択]ドロップダウンから対象のグループを選択します。 5 ページの[インストーラのダウンロード]にある[再配布可能パッケージをダウンロー ド]領域で、[ダウンロード]をクリックします。 p.19 の 「再配布可能インストーラの配備」 を参照してください。 6 [ファイルダウンロード]ダイアログボックスが開き、SymantecPackageCreator.exe ファイルの[実行]または[保存]を行うオプションが表示されます。[実行]をクリックし ます。 7 ファイルのダウンロードが完了すると、ソフトウェアを実行するかどうかを確認するメッ セージが表示されます。[実行]をクリックします。 8 [Symantec.cloud Package Creator]ダイアログボックスが開いたら、[参照]をクリッ クして再配布可能パッケージを保存する場所を特定します。 16 第 1 章 コンピュータへのエージェントの配備 Symantec.cloud エージェントのダウンロードとインストール 9 [詳細オプション]で[オペレーティングシステム]をクリックし、パッケージでサポート 対象とする Windows バージョンを選択します。 10 [詳細オプション]で[プロキシの設定]をクリックし、Package Creator で使う組織の プロキシ設定を入力します。この手順はオプションです。インターネットにアクセスす るためにこれらの設定が必要な場合にのみ実行します。 11 Active Directory を使って配備する場合は、[詳細オプション]で[Active Directory Group Policy の配備が必要]チェックボックスにチェックマークを付けます。 p.21 の 「Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備」 を参照してください。 12 配備中、警告を非表示にするためには、[配備中インストーラの警告を非表示にす る]にチェックマークを付けます。 13 [開始]をクリックします。 17 第 1 章 コンピュータへのエージェントの配備 Symantec.cloud エージェントのダウンロードとインストール 14 ダウンロードが完了したら[完了]をクリックします。 15 選択したファイルがダウンロードされてパッケージが作成されます。 SymRedistributable.exe およびパッケージファイルの保存先を参照してください。 選択したディレクトリに、再配布可能なインストーラパッケージをコピーできます。 このコマンドラインアプリケーションを使用して、ユーザーログイン時またはその他の ネットワークプッシュプロセス実行時にサイレントインストールを実行できます。アプリ ケーションに渡すことができるパラメータは次のとおりです。 使用法: SymRedistributable.exe [options] オプション 説明 -silent サイレント操作を命令します。 -suppresswarnings インストーラの警告を抑止します。-silent が必要です。 - installpath <パス> インストールパスを次のように指定する: 「c:¥path¥to¥install¥to」。-silent が必要です。 -installpath パラメータをデフォルトの %programfiles% に設定 する。 -proxyhost <ホスト> HTTP プロキシの IP アドレスまたはホスト名を指定します。-silent と -proxyport が必要です。 -proxyport <ポート> HTTP プロキシネットワークポート番号を指定します。-silent と -proxyport が必要です。 -proxytype [HTTP|SOCKS] HTTP プロキシまたは SOCKS プロキシタイプを指定します。デ フォルトのプロキシタイプは HTTP です。-silent と -proxyport が必要です。 -proxyauthpassword <パ プロキシ認証パスワードを指定します。-silent と -proxyport が スワード> 必要です。 -help, -h, -? ヘルプメニューを画面に表示します。 p.19 の 「再配布可能インストーラの配備」 を参照してください。 エージェントのダウンロードについて電子メール招待を送信するには 1 管理コンソールアカウントにログインします。 2 [ホーム]ページの[クイックタスク]ウィジェットで[コンピュータの追加]をクリックする か、[コンピュータ]ページで[コンピュータの追加]をクリックします。 3 [コンピュータの保護]ページで、コンピュータにインストールするサービス(1 つまた は複数)を選択します。 18 第 1 章 コンピュータへのエージェントの配備 再配布可能インストーラの配備 4 デフォルトグループ以外のグループに新しいコンピュータを追加したい場合は、[グ ループの選択]ドロップダウンから対象のグループを選択します。 5 [インストーラのダウンロード]セクションの[ダウンロード招待を送信]テキストボックス に最大 50 のユーザー電子メールアドレスを入力します。指定されたユーザーは、 エージェントへのダウンロードリンクが記載された招待を受け取ります。 複数の電子メールアドレスは、セミコロンで区切る必要があります。 [電子メール招待の送信]をクリックします。 ユーザーは、コンピュータにエージェントをダウンロードしてインストールすることを要 請する電子メールを受け取ります。組織の SEP SBE クラウドアカウントにログインせ ずにエージェントをダウンロードできるリンクが提示されます。 p.26 の 「ダウンロードの招待を説明する手順のユーザーへの送信」 を参照してくだ さい。 再配布可能インストーラの配備 再配布可能インストールパッケージを使うと、サイレントインストールで組織全体に SEP SBE (Symantec Small Endpoint Protection Small Business Edition)クラウドを配備 できます。パッケージはユーザーインターフェースなしでサイレントに実行する実行可能 ファイルで、サポート対象オペレーティングシステムを実行するコンピュータに Symantec.cloud エージェントをインストールします。パッケージは、大規模な組織では 専用ツールを使って配布することもでき、小規模な組織ではエクスプローラで利用可能 なネットワーク共有を使って配布できます。Symantec.cloud エージェントをコンピュータ にインストールするには管理者権限が必要です。 メモ: シマンテック社のオンラインストアで設定されたアカウントに適切なライセンスが存在 することを、再配布可能インストールパッケージを使ってエージェントを配備する前に確 認する必要があります。 メモ: Symantec Endpoint Protection をインストールする前に、ウイルス対策製品とファ イアウォール製品のすべてをコンピュータから削除する必要があります。 p.10 の 「既存のウイルス対策製品とファイアウォール製品の削除」 を参照してください。 このコマンドラインアプリケーションを使用して、ユーザーログイン時またはその他のネット ワークプッシュプロセス実行時にサイレントインストールを実行できます。アプリケーション に渡すことができるパラメータは次のとおりです。 使用法: SymRedistributable.exe [options] 19 第 1 章 コンピュータへのエージェントの配備 再配布可能インストーラの配備 表 1-6 再配布可能パッケージのコマンドラインフラグ コマンド 説明 -silent サイレント操作を命令します。 -suppresswarnings インストーラの警告を抑止します。-silent が必要です。 - installpath <パス> インストールパスを次のように指定する: 「c:¥path¥to¥install¥to」。 -silent が必要です。 -installpath パラメータをデフォルトの %programfiles% に設定する。 -proxyhost <ホスト> HTTP プロキシの IP アドレスまたはホスト名を指定します。-silent と -proxyport が必要です。 -proxyport <ポート> HTTP プロキシネットワークポート番号を指定します。-silent と -proxyport が必要です。 -proxytype [HTTP|SOCKS] HTTP プロキシまたは SOCKS プロキシタイプを指定します。デフォ ルトのプロキシタイプは HTTP です。-silent と -proxyport が必要で す。 -proxyauthuser <user> プロキシ認証ユーザーを指定します。-silent と -proxyport が必要で す。 -proxyauthpassword <パ プロキシ認証パスワードを指定します。-silent と -proxyport が必要 スワード> です。 -help, -h, -? ヘルプメニューを画面に表示します。 再配布可能なインストールパッケージをダウンロードするには 1 SEP SBE クラウドアカウントにログオンして[クイックタスク]ウィジェットで[コンピュー タの追加]をクリックします。 2 [コンピュータの保護]ページで、パッケージに加えるサービスを選択します。 3 [グループの選択]セクションで、ドロップダウンを使ってこのインストールパッケージ を投入するコンピュータグループを選択します。 4 [インストーラのダウンロード]セクションの[再配布可能パッケージをダウンロード] で、[ダウンロード]をクリックします。 5 [ファイルダウンロード]ダイアログボックスが開き、SymantecPackageCreator.exe ファイルの[実行]または[保存]を行うオプションが表示されます。[実行]をクリックし ます。 6 ファイルのダウンロードが完了すると、ソフトウェアを実行するかどうかを確認するメッ セージが表示されます。[実行]をクリックします。 20 第 1 章 コンピュータへのエージェントの配備 Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備 7 [Symantec.cloud Package Creator]ダイアログボックスが表示されたら、[参照]を クリックして再配布可能パッケージを保存する場所を指定します。 8 [詳細オプション]で[オペレーティングシステム]をクリックし、パッケージでサポート 対象とする Windows バージョンを選択します。[保存]をクリックします。 9 [詳細オプション]で[プロキシの設定]をクリックし、Package Creator で使用する組 織のプロキシ設定を入力します。この手順はオプションです。インターネットアクセス を行うために設定が必要となる場合にのみ、行ってください。[保存]をクリックしま す。 メモ: 組織のさまざまなネットワークの場所のニーズに合わせて多数の配布パッケー ジを作成できます。 10 Active Directory を使って配備する場合は、[詳細オプション]で[Active Directory Group Policy の配備が必要]チェックボックスにチェックマークを付けます。 p.21 の 「Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備」 を参照してください。 11 [開始]をクリックします。 選択したファイルがダウンロードされ、パッケージが作成されます。再配布可能パッ ケージファイルは特定の組織に関連付けられ、その組織以外で使うことはできませ ん。 ダウンロードが完了したら[完了]をクリックします。 Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備 Microsoft Active Directory を使った配備には次のいくつかのステップがあります。 ■ パッケージのダウンロード p.22 の 「パッケージのダウンロード」 を参照してください。 ■ 配備用ドメインコントローラの設定 ■ 配布ポイントの作成 ■ グループポリシーオブジェクトの作成 ■ パッケージの割り当て p.24 の 「配備用ドメインコントローラの設定」 を参照してください。 Active Directory を使った配備に関する Microsoft マニュアルの入手先は次のとおりで す。 21 第 1 章 コンピュータへのエージェントの配備 Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備 ■ Windows 2008、Windows Server 2008 R2 または Windows Server 2012 ■ Windows 2003 Active Directory 配備を準備するときに役立つ他の Microsoft 記事を次に示します。 グループポリシーを使用してソフトウェアを特定のグループに割り当てる方法 メモ: Symantec Endpoint Protection をインストールする前に、ウイルス対策製品とファ イアウォール製品のすべてをコンピュータから削除する必要があります。 p.10 の 「既存のウイルス対策製品とファイアウォール製品の削除」 を参照してください。 メモ: SEP SBE クラウドの管理者のアカウントはオンラインストアでプロビジョニングされま す。アカウントには、Active Directory 配備の対象となっているコンピュータの数に十分 なライセンスが必要です。Active Directory 配備中にライセンスが切れた場合は、ライセ ンスがないためコンピュータにインストールできません。Active Directory はインストール に成功したと示しますが、正しくありません。 パッケージのダウンロード Active Directory を使った再配布可能なインストールパッケージのダウンロード中に、組 織の IT 部門で次の 3 つのファイルを使えるようにコンパイルします。 ■ SYMRedistributable.exe ■ SYMGroupPolicyDeployment.msi ■ SYMGroupPolicyDeployment.mst これらのファイルは正しく機能するように必ず同じフォルダに存在する必要があります。再 配布可能パッケージの他のダウンロードファイルと混じらないようにしてください。 MST ファイルの使用について詳しくは、次の Microsoft のマニュアルを参照してくださ い。 ■ Windows 2008、Windows Server 2008 R2 または Windows Server 2012 ■ Windows 2003 メモ: Symantec Endpoint Protection をインストールする前に、ウイルス対策製品とファ イアウォール製品のすべてをコンピュータから削除する必要があります。 p.10 の 「既存のウイルス対策製品とファイアウォール製品の削除」 を参照してください。 22 第 1 章 コンピュータへのエージェントの配備 Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備 メモ: SEP SBE クラウドの管理者のアカウントはオンラインストアでプロビジョニングされま す。アカウントには、Active Directory 配備の対象となっているコンピュータの数に十分 なライセンスが必要です。Active Directory 配備中にライセンスが切れた場合は、ライセ ンスがないためコンピュータにインストールできません。Active Directory はインストール に成功したと示しますが、正しくありません。 Active Directory 配備用再配布可能インストールパッケージをダウンロードするには 1 SEP SBE クラウドアカウントにログオンして[クイックタスク]ウィジェットで[コンピュー タの追加]をクリックします。 2 [コンピュータの保護]ページで、パッケージに加えるサービスを選択します。 3 [グループの選択]セクションで、ドロップダウンを使ってこのインストールパッケージ を投入するコンピュータグループを選択します。 4 [インストーラのダウンロード]セクションの[再配布可能パッケージをダウンロード] で、[ダウンロード]をクリックします。 5 [ファイルダウンロード]ダイアログボックスが開き、SymantecPackageCreator.exe ファイルの[実行]または[保存]を行うオプションが表示されます。[実行]をクリックし ます。 6 ファイルのダウンロードが完了すると、ソフトウェアを実行するかどうかを確認するメッ セージが表示されます。[実行]をクリックします。 7 [Symantec.cloud Package Creator]ダイアログボックスが表示されたら、[参照]を クリックして再配布可能パッケージを保存する場所を指定します。 8 [詳細オプション]で[オペレーティングシステム]をクリックし、パッケージでサポート 対象とする Windows バージョンを選択します。[保存]をクリックします。 9 [詳細オプション]で[プロキシの設定]をクリックし、Package Creator で使用する組 織のプロキシ設定を入力します。この手順はオプションです。インターネットアクセス を行うために設定が必要となる場合にのみ、行ってください。[保存]をクリックしま す。 メモ: 組織のさまざまなネットワークの場所のニーズに合わせて多数の配布パッケー ジを作成できます。 10 [詳細オプション]で、[Active Directory Group Policy の配備が必要]チェックボッ クスにチェックマークを付けます。 11 配備中、警告を非表示にするためには、[配備中インストーラの警告を非表示にす る]チェックボックスにチェックマークを付けます。このオプションは[Active Directory Group Policy の配備が必要]オプションが選択済みの場合にのみ利用できます。 12 [開始]をクリックします。 23 第 1 章 コンピュータへのエージェントの配備 Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備 13 選択したファイルがダウンロードされ、パッケージが作成されます。再配布可能パッ ケージファイルは特定の組織に関連付けられ、その組織以外で使うことはできませ ん。 14 ダウンロードが完了したら[完了]をクリックします。 15 SYMRedistributable.exe、SYMGroupPolicyDeployment.msi、 SYMGroupPolicyDeployment.mst のファイルが保存先ディレクトリにあります。こ れらのファイルは 1 つのパッケージにまとめておく必要があります。これらのファイル の別バージョンと混じると再配布可能パッケージが壊れます。 p.21 の 「Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備」 を参照してください。 配備用ドメインコントローラの設定 ダウンロードが完了したら、SEP SBE クラウドの配備用にドメインコントローラを設定する 必要があります。この設定には、次の 3 つのステップがあります。 ■ 配布ポイントの作成 ■ グループポリシーオブジェクトの作成 ■ パッケージの割り当て これらのタスクを完了する手順は、Microsoft のサポートナレッジベースで詳しく説明され ています。次のナレッジベース記事を参照してください。 Windows Server 2003 および Windows Server 2008 でグループポリシーを使用して ソフトウェアをリモートでインストールする方法 記事には次の方法が記載されています。 ■ 配布ポイントを作成する。 ■ グループポリシーオブジェクトを作成する。 ■ パッケージを割り当てる。 ■ パッケージを公開する。 メモ: 再配布可能インストールパッケージはパッケージの公開をサポートしていませ ん。 ■ パッケージを再配備する。 ■ パッケージを削除する。 24 第 1 章 コンピュータへのエージェントの配備 エージェントのダウンロードの招待の管理 メモ: 管理者は SEP SBE クラウド管理コンソール内のインストールを削除する必要が あります。 ■ トラブルシューティング Active Directory 配備を準備するときに役立つ他の Microsoft 記事を次に示します。 グループポリシーを使用してソフトウェアを特定のグループに割り当てる方法 p.21 の 「Active Directory を使った Symantec Endpoint Protection Small Business Edition の配備」 を参照してください。 エージェントのダウンロードの招待の管理 [エージェントのダウンロードの招待]ページでエージェントのダウンロードの招待を管理 します。次のことを実行できます。 ■ 組織のメンバーを Symantec.cloud Agent のダウンロードに招待する。 ■ ダウンロードの招待履歴を表示する。 ■ ダウンロードの招待を非アクティブ化する。 このページの[招待の送信]部分で、新しいダウンロードの招待を電子メールで送信でき ます。セミコロンで区切って最大 50 の電子メールアドレスを入力できます。 [招待および履歴を非アクティブにする]セクションに、ダウンロードの招待をいつ、誰に、 何通送信したかが表示されます。[非アクティブ化処理]で、招待を取り消すこともできま す。招待を非アクティブ化すると、通常は 30 日間アクティブな招待のダウンロードリンク が終了します。ダウンロードの招待は発行後 30 日間で期限が切れます。 ダウンロードの招待の送信と招待履歴の表示を行うには 1 管理コンソールアカウントにログインします。 2 [ホーム]ページの[クイックタスク]領域で[招待履歴の表示]をクリックします。 3 招待を送信するには、[招待の送信]フィールドにセミコロンで区切って電子メール アドレスを追加して[電子メール招待の送信]をクリックします。 4 ページの下部で招待履歴を確認します。 25 第 1 章 コンピュータへのエージェントの配備 ダウンロードの招待を説明する手順のユーザーへの送信 Symantec.cloud Agent のインストールの電子メール招待を非アクティブ化するには 1 管理コンソールアカウントにログインします。 2 [ホーム]ページの[クイックタスク]領域で[招待履歴の表示]をクリックします。 3 [招待および履歴を非アクティブにする]で非アクティブ化する招待を指定して、参 照: [処理]列で[非アクティブ化]をクリックします。 メモ: 招待状の非アクティブ化は、招待に表示されている電子メールアドレスのすべ ての招待を取り消します。 ダウンロードの招待を説明する手順のユーザーへの送 信 SEP SBE クラウドは Symantec.cloud エージェントをユーザー自身がダウンロードとイン ストールできるようにする方法を提供します。ユーザーはインストール中に入力する電子 メールアドレスによりそのダウンロードの権限を確認されます。ダウンロードの招待は SEP SBE クラウドアカウントへのアクセス権を付与しません。 ユーザーに送信される招待には、ダウンロードへのリンクのみが示され、説明は記載され ていません。次のことをお勧めします。 ■ ダウンロードの招待を受け取るユーザーに、エンドポイント保護戦略の重要性を説明 します。 ■ 招待されたユーザーに、正常なインストールを行うために必要なプロキシ情報を提供 します(必要な場合)。 ■ インストールに関する質問の数を最小限に抑えるため、ここで説明する手順を含めま す。 26 第 1 章 コンピュータへのエージェントの配備 ダウンロードの招待を説明する手順のユーザーへの送信 コンピュータに SEP SBE クラウドをインストールするには 1 電子メールアプリケーションを開き、シマンテック社通知サービスからの電子メール を探します(件名は「Symantec.cloud Agent のダウンロード(Symantec.cloud agent download)」)。ダウンロードして開きます。 メモ: この電子メールが見つからない場合は、電子メールアプリケーションのスパム フォルダを確認します。 2 招待電子メールにあるリンクをクリックします。ファイルのダウンロードプロセスが開始 します。 メモ: コンピュータにインストールされているウイルス対策製品やファイアウォール製 品は、Symantec Endpoint Protection をインストールする前に、必ず削除してくだ さい。 p.10 の 「既存のウイルス対策製品とファイアウォール製品の削除」 を参照してくだ さい。 3 ダイアログボックスが開き、ファイルの[実行]または[保存]を行うオプションが表示さ れます。[実行]をクリックします。 4 SymantecExtractor.exe ファイルのダウンロードが完了すると、ソフトウェアを実行 するかどうかを確認するメッセージが表示されます。[実行]をクリックします。 5 Symantec Endpoint Protection Small Business Edition インストーラが開きます。 インストーラの状態が表示され、インストールフォルダを変更できます。[次へ]をク リックします。 6 必要に応じて、プロキシ設定を設定します。[次へ]をクリックします。 7 インストールの進行状況を示す画面が表示されたら、[インストール]をクリックしま す。 8 全体的な進行状況が完了すると、SEP SBE クラウドコンポーネントがインストールさ れます。[次へ]をクリックします。 9 インストールが成功したことを示す画面が表示されたら、[Web サイトの起動]チェッ クボックスのチェックマークをはずして、[完了]をクリックします。 10 ほとんどの場合、SEP SBE クラウドインストールは自動的に組織の保護対象コン ピュータのリストに追加されます。 27 2 Endpoint Protection のカス タマイズ この章では以下の項目について説明しています。 ■ Endpoint Protection ポリシーの概要 ■ ニーズに合わせた Endpoint Protection の設定 ■ USB デバイス制御について ■ USB デバイス制御の設定 ■ エンドポイントの USB デバイス制御の変更 ■ カスタム除外を使用 ■ スマートファイアウォールの設定 ■ ファイアウォールルールの設定 ■ プログラム制御の使用 ■ コンピュータのリモートスキャン ■ オンプレミス Endpoint Protection のインストール Endpoint Protection ポリシーの概要 Endpoint Protection コンピュータとして追加されたコンピュータは、保護対象とするた め、すぐにデフォルトグループとデフォルトポリシーに追加されます。デフォルトグループ は、コンピュータが追加または削除された場合にのみ変更されます。デフォルトポリシー は、変更できません。デフォルト設定が組織に役立つこともありますが、ユーザーのニー ズに応じたグループとポリシーを設定できます。 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 Symantec Endpoint Protection を使うと、セキュリティ要件に基づいてコンピュータを保 護するように、ポリシーを作成して適用できます。ポリシーで使える保護は、次の 4 つの カテゴリに分類されます。 ■ コンピュータ保護 ■ USB デバイス制御 ■ Web 保護 ■ ネットワーク保護 これらの保護カテゴリにより、徹底的な防御策を施したセキュリティソリューションが提供さ れます。コンピュータ保護機能では、コンピュータに到達する、危険性の高い通信に重点 的に取り組みます。 メモ: サーバー以外のデスクトップコンピュータとノートパソコンにさまざまなエージェントが インストールされます。サーバーで利用可能な保護設定と、デスクトップコンピュータとノー トパソコンで利用可能な保護設定は異なります。 29 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 表 2-1 コンピュータ保護 保護設定 説明 ウイルス対策 ウイルスとセキュリティリスク保護機能では、コンピュータでの包括的な X ウイルス防御およびセキュリティリスク検出が行われます。既知のウイ ルスは、自動的に検出され、修復されます。インスタントメッセンジャー の添付ファイル、電子メールメッセージの添付ファイル、インターネット からダウンロードしたファイル、その他のファイルはスキャンされ、ウイル スや他の潜在的リスクがないか調べられます。さらに、コンピュータをイ ンターネットに接続したときに Automatic LiveUpdate がダウンロード した定義の更新が、最新のセキュリティリスクに備えるように維持されま す。 [ユーザーがウイルス対策を無効にできる] - ユーザーがウイルス対策 を無効にできる時間は次のとおりです。 ■ 15 分 ■ 1 時間 ■ 5 時間 ■ システムを再起動するまで メモ: デスクトップコンピュータとノートパソコンでのみこの機能が無効 になります。 [マップされたネットワークドライブの除外] - デスクトップコンピュータや ノートパソコンにマップされたネットワークドライブをスキャンしないよう にします。このオプションは、サーバーでは使用できません。 [取り外し可能なドライブの除外] - デスクトップまたはラップトップに取 り付けられたリムーバブルメディアをスキャンしないようにします。このオ プションは、サーバーでは使用できません。 [カスタム除外] - 管理者は、特定のファイル、フォルダ、ファイルの種 類をウイルススキャンから除外できます。 p.43 の 「カスタム除外を使用」 を参照してください。 メモ: LiveUpdate では、正常に実行するために十分なディスクスペー スが必要です。LiveUpdate の失敗を避けるため、コンピュータに 1 GB の空きディスク容量があることを確認してください。 デスクトップ サーバー コンピュータ とノートパソ コン X 30 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 保護設定 説明 デスクトップ サーバー コンピュータ とノートパソ コン SONAR 脅威に対するリアルタイム保護を提供し、コンピュータ上の不明なセ X キュリティリスクを積極的に検出するには、Symantec Endpoint Protection SONAR、Symantec Online Network for Advanced Response を使います。SONAR は、アプリケーションの振る舞いに基 づいて新たな脅威を特定します。また、従来のシグネチャベースの脅 威を検出する技術よりも迅速に、脅威を特定します。SONAR は、ウイ ルス定義が LiveUpdate で利用可能になる前に、悪質なコードを検出 して保護します。 X SONAR は、ヒューリスティックな検出を通して、悪意のある活動が行 われていないかコンピュータを監視します。 SONAR は自動的に確実性の高い脅威をブロックし、削除します。確 実性の高い脅威がブロックされ、削除されると、Norton Internet Security によって通知されます。確実性の低い脅威が検出された場 合は、SONAR によって対処方法の確認が行われます。 通知警告の[詳細を表示]リンクを使用すると、解決された確実性の高 い脅威の概要を参照できます。詳細については、[セキュリティ履歴] ウィンドウの[解決済みのセキュリティリスク]カテゴリで確認できます。 メモ: LiveUpdate では、正常に実行するために十分なディスクスペー スが必要です。LiveUpdate の失敗を避けるため、コンピュータに 1 GB の空きディスク容量があることを確認してください。 スパイウェア対策 スパイウェア対策は個人情報とプライバシーを危殆化する可能性があ X るセキュリティリスクからコンピュータを保護します。 X Symantec Endpoint Protection スパイウェア対策では、次のようなス パイウェアの主なカテゴリが検出されます。 ■ セキュリティリスク ■ ハッキングツール ■ スパイウェア ■ トラックウェア ■ ダイヤラー ■ リモートアクセス ■ アドウェア ■ ジョークプログラム ■ セキュリティ評価ツール ■ ミスリーディングプログラム USB デバイス制御を使うと、管理者は従業員による USB リムーバブル記憶装置の使用 を制御し、悪質なコードインジェクションや知的財産の盗難を防ぐことができます。USB 31 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 マウスとキーボードはデータストレージを提供しないため、[USB デバイス制御]による影 響を受けることはありません。 表 2-2 保護設定 USB デバイス制御 説明 デスクトップ サーバー コンピュータ とノートパソ コン USB デバイスアクセ ドロップダウンを使うポリシー設定で、USB デバイスへのアクセスを[許 X ス 可]または[遮断]できます。 遮断イベントは、見直しや報告ができるよ うにログに記録されます。 読み取り専用アクセ チェックボックスで、USB デバイスアクセスを読み取り専用アクセスに ス 制限できます。 X X メモ: この機能はサーバーでは利用できません。 ユーザーへの通知 を有効にする USB デバイスが遮断されていることをユーザーに警告するトースター X メッセージをエンドポイントに表示できます。 X Web 保護は、Internet Explorer や Firefox を攻撃から守り、Web サイトの安全性評価 を示し、Web からのダウンロードを診断します。 32 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 表 2-3 Web 保護 保護設定 説明 ブラウザ保護 インターネットの使用が増加するにつれて、Web ブラウザは悪意のあ X る Web サイトから攻撃されやすくなります。これらの Web サイトは、 ユーザーの Web ブラウザの脆弱性を検出し、それを利用して、ユー ザーの同意を得ることなく、またはユーザーが気づかないうちに、シス テムにマルウェアプログラムをダウンロードします。このようなマルウェ アプログラムは、ドライブバイダウンロードと呼ばれることもあります。 Norton Internet Security は、悪意のある Web サイトのドライブバイダ ウンロードから Web ブラウザを保護します。 Norton Internet Security は、コンピュータが新規または未知のマル ウェアプログラムから攻撃を受ける前に、このプログラムを積極的にブ ロックします。Norton Internet Security は、Web ブラウザを保護する ことで、機密情報の安全を確保し、攻撃者がリモートでシステムを制御 できないようにします。 [ブラウザ保護]機能は次のブラウザの脆弱性を調べます。 ■ Internet Explorer 7.0 以降 ■ Firefox 10.0 以降 ■ Chrome 17.0 以降 この機能を有効にするには、[ブラウザ保護]オプションをオンにする 必要があります。 メモ: この機能はデスクトップコンピュータとノートパソコンにのみ適用 されます。 デスクトップ サーバー コンピュータ とノートパソ コン 33 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 保護設定 ダウンロードインテリ ジェンス 説明 デスクトップ サーバー コンピュータ とノートパソ コン X 34 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 保護設定 説明 ダウンロードインテリジェンスは、サポート対象のポータルからダウン ロードした実行可能ファイルの評価情報を提供します。評価の詳細に は、ダウンロードしたファイルをインストールして安全かどうかが示され ます。この詳細情報を使って、ファイルに対する処理を決定できます。 サポート対象のポータルの一部を次に示します。 ■ Internet Explorer (ブラウザ) ■ Opera (ブラウザ) ■ Firefox (ブラウザ) ■ Chrome (ブラウザ) ■ AOL (ブラウザ) ■ Safari (ブラウザ) ■ Yahoo (ブラウザ) ■ MSN Explorer (ブラウザ、電子メール、チャット) ■ QQ (チャット) ■ ICQ (チャット) ■ Skype (チャット) ■ Windows Live メッセンジャー (チャット) ■ Yahoo! メッセンジャー (チャット) ■ Limewire (P2P) ■ BitTorrent (P2P) ■ Thunder (P2P) ■ Vuze (P2P) ■ Bitcomet (P2P) ■ uTorrent (P2P) ■ Outlook (電子メール) ■ Thunderbird (電子メール) ■ Windows メール (電子メール) ■ Outlook Express (電子メール) ■ FileZilla (ファイルマネージャ) ■ UseNext (ダウンロードマネージャ) ■ FDM (ダウンロードマネージャ) ■ Adobe Reader (PDF ビューア) ファイルは、安全、安全でない、不明のレベルで評価されます。安全な ファイルはインストールできます。安全でないファイルは、Norton Internet Security によって削除されます。不明なファイルについては、 ダウンロードインテリジェンスにより、ファイルに適切な措置を講じるよう にメッセージが表示されます。ファイルをインストール、インストールを デスクトップ サーバー コンピュータ とノートパソ コン 35 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 保護設定 説明 デスクトップ サーバー コンピュータ とノートパソ コン 停止、コンピュータからファイルを削除、などを行うことができます。 ファイルをダウンロードすると、ダウンロードインテリジェンスによって、 ファイルの評価レベルを分析する処理が実行されます。ファイルの評 価は、Auto-Protect によって分析されます。Auto-Protect は、Norton Internet Security が定義の更新やその他のセキュリティエンジンを受 信するときに受け取った脅威シグネチャを使用して、実行可能ファイル の安全性を判断します。ファイルが安全でない場合、Auto-Protect は そのファイルを削除します。Auto-Protect は、ファイル分析の結果を [ダウンロードインテリジェンス]に通知します。[ダウンロードインテリジェ ンス]は通知をトリガし、ファイルをインストールして安全であるか、注意 が必要であるかをユーザーに知らせます。注意が必要なファイルにつ いては、適切な措置を講じる必要があります。安全でないファイルの場 合、Download Insight は、Norton Internet Security によってそのファ イルが削除されたことを、ユーザーに通知します。 [セキュリティ履歴]には、ダウンロードインテリジェンスが処理、通知し たすべてのイベントの詳細が記録されます。イベントの評価データに 基づいてユーザーが講じた措置に関する情報も記録されます。この詳 細情報は、[セキュリティ履歴]の[ダウンロードインテリジェンス]カテゴ リで参照できます。 ネットワーク保護は、ネットワーク接続経由の攻撃の検出および防御、電子メールの添付 ファイルの安全性評価などを行って、コンピュータを保護します。 36 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 表 2-4 ネットワーク保護 保護設定 説明 デスクトップ サーバー コンピュータ とノートパソ コン 侵入防止 侵入防止は、コンピュータで着信または発信するすべてのネットワーク X トラフィックをスキャンし、この情報を攻撃シグネチャと比較します。攻撃 シグネチャには、攻撃者がオペレーティングシステムやプログラムの既 知の脆弱性を悪用しようとしたことを特定できる情報が含まれています。 侵入防止により、大部分の一般的なインターネット攻撃からコンピュー タが保護されます。 侵入防止が遮断する攻撃について詳しくは、次の URL を参照してく ださい。 http://www.symantec.com/business/security_response/attacksignatures 情報が攻撃シグネチャと一致すると、侵入防止は、自動的にパケットを 破棄し、そのデータの送信元コンピュータとの接続を切断します。この 措置により、コンピュータが方法を問わず攻撃されないように保護しま す。 侵入防止は、攻撃シグネチャの総括的なリストを使用して、疑わしい ネットワーク活動を検出して遮断します。攻撃シグネチャのリストを最新 に保つため、LiveUpdate を定期的に実行してください。 メモ: LiveUpdate では、正常に実行するために十分なディスクスペー スが必要です。LiveUpdate の失敗を避けるため、コンピュータに 1 GB の空きディスク容量があることを確認してください。 電子メール保護 電子メール保護は、電子メールの添付ファイルから受け取るおそれの X ある脅威からコンピュータを守ります。ウイルスやその他のセキュリティ 脅威から保護するように、電子メールプログラムを自動的に設定しま す。 メモ: この機能はデスクトップコンピュータとノートパソコンにのみ適用 されます。 37 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 保護設定 スマートファイア ウォール 説明 デスクトップ サーバー コンピュータ とノートパソ コン X 38 第 2 章 Endpoint Protection のカスタマイズ Endpoint Protection ポリシーの概要 保護設定 説明 スマートファイアウォールは、ユーザーのコンピュータとインターネット 上の他のコンピュータとの間の通信を監視します。また、ユーザーのコ ンピュータの保護も行い、以下のような一般的なセキュリティ問題につ いて警告します。 ■ ■ ■ 他のコンピュータからの不適当な接続の試行、ユーザーのコン ピュータ上にあるプログラムによる他のコンピュータへの接続試行 承認されていないコンピュータによるポートのスキャン コンピュータの攻撃を目的とした外部ユーザーによる侵入(悪意の あるトラフィックやその他の試みを検出してブロック) ファイアウォールは、ハッカーや承認されていないトラフィックをブロッ クします。承認されたトラフィックについては通過を許可します。スマー トファイアウォールをオフにすると、システム保護の機能が低下します。 スマートファイアウォールは常にオンにしてください。 スマートファイアウォールは、2 つの設定可能なオプションを提供しま す。 [ユーザーがファイアウォールを無効にできる] - ローカルコンピュータ ユーザーは、一定期間、スマートファイアウォールの設定を上書きでき ます。このオプションにより、インストールや他の管理機能の実行が可 能になります。ファイアウォールを無効にできる時間は次のとおりです。 ■ 15 分 ■ 1 時間 ■ 5 時間 ■ システムを再起動するまで [ブロックされたイベントのレポート] - 遮断されたファイアウォールイベ ントを、コンピュータから Endpoint Protection アカウントにアップロー ドします。遮断されたイベントはコンピュータの履歴を示すページと、 [ホーム]ページに表示される統計データに追加されます。遮断された イベントは、ローカルな Norton Internet Security インターフェースで ある[セキュリティ履歴]ページでも利用できます。これらは低リスクのイ ベントであるため、このデータに基づいて警告が発生されることはあり ません。 [ファイアウォールルール] - 管理者は、ファイアウォールルールを組 織に合わせてカスタマイズできます。 [プログラム制御] - 管理者は、エージェントが検出したプログラムのイ ンターネットアクセスを許可または遮断できます。 メモ: この機能はデスクトップコンピュータとノートパソコンにのみ適用 デスクトップ サーバー コンピュータ とノートパソ コン 39 第 2 章 Endpoint Protection のカスタマイズ ニーズに合わせた Endpoint Protection の設定 保護設定 説明 デスクトップ サーバー コンピュータ とノートパソ コン されます。 ニーズに合わせた Endpoint Protection の設定 組織のセキュリティニーズに最適な Endpoint Protection を設定するために必要なことを 次に示します。 ■ コンピュータの論理グループの作成 ■ 各グループに最適なポリシーの決定 デフォルトでは、新しいコンピュータはすべて[デフォルトグループ]に追加され、各エー ジェントにインストールされたサービスの Endpoint Security デフォルトポリシーに割り当 てられます。これ以上の設定を行う必要はありません。 コンピュータグループを作成するには 1 アカウントにログインし、[コンピュータ]ページをクリックします。 2 左ペインで、[グループ]セクションの[グループの追加]リンクをクリックします。 3 表示される画面で、グループの[名前]と[説明]を入力します。[保存]をクリックしま す。 4 左ペインの[グループ]で、作成したグループを選択します。 5 グループ情報が表示されているページ右側のヘッダーで、[コンピュータの移動]リ ンクをクリックしてグループにコンピュータを追加します。 6 [コンピュータの移動]画面で、グループに追加するコンピュータをフィルタ処理して 選択します。[保存]をクリックします。選択したコンピュータが、[デフォルトグループ] (またはその他の割り当てられたグループ)から新しいコンピュータグループに移動 します。 ポリシーを作成するには 1 アカウントにログインし、[ポリシー]ページをクリックします。 2 左ペインの[サービス]で、ポリシーを作成するサービスを選択し、[ポリシーの追加] をクリックします。 40 第 2 章 Endpoint Protection のカスタマイズ USB デバイス制御について 3 [ポリシー]ページで、次のことを実行します。 ポリシーの[名前]と[説明]を入力します。 チェックボックスを使用して、適切な保護設定を割り当てます。 チェックボックスを使用して、スキャンの除外対象を検討し、設定します。特定のファ イル、フォルダ、ファイルの種類を除外するには、[カスタム除外]をクリックします。 p.43 の 「カスタム除外を使用」 を参照してください。 スキャンの頻度、開始時刻、スキャンを実行するコンピュータを指定して、[スキャン スケジュール]を設定します。 ページの[グループ]セクションで、該当するグループにポリシーを割り当てます。 4 [保存および適用]をクリックします。選択したグループ内のコンピュータに、ポリシー が割り当てられます。 USB デバイス制御について USB デバイス制御を使うと、管理者は従業員による USB リムーバブル記憶装置の使用 を制御し、悪質なコードインジェクションや知的財産の盗難を防ぐことができます。USB マウスとキーボードはデータストレージを提供しないため、[USB デバイス制御]による影 響を受けることはありません。制御には次のセキュリティレベルがあり、エンドポイントでポ リシーによってエンフォースされます。 ■ 許可 ■ 遮断 メモ: デバイス制御の制限事項はサーバーには適用されません。 ポリシーで USB デバイスが許可されている場合には、ポリシーが適用されるグループの すべてのコンピュータが USB ストレージデバイスにフルアクセスできます。許可はデフォ ルトの設定です。USB ストレージデバイスの読み取り専用アクセスを指定できます。 ポリシーで USB デバイスが遮断される場合には、エンドポイントへの通知を有効にでき ます。通知は、エンドポイントコンピュータの右端の下部に小さいポップアップメッセージ として表示されます。通知は、デフォルトではオフです。 すべての遮断イベントは、見直しや報告ができるようにログに記録されます。遮断イベン トは次のいくつかの項目として記録されます。 ■ [ホーム]ページの[Endpoint Protection]ウィジェットの項目 ■ [コンピュータプロファイル]の[サービス]タブの項目 ■ [コンピュータプロファイル]の[履歴]タブに記録される個々のイベント 41 第 2 章 Endpoint Protection のカスタマイズ USB デバイス制御の設定 ■ Endpoint Protection のセキュリティ概要レポートの USB デバイス制御部分 USB デバイス制御の設定 Endpoint Protection ポリシーでは、各グループに適した USB ストレージデバイスの制 御を作成できます。デバイス制御は USB メモリやハードディスクドライブには影響します が、USB マウスやキーボードはデータストレージを搭載していないため、影響しません。 USB デバイス制御は、新しいポリシーまたは既存の Endpoint Protection ポリシーの一 部として設定します。 ■ 許可 デフォルトの Endpoint Protection ポリシー設定のデバイス制御では、USB ストレー ジデバイスへのフルアクセスが許可されます。 ■ 遮断 デフォルトでは、エンドポイントの小さいポップアップの通知は無効です。 既存の Endpoint Protection ポリシーに USB デバイス制御を設定するには 1 任意のページで、[ポリシー]をクリックします。 2 [ポリシー]のページで、修正する Endpoint Protection ポリシーを見つけ、ダブル クリックします。 3 [USB デバイス制御]セクションでのドロップダウンを使って USB デバイスへのアク セスを[許可]または[遮断]します。 4 チェックボックスで次の設定を行います。 ■ USB ストレージデバイスへの読み書きアクセスの無効と有効を切り替えます。 メモ: [許可]オプションでのみアクティブ化できます。 ■ USB 遮断のユーザーへの通知の有効と無効を切り替えます。 メモ: [遮断]オプションでのみアクティブ化できます。 5 設定が終了したら、[保存および適用]をクリックします。 エンドポイントの USB デバイス制御の変更 USB デバイス制御は、コンピュータへの USB メモリの接続を防止できます。この機能は、 悪質なコードインジェクションや組織の知的財産の盗難のリスクを軽減します。このセキュ リティサービスは、ネットワーク管理者の当然の取り組みを妨げることがあります。多くの管 42 第 2 章 Endpoint Protection のカスタマイズ カスタム除外を使用 理者は、ネットワーク上のコンピュータを整備するために管理ソフトウェアがインストールさ れた USB ストレージデバイスを携帯します。管理者は、[設定]ページの[コンピュータの 設定]部分で、Endpoint Protection ポリシーで設定した遮断処理を変更する方法を設 定できます。 メモ: ベストプラクティスとして、USB デバイスにソフトウェアをインストールするとセキュリ ティリスクがあることが提言されています。 エージェントの管理者パスワードの変更を設定するには 1 任意のページで、[設定]、[コンピュータの設定]の順にクリックします。 2 [エージェントの管理者パスワード]の下で、[アイコンを表示する機能にこのパスワー ドを使う]を選択してください。 3 新しいパスワードを入力し、確認します。 4 エージェントの管理者パスワードを使って、USB デバイス制御を変更したり、エンド ポイントのパスワード保護をアンインストールしたりできるようになります。 信頼できる管理者は、この機能によりエンドポイントコンピュータに USB デバイスを 接続し、使うことができます。 エンドポイントの USB デバイス制御を変更するには 1 エンドポイントコンピュータのシステムトレーで Symantec.cloud Agent を開きます。 2 インターフェースのメインページで[Endpoint Protection]をクリックします。 3 Endpoint Protection のメインページが開いたら、右側のメニューの[USB デバイス 制御を強制変更します]オプションをクリックします。 4 USB デバイス制御のパスワードフィールドが開いたら管理者パスワードを入力し、 [OK]をクリックします。 エージェントの管理者パスワードを入力すると、コンピュータを再起動するまで接続 した USB ストレージデバイスにフルアクセスできます。 メモ: USB デバイスをコンピュータに接続する前に管理者のパスワードを入力して確 認する必要があります。パスワードを入力する前に USB デバイスを接続した場合 は、USB デバイスを取り外してから管理者パスワードを再び入力し、USB デバイス を再接続します。 カスタム除外を使用 Endpoint Protection ポリシーは、デフォルトではデスクトップコンピュータやノートパソコ ンにマップされたネットワークドライブを除外しますが、それらのコンピュータ上のリムーバ 43 第 2 章 Endpoint Protection のカスタマイズ カスタム除外を使用 ブルドライブのスキャンは許可します。チェックボックスを使ってその 2 つのオプションを 簡単に設定できます。カスタム除外では、特定のファイル、フォルダ、ファイルの種類を除 外できます。 ファイルとフォルダの場所の設定に便利なインターフェースで、通常の Windows の場所 の事前定義済みパス変数を選択できます。パスの入力フィールドのドロップダウン部分で 選択できます。変数にパスステートメントを追加できます。 表 2-5 事前定義済みパス変数 事前定義済みパス変数 デフォルトの Windows インストールの変 数パス [COMMON_APPDATA] C:¥Documents and Settings¥All Users¥Application Data [PROGRAM_FILES] C:¥Program Files [PROGRAM_FILES_COMMON] C:¥Program Files¥Common [COMMON_PROGRAMS] C:¥Documents and Settings¥All Users¥Start Menu¥Programs [COMMON_STARTUP] C:¥Documents and Settings¥All Users¥Start Menu¥Programs¥Startup [COMMON_DESKTOPDIRECTORY] C:¥Documents and Settings¥All Users¥Desktop [COMMON_DOCUMENTS] C:¥Documents and Settings¥All Users¥Documents [SYSTEM] C:¥Windows¥System32 [WINDOWS] C:¥Windows ファイル除外パスに使用可能な形式は次のとおりです。 ■ [drive letter]:¥path¥filename ■ [path_macro]¥path¥filename ■ ワイルドカードと末尾の「¥」は使用できません フォルダ除外パスに使用可能な形式は次のとおりです。 ■ [drive letter]:¥path to directory¥ ■ [path_macro]¥path to directory¥ ■ ワイルドカードは使用できません ■ 末尾に「¥」を付けることを推奨しますが、必須ではありません 44 第 2 章 Endpoint Protection のカスタマイズ カスタム除外を使用 ■ [サブフォルダ]チェックボックスをアクティブ化してすべてのファイルと子ディレクトリを 除外ルールに追加します 拡張子の除外を手動で設定する場合に使用可能な形式に必須の規則を次に示します。 ■ mdb などの拡張子に文字のみを使用します ■ 各拡張子は重複のないルールで使う必要があります ■ ワイルドカードとドット文字は無視されます ポリシーからファイルを除外するには 1 [ポリシー]ページで[ポリシーの追加]をクリックします。 2 ポリシーの設定ページの[コンピュータ保護]セクションで[カスタム除外]をクリックし ます。 3 ドロップダウンメニューから[ファイル]を選択します。 4 除外するファイルの入力形式: [drive_letter]:¥path_to_file¥filename 5 [追加]をクリックすると、除外ファイルが[現在の除外]リストに表示されます。 6 終了するには、ポリシーの設定ページの下部にある[保存および適用]をクリックしま す。 通常の場所からファイルを除外するには 1 [ポリシー]ページで[ポリシーの追加]をクリックします。 2 ポリシーの設定ページの[コンピュータ保護]セクションで[カスタム除外]をクリックし ます。 3 ドロップダウンメニューから[ファイル]を選択します。 4 ドロップダウンから [PROGRAM_FILES] を選択します。 5 除外するディレクトリを事前定義済みパス変数に追加します。次のように表示される はずです: [PROGRAM_FILES]¥Directory_Path_to_file_to_be_excluded¥name_of_file_to_exclude。 実際には、[PROGRAM_FILES]¥W2_v3¥Word2WAV_v3.exe のように表示され ることがあります。 6 [追加]をクリックすると、除外ファイルが[現在の除外]リストに表示されます。 7 終了するには、ポリシーの設定ページの下部にある[保存および適用]をクリックしま す。 フォルダを除外するには 1 [ポリシー]ページで[ポリシーの追加]をクリックします。 2 ポリシーの設定ページの[コンピュータ保護]セクションで[カスタム除外]をクリックし ます。 45 第 2 章 Endpoint Protection のカスタマイズ カスタム除外を使用 3 ドロップダウンメニューから[フォルダ]を選択します。 4 除外するディレクトリの入力形式: [drive_letter]:¥path_to_folder¥ 5 除外するフォルダ内のすべてのサブディレクトリを除外するには、[サブフォルダ] チェックボックスにチェックマークを付けます。 6 [追加]をクリックすると、除外ファイルが[現在の除外]リストに表示されます。 7 終了するには、ポリシーの設定ページの下部にある[保存および適用]をクリックしま す。 通常の場所からフォルダを除外するには 1 [ポリシー]ページで[ポリシーの追加]をクリックします。 2 ポリシーの設定ページの[コンピュータ保護]セクションで[カスタム除外]をクリックし ます。 3 ドロップダウンメニューから[フォルダ]を選択します。 4 ドロップダウンから [PROGRAM_FILES] を選択します。 5 除外するディレクトリを事前定義済みパス変数に追加します。次のように表示される はずです: [PROGRAM_FILES]¥Directory_Path_to_folder_to_be_excluded¥。 実際には、[PROGRAM_FILES]¥W2_v3¥ のように表示されることがあります。 6 除外するフォルダ内のすべてのサブディレクトリを除外するには、[サブフォルダ] チェックボックスにチェックマークを付けます。 7 [追加]をクリックすると、除外ファイルが[現在の除外]リストに表示されます。 8 終了するには、ポリシーの設定ページの下部にある[保存および適用]をクリックしま す。 ファイルの種類を除外するには 1 ポリシーの設定ページでは、[カスタム除外]をクリックします。 2 ドロップダウンメニューから[拡張子]を選択します。 3 ドロップダウンからよく使うファイルの種類を選択するか、または先頭にピリオドを付 けずにファイル拡張子を直接入力します。ファイルの種類の除外はシステム全体に わたって適用されます。 メモ: ファイルの種類の除外は 1 つずつ入力する必要があります。複数の拡張子を 区切って指定することはできません。 4 終了するには、ポリシーの設定ページの下部にある[保存および適用]をクリックしま す。 46 第 2 章 Endpoint Protection のカスタマイズ スマートファイアウォールの設定 スマートファイアウォールの設定 スマートファイアウォールは、組織に作成するポリシーのデスクトップやラップトップのネッ トワーク保護設定の一部です。スマートファイアウォールは、使用しているコンピュータと 他のコンピュータとの通信をインターネット上で監視します。また、次のような一般的なセ キュリティ問題からエンドポイントコンピュータを保護します。 不適切な接続の試 行 他のコンピュータから接続を試行したり、使用しているコンピュータのプログ ラムで他のコンピュータに接続を試行すると警告されます ポートのスキャン コンピュータ上の非アクティブポートを隠して、ポートのスキャンなどのハッキ ングによる攻撃から保護します 侵入 使用しているコンピュータへのネットワークトラフィックまたは使用しているコ ンピュータからのネットワークトラフィックの疑わしい動作を監視し、システム を脅かす前に攻撃を止めます スマートファイアウォールには次の 4 つの設定オプションがあります。 ■ 指定した期間、ファイアウォールを無効化できる[ユーザーはファイアウォールを無効 にできます] ■ 15 分 ■ 1 時間 ■ 5 時間 ■ システムを再起動するまで ■ ファイアウォール活動をレポート作成データベースに配信する[ブロックされたイベン トのレポート] ■ 管理者が組織に合ったルールを作成できる[ファイアウォールルール] ■ エージェント検出プログラムのルール作成を簡単にする[プログラム制御] [ユーザーはファイアウォールを無効にできます]と[ブロックされたイベントのレポート]の チェックボックスで制御のオンとオフを切り替えます。[ファイアウォールルール]と[プログ ラム制御]には、さらに詳細な設定オプションが用意されています。 ファイアウォールルールの使用 スマートファイアウォールルールを使うと、管理者はファイアウォールセキュリティをカスタ ムポリシーで組織のニーズに合わせて調整できます。スマートファイアウォールは組織 ネットワークのエッジにある境界ファイアウォールデバイスではありません。スマートファイ アウォールは個々のエンドポイントコンピュータに存在し、コンピュータグループのポリシー に基づいて防御します。 47 第 2 章 Endpoint Protection のカスタマイズ スマートファイアウォールの設定 Endpoint Protection では、デフォルトのルールを使ってサービスを適切に運用します。 デフォルトのルールは、基本的なネットワーク機能を提供し、既知のインターネットリスク から保護します。デフォルトのファイアウォールルールの例を次に示します。 デフォルト許可特定 アウトバウンドのすべての種類とインバウンドの安全な種類の ICMP(Internet インバウンド ICMP Control Message Protocol)のメッセージを許可します。 デフォルト許可特定 ICMP メッセージは、状態と制御情報を提供します。 アウトバウンド ICMP デフォルト遮断 EPMAP エンドポイントマッパープロトコルを使うと、別のコンピュータで実行している サービスの設定を変更できます。 デフォルト許可イン バウンド Bootp Bootp サービスの使用を許可します。 デフォルト許可アウト Bootp は Bootstrap Protocol の省略形です。コンピュータで、コンピュータ バウンド Bootp 自体の IP アドレスを検出できます。 デフォルトの Endpoint Protection ポリシーで使われるファイアウォールルールは、ほと んどの組織のニーズを満たします。デフォルトのポリシーはファイルとプリンタの共有を無 効にし、デフォルトのファイアウォールルールは修正、削除、順序変更できません。ただ し、管理者は組織のニーズに対応するルールをスマートファイアウォールに追加できま す。 デフォルトのファイアウォールルールを表示するには 1 [ポリシー]ページで[ポリシーの追加]をクリックします。 2 ポリシーの設定ページの[ネットワーク保護]部分で、[ファイアウォールルール]をク リックしてから[デフォルトルールの表示]をクリックします。デフォルトルールは修正、 削除、順序変更できません。 ファイルとプリンタの共有が有効になったデフォルトポリシーを使うには 1 [ポリシー]ページで、[Endpoint Protection]、[Endpoint Protection のデフォルト ポリシー]の順にクリックします。 2 Endpoint Protection ポリシーの設定ページの上部で、[コピーの保存]をクリックし ます。 3 [名前]と[説明]を変更して、ファイルとプリンタの共有が有効になったデフォルトポ リシーとしてポリシーを識別します。 4 ポリシーの設定ページの[ネットワーク保護]部分で、[ファイアウォールルール]をク リックします。 48 第 2 章 Endpoint Protection のカスタマイズ ファイアウォールルールの設定 5 [ファイルおよびプリンタの共有を有効にする]ポリシーオプションをクリックして緑色 またはアクティブにします。 6 ポリシーの設定ページの[グループ]部分で、修正したデフォルトポリシーを使うグ ループを選択します。[保存および適用]をクリックします。 ファイアウォールルールの設定 ファイアウォールはネットワークを保護する防壁です。スマートファイアウォールの場合は エンドポイントコンピュータを危険な通信や不要な通信から保護します。通信は、サービ スにアクセスするためにトランスポートプロトコルとポート番号を使って送信元 IP アドレス と送信先 IP アドレスとの間で行われます。提供されたサービスのサービスポート番号に コマンドが送信されます。通信を開始するコンピュータから指定されたポートに応答が返 されます。ファイアウォール管理者は 2 台のコンピュータ間のトラフィックを次により遮断 または許可できます。 ■ IP アドレスのみ ■ 必要なサービスのポート番号 ■ IP アドレスとサービスポート番号の両方 この機能は Endpoint Protection で利用できますが、手動でのファイアウォールルール の設定はトレーニングや経験を積んでいない管理者にはリスクがあります。作成したルー ルは徹底的にテストすることを推奨します。 Endpoint Protection のスマートファイアウォールは、次の 3 つの性質に基づいてルー ルを設定します。 ■ 接続 ■ コンピュータ ■ 通信 これらのルールは、ファイアウォールルールの内部 IP アドレスが存在するコンピュータの グループ(複数の場合あり)に適用されます。 ファイアウォールルール定義の最初のステップは、ルールで定義された基準を満たす接 続で実行するべきことの宣言です。次の 2 つの処理が可能です。 許可 この種類の通信の実行を許可する 遮断 この種類の通信の実行を遮断する 接続方向が接続について確認する次の要素です。 インバウンド インバウンド接続には、他のコンピュータから使用しているコンピュータへの 接続があります。 49 第 2 章 Endpoint Protection のカスタマイズ ファイアウォールルールの設定 アウトバウンド アウトバウンド接続には、使用しているコンピュータから他のコンピュータへ の接続があります。 インバウンドとアウト バウンド インバウンドとアウトバウンドの接続には、使用しているコンピュータへの着 信、使用しているコンピュータからの送信があります。 ルールを適用するコンピュータを次のいずれかから指定します。 すべてのコンピュー すべてのコンピュータにルールを適用する タ ローカルサブネット 内のすべてのコン ピュータ ローカルサブネット内のコンピュータにのみルールを適用する コンピュータの選択 一覧表示されているコンピュータ、サイト、ドメインにのみルールを適用する 次のオプションを含む ■ [個別] - コンピュータ名または URL を入力 ■ [範囲を使用] - IP アドレスの範囲を入力 ■ [ネットワークアドレスを使用] - IP アドレスとそのサブネットマスクを入力 コンピュータの識別オプションは、定義したアドレスで混在させることができ ます。 新しいファイアウォールルールの作成の最後のステップは、接続に使用する通信プロトコ ルの定義です。次のプロトコルを指定できます。 ■ TCP ■ UDP ■ TCP と UDP ■ ICMP ■ ICMPv6 ■ すべて [すべて]以外のプロトコルを選択した場合には、選択した種類のすべてのプロトコルの 通信が許可されます。より限定する必要がある場合は、カスタムリストを作成します。 カスタムリストは次の基準で作成できます。 リストからの既知の ポート [クリックしてリストを表示]を使って選択したポートにルールを適用します。 既知のポートは良く知られているサービスを提供します。あまり一般的では ないアプリケーションや独自のアプリケーションの場合は、アプリケーション で使用するポートを特定する必要があります。 50 第 2 章 Endpoint Protection のカスタマイズ ファイアウォールルールの設定 個別指定のポート 入力したポートにルールを適用します。複数のポートを入力する場合はス ペースで区切って入力します。 ポート範囲 最小番号から最大番号までのすべてのポートにルールを割り当てます。 最小番号から最大番号までのポート範囲を入力します。 最後に、リストのポートをローカルまたはリモートに分ける必要があります。 ローカル ローカルポートは Endpoint Protection の保護コンピュータのポートを参照 します。通常はインバウンド接続に使われます。 リモート リモートポートは、使用しているコンピュータが通信するコンピュータのポー トです。通常はアウトバウンド接続に使われます。 警告: ファイアウォールルールが適切に設定されていなかったり、誤設定されていると組 織のネットワークが侵入やミッションクリティカルなサービスの損失にさらされます。新しい ファイアウォールルールのすべては組織に配備する前に安全テストを実行してください。 ポリシーとファイアウォールルールをテストするコンピュータグループを設定するには 1 ファイアウォールルールをテストするコンピュータグループを作成します。 2 テストする複数のコンピュータをテストグループに移動します。 3 テストポリシーを作成して、テストグループに適用します。 4 新しいファイアウォールルールを作成し、新しいルールで作成したポリシーを保存し て適用します。 5 テストグループのコンピュータを使ってルールをテストします。 6 プロセスを繰り返し、新しく追加したルールそれぞれについてポリシーをテストしま す。 7 ルールが正しい順序で入力されたことを確認します。 8 徹底的にテストしてから組織にルールを配備します。 よく知られているプログラム(Post Office Protocol v3)へのアクセスを許可するには 1 ポリシーの設定ページの[ネットワーク保護]部分で[ファイアウォールルール]をク リックします。 2 [ルールの追加]をクリックしてルールの設定ページを開きます。 3 [ルール名]に「Allow POP3 email」と入力します。 4 [接続]セクションで、[接続]ドロップダウンを[許可]に設定し、[接続タイプ]を[アウ トバウンド]に設定します。 51 第 2 章 Endpoint Protection のカスタマイズ ファイアウォールルールの設定 5 [コンピュータ]セクションで、ドロップダウンを[コンピュータの選択]、[個別]に設定 し、「www.POP3_mailserver.com」(URL または IP アドレス)と入力します。 6 [>>]ボタンをクリックして、リストにコンピュータを追加します。 7 [通信]セクションで、ドロップダウンを[TCP]、[カスタムリスト]と[リストからの既知の ポート]に設定します。[ローカル]/[リモート]ドロップダウンに移動して[リモート]に 設定します。 8 [クリックしてリストを表示]をクリックしてよく知られている TCP ポートのリストを確認 し、POP 3 プロトコルの 110 にチェックマークを付けて[適用]をクリックします。 メモ: 最新の POP メールサーバーは通信に SSL/TLS セキュリティを使用するため、 サービスにアクセスするにはさらに詳細なルールが必要な場合があります。 9 [OK]をクリックしてルールを完成します。 10 ポリシーの作成または修正が終了したら、ポリシーの設定ページの下部にある[保存 および適用]をクリックします。この処理は、ポリシーや新しいファイアウォールルー ル、修正したファイアウォールルールを、そのポリシーを使うグループにプッシュアウ トします。 特定のアドレスの特定のポートにアクセスを許可するには 1 ポリシーの設定ページの[ネットワーク保護]部分で[ファイアウォールルール]をク リックします。 2 [ルールの追加]をクリックしてルールの設定ページを開きます。 3 [ルール名]に「Allow service on port 54321 from OurVendor.com」と入力します。 4 [接続]セクションで、[接続]ドロップダウンを[許可]に設定し、[接続タイプ]を[アウ トバウンド]に設定します。 5 [コンピュータ]セクションで、ドロップダウンを[コンピュータの選択]、[個別]に設定 し、「www.OurVendor.com」(URL または IP アドレス)と入力します。 6 [>>]ボタンをクリックして、リストにコンピュータを追加します。 7 [通信]セクションで、ドロップダウンを[TCP]、[カスタムリスト]と[個別指定のポート] に設定します。 8 [ローカル]/[リモート]ドロップダウンを[リモート]に変更します。 9 [ポート番号]に「54321」と入力し、[>>]ボタンをクリックして通信リストにポートを追 加します。 52 第 2 章 Endpoint Protection のカスタマイズ プログラム制御の使用 10 [OK]をクリックしてルールを完成します。 11 ポリシーの作成または修正が終了したら、ポリシーの設定ページの下部にある[保存 および適用]をクリックします。この処理は、ポリシーや新しいファイアウォールルー ル、修正したファイアウォールルールを、そのポリシーを使うグループにプッシュアウ トします。 信頼できる外部ネットワークアクセスを内部コンピュータのサービスに許可するには 1 ポリシーの設定ページの[ネットワーク保護]部分で[ファイアウォールルール]をク リックします。 2 [ルールの追加]をクリックしてルールの設定ポップアップを開きます。 3 [ルール名]に「Allow access to internal service from trusted, external network」 と入力します。 4 [接続]セクションで、[接続]ドロップダウンを[許可]に設定し、[接続タイプ]を[イン バウンド]に設定します。 5 [コンピュータ]で[コンピュータの選択]、[ネットワークアドレスを使用]を選択して、 信頼できるネットワークアドレスまたはサブネットマスクを入力します。[>>]ボタンをク リックして、コンピュータリストにコンピュータを追加します。 6 [通信]で[TCP]、[カスタムリスト]、[ポート範囲]、[ローカル]を選択して、「port 6000 to 6005」と入力します。[>>]ボタンをクリックして通信リストにポートを追加しま す。 7 [OK]をクリックしてルールを完成します。 8 ポリシーの作成または修正が終了したら、ポリシーの設定ページの下部にある[保存 および適用]をクリックします。この処理は、ポリシーや新しいファイアウォールルー ル、修正したファイアウォールルールを、そのポリシーを使うグループにプッシュアウ トします。 プログラム制御の使用 Endpoint Protection エージェントは各エンドポイントで実行されているよく知られている プログラムを検出し、そのプログラムを組織のデータベースに追加します。スマートファイ アウォールを使うとこれらのプログラムを安全に実行できます。ただし、管理者は検出され たプログラムがインターネットに接続しないようにできます。組織のセキュリティポリシーで プログラムを禁止します。 プログラム制御を使って検出されたプログラムを遮断するには 1 ポリシーの設定ページの[ネットワーク保護]部分で、[プログラム制御]をクリックして から[検出されたプログラムの追加]をクリックします。エージェント検出プログラムを 表示するには 2 禁止されたプログラムを選択して[OK]をクリックします。 53 第 2 章 Endpoint Protection のカスタマイズ コンピュータのリモートスキャン 3 選択したプログラムが[検出したプログラム]リストに表示されます。プログラムに関連 するドロップダウンボックスを使って、そのプログラムを遮断します。 4 終了したら、[保存および適用]をクリックします。 コンピュータのリモートスキャン エンドポイントコンピュータはコンピュータのプロファイルページからスキャンできます。コ ンピュータグループ全体はコンピュータグループページからスキャンできます。 メモ: Windows 2008 にインストールしたエージェントは、管理コンソールのファイルの修 正、復元、削除機能をサポートしません。 メモ: Windows Server 2012 でインストールされるエージェントは隔離ファイルの管理コ ンソールの復元をサポートしません。 コンピュータをリモートスキャンするには 1 管理コンソールにログインします。 2 [コンピュータ]ページで、スキャンするコンピュータの名前をクリックします。 3 [コンピュータプロファイル]ページの[サービス]ページにある[タスク]メニューで[今 すぐスキャン]をクリックします。 4 リモートスキャンするコンピュータを確認するには、再び[今すぐスキャン]をクリックし ます。 スキャンはリモートコンピュータでサイレントに実行されます。 5 最初のスキャンが完了すると、[タスク]メニューに[隔離の表示]と[未解消リスクの表 示]のオプションが表示されます。 コンピュータグループをリモートスキャンするには 1 管理コンソールにログインします。 2 [コンピュータ]ページの左ペインにある[グループ]セクションでグループ名をクリッ クします。 3 [コンピュータグループ]ページで、[グループスキャン]をクリックします。 4 [グループスキャン]ダイアログボックスが開きます。[クイックスキャン]または[システ ムの完全スキャン]を選択して[今すぐスキャン]をクリックします。 54 第 2 章 Endpoint Protection のカスタマイズ オンプレミス Endpoint Protection のインストール 5 リモートスキャンするコンピュータを確認するには、再び[今すぐスキャン]をクリックし ます。 スキャンはリモートコンピュータでサイレントに実行されます。 6 最初のスキャンが完了すると、[タスク]メニューに[隔離の表示]と[未解消リスクの表 示]のオプションが表示されます。 オンプレミス Endpoint Protection のインストール Symantec Endpoint Protection のライセンスは、クラウドまたはオンプレミスバージョンの Endpoint Protection の使用権を与えます。オンプレミスバージョンの Endpoint Protection は、Mac OS X をサポートします。 オンプレミスバージョンの Endpoint Protection をダウンロードするには 1 任意のページで、[登録]をクリックします。 2 シリアル番号が書かれていない場合は、[Endpoint Protection Small Business Edition]の[登録の詳細]をクリックして取得します。 オンプレミスソフトウェアのアクセスにもダウンロードにもシリアル番号が必要です。 3 [Endpoint Protection Small Business Edition]で[オンプレミスマネージャのダウ ンロード]を見つけ、クリックします。 4 ソフトウェアにアクセスするウィンドウとソフトウェアをダウンロードするウィンドウの両 方がそれぞれ開きます。 5 ソフトウェアをアクティブ化するには、シリアル番号を使ってダウンロードしたソフトウェ アをインストールします。 55 3 ローカル更新サービスの実 装 この章では以下の項目について説明しています。 ■ ローカル更新サービスについて ■ ローカル更新サービスが役立つかどうかの判断 ■ ローカル更新ホストの選択 ■ ローカル更新ホストの設定 ■ ローカル更新ホストの管理 ■ ローカル更新ホストの脆弱性についての理解 ローカル更新サービスについて ローカル更新サービスを使用すると、ローカル更新ホストとして動作するコンピュータを指 定できます。ローカル更新ホストは、同じネットワーク内の他のコンピュータと、ソフトウェア の更新と定義ファイルを効率的に共有します。この機能は、指定されたローカル更新ホス トから必要な更新をダウンロードするようにエージェントに指示することで、SEP SBE クラ ウドへのインターネットトラフィックを減らします。ローカル更新サービスを使うことで、イン ターネットの帯域幅を大幅に節約できる可能性があります。 ローカル更新サービスが役立つかどうかの判断 ローカル更新サービスは、限られた帯域幅でインターネットにアクセスするネットワークに 多大なメリットをもたらします。このサービスにより、各ネットワークセグメント用にローカル 更新ホストを設定できます。ローカル更新ホストは、4 時間ごとに定義とソフトウェアの更 第 3 章 ローカル更新サービスの実装 ローカル更新ホストの選択 新をチェックし、更新が利用可能なときはダウンロードします。ローカル更新ホストのダウ ンロードの式は、大まかに次のとおりです。 (35MB*30 days)+170MB/month for additional files=1220MB/month ローカル更新ホストを使わないと、Endpoint Protection コンピュータのそれぞれが同じ 処理を行うため、インターネットの帯域幅が消費されます。ネットワークの負荷が高いと、 各ユーザーが出社してコンピュータをオンにし、エージェントが Cloud に更新を照会す るときに複雑になる可能性があります。ローカル更新ホストを配備するときも、Endpoint Protection コンピュータは更新ファイルと定義ファイルをダウンロードするためにローカル ネットワークの帯域幅を消費しますが、このダウンロードではインターネットの帯域幅では なく、ローカルネットワークの帯域幅のみが消費されます。ローカル更新ホストの配置計 画を立てることで、ネットワークセグメントごとにローカル更新ホストを拡散して、高いネット ワーク負荷を緩和できます。 ネットワークにローカル更新ホストを適切に配備するには、先を見越した計画が不可欠で す。ローカル更新ホストに最適な候補を決めてしまえば、設定は必要ありません。 ローカル更新ホストの選択 ローカル更新ホストの配備計画を立てるには、ネットワークトポロジとネットワークの使用率 に関する知識が重要です。ローカル更新ホストをローカルネットワークごとに配備するか、 ネットワークセグメントごとに配備するかを決める必要があります。 次の点について考慮します。 ■ ネットワーク上に存在するエージェントの数 ■ インターネット接続の容量 ■ 組織のそれぞれの場所の間のネットワークで、データのやり取りをルーティングする か、またはブリッジを使うか ■ 場所どうしの接続の容量 ■ 組織のそれぞれの場所で複数のネットワークをサポートするか ■ 各ネットワークセグメントのネットワーク利用率 一般的に、スイッチ付きギガビットイーサネットネットワークを使用する小規模から中規模 の企業では、ローカルネットワークの利用率に問題が起こることはあまりありません。トポロ ジの主な問題は、主要ネットワークにブリッジを使って接続し、その接続を介してインター ネットにアクセスするリモートオフィスで発生する可能性が高くなります。このような場合、 エージェントのためのソフトウェアと定義の更新によって、リモートネットワークと主要ネット ワーク間のネットワーク接続が停滞する可能性があります。主要ネットワークのローカル更 新ホストからエージェントが更新を探すか、インターネットで更新を探すかで、リモートオ フィスの接続が停滞します。この場合、リモートオフィスのコンピュータにローカル更新ホ ストを配備すると、リモートネットワーク接続の負荷が低減されます。 57 第 3 章 ローカル更新サービスの実装 ローカル更新ホストの設定 リモートオフィスが組織の主要ネットワークにルーティングされ、インターネットへのローカ ル接続がサポートされる場合は、考慮すべき事柄が異なります。この場合には次の点を 考慮する必要があります。 ■ インターネット接続の容量 ■ サポートされるコンピュータの数 リモートオフィスが小さい場合、得られる可能性のあるメリットは少なくなります。しかし、 エージェントの数が増えると、メリットも多くなります。単一のローカル更新ホストは、約 100 個のエージェントをサポートし、50 個のエージェントを同時にサポートできます。 ネットワークトポロジとネットワーク利用率を考慮した後、ローカル更新ホストにするコン ピュータを委任する必要があります。主な必要条件の一部を次に示します。 ■ Microsoft 社のサーバーオペレーティングシステム ■ 拡張稼動時間は 24-7 を推奨 ■ コンピュータ名は一意である必要がある ■ VMware ホストは非推奨 シマンテック社は最適なパフォーマンスのために専用サーバーを使用することを推奨し ます。ローカル更新のホストはキャッシュ用に 1 GB を予約します。このメモリ消費により、 一部の特定のコンピュータではハードウェア要件が重要になります: ■ 32 ビットコンピュータのローカル更新ホストを有効にするには 4GB 以上の RAM が 必要 ■ 7200 rpm 以上の高速ハードディスクドライブです。 ローカル更新ホストの設定 SEP SBE クラウドの管理コンソールの[コンピュータ]ページで、ローカル更新ホストの役 割に最も適したコンピュータを指定します。選択したコンピュータの[プロファイル]ページ でローカル更新ホストを指定します。グループにローカル更新ホストを割り当てるシステム ポリシーがない場合は、Endpoint Protection コンピュータは通常のエージェントホーム の呼び出しの間にローカル更新ホストを検出します。 エージェントホームの呼び出しは 12 時間ごとです。 それ以降、ローカル更新ホストのクライアントは、ローカル更新ホストか らソフトウェアの更新と定義ファイルを受け取るため、インターネット接続の負荷が低減さ れます。 ローカル更新ホストが何らかの問題のためにオフラインになった場合、ローカル更新ホス トのクライアントは SEP SBE クラウドに自動的にフェールオーバーします。外出中のユー ザーのノートパソコンでエージェントがそれ自体のローカル更新ホストを見つけられない 場合、エージェントは SEP SBE クラウドにフェールオーバーします。 ローカル更新サービスは、通常プロキシキャッシュの設定に伴う複雑な作業を必要とせず に、ネットワークおよびインターネットの帯域幅の消費を減らすように設計されています。 58 第 3 章 ローカル更新サービスの実装 ローカル更新ホストの管理 メモ: ローカル更新のホストはポート 3128 を使用して、アクセス可能である必要がありま す。 コンピュータをローカル更新ホストとして指定するには 1 任意のページで、[コンピュータ]タブをクリックします。 2 ローカル更新ホストとして指定するコンピュータのコンピュータ名をクリックします。 3 [コンピュータプロファイル]ページの右側の処理のリストで、[ローカル更新ホストと しての役割を有効にする]をクリックします。 4 ローカル更新ホストの昇格を確認します。 5 Agent が[グローバルシステム]ポリシーを更新する、またはネットワークのローカル 更新のホストを学習するときに、Agent はローカル更新ホストから更新のダウンロー ドを開始します メモ: Agent が新しいローカル更新のホストに接続するために、最大 12 時間かかる 場合があります。 ローカル更新ホストの管理 注意を必要とするローカル更新ホストの[コンピュータプロファイル]ページからローカル 更新ホストを管理します。グループにローカル更新ホストを割り当てるシステムポリシーが ない場合は、ローカル更新サービスは動的に設定されます。 指定したホストの[コンピュー タプロファイル]ページから次のことを行えます。 ■ ローカル更新ホストに割り当て済みのコンピュータを表示する ■ ローカル更新ホストを無効にする グローバルシステムポリシーは管理コンソールの[ポリシー]ページで管理できます。 p.63 の 「グローバルポリシーの使用」 を参照してください。 ローカル更新ホストに割り当て済みのコンピュータを表示するには 1 いずれかのページで、[コンピュータ]ページをクリックします。 2 [コンピュータ]ページで、ローカル更新ホストのコンピュータ名をクリックします。 3 [コンピュータプロファイル]ページの[ローカル更新ホスト]セクションで、[割り当て られたコンピュータ]の隣にある、数を表すリンクをクリックして割り当てのリストを表示 します。 59 第 3 章 ローカル更新サービスの実装 ローカル更新ホストの脆弱性についての理解 ローカル更新ホストを無効にするには 1 いずれかのページで、[コンピュータ]ページをクリックします。 2 [コンピュータ]ページで、使用停止にするローカル更新ホストのコンピュータ名をク リックします。 3 [コンピュータプロファイル]ページの右側の処理のリストで、[ローカル更新ホストと しての役割を無効にする]をクリックします。 4 そのローカル更新ホストを使用停止にすることを確認します。 5 ネットワークの他のコンピュータは、SEP SBE クラウドと通信すると、クラウドから更 新を取得することを再開するか、またはネットワーク内の新しいローカル更新ホストに 割り当てられます。 ローカル更新ホストの脆弱性についての理解 ローカル更新ホストの脆弱性スキャンは、ローカル更新ホストとしての役割を持つコンピュー タで、いくつかの新しい脆弱性をもたらす可能性があります。脆弱性には、次のようなもの があります。 危険度が高い脆弱性: ■ PHP 組み込み Web サーバーの「コンテンツ長」のサービス阻止の脆弱性 ■ HTTP TRACE XSSの攻撃 ■ Apache チャンクエンコード ■ Cisco VoIP 電話のサービス阻止 ■ NT IIS 5.0 形式不良 HTTP のプリンタリクエストヘッダーのバッファオーバーフロー の脆弱性 ■ Squid 情報漏洩の脆弱性 中危険度の脆弱性: ■ Squid HTCP パケットプロセッシングサービス阻止の脆弱性 ■ Squid 外部認証ヘッダーの解析プログラム DOS の脆弱性 ■ Squid ヘッダーのみパケットリモートサービス阻止の脆弱性 危険度が低い脆弱性: ■ クロック正確性のチェッカー (HTTP) ■ 相対的 IP 識別番号の変更 60 第 3 章 ローカル更新サービスの実装 ローカル更新ホストの脆弱性についての理解 メモ: 脆弱性の名前は、お客様から提供されたセキュリティスペースセキュリティ監査から 入手されます。 異なった製造元では、同様な脆弱性について異なる名前を使用する場 合があります。 これらの脆弱性は無視しないでください。脆弱性による問題を緩和するためには、いくつ かの方法があります。 ■ Squid プロキシへの匿名アクセスは許可されません。 ■ プロキシとのすべての通信は、カスタマーエージェントに限定されます。 ■ シマンテック社は、静止したコンピュータのネットワーク境界内に、ローカル更新ホスト を配置することをお勧めします。 ■ シマンテック社では、信頼できないネットワークから、ローカル更新ホストサービスの ポート3128番にアクセスできないようにすることをお勧めします。ただし、ファイアウォー ルでは、ローカル更新ホストとシマンテック社のサービス間の通信が可能になってい る必要があります。 これらの解決策により、外部攻撃からローカル更新ホストが保護できます。 しかし、管理 者は内部における脅威の可能性についてもご注意ください。 61 4 コンピュータの管理 この章では以下の項目について説明しています。 ■ グループ処理の実行 ■ グローバルポリシーの使用 ■ ローカルエージェントのプロキシ設定の使用 ■ 警告の作成 グループ処理の実行 管理者は[コンピュータ]ページの[グループ処理を実行]オプションを指定して、スキャン の実行と LiveUpdate のトリガを同時に行えます。 管理者はクイックスキャンまたはフル スキャンを実行するだけでなく、組織のグループの一部またはすべてに LiveUpdate を 実行 できます。 メモ: LiveUpdate では、正常に実行するために十分なディスクスペースが必要です。 LiveUpdate の失敗を避けるため、コンピュータに 1 GB の空きディスク容量があることを 確認してください。 グループ処理を実行するには 1 管理コンソールアカウントにログインします。 2 [コンピュータ]ページの左ペインの[クイックタスク]で、[グループ処理を実行]をク リックします。 3 [グループ処理]ダイアログボックスで、処理を適用するグループを選択します。 4 [グループスキャン]領域で、[クイックスキャン]または[フルスキャン]を選択します。 5 エンドポイントの最新のウイルス定義を調べるには、[LiveUpdate を実行]にチェッ クマークを付けます。 第 4 章 コンピュータの管理 グローバルポリシーの使用 6 [処理を実行]をクリックします。 7 SEP SBE クラウドは、処理を実行するときに接続されているすべてのエンドポイント に処理を振り分けます。[グループ処理の振り分けが完了しました。]ダイアログは、 正常に振り分けられた処理の概要を示します。 グローバルポリシーの使用 グローバルポリシーは、すでに割り当て済みのサービスポリシーに加えてグループにも割 り当てられます。 ポリシーの用途は次のとおりです。 ■ プロキシの設定 ■ ローカル更新ホストの割り当て ■ LiveUpdate スケジュールの設定 グローバルポリシーを使うと、複数のオフィスがある組織にプロキシ設定とローカル更新ホ ストを簡単に割り当てることができます。 ■ ローカルエージェントで割り当てたプロキシ設定はグローバルプロキシ設定を上書き します。 p.65 の 「ローカルエージェントのプロキシ設定の使用」 を参照してください。 ■ グローバルに割り当てられたローカル更新ホストがない場合でも、エージェントはロー カル更新ホストの検出を行います。 p.58 の 「ローカル更新ホストの設定」 を参照してください。 LiveUpdate のスケジュールのグローバルポリシーはエージェントソフトウェアの更新の管 理も有効にします。 ソフトウェアの更新が 30 日以上古いときは、更新はグローバルポリ シーのスケジュールに関わらず配信されます。 メモ: LiveUpdate のスケジュールはウイルス定義の配信に影響しません。 グローバルシステムポリシーを設定するには 1 管理コンソールの任意のページで、[ポリシー]をクリックします。 [システム]が選択 されていることを確認します。 [システム]は、[グローバル]の下から選択します。 2 新しいシステムポリシーを設定するには、[ポリシーの追加]をクリックします。 3 説明的な[名前]とシステムポリシーの目的を説明する[説明]を入力します。 4 プロキシを設定し、ローカル更新ホストを割り当てることができるようになりました。 「グローバルシステムプロキシを設定するには 」 「ローカル更新ホストを割り当てるには」 「LiveUpdateのスケジュールを設定するには」 63 第 4 章 コンピュータの管理 グローバルポリシーの使用 グローバルシステムプロキシを設定するには 1 [プロキシの設定]で、[プロキシの有効化]チェックボックスにチェックマークを付け てエージェントのプロキシを設定します。 メモ: デフォルトでは、プロキシの種類が[HTTP]に設定されています。これは変更 できません。 2 プロキシの[ホスト]と[ポート]のアドレスを入力します。 3 プロキシの認証が必要な場合は[認証済み]チェックボックスにチェックマークを付 け、[ユーザー名]と[パスワード]に入力します。 4 [グループ]セクションで、プロキシ設定を必要なグループに割り当てます。 メモ: [ローカル更新サービス]セクションでローカル更新ホストを割り当てることがで きます。 次に、その処理手順を説明します。 5 終了したら、[保存および適用]をクリックします。 選択したグループのコンピュータは、ポリシーの変更が振り分けられると新しいプロ キシ設定を受け取ります。 ローカル更新ホストを割り当てるには 1 [ローカル更新サービス]で、システムポリシーに適切な方法を選択します。 利用可能な任意のローカル更新ホストに接続 このオプションは、ローカル更新ホストの検出 をエージェントに許可します。 利用可能なローカル更新ホストに接続しない このオプションは、システムポリシーのローカ ル更新サービスを無効にします。 このグループのローカル更新ホストを指定 このオプションでは、システムポリシーに適し たローカル更新ホストを選択できます。 最初の 2 つのオプションのどちらかを選択したら、ステップ 3 にスキップします。 3 番目のオプションを選択した場合はステップ 2 に進みます。 2 [このグループのローカル更新ホストを指定]を選択すると、ホストの選択インター フェースが開きます。 システムポリシーに割り当てるローカル更新ホストを選択して[追加]をクリックします。 [すべてを追加]を使うとすべてのローカル更新ホストを一度に選択できます。 64 第 4 章 コンピュータの管理 ローカルエージェントのプロキシ設定の使用 3 [グループ]セクションで、[ローカル更新サービス]設定を必要なグループに割り当 てます。 4 終了したら、[保存および適用]をクリックします。 選択したグループのコンピュータは、ポリシーの変更が振り分けられると新しいプロ キシ設定を受け取ります。 LiveUpdateのスケジュールを設定するには 1 どのスケジュールオプションが最も目的に適しているかを慎重に考慮します。 [いつでも] このオプションデフォルト設定で、推奨です。 [営業時間中] 営業時間は現地時間の月曜日から金曜日ま での午前 8 時から午後 5 時までです。 [営業外時間] 営業外時間は現地時間の午後 5 時以降午 前 8 時以前です。 [週末のみ] 週末は土曜日および日曜日として定義されて います。 [無効にする] この設定はソフトウェアの更新が 30 日以上 古い場合に自動的に強制変更されます。 メモ: LiveUpdate では、正常に実行するために十分なディスクスペースが必要で す。LiveUpdate の失敗を避けるため、コンピュータに 1 GB の空きディスク容量が あることを確認してください。 2 [Live Update のスケジュール]で、LiveUpdate エージェントソフトウェア更新の適 切なオプションを選択します。 3 [グループ]セクションで、[Live Update のスケジュール]設定を必要なグループに 割り当てます。 4 終了したら、[保存および適用]をクリックします。 選択したグループのコンピュータは、ポリシーの変更が振り分けられると新しいプロ キシ設定を受け取ります。 ローカルエージェントのプロキシ設定の使用 ローカルエージェントのプロキシ設定を設定できます。ローカルエージェントのプロキシ設 定はグローバルシステムポリシーのプロキシ設定を上書きします。グローバルポリシーは 管理コンソールの[ポリシー]ページで設定します。 65 第 4 章 コンピュータの管理 警告の作成 管理コンソール内で設定されたポリシー制御のプロキシ設定は、選択した組織内のグ ループに適用されます。 管理コンソールからプロキシ設定を実装する前に、いくつかの テスト用コンピュータで、目的の設定をまず試してみることをお勧めします。プロキシ設定 が管理コンソールで間違って設定されると、すべての Symantec.cloud Agent がロックア ウトされる可能性があります。幸いにも Endpoint Protection Agent インターフェースは 間違った設定を上書きできますが、修正には手動による変更が必要です。 Endpoint Protection Agent のユーザーインターフェースを使ってコンピュータのプロキ シ設定を行うには 1 通知領域にある[Symantec.cloud]アイコンをダブルクリックします。 2 ユーザーインターフェースが表示されたら、バナーバーにある[設定]をクリックしま す。 3 [設定]メニューで[プロキシの設定]をクリックします。 4 [プロキシ設定の上書き]チェックボックスにチェックマークを付けます。 5 ウィンドウのプロキシ設定の部分で、[プロキシの有効化]チェックボックスにチェック マークを付けます。 6 プロキシの[ホスト]と[ポート]のアドレスを入力します。 7 プロキシの認証が必要な場合は[認証済み]チェックボックスにチェックマークを付 け、[ユーザー名]と[パスワード]に入力します。 8 終了したら、[適用]をクリックし、[閉じる]をクリックして設定を保存します。 警告の作成 いつ警告するかを定めるルールを設定することにより警告を作成します。 以下に従って警告を設定します。 ■ 警告を受け取るイベント ■ 警告を通知する場所 メモ: デフォルトの電子メールによる連絡方法は、アカウントに関連付けされた電子メール アドレスを使用してすでに設定されています。別の電子メールアドレスまたは SMS デバ イスで警告を受け取ることができます。 66 第 4 章 コンピュータの管理 警告の作成 警告を作成するには 1 管理コンソールのバナーの右上にある電子メールアドレスのドロップダウンで、[マイ プロファイル]をクリックします。 他のユーザーのために警告を作成するには、[ユーザー]タブおよびユーザー名を クリックして警告を作成します。 2 [警告の設定]タブをクリックし、[+]をクリックして警告を作成する連絡方法を展開し ます。 表示されている連絡方法以外の方法で警告を受け取りたい場合は、最初に新しい 連絡方法を追加する必要があります。 3 警告を作成する連絡方法の[ルールの追加]リンクをクリックします。 [新しいルールの追加]ダイアログボックスが表示されます。 4 [ルール名]ボックスに、警告ルールのわかりやすい名前を入力します。 5 少なくとも 1 つの設定を選択します。 サービス 登録サービスから選択 カテゴリ Endpoint Protection: 重大度 ■ 一般 ■ 検出したリスク ■ 情報+ 情報+ では、通知、警告、エラーのメッセージが送信されます。 ■ 警告+ 警告+ では、警告およびエラーのメッセージが送信されます。 エラー これを選択すると、エラーの警告のみが送信されます。 ■ コンピュータ 6 デフォルトでは、ルールはすべてのコンピュータに適用されます。特定 のコンピュータについて警告ルールを作成するには、[選択したコン ピュータにルールを適用する]を選択します。 [保存]をクリックします。 警告ルールを編集するには、警告のルール名をクリックして変更を加えます。 67 5 ヘルプの検索 この章では以下の項目について説明しています。 ■ Symantec Endpoint Protection Small Business Edition クラウドのサポート ■ Symantec Endpoint Protection Small Business Edition のビデオ Symantec Endpoint Protection Small Business Edition クラウドのサポート Symantec Endpoint Protection Small Business Edition クラウドでは次の内容に関す るさまざまな資料を提供しています。 ■ サービスの使用 ■ 技術サポート ■ カスタマーケア ■ シマンテック社のセール 表 5-1 ユーザーサポート資料 リソースの種類 リソースの場所 オンラインのユーザーサ ポート ■ オンラインヘルプ ■ FAQ ■ スタートガイド ■ 管理者ガイド ■ p.69 の 「Symantec Endpoint Protection Small Business Edition のビデオ」 を参照してください。 第 5 章 ヘルプの検索 Symantec Endpoint Protection Small Business Edition のビデオ リソースの種類 リソースの場所 テクニカルサポート ■ 米国/カナダ: +1 (866) 807 6047 ■ ヨーロッパ/中東/アフリカ: +44 (0) 870 850 3014 ■ オーストラリア: 1 (800) 088099 ■ 香港: 1 (800) 901220 ■ アジア太平洋: +852 6902 1130 ■ 電子メール: [email protected] カスタマーケア (800) 339-1136 カスタマーケアチームはク レジットカード不要の試用 版、請求、送り状、更新、ラ イセンス交付、その他の問 題に関するサポートを提供 します。 シマンテック社のセール (800) 745-6054 (内線番号: 3) メモ: シマンテック社のパートナーのお客様は敏速なサポートを受けるためパートナーに 直接ご連絡ください。 Symantec Endpoint Protection Small Business Edition のビデオ 以下は Symantec Endpoint Protection Small Business Edition クラウド管理サービス のビデオリンクです。 ■ Symantec Endpoint Protection Small Business Edition ウィザードの使用 ■ Endpoint Protection をインストールする前の、既存のウイルス対策製品とファイア ウォール製品の削除 ■ Symantec.cloud サービスの Agent のダウンロード ■ シマンテッククラウドサービスによるインターネット帯域幅の消費の制御 ■ エンドポイントコンピュータを管理するためにポリシーの作成 ■ Symantec.cloud アカウントでのグループの作成と使用 ■ Endpoint Protection ファイアウォールルールの設定 ■ Endpoint Protection と連携するプログラム制御の設定と使用 69 第 5 章 ヘルプの検索 Symantec Endpoint Protection Small Business Edition のビデオ ■ Symantec Endpoint Protection Small Business Edition を Active Directory Windows Server 2003 に導入する方法 ■ Symantec Endpoint Protection Small Business Edition を Active Directory Windows Server 2008 に導入する方法 70
© Copyright 2024 ExpyDoc