評価ガイド revision 1.0 epolicy Orchestrator 3.5 テスト環境における epolicy Orchestrator のセットアップと新機能の評価 McAfee System Protection 業界トップの侵入防止ソリューション

Transcription

1 評価ガイド revision 1.0 epolicy Orchestrator 3.5 テスト環境における epolicy Orchestrator のセットアップと新機能の評価 McAfee System Protection 業界トップの侵入防止ソリューション

2 著作権 Copyright 2004 Networks Associates Technology, Inc. All Rights Reserved. このマニュアルのいかなる部分も Networks Associates Technology, Inc. またはその代理店または関連会社の書面による許可なしに 形態 方法を問わず 複写 送信 転載 検索システムへの保存 および他言語に翻訳することを禁じます 許諾を得る際には 下記の McAfee 法務部門まで書面にてご連絡ください 5000 Headquarters Drive, Plano, Texas もしくは 商標 ActiveSecurity アクティブセキュリティ Entercept Enterprise Secure Cast エンタープライズセキュアキャスト E-Policy Orchestrator イーポリシー オーケストレイター GroupShield グループシールド IntruShield McAfee マカフィー NetShield ネットシールド SpamKiller VirusScan WebShield ウェブシールドは米国法人 McAfee, Inc. またはその関係会社の登録商標です McAfee ブランドの製品は赤を基調としています 本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します 特許情報 Protected by US Patents 6,470,384; 6,493,756; 6,496,875; 6,553,377; 6,553,378. ライセンス情報ライセンス条項お客様へ : お客様がお買い求めになられたライセンスに従い 該当する契約書 ( 許諾されたソフトウェアの使用につき一般条項を定めるものです 以下 本契約 といいます ) をよくお読みください お買い求めになられたライセンスタイプがご不明の場合には 担当営業またはライセンス付与管理部門にご相談になるか 製品に付随する購入関係書類若しくは購入手続きにおいて別途受領された書類をご参照ください 本契約の規定に同意されない場合は 製品をインストールしないで下さい この場合 弊社またはご購入元に速やかにご返品いただければ 所定の条件を満たすことによりご購入額全額をお返しいたします 帰属本製品には下記のソフトウェアおよびテクノロジーが含まれている場合があります OpenSSL Toolkit で使用するために OpenSSL Project によって開発されたソフトウェア ( Eric Young によって作成された暗 号化ソフトウェア および Tim J. Hudson によって作成されたソフトウェア GNU General Public License (GPL) あるいは プログラムもしくはその 一部の複製 変更 再頒布およびソースコードへのアクセスを許諾するフリーソフトウェアライセンスで使用 ( または再ライセンス ) が許可される ソフトウェアプログラム GPL では ソフトウェアを実行可能なバイナリ形式で配布する場合に そのソースコードも一緒に提供することが定めら れています 本製品に GPL で配布されているソフトウェアが含まれている場合 そのソースコードが製品 CD に収録されています フリーソフト ウェアライセンスにより 弊社が製品のライセンス契約で規定している範囲を超えてソフトウェアプログラムの使用 複製 または変更を許諾しな ければならない場合 これらの権利が本資料に記載されている権限または制約より優先されるものとします Henry Spencer によって作成されたソ フトウェア Copyright 1992, 1993, 1994, 1997 Henry Spencer. Robert Nordier によって作成されたソフトウェア Copyright Robert Nordier. Douglas W. Sauder によって作成されたソフトウェア Apache Software Foundation( によって開発されたソフトウェア ライ センス条項については を参照 International Components for Unicode ( ICU ) Copyright International Business Machines Corporation and others. CrystalClear Software, Inc. によって開発されたソフトウェア Copyright 2000 CrystalClear Software, Inc. FEAD Optimizer テクノロジー Copyright Netopsystems AG, Berlin, Germany. Outside In Viewer Technology Stellent Chicago, Inc. または Outside In HTML Export, 2001 Stellent Chicago, Inc. Software copyrighted by Thai Open Source Software Center Ltd. and Clark Cooper, 1998, 1999, Software copyrighted by Expat maintainers. Software copyrighted by The Regents of the University of California, Software copyrighted by Gunnar Ritter. Software copyrighted by Sun Microsystems, Inc Software copyrighted by Gisle Aas Software copyrighted by Michael A. Chase, Software copyrighted by Neil Winton, Software copyrighted by RSA Data Security, Inc., Software copyrighted by Sean M. Burke, 1999, Software copyrighted by Martijn Koster, Software copyrighted by Brad Appleton, Software copyrighted by Michael G. Schwern, Software copyrighted by Graham Barr, Software copyrighted by Larry Wall and Clark Cooper, Software copyrighted by Frodo Looijaard, Software copyrighted by the Python Software Foundation, Copyright 2001, 2002, ラ イセンス条項については Software copyrighted by Beman Dawes, , Andrew Lumsdaine Lie-Quan Lee Jeremy G. Siek よって作成されたソフトウェア University of Notre Dame. Software copyrighted by Simone Bordet & Marco Cravero, Software copyrighted by Stephen Purcell, Indiana University Extreme! Lab( によって開発されたソフトウェア Software copyrighted by International Business Machines Corporation and others, University of California, Berkeleyによって開発されたソフト ウェア mod_ssl project ( で使用するために Ralf S. Engelschall <rse@engelschall.com> によって開発されたソフトウェア Software copyrighted by Kevlin Henney, Software copyrighted by Peter Dimov and Multi Media Ltd. 2001, Software copyrighted by David Abrahams, 2001, ドキュメントについては を参照 Software copyrighted by Steve Cleary, Beman Dawes, Howard Hinnant & John Maddock, Software copyrighted by Boost.org, Software copyrighted by Nicolai M. Josuttis, Software copyrighted by Jeremy Siek, Software copyrighted by Daryle Walker, Software copyrighted by Chuck Allison and Jeremy Siek, 2001, Software copyrighted by Samuel Krempp, アップデート ドキュメント 改訂履歴については を参照 Software copyrighted by Doug Gregor (gregod@cs.rpi.edu), 2001, Software copyrighted by Cadenza New Zealand Ltd., Software copyrighted by Jens Maurer, 2000, Software copyrighted by Jaakko Järvi (jaakko.jarvi@cs.utu.fi), 1999, Software copyrighted by Ronald Garcia, Software copyrighted by David Abrahams, Jeremy Siek, and Daryle Walker, Software copyrighted by Stephen Cleary (shammah@voyager.net), Software copyrighted by Housemarque Oy < Software copyrighted by Paul Moore, Software copyrighted by Dr. John Maddock, Software copyrighted by Greg Colvin and Beman Dawes, 1998, Software copyrighted by Peter Dimov, 2001, Software copyrighted by Jeremy Siek and John R. Bandela, Software copyrighted by Joerg Walter and Mathias Koch, Issued August 2004 / epolicy Orchestrator v3.5 DOCUMENT BUILD 001-JA

3 目次 はじめに : 実行前の準備 4 ステップ 1: epolicy Orchestrator サーバとコンソールのインストール ステップ 2: 管理対象コンピュータのディレクトリの作成 ディレクトリへのコンピュータの追加 サーバとワークステーション用のコンピュータのグループ編成 ステップ 3: ディレクトリ内のクライアントへのエージェントのプッシュ 配備前のエージェントポリシーの設定 サイト内のコンピュータへのエージェントインストールの開始 クライアントコンピュータでのエージェントの手動インストール ステップ 4: マスタリポジトリと分散リポジトリの設定 マスタリポジトリへの VirusScan Enterprise の追加 弊社のソフトウェアリポジトリからのアップデートのプル 分散リポジトリの作成 リポジトリ用コンピュータでの共有フォルダの作成 epolicy Orchestrator サーバへの分散リポジトリの追加 分散リポジトリへのマスタリポジトリのデータの複製 分散リポジトリを使用するリモートサイトの設定 ステップ 5: 配備前の VirusScan Enterprise 8.0i ポリシーの設定 ステップ 6: クライアントへの VirusScan Enterprise の配備 ステップ 7: レポートの実行によるカバレッジの確認 ステップ 8: クライアントアップデートタスクによる DAT ファイルのアップデート ステップ 9: 自動のリポジトリ同期化のスケジュール設定 プルタスクのスケジュール設定による日単位でのマスタリポジトリのアップデート 分散リポジトリのアップデート用の複製タスクのスケジュール設定 日単位の DAT アップデート用のクライアントアップデートタスクのスケジュール設定 ステップ 10: SuperAgent によるグローバルアップデートのテスト 各サブネットへの SuperAgent の配備 epolicy Orchestrator サーバでのグローバルアップデートの有効化 ステップ 11: その他の情報について 機能の評価 46 epolicy Orchestrator の通知機能 ステップ 1: エージェントポリシーでのイベントの即時アップロードの設定 47 ステップ 2: 通知機能の設定 ステップ 3: VirusScan Enterprise イベントのルールの作成 ステップ 4: ウイルス検出サンプルの送信 不正システム検出 ステップ 1: 不正システムセンサポリシーの設定 ステップ 2: 不正システムセンサの配備 ステップ 3: 自動応答の設定 ステップ 4: 不正システムの検出と修正 iii

4 はじめに : 実行前の準備 この評価ガイドでは テスト環境への epolicy Orchestrator のインストールおよび配備方法について説明します また epolicy Orchestrator 3.5 のテスト配備を実行するための簡単な手順と 重要な機能についても説明します このマニュアルには 以下の 2 つのセクションがあります インストールと設定 使用環境の保守と監視 10 ステップによる epolicy Orchestrator のインストールと VirusScan Enterprise の配備このマニュアルでは 以下のステップに沿って説明します 1 epolicy Orchestrator サーバとコンソールのインストール 2 管理対象コンピュータのディレクトリの作成 3 ディレクトリ内のクライアントへのエージェントのプッシュ 4 マスタリポジトリと分散リポジトリの設定 5 配備前の VirusScan Enterprise 8.0i ポリシーの設定 6 クライアントへの VirusScan Enterprise の配備 7 レポートの実行によるカバレッジの確認 8 クライアントアップデートタスクによる DAT ファイルのアップデート 9 自動のリポジトリ同期化のスケジュール設定 10 SuperAgent によるグローバルアップデートのテスト このマニュアルに含まれる内容このマニュアルでは epolicy Orchestrator サーバと少数のクライアントコンピュータで構成される小規模なテスト環境に epolicy Orchestrator 3.5 を配備する方法について説明します このような環境に epolicy Orchestrator をすばやく配備し 最も重要な機能をテストするための基本的な手順を紹介します このマニュアルに含まれない内容このマニュアルでは 各種の高度な機能や実稼動環境での通常のインストールシナリオなど epolicy Orchestrator のすべての機能については説明していません ここに記載されている基本的な手順のほとんどは 実際の環境で実行することもできますが 必要な情報がすべて含まれているわけではありません 高度な機能などの製品の詳細情報については epolicy Orchestrator 3.5 製品ガイド を参照してください 4

5 はじめに : 実行前の準備 このマニュアルの内容 含まれる内容 含まれない内容 コメント 単一の epolicy Orchestrator サーバとコンソール epolicy Orchestrator と同一サーバ上の MSDE データベース epolicy Orchestrator によるエージェントと VirusScan Enterprise の配備 NT ドメインと Active Directory のシンプルなネットワーク環境 複数の epolicy Orchestrator サーバとリモートコンソール SQL Server データベースまたはリモートデータベースサーバ ログインスクリプトまたはサードパーティのツールによるクライアントコンピュータへのエージェントと VirusScan Enterprise の配備 UNIX Linux NetWare 環境 小規模なテスト環境では サーバ 1 台で十分です epolicy Orchestrator に同梱された MSDE データベースを使用すると 小規模なテスト環境で簡単にテストを行うことができます 手動によるエージェントのインストールも含まれます このマニュアルでは NT ドメインと Active Directory を使用して 製品の主な機能について説明します epolicy Orchestrator のテスト環境の設定 epolicy Orchestrator のインストールとテストを開始する前に 安全なテストネットワークを構築する必要があります 特に大規模な組織の場合は 実際の配備の計画やテストに数週間から数ヶ月かかる可能性があります しかし 小規模なテスト環境なら数時間で構築することができます 既存のネットワーク内のコンピュータ数台を使用すれば さらに時間を短縮できます 少なくとも この環境は epolicy Orchestrator サーバを格納するサーバコンピュータ 1 台と エージェントと VirusScan Enterprise 8.0i を配備する 1 台以上のクライアントコンピュータ ( サーバまたはワークステーションのいずれか ) で構成する必要があります epolicy Orchestrator サーバ エージェント および VirusScan Enterprise 8.0i のソフトウェアとハードウェア要件については epolicy Orchestrator 3.5 インストールガイド および VirusScan Enterprise 8.0i インストールガイド を参照してください テスト環境を設定する際には 以下の内容を実行して ネットワークが epolicy Orchestrator 用に適切に設定されるようにしてください 1 管理者権限を持つネットワークユーザアカウントの作成 - epolicy Orchestrator サーバを使用してコンピュータにエージェントをプッシュする場合 サーバが管理者の認証情報を保有している必要があります これらの認証情報は epolicy Orchestrator を設定してインストール時に使用したり エージェントのプッシュ時に指定することができます いずれの場合も epolicy Orchestrator コンソールからエージェントを配備するには 管理者のユーザ名とパスワードが必要になります 2 リモート NT ドメインに対する信頼関係の確立 - epolicy Orchestrator サーバが設置されているローカル NT ドメインの外部のコンピュータにエージェントをテスト配備する場合は ドメイン間で信頼関係を確立させる必要があります これは サーバがこれらのリモートクライアントにエージェントを配備してソフトウェアをインストールするためには欠かせません 信頼関係の確立方法については Microsoft Windows のマニュアルを参照してください また epolicy Orchestrator サーバがリモートクライアントにエージェントを配備するためには このリモートドメインの管理者権限を持つユーザアカウントを使用する必要があります 5

6 はじめに : 実行前の準備 3 epolicy Orchestrator サーバからクライアントコンピュータへの ping の実行 - epolicy Orchestrator サーバをインストールするコンピュータから エージェントを配備するクライアントコンピュータに ping を実行してネットワーク接続をテストします サーバから実行するには [ スタート ] [ ファイル名を指定して実行 ] の順に選択してコマンドウィンドウを開き cmd と入力します 次に 以下の構文を使用して ping コマンドを入力します コンピュータ名と IP アドレスの両方をテストしてください ping MyComputer ping サーバからのクライアントの NT Admin$ 共有フォルダへのアクセスの確認 - epolicy Orchestrator サーバをインストールするコンピュータから 各クライアントコンピュータ上のデフォルトの Admin$ 共有フォルダへのアクセスをテストします epolicy Orchestrator サーバサービスは エージェントや VirusScan Enterprise などのソフトウェアをインストールする場合に この共有フォルダにアクセスする必要があります また リモートの Admin$ 共有にアクセスするには管理者権限が必要なため このテストでは管理者の認証情報についての確認も行われます epolicy Orchestrator サーバからクライアントの Admin$ 共有にアクセスするには 次の手順に従います a b [ スタート ] [ ファイル名を指定して実行 ] の順に選択します プロンプトで クライアント Admin$ 共有のパスを入力します 以下のように コンピュータ名または IP アドレスのいずれかを指定してください \\MyComputer\Admin$ \\ \Admin$ ネットワークを介してコンピュータが正常に接続され 認証情報に十分な権限があり Admin$ 共有フォルダが存在する場合は Windows エクスプローラのダイアログボックスが表示されます 5 Windows ME クライアントコンピュータへの Microsoft アップデートのインストール - テスト環境で Windows ME が稼動しているクライアントを使用する場合 Microsoft の Web サイトから VCREDIST.EXE および DCOM 1.3 アップデートをダウンロードし 必要に応じてクライアントにインストールしてください これらのアップデートが適用されていないクライアントでは epolicy Orchestrator エージェントは実行できません 詳細については epolicy Orchestrator 3.5 インストールガイド または以下のリンクを参照してください support.microsoft.com/directory/article.asp?id=kb;en-us;q259403& 6 Windows ME クライアントコンピュータのファイルとプリンタの共有の有効化 - エージェントを Windows ME クライアントに配備する場合は 最初にクライアント上で [ ファイルとプリンタの共有 ] を有効にする必要があります この操作は これらのクライアントにエージェントをプッシュする場合にのみ必要です エージェントを手動でインストールしたり ログインスクリプトなどの方法を使用してインストールする場合は実行する必要はありません Windows 95/98/ME クライアントにエージェントをプッシュした後は [ ファイルとプリンタの共有 ] を無効にしても epolicy Orchestrator からこれらのクライアントのエージェントポリシーを管理することができます 6

7 はじめに : 実行前の準備 使用するテスト環境についてこのマニュアルで使用するテスト環境は 複数のサーバと複数のワークステーションを含む NT ドメイン 1 つと Active Directory コンテナ 1 つで構成されています このマニュアルや epolicy Orchestrator のテストでは 複数の NT ドメインまたは Active Directory コンテナが存在するテスト環境を構成する必要はありません 表 1-1. ドメイン 1 のコンピュータ (IP アドレス ) コンピュータ 詳細 epo サーバ SQL Server 2000 SP 3 が稼動している Windows 2000 Server SP 4 epolicy Orchestrator サーバ コンソール データベース マスタソフトウェアリポジトリを格納します クライアント 4 Windows 2000 Professional 表 1-2. ドメイン2のコンピュータ (IP アドレス ) コンピュータ 詳細 サーバ 2 Windows 2000 Server SP 4 クライアント 3 Windows 2000 Professional 弊社のインストールファイルの入手インストールを開始する前に 弊社 Web サイトまたは製品 CD から epolicy Orchestrator と VirusScan Enterprise のインストールファイルを入手してください テスト用に 30 日間の評価バージョンを使用する場合は 弊社 Web サイトからダウンロードします 必要なファイルは以下のとおりです EPO350EML.ZIP - epolicy Orchestrator 3.1 サーバ コンソール データベースのインストールに必要なインストールファイルです VSE800EEN.ZIP - VirusScan Enterprise 8.0i のインストールファイル epolicy Orchestrator を介した VirusScan Enterprise の配備に必要な PkgCatalog.z パッケージファイルも含まれます VSC451Lens1.ZIP - VirusScan のインストールファイルと PkgCatalog.z ファイル Windows ME オペレーティングシステムでは VirusScan Enterprise 8.0i が実行されないため これらのオペレーティングシステムが稼動しているクライアントコンピュータがある場合のみ VirusScan が必要になります 弊社 Web サイトからファイルをダウンロードするには 以下の手順に従います 1 epolicy Orchestrator サーバとコンソールをインストールするコンピュータから Web ブラウザを開いて以下のサイトにアクセスします 2 リストから [epolicy Orchestrator Enterprise Edition 3.5] を選択し [TRY] リンクをクリックします 3 フォームに入力し 指示に従って EPO350EML.ZIP ファイルをダウンロードします 7

8 はじめに : 実行前の準備 4 EPO350EML.ZIP のコンテンツを C:\ePOTemp などの一時フォルダに解凍します 5 これらの手順を繰り返して VirusScan Enterprise 8.0i の評価バージョンの VSE80iEVAL.ZIP VirusScan の VSC451Lens1.ZIP をダウンロードします 6 ダウンロードした.ZIP ファイルのコンテンツを epolicy Orchestrator サーバのテスト用のコンピュータの一時フォルダに解凍します このマニュアルで説明する配備プロセスでは これらのフォルダ内のファイルにアクセスする必要があります 8

9 ステップ 1 epolicy Orchestrator サーバとコンソールのインストール epolicy Orchestrator サーバとして使用するコンピュータに epolicy Orchestrator サーバ コンソール データベースをインストールします このマニュアルの例では Windows 2000 Server オペレーティングシステムが稼動している eposerver というコンピュータに epolicy Orchestrator サーバをインストールします epolicy Orchestrator コンソールとサーバをインストールするには 次の手順に従います 1 EPO350EML.ZIP を解凍した epotemp フォルダのルートで SETUP.EXE ファイルを探して実行します 2 epolicy Orchestrator セットアップウィザードの最初のページで [ 次へ ] をクリックします 3 評価バージョンをインストールする場合は [ 評価版 ] ページで [OK] をクリックします 4 使用許諾約款で [ ライセンス約款に同意します ] を選択し [OK] をクリックします 5 [ インストールオプション ] で [ サーバとコンソールをインストール ] を選択し [ 次へ ] をクリックします インストールフォルダは 必要に応じて変更することもできます 6 サーバに静的 IP アドレスがないことを示すメッセージボックスが表示されたら [OK] をクリックして無視します 実稼動環境では 静的 IP アドレスのあるコンピュータへの epolicy Orchestrator のインストールをお勧めしますが テスト用には DHCP 割り当ての IP アドレスを使用できます 7 [ サーバのパスワードの設定 ] ダイアログボックスで epolicy Orchestrator サーバで使用するパスワードを入力します パスワードは必ず設定してください 8 [ サーバサービスアカウント ] ダイアログボックスで [ ローカルシステムアカウントを使用 ] の選択を解除します 9 [ アカウント情報 ] 領域で epolicy Orchestrator サーバサービスで使用されるドメイン ユーザ名 パスワードを入力します 10 [ 次へ ] をクリックし アカウント情報を保存して続行します Note 指定したアカウントが管理者ではない場合 epolicy Orchestrator でエージェントを配備できないという警告メッセージが表示されます epolicy Orchestrator サーバサービスにエージェントの配備権限を与える場合は [OK] [ 戻る ] の順にクリックし 管理者権限のあるユーザアカウントとパスワードを入力します あるいは epolicy Orchestrator サーバサービスに管理者以外のアカウントを使用し 配備時に管理者の認証情報を指定して エージェントを配備することもできます また エージェントを epolicy Orchestrator では配備せずに手動でインストールして epolicy Orchestrator をポリシーの管理のみに使用することもできます この場合 サーバサービスアカウントに管理者権限は必要ありません 9

10 11 [ データベースサーバの選択 ] ダイアログボックスで [ このコンピュータにサーバをインストールして使用する ] を選択します このオプションでは epolicy Orchestrator に組み込まれている無償の MSDE データベースがインストールされます 12 [ 次へ ] をクリックします 13 [ データベースサーバアカウント ] ダイアログボックスで [ サーバサービスと同じアカウントを使用する ] の選択を解除して [SQL サーバアカウント ] を選択します 安全なパスワードを入力して確認します これは epolicy Orchestrator サーバサービスが MSDE データベースへのアクセスに使用する SA アカウントです 14 [ 次へ ] をクリックし データベースアカウント情報を保存します 15 [HTTP の構成 ] ダイアログボックスで [ エージェントの HTTP ポート ] を 82 に [ コンソールの HTTP ポート ] を 83 に変更します 図 1-1. エージェントとコンソールで使用するポートの変更 ( 使用中の場合 ) HTTP ポートの特にポート 80 と 81 は 多数の HTTP アプリケーションとサービスによって使用されます このため ポート 80 はすでに使用されている場合があります 競合を防ぐため ポート番号を変更してください 16 [ 次へ ] をクリックして ポート情報を保存します HTTP ポートがすでに使用されているという警告メッセージが表示されたら [OK] をクリックして手順 15 を繰り返し 未使用の HTTP ポートを指定します 17 [ 電子メールアドレスの設定 ] ダイアログボックスで 有効にした後にデフォルトの通知ルールによってメッセージが送信される電子メールアドレスを入力します この電子メールアドレスは epolicy Orchestrator の通知機能で使用されます このマニュアルでは通知機能についても説明しているため メッセージを受信する電子メールアドレスを入力してください 10

11 18 [ インストールの準備ができました ] ダイアログボックスで [ インストール ] をクリックして インストールを開始します インストールが完了するまでには約 20 分かかります インストール中にコンピュータの再起動を要求するプロンプトが表示される場合があります 19 再起動のプロンプトが表示されたら [OK] をクリックし コンピュータが再起動したら インストールを続行できるように再度ログインしてください 20 インストールが終了したら [ 完了 ] をクリックします インストールが完了したら epolicy Orchestrator コンソールを開いて ネットワーク内のクライアントコンピュータにエージェントとウイルス対策製品を配備できるようになります epolicy Orchestrator コンソールの初回起動時サーバのインストールが完了して実行されたら epolicy Orchestrator コンソールを開き epolicy Orchestrator を使用してネットワークのポリシーを管理します epolicy Orchestrator サーバからコンソールを開くには 次の手順に従います 1 [ スタート ] ボタンをクリックし [ プログラム ] [Network Associates] [epolicy Orchestrator コンソール ] の順に選択します 2 [ 開始ページ ] で [ サーバにログオン ] をクリックします 3 [ サーバにログオン ] ダイアログボックスが表示されたら [ サーバ名 ] に epolicy Orchestrator サーバの名前が表示され [ ユーザ名 ] が administrator になっていることを確認します 次に インストールウィザードで設定したパスワードを入力し [OK] をクリックします 4 評価バージョンをインストールした場合は [ 評価版 ] のスプラッシュ画面で [OK] をクリックします しばらくすると epolicy Orchestrator サーバが初期化されます これで epolicy Orchestrator コンソールを使用できるようになります これで epolicy Orchestrator サーバ コンソール データベースは正常にインストールされました ステップ 2 管理対象コンピュータのディレクトリの作成ディレクトリは epolicy Orchestrator コンソールの左側のコンソールツリーに表示されます ディレクトリには epolicy Orchestrator で管理されるネットワーク内のすべてのコンピュータが格納されます つまり ディレクトリには サーバにレポートを送信するアクティブな epolicy Orchestrator エージェントが実行されているネットワーク上のすべてのコンピュータが格納されています ネットワーク上のクライアントコンピュータのウイルス対策ポリシーを管理する前に これらのコンピュータを epolicy Orchestrator のディレクトリに追加する必要があります サーバのインストール後 最初は epolicy Orchestrator サーバコンピュータのみがディレクトリに格納されています 11

12 コンピュータを編成するには サイトやグループという論理グループに分けることができます Windows エクスプローラのフォルダ階層と同じように サイトとグループはツリー階層で作成することができます epolicy Orchestrator では グループレベルでポリシーを定義できるため グループ編成が有用です 組織固有の基準に基づいてコンピュータをグループ化することができます このマニュアルでは 以下の 3 つ方法によるグループ化を行います NT ドメイン - 既存の NT ネットワークドメインをサイトとして使用すると ディレクトリをすばやく簡単に作成できます ご使用のネットワークの構造をコピーしてディレクトリの構造を作成すると 階層を覚える手間が一度で済みます Active Directory コンテナ - 既存の Active Directory ネットワークコンテナをサイトとして使用すると ディレクトリの全体または一部をすばやく簡単に作成できます ご使用のネットワークの構造をコピーしてディレクトリの構造を作成すると 階層を覚える手間が一度で済みます サーバとワークステーション - VirusScan Enterprise 8.0i のような製品は サーバまたはワークステーションのどちらで実行するかによって 異なるポリシーの設定が必要となる場合があります 小規模なテスト環境では ディレクトリをグループに分ける必要はありません ただし グループを使用して コンピュータグループへのポリシーの設定や ディレクトリの編成方法を検証することはできます ほかにも 以下のようなグループ化が考えられます 地理的な部門 - 世界の各地や複数のタイムゾーンにわたってオフィスを構えている組織では epolicy Orchestrator のディレクトリを地域別に分けることができます これらのコンピュータをサイトごとに編成すると 複数のタイムゾーンにわたるポリシーやタスクを簡単に調整できるようになります セキュリティ上の部門 - ご使用の環境でユーザに対してさまざまなレベルのセキュリティアクセス設定している場合 これらのレベルごとにディレクトリ構造を作成すると ポリシーを簡単に施行することができます 1 ディレクトリへのコンピュータの追加ディレクトリを作成するには まず ネットワークからコンピュータを追加します 以下の方法のいずれかを使用します オプション A: 既存の NT ドメイン全体のディレクトリへの自動追加 - 非常に簡単ですばやい方法です ドメイン内のすべてのコンピュータにエージェントを配備する場合に役立ちます このマニュアルの例と同様に テスト環境のドメインにテスト用クライアントコンピュータを編成している場合は この方法を使用します オプション B: Active Directory コンテナ全体のディレクトリへの自動追加 - 非常に簡単ですばやい方法です ご使用の環境の全体または一部が Active Directory によって制御されており epolicy Orchestrator のディレクトリ構造に Active Directory の構造の一部をコピーしたい場合に役立ちます オプション C: ディレクトリへの個々のコンピュータの手動追加 - 実際の環境に epolicy Orchestrator を配備する場合は時間がかかりますが テストネットワークに少数のコンピュータを追加する場合は短時間で実行できます 12

13 オプション A: 既存の NT ドメイン全体のディレクトリへの自動追加 epolicy Orchestrator では NT ドメインのすべてのコンピュータをクリック数回でディレクトリにインポートすることができます この機能は テスト用のクライアントコンピュータをテスト環境のドメインに編成する場合に使用します このマニュアルの例では この方法を使用して テストネットワークの NT ドメインから ドメイン 1 というディレクトリのサイトを作成します NT ドメイン全体をディレクトリに追加するには 次の手順に従います 1 [ ディレクトリ ] を右クリックし [ 新規作成 ] [ サイト ] の順に選択します 2 [ サイトの追加 ] ダイアログボックスで [ 追加 ] をクリックします 3 [ 新規サイト ] ダイアログボックスで サイトの名前を入力します 入力した名前が NT ドメインの名前と一致しているかどうかを確認してください 4 [ 種類 ] の下で [ ドメイン ] と [ コンピュータを子ノードとして追加する ] を選択します 5 [IP 管理 ] の下で [ 追加 ] をクリックし サイトの IP アドレスの範囲を指定します 6 [IP 管理 ] ダイアログボックスで IP サブネットマスクまたは IP の範囲を入力して このサイトに属するコンピュータの IP アドレスの範囲を指定します 7 [OK] をクリックして IP の設定を保存します 8 [OK] をクリックして新しいサイトを保存し [ 新規サイト ] ダイアログボックスを閉じます 9 [ サイトの追加 ] ダイアログボックスで [ エージェントパッケージを送信する ] が選択されていないことを確認します [OK] をクリックすると ディレクトリにサイトが作成されコンピュータが追加されます この時点でエージェントを配備することもできますが ここでは 以降のステップでエージェントのポリシーを変更してから配備します 13

14 図 1-2. [ サイトの追加 ] ダイアログボックス しばらくすると コンピュータがディレクトリに追加されます 完了したら ご使用のネットワークのテストドメイン名でディレクトリにサイトが作成され ドメインの子ノードとしてすべてのコンピュータがサイトに追加されます オプション B: Active Directory コンテナ全体のディレクトリへの自動追加 epolicy Orchestrator では Active Directory コンテナとサブコンテナのすべてのコンピュータを クリック数回でディレクトリにインポートすることができます この機能は テスト用のクライアントコンピュータをテスト環境の Active Directory コンテナに編成する場合に使用します ここでは この方法を使用して 2 つのサブコンテナを含む Active Directory コンテナからディレクトリのサイトを作成する例について説明します Note epolicy Orchestrator ソフトウェアの Active Directory ツールを使用するには epolicy Orchestrator サーバとリモートコンソールを実行するコンピュータ ( 使用している場合 ) の両方が Active Directory サーバにアクセス可能であることが重要です Active Directory インポートウィザードは ディレクトリ全体またはディレクトリの特定のサイトを作成した場合に 最初に Active Directory コンピュータをインポートするためのツールとして使用します Active Directory コンピュータの検索タスクを使用して これらの Active Directory コンテナに対して定期的にポーリングを行い 新しいコンピュータを検索します Active Directory コンテナとサブコンテナをディレクトリに追加するには 次の手順に従います 1 [ ディレクトリ ] を右クリックし [ 新規作成 ] [ サイト ] の順に選択します 2 [ サイトの追加 ] ダイアログボックスで [ 追加 ] をクリックします 14

15 3 [ 新規サイト ] ダイアログボックスで サイトの名前 ( 例 : コンテナ 1) を入力し [OK] をクリックします 4 [ エージェントパッケージを送信する ] が選択されていないことを確認し [OK] をクリックします 5 [ ディレクトリ ] を右クリックし [ すべてのタスク ] [Active Directory コンピュータのインポート ] の順に選択します 6 Active Directory インポートウィザードが表示されたら [ 次へ ] をクリックします 図 1-3. Active Directory インポートウィザード 7 ウィザードの [epolicy Orchestrator 宛先グループ ] パネルでは ディレクトリのルートまたはディレクトリのサイトを選択して Active Directory コンピュータをインポートできます ここでは [ インポート先 ] ドロップダウンリストから作成したサイトを選択し [ 次へ ] をクリックします Note Active Directory の構造全体をインポートし epolicy Orchestrator のディレクトリとして使用する場合は リストで [( ルート )] を選択します これにより Active Directory の構造がディレクトリルートの Lost&Found にインポートされます また 一部を指定してインポートから除外することもできます 8 [Active Directory 認証 ] パネルで Active Directory の管理者権限のあるユーザ認証情報を入力します 9 [Active Directory のソースコンテナ ] ダイアログボックスで [ 参照 ] をクリックし [Active Directory ブラウザ ] ダイアログボックスでインポート対象のソースコンテナを選択して [OK] をクリックします 10 選択したコンテナの特定のサブコンテナを除外する場合は [ 次のサブコンテナを除外する ] の下で [ 追加 ] をクリックし 除外するサブコンテナを選択して [OK] をクリックします 11 [ 次へ ] をクリックして インポートされた新しいコンピュータのアクティブログを表示します epolicy Orchestrator ツリーで これらのコンピュータがインポートされているかどうかを確認します 15

16 12 [ 完了 ] をクリックします Active Directory コンピュータは インポートされたサイトの下の Lost&Found ディレクトリにインポートされます Active Directory コンテナにサブコンテナが含まれる場合 Lost&Found でも Active Directory の構造が保持されます 13 Lost&Found でこの構造のトップをクリックして その上のサイト ( ウィザードで選択したサイト 例 : コンテナ 1) にドラッグします これは Active Directory コンピュータは epolicy Orchestrator ディレクトリのサイトに正常にインポートされました 実稼動環境では Active Directory コンテナをインポートしたら Active Directory コンピュータの検索タスクを作成する必要があります このタスクは 管理者によって指定された Active Directory コンテナで 新しいコンピュータを定期的にポーリングします 手順については epolicy Orchestrator 3.5 製品ガイド を参照してください このタスクについては ここでは説明しません オプション C: ディレクトリへの個々のコンピュータの手動追加 実際のネットワークに epolicy Orchestrator を配備する場合は 前のセクションのように NT ドメインをインポートすると 自動的にディレクトリに追加することができます しかし 小規模なテスト環境では サイトとコンピュータを手動でディレクトリに追加することも可能です このためには まず手動でサイトを作成してから 手動でコンピュータを追加します コンピュータグループ作成用の新しいサイトの作成 1 コンソールツリーの [ ディレクトリ ] ノードを右クリックし [ 新規作成 ] [ サイト ] の順に選択します 2 [ サイトの追加 ] ダイアログボックスで [ 追加 ] をクリックします 3 [ 新規サイト ] ダイアログボックスの [ 名前 ] フィールドにサイトの名前を入力します ( ここでは ドメイン 1 になります ) 4 必要に応じて サイトの IP マスクまたは IP アドレスの範囲を指定します 詳細については 前のセクションを参照してください 5 [OK] をクリックします [ サイトの追加 ] ダイアログボックスの [ 追加されるサイト ] リストに ドメイン 1 サイトが追加されます 6 必要に応じて 前の手順を繰り返し 追加サイトを作成します 7 [OK] をクリックします epolicy Orchestrator により ディレクトリに新しい空のサイトが作成されます サイトへの新しいコンピュータの手動追加サイトを作成したら 次はサイトに新しいコンピュータを手動で追加する方法について説明します 次の手順に従います 1 [ ディレクトリ ] で 追加したサイトを右クリックし [ 新規作成 ] [ コンピュータ ] の順に選択します 2 [ コンピュータの追加 ] ダイアログボックスで [ 参照 ] をクリックして NT ネットワークコンピュータから選択するか [ 追加 ] をクリックしてコンピュータの NetBIOS 名を入力し 新しいコンピュータを追加します 16

17 3 必要なコンピュータ名をすべて追加したら [OK] をクリックします epolicy Orchestrator により ディレクトリの下のサイトに新しいコンピュータが追加されます 2 サーバとワークステーション用のコンピュータのグループ編成サイトを作成してディレクトリにコンピュータを追加したら グループに編成すると便利です 作成するグループは 組織のネットワークによって異なります 販売 マーケティング 開発などの部門別や オフィスの場所に応じた地域別 オペレーティングシステム別などにコンピュータのグループを作成することができます ここでは サーバとワークステーションの各サイトにグループを作成する例について説明します これらのグループは 後で サーバとワークステーションに異なる VirusScan Enterprise ポリシーを作成するときに使用します Note epolicy Orchestrator 用の VirusScan Enterprise 8.0i のポリシーページでは こうしたグループを作成せずに サーバとワークステーションに異なるポリシーを設定することができます ただし オペレーティングシステム別にコンピュータのグループを作成すると ディレクトリのグループを使用したポリシー管理が簡単であることが確認できます ご使用のテストネットワークやポリシー管理の要件に合わせて さまざまな種類のグループを作成できます ディレクトリのサイトにグループを追加して コンピュータを作成するには 次の手順に従います 1 ディレクトリに追加したサイトを右クリックし [ 新規作成 ] [ グループ ] の順に選択します 2 [ グループの追加 ] ダイアログボックスで [ 追加 ] をクリックします 3 [ 新規グループ ] ダイアログボックスで [ 名前 ] テキストボックスにワークステーションの名前を入力します 4 サーバとワークステーションに特定の IP アドレスを割り当てることができるネットワークの場合 グループの IP の範囲を作成します たとえば このマニュアルのテストネットワークでは ドメイン 1 のサーバの IP アドレスは ドメイン 1 のワークステーションは になります Note 親サイトにも IP マスクを設定する必要があります グループに設定する IP マスクまたはIP の範囲は サイトレベルで指定した IP の範囲と一貫している必要があります このマニュアルで使用する例では ドメイン 1 のワークステーションとサーバはすべて /24 サブネットの範囲内に適合します また Active Directory コンピュータではIP 管理は必要ありません グループの IP の範囲を設定するには 次の手順に従います a b c [ 新規グループ ] ダイアログボックスの [IP 管理 ] の下で [ 追加 ] をクリックします [IP 管理 ] ダイアログボックスで IP サブネットマスクまたは IP の範囲を入力して このサイトに属するコンピュータの IP アドレスの範囲を指定します [OK] をクリックして IP の設定を保存し [IP 管理 ] ダイアログボックスを閉じます 17

18 5 [OK] をクリックし [ 新規グループ ] ダイアログボックスを閉じます グループが [ 追加されるグループ ] リストに追加されます 6 [ グループの追加 ] ダイアログボックスで [OK] をクリックし ディレクトリにグループを追加します 新しいグループへのコンピュータの追加新しいグループがディレクトリに表示されたら Windows エクスプローラでファイルをドラッグする操作と同様に そのサイトから適切なグループにコンピュータをドラッグします ディレクトリのコンピュータは一度に 1 つずつ移動する必要があります 複数を選択することはできません または ディレクトリの検索機能 ([ ディレクトリ ] を右クリックして [ 検索 ] を選択 ) を使用して 同時に複数のシステムを移動することもできます コンピュータをグループにドラッグするときに [ 警告 ] メッセージが表示されたら [OK] をクリックして無視してください 追加のグループとサブグループの作成以上の手順をすべて繰り返して サイトにサーバグループを作成します ほかのサイトがある場合は さらにサーバとワークステーションのグループを作成します グループ内にグループを作成することもできます たとえば このマニュアルのテストネットワークには Windows 2000 と 98 の両方が稼動しているコンピュータがあります 旧バージョンの Windows の制限のため Windows 98 が稼動しているコンピュータには異なるポリシーを設定する必要があります ワークステーショングループ内に Win98 および Win2K サブグループを作成すると 異なるポリシーを容易に設定することができます 以上の手順で テスト用のディレクトリが完成しました ここでは サイトを作成し 手動またはネットワーク上の既存の NT ドメインをインポートして コンピュータを追加しました また サーバ別やワークステーションのオペレーティングシステム別に 各サイトのコンピュータをグループに編成しました 次では エージェントの配備手順について説明します ステップ 3 ディレクトリ内のクライアントへのエージェントのプッシュディレクトリ内のクライアントコンピュータを管理するには まず これらのクライアントコンピュータに epolicy Orchestrator エージェントをインストールする必要があります エージェントは クライアントコンピュータに常駐する小さなアプリケーションです epolicy Orchestrator サーバと定期的に通信して アップデートや新しいポリシーに関して確認します 18

19 epolicy Orchestrator サーバからエージェントを配備するには 以下の要件を満たす必要があります 管理者権限を持つネットワークアカウント - epolicy Orchestrator サーバサービスのインストール時に管理者の認証情報を指定した場合は 自動的にエージェントを配備することができますが 指定しなかった場合は 配備の際に適切な認証情報を指定する必要があります ほかの NT ドメインのとの信頼関係 ( 必要な場合 ) - epolicy Orchestrator サーバを格納しているローカル NT ドメインの外部でエージェントを配備するには ローカルドメインと対象のドメイン間に信頼関係を確立する必要があります Windows 95 および 98 コンピュータへの Microsoft アップデートのインストール - Windows 95 と Windows 98 First Edition の場合 epolicy Orchestrator エージェントを実行するには 追加の Microsoft アップデートをインストールする必要があります これらのアップデートの入手方法とインストール方法については epolicy Orchestrator インストールガイド を参照してください epolicy Orchestrator でエージェントを配備しない場合でも これらのシステムでエージェントを実行するためには アップデートをインストールする必要があります Windows 95 および 98 コンピュータでのファイルとプリンタの共有の有効化 - エージェントをプッシュする各クライアントで [ ファイルとプリンタの共有 ] を有効にしてください これは epolicy Orchestrator サーバからエージェントをプッシュする場合にのみ必要になります ポリシーの管理には必要ありません Windows 95 および 98 コンピュータにエージェントを配備したら [ ファイルとプリンタの共有 ] を無効にします epolicy Orchestrator コンソールのディレクトリから サイト内のすべてのコンピュータにエージェントを同時にインストールすることができます これを実行するには サイトレベルでエージェントインストールコマンドを送信します 継承機能により エージェントインストールを親サイト ( またはグループ ) レベルで指定すると すべての子 ( グループまたはコンピュータ ) でコマンドが継承されます この例のディレクトリには 異なるエージェントインストールを開始する 2 つのサイトがあります 2 つのエージェントインストールコマンドにより これらのサイトのすべてのコンピュータにエージェントがインストールされます サイトにエージェントを配備するには 次の手順を実行します 1 配備前のエージェントポリシーの設定 2 サイト内のコンピュータへのエージェントインストールの開始 エージェントのプッシュに epolicy Orchestrator を使用しない場合 クライアントコンピュータから手動でエージェントをインストールすることも可能です 22 ページの クライアントコンピュータでのエージェントの手動インストール を参照してください 19

20 1 配備前のエージェントポリシーの設定デフォルトのポリシー設定でもエージェントを配備できますが ここでは テスト用にポリシーを変更して クライアントコンピュータの Windows システムトレイアイコンにエージェントトレイアイコンが表示されるようにします これにより エージェントポリシーの設定方法を理解できるだけでなく クライアントへのエージェントのインストールを容易に判別できるようになります サイトレベルでポリシーを変更すると そのサイトの子であるテストコンピュータすべてに適用されます これにより ポリシー設定を一度変更するだけで サイト内のすべてのコンピュータに配備することができます エージェントのインストール後にシステムトレイにアイコンが表示されるようにポリシーを変更するには 次の手順に従います 1 ディレクトリツリーで サイト ( ここではドメイン 1) をクリックして選択します 2 右側の詳細ペインで [ ポリシー ] タブを選択し [epolicy Orchestrator エージェント ] [ 設定 ] の順に選択します 3 [epolicy Orchestrator エージェント ] ページで [ 継承 ] の選択を解除して設定オプションを有効にします 図 1-4. [ 全般 ] タブ 4 [ 全般 ] タブで [ エージェントのトレイアイコンを表示する ] をクリックし [ すべて適用 ] をクリックして変更を保存します 5 これらの手順を繰り返して ほかのサイト ( 例ではコンテナ 1) のエージェントポリシーも同じように変更します これで ポリシーの設定とエージェント配備の準備が完了しました 次のでは エージェントのインストールを開始します 20

21 2 サイト内のコンピュータへのエージェントインストールの開始エージェントのインストール機能を使用して epolicy Orchestrator からクライアントコンピュータにエージェントをプッシュします ディレクトリのサイトレベルでエージェントインストールを開始すると サイト内のすべてのテストコンピュータに同時にエージェントをプッシュできます サイト内のすべてのコンピュータに対するエージェントインストールを開始するには 次の手順に従います 1 ディレクトリのサイトを右クリックし [ エージェントインストールを送信 ] を選択します 2 [ エージェントのインストール ] ダイアログボックスで [OK] をクリックし すべてデフォルト設定を使用してエージェントインストールを開始します Note ローカルシステムアカウントで epolicy Orchestrator サーバをインストールした場合 [epo サーバの認証情報を使用する ] の選択を解除して ドメインの管理者権限のあるユーザアカウントとパスワードを指定する必要があります 3 ディレクトリ内のほかのサイトについても 上記の手順を繰り返します エージェントインストールが直ちに開始されます Windows ME コンピュータへのエージェントの配備に関する注意事項 Windows ME が稼動しているコンピュータにエージェントをプッシュする場合 クライアントコンピュータからログアウトするまで エージェントが正常に配備されたかどうか判別できない場合があります これには システムトレイにエージェントアイコンが表示されない場合や epolicy Orchestrator コンソールのディレクトリで コンピュータが管理対象として表示されていない場合などがあります Windows ME クライアントからログアウトして再びログインしてもエージェントが表示されない場合は プッシュを再試行します それでも配備されない場合は クライアントから手動でエージェントをインストールすることができます (22 ページの クライアントコンピュータでのエージェントの手動インストール を参照してください ) ローカル NT ドメイン外のコンピュータへの配備に関する注意事項ほかのサイトに epolicy Orchestrator サーバとは異なる NT ドメインにあるコンピュータが含まれている場合 対象のドメインのドメイン管理者の認証情報が必要になる可能性があります エージェントのプッシュを開始する前に [ エージェントのインストール ] ダイアログボックスで [epo サーバの認証情報を使用する ] の選択を解除し 対象のドメインに対する管理者権限のある適切なユーザ名とパスワードを入力します エージェントのインストール時の作業についてサイト内のすべてのコンピュータにエージェントがインストールされ ディレクトリツリーが最新の状態に更新されるまでには 最大 10 分程度かかります この間 epolicy Orchestrator サーバで エージェントインストールの失敗を警告するイベントの有無を確認することができます サーバイベントを表示するには 次の手順に従います 21

22 クライアントコンピュータでのエージェントの手動インストール 1 epolicy Orchestrator コンソールのコンソールツリーで サーバを右クリックして [ サーバイベント ] を選択します 2 [ サーバイベントビューア ] に目を通してイベントを探します ここには 成功したエージェントインストールは表示されませんが 失敗したインストールが表示されます エージェントの配備が完了し エージェントが最初にサーバと通信すると ディレクトリのコンピュータに緑色のチェックマークが付きます エージェントがインストール済みでもディレクトリに反映されていない場合は [ ディレクトリ ] を右クリックし [ 最新の情報に更新 ] を選択して ディレクトリを手動で更新します ディレクトリでは コンピュータがサーバと通信するまで ( 通常は 10 分以内 ) 管理対象として表示されません これは エージェントがインストールされ クライアントで稼動している場合にも該当します 任意のクライアントコンピュータからインストールを監視することもできます デフォルトのポリシーでは インストール時のインターフェースが表示されません ( この例でエージェントポリシーを設定する際にも変更しません ) このため インストールインターフェースは見ることができません ただし クライアントコンピュータでタスクマネージャを開き インストールの開始時に一時的な CPU 使用率の上昇を監視することはできます エージェントがインストールされ稼動すると [ プロセス ] ウィンドウに UPDATERUI.EXE と FRAMEWORKSERVICE.EXE という 2 つのサービスが新しく表示されます また 配備前にエージェントポリシーの項目を変更しておくと インストールおよびサーバへの初回通信後に システムトレイにエージェントアイコンが表示されます クライアントコンピュータでのエージェントの手動インストール epolicy Orchestrator でエージェントをプッシュせず クライアントから手動でインストールすることもできます 環境によっては クライアントへのソフトウェアのインストールは手動で実行し epolicy Orchestrator ではポリシーの管理のみを行いたい場合があります また Windows 95 または 98 クライアントが多い環境で ファイルとプリンタの共有を有効にしたくない場合もあります このような場合には クライアント上でエージェントをインストールすることができます epolicy Orchestrator サーバに配置された FRAMEPKG.EXE ファイルを使用して エージェントをインストールします FRAMEPKG.EXE ファイルは epolicy Orchestrator サーバのインストール時に自動的に作成されます このファイルには 新しいエージェントが直ちにサーバと通信できるように epolicy Orchestrator サーバのアドレス情報が含まれています デフォルトでは FRAMEPKG.EXE ファイルは epolicy Orchestrator サーバの以下のフォルダにあります C:\Program Files\Network Associates\ePO\3.5.0\DB\Software\Current\ EPOAGENT3000\Install\

23 クライアントコンピュータでのエージェントの手動インストール エージェントを手動でインストールするには 次の手順に従います 1 FRAMEPKG.EXE ファイルをローカルクライアント または クライアントからアクセス可能なネットワークフォルダにコピーします 2 FRAMEPKG.EXE をダブルクリックして実行します しばらくすると エージェントのインストールが完了します 10 分以内のランダムな間隔で エージェントは epolicy Orchestrator サーバと最初の通信を行います この時点で コンピュータが管理対象コンピュータとしてディレクトリに追加されます ディレクトリ内のサイトとグループに対して IP アドレスフィルタを設定している場合は それぞれの IP アドレスに適したサイトまたはグループに追加されます 設定していない場合は コンピュータは Lost&Found フォルダに追加されます コンピュータがディレクトリに追加されると epolicy Orchestrator コンソールを介して このコンピュータのポリシーを管理することができます サーバとの通信を 10 分以内ではなく 即座に行うようにすることもできます これは エージェントがインストールされた任意のコンピュータから実行できます エージェントの最初の通信を手動で実行するには 次の手順に従います 1 エージェントのインストールが終了した直後のクライアントコンピュータで [ スタート ] [ ファイル名を指定して実行 ] の順に選択して command と入力し Enter キーを押して DOS コマンドウィンドウを開きます 2 コマンドウィンドウで CMDAGENT.EXE ファイルを含むエージェントインストールフォルダを指定します 3 以下のコマンドを入力します ( コマンドラインオプションの間にスペースがあります ) CMDAGENT /p /e /c 4 Enter キーを押します エージェントは直ちに epolicy Orchestrator サーバとの通信を開始します 5 サーバ上の epolicy Orchestrator コンソールで F5 キーを押して ディレクトリを更新します エージェントのインストールが終了したクライアントコンピュータ名がディレクトリに表示されます ステップ 4 マスタリポジトリと分散リポジトリの設定ここでは クライアントへのエージェントのインストール後の作業について説明します エージェントは epolicy Orchestrator を介してクライアントのセキュリティソフトウェアポリシーを中央から管理するために使用されます ただし クライアントコンピュータにウイルス対策ソフトウェアをインストールしない限り エージェントでは何も実行できません 次の手順では epolicy Orchestrator を使用して VirusScan Enterprise 8.0i ウイルス対策ソフトウェアをクライアントコンピュータに配備します epolicy Orchestrator で配備するソフトウェアは ソフトウェアリポジトリに保存されています リポジトリの設定方法はいくつかあります このマニュアルでは テスト環境に使用できる一般的な例について説明します 23

24 クライアントコンピュータでのエージェントの手動インストール この方法については 以下のセクションを参照してください ここでは 次の手順について説明します 1 マスタリポジトリへの VirusScan Enterprise の追加 2 弊社のソフトウェアリポジトリからのアップデートのプル 3 分散リポジトリの作成 テストネットワークでのマスタリポジトリと分散リポジトリの使用 epolicy Orchestrator では 配備するソフトウェアをリポジトリに保存します このマニュアルでは ソフトウェアの配備とアップデート用にマスタリポジトリと分散リポジトリの両方を使用します リポジトリには クライアントに配備するエージェントと VirusScan のインストールファイルなどのソフトウェアや 新しい DAT ファイルなどのアップデートを格納することができます epolicy Orchestrator サーバ上のマスタリポジトリは ソフトウェアとアップデートの主要な格納場所になります 分散リポジトリはマスタリポジトリのコピーであり ネットワーク NT ドメインや Active Directory コンテナなど ネットワークのほかの部分に存在します このような部分にあるコンピュータは WAN を介して epolicy Orchestrator サーバに接続するより ローカルサーバからアップデートを行う方がより迅速に実行できます ドメインや Active Directory コンテナは 地理的に分散し WAN を介して接続される場合があります この場合 リモートのコンピュータに マスタリポジトリの単純なコピーである分散リポジトリを作成します このリモートのコンピュータ ( ここではコンテナ 1) は WAN を介してアップデートをコピーするのではなく 分散リポジトリからアップデートすることができます ドメイン 1 サイトのコンピュータは epolicy Orchestrator サーバ (eposerver) のマスタリポジトリからアップデートと製品の配備を直接取得します 一方 コンテナ 1 サイトのコンピュータは サーバ上の分散リポジトリから取得します VirusScan Enterprise 8.0i NAP のファイルポリシーページ (NAP ファイル ) は epolicy Orchestrator コンソールからクライアントソフトウェアを設定するために使用します epolicy Orchestrator 3.5 は VirusScan Enterprise 8.0i NAP ファイルなど 複数の NAP ファイルとともにインストールされます 1 マスタリポジトリへの VirusScan Enterprise の追加 VirusScan Enterprise 8.0i のポリシーページ (NAP ファイル ) では ネットワークのクライアントコンピュータへのインストール後に VirusScan Enterprise 8.0i ポリシーを管理することができます ただし 最初に epolicy Orchestrator を使用して クライアントコンピュータに VirusScan Enterprise 8.0i をプッシュ ( 配備 ) するためには VirusScan Enterprise の配備 ( インストール ) パッケージをマスタソフトウェアリポジトリにチェックインする必要があります 配備パッケージファイルは PkgCatalog.z という名前で 弊社からダウンロードした VSE80iEVAL.ZIP に含まれています (7 ページの 弊社のインストールファイルの入手 を参照してください ) VirusScan Enterprise パッケージをマスタリポジトリにチェックインするには 次の手順に従います 1 epolicy Orchestrator コンソールツリーで [ リポジトリ ] を選択します 2 [ リポジトリ ] の右側の詳細ペインで [ パッケージのチェックイン ] を選択します 3 パッケージのチェックインウィザードが表示されたら [ 次へ ] をクリックします 24

25 クライアントコンピュータでのエージェントの手動インストール 4 ウィザードの 2 ページ目で [ 製品またはアップデート ] を選択し [ 次へ ] をクリックします 図 1-5. パッケージのチェックインウィザード 5 VirusScan Enterprise 8.0i のインストールファイルが格納されている一時フォルダに移動します 6 VirusScan Enterprise 一時フォルダの PkgCatalog.z パッケージファイルを選択します 7 [ 次へ ] をクリックして続行します 8 ウィザードの最終ページで [ 完了 ] をクリックしてパッケージのチェックインを開始します しばらくすると epolicy Orchestrator がパッケージをリポジトリにアップロードします Windows ME クライアント使用時の VirusScan パッケージのチェックイン VirusScan Enterprise 8.0i は Windows ME 上では実行できません このマニュアルの例のように これらのバージョンの Windows が稼動しているクライアントがテストネットワークにある場合 システムに VirusScan を配備する必要があります このためには 前述の手順を繰り返して VirusScan 配備パッケージをソフトウェアリポジトリにチェックインします パッケージは PkgCatalog.z という名前で VirusScan インストールファイルを解凍した一時フォルダにあります 25

26 クライアントコンピュータでのエージェントの手動インストール 2 弊社のソフトウェアリポジトリからのアップデートのプル弊社の HTTP サイトまたは FTP サイトをソースリポジトリに使用して 最新の DAT エンジン その他のアップデートでマスタリポジトリをアップデートできます ソースリポジトリからマスタリポジトリへのリポジトリのプルを開始して 以下の内容を実行します epolicy Orchestrator サーバのソースリポジトリへのインターネット接続のテスト 最新の DAT ファイルでのマスタリポジトリのアップデート DAT ファイルは頻繁にアップデートされます また VirusScan Enterprise のインストールファイルに含まれている DAT ファイルは最新版ではありません このため VirusScan Enterprise をネットワークに配備する前に ソースリポジトリから最新の DAT ファイルをプルする必要があります Internet Explorer または epolicy Orchestrator のプロキシ設定弊社のソースリポジトリからアップデートをプルするには epolicy Orchestrator サーバがインターネットにアクセスできる必要があります マスタリポジトリまたは分散リポジトリからアップデートをプルするため ( 次のステップで設定します ) ネットワーク内のすべてのコンピュータにインターネットアクセスを設定する必要はありません デフォルトでは epolicy Orchestrator は Internet Explorer のプロキシ設定を使用します まだ設定していない場合 Internet Explorer で LAN 接続の設定を行ってください 必ず [ すべてのプロトコルに同じプロキシサーバーを使用する ] を選択し [ 次で始まるアドレスにはプロキシを使用しない ] オプションを選択してください あるいは [ プロキシの設定 ] オプションを使用して プロキシサーバの情報を手動で設定することもできます 設定方法については epolicy Orchestrator 3.5 製品ガイド を参照してください 弊社のソースリポジトリからの手動によるプルの開始ソースリポジトリからマスタリポジトリに手動でアップデートをプルするには 次の手順に従います 1 コンソールツリーで [ リポジトリ ] をクリックします 2 [ リポジトリ ] の右側の詳細ペインで [ 今すぐプル ] を選択します 3 今すぐプルウィザードが表示されたら 最初のページで [ 次へ ] をクリックします 4 次のページで [NAIHttp] を選択して [ 次へ ] をクリックします デフォルトの [NAIFtp] を選択することもできますが HTTP の方が信頼性は高くなります 26

27 クライアントコンピュータでのエージェントの手動インストール 図 1-6. 今すぐプルウィザード 5 Windows 95 および 98 コンピュータ用の VirusScan など 旧バージョンの製品を管理している場合は [ レガシー製品のアップデートをサポート ] を選択してください 6 ウィザードの最終ページで [ 完了 ] をクリックし すべてデフォルト設定を使用して プルを開始します プルタスクの実行には しばらくかかります 7 プルが完了したら [ 閉じる ] をクリックします これで マスタリポジトリに VirusScan Enterprise がチェックインされ 弊社のソースリポジトリから最新の DAT とエンジンファイルでマスタリポジトリがアップデートされました epolicy Orchestrator サーバと同じドメイン ( ここではディレクトリのドメイン 1 サイト ) にあるコンピュータは マスタリポジトリから VirusScan Enterprise を取得します 異なるサブネットや WAN 接続を介した場所にあるコンピュータの場合 分散リポジトリ ( マスタリポジトリのコピー ) を作成すると容易にアクセスできるため ソフトウェアやアップデートを効率的に取得できます 27

28 クライアントコンピュータでのエージェントの手動インストール 3 分散リポジトリの作成ここでは コンテナ 1 に分散リポジトリを作成して そこからコンピュータをアップデートできるようにします 少数のクライアントコンピュータと 1 台の epolicy Orchestrator サーバで構成される小規模なテストネットワークでは 複雑な構造の分散リポジトリを作成する必要はありません ただし このマニュアルの分散リポジトリの例を使用すると 実稼動環境で想定されるシナリオをシミュレーションできます たとえば epolicy Orchestrator サーバ上のマスタリポジトリに WAN 接続を介してアクセスするために 効率的にアップデートできないリモートドメインのコンピュータが存在するシナリオなどが考えられます FTP HTTP UNC を使用して マスタリポジトリから分散リポジトリにデータを複製することができます このマニュアルでは コンテナ 1 サイトのコンピュータの 1 つに UNC 共有の分散リポジトリを作成する手順を例にして説明します 次の手順を実行します 1 リポジトリ用コンピュータでの共有フォルダの作成 2 epolicy Orchestrator サーバへの分散リポジトリの追加 3 分散リポジトリへのマスタリポジトリのデータの複製 4 分散リポジトリを使用するリモートサイトの設定 1 リポジトリ用コンピュータでの共有フォルダの作成 epolicy Orchestrator に UNC 分散リポジトリを追加する前に まず専用のフォルダを作成する必要があります また epolicy Orchestrator サーバがファイルをコピーできるように ネットワーク上でフォルダを共有にする必要があります UNC 分散リポジトリ用の共有フォルダを作成するには 次の手順に従います 1 分散リポジトリを格納するコンピュータで Windows エクスプローラから新しいフォルダを作成します 2 フォルダを右クリックして [ 共有 ] を選択します 3 [ 共有 ] タブで [ このフォルダを共有する ] を選択します 4 その他はデフォルト設定を使用して [OK] をクリックし このフォルダの共有を有効にします Caution この方法で UNC 共有を作成すると 実際の環境では ネットワーク上の誰でも共有にアクセスできるようになるため セキュリティ上の問題が発生する可能性があります 実稼動環境で UNC フォルダを作成する場合や テストネットワーク環境のセキュリティに不安がある場合は セキュリティ対策を追加して 共有フォルダへのアクセスを制限してください クライアントコンピュータには UNC リポジトリの読み取りアクセスのみ必要ですが epolicy Orchestrator がデータの複製に使用するアカウントなどの管理者アカウントの場合は 書き込みアクセスが必要になります 共有フォルダにセキュリティを設定する方法については Microsoft Windows のマニュアルを参照してください 28

29 クライアントコンピュータでのエージェントの手動インストール 図 1-7. Microsoft エクスプローラ 2 epolicy Orchestrator サーバへの分散リポジトリの追加 UNC 共有フォルダとして使用するフォルダを作成したら epolicy Orchestrator リポジトリに分散リポジトリを追加し 作成したフォルダを指定します 分散リポジトリを追加するには 次の手順に従います 1 コンソールツリーで [ リポジトリ ] をクリックします 2 [ リポジトリ ] の詳細ペインから [ 分散リポジトリの追加 ] を選択します 3 ウィザードの最初のページで [ 次へ ] をクリックします 4 [ 名前 ] フィールドに名前を入力します これは epolicy Orchestrator コンソールのリポジトリリストに表示される分散リポジトリの名前になります 実際にリポジトリを格納している共有フォルダの名前にする必要はありません 図 1-8. リポジトリの追加ウィザード 5 [ タイプ ] ドロップダウンリストから [ 分散リポジトリ ] を選択します 6 [UNC] を選択してリポジトリを設定し [ 次へ ] をクリックします 29

30 クライアントコンピュータでのエージェントの手動インストール 7 作成した共有フォルダのパスを入力します 有効な UNC パスを入力してください この例では \\BU06\ePOShare のようになります ここで BU06 は コンテナ 1 のコンピュータの名前であり eposhare は UNC 共有フォルダの名前です 8 [ 次へ ] をクリックします 9 ダウンロード認証情報ページで [ ログオンアカウントを使用 ] の選択を解除します 10 クライアントコンピュータが分散リポジトリからアップデートをダウンロードするためのドメイン ユーザ名 パスワード情報を入力します 11 認証情報をテストするには [ 検証 ] をクリックします 数秒後に クライアントが共有フォルダにアクセスできることを確認するダイアログボックスが表示されます 図 1-9. 確認ダイアログボックス サイトが検証できない場合 ウィザードの前のページで UNC パスを正確に入力したか フォルダの共有を正しく設定したかどうかを確認してください 12 [ 次へ ] をクリックします 13 該当するテキストボックスにドメイン ユーザ名とパスワードを入力して 複製認証情報を入力してください epolicy Orchestrator サーバは DAT やエンジンファイル その他の製品アップデートをマスタリポジトリから分散リポジトリにコピー ( 複製 ) するときに これらの認証情報を使用します これらの認証情報には 分散リポジトリが配置されたドメインの管理者権限が必要です ここでは エージェントの配備に使用される認証情報と同じになります 21 ページの サイト内のコンピュータへのエージェントインストールの開始 を参照してください 14 epolicy Orchestrator サーバがリモートコンピュータの共有フォルダに書き込み可能かどうかテストするには [ 検証 ] をクリックします 数秒後に サーバが書き込み可能であることを示す確認のダイアログボックスが表示されます 15 [ 完了 ] をクリックしてリポジトリに追加します しばらくすると epolicy Orchestrator のデータベースに新しい分散リポジトリが追加されます 16 [ 閉じる ] をクリックします 3 分散リポジトリへのマスタリポジトリのデータの複製コンピュータに UNC 共有を作成して分散リポジトリを格納し epolicy Orchestrator データベースにリポジトリの位置を追加しました ただし 新しいリポジトリには まだデータがありません 作成した共有フォルダを参照しても 空のままになっています 今すぐ複製機能は マスタリポジトリの最新のコンテンツで分散リポジトリを手動でアップデートする場合に使用します 以降の手順で複製タスクのスケジュールを設定すると 自動的に実行されるようになります 30

31 クライアントコンピュータでのエージェントの手動インストール 複製を手動で開始するには 次の手順に従います 1 コンソールツリーで [ リポジトリ ] をクリックします 2 [ リポジトリ ] ページで [ 今すぐ複製 ] をクリックして今すぐ複製ウィザードを開きます 3 ウィザードの最初のページで [ 次へ ] をクリックします 4 表示された分散リポジトリのリストから 作成した分散リポジトリを選択して [ 次へ ] をクリックします 5 [ 差分複製 ] を選択します これは新しい分散リポジトリであり 初回の複製であるため [ 完全複製 ] を選択することも可能です ただし 時間と帯域幅を節約するため 2 回目以降は差分複製を選択することをお勧めします 6 [ 完了 ] をクリックして複製を開始します 複製が完了するまで数分かかります 7 [ 閉じる ] をクリックしてウィザードを閉じます ここで eposhare フォルダを参照すると エージェントとソフトウェアのサブフォルダが含まれるようになります 4 分散リポジトリを使用するリモートサイトの設定分散リポジトリを作成したら 使用されているかどうかを確認します 前述したように 小規模なテストネットワークでは 分散リポジトリは必要ありません しかし この動作をシミュレーションするため ディレクトリ内の 1 つのサイトのコンピュータが マスタリポジトリではなく分散リポジトリからのみアップデートを行うようにアップデートを設定することができます テスト環境でこのシミュレーションを行うには ディレクトリ内のサイトの 1 つにエージェントポリシーを設定して 新しい分散リポジトリのみを使用するようにします このネットワークの例では 新しく作成した分散リポジトリを格納する Win2KServer コンピュータが常駐するコンテナ 1 サイトでこの設定を行います コンテナ 1 サイトに epolicy Orchestrator エージェントポリシーを設定して アップデートに分散リポジトリを使用するには 次の手順に従います 1 コンソールツリーのディレクトリから 分散リポジトリとして使用するサイトを選択します 2 右側のポリシーペインで [ ポリシー ] タブを選択します 3 [epolicy Orchestrator エージェント ] を展開して [ 設定 ] を選択します 4 epolicy Orchestrator エージェントポリシーページの [ リポジトリ ] タブを選択します 5 [ 継承 ] の選択を解除し リポジトリオプションを有効にします 6 [ リポジトリの選択 ] の下で [ ユーザ定義リスト ] を選択します 7 [ リポジトリリスト ] で 対象の分散リポジトリ以外の選択を解除します 8 ページ上部の [ すべて適用 ] をクリックして 変更を保存します 31

32 クライアントコンピュータでのエージェントの手動インストール これで このサイトのコンピュータは アップデートを分散リポジトリから取得するようになりました ここで 特定のリポジトリからのアップデートを設定したのは テスト環境で分散リポジトリをシミュレーションするためです 実稼動環境では フェールオーバーに対してリポジトリの冗長性が必要となるため この設定は適切ではない可能性があります ローカルネットワーク接続の方が速いため 特に設定されていなくても クライアントコンピュータは WAN 接続経由のマスタリポジトリからではなく ローカルの分散リポジトリからアップデートを行う可能性があります 一方 何らかの理由で分散リポジトリを使用できない場合でも 必要に応じてネットワーク上のほかのリポジトリからクライアントをアップデートすることができます ステップ 5 配備前の VirusScan Enterprise 8.0i ポリシーの設定リポジトリを作成して VirusScan Enterprise 配備パッケージを追加すると クライアントに VirusScan Enterprise を配備する準備はほぼ完了です ただし VirusScan Enterprise を配備する前に ポリシーを少し変更する必要があります チェックインした NAP ファイルを使用すると クライアントコンピュータにインストールされた VirusScan Enterprise の動作を設定することができます ここでは ワークステーションのポリシーを変更して 最小のユーザインターフェースを備えた VirusScan Enterprise 8.0i をインストールするという 簡単な例を紹介します サーバではデフォルトのポリシーを使用して 完全なインターフェースが表示されるようにします この実装方法は 実際のネットワークでも有用です たとえば ワークステーションのシステムトレイアイコンを非表示にして エンドユーザによるポリシーの変更や機能の無効化を防止することができます これらのポリシーを設定するには ディレクトリの設定時に作成したワークステーショングループを使用します 各ワークステーショングループ ( ドメイン 1 とコンテナ 1 内 ) のポリシーを一度変更するだけで グループ内のすべてのコンピュータに継承させることができます サーバではデフォルトのポリシーを使用して システムトレイに完全なメニューオプションが表示される VirusScan Enterprise をインストールするようにします ワークステーションの VirusScan Enterprise ポリシーを変更するには 次の手順に従います 1 コンソールツリーで サイト内のワークステーショングループをクリックします 2 詳細ペインで [ ポリシー ] タブをクリックし [VirusScan Enterprise 8.0] を選択します 3 [ ユーザインターフェースポリシー ] を選択します 32

33 クライアントコンピュータでのエージェントの手動インストール 図 ユーザインターフェースポリシー 4 ページの上部の [ 設定 ] ドロップダウンリストから [ ワークステーション ] を選択します Note [ 設定 ] ドロップダウンリストを使用すると ディレクトリグループを使用せずに サーバとワークステーションのポリシーを個別に設定することができます epolicy Orchestrator はクライアントコンピュータのオペレーティングシステムを検知し 適切なポリシーを適用します ただし テスト用の場合は サーバとワークステーショングループを作成した方が設定しやすくなります 5 [ 継承 ] の選択を解除し ユーザインターフェースのポリシーオプションを有効にします 6 [ デフォルトのメニューオプションを表示する ] を選択します 7 [ 適用 ] をクリックして変更を保存します 8 ディレクトリ内のほかのワークステーションに対しても 上記の手順を繰り返します 33

34 クライアントコンピュータでのエージェントの手動インストール ステップ 6 クライアントへの VirusScan Enterprise の配備以上の手順では マスタリポジトリと分散リポジトリを作成して VirusScan Enterprise 8.0i PKGCATALOG.Z ファイルをマスタリポジトリに追加し さらに新しい分散リポジトリにも複製しました ディレクトリにはコンピュータが追加され それぞれ epolicy Orchestrator エージェントがインストールされています また サーバとワークステーションには VirusScan Enterprise ポリシーを定義しました これで テストネットワークのすべてのクライアントに epolicy Orchestrator が VirusScan Enterprise を配備する準備は完了です サイト グループ またはコンピュータレベルで行うエージェントの配備とは異なり VirusScan Enterprise は ディレクトリレベルで配備して ディレクトリ内のコンピュータに同時にインストールすることができます ディレクトリ内の特定のサイトやグループ ( ここでは サーバとワークステーショングループなど ) に設定したポリシーは これらのグループのクライアントに VirusScan Enterprise をインストールするときにも適用されます あるいは サイト グループ または個々のコンピュータに VirusScan Enterprise を配備することもできます このセクションの手順を実行すると ディレクトリの任意のレベルで配備することができます ディレクトリのすべてのコンピュータに VirusScan Enterprise 8.0i を配備するには 次の手順に従います 1 コンソールツリーで [ ディレクトリ ] を選択します 2 詳細ペインで [ タスク ] タブを選択し タスクリストで [Deployment] タスクをダブルクリックします 3 [epolicy Orchestrator スケジューラ ] を開き [ タスク ] タブをクリックして [ スケジュールの設定 ] の下の [ 継承 ] の選択を解除します 図 [epolicy Orchestrator スケジューラ ] ダイアログボックス 4 [ スケジュールの設定 ] で [ 有効 ( スケジュールタスクが指定した時刻に実行されます )] を選択します 5 [ 設定 ] ボタンをクリックします 6 [ 配備 ] ページで [ 継承 ] の選択を解除して 製品配備オプションを有効にします 7 VirusScan Enterprise 8.0i 配備タスクの [ アクション ] を [ インストール ] に設定します 34

35 クライアントコンピュータでのエージェントの手動インストール 8 [OK] をクリックして製品配備オプションを保存し [epolicy Orchestrator スケジューラ ] ダイアログボックスに戻ります 9 [epolicy Orchestrator スケジューラ ] ダイアログボックスで [ スケジュール ] タブをクリックします 10 [ 継承 ] の選択を解除し スケジュールオプションを有効にします 11 [ スケジュールタスク ] ドロップダウンリストで [ すぐに実行 ] を選択します 12 [OK] をクリックして変更を保存します 詳細ペインの [ タスク ] タブにあるタスクリストで 配備タスクの [ 有効 ] ステータスが [ はい ] に設定されます これで テストサイトのすべてのクライアントコンピュータに VirusScan Enterprise をインストールするようにデフォルトの配備タスクが設定されました エージェントが次に epolicy Orchestrator サーバと通信すると配備が実行されます また エージェントウェークアップコールを開始して 直ちに配備を実行することもできます 35 ページの 即座の通信のためのエージェントウェークアップコールの送信 を参照してください Windows ME コンピュータへの VirusScan の配備この例のように テストネットワークに Windows ME コンピュータがある場合 このセクションの手順を繰り返して これらのコンピュータのみに VirusScan を配備できます リポジトリに VirusScan 配備パッケージをチェックインしたかどうか確認してください (25 ページの Windows ME クライアント使用時の VirusScan パッケージのチェックイン を参照してください ) ディレクトリで Windows ME コンピュータを 1 つのグループに編成している場合は 複数のコンピュータに VirusScan を配備する方法が最も簡単ですが 個々のコンピュータに配備タスクを実行することもできます VirusScan を配備するには 次の手順に従います 1 コンソールツリーで ディレクトリ内のグループまたはコンピュータを選択します 2 詳細ペインで [ タスク ] タブを選択します 前のセクションの手順に従って VirusScan Enterprise 8.0i と同様に配備を設定します 3 [ 配備 ] 設定ページで VirusScan を [ インストール ] に設定します VirusScan Enterprise 8.0i を [ 無視 ] に設定することもできますが 必須ではありません VirusScan Enterprise は 旧バージョンの Windows が稼動しているコンピュータを検知できるため インストールは実行されません 4 配備を設定する手順を実行します epolicy Orchestrator は これらのコンピュータのエージェントが次にサーバと通信したときに VirusScan を配備します 即座の通信のためのエージェントウェークアップコールの送信必要に応じて エージェントに即座のエージェントウェークアップコールを送信することができます これにより エージェントは次の定期的なエージェント通信 ( デフォルトでは 60 分間隔 ) まで待たずに 直ちに epolicy Orchestrator サーバとの通信を行います この通信で エージェントは VirusScan Enterprise の配備が [ 無視 ] ではなく [ インストール ] に設定されていることを確認します 次に VirusScan 35

36 クライアントコンピュータでのエージェントの手動インストール Enterprise PkgCatalog.z ファイルをリポジトリからプルし VirusScan Enterprise をインストールします 各エージェントは 設定されたリポジトリのいずれかから PkgCatalog.z ファイルをプルします ここでは ドメイン 1 サイトのコンピュータはマスタリポジトリからプルし コンテナ 1 のコンピュータは作成した分散リポジトリからプルします ディレクトリ内の任意のサイト グループ または各コンピュータに対して エージェントウェークアップコールを送信することができます ディレクトリ内のすべてのコンピュータに対して送信するには 各サイトにウェークアップコールを 1 回送信すると サイト内のグループとコンピュータに継承されます VirusScan Enterprise の配備を即座に実行するため エージェントウェークアップコールを送信するには 次の手順に従います 1 コンソールツリーの対象のサイトを右クリックし [ エージェントウェークアップコール ] を選択します 2 [ エージェントをランダムに実行する間隔 ] を 0 分に変更します 図 [ エージェントウェークアップコール ] ダイアログボックス 3 その他はデフォルト設定のまま [OK] をクリックし ウェークアップコールを送信します 4 ディレクトリ内のほかのサイトについても 同じ手順を繰り返します エージェントは即座に通信を開始し 新しい配備ポリシーの変更を取得して VirusScan Enterprise のインストールを開始します VirusScan Enterprise 8.0i の配備とインストールには数分かかります クライアントに正常にインストールされたかどうかを確認する方法はいくつかあります クライアントコンピュータから 以下の内容を確認します MCSHIELD.EXE プロセスが実行され Windows タスクマネージャの [ プロセス ] タブに表示されているかどうか Program Files/Network Associates フォルダに VirusScan フォルダが追加されているかどうか 36

37 クライアントコンピュータでのエージェントの手動インストール VShield アイコンがシステムトレイのエージェントアイコンの隣に表示されているかどうか ( ポリシーで非表示に変更していない場合 ) システムトレイアイコンを表示するには 再起動が必要になる場合があります システムトレイにアイコンが表示されない場合でも VirusScan はアクティブ化され 実行されています ステップ 7 レポートの実行によるカバレッジの確認 VirusScan Enterprise が正常に配備されたかどうかを確認するには epolicy Orchestrator のレポート機能を使用することもできます 製品保護のサマリレポートを実行すると VirusScan Enterprise が正常に配備されたことを確認できます データベースが新しいステータスに更新されるまで 1 時間ほどかかる場合があります 製品保護のサマリレポートを実行するには 次の手順に従います 1 左側のペインのコンソールツリーで [Reporting] [epo データベース ] [epo_eposerver] の順に選択します eposerver はこの例で使用される epolicy Orchestrator データベースの名前です 2 データベースにログインするプロンプトが表示されたら コンソールとデータベースのインストール時に作成した MSDE sa のユーザ名とパスワードを入力します 3 [ レポート ] [ ウイルス対策 ] [ カバレッジ ] [ 製品保護のサマリ ] の順に選択します 4 データフィルタを設定するプロンプトが表示されたら [ いいえ ] を選択します しばらくすると epolicy Orchestrator によってレポートが生成されます 生成されたレポートには 現在 VirusScan と VirusScan Enterprise 8.0i がインストールされているサーバとワークステーションの数が表示されます 今後 McAfee Desktop Firewall などの製品を配備すると 同じようにレポートに表示されます ここでは テストネットワークのすべてのコンピュータに VirusScan Enterprise 8.0i と VirusScan がインストールされたことを確認できます 37

38 クライアントコンピュータでのエージェントの手動インストール ステップ 8 クライアントアップデートタスクによる DAT ファイルのアップデート epolicy Orchestrator で実行する主要な作業には DAT ウイルス定義ファイルのアップデートがあります デフォルトでは VirusScan Enterprise がインストール後に即座にアップデートタスクを実行します このため このマニュアルで説明している手順に従ってリポジトリを設定し VirusScan Enterprise の配備前に最新の DAT ファイルをマスタリポジトリにプルすると VirusScan Enterprise は配備後すぐに最新の状態となります ただし VirusScan Enterprise がインストールされると DAT ファイルは頻繁にアップデートされます ウイルス対策ソフトウェアは 最新の DAT ファイルによって効果を発揮するため 常に最新の状態を維持する必要があります このマニュアルの後半では 定期的な自動クライアントアップデートタスクのスケジュールを設定して 日単位や週単位などで実行する方法について説明します 以下では 即座の DAT ファイルアップデートを開始する場合について検討します たとえば 新しく発見されたウイルスに対処した DAT ファイルのアップデートを弊社がリリースしたため 次回の定期的なスケジュールタスクの実行時まで待たずにクライアントをアップデートしたい場合などに 即座の実行が必要になる可能性があります このためには epolicy Orchestrator コンソールからクライアントアップデートタスクを作成して実行します これにより すべてのクライアントウイルス対策ソフトウェアがアップデートタスクを実行します Note クライアントアップデートタスクを実行する前に まず アップデートされた DAT またはエンジンファイルをマスタリポジトリと分散リポジトリ ( 設置した場合 ) にプルする必要があります 23 ページの マスタリポジトリと分散リポジトリの設定 を参照してください クライアントアップデートタスクを作成して実行するには 次の手順に従います 1 コンソールツリーで [ ディレクトリ ] を右クリックし [ タスクのスケジュール ] を選択します 2 [ タスクのスケジュール ] ダイアログボックスで [ 新規タスク名 ] フィールドに クライアントの DAT の更新 などの名前を入力します 3 ソフトウェアリストで [epolicy Orchestrator エージェント ] タスクの種類で [ アップデート ] を選択します 4 [OK] をクリックします 5 F5 キーを押してコンソールを更新すると [ タスク ] タブのリストに新しいタスクが表示されます この場合 現在の日時で日単位で実行されるスケジュールに設定されます また [ 有効 ] フラグは [ いいえ ] に設定されています このフラグを [ はい ] に設定し 即座に実行する必要があります 6 タスクリストで新しいタスクを右クリックし [ タスクの編集 ] を選択します 7 [epolicy Orchestrator スケジューラ ] ダイアログボックスの [ スケジュールの設定 ] セクションの下で [ 継承 ] の選択を解除します 38

39 クライアントコンピュータでのエージェントの手動インストール 図 [epolicy Orchestrator スケジューラ ] ダイアログボックス 8 [ 有効 ] を選択します 9 [ 設定 ] をクリックし [ アップデート ] タブの [ 継承 ] の選択を解除します 10 [ 次のコンポーネントのみアップデートする ] が選択されているかどうかを確認します 選択されている場合 アップデートするコンポーネントを指定することができます コンポーネントの指定により ご使用の環境に配布されるアップデートを制限して ネットワークリソースを節約できます 11 [ シグネチャとエンジン ] の下はデフォルトの選択項目を使用します 12 [ パッチとサービスパック ] の下で [VirusScan Enterprise 8.0] を選択し [OK] をクリックします 13 [ スケジュール ] タブをクリックし [ 継承 ] の選択を解除します 14 [ スケジュールタスク ] オプションを [ すぐに実行 ] に設定し [OK] をクリックします 15 エージェントが直ちに通信を行ってエージェントアップデートタスクを取得するように ディレクトリ内のすべてのサイトにエージェントウェークアップコールを送信します 35 ページの 即座の通信のためのエージェントウェークアップコールの送信 を参照してください VirusScan Enterprise での最新の DAT のアップデートの確認方法まず マスタリポジトリに現在チェックインされている DAT のバージョンを確認します これらの DAT は アップデートの実行後 クライアントコンピュータ上に保存されます 次の手順に従います 1 コンソールツリーで [ リポジトリ ] [ ソフトウェアリポジトリ ] [ マスタ ] の順に選択します 詳細ペインに 現在マスタリポジトリにチェックインされているパッケージのリストが表示されます 2 [ パッケージ ] リストを下にスクロールし 4306 など 4 桁の数字で表示される最新バージョンの DAT を指定します 39

40 クライアントコンピュータでのエージェントの手動インストール 次に epolicy Orchestrator コンソールから VirusScan Enterprise などのクライアントソフトウェアによって使用される DAT のバージョンを確認します 通常のエージェント - サーバ間通信の一部としてエージェントが次にサーバと通信するまで コンソールにアップデートステータスは表示されません 次の手順に従います 1 epolicy Orchestrator コンソールで 最近アップデートされたディレクトリ内の任意のコンピュータを選択します 2 詳細ペインで [ プロパティ ] タブを選択します 3 [ プロパティ ] ページで [VirusScan Enterprise 8.0] [ 一般 ] の順に選択し 全般的なプロパティのリストを展開します 4 DAT のバージョン番号を確認します この番号は マスタソフトウェアリポジトリの最新の DAT バージョンと一致している必要があります ステップ 9 自動のリポジトリ同期化のスケジュール設定これまでの手順を実行すると テストネットワーク上への完全に機能する epolicy Orchestrator の配備が数時間で完了します この段階では クライアントコンピュータにエージェントが配備され アクティブ化されたエージェントが定期的にサーバと通信してアップデートされた指示を確認します また epolicy Orchestrator を使用して VirusScan Enterprise をクライアントコンピュータに配備し アップデートや追加ソフトウェアをクライアントコンピュータにプッシュする小規模なソフトウェアリポジトリも作成されています 次の手順では 定期的なプルタスクと複製タスクのスケジュールを設定し ソースリポジトリ マスタリポジトリ および分散リポジトリを同期化して リポジトリを常に最新の状態に保つ方法について説明します さらに スケジュールされたクライアントアップデートタスクを作成して VirusScan Enterprise などのソフトウェアが DAT とエンジンファイルのアップデートを定期的に確認するようにします 次の手順を実行します 1 プルタスクのスケジュール設定による日単位でのマスタリポジトリのアップデート 2 分散リポジトリのアップデート用の複製タスクのスケジュール設定 3 日単位の DAT アップデート用のクライアントアップデートタスクのスケジュール設定 1 プルタスクのスケジュール設定による日単位でのマスタリポジトリのアップデートプルタスクは ソースリポジトリからの最新の DAT とエンジンアップデートでマスタソフトウェアリポジトリをアップデートします デフォルトでは ソースリポジトリは弊社 Web サイトです ここでは スケジュールされたプルタスクを作成して 弊社 Web サイトから最新のアップデートを 1 日 1 回プルします 40

41 クライアントコンピュータでのエージェントの手動インストール プルタスクのスケジュールを設定するには 次の手順に従います 1 epolicy Orchestrator コンソールツリーで [ リポジトリ ] を選択します 2 [ リポジトリ ] ページで [ プルタスクのスケジュール設定 ] を選択して [ サーバタスクの設定 ] ページを開きます 3 [ タスクの作成 ] を選択して [ 新規タスクの設定 ] ページを開きます 図 [ 新規タスクの設定 ] ページ 4 [ 名前 ] フィールドに リポジトリのプルタスク ( 日単位 ) などの名前を入力します 5 [ タスクの種類 ] ドロップダウンメニューから [ リポジトリのプル ] を選択します 6 [ タスクを有効にする ] を [ はい ] に設定します 7 [ スケジュールの種類 ] ドロップダウンリストから [ 日単位 ] を選択します 8 [ スケジュールの詳細設定 ] を展開して タスクを実行する日時を設定します 9 ページの上部で [ 次へ ] をクリックします 10 [ ソースリポジトリ ] ドロップダウンリストから [NAIHttp] を選択します 11 宛先ブランチは [ 最新バージョン ] のままにします 12 VirusScan などの旧バージョンの弊社製品がネットワークに配備されている場合 [ レガシー製品のアップデートをサポート ] を選択します 13 [ 完了 ] をクリックします しばらくすると タスクが作成されます [ サーバタスクの設定 ] ページに新しいプルタスクが追加されます 41

42 クライアントコンピュータでのエージェントの手動インストール 2 分散リポジトリのアップデート用の複製タスクのスケジュール設定新しいプルタスクを使用して 弊社 Web サイトのソースリポジトリから最新のアップデートを取得し 自動的にマスタリポジトリをアップデートするように epolicy Orchestrator サーバを設定します タスクは 1 日に 1 回実行され マスタリポジトリを最新の状態に保ちます しかし マスタリポジトリが最新の状態であっても ネットワークのクライアントコンピュータ ( ここでは テストネットワーク例のコンテナ 1 サイトのコンピュータ ) が分散リポジトリからアップデートを取得している場合は反映されません このため 次の手順では マスタリポジトリに追加されたアップデートが 自動的に分散リポジトリに複製されるようにします このためには 自動複製タスクを作成し スケジュール設定されているプルタスクの 1 時間後に毎日実行されるようにスケジュールを設定します 自動複製タスクのスケジュールを設定するには 次の手順に従います 1 epolicy Orchestrator コンソールツリーで [ リポジトリ ] を選択します 2 [ リポジトリ ] ページで [ プルタスクのスケジュール設定 ] を選択して [ サーバタスクの設定 ] ページを開きます 3 [ タスクの作成 ] を選択して [ 新規タスクの設定 ] ページを開きます このページは 自動プルタスクのスケジュールを設定したページと同じです 4 [ 名前 ] フィールドに 分散リポジトリの複製タスク ( 日単位 ) などの名前を入力します 5 [ タスクの種類 ] ドロップダウンメニューから [ リポジトリの複製 ] を選択します 6 [ タスクを有効にする ] を [ はい ] に設定します 7 [ スケジュールの種類 ] ドロップダウンリストから [ 日単位 ] を選択します 8 [ スケジュールの詳細設定 ] を展開して タスクを実行する日時を設定します 時間は スケジュールプルタスクの開始の 1 時間後に設定します 通常 プルタスクはこの時間内に完了します ただし ネットワークとインターネット接続によっては プルタスクにかかる時間が変わる可能性があるため 状況に応じて複製タスクの開始時刻を設定してください 9 ページの上部で [ 次へ ] をクリックします 10 [ 差分複製 ] を選択して [ 完了 ] をクリックします しばらくすると タスクが作成されます スケジュールプルタスクとともに 新しい複製タスクが [ サーバタスクの設定 ] テーブルに表示されます 3 日単位の DAT アップデート用のクライアントアップデートタスクのスケジュール設定すべてのリポジトリのアップデート後に クライアントアップデートタスクのスケジュールを設定して 最新の DAT とエンジンのアップデートがリポジトリに格納されたら 直ちに VirusScan Enterprise が取得できるようにします VirusScan Enterprise の配備後に作成したクライアントアップデートタスクを使用することができます (38 ページの クライアントアップデートタスクによる DAT ファイルのアップデート を参照してください ) このタスクのスケジュールを [ すぐに実行 ] から [ 日単位 ] に変更し 開始時刻を複製タスクの開始の約 1 時間後に設定するだけです 42

43 クライアントコンピュータでのエージェントの手動インストール ステップ 10 SuperAgent によるグローバルアップデートのテストグローバルアップデートは epolicy Orchestrator 3.5 の新機能です この機能は 新しいアップデートがマスタリポジトリにチェックインされると 自動的にすべてのクライアントコンピュータのアップデートを行います epolicy Orchestrator では マスタリポジトリが変更されるたびに コンテンツが自動的に分散リポジトリに複製されます その後 ネットワークに配備されたすべてのエージェントに対して VirusScan Enterprise 8.0i などの管理製品で即座にアップデートタスクを実行するように通知されます グローバルアップデートは 特にウイルスのアウトブレーク時に効果を発揮します たとえば 実環境で発見された新しいウイルスに対処するために 弊社の AVERT チームが DAT のアップデートを提供したとします グローバルアップデートが有効な場合 epolicy Orchestrator コンソールからプルタスクを開始して 新しい DAT ファイルでマスタソフトウェアリポジトリをアップデートするだけで アクティブでエージェントと通信しているネットワーク上のすべてのコンピュータの DAT のアップデートが 1 時間以内に行われます SuperAgent によるネットワーク上のすべてのエージェントのウェークアップ epolicy Orchestrator では SuperAgent を使用してグローバルアップデートを開始します SuperAgent は epolicy Orchestrator エージェントであり 同じネットワークサブネット上のほかのエージェントをプロンプトすることができます 各ネットワークサブネットに SuperAgent がインストールされている場合 SuperAgent ウェークアップコールをエージェントに送信すると SuperAgent によって同一サブネット上の epolicy Orchestrator エージェントにウェークアップコールが送信されます 通常のエージェントは epolicy Orchestrator サーバと通信してポリシーの指示を確認し クライアントソフトウェアをアップデートします Note SuperAgent は分散リポジトリとしても機能します これらの SuperAgent リポジトリは SPIPE という弊社の複製プロトコルを使用して ほかの HTTP FTP UNC 分散リポジトリの代用または補強することができます ただし このマニュアルでは SuperAgent リポジトリについては説明しません SuperAgent リポジトリの詳細については epolicy Orchestrator 3.5 製品ガイド を参照してください グローバルアップデートを有効にするには 次の内容を実行します 1 各サブネットへの SuperAgent の配備 2 epolicy Orchestrator サーバでのグローバルアップデートの有効化 1 各サブネットへの SuperAgent の配備 epolicy Orchestrator のディレクトリ内の任意のコンピュータに SuperAgent を配備することができます また 通常の epolicy Orchestrator エージェントを SuperAgent にすることもできます この設定は epolicy Orchestrator コンソールの [epolicy Orchestrator エージェント ] ポリシーページで行います ネットワークサブネットごとに 1 つの SuperAgent が必要なため ディレクトリ内の個々のコンピュータに SuperAgent を設定します 通常のエージェントや VirusScan Enterprise のように グループやサイト全体には設定しないでください たとえば このマニュアルで使用しているテストネットワーク例では ドメイン 1 サイトに SuperAgent を 1 つ配備します 43

44 クライアントコンピュータでのエージェントの手動インストール 現在エージェントのないコンピュータに SuperAgent を配備したり 既存の通常のエージェントを SuperAgent に変換することもできます ここでは 1 台のコンピュータのエージェントのポリシーを変更して設定します 次の手順に従います 1 ディレクトリで特定のコンピュータを選択します 2 [ ポリシー ] タブで [epolicy Orchestrator エージェント ] [ 設定 ] の順にクリックし エージェントポリシーページを表示します 3 [ 全般 ] タブをクリックし [ 継承 ] の選択を解除します 4 [SuperAgent 機能を有効にする ] を選択します 図 [ 全般 ] タブ コンピュータに SuperAgent リポジトリを作成することもできますが グローバルアップデートには必要ないため ここでは説明しません SuperAgent リポジトリの詳細については epolicy Orchestrator 3.5 製品ガイド を参照してください 5 [ すべて適用 ] をクリックして ポリシーの変更を保存します 6 ディレクトリのコンピュータを右クリックし [ エージェントウェークアップコール ] を選択します 7 [ エージェントをランダムに実行する間隔 ] を 0 に設定し [OK] をクリックします 8 ほかのネットワークサブネットがある場合は そのコンピュータについても同じ手順を繰り返します しばらくすると SuperAgent が作成されます 有効になると SuperAgent を格納するコンピュータのシステムトレイアイコンが少し変わります これらの SuperAgent を使用して ローカルサブネット上のほかのエージェントをプロンプトできます これにより 特に WAN 接続されたリモートサイトが多数含まれる大規模なネットワークで 帯域幅を節約することができます 少数の SuperAgent にウェークアップコールを送信すると これらの SuperAgent はローカル LAN 上のエージェントをプロンプトします SuperAgent は新しいグローバルアップデート機能には不可欠です 44

45 クライアントコンピュータでのエージェントの手動インストール 2 epolicy Orchestrator サーバでのグローバルアップデートの有効化グローバルアップデート機能は epolicy Orchestrator コンソールから有効または無効にすることができます 有効にした場合 マスタリポジトリの変更時に自動的に分散リポジトリ ( 設定されている場合 ) への複製を開始し ディレクトリ全体に SuperAgent ウェークアップコールを送信します 次に SuperAgent はローカルサブネットのエージェントをプロンプトします グローバルアップデートを有効にするには 次の手順に従います 1 コンソールツリーで epolicy Orchestrator サーバを選択します 2 詳細ペインで [ 設定 ] タブを選択します 3 [ サーバ設定 ] ページの下部で [ グローバルアップデートを有効にする ] を [ はい ] に設定します 4 評価のため [ グローバルアップデートをランダムに実行する間隔 ] を 1 分に変更します 5 [ シグネチャとエンジン ] の下はデフォルトの選択項目を使用します 6 [ パッチとサービスパック ] の下で [VirusScan Enterprise 8.0] を選択します 7 [ 設定を適用する ] をクリックして 変更を保存します これで ネットワークのサブネットに SuperAgent が配備され グローバルアップデートが有効になりました マスタリポジトリを変更するたびに 設定したリポジトリに変更が自動的に複製されます 複製が完了すると epolicy Orchestrator サーバは SuperAgent に SuperAgent ウェークアップコールを送信します 次に SuperAgent はローカルサブネットのすべてのエージェントにウェークアップコールを送信します この結果 エージェントはサーバと通信し ポリシーページをダウンロードします マスタリポジトリに変更をチェックインしてから最後のクライアントコンピュータがアップデートを取得するまで 1 時間もかかりません ステップ 11 その他の情報についてこれまで epolicy Orchestrator の主要な機能を取り上げてきましたが epolicy Orchestrator と VirusScan Enterprise には 他にもさまざまな機能があります 製品の高度な機能の詳細については epolicy Orchestrator 3.5 製品ガイド VirusScan Enterprise 8.0i 製品ガイド VirusScan Enterprise 8.0i コンフィグレーションガイド (epolicy Orchestrator 3.5 用 ) を参照してください これらのマニュアルや その他有用なリソースは 弊社 Web サイトからダウンロードできます 45

46 機能の評価 このセクションでは 2 つの新機能の設定方法と使用方法について説明します epolicy Orchestrator の通知機能 不正システム検出 (51 ページ ) epolicy Orchestrator の通知機能 ネットワークを管理するためには 脅威や対応状況に関するリアルタイムの情報が不可欠です epolicy Orchestrator サーバがユーザ定義の脅威や対応状況に関するイベントを受信して処理した場合に通知を送信するように epolicy Orchestrator でルールを設定することができます ルールごとに集約とスロットル機能を設定できるため 通知メッセージを送信する条件を定義できます セキュリティ対策プログラムから送信される脅威や対応状況に関するイベントの通知ルールはいくつでも作成できますが このマニュアルでは ウイルス検出イベントの応答として作成される電子メール通知メッセージについて説明します このセクションでは 次の項目について説明します 1 エージェントポリシーでのイベントの即時アップロードの設定 2 通知機能の設定 3 VirusScan Enterprise イベントのルールの作成 4 ウイルス検出サンプルの送信 46

47 機能の評価 epolicy Orchestrator の通知機能 ステップ 1 エージェントポリシーでのイベントの即時アップロードの設定エージェントは管理対象システムから epolicy Orchestrator サーバにイベントを配信するため イベントを即座に配信するようにエージェントポリシーを設定する必要があります この設定を行わないと 次回のエージェント - サーバ間通信の間隔 (ASCI) まで epolicy Orchestrator サーバにイベントが送信されません 1 コンソールツリーで [ ディレクトリ ] をクリックし 上部詳細ペインの [ ポリシー ] タブをクリックします 2 上部詳細ペインで [epolicy Orchestrator エージェント ] [ 設定 ] の順に選択します 3 下部詳細ペインの [ イベント ] を選択し [ 継承 ] の選択を解除します 図 2-1. [ イベント ] タブ 4 [ イベントの即時アップロードを有効にする ] を選択して [ すべて適用 ] をクリックします これで epolicy Orchestrator サーバへのイベントの即時アップロードがエージェントに設定され epolicy Orchestrator の通知機能を設定する準備が完了しました ステップ 2 通知機能の設定ルールを作成する前に 通知メッセージの受信者 形式 内容を定義する必要があります 1 コンソールツリーで [ 通知 ] をクリックし 詳細ペインの [ 設定 ] の [ 基本構成 ] タブをクリックします 47

48 機能の評価 epolicy Orchestrator の通知機能 図 2-2. 基本構成 2 [ メールサーバ ] に epolicy Orchestrator サーバが使用するメールサーバの名前と メッセージの [ 差出人 ] に表示する電子メールアドレスを入力します Note ここで入力するアドレスは 通知メッセージを受信する管理者の数と メッセージへの返信を許可するかどうかを考慮して決定してください 3 [ 適用 ] をクリックし タブの上部に表示されている [ 連絡先の電子メール ] をクリックします このページで指定したアドレスをすべてアドレス帳に登録し ルールを作成するときに受信者として選択することができます リストには [Administrator] という連絡先が最初から含まれています [Administrator] で指定されている電子メールアドレスは インストールウィザードの [ 電子メールアドレスの設定 ] パネルで入力した電子メールアドレスです ウィザードでデフォルトのアドレスを変更していない場合 アドレスは administrator@example.com です [Administrator] で指定されているアドレスに送信されたメールを参照できない場合は アドレスをクリックして メッセージの受信と参照が可能なアドレスに変更してください Note [ 設定 ] タブでは SNMP トラップを受信する SNMP サーバと 特定のイベントを受信した場合に実行する外部コマンドを指定することもできます これらのタスクに関しては このマニュアルでは説明していません 詳細については epolicy Orchestrator 3.5 製品ガイド を参照してください これで メッセージの送信に使用する電子メールサーバと メッセージを受信するアドレスの設定が完了しました 次に VirusScan Enterprise イベントが発生したときにトリガするルールを作成します 48

49 機能の評価 epolicy Orchestrator の通知機能 ステップ 3 VirusScan Enterprise イベントのルールの作成様々なルールを作成して 管理しているセキュリティ対策製品から受信する多様なイベントの多くを処理することができます 詳細については epolicy Orchestrator 3.5 製品ガイド の第 9 章 epolicy Orchestrator の通知機能 を参照してください 1 [ ルール ] タブをクリックし [ ルールを追加 ] をクリックして 通知ルールを追加または編集ウィザードを開始します 2 [ ルールを記述する ] ページの [ 定義場所 ] テキストボックスでは デフォルト ( ディレクトリ ) を使用します ディレクトリまたはディレクトリ内のサイトに適用するルールを定義することができます 3 [ ルール名 ] テキストボックスに 検出されたウイルス など ルールの名前を入力します 4 [ 説明 ] テキストボックスに VirusScan Enterprise で検出されたウイルス など ルールの説明を入力します [ 次へ ] をクリックします 5 [ フィルタを設定する ] ページで以下を実行します a b [ オペレーティングシステム ] チェックボックスをすべて選択した状態にします [ 製品 ] で [VirusScan] を選択します c [ カテゴリ ] で リストの上に表示される [ 任意のカテゴリ ] を選択し [ 次へ ] をクリックします これまで設定した内容に基づき ディレクトリ内の管理されているすべてのシステムで発生した VirusScan イベントに適用するルールが指定されます 図 2-3. [ フィルタを設定する ] ページ 6 このページでは選択されているデフォルト設定を使用しますが [ しきい値を設定する ] ページで 通知メッセージの数を制限することができます たとえば 一定期間内のイベントの数または影響を受けたコンピュータの数が指定した数に達した場合にのみ メッセージを送信するようにルールを定義することができます ( 集約 ) また 次のメッセージを受信するまでの時間を指定して 送信するメッセージの数を制限することができます ( スロットル ) アウトブレークの発生時にメッセージが大量に送信されないように スロットル機能の使用をお勧めします 49

50 機能の評価 epolicy Orchestrator の通知機能 図 2-4. [ しきい値を設定する ] ページ [ イベントごとに通知メッセージを送信する ] が選択された状態で [ 次へ ] をクリックします 7 [ 通知メッセージを作成する ] ページで [ 電子メールを追加 ] をクリックします 8 ページの左側のボックスで [Administrator] をクリックしたあとに [ 宛先 ] をクリックし [Administrator] を [ 通知の受信者 ] ボックスに移動します この設定により 47 ページの ステップ 2 : 通知機能の設定 (Administrator の連絡先 ) で設定した電子メールアドレスに 以降で設定する通知メッセージが送信されます 9 このルールがトリガされたときに Administrator に送信する電子メールの [ 件名 ] を入力します VirusScan で検出された脅威 などの件名を入力します 10 このルールがトリガされたときに送信する電子メールの [ 本文 ] を入力します VirusScan で脅威が検出されました などの本文を入力します 11 メッセージの本文に複数の変数を使用すると イベントファイルの有用な情報を通知メッセージに挿入することができます 機能の評価のため [ 影響を受けたコンピュータの名前 ] を選択して [ 本文 ] をクリックします これにより 影響を受けるコンピュータ名がイベントファイルに含まれていると 電子メールメッセージ本文にもこのコンピュータ名が表示されます [ 保存 ] をクリックします [ 通知メッセージを作成する ] ページでは 複数のメッセージを異なる形式で作成することができます また 実行する外部コマンドを選択することもできますが その方法についてはこのマニュアルに記載されていません 詳細については epolicy Orchestrator 3.5 製品ガイド を参照してください 12 [ 次へ ] をクリックして 作成したルールの設定を [ サマリを表示する ] ページで確認します [ 完了 ] をクリックします 50

51 機能の評価不正システム検出 ステップ 4 ウイルス検出サンプルの送信以上の手順で VirusScan Enterprise から送信されるイベントファイルによりトリガされるルールの作成と 機能の設定が完了しました 次に イベントファイルを受信して 作成したルールをトリガします 1 テストするワークステーションコンピュータの 1 つに EICAR.COM をダウンロードします このファイルをダウンロードするたびに検出サンプルが作成されます マニュアルの作成時点では 以下の EICAR.ORG のサイトからダウンロードすることができます このファイルはウイルスではありません Note 2 EICAR.COM がダウンロードされると同時に オンアクセススキャナは EICAR テストウイルスを検出して隔離します また この情報を収集したイベントファイルが epolicy Orchestrator サーバに送信されます 3 数分で 通知メッセージが作成され 事前に設定した受信者に送信されます これで 指定したユーザにメッセージを送信する設定 VirusScan Enterprise から送信されるイベントに基づいて通知メッセージを送信するルールの作成 ルールの動作確認が完了しました 不正システム検出 管理対象のネットワーク上に epolicy Orchestrator エージェントがインストールされていないコンピュータが一時的に存在することがあります このようなコンピュータには テストサーバ ラップトップコンピュータ ワイヤレスデバイスなど ネットワークに頻繁にログオンおよびログオフするコンピュータが考えられます また エンドユーザがワークステーション上のエージェントをアンインストールまたは無効にする可能性もあります このような保護されていないシステムは ウイルス保護およびセキュリティ対策の弱点となります また この弱点を利用して ウイルスなどの不審なプログラムがネットワークに侵入する可能性があります 不正システム検出機能を使用すると ネットワーク上のすべてのシステムを監視することができます すでに epolicy Orchestrator が管理しているコンピュータだけでなく 不正システムの監視も可能です 不正システムとは epolicy Orchestrator エージェントで管理する必要があるにもかかわらず 現在は管理されていない状態にあるコンピュータを示します epolicy Orchestrator サーバに統合された不正システム検出機能では 各ネットワークブロードキャストセグメント上にセンサを配置することによって 不正システムをリアルタイムで検出することができます このセンサは ネットワークブロードキャストメッセージを傍受し ネットワークに新しいコンピュータが接続されると通知します 51

52 機能の評価不正システム検出 センサは ネットワーク上で新しいシステムを検出すると 不正システム検出サーバにメッセージを送信します 不正システム検出サーバは epolicy Orchestrator サーバと通信し 新しく認識されたコンピュータにアクティブなエージェントがインストールされ epolicy Orchestrator で管理されているかどうかを確認します 新しいコンピュータが epolicy Orchestrator に認識されていない場合は 不正システム検出機能により ネットワーク管理者およびウイルス対策管理者への警告 または epolicy Orchestrator エージェントの自動プッシュなどの措置を行うことができます このセクションでは 次の項目について説明します 1 不正システムセンサポリシーの設定 2 不正システムセンサの配備 3 自動応答の設定 4 不正システムの検出と修正 ステップ 1 不正システムセンサポリシーの設定不正システム検出センサを配備する前に センサのポリシーを設定します Note ここで説明するセンサポリシーの設定内容は 評価する場合にのみで設定してください 実稼働環境に配備するセンサには設定しないでください ご使用の環境のシステムに配備されたセンサは エージェント - サーバ間通信とポリシーの施行が 1 回ずつ行われてから動作を開始します エージェント - サーバ間通信が行われると 無効の状態のセンサがシステムにインストールされます 次に ポリシーの施行が行われると セキュリティ証明書を含むポリシーが取得されます 証明書は センサがサーバと直接通信するために必要となります センサのポリシーで以下の設定を変更すると 処理速度が上がり 評価にかかる時間が短縮されます 1 コンソールツリーで [ ディレクトリ ] をクリックし 詳細ペインの [ ポリシー ] タブで [ 不正システムセンサ ] [ 設定 ] の順に選択します 52

53 機能の評価不正システム検出 図 2-5. 不正システムセンサの設定 2 [ 継承 ] の選択を解除し [ 通信間隔 ] で以下の変更を行います a b [ 検出されたホストの最小レポート間隔 ] を 120 秒に設定します [ 基本センサのセンサ - サーバ間の最小通信間隔 ] を 5 秒に設定します 3 [ すべて適用 ] をクリックします ステップ 2 不正システムセンサの配備センサは 不正システム検出アーキテクチャの分散コンポーネントです ネットワークに接続しているコンピュータ ルータ プリンタ およびその他のネットワークデバイスを検出します センサは 検出したデバイスに関する情報を収集し この情報を不正システム検出サーバに転送します センサは 小さな Win32 ネイティブアプリケーションです epolicy Orchestrator の SuperAgent と同様に ネットワーク上の各ブロードキャストセグメント ( 通常はネットワークサブネットと同じ ) に少なくとも 1 つのセンサを配備する必要があります センサは NT ベースの Windows オペレーティングシステム (Windows 2000 Windows XP Windows 2003 など ) 上で実行できます センサの詳細と動作方法については epolicy Orchestrator 3.5 製品ガイド の第 11 章 不正システム検出 を参照してください テスト環境の設定によっては複数のサブネットが存在する場合がありますが 少なくとも 1 つのサブネットが存在します 53

54 機能の評価不正システム検出 センサを配備するには 次の手順に従います 1 コンソールツリーで [ 不正システム検出 ] をクリックし 詳細ペインの [ サブネット ] タブを選択して [ サブネットリスト ] を表示します 2 センサを配備するサブネットのチェックボックスをクリックして選択し [ センサを配備...] をクリックします 図 2-6. [ サブネットリスト ] ページ 3 [ センサの配備 : 選択基準の設定 ] ページが表示されたら [ コンピュータを手動で選択 ] が選択されていることを確認します 4 ここでは epolicy Orchestrator がセンサを自動的に配備する条件は設定しませんが この条件を使用するとセンサをインストールするシステムを決定する時間が短縮されます この方法では epolicy Orchestrator が各サブネット上でセンサのインストールに最適なシステムを検索します 5 [ 次へ ] をクリックし センサを配備するシステムのチェックボックスを選択します [ 配備対象に指定 ] [ 閉じる ] の順にクリックします 6 [ センサの配備 : レビューと承認 ] ページが表示されたら [ 今すぐ配備 ] をクリックします [ イベント ] タブの [ アクションの進行状況 ] ページに各センサの配備の進行状況が表示されます 7 エージェント - サーバ間通信とポリシーの施行が 1 回ずつ実行されてから センサはサーバと通信して動作を開始します これは エージェントウェークアップコールを送信すると実行されます a b c コンソールツリーの [ ディレクトリ ] でセンサをインストールしたコンピュータを右クリックし [ エージェントウェークアップコール ] を選択します [ エージェントをランダムに実行する間隔 ] を 0 に設定し [OK] をクリックします 2 分ほど待ってから この手順を繰り返します 54

55 機能の評価不正システム検出 8 [ アクションのステータス ] に [ 正常に完了 ] と表示されたら センサはサーバと通信し 機能しています 9 [ コンピュータ ] タブを選択し [ サマリ ] を選択して検出されたシステムの概要を表示します これで センサの配備とインストールが完了しました 次の手順では 不正システムが検出されたときの応答を設定します ステップ 3 自動応答の設定 epolicy Orchestrator では 検出された不正システムに対して実行する自動応答を設定することができます 自動応答機能は 実行するアクションやその条件を定義する内容について 非常に柔軟な設定が可能です 詳細については epolicy Orchestrator 3.5 製品ガイド の第 11 章 不正システム検出 を参照してください 自動応答を実行しないほうがよい状況もあります 不正システムの種類に関する条件を設定して アクションを実行しない場合を指定したり 検出されたシステムをアクション対象に指定することができます 機能の評価のため 検出された不正システムにエージェントをプッシュする応答を設定します 1 コンソールツリーで [ 不正システム検出 ] を選択し 詳細ペインで [ 応答 ] タブを選択します 2 デフォルトの応答の [epo エージェントにクエリを送信 ] の横のチェックボックスを選択し [ 選択した応答 ] ドロップダウンリストから [ 無効 ] を選択します [ 適用 ] をクリックします この応答では 検出されたシステムに別の epolicy Orchestrator サーバのエージェントがインストールされているかどうかを確認します 図 2-7. [ 自動応答 ] ページ 3 [ 自動応答を追加 ] をクリックして [ 自動応答を追加または編集 ] ページを表示します 4 エージェントのプッシュ など 応答の名前を入力します 55

56 機能の評価不正システム検出 5 [ 条件 ] で [ 条件を追加 ] をクリックして [ プロパティ ] リストから [ 不正の種類 ] を選択します 図 2-8. [ 自動応答を追加または編集 ] ページ 6 [ 比較 ] で [ が次の値と等しい ] を選択し [ 値 ] で [ エージェントなし ] を選択します 7 [ アクション ] でデフォルトのアクション [ 電子メールの送信 ] を変更します [ 方法 ] で [epo エージェントを配信 ] を選択して [ パラメータ ] はデフォルトの値を使用します 8 [OK] をクリックします 9 [ 自動応答 ] ページが再度表示されたら 自動応答の エージェントのプッシュ の隣のチェックボックスを選択します [ 選択した応答 ] ドロップダウンリストから [ 有効 ] を選択して [ 適用 ] をクリックします これで センサの配備 応答の作成 エージェントがインストールされていない不正システムの処理の有効化が完了しました 次は このような不正システムをネットワークに設置します ステップ 4 不正システムの検出と修正ここでは エージェントが配備されていないシステムをテスト環境に接続します ラップトップコンピュータをテスト環境に接続したり 外部ドメインからテストドメインにコンピュータを移動するなど 何種類かの方法があります 1 epolicy Orchestrator エージェントが配備されていないコンピュータをテスト環境に接続します 2 [ コンピュータ ] タブを表示して [ リスト ] をクリックします センサは 不正システムを検出するとサーバにレポートを送信し 検出したシステムを [ コンピュータリスト ] に表示します 3 このリストにシステムが表示されると エージェントのインストールが開始します インストールには 5 分ほどかかります 56