NETCRUNCH 7 の WINDOWS 監 視 P A G E 1 NetCrunch 7 は 追 加 エージェントをインストールすることなく Microsoft Windows を 監 視 することができます しかしながら セキュリティルールが 厳 格 なため 初 期 設 定 のみでリモート 監 視 ができるかは ユーザーの Windows 環 境 に 依 存 します 監 視 サーバー NetCrunch サーバーは Windows Server 2003 R2 Windows Server 2008/2008 R2 Windows Server 2012 にインストールすることができます ユーザーが Active Directory 環 境 でほとんどのサーバ ーを 管 理 している 場 合 Active Directory ドメインに 参 加 したマシンに NetCrunch をインストー ルすることを 推 奨 します この 方 法 がより 早 く 設 定 する 方 法 となります 監 視 対 象 システム サーバー サーバーでは 一 般 的 にファイアウォールが 有 効 なため リモートアドミニストレーションがブ ロックされてしまいます まずこの 項 目 を 変 更 する 必 要 があります 最 も 容 易 な 方 法 は Active Directory グループポリシーで 管 理 する 方 法 です その 他 の 方 法 を 採 用 する 場 合 ユーザーは AdRem Software 社 が 用 意 するスクリプトを 使 用 して 個 々のサーバーを 設 定 する 必 要 がありま す (Web サイトからダウンロード: http://www.adremsoft.com/download/setwinfornc.zip) ワークステーション ユーザーが 対 象 のワークステーションを Active Directory で 管 理 している 場 合 サーバーと 同 様 に 監 視 設 定 する 必 要 があります (Active Directory グループポリシーの 編 集 もしくはスク リプトの 実 行 ) ワークグループに 所 属 しているワークステーションを 監 視 する 場 合 Windows Vista 以 降 に 追 加 された UAC(ユーザーアクセス 制 御 )のために 設 定 が 難 しくなっています この 機 能 により ローカルアドミニストレーショングループから 管 理 者 権 限 を 継 承 しているリモート 接 続 を 許 可 しません この 場 合 ユーザーはローカルのビルトイン Administrator アカウントを 利 用 するこ とや 必 要 な 権 限 を 直 接 アカウントに 割 り 当 てること 必 要 な 権 限 を 持 つアカウントを 作 成 する ことを 選 択 することができます 設 定 方 法 の 概 要 1. アクセス 権 限 の 設 定 NetCrunch はユーザーアカウントに DCOM WMI(root\cimV2)と(Read Access) レジ ストリキー (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib)へのアクセ
NETCRUNCH 7 の WINDOWS 監 視 P A G E 2 ス 権 限 が 必 要 となります ユーザーはローカル Administrators グループへ 使 用 するユー ザーを 追 加 することでこの 権 現 を 割 り 当 てることが 可 能 です 2. ファイアウォール 設 定 ファイアウォールルールとして RCP パフォーマンスモニタ 名 前 付 きパイプ WMI のトラフィックを 許 可 しなければなりません 3. PerfMon 監 視 の 有 効 化 Remote Registry サービスはスタートアップの 種 類 を 自 動 として 実 行 中 でなければなり ません 4. UAC のリモート 制 限 を 無 効 化 UAC(ユーザーアクセス 制 御 )のリモート 制 御 をドメイン 参 加 していないサーバーのた めに 無 効 にする 必 要 があります 設 定 変 更 した 場 合 コンピュータの 再 起 動 が 必 要 にな ります 以 下 のレジストリキーの 値 を 1 に 変 更 します: KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAc counttokenfilterpolicy LocalAccountTokenFilterPolicy キーが 存 在 しない 場 合 は 右 側 のウィンドウを 右 クリック し 新 規 DWord を 選 択 します 次 に LocalAccountTokenFilterPolicy という 名 前 を 入 力 し 値 を 1 に 設 定 します ACTIVE DIRECTORY ドメインでの 設 定 方 法 この 手 順 は 管 理 ツールのグループポリシー 管 理 と Active Directory のユーザー コンピュータの 知 識 が 必 要 となり ます もしユーザーが Active Directory を 用 いて ほとんどのサーバーを 管 理 している 場 合 最 も 良 い 方 法 は Active Directory ドメインに 参 加 しているサーバー 上 に NetCrunch をインストールして 監 視 専 用 のアカウントを 作 成 することです この 場 合 NetCrunch のインストールを 中 断 して まず Active Directory の 設 定 をしなければなりません 設 定 の 変 更 が 全 てのサーバーに 反 映 され た 後 NetCrunch をインストールしてください 設 定 の 反 映 には 約 2 時 間 程 度 必 要 になりま す この 方 法 で NetCrunch は Active Directory に 参 加 している 全 てのサーバーの 検 出 と 監 視 設 定 が 自 動 的 に 行 われます 他 のドメインやワークグループのサーバーについては 独 立 して 設 定 が 必 要 になります ( 設 定 方 法 は 独 立 した Windows サーバーの 項 を 参 照 ください ) アクセス 権 限 の 設 定
NETCRUNCH 7 の WINDOWS 監 視 P A G E 3 STEP 1 監 視 専 用 ユーザーの 作 成 NetCrunch サーバーで 使 用 する 監 視 専 用 ユーザーを Active Directory ユーザーアカウント( 例 え ば nc-mon-user)として 作 成 します NetCrunch のインストール 中 このユーザー 認 証 情 報 を 求 められることがあります STEP 2 ユーザーの 権 限 を 設 定 NetCrunch サーバーがインストールされているサーバーを 含 む 全 ての 監 視 対 象 Windows マシン で 監 視 するためには ユーザーアカウントは 管 理 者 権 限 が 必 要 となります 設 定 方 法 としては ユーザーが 利 用 している Active Directory 構 成 に 依 存 して 2 種 類 の 方 法 があります: 監 視 対 象 の 全 てのマシンが 単 一 のドメインに 参 加 している 場 合 Active Directory の 定 義 済 み Domain Admins グループにユーザーアカウントを 作 成 する 監 視 対 象 のマシンが 一 部 のサブセットであるか 複 数 のドメインがある 場 合 各 監 視 対 象 の Windows マシン 上 でローカル Administrators グループを 変 更 するために グループポリシー を 使 用 します a) Monitoring Users という 名 前 の Active Directory グループを 作 成 します そのグループに 作 成 したユーザーアカウント(nc-mon-user)を 追 加 します グローバルグループはフォレストのいくつかのドメインのリソースへの 許 可 を 設 定 するために 利 用 するため ド メインフォレスト デフォルト Active Directory グループ(グローバル)はこのグループに 対 して 十 分 な 権 限 が 必 要 です b) グループポリシーオブジェクト(GPO)を 新 しく 作 成 して 名 前 を 付 けます 例 えば Local Administrators group membership for NetCrunch です c) Monitoring Users グループメンバーシップのルール 作 成 コンピュータの 構 成 ポリシー Windows の 設 定 セキュリティ の 設 定 制 限 されたグループ ローカル Administrators グループへ Monigoring Users を 追 加 します d) Active Directory ドメイン 上 の 組 織 ユニット(OU)へ 適 用 するために Link Local Administrators group membership for NetCrunch GPO にリンクします ファイアウォールの 設 定 方 法
NETCRUNCH 7 の WINDOWS 監 視 P A G E 4 1. 新 しいグループポリシーオブジェクトを 作 成 して 名 前 を 付 けます 例 えば Windows Firewall rules for monitoring by NetCrunch です 2. 監 視 したい Windows マシンのビルトインファイアウォールタイプの 両 方 を 設 定 するた めに GPO に 2 つの 異 なるブランチを 使 用 します: a. XP と Server 2003 R2 の 場 合 コンピュータの 構 成 管 理 用 テンプレート ネットワーク ネットワーク 接 続 Windows ファイアウォール ドメイン プロフィール 以 下 を 有 効 に 設 定 : Windows ファイアウォール: 着 信 ファイルとプリンタの 共 有 の 例 外 を 許 可 する Windows ファイアウォール: 着 信 リモート 管 理 の 例 外 を 許 可 する b. Vista/7/8 と Server 2008/2008 R2/2012 の 場 合 コンピュータの 構 成 ポリシー Windows の 設 定 セキュリティの 設 定 セ キュリティが 強 化 された Windows ファイアウォール 受 信 の 規 則 に 事 前 定 義 された 規 則 から 以 下 の 規 則 を 追 加 : ファイルとプリンタの 共 有 リモート 管 理 デフォルトでは Windows 標 準 のファイアウォールは 送 信 トラフィックをブロックしません も しデフォルトから 変 更 を 加 えている 場 合 送 信 の 規 則 の 事 前 定 義 済 みリストから 同 名 のルールを 追 加 する 必 要 があります 3. Active Directory ドメイン 上 の 組 織 ユニット(OU)へ 適 用 するために Windows Firewall rules for monitoring by NetCrunch GPO にリンクします セキュリティを 強 化 する 方 法 として NetCrunch サーバーのアドレスのみ リモート 管 理 ルー ルの 許 可 アドレスに 指 定 することを 推 奨 します パフォーマンスカウンタ 監 視 の 有 効 化 1. 新 しいグループポリシーオブジェクトを 作 成 して 名 前 を 付 けます 例 えば Windows services for monitoring by NetCrunch です 2. Remote Registry サービスを 設 定 します コンピュータの 構 成 ポリシー Windows の 設 定 セキュリティの 設 定 シス テム サービス
NETCRUNCH 7 の WINDOWS 監 視 P A G E 5 Remote Registry サービスのスタートアップの 種 類 を 自 動 に 設 定 します 3. Active Directory ドメイン 上 の 組 織 ユニット(OU)へ 適 用 するために Windows services for monitoring by NetCrunch GPO にリンクします ポリシーを 更 新 した 直 後 に このサービスはコンピュータ 上 で 即 座 に スタートします 独 立 した WINDOWS サーバーの 設 定 全 てのコマンドは 管 理 者 用 コマンドプロンプトから 実 行 しなければなりません 完 全 なスクリプトは WEB サイトからダウンロード: http://www.adremsoft.com/download/setwinfornc.zip アクセス 権 限 の 設 定 以 下 のコマンドをコマンドプロンプトで 実 行 して nc-mon-user アカウントを 作 成 して ローカ ル Administrators グループに 追 加 します net user /add nc-mon-user <Password> net localgroup Administrators /add nc-mon-user ファイアウォールの 設 定 Windows Server 2003 と Server 2003 R2 の 場 合 : netsh firewall set service type=fileandprint scope=all profile=all netsh firewall set service type=remoteadmin scope=all profile=all Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 の 場 合 NetCrunch サーバーの IP アドレスにのみ 有 効 なルールを 作 成 することができます コマンドプ ロンプトで 実 行 する 場 合 は %IP%には NetCrunch サーバーの IP アドレスを 指 定 してください netsh advfirewall firewall add rule name="nc-mon" dir=in action=allow remoteip="%ip%" netsh advfirewall firewall add rule name="nc-mon" dir=out action=allow remoteip="%ip%" PERFMON 監 視 の 有 効 化
NETCRUNCH 7 の WINDOWS 監 視 P A G E 6 Remote Registry サービスのスタートアップの 種 類 を 自 動 に 設 定 して サービスを 起 動 します WMIC SERVICE where name= RemoteRegistry call ChangeStartMode StartMode=Automatic WMIC SERVICE where name= RemoteRegistry call StartService UAC リモート 制 御 を 無 効 化 Modify UAC behavior for Windows Server 2008/2008 R2, and Windows Server 2012 (http://support.microsoft.com/kb/951016) WMIC /Namespace: \\Root\Default Class StdRegProv Call SetDWORDValue hdefkey="&h80000002" ssubkeyname="software\microsoft\windows\currentversion\policies\system" svaluename="localaccounttokenfilterpolicy" uvalue=1 NETCRUNCH が 使 用 している WINDOWS テクノロジのサマリ Windows テクノロジは 多 層 構 造 を 持 っています 例 えば RPC は 名 前 付 きパイプの 上 で 動 作 し ており Remote Registry は RPC を 必 要 としていて WMI もまた 通 信 のために RPC を 使 用 して いる DCOM を 使 用 しています 全 ての 機 能 が 適 切 なファイアウォールとセキュリティ 設 定 を 必 要 とします NetCrunch で 使 用 されるテクノロジと 必 要 な 設 定 のリストを 以 下 に 記 載 します 1. RPC と 名 前 付 きパイプ (ファイル 共 有 の 有 効 化 とファイアウォールの 設 定 が 必 要 です ) 2. Remote Registry (ファイアウォール 設 定 と Remote Registry サービスの 実 行 が 必 要 です ) 3. WMI と DCOM (ファイアウォール 設 定 DCOM と WMI のセキュリティ 設 定 が 必 要 です ) 本 項 に 記 載 した 通 り 監 視 で 使 用 するユーザーがローカル Administrators グループのメンバーで ある 場 合 は 単 純 な 設 定 となります 監 視 のために 最 も 単 純 な 方 法 は 必 ずしも 安 全 ではあり ません もしセキュリティの 懸 念 点 がある 場 合 アカウントを 監 視 に 必 要 な 権 限 のみ 割 り 当 て ることができます