Kaspersky Administration Kit 6.0 MP1/MP2

	関連項目
	管理サーバのクライアント (クライアント PC) とは

管理グループは、管理サーバが管理するクライアント PC の集合体で、各グループには固有の名前が付けられます。グループ内のすべてのクライアント PC には:

• グループ内にインストールされている各アプリケーションに対して、アンチウイルス保護のポリシーを作成して適用できます
• 一連のパラメータを指定してグループタスク (アプリケーション機能) を作成して実行できます。また、グループ内で共通のインストールパッケージの作成およびインストール、さらに定義データベースとアプリケーションモジュールの更新が可能です。オンデマンドスキャンおよびリアルタイム保護を実行できます

管理者は任意の深度でグループの階層を作成し、製品の管理を簡素化できます。また、管理グループ、管理サーバ、クライアント PC を任意のグループに割り当てることができます。

注意! 1 台のクライアント PC およびスレーブサーバを同時に複数のグループに所属させることはできません

管理グループの作成後は、グループ名を変更できます。グループを他のグループ下に割り当てたり、削除することもできます:

• グループに子グループ/ネストされた (階層化された) グループやクライアント PC が含まれていない場合は、そのグループを論理ネットワークから削除できます

グループを削除するには、そのグループのショートカットメニュー (グループを選択して右クリック) から [削除] を選択します。

• グループは、すべてのネストされた (階層化された) グループ、スレーブ管理サーバ、クライアント PC、グループポリシーおよびタスクと共に移動されます。論理ネットワークの階層における新しい状況と対応する設定がすべて、このグループに適用されます

グループを移動するには、ショートカットメニューの [切り取り/ 貼り付け] コマンドを使用するか、あるいはマウスでドラッグします。

グループを移動する場合は、1 階層内のグループそれぞれに固有の名前が必要である点に注意してください。名前の競合を回避するには、移動前にグループの名前を変更してください。変更しなかった場合は、名前の最後に「_1」「_2」などが自動で追加されます。

• グループ名は、グループのプロパティウィンドウ (グループのショートカットメニューの [プロパティ] を選択) の [全般] タブ上で変更できます

[グループ] グループは、名前を変更できません。

全般

コンピュータ

コンピュータステータス

セキュリティ

更新エージェント

各タブ上では、以下の情報を確認できます:

[全般] タブ

• 親グループの名前 (上位階層のグループの場合、このフィールドには「グループ」と表示されます)
• グループ構造に関する統計情報 – ネストされたグループの数、ネストされたグループ内のクライアントも含めたクライアント PC の合計数など
• グループの作成日
• グループの名前または属性が最後に変更された日付 (グループの名前および属性が変更されていない場合は、「<不明>」と表示されます)
• [ウイルスカウンタをリセット] ボタンをクリックすると、グループ内のすべてのクライアント PC に関するウイルス検知カウンタをリセットします

タブの一覧に戻る

[コンピュータ] タブ：

• [グループ内の新規コンピュータ] セクションには、グループに追加されたクライアント PC へ自動的にインストール可能なカスペルスキー製品が表示されます。アプリケーション名の横にあるボックスがオンになっていると、そのアプリケーションはグループ内のクライアント PC に自動的にインストールされます

これらのボックスをオンにすると、「自動インストール - パッケージ：<選択されたインストールパッケージの名前> 」という名前のグループ導入タスクが [グループタスク] フォルダ内に作成されます。このタスクはグループに追加されたすべてのコンピュータに対して実行されます。タスクを削除するには、グループのプロパティ内の対応するチェックボックスをオフにします。このタスクは移動またはコピーできません。

注意! Microsoft Windows 98/ME が動作する新規コンピュータにカスペルスキー製品を自動的にインストールするには、それらコンピュータに管理エージェントがインストールされている必要があります。

[ネットワーク] グループの [プロパティ] ウィンドウ内の [ネットワーク内の新規コンピュータ] セクションには、 [新規コンピュータをグループに登録する] チェックボックスがあります。このチェックボックスがオンになっていると、Windows ネットワーク内で検出されたすべての新規コンピュータが、ボックスの下のフィールドで指定した論理ネットワークグループに自動的に追加されます。

• [ネットワーク内のクライアントPC 動作] セクションでは、Windows ネットワーク内のクライアント PC が指定した期間、非アクティブ状態が継続した場合に管理サーバがとるアクションを指定できます:
• コンピュータが次の期間を超えて使用されていない場合は管理者に通知する (日単位)
• コンピュータが次の期間を超えて使用されていない場合はグループから削除する (日単位)

管理グループから削除されたコンピュータは、 [ネットワーク] グループに移動されます。

• Active Directory グループ、ドメインまたは IP サブネットワークから指定した管理グループへコンピュータを自動的に移動するには、 [ドメイン、Active Directory グループまたは IP サブネットからコンピュータを移動する] パラメータを使用します。このパラメータをオンにすると、指定したドメイン、Active Directory グループ、または IP サブネットワーク内に新しいコンピュータが検出された場合、これを自動的に管理グループへ移動させます。ネットワークスキャンのタイミングで (デフォルト 60 分) 、コンピュータは管理グループに移動されます。

移動元となるユニット (ドメイン、Active Directory グループまたは IP サブネット) を指定する場合は、必ずコンピュータが含まれているユニットを選択してください。指定したユニットのサブグループ内のコンピュータは移動できません。また、一度管理グループに移動されたコンピュータは、 [ドメイン、Active Directory グループまたは IP サブネットからコンピュータを移動する] のチェックが外されるまで、他のグループに移動することはできないので注意が必要です。

タブの一覧に戻る

[コンピュータステータス] タブ

いずれかの管理グループに追加された各コンピュータには、論理ネットワーク内でのステータス (OK、緊急、警告) が割り当てられます。コンピュータのステータスにより、コンピュータ名の隣に表示されるアイコンの色が変化します。また、色だけではなく明るさにも変化が生じます。

コンピュータアイコンの各色が表す状態は以下のとおりです：

• - OK/可視
• - 警告
• - 緊急

[コンピュータステータス] タブでは、コンピュータが「警告」または「緊急」のステータスであると判断される基準を設定します。

ネストされた (階層化された) グループでは、 [継承する] ボックスはデフォルトでオンになっています。これは、ステータスの判断基準は親グループから継承されることを意味します。管理者は、各状態のチェックボックスをオン/ オフにし、そのパラメータ値を調整してステータスの判断基準をカスタマイズできます。

パラメータの設定または変更を行うには、 [継承する] ボックスのチェックを外し、変更対象の状態を選択したら、ショートカットメニュー (右クリックで表示) の [変更] を選択します。表示されたウィンドウ内でパラメータ値を変更します。

ここからは、「警告」および「緊急」の状態であると判断する基準を確認していきます。いくつかの基準はデフォルトで選択されています:

「緊急」状態:

• アンチウイルスアプリケーションがインストールされていません – デフォルトで有効になっています

• 多くのウイルスが検出されました – クライアント PC 上で検知されたウイルスの数。この数を超えると、コンピュータステータスが「緊急」に変更されます。値の範囲は 0 ～ 32767 です。ウイルスの数は、管理サーバが記録したイベントの数に基づいてカウントされます。サーバのデータベースにイベントを保存する設定は、アプリケーションのポリシーウィンドウの [イベント] タブ上で行います

• リアルタイム保護レベルが管理者が設定したレベルと一致しません – この条件はコンピュータに設定したリアルタイム保護レベルが「実行中」ではない場合に有効になります

注意! この条件は、ユーザがリアルタイム保護の設定を変更する権限がある場合 (つまり、リアルタイム保護設定がロックされておらず、変更が可能である場合) にかぎり、「緊急」または「警告」ステータスの判断基準として使用してください。

Kaspersky Anti-Virus for Windows Workstation/Server のバージョンが異なると、リアルタイム保護のステータスも異なるので注意してください。このため [リアルタイム保護レベルが管理者が設定したレベルと一致しません] パラメータを選択するときは、リアルタイム保護のステータスのリストを考慮して選択してください。

例 1:Kaspersky Anti-Virus for Windows Server 6.0 がインストールされているコンピュータがグループに追加されました。管理者は、すべてのリアルタイム保護コンポーネントのポリシーに「推奨」レベルを設定し、ユーザがリアルタイム保護の設定を変更した場合に、コンピュータステータスが「緊急」に変更されるように希望しています。

コンピュータが追加されたグループを右クリックして [プロパティ] を選択します。表示されたウィンドウの [コンピュータステータス] タブで [リアルタイム保護レベルが管理者が設定したレベルと一致しません] にチェックを入れ、値を「実行中(推奨レベル)」に変更します。

例 2: Kaspersky Anti-Virus for Windows Workstation 6.0 がインストールされているコンピュータがグループに追加されました。管理者は、ユーザがすべてのリアルタイムコンポーネントを一時停止/ 停止した場合に、コンピュータステータスが「緊急」に変更されるように希望しています。

コンピュータが追加されたグループを右クリックして [プロパティ] を選択します。表示されたウィンドウの [コンピュータステータス] タブで [リアルタイム保護レベルが管理者が設定したレベルと一致しません] にチェックを入れ、値を「実行中」に変更します。

• コンピュータのスキャンが長期間実行されていません – デフォルトで有効になっており、値は 14 日に設定されています。値は 1 ～ 32767 (日) の範囲で指定できます

「完全スキャン」を行うには、スキャン対象オブジェクトリストに「マイコンピュータ」が含まれている必要があるので注意が必要です。スキャンの対象としてすべてのディスクを選択しても、 [マイコンピュータ] チェックボックスが選択されていない場合は、「完全スキャン」と認識されません。

アンチウイルスアプリケーションのバージョン 6.0 では、完全スキャンにはシステムメモリ、スタートアップオブジェクト、システムリストア、メールボックス、すべてのハードディスク、すべてのリームバブルドライブ、すべてのネットワークドライブが含まれます。

• 長期間定義データベースが更新されていません – デフォルトで有効になっており、値は 14 日に設定されています。値は 1 ～ 32767 (日) の範囲で指定できます

• ホストは長期間管理サーバに接続していません–デフォルトで有効になっており、値は 14 日に設定されています。値は 1 ～ 32767 (日) の範囲から指定

• ホストは制御不能です – デフォルトで有効になっています。クライアント PC は管理エージェントに接続にできませんが、ping コマンドには応答しています。このメッセージは、管理エージェントがリモートコンピュータ上から削除されたことを示す場合もあります

• リアルタイム保護が無効です (デフォルトでは有効) – すべてのリアルタイム保護コンポーネントが停止中

• アンチウイルスアプリケーションが実行していません–デフォルトで有効になっています

「警告」状態:

• アンチウイルスアプリケーションがインストールされていません– デフォルトで有効になっています
• 多くのウイルスが検出されました– 前述の説明を参照してください
• リアルタイム保護レベルが管理者が設定したレベルと一致しません– 前述の説明を参照してください
• コンピュータのスキャンが長時間実行されていません– デフォルトで有効になっており、値は 7 日に設定されています
• 長時間定義データベースが更新されていません – デフォルトで有効になっており、値は 7 日に設定されています
• ホストは長時間 管理サーバに接続していません– デフォルトで有効になっており、値は 7 日に設定されています

アイコンの色は、一定の間隔 (デフォルト設定は 15 分) を置いて、クライアント PC と管理サーバとのデータ同期の試みが 3 回行われた後、はじめて変化します。クライアントとサーバ間の強制同期を行って、直ちにステータスを反映させるには、クライアント PC を選択後、右クリックし、ショートカットメニューから [同期] コマンドを実行し、 [F5] キーを押してコンソール上での結果を更新します。

「緊急」と「警告」ステータスのパラメータは、それぞれ独立して設定します。ただし、「緊急」の条件のほうが優先されます。つまり、あるクライアントコンピュータの「緊急」と「警告」の両方のステータスに対して、同じ内容の条件を指定した場合、その条件に合致した状況が発生したとき、そのコンピュータには「緊急」のステータスが付与されます。また、「警告」と「緊急」に異なる条件値を指定したい場合は、「緊急」ステータスのほうに大きい値を設定してください。

たとえば、「緊急」ステータスに条件 [長時間定義データベースが更新されていません] を選択し、その値に 1 (日) を指定します。一方「警告」ステータスの同じパラメータにデフォルトの値である 7 (日) が指定されているとします。このコンピュータに一旦「緊急」ステータスが付与されると、それから 5 日間定義データベースが更新されなくても「警告」ステータスが付与されることはありません。

コンピュータアイコンの明るさは、コンピュータが管理サーバに接続しているか否かを表しています。アイコンが暗い場合、指定した期間エージェントからサーバに接続が行われなかったことを示しています。この期間のデフォルト値は 60 分です。この値は、管理サーバのプロパティの [設定] タブにある [ネットワーク上のホスト可視性] フィールドの [ホスト可視性のタイムアウト(分)] で変更できます。

注意! コンピュータの電源が切れると、 [ホスト可視性のタイムアウト (分)] フィールドで設定した値とは関係なく、直ちにアイコンの色が暗く表示されます。

タブの一覧に戻る

[セキュリティ] タブ

このタブでは、企業ネットワーク内のユーザにグループを管理する権限を付与します。

[継承する] パラメータは、ネストされた (階層化された) グループについてはデフォルトでオンになっています。つまり、親グループから権限を継承する設定になっています。このチェックボックスがオフになっていると、親グループの権限とは関係なく、管理者はアカウントの追加/ 削除、アカウントの権限の変更などを行うことができます。

注意! KLAdmins (ローカル、ドメイン) グループの権限は変更できません。

タブの一覧に戻る

[更新エージェント] タブ

更新エージェントとは、更新およびインストールパッケージを保存し、グループ内に配布を行う管理グループ内のコンピュータです。更新エージェントは、データベースおよびパッケージの中間ストレージの役割を担います。

これらのデータは、ネットワークエージェントがインストールされている、グループ内のクライアント PC に配布されます。

更新エージェントは以下のデータを受け取ります:

• 管理サーバに登録された定義データベース– 管理サーバに配布された直後に自動的に管理サーバから受け取ります。グループ内で必要とされる更新だけがダウンロードされます

• インストールパッケージ–パッケージの製品導入タスクが開始された直後に取得します。更新エージェントは、タスクがグループ内の最低 1 台のコンピュータに設定されている場合にかぎり、パッケージを受け取ります

管理サーバから受信したデータは、ネットワークエージェントのセットアップフォルダ内 ($FTTmp サブフォルダ) に格納されます。

更新およびインストールパッケージを格納するフォルダの場所は変更できません。またそのサイズに制限を設けることはできません。

管理サーバが更新元として設定されているデータベース更新タスクが実行されると、データベースはクライアント PC に配布されます。 [マルチキャストを使用する] オプションが有効化されていれば、インストールパッケージは自動的にクライアント PC に配布されます。

クライアント PC が、更新エージェントのストレージ内に新しいデータベースやインストールパッケージを見つけられなかった場合、クライアント PC は管理サーバのストレージを直接確認に行きます。

更新エージェントのリストの作成は、管理グループ上で右クリックし、 [プロパティ] ウィンドウ の [更新エージェント] タブを開いて行います。エージェントが追加されたら、グループ内のほかのクライアント PC との接続用パラメータを設定します：

 

• 更新エージェントとの接続のためにクライアント PC が使用するポートの番号を指定します。デフォルトでは 14000 と 13000 (プロトコルを使った安全な接続用) が指定されています

管理サーバが動作するホストが更新エージェントとして指定された場合は、ポート 14001 と 13001 がデフォルトで使用されます。

• グループ内のクライアント PC に対してインストールパッケージとデータベースの自動配布を行うには、マルチキャストを有効化します。そのためには [マルチキャストを使用する] ボックスをオンにして、パラメータ (マルチキャスト IP アドレスおよび IP マルチキャストポート番号) を入力します。デフォルトではこのオプションは無効化されています

マルチキャストが有効化されていれば、インストールの設定が行われていないコンピュータを含むすべてのコンピュータにインストールパッケージが送信されます。 [マルチキャストを使用する] ボックスをオフにすると、アプリケーションのインストールの前に、ネットワークエージェントは更新エージェントのストレージからインストールパッケージを取得しようと試みます。

新規のインストールパッケージはグループ内に一度マルチキャスト送信されます。マルチキャストの実行中にクライアント PC が企業の論理ネットワークから切断されると、インストールタスクが起動される際に、ネットワークエージェントは更新エージェントから必要なインストールパッケージを自動的にダウンロードします。

タブの一覧に戻る