ネットワークエージェントのポリシー設定

すべて表示 | すべて非表示

ネットワークエージェントのポリシーを設定するには：

1. メインメニューで、［アセット（デバイス）］→［ポリシーとプロファイル］の順に移動します。
2. ネットワークエージェントポリシーの名前をクリックします。

   ネットワークエージェントポリシーのプロパティウィンドウが表示されます。プロパティウィンドウには、以下で説明するタブと設定が含まれています。

Linux および Windows ベースのデバイスでは、様々な設定が使用可能であることを考慮してください。

全般

このタブでは、ポリシー名やポリシーステータスを変更したり、継承ポリシーを設定したりすることができます：

• ［ポリシーのステータス］セクションで、次のポリシーのステータスを選択します：
  • アクティブポリシー

    このオプションをオンにすると、ポリシーがアクティブになります。

    既定では、このオプションがオンです。

  • 非アクティブポリシー

    このオプションをオンにすると、ポリシーは非アクティブになりますが［ポリシー］フォルダーに保持されます。必要に応じて、ポリシーをアクティブにすることができます。

• ［設定の継承］セクションでは、ポリシーの継承を設定できます。
  • 親ポリシーから設定を継承する

    このオプションをオンにすると、ポリシーの設定値は上位レベルグループのポリシーから継承されるため、ロックされます。

    既定では、このオプションはオンです。

  • 設定を子ポリシーへ強制的に継承させる

    このオプションをオンにすると、ポリシーの変更を適用した後に次の処理が実行されます：

    • 管理サブグループのポリシー（子ポリシー）に、ポリシーの設定値が継承されます。
    • 各子ポリシーのプロパティウィンドウの［全般］セクションにある［設定の継承］ブロックで、［親ポリシーから設定を継承する］が自動的にオンになります。

    このオプションをオンにすると、子ポリシーの設定はロックされます。

    既定では、このオプションはオフです。

イベントの設定

このタブでは、イベントの記録と通知を設定できます。イベントは、次のセクションの重要度レベルに応じて分散されます。

• 機能エラー
• 警告
• 情報

それぞれのセクションのリストには、イベントの種別と、管理サーバーでイベントが保存される既定の期間が表示されます。イベント種別をクリックすると、リストで選択したイベントについてのイベントログとイベント通知を設定できます。既定では、すべてのイベント種別で、管理サーバー全体を対象に指定された共通の通知設定が使用されます。しかしながら、目的のイベント種別の特定の設定を変更できます。

たとえば、［警告］セクションでは、［セキュリティ問題が発生しました］イベント種別の設定を編集できます。このようなイベントは、たとえばディストリビューションポイントのディスク空き容量が 2 GB 未満の場合などに発生します（アプリケーションのインストール、アップデートのダウンロードをリモートで実行するには、少なくとも 4 GB が必要となります）。［セキュリティ問題が発生しました］イベントをクリックし、発生したイベントを保存する場所とその通知方法を指定します。

ネットワークエージェントがセキュリティ問題を検知した場合は、管理対象デバイスの設定を使用してこの問題を管理できます。

アプリケーション設定

設定

［設定］セクションでは、ネットワークエージェントのポリシーを設定できます。

• ディストリビューションポイント経由でのみファイルを配信する

  このオプションをオンにすると、管理対象デバイスのネットワークエージェントはディストリビューションポイントからのみアップデートを取得します。

  このオプションをオフにすると、管理対象デバイス上のネットワークエージェント ディストリビューションポイントまたは管理サーバーからアップデートを取得します。

  管理対象デバイスのセキュリティ製品は、各セキュリティ製品のアップデートタスクで設定されたアップデート元からアップデートを取得することに注意してください。［ディストリビューションポイント経由でのみファイルを配信する］を有効にする場合、Kaspersky Security Center Linux がアップデートタスクのアップデート元に設定されていることを確認してください。

  既定では、このオプションはオフです。

• イベントキュー最大サイズを MB で指定

  このフィールドでは、イベントキューが使用できるドライブの最大サイズを指定できます。

  既定値は 2 メガバイト（MB）です。

• アプリケーションがポリシーの拡張データをデバイスから取得可能である

  管理対象デバイスにインストールされたネットワークエージェントは、適用されたセキュリティ製品のポリシーに関する情報をセキュリティ製品（たとえば、Kaspersky Endpoint Security for Linux）に転送します。転送された情報は、セキュリティ製品のインターフェイスで表示できます。

  ネットワークエージェントは次の情報を転送します：

  • 管理対象デバイスへのポリシー導入の時間
  • 管理対象デバイスへポリシー導入の時点でのアクティブポリシーまたはモバイルユーザーポリシーの名前
  • 管理対象デバイスへポリシー導入の時点で管理対象デバイスが含まれていた管理グループの名前とフルパス
  • アクティブポリシーのプロファイルのリスト

    情報を使用して、デバイスに正しいポリシーが適用されていることを確認し、トラブルシューティングを行うことができます。既定では、このオプションはオフです。

• ネットワークエージェントを不正な削除・停止から保護し、設定の変更を防止する

  このオプションをオンにすると、管理対象デバイスにネットワークエージェントのインストールされた後、必要な権限がない場合はコンポーネントの削除や再設定が行えなくなります。また、ネットワークエージェントサービスを停止できなくなります。このオプションはドメインコントローラーに影響しません。

  ローカル管理者権限で操作されているワークステーション上のネットワークエージェントを保護するには、このオプションをオンにします。

  既定では、このオプションはオフです。

• アンインストール用パスワードを使用する

  このオプションをオンにすると、［変更］をクリックして、klmover ユーティリティおよびネットワークエージェントのリモートアンインストール時に使用するパスワードを指定できます。

  既定では、このオプションはオフです。

リポジトリ

［リポジトリ］セクションでは、情報ネットワークエージェントから管理サーバーに詳細が送信されるオブジェクトの種別を選択できます。このセクションの設定の一部を変更することがネットワークエージェントのポリシーで禁止されている場合、それらの設定を変更することはできません。

• インストール済みアプリケーションの詳細

  このオプションをオンにすると、クライアントデバイスにインストールされたアプリケーションに関する情報が管理サーバーに送信されます。

  既定では、このオプションはオンです。

• ハードウェアレジストリの詳細

  デバイスにインストールされたネットワークエージェントから、そのデバイスのハードウェアに関する情報が管理サーバーに送信されます。ハードウェアの詳細は、デバイスのプロパティで確認できます。

  ハードウェアの詳細を取得する Linux デバイスに lshw ユーティリティがインストールされていることを確認してください。使用されているハイパーバイザーによっては、仮想マシンから取得されたハードウェアの詳細が不完全である場合があります。

接続

［接続］セクションには 3 つのサブセクションが含まれます：

• ネットワーク
• 接続プロファイル
• 接続スケジュール

［ネットワーク］サブセクションでは、管理サーバーからクライアントコンピューターへの接続を設定したり、UDP ポートの使用を有効化したり、UDP ポート番号を定義したりできます。

• ［管理サーバーに接続］セクションでは、管理サーバーへの接続を設定し、クライアントデバイスと管理サーバーを同期する間隔を指定できます：
  • 同期間隔（分）

    ネットワークエージェントによって管理対象デバイスと管理サーバーが同期します。同期間隔（「ハートビート」とも表記）を管理対象 10,000 台につき 15 分に設定することを推奨します。

    同期間隔が 15 分以下に設定された場合、同期は 15 分ごとに実行されます。同期間隔が 15 分以上に設定されている場合は、指定された間隔で同期が実行されます。

  • ネットワークトラフィックを圧縮する

    このオプションをオンにすると、送信される情報量が減ることでネットワークエージェントによるデータ送信速度が向上し、これにより管理サーバーの負荷が軽減されます。

    クライアントコンピューターの CPU の負荷は増加する可能性があります。

    既定では、このチェックボックスはオンです。

  • Microsoft Windows ファイアウォールにネットワークエージェントのポートを開ける

    このオプションをオンにすると、ネットワークエージェントの動作に必要な UDP ポートが Microsoft Windows ファイアウォールの除外リストに追加されます。

    既定では、このオプションはオンです。

  • SSL 接続を使用

    このオプションをオンにすると、SSL を使用してセキュアなポート経由で管理サーバーへの接続が確立されます。

    既定では、このオプションはオンです。

  • 既定の接続設定でディストリビューションポイントの接続ゲートウェイを使用する（使用可能な場合）

    このオプションをオンにすると、ディストリビューションポイントの接続ゲートウェイが、管理グループのプロパティで指定された設定で使用されます。

    既定では、このオプションはオンです。

• UDP ポートを使用

  UDP ポートを経由して KSN プロキシサーバーと管理対象デバイスを接続する場合は、［UDP ポートを使用］をオンにして、［UDP ポート］でポート番号を指定します。既定では、このオプションはオンです。KSN プロキシサーバーに接続する既定の UDP ポートは 15111 です。

• UDP ポート番号

  このフィールドに、UDP ポート番号を入力できます。既定のポート番号は 15000 です。

  レコードには 10 進法が使用されます。

［接続プロファイル］サブセクションで、ネットワークロケーションを設定したり、管理サーバーが使用できない際のモバイルユーザーモードを有効にしたりできます。［接続プロファイル］セクションの設定は、Windows を実行しているデバイスでのみ使用できます：

• ネットワークロケーションの設定

  ネットワークロケーションの設定では、クライアントデバイスが接続するネットワークの特性を定義し、ネットワークの特性が変更された時にネットワークエージェントが管理サーバーの接続プロファイルを切り替えるためのルールを指定します。

• 管理サーバー接続プロファイル

  接続プロファイルは、Windows を実行しているデバイスでのみサポートされます。

  ネットワークエージェントから管理サーバーへの接続のプロファイルを表示して追加することができます。次のイベントの発生時、ネットワークエージェントから別の管理サーバーに切り替えるルールを作成することもできます：

  • クライアントデバイスが別のローカルネットワークに接続した場合
  • デバイスから組織のローカルネットワークへの接続が切断した場合
  • 接続ゲートウェイアドレスまたは DNS サーバーアドレスが変更された場合
• 管理サーバーが使用できない時にモバイルユーザーモードを有効にする

  このオプションをオンにすると、このプロファイルで接続しているクライアントデバイスにインストールされているアプリケーションは、モバイルユーザーモードおよびモバイルユーザーポリシーを使用します。モバイルユーザーポリシーがアプリケーションに対して定義されていない場合は、アクティブポリシーが使用されます。

  このオプションを無効にすると、アプリケーションはアクティブポリシーを使用します。

  既定では、このオプションはオフです。

［接続スケジュール］サブセクションでは、ネットワークエージェントから管理サーバーにデータを送信する時間間隔を指定できます。

• 要求時に接続

  このオプションをオンにすると、ネットワークエージェントが管理サーバーへのデータ送信を要求された時に、接続が確立されます。

  既定では、このオプションがオンです。

• 指定の時間間隔で接続

  このオプションをオンにすると、ネットワークエージェントは指定した時間に管理サーバーへ接続します。複数の接続時間帯を追加できます。

ディストリビューションポイント別のネットワークポーリング

［ディストリビューションポイント別のネットワークポーリング］セクションでは、ネットワークの自動ポーリングを設定できます。次のオプションを使用してポーリングを有効にしたり、頻度を設定できます：

• Zeroconf

  このオプションをオンにすると、ディストリビューションポイントは自動的にゼロコンフィギュレーションネットワーキング（「Zeroconf」とも表記）を使用して IPv6 ネットワークを検索します。この場合、ディストリビューションポイントはネットワーク全体を検索するため、有効な IP 範囲の検索は無視されます。

  Zeroconf の使用を開始するには、次の条件が満たされている必要があります：

  • ディストリビューションポイントが Linux を実行している必要があります。
  • ディストリビューションポイントで avahi-browse ユーティリティをインストールする必要があります。

  このオプションをオフにすると、ディストリビューションポイントは IPv6 デバイスを持つネットワークを検索しません。

  既定では、このオプションはオフです。

• IP アドレス範囲

  このオプションをオンにすると、［ポーリングのスケジュールを設定する］をクリックして設定したスケジュールに従って、ディストリビューションポイントによって IP アドレス範囲が自動的にポーリングされます。

  このオプションをオフにすると、ディストリビューションポイントは IP アドレス範囲をポーリングしません。

  ネットワークエージェントのバージョンが 10.2 より前の場合、IP アドレス範囲のポーリング頻度は、［ポーリング間隔（分）］で設定できます。このフィールドは、オプションをオンにすると使用可能になります。

  既定では、このオプションはオフです。

• ドメインコントローラー

  このオプションをオンにすると、［ポーリングのスケジュールを設定する］をクリックして設定したスケジュールに従って、ディストリビューションポイントによって Active Directory が自動的にポーリングされます。

  このオプションをオフにすると、ディストリビューションポイントはドメインコントローラーをポーリングしません。

  10.2 より前のバージョンのネットワークエージェントドメインコントローラーのポーリング頻度は、［ポーリング間隔（分）］で設定できます。このフィールドは、このオプションをオンにすると使用可能になります。

  既定では、このオプションはオフです。

ディストリビューションポイントのネットワーク設定

［ディストリビューションポイントのネットワーク設定］セクションで、インターネットアクセス設定を指定できます：

• プロキシサーバーを使用する
• アドレス
• ポート番号
• ローカルアドレスにプロキシサーバーを使用しない

  このオプションをオンにすると、ローカルネットワークのデバイスへの接続にプロキシサーバーが使用されません。

  既定では、このオプションはオフです。

• プロキシサーバー認証

  このチェックボックスをオンにすると、入力フィールドでプロキシサーバーの資格情報を指定できます。

  既定では、このチェックボックスはオフです。

• ユーザー名
• パスワード

KSN プロキシ（ディストリビューションポイント）

［KSN プロキシ（ディストリビューションポイント）］セクションでは、ディストリビューションポイントを使用して管理対象デバイスからの Kaspersky Security Network（KSN）リクエストを転送するようにアプリケーションを設定できます：

• ディストリビューションポイントで KSN プロキシを有効にする

  ディストリビューションポイントとして使用しているデバイス上で KSN プロキシサービスが実行されます。この機能を使用することで、ネットワーク上でトラフィックを分配しなおし、最適化できます。

  ディストリビューションポイントは、Kaspersky Security Network に関する声明に記載されている KSN の統計情報をカスペルスキーに送信します。

  既定では、このオプションはオフです。管理サーバーのプロパティウィンドウで、［管理サーバーをプロキシサーバーとして使用する］と［Kaspersky Security Network への参加に同意する］がオンになっている場合にのみ使用できます。

  アクティブ / パッシブモードのクラスターのノードをディストリビューションポイントに割り当て、ノード上で KSN プロキシサーバーを有効にできます。

• KSN リクエストを管理サーバーに転送する

  ディストリビューションポイントは管理対象デバイスからの KSN リクエストを管理サーバーに転送します。

  既定では、このオプションはオンです。

• インターネット経由で直接 KSN クラウド / KPSN にアクセスする

  ディストリビューションポイントは管理対象デバイスからの KSN リクエストを KSN クラウドまたは KPSN に転送します。ディストリビューションポイント自体で生成された KSN リクエストも、KSN クラウドまたは KPSN に直接送信されます。

• ポート

  管理対象デバイスが KSN プロキシサーバーへの接続に使用する TCP ポートの番号。既定のポート番号は 13111 です。

• UDP ポート

  UDP ポートを経由して KSN プロキシサーバーと管理対象デバイスを接続する場合は、［UDP ポートを使用］をオンにして、［UDP ポート］でポート番号を指定します。既定では、このオプションはオンです。KSN プロキシサーバーに接続する既定の UDP ポートは 15111 です。

アップデート（ディストリビューションポイント）

［アップデート（ディストリビューションポイント）］セクションでは、差分ファイルのダウンロード機能を有効にすることができます。そのため、ディストリビューションポイントはカスペルスキーのアップデートサーバーから差分ファイルの形式でアップデートを取得します。

再起動の設定

［再起動の設定］セクションでは、アプリケーションの正しい使用、インストール、またはアンインストールのために管理対象デバイスのオペレーティングシステムの再起動が必要な場合に行う動作を指定できます。［再起動の設定］セクションの設定は、Windows を実行しているデバイスでのみ使用できます：

• OS を再起動しない

  操作後に、クライアントデバイスは自動的には再起動されません。操作を完了するには、デバイスを再起動する必要があります（手動で、またはデバイスの管理タスクを使用して）。必要な再起動についての情報は、タスク履歴とデバイスのステータスに保存されます。このオプションは、継続的な稼働が不可欠なサーバーなどのデバイスで実行するタスクに適切です。

• 必要に応じて自動的に OS を再起動する

  インストールの完了に再起動が必要な場合は常に、クライアントデバイスは自動的に再起動されます。このオプションは、定期的に稼働が一時停止（シャットダウンまたは再起動）するデバイスのタスクに有用です。

• ユーザーに処理を確認する

  手動で再起動を要求する再起動リマインダーがクライアントデバイスの画面に表示されます。このオプションで、いくつかの詳細設定を定義可能です：ユーザーに表示されるメッセージテキスト、メッセージの表示頻度、（ユーザーの確認なしに）再起動が強制実行されるまでの時間。このオプションは、ユーザーにとって最も好都合な時間を指定して再起動できることが要求されるワークステーションに最適です。

  既定では、このオプションがオンです。

  • 通知の繰り返し間隔（分）

    このオプションをオンにすると、オペレーティングシステムを再起動するように、ユーザーへのメッセージが指定された頻度で表示されます。

    既定では、このオプションはオンです。既定の間隔は 5 分です。1 分から 1,440 分までの値を指定できます。

    このオプションをオフにすると、確認メッセージは 1 回だけ表示されます。

  • 次の時間経過後に強制的に再起動する（分）

    ユーザーへの確認メッセージを表示した後で、指定した時間が経過すると、強制的にオペレーティングシステムが再起動します。

    既定では、このオプションはオンです。既定の間隔は 30 分です。1 分から 1,440 分までの値を指定できます。

  • セッションがブロックされたアプリケーションを強制終了する

    アプリケーションを実行すると、クライアントデバイスの再起動が妨げられる場合があります。たとえば、ドキュメント作成アプリケーションでドキュメントを編集しており、その内容が保存されていない場合、アプリケーションはデバイスの再起動を許可しません。

    このオプションをオンにすると、ブロックされたデバイス上のアプリケーションが、再起動の前に強制的に閉じられます。これにより、保存していなかった作業内容が失われる場合があります。

    このオプションをオフにすると、ブロックされたデバイスは再起動されません。このデバイス上のタスクのステータスでは、デバイスの再起動が必要であることが表示されます。ブロックされたデバイスでは、実行中のアプリケーションすべてをユーザーが手動で終了し、デバイスを再起動する必要があります。

    既定では、このオプションはオフです。