管理対象アプリケーションの保護構成
管理対象アプリケーションポリシー
使用するアプリケーションと Kaspersky Security Center のコンポーネント(ネットワークエージェント、Kaspersky Endpoint Security for Windows、Kaspersky Endpoint Agent など)の種別ごとにポリシーを作成することを推奨します。このポリシーは、すべての管理対象デバイス(ルート管理グループ)に適用するか、構成済みの移動ルールに従って新しい管理対象デバイスを自動的に移動させる別のグループに適用する必要があります。
保護を無効にしてアプリケーションをアンインストールするためのパスワードを指定
カスペルスキーのセキュリティ製品による保護の無効化を防止するために、パスワードによる保護を有効にして、保護の無効化およびカスペルスキーのセキュリティ製品のアンインストールの実行にはパスワードが必要となるよう設定することを強く推奨します。たとえば、Kaspersky Endpoint Security for Windows、Kaspersky Security for Windows Servers、ネットワークエージェント、その他のカスペルスキー製品でパスワードを設定できます。パスワードによる保護を有効にした後、「ロック」を閉じてこれらの設定をロックすることを推奨します。
クライアントデバイスを管理サーバーに手動で接続するためのパスワードの指定(klmover ユーティリティ)
klmover ユーティリティを使用すると、クライアントデバイスを管理サーバーに手動で接続できます。クライアントデバイスにネットワークエージェントをインストールすると、このユーティリティは自動的にネットワークエージェントのインストールフォルダーにコピーされます。
侵入者がデバイスを管理サーバーの制御外に移動するのを防ぐために、klmover ユーティリティを実行する際のパスワード保護を有効にすることを強く推奨します。パスワード保護を有効にするには、ネットワークエージェントポリシー設定で[アンインストール用パスワードを使用する]をオンにします。
klmover ユーティリティにはローカル管理者権限が必要です。ローカル管理者権限なしで操作されるデバイスの場合、klmover ユーティリティを実行するためのパスワード保護を省略できます。
[アンインストール用パスワードを使用する]をオンにすると、Kaspersky Security Center Web コンソールの削除ツール(cleaner.exe)のパスワード保護も有効になります。
Kaspersky Security Network の使用
管理対象アプリケーションのすべてのポリシーと管理サーバーのプロパティで、Kaspersky Security Network(KSN)の使用を有効にし、KSN 声明を受け入れることを推奨します。管理サーバーをアップデートまたはアップグレードすると、更新された KSN 声明を受け入れることができます。法律などによりクラウドサービスの使用が禁止されている場合は、KSN を無効にすることができます。
管理対象デバイスの定期スキャン
すべてのデバイスグループに対して、デバイスのフルスキャンを定期的に実行するタスクを作成することを推奨します。
新しいデバイスの検出
デバイスの検索を適切に設定することを推奨します:Active Directory との統合の設定、新規デバイスを検索する IP アドレス範囲の指定。
セキュリティ上の理由から、すべての新しいデバイスを含む既定の管理グループと、このグループに影響する既定のポリシーを使用することができます。
共有フォルダーの選択
既存の共有フォルダーを選択して(インストールパッケージの配置やアップデートされた定義データベースの保存などに使用される)Windows を実行しているデバイスに管理サーバーを導入する場合、Everyone グループに読み取り権限が、KLAdmins グループに書き込み権限が付与されていることを確認することを推奨します。