管理サーバーの導入
管理サーバーアーキテクチャ
一般に、集中管理アーキテクチャの選択は、保護対象となるデバイスの場所、隣接するネットワークからのアクセス、データベースのアップデート配信方式などによって異なります。
アーキテクチャ開発の初期段階で、Kaspersky Security Center のコンポーネントとそれらの相互の対話、およびデータトラフィックとポートの使用に関する方式についてよく理解することを推奨します。
この情報をもとに、次の項目を指定するアーキテクチャを形成することができます:
- 管理サーバーの場所およびネットワーク接続
- 管理者のワークスペースの構成、および管理サーバーへの接続方法
- ネットワークエージェントと保護ソフトウェアの導入方法
- ディストリビューションポイントの使用
- 仮想管理サーバーの使用
- 管理サーバーの階層の使用
- 定義データベースのアップデート方式
- その他の情報の流れ
管理サーバーインストール用のデバイスの選択
組織インフラストラクチャ内の専用サーバーに管理サーバーをインストールすることを推奨します。サーバーに他のサードパーティ製ソフトウェアがインストールされていない場合は、サードパーティ製ソフトウェアの要件に依存せずに、Kaspersky Security Center の要件に基づいてセキュリティ設定を構成することができます。
管理サーバーは、物理サーバーまたは仮想サーバーに導入することができます。選択されたデバイスがハードウェアおよびソフトウェアの要件を満たしていることをご確認ください。
管理サーバーの位置
管理サーバーで管理されているデバイスは、以下のように配置することができます:
ローカルエリアネットワーク(LAN)上
インターネット上
非武装地帯(DMZ)内
同時に、管理サーバーは、産業用、企業用、DMZ 用など、異なるセグメントに配置することも可能です。
Kaspersky Security Center を使用して隔離されたネットワークセグメントの保護を管理する場合は、管理サーバーを非武装地帯(DMZ)のセグメントに導入することを推奨します。これにより、完全な管理機能とアップデートの配信を維持しながら、適切なネットワークセグメンテーションを編成し、保護されたセグメントへのトラフィックフローを最小限に抑えることができます。
管理サーバーをドメインコントローラー、ターミナルサーバー、またはユーザーデバイスに導入する際の制限
管理サーバーをドメインコントローラー、ターミナルサーバー、またはユーザーデバイスにインストールしないことを強く推奨します。
ネットワークキーノードの機能を分離することを推奨します。この方法により、ノードに障害が発生したり侵害されたりした場合でも、異なるシステムの運用性を維持することができます。同時に、ノードごとに異なるセキュリティポリシーを作成することができます。
たとえば、通常、ドメインコントローラーに適用されるセキュリティ制限は、管理サーバーのパフォーマンスを大幅に低下させ、管理サーバーの一部の機能を使用できなくする可能性があります。侵入者がドメインコントローラーへの特権アクセスを取得した場合、Active Directory ドメインサービス(AD DS)データベースが変更、破損、または破壊される可能性があります。また、Active Directory で管理されているすべてのシステムおよびアカウントが危険にさらされる可能性があります。
管理サーバーをインストールして実行するためのアカウント
ドメインアカウントを使用して管理サーバーデータベースにアクセスすることを避けるために、ローカル管理者アカウントで管理サーバーのインストールを実行することを推奨します。必要なアカウントとそのアカウントの権限は、選択した DBMS の種類、DBMS の場所、管理サーバーデータベースの作成方法によって異なります。
Kaspersky Security Center のインストール時に、KLAdmins グループおよび KLOperators グループが自動的に作成されます。これらのグループには、管理サーバーに接続し、管理サーバーオブジェクトを処理するための権限が与えられます。
Kaspersky Security Center のインストール時に使用されるアカウントの種類に応じて、以下のように KLAdmins グループと KLOperators グループが作成されます:
- ドメイン内に含まれるユーザーアカウントを使用してインストールする場合、グループは管理サーバーデバイス上と管理サーバーを含むドメイン内に作成されます。
- システムアカウントでインストールする場合、グループは管理サーバーデバイス上のみに作成されます。
ドメイン内に KLAdmins および KLOperators グループを作成し、結果として管理サーバーを管理する権限を管理サーバーデバイス外のアカウントに与えることを避けるため、ローカルアカウントで Kaspersky Security Center をインストールすることを推奨します。
管理サーバーのインストール中、サービスとして管理サーバーを開始する場合に使用するアカウントを選択します。既定では、KL-AK-* という名前のローカルアカウントが作成され、このアカウントで管理サーバーサービス(klserver サービス)が実行されます。
必要に応じて、選択したアカウントで管理サーバーサービスを実行することができます。このアカウントには、DBMS にアクセスするために必要な権限が付与されている必要があります。セキュリティ上の理由から、管理サーバーサービスの実行には、非特権アカウントを使用してください。
誤ったアカウント設定の使用を避けるために、アカウントを自動的に生成することを推奨します。
ドメインから管理サーバーを除外する
管理サーバーを使用して重要度の高いシステムのデバイスグループを保護する場合、ドメインに管理サーバーデバイスを含めることは推奨しません(使用されている場合)。これにより、Kaspersky Security Center の管理権限を差別化し、ドメインアカウントが侵害された場合に管理サーバーへのアクセスを防止することができます。
ワークグループに含まれるデバイスに管理サーバーをインストールする場合、管理サーバーを使用する次のシナリオは使用できなくなることに注意してください:
- Kaspersky Security Center のフェイルオーバークラスターの使用
- Windows Server のフェールオーバークラスターの使用
- 別のデバイスでの SQL Server の使用
管理サーバーと SQL Server がドメインに含まれている場合にのみ、別のデバイスで SQL Server を使用できます。
- 管理サーバーツールによる、Active Directory グループポリシーを使用したリモートインストール
ワークグループに含まれるデバイスに管理サーバーをインストールする必要がある場合は、Kaspersky Security Center Windows の代わりに Kaspersky Security Center Linux を使用して、管理サーバーのインストールを避けることができます。