Sophos Endpoint Security and Control
クイック スタートアップガイド
ドキュメント作成日: 2009年 1月
目次
1 このガイドについて..........................................................................................................3
2 インストールするソフトウェア.....................................................................................3
3 導入ステップ......................................................................................................................3
4 システム要件の確認..........................................................................................................4
5 Sophos Enterprise Console のインストール....................................................................5
6 ソフォス アップデートの登録........................................................................................6
7 Sophos NAC Manager のインストール............................................................................7
8 コンピュータグループの作成.........................................................................................7
9 コンピュータの検出..........................................................................................................8
10 コンピュータの保護........................................................................................................8
11 ファイアウォールポリシーの設定.............................................................................10
12 NAC ポリシーの設定.....................................................................................................11
13 ネットワークのセキュリティ状態の確認................................................................12
14 トラブルシューティング..............................................................................................13
15 よく実行するタスクに関する参照情報.....................................................................13
16 テクニカルサポート......................................................................................................14
17 著作権情報.......................................................................................................................15
2
Sophos Endpoint Security and Control クイック スタートアップガイド
1
このガイドについて
このガイドは、ソフォスのセキュリティ対策製品でネットワークを保護する
方法について説明します。
ソフォス製品を新規インストールする場合はこのガイドをお読みください。
既存の製品をアップグレードする場合は、各製品バージョンの「Sophos
Endpoint Security and Control ネットワーク アップグレードガイド」をご覧く
ださい。
2
インストールするソフトウェア
次の 2種類の管理ツールをインストールします。
■
Sophos Enterprise Console: 各コンピュータにセキュリティ対策ソフトを集
中的にインストールし、インストールしたソフトウェアを管理します。
■
Sophos NAC Manager: このツールでは、「ネットワーク アクセス コント
ロール」機能で、認証されていないコンピュータや、組織のセキュリティ
ポリシーに準拠していないコンピュータのネットワークアクセスをブロッ
クすることができます。
Sophos NAC Manager のインストールは任意です。
ヒント: 別々のサーバーにインストールする場合は、2種類の異なるセット
アップ プログラムを使ってそれぞれのツールをインストールします。
ヒント: 各ツールのシステム要件を満たしていれば、両方のツールを同じサー
バーにインストールすることもできます。ただし、コンピュータが 1,000台
以上ある場合は、別々のサーバーにインストールしてください。
3
導入ステップ
主な導入ステップは次のとおりです。
■
システム要件を確認する
■
Sophos Enterprise Console をインストールする
■
ソフォス アップデートの登録を行う
3
Sophos Endpoint Security and Control クイック スタートアップガイド
■
Sophos NAC Manager をインストールする
■
コンピュータのグループを作成する
■
コンピュータを検出する
■
コンピュータを保護する
■
ファイアウォールポリシーを設定する
■
NAC ポリシーを設定する
■
ネットワークのセキュリティ状態を確認する
4
システム要件の確認
システム要件はインストールする管理ツールによって異なりますが、どちら
の場合でもインターネットに接続する必要があります。
Sophos Enterprise Console と Sophos NAC Manager を同じサーバーにインストー
ルする場合
プロセッサ
最低 2.0GHz
Pentium (また
は同等品)
容量
3GB (C:ドライ
ブ上)
メモリ空きディスク
最低
1GB
OS
未適用/適用)
データベース
MSDEWindows 2003 Server (SP
SQL Server 2000
SQL Server 2005
SQL Server 2005
Express
4
Sophos Endpoint Security and Control クイック スタートアップガイド
Sophos Enterprise Console のみ
プロセッサ
容量
最低 2.0GHz
Pentium (また
は同等品)
5
Sophos Enterprise Console のインストール
最低 150MB
上記とは別に
2GB のデータ
ベース用空き
ディスク容量
(MSDE)
メモリ空きディスク
最低
512MB
OS
Windows 2003 Server (SP
未適用/適用)
Windows 2003 Server (64
ビット版)
Windows 2000 (SP3 以降)
VMWare ESX 3.0
VMWare Workstation 5.0
VMWare Server 1.0
データベース
MSDEWindows Server 2008
SQL Server 2000
SQL Server 2005
SQL Server 2005
Express
システム要件を満たしているサーバーに移動し、インターネットに接続して
いることを確認します。
サーバーで Windows Server 2008 を実行している場合は、インストールを開
始する前に、次の操作を実行してください。
■
SQL Server 2005 または SQL Server 2005 Express をインストールし (まだイン
ストールしていない場合)、SOPHOS というインスタンスを作成してくだ
さい。
■
ユーザーアカウント制御 (UAC) を無効に設定し、サーバーを再起動して
ください。UAC は、Enterprise Console をインストールし、ソフォス アッ
プデートに登録した後で、有効に設定することができます。
Windows 2000 を実行しているサーバーは、インストール後、再起動が必要
となることがあります。
5
Sophos Endpoint Security and Control クイック スタートアップガイド
1.
管理者としてサーバーにログオンします。
■
コンピュータがドメインに所属している場合は、ドメイン管理者とし
てログオンしてください。
■
コンピュータがワークグループに所属している場合は、ローカル管理
者としてログオンしてください。
2.
ソフォス Web サイトを表示します。Endpoint Security and Control の製品ダ
ウンロードページから、Enterprise Console のインストーラをダウンロー
ドします。
3.
ダウンロードしたインストーラをダブルクリックします。
4.
「Sophos Network Installer」(ネットワーク インストーラ) ダイアログボッ
クスで、「Install」(インストール) をクリックします。
5.
ウィザードの指示に従ってインストールを行います。次の手順を実行して
ください。
a)
各ダイアログボックスでデフォルト設定をそのまま選択します。
b)
セットアップの種類は「Complete」(すべて) を選択します。
インストールが完了したら、ログオフ、またはサーバーを再起動します (ウィ
ザードの最後の画面にどちらかのオプションが表示されます)。
6
ソフォス アップデートの登録
ヒント: Enterprise Console と Remote Desktop を一緒にインストールした場合、
ここでの操作は必要ありません。代わりに、「スタート」-「プログラム」「Sophos」-「EM Library」を選択して、画面に表示される手順を実行してく
ださい。
1.
再ログオン (またはサーバーを再起動) 後、「Sophos Endpoint Security and
Control へようこそ」ダイアログボックスが表示されます。「クイック
セットアップ」を選択します。
2.
「ソフォス アップデート登録」ウィザードの指示に従い、ソフトウェア
を選択・ダウンロードします。次の手順を実行してください。
a)
「ソフォスダウンロード用アカウントの入力」ダイアログボックスで、
ライセンスの別表 (License Schedule) に記載されているユーザー名とパ
スワードを入力します。プロキシサーバー経由でインターネットにア
クセスする場合は、「プロキシの詳細」を選択します。
b)
Active Directory をご使用で、既存のコンピュータグループを Enterprise
Console で使用したい場合は、「ソフトウェアのダウンロード」ダイア
ログボックスで「コンピュータグループを設定する」を選択します。
6
Sophos Endpoint Security and Control クイック スタートアップガイド
選択したソフトウェアがダウンロードされます。終了するまで数分かかるこ
とがあります。
ダウンロードが完了すると、Sophos Enterprise Console が自動的に起動しま
す。Sophos Enterprise Console は、Sophos NAC Manager をインストールした後
に使用します。
ヒント: インストールの前にユーザーアカウント制御を無効にした場合は、
ここで有効に設定し直してください。
7
Sophos NAC Manager のインストール
Windows 2003 Server OS の製品付属 CD とサービスパック CD をお手元にご用
意ください。インストール中に必要になる場合があります。
1.
管理者としてサーバーにログオンします。
■
コンピュータがドメインに所属している場合は、ドメイン管理者とし
てログオンしてください。
■
コンピュータがワークグループに所属している場合は、ローカル管理
者としてログオンしてください。
2.
ソフォス Web サイトを表示します。Endpoint Security and Control の製品ダ
ウンロードページから、NAC Manager のインストーラをダウンロードし
ます。
3.
ダウンロードしたインストーラをダブルクリックします。
4.
「Sophos NAC Manager」ダイアログボックスで、「Install」(インストー
ル) をクリックします。
5.
ウィザードの指示に従ってインストールを行います。
8
コンピュータグループの作成
「ソフォスアップデート登録」ウィザードを使用してコンピュータグループ
を設定 (Active Directory のグループを基に) した場合は、ここで説明する操作
は必要ありません。コンピュータの保護 (p. 8) に進んでください。
コンピュータを保護・管理する前に、コンピュータのグループを作成する必
要があります。
1.
Enterprise Console を開きます。
7
Sophos Endpoint Security and Control クイック スタートアップガイド
2.
「グループの作成」アイコンをクリックします。
「新規グループ」が左ペインに追加され、そのグループ名がハイライト表
示されます。
3.
使用するグループ名を入力してください。
さらにグループを作成する場合は、左ペインで次のように操作します。トッ
プレベルのグループを再度作成するには、ツリー最上部のサーバー名を選択
します。サブグループを作成するには、既存のグループ名を選択します。次
に、先程と同じ手順でグループを作成し、グループ名を入力します。
9
コンピュータの検出
Enterprise Console でコンピュータの保護・管理を行うには、まずネットワー
ク上のコンピュータを検索する必要があります。
10
10.1
1.
ツールバーにある「新規コンピュータの検索」アイコンをクリックしま
す。
2.
コンピュータの検索方法を選択してください。
3.
適宜、アカウントの詳細を入力し、検索場所を指定します。
「検索」オプションのいずれかを選択すると、検出されたコンピュータが
「グループ外のコンピュータ」フォルダに追加されます。
コンピュータの保護
コンピュータの保護は次の手順で行います。
■
コンピュータの事前準備を行う
■
「コンピュータの保護」ウィザードを実行する
コンピュータの事前準備
コンピュータの保護を開始する前に、次の手順を実行してください。
他社製セキュリティ対策ソフトを削除するための準備をする
8
Sophos Endpoint Security and Control クイック スタートアップガイド
現在インストールされているセキュリティ対策ソフトをアンインストールす
る場合は、次の手順を実行します。
■
他社製のウイルス対策ソフトを実行している場合は、GUI を閉じているこ
とを確認する
■
他社製のファイアウォールや HIPS 製品を実行している場合は、これらの
ソフトウェアを無効にするか、またはソフォスのインストーラの起動を許
可するように設定する
他社製のアップデートツールを実行している場合は、削除した方がよい場合
があります。詳細は「Sophos Endpoint Security and Control ネットワーク ス
タートアップガイド」の 10.1項をご覧ください。
ソフトウェアをインストールできるアカウントを持っていることを確認する
セキュリティ対策ソフトのインストール中に、アカウントの詳細を入力する
画面が表示されます。このアカウントは通常、ドメイン管理者アカウントで
す。インストールには、次の権限が必要です。
■
保護するコンピュータへのローカル管理者権限
■
Enterprise Console をインストールしたコンピュータにログオンできる権限
■
コンピュータのアップデート元に対する読み取り権限。アップデート元が
どこかを確認するには、「ポリシー」ペインで、「アップデート」をダブ
ルクリックし、次に、「デフォルト」をダブルクリックします。
ファイアウォールまたは NAC をインストールするための準備をする
Sophos Client Firewall を使用する場合、まずはじめに 2~3台のコンピュータ
のみにインストールしてください。ファイアウォールは、デフォルトでネッ
トワークアクセスを遮断するので、すべてのコンピュータにインストールす
る前に設定が必要です。詳細はファイアウォールポリシーの設定 (p. 10) を
ご覧ください。
Sophos NAC を使用する場合は、まず数台のコンピュータにインストールし
て、ポリシーの設定内容を決めてから、すべてのコンピュータにインストー
ルしてください。詳細はNAC ポリシーの設定 (p. 11) をご覧ください。
これ以外、ネットワークの保護を開始するにあたり、セキュリティポリシー
を変更する必要はありません。デフォルトポリシーを安心してご使用いただ
けます。
10.2
コンピュータの保護ウィザードの実行
9
Sophos Endpoint Security and Control クイック スタートアップガイド
コンピュータを保護するには次の手順を実行してください。
1.
保護するコンピュータを選択します。
2.
右クリックして「コンピュータの保護」を選択します。
ヒント: コンピュータが「グループ外のコンピュータ」フォルダに表示さ
れている場合は、適切なグループにドラッグ & ドロップします。
3.
ウィザードの指示に従ってソフォスのセキュリティ対策製品をインストー
ルします。次の手順を実行してください。
a)
「Sophos Network Access Control をインストールする」を選択するには、
「セキュリティソフトの選択」ダイアログボックスで、「NAC サーバー
URL を設定」のリンクをクリックしてください。URL を入力、または
確認します。
b)
インストール中に発生した問題はすべて、「保護のサマリー」ダイア
ログボックスに表示されます。詳細はトラブルシューティング (p. 13)
をご覧ください。
c)
「コンピュータの保護 アカウント」ダイアログボックスで、各コン
ピュータへのソフトウェアのインストールに使用できるアカウントの
詳細を入力します。
11
インストールは全コンピュータで同時に開始されないので、操作がすべて完
了するには時間のかかることがあります。
インストール完了後、コンピュータのリストを再度ご覧ください。「オンア
クセス」のカラムに表示される「アクティブ」は、コンピュータでオンアク
セスウイルス検索が実行されていることを表します。
ファイアウォールポリシーの設定
デフォルトで、ファイアウォールは重要な接続以外すべてを遮断します。
よって、必ず独自のファイアウォールポリシーを作成する必要があります。
まず、数台のコンピュータにファイアウォールをインストールして設定をカ
スタマイズし、その設定を独自のポリシーとして使用してください。
1.
各コンピュータを再起動してファイアウォールを起動します。
2.
システムトレーにあるファイアウォールアイコン (壁アイコン) を右クリッ
クし、「環境設定」を選択します。
3.
「Sophos Client Firewall 環境設定エディタ」ダイアログボックスで、「全
般」タブをクリックします。
10
Sophos Endpoint Security and Control クイック スタートアップガイド
4.
「対話型」を選択します。各アプリケーションを使用すると、ファイア
ウォールで使用を許可・遮断するか選択するようメッセージが表示されま
す。
対話型モードを使用しない場合は、「アプリケーション」タブをクリック
します。「追加」をクリックし、追加するアプリケーションを参照しま
す。追加されたアプリケーションは、「信頼」と表示されます。
5.
ファイアウォールを環境設定したら、「全般」タブで「エクスポート」を
クリックし、環境設定内容を出力します。
6.
次に、Enterprise Console を開きます。「ポリシー」ペインで、「ファイア
ウォール」をダブルクリックし、編集するポリシーをダブルクリックしま
す。
7.
「ファイアウォールポリシー」ダイアログボックスの「全般」タブで、
「インポート」をクリックし、出力したファイアウォールの環境設定をイ
ンポートします。
12
NAC ポリシーの設定
Sophos NAC を新規インストールすると、すべてのコンピュータにデフォル
トの NAC ポリシーが適用されます。NAC は「Report-only」(レポートのみ)
モードで起動し、ネットワークアクセスはブロックしません。
デフォルト以外のポリシーを使用したい場合は、Sophos NAC Manager でポリ
シーを編集し、Enterprise Console で各コンピュータに編集したポリシーを適
用する必要があります。
Sophos NAC Manager のインターフェースはブラウザ形式です。使用を開始す
る前に次の手順を実行してください。
■
Internet Explorer 6 以降を使用している場合は、Sophos NAC Manager を信
頼する Web サイトとして追加する
■
ポップアップウィンドウのブロックを無効にする
次に、以下を実行します。
11
Sophos Endpoint Security and Control クイック スタートアップガイド
1.
「Enterprise Console」の「ポリシー」ペインで、「NAC」をダブルクリッ
クします。
次の 3種類のポリシーが表示されます。
■
Default (デフォルト): ポリシーが適用されていないコンピュータに使用
されます。
■
Managed (管理対象コンピュータ): Sophos Enterprise Console で集中管理
しているコンピュータに対して使用できます。
■
Unmanaged (管理対象外コンピュータ): 社外のコンピュータに対して使
用できます。このポリシーは編集できません。
詳細は、NAC Manager ヘルプ、または「Sophos NAC Manager ガイド」の
「事前に定義済みのポリシーの使用」をご覧ください。
13
2.
ポリシーをダブルクリックし、Sophos NAC Manager を開きます。
3.
はじめて NAC Manager を使用する際に、「Admin」というアカウント名と
任意のパスワードを入力します。
4.
ポリシーの設定を変更します。詳細は、NAC Manager ヘルプ、または
「Sophos NAC Manager ガイド」をご覧ください。
5.
Enterprise Console で、適切なグループにポリシーをドラッグ & ドロップし
ます。
ネットワークのセキュリティ状態の確認
Enterprise Console でネットワークのセキュリティ状態を確認するには次の手
順を実行します。
1.
メニューバーの「ダッシュボード」アイコン (ダッシュボードが表示され
ていなければ) をクリックします。
ダッシュボードには次の情報が表示されます。
■
「警告を発したコンピュータ」の台数
12
■
「最新版が適用されていないコンピュータ」の台数
■
「ポリシーと異なるコンピュータ」の台数
Sophos Endpoint Security and Control クイック スタートアップガイド
2.
また、NAC を使用している場合は、次のようにしてセキュリティの状態
を確認できます。
a)
メニューバーの「NAC」アイコンをクリックします。
b)
NAC Manager で、「Report」(レポート) を選択して、次に、
「Compliance」(コンプライアンス) を選択します。
コンピュータの NAC ポリシーに対する準拠状況が表示されます。
14
トラブルシューティング
「コンピュータの保護」ウィザードを実行した際に、セキュリティ対策ソフ
トのインストールに失敗することがありますが、考えられる原因は次のとお
りです。
■
使用している OS で自動インストールを実行することができない。この場
合は、手動でインストールを行います。詳細は「Sophos Endpoint Security
and Control ネットワーク スタートアップガイド」の 21~25項をご覧くだ
さい。
■
OS が認識されない。これは、コンピュータの検索を行った際に、「ドメ
イン\ユーザー名」形式でユーザ名を入力しなかったことが原因の場合が
あります。
■
コンピュータで他のファイアウォールが起動している (これは、Windows
XP SP2 コンピュータでよく起こる問題です)。
15
よく実行するタスクに関する参照情報
よく実行するタスクとその操作手順の参照先は、次の一覧表をご覧くださ
い。
SESC = Sophos Endpoint Security and Control
SEC = Sophos Enterprise Console
SCF = Sophos Client Firewall
13
Sophos Endpoint Security and Control クイック スタートアップガイド
参照するドキュメントタスク
SESC ネットワーク スタートアップガイド: 20項Windows コンピュータを手動で保
護する
SESC ネットワーク スタートアップガイド: 22項Mac OS X コンピュータの保護
SESC ネットワーク スタートアップガイド: 23項Linux コンピュータを保護する
SESC ネットワーク スタートアップガイド: 26項スタンドアロンコンピュータを保
護する
16
ウイルス対策および HIPS ポリシー
を設定する
アプリケーション管理ポリシーを
設定する
する
SEC ヘルプ: 「ウイルス対策および HIPS 設定の変更
方法」
SEC ヘルプ: 「ネットワーク上のアプリケーションの
管理方法」
SCF ヘルプ: 「ファイアウォールの環境設定方法」ファイアウォールポリシーを設定
Sophos NAC Manager ガイド: 「管理の概要」NAC を設定する
SEC ヘルプ: 「警告の対処方法」警告を管理する
SEC ヘルプ: 「コンピュータのクリーンアップ方法」脅威をクリーンアップする
SEC ヘルプ: 「レポートの作成方法」レポートを作成する
Sophos NAC Manager ガイド: 「レポートの概要」NAC レポートを作成する
テクニカルサポート
テクニカルサポートについては、http://www.sophos.co.jp/support をご覧くだ
さい。
14
テクニカルサポートにお問い合わせの際は、以下の内容も含め、なるべく多
くの情報をご提供いただきますようお願い申し上げます。
■
ソフォス製品のバージョン番号
■
OS および適用しているパッチの種類
■
エラーメッセージの正確な内容
Sophos Endpoint Security and Control クイック スタートアップガイド
17
著作権情報
Copyright © 2009 Sophos Group.All rights reserved.この出版物の一部または全
部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法に
おいても、使用許諾契約の条項に準じてドキュメントを複製することを許可
されている、もしくは著作権所有者からの事前の書面による許可がある場合
以外、無断に複製、復元できるシステムに保存、または送信することを禁じ
ます。
Sophos および Sophos Anti-Virus は、Sophos Plc および Sophos Group の登録商
標です。その他記載されている会社名、製品名は、各社の登録商標または商
標です。
15
Loading...