管理サーバー保護ソフトウェアの選択
管理サーバーの導入種類と一般的な保護戦略に応じて、管理サーバーデバイスを保護するためのアプリケーションを選択します。
専用デバイスに管理サーバーを導入する場合は、Kaspersky Endpoint Security アプリケーションを選択して管理サーバーデバイスを保護することを推奨します。これにより、ふるまい分析モジュールなど、管理サーバーデバイスを保護するために使用可能なすべての技術を適用することができます。
インフラストラクチャに存在し、以前に他のタスクに使用されていたデバイスに管理サーバーがインストールされている場合は、次の保護ソフトウェアを検討することを推奨します:
保護アプリケーション用に別のセキュリティポリシーを作成
管理サーバーデバイスを保護するアプリケーション用に別のセキュリティポリシーを作成することを推奨します。このポリシーは、クライアントデバイスのセキュリティポリシーとは異なるものである必要があります。これにより、他のデバイスの保護レベルに影響を与えることなく、管理サーバーに最適なセキュリティ設定を指定することができます。
デバイスをグループに分けてから、特別なセキュリティポリシーを作成できる別のグループに管理サーバーデバイスを配置することを推奨します。
保護モジュール
管理サーバーと同じデバイスにインストールされているサードパーティ製ソフトウェアのベンダーから特別な推奨事項がない場合は、使用可能なすべての保護モジュールを有効化して構成することを推奨します(これらの保護モジュールの動作を一定時間チェックした後)。
管理サーバーデバイスのファイアウォールの構成
管理サーバーデバイスでは、ファイアウォールを設定して、管理者が管理コンソールまたは Kaspersky Security Center Web コンソールを介して管理サーバーに接続できるデバイスの数を制限することを推奨します。
既定では、管理サーバーはポート 13291 を使用して管理コンソールからの接続を受信し、ポート 13299 を使用して Kaspersky Security Center Web コンソールからの接続を受信します。これらのポートを使用して管理サーバーを管理できるデバイスの数を制限することを推奨します。
コントロールパネルの起動禁止
Microsoft Windows を実行しているデバイスに管理サーバーをインストールし、アプリケーション起動制御モジュールで保護アプリケーションを使用する場合、権限のないユーザー(管理者グループなど)によるコントロールパネル(control.exe)の起動を禁止することができます。
アプリケーションの起動を禁止する特定の制御ルールを作成すると、事前定義された管理者ロールの権限を持つユーザーは、ログインやパスワードの変更など、他のネットワークアカウントを制御することができなくなります。
ページのトップに戻る