管理サーバーの接続の保護
コンピューターを管理サーバーに接続するには、Kaspersky Security Center のネットワークエージェントのコンポーネントを使用します。侵入者がサーバーの接続設定を変更する十分な権限を持っている場合、信頼済みでないサーバーにコンピューターが接続される危険性があります。こうすることで、侵入者が独自のグループポリシーを適用したり、アプリケーションのセルフディフェンスを無効にしたりできるようになります。Kaspersky Endpoint Security は、コンピューターの別のサーバーへの不正な再接続を防ぐことができます。サーバー接続を保護するために、パスワードを設定し、パスワードベースのキー導出関数(PBKDF2)を使用することを推奨します。その結果、パスワードなしでアプリケーションにアクセスすることはできなくなります。
Kaspersky Endpoint Security とネットワークエージェントを不正アクセスから包括的に保護するために、追加の保護を有効にすることを推奨します。Kaspersky Endpoint Security では、パスワードによる保護を有効にすることを推奨します。ネットワークエージェントを保護するために、アンインストール用パスワードを設定することを推奨します。ネットワークエージェントの削除からの保護の詳細については、Kaspersky Security Center ヘルプを参照してください。
コンピューターの管理サーバーへの接続を管理するには、[管理サーバーの接続の保護]タスクを使用します。このタスクでは、次の操作を実行できます:
- サーバー接続を保護するためのパスワードの設定
- パスワードの変更
- コンピューターの別のサーバーへの再接続
- サーバー接続の保護の無効化
管理サーバーへの接続時のコンピューターの認証
パスワードを設定すると、パスワードの PBKDF2 変換を使用してデータ配列が作成されます。次に、ネットワークエージェントのキーを使用して、このデータ配列が暗号化されます。その後の接続で管理サーバーの権限を確認するために、この暗号化されたデータ配列が使用されます。
それ以降、コンピューターを管理サーバーに再接続しようとするたびに、ネットワークエージェントのキーでデータ配列が復号化されて、ローカルコピーと比較されます。一致しない場合、アプリケーションへのアクセスは制限されます。
管理サーバーの接続の保護
管理コンソール(MMC)でサーバー接続の保護用のパスワードを設定する方法
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[タスク]を選択します。
タスクのリストが表示されます。
- [新規タスク]をクリックします。
タスクウィザードが起動します。ウィザードの指示に従います。
ステップ 1:タスク種別の選択
[Kaspersky Endpoint Security for Windows (12.6)]→[管理サーバーの接続の保護]の順に選択します。
ステップ 2:管理サーバーの接続の保護
管理サーバーの接続を保護するためのパスワードを設定します:
- [管理サーバーの接続の保護]で、[パスワードで保護する]を選択します。
- [管理サーバー]から[新しいサーバー]を選択します。
- [管理サーバーに接続するパスワード]フィールドで、管理サーバーに接続するためのパスワードを設定し、確認します。
パスワードを忘れた場合は、タスクを使用してパスワードを変更できます。
ステップ 3:タスクを実行するアカウントの選択
既定のアカウント を選択します。既定では、Kaspersky Endpoint Security はタスクをシステムユーザーアカウント(SYSTEM)として開始します。
ステップ 4:タスク開始スケジュールの設定
[実行予定]で、[手動]を選択します。
ステップ 5:タスク名の定義
タスクの名前を入力します(たとえば、「メインサーバー接続のパスワード」など)。
ステップ 6:タスク作成の完了
ウィザードを終了します。[ウィザードの終了後にタスクを実行]をオンにするか、タスクを手動で実行します。タスクのプロパティでタスクの進行状況を監視できます。
Web コンソールおよび Cloud コンソールでサーバー接続の保護用のパスワードを設定する方法
- Web コンソールのメインウィンドウで、 [デバイス] → [タスク]をクリックします。
タスクのリストが表示されます。
- [追加]をクリックします。
タスクウィザードが起動します。
- タスクの設定を指定します:
- アプリケーションドロップダウンリストで、Kaspersky Endpoint Security for Windows (12.6)を選択します。
- [タスク種別]から[管理サーバーの接続の保護]を選択します。
- [タスク名]に「メインサーバー接続のパスワード」などの簡潔な名前を付けます。
- [タスクを割り当てるデバイスの選択]ブロックで、タスク範囲の指定方法を選択します。
- タスク範囲の指定方法に応じて、対象デバイスを選択します。次の手順に進みます。
- 既定のユーザーアカウントを選択します。既定では、Kaspersky Endpoint Security はタスクをシステムユーザーアカウント(SYSTEM)として開始します。
- ウィザードを終了します。
タスクのリストに新しいタスクが表示されます。
- Kaspersky Endpoint Security の 管理サーバーの接続の保護タスクを選択します。
タスクのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [管理サーバーの接続の保護]で、[パスワードによる保護]を選択します。
- [管理サーバーへの接続]から[新しいパスワード]を選択します。
- [パスワード]フィールドで、管理サーバーに接続するためのパスワードを設定し、確認します。
パスワードを忘れた場合は、タスクを使用してパスワードを変更できます。
- 変更内容を保存します。
- タスクの横にあるチェックボックスをオンにします。
- [開始]をクリックします。
タスクのステータス、タスクが正常に完了したデバイスの数、タスクの実行中にエラーが発生したデバイスの数を監視できます。
コンピューターの別の管理サーバーへの再接続
コンピューターを別の管理サーバーに再接続するには、次の手順を実行します:
- 現在の
[KSC1] サーバーのコンソールで、ネットワークエージェントに対して管理サーバーの変更タスクを実行します。 タスクの実行後、コンピューターは新しい [KSC2] サーバーに再接続されます。
コンソールには、コンピューターが緊急
ステータスで表示されます。ポリシーを使ってアプリケーションを設定したり、コンピューターでタスクをリモート実行したりすることはできません。
- 新しい
[KSC2] サーバーのコンソールで、Kaspersky Endpoint Security 用に新しい管理サーバーの接続の保護タスクを作成します。タスクのプロパティで、以前のサーバーのパスワードを入力し、新しいサーバーのパスワードを設定します。管理コンソール(MMC)で新しいサーバーに再接続するための新しいパスワードを設定する方法
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[タスク]を選択します。
タスクのリストが表示されます。
- [新規タスク]をクリックします。
タスクウィザードが起動します。ウィザードの指示に従います。
ステップ 1:タスク種別の選択
[Kaspersky Endpoint Security for Windows (12.6)]→[管理サーバーの接続の保護]の順に選択します。
ステップ 2:管理サーバーの接続の保護
新しい管理サーバーへの接続を保護するためのパスワードを設定します:
- [管理サーバーの接続の保護]で、[パスワードで保護する]を選択します。
- [管理サーバー]から[別のサーバーから再接続]を選択します。
- [現在のパスワード]に、以前に使用していた信頼済みサーバーへの接続用に設定したパスワードを入力します。
- [新しいパスワード]フィールドで、新しい管理サーバーに接続するためのパスワードを設定し、入力して確認します。
パスワードを忘れた場合は、タスクを使用してパスワードを変更できます。
ステップ 3:タスクを実行するアカウントの選択
既定のアカウント を選択します。既定では、Kaspersky Endpoint Security はタスクをシステムユーザーアカウント(SYSTEM)として開始します。
ステップ 4:タスク開始スケジュールの設定
[実行予定]で、[手動]を選択します。
ステップ 5:タスク名の定義
タスクの名前を入力します(たとえば、「メインサーバー接続のパスワード」など)。
ステップ 6:タスク作成の完了
ウィザードを終了します。[ウィザードの終了後にタスクを実行]をオンにするか、タスクを手動で実行します。タスクのプロパティでタスクの進行状況を監視できます。
Web コンソールおよび Cloud コンソールで新しいサーバーに再接続するための新しいパスワードを設定する方法
- Web コンソールのメインウィンドウで、 [デバイス] → [タスク]をクリックします。
タスクのリストが表示されます。
- [追加]をクリックします。
タスクウィザードが起動します。
- タスクの設定を指定します:
- アプリケーションドロップダウンリストで、Kaspersky Endpoint Security for Windows (12.6)を選択します。
- [タスク種別]から[管理サーバーの接続の保護]を選択します。
- [タスク名]に「メインサーバー接続のパスワード」などの簡潔な名前を付けます。
- [タスクを割り当てるデバイスの選択]ブロックで、タスク範囲の指定方法を選択します。
- タスク範囲の指定方法に応じて、対象デバイスを選択します。次の手順に進みます。
- 既定のユーザーアカウントを選択します。既定では、Kaspersky Endpoint Security はタスクをシステムユーザーアカウント(SYSTEM)として開始します。
- ウィザードを終了します。
タスクのリストに新しいタスクが表示されます。
- Kaspersky Endpoint Security の 管理サーバーの接続の保護タスクを選択します。
タスクのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [管理サーバーの接続の保護]で、[パスワードによる保護]を選択します。
- [管理サーバーへの接続]から[別のサーバーから再接続]を選択します。
- [現在のパスワード]に、以前に使用していた信頼済みサーバーへの接続用に設定したパスワードを入力します。
- [新しいパスワード]フィールドで、新しい管理サーバーに接続するためのパスワードを設定し、入力して確認します。
パスワードを忘れた場合は、タスクを使用してパスワードを変更できます。
- 変更内容を保存します。
- タスクの横にあるチェックボックスをオンにします。
- [開始]をクリックします。
タスクのステータス、タスクが正常に完了したデバイスの数、タスクの実行中にエラーが発生したデバイスの数を監視できます。
タスクが完了したら、新しい [KSC2] サーバーのコンソールで、コンピューターのステータスが OK 
になっていることを確認してください。テストを行い、タスクをリモート実行できること、およびポリシーを使用してアプリケーションを設定できることを確認します。
管理サーバーへの接続用パスワードのリセット
管理サーバーへの接続用パスワードを忘れた場合や、パスワードが漏洩した場合は、タスクのプロパティでパスワードをリセットできます。また、管理サーバーの接続の保護のステータスが異なる複数のコンピューターのグループを対象にパスワードをリセットし、新しいパスワードを設定することもできます。つまり、保護が有効になっているコンピューターと無効になっているコンピューターがある場合、すべてのコンピューターにパスワードが設定されます。
管理サーバーへの接続用パスワードは、コンピューターが接続されているサーバーのコンソールでのみリセットできます。
管理コンソール(MMC)を使用して管理サーバーへの接続用パスワードをリセットする方法
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[タスク]を選択します。
- 管理サーバーの接続の保護タスクを選択し、ダブルクリックしてタスクのプロパティを表示します。
- コンピューターのプロパティウィンドウで、[設定]セクションを選択します。
- [管理サーバーの接続の保護]で、[パスワードで保護し、パスワードを変更する]を選択します。
- [管理サーバーに接続するパスワード]フィールドで、現在の信頼済みサーバーに接続するための新しいパスワードを設定し、パスワードを確認します。
- 変更内容を保存します。
- タスクを実行します。
Web コンソールおよび Cloud コンソールを使用して管理サーバーの接続のパスワードをリセットする方法
- Web コンソールのメインウィンドウで、 [デバイス] → [タスク]をクリックします。
タスクのリストが表示されます。
- Kaspersky Endpoint Security の 管理サーバーの接続の保護タスクを選択します。
タスクのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [管理サーバーの接続の保護]で、[パスワードで保護し、パスワードを変更する]を選択します。
- [パスワード]フィールドで、現在の信頼済みサーバーに接続するための新しいパスワードを設定し、パスワードを確認します。
- 変更内容を保存します。
- タスクの横にあるチェックボックスをオンにします。
- [開始]をクリックします。
その結果、タスクの終了後に管理サーバーへの接続用パスワードがリセットされます。
管理サーバーの接続の保護を無効にする
管理サーバーの接続の保護は、コンピューターが接続されているサーバーのコンソールでのみ、リモートで無効にできます。ローカルでコマンドラインを使用して製品を無効にすることもできます。
管理コンソール(MMC)でサーバー接続の保護を無効にする方法
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[タスク]を選択します。
- 管理サーバーの接続の保護タスクを選択し、ダブルクリックしてタスクのプロパティを表示します。
- コンピューターのプロパティウィンドウで、[設定]セクションを選択します。
- [管理サーバーの接続の保護]で、[保護しない]を選択します。
- 変更内容を保存します。
- タスクを実行します。
タスクのステータス、タスクが正常に完了したデバイスの数、タスクの実行中にエラーが発生したデバイスの数を監視できます。
Web コンソールおよび Cloud コンソールでサーバー接続の保護を無効にする方法
- Web コンソールのメインウィンドウで、 [デバイス] → [タスク]をクリックします。
タスクのリストが表示されます。
- Kaspersky Endpoint Security の 管理サーバーの接続の保護タスクを選択します。
タスクのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [管理サーバーの接続の保護]で、[保護しない]を選択します。
- 変更内容を保存します。
- タスクの横にあるチェックボックスをオンにします。
- [開始]をクリックします。
タスクのステータス、タスクが正常に完了したデバイスの数、タスクの実行中にエラーが発生したデバイスの数を監視できます。
コマンドラインでサーバー接続の保護を無効にする方法
- 管理者としてコマンドラインインタープリタ(cmd.exe)を実行します。
- Kaspersky Endpoint Security の実行ファイルがあるフォルダーに移動します。
- 次のコマンドを実行します:
avp.com SERVERBINDINGDISABLE [/password=<パスワード>]
<パスワード> には KLAdmin ユーザーアカウントのパスワードまたは管理サーバーの接続の保護タスクからのパスワードを入力します。パラメータが指定されていない場合、次の行でパスワードを入力するよう求められます。
このコマンドを実行するには、パスワードによる保護を有効にする必要があります。
例:
avp.com SERVERBINDINGDISABLE /password=!Password1
|