ネットワークエージェントのポリシー設定
すべて表示 | すべて非表示
ネットワークエージェントのポリシーを設定するには:
- メインメニューで、[アセット(デバイス)]→[ポリシーとプロファイル]の順に移動します。
- ネットワークエージェントポリシーの名前をクリックします。
ネットワークエージェントポリシーのプロパティウィンドウが表示されます。
Windows、macOS、および Linux ベースのデバイスでは、様々な設定が使用可能であることを考慮してください。
全般
このタブでは、ポリシーステータスを変更したり、継承ポリシーを設定したりすることができます:
- [ポリシーのステータス]で、ポリシーのステータスを選択します:
- アクティブ
このオプションをオンにすると、ポリシーがアクティブになります。
既定では、このオプションがオンです。
- 非アクティブ
このオプションをオンにすると、ポリシーは非アクティブになりますが[ポリシー]フォルダーに保持されます。必要に応じて、ポリシーをアクティブにすることができます。
- [設定の継承]セクションでは、ポリシーの継承を設定できます。
- 親ポリシーから設定を継承する
このオプションをオンにすると、ポリシーの設定値は上位レベルグループのポリシーから継承されるため、ロックされます。
既定では、このオプションはオンです。
- 設定を子ポリシーへ強制的に継承させる
このオプションをオンにすると、ポリシーの変更を適用した後に次の処理が実行されます:
- 管理サブグループのポリシー(子ポリシー)に、ポリシーの設定値が継承されます。
- 各子ポリシーのプロパティウィンドウの[全般]セクションにある[設定の継承]ブロックで、[親ポリシーから設定を継承する]が自動的にオンになります。
このオプションをオンにすると、子ポリシーの設定はロックされます。
既定では、このオプションはオフです。
イベントの設定
このタブでは、イベントの記録と通知を設定できます。イベントは、[イベントの設定]タブの次のセクションの重要度に応じて配信されます:
それぞれのセクションのイベント種別リストには、イベントの種別と、管理サーバーでイベントが保存される既定の日数が表示されます。イベント種別をクリックすると、リストで選択したイベントについてのイベントログとイベント通知を設定できます。既定では、すべてのイベントで、管理サーバー全体を対象に指定された共通の通知設定が使用されます。しかしながら、目的のイベント種別の特定の設定を変更できます。
たとえば、[警告]セクションでは、[セキュリティ問題が発生しました]イベント種別の設定を編集できます。このようなイベントは、たとえばディストリビューションポイントのディスク空き容量が 2 GB 未満の場合などに発生します(アプリケーションのインストール、アップデートのダウンロードをリモートで実行するには、少なくとも 4 GB が必要となります)。[セキュリティ問題が発生しました]イベントをクリックし、発生したイベントを保存する場所とその通知方法を指定します。
ネットワークエージェントがセキュリティ問題を検知した場合は、管理対象デバイスの設定を使用してこの問題を管理できます。
アプリケーション設定
設定
[設定]セクションでは、ネットワークエージェントのポリシーを設定できます。
- ディストリビューションポイント経由でのみファイルを配信する
このオプションをオンにすると、管理対象デバイスのネットワークエージェントはディストリビューションポイントからのみアップデートを取得します。
このオプションをオフにすると、管理対象デバイス上のネットワークエージェント ディストリビューションポイントまたは管理サーバーからアップデートを取得します。
管理対象デバイスのセキュリティ製品は、各セキュリティ製品のアップデートタスクで設定されたアップデート元からアップデートを取得することに注意してください。[ディストリビューションポイント経由でのみファイルを配信する]を有効にする場合、Kaspersky Security Center がアップデートタスクのアップデート元に設定されていることを確認してください。
既定では、このオプションはオフです。
- イベントキュー最大サイズを MB で指定
このフィールドでは、イベントキューが使用できるドライブの最大サイズを指定できます。
既定値は 2 メガバイト(MB)です。
- アプリケーションがポリシーの拡張データをデバイスから取得可能である
管理対象デバイスにインストールされたネットワークエージェントは、適用されたセキュリティ製品のポリシーに関する情報をセキュリティ製品(たとえば、Kaspersky Endpoint Security for Windows)に転送します。転送された情報は、セキュリティ製品のインターフェイスで表示できます。
ネットワークエージェントは次の情報を転送します:
- ネットワークエージェントを不正な削除・停止から保護し、設定の変更を防止する
このオプションをオンにすると、管理対象デバイスにネットワークエージェントのインストールされた後、必要な権限がない場合はコンポーネントの削除や再設定が行えなくなります。また、ネットワークエージェントサービスを停止できなくなります。このオプションはドメインコントローラーに影響しません。
ローカル管理者権限で操作されているワークステーション上のネットワークエージェントを保護するには、このオプションをオンにします。
既定では、このオプションはオフです。
- アンインストール用パスワードを使用する
このオプションをオンにすると、[変更]をクリックして、klmover ユーティリティおよびネットワークエージェントのリモートアンインストール時に使用するパスワードを指定できます。
既定では、このオプションはオフです。
リポジトリ
[リポジトリ]セクションでは、情報ネットワークエージェントから管理サーバーに詳細が送信されるオブジェクトの種別を選択できます。このセクションの設定の一部を変更することがネットワークエージェントのポリシーで禁止されている場合、それらの設定を変更することはできません。
- インストール済みアプリケーションの詳細
このオプションをオンにすると、クライアントデバイスにインストールされたアプリケーションに関する情報が管理サーバーに送信されます。
既定では、このオプションはオンです。
- パッチの情報を含める
クライアントデバイスにインストールされたアプリケーションのパッチに関する情報が管理サーバーに送信されます。このオプションをオンにすると、データベースに保存されるデータの容量が増えるとともに管理サーバーと DBMS での負荷が増大します。
既定では、このオプションはオンです。Windows でのみ使用できます。
- Windows Update 更新プログラムの詳細
このオプションをオンにすると、クライアントデバイスにインストールする必要のある Microsoft Windows 更新プログラムに関する情報が管理サーバーに送信されます。
このオプションをオフにしても、[適用なアップデート]セクションのデバイスのプロパティに更新プログラムが表示されることがあります。たとえば、組織のデバイスにこれらの更新プログラムによって修正できる脆弱性がある場合などに、こうしたことが起こる可能性があります。
既定では、このオプションはオンです。Windows でのみ使用できます。
- ソフトウェアの脆弱性と対応するアップデートの詳細
このオプションをオンにすると、管理対象デバイスで検出されたサードパーティソフトウェア(Microsoft ソフトウェアを含む)の脆弱性に関する情報、およびサードパーティの脆弱性(Microsoft ソフトウェアを含まない)を修正するソフトウェアアップデートに関する情報が、管理サーバーに送信されます。
このオプション(ソフトウェアの脆弱性と対応するアップデートの詳細)を選択すると、ネットワーク負荷、管理サーバーのディスク負荷、およびネットワークエージェントのリソース消費が増加します。
既定では、このオプションはオンです。Windows でのみ使用できます。
Microsoft ソフトウェアのソフトウェアアップデートを管理するには、[Windows Update 更新プログラムの詳細]を使用します。
- ハードウェアレジストリの詳細
デバイスにインストールされたネットワークエージェントから、そのデバイスのハードウェアに関する情報が管理サーバーに送信されます。ハードウェアの詳細は、デバイスのプロパティで確認できます。
ハードウェアの詳細を取得する Linux デバイスに lshw ユーティリティがインストールされていることを確認してください。使用されているハイパーバイザーによっては、仮想マシンから取得されたハードウェアの詳細が不完全である場合があります。
ソフトウェアのアップデートと脆弱性
この[ソフトウェアのアップデートと脆弱性]セクションでは、Windows アップデートの検索と配信を設定し、実行ファイルの脆弱性のスキャンを有効化できます。[ソフトウェアのアップデートと脆弱性]セクションの設定は、Windows を実行しているデバイスでのみ使用できます:
再起動の設定
[再起動の設定]セクションでは、アプリケーションの正しい使用、インストール、またはアンインストールのために管理対象デバイスのオペレーティングシステムの再起動が必要な場合に行う動作を指定できます。[再起動の設定]セクションの設定は、Windows を実行しているデバイスでのみ使用できます:
- OS を再起動しない
操作後に、クライアントデバイスは自動的には再起動されません。操作を完了するには、デバイスを再起動する必要があります(手動で、またはデバイスの管理タスクを使用して)。必要な再起動についての情報は、タスク履歴とデバイスのステータスに保存されます。このオプションは、継続的な稼働が不可欠なサーバーなどのデバイスで実行するタスクに適切です。
- 必要に応じて自動的に OS を再起動する
インストールの完了に再起動が必要な場合は常に、クライアントデバイスは自動的に再起動されます。このオプションは、定期的に稼働が一時停止(シャットダウンまたは再起動)するデバイスのタスクに有用です。
- ユーザーに処理を確認する
手動で再起動を要求する再起動リマインダーがクライアントデバイスの画面に表示されます。このオプションで、いくつかの詳細設定を定義可能です:ユーザーに表示されるメッセージテキスト、メッセージの表示頻度、(ユーザーの確認なしに)再起動が強制実行されるまでの時間。このオプションは、ユーザーにとって最も好都合な時間を指定して再起動できることが要求されるワークステーションに最適です。
既定では、このオプションがオンです。
- 通知の繰り返し間隔(分)
このオプションをオンにすると、オペレーティングシステムを再起動するように、ユーザーへのメッセージが指定された頻度で表示されます。
既定では、このオプションはオンです。既定の間隔は 5 分です。1 分から 1,440 分までの値を指定できます。
このオプションをオフにすると、確認メッセージは 1 回だけ表示されます。
- 次の時間経過後に強制的に再起動する(分)
ユーザーへの確認メッセージを表示した後で、指定した時間が経過すると、強制的にオペレーティングシステムが再起動します。
既定では、このオプションはオンです。既定の間隔は 30 分です。1 分から 1,440 分までの値を指定できます。
- セッションがブロックされたアプリケーションを強制終了する
アプリケーションを実行すると、クライアントデバイスの再起動が妨げられる場合があります。たとえば、ドキュメント作成アプリケーションでドキュメントを編集しており、その内容が保存されていない場合、アプリケーションはデバイスの再起動を許可しません。
このオプションをオンにすると、ブロックされたデバイス上のアプリケーションが、再起動の前に強制的に閉じられます。これにより、保存していなかった作業内容が失われる場合があります。
このオプションをオフにすると、ブロックされたデバイスは再起動されません。このデバイス上のタスクのステータスでは、デバイスの再起動が必要であることが表示されます。ブロックされたデバイスでは、実行中のアプリケーションすべてをユーザーが手動で終了し、デバイスを再起動する必要があります。
既定では、このオプションはオフです。
Windows デスクトップ共有
[Windows デスクトップ共有]セクションでは、デスクトップアクセスの共有時にリモートデバイスで実行される管理者の処理の監査を有効にしたり、設定したりできます。[Windows デスクトップ共有]セクションの設定は、Windows を実行しているデバイスでのみ使用できます:
- 監査を有効にする
このオプションをオンにすると、リモートデバイスにおける管理者の処理の監査が有効になります。リモートデバイスにおける管理者の処理の記録は次に保存されます:
- リモートデバイスのイベントログ
- リモートデバイス上のネットワークエージェントのインストールフォルダーにある、拡張子が syslog のファイル
- Kaspersky Security Center のイベントデータベース
管理者の処理の監査が使用可能である条件は次の通りです:
- 脆弱性とパッチ管理のライセンスが使用されている
- 管理者がリモートデバイスのデスクトップに対する共有アクセスを開始する権限を持っている
このオプションをオフにすると、リモートデバイスにおける管理者の処理の監査が無効になります。
既定では、このオプションはオフです。
- 読み取り時に監視する必要のあるファイルのマスク
リストにはファイルマスクが含まれます。監査が有効になると、マスクと一致する管理者の読み取りファイルが監視され、ファイルの読み取りに関する情報が保存されます。リストは、[監査を有効にする]がオンの場合に使用できます。ファイルマスクを編集し、新しいマスクをリストに追加できます。新しいファイルマスクは、新しい行のリストに指定する必要があります。
既定では、*.txt、*.rtf、*.doc、*.xls、*.docx、*.xlsx、*.odt、*.pdf のファイルマスクが指定されます。
- 変更時に監視する必要のあるファイルのマスク
リストには、リモートデバイス上のファイルのマスクが含まれます。監査が有効になると、マスクと一致するファイルで管理者によって行われた変更が監視され、その変更に関する情報が保存されます。リストは、[監査を有効にする]がオンの場合に使用できます。ファイルマスクを編集し、新しいマスクをリストに追加できます。新しいファイルマスクは、新しい行のリストに指定する必要があります。
既定では、*.txt、*.rtf、*.doc、*.xls、*.docx、*.xlsx、*.odt、*.pdf のファイルマスクが指定されます。
パッチとアップデートの管理
[パッチとアップデートの管理]セクションでは、アップデートのダウンロードを設定できます。また、管理対象デバイスへのパッチの配信とインストールについても設定できます:
- コンポーネントに適用可能でステータスが「未定義」であるアップデートとパッチを自動的にインストールする
このオプションをオンにすると、承認ステータスが「未定義」のカスペルスキー製品のパッチが、アップデートサーバーにダウンロードされるとすぐに、管理対象デバイスに自動インストールされます。
このオプションをオフにすると、ダウンロードされたパッチのうちステータスが「未定義」のものは、管理者がステータスを「承認」に変更しない限りインストールされません。
既定では、このオプションはオンです。
- アップデートと定義データベースをあらかじめ管理サーバーからダウンロードする(推奨)
このオプションをオンにすると、オフライン方式でのアップデートのダウンロードが使用されます。管理サーバーは、アップデートの受信時に、管理対象アプリケーションに必要なアップデートを、該当するアプリケーションがインストールされたデバイス上のネットワークエージェントに通知します。ネットワークエージェントは、アップデートに関する情報を受け取ると、適切なファイルを管理サーバーからあらかじめダウンロードします。具体的には、管理サーバーは、ネットワークエージェントが次に接続された時にアップデートのダウンロードを開始します。ネットワークエージェントによってすべてのアップデートがクライアントデバイスにダウンロードされると、そのデバイスのアプリケーションでこれらのアップデートが利用可能になります。
クライアントデバイス上の管理対象アプリケーションがアップデートのためにネットワークエージェントにアクセスしようとすると、ネットワークエージェントは必要なアップデートがあるかどうか確認します。管理対象アプリケーションから要求された時点で、管理サーバーからアップデートを受信してから経過した時間が 25 時間以内の場合、ネットワークエージェントは管理サーバーと接続せずに、ローカルキャッシュからアップデートを管理対象アプリケーションに渡します。ネットワークエージェントからクライアントデバイス上のアプリケーションへアップデートを配信する際には、アップデートのために管理サーバーへの接続を確立する必要はありません。
このオプションをオフにすると、オフライン方式でのアップデートのダウンロードは使用されません。アップデートは、アップデートダウンロードタスクのスケジュールに従って配信されます。
既定では、このオプションはオンです。
接続
[接続]セクションには 3 つのサブセクションが含まれます:
[ネットワーク]サブセクションでは、管理サーバーからクライアントコンピューターへの接続を設定したり、UDP ポートの使用を有効化したり、UDP ポート番号を定義したりできます。
- [管理サーバーに接続]セクションでは、管理サーバーへの接続を設定し、クライアントデバイスと管理サーバーを同期する間隔を指定できます:
- 同期間隔(分)
ネットワークエージェントによって管理対象デバイスと管理サーバーが同期します。同期間隔(「ハートビート」とも表記)を管理対象 10,000 台につき 15 分に設定することを推奨します。
同期間隔が 15 分以下に設定された場合、同期は 15 分ごとに実行されます。同期間隔が 15 分以上に設定されている場合は、指定された間隔で同期が実行されます。
- ネットワークトラフィックを圧縮する
このオプションをオンにすると、送信される情報量が減ることでネットワークエージェントによるデータ送信速度が向上し、これにより管理サーバーの負荷が軽減されます。
クライアントコンピューターの CPU の負荷は増加する可能性があります。
既定では、このチェックボックスはオンです。
- Microsoft Windows ファイアウォールでネットワークエージェントのポートを開く
このオプションをオンにすると、ネットワークエージェントと管理サーバーの動作に必要なポートが、Microsoft Windows ファイアウォールの除外リストに追加されます。
既定では、このオプションはオンです。
- SSL 接続を使用する
このオプションをオンにすると、SSL を使用してセキュアなポート経由で管理サーバーへの接続が確立されます。
既定では、このオプションはオンです。
- 既定の接続設定でディストリビューションポイントの接続ゲートウェイを使用する(使用可能な場合)
このオプションをオンにすると、ディストリビューションポイントの接続ゲートウェイが、管理グループのプロパティで指定された設定で使用されます。
既定では、このオプションはオンです。
- UDP ポートを使用する
ネットワークエージェントが UDP ポートを経由して管理サーバーを接続する場合は、[UDP ポートを使用]をオンにして、[UDP ポート番号]を指定します。既定では、このオプションはオンです。管理サーバーに接続するための既定の UDP ポートは 15000 です。
- UDP ポート番号
このフィールドに、UDP ポート番号を入力できます。既定のポート番号は 15000 です。
レコードには 10 進法が使用されます。
Windows XP Service Pack 2 で稼働するクライアントデバイスでは、UDP ポート 15000 が OS のファイアウォールによりブロックされます。このポートを手動で開く必要があります。
- ディストリビューションポイントを使用して管理サーバーへ強制的に接続する
[ディストリビューションポイントをプッシュサーバーとして使用する]をディストリビューションポイントの設定ウィンドウでオンにする場合、このオプションをオンにします。オンにしないと、ディストリビューションポイントはプッシュサーバーとして動作しません。
[接続プロファイル]サブセクションで、ネットワークロケーションを設定したり、管理サーバーが使用できない際のモバイルユーザーモードを有効にしたりできます。[接続プロファイル]セクションの設定は、Windows または macOS を実行しているデバイスでのみ使用できます:
- ネットワークロケーションの設定
ネットワークロケーションの設定では、クライアントデバイスが接続するネットワークの特性を定義し、ネットワークの特性が変更された時にネットワークエージェントが管理サーバーの接続プロファイルを切り替えるためのルールを指定します。
- 管理サーバー接続プロファイル
このセクションでは、ネットワークエージェントから管理サーバーへの接続のプロファイルを表示して追加することができます。次のイベントの発生時、ネットワークエージェントから別の管理サーバーに切り替えるルールを作成することもできます:
- クライアントデバイスが別のローカルネットワークに接続した場合
- デバイスから組織のローカルネットワークへの接続が切断した場合
- 接続ゲートウェイアドレスまたは DNS サーバーアドレスが変更された場合
接続プロファイルは、Windows および macOS を実行しているデバイスでのみサポートされます。
- 管理サーバーが使用できない時にモバイルユーザーモードを有効にする
このオプションを有効にすると、このプロファイルで接続しているクライアントデバイスにインストールされているアプリケーションは、モバイルユーザーモードおよびモバイルユーザーポリシーを使用します。モバイルユーザーポリシーがアプリケーションに対して定義されていない場合は、アクティブポリシーが使用されます。
このオプションを無効にすると、アプリケーションはアクティブポリシーを使用します。
既定では、このオプションはオフです。
[接続スケジュール]サブセクションでは、ネットワークエージェントから管理サーバーにデータを送信する時間間隔を指定できます。
- 要求時に接続
このオプションをオンにすると、ネットワークエージェントが管理サーバーへのデータ送信を要求された時に、接続が確立されます。
既定では、このオプションがオンです。
- 指定の時間間隔で接続
このオプションをオンにすると、ネットワークエージェントは指定した時間に管理サーバーへ接続します。複数の接続時間帯を追加できます。
ディストリビューションポイント別のネットワークポーリング
[ディストリビューションポイント別のネットワークポーリング]セクションでは、ネットワークの自動ポーリングを設定できます。ポーリングの設定は、Windows を実行しているデバイスでのみ使用できます。次のオプションを使用してポーリングを有効にしたり、頻度を設定できます:
- Windows ネットワーク
このオプションをオンにすると、[簡易ポーリングのスケジュールを設定する]と[完全ポーリングのスケジュールを設定する]をクリックして設定したスケジュールに従って、管理サーバーによってネットワークが自動的にポーリングされます。
このオプションをオフにすると、管理サーバーは[ネットワークポーリングの間隔(分)]フィールドで指定された間隔でネットワークをポーリングします。
ネットワークエージェントのバージョンが 10.2 より前の場合、デバイスの検索間隔は、[Windows ドメインをポーリングする間隔(分)](簡易の Windows ネットワークポーリング)と[ネットワークポーリングの間隔(分)](簡易の Windows ネットワークポーリング)で設定できます。
既定では、このオプションはオフです。
- Zeroconf
このオプションをオンにすると、ディストリビューションポイントは自動的にゼロコンフィギュレーションネットワーキング(「Zeroconf」とも表記)を使用して IPv6 ネットワークを検索します。この場合、ディストリビューションポイントはネットワーク全体を検索するため、有効な IP 範囲の検索は無視されます。
Zeroconf の使用を開始するには、次の条件が満たされている必要があります:
- ディストリビューションポイントが Linux を実行している必要があります。
- ディストリビューションポイントで avahi-browse ユーティリティをインストールする必要があります。
このオプションをオフにすると、ディストリビューションポイントは IPv6 デバイスを持つネットワークを検索しません。
既定では、このオプションはオフです。
- IP アドレス範囲
このオプションをオンにすると、[ポーリングのスケジュールを設定する]をクリックして設定したスケジュールに従って、ディストリビューションポイントによって IP アドレス範囲が自動的にポーリングされます。
このオプションをオフにすると、ディストリビューションポイントは IP アドレス範囲をポーリングしません。
ネットワークエージェントのバージョンが 10.2 より前の場合、IP アドレス範囲のポーリング頻度は、[ポーリング間隔(分)]で設定できます。このフィールドは、オプションをオンにすると使用可能になります。
既定では、このオプションはオフです。
- ドメインコントローラー
このオプションをオンにすると、[ポーリングのスケジュールを設定する]をクリックして設定したスケジュールに従って、ディストリビューションポイントによって Active Directory が自動的にポーリングされます。
このオプションをオフにすると、管理サーバーは Active Directory をポーリングしません。
ネットワークエージェントのバージョンが 10.2 より前の場合、Active Directory のポーリング頻度は、[ポーリング間隔(分)]で設定できます。このフィールドは、このオプションをオンにすると使用可能になります。
既定では、このオプションはオフです。
このオプションをオンにすると、[ポーリングのスケジュールを設定する]をクリックして設定したスケジュールに従って、ディストリビューションポイントによって Active Directory が自動的にポーリングされます。
このオプションをオフにすると、ディストリビューションポイントはドメインコントローラーをポーリングしません。
10.2 より前のバージョンのネットワークエージェントドメインコントローラーのポーリング頻度は、[ポーリング間隔(分)]で設定できます。このフィールドは、このオプションをオンにすると使用可能になります。
既定では、このオプションはオフです。
ディストリビューションポイントのネットワーク設定
[ディストリビューションポイントのネットワーク設定]セクションで、インターネットアクセス設定を指定できます:
- プロキシサーバーを使用する
- アドレス
- ポート番号
- ローカルアドレスにプロキシサーバーを使用しない
このオプションをオンにすると、ローカルネットワークのデバイスへの接続にプロキシサーバーが使用されません。
既定では、このオプションはオフです。
- プロキシサーバー認証
このチェックボックスをオンにすると、入力フィールドでプロキシサーバーの資格情報を指定できます。
既定では、このチェックボックスはオフです。
- ユーザー名
- パスワード
KSN プロキシ(ディストリビューションポイント)
[KSN プロキシ(ディストリビューションポイント)]セクションでは、ディストリビューションポイントを使用して管理対象デバイスからの Kaspersky Security Network(KSN)リクエストを転送するようにアプリケーションを設定できます:
- ディストリビューションポイントで KSN プロキシを有効にする
ディストリビューションポイントとして使用しているデバイス上で KSN プロキシサービスが実行されます。この機能を使用することで、ネットワーク上でトラフィックを分配しなおし、最適化できます。
ディストリビューションポイントは、Kaspersky Security Network に関する声明に記載されている KSN の統計情報をカスペルスキーに送信します。既定では、KSN 声明は「%ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula」にあります。
既定では、このオプションはオフです。管理サーバーのプロパティウィンドウで、[管理サーバーをプロキシサーバーとして使用する]と[Kaspersky Security Network への参加に同意する]がオンになっている場合にのみ使用できます。
アクティブ / パッシブモードのクラスターのノードをディストリビューションポイントに割り当て、ノード上で KSN プロキシサーバーを有効にできます。
- KSN リクエストを管理サーバーに転送する
ディストリビューションポイントは管理対象デバイスからの KSN リクエストを管理サーバーに転送します。
既定では、このオプションはオンです。
- インターネット経由で直接 KSN クラウド / KPSN にアクセスする
ディストリビューションポイントは管理対象デバイスからの KSN リクエストを KSN クラウドまたは KPSN に転送します。ディストリビューションポイント自体で生成された KSN リクエストも、KSN クラウドまたは KPSN に直接送信されます。
バージョン 11 以前のネットワークエージェントをインストールしているディストリビューションポイントでは、KPSN に直接アクセスできません。これらのディストリビューションポイントで KPSN リクエストを KPSN に送信するように設定を編集するには、各ディストリビューションポイントで[KSN リクエストを管理サーバーに転送する]をオンにします。
バージョン 12 以降のネットワークエージェントをインストールしているディストリビューションポイントでは、KPSN に直接アクセスできません。
- ポート
管理対象デバイスが KSN プロキシサーバーへの接続に使用する TCP ポートの番号。既定のポート番号は 13111 です。
- UDP ポート
ネットワークエージェントが UDP ポートを経由して管理サーバーを接続する場合は、[UDP ポートを使用]をオンにして、[UDP ポート番号]を指定します。既定では、このオプションはオンです。管理サーバーに接続するための既定の UDP ポートは 15000 です。
アップデート(ディストリビューションポイント)
[アップデート(ディストリビューションポイント)]セクションでは、差分ファイルのダウンロード機能を有効にすることができます。そのため、ディストリビューションポイントはカスペルスキーのアップデートサーバーから差分ファイルの形式でアップデートを取得します。
ローカルアカウントの管理(Linux のみ)
[ローカルアカウントの管理(Linux のみ)]セクションには、次の 3 つのサブセクションが含まれます。
- ユーザー証明書の管理
- 適用可能なローカル管理者グループの追加または変更
- ユーザーのデバイス上で sudo ファイルを変更から保護する参照ファイルをアップロードしてください
[ユーザー証明書の管理]サブセクションでは、インストールするルート証明書を指定できます。これらの証明書は、たとえば、Web サイトまたは Web サーバーの信頼性を検証するために使用できます。
- ルート証明書のインストール
このオプションをオンにすると、テーブルに追加された証明書が指定されたデバイスにインストールされます。
このオプションをオフにすると、指定されたデバイスに証明書はインストールされません。
既定では、このオプションはオフです。
- 追加
このボタンをクリックすると、証明書を追加できるウィンドウが開きます。
証明書は 10 MB 未満である必要があります。
Kaspersky Security Center は、CER、CRT、CERT、PEM、および KEY 拡張子を持つ証明書をサポートしています。
[適用可能なローカル管理者グループの追加または変更]サブセクションでは、ローカル管理グループを管理できます。これらのグループは、たとえば、ローカル管理者権限を取り消す時に使用されます。特権付きのデバイスのユーザーに関するレポート(Linux のみ)を使用して、特権ユーザーアカウントのリストを確認することもできます。
- 追加
このボタンをクリックするとウィンドウが開き、ローカル管理グループを追加できます。
- 編集
このボタンをクリックするとウィンドウが開き、ローカル管理グループを編集できます。
このボタンは、ローカル管理グループの横にあるチェックボックスがオンの場合に使用できます。
- 削除
このボタンをクリックすると、選択したローカル管理グループがテーブルから削除されます。
このボタンは、ローカル管理グループの横にあるチェックボックスがオンの場合に使用できます。
[ユーザーのデバイス上で sudo ファイルを変更から保護する参照ファイルをアップロードしてください]サブセクションでは、ファイル sudoers の制御を設定できます。特権グループとデバイスユーザーは、デバイス上のファイル sudoers によって定義されます。ファイル sudoers は /etc/sudoers
にあります。参照 sudoers ファイルをアップロードして、ファイル sudoers が変更されないように保護できます。これにより、ファイル sudoers への不要な変更が防止されます。
無効な参照 sudoers ファイルにより、ユーザーのデバイスが誤動作する可能性があります。
- コントロール sudo ファイル
このオプションをオンにすると、ファイル sudoers は現在の参照 sudoers ファイルに置き換えられます。
このオプションをオフにすると、ファイル sudoers は変更されません。
既定では、このオプションはオフです。
- 参照 sudo ファイル
このフィールドには、アップロードされた参照 sudoers ファイルの名前が表示されます。
- アップロード
このボタンをクリックするとウィンドウが開き、参照 sudoers ファイルをアップロードできます。
- 現在の参照 sudo ファイル
このボタンをクリックすると、現在の sudoers ファイルの内容が表示されます。
変更履歴
このタブでは、必要に応じて、ポリシーのリビジョンのリストを表示したり、ポリシーで行われた変更をロールバックすることができます。
ページのトップに戻る