最終回 FCSが示すエンタープライズ・クライアントの守り方
高橋 桂子
NRIラーニングネットワーク株式会社
ラーニングソリューション部
(Microsoft MVP for Windows Server System - ISA Server)
2007/6/25
Microsoft Forefront Client Securityの概要
今回はクライアント層を保護するMicrosoft Forefront Client Security(FCS)を取り上げます。FCSは、Windowsクライアント/サーバ上でウイルス/スパイウェアの検出、削除、脆弱性の検出を行うアンチウイルスソフトウェアです。
この製品は、マイクロソフトが無償公開しているスパイウェア検出/削除ツールのWindows Defenderと、同じく無償公開されているウイルス検出/削除ツールであるMicrosoft Windows悪意のあるソフトウェアの削除ツール(MSRT)の2つのテクノロジーを基に開発されました。第3回で取り上げたMicrosoft Forefront SecurityがSybali社のAntigenをベースとしたウイルス対策製品であるのに対し、FCSは、マイクロソフトが独自に作成したウイルス対策ソフトウェアです。
FCSの最大の特徴は、FCSサーバから、Windows上で実際のウイルス検出、削除を実行するFCSクライアントエージェントの集中管理が実行できるという点です。FCSクライアントが対応しているOSは次のとおりです。
- Windows 2000 Service Pack 4
- Windows XP Service Pack 2
- Windows Vista Business Edition、Enterprise Edition、Ultimate Edition
- Windows Server 2003 Service Pack 1
- Windows Server 2003 R2
FCSでは、企業内のこれらのWindowsでのウイルス対策を既存のActive Directory、Windows Server Update Services(WSUS)、Microsoft Operations Manager(MOM)といったITインフラを活用しながら、集中管理、監視することができます。
FCSサーバの構成
FCSサーバは、Windows Server 2003 SP1 Standard Editionまたは、Enterprise Editionに導入することができます(Windows Server 2003 x64 Editionはサポートしていません)。
FCSサーバには、いくつかの役割(コンポーネント)があり、FCSサーバのインストールを行うときにどの役割を構成するか決定することができます。
 |
■FCSサーバのコンポーネント(役割)
|
| 図1 インストール時の役割の選択 |
FCSサーバを構成する場合、その役割ごとに必要なソフトウェアが異なります。例えば、コレクションデータベースとレポートデータベースの動作にはSQL Server 2005 SP1が、配信サーバにはIIS 6.0やWSUS 2.0 SP1が必要です。
FCSサーバの役割 |
必要ソフトウェア |
| 管理サーバ | .NET Framework 2.0 グループポリシー管理コンソール(GPMC)1.0 SP1 IIS 6.0、ASP .NETおよび Microsoft FrontPage Server Extensions Microsoft管理コンソール(MMC)3.0 |
| コレクションサーバ | なし |
| コレクションデータベースサーバ |
SQL Server 2005 SP1 Enterprise Edition |
| レポーティングサーバとレポートデータベース | SQL Server 2005 SP1 Enterprise Edition (Report Servicesコンポーネントが必要) IIS 6.0、ASP .NETおよび Microsoft FrontPage Server Extensions |
| 配信サーバ | IIS6.0、ASP.NET .NET Framework 2.0 WSUS2.0 SP1 |
| 表1 FCSサーバの役割と必要なソフトウェア (出典:Microsoft Technet システム必要条件) |
また、FCSでは、クライアントの監視にMOMのフレームワークを使用しますが、FCSには、MOM 2005 SP1が含まれており、FCSサーバのインストール時に同時にMOMもインストール、構成されます。
FCSでは、5つの役割を1台のコンピュータにすべて実装するシングルサーバトポロジー構成も可能ですが、その場合、1台のサーバにSQL Server、IISサーバ、WSUSサーバ、MOMサーバなどの機能が集中することになるため、拡張性やパフォーマンスの最適化を考えると、複数のサーバに分散して構成するマルチサーバトポロジー構成が推奨されます。
ポリシーによる集中管理
FCSの最大の特徴は、FCSエージェントの動作を管理サーバからすべて集中管理することができる点です。FCSエージェントの管理はすべて[Microsoft Forefront Client Securityコンソール]からポリシーを定義することで行います。これにより、次のようなエージェントの動作を設定できます。
カテゴリ |
設定 |
| マルウェア対策 | ウイルスとスパイウェアの検出機能のオン/オフ リアルタイムスキャンの有効化 スキャン実行のスケジューリング ヒューリスティック分析の有効化 検疫動作の設定 特定ファイルのスキャン除外設定 特定のマルウェアに対する既定の動作の変更 |
| セキュリティ状態の評価 | 脆弱性の検出スキャン実行のオン/オフ スキャン実行のスケジューリング |
| 定義ファイル(シグネチャ)の更新 | WSUSへの更新プログラムの確認頻度 Microsoft Updateサイト使用 |
| レポート |
FCSサーバに送信する警告のレベルの設定 ログの構成 オンラインコミュニティSpyNetへのレポートの作成 |
| ユーザー操作制限 | FCSエージェントの設定変更許可・拒否 FCS管理ツールの表示・非表示 |
| 表2 FCSのポリシー定義可能な項目一覧 |
 |
| 図2-1 ポリシーの設定 FCS管理サーバでポリシーを作成することで、FCSクライアントエージェントの動作を集中管理する。 |
 |
[ポリシーの編集]ダイアログでは次のようなFCSクライアントの設定が可能
[保護] マルウェア対策 マルウェアのスキャン セキュリティ状態の評価 [詳細] マルウェア定義の更新プログラム マルウェアのスキャンオプション マルウェアのスキャンからの除外 クライアントのオプション [上書き] マルウェアの脅威に基づく上書き カテゴリと重大度に基づく上書き [レポートの作成] 警告レベル ログ SpyNet |
| 図2-2 [ポリシーの編集]ダイアログ | |
つまり、FCSでは、クライアント上でのFCSエージェントによるウイルススキャンに関して、ウイルススキャンの方法や定義ファイルの更新、FCSサーバにレポートする警告のレベルやポリシーによって構成された設定をユーザーが変更できるかどうかなど、すべての設定を管理コンソールから管理者が行うことができます。
定義したポリシーは、OU(Active Directory組織単位)、セキュリティグループ、GPO(グループポリシーオブジェクト)、レジストリファイルの4つの形式を使用して適用することができます。
FCSクライアントエージェントの構成データは、レジストリHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Securityに保存されますが、管理者は適切な展開先を指定するだけで、このレジストリを自動的に設定することができます。
 |
| 図3 ポリシー展開先の指定 展開先として、OU、グループ、GPO、ファイルを選択可能。 |
展開先 |
配布プラットフォーム |
概要 |
| OU | Active Directoryグループポリシーと同じメカニズム(SYSVOL上のregistory.polファイル)により自動配布 | Active Directory組織単位(OU)に登録されているコンピュータアカウントを対象にする |
| セキュリティグループ | Active Directoryのセキュリティグループのメンバーになっているコンピュータアカウントを対象にする | |
| GPO |
既存のグループポリシーオブジェクトを直接編集し、そのグループポリシーオブジェクトの適用対象となるコンピュータアカウントを対象にする | |
| レジストリファイル | Registory.polファイルを作成し、手動で配布 | Registory.polファイルを作成するだけなので、共有フォルダなどにこのファイルを配置し、FCSの付属ツール fcslocalpolicytool.exeを使用し、手動でクライアントのレジストリに上書きする必要がある |
| 表3 4種類のポリシーの展開方法 |
例えば、展開先にOUを指定することで、組織内の部門や部署によってFCSエージェントの動作を変えたり、適切なOUの構造がない場合、新規にセキュリティグループを作成し、このグループを指定することで、組織内のWindows XPコンピュータだけに特定のFCSエージェントの構成を適用したりすることができます。
さらに公開サーバなどActive Directoryドメインに参加していないコンピュータに対しては、レジストリファイルにポリシーを保存し、管理者が手動でレジストリを上書きすることで、FCSエージェントの構成が可能です。
1/3 |
 |
| Index | |
| FCSが示すエンタープライズ・クライアントの守り方 | |
 |
Page1 Microsoft Forefront Client Securityの概要 FCSサーバの構成 ポリシーによる集中管理 |
| Page2 FCSクライアントの機能 |
|
| Page3 MOMによる監視とレポーティング |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
