[運用]

Windows Intuneで始めるPC管理
―― クラウド型PC管理サービスのメリットと活用方法を探る ――

第3回 Windows Intune管理者の実作業と注意点 その2

1.マルウェア(ウイルス)対策

マイクロソフト株式会社
エバンジェリスト
高添 修(http://blogs.technet.com/b/osamut
2011/08/04
Page1 Page2 Page3

■本連載の目次
Windows Intuneは時間のないIT管理者の味方か?
Windows Intune管理者の実作業と注意点 その1
第3回
Windows Intune管理者の実作業と注意点 その2

  前回は、Windows Intuneクライアント・ソフトウェアのインストールからコンピュータのグループ化、そして主要機能としてインベントリと更新プログラムの管理について触れた。最終回となる今回は、引き続きWindows Intuneの主要機能について、実際に利用する際の管理者の作業と、知っておくべき注意点などを解説していく。

 今回取り扱う機能は以下のとおりである。

マルウェア(ウイルス)対策

 第1回でも触れたとおり、Windows Intuneの契約の中には、マイクロソフトが提供している有償のマルウェア対策ソフトウェアForefront Endpoint Protection(以下FEP)が含まれている。このソフトウェアについて、管理者が押さえておくべきポイントをそれぞれ見ていこう。

処理エンジンは単体製品の「Forefront Endpoint Protection」と同じ
 まずは処理エンジンだが、コントロール・パネルの[プログラムの追加と削除]でインストールされたソフトウェアの名前を確認すると「Windows Intune Endpoint Protection」となっている。ただ、マルウェアを駆除する処理エンジンはマイクロソフトが単体で販売しているマルウェア対策製品「Forefront Endpoint Protection」と同じものである。

Windows Intuneで管理されるPCにインストールされたForefront Endpoint Protection(FEP)の画面
ウィンドウ・タイトルは「Windows Intune Endpoint Protection」となっているが、マルウェアをスキャンするエンジン部分は、単体版のFEPと同じものが使われている。

定義ファイルの更新は自動処理
 悪意のあるプログラムも日々進化をしており、定義ファイルが古ければ最新の脅威を見つけ出せないため、定義ファイルの更新も重要な作業の1つだ。Windows Intuneの場合、定義ファイルの更新は自動化されているので、特別な作業をせずにPC側を常に最新の状態に保つことができる。

展開も自動処理で、無効化も可能
 Windows Intuneの場合、クライアント・ソフトウェアのインストールによってFEPも自動で展開できるため、マルウェア対策ソフトウェアの展開に関して追加の作業を必要としない。セキュリティは高く保ちたいが、作業はできるだけ減らしたいという管理者には望ましい機能だと思われる。ただし、ここには注意すべき点がある。恐らく、一般的な企業ではすでにマルウェア対策ソフトウェアは導入済みだろう。そこでWindows Intuneは、クライアント・ソフトウェアのインストール時に、PCにほかのマルウェア対策ソフトウェアが存在するかをチェックし、なければFEPをインストールし、すでに動作しているものがあればインストールしないようになっている。自動的に無効化するだけでなく、管理者が意図的にFEPを無効にする機能も用意されている。それにはWindows Intuneのポリシー機能を利用する(ポリシーの詳細についてはこの後に説明する)。設定手順は次のように数ステップの容易な作業で済む。

Windows Intuneのポリシー機能を使ってFEPを無効化する
Windows Intuneのポリシー機能を使うと、FEPの利用を制御できる。まずは大項目の[ポリシー]を選択してから、新しいポリシーを作成する。
これをクリックする。
これが選択されていることを確認する。
これをクリックすると、新しいポリシー用のテンプレート選択画面が表示される。

 上の画面のをクリックすると「新しいポリシー用のテンプレートの選択」ダイアログが表示されるので、[Windows Intuneエージェントの設定]が選択されていることを確認してから、[ポリシーを作成する]ボタンを押す。ポリシー作成画面が表示されるので、ポリシーに付ける名前を入力してから下にスクロールすると、FEPに関する設定が表示される。「Endpoint Protection を有効にする」という項目に対して[いいえ]を選択するとFEPを無効化できる。

FEPを無効にする設定
既存のマルウェア対策ソフトウェアを利用する場合、意図的にFEPを無効化できる。この設定は各PCに1台ずつ実施するのではなく、ポリシーを作成・設定して、各PCが所属するコンピュータ・グループに割り当てる。
これをクリックして、このポリシーに名前を付ける。
このペインをスクロールしてFEPの設定項目を見つける。
これをオンにすると、FEPを無効化できる。

 上記の設定が済んだら、[ポリシーの保存]ボタンを押す。すると「このポリシーを今すぐ展開しますか?」というダイアログが表示されるので、[はい]ボタンを押す。次に表示される「このポリシーを展開するグループを選択します」ダイアログで、FEPを無効化するコンピュータ・グループを指定すれば、設定は完了だ。

FEP無効化ポリシーをコンピュータ・グループに適用する
作成したポリシーはコンピュータ・グループに適用する。例えば、ソフトウェア導入時期の都合により、九州支店のPCだけは別のマルウェア対策製品を使い続ける必要があるといった場合にも、Windows Intuneのポリシー設定だけで該当支店のみFEPを無効化できる。
ポリシーを適用したいコンピュータ・グループにチェックを入れてオンにする。階層構造をうまく利用すれば、作業の効率化にもつながる。

 このように、Windows Intuneを利用するにしても、既存のマルウェア対策ソフトウェアがあればそのまま使い続けてもよい。ただ、Windows Intuneには必ずFEPのライセンスが付属するため、既存のマルウェア対策ソフトウェアをFEPに置き換えるとそのコストを圧縮できるかもしれない。既存ソフトウェアの契約更新時期や新しく導入するPCからFEPに置き換えていくという選択肢もあるだろう。

感染時も自動処理
 PCがマルウェアに感染した場合、PCにインストールされたFEPがリアルタイムに検知し、自動的に駆除や隔離といった処理が行われる。また、感染したという情報はアラートとしてWindows Intuneのサイトやメール通知で確認できる。そのため、管理者自身が駆除作業を行う必要はなく、アラートとして届いた感染情報を見て、必要に応じて感染したマルウェアのリスクを確認したり、社内へ警告を発したりするだけでよい。

 またFEPは、デフォルトで定期的にPCをスキャンする。このスキャン・タイミングもポリシーの設定として変更できる。ポリシーを作成してコンピュータ・グループに割り当てるという流れは、前述のFEP無効化のようなポリシーの設定作業と同じである。

Windows Intuneのマルウェア・スキャン設定画面
スキャンのスケジュールは、デフォルトでは午前2時に設定されている。その時間はどのPCも電源がオフになっているということならば、PCの電源が入っていて、かつ業務に支障が少ない時間帯に変更するとよいだろう。
これをクリックする。
既存のポリシーを編集する場合は、これをクリックする。
PCのクイック・スキャンまたはフル・スキャンのタイミングを指定する。

実際に感染したときのWindows Intuneの挙動
 Windows Intuneの管理対象PCをテスト用のマルウェアに感染させてみると、PC側では感染ファイルが見つかったというポップが即座に表示され、同時にマルウェアの無効化という処理が行われる。これはWindows Intuneのデフォルトの処理がマルウェアの検疫であり、自動的に削除しないからだ。業務上必要なファイルなどのように、強制的なファイル削除を望まない場面を考慮してのことだろう。もちろんこの挙動もポリシーによって制御が可能なので、自動的に削除するという設定にしておけば、ユーザーが手動で削除する手間を省くことができる。

マルウェア感染時の管理対象PC側の画面
自動削除ではなく検疫がデフォルトなので、FEPが該当ファイルに感染したマルウェアを一時停止状態にし、推奨される操作として削除を促していることが分かる。業務で利用しているファイルが感染してしまった場合、ファイルそのものを削除すべきか否かは難しい選択だ。しばらくはデフォルトの設定のまま運用し、必要に応じて自動削除の方を選ぶのもよいだろう。

 一方Windows Intuneサイトでは、感染後しばらくすると、大項目の[アラート]と[Endpoint Protection]の両方に情報が表示される。一時的な処置は管理対象PC側で行われているので、管理者は感染したマルウェアの情報を収集し、自社への影響について考えることになる。そして、[Endpoint Protection]を選んで右ペインに表示されたマルウェアの情報からは、Microsoft Malware Protection Centerというマイクロソフトが提供するマルウェア情報サイト(現時点では英語表記)へのリンクも表示されるので、わざわざ検索エンジンを使うことなくそのマルウェアがどのような脅威なのかを確認できる。

Windows Intuneサイトから見えるマルウェアの情報
大項目の[Endpoint Protection]をクリックすると、感染したマルウェアの情報が表示される。
これをクリックする。
これをクリックする。
検出されたマルウェアの例。フォローアップ(対処)が必要かどうか、最終検出時間なども表示される。
このリンクをクリックすると、該当するマルウェアに関する詳細な情報が表示される。→

FEPが表示するマルウェア情報ページの例
Microsoftによるマルウェア情報サイトMicrosoft Malware Protection Centerから、FEPが検出したマルウェアの説明ページが表示される。執筆時点では英語で表記されていた。


 INDEX
  [運用]Windows Intuneで始めるPC管理
  第3回 Windows Intune管理者の実作業と注意点 その2
  1.マルウェア(ウイルス)対策
    2.ポリシー設定とアラート(稼働監視)、メール通知
    3.リモート・アシスタンスとレポート、アカウント管理

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間