皆様、こんにちは。カスペルスキー製品担当SEの小池です。
昔、とあるお客様から「ネットワークに新しいデバイスが追加されたら、自動で保護製品をインストールさせることはできないか?」とお問い合わせいただいたことがあります。まあ、この案件で利用していたのはカスペルスキー製ではありませんでしたが。。ざんねん。
実はカスペルスキーの場合、管理サーバーであるKaspersky Security Centerでこれを実現できます。
具体的には、KSCから定期的にポーリングを実施し、検知した新しいデバイスにエンドポイント系保護製品を自動インストールするという実装が可能です。
今回の記事ではこの自動インストール機能の概要と設定方法を紹介いたします。
今回の記事では以下のバージョンを利用しています。
- Kaspersky Security Center:12.0.0.7734
- Kaspersky Endpoint Security for Windows:11.5.30.590
概要
KSCの自動インストールは "管理対象デバイス" グループ もしくは 任意に作成下グループ単位で設定することができ、そしてそのグループに所属したデバイスに対してカスペルスキー製品をインストールを行うという仕組みです。
任意の条件にヒットするデバイスを自動で検出し、自動でグループに移動させ、自動で製品をインストールする場合、処理は以下の図のように進みます。
上記を実現させるために設定すべき事項は以下の通りです。
① 自動インストールしたい製品のインストールパッケージを作成する。
② 自動インストール用グループを作成する。
③ ①のグループに自動インストール設定をする。
④ 自動インストールタスクを編集する。
⑤ 未割り当てデバイスの移動ルールを設定する。
⑥ 必要に応じてポーリングの設定を変更する。
これらの設定方法を後述します。
なお、2021/3/8時点の情報としてKSC12ではポーリングは、以下三種類のポーリングが存在します。利用する環境で有用と思われるポーリング設定を利用してください。なお、管理デバイス数が極端に多い場合は各ポーリングの有効/無効 及び 実行間隔によって負荷がかかる場合があります。
- Windowsネットワークのポーリング:デフォルト有効。15分ごとに実行される。
- Active Directoryのポーリング:デフォルト有効。60分ごとに1回実行される。
- IPアドレス範囲のポーリング:デフォルト無効。
設定方法
前述した設定方法について記載します。
① 自動インストールしたい製品のインストールパッケージを作成する。
KSCの自動インストール機能では、自動インストールしたい製品のインストールパッケージが必須です。
インストールパッケージの作成方法は2通りあります。
KSC経由で直接インストールパッケージをダウンロードしてくる場合は、コンソールの[管理サーバー]>[詳細]>[リモートインストール]>[インストールパッケージ]を開き、[その他の操作]>[カスペルスキー製品の現在のバージョン表示]から作成できます。
既にパッケージに必要な資源をダウンロードしている場合は、Kaspersky製品ナレッジ第15回の記事を参考にインストールパッケージを作成してください。
② 自動インストール用グループを作成する。
自動インストールは"管理対象デバイス"グループか、その他任意のグループに設定することができます。
今回は検証用のグループを作成し、そのグループに自動インストールを設定します。
コンソールで[管理対象デバイス]を右クリックし、[新規作成]>[グループ]をクリックします。
任意のグループ名を指定し、[OK]をクリックします。
③ ①のグループに自動インストール設定をする。
前の手順で作成したグループを右クリックし、[プロパティ]を開きます。
セクションで[自動インストール]を開き、自動インストールしたい製品にチェックを入れ、[OK]をクリックします。
④ 自動インストールタスクを編集する。
コンソールの[管理サーバー]>[タスク]を開きます。
一覧に[自動インストール - <自動インストールする製品名>] をいうタスクがあるので、これをダブルクリックします。 (このタスクは任意のグループに自動インストール設定をすると自動的に作成されるタスクです。)
タスクのプロパティ画面において、セクションで[設定]を開きます。
もし、自動インストールの対象デバイスに既にネットワークエージェントがインストール済であるのならば、[ネットワークエージェントを使用する]にチェックを入れます。
自動インストールの対象デバイスにネットワークエージェントが未インストール、もしくは、ネットワークエージェントを自動インストールしたい場合は、[ネットワークエージェントを使用する]のチェックを外します。
続けて、セクション[アカウント]を開き、アカウントの要否を指定します。
自動インストールの対象デバイスに既にネットワークエージェントがインストール済であれば、[アカウントが不要(ネットワークエージェントインストール済み)]を選択します。
自動インストールの対象デバイスにネットワークエージェントが未インストール、もしくは、ネットワークエージェントを自動インストールしたい場合は、[アカウントが必要(ネットワークエージェントの使用なし)]を選択し、管理者権限のアカウント情報を追加します。
設定が終わったら[OK]をクリックします。
⑤ 未割り当てデバイスの移動ルールを設定する。
コンソールで[管理サーバー]>[未割り当てデバイス]を開き、[ルールの設定]をクリックします。
[追加]をクリックします。
セクション[全般]でルールの名前を指定し、移動先グループを指定し、ルールの有効化にチェックを入れます。
移動ルールは様々な条件を指定することができ、項目によってはワイルドカードも使用できます。
今回はデバイス名 (ホスト名) を指定しました。
条件を設定し終わったら[OK]をクリックします。
作成した条件にチェックが入っていることを確認し、[OK]をクリックします。
チェックが入っていないとルール自体が無効になってしまいます。
⑥ 必要に応じてポーリングの設定を変更する。
ポーリングの間隔等を変更したい場合は、コンソールの[管理サーバー]>[詳細]>[デバイスの検索]を開きます。
ここで設定を変更したいポーリングの[ポーリングの設定]から設定を変更できます。
検証結果
実際に上記の設定をした後に、ネットワーク上にデバイスを1個追加して検証してみたところ、正常にネットワークエージェントとKESWがインストールされることを確認できました。
ただし、製品によってはインストール後に再起動が必要なものがあります。KESWも再起動が必要なので、自動インストール完了後に対象デバイスでは以下の画面が出ました。
もし、自動インストール完了後に自動で再起動までさせたい場合は、先述した「④自動インストールタスクを編集する」で、以下の画面の箇所から再起動設定が可能です。
今回の記事は以上です。
今回はKSCを使ったカスペルスキー製品の自動インストール機能のご紹介でした。
KSCにおける製品自動インストールは、いくつかの設定の組み合わせによってほぼ完全自動化することが可能です。
もし「ネットワークに新規で接続されたデバイスに対して、セキュリティ製品を強制的にインストールする機能」がご要件にある場合は、是非カスペルスキー製品をご検討いただけますと幸いです。
この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。
https://www.networld.co.jp/product/kaspersky/
それでは次回の記事でお会いしましょう!