株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第34回 ~KSC13でKaspersky製品を一元管理する際に必要なタスク概要 (KSWS 11.0.0.480 編)~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

 

前回 Kaspersky Endpoint Security for Linux で利用できるタスクについてご紹介いたしました。
今回はその続編として、 Kaspersky Security for Windows Server (11.0.0.480) (※) のタスクをご紹介いたします。
タスクはカスペルスキー製品の運用を自動化するためには必須です。
カスペルスキー製品を社内で運用する方の助けになれば幸いにございます。
※1…以降KSWS 11.0.0.480 と記載します。

今回の内容は以下の通りです。

 

今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。

●管理サーバー
  OS:Windows Server 2019
  DB:Microsof SQL Server 2017 Express
  Kaspersky Security Center:13.0.0.111247
  Kaspersky Security Center Web Console:13.0.10285
  Kaspersky Security for Windows Server のプラグイン:11.0.0.480

●保護製品
  Kaspersky Security for Windows Server:11.0.0.480

●利用ライセンス
  Kaspersky Hybrid Cloud Security Enterprise, CPU Japanese Edition.

 

KSC13ではWebコンソールの利用が推奨されているので、今回の画面ショットはすべてWebコンソールのものを使用します。

KSWS 11.0.0.480 プラグインの導入

KSC13 で KSWS 11.0.0.480 を管理するには、KSC13 に KSWS 11.0.0.480 のプラグインを導入する必要があります。
この記事を書いている2021/6/21時点で、KSC13 Webコンソールからは KSWS 11.0.0.480 のプラグインを直接指定して導入することができなかったため、メーカーのダウンロードサイトからダウンロードする手順で実施しました。

https://www.kaspersky.co.jp/small-to-medium-business-security/downloads/virtualization-hybrid-cloud?utm_content=downloads&_ga=2.263285388.1003009243.1624258221-687093959.1620711913

f:id:networld-blog-post:20210624093437p:plain

ダウンロードしておいたzipファイルを展開しておきます。

Webコンソールの[コンソールの設定]>[WEBプラグイン]をクリックします。

f:id:networld-blog-post:20210624093456p:plain

[+ファイルから追加]をクリックします。

f:id:networld-blog-post:20210624093507p:plain

事前にダウンロードしたプラグインを指定し、[追加]をクリックします。

f:id:networld-blog-post:20210624093516p:plain

追加が完了するまで気長に待ちます。
完了すると以下のような画面になるので、[OK]をクリックします。

f:id:networld-blog-post:20210624093532p:plain

[更新] をクリックします。

f:id:networld-blog-post:20210624093543p:plain

Webプラグイン一覧に [Kaspersky Security for Windows Server] と表示されていればOKです。

f:id:networld-blog-post:20210624093553p:plain

 

KSWSにおけるクイックスタートウィザードに関する豆知識

タスクの概要を述べる前に、KSWS 11.0.0.480 におけるクイックスタートウィザードについて少しだけ触れます。

Webコンソールを利用している場合は、KSWS 11.0.0.480 のWebプラグインを導入してもデフォルトのタスクは作成されません。
よってこの場合、必要なタスクはすべて自分で作成する必要があります。

MMCベースのコンソールを利用している場合は、KSWS 11.0.0.480 のプラグインをインストール後にKSC13をのMMCベースコンソールを起動すると、以下のようなクイックスタートウィザード (下記画面) が起動します。
このウィザードをポチポチ進めていくと、ポリシー1個といくつかのタスクを自動作成してくれます。

f:id:networld-blog-post:20210624093707p:plain

KSWS 11.0.0.480 で利用可能なタスクの紹介は後述致しますが、必要なタスクの検討・設計がどうしても面倒なら難しい場合は、MMCベースのコンソールでクイックスタートウィザードを使うのも手です。

 

KSWS 11.0.0.480 タスク紹介

この章では KSWS 11.0.0.480 で利用できる全タスクの概要を述べます。
まず、KSWS 11.0.480 で利用できるタスク一覧がこちらです。

f:id:networld-blog-post:20210624094300p:plain

以降、各タスクの概要を述べます。

 

アプリケーション起動コントロールルールの自動作成

https://support.kaspersky.com/KSWS/11/ja-JP/180691.htm
アプリケーション起動コントロール機能を使ってアプリケーション制御をする場合において、その許可ルールを作ることができる補助タスクです
アプリケーション起動コントロール機能を利用しない場合は不要なタスクとなります。
また、KSWS 11.0.0.480 においては、アプリケーション起動コントロールルールはこのタスクを利用する以外の方法でも作成できるため、アプリケーション起動コントロールを使う際に本タスクが必須というわけではありません
以下はKSWSのポリシーにおけるアプリケーション起動コントロールの設定画面ですが、デフォルトではこの2つしか入っていません。

f:id:networld-blog-post:20210624094501p:plain

これ以外に任意のルールを追加したい場合、このタスクを特定のデバイスに実行することで、許可ルールを自動で作成することができます。
厳密には、このタスクを実行してエクスポートされた.xmlファイルを、ポリシーの設定画面でインポートすることで、自動作成されたルールをポリシーに反映することができます。
実際に本タスクで作成した許可ルールをインポートしたポリシーがこちらです。

f:id:networld-blog-post:20210624094532p:plain

なお、アプリケーション起動コントロールは以下いずれかのライセンスが必要です。

  • Kaspersky Endpoint Security for Business Advanced
  • Kaspersky Hybrid Cloud Security Enterprise CPU
  • Kaspersky Hybrid Cloud Security Enterprise サーバー

 

アプリケーションの整合性チェック

https://support.kaspersky.com/KSWS/11/ja-JP/146632.htm
KSWSのインストールフォルダをチェックし、KSWSモジュールの破損や変更を確認するタスクです。
豆知識として、ライセンスの有効期限が切れた場合でも、このタスクだけは起動します。(他のタスクは起動しなくなります。)

 

ベースラインファイル変更監視

https://support.kaspersky.com/KSWS/11/ja-JP/189889.htm
システム変更監視機能を利用する際、そのベースラインを作成するためのタスクです。
KSWS 11.0.0.480 においては、システム変更監視機能におけるベースラインは手動作成することができず、このタスクを利用して作成するしか方法はありません。
したがって、本製品でシステム変更監視機能を利用する際、本タスクの作成は必須であり、少なくとも1回以上の実行が必要となります。
システム変更監視機能を利用しない場合は、本タスクは不要となります。
(システム変更監視機能の利用方法は後日別の記事でご紹介いたします。)

以下は本タスクを使ってベースラインを作成した際の、タスクの履歴です。

f:id:networld-blog-post:20210624094840p:plain

なお、システム変更監視機能には以下いずれかのライセンスが必要です。

  • Kaspersky Hybrid Cloud Security Enterprise CPU
  • Kaspersky Hybrid Cloud Security Enterprise サーバー

 

デバイスコントロールルールの自動作成

https://support.kaspersky.com/KSWS/11/ja-JP/148416.htm
デバイスコントロール機能を用いてCD/DVD ROMドライブ等のデバイスコントロールをする際において、そのルールを自動作成することができる運用補助タスクです。
デバイスコントロール機能を利用しない場合は不要なタスクとなります。
また、KSWS 11.0.0.480 においては、デバイスコントロールルールはこのタスクを利用する以外の方法でも作成できるため、デバイスコントロールを使う際に本タスクが必須というわけではありません

このタスクを利用した場合、自動作成された許可ルールが.xmlファイルで出力されるので、その.xmlファイルをKSCにインポートしてルールを自動作成します。
以下の画面は、本タスクを利用して生成した.xmlファイルをKSCにインポートして作成した許可ルールです。

f:id:networld-blog-post:20210624095035p:plain

なお、デバイスコントロール機能には以下いずれかのライセンスが必要です。

  • Kaspersky Endpoint Security for Business Advanced
  • Kaspersky Hybrid Cloud Security CPU
  • Kaspersky Hybrid Cloud Security サーバー
  • Kaspersky Hybrid Cloud Security Enterprise CPU
  • Kaspersky Hybrid Cloud Security Enterprise サーバー

 

製品のアクティベーション

https://support.kaspersky.com/KSWS/11/ja-JP/146628.htm
管理対象のKSWSに対してライセンスを配付/更新します。
メインのライセンスのほか、予備のライセンスを配付することも可能です。
ただし、KSC13には管理対象デバイスに対してKSC13に登録済のライセンスを自動配付する "ライセンスの自動配信機能" があり(下図参照)、このタスクはこの機能と被り気味です

f:id:networld-blog-post:20210624095243p:plain

"ライセンスの自動配信機能" は、KSC13に接続しに来たデバイスに対して、KSC13側がいい感じにライセンスを自動配信してくれる便利機能です。
どちらかというと、本タスクを使ってKSWSにライセンスを配付するより、KSC13の "ライセンス自動配信機能" を使ってライセンスを配付する方が簡単です。
よって、本タスクはKSC13の "ライセンス自動配信機能" をONにしていない (できない) 環境、予備ライセンスをどうしても配信したい場合 等で利用するタスクとお考えいただいて問題ないと存じます。

 

オンデマンドスキャン

https://support.kaspersky.com/KSWS/11/ja-JP/148435.htm
いわゆる "定期スキャン" を実施するタスクです。
設定条件に該当するデバイスに対し、スキャンを実施します。
本タスクを新規作成した際のスキャン範囲は下図の通りです。

f:id:networld-blog-post:20210624095349p:plain


アップデートのコピー

https://support.kaspersky.com/KSWS/11/ja-JP/148453.htm
定義データベースのアップデートファイルをダウンロードし、指定したネットワークフォルダーやローカルフォルダーに保存するタスクです。
このタスクはあくまでアップデートファイルを指定したフォルダーに保存するだけであり、その定義ファイルを適用する (更新する) ことはありません
(KSWSに定義データベースやソフトウェアのアップデートを適用するには、後述するタスクが必要です。)

じゃあこのタスクはどういうユースケースで必要になるのかというと、例えば組織内にあるKSWSをアップデート中継機として利用するケースです。
下のURLの "スキーム 2" のユースケースがこれに該当します。

https://support.kaspersky.com/KSWS/11/ja-JP/148456.htm

カスペルスキー製品はネットワークエージェントを利用することで更新中継機となるディストリビューションポイントが構成可能ですが、このタスクを使うとディストリビューションポイントを構成せずに更新中継機を構成できます。(ただしこのタスクでコピーできるのはKSWSの定義データベースのアップデートだけであり、ほかの製品の定義データベースのアップデートは含まれません。)
このように、更新に中継機が必要だがディストリビューションポイントを構成したくない場合にこのタスクが活躍できます。

 

定義データベースのロールバック

https://support.kaspersky.com/KSWS/11/ja-JP/150147.htm
定義データベースとソフトウェアモジュールを以前のバージョンにロールバックすることができます。
KSWSのアップデートで業務アプリケーションが稼働しなくなった場合、定義データベースが正常にアップデートできなかった場合 等に利用することが考えれます。

 

定義データベースのアップデート

https://support.kaspersky.com/KSWS/11/ja-JP/148455.htm
定義データベースのアップデートをするためのタスクです。
(ほかの製品だと定義データベースとソフトウェアモジュールの更新データは同じタスクでアップデートするものが多いですが、KSWSはそれぞれ別のタスクでアップデートします。)
このタスクでは管理対象のKSWSに対し、アップデートデータ有無のタイミングの指示と、その参照先の指示しています。
デフォルトだと本タスクのアップデート参照元とスケジュールは以下の通りに設定されています。

f:id:networld-blog-post:20210624095942p:plain

f:id:networld-blog-post:20210624095950p:plain

上記のデフォルト値の場合、定義DBの更新の流れはこんな感じになります。
(下図の黒い矢印部分は、KSCのタスク "管理サーバーのリポジトリへのアップデートのダウンロード" で実行される部分です。)

f:id:networld-blog-post:20210624100004p:plain

上記以外の流れで定義データベースを更新したい場合は、本タンスのプロパティを変更する必要があります。

 

ソフトウェアモジュールのアップデート

https://support.kaspersky.com/KSWS/11/ja-JP/148454.htm
ソフトウェアモジュールのアップデートをするためのタスクです。
(ほかの製品だと定義データベースとソフトウェアモジュールの更新データは同じタスクでアップデートするものが多いですが、KSWSはそれぞれ別のタスクでアップデートします。)
このタスクでは管理対象のKSWSに対し、アップデートデータ有無のタイミングの指示と、その参照先の指示しています。
デフォルトだと本タスクがKSWSに対して指示しているアップデートデータ参照先はKSCのみとなっています。

f:id:networld-blog-post:20210624100133p:plain

定義データベースのアップデートと異なり、ソフトウェアモジュールのアップデートタスクはデフォルトではスケジューリングされていません。

f:id:networld-blog-post:20210624100204p:plain

KSWSはそもそもミッションクリティカルなWindows Serverの保護を目的とした製品であることから、KSWSのソフトウェアモジュールであっても不用意 もしくは 意図しないアップデートを避けるために、デフォルトではスケジューリングされていないのだと考えられます。

 

これって必須タスク?任意タスク?

必須となるタスクは構成とご要件次第なので "これは絶対に必要だ!!" とは申し上げにくいのですが、ある程度の基準はあるので、参考程度にしていただければと存じます。

f:id:networld-blog-post:20210624100247p:plain

 

今回はKSWSのタスクに関する概要と要否判定ポイントをご紹介いたしました。
タスクや構成によっては、前回ご紹介いたしましたKSC13のタスクと併せて利用する必要があるタスクもあります。
今までご紹介したKESWやKESLと異なり、KSWSはWindows Server向けを意識した製品であることから、各タスクも他の製品にはない細かいオプションがあります。
この記事がKSWSをKSC13で統合管理している環境の運用者様や、構築・設計ご担当者様の助けになれば幸いにございます。

 

この度は最後まで記事をご覧いただき誠にありがとうございました。


記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

 

それでは次回の記事でお会いしましょう!