皆様、こんにちは。カスペルスキー製品担当SEの小池です。
今回はKaspersky Endpoint Security for Windowsとネットワークエージェントを、マスターイメージに導入する手順を紹介いたします。
なお、今回紹介する手順は、Kaspersky Security Center で統合管理することを前提とした手順です。
今回の内容は以下の通りです。
今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。
●管理サーバー
OS:Windows Server 2019
DB:Microsof SQL Server 2017 Express
Kaspersky Security Center:13.0.0.111247
Kaspersky Security Center Web Console:13.0.10285
Kaspersky Endpoint Security for Windows (11.6.0):11.6.0.394
●保護製品
Kaspersky Endpoint Security for Windows 11.6.0.394
●保護対象デバイス
Windows Server 2016
●利用ライセンス
Kaspersky Endpoint Security for Business - Advanced Japanese Edition
KSC13ではWebコンソールの利用が推奨されているので、今回の画面ショットはすべてWebコンソールのものを使用します。
マスターイメージへの導入の流れ
マスターイメージとなる予定のOSにKaspersky Endpoint Security for Windows (以降KESWと記載) とネットワークエージェント(以降NAと記載) を導入するためには、以下の流れで作業します。
Step1. マスターイメージ作成用のスタンドアロンインストールパッケージ (KESW+NA) を作成します。
Step2. 作成したスタンドアロンインストールパッケージを用いて、マスターイメージとなるOSにKESWとNAをインストールします。
Step3. KESWのUIから一部設定を変更します。
Step4. コマンドでNAが保有するデバイスIDを削除します。
Step5. Step4の状態のままマスターイメージを作成します。
Step2 のインストール作業はKSCが存在するネットワークから切り離して実施します。
Step4 のデバイスIDとは、KSCがカスペルスキー製品導入済のデバイスを一意に特定するための文字列で、NAが保有しています。このデバイスIDはNAをインストールするときに自動付与されるのですが、これを削除した状態でマスターイメージを作成することにより、イメージを展開した際にNAがデバイスIDを再取得するので、結果的にデバイスIDが重複することなくKSC側で識別することができます。
マスターイメージ用スタンドアロンインストールパッケージの作成
KESWとNAのスタンドアロンインストールパッケージを作成します。
インストールパッケージの作成方法については以前のブログをご参照ください。(記事はKESLのインストールパッケージを作成していますが、KESWでも手順は同じです。)
この手順では以下のようにKESWとNAのインストールパッケージが存在する状態で手順を説明します。
KESWのインストールパッケージ名をクリックし、プロパティを開きます。
[全般]タブを開きます。
今回はわかりやすいようにパッケージ名の末尾に "_マスターイメージ用" と付与しました。
続けて、[定義データベースのアップデート]をクリックします。
定義データベースのアップデートが始まるのでしばらく待ちます。
更新が終わったら[保存]をクリックします。
先ほど定義データベースをアップデートしたパッケージにチェックを入れ、[製品の導入] をクリックします。
[スタンドアロンパッケージを使用]を選択し、[次へ]をクリックします。
同時にインストールするネットワークエージェントを選択して[次へ]をクリックします。
インストール後にデバイスをどこのグループに移動するかを設定します。
任意に設定して[次へ]をクリックします。
スタントアロンインストールパッケージの作成が始まりますので、しばらく待ちます。
完成したら以下のような画面になるので、[終了]をクリックします。
以上でスタンドアロンインストールパッケージの作成は完了です。
マスターイメージへの導入手順
次に作成したスタンドアロンインストールパッケージを用いて、マスターイメージとなるOSにKESWとNAをインストールします。
この際、マスターイメージになる予定のOSをKSCが存在するネットワークから切り離してから、インストールを実施してください。
ネットワークの切り離しが終わったら、前の手順で作成したインストーラーを管理者権限で実行してNAとKESWをインストールします。
なお、ウィザードの中で実施している管理サーバーとの接続確認は失敗しますが、問題ありません。
終了したら[閉じる]をクリックします。
OSを再起動します。
再起動時もKSCがあるネットワークから切断した状態にしてください。
再起動が完了したら、タスクトレイからKESWのUIを起動し、[保護機能] をクリックします。
[全般]>[セルフディフェンス]の以下2項目のチェックを外し、[保存] をクリックします。
保存したらKESWのUIを閉じます。
次に、services.mscでサービス一覧を表示させ、 "Kaspersky Security Center ネットワークエージェント" を停止させます。
サービス一覧画面を閉じます。
次に、NAが保有するデバイスIDを削除します。
管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行します。
> cd C:\Program Files (x86)\Kaspersky Lab\NetworkAgent
> klmover.exe -dupfix
実行後、出力に "動作が正常に終了しました" と表示されることを確認します。
続けて以下のコマンドを実行します。
出力結果の "デバイスID" 欄に文字列が表示されていないことを確認します。
(管理サーバーへの接続が失敗しますが、気にせず続けてください。)
> klnagchk.exe
コマンドプロンプトを閉じます。
この状態のままイメージを取得してください。
マスターイメージを作成後、マスターイメージから試験的に数台展開して、展開したOSすべてでNAが保有するデバイスIDが異なることと、KSCで別デバイスとして認識されていることを確認します。
(マスターイメージからの展開時、および展開後はKSCが存在するネットワークに接続して問題ありません。)
展開したOSのうち2つ以上で、以下のコマンドを管理者権限で実行します。
> cd C:\Program Files (x86)\Kaspersky Lab\NetworkAgent
> klnagchk.exe
出力確認1台目
出力確認2台目
上記の通り、マスターイメージから展開したOSにおいて、カスペルスキーのネットワークエージェントが保持するデバイスIDが異なっていることを確認します。
続いて、KSCのWebコンソールから[デバイス]>[管理対象デバイス]を開きます。
スタンドアロンインストーラー作成時に指定した、インストール後に移動するグループを表示させます。(今回の例では"管理対象デバイス" です。)
デバイス一覧に、マスターイメージから展開したOSがすべて表示されていることを確認します。
以上でマスターイメージへの導入手順は終了です。
最後に余談ですが、マスターイメージでUIから変更した設定2か所は、KSCにあるKESWのポリシーが適用され次第、そのポリシーで設定している値に上書きされます。
ですので、本手順で変更した設定箇所がそのままになる心配はありません。
今回はKaspersky Endpoint Security for Windows とネットワークエージェントをマスターイメージに導入する方法について紹介いたしました。
マスターイメージに導入して、何千台も展開してからデバイスID重複していることに気づいて大惨事・・・となってしまわないよう、事前にマスターイメージへの導入手順をご確認いただいてから試行いただければと存じます。
この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。
https://www.networld.co.jp/product/kaspersky/
それでは次回の記事でお会いしましょう!
