株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第38回 ~Kaspersky Endpoint Security for Windows とネットワークエージェントをマスターイメージに導入する~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

今回はKaspersky Endpoint Security for Windowsとネットワークエージェントを、マスターイメージに導入する手順を紹介いたします。
なお、今回紹介する手順は、Kaspersky Security Center で統合管理することを前提とした手順です

今回の内容は以下の通りです。

  1. マスターイメージへの導入の流れ
  2. マスターイメージ用スタンドアロンインストールパッケージの作成
  3. マスターイメージへの導入手順


今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。

●管理サーバー
 OS:Windows Server 2019
 DB:Microsof SQL Server 2017 Express
 Kaspersky Security Center:13.0.0.111247
 Kaspersky Security Center Web Console:13.0.10285
 Kaspersky Endpoint Security for Windows (11.6.0):11.6.0.394

●保護製品
 Kaspersky Endpoint Security for Windows 11.6.0.394

●保護対象デバイス
 Windows Server 2016

●利用ライセンス
 Kaspersky Endpoint Security for Business - Advanced Japanese Edition

KSC13ではWebコンソールの利用が推奨されているので、今回の画面ショットはすべてWebコンソールのものを使用します。

1. マスターイメージへの導入の流れ
マスターイメージとなる予定のOSにKaspersky Endpoint Security for Windows (以降KESWと記載) とネットワークエージェント(以降NAと記載) を導入するためには、以下の流れで作業します。

 Step1. マスターイメージ作成用のスタンドアロンインストールパッケージ (KESW+NA) を作成します。
 Step2. 作成したスタンドアロンインストールパッケージを用いて、マスターイメージとなるOSにKESWとNAをインストールします。
 Step3. KESWのUIから一部設定を変更します。
 Step4. コマンドでNAが保有するデバイスIDを削除します。
 Step5. Step4の状態のままマスターイメージを作成します。

Step2 のインストール作業はKSCが存在するネットワークから切り離して実施します
Step4 のデバイスIDとは、KSCがカスペルスキー製品導入済のデバイスを一意に特定するための文字列で、NAが保有しています。このデバイスIDはNAをインストールするときに自動付与されるのですが、これを削除した状態でマスターイメージを作成することにより、イメージを展開した際にNAがデバイスIDを再取得するので、結果的にデバイスIDが重複することなくKSC側で識別することができます。

2. マスターイメージ用スタンドアロンインストールパッケージの作成
KESWとNAのスタンドアロンインストールパッケージを作成します。
インストールパッケージの作成方法については以前のブログをご参照ください。(記事はKESLのインストールパッケージを作成していますが、KESWでも手順は同じです。)

blogs.networld.co.jp



この手順では以下のようにKESWとNAのインストールパッケージが存在する状態で手順を説明します。

f:id:networld-blog-post:20210728165254p:plain

KESWのインストールパッケージ名をクリックし、プロパティを開きます。

f:id:networld-blog-post:20210728165329p:plain

[全般]タブを開きます。
今回はわかりやすいようにパッケージ名の末尾に "_マスターイメージ用" と付与しました。
続けて、[定義データベースのアップデート]をクリックします。

f:id:networld-blog-post:20210728165347p:plain

定義データベースのアップデートが始まるのでしばらく待ちます。

f:id:networld-blog-post:20210728165359p:plain

更新が終わったら[保存]をクリックします。

f:id:networld-blog-post:20210728165411p:plain

先ほど定義データベースをアップデートしたパッケージにチェックを入れ、[製品の導入] をクリックします。

f:id:networld-blog-post:20210728165424p:plain

[スタンドアロンパッケージを使用]を選択し、[次へ]をクリックします。

f:id:networld-blog-post:20210728165434p:plain

同時にインストールするネットワークエージェントを選択して[次へ]をクリックします。

f:id:networld-blog-post:20210728165444p:plain

インストール後にデバイスをどこのグループに移動するかを設定します。
任意に設定して[次へ]をクリックします。

f:id:networld-blog-post:20210728165455p:plain

スタントアロンインストールパッケージの作成が始まりますので、しばらく待ちます。

f:id:networld-blog-post:20210728165506p:plain

完成したら以下のような画面になるので、[終了]をクリックします。

f:id:networld-blog-post:20210728165517p:plain

以上でスタンドアロンインストールパッケージの作成は完了です。

3. マスターイメージへの導入手順
次に作成したスタンドアロンインストールパッケージを用いて、マスターイメージとなるOSにKESWとNAをインストールします。
この際、マスターイメージになる予定のOSをKSCが存在するネットワークから切り離してから、インストールを実施してください
ネットワークの切り離しが終わったら、前の手順で作成したインストーラーを管理者権限で実行してNAとKESWをインストールします。

f:id:networld-blog-post:20210728165611p:plain
なお、ウィザードの中で実施している管理サーバーとの接続確認は失敗しますが、問題ありません
終了したら[閉じる]をクリックします。

f:id:networld-blog-post:20210728165640p:plain

OSを再起動します。
再起動時もKSCがあるネットワークから切断した状態にしてください。
再起動が完了したら、タスクトレイからKESWのUIを起動し、[保護機能] をクリックします。

f:id:networld-blog-post:20210728165700p:plain

[全般]>[セルフディフェンス]の以下2項目のチェックを外し、[保存] をクリックします。

f:id:networld-blog-post:20210728165710p:plain

保存したらKESWのUIを閉じます。

次に、services.mscでサービス一覧を表示させ、 "Kaspersky Security Center ネットワークエージェント" を停止させます。

f:id:networld-blog-post:20210728165727p:plain

f:id:networld-blog-post:20210728165734p:plain

サービス一覧画面を閉じます。

次に、NAが保有するデバイスIDを削除します。
管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行します。
 > cd C:\Program Files (x86)\Kaspersky Lab\NetworkAgent
 > klmover.exe -dupfix


実行後、出力に "動作が正常に終了しました" と表示されることを確認します。

f:id:networld-blog-post:20210728165806p:plain

続けて以下のコマンドを実行します。
出力結果の "デバイスID" 欄に文字列が表示されていないことを確認します。
(管理サーバーへの接続が失敗しますが、気にせず続けてください。)
 > klnagchk.exe

f:id:networld-blog-post:20210728165841p:plain

コマンドプロンプトを閉じます。

 この状態のままイメージを取得してください

マスターイメージを作成後、マスターイメージから試験的に数台展開して、展開したOSすべてでNAが保有するデバイスIDが異なることと、KSCで別デバイスとして認識されていることを確認します。
(マスターイメージからの展開時、および展開後はKSCが存在するネットワークに接続して問題ありません。)

展開したOSのうち2つ以上で、以下のコマンドを管理者権限で実行します。
 > cd C:\Program Files (x86)\Kaspersky Lab\NetworkAgent
 > klnagchk.exe


出力確認1台目

f:id:networld-blog-post:20210728170055p:plain

出力確認2台目

f:id:networld-blog-post:20210728170110p:plain

上記の通り、マスターイメージから展開したOSにおいて、カスペルスキーのネットワークエージェントが保持するデバイスIDが異なっていることを確認します。

続いて、KSCのWebコンソールから[デバイス]>[管理対象デバイス]を開きます。
スタンドアロンインストーラー作成時に指定した、インストール後に移動するグループを表示させます。(今回の例では"管理対象デバイス" です。)
デバイス一覧に、マスターイメージから展開したOSがすべて表示されていることを確認します。

f:id:networld-blog-post:20210728170137p:plain

以上でマスターイメージへの導入手順は終了です。

最後に余談ですが、マスターイメージでUIから変更した設定2か所は、KSCにあるKESWのポリシーが適用され次第、そのポリシーで設定している値に上書きされます。
ですので、本手順で変更した設定箇所がそのままになる心配はありません。

f:id:networld-blog-post:20210728170152p:plain

 

今回はKaspersky Endpoint Security for Windows とネットワークエージェントをマスターイメージに導入する方法について紹介いたしました。
マスターイメージに導入して、何千台も展開してからデバイスID重複していることに気づいて大惨事・・・となってしまわないよう、事前にマスターイメージへの導入手順をご確認いただいてから試行いただければと存じます。

この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

 

それでは次回の記事でお会いしましょう!