株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第50回 ~Kaspersky保護製品導入後に自動でグループ分けする方法 ②スタンドアロンインストールパッケージに設定する場合~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

今週も先週に引き続き、KSCにおいてグループ分けを自動化する方法について記載します。
先週は移動ルールを使う方法について紹介いたしましたが、今週はスタンドアロンインストールパッケージにグループ移動設定をする方法について紹介いたします。

今回の内容は以下の通りです。

今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。
●管理サーバー
 OS:Windows Server 2019
 DB:Microsof SQL Server 2017 Express (KSCと同居)
 Kaspersky Security Center:13.1.0.8324
 Kaspersky Security Center Web Console:13.1.918
●保護対象デバイス
 Windows Server 2019
●保護製品
 Kaspersky Endpoint Security for Windows 11.6.0.394
●利用ライセンス
 Kaspersky Endpoint Security for Business - Advanced Japanese Edition.

1. スタンドアロンインストールパッケージにグループ設定をする方法の概要

カスペルスキーのエンドポイント保護系の製品は、スタンドアロンインストールパッケージというものを作成することができます。
スタンドアロンインストールパッケージとは、カスペルスキーの端末保護系の製品のインストーラーで、主にKSCで統合管理しているケースで使用します。
KSCで統合管理している環境において、スタンドアロンインストールパッケージの内容は以下いずれかになります。

  • カスペルスキーエンドポイント系保護製品+ネットワークエージェント
  • カスペルスキーエンドポイント系保護製品のみ
  • ネットワークエージェントのみ

上記の3つのケースのうち、ネットワークエージェントが含まれているケース (つまり上記の1個目と3個目のケース) において、インストール時にKSCで作成済の任意のグループに自動で所属させることが可能です

逆にネットワークエージェントを含めていないスタンドアロンインストーラー、つまり上記の2個目のケースにおいては、インストール時に任意のグループに自動で所属させる設定はできません。

スタンドアロンインストールパッケージを用いたグループの自動振り分けの使用例として、以下のようなケースがあります。

  1. 管理者がKSCで移動先グループを作成する。
  2. 管理者がスタンドアロンインストールパッケージを作成する際、1. で作成したグループに移動する設定をする
  3. 管理者はスタンドアロンインストールパッケージを共有し、各ユーザーに自分の部署のインストーラーを用いたインストールを依頼する。
  4. ユーザーは自分が実行すべきスタンドアロンインストールパッケージをコピーし、インストールを実行する。
  5. スタンドアロンインストールパッケージに仕込まれたグループ移動の設定に従い、KSC上で各デバイスは自動でグルーピングされる。

上の使用例を図にするとこんな感じです。

f:id:networld-blog-post:20211014171414p:plain

前回紹介した移動ルールとは異なり、単純に「このスタンドアロンインストールパッケージでインストールしたらグループXXXに所属させる」という設定が可能なので、とてもわかりやすいかと存じます

ただし、この方法…実はインストールパッケージ自体にグループ自動移動の設定を仕込んでいるわけではないのです!!

上の図の②でスタンドアロンインストールパッケージ (グループ移動設定あり) を作成した時点で、こっそり移動ルール (※) がKSC側で作成されているのです!!!
※…移動ルールについては前回のブログ (こちら) をご参照ください。

なので、②で作成したスタンドアロンインストールパッケージには「グループXXXにデバイスを移動させる」という設定は実は入っていないです。
実際に上の図の②スタンドアロンインストールパッケージ (グループ移動設定あり) の作成が完了した時点で、移動ルールには以下のようなルールが勝手に作成されます

f:id:networld-blog-post:20211014171640p:plain

逆に言うと、②の作業完了後にKSCでうっかり自動作成されたルールを削除してしまうと、自動のグループ移動ができなくなってしまうのでご注意ください。

2. スタンドアロンインストールパッケージにグループ設定をする手順

この章では、実際にスタンドアロンインストールパッケージに、所属先グループの設定をする方法を紹介いたします
なお、スタンドアロンインストールパッケージの作成には、まずインストールパッケージが存在する必要があります
既にスタンドアロンインストールパッケージに用いるインストールパッケージがある方は、「2.2. スタンドアロンインストールパッケージの作成」 より実施してください。

2.1. インストールパッケージの作成

この節では、スタンドアロンインストールパッケージの作成に必要となるインストールパッケージを作成します
Webコンソールから[検出と製品の導入]>[導入と割り当て]>[インストールパッケージ]を開き、[+追加]をクリックします。

f:id:networld-blog-post:20211014171841p:plain

この手順では例として、[カスペルスキー製品のインストールパッケージを作成する] を選択します。[次へ]をクリックします。

f:id:networld-blog-post:20211014171849p:plain

選択可能な項目が非常に多いのでフィルタリングしたほうが間違えにくいと存じます。[フィルター]をクリックします。

f:id:networld-blog-post:20211014171902p:plain

任意の項目でフィルターを設定し、[適用]をクリックします。
ここでは例として、言語が日本語になっているものをフィルターします。

f:id:networld-blog-post:20211014171914p:plain

フィルター適用後は画面右上の[×]をクリックします。

f:id:networld-blog-post:20211014171923p:plain

「種別」列が配布パッケージとなっているものから目的の端末保護製品を探し、その製品名をクリックします。
ここでは例として、[Kaspersky Endpoint Security for Windows (11.6.0) (日本語) (Strong encryption)] で進めます。

f:id:networld-blog-post:20211014171935p:plain

[ダウンロードしてインストールパッケージを作成]をクリックします。

f:id:networld-blog-post:20211014171945p:plain

[閉じる]をクリックします。

f:id:networld-blog-post:20211014171956p:plain

右上の[×]をクリックします。

f:id:networld-blog-post:20211014172007p:plain

インストールパッケージ一覧画面に戻るので、一覧の中にスタンドアロンインストールパッケージにしたい端末保護製品があることを確認します。

f:id:networld-blog-post:20211014172017p:plain

以上でインストールパッケージの作成は完了です。
続いてスタンドアロンインストールパッケージの作成方法を紹介します。

2.2. スタンドアロンインストールパッケージの作成

この節では、既にインストールパッケージに存在する端末保護製品のスタンドアロンインストールパッケージを作成します

Webコンソールから、[検出と製品の導入]>[導入と割り当て]>[インストールパッケージ]を開き、スタンドアロンインストールパッケージにしたい製品にチェックを入れ、[+製品の導入]をクリックします。
ここでは例として [Kaspersky Endpoint Security for Windows (11.6.0) (日本語) (Strong encryption)_11.6.0.394] で手順を進めます。

f:id:networld-blog-post:20211014172133p:plain

[スタンドアロンパッケージを使用]を選択し、[次へ]をクリックします。

f:id:networld-blog-post:20211014172141p:plain

[このアプリケーションと同時にネットワークエージェントをインストールする]にチェックを入れます。
(ネットワークエージェントを含むスタンドアロンインストールパッケージでなければ、任意のグループへの自動移動設定ができません。)
なお、インストールパッケージの選択時にネットワークエージェントを選択している場合は、この画面は表示されません。
現在のKSCのバージョンのネットワークエージェントのバージョンを選択し、[次へ]をクリックします。

f:id:networld-blog-post:20211014172158p:plain

[未割り当てデバイスをこのグループへ移動]を選択し、[グループの選択]をクリックします。

f:id:networld-blog-post:20211014172207p:plain

グループ一覧から、このインストーラーを使ってインストールしたデバイスを所属させたいグループを選択し、[Ok]をクリックします。

f:id:networld-blog-post:20211014172216p:plain

[次へ]をクリックします。

f:id:networld-blog-post:20211014172227p:plain

スタンドアロンインストールパッケージが作成されるまで待機します。

f:id:networld-blog-post:20211014172240p:plain

作成が完了すると以下のような画面になります。
作成されたスタンドアロンインストールパッケージは、KSCのデフォルトとの共有フォルダーに格納されています。
そのパスが画面上に表示されているので、必要に応じてメモしてください。
確認などが完了したら、[終了]をクリックします。

f:id:networld-blog-post:20211014172255p:plain

実際にKSCのサーバーにログインし、先ほど確認した共有フォルダーにスタンドアロンインストールパッケージがあることを確認します。
デフォルトでは "installer.exe" というファイル名です。
このファイル名を変更したい場合は、KSCのデフォルト共有フォルダー上のinstaller.exeを直接変更せず、別の場所にコピーしてから名前を変更してください
(KSCは公開しているインストーラーのパスを内部的に管理しています。共有フォルダー上のintaller.exeのファイル名を変更すると、内部的に管理しているインストーラーの情報と差異が発生してしまいます。)

f:id:networld-blog-post:20211014172322p:plain

以上で、グループの自動移動設定をしたスタンドアロンインストールパッケージの作成は完了です。
上記で作成したスタンドアロンインストールパッケージを使ってカスペルスキー製品をインストールした端末は、仕込んだグループ移動の設定に従い、自動でグルーピングされていきます。

2.3. 余談

本ブログの概要の章でも申し上げました通り、本手順で作成したスタンドアロンインストールパッケージには、実際にはグルーピングの設定は入っておりません
ではどうやって自動グループ移動を実現しているのかというと、スタンドアロンインストールパッケージ作成時に裏でKSCが自動作成した移動ルールによって実現しています
自動作成された移動ルールを確認するには、MCCベースのコンソールの[未割り当てデバイス]>[ルールの設定]をクリックします。

f:id:networld-blog-post:20211014172545p:plain

すると、"ネットワークエージェントのスタンドアロンインストール後にデバイスをグループ「部署A」(##xxxx) に移動する” というルールが作成されています。
このルールこそが、スタンドアロンインストールパッケージ作成時にグループの移動設定をした場合に自動的に作成されるルールです。

f:id:networld-blog-post:20211014172604p:plain

このルールの中身を見てみても、実はこれという条件は指定されていません。
ただ、先ほど作成したスタンドアロンインストールパッケージでインストール後、という条件のみが指定されています。

f:id:networld-blog-post:20211014172624p:plain

この自動生成された移動ルールですが、警告等なく普通に手動で削除できてしまいます(このルールを使っているスタンドアロンインストールパッケージがあります、的な警告メッセージが出るとありがたいのですが…。難しいのかな。)
自動生成された移動ルールを削除すれば、せっかく作ったスタンドアロンインストールパッケージを用いてインストールしても、自動グルーピングがされなくなってしまいます。
ですので、スタンドアロンインストールパッケージを用いてグルーピングを自動化する運用を採用する場合、自動作成された移動ルールを不用意に削除しないようにご留意ください

3. 移動ルールを作成するか、スタンドアロンインストールパッケージに設定をするか、どちらを使うべき??

移動ルールの利点としては、移動ルールをネットワーク情報、OS情報、ドメイン情報 等を用いた詳細な設定が可能であることです。
したがって、ホスト名や、ネットワークのセグメント 等の情報でグルーピングしたい場合は、移動ルールを用いた方が適切かと存じます。

スタンドアロンインストールパッケージを用いたグルーピングの利点としては、その端末のドメイン参加状況やIP等に関係なく、「このインストーラーを使ってインストールしたらグループXXXに移動」と単純にグルーピングができることです。
複雑な移動ルールを検討・作成することなく自動のグルーピングが可能であることの他、グループの移動ルールをIPやホスト名などを用いてi移動ルールを明確に定めることができない環境でも、スタンドアロンインストールパッケージを用いた方法は有効です。

 

今回はKaspersky保護製品導入後に自動でグループ分けする方法の第二弾として、スタンドアロンインストールパッケージに設定する方法を記載しました。
2回にわたってグループ分けを自動化する方法について述べてまいりました。
KSCを用いて大量のデバイスを管理する環境において、デバイス一つ一つを手動で各グループに振り分けるのは現実的ではないと存じます。
このような場合に前回・今回紹介いたしましたグループ移動の自動化が役に立てば幸甚にございます。

この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

それでは次回の記事でお会いしましょう!