コンピュータ

通信方向

双方向: 初期設定では、通信は双方向です。Agent/Applianceはハートビートを送信するとともに、Managerからの接続をAgent/Applianceのポートで待機します。Managerは、必要に応じて処理を実行するためにAgent/Applianceに自由に接続できます。これによって、Managerは、セキュリティ設定に変更が発生すると、その変更内容をAgent/Applianceに適用できます。
Deep Security Virtual Applianceは双方向モードでのみ動作します。Virtual Applianceの設定を他のモードに変更すると、機能が中断します。
Managerから開始: このオプションを選択すると、ManagerとAgent/Appliance間のすべての通信はManagerから開始されます。これには、セキュリティ設定のアップデート、ハートビートの処理、およびイベントログの要求が含まれます。
Agent/Applianceから開始: このオプションを選択すると、Agent/Applianceはポート4118で待機しません。代わりに、ハートビート設定によって決められているハートビートのポート (初期設定では4120) でManagerに接続します。Agent/ApplianceがManagerとTCP接続を確立したら、各種処理が実行されます。ManagerはAgent/Applianceにステータスとイベントを問い合わせます(これはハートビートの処理です)。コンピュータで実行する必要のある未解決処理がある場合 (ポリシーのアップデートが必要など)、これらの処理は接続が終了する前に実行されます。このモードでは、ハートビートごとにのみManagerとAgent/Appliance間の通信が発生します。Agent/Applianceの設定が変更された場合、次のハートビートまでアップデートされません。
Agent/Applianceによって開始される通信をAgent/Applianceに設定する前に、Agent/ApplianceがManagerのURLとハートビートポートに接続できることを確認してください。Agent/ApplianceがManagerのURLを解決できない、またはIPおよびポートに接続できない場合、Agent/Applianceによって開始される通信はこのAgent/Applianceで失敗します。ManagerのURLおよびハートビートポートは、[管理]→[システム情報] 画面の [システムの詳細] 領域で確認できます。

Agent/Applianceは、Managerのホスト名によってネットワーク上のVulnerability ProtectionDeep Security Managerを検索します。このため、Agent/Applianceによる開始または双方向の通信を使用する場合は、Managerのホスト名が必ずローカルDNS内にある必要があります。

ManagerとAgent/Appliance間の通信を有効にするために、Managerは、Agent/Applianceのポート4118を許可する (非表示の) ファイアウォールルール (優先度4、バイパス) を受信TCP/IPトラフィックに自動的に実装します。初期設定では、すべてのIPアドレスおよびすべてのMACアドレスを許可するようになっています。特定のIPまたはMACアドレスから受信TCP/IPトラフィックのみを許可する新しい優先度4 (強制的に許可またはファイアウォールルールをバイパス) を作成することで、このポートの受信トラフィックを制限できます。設定が次の内容と一致する場合、この新しいファイアウォールルールは、非表示のファイアウォールルールと置き換わります。

処理: 強制的に許可またはバイパス
優先度: 4 - 最高
パケットの方向: 受信
フレームの種類: IP
プロトコル: TCP
パケットの送信先ポート: 4118 (または4118を含むリストまたは範囲)

これらの設定が有効なかぎり、新しいルールは非表示のルールと置き換わります。その後、IPまたはMACアドレスのパケットソース情報を入力して、コンピュータへのトラフィックを制限できます。

ハートビート

ハートビート間隔 (分): ハートビートの送信間隔。
次の数を超えるハートビートが失われた場合にアラートを発令: 失われたハートビートの数がこの設定を超えると、Managerはアラートをトリガします (たとえば3に設定すると、ハートビートが4つ失われた時点でアラートをトリガします)。
コンピュータがサーバの場合、連続して大量のハートビートが失われる場合、Agent/Applianceまたはコンピュータ自身に問題があることを示している可能性があります。ただしノートパソコンなど、継続的にネットワークから切断されることの多いシステムの場合、この設定は「無制限」にしてください。
ハートビート間でコンピュータのローカルシステム時間が次の時間を超えて変更された場合にアラートを発令: Agentがシステム時計への変更を検出できる場合 (Windows Agentのみ)、これらのイベントはAgentイベント5004としてManagerにレポートされます。時計への変更がここに表示された時間を超えた場合、アラートがトリガされます。この機能をサポートしないAgentについては、Managerはハートビートの処理ごとにAgentが報告するシステム時間を監視し、設定で指定された最大変更値よりも大きい場合にアラートをトリガします。システム時計への変更は、Agentイベント5004としてManagerにレポートされます。時計への変更がここに表示された時間を超えた場合、アラートがトリガされます。
「コンピュータの時計の変更」アラートがトリガされたら、アラートを手動で消去する必要があります。
非アクティブな仮想マシンに対してオフラインエラーを発令: 仮想マシンが停止または一時停止した場合にオフラインエラーを発生させるかどうかを設定します。

ポリシーの変更をすぐに送信

初期設定では、[ポリシーの変更をコンピュータに自動的に送信] の値は「はい」に設定されます。つまり、セキュリティポリシーが変更された場合、変更内容はそのポリシーを使用するコンピュータに自動的に適用されます。この設定を「いいえ」に変更した場合、該当するコンピュータを [コンピュータ] ページで検索して右クリックし、コンテキストメニューの [ポリシーの送信] を選択する必要があります。

トラブルシューティング

トラブルシューティングのために、ログレベルの詳細度を上げてより多くのイベントを記録することができます。ただし、このオプションによりイベントログの合計サイズが膨大になる可能性があるため、使用時には注意が必要です。

このコンピュータに割り当てられたポリシーからログ記録のオーバーライド設定を継承する場合は [継承]、ログ記録の設定をオーバーライドしない場合は [オーバーライドしない]、トリガされたファイアウォールイベントをすべて記録する場合は [完全なファイアウォールイベントのログ記録]、トリガされた侵入防御ルールをすべて記録する場合は [完全な侵入防御イベントのログ記録]、トリガされたルールをすべて記録する場合は [完全なログ記録] を選択します。

Agentセルフプロテクション

Agentセルフプロテクション機能はWindows版Agentでのみ使用できます。

次の設定を使用して、ローカルのユーザがAgentの機能を妨げないようにします。

ローカルのエンドユーザによるAgentのアンインストール、停止、または変更を拒否: ローカルのエンドユーザによる、Agentのアンインストール、Agentサービスの停止、Agent関連のWindowsレジストリのエントリの変更、Agent関連のファイルの変更などを防ぎます。これらの制限は、コマンドラインからローカルに命令を入力することによってオーバーライドできます (「コマンドラインユーティリティ」を参照してください)。Agentセルフプロテクションが有効になっている場合、ローカルOSのGUIを使用してAgentに変更を加えようとすると、「このアプリケーションの削除または変更はセキュリティ設定によって禁止されています」という内容のメッセージが表示されます。
- ローカルでの変更許可にパスワードを要求: Vulnerability ProtectionDeep Security ManagerとAgentが通信ができなくなることがあります。その場合、Agentのコマンドラインインタフェースを使用して、ローカルでAgentと通信する必要があります。ローカルのコマンドライン機能をパスワードで保護するには、ここにパスワードを入力してします (推奨)。
  パスワードは安全な場所に保存してください。

次の事態を避けるためには、不正プログラム対策保護を「オン」にする必要があります。

Agentサービスの停止
Agent関連のWindowsレジストリのエントリの変更
Agent関連のファイルの変更

ローカルユーザがAgentをアンインストールできないようにするためには、不正プログラム保護機能は必須ではありません。

Agentセルフプロテクションをコマンドラインからオフまたはオンにするには

ローカルコンピュータに管理者としてログインします。
コマンドプロンプトを起動し、Agent (またはRelay) のインストールディレクトリに移動します。
次のコマンドを入力します。「password」は [ローカルでの変更許可にパスワードを要求] で設定したパスワードです。
- セルフプロテクションをオフにする場合:
  dsa_control --selfprotect=0 --passwd=password
- セルフプロテクションをオンにする場合:
  dsa_control --selfprotect=1 --passwd=password
パスワードを設定していない場合、「--passwd」パラメータは省略します。

Deep Security 9.0以前では、このオプションは「--harden=<num>」でした。

または、「reset」パラメータを使用してAgentをリセットし、Agentセルフプロテクションを無効にすることもできます。

dsa_control --reset

環境変数のオーバーライド

変更監視モジュールでは、Windows OSのディレクトリシステムにおけるいくつかの標準的なロケーションを、環境変数を使用して表します。たとえば、Windowsのhostsファイルに対する変更を監視する変更監視ルール「Microsoft Windows - 'Hosts' file modified」は、C:\WINDOWS\system32\drivers\etcフォルダ内のファイルを検索します。ただし、すべてのWindows環境にC:\WINDOWS\ディレクトリがあるわけではないため、変更監視ルールではWINDIR環境変数を使用して、このディレクトリを%WINDIR%\system32\drivers\etcと表記します。

環境変数は、主に、仮想マシンでAgentレスによる変更監視を実行するときにVirtual Applianceによって使用されます。これは、Virtual Applianceでは、特定の仮想マシンのOSが標準のディレクトリロケーションを使用しているかどうかを確認できないためです。

変更監視モジュールで使用される初期設定の環境変数を次に示します。

名前	値
ALLUSERSPROFILE	C:\ProgramData
COMMONPROGRAMFILES	C:\Program Files\Common Files
PROGRAMFILES	C:\Program Files
SYSTEMDRIVE	C:
SYSTEMROOT	C:\Windows
WINDIR	C:\Windows

任意の環境変数をオーバーライドするには

[環境変数の表示] ボタンをクリックして、[環境変数のオーバーライド] 画面を表示します。
メニューバーで [新規] をクリックして新しい名前と値のペア (たとえばWINDIRとD:\Windows) を入力し、[OK] をクリックします。