最終回 FCSが示すエンタープライズ・クライアントの守り方


高橋 桂子
NRIラーニングネットワーク株式会社
ラーニングソリューション部
(Microsoft MVP for Windows Server System - ISA Server)
2007/6/25

 Microsoft Forefront Client Securityの概要

 今回はクライアント層を保護するMicrosoft Forefront Client Security(FCS)を取り上げます。FCSは、Windowsクライアント/サーバ上でウイルス/スパイウェアの検出、削除、脆弱性の検出を行うアンチウイルスソフトウェアです。

 この製品は、マイクロソフトが無償公開しているスパイウェア検出/削除ツールのWindows Defenderと、同じく無償公開されているウイルス検出/削除ツールであるMicrosoft Windows悪意のあるソフトウェアの削除ツール(MSRT)の2つのテクノロジーを基に開発されました。第3回で取り上げたMicrosoft Forefront SecurityがSybali社のAntigenをベースとしたウイルス対策製品であるのに対し、FCSは、マイクロソフトが独自に作成したウイルス対策ソフトウェアです。

 FCSの最大の特徴は、FCSサーバから、Windows上で実際のウイルス検出、削除を実行するFCSクライアントエージェントの集中管理が実行できるという点です。FCSクライアントが対応しているOSは次のとおりです。

  • Windows 2000 Service Pack 4
  • Windows XP Service Pack 2
  • Windows Vista Business Edition、Enterprise Edition、Ultimate Edition
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 R2

 FCSでは、企業内のこれらのWindowsでのウイルス対策を既存のActive Directory、Windows Server Update Services(WSUS)、Microsoft Operations Manager(MOM)といったITインフラを活用しながら、集中管理、監視することができます。

 FCSサーバの構成

 FCSサーバは、Windows Server 2003 SP1 Standard Editionまたは、Enterprise Editionに導入することができます(Windows Server 2003 x64 Editionはサポートしていません)。

 FCSサーバには、いくつかの役割(コンポーネント)があり、FCSサーバのインストールを行うときにどの役割を構成するか決定することができます。

■FCSサーバのコンポーネント(役割)
コンポーネント
機能
管理サーバ MOMコンソール、FCSコンソールの実行
コレクションサーバ MOMサーバ
FCSクライアントのステータスとイベントの収集
コレクションデータベースサーバ
コレクションデータベース(MOM DB)の保持
レポーティングサーバとレポートデータベース SQL Server 2005 Reporting Service サーバ
レポートデータベースの保持とレポートの生成
配信サーバ WSUSサーバ
FCSクライアントへのシグネチャ配信
図1 インストール時の役割の選択

 FCSサーバを構成する場合、その役割ごとに必要なソフトウェアが異なります。例えば、コレクションデータベースとレポートデータベースの動作にはSQL Server 2005 SP1が、配信サーバにはIIS 6.0やWSUS 2.0 SP1が必要です。

 
FCSサーバの役割
必要ソフトウェア
管理サーバ .NET Framework 2.0
グループポリシー管理コンソール(GPMC)1.0 SP1
IIS 6.0、ASP .NETおよび
    Microsoft FrontPage Server Extensions
Microsoft管理コンソール(MMC)3.0
コレクションサーバ なし
コレクションデータベースサーバ
SQL Server 2005 SP1 Enterprise Edition
レポーティングサーバとレポートデータベース SQL Server 2005 SP1 Enterprise Edition
(Report Servicesコンポーネントが必要)
IIS 6.0、ASP .NETおよび
    Microsoft FrontPage Server Extensions
配信サーバ IIS6.0、ASP.NET
.NET Framework 2.0
WSUS2.0 SP1

表1 FCSサーバの役割と必要なソフトウェア
(出典:Microsoft Technet システム必要条件

 また、FCSでは、クライアントの監視にMOMのフレームワークを使用しますが、FCSには、MOM 2005 SP1が含まれており、FCSサーバのインストール時に同時にMOMもインストール、構成されます。

 FCSでは、5つの役割を1台のコンピュータにすべて実装するシングルサーバトポロジー構成も可能ですが、その場合、1台のサーバにSQL Server、IISサーバ、WSUSサーバ、MOMサーバなどの機能が集中することになるため、拡張性やパフォーマンスの最適化を考えると、複数のサーバに分散して構成するマルチサーバトポロジー構成が推奨されます。

 ポリシーによる集中管理

 FCSの最大の特徴は、FCSエージェントの動作を管理サーバからすべて集中管理することができる点です。FCSエージェントの管理はすべて[Microsoft Forefront Client Securityコンソール]からポリシーを定義することで行います。これにより、次のようなエージェントの動作を設定できます。

カテゴリ
設定
マルウェア対策 ウイルスとスパイウェアの検出機能のオン/オフ
リアルタイムスキャンの有効化
スキャン実行のスケジューリング
ヒューリスティック分析の有効化
検疫動作の設定
特定ファイルのスキャン除外設定
特定のマルウェアに対する既定の動作の変更
セキュリティ状態の評価 脆弱性の検出スキャン実行のオン/オフ
スキャン実行のスケジューリング
定義ファイル(シグネチャ)の更新 WSUSへの更新プログラムの確認頻度
Microsoft Updateサイト使用
レポート
FCSサーバに送信する警告のレベルの設定
ログの構成

オンラインコミュニティSpyNetへのレポートの作成
ユーザー操作制限 FCSエージェントの設定変更許可・拒否
FCS管理ツールの表示・非表示
表2 FCSのポリシー定義可能な項目一覧

図2-1 ポリシーの設定
FCS管理サーバでポリシーを作成することで、FCSクライアントエージェントの動作を集中管理する。

[ポリシーの編集]ダイアログでは次のようなFCSクライアントの設定が可能

[保護]
 マルウェア対策
 マルウェアのスキャン
 セキュリティ状態の評価
[詳細]
 マルウェア定義の更新プログラム
 マルウェアのスキャンオプション
 マルウェアのスキャンからの除外
 クライアントのオプション
[上書き]
 マルウェアの脅威に基づく上書き
 カテゴリと重大度に基づく上書き
[レポートの作成]
 警告レベル
 ログ
 SpyNet
図2-2 [ポリシーの編集]ダイアログ

 つまり、FCSでは、クライアント上でのFCSエージェントによるウイルススキャンに関して、ウイルススキャンの方法や定義ファイルの更新、FCSサーバにレポートする警告のレベルやポリシーによって構成された設定をユーザーが変更できるかどうかなど、すべての設定を管理コンソールから管理者が行うことができます。

 定義したポリシーは、OU(Active Directory組織単位)、セキュリティグループ、GPO(グループポリシーオブジェクト)、レジストリファイルの4つの形式を使用して適用することができます。

 FCSクライアントエージェントの構成データは、レジストリHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Securityに保存されますが、管理者は適切な展開先を指定するだけで、このレジストリを自動的に設定することができます。

図3  ポリシー展開先の指定
展開先として、OU、グループ、GPO、ファイルを選択可能。

展開先
配布プラットフォーム
概要
OU Active Directoryグループポリシーと同じメカニズム(SYSVOL上のregistory.polファイル)により自動配布 Active Directory組織単位(OU)に登録されているコンピュータアカウントを対象にする
セキュリティグループ Active Directoryのセキュリティグループのメンバーになっているコンピュータアカウントを対象にする
GPO
既存のグループポリシーオブジェクトを直接編集し、そのグループポリシーオブジェクトの適用対象となるコンピュータアカウントを対象にする
レジストリファイル Registory.polファイルを作成し、手動で配布 Registory.polファイルを作成するだけなので、共有フォルダなどにこのファイルを配置し、FCSの付属ツール fcslocalpolicytool.exeを使用し、手動でクライアントのレジストリに上書きする必要がある
表3 4種類のポリシーの展開方法

 例えば、展開先にOUを指定することで、組織内の部門や部署によってFCSエージェントの動作を変えたり、適切なOUの構造がない場合、新規にセキュリティグループを作成し、このグループを指定することで、組織内のWindows XPコンピュータだけに特定のFCSエージェントの構成を適用したりすることができます。

 さらに公開サーバなどActive Directoryドメインに参加していないコンピュータに対しては、レジストリファイルにポリシーを保存し、管理者が手動でレジストリを上書きすることで、FCSエージェントの構成が可能です。

1/3

Index
FCSが示すエンタープライズ・クライアントの守り方
Page1
Microsoft Forefront Client Securityの概要
FCSサーバの構成
ポリシーによる集中管理
  Page2
FCSクライアントの機能
  Page3
MOMによる監視とレポーティング



Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間