キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ビジネスセキュリティ

ソート順:
Client Security(CS)14以降に搭載されるファイアウォール機能は、Windowsファイアウォール機能をコントロールする「管理機能」となります。その為、独自のファイアウォールが搭載されていたCS 13 以前とはルール適用順等が違っております。またCS13からCS14にアップグレードを行う際、ファイアウォールルールは引き継がれませんので、当記事を参考に再設定をお願い致します。   [記事サマリ] ファイアウォールルール適用順の違い 許可ルール/拒否ルールでは拒否が優先グループポリシー(ドメイン)/ローカルポリシーでのFW無効化に注意   [解説] Client Security13以前は、上から下へ順番にルールを適用します。例えば下図のようにルールを設定した場合、RDP通信(TCP:3389使用)は、最上段のRDP許可ルールに一致し、通信が許可されます。それ以降のルールはチェックされません。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)にも引っかからず、RDP通信は成功します。 ・CS13以前(f-secureファイアウォール) 一方、Windowsファイアウォールは設定されたルール順序を考慮せず、全てのルールをチェックします。全てのルールチェックが終わり、複数ルールが一致した場合、拒否が優先されます。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)に引っかかり、RDP通信は失敗します。 ・Windowsファイアウォール つまり、CS13のルールをそのままCS14に設定しても、狙った動作は見込めません。 [対処方法] ファイアウォールルールの見直しを行います。 Windowsファイアウォール設定で「受信接続をブロック」に設定してください。 ※この設定が「暗黙のDeny」として機能します。 拒否ルールを削除してください。 許可ルールのみ追加してください。       [Windowsファイアウォールの受信接続ブロック方法] 「コントロールパネル」を開き、[Windowsファイアウォール]→「詳細設定」をクリックします。  →  右ベインの[操作]から、[プロパティ] をクリック。 「ファイアウォールのプロパティ」が開きます。 「パブリックプロファイル」「ドメインプロファイル」「プライベートプロファイル」のタブで、それぞれの「受信接続」をブロックに設定します。 ※この設定は、Policy Managerからもコントロール可能です。 ※設定箇所は、[ポリシーマネージャコンソール]→「設定」→[ファイアウォール]→「デフォルトルール」           [Policy ManagerからCSにファイアウォールルールを設定する方法] 左ベインで設定したいドメインを選択します。 右ベインの「設定」→「ファイアウォール」を開きます。 「クローン」をクリックし、自由にカスタムできるファイアウォールプロフィールを作成します。  →  「編集中のプロフィール」を作成したプロフィールに切り替えます。 「ネットワークサービス」をクリックします。(サービス追加済みの場合、12に進む) 「ネットワークサービス」が開きます。「追加」をクリックします。 「サービス名」を入力します。 プロトコルを選択し、「次へ」をクリックします。 ※RDPの場合TCP(6) 「イニシエータポート」を入力し、「次へ」をクリックします。 ※特に指定がない場合、0-65535を入力してください。 「リスポンダポート」を入力し、「次へ」をクリックします。 ※RDPの場合3389 「ネットワークサービス」にサービスが追加された事を確認し、この画面を閉じます。 「ファイアウォールルール」の画面で、「ルールを追加」をクリックします。 「名前」と「タイプ」を入力し、「次へ」をクリックします。 「追加」をクリックします。 サービスが追加されます。 「サービス」フィールドをクリックし、追加したいサービスを選択します。 「方向」フィールドで受信(<=)、送信(=>)、送受信(<=>)のどれかを選択し、「次へ」をクリックします。 「全てのリモートアドレス」を選択し、「次へ」をクリックします。 デフォルト設定のまま、「完了」をクリックします。 「ファイアウォールルール」にルールが追加された事を確認します。 ポリシーを配布します。 [グループポリシー(ドメイン)/ローカルポリシーへの注意] Active DirectotryのグループポリシーやWindowsのローカルポリシーでWindowsファイアウォールを無効にしている場合、Client SecurityはWindows  ファイアウォールを有効化できません。 該当する設定を「未構成」にしてください。
記事全体を表示
当記事では、Policy Manager/ClientSecurityのバージョン13以降で利用できなくなった、fsdbupdate (fsdbupdate.exe) の代わりに、オフラインウイルス定義パターンファイル更新を行う手法について解説いたします。※パターンファイル更新チャネルの追加(Capricorn)に伴い、手順が追加されました。(2018年12月17日)新パターンファイルアップデートチャネルは2019年1月以降に利用開始されます。     [前提条件] Poliy Manager13以上(Windows Server) オンラインWindow端末 ” fsaua-update.exe”   https://download.f-secure.com/corpro/cs/current/fsaua-update.exe   ------------------------------------------------------------------------ ①Policy Managerでの”fspm-definitions-update-tool"と“f-secure-updates.zip”の作成 実際にクライアント管理しているPolicy Managerのレジストリを修正します。 “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\ additional_java_args”に、“ -DisolatedMode=true”を追加します。 Policy Managerの再起動を行います。 Policy Managerで"prepare-fspm-definitions-update-tool.bat"を実行します。 ※C:\Program Files (x86)\F-Secure\Management Server 5\bin配下 “fspm-definitions-update-toolフォルダ“が作成されます。 ※当フォルダは継続利用します。 フォルダ内にある、"channels.json"を編集します。 ファイルの場所 \fspm-definitions-update-tool\conf\channels.json 下記を追加します。 ,  "capricorn-win32",  "capricorn-win64",  "capricorn-macos" “fspm-definitions-update-toolフォルダ“をオンラインWindows端末にコピーします。 オンラインWindows端末で“fspm-definitions-update-tool.bat“を実行します。 ※管理者権限起動したコマンドプロンプトから実行。 “f-secure-updates.zip”が作成されます。 次回以降このファイルを差分アップデートして行きますので、ファイル場所を変更しないで下さい。 ※“\fspm-definitions-update-tool\data“配下に作成されます。 ※環境によりますが1GB程度です。 “f-secure-updates.zip”を最新版にアップデートするには、手順6を再度実施します。     ------------------------------------------------------------------------ ②各オフライン端末への“f-secure-updates.zip”の配置 オフラインアップデートを行いたい端末に、f-secure-updates.zipをコピーし、指定の場所にファイルを配置します。   ファイル設置箇所 Policy Manager: <F-Secure フォルダ>\Management Server 5\data\f-secure-updates.zip Client Security :ファイル設置箇所は不問   ------------------------------------------------------------------------ ③各オフライン端末での“f-secure-updates.zip”のインポート 各オフライン端末で端末でインポートコマンドを実行します。 Policy Manager : <F-Secure フォルダ>\Management Server 5\bin\import-f-secure-updates.bat ※管理者権限起動したコマンドプロンプトから実行 ※“ -DisolatedMode=true”がレジストリ登録されてないPMではエラーになります。 Client Security : fsaua-update [-options] [updateFile] ex) fsaua-update -s C:\f-secure-updates.zip [options] -s : silent
記事全体を表示