株式会社コンバージョン

コンバージョンの高い技術力を紹介します。

Enterprise Console(管理サーバ) のインストール

概要

Sophosの集中管理サーバであるEnterprise Console(SEC)の構築手順を簡易的に説明します。
よくある問い合わせですが、SECはWindows専用でLinux版は存在しません。

導入アウトラインは以下の通りです。

  • インストーラの取得
  • システムユーザの作成
  • インストーラの実行
  • 初期設定

インストーラの取得

Sophosサイトからインストーラを入手します。
少し面倒なので記載しますが、インストーラ入手のためには下記の手順が必要です。

  • メーカーサイト(https://www.sophos.com/ja-jp.aspx)を開き、右上部の「メニュー」をクリックします
  • 「サービス」ー「ライセンスポータル[My Sophos]」をクリックします
  • ログイン画面が表示されるのでSophosIDというフリーアカウントに登録します
  • メーカーから送付されたライセンス証書のIDとパスワードをSophosIDに登録します
  • SophosIDにログインした状態で、「サポート」→「ダウンロード」ページに移動します
  • ライセンス番号のテーブルに「Console」という見出しがあるので、ここをクリックします
  • メニューが展開されるので「Sophos Enterprise Console」のリンクを開きます
  • インストーラ(sec_バージョン番号_sfx.exe)のダウンロードページが開きます

システムユーザの作成

Enterprise Consoleでは以下の2つのシステムユーザアカウントが必要です。

  • データベース管理ユーザ
  • アップデート用の共有フォルダアクセスユーザ

手順としては以下の通りです。

  • 「管理ツール」→「コンピュータの管理」を開く
  • 「ローカルユーザとグループ」→「ユーザ」を開き、ユーザを追加する
    • 上記2つのアカウントを作成します
      • 名前は「SophosManagement」「SophosUpdateMgr」とすることを推奨します
    • 「パスワードを無期限にする」「ユーザーはパスワードを変更できない」にチェックし、その他のチェックを外します
      • これらのアカウントは基本的にはパスワード変更を行わない運用を想定して設定してください
        Linuxでは一般的なことですが、Windowsではサーバに対してもPC同様頻繁に変更しなければならないという運用ルールがあることが多いです
        しかし、これらのアカウントのパスワードの変更はSECの上書きインストールのほかエンドポイントコンピュータの設定も変更する必要がありますのでお勧めしません
        また、メーカー推奨方法以外でのレジストリの変更についても行わないようにしてください。DBなどにも格納しているので不整合で起動しなくなります

インストーラの実行

  • ダウンロードしたインストーラ(sec_バージョン番号_sfx.exe)を実行します。
    デフォルトでは「C:¥sec_バージョン番号」に展開されるので、再実行の際はこちらから実行できます
  • 「使用許諾契約」に同意します
  • 「コンポーネントの選択」は3つすべてチェックを入れておきます
  • システムチェックの内容を確認し、問題が無ければ次へ進みます
    • 「Computer Browser」サービスへの警告は無視してかまいません
    • よくある警告としてドメインコントローラへのインストールに警告がでます
      ドメコン混在はサービスが起動しないケースが発生し、セキュリティ上の関係からも推奨されていません
  • データベースに関する設定は下記を設定します
    • データベースのインスタンスは「"SOPHOS"という名前の新既インスタンス」を選択します
    • データベース管理ユーザに先ほど作成したユーザを設定します
  • 管理サーバに接続するポートは通常「80」のままで問題ありません
    • Listenしているわけではないので、アップデートをIISでHTTP配信する場合でも競合することはありません
  • Update Managerのユーザに先ほど作成したユーザを設定します
    • このユーザ名とパスワードを使用して、アップデート時にSECの共有フォルダにクライアントがアクセスします
    • 厳密に言うと、Update Managerがこのアップデータを更新する際にもこのユーザで共有フォルダにアクセスします
  • Sophos Endpoint Defenderの設定
    • Sophosのソフトウェアを許可なく変更することを防止するオプションです。
    • 有効にすることを強く推奨します。有効にした際はパスワードを入力します。
  • 「インストール」をクリックすると、インストールが開始します。
  • インストールが終わると、再起動またはログオフが行われます。

初期設定

  • インストール後のログイン時に、Enterprise Consoleが自動的に起動します。
  • 「セキュリティソフトのダウンロードウィザード」が起動しますが、詳細設定しますのでここではキャンセルします
  • 「アップデートマネージャ」ボタンを押してSophos Update Manager(SUM)の画面に切り替えます
  • コンピュータ名を右クリックして「環境設定の表示/編集」を開き、次の設定を行います
    • アップデート元のプルダウンメーニューから「Sophos」を設定します。
    • ライセンス証書のID/パスワードを設定します(SophosIDに関連付けたIDとパスワードと同じもの)
    • サブスクリプションで「推奨バージョン」を「ダウンロードするサブスクリプション」に登録します
  • コンピュータ名を右クリックして「今すぐアップデート」を実行します
    • これが完了するとライセンス種別の登録が行われ、ダウンロード可能なクライアントソフトを選択できるようになります。
  • 「ソフトウェアサブスクリプション」の「推奨バージョン」をダブルクリックします
  • 導入したいOS向けのクライアントソフトウェアを選択します。プルダウンの概要は下記の通りです。
    • Preview 新機能や修正がいち早くリリースされます。
    • Recommended 推奨バージョン。通常はこちらを選択します。
    • Previous Recommended ひとつ前の推奨バージョン。Recommendedがリリースされてから約1ヶ月後に公開されます。
      • Recommendedで事前にテストを行い、Previous Recommended で本配信を行う場合などに利用します。
    • なお、ここでいう新旧はソフトウェア本体の機能や検索処理の最適化が行われているかです。
      • ウィルス定義ファイルの新旧ではないので注意してください。これはどのバージョンでも同一です。
  • 以上で初期設定は完了です。

このあとは

ここでは説明しませんが、この段階ではまだ取得したアンチウィルスソフトを導入していませんので、
エンドポイントへのインストールを行ってSEC上でグループに登録しなければなりません。

また、そのグループに適用するポリシーの設定を行う必要があります。

これらは説明すると長くなりますので、別ページで記載することとします。


Sophos Anti-Virus技術情報一覧

« 製品情報

ページトップへ