クライアントの推奨事項
以下の構成に関する推奨事項により、非永続的な VDI 環境の SEP クライアントが、非永続的なクライアントの利益にならない高度な SEP 機能によるネットワークまたはディスク I/O を生成しないようにします。
- 通信設定ポリシーに以下の変更を行います。
- プルモードでポリシーとコンテンツをダウンロードするようにクライアントを構成します。
- クライアントコンピュータ上で実行されているアプリケーションを学習するオプションを無効にします。。
- ハートビート間隔を 1 時間以上に設定します。
- ダウンロードのランダム化を有効にし、ランダム化のウィンドウを 4 時間に設定します。
- ウイルスとスパイウェアの対策ポリシーに対して以下の変更を行います。
- すべてのスケジュールスキャンを無効にします。
- [ユーザーのログオン時に起動時スキャンの実行を許可する] オプションを無効にします(デフォルトでは無効)。
- [新しい定義の到着時にアクティブスキャンを実行する] オプションを無効にします。
- Symantec Endpoint Protection Manager (SEPM) に情報を送信し、クライアントの状態に依存してトラフィックフローを最適化するアプリケーション学習のような機能を避けます。
イメージのメンテナンス
ベースイメージの定期メンテナンススケジュールに以下のステップを追加します。シマンテックでは、これらのメンテナンス作業を少なくとも週に一度は行うことを推奨します。
- ベースイメージ上の適用可能なすべての定義とセキュリティコンテンツを、利用可能な最新のコンテンツに更新します。
- ベースイメージ上の SEP クライアントが SEPM サーバーと通信できることを確認します。
- SEP クライアントが VDI 固有の正しいポリシーを使用していることを確認します。
- イメージを再配布する前に
- SEP クライアントに関連する以下のような一時ファイルをすべて削除sします。
- ベースイメージからハードウェアキー情報を削除します。クライアントのクローンを作成する を参照してください。
- 次のレジストリキーのいずれかに移動します。
- 32 ビットシステムの場合: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\
- 64 ビットシステムの場合 (14.3 RU4 以前) : HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\
- 64 ビットシステムの場合 (14.3 RU5 以降) : HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\
- Virtualization という名前の新しいサブキーを作成します。
- Virtualization サブキーに IsNPVDIClient という DWORD 型のキーを作成し、値として 1 を割り当てます。
注: SEP 14.3 RU5 以降、SMC パスが HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\ に変更されたため、上記のサブキーを新しいパスで追加しないと効果がありません。
定期的なイメージのメンテナンスとテストについては、以下の一般的なベストプラクティスに従ってください。
- VM クライアントポリシーグループの自動アップグレードを使用するのではなく、ベースイメージ上の SEP クライアントを手動でアップグレードします。
- パフォーマンスの最適化をテストします。例えば VM に割り当てられたメモリが減少すると、オペレーティングシステムのスワップが増加し、メモリページの重複排除などのハイパーバイザーの最適化が阻害される可能性があります。
- ベース VM イメージのサイズを最小化するために、クライアントによるキャッシュのインストールを無効にし、コンテンツキャッシュのリビジョンを 1 に設定します。About Content Cache Control を参照してください。
- ログオフ時に VM リフレッシュが発生するように設定します。ユーザーがバックグラウンドで更新された実行中のイメージに簡単にアクセスできるように、利用可能な VM のプールを十分な大きさに設定します。
Symantec Endpoint Protection Manager の設定
- 少なくともイメージの最小更新頻度と同じ期間、定義ファイルを保持するように SEPM を設定します。例えば、イメージの最大更新日数が 14 日の場合、定義ファイルを 30 日間保持する。
- SEPM はアタッチされた新しいイメージをすべて記憶するため、VDI 環境ではすぐに蓄積される可能性があります。これを避けるには SEPM のドメインプロパティで [一定期間にわたって接続しなかった非永続的な VDI クライアントを削除する] オプションを有効にします。