Windows サーバーにインストールする際のベストプラクティス
search cancel

Windows サーバーにインストールする際のベストプラクティス

book

Article ID: 230599

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection (SEP) と Symantec Endpoint Protection Manager (SEPM) を Microsoft Windows サーバーにインストールする際の考察事項を知りたい。

Resolution

Windows サーバーと Symantec Endpoint Protection Manager (SEPM) について

SEPM はシステム要件を満たす Windows OS であればインストール可能ですが、ドメインコントローラーや Exchange サーバーなど重要な役割を担うサーバーへのインストールは推奨されません。SEPM は管理機能のみを提供しシステムの保護は行わないため、重要な役割を持つサーバーはコンピュータのリソースをできるだけ多く使用する必要があると考えられます。

重要な役割を果たさない高可用性のサーバーオペレーティングシステムに SEPM を常駐させるのがベストプラクティスです。この方法により、重要なサーバーでより効果的に使用されるディスクスペース、RAM、CPU、およびネットワーク帯域幅を使用せずに、SEPM が最高の効率で機能することができます。シマンテックでは、SEPM をホストするサーバーに [クライアントの完全保護] のクライアントインストールパッケージをインストールし、すべての保護技術を有効にしておくことを強く推奨します。

Windows サーバーと Symantec Endpoint Protection (SEP) クライアント

サーバーを含むネットワーク上のすべてのコンピュータに Symantec Endpoint Protection (SEP) クライアントをインストールする必要があります。固有の管理ポリシーや例外が適用されるよう、サーバー上の SEP を適切なクライアントグループに配置してください。サーバーの役割に応じて、ディスク I/O および CPU 使用率のシステムパフォーマンスにとって適切なポリシーの作成と適用が重要となります。

リアルタイムスキャンとスケジュールスキャンの除外設定

Windows サーバーの役割によっては、ウイルス対策のリアルタイムスキャン、定時スキャン、改変対策監視、その他のヒューリスティック監視コンポーネントから特定のディレクトリやプロセスを除外する必要があります。

SEP ではこれらの除外を SEPM 上で集中例外ポリシーを通して設定するか、管理外 SEP クライアント上でユーザーインターフェースを通して直接設定します。管理者は特定のプロセス、ファイル拡張子、フォルダを、ウイルス対策機能の Auto-Protect コンポーネント、改変対策、プロアクティブ脅威防止や SONAR の対象から除外することができます。

通常、フォルダの除外を作成することはベストプラクティスではないことに留意してください。フォルダ除外があるフォルダ内のマルウェアは SEP により認識されません。フォルダ除外の設定は、製品がそのフォルダを明白にウイルス対策製品から除外するよう詳述している場合にのみベストプラクティスとみなされます。

Active Directory ドメインコントローラ、Microsoft Exchange サーバー、Microsoft SQL サーバーなど、サーバーの役割によってはウイルス対策のスキャンとファイアウォールの設定に関して特殊の必要条件があります。これら必要条件の一部は SEP に直接組み込まれています。Exchange メールボックスストアの自動除外が一例です。除外が自動的に作成されていても、以前のアップグレードやその他の設定変更などのインポートした設定が自動除外を無効にすることがあるため必要な除外が存在していることを確認することが重要です。

ファイアウォールルールと IPS シグネチャ

Windows サーバーオペレーティングシステムは通常、1 つ以上の組み込みの役割 (DNS、Active Directory、IIS、Web ホストなど) を利用するためにインストールされます。ネットワーク通信を行う際、これらの役割にはそれぞれ固有の必要条件があります。SEP クライアントのインストール時には、通信を適切に許可また制限を行うように SEP クライアントのファイアウォールポリシーでこれらの必要条件を考慮しなければなりません。製品特有のネットワーク通信の要件については製品またはメーカーのマニュアルを参照してください。SEP ファイアウォール設定の詳細は インストールガイドおよび管理者ガイド を参照してください。

侵入防止システム (IPS) は、ネットワークトラフィックの種類に応じて攻撃や脅威を遮断するのに役立ちます。サーバーに対する非ファイルベースの攻撃を防止するのに IPS の使用をお勧めします。このルールの例外として、IPS が高負荷または高スループットのサーバーの動作を妨害することがあります。Symantec では高負荷または高スループットの定義として以下の基準のいずれか、もしくはすべてを満たしていることを条件とします。

  • 平均 CPU 使用率が 35% 以上
  • 平均 TCP/UDP スループットが 300 Mbps 以上
  • NIC チーミングテクノロジーの使用

サーバーがこれらの基準を 1 つ以上満たしている場合、IPS 依存の機能をサーバーで使用することが可能であるかを判断する前に、パフォーマンス測定のために本番環境のピーク時をシミュレートできるラボ環境でサーバー上の SEP クライアントのテストを行うことを推奨します。 IPS 依存の機能には高度なダウンロード保護、SONAR、IPS 自体が含まれます。IPS コンポーネントは、最大 1Gb/s のネットワーク速度で設計、実装、テストされました。 この速度を超える場合、ネットワークにパフォーマンスの影響が生じることが想定されます。10Gb/s ネットワーク接続でのアドホックテストで 1.8Gb/s のスループットがでたテスト結果の例があります。

上述の基準を満たさないサーバーにおいては、IPS の使用をお勧めします。ファイアウォールや IPS などのセキュリティ機能の使用には常にいくらかのパフォーマンスへの影響が発生しますが、最新の SEP クライアントのネットワーク脅威防止および IPS コンポーネントによりサーバー上へ追加される負担は、リソースが豊富なサーバー上において、その速度や応答性に著しい低下を引き起こすものではありません。IPS ドライバは非ページプールメモリを最大 100 MB 使用します。

IPS に依存する機能として、ダウンロードの拡張保護、SONAR、および IPS 自身が含まれます。

また、IPS にはサーバーパフォーマンス調整機能として、帯域外スキャンとサーバー用シグネチャサブセットの使用という 2 つの機能があり、サーバーやクライアントで IPS を使用する際に発生しうるネットワーク速度への影響を軽減するために使用することができます。これらの詳細は以下のとおりです。帯域外スキャンの使用は、サーバーオペレーティングシステムの Windows フィルタリングプラットフォームドライバと競合する可能性があることに留意してください。そのため、本番環境でこのオプションを有効にする前に、事前展開環境でサーバーオペレーティングシステムを使用してテストすることを強く推奨します。

  • [帯域外スキャン] は、IPS モジュールを介したすべてのネットワークトラフィッ 検査にマルチスレッド処理アプローチを使用するように IPS を設定します。これにより、IPS の有効性を低下させることなくパフォーマンスを向上させることができます。
  • [サーバーにシグネチャサブセットを使用]では、高スループットのシナリオで使用することを目的とした、より小さく統合され最適化された IPS シグネチャのセットを使用できるようにします。この機能セットは、トラフィックのスループットが高いサーバーと標準的なエンドポイントクライアントの両方で使用できます。これらの最適化されたシグネチャによって、IPS が提供する効果や保護が低下することはありません。

Active Directory ドメインコントローラ、Microsoft Exchange サーバー、Microsoft SQL サーバーなど、サーバーの役割によってはウイルス対策のスキャンとファイアウォールの設定に関して特殊の必要条件があります。これら必要条件の一部は SEP に直接組み込まれています。除外が自動的に作成されていても、以前のアップグレードやその他の設定変更などのインポートした設定がこれらの自動除外を無効にすることがあるため、必要な除外が存在していることを確認することが重要です。

Additional Information

[英語文書] Best practices for Endpoint Protection on Windows servers