Sophos Enterprise Console/Sophos Update Manager リリースノート

バージョン番号

Sophos Enterprise Console 4.0
Sophos Update Manager 1.0

Sophos Enterprise Console および Sophos Update Manager について

Sophos Enterprise Console は、ソフォスのエンドポイント用セキュリティソフトの集中インストールや、Windows、Mac OS X、Linux、UNIX ベースのコンピュータにインストールしたソフォス製品の設定、監視、管理、レポートの作成を行うための管理コンソールです。Sophos Enterprise Console の詳細は、Sophos Enterprise Console ヘルプをご覧ください。

Sophos Update Manager では、ソフォスの Web サイトからセキュリティソフトを取り込む、自動アップデートを設定できます。WAN (ワイドエリアネットワーク) 上の複数のアップデート元にソフトウェアをインストールできます。Sophos Update Manager は、Enterprise Console と同時にインストールされ、Enterprise Console から管理します。Sophos Update Manager の詳細は、Sophos Enterprise Console ヘルプをご覧ください。

Enterprise Console の新規インストールについて、詳細は、お使いのネットワーク環境に応じて、「Sophos Endpoint Security and Control クイック スタートアップガイド」または「Sophos Endpoint Security and Control アドバンス スタートアップガイド」を参照してください。

アップデートの詳細については、お使いのネットワーク環境に応じて、「Sophos Endpoint Security and Control クイック アップグレードガイド」、または「Sophos Endpoint Security and Control アドバンス アップグレードガイド」を参照してください。

ソフォスのセキュリティソフトの使用や管理に関するベストプラクティスについては、「Sophos Endpoint Security and Control ポリシー設定ガイド」を参照してください。

上記のガイドは、ソフォス Web サイトから入手可能です (http://www.sophos.co.jp/support/docs/Endpoint_Security_Control-all.html)。

このバージョンに追加された機能


  • Sophos Update Manager

    Sophos Update Manager は、性能を強化した新しいアップデート機能です。ソフォスの Web サイトからセキュリティソフトを取り込む、自動アップデートを設定できます。アップデートマネージャは、Enterprise Console と同時にインストールされ、Enterprise Console から管理します。Sophos Update Manager は、堅固で拡張性の高いアップデートソリューションです。最大 25,000台のコンピュータに対応できます。

  • ロールベースの管理

    ロール (役割) ベースの管理機能では、ユーザーの組織内の役割に応じて、ユーザーがアクセスできるコンピュータや、実行できるタスクを指定できます。

  • サブ管理サイトの管理

    サブ管理サイトの管理機能では、ユーザーが操作を実行できるコンピュータやグループを制限できます。

  • データコントロール

    データコントロールは、機密情報を含むファイルの転送を監視・制限し、クライアントマシンからのデータ流出事故を防止する機能です。特定のデバイス (リムーバブル ストレージ デバイスなど) へのデータ転送や、特定のアプリケーション (メールクライアント、Web ブラウザなど) によるデータ転送を監視・コントロールできます。

  • デバイスコントロール機能の強化

    新しいデバイス コントロール ポリシーでは、未認証のストレージデバイスやネットワーク インターフェースの接続をより簡単に管理できます。

  • レポート機能の強化

    新しいレポートのテンプレートを追加。ポリシーに準拠していないマシンごと、期間ごとのレポートや、警告のサマリーを表示できます。レポートの設定内容を保存し、出力したレポートを決まった時刻にメール送信するようスケジュール設定できます。新しい「レポートの作成 ウィザード」では、レポートのカスタマイズとスケジューリングがより簡単に設定できます。

  • ファイアウォール: 接続先の検出機能

    接続先に応じて 2種類のファイアウォール設定を作成できます。社内ネットワークまたは外出先など、コンピュータを使う場所に応じ、ファイアウォールで異なる設定が適用されます。

  • ファイアウォール: 「監視する」動作モード

    ルールを適用できない不明なトラフィックをすべて許可する設定でファイアウォールを展開し、イベントを発生させることにより、簡単にルールを作成することもできます。

既存の問題点

リリース時に判明していた問題点は以下のとおりです。リリース後に報告された問題点を含む、リストの最新版は、ソフォス サポートデータベースの文章 63215 をご覧ください。

インストールおよびアップグレード


  • (WKI 49307) ソフォス製品のデータベースをインストールし、データベース接続用の新しいユーザーを作成すると、「ユーザーを作成するには、すべての入力欄に値を入力する必要があります」といった内容のエラーメッセージが表示される。詳細は、ソフォス サポートデータベースの文章 64679 をご覧ください。
  • (DEF 37341) Sophos Client Firewall がインストールされている Windows XP、Windows Vista、または Windows 2000 Professional ベースのコンピュータに、Enterprise Console (リモートコンソールを含む) をインストールできない。このようなコンピュータに Enterprise Console をインストールするには、まず、Sophos Client Firewall をアンインストールし、Enterprise Console をインストール後、ファイアウォールを再インストールしてください。
  • (WKI 26898) 別のコンピュータ上の SQL Server Express のインスタンスにインストールされているデータベースに、Enterprise Console の管理サーバーが接続できない。この問題は SQL Server Express のデフォルト設定でリモート接続が許可されていないことが原因で発生します。詳細はソフォス サポートデータベースの文章 24635 をご覧ください。
  • (QUE 20382) Enterprise Console をインストール、またはアップグレードした後、コンピュータの再起動が必要な場合がある。

    インストールやアップグレードが実行される間、セットアップに必要な一部のファイルが使用されるため、ファイルのコピーを完了するためにコンピュータを再起動する必要があります。

  • Microsoft ネットワーク用クライアント (クライアントは無効になっていても問題ありません) がインストールされていないコンピュータに Enterprise Console 管理サーバーをインストールしようとすると、実行時にインストールに失敗する。
  • (DEF 18692) 他社製セキュリティ対策ソフトを削除後、再起動が必要な場合がある。

    ごくまれに、他社製セキュリティ対策ソフトのアンインストールとソフォス セキュリティ製品のインストールを完了するために、エンドポイントの再起動が必要となる場合があります。

アプリケーション コントロール


  • (DEF 27077) ユーザーがアプリケーションを実行していないのに、アプリケーション コントロールのイベントが作成される。

    ユーザーがアプリケーションを実行したという以外の理由でアプリケーション コントロールのイベントが作成され、Enterprise Console にレポートされることがあります。詳細は次のとおりです。


    • Windows の「スタート」メニューに含まれるアプリケーション (例: Microsoft Games) を管理の対象にした場合、エンドポイントコンピュータを再起動する際、イベントが作成されます。
    • 管理対象アプリケーションが「プログラムの追加と削除」ウィンドウ内のリストに含まれている場合、ユーザーが同ウィンドウを開くとイベントが作成されます。
    • ユーザーが (ファイルを右クリックして) 管理対象アプリケーションの「プロパティ」を表示しようとしたり、マウスのカーソルをファイルに移動して、ツールチップを表示しようとするとイベントが作成されます。
  • アプリケーション コントロール - イベントビューア」の「ユーザー名」カラムに、「NT Authority」と表示されることがある。

    スケジュールタスクの起動によって、スケジュール検索が実行され、管理対象アプリケーションが検出された場合、または Windows 起動時に「スタート」メニューの項目が OS によって構築される際、ユーザー名が、エンドポイントにログインしているユーザーでなく、「NT Authority」とレポートされます。

  • 「MS Windows Games」など、1つのアプリケーションによって、アプリケーション コントロールのイベントが複数作成されることがある。これは、1つの ID が複数の実行ファイルを対象にしている場合や、アプリケーションの複数のコンポーネントに対して検出が報告された場合に発生します。後者は、通常、不要と思われるアプリケーションの検索を有効に設定してスケジュール検索を実行している場合に発生します。
  • (CR 28114) ローカルマシンまたは他のコンピュータのどちらで管理対象アプリケーションが検出されたか Enterprise Console に表示されない。

    ユーザーが管理対象アプリケーションをインストールしようとしても、そのアプリケーションがブロックの対象である場合、アプリケーションはインストールされません。Enterprise Console に警告が送信されますが、警告の発生原因や、インストーラの場所は表示されません。アプリケーションコントロールのイベントの詳細は、エンドポイントにある Sophos Anti-Virus ログファイル (C:\Documents and Settings\All Users\Application Data\Sophos\Sophos Anti-Virus\logs\SAV.txt) をご覧ください。

データコントロール


  • (DEF 29635) Internet Explorer で、FTP プロトコルを使用して転送したファイルが検索されない。
  • (WKI 34375) ファイルがデータコントロールによってブロックされた場合、空のスタブがメールに添付されることがある。Outlook Express や Outlook Web Access では、データコントロールによってファイルがブロックされると、空のスタブが添付されます。これは、データコントロールのルールで設定されている「ユーザーの同意で転送を許可する」アクションに対して、ユーザーが「転送をブロックする」オプションを選択した場合にも発生します。
  • (WKI 30676) データコントロールのルールで、「転送をブロックする」または「ユーザーの同意で転送を許可する」を指定すると、Microsoft の ReadyBoost 機能がブロックされる。この場合、Windows エクスプローラ経由の書き込みを除く、リムーバブル ストレージ デバイスへのすべての書き込みが、データコントロールによってブロックされます。
  • (WKI 31534) データコントロールのルールで、「転送をブロックする」または「ユーザーの同意で転送を許可する」を指定すると、アプリケーション (デバイスに保存されているものも含みます) による、リムーバブル ストレージ デバイスへのデータの書き込みがブロックされる。
  • (WKI 36074) データコントロールのルールで、「転送をブロックする」または「ユーザーの同意で転送を許可する」を指定すると、監視対象ストレージデバイスにおけるファイルの新規作成がブロックされる。
  • ウイルス対策および HIPS での除外設定は、次の状況でデータコントロールにも適用されます。
    • アプリケーションの監視: 監視対象アプリケーションによってアップロード/添付されたファイルは、
      ファイルの保存場所やファイル名が「ウイルス対策および HIPS」ポリシーの除外リストで指定されている場合、検索から除外されます。
    • ストレージデバイスの Windows エクスプローラを使用しない転送の監視: ストレージデバイスに対してデータコントロールのルールで、「ユーザーの同意で転送を許可する」や「転送をブロックする」アクションが指定されている場合、自動的にブロックされる転送は、検索から除外されます。
  • (DEF 40240) このリリースでは、アプリケーション仮想化/ストリーミング機能 (例: Microsoft App-V) に対応していない。
  • DEF 48035) このリリースでは、AFS (Andrews File System) などの他のネットワークファイルシステムに対応していない。
  • (WKI 36996) 監視対象のインターネットブラウザ (例: Internet Explorer) を使用してファイルシステムを参照すると、データコントロール機能が起動されることがある。
  • (WKI 37905) データコントロールのルールで監視対象に指定されているアプリケーション (例: Internet Explorer や Firefox) をデスクトップや「マイ ドキュメント」からインストールしようとすると、データコントロールによってブロックされることがある。
  • (WKI 37907) データコントロールのルールで Firefox で使用する「オブジェクトコード」ファイルタイプを監視する設定になっていると、Firefox のプラグイン (XPI) のインストールがブロックされることがある。

デバイスコントロール


  • (SUG 29039) 「ブリッジ接続をブロックする」モードは、IPV6 のみの環境では動作しない。
  • (WKI 37908) MTP プロトコル (メディア転送プロトコル) を使用するデバイスは、デバイスコントロールでブロックされない。デフォルトでは、このようなデバイスに Windows エクスプローラを使用してデータを書き込むことはできません。
  • カメラデバイスは、デバイスコントロールでブロックされない。デフォルトでは、このようなデバイスに Windows エクスプローラを使用してデータを書き込むことはできません。
  • (WKI 30431) ハードウェア暗号化機能を持つデバイス「Kingston DataTraveler Vault」が、デバイスコントロールの「セキュリティ搭載リムーバブル ストレージ デバイス」カテゴリに含まれない。当製品は、ハードウェア暗号化機能を持つ他のストレージデバイスとは異なった方法で、暗号化されたストレージパーティションを表示します。現在、この方法を自動的に検出し、ブロックすることはできません。
  • (WKI 36186) 「ブリッジ接続をブロックする」モードで、デバイスタイプ「ワイヤレス通信デバイス」や「モデム」をブロックするために必要な「ブロック」イベントを作成できない。

ファイアウォール


  • (DEF 22335) 許可したアプリケーションが Sophos Client Firewall で一時的にブロックされる。

    ファイアウォールポリシーを適用すると、すべてのアプリケーションルールは一旦削除され、もう一度追加されます。この間に、新しいポリシーで許可されているアプリケーションが送信方向の接続を確立しようとした場合、新しいポリシーが完全に適用されるまでの間、ブロックされます。

  • (CR 18615) 実行中のアプリケーションやサービスは、再起動されるまで、ファイアウォールのルールが適用されないことがある。

    ファイアウォールの環境設定を更新し、アクセスが許可されている場合でも、実行中のアプリケーションやサービスは、再起動されるまでアクセスが拒否されることがあります。これは、はじめに、隠しプロセス、新規/変更されたアプリケーション、または別のメモリによってメモリが変更されたプロセスとしてアプリケーションが検出され、ブロックされた場合に発生します。

その他の問題点


  • (DEF 36019) Enterprise Console の管理サーバーを稼動しているサーバーに、Sophos Endpoint Security and Control がインストールされていないと、エンドポイントコンピュータの最新版ステータスが「不明」と表示される。Enterprise Console の管理サーバーを実行しているサーバーには、必ず、Sophos Endpoint Security and Control をインストールする必要があります (実行する必要はありません)。インストールしないと、Enterprise Console でエンドポイントコンピュータを正しく管理できません。
  • コンピュータ名は、Enterprise Console で正しく認識されるよう、標準的な 7ビットの ASCII コードを使ってください。アクセント文字や半角ローマ字以外の文字が含まれるコンピュータ名は認識されません。
  • (CR 22041 および CR 27529) Active Directory からインポート、または Active Directory と同期したコンピュータがコンソールでワークグループに属しているかのように表示される。

    Enterprise Console の「新規コンピュータの検索」機能の「ネットワークの検索」オプションを使用して、ワークグループに属する管理対象外のコンピュータを検出すると、「ドメイン/ワークグループ」フィールドにコンピュータのワークグループ名が表示されます。この後、このコンピュータが Active Directory ドメインに移動され、再起動された直後に Enterprise Console で Active Directory と同期、あるいは Active Directory からインポートされた場合でも、コンピュータのドメイン名でなく、ワークグループ名が「ドメイン/ワークグループ」フィールドに表示されます。この問題を解消するには、次の方法で当該のコンピュータを管理します。

    当該のコンピュータを保護します。保護すると、Enterprise Console に、このコンピュータのエントリが 2つ表示されます。1つはワークグループの一部として示される元のエントリで、もう 1つは「ドメイン/ワークグループ」が Active Directory ドメインのドメイン名に設定されている新しいエントリです。しかし、新しいエントリは「グループ外のコンピュータ」グルーブに表示され、デフォルドポリシーのみが適用されていることがあります。この問題が生じた場合は、以下のように対処してください。

    コンピュータが、同期した Active Directory のグループのメンバーでない場合は、適切な Enterprise Console のグループへコンピュータを移動します。

    元のワークグループのエントリを削除してください。

    コンピュータが、同期した Active Directory グループのメンバーである場合は、Enterprise Console でそのコンピュータに対応するワークグループのエントリを削除します (コンピュータは同期したグループに表示されます)。次回、同期をとると、管理されているコンピュータは、正しいグループに表示され、適切なポリシーが適用されていることがわかります。または、コンピュータが Active Directory で検出される前に、Enterprise Console で、当該のコンピュータに対応するワークグループのエントリを削除すると、最初から正しいグループにコンピュータが表示されます。

  • オンアクセス検索の対象からフォルダを除外すると、Windows 95/98 ベースのコンピュータに対する検索が無効になることがある。

    コンピュータのグループにウイルス対策ポリシーを設定する際、オンアクセス検索の対象からフォルダを除外することができます。このオプションは Windows 95/98 ベースのコンピュータには適用されないため、これらのコンピュータに対するオンアクセス検索が無効になってしまうことがあります。このオプションがポリシーで指定されていないグループに Windows 95/98 ベースのコンピュータを移動すると、オンアクセス検索が有効になります。

  • (CR 27212) Enterprise Console がインストールされているコンピュータ上では、ソフォス ネットワーク通信レポートへのリンクが使用できない。

追加情報


  • (CR 24322) 管理対象アプリケーションのスケジュール検索。管理対象アプリケーションのスケジュール検索を設定する方法については、ソフォス サポートデータベースの文章 22473 を参照してください。
  • 注: Sophos Enterprise Console の Windows 2000 への対応は、Sophos Enterprise Console 4 をもって終了する予定です。2010年 4月にリリース予定の次バージョン、Sophos Enterprise Console (4.5) は、Windows 2000 プラットフォームには対応しないことにご注意ください。また、Sophos Enterprise Console 4.5 は、SQL Server 2000 に対応しない予定です。

システム要件

対応 OS

対応する OS の一覧は、ソフォス Web サイトのシステム要件ページをご覧ください (http://www.sophos.co.jp/products/all-sysreqs.html)。

ハードウェア要件


  • プロセッサ: 2.0GHz Pentium (または同等品)
  • メモリ: メモリの最低要件はありません。
  • ディスク空き容量: 1.5GB - SQL Server 2005 Express を除く Enterprise Console を「すべて」インストールする場合。1.8GB - SQL Server 2005 Express を含めた Enterprise Console を「すべて」インストールする場合。

    これとは別に、ソフォスからダウンロードするエンドポイント製品 1つにつき、約 200MB~350MB の空き容量が必要です。たとえば、Windows 2000 以降、Mac、Linux 版の 3つのセキュリティソフトをダウンロードする場合、「Documents and Settings」に約 700MB の空き容量が必要となります。

Sophos Update Manager を Enterprise Console がインストールされていないコンピュータにインストールする場合のシステム要件は次のとおりです。


  • プロセッサ: Pentium 4 (または同等品) 1.0GHz
  • メモリ: 512MB RAM
  • ディスク空き容量: 50MB - インストールに必要な容量。これとは別に、ソフォスからダウンロードするエンドポイント製品 1つにつき、約 200MB~350MB の空き容量が必要です。たとえば、Windows 2000 以降、Mac、Linux 版の 3つのセキュリティソフトをダウンロードする場合、「Documents and Settings」に約 700MB の空き容量が必要となります。

データベースの最低容量

データベースをインストールするコンピュータ (Enterprise Console と同じ、または異なるコンピュータにインストールできます) に、最低 1GB 以上の空き容量が必要です。

データベースの最大容量


  • Microsoft SQL Server 2005 Express Edition を使用する場合、データベースの最大データサイズは 4GB です。
  • Microsoft SQL Server 2005/2008 を使用する場合、システム管理者が設定しない限り、データのサイズ制限はありません。
  • MSDE を使用する場合、データベースの最大データサイズは 2GB です。

ソフトウェア要件


  • 最低 Internet Explorer 5 以降
  • マイクロソフト Windows セキュリティ修正プログラム、MS04-11 のインストール。この詳細と対象となるオペレーティングシステムの一覧は、マイクロソフト サポート技術情報 835732 を参照してください。

Enterprise Console を管理対象のクライアントと通信させるには、Enterprise Console の管理サーバーがインストールされているコンピュータの 8192 ポートと 8194 ポートを解放します。Sophos Update Manager が、ソフォスのサーバーからセキュリティソフトをダウンロードできるようにするには、Sophos Update Manager がインストールされているコンピュータの 80 ポートを開放します。

テクニカルサポート

テクニカルサポートは、http://www.sophos.co.jp/support をご覧ください。

テクニカルサポートにお問い合わせの際は、以下の内容も含め、できるだけ詳しい情報をご提供いただきますようお願い申し上げます。


  • ソフォス製品のバージョン番号
  • OS および適用しているパッチの種類
  • エラーメッセージの正確な内容

著作権情報

Copyright © 2009 Sophos Group. All rights reserved. この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許可されている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、復元できるシステムに保存、または送信することを禁じます。

Sophos および Sophos Anti-Virus は、 Sophos Plc および Sophos Group の登録商標です。その他記載されている会社名、製品名は、各社の登録商標または商標です。