この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ターゲット サーバが「要件と依存関係」に記載されている要件を満たしていることを確認したら、このチェックリストを使用してサーバをインストール用に準備し、最適化できます。
ベスト プラクティスのフレームワーク、推奨事項、およびその他の準備タスクを使用すると、Security Manager サーバの速度と信頼性を高めることができます。
このチェックリストは、推奨タスクの進捗を追跡するために使用できます。
|
|
---|---|
|
1. サーバへのインストールが推奨されているすべてのアップデート、パッチ、サービス パック、ホット フィックス、およびセキュリティ ソフトウェアを探して、インストーラ アプリケーションを編成します。 |
|
|
|
3. 他の目的に使用しているサーバ上に Security Manager をインストールする場合は、すべての重要なサーバ データをバックアップしてから、ブート CD または DVD を使用してサーバからすべてのデータをワイプします。 Security Manager 4.4 と 4.0 以前のリリースの Common Services を 1 台のサーバ上にインストールまたは共存させることは できません 。また、このマニュアルまたは http://www.cisco.com/go/csmanager に明記されていない場合は、サードパーティ ソフトウェアまたはその他のシスコ ソフトウェアと共存させることもできません。 |
|
4. サーバ管理用のメーカー カスタマイズが施されていないベースライン サーバ OS のみのクリーン インストールを実行します。 |
|
5. ターゲット サーバ上に必要なすべての OS サービス パックと OS パッチをインストールします。 使用している Windows に関してどのサービス パックまたはアップデートが必要なのかをチェックするには、[Start] > [Run] を選択してから、 wupdmgr と入力します。 |
|
|
|
7. システム上でマルウェアをスキャンします。 ターゲット サーバとその OS をセキュリティで保護するには、システム上でウイルス、トロイの木馬、スパイウェア、キーロガー、およびその他のマルウェアをスキャンしてから、見つかったすべての関連問題に対処します。 |
|
8. セキュリティ製品の競合を解消します。 ポップアップ ブロック、アンチウイルス スキャナ、他社の同等製品などのセキュリティ ツールに関する既知の非互換性または制約事項を理解して解決します。このような製品の競合や相互作用を理解するに当たって、インストール、アンインストール、または一時的にディセーブルにするものを決定し、従うべき順序を考慮します。 |
|
9. ユーザ アカウントを「強化」します。 ターゲット サーバを総当たり攻撃から保護するには、ゲスト ユーザ アカウントをディセーブルにして、管理者ユーザ アカウントの名前を変更し、管理環境内の悪用される可能性のあるその他のユーザ アカウントを削除します。 |
|
10. 管理者ユーザ アカウントと残りのユーザ アカウントに対して強力なパスワードを使用します。 強力なパスワードは、8 文字以上で構成され、数字、文字(大文字と小文字の両方)、および記号が含まれています。 を選択します。 |
|
11. 未使用のアプリケーション、不必要なアプリケーション、および互換性のないアプリケーションを削除します。 例: • Microsoft Internet Information Server(IIS)は Security Manager と互換性がありません。IIS がインストールされている場合は、それをアンインストールしてから Security Manager をインストールする必要があります。 • このマニュアルまたは http://www.cisco.com/go/csmanager に明記されていなければ、Security Manager とサードパーティ ソフトウェアまたはその他のシスコ ソフトウェア(LAN Management Solution(LMS)などの CiscoWorks ブランドの「ソリューション」または「バンドル」を含む)の共存がサポートされません。Security Manager と AUS の同じサーバ上へのインストールはサポートされますが、非常に低速なネットワークにのみ推奨されている設定です。また、いずれかの製品をインストールする前に、CiscoWorks Common Services をインストールする必要があります。 • 1 台のサーバ上で、このバージョンの Security Manager と 4.0 以前のリリースの Common Services をインストールまたは共存させることはできません。 • 1 台のサーバ上で、Security Manager と Security Manager の購入時に受領したものではない CD-ONE コンポーネント(CiscoView Device Manager を含む)を共存させることはできません。 • 1 台のサーバ上で、Security Manager と Cisco Secure ACS for Windows を共存させることはできません。 • 1 台のサーバ上で、Security Manager とフル バージョンの Cisco IPS Event Viewer を共存させることはできません。 |
|
12. 未使用のサービスと不必要なサービスをディセーブルにします。 Windows では、少なくとも、DNS クライアント、イベント ログ、プラグ アンド プレイ、保護された記憶域、およびセキュリティ アカウント マネージャを実行する必要があります。 |
|
13. TCP と UDP を除くすべてのネットワーク プロトコルをディセーブルにします。 どのプロトコルもサーバへのアクセス権の取得に使用される可能性があります。ネットワーク プロトコルを制限することによって、サーバへのアクセス ポイントが制限されます。 |
|
14. IPv6 をディセーブルにします。 Cisco Security Manager は IPv6 をサポートしていません。IPv6 は Windows Server 2008 で使用されるデフォルトのプロトコルです。 |
|
15. ネットワーク共有は作成しないでください。 ネットワーク共有を作成しなければならない場合は、共有リソースを強力なパスワードで保護してください。 (注) ネットワーク共有はあまり推奨できません。NETBIOS を完全にディセーブルにすることを推奨します。 |
|
16. サーバ ブート設定を構成します。 起動時間を 0 秒に設定して、Windows をデフォルトでロードするように設定し、システム障害発生時の自動リブートをイネーブルにします。 |
Security Manager をインストールする前に、次のタスクを完了する必要があります。
|
|
---|---|
|
1. 一時的にセキュリティ アプリケーションをディセーブルにします。 たとえば、Security Manager をインストールする前に、ターゲット サーバ上のアンチウイルス ソフトウェアを一時的にディセーブルにする必要があります。これらのプログラムがアクティブの間はインストールを実行できません。 |
|
ヒント サーバに SSL 証明書の有効期間以外の日付と時刻を設定した場合は、サーバ上の SSL 証明書が無効になります。サーバの SSL 証明書が無効になっている場合は、DCRServer プロセスが起動できません。 2. サーバに適用する日付と時刻の設定は慎重に検討してください。 NTP サーバを使用して、サーバの日付と時刻の設定と管理対象デバイスの日付と時刻の設定を同期させる方法が理想的です。また、Security Manager を Cisco Security Monitoring, Analysis, and Response System(Cisco Security MARS)アプライアンスと組み合わせて使用する場合は、使用する NTP サーバを Cisco Security MARS アプライアンスが使用するサーバと同じにする必要があります。ネットワーク上で発生したものを正確に再構成するためにはタイムスタンプ情報が不可欠なため、特に、Cisco Security MARS で同期化された時間が重要です。 です。 |
|
3. 必要なサービスとポートがイネーブルになっており、Security Manager から使用可能なことを確認します。 「必要なサービスとポート」(P.3-1) を参照してください。 |
|
4. Terminal Services がアプリケーション モードでイネーブルになっている場合は、Terminal Services をディセーブルにして、サーバをリブートします。 Terminal Services がアプリケーション モードでイネーブルになっているサーバ上に Security Manager をインストールできません。リモート管理モードでイネーブルにされた Terminal Services はサポートされます。 Terminal Services がアプリケーション モードでイネーブルになっているターゲット サーバに Security Manager をインストールしようとすると、エラーでインストールが終了します。 |
|
|
|
6. インストールのターゲット ディレクトリが暗号化されていないことを確認します。 暗号化されたディレクトリに Security Manager をインストールしようとすると失敗します。 |
|
7. フレッシュ インストールを実行している場合は、インストールの前にライセンス ファイルをターゲット サーバに配置する必要があります。 インストール中にこのファイルの選択が要求されます。 (注) ライセンス ファイルのパスには、アンパサンド(&)などの特殊文字が含まれていてはなりません。 |
|
8. インストールされている IIS をアンインストールします。 IIS は Security Manager と互換性がありません。 |
|
9. 存在する場合の Cisco Secure ACS for Windows を含めて、サーバ上のすべてのアクティブな Sybase インスタンスをディセーブルにします。 Security Manager のインストール後に Sybase を再イネーブルするか、再起動するかを選択できますが、同じサーバ上での Security Manager と Cisco Secure ACS for Windows の共存がサポートされていないことに注意してください。 |
|
10. Cisco Security Manager クライアントがすでにサーバ上にインストールされている場合は、そのクライアントを停止する必要があります。 この状態はインストール中にチェックされます。 |
|
11. FIPS 準拠の暗号化をディセーブルにします。 Windows Server 2008 のグループ セキュリティ ポリシーで、Federal Information Processing Standard(FIPS; 連邦情報処理標準)準拠の暗号化アルゴリズムがイネーブルになっていることがあります。FIPS 準拠がオンになっている場合は、CiscoWorks サーバ上の SSL 認証が失敗する可能性があります。CiscoWorks を正しく機能させるためには、FIPS 準拠をディセーブルにする必要があります。 Windows Server 2008 上で FIPS をイネーブルまたはディセーブルにするには、次の手順を実行します。 a. [Start] > [Administrative Tools] > [Local Security Policy] に移動します 。 [Local Security Policy] ウィンドウが表示されます。 b. [Local Polices] > [Security Options]をクリックします。 c. [System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing] を選択します。 d. 選択したポリシーを右クリックして、[Properties] をクリックします。 e. [Enabled] または [Disabled] を選択して、FIPS 順序アルゴリズムをイネーブルまたはディセーブルにします。 |
|
12. Internet Explorer Enhanced Security Configuration(IE ESC)をディセーブルにします。 クライアントのダウンロードが IE ESC によって禁止されるため、この作業を行う必要があります。 Security Manager のインストール準備をしているサーバ上で IE ESC をディセーブルにするには、次の手順を実行します。 a. Windows で、Server Manager を開きます。これを行うには、[Computer] を右クリックしてから、[Manage] をクリックします。 b. [Security Information] の下で、[ Configure IE ESC ] をクリックし、IE ESC を無効にします。 |