管理センター セキュリティ
Ivanti 管理センター は、Active Directory 統合、暗号化通信のための Secure Socket Layers (SSL)、認証された管理サーバおよびデータベース接続を使用した、安全な分散環境に実装できます。
このセクション:
セキュリティ上の課題
管理センター を実装するためのセキュリティ上の課題:
- システムの完全性: マルウェアの導入またはソフトウェア パッケージの修正による管理対象コンピュータに配布された構成およびエージェント パッケージを改ざんする試みは、管理ソフトウェアで実装する必要があるセキュリティ ポリシーを弱めます。
- データの機密性: イベントおよびアラート データは、管理サーバ経由で継続的に SQL データベースに中継され、不正ユーザによるアクセスの脅威に対して脆弱になる可能性があります。
認証と権限
Active Directory 統合を使用した認証は、許可された管理ユーザのみが 管理センター および製品ソフトウェアにアクセスまたは修正できることを保証します。
管理サーバからデータベースへの接続は、Microsoft Windows 認証または Microsoft SQL を使用して認証できます。
認証局によって発行された該当する証明書は、企業ポリシーおよび手順に従い、管理サーバにインストールされます。これは、クライアント接続が確立される前にサーバを検証できることを保証します。クライアント接続は、管理対象のコンピュータと 管理センター コンソールおよび製品コンソールをホストするコンピュータから発生します。
SSL を使用した通信の保護
SSL は、通信の機密性と完全性を確保し、次のような許可されたユーザのみが機密データにアクセスできることを保証します。
- イベント データ
- エージェントおよびエージェント構成データ
サポートされている他のオペレーティング システム、および他のバージョンの Microsoft SQL Server を使用している Web サーバの SSL 証明書を設定する場合、詳細については、こちらの Microsoft のドキュメントをご参照ください。
SSL 通信を有効にする
SSL は、通信の機密性と完全性を確保し、次のような許可されたユーザのみが機密データにアクセスできることを保証します。
- イベント データ
- エージェントおよびエージェント構成データ
自己署名証明書を使用して、管理センター の Secure Socket Layers (SSL) を設定します。
中小規模の企業環境では、コンソール内で配布エージェントのインストール機能を実行し、現在配布されている配布エージェントの URL パスを修復または修正して、http または https プレフィックとポート番号を変更することができます。
IIS での SSL の設定
- [スタート] > [すべてのプログラム] > [管理ツール] > [Internet Information Services (IIS) Manager] で、<ServerName> ノードを選択し、[IIS] セクションで [サーバ証明書] をクリックします。
- [処理] パネルで [自己署名証明書の作成] を選択します。
- 証明書のフレンドリ名を入力し、[OK] をクリックします。
-
[管理] ノードを選択し、ショートカット メニューの [バインドの編集] をクリックします。
- [追加] をクリックし、[タイプ] ドロップダウンリストで [HTTPS] を選択します。
- [SSL 証明書] ドロップダウンリストで、手順3で指定した証明書のフレンドリ名を選択します。
- [OK] をクリックし、[閉じる] をクリックします。
HTTPS 接続の確立
UWM サーバは既定では HTTP を使用するように構成されているため、HTTPS を使用するように UWM サーバを手動で構成する必要があります。
手順は、User Workspace Manager ドキュメントの「セキュア接続を使用するための User Workspace Manager Web サービスの構成」に記載されています。