説明: SSH 接続の使用を許可するかどうかの決定
SSH サーバ接続の設定により、コンソールがエンドポイントと通信する際に SSH 接続を使用できるかどうかを指定します。SSH 接続を使用する場合は潜在的なセキュリティ リスクがありますので、決定を下す前に、SSH がSecurity Controls 内でいつ、どのように使用されるのか、理解しておくことが重要です。
背景情報
まず最初に知っておくべき事柄として、Security Controls は Windows コンピュータとの通信には SMB プロトコルを使用し、Linux コンピュータとの通信には SSH プロトコルを使用します。 不明なコンピュータの検出や、不明なコンピュータとの通信を試みる場合、コンソールが最初に試すのは SMB であり、これが失敗した場合に SSH が使用されます。 SSH は、2つのエンドポイント間のセキュア通信を提供します。 あるエンドポイントが SSH 要求に応答すると、コンソールが提供した認証資格情報を使用して、そのエンドポイントに対する認証が試行されます。
SSH は暗号化されたトランスポートを提供しますが、ユーザ名やパスワードも含め、SSH を使用して送信されたデータはすべて、SSH サーバにとっては可視であり利用可能なものです。 SSH 接続を使用して送信されるデータのセキュリティを確保するために、多くの組織が求めることは、クライアントがデータを送信する前に、接続先であるリモートシステムの信ぴょう性をクライアントが検証することです。 Security Controls は現在のところ、SSH サーバ認証の使用をサポートしていません。 つまり、SSH 接続が行われるのをブロックするのか、コンソールが SSH サーバ認証プロセスをスキップできるようにするのかを、ユーザが決定する必要があります。
決定方法
SSH サーバ接続の設定をどのように構成するかは、詰まるところ、構成しようとしているコンピュータがネットワーク内で信頼されているコンピュータであるかどうかによります。この設定は Security Controls ユーザ インターフェイス内の2ヶ所にあり、設定の範囲と影響は、領域ごとに異なります。
- [コンピュータ名]、[ドメイン名][IP アドレス/範囲]、および[組織単位] の各タブにあるコンピュータ グループ内
- [コンピュータ プロパティ] ダイアログ上
コンピュータ グループに定義されているコンピュータに対して検出処理を実行する場合、相手側でどのような種類のコンピュータがリスニングしている可能性があるか、わからないことがよくあります。 ネットワーク内の特定の IP 範囲によって定義されたコンピュータが、信頼できる Linux コンピュータであることは、既知である可能性があります。 それらのコンピュータについては、認証プロセスをスキップすることにより、あるいは認証手順を踏むように各コンピュータに要求することにより、SSH 接続を許可することを選んでよいといえます。 しかしながら、ドメインや組織単位をコンピュータ グループに追加する場合、それらのコンピュータのオペレーティング システムの種類や信頼性については確証が持てないことがほとんどです。 この場合は、SSH 接続をブロックすることを選択すべきです。当然ながらそのマイナス面は、通常の方法で Linux コンピュータを管理できなくなることですが、回避策があります。
コンピュータ グループ内のまだ検出されていないコンピュータとは異なり、コンピュータ ビューやスキャン ビュー内のコンピュータは、コンソールにとって既知のものです。 とはいえ、SSH 接続がブロックされていた間に検出操作が実行された場合、コンピュータについての情報量は限定的である可能性があります。 静的 IP として認識しているアドレスなど、コンピュータに関する手掛かりとなる情報は存在する場合があり、この情報により信頼できるコンピュータかどうかを判別できます。 この場合は、[コンピュータ プロパティ] ダイアログを使用して [SSH サーバ接続] の設定を [ブロック] から [既知の Hosts ファイルに照らして検証] または [サーバ認証をスキップ] に変更できます。 こうすることで、Linux コンピュータに対して完全な電源ステータス スキャンを実行した後、エージェントのプッシュ インストールを実行できるようになります。
SSH サーバ接続オプションのまとめ
- ブロック: 次の場合にこのオプションを選択します。
- 環境に Linux コンピュータが存在しない
- Linux コンピュータは存在するが、ネットワーク内のすべての SSH サーバが信頼できて安全なものか、確証が持てない
- 検出されるであろうコンピュータの OS タイプについて確証が持てない
- 既知の Hosts ファイルに照らして検証: SSH 接続を許可する前に known_hosts ファイルを使用して各ターゲット コンピュータを検証する場合に、このオプションを選択します。 known_hosts ファイルは、コンソール コンピュータ上にあり、現在コンソールにログオンしているユーザに固有のものです。検証プロセスは、Security Controls によって次のように実行されます。
- コンソール コンピュータ上で known_hosts ファイルを探します。
- known_hosts ファイルが存在し、かつそのファイルにターゲット コンピュータのエントリが含まれている場合は、SSH キーを問い合わせるクエリをターゲット コンピュータに対して実行します。Security Controls はそのキーを known_hosts ファイル内のキーと比較します。 2つのキーが一致すると、接続が許可されます。
- サーバ認証をスキップ: コンピュータが信頼できる安全な Linux コンピュータであることが確実な場合にのみ選択します。
コンピュータの電源ステータス スキャンの実行や、コンピュータへのエージェントのプッシュ インストールの実行はできません。 [ブロック] を選択しても、エージェント リスニング コマンドや、コンソールに返される結果には、効果がありません。
このプロセスを使用するためには、Security Controls コンソールに SSH クライアントがインストールされている必要があります。 コンソールが古いバージョンの Windows や Windows Server で動作している場合は、SSH クライアントを手動でダウンロードしてインストールすることが必要になる場合があります。
このファイルは C:\Users\<username>\.ssh というパスに配置されます。 このファイルが存在しないと、SSH 接続はブロックされます。
known_hosts ファイルは、Security Controls コンソールで PowerShell プロンプトを開き、ターゲット コンピュータへの SSH 接続を手動で開始することによって作成できます。このプロセス中に、ターゲット コンピュータのホスト キーが確認され、新たに作成された known_hosts ファイルに追加されます。
Security Controls が認識しているキーは、もともとは、コンピュータ用に指定されたユーザ名とパスワードによる認証資格情報を使用して作成されたものです。
[ブロック] を選択する場合の回避策
電源ステータス スキャン
コンピュータ グループに Linux コンピュータが含まれている場合、スキャンでその Linux コンピュータは検出されますが、オペレーティング システム情報は検出されません。 このコンピュータがネットワーク上の既知のデバイスであり、安全であると判断した場合は、コンピュータの [プロパティ] ダイアログに移動し、[SSH サーバ接続] の設定を [既知の Hosts ファイルに照らして検証] または [サーバ認証をスキップ] に変更できます。 そのコンピュータに対するその後のスキャンは予期したとおりに完了し、そのコンピュータについての完全な詳細が提供されます。
Linux エージェントのインストール
Linux コンピュータへの SSH 接続がブロックされている場合、そのコンピュータに対してエージェントのプッシュ インストールを実行することはできません。 ただし、そのコンピュータに手動でエージェントをインストールすることはできます。 その後、コンソールとの定期通信では SSH 接続が使用されないため、このエージェントは正常に機能します。