Endpoint Central (Desktop Central) サーバーのセキュリティ設定について

作成日：2020年2月19日 | 更新日：2022年12月12日

確認ビルド: Desktop Central 10.1.2138.19
この記事では、Endpoint Central(Desktop Central)サーバーのセキュリティ設定に関して説明しています。なお、この記事で言及されている設定以外にも、アンチウイルスソフト（セキュリティソフト）やファイアウォールなどを適切にインストールし設定することで、セキュリティを確保します。

管理対象PCのセキュリティ設定を確認・変更する場合は、構成 > Windows > セキュリティやインベントリ > インベントリレポート > セキュリティレポートを参照します。

Endpoint Central (Desktop Central)のセキュリティ設定

Endpoint Central (Desktop Central)サーバーのセキュリティに関する設定

Endpoint Central (Desktop Central)をご利用いただく上で、以下の点にご留意ください。

Desktop Centralを日本国内向けリリースビルドの最新ビルドへアップグレードします。
日本国内向けリリースビルドは、こちらのナレッジをご覧ください。新ビルドリリース時、ナレッジベース上にて「リリースノート」「アップグレード手順」を公開するほか、ご契約者様向けにメールにてお知らせしております。

日本国内向けにリリースされているビルド以外へのアップグレードはお止めください。
Desktop Centralサーバー(Desktop Central がインストールされている Windows Server)へのログインを許可するユーザーを最小限にします。
適切なファイアウォールとアンチウイルスソフトウェアを使用し、パターンファイルを最新の状態に保ちます。また、ファイアウォールやアンチウイルスソフトからのアラートを受信できるようにします。
ファイアウォール/アンチウイルスソフトにおいては、以下の参考情報を確認に設定します。
未使用のアカウントを削除します。
- Desktop Centralサーバー(Desktop CentralがインストールされたWindows Server)から、未使用のユーザーアカウントを無効化または削除します。
- (MS SQLを使用している場合) MS SQLサーバーから、未使用のアカウントを削除します。
- Desktop Centralの製品コンソールから、未使用の製品ユーザーを削除します。（⇒製品ユーザー管理）
他のサードパーティソフトウェアが含まれていない専用マシンに配信サーバーをインストールします。
セキュリティ上の重大な情報を受信するため、メールアドレスを登録します。
Desktop Central 10.1.3137.11 以降に導入されたセキュリティ通知メール設定に、管理者のメールアドレスを入力/更新します。（重大な情報があった際、開発元からの情報をお知らせします）

Desktop Centralサーバー自体のパッチ管理

Desktop Centralがインストールされたコンピューターに対しても、Desktop Centralエージェントをインストール可能です。そのためDesktop Centralで通常のエージェント端末と同様のパッチ管理ができます（ただし、再起動の実施タイミングにご注意ください）。

その他のDesktop Centralセキュリティ設定

管理タブ > セキュリティ設定 > セキュリティ設定 より、Desktop Centralのセキュリティに関する設定の状況を確認可能です。

セキュアログインの確保
Desktop Centralのユーザー認証や、操作端末とDesktop Centralサーバー間の通信におけるhttps有効化、サードパーティ製証明書のインポートを設定します（Desktop Central 10.1.2220.16 以降において、アップグレード後にHTTPSの有効化が必須化されました）。
Windowsエージェントのアンインストールをユーザーに許可しない設定もこちらから利用可能です。
エージェントとサーバーの安全な通信を確保
エージェント・配信サーバー・サーバー間の通信においてhttpsを有効化する設定や、セキュアゲートウェイサーバーの設定はこちらからも変更可能です。

セキュリティ強化ガイドラインについて

セキュリティ強化のため、以下の設定を推奨しております。

既定の管理者アカウントを削除する
デフォルトのログインユーザー名を変更(または、デフォルトのログインユーザーを削除)します。管理タブ > グローバル設定 > ユーザー管理を開きます。
(ライセンスのユーザーが1名の場合はユーザー名の変更が可能です。ライセンスのユーザーが複数名の場合はユーザー名変更ができませんので、ユーザーを削除し新規ユーザーとして作成します。)
セキュアログインを有効にする（HTTPS）を有効化する
上記設定をご確認ください。
サードパーティの信頼できる証明書をインポートして使用する
二段階認証の強制を有効化する・パスワードポリシーを設定する
ソフトウェアリポジトリの安全性を確保する
ソフトウェアリポジトリとしてEndpoint Central(Desktop Central)サーバー外のフォルダーやネットワーク上の共有フォルダーを指定可能です。ソフトウェアリポジトリとして指定したフォルダーへのアクセス権限が適切であるか確認します。
ユーザーがDesktop Centralエージェントのサービス停止・アンインストールを制限する
エージェントとサーバーの通信の安全性を確保する
- LANエージェントの安全な通信(HTTPS)を有効化する
- WANエージェントの安全な通信(HTTPS)を有効化する
- リモートコントロールとファイル転送操作の安全性を確保する
- TLS 1.0, 1.1 を無効化する
- モバイルデバイスの管理やインターネット回線経由でのPC管理をする場合、セキュアゲートウェイサーバーを使用する
パッチ管理機能のセキュリティを強化する
- (Red Hatを管理している場合)改ざんされたファイルの配布を回避するため、指定システム(Nominated System)のルート権限をもつユーザーを必要最低限にします。
- (Linuxを管理している場合)悪意のあるパッケージURLの配布を回避するため、管理対象Linuxのルート権限を持つユーザーを必要最低限にします。
- パッチのアップロード機能を使用する際は、アップロードするファイルに対してアンチウイルスソフト等のセキュリティスキャンを実行して、ファイルに問題がないか事前に確認します。
構成機能のセキュリティを強化する
- カスタムスクリプト機能を使用する場合、スクリプトをアップロードする前に、アップロードするファイルに対してアンチウイルスソフト等のセキュリティスキャンを実行して、ファイルに問題がないか事前に確認します。
ソフトウェア配布機能のセキュリティを強化する
- パッケージの作成をする際は、アップロードするファイルに対してアンチウイルスソフト等のセキュリティスキャンを実行し、ファイルに問題がないか事前に確認します。
- HTTPリポジトリを安全な場所に設定します。
リモート制御機能(ツールタブ)のセキュリティを強化する
- 管理タブ > ツールの設定 > ポート設定において、httpsを有効化します。
- 管理タブ > ツールの設定 > システムマネージャー設定において、ファイルマネージャー/コマンドプロンプト機能の使用権原を「管理者のみ」に設定し、Administratorロール以外のユーザーに使用できないようにします。
- ツールタブ > リモート制御 > 設定 > アイドルセッションの設定において、アイドルセッションを有効化します。これにより、設定された時間アイドル状態が継続した場合、接続先コンピューターへのリモート制御を自動的に切断（または、自動的に切断し接続先コンピューターをロック）します。
- ユーザー確認を有効化します。
モバイルデバイス管理機能のセキュリティを強化する
- (企業所有のデバイスでは) ユーザーがモバイルデバイスを管理対象から外せないよう、工場出荷時のリセット/デバイスのワイプを制限します。
- 定期的なデバイススキャンを実行します。
- デバイスのプライバシー設定と利用規約ポリシーを構成します。
Desktop Centralサーバーの機能のセキュリティを強化する
- バックアップ設定において、バックアップファイルの暗号化を有効にします。また、通知を有効化します。
- 管理タブ > セキュリティ設定 > エクスポート設定を設定します。
- コンソール画面右上のユーザーアイコン > カスタマイズ > セッションの有効期限を、可能な限り最小にして、セッションタイムアウト時間をなるべく短く設定します。
- コンソール画面右上のユーザーアイコン > アクティブなセッションを開き、現在使用していない古いセッションを閉じます。
- 配信サーバーをインターネット回線側から容易にアクセス可能な場所に設置しないようにします。
- Desktop Centralサーバーのレジストリとログをお問い合わせ以外で共有しないようにします。

Desktop Centralの脆弱性に関する情報
Desktop Centralの脆弱性に関する情報につきましては、脅威度の高いものについて、緊急パッチを英語版ナレッジベースにて公開しております。また、 Data Breach Notification にご登録いただいたお客様に対して、脅威度の高い場合に通知(英語)をお送りしております。
また、内容および対処方法について「既知の問題」および「セキュリティ」に掲載し、特に脅威度が高く影響範囲が大きいと思われる問題につきましては、保守サポート契約中のお客様にご連絡を差し上げております。
Endpoint Central(Desktop Central) を含む ManageEngine製品の脆弱性情報について、一覧表示するSecurity Advisoryが公開されています。Product列に製品名を入力してご覧ください。

これまで公表されている主な脆弱性（カッコ内は日本語ナレッジ公開日）

GhostCat(CVE-2020-1938)への対応について (2020年3月9日)
Desktop Centralの脆弱性(CVE-2020-10189)について (2020年3月9日) → 10.0.479 にて修正
- DesktopCentral脆弱性診断ツール/判断基準と対応について
Desktop Centralの脆弱性(CVE-2020-10859)について (2020年5月14日) → 10.0.519 にて修正
Desktop Centralの脆弱性(CVE-2020-15588)について (2020年8月6日) → 10.0.562 にて修正
Desktop Centralの脆弱性(CVE-2020-24397)について（2020年10月13日）→ 10.0.562 にて修正
Desktop Centralの脆弱性(CVE-2020-15589)について（2020年10月23日）→ 10.0.646 にて修正
Desktop Centralの脆弱性(XSS)について（2020年11月10日） → 10.0.586にて修正
Desktop Centralの脆弱性(CVE-2020-28050)について（2021年3月30日）→ 10.0.648 にて修正
Desktop Centralの脆弱性(CVE-2021-37414)について（2021年8月3日）→ 10.0.642 にて修正
Desktop Centralの脆弱性(CVE-2021-28960)について（2021年12月1日）→ 10.0.683 にて修正
Desktop Centralの脆弱性(CVE-2021-44515)について（2021年12月6日）→ 10.0.644/10.1.2137.3 にて修正
Apache Log4jの脆弱性の影響を受けないことについて（2021年12月14日）
Desktop Centralの脆弱性(CVE-2021-44757)について（2022年1月20日）→ 10.1.2137.11 にて修正
Desktop Centralの脆弱性(CVE-2021-46164, CVE-2021-46165, CVE-2021-46166)について（2022年4月20日）→ 10.1.2137.11 にて修正
Desktop Centralの脆弱性(CVE-2022-23779)について（2022年4月20日）→ 10.1.2137.11 にて修正
Desktop Centralの脆弱性(CVE-2022-23863)について（2022年2月1日）→ 10.1.2137.11 にて修正
Apache Commons Textライブラリの重大な脆弱性（CVE-2022-42889）の影響について（2022年10月26日）→ 影響は確認されていません
Apacheのライブラリのバージョンに起因するSAML認証の脆弱性について（2022年11月1日） → 10.1.2220.18 にて修正

これ以降の脆弱性・セキュリティに関する情報はセキュリティカテゴリーの各ナレッジをご覧ください。

このナレッジの総閲覧回数： 1,186

Endpoint Central オンプレミス版 ナレッジベース