Novell ZENworks Endpoint Security Management 3.5

2.1.1 Windows Server 2008はサポートされていません。

Microsoft^* Windows Server^* 2008ではIISの新しいバージョンが使用されているため、ZENworks Endpoint Security Management Serverのコンポーネントをインストールできません。

2.1.2 Active Directory内のデバイスに対する管理コンソールのインストール

管理コンソールのインストール先のデバイスは、構成するActive Directory^*ドメインのメンバであるか、少なくともそのドメインとの間に信頼関係が存在している必要があります。

2.1.3 Windows XP 64ビットオペレーティングシステムはサポートされていません。

ZENworks Endpoint Security Managementは、Windows^* XP 64ビットオペレーティングシステム上では動作しません。32ビットOS上の64ビットCPUはサポートしています。現時点では、Microsoft Vista^*はサポートされていません。

2.1.4 ZENworks Endpoint Security Management ServerでのSQL 2005およびSQL 2008の使用

ZENworks Endpoint Security ManagementでSQL 2005およびSQL 2008を使用する方法の詳細については、TID 3466284を参照してください。

2.1.5 SQL Server Express 2005とSQL Server Express 2008はサポートされていません。

ZENworks Endpoint Security Managementサーバおよびスタンドアロンの管理コンソールは、SQL Server^* Express 2005とSQL Server Express 2008ではサポートされません。

2.1.6 DS_STDSDB_Userアカウントのパスワードに対する特殊文字の使用

DS_STDSDB_Userアカウントのパスワードに特殊文字を使用すると、その特殊文字は設定ファイル内で変更されます。たとえば、@は設定ファイル内ではAに変更されます。サーバとデータベースとの間の通信は正常に機能します。しかし、OSQLのトラブルシューティングを行うときは、特殊文字を指定したパスワードではなく、設定ファイルに記載されているパスワードを使用する必要があります。

2.1.7 SQL Server 2005を使用している場合は、［パスワードは要求する複雑さを満たす］を適用するパスワードポリシーが、ドメインセキュリティポリシーで無効になっていることを確認してください。

SQL Server 2005に接続する際は、［パスワードは要求する複雑さを満たす］を適用するパスワードポリシーが、ドメインセキュリティポリシーで無効になっていることを確認してください。ZENworks Endpoint Security Management for SQLで作成されたアカウントには有効期限がないため、インストール後にこのポリシーを再度有効にすることができます。

このポリシーがあると、SQL Server 2005で作成されるSQLアカウントはこの制限事項のために失敗します。このポリシーが無効になっていない場合、ZENworks Endpoint Security Managementをインストールすることはできません。DS_STDSDB_Userアカウントを作成するときにこのポリシーが無効になっていない場合、STDSDB用に入力されたパスワードが正しくないことを通知するメッセージが表示されます。

回避策: 設定ファイルを使用すると、ユーザアカウントを手動で作成できます。

2.2.1 アクティブなアプリケーションのブロック

アプリケーションの実行をブロックしても、エンドポイントですでに開かれているアプリケーションはシャットダウンされません。

2.2.2 ネットワークアクセスのブロック

アプリケーションへのネットワークアクセスをブロックしても、エンドポイントでネットワークデータをストリーミングしているアプリケーションへのアクセスは停止できません。

2.2.3 ネットワーク共有を使用しているアプリケーションのブロック

アプリケーションへのネットワークアクセスをブロックしても、ネットワーク共有からデータを取得しているアプリケーションへのアクセスは停止できません。

2.2.4 ネットワークドライブ共有から開始されたアプリケーションのブロック

アプリケーションの実行をブロックしても、読み込みアクセスからシステムブロックされているネットワークドライブ共有から開始されたアプリケーションは実行されます。

2.2.5 アプリケーションのブロックとセーフモード

ネットワークアプリケーションコントロールは、デバイスがセーフモードでネットワークを使用して起動されている場合、機能しません。

2.3.1 クライアントセルフディフェンスにはアンインストールパスワードが必要

クライアントセルフディフェンス機能をフル活用するには、アンインストールパスワードを実装する必要があります。

2.3.2 CPUスパイクが発生する可能性があるGPOセキュリティポリシーとサードパーティソフトウェア

レジストリ、ファイルとフォルダ、WMI、プロセス、またはサービス情報へのアクセスを制御するGPOセキュリティポリシーまたはサードパーティソフトウェアとの対話により、CPUスパイクが発生する可能性があります。ZENworks Endpoint Security Management Client製品に対して必要なレジストリキーの読み取りおよびリセットを禁止するGPOセキュリティポリシーによって、CPUスパイクが発生する可能性があります。ウイルス対策ソフトウェアおよびスパイウェアソフトウェアでは、STEngine.exeおよびSTUser.exeを制限なしに実行できるように設定することが必要となる場合があります。

2.4.1 サポートされているデバイス

WidcomベースのBluetooth^*ソリューションはほとんどがサポートされています。次のデバイスがサポートされています。

2.4.2 サポート対象デバイスかどうかの確認

2.5.1 Windows 2000 SP4およびWindows XP SP1上でのデータ暗号化の使用

ZENworks Endpoint Security Managementは、フィルタマネージャのサポートが必須であるために、Windows XP SP2でサポートされます。 ZENworks Endpoint Security ManagementがWindows 2000 SP4およびXP SP1にインストールされている場合には、オペレーティングシステムが暗号化ポリシーを受信すると、暗号化要求が無視され、管理者にアラートが送信されます。

2.5.2 ZENworksファイル復号化ユーティリティの使用

ZENworksファイル復号化ユーティリティは、暗号化されたリムーバブルストレージデバイス上のShared Files (共有ファイル)フォルダから、保護されたデータを抽出するために使用されます。このシンプルなツールは、サードパーティがShared Files (共有ファイル)フォルダ内のファイルにアクセスできるように、ユーザからサードパーティに送信できます(ただし、リムーバブルストレージデバイス上に置くことはできません)。

このユーティリティは、製品DVD、またはNovell ZENworks Endpoint Security ManagementのWebサイトから入手できます。

詳細については、『ZENworks Endpoint Security Management管理ガイド』の「ZENworksファイル復号化ユーティリティの使用」を参照してください。

2.5.3 暗号化が有効な状態でリムーバブルストレージデバイスにフォルダをコピーする

複数のファイルとフォルダを含むフォルダを、暗号化が有効な状態でリムーバブルストレージデバイスにコピーすると、通常よりも長い時間を要します。たとえば、弊社のテストでは、38MBのフォルダをコピーするために5～6分間を要しました。

2.5.4 アプリケーションが暗号化されたRSDに直接保存する場合、パフォーマンスの問題が発生することがあります。

アプリケーションが暗号化されたRSDに直接保存する場合、コンピュータのパフォーマンスにも影響を及ぼす可能性があります(アプリケーションによって使用されるファイル書き込みのサイズに依存します)。

2.5.5 システムボリュームのセーフハーバーの選択

システムボリューム上でセーフハーバーが選択されている場合、コンピュータのパフォーマンスに影響が及ぶ可能性があります。

2.5.6 ［マイドキュメント］フォルダの暗号化

［マイドキュメント］フォルダを暗号化すると、アクティブなユーザのみが、自分の［マイドキュメント］フォルダのファイルにアクセスして、復号化できるようになります(他のユーザのフォルダにはアクセスできません)。

2.5.7 RSD暗号化されたドライブからセーフハーバー暗号化された固定ドライブに複数のファイルをコピーする

RSD暗号化されたドライブからセーフハーバー暗号化された固定ドライブに複数のファイルをコピーすると、かなりの時間を要する可能性があります。

2.5.8 セーフハーバーを有効化すると2回の再起動が発生する

暗号化が最初にポリシー内でアクティブ化される場合、およびセーフハーバーまたはリムーバブルストレージのいずれかの暗号化がアクティブ化される場合(暗号化のアクティブ化とは別にアクティブ化される場合)は、2回の再起動が必要です。たとえば、暗号化ポリシーが最初に適用される際には、ドライバの初期化のために1回、セーフハーバーを暗号化するためにもう1回、合計2回の再起動が必要です。ポリシーの適用後に追加のセーフハーバーを続けて選択した場合は、そのセーフハーバーにポリシーを適用するために1回だけ再起動が必要です。

2.6.1 New Directory Service Wizard(新しいディレクトリサービスウィザード)での［戻る］ボタンの使用

新しいディレクトリサービスの設定ウィザードで［戻る］ボタンを使用すると、現時点ではデータが消失し、同期が失敗します。誤りがあった場合は、最初からやり直す必要があります。

2.7.1 Novell eDirectoryでのポート389または636の使用

eDirectory用にディレクトリサービスを設定する際に、TLS/SSL暗号化を使用する場合はポート389または636を使用する必要があります。

2.7.2 ZENworks Endpoint Security ManagementおよびeDirectoryでのWindows用ディレクトリサービスの使用

現時点では、Windows用のディレクトリサービスを使用したeDirectoryでZENworks Endpoint Security Managementを使用することはできません。

2.7.3 クライアントは、ユーザベースのポリシーでは展開できますが、コンピュータベースのポリシーでは展開できません。

ZENworks Security Clientのインストール時に、ディレクトリサービスとしてNovell eDirectoryを使用している場合は、ユーザベースのポリシーオプションを使用します。

2.7.4 クライアントは、最初のチェックイン時にサーバへのログインを求められる

クライアントが最初にチェックインする際には、ZENworks Endpoint Security Management Serverへのログインを求められます。ユーザは、ユーザ名とパスワードを指定する必要がありますが、コンテキストを指定する必要はありません。

2.7.5 ZENworks Configuration ManagementをeDirectoryおよびDLUで使用すると、ZENworks Endpoint Security Managementクライアントにより、パスワードの入力を求められます。

ZENworks Configuration ManagementをNovell eDirectoryおよび一時的ユーザを有効にしたDLUで使用する場合、クライアントがWindowsデバイスにログインするたびに、ZENworks Endpoint Security Managementサーバから資格情報の入力を求められます。これは、WindowsのSIDのようなユーザ固有の番号が起動ごとに変更されるためです。

2.7.6 eDirectoryツリーのユーザを移動すると問題が発生する

現時点では、ZENworks Endpoint Security Managementサーバには、eDirectoryツリー内で移動されたユーザを追跡する機能はありません。

回避策: ZENworks Endpoint Security Managementに新しいユーザを設定します。

2.8.1 Active Directory設定用のドメインコントローラの必要条件

Active Directory設定用のドメインコントローラは、Windows Server 2000 SP4またはWindows Server 2003を実行している必要があります。

2.8.2 設定の前にドメインにログインしていることを確認する

Active Directoryのディレクトリサービスを設定する前に、ドメインにログインする必要があります。

2.9.1 ウイルス対策およびスパイウェアルールの使用

ZENworks Endpoint Security Managementにプレインストールされているウイルス対策およびスパイウェアルールの中には、特定のバージョンやカスタムインストールバージョンのウイルス対策ソフトウェアまたはスパイウェアソフトウェアに合わせて修正が必要になるものがあります。

2.10.1 動的に割り当てられたポートの使用

ZENworksファイアウォールは、ほとんどのモードで、動的に割り当てられたポートへの着信接続を拒否します。アプリケーションで着信接続が必要な場合は、ポートを静的に割り当て、［Open(オープン)］に設定したファイアウォール設定を作成して、着信接続を許可する必要があります。着信接続が既知のリモートデバイスからのものである場合は、ACLを使用できます。

2.10.2 FTPセッションの使用

デフォルトの［すべて適応(ステートフル)］ファイアウォール設定では、アクティブFTPセッションが拒否されるため、パッシブFTPセッションを使用する必要があります。アクティブFTPとパッシブFTPの詳細については、SlacksiteのWebサイトを参照してください。

2.12.1 Active Directoryでの管理コンソールの使用

Microsoft Active Directoryをディレクトリサービスとして使用する場合、管理コンソールを使用するにはドメインにログインする必要があります。

2.12.2 エラーメッセージの表示

管理コンソールでエラーメッセージをクリックしても、正しい画面が表示されない場合があります。この制限は、複数のタブがある画面で発生します。

2.12.3 既存の整合性ルールの関連付けに関係している可能性のある例外

ポリシーを発行する前にすべてのトリガ、イベント、ファイアウォールなどを検証しないと、既存の整合性ルールの関連付けに関係した例外が発生する可能性があります。この場合、ポリシーは失敗し、次のエラーが表示されます。

“Senforce.PolicyEditor.Bll.FatalErorException:component_value table in
unknown state” “at
Senforce.PolicyEditor.UI.Forms.PolicyForm.SavePolicy()” “at
Senforce.PolicyEditor.UI.Forms.MainForm.PublishPolicy()”

回避策: 管理コンソールの各ページで、次のページに進む前に、すべてのオプションが設定されていることを確認してから［ポリシーの保存］をクリックします。

2.12.4 デュアルデバイスとしてインストールされるネットワークデバイスにポリシーが適用されない可能性がある

デュアルデバイスとしてインストールされるネットワークデバイス(モデムと無線(802.11)など)がHKLM\\Software\Microsoft\Windows NT\\Network Cardsレジストリエントリに表示されないことがあります。この場合、そのデバイスにはポリシーが適用されません(ファイアウォールまたはアダプタ制御)。

2.12.5 アクセス許可オプションと制御は、管理コンソール内では使用できない

アクセス許可オプションと制御は現時点では正しく動作しないため、アクセス許可オプションと制御は削除されています。ユーザから管理コンソールの許可を削除した場合、その削除はユーザの管理コンソールセッションが終了するまで有効になりません。

回避策: パスワードを設定し、アクセス許可を制御することで、管理コンソールを実行しているコンピュータへのユーザアクセスを制御します。

2.13.1 アダプタ固有のネットワーク環境の使用

無効になるアダプタ固有のネットワーク環境を使用すると、クライアントは、その環境が割り当てられている場所と不明な場所との間の切り替えを繰り返す可能性があります。 これを防ぐには、ネットワーク環境のアダプタタイプを、その場所で有効なアダプタに設定します。

2.15.1 USBデバイスの制御

すべてのUSBディスクドライブにシリアル番号があるとは限りません。ポートとドライブの組み合わせに依存するシリアル番号や、一意ではないシリアル番号を持つディスクドライブが存在する場合もあります。ほとんどのUSBメモリには、一意であると思われるシリアル番号が付いています。

2.15.2 CD/DVDデバイスの制御

ZENworks Security Clientをインストールした後に、CD/DVD書き込みデバイスを増設する場合、Roxio^*やNero^*などのサードパーティの書き込みソフトウェアを使用していると、そのデバイスに読み取り専用許可を指定するポリシーは適用されなくなります。

2.15.3 管理コンソールで、ストレージデバイスの制御設定をロケーションごとに保存できない

［ロケーション］タブでストレージデバイスの制御設定を設定する場合、設定を保存することはできません。この問題を修正するパッチと手順については、サポート担当者に問い合わせてください。［グローバルポリシー設定］タブでストレージデバイスの制御設定を設定する場合は、この問題は発生しません。

2.16.1 セーフハーバーが有効な状態でのZENworks Endpoint Security Managementのアンインストール

セーフハーバーが有効で、ポリシーを使用してアンインストールを行う場合、固定ディスクのファイルを復号化するように求められます。［OK］をクリックした後で、ディレクトリの削除が失敗したというメッセージが表示されることがあります。このメッセージは消去されません。

回避策: デバイスを再起動してからアンインストールプログラムを再度実行する必要があります。

2.17.1 アップグレードの前にカスタマサポートに連絡する

アップグレードについて不明な点がある場合は、サポート担当者に問い合わせてください。

2.17.2 サーバアップグレードはサポートされない

このリリースに含まれている修正および新機能のため、ZENworks Endpoint Security Serverのアップグレードはサポートされていません。システムのアップグレードに関しては、サポート担当者に問い合わせてください。サポート担当者は、以前のバージョンからのセキュリティポリシーを保持する方法について支援します。

2.17.3 Senforce Endpoint Security Suiteのポリシーエディタの以前のバージョンは、バージョン3.5ではサポートされない

Senforce® Endpoint Security Suiteのポリシーエディタの以前のバージョンは、ZENworks Endpoint Security Management 3.5サーバのインストールに対して実行することはできません。

2.17.4 Senforce 3.2のポリシーをアップグレードするとパスワードの上書きが失われる

既存のSenforce Endpoint Security Suite 3.2のポリシーをバージョン3.5のポリシーにアップグレードすると、パスワードの上書きが失われます。 バージョン3.2のポリシーにパスワードの上書きが含まれる場合は、バージョン3.5のポリシーを発行する前に、パスワードの上書きを再入力する必要があります。これは仕様によるものです。

2.17.5 管理対象デバイスでのZENworks Security Clientのアップグレード

管理対象デバイスでZENworks Security Clientを手動でアップグレードするには、次の例に示すように、-stupgradeスイッチを使用する必要があります。

setup.exe /V"STUPGRADE=1"

ZENworks Endpoint Security Managementポリシーを使用してZENworks Security Clientをアップグレードする場合は、このスイッチは不要です。

2.17.6 Senforceクライアントビルドからのクライアントアップグレードはサポートされない

Senforce Endpoint SecurityクライアントをNovell ZENworks Endpoint Securityクライアントにアップグレードすることはできません。

2.18.1 VPNの設定

ZENworks Endpoint Security Managementは、VPN設定時のスプリットトンネルをサポートしていません。

2.19.1 Wi-Fi転送およびアダプタブリッジを無効にするカスタムメッセージをユーザに表示する

[Wi-Fi転送を無効にする]および[アダプタブリッジを無効にする]メッセージは、エンドユーザがこれらの強制を回避しようとした場合にのみ表示されます。これらの動作は、警告メッセージを表示することなく適用されます。

2.19.2 WPAアクセスポイントの使用

WPAアクセスポイントを識別してフィルタリングできます(WPAとWPA2は区別されません)。ZENworks Endpoint Security Managementでは、WEPキーのみが配布されます。

2.19.3 携帯電話の制御

管理コンソールのWi-Fi制御機能を使用して、携帯電話経由で行われた無線接続を制御できないことがあります。これらのデバイスは通常、オペレーティングシステムによってモデムとして取り扱われるため、モデムを制御するためのポリシーを変更する必要があります。たとえば、スクリプトを使って有線接続されたモデムは無効にするようにします。

2.19.4 管理コンソールで、Wi-Fi設定をロケーションごとに保存できない

［ロケーション］タブでWi-Fi設定を行う場合、設定を保存することはできません。この問題を修正するパッチと手順については、サポート担当者に問い合わせてください。［グローバルポリシー設定］タブでWi-Fi設定を行う場合、この問題は発生しません。

2.19.5 サポートの対象にならないWi-Fiデバイス

古い無線アダプタの中には、ZENworks Endpoint Security Managementで管理する際に正しく機能しないものがあります。これには、次のデバイスがあります。

2.20.1 Windowsタスクバーに2つのZENworks Endpoint Security Clientアイコンが表示される

ZENworks Endpoint Security Clientマシンを起動すると、WindowsタスクバーにZENworks Endpoint Security Clientアイコンが2つ表示される場合があります。どちらかのアイコンの上にマウスを置くと、そのアイコンを消すことができます。

2.20.2 ZENworks Security Clientのインストール後に、クライアントにログインするように求められる

ZENworks Endpoint Security Management Serverにログインする際、資格情報(ユーザ名、あるいは短縮形または完全なLDAPコンテキスト)の入力を求められることがあります。これは、ZENworks Security Clientをインストールした後にのみ一度だけ表示されます。この問題の原因として、次のことが考えられます。