Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、 Symantec Network Access Control v12.1 リリースノート 更新日: 2011 年 6 月 24 日(金曜日) Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、 Symantec Network Access Control v12.1 リリースノート この文書では以下の項目について説明しています。 ■ この文書について ■ Symantec Endpoint Protection バージョン 12.1 について ■ バージョン 12.1 の新機能 ■ 詳細情報の入手方法 ■ インストール計画 ■ 新リリースへのアップグレード ■ Symantec Network Access Control を追加するための Symantec Endpoint Protection のアップグレード ■ 既知の問題と回避策 4 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート この文書について この文書について Symantec Endpoint Protection、Symantec Network Access Control、Symantec Endpoint Protection Small Business Edition のインストールまたはロールアウトを行う 前、またはテクニカルサポートに連絡する前に、この文書全体を確認してください。この文 書には、既知の問題と、標準マニュアルまたは状況感知型ヘルプに含まれていないその 他の情報が記載されています。 この文書には、次の Symantec Endpoint Protection の 3 つのバージョンすべてにつ いての情報が記載されています。 ■ Symantec Endpoint Protection(Enterprise Edition) ■ Symantec Network Access Control ■ Symantec Endpoint Protection Small Business Edition すべての情報は、すべてのバージョンに該当するとお考えください。Symantec Network Access Control と Symantec Endpoint Protection Small Business Edition それぞれ に固有の既知の問題は、各々のセクションに示されています。 これらのリリースノートの最新バージョンを次の URL で検索できます。 最新版の SEP に関して Symantec Endpoint Protection バージョン 12.1 につい て このリリースでは、新しいプラットフォームのサポート、新機能、および不具合の修正が追 加されています。バージョン 12.1 は Symantec Endpoint Protection と Symantec Network Access Control の 11.x 製品ラインのアップグレードです。特に記載されてい ない限り、バージョン 11.x のすべての機能が保持されています。 p.4 の 「バージョン 12.1 の新機能」 を参照してください。 バージョン 12.1 の新機能 現在のリリースには、製品をより簡単に効率的に使うことができるようにする次の改良点が 含まれています。 表 1-1 では、バージョン 12.1 の新機能を説明します。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート バージョン 12.1 の新機能 表 1-1 バージョン 12.1 の新機能 機能 説明 マルウェアに対するより 効果的なセキュリティ 最も重要な改良点は、クライアントコンピュータでの保護を強化する次のポリシー機能です。 ■ ウイルスとスパイウェアの対策ポリシーは、より正確に脅威を検出して誤認を減らし、次のテクノ ロジによってスキャンのパフォーマンスを向上させます。 ■ SONAR は TruScan に代わるテクノロジであり、ヒューリスティックと評価データを使って未 知の脅威の悪質な動作を特定します。TruScan はスケジュールに従って実行しますが、 SONAR は常に実行しています。 ■ Auto-Protect が提供する追加保護機能であるダウンロードインサイトは、ユーザーが Web ブラウザ、テキストメッセージクライアント、その他のポータルを通してダウンロードを試みた ファイルを検査します。ダウンロードインサイトは Symantec Insight からの評価情報を使っ て、ファイルに関する決定を下します。 ■ Insight では、シマンテックおよびコミュニティの信頼できるファイルのスキャンをスキップで き、これによりスキャンのパフォーマンスが向上します。 ■ Insight ルックアップは、一般にリスクとして検出されない可能性のあるアプリケーションファ イルを検出し、評価のためにファイルの情報をシマンテック社に送信します。シマンテック社 がアプリケーションファイルはリスクであると判断すると、クライアントコンピュータはファイルを リスクとして扱います。インサイトルックアップは、マルウェアの検出をより高速で正確にしま す。 ■ ファイアウォールポリシーには IPv6 ベースのトラフィックを遮断するためのファイアウォールルー ルが含まれます。 ■ 侵入防止ポリシーに含まれるブラウザ侵入防止は、IPS シグネチャを使って、ブラウザの脆弱性 を狙った攻撃を検出します。 5 6 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート バージョン 12.1 の新機能 機能 説明 より高速で柔軟な管理 Symantec Endpoint Protection Manager では、次の新機能を使ってクライアントコンピュータを より簡単に管理できます。 ■ 集中型ライセンスを使うと、管理コンソールで製品ライセンスを購入、アクティブ化、管理するこ とができます。 ■ Symantec Endpoint Protection Manager は Protection Center バージョン 2 に登録されま す。Protection Center を使うと、データを一元化し、シマンテック社のセキュリティ製品の管理 を単一の環境に統合できます。 Protection Center が Symantec Endpoint Protection Manager との連携に使用する設定の一部を設定できます。 ■ Symantec Endpoint Protection Manager ログオン画面では、忘れたパスワードが自分宛に 電子メールで送信されるようにすることができます。 Symantec Endpoint Protection Manager に含まれるオプションを使うと、サイトの管理者であ れば誰でも、忘れたパスワードをリセットできます。 ■ Symantec Endpoint Protection Manager がクライアントコンピュータを再起動するタイミング と方法を設定できるので、ユーザーの活動を妨げることなく再起動できます。 ■ ■ [監視]ページには、最も使う頻度が高いイベントを知らせる事前設定済みの電子メール通知が 含まれています。これらのイベントには、新しいクライアントソフトウェアはいつ利用可能か、ポリ シーはいつ変更されるか、ライセンスの更新メッセージ、管理サーバーが保護されていないコン ピュータをいつ見つけるかが含まれます。通知はデフォルトで有効になっており、BlackBerry、 iPhone、Android に対応しています。 ■ [ホーム]ページにはクリックできる概要レベルのレポートが表示されるため、[ホーム]ページが より簡潔でわかりやすくなっています。また、[ホーム]ページには、まだ読んでいないログイベン トに関する通知へのリンクも表示されます。 改良された状態報告では、クライアントコンピュータが感染していない状態になると、コンピュー タのまだ感染している状態が自動的にリセットされます。 ■ ログイベントを Symantec Endpoint Protection Manager に送信するように Linux クライアン トを設定できます。 ■ サーバーとクライアントの 管理サーバーと管理コンソール、データベース、クライアントコンピュータの間の速度を向上させる パフォーマンスの向上 ため、次のことが行われます。 ■ 管理サーバーは、データベースの自動クリーンアップタスクを実行し、サーバークライアントの応 答性と拡張性を向上させます。 ■ ウイルススキャンとスパイウェアスキャンは、Insight を使用して、安全なファイルをスキップし、リ スクのあるファイルに集中します。Insight を使用するスキャンは高速かつ正確であり、スキャン のオーバーヘッドを最大で 70% 削減します。 ■ LiveUpdate は、クライアントコンピュータがアイドル状態のとき、最新ではないコンテンツがある とき、または切断されているときに実行でき、メモリの使用量が少なくなります。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート バージョン 12.1 の新機能 機能 説明 仮想環境のサポート 仮想インフラストラクチャの保護を強化するため、Symantec Endpoint Protection には次の新機 能が組み込まれています。 ■ Shared Insight Cache サーバーにより、クライアントはスキャン結果を共有でき、同じファイルを すべてのクライアントコンピュータで 1 回スキャンするだけで済みます。Shared Insight Cache により、完全スキャンの影響を最大で 80% 減らすことができます。 ■ Virtual Image Exception ツールは、信頼できる基本イメージのすべての単一ファイルをスキャ ンする影響を軽減します。継続的にシステムファイルでウイルスをスキャンする代わりに、Virtual Image Exception ツールを使うと、仮想マシンの基本イメージからホワイトリストファイルを作成 できます。 Symantec Endpoint Protection Manager は、ハイパーバイザ検出を使って、仮想プラット フォーム上で実行しているクライアントを自動的に検出します。仮想プラットフォーム上のクライ アントグループ用のポリシーを作成できます。 ■ シマンテックのオフラインイメージスキャナは、オフラインの VMware .vmdk ファイルをスキャン して、イメージに脅威が存在しないことを確認できます。 ■ Mac クライアントのサ ポート Symantec Endpoint Protection では、場所およびグループに基づいて、Mac クライアント用のポ リシーを設定できます。 Symantec Endpoint Protection Small Business Edition で、Symantec Endpoint Protection Manager に Mac クライアントを配備して管理できるようになりました。 インストール処理の改善 次の新しいインストール機能を使うと、これまでより速く簡単に製品をインストールできます。 ■ Symantec Endpoint Protection Manager インストールウィザードを使うと、クライアントサー バー接続情報が含まれる、以前に保存したリカバリファイルをインポートできます。リカバリファイ ルを使うことで、管理サーバーはバックアップされている既存の証明書を再インストールして、既 存クライアントとの通信を自動的に復元できます。 管理サーバーの Web サービスは、IIS ではなく Apache を使用します。以前のバージョンのよ うに IIS を最初にインストールする必要はありません。 ■ クライアント配備ウィザードは、クライアントソフトウェアをインストールする必要がある保護されて いないコンピュータをすばやく特定します。また、このウィザードでは電子メール配備リンクも提 供されるので、ユーザーは Web を使ってクライアントソフトウェアをダウンロードできます。ウィ ザードを使うと、クライアントソフトウェアを速く簡単に配備できます。 ■ レガシークライアントの接続と保護を維持したまま、製品の最新のバージョンにアップグレードで きます。 ■ 配備の新しいクイックレポートでは、クライアントソフトウェアが正常にインストールされているコン ピュータが示されます。 ■ 7 8 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート バージョン 12.1 の新機能 機能 説明 追加オペレーティングシ Symantec Endpoint Protection Manager は次のオペレーティングシステムを新しくサポートする ステムのサポート ようになりました。 ■ VMware Workstation 7.0 以降 ■ VMware ESXi 4.0.x 以降 ■ VMware ESX 4.0.x 以降 ■ VMware Server 2.0.1 ■ Citrix XenServer 5.1 以降 Symantec Endpoint Protection Manager は次の Web ブラウザをサポートするようになりました。 ■ Internet Explorer 7.0、8.0、9.0 ■ Firefox 3.6、4.0 Symantec AntiVirus for Linux クライアントは次のオペレーティングシステムを新しくサポートする ようになりました。 ■ RedHat Enterprise Linux 6.x SUSE Linux Enterprise Server と Linux Enterprise Desktop 11.x(OES 2 のサポートを含み ます) ■ Ubuntu 11.x ■ ■ Fedora 14.x、15.x ■ Debian 6.x Linux での Symantec AntiVirus クライアントの使用については『Symantec AntiVirus for Linux Client Guide』 を参照してください。 Symantec Endpoint Symantec Endpoint Protection Manager で次のエンフォーサ設定を行うことにより、エンフォー Protection Manager で サをより簡単に管理できます。 のエンフォーサ管理の改 ■ エンフォーサグループ内のクライアントが、Network Time Protocol サーバーを使って常時シ 良 ステム時刻を同期する機能。 ■ 次の改良によって、MAC アドレスのリストを簡単に更新できます。 ■ DHCP 統合エンフォーサの場合、信頼できるホストが定義されている MAC アドレスの例外 を含むテキストファイルをインポートできます。 ■ LAN エンフォーサの場合、次の機能を使ってホストインテグリティ検査が無視する MAC ア ドレスを追加、編集、削除できます。 [MAC 認証バイパス](MAP)は、Symantec Network Access Control クライアントがインス トールされていない非 802.1x クライアントまたはデバイスのホストインテグリティ検査をバイ パスします。 [Symantec NAC クライアント検査を無視]は、Symantec Network Access Control クライ アントがインストールされていない 802.1x サプリカントのホストインテグリティ検査をバイパス します。 ■ 個別の MAC アドレスを追加するか、またはワイルドカードを使って製造元の MAC 文字列 を表すことができます。テキストファイルから MAC アドレスをインポートすることもできます。 ■ 追加する MAC アドレスには VLAN を関連付けることも、関連付けないこともでき、複数の VLAN をサポートできます。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 詳細情報の入手方法 機能 説明 Symantec Endpoint Symantec Endpoint Protection Manager には Symantec Network Access Control に対する Protection Manager の 次の追加機能が含まれます。 Network Access ■ エンフォーサ管理サーバーリストには、複製パートナーからの管理サーバーを含めることができ Control の新機能 ます。エンフォーサは、任意のサイトパートナーまたは複製パートナーの管理サーバーに接続 できます。 エンフォーサの新機能 ■ Symantec Network Access Control クライアントのコンプライアンスログでは、ログイベントおよ びホストインテグリティ検査の結果に関する追加情報が提供されます。必要条件のうち、クライア ントコンピュータでホストインテグリティ検査が失敗した原因を確認できます。 ■ LiveUpdate はホストインテグリティテンプレートを管理サーバーにダウンロードします。したがっ て、クライアントコンピュータは、更新されたホストインテグリティテンプレートを含むホストインテグ リティポリシーを取得できます。 ■ エンフォーサグループは、限定管理者のアカウントと管理者のアカウントとシステム管理者のア カウントをサポートします。複数のサイトやドメインを持つ大きい会社では、複数の管理者(その 一部は他の管理者よりも多くのアクセス権を持つ)が必要になることもあります。 Symantec Network Access Control には次の新機能が含まれています。 ■ 統合エンフォーサの 64 ビットサポート。 RADIUS サーバーとプロキシの Microsoft Windows Server 2008(Longhorn)による実装を 含む Network Policy Server(NPS)のサポート。エンフォーサは、Windows Vista 以降のバー ジョンを搭載し、802.1x 認証を使うクライアントを認証できるようになりました。 ■ DHCP 統合エンフォーサの場合、ユーザーが定義するスコープに対するスコープベースのエン フォースメントを選択的に有効にできます。 ■ ■ ゲートウェイエンフォーサは、802.1Q トランキングとオンデマンドクライアントを同時にサポートし ます。複数のトランク VLAN で単一の VLAN を指定してオンデマンドクライアントをホストできま す。 ■ ゲストエンフォースメントモードのサポート。このモードでは、ゲートウェイエンフォーサはオンデ マンドクライアントに対するダウンロードサーバーとして機能できます。ゲートウェイエンフォーサ はオンデマンドクライアントをゲストコンピュータにダウンロードし、クライアントがゲストコンピュー タの Web ブラウザを使ってエンフォーサと通信できるようにします。ゲストエンフォースメントモー ドでは、ゲートウェイエンフォーサはインライントラフィックを転送しません。 ■ オンデマンドクライアントの「常設」のサポート: 指定した期間「存続する」機能。 ■ ローカルデータベースのサイズが 32 MB に増え、多数の MAC アドレスに対応するようになりま した。 詳細情報の入手方法 製品には複数の情報源が含まれています。 主要なマニュアルは製品ディスクのマニュアルのフォルダから利用できます。マニュアル の更新版は、シマンテック社のテクニカルサポート Web サイトで入手できます。 この製品には次のドキュメントが含まれます。 9 10 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 詳細情報の入手方法 ■ Symantec Endpoint Protection はじめましょう Symantec Endpoint Protection Small Business Edition はじめましょう Symantec Network Access Control はじめましょう このガイドには、システム必要条件とインストール処理の概要が含まれています。 ■ 『Symantec Endpoint Protection および Symantec Network Access Control 実 装ガイド』 Symantec Endpoint Protection Small Business Edition 実装ガイド このガイドには製品をインストールし、設定して、管理するための手順が含まれていま す。 ■ 『Symantec Endpoint Protection および Symantec Network Access Control クラ イアントガイド』 Symantec Endpoint Protection Small Business Edition クライアントガイド このガイドにはユーザーが Symantec Endpoint Protection または Symantec Network Access Control クライアントを使用、設定するための手順が含まれていま す。 ■ [Symantec LiveUpdate Administrator ユーザーガイド] このガイドでは LiveUpdate Administrator を使う方法を説明します。このガイドは 製品ディスクの Tools¥LiveUpdate フォルダにあります。 ■ シマンテック中央検疫実装ガイド このガイドには中央検疫のインストール、設定、使用についての情報が含まれていま す。このガイドは製品ディスクの CentralQ フォルダにあります。 ■ Symantec Endpoint Protection Manager データベーススキーマリファレンス このガイドには Symantec Endpoint Protection Manager のデータベーススキーマ が含まれています。 ■ Symantec Client Firewall ポリシー移行ガイド このガイドでは、Symantec Client Firewall Administrator から Symantec Endpoint Protection Manager への移行方法について説明します。 ■ Symantec Endpoint Protection Manager とクライアントのオンラインヘルプ これらのオンラインヘルプシステムには、ガイドに含まれる情報とコンテキスト固有の 内容が含まれます。 ■ 製品ディスクのツールフォルダのサブフォルダにあるツール固有の文書。 表 1-2 では、製品の使用に役立つ追加情報を入手できる Web サイトを示します。 表 1-2 情報の種類 シマンテック社の Web サイト Web アドレス Symantec Endpoint Protection ソフトウェ http://www.symantec.com/business/products/downloads/ ア 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート インストール計画 情報の種類 Web アドレス 一般的なナレッジベース Symantec Endpoint Protection: リリースと更新情報 http://www.symantec.com/business/support/index?page=landing&key=54619&locale=ja_JP マニュアルとマニュアル更新 Symantec Endpoint Protection Small Business Edition: 連絡方法 http://www.symantec.com/business/support/index?page=landing&key=55357&locale=ja_JP Symantec Network Access Control: http://www.symantec.com/business/support/index?page=landing&key=52788&locale=ja_JP ウイルスなどの脅威についての情報と更新 http://www.symantec.com/ja/jp/enterprise/security_response/index.jsp 情報 製品の最新情報と更新情報 http://www.symantec.com/ja/jp/business/index.jsp オンラインテクニカルトレーニング http://go.symantec.com/education_septc Symantec 教育サービス http://www.symantec.com/ja/jp/business/services/education_services.jsp Symantec Connect フォーラム(英語) Symantec Endpoint Protection: http://www.symantec.com/connect/security/forums/ endpoint-protection-antivirus Symantec Endpoint Protection Small Business Edition: http://www.symantec.com/connect/security/forums/ endpoint-protection-small-business Symantec Network Access Control: http://www.symantec.com/connect/security/forums/ network-access-control インストール計画 「表 1-3」に Symantec Endpoint Protection をインストールするための高レベルの手順 の概略を示します。 11 12 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート インストール計画 インストール計画 表 1-3 手順 処理 説明 手順 1 ネットワークアーキテクチャ ネットワークのサイズの必要条件を把握します。保護を必要とするエンドポイントを識 の計画と、ライセンスの見直 別するのみでなく、ネットワークとデータベースのパフォーマンスを高めるために、更新 しと購入 のスケジュールや、その他の要素を評価してください。 中規模から大規模のインストールを計画するために役立つ、情報については、シマン テック社のホワイトペーパー『Sizing and Scalability Recommendations for Symantec Endpoint Protection』を参照してください。 製品インストールから 30 日以内(Small Business Edition)または60 日以内(製品 版)にライセンスを購入します。 手順 2 システムの必要条件の見直 コンピュータがシステムの最小必要条件を満たしていて、自分が製品ライセンスの必 し 要条件を理解していることを確かめます。 手順 3 インストールのためのコン ピュータの準備 コンピュータから他のウイルス防止ソフトウェアをアンインストールし、システムレベルの アクセスが可能であることを確認して、リモート配備が可能なようにファイアウォールを 開きます。 手順 4 ポートを開く設定とネット ワークプロトコルの許可 リモートからクライアントを配備するには、Symantec Endpoint Protection Manager とエンドポイントコンピュータの間で、一定のポートが開かれ、一定のプロトコルが許可 されている必要があります。 手順 5 インストールの設定の識別 ユーザー名、パスワード、電子メールアドレス、インストールのその他の設定を識別し ます。インストールの間この情報を手元に置いておいてください。 手順 6 管理サーバーのインストー Symantec Endpoint Protection Manager をインストールします。 ル ビジネスをサポートするネットワークの規模が小さく複数の地域にまたがっていない場 合は、Symantec Endpoint Protection Manager を 1 つインストールすれば十分で す。ネットワークが地理的に分散している場合は、管理サーバーを追加インストールし て、負荷や帯域幅を分散しなければならない可能性があります。 ネットワークが非常に大規模な場合は、追加のデータベースを含む追加サイトをイン ストールし、レプリケーションを利用してデータを共有するように設定できます。また、 冗長性を強化するために、追加サイトをインストールしてフェールオーバーを可能に することもできます。 手順 7 シマンテック社のレガシー シマンテック社の従来の保護を実行している場合、通常、古いバージョンからポリシー のウイルス防止ソフトウェア およびグループの設定を移行します。 の移行 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 新リリースへのアップグレード 手順 処理 説明 手順 8 クライアントインストールの クライアントインストールのための準備は次のとおりです。 ためのコンピュータの準備 ■ クライアントソフトウェアをインストールするコンピュータを識別します。 ■ コンピュータにクライアントソフトウェアを配備するために使う方式を識別します。 サードパーティのウイルス防止ソフトウェアをコンピュータからアンインストールしま す。 ■ エンドポイントと Symantec Endpoint Protection Manager との間の通信を許可 するように、エンドポイントコンピュータでファイアウォール設定を修正するか、また は無効にします。 ■ 組織構造と一致するようにコンソールコンピュータグループを設定します。 ■ 手順 9 クライアントのインストール エンドポイントコンピュータに Symantec Endpoint Protection クライアントをインストー ルします。 シマンテック社は Symantec Endpoint Protection Manager をホストするコンピュー タでクライアントをインストールすることも推奨します。 手順 10 インストール後のタスク Symantec Endpoint Protection をインストールした後に、次のインストール後タスク を実行します。 ■ 必要な場合、追加のクライアントをインストールします。 必要に応じてシマンテック社のレガシーのウイルス防止ソフトウェアを移行します (このタスクを先に実行しなかった場合)。 ■ コンソールの機能に慣れるようにします。 ■ ■ クライアントコンピュータがオンライン状態であり保護されていることを検証します。 ■ LiveUpdate スケジュールを調べて必要な場合は調整します。 ■ 通知を調べます。 ■ コンピュータグループを設定します。 ■ 追加の管理者アカウントを作成します。 ■ 製品シリアル番号を登録し、コンソールにライセンスファイルをインポートします。 製品のインストールと設定の総合的な手順については、『Symantec Endpoint Protection and Symantec Network Access Control Implementation Guide』を参照してくださ い。. 新リリースへのアップグレード 製品の最新リリースにアップグレードできます。ソフトウェアの新しいバージョンをインストー ルするには、特定のタスクを実行してアップグレードの成功を確認する必要があります。 このセクションの情報は、Symantec Endpoint Protection または Symantec Network Access Control 11.x のバージョンがすでにインストールされている環境での、Symantec 13 14 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 新リリースへのアップグレード Sygate 5.1 または Symantec Endpoint Protection 11.x ソフトウェアからのアップグレー ドに固有です。 このセクションの情報は、Symantec Endpoint Protection 11.x または Symantec Endpoint Protection Small Business Edition 12.0 のバージョンがすでにインストール されている環境でのソフトウェアのアップグレードに固有です。 製品版にアップグレードするための処理 表 1-4 手順 処理 説明 1 データベースのバックアップ クライアントの情報の整合性を保証するために Symantec Endpoint Protection Manager によって使われるデータベースのバックアップを作成します。 2 複製のオフ 複製パートナーとして設定されているすべてのサイトの複製をオフにします。これに より、インストールの間のデータベース更新の試行を防ぎます。 3 ローカル認証を有効にする (Symantec Network Access Control をインストールしてい る場合) エンフォーサでは、アップグレード中にクライアントを認証できません。クライアント認 証に関する問題を避けるために、アップグレード前にローカル認証を有効にするこ とをお勧めします。アップグレードが完了したら、認証の設定を前の設定に戻すこと ができます。 4 Symantec Endpoint インストール前に Symantec Endpoint Protection Manager サービスを停止する Protection Manager サービ 必要があります。 スの停止 5 Symantec Endpoint Protection Manager ソフト ウェアのアップグレード 6 アップグレード後の複製のオ インストールが完了したら複製をオンにして、設定を復元します。 ン 7 シマンテック製クライアントソ フトウェアのアップグレード ネットワークのすべてのサイトに Symantec Endpoint Protection Manager の新し いバージョンをインストールします。既存のバージョンが自動的に検出され、すべて の設定はアップグレードの間に保存されます。 クライアントソフトウェアを最新版にアップグレードします。 シマンテックからクライアントインストールパッケージの更新が提供されるときは、更 新を Symantec Endpoint Protection Manager に追加してエクスポートできるよう にします。ただし、クライアント配備ツールを使ってクライアントを再インストールする 必要はありません。グループのクライアントを最新のソフトウェアで更新する場合は、 自動アップグレードを使うのが最も簡単な方法です。最初に少数のテストコンピュー タを含むグループを更新してから、実働ネットワーク全体を更新してください。 クライアントによる LiveUpdate の実行を許可しており、LiveUpdate 設定ポリシーで 許可されている場合は、LiveUpdate を使ってクライアントを更新することもできま す。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート Symantec Network Access Control を追加するための Symantec Endpoint Protection のアップグレード Small Business Edition へのアップグレードのための処理 表 1-5 手順 処理 説明 1 データベースのバックアップ クライアントの情報の整合性を保証するために Symantec Endpoint Protection Manager によって使われるデータベースのバックアップを作成します。 2 Symantec Endpoint インストールの間は Symantec Endpoint Protection Manager サービスを停止す Protection Manager サービ る必要があります。 スの停止 3 Symantec Endpoint Protection Manager ソフト ウェアのアップグレード ネットワークで新しいバージョンの Symantec Endpoint Protection Manager をイ ンストールします。既存のバージョンが自動的に検出され、すべての設定はアップ グレードの間に保存されます。 4 シマンテック製クライアントソ フトウェアのアップグレード クライアントソフトウェアを最新版にアップグレードします。 デフォルトでは、アップグレードされた Symantec Endpoint Protection Manager は管理下クライアントを自動的にアップグレードします。この機能を無効にするには、 目的のグループを右クリックし、[プロパティ]をクリックしてから、[クライアントパッケー ジの自動更新を無効にする]にチェックマークを付けます。 メモ: この機能はバージョン 12.0.1001.95 で追加され、バージョン 12.1.x でも保持 されています。この機能はバージョン 12.0.122.192 では利用できませんでした。 Symantec Network Access Control を追加するための Symantec Endpoint Protection のアップグレード Symantec Endpoint Protection Manager をインストール済みで、Symantec Network Access Control を追加するためにそのインストールをアップグレードするには、以下の手 順を実行します。 Symantec Network Access Control を追加するために Symantec Endpoint Protection をアップグレードするには 1 DVD-SNAC-EE のラベルが付いたディスクを DVD ドライブに挿入します。 製品をダウンロードしたら、フォルダを圧縮解除し、ハードディスクなどの物理ディス クに製品全体のディスクイメージを抽出します。 2 詳しくは、『Symantec™ Network Access Control はじめましょう』に示された手順 に従ってください。手順の概略は以下のとおりです。 ■ インストールがすぐに開始されない場合は、DVD またはダウンロード先の場所か ら Setup.exe を実行して、インストールファイルを圧縮解除します。 ■ [Install]Symantec Network Access Controlをクリックします。 15 16 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 ■ [Symantec Endpoint Protection Manager のインストール]をクリックします。 インストールパッケージがお使いのサーバーにコピーされます。 ■ 管理サーバーアップグレードウィザードが起動します。管理サーバーのアップグ レードを求めるメッセージが表示されたら、[次へ]をクリックします。[サーバー アップグレードの状態]画面に、ウィザードによってパッケージがインポートされ、 テンプレートがアップグレードされていることが表示されます。 ■ 状態画面に[アップグレードが正常に完了]と表示されたら、[次へ]をクリックしま す。 ■ [アップグレードが正常に完了]ダイアログボックスでは、[Symantec Endpoint Protection Manager を開始する]が選択されています。[完了]をクリックする と、Symantec Endpoint Protection Manager へのログオンを求めるメッセージ が表示されます。 ■ Symantec Endpoint Protection Manager がアップグレードされ、Symantec Network Access Control の機能、パッケージ、メニュー項目が提供されます。 確認するには、[ポリシー]をクリックします。新しい選択項目として[ホストインテ グリティ]が表示されます。これは新しく追加した Symantec Network Access Control 機能の 1 つです。 ■ クライアントを設定して配備します。 メモ: この時点では、製品機能のユーザーインターフェースがアクティブになっています。 エンフォースメントとライセンスレポートをアクティブ化するには、シリアル番号または slf ライセンスファイルを使用して Symantec Network Access Control 製品ライセンスをア クティブ化する必要があります。詳しくは、『Symantec™ Network Access Control はじ めましょう』の「製品ライセンスのアクティブ化」を参照してください。 [2409621] 既知の問題と回避策 このセクションの問題は Symantec Endpoint Protection のバージョン 12.1 の新しい問 題です。 Symantec Endpoint Protection、Symantec Network Access Control、Symantec Endpoint Protection Small Business Edition のインストールまたはロールアウトを行う 前、またはテクニカルサポートに連絡する前に、この文書全体を確認してください。この文 書には、既知の問題と、標準マニュアルまたは状況感知型ヘルプに含まれていないその 他の情報が記載されています。 「既知の問題」のセクションは、使っている Symantec Endpoint Protection のバージョ ンに従って複数に分かれています。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 ■ すべてのバージョンに該当する既知の問題。 p.17 の 「Symantec Endpoint Protection のすべてのバージョンに該当する問題」 を参照してください。 ■ Symantec Endpoint Protection Small Business Edition のみに該当する既知の 問題。 p.28 の 「Symantec Endpoint Protection Small Business Edition の問題」 を参 照してください。 ■ 製品版の Symantec Endpoint Protection のみに該当する既知の問題。 p.28 の 「Symantec Endpoint Protection Enterprise Edition の問題」 を参照して ください。 ■ Symantec Network Access Control のみに該当する既知の問題。これらの問題に は、エンフォーサとホストインテグリティまたはセキュリティコンプライアンスに関連する 問題が含まれます。 p.34 の 「Symantec Network Access Control の問題」 を参照してください。 ■ いずれかのバージョンのマニュアルでのみ見つかった既知の問題。これらは主に入 力の誤りです。製品に直接関係する事柄は製品固有のセクションに記載されていま す。 p.40 の 「マニュアルの問題」 を参照してください。 メモ: 製品やマニュアルに含まれているナレッジベースの記事へのリンクの中には、最終 的な製品のリリースまで機能しないものがあります。 Symantec Endpoint Protection のすべてのバージョンに該当する問題 このセクションに示した既知の問題は、Symantec Endpoint Protection のすべてのバー ジョンに該当します。 アップグレード、インストール、アンインストールの問題 ここでは、アップグレード、インストール、アンインストール、修復についての情報を示しま す。 アップグレード ExpanDrive for Windows がインストールされているシステムで Symantec Endpoint Protection クライアントのインストールが失敗することがある ExpanDrive for Windows と Symantec Endpoint Protection クライアントの非互換性 が生じる場合があります。最新バージョンの Symantec Endpoint Protection へのアッ プグレード時に、Backup Exec が ExpanDrive for Windows によって管理されているド ライブへのバックアップを実行している場合に、この非互換性がより頻繁に生じます。この 17 18 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 ような場合、インストールが終了する前に、システムが ExpanDrive.sys で「ブルースク リーン」になります。 この問題を回避するには、ExpanDrive for Windows をアンインストールします。 [2273586] アップグレード後に通知の電子メールが生成されない 管理者は、システムイベントの発生時に電子メールで通知を受け取るように選択できま す。アップグレードしたシステムおよびデフォルトのメールサーバーを使用しているシステ ムでは、通知の電子メールが生成されません。 この問題を回避するには、電子メールサーバーのアドレスを明示的に設定します。 Symantec Endpoint Protection Manager で、[管理]、[サーバー]、ツリーから[ロー カルサイト]の下にあるサーバーを選択して、タスクから[サーバーのプロパティを編集]を 選択します。表示される[サーバープロパティ]ダイアログの[電子メールサーバー]タブを 選択し、サーバーアドレスを入力します。 [2363295] インストール Windows クライアントに最小限必要なハードディスク容量は 900 MB である マニュアルには異なる必要条件が記載されていますが、一部の環境において、このディ スク容量では十分でない場合があります。Windows クライアントコンピュータのハードディ スクには、900 MB の空き領域を計画してください。 [2384226] Web コンソールを使っているときに、最初のクライアントパッケージのダウンロー ドが完了しないことがある クライアントパッケージを作成するときに、ブラウザのセキュリティ設定によっては、ダウン ロードが遮断されたことを伝えるメッセージ、またはファイルをダウンロードするかどうかを 確認するメッセージが表示されることがあります。ブラウザでダウンロードに同意してもダ ウンロードが遮断されます。 2 回目のパッケージの作成ではパッケージは正常にダウンロードされるはずです。 [2357557] クライアントのインストール中に、Windows セキュリティセンターが「Symantec Endpoint Protection は無効になっています。」と誤って示す場合がある この警告は無視してかまいません。特別な操作は必要ありません。 [2120916] 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 Windows イベント ビューアでドメイン名に関連する Apache エラーが表示され ることがある この Apache エラー、番号 3299 は、コンピュータで定義されている DNS サフィックスに 関するものです。Symantec Endpoint Protection には影響を与えませんが、他のプロ グラムには影響を及ぼす場合があります。 設定の種類を判断するには、コマンドプロンプトで文字列 ipconfig /all を入力し、 Enter キーを押します。次のように表示されます。 Windows IP Configuration Host Name .. . . . . . . . . . . : SEPM Primary DNS Suffix . . . . . . . : Node Type .. . . . . . . . . . . : Hybrid IP Routing Enabled.. . . . . . . : No WINS Proxy Enabled.. . . . . . . : No Primary DNS Suffix の行にエントリがない場合は、このエラーが表示されることがありま す。 [2322768] システムクロックを変更すると「ライセンスが切れました」という誤ったメッセージ が表示されることがある システムクロックを変更して元に戻した場合、Web サーバーサービスを再起動する必要 があります。症状として表示される可能性があるメッセージは、「予想外のサーバーエラー」 です。 この問題を解決するには、サービス semwebsrv を再起動します。 [2362071] PGP ユーザーが、暗号化されたハードディスクがあるコンピュータに Symantec Endpoint Protection クライアントをインストールできないことがある 症状は、PGP プリブートプロセス後に、コンピュータがインストールをロールバックすること です。 この問題を回避するには、PGP 暗号化を削除し、Symantec Endpoint Protection クラ イアントをインストールして、暗号化を再度有効にします。 [2357592] 19 20 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 ベストプラクティス: 32 ビットと 64 ビットの Windows Vista、Windows 2008 Server、Windows 7 オペレーティングシステムを実行するコンピュータでは[サ イレント]または[進行バーのみを表示]インストールパッケージを使用する 32 ビットと 64 ビットの Windows Vista、Windows 2008 Server、Windows 7 オペレー ティングシステムでは、次の操作を行うときに対話モードを選択しないでください。 ■ インストールパッケージをグループに追加する ■ インストールパッケージをエクスポートする 32 ビットと 64 ビットの Windows Vista、Windows 2008 Server、Windows 7 オペレー ティングシステムで対話モードのインストールを行うと、ユーザーはセッション 0 で続行す るように促されますが、ほとんどのユーザーにはメッセージが表示されず、内容が理解さ れることもありません。これらのオペレーティングシステムでインストールするときには、[サ イレント]または[進行バーのみを表示]のインストール設定を使います。この設定を使うと きは、「クライアントインストールの設定」を追加作成する必要があります。 [2393258] アンダースコア文字「_」を含むホスト名がサポートされない 「SEPM_Server」のように、サーバー名にアンダースコア文字「_」が含まれるホストに Symantec Endpoint Protection Manager がインストールされた場合、Web コンソール にログインするときに問題が発生することがあります。これは Internet Explorer が、ホス ト名に無効な文字が含まれるサーバーで作成された cookie をサポートしていないため です。アンダースコアは、RFC 952 で文書化されているように、TCP ホスト名では無効な 文字です。 この問題を解決するには、移行の前にサーバーの名前を変更します。インストール後に Symantec Endpoint Protection Manager サーバーのホスト名を変更する場合は、名 前を変更してからサーバー設定ウィザードを実行する必要があります。 [2398196] 移行 ここでは、あるバージョンまたはリリースから別のバージョンまたはリリースへの移行につい ての情報を示します。 LiveUpdate を使用しても製品間で定義が共有されなくなった LiveUpdate を使って定義を更新できます。ただし、それらの定義によって他のシマンテッ ク製品は更新されません。 LiveUpdate でのこの変更に対処するには、ご利用の他のシマンテック製品でスケジュー ラを再度有効にして、それらの製品を Symantec Endpoint Protection とは別に更新し ます。 [2374182] 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 Internet Explorer 8 でのセキュリティ証明書のインストール Symantec Endpoint Protection Manager をインストールするときに実行する必要があ る手順の 1 つが、セキュリティ証明書のインストールです。 セキュリティ証明書をインストールするには 1 証明書の警告画面で、[このサイトの閲覧を続行する(推奨されません)。]をクリック します。 2 ブラウザのアドレスボックスで、[証明書のエラー]をクリックします。 3 [証明書は信頼できません]ウィンドウで、[証明書の表示]をクリックします。 4 [証明書の表示]ウィンドウで、[証明証のインストール]をクリックします。 5 [証明書のインポート ウィザード]で、[物理ストアを表示する]をクリックします。 6 [証明書をすべて次のストアに配置する]をクリックし、[参照]をクリックします。 7 [証明書ストアの選択]ウィンドウで、[信頼されたルート証明機関]を展開し、[ローカ ル コンピュータ]をクリックして、[OK]をクリックします。 8 証明書のインポート確認メッセージで[OK]をクリックします。 9 [証明書]ダイアログで[OK]をクリックします。 10 Internet Explorer 8 を再起動します。 [2307849] Symantec Endpoint Protection Manager の問題 ここでは、Symantec Endpoint Protection Manager についての情報を示します。 2 バイト文字を含む名前を持つグループにクライアントが接続できない 2 バイト文字を使って名前が付けられているグループを含む SyLink ファイルをインポー トすると、インポートが失敗します。SylinkDrop ツールを使って、さまざまな Symantec Endpoint Protection Manager サーバーへのクライアントの登録や、管理外クライアン トの管理下クライアントへの変更などを行うことができます。DBCS 文字を使ってグループ に名前が付けられている場合、これらの操作により、クライアントで「ハング」が発生しま す。 この問題を回避するには、Unicode 以外のプログラムの言語バージョンを、必要な言語 に変更します。その後で、SyLink ファイルをインポートします。クライアントは適切に管理 され、Symantec Endpoint Protection Manager に反映されます。 [2292093, 2273612] 21 22 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 監査ログの[拡張設定]フィルタのヘルプが見つからない 監査ログとクイックレポートの状況感知型ヘルプには、正しくない記述が含まれていて、 拡張オプションについての説明がありません。それらの記述は次のテキストに置き換えて ください。 メモ: フィルタオプションのフィールドでは、大文字と小文字は区別されません。一部の フィールドではワイルドカード文字を使えます。任意の 1 文字と一致するワイルドカード 文字の疑問符(?)、および任意の文字列と一致するアスタリスク(*)が使えます。ヘルプ には次の表が含まれている必要があります。 表 1-6 監査ログの表示のための[拡張設定]フィルタオプション オプション 説明 イベントの種類 表示するイベントの種類を指定します。 次のいずれかのイベントを選択できます。 ポリシー名 ■ すべて ■ ポリシーを追加しました ■ ポリシーを削除しました ■ ポリシーを編集しました ■ システムインストール時に共有ポリシーを追加する ■ システムアップグレード時に共有ポリシーを追加する ■ ドメイン作成時に共有ポリシーを追加する 情報を表示するポリシーの名前を指定します。 このフィールドの入力としてカンマで区切ったリストを使えます。 任意の 1 文字と一致するワイルドカード文字の疑問符(?)、およ び任意の文字列と一致するアスタリスク(*)が使えます。 ドメイン 情報を表示するドメインを指定します。 このフィールドの入力としてカンマで区切ったリストを使えます。 任意の 1 文字と一致するワイルドカード文字の疑問符(?)、およ び任意の文字列と一致するアスタリスク(*)が使えます。[...]をク リックして、既知のドメインのリストから選択することもできます。 サイト 情報を表示するローカルサイトまたはリモートサイトを指定します。 任意の 1 文字と一致するワイルドカード文字の疑問符(?)、およ び任意の文字列と一致するアスタリスク(*)が使えます。[...]をク リックして、既知のサイトのリストから選択することもできます。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 オプション 説明 サーバー 情報を表示するサーバーを指定します。 任意の 1 文字と一致するワイルドカード文字の疑問符(?)、およ び任意の文字列と一致するアスタリスク(*)が使えます。[...]をク リックして、既知のサーバーのリストから選択することもできます。 ユーザー 情報を表示するユーザーを指定します。 限度 表示の各ページに表示するエントリの数を指定します。 20、100、200、1000 エントリから選択できます。デフォルトの限 度は 20 エントリです。 [2374356] Symantec Endpoint Protection Manager のポリシーの問題 ここでは、Symantec Endpoint Protection Manager のポリシーの操作についての情報 を示します。 ウイルスとスパイウェアの対策ポリシー ここでは、ウイルスとスパイウェアの対策ポリシーに関連する問題についての情報を示し ます。 Insight のトラブルシューティングとプロキシの除外項目: 追加情報 クライアントコンピュータで、認証が必要なプロキシを使用する場合、シマンテック URL に 信頼できる Web ドメイン例外を指定する必要があります。例外により、クライアントコン ピュータは Symantec Insight および他の重要なシマンテックサイトと通信できます。推 奨される例外については、関連するテクニカルサポートナレッジベースの記事を参照して ください。 IE での認証で URL と .PAC のプロキシ設定を使うと評価のトラフィックが許可さ れない 認証で URL と .PAC のプロキシ設定で定義されたプロキシサーバーを使うと、ダウンロー ドインサイトサーバーへのトラフィックが遮断されます。その結果、潜在的な脅威の評価時 に、ダウンロードインサイトサーバー上の評価データが考慮されません。 シマンテック社では、プロキシサーバーで除外項目を作成し、ネットワークトラフィックを許 可することを推奨します。除外項目を次に示します。 23 24 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 表 1-7 評価トラフィックを許可するために設定する必要がある除外項目 トラフィックの種類 サーバーアドレス ping 送信 https://stnd-avpg.crsi.symantec.com https://avs-avpg.crsi.symantec.com https://stnd-ipsg.crsi.symantec.com https://bash-avpg.crsi.symantec.com サンプル送信 https://central.ss.crsi.symantec.com https://central.nrsi.symantec.com https://central.avsi.symantec.com https://central.b6.crsi.symantec.com CAT 送信 https://tus1gwynwapex01.symantec.com エラー送信 https://stnd-lueg.crsi.symantec.com インサイトレポート https://ent-shasta-mr-clean.symantec.com インサイト https://ent-shasta-rrs.symantec.com ライセンス https://services-prod.symantec.com 遠隔測定 https://tses.symantec.com/ SETI https://tses.symantec.com/ LiveUpdate http://liveupdate.symantecliveupdate.com [2272505] Symantec Endpoint Protection 12.1 ではマルチスレッドスキャンがサポートさ れていない 以前の Symantec Endpoint Protection 11.x バージョンでは、マルチスレッドスキャン のサポートのためにレジストリキーを使っていました。この方法は 12.1 でサポートされて いません。次の場所にあるそれらのレジストリキーは使わないでください。 ■ 64 ビットシステム: HKEY_LOCAL_MACHINE¥SOFTWARE¥Wow6432Node¥Symantec¥Symantec Endpoint Protection¥AV ■ 32 ビットシステム: HKEY_LOCAL_MACHINE¥SOFTWARE¥Symantec¥Symantec Endpoint Protection¥AV 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 [2315424] ユーザーが PGP を使っている場合に、ウイルス定義の正確なロードに関する 問題が発生することがある PGP のワイプオプションを使っている場合に LiveUpdate 経由でウイルス定義を正しく ロードできない問題が発生することがあります。 この問題を回避するには、PGP のワイプオプションをオフにします。 [2305817] Shared Insight Cache のポートについての具体的な説明 [Shared Insight Cache Settings]ペインには次の説明が含まれています。 応答準備ポート サーバーが応答準備するポート。応答準備ポートは、 ファイルのスキャン結果 を提出したり、クライアントが ファイルをスキャンする必要があるかどうかを判断する ための要求を行ったりするために、クライアントによっ て使われます。デフォルトのポート番号は 9005 です。 状態応答準備ポート サーバーがシステム内の状態を伝えるために使うポー ト。状態応答準備ポートでは、設定セクションで指定さ れたポートで、SOAP ベースのインターフェースが 使 われます。このインターフェースにより、管理者が Cache Server に関する情報と状態を問い合わせるこ とが できる手段が提供されます。デフォルトのポート 番号は 9006 です。 ファイアウォールと侵入防止のポリシー ここでは、ファイアウォールと侵入防止のポリシーに関連する問題についての情報を示し ます。 侵入防止による検出時にブラウザウィンドウがハングしているように見える 一部のブラウザの侵入防止における検出では、Symantec Endpoint Protection がブラ ウザを閉じる必要がある場合があります。Symantec Endpoint Protection は、ブラウザ を閉じる必要がある場合、確認のための警告を表示します。場合によっては、警告メッ セージがブラウザウィンドウの後ろに隠れ、ブラウザがハングしているように見えます。 この問題を回避するには、ブラウザウィンドウを移動または最小化して警告メッセージが 見えるようにし、[OK]をクリックしてブラウザを終了します。 [2279752] 例外ポリシー ここでは、例外ポリシーに関連する問題についての情報を示します。 25 26 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 サードパーティソフトウェアによって改変対策がトリガされることがある 一部のサードパーティソフトウェアは、シマンテックのコンポーネントを何らかの事情で修 正しようとする変更を加えることがあります。その結果、改変対策によって、これらの動作 に関する通知が表示されます。 この問題を回避するには、アプリケーションが安全であることを確認してから、例外ポリ シーでそのアプリケーションのための例外を作成します。シマンテック社に直接問い合わ せて、制御ログを提出する必要もあります。 改変対策ログのイベント(制御ログに記録される)をシマンテック社に送信する必要もあり ます。ログをアップロードする方法については、テクニカルサポートに問い合わせてくださ い。 [2319187] [監視]、[ログ]、[リスクログ]の順に選択して表示されるページの状況感知型 ヘルプで、[処理]について足りない説明や正しくない説明がある [処理]オプションの説明を次のテキストで置き換えてください。 ログ内の選択した項目について例外を作成する処理を選択できます。 表 1-8 リスクログの[処理]オプション オプション 説明 例外ポリシーにリスクを追加する 既知のリスクの例外を作成します。既知のセキュリティ リスクであるセキュリティリスク(アドウェアやスパイウェ アなど)として検出されたファイルにのみ適用します。 例外ポリシーにファイルを追加 ウイルススキャンとスパイウェアスキャンでファイルが検 出されなくなるように、検出されたファイルの例外を作 成します。ファイルはファイルパスで識別されます。 例外ポリシーにフォルダを追加する 検出されたファイルが置かれているフォルダについて 例外を作成します。ウイルスとスパイウェアのスキャン にのみ適用し、SONAR スキャンには適用しません。 例外にサブフォルダが自動的に含まれることはありま せん。 例外ポリシーに拡張子を追加 検出されたファイルの拡張子について例外を作成し ます。たとえば、選択したファイルの拡張子が .doc で あれば、ウイルスとスパイウェアのスキャンでスキャンし ない拡張子のリストに DOC が追加されます。 Web ドメインを信頼 ファイルのダウンロード元 URL に適用される、信頼で きる Web ドメイン例外を作成します。この例外はダウ ンロードインサイトによって検出されたファイルにのみ 適用されます。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 オプション 説明 アプリケーションを許可 処理に[無視]を指定してアプリケーション例外を作成 します。ファイルはハッシュで識別されます。例外は SONAR と、すべてのウイルスとスパイウェアのスキャ ンの両方に適用されます。 アプリケーションを遮断する 処理に[検疫]を指定して SONAR のアプリケーション 例外を作成します。ファイルはハッシュで識別されま す。 検疫から削除 例外を作成しません。選択した項目をクライアントコン ピュータの[検疫]から削除します。 [2372914] [監視]、[ログ]、[SONAR ログ]の順に選択して表示されるページの状況感知 型ヘルプで、[処理]について足りない説明や正しくない説明がある [処理]オプションの説明を次のテキストで置き換えてください。 ログ内の選択した項目について例外を作成する処理を選択できます。 表 1-9 SONAR ログの[処理]オプション オプション 説明 例外ポリシーにフォルダを追加する ファイルが置かれているフォルダについて SONAR フォルダ例外を作成します。この例外はサブフォルダ には自動的に適用されません。この例外は SONAR にのみ適用されます。 アプリケーションを許可 処理に[無視]を指定してアプリケーション例外を作成 します。ファイルはハッシュで識別されます。例外は SONAR と、すべてのウイルスとスパイウェアのスキャ ンの両方に適用されます。 アプリケーションを遮断する 処理に[検疫]を指定して SONAR のアプリケーション 例外を作成します。ファイルはハッシュで識別されま す。 Web ドメインを信頼 ファイルのダウンロード元 URL に適用される、信頼で きる Web ドメイン例外を作成します。この例外はダウ ンロードインサイトによって検出されたファイルにのみ 適用されます。 [2372914] 27 28 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 Symantec Endpoint Protection Small Business Edition の問題 これらは Symantec Endpoint Protection Small Business Edition だけで発生する問 題です。 DBCS パスにインストールされている Small Business Edition クラ イアントで LiveUpdate が失敗することがある 失敗の兆候は、更新が正常にダウンロードされた場合でも、「Failed to process update...」 というエラーが表示されることです。 この問題を回避するには、DBCS 文字で定義されたパスにクライアントをインストールしな いようにします。 [2322728] Symantec Endpoint Protection Enterprise Edition の問題 ここには、Symantec Endpoint Protection Enterprise Edition のみに該当する項目が 含まれています。 アップグレード、インストール、アンインストール、修復の問題 ここでは、アップグレード、インストール、アンインストール、修復の問題についての情報 を示します。 アップグレード 5.x クライアントの 12.1 への自動アップグレードでは、11.x パッケージを Symantec Endpoint Protection Manager に追加し、オプションでホストインテ グリティパッケージをダウンロードする必要がある レガシークライアントの自動アップグレードプロセスについては、マニュアルに記載されて います。第 7 章の冒頭で説明されている手順に加えて、11.x パッケージを Symantec Endpoint Protection Manager に手動でインポートする必要があります。ホストインテグ リティポリシーを実装する予定の場合は、Windows ホストインテグリティパッケージもダウ ンロードする必要があります。 この問題を回避するには、最初に製品ディスクからレガシー Symantec Sygate Endpoint Protection 5.1 クライアントにレガシー Symantec Endpoint Protection 11.x パッケー ジを手動でインポートしてから、Symantec Endpoint Protection バージョン 12.1 クライ アントに自動アップグレードします。 [2359294] 移行の問題 ここでは、移行についての情報を示します。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 専用の IIS Web サイトから Apache への移行で最初のカスタムポートだけが使 われる Symantec Endpoint Protection バージョン 12.1 では、Web サービスとして IIS(Internet Information Services)ではなく Apache が使われるようになりました。移行のほとんどは 自動で行われますが、一部についてはユーザーが操作する必要があります。 専用の IIS Web サイトを使って Symantec Endpoint Protection Manager がインストー ルされていた場合は、複数のポートを割り当てて応答準備するようにその Web サイトを 設定していた可能性があります。移行後、Apache では、それらのいずれかのポートのみ で応答準備します。他のポートで応答準備しないことで、クライアントが切断される可能性 があります。 この問題を回避するには、Apache の httpd.conf ファイルに見つからないポートを入 力します。 次に例を示します。適切なポートを httpd.conf ファイルに入力します。 ポート 80 とポート 8080 で応答準備するように httpd.conf ファイルを編集します。 1 httpd.conf ファイルをテキストエディタで開きます。 2 Listen で始まる行を見つけます。 3 その行の後に次の 2 行を追加します。 Listen 80 Listen 8080 4 ファイルを保存します。 httpd.conf ファイルの使用方法について詳しくは、Apache のマニュアルを参照してく ださい。 [2040661] サポートされている設定ではないのに Symantec Endpoint Protection 12.1 ク ライアントが Symantec Endpoint Protection Manager 11.x サーバーに接続 する場合がある シマンテック社では、Symantec Endpoint Protection Manager 11.x サーバーと 12.x クライアントの併用をサポートしていません。ただし、場合によっては動作することがありま す。シマンテック社では、サーバーを先にアップグレードしてから、クライアントをアップグ レードすることを強く推奨します。この方法は、データ損失と、その他の意図しない結果を 回避するのに役立ちます。 [2244591] 29 30 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 Symantec Endpoint Protection 11.x クライアントは Symantec Endpoint Protection 12.1 に移行できるが、元の Symantec Endpoint Protection Manager バージョン 11.x に接続し続けることがある 11.x 管理サーバーに正しく接続済みのクライアントはバージョン 12.1 に正常に移行でき ます。ただし、これらのクライアントは引き続き 11.x 管理サーバーに接続します。 クライアントが 12.1 Symantec Endpoint Protection Manager に接続するように設定す るには、製品ディスクの Tools¥SylinkDrop にある SylinkDrop ツールを実行します。 [2376026] Symantec Endpoint Protection Manager の問題 ここでは、Symantec Endpoint Protection Manager についての情報を示します。 Symantec Endpoint Protection 12.1 で検疫サーバーの転送エラーが断続的 に発生する Symantec Endpoint Protection 12.1 で、検疫項目の検疫サーバーへの転送が失敗 することがあります。 この問題を解決するには、コンピュータに Microsoft .NET Framework Version 3.5 が インストールされていることを確認してください。 [2293167] デフォルトの自動複製のタイミングが変更されている 自動複製オプションでは、複製プロセスが 2 時間おきに実行されます。以前のバージョ ンでは、5 分おきに自動的に複製されていました。 [2348121] データベース保守ジョブには潜在的な競合が存在する Symantec Endpoint Protection Manager を Microsoft SQL データベースとともにイ ンストールする場合、管理サーバーは自動的にデータベース保守タスクを実行します。 SQL Server Management Studio などの別のツールを使って Microsoft SQL データ ベースのデータベース保守タスクを設定済みの場合、タスクが望まない結果になる可能 性があります。この問題を回避するには、Symantec Endpoint Protection Manager で データベース保守タスクを無効にします。 データベース保守タスクを無効にするには 1 コンソールで、[管理]をクリックし、[サーバー]をクリックします。 2 [サーバー]で、データベースを表すアイコンをクリックします。 3 [タスク]の下で、[データベースプロパティの編集]をクリックします。 4 [一般]タブで、次の両方のオプションのチェックマークをはずします。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 ■ データベーストランザクションログを切り捨てる ■ インデックスの再構築 [2365974] SSL ポートが見つからない場合の手順の変更について 『Symantec™ Endpoint Protection and Symantec Network Access Control 実装ガ イド』の「SSL ポートの割り当ての変更」というトピックに、足りない手順があります。 手順 2 の後に次の手順を追加してください。 2.1 VirtualHost _default_:443 という行を、VirtualHost _default_:new port となるように編集します。たとえば、新しいポート番号が 53300 の場合、編集後の文字列 は VirtualHost _default_:53300 になります。 [2365848] Symantec Endpoint Protection Manager のポリシーの問題 ここでは、Symantec Endpoint Protection と Symantec Network Access Control の ポリシーの操作についての情報を示します。 ウイルスとスパイウェアの対策ポリシー ここでは、ウイルスとスパイウェアの対策ポリシーに関連する既知の問題についての情報 を示します。 ユーザー名またはホスト名で DBCS 文字または high-ASCII 文字が使われてい る場合に、Symantec Endpoint Protection Manager と Cache Server 間のユー ザー認証が失敗する DBCS 文字または high-ASCII 文字を使ってユーザー名とホスト名を入力できます。ただ し、それらを使うことで、Symantec Endpoint Protection Manager とキャッシュサーバー 間の通信が失敗します。 この問題を回避するには、ユーザー名またはホスト名で DBCS 文字または high-ASCII 文字を使わないようにします。 [2321474] [グローバルスキャンオプション]ヘルプリンクの内容が正しくない Symantec Endpoint Protection Shared Insight Cache ツールで、[グローバルスキャ ンオプション]のヘルプ画面が正しくありません。正しいエントリは次のとおりです。 ユーザー名 基本認証のために Shared Insight Cache を設定す る場合は、認証ユーザー名を入力します。 31 32 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 パスワードの変更 基本認証のために Shared Insight Cache を設定す る場合は、このオプションをクリックして認証パスワード を指定し、確認のために再入力します。 [2374377] プロアクティブ脅威防止ポリシー ここでは、プロアクティブ脅威防止ポリシーに関連する既知の問題についての情報を示 します。 アプリケーション制御ルールのレジストリキーの条件で、指定されたレジストリ 値データが文字列としてのみ解釈される アプリケーション制御ルールのレジストリキーの条件を作成し、レジストリキー値データを 入力した場合に、データが文字列として扱われます。データは数値として扱われません。 たとえば、名前が AAA で、レジストリキー値データが 111 のレジストリキーの条件を作成 し、アプリケーションルールを遮断に設定すると、このルールでは、文字列として作成され 場合にのみ AAA が遮断されます。他の種類のレジストリデータとして作成された場合は、 AAA は遮断されません。 [2222096] Protection Center を使って Symantec Endpoint Protection Manager にアク セスしているときに、[アプリケーションの検索]ダイアログボックスの[参照]ボ タンが動作しない クライアントが実行しているアプリケーションについて特定の情報を見つけることができま す。この情報を使うと、ファイアウォールやアプリケーション制御ルールなど、アプリケー ションを制御したり検出したりするポリシー機能を設定するうえで役立ちます。この機能 は、Symantec Endpoint Protection Manager の Protection Center ビューでは動作 しません。 アプリケーションを検索するには、Protection Center を使わずに、Symantec Endpoint Protection Manager を直接起動します。 [2360274] アプリケーションとデバイス制御をクライアントで確実に管理できない アプリケーションとデバイス制御の有効化と無効化は、Symantec Endpoint Protection Manager でのみ管理してください。 [2361600] 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 Symantec Endpoint Protection の Windows クライアントと Mac クライアントの問題 ここでは、Windows プラットフォームと Mac プラットフォームの両方について、Symantec Endpoint Protection クライアントの問題に関する情報を示します。 最初にデバイスが遮断されたときにしかデバイス制御の通知が表示されない 新しいデバイスを遮断し、ログに書き込み、通知を表示するルールを含むデバイス制御 ポリシーがあるとします。最初に新しいデバイスが接続されたときは、すべてが正常に機 能します。Symantec Endpoint Protection は、デバイスドライバを「無効」に設定し、デ バイスを遮断します。次にデバイスが接続されたときには、通知は表示されず、ログも生 成されません。この動作は、デバイスドライバが(無効に設定されているために)ロードさ れないため、デバイス制御ポリシーがトリガされないことが原因です。 この動作は既知の制限です。 [2222901] 場所に基づく通信設定を使っているときにクライアントが Symantec Endpoint Protection Manager から接続解除されることがある Symantec Endpoint Protection は、クライアントがその場所(オフィス、家、外出先など) を認識できるように設計されています。その場所に基づいて、リンクする管理サーバーな ど、ポリシーが変更されます。 場所によってトリガされるポリシーを使っている場合、その場所に基づくポリシーを使って いるときにクライアントが接続解除されることがあります。 この問題を回避するには ■ 一時的にであっても、クライアントの場所を変更します。 ■ クライアントを再起動します。 [2295065] グループ更新プロバイダ(GUP)として設定されているクライアントの動作が少し 遅れることがある この速度の低下は把握されており、製品チームは、ダウンロード速度と帯域幅の使用方 法の向上に向けて取り組んでいます。 [2346194] パスワード保護が実装されている場合に、Symantec Endpoint Protection ク ライアントで強制シャットダウンを実行できないことがある クライアントでパスワード保護が実装されている場合、Symantec Endpoint Protection クライアントの強制シャットダウンの実装が適切に機能しないことがあります。通常は、smc 33 34 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 -stop コマンドを発行すると、すべてのクライアントサービスが停止します。この状況では、 コマンドが確実に機能しません。 この問題を回避するには、サービスのシャットダウンコマンドでパスワード保護を実装しな いようにするか、コマンドを使わないようにします。 [2350794] ネットワーク脅威防止で Unicode 補助文字が適切に表示されない クライアントの[ネットワーク]ダイアログボックスでアプリケーション名が表示されるときに、 Unicode 補助文字を使用して名前が付けられたそれらのアプリケーションのファイル名 が、2 つの疑問符として表示されます。このような表示は、[ネットワーク活動]ダイアログ ボックスと、アプリケーションによるネットワークへのアクセスを許可するかどうかをユーザー に尋ねるダイアログボックスで発生します。 [2235266] Symantec Network Access Control の問題 次のセクションに示されている問題は、特に次の項目に関連しています。 ■ Symantec Network Access Control ■ オンデマンドクライアントを含む Symantec Network Access Control クライアント ■ エンフォーサアプライアンスと統合エンフォーサの両方を含む Symantec Enforcer ■ クライアントレベルでセキュリティコンプライアンスを管理するホストインテグリティ ■ エンフォーサと Symantec Network Access Control クライアントの問題 p.34 の 「エンフォーサの問題」 を参照してください。 ■ ホストインテグリティとセキュリティコンプライアンスの問題 p.38 の 「ホストインテグリティの問題」 を参照してください。 エンフォーサの問題 ここでは、Symantec Network Access Control でのみ利用可能なエンフォーサ機能に ついての情報を示します。 エンフォーサ DVD の Readme リンクが壊れている(Symantec Network Access Control DVD のリンクを使用する) エンフォーサ DVD のリリースノートへのリンクが壊れています。代わりに、正しいリンクとし て Symantec Network Access Control DVD のリンクを使用してください。 [2414290, 2414940] 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 Windows オンデマンド クライアントで、Symantec Endpoint Encryption で暗 号化された OS パーティションをユーザーレベル権限を使ってホストインテグリ ティでチェックできない Windows XP SP3 では、暗号化されたパーティションがユーザーレベル権限を使って暗 号化されている場合、ホストインテグリティは同じ権限レベルでそのパーティションをチェッ クし、チェックに失敗します。この失敗は、HI チェックにより、ユーザーレベル権限ではプ ロファイル領域に書き込めない JavaScript ファイルが作成されることが原因です。 この問題を回避するには、管理者権限レベルでパーティションを作成し、チェックします (可能な場合)。 [2227714] Symantec Endpoint Protection Manager がエンフォーサからの RADIUS 要求 に応答しない クライアントの 802.1x 認証で、Symantec Endpoint Protection Manager がエンフォー サからの RADIUS 要求に応答しない場合があります。この原因として最も可能性が高い のはポートの競合です。 この問題を回避するには、ナレッジベースで、「SEPM のインストール時に「1812 番のポー トはすでに使用中です。エンフォーサをインストールしてある場合には RADIUS サーバー を停止してください。」と表示される」を参照してください。 [1451524] Symantec Endpoint Protection で、エンフォーサアプライアンスの Symantec Endpoint Protection 11 MR 4 から Symantec Endpoint Protection 12.1 へ のアップグレードがサポートされない このアップグレードパスはサポートされていません。新しいイメージをインストールする必 要があります。 [2206255] 検疫された Symantec Network Access Control クライアントが、そのユーザー インターフェースで、接続されているクライアントとして数秒間誤って表示される Symantec Network Access Control クライアントが、ホストインテグリティコンプライアン ス検査に失敗したために検疫 VLAN に移動される場合、クライアントのユーザーインター フェースの更新には時間がかかります。 この不具合は無視してかまいません。ユーザーインターフェースの更新には 5 ~ 10 秒 間かかりますが、検疫はすぐに適切に有効になります。 [1945979] 35 36 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 新しい Symantec Endpoint Protection Manager に接続するようにエンフォー サが設定されているときに、ゲートウェイエンフォーサのオンデマンド設定が自 動的に更新されない ゲートウェイエンフォーサを別の管理サーバーに接続する場合、オンデマンドクライアン ト設定を更新する必要があります。ドメイン ID とクライアントグループ名でこの問題が発生 します。 この問題を回避するには、新しい Symantec Endpoint Protection Manager のドメイン ID とクライアントグループを使うように、オンデマンド機能を切り替える(無効にして、有効 にする)必要があります。 [2115639] 異なるフェールオーバーグループに属するエンフォーサを Symantec Endpoint Protection Manager 上の同じグループに配置してはいけない エンフォーサグループと Symantec Endpoint Protection Manager グループは、内部 で異なる ID を使います。この設定はほとんどの場合は利点となりますが、たとえば Symantec Endpoint Protection Manager に到達するために、2 つのエンフォーサが 同じハブを使う場合は、混乱を招く可能性があります。 この混乱を回避するには、異なるエンフォーサフェールオーバーグループに属するエン フォーサを、別々の Symantec Endpoint Protection Manager グループに配置します。 [2317172] Symantec Network Access Control 11.0.5 Enforcer によって生成された Mac オンデマンドクライアントをアップグレードできない Symantec Network Access Control 11.0.5 よりも後の各バージョンのオンデマンドクラ イアントで使われる暗号化キーには相違点があります。これらの相違点により、バージョン 11.0.5 よりも後の Mac オンデマンドクライアント(12.1 クライアントを含む)は、バージョン 11.0.5 以前の Symantec Network Access Control Enforcer からの起動に失敗しま す。 この問題を回避するには、エンフォーサイメージを Symantec Network Access Control 11.0.6343 以降、またはバージョン 12.1 にアップグレードします。 [2332534] オンデマンドクライアントのゲストエンフォースメント機能が有効になっていると きに、ゲートウェイエンフォーサの eth1 を無効にする必要がある ゲストエンフォースメントモードのときには、ゲートウェイエンフォーサの eth1 ポートを無 効にする必要があります。無効にしないと、潜在的なセキュリティホールを作っていること になります。configure show interface コマンドを発行すると、eth1 インターフェースは まだ有効だと表示されることに注意してください。このメッセージは無視してかまいません。 [2103402] 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 Symantec Network Access Control バージョン 12.1 でのファイルのインポー トによる MAC アドレスに対応する VLAN ID の重複はサポートされない MAC アドレスは LAN エンフォーサにインポートできます。ただし、アドレスの重複はサ ポートされません。MAC アドレスの VLAN ID が競合すると、LAN エンフォーサは競合し ている MAC アドレスの 2 番目に新しいものを破棄します。その後 LAN エンフォーサは、 エンフォーサのログメッセージ内に、破棄した MAC アドレスを VLAN ID とともに示しま す。 [2106972] ゲートウェイエンフォーサから LAN エンフォーサに変更するとオンデマンドクラ イアントのダウンロードが不正に許可されることがある ゲートウェイエンフォーサでオンデマンドクライアントが有効になっている場合、再初期化 によって LAN エンフォーサに変更するとこの動作が発生する場合があります。LAN エン フォーサからのオンデマンドクライアントのダウンロードは予期された動作ではないので、 予想外の動作が発生する可能性があります。LAN エンフォーサでは、認証設定や PEAP/TLS クレデンシャル設定などのオンデマンドクライアントのプロパティを管理できま せん。 この問題を回避するには、エンフォーサを再初期化する前にオンデマンドクライアントを 無効にしてください。 [2103543] 統合エンフォーサによって RADIUS 認証ポートを変更する方法 RADIUS 認証ポートが非標準のポート番号に設定されている場合があります。RADIUS ポートのデフォルト番号は 1812 です。 RADIUS ポートを 1812 に設定するには 1 次のようにレジストリキーを変更します。 HKEY_LOCAL_MACHINE¥SOFTWARE¥Symantec¥Symantec Endpoint Protection¥SNAC¥Enforcer¥NAC Communication Service¥smsinfo CurrentSEPMRadiusAuthenticationPort:1812 2 ユーザーインターフェースからエンフォーササーバーを再起動するか、または Symantec Integrated Enforcer サービスと Symantec NAC Communication Service サービスを再起動します。 メモ: Symantec Endpoint Protection Manager で RADIUS ポートを変更する場合は、 前に示した手順の「1812」の代わりに新しいポート番号を使用して、統合エンフォーサ上 でこの変更をミラー化する必要があります。 [2232004] 37 38 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 ホストインテグリティの問題 ここでは Symantec Network Access Control でのみ利用可能なホストインテグリティポ リシーについての情報を示します。ホストインテグリティポリシーにより、組織のセキュリティ ポリシーへの準拠が確保されます。 最初にホストインテグリティを有効にしたときに、クライアントの[トラブルシュー ティング]ダイアログボックスでホストインテグリティが「無効」として表示される 場合がある コンテンツがダウンロードされている間は、ホストインテグリティのチェックは無効になりま す。コンテンツがダウンロードされると、ホストインテグリティのチェックが開始され、正確な 報告または修復が実行されます。 [2297661] コンテンツのダウンロード中にコンプライアンス検査が遅延することがある コンプライアンス検査では、Symantec Network Access Control クライアントが Symantec Endpoint Protection Manager からコンテンツをダウンロードする必要があります。この ダウンロードには、時間がかかる場合があります。不正確なコンプライアンスの状態メッ セージを防止するために、必要なコンテンツがダウンロードされるまで、この検査は無効 になります。特定のクライアントの実際のセキュリティコンプライアンスの状態を判断する には、[ヘルプ]、[トラブルシューティング]ダイアログボックスで状態を確認してください。 メモ: この問題の影響として、エンフォーサにより、クライアントの実際の状態が不明であっ てもセキュリティコンプライアンス検査に合格したと報告されます。 [2325358] Mac オンデマンドクライアントでホストインテグリティの検疫ポリシーが動作しな い Mac オンデマンドクライアントでは、ホストインテグリティが失敗したときの検疫場所への 切り替えがサポートされていません。この機能は、Windows オンデマンドクライアントで のみ動作します。 [2104391] 5.1 クライアントでのみホストインテグリティの結果が英語で表示される Symantec Sygate Enterprise Protection 5.1 からアップグレードすると、SEA(Symantec Enforcement Agent)もアップグレードされます。SEA クライアントに適用されているホス トインテグリティルールは適切に機能します。ただし、このクライアントでは翻訳されていな いキーワードがいくつか表示され、セキュリティログがフォーマットされません。これは、こ のクライアントがローカライズされるように設計されていなかったためです。ただし、すべて の機能が存在しています。 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 [2201086] ローカルユーザーがホストインテグリティコンプライアンス検査を一時停止する と、別のユーザーがリモートログインを使ってホストインテグリティ検査を実行で きない この動作は意図されたものです。ホストインテグリティ検査を一時停止しているのと同じ ユーザーによるリモートログインは適切に機能します。機能しないのは、別のユーザーに よる場合のみです。 [2169351] Mac のホストインテグリティルールしか設定されていない場合でも Windows Symantec Network Access Control クライアントがホストインテグリティに「合 格した」と表示される このエラーは、Windows クライアントと Mac オンデマンドクライアントが同じグループに 含まれているときに発生します。 この問題を回避するには、ホストインテグリティコンプライアンス検査用に各クライアントを 異なるグループに割り当てます。 [2180255] グループにホストインテグリティポリシーが割り当てられていないと、Symantec Endpoint Protection クライアントが Symantec Network Access Control クラ イアントまたはオンデマンドクライアントと異なる動作をする すべてのクライアントは自身の状態を「無効」であるとエンフォーサに送信します。エン フォーサはこれを「ホストインテグリティ成功」として処理し、各種類のクライアントが承認さ れます。例外は Symantec Endpoint Protection クライアントです。このクライアントが 「無効」を送信すると、エンフォーサはこの種類のクライアントを検疫します。 [2330894] システムリソースが不足しているクライアントコンピュータでホストインテグリティ のエラーが発生することがある RAM、ディスク領域、Windows のリソースなどが不足しているクライアントコンピュータの 実行速度が遅くなることはよくあります。さらに、それらのコンピュータで、詳細なセキュリ ティログ情報が提供されないホストインテグリティのエラーが発生することがあります。 この問題を回避するには、実行中のアプリケーションの数や、使用中のブラウザウィンド ウの数などを減らします。 [2394506] クライアントのホストインテグリティログに「認証できない」と表示されることがあ る 場合によって、クライアントコンピュータが「最新のホストインテグリティコンテンツのダウン ロードが完了していないか、認証できない」というエラーでホストインテグリティ検査に失敗 39 40 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 することがあります。このメッセージはクライアントの[セキュリティ]ログと、Symantec Endpoint Protection Manager で[コンプライアンス]、[ホストコンプライアンス]の順に 選択すると表示されるログに表示されます。クライアントがホストインテグリティコンプライア ンス検査に失敗すると、通常は、以後のコンプライアンス検査に合格するまでクライアント が検疫される結果になります。 このホストインテグリティエラーの一般的な原因は、ホストインテグリティ検査の途中でコン ピュータが再起動されたことです。 クライアントのホストインテグリティの状態を確認するには、もう一度ホストインテグリティコ ンプライアンス検査を実行します。Symantec Endpoint Protection Manager からは、 『Symantec™ Endpoint Protection 実装ガイド』の「ホストインテグリティポリシーの作成 とテスト」に記載されている手順に従ってください。さらに詳しい情報については、[セキュ リティ]ログを調査します。 [2394715] マニュアルの問題 ここでは、製品マニュアルについての情報を示します。 ユーザーマニュアルは製品リリースの間で更新されることがあります。シマンテック社の Web サイトにあるテクニカルサポートページから最新のマニュアルをダウンロードできま す。サポートサイトにはインストールサポート、ベストプラクティス、FAQ を提供するために 設計されている記事とリンクが個別に記載されています。 p.9 の 「詳細情報の入手方法」 を参照してください。 Symantec Endpoint Protection 統合コンポーネントのマニュアル バージョン 7.1 は、一部の言語ではローカライズされていない 次の言語にかぎり、バージョン 7.0 のユーザーガイドのローカライズされたバージョンが用 意されています。 ■ 中国語(簡体字) ■ 中国語(繁体字) ■ 韓国語 ■ フランス語 ■ イタリア語 ■ ドイツ語 ■ スペイン語 ■ ポルトガル語 ■ ロシア語 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策 ■ チェコ語 ■ ポーランド語 [2250404] ヘルプまたはナレッジベースの記事を開くことができない 一部のオペレーティングシステムのデフォルトのセキュリティ設定により、シマンテック社 のヘルプまたはナレッジベースの記事へのアクセスが遮断されます。この問題は、別の ナレッジベースの記事へのリンクをクリックしたときに発生することがあります。場合によっ ては、これらのリンクが失敗し、JavaScript の権限エラーが発生します。 この問題を回避するには、信頼済みサイトのセキュリティレベルに "symantec.com"(引 用符を除く)を追加します。 [2052056] [クライアントインストールの設定]、[基本設定]の順に選択して表 示される状況感知型ヘルプがユーザーインターフェースと一致し ない [インストールの種類を選択する]にあるオプションの 1 つに[無人]があります。ユーザー インターフェースでは、これは[進行バーのみを表示]として表示されます。結果は状況 感知型ヘルプに表示されるのと同じで、ユーザーはインストール画面を操作できません が、Windows の進行状況を示すダイアログボックスが表示されます。[進行バーのみを 表示]はデフォルトの設定です。 [2384702] 41 42 第 1 章 Symantec™ Endpoint Protection v12.1、Symantec Endpoint Protection Small Business Edition v12.1、Symantec Network Access Control v12.1 リリースノート 既知の問題と回避策
© Copyright 2024 Paperzz