エンドポイントへの SecureAnywhere の配備

ビジネス要件やネットワークの規模に応じて、さまざまな方法で SecureAnywhere をエンドポイントに配備することができます。Windows の PC、ノートパソコン、サーバー、またはネットワークにインストールされている仮想サーバーをエンドポイントとして使用できます。エンドポイントのシステム要件については、「セットアップの準備」を参照してください。

注意: 新しいエンドポイントがインストールされると管理者に通知が送信されるよう、警告を設定することができます。詳細については、「警告の導入」を参照してください。

エンドポイントに SecureAnywhere を配備するには

1. キーコードを確認します。キーコードが不明な場合は、管理ポータル の [リソース] タブをクリックしてください。

   

   注意: 管理ポータルへの報告を行うには、デバイスでエンドポイントプロテクションのキーコードを使用している必要があります。SecureAnywhere がすでに異なる種類のキーコードを利用してインストールされている場合は、「 エンドポイントキーコードの変更」を参照してください。

2. 環境に最も適した配備の方法を選択します。

   次の表では、さまざまな配備の方法について説明しています。

   オプション	説明
   SecureAnywhere 実行可能ファイルの配備	次のいずれかの方法で SecureAnywhere のインストーラーファイルを配備します。 各エンドポイントで実行可能ファイルを手動インストール。 エンドユーザーに電子メールを送信。エンドユーザーは、電子メールテンプレートに記載されたリンクをクリックしてソフトウェアをインストールできます。 キーコードを使用して実行可能ファイル名を変更。電子メールテンプレートでは、名前が変更された実行可能ファイルとキーコードが提供されます。 追加コマンドを使用して実行可能ファイルをバックグラウンドで配備。 インストーラーでコマンドラインオプションを使用。プロキシサーバーの背後にあるエンドポイントへの配備が可能です。
   MSI 配備オプションの使用	Microsoft インストーラー (MSI) を使用して SecureAnywhere インストーラーファイルを配備。
   Windows グループポリシーオブジェクト (GPO) の使用	グループポリシーオブジェクト (GPO) を使用して SecureAnywhere インストーラーファイルを配備。Microsoft の Active Directory および GPO エディタに関する知識が必要です。

   注意: Iエンドポイントの数が 100 未満の小規模ネットワークでは、[リソース] タブで説明するシンプルな配備オプションを使用することをお勧めします。大規模なネットワークで Active Directory を使用している場合は、高度な配備オプションを使用してください。大規模なネットワークでは、エンドポイントを別々のコンソールに整理して、小さいグループごとの簡略化されたビューを使用することもできます。詳細については、「アカウントへのコンソールの追加」を参照してください。

3. 以下のいずれかのセクションの説明に従って、SecureAnywhere をエンドポイントに配備します。
   • SecureAnywhere インストーラーの使用
   • MSI 配備オプションの使用。
   • GPO 配備オプションの使用

   注意: 管理ポータルで、エンドポイントの状態が報告されていることを確認します。詳細については、「エンドポイントの状態の表示」を参照してください。

4. 以下のいずれかの操作を行います。
   • エンドポイントがデフォルトのポリシーおよびグループに割り当てられるようにします。すべてのエンドポイントはまず、デフォルトのポリシーおよびグループに割り当てられます。割り当ては、必要に応じて後で変更することができます。詳細については、「 ポリシーの導入」および「エンドポイントのグループへのポリシーの適用」を参照してください。
   • エンドポイントを特定のグループに割り当てるには、エンドポイントを追加するグループを選択し、[アクション] ドロップダウンメニューで [ このグループにエンドポイントを配備] を選択します。

   

   コマンドリンクからソフトウェアをインストールするために必要な情報が表示され、選択したグループにエンドポイントが追加されます。

   

5. 設定が完了したら、[OK] ボタンをクリックします。

SecureAnywhere インストーラーの使用

次のいずれかの方法で SecureAnywhere のインストーラーファイルを配備します。

• 各エンドポイントに SecureAnywhere をインストール。Mac にインストールする場合はこのオプションを使用してください。
• エンドユーザーに電子メールを送信。エンドユーザーは、電子メールテンプレートに記載されたリンクをクリックしてソフトウェアをインストールできます。
• キーコードを使用して実行可能ファイル名を変更。この方法は、独自の配備ツールを使用することを計画している場合や、MSI コマンドを使用せずにバックグラウンドでインストールを実行することが望ましい場合に適しています。
• 追加コマンドを使用して実行可能ファイルをバックグラウンドで配備。
• インストーラーでコマンドラインオプションを使用。プロキシサーバーの背後にあるエンドポイントへの配備が可能です。

Windows 版の SecureAnywhere インストーラーを使用するには

1. エンドポイントで、SecureAnywhere のインストーラーファイルをダウンロードします。

   インストーラーファイルは [リソース] タブにあります。または、次のリンクをクリックしてください。

   http://anywhere.webrootcloudav.com/zerol/wsasme.exe

2. インストールパネルでキーコードを入力します。

   キーコードが [リソース] タブに表示されます。

   

3. 必要に応じて、インストールパネル下部にある [インストールオプション] ボタンをクリックし、次のオプションを設定できます。
   • SecureAnywhere へのショートカットをデスクトップに作成する - このオプションを選択すると、Windows のデスクトップに SecureAnywhere のショートカットアイコンが作成されます。
   • 感染を回避するために、インストールファイルの名前をランダムに変更する - このオプションを選択すると、ウェブルートのインストールファイルの名前がランダムに変更されます (「QrXC251G.exe」など)。これにより、マルウェアによるウェブルートのインストールファイルの検出とブロックを回避できます。
   • SecureAnywhere のファイル、プロセス、メモリを改ざんから保護する - このオプションを選択すると、自己保護と CAPTCHA のプロンプトが有効になります。CAPTCHA を使用する場合、重要なアクションを実行する前に、ユーザーが画面上の歪んだ文字を読みとり、文字をフィールドに入力する必要があります。
   • 言語を変更する — SecureAnywhere で表示される言語を変更する場合は、[言語を変更する] ボタンをクリックして、サポートされている言語を選択してください。表示言語はインストールの際にのみ変更できます。インストール後は変更できません。

4. [同意してインストール] ボタンをクリックします。

   インストール中に SecureAnywhere によるクイックスキャンがエンドポイントで実行されます。

Mac 版の SecureAnywhere インストーラーを使用するには

1. エンドポイントで、SecureAnywhere のインストーラーファイルをダウンロードします。

   インストーラーファイルは [リソース] タブにあります。または、次のリンクをクリックしてください。

   http://anywhere.webrootcloudav.com/zerol/wsamac.dmg

2. SecureAnywhere インストーラーを Mac にダウンロードします。
3. wsamac.dmg をダブルクリックしてインストーラーを開きます。
4. [アプリケーション] フォルダをダブルクリックして開きます。
5. [アプリケーション] フォルダの Webroot SecureAnywhere のアイコンをダブルクリックし、アクティブ化を開始します。
6. 初期アクティブ化ウィンドウの言語選択ドロップダウンメニューで言語を選択し、[次へ] ボタンをクリックします。

   注意: 必ず適切な言語を選択してください。SecureAnywhere のインストール後に言語を変更することはできません。

   

7. 次のパネルでキーコードを入力し、[アクティブ化] ボタンをクリックします。

   

8. その他の画面のプロンプトに従ってインストールを最後まで進めます。

エンドユーザーが自分で SecureAnywhere をインストールできるよう電子メールを送信するには

1. [リソース] タブをクリックします。
2. [電子メールテンプレート] リンクをクリックします。

   電子メールテンプレートが [使用を開始するには] ウィンドウに表示されます。

   

3. 電子メールメッセージにテキストをカット & ペーストします。正しいキーコードがリンクにより自動的に追加されます。ユーザーに電子メールを送信します。

   ユーザーがインストールを開始するリンクをクリックします。プログラムは、入力済みの正しいキーコードを使用してバックグラウンドでインストールを実行します。プロセスが完了すると、エンドポイントのシステムトレイにウェブルートのアイコンが表示されます。

実行可能ファイルの名前を変更してバックグラウンドでインストールを実行するには

キーコードを含む実行可能ファイルの名前を変更して SecureAnywhere を配備することができます。この方法は、独自の配備ツールを使用することを計画している場合や、MSI コマンドを使用せずにバックグラウンドでインストールを実行することが望ましい場合に適しています。前述の電子メールテンプレートを使用することもできます。その場合、名前を変更したインストーラーをキーコードに含めるようあらかじめ設定されています。

注意: UAC (ユーザーアカウント制御) 環境では、インストーラーの実行に使用するアカウントにローカルの管理者権限が必要です。エンドユーザーに対して UAC プロンプトが表示されないようにするには、UAC 環境で上級権限を持つプロセスからインストーラーを実行する必要があります。

1. エンドポイントで、以下の SecureAnywhere のインストーラーファイルをダウンロードします。

   http://anywhere.webrootcloudav.com/zerol/wsasme.exe

2. インストーラーファイル名の wsasme の部分をキーコードに置き換えます。

   ファイル名は XXXX-XXXX-XXXX-XXXX-XXXX.exe という形式になります。

3. 独自の配備ツールを使用して SecureAnywhere ソフトウェアをエンドポイントにインストールします。

コマンドラインからバックグラウンドでインストールを実行するには

1. エンドポイントで、以下の SecureAnywhere のインストーラーファイルをダウンロードします。

   http://anywhere.webrootcloudav.com/zerol/wsasme.exe

2. 以下の表に記載されているコマンドオプションを使用して、コマンドラインからインストーラーを実行します。他にも利用できるオプションがあります。詳細については、 ウェブルート法人向けサポートまでお問い合わせください。

   Windows のコマンドラインオプション

   コマンドライン	説明
   /key=keycode	指定されたキーコードを使用してインストールします。ハイフンは入力しなくても構いません。 例: wsasme.exe /key=xxxx-xxxx-xxxx-xxxx-xxxx
   /silent	バックグラウンドでインストールします。
   /nostart	SecureAnywhere を起動せずにインストールします。
   /lockautouninstall=password	指定したパスワードを使用して SecureAnywhere を自動アンインストールできます。このオプションは、SecureAnywhere をバックグラウンドでアンインストールする必要が生じた場合に適しています。 アンインストールを実行するには、/autouninstall コマンドを使用します。 /lockautouninstall を使用する場合、コントロールパネルの [プログラムの追加と削除] に SecureAnywhere は表示されません。SecureAnywhere を [プログラムの追加と削除] に含めるには、/exeshowaddremove を使用します。
   /autouninstall=password	/lockautouninstall に対応するコマンドです。例: wsasme.exe/autouninstall=password デフォルトでは、非管理モードでユーザーがソフトウェアを削除できないようにするため、コントロールパネルの [プログラムの追加と削除] には SecureAnywhere は表示されません。
   -clone	クローン化したマシン / VM に対して使用します。ポータルで表示するマシン ID および PC のホスト名を変更するための、永続的な一意の値をエージェントが PC 上で作成できるようにします。 製品ログでは、管理者が対象の PC を認識できるよう、このフラグが示されます。たとえば、"適用された一意のマシン ID: C8137921" の場合、C8137921 はホスト名 (例: PCHOSTNAME-C8137921) に一致し、InstanceMID と DeviceMID の最初の 8 バイトに対応します。これにより、それぞれが元の ID とは異なる、特定可能な値となります。 この値は、エージェントがアンインストール / 再インストールされた場合に、既存のエージェントが他の ID に移動することがないよう保持されます。OS が再インストールされると、ID は変更されます。 例: wsasme.exe /key=xxxx-xxxx-xxxx-xxxx-xxxx /silent -clone 注意: InstanceMID が一致することによりコンソールまたはエンドポイントで重複が発生する場合に使用し、各ポーリング間隔でエンドポイントを置き換えます。
   /exeshowaddremove	SecureAnywhere をコントロールパネルの [プログラムの追加と削除] に表示します。 例: wsasme.exe /key=xxxx-xxxx-xxxx-xxxx /lockautouninstall=password/exeshowaddremove 注意: SecureAnywhere を [プログラムの追加と削除] に表示すると、非管理モードでエンドポイントユーザーがソフトウェアを削除できるようになります。
   /group=groupcode	グループに直接配備するコマンドラインスイッチです。 例: wsasme.exe /key=xxxxxxxxx /group=-135260017840748808 /silent エンドポイントを特定のグループに割り当てるには、エンドポイントを追加するグループを選択し、[アクション] ドロップダウンメニューで [このグループにエンドポイントを配備] を選択します。GROUPCODE をメモしておきます。 その他の要件: グループがコンソールに既に存在している必要があります。 コンソールで確認されたことのないシステムでの新規インストールについてのみ使用できます。 コマンドラインの例: msiexec /i "C:\wsasme.msi" GUILIC="XXXX-XXXX-XXXX-XXXX" CMDLINE="SME,quiet,Group=-135260017840748808" /qn /l*v %windir%\wsa_install_log.txt MSI のインストールの場合は、コマンドラインと MSI エディタを使用できます。 MSI エディタの場合の CMDLINE フィールドの例: Group=-135260017840748808
   -proxyhost=X -proxyport=X -proxyuser=X -proxypass=X -proxyauth=#	プロキシ設定を指定します。 注意: エンドポイントがプロキシサーバーを使用して接続する場合、SecureAnywhere は自動的にプロキシ設定を検出します。SecureAnywhere は、エンドポイントの再起動時および 15 分おきにプロキシ設定に対する変更をチェックします。プロキシ設定については自動検出を使用することをお勧めしますが、コマンドラインオプションを使用することも可能です。 プロキシのサポートを有効にするには、以下のコマンドラインオプションを使用します。wsasme.exe -proxyhost=nn.nn.nn.nn -proxyauth=n (where n can be 0=Any, 1=Basic, 2=Digest, 3=Negotiate, 4=NTLM) -proxyuser=proxyuser -proxypass=password -proxyport=port_number -proxyauth には、0 (Any) ではなく別の数値を使用することをお勧めします。Any オプションでは、エンドポイントがすべての認証タイプを検索する必要があります。このため、プロキシサーバー上で不要なエラーや通信の遅延が発生することがあります。 このコマンドラインオプションを使用する場合は、すべてのパラメータを使用し、不要なパラメータについては値を入力せずに二重引用符のみを入力してください (例: proxypass=""
   /lang=LanguageCode	デフォルト言語の検出を許可する代わりに、製品に対して使用する言語を指定します。コードは以下のとおりです。 en - 英語 ja - 日本語 es - スペイン語 fr - フランス語 de - ドイツ語 it - イタリア語 nl - オランダ語 ko - 韓国語 zh-cn - 簡体字中国語 pt - ポルトガル語 (ブラジル) ru - ロシア語 tr - トルコ語 zh-tw - 繁体字中国語 例: wsasme.exe /key=xxxxxxxxxxxx /silent /lang=ru

   Mac のコマンドライン

   コマンドライン	説明
   -silent	サイレントモードでインストールされます。 sudo "/Applications/Webroot SecureAnywhere.app/Contents/MacOS/Webroot SecureAnywhere" install -keycode=<keycode> -silent
   -proxy_auth= -proxy_host= -proxy_port= -proxy_user= -proxy_pass=	認証方式、ホスト、ポート、ユーザー、パスワードを含むプロキシのインストール引数を指定します。 auth_any_0 auth_basic_1 auth_digest_2 auth_negociate_3 auth_ntlm_4 open "/Applications/Webroot SecureAnywhere.app" --args install -keycode=<keycode> -proxy_auth=auth_any_0 -proxy_host=<host> -proxy_port=<port> -proxy_user=<user> -proxy_pass=<password>
   -keycode=	インストールでキーコードが要求されません。 open "/Applications/Webroot SecureAnywhere.app" --args install -keycode=<keycode>
   -language=	指定された言語でインストールします。 open "/Applications/Webroot SecureAnywhere.app" --args install -language=en 注意: 言語の一覧は今後追加予定です。
   文字列全体	sudo "/Applications/Webroot SecureAnywhere.app/Contents/MacOS/Webroot SecureAnywhere" install -keycode=XXXX-XXXX-XXXX-XXXX-XXXX -language=en –silent -proxy_auth=auth_basic_1 -proxy_host=proxy.proxy.com -proxy_port=8080 -proxy_user=proxyuser.com -proxy_pass=proxypass

 

MSI 配備オプションの使用

Microsoft インストーラー (MSI) を使用したインストールでは、エンドポイントプロテクションのインストールモードをアクティブにするキーコードおよびオプションを適用するために、インストール中にコマンドが必要となります。MSI インストーラーはデフォルトでは対話型であり、バックグラウンドで自動インストールを実行するには、msiexec.exe のオプション "/qn" を必要とします。

MSI コマンドの例:

msiexec /i wsasme.msi GUILIC=licensekey CMDLINE=SME,quiet /qn /l*v install.log

注意: UAC (ユーザーアカウント制御) 環境では、インストーラーの実行に使用するアカウントにローカルの管理者権限が必要です。エンドポイントのユーザーに対して UAC プロンプトが表示されないようにするには、UAC 環境で上級権限を持つプロセスからインストーラーを実行する必要があります。

後で SecureAnywhere を削除するには

SecureAnywhere ソフトウェアを後でエンドポイントから削除する必要がある場合は、次の標準の MSI コマンドを使用します。

msiexec /x wsasme.msi /qn /L*v uninstall.log

MSI エディタを使用するには

自分で SecureAnywhere ソフトウェアをエンドポイントに配備する場合は、以下の表のコマンドをインストール中に msiexec.exe に渡すことができます。

コマンド	説明
CMDLINE	SME,quiet
GUILIC	ライセンスキー。ハイフンの入力は必須ではありません。 注意: キーコードを入力しなくてもインストールは続行されますが、エンドポイントにキーコードが関連付けられないためエンドポイントは保護されません。キーコードなしでインストールする場合、ソフトウェアをアンインストールしてから再インストールしてキーコードを追加する必要があります。
ARPNOREMOVE	エンドユーザーがアンインストールできないようにします。

ORCA などの MSI エディタを使用して、これらのコマンドを直接変更することもできます。

• [プロパティ] テーブルで CMDLINE のプロパティを適切な値に設定します。
• [プロパティ] テーブルで GUILIC のプロパティを使用するキーコードに設定します。
• [プロパティ] テーブルで ARPNOREMOVE のプロパティを適切な値に設定します。

GPO 配備オプションの使用

GPO を使用して SecureAnywhere をインストールするには、Microsoft の Active Directory および GPO エディタに関する知識が必要です。

また、GPO の使用方法に関するビデオ「How to Deploy Using Group Policy - SecureAnywhere Business」 (英語版) も参照してください。

GPO を使用して SecureAnywhere をインストールするには

1. 以下の場所から、SecureAnywhere MSI インストーラーをネットワーク共有にダウンロードします。

   http://anywhere.webrootcloudav.com/zerol/wsasme.msi

   ファイルをダウンロードし、SecureAnywhere を配備するすべてのエンドポイントからアクセスできるようにします。

2. 配備グループのドメインコントローラーとなるサーバーに移動します。
3. ドメインコントローラー上の GPO エディタを開いて、配備グループのポリシーを作成します。
4. グループポリシーを作成する組織単位に属するすべてのエンドポイントに SecureAnywhere を割り当てます。

   グループ内のエンドポイントを再起動すると、SecureAnywhere がインストールされます。

インストーラーのオプション

WSA エージェントには、EXE と MSI の 2 つの形式のインストーラーが用意されており、どちらも WSA コンソールの [リソース] タブにあります。

• EXE - EXE ファイル形式は、汎用 EXE ファイル wsasme.exe を使用するか、WSA キーコードを使用して名前が変更された EXE ファイルである Windows ダウンロードリンクを実行してダウンロード、インストールすることができます。後者は実行するとインストールプロセスにキーコードを埋め込み、操作のいらないサイレントインストールとして実行されます。
• MSI - MSI 形式は、「MSI を使用してインストール」セクションにある wsasme.msi リンクを利用してダウンロードすることができます。MSI は、GUILIC プロパティのキーコードや CMDLINE プロパティのコマンドラインオプションを含むインストールをカスタマイズするために編集することができ、GPO を使用して配備できます。

ターミナル (RDS) サーバーおよび Citrix XenApp へのインストール

ターミナルサーバー (RDS サーバー) あるいはデスクトップ / セッションブローカーまたはホスト共有デスクトップ用 Citrix XenApp にインストールすると、WSA エージェントが、セッション間でカーネルモジュールを共有することにより環境を保護し、それぞれにユーザープロセスを提供します。ウェブルート管理コンソールが、ホストサーバーと各セッションを組み合わせ、レポートおよび管理用に単一のエントリまたはデバイスとして表示します。WSA エージェントは、アプリケーションの仮想化を経由したストリーミングに対応していません。

複製イメージまたは VM へのインストール

Webroot SecureAnywhere Business Endpoint Protection がインストールされると、ホスト名、SID、MAC アドレスなど、さまざまなハードウェアおよびソフトウェアのデータポイントから "マシン ID" が生成されます。エンドポイントイメージが "Sysprep (システム準備)" されることなく再利用される、または VM がマスターイメージからコピーまたはプロビジョニングされ、配備やプロビジョニングの一環として Sysprep されない仮想環境にある場合、エンドポイントは同じ "マシン ID" を使用してコンソールに報告し、同じポジションを奪い合うことになるか、ウェブルート管理コンソール内に複製が生成される可能性があります。

ウェブルート管理コンソールでこの事態が発生した場合、影響を受けたエンドポイントから Webroot SecureAnywhere Business Endpoint Protection をアンインストールしてください。構成ファイルが残らないように %PROGRAMDATA% にある"WRDATA" フォルダを削除するか名前を変更して、コマンドラインオプション "uniquedevice" で再インストールします。

例:

実行可能ファイルを使用した方法

“wsasme.exe /key=xxxx-xxxx-xxxx-xxxx-xxxx /silent –uniquedevice”

MSI を使用した方法

CMDLINE

-uniquedevice

これにより、SecureAnywhere がホスト名のチェックサムを取得して "マシン ID" を変更し、システムに対して一意の ID を作成します。これは、マシンの OS やハードウェアがクローンされ、ホスト名が常に異なる場合に便利です。この場合、一意のホスト名により、ウェブルート管理コンソールへの報告用に、デバイスの一意のインスタンスを存在させることが可能になります。ホスト名はそのまま残るため、OS 内で存在するとおりにコンソールに報告されます。

この理由から、まず最初に Sysprep されることなくコピーされるイメージ、またはプロビジョニングに使用されるイメージへの Webroot SecureAnywhere Business Endpoint Protection のインストールは推奨されません。非永続 VM 環境を含むほとんどの仮想環境では、グループポリシーやログオンスクリプトなどを使用して VM を配備してから、Webroot SecureAnywhere Business Endpoint Protection をインストールする必要があります。

配備内でホスト名が一意ではない場合、"clone" インストールスイッチを使用してください。例:

実行可能ファイルを使用した方法

“wsasme.exe /key=xxxx-xxxx-xxxx-xxxx-xxxx /silent –clone”

MSI を使用した方法

CMDLINE

-clone

これによりレジストリキーが作成され、HKLM\System\CurrentControlSet\Control\CloneTimeStampFlags

これを使用して、ポータルで表示するマシン ID および PC のホスト名を変更するための、永続的な一意の値をエージェントが PC 上で作成できるようにします。

スキャンログでは、管理者が対象の PC を認識できるよう、次のようなフラグが示されます。

"適用された一意のマシン ID: C8137921"

C8137921 はウェブルート管理コンソールに報告されたホスト名に一致します (例: PCHOSTNAME-C8137921 など)。この値は、エージェントがアンインストール / 再インストールされた場合に、既存のエージェントが他の ID に移動することがないよう保持されます。OS が再インストールされると、ID は変更されます。

Citrix 環境内での配備方法に関する詳細については、次のドキュメントを参照してください。

http://download.webroot.com/Citrix/Citrix.pdf

---