McAfee for Small Businesses

重要：

ePolicy Orchestrator (ePO) 4.x においてクライアントのアップデートリポジトリに UNC リポジトリを使用していない場合は、下記問題は該当致しません。

前提：

UNC 共有は、共有フォルダを作成するのにSMB プロトコルを利用します。 このプロトコルは、共有資源にアクセスできるユーザー名とパスワードを指定することを必要とします。 UNC 共有に格納されたアップデートファイルにエージェントがアクセス・ダウンロードする可能とするには、そのアカウント情報をエージェントの設定に落とし込む必要があり、ePO サーバーにおけるUNC リポジトリ設定においてダウンロード認証情報を指定することが必須となります。

概要：

リポジトリとしてのUNC共有の適切な使用方法を下記に記載いたします。

1. アカウントの認証情報が適切に設定されていることを確認する
   
   • UNCリポジトリに対する認証情報は、そのリポジトリが格納されているコンピュータのローカルで作成された独自のアカウントを使用すること
   　　
   • そのアカウントは必要が無ければAdministratorsやUsersなど、どのグループにも属さないこと
   　　
   • 共有のアクセスに使用するユーザー アカウントには利用可能な最低限の権限だけを設定すること
   　　
   • 半角の英字、数字、記号を組み合わせた8文字 〜 12文字のパスワードを使用すること。ランダムパスワードを生成するツールの利用も考慮すること。
2. 適切なUNC共有リポジトリの設定が行われていることを確認する
   
   • UNCリポジトリのアカウントは共有アクセス許可とUNCリポジトリに対して読み取り権限のみを付与されていること。
   　　
   • 管理者権限を有するアカウントであってもUNCリポジトリに対して書き込み権限を付与されていないこと。

補足：

• UNCリポジトリにアクセスするクライアント / サーバーをファイアウォールにより制御することを推奨いたします。
• UNCリポジトリにアクセスしたユーザーをアクセスログで監査することを推奨いたします。
• 定期的にUNCリポジトリのアカウントのパスワードを変更することを推奨いたしますが、パスワード変更によりePO サーバー上でUNCリポジトリのアカウント設定の変更が必要となります。
• UNC共有アクセス権を保有するアカウントとUNCリポジトリは使用しなくなった場合は無効もしくは削除するなどして使用不可とすることを強く推奨いたします。

掲載日　2011/02/02