概要
GFI LanGuard が動作するコンピューターは、正しく動作させるため、またパフォーマンス上の理由から、本記事で説明するシステム要件を満たしている必要があります。ハードウェア要件を無視した場合、パフォーマンスが低下したり、操作が失敗したり、アプリケーションが応答しなくなることがあります。
はじめに
以下の要件はすべて同様に重要です。展開する前に、サーバーがこれらの要件を満たしていることを確認してください。
説明
ハードウェア要件
GFI LanGuard をホストするコンピュータのハードウェア要件は、ネットワークのサイズによって異なります。ネットワークサイズに応じた最小スペックについては、以下の表を参照してください。
コンポーネント |
1 から 100台 |
100 から 500 台 |
500 から 3,000 台 |
---|---|---|---|
プロセッサ | 2 GHz Dual Core | 2.8 GHz Dual Core | 3 GHz Quad-Core |
物理ストレージ | 5 GB | 10 GB | 20 GB |
RAM | 2 GB | 4 GB | 8 GB |
ネットワーク帯域幅 | 1544 kbps | 1544 kbps | 1544 kbps |
注:GFI LanGuardで数千台のデバイスを管理することをお考えのお客様は、価格や適切な管理・導入に関する提案についてGFI営業部にお問い合わせいただくことをお勧めします。
ソフトウェア要件
GFI LanGuard コンポーネントは、このセクションに記載されているソフトウェア要件を満たすコンピュータにインストールできます。
対応オペレーティングシステム (32ビット/64ビット)
GFI LanGuard をインストールできるオペレーティングシステムとバージョンは、次の表のとおりです。これらのオペレーティング システムのフルバージョン (GUI 付き) を実行し、Microsoft が提供する最新のサービス パックを実行していることを確認してください。
オペレーティングシステム |
---|
Windows® サーバー 2019 |
Windows® サーバー 2016 |
Windows® サーバー 2012 (R2を含む) |
Windows® サーバー 2008 (R2を含む) スタンダード/エンタープライズ |
Windows® 10 プロフェショナル/エンタープライズ |
Windows® 8/8.1 プロフェショナル/エンタープライズ |
Windows® 7 プロフェショナル/エンタープライズ/ウルティメート |
Windows® Vista プロフェショナル/エンタープライズ/ウルティメート |
Windows® スモールビジネスサーバー 2011 |
GFI LanGuard を展開するサーバーに Microsoft .NET Framework 4.5.1 がインストールされている必要がありますが、展開時にインストールすることも可能です。
対応データベース
GFI LanGuard は、ネットワークセキュリティ監査と修復作業から得た情報を保存するために、データベースを使用します。データベースバックエンドは、以下のいずれかを使用できます。
データベース サーバー |
推奨される使用方法 |
---|---|
SQL Server Express® 2008 以降 | このデータベースサーバーは、10GBの制限があるため、500台までのコンピュータを含むネットワークに推奨されます。データベースサーバーが利用できない場合、GFI LanGuard インストーラーが自動的に Microsoft SQL Express インストーラーをダウンロードし、実行することができます。 |
SQL Server® 2008 以降 |
500台以上のコンピュータを含む大規模なネットワークにお勧めします。 |
データベースサーバーのパフォーマンスを向上させるために、SSDドライブを使用することを強く推奨します。SSDは、従来のハードディスクドライブと比較して、アクセス時間やレイテンシーが短く、優れた性能を発揮します。
GFI LanGuard と TLS 1.1 以降
TLS 1.1 以上が動作する環境に GFI LanGuard を導入する場合、GFI LanGuard をインストールするコンピューターで FIPS準拠のアルゴリズムを有効にする必要があります。
FIPS準拠のアルゴリズムを有効にするには以下を実行してください。
- スタート > ファイル名を指定して実行 で
gpedit.msc
と入力してください。 - コンピュータの構成 > Windowsの設定 > セキュリティの設定 > ローカルポリシーに移動してください。
- セキュリティオプション をダブルクリックしてください。
- 詳細ペインで、システム暗号:暗号化、ハッシュ化、および署名にFIPS準拠のアルゴリズムを使用するをダブルクリックしてください。
- 有効にチェックを入れ、OKをクリックしてください。
- コンピュータを再起動してください。
ターゲットコンピュータのコンポーネント
GFI LanGuard によるリモート スキャン (エージェントレス) を行うコンピュータにインストールまたは有効化する必要があるコンポーネントは以下の通りです。
コンポーネント | 説明 |
---|---|
セキュアシェル (SSH) | UNIX/Linux/Mac OSベースのスキャンターゲットに必要です。SSHサーバーがインストールされ、有効になっている必要があります。 |
ファイル・プリンター共有 | マイクロソフト社のOSが動作するマシンで、スキャン対象を列挙し、情報を収集するために必要です |
リモートレジストリ | Microsoft社のOSを使用しているマシンでは、このサービスが有効であり、実行されていることを確認してください。オペレーティング システムの詳細、ユーザーおよびコンピュータのデータなど、スキャン対象に関する情報を収集するために必要です。 |
ファイアウォールのポートおよびプロトコル
ファイアウォールのポートとプロトコルの必要な設定について説明します。
GFI LanGuardとリレーエージェント
LanGuard 11が動作しているコンピューターで、TCPポート1072(LanGuard 11の場合は1070)の受信接続を許可するように、ファイアウォールを設定してください。
- GFI LanGuard
- リレーエージェント
このポートは、GFI LanGuardのインストール時に統合Apacheサーバーに自動的にバインドされ、サーバーコンポーネントと監視対象コンピューター間のすべての受信通信に使用されています。
GFI LanGuard は、ポート 1072 が他のアプリケーションによって既に使用されていることを検出すると、自動的に 1072 ~ 1170 の範囲内で使用可能なポートを検索します。
通信ポートを手動で設定するには以下を実行してください。
- GFI LanGuard を起動してください。
- 設定 > エージェントの管理 を選択してください。
- 右ペインから、エージェントの設定をクリックしてください。
- TCP ポート テキストボックスで通信ポートを指定してください。
- OK をクリックして、変更を適用してください。
GFI LanGuard エージェントとエージェントレスコンピューター
GFI LanGuard と管理対象コンピューター(エージェントおよび エージェントレス)間の通信は、以下のポートおよびプロトコルを使用して行われます。管理対象コンピュータのファイアウォールは、以下のポートの受信リクエストを許可するように設定してください。
TCP/UDP ポート |
プロトコル | 説明 |
---|---|---|
22 | SSH | Linuxシステムの監査。 |
135 | DCOM | Microsoft EPMAP (End Point Mapper) は、DCOM 用の RPC ベースのサービスに動的に割り当てられるポートを提供します。 |
137 | NetBIOS | コンピュータの発見とリソースの共有。 |
138 | NetBIOS | コンピュータの発見とリソースの共有。 |
139 | NetBIOS | コンピュータの発見とリソースの共有。 |
161 | SNMP |
コンピュータの検出のために使用されます。GFI LanGuard は SNMPv1 と SNMPv2c をサポートします。 SNMPv3 および SNMP over TLS / DTLS はサポートされていません。 |
445 | SMB |
以下を実行中に使用されます。
|
注:Netstatユーティリティは、現在の接続とポートを表示するために使用することができます。
ゲートウェイの権限
GFI LanGuardは、定義とセキュリティの更新プログラムをダウンロードするために、HTTP経由でGFI、Microsoft、およびサードパーティの更新サーバーに接続します。GFI LanGuardがインストールされているマシンのファイアウォール設定が、次の接続を許可していることを確認してください。
- gfi-downloader-137146314.us-east-1.elb.amazonaws.com
- *software.gfi.com/lnsupdate/
- *.download.microsoft.com
- *.windowsupdate.com
- *.update.microsoft.com
- GFI LanGuard がサポートするサードパーティーベンダーのすべてのアップデートサーバー。
詳しくは、こちらをご参照ください。
アンチウイルスとバックアップの除外
アンチウイルスおよびバックアップソフトウェアは、一部のファイルへのアクセスを拒否されると、GFI LanGuardの誤動作を引き起こす可能性があります。
GFI LanGuard サーバー、エージェント、リレーエージェント、GFI LanGuard セントラルマネジメントサーバーにおいて、次のフォルダーをアンチウイルス&バックアップソフトウェアがスキャンまたはバックアップできないように除外項目を追加してください。
<system drive>\ProgramData\GFI\