インストールとデプロイメント

技術的前提条件

  1. Harmony Endpoint Management Platformサービスが登録および起動している:
    Check Point Infinity Portal

    (EU、米国、アラブ首長国連邦など)。

  2. 期待される機能ごとに適切なEVALライセンスがテナントに付与されている(例: Harmony Endpoint Eliteにはポスチャー管理、DLP、Infinity XDR/XPRが含まれる)。

  3. Harmony Endpointクライアントがあり、管理ポータルと通信している。参照: 接続要件

  4. アンチマルウェア ブレードが有効かつ最新のシグネチャに更新されている。

    • サードパーティのAVエンジンは完全に無効化またはアンインストールされている。Endpoint Securityクライアントのアンチマルウェア機能と他のサードパーティ製アンチウイルスソリューションの並行インストールはサポートされていません。詳細はsk162735を参照。

    • Windowsワークステーション(ラップトップおよびデスクトップ)では、アンチマルウェア機能を備えたHarmony Endpoint Securityクライアントを導入すると、Windows Defenderが自動的にパッシブモードまたは無効モードに設定されます。sk181318を参照してください。

      Windows Security Centerでそのステータスを確認することができ、そのマシンのアンチウイルスとしてHarmony Endpointが明示的にリストされているはずです。

    • Windowsサーバーでは、Windows Security Center Service(wscsvc)がないため、Windows Defenderを手動でアンインストールする必要があります。sk159373を参照してください。

  5. ログは、Logsタブを介して生成、モニタします。

  6. ブラウザ拡張機能が有効で、対応ブラウザ(Microsoft Edge、Chrome、Firefox、Safari、Brave)で動作していること。

接続要件

URLとポート

  1. クライアントとエンドポイント管理テナントプラットフォーム間のポート443を介したアウトバウンドネットワーク接続。

  2. クライアントは、sk116590あたり、インターネットに中断なくアクセスできなければならない。宛先FQDNによる明示的な許可ルールとHTTPS復号の除外を、顧客のファイアウォールおよびプロキシに設定する必要がある。

  3. 接続性の検証には、接続性テスト実行スクリプトがクライアント上の次の場所に用意されています:

    C:\Program Files (x86)\CheckPoint\Endpoint Security\Endpoint Common\bin\CheckConnectivity.exe

プロキシ、半絶縁環境、スーパーノード

必要に応じて、Client Settingsポリシー > General settingsで認証済みプロキシを設定できます。顧客はサービスアカウントを作成し、Harmony Endpointポリシーでその認証情報を指定できます。

スーパーノードは、specially configured Endpoint Security Clientを実行するWindowsマシンで、アップデートとクライアントプロキシサービスも提供します。デフォルトではポートTCP/4434とポートTCP/3128で待機します。スーパーノードは(NGNIXベースの)軽量なプロキシで、管理者はネットワーク帯域幅の消費を抑え、スーパーノードだけが管理サーバと更新サーバへの接続を必要とするオフライン更新を可能にします。

A diagram of a network AI-generated content may be incorrect.

- 推奨サイズ

1000の同時クライアントセッションごとに、4つのCPUコアと32GBのRAM。

プラットフォーム固有のサポートと除外

VDIとターミナルサーバ

Windowsサーバー

ルールベース

サーバーはワークステーションよりも複雑なエンドポイントであり、異なる扱いが要求されます。以下の例のように、サーバーのロールごとに異なるルールを作成します:

A screenshot of a computer program Description automatically generated

DC、Exchangeサーバー、RASサーバー、IASサーバーなどには個別のルールがあります。

注 - 単一のポリシーをすべてのサーバーに適用しないでください。不要な除外を作り、不必要なパフォーマンス低下を引き起こす可能性があります。

  • サーバの最適化

    サーバの最適化をオンにし、パフォーマンスを最適化するために関連するロールを追加します。sk179816を参照してください。

    • ほとんどのサーバでは、メディア保護、ディスク暗号化、VPNクライアントは必要ありません。Software Deploymentポリシーの元で、そういったエンジンのインストールは避けることを推奨します。

    • エンドポイントファイアウォールは、マイクロセグメンテーションを実装し、マシンの自己分離を可能にするために導入することができます。ただし、エンドポイントファイアウォール機能をMicrosoftフェイルオーバークラスタに導入しないでください。sk169192を参照してください。

    • ほとんどのサーバでブラウザ保護(URLF、ダウンロード保護、Zゼロフィッシング)を安全に無効にすることができます(ユーザによるインターネットアクセスに使用されるターミナルサーバを除く)。

  • 除外

    すべてのゼロデイ製品は、正しく機能するために除外設定が必要です。

    • Using Smart Exclusions

    • ログの実際のイベントに基づいて除外を作成します:

      1. 除外するログを右クリックします。

      2. すべてのルールの除外を作成するか、有効なルールを作成するかを選択します。

    • Harmony Endpointと同時に動作する別のセキュリティ製品(サードパーティのDLPやVPNクライアントなど)がある場合は、相互除外を設定することを推奨します。

    • 信頼できるサードパーティセキュリティソフトウェアは、ソフトウェア開発者の証明書CNによって、サポートされるすべての機能から除外することができます(ベンダーの実行ファイルのプロパティを参照)。

    • フォレンジックモニタリングでの除外は慎重に行います。フォレンジックモニタリングの除外は、パフォーマンスへの影響を軽減するのに役立ちますが、関連するプロセス操作が記録されず、フォレンジックレポートや脅威ハンティングで見落とされることになります。

    • Windows上のHarmony Endpointプロセスおよびインフラストラクチャは、Check Pointの署名者証明書CN(Harmony Endpoint実行ファイルのプロパティを参照)および/または以下のディレクトリによって除外できます:

      • C:\Program Files (x86)\CheckPoint\Endpoint Security\

      • C:\ProgramData\CheckPoint\Endpoint Security\

      • *:\HarmonyBackup\

        ワイルドカード「*」は、システムがすべてのディスク容量と外部メディアにアンチランサムウェアバックアップフォルダを作成することを示します。

OSサポート

Harmony EndpointのOSごとの機能(ブレード)のリストについては、sk169996を参照してください。

オンボーディングとデプロイメント

Harmony Endpointのデプロイメントは、ライセンス、特定のニーズ、およびハードウェアリソースに基づいて、組織によって異なります。Harmony Endpointのインストールと配布にはさまざまな方法があります。

POC(パイロット)グループ

環境によってニーズも異なります。そのため、Harmony Endpointは顧客の環境に合わせ、環境ごとに異なる設定を行う必要があります。

まず、デプロイメントを実行するために使用するデバイスの事前選択されたグループであるPOC(パイロット)グループを作成します。パイロットグループでは、カスタマイズと微調整を行います。すべての設定と環境調整が終わったら、次のステップに進みます。

POCグループには、各部門/ユーザのロールごとに1台のデバイスを含めます(R&D、経理、ITなどから1台ずつ)。これは、Harmony Endpointはすべての異なる動作に対応する必要があるためです。POCでITデバイスのみを使用する場合、Harmony Endpointのポリシーと除外は各部署にカスタマイズおよび調整されないため、回避可能な問題が発生する可能性があります。

しかし、サーバはワークステーションとは異なる扱いを受ける必要があります。したがって、サーバをロール(Exchange、DC)ごとに指定されたPOCグループに分類します。Harmony Endpoint Securityクライアントは、本番環境の前にテストサーバファームに展開することを推奨します。

デプロイメントの順序

- ADスキャナ、スーパーノード、およびリモートデプロイメントエージェントのロールは、24時間365日稼働し、顧客のマシンを保護する他のHarmony Endpointクライアントにサービスを提供する専用仮想マシンのペアで組み合わせることができます。

オンボーディング

オンボーディンググループには2種類あります。

  1. ステージング/パイロットグループは、パイロットマシンに適用される初期ポリシーで使用すべきです。

  2. Entire Organization Group(組織全体グループ)には、本番環境の残りのマシンが含まれます。

ここでは、特定の動作をするデバイスでHarmony Endpointをテストし、その動作に基づいて製品を調整します。準備ができたら、同じ動作をする他のデバイスに展開します。

- 各サーバのロールには、それぞれ固有の動作、利用するサービス、必要なアクセスがあるため、独自のパイロットグループと構成ポリシーが必要です。

Tiny Agent(別名イニシャルクライアント)によるデプロイメントとエクスポートパッケージの比較

インストールパッケージは2種類あります:

  • Tiny Agent

  • エクスポートしたパッケージ

- Tiny Agentとエクスポートしたパッケージの両方が、仮想グループへの事前割り当てをサポートしています。

これは、AD/Entra-ID組織構造の良いアドオンまたは代替です。

空の仮想グループを作成し、ダウンロードしたインストールパッケージに割り当てることで、マシングループを適切に整理し、脅威防御およびソフトウェアデプロイメントポリシーで使用することができます。

複数の仮想グループがある場合、同じインストールパッケージを異なる仮想グループに割り当てながら複数回エクスポートできます。

このため、Harmony Endpointクライアントが導入されると、事前に割り当てられた関連する仮想グループに自動的に参加し、関連するポリシールールの適用が開始されます。

Tiny Agent (別名イニシャルクライアント)

インストールファイルは軽量で(1MB未満)、イニシャルクライアントのみが含まれます(その他の機能は含まれていません)。

クライアントがインストールされ、Managementとの接続が確立されると、システムはManagementからクライアント側にエンジンをダウンロードし、インストールします。

推奨するケース

  • 複数のテストマシンでPOCを実施。

  • 新規作成およびローミングのワークステーション(デスクトップ/ノートパソコン/BYOD)。

推奨しないケース

  • オフィスやデータセンターへの大規模導入。過剰な帯域幅の消費を避けるため、完全なエクスポートパッケージを選択する場合。

  • センシティブ/ビジネスクリティカルなマシン(サーバ、Cレベルデバイス、データセンター)。

  • 半絶縁およびエアギャップ環境。

ダウンロード:

  1. Harmony Endpoint Administrator Portal にアクセスし、次のいずれかを実行します:

    • Overview タブで、Unified Dashboardに進みDownload Endpointをクリックします。

    • Policy >Software Deployment にアクセスします。

  2. Downloadをクリックします。

    以下の画面が表示されます。

  3. 1つ選択します:

    • このデバイスにイニシャルクライアントをダウンロードするには

    • ダウンロードリンクをコピーするには

    • インストーラーリンクをメールで送信するには

    - ソフトウェアのデプロイメントセクションで使用しているのと同じバージョンを選択してください。

完全なエクスポートされたパッケージ

カスタマイズ可能なエージェントのインストールファイルです。インストールファイルに含める機能を選択できます。初期パッケージとは異なり、ネットワーク接続に依存することなく完全にインストールされます。インストールファイルのサイズは数百メガバイトです。

推奨ケース

  • GPO、SCCM、UEM(Microsoft Intune、VMware Workspace One、JAMF)経由でオフィスやデータセンターに大規模ロールアウトする場合。

  • センシティブ/ビジネスクリティカルなマシン(サーバ、Cレベルデバイス、データセンター)。

  • クライアント設定ポリシーをインストールパッケージに含める必要がある場合、半絶縁環境およびエアギャップ環境。

ダウンロード:

  1. Harmony Endpoint Administrator Portalにアクセスします。

  2. Policy >Export Package >Endpoint Clientに移動します。

  3. +をクリックして、カスタムインストールパッケージの作成を開始します。

  4. 名前、OS、バージョンを選択します。

    - ソフトウェアのデプロイメントと同じバージョンを選択します。

  5. インストールする機能を選択します。

  6. (オプション)仮想グループ(AD/Entra-ID org.構造では不十分な場合に推奨)とVPNサイト(Check Point Quantum ゲートウェイ アドレス)を追加します。

    A screenshot of a computer AI-generated content may be incorrect.

  7. Minimize package sizeチェックボックスを選択すると、AVシグネチャを含む冗長なコンポーネントが削除され、インストールパッケージのサイズが最小化されます。

  8. General settingsでは、ATMなどの無人機のEndpoint Securityクライアントの ユーザインタフェースを無効にします。低スペックのマシンではCPUとRAMを節約できます。sk133174を参照してください。

  9. Dependencies settingsで、必要なコンポーネントを選択します:

    • .NET Framework 4.8 Installer (111 MB) - .NETがインストールされていないWindows 7コンピュータに対して推奨します。最新のWindows 10/11では不要です。

    • 32ビット対応(40MB) - 32ビットコンピュータを推奨。

    • Visual Studio Tools for Office Runtime 10.050903 (40 MB) - Capsule Docsのみ。

    • FDE Smart preboot (190MB) - ワンタイムネットワークログオンによるEasy Unlock機能を有効にします。FDE機能が備えられている場合のみ必要。

  10. Anti-Malware settingsで、パッケージに含める署名を選択します。

    A screenshot of a software AI-generated content may be incorrect.

  11. Finishをクリックします。

これでインストールファイルの準備が整いました。オプションで、EXEをMSIに変換することも可能です。

ADとEntra-IDの統合

『Harmony Endpoint EPMaaS Administration Guide』のDirectory Scannerページを参照してください()。

Microsoft Intune UEM経由のデプロイメント

Deploying Harmony Endpoint Using Microsoft Intuneを参照してください。