タスク

1. サーバへのインストールが推奨されているすべてのアップデート、パッチ、サービス パック、ホット フィックス、およびセキュリティ ソフトウェアを探して、インストーラ アプリケーションを編成します。

2. アップグレードが入手可能な場合は、サーバ BIOS をアップグレードします。

3. シスコでは、Security Manager サーバーに他の製品をインストールしないことを推奨しています。

他の目的に使用しているサーバー上に Security Manager をインストールする場合は、すべての重要なサーバーデータをバックアップしてから、ブート CD または DVD を使用してサーバーからすべてのデータをワイプします。

Security Manager 4.24 と 4.2.2 以前のリリースの Common Services を 1 台のサーバー上にインストールまたは共存させることはできません。また、このマニュアルまたは http://www.cisco.com/go/csmanager に明記されていない場合は、サードパーティソフトウェアまたはその他のシスコソフトウェアと共存させることもできません。

4. Security Manager は複数のネットワーク インターフェイスカードを持つことができますが、ロードバランシングのために複数の NIC をチーミングすることは推奨されません。

5. サーバ管理用のメーカー カスタマイズが施されていないベースライン サーバ OS のみのクリーン インストールを実行します。

6. ターゲット サーバ上に必要なすべての OS サービス パックと OS パッチをインストールします。使用している Windows バージョンに関してどのサービスパックまたはアップデートが必要なのかをチェックするには、[スタート（Start）] > [実行（Run）] を選択してから、wupdmgr と入力します。

7. ドライバとファームウェアに関して推奨されているすべてのアップデートをターゲット サーバにインストールします。

8. システム上でマルウェアをスキャンします。ターゲット サーバとその OS をセキュリティで保護するには、システム上でウイルス、トロイの木馬、スパイウェア、キーロガー、およびその他のマルウェアをスキャンしてから、見つかったすべての関連問題に対処します。

9. セキュリティ製品の競合を解消します。ポップアップ ブロック、アンチウイルス スキャナ、他社の同等製品などのセキュリティ ツールに関する既知の非互換性または制約事項を理解して解決します。このような製品の競合や相互作用を理解するに当たって、インストール、アンインストール、または一時的にディセーブルにするものを決定し、従うべき順序を考慮します。

10. 内部ユーザーアカウントの「強化」ターゲット サーバを総当たり攻撃から保護するには、ゲスト ユーザ アカウントをディセーブルにして、管理者ユーザ アカウントの名前を変更し、管理環境内の悪用される可能性のあるその他のユーザ アカウントを削除します。

11. 管理者ユーザ アカウントと残りのユーザ アカウントに対して強力なパスワードを使用します。強力なパスワードは、8 文字以上で構成され、数字、文字（大文字と小文字の両方）、および記号が含まれています。

12. 未使用のアプリケーション、不必要なアプリケーション、および互換性のないアプリケーションを削除します。次に例を示します。

1. Microsoft Internet Information Server（IIS）は Security Manager と互換性がありません。IIS がインストールされている場合は、それをアンインストールしてから Security Manager をインストールする必要があります。

2. このマニュアルまたは http://www.cisco.com/go/csmanager [英語] に明記されていなければ、Security Manager とサードパーティソフトウェアまたはその他のシスコソフトウェア（LAN Management Solution（LMS）などの CiscoWorks ブランドの「ソリューション」または「バンドル」を含む）の共存がサポートされません。

3. 1 台のサーバー上で、このバージョンの Security Manager と 4.2.2 以前のリリースの Common Services をインストールまたは共存させることはできません。

4. 1 台のサーバー上で、Security Manager と Security Manager の購入時に受領したものではない CD-ONE コンポーネント（CiscoView Device Manager を含む）を共存させることはできません。

5. 同じサーバ上での Security Manager と Cisco Secure ACS for Windows の共存はサポートされていません。

13. 未使用のサービスと不必要なサービスをディセーブルにします。Windows では、少なくとも、DNS クライアント、イベント ログ、プラグ アンド プレイ、保護された記憶域、およびセキュリティ アカウント マネージャを実行する必要があります。

ソフトウェアとハードウェアのマニュアルをチェックして、特定のサーバでその他のサービスが必要ないかどうかを確認します。

14. TCP と UDP を除くすべてのネットワーク プロトコルをディセーブルにします。どのプロトコルもサーバへのアクセス権の取得に使用される可能性があります。ネットワーク プロトコルを制限することによって、サーバへのアクセス ポイントが制限されます。

15. ネットワーク共有は作成しないでください。ネットワーク共有を作成しなければならない場合は、共有リソースを強力なパスワードで保護してください。

1. サーバ ブート設定を構成します。起動時間を 0 秒に設定して、Windows をデフォルトでロードするように設定し、システム障害発生時の自動リブートをイネーブルにします。

準備状況要因

1. 一時的にセキュリティ アプリケーションをディセーブルにします。たとえば、Security Manager をインストールする前に、ターゲットサーバー上のウイルス対策ソフトウェアを一時的にディセーブルにする必要があります。これらのプログラムがアクティブの間はインストールを実行できません。

2. サーバに適用する日付と時刻の設定は慎重に検討してください。NTP サーバを使用して、サーバの日付と時刻の設定と管理対象デバイスの日付と時刻の設定を同期させる方法が理想的です。また、Security Manager を Cisco Security Monitoring, Analysis, and Response System（Cisco Security MARS）アプライアンスと組み合わせて使用する場合は、使用する NTP サーバを Cisco Security MARS アプライアンスが使用するサーバと同じにする必要があります。ネットワーク上で発生したものを正確に再構成するためにはタイムスタンプ情報が不可欠なため、特に、Cisco Security MARS で同期化された時間が重要です。

3. 必要なサービスとポートがイネーブルになっており、Security Manager から使用可能なことを確認します。Security Manager は、内部動作に事前定義されたダイナミックポートを使用します。これらのポートはポートスキャナによってブロックされる可能性があり、Security Manager はこれらのプロセスを実行できません。したがって、Qualys などのポートスキャナは有効にしないでください。有効にすると、Security Manager プロセスのクラッシュの問題が発生し、Security Manager の完全な再インストールが必要になる可能性があります。必要なサービスとポートを参照してください。

4. Terminal Services がアプリケーション モードでイネーブルになっている場合は、Terminal Services をディセーブルにして、サーバをリブートします。Terminal Services がアプリケーション モードでイネーブルになっているサーバ上に Security Manager をインストールできません。リモート管理モードでイネーブルにされた Terminal Services はサポートされます。

Terminal Services がアプリケーションモードでイネーブルになっているターゲットサーバーに Security Manager をインストールしようとすると、エラーでインストールが終了します。

5. 実行中のドメイン コントローラ サービス（プライマリまたはバックアップ）をディセーブルにします。

6. インストールのターゲット ディレクトリが暗号化されていないことを確認します。暗号化されたディレクトリに Security Manager をインストールしようとすると失敗します。

7. フレッシュインストールを実行している場合は、インストールの前にライセンスファイルをターゲットサーバーに配置する必要があります。インストール中にこのファイルの選択が要求されます。

8. インストールされている IIS をアンインストールします。IIS は Security Manager と互換性がありません。

9. 存在する場合の Cisco Secure ACS for Windows を含めて、サーバー上のすべてのアクティブな Maria インスタンスをディセーブルにします。Security Manager のインストール後に Maria を再イネーブルするか、再起動するかを選択できますが、同じサーバー上での Security Manager と Cisco Secure ACS for Windows の共存がサポートされていないことに注意してください。

10. Cisco Security Manager クライアントがすでにサーバ上にインストールされている場合は、そのクライアントを停止する必要があります。この状態はインストール中にチェックされます。

12. Internet Explorer Enhanced Security Configuration（IE ESC）をディセーブルにします。クライアントのダウンロードが IE ESC によって禁止されるため、この作業を行う必要があります。

手順

Security Manager のインストール準備をしているサーバ上で IE ESC をディセーブルにするには、次の手順を実行します。

1. Windows で、Server Manager を開きます。これを行うには、[コンピュータ（Computer）] を右クリックしてから、[管理（Manage）] をクリックします。

2. [セキュリティ情報（Security Information）] の下で、[IE ESCの設定（Configure IE ESC）] をクリックし、IE ESC を無効にします。

13. ポートスキャナソフトウェアを無効にします。Security Manager は、内部動作に事前定義されたダイナミックポートを使用します。ポートスキャナはこれらのポートをブロックする可能性があり、Security Manager はこれらのプロセスを実行できません。このため、Qualys などのポートスキャナを有効にしないでください。有効にすると、Security Manager プロセスのクラッシュが発生し、Security Manager の完全な再インストールが必要になる可能性があります。

14. CSM のインストールフォルダをインストール、アンインストール、または CSM の操作中に開くことはできません。