Windows デバイスのスキャン要件
この記事では、Movere で Windows デバイスをスキャンするための要件について説明します。
サポートされている Windows オペレーティング システム
次の表は、Movere でスキャンできる Windows デバイスをまとめたものです。
| [デバイス] | 詳細 |
|---|---|
| Windows サーバー | Movere では、Windows Server 2000 以降を実行している Windows サーバーのインベントリを作成できます。 Movere は、Microsoft .NET 3.5 SP1 以降で Windows Server 2003 以降を実行している Windows サーバーから実際のリソース消費量データを収集できます。 |
| Windows ワークステーション | Movere では、Windows 2000 Pro 以降を実行している Windows ワークステーションのインベントリを作成できます。 Movere は、Windows ワークステーションから実際のリソース消費量データを収集しません。 |
| .NET Framework | .NET Framework は、スキャンの既定の推奨される方法です。 インベントリ スキャンの場合、サービスとしてスキャンするとき、またはプロセスとしてスキャンする場合は、ターゲット デバイスで .NET 2.0 以降を実行する必要があります。 リソース消費スキャンの場合、ターゲット デバイスは .NET 3.5 SP1 を実行する必要があります (.NET 3.5 では TLS 1.2 はサポートされていません)。 - リモート WMI は、リソース消費スキャンではサポートされていません。 |
| TLS | スキャンする Windows デバイスは、トランスポート層セキュリティ保護 (TLS) 1.0 以降を実行している必要があります。 ベスト セキュリティ プラクティスとして、TLS 1.2 を実行することをお勧めします。 Movere コンソールとデバイスで実行されているボット間のすべての通信では、TLS が使用されます。 |
URL アクセス
次の表は、スキャンする Windows デバイスのインターネット アクセス要件をまとめたものです。 Linux デバイスのアクセス要件は同じです。
| Scan | 詳細 |
|---|---|
| インターネットへのアクセス | Movere に データを直接アップロード するスキャンされたデバイスには、インターネット アクセスが必要です。 |
| URL アクセス | データを直接アップロードするスキャンされたデバイスは、 Movere 顧客テナントが配置されているリージョンに固有の Movere URL に到達できる必要があります。 |
アクセス許可のスキャン
Windows デバイスをスキャンするために必要なアクセス許可を確認します。
| [デバイス] | アクセス許可 |
|---|---|
| Windows Server | スキャンする Windows デバイスのローカル管理者アクセス。 ユーザーは、各ターゲット デバイスで対話型ログオンを有効にする必要があります。 デバイスのスキャンには、SQL などのセカンダリ データのスキャンを含めることができます。 Movere では、ドメイン 管理特権を持つアカウントでセカンダリ データを収集することはできません。 Movere 専用のサービス アカウントを作成し、スキャンする Windows デバイスにアクセスできるように、ローカル 管理アクセス許可をアカウントに割り当てることをお勧めします。 |
| Windows ワークステーション | スキャンする Windows デバイスのローカル管理者アクセス。 ユーザーは、各ターゲット デバイスで対話型ログオンを有効にする必要があります。 |
| Active Directory | スキャンするフォレストごとに、グローバル カタログに対してクエリを実行するアクセス許可を持つ Windows アカウントが必要です。 |
| SQL Server | SQL Serverのスキャンでは、アカウントがドメイン管理者アカウントでない場合、Movere はまず、Movere コンソールに入力されたドメイン アカウントを使用して SQL インスタンスへの接続を試みます。 指定されたアカウントにドメイン管理機能がある場合、Movere は Movere コンソールに入力された SQL 資格情報を利用し、最後に Movere は NT AUTHORITY\SYSTEM アカウントの利用を試みます。 SQL Serverへの接続に使用するアカウントには、サーバー状態の表示ロール、任意の定義ロールの表示、master、msdb、および作成されたデータベースへのアクセスdb_datareaderが必要です。 または、アカウント sysadmin サーバー ロールを付与することもできます。 データベースとセカンダリ データ: Movere では、データベース (状態、サイズ、作成日)、クラスター、ミラーリング、可用性グループのデータの一覧が収集され、その結果、SQL Server インスタンスへの接続が成功します。 System Center Configuration Manager、SharePoint、VMware vCenter、System Center VMM などの個々のデータベースから特定のデータが必要な場合、SQL Serverへの接続に使用されるアカウントには、サーバー状態の表示ロール、定義の表示ロール、master、msdb、および作成されたデータベースへのアクセスdb_datareader、または各データベースの sysadmin サーバー ロールの一部である必要があります データベース。 SQL パフォーマンス/接続: Movere では、SQL のパフォーマンスと接続に関する情報 (インスタンスごとの 1 分あたりの CPU 使用率、データベース別の CPU 使用率、データベース接続数を含む) が収集され、その結果、SQL Server インスタンスへの接続が成功します。 個々のデータベースから特定のデータが必要な場合、SQL Serverへの接続に使用するアカウントには、サーバー状態の表示ロール、定義の表示ロール、master、msdb、および作成されたデータベースへのアクセスdb_datareader、または各データベースの sysadmin サーバー ロールの一部である必要があります。 ログ配布: ログ配布データの場合、Movere コンソールでユーザーによって提供されるアカウントは、msdb データベースdb_datareaderアクセスする必要があります。 指定されたアカウントにドメイン管理機能がある場合、NT AUTHORITY\SYSTEM アカウントには、サーバー状態の表示ロール、任意の定義ロールの表示、master、msdb、および作成されたデータベースへのアクセスdb_datareader必要があります。 SQL アクセスなし: Movere コンソールで指定されたアカウントと NT AUTHORITY\SYSTEM アカウントにSQL Serverに必要なアクセス権がない場合、Movere はSQL Serverで実行されている各オンライン データベースの名前とサイズを取得します。 Movere では、オンライン状態ではないデータベースも報告されますが、このようなデバイスの状態は未確認になります。 |
| Microsoft 365 | Movere Microsoft 365 アカウントには、Microsoft 365 サブスクリプションへのグローバル 閲覧者アクセス権があり、アクティブな Microsoft 365 ライセンスが割り当てられている必要があります。 多要素認証 (MFA) はサポートされていないため、オフにする必要があります。 グローバル閲覧者アカウントに対して PowerShell クエリのアクセス許可を有効にする必要があります。 |
| Windows vCenter Server | Movere には、SQL Serverを実行している Windows デバイスでのローカル管理者アクセスと、vCenter SQL データベースへのアクセスに必要な最小限のアクセス許可が必要です。 |
Movere ファイルを許可する
スキャンする Windows ターゲット デバイスでこれらの Movere 実行可能ファイルを許可します。 デバイスで実行されているウイルス対策ソフトウェアまたはセキュリティ ソフトウェアを許可します。 既定では、スキャン中に、ボットは 管理$\Temp\ フォルダーまたは C:\Windows\Temp\ フォルダー内のターゲット デバイスにインストールされます。
| [最近使ったファイル] | 詳細 |
|---|---|
| FrameworkVerifier.exe | インベントリ スキャン ボットを開始するために、ターゲット デバイスで実行されている .NET バージョンを確認するために必要です。 |
| Bot2\Movere.Bot2.Local.exe | .NET 2.0 から .NET 3.5 を実行している Windows デバイスのインベントリ スキャン用ボット |
| Bot4\Movere.Bot4.Local.exe | .NET 4.0 以降を実行している Windows デバイスのインベントリ スキャン用のボット。 |
| Arc2\Movere.Arc2.exe | .NET 3.5 SP1 以降を実行している Windows デバイスの実際のリソース消費スキャン用のボット。 |
| Arc2\Movere.Arc4.exe | .NET 4.0 以降を実行している Windows デバイスの実際のリソース消費スキャン用のボット。 |
ポート アクセス
次の表は、Windows デバイスをスキャンするときに Movere によって使用されるポートをまとめたものです。 ポートをカスタマイズすることはできません。
| ポート | 方向 | Location | 詳細 |
|---|---|---|---|
| TCP 445 (Windows ファイル共有) | 受信内部 | ターゲット マシン | Movere ボット (インベントリと ARC)、フレームワーク検証ツール、トークン ファイルをターゲットの Windows デバイスに配信するために使用されます。 コンソールまたはクラウドへのアップロードが失敗した場合に、ターゲット デバイスから実際のリソース消費量スキャン ペイロードをプルするために使用されます。 |
| TCP 139 (NetBios) | 受信内部 | ターゲット マシン | Movere ボット (インベントリと ARC)、フレームワーク検証ツール、トークン ファイルをターゲットの Windows デバイスに配信するために使用されます。 コンソールまたはクラウドへのアップロードが失敗した場合に、ターゲット デバイスから実際のリソース消費量スキャン ペイロードをプルするために使用されます。 |
| TCP 135 (NetBios) | 受信内部 | ターゲット マシン | リモート WMI を使用したスキャンに使用されます。 |
| UDP 137-139 | 送信内部 | ターゲット マシン | コンソールまたはクラウドへのアップロードが失敗した場合に、ターゲット デバイスから実際のリソース消費スキャン ペイロードをプルするために使用されます。 |
| TCP 443 | アウトバウンド外部 | ターゲット マシン | インベントリとリソース消費ペイロードをターゲット デバイスから Movere クラウドに直接アップロードするために使用されます。 |
| TCP 443 | アウトバウンド外部 | コンソール コンピューター | コンソール経由でペイロードをクラウドにアップロードするために使用されます。 |
| TCP 443 | 送信内部 | コンソール コンピューター | token.txt ファイルをダウンロードするために使用します。 VMware ESXi と XenServer のクエリを実行します。 |
| TCP 445 (Windows ファイル共有) | 送信内部 | コンソール コンピューター | Movere ボット (インベントリと ARC)、フレームワーク検証ツール、トークン ファイルをターゲット Windows デバイスに配信するために使用されます。 コンソールまたはクラウドへのアップロードが失敗した場合に、ターゲット デバイスから実際のリソース消費スキャン ペイロードをプルするために使用されます。 |
| TCP 389 | 送信内部 | コンソール コンピューター | Active Directory (LDAP) のクエリに使用されます。 |
| TCP 3268 | 送信内部 | コンソール コンピューター | グローバル カタログのクエリに使用されます。 |
| TCP 135 (NetBios) | 送信内部 | コンソール コンピューター | リモート WMI のスキャンに使用されます。 |
| TCP/UDP 53、TCP/UDP 88 | 送信内部 | コンソール コンピューター | ドメイン コントローラーを検索し、オブジェクト列挙の前に認証するために使用されます。 |
| TCP 636 | 送信内部 | コンソール コンピューター | セキュリティで保護された LDAP が有効になっている場合に、顧客の環境内のドメイン コントローラーと通信するために使用されます。 |
| TCP 443 | 受信内部 | コンソール コンピューター | ターゲット エンドポイントとコンソールの間のすべての内部トラフィックに使用されます。 セカンダリ資格情報とトークンの更新、およびアップロードのためにペイロードをコンソールにルーティングするために、Movere ボットからのすべての要求に使用されます。 |
| UDP 137-139 | 受信内部 | コンソール コンピューター | コンソールまたはクラウドへのアップロードが失敗した場合に、ターゲット デバイスから実際のリソース消費スキャン ペイロードをプルするために使用されます。 |
| エフェメラル ポート 49152 - 65535 | 受信内部 | コンソール コンピューター | コンソールで戻り値のトラフィックを受信するために使用されます。 |
次のステップ
- Movere コンソールをデプロイします。
- Windows スキャンを実行します。