以下のホスト要件は、非ドメイン(ローカル)の認証スキャンに対してのみ適用されます。
各対象ホストに対し、有効にするべき Windows ファイアウォール設定がいくつかあります。まず、非ドメインプロファイルに関するファイアウォールルールをアクティブ化し、「ファイルとプリンタの共有」および「リモート管理」のトラフィックを許可します。次に、アクティブなルールに対して Scanner Appliance の IP アドレスを追加し、Scanner Appliance のトラフィックがホストに到達できるようにします。
非ドメインプロファイルに関連するファイアウォールルールをアクティブ化し、「ファイルとプリンタの共有」のトラフィックを許可します。
1)「コントロール パネル ホーム」ウィンドウを開きます。
2)次のいずれかの操作を行います:
- Windows Vista と 2008 の場合: 「セキュリティ」で「Windows ファイアウォールによるプログラムの許可」リンクをクリックします。
- Windows 2012、2016、2019 の場合: 「システムとセキュリティ」->「Windows ファイアウォール」を選択して、「Windows ファイアウォールを介したアプリまたは機能を許可」リンクをクリックします。
3)「ファイルとプリンタの共有」チェックボックスを選択します。
4)「OK」をクリックします。
デフォルトでは、非ドメインプロファイルでファイアウォールルールが有効になっている場合、Windows システム(Windows Vista、2008、2012、2016、2019)は自身のローカルサブネット以外からのトラフィックを許可しません。そのため、Scanner Appliance の IP アドレスまたはサブネットも指定する必要があります。
1)「スタート」->「コントロール パネル」を選択します。
2)次のいずれかの操作を行います:
- Windows Vista、2008、2016 の場合: 「システムとメンテナンス」->「管理ツール」->「セキュリティが強化された Windows ファイアウォール」に移動します。
- Windows 2012 の場合: 「システムとメンテナンス」->「管理ツール」->「Windows ファイアウォール」->「詳細設定」に移動します。
- Windows 2019 の場合: 「システムとセキュリティ」->「管理ツール」->「セキュリティが強化された Windows Defender ファイアウォール」に移動します。
3)「受信の規則」をクリックします。
4)「ファイルとプリンタの共有」グループで緑のチェックマークが付いたエントリ(Vista、2008、および 2012)と、「リモート アシスタンス」グループで緑のチェックマークが付いたエントリ(Vista および 2008)に対して、a)エントリを右クリックし「プロパティ」を選択し、b)「スコープ」タブを選択し、c)「任意の IP アドレス」を選択するか、または「追加」ボタンをクリックして対象ホストをスキャンするように設定された Scanner Appliance の IP アドレス(またはサブネット)を追加する、という手順を繰り返します。
5)「OK」をクリックします。
対象ホストごとに、ファイル共有を有効にする必要があります。「コントロール パネル ホーム」ウィンドウを開いて、次の手順を実行します。
1)「ネットワークとインターネット」で「ファイルの共有の設定」リンクをクリックします。
2)「ネットワークと共有センター」ウィンドウで、「ファイル共有」が有効、「パブリック フォルダ共有」が無効になっていることを確認します。
1)「ネットワークと共有センター」で「共有の詳細設定の変更」リンクをクリックします。
2)現在のネットワークプロファイルの共有オプションを変更します。
- 非ドメインターゲットの場合は、「ゲストまたはパブリック」を選択します。
- ドメインターゲットの場合は、「プライベート」を選択します。
3)ネットワーク検出が有効で、ファイルとプリンタの共有が有効になっていることを確認します。
4)すべてのネットワークに対して、「パブリック フォルダ共有」が無効、「パスワード保護共有」が有効であることを確認します。
Windows の信頼できるスキャンを実行するには、システムレジストリにアクセスする必要があります。このアクセスを可能にするためには、リモートレジストリサービスが起動している必要があります。
1)「コントロール パネル」->「コントロール パネル ホーム」に移動します
2)「システムとメンテナンス」(Windows Vista、2008、2012、2016 の場合)または「システムとセキュリティ」(Windows 2019 の場合)を選択します。
3)「管理ツール」->「サービス」に移動します。
4)「Remote Registry」サービスを開始します。再起動時に自動的にこのサービスを確実に開始するために、これを「自動」に設定することもできます。
UAC を設定する必要がありますか?はい。UAC を設定するには、1)リモート UAC 設定を変更する、2)UAC ポリシーを無効にする、の 2 つの方法があります。
方法 1: リモート UAC 設定の変更
1)レジストリエディター(regedit.exe)を「管理者として実行」モードで起動し、要求があれば、「管理者承認」を許可します。
2)HKEY_LOCAL_MACHINE ハイブに移動します。
3)SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System キーを開きます。
4)次のプロパティを使用して、新しい DWORD(32 ビット)値を作成します。
名前: LocalAccountTokenFilterPolicy
値: 1
5)レジストリエディターを閉じます。
警告: DWORD(32 ビット)と QWORD(64 ビット)の値のデータタイプは、64 ビットの Windows でのデータタイプの選択メニューで隣り合わせに位置しています。そのため、選択の際に、この 2 つは間違って選択される可能性が高くなっています。必要な値のデータタイプは、DWORD(32 ビット)です。QWORD(64 ビット)を選択して、それを 1 に設定しても、リモート UAC の設定は有効になりません。
システムの再起動やサーバサービスの再起動が必要かどうかは、検討する必要があります。一部の文書では推奨されていますが、当社のテストでは、レジストリでリモート UAC を無効にすると、設定はすぐに反映され、スキャン時に ADMIN$ へのリモートアクセスが許可されることが示されています。
方法 2: UAC ポリシーの無効化
「コントロール パネル ホーム」ウィンドウを開いて、次の手順を実行します。
1)「ユーザー アカウントの追加または削除」をクリックします。
2)ユーザアカウントを選択します。
3)アカウントの下にある「メインのユーザー アカウントのページに移動」のリンクをクリックします。
4)「ユーザー アカウントの変更」ページで「セキュリティ設定の変更」をクリックします。
5)「ユーザー アカウント制御(UAC)を有効にして、お使いのコンピュータをより安全にします」ページでユーザー アカウント制御 (UAC) を有効にして、「ユーザー アカウント制御(UAC)を使ってコンピュータの保護に役立たせる」チェックボックスをオフに(クリア)して「OK」をクリックします。
6)コンピュータを再起動します。
1)ユーザー アカウントをクリックします。
2)ユーザー アカウント制御の設定を変更します。
3)タブを「アプリがコンピューターに変更を加えようとする場合のみ通知する (デスクトップを暗転しない)」に設定します。
4)コンピュータを再起動します。