Server Core でウイルス対策

ITPro (http://itpro.nikkeibp.co.jp/article/COLUMN/20100401/346527/?ST=system) にて、Windows Server 2008 R2テクノロジ入門の内容が部分的に公開されています。先週は、Server Core の部分が公開されました。書籍では第6章の前半部分です。これに関連して、今回は Server Core のウイルス対策についてちょっこし。
Server Core は、Windows Server 2008 で追加された新しいインストール オプションで、通常のフル インストールに比べて役割や機能、コンポーネントが削られています。そのため、Server Core にインストールして実行できるアプリケーションは、かなり限定されます。Server Core がサポートする役割を実行するための環境なので、通常はアプリケーションを追加でインストールするということはしませんが、ウイルス対策ソフトについては別に用意する必要があります。

Server Core に対応しているウイルス対策ソフトとしては、Symantec Endpoint Protection 11.0 や Kaspersky Anti-Virus for Windows Server があるようです。マイクロソフトの Forefront Client Security (FCS) 1.0 SP1 も Server Core に対応しています。いずれも、中央のコンソールから管理および制御可能なタイプの企業向け製品です。

FSC のシステム要件 (http://technet.microsoft.com/ja-jp/library/bb404245.aspx) にあるとおり、Server Core は FCS のクライアント コンピューター (エージェント) としてサポートされます。Windows Server 2008 Server Core の場合は、特に問題なくエージェントをインストールできるのですが、Windows Server 2008 R2 Server Core の場合は、すんなりとはいきません。このスクリーンショットは、手動でエージェントをインストールしたときのものです。ClientSetup.log を見ると「AM のインストールに失敗しました」と記録されています。さらに、FCSAM.log を見ると、「DIFXAPP: The operating system you are running on is not supported. Only Windows 2000, Windows XP, Windows Server 2003 and Windows codename Loghorn are supporded.」と記録されています。「AM」とは「AntiMalware」のことで、FCS エージェントの本体である「マルウェア対策サービス」のことです。

この問題については、サポート技術情報 (KB) 976668 (http://support.microsoft.com/kb/976668/ja) として公表されており、修正プログラムも提供されています。ですが、この KB の内容は ??? な部分が多く、非常にわかりにくいものです (英文で読んだほうがまだ分かりやすいかも)。原因は、Windows 7 や Windows Server 2008 R2 で標準で使用されなくなった Driver Install Frameworks (DIFx) for Application ライブラリなるものを、マルウェア対策サービスが使用しているからだそうです。Windows 7 やフル インストールの Windows Server 2008 R2 では、アプリケーション互換機能が働くのでインストールは成功するのですが、Windows Server 2008 R2 Server Core には、そのアプリケーション互換機能が搭載されていないので、修正プログラム以外の回避方法はないということです。

KB976668 の更新プログラムも曲者です。更新プログラムというよりも、エージェントのマルウェア対策部分の更新されたインストーラといったものです。エージェントのインストールに失敗したあとに、この更新プログラムを適用することで、マルウェア対策サービスが “インストール” されます。エージェントのインストールに失敗したときに、MOM (Operations Manager 2005 のエージェント) と SSA (状態評価サービス) のインストールはロールバックされないため、これでエージェントのすべてのコンポーネントがインストールされたことになります。

Server Core には Windows シェルが存在しないため、タスク バーも存在せず、タスク バーから状態を確認したり、UI にアクセスしたりすることはできません。ウイルス検出時のユーザーへの警告もありません。しかし、FCS エージェントの設定は、中央のコンソールから行い、グループ ポリシーを使用してクライアントに展開されます。また、定義ファイルやスキャン エンジンの更新は、Windows Server Update Services (WSUS) を利用します。そのため、エージェントの展開後に Server Core 側で対話的に操作する必要性はありません。ですが、Server Core でもエージェントの UI を表示して、更新やスキャンを実行できますC:\Program Files\Microsoft Forefront\Client Security\Client\Antimalware\MSAScui.exe を実行すると、UI が表示されます (UI の使用がポリシーで許可されている場合)。コマンドラインがお好きな方は、MpCmdRun.exe というコマンドライン ツールを利用できます。