ELMとは
ELMバージョンとは
ELMシステムのストラクチャー
インターネット接続
ELMサーバのインターネット接続アダプタの設定
クライアントへの権限付与
制限編集
OSとウイルス対策ソフトの自動更新
ELMはインターネット接続速度に影響を与えるか
BT、eMule等P2P高速ダウンロードソフトの使用制限
MSN、Skype等チャットツールの使用制限
クライアントのUSBメモリ、CD-ROM、FDDの使用禁止
監視するアダプタの設定
監視不要のクライアントの設定
クライアントソフトが実装されない時の機能
 
Download PDF
   
  ELMとは
 
   
 

ELMは強力なネット管理ツールです。インターネット利用管理、メール監視、LANコントロール、コンピュータ安全使用、流量解析、スニッファ、プロトコル解析等ネット管理で良く使われる機能からなっています。ネット管理実現の必須ツールです。

1、インターネット活動監視機能
LAN内にグループによってアクセスできるURLを指定、制限できます。オンライン時間を指定できます。

2、情報安全管理
コンピュータ外部とのデータ交換方法はWEB、USBメモリ、FDD、CD-ROMなどです。情報流出、漏洩を防止するため、データ交換方法を管理して、使用権限をLANコントロールすることができます。

3、制限付きAP
グループによる、LAN内コンピュータの実行禁止のプログラムを指定できます。サーバに「制限付きAP」を設定して、実行されないプログラムを指定できます。チャットプログラム(例えば、MSNやSkype等)、ゲーム、インターネットゲームなどを制限できます。ネット管理ソフトが一旦不適当と判定すれたら、プログラムの実行を禁止することができます。

4、インターネット?アクセスを禁止、或は再開
プロキシを通じてLAN内のコンピュータは便利にインターネットをご利用できますが、ELMはいつでもInternet機能をブロック或は再開のコントロールが可能です。

5、監視機能
ELMを通じて、LAN管理者はいつでもLAN内のすべてのコンピュータを監視することができます。
そして、コンピュータの動作状況をモニタできます。

6、コンピュータのコントロール
電源を切る:LAN内のすべてのコンピュータをいつでもコントロールして、強制的に電源を切ります。
ログオフ:LAN内のすべてのコンピュータをいつでもコントロールして、実行している全てのプログラムを強制的に終了して、再ログオンします。
キーボード/マウス(K/M)のブロック:サーバで、クライアントのキーボードとマウスをブロックすることが出来、クライアントでの操作を全て禁止することが出来ます。
Win/NT/2000/XPの場合、「Ctrl+Alt+Del」キーを無効にすることができます。操作者は「Ctrl+Alt+Del」キーを押下しても、ログオフ、ログオン、パワーオフ、パワーオンのいずれの操作をすることができません。

7、リモートタスク管理
サーバで、管理者はいつでもWin/NT/2Kの「タスク管理」に相当する機能を利用して、LAN内のコンピュータの実行しているプログラムを監視します。プロセスの終了も制御できます。

8、LAN内のコンピュータ検出
LAN内のオンライン コンピュータを検出します。自動的に「コントロール可」リストに追加します。

9、リモート設備管理
サーバ側で、クライアント側コンピュータのシステムのプロパティを取得できます。例えば、OSバージョン、RAMサイズ、HDD数及びサイズ、CPUスピードテスト、IPアドレスとMACアドレス等。LAN管理者がLAN内のコンピュータを把握して便利に管理できます。

10、ネット受信の流量と流速のモニタリングとコントロール
LAN管理者はLAN環境でのネット受信量と受信速度をモニタできます。「ネット受送信量制限」と「ネット受送信速度制限」を指定できます。クライアントの受送信量/受送信速度の制限範囲を超えた時、Internet接続は自動的に切断されます。
ネット受送信量、受送信速度管理はダウンロードソフトの使用によるネットのボトルネック問題を有効的に防ぎます。あるマシンがダウンロードソフトを使って受信量/受信速度範囲を超えた時、このシステムはInternet接続IP(ルータ、プロキシ等)を自動的に切断します。ネットのボトルネック問題を早めに予防できます。

11、メール監視
クライアントのメール送受信を監視して、履歴を残し、ファイルに保存できます。

12、スニッファ
リアルタイムでパケット送信をキャッチし、ネット内のパケット送信状況を観測します。

13、パケットに対するプロトコル解析
リアルタイムでスニッファにより、データを保存して、クライアントのパケット送信に使われる多種の通信プロトコルを統計と解析して、「ウイルス」及び「フーリガン」ソフトを診断します。

14、スニッファ送信先解析
スニッファで記録したデータによって、パケットの送信先を統計して、ネット状況を解析します。
   
  ELMバージョンとは
 
   
 

ユーザの企業規模によって、「エンタープライズ版」と「プロフェッショナル版」に分けました。

エンタープライズ版
エンタープライズ版は百台以上の大規模インターネット利用の管理ために設計したものです。

プロフェッショナル版
プロフェッショナル版は百台以下の小規模企業の管理に適用します。

機能上の違い
1、複数のセグメント管理
エンタープライズ版は複数のセグメント管理をサポートします。プロフェッショナル版は一個だけのセグメントを管理します。
2、LAN構造上の違い
エンタープライズ版は「ダブルアダプタ」と「ブリッジ」方式で、「イントラネット」と「インターネット」を物理的に遮断します。安全性が高く、運行速度も速いです。百台以上の大規模ネット管理に適用します。
プロフェッショナル版は「シングルアダプタ」を採用して、LAN構造が簡単で、且つ実装と使用方法も簡単です。ただし、「ARP」偽装テクニックを使って、ゲートウェーを代わりに、論理的に速度は多少遅くなります。百台以下の小規模ネット環境に適用します。
   
 

ELMシステムのストラクチャー
 
   
 

ELMシステムはサーバとクライアント二つの部分から構成されます。

サーバ:サーバ側のプログラムは全体管理と各種の権限管理を担当します。

クライアント:クライアント側のプログラムは具体的なリモートコントロール動作の実行を担当します。
   
  インターネット接続
 
   
 

プロフェッショナル版
プロフェッショナル版は特別なネット接続は不要です。LAN内のすべてのコンピュータにインストールして使用できます。

エンタープライズ版
エンタープライズ版サーバインストールのコンピュータはアダプタ二つが必要です。「イントラネット」と「インターネット」を物理的に遮断します。
接続方法は図1を参照します。


(図1)

説明:ゲートウェイ(Gateway)は、ルータや、プロキシサーバにて構成されるかもしれません。
スイッチ(Switch)はLAN内のコンピュータ間に転送先の機器を切り替える通信装置です。
注意:ゲートウェイとスイッチを直接に接続してはいけません。さもなければ、物理遮断の意味はなくなり、Internetアクセスをコントロールできません。
   
  ELMサーバのインターネット接続アダプタの設定
 
   
 

一、プロフェッショナル版
「プロフェッショナル版」のELMサーバは、一つだけアダプタが必要です。他の設定はいりません。

二、エンタープライズ版
「エンタープライズ版」のELMサーバは、二つのアダプタが必要です。一つはインターネットに接続し、もう一つはイントラネットに接続します。アダプタの設定は以下の通りです。

1、インターネット接続アダプタの設定:
インターネットに接続アダプタの設定はかなり簡単です。必要なIPを指定して、「インターネット プロトコル(TCP/IP)のプロパティ」の「ゲートウェイ」と「DNS」は現在使っている値をセットします。具体的には以下の通りです:
「スタート」->「設定」->「ネットワーク接続」をダブルクリックして、図2を開きます。


(図2)

図2の「ローカル エリア接続 2」のコンテキストメニューのプロパティを選択して、図3を開きます

(図3)
図3の「インターネット プロトコル(TCP/IP)」のプロパティをクリックして、図4を開きます。


(図4)
「インターネット プロトコル (TCP/IP)のプロパティ」画面に、「デフォルト ゲートウェイ」と「優先DNSサーバー」は現在使っている値をそのまま設定します。例えば:サーバの「デフォルト ゲートウェイ」は「192.168.0.1」の場合、「優先DNSサーバー」は「192.168.0.1」を設定しても結構です。「OK」ボタンをクリックして保存します。

2、イントラネット接続アダプタの設定:
例えば、図2の「1394 接続 2」はイントラネット接続アダプタです。プロパティを選択すると、図5のようなプロパティ画面が開きます。


(図5)
イントラネット接続アダプタのIPは「192.168.0.14」に仮定されます。
注意:イントラネット接続アダプタの「デフォルト ゲートウェイ」と「優先DNSサーバー」は要りません。これらを「空白」にして、「OK」ボタンをクリックして保存します。

3、複数セグメント管理
もしユーザのLANが複数セグメントで構成された場合、図5にイントラネット接続アダプタを複数セグメント設定すると、同時に複数セグメントとの通信は可能になります。
図5に、「詳細設定」をクリックして、図6を開きます。


(図6)

「IP アドレス(R)」の「追加(A)...」をクリックして、図7を開きます。

(図7)

ここに管理したいセグメントのIPアドレスを入力してください。
例えば、五つのセグメントを管理したい場合、
192.168.1.xxx
192.168.2.xxx
192.168.3.xxx
192.168.4.xxx
192.168.5.xxx
以下のように追加しましょう。
192.168.1.14
192.168.2.14
192.168.3.14
192.168.4.14
192.168.5.14

(図8)
こうして、複数セグメントを管理することができます。その中のxxx.xxx.xxx.14は任意選択ものです。
   
  クライアントへの権限付与
 
   
  クライアント制御画面に、

(図9)
一つの行をダブルクリックして、

(図10)

クライアント所属グループを指定できます。「グループ」には各種の条件がそれぞれ指定できます。「権限編集」ボタンをクリックして、「グループ権限編集」画面を開きます。

(図11)
グループに「信頼済みサイト」とか、「制限付きサイト」とか、「時間制限」とか、「制限付きAP」とか、「ネット受送信量制限」とか、「IPアドレス制限」とか、「通信ポート制限」とかを指定できます。同時に、「Webメール使用可否」、「USBメモリ、CD-ROM、FDD使用可否」、「IPアドレス変更可否」、「Internetアクセス禁止、メール使用可能」などの設定もできます。画面の右側にある「編集」ボタンを押下すると、編集ができます。例えば、「信頼済みサイト」右側の「編集」ボタンを押下すると、


(図12)

「信頼済みサイト編集」画面が開きます。他の制限事項に対しての編集は同じようにします。
   
  制限編集
 
   
  図9のように直接にクライアント制限を編集できます。なお、「システム設定」画面にて制限の追加或いは変更ができます。

(図13)
「システム設定」画面の左側の項目を選択して、マウスの右ボタンをクリック又はダブルクリックで、追加、削除、修正することができます。
   
  OSとウイルス対策ソフトの自動更新
 
   

OS、アンチウイルス、MSN等ソフトウェアの自動更新機能が付いています。URLアクセス制限により自動更新不能の場合、図13で示したように、自動更新ソフトが使ったURLを、「自動更新」URLリストに追加すれば、更新は自動的に行います。

1、「モニタリング」画面にリアルタイムでモニタ

(図14)
ご覧のように、「sina」というサイトの自動更新URL「http://www.sina.com.cn」が「登録禁止」されました。このURLを図13の「自動更新」リストに追加されたら、「sina」ソフトの自動更新が実現します。

2、「受信拒否履歴検索」中に検索
「モニタリング」画面:

(図15)
「受信拒否履歴検索」ボタンを押すと、拒否されたURLが表示されます。よく使っているOSのURLとアンチウイルスのURLを選び出して、「自動更新」URL(図13)に追加すれば、ソフトの自動更新が実現します。
   
  ELMはインターネット接続速度に影響を与えるか
 
   
  インターネットの接続スピードへの影響はほとんどありません。現在、Internet受送信速度は最大10Mしかありませんが、ELM実装のアダプタの通信速度は100M以上になるため、ルータ等Internetにつながる設備の速度よりはるかに上回っています。ですので、インターネットの接続スピードに影響を与えません。
   
  BT、eMule等P2P高速ダウンロードソフトの使用制限
 
   
  四種類の方法で、BT、eMule等高速ダウンロードソフトP2Pへの使用制限を実現します:
「ネット受送信量/受送信速度制限」、「通信ポート制限」、「IPアドレス制限」、「制限付きAP」。

1、ネット受送信量/受送信速度制限
まず、クライアントにグループを指定します。「図9」で示した方法に従って、「クライアント制御」画面に、クライアントにグループを指定します。
制限するクライアントをダブルクリックして、「図10」を表示します。
グループ名を選択して、「権限編集」ボタンをクリックして、「図11」を表示します。
このグループに「ネット受送信量制限」を指定して、「編集」ボタンをクリックして、次の画面を開きます。

(図16)
制限条件を入力して保存します。このようにして、制限されたクライアントのダウンロードの受信量と受信速度が制限されます。もし制限範囲を上回る場合、Internetアクセスは自動的に停止されます。それにより、BT、eMule等P2Pダウンロードソフトの使用制限の効果が出ます。

2、通信ポート制限
管理者が、BT、eMule等P2Pダウンロードソフトが使ったTCP/IPポートを知っている場合、「図11」中の「通信ポート制限」の右側の「編集」ボタンをクリックして、次の画面を開きます。

ここでBT、eMule等P2Pダウンロードソフトが使っているTCP/IPポートを指定できます。

3、IPアドレス制限
管理者が、P2PダウンロードソフトのIPアドレスを知っている場合、「図11」中の「IPアドレス制限」の右側の「編集」ボタンをクリックして、次の画面を開きます。

ここでIPアドレスの編集ができます。

4、「制限付きAP」制限
図11」中の、「制限付きAP」の右側の「編集」ボタンをクリックして、次の画面を開きます。

ここに表示されたのは制限付きAPのファイル名と画面タイトルです。
   
  MSN、Skype等チャットツールの使用制限
 
   
「BT、eMule等P2P高速ダウンロードソフトの使用制限」と同じように、「通信ポート制限」、「IPアドレス制限」と「制限付きAP」の制限方法を使用します。
   
  クライアントのUSBメモリ、CD-ROM、FDDの使用禁止
 
   
クライアントに「権限付与」において、「図9」、「図10」、「図11」で示したように、「図11」の中に、このように選択して使用許可します。



「No」の場合、このグループに所属するクライアントがUSBメモリ、CD-ROM、FDDの使用は禁止となります。
   
  監視するアダプタの設定
 
   
プロフェッショナル版を使っている場合、アダプタの設定は必要ありません。エンタープライズ版を使っている場合、アダプタプロパティの設定は必要です。それぞれのセグメントのアダプタプロパティのTCP/IPプロパティの「ゲートウェイ」と「DNS」をネット管理サーバ使っているIPアドレスを設定すればいいです。

具体に、例えば、「ELMサーバのインターネット接続アダプタの設定」->「エンタープライズ版」の中に、「複数セグメント管理」の中に、五つのセグメントを設定しました。例えば:
192.168.1.xxx
192.168.2.xxx
192.168.3.xxx
192.168.4.xxx
192.168.5.xxx

セグメント「192.168.0.xxx」中のマシン「192.168.0.14」のアダプタを設定すれば、簡単にTCP/IPプロパティの「ゲートウェイ」と「DNS」に「192.168.0.1」を設定しても結構です。

他のセグメントのマシンは、アダプタTCP/IPプロパティに以下のようにそれぞれの値を設定すればいいです。

192.168.1.14
192.168.2.14
192.168.3.14
192.168.4.14
192.168.5.14
   
  監視不要のクライアントの設定
 
   
1、物理接続
図1」中に、先ず、「ゲートウェイ」を「スイッチ」に接続して、後で、「スイッチ」からネットライン一つを引き出し、ELMサーバに接続します。監視不要のマシンを直接にこの「スイッチ」に接続して、Internet物理遮断されず、コントロール対象になりません。

2、システム設定
図11」の中に、全て「無制限」を選択する場合、このクライアントを制限しません。
   
  クライアントソフトがインストールされない場合の機能
 
   
ELMはクライアントにインストールしてもしなくても構いません。
クライアントの機能は:
スクリーン キャプチャー
マウス ブロック/マウス ブロック解除
制限付きAPの実行禁止
USBメモリ、CD-ROMとFDDの制限
クライアントの配置情報の取得
リモートタスク管理ツール、クライアント側実行されたAPの取得
電源を切る、ログオフ、クライアント再起動
クライアントソフトがインストールされない場合、以上のコントロール機能がご利用できませんが、それ以外のインターネット管理機能が利用できます。例えば: Internetアクセス禁止と再開、制限付きサイト/信頼済みサイトの制限、ネット受送信量/受送信速度制限、メール監視等。