製品アーキテクチャ

このセクションの内容

• アーキテクチャ図
• ソフトウェア エージェント
• 構成

アーキテクチャ図

ソフトウェア エージェント

Application Control 製品は軽量エージェントを使用して、エンドポイントにインストールされ、実行されます。エージェントは直接ローカル コンピュータにインストールされます。エージェントも構成も Windows インストーラ (MSI) パッケージとして構築されています。このため、MSI 形式をサポートするサードパーティの配布システムを使用して配布できます。インストーラは、個別の32ビットまたは64ビット Microsoft インストーラ パッケージで配信されます。

Application Control が機能するためには、エージェントを関連付けられた構成とともにクライアント エンドポイントにインストールする必要があります。インストールは、手動で実行するか、Management Center などの配布システムを使用できます。エージェントと構成はエンドポイントにローカルでインストールされ、保存されるため、エンドポイントが切断されたりオフラインになったりしたときにも動作し続けます。

Application Control エージェントは Windows サービス (Application Control サービス)、ファイル システム フィルタ ドライバ、カーネル ドライバ、フック、およびブラウザ拡張をインストールします。フックはカーネル ドライバによってすべてのプロセスに挿入され、プロセスの作成要求、Winsock 呼び出し、権限管理に関連する特定の呼び出しを取得します。詳細については、「アプリケーション フック」セクションをご参照ください。

ファイル システム フィルタ ドライバは、すべての非システム プロセスから、実行、上書き、名前の変更要求を取得します。ドライバは、エージェントが開始/停止するときに、動的に開始または停止します。詳細については、「ファイル システム フィルタ ドライバ」セクションをご参照ください。

要求がフックによって受信され、正常に処理されると、同じ要求はドライバによって無視されます。フックが存在しない場合 (例:除外のため)、ドライバは要求を受信し、ルール エンジン経由で渡します。

エージェント サービス

Application Control エージェント サービスは、Application Control コンポーネントを使用して制御される各コンピュータの SYSTEM サービスとして実行されます。エージェントは、ファイル システム フィルタ ドライバ、フック、ブラウザ拡張から渡される要求を処理するためのインテリジェンスを備えています。各要求は構成設定に対して検証され、ルール エンジン経由で送信されます。アプリケーション要求の詳細とともに、サービスは、要求を処理し、ユーザ、グループ、クライアント、およびカスタム ルールが想定通りに機能することを保証するために、ユーザ名、ホスト名、他のメタデータを確認します。

構成は、パフォーマンスおよび制御の理由から、ローカル構成ファイルに保存されます。つまり、すべての要求が最小時間で回転することができます。さらに重要な点は、中央サーバへのネットワーク リンクの必要がないことです。これにより、物理的にローカル エリア ネットワークに接続していないときでも、ノートブックなどの接続されていないコンピュータが確実に保護されます。

Agent Assist

Agent Assist はエージェント用のサポートを提供します。Agent Assist のインスタンスはエージェントによってオンデマンドで開始し、SYSTEM アカウントを使用して実行されます。各 Agent Assist はユーザ セッション固有です。Agent Assist が開始される場合、複数のインスタンスがセッションで実行されることはありません。通常、Agent Assist を開始すると、セッションがログオフするか、エージェントが停止するまで、実行し続けます。

DLL Injection Assist

DLL Injection Assist は、64ビット システムにのみインストールされる32ビット コンポーネントです。Agent Assist によって、32ビット アプリケーション フックを、同じユーザ セッションで実行される32ビット アプリケーションにインストールするためにのみ使用されます。

ファイル システム フィルタ ドライバ

フィルタ ドライバは、主に、実行権限で開かれるファイルを受信します。実行ファイルと DLL が実行される場合は、実行権限で開く必要があります。このため、ドライバはこれらを受信することが保証されています。ログ ファイルや ini ファイルなど、実際には実行できないファイルを含め、他のファイルも実行権限で開くことができます。このため、非実行ファイルが拒否されるイベントが確認されることもあります。このような受信された要求はエージェントに送信され、ルール エンジン経由で渡されます。結果として、要求は許可または拒否されます。結果が許可の場合、変更はありません。要求は以前と同じくファイル システムに渡されます。要求が拒否の場合、元の要求は AMMesage.exe と交換されます。これは、呼び出し側アプリケーションであり、エラーを報告しません。ユーザには、発生している状況が画面上に表示されます。要求が DLL に対するものである場合、読み込みが防止され、DLL のタイプに応じて、OS またはアプリケーションでユーザへのメッセージが表示されます。

フィルタ ドライバは、ファイルの上書きまたは名前変更要求を検出します。これらの要求も、ルール処理のため、エージェントに送信されます。要求の結果、何も発生しないか、影響を受けるファイルの所有者がそのユーザに変更されます。つまり、次回ファイルを実行するときには、一般的に所有者を信頼できないため、実行が拒否されます。最後に、フィルタ ドライバは、UNC パスへのアクセスを受信し、潜在的にブロックします。これは、アプリケーション ネットワーク アクセス制御機能 (特に、ホスト名制御) の一部として実行されます。

上記の処理のすべてが構成に従って監査されます。

アプリケーション フック

これは、AsModLdr カーネル ドライバによってすべてのユーザ プロセスに挿入される DLL です。アプリケーション フックは、プロセスの作成要求および Winsock ネットワーク要求を承認のためエージェントに送信します。ブロックされたネットワーク要求の場合には、ネットワーク リソースへのアクセスが拒否され、構成可能なメッセージが表示されます。

権限管理が必要な場合、プロセスの作成要求がルール処理のためエージェントに送信されます。権限管理が必要な場合、エージェントは昇格された権限で関連するプロセスを開始し、アプリケーションに命令を出し直します。その後、制御は、呼び出し側アプリケーションのフックに戻されます。

Application Network Access Control (ANAC) に関するかぎり、ネットワーク トラフィックの要求が高いため、エージェントによって提供された結果はアプリケーションのメモリ キャッシュに保存されます。これは、ネットワーク トラフィックへの大幅なパフォーマンス劣化を避けるために欠かせません。

ブラウザ アドオン

CascadeBHO.dll は、Internet Explorer によって読み込まれる Application Control Browser Helper Object (BHO) であり、URL リダイレクトおよび昇格された Web サイト機能の一部として使用されます。構成にこれらのタイプのルールが含まれる場合、Cascade BHO が有効になり、Internet Explorer によって読み込まれます。URL リダイレクトまたは昇格された Web サイト ルールがない場合、BHO は無効です。

BHO は Internet Explorer によってのみ読み込まれます。同じ機能を提供する別の拡張である Ivanti Cascade が Google Chrome ブラウザおよび新しい Microsoft Edge (Chromium) ブラウザによって読み込まれます。

CascadeBHO.dll ステータスの確認

1. Internet Explorer で、[ツール] >[アドオンの管理] を選択します。

   [アドオンの管理] ダイアログが表示されます。

2. [アドオン タイプ] パネルで、[ツールバーと拡張] が選択されていることを確認します。

   右側のパネルにアドオンのステータスが表示されます。

構成

AppSense Application Control 構成ファイル (AAMP ファイル) には、システムを保護するためのルール設定があります。エージェントは構成ルールを確認し、ファイル実行要求を受信するときに実行される処理を判断します。

構成はすべてのユーザ プロファイルにローカルで保存され、NTFS セキュリティによって保護されます。スタンドアロン モードでは、構成変更が Application Control から直接ファイル システムに書き込まれます。エンタープライズ モードでは、構成が Management Center データベースに保存され、Management Center コンソールを使用して MSI 形式で配布されます。

Application Control コンソールを使用して、MSI ファイル形式との間で構成をインポートおよびエクスポートできます。これは、サードパーティ配布システムを使用して、テンプレートを作成し、構成を配布する際に役立ちます。

構成を作成または修正した後に、構成を保存 (および必要に応じて配布) し、設定が実装されていることを確認する必要があります。