エンドポイント セキュリティ ヘルプ

このダイアログボックス ([ツール] > [構成] > [エージェント設定] > [エンドポイント セキュリティ]) では、エンドポイント セキュリティ設定を作成して編集します。

このダイアログ ボックスには次のページがあります。

[エンドポイント セキュリティ:一般設定ページ

このページでは、ロケーション認識 (信頼されたネットワーク) とその他のアクセス設定を構成できます。

  • 名前:設定に一意の名前を付けます。
  • 管理者:管理者のパスワードとオプションを指定します。
    • 管理者のパスワードを使用する:保護されたデバイスで特定のアクションを実行するために、このエンドポイント セキュリティ設定を使用して構成されたデバイスで必要なパスワードを指定します。
    • Windows サービス コントロール マネージャによるエンドポイント セキュリティ サービスの停止を許可:エンドポイント セキュリティ サービスをクライアント上でユーザが停止できるようにします。
  • クライアント インターフェイス:管理デバイス上でのエンドポイント セキュリティ クライアントの表示方法を指定します。
    • タスクバー通知領域にアイコンを表示する:クライアント インターフェースに通知領域アイコンを表示します。
    • 違反バルーンチップを表示する:ブロックされた操作が実行された場合に、エンド ユーザ デバイスにメッセージを表示します。
    • Ivanti Management グループにスタート メニュー ショートカットを表示:エンドポイント セキュリティ クライアントのプログラム アイコンをスタート メニューに表示します ([スタート] > [プログラム] > [Ivanti Management] をクリック)。
  • 保存 :変更内容を保存してダイアログを閉じます。

[エンドポイント セキュリティ:デジタル署名ページ

このページでは、信頼できるデジタル署名されたアプリケーションとベンダを表示して管理します。

  • デジタル署名されたアプリケーションを信頼しない:デジタル署名されたアプリケーションを自動的に信頼しません。その他のダイアログボックスのオプションが無効になります。
  • すべてのデジタル署名されたアプリケーションを信頼する:デジタル署名されたアプリケーションを自動的に信頼します。このオプションを使用する際には注意してください。デジタル署名はある程度の信頼性を示しますが、環境内でアプリケーションを許可するべきであることを保証するものではありません。
  • 次のベンダのデジタル署名されたアプリケーションを信頼する:指定したベンダのデジタル署名されたアプリケーションのみを信頼します。信頼できるベンダの基本リストは、既定で、[信頼できるベンダ] リストにあります。リストの前のボタンを使用して修正できます。
  • 検出されたベンダ:管理されたデバイスのインベントリ ソフトウェア スキャナで検出されたベンダ。
  • 信頼できるベンダ:信頼できるベンダ名。ワイルドカードを使用すると、ベンダ名が、デジタル署名されたアプリケーションに表示される名前のバリエーションが確実に一致します。
  • 追加、編集、削除:ベンダ リストのベンダ名を管理します。

[エンドポイント セキュリティ:既定のポリシー

このページを使用して、有効にするセキュリティ コンポーネントと、コンポーネントごとに使用する設定を構成します。このページには、アプリケーション コントロールなど特定のコンポーネントを有効にしないと利用できないオプションもいくつかあります。

コンポーネント: 配布するコンポーネントと、コンポーネントごとに使用するエージェント設定を選択します。

  • アプリケーション コントロール: 詳細については、「Application Virtualization の概要」をご参照ください。
  • 権限管理: 詳細については、「Environment Manager」をご参照ください。
  • Ivanti ファイアウォール: 詳細については、「Ivanti Firewall 設定の構成」をご参照ください。
  • デバイス コントロール: 詳細については、「デバイス コントロールの概要」をご参照ください。
  • アプリケーション ファイル リスト: [アプリケーション コントロール] または [Ivanti ファイアウォール] コンポーネントを選択した場合は、このリストを編集できます。アプリケーション ファイル リストを使用すると、デバイスのファイル システム上にあるファイルがマルウェアではなく、改ざんされていないことを保証できます。詳細については、ファイル レピュテーションを使用したアプリケーションの制限をご参照ください。

[エンドポイント セキュリティ:監視されたフォルダ ページ

このダイアログボックスでは、監視される管理デバイス上のフォルダ パスを指定します。監視フォルダのすべてのファイルと子フォルダが監視されます。セキュリティ アクティビティ ツールの [アプリケーション コントロール] セクション ([ツール] > [セキュリティと準拠] > [セキュリティ アクティビティ]) を使用して、管理フォルダで通知を表示します。注意が必要なエンドポイント セキュリティ処理がある場合は、エンドポイント マネージャ コンソールにログインすると、通知が表示されます。

[追加] をクリックして、監視するフォルダ パス、ファイル パターン、除外、およびファイル アクティビティを指定します。

エンドポイント セキュリティ: [中間パッチ] ページについて

このページを使用して、最新パッチが適用されていない Web ブラウザをエンドポイント セキュリティがどのように処理するかを構成します。

場合によっては、特定のブラウザ パッチを適用したことで、ブラウザ内部で実行される重要なビジネス Web アプリケーションが予期した動作をしなくなる場合があります。これが発生した場合、このビジネス Web アプリケーションが引き続き機能するように、管理者がパッチをロールバックするという方法をとる場合があります。

パッチが適用されていないブラウザがインターネット上の信頼できないサイトにアクセスするのを防止するには、[中間パッチ] 機能を使用します。パッチが適用されていないブラウザは、マルウェア感染の最高の標的です。この機能を有効にすると、エンドポイント セキュリティは、パッチが完全には適用されていないブラウザを自動的に検出し、[信頼されたサイト] リストに信頼できるサイトとして設定されていない Web サイトへのアクセスをブロックします。これにより、パッチが適用されていないブラウザを使用するエンド ユーザは、信頼されたサイトのみにアクセスすることが保証されます。

  • 不明のパッチを監視するアプリケーション: 不明の (欠落している) パッチがないか、監視の対象とするブラウザ アプリケーションを選択します。
  • 信頼されたサイト: アクセスを試行したブラウザにパッチが欠落している場合であっても、そのブラウザによるアクセスを許可するサイトを、このリストに追加します。 IP アドレス、IP 範囲、サブネット アドレス、またはホスト名で項目を追加できます。監視対象の、パッチが適用されていないブラウザは、このリスト内のサイトのみにアクセスできます。

[エンドポイント セキュリティ自動修正] ページについて

Ivanti Endpoint Management 2017.3以降において、Ivanti Software は「自動修正」という新しい Endpoint Security 機能を提供しています。この処理は、マルウェア、ランサムウェア、または API 経由でトリガすることができます。

このセクションのページはマルウェアとランサムウェア自動修正を構成します。自動修正が既定で表示されます。自動修正を有効にし、[トリガ] および [処理] ページを設定する場合は、[自動修正] ページで [トリガ] を構成する必要があります。

追加のランサムウェア保護については、[セキュリティ] > [エンドポイント セキュリティ] > [アプリケーション コントロール] の下のアプリケーション コントロール設定で、物理ドライブへのアクセスを制限し、暗号化ランサムウェアを自動的に検出し、ブラックリストに追加できます。

エンドポイント セキュリティ自動修正: トリガ ページ

Endpoint Security は主要なウイルス対策ソフトウェア製品によって作成されたリアルタイムのログ ファイルを監視します。これらの製品がマルウェアを検出すると、エントリをログ ファイルに書き込みます。ただし、ベンダによってマルウェアを特定する際の名前は異なります。このため、ウイルス対策ベンダが問題のあるマルウェアを記録する方法を指定する必要があります。キーボードについては、次のベンダのリンクをご参照ください。

• Kaspersky - マルウェア分類

• シマンテック - 悪意のあるコード分類と脅威タイプ

• マカフィー - 脅威ライブラリ検索結果

• トレンドマイクロ - ウイルス/マルウェア

• Sophos - Advanced Targeted Malware Security | Sophos ATP for Corporate Networks and Network Threats

[トリガ] ページでカンマ区切りのキーワードのリストを入力できます。これらのキーワードのいずれかがウイルス対策ログで検出されると、自動修正がトリガされ、設定した処理が実行されます。

現時点では、次のウイルス対策製品がサポートされます。

  • Ivanti Antivirus 2017.3 (Kaspersky Endpoint Security for Windows 10.0 SP1)
  • Symantec Endpoint Protection 14
  • McAfee VirusScan Enterprise 8.8
  • Trend Micro OfficeScan Client 5.0
  • Sophos Anti-Virus 5.8

トリガされると、自動修正が自動的に送信されます

  • マルウェアでトリガ: ウイルス対策ログ キーワードが自動修正をトリガする場合はこのオプションを選択します。
  • キーワード (カンマ区切り): ウイルス対策製品が使用するキーワードを指定します。
  • ランサムウェアでトリガ: ランサムウェアが自動修正をトリガする場合はこのオプションを選択します。
  • API によってトリガー: 詳細については、Ivanti コミュニティでこちらのドキュメントをご参照ください。

エンドポイント セキュリティ自動修正: 処理ページ

このページの処理は、[トリガ] ページで指定した条件が満たされたときに実行されます。

  • デバイスをネットワークから分離するが、リモート管理を許可する: Ivanti ファイアウォールを使用して、Ivanti コンソールからの管理トラックを除くすべてのトラフィックからデバイスを分離します。リモート コントロール、ソフトウェア配布などは動作します。
  • シャットダウンまたは再起動: 強制的にシャットダウンまたは再起動します。この実行中にユーザに表示されるメッセージを指定できますが、ユーザはシャットダウンまたは再起動を延期または中断できません。
  • セキュリティ スキャンを実行する: 指定した配布とパッチ設定に基づいて、セキュリティ スキャンを実行します。
  • パッケージの配布: 指定するパッケージを配布します。これは Malwarebytes 製品などの副修正ツールにすることができます。

エンドポイント セキュリティの [詳細] ページについて

このダイアログ ボックスを使用して、詳細なセキュリティ オプションを構成します。

  • セキュリティ権限コードの生成を許可する: ブロックされた操作の実行を短時間エンドユーザに許可する許可コードを作成します。詳細については、「セキュリティ認証コードの作成」をご参照ください。
  • Windows Service Control Manager に Ivanti エンドポイント セキュリティ サービスの停止を許可する: 通常、ユーザが Windows サービス コントロール マネージャを使用して Ivanti エンドポイント セキュリティ サービスを停止することはできません。ユーザがこのサービスを停止できるようにする場合は、このオプションを選択します。
  • セーフモード中に Ivanti Endpoint Security 保護を適用する: 通常、Windows セーフ モードではエンドポイント セキュリティが無効になります。セーフ モードでもエンドポイント セキュリティをアクティブにしておく場合は、このオプションを選択します。
  • グローバル ホットキー:特定のエンドポイント セキュリティ機能で使用するホットキー ショートカットを指定します。
    • デバイス コントロール バイパス ホットキー:ホットキー シーケンスを定義することで、一時的にブロックされたデバイスにアクセスできます。既定のホットキーは Ctrl+Shift+F1です。任意のホットキー シーケンスを入力するには、カーソルをテキスト ボックスに配置してから、任意の順序でキーを押し続けます。
  • エンドユーザに詳細通知を送信する
  • Ivanti ファイルが変更されないように保護する

[エンドポイント セキュリティ:信頼できるフォルダ ページ

このダイアログボックスでは、信頼できると見なされる管理デバイス上のフォルダ パスを指定します。

[追加] をクリックして、フォルダ パスと、そのフォルダおよび子フォルダに付与する権限を指定します。

エンドポイント セキュリティの [詳細]: [デジタル署名] ページについて

このページでは、信頼できるデジタル署名されたアプリケーションとベンダを表示して管理します。

  • デジタル署名されたアプリケーションを信頼しない:デジタル署名されたアプリケーションを自動的に信頼しません。その他のダイアログボックスのオプションが無効になります。
  • すべてのデジタル署名されたアプリケーションを信頼する:デジタル署名されたアプリケーションを自動的に信頼します。このオプションを使用する際には注意してください。デジタル署名はある程度の信頼性を示しますが、環境内でアプリケーションを許可するべきであることを保証するものではありません。
  • 次のベンダのデジタル署名されたアプリケーションを信頼する:指定したベンダのデジタル署名されたアプリケーションのみを信頼します。信頼できるベンダの基本リストは、既定で、[信頼できるベンダ] リストにあります。リストの前のボタンを使用して修正できます。
  • 検出されたベンダ:管理されたデバイスのインベントリ ソフトウェア スキャナで検出されたベンダ。
  • 信頼できるベンダ: [検出] されたベンダ リストの右側に表示されるこのリストには、管理者が管理できるベンダの署名と、信頼できる署名かどうかが示されます。 ワイルドカードを使用すると、ベンダ名が、デジタル署名されたアプリケーションに表示される名前のバリエーションが確実に一致します。
  • 追加、編集、削除:ベンダ リストのベンダ名を管理します。

エンドポイント セキュリティの [詳細]: [アプリケーション ファイル リスト] ページについて

[アプリケーション コントロール] または [Ivanti ファイアウォール] コンポーネントを選択した場合は、このリストを編集できます。アプリケーション ファイル リストを使用すると、デバイスのファイル システム上にあるファイルがマルウェアではなく、改ざんされていないことを保証できます。詳細については、ファイル レピュテーションを使用したアプリケーションの制限をご参照ください。

  • アプリケーション ファイル リスト: [追加] ボタンと [編集] ボタンを使用して、使用する信頼ファイル リストを構成します。
  • 学習リスト:コンポーネントが学習モードに設定されている場合、学習されたファイル情報がこのリストに追加されます。
  • 学習アクティビティを学習リストにのみ追加指定した学習リストのみを更新します。
  • 学習アクティビティを同じファイルが既に存在しているリストに追加:学習されたファイルのエントリがあるすべての信頼できるファイルを更新します。
  • デジタル署名によって信頼されたファイルを自動的にアプリケーション ファイル リストに追加する: アプリケーション コントロールはファイルが実行されるたびにクエリを発行して、デジタル証明書の存在を検出します。そのファイルに有効なデジタル署名が施されていれば、そのファイルの実行が許可されます。 既定では、LANDesk または Ivanti によるデジタル署名が施されたプロセスはすべて、この設定とは無関係に信頼されます。 既定で無効になっています。
  • ローカル アプリケーション ファイル リストを有効にする: コア サーバや別のコンソールからは管理できないローカル アプリケーション ファイル リストを、コンピュータ上で有効にします。一部のユーザにとって有益である可能性のある機能ですが、このリストを編集するには、コンピュータへの物理的なアクセスまたはリモート コントロール アクセスが必要になります。[エンドポイント セキュリティ] でファイル リストを表示すると、[スコープ] 列に、そのスコープが [グローバル] なのか [ローカル] なのかが表示されます。既定で無効になっています。