ファイル レピュテーションを使用したアプリケーションの制限
セキュリティと準拠のファイル レピュテーション機能では、デバイスのファイル システムのファイルがマルウェアではなく、改ざんされていないことを保証できます。 アプリケーション コントロール動作保護によって管理デバイスを保護できますが、アプリケーションの動作方法によっては、誤検出によって合法的なアプリケーションでもトリガーされる可能性があります。 ファイル レピュテーションを使用する場合は、既知の「安全」レピュテーションが割り当てられたファイルに個別のアプリケーション コントロール動作プロファイルを作成し、通常の動作に基づくアプリケーション コントロールを回避できます。
既定では、ファイル レピュテーションは有効ではありません。 ファイル レピュテーションを有効にする場合、管理デバイスのファイルに関する匿名のファイル レピュテーション情報が安全に Ivanti ファイル レピュテーション クラウド サーバに送信されます。これにより、この機能のすべてのユーザにとって、ファイル レピュテーションの正確性と適用範囲が向上します。
ファイル レピュテーションを有効にする場合、デバイスでアプリケーションを実行するたびに、まずエージェントがローカル データベースをチェックし、アプリケーション ファイルが既知の良好なハッシュと一致するかどうかを確認します。 一致しない場合、エージェントは要求とファイルに関するデータをコア サーバに送信します。 コア サーバはデータベースをチェックし、ファイルのレピュテーション情報が既に存在するかどうかを確認します。 存在しない場合、コアは要求を Ivanti クラウド レピュテーション サーバに送信します。 ファイル ハッシュがクラウドの結果と一致する場合、クラウド サーバはファイルのレピュテーション情報をコアとクライアントに返します。
ファイル レピュテーション システムは Ivanti クラウド ホスト型データベースを使用します。このデータベースには、名前、サイズ、メタデータ、SHA1 ハッシュなどのファイル情報が格納されています。 ファイル レピュテーション データベースに登録されているほとんどのデータは、National Software Reference Library (NSRL) が提供するデータです。 詳細については、次の Web サイトをご覧ください。http://www.nsrl.nist.gov/new.html
ファイルには次の 3 つのレピュテーションのいずれかが割り当てられます。
•安全:ファイルが NSRL データベースのエントリと一致するか、ファイルが安全であることが確実と見なされる十分な情報が Ivanti によって収集されています。
•危険:ファイルが NSRL データベースのエントリと一致しないか、ファイルが安全ではないことが確実と見なされる十分な情報が Ivanti によって収集されています。
•不明:このファイルと一致する情報がないか、ファイルが安全または危険であると判断するだけの十分な照合情報がありません。
ファイル レピュテーション アルゴリズムでは、特に、一致するファイルが出現する頻度、一致の経過時間、ファイルの署名者、エンドポイント マネージャ でファイルの発生が許可またはブロックされる頻度を考慮します。
ファイル レピュテーション監視を管理デバイスで使用するには、次のステップを実行する必要があります。
1.ファイル レピュテーション Ivanti 更新をダウンロードする
2.ファイル レピュテーションを使用するアプリケーション コントロール エージェント設定を作成する
別の方法
アプリケーション ファイル リストの一部として、レピュテーション定義を含める
3.設定を管理されたデバイスに配布する
1.[ツール] > [セキュリティと準拠] > [パッチと準拠] の順にクリックします。
2.[更新のダウンロード] ツールバー ボタンをクリックします。
3.[定義タイプ] リストで、[Ivanti ファイル レピュテーション更新] をクリックします。
4.確認ダイアログボックスで、ファイル レピュテーションの利用規約を読みます。 規約に同意する場合は、[同意します] をクリックします。 [同意しません] をクリックすると、[Ivanti ファイル レピュテーション更新] チェック ボックスがオフになります。
5.[ダウンロード] または [適用] ボタンをクリックします。
1.[ツール] > [セキュリティと準拠] > [エージェント設定] の順にクリックします。
2.[エージェント設定] > [個人エージェント設定] > [セキュリティ] > [エンドポイント セキュリティ] の下のツリーで、[アプリケーション コントロール] を右クリックして [新規] をクリックするか、既存の設定をダブルクリックします。
3.一般設定ページで、[「安全なレピュテーション」のファイルを関連付けられた信頼できるファイル リストと同じ方法で処理する] を選択します。
4.[「安全なレピュテーション」のアプリケーション動作] ボタンをクリックします。
5.安全なレピュテーションのファイルに対して実行する、[アプリケーション コントロール] と [Ivanti ファイアウォール] 動作を構成します。
6.[OK]、[保存] の順にクリックします。
1.[ツール] > [セキュリティと準拠] > [エージェント設定] の順にクリックします。
2.[エージェント設定] > [個人エージェント設定] > [セキュリティ] > [エンドポイント セキュリティ] の下のツリーで、[アプリケーション ファイル リスト] を右クリックして [新規] をクリックするか、既存の設定をダブルクリックします。
3.ダイアログボックスの最上部にあるオプションを有効にし、リストをクライアントに送信するときに自動的に「安全なレピュテーション」ファイルを含めるか、リストをクライアントに送信するときに自動的に「安全ではないレピュテーション」ファイルを含めます。
4.安全なレピュテーション フィルを含める場合は、[許可されたアプリケーション動作] ボタンをクリックし、安全なレピュテーションのファイルに適用するアプリケーション コントロールと Ivanti ファイアウォール動作を構成します。
5.[OK] をクリックします。
1.[ツール] > [セキュリティと準拠] > [エージェント設定] の順にクリックします。
2.[設定の構成] ツールバー ボタンをクリックし、[ファイル レピュテーション] をクリックします。
3.修正するアプリケーション ファイル リストをダブルクリックするか、新しいものを作成します。
4.[アプリケーション ファイル リスト] ツールバーで、
をクリックし、[参照してファイルを追加] または [名前を入力してブロック ファイルを追加] をクリックします。
5.選択するオプションに応じて、任意のファイルを参照し、[保存] をクリックするか、手動でファイル詳細を入力し、[OK] をクリックします。
1.[エージェント設定] ウィンドウで、[タスクの作成] ツールバー ボタンをクリックしてから [設定の変更] をクリックします。
2.環境設定によっては、設定変更タスク タイプのスケジュール タスクまたはポリシーを選択します。
3.設定リストの [エンドポイント セキュリティ] の横で、構成したアプリケーション コントロール設定を使用するエンドポイント セキュリティ設定を選択します。
4.[OK] をクリックし、[スケジュール タスク] ウィンドウでタスクの構成を完了します。
1.[ツール] > [セキュリティと準拠] > [エージェント設定] の順にクリックします。
2.[設定の構成] ツールバー ボタンをクリックし、[ファイル レピュテーション] をクリックします。 ファイルのリストを並べ替えるには、ページの最上部にあるチェックボックスを使用して、[フィルタの適用] をクリックします。
3.レピュテーションを変更するファイルを選択し、[レピュテーションの上書き] をクリックします。
4.[Ivanti レピュテーション設定を上書きする] がオンになっていることを確認し、[任意のレピュテーション] を選択します。
5.[OK] をクリックします。
1.[ツール] > [セキュリティと準拠] > [エージェント設定] の順にクリックします。
2.[エージェント設定] > [個人エージェント設定] > [セキュリティ] > [エンドポイント セキュリティ] の下のツリーで、[アプリケーション ファイル リスト] を右クリックして [新規] をクリックするか、既存の設定をダブルクリックします。
3.[アプリケーション ファイル リスト] ツールバーで、
をクリックし、[他のアプリケーション ファイル リストからインポート] をクリックします。
4.必要に応じてフィルタを適用し、インポートするファイルを選択します。 [次へ] をクリックします。
5.選択したファイルに適用するアプリケーション動作を構成し、[OK] をクリックします。
6.もう一度 [OK] をクリックし、アプリケーション ファイル リストの変更を保存します。
1.[ツール] > [セキュリティと準拠] > [エージェント設定] の順にクリックします。
2.[エージェント設定] > [個人エージェント設定] > [セキュリティ] > [エンドポイント セキュリティ] の下のツリーで、[アプリケーション ファイル リスト] を右クリックして [新規] をクリックするか、既存の設定をダブルクリックします。
3.[アプリケーション ファイル リスト] ツールバーで、
をクリックし、[.csv ファイルからインポート] をクリックします。
4.アプリケーション ファイル リスト情報が記述された .csv ファイルを参照し、[開く] をクリックします。
5.必要に応じてインポートされたファイルを構成し、[OK] をクリックします。
.csv ファイル形式は次のとおりです。
"ファイル名" "ファイル サイズ", "バージョン", "製造元名", "製品名", "MD5ハッシュ base64文字列", "SHA1文字列", "SHA256文字列", "アクセス権"
CSV エントリの例:
"abc.exe","4032","1.1.0.0","Company-1.","Product1","CWhlIHF1aWNrIGJyb3duIA==","a94a8fe5ccb19ba61c4c0873d391e987982fbbd3", "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08","AuthorizedInstaller AllowExecution BypassBufferOverflow"
許可された権限文字列は次のとおりです。
- AuthorizedInstaller: ファイルをインストールできます。
- AllowExecution: ファイルを実行できます。
- BypassBufferOverflow: バッファ オーバーフロー保護をバイパスします
- ModifyProtRegKeys: 保護されたレジストリ キーを修正します
- ProtAppInMem: メモリのアプリケーションを保護します
- ModifyExeFiles: 実行ファイルを修正します
- ModifyProtFiles: 保護されたファイルを修正します
- BypassAllProtection: すべての保護をバイパスします
- AddToSysStartup: システムのスタートアップに追加します
- InheritToChildProc: 権限は子プロセスに継承できます
- AllowSmtpOut: ファイルの電子メール送信を許可します
- AllowNetConnect: 信頼できる範囲外のアプリケーションの接続を許可します (インターネット)
- AllowNetListen: 信頼できる範囲内でのアプリケーションの接続の受信を許可します (インターネット)
- AllowTrustedNetConnect: 信頼できる範囲内でのアプリケーションの接続を許可します
- AllowTrustedNetListen: 信頼できる範囲内でのアプリケーションの接続の受信を許可します
1.[ツール] > [セキュリティと準拠] > [エージェント設定] の順にクリックします。
2.[エージェント設定] > [個人エージェント設定] > [セキュリティ] > [エンドポイント セキュリティ] の下のツリーで、[アプリケーション ファイル リスト] を右クリックして [新規] をクリックするか、既存の設定をダブルクリックします。
3.[アプリケーション ファイル リスト] ツールバーで、
をクリックし、[信頼できるデバイスからインポート] をクリックします。
4.任意のデバイスを選択し、[指定したデバイスからファイルをインポート] をクリックします。
5.これらのデバイスから .exe ファイルの完全スキャンを実行する場合は、[はい] をクリックします。
6.必要に応じてインポートされたファイルを構成し、[OK] をクリックします。
1.[ツール] > [セキュリティと準拠] > [エージェント設定] の順にクリックします。
2.[エージェント設定] > [個人エージェント設定] > [セキュリティ] > [エンドポイント セキュリティ] の下のツリーで、[アプリケーション ファイル リスト] を右クリックして [アプリケーション ファイルの統合] をクリックします。
3.ソース リストにするアプリケーション ファイル リストを選択します。
4.差異を統合するか、アプリケーション ファイルを置換するかどうかを選択します。
5.統合処理の対象リストを選択します。
6.[OK] をクリックします。