HIPS ヘルプ
このダイアログ ボックスでは、 HIPS 設定 (構成ファイル) を作成および編集します。 HIPS 設定を作成する場合は、まず一般的な要件とアクションを定義し、その後特定のファイル証明書を追加します。 HIPS設定は必要な数だけ作成でき、いつでも編集できます。
HIPS エージェントの再インストールやエージェント構成全体を再配布せずにデバイスの既定の HIPS 設定を変更する場合は、[HIPS 設定] ダイアログボックスの任意のオプションを変更して、新しい設定を設定変更タスクに割り当て、その後設定変更タスクをターゲット デバイスに適用します。
このダイアログ ボックスには次のページがあります。
[HIPS:一般設定ページ
このページでは、HIPS の一般的保護設定およびアクションを構成できます。
このページには次のオプションがあります。
- 名前:HIPS 設定に固有の名前を付けます。 この名前は、[セキュリティ コンポーネントのインストールまたは更新タスク] ダイアログ ボックスの [HIPS 設定] ドロップダウン リストに表示されます。
- 保護設定:保護には 2 つのタイプしかありません。 HIPS とホワイトリストです。 片方または両方を選択できます。いずれの保護タイプも、[モード設定] ページで選択した同じ動作モードを使用します。 (メモ:この一般的な保護適用には例外が 1 つあります。 学習保護モードを指定して、[ホワイトリストのみ学習] オプションを選択すると、ホワイトリスト アプリケーションのみが学習対象となり、HIPS 保護は自動ブロック モードに設定されます。)
- Host Intrusion Prevention を有効にする:HIPS 保護をオンにします。 プログラム動作が既定の保護ルールで定義されているシステム セキュリティを脅かす場合を除き、すべてのプログラムの実行を許可します。 カスタム ファイル証明書を設定することで、特別な権限を信頼できるファイル リスト経由でプログラム ファイルに割り当てることができます。 HIPS 保護はアプリケーションの動作 (アプリケーションが別の実行可能ファイルの修正、レジストリの修正などができるかどうか) を監視し、セキュリティ ルールを適用します。
- バッファ オーバーフロー プロテクションを使用:ユーザの入力を待機しているプログラムまたはプロセスを利用するシステム メモリ エクスプロイトからデバイスを保護します。
メモ:バッファ オーバーフロー プロテクション (BOP) は、プロセッサの NX/XD (No eXecute/eXecute Disable) の有無にかかわらず、32 ビットの Windows デバイスで有効にできます。 プロセッサが NX/XD をサポートしていない場合は、エミュレートされます。 ただし、プロセッサが NX/XD をサポートしていても、BIOS または起動構成でオフになっている場合は、BOP を有効にできません。 エンドポイント セキュリティ クライアントでは、BOP が有効であるか無効であるかがエンド ユーザ デバイスに表示されます。 Kernel Patch Protection (KPP) 機能によりカーネルへのパッチ適用ができないため、BOP は 64 ビットの Windows デバイスには対応していません。
重要:まず、特定のハードウェア構成でバッファ オーバーフロー プロテクション (BOP) をテストしてから、ネットワークの管理デバイスに大規模配布することを強くお勧めします。 特定の Windows OS バージョンを実行する古いプロセッサ (HT または HyperThreading の Pentium 4) の一部では、バッファ オーバーフロー プロテクションが完全にサポートされていない場合があります。
- バッファ オーバーフロー プロテクションを使用:ユーザの入力を待機しているプログラムまたはプロセスを利用するシステム メモリ エクスプロイトからデバイスを保護します。
- ホワイトリスト保護を有効にする: 選択すると、信頼できるファイル リストで指定されているアプリケーションとファイル認証の許可実行オプションが有効になっているアプリケーションのみ実行できます。
- Windows エクスプローラでの実行ファイルの修正と削除の防止Windows で実行ファイルの修正または削除を禁止する場合はこのオプションを有効にします。
- Host Intrusion Prevention を有効にする:HIPS 保護をオンにします。 プログラム動作が既定の保護ルールで定義されているシステム セキュリティを脅かす場合を除き、すべてのプログラムの実行を許可します。 カスタム ファイル証明書を設定することで、特別な権限を信頼できるファイル リスト経由でプログラム ファイルに割り当てることができます。 HIPS 保護はアプリケーションの動作 (アプリケーションが別の実行可能ファイルの修正、レジストリの修正などができるかどうか) を監視し、セキュリティ ルールを適用します。
- 実行するアクション:プログラムがデバイスの [スタートアップ] フォルダに追加された場合に実行するアクションを指定します。 このオプションにより、system startup フォルダにあるプロセスを認証するための第 2 段階の防御が提供されます。HIPS はスタートアップの内容を監視します。 新しいプロセスが検出された場合は、選択したアクション ([処理に対するアラートおよびメッセージを表示する]、[常にプログラムの実行を許可する]、または [アラートを表示せずにプログラムをスタートアップから削除する]) が実行されます。
- 既定に設定:HIPS 設定を使用するタスクに対して、この設定を既定の設定とします。
- ID:この特定の設定を識別します。 この情報はデータベースに格納され、各設定を把握するために使用されます。
- 保存 :変更内容を保存してダイアログ ボックスを閉じます。
- キャンセル :変更内容を保存せずにダイアログ ボックスを閉じます。
[HIPS:モード設定] ページについて
このページでは、HIPS 保護機能の操作モードを構成します。
このページには次のオプションがあります。
- Host intrusion prevention モード:HIPS 保護が有効なときの保護動作を指定します。 HIPS モードが有効な場合、次のいずれかの処理方法を選択できます。
- ブロック:セキュリティ違反はブロックされ、コア サーバのアクション履歴ファイルに記録されます。
- 学習:すべてのアプリケーション セキュリティ違反が許可されますが、アプリケーションの動作は監視または学習され、この情報は信頼できるファイル リストのコア データベースに送信されます。この操作モードで特定または複数のデバイスで作動するアプリケーションの動作を検索します。 検索した情報を使用することで、HIPS ポリシーをカスタマイズしてネットワーク全体に HIPS 保護機能を配布かつ強制することができます。
- ログのみ:セキュリティ違反は許可されますが、コア サーバのアクション履歴ファイルに記録されます。
- サイレント:セキュリティ違反はブロックされ、コア サーバのアクション履歴ファイルに記録されません。
- ホワイトリスト モード: 保護が有効になっている場合の保護動作を指定します。 ホワイトリスト保護では、信頼できるファイル リストにあり、ホワイトリスト指定がされているアプリケーション (ファイル証明書の許可実行オプションが有効になっているアプリケーション) の実行と学習のみが可能です。 ホワイトリスト モードが有効な場合、次のいずれかの処理方法を選択できます。
- ブロック:セキュリティ違反はブロックされ、コア サーバのアクション履歴ファイルに記録されます。
- 学習:すべてのアプリケーション セキュリティ違反が許可されますが、アプリケーションの動作は監視または学習され、この情報は信頼できるファイル リストのコア データベースに送信されます。この操作モードで特定または複数のデバイスで作動するアプリケーションの動作を検索します。 検索した情報を使用することで、HIPS ポリシーをカスタマイズしてネットワーク全体に HIPS 保護機能を配布かつ強制することができます。
- ログのみ:セキュリティ違反は許可されますが、コア サーバのアクション履歴ファイルに記録されます。
- サイレント:セキュリティ違反はブロックされ、コア サーバのアクション履歴ファイルに記録されません。
[HIPS:ファイル保護ルール] ページについて
このページでは、ファイル保護ルールを表示および管理します。 ファイル保護ルールは、指定されたファイルに対して指定実行プログラムが特定のアクションを実行しないように制限する規則です。 ファイル保護ルールを使えば、プログラムがファイルに対して実行するアクション (アクセス、変更、作成、実行) を許可または拒否できます。
このダイアログ ボックスには次のオプションがあります。
- 保護ルール:LANDesk の事前定義 (既定) ファイル保護ルールおよびユーザが作成した保護ルールをすべて表示します。
- ルール名:ファイル保護ルールの名前です。
- 制限:ファイル保護ルールによって制限されているアクション、つまりプログラムがファイルに対して実行できないアクションです。
- プログラム:保護ルールで保護されている実行可能ファイルを表示します。
- 上へ移動/下へ移動:ファイル保護ルールの優先順位を設定できます。 リスト内で上位のファイル保護ルールは下位のルールよりも優先順位が高いことを示します。 たとえばプログラムが特定のファイルやファイル タイプにアクセスしたりこれらを変更しないように制限するルールを作成した後、作成した保護ルールの例外を含む別のルールを作成し、これを1つ以上のプログラムに適用できます。 この例外ルールはリスト内で上位にある限り適用されます。
- リセット:LANDESK の事前定義 (既定) ファイル保護ルールを復元します。
- 追加:[ファイル保護ルールの構成] ダイアログ ボックスを開きます。このダイアログ ボックスではプログラムの追加と削除、制限内容の指定ができます。
- 編集:[ファイル保護ルールの構成] ダイアログ ボックスを開きます。このダイアログ ボックスでは既存のファイル保護ルールを編集できます。
- 削除:ファイル保護ルールをデータベースから削除します。
NOTE: ファイル保護ルールは FILEWALL.XML ファイルに保存されており、このファイルは次のフォルダにあります。ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP
[HIPS:ファイル保護ルールの構成] ダイアログ ボックスについて
このページでは、ファイル保護ルールを構成します。
このダイアログ ボックスには次のオプションがあります。
- ルール名:ファイル保護ルールの固有名です。
- 監視されたプログラム
- すべてのプログラム:下に表示されたファイルに対して選択したアクションの実行を制限するすべての実行可能プログラムを指定します。
- プログラムの名前:制限の対象となるファイル実行可能プログラムをリストから指定します。
- 追加:ファイル保護ルールの対象となるプログラムを選択できます。 ファイル名およびワイルドカードを使って追加できます。
- 編集:プログラム名を変更できます。
- 削除:リストからプログラムを削除します。
- 例外
- 認証されたプログラムの例外を許可:認証済みファイルのリストに含まれる実行可能プログラムがファイル保護ルールに関連付けられた制限を無視できるようにします。
- ファイルの保護
- すべてのファイル:指定したプログラムからすべての保護ファイルを関連付けられた制限に基づいて保護します。
- ファイル名:リストに含まれるファイルから、保護の対象のファイルを指定できます。
- 追加:ファイル保護ルールで保護するファイルを選択できます。 ファイル名かワイルドカードを使用できます。
- 編集:ファイル名を変更できます。
- 削除:リストからファイルを削除します。
- サブディレクトリも適用:指定ディレクトリに属するすべてのサブディレクトリにファイル保護ルールを適用します。
- 保護されたファイルで制限されている処理
- 読み取り専用アクセス:指定したプログラムによる保護ファイルへのアクセスを防ぎます。
- 変更:指定したプログラムによる保護ファイルの変更を防ぎます。
- 作成:指定したプログラムによる保護ファイルの作成を防ぎます。
- 実行:指定したプログラムによる保護ファイルの実行を防ぎます。