この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
Trend Micro Deep Securityのアプリケーションコントロール機能をWindows Serverで試してみました。
許可ルールにないPowerShellスクリプトとEXEファイルがブロックされることを確認しました。
アプリケーションコントロールは、アプリケーションの変更を管理する機能です。
ソフトウェアの許可ルールを作成しておくことで、ゼロデイのランサムソフトウェア等に対応出来ます。
アプリケーションコントロールの有効化
EC2にDeep Security Agentをインストールします。
Windows Server 2016を利用しました。
インストール手順はこちらをご覧ください。
コンピュータエディタまたは、ポリシーエディタを開きます。
アプリケーションコントロール > 一般 > 設定を選択し、有効化します。
アクションは、以下の2つから選択出来ます。
今回は前者を選択しました。
- 承認されていないソフトウェアを明示的に許可するまでブロック
- 承認されていないソフトウェアを明示的にブロックするまで許可
メンテナンスモードの有効化
メンテナンスモードを有効化し、ソフトウェアの許可ルールを作成します。
不要なソフトウェアがインストールされていない状態で有効化するよう留意します。
期間は15分を選択しました。
試験用に日付を表示するPowerShellスクリプト"get_date.ps1"を作成します。
PS C:\Users\Administrator> Get-Content .\Desktop\get_date.ps1
Get-Date
PS C:\Users\Administrator>動作テスト
PowerShellのブロック
許可ルールに追加された"get_date.ps1"は実行可能です。
PS C:\Users\Administrator> .\Desktop\get_date.ps1
2017年7月18日 6:54:23
PS C:\Users\Administrator>同じ内容のget_date2.ps1を作成し、実行します。
エラーが表示され実行出来ません。
PS C:\Users\Administrator> .\Desktop\get_date2.ps1
アクセスが拒否されました。
発生場所 行:1 文字:1
+ .\Desktop\get_date2.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (:) [], UnauthorizedAccessException
+ FullyQualifiedErrorId : System.UnauthorizedAccessException
PS C:\Users\Administrator>"アプリケーションコントロールイベント"が発生しました。
ルールの変更から許可を与えた所、実行出来ました。
EXEファイルのブロック
ChromeSetup.exeをデスクトップに配置し、実行します。
エラーメッセージが表示され、実行出来ません。
アプリケーションコントロール機能でブロックされた状態です。
GoogleUpdate.exeとChromeSetup.exeに許可を与えると、EXEを実行出来ました。
最後に
Trend Micro Deep Securityのアプリケーションコントロール機能をWindows Serverで試してみました。
許可ルールに追加されたPowerShell スクリプトは実行可能でした。
許可ルールにないスクリプトについては、ブロックされました。
EXEファイルについても、同様にブロック出来ました。
アプリケーションコントロール機能を使う事で、意図しないスクリプトや不正なEXEファイルの実行を防げるかと思います。
検証環境
- Trend Micro Deep Security as a Service
- Windows_Server-2016-Japanese-Full-Base-2017.06.14
- Deep Security Agent 10.1.0.205
0
