Deep SecurityのアプリケーションコントロールをWindowsで試してみた
はじめに
Trend Micro Deep Securityのアプリケーションコントロール機能をWindows Serverで試してみました。
許可ルールにないPowerShellスクリプトとEXEファイルがブロックされることを確認しました。
アプリケーションコントロールは、アプリケーションの変更を管理する機能です。
ソフトウェアの許可ルールを作成しておくことで、ゼロデイのランサムソフトウェア等に対応出来ます。
アプリケーションコントロールの有効化
EC2にDeep Security Agentをインストールします。
Windows Server 2016を利用しました。
インストール手順はこちらをご覧ください。
コンピュータエディタまたは、ポリシーエディタを開きます。
アプリケーションコントロール > 一般 > 設定を選択し、有効化します。
アクションは、以下の2つから選択出来ます。
今回は前者を選択しました。
- 承認されていないソフトウェアを明示的に許可するまでブロック
- 承認されていないソフトウェアを明示的にブロックするまで許可
メンテナンスモードの有効化
メンテナンスモードを有効化し、ソフトウェアの許可ルールを作成します。
不要なソフトウェアがインストールされていない状態で有効化するよう留意します。
期間は15分を選択しました。
試験用に日付を表示するPowerShellスクリプト"get_date.ps1"を作成します。
PS C:\Users\Administrator> Get-Content .\Desktop\get_date.ps1 Get-Date PS C:\Users\Administrator>
動作テスト
PowerShellのブロック
許可ルールに追加された"get_date.ps1"は実行可能です。
PS C:\Users\Administrator> .\Desktop\get_date.ps1 2017年7月18日 6:54:23 PS C:\Users\Administrator>
同じ内容のget_date2.ps1を作成し、実行します。
エラーが表示され実行出来ません。
PS C:\Users\Administrator> .\Desktop\get_date2.ps1
アクセスが拒否されました。
発生場所 行:1 文字:1
+ .\Desktop\get_date2.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (:) [], UnauthorizedAccessException
+ FullyQualifiedErrorId : System.UnauthorizedAccessException
PS C:\Users\Administrator>
"アプリケーションコントロールイベント"が発生しました。
ルールの変更から許可を与えた所、実行出来ました。
EXEファイルのブロック
ChromeSetup.exeをデスクトップに配置し、実行します。
エラーメッセージが表示され、実行出来ません。
アプリケーションコントロール機能でブロックされた状態です。
GoogleUpdate.exeとChromeSetup.exeに許可を与えると、EXEを実行出来ました。
最後に
Trend Micro Deep Securityのアプリケーションコントロール機能をWindows Serverで試してみました。
許可ルールに追加されたPowerShell スクリプトは実行可能でした。
許可ルールにないスクリプトについては、ブロックされました。
EXEファイルについても、同様にブロック出来ました。
アプリケーションコントロール機能を使う事で、意図しないスクリプトや不正なEXEファイルの実行を防げるかと思います。
検証環境
- Trend Micro Deep Security as a Service
- Windows_Server-2016-Japanese-Full-Base-2017.06.14
- Deep Security Agent 10.1.0.205
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
