Deep SecurityのアプリケーションコントロールをWindowsで試してみた

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

Trend Micro Deep Securityのアプリケーションコントロール機能をWindows Serverで試してみました。
許可ルールにないPowerShellスクリプトとEXEファイルがブロックされることを確認しました。

アプリケーションコントロールは、アプリケーションの変更を管理する機能です。
ソフトウェアの許可ルールを作成しておくことで、ゼロデイのランサムソフトウェア等に対応出来ます。

アプリケーションコントロールの有効化

EC2にDeep Security Agentをインストールします。
Windows Server 2016を利用しました。
インストール手順はこちらをご覧ください。

コンピュータエディタまたは、ポリシーエディタを開きます。
アプリケーションコントロール > 一般 > 設定を選択し、有効化します。

アクションは、以下の2つから選択出来ます。
今回は前者を選択しました。

  • 承認されていないソフトウェアを明示的に許可するまでブロック
  • 承認されていないソフトウェアを明示的にブロックするまで許可

1

メンテナンスモードの有効化

メンテナンスモードを有効化し、ソフトウェアの許可ルールを作成します。
不要なソフトウェアがインストールされていない状態で有効化するよう留意します。
期間は15分を選択しました。

2

試験用に日付を表示するPowerShellスクリプト"get_date.ps1"を作成します。

PS C:\Users\Administrator> Get-Content .\Desktop\get_date.ps1
Get-Date

PS C:\Users\Administrator>

動作テスト

PowerShellのブロック

許可ルールに追加された"get_date.ps1"は実行可能です。

PS C:\Users\Administrator> .\Desktop\get_date.ps1

2017年7月18日 6:54:23

PS C:\Users\Administrator>

同じ内容のget_date2.ps1を作成し、実行します。
エラーが表示され実行出来ません。

PS C:\Users\Administrator> .\Desktop\get_date2.ps1
アクセスが拒否されました。
発生場所 行:1 文字:1
+ .\Desktop\get_date2.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [], UnauthorizedAccessException
    + FullyQualifiedErrorId : System.UnauthorizedAccessException

PS C:\Users\Administrator>

"アプリケーションコントロールイベント"が発生しました。
ルールの変更から許可を与えた所、実行出来ました。

3

4

EXEファイルのブロック

ChromeSetup.exeをデスクトップに配置し、実行します。
エラーメッセージが表示され、実行出来ません。
アプリケーションコントロール機能でブロックされた状態です。

5

6

GoogleUpdate.exeとChromeSetup.exeに許可を与えると、EXEを実行出来ました。

最後に

Trend Micro Deep Securityのアプリケーションコントロール機能をWindows Serverで試してみました。
許可ルールに追加されたPowerShell スクリプトは実行可能でした。
許可ルールにないスクリプトについては、ブロックされました。
EXEファイルについても、同様にブロック出来ました。
アプリケーションコントロール機能を使う事で、意図しないスクリプトや不正なEXEファイルの実行を防げるかと思います。

検証環境

  • Trend Micro Deep Security as a Service
  • Windows_Server-2016-Japanese-Full-Base-2017.06.14
  • Deep Security Agent 10.1.0.205