WatchGuard Endpoint Security で 承認済みソフトウェア設定を構成する

適用対象:WatchGuard EPDRWatchGuard EDR

Advanced Protection におけるハードニング モードとロック モードで、WatchGuard EPDR と WatchGuard EDR により、WatchGuard で「不明」と認識されたプログラムはこれが分類されるまで実行できないように設定することができます。これにより、プログラムの送信元およびブロックされた理由が判明している場合でも、ユーザーに遅延が発生する可能性があります。

たとえば、WatchGuard Endpoint Security の既定では、以下のプログラムがブロックされます。

  • ユーザーが非常に少ない特定のニッチ プログラム。
  • ユーザーの操作なしでベンダーの Web サイトから自動的に更新されるプログラム。
  • 数百ものライブラリに分散された機能を備えたプログラム。これはメモリにロードされ、ユーザーがプログラム メニューからこれを使用するとブロックされます。
  • クライアント側が共有ネットワーク リソースでホストされているクライアント サーバー モデルで動作するプログラム。
  • 実行可能ファイルを動的に生成するポリモーフィック ソフトウェア。

承認済みソフトウェアと例外

WatchGuard Endpoint Security では、以下 3 つの機能によりプログラムのブロックを回避することができます。

ファイルとパスを除外する

コンピュータの特定のアイテムやエリアをスキャンから除外します。不明なソフトウェアも実行されることになります。これがセキュリティ ホールにつながる可能性があるため、コンピュータのパフォーマンスに問題がある場合を除いて、これを利用することは勧められません。

分類プロセスでプログラムのブロックを解除する

ブロックされているプログラムの実行が一時的に許可されますが、これは事後対応アプローチとなります。プログラムが最初にブロックされていない限り、管理者がプログラムのブロックを解除することはできません。

ソフトウェアは複数のコンポーネントで構成されている可能性があり、各コンポーネントのブロックを個別に解除する必要があるため、ブロックとブロック解除のプロセスには時間がかかる場合があります。

承認済みソフトウェアを構成する

分類プロセスで不明なプログラムが積極的にブロック解除されます。管理者は、リスクが検出されなければ使用可能となる送信元が既知のプログラムの設定を割り当てることができます。これは、プログラムのブロック解除の方法として推奨されます。

承認済みソフトウェア設定

設定にアクセスするには、以下の手順を実行します。

  1. 上部のナビゲーション バーで、設定 を選択します。
  2. 左ペインで、承認済みソフトウェア を選択します
  3. 追加 をクリックします。
    設定を追加する ページが開きます。
  4. プログラムを承認する
    をクリックします。 プログラムを承認する ダイアログ ボックスが開きます。

承認済みソフトウェア設定を構成する

承認済みソフトウェア設定は、1 つまたは複数のルールで構成されます。各ルールは、分類前に WatchGuard Endpoint Security で実行が許可される単一のソフトウェア コンポーネントまたはプログラム ファミリを参照します。承認済みソフトウェアのセキュリティ設定プロファイルを作成する方法の詳細については、承認済みソフトウェア設定を構成する (Windows コンピュータ) を参照してください。

フィールド 説明
名前 ルール名。
MD5 WatchGuard EPDR または EDR で実行が許可されるファイルの MD5 ハッシュ。
製品名 ブロックを解除するファイル ヘッダーの 製品名 フィールド。この値を取得するには、プログラムを右クリックして、プロパティ > 詳細 の順に選択します。
ファイル パス サーバーまたはワークステーションのプログラム パス。環境変数が受け入れられます。
ファイル名 ファイル名。ワイルドカード *? は受け付けられます。
ファイル バージョン ブロックを解除するファイル ヘッダーのバージョン フィールド。この値を取得するには、プログラムを右クリックして、プロパティ > 詳細 の順に選択します。
署名 ファイルのデジタル署名。

承認済みソフトウェア セキュリティ設定プロファイルを削除する

  1. 削除する承認済みソフトウェア ルールの横にある をクリックします。
  2. 保存 をクリックします。
    承認済みソフトウェア設定が更新されます。

承認済みソフトウェア セキュリティ設定プロファイルを編集する

  1. 承認済みソフトウェア ルールの名前をクリックします。
    プログラムを承認する ダイアログ ボックスが開きます。
  2. ルールのプロパティを編集して、承認する をクリックします。
  3. 保存 をクリックします。
    承認済みソフトウェア設定が更新されます。

承認済みソフトウェア セキュリティ設定プロファイルをコピーする

  1. コピーする承認済みソフトウェア ルールの横にある コピー をクリックします。
    プログラムを承認する ダイアログ ボックスが開きます。名前には、プレフィックス「Copy of」の付いたルール名が含まれます。
  2. ルールのプロパティを編集して、承認する をクリックします。
  3. 保存 をクリックします。
    承認済みソフトウェア設定が更新されます。

1 つまたは複数のファイルの MD5 を計算する

ファイルの MD5 の計算に利用できるツールは多くあります。本セクションでは、Windows 10 で PowerShell ツールを使用する方法についてご説明します。

  1. File Explorer (ファイル エクスプローラー) で、ファイルが入っているフォルダを開きます。
  2. ファイル > Windows PowerShell を開く の順に選択します。
    コマンド ラインの入ったウィンドウが開きます。

Screen shot of the PowerShell window

  1. 以下のコマンドを入力して、$files をファイル パスに置き換えます。ワイルドカード *? は受け付けられます。

PS c:\folder> Get-FileHash -Algorithm md5 -path $files

  1. MD5 ハッシュをクリップボードにコピーするには、Alt キーを押したまま、マウスポインタでハッシュを選択します。Ctrl + C を押します。
  2. クリップボードからすべての MD5 ハッシュを WatchGuard Endpoint Security Web UI に貼り付けるには、承認済みソフトウェア ルールの MD5 フィールドをクリックして、Ctrl + V を押します。
  3. 承認する をクリックします。
  4. 保存 をクリックします。
    承認済みソフトウェア設定が更新されます。

署名付きプログラムの拇印を取得する

  1. ファイルを右クリックして、プロパティ を選択します。
  2. プロパティ ウィンドウで、デジタル署名 タブを選択します。
  3. 署名リスト から、署名を選択します。
  4. 詳細 をクリックします。
    デジタル署名ウィンドウが開きます。
  5. デジタル署名の詳細 ウィンドウで、全般 タブを選択して、証明書を表示する をクリックします。
    証明書ウィンドウが開きます。
  6. 証明書 パスで、証明書パス タブを選択して、証明書パスの最後ノードが選択されていることを確認します。
  7. 証明書 ウィンドウで、詳細 タブを選択して、フィールド 拇印 を選択します。
  8. 表示されたテキスト ボックスで文字列を選択し、Ctrl + C を押して、クリップボードにコピーします。
  9. 承認済みソフトウェア ルールの 署名 フィールドをクリックし、Ctrl + V を押して、拇印を WatchGuard Endpoint Security Web UI に貼り付けます。
  10. 承認する をクリックします。
  11. 保存 をクリックします。
    承認済みソフトウェア設定が更新されます。