適用対象: WatchGuard Advanced EPDR、WatchGuard EDR、WatchGuard EDR
承認済みソフトウェア設定を割り当てることができるのは、Windows サーバーまたはワークステーションのみです。承認済みソフトウェアの除外では、除外ディレクトリ内のサブディレクトリは除外されません。
WatchGuard Endpoint Security では、以下 3 つの機能によりプログラムのブロックを回避することができます。
ファイルとパスを除外する
コンピュータの特定のアイテムやエリアをスキャンから除外します。不明なソフトウェアも実行されることになります。これがセキュリティ ホールにつながる可能性があるため、コンピュータのパフォーマンスに問題がある場合を除いて、これを利用することは勧められません。
分類プロセスでプログラムのブロックを解除する
ブロックされているプログラムの実行が一時的に許可されますが、これは事後対応アプローチとなります。プログラムが最初にブロックされていない限り、管理者がプログラムのブロックを解除することはできません。
ソフトウェアは複数のコンポーネントで構成されている可能性があり、各コンポーネントのブロックを個別に解除する必要があるため、ブロックとブロック解除のプロセスには時間がかかる場合があります。
承認済みソフトウェアを構成する
分類プロセスで不明なプログラムが積極的にブロック解除されます。管理者は、リスクが検出されなければ使用可能となる送信元が既知のプログラムの設定を割り当てることができます。これは、プログラムのブロック解除の方法として推奨されます。
承認済みソフトウェア設定プロファイルで、分類される前に実行を許可する承認済みソフトウェアまたは承認済みソフトウェア ファミリの設定を構成することができます。たとえば、プログラムの送信元とブロックされた理由が判明している場合は、そのプログラムのブロックを解除することが可能となります。以下は、ブロックの解除を検討するべきプログラムの例です。
- ユーザーが非常に少ない特定のニッチ プログラム。
- ユーザーの操作なしでベンダーの Web サイトから自動的に更新されるプログラム。
- 数百ものライブラリに分散された機能を備えたプログラム。これはメモリにロードされるため、ユーザーがプログラム メニューからこれを使用するとブロックされます。
- クライアント側が共有ネットワーク リソースでホストされているクライアント サーバー モデル。
- 実行可能ファイルを動的に生成するポリモーフィック ソフトウェア。
承認済みソフトウェアの設定を行うと、スクリプト ファイル、スタンドアロン DLL、その他のファイルを除く実行可能バイナリ ファイルの実行を承認することができます。プログラムが不明の DLL をダウンロードしたため WatchGuard Endpoint Security がそのプログラムをブロックした場合は、ユーザーのコンピュータに表示されるポップアップ メッセージで指定された実行可能ファイルを承認します。プログラムの承認後、プログラムが使用するすべての DLL ファイルとリソースも許可されます。
プログラムが分析された後、WatchGuard Endpoint Security でプログラムがグッドウェアまたはマルウェアとして分類されます。プログラムが脅威となる場合は、こうした設定で承認されているかどうかに関わらず、プログラムがブロックされます。
継承された承認済みソフトウェア
既定では、Service Provider から継承した承認済みソフトウェア設定を編集または削除することはできません。Service Provider は、承認済みソフトウェアのリストを編集可能にするよう構成することができます。設定プロファイルには編集可能な設定というラベルが表示されます。この場合、承認済みソフトウェアを追加することはできますが、Service Provider によって定義されたソフトウェアのリストを削除したり編集したりすることはできません。
Service Provider が設定のステータスを編集可能から編集不可に変更した場合、追加した承認済みソフトウェアは適用されなくなります。Service Provider のソフトウェアのみが適用されます。Service Provider が構成を編集可能に再度変更すると、追加した承認済みソフトウェアは復元され、適用されます。
承認済みソフトウェアの設定を構成する
承認済みソフトウェア設定を構成するには、以下の手順を実行します。
- WatchGuard Cloud で、構成 > Endpoint の順に選択します。
- 設定 を選択します。
- 左ペインで、承認済みソフトウェア を選択します。
- 編集する既存のセキュリティ設定プロファイルを選択する、既存のプロファイルをコピーする、またはウィンドウの右上隅にある 追加 をクリックして新しいプロファイルを作成します。
設定の追加または設定の編集 ページが開きます。
- 必要に応じて、プロファイルの 名前 と 説明 を入力します。
- 新規ルールを作成するには、プログラムの承認 をクリックします。
プログラムの承認 ダイアログ ボックスが開きます。
- MD5 ハッシュ コードで実行可能なプログラムを指定する場合は、MD5 を選択します。
- テキスト ボックスに、追加するプログラムの MD5 ハッシュを入力します。
詳細については、1 つまたは複数のファイルの MD5 を計算する を参照してください。 - プログラム プロパティ経由で追加するプログラムを指定するには、プログラム プロパティ を選択します。
- 署名 – ファイルの SHA-1 デジタル署名。詳細については、署名付きプログラムの拇印を取得する を参照してください。
- 製品名 – ブロックを解除するファイルのヘッダーにある製品名の値。製品名を表示するには、プログラム ファイルを右クリックして、プロパティ > 詳細 の順に選択します。
- ファイル パス – サーバーまたはワークステーションのプログラム パス。システム環境変数が受け入れられます。承認済みソフトウェア除外は、除外ディレクトリ内のサブフォルダを除外しません。各ファイル パスを指定する必要があります。
- ファイル名 – ブロックを解除するファイルの名前。ワイルドカード * および ? を使用できます。
- ファイル バージョン – ブロックを解除するファイルのヘッダーにあるバージョン。バージョンを表示するには、プログラム ファイルを右クリックして、プロパティ > 詳細 の順に選択します。
- 承認する をクリックします。
- 保存 をクリックします。
- 必要に応じて、プロファイルを選択して、受信者を割り当てます。
詳細については、設定プロファイルを割り当てる を参照してください。
1 つまたは複数のファイルの MD5 を計算する
ファイルの MD5 の計算に利用できるツールは多くあります。本セクションでは、Windows 10 で PowerShell ツールを使用する方法についてご説明します。
- File Explorer (ファイル エクスプローラー) で、ファイルが入っているフォルダを開きます。
- ファイル > Windows PowerShell を開く の順に選択します。
コマンド ラインの入ったウィンドウが開きます。
- 以下のコマンドを入力して、$files をファイル パスに置き換えます。ワイルドカード * と ? は受け付けられます。
PS c:\folder> Get-FileHash -Algorithm md5 -path $files
- MD5 ハッシュをクリップボードにコピーするには、Alt キーを押したまま、マウスポインタでハッシュを選択します。Ctrl + C を押します。
- クリップボードからすべての MD5 ハッシュを Endpoint Security 管理 UI に貼り付けるには、承認済みソフトウェア ルールの MD5 フィールドをクリックして、Ctrl + V を押します。
- 承認する をクリックします。
- 保存 をクリックします。
承認済みソフトウェア設定が更新されます。
署名付きプログラムの拇印を取得する
- ファイルを右クリックして、プロパティ を選択します。
- プロパティ ウィンドウで、デジタル署名 タブを選択します。
- 署名リスト から、署名を選択します。
- 詳細 をクリックします。
デジタル署名ウィンドウが開きます。 - デジタル署名の詳細 ウィンドウで、一般 タブを選択して、証明書を表示する をクリックします。
証明書ウィンドウが開きます。 - 証明書 パスで、証明書パス タブを選択して、証明書パスの最後ノードが選択されていることを確認します。
- 証明書 ウィンドウで、詳細 タブを選択して、フィールド 拇印 を選択します。
- 表示されたテキスト ボックスで文字列を選択し、Ctrl + C を押して、クリップボードにコピーします。
- 承認済みソフトウェア ルールの 署名 フィールドをクリックし、Ctrl + V を押して、拇印を管理 UI に貼り付けます。
- 承認する をクリックします。
- 保存 をクリックします。
承認済みソフトウェア設定が更新されます。