Application Control - Knowledge Center

製品ガイド
McAfee Application Control 7.0.0
著作権
Copyright © 2016 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィーリブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます)
をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文
書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェアパッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規
定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額
全額をお返しいたします。
2
McAfee Application Control 7.0.0
製品ガイド
目次
7
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
はじめに
9
Application Control の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
製品の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2
13
開始
Application Control のワークフロー . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
Application Control のモードについて . . . . . . . . . . . . . . . . . . . . . . . . . .
14
ホワイトリストの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
コマンドラインインタープリターの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Application Control を配備する . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
ライセンスを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
ホワイトリストを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Application Control を有効モードに設定する . . . . . . . . . . . . . . . . . . . . . 17
3
19
ファイルシステムコンポーネントの保護
保護の働き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
書き込み保護とは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
読み取り保護とは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
コンポーネントに書き込み保護を設定する . . . . . . . . . . . . . . . . . . . . . . . . .
21
書き込み保護を適用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
書き込み保護からコンポーネントを除外する . . . . . . . . . . . . . . . . . . . . .
22
書き込み保護のコンポーネントの一覧を表示する . . . . . . . . . . . . . . . . . . . . 23
書き込み保護を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
読み取り保護のコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
読み取り保護を適用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
読み取り保護から特定のコンポーネントを除外する . . . . . . . . . . . . . . . . . . .
25
読み取り保護のコンポーネントの一覧を表示する . . . . . . . . . . . . . . . . . . . . 25
読み取り保護を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4
27
適用された保護状態の変更
保護を上書きする方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
アップデーターの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
更新プログラムとは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
更新プログラムを追加するタイミング . . . . . . . . . . . . . . . . . . . . . . . . 29
更新プログラムとして追加する方法 . . . . . . . . . . . . . . . . . . . . . . . . . 30
アップデーターを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
アップデーターの一覧を表示する . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Application Control 7.0.0
35
製品ガイド
3
目次
更新プログラムを削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
証明書の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
証明書を抽出する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
証明書を追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
証明書を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
証明書を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
チェックサム値の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
バイナリを承認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
バイナリを禁止する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
承認されたバイナリと禁止されたバイナリを表示する . . . . . . . . . . . . . . . . . .
43
承認バイナリまたは禁止バイナリを削除する . . . . . . . . . . . . . . . . . . . . .
43
バイナリ名の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
名前でバイナリファイルの実行を許可する . . . . . . . . . . . . . . . . . . . . . .
44
名前でバイナリファイルの実行を禁止する . . . . . . . . . . . . . . . . . . . . . .
44
承認または禁止されたバイナリを表示する . . . . . . . . . . . . . . . . . . . . . .
44
承認されたルールと禁止されたルールを削除する . . . . . . . . . . . . . . . . . . . . 45
信頼できるディレクトリの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
信用できるディレクトリとは . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
信用できるディレクトリを追加するタイミング . . . . . . . . . . . . . . . . . . . . . 45
信頼できるディレクトリを追加する . . . . . . . . . . . . . . . . . . . . . . . . . 46
ディレクトリパスの指定方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
信頼できるディレクトリの一覧を表示する . . . . . . . . . . . . . . . . . . . . . .
47
信頼できるディレクトリのリストから特定のディレクトリを除外する . . . . . . . . . . . . . 47
信頼できるディレクトリを削除する . . . . . . . . . . . . . . . . . . . . . . . . . 47
信用されたユーザーの使用 (Windows のみ) . . . . . . . . . . . . . . . . . . . . . . . .
48
信頼できるユーザーを追加する . . . . . . . . . . . . . . . . . . . . . . . . . .
48
信頼できるユーザーの一覧を表示する . . . . . . . . . . . . . . . . . . . . . . . . 49
信頼できるユーザーを削除する . . . . . . . . . . . . . . . . . . . . . . . . . .
49
ActiveX コントロールの実行許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
ActiveX コントロールを許可する . . . . . . . . . . . . . . . . . . . . . . . . .
50
ActiveX コントロールの実行をブロックする . . . . . . . . . . . . . . . . . . . . .
50
ActiveX 機能を無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
別のスクリプトの実行を許可するインタープリターの設定 . . . . . . . . . . . . . . . . . . . . 51
インタープリターを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
インタープリターの一覧を表示する . . . . . . . . . . . . . . . . . . . . . . . . . 52
インタープリターを削除する . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
6
52
53
メモリー保護の設定
メモリー保護機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
CASP を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
NX を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
強制 DLL 再配置を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
59
システムのメンテナンス
製品のステータスとバージョンを表示する . . . . . . . . . . . . . . . . . . . . . . . . .
ホワイトリストを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ホワイトリストスレッドの優先度 . . . . . . . . . . . . . . . . . . . . . . . . .
59
60
61
操作を追加または削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
リスト操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
ホワイトリストのコンポーネントの状態を確認して更新する . . . . . . . . . . . . . . . . 63
詳細除外フィルター (AEF) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
AEF を追加または削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
AEF の一覧を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
製品の機能を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4
McAfee Application Control 7.0.0
製品ガイド
目次
機能を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
機能を有効または無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . .
68
パッケージコントロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
パッケージコントロールを設定する . . . . . . . . . . . . . . . . . . . . . . . .
70
パッケージコントロールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
70
緊急時の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
更新モードに切り替える . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
更新モードを終了する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
パスワード保護を有効または無効にする . . . . . . . . . . . . . . . . . . . . . . . . . .
72
イベントを使用して変更を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
イベントシンクを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
イベントキャッシュサイズを設定する . . . . . . . . . . . . . . . . . . . . . . .
74
イベントを表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
ログファイルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
システムのランタイム環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
ScAnalyzer を実行する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
ScAnalyzer レポートを確認する . . . . . . . . . . . . . . . . . . . . . . . . . . 78
大量の配備とシステムアップグレードの管理 . . . . . . . . . . . . . . . . . . . . . . . .
79
既存の設定パラメーターを表示する . . . . . . . . . . . . . . . . . . . . . . . . . 79
設定をエクスポートする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
設定をインポートする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
設定パラメーターを変更する . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
Application Control を無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
7
83
トラブルシューティング
McAfee サポートに連絡する前の情報収集 . . . . . . . . . . . . . . . . . . . . . . . . .
83
GatherInfo ログを収集する . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
システムと問題の詳細の収集 . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
起動時のエラー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
85
自己書き換えドライバーの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
システムクラッシュの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Windows でのシステムクラッシュ . . . . . . . . . . . . . . . . . . . . . . . . . 87
Windows でホワイトリストが壊れている . . . . . . . . . . . . . . . . . . . . . .
87
Linux でのシステムクラッシュ . . . . . . . . . . . . . . . . . . . . . . . . . .
88
Active Directory の問題 (Windows のみ) . . . . . . . . . . . . . . . . . . . . . . . . .
89
アプリケーションのインストールに関するエラー . . . . . . . . . . . . . . . . . . . . . . . 90
アプリケーションの実行エラー . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
アプリケーションのパフォーマンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
システムハングの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
システムパフォーマンスの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
Application Control のインストールエラー . . . . . . . . . . . . . . . . . . . . . . . .
94
アップデーター権限の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
イベント氾濫 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
エラーメッセージの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
コマンドラインインターフェースのエラーメッセージ . . . . . . . . . . . . . . . . . . . . . 96
正当なエラーとエラーメッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
97
バイナリまたはスクリプトファイルが生成するエラーメッセージ . . . . . . . . . . . . . . 97
インストーラーパッケージに生成されたエラーメッセージ . . . . . . . . . . . . . . . .
97
ホワイトリストに登録された登録されたコンポーネントに不正な変更が行われた場合に生成されるエラーメ
ッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
98
ファイルとスクリプトのバイパスルール . . . . . . . . . . . . . . . . . . . . . . . . .
100
ファイルとスクリプトのバイパスルールを追加する . . . . . . . . . . . . . . . . . .
100
ファイルとスクリプトのバイパスルールを削除する . . . . . . . . . . . . . . . . . .
101
パスコンポーネントのスキップルール . . . . . . . . . . . . . . . . . . . . . . . . . . 101
McAfee Application Control 7.0.0
製品ガイド
5
目次
パスコンポーネントのスキップルールを追加する . . . . . . . . . . . . . . . . . . . 102
パスコンポーネントのスキップルールの一覧を表示する . . . . . . . . . . . . . . . .
104
パスコンポーネントのスキップルールを削除する . . . . . . . . . . . . . . . . . . . 104
6
A
よくある質問
107
B
Application Control のイベントリスト
109
C
短形式のコマンド
113
D
Application Control コマンドラインインターフェースのリファレンス
115
E
引数の詳細
129
索引
135
McAfee Application Control 7.0.0
製品ガイド
まえがき
このガイドでは、McAfee 製品の操作に必要な情報を提供します。
目次
このガイドについて
製品マニュアルの検索
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
対象読者
McAfee では、対象読者を限定してマニュアルを作成しています。
このガイドの情報は、主に以下の読者を対象としています。
•
管理者－企業のセキュリティプログラムを実装し、施行する担当者。
•
ユーザー－このソフトウェアが実行されているコンピューターを使用し、ソフトウェアの一部またはすべての機
能にアクセスできるユーザー。
表記法則
このガイドでは、以下の表記規則とアイコンを使用しています。
『マニュアルのタイト
ル』、用語または強調
太字
マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。
特に強調するテキスト
ユーザーの入力、コード、コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。
メッセージ
[インターフェースのテ
キスト]
オプション、メニュー、ボタン、ダイアログボックスなど、製品のインターフェースの
テキストを表します。
ハイパーテキスト (青
色)
トピックまたは外部の Web サイトへのリンクを表します。
注: 追加情報 (オプションにアクセスする別の方法など) を表します。
ヒント: ヒントや推奨事項を表します。
重要/注意: コンピューターシステム、ソフトウェア、ネットワーク、ビジネス、データ
の保護に役立つ情報を表します。
警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項
を表します。
McAfee Application Control 7.0.0
製品ガイド
7
まえがき
製品マニュアルの検索
製品マニュアルの検索
[ServicePortal] では、リリースされた製品の情報 (製品マニュアル、技術情報など) を入手できます。
タスク
8
1
[ServicePortal] (https://support.mcafee.com) に移動して、[Knowledge Center] タブをクリックします。
2
[Knowledge Base] ペインの [コンテンツのソース] で [製品マニュアル] をクリックします。
3
製品とバージョンを選択して [検索] をクリックします。マニュアルの一覧が表示されます。
McAfee Application Control 7.0.0
製品ガイド
1
はじめに
McAfee® Application Control は、不正なアプリケーションの実行を阻止する効率的な方法を提供します。簡単なホ
ワイトリストと異なり、動的な信頼モデルを使用しているので、複雑なリストを作成する必要はありません。
今日の IT 部門は、システムとサーバーがセキュリティポリシー、運用手順、法規制に準拠していることを保証する
ため、多大な負担を強いられています。ユーザーが気付かずにマルウェアや有害なソフトウェアをインストールして
しまい、不要なサポートが必要になったり、ソフトウェアライセンスに違反してしまうだけでなく、システムが乗っ
取られ、会社全体に影響を及ぼすこともあります。規模に大小に関わらず、どの企業もシステムとサーバーを標準化
し、生産性を低下させずに承認済みのソフトウェアだけを実行する効率的な方法を求めています。
インターネット上には未知のソフトウェアが数多く存在します。Application Control は、企業の運用要件を満たし
ながら、システムセキュリティ方針に従ってタイムリーに制御します。
このドキュメントは、Application Control をスタンドアロン構成で使用する場合を対象にしています。
目次
Application Control の概要
製品の機能
Application Control の概要
Application Control は、様々な脅威からシステムを保護します。
固定機能のシステムに対する制御の向上
金融、小売業、製造業など規制の厳しい業界では、POS 端末やカスタマーサービスで使用する端末などのデバイス
で重要な機能を実行しています。このようなデバイスで機密性の高いデータを扱うことも少なくありません。
Application Control を使用すると、固定機能のシステムも保護できます。オーバーヘッドが少なく、システムのパ
フォーマンスにも影響を及ぼしません。初期投資も少なく、運用コストも抑えることができます。スタンドアロンモ
ードで効率的に機能します。この製品は、ネットワーク構成とファイアウォール構成に対応しています。また、ネ
ットワークに接続していないシステムでも使用できます。
管理された環境で効率的なビジネス
マルウェアは、ビジネス環境で使用される柔軟なソフトウェアモジュールコードを悪用します。Application
Control は、Java、ActiveX コントロール、スクリプト、バッチファイルなどのコードにも対応しています。これ
により、アプリケーションコンポーネントをきめ細かく制御し、シグネチャの更新を待たずに高度な脅威を阻止でき
ます。
McAfee Application Control 7.0.0
製品ガイド
9
1
はじめに
製品の機能
簡単なソリューション
Application Control は、次の機能を提供する簡単なソリューションです。
•
セットアップは簡単です。現行の運用体制に簡単に組み込むことができます。
•
CPU サイクルに対する影響も少なく、10 MB 程度の RAM しか使用しません。
•
システムパフォーマンスに影響を及ぼすファイルシステムのスキャンを実行しません。
Application Control では、シグネチャの更新も必要ありません。
信頼モデルを使用した動的ホワイトリスト
Application Control では、ホワイトリストを動的に管理し、柔軟な保護対策を手頃な価格で提供します。
Application Control は、POS 端末、バックオフィスのサーバーなど、ビジネス要件の異なる構成に対応していま
す。また、異なるユーザープロファイルが存在する複数のデスクトップイメージにも対応しています。
Application Control では、信頼ソースモデルを利用しているので、IT 管理者が承認アプリケーションのリストを
手作業で管理する必要はありません。保護対象システムでは、承認済みのソフトウェアだけに実行が許可されます。
これらのソフトウェアを変更することはできません。Application Control は保護されたファイルの改ざんを防ぎま
す。このような不正行為が発生した場合にはイベントを生成し、ログファイルに記録します。
Application Control では、初期投資と運用コストを抑えながら、不要なアプリケーションやコードからシステムを
完全に保護することができます。これにより、システム管理者はシステムのステータスを簡単に維持することができ
ます。
主な特長
•
シグネチャの更新を待たずに、ゼロデイの脅威を阻止できます。
•
動的なホワイトリスト機能により、信用できるアプリケーションを自動的にホワイトリストに登録できるので、
総所有コストを抑えることができます。
•
固定機能のシステムをマルウェアから保護します。
•
POS 端末 (店舗)
•
銀行の ATM
•
キオスクの端末
•
サーバーと社内のデスクトップ
•
顧客サービスの端末
製品の機能
Application Control は、次の機能を使用して未承認の操作からシステムを保護します。
10
•
マルウェア対策－システムでのアプリケーションの実行をプロアクティブに制御します。これにより、マルウェ
アの攻撃を未然に防ぎ、システムを保護します。
•
システムの保護－脅威や不要な変更からシステムを保護します。
•
実行防止－許可のない更新の実行を防止します。このような更新は、システムで実行中のアプリケーションに影
響を及ぼす可能性があります。
•
動的ホワイトリスト－他のホワイトリスト技術と異なり、手動での保守作業は不要です。
•
信頼できるアプリケーション－管理者は、集中管理リポジトリを使用して、信頼できるアプリケーションの実行
を柔軟に管理できます。
McAfee Application Control 7.0.0
製品ガイド
はじめに
製品の機能
1
•
メモリー保護－未承認のソフトウェアスクリプトや DLL の実行を防ぎ、メモリーエクスプロイトを阻止する
ことができます。
•
ホワイトリストの自動管理－承認プロセスで追加された新しいソフトウェアをホワイトリストに登録します。
McAfee Application Control 7.0.0
製品ガイド
11
1
はじめに
製品の機能
12
McAfee Application Control 7.0.0
製品ガイド
2
開始
Application Control ワークフローには、システムに Application Control を配備するための重要な概念と手順が記
述されています。
目次
Application Control のワークフロー
Application Control のモードについて
ホワイトリストの機能
コマンドラインインタープリターの使用
Application Control を配備する
Application Control のワークフロー
次の図は、Application Control 配備ワークフローの概要を表しています。
McAfee Application Control 7.0.0
製品ガイド
13
2
開始
Application Control のモードについて
Application Control のモードについて
Application Control は、要件に応じて異なるモードで実行できます。
無
効
Application Control がシステムで実行されていません。 Application Control はインストールされていま
すが、機能が無効になっています。
無効モードは、Windows と Linux の両方のプラットフォームで使用できます。無効モードの場合、有効モ
ードまたは更新モードに切り替えることができます。『Application Control を無効にする』を参照してくだ
さい。
有
効
ホワイトリストに登録されたアプリケーションとファイルにだけ実行が許可されます。未承認のソフトウェ
ア (ソフトウェア、スパイウェアなど) の実行は阻止されます。有効モードの場合、Application Control は、
ホワイトリストのすべてのファイルを不正な変更や削除から保護します。システムで初期のホワイトリスト
が作成されたら、Application Control を有効モードに切り替えます。このモードでは、不正な変更は許可さ
れません。
有効モードは、Windows と Linux の両方のプラットフォームで使用できます。 Application Control を有
効モードから無効モードまたは更新モードに切り替えることができます。『Application Control を有効モー
ドに切り替える』を参照してください。
更
新
保護対象のシステムで承認されたソフトウェア更新を実行します。このモードでは、ソフトウェアの追加や削
除など、必要な更新アクションをグループ化し、実行します。更新モードでソフトウェアの更新を実行する
と、Application Control がそれぞれの変更を追跡し、記録します。システムが有効モードに戻ったときに、
変更または追加されたバイナリに実行を許可するように、ホワイトリストを動的に更新します。システムから
ソフトウェアとプログラムファイルを削除すると、該当するファイルがホワイトリストから削除されます。
更新モードは、Windows と Linux の両方のプラットフォームで使用できます。更新モードから切り替える
ことができるのは有効モードだけです。『緊急時の変更』を参照してください。
監
視
スタンドアロン構成では使用できません。McAfee ePolicy Orchestrator (McAfee ePO ) がシステムを管
理している場合にのみ使用できます。
®
®
™
監視モードでは、アプリケーションは有効ですが、エンドポイントに対する変更はできません。監視モードは
Windows でのみ使用できます。
ホワイトリストの機能
Application Control を配備してシステムを保護すると、システムがスキャンされ、システムに存在するすべての実
行可能バイナリファイルとスクリプトファイルがホワイトリストに追加されます。ホワイトリストには、非表示の
ファイルとフォルダーも追加されます。
ホワイトリストには承認ファイルが登録され、信用できるファイルまたは既知のファイルの判定に使用されます。有
効モードの場合、ホワイトリスト内に存在するファイルのみが実行を許可されます。ホワイトリスト内のすべてのフ
ァイルは保護され、変更や削除は不可能となります。ホワイトリストにない実行可能バイナリファイルやスクリプ
トファイルは未承認となり、実行が禁止されます。
Application Control は、ドライブまたはボリュームごとにホワイトリストを作成し、次の場所に保存します。
•
Windows:<ドライブ>\Solidcore\scinv
•
Linux:<ボリューム>/.solidcore/scinv
ホワイトリストに追加されるファイルの種類は次のとおりです。
14
McAfee Application Control 7.0.0
製品ガイド
開始
コマンドラインインタープリターの使用
•
アプリケーションプログラムコード (Windows と Linux)
•
実行可能なバイナリ。.exe、.sys、.dll ファイル (Windows)、ELF ファイルフォーマット (Linux)。
•
スクリプトファイル。.bat、.cmd、.vbs ファイル (Windows)、#! を含むファイル (Linux)。
2
Windows でホワイトリストを作成する場合、Application Control はオペレーティングシステムで保護されているシ
ステム固有のファイルを追加しません。たとえば、pagefile.sys、hiberfil.sys などが該当します。
ホワイトリストが作成されたシステムでファイルを実行すると、Application Control がバイナリのチェックサムと
パスをホワイトリストの情報と比較します。チェックサムの値とパスが一致した場合にのみ、バイナリの実行が許可
されます。
コマンドラインインタープリターの使用
コマンドラインインタープリター (sadmin) を使用すると、Application Control の設定と機能を管理できます。
コマンドラインインタープリターの実行方法はオペレーティングシステムによって異なります。
オペレーティン
グシステム
手順
Windows
• Windows Vista、Windows 2008、Windows 2008 R2、Windows Server 2012、Windows
8、Windows 8.1、Windows 10 または Windows 7 (UAC 有効) の場合には、デスクトップ
の [McAfee Solidifier コマンドライン] アイコンを右クリックして、[管理者として実行] を選
択します。
• 他の Windows の場合には、デスクトップにある [McAfee Solidifier コマンドライン] アイコ
ンをダブルクリックします。
• [スタート] 、 [プログラム] 、 [McAfee] 、 [Solidifier] 、 [McAfee Solidifier コマンドライ
ン] の順にクリックします。
デフォルトでは、sadmin が PATH 環境変数に追加されるので、任意の場所からコマンドライン
インターフェース (CLI) ウィンドウを開き、sadmin コマンドを実行できます。
Linux
1 Linux ターミナルを開きます。
2 <install directory>/mcafee/solidcore/bin/sadmin からコマンドラインインター
プリターにアクセスします。
ヘルプ情報を使用するには、次のコマンドを実行します。
構文
説明
sadmin help
基本的なヘルプ情報を表示します。
sadmin help <command>
特定のコマンドの基本的なヘルプ情報を表示します。
sadmin help-advanced <command>
特定のコマンドの詳しいヘルプ情報を表示します。
Application Control を配備する
タスクを完了して、Application Control をシステムに配備します。
開始する前に
配備ワークフローを確認してください。
McAfee Application Control 7.0.0
製品ガイド
15
2
開始
Application Control を配備する
タスク
•
16 ページの「ライセンスを追加する」
ライセンスにより、使用可能な製品機能が決まります。
•
16 ページの「ホワイトリストを作成する」
ホワイトリストは、保護対象システムで実行可能なアプリケーションとファイルを制御します。ホワイ
トリストは、システムに存在するすべての実行可能バイナリとスクリプトから作成します。
•
17 ページの「Application Control を有効モードに設定する」
Application Control を有効モードに切り替えると、ホワイトリストに登録されたアプリケーションにの
みシステムの実行を許可できます。
ライセンスを追加する
ライセンスにより、使用可能な製品機能が決まります。
•
Windows －インストール時またはインストール後にライセンスを指定できます。インストール時にライセン
スを指定しないと、システムで Application Control を実行するときにライセンスを指定する必要があります。
•
Linux －インストール後にシステムで Application Control を実行するときに、有効なライセンスを指定する
必要があります。
タスク
1
インストール時にライセンスが追加されているかどうか確認するには、次のコマンドを入力して Enter を押しま
す。
sadmin license list
システムでインストール済みのライセンスがすべて表示されます。
2
ライセンスが表示されない場合には、ライセンスを今すぐ追加してください。
a
コマンドプロンプトで次のコマンドを実行します。
sadmin license add <license_key>
b
Application Control サービスを再起動します。
Windows
net stop scsrvc
net start scsrvc
Linux
service scsrvc restart
ホワイトリストを作成する
ホワイトリストは、保護対象システムで実行可能なアプリケーションとファイルを制御します。ホワイトリストは、
システムに存在するすべての実行可能バイナリとスクリプトから作成します。
開始する前に
16
•
Application Control がホワイトリストを使用する方法を確認してください。『ホワイトリストの機
能』を参照してください。
•
必要であれば、ホワイトリストの作成前にホワイトリストスレッドの優先度を設定します。『ホワ
イトリストスレッドの優先度』を参照してください。
McAfee Application Control 7.0.0
製品ガイド
開始
Application Control を配備する
2
タスク
1
コマンドプロンプトで次のコマンドを実行します。
sadmin solidify
ホワイトリストの作成時間は数分から 1 時間です。この時間は、CPU の速度、RAM、システムにインストール
されているアプリケーションなどのシステム構成によって変わります。ホワイトリストが作成されると、次のよ
うなメッセージが表示されます。
Solidifying volume C:\ 00:04:11:Total files scanned 12265, solidified 6342
2
ドライブまたはボリュームがホワイトリストに登録されているかどうか確認します。
a
コマンドプロンプトで次のコマンドを実行します。
sadmin status
Application Control のステータスが表示されます。動作モード、システム再起動時の動作モード、McAfee
ePO との接続性、CLI のアクセス状況、ドライブまたはボリュームのホワイトリストのステータスを確認で
きます。スタンドアロン構成の場合、McAfee ePO との接続性は表示されません。
b
ドライブまたはボリュームのホワイトリストのステータスを表示し、ステータスが Solidified かどうか確認し
ます。
Application Control を有効モードに設定する
Application Control を有効モードに切り替えると、ホワイトリストに登録されたアプリケーションにのみシステム
の実行を許可できます。
タスク
1
コマンドプロンプトで次のコマンドを実行します。
sadmin enable
2
Application Control を有効モードに切り替えます。
オペレーティング
システム
アクション
Windows
次のいずれかの手順を実行します。
• システムを再起動して、Application Control とメモリー保護機能を有効にします。
• Application Control サービスを再起動して、メモリー保護機能を使用せずに
Application Control を有効にします。
net stop scsrvc
net start scsrvc
Linux
3
Application Control サービスを再起動して、Application Control を有効にします。
service scsrvc restart
次のコマンドを実行して、Application Control が有効モードかどうか確認します。
sadmin status
Application Control のステータスが表示されます。動作モード、システム再起動時の動作モード、McAfee ePO
との接続、CLI アクセスステータス、すべてのドライブのホワイトリストステータスを確認できます。製品が
スタンドアロン構成の場合には、McAfee ePO との接続状況は確認できません。
a
動作モードを確認します。
b
現在の動作モードが「有効」かどうか確認します。
McAfee Application Control 7.0.0
製品ガイド
17
2
開始
Application Control を配備する
18
McAfee Application Control 7.0.0
製品ガイド
3
ファイルシステムコンポーネントの保護
Application Control を有効モードで実行すると、ファイル、ディレクトリ、ドライブ (Windows)、ボリューム
(Linux)、レジストリキーを選択して、未承認の変更から保護することができます。
目次
保護の働き
コンポーネントに書き込み保護を設定する
読み取り保護のコンポーネント
保護の働き
Application Control は、システムコンポーネントに書き込み保護を設定し、不正な変更から保護します。
Application Control は、これらのコンポーネントに書き込み保護または読み取り保護を設定できます。
機能
コンポーネント
書き込み保護ファイル
禁止されるアクション
• 作成
• 削除
• 変更
• ハードリンク
の作成
• 名前の変更
• Windows 用
の代替データ
ストリーム
（ADS）の作成
ディレクトリ
• 変更
ドライブ/ボリューム
• 削除
レジストリキー
• 名前の変更
(Windows)
読み取り保護ファイル
読み取りデータ
ディレクトリ
(読み取り保護ディレクトリにあるファイルにのみ適
用)
ドライブ/ボリューム
(読み取り保護ドライブ/ボリュームにあるファイルに
のみ適用)
McAfee Application Control 7.0.0
製品ガイド
19
3
ファイルシステムコンポーネントの保護
保護の働き
書き込み保護を設定するコンポーネント (ファイル、ディレクトリ、ボリューム) を作成前に指定すると、その名前
のコンポーネントを作成できなくなります。
ファイルが書き込み保護の対象になっている場合、ファイルのコンテンツや属性は変更できません。 Windows プラ
ットフォームの場合、特定の属性を変更できます。
属性
許可されている属性の変更
暗号化
いいえ
圧縮
いいえ
非表示
はい
読み取り専用
はい
書き込み保護とは
書き込み保護は、ファイル、ディレクトリ、ドライブ (Windows) またはボリューム (Linux) を変更や削除から保護
する機能です。書き込み保護は、機能リストで deny-write と表示されます。デフォルトでは、この機能は有効に
なっています。
ディレクトリ、ドライブまたはボリュームを書き込み保護すると、対象のディレクトリ、ドライブまたはボリューム
内のファイルとサブディレクトリのすべてに書き込み保護が適用されます。ディレクトリまたはサブディレクトリに
あるファイルが書き込み保護されている場合、親ディレクトリの名前の変更、移動または削除を行うことはできませ
ん。また、書き込み保護のディレクトリまたはドライブで、新しいファイルを作成することはできません。
書き込み保護は、プログラムが定期的に更新しないファイルにだけ設定してください。例: C:\WINDOWS
\system32\drivers\etc\hosts
この機能は、Application Control が有効モードで実行されている場合にのみ有効となります。
書き込み保護されたコンポーネントのコンテンツに対して許可のない変更が要求されると、操作は実行されず、イベ
ントが生成されます。
読み取り保護とは
読み取り保護は、ファイル内のデータの読み取りを禁止し、ファイル、ディレクトリ、ドライブ (Windows)、ボリ
ューム (Linux) を保護する機能です。読み取り保護は、機能リストで deny-read と表示されます。
この機能はデフォルトで無効に設定されており、sadmin features enable deny-read コマンドを使用して有
効にできます。この機能を有効/無効にする場合、再起動は不要です。読み取り保護を使用するには、Application
Control を有効モードで実行する必要があります。
ディレクトリ、ドライブまたはボリュームに読み取り保護が設定されている場合、そのディレクトリ、ドライブまた
はボリューム内のファイルにのみ読み取り保護が適用されます。サブディレクトリのファイルにも読み取り保護が適
用されます。読み取り保護が設定されたファイルまたはディレクトリを別のパスに移動すると、読み取り保護は無効
となります。
ディレクトリ、ドライブまたはボリュームに読み取り保護を設定し、システムで Application Control を実行する場
合には十分に注意してください。ディレクトリ、ドライブまたはボリュームに読み取り保護を設定すると、そのディ
レクトリ、ドライブ、ボリュームでホワイトリストに登録されたファイルが実行できなくなります。読み取り保護を
設定したディレクトリ、ドライブ、ボリュームにファイルを作成すると、そのファイルはホワイトリストに追加され
ません。
deny-write 機能を使用すると、読み取り保護のファイルに書き込み保護を設定できます。これにより、読み取り保
護のファイルに保護機能を追加できます。名前を変更したり、ファイルを移動しても、このファイルのコンテンツは
参照不能になります。書き込み保護を設定していない場合、読み取り保護ファイルの名前を変更したり、別の場所に
移動すると、ファイルが読み取り可能になります。
20
McAfee Application Control 7.0.0
製品ガイド
ファイルシステムコンポーネントの保護
コンポーネントに書き込み保護を設定する
3
読み取り保護が設定されたファイルのデータを許可なく参照しようとすると、読み取りが阻止され、イベントが生成
されます。
レジストリキーに読み取り保護を設定することはできません。
コンポーネントに書き込み保護を設定する
書き込み保護機能を使用すると、製品固有のファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux)
を書き込み保護に設定し、プログラムまたはユーザーによる変更を阻止できます。書き込み保護を設定すると、これ
らのコンポーネントは読み取り専用になり、未承認の変更を防ぐことができます。これらのコンポーネントは圧縮ま
たは暗号化できません。
タスク
•
21 ページの「書き込み保護を適用する」
書き込み保護により、コンポーネントを読み取り専用にし、未承認の変更からコンポーネントを保護で
きます。
•
22 ページの「書き込み保護からコンポーネントを除外する」
書き込み保護が設定されたディレクトリ、ドライブ (Windows)、ボリューム (Linux) から特定のコン
ポーネントを除外します。
•
23 ページの「書き込み保護のコンポーネントの一覧を表示する」
書き込み保護が設定されているファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux)
の一覧を表示します。
•
23 ページの「書き込み保護を削除する」
書込み保護を削除すると、コンポーネントは未承認の変更から保護されなくなります。
書き込み保護を適用する
書き込み保護により、コンポーネントを読み取り専用にし、未承認の変更からコンポーネントを保護できます。
タスク
1
ファイル、ディレクトリ、ドライブ (Windows) またはボリューム (Linux) に対する書き込みを阻止します。
sadmin write-protect [ -i ] pathname1 ... pathnameN
書き込み保護するコンポーネントの完全なパスを指定します。パスにはワイルドカード文字 (*) を使用できま
す。ただし、1 つの完全パスコンポーネントのみを表わします。
•
Windows の場合、\abc\*\def は使用できますが、\abc\*.doc、\abc\*.*、\abc\doc.* は使用でき
ません。
•
Linux の場合、/abc/*/def は使用できますが、/abc/*.sh、/abc/*.*、/abc/doc.* は使用できませ
ん。
例:
•
sadmin write-protect -i Listener.ora (Windows)
•
# sadmin write-protect –i /etc/security/limits.conf (Linux)
クライアントシステムからネットワーク共有への変更を防ぐには、sadmin write-protect コマンドにネット
ワークパスを指定して、ネットワークファイルシステムのコンポーネントに書き込み保護を適用します。
書き込み保護ファイルに対するハードリンクを書き込み保護し、ハードリンクに対する変更を阻止します。
McAfee Application Control 7.0.0
製品ガイド
21
3
ファイルシステムコンポーネントの保護
コンポーネントに書き込み保護を設定する
次の表に、ネットワークパスの指定方法を示します。
構文
例
sadmin write-protect –i \
\server-name\share-name
ネットワーク共有を持つサーバー名を指定します。また、ネットワーク共有
の名前も指定します。例:
sadmin write-protect –i \\ftpserver\documents
sadmin write-protect –i \
\server-ip\share-name
サーバーの IP アドレスとネットワーク共有の名前を指定します。
例:
sadmin write-protect –i \\192.168.0.1\documents
sadmin write-protect –i
mapped-drive-letter:\
クライアントシステム上のサーバーにマップされているドライブ文字を指
定します。
例:
sadmin write-protect –i W:\
sadmin write-protect -i /
mount-point（Linux）
Linux プラットフォーム上のマウントポイント名を指定します。
例:
sadmin write-protect –i /nfs
2
レジストリキーを書き込み保護します。
sadmin write-protect-reg [ -i ] registrykeyname1 ... registrykeynameN
レジストリキーベースのルールで使用するパスには、ワイルドカード文字 (*) を使用できます。ただし、ワイ
ルドカード文字はレジストリパス内の 1 つのパスコンポーネントのみを表わします。完全レジストリパスの
末尾にコンポーネントの文字を使用していないことを確認してください (末尾に使用されると、パスフィルター
は有効になりません)。たとえば、HKEY_LOCAL_MACHINE\*\Microsoft というレジストリパスは許可されま
すが、HKEY_LOCAL_MACHINE\* や HKEY_LOCAL_MACHINE\*\* は許可されません。
書き込み保護されたレジストリキーに対する変更は許可されません。
Windows のコンポーネントを保護するために、HKEY_LOCAL_MACHINE\SOFTWARE レジストリキークラスター
にのみ書き込み保護を設定してください。他のレジストリキークラスターには書き込み保護を設定しないでく
ださい。
レジストリキーに書き込み保護を適用するには、write-protect-reg (wpr) コマンドのパラメーターにレジスト
リキー名を指定します。例:
sadmin write-protect-reg –i HKEY_LOCAL_MACHINE\SOFTWARE
書き込み保護からコンポーネントを除外する
書き込み保護が設定されたディレクトリ、ドライブ (Windows)、ボリューム (Linux) から特定のコンポーネントを
除外します。
タスク
1
書き込み保護対象のディレクトリ、ドライブ、ボリュームから特定のコンポーネントを除外します。
sadmin write-protect -e pathname1 ... pathnameN
書き込み保護対象のディレクトリ、ドライブまたはボリュームから除外するファイルパスを指定すると、このフ
ァイルに対してのみ書き込み保護が解除されます。
22
McAfee Application Control 7.0.0
製品ガイド
ファイルシステムコンポーネントの保護
コンポーネントに書き込み保護を設定する
3
書き込み保護から除外するファイル、ディレクトリ、ドライブまたはボリュームの完全なパスを指定します。例:
2
•
sadmin write-protect –e Listener.ora (Windows)
•
# sadmin write-protect -e /etc/security/limits.conf (Linux)
書き込み保護からレジストリキーを除外します。
sadmin write-protect-reg -e registrykeyname1 ... registrykeynameN
このコマンドのパラメーターにレジストリキー名を指定し、除外引数を指定して書き込み保護からレジストリキ
ーを除外します。例:
sadmin write-protect-reg –e HKEY_LOCAL_MACHINE\SOFTWARE
書き込み保護のコンポーネントの一覧を表示する
書き込み保護が設定されているファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux) の一覧を表示
します。
タスク
1
書き込み保護のコンポーネントのリストを表示します。
sadmin write-protect –l
2
書き込み保護のレジストリキーのリストを表示します。
sadmin write-protect-reg –l
書き込み保護を削除する
書込み保護を削除すると、コンポーネントは未承認の変更から保護されなくなります。
•
ファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux) から書き込み保護を削除できます。特定
のレジストリキーに適用された書き込み保護を削除することもできます。
•
すべてのファイル、ディレクトリ、ドライブ、ボリューム、レジストリキーから書き込み保護を削除することも
できます。
タスク
1
特定のコンポーネントに適用された書き込み保護を削除します。
sadmin write-protect [ -r ] pathname1 ... pathnameN
ファイルのパスを指定すると、このパスにあるすべてのファイルから書き込み保護が解除されます。
書き込み保護を削除するファイル、ディレクトリ、ドライブの完全なパスを指定します。
例:
2
•
sadmin write-protect -r Listener.ora (Windows)
•
# sadmin write-protect –r /etc/security/limits.conf (Linux)
特定のレジストリキーから書き込み保護を削除します。
sadmin write-protect-reg [ -r ] registrykeyname1 ... registrykeynameN
例:
sadmin write-protect–reg -r HKEY_LOCAL_MACHINE\SOFTWARE
3
すべてのファイル、ディレクトリ、ドライブまたはボリュームから書き込み保護を消去します。
sadmin write-protect –f
McAfee Application Control 7.0.0
製品ガイド
23
3
ファイルシステムコンポーネントの保護
読み取り保護のコンポーネント
4
すべてのレジストリキーから書き込み保護を削除します。
sadmin write-protect-reg –f
読み取り保護のコンポーネント
読み取り保護機能を使用すると、製品固有のファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux)
を読み取り保護に設定し、プログラムまたはユーザーによるデータの読み取りを阻止できます。これらのコンポーネ
ントは圧縮または暗号化できません。
タスク
•
24 ページの「読み取り保護を適用する」
読み取り保護機能は、許可のないプログラムやユーザーによるコンポーネントデータの読み取りを防止
します。
•
25 ページの「読み取り保護から特定のコンポーネントを除外する」
読み取り保護が設定されたディレクトリ、ドライブ (Windows)、ボリューム (Linux) から特定のコン
ポーネントを除外します。
•
25 ページの「読み取り保護のコンポーネントの一覧を表示する」
読み取り保護されているコンポーネントのリストを表示します。
•
25 ページの「読み取り保護を削除する」
読み取り保護を削除すると、コンポーネントからのデータの読み取りがユーザーまたは未承認のプログ
ラムに許可され、重要なデータが危険な状態になります。
読み取り保護を適用する
読み取り保護機能は、許可のないプログラムやユーザーによるコンポーネントデータの読み取りを防止します。
タスク
•
ファイル、ディレクトリ、ドライブ (Windows) またはボリューム (Linux) に対する読み取りを阻止します。
sadmin read-protect [ -i ] pathname1 ... pathnameN
読み取り保護を設定するコンポーネントの完全なパスを指定します。パスにはワイルドカード文字 (*) を使用す
ることもできます。ただし、1 つの完全パスコンポーネントのみを表わします。
•
Windows プラットフォームの場合、\abc\*\def は使用できますが、\abc\*.doc、\abc\*.*、\abc\doc
.* は使用できません。
•
Linux プラットフォームの場合、/abc/*/def は使用できますが、/abc/*.sh、/abc/*.*、/abc/doc.*
は使用できません。
例:
•
sadmin read-protect –i password.docx (Windows)
•
# sadmin read-protect –i /etc/password (Linux)
マウントされたネットワークファイルシステムコンポーネントに読み取り保護を適用することもできます。こ
の操作を行うには、sadmin read-protect コマンドにネットワークパスを指定します。
24
McAfee Application Control 7.0.0
製品ガイド
ファイルシステムコンポーネントの保護
読み取り保護のコンポーネント
3
読み取り保護から特定のコンポーネントを除外する
読み取り保護が設定されたディレクトリ、ドライブ (Windows)、ボリューム (Linux) から特定のコンポーネントを
除外します。
タスク
•
特定のコンポーネントを除外します。
sadmin read-protect -e pathname1 ... pathnameN
読み取り保護から除外するファイル、ディレクトリ、ドライブまたはボリュームの完全なパスを指定します。
例:
•
sadmin read-protect -e password.docx (Windows)
•
# sadmin read-protect –e /etc/password (Linux)
読み取り保護のコンポーネントの一覧を表示する
読み取り保護されているコンポーネントのリストを表示します。
タスク
•
読み取り保護のコンポーネントのリストを表示します。
sadmin read-protect –l
読み取り保護を削除する
読み取り保護を削除すると、コンポーネントからのデータの読み取りがユーザーまたは未承認のプログラムに許可さ
れ、重要なデータが危険な状態になります。
以下のいずれかの方法で読み取り保護を削除します。
•
読み取り保護を削除します。
ファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux) から読み取り保護を削除します。
•
読み取り保護を消去します。
ファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux) から読み取り保護を消去します。
タスク
1
特定のコンポーネントに適用された読み取り保護を削除します。
sadmin read-protect [ -r ] pathname1 ... pathnameN
読み取り保護を削除するファイル、ディレクトリ、ドライブまたはボリュームの完全なパスを指定します。
例:
2
•
sadmin read-protect -r confidential.docx (Windows)
•
# sadmin read-protect -r /etc/password (Linux)
すべてのコンポーネントに適用された読み取り保護を解除します。
sadmin read-protect –f
McAfee Application Control 7.0.0
製品ガイド
25
3
ファイルシステムコンポーネントの保護
読み取り保護のコンポーネント
26
McAfee Application Control 7.0.0
製品ガイド
4
適用された保護状態の変更
保護されたシステムで適用済みの保護対策を上書きすると、チェックサム値または証明書を使用してコンポーネント
を実行できます。また、信用されたディレクトリから実行することもできます。コンポーネントが更新プログラムと
して設定されている場合には、保護されたシステムでソフトウェアを更新できます。
目次
保護を上書きする方法
アップデーターの使用
証明書の使用
チェックサム値の使用
バイナリ名の使用
信頼できるディレクトリの使用
信用されたユーザーの使用 (Windows のみ)
ActiveX コントロールの実行許可
別のスクリプトの実行を許可するインタープリターの設定
保護を上書きする方法
保護対象のシステムでプログラムまたはファイルの実行を許可し、保護を上書きします。
次の方法のいずれかを使用することで、保護対象システムでのプログラムやファイルの実行を承認できます。
•
更新プログラムまたは信用されたユーザー
•
名前でのバイナリファイルの承認
•
チェックサム (SHA1)
•
信用されたディレクトリ
•
証明書
•
ホワイトリストへの登録
ホワイトリストは、信用されたファイルまたは既知のファイルを判定するために最もよく使われる方法です。
通常、大半のアプリケーションと実行ファイルは、長期間に渡って変更されません。ただし、必要に応じて、特定の
アプリケーションや実行ファイルがホワイトリスト中のファイルを作成、変更、または削除するよう許可できます。
信用モデルを設計し、保護対象システムを追加のユーザーまたはプログラムが変更できるようにするには、以下の表
で説明するいずれかの方法を使用できます。
McAfee Application Control 7.0.0
製品ガイド
27
4
適用された保護状態の変更
保護を上書きする方法
方法
対象のオペレ説明
ーティング
システム
更新プ Windows、
ログラ Linux
ム
更新プログラムは、システムの更新が許可された承認コンポーネントです。コンポーネン
トが更新プログラムとして設定される場合、保護対象システムで新しいソフトウェアをイン
ストールしたり、既存のソフトウェアコンポーネントを更新したりすることができます。
詳細については、『更新プログラムの使用』を参照してください。
信用さ Windows
れたユ
ーザー
Windows ユーザーに更新プログラム権限を付与すると、ユーザーは信用されたユーザーと
して定義され、ホワイトリストに動的に追加する権限が付与されます。ユーザーが任意の
ソフトウェアをインストールまたは更新できるようにするには、ユーザーを信用されたユー
ザーとして追加します。ユーザーの詳細を追加すると同時に、ドメインの詳細も提供して
ください。
この選択肢はセキュリティ面が最小限になるため、保護対象エンドポイントに対する変更を
許可できるすべての選択肢の中で最もお勧めできません。
信用されたユーザーの場合、エンドポイントで変更または実行できる対象に制約がありませ
ん。信用されたユーザーを定義する場合には慎重に行ってください。
詳細については、『信用されたユーザーの使用』を参照してください。
チェッ Windows
クサム
値
システムに適用された保護を上書きするには、チェックサム値で特定のバイナリを承認しま
す。チェックサム (SHA1) 値でバイナリを承認すると、保護対象システムでバイナリを実
行できます。承認済みのバイナリに更新プログラム権限を付与することもできます。詳細
については、『チェックサム値の使用』を参照してください。
証明書 Windows
Application Control では、ソフトウェアパッケージに関連付けられ、信用された証明書に
保護対象システムでの実行が許可されます。信用された証明書のリストに証明書を追加す
ると、証明書で署名したすべてのソフトウェアを保護対象システムを実行できます。詳細
については、
『証明書の使用』を参照してください。
バイナ Windows、
リ名
Linux
バイナリファイルの名前を指定して、バイナリ (プログラムとファイル) の実行を承認しま
す。名前でバイナリの実行を承認すると、システムまたはネットワーク共有に存在する同
じ名前のバイナリに保護対象システムでの実行が承認されます。
名前でバイナリの実行を承認する場合には、十分に注意し、慎重に行ってください。
詳細については、『バイナリ名の使用』を参照してください。
28
信用さ Windows、
れたデ Linux
ィレク
トリ
保護対象システムで、信用されたディレクトリとしてディレクトリ (ローカルまたはネット
ワークディレクトリ) を追加すると、このディレクトリにあるソフトウェアを実行できま
す。信用されたディレクトリは、UNC (Universal Naming Convention) パスで識別され
ます。詳細については、『信用されたディレクトリの使用』を参照してください。
更新モ Windows、
ード
Linux
更新モードは、保護対象システムでソフトウェアの更新を実行できる承認済みのモードで
す。 Application Control を更新モードで実行すると、保護対象システムですべての変更が
許可されます。システムを更新モードで実行して、ソフトウェアの更新を実行します。こ
の方法は、信用されたユーザー、信用されたディレクトリ、証明書またはチェックサム値が
要件を満たし、ソフトウェアが更新プログラムリストにない場合など、他に手段がない場
合に使用してください。たとえば、更新モードを使用すると、パッチのインストールやソ
フトウェアのアップグレードなどの保守タスクを完了できます。詳細については、
『Application Control モードについて』を参照してください。
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
アップデーターの使用
4
アップデーターの使用
保護対象システムで、大半のソフトウェアアプリケーションと実行可能ファイルは定期的に更新されていません。特
定の正規ファイルやプログラムをアップデーターとして指定すると、保護機能と改ざん防止機能を無効にすることが
できます。
新しいソフトウェアをインストールしたり、既存のソフトウェアコンポーネントを更新するために頻繁に使用される
コンポーネントがある場合には、更新モードではなく、このコンポーネントを更新プログラムとして指定することを
お勧めします。更新モードを使用すると、すべてのコンポーネントに更新アクション (ソフトウェアの追加、変更、
削除など) の実行が許可されます。コンポーネントを選択して更新プログラム権限を付与できるので、このようなコ
ンポーネントを更新プログラムとして追加することをお勧めします。更新モードでは、有効なすべての読み取り/書
き込み保護が無効になります。
更新プログラムとは
アップデーターは、システムの更新が許可された承認コンポーネントです。
デフォルトでは、コンポーネントにアップデーター権限を付与すると、付属のコンポーネントもアップデーター権限
を自動的に継承します。たとえば、Adobe 8.0 をアップデーターとして設定すると、必要なすべてのファイルに定期
的にパッチを適用します。
更新プログラムは、グローバルに適用されます。アプリケーションまたはライセンス特有のものではありません。プ
ログラムが更新プログラムとして定義されると、保護されたファイルを変更できます。
更新プログラムに指定するには、コンポーネントが次のいずれかの要件を満たしている必要があります。
要件
説明
コンポーネントがホワ
イトリストに追加され
ている。
アップデーターとして追加できるのは、ホワイトリストに存在しているサポートタイプの
コンポーネントだけです。たとえば、ホワイトリストにある AcroRd32.exe をアップデ
ーターに指定すると、Adobe Reader の自動更新が許可されます。
承認済みのバイナリと
してコンポーネントが
定義されている必要が
あります。
回避策として、承認済みのバイナリを更新プログラムとして追加することもできます。た
だし、この操作は、許可されたバイナリでソフトウェアコンポーネントを更新する必要が
ある場合にのみ行ってください。更新プログラム権限をバイナリファイルに割り当てる
場合には慎重に行ってください。更新が完了したらすぐにバイナリファイルから更新プ
ログラム権限を削除してください。承認済みのバイナリファイルが更新プログラムとし
て指定されていると、保護されたシステムで、これらのバイナリファイルに関連する他の
バイナリファイルによって変更を行うことができます。
たとえば、cmd.exe をアップデーターとして設定し、このアップデーターから実行可能フ
ァイルを起動すると、実行可能ファイルが保護対象システムで任意の変更を行うことがで
きます。
セキュリティギャップを避けるため、同じファイルを許可されたバイナリと更新プログラ
ムの両方に設定しないでください。
ファイルを更新プログラムとして指定する方法については、
『更新プログラムとして追加す
るファイルを指定する』を参照してください。
Application Control では、システムを頻繁に更新する可能性がある一般的なアプリケーションにデフォルトのアッ
プデーター権限が事前に定義されています。これらのアプリケーションはデフォルトアップデーターとなります。
たとえば、Yahoo、Oracle、McAfee 製品には、デフォルトのアップデーター権限が定義されています。
更新プログラムを追加するタイミング
システムでソフトウェアコンポーネントの自動更新を頻繁に行うプログラムがあります。このようなプログラムを
更新プログラムとして追加すると、ソフトウェアコンポーネントの更新を許可することができます。
システムで頻繁に変更を行うスクリプト、インストーラー、バイナリ、ユーザーをアップデーターとして追加します。
McAfee Application Control 7.0.0
製品ガイド
29
4
適用された保護状態の変更
アップデーターの使用
更新プログラムとして追加する方法
インストーラー、スクリプト、バイナリ、ユーザー、証明書などのコンポーネントをアップデーターとして追加でき
ます。
コンポーネン
ト
例
インストーラ
更新プログラムとしてインストーラーを追加すると、保護対象システムのソフトウェアコンポー
ー (Windows) ネントを自動的に更新できます。
• Windows インストーラー
たとえば、Windows インストーラー (HotFix、KB893803) をアップデーターとして追加し、
保護されたファイルまたはレジストリキーの自動更新を実行するには、次のコマンドを指定し
ます。
sadmin updaters add WindowsInstaller-KB893803-v2-x86.exe
• Microsoft インストーラー (MSI ベースのインストーラー)
たとえば、MSI ベースのインストーラー (Ica32Pkg.msi) をアップデーターとして追加し、保
護されたファイルまたはレジストリキーの自動更新を実行するには、次のコマンドを指定しま
す。
sadmin updaters add Ica32Pkg.msi
スクリプト
スクリプトをアップデーターとして追加し、スクリプトにアップデーターの権限を付与します。ア
ップデーター権限のあるスクリプトは、保護対象システムで更新操作を行うことができます。
sadmin updaters add <scriptname>
sadmin updaters add myscript12.bat
Windows プラットフォームで、/C パラメーターを指定して cmd インタープリターを実行し
(cmd /C)、更新プログラムとしてスクリプトを実行します。たとえば、cmd /C
myscript12.bat を実行します。 /C パラメーターを使用すると、指定したコマンドを実行して
停止することができます。
Windows Server 2003 (IA64) と Windows Server 2012 を除くすべての Windows プラット
フォームで、スクリプトを更新プログラムとして追加できます。
バイナリ
バイナリをアップデーターとして追加し、バイナリにアップデーターの権限を付与します。アップ
データー権限のあるバイナリを実行すると、保護対象のバイナリとソフトウェアコンポーネント
を更新できます。Windows プラットフォームでは、バイナリは実行可能ファイル (.exe) に分類
されます。
sadmin updaters add <binaryname>
sadmin updaters add update.exe
30
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
アップデーターの使用
4
コンポーネン
ト
例
ユーザー
(Windows)
アップデーターとしてユーザーを追加すると、ユーザーは保護対象システムで更新操作を実行でき
ます。
sadmin updaters add –u <username>
sadmin updaters add –u <username>
sadmin updaters add –u john_smith
ドメインユーザーの場合:
sadmin updaters add –u [email protected]
sadmin updaters add –u mydomain\john_smith
証明書
(Windows)
選択した証明書を更新プログラムとして追加すると、選択した証明書で署名されたすべてのコンポ
ーネントに更新プログラム権限を割り当てることができます。選択した証明書で署名されたコン
ポーネントは、システム上のバイナリに変更を行い、新しいアプリケーションを開始できます。証
明書に更新プログラム権限を割り当てる場合には、十分に注意して慎重に行ってください。『証
明書の使用』を参照してください。
証明書を更新プログラムとして追加できるのは、Windows プラットフォームだけです。
たとえば、Internet Explorer アプリケーションをアップデーターとして署名する Microsoft 証
明書を追加すると、Internet Explorer は任意のアプリケーションをダウンロードして実行できま
す。
Application Control は、X.509 証明書 (ベース 64 エンコーディング) にのみ対応しています。
sadmin cert add –u <certfilename>
sadmin cert add –u firefox.cer
現在実行中のプロセスをアップデーターとして追加できます。
ホワイトリストを作成すると、一時フォルダーはすべて無視され、ホワイトリストにも追加されません。アップデー
ター権限を持つプロセスが一時フォルダーにバイナリを作成すると、ファイルを実行され、バイナリがホワイトリス
トに追加されます。必要な引数を指定して sadmin updaters コマンドを実行すると、アップデーターの追加、一
覧表示または削除を行うことができます。
Application Control のデフォルトの設定を変更して、よく利用されるアプリケーションを実行したり、デフォルト
の更新プログラムに追加できます。これらのアプリケーションをデフォルトの更新プログラムに追加できます。
•
新しいコードのダウンロード、インストール、実行を行うセットアップシステム。例: Microsoft のソフトウェ
ア更新とカスタムバイナリ
•
アプリケーションの手動更新。例: ウイルス対策
システムでホワイトリストを作成すると、Application Control がデフォルトの更新プログラムを設定します。
Application Control は、デフォルトの更新プログラムが市販 (COTS) のアプリケーションを実行し、更新できるよ
うにデフォルトの設置を更新します。 Finetune ユーティリティでデフォルトの更新プログラムを設定することも
できます。 Finetune ユーティリティの詳細については、
『Finetune を使用してデフォルトの更新プログラムを更新
する』を参照してください。
McAfee Application Control 7.0.0
製品ガイド
31
4
適用された保護状態の変更
アップデーターの使用
アップデーターを追加する
様々なコンポーネントをアップデーターとして追加し、ソフトウェアコンポーネントの更新を許可することができま
す。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin updaters add <filename>
以下の表では、サポートされる引数、機能、使用例を説明します。
引
数
説明
-d
アップデーターとして追加するバイナリファイルの子プロセスをアップデーター権限の継承から除外し
ます。
sadmin updaters add –d <filename>
sadmin updaters add –d winlogon.exe
-n
アップデーターとして追加するファイルのイベントロギングを無効にします。
sadmin updaters add –n <filename>
sadmin updaters add –n winlogon.exe
-l
指定したライブラリ名が実行ファイルに読み込まれた場合にのみ、アップデーターとして実行ファイルを
追加します (Windows)。
sadmin updaters add -l <associated libraryname> <filename>
sadmin updaters add –l system32\wuauserv.dll svchost.exe
-t
次の操作を実行します。
• アップデーターとして追加するファイルにタグを追加します。
sadmin updaters add -t <associated tag> –l <associated libraryname>
<filename>
sadmin updaters add –t Win_up_schedule1 –l system32\wuauserv.dll svchost.exe
• アップデーターとしてタグ付きのユーザー名を追加します。
sadmin updaters add –t <tagname> –u <username>
sadmin updaters add –t McAfee001 -u john_smith
32
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
アップデーターの使用
4
引
数
説明
-p
親の実行ファイル (Windows) または親のプログラム (Linux) が実行中の場合にのみ、バイナリファイ
ルを更新プログラムとして追加します。
sadmin updaters add -p <parentname> <filename>
sadmin updaters add –p svchost.exe iexplore.exe
-u
アップデーターとしてユーザーを追加します (Windows)。指定したユーザーにすべての更新操作が許可
されます。
–u 引数を指定する場合、-l、-p、-d、–n などの他の引数は使用できません。
sadmin updaters add –u <username>
更新プログラムとして追加可能なユーザー名のタイプは次のとおりです。
• 簡単な名前
例: john_smith
単純な名前を指定すると、この名前を持つすべてのドメインユーザーがアップデーターとして追加され
ます。
• ドメイン名 (ユーザー名@ドメイン名)
例: [email protected].
• 階層的なドメイン名 (ドメイン名\ユーザー名)
例: mydomain\john_smith
バイナリを右クリックして [<更新プログラムのユーザー名> として実行] を選択した場合、バイナリがホ
ワイトリストに追加され、実行が許可されている場合に限り、更新プログラムとしてバイナリが実行され
ます。
アップデーターとして追加するファイルを指定する
ファイル名またはチェックサム値を使用して、ファイルを指定します。
以下の表では、更新プログラムとして追加するファイルの指定方法を説明します。
McAfee Application Control 7.0.0
製品ガイド
33
4
適用された保護状態の変更
アップデーターの使用
方法
説明
ファイル名を指定し
ます。
アップデーターとしてファイル名を追加すると、アップデーター権限がファイル名に適用さ
れます。パスを変更しても、アップデーター権限は有効です。
ファイルの絶対パスまたは相対パスを指定できます。更新プログラムとしてファイルの絶
対パスを指定すると、そのパスにのみ更新プログラム権限が付与されます。たとえば、dir
\file.exe を指定すると、dir という名前のディレクトリにある file.exe にのみ更新プ
ログラムルールが適用されます。
Windows プラットフォームの場合、ドライブ文字を含むフルパスを指定すると、ドライブ
文字は無視されます。たとえば、C:\foo\bar.exe と指定すると、\foo\bar.exe に更
新プログラムルールが追加され、ドライブ文字は無視されます。
ファイルチェックサ
ムを指定する
(Windows)
ファイルチェックサムを更新プログラムとして追加すると、このチェックサムのファイルだ
けが更新プログラムとして追加されます。ファイルのソースに関係なく、チェックサム値が
一致すると、ファイルが更新プログラムとして追加されます。ファイルチェックサムを更
新プログラムとして追加できるのは、Windows プラットフォームだけです。
アップデーターとして追加するチェックサム値を指定するには、sadmin auth –a –u –c
<checksumvalue> コマンドを使用します。
たとえば、システムに Adobe Acrobat の複数のバージョンが存在し、特定のバージョンに
だけ実行を許可するには、実行ファイルのチェックサム値を更新プログラムとして指定しま
す。実行ファイルのチェックサム値を更新プログラムとして追加すると、製品の必要なバー
ジョンにだけ実行を許可できます。『チェックサム値の使用』を参照してください。
スクリプトの場合、アップデーターとして追加するチェックサム値を指定できません。この
方法では、アップデーターとしてスクリプトを追加することはできません。
Finetune を使用してデフォルトの更新プログラムを更新する (Windows のみ)
Finetune ユーティリティを使用すると、商用オフザシェルフ (COTS) を実行するようにデフォルトのシステム構成
を更新し、デフォルトのアップデーターを追加できます。
KnowledgeBase に記載されているように、Finetune アプリケーションは Application Control で承認され、設定
の変更を実行することができます。 Application Control がインストールされていれば、バッチファイル
(finetune.bat) を使用して Finetune を配備できます。ただし、特定のアプリケーションを実行するために、こ
のユーティリティを使用してホワイトリストのカスタマイズを追加または削除にできます。
Finetune のオプションのヘルプを参照するには、次のコマンドを実行します。
finetune.bat help
タスク
説明
デフォルトのアップデーターにア設定ファイルでデフォルトのアップデーターにアプリケーションを追加するに
プリケーションを追加する。
は、次のコマンドを実行します。
finetune.bat add A-Application
例:
finetune.bat add A-McAfee
デフォルトのアップデーターから設定ファイルでデフォルトのアップデーターからアプリケーションを削除する
アプリケーションを削除する。
には、次のコマンドを実行します。
finetune.bat remove A-Application
例:
finetune.bat remove A-McAfee
属性「A」はアプリケーション ID を表します。finetune.bat help コマンドを実行すると、すべての ID を表示で
きます。
34
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
アップデーターの使用
4
推奨プログラムをアップデーターとして追加する
Windows システムにアップデーターとして追加可能なプログラムの一覧を確認できます。この機能は、機能リスト
で discover-updaters と表示されます。
有効モードで実行すると、Application Control 保護機能は正当なアプリケーションの実行を妨げる場合があります
(必要なルールが定義されていない場合)。Application Control は、保護対象ファイルを変更したり、その他の実行
ファイルを実行したりするため、承認された実行ファイルによるこのようなエラー要求をすべて追跡します。エラー
要求に関する情報を確認すると、更新プログラムルールを識別したり、正当なアプリケーションが正常に実行される
ようにできます。この機能は Windows プラットフォーム上でのみ使用できます。
タスク
1
更新プログラムとして追加可能なコンポーネントのリストを取得するには、次のコマンドを実行します。
sadmin diag
システムでアップデーターとして追加し、更新操作を許可できるプログラムの一覧が表示されます。
診断リストを確認して、setup.exe などの一般的な名前で制限付きのプログラムが承認済みの更新プログラムと
して設定されていないことを確認します。
このコマンド実行すると、出力に次の設定パラメーターが表示されます。
記号
設定ルール
!
プログラムの設定が存在します。次の行に既存の設定が表示されます。
*
これは、制限付きのプログラム用の設定で、システムに対する変更を可能にします。このようなプログ
ラムの設定は制限する必要があります。
* と ! プログラムの設定は存在しますが、プログラムを正常に実行するには、一部の設定を変更する必要があ
ります。
2
次のいずれかの手順を実行します。
•
診断済みの設定の変更を適用するには、次のコマンドを実行します。
sadmin diag fix
このコマンドは、* が付いたルールを修正しません (* は制限付きプログラム)。
•
制限付きプログラムに診断済みの設定の変更を適用するには、次のコマンドを実行します。
sadmin diag fix -f
制限付きプログラムは、Windows の重要なプログラムです。たとえば、services.exe、winlogon.exe、
svchost.exe、explorer.exe などが該当します。
アップデーターの一覧を表示する
システムでアップデーターとして定義されているコンポーネントの一覧を表示します。
タスク
•
更新プログラムのリストを表示するには、次のコマンドを実行します。
sadmin updaters list
更新プログラムを削除する
システムに追加された更新プログラムを削除して、ソフトウェアコンポーネントに対する変更を制限します。
以下のいずれかの方法で更新プログラムを削除できます。
McAfee Application Control 7.0.0
製品ガイド
35
4
適用された保護状態の変更
アップデーターの使用
すべてのコンポーネントを消去する
更新プログラムリストからすべてのコンポーネントを消去します。
タスク
•
更新プログラムリストからすべてのコンポーネントを消去するには、次のコマンドを実行します。
sadmin updaters flush
特定のコンポーネントを削除する
更新プログラムリストから特定のコンポーネントを削除します。
タスク
•
更新プログラムリストから特定のコンポーネントを削除するには、次のコマンドを実行します。
sadmin updaters remove
次の表では、更新プログラムとして登録された特定のコンポーネントを削除する方法を説明します。
コンポーネント
例
インストーラー
(Windows でのみ使用
可能)
更新プログラムリストからインストーラーを削除します。
sadmin updaters remove <installername>
sadmin updaters remove Ica32Pkg.msi
スクリプト
更新プログラムリストからスクリプトを削除します。
sadmin updaters remove <scriptname>
sadmin updaters remove myscript12.bat
バイナリ
更新プログラムリストからバイナリを削除します。
sadmin updaters remove <binaryname>
sadmin updaters remove update.exe
Windows で、このコマンドを使用した後でプロセスを再起動すると、更新プログラ
ムリストから削除されます。 Linux プラットフォームの場合、プロセスの再起動は
不要です。
ユーザー (Windows)
更新プログラムリストからユーザーを削除します。
sadmin updaters remove -u <username>
sadmin updaters remove -u john_smith
このコマンドを使用した後でシステムを再起動すると、更新プログラムリストからユ
ーザーが削除されます。
36
McAfee Application Control 7.0.0
製品ガイド
4
適用された保護状態の変更
証明書の使用
証明書の使用
ATM、ストレージシステム、POS システムの製造元は、システムを保護するために Application Control を組み込
んでいます。これらの製造元は、証明書を追加して更新操作を実行する基本的なユーザーとなります。一般の企業
もこの方法で更新を実行できます。
Application Control では、ソフトウェアパッケージに関連付けられ、信用された証明書に保護対象システムでの実
行が許可されます。信用済みまたは承認済みとして証明書を追加すると、この証明書が署名したすべてのソフトウェ
アを保護対象システムで実行できます。更新モードに切り替える必要はありません。たとえば、Adobe のコード署
名証明書を追加する場合、Adobe が発行して Adobe の証明書で署名されるすべてのソフトウェアは実行を許可され
ます。
任意の組織内アプリケーションを保護対象システムで実行できるようにするには、内部の証明書を使用してアプリケ
ーションに署名し、内部の証明書を信頼済みとして定義します。これを実行すると、証明書によって署名されたすべ
てのアプリケーションが許可されます。
証明書に更新プログラム権限を付与することもできます。システムで追加または変更され、更新プログラム権限のあ
る証明書で署名されたアプリケーションとバイナリファイルはホワイトリストに自動的に追加されます。更新プロ
グラムの詳細については、『更新プログラムの使用』を参照してください。
このオプションを選択すると、信用された証明書で署名されたすべてのバイナリファイルが更新プログラム権限を取
得することになります。このオプションはよく考えて使用してください。たとえば、Internet Explorer アプリケー
ションを更新プログラムとして署名する Microsoft 証明書を設定すると、Internet Explorer は任意のアプリケーショ
ンをダウンロードして実行できるようになります。実際には、信用された証明書で署名されたアプリケーションが更
新プログラム権限で追加または変更したファイルは、ホワイトリストに自動的に追加されます。
証明書を抽出する
バイナリファイルから証明書を抽出するには、ScGetCerts ユーティリティを使用します。このユーティリティは、
ホワイトリストが作成されていないシステムでも実行できます。
このユーティリティは製品に同梱されており、Application Control のインストールディレクトリにインストールさ
れます。このユーティリティのデフォルトの場所は C:\Program Files\McAfee\Solidcore\Tools
\ScGetCerts です。
証明書を抽出するコマンドの構文は次のとおりです。
scgetcerts.exe [<FILEPATH: filename|directory>] [OUTPUT PATH] [--cab] <-A> <-O>
<-n|-c> [<DOMAIN>] [<USERNAME>] [<PASSWORD>]
バイナリファイルから証明書を抽出するには、ファイル名付きのファイルパスを指定するか、バイナリファイルが
存在するディレクトリパスを指定します。ディレクトリ名、証明書またはインストーラーの情報を指定すると、すべ
てのバイナリファイルから証明書が抽出され、指定したディレクトリに保存されます。抽出後の証明書またはインス
トーラーの情報 (あるいはその両方) を保存する出力ディレクトリパスを指定します。
次の表に、使用可能なパラメーターを示します。
パラメー
ター
説明
--cab
cab ファイルから証明書を抽出する場合に指定します。--cab パラメーターを指定する場合、-O パラ
メーターも指定する必要があります。
-A
これはオプションのパラメーターです。バイナリファイルからすべての証明書を抽出する場合に指定
します。デフォルトでは、ルート証明書だけが抽出されます。
-O
これはオプションのパラメーターです。証明書だけを抽出し、他の情報を抽出しない場合に指定しま
す。--cab パラメーターを指定する場合には、このパラメーターも指定する必要があります。
McAfee Application Control 7.0.0
製品ガイド
37
4
適用された保護状態の変更
証明書の使用
パラメー
ター
説明
-c
バイナリファイルのパスがネットワーク上でアクセス可能かどうか確認する場合に指定します。
-n
これはオプションのパラメーターです。ネットワーク上のディレクトリパスを認証する場合に指定し
ます。-n オプションは、ディレクトリパスを指定する場合にのみ使用します。
–n または –c パラメーターを使用する場合には、ドメイン、ユーザー名、パスワードを指定します。
証明書を追加する
信用または承認された証明書として証明書を追加し、この証明書で署名されたソフトウェアを保護対象システムで実
行します。
Application Control は、X.509 証明書のみに対応しています。
38
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
証明書の使用
4
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin cert add
使用可能な既存の証明書を使用するか、署名済みのバイナリファイルから証明書を抽出します。署名済みのバイ
ナリから証明書を抽出するには、ScGetCerts.exe (<Install_dir>\Tools\ScGetCerts\ScGetCerts
.exe) を使用します。『証明書を抽出する』を参照してください。
構文
説明
sadmin cert add
<certificatename>
証明書を信頼済みとして追加します。
例:sadmin cert add mcafee.cer
sadmin cert add –c
信用された証明書のコンテンツを指定するには、-c 引数を使用します。
<certificatecontent>
例: sadmin cert add –c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sadmin cert add –u
<certificatename>
信用された証明書を更新プログラムとして追加するには、-u 引数を使用します。
例:
sadmin cert add –u mcafee.cer
このオプションを選択すると、信用された証明書で署名されたすべてのバイナリファ
イルが更新プログラム権限を取得することになるため、このオプションはよく考えて
使用してください。たとえば、Internet Explorer アプリケーションを更新プログラ
ムとして署名する Microsoft 証明書を設定すると、Internet Explorer はインターネ
ットから任意のアプリケーションをダウンロードして実行できるようになります。実
際には、証明書で署名されたアプリケーションが更新プログラム権限で追加または変
更したファイルは、ホワイトリストに自動的に追加されます。
McAfee Application Control 7.0.0
製品ガイド
39
4
適用された保護状態の変更
証明書の使用
証明書を表示する
Application Control 証明書ストアの証明書を表示して、信用できる証明書がシステムに追加されていることを確認
します。
タスク
•
40
コマンドプロンプトで次のコマンドを実行します。
構文
説明
sadmin cert
list
信頼済みまたは承認済みとして Application Control 証明書ストアに追加されている証
明書の SHA1 を表示します。
sadmin cert
list -d
システムに追加された証明書の発行者と件名を表示します。
sadmin cert
list -u
アップデーター権限が設定された証明書をすべて表示します。
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
証明書の使用
4
証明書を削除する
Application Control 証明書ストアから証明書を削除し、信用または承認ステータスを削除します。このような証明
書を使用しても、信用された証明書で署名されたソフトウェアを保護対象システムで実行することはできません。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin cert remove
構文
説明
sadmin cert remove
<SHA1>
SHA1 値を使用して信用された証明書として追加された証明書を削除します。証明
書の SHA1 値を指定して、Application Control 証明書ストアから証明書を削除しま
す。
例:
sadmin cert remove 7ecf2b6d72d8604cf6217c34a4d9974be6453dff
sadmin cert remove – 指定された証明書コンテンツを Application Control 証明書ストアから削除するに
c
は、-c 引数を使用します。
<certificatecontent>
例:
sadmin cert remove –c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sadmin cert flush
McAfee Application Control 7.0.0
Application Control 証明書ストアから証明書をすべて削除します。
製品ガイド
41
4
適用された保護状態の変更
チェックサム値の使用
チェックサム値の使用
システムに適用された保護状態を変更するには、チェックサム値に従って特定のバイナリを承認します。
チェックサム (SHA1) 値でバイナリを承認すると、保護対象システムでの実行が許可されます。バイナリがホワイト
リストに追加されていなくても、承認バイナリとして設定されていると、システムでの実行が許可されます。チェッ
クサム (SHA1) 値でバイナリを承認すると、バイナリのソースに関わらず、チェックサム値に一致したときにバイナ
リの実行が許可されます。
承認バイナリにアップデーター権限を付与することもできます。承認バイナリをアップデーターとして設定すると、
実行権限以外にアップデーター権限が付与されます。アップデーターとして設定された承認バイナリは、保護対象シ
ステムでソフトウェアの更新を実行できます。インストーラーもチェックサムで承認し、アップデーターとして設定
できます。これにより、新しいソフトウェアのインストールとソフトウェアコンポーネントの更新が許可されます。
たとえば、チェックサムで Microsoft Office 2010 スイートのインストーラーを承認し、アップデーターとして設定
すると、チェックサムが一致したときに、インストーラーを保護対象システムで実行し、Microsoft Office スイート
をインストールできます。
バイナリを承認する
バイナリを承認すると、保護対象システムでの実行を許可できます。
タスク
•
バイナリを承認するには、次のコマンドを実行します。
sadmin auth -a [-t tagname] -c <checksumvalue>
構文
説明
sadmin auth –a –c
<checksumvalue>
承認するバイナリのチェックサム値を指定します。
例:
sadmin auth –a –c 803291bcc5aa45a0221b4016f62d63a26d3ee4af
sadmin auth –a [–t
tagname] –c
<checksumvalue>
タグ名と承認するバイナリのチェックサム値を追加します。
例:
sadmin auth –a –t Win_up_schedule1 –c
803291bcc5aa45a0221b4016f62d63a26d3ee4af
sadmin auth –a –u –
c <checksumvalue>
バイナリを承認して、アップデーター権限を付与します。承認してアップデーター
として追加するバイナリのチェックサム値を指定します。
例:
sadmin auth –a –u –c 803291bcc5aa45a0221b4016f62d63a26d3ee4af
42
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
バイナリ名の使用
4
バイナリを禁止する
保護対象システムでバイナリの実行を制限します。
タスク
•
バイナリを禁止するには、次のコマンドを実行します。
sadmin auth -b -c <checksumvalue>
構文
説明
sadmin auth –b –c
<checksumvalue>
禁止するバイナリのチェックサム値を指定します。
例:
sadmin auth –b –c 803291bcc5aa45a0221b4016f62d63a26d3ee4af
sadmin auth –b –t
<tagname> –c
<checksumvalue>
タグ名と禁止するバイナリのチェックサム値を追加します。
例:
sadmin auth –b –t AUTO_1 –c
583291bcc5aa45a0221b4016f62d63a26d3ee9at
承認されたバイナリと禁止されたバイナリを表示する
保護対象システムで承認されたバイナリと禁止されたバイナリの一覧を表示します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin auth -l
このコマンドを実行すると、保護対象システムで承認されたバイナリと禁止されたバイナリの一覧がを表示され
ます。アップデーターとして追加されたバイナリの一覧も表示されます。
承認バイナリまたは禁止バイナリを削除する
システムで承認または禁止されたバイナリを削除すると、承認バイナリの実行を制限したり、禁止されたバイナリか
ら禁止ルールを削除することができます。
タスク
•
承認または禁止されたバイナリを次の方法で削除します。
構文
説明
sadmin auth -r
<checksumvalue>
削除するバイナリのチェックサム値を指定します。
例:
sadmin auth –r 803291bcc5aa45a0221b4016f62d63a26d3ee4af
sadmin auth -f
承認バイナリまたは禁止バイナリをすべて削除します。このコマンドを実行すると、シ
ステム上で承認または禁止されているバイナリがすべて削除されます。
バイナリ名の使用
バイナリ (プログラムまたはファイル) の名前を指定して実行を承認すると、適用済みの保護を上書きできます。
保護対象システムでの実行を承認するバイナリ名を指定すると、システムまたはネットワークディレクトリに存在す
る同じ名前のバイナリの実行が許可されます。同様に、名前を指定してバイナリを禁止すると、同じ名前のバイナリ
の実行が禁止されます。
McAfee Application Control 7.0.0
製品ガイド
43
4
適用された保護状態の変更
バイナリ名の使用
名前でバイナリファイルの実行を許可する
バイナリファイルの名前を指定して、保護対象システムでのバイナリの実行を許可します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin attr add -a <filename>
例: sadmin attr add -a setup.exe
バイナリの絶対パスを指定すると、必要なバイナリだけに実行を許可できます。
例: sadmin attr add -a "C:\Program Files\Google\Picasa3\setup.exe"
Windows プラットフォームの場合、ドライブ文字が切り捨てられます。このため、C 以外のドライブに
\Program Files\Google\Picasa3\setup.exe というファイルパスが存在する場合、このファイルにも実
行が許可されます。
名前でバイナリファイルの実行を禁止する
バイナリファイルの名前を指定して、保護対象システムでのバイナリの実行を制限します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin attr add -u <filename>
例: sadmin attr add -u setup.exe
バイナリの絶対パスを指定すると、必要なバイナリだけに実行を禁止できます。
例: sadmin attr add -u "C:\Program Files\Google\Picasa3\setup.exe"
Windows プラットフォームの場合、ドライブ文字が切り捨てられます。このため、C 以外のドライブに
\Program Files\Google\Picasa3\setup.exe というファイルパスが存在する場合、このファイルも実行
が禁止されます。
承認または禁止されたバイナリを表示する
保護対象システムで承認または禁止されたバイナリ名のリストを表示します。
タスク
•
44
コマンドプロンプトで次のコマンドを実行します。
コマンド
説明
sadmin attr list -a
承認されたバイナリ名のリストを表示します。
sadmin attr list -u
禁止されたバイナリ名のリストを表示します。
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
信頼できるディレクトリの使用
4
承認されたルールと禁止されたルールを削除する
バイナリの名前で承認ルールを削除すると、承認されたバイナリの実行を制限できます。バイナリの名前で禁止ルー
ルを削除すると、禁止されたバイナリの実行を許可できます。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
コマンド
説明
sadmin attr
remove -a
<filename>
追加されたルールを削除し、名前で指定したバイナリを承認します。ルールの追加で
使用したバイナリ名またはパスを指定します。
sadmin attr
remove -u
<filename>
追加されたルールを削除し、名前で指定したバイナリを禁止します。ルールの追加で
使用したバイナリ名またはパスを指定します。
sadmin attr
flush -a
すべてのバイナリから名前で承認ルールを削除します。
sadmin attr
flush -u
すべてのバイナリから名前で禁止ルールを削除します。
信頼できるディレクトリの使用
信頼できるディレクトリを使用すると、システムに適用された保護状態を変更することができます。ディレクトリを
信頼済みとして追加すると、これらのディレクトリにあるソフトウェアの実行が許可されます。
Windows プラットフォームの場合、Application Control はファイルを追跡し、ネットワークディレクトリにある
バイナリとスクリプトの実行を阻止します。Application Control は、Server Message Block (SMB) マウントポ
イントのファイルも追跡できます。この機能は、機能リストで network-tracking と表示されます。デフォルトで
は、この機能は有効になっています。ネットワークディレクトリのバイナリとスクリプトは実行されません。
この機能を無効にすると、ネットワークディレクトリ上でスクリプトの実行が許可されます。ただし、ネットワーク
ディレクトリのバイナリは実行できません。また、ネットワークディレクトリ上のコンポーネントには書き込み保護
または読み取り保護が適用されません。
信用できるディレクトリとは
保護対象システムで、信頼できるディレクトリとしてディレクトリ (ローカルまたはネットワーク共有) を追加する
と、これらのディレクトリにあるソフトウェアを実行することができます。信頼できるディレクトリは、UMC
(Universal Naming Convention) パスで指定します。
信用できるディレクトリを追加するタイミング
組織の内部ネットワーク上の共有フォルダーにライセンスアプリケーションのインストーラーを保存する場合、この
ネットワーク共有を信頼できるディレクトリを追加する必要があります。
Application Control を有効にすると、Application Control はネットワーク共有のファイルを追跡します。信頼で
きる共有として追加されるまで、ネットワーク共有上のファイルの実行を阻止します。また、保護対象システムもネ
ットワーク共有上のコードを実行できなくなります。
必要に応じて、UNC パスに配置されたソフトウェアが保護対象エンドポイント上でソフトウェアをインストールす
るよう許可することもできます。たとえば、保護対象のシステムからドメインコントローラーにログオンするとき、
スクリプトとバイナリの実行を許可するため、\\domain‑name\SYSVOL を信用できるディレクトリとして定義する
必要があります。
McAfee Application Control 7.0.0
製品ガイド
45
4
適用された保護状態の変更
信頼できるディレクトリの使用
信頼できるディレクトリを追加する
信用できるディレクトリとしてディレクトリを追加し、このディレクトリにあるソフトウェアを保護対象のシステム
で実行します。 1 つ以上のディレクトリの絶対パスまたは相対パス (Linux のみ) を指定します。ネットワーク共
有のディレクトリパスを指定することもできます。
以下の表では、信用できるディレクトリの追加方法を説明します。
構文
説明
sadmin trusted –i
<pathname1...pathnameN>
信頼できるディレクトリとして追加するディレクトリのパスを指定します。ネ
ットワーク共有にあるディレクトリのパスも指定できます。
例:
• sadmin trusted –i C:\Documents and Settings\admin\Desktop
\McAfee (Windows)
• sadmin trusted –i \\192.168.0.1\documents
• sadmin trusted –i /etc/security (Linux)
ディレクトリパスの指定方法については、
『ディレクトリパスの指定ガイドライ
ンに従う』を参照してください。
sadmin trusted –u
<pathname1...pathnameN>
信頼できるディレクトリとして追加するディレクトリのパスを指定します。こ
のコマンドは、ディレクトリ内のすべてのバイナリとスクリプトをアップデータ
ーとして追加します。ネットワーク共有にあるディレクトリのパスも指定でき
ます。
例:
• sadmin trusted –u C:\Documents and Settings\admin\Desktop
\McAfee (Windows)
• sadmin trusted –u \\192.168.0.1\documents
このコマンドにボリューム名を指定し、このボリュームのすべてのバイナリと
スクリプトを更新プログラムとして追加しても、信用できるボリュームを追加
できます。 sadmin trusted –i -u <volumename> コマンドを使用して、
ボリューム名を指定します。
ディレクトリパスの指定方法
Windows と Linux ではネットワークファイルシステムがサポートされています。マウントされたネットワーク
ファイルシステムのディレクトリパスは、次の方法で指定することができます。
Windows プラットフォーム:
構文
説明
sadmin trusted –i \
\server-name\share-name
ネットワーク共有を持つサーバー名を指定します。また、ネットワーク共有の
名前も指定します。
sadmin trusted –i \
\server-name
サーバー名を指定します。
sadmin trusted –i \\*
すべてのサーバーのネットワーク共有を指定する場合に、この方法を使用しま
す。
Linux プラットフォームの場合、ネットワークファイルシステムがマウントされると、ローカルのマウントポイン
トが信頼リストで参照されます。たとえば、ホワイトリストに登録されたサーバー "A" がサーバー "B" にあるリモ
ートファイル /mnt/ps を実行できるのは、このファイルがサーバー "A" で信頼できる共有として追加される場合
だけです。ネットワーク共有の任意のファイルを実行するには、次のコマンドを使用して、ネットワーク共有を信頼
済みとして設定します。
# sadmin trusted -i /mnt
46
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
信頼できるディレクトリの使用
4
パスにはワイルドカード文字 (*) を使用できます。ただし、1 つの完全パスコンポーネントのみを表わします。以
下にいくつかのサンプルを示します。
•
Windows プラットフォームの場合、\abc\*\def は使用できますが、\abc\*.doc、\abc\*.*、\abc\doc.* は
使用できません。
•
Linux のプラットフォームでは、/abc/*/def の使用は許可されていますが、/abc/*.sh、/abc/*.*、または /abc/
doc.* の使用は許可されていません。
信頼できるディレクトリの一覧を表示する
システムで信頼できるディレクトリとして追加されたディレクトリの一覧を表示します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin trusted -l
このコマンドを実行すると、システムに追加された信頼できるディレクトリの一覧が表示されます。
信頼できるディレクトリのリストから特定のディレクトリを除外する
システムで信頼済みとして追加したディレクトリのリストから特定のディレクトリを除外します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin trusted –e <pathname1...pathnameN>
このコマンドに、信頼できるディレクトリのリストから除外する 1 つ以上のディレクトリのパスを指定します。
例:
•
sadmin trusted –e C:\Documents and Settings\admin\Desktop\McAfee (Windows)
•
sadmin trusted –e \\192.168.0.1\documents
•
sadmin trusted –e /etc/security (for Linux)
信頼できるディレクトリを削除する
信頼できるディレクトリを削除して、これらのディレクトリにあるソフトウェアの実行を制限します。
タスク
•
次の方法で、信用されたディレクトリを削除します。
構文
説明
sadmin trusted –r
<pathname1...pathnameN>
信頼できるディレクトリから削除するディレクトリのパスを指定します。
例:
• sadmin trusted –r C:\Documents and Settings\admin
\Desktop\McAfee (Windows)
• sadmin trusted –r \\192.168.0.1\documents
• sadmin trusted –r /etc/security (Linux)
sadmin trusted –f
McAfee Application Control 7.0.0
信頼できるディレクトリのすべてのルールを削除します。この引数と指定
すると、信頼できるディレクトリのすべてのルールがシステムから削除さ
れます。
製品ガイド
47
4
適用された保護状態の変更
信用されたユーザーの使用 (Windows のみ)
信用されたユーザーの使用 (Windows のみ)
更新プログラムとしてユーザーを追加し、保護対象システムでの更新操作を許可できます。更新プログラム権限をユ
ーザーに付与すると、ユーザーは信用されたユーザーとして定義されます。
信頼できるユーザーとは
信用されたユーザーは、動的にホワイトリストに追加できる更新プログラム権限を持つ承認された Windows ユーザ
ーです。たとえば、管理者が任意のソフトウェアをインストールまたは更新できるようにするには、信用されたユー
ザーとして管理者を追加します。ユーザーの情報を追加するときに、ドメインの詳細も追加できます。
信頼できるユーザーを追加する場合
保護対象システムで更新操作を行う必要がある場合、特定のユーザーを信頼できるユーザーとして追加します。
この選択肢はセキュリティ面が最小限になるため、保護対象システムに対する変更を許可できるすべての選択肢の中で
最もお勧めできません。信用されたユーザーの場合、システムで変更または実行できる対象に制約がありません。信
用されたユーザーを定義する場合には慎重に行ってください。
信頼できるユーザーを追加する
信頼できるユーザーを追加して、保護対象システムでの更新操作を許可します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin updaters add –u <username>
以下の表では、サポートされる引数、機能、使用例を説明します。
48
McAfee Application Control 7.0.0
製品ガイド
4
適用された保護状態の変更
信用されたユーザーの使用 (Windows のみ)
引数説明
-u
ユーザーを信頼できるユーザーとして追加する場合に –u 引数を指定します (Windows)。指定したユー
ザーにすべての更新操作が許可されます。
次のタイプのユーザー名を信用できるユーザーとして追加できます。
• 簡単な名前
例: john_smith
sadmin updaters add –u john_smith
単純な名前を指定すると、この名前を持つすべてのドメインユーザーがアップデーターとして追加され
ます。
• ドメイン名 (ユーザー名@ドメイン名)
例: [email protected].
sadmin updaters add –u [email protected]
• 階層的なドメイン名 (ドメイン名\ユーザー名)
例: mydomain\john_smith
sadmin updaters add –u mydomain\john_smith
–u 引数を指定すると、sadmin updaters add コマンドの他の引数 (-l、-p、-d、–n など) は使用できま
せん。
更新プログラムの詳細については、『更新プログラムの使用』を参照してください。
-t
–t 引数を指定します。タグ名を使用してユーザーを更新プログラムとして追加します。タグ名は、この
ルールで処理されたファイルをログで探す場合の識別ラベルになります。
sadmin updaters add –t <tagname> –u <username>
sadmin updaters add –t McAfee001 -u john_smith
信頼できるユーザーの一覧を表示する
信頼できるユーザーの一覧を表示します。システムでアップデーター権限を持つすべてのユーザーを確認できます。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin updaters list
このコマンドを実行すると、信頼できるユーザーとシステムでアップデーターとして定義されている他のコンポ
ーネントが表示されます。
信頼できるユーザーを削除する
信頼できるユーザーの設定を解除すると、ユーザーからアップデーター権限が削除されます。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin updaters remove -u <username>
例: sadmin updaters remove -u john_smith
このコマンドを使用した後でシステムを再起動すると、ユーザーから更新プログラム権限が削除されます。
McAfee Application Control 7.0.0
製品ガイド
49
4
適用された保護状態の変更
ActiveX コントロールの実行許可
ActiveX コントロールの実行許可
特定の Web サイトやプログラムを使用するときに、ActiveX コントロールのインストールが必要になる場合があり
ます。デフォルトでは、Application Control は保護対象の Windows システムで ActiveX コントロールのインス
トールを阻止し、ACTX_INSTALL_PREVENTED イベントが生成されます。
ActiveX の機能により、保護対象のシステムに ActiveX コントロールをインストールして実行します。この機能は
デフォルトで有効になっています。Windows Server 2012 を除くすべての Windows オペレーティングシステム
で使用可能です。 ActiveX コントロールのインストールをサポートしているのは、Internet Explorer のみです。
ActiveX コントロールのインストールは、Internet Explorer (32 ビット) でのみ可能です。 Internet Explorer で
複数のタブを使用し、ActiveX コントロールを同時にインストールすることはできません。
ActiveX コントロールを許可する
保護対象システムで、Web サイトで必要な ActiveX コントロールをインストールして実行するには、Web サイトの
証明書を Application Control 証明書ストアに追加します。
タスク
•
コマンドプロンプトで次のコマンドを実行して、証明書を追加します。
sadmin cert add <certificatefilename>
証明書の追加方法については、『証明書の使用』を参照してください。
ActiveX コントロールの実行をブロックする
Web サイトに必要な ActiveX コントロールをアンインストールするには、Web サイトの証明書を Application
Control 証明書ストアから削除します。
タスク
•
許可された ActiveX コントロールの実行をブロックする方法は次のとおりです。
シナリオ
説明
以前に許可され、現在システムに次のコマンドを実行して、Application Control 証明書ストアから証明書を
インストールされていない
削除します。
ActiveX コントロールの実行をブ sadmin cert remove <certificatefilename>
ロックする。
システムに ActiveX コントロールがインストールされていない場合、Web
サイトの証明書を削除すると、ActiveX コントロールの実行がブロックされ
ます。
証明書が Application Control
1 次のコマンドを実行して、Application Control 証明書ストアから Web
証明書ストアに追加され、システ
サイトの証明書を削除します。
ムに ActiveX がインストールさ
sadmin cert remove <certificatefilename>
れている場合に ActiveX コント
ロールの実行をブロックする。
2 [プログラムの追加と削除] (Windows 2003、2008、XP) または [プロ
グラムと機能] (Windows Vista 以降) を使用して、インストールされて
いる ActiveX コントロールを削除します。
50
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
別のスクリプトの実行を許可するインタープリターの設定
4
ActiveX 機能を無効にする
ActiveX 機能を無効にして、実行中の ActiveX コントロールを停止します。
タスク
•
次のコマンドを実行して、ActiveX の機能を停止します。
sadmin features disable activex
この機能を有効または無効にする場合に、再起動の必要はありません。
別のスクリプトの実行を許可するインタープリターの設定
Application Control を使用すると、スクリプトの実行を制御できます。ただし、スクリプトは実行ファイルのよう
に実行されません。スクリプトを実行するには、スクリプトの構文と命令を解釈するインタープリターが必要です。
インタープリターは、スクリプトに記述された命令を実行するためのプロセスです。ファイルの拡張子とファイルの
コンテンツを解釈するインタープリターを関連付けることができます。
デフォルトでは、Application Control は標準のインタープリターとスクリプトファイルに対応しています。たとえ
ば、Windows オペレーティングシステムのバッチファイル (.bat)、コマンドインタープリター (.cmd)、スクリ
プトファイル (.vbs)、システムファイル (.sys)、パワーシェルファイル (.ps1)、コマンドファイル (.com) を
サポートしています。
インタープリターを追加する
インタープリターとスクリプトを追加して、ホワイトリストに追加する追加スクリプトの実行を許可します。インタ
ープリターとスクリプトを追加すると、スクリプトがホワイトリストに追加され、システムでの実行が許可されます。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin scripts add extension interpreter1 [interpreter2]...
関連付けが完了すると、これらのファイルはサポートされるファイルタイプになり、ホワイトリストの登録対象
になります。この拡張子のファイルは、特定のインタープリターでのみ実行されます。例:
sadmin scripts add .vbs wscript.exe cscript.exe
このコマンドを実行すると、Application Control は wscript.exe and cscript.exe に任意の .vbs スクリ
プトの実行を許可します。この結果は、コマンドの実行後に開始した新しいインタープリターインスタンスにす
ぐに適用されます。次のように、別のインタープリターを後で追加してリストを拡張することもできます。
sadmin scripts add .vbs zscript.exe
このリストに存在するインタープリターを追加しても、アクションは実行されません。
Application Control は、代理実行として 16 ビットバイナリに対して特殊なタグ 16Bit をサポートしています。
16 ビットバイナリの実行制御を有効にするには、次のコマンドを実行します。
•
sadmin scripts add 16Bit wowexec.exe
•
sadmin scripts add 16Bit ntvdm.exe
McAfee Application Control 7.0.0
製品ガイド
51
4
適用された保護状態の変更
別のスクリプトの実行を許可するインタープリターの設定
インタープリターの一覧を表示する
ホワイトリストに追加されると実行が承認されるインタープリターとスクリプトの一覧を表示します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin scripts list
出力結果は次のようになります。
.ps1 "powershell.exe"
.bat "cmd.exe"
.cmd "cmd.exe"
.pif "ntvdm.exe"
.sys "ntvdm.exe"
.vbe "cscript.exe" "wscript.exe"
16Bit "ntvdm.exe" "wowexec.exe"
.vbs "cscript.exe" "wscript.exe"
.exe "ntvdm.exe"
インタープリターを削除する
実行制御に必要のないスクリプトのインタープリターを削除します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin scripts remove extension [interpreter1 [interpreter2]]...
52
•
このコマンドにインタープリターを指定しないと、リスト全体の拡張子が削除されます。
•
最近ルールが無効になった拡張子のファイルは、sadmin check –r コマンドを実行するか、フ
ァイルをホワイトリストから削除するまでホワイトリストに残ります。
McAfee Application Control 7.0.0
製品ガイド
5
メモリー保護の設定
Application Control では、ゼロデイ攻撃を防ぎ、実行中のプロセスの実行ファイルと DLL の整合性を保護するた
め、Windows プラットフォームに複数のメモリー保護技術を提供しています。
これらの技術は、Windows のネイティブ機能や署名ベースのバッファーオーバーフロー対策製品の保護能力を強化
します。これらの技術は、サポート対象のすべての Windows オペレーティングシステムで使用できます。メモリ
ー保護技術は、次の種類のエクスプロイトを阻止します。
•
バッファーオーバーフローを悪用した直接的なコードの実行
•
バッファーオーバーフローを悪用し、ROP (Return-Oriented Programming) を使用した間接的なコードの実
行
メモリー保護技術によって阻止されたエクスプロイトの詳細と最新のリストを確認するには、McAfee® Global
Threat Intelligence™ サービスのセキュリティアドバイザリに登録してください。
目次
メモリー保護機能
CASP を設定する
NX を設定する
強制 DLL 再配置を設定する
メモリー保護機能
メモリー保護技術を使用すると、マルウェアの実行を防ぎ、バッファーオーバーフローを悪用してシステムを乗っ取
る試みを阻止できます。
以下の表では、メモリー保護技術と対応オペレーティングシステム、デフォルトステータス、イベントについて説明
します。
McAfee Application Control 7.0.0
製品ガイド
53
5
メモリー保護の設定
メモリー保護機能
技法
説明
CASP －重要なアドレス空間保護
(mp-casp)
非コード領域から実行されるコードを無効にします。通常、非コード領域か
らコードは実行されません。バッファーオーバーフローが悪用されている可
能性があります。
CASP は、64 ビット Windows プラットフォームで使用できるデータ実行防
止 (DEP) 機能と異なります。 DEP 機能は、非コード領域でのコードの実行
を阻止します (通常、ハードウェアの機能を使用します)。 CASP は、このよ
うなコードの実行を許可しますが、CreateProcess() や DeleteFile() などの
API 呼び出しを許可しません。エクスプロイトコードは、これらの API で呼
び出しを試みます。 CASP が呼び出しをブロックするので、エクスプロイト
による攻撃は失敗します。
CASP は、Windows 上で実行されるすべてのプロセスを保護しますが、
Windows の整合性保護機能ですでに保護されているプロセスは保護しませ
ん。
CASP は、機能リストで mp-casp と表示されます。sadmin features コ
マンドを使用すると、サポート対象機能の ID を表示できます。
実行ファイルに CASP を実施したり、除外できます。また、CASP から除外
する実行ファイルを表示したり、消去することもできます。詳細については、
『CASP を設定する』を参照してください。
NX － No Execute (mp-nx)
対応オペレーティン
グシステム
32 ビット－ Windows Server 2008、Windows
Vista、Windows 7、Windows Embedded 7、
Windows 8、Windows Embedded 8、Windows
8.1、Windows Embedded 8.1、Windows 10、
Windows 10 IoT Enterprise
デフォルトの状態
有効
生成されるイベント
PROCESS HIJACKED
Windows の DEP 機能を活用し、書き込み可能なメモリー領域 (スタック/ヒ
ープ) でコードの実行を試みるエクスプロイトからプロセスを保護します。
ネイティブ DEP 以外に、NX はきめ細かいバイパス機能を提供し、違反イベ
ントを生成します。
Windows DEP は、非実行可能なメモリー領域からのコードの実行を阻止する
メモリー保護技術です。通常、非実行可能領域からのコードの実行は異常な
イベントになります。多くの場合、バッファーオーバーフローの脆弱性が存
在する場合、エクスプロイトがこの脆弱性を悪用し、非実行可能領域からのコ
ードの実行を試みます。 DEP は 64‑ビット Windows プラットフォームで
使用できます。
NX は、機能リストで mp-nx と表示されます。sadmin features コマンド
を使用すると、サポート対象機能の ID を表示できます。
実行ファイルに NX を実施したり、除外できます。 NX は、WoW64 (または
32 ビット) プロセスにのみ適用されます。また、NX から除外する実行ファ
イルを表示したり、消去することができます。詳細については、『NXP を設
定する』を参照してください。
対応オペレーティン
グシステム
64 ビット－Windows Server 2008、Windows
Server 2008 R2、Windows Vista、Windows 7、
Windows Embedded 7、Windows 8、Windows
Embedded 8、Windows 8.1、Windows Embedded
8.1、Windows 10、Windows 10 IoT Enterprise、
Windows Server 2012、Windows Server 2012 R2
この機能は、IA64 アーキテクチャでは使用できま
せん。
54
McAfee Application Control 7.0.0
製品ガイド
5
メモリー保護の設定
CASP を設定する
技法
説明
強制 DLL 再配置
(mp-vasr-forced-relocation)
デフォルトのステー
タス
有効
生成されるイベント
NX_VIOLATION_DETECTED
ネイティブの Windows ASLR 機能から解除されたダイナミックリンクラ
イブラリ (DLL) を強制的に再配置します。常に同じアドレスに読み込まれ
る DLL を悪用するマルウェアも存在します。 DLL を再配置することで、これ
らの攻撃を阻止できます。
強制 DLL 再配置技術は、機能リストで mp-vasr-forced-relocation と表示
されます。使用可能な機能の ID を確認するには、sadmin features コマ
ンドを使用します。
実行ファイルに強制 DLL 再配置を施行したり、除外することができます。強
制 DLL 再配置から除外する実行ファイルを表示または消去します。また、指
定したプロセスで読み込まれた DLL モジュールを除外できます。詳細につ
いては、『強制 DLL 再配置を設定する』を参照してください。
対応オペレーティン
グシステム
32 ビットと 64 ビット－Windows Server 2008、
Windows Server 2008 R2、Windows Vista、
Windows 7、Windows Embedded 7、Windows 8、
Windows Embedded 8、Windows 8.1、Windows
Embedded 8.1、Windows 10、Windows 10 IoT
Enterprise、Windows Server 2012、Windows
Server 2012 R2
デフォルトの状態
有効
生成されるイベント
VASR_VIOLATION_DETECTED
毎日の処理の一部として特殊な方法でコードが実行される場合があります。メモリー保護技術を使用すると、このよ
うなアプリケーションの実行を阻止できます。
廃止されたメモリー保護技術については、McAfee サポートに連絡してください。
CASP を設定する
非コード領域のコードが API で呼び出されないようにするには、CASP に実行ファイルを追加するルールを設定しま
す。
タスク
構文
説明
CASP から実行ファイルを除外 sadmin attr add –c
<filename1 ...
します。
filenameN>
CASP から除外する 1 つ以上の実行ファイルを指
定します。
実行ファイルに CASP を施行
します。
CASP を施行する 1 つ以上の実行ファイルを指定
します。
McAfee Application Control 7.0.0
sadmin attr remove –
c <filename1 ...
filenameN>
例: sadmin attr add –c alg.exe
例: sadmin attr remove –c alg.exe
製品ガイド
55
5
メモリー保護の設定
NX を設定する
タスク
構文
説明
CASP から除外される実行ファ sadmin attr list –c
イルを表示します。
CASP から除外されるすべての実行ファイルを表示
します。
例: sadmin attr list –c
すべての実行ファイルから
CASP バイパスルールを消去
します。
sadmin attr flush –c
すべての実行ファイルから CASP バイパスルール
を削除します。
例: sadmin attr flush –c
NX を設定する
書き込み可能なメモリー領域からコードを実行するエクスプロイトからプロセスを保護するには、ルールを設定して
NX に実行ファイルを追加します。この技術により、非実行可能なメモリー領域からのコードの実行を防止します。
タスク
構文
説明
NX から実行ファイルを除
外します
sadmin attr add –n
<filename1 ...
filenameN>
NX から除外する 1 つ以上の実行ファイルを指定しま
す。
sadmin attr add –
n -y <filename1 ...
filenameN>
NX から除外する実行ファイル (子プロセスを含む) を指
定します。 -y オプションを指定する場合、-n オプショ
ンも使用する必要があります。
NX から実行ファイルと子
プロセスを除外します。
例: sadmin attr add –n alg.exe
例: sadmin attr add –n -y alg.exe
実行ファイルに NX を施行 sadmin attr remove – NX を施行する 1 つ以上の実行ファイルを指定します。
n <filename1 ...
します。
例: sadmin attr remove –n alg.exe
filenameN>
NX から除外する実行ファ
イルを表示します。
sadmin attr list –n
NX から除外されるすべての実行ファイルを表示します。
例: sadmin attr list –n
sadmin attr flush –n すべての実行ファイルから NXP バイパスルールを削除
すべての実行ファイルの
NX バイパスルールを消去
します。
します。
例: sadmin attr flush –n
強制 DLL 再配置を設定する
Windows の ASLR 機能から解除された DLL を利用するマルウェアは、常に同じアドレスに読み込まれます。
このようなマルウェアを阻止するには、1 つ以上の実行ファイルを強制 DLL 再配置に追加するルールを設定します。
この技術は、ネイティブの Windows ASLR 機能から解除された DLL を強制的に再配置します。
56
McAfee Application Control 7.0.0
製品ガイド
メモリー保護の設定
強制 DLL 再配置を設定する
5
タスク
構文
説明
強制 DLL 再配置か
ら実行ファイルを
除外します
sadmin attr add –v
<filename1 ... filenameN>
強制 DLL 再配置から除外する 1 つ以上の保護対象コ
ンポーネントを指定します。
実行ファイルに強
制 DLL 再配置を施
行します。
sadmin attr remove –v
<filename1 ... filenameN>
強制 DLL 再配置か
ら除外される実行
ファイルを表示し
ます。
sadmin attr list –v
すべての実行ファ
イルから強制 DLL
再配置ルールを消
去します。
sadmin attr list –v
特定のプロセスで
読み込まれた DLL
モジュールを除外
します。
sadmin attr add -o
module=<DLLmodulename> -v
<processname>
McAfee Application Control 7.0.0
例: sadmin attr add –v AcroRD32.exe
強制 DLL 再配置を施行する 1 つ以上の保護対象コン
ポーネントを指定します。
例: sadmin attr remove –v AcroRD32.exe
強制 DLL 再配置から除外されるすべてのコンポーネ
ントを表示します。
例: sadmin attr list –v
すべての実行ファイルから強制 DLL 再配置ルールを
削除します。
例: sadmin attr flush –v
プロセスの DLL モジュール名を除外します。
例: sadmin attr add –o
module=wuauserv.dll -v svchost.exe
製品ガイド
57
5
メモリー保護の設定
強制 DLL 再配置を設定する
58
McAfee Application Control 7.0.0
製品ガイド
6
システムのメンテナンス
Application Control の機能を使用すると、環境内のシステムを保守および管理することができます。
目次
製品のステータスとバージョンを表示する
ホワイトリストを管理する
詳細除外フィルター (AEF)
製品の機能を管理する
パッケージコントロール
緊急時の変更
パスワード保護を有効または無効にする
イベントを使用して変更を確認する
ログファイルの設定
システムのランタイム環境
大量の配備とシステムアップグレードの管理
Application Control を無効にする
製品のステータスとバージョンを表示する
Application Control のステータスを表示して、動作モード、再起動後の動作モード、ホワイトリストのステータス
など製品ステータスの詳細を確認します。管理対象構成の場合、McAfee ePO との接続も確認できます。
Application Control のバージョンを表示すると、インストールされている製品の詳細と著作権情報を確認できます。
タスク
1
次の手順に従って Application Control のステータスを確認します。
a
コマンドプロンプトで次のコマンドを実行します。
単一ボリュームの詳細を表示するには、[Volume] を追加します。
sadmin status [volume]
McAfee Application Control 7.0.0
製品ガイド
59
6
システムのメンテナンス
ホワイトリストを管理する
b
この例に類似したメッセージにシステムの詳細が表示されます。以下の表では、フィールドと意味を説明し
ます。
McAfee Solidifier: Disabled
McAfee Solidifier on reboot: Disabled ePO Managed:
No
Local CLI access: Recovered [fstype] [status] [driver status]
* NTFS Solidified Unattached C:\
2
[volume]
ステータスの詳
細
説明
McAfee
Solidifier
Application Control の動作モードを表します。
McAfee
Solidifier on
reboot
システム再起動後の Application Control の動作モードを表します。
McAfee ePO
Managed
Application Control と McAfee ePO の接続状況を表します。スタンドアロン構成の場
合、このステータスは No になります。
Local CLI
access
ローカル CLI のステータスを表します (lockdown または recovered)。スタンドア
ロン構成の場合、このステータスは Recovered になります。
fstype
ボリュームでサポートされているファイルシステムを表します。
status
システムでサポートされているボリュームのホワイトリストのステータスを表します。
ボリューム名を指定した場合、そのボリュームのホワイトリストステータスだけが表示さ
れます。
driver status
Application Control ドライバーがボリュームに読み込まれているかどうかを表します。
ドライバーがボリュームに読み込まれている場合、ステータスが attached になり、読
み込まれていない場合には unattached になります。
volume
ボリューム名が表示されます。
システムにインストールされている Application Control のバージョン情報と著作権情報を確認するには、次の
コマンドを実行します。
sadmin version
ホワイトリストを管理する
システム保守の重要な部分はホワイトリストの管理です。ホワイトリストを管理するために、様々なタスクを実行し
ます。
タスク
•
61 ページの「ホワイトリストスレッドの優先度」
ホワイトリストスレッドの優先度 (SoPriority) により、ホワイトリストの作成に必要なシステムリ
ソースと時間が決まります。
•
61 ページの「操作を追加または削除する」
初期のホワイトリストに新しいコンポーネントを追加し、保護対象システムでの実行を許可します。必
要であれば、ホワイトリストからコンポーネントを削除することもできます。
•
62 ページの「リスト操作」
システムでホワイトリストに登録または登録されていないファイル、ディレクトリ、ドライブ/ボリュー
ムのリストを表示します。
•
63 ページの「ホワイトリストのコンポーネントの状態を確認して更新する」
現在のホワイトリストの状態と、ホワイトリスト内のファイル、ディレクトリ、ボリュームのチェック
サム値を確認します。最新でない場合、ホワイトリストを更新し、矛盾を解決することができます。
60
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
ホワイトリストを管理する
6
ホワイトリストスレッドの優先度
ホワイトリストスレッドの優先度 (SoPriority) により、ホワイトリストの作成に必要なシステムリソースと時間
が決まります。
Windows オペレーティングシステムで最初のホワイトリストを作成する前に、ホワイトリストスレッドの優先度
を設定できます。デフォルトでは、スレッドは優先度低 (値 0) で実行されます。スレッドの優先度を指定しないと、
Application Control はデフォルトの優先度でホワイトリストを作成します。
次のコマンドを実行して、SoPriority 値を指定します。
sadmin config set SoPriority=<value>
SoPriority には必要に応じて値を指定します。以下の表では、SoPriority に指定可能な値を説明します。
値優先度
利点と欠点
0
低 (推奨) ホワイトリストの作成に時間がかかりますが、システムへの影響は最小限に抑えることができます。
1
中
該当なし
2
高
作成時間は短くなりますが、多くのシステムリソースが必要になります。システムのパフォーマン
スに影響を及ぼす可能性があります。
操作を追加または削除する
初期のホワイトリストに新しいコンポーネントを追加し、保護対象システムでの実行を許可します。必要であれば、
ホワイトリストからコンポーネントを削除することもできます。
ファイル名、ディレクトリ名またはボリューム名でコンポーネントを指定します。
ホワイトリストからシステムドライブまたはボリュームを削除しないでください。この操作を行うと、ブルースクリ
ーンが表示されたり、システム障害が発生する可能性があります。
アクション
コマンド構文
説明
ホワイトリストにコンポ
ーネントを追加します。
sadmin solidify
[<arguments>
<components>]
初期のホワイトリストが作成されると、このリストにないコン
ポーネントの実行はブロックされます。必要に応じて、複数の
コンポーネントをホワイトリストに追加できます。
ホワイトリストからすべ
てのコンポーネントを削
除します。
sadmin
unsolidify
このコマンドを実行すると、ホワイトリストからすべてのコン
ポーネントが削除されます。ホワイトリストからコンポーネ
ントを削除すると、Application Control で保護されなくなりま
す。
ホワイトリストから特定
のコンポーネントを削除
します。
sadmin
unsolidify
[<arguments>
<components>]
ホワイトリストから削除するコンポーネントを指定します。
この表の説明に従って、コンポーネントを追加または削除できます。
コンポ
ーネン
ト
説明
ファイ
ル名
ホワイトリストにファイルを追加します。以下に例を示します。
sadmin solidify filename1 ... filenameN
ホワイトリストからファイルを削除します。以下に例を示します。
sadmin unsolidify filename1 ... filenameN
ディレ
クトリ
名
指定したディレクトリに存在する対応ファイルをホワイトリストに再帰的に追加します。以下に例を示
します。
sadmin solidify directoryname1 ... directorynameN
McAfee Application Control 7.0.0
製品ガイド
61
6
システムのメンテナンス
ホワイトリストを管理する
コンポ
ーネン
ト
説明
1 つ以上のディレクトリの対応ファイルをホワイトリストから削除します。以下に例を示します。
sadmin unsolidify directoryname1 ... directorynameN
ボリュ
ーム名
指定したシステムボリュームに存在する対応ファイルをホワイトリストに再帰的に追加します。以下に
例を示します。
sadmin solidify volumename1 ... volumenameN
1 つ以上のシステムボリュームの対応ファイルをホワイトリストから削除します。以下に例を示しま
す。
sadmin unsolidify volumename1 ... volumenameN
ファイ
ル名
ディレ
クトリ
名
ボリュ
ーム名
サポートされる引数を次のコマンドに指定することもできます。
• 追加－ sadmin solidify [ –q | –v ] filename1 ... filenameN |
directoryname1 ... directorynameN | volumename1 ... volumenameN
• 削除－ sadmin unsolidify [ –v ] filename1 ... filenameN | directoryname1 ...
directorynameN | volumename1 ... volumenameN
引数の説明は次のとおりです。
• -q 引数を指定すると、エラーメッセージだけが表示されます。
• -v 引数を指定すると、すべてのメッセージが表示されます。
リスト操作
システムでホワイトリストに登録または登録されていないファイル、ディレクトリ、ドライブ/ボリュームのリストを
表示します。
アクション
コマンド構文
説明
ホワイトリストに登録さ
れたコンポーネントのリ
ストを表示します。
sadmin
list-solidified
このコマンドを使用して、ホワイトリストに登録されたコ
ンポーネントのリストを表示します。結果を絞り込むに
は、ファイル、ディレクトリ、ドライブ/ボリュームの名前
を指定します。
ホワイトリストに登録さ sadmin
れていないコンポーネン list-unsolidified
トのリストを表示します。
このコマンドを使用して、ホワイトリストに登録されてい
ないコンポーネントのリストを表示します。結果を絞り
込むには、ファイル、ディレクトリ、ドライブ/ボリューム
の名前を指定します。
この表のようにコンポーネントを指定すると、結果を絞り込むことができます。
コンポ
ーネン
ト
説明
ファイ
ル名
指定したファイルリストでホワイトリストに登録されているファイルのリストを表示します。このコマ
ンドにファイル名を 1 つだけ指定すると、ファイルがホワイトリストに登録されている場合にのみファイ
ル名が表示されます。ファイルセットでホワイトリストに登録されているファイルのリストを表示する
には、ファイルセットを指定します。以下に例を示します。
sadmin list-solidified filename1 ... filenameN
指定したファイルリストでホワイトリストに登録されていないファイルのリストを表示します。このコ
マンドにファイル名を 1 つだけ指定すると、ファイルがホワイトリストに登録されていない場合にのみフ
ァイル名が表示されます。ファイルセットでホワイトリストに登録されていないファイルのリストを表
示するには、ファイルセットを指定します。以下に例を示します。
sadmin list-unsolidified filename1 ... filenameN
62
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
詳細除外フィルター (AEF)
6
コンポ
ーネン
ト
説明
ディレ
クトリ
名
指定したディレクトリでホワイトリストに登録されているファイルのリストを表示します。以下に例を
示します。
sadmin list-solidified directoryname1...directorynameN
指定したディレクトリでホワイトリストに登録されていないファイルのリストを表示します。特定のデ
ィレクトリでホワイトリストに登録されていないファイルのリストを表示するには、このコマンドにディ
レクトリ名を指定します。以下に例を示します。
sadmin list-unsolidified directoryname1...directorynameN
ボリュ
ーム名
指定したドライブ/ボリュームでホワイトリストに登録されているファイルのリストを表示します。以下
に例を示します。
sadmin list-solidified volumename1...volumenameN
指定したボリュームでホワイトリストに登録されていないファイルのリストを表示します。特定のボリ
ュームでホワイトリストに登録されていないファイルのリストを表示するには、このコマンドにボリュー
ム名を指定します。以下に例を示します。
sadmin list-unsolidified volumename1...volumenameN
ファイ
ル名
ディレ
クトリ
名
ファイルの種類、ファイルパス、ファイルのチェックサムなど、ファイルに関する詳細を表示します。
以下に例を示します。
sadmin list-solidified [ -l ] filename1 ... filenameN |
directoryname1...directorynameN | volumename1...volumenameN
ボリュ
ーム名
ホワイトリストのコンポーネントの状態を確認して更新する
現在のホワイトリストの状態と、ホワイトリスト内のファイル、ディレクトリ、ボリュームのチェックサム値を確認
します。最新でない場合、ホワイトリストを更新し、矛盾を解決することができます。
ホワイトリストのコンポーネントが変更または削除され、ホワイトリストが更新されていない場合、これらのコンポ
ーネントの実行が Application Control によってブロックされます。この結果、ホワイトリストで矛盾が生じます。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin check [ -r ] file | directory | volume
結果を絞り込むには、このコマンドにファイル、ディレクトリ、ドライブ/ボリュームの名前を指定します。
また、このコマンドに -r 引数を指定することもできます。この引数を使用すると、コンポーネントの最新のチ
ェックサム値でホワイトリストが更新され、コンポーネントが存在しない場合にはリストに追加されます。これ
により、すべての不一致が修正されます。コンポーネントを指定しないと、対応ドライブ/ボリュームに存在する
すべての不一致が修正されます。
詳細除外フィルター (AEF)
条件を組み合わせて使用すると、特定の変更を報告しないように詳細フィルターを定義できます。
たとえば、tomcat.exe 以外のすべてのプログラムが tomcat.log ファイルに行う変更を監視するとします。この
場合、tomcat.exe がログファイルに行ったすべての変更を除外するように、詳細フィルターを定義します。これ
により、所有者以外のプログラムがログファイルを変更した場合、イベントのみを受信できます。
McAfee Application Control 7.0.0
製品ガイド
63
6
システムのメンテナンス
詳細除外フィルター (AEF)
ここで定義したフィルターは、すべてのイベントを除外する場合と類似しています。filename は <log-file>、
program name は <owner-program> になります。AEF を使用すると、定期的にシステムが生成する変更イベント
の中で、監視や監査の必要がないイベントを整理することができます。
特に Web ブラウザーなどのアプリケーションの中には、レジストリキーにアプリケーションの状態を保存し、いく
つかのレジストリキーを定期的に更新するものがあります。たとえば、ESENT 設定は Windows エクスプローラ
ーアプリケーションによって定期的に変更され、レジストリキー変更イベントを生成します。このような状態の変
更は定期的に行われ、モニタリングや報告の対象にする必要はありません。 AEF を定義すると、コンプライアンス
要件を満たすのに必要なイベントを削除することが可能になり、イベントリストには重要な通知のみが表示されるこ
とが保証されます。
AEF を追加または削除する
詳細フィルターを追加すると、指定したコンポーネントに対する変更を除外し、受信する通知を制限できます。
AEF を削除して除外した通知を追加し、特定のコンポーネントに対する変更を受信することもできます。 AEF を削
除すると、除外したコンポーネントに対するすべての変更が通知されます。この結果、意味のないイベントがイベン
トリストに含まれる可能性があります。
アクション
コマンド構文
AEF を追加する
sadmin aef add [component <condition> value]
1 つまたは複数の AEF を削除する
sadmin aef remove [component <condition> value]
すべての AEF を削除する
sadmin aef flush
このコマンドにコンポーネント、条件、値を指定します。
コンポーネント
値
説明
ファイル
ファイルパス
AEF の追加:
sadmin aef add [file <condition> PATH]
AEF の削除:
sadmin aef remove [file <condition> PATH]
レジストリキー
レジストリパス
AEF の追加:
sadmin aef add [reg <condition> PATH]
AEF の削除:
sadmin aef remove [reg <condition> PATH]
プロセス
プロセスパス
AEF の追加:
sadmin aef add [process <condition> PATH]
AEF の削除:
sadmin aef remove [process <condition> PATH]
ユーザー
ユーザー名
AEF の追加:
sadmin aef add [user <condition> USER-NAME]
AEF の削除:
sadmin aef remove [user <condition> USER-NAME]
イベント
イベント名
AEF の追加:
sadmin aef add [event equals EVENT_NAME]
64
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
詳細除外フィルター (AEF)
コンポーネント
値
6
説明
AEF の削除:
sadmin aef remove [event equals EVENT_NAME]
複数のコンポーネン
ト
指定したコンポーネントで AEF の追加:
サポートされる値
フィルタールールに複数のコンポーネントを追加するには、
and 演算子を指定します。
例:
sadmin aef add [file <condition> PATH] and [reg
<condition> PATH] and [process <condition>
PATH] and [user <condition> USER-NAME] and
[event equals EVENT_NAME]
AEF の削除:
sadmin aef remove [file <condition> PATH] and
[reg <condition> PATH] and [process <condition>
PATH] and [user <condition> USER-NAME] and
[event equals EVENT_NAME]
インベントリデータに AEF を追加して、意味のないインベントリデータを除外することもできます。ただし、この
機能を使用できるのは、McAfee ePO で管理されている構成だけです。この機能の詳細については、『McAfee
Change Control および McAfee Application Control 7.0.0 製品ガイド』を参照してください。
AEF を追加するコンポーネントに 1 つ以上の条件を指定します。指定した条件に基づいてフィルタールールが生
成されます。
条件
AEF を追加する
AEF を削除する
equals
指定した名前ですべてのコンポーネントを追加
します。
指定した名前のコンポーネントをすべて削除
します。
この条件が有効になるのは、イベントを
AEF として追加する場合だけです。
例:
例:
sadmin aef remove file equals C:
\Program Files\Microsoft Download
Manager\MSDownloadManager.exe
sadmin aef add file equals C:
\Program Files\Microsoft Download
Manager\MSDownloadManager.exe
begins
ends
指定した文字でパスが開始するコンポーネント
をすべて追加します。
指定した文字でパスが開始するコンポーネン
トをすべて削除します。
例:
例:
sadmin aef add file begins C:
\Program Files\Adobe
sadmin aef remove file begins C:
\Program Files\Adobe
指定した文字でパスが終了するコンポーネント
をすべて追加します。
指定した文字でパスが終了するコンポーネン
トをすべて削除します。
例:
例:
sadmin aef add file ends rtf
sadmin aef remove file ends rtf
McAfee Application Control 7.0.0
製品ガイド
65
6
システムのメンテナンス
製品の機能を管理する
条件
AEF を追加する
AEF を削除する
contains
指定した文字をパスに含むコンポーネントをす
べて追加します。
指定した文字をパスに含むコンポーネントを
すべて削除します。
例:
例:
sadmin aef add process contains
svchost.exe
sadmin aef remove process contains
svchost.exe
doesnt_contain 指定した文字をパスに含まないコンポーネント
をすべて追加します。
指定した文字をパスに含まないコンポーネン
トをすべて削除します。
例:
例:
sadmin aef add reg doesnt_contain
CurrentControlSet
sadmin aef remove reg
doesnt_contain CurrentControlSet
AEF の一覧を表示する
AEF の一覧を表示します。指定した条件で追加された AEF を確認できます。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin aef list
このコマンドを実行すると、指定した条件でシステムに追加された AEF の一覧が表示されます。
製品の機能を管理する
システムに Application Control をインストールすると、製品の機能がデフォルトの状態に設定されます。システ
ムを保護するため、機能をデフォルトの状態で使用してください。設定を変更するために、1 つ以上の機能で状態を
変更が必要になる場合があります。
タスク
66
•
67 ページの「機能を確認する」
システムの Application Control の機能とステータス (有効または無効) を確認します。
•
68 ページの「機能を有効または無効にする」
必要であれば、機能を有効または無効にして、機能のデフォルトステータスを変更できます。機能を無
効にすると、システムはその機能で保護されなくなります。
McAfee Application Control 7.0.0
製品ガイド
6
システムのメンテナンス
製品の機能を管理する
機能を確認する
システムの Application Control の機能とステータス (有効または無効) を確認します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin features list
機能のリストが画面に表示されます。
Application Control 6.0.0 以降では、変更を定期的に行う必要がある機能だけが機能リストに表示されます。
機能
説明
デ
フ
ォ
ル
ト
の
ス
テ
ー
タ
ス
対応オペレ
ーティング
システム
activex
保護対象システムに ActiveX コントロールをインストールして実行しま
す。ActiveX コントロールのインストールをサポートしているのは
Internet Explorer だけです。Internet Explorer で複数のタブを使用
し、ActiveX コントロールを同時にインストールすることはできません。
有
効
Windows
チェックサム
実行するファイルのチェックサムとホワイトリストに保存されているチェ
ックサムを比較します。
有
効
Windows、
Linux
読み取り拒否
指定したコンポーネントに読み取り保護を適用します。この機能が適用さ無
れたコンポーネントからデータを読み取ることはできません。読み取り保効
護を使用するには、Application Control を有効モードで実行する必要があ
ります。
Windows
と Linux
deny-write
指定されたコンポーネントに書き込み保護を設定します。この機能をコン
ポーネントに適用すると、データを保護するため、コンポーネントが読み
取り専用になります。
有
効
Windows、
Linux
更新プログラ
ムの検出
システムに追加可能なアップデーターの一覧を生成します。
有
効
Windows
エンドユーザ
ー通知
Application Control 保護がシステムでのアクションを防止したときに、シ有
ステムにカスタム通知メッセージを表示します。この機能を使用できるの効
は、McAfee ePO で管理されている構成だけです。この機能の詳細につい
ては、『McAfee Change Control および McAfee Application Control
7.0.0 製品ガイド』を参照してください。
Windows
整合性
Application Control ファイルとレジストリキーを不正な変更から保護し有
ます。コンポーネントがホワイトリストに存在しない場合でも、製品コー効
ドに実行を許可します。すべての製品コンポーネントが保護されます。
製品が使用不能にならないように、不正かどうかに関わらず、ホワイトリ
ストからのコンポーネントの削除を防ぎます。更新モードでは、製品のア
ップグレードを行うため、この機能は無効になっています。
Windows
と Linux
有効モードで実行すると、Application Control 保護機能が正規のアプリケ
ーションの実行を妨げる場合があります (必要なルールが定義されていな
い場合)。この機能は、承認された実行ファイルが失敗した保護対象ファイ
ルの変更と他のファイルの実行をすべて追跡し、システムで更新を実行で
きる更新プログラムのリストを生成します。
McAfee Application Control 7.0.0
製品ガイド
67
6
システムのメンテナンス
製品の機能を管理する
機能
説明
デ
フ
ォ
ル
ト
の
ス
テ
ー
タ
ス
対応オペレ
ーティング
システム
mp
実行中のプロセスを乗っ取りから保護します。実行中のプロセスに挿入さ有
れた未承認コードを追跡し、停止させてログに記録します。バッファーオ効
ーバーフローや類似したエクスプロイトによるシステムの乗っ取りを防ぎ
ます。
Windows
mp-casp
非コード領域で実行されている無効なコードを表示します。32 ビット
有
Windows でバッファーオーバーフローが発生すると、このようなコード効
の実行が試行されます。
Windows
ネットワーク
追跡
ネットワークディレクトリのファイルを追跡し、ネットワークディレクト有
リでのスクリプトの実行を阻止します。デフォルトでは、この機能は有効効
になり、ネットワークディレクトリでのスクリプトの実行を阻止します。
この機能を無効にすると、ネットワークディレクトリでのスクリプトの実
行が許可されます。また、ネットワークディレクトリのコンポーネントに
対する書き込み保護または読み取り保護も無効になります。
Windows
pkg-ctrl
MSI ベースと非 MSI ベースのインストーラーによるインストールとアン
インストールを管理します。
有
効
Windows
スクリプト許
可
サポートされているスクリプトファイルでも、ホワイトリストに登録され有
ていないファイルの実行は許可されません。ホワイトリストに登録されて効
いるスクリプトファイルにのみ、システムでの実行が許可されます。たと
えば、Windows の場合には .bat、.cmd、.vbs などのサポートされるス
クリプトファイル、Linux の場合には対応のローカルファイルシステム
で #! (シバン) を含むスクリプトファイルをホワイトリストに追加する
と、実行が許可されます。
Windows
と Linux
スロットル
システムから McAfee ePO サーバーに送信されるデータ (イベント、ポリ有
シー検出要求、インベントリ更新) のフローを制御します。この機能を使効
用できるのは、McAfee ePO で管理されている構成だけです。詳細につい
ては、『McAfee Change Control および McAfee Application Control
7.0.0 製品ガイド』を参照してください。
Windows
機能を有効または無効にする
必要であれば、機能を有効または無効にして、機能のデフォルトステータスを変更できます。機能を無効にすると、
システムはその機能で保護されなくなります。
機能を有効または無効にする前に、McAfee サポートに連絡してください。製品のコア機能に影響を及ぼし、セキュ
リティ脅威に対して脆弱になる可能性があります。
タスク
•
68
必要に応じて次のコマンドを実行します。
タスク
コマンド
機能を有効にする。
sadmin features enable <featurename>
機能を無効にする。
sadmin features disable <featurename>
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
パッケージコントロール
6
パッケージコントロール
パッケージコントロール機能を使用して、ソフトウェアパッケージのインストールとアンインストールを管理しま
す。
この機能を使用すると、ソフトウェアパッケージのインストール、アンインストール、アップグレード、修復を許可
または拒否できます。未承認のインストールとアンインストールは、この機能によってブロックされます。
パッケージコントロールの機能は、次の種類のインストーラーに対応しています。
•
MSI インストーラー－ .msp、.mst、.msm など、複数のバージョンに対応しています。
•
EXE ベースのインストーラー－インストーラーに組み込まれた MSI ファイル。
•
MSI ベース以外のインストーラー－インストーラーに組み込まれた MSI ファイルは除きます。
この機能は、機能リストで pkg-ctrl と表示されます。デフォルトでは、この機能は有効になっています。更新プロ
グラム、信用されたユーザーなどでルールを追加すると、ソフトウェアパッケージのインストールを許可できます。
詳細については、『保護を上書きする方法』を参照してください。この機能を無効にすると、ソフトウェアのインス
トールとアンインストールはすべてブロックされます。
この機能は、リリース 6.1.1 と 6.1.2 で再設計されました。詳細については、『McAfee Application
Control 6.1.1 製品ガイド』と『McAfee Application Control 6.1.2 製品ガイド』を参照してください。
パッケージコントロールには次のサブ機能があります。
サブ機能
説明
アンインス
トールの許
可
ソフトウェアパッケージのアンインストールを制御します。この機能を有効にすると、ソフトウェ
アのアンインストールはすべて許可されます。デフォルトでは、この機能は有効になっています。
機能リストでは pkg-ctrl-allow-uninstall と表示されます。
パッケージ
コントロー
ルのバイパ
ス
パッケージコントロール機能のバイパスを制御します。この機能を有効にすると、パッケージコン
トロール機能がバイパスされ、ソフトウェアのインストールとアンインストールがすべて許可されま
す。デフォルトでは、この機能は無効になっています。機能リストでは pkg-ctrl-bypass と表示さ
れます。
McAfee Application Control 7.0.0
製品ガイド
69
6
システムのメンテナンス
パッケージコントロール
パッケージコントロールを設定する
システムでのソフトウェアパッケージのインストールと削除を制御するパッケージコントロールを設定します。
タスク
•
パッケージコントロールを設定するには、次のコマンドを使用します。
アクション
コマンド
説明
機能を無効にします。 sadmin
features
disable
pkg-ctrl
パッケージコントロールを無効にすると、サブ機能もすべて無効にな
ります。
機能を有効にします。 sadmin
features
enable
pkg-ctrl
パッケージコントロールを有効にすると、すべてのサブ機能がデフォ
ルトの状態に戻ります。
ただし、バイパスサブ機能を有効にしてパッケージコントロールを無
効にした場合、パッケージコントロールを再度有効にすると、バイパ
スサブ機能も有効になります。
パッケージコントロールの次のサブ機能を設定します。
機能
デフォ
ルトの
状態
機能の設定
アンインストール
の許可
有効
機能を無効にします。
パッケージコント無効
ロールのバイパス
システムでソフトウェアパッケージの削
除ができなくなります。
sadmin features disable
pkg-ctrl-allow-uninstall
機能を有効にします。
sadmin features enable
pkg-ctrl-allow-uninstall
機能を有効にします。
sadmin features enable
pkg-ctrl-bypass
パッケージコントロールの機能がバイパ
スされ、ソフトウェアパッケージのイン
ストールとアンインストールが制御でき
なくなります。
機能を無効にします。
sadmin features disable
pkg-ctrl-bypass
パッケージコントロールの設定
パッケージコントロールとそのサブ機能を設定すると、要件に従ってソフトウェアパッケージのインストールを許
可、承認またはブロックできます。また、アンインストールの許可またはブロックも制御できます。
デフォルトでは、パッケージコントロールとアンインストール許可が有効になっています。システムから任意のソ
フトウェアをアンインストールできます。ただし、ソフトウェアのインストールは、更新プログラム (名前またはパ
ス別)、ユーザー、ディレクトリ、更新プログラムの証明書、更新プログラムのチェックサムなどの定義済みルールに
従って許可されます。ルールの詳細については、『適用済みの保護の上書き』を参照してください。
デスクトップと System Center Configuration Manager (SCCM) で管理された環境の場合には、このデフォルト
の設定を使用してください。この設定ではソフトウェアの変更、修復、削除またはアップグレード操作が許可される
ので、次の場合に便利です。
70
•
明示的なソフトウェアアップグレード。
•
Windows 更新によるソフトウェアアップグレード。
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
緊急時の変更
6
•
チェーンインストールの場合には、新しいソフトウェアパッケージのインストール中にソフトウェアのアップグ
レードを行います。
•
電源障害またはインストール中にシステムを再起動した場合には、ロールバックします。これは、中断したイン
ストールといいます。インストーラーは実行中のインストール操作を追跡します。再開すると、中断したインス
トールをロールバックするか、中断地点からインストールを再開します。
必要であれば、デフォルトの設定を変更できます。
•
アンインストール許可機能を無効にする－システムからのソフトウェアのアンインストールを防止します。た
だし、ソフトウェアのインストールは定義済みのルールに従って許可されます。この設定は、専用端末またはサ
ーバー環境の場合、アップグレードを除くすべてのアクションに使用します。この設定ではソフトウェアの変更、
修復、削除またはアップグレードがブロックされるので、サーバー環境でソフトウェアをアップグレードする場
合には、デフォルトの設定を切り替える必要があります。
•
パッケージコントロール機能のバイパスを有効にする－システムですべてのソフトウェアのインストールとア
ンインストールを許可します。
•
パッケージコントロール機能を無効にする－システムですべてのソフトウェアのインストールとアンインスト
ールを防止します。
•
システムを更新モードに切り替える－システムですべてのソフトウェアのインストールとアンインストールを
許可します。
緊急時の変更
Application Control を更新モードで実行し、保護対象システムで緊急時の変更を行います。
製品を有効にすると、システムに対して定期的な変更や緊急時の変更を行うことができます。製品を更新モードで実
行すると、システムで実行された変更を追跡できます。有効モードの Application Control で実行できない変更を
行う場合には、更新モードを使用してください。可能であれば、変更を許可する他の方法を使用してください。
•
信用されたユーザー
•
チェックサム値
•
信用されたディレクトリ
•
更新プログラム
•
信用された証明書
有効モードで新しいソフトウェアをインストールしたり、新しいバイナリファイルを追加する場合、信用された方法
で追加していない限り、ファイルをホワイトリストに追加したり、実行することはできません。更新モードでソフト
ウェアをインストールまたは削除したり、新しいバイナリファイルを追加すると、すべての変更が追跡され、ホワイ
トリストに追加されます。
システムへの変更を認証または承認するため、ユーザーとプログラムがシステムに変更できるように変更ウィンドウ
が定義されます。更新モードでは、次のタスクを実行できます。
•
ソフトウェアとパッチのインストールスケジュールを設定する
•
ソフトウェアを削除または変更する
•
ホワイトリストを動的に更新する
更新モードではメモリー保護技術が有効になり、実行中のプログラムに対する攻撃を阻止します。
Application Control は、更新モード中に追加されたファイルに FILE_SOLIDIFIED イベントを生成し、更新モード
中に削除されたファイルに FILE_UNSOLIDIFIED イベントを生成します。更新モードで書き込み保護のファイル
が変更されたり、名前が変更されると、対応する更新モードイベント (FILE_MODIFIED_UPDATE、
FILE_RENAMED_UPDATE など) が生成されます。
更新モードの場合、有効モードまたは無効モードに切り替えることができます。
McAfee Application Control 7.0.0
製品ガイド
71
6
システムのメンテナンス
パスワード保護を有効または無効にする
更新モードに切り替える
システムに緊急の変更または定期的な変更を行うには、Application Control を更新モードに切り替えます。製品が
有効または無効モードの場合、次の手順で更新モードに切り替えます。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin begin-update [workflow-id [comment]]
コマンドに次の引数を指定することもできます。
属性
説明
workflow-id 更新モードの現行セッションのワークフロー ID を指定します。この ID は、変更管理やチケッ
ティングシステムで使用されます。
ワークフロー ID を指定しないと、AUTO_n というワークフロー ID が自動的に生成されます。
更新ウィンドウが開くたびに、n の値が 1 つずつ増加します。
comment
更新モードの現行セッションのコメントを指定します。
このコメントは、変更管理またはチケッティングシステムで使用されます。
Application Control が有効モードの場合、更新モードに切り替わります。
Application Control が無効モードの場合、以下のいずれかの手順に従います。
手順
説明
システムを再起動しま
す。
システムを再起動すると、製品が更新モードに切り替わります。更新モードに切り替
えるには、システムを再起動してください。
Application Control
サービスを再起動しま
す。
あるいは、Application Control サービスを再起動して更新モードに切り替えること
もできます。ただし、サービスの再起動後は使用できる機能がせい g んされます。
メモリー保護などの主要な製品機能が無効になります。すべての機能を有効にするに
は、システムの再起動が必要です。
更新モードを終了する
システムで予定された変更、緊急変更、パッチのインストール、ソフトウェアの更新を行った後で、更新モードを終
了します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin end-update
パスワード保護を有効または無効にする
ユーザーが重要な sadmin コマンドを実行しないように制限するには、パスワード保護を有効にします。パスワード
保護を有効にすると、ユーザーが正しいパスワードを入力した場合にのみ、Application Control はこれらのコマン
ドの実行を許可します。パスワード保護が必要でない場合には、パスワードを削除します。これにより、すべての
sadmin コマンドの実行が可能になります。
パスワードは、SHA2 ハッシュアルゴリズムで暗号化されます。パスワードの詳細を保護するため、ハッシュを計算
する前にランダムな数字がパスワードに追加されます。
SHA2 のサブセットである SHA5012 暗号化アルゴリズムが 512 ビットのハッシュを生成し、レインボーテーブル
攻撃からパスワードを保護します。
72
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
イベントを使用して変更を確認する
6
タスク
1
sadmin passwd コマンドを入力して、パスワードを設定します。
パスワードを設定すると、正しいパスワードを入力しない限り、重要なコマンドが実行できなくなります。重要
でない一部のコマンドは、パスワードを入力しなくても実行できます。
-z スイッチを使用すると、パスワード入力のプロンプトを非表示にできます。これは、すべての CLI コマンドで
使用できます。
•
パスワードが設定されていると、Application Control はパスワードの入力を要求します。古いパスワードを
入力して、Enter を押します。新しいパスワードを入力し、確認のため、同じパスワードを再度入力するよ
うに指示されます。
•
パスワードが設定されていないと、Application Control は新しいパスワードの入力を要求します。新しいパ
スワードを設定し、確認のため、同じパスワードを再度入力します。
2
sadmin passwd -d コマンドを入力して、パスワードを削除します。
3
Enter キーを押します。
イベントを使用して変更を確認する
Application Control は、保護対象のコンポーネントで発生したすべての変更にイベントを生成します。イベントを
使用すると、変更を確認し、システムで発生した未承認の実行や障害を診断できます。
保護対象のリソースでアクセスまたは変更が発生すると、システムでイベントが生成されます。 Application
Control は、システムの変更を追跡し、イベントを記録します。たとえば、保護対象のファイルの属性またはコンテ
ンツが変更されると、対応するイベントが生成されます。
タスク
•
73 ページの「イベントシンクを設定する」
イベントは、イベントシンクという場所に保存されます。
•
74 ページの「イベントキャッシュサイズを設定する」
イベントキャッシュサイズの上限と下限を設定します。イベントは、イベントシンクの前にキャッシ
ュに保存されます。
•
75 ページの「イベントを表示する」
システムで Application Control 固有のイベントを表示して、製品関連の変更を追跡します。
イベントシンクを設定する
イベントは、イベントシンクという場所に保存されます。
様々なイベントシンクにイベントを記録できます。
•
オペレーティングシステムログ (oslog)
•
システムコントローラー (sc)
sc イベントシンクが有効な場合、イベントを McAfee ePO に送信します。
•
デバッグ出力 (debuglog)
•
ポップアップ (Windows のみ)
イベントを確認して、システムで発生した変更を追跡できます。生成される Application Control イベントとその
説明については、『Application Control イベントリスト』を参照してください。
McAfee Application Control 7.0.0
製品ガイド
73
6
システムのメンテナンス
イベントを使用して変更を確認する
イベントに設定したイベントシンクを確認するには、イベントシンクの詳細を表示します。複数のイベントが必要
な場合、指定したイベントリンクにイベントを追加できます。特定のイベントシンクにイベントを記録したくない
場合には、そのイベントシンクへのロギングを停止できます。
タスク
コマンド
説明
イベントを
追加する
sadmin event
sink -a
<event_name>
<sink_name>
イベント名とイベントを記録するイベントシンクを指定して、イベントを追
加します。指定したイベントがイベントシンクに追加されます。
イベントシ
ンクの詳細
を表示する
sadmin event
sink
システムで生成されたイベントが記録されるイベントシンクの詳細を表示し
ます。イベントに関連するイベントシンクを確認できます。システムで設
定されたイベントシンクの詳細が表示されます。
イベントを
削除する
sadmin event
sink -r
<event_name>
<sink_name>
イベント名とイベントを削除するイベントシンクを指定して、イベントを削
除します。イベントシンクからイベントを削除すると、イベントシンクへ
のイベントの記録を停止できます。イベントシンクからイベントを削除す
るには、次の手順に従います。
イベントキャッシュサイズを設定する
イベントキャッシュサイズの上限と下限を設定します。イベントは、イベントシンクの前にキャッシュに保存され
ます。
Application Control は、停止状況に備えて変更イベントをバッファーに保存します。デフォルトでは、バッファー
の制限が 2 MB に設定されています。バッファーの制限がしきい値に近づくと、イベントがシステムログに記録さ
れ、キャッシュオーバーフローの可能性が通知されます。バッファーの制限がしきい値を超えると、バッファー内の
イベント数が上限値よりも低くなるまで、新しいイベントが記録されません。
タスク
•
74 ページの「イベントキャッシュサイズを設定する」
イベントキャッシュサイズを設定して、イベントキャッシュのバッファー制限を定義します。
•
75 ページの「イベントキャッシュの制限を定義する」
イベントキャッシュの上限と下限を設定します。制限を設定すると、キャッシュのオーバーフローまた
はオーバーフローからの回復を通知するアラートが生成されます。
イベントキャッシュサイズを設定する
イベントキャッシュサイズを設定して、イベントキャッシュのバッファー制限を定義します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin config set EventCacheSize=<value>
EventCacheSize パラメーターに値を指定します。この値により、イベントキャッシュサイズが決まります。
74
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
イベントを使用して変更を確認する
6
イベントキャッシュの制限を定義する
イベントキャッシュの上限と下限を設定します。制限を設定すると、キャッシュのオーバーフローまたはオーバー
フローからの回復を通知するアラートが生成されます。
コマンド
説明
sadmin config set
EventCacheWMHigh=<value>
上限を設定するには、コマンドプロンプトでこのコマンドを実行します。
sadmin config set
EventCacheWMLow=<value>
EventCacheWMHigh パラメーターに値を指定します。このパラメータ
ーには、イベントキャッシュサイズの 50% から 100% の間の値を指定す
る必要があります。
下限を設定するには、コマンドプロンプトでこのコマンドを実行します。
EventCacheWMLow パラメーターに値を指定します。このパラメーター
には、イベントキャッシュサイズの 20% を超える値を指定する必要があり
ます。下限の値は常に上限の値よりも小さくする必要があります。
イベントを表示する
システムで Application Control 固有のイベントを表示して、製品関連の変更を追跡します。
タスク
1
2
Linux プラットフォームでイベントを表示するには、以下の手順に従います。
a
/var/log/messages ディレクトリに移動します。
b
Application Control イベントを表示します。
Windows プラットフォームでイベントを表示するには、以下の手順に従います。
a
[イベントビューアー] を開きます。
プラットフォーム
移動
Windows Server 2008 [スタート] 、 [ファイル名を指定して実行] の順に選択して、eventvwr と入力
します。
Windows Vista
[スタート] 、 [検索] の順に選択して、eventvwr と入力します。
Windows 7
Windows 8
キーボードで [Windows] を押しながら [R] を押し、eventvwr と入力します。
Windows 8.1
Windows Server 2012
Windows 10
b
Enter を押します。
c
プラットフォームに応じて以下の操作を行います。
McAfee Application Control 7.0.0
製品ガイド
75
6
システムのメンテナンス
ログファイルの設定
プラットフォ
ーム
手順
Windows
1 ナビゲーションペインで [アプリケーション] を選択します。
Server 2008
アプリケーションイベントの種類、日付、時間、ソース、カテゴリ、イベント、ユーザ
ー、コンピューターが表示されます。
2 [ソース] 列で [McAfee Solidifier] イベントをダブルクリックして、説明を表示します。
これは、Application Control 固有のイベントで、発生順に表示されます。最新のイベン
トが先頭になります。
Windows
Vista 以降
1 ナビゲーションペインで [Window ログ] を展開し、[アプリケーション] を選択します。
アプリケーションイベントのレベル、日付と時間、ソース、イベント ID、タスクカテゴ
リが表示されます。
2 [ソース] 列で [McAfee Solidifier] イベントを検索します。
これらは Application Control 固有のイベントで、発生順に表示されます。
最新のイベントが先頭に表示されます。
3 イベントをダブルクリックして、説明を表示します。
ログファイルの設定
Application Control は、製品に関するアクションとエラーにログメッセージを生成します。これらのログメッセ
ージはログファイルに記録され、トラブルシューティングで利用されます。
以下の表では、システムに存在するログファイルのタイプについて説明します。
ログファイル
オペレーテパス
ィングシス
テム
説明
solidcore.log
Windows
Server
2008
製品がシステムに配備されると、solidcore.log とい
う名前のログファイルが Logs フォルダー
(Windows) または solidcore ディレクトリ (Linux)
に作成されます。このファイルは、debuglog ともい
います。
s3diag.log
(Windows のみ)
76
<system drive>
\Documents and
Settings\All
users
\Application
Data\McAfee
\Solidcore\Logs
Windows
Vista 以降
<system drive>
\ProgramData
\McAfee
\Solidcore\Logs
Linux
/var/log/mcafee
/solidcore/
Windows
Server
2008
<system drive>
\Documents and
Settings\All
users
\Application
Data\McAfee
\Solidcore\Logs
McAfee Application Control 7.0.0
システムで作成される solidcore.log のファイル
サイズと solidcore.log ファイルの数を設定できま
す。
ログファイルの設定は solidcore.log にのみ適
用されます。他のログファイルの設定は変更でき
ません。
s3diag.log ファイルには、サポート対象ファイルに
実行された操作のログが保存されます。
製品ガイド
システムのメンテナンス
システムのランタイム環境
ログファイル
オペレーテパス
ィングシス
テム
Windows
Vista 以降
Solidcore
_Installer.log
と solidcore
_setup
.log(Windows)/
solidcoreS3
_install_<rel>
‑<build>.log
(Linux)
説明
<システムドライブ
>\ProgramData
\McAfee
\Solidcore\Logs
Windows
<system drive>
(すべての対 \Windows
応バージョ
ン)
Linux
6
Application Control インストールログは、このファ
イルに保存されます。
Linux プラットフォームでインストールに失敗すると、
このファイルが /tmp/solidcoreS3_install
_<rel>‑<build>.log に保存されます。
• /tmp/
solidcoreS3
_install.log
Linux プラットフォームでインストールに成功すると、
このファイルが /var/log/mcafee/solidcore/
solidcoreS3_install_<rel>‑<build>.log に作
成されます。
• /var/log/
mcafee/
solidcore/
solidcoreS3
_install.log
システムのランタイム環境
ScAnalyzer ユーティリティを使用して、ランタイム環境とシステム設定を確認します。製品をインストールすると
きに、このユーティリティはホストシステムが製品のインストール要件を満たしているかどうか自動的に確認しま
す。
ScAnalyzer はシステムで次の情報を確認します。
•
オペレーティングシステムのバージョン
•
インストールされたサービス
•
サービスパックレベル
•
システムデバイス
•
プロセッサーとメモリーの設定
•
実行中のプロセス
•
インストールされたアプリケーション
•
開いているネットワークポート
•
インストールされた HotFix
•
互換性のないアプリケーション (Windows)
ScAnalyzer を実行すると、事前に組み込まれた内部チェックリストを使用して、システムにインストールされたソ
フトウェアを確認し、scanalysis.bat ファイルを作成します。このバッチファイルには、インストール済みのア
プリケーションをスムーズに実行するためのホワイトリストカスタマイズルールが記述されます。
ScAnalyzer を実行する
Windows と Linux プラットフォームで ScAnalyzer を実行し、ランタイム環境とシステム設定の詳細情報を取得し
ます。
タスク
1
次の場所に移動します。
•
Windows:C:\Program Files\McAfee\Solidcore\Tools\ScAnalyzer.
•
Linux:/usr/local/mcafee/solidcore/tools/scanalyzer/
これらは、Windows/Linux プラットフォームでのユーティリティのデフォルトのインストールパスです。
McAfee Application Control 7.0.0
製品ガイド
77
6
システムのメンテナンス
システムのランタイム環境
2
次のコマンドを実行します。
•
Windows: scanalyzer
•
Linux: # ./scanalyzer.sh
次の表で説明するように、このコマンドには複数のパラメーターを指定できます。
パラメーター
説明
-h
ScAnalyzer の使い方に関するヘルプを表示します。
-v
ScAnalyzer のバージョンを表示します。
[-c <checklist>] システム上のチェックリストにアプリケーションがインストールされている場合、検出しま
す。(Windows のみ)
-d
2 つの別々の ScAnalyzer レポートに、実行中のサービス、プロセス、オープンポートの
違いを表示します。Linux の場合には、-d<rep1 rep2> コマンドを使用します。
-o <output file> 出力を出力ファイルに書き込みます。ファイルを指定しないと、出力が画面 (Windows) ま
たはコンソール (Linux) に表示されます。
-s <scan_file>
チェックリストのアプリケーションが ScAnalyzer レポートにある場合、検出します。
(Windows のみ)
-q
サイレントモードで ScAnalyzer を実行します。
-n
出力ファイル名にタイムスタンプを追加しません。
ScAnalyzer レポートが生成されます。
ScAnalyzer レポートを確認する
ScAnalyzer レポートを表示すると、システム設定の詳細を確認できます。
コマンドの実行後、ScAnalyzer ユーティリティがデータファイルにレポートを生成します。このレポートは
ScAnalyzer レポートといいます。このレポートには、システム構成の詳細が記録されます。
タスク
1
次のパスに移動します。
•
Windows: <システムドライブ>\Program Files\McAfee\Solidcore\Data
ファイル名は scan_<machine_name>_<date>_<time>.txt です。
•
Linux: /usr/local/mcafee/solidcore/tools/scanalyzer/data
ファイル名は report‑<machine_name>‑<date>_<time> です。
2
78
ScAnalyzer レポートで、これらの項目を確認します。
•
サポート対象バージョンの OS バージョンとサービスパックレベル。
•
製品のインストールに必要な HotFix。
•
実行中コードを更新する可能性のあるウイルス対策ソフトウェア。これらのアプリケーションを
ScAnalyzer の出力で確認し、アップデーターとして追加してシステム構成を変更してください。
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
大量の配備とシステムアップグレードの管理
6
大量の配備とシステムアップグレードの管理
システム設定を設定ファイルにエクスポートすると、一度に複数のシステムに設定ファイルを配備できます。
設定ファイルには、システムのすべての設定パラメーターが標準形式で保存されます。たとえば、イベントのキャッ
シュサイズ、SO の優先度、ログファイルのサイズ、ログファイルのパスなどが記録されます。エクスポートされ
たファイルの設定パラメーターを削除したり、変更することができます。また、パラメーターを追加したり、新しい
値を設定することもできます。
変更した設定ファイルをインポートして、新しいパラメーターを有効にし、システムの設定をアップグレードするこ
ともできます。設定ファイルのインポートは同じシステムに行います。別のシステムに行う場合、システムイメー
ジが一致している必要があります。
一部のパラメーターでは、システム固有のルールが表示されます。これらの変更は推奨しません。モニタリングル
ールリスト、機能ルールリスト、バイパスリスト、更新プログラムリストなどのパラメーターが該当します。
既存の設定パラメーターを表示する
システムに存在するすべての設定パラメーターを表示します。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin config show
Application Control が設定パラメーターの項目を表示します。
例:
•
Windows プラットフォーム:
CustomerConfig 158 (0x9e) MPCompat 1 (0x1) FileRetrySecs 0 (0x0)
DoNotApplyAefBackupRules 0 (0x0) CustomizedEventCacheSize 1000 (0x3e8) EventCacheSize
2 (0x2) EventCacheWMHigh 90 (0x5a) EventCacheWMLow 70 (0x46) FailSafeConf 0 (0x0)
* FeaturesEnabled 2233943118021567 (0x7efc269ff83bf)
* FeaturesEnabledOnReboot 2233943118021567 (0x7efc269ff83bf)
* FeaturesInstalled 3659168154103807 (0xcfffe79ffafff)
* FileAttrCTrack 5024 (0x13a0)
* FileDenyReadOptions 1024 (0x400)
* FileDenyWriteOptions 4831 (0x12df) FileDiffAttrOnlyTypes FileDiffMaxFiles 100 (0x64)
FileDiffMaxSize 10 (0xa) FipsMode 0 (0x0) InvDiffConfig2 0 (0x0) InvDiffTimeout 10800
(0x2a30) PullInvTimeout 604800 (0x93a80)
* LockdownStatus 0 (0x0) LogFileNum 4 (0x4)
* LogFilePath C:\Documents and Settings\All Users\Application Data\McAfee\Solidcore
\Logs LogFileSize 2048 (0x800)
* RTEMode 0 (0x0)
* RTEModeOnReboot 0 (0x0) SoPriority 0 (0x0) ssLangId Default
* WorkFlowId None
* AgentEventsThreshold 1000 (0x3e8) AgentEventsThresholdOnWakeup 0 (0x0)
* SupplierCacheSize 7000 (0x1b58) SupplierCacheSizeOnWakeup 0 (0x0)
ConsumerThreadTimeout 10800000 (0xa4cb80) InvDiffAgentEventsThreshold 10000 (0x2710)
* ObAgentEventsThreshold 1000 (0x3e8) ObAgentEventsThresholdOnWakeup 0 (0x0)
* ObSupplierCacheSize 7000 (0x1b58) ObSupplierCacheSizeOnWakeup 0 (0x0)
ObConsumerThreadTimeout 10800000 (0xa4cb80) Accessibility 0 (0x0)
EventCacheIntervalMilliSecs 10000 (0x2710)
McAfee Application Control 7.0.0
製品ガイド
79
6
システムのメンテナンス
大量の配備とシステムアップグレードの管理
•
Linux プラットフォーム:
CustomerConfig 0 (0x0) EventCacheSize 2 (0x2) EventCacheWMHigh 90 (0x5a)
EventCacheWMLow 70 (0x46) FailSafeConf 0 (0x0)
* FeaturesEnabled 47269939391728575 (0xa7efc269ff8bbf) * FeaturesEnabledOnReboot
47269939391728575 (0xa7efc269ff8bbf) * FeaturesInstalled 48695164427808767
(0xacfffe79ffafff) * FileAttrCTrack 5024 (0x13a0) * FileDenyReadOptions 1024 (0x400) *
FileDenyWriteOptions 4831 (0x12df) FileDiffMaxSize 10 (0xa)
* FipsMode 0 (0x0)
* LockdownStatus 0 (0x0) LogFileNum 4 (0x4) * LogFilePath /var/log/mcafee/solidcore
LogFileSize 2048 (0x800)
* RTEMode 1 (0x1)
* RTEModeOnReboot 1 (0x1)
* WorkFlowId UPDATE_MODE: AUTO_26
* コマンドラインインターフェースで項目を設定することはできません。
設定をエクスポートする
設定をファイルにエクスポートすると、他のシステムに設定を配備できます。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
sadmin config export filename
filename には、設定をエクスポートするファイルを指定します。
設定をインポートする
設定ファイルから設定をインポートして、システムに同じ設定を配備します。
タスク
1
Application Control を無効モードから更新モードに切り替えます。
2
システムを再起動します。
3
次のコマンドを実行して、Application Control の設定をファイルからインポートします。
sadmin config import [ -a ] filename
-a 引数を使用して、設定値を追加します。デフォルトの動作は、設定値の置換です。
4
80
Application Control を有効モードに切り替えて、システムを再起動します。
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
Application Control を無効にする
6
設定パラメーターを変更する
デフォルト値を許容範囲内の新しい値に変更します。
タスク
1
sadmin config set NAME=VALUE コマンドを入力します。
NAME は設定パラメーターの名前です。 VALUE は、この設定パラメーターの新しい値です。
設定パラメーターのデフォルト値と使用可能な値の範囲については、次の表を参照してください。
パラメーター
デフォルト値
値の範囲
EventCacheSize
2 (0x2)
> 0 かつ < MAX_INT32
EventCacheWMHigh
90 (0x5a)
(> 50 および < 100) & (>
EventCacheWMLow)
2
EventCacheWMLow
70 (0x46)
(>20 かつ < EventCacheWMHigh)
FailSafeConf
0 (0x0)
0 または 1
FipsMode
0 (0x0)
0 または 1
LogFileNum
4 (0x4)
>= 0 かつ <= MAX_INT
LogFileSize
2048 (0x800)
>= 0 かつ <= MAX_INT
Enter キーを押します。
Application Control を無効にする
無効モードに切り替えて、Application Control の機能を無効にします。
タスク
1
sadmin disable コマンドを入力します。
2
Enter キーを押します。
3
システムを再起動します。
McAfee Application Control 7.0.0
製品ガイド
81
6
システムのメンテナンス
Application Control を無効にする
82
McAfee Application Control 7.0.0
製品ガイド
7
トラブルシューティング
Application Control の実行中に発生した問題を特定し、トラブルシューティングを行うには、次の情報を使用しま
す。
トラブルシューティング手順を実施しても問題が解決しない場合には、McAfee サポートまで連絡してください。
『McAfee サポートに連絡する前の情報収集』を参照してください。
目次
McAfee サポートに連絡する前の情報収集
起動時のエラー
自己書き換えドライバーの問題
システムクラッシュの問題
Active Directory の問題 (Windows のみ)
アプリケーションのインストールに関するエラー
アプリケーションの実行エラー
アプリケーションのパフォーマンス
システムハングの問題
システムパフォーマンスの問題
Application Control のインストールエラー
アップデーター権限の問題
イベント氾濫
エラーメッセージの使用
コマンドラインインターフェースのエラーメッセージ
正当なエラーとエラーメッセージ
ファイルとスクリプトのバイパスルール
パスコンポーネントのスキップルール
McAfee サポートに連絡する前の情報収集
McAfee サポートに連絡する前に特定の情報を収集しておくと、McAfee 問題の特定が容易になります。
推奨のトラブルシューティング手順をすべて行っても Application Control の問題が解決しない場合には、McAfee
サポートに連絡する前に最新の GatherInfo ログとシステム/問題の詳細を収集してください。
GatherInfo ログを収集する
GatherInfo は、トラブルシューティングに必要な情報 (ログファイル、インベントリ、製品バージョン、システム
の状態) を収集するユーティリティです。
このユーティリティは製品に同梱されており、製品のインストールディレクトリにインストールされます。
GatherInfo ユーティリティで生成された最新のログファイル一式を収集します。
デフォルトのインストールディレクトリは、オペレーティングシステムによって異なります。
McAfee Application Control 7.0.0
製品ガイド
83
7
トラブルシューティング
McAfee サポートに連絡する前の情報収集
•
Windows － <システムドライブ>\Program Files\McAfee\Solidcore\Tools\gatherinfo
•
Linux － /usr/local/mcafee/solidcore/tools/gatherinfo
タスク
•
Windows または Linux システムで次の GatherInfo コマンドを入力します。
•
Windows: Gatherinfo
GatherInfo は、現在の作業ディレクトリに gatherinfo.zip ファイルを生成します。McAfee サポートで
は、このファイルのログを使用して問題を識別します。
•
Linux: # ./gatherinfo.sh
GatherInfo は、現在の作業ディレクトリに gatherinfo‑<machine_name>‑<date>_<time>.tar.gz フ
ァイルを生成します。McAfee サポートでは、このファイルのログを使用して問題を識別します。
必要であれば、次の引数を指定します。
Windows Linux
説明
-h
-h または --help
GatherInfo のヘルプを表示します。
-v
-v または --version
GatherInfo のバージョンを表示します。
-q
-q
サイレントモードでログを収集します。
-x
セキュリティログを収集しません。
-c または --core
<core-file>
指定したコアファイルの前のログを追跡します。前に生成されたログの
詳細を取得するには、この引数にコアファイルを指定します。
-n
出力ファイル名にタイムスタンプを付けません。
システムと問題の詳細の収集
McAfee サポートに連絡する前に、システムと問題の詳細を収集してください。この情報により、McAfee サポート
は問題を再現し、詳しい診断を行うことができます。
必要な
詳細情
報
説明
問題の
説明
問題を詳しく記述します。
診断
エラー
メッセ
ージ
GatherInfo ユーティリティを使用して、生成された最近のログファイル一式を収集します。
『GatherInfo ログを収集する』を参照してください。
エラーメッセージを観察し、メモします。『コマンドラインインターフェースのエラーメッセージ』を
参照してください。
システ McAfee サポートが診断時に問題を再現できるように、システムイメージを作成します。システムイメ
ムイメージの作成方法については、KnowledgeBase の記事 KB60323 を参照してください。
ージ
84
McAfee Application Control 7.0.0
製品ガイド
7
トラブルシューティング
起動時のエラー
必要な
詳細情
報
説明
完全なシステムクラッシュの場合、完全なメモリーダンプを収集します。次の手順に従って、完全なメモリー
メモリダンプを作成します。
ーダン
Linux:
Windows:
プ
1 キーボードで Alt と SysRq と c を同時に押しま 1 Windows プラットフォーム:
す。
a [コンピューター] を右クリックします。
2 システムを再起動します。
3 /var/crash に移動します。ここにクラッシュダ
ンプが生成されます。
Linux でクラッシュダンプを生成する方法について
は、KnowledgeBase の記事 KB66568 を参照して
ください。
b [プロパティ] をクリックします。
c [システムの詳細設定] をクリックします。
2 [詳細設定]、[起動と回復] の順に移動します。
3 [設定] をクリックします。
メモリーダンプのオプション (最小、カーネル、
完全) とファイルの保存場所 (デフォルト:
%SystemRoot%\MEMORY.DMP) が表示されま
す。
4 [カーネルメモリーダンプ] または [完全なメ
モリーダンプ] を選択して、設定を保存します。
McAfee サポートでは、[最小メモリーダンプ
(64 KB)] を使用できません。
Windows で次にブルースクリーンエラーが発
生すると、%SystemRoot%\MEMORY.DMP が作成
されます。
5 %SystemRoot%\MEMORY.DMP を .zip 形式に圧
縮して McAfee サポートに送信します。
分析用のメモリーダンプファイルを送信
する前に、Microsoft の Dumpchk.exe ユ
ーティリティを実行してください。
Dumpchk は、メモリーダンプファイルが
正常に生成され、破損がないかどうか確認す
るコマンドラインユーティリティです。
Microsoft の Web サイト (http://
support.microsoft.com/kb/156280) か
ら Dumpchk.exe をダウンロードします。
Linux でクラッシュダンプを生成する方法につい
ては、KnowledgeBase の記事 KB56023 を参照
してください。
起動時のエラー
セーフモードで Windows を起動して、スタートアップ時に発生するエラーのトラブルシューティングを行います。
セーフモードは、Windows の起動に最低限のデバイスドライバーとサービスを使用します。
カテゴリ
説明
問題
Windows システムが開始しません。
症状
システムの起動に通常よりも時間がかかります。
McAfee Application Control 7.0.0
製品ガイド
85
7
トラブルシューティング
自己書き換えドライバーの問題
システムをセーフモードで実行すると、Windows の実行に必要な最小限のファイルとドライバーが開始します。
セーフモードで起動し、既存の問題が再現されない場合、可能性のある原因として、デフォルト設定と基本的なデバ
イスドライバーを削除できます。
Application Control はセーフモードで実行されません。
タスク
1
コンピューターを再起動し、キーボードの F8 キーを繰り返し押します。
2
[詳細ブートオプション ] メニューで矢印キーを使用し、必要な [セーフモード] オプションを選択して Enter
を押します。
システムがセーフモードで起動すると、画面の隅に [セーフモード] が表示されます。セーフモードを終了す
るには、システムを通常どおり再起動します。
詳細については、Microsoft KnowledgeBase の記事 KB315222 を参照してください。
自己書き換えドライバーの問題
システムへの読み込み時に、一部のドライバーはシステムドライブのイメージを変更する場合があります。これら
のドライバーは、自己書き換えドライバーといいます。たとえば、暗号化キードライバーの clkdrv.sys が該当し
ます。
初期設定時にこのようなドライバーをホワイトリストに追加すると、Application Control はシステムへの読み込み
を許可しますが、自己書き換えは許可しません。これにより、画面が青い表示となることがあります。
カテゴリ
説明
症状
システムが応答しません。
問題
自己書き換えドライバーが原因でブルースクリーンエラーが発生する。
自己書き換えドライバーによるブルースクリーンエラーを防ぐ必要があります。自己書き換えドライバーにシス
テムでの実行を常に許可します。自己書き換えドライバーを名前で許可します。自己書き換えドライバーを名前で
許可すると、ドライバーのシステムへの読み込みはブロックされません。
タスク
1
システムで自己書き換えドライバーを特定します。
自己書き換えドライバーを特定できない場合には、McAfee サポートに連絡してください。
2
自己書き換えドライバーを名前で許可するには、自己書き換えドライバーの名前を指定して sadmin attr add
–a <filename> コマンドを実行します。
3
システムを再起動します。
システムが正常に再起動しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
システムクラッシュの問題
システムクラッシュの問題を診断して、Application Control がインストールされているシステムを復旧します。
Windows プラットフォームの場合、システムがクラッシュすると、ブルースクリーンが発生し、バグチェック番
号が表示されます。
Linux プラットフォームの場合、システムがクラッシュすると、すべてのコマンドに対する応答を停止する可能性が
あります。
86
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
システムクラッシュの問題
7
Windows でのシステムクラッシュ
ブルースクリーンエラーでクラッシュしたシステムを復元します。
カテゴリ
説明
クラッシュの種類
システムクラッシュ (ブルースクリーン)
症状
システムがバグチェック番号を示すブルースクリーンを表示します。
タスク
1
次の情報を収集します。
a
画面に表示されたバグチェック番号とすべてのパラメーターをメモします。
[システム] 、 [詳細設定] 、 [起動と回復] の順に移動して [自動的に再起動する] オプションの選択を解除
し、バグチェックが再現されるかどうか確認します。このオプションを解除しないと、システムが自動的に
再起動します。バグチェックが発生すると、バグチェックの詳細を記録できません。
b
完全なメモリーダンプを生成します。
『システムと問題の詳細の収集』を参照してください。
2
3
セーフモードでシステムを起動します。
a
システムの起動中に F8 キーを押します。
b
[セーフモードとネットワーク] を選択します。
[起動と回復] 画面で [自動的に再起動] の選択を解除して、システムが再起動ループに入ることを防ぎます。
詳しい手順については、KnowledgeBase の記事を参照してください。
http://support.microsoft.com/kb/307973
4
Application Control を無効にするには、Application Control コマンドラインインターフェースで scsrvc -d
コマンドを入力し、sadmin disable コマンドを入力します。
5
システムを再起動します。
6
問題が解決しない場合には、必要な情報を収集して McAfee サポートに連絡してください。
Windows でホワイトリストが壊れている
ホワイトリストの破損が原因でクラッシュしたシステムを復元します。
カテゴリ
説明
クラッシュの種類ドライバーのホワイトリストが破損しています。
症状
システムが次のエラー (バグチェックとパラメーター) を示すブルースクリーンを表示しま
す。
0xE0100010 (0X00000010, 0X00000000, 0X00000000, 0X00000000)
McAfee Application Control 7.0.0
製品ガイド
87
7
トラブルシューティング
システムクラッシュの問題
タスク
1
次の手順に従って、初期段階で必要な情報を収集します。
a
システムの電源をオフにして、再度オンにします。
b
ドライブのホワイトリストのステータスを確認します。
sadmin status
次の出力のように、破損したドライブのステータスが Corrupt と表示されます。
McAfee Solidifier:Disabled McAfee Solidifier on reboot:Disabled
ePO Managed:
[fstype]
Corrupt
Unattached
c
No Local CLI access:Recovered
[status]
[driver status]
[volume] * NTFS
Unattached
C:\ FAT 32
Solidified
E:\
Application Control を有効にします。
sadmin enable
エラーメッセージが表示され、Application Control を有効にできません。
2
ドライブで壊れたホワイトリストを削除します。
sadmin clean <drive>
3
Application Control サービスを再起動します。
net stop scsrvc
net start scsrvc
4
ドライブを再度ホワイトリストに追加します。
sadmin so <volume name>
5
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
Linux でのシステムクラッシュ
コマンドに対する応答を停止したシステムを復旧します。
カテゴリ
説明
クラッシュの種類
Linux システムのクラッシュ
症状
システムがコマンドへの応答を停止している可能性があります。
タスク
1
シングルユーザーモードでシステムを開始します。
2
/etc/mcafee/solidcore/solidcore.conf にある Application Control 設定ファイルを開きます。
3
RTEModeOnReboot パラメーターの値を 0x0 に変更します。
4
次のパスから Application Control サービスを手動で実行します。
(/<install-dir>/mcafee/solidcore/scripts/scsrvc -d)
無効モードで Application Control が開始します。
88
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
Active Directory の問題 (Windows のみ)
5
必要であれば、Application Control パッケージを削除します。
6
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
7
Active Directory の問題 (Windows のみ)
Active Directory (AD) の問題を診断し、AD (グループポリシー) からログオンスクリプトを実行できないシステ
ムを復旧します。
カテゴ
リ
説明
問題
Active Directory からログインスクリプトを実行できません (グループポリシー経由)。
症状
システムで以下のエラーメッセージが表示されます。
以下のユーザーによる <process_name> プロセスを使用した \Device\LanmanRedirector\<Domain
Controller host_name>\sysvol\<Domain name>\Policies\{<unique_policy_name>} \User
\Scripts\Logon\<script_name> の未承認の実行が、McAfee Solidifier によって阻止されました (プ
ロセス ID:PID、ユーザー:user_name)。
タスク
1
sadmin solidify コマンドを使用して、ドメインコントローラーにホワイトリストを作成します。
システムボリューム (sysvol) に関連するパスをホワイトリストに手動で登録する必要はありません。
Application Control のサポート対象ファイルは、システム上で自動的にホワイトリストに登録されます。
2
次のいずれかの手順を実行します。
•
このコマンドを実行して、ntfrs.exe ファイルを認証済み更新プログラムとして追加します。
sadmin updaters add –t AD ntfrs.exe
このコマンドを実行すると、ローカルドメインにあるすべてのドメインコントローラーのすべての sysvol
ボリュームが自動的に更新されます。
•
このコマンドを使用して dfsrs.exe ファイルを認証済み更新プログラムとして追加し、ローカルドメイン
にあるドメインコントローラーのすべての sysvol ボリュームを自動的に更新します。
sadmin updaters add –t AD dfsrs.exe
3
このコマンドを使用して、ローカルドメインの各ドメインコントローラーとすべてのドメインコントローラー
(セルフとピア) で、信用されたパスとして sysvol ネットワークパスを追加します。
sadmin trusted –i \\<DC_DNS_NAME>\SYSVOL
ルートドメインの子ドメインも AD クラスターに存在する場合、子ドメインの各ドメインコントローラーに信用
ルールを追加する必要があります。
McAfee Application Control 7.0.0
製品ガイド
89
7
トラブルシューティング
アプリケーションのインストールに関するエラー
たとえば、sales.mycompany.com が mycompany.com の子ドメインの場合、cdc1.sales.mycompany
.com、cdc2.sales.mycompany.com、cdc3.sales.mycompany.com という 3 つのドメインコントローラ
ーが存在します。このシナリオでは、子ドメインのグループポリシーを正常に動作させるため、子ドメインの 3
つのドメインコントローラーに 3 つの信用ルールを追加する必要があります。これは、以下のコマンドで説明
します。
•
sadmin trusted –i
\\cdc1.sales.mycompany.com\SYSVOL
•
sadmin trusted –i
\\cdc2.sales.mycompany.com\SYSVOL
•
sadmin trusted –i
\\cdc3.sales.mycompany.com\SYSVOL
信頼できるパスでは、Application Control のステータス (有効または無効) に関係なく、ファイルの追加と実行
が許可されます。信頼できるネットワークパスからのみ未承認 (またはホワイトリストに登録されていない) コ
ードを実行できます。ローカルシステムパスからは実行できません。ローカルシステム上でホワイトリストに
登録されている既存ファイルは保護されたままとなり、ネットワークパスから修正または削除できません。
4
ホワイトリスト内のファイルのステータスを表示するには、実際のファイルパスを指定して sadmin ls コマン
ドを実行します。
sadmin ls C:\WINDOWS\SYSVOL\domain\Policies
5
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
アプリケーションのインストールに関するエラー
インストールエラーのトラブルシューティングを行い、アプリケーションを正常にインストールします。
カテゴリ
説明
問題
アプリケーションのインストールに失敗する。
症状
システムにインストールエラーに関するメッセージが表示されます。
タスク
1
アプリケーションが更新モードでインストールされているかどうか確認します。
2
更新プログラムとしてインストーラーを設定します。『更新プログラムを追加する』を参照してください。
3
pkg-ctrl 機能が無効の状態でアプリケーションがインストールされるか確認します。
pkg-ctrl 機能が無効の状態でアプリケーションをインストールできる場合、pkg-ctrl を有効にして手順 a に進み
ます。
a
ログファイルのサイズまたはログファイルの数を増やします。『ログファイルの設定』を参照してくださ
い。
必要であれば、ログファイルのサイズとログファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再インストールします。
問題が引き続き起こる場合は、次の手順に進みます。
d
90
sadmin loglevel disable pst info コマンドを実行します。
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
アプリケーションの実行エラー
4
7
メモリー保護機能が無効の状態でアプリケーションをインストールできるか確認します。
メモリー保護機能が無効の状態でアプリケーションがインストールできる場合、メモリー保護を有効にし、手順
a に進みます。
a
ログファイルのサイズまたはログファイルの数を増やします。『ログファイルの設定』を参照してくださ
い。
必要であれば、ログファイルのサイズとログファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再インストールします。
問題が引き続き起こる場合は、次の手順に進みます。
d
sadmin loglevel disable pst info コマンドを実行します。
e
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
アプリケーションの実行エラー
トラブルシューティングを行い、実行に失敗したアプリケーションを正常に実行します。
カテゴリ説明
問題
アプリケーションの実行に失敗する。
症状
アプリケーションに実行が許可されていないため、システムにエラーメッセージが表示されます。
タスク
1
更新モードでアプリケーションが実行できるかどうか確認します。
2
アップデーターまたは信頼済みとして追加されたコンポーネントを特定します。
3
更新プログラムまたは信用された設定としてコンポーネントを設定します。『更新プログラムを追加する』を参
照してください。
4
次の手順に従って、メモリー保護機能が無効の状態でアプリケーションが実行されることを確認します。
メモリー保護機能が無効の状態でアプリケーションが実行できる場合、メモリー保護を有効にし、手順 a に進み
ます。
a
ログファイルのサイズまたはログファイルの数を増やします。『ログファイルの設定』を参照してくださ
い。
必要であれば、ログファイルのサイズとログファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再度実行します。
問題が解決しない場合には、次の手順に進みます。
d
5
sadmin loglevel disable pst info コマンドを実行します。
スクリプト許可機能が無効の状態でアプリケーションが実行されることを確認します。
McAfee Application Control 7.0.0
製品ガイド
91
7
トラブルシューティング
アプリケーションのパフォーマンス
スクリプト許可機能が無効の状態でアプリケーションが実行できる場合、スクリプト許可機能を有効にし、手順
a に進みます。
a
ログファイルのサイズまたはログファイルの数を増やします。『ログファイルの設定』を参照してくださ
い。
必要であれば、ログファイルのサイズとログファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再度実行します。
問題が解決しない場合には、次の手順に進みます。
d
sadmin loglevel disable pst info コマンドを実行します。
e
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
アプリケーションのパフォーマンス
実行中にパフォーマンスが低下したり、応答不能になった場合に問題を診断し、アプリケーションを復旧します。
カテゴリ
説明
問題
アプリケーションの実行中に応答がなくなる。
症状
アプリケーションが正常に動作せず、パフォーマンスが低下します。
タスク
1
更新モードでアプリケーションが正常に起動しているか確認します。
更新モードで問題が解決しない場合には、問題の原因を特定するため追加の診断手順を行います。
a
sadmin features disable checksum コマンドを実行します。
b
必要な情報をすべて収集して、McAfee サポートに連絡します。
2
アップデーターまたは信頼済みとして追加されたコンポーネントを特定します。
3
更新プログラムまたは信用された設定としてコンポーネントを設定します。『更新プログラムを追加する』を参
照してください。
4
メモリー保護機能が無効の状態でアプリケーションが正常に実行されることを確認します。
メモリー保護機能が無効の状態でアプリケーションを正常に実行できる場合、メモリー保護を有効にし、手順 a
に進みます。
a
ログファイルのサイズまたはログファイルの数を増やします。『ログファイルの設定』を参照してくださ
い。
必要であれば、ログファイルのサイズとログファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再度実行します。
問題が解決しない場合には、次の手順に進みます。
92
d
sadmin loglevel disable pst info コマンドを実行します。
e
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
システムハングの問題
7
システムハングの問題
実行時に停止したシステム (応答不能になったシステム) を復旧します。
カテゴリ
説明
問題
システムの実行中に応答がなくなる。
症状
キーボードまたはマウスからの入力にシステムが反応しません。
タスク
1
システムの電源を切ります。
2
セーフモードでシステムを起動します。
デフォルトでは、セーフモードで Application Control 保護は使用できません。
3
完全なメモリーダンプを生成します。完全なメモリーダンプの生成方法については、
『システムと問題の詳細を
収集する』を参照してください。
4
コマンドプロンプトで scsrvc -d コマンドを実行します。
5
前の CLI ウィンドウを実行した状態で、新しい Application Control CLI ウィンドウを開きます。
6
新しい CLI ウィンドウで次の操作を実行します。
a
begin-update コマンドを実行します。
b
システムを再起動し、更新モードに切り替えます。
c
更新モードでシステムが正常に動作するかどうか確認します。
7
システムで手動によるクラッシュダンプとシステムクラッシュを設定します。詳細については、
KnowledgeBase の記事 http://support.microsoft.com/kb/927069 を参照してください。
8
セーフモードでシステムを起動します。
9
sadmin disable コマンドを実行して、Application Control を無効にします。
10 コマンドプロンプトで scsrvc -d コマンドを実行します。
11 この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
システムパフォーマンスの問題
実行中にパフォーマンスが低下したり、処理速度が遅くなった場合に問題を診断し、システムを復旧します。
カテゴリ
説明
問題
実行中にシステムの処理が遅くなる。
症状
システムが正常に動作せず、パフォーマンスが低下します。
タスク
1
更新モードでシステムが正常に実行されているかどうか確認します。
2
アップデーターまたは信頼済みとして追加されたコンポーネントを特定します。
3
更新プログラムまたは信用された設定としてコンポーネントを設定します。『更新プログラムを追加する』を参
照してください。
McAfee Application Control 7.0.0
製品ガイド
93
7
トラブルシューティング
Application Control のインストールエラー
4
メモリー保護機能が無効の状態でシステムが正常に実行されることを確認します。
メモリー保護機能が無効の状態でシステムを正常に実行できる場合、メモリー保護を有効にし、手順 a に進みま
す。
a
sadmin loglevel enable pst info コマンドを実行します。
b
問題が解決しない場合には、sadmin loglevel disable pst info コマンドを実行します。
c
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
Application Control のインストールエラー
トラブルシューティングを行い、システムへのインストールに失敗した Application Control を正常にインストール
します。
カテゴ説明
リ
問題
Application Control を Windows または Linux にインストールできない。
症状
インストールエラー関連のエラーメッセージが表示されます。
次の場合はインストールに失敗します。
• サポートされていない OS で Application Control のインストールを実行した場合
• システムにブラックリストのアプリケーションがインストールされた場合 (Windows)
• システムが Application Control のインストールに必要なメモリー要件またはディスク容量要件を満た
していない場合
• Application Control のアップグレードがサポートされていない場合にアップグレードを試行した場合
タスク
1
同じ OS で McAfee がインストールされたシステムが他にない場合には、Application Control サポートに連絡
してください。
2
オペレーティングシステムが同じで、Application Control がインストールされている別のシステムに次の操作
を行います。
a
システムで scanalyzer を実行します。詳細については、『システムのランタイム環境』を参照してくださ
い。
Application Control をインストールするための必須要件が不足している場合、警告とともにレポートファイ
ルが生成されます。
b
システムが ScAnalyzer によって生成されたレポートファイルの要件を満たしていることを確認します。
システムが要件を満たしていない場合、Application Control をインストールできません。
アップデーター権限の問題
プロセスをアップデーターとして設定しても、アップデーター権限が設定されない場合に問題を診断し、アップデー
ト権限を付与します。
次の表で、問題と症状について説明します。
94
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
イベント氾濫
カテゴリ
説明
問題
更新プログラムとして設定されているプロセスに更新プログラム権限がない。
症状
更新プログラムプロセスが更新プログラムとして動作しません。
7
タスク
1
更新プログラムとして設定されたプロセスに更新プログラム特権があるか確認します。
a
プロセスが実行されていることを確認します。
b
sadmin xray コマンドを実行し、出力とプロセスの設定を確認します。
sadmin xray コマンドを実行すると、プロセスの更新プログラム特権のステータスが表示されます。
c
2
プロセスが更新プログラム特権を使用していない場合、プロセスを再起動します。
プロセスにアップデーター権限が設定されない場合には、必要な情報をすべて収集して、McAfee サポートに連
絡してください。
イベント氾濫
類似タイプのイベントや不要なイベントをフィルタリングすると、イベントリストの氾濫を防ぐことができます。
カテゴリ
説明
問題
類似したイベントでイベントリストがいっぱいになる。
症状
類似したイベントや不要なイベントが生成されます。
タスク
1
詳細除外フィルターを使用して、不要なイベントをフィルタリングします。『AEF を追加または削除する』を参
照してください。
2
問題が解決しない場合には、必要な情報を収集して McAfee サポートに連絡してください。
エラーメッセージの使用
トラブルシューティングでエラーを解決するには、特定のエラーに関するエラーメッセージを常に記録しておく必要
があります。
システムの次の場所でエラーメッセージを確認できます。
•
コンソールウィンドウ
•
イベントビューアー
•
Application Control コマンドラインインター
フェース
•
/var/log/messages ファイル (Linux)
•
OS またはアプリケーション (Windows の場合)
のポップアップウィンドウが開きます。
これらのエラーメッセージにより、問題をより詳しく調査することができます。類似しているエラーメッセージが
複数ある場合、それぞれのエラーメッセージの詳細を記録する必要があります。これは、問題に関連するコンテキス
トを提供するのに役立ちます。
McAfee Application Control 7.0.0
製品ガイド
95
7
トラブルシューティング
コマンドラインインターフェースのエラーメッセージ
コマンドラインインターフェースのエラーメッセージ
CLI に表示される一般的なエラーメッセージの問題を修正します。
エラーメッセージ
解決法
sadmin solidify など、ボリューム名をパラメーターとして指定できるコマンドに、コマンドに正しいボリュ
ーム名を指定してくださ
無効なボリューム名が指定されている場合。例: sadmin solidify J:
い。
次のメッセージが CLI に表示されます:
ボリューム "ボリューム名:" が存在しません。
管理者以外のアカウントから sadmin <Command Name> コマンドが実行された場合、管理者として CLI を実
Application Control サービスとの接続に失敗し、次のメッセージが CLI に表示されま行します。
す:
アクセスが拒否されました。選択されたオプションを使用するには管理者権限が必要
です。これらのタスクを完了するには、管理者コマンドプロンプトを使用してくださ
い。
sadmin solidify コマンドに正しいボリューム名 (ボリューム名の後に英字以外の文サポートされている適切
字またはコロン ':' がない) を指定して実行すると、CLI に次のメッセージが表示されまなボリューム名をコマン
ドと共に使用してくださ
す。
い。
パス「C:\Program Files\McAfee\Solidcore\<Volume_Name>」が存在しない、
またはアクセスできません。
sadmin updaters などのコマンド使用中に、特定のコマンドに対し、サポートされてサポートされている数の
引数をコマンドと共に使
いる数以上の引数を指定している場合。例: sadmin updaters add -u <user
用してください。
name> -p <binary name>
次のメッセージが CLI に表示されます:
引数が多すぎます。
sadmin help <Command Name> と入力して、ヘルプを表示してください。
sadmin updaters などのコマンドで、引数だけを指定し、引数の値を指定していないコマンドと共に使用する
引数すべてに対し、ユー
場合。例: sadmin updaters add -u
ザー名、ファイル名、タ
次のメッセージが CLI に表示されます:
グ名などの値を指定して
ください。
引数が十分ではありません。
ヘルプを表示するため sadmin help <Command Name> と入力してください。
sadmin write-protect などのコマンド使用中に、無効な引数を使用している場合。正確かつサポートされて
いる引数をコマンドと共
例: sadmin write-protect -k
に使用してください。
次のメッセージが CLI に表示されます:
<Argument Name> は無効なオプションです。
ヘルプを表示するため sadmin help <Command Name> と入力してください。
CLI で sadmin solidify コマンドを実行し、別の CLI を開いて sadmin status なホワイトリストへの登録
中です。別の CLI でコ
どの他のコマンドを実行すると、次のメッセージが CLI に存在します。
マンドを実行しないでく
別の CLI がすでに実行されています。
ださい。
96
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
正当なエラーとエラーメッセージ
7
正当なエラーとエラーメッセージ
システムで Application Control が有効モードで実行されているときに、正当なエラーが発生する場合があります。
正当なエラーに対応するエラーメッセージも生成されます。ただし、このようなエラーメッセージは正当で、
Application Control が未承認の操作を防いでいることを示します。
たとえば、Application Control は、ホワイトリストに存在しないコンポーネント (バイナリ、スクリプト、インス
トーラーパッケージなど) に実行を許可しません。コンポーネントがホワイトリストに登録されていれば、正常に実
行されます。登録されていない場合、Application Control は実行を阻止し、対応するエラーメッセージを表示しま
す。このような場合、イベントが生成されます。
バイナリまたはスクリプトファイルが生成するエラーメッセージ
ホワイトリストにないバイナリまたはスクリプトが実行されると、対応するエラーメッセージが生成されます。この
ような操作が実行された場合には、エラーメッセージでエラーの内容を確認してください。
次の表に、ホワイトリストに存在しないバイナリとスクリプトファイルの実行を試行した場合に表示されるエラー
メッセージを示します。
試行された操作
説明
ホワイトリストに存在しない
.exe ファイルの実行が試行され
ました。
サポートされているボリュームからの putty.exe などホワイトリストに存在
しないプログラムの実行が試行された場合、操作は失敗となり、ポップアップ
ウィンドウに以下のメッセージが表示されます。
Windows は指定のデバイス、パス、またはファイルにアクセスできません。アイテ
ムにアクセスする適切な許可がありません。
コマンドプロンプトから putty.exe を実行すると、次のメッセージが表示さ
れます。
Access is denied.
ホワイトリストの存在しない .vbs スクリプトファイルをダブルクリックす
ホワイトリストに存在しない
.vbs スクリプトファイルの実行ると、実行は失敗となり、Windows Script Host により、ポップアップウィ
ンドウが開き、次のメッセージが表示されます。
が試行されました。
スクリプト C:\shared\AUTH\AUTH.vbs の読み込みに失敗しました (アクセス
が拒否されました)
また、イベントも生成されます。イベントの詳細については、『イベントを使
用して変更を確認する』を参照してください。
ホワイトリストに存在しない ELF foo2bar2 などホワイトリストに存在しない ELF ファイルの実行が試行され
バイナリファイルの実行が試行さた場合、操作は失敗となります。
れました。(Linux)
コマンドプロンプトから foo2bar2 file を実行すると、次のメッセージが表示
されます。
アクセスは拒否されました。
ホワイトリストに存在しない #!
(hash-bang) スクリプトの実行
が試行されました。(Linux)
ホワイトリストに存在しない #! スクリプトの実行が試行した場合、実行は失
敗となり、次のメッセージが表示されます。
無効なインタープリター:アクセスが拒否されました
インストーラーパッケージに生成されたエラーメッセージ
ホワイトリストにないインストーラーパッケージが実行されると、対応するエラーメッセージが生成されます。こ
のような操作が実行された場合には、エラーメッセージでエラーの内容を確認してください。
以下の表では、ホワイトリストに存在しないインストーラーパッケージの実行時に表示されるエラーメッセージに
ついて説明します。
McAfee Application Control 7.0.0
製品ガイド
97
7
トラブルシューティング
正当なエラーとエラーメッセージ
試行された操作
説明
MSI ベースのインストー Ica32Pkg.msi など、MSI ベースのインストーラーのインストールが試行されると、
ラーの実行が試行されま操作は失敗します。
した。
ポップアップウィンドウに次のエラーメッセージが表示されます。
システム管理者がインストールを阻止するポリシーを設定しています。
Application Control が未承認コードの実行を阻止したことを通知するイベントが生成
されます。
パッケージコントロール機能が有効な場合、イベントが表示されます。
MSI ベースのインストー Ica32Pkg.msi など、MSI ベースのパッケージの削除が試行されると、操作は失敗し
ラーの削除が試行されまます。
した。
ポップアップウィンドウに次のエラーメッセージが表示されます。
このインストールはシステムポリシーで禁止されています。システム管理者に連絡し
てください。
Application Control が未承認コードの実行を阻止したことを通知するイベントが生成
されます。
一部のケースで、[プログラムの追加と削除] 機能を使用して（MSI ベースのインストー
ラーを使用してインストールされた）アプリケーションをアンインストールできる場合
があります。そのようなアプリケーションを削除する場合は、<installer>.msi ファイ
ルを実行して、アプリケーションをアンインストールします。
Windows のオプション
コンポーネントのインス
トールまたは削除が試行
されました。
[プログラムの追加と削除] から Windows のオプションコンポーネントのインストー
ルまたは削除が試行されると、操作は失敗し、イベントログにエントリが生成されま
す。
Application Control が未承認コードの実行を阻止したことを通知するイベントが生成
されます。
パッケージコントロール機能が有効な場合、イベントが表示されます。
INF ベースのインストー
ラーの実行が試行されま
した。
mmdriver.inf など、INF ベースのインストーラーのインストールが右クリックで試
行されると、操作は失敗し、イベントログにエントリが生成されます。
Application Control が未承認コードの実行を阻止したことを通知するイベントが生成
されます。
パッケージコントロール機能が有効な場合、イベントが表示されます。
ホワイトリストに登録された登録されたコンポーネントに不正な変更が行われた
場合に生成されるエラーメッセージ
通常使用中、たとえ管理者権限があっても、ホワイトリストに登録済みのプログラムファイルの変更、名前の変更、
または削除はできません。ホワイトリストに登録されたコンポーネントに不正な変更が行われると、対応するエラー
メッセージが生成されます。このような操作が実行された場合には、エラーメッセージを参照してエラーの内容を
確認してください。
ホワイトリストに登録済みのファイルの変更の試行は阻止され、アクセス拒否エラーが生成されます。Application
Control により、レジストリファイルへの変更が禁止され、有効モードでレジストリファイルに加えられた変更か
らレジストリファイルを保護します。
次の表に、ホワイトリストに登録済みのファイルやレジストリキーへの不正変更が試行された場合に表示されるエラ
ーメッセージを示します。
98
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
正当なエラーとエラーメッセージ
7
試行された操作
説明
ホワイトリストに存在するフ
ァイルの名前変更が試行され
ました。
名前の変更の操作は失敗となり、ポップアップウィンドウが開き、次のメッセージ
が表示されます:
<filename> の名前を変更できません。アクセスが拒否されました。
ディスクが一杯になっていないか、書き込み保護が設定されていないか確認してくださ
い。ファイルが使用中でないかも確認してください。
Application Control が名前の変更を阻止したことを通知するイベントも生成され
ます。また、Windows イベントビューアーにエラーメッセージが表示されます。
ホワイトリストに存在するフ
ァイルの移動が試行されまし
た。
Windows プラットフォーム:
移動の操作は失敗となり、ポップアップウィンドウが開き、次のメッセージが表示
されます:
<filename> の名前を変更できません。アクセスが拒否されました。
ディスクが一杯になっていないか、書き込み保護が設定されていないか確認してくださ
い。ファイルが使用中でないかも確認してください。
Application Control が移動操作を阻止したことを通知するイベントも生成されま
す。また、Windows イベントビューアーにエラーメッセージが表示されます。
Linux プラットフォーム:
移動操作は失敗し、次のメッセージが表示されます。
mv:filename を filename に移動できません。アクセスは拒否されました。
ホワイトリストに存在するフ
ァイルの削除が試行されまし
た。
Windows プラットフォーム:
削除操作は失敗し、ポップアップウィンドウが開いて次のメッセージが表示されま
す。
<filename> を削除できません。アクセスが拒否されました。ディスクが一杯になっ
ていないか、書き込み保護が設定されていないか確認してください。ファイルが使用中
でないかも確認してください。
Application Control が削除操作を阻止したことを通知するイベントも生成されま
す。また、Windows イベントビューアーにエラーメッセージが表示されます。
Linux プラットフォーム:
削除操作は失敗し、次のメッセージが表示されます。
rm:filename を削除できません。アクセスは拒否されました。
McAfee Application Control 7.0.0
製品ガイド
99
7
トラブルシューティング
ファイルとスクリプトのバイパスルール
試行された操作
説明
ホワイトリストに存在するフ
ァイルの上書きが試行されま
した。
Windows プラットフォーム:
上書き操作は失敗し、ポップアップウィンドウが開いて次のメッセージが表示され
ます。
<filename> をコピーできません。アクセスが拒否されました。
ディスクが一杯になっていないか、書き込み保護が設定されていないか確認してくださ
い。ファイルが使用中でないかも確認してください。
Application Control が上書き操作を阻止したことを通知するイベントも生成され
ます。また、Windows イベントビューアーにエラーメッセージが表示されます。
Linux プラットフォーム:
上書き操作は失敗し、次のメッセージが表示されます。
cp:通常のファイル filename を作成できません。アクセスは拒否されました。
ホワイトリストに存在するフ
ァイルに代替ストリームの追
加が試行されました。
操作は失敗し、CLI に次のメッセージが表示されます。
アクセスが拒否されました。
イベントも生成されます。
ホワイトリストに存在するフ
ァイルに代替ストリームの削
除が試行されました。
操作は失敗しますが、メッセージは表示されません。ただし、イベントは生成さ
れ、Windows イベントビューアーに表示されます。
Application Control 固有の操作は失敗し、ポップアップが開いて次のメッセージが表示されます。
レジストリキーの名前の変更
レジストリエディターが 'registry key name' の名前を変更できません。名前の
が試行されました。
変更中にエラーが発生しました。
レジストリキーの削除が試行操作は失敗し、ポップアップが開いて次のメッセージが表示されます。
されました。
パラメーターを削除できません。キーの削除中にエラーが発生しました。
ファイルとスクリプトのバイパスルール
コンテキストファイル操作を使用して特定のルールを定義すると、ファイルとスクリプトで書き込み保護と
script-auth 機能を無効にすることができます。
アプリケーションの中には、毎日の処理の一部として特殊な方法でコードを実行するものがあるため、実行が妨げら
れます。こうしたアプリケーションの実行を許可するには、適切なバイパスルールを定義します。ファイルのバイ
パスは、アプリケーションの実行を許可する最後の手段にする必要があります。
ファイルとスクリプトのバイパスルールを追加する
ファイルとスクリプトにバイパスルールを追加すると、ホワイトリストに登録されていないスクリプトをシステムで
実行し、スクリプト許可機能をバイパスできます。このルールを追加すると、書き込み拒否機能がバイパスされま
す。ホワイトリストに登録され、このルールに追加されたファイルに書き込み保護は実行されません。ただし、この
ルールを追加しても、実行拒否機能はバイパスされません。
sadmin attr add コマンドを使用してバイパスルールを追加し、必要な引数を指定します。
コマンドの構文は sadmin attr add -o <parent_file> -p <file> です。
100
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
パスコンポーネントのスキップルール
7
タスク
1
sadmin attr add -o <parent_file> -p <file> コマンドを実行します。
コマンドにファイル名を指定して、ファイルをコンテキストファイル操作処理の対象外にします。
このコマンドに -o 引数を使用して、指定したプロセスまたはファイル名の DLL モジュール名を指定することも
できます。Linux プラットフォームでは、この引数に親プログラムを指定します。
2
Enter キーを押します。
3
sadmin attr list -p コマンドを実行することもできます。
このコマンドでバイパスされるファイルのリストを表示します。
バイパスルールが追加されます。
ファイルとスクリプトのバイパスルールを削除する
ファイルとスクリプトのバイパスルールを削除して、ホワイトリストにないスクリプトの実行を制限します。このル
ールを削除すると、deny-write 機能と script-auth 機能が再度有効になります。
バイパスルールの削除方法は 2 つあります。
•
指定したファイルまたはスクリプトからバイパスルールを削除します。
指定したファイルまたはスクリプトからバイパスルールが削除されます。
コマンドの構文は sadmin attr remove -p <file> です。
•
すべてのバイパスルールを削除します。
ファイルとスクリプトのすべてのバイパスルールを削除します。
コマンドの構文は sadmin attr flush -p です。
タスク
1
特定のファイルまたはスクリプトからバイパスルールを削除します。
a
sadmin attr remove -p <file> コマンドを入力します。
ファイル名またはスクリプト名を指定します。
b
Enter を押します。
指定したファイルまたはスクリプトからバイパスルールが削除されます。
2
すべてのバイパスルールを削除します。
a
sadmin attr flush -p コマンドを入力します。
b
Enter を押します。
ファイルとスクリプトに追加されたすべてのバイパスルールが削除されます。
パスコンポーネントのスキップルール
Windows プラットフォームでスキップルールを定義すると、特定のパスコンポーネントで複数の Application
Control 機能と Windows 代替データストリーム (ADS) 機能を無効にすることができます。パスコンポーネント
をスキップすると、そのパス内のすべてのファイルがスキップされます。
製品がシステムに正常に配備され、有効モードで実行されると、システムのすべてのディレクトリとサブディレクト
リがホワイトリストに追加され、Application Control の機能で保護されます。
McAfee Application Control 7.0.0
製品ガイド
101
7
トラブルシューティング
パスコンポーネントのスキップルール
変更や削除を頻繁に行うファイルがパス上に存在する場合、Application Control 機能で適用された保護機能により、
これらの操作は禁止されます。 Application Control 機能で保護されているファイルに対して操作の実行が必要に
なる場合があります。この場合、特定のパスコンポーネントを対象外にし、これらの機能でブロックされた操作を
許可します。 Windows ADS 機能から特定のパスコンポーネントを除外することもできます。
スキップリストルールを適用する場合には、McAfee サポートの指示に従い、慎重に行ってください。この操作を行
うと、製品のコア機能に影響を及ぼし、セキュリティ脅威に対して脆弱になる可能性があります。
パスコンポーネントのスキップルールを追加する
絶対パスまたは相対パスではなく、パスコンポーネントを指定して、スキップルールを追加します。Application
Control は、指定されたパスコンポーネントをすべてのボリュームで検索し、システムに存在する特定のパスコン
ポーネントに適用されます。
このスキップルールは、指定されたパスコンポーネント上にあるすべてのファイルに適用されます。たとえば、パ
ス C:\WINDOWS\Debug\UserMode のスキップルールを定義する場合には、絶対パスまたは相対パスを指定しない
でください。パスコンポーネント (\UserMode) だけを指定してください。Application Control は、すべてのボ
リュームでこのパスのコンポーネントにスキップルールを適用します。
機能でパスコンポーネントをスキップすると、パスコンポーネントはその機能から除外されます。パスコンポーネ
ントにこの機能が適用したセキュリティ対策が削除されます。ただし、ホワイトリストからパスコンポーネントは
削除されません。スキップルールを定義して、パスコンポーネントをホワイトリストから除外することもできま
す。これにより、ホワイトリストからパスコンポーネントが削除されます。
スキップルールを追加するには、必要な引数を指定して sadmin skiplist add コマンドを実行します。
コマンド構文は次のとおりです。
sadmin skiplist add [-c | -d | -f | -i | -r | -s | -v] PATH
次の表では、パスコンポーネントをスキップするコマンドについて説明します。
機能
コマンド
説明
モニタリング
sadmin
skiplist
add -c <path
component>
パスコンポーネントをモニタリングの対象外にします。このコマンドは、
Application Control が更新モードで稼動し、変更の追跡が有効になっている場
合にのみ使用できます。このコマンドにユーザーモードのパスとボリューム
名のパスの両方を指定することはできません。
このコマンドに追加したテキストは、完全なコンポーネントとして処理されま
す。たとえば、テキストはスラッシュ (/) で開始し、バックスラッシュ (\)、
ドット (.) または NULL 文字で終了する必要があります。
指定したテキストを含むファイルにイベントは生成されません。また、このよ
うなパスはホワイトリストで更新されません。
書き込み保護
sadmin
パスコンポーネントを書き込み保護の対象外にし、パス上のファイルに適用さ
skiplist
れた書き込み保護がすべて削除されます。このパスで書き込み拒否イベントは
add -d <path 監視されません。
component>
このコマンドにユーザーモードのパスとボリューム名のパスの両方を指定する
ことはできません。このコマンドに追加したテキストは、完全なコンポーネン
トとして処理されます。たとえば、テキストはスラッシュ (/) で開始し、バッ
クスラッシュ (\)、ドット (.) または NULL 文字で終了する必要があります。
sadmin
レジストリパスをレジストリの書き込み保護の対象外にし、レジストリパスに
skiplist
適用された書き込み保護を削除します。
add -r <path
このコマンドに追加したテキストは、完全なコンポーネントとして処理されま
component>
す。たとえば、テキストはスラッシュ (/) で開始し、バックスラッシュ (\)、
ドット (.) または NULL 文字で終了する必要があります。
102
McAfee Application Control 7.0.0
製品ガイド
7
トラブルシューティング
パスコンポーネントのスキップルール
機能
コマンド
説明
ファイル操作と sadmin
パスコンポーネントをファイル操作とスクリプト許可機能の対象外にします。
スクリプトの許 skiplist
パスコンポーネントをファイル操作の対象外にすると、作成、変更、削除など
add -f <path の操作に対して書き込み保護が実行されません。ただし、宛先パスに対するリ
可
component>
ンクと名前の変更は、書き込み保護機能で保護されています。
コマンドにパスコンポーネントを指定します。このコマンドにユーザーモー
ドのパスとボリューム名のパスの両方を指定することはできません。
このコマンドに追加したテキストは、パスのサブ文字列として処理されます。
除外されたパスコンポーネントにイベントは発生しません。ホワイトリストも
更新されません。このコマンドに追加したパスでは、スクリプト実行制御も機
能しません。
ファイル操作と sadmin
skiplist
実行拒否
add -i <path
component>
除外パスリストを使用して、パスコンポーネントをファイル操作の対象外にし
ます。この動作は、sadmin add -f コマンドに似ています。 Windows 64
ビットプラットフォームの場合、このスキップルールを使用すると、pe32 タ
イプのバイナリも実行拒否機能の対象外になります。このスキップルールを
有効にするには、システムの再起動が必要になります。
以下の手順に従って、スキップルールを追加します。
1 sadmin config show コマンドを実行します。
2 sadmin config set customerconfig=<new value> コマンドを入力
します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swin
\Parameters の CustomerConfig レジストリキー値を現在のデフォル
ト値または 0x80 に変更します。指定する値を計算するときに、Windows
の電関数電卓モードで使用すると、現在のデフォルト値と 0x80 (0x80[16
進数] と 128 [10 進数]) の論理和を計算できます。新しい値は、システム
の再起動後に有効になります。
3 Enter キーを押します。
4 システムを再起動します。
5 sadmin skiplist add -i <path component> コマンドを入力します。
コマンドにパスコンポーネントを指定します。このコマンドにユーザーモ
ードのパスとボリューム名のパスの両方を指定することはできません。
Windows 64 ビットプラットフォームでパスコンポーネントを指定する
と、実行拒否機能がスキップされます。
6 Enter キーを押します。
McAfee Application Control 7.0.0
製品ガイド
103
7
トラブルシューティング
パスコンポーネントのスキップルール
機能
コマンド
ホワイトリスト sadmin
skiplist
add -s <path
component>
説明
コマンドにパスコンポーネントを指定します。このコマンドにネットワーク
パス名は指定できません。このコマンドにパスコンポーネントを指定すると、
このパスとサブディレクトリの中でホワイトリストに登録されているファイル
がホワイトリストから削除されます。ただし、このようなパスとサブディレク
トリで生成または変更されたファイルは、Application Control モード (有効ま
たは更新) または更新プログラムの使用に関係なく、unso 状態でのみホワイト
リストに追加されます。ファイルが unso 状態でホワイトリストに追加され
ると、ファイルに対する変更は許可されますが、実行は拒否されます。
*\<vol_rel_name> を使用して、ボリューム相対ルールを指定することもで
きます。
アスタリスク (*) は、パス上の任意の 1 つのコンポーネントを表します。ル
ールにアスタリスク (*) を追加すると、パス上のファイルはホワイトリストか
ら削除されませんが、有効モード、更新モードまたは更新プログラムで生成さ
れたファイルは unso 状態でのみホワイトリストに追加されます。アスタリ
スク (*) を含むルールを追加すると、ホワイトリストからファイルが削除され
ないため、このパス上でホワイトリストに登録されたファイルは書き込み保護
の監視対象になります。
Application
Control
sadmin
skiplist
add -v <path
component>
ボリューム名が Application Control に接続しません。 NTFS、FAT などのフ
ァイルシステムも指定できます。この引数にボリューム名を指定すると、
Application Control はこのボリュームに接続しません。指定したボリューム
でスクリプト許可機能と実行拒否機能も無効になります。このボリュームのコ
ンポーネントは、システムでの実行が許可されます。
ユーザーモードのボリューム名 (C:、D: など) を使用して、パスコンポーネ
ントを指定できます。 \device\harddiskvolume1 などのデバイス名と
NTFS や FAT などのファイルシステムも指定できます。
パスコンポーネントの指定条件に一致すると、Application Control はこのボ
リュームに接続しません。このようなボリュームでスクリプト許可機能と実行
拒否機能は機能しません。ドライブが接続済みの場合、ルールを有効にするに
は再起動が必要です。
パスコンポーネントのスキップルールの一覧を表示する
パスコンポーネントに追加されたスキップルールのリストを表示できます。
タスク
•
コマンドプロンプトで次のコマンドを実行します。
skiplist list
適用されたスキップルールの一覧を表示するには、引数を指定する必要があります。
パスコンポーネントのスキップルールを削除する
特定のパスコンポーネントに適用されたスキップルールを削除し、Application Control 機能でパスコンポーネン
トを保護します。
スキップルールの削除方法は 2 つあります。
104
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
パスコンポーネントのスキップルール
•
7
特定のパスコンポーネントからスキップルールを削除します。
指定したパスコンポーネントからスキップルールが削除されます。
コマンドの構文は、sadmin skiplist remove [-c | -d | -f | -i | -r | -s | -v] PATH です。
•
すべてのスキップルールを消去します。
指定した引数のすべてのスキップルールを削除します。
コマンドの構文は、sadmin skiplist flush [-c | -d | -f | -i | -r | -s | -v] です。
タスク
1
指定したパスコンポーネントからスキップルールを削除します。
a
sadmin skiplist remove コマンドを入力して、スキップルールを削除するパスコンポーネントと引数を
指定します。
b
Enter を押します。
指定したパスコンポーネントからスキップルールが削除されます。
2
すべてのスキップルールを削除します。
a
sadmin skiplist flush コマンドを入力して、スキップルールを削除する引数を指定します。
b
Enter を押します。
指定した引数のすべてのスキップルールが削除されます。
McAfee Application Control 7.0.0
製品ガイド
105
7
トラブルシューティング
パスコンポーネントのスキップルール
106
McAfee Application Control 7.0.0
製品ガイド
A
よくある質問
以下では、よくある質問とその回答を示します。
Application Control をスタンドアロンから McAfee ePO 管理モードに切り替える方法を教えてください。
KnowledgeBase の次の記事を参照してください。
•
Windows プラットフォーム:KB69408
•
Linux プラットフォーム:KB74077
Change Control 製品を使用しています。この製品を Application Control にアップグレードしました。ア
ップグレードすると、ライセンスはどうなりますか？
Application Control のライセンスを追加して Change Control からアップグレードすると、共通の機能に
Application Control のデフォルトのステータスが設定されます。
ログメッセージとイベントの違いは何ですか？
イベントは、保護対象のシステムで行われたすべての変更に対して生成され、イベントシンクに保存されま
す。ログメッセージは、製品に関連したアクションとエラーに対して生成され、ログファイルに保存されま
す。詳細については、『イベントを使用して変更を確認する』と『ログファイルの設定』を参照してくださ
い。
Application Control の対応オペレーティングシステムを教えてください。
KnowledgeBase の記事 KB73341 を参照してください。
sadmin trusted -u コマンドと sadmin updaters add コマンドの違いは何ですか？
sadmin updaters add コマンドを使用すると、コンポーネントを更新プログラムとして実行できます。た
だし、更新プログラムとして追加する前に、以下のいずれかの方法でシステムでの実行をコンポーネントに許
可する必要があります。
•
コンポーネントをホワイトリストに追加する。
•
名前またはチェックサムでコンポーネントを許可する。
詳細については、『更新プログラムとは』を参照してください。
sadmin trusted -u コマンドを使用すると、特定のパスに更新プログラム特権を付与できます。このコマ
ンドにディレクトリパスを指定すると、このディレクトリ内のすべてのバイナリとスクリプトが更新プログラ
ムとして設定されます。詳細については、『信用されたディレクトリを追加する』を参照してください。
禁止ファイルの実行を許可する理由は何ですか？
定義済みのルールを適用するときに、ファイルに定義されたルールが統合または集約されます。このルールを
適用すると、以下の順番でファイルの実行を許可するかどうか判断されます。リスト内の順番は、それぞれの
方法が適用される優先順位を表します。
1
更新プログラムまたは信用されたユーザーに
よる実行
5
名前で禁止
2
チェックサムで禁止
6
名前で許可
McAfee Application Control 7.0.0
製品ガイド
107
A
よくある質問
3
チェックサムで許可
7
信用されたディレクトリから除外
4
証明書によって許可
8
ホワイトリストに追加
上記のいずれにも該当しない場合、ファイルの実行がブロックされます。たとえば、チャックサムでバイナリ
ファイルを禁止している場合、このファイルが更新プログラムまたは信用されたユーザーによって実行される
と、実行が許可されます。他のシナリオの場合、バイナリファイルはブロックされます。同様に、プログラ
ムがチェックサム値に基づいて許可されていても、名前によっては禁止されている場合、このプログラムは実
行を許可されます。
UNIX で変数を定義しました。この変数を使用して、Application Control または Change Control でルール
を定義できますか？
UNIX プラットフォームの場合、特定のディレクトリを参照するシステム変数は事前に定義されていません。
シェル変数を定義してシステムで使用することはできます。 Application Control または Change Control
をスタンドアロンで使用している場合、ユーザー定義のシェル変数を使用してルールを追加できます。たとえ
ば、MYDIR=/test 変数を定義して更新プログラムルール (sadmin updaters add -t <workflow id>
$MYDIR/updater) を追加すると、この変数に /test/updater が設定され、更新プログラムルールが追加
されます。
エンドポイントのソリディフィケーションまたはホワイトリストのステータスを確認する方法を教えてください。
エンドポイントのソリディフィケーションまたはホワイトリストのステータスを確認するには、次の手順に従
ってください。
1
エンドポイントの通知領域にある McAfee Agent アイコンを右クリックします。
2
[クイック設定]、[Application Control ソリディフィケーションステータス] の順に選択します。
[Application Control ソリディフィケーションステータス] ウィンドウが表示されます。
3
108
エンドポイントのステータスを確認して、[閉じる] をクリックします。
McAfee Application Control 7.0.0
製品ガイド
B
Application Control のイベントリスト
次の表では、Application Control 固有のイベント (名前、イベント ID、重大度、説明) について説明します。
名前の末尾に (_UPDATE) が付いているイベントは、更新モードで生成されています。
イベ
ント
ID
(シ
ステ
ム)
脅威イベンイベント名
ト ID
(McAfee
ePO)
重
大
度
説明
19
20718
PROCESS_TERMINATED
メ
ジ
ャ
ー
McAfee Solidifier が、API
'<string>' の不正呼び出しによるプ
ロセス <string> (プロセス ID:
<string>、ユーザー: <string>) のハ
イジャックを阻止しました。このプ
ロセスは終了しました。
20
20719
WRITE_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) によるファイル
'<string>' の変更を阻止しました。
21
20720
EXECUTION_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) による
'<string>' の未承認の実行を阻止し
ました。
29
20728
PROCESS_TERMINATED_UNAUTH_SYSCALL メ
ジ
ャ
ー
McAfee Solidifier が、<string> によ
って開始されたプロセス <string> に
よる不正な syscall %d (戻りアドレ
ス %d) を阻止しました。このプロセ
スは終了しました。
30
20729
PROCESS_TERMINATED_UNAUTH_API
メ
ジ
ャ
ー
McAfee Solidifier が、<string> によ
って開始されたプロセス <string> に
よる API <string> の不正アクセス
(戻りアドレス <string>) を阻止しま
した。このプロセスは終了しました。
49
20748
REG_VALUE_WRITE_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) によるレジスト
リキー '<string>' (値: '<string>')
の変更を阻止しました。
50
20749
REG_KEY_WRITE_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) によるレジスト
リキー '<string>' の変更を阻止しま
した。
McAfee Application Control 7.0.0
製品ガイド
109
B
110
Application Control のイベントリスト
イベ
ント
ID
(シ
ステ
ム)
脅威イベンイベント名
ト ID
(McAfee
ePO)
重
大
度
説明
51
20750
REG_KEY_CREATED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、ワー
クフロー ID: <string>) によるレジ
ストリキー '<string>' の作成を検出
しました。
52
20751
REG_KEY_DELETED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、ワー
クフロー ID: <string>) によるレジ
ストリキー '<string>' の削除を検出
しました。
54
20753
REG_VALUE_DELETED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、ワー
クフロー ID: <string>) によるレジ
ストリ (値 '<string>'、キー
'<string>') の削除を検出しました。
57
20756
OWNER_MODIFIED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、ワー
クフロー ID: <string>) による
'<string>' 所有者の変更を検出しま
した。
61
20760
PROCESS_HIJACKED
メ
ジ
ャ
ー
McAfee Solidifier が、アドレス
<string> からのプロセス <string>
への攻撃を検出しました。
62
20761
INVENTORY_CORRUPT
重
大
McAfee Solidifier が、ボリューム
<string> の内部インベントリの破損
を検出しました。修正するには、イン
ベントリを削除し、再度ボリュームを
固定化してください。
75
20774
FILE_CREATED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による '<string>' の
作成を検出しました。
76
20775
FILE_DELETED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による '<string>' の
削除を検出しました。
77
20776
FILE_MODIFIED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による '<string>' の
変更を検出しました。
79
20778
FILE_RENAMED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による名前変更
('<string>' から '<string>') を検出
しました。
McAfee Application Control 7.0.0
製品ガイド
Application Control のイベントリスト
B
イベ
ント
ID
(シ
ステ
ム)
脅威イベンイベント名
ト ID
(McAfee
ePO)
重
大
度
説明
80
20779
FILE_SOLIDIFIED
情
報
<string>' は固定化されています。プ
ログラム <string>(ユーザー:
<string>、ワークフロー ID:
<string>) によって作成されました。
82
20781
FILE_UNSOLIDIFIED
情
報
<string>' は固定化されていません。
プログラム <string>(ユーザー:
<string>、ワークフロー ID:
<string>) によって削除されました。
89
20788
READ_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) によるファイル
'<string>' の読み取りを阻止しまし
た。
96
20795
PKG_MODIFICATION_PREVENTED
重
大
McAfee Solidifier が、'<string>' (ユ
ーザー: '<string>') によるパッケー
ジの変更を阻止しました。
97
20796
PKG_MODIFICATION_ALLOWED_UPDATE
情
報
McAfee Solidifier が、'<string>' (ユ
ーザー: '<string>') によるパッケー
ジの変更を許可しました。 (ワークフ
ロー ID: <string>)
98
20797
PKG_MODIFICATION_PREVENTED_2
重
大
McAfee Solidifier が、'<string>' (ユ
ーザー: '<string>') によるパッケー
ジの変更を阻止しました。
99
20798
NX_VIOLATION_DETECTED
重
大
McAfee Solidifier が、プロセス
'<string>' (プロセス ID:
'<string>'、ユーザー: '<string>') の
ハイジャックを阻止しました。コード
ページ領域外のアドレスからコードの
実行が試行されました。エラーが発
生したアドレス '<string>'。このプ
ロセスは終了しました。
101
20800
REG_VALUE_MODIFIED_UPDATE
情
報
McAfee Solidifier が、プログラム
'<string>' (ユーザー: <string>、ワ
ークフロー ID: <string>) によるデ
ータ (<string>) を使用したレジスト
リ (値 '<string>'、タイプ
'<string>'、キー '<string>') の変更
を検出しました。
103
20802
FILE_READ_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による '<string>' の
読み取りを検出しました。
124
20823
INITIAL_SCAN_TASK_COMPLETED
情
報
McAfee Solidifier 初期スキャンタス
クが完了し、システムで Application
Control が施行されています。
126
20825
ACTX_ALLOW_INSTALL
情
報
McAfee Solidifier が、ActiveX
<string> のインストールを許可しま
した (ワークフロー ID: <string>、ユ
ーザー <string>)。
McAfee Application Control 7.0.0
製品ガイド
111
B
112
Application Control のイベントリスト
イベ
ント
ID
(シ
ステ
ム)
脅威イベンイベント名
ト ID
(McAfee
ePO)
重
大
度
説明
127
20826
ACTX_INSTALL_PREVENTED
メ
ジ
ャ
ー
McAfee Solidifier が、ActiveX
<string> のインストールを阻止しま
した (ワークフロー ID: <string>、ユ
ーザー <string>)。
129
20828
VASR_VIOLATION_DETECTED
重
大
McAfee Solidifier が、プロセス
'<string>' (プロセス ID:
'<string>'、ユーザー: '<string>') の
ハイジャックを阻止しました。再配置
不能な DLL '<string>' からコードの
実行が試行されました。エラーが発
生したアドレス '<string>'。ターゲ
ットアドレス '<string>'
McAfee Application Control 7.0.0
製品ガイド
C
短形式のコマンド
Application Control では、短形式のコマンドも使用できます。これらのコマンドは代替可能です。
コマンド
短形式
sadmin write-protect
sadmin wp
sadmin write-protect-reg
sadmin wpr
sadmin read-protect
sadmin rp
sadmin solidify
sadmin so
sadmin unsolidify
sadmin unso
sadmin list-solidified
sadmin ls
sadmin list-unsolidified
sadmin lu
sadmin begin-update
sadmin bu
sadmin end-update
sadmin eu
McAfee Application Control 7.0.0
製品ガイド
113
C
短形式のコマンド
114
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドラインインター
フェースのリファレンス
このセクションでは、Application Control のコマンドラインインターフェース (CLI) で使用可能なすべてのコマン
ドを説明します。
[OS] 列では、次の略称で対応オペレーティングシステムを表しています。
•
L － Linux
•
W － Windows
[モード] 列では、次の略称でコマンドの対応モードを表しています。
•
E －有効モード
•
D －無効モード
•
U －更新モード
表 D-1
コマンドの詳細
コマン
ド
説明
構文
OS
モード
attr
Application Control 設定の属性リストを表
示または変更します。
sadmin attr add -a
filename1 ... filenameN
L
E、D、U
sadmin attr add -p
filename1 ... filenameN
sadmin attr add -u
filename1 ... filenameN
sadmin attr add -o parent=
filename2 -p filename1
sadmin attr remove -a
filename1 ... filenameN
sadmin attr remove -p
filename1 ... filenameN
sadmin attr remove -u
filename1 ... filenameN
sadmin attr list -a
filename1 ... filenameN
sadmin attr list -p
filename1 ... filenameN
sadmin attr list -u
filename1 ... filenameN
sadmin attr flush -a
McAfee Application Control 7.0.0
製品ガイド
115
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
W (32 ビ
ット)
E、D、U
sadmin attr flush -p
sadmin attr flush -u
sadmin attr add -a
filename1 ... filenameN
sadmin attr add -b
filename1 ... filenameN
sadmin attr add -c
filename1 ... filenameN
sadmin attr add -f
filename1 ... filenameN
sadmin attr add -h
filename1 ... filenameN
sadmin attr add -o parent=
filename2 -i filename1
sadmin attr add -j
filename1 ... filenameN
sadmin attr add -l
filename1 ... filenameN
sadmin attr add -p
filename1 ... filenameN
sadmin attr add -u
filename1 ... filenameN
sadmin attr add -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr add -o parent=
filename2 -p filename1
sadmin attr add -o module=
modulename -v filename1
(Windows Vista 以降)
sadmin attr remove -a
filename1 ... filenameN
sadmin attr remove -b
filename1 ... filenameN
sadmin attr remove -c
filename1 ... filenameN
sadmin attr remove -f
filename1 ... filenameN
sadmin attr remove -h
filename1 ... filenameN
sadmin attr remove -i
filename1 ... filenameN
sadmin attr remove -j
filename1 ... filenameN
116
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin attr remove -l
filename1 ... filenameN
sadmin attr remove -p
filename1 ... filenameN
sadmin attr remove -u
filename1 ... filenameN
sadmin attr remove -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr list -a
filename1 ... filenameN
sadmin attr list -b
filename1 ... filenameN
sadmin attr list -c
filename1 ... filenameN
sadmin attr list -f
filename1 ... filenameN
sadmin attr list -h
filename1 ... filenameN
sadmin attr list -i
filename1 ... filenameN
sadmin attr list -j
filename1 ... filenameN
sadmin attr list -l
filename1 ... filenameN
sadmin attr list -p
filename1 ... filenameN
sadmin attr list -u
filename1 ... filenameN
sadmin attr list -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr flush -a
sadmin attr flush -b
sadmin attr flush -c
sadmin attr flush -f
sadmin attr flush -h
sadmin attr flush -i
sadmin attr flush -j
sadmin attr flush -l
McAfee Application Control 7.0.0
製品ガイド
117
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
W (64 ビ
ット)
E、D、U
sadmin attr flush -p
sadmin attr flush -u
sadmin attr flush -v
(Windows Vista 以降)
sadmin attr add -a
filename1 ... filenameN
sadmin attr add -h
filename1 ... filenameN
sadmin attr add -o parent=
filename2 -i filename1
sadmin attr add -j
filename1 ... filenameN
sadmin attr add -n
filename1 ... filenameN
sadmin attr add -n -y
filename1 (Windows Server
2012 では使用不可)
sadmin attr add -p
filename1 ... filenameN
sadmin attr add -u
filename1 ... filenameN
sadmin attr add -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr add -o parent=
filename2 -p filename1
sadmin attr add -o module=
modulename -v filename1
(Windows Vista 以降)
sadmin attr remove -a
filename1 ... filenameN
sadmin attr remove -h
filename1 ... filenameN
sadmin attr remove -i
filename1 ... filenameN
sadmin attr remove -j
filename1 ... filenameN
sadmin attr remove -n
filename1 ... filenameN
sadmin attr remove -p
filename1 ... filenameN
118
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin attr remove -u
filename1 ... filenameN
sadmin attr remove -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr list -a
filename1 ... filenameN
sadmin attr list -h
filename1 ... filenameN
sadmin attr list -i
filename1 ... filenameN
sadmin attr list -j
filename1 ... filenameN
sadmin attr list -n
filename1 ... filenameN
sadmin attr list -p
filename1 ... filenameN
sadmin attr list -u
filename1 ... filenameN
sadmin attr list -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr flush -a
sadmin attr flush -h
sadmin attr flush -i
sadmin attr flush -j
sadmin attr flush -n
sadmin attr flush -p
sadmin attr flush -u
sadmin attr flush -v
(Windows Vista 以降)
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『メモリー保護技
術の設定』と『システムを保守する』でスタンドアロンモードの説明を参照してください。
auth
ホワイトリストに追加してアプリケーション
(実行ファイル、インストーラー、バッチファ
イル) を許可します。あるいは、ブラックリス
トに追加してアプリケーションをブロックし
ます。アプリケーションは、ローカルからだ
けでなく、共有ドライブからインストールさ
れたり、実行される可能性があります。
sadmin auth -a -c checksum W
E、D、U
sadmin auth -a [ -t rule
id ] -c checksum
sadmin auth -a [ -t rule
id ] [ -u ] -c checksum
sadmin auth -b -c checksum
McAfee Application Control 7.0.0
製品ガイド
119
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin auth -b [ -t rule
id] -c checksum
sadmin auth -r checksum
sadmin auth -l
sadmin auth -f
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の保護を上書きする』で、スタンドアロンモードの説明を参照してください。
begi
n-upd
ate
(bu)
更新モードを開始し、ソフトウェアの更新と sadmin begin-update
L、W
[ workflow-id [ comment ]]
インストールを実行します。
E、D
sadmin bu [ workflow-id
[ comment ]]
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロンモードの説明を参照してください。
cert
デジタル署名ファイルの証明書を管理しま
す。 Application Control 証明書ストアで証
明書の追加、削除、表示を行うことができま
す。このストアは、インストールディレクト
リのサブフォルダー (<インストールディレ
クトリ>/Certificates にあります。
sadmin cert add
certificate_name
W
E、D、U
sadmin cert add -u
certificate_name
sadmin cert add -c
certificate_content
sadmin cert remove SHA1
sadmin cert remove -c
certificate_content
sadmin cert list
sadmin cert list -d
sadmin cert list -u
sadmin cert list [ -d
| -u ]
sadmin cert flush
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の保護を上書きする』で、スタンドアロンモードの説明を参照してください。
check
指定したファイルの属性をファイルインベ
ントリと比較し、修正します。
sadmin check [ -r ]
L、W
E、D、U
sadmin check [ -r ]
filename1 ... filenameN
sadmin check [ -r ]
directoryname1 ...
directorynameN
sadmin check [ -r ]
volumename1 ...
volumenameN
120
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロンモードの説明を参照してください。
confi
g
sadmin config export
• 現在の設定をファイルにエクスポートしま filename
す。
sadmin config import
• ファイルに保存されている設定をインポー [ -a ] filename
次の処理を実行できます。
トします。
L、W
E、D、U
sadmin config set
name=value
sadmin config show
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『高度な機能を設
定する』で、スタンドアロンモードの説明を参照してください。
diag
診断を行い、承認するプログラムとアプリケ sadmin diag
ーションに関する推奨事項を表示します (更
sadmin diag fix [ -f ]
新を実行する場合もあります)。
W
E、U
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロンモードの説明を参照してください。
disab
le
sadmin disable
無効モードに切り替えます。コマンドの結
果を適用するには、システムを再起動します。
Linux プラットフォームの場合、Application
Control を有効にするためにシステムを再起
動する必要はありません。ただし、製品を削
除する場合には、システムの再起動が必要で
す。
L、W
E、U
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロンモードの説明を参照してください。
enabl
e
sadmin enable
有効モードに切り替えます。コマンドの結
果を適用するには、システムを再起動します。
あるいは、Application Control サービスを
再起動します。ただし、メモリー保護機能を
使用するには、システムの再起動が必要です。
L、W
D
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロンモードの説明を参照してください。
end-u
pdate
(eu)
更新モードを終了し、有効モードに切り替え sadmin end-update
ます。
sadmin eu
L、W
U
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロンモードの説明を参照してください。
event
イベントを生成するログターゲット (シン
ク) を設定します。
sadmin event sink
L、W
E、D、U
sadmin event sink
eventname
sadmin event sink -a
{ eventname | ALL }
{ sinkname | ALL }
McAfee Application Control 7.0.0
製品ガイド
121
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin event sink -r
{ eventname | ALL }
{ sinkname | ALL }
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『高度な機能を設
定する』で、スタンドアロンモードの説明を参照してください。
featu
res
既存のインストール先で機能を有効または無 sadmin features [-d]
効にします。機能の一覧を表示することもで
sadmin features enable
きます。
featurename
L、W
E、D、U
sadmin features disable
featurename
sadmin features list
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロンモードの説明を参照してください。
help
基本的なコマンドの情報を表示します。
sadmin help
L、W
E、D、U
sadmin help [ command ]
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『準備』で、スタ
ンドアロンモードの説明を参照してください。
hel
p-adv
anced
高度なコマンドの情報を表示します。
sadmin help-advanced
L、W
E、D、U
sadmin help-advanced
[ command ]
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『準備』で、スタ
ンドアロンモードの説明を参照してください。
licen
se
ライセンス情報を追加または表示します。
sadmin license add
licensekey
L、W
D
sadmin license list
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロンモードの説明を参照してください。
lis
t-sol
idifi
ed
(ls)
ホワイトリストに登録されたファイル、ディ sadmin list-solidified
レクトリ、ボリュームの一覧を表示します。 [ -l ]
L、W
E、D、U
sadmin ls [ -l ]
sadmin list-solidified
[ -l ] filename1 ...
filenameN
sadmin ls [ -l ]
filename1 ... filenameN
sadmin list-solidified
[ -l ] directoryname1 ...
directorynameN
sadmin ls [ -l ]
directoryname1 ...
directorynameN
122
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin list-solidified
[ -l ] volumename1 ...
volumenameN
sadmin ls [ -l ]
volumename1 ...
volumenameN
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロンモードの説明を参照してください。
lis
t-uns
olidi
fied
(lu)
sadmin list-unsolidified
ホワイトリストに登録されていないファイ
ル、ディレクトリ、ボリュームの一覧を表示
sadmin lu
します。
L、W
E、D、U
sadmin list-unsolidified
filename1 ... filenameN
sadmin lu filename1 ...
filenameN
sadmin list-unsolidified
directoryname1 ...
directorynameN
sadmin lu
directoryname1 ...
directorynameN
sadmin list-unsolidified
volumename1 ...
volumenameN
sadmin lu volumename1 ...
volumenameN
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロンモードの説明を参照してください。
lockd
own
sadmin lockdown
ローカルのコマンドラインインターフェー
スを無効にします。ロックダウン後に実行
できるコマンドは、help、help‑advanced、
status、version、recover だけです。
passw
d
コマンドラインインターフェースのパスワ
ードを設定します。
パスワードを設定した場合、重要なコマンド
が実行される前にパスワードを確認されま
す。
sadmin passwd
L、W
E、D、U
L、W
E、D、U
sadmin passwd -d
パスワードを削除するには、sadmin
passwd -d コマンドを実行します。
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『高度な機能を設
定する』で、スタンドアロンモードの説明を参照してください。
rea
d-pro
tect
(rp)
sadmin read-protect -i
読み取り保護ルールを表示または変更しま
pathname1 ... pathnameN
す。このコマンドには完全なファイル名ま
たはディレクトリ名を指定する必要がありま
sadmin read-protect -e
す。
pathname1 ... pathnameN
McAfee Application Control 7.0.0
L、W
E、D、U
製品ガイド
123
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
rp コマンドの詳細については、『McAfee
sadmin read-protect -r
Application Control 7.0.0 製品ガイド』の pathname1 ... pathnameN
『ファイルシステムコンポーネントを保護す
る』で、スタンドアロンモードの説明を参照 sadmin read-protect -l
してください。
sadmin read-protect -f
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『ファイルシステ
ムコンポーネントを保護する』で、スタンドアロンモードの説明を参照してください。
recov
er
ローカルのコマンドラインインターフェー
スを復旧します。
sadmin recover
L、W
E、D、U
W
E、D、U
sadmin recover -f
skipl
ist
機能によって適用された保護対策を削除する
ときに、指定されたパスコンポーネントを除
外します。スキップルールを定義して、パス
コンポーネントをホワイトリストから除外す
ることもできます。スキップリストルール
を適用する場合には、McAfee サポートの指
示に従い、慎重に行ってください。この操作
を行うと、製品のコア機能に影響を及ぼし、
セキュリティ脅威に対して脆弱になる可能性
があります。スキップリストルールの詳細
については、『McAfee Application Control
7.0.0 製品ガイド』の『パスコンポーネント
のルールをスキップする』で、スタンドアロ
ンモードの説明を参照してください。
sadmin skiplist add -c
pathname1 ... pathnameN
sadmin skiplist add -d
pathname1 ... pathnameN
sadmin skiplist add -f
pathname1 ... pathnameN
sadmin skiplist add -i
pathname1 ... pathnameN
sadmin skiplist add -r
pathname1 ... pathnameN
sadmin skiplist add -s
pathname1 ... pathnameN
sadmin skiplist add -v
pathname1 ... pathnameN
sadmin skiplist remove -c
pathname1 ... pathnameN
sadmin skiplist remove -d
pathname1 ... pathnameN
sadmin skiplist remove -f
pathname1 ... pathnameN
sadmin skiplist remove -i
pathname1 ... pathnameN
sadmin skiplist remove -r
pathname1 ... pathnameN
sadmin skiplist remove -s
pathname1 ... pathnameN
sadmin skiplist remove -v
pathname1 ... pathnameN
sadmin skiplist list -c
sadmin skiplist list -d
sadmin skiplist list -f
sadmin skiplist list -i
sadmin skiplist list -r
sadmin skiplist list -s
sadmin skiplist list -v
124
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
L、W
E、D、U
sadmin skiplist flush -c
sadmin skiplist flush -d
sadmin skiplist flush -f
sadmin skiplist flush -i
sadmin skiplist flush -r
sadmin skiplist flush -s
sadmin skiplist flush -v
solid
ify
(so)
sadmin solidify [ -q
ディレクトリまたはシステムボリューム内
のファイルをホワイトリストに追加します。 | -v ]
sadmin solidify [ -q
| -v ] filename1 ...
filenameN
sadmin solidify [ -q
| -v ] directoryname1 ...
directorynameN
sadmin solidify [ -q
| -v ] volumename1 ...
volumenameN
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロンモードの説明を参照してください。
statu
s
Application Control のステータスを表示し sadmin status
ます。動作モード、システム再起動時の動作
sadmin status volumename
モード、McAfee ePolicy Orchestrator
(McAfee ePO ) との接続、ローカル CLI ア
クセスステータスとホワイトリストステー
タスを確認できます。
®
L、W
E、D、U
®
™
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロンモードの説明を参照してください。
trust
ed
信用されたファイルパス、ボリュームまたは
ディレクトリとしてローカルまたはリモート
の共有を設定します。信用されたボリュー
ムまたはディレクトリの追加、除外、一覧表
示、消去を行うことができます。
sadmin trusted -i
pathname1 ... pathnameN
L
E、D、U
W
E、D、U
sadmin trusted -e
pathname1 ... pathnameN
sadmin trusted -r
pathname1 ... pathnameN
sadmin trusted -l
sadmin trusted -f
sadmin trusted -i
volumesetname1 ...
volumesetnameN
sadmin trusted -i
pathname1 ... pathnameN
McAfee Application Control 7.0.0
製品ガイド
125
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin trusted -e
volumesetname1 ...
volumesetnameN
sadmin trusted -e
pathname1 ... pathnameN
sadmin trusted -r
volumesetname1 ...
volumesetnameN
sadmin trusted -r
pathname1 ... pathnameN
sadmin trusted -l
sadmin trusted -f
sadmin trusted -u <local
or network path>
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の保護を上書きする』で、スタンドアロンモードの説明を参照してください。
unsol
idify
(unso
)
指定したファイルをホワイトリストから削除 sadmin unsolidify [ -v ]
します。
sadmin unsolidify [ -v ]
filename1 ... filenameN
L、W
E、D、U
sadmin unsolidify [ -v ]
directoryname1 ...
directorynameN
sadmin unsolidify [ -v ]
volumename1 ...
volumenameN
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロンモードの説明を参照してください。
updat
ers
認証済み更新プログラムのリストにプログラ sadmin updaters add [ -d ] L
ムを追加したり、リストから削除または消去 { binaryname }
します。
sadmin updaters add [ -n ]
{ binaryname }
E、D、U
sadmin updaters add [ -p
parent-programname ]
{ binaryname }
sadmin updaters add [ -t
rule-id ] { binaryname }
sadmin updaters add [ -d ]
[ -n ] [ -t rule-id ] [ -p
parent-programname ]
{ binaryname }
sadmin updaters remove
{ binaryname }
126
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin updaters remove
[ -p parent-programname ]
{ binaryname }
sadmin updaters list
sadmin updaters flush
sadmin updaters add [ -d ] W
{ binaryname }
E、D、U
sadmin updaters add [ -l
libraryname ]
{ binaryname }
sadmin updaters add [ -n ]
{ binaryname }
sadmin updaters add [ -p
parent-binaryname ]
{ binaryname }
sadmin updaters add [ -t
rule-id ] { binaryname }
sadmin updaters add [ -d ]
[ -n ] [ -t rule-id ] [ -l
libraryname ]
{ binaryname }
sadmin updaters add [ -d ]
[ -n ] [ -t rule-id ] [ -p
parent-binaryname ]
{ binaryname }
sadmin updaters add [ -t
rule-id ] -u username
sadmin updaters remove
{ binaryname }
sadmin updaters remove
[ -l libraryname ]
{ binaryname }
sadmin updaters remove
[ -p parent-binaryname ]
{ binaryname }
sadmin updaters remove -u
username
sadmin updaters list
sadmin updaters flush
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の保護を上書きする』で、スタンドアロンモードの説明を参照してください。
versi
on
インストールされている Application
Control のバージョンを表示します。
McAfee Application Control 7.0.0
sadmin version
L、W
E、D、U
製品ガイド
127
D
Application Control コマンドラインインターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロンモードの説明を参照してください。
writ
e-pro
tect
(wp)
指定したファイルに書き込み保護を設定しま
す。ホワイトリストに登録されたファイルも
指定できます。このコマンドには完全なフ
ァイル名またはディレクトリ名を指定する必
要があります。
sadmin write-protect -i
pathname1 ... pathnameN
L、W
E、D、U
sadmin write-protect -e
pathname1 ... pathnameN
sadmin write-protect -r
pathname1 ... pathnameN
sadmin write-protect -l
sadmin write-protect -f
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『ファイルシステ
ムコンポーネントを保護する』で、スタンドアロンモードの説明を参照してください。
writ
e-pro
tec
t-reg
(wpr)
sadmin
指定したレジストリキーに書き込み保護を
設定します。ホワイトリストに登録されたレ write-protect-reg -i
registrykeyname1 ...
ジストリキーも指定できます。
registrykeynameN
W
E、D、U
sadmin
write-protect-reg -e
registrykeyname1 ...
registrykeynameN
sadmin
write-protect-reg -r
registrykeyname1 ...
registrykeynameN
sadmin
write-protect-reg -l
sadmin
write-protec
t-reg -f
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『ファイルシステ
ムコンポーネントを保護する』で、スタンドアロンモードの説明を参照してください。
128
McAfee Application Control 7.0.0
製品ガイド
E
引数の詳細
以下の表では、コマンドで使用可能な引数について説明します。 [引数] 列に、コマンドで使用可能な引数を英字順
に示します。
-z 引数を使用すると、パスワード入力のプロンプトを非表示にできます。この引数はすべての CLI コマンドで使用
できます。この引数に CLI パスワードを指定すると、パスワード入力のプロンプトは表示されません。たとえば、
CLI パスワードを設定して sadmin wp -i abc.txt コマンドを実行すると、パスワードを要求するプロンプトが
表示されます。 -z 引数を使用して sadmin wp -z <パスワード> -i abc.txt コマンドを実行すると、パスワー
ドの入力は要求されません。
表 E-1
引数の詳細
コマンド
引数
説明
attr
-a
常にファイル名で承認します。これは非推奨の手法です。詳細につい
ては、McAfee サポートに確認してください。
-b
難号化技術で保護されているコンポーネントにバイパス、復元、リス
ト、消去ルールを設定します。これは非推奨の手法です。詳細につい
ては、McAfee サポートに確認してください。
-c
重要なアドレス空間保護で保護されているコンポーネントにバイパス、
復元、リスト、消去ルールを設定します。
-f
フルクロール属性から除外します。これは非推奨の手法です。詳細
については、McAfee サポートに確認してください。
-h
MP Compat 保護にバイナリを追加します。
-i
パッケージコントロール機能で保護されているバイナリにバイパス、
復元、リスト、消去ルールを設定します。
-j
MP Compat 保護からバイナリを除外します。
-l
アンチデバッグ技術で保護されているコンポーネントにバイパス、復
元、リスト、消去ルールを設定します。これは非推奨の手法です。詳
細については、McAfee サポートに確認してください。
-n
mp-nx 技術で保護されているコンポーネントにバイパス、復元、リス
ト、消去ルールを設定します。
-y
mp-nx 機能から除外するコンポーネントの子プロセスを追加します。
この引数は、-n と一緒に指定する必要があります。
-o
プロセスの DLL モジュール名を指定します。この引数は、-p、-v、-i
引数と一緒に使用できます。 Linux プラットフォームの場合、この引
数に -p 属性の親プログラムを指定します。
-p
プロセスのコンテキストファイル操作属性から除外します。
-u
常にファイル名で未承認にします。これは非推奨の手法です。詳細に
ついては、McAfee サポートに確認してください。
-v
強制 DLL 再配置属性から除外します。
-a
チェックサム値でバイナリを承認します。
auth
McAfee Application Control 7.0.0
製品ガイド
129
E
引数の詳細
表 E-1
引数の詳細 (続き)
コマンド
begin-update (bu)
引数
説明
-b
チェックサム値でバイナリを禁止します。
-c
チェックサム値を指定します。
-f
承認済みバイナリまたは禁止バイナリをすべて消去します。
-l
承認済みバイナリと禁止バイナリの一覧を表示します。
-r
承認済みバイナリまたは禁止バイナリを削除します。
-t
禁止するバイナリに関連するタグ名を追加します。
-u
-a と -c 属性と一緒に使用し、バイナリを承認して更新プログラム権
限を設定します。
workflow-id 更新モードに切り替える場合に ID を指定します。この ID は、チケッ
ティングシステムの変更管理で使用されます。
comment
ワークフロー ID の説明を指定します。
-c
信用された証明書を指定します。
-d
システムに追加されたシステムの発行者とサブジェクトの詳細を表示
します。
-u
信用された証明書として追加された証明書に更新プログラム権限を設
定します。あるいは、信用された証明書の中で更新プログラム権限が設
定されている証明書を表示します。
check
-r
検出された矛盾を修正します。
config
-a
設定値を付加します。
diag
-f
診断後に winlogon.exe、svchost.exe などの制限付きプログラム
に対する設定の変更を適用します。
disable
NA
NA
enable
NA
NA
end-update (eu)
NA
NA
event
-a
指定したイベントにシンクを追加します。
-r
指定したイベントからシンクを削除します。
cert
features
-d
すべての機能 (非表示の機能を含む) を表示します。
詳細については、McAfee サポートに確認してください。
130
help
NA
NA
help-advanced
NA
NA
license
NA
NA
list-solidified
(ls)
-l
ホワイトリストに登録されたファイルの詳細を表示します。
list-unsolidified
(lu)
NA
NA
lockdown
NA
NA
passwd
-d
Application Control で使用するパスワードを削除します。
read-protect (rp)
-e
読み取り保護対象のディレクトリまたはボリュームから特定のコンポ
ーネントを除外します。
-f
読み取り保護からすべてのコンポーネントを消去します。
-i
読み取り保護にファイル、ディレクトリまたはボリュームを追加しま
す。
McAfee Application Control 7.0.0
製品ガイド
E
引数の詳細
表 E-1
引数の詳細 (続き)
コマンド
引数
説明
-l
読み取り保護のコンポーネントを表示します。
-r
ファイル、ディレクトリまたはボリュームに適用されている読み取り保
護を削除します。
recover
-f
McAfee ePO コマンドを強制的に終了し、ローカルの CLI を復旧しま
す。
skiplist
-c
パスコンポーネントをモニタリングの対象外にします。このコマンド
は、Application Control が更新モードで稼動し、変更の追跡が有効に
なっている場合にのみ使用できます。このコマンドにユーザーモード
のパスとボリューム名のパスの両方を指定することはできません。
このコマンドに追加したテキストは、完全なコンポーネントとして処理
されます。たとえば、テキストはスラッシュ (/) で開始し、スラッシ
ュ (\)、ドット (.) または NULL 文字で終了する必要があります。
指定したテキストを含むファイルにイベントは生成されません。ま
た、このようなパスはホワイトリストで更新されません。
-d
パスコンポーネントを書き込み保護の対象外にし、パス上のファイル
に適用された書き込み保護がすべて削除されます。このコマンドにユ
ーザーモードのパスとボリューム名のパスの両方を指定することはで
きません。
このコマンドに追加したテキストは、完全なコンポーネントとして処理
されます。たとえば、テキストはスラッシュ (/) で開始し、バックス
ラッシュ (\)、ドット (.) または NULL 文字で終了する必要がありま
す。
-f
パスコンポーネントをファイル操作とスクリプト許可機能の対象外に
します。
このコマンドにユーザーモードのパスとボリューム名のパスの両方を
指定することはできません。
このコマンドに追加したテキストは、パスのサブ文字列として処理され
ます。除外されたパスコンポーネントにイベントは発生しません。ホ
ワイトリストも更新されません。このコマンドに追加したパスでは、
スクリプト実行制御も機能しません。
-i
除外パスリストを使用して、パスコンポーネントをファイル操作の対
象外にします。この動作は、sadmin add -f コマンドに似ています。
Windows 64 ビットプラットフォームの場合、このスキップルールを
使用すると、pe32 タイプのバイナリも実行拒否機能の対象外になりま
す。このスキップルールを有効にするには、システムの再起動が必要
になります。
このコマンドにユーザーモードのパスとボリューム名のパスの両方を
指定することはできません。
Windows 64 ビットプラットフォームでパスコンポーネントを指定
すると、実行拒否機能がスキップされます。
-r
レジストリパスをレジストリの書き込み保護から除外し、レジストリ
パスに適用された書き込み保護を削除します。
このコマンドに追加したテキストは、完全なコンポーネントとして処理
されます。たとえば、テキストはスラッシュ (/) で開始し、バックス
ラッシュ (\)、ドット (.) または NULL 文字で終了する必要がありま
す。
McAfee Application Control 7.0.0
製品ガイド
131
E
引数の詳細
表 E-1
引数の詳細 (続き)
コマンド
引数
説明
-s
指定したパスコンポーネントとそのサブディレクトリにあるファイル
をホワイトリストから削除します。
このコマンドにネットワークパス名は指定できません。 *\<vol_rel
_name> を使用して、ボリューム相対ルールを指定することもできま
す。
-v
Application Control に接続しているボリュームを除外します。引数
に NTFS、FAT などのファイルシステムを指定することもできます。
この引数にボリューム名を指定すると、Application Control はこのボ
リュームに接続しません。指定したボリュームでスクリプト許可機能
と実行拒否機能も無効になります。このボリュームのコンポーネント
は、システムでの実行が許可されます。
ユーザーモードのボリューム名 (C:、D: など) を使用して、パスコン
ポーネントを指定できます。 \device\harddiskvolume1 などのデ
バイス名と NTFS や FAT などのファイルシステムも指定できます。
solidify (so)
-q
エラーを除く出力をすべて抑止します。
-v
処理済みのコンポーネントをすべて表示します。
status
NA
NA
trusted
-e
ディレクトリまたはボリュームの特定のパスを信用されたディレクト
リまたはボリュームのリストから除外します。
-f
信用されたルールからすべてのディレクトリとボリュームを削除しま
す。
-i
ディレクトリまたはボリュームの特定のパスを信用されたディレクト
リまたはボリュームとして追加します。
-l
信用されたディレクトリとボリュームをすべて表示します。
-r
信用されたルールから特定のディレクトリとボリュームを削除します。
-u
信用されたディレクトリまたはボリュームにあるすべてのバイナリと
スクリプトに更新プログラム権限を設定します。
unsolidify (unso)
-v
処理済みのコンポーネントをすべて表示します。
updaters
-d
更新プログラムとして追加されたバイナリファイルの子プロセスに更
新プログラム権限を継承しません。
-l
更新プログラムとして追加する実行ファイルのライブラリ名を追加し
ます (Windows の場合)。
-n
更新プログラムとして追加されるファイルのイベントロギングを無効
にします。
-p
指定された親プロセスによって開始された場合にのみ、更新プログラム
としてファイルを追加します。
-t
次の操作を実行します。
• 更新プログラムとして追加されるファイルにタグを追加します。
• タグ名を使用してユーザーを更新プログラムとして追加します。
132
-u
更新プログラムとしてユーザーを追加します (Windows の場合)。
version
NA
NA
write-protect (wp)
-e
書き込み保護対象のディレクトリまたはボリュームから特定のコンポ
ーネントを除外します。
-f
書き込み保護からすべてのコンポーネントを消去します。
McAfee Application Control 7.0.0
製品ガイド
E
引数の詳細
表 E-1
引数の詳細 (続き)
コマンド
write-protect-reg
(wpr)
McAfee Application Control 7.0.0
引数
説明
-i
ファイル、ディレクトリまたはボリュームに書き込み保護を設定しま
す。
-l
書き込み保護が設定されたコンポーネントを表示します。
-r
ファイル、ディレクトリまたはボリュームに適用されている書き込み保
護を削除します。
-e
書き込み保護から 1 つ以上のレジストリキーを除外します。
-f
書き込み保護からすべてのレジストリキーを消去します。書き込み保
護からレジストリキーを消去すると、レジストリキーに適用されてい
る書き込み保護ルールがすべて削除されます。
-i
レジストリキーに書き込み保護を設定します。
-l
書き込み保護が設定されたすべてのレジストリキーを表示します。
-r
1 つ以上のレジストリキーから書き込み保護を削除します。
製品ガイド
133
E
引数の詳細
134
McAfee Application Control 7.0.0
製品ガイド
索引
A
McAfee サポート (続き)
Active Directory の問題 89
収集、情報 84
ActiveX コントロール
情報の収集 83
ログファイル 76
許可 50
ブロック 50
無効 51
Application Control
N
No Execute (NX)
インストールの前提条件、ScAnalyzer 77
概要 53
エラーメッセージ 95
設定 56
概要 9
機能 9, 10, 66
コマンド 113
使用 9
ステータス 16, 59
バージョン 59
配備ワークフロー 13, 15
R
Return-Oriented Programming (ROP) 53
S
sadmin
エラーメッセージ 96
ホワイトリスト 16
開く 15
無効 81
有効または無効、パスワード保護 72
モード 14
有効 17
利点 9
ロックダウンと復旧、ステータス 59
ScAnalyzer ユーティリティ 77, 94
ScGetCerts ユーティリティ 37, 38
ServicePortal、製品マニュアルの検索 8
F
Finetune ユーティリティ
更新、デフォルトの更新プログラム 34
定義 34
デフォルトの更新プログラム 30
あ
アドレス空間ランダム化 (ASLR) 53
アドレス空間ランダム化 (VASR) 56
アプリケーション
インストールエラー 90
G
実行エラー 91
GatherInfo ユーティリティ 83
バイパスルール、プロセスのコンテキストファイル操作 100
パフォーマンスの問題 92
M
McAfee ServicePortal、アクセス 8
い
McAfee Solidifier コマンドライン
イベント
エラーメッセージ 96
イベントキャッシュサイズの設定 74
開く 15
イベントシンクの設定 73
有効または無効、パスワード保護 72
イベントリストの表示 109
ロックダウンと復旧、ステータス 59
概要 73
McAfee サポート
制限の定義、イベントキャッシュ 75
GatherInfo ログ 83
追加と削除、AEF 64
確認、廃止されたメモリー保護技術 53
表示 75
McAfee Application Control 7.0.0
製品ガイド
135
索引
イベント (続き)
更新プログラム (続き)
フラッド 95
消去 36
証明書 37
インストーラー
エラーメッセージ、実行 97
推奨プログラムの追加、更新プログラムの検出 35
実行 69
追加 32
設定、パッケージコントロール 70
追加するタイミング 29
チェックサム値 42
追加対象 30
追加、更新プログラムとして 32
定義と要件 29
パッケージコントロールモード 70
デフォルトの更新プログラム 29, 30, 34
引数 32
インストール
更新プログラムとして追加 30
ファイルチェックサムの指定 33
インタープリター 51, 52
ファイル名の指定 33
インベントリ、参照:ホワイトリスト
リスト 35
リスト、更新プログラム権限のある証明書 40
え
更新プログラムの検出機能 35
エラー
更新モード
Application Control のインストール 94
概要 27
スタートアップ 85
切り替えと終了 72
緊急時の変更 71
エラーメッセージ 95
説明 14
か
このガイドで使用している表記規則とアイコン 7
書き込み拒否機能 19–23
書き込み保護
アクションの防止 19
このガイドについて 7
コマンド、短形式 113
コマンドラインインタープリター、sadmin
エラーメッセージ 96
機能 20
開く 15
削除 21, 23
有効または無効、パスワード保護 72
消去 21, 23
ロックダウンと復旧、ステータス 59
除外 21, 22
追加、スキップルール 102
コンテキストファイル操作の処理
バイパスルールの削除 101
適用 21
リスト 21, 23
仮想アドレス空間ランダム化 (VASR)
概要 53
し
システムイメージ 84
監視モード 14
システムクラッシュ
Linux 88
Windows 87
き
自己書き換えドライバー 86
機能
破損、ホワイトリスト 87
確認 67
ハング 93
管理 66
有効または無効 68
実行ファイル
タグ名 32
脅威の優先度、ホワイトリスト 16
追加、更新プログラムとして 32
強制 DLL 再配置
重要なアドレス空間保護 (CASP)
概要 53
概要 53
設定 56
設定 55
障害
こ
トラブルシューティング 83
更新プログラム
Finetune ユーティリティ 30, 34
概要 27, 29
詳細除外フィルター (AEF)
概要 63
追加と削除 64
権限の問題 94
更新プログラムとして承認されたバイナリ 42
リスト 66
削除 35, 36
136
McAfee Application Control 7.0.0
製品ガイド
索引
スレッドの優先度、ホワイトリスト 61
承認
証明書 37, 38
バイナリ、チェックサム値 42
せ
ファイルとプログラム 27
セーフモード 85
証明書
設定パラメーター
ActiveX コントロール 50
エクスポートまたはインポート、設定 80
ScGetCerts ユーティリティ 37, 38
表示 79
更新プログラムとして追加 30
変更 81
削除 41
サポートされる証明書 38
信用された証明書 27, 37, 38, 41
信用できる証明書 40
対応の証明書 30
抽出 37
追加 38
追加、更新プログラムとして 32
表示 40
信用されたディレクトリ
た
対応オペレーティングシステム 107
ダイナミックリンクライブラリ (DLL)
強制 DLL 再配置 56
短形式、コマンド 113
ち
チェックサム値
概要 27
概要 27
削除 47
指定 33
除外 47
承認または禁止されたバイナリの削除 43
追加 46
バイナリの禁止 43
リスト 47
バイナリの承認 42
リスト、承認または禁止されたバイナリ 43
信用されたユーザー
概要 27, 48
削除 49
て
追加 48
ディレクトリ
リスト 49
書き込み保護 19, 21
信用できるディレクトリ
削除、ホワイトリスト 61
概要 45
信用されたディレクトリ 27
追加 45
信用できるディレクトリ 45–47
信用できるボリューム 46
追加、ホワイトリスト 61
読み取り保護 19, 24
す
リスト、書き込み保護 23
リスト、ホワイトリスト 62
推奨事項
リスト、読み取り保護 25
維持、ホワイトリスト 61
機能の有効化または無効化 68
データ実行防止 (DEP) 53
更新プログラム権限、証明書 37
テクニカルサポート、製品情報の検索 8
承認、プログラムまたはファイル 27
デフォルトの更新プログラム
Finetune ユーティリティ 30
バイパスルール、プロセスのコンテキストファイル操作 100
更新、Finetune ユーティリティの使用 34
スクリプト
インタープリター 52
市販 (COTS) のアプリケーション 30
エラーメッセージ、実行 97
追加対象 30
更新プログラムとして追加 30
定義 29
設定、インタープリター 51
追加、更新プログラムとして 32
追加、スキップルール 102
ネットワークディレクトリでの実行 45
バイパスルール、プロセスのコンテキストファイル操作 100
ステータス
Application Control 59
ホワイトリスト 16
McAfee Application Control 7.0.0
と
動作モード、推奨 70
ドキュメント
このガイドの対象読者 7
表記規則とアイコン 7
ドライバー
破損、ホワイトリストの問題 87
製品ガイド
137
索引
ドライバー (続き)
ふ
ホワイトリスト 87
ファイル
ドライブ
エラーメッセージ、実行 97
書き込み保護 19, 21
書き込み保護 19, 21
ホワイトリストのステータス 16
禁止、チェックサム値 43
読み取り保護 19, 24
更新プログラムとして追加 30, 33
リスト、書き込み保護 23
削除、承認または禁止 43, 45
リスト、読み取り保護 25
削除、ホワイトリスト 61
承認 27
ね
ショウニン、チェックサム値 42
ネットワーク追跡機能 45
属性の変更 19
抽出、証明書 37
は
追加、更新プログラムとして 32
バイナリ
追加、スキップルール 101, 102
エラーメッセージ、実行 97
追加、タグ 32
禁止、チェックサム値 43
追加と削除、AEF 64
更新プログラムとして追加 30
追加、ホワイトリスト 61
承認、チェックサム値 42
適用、メモリー保護 53
抽出、証明書 37
名前で許可 44
追加、更新プログラムとして 32
名前で禁止 44
適用、メモリー保護 53
ネットワークディレクトリでの実行 45
名前で許可 44
バイパスルール、プロセスのコンテキストファイル操作 100
名前で禁止 44
ファイルシステムの表示 59
名前で承認 43
読み取り保護 19, 24
ネットワークディレクトリでの実行 45
リスト、書き込み保護 23
削除、承認または禁止 43, 45
リスト、承認または禁止 43, 44
リスト、承認または禁止 43, 44
リスト、ホワイトリスト 62
リスト、読み取り保護 25
配備
ログ 76
Application Control 15
複数のシステム 79
ワークフロー 13
パス
ブルースクリーン
Linux 88
Windows 87
自己書き換えドライバー 86
イベント 75
ガイドライン 46
信用 89
破損、ホワイトリスト 87
プログラム、承認 27
プロセス
絶対パス 33
更新プログラムとして追加 30
相対パス 33
追加、更新プログラムとして 32
追加、スキップルール 101, 102
追加と削除、AEF 64
リスト、スキップルール 104
適用、メモリー保護 53
ログファイル 76
問題、更新プログラム権限 94
パスワード保護 72
パッケージコントロール
プロセスのコンテキストファイル操作
追加、バイパスルール 100
概要とサブ機能 69
設定 70
へ
モード 70
バッファーオーバーフロー 53
パフォーマンスの問題
ベストプラクティス
維持、ホワイトリスト 61
アプリケーション 92
機能の有効化または無効化 68
システム 93
更新プログラム権限、証明書 37
パブリッシャー、参照:証明書
承認、プログラムまたはファイル 27
バイパスルール、プロセスのコンテキストファイル操作 100
ヘルプ、sadmin 15
138
McAfee Application Control 7.0.0
製品ガイド
索引
ほ
も
ボリューム
モード
書き込み保護 19, 21
監視 14
削除、ホワイトリスト 61
更新 14, 27, 72
信用できるボリューム 46
セーフ 85
追加、スキップルール 102
パッケージコントロール 70
追加、ホワイトリスト 61
無効 14, 81
ホワイトリストのステータス 16, 59
有効 14, 17, 97
読み取り保護 19, 24
リスト、書き込み保護 23
リスト、ホワイトリスト 62
リスト、読み取り保護 25
ゆ
有効モード
切り替え 17
ホワイトリスト
正規のエラー 97
エラーメッセージ、不正な変更 98
管理 60
機能 14
説明 14
ユーザー
更新プログラムとして追加 30
脅威の優先度 16
信用されたユーザー 27, 48, 49
作成 16
追加、更新プログラムとして 32
ステータス 16
スレッドの優先度 61
正規の障害とエラーメッセージ 97, 98
追加されるファイル 14
追加、スキップリスト 102
追加と削除、コンポーネント 61
適切なエラーとエラーメッセージ 97
追加と削除、AEF 64
ユーティリティ
Dumpchk 84
Finetune 34
GatherInfo 83
ScAnalyzer 77, 94
ScGetCerts 37
場所 14
破損、ホワイトリストの問題 87
不一致の修正 63
リストコンポーネント 62
よ
要件
Application Control 9
help コマンド 15
ま
モード 14
マニュアル
製品固有、検索 8
ライセンスの追加 16
よくある質問 (FAQ) 107
読み取り拒否機能 19, 20, 24, 25
む
読み取り保護
アクションの防止 19
無効モード
切り替え 81
機能 20
説明 14
削除と消去 25
適用と除外 24
リスト 25
め
メモリーダンプ 84
メモリー保護技術
mp-casp (重要なアドレス空間保護) 55
mp-nx (No Execute) 56
mp-vasr-forced-relocation (強制 DLL 再配置) 56
No Execute (NX) 56
ら
ライセンス 16
る
ルール
概要 53
削除、スキップ 104
強制 DLL 再配置 56
削除、バイパス 101
重要なアドレス空間保護 (CASP) 55
追加、スキップ 101
追加、バイパス 100
リスト、スキップ 104
McAfee Application Control 7.0.0
製品ガイド
139
索引
れ
ろ
レジストリキー
ログファイル
GatherInfo 83
書き込み保護 19, 21, 23
追加と削除、AEF 64
概要とタイプ 76
読み取り保護 19, 20
140
McAfee Application Control 7.0.0
製品ガイド
0-16

Download Report