Application Control - Knowledge Center

製品ガイド
McAfee Application Control 7.0.0
著作権
Copyright © 2016 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます)
をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文
書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規
定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額
全額をお返しいたします。
2
McAfee Application Control 7.0.0
製品ガイド
目次
7
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
はじめに
9
Application Control の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
製品の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2
13
開始
Application Control のワークフロー . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
Application Control のモードについて . . . . . . . . . . . . . . . . . . . . . . . . . .
14
ホワイトリストの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
コマンドライン インタープリターの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Application Control を配備する . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
ライセンスを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
ホワイトリストを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Application Control を有効モードに設定する . . . . . . . . . . . . . . . . . . . . . 17
3
19
ファイル システム コンポーネントの保護
保護の働き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
書き込み保護とは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
読み取り保護とは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
コンポーネントに書き込み保護を設定する . . . . . . . . . . . . . . . . . . . . . . . . .
21
書き込み保護を適用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
書き込み保護からコンポーネントを除外する . . . . . . . . . . . . . . . . . . . . .
22
書き込み保護のコンポーネントの一覧を表示する . . . . . . . . . . . . . . . . . . . . 23
書き込み保護を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
読み取り保護のコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
読み取り保護を適用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
読み取り保護から特定のコンポーネントを除外する . . . . . . . . . . . . . . . . . . .
25
読み取り保護のコンポーネントの一覧を表示する . . . . . . . . . . . . . . . . . . . . 25
読み取り保護を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4
27
適用された保護状態の変更
保護を上書きする方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
アップデーターの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
更新プログラムとは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
更新プログラムを追加するタイミング . . . . . . . . . . . . . . . . . . . . . . . . 29
更新プログラムとして追加する方法 . . . . . . . . . . . . . . . . . . . . . . . . . 30
アップデーターを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
アップデーターの一覧を表示する . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Application Control 7.0.0
35
製品ガイド
3
目次
更新プログラムを削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
証明書の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
証明書を抽出する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
証明書を追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
証明書を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
証明書を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
チェックサム値の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
バイナリを承認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
バイナリを禁止する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
承認されたバイナリと禁止されたバイナリを表示する . . . . . . . . . . . . . . . . . .
43
承認バイナリまたは禁止バイナリを削除する . . . . . . . . . . . . . . . . . . . . .
43
バイナリ名の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
名前でバイナリ ファイルの実行を許可する . . . . . . . . . . . . . . . . . . . . . .
44
名前でバイナリ ファイルの実行を禁止する . . . . . . . . . . . . . . . . . . . . . .
44
承認または禁止されたバイナリを表示する . . . . . . . . . . . . . . . . . . . . . .
44
承認されたルールと禁止されたルールを削除する . . . . . . . . . . . . . . . . . . . . 45
信頼できるディレクトリの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
信用できるディレクトリとは . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
信用できるディレクトリを追加するタイミング . . . . . . . . . . . . . . . . . . . . . 45
信頼できるディレクトリを追加する . . . . . . . . . . . . . . . . . . . . . . . . . 46
ディレクトリ パスの指定方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
信頼できるディレクトリの一覧を表示する . . . . . . . . . . . . . . . . . . . . . .
47
信頼できるディレクトリのリストから特定のディレクトリを除外する . . . . . . . . . . . . . 47
信頼できるディレクトリを削除する . . . . . . . . . . . . . . . . . . . . . . . . . 47
信用されたユーザーの使用 (Windows のみ) . . . . . . . . . . . . . . . . . . . . . . . .
48
信頼できるユーザーを追加する . . . . . . . . . . . . . . . . . . . . . . . . . .
48
信頼できるユーザーの一覧を表示する . . . . . . . . . . . . . . . . . . . . . . . . 49
信頼できるユーザーを削除する . . . . . . . . . . . . . . . . . . . . . . . . . .
49
ActiveX コントロールの実行許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
ActiveX コントロールを許可する . . . . . . . . . . . . . . . . . . . . . . . . .
50
ActiveX コントロールの実行をブロックする . . . . . . . . . . . . . . . . . . . . .
50
ActiveX 機能を無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
別のスクリプトの実行を許可するインタープリターの設定 . . . . . . . . . . . . . . . . . . . . 51
インタープリターを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
インタープリターの一覧を表示する . . . . . . . . . . . . . . . . . . . . . . . . . 52
インタープリターを削除する . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
6
52
53
メモリー保護の設定
メモリー保護機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
CASP を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
NX を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
強制 DLL 再配置を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
59
システムのメンテナンス
製品のステータスとバージョンを表示する . . . . . . . . . . . . . . . . . . . . . . . . .
ホワイトリストを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ホワイトリスト スレッドの優先度 . . . . . . . . . . . . . . . . . . . . . . . . .
59
60
61
操作を追加または削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
リスト操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
ホワイトリストのコンポーネントの状態を確認して更新する . . . . . . . . . . . . . . . . 63
詳細除外フィルター (AEF) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
AEF を追加または削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
AEF の一覧を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
製品の機能を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4
McAfee Application Control 7.0.0
製品ガイド
目次
機能を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
機能を有効または無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . .
68
パッケージ コントロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
パッケージ コントロールを設定する . . . . . . . . . . . . . . . . . . . . . . . .
70
パッケージ コントロールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
70
緊急時の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
更新モードに切り替える . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
更新モードを終了する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
パスワード保護を有効または無効にする . . . . . . . . . . . . . . . . . . . . . . . . . .
72
イベントを使用して変更を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
イベント シンクを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
イベント キャッシュ サイズを設定する . . . . . . . . . . . . . . . . . . . . . . .
74
イベントを表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
ログ ファイルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
システムのランタイム環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
ScAnalyzer を実行する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
ScAnalyzer レポートを確認する . . . . . . . . . . . . . . . . . . . . . . . . . . 78
大量の配備とシステム アップグレードの管理 . . . . . . . . . . . . . . . . . . . . . . . .
79
既存の設定パラメーターを表示する . . . . . . . . . . . . . . . . . . . . . . . . . 79
設定をエクスポートする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
設定をインポートする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
設定パラメーターを変更する . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
Application Control を無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
7
83
トラブルシューティング
McAfee サポートに連絡する前の情報収集 . . . . . . . . . . . . . . . . . . . . . . . . .
83
GatherInfo ログを収集する . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
システムと問題の詳細の収集 . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
起動時のエラー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
85
自己書き換えドライバーの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
システム クラッシュの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Windows でのシステム クラッシュ . . . . . . . . . . . . . . . . . . . . . . . . . 87
Windows でホワイトリストが壊れている . . . . . . . . . . . . . . . . . . . . . .
87
Linux でのシステム クラッシュ . . . . . . . . . . . . . . . . . . . . . . . . . .
88
Active Directory の問題 (Windows のみ) . . . . . . . . . . . . . . . . . . . . . . . . .
89
アプリケーションのインストールに関するエラー . . . . . . . . . . . . . . . . . . . . . . . 90
アプリケーションの実行エラー . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
アプリケーションのパフォーマンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
システム ハングの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
システム パフォーマンスの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
Application Control のインストール エラー . . . . . . . . . . . . . . . . . . . . . . . .
94
アップデーター権限の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
イベント氾濫 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
エラー メッセージの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
コマンドライン インターフェースのエラー メッセージ . . . . . . . . . . . . . . . . . . . . . 96
正当なエラーとエラー メッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
97
バイナリまたはスクリプト ファイルが生成するエラー メッセージ . . . . . . . . . . . . . . 97
インストーラー パッケージに生成されたエラー メッセージ . . . . . . . . . . . . . . . .
97
ホワイトリストに登録された登録されたコンポーネントに不正な変更が行われた場合に生成されるエラー メ
ッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
98
ファイルとスクリプトのバイパス ルール . . . . . . . . . . . . . . . . . . . . . . . . .
100
ファイルとスクリプトのバイパス ルールを追加する . . . . . . . . . . . . . . . . . .
100
ファイルとスクリプトのバイパス ルールを削除する . . . . . . . . . . . . . . . . . .
101
パス コンポーネントのスキップ ルール . . . . . . . . . . . . . . . . . . . . . . . . . . 101
McAfee Application Control 7.0.0
製品ガイド
5
目次
パス コンポーネントのスキップ ルールを追加する . . . . . . . . . . . . . . . . . . . 102
パス コンポーネントのスキップ ルールの一覧を表示する . . . . . . . . . . . . . . . .
104
パス コンポーネントのスキップ ルールを削除する . . . . . . . . . . . . . . . . . . . 104
6
A
よくある質問
107
B
Application Control のイベント リスト
109
C
短形式のコマンド
113
D
Application Control コマンドライン インターフェースのリファレンス
115
E
引数の詳細
129
索引
135
McAfee Application Control 7.0.0
製品ガイド
まえがき
このガイドでは、McAfee 製品の操作に必要な情報を提供します。
目次
このガイドについて
製品マニュアルの検索
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
対象読者
McAfee では、対象読者を限定してマニュアルを作成しています。
このガイドの情報は、主に以下の読者を対象としています。
•
管理者 - 企業のセキュリティ プログラムを実装し、施行する担当者。
•
ユーザー - このソフトウェアが実行されているコンピューターを使用し、ソフトウェアの一部またはすべての機
能にアクセスできるユーザー。
表記法則
このガイドでは、以下の表記規則とアイコンを使用しています。
『マニュアルのタイト
ル』、用語 または強調
太字
マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。
特に強調するテキスト
ユーザーの入力、コード、 コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。
メッセージ
[インターフェースのテ
キスト]
オプション、メニュー、ボタン、ダイアログ ボックスなど、製品のインターフェースの
テキストを表します。
ハイパーテキスト (青
色)
トピックまたは外部の Web サイトへのリンクを表します。
注: 追加情報 (オプションにアクセスする別の方法など) を表します。
ヒント: ヒントや推奨事項を表します。
重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データ
の保護に役立つ情報を表します。
警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項
を表します。
McAfee Application Control 7.0.0
製品ガイド
7
まえがき
製品マニュアルの検索
製品マニュアルの検索
[ServicePortal] では、リリースされた製品の情報 (製品マニュアル、技術情報など) を入手できます。
タスク
8
1
[ServicePortal] (https://support.mcafee.com) に移動して、[Knowledge Center] タブをクリックします。
2
[Knowledge Base] ペインの [コンテンツのソース] で [製品マニュアル] をクリックします。
3
製品とバージョンを選択して [検索] をクリックします。マニュアルの一覧が表示されます。
McAfee Application Control 7.0.0
製品ガイド
1
はじめに
McAfee® Application Control は、不正なアプリケーションの実行を阻止する効率的な方法を提供します。簡単なホ
ワイトリストと異なり、動的な信頼モデルを使用しているので、複雑なリストを作成する必要はありません。
今日の IT 部門は、システムとサーバーがセキュリティ ポリシー、運用手順、法規制に準拠していることを保証する
ため、多大な負担を強いられています。ユーザーが気付かずにマルウェアや有害なソフトウェアをインストールして
しまい、不要なサポートが必要になったり、ソフトウェア ライセンスに違反してしまうだけでなく、システムが乗っ
取られ、会社全体に影響を及ぼすこともあります。規模に大小に関わらず、どの企業もシステムとサーバーを標準化
し、生産性を低下させずに承認済みのソフトウェアだけを実行する効率的な方法を求めています。
インターネット上には未知のソフトウェアが数多く存在します。Application Control は、企業の運用要件を満たし
ながら、システム セキュリティ方針に従ってタイムリーに制御します。
このドキュメントは、Application Control をスタンドアロン構成で使用する場合を対象にしています。
目次
Application Control の概要
製品の機能
Application Control の概要
Application Control は、様々な脅威からシステムを保護します。
固定機能のシステムに対する制御の向上
金融、小売業、製造業など規制の厳しい業界では、POS 端末やカスタマー サービスで使用する端末などのデバイス
で重要な機能を実行しています。このようなデバイスで機密性の高いデータを扱うことも少なくありません。
Application Control を使用すると、固定機能のシステムも保護できます。 オーバーヘッドが少なく、システムのパ
フォーマンスにも影響を及ぼしません。初期投資も少なく、運用コストも抑えることができます。スタンドアロン モ
ードで効率的に機能します。 この製品は、ネットワーク構成とファイアウォール構成に対応しています。 また、ネ
ットワークに接続していないシステムでも使用できます。
管理された環境で効率的なビジネス
マルウェアは、ビジネス環境で使用される柔軟なソフトウェア モジュール コードを悪用します。Application
Control は、Java、ActiveX コントロール、スクリプト、バッチ ファイルなどのコードにも対応しています。 これ
により、アプリケーション コンポーネントをきめ細かく制御し、シグネチャの更新を待たずに高度な脅威を阻止でき
ます。
McAfee Application Control 7.0.0
製品ガイド
9
1
はじめに
製品の機能
簡単なソリューション
Application Control は、次の機能を提供する簡単なソリューションです。
•
セットアップは簡単です。現行の運用体制に簡単に組み込むことができます。
•
CPU サイクルに対する影響も少なく、10 MB 程度の RAM しか使用しません。
•
システム パフォーマンスに影響を及ぼすファイル システムのスキャンを実行しません。
Application Control では、シグネチャの更新も必要ありません。
信頼モデルを使用した動的ホワイトリスト
Application Control では、ホワイトリストを動的に管理し、柔軟な保護対策を手頃な価格で提供します。
Application Control は、POS 端末、バックオフィスのサーバーなど、ビジネス要件の異なる構成に対応していま
す。また、異なるユーザー プロファイルが存在する複数のデスクトップ イメージにも対応しています。
Application Control では、信頼ソース モデルを利用しているので、IT 管理者が承認アプリケーションのリストを
手作業で管理する必要はありません。保護対象システムでは、承認済みのソフトウェアだけに実行が許可されます。
これらのソフトウェアを変更することはできません。Application Control は保護されたファイルの改ざんを防ぎま
す。このような不正行為が発生した場合にはイベントを生成し、ログ ファイルに記録します。
Application Control では、初期投資と運用コストを抑えながら、不要なアプリケーションやコードからシステムを
完全に保護することができます。 これにより、システム管理者はシステムのステータスを簡単に維持することができ
ます。
主な特長
•
シグネチャの更新を待たずに、ゼロデイの脅威を阻止できます。
•
動的なホワイトリスト機能により、信用できるアプリケーションを自動的にホワイトリストに登録できるので、
総所有コストを抑えることができます。
•
固定機能のシステムをマルウェアから保護します。
•
POS 端末 (店舗)
•
銀行の ATM
•
キオスクの端末
•
サーバーと社内のデスクトップ
•
顧客サービスの端末
製品の機能
Application Control は、次の機能を使用して未承認の操作からシステムを保護します。
10
•
マルウェア対策 - システムでのアプリケーションの実行をプロアクティブに制御します。これにより、マルウェ
アの攻撃を未然に防ぎ、システムを保護します。
•
システムの保護 - 脅威や不要な変更からシステムを保護します。
•
実行防止 - 許可のない更新の実行を防止します。このような更新は、システムで実行中のアプリケーションに影
響を及ぼす可能性があります。
•
動的ホワイトリスト - 他のホワイトリスト技術と異なり、手動での保守作業は不要です。
•
信頼できるアプリケーション - 管理者は、集中管理リポジトリを使用して、信頼できるアプリケーションの実行
を柔軟に管理できます。
McAfee Application Control 7.0.0
製品ガイド
はじめに
製品の機能
1
•
メモリー保護 - 未承認のソフトウェア スクリプトや DLL の実行を防ぎ、メモリー エクスプロイトを阻止する
ことができます。
•
ホワイトリストの自動管理 - 承認プロセスで追加された新しいソフトウェアをホワイトリストに登録します。
McAfee Application Control 7.0.0
製品ガイド
11
1
はじめに
製品の機能
12
McAfee Application Control 7.0.0
製品ガイド
2
開始
Application Control ワークフローには、システムに Application Control を配備するための重要な概念と手順が記
述されています。
目次
Application Control のワークフロー
Application Control のモードについて
ホワイトリストの機能
コマンドライン インタープリターの使用
Application Control を配備する
Application Control のワークフロー
次の図は、Application Control 配備ワークフローの概要を表しています。
McAfee Application Control 7.0.0
製品ガイド
13
2
開始
Application Control のモードについて
Application Control のモードについて
Application Control は、要件に応じて異なるモードで実行できます。
無
効
Application Control がシステムで実行されていません。 Application Control はインストールされていま
すが、機能が無効になっています。
無効モードは、Windows と Linux の両方のプラットフォームで使用できます。 無効モードの場合、有効モ
ードまたは更新モードに切り替えることができます。 『Application Control を無効にする』を参照してくだ
さい。
有
効
ホワイトリストに登録されたアプリケーションとファイルにだけ実行が許可されます。 未承認のソフトウェ
ア (ソフトウェア、スパイウェアなど) の実行は阻止されます。 有効モードの場合、Application Control は、
ホワイトリストのすべてのファイルを不正な変更や削除から保護します。 システムで初期のホワイトリスト
が作成されたら、Application Control を有効モードに切り替えます。 このモードでは、不正な変更は許可さ
れません。
有効モードは、Windows と Linux の両方のプラットフォームで使用できます。 Application Control を有
効モードから無効モードまたは更新モードに切り替えることができます。『Application Control を有効モー
ドに切り替える』を参照してください。
更
新
保護対象のシステムで承認されたソフトウェア更新を実行します。 このモードでは、ソフトウェアの追加や削
除など、必要な更新アクションをグループ化し、実行します。 更新モードでソフトウェアの更新を実行する
と、Application Control がそれぞれの変更を追跡し、記録します。 システムが有効モードに戻ったときに、
変更または追加されたバイナリに実行を許可するように、ホワイトリストを動的に更新します。 システムから
ソフトウェアとプログラム ファイルを削除すると、該当するファイルがホワイトリストから削除されます。
更新モードは、Windows と Linux の両方のプラットフォームで使用できます。 更新モードから切り替える
ことができるのは有効モードだけです。 『緊急時の変更』を参照してください。
監
視
スタンドアロン構成では使用できません。McAfee ePolicy Orchestrator (McAfee ePO ) がシステムを管
理している場合にのみ使用できます。
®
®
™
監視モードでは、アプリケーションは有効ですが、エンドポイントに対する変更はできません。監視モードは
Windows でのみ使用できます。
ホワイトリストの機能
Application Control を配備してシステムを保護すると、システムがスキャンされ、システムに存在するすべての実
行可能バイナリ ファイルとスクリプト ファイルがホワイトリストに追加されます。 ホワイトリストには、非表示の
ファイルとフォルダーも追加されます。
ホワイトリストには承認ファイルが登録され、信用できるファイルまたは既知のファイルの判定に使用されます。 有
効モードの場合、ホワイトリスト内に存在するファイルのみが実行を許可されます。 ホワイトリスト内のすべてのフ
ァイルは保護され、変更や削除は不可能となります。 ホワイトリストにない実行可能バイナリ ファイルやスクリプ
ト ファイルは未承認となり、実行が禁止されます。
Application Control は、ドライブまたはボリュームごとにホワイトリストを作成し、次の場所に保存します。
•
Windows:<ドライブ>\Solidcore\scinv
•
Linux:<ボリューム>/.solidcore/scinv
ホワイトリストに追加されるファイルの種類は次のとおりです。
14
McAfee Application Control 7.0.0
製品ガイド
開始
コマンドライン インタープリターの使用
•
アプリケーション プログラム コード (Windows と Linux)
•
実行可能なバイナリ。.exe、.sys、.dll ファイル (Windows)、ELF ファイル フォーマット (Linux)。
•
スクリプト ファイル。.bat、.cmd、.vbs ファイル (Windows)、#! を含むファイル (Linux)。
2
Windows でホワイトリストを作成する場合、Application Control はオペレーティング システムで保護されているシ
ステム固有のファイルを追加しません。 たとえば、pagefile.sys、hiberfil.sys などが該当します。
ホワイトリストが作成されたシステムでファイルを実行すると、Application Control がバイナリのチェックサムと
パスをホワイトリストの情報と比較します。チェックサムの値とパスが一致した場合にのみ、バイナリの実行が許可
されます。
コマンドライン インタープリターの使用
コマンドライン インタープリター (sadmin) を使用すると、Application Control の設定と機能を管理できます。
コマンドライン インタープリターの実行方法はオペレーティング システムによって異なります。
オペレーティン
グ システム
手順
Windows
• Windows Vista、Windows 2008、Windows 2008 R2、Windows Server 2012、Windows
8、Windows 8.1、Windows 10 または Windows 7 (UAC 有効) の場合には、デスクトップ
の [McAfee Solidifier コマンドライン] アイコンを右クリックして、[管理者として実行] を選
択します。
• 他の Windows の場合には、デスクトップにある [McAfee Solidifier コマンドライン] アイコ
ンをダブルクリックします。
• [スタート] 、 [プログラム] 、 [McAfee] 、 [Solidifier] 、 [McAfee Solidifier コマンドライ
ン] の順にクリックします。
デフォルトでは、sadmin が PATH 環境変数に追加されるので、任意の場所からコマンドライン
インターフェース (CLI) ウィンドウを開き、sadmin コマンドを実行できます。
Linux
1 Linux ターミナルを開きます。
2 <install directory>/mcafee/solidcore/bin/sadmin からコマンドライン インター
プリターにアクセスします。
ヘルプ情報を使用するには、次のコマンドを実行します。
構文
説明
sadmin help
基本的なヘルプ情報を表示します。
sadmin help <command>
特定のコマンドの基本的なヘルプ情報を表示します。
sadmin help-advanced <command>
特定のコマンドの詳しいヘルプ情報を表示します。
Application Control を配備する
タスクを完了して、Application Control をシステムに配備します。
開始する前に
配備ワークフローを確認してください。
McAfee Application Control 7.0.0
製品ガイド
15
2
開始
Application Control を配備する
タスク
•
16 ページの「ライセンスを追加する」
ライセンスにより、使用可能な製品機能が決まります。
•
16 ページの「ホワイトリストを作成する」
ホワイトリストは、保護対象システムで実行可能なアプリケーションとファイルを制御します。ホワイ
トリストは、システムに存在するすべての実行可能バイナリとスクリプトから作成します。
•
17 ページの「Application Control を有効モードに設定する」
Application Control を有効モードに切り替えると、ホワイトリストに登録されたアプリケーションにの
みシステムの実行を許可できます。
ライセンスを追加する
ライセンスにより、使用可能な製品機能が決まります。
•
Windows - インストール時またはインストール後にライセンスを指定できます。インストール時にライセン
スを指定しないと、システムで Application Control を実行するときにライセンスを指定する必要があります。
•
Linux - インストール後にシステムで Application Control を実行するときに、有効なライセンスを指定する
必要があります。
タスク
1
インストール時にライセンスが追加されているかどうか確認するには、次のコマンドを入力して Enter を押しま
す。
sadmin license list
システムでインストール済みのライセンスがすべて表示されます。
2
ライセンスが表示されない場合には、ライセンスを今すぐ追加してください。
a
コマンド プロンプトで次のコマンドを実行します。
sadmin license add <license_key>
b
Application Control サービスを再起動します。
Windows
net stop scsrvc
net start scsrvc
Linux
service scsrvc restart
ホワイトリストを作成する
ホワイトリストは、保護対象システムで実行可能なアプリケーションとファイルを制御します。ホワイトリストは、
システムに存在するすべての実行可能バイナリとスクリプトから作成します。
開始する前に
16
•
Application Control がホワイトリストを使用する方法を確認してください。『ホワイトリストの機
能』を参照してください。
•
必要であれば、ホワイトリストの作成前にホワイトリスト スレッドの優先度を設定します。 『ホワ
イトリスト スレッドの優先度』を参照してください。
McAfee Application Control 7.0.0
製品ガイド
開始
Application Control を配備する
2
タスク
1
コマンド プロンプトで次のコマンドを実行します。
sadmin solidify
ホワイトリストの作成時間は数分から 1 時間です。この時間は、CPU の速度、RAM、システムにインストール
されているアプリケーションなどのシステム構成によって変わります。ホワイトリストが作成されると、次のよ
うなメッセージが表示されます。
Solidifying volume C:\ 00:04:11:Total files scanned 12265, solidified 6342
2
ドライブまたはボリュームがホワイトリストに登録されているかどうか確認します。
a
コマンド プロンプトで次のコマンドを実行します。
sadmin status
Application Control のステータスが表示されます。動作モード、システム再起動時の動作モード、McAfee
ePO との接続性、CLI のアクセス状況、ドライブまたはボリュームのホワイトリストのステータスを確認で
きます。スタンドアロン構成の場合、McAfee ePO との接続性は表示されません。
b
ドライブまたはボリュームのホワイトリストのステータスを表示し、ステータスが Solidified かどうか確認し
ます。
Application Control を有効モードに設定する
Application Control を有効モードに切り替えると、ホワイトリストに登録されたアプリケーションにのみシステム
の実行を許可できます。
タスク
1
コマンド プロンプトで次のコマンドを実行します。
sadmin enable
2
Application Control を有効モードに切り替えます。
オペレーティング
システム
アクション
Windows
次のいずれかの手順を実行します。
• システムを再起動して、Application Control とメモリー保護機能を有効にします。
• Application Control サービスを再起動して、メモリー保護機能を使用せずに
Application Control を有効にします。
net stop scsrvc
net start scsrvc
Linux
3
Application Control サービスを再起動して、Application Control を有効にします。
service scsrvc restart
次のコマンドを実行して、Application Control が有効モードかどうか確認します。
sadmin status
Application Control のステータスが表示されます。 動作モード、システム再起動時の動作モード、McAfee ePO
との接続、CLI アクセス ステータス、すべてのドライブのホワイトリスト ステータスを確認できます。 製品が
スタンドアロン構成の場合には、McAfee ePO との接続状況は確認できません。
a
動作モードを確認します。
b
現在の動作モードが「有効」かどうか確認します。
McAfee Application Control 7.0.0
製品ガイド
17
2
開始
Application Control を配備する
18
McAfee Application Control 7.0.0
製品ガイド
3
ファイル システム コンポーネントの保護
Application Control を有効モードで実行すると、ファイル、ディレクトリ、ドライブ (Windows)、ボリューム
(Linux)、レジストリ キーを選択して、未承認の変更から保護することができます。
目次
保護の働き
コンポーネントに書き込み保護を設定する
読み取り保護のコンポーネント
保護の働き
Application Control は、システム コンポーネントに書き込み保護を設定し、不正な変更から保護します。
Application Control は、これらのコンポーネントに書き込み保護または読み取り保護を設定できます。
機能
コンポーネント
書き込み保護 ファイル
禁止されるアクション
• 作成
• 削除
• 変更
• ハード リンク
の作成
• 名前の変更
• Windows 用
の代替データ
ストリーム
(ADS)の作成
ディレクトリ
• 変更
ドライブ/ボリューム
• 削除
レジストリ キー
• 名前の変更
(Windows)
読み取り保護 ファイル
読み取りデータ
ディレクトリ
(読み取り保護ディレクトリにあるファイルにのみ適
用)
ドライブ/ボリューム
(読み取り保護ドライブ/ボリュームにあるファイルに
のみ適用)
McAfee Application Control 7.0.0
製品ガイド
19
3
ファイル システム コンポーネントの保護
保護の働き
書き込み保護を設定するコンポーネント (ファイル、ディレクトリ、ボリューム) を作成前に指定すると、その名前
のコンポーネントを作成できなくなります。
ファイルが書き込み保護の対象になっている場合、ファイルのコンテンツや属性は変更できません。 Windows プラ
ットフォームの場合、特定の属性を変更できます。
属性
許可されている属性の変更
暗号化
いいえ
圧縮
いいえ
非表示
はい
読み取り専用
はい
書き込み保護とは
書き込み保護は、ファイル、ディレクトリ、ドライブ (Windows) またはボリューム (Linux) を変更や削除から保護
する機能です。 書き込み保護は、機能リストで deny-write と表示されます。 デフォルトでは、この機能は有効に
なっています。
ディレクトリ、ドライブまたはボリュームを書き込み保護すると、対象のディレクトリ、ドライブまたはボリューム
内のファイルとサブディレクトリのすべてに書き込み保護が適用されます。ディレクトリまたはサブディレクトリに
あるファイルが書き込み保護されている場合、親ディレクトリの名前の変更、移動または削除を行うことはできませ
ん。また、書き込み保護のディレクトリまたはドライブで、新しいファイルを作成することはできません。
書き込み保護は、プログラムが定期的に更新しないファイルにだけ設定してください。例: C:\WINDOWS
\system32\drivers\etc\hosts
この機能は、Application Control が有効モードで実行されている場合にのみ有効となります。
書き込み保護されたコンポーネントのコンテンツに対して許可のない変更が要求されると、操作は実行されず、イベ
ントが生成されます。
読み取り保護とは
読み取り保護は、ファイル内のデータの読み取りを禁止し、ファイル、ディレクトリ、ドライブ (Windows)、ボリ
ューム (Linux) を保護する機能です。 読み取り保護は、機能リストで deny-read と表示されます。
この機能はデフォルトで無効に設定されており、sadmin features enable deny-read コマンドを使用して有
効にできます。 この機能を有効/無効にする場合、再起動は不要です。 読み取り保護を使用するには、Application
Control を有効モードで実行する必要があります。
ディレクトリ、ドライブまたはボリュームに読み取り保護が設定されている場合、そのディレクトリ、ドライブまた
はボリューム内のファイルにのみ読み取り保護が適用されます。サブディレクトリのファイルにも読み取り保護が適
用されます。読み取り保護が設定されたファイルまたはディレクトリを別のパスに移動すると、読み取り保護は無効
となります。
ディレクトリ、ドライブまたはボリュームに読み取り保護を設定し、システムで Application Control を実行する場
合には十分に注意してください。 ディレクトリ、ドライブまたはボリュームに読み取り保護を設定すると、そのディ
レクトリ、ドライブ、ボリュームでホワイトリストに登録されたファイルが実行できなくなります。 読み取り保護を
設定したディレクトリ、ドライブ、ボリュームにファイルを作成すると、そのファイルはホワイトリストに追加され
ません。
deny-write 機能を使用すると、読み取り保護のファイルに書き込み保護を設定できます。これにより、読み取り保
護のファイルに保護機能を追加できます。名前を変更したり、ファイルを移動しても、このファイルのコンテンツは
参照不能になります。書き込み保護を設定していない場合、読み取り保護ファイルの名前を変更したり、別の場所に
移動すると、ファイルが読み取り可能になります。
20
McAfee Application Control 7.0.0
製品ガイド
ファイル システム コンポーネントの保護
コンポーネントに書き込み保護を設定する
3
読み取り保護が設定されたファイルのデータを許可なく参照しようとすると、読み取りが阻止され、イベントが生成
されます。
レジストリ キーに読み取り保護を設定することはできません。
コンポーネントに書き込み保護を設定する
書き込み保護機能を使用すると、製品固有のファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux)
を書き込み保護に設定し、プログラムまたはユーザーによる変更を阻止できます。 書き込み保護を設定すると、これ
らのコンポーネントは読み取り専用になり、未承認の変更を防ぐことができます。 これらのコンポーネントは圧縮ま
たは暗号化できません。
タスク
•
21 ページの「書き込み保護を適用する」
書き込み保護により、コンポーネントを読み取り専用にし、未承認の変更からコンポーネントを保護で
きます。
•
22 ページの「書き込み保護からコンポーネントを除外する」
書き込み保護が設定されたディレクトリ、ドライブ (Windows)、ボリューム (Linux) から特定のコン
ポーネントを除外します。
•
23 ページの「書き込み保護のコンポーネントの一覧を表示する」
書き込み保護が設定されているファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux)
の一覧を表示します。
•
23 ページの「書き込み保護を削除する」
書込み保護を削除すると、コンポーネントは未承認の変更から保護されなくなります。
書き込み保護を適用する
書き込み保護により、コンポーネントを読み取り専用にし、未承認の変更からコンポーネントを保護できます。
タスク
1
ファイル、ディレクトリ、ドライブ (Windows) またはボリューム (Linux) に対する書き込みを阻止します。
sadmin write-protect [ -i ] pathname1 ... pathnameN
書き込み保護するコンポーネントの完全なパスを指定します。 パスにはワイルドカード文字 (*) を使用できま
す。 ただし、1 つの完全パス コンポーネントのみを表わします。
•
Windows の場合、\abc\*\def は使用できますが、\abc\*.doc、\abc\*.*、\abc\doc.* は使用でき
ません。
•
Linux の場合、/abc/*/def は使用できますが、/abc/*.sh、/abc/*.*、/abc/doc.* は使用できませ
ん。
例:
•
sadmin write-protect -i Listener.ora (Windows)
•
# sadmin write-protect –i /etc/security/limits.conf (Linux)
クライアント システムからネットワーク共有への変更を防ぐには、sadmin write-protect コマンドにネット
ワーク パスを指定して、ネットワーク ファイル システムのコンポーネントに書き込み保護を適用します。
書き込み保護ファイルに対するハードリンクを書き込み保護し、ハードリンクに対する変更を阻止します。
McAfee Application Control 7.0.0
製品ガイド
21
3
ファイル システム コンポーネントの保護
コンポーネントに書き込み保護を設定する
次の表に、ネットワーク パスの指定方法を示します。
構文
例
sadmin write-protect –i \
\server-name\share-name
ネットワーク共有を持つサーバー名を指定します。また、ネットワーク共有
の名前も指定します。例:
sadmin write-protect –i \\ftpserver\documents
sadmin write-protect –i \
\server-ip\share-name
サーバーの IP アドレスとネットワーク共有の名前を指定します。
例:
sadmin write-protect –i \\192.168.0.1\documents
sadmin write-protect –i
mapped-drive-letter:\
クライアント システム上のサーバーにマップされているドライブ文字を指
定します。
例:
sadmin write-protect –i W:\
sadmin write-protect -i /
mount-point(Linux)
Linux プラットフォーム上のマウント ポイント名を指定します。
例:
sadmin write-protect –i /nfs
2
レジストリ キーを書き込み保護します。
sadmin write-protect-reg [ -i ] registrykeyname1 ... registrykeynameN
レジストリ キー ベースのルールで使用するパスには、ワイルドカード文字 (*) を使用できます。 ただし、ワイ
ルドカード文字はレジストリ パス内の 1 つのパス コンポーネントのみを表わします。 完全レジストリ パスの
末尾にコンポーネントの文字を使用していないことを確認してください (末尾に使用されると、パス フィルター
は有効になりません)。 たとえば、HKEY_LOCAL_MACHINE\*\Microsoft というレジストリ パスは許可されま
すが、HKEY_LOCAL_MACHINE\* や HKEY_LOCAL_MACHINE\*\* は許可されません。
書き込み保護されたレジストリ キーに対する変更は許可されません。
Windows のコンポーネントを保護するために、HKEY_LOCAL_MACHINE\SOFTWARE レジストリ キー クラスター
にのみ書き込み保護を設定してください。 他のレジストリ キー クラスターには書き込み保護を設定しないでく
ださい。
レジストリ キーに書き込み保護を適用するには、write-protect-reg (wpr) コマンドのパラメーターにレジスト
リ キー名を指定します。例:
sadmin write-protect-reg –i HKEY_LOCAL_MACHINE\SOFTWARE
書き込み保護からコンポーネントを除外する
書き込み保護が設定されたディレクトリ、ドライブ (Windows)、ボリューム (Linux) から特定のコンポーネントを
除外します。
タスク
1
書き込み保護対象のディレクトリ、ドライブ、ボリュームから特定のコンポーネントを除外します。
sadmin write-protect -e pathname1 ... pathnameN
書き込み保護対象のディレクトリ、ドライブまたはボリュームから除外するファイル パスを指定すると、このフ
ァイルに対してのみ書き込み保護が解除されます。
22
McAfee Application Control 7.0.0
製品ガイド
ファイル システム コンポーネントの保護
コンポーネントに書き込み保護を設定する
3
書き込み保護から除外するファイル、ディレクトリ、ドライブまたはボリュームの完全なパスを指定します。例:
2
•
sadmin write-protect –e Listener.ora (Windows)
•
# sadmin write-protect -e /etc/security/limits.conf (Linux)
書き込み保護からレジストリ キーを除外します。
sadmin write-protect-reg -e registrykeyname1 ... registrykeynameN
このコマンドのパラメーターにレジストリ キー名を指定し、除外引数を指定して書き込み保護からレジストリ キ
ーを除外します。例:
sadmin write-protect-reg –e HKEY_LOCAL_MACHINE\SOFTWARE
書き込み保護のコンポーネントの一覧を表示する
書き込み保護が設定されているファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux) の一覧を表示
します。
タスク
1
書き込み保護のコンポーネントのリストを表示します。
sadmin write-protect –l
2
書き込み保護のレジストリ キーのリストを表示します。
sadmin write-protect-reg –l
書き込み保護を削除する
書込み保護を削除すると、コンポーネントは未承認の変更から保護されなくなります。
•
ファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux) から書き込み保護を削除できます。特定
のレジストリ キーに適用された書き込み保護を削除することもできます。
•
すべてのファイル、ディレクトリ、ドライブ、ボリューム、レジストリ キーから書き込み保護を削除することも
できます。
タスク
1
特定のコンポーネントに適用された書き込み保護を削除します。
sadmin write-protect [ -r ] pathname1 ... pathnameN
ファイルのパスを指定すると、このパスにあるすべてのファイルから書き込み保護が解除されます。
書き込み保護を削除するファイル、ディレクトリ、ドライブの完全なパスを指定します。
例:
2
•
sadmin write-protect -r Listener.ora (Windows)
•
# sadmin write-protect –r /etc/security/limits.conf (Linux)
特定のレジストリ キーから書き込み保護を削除します。
sadmin write-protect-reg [ -r ] registrykeyname1 ... registrykeynameN
例:
sadmin write-protect–reg -r HKEY_LOCAL_MACHINE\SOFTWARE
3
すべてのファイル、ディレクトリ、ドライブまたはボリュームから書き込み保護を消去します。
sadmin write-protect –f
McAfee Application Control 7.0.0
製品ガイド
23
3
ファイル システム コンポーネントの保護
読み取り保護のコンポーネント
4
すべてのレジストリ キーから書き込み保護を削除します。
sadmin write-protect-reg –f
読み取り保護のコンポーネント
読み取り保護機能を使用すると、製品固有のファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux)
を読み取り保護に設定し、プログラムまたはユーザーによるデータの読み取りを阻止できます。 これらのコンポーネ
ントは圧縮または暗号化できません。
タスク
•
24 ページの「読み取り保護を適用する」
読み取り保護機能は、許可のないプログラムやユーザーによるコンポーネント データの読み取りを防止
します。
•
25 ページの「読み取り保護から特定のコンポーネントを除外する」
読み取り保護が設定されたディレクトリ、ドライブ (Windows)、ボリューム (Linux) から特定のコン
ポーネントを除外します。
•
25 ページの「読み取り保護のコンポーネントの一覧を表示する」
読み取り保護されているコンポーネントのリストを表示します。
•
25 ページの「読み取り保護を削除する」
読み取り保護を削除すると、コンポーネントからのデータの読み取りがユーザーまたは未承認のプログ
ラムに許可され、重要なデータが危険な状態になります。
読み取り保護を適用する
読み取り保護機能は、許可のないプログラムやユーザーによるコンポーネント データの読み取りを防止します。
タスク
•
ファイル、ディレクトリ、ドライブ (Windows) またはボリューム (Linux) に対する読み取りを阻止します。
sadmin read-protect [ -i ] pathname1 ... pathnameN
読み取り保護を設定するコンポーネントの完全なパスを指定します。パスにはワイルドカード文字 (*) を使用す
ることもできます。ただし、1 つの完全パス コンポーネントのみを表わします。
•
Windows プラットフォームの場合、\abc\*\def は使用できますが、\abc\*.doc、\abc\*.*、\abc\doc
.* は使用できません。
•
Linux プラットフォームの場合、/abc/*/def は使用できますが、/abc/*.sh、/abc/*.*、/abc/doc.*
は使用できません。
例:
•
sadmin read-protect –i password.docx (Windows)
•
# sadmin read-protect –i /etc/password (Linux)
マウントされたネットワーク ファイル システム コンポーネントに読み取り保護を適用することもできます。こ
の操作を行うには、sadmin read-protect コマンドにネットワーク パスを指定します。
24
McAfee Application Control 7.0.0
製品ガイド
ファイル システム コンポーネントの保護
読み取り保護のコンポーネント
3
読み取り保護から特定のコンポーネントを除外する
読み取り保護が設定されたディレクトリ、ドライブ (Windows)、ボリューム (Linux) から特定のコンポーネントを
除外します。
タスク
•
特定のコンポーネントを除外します。
sadmin read-protect -e pathname1 ... pathnameN
読み取り保護から除外するファイル、ディレクトリ、ドライブまたはボリュームの完全なパスを指定します。
例:
•
sadmin read-protect -e password.docx (Windows)
•
# sadmin read-protect –e /etc/password (Linux)
読み取り保護のコンポーネントの一覧を表示する
読み取り保護されているコンポーネントのリストを表示します。
タスク
•
読み取り保護のコンポーネントのリストを表示します。
sadmin read-protect –l
読み取り保護を削除する
読み取り保護を削除すると、コンポーネントからのデータの読み取りがユーザーまたは未承認のプログラムに許可さ
れ、重要なデータが危険な状態になります。
以下のいずれかの方法で読み取り保護を削除します。
•
読み取り保護を削除します。
ファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux) から読み取り保護を削除します。
•
読み取り保護を消去します。
ファイル、ディレクトリ、ドライブ (Windows)、ボリューム (Linux) から読み取り保護を消去します。
タスク
1
特定のコンポーネントに適用された読み取り保護を削除します。
sadmin read-protect [ -r ] pathname1 ... pathnameN
読み取り保護を削除するファイル、ディレクトリ、ドライブまたはボリュームの完全なパスを指定します。
例:
2
•
sadmin read-protect -r confidential.docx (Windows)
•
# sadmin read-protect -r /etc/password (Linux)
すべてのコンポーネントに適用された読み取り保護を解除します。
sadmin read-protect –f
McAfee Application Control 7.0.0
製品ガイド
25
3
ファイル システム コンポーネントの保護
読み取り保護のコンポーネント
26
McAfee Application Control 7.0.0
製品ガイド
4
適用された保護状態の変更
保護されたシステムで適用済みの保護対策を上書きすると、チェックサム値または証明書を使用してコンポーネント
を実行できます。また、信用されたディレクトリから実行することもできます。 コンポーネントが更新プログラムと
して設定されている場合には、保護されたシステムでソフトウェアを更新できます。
目次
保護を上書きする方法
アップデーターの使用
証明書の使用
チェックサム値の使用
バイナリ名の使用
信頼できるディレクトリの使用
信用されたユーザーの使用 (Windows のみ)
ActiveX コントロールの実行許可
別のスクリプトの実行を許可するインタープリターの設定
保護を上書きする方法
保護対象のシステムでプログラムまたはファイルの実行を許可し、保護を上書きします。
次の方法のいずれかを使用することで、保護対象システムでのプログラムやファイルの実行を承認できます。
•
更新プログラムまたは信用されたユーザー
•
名前でのバイナリ ファイルの承認
•
チェックサム (SHA1)
•
信用されたディレクトリ
•
証明書
•
ホワイトリストへの登録
ホワイトリストは、信用されたファイルまたは既知のファイルを判定するために最もよく使われる方法です。
通常、大半のアプリケーションと実行ファイルは、長期間に渡って変更されません。 ただし、必要に応じて、特定の
アプリケーションや実行ファイルがホワイトリスト中のファイルを作成、変更、または削除するよう許可できます。
信用モデルを設計し、保護対象システムを追加のユーザーまたはプログラムが変更できるようにするには、以下の表
で説明するいずれかの方法を使用できます。
McAfee Application Control 7.0.0
製品ガイド
27
4
適用された保護状態の変更
保護を上書きする方法
方法
対象のオペレ 説明
ーティング
システム
更新プ Windows、
ログラ Linux
ム
更新プログラムは、システムの更新が許可された承認コンポーネントです。 コンポーネン
トが更新プログラムとして設定される場合、保護対象システムで新しいソフトウェアをイン
ストールしたり、既存のソフトウェア コンポーネントを更新したりすることができます。
詳細については、『更新プログラムの使用』を参照してください。
信用さ Windows
れたユ
ーザー
Windows ユーザーに更新プログラム権限を付与すると、ユーザーは信用されたユーザーと
して定義され、ホワイトリストに動的に追加する権限が付与されます。 ユーザーが任意の
ソフトウェアをインストールまたは更新できるようにするには、ユーザーを信用されたユー
ザーとして追加します。 ユーザーの詳細を追加すると同時に、ドメインの詳細も提供して
ください。
この選択肢はセキュリティ面が最小限になるため、保護対象エンドポイントに対する変更を
許可できるすべての選択肢の中で最もお勧めできません。
信用されたユーザーの場合、エンドポイントで変更または実行できる対象に制約がありませ
ん。信用されたユーザーを定義する場合には慎重に行ってください。
詳細については、『信用されたユーザーの使用』を参照してください。
チェッ Windows
クサム
値
システムに適用された保護を上書きするには、チェックサム値で特定のバイナリを承認しま
す。 チェックサム (SHA1) 値でバイナリを承認すると、保護対象システムでバイナリを実
行できます。 承認済みのバイナリに更新プログラム権限を付与することもできます。 詳細
については、『チェックサム値の使用』を参照してください。
証明書 Windows
Application Control では、ソフトウェア パッケージに関連付けられ、信用された証明書に
保護対象システムでの実行が許可されます。 信用された証明書のリストに証明書を追加す
ると、証明書で署名したすべてのソフトウェアを保護対象システムを実行できます。 詳細
については、
『証明書の使用』を参照してください。
バイナ Windows、
リ名
Linux
バイナリ ファイルの名前を指定して、バイナリ (プログラムとファイル) の実行を承認しま
す。 名前でバイナリの実行を承認すると、システムまたはネットワーク共有に存在する同
じ名前のバイナリに保護対象システムでの実行が承認されます。
名前でバイナリの実行を承認する場合には、十分に注意し、慎重に行ってください。
詳細については、『バイナリ名の使用』を参照してください。
28
信用さ Windows、
れたデ Linux
ィレク
トリ
保護対象システムで、信用されたディレクトリとしてディレクトリ (ローカルまたはネット
ワーク ディレクトリ) を追加すると、このディレクトリにあるソフトウェアを実行できま
す。 信用されたディレクトリは、UNC (Universal Naming Convention) パスで識別され
ます。 詳細については、『信用されたディレクトリの使用』を参照してください。
更新モ Windows、
ード
Linux
更新モードは、保護対象システムでソフトウェアの更新を実行できる承認済みのモードで
す。 Application Control を更新モードで実行すると、保護対象システムですべての変更が
許可されます。 システムを更新モードで実行して、ソフトウェアの更新を実行します。 こ
の方法は、信用されたユーザー、信用されたディレクトリ、証明書またはチェックサム値が
要件を満たし、ソフトウェアが更新プログラム リストにない場合など、他に手段がない場
合に使用してください。 たとえば、更新モードを使用すると、パッチのインストールやソ
フトウェアのアップグレードなどの保守タスクを完了できます。 詳細については、
『Application Control モードについて』を参照してください。
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
アップデーターの使用
4
アップデーターの使用
保護対象システムで、大半のソフトウェア アプリケーションと実行可能ファイルは定期的に更新されていません。特
定の正規ファイルやプログラムをアップデーターとして指定すると、保護機能と改ざん防止機能を無効にすることが
できます。
新しいソフトウェアをインストールしたり、既存のソフトウェア コンポーネントを更新するために頻繁に使用される
コンポーネントがある場合には、更新モードではなく、このコンポーネントを更新プログラムとして指定することを
お勧めします。 更新モードを使用すると、すべてのコンポーネントに更新アクション (ソフトウェアの追加、変更、
削除など) の実行が許可されます。コンポーネントを選択して更新プログラム権限を付与できるので、このようなコ
ンポーネントを更新プログラムとして追加することをお勧めします。 更新モードでは、有効なすべての読み取り/書
き込み保護が無効になります。
更新プログラムとは
アップデーターは、システムの更新が許可された承認コンポーネントです。
デフォルトでは、コンポーネントにアップデーター権限を付与すると、付属のコンポーネントもアップデーター権限
を自動的に継承します。たとえば、Adobe 8.0 をアップデーターとして設定すると、必要なすべてのファイルに定期
的にパッチを適用します。
更新プログラムは、グローバルに適用されます。アプリケーションまたはライセンス特有のものではありません。 プ
ログラムが更新プログラムとして定義されると、保護されたファイルを変更できます。
更新プログラムに指定するには、コンポーネントが次のいずれかの要件を満たしている必要があります。
要件
説明
コンポーネントがホワ
イトリストに追加され
ている。
アップデーターとして追加できるのは、ホワイトリストに存在しているサポート タイプの
コンポーネントだけです。たとえば、ホワイトリストにある AcroRd32.exe をアップデ
ーターに指定すると、Adobe Reader の自動更新が許可されます。
承認済みのバイナリと
してコンポーネントが
定義されている必要が
あります。
回避策として、承認済みのバイナリを更新プログラムとして追加することもできます。た
だし、この操作は、許可されたバイナリでソフトウェア コンポーネントを更新する必要が
ある場合にのみ行ってください。 更新プログラム権限をバイナリ ファイルに割り当てる
場合には慎重に行ってください。 更新が完了したらすぐにバイナリ ファイルから更新プ
ログラム権限を削除してください。 承認済みのバイナリ ファイルが更新プログラムとし
て指定されていると、保護されたシステムで、これらのバイナリ ファイルに関連する他の
バイナリ ファイルによって変更を行うことができます。
たとえば、cmd.exe をアップデーターとして設定し、このアップデーターから実行可能フ
ァイルを起動すると、実行可能ファイルが保護対象システムで任意の変更を行うことがで
きます。
セキュリティ ギャップを避けるため、同じファイルを許可されたバイナリと更新プログラ
ムの両方に設定しないでください。
ファイルを更新プログラムとして指定する方法については、
『更新プログラムとして追加す
るファイルを指定する』を参照してください。
Application Control では、システムを頻繁に更新する可能性がある一般的なアプリケーションにデフォルトのアッ
プデーター権限が事前に定義されています。これらのアプリケーションはデフォルト アップデーターとなります。
たとえば、Yahoo、Oracle、McAfee 製品には、デフォルトのアップデーター権限が定義されています。
更新プログラムを追加するタイミング
システムでソフトウェア コンポーネントの自動更新を頻繁に行うプログラムがあります。 このようなプログラムを
更新プログラムとして追加すると、ソフトウェア コンポーネントの更新を許可することができます。
システムで頻繁に変更を行うスクリプト、インストーラー、バイナリ、ユーザーをアップデーターとして追加します。
McAfee Application Control 7.0.0
製品ガイド
29
4
適用された保護状態の変更
アップデーターの使用
更新プログラムとして追加する方法
インストーラー、スクリプト、バイナリ、ユーザー、証明書などのコンポーネントをアップデーターとして追加でき
ます。
コンポーネン
ト
例
インストーラ
更新プログラムとしてインストーラーを追加すると、保護対象システムのソフトウェア コンポー
ー (Windows) ネントを自動的に更新できます。
• Windows インストーラー
たとえば、Windows インストーラー (HotFix、KB893803) をアップデーターとして追加し、
保護されたファイルまたはレジストリ キーの自動更新を実行するには、次のコマンドを指定し
ます。
sadmin updaters add WindowsInstaller-KB893803-v2-x86.exe
• Microsoft インストーラー (MSI ベースのインストーラー)
たとえば、MSI ベースのインストーラー (Ica32Pkg.msi) をアップデーターとして追加し、保
護されたファイルまたはレジストリ キーの自動更新を実行するには、次のコマンドを指定しま
す。
sadmin updaters add Ica32Pkg.msi
スクリプト
スクリプトをアップデーターとして追加し、スクリプトにアップデーターの権限を付与します。ア
ップデーター権限のあるスクリプトは、保護対象システムで更新操作を行うことができます。
sadmin updaters add <scriptname>
sadmin updaters add myscript12.bat
Windows プラットフォームで、/C パラメーターを指定して cmd インタープリターを実行し
(cmd /C)、更新プログラムとしてスクリプトを実行します。 たとえば、cmd /C
myscript12.bat を実行します。 /C パラメーターを使用すると、指定したコマンドを実行して
停止することができます。
Windows Server 2003 (IA64) と Windows Server 2012 を除くすべての Windows プラット
フォームで、スクリプトを更新プログラムとして追加できます。
バイナリ
バイナリをアップデーターとして追加し、バイナリにアップデーターの権限を付与します。アップ
データー権限のあるバイナリを実行すると、保護対象のバイナリとソフトウェア コンポーネント
を更新できます。Windows プラットフォームでは、バイナリは実行可能ファイル (.exe) に分類
されます。
sadmin updaters add <binaryname>
sadmin updaters add update.exe
30
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
アップデーターの使用
4
コンポーネン
ト
例
ユーザー
(Windows)
アップデーターとしてユーザーを追加すると、ユーザーは保護対象システムで更新操作を実行でき
ます。
sadmin updaters add –u <username>
sadmin updaters add –u <username>
sadmin updaters add –u john_smith
ドメイン ユーザーの場合:
sadmin updaters add –u john_smith@mycompany.com
sadmin updaters add –u mydomain\john_smith
証明書
(Windows)
選択した証明書を更新プログラムとして追加すると、選択した証明書で署名されたすべてのコンポ
ーネントに更新プログラム権限を割り当てることができます。 選択した証明書で署名されたコン
ポーネントは、システム上のバイナリに変更を行い、新しいアプリケーションを開始できます。 証
明書に更新プログラム権限を割り当てる場合には、十分に注意して慎重に行ってください。 『証
明書の使用』を参照してください。
証明書を更新プログラムとして追加できるのは、Windows プラットフォームだけです。
たとえば、Internet Explorer アプリケーションをアップデーターとして署名する Microsoft 証
明書を追加すると、Internet Explorer は任意のアプリケーションをダウンロードして実行できま
す。
Application Control は、X.509 証明書 (ベース 64 エンコーディング) にのみ対応しています。
sadmin cert add –u <certfilename>
sadmin cert add –u firefox.cer
現在実行中のプロセスをアップデーターとして追加できます。
ホワイトリストを作成すると、一時フォルダーはすべて無視され、ホワイトリストにも追加されません。アップデー
ター権限を持つプロセスが一時フォルダーにバイナリを作成すると、ファイルを実行され、バイナリがホワイトリス
トに追加されます。必要な引数を指定して sadmin updaters コマンドを実行すると、アップデーターの追加、一
覧表示または削除を行うことができます。
Application Control のデフォルトの設定を変更して、よく利用されるアプリケーションを実行したり、デフォルト
の更新プログラムに追加できます。 これらのアプリケーションをデフォルトの更新プログラムに追加できます。
•
新しいコードのダウンロード、インストール、実行を行うセットアップ システム。例: Microsoft のソフトウェ
ア更新とカスタム バイナリ
•
アプリケーションの手動更新。例: ウイルス対策
システムでホワイトリストを作成すると、Application Control がデフォルトの更新プログラムを設定します。
Application Control は、デフォルトの更新プログラムが市販 (COTS) のアプリケーションを実行し、更新できるよ
うにデフォルトの設置を更新します。 Finetune ユーティリティでデフォルトの更新プログラムを設定することも
できます。 Finetune ユーティリティの詳細については、
『Finetune を使用してデフォルトの更新プログラムを更新
する』を参照してください。
McAfee Application Control 7.0.0
製品ガイド
31
4
適用された保護状態の変更
アップデーターの使用
アップデーターを追加する
様々なコンポーネントをアップデーターとして追加し、ソフトウェア コンポーネントの更新を許可することができま
す。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin updaters add <filename>
以下の表では、サポートされる引数、機能、使用例を説明します。
引
数
説明
-d
アップデーターとして追加するバイナリ ファイルの子プロセスをアップデーター権限の継承から除外し
ます。
sadmin updaters add –d <filename>
sadmin updaters add –d winlogon.exe
-n
アップデーターとして追加するファイルのイベント ロギングを無効にします。
sadmin updaters add –n <filename>
sadmin updaters add –n winlogon.exe
-l
指定したライブラリ名が実行ファイルに読み込まれた場合にのみ、アップデーターとして実行ファイルを
追加します (Windows)。
sadmin updaters add -l <associated libraryname> <filename>
sadmin updaters add –l system32\wuauserv.dll svchost.exe
-t
次の操作を実行します。
• アップデーターとして追加するファイルにタグを追加します。
sadmin updaters add -t <associated tag> –l <associated libraryname>
<filename>
sadmin updaters add –t Win_up_schedule1 –l system32\wuauserv.dll svchost.exe
• アップデーターとしてタグ付きのユーザー名を追加します。
sadmin updaters add –t <tagname> –u <username>
sadmin updaters add –t McAfee001 -u john_smith
32
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
アップデーターの使用
4
引
数
説明
-p
親の実行ファイル (Windows) または親のプログラム (Linux) が実行中の場合にのみ、バイナリ ファイ
ルを更新プログラムとして追加します。
sadmin updaters add -p <parentname> <filename>
sadmin updaters add –p svchost.exe iexplore.exe
-u
アップデーターとしてユーザーを追加します (Windows)。指定したユーザーにすべての更新操作が許可
されます。
–u 引数を指定する場合、-l、-p、-d、–n などの他の引数は使用できません。
sadmin updaters add –u <username>
更新プログラムとして追加可能なユーザー名のタイプは次のとおりです。
• 簡単な名前
例: john_smith
単純な名前を指定すると、この名前を持つすべてのドメイン ユーザーがアップデーターとして追加され
ます。
• ドメイン名 (ユーザー名@ドメイン名)
例: john_smith@mycompany.com.
• 階層的なドメイン名 (ドメイン名\ユーザー名)
例: mydomain\john_smith
バイナリを右クリックして [<更新プログラムのユーザー名> として実行] を選択した場合、バイナリがホ
ワイトリストに追加され、実行が許可されている場合に限り、更新プログラムとしてバイナリが実行され
ます。
アップデーターとして追加するファイルを指定する
ファイル名またはチェックサム値を使用して、ファイルを指定します。
以下の表では、更新プログラムとして追加するファイルの指定方法を説明します。
McAfee Application Control 7.0.0
製品ガイド
33
4
適用された保護状態の変更
アップデーターの使用
方法
説明
ファイル名を指定し
ます。
アップデーターとしてファイル名を追加すると、アップデーター権限がファイル名に適用さ
れます。パスを変更しても、アップデーター権限は有効です。
ファイルの絶対パスまたは相対パスを指定できます。 更新プログラムとしてファイルの絶
対パスを指定すると、そのパスにのみ更新プログラム権限が付与されます。 たとえば、dir
\file.exe を指定すると、dir という名前のディレクトリにある file.exe にのみ更新プ
ログラム ルールが適用されます。
Windows プラットフォームの場合、ドライブ文字を含むフルパスを指定すると、ドライブ
文字は無視されます。 たとえば、C:\foo\bar.exe と指定すると、\foo\bar.exe に更
新プログラム ルールが追加され、ドライブ文字は無視されます。
ファイル チェックサ
ムを指定する
(Windows)
ファイル チェックサムを更新プログラムとして追加すると、このチェックサムのファイルだ
けが更新プログラムとして追加されます。 ファイルのソースに関係なく、チェックサム値が
一致すると、ファイルが更新プログラムとして追加されます。 ファイル チェックサムを更
新プログラムとして追加できるのは、Windows プラットフォームだけです。
アップデーターとして追加するチェックサム値を指定するには、sadmin auth –a –u –c
<checksumvalue> コマンドを使用します。
たとえば、システムに Adobe Acrobat の複数のバージョンが存在し、特定のバージョンに
だけ実行を許可するには、実行ファイルのチェックサム値を更新プログラムとして指定しま
す。 実行ファイルのチェックサム値を更新プログラムとして追加すると、製品の必要なバー
ジョンにだけ実行を許可できます。 『チェックサム値の使用』を参照してください。
スクリプトの場合、アップデーターとして追加するチェックサム値を指定できません。この
方法では、アップデーターとしてスクリプトを追加することはできません。
Finetune を使用してデフォルトの更新プログラムを更新する (Windows のみ)
Finetune ユーティリティを使用すると、商用オフザシェルフ (COTS) を実行するようにデフォルトのシステム構成
を更新し、デフォルトのアップデーターを追加できます。
KnowledgeBase に記載されているように、Finetune アプリケーションは Application Control で承認され、設定
の変更を実行することができます。 Application Control がインストールされていれば、バッチ ファイル
(finetune.bat) を使用して Finetune を配備できます。 ただし、特定のアプリケーションを実行するために、こ
のユーティリティを使用してホワイトリストのカスタマイズを追加または削除にできます。
Finetune のオプションのヘルプを参照するには、次のコマンドを実行します。
finetune.bat help
タスク
説明
デフォルトのアップデーターにア 設定ファイルでデフォルトのアップデーターにアプリケーションを追加するに
プリケーションを追加する。
は、次のコマンドを実行します。
finetune.bat add A-Application
例:
finetune.bat add A-McAfee
デフォルトのアップデーターから 設定ファイルでデフォルトのアップデーターからアプリケーションを削除する
アプリケーションを削除する。
には、次のコマンドを実行します。
finetune.bat remove A-Application
例:
finetune.bat remove A-McAfee
属性「A」はアプリケーション ID を表します。finetune.bat help コマンドを実行すると、すべての ID を表示で
きます。
34
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
アップデーターの使用
4
推奨プログラムをアップデーターとして追加する
Windows システムにアップデーターとして追加可能なプログラムの一覧を確認できます。この機能は、機能リスト
で discover-updaters と表示されます。
有効モードで実行すると、Application Control 保護機能は正当なアプリケーションの実行を妨げる場合があります
(必要なルールが定義されていない場合)。Application Control は、保護対象ファイルを変更したり、その他の実行
ファイルを実行したりするため、承認された実行ファイルによるこのようなエラー要求をすべて追跡します。 エラー
要求に関する情報を確認すると、更新プログラム ルールを識別したり、正当なアプリケーションが正常に実行される
ようにできます。 この機能は Windows プラットフォーム上でのみ使用できます。
タスク
1
更新プログラムとして追加可能なコンポーネントのリストを取得するには、次のコマンドを実行します。
sadmin diag
システムでアップデーターとして追加し、更新操作を許可できるプログラムの一覧が表示されます。
診断リストを確認して、setup.exe などの一般的な名前で制限付きのプログラムが承認済みの更新プログラムと
して設定されていないことを確認します。
このコマンド実行すると、出力に次の設定パラメーターが表示されます。
記号
設定ルール
!
プログラムの設定が存在します。次の行に既存の設定が表示されます。
*
これは、制限付きのプログラム用の設定で、システムに対する変更を可能にします。 このようなプログ
ラムの設定は制限する必要があります。
* と ! プログラムの設定は存在しますが、プログラムを正常に実行するには、一部の設定を変更する必要があ
ります。
2
次のいずれかの手順を実行します。
•
診断済みの設定の変更を適用するには、次のコマンドを実行します。
sadmin diag fix
このコマンドは、* が付いたルールを修正しません (* は制限付きプログラム)。
•
制限付きプログラムに診断済みの設定の変更を適用するには、次のコマンドを実行します。
sadmin diag fix -f
制限付きプログラムは、Windows の重要なプログラムです。たとえば、services.exe、winlogon.exe、
svchost.exe、explorer.exe などが該当します。
アップデーターの一覧を表示する
システムでアップデーターとして定義されているコンポーネントの一覧を表示します。
タスク
•
更新プログラムのリストを表示するには、次のコマンドを実行します。
sadmin updaters list
更新プログラムを削除する
システムに追加された更新プログラムを削除して、ソフトウェア コンポーネントに対する変更を制限します。
以下のいずれかの方法で更新プログラムを削除できます。
McAfee Application Control 7.0.0
製品ガイド
35
4
適用された保護状態の変更
アップデーターの使用
すべてのコンポーネントを消去する
更新プログラム リストからすべてのコンポーネントを消去します。
タスク
•
更新プログラム リストからすべてのコンポーネントを消去するには、次のコマンドを実行します。
sadmin updaters flush
特定のコンポーネントを削除する
更新プログラム リストから特定のコンポーネントを削除します。
タスク
•
更新プログラム リストから特定のコンポーネントを削除するには、次のコマンドを実行します。
sadmin updaters remove
次の表では、更新プログラムとして登録された特定のコンポーネントを削除する方法を説明します。
コンポーネント
例
インストーラー
(Windows でのみ使用
可能)
更新プログラム リストからインストーラーを削除します。
sadmin updaters remove <installername>
sadmin updaters remove Ica32Pkg.msi
スクリプト
更新プログラム リストからスクリプトを削除します。
sadmin updaters remove <scriptname>
sadmin updaters remove myscript12.bat
バイナリ
更新プログラム リストからバイナリを削除します。
sadmin updaters remove <binaryname>
sadmin updaters remove update.exe
Windows で、このコマンドを使用した後でプロセスを再起動すると、更新プログラ
ム リストから削除されます。 Linux プラットフォームの場合、プロセスの再起動は
不要です。
ユーザー (Windows)
更新プログラム リストからユーザーを削除します。
sadmin updaters remove -u <username>
sadmin updaters remove -u john_smith
このコマンドを使用した後でシステムを再起動すると、更新プログラム リストからユ
ーザーが削除されます。
36
McAfee Application Control 7.0.0
製品ガイド
4
適用された保護状態の変更
証明書の使用
証明書の使用
ATM、ストレージ システム、POS システムの製造元は、システムを保護するために Application Control を組み込
んでいます。 これらの製造元は、証明書を追加して更新操作を実行する基本的なユーザーとなります。 一般の企業
もこの方法で更新を実行できます。
Application Control では、ソフトウェア パッケージに関連付けられ、信用された証明書に保護対象システムでの実
行が許可されます。 信用済みまたは承認済みとして証明書を追加すると、この証明書が署名したすべてのソフトウェ
アを保護対象システムで実行できます。更新モードに切り替える必要はありません。 たとえば、Adobe のコード署
名証明書を追加する場合、Adobe が発行して Adobe の証明書で署名されるすべてのソフトウェアは実行を許可され
ます。
任意の組織内アプリケーションを保護対象システムで実行できるようにするには、内部の証明書を使用してアプリケ
ーションに署名し、内部の証明書を信頼済みとして定義します。これを実行すると、証明書によって署名されたすべ
てのアプリケーションが許可されます。
証明書に更新プログラム権限を付与することもできます。 システムで追加または変更され、更新プログラム権限のあ
る証明書で署名されたアプリケーションとバイナリ ファイルはホワイトリストに自動的に追加されます。 更新プロ
グラムの詳細については、『更新プログラムの使用』を参照してください。
このオプションを選択すると、信用された証明書で署名されたすべてのバイナリ ファイルが更新プログラム権限を取
得することになります。このオプションはよく考えて使用してください。 たとえば、Internet Explorer アプリケー
ションを更新プログラムとして署名する Microsoft 証明書を設定すると、Internet Explorer は任意のアプリケーショ
ンをダウンロードして実行できるようになります。 実際には、信用された証明書で署名されたアプリケーションが更
新プログラム権限で追加または変更したファイルは、ホワイトリストに自動的に追加されます。
証明書を抽出する
バイナリ ファイルから証明書を抽出するには、ScGetCerts ユーティリティを使用します。 このユーティリティは、
ホワイトリストが作成されていないシステムでも実行できます。
このユーティリティは製品に同梱されており、Application Control のインストール ディレクトリにインストールさ
れます。このユーティリティのデフォルトの場所は C:\Program Files\McAfee\Solidcore\Tools
\ScGetCerts です。
証明書を抽出するコマンドの構文は次のとおりです。
scgetcerts.exe [<FILEPATH: filename|directory>] [OUTPUT PATH] [--cab] <-A> <-O>
<-n|-c> [<DOMAIN>] [<USERNAME>] [<PASSWORD>]
バイナリ ファイルから証明書を抽出するには、ファイル名付きのファイル パスを指定するか、バイナリ ファイルが
存在するディレクトリ パスを指定します。ディレクトリ名、証明書またはインストーラーの情報を指定すると、すべ
てのバイナリ ファイルから証明書が抽出され、指定したディレクトリに保存されます。抽出後の証明書またはインス
トーラーの情報 (あるいはその両方) を保存する出力ディレクトリ パスを指定します。
次の表に、使用可能なパラメーターを示します。
パラメー
ター
説明
--cab
cab ファイルから証明書を抽出する場合に指定します。--cab パラメーターを指定する場合、-O パラ
メーターも指定する必要があります。
-A
これはオプションのパラメーターです。バイナリ ファイルからすべての証明書を抽出する場合に指定
します。デフォルトでは、ルート証明書だけが抽出されます。
-O
これはオプションのパラメーターです。証明書だけを抽出し、他の情報を抽出しない場合に指定しま
す。--cab パラメーターを指定する場合には、このパラメーターも指定する必要があります。
McAfee Application Control 7.0.0
製品ガイド
37
4
適用された保護状態の変更
証明書の使用
パラメー
ター
説明
-c
バイナリ ファイルのパスがネットワーク上でアクセス可能かどうか確認する場合に指定します。
-n
これはオプションのパラメーターです。ネットワーク上のディレクトリ パスを認証する場合に指定し
ます。-n オプションは、ディレクトリ パスを指定する場合にのみ使用します。
–n または –c パラメーターを使用する場合には、ドメイン、ユーザー名、パスワードを指定します。
証明書を追加する
信用または承認された証明書として証明書を追加し、この証明書で署名されたソフトウェアを保護対象システムで実
行します。
Application Control は、X.509 証明書のみに対応しています。
38
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
証明書の使用
4
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin cert add
使用可能な既存の証明書を使用するか、署名済みのバイナリ ファイルから証明書を抽出します。 署名済みのバイ
ナリから証明書を抽出するには、ScGetCerts.exe (<Install_dir>\Tools\ScGetCerts\ScGetCerts
.exe) を使用します。 『証明書を抽出する』を参照してください。
構文
説明
sadmin cert add
<certificatename>
証明書を信頼済みとして追加します。
例:sadmin cert add mcafee.cer
sadmin cert add –c
信用された証明書のコンテンツを指定するには、-c 引数を使用します。
<certificatecontent>
例: sadmin cert add –c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sadmin cert add –u
<certificatename>
信用された証明書を更新プログラムとして追加するには、-u 引数を使用します。
例:
sadmin cert add –u mcafee.cer
このオプションを選択すると、信用された証明書で署名されたすべてのバイナリ ファ
イルが更新プログラム権限を取得することになるため、このオプションはよく考えて
使用してください。 たとえば、Internet Explorer アプリケーションを更新プログラ
ムとして署名する Microsoft 証明書を設定すると、Internet Explorer はインターネ
ットから任意のアプリケーションをダウンロードして実行できるようになります。 実
際には、証明書で署名されたアプリケーションが更新プログラム権限で追加または変
更したファイルは、ホワイトリストに自動的に追加されます。
McAfee Application Control 7.0.0
製品ガイド
39
4
適用された保護状態の変更
証明書の使用
証明書を表示する
Application Control 証明書ストアの証明書を表示して、信用できる証明書がシステムに追加されていることを確認
します。
タスク
•
40
コマンド プロンプトで次のコマンドを実行します。
構文
説明
sadmin cert
list
信頼済みまたは承認済みとして Application Control 証明書ストアに追加されている証
明書の SHA1 を表示します。
sadmin cert
list -d
システムに追加された証明書の発行者と件名を表示します。
sadmin cert
list -u
アップデーター権限が設定された証明書をすべて表示します。
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
証明書の使用
4
証明書を削除する
Application Control 証明書ストアから証明書を削除し、信用または承認ステータスを削除します。 このような証明
書を使用しても、信用された証明書で署名されたソフトウェアを保護対象システムで実行することはできません。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin cert remove
構文
説明
sadmin cert remove
<SHA1>
SHA1 値を使用して信用された証明書として追加された証明書を削除します。 証明
書の SHA1 値を指定して、Application Control 証明書ストアから証明書を削除しま
す。
例:
sadmin cert remove 7ecf2b6d72d8604cf6217c34a4d9974be6453dff
sadmin cert remove – 指定された証明書コンテンツを Application Control 証明書ストアから削除するに
c
は、-c 引数を使用します。
<certificatecontent>
例:
sadmin cert remove –c
MIIFGjCCBAKgAwIBAgIQbwr3oyE8ytuorcGnG3VhpDANBgkqhkiG9w0BAQUFADCB
tDELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL
ExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTswOQYDVQQLEzJUZXJtcyBvZiB1c2Ug
YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYSAoYykwNDEuMCwGA1UEAxMl
VmVyaVNpZ24gQ2xhc3MgMyBDb2RlIFNpZ25pbmcgMjAwNCBDQTAeFw0wNTEyMTAw
MDAwMDBaFw0wNjEyMTAyMzU5NTlaMIHdMQswCQYDVQQGEwJVUzETMBEGA1UECBMK
Q2FsaWZvcm5pYTERMA8GA1UEBxMIU2FuIEpvc2UxIzAhBgNVBAoUGkFkb2JlIFN5
c3RlbXMgSW5jb3Jwb3JhdGVkMT4wPAYDVQQLEzVEaWdpdGFsIElEIENsYXNzIDMg
LSBNaWNyb3NvZnQgU29mdHdhcmUgVmFsaWRhdGlvbiB2MjEcMBoGA1UECxQTSW5m
b3JtYXRpb24gU3lzdGVtczEjMCEGA1UEAxQaQWRvYmUgU3lzdGVtcyBJbmNvcnBv
cmF0ZWQwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAJcS8Tyuz/JSB6XlyV5Z
d02tIo4iZoXANFxbGVXS3Yg4v7zIR8k2K0Tzzpmz3Y00Qr237nTslDnLb4rMx9Fr
+DmH1Fq2CwQBCVTnrwbtdUyv2v977Fc05B09WEJvZmvcm22iNrfpCV5wqd7OTp1F
qP2HIMa0ihztWAc3R9cn8xPPAgMBAAGjggF/MIIBezAJBgNVHRMEAjAAMA4GA1Ud
DwEB/wQEAwIHgDBABgNVHR8EOTA3MDWgM6Axhi9odHRwOi8vQ1NDMy0yMDA0LWNy
bC52ZXJpc2lnbi5jb20vQ1NDMy0yMDA0LmNybDBEBgNVHSAEPTA7MDkGC2CGSAGG
+EUBBxcDMCowKAYIKwYBBQUHAgEWHGh0dHBzOi8vd3d3LnZlcmlzaWduLmNvbS9y
cGEwEwYDVR0lBAwwCgYIKwYBBQUHAwMwdQYIKwYBBQUHAQEEaTBnMCQGCCsGAQUF
BzABhhhodHRwOi8vb2NzcC52ZXJpc2lnbi5jb20wPwYIKwYBBQUHMAKGM2h0dHA6
Ly9DU0MzLTIwMDQtYWlhLnZlcmlzaWduLmNvbS9DU0MzLTIwMDQtYWlhLmNlcjAf
BgNVHSMEGDAWgBQI9VHo+/49PWQ2fGjPW3io37nFNzARBglghkgBhvhCAQEEBAMC
BBAwFgYKKwYBBAGCNwIBGwQIMAYBAQABAf8wDQYJKoZIhvcNAQEFBQADggEBAFY7
rAYt9WjCDFQ+YNHfnEZxav3zhGhTdTwqGpWZJh/wg9IgLnyRqMnoQNjDFsSCduxf
FryGREMwCHI/PvEYq7hKZsUXSGWRNl+Auuomg0OFGG1ZlBv/rWtQEbwmGKgtwXMD
Dm2IYY3t7O7shG3KW4qHg+Tq04pR8VGTGJodwZWEsj9JavErsujI7SFDMkj9xFz4
VD/ilkWF+AyzSLAyUTq797y/7TsG5Y1SeMtze49cVbJVRrbGtq3kSzF56adsA4Hv
v2CjM379GkYX0Atro74YLEwcfwdAogZ+F+XtOU9CR48bPvkFP5xMLUJ46HPs1u83
Jk2lrr5OYmtMqd7f0
sadmin cert flush
McAfee Application Control 7.0.0
Application Control 証明書ストアから証明書をすべて削除します。
製品ガイド
41
4
適用された保護状態の変更
チェックサム値の使用
チェックサム値の使用
システムに適用された保護状態を変更するには、チェックサム値に従って特定のバイナリを承認します。
チェックサム (SHA1) 値でバイナリを承認すると、保護対象システムでの実行が許可されます。バイナリがホワイト
リストに追加されていなくても、承認バイナリとして設定されていると、システムでの実行が許可されます。チェッ
クサム (SHA1) 値でバイナリを承認すると、バイナリのソースに関わらず、チェックサム値に一致したときにバイナ
リの実行が許可されます。
承認バイナリにアップデーター権限を付与することもできます。承認バイナリをアップデーターとして設定すると、
実行権限以外にアップデーター権限が付与されます。アップデーターとして設定された承認バイナリは、保護対象シ
ステムでソフトウェアの更新を実行できます。インストーラーもチェックサムで承認し、アップデーターとして設定
できます。これにより、新しいソフトウェアのインストールとソフトウェア コンポーネントの更新が許可されます。
たとえば、チェックサムで Microsoft Office 2010 スイートのインストーラーを承認し、アップデーターとして設定
すると、チェックサムが一致したときに、インストーラーを保護対象システムで実行し、Microsoft Office スイート
をインストールできます。
バイナリを承認する
バイナリを承認すると、保護対象システムでの実行を許可できます。
タスク
•
バイナリを承認するには、次のコマンドを実行します。
sadmin auth -a [-t tagname] -c <checksumvalue>
構文
説明
sadmin auth –a –c
<checksumvalue>
承認するバイナリのチェックサム値を指定します。
例:
sadmin auth –a –c 803291bcc5aa45a0221b4016f62d63a26d3ee4af
sadmin auth –a [–t
tagname] –c
<checksumvalue>
タグ名と承認するバイナリのチェックサム値を追加します。
例:
sadmin auth –a –t Win_up_schedule1 –c
803291bcc5aa45a0221b4016f62d63a26d3ee4af
sadmin auth –a –u –
c <checksumvalue>
バイナリを承認して、アップデーター権限を付与します。承認してアップデーター
として追加するバイナリのチェックサム値を指定します。
例:
sadmin auth –a –u –c 803291bcc5aa45a0221b4016f62d63a26d3ee4af
42
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
バイナリ名の使用
4
バイナリを禁止する
保護対象システムでバイナリの実行を制限します。
タスク
•
バイナリを禁止するには、次のコマンドを実行します。
sadmin auth -b -c <checksumvalue>
構文
説明
sadmin auth –b –c
<checksumvalue>
禁止するバイナリのチェックサム値を指定します。
例:
sadmin auth –b –c 803291bcc5aa45a0221b4016f62d63a26d3ee4af
sadmin auth –b –t
<tagname> –c
<checksumvalue>
タグ名と禁止するバイナリのチェックサム値を追加します。
例:
sadmin auth –b –t AUTO_1 –c
583291bcc5aa45a0221b4016f62d63a26d3ee9at
承認されたバイナリと禁止されたバイナリを表示する
保護対象システムで承認されたバイナリと禁止されたバイナリの一覧を表示します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin auth -l
このコマンドを実行すると、保護対象システムで承認されたバイナリと禁止されたバイナリの一覧がを表示され
ます。アップデーターとして追加されたバイナリの一覧も表示されます。
承認バイナリまたは禁止バイナリを削除する
システムで承認または禁止されたバイナリを削除すると、承認バイナリの実行を制限したり、禁止されたバイナリか
ら禁止ルールを削除することができます。
タスク
•
承認または禁止されたバイナリを次の方法で削除します。
構文
説明
sadmin auth -r
<checksumvalue>
削除するバイナリのチェックサム値を指定します。
例:
sadmin auth –r 803291bcc5aa45a0221b4016f62d63a26d3ee4af
sadmin auth -f
承認バイナリまたは禁止バイナリをすべて削除します。このコマンドを実行すると、シ
ステム上で承認または禁止されているバイナリがすべて削除されます。
バイナリ名の使用
バイナリ (プログラムまたはファイル) の名前を指定して実行を承認すると、適用済みの保護を上書きできます。
保護対象システムでの実行を承認するバイナリ名を指定すると、システムまたはネットワーク ディレクトリに存在す
る同じ名前のバイナリの実行が許可されます。 同様に、名前を指定してバイナリを禁止すると、同じ名前のバイナリ
の実行が禁止されます。
McAfee Application Control 7.0.0
製品ガイド
43
4
適用された保護状態の変更
バイナリ名の使用
名前でバイナリ ファイルの実行を許可する
バイナリ ファイルの名前を指定して、保護対象システムでのバイナリの実行を許可します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin attr add -a <filename>
例: sadmin attr add -a setup.exe
バイナリの絶対パスを指定すると、必要なバイナリだけに実行を許可できます。
例: sadmin attr add -a "C:\Program Files\Google\Picasa3\setup.exe"
Windows プラットフォームの場合、ドライブ文字が切り捨てられます。 このため、C 以外のドライブに
\Program Files\Google\Picasa3\setup.exe というファイル パスが存在する場合、このファイルにも実
行が許可されます。
名前でバイナリ ファイルの実行を禁止する
バイナリ ファイルの名前を指定して、保護対象システムでのバイナリの実行を制限します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin attr add -u <filename>
例: sadmin attr add -u setup.exe
バイナリの絶対パスを指定すると、必要なバイナリだけに実行を禁止できます。
例: sadmin attr add -u "C:\Program Files\Google\Picasa3\setup.exe"
Windows プラットフォームの場合、ドライブ文字が切り捨てられます。 このため、C 以外のドライブに
\Program Files\Google\Picasa3\setup.exe というファイル パスが存在する場合、このファイルも実行
が禁止されます。
承認または禁止されたバイナリを表示する
保護対象システムで承認または禁止されたバイナリ名のリストを表示します。
タスク
•
44
コマンド プロンプトで次のコマンドを実行します。
コマンド
説明
sadmin attr list -a
承認されたバイナリ名のリストを表示します。
sadmin attr list -u
禁止されたバイナリ名のリストを表示します。
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
信頼できるディレクトリの使用
4
承認されたルールと禁止されたルールを削除する
バイナリの名前で承認ルールを削除すると、承認されたバイナリの実行を制限できます。 バイナリの名前で禁止ルー
ルを削除すると、禁止されたバイナリの実行を許可できます。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
コマンド
説明
sadmin attr
remove -a
<filename>
追加されたルールを削除し、名前で指定したバイナリを承認します。 ルールの追加で
使用したバイナリ名またはパスを指定します。
sadmin attr
remove -u
<filename>
追加されたルールを削除し、名前で指定したバイナリを禁止します。 ルールの追加で
使用したバイナリ名またはパスを指定します。
sadmin attr
flush -a
すべてのバイナリから名前で承認ルールを削除します。
sadmin attr
flush -u
すべてのバイナリから名前で禁止ルールを削除します。
信頼できるディレクトリの使用
信頼できるディレクトリを使用すると、システムに適用された保護状態を変更することができます。ディレクトリを
信頼済みとして追加すると、これらのディレクトリにあるソフトウェアの実行が許可されます。
Windows プラットフォームの場合、Application Control はファイルを追跡し、ネットワーク ディレクトリにある
バイナリとスクリプトの実行を阻止します。Application Control は、Server Message Block (SMB) マウント ポ
イントのファイルも追跡できます。この機能は、機能リストで network-tracking と表示されます。デフォルトで
は、この機能は有効になっています。ネットワーク ディレクトリのバイナリとスクリプトは実行されません。
この機能を無効にすると、ネットワーク ディレクトリ上でスクリプトの実行が許可されます。ただし、ネットワーク
ディレクトリのバイナリは実行できません。また、ネットワーク ディレクトリ上のコンポーネントには書き込み保護
または読み取り保護が適用されません。
信用できるディレクトリとは
保護対象システムで、信頼できるディレクトリとしてディレクトリ (ローカルまたはネットワーク共有) を追加する
と、これらのディレクトリにあるソフトウェアを実行することができます。信頼できるディレクトリは、UMC
(Universal Naming Convention) パスで指定します。
信用できるディレクトリを追加するタイミング
組織の内部ネットワーク上の共有フォルダーにライセンス アプリケーションのインストーラーを保存する場合、この
ネットワーク共有を信頼できるディレクトリを追加する必要があります。
Application Control を有効にすると、Application Control はネットワーク共有のファイルを追跡します。信頼で
きる共有として追加されるまで、ネットワーク共有上のファイルの実行を阻止します。また、保護対象システムもネ
ットワーク共有上のコードを実行できなくなります。
必要に応じて、UNC パスに配置されたソフトウェアが保護対象エンドポイント上でソフトウェアをインストールす
るよう許可することもできます。 たとえば、保護対象のシステムからドメイン コントローラーにログオンするとき、
スクリプトとバイナリの実行を許可するため、\\domain‑name\SYSVOL を信用できるディレクトリとして定義する
必要があります。
McAfee Application Control 7.0.0
製品ガイド
45
4
適用された保護状態の変更
信頼できるディレクトリの使用
信頼できるディレクトリを追加する
信用できるディレクトリとしてディレクトリを追加し、このディレクトリにあるソフトウェアを保護対象のシステム
で実行します。 1 つ以上のディレクトリの絶対パスまたは相対パス (Linux のみ) を指定します。 ネットワーク共
有のディレクトリ パスを指定することもできます。
以下の表では、信用できるディレクトリの追加方法を説明します。
構文
説明
sadmin trusted –i
<pathname1...pathnameN>
信頼できるディレクトリとして追加するディレクトリのパスを指定します。ネ
ットワーク共有にあるディレクトリのパスも指定できます。
例:
• sadmin trusted –i C:\Documents and Settings\admin\Desktop
\McAfee (Windows)
• sadmin trusted –i \\192.168.0.1\documents
• sadmin trusted –i /etc/security (Linux)
ディレクトリ パスの指定方法については、
『ディレクトリ パスの指定ガイドライ
ンに従う』を参照してください。
sadmin trusted –u
<pathname1...pathnameN>
信頼できるディレクトリとして追加するディレクトリのパスを指定します。こ
のコマンドは、ディレクトリ内のすべてのバイナリとスクリプトをアップデータ
ーとして追加します。ネットワーク共有にあるディレクトリのパスも指定でき
ます。
例:
• sadmin trusted –u C:\Documents and Settings\admin\Desktop
\McAfee (Windows)
• sadmin trusted –u \\192.168.0.1\documents
このコマンドにボリューム名を指定し、このボリュームのすべてのバイナリと
スクリプトを更新プログラムとして追加しても、信用できるボリュームを追加
できます。 sadmin trusted –i -u <volumename> コマンドを使用して、
ボリューム名を指定します。
ディレクトリ パスの指定方法
Windows と Linux ではネットワーク ファイル システムがサポートされています。マウントされたネットワーク
ファイル システムのディレクトリ パスは、次の方法で指定することができます。
Windows プラットフォーム:
構文
説明
sadmin trusted –i \
\server-name\share-name
ネットワーク共有を持つサーバー名を指定します。また、ネットワーク共有の
名前も指定します。
sadmin trusted –i \
\server-name
サーバー名を指定します。
sadmin trusted –i \\*
すべてのサーバーのネットワーク共有を指定する場合に、この方法を使用しま
す。
Linux プラットフォームの場合、ネットワーク ファイル システムがマウントされると、ローカルのマウント ポイン
トが信頼リストで参照されます。たとえば、ホワイトリストに登録されたサーバー "A" がサーバー "B" にあるリモ
ート ファイル /mnt/ps を実行できるのは、このファイルがサーバー "A" で信頼できる共有として追加される場合
だけです。ネットワーク共有の任意のファイルを実行するには、次のコマンドを使用して、ネットワーク共有を信頼
済みとして設定します。
# sadmin trusted -i /mnt
46
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
信頼できるディレクトリの使用
4
パスにはワイルドカード文字 (*) を使用できます。 ただし、1 つの完全パス コンポーネントのみを表わします。 以
下にいくつかのサンプルを示します。
•
Windows プラットフォームの場合、\abc\*\def は使用できますが、\abc\*.doc、\abc\*.*、\abc\doc.* は
使用できません。
•
Linux のプラットフォームでは、/abc/*/def の使用は許可されていますが、/abc/*.sh、/abc/*.*、または /abc/
doc.* の使用は許可されていません。
信頼できるディレクトリの一覧を表示する
システムで信頼できるディレクトリとして追加されたディレクトリの一覧を表示します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin trusted -l
このコマンドを実行すると、システムに追加された信頼できるディレクトリの一覧が表示されます。
信頼できるディレクトリのリストから特定のディレクトリを除外する
システムで信頼済みとして追加したディレクトリのリストから特定のディレクトリを除外します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin trusted –e <pathname1...pathnameN>
このコマンドに、信頼できるディレクトリのリストから除外する 1 つ以上のディレクトリのパスを指定します。
例:
•
sadmin trusted –e C:\Documents and Settings\admin\Desktop\McAfee (Windows)
•
sadmin trusted –e \\192.168.0.1\documents
•
sadmin trusted –e /etc/security (for Linux)
信頼できるディレクトリを削除する
信頼できるディレクトリを削除して、これらのディレクトリにあるソフトウェアの実行を制限します。
タスク
•
次の方法で、信用されたディレクトリを削除します。
構文
説明
sadmin trusted –r
<pathname1...pathnameN>
信頼できるディレクトリから削除するディレクトリのパスを指定します。
例:
• sadmin trusted –r C:\Documents and Settings\admin
\Desktop\McAfee (Windows)
• sadmin trusted –r \\192.168.0.1\documents
• sadmin trusted –r /etc/security (Linux)
sadmin trusted –f
McAfee Application Control 7.0.0
信頼できるディレクトリのすべてのルールを削除します。この引数と指定
すると、信頼できるディレクトリのすべてのルールがシステムから削除さ
れます。
製品ガイド
47
4
適用された保護状態の変更
信用されたユーザーの使用 (Windows のみ)
信用されたユーザーの使用 (Windows のみ)
更新プログラムとしてユーザーを追加し、保護対象システムでの更新操作を許可できます。 更新プログラム権限をユ
ーザーに付与すると、ユーザーは信用されたユーザーとして定義されます。
信頼できるユーザーとは
信用されたユーザーは、動的にホワイトリストに追加できる更新プログラム権限を持つ承認された Windows ユーザ
ーです。 たとえば、管理者が任意のソフトウェアをインストールまたは更新できるようにするには、信用されたユー
ザーとして管理者を追加します。 ユーザーの情報を追加するときに、ドメインの詳細も追加できます。
信頼できるユーザーを追加する場合
保護対象システムで更新操作を行う必要がある場合、特定のユーザーを信頼できるユーザーとして追加します。
この選択肢はセキュリティ面が最小限になるため、保護対象システムに対する変更を許可できるすべての選択肢の中で
最もお勧めできません。 信用されたユーザーの場合、システムで変更または実行できる対象に制約がありません。信
用されたユーザーを定義する場合には慎重に行ってください。
信頼できるユーザーを追加する
信頼できるユーザーを追加して、保護対象システムでの更新操作を許可します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin updaters add –u <username>
以下の表では、サポートされる引数、機能、使用例を説明します。
48
McAfee Application Control 7.0.0
製品ガイド
4
適用された保護状態の変更
信用されたユーザーの使用 (Windows のみ)
引数 説明
-u
ユーザーを信頼できるユーザーとして追加する場合に –u 引数を指定します (Windows)。指定したユー
ザーにすべての更新操作が許可されます。
次のタイプのユーザー名を信用できるユーザーとして追加できます。
• 簡単な名前
例: john_smith
sadmin updaters add –u john_smith
単純な名前を指定すると、この名前を持つすべてのドメイン ユーザーがアップデーターとして追加され
ます。
• ドメイン名 (ユーザー名@ドメイン名)
例: john_smith@mycompany.com.
sadmin updaters add –u john_smith@mycompany.com
• 階層的なドメイン名 (ドメイン名\ユーザー名)
例: mydomain\john_smith
sadmin updaters add –u mydomain\john_smith
–u 引数を指定すると、sadmin updaters add コマンドの他の引数 (-l、-p、-d、–n など) は使用できま
せん。
更新プログラムの詳細については、『更新プログラムの使用』を参照してください。
-t
–t 引数を指定します。タグ名を使用してユーザーを更新プログラムとして追加します。 タグ名は、この
ルールで処理されたファイルをログで探す場合の識別ラベルになります。
sadmin updaters add –t <tagname> –u <username>
sadmin updaters add –t McAfee001 -u john_smith
信頼できるユーザーの一覧を表示する
信頼できるユーザーの一覧を表示します。システムでアップデーター権限を持つすべてのユーザーを確認できます。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin updaters list
このコマンドを実行すると、信頼できるユーザーとシステムでアップデーターとして定義されている他のコンポ
ーネントが表示されます。
信頼できるユーザーを削除する
信頼できるユーザーの設定を解除すると、ユーザーからアップデーター権限が削除されます。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin updaters remove -u <username>
例: sadmin updaters remove -u john_smith
このコマンドを使用した後でシステムを再起動すると、ユーザーから更新プログラム権限が削除されます。
McAfee Application Control 7.0.0
製品ガイド
49
4
適用された保護状態の変更
ActiveX コントロールの実行許可
ActiveX コントロールの実行許可
特定の Web サイトやプログラムを使用するときに、ActiveX コントロールのインストールが必要になる場合があり
ます。 デフォルトでは、Application Control は保護対象の Windows システムで ActiveX コントロールのインス
トールを阻止し、ACTX_INSTALL_PREVENTED イベントが生成されます。
ActiveX の機能により、保護対象のシステムに ActiveX コントロールをインストールして実行します。 この機能は
デフォルトで有効になっています。Windows Server 2012 を除くすべての Windows オペレーティング システム
で使用可能です。 ActiveX コントロールのインストールをサポートしているのは、Internet Explorer のみです。
ActiveX コントロールのインストールは、Internet Explorer (32 ビット) でのみ可能です。 Internet Explorer で
複数のタブを使用し、ActiveX コントロールを同時にインストールすることはできません。
ActiveX コントロールを許可する
保護対象システムで、Web サイトで必要な ActiveX コントロールをインストールして実行するには、Web サイトの
証明書を Application Control 証明書ストアに追加します。
タスク
•
コマンド プロンプトで次のコマンドを実行して、証明書を追加します。
sadmin cert add <certificatefilename>
証明書の追加方法については、『証明書の使用』を参照してください。
ActiveX コントロールの実行をブロックする
Web サイトに必要な ActiveX コントロールをアンインストールするには、Web サイトの証明書を Application
Control 証明書ストアから削除します。
タスク
•
許可された ActiveX コントロールの実行をブロックする方法は次のとおりです。
シナリオ
説明
以前に許可され、現在システムに 次のコマンドを実行して、Application Control 証明書ストアから証明書を
インストールされていない
削除します。
ActiveX コントロールの実行をブ sadmin cert remove <certificatefilename>
ロックする。
システムに ActiveX コントロールがインストールされていない場合、Web
サイトの証明書を削除すると、ActiveX コントロールの実行がブロックされ
ます。
証明書が Application Control
1 次のコマンドを実行して、Application Control 証明書ストアから Web
証明書ストアに追加され、システ
サイトの証明書を削除します。
ムに ActiveX がインストールさ
sadmin cert remove <certificatefilename>
れている場合に ActiveX コント
ロールの実行をブロックする。
2 [プログラムの追加と削除] (Windows 2003、2008、XP) または [プロ
グラムと機能] (Windows Vista 以降) を使用して、インストールされて
いる ActiveX コントロールを削除します。
50
McAfee Application Control 7.0.0
製品ガイド
適用された保護状態の変更
別のスクリプトの実行を許可するインタープリターの設定
4
ActiveX 機能を無効にする
ActiveX 機能を無効にして、実行中の ActiveX コントロールを停止します。
タスク
•
次のコマンドを実行して、ActiveX の機能を停止します。
sadmin features disable activex
この機能を有効または無効にする場合に、再起動の必要はありません。
別のスクリプトの実行を許可するインタープリターの設定
Application Control を使用すると、スクリプトの実行を制御できます。 ただし、スクリプトは実行ファイルのよう
に実行されません。 スクリプトを実行するには、スクリプトの構文と命令を解釈するインタープリターが必要です。
インタープリターは、スクリプトに記述された命令を実行するためのプロセスです。 ファイルの拡張子とファイルの
コンテンツを解釈するインタープリターを関連付けることができます。
デフォルトでは、Application Control は標準のインタープリターとスクリプト ファイルに対応しています。たとえ
ば、Windows オペレーティング システムのバッチ ファイル (.bat)、コマンド インタープリター (.cmd)、スクリ
プト ファイル (.vbs)、システム ファイル (.sys)、パワー シェル ファイル (.ps1)、コマンド ファイル (.com) を
サポートしています。
インタープリターを追加する
インタープリターとスクリプトを追加して、ホワイトリストに追加する追加スクリプトの実行を許可します。インタ
ープリターとスクリプトを追加すると、スクリプトがホワイトリストに追加され、システムでの実行が許可されます。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin scripts add extension interpreter1 [interpreter2]...
関連付けが完了すると、これらのファイルはサポートされるファイル タイプになり、ホワイトリストの登録対象
になります。 この拡張子のファイルは、特定のインタープリターでのみ実行されます。 例:
sadmin scripts add .vbs wscript.exe cscript.exe
このコマンドを実行すると、Application Control は wscript.exe and cscript.exe に任意の .vbs スクリ
プトの実行を許可します。 この結果は、コマンドの実行後に開始した新しいインタープリター インスタンスにす
ぐに適用されます。 次のように、別のインタープリターを後で追加してリストを拡張することもできます。
sadmin scripts add .vbs zscript.exe
このリストに存在するインタープリターを追加しても、アクションは実行されません。
Application Control は、代理実行として 16 ビット バイナリに対して特殊なタグ 16Bit をサポートしています。
16 ビット バイナリの実行制御を有効にするには、次のコマンドを実行します。
•
sadmin scripts add 16Bit wowexec.exe
•
sadmin scripts add 16Bit ntvdm.exe
McAfee Application Control 7.0.0
製品ガイド
51
4
適用された保護状態の変更
別のスクリプトの実行を許可するインタープリターの設定
インタープリターの一覧を表示する
ホワイトリストに追加されると実行が承認されるインタープリターとスクリプトの一覧を表示します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin scripts list
出力結果は次のようになります。
.ps1 "powershell.exe"
.bat "cmd.exe"
.cmd "cmd.exe"
.pif "ntvdm.exe"
.sys "ntvdm.exe"
.vbe "cscript.exe" "wscript.exe"
16Bit "ntvdm.exe" "wowexec.exe"
.vbs "cscript.exe" "wscript.exe"
.exe "ntvdm.exe"
インタープリターを削除する
実行制御に必要のないスクリプトのインタープリターを削除します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin scripts remove extension [interpreter1 [interpreter2]]...
52
•
このコマンドにインタープリターを指定しないと、リスト全体の拡張子が削除されます。
•
最近ルールが無効になった拡張子のファイルは、sadmin check –r コマンドを実行するか、フ
ァイルをホワイトリストから削除するまでホワイトリストに残ります。
McAfee Application Control 7.0.0
製品ガイド
5
メモリー保護の設定
Application Control では、ゼロデイ攻撃を防ぎ、実行中のプロセスの実行ファイルと DLL の整合性を保護するた
め、Windows プラットフォームに複数のメモリー保護技術を提供しています。
これらの技術は、Windows のネイティブ機能や署名ベースのバッファー オーバーフロー対策製品の保護能力を強化
します。 これらの技術は、サポート対象のすべての Windows オペレーティング システムで使用できます。 メモリ
ー保護技術は、次の種類のエクスプロイトを阻止します。
•
バッファー オーバーフローを悪用した直接的なコードの実行
•
バッファー オーバーフローを悪用し、ROP (Return-Oriented Programming) を使用した間接的なコードの実
行
メモリー保護技術によって阻止されたエクスプロイトの詳細と最新のリストを確認するには、McAfee® Global
Threat Intelligence™ サービスのセキュリティ アドバイザリに登録してください。
目次
メモリー保護機能
CASP を設定する
NX を設定する
強制 DLL 再配置を設定する
メモリー保護機能
メモリー保護技術を使用すると、マルウェアの実行を防ぎ、バッファー オーバーフローを悪用してシステムを乗っ取
る試みを阻止できます。
以下の表では、メモリー保護技術と対応オペレーティングシステム、デフォルト ステータス、イベントについて説明
します。
McAfee Application Control 7.0.0
製品ガイド
53
5
メモリー保護の設定
メモリー保護機能
技法
説明
CASP - 重要なアドレス空間保護
(mp-casp)
非コード領域から実行されるコードを無効にします。 通常、非コード領域か
らコードは実行されません。バッファー オーバーフローが悪用されている可
能性があります。
CASP は、64 ビット Windows プラットフォームで使用できるデータ実行防
止 (DEP) 機能と異なります。 DEP 機能は、非コード領域でのコードの実行
を阻止します (通常、ハードウェアの機能を使用します)。 CASP は、このよ
うなコードの実行を許可しますが、CreateProcess() や DeleteFile() などの
API 呼び出しを許可しません。 エクスプロイト コードは、これらの API で呼
び出しを試みます。 CASP が呼び出しをブロックするので、エクスプロイト
による攻撃は失敗します。
CASP は、Windows 上で実行されるすべてのプロセスを保護しますが、
Windows の整合性保護機能ですでに保護されているプロセスは保護しませ
ん。
CASP は、機能リストで mp-casp と表示されます。sadmin features コ
マンドを使用すると、サポート対象機能の ID を表示できます。
実行ファイルに CASP を実施したり、除外できます。 また、CASP から除外
する実行ファイルを表示したり、消去することもできます。 詳細については、
『CASP を設定する』を参照してください。
NX - No Execute (mp-nx)
対応オペレーティン
グ システム
32 ビット - Windows Server 2008、Windows
Vista、Windows 7、Windows Embedded 7、
Windows 8、Windows Embedded 8、Windows
8.1、Windows Embedded 8.1、Windows 10、
Windows 10 IoT Enterprise
デフォルトの状態
有効
生成されるイベント
PROCESS HIJACKED
Windows の DEP 機能を活用し、書き込み可能なメモリー領域 (スタック/ヒ
ープ) でコードの実行を試みるエクスプロイトからプロセスを保護します。
ネイティブ DEP 以外に、NX はきめ細かいバイパス機能を提供し、違反イベ
ントを生成します。
Windows DEP は、非実行可能なメモリー領域からのコードの実行を阻止する
メモリー保護技術です。 通常、非実行可能領域からのコードの実行は異常な
イベントになります。 多くの場合、バッファー オーバーフローの脆弱性が存
在する場合、エクスプロイトがこの脆弱性を悪用し、非実行可能領域からのコ
ードの実行を試みます。 DEP は 64‑ビット Windows プラットフォームで
使用できます。
NX は、機能リストで mp-nx と表示されます。sadmin features コマンド
を使用すると、サポート対象機能の ID を表示できます。
実行ファイルに NX を実施したり、除外できます。 NX は、WoW64 (または
32 ビット) プロセスにのみ適用されます。 また、NX から除外する実行ファ
イルを表示したり、消去することができます。 詳細については、『NXP を設
定する』を参照してください。
対応オペレーティン
グ システム
64 ビット -Windows Server 2008、Windows
Server 2008 R2、Windows Vista、Windows 7、
Windows Embedded 7、Windows 8、Windows
Embedded 8、Windows 8.1、Windows Embedded
8.1、Windows 10、Windows 10 IoT Enterprise、
Windows Server 2012、Windows Server 2012 R2
この機能は、IA64 アーキテクチャでは使用できま
せん。
54
McAfee Application Control 7.0.0
製品ガイド
5
メモリー保護の設定
CASP を設定する
技法
説明
強制 DLL 再配置
(mp-vasr-forced-relocation)
デフォルトのステー
タス
有効
生成されるイベント
NX_VIOLATION_DETECTED
ネイティブの Windows ASLR 機能から解除されたダイナミック リンク ラ
イブラリ (DLL) を強制的に再配置します。 常に同じアドレスに読み込まれ
る DLL を悪用するマルウェアも存在します。 DLL を再配置することで、これ
らの攻撃を阻止できます。
強制 DLL 再配置技術は、機能リストで mp-vasr-forced-relocation と表示
されます。 使用可能な機能の ID を確認するには、sadmin features コマ
ンドを使用します。
実行ファイルに強制 DLL 再配置を施行したり、除外することができます。 強
制 DLL 再配置から除外する実行ファイルを表示または消去します。 また、指
定したプロセスで読み込まれた DLL モジュールを除外できます。 詳細につ
いては、『強制 DLL 再配置を設定する』を参照してください。
対応オペレーティン
グ システム
32 ビットと 64 ビット -Windows Server 2008、
Windows Server 2008 R2、Windows Vista、
Windows 7、Windows Embedded 7、Windows 8、
Windows Embedded 8、Windows 8.1、Windows
Embedded 8.1、Windows 10、Windows 10 IoT
Enterprise、Windows Server 2012、Windows
Server 2012 R2
デフォルトの状態
有効
生成されるイベント
VASR_VIOLATION_DETECTED
毎日の処理の一部として特殊な方法でコードが実行される場合があります。 メモリー保護技術を使用すると、このよ
うなアプリケーションの実行を阻止できます。
廃止されたメモリー保護技術については、McAfee サポートに連絡してください。
CASP を設定する
非コード領域のコードが API で呼び出されないようにするには、CASP に実行ファイルを追加するルールを設定しま
す。
タスク
構文
説明
CASP から実行ファイルを除外 sadmin attr add –c
<filename1 ...
します。
filenameN>
CASP から除外する 1 つ以上の実行ファイルを指
定します。
実行ファイルに CASP を施行
します。
CASP を施行する 1 つ以上の実行ファイルを指定
します。
McAfee Application Control 7.0.0
sadmin attr remove –
c <filename1 ...
filenameN>
例: sadmin attr add –c alg.exe
例: sadmin attr remove –c alg.exe
製品ガイド
55
5
メモリー保護の設定
NX を設定する
タスク
構文
説明
CASP から除外される実行ファ sadmin attr list –c
イルを表示します。
CASP から除外されるすべての実行ファイルを表示
します。
例: sadmin attr list –c
すべての実行ファイルから
CASP バイパス ルールを消去
します。
sadmin attr flush –c
すべての実行ファイルから CASP バイパス ルール
を削除します。
例: sadmin attr flush –c
NX を設定する
書き込み可能なメモリー領域からコードを実行するエクスプロイトからプロセスを保護するには、ルールを設定して
NX に実行ファイルを追加します。 この技術により、非実行可能なメモリー領域からのコードの実行を防止します。
タスク
構文
説明
NX から実行ファイルを除
外します
sadmin attr add –n
<filename1 ...
filenameN>
NX から除外する 1 つ以上の実行ファイルを指定しま
す。
sadmin attr add –
n -y <filename1 ...
filenameN>
NX から除外する実行ファイル (子プロセスを含む) を指
定します。 -y オプションを指定する場合、-n オプショ
ンも使用する必要があります。
NX から実行ファイルと子
プロセスを除外します。
例: sadmin attr add –n alg.exe
例: sadmin attr add –n -y alg.exe
実行ファイルに NX を施行 sadmin attr remove – NX を施行する 1 つ以上の実行ファイルを指定します。
n <filename1 ...
します。
例: sadmin attr remove –n alg.exe
filenameN>
NX から除外する実行ファ
イルを表示します。
sadmin attr list –n
NX から除外されるすべての実行ファイルを表示します。
例: sadmin attr list –n
sadmin attr flush –n すべての実行ファイルから NXP バイパス ルールを削除
すべての実行ファイルの
NX バイパス ルールを消去
します。
します。
例: sadmin attr flush –n
強制 DLL 再配置を設定する
Windows の ASLR 機能から解除された DLL を利用するマルウェアは、常に同じアドレスに読み込まれます。
このようなマルウェアを阻止するには、1 つ以上の実行ファイルを強制 DLL 再配置に追加するルールを設定します。
この技術は、ネイティブの Windows ASLR 機能から解除された DLL を強制的に再配置します。
56
McAfee Application Control 7.0.0
製品ガイド
メモリー保護の設定
強制 DLL 再配置を設定する
5
タスク
構文
説明
強制 DLL 再配置か
ら実行ファイルを
除外します
sadmin attr add –v
<filename1 ... filenameN>
強制 DLL 再配置から除外する 1 つ以上の保護対象コ
ンポーネントを指定します。
実行ファイルに強
制 DLL 再配置を施
行します。
sadmin attr remove –v
<filename1 ... filenameN>
強制 DLL 再配置か
ら除外される実行
ファイルを表示し
ます。
sadmin attr list –v
すべての実行ファ
イルから強制 DLL
再配置ルールを消
去します。
sadmin attr list –v
特定のプロセスで
読み込まれた DLL
モジュールを除外
します。
sadmin attr add -o
module=<DLLmodulename> -v
<processname>
McAfee Application Control 7.0.0
例: sadmin attr add –v AcroRD32.exe
強制 DLL 再配置を施行する 1 つ以上の保護対象コン
ポーネントを指定します。
例: sadmin attr remove –v AcroRD32.exe
強制 DLL 再配置から除外されるすべてのコンポーネ
ントを表示します。
例: sadmin attr list –v
すべての実行ファイルから強制 DLL 再配置ルールを
削除します。
例: sadmin attr flush –v
プロセスの DLL モジュール名を除外します。
例: sadmin attr add –o
module=wuauserv.dll -v svchost.exe
製品ガイド
57
5
メモリー保護の設定
強制 DLL 再配置を設定する
58
McAfee Application Control 7.0.0
製品ガイド
6
システムのメンテナンス
Application Control の機能を使用すると、環境内のシステムを保守および管理することができます。
目次
製品のステータスとバージョンを表示する
ホワイトリストを管理する
詳細除外フィルター (AEF)
製品の機能を管理する
パッケージ コントロール
緊急時の変更
パスワード保護を有効または無効にする
イベントを使用して変更を確認する
ログ ファイルの設定
システムのランタイム環境
大量の配備とシステム アップグレードの管理
Application Control を無効にする
製品のステータスとバージョンを表示する
Application Control のステータスを表示して、動作モード、再起動後の動作モード、ホワイトリストのステータス
など製品ステータスの詳細を確認します。 管理対象構成の場合、McAfee ePO との接続も確認できます。
Application Control のバージョンを表示すると、インストールされている製品の詳細と著作権情報を確認できます。
タスク
1
次の手順に従って Application Control のステータスを確認します。
a
コマンド プロンプトで次のコマンドを実行します。
単一ボリュームの詳細を表示するには、[Volume] を追加します。
sadmin status [volume]
McAfee Application Control 7.0.0
製品ガイド
59
6
システムのメンテナンス
ホワイトリストを管理する
b
この例に類似したメッセージにシステムの詳細が表示されます。 以下の表では、フィールドと意味を説明し
ます。
McAfee Solidifier: Disabled
McAfee Solidifier on reboot: Disabled ePO Managed:
No
Local CLI access: Recovered [fstype] [status] [driver status]
* NTFS Solidified Unattached C:\
2
[volume]
ステータスの詳
細
説明
McAfee
Solidifier
Application Control の動作モードを表します。
McAfee
Solidifier on
reboot
システム再起動後の Application Control の動作モードを表します。
McAfee ePO
Managed
Application Control と McAfee ePO の接続状況を表します。 スタンドアロン構成の場
合、このステータスは No になります。
Local CLI
access
ローカル CLI のステータスを表します (lockdown または recovered)。スタンドア
ロン構成の場合、このステータスは Recovered になります。
fstype
ボリュームでサポートされているファイル システムを表します。
status
システムでサポートされているボリュームのホワイトリストのステータスを表します。
ボリューム名を指定した場合、そのボリュームのホワイトリスト ステータスだけが表示さ
れます。
driver status
Application Control ドライバーがボリュームに読み込まれているかどうかを表します。
ドライバーがボリュームに読み込まれている場合、ステータスが attached になり、読
み込まれていない場合には unattached になります。
volume
ボリューム名が表示されます。
システムにインストールされている Application Control のバージョン情報と著作権情報を確認するには、次の
コマンドを実行します。
sadmin version
ホワイトリストを管理する
システム保守の重要な部分はホワイトリストの管理です。ホワイトリストを管理するために、様々なタスクを実行し
ます。
タスク
•
61 ページの「ホワイトリスト スレッドの優先度」
ホワイトリスト スレッドの優先度 (SoPriority) により、ホワイトリストの作成に必要なシステム リ
ソースと時間が決まります。
•
61 ページの「操作を追加または削除する」
初期のホワイトリストに新しいコンポーネントを追加し、保護対象システムでの実行を許可します。 必
要であれば、ホワイトリストからコンポーネントを削除することもできます。
•
62 ページの「リスト操作」
システムでホワイトリストに登録または登録されていないファイル、ディレクトリ、ドライブ/ボリュー
ムのリストを表示します。
•
63 ページの「ホワイトリストのコンポーネントの状態を確認して更新する」
現在のホワイトリストの状態と、ホワイトリスト内のファイル、ディレクトリ、ボリュームのチェック
サム値を確認します。最新でない場合、ホワイトリストを更新し、矛盾を解決することができます。
60
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
ホワイトリストを管理する
6
ホワイトリスト スレッドの優先度
ホワイトリスト スレッドの優先度 (SoPriority) により、ホワイトリストの作成に必要なシステム リソースと時間
が決まります。
Windows オペレーティング システムで最初のホワイトリストを作成する前に、ホワイトリスト スレッドの優先度
を設定できます。 デフォルトでは、スレッドは優先度低 (値 0) で実行されます。スレッドの優先度を指定しないと、
Application Control はデフォルトの優先度でホワイトリストを作成します。
次のコマンドを実行して、SoPriority 値を指定します。
sadmin config set SoPriority=<value>
SoPriority には必要に応じて値を指定します。 以下の表では、SoPriority に指定可能な値を説明します。
値 優先度
利点と欠点
0
低 (推奨) ホワイトリストの作成に時間がかかりますが、システムへの影響は最小限に抑えることができます。
1
中
該当なし
2
高
作成時間は短くなりますが、多くのシステム リソースが必要になります。システムのパフォーマン
スに影響を及ぼす可能性があります。
操作を追加または削除する
初期のホワイトリストに新しいコンポーネントを追加し、保護対象システムでの実行を許可します。 必要であれば、
ホワイトリストからコンポーネントを削除することもできます。
ファイル名、ディレクトリ名またはボリューム名でコンポーネントを指定します。
ホワイトリストからシステム ドライブまたはボリュームを削除しないでください。この操作を行うと、ブルー スクリ
ーンが表示されたり、システム障害が発生する可能性があります。
アクション
コマンド構文
説明
ホワイトリストにコンポ
ーネントを追加します。
sadmin solidify
[<arguments>
<components>]
初期のホワイトリストが作成されると、このリストにないコン
ポーネントの実行はブロックされます。 必要に応じて、複数の
コンポーネントをホワイトリストに追加できます。
ホワイトリストからすべ
てのコンポーネントを削
除します。
sadmin
unsolidify
このコマンドを実行すると、ホワイトリストからすべてのコン
ポーネントが削除されます。 ホワイトリストからコンポーネ
ントを削除すると、Application Control で保護されなくなりま
す。
ホワイトリストから特定
のコンポーネントを削除
します。
sadmin
unsolidify
[<arguments>
<components>]
ホワイトリストから削除するコンポーネントを指定します。
この表の説明に従って、コンポーネントを追加または削除できます。
コンポ
ーネン
ト
説明
ファイ
ル名
ホワイトリストにファイルを追加します。 以下に例を示します。
sadmin solidify filename1 ... filenameN
ホワイトリストからファイルを削除します。 以下に例を示します。
sadmin unsolidify filename1 ... filenameN
ディレ
クトリ
名
指定したディレクトリに存在する対応ファイルをホワイトリストに再帰的に追加します。 以下に例を示
します。
sadmin solidify directoryname1 ... directorynameN
McAfee Application Control 7.0.0
製品ガイド
61
6
システムのメンテナンス
ホワイトリストを管理する
コンポ
ーネン
ト
説明
1 つ以上のディレクトリの対応ファイルをホワイトリストから削除します。 以下に例を示します。
sadmin unsolidify directoryname1 ... directorynameN
ボリュ
ーム名
指定したシステム ボリュームに存在する対応ファイルをホワイトリストに再帰的に追加します。 以下に
例を示します。
sadmin solidify volumename1 ... volumenameN
1 つ以上のシステム ボリュームの対応ファイルをホワイトリストから削除します。 以下に例を示しま
す。
sadmin unsolidify volumename1 ... volumenameN
ファイ
ル名
ディレ
クトリ
名
ボリュ
ーム名
サポートされる引数を次のコマンドに指定することもできます。
• 追加 - sadmin solidify [ –q | –v ] filename1 ... filenameN |
directoryname1 ... directorynameN | volumename1 ... volumenameN
• 削除 - sadmin unsolidify [ –v ] filename1 ... filenameN | directoryname1 ...
directorynameN | volumename1 ... volumenameN
引数の説明は次のとおりです。
• -q 引数を指定すると、エラー メッセージだけが表示されます。
• -v 引数を指定すると、すべてのメッセージが表示されます。
リスト操作
システムでホワイトリストに登録または登録されていないファイル、ディレクトリ、ドライブ/ボリュームのリストを
表示します。
アクション
コマンド構文
説明
ホワイトリストに登録さ
れたコンポーネントのリ
ストを表示します。
sadmin
list-solidified
このコマンドを使用して、ホワイトリストに登録されたコ
ンポーネントのリストを表示します。 結果を絞り込むに
は、ファイル、ディレクトリ、ドライブ/ボリュームの名前
を指定します。
ホワイトリストに登録さ sadmin
れていないコンポーネン list-unsolidified
トのリストを表示します。
このコマンドを使用して、ホワイトリストに登録されてい
ないコンポーネントのリストを表示します。 結果を絞り
込むには、ファイル、ディレクトリ、ドライブ/ボリューム
の名前を指定します。
この表のようにコンポーネントを指定すると、結果を絞り込むことができます。
コンポ
ーネン
ト
説明
ファイ
ル名
指定したファイル リストでホワイトリストに登録されているファイルのリストを表示します。 このコマ
ンドにファイル名を 1 つだけ指定すると、ファイルがホワイトリストに登録されている場合にのみファイ
ル名が表示されます。 ファイル セットでホワイトリストに登録されているファイルのリストを表示する
には、ファイル セットを指定します。 以下に例を示します。
sadmin list-solidified filename1 ... filenameN
指定したファイル リストでホワイトリストに登録されていないファイルのリストを表示します。 このコ
マンドにファイル名を 1 つだけ指定すると、ファイルがホワイトリストに登録されていない場合にのみフ
ァイル名が表示されます。 ファイル セットでホワイトリストに登録されていないファイルのリストを表
示するには、ファイル セットを指定します。 以下に例を示します。
sadmin list-unsolidified filename1 ... filenameN
62
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
詳細除外フィルター (AEF)
6
コンポ
ーネン
ト
説明
ディレ
クトリ
名
指定したディレクトリでホワイトリストに登録されているファイルのリストを表示します。 以下に例を
示します。
sadmin list-solidified directoryname1...directorynameN
指定したディレクトリでホワイトリストに登録されていないファイルのリストを表示します。 特定のデ
ィレクトリでホワイトリストに登録されていないファイルのリストを表示するには、このコマンドにディ
レクトリ名を指定します。 以下に例を示します。
sadmin list-unsolidified directoryname1...directorynameN
ボリュ
ーム名
指定したドライブ/ボリュームでホワイトリストに登録されているファイルのリストを表示します。 以下
に例を示します。
sadmin list-solidified volumename1...volumenameN
指定したボリュームでホワイトリストに登録されていないファイルのリストを表示します。 特定のボリ
ュームでホワイトリストに登録されていないファイルのリストを表示するには、このコマンドにボリュー
ム名を指定します。 以下に例を示します。
sadmin list-unsolidified volumename1...volumenameN
ファイ
ル名
ディレ
クトリ
名
ファイルの種類、ファイル パス、ファイルのチェックサムなど、ファイルに関する詳細を表示します。
以下に例を示します。
sadmin list-solidified [ -l ] filename1 ... filenameN |
directoryname1...directorynameN | volumename1...volumenameN
ボリュ
ーム名
ホワイトリストのコンポーネントの状態を確認して更新する
現在のホワイトリストの状態と、ホワイトリスト内のファイル、ディレクトリ、ボリュームのチェックサム値を確認
します。最新でない場合、ホワイトリストを更新し、矛盾を解決することができます。
ホワイトリストのコンポーネントが変更または削除され、ホワイトリストが更新されていない場合、これらのコンポ
ーネントの実行が Application Control によってブロックされます。 この結果、ホワイトリストで矛盾が生じます。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin check [ -r ] file | directory | volume
結果を絞り込むには、このコマンドにファイル、ディレクトリ、ドライブ/ボリュームの名前を指定します。
また、このコマンドに -r 引数を指定することもできます。 この引数を使用すると、コンポーネントの最新のチ
ェックサム値でホワイトリストが更新され、コンポーネントが存在しない場合にはリストに追加されます。これ
により、すべての不一致が修正されます。 コンポーネントを指定しないと、対応ドライブ/ボリュームに存在する
すべての不一致が修正されます。
詳細除外フィルター (AEF)
条件を組み合わせて使用すると、特定の変更を報告しないように詳細フィルターを定義できます。
たとえば、tomcat.exe 以外のすべてのプログラムが tomcat.log ファイルに行う変更を監視するとします。この
場合、tomcat.exe がログ ファイルに行ったすべての変更を除外するように、詳細フィルターを定義します。これ
により、所有者以外のプログラムがログ ファイルを変更した場合、イベントのみを受信できます。
McAfee Application Control 7.0.0
製品ガイド
63
6
システムのメンテナンス
詳細除外フィルター (AEF)
ここで定義したフィルターは、すべてのイベントを除外する場合と類似しています。filename は <log-file>、
program name は <owner-program> になります。AEF を使用すると、定期的にシステムが生成する変更イベント
の中で、監視や監査の必要がないイベントを整理することができます。
特に Web ブラウザーなどのアプリケーションの中には、レジストリ キーにアプリケーションの状態を保存し、いく
つかのレジストリ キーを定期的に更新するものがあります。 たとえば、ESENT 設定は Windows エクスプローラ
ー アプリケーションによって定期的に変更され、レジストリ キー変更イベントを生成します。 このような状態の変
更は定期的に行われ、モニタリングや報告の対象にする必要はありません。 AEF を定義すると、コンプライアンス
要件を満たすのに必要なイベントを削除することが可能になり、イベント リストには重要な通知のみが表示されるこ
とが保証されます。
AEF を追加または削除する
詳細フィルターを追加すると、指定したコンポーネントに対する変更を除外し、受信する通知を制限できます。
AEF を削除して除外した通知を追加し、特定のコンポーネントに対する変更を受信することもできます。 AEF を削
除すると、除外したコンポーネントに対するすべての変更が通知されます。 この結果、意味のないイベントがイベン
ト リストに含まれる可能性があります。
アクション
コマンド構文
AEF を追加する
sadmin aef add [component <condition> value]
1 つまたは複数の AEF を削除する
sadmin aef remove [component <condition> value]
すべての AEF を削除する
sadmin aef flush
このコマンドにコンポーネント、条件、値を指定します。
コンポーネント
値
説明
ファイル
ファイル パス
AEF の追加:
sadmin aef add [file <condition> PATH]
AEF の削除:
sadmin aef remove [file <condition> PATH]
レジストリ キー
レジストリ パス
AEF の追加:
sadmin aef add [reg <condition> PATH]
AEF の削除:
sadmin aef remove [reg <condition> PATH]
プロセス
プロセス パス
AEF の追加:
sadmin aef add [process <condition> PATH]
AEF の削除:
sadmin aef remove [process <condition> PATH]
ユーザー
ユーザー名
AEF の追加:
sadmin aef add [user <condition> USER-NAME]
AEF の削除:
sadmin aef remove [user <condition> USER-NAME]
イベント
イベント名
AEF の追加:
sadmin aef add [event equals EVENT_NAME]
64
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
詳細除外フィルター (AEF)
コンポーネント
値
6
説明
AEF の削除:
sadmin aef remove [event equals EVENT_NAME]
複数のコンポーネン
ト
指定したコンポーネントで AEF の追加:
サポートされる値
フィルター ルールに複数のコンポーネントを追加するには、
and 演算子を指定します。
例:
sadmin aef add [file <condition> PATH] and [reg
<condition> PATH] and [process <condition>
PATH] and [user <condition> USER-NAME] and
[event equals EVENT_NAME]
AEF の削除:
sadmin aef remove [file <condition> PATH] and
[reg <condition> PATH] and [process <condition>
PATH] and [user <condition> USER-NAME] and
[event equals EVENT_NAME]
インベントリ データに AEF を追加して、意味のないインベントリ データを除外することもできます。 ただし、この
機能を使用できるのは、McAfee ePO で管理されている構成だけです。 この機能の詳細については、『McAfee
Change Control および McAfee Application Control 7.0.0 製品ガイド』を参照してください。
AEF を追加するコンポーネントに 1 つ以上の条件を指定します。 指定した条件に基づいてフィルター ルールが生
成されます。
条件
AEF を追加する
AEF を削除する
equals
指定した名前ですべてのコンポーネントを追加
します。
指定した名前のコンポーネントをすべて削除
します。
この条件が有効になるのは、イベントを
AEF として追加する場合だけです。
例:
例:
sadmin aef remove file equals C:
\Program Files\Microsoft Download
Manager\MSDownloadManager.exe
sadmin aef add file equals C:
\Program Files\Microsoft Download
Manager\MSDownloadManager.exe
begins
ends
指定した文字でパスが開始するコンポーネント
をすべて追加します。
指定した文字でパスが開始するコンポーネン
トをすべて削除します。
例:
例:
sadmin aef add file begins C:
\Program Files\Adobe
sadmin aef remove file begins C:
\Program Files\Adobe
指定した文字でパスが終了するコンポーネント
をすべて追加します。
指定した文字でパスが終了するコンポーネン
トをすべて削除します。
例:
例:
sadmin aef add file ends rtf
sadmin aef remove file ends rtf
McAfee Application Control 7.0.0
製品ガイド
65
6
システムのメンテナンス
製品の機能を管理する
条件
AEF を追加する
AEF を削除する
contains
指定した文字をパスに含むコンポーネントをす
べて追加します。
指定した文字をパスに含むコンポーネントを
すべて削除します。
例:
例:
sadmin aef add process contains
svchost.exe
sadmin aef remove process contains
svchost.exe
doesnt_contain 指定した文字をパスに含まないコンポーネント
をすべて追加します。
指定した文字をパスに含まないコンポーネン
トをすべて削除します。
例:
例:
sadmin aef add reg doesnt_contain
CurrentControlSet
sadmin aef remove reg
doesnt_contain CurrentControlSet
AEF の一覧を表示する
AEF の一覧を表示します。指定した条件で追加された AEF を確認できます。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin aef list
このコマンドを実行すると、指定した条件でシステムに追加された AEF の一覧が表示されます。
製品の機能を管理する
システムに Application Control をインストールすると、製品の機能がデフォルトの状態に設定されます。 システ
ムを保護するため、機能をデフォルトの状態で使用してください。 設定を変更するために、1 つ以上の機能で状態を
変更が必要になる場合があります。
タスク
66
•
67 ページの「機能を確認する」
システムの Application Control の機能とステータス (有効または無効) を確認します。
•
68 ページの「機能を有効または無効にする」
必要であれば、機能を有効または無効にして、機能のデフォルト ステータスを変更できます。 機能を無
効にすると、システムはその機能で保護されなくなります。
McAfee Application Control 7.0.0
製品ガイド
6
システムのメンテナンス
製品の機能を管理する
機能を確認する
システムの Application Control の機能とステータス (有効または無効) を確認します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin features list
機能のリストが画面に表示されます。
Application Control 6.0.0 以降では、変更を定期的に行う必要がある機能だけが機能リストに表示されます。
機能
説明
デ
フ
ォ
ル
ト
の
ス
テ
ー
タ
ス
対応オペレ
ーティング
システム
activex
保護対象システムに ActiveX コントロールをインストールして実行しま
す。ActiveX コントロールのインストールをサポートしているのは
Internet Explorer だけです。Internet Explorer で複数のタブを使用
し、ActiveX コントロールを同時にインストールすることはできません。
有
効
Windows
チェックサム
実行するファイルのチェックサムとホワイトリストに保存されているチェ
ックサムを比較します。
有
効
Windows、
Linux
読み取り拒否
指定したコンポーネントに読み取り保護を適用します。 この機能が適用さ 無
れたコンポーネントからデータを読み取ることはできません。 読み取り保 効
護を使用するには、Application Control を有効モードで実行する必要があ
ります。
Windows
と Linux
deny-write
指定されたコンポーネントに書き込み保護を設定します。この機能をコン
ポーネントに適用すると、データを保護するため、コンポーネントが読み
取り専用になります。
有
効
Windows、
Linux
更新プログラ
ムの検出
システムに追加可能なアップデーターの一覧を生成します。
有
効
Windows
エンドユーザ
ー通知
Application Control 保護がシステムでのアクションを防止したときに、シ 有
ステムにカスタム通知メッセージを表示します。 この機能を使用できるの 効
は、McAfee ePO で管理されている構成だけです。 この機能の詳細につい
ては、『McAfee Change Control および McAfee Application Control
7.0.0 製品ガイド』を参照してください。
Windows
整合性
Application Control ファイルとレジストリ キーを不正な変更から保護し 有
ます。 コンポーネントがホワイトリストに存在しない場合でも、製品コー 効
ドに実行を許可します。 すべての製品コンポーネントが保護されます。
製品が使用不能にならないように、不正かどうかに関わらず、ホワイトリ
ストからのコンポーネントの削除を防ぎます。 更新モードでは、製品のア
ップグレードを行うため、この機能は無効になっています。
Windows
と Linux
有効モードで実行すると、Application Control 保護機能が正規のアプリケ
ーションの実行を妨げる場合があります (必要なルールが定義されていな
い場合)。 この機能は、承認された実行ファイルが失敗した保護対象ファイ
ルの変更と他のファイルの実行をすべて追跡し、システムで更新を実行で
きる更新プログラムのリストを生成します。
McAfee Application Control 7.0.0
製品ガイド
67
6
システムのメンテナンス
製品の機能を管理する
機能
説明
デ
フ
ォ
ル
ト
の
ス
テ
ー
タ
ス
対応オペレ
ーティング
システム
mp
実行中のプロセスを乗っ取りから保護します。実行中のプロセスに挿入さ 有
れた未承認コードを追跡し、停止させてログに記録します。バッファー オ 効
ーバーフローや類似したエクスプロイトによるシステムの乗っ取りを防ぎ
ます。
Windows
mp-casp
非コード領域で実行されている無効なコードを表示します。32 ビット
有
Windows でバッファー オーバーフローが発生すると、このようなコード 効
の実行が試行されます。
Windows
ネットワーク
追跡
ネットワーク ディレクトリのファイルを追跡し、ネットワーク ディレクト 有
リでのスクリプトの実行を阻止します。 デフォルトでは、この機能は有効 効
になり、ネットワーク ディレクトリでのスクリプトの実行を阻止します。
この機能を無効にすると、ネットワーク ディレクトリでのスクリプトの実
行が許可されます。 また、ネットワーク ディレクトリのコンポーネントに
対する書き込み保護または読み取り保護も無効になります。
Windows
pkg-ctrl
MSI ベースと非 MSI ベースのインストーラーによるインストールとアン
インストールを管理します。
有
効
Windows
スクリプト許
可
サポートされているスクリプト ファイルでも、ホワイトリストに登録され 有
ていないファイルの実行は許可されません。 ホワイトリストに登録されて 効
いるスクリプト ファイルにのみ、システムでの実行が許可されます。 たと
えば、Windows の場合には .bat、.cmd、.vbs などのサポートされるス
クリプト ファイル、Linux の場合には対応のローカル ファイル システム
で #! (シバン) を含むスクリプト ファイルをホワイトリストに追加する
と、実行が許可されます。
Windows
と Linux
スロットル
システムから McAfee ePO サーバーに送信されるデータ (イベント、ポリ 有
シー検出要求、インベントリ更新) のフローを制御します。 この機能を使 効
用できるのは、McAfee ePO で管理されている構成だけです。 詳細につい
ては、『McAfee Change Control および McAfee Application Control
7.0.0 製品ガイド』を参照してください。
Windows
機能を有効または無効にする
必要であれば、機能を有効または無効にして、機能のデフォルト ステータスを変更できます。 機能を無効にすると、
システムはその機能で保護されなくなります。
機能を有効または無効にする前に、McAfee サポートに連絡してください。 製品のコア機能に影響を及ぼし、セキュ
リティ脅威に対して脆弱になる可能性があります。
タスク
•
68
必要に応じて次のコマンドを実行します。
タスク
コマンド
機能を有効にする。
sadmin features enable <featurename>
機能を無効にする。
sadmin features disable <featurename>
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
パッケージ コントロール
6
パッケージ コントロール
パッケージ コントロール機能を使用して、ソフトウェア パッケージのインストールとアンインストールを管理しま
す。
この機能を使用すると、ソフトウェア パッケージのインストール、アンインストール、アップグレード、修復を許可
または拒否できます。 未承認のインストールとアンインストールは、この機能によってブロックされます。
パッケージ コントロールの機能は、次の種類のインストーラーに対応しています。
•
MSI インストーラー - .msp、.mst、.msm など、複数のバージョンに対応しています。
•
EXE ベースのインストーラー - インストーラーに組み込まれた MSI ファイル。
•
MSI ベース以外のインストーラー - インストーラーに組み込まれた MSI ファイルは除きます。
この機能は、機能リストで pkg-ctrl と表示されます。 デフォルトでは、この機能は有効になっています。更新プロ
グラム、信用されたユーザーなどでルールを追加すると、ソフトウェア パッケージのインストールを許可できます。
詳細については、『保護を上書きする方法』を参照してください。 この機能を無効にすると、ソフトウェアのインス
トールとアンインストールはすべてブロックされます。
この機能は、リリース 6.1.1 と 6.1.2 で再設計されました。 詳細については、『McAfee Application
Control 6.1.1 製品ガイド』と『McAfee Application Control 6.1.2 製品ガイド』を参照してください。
パッケージ コントロールには次のサブ機能があります。
サブ機能
説明
アンインス
トールの許
可
ソフトウェア パッケージのアンインストールを制御します。 この機能を有効にすると、ソフトウェ
アのアンインストールはすべて許可されます。 デフォルトでは、この機能は有効になっています。
機能リストでは pkg-ctrl-allow-uninstall と表示されます。
パッケージ
コントロー
ルのバイパ
ス
パッケージ コントロール機能のバイパスを制御します。 この機能を有効にすると、パッケージ コン
トロール機能がバイパスされ、ソフトウェアのインストールとアンインストールがすべて許可されま
す。 デフォルトでは、この機能は無効になっています。機能リストでは pkg-ctrl-bypass と表示さ
れます。
McAfee Application Control 7.0.0
製品ガイド
69
6
システムのメンテナンス
パッケージ コントロール
パッケージ コントロールを設定する
システムでのソフトウェア パッケージのインストールと削除を制御するパッケージ コントロールを設定します。
タスク
•
パッケージ コントロールを設定するには、次のコマンドを使用します。
アクション
コマンド
説明
機能を無効にします。 sadmin
features
disable
pkg-ctrl
パッケージ コントロールを無効にすると、サブ機能もすべて無効にな
ります。
機能を有効にします。 sadmin
features
enable
pkg-ctrl
パッケージ コントロールを有効にすると、すべてのサブ機能がデフォ
ルトの状態に戻ります。
ただし、バイパス サブ機能を有効にしてパッケージ コントロールを無
効にした場合、パッケージ コントロールを再度有効にすると、バイパ
ス サブ機能も有効になります。
パッケージ コントロールの次のサブ機能を設定します。
機能
デフォ
ルトの
状態
機能の設定
アンインストール
の許可
有効
機能を無効にします。
パッケージ コント 無効
ロールのバイパス
システムでソフトウェア パッケージの削
除ができなくなります。
sadmin features disable
pkg-ctrl-allow-uninstall
機能を有効にします。
sadmin features enable
pkg-ctrl-allow-uninstall
機能を有効にします。
sadmin features enable
pkg-ctrl-bypass
パッケージ コントロールの機能がバイパ
スされ、ソフトウェア パッケージのイン
ストールとアンインストールが制御でき
なくなります。
機能を無効にします。
sadmin features disable
pkg-ctrl-bypass
パッケージ コントロールの設定
パッケージ コントロールとそのサブ機能を設定すると、要件に従ってソフトウェア パッケージのインストールを許
可、承認またはブロックできます。また、アンインストールの許可またはブロックも制御できます。
デフォルトでは、パッケージ コントロールとアンインストール許可が有効になっています。 システムから任意のソ
フトウェアをアンインストールできます。 ただし、ソフトウェアのインストールは、更新プログラム (名前またはパ
ス別)、ユーザー、ディレクトリ、更新プログラムの証明書、更新プログラムのチェックサムなどの定義済みルールに
従って許可されます。 ルールの詳細については、『適用済みの保護の上書き』を参照してください。
デスクトップと System Center Configuration Manager (SCCM) で管理された環境の場合には、このデフォルト
の設定を使用してください。 この設定ではソフトウェアの変更、修復、削除またはアップグレード操作が許可される
ので、次の場合に便利です。
70
•
明示的なソフトウェア アップグレード。
•
Windows 更新によるソフトウェア アップグレード。
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
緊急時の変更
6
•
チェーン インストールの場合には、新しいソフトウェア パッケージのインストール中にソフトウェアのアップグ
レードを行います。
•
電源障害またはインストール中にシステムを再起動した場合には、ロールバックします。 これは、中断したイン
ストールといいます。 インストーラーは実行中のインストール操作を追跡します。 再開すると、中断したインス
トールをロールバックするか、中断地点からインストールを再開します。
必要であれば、デフォルトの設定を変更できます。
•
アンインストール許可機能を無効にする - システムからのソフトウェアのアンインストールを防止します。 た
だし、ソフトウェアのインストールは定義済みのルールに従って許可されます。 この設定は、専用端末またはサ
ーバー環境の場合、アップグレードを除くすべてのアクションに使用します。 この設定ではソフトウェアの変更、
修復、削除またはアップグレードがブロックされるので、サーバー環境でソフトウェアをアップグレードする場
合には、デフォルトの設定を切り替える必要があります。
•
パッケージ コントロール機能のバイパスを有効にする - システムですべてのソフトウェアのインストールとア
ンインストールを許可します。
•
パッケージ コントロール機能を無効にする - システムですべてのソフトウェアのインストールとアンインスト
ールを防止します。
•
システムを更新モードに切り替える - システムですべてのソフトウェアのインストールとアンインストールを
許可します。
緊急時の変更
Application Control を更新モードで実行し、保護対象システムで緊急時の変更を行います。
製品を有効にすると、システムに対して定期的な変更や緊急時の変更を行うことができます。製品を更新モードで実
行すると、システムで実行された変更を追跡できます。 有効モードの Application Control で実行できない変更を
行う場合には、更新モードを使用してください。 可能であれば、変更を許可する他の方法を使用してください。
•
信用されたユーザー
•
チェックサム値
•
信用されたディレクトリ
•
更新プログラム
•
信用された証明書
有効モードで新しいソフトウェアをインストールしたり、新しいバイナリ ファイルを追加する場合、信用された方法
で追加していない限り、ファイルをホワイトリストに追加したり、実行することはできません。 更新モードでソフト
ウェアをインストールまたは削除したり、新しいバイナリ ファイルを追加すると、すべての変更が追跡され、ホワイ
トリストに追加されます。
システムへの変更を認証または承認するため、ユーザーとプログラムがシステムに変更できるように変更ウィンドウ
が定義されます。 更新モードでは、次のタスクを実行できます。
•
ソフトウェアとパッチのインストール スケジュールを設定する
•
ソフトウェアを削除または変更する
•
ホワイトリストを動的に更新する
更新モードではメモリー保護技術が有効になり、実行中のプログラムに対する攻撃を阻止します。
Application Control は、更新モード中に追加されたファイルに FILE_SOLIDIFIED イベントを生成し、更新モード
中に削除されたファイルに FILE_UNSOLIDIFIED イベントを生成します。 更新モードで書き込み保護のファイル
が変更されたり、名前が変更されると、対応する更新モード イベント (FILE_MODIFIED_UPDATE、
FILE_RENAMED_UPDATE など) が生成されます。
更新モードの場合、有効モードまたは無効モードに切り替えることができます。
McAfee Application Control 7.0.0
製品ガイド
71
6
システムのメンテナンス
パスワード保護を有効または無効にする
更新モードに切り替える
システムに緊急の変更または定期的な変更を行うには、Application Control を更新モードに切り替えます。 製品が
有効または無効モードの場合、次の手順で更新モードに切り替えます。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin begin-update [workflow-id [comment]]
コマンドに次の引数を指定することもできます。
属性
説明
workflow-id 更新モードの現行セッションのワークフロー ID を指定します。この ID は、変更管理やチケッ
ティング システムで使用されます。
ワークフロー ID を指定しないと、AUTO_n というワークフロー ID が自動的に生成されます。
更新ウィンドウが開くたびに、n の値が 1 つずつ増加します。
comment
更新モードの現行セッションのコメントを指定します。
このコメントは、変更管理またはチケッティング システムで使用されます。
Application Control が有効モードの場合、更新モードに切り替わります。
Application Control が無効モードの場合、以下のいずれかの手順に従います。
手順
説明
システムを再起動しま
す。
システムを再起動すると、製品が更新モードに切り替わります。 更新モードに切り替
えるには、システムを再起動してください。
Application Control
サービスを再起動しま
す。
あるいは、Application Control サービスを再起動して更新モードに切り替えること
もできます。 ただし、サービスの再起動後は使用できる機能がせい g んされます。
メモリー保護などの主要な製品機能が無効になります。すべての機能を有効にするに
は、システムの再起動が必要です。
更新モードを終了する
システムで予定された変更、緊急変更、パッチのインストール、ソフトウェアの更新を行った後で、更新モードを終
了します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin end-update
パスワード保護を有効または無効にする
ユーザーが重要な sadmin コマンドを実行しないように制限するには、パスワード保護を有効にします。パスワード
保護を有効にすると、ユーザーが正しいパスワードを入力した場合にのみ、Application Control はこれらのコマン
ドの実行を許可します。パスワード保護が必要でない場合には、パスワードを削除します。これにより、すべての
sadmin コマンドの実行が可能になります。
パスワードは、SHA2 ハッシュ アルゴリズムで暗号化されます。パスワードの詳細を保護するため、ハッシュを計算
する前にランダムな数字がパスワードに追加されます。
SHA2 のサブセットである SHA5012 暗号化アルゴリズムが 512 ビットのハッシュを生成し、レインボー テーブル
攻撃からパスワードを保護します。
72
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
イベントを使用して変更を確認する
6
タスク
1
sadmin passwd コマンドを入力して、パスワードを設定します。
パスワードを設定すると、正しいパスワードを入力しない限り、重要なコマンドが実行できなくなります。 重要
でない一部のコマンドは、パスワードを入力しなくても実行できます。
-z スイッチを使用すると、パスワード入力のプロンプトを非表示にできます。 これは、すべての CLI コマンドで
使用できます。
•
パスワードが設定されていると、Application Control はパスワードの入力を要求します。古いパスワードを
入力して、Enter を押します。新しいパスワードを入力し、確認のため、同じパスワードを再度入力するよ
うに指示されます。
•
パスワードが設定されていないと、Application Control は新しいパスワードの入力を要求します。新しいパ
スワードを設定し、確認のため、同じパスワードを再度入力します。
2
sadmin passwd -d コマンドを入力して、パスワードを削除します。
3
Enter キーを押します。
イベントを使用して変更を確認する
Application Control は、保護対象のコンポーネントで発生したすべての変更にイベントを生成します。 イベントを
使用すると、変更を確認し、システムで発生した未承認の実行や障害を診断できます。
保護対象のリソースでアクセスまたは変更が発生すると、システムでイベントが生成されます。 Application
Control は、システムの変更を追跡し、イベントを記録します。 たとえば、保護対象のファイルの属性またはコンテ
ンツが変更されると、対応するイベントが生成されます。
タスク
•
73 ページの「イベント シンクを設定する」
イベントは、イベント シンクという場所に保存されます。
•
74 ページの「イベント キャッシュ サイズを設定する」
イベント キャッシュ サイズの上限と下限を設定します。イベントは、イベント シンクの前にキャッシ
ュに保存されます。
•
75 ページの「イベントを表示する」
システムで Application Control 固有のイベントを表示して、製品関連の変更を追跡します。
イベント シンクを設定する
イベントは、イベント シンクという場所に保存されます。
様々なイベント シンクにイベントを記録できます。
•
オペレーティング システム ログ (oslog)
•
システム コントローラー (sc)
sc イベント シンクが有効な場合、イベントを McAfee ePO に送信します。
•
デバッグ出力 (debuglog)
•
ポップアップ (Windows のみ)
イベントを確認して、システムで発生した変更を追跡できます。 生成される Application Control イベントとその
説明については、『Application Control イベント リスト』 を参照してください。
McAfee Application Control 7.0.0
製品ガイド
73
6
システムのメンテナンス
イベントを使用して変更を確認する
イベントに設定したイベント シンクを確認するには、イベント シンクの詳細を表示します。複数のイベントが必要
な場合、指定したイベント リンクにイベントを追加できます。特定のイベント シンクにイベントを記録したくない
場合には、そのイベント シンクへのロギングを停止できます。
タスク
コマンド
説明
イベントを
追加する
sadmin event
sink -a
<event_name>
<sink_name>
イベント名とイベントを記録するイベント シンクを指定して、イベントを追
加します。 指定したイベントがイベント シンクに追加されます。
イベント シ
ンクの詳細
を表示する
sadmin event
sink
システムで生成されたイベントが記録されるイベント シンクの詳細を表示し
ます。 イベントに関連するイベント シンクを確認できます。 システムで設
定されたイベント シンクの詳細が表示されます。
イベントを
削除する
sadmin event
sink -r
<event_name>
<sink_name>
イベント名とイベントを削除するイベント シンクを指定して、イベントを削
除します。 イベント シンクからイベントを削除すると、イベント シンクへ
のイベントの記録を停止できます。 イベント シンクからイベントを削除す
るには、次の手順に従います。
イベント キャッシュ サイズを設定する
イベント キャッシュ サイズの上限と下限を設定します。イベントは、イベント シンクの前にキャッシュに保存され
ます。
Application Control は、停止状況に備えて変更イベントをバッファーに保存します。デフォルトでは、バッファー
の制限が 2 MB に設定されています。バッファーの制限がしきい値に近づくと、イベントがシステム ログに記録さ
れ、キャッシュ オーバーフローの可能性が通知されます。バッファーの制限がしきい値を超えると、バッファー内の
イベント数が上限値よりも低くなるまで、新しいイベントが記録されません。
タスク
•
74 ページの「イベント キャッシュ サイズを設定する」
イベント キャッシュ サイズを設定して、イベント キャッシュのバッファー制限を定義します。
•
75 ページの「イベント キャッシュの制限を定義する」
イベント キャッシュの上限と下限を設定します。 制限を設定すると、キャッシュのオーバーフローまた
はオーバーフローからの回復を通知するアラートが生成されます。
イベント キャッシュ サイズを設定する
イベント キャッシュ サイズを設定して、イベント キャッシュのバッファー制限を定義します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin config set EventCacheSize=<value>
EventCacheSize パラメーターに値を指定します。 この値により、イベント キャッシュ サイズが決まります。
74
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
イベントを使用して変更を確認する
6
イベント キャッシュの制限を定義する
イベント キャッシュの上限と下限を設定します。 制限を設定すると、キャッシュのオーバーフローまたはオーバー
フローからの回復を通知するアラートが生成されます。
コマンド
説明
sadmin config set
EventCacheWMHigh=<value>
上限を設定するには、コマンド プロンプトでこのコマンドを実行します。
sadmin config set
EventCacheWMLow=<value>
EventCacheWMHigh パラメーターに値を指定します。 このパラメータ
ーには、イベント キャッシュ サイズの 50% から 100% の間の値を指定す
る必要があります。
下限を設定するには、コマンド プロンプトでこのコマンドを実行します。
EventCacheWMLow パラメーターに値を指定します。 このパラメーター
には、イベント キャッシュ サイズの 20% を超える値を指定する必要があり
ます。 下限の値は常に上限の値よりも小さくする必要があります。
イベントを表示する
システムで Application Control 固有のイベントを表示して、製品関連の変更を追跡します。
タスク
1
2
Linux プラットフォームでイベントを表示するには、以下の手順に従います。
a
/var/log/messages ディレクトリに移動します。
b
Application Control イベントを表示します。
Windows プラットフォームでイベントを表示するには、以下の手順に従います。
a
[イベント ビューアー] を開きます。
プラットフォーム
移動
Windows Server 2008 [スタート] 、 [ファイル名を指定して実行] の順に選択して、eventvwr と入力
します。
Windows Vista
[スタート] 、 [検索] の順に選択して、eventvwr と入力します。
Windows 7
Windows 8
キーボードで [Windows] を押しながら [R] を押し、eventvwr と入力します。
Windows 8.1
Windows Server 2012
Windows 10
b
Enter を押します。
c
プラットフォームに応じて以下の操作を行います。
McAfee Application Control 7.0.0
製品ガイド
75
6
システムのメンテナンス
ログ ファイルの設定
プラットフォ
ーム
手順
Windows
1 ナビゲーション ペインで [アプリケーション] を選択します。
Server 2008
アプリケーション イベントの種類、日付、時間、ソース、カテゴリ、イベント、ユーザ
ー、コンピューターが表示されます。
2 [ソース] 列で [McAfee Solidifier] イベントをダブルクリックして、説明を表示します。
これは、Application Control 固有のイベントで、発生順に表示されます。最新のイベン
トが先頭になります。
Windows
Vista 以降
1 ナビゲーション ペインで [Window ログ] を展開し、[アプリケーション] を選択します。
アプリケーション イベントのレベル、日付と時間、ソース、イベント ID、タスク カテゴ
リが表示されます。
2 [ソース] 列で [McAfee Solidifier] イベントを検索します。
これらは Application Control 固有のイベントで、発生順に表示されます。
最新のイベントが先頭に表示されます。
3 イベントをダブルクリックして、説明を表示します。
ログ ファイルの設定
Application Control は、製品に関するアクションとエラーにログ メッセージを生成します。 これらのログ メッセ
ージはログ ファイルに記録され、トラブルシューティングで利用されます。
以下の表では、システムに存在するログ ファイルのタイプについて説明します。
ログ ファイル
オペレーテ パス
ィング シス
テム
説明
solidcore.log
Windows
Server
2008
製品がシステムに配備されると、solidcore.log とい
う名前のログ ファイルが Logs フォルダー
(Windows) または solidcore ディレクトリ (Linux)
に作成されます。 このファイルは、debuglog ともい
います。
s3diag.log
(Windows のみ)
76
<system drive>
\Documents and
Settings\All
users
\Application
Data\McAfee
\Solidcore\Logs
Windows
Vista 以降
<system drive>
\ProgramData
\McAfee
\Solidcore\Logs
Linux
/var/log/mcafee
/solidcore/
Windows
Server
2008
<system drive>
\Documents and
Settings\All
users
\Application
Data\McAfee
\Solidcore\Logs
McAfee Application Control 7.0.0
システムで作成される solidcore.log のファイル
サイズと solidcore.log ファイルの数を設定できま
す。
ログ ファイルの設定は solidcore.log にのみ適
用されます。他のログ ファイルの設定は変更でき
ません。
s3diag.log ファイルには、サポート対象ファイルに
実行された操作のログが保存されます。
製品ガイド
システムのメンテナンス
システムのランタイム環境
ログ ファイル
オペレーテ パス
ィング シス
テム
Windows
Vista 以降
Solidcore
_Installer.log
と solidcore
_setup
.log(Windows)/
solidcoreS3
_install_<rel>
‑<build>.log
(Linux)
説明
<システム ドライブ
>\ProgramData
\McAfee
\Solidcore\Logs
Windows
<system drive>
(すべての対 \Windows
応バージョ
ン)
Linux
6
Application Control インストール ログは、このファ
イルに保存されます。
Linux プラットフォームでインストールに失敗すると、
このファイルが /tmp/solidcoreS3_install
_<rel>‑<build>.log に保存されます。
• /tmp/
solidcoreS3
_install.log
Linux プラットフォームでインストールに成功すると、
このファイルが /var/log/mcafee/solidcore/
solidcoreS3_install_<rel>‑<build>.log に作
成されます。
• /var/log/
mcafee/
solidcore/
solidcoreS3
_install.log
システムのランタイム環境
ScAnalyzer ユーティリティを使用して、ランタイム環境とシステム設定を確認します。 製品をインストールすると
きに、このユーティリティはホスト システムが製品のインストール要件を満たしているかどうか自動的に確認しま
す。
ScAnalyzer はシステムで次の情報を確認します。
•
オペレーティング システムのバージョン
•
インストールされたサービス
•
サービス パック レベル
•
システム デバイス
•
プロセッサーとメモリーの設定
•
実行中のプロセス
•
インストールされたアプリケーション
•
開いているネットワーク ポート
•
インストールされた HotFix
•
互換性のないアプリケーション (Windows)
ScAnalyzer を実行すると、事前に組み込まれた内部チェックリストを使用して、システムにインストールされたソ
フトウェアを確認し、scanalysis.bat ファイルを作成します。このバッチ ファイルには、インストール済みのア
プリケーションをスムーズに実行するためのホワイトリスト カスタマイズ ルールが記述されます。
ScAnalyzer を実行する
Windows と Linux プラットフォームで ScAnalyzer を実行し、ランタイム環境とシステム設定の詳細情報を取得し
ます。
タスク
1
次の場所に移動します。
•
Windows:C:\Program Files\McAfee\Solidcore\Tools\ScAnalyzer.
•
Linux:/usr/local/mcafee/solidcore/tools/scanalyzer/
これらは、Windows/Linux プラットフォームでのユーティリティのデフォルトのインストール パスです。
McAfee Application Control 7.0.0
製品ガイド
77
6
システムのメンテナンス
システムのランタイム環境
2
次のコマンドを実行します。
•
Windows: scanalyzer
•
Linux: # ./scanalyzer.sh
次の表で説明するように、このコマンドには複数のパラメーターを指定できます。
パラメーター
説明
-h
ScAnalyzer の使い方に関するヘルプを表示します。
-v
ScAnalyzer のバージョンを表示します。
[-c <checklist>] システム上のチェックリストにアプリケーションがインストールされている場合、検出しま
す。(Windows のみ)
-d
2 つの別々の ScAnalyzer レポートに、実行中のサービス、プロセス、オープン ポートの
違いを表示します。Linux の場合には、-d<rep1 rep2> コマンドを使用します。
-o <output file> 出力を出力ファイルに書き込みます。ファイルを指定しないと、出力が画面 (Windows) ま
たはコンソール (Linux) に表示されます。
-s <scan_file>
チェックリストのアプリケーションが ScAnalyzer レポートにある場合、検出します。
(Windows のみ)
-q
サイレント モードで ScAnalyzer を実行します。
-n
出力ファイル名にタイムスタンプを追加しません。
ScAnalyzer レポートが生成されます。
ScAnalyzer レポートを確認する
ScAnalyzer レポートを表示すると、システム設定の詳細を確認できます。
コマンドの実行後、ScAnalyzer ユーティリティがデータ ファイルにレポートを生成します。このレポートは
ScAnalyzer レポートといいます。このレポートには、システム構成の詳細が記録されます。
タスク
1
次のパスに移動します。
•
Windows: <システム ドライブ>\Program Files\McAfee\Solidcore\Data
ファイル名は scan_<machine_name>_<date>_<time>.txt です。
•
Linux: /usr/local/mcafee/solidcore/tools/scanalyzer/data
ファイル名は report‑<machine_name>‑<date>_<time> です。
2
78
ScAnalyzer レポートで、これらの項目を確認します。
•
サポート対象バージョンの OS バージョンとサービス パック レベル。
•
製品のインストールに必要な HotFix。
•
実行中コードを更新する可能性のあるウイルス対策ソフトウェア。これらのアプリケーションを
ScAnalyzer の出力で確認し、アップデーターとして追加してシステム構成を変更してください。
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
大量の配備とシステム アップグレードの管理
6
大量の配備とシステム アップグレードの管理
システム設定を設定ファイルにエクスポートすると、一度に複数のシステムに設定ファイルを配備できます。
設定ファイルには、システムのすべての設定パラメーターが標準形式で保存されます。たとえば、イベントのキャッ
シュ サイズ、SO の優先度、ログ ファイルのサイズ、ログ ファイルのパスなどが記録されます。エクスポートされ
たファイルの設定パラメーターを削除したり、変更することができます。また、パラメーターを追加したり、新しい
値を設定することもできます。
変更した設定ファイルをインポートして、新しいパラメーターを有効にし、システムの設定をアップグレードするこ
ともできます。 設定ファイルのインポートは同じシステムに行います。別のシステムに行う場合、システム イメー
ジが一致している必要があります。
一部のパラメーターでは、システム固有のルールが表示されます。 これらの変更は推奨しません。 モニタリング ル
ール リスト、機能ルール リスト、バイパス リスト、更新プログラム リスト などのパラメーターが該当します。
既存の設定パラメーターを表示する
システムに存在するすべての設定パラメーターを表示します。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin config show
Application Control が設定パラメーターの項目を表示します。
例:
•
Windows プラットフォーム:
CustomerConfig 158 (0x9e) MPCompat 1 (0x1) FileRetrySecs 0 (0x0)
DoNotApplyAefBackupRules 0 (0x0) CustomizedEventCacheSize 1000 (0x3e8) EventCacheSize
2 (0x2) EventCacheWMHigh 90 (0x5a) EventCacheWMLow 70 (0x46) FailSafeConf 0 (0x0)
* FeaturesEnabled 2233943118021567 (0x7efc269ff83bf)
* FeaturesEnabledOnReboot 2233943118021567 (0x7efc269ff83bf)
* FeaturesInstalled 3659168154103807 (0xcfffe79ffafff)
* FileAttrCTrack 5024 (0x13a0)
* FileDenyReadOptions 1024 (0x400)
* FileDenyWriteOptions 4831 (0x12df) FileDiffAttrOnlyTypes FileDiffMaxFiles 100 (0x64)
FileDiffMaxSize 10 (0xa) FipsMode 0 (0x0) InvDiffConfig2 0 (0x0) InvDiffTimeout 10800
(0x2a30) PullInvTimeout 604800 (0x93a80)
* LockdownStatus 0 (0x0) LogFileNum 4 (0x4)
* LogFilePath C:\Documents and Settings\All Users\Application Data\McAfee\Solidcore
\Logs LogFileSize 2048 (0x800)
* RTEMode 0 (0x0)
* RTEModeOnReboot 0 (0x0) SoPriority 0 (0x0) ssLangId Default
* WorkFlowId None
* AgentEventsThreshold 1000 (0x3e8) AgentEventsThresholdOnWakeup 0 (0x0)
* SupplierCacheSize 7000 (0x1b58) SupplierCacheSizeOnWakeup 0 (0x0)
ConsumerThreadTimeout 10800000 (0xa4cb80) InvDiffAgentEventsThreshold 10000 (0x2710)
* ObAgentEventsThreshold 1000 (0x3e8) ObAgentEventsThresholdOnWakeup 0 (0x0)
* ObSupplierCacheSize 7000 (0x1b58) ObSupplierCacheSizeOnWakeup 0 (0x0)
ObConsumerThreadTimeout 10800000 (0xa4cb80) Accessibility 0 (0x0)
EventCacheIntervalMilliSecs 10000 (0x2710)
McAfee Application Control 7.0.0
製品ガイド
79
6
システムのメンテナンス
大量の配備とシステム アップグレードの管理
•
Linux プラットフォーム:
CustomerConfig 0 (0x0) EventCacheSize 2 (0x2) EventCacheWMHigh 90 (0x5a)
EventCacheWMLow 70 (0x46) FailSafeConf 0 (0x0)
* FeaturesEnabled 47269939391728575 (0xa7efc269ff8bbf) * FeaturesEnabledOnReboot
47269939391728575 (0xa7efc269ff8bbf) * FeaturesInstalled 48695164427808767
(0xacfffe79ffafff) * FileAttrCTrack 5024 (0x13a0) * FileDenyReadOptions 1024 (0x400) *
FileDenyWriteOptions 4831 (0x12df) FileDiffMaxSize 10 (0xa)
* FipsMode 0 (0x0)
* LockdownStatus 0 (0x0) LogFileNum 4 (0x4) * LogFilePath /var/log/mcafee/solidcore
LogFileSize 2048 (0x800)
* RTEMode 1 (0x1)
* RTEModeOnReboot 1 (0x1)
* WorkFlowId UPDATE_MODE: AUTO_26
* コマンドライン インターフェースで項目を設定することはできません。
設定をエクスポートする
設定をファイルにエクスポートすると、他のシステムに設定を配備できます。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
sadmin config export filename
filename には、設定をエクスポートするファイルを指定します。
設定をインポートする
設定ファイルから設定をインポートして、システムに同じ設定を配備します。
タスク
1
Application Control を無効モードから更新モードに切り替えます。
2
システムを再起動します。
3
次のコマンドを実行して、Application Control の設定をファイルからインポートします。
sadmin config import [ -a ] filename
-a 引数を使用して、設定値を追加します。デフォルトの動作は、設定値の置換です。
4
80
Application Control を有効モードに切り替えて、システムを再起動します。
McAfee Application Control 7.0.0
製品ガイド
システムのメンテナンス
Application Control を無効にする
6
設定パラメーターを変更する
デフォルト値を許容範囲内の新しい値に変更します。
タスク
1
sadmin config set NAME=VALUE コマンドを入力します。
NAME は設定パラメーターの名前です。 VALUE は、この設定パラメーターの新しい値です。
設定パラメーターのデフォルト値と使用可能な値の範囲については、次の表を参照してください。
パラメーター
デフォルト値
値の範囲
EventCacheSize
2 (0x2)
> 0 かつ < MAX_INT32
EventCacheWMHigh
90 (0x5a)
(> 50 および < 100) & (>
EventCacheWMLow)
2
EventCacheWMLow
70 (0x46)
(>20 かつ < EventCacheWMHigh)
FailSafeConf
0 (0x0)
0 または 1
FipsMode
0 (0x0)
0 または 1
LogFileNum
4 (0x4)
>= 0 かつ <= MAX_INT
LogFileSize
2048 (0x800)
>= 0 かつ <= MAX_INT
Enter キーを押します。
Application Control を無効にする
無効モードに切り替えて、Application Control の機能を無効にします。
タスク
1
sadmin disable コマンドを入力します。
2
Enter キーを押します。
3
システムを再起動します。
McAfee Application Control 7.0.0
製品ガイド
81
6
システムのメンテナンス
Application Control を無効にする
82
McAfee Application Control 7.0.0
製品ガイド
7
トラブルシューティング
Application Control の実行中に発生した問題を特定し、トラブルシューティングを行うには、次の情報を使用しま
す。
トラブルシューティング手順を実施しても問題が解決しない場合には、McAfee サポートまで連絡してください。
『McAfee サポートに連絡する前の情報収集』を参照してください。
目次
McAfee サポートに連絡する前の情報収集
起動時のエラー
自己書き換えドライバーの問題
システム クラッシュの問題
Active Directory の問題 (Windows のみ)
アプリケーションのインストールに関するエラー
アプリケーションの実行エラー
アプリケーションのパフォーマンス
システム ハングの問題
システム パフォーマンスの問題
Application Control のインストール エラー
アップデーター権限の問題
イベント氾濫
エラー メッセージの使用
コマンドライン インターフェースのエラー メッセージ
正当なエラーとエラー メッセージ
ファイルとスクリプトのバイパス ルール
パス コンポーネントのスキップ ルール
McAfee サポートに連絡する前の情報収集
McAfee サポートに連絡する前に特定の情報を収集しておくと、McAfee 問題の特定が容易になります。
推奨のトラブルシューティング手順をすべて行っても Application Control の問題が解決しない場合には、McAfee
サポートに連絡する前に最新の GatherInfo ログとシステム/問題の詳細を収集してください。
GatherInfo ログを収集する
GatherInfo は、トラブルシューティングに必要な情報 (ログ ファイル、インベントリ、製品バージョン、システム
の状態) を収集するユーティリティです。
このユーティリティは製品に同梱されており、製品のインストール ディレクトリにインストールされます。
GatherInfo ユーティリティで生成された最新のログ ファイル一式を収集します。
デフォルトのインストール ディレクトリは、オペレーティング システムによって異なります。
McAfee Application Control 7.0.0
製品ガイド
83
7
トラブルシューティング
McAfee サポートに連絡する前の情報収集
•
Windows - <システム ドライブ>\Program Files\McAfee\Solidcore\Tools\gatherinfo
•
Linux - /usr/local/mcafee/solidcore/tools/gatherinfo
タスク
•
Windows または Linux システムで次の GatherInfo コマンドを入力します。
•
Windows: Gatherinfo
GatherInfo は、現在の作業ディレクトリに gatherinfo.zip ファイルを生成します。McAfee サポートで
は、このファイルのログを使用して問題を識別します。
•
Linux: # ./gatherinfo.sh
GatherInfo は、現在の作業ディレクトリに gatherinfo‑<machine_name>‑<date>_<time>.tar.gz フ
ァイルを生成します。McAfee サポートでは、このファイルのログを使用して問題を識別します。
必要であれば、次の引数を指定します。
Windows Linux
説明
-h
-h または --help
GatherInfo のヘルプを表示します。
-v
-v または --version
GatherInfo のバージョンを表示します。
-q
-q
サイレント モードでログを収集します。
-x
セキュリティ ログを収集しません。
-c または --core
<core-file>
指定したコア ファイルの前のログを追跡します。前に生成されたログの
詳細を取得するには、この引数にコア ファイルを指定します。
-n
出力ファイル名にタイムスタンプを付けません。
システムと問題の詳細の収集
McAfee サポートに連絡する前に、システムと問題の詳細を収集してください。この情報により、McAfee サポート
は問題を再現し、詳しい診断を行うことができます。
必要な
詳細情
報
説明
問題の
説明
問題を詳しく記述します。
診断
エラー
メッセ
ージ
GatherInfo ユーティリティを使用して、生成された最近のログ ファイル一式を収集します。
『GatherInfo ログを収集する』を参照してください。
エラー メッセージを観察し、メモします。 『コマンドライン インターフェースのエラー メッセージ』を
参照してください。
システ McAfee サポートが診断時に問題を再現できるように、システム イメージを作成します。 システム イメ
ム イメ ージの作成方法については、KnowledgeBase の記事 KB60323 を参照してください。
ージ
84
McAfee Application Control 7.0.0
製品ガイド
7
トラブルシューティング
起動時のエラー
必要な
詳細情
報
説明
完全な システム クラッシュの場合、完全なメモリー ダンプを収集します。 次の手順に従って、完全なメモリー
メモリ ダンプを作成します。
ー ダン
Linux:
Windows:
プ
1 キーボードで Alt と SysRq と c を同時に押しま 1 Windows プラットフォーム:
す。
a [コンピューター] を右クリックします。
2 システムを再起動します。
3 /var/crash に移動します。ここにクラッシュ ダ
ンプが生成されます。
Linux でクラッシュ ダンプを生成する方法について
は、KnowledgeBase の記事 KB66568 を参照して
ください。
b [プロパティ] をクリックします。
c [システムの詳細設定] をクリックします。
2 [詳細設定]、[起動と回復] の順に移動します。
3 [設定] をクリックします。
メモリー ダンプのオプション (最小、カーネル、
完全) とファイルの保存場所 (デフォルト:
%SystemRoot%\MEMORY.DMP) が表示されま
す。
4 [カーネル メモリー ダンプ] または [完全なメ
モリー ダンプ] を選択して、設定を保存します。
McAfee サポートでは、[最小メモリー ダンプ
(64 KB)] を使用できません。
Windows で次にブルー スクリーン エラーが発
生すると、%SystemRoot%\MEMORY.DMP が作成
されます。
5 %SystemRoot%\MEMORY.DMP を .zip 形式に圧
縮して McAfee サポートに送信します。
分析用のメモリー ダンプ ファイルを送信
する前に、Microsoft の Dumpchk.exe ユ
ーティリティを実行してください。
Dumpchk は、メモリー ダンプ ファイルが
正常に生成され、破損がないかどうか確認す
るコマンドライン ユーティリティです。
Microsoft の Web サイト (http://
support.microsoft.com/kb/156280) か
ら Dumpchk.exe をダウンロードします。
Linux でクラッシュ ダンプを生成する方法につい
ては、KnowledgeBase の記事 KB56023 を参照
してください。
起動時のエラー
セーフ モードで Windows を起動して、スタートアップ時に発生するエラーのトラブルシューティングを行います。
セーフ モードは、Windows の起動に最低限のデバイス ドライバーとサービスを使用します。
カテゴリ
説明
問題
Windows システムが開始しません。
症状
システムの起動に通常よりも時間がかかります。
McAfee Application Control 7.0.0
製品ガイド
85
7
トラブルシューティング
自己書き換えドライバーの問題
システムをセーフ モードで実行すると、Windows の実行に必要な最小限のファイルとドライバーが開始します。
セーフ モードで起動し、既存の問題が再現されない場合、可能性のある原因として、デフォルト設定と基本的なデバ
イス ドライバーを削除できます。
Application Control はセーフ モードで実行されません。
タスク
1
コンピューターを再起動し、キーボードの F8 キーを繰り返し押します。
2
[詳細ブート オプション ] メニューで矢印キーを使用し、必要な [セーフ モード] オプションを選択して Enter
を押します。
システムがセーフ モードで起動すると、画面の隅に [セーフ モード] が表示されます。 セーフ モードを終了す
るには、システムを通常どおり再起動します。
詳細については、Microsoft KnowledgeBase の記事 KB315222 を参照してください。
自己書き換えドライバーの問題
システムへの読み込み時に、一部のドライバーはシステム ドライブのイメージを変更する場合があります。 これら
のドライバーは、自己書き換えドライバーといいます。 たとえば、暗号化キー ドライバーの clkdrv.sys が該当し
ます。
初期設定時にこのようなドライバーをホワイトリストに追加すると、Application Control はシステムへの読み込み
を許可しますが、自己書き換えは許可しません。 これにより、画面が青い表示となることがあります。
カテゴリ
説明
症状
システムが応答しません。
問題
自己書き換えドライバーが原因でブルー スクリーン エラーが発生する。
自己書き換えドライバーによるブルー スクリーン エラーを防ぐ必要があります。 自己書き換えドライバーにシス
テムでの実行を常に許可します。 自己書き換えドライバーを名前で許可します。 自己書き換えドライバーを名前で
許可すると、ドライバーのシステムへの読み込みはブロックされません。
タスク
1
システムで自己書き換えドライバーを特定します。
自己書き換えドライバーを特定できない場合には、McAfee サポートに連絡してください。
2
自己書き換えドライバーを名前で許可するには、自己書き換えドライバーの名前を指定して sadmin attr add
–a <filename> コマンドを実行します。
3
システムを再起動します。
システムが正常に再起動しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
システム クラッシュの問題
システム クラッシュの問題を診断して、Application Control がインストールされているシステムを復旧します。
Windows プラットフォームの場合、システムがクラッシュすると、ブルー スクリーンが発生し、バグ チェック番
号が表示されます。
Linux プラットフォームの場合、システムがクラッシュすると、すべてのコマンドに対する応答を停止する可能性が
あります。
86
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
システム クラッシュの問題
7
Windows でのシステム クラッシュ
ブルー スクリーン エラーでクラッシュしたシステムを復元します。
カテゴリ
説明
クラッシュの種類
システム クラッシュ (ブルースクリーン)
症状
システムがバグ チェック番号を示すブルー スクリーンを表示します。
タスク
1
次の情報を収集します。
a
画面に表示されたバグ チェック番号とすべてのパラメーターをメモします。
[システム] 、 [詳細設定] 、 [起動と回復] の順に移動して [自動的に再起動する] オプションの選択を解除
し、バグ チェックが再現されるかどうか確認します。 このオプションを解除しないと、システムが自動的に
再起動します。バグ チェックが発生すると、バグ チェックの詳細を記録できません。
b
完全なメモリー ダンプを生成します。
『システムと問題の詳細の収集』を参照してください。
2
3
セーフ モードでシステムを起動します。
a
システムの起動中に F8 キーを押します。
b
[セーフ モードとネットワーク] を選択します。
[起動と回復] 画面で [自動的に再起動] の選択を解除して、システムが再起動ループに入ることを防ぎます。
詳しい手順については、KnowledgeBase の記事を参照してください。
http://support.microsoft.com/kb/307973
4
Application Control を無効にするには、Application Control コマンドライン インターフェースで scsrvc -d
コマンドを入力し、sadmin disable コマンドを入力します。
5
システムを再起動します。
6
問題が解決しない場合には、必要な情報を収集して McAfee サポートに連絡してください。
Windows でホワイトリストが壊れている
ホワイトリストの破損が原因でクラッシュしたシステムを復元します。
カテゴリ
説明
クラッシュの種類 ドライバーのホワイトリストが破損しています。
症状
システムが次のエラー (バグ チェックとパラメーター) を示すブルー スクリーンを表示しま
す。
0xE0100010 (0X00000010, 0X00000000, 0X00000000, 0X00000000)
McAfee Application Control 7.0.0
製品ガイド
87
7
トラブルシューティング
システム クラッシュの問題
タスク
1
次の手順に従って、初期段階で必要な情報を収集します。
a
システムの電源をオフにして、再度オンにします。
b
ドライブのホワイトリストのステータスを確認します。
sadmin status
次の出力のように、破損したドライブのステータスが Corrupt と表示されます。
McAfee Solidifier:Disabled McAfee Solidifier on reboot:Disabled
ePO Managed:
[fstype]
Corrupt
Unattached
c
No Local CLI access:Recovered
[status]
[driver status]
[volume] * NTFS
Unattached
C:\ FAT 32
Solidified
E:\
Application Control を有効にします。
sadmin enable
エラー メッセージが表示され、Application Control を有効にできません。
2
ドライブで壊れたホワイトリストを削除します。
sadmin clean <drive>
3
Application Control サービスを再起動します。
net stop scsrvc
net start scsrvc
4
ドライブを再度ホワイトリストに追加します。
sadmin so <volume name>
5
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
Linux でのシステム クラッシュ
コマンドに対する応答を停止したシステムを復旧します。
カテゴリ
説明
クラッシュの種類
Linux システムのクラッシュ
症状
システムがコマンドへの応答を停止している可能性があります。
タスク
1
シングル ユーザー モードでシステムを開始します。
2
/etc/mcafee/solidcore/solidcore.conf にある Application Control 設定ファイルを開きます。
3
RTEModeOnReboot パラメーターの値を 0x0 に変更します。
4
次のパスから Application Control サービスを手動で実行します。
(/<install-dir>/mcafee/solidcore/scripts/scsrvc -d)
無効モードで Application Control が開始します。
88
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
Active Directory の問題 (Windows のみ)
5
必要であれば、Application Control パッケージを削除します。
6
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
7
Active Directory の問題 (Windows のみ)
Active Directory (AD) の問題を診断し、AD (グループ ポリシー) からログオン スクリプトを実行できないシステ
ムを復旧します。
カテゴ
リ
説明
問題
Active Directory からログイン スクリプトを実行できません (グループ ポリシー経由)。
症状
システムで以下のエラー メッセージが表示されます。
以下のユーザーによる <process_name> プロセスを使用した \Device\LanmanRedirector\<Domain
Controller host_name>\sysvol\<Domain name>\Policies\{<unique_policy_name>} \User
\Scripts\Logon\<script_name> の未承認の実行が、McAfee Solidifier によって阻止されました (プ
ロセス ID:PID、ユーザー:user_name)。
タスク
1
sadmin solidify コマンドを使用して、ドメイン コントローラーにホワイトリストを作成します。
システム ボリューム (sysvol) に関連するパスをホワイトリストに手動で登録する必要はありません。
Application Control のサポート対象ファイルは、システム上で自動的にホワイトリストに登録されます。
2
次のいずれかの手順を実行します。
•
このコマンドを実行して、ntfrs.exe ファイルを認証済み更新プログラムとして追加します。
sadmin updaters add –t AD ntfrs.exe
このコマンドを実行すると、ローカル ドメインにあるすべてのドメイン コントローラーのすべての sysvol
ボリュームが自動的に更新されます。
•
このコマンドを使用して dfsrs.exe ファイルを認証済み更新プログラムとして追加し、ローカル ドメイン
にあるドメイン コントローラーのすべての sysvol ボリュームを自動的に更新します。
sadmin updaters add –t AD dfsrs.exe
3
このコマンドを使用して、ローカル ドメインの各ドメイン コントローラーとすべてのドメイン コントローラー
(セルフとピア) で、信用されたパスとして sysvol ネットワーク パスを追加します。
sadmin trusted –i \\<DC_DNS_NAME>\SYSVOL
ルート ドメインの子ドメインも AD クラスターに存在する場合、子ドメインの各ドメイン コントローラーに信用
ルールを追加する必要があります。
McAfee Application Control 7.0.0
製品ガイド
89
7
トラブルシューティング
アプリケーションのインストールに関するエラー
たとえば、sales.mycompany.com が mycompany.com の子ドメインの場合、cdc1.sales.mycompany
.com、cdc2.sales.mycompany.com、cdc3.sales.mycompany.com という 3 つのドメイン コントローラ
ーが存在します。 このシナリオでは、子ドメインのグループ ポリシーを正常に動作させるため、子ドメインの 3
つのドメイン コントローラーに 3 つの信用ルールを追加する必要があります。 これは、以下のコマンドで説明
します。
•
sadmin trusted –i
\\cdc1.sales.mycompany.com\SYSVOL
•
sadmin trusted –i
\\cdc2.sales.mycompany.com\SYSVOL
•
sadmin trusted –i
\\cdc3.sales.mycompany.com\SYSVOL
信頼できるパスでは、Application Control のステータス (有効または無効) に関係なく、ファイルの追加と実行
が許可されます。信頼できるネットワーク パスからのみ未承認 (またはホワイトリストに登録されていない) コ
ードを実行できます。ローカル システム パスからは実行できません。ローカル システム上でホワイトリストに
登録されている既存ファイルは保護されたままとなり、ネットワーク パスから修正または削除できません。
4
ホワイトリスト内のファイルのステータスを表示するには、実際のファイルパスを指定して sadmin ls コマン
ドを実行します。
sadmin ls C:\WINDOWS\SYSVOL\domain\Policies
5
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
アプリケーションのインストールに関するエラー
インストール エラーのトラブルシューティングを行い、アプリケーションを正常にインストールします。
カテゴリ
説明
問題
アプリケーションのインストールに失敗する。
症状
システムにインストール エラーに関するメッセージが表示されます。
タスク
1
アプリケーションが更新モードでインストールされているかどうか確認します。
2
更新プログラムとしてインストーラーを設定します。 『更新プログラムを追加する』を参照してください。
3
pkg-ctrl 機能が無効の状態でアプリケーションがインストールされるか確認します。
pkg-ctrl 機能が無効の状態でアプリケーションをインストールできる場合、pkg-ctrl を有効にして手順 a に進み
ます。
a
ログ ファイルのサイズまたはログ ファイルの数を増やします。 『ログ ファイルの設定』を参照してくださ
い。
必要であれば、ログ ファイルのサイズとログ ファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再インストールします。
問題が引き続き起こる場合は、次の手順に進みます。
d
90
sadmin loglevel disable pst info コマンドを実行します。
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
アプリケーションの実行エラー
4
7
メモリー保護機能が無効の状態でアプリケーションをインストールできるか確認します。
メモリー保護機能が無効の状態でアプリケーションがインストールできる場合、メモリー保護を有効にし、手順
a に進みます。
a
ログ ファイルのサイズまたはログ ファイルの数を増やします。 『ログ ファイルの設定』を参照してくださ
い。
必要であれば、ログ ファイルのサイズとログ ファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再インストールします。
問題が引き続き起こる場合は、次の手順に進みます。
d
sadmin loglevel disable pst info コマンドを実行します。
e
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
アプリケーションの実行エラー
トラブルシューティングを行い、実行に失敗したアプリケーションを正常に実行します。
カテゴリ 説明
問題
アプリケーションの実行に失敗する。
症状
アプリケーションに実行が許可されていないため、システムにエラー メッセージが表示されます。
タスク
1
更新モードでアプリケーションが実行できるかどうか確認します。
2
アップデーターまたは信頼済みとして追加されたコンポーネントを特定します。
3
更新プログラムまたは信用された設定としてコンポーネントを設定します。 『更新プログラムを追加する』を参
照してください。
4
次の手順に従って、メモリー保護機能が無効の状態でアプリケーションが実行されることを確認します。
メモリー保護機能が無効の状態でアプリケーションが実行できる場合、メモリー保護を有効にし、手順 a に進み
ます。
a
ログ ファイルのサイズまたはログ ファイルの数を増やします。 『ログ ファイルの設定』を参照してくださ
い。
必要であれば、ログ ファイルのサイズとログ ファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再度実行します。
問題が解決しない場合には、次の手順に進みます。
d
5
sadmin loglevel disable pst info コマンドを実行します。
スクリプト許可機能が無効の状態でアプリケーションが実行されることを確認します。
McAfee Application Control 7.0.0
製品ガイド
91
7
トラブルシューティング
アプリケーションのパフォーマンス
スクリプト許可機能が無効の状態でアプリケーションが実行できる場合、スクリプト許可機能を有効にし、手順
a に進みます。
a
ログ ファイルのサイズまたはログ ファイルの数を増やします。 『ログ ファイルの設定』を参照してくださ
い。
必要であれば、ログ ファイルのサイズとログ ファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再度実行します。
問題が解決しない場合には、次の手順に進みます。
d
sadmin loglevel disable pst info コマンドを実行します。
e
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
アプリケーションのパフォーマンス
実行中にパフォーマンスが低下したり、応答不能になった場合に問題を診断し、アプリケーションを復旧します。
カテゴリ
説明
問題
アプリケーションの実行中に応答がなくなる。
症状
アプリケーションが正常に動作せず、パフォーマンスが低下します。
タスク
1
更新モードでアプリケーションが正常に起動しているか確認します。
更新モードで問題が解決しない場合には、問題の原因を特定するため追加の診断手順を行います。
a
sadmin features disable checksum コマンドを実行します。
b
必要な情報をすべて収集して、McAfee サポートに連絡します。
2
アップデーターまたは信頼済みとして追加されたコンポーネントを特定します。
3
更新プログラムまたは信用された設定としてコンポーネントを設定します。 『更新プログラムを追加する』を参
照してください。
4
メモリー保護機能が無効の状態でアプリケーションが正常に実行されることを確認します。
メモリー保護機能が無効の状態でアプリケーションを正常に実行できる場合、メモリー保護を有効にし、手順 a
に進みます。
a
ログ ファイルのサイズまたはログ ファイルの数を増やします。 『ログ ファイルの設定』を参照してくださ
い。
必要であれば、ログ ファイルのサイズとログ ファイルの数の両方を増やすことができます。
b
sadmin loglevel enable pst info コマンドを実行します。
c
アプリケーションを再度実行します。
問題が解決しない場合には、次の手順に進みます。
92
d
sadmin loglevel disable pst info コマンドを実行します。
e
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
システム ハングの問題
7
システム ハングの問題
実行時に停止したシステム (応答不能になったシステム) を復旧します。
カテゴリ
説明
問題
システムの実行中に応答がなくなる。
症状
キーボードまたはマウスからの入力にシステムが反応しません。
タスク
1
システムの電源を切ります。
2
セーフ モードでシステムを起動します。
デフォルトでは、セーフ モードで Application Control 保護は使用できません。
3
完全なメモリー ダンプを生成します。 完全なメモリー ダンプの生成方法については、
『システムと問題の詳細を
収集する』を参照してください。
4
コマンド プロンプトで scsrvc -d コマンドを実行します。
5
前の CLI ウィンドウを実行した状態で、新しい Application Control CLI ウィンドウを開きます。
6
新しい CLI ウィンドウで次の操作を実行します。
a
begin-update コマンドを実行します。
b
システムを再起動し、更新モードに切り替えます。
c
更新モードでシステムが正常に動作するかどうか確認します。
7
システムで手動によるクラッシュ ダンプとシステム クラッシュを設定します。詳細については、
KnowledgeBase の記事 http://support.microsoft.com/kb/927069 を参照してください。
8
セーフ モードでシステムを起動します。
9
sadmin disable コマンドを実行して、Application Control を無効にします。
10 コマンド プロンプトで scsrvc -d コマンドを実行します。
11 この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
システム パフォーマンスの問題
実行中にパフォーマンスが低下したり、処理速度が遅くなった場合に問題を診断し、システムを復旧します。
カテゴリ
説明
問題
実行中にシステムの処理が遅くなる。
症状
システムが正常に動作せず、パフォーマンスが低下します。
タスク
1
更新モードでシステムが正常に実行されているかどうか確認します。
2
アップデーターまたは信頼済みとして追加されたコンポーネントを特定します。
3
更新プログラムまたは信用された設定としてコンポーネントを設定します。 『更新プログラムを追加する』を参
照してください。
McAfee Application Control 7.0.0
製品ガイド
93
7
トラブルシューティング
Application Control のインストール エラー
4
メモリー保護機能が無効の状態でシステムが正常に実行されることを確認します。
メモリー保護機能が無効の状態でシステムを正常に実行できる場合、メモリー保護を有効にし、手順 a に進みま
す。
a
sadmin loglevel enable pst info コマンドを実行します。
b
問題が解決しない場合には、sadmin loglevel disable pst info コマンドを実行します。
c
この問題が解決しない場合には、必要な情報をすべて収集して、McAfee サポートに連絡してください。
Application Control のインストール エラー
トラブルシューティングを行い、システムへのインストールに失敗した Application Control を正常にインストール
します。
カテゴ 説明
リ
問題
Application Control を Windows または Linux にインストールできない。
症状
インストール エラー関連のエラー メッセージが表示されます。
次の場合はインストールに失敗します。
• サポートされていない OS で Application Control のインストールを実行した場合
• システムにブラックリストのアプリケーションがインストールされた場合 (Windows)
• システムが Application Control のインストールに必要なメモリー要件またはディスク容量要件を満た
していない場合
• Application Control のアップグレードがサポートされていない場合にアップグレードを試行した場合
タスク
1
同じ OS で McAfee がインストールされたシステムが他にない場合には、Application Control サポートに連絡
してください。
2
オペレーティング システムが同じで、Application Control がインストールされている別のシステムに次の操作
を行います。
a
システムで scanalyzer を実行します。 詳細については、『システムのランタイム環境』を参照してくださ
い。
Application Control をインストールするための必須要件が不足している場合、警告とともにレポートファイ
ルが生成されます。
b
システムが ScAnalyzer によって生成されたレポート ファイルの要件を満たしていることを確認します。
システムが要件を満たしていない場合、Application Control をインストールできません。
アップデーター権限の問題
プロセスをアップデーターとして設定しても、アップデーター権限が設定されない場合に問題を診断し、アップデー
ト権限を付与します。
次の表で、問題と症状について説明します。
94
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
イベント氾濫
カテゴリ
説明
問題
更新プログラムとして設定されているプロセスに更新プログラム権限がない。
症状
更新プログラム プロセスが更新プログラムとして動作しません。
7
タスク
1
更新プログラムとして設定されたプロセスに更新プログラム特権があるか確認します。
a
プロセスが実行されていることを確認します。
b
sadmin xray コマンドを実行し、出力とプロセスの設定を確認します。
sadmin xray コマンドを実行すると、プロセスの更新プログラム特権のステータスが表示されます。
c
2
プロセスが更新プログラム特権を使用していない場合、プロセスを再起動します。
プロセスにアップデーター権限が設定されない場合には、必要な情報をすべて収集して、McAfee サポートに連
絡してください。
イベント氾濫
類似タイプのイベントや不要なイベントをフィルタリングすると、イベント リストの氾濫を防ぐことができます。
カテゴリ
説明
問題
類似したイベントでイベント リストがいっぱいになる。
症状
類似したイベントや不要なイベントが生成されます。
タスク
1
詳細除外フィルターを使用して、不要なイベントをフィルタリングします。 『AEF を追加または削除する』を参
照してください。
2
問題が解決しない場合には、必要な情報を収集して McAfee サポートに連絡してください。
エラー メッセージの使用
トラブルシューティングでエラーを解決するには、特定のエラーに関するエラー メッセージを常に記録しておく必要
があります。
システムの次の場所でエラー メッセージを確認できます。
•
コンソール ウィンドウ
•
イベント ビューアー
•
Application Control コマンドライン インター
フェース
•
/var/log/messages ファイル (Linux)
•
OS またはアプリケーション (Windows の場合)
のポップアップ ウィンドウが開きます。
これらのエラー メッセージにより、問題をより詳しく調査することができます。類似しているエラー メッセージが
複数ある場合、それぞれのエラー メッセージの詳細を記録する必要があります。これは、問題に関連するコンテキス
トを提供するのに役立ちます。
McAfee Application Control 7.0.0
製品ガイド
95
7
トラブルシューティング
コマンドライン インターフェースのエラー メッセージ
コマンドライン インターフェースのエラー メッセージ
CLI に表示される一般的なエラー メッセージの問題を修正します。
エラー メッセージ
解決法
sadmin solidify など、ボリューム名をパラメーターとして指定できるコマンドに、 コマンドに正しいボリュ
ーム名を指定してくださ
無効なボリューム名が指定されている場合。例: sadmin solidify J:
い。
次のメッセージが CLI に表示されます:
ボリューム "ボリューム名:" が存在しません。
管理者以外のアカウントから sadmin <Command Name> コマンドが実行された場合、 管理者として CLI を実
Application Control サービスとの接続に失敗し、次のメッセージが CLI に表示されま 行します。
す:
アクセスが拒否されました。 選択されたオプションを使用するには管理者権限が必要
です。 これらのタスクを完了するには、管理者コマンドプロンプトを使用してくださ
い。
sadmin solidify コマンドに正しいボリューム名 (ボリューム名の後に英字以外の文 サポートされている適切
字またはコロン ':' がない) を指定して実行すると、CLI に次のメッセージが表示されま なボリューム名をコマン
ドと共に使用してくださ
す。
い。
パス「C:\Program Files\McAfee\Solidcore\<Volume_Name>」が存在しない、
またはアクセスできません。
sadmin updaters などのコマンド使用中に、特定のコマンドに対し、サポートされて サポートされている数の
引数をコマンドと共に使
いる数以上の引数を指定している場合。例: sadmin updaters add -u <user
用してください。
name> -p <binary name>
次のメッセージが CLI に表示されます:
引数が多すぎます。
sadmin help <Command Name> と入力して、ヘルプを表示してください。
sadmin updaters などのコマンドで、引数だけを指定し、引数の値を指定していない コマンドと共に使用する
引数すべてに対し、ユー
場合。例: sadmin updaters add -u
ザー名、ファイル名、タ
次のメッセージが CLI に表示されます:
グ名などの値を指定して
ください。
引数が十分ではありません。
ヘルプを表示するため sadmin help <Command Name> と入力してください。
sadmin write-protect などのコマンド使用中に、無効な引数を使用している場合。 正確かつサポートされて
いる引数をコマンドと共
例: sadmin write-protect -k
に使用してください。
次のメッセージが CLI に表示されます:
<Argument Name> は無効なオプションです。
ヘルプを表示するため sadmin help <Command Name> と入力してください。
CLI で sadmin solidify コマンドを実行し、別の CLI を開いて sadmin status な ホワイトリストへの登録
中です。別の CLI でコ
どの他のコマンドを実行すると、次のメッセージが CLI に存在します。
マンドを実行しないでく
別の CLI がすでに実行されています。
ださい。
96
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
正当なエラーとエラー メッセージ
7
正当なエラーとエラー メッセージ
システムで Application Control が有効モードで実行されているときに、正当なエラーが発生する場合があります。
正当なエラーに対応するエラー メッセージも生成されます。ただし、このようなエラー メッセージは正当で、
Application Control が未承認の操作を防いでいることを示します。
たとえば、Application Control は、ホワイトリストに存在しないコンポーネント (バイナリ、スクリプト、インス
トーラー パッケージなど) に実行を許可しません。コンポーネントがホワイトリストに登録されていれば、正常に実
行されます。登録されていない場合、Application Control は実行を阻止し、対応するエラー メッセージを表示しま
す。このような場合、イベントが生成されます。
バイナリまたはスクリプト ファイルが生成するエラー メッセージ
ホワイトリストにないバイナリまたはスクリプトが実行されると、対応するエラー メッセージが生成されます。この
ような操作が実行された場合には、エラー メッセージでエラーの内容を確認してください。
次の表に、ホワイトリストに存在しないバイナリとスクリプト ファイルの実行を試行した場合に表示されるエラー
メッセージを示します。
試行された操作
説明
ホワイトリストに存在しない
.exe ファイルの実行が試行され
ました。
サポートされているボリュームからの putty.exe などホワイトリストに存在
しないプログラムの実行が試行された場合、操作は失敗となり、ポップアップ
ウィンドウに以下のメッセージが表示されます。
Windows は指定のデバイス、パス、またはファイルにアクセスできません。アイテ
ムにアクセスする適切な許可がありません。
コマンド プロンプトから putty.exe を実行すると、次のメッセージが表示さ
れます。
Access is denied.
ホワイトリストの存在しない .vbs スクリプト ファイルをダブルクリックす
ホワイトリストに存在しない
.vbs スクリプト ファイルの実行 ると、実行は失敗となり、Windows Script Host により、ポップアップ ウィ
ンドウが開き、次のメッセージが表示されます。
が試行されました。
スクリプト C:\shared\AUTH\AUTH.vbs の読み込みに失敗しました (アクセス
が拒否されました)
また、イベントも生成されます。 イベントの詳細については、『イベントを使
用して変更を確認する』を参照してください。
ホワイトリストに存在しない ELF foo2bar2 などホワイトリストに存在しない ELF ファイルの実行が試行され
バイナリ ファイルの実行が試行さ た場合、操作は失敗となります。
れました。(Linux)
コマンド プロンプトから foo2bar2 file を実行すると、次のメッセージが表示
されます。
アクセスは拒否されました。
ホワイトリストに存在しない #!
(hash-bang) スクリプトの実行
が試行されました。(Linux)
ホワイトリストに存在しない #! スクリプトの実行が試行した場合、実行は失
敗となり、次のメッセージが表示されます。
無効なインタープリター:アクセスが拒否されました
インストーラー パッケージに生成されたエラー メッセージ
ホワイトリストにないインストーラー パッケージが実行されると、対応するエラー メッセージが生成されます。こ
のような操作が実行された場合には、エラー メッセージでエラーの内容を確認してください。
以下の表では、ホワイトリストに存在しないインストーラー パッケージの実行時に表示されるエラー メッセージに
ついて説明します。
McAfee Application Control 7.0.0
製品ガイド
97
7
トラブルシューティング
正当なエラーとエラー メッセージ
試行された操作
説明
MSI ベースのインストー Ica32Pkg.msi など、MSI ベースのインストーラーのインストールが試行されると、
ラーの実行が試行されま 操作は失敗します。
した。
ポップアップ ウィンドウに次のエラー メッセージが表示されます。
システム管理者がインストールを阻止するポリシーを設定しています。
Application Control が未承認コードの実行を阻止したことを通知するイベントが生成
されます。
パッケージ コントロール機能が有効な場合、イベントが表示されます。
MSI ベースのインストー Ica32Pkg.msi など、MSI ベースのパッケージの削除が試行されると、操作は失敗し
ラーの削除が試行されま ます。
した。
ポップアップ ウィンドウに次のエラー メッセージが表示されます。
このインストールはシステム ポリシーで禁止されています。システム管理者に連絡し
てください。
Application Control が未承認コードの実行を阻止したことを通知するイベントが生成
されます。
一部のケースで、[プログラムの追加と削除] 機能を使用して(MSI ベースのインストー
ラーを使用してインストールされた)アプリケーションをアンインストールできる場合
があります。そのようなアプリケーションを削除する場合は、<installer>.msi ファイ
ルを実行して、アプリケーションをアンインストールします。
Windows のオプション
コンポーネントのインス
トールまたは削除が試行
されました。
[プログラムの追加と削除] から Windows のオプションコンポーネントのインストー
ルまたは削除が試行されると、操作は失敗し、イベント ログにエントリが生成されま
す。
Application Control が未承認コードの実行を阻止したことを通知するイベントが生成
されます。
パッケージ コントロール機能が有効な場合、イベントが表示されます。
INF ベースのインストー
ラーの実行が試行されま
した。
mmdriver.inf など、INF ベースのインストーラーのインストールが右クリックで試
行されると、操作は失敗し、イベント ログにエントリが生成されます。
Application Control が未承認コードの実行を阻止したことを通知するイベントが生成
されます。
パッケージ コントロール機能が有効な場合、イベントが表示されます。
ホワイトリストに登録された登録されたコンポーネントに不正な変更が行われた
場合に生成されるエラー メッセージ
通常使用中、たとえ管理者権限があっても、ホワイトリストに登録済みのプログラムファイルの変更、名前の変更、
または削除はできません。 ホワイトリストに登録されたコンポーネントに不正な変更が行われると、対応するエラー
メッセージが生成されます。 このような操作が実行された場合には、エラー メッセージを参照してエラーの内容を
確認してください。
ホワイトリストに登録済みのファイルの変更の試行は阻止され、アクセス拒否エラーが生成されます。Application
Control により、レジストリ ファイルへの変更が禁止され、有効モードでレジストリ ファイルに加えられた変更か
らレジストリ ファイルを保護します。
次の表に、ホワイトリストに登録済みのファイルやレジストリ キーへの不正変更が試行された場合に表示されるエラ
ー メッセージを示します。
98
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
正当なエラーとエラー メッセージ
7
試行された操作
説明
ホワイトリストに存在するフ
ァイルの名前変更が試行され
ました。
名前の変更の操作は失敗となり、ポップアップ ウィンドウが開き、次のメッセージ
が表示されます:
<filename> の名前を変更できません。アクセスが拒否されました。
ディスクが一杯になっていないか、書き込み保護が設定されていないか確認してくださ
い。ファイルが使用中でないかも確認してください。
Application Control が名前の変更を阻止したことを通知するイベントも生成され
ます。また、Windows イベント ビューアーにエラー メッセージが表示されます。
ホワイトリストに存在するフ
ァイルの移動が試行されまし
た。
Windows プラットフォーム:
移動の操作は失敗となり、ポップアップ ウィンドウが開き、次のメッセージが表示
されます:
<filename> の名前を変更できません。アクセスが拒否されました。
ディスクが一杯になっていないか、書き込み保護が設定されていないか確認してくださ
い。ファイルが使用中でないかも確認してください。
Application Control が移動操作を阻止したことを通知するイベントも生成されま
す。また、Windows イベント ビューアーにエラー メッセージが表示されます。
Linux プラットフォーム:
移動操作は失敗し、次のメッセージが表示されます。
mv:filename を filename に移動できません。アクセスは拒否されました。
ホワイトリストに存在するフ
ァイルの削除が試行されまし
た。
Windows プラットフォーム:
削除操作は失敗し、ポップアップ ウィンドウが開いて次のメッセージが表示されま
す。
<filename> を削除できません。アクセスが拒否されました。ディスクが一杯になっ
ていないか、書き込み保護が設定されていないか確認してください。ファイルが使用中
でないかも確認してください。
Application Control が削除操作を阻止したことを通知するイベントも生成されま
す。また、Windows イベント ビューアーにエラー メッセージが表示されます。
Linux プラットフォーム:
削除操作は失敗し、次のメッセージが表示されます。
rm:filename を削除できません。アクセスは拒否されました。
McAfee Application Control 7.0.0
製品ガイド
99
7
トラブルシューティング
ファイルとスクリプトのバイパス ルール
試行された操作
説明
ホワイトリストに存在するフ
ァイルの上書きが試行されま
した。
Windows プラットフォーム:
上書き操作は失敗し、ポップアップ ウィンドウが開いて次のメッセージが表示され
ます。
<filename> をコピーできません。アクセスが拒否されました。
ディスクが一杯になっていないか、書き込み保護が設定されていないか確認してくださ
い。ファイルが使用中でないかも確認してください。
Application Control が上書き操作を阻止したことを通知するイベントも生成され
ます。また、Windows イベント ビューアーにエラー メッセージが表示されます。
Linux プラットフォーム:
上書き操作は失敗し、次のメッセージが表示されます。
cp:通常のファイル filename を作成できません。アクセスは拒否されました。
ホワイトリストに存在するフ
ァイルに代替ストリームの追
加が試行されました。
操作は失敗し、CLI に次のメッセージが表示されます。
アクセスが拒否されました。
イベントも生成されます。
ホワイトリストに存在するフ
ァイルに代替ストリームの削
除が試行されました。
操作は失敗しますが、メッセージは表示されません。ただし、イベントは生成さ
れ、Windows イベント ビューアーに表示されます。
Application Control 固有の 操作は失敗し、ポップアップが開いて次のメッセージが表示されます。
レジストリ キーの名前の変更
レジストリ エディターが 'registry key name' の名前を変更できません。名前の
が試行されました。
変更中にエラーが発生しました。
レジストリ キーの削除が試行 操作は失敗し、ポップアップが開いて次のメッセージが表示されます。
されました。
パラメーターを削除できません。キーの削除中にエラーが発生しました。
ファイルとスクリプトのバイパス ルール
コンテキスト ファイル操作を使用して特定のルールを定義すると、ファイルとスクリプトで書き込み保護と
script-auth 機能を無効にすることができます。
アプリケーションの中には、毎日の処理の一部として特殊な方法でコードを実行するものがあるため、実行が妨げら
れます。 こうしたアプリケーションの実行を許可するには、適切なバイパス ルールを定義します。 ファイルのバイ
パスは、アプリケーションの実行を許可する最後の手段にする必要があります。
ファイルとスクリプトのバイパス ルールを追加する
ファイルとスクリプトにバイパス ルールを追加すると、ホワイトリストに登録されていないスクリプトをシステムで
実行し、スクリプト許可機能をバイパスできます。 このルールを追加すると、書き込み拒否機能がバイパスされま
す。ホワイトリストに登録され、このルールに追加されたファイルに書き込み保護は実行されません。 ただし、この
ルールを追加しても、実行拒否機能はバイパスされません。
sadmin attr add コマンドを使用してバイパス ルールを追加し、必要な引数を指定します。
コマンドの構文は sadmin attr add -o <parent_file> -p <file> です。
100
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
パス コンポーネントのスキップ ルール
7
タスク
1
sadmin attr add -o <parent_file> -p <file> コマンドを実行します。
コマンドにファイル名を指定して、ファイルをコンテキスト ファイル操作処理の対象外にします。
このコマンドに -o 引数を使用して、指定したプロセスまたはファイル名の DLL モジュール名を指定することも
できます。Linux プラットフォームでは、この引数に親プログラムを指定します。
2
Enter キーを押します。
3
sadmin attr list -p コマンドを実行することもできます。
このコマンドでバイパスされるファイルのリストを表示します。
バイパス ルールが追加されます。
ファイルとスクリプトのバイパス ルールを削除する
ファイルとスクリプトのバイパス ルールを削除して、ホワイトリストにないスクリプトの実行を制限します。このル
ールを削除すると、deny-write 機能と script-auth 機能が再度有効になります。
バイパス ルールの削除方法は 2 つあります。
•
指定したファイルまたはスクリプトからバイパス ルールを削除します。
指定したファイルまたはスクリプトからバイパス ルールが削除されます。
コマンドの構文は sadmin attr remove -p <file> です。
•
すべてのバイパス ルールを削除します。
ファイルとスクリプトのすべてのバイパス ルールを削除します。
コマンドの構文は sadmin attr flush -p です。
タスク
1
特定のファイルまたはスクリプトからバイパス ルールを削除します。
a
sadmin attr remove -p <file> コマンドを入力します。
ファイル名またはスクリプト名を指定します。
b
Enter を押します。
指定したファイルまたはスクリプトからバイパス ルールが削除されます。
2
すべてのバイパス ルールを削除します。
a
sadmin attr flush -p コマンドを入力します。
b
Enter を押します。
ファイルとスクリプトに追加されたすべてのバイパス ルールが削除されます。
パス コンポーネントのスキップ ルール
Windows プラットフォームでスキップ ルールを定義すると、特定のパス コンポーネントで複数の Application
Control 機能と Windows 代替データ ストリーム (ADS) 機能を無効にすることができます。パス コンポーネント
をスキップすると、そのパス内のすべてのファイルがスキップされます。
製品がシステムに正常に配備され、有効モードで実行されると、システムのすべてのディレクトリとサブディレクト
リがホワイトリストに追加され、Application Control の機能で保護されます。
McAfee Application Control 7.0.0
製品ガイド
101
7
トラブルシューティング
パス コンポーネントのスキップ ルール
変更や削除を頻繁に行うファイルがパス上に存在する場合、Application Control 機能で適用された保護機能により、
これらの操作は禁止されます。 Application Control 機能で保護されているファイルに対して操作の実行が必要に
なる場合があります。 この場合、特定のパス コンポーネントを対象外にし、これらの機能でブロックされた操作を
許可します。 Windows ADS 機能から特定のパス コンポーネントを除外することもできます。
スキップリスト ルールを適用する場合には、McAfee サポートの指示に従い、慎重に行ってください。この操作を行
うと、製品のコア機能に影響を及ぼし、セキュリティ脅威に対して脆弱になる可能性があります。
パス コンポーネントのスキップ ルールを追加する
絶対パスまたは相対パスではなく、パス コンポーネントを指定して、スキップ ルールを追加します。Application
Control は、指定されたパス コンポーネントをすべてのボリュームで検索し、システムに存在する特定のパス コン
ポーネントに適用されます。
このスキップ ルールは、指定されたパス コンポーネント上にあるすべてのファイルに適用されます。 たとえば、パ
ス C:\WINDOWS\Debug\UserMode のスキップ ルールを定義する場合には、絶対パスまたは相対パスを指定しない
でください。 パス コンポーネント (\UserMode) だけを指定してください。Application Control は、すべてのボ
リュームでこのパスのコンポーネントにスキップ ルールを適用します。
機能でパス コンポーネントをスキップすると、パス コンポーネントはその機能から除外されます。パス コンポーネ
ントにこの機能が適用したセキュリティ対策が削除されます。 ただし、ホワイトリストからパス コンポーネントは
削除されません。 スキップ ルールを定義して、パス コンポーネントをホワイトリストから除外することもできま
す。 これにより、ホワイトリストからパス コンポーネントが削除されます。
スキップ ルールを追加するには、必要な引数を指定して sadmin skiplist add コマンドを実行します。
コマンド構文は次のとおりです。
sadmin skiplist add [-c | -d | -f | -i | -r | -s | -v] PATH
次の表では、パス コンポーネントをスキップするコマンドについて説明します。
機能
コマンド
説明
モニタリング
sadmin
skiplist
add -c <path
component>
パス コンポーネントをモニタリングの対象外にします。 このコマンドは、
Application Control が更新モードで稼動し、変更の追跡が有効になっている場
合にのみ使用できます。 このコマンドにユーザー モードのパスとボリューム
名のパスの両方を指定することはできません。
このコマンドに追加したテキストは、完全なコンポーネントとして処理されま
す。 たとえば、テキストはスラッシュ (/) で開始し、バックスラッシュ (\)、
ドット (.) または NULL 文字で終了する必要があります。
指定したテキストを含むファイルにイベントは生成されません。 また、このよ
うなパスはホワイトリストで更新されません。
書き込み保護
sadmin
パス コンポーネントを書き込み保護の対象外にし、パス上のファイルに適用さ
skiplist
れた書き込み保護がすべて削除されます。 このパスで書き込み拒否イベントは
add -d <path 監視されません。
component>
このコマンドにユーザー モードのパスとボリューム名のパスの両方を指定する
ことはできません。 このコマンドに追加したテキストは、完全なコンポーネン
トとして処理されます。 たとえば、テキストはスラッシュ (/) で開始し、バッ
クスラッシュ (\)、ドット (.) または NULL 文字で終了する必要があります。
sadmin
レジストリ パスをレジストリの書き込み保護の対象外にし、レジストリ パスに
skiplist
適用された書き込み保護を削除します。
add -r <path
このコマンドに追加したテキストは、完全なコンポーネントとして処理されま
component>
す。 たとえば、テキストはスラッシュ (/) で開始し、バックスラッシュ (\)、
ドット (.) または NULL 文字で終了する必要があります。
102
McAfee Application Control 7.0.0
製品ガイド
7
トラブルシューティング
パス コンポーネントのスキップ ルール
機能
コマンド
説明
ファイル操作と sadmin
パス コンポーネントをファイル操作とスクリプト許可機能の対象外にします。
スクリプトの許 skiplist
パス コンポーネントをファイル操作の対象外にすると、作成、変更、削除など
add -f <path の操作に対して書き込み保護が実行されません。 ただし、宛先パスに対するリ
可
component>
ンクと名前の変更は、書き込み保護機能で保護されています。
コマンドにパス コンポーネントを指定します。 このコマンドにユーザー モー
ドのパスとボリューム名のパスの両方を指定することはできません。
このコマンドに追加したテキストは、パスのサブ文字列として処理されます。
除外されたパス コンポーネントにイベントは発生しません。ホワイトリストも
更新されません。 このコマンドに追加したパスでは、スクリプト実行制御も機
能しません。
ファイル操作と sadmin
skiplist
実行拒否
add -i <path
component>
除外パス リストを使用して、パス コンポーネントをファイル操作の対象外にし
ます。 この動作は、sadmin add -f コマンドに似ています。 Windows 64
ビット プラットフォームの場合、このスキップ ルールを使用すると、pe32 タ
イプのバイナリも実行拒否機能の対象外になります。 このスキップ ルールを
有効にするには、システムの再起動が必要になります。
以下の手順に従って、スキップ ルールを追加します。
1 sadmin config show コマンドを実行します。
2 sadmin config set customerconfig=<new value> コマンドを入力
します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swin
\Parameters の CustomerConfig レジストリ キー値を現在のデフォル
ト値または 0x80 に変更します。 指定する値を計算するときに、Windows
の電関数電卓モードで使用すると、現在のデフォルト値と 0x80 (0x80[16
進数] と 128 [10 進数]) の論理和を計算できます。 新しい値は、システム
の再起動後に有効になります。
3 Enter キーを押します。
4 システムを再起動します。
5 sadmin skiplist add -i <path component> コマンドを入力します。
コマンドにパス コンポーネントを指定します。 このコマンドにユーザー モ
ードのパスとボリューム名のパスの両方を指定することはできません。
Windows 64 ビット プラットフォームでパス コンポーネントを指定する
と、実行拒否機能がスキップされます。
6 Enter キーを押します。
McAfee Application Control 7.0.0
製品ガイド
103
7
トラブルシューティング
パス コンポーネントのスキップ ルール
機能
コマンド
ホワイトリスト sadmin
skiplist
add -s <path
component>
説明
コマンドにパス コンポーネントを指定します。 このコマンドにネットワーク
パス名は指定できません。 このコマンドにパス コンポーネントを指定すると、
このパスとサブディレクトリの中でホワイトリストに登録されているファイル
がホワイトリストから削除されます。 ただし、このようなパスとサブディレク
トリで生成または変更されたファイルは、Application Control モード (有効ま
たは更新) または更新プログラムの使用に関係なく、unso 状態でのみホワイト
リストに追加されます。 ファイルが unso 状態でホワイトリストに追加され
ると、ファイルに対する変更は許可されますが、実行は拒否されます。
*\<vol_rel_name> を使用して、ボリューム相対ルールを指定することもで
きます。
アスタリスク (*) は、パス上の任意の 1 つのコンポーネントを表します。 ル
ールにアスタリスク (*) を追加すると、パス上のファイルはホワイトリストか
ら削除されませんが、有効モード、更新モードまたは更新プログラムで生成さ
れたファイルは unso 状態でのみホワイトリストに追加されます。 アスタリ
スク (*) を含むルールを追加すると、ホワイトリストからファイルが削除され
ないため、このパス上でホワイトリストに登録されたファイルは書き込み保護
の監視対象になります。
Application
Control
sadmin
skiplist
add -v <path
component>
ボリューム名が Application Control に接続しません。 NTFS、FAT などのフ
ァイル システムも指定できます。 この引数にボリューム名を指定すると、
Application Control はこのボリュームに接続しません。 指定したボリューム
でスクリプト許可機能と実行拒否機能も無効になります。 このボリュームのコ
ンポーネントは、システムでの実行が許可されます。
ユーザー モードのボリューム名 (C:、D: など) を使用して、パス コンポーネ
ントを指定できます。 \device\harddiskvolume1 などのデバイス名と
NTFS や FAT などのファイル システムも指定できます。
パス コンポーネントの指定条件に一致すると、Application Control はこのボ
リュームに接続しません。 このようなボリュームでスクリプト許可機能と実行
拒否機能は機能しません。 ドライブが接続済みの場合、ルールを有効にするに
は再起動が必要です。
パス コンポーネントのスキップ ルールの一覧を表示する
パス コンポーネントに追加されたスキップ ルールのリストを表示できます。
タスク
•
コマンド プロンプトで次のコマンドを実行します。
skiplist list
適用されたスキップ ルールの一覧を表示するには、引数を指定する必要があります。
パス コンポーネントのスキップ ルールを削除する
特定のパス コンポーネントに適用されたスキップ ルールを削除し、Application Control 機能でパス コンポーネン
トを保護します。
スキップ ルールの削除方法は 2 つあります。
104
McAfee Application Control 7.0.0
製品ガイド
トラブルシューティング
パス コンポーネントのスキップ ルール
•
7
特定のパス コンポーネントからスキップ ルールを削除します。
指定したパス コンポーネントからスキップ ルールが削除されます。
コマンドの構文は、sadmin skiplist remove [-c | -d | -f | -i | -r | -s | -v] PATH です。
•
すべてのスキップ ルールを消去します。
指定した引数のすべてのスキップ ルールを削除します。
コマンドの構文は、sadmin skiplist flush [-c | -d | -f | -i | -r | -s | -v] です。
タスク
1
指定したパス コンポーネントからスキップ ルールを削除します。
a
sadmin skiplist remove コマンドを入力して、スキップ ルールを削除するパス コンポーネントと引数を
指定します。
b
Enter を押します。
指定したパス コンポーネントからスキップ ルールが削除されます。
2
すべてのスキップ ルールを削除します。
a
sadmin skiplist flush コマンドを入力して、スキップ ルールを削除する引数を指定します。
b
Enter を押します。
指定した引数のすべてのスキップ ルールが削除されます。
McAfee Application Control 7.0.0
製品ガイド
105
7
トラブルシューティング
パス コンポーネントのスキップ ルール
106
McAfee Application Control 7.0.0
製品ガイド
A
よくある質問
以下では、よくある質問とその回答を示します。
Application Control をスタンドアロンから McAfee ePO 管理モードに切り替える方法を教えてください。
KnowledgeBase の次の記事を参照してください。
•
Windows プラットフォーム:KB69408
•
Linux プラットフォーム:KB74077
Change Control 製品を使用しています。この製品を Application Control にアップグレードしました。 ア
ップグレードすると、ライセンスはどうなりますか?
Application Control のライセンスを追加して Change Control からアップグレードすると、共通の機能に
Application Control のデフォルトのステータスが設定されます。
ログ メッセージとイベントの違いは何ですか?
イベントは、保護対象のシステムで行われたすべての変更に対して生成され、イベント シンクに保存されま
す。 ログ メッセージは、製品に関連したアクションとエラーに対して生成され、ログ ファイルに保存されま
す。 詳細については、『イベントを使用して変更を確認する』と『ログ ファイルの設定』を参照してくださ
い。
Application Control の対応オペレーティング システムを教えてください。
KnowledgeBase の記事 KB73341 を参照してください。
sadmin trusted -u コマンドと sadmin updaters add コマンドの違いは何ですか?
sadmin updaters add コマンドを使用すると、コンポーネントを更新プログラムとして実行できます。 た
だし、更新プログラムとして追加する前に、以下のいずれかの方法でシステムでの実行をコンポーネントに許
可する必要があります。
•
コンポーネントをホワイトリストに追加する。
•
名前またはチェックサムでコンポーネントを許可する。
詳細については、『更新プログラムとは』を参照してください。
sadmin trusted -u コマンドを使用すると、特定のパスに更新プログラム特権を付与できます。 このコマ
ンドにディレクトリ パスを指定すると、このディレクトリ内のすべてのバイナリとスクリプトが更新プログラ
ムとして設定されます。 詳細については、『信用されたディレクトリを追加する』を参照してください。
禁止ファイルの実行を許可する理由は何ですか?
定義済みのルールを適用するときに、ファイルに定義されたルールが統合または集約されます。 このルールを
適用すると、以下の順番でファイルの実行を許可するかどうか判断されます。 リスト内の順番は、それぞれの
方法が適用される優先順位を表します。
1
更新プログラムまたは信用されたユーザーに
よる実行
5
名前で禁止
2
チェックサムで禁止
6
名前で許可
McAfee Application Control 7.0.0
製品ガイド
107
A
よくある質問
3
チェックサムで許可
7
信用されたディレクトリから除外
4
証明書によって許可
8
ホワイトリストに追加
上記のいずれにも該当しない場合、ファイルの実行がブロックされます。 たとえば、チャックサムでバイナリ
ファイルを禁止している場合、このファイルが更新プログラムまたは信用されたユーザーによって実行される
と、実行が許可されます。 他のシナリオの場合、バイナリ ファイルはブロックされます。 同様に、プログラ
ムがチェックサム値に基づいて許可されていても、名前によっては禁止されている場合、このプログラムは実
行を許可されます。
UNIX で変数を定義しました。 この変数を使用して、Application Control または Change Control でルール
を定義できますか?
UNIX プラットフォームの場合、特定のディレクトリを参照するシステム変数は事前に定義されていません。
シェル変数を定義してシステムで使用することはできます。 Application Control または Change Control
をスタンドアロンで使用している場合、ユーザー定義のシェル変数を使用してルールを追加できます。 たとえ
ば、MYDIR=/test 変数を定義して更新プログラム ルール (sadmin updaters add -t <workflow id>
$MYDIR/updater) を追加すると、この変数に /test/updater が設定され、更新プログラム ルールが追加
されます。
エンドポイントのソリディフィケーションまたはホワイトリストのステータスを確認する方法を教えてください。
エンドポイントのソリディフィケーションまたはホワイトリストのステータスを確認するには、次の手順に従
ってください。
1
エンドポイントの通知領域にある McAfee Agent アイコンを右クリックします。
2
[クイック設定]、[Application Control ソリディフィケーション ステータス] の順に選択します。
[Application Control ソリディフィケーション ステータス] ウィンドウが表示されます。
3
108
エンドポイントのステータスを確認して、[閉じる] をクリックします。
McAfee Application Control 7.0.0
製品ガイド
B
Application Control のイベント リスト
次の表では、Application Control 固有のイベント (名前、イベント ID、重大度、説明) について説明します。
名前の末尾に (_UPDATE) が付いているイベントは、更新モードで生成されています。
イベ
ント
ID
(シ
ステ
ム)
脅威イベン イベント名
ト ID
(McAfee
ePO)
重
大
度
説明
19
20718
PROCESS_TERMINATED
メ
ジ
ャ
ー
McAfee Solidifier が、API
'<string>' の不正呼び出しによるプ
ロセス <string> (プロセス ID:
<string>、ユーザー: <string>) のハ
イジャックを阻止しました。 このプ
ロセスは終了しました。
20
20719
WRITE_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) によるファイル
'<string>' の変更を阻止しました。
21
20720
EXECUTION_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) による
'<string>' の未承認の実行を阻止し
ました。
29
20728
PROCESS_TERMINATED_UNAUTH_SYSCALL メ
ジ
ャ
ー
McAfee Solidifier が、<string> によ
って開始されたプロセス <string> に
よる不正な syscall %d (戻りアドレ
ス %d) を阻止しました。 このプロセ
スは終了しました。
30
20729
PROCESS_TERMINATED_UNAUTH_API
メ
ジ
ャ
ー
McAfee Solidifier が、<string> によ
って開始されたプロセス <string> に
よる API <string> の不正アクセス
(戻りアドレス <string>) を阻止しま
した。 このプロセスは終了しました。
49
20748
REG_VALUE_WRITE_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) によるレジスト
リ キー '<string>' (値: '<string>')
の変更を阻止しました。
50
20749
REG_KEY_WRITE_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) によるレジスト
リ キー '<string>' の変更を阻止しま
した。
McAfee Application Control 7.0.0
製品ガイド
109
B
110
Application Control のイベント リスト
イベ
ント
ID
(シ
ステ
ム)
脅威イベン イベント名
ト ID
(McAfee
ePO)
重
大
度
説明
51
20750
REG_KEY_CREATED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、ワー
クフロー ID: <string>) によるレジ
ストリ キー '<string>' の作成を検出
しました。
52
20751
REG_KEY_DELETED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、ワー
クフロー ID: <string>) によるレジ
ストリ キー '<string>' の削除を検出
しました。
54
20753
REG_VALUE_DELETED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、ワー
クフロー ID: <string>) によるレジ
ストリ (値 '<string>'、キー
'<string>') の削除を検出しました。
57
20756
OWNER_MODIFIED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、ワー
クフロー ID: <string>) による
'<string>' 所有者の変更を検出しま
した。
61
20760
PROCESS_HIJACKED
メ
ジ
ャ
ー
McAfee Solidifier が、アドレス
<string> からのプロセス <string>
への攻撃を検出しました。
62
20761
INVENTORY_CORRUPT
重
大
McAfee Solidifier が、ボリューム
<string> の内部インベントリの破損
を検出しました。 修正するには、イン
ベントリを削除し、再度ボリュームを
固定化してください。
75
20774
FILE_CREATED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による '<string>' の
作成を検出しました。
76
20775
FILE_DELETED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による '<string>' の
削除を検出しました。
77
20776
FILE_MODIFIED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による '<string>' の
変更を検出しました。
79
20778
FILE_RENAMED_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による名前変更
('<string>' から '<string>') を検出
しました。
McAfee Application Control 7.0.0
製品ガイド
Application Control のイベント リスト
B
イベ
ント
ID
(シ
ステ
ム)
脅威イベン イベント名
ト ID
(McAfee
ePO)
重
大
度
説明
80
20779
FILE_SOLIDIFIED
情
報
<string>' は固定化されています。プ
ログラム <string>(ユーザー:
<string>、ワークフロー ID:
<string>) によって作成されました。
82
20781
FILE_UNSOLIDIFIED
情
報
<string>' は固定化されていません。
プログラム <string>(ユーザー:
<string>、ワークフロー ID:
<string>) によって削除されました。
89
20788
READ_DENIED
メ
ジ
ャ
ー
McAfee Solidifier が、プロセス
<string> (プロセス ID: <string>、
ユーザー: <string>) によるファイル
'<string>' の読み取りを阻止しまし
た。
96
20795
PKG_MODIFICATION_PREVENTED
重
大
McAfee Solidifier が、'<string>' (ユ
ーザー: '<string>') によるパッケー
ジの変更を阻止しました。
97
20796
PKG_MODIFICATION_ALLOWED_UPDATE
情
報
McAfee Solidifier が、'<string>' (ユ
ーザー: '<string>') によるパッケー
ジの変更を許可しました。 (ワークフ
ロー ID: <string>)
98
20797
PKG_MODIFICATION_PREVENTED_2
重
大
McAfee Solidifier が、'<string>' (ユ
ーザー: '<string>') によるパッケー
ジの変更を阻止しました。
99
20798
NX_VIOLATION_DETECTED
重
大
McAfee Solidifier が、プロセス
'<string>' (プロセス ID:
'<string>'、ユーザー: '<string>') の
ハイジャックを阻止しました。コード
ページ領域外のアドレスからコードの
実行が試行されました。 エラーが発
生したアドレス '<string>'。 このプ
ロセスは終了しました。
101
20800
REG_VALUE_MODIFIED_UPDATE
情
報
McAfee Solidifier が、プログラム
'<string>' (ユーザー: <string>、ワ
ークフロー ID: <string>) によるデ
ータ (<string>) を使用したレジスト
リ (値 '<string>'、タイプ
'<string>'、キー '<string>') の変更
を検出しました。
103
20802
FILE_READ_UPDATE
情
報
McAfee Solidifier が、プログラム
<string> (ユーザー: <string>、元の
ユーザー: <string>、ワークフロー
ID: <string>) による '<string>' の
読み取りを検出しました。
124
20823
INITIAL_SCAN_TASK_COMPLETED
情
報
McAfee Solidifier 初期スキャン タス
クが完了し、システムで Application
Control が施行されています。
126
20825
ACTX_ALLOW_INSTALL
情
報
McAfee Solidifier が、ActiveX
<string> のインストールを許可しま
した (ワークフロー ID: <string>、ユ
ーザー <string>)。
McAfee Application Control 7.0.0
製品ガイド
111
B
112
Application Control のイベント リスト
イベ
ント
ID
(シ
ステ
ム)
脅威イベン イベント名
ト ID
(McAfee
ePO)
重
大
度
説明
127
20826
ACTX_INSTALL_PREVENTED
メ
ジ
ャ
ー
McAfee Solidifier が、ActiveX
<string> のインストールを阻止しま
した (ワークフロー ID: <string>、ユ
ーザー <string>)。
129
20828
VASR_VIOLATION_DETECTED
重
大
McAfee Solidifier が、プロセス
'<string>' (プロセス ID:
'<string>'、ユーザー: '<string>') の
ハイジャックを阻止しました。再配置
不能な DLL '<string>' からコードの
実行が試行されました。 エラーが発
生したアドレス '<string>'。 ターゲ
ット アドレス '<string>'
McAfee Application Control 7.0.0
製品ガイド
C
短形式のコマンド
Application Control では、短形式のコマンドも使用できます。 これらのコマンドは代替可能です。
コマンド
短形式
sadmin write-protect
sadmin wp
sadmin write-protect-reg
sadmin wpr
sadmin read-protect
sadmin rp
sadmin solidify
sadmin so
sadmin unsolidify
sadmin unso
sadmin list-solidified
sadmin ls
sadmin list-unsolidified
sadmin lu
sadmin begin-update
sadmin bu
sadmin end-update
sadmin eu
McAfee Application Control 7.0.0
製品ガイド
113
C
短形式のコマンド
114
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドライン インター
フェースのリファレンス
このセクションでは、Application Control のコマンドライン インターフェース (CLI) で使用可能なすべてのコマン
ドを説明します。
[OS] 列では、次の略称で対応オペレーティング システムを表しています。
•
L - Linux
•
W - Windows
[モード] 列では、次の略称でコマンドの対応モードを表しています。
•
E - 有効モード
•
D - 無効モード
•
U - 更新モード
表 D-1
コマンドの詳細
コマン
ド
説明
構文
OS
モード
attr
Application Control 設定の属性リストを表
示または変更します。
sadmin attr add -a
filename1 ... filenameN
L
E、D、U
sadmin attr add -p
filename1 ... filenameN
sadmin attr add -u
filename1 ... filenameN
sadmin attr add -o parent=
filename2 -p filename1
sadmin attr remove -a
filename1 ... filenameN
sadmin attr remove -p
filename1 ... filenameN
sadmin attr remove -u
filename1 ... filenameN
sadmin attr list -a
filename1 ... filenameN
sadmin attr list -p
filename1 ... filenameN
sadmin attr list -u
filename1 ... filenameN
sadmin attr flush -a
McAfee Application Control 7.0.0
製品ガイド
115
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
W (32 ビ
ット)
E、D、U
sadmin attr flush -p
sadmin attr flush -u
sadmin attr add -a
filename1 ... filenameN
sadmin attr add -b
filename1 ... filenameN
sadmin attr add -c
filename1 ... filenameN
sadmin attr add -f
filename1 ... filenameN
sadmin attr add -h
filename1 ... filenameN
sadmin attr add -o parent=
filename2 -i filename1
sadmin attr add -j
filename1 ... filenameN
sadmin attr add -l
filename1 ... filenameN
sadmin attr add -p
filename1 ... filenameN
sadmin attr add -u
filename1 ... filenameN
sadmin attr add -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr add -o parent=
filename2 -p filename1
sadmin attr add -o module=
modulename -v filename1
(Windows Vista 以降)
sadmin attr remove -a
filename1 ... filenameN
sadmin attr remove -b
filename1 ... filenameN
sadmin attr remove -c
filename1 ... filenameN
sadmin attr remove -f
filename1 ... filenameN
sadmin attr remove -h
filename1 ... filenameN
sadmin attr remove -i
filename1 ... filenameN
sadmin attr remove -j
filename1 ... filenameN
116
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin attr remove -l
filename1 ... filenameN
sadmin attr remove -p
filename1 ... filenameN
sadmin attr remove -u
filename1 ... filenameN
sadmin attr remove -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr list -a
filename1 ... filenameN
sadmin attr list -b
filename1 ... filenameN
sadmin attr list -c
filename1 ... filenameN
sadmin attr list -f
filename1 ... filenameN
sadmin attr list -h
filename1 ... filenameN
sadmin attr list -i
filename1 ... filenameN
sadmin attr list -j
filename1 ... filenameN
sadmin attr list -l
filename1 ... filenameN
sadmin attr list -p
filename1 ... filenameN
sadmin attr list -u
filename1 ... filenameN
sadmin attr list -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr flush -a
sadmin attr flush -b
sadmin attr flush -c
sadmin attr flush -f
sadmin attr flush -h
sadmin attr flush -i
sadmin attr flush -j
sadmin attr flush -l
McAfee Application Control 7.0.0
製品ガイド
117
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
W (64 ビ
ット)
E、D、U
sadmin attr flush -p
sadmin attr flush -u
sadmin attr flush -v
(Windows Vista 以降)
sadmin attr add -a
filename1 ... filenameN
sadmin attr add -h
filename1 ... filenameN
sadmin attr add -o parent=
filename2 -i filename1
sadmin attr add -j
filename1 ... filenameN
sadmin attr add -n
filename1 ... filenameN
sadmin attr add -n -y
filename1 (Windows Server
2012 では使用不可)
sadmin attr add -p
filename1 ... filenameN
sadmin attr add -u
filename1 ... filenameN
sadmin attr add -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr add -o parent=
filename2 -p filename1
sadmin attr add -o module=
modulename -v filename1
(Windows Vista 以降)
sadmin attr remove -a
filename1 ... filenameN
sadmin attr remove -h
filename1 ... filenameN
sadmin attr remove -i
filename1 ... filenameN
sadmin attr remove -j
filename1 ... filenameN
sadmin attr remove -n
filename1 ... filenameN
sadmin attr remove -p
filename1 ... filenameN
118
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin attr remove -u
filename1 ... filenameN
sadmin attr remove -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr list -a
filename1 ... filenameN
sadmin attr list -h
filename1 ... filenameN
sadmin attr list -i
filename1 ... filenameN
sadmin attr list -j
filename1 ... filenameN
sadmin attr list -n
filename1 ... filenameN
sadmin attr list -p
filename1 ... filenameN
sadmin attr list -u
filename1 ... filenameN
sadmin attr list -v
filename1 ... filenameN
(Windows Vista 以降)
sadmin attr flush -a
sadmin attr flush -h
sadmin attr flush -i
sadmin attr flush -j
sadmin attr flush -n
sadmin attr flush -p
sadmin attr flush -u
sadmin attr flush -v
(Windows Vista 以降)
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『メモリー保護技
術の設定』と『システムを保守する』でスタンドアロン モードの説明を参照してください。
auth
ホワイトリストに追加してアプリケーション
(実行ファイル、インストーラー、バッチ ファ
イル) を許可します。あるいは、ブラックリス
トに追加してアプリケーションをブロックし
ます。 アプリケーションは、ローカルからだ
けでなく、共有ドライブからインストールさ
れたり、実行される可能性があります。
sadmin auth -a -c checksum W
E、D、U
sadmin auth -a [ -t rule
id ] -c checksum
sadmin auth -a [ -t rule
id ] [ -u ] -c checksum
sadmin auth -b -c checksum
McAfee Application Control 7.0.0
製品ガイド
119
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin auth -b [ -t rule
id] -c checksum
sadmin auth -r checksum
sadmin auth -l
sadmin auth -f
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の保護を上書きする』で、スタンドアロン モードの説明を参照してください。
begi
n-upd
ate
(bu)
更新モードを開始し、ソフトウェアの更新と sadmin begin-update
L、W
[ workflow-id [ comment ]]
インストールを実行します。
E、D
sadmin bu [ workflow-id
[ comment ]]
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロン モードの説明を参照してください。
cert
デジタル署名ファイルの証明書を管理しま
す。 Application Control 証明書ストアで証
明書の追加、削除、表示を行うことができま
す。このストアは、インストール ディレクト
リのサブフォルダー (<インストール ディレ
クトリ>/Certificates にあります。
sadmin cert add
certificate_name
W
E、D、U
sadmin cert add -u
certificate_name
sadmin cert add -c
certificate_content
sadmin cert remove SHA1
sadmin cert remove -c
certificate_content
sadmin cert list
sadmin cert list -d
sadmin cert list -u
sadmin cert list [ -d
| -u ]
sadmin cert flush
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の保護を上書きする』で、スタンドアロン モードの説明を参照してください。
check
指定したファイルの属性をファイル インベ
ントリと比較し、修正します。
sadmin check [ -r ]
L、W
E、D、U
sadmin check [ -r ]
filename1 ... filenameN
sadmin check [ -r ]
directoryname1 ...
directorynameN
sadmin check [ -r ]
volumename1 ...
volumenameN
120
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロン モードの説明を参照してください。
confi
g
sadmin config export
• 現在の設定をファイルにエクスポートしま filename
す。
sadmin config import
• ファイルに保存されている設定をインポー [ -a ] filename
次の処理を実行できます。
トします。
L、W
E、D、U
sadmin config set
name=value
sadmin config show
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『高度な機能を設
定する』で、スタンドアロン モードの説明を参照してください。
diag
診断を行い、承認するプログラムとアプリケ sadmin diag
ーションに関する推奨事項を表示します (更
sadmin diag fix [ -f ]
新を実行する場合もあります)。
W
E、U
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロン モードの説明を参照してください。
disab
le
sadmin disable
無効モードに切り替えます。 コマンドの結
果を適用するには、システムを再起動します。
Linux プラットフォームの場合、Application
Control を有効にするためにシステムを再起
動する必要はありません。 ただし、製品を削
除する場合には、システムの再起動が必要で
す。
L、W
E、U
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロン モードの説明を参照してください。
enabl
e
sadmin enable
有効モードに切り替えます。 コマンドの結
果を適用するには、システムを再起動します。
あるいは、Application Control サービスを
再起動します。 ただし、メモリー保護機能を
使用するには、システムの再起動が必要です。
L、W
D
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロン モードの説明を参照してください。
end-u
pdate
(eu)
更新モードを終了し、有効モードに切り替え sadmin end-update
ます。
sadmin eu
L、W
U
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロン モードの説明を参照してください。
event
イベントを生成するログ ターゲット (シン
ク) を設定します。
sadmin event sink
L、W
E、D、U
sadmin event sink
eventname
sadmin event sink -a
{ eventname | ALL }
{ sinkname | ALL }
McAfee Application Control 7.0.0
製品ガイド
121
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin event sink -r
{ eventname | ALL }
{ sinkname | ALL }
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『高度な機能を設
定する』で、スタンドアロン モードの説明を参照してください。
featu
res
既存のインストール先で機能を有効または無 sadmin features [-d]
効にします。機能の一覧を表示することもで
sadmin features enable
きます。
featurename
L、W
E、D、U
sadmin features disable
featurename
sadmin features list
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロン モードの説明を参照してください。
help
基本的なコマンドの情報を表示します。
sadmin help
L、W
E、D、U
sadmin help [ command ]
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『準備』で、スタ
ンドアロン モードの説明を参照してください。
hel
p-adv
anced
高度なコマンドの情報を表示します。
sadmin help-advanced
L、W
E、D、U
sadmin help-advanced
[ command ]
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『準備』で、スタ
ンドアロン モードの説明を参照してください。
licen
se
ライセンス情報を追加または表示します。
sadmin license add
licensekey
L、W
D
sadmin license list
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロン モードの説明を参照してください。
lis
t-sol
idifi
ed
(ls)
ホワイトリストに登録されたファイル、ディ sadmin list-solidified
レクトリ、ボリュームの一覧を表示します。 [ -l ]
L、W
E、D、U
sadmin ls [ -l ]
sadmin list-solidified
[ -l ] filename1 ...
filenameN
sadmin ls [ -l ]
filename1 ... filenameN
sadmin list-solidified
[ -l ] directoryname1 ...
directorynameN
sadmin ls [ -l ]
directoryname1 ...
directorynameN
122
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin list-solidified
[ -l ] volumename1 ...
volumenameN
sadmin ls [ -l ]
volumename1 ...
volumenameN
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロン モードの説明を参照してください。
lis
t-uns
olidi
fied
(lu)
sadmin list-unsolidified
ホワイトリストに登録されていないファイ
ル、ディレクトリ、ボリュームの一覧を表示
sadmin lu
します。
L、W
E、D、U
sadmin list-unsolidified
filename1 ... filenameN
sadmin lu filename1 ...
filenameN
sadmin list-unsolidified
directoryname1 ...
directorynameN
sadmin lu
directoryname1 ...
directorynameN
sadmin list-unsolidified
volumename1 ...
volumenameN
sadmin lu volumename1 ...
volumenameN
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロン モードの説明を参照してください。
lockd
own
sadmin lockdown
ローカルのコマンドライン インターフェー
スを無効にします。 ロックダウン後に実行
できるコマンドは、help、help‑advanced、
status、version、recover だけです。
passw
d
コマンドライン インターフェースのパスワ
ードを設定します。
パスワードを設定した場合、重要なコマンド
が実行される前にパスワードを確認されま
す。
sadmin passwd
L、W
E、D、U
L、W
E、D、U
sadmin passwd -d
パスワードを削除するには、sadmin
passwd -d コマンドを実行します。
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『高度な機能を設
定する』で、スタンドアロン モードの説明を参照してください。
rea
d-pro
tect
(rp)
sadmin read-protect -i
読み取り保護ルールを表示または変更しま
pathname1 ... pathnameN
す。 このコマンドには完全なファイル名ま
たはディレクトリ名を指定する必要がありま
sadmin read-protect -e
す。
pathname1 ... pathnameN
McAfee Application Control 7.0.0
L、W
E、D、U
製品ガイド
123
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
rp コマンドの詳細については、『McAfee
sadmin read-protect -r
Application Control 7.0.0 製品ガイド』の pathname1 ... pathnameN
『ファイル システム コンポーネントを保護す
る』で、スタンドアロン モードの説明を参照 sadmin read-protect -l
してください。
sadmin read-protect -f
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『ファイル システ
ム コンポーネントを保護する』で、スタンドアロン モードの説明を参照してください。
recov
er
ローカルのコマンドライン インターフェー
スを復旧します。
sadmin recover
L、W
E、D、U
W
E、D、U
sadmin recover -f
skipl
ist
機能によって適用された保護対策を削除する
ときに、指定されたパス コンポーネントを除
外します。 スキップ ルールを定義して、パス
コンポーネントをホワイトリストから除外す
ることもできます。 スキップリスト ルール
を適用する場合には、McAfee サポートの指
示に従い、慎重に行ってください。この操作
を行うと、製品のコア機能に影響を及ぼし、
セキュリティ脅威に対して脆弱になる可能性
があります。 スキップリスト ルールの詳細
については、『McAfee Application Control
7.0.0 製品ガイド』の『パス コンポーネント
のルールをスキップする』で、スタンドアロ
ン モードの説明を参照してください。
sadmin skiplist add -c
pathname1 ... pathnameN
sadmin skiplist add -d
pathname1 ... pathnameN
sadmin skiplist add -f
pathname1 ... pathnameN
sadmin skiplist add -i
pathname1 ... pathnameN
sadmin skiplist add -r
pathname1 ... pathnameN
sadmin skiplist add -s
pathname1 ... pathnameN
sadmin skiplist add -v
pathname1 ... pathnameN
sadmin skiplist remove -c
pathname1 ... pathnameN
sadmin skiplist remove -d
pathname1 ... pathnameN
sadmin skiplist remove -f
pathname1 ... pathnameN
sadmin skiplist remove -i
pathname1 ... pathnameN
sadmin skiplist remove -r
pathname1 ... pathnameN
sadmin skiplist remove -s
pathname1 ... pathnameN
sadmin skiplist remove -v
pathname1 ... pathnameN
sadmin skiplist list -c
sadmin skiplist list -d
sadmin skiplist list -f
sadmin skiplist list -i
sadmin skiplist list -r
sadmin skiplist list -s
sadmin skiplist list -v
124
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
L、W
E、D、U
sadmin skiplist flush -c
sadmin skiplist flush -d
sadmin skiplist flush -f
sadmin skiplist flush -i
sadmin skiplist flush -r
sadmin skiplist flush -s
sadmin skiplist flush -v
solid
ify
(so)
sadmin solidify [ -q
ディレクトリまたはシステム ボリューム内
のファイルをホワイトリストに追加します。 | -v ]
sadmin solidify [ -q
| -v ] filename1 ...
filenameN
sadmin solidify [ -q
| -v ] directoryname1 ...
directorynameN
sadmin solidify [ -q
| -v ] volumename1 ...
volumenameN
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロン モードの説明を参照してください。
statu
s
Application Control のステータスを表示し sadmin status
ます。 動作モード、システム再起動時の動作
sadmin status volumename
モード、McAfee ePolicy Orchestrator
(McAfee ePO ) との接続、ローカル CLI ア
クセス ステータスとホワイトリスト ステー
タスを確認できます。
®
L、W
E、D、U
®
™
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロン モードの説明を参照してください。
trust
ed
信用されたファイル パス、ボリュームまたは
ディレクトリとしてローカルまたはリモート
の共有を設定します。 信用されたボリュー
ムまたはディレクトリの追加、除外、一覧表
示、消去を行うことができます。
sadmin trusted -i
pathname1 ... pathnameN
L
E、D、U
W
E、D、U
sadmin trusted -e
pathname1 ... pathnameN
sadmin trusted -r
pathname1 ... pathnameN
sadmin trusted -l
sadmin trusted -f
sadmin trusted -i
volumesetname1 ...
volumesetnameN
sadmin trusted -i
pathname1 ... pathnameN
McAfee Application Control 7.0.0
製品ガイド
125
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin trusted -e
volumesetname1 ...
volumesetnameN
sadmin trusted -e
pathname1 ... pathnameN
sadmin trusted -r
volumesetname1 ...
volumesetnameN
sadmin trusted -r
pathname1 ... pathnameN
sadmin trusted -l
sadmin trusted -f
sadmin trusted -u <local
or network path>
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の保護を上書きする』で、スタンドアロン モードの説明を参照してください。
unsol
idify
(unso
)
指定したファイルをホワイトリストから削除 sadmin unsolidify [ -v ]
します。
sadmin unsolidify [ -v ]
filename1 ... filenameN
L、W
E、D、U
sadmin unsolidify [ -v ]
directoryname1 ...
directorynameN
sadmin unsolidify [ -v ]
volumename1 ...
volumenameN
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『システムを保守
する』で、スタンドアロン モードの説明を参照してください。
updat
ers
認証済み更新プログラムのリストにプログラ sadmin updaters add [ -d ] L
ムを追加したり、リストから削除または消去 { binaryname }
します。
sadmin updaters add [ -n ]
{ binaryname }
E、D、U
sadmin updaters add [ -p
parent-programname ]
{ binaryname }
sadmin updaters add [ -t
rule-id ] { binaryname }
sadmin updaters add [ -d ]
[ -n ] [ -t rule-id ] [ -p
parent-programname ]
{ binaryname }
sadmin updaters remove
{ binaryname }
126
McAfee Application Control 7.0.0
製品ガイド
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
sadmin updaters remove
[ -p parent-programname ]
{ binaryname }
sadmin updaters list
sadmin updaters flush
sadmin updaters add [ -d ] W
{ binaryname }
E、D、U
sadmin updaters add [ -l
libraryname ]
{ binaryname }
sadmin updaters add [ -n ]
{ binaryname }
sadmin updaters add [ -p
parent-binaryname ]
{ binaryname }
sadmin updaters add [ -t
rule-id ] { binaryname }
sadmin updaters add [ -d ]
[ -n ] [ -t rule-id ] [ -l
libraryname ]
{ binaryname }
sadmin updaters add [ -d ]
[ -n ] [ -t rule-id ] [ -p
parent-binaryname ]
{ binaryname }
sadmin updaters add [ -t
rule-id ] -u username
sadmin updaters remove
{ binaryname }
sadmin updaters remove
[ -l libraryname ]
{ binaryname }
sadmin updaters remove
[ -p parent-binaryname ]
{ binaryname }
sadmin updaters remove -u
username
sadmin updaters list
sadmin updaters flush
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の保護を上書きする』で、スタンドアロン モードの説明を参照してください。
versi
on
インストールされている Application
Control のバージョンを表示します。
McAfee Application Control 7.0.0
sadmin version
L、W
E、D、U
製品ガイド
127
D
Application Control コマンドライン インターフェースのリファレンス
表 D-1
コマン
ド
コマンドの詳細 (続き)
説明
構文
OS
モード
このコマンドの詳細については、『McAfee Application Control 7.0.0 製品ガイド』の『Application
Control の配備方法』で、スタンドアロン モードの説明を参照してください。
writ
e-pro
tect
(wp)
指定したファイルに書き込み保護を設定しま
す。ホワイトリストに登録されたファイルも
指定できます。 このコマンドには完全なフ
ァイル名またはディレクトリ名を指定する必
要があります。
sadmin write-protect -i
pathname1 ... pathnameN
L、W
E、D、U
sadmin write-protect -e
pathname1 ... pathnameN
sadmin write-protect -r
pathname1 ... pathnameN
sadmin write-protect -l
sadmin write-protect -f
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『ファイル システ
ム コンポーネントを保護する』で、スタンドアロン モードの説明を参照してください。
writ
e-pro
tec
t-reg
(wpr)
sadmin
指定したレジストリ キーに書き込み保護を
設定します。ホワイトリストに登録されたレ write-protect-reg -i
registrykeyname1 ...
ジストリ キーも指定できます。
registrykeynameN
W
E、D、U
sadmin
write-protect-reg -e
registrykeyname1 ...
registrykeynameN
sadmin
write-protect-reg -r
registrykeyname1 ...
registrykeynameN
sadmin
write-protect-reg -l
sadmin
write-protec
t-reg -f
このコマンドの詳細については、
『McAfee Application Control 7.0.0 製品ガイド』の『ファイル システ
ム コンポーネントを保護する』で、スタンドアロン モードの説明を参照してください。
128
McAfee Application Control 7.0.0
製品ガイド
E
引数の詳細
以下の表では、コマンドで使用可能な引数について説明します。 [引数] 列に、コマンドで使用可能な引数を英字順
に示します。
-z 引数を使用すると、パスワード入力のプロンプトを非表示にできます。 この引数はすべての CLI コマンドで使用
できます。この引数に CLI パスワードを指定すると、パスワード入力のプロンプトは表示されません。 たとえば、
CLI パスワードを設定して sadmin wp -i abc.txt コマンドを実行すると、パスワードを要求するプロンプトが
表示されます。 -z 引数を使用して sadmin wp -z <パスワード> -i abc.txt コマンドを実行すると、パスワー
ドの入力は要求されません。
表 E-1
引数の詳細
コマンド
引数
説明
attr
-a
常にファイル名で承認します。 これは非推奨の手法です。 詳細につい
ては、McAfee サポートに確認してください。
-b
難号化技術で保護されているコンポーネントにバイパス、復元、リス
ト、消去ルールを設定します。 これは非推奨の手法です。 詳細につい
ては、McAfee サポートに確認してください。
-c
重要なアドレス空間保護で保護されているコンポーネントにバイパス、
復元、リスト、消去ルールを設定します。
-f
フル クロール属性から除外します。 これは非推奨の手法です。 詳細
については、McAfee サポートに確認してください。
-h
MP Compat 保護にバイナリを追加します。
-i
パッケージ コントロール機能で保護されているバイナリにバイパス、
復元、リスト、消去ルールを設定します。
-j
MP Compat 保護からバイナリを除外します。
-l
アンチデバッグ技術で保護されているコンポーネントにバイパス、復
元、リスト、消去ルールを設定します。 これは非推奨の手法です。 詳
細については、McAfee サポートに確認してください。
-n
mp-nx 技術で保護されているコンポーネントにバイパス、復元、リス
ト、消去ルールを設定します。
-y
mp-nx 機能から除外するコンポーネントの子プロセスを追加します。
この引数は、-n と一緒に指定する必要があります。
-o
プロセスの DLL モジュール名を指定します。 この引数は、-p、-v、-i
引数と一緒に使用できます。 Linux プラットフォームの場合、この引
数に -p 属性の親プログラムを指定します。
-p
プロセスのコンテキスト ファイル操作属性から除外します。
-u
常にファイル名で未承認にします。 これは非推奨の手法です。 詳細に
ついては、McAfee サポートに確認してください。
-v
強制 DLL 再配置属性から除外します。
-a
チェックサム値でバイナリを承認します。
auth
McAfee Application Control 7.0.0
製品ガイド
129
E
引数の詳細
表 E-1
引数の詳細 (続き)
コマンド
begin-update (bu)
引数
説明
-b
チェックサム値でバイナリを禁止します。
-c
チェックサム値を指定します。
-f
承認済みバイナリまたは禁止バイナリをすべて消去します。
-l
承認済みバイナリと禁止バイナリの一覧を表示します。
-r
承認済みバイナリまたは禁止バイナリを削除します。
-t
禁止するバイナリに関連するタグ名を追加します。
-u
-a と -c 属性と一緒に使用し、バイナリを承認して更新プログラム権
限を設定します。
workflow-id 更新モードに切り替える場合に ID を指定します。 この ID は、チケッ
ティング システムの変更管理で使用されます。
comment
ワークフロー ID の説明を指定します。
-c
信用された証明書を指定します。
-d
システムに追加されたシステムの発行者とサブジェクトの詳細を表示
します。
-u
信用された証明書として追加された証明書に更新プログラム権限を設
定します。あるいは、信用された証明書の中で更新プログラム権限が設
定されている証明書を表示します。
check
-r
検出された矛盾を修正します。
config
-a
設定値を付加します。
diag
-f
診断後に winlogon.exe、svchost.exe などの制限付きプログラム
に対する設定の変更を適用します。
disable
NA
NA
enable
NA
NA
end-update (eu)
NA
NA
event
-a
指定したイベントにシンクを追加します。
-r
指定したイベントからシンクを削除します。
cert
features
-d
すべての機能 (非表示の機能を含む) を表示します。
詳細については、McAfee サポートに確認してください。
130
help
NA
NA
help-advanced
NA
NA
license
NA
NA
list-solidified
(ls)
-l
ホワイトリストに登録されたファイルの詳細を表示します。
list-unsolidified
(lu)
NA
NA
lockdown
NA
NA
passwd
-d
Application Control で使用するパスワードを削除します。
read-protect (rp)
-e
読み取り保護対象のディレクトリまたはボリュームから特定のコンポ
ーネントを除外します。
-f
読み取り保護からすべてのコンポーネントを消去します。
-i
読み取り保護にファイル、ディレクトリまたはボリュームを追加しま
す。
McAfee Application Control 7.0.0
製品ガイド
E
引数の詳細
表 E-1
引数の詳細 (続き)
コマンド
引数
説明
-l
読み取り保護のコンポーネントを表示します。
-r
ファイル、ディレクトリまたはボリュームに適用されている読み取り保
護を削除します。
recover
-f
McAfee ePO コマンドを強制的に終了し、ローカルの CLI を復旧しま
す。
skiplist
-c
パス コンポーネントをモニタリングの対象外にします。 このコマンド
は、Application Control が更新モードで稼動し、変更の追跡が有効に
なっている場合にのみ使用できます。 このコマンドにユーザー モード
のパスとボリューム名のパスの両方を指定することはできません。
このコマンドに追加したテキストは、完全なコンポーネントとして処理
されます。 たとえば、テキストはスラッシュ (/) で開始し、スラッシ
ュ (\)、ドット (.) または NULL 文字で終了する必要があります。
指定したテキストを含むファイルにイベントは生成されません。 ま
た、このようなパスはホワイトリストで更新されません。
-d
パス コンポーネントを書き込み保護の対象外にし、パス上のファイル
に適用された書き込み保護がすべて削除されます。 このコマンドにユ
ーザー モードのパスとボリューム名のパスの両方を指定することはで
きません。
このコマンドに追加したテキストは、完全なコンポーネントとして処理
されます。 たとえば、テキストはスラッシュ (/) で開始し、バックス
ラッシュ (\)、ドット (.) または NULL 文字で終了する必要がありま
す。
-f
パス コンポーネントをファイル操作とスクリプト許可機能の対象外に
します。
このコマンドにユーザー モードのパスとボリューム名のパスの両方を
指定することはできません。
このコマンドに追加したテキストは、パスのサブ文字列として処理され
ます。 除外されたパス コンポーネントにイベントは発生しません。ホ
ワイトリストも更新されません。 このコマンドに追加したパスでは、
スクリプト実行制御も機能しません。
-i
除外パス リストを使用して、パス コンポーネントをファイル操作の対
象外にします。 この動作は、sadmin add -f コマンドに似ています。
Windows 64 ビット プラットフォームの場合、このスキップ ルールを
使用すると、pe32 タイプのバイナリも実行拒否機能の対象外になりま
す。 このスキップ ルールを有効にするには、システムの再起動が必要
になります。
このコマンドにユーザー モードのパスとボリューム名のパスの両方を
指定することはできません。
Windows 64 ビット プラットフォームでパス コンポーネントを指定
すると、実行拒否機能がスキップされます。
-r
レジストリ パスをレジストリの書き込み保護から除外し、レジストリ
パスに適用された書き込み保護を削除します。
このコマンドに追加したテキストは、完全なコンポーネントとして処理
されます。 たとえば、テキストはスラッシュ (/) で開始し、バックス
ラッシュ (\)、ドット (.) または NULL 文字で終了する必要がありま
す。
McAfee Application Control 7.0.0
製品ガイド
131
E
引数の詳細
表 E-1
引数の詳細 (続き)
コマンド
引数
説明
-s
指定したパス コンポーネントとそのサブディレクトリにあるファイル
をホワイトリストから削除します。
このコマンドにネットワーク パス名は指定できません。 *\<vol_rel
_name> を使用して、ボリューム相対ルールを指定することもできま
す。
-v
Application Control に接続しているボリュームを除外します。 引数
に NTFS、FAT などのファイル システムを指定することもできます。
この引数にボリューム名を指定すると、Application Control はこのボ
リュームに接続しません。 指定したボリュームでスクリプト許可機能
と実行拒否機能も無効になります。 このボリュームのコンポーネント
は、システムでの実行が許可されます。
ユーザー モードのボリューム名 (C:、D: など) を使用して、パス コン
ポーネントを指定できます。 \device\harddiskvolume1 などのデ
バイス名と NTFS や FAT などのファイル システムも指定できます。
solidify (so)
-q
エラーを除く出力をすべて抑止します。
-v
処理済みのコンポーネントをすべて表示します。
status
NA
NA
trusted
-e
ディレクトリまたはボリュームの特定のパスを信用されたディレクト
リまたはボリュームのリストから除外します。
-f
信用されたルールからすべてのディレクトリとボリュームを削除しま
す。
-i
ディレクトリまたはボリュームの特定のパスを信用されたディレクト
リまたはボリュームとして追加します。
-l
信用されたディレクトリとボリュームをすべて表示します。
-r
信用されたルールから特定のディレクトリとボリュームを削除します。
-u
信用されたディレクトリまたはボリュームにあるすべてのバイナリと
スクリプトに更新プログラム権限を設定します。
unsolidify (unso)
-v
処理済みのコンポーネントをすべて表示します。
updaters
-d
更新プログラムとして追加されたバイナリ ファイルの子プロセスに更
新プログラム権限を継承しません。
-l
更新プログラムとして追加する実行ファイルのライブラリ名を追加し
ます (Windows の場合)。
-n
更新プログラムとして追加されるファイルのイベント ロギングを無効
にします。
-p
指定された親プロセスによって開始された場合にのみ、更新プログラム
としてファイルを追加します。
-t
次の操作を実行します。
• 更新プログラムとして追加されるファイルにタグを追加します。
• タグ名を使用してユーザーを更新プログラムとして追加します。
132
-u
更新プログラムとしてユーザーを追加します (Windows の場合)。
version
NA
NA
write-protect (wp)
-e
書き込み保護対象のディレクトリまたはボリュームから特定のコンポ
ーネントを除外します。
-f
書き込み保護からすべてのコンポーネントを消去します。
McAfee Application Control 7.0.0
製品ガイド
E
引数の詳細
表 E-1
引数の詳細 (続き)
コマンド
write-protect-reg
(wpr)
McAfee Application Control 7.0.0
引数
説明
-i
ファイル、ディレクトリまたはボリュームに書き込み保護を設定しま
す。
-l
書き込み保護が設定されたコンポーネントを表示します。
-r
ファイル、ディレクトリまたはボリュームに適用されている書き込み保
護を削除します。
-e
書き込み保護から 1 つ以上のレジストリ キーを除外します。
-f
書き込み保護からすべてのレジストリ キーを消去します。 書き込み保
護からレジストリ キーを消去すると、レジストリ キーに適用されてい
る書き込み保護ルールがすべて削除されます。
-i
レジストリ キーに書き込み保護を設定します。
-l
書き込み保護が設定されたすべてのレジストリ キーを表示します。
-r
1 つ以上のレジストリ キーから書き込み保護を削除します。
製品ガイド
133
E
引数の詳細
134
McAfee Application Control 7.0.0
製品ガイド
索引
A
McAfee サポート (続き)
Active Directory の問題 89
収集、情報 84
ActiveX コントロール
情報の収集 83
ログ ファイル 76
許可 50
ブロック 50
無効 51
Application Control
N
No Execute (NX)
インストールの前提条件、ScAnalyzer 77
概要 53
エラー メッセージ 95
設定 56
概要 9
機能 9, 10, 66
コマンド 113
使用 9
ステータス 16, 59
バージョン 59
配備ワークフロー 13, 15
R
Return-Oriented Programming (ROP) 53
S
sadmin
エラー メッセージ 96
ホワイトリスト 16
開く 15
無効 81
有効または無効、パスワード保護 72
モード 14
有効 17
利点 9
ロックダウンと復旧、ステータス 59
ScAnalyzer ユーティリティ 77, 94
ScGetCerts ユーティリティ 37, 38
ServicePortal、製品マニュアルの検索 8
F
Finetune ユーティリティ
更新、デフォルトの更新プログラム 34
定義 34
デフォルトの更新プログラム 30
あ
アドレス空間ランダム化 (ASLR) 53
アドレス空間ランダム化 (VASR) 56
アプリケーション
インストール エラー 90
G
実行エラー 91
GatherInfo ユーティリティ 83
バイパス ルール、プロセスのコンテキスト ファイル操作 100
パフォーマンスの問題 92
M
McAfee ServicePortal、アクセス 8
い
McAfee Solidifier コマンドライン
イベント
エラー メッセージ 96
イベント キャッシュ サイズの設定 74
開く 15
イベント シンクの設定 73
有効または無効、パスワード保護 72
イベント リストの表示 109
ロックダウンと復旧、ステータス 59
概要 73
McAfee サポート
制限の定義、イベント キャッシュ 75
GatherInfo ログ 83
追加と削除、AEF 64
確認、廃止されたメモリー保護技術 53
表示 75
McAfee Application Control 7.0.0
製品ガイド
135
索引
イベント (続き)
更新プログラム (続き)
フラッド 95
消去 36
証明書 37
インストーラー
エラー メッセージ、実行 97
推奨プログラムの追加、更新プログラムの検出 35
実行 69
追加 32
設定、パッケージ コントロール 70
追加するタイミング 29
チェックサム値 42
追加対象 30
追加、更新プログラムとして 32
定義と要件 29
パッケージ コントロール モード 70
デフォルトの更新プログラム 29, 30, 34
引数 32
インストール
更新プログラムとして追加 30
ファイル チェックサムの指定 33
インタープリター 51, 52
ファイル名の指定 33
インベントリ、参照:ホワイトリスト
リスト 35
リスト、更新プログラム権限のある証明書 40
え
更新プログラムの検出機能 35
エラー
更新モード
Application Control のインストール 94
概要 27
スタートアップ 85
切り替えと終了 72
緊急時の変更 71
エラー メッセージ 95
説明 14
か
このガイドで使用している表記規則とアイコン 7
書き込み拒否機能 19–23
書き込み保護
アクションの防止 19
このガイドについて 7
コマンド、短形式 113
コマンドライン インタープリター、sadmin
エラー メッセージ 96
機能 20
開く 15
削除 21, 23
有効または無効、パスワード保護 72
消去 21, 23
ロックダウンと復旧、ステータス 59
除外 21, 22
追加、スキップ ルール 102
コンテキスト ファイル操作の処理
バイパス ルールの削除 101
適用 21
リスト 21, 23
仮想アドレス空間ランダム化 (VASR)
概要 53
し
システム イメージ 84
監視モード 14
システム クラッシュ
Linux 88
Windows 87
き
自己書き換えドライバー 86
機能
破損、ホワイトリスト 87
確認 67
ハング 93
管理 66
有効または無効 68
実行ファイル
タグ名 32
脅威の優先度、ホワイトリスト 16
追加、更新プログラムとして 32
強制 DLL 再配置
重要なアドレス空間保護 (CASP)
概要 53
概要 53
設定 56
設定 55
障害
こ
トラブルシューティング 83
更新プログラム
Finetune ユーティリティ 30, 34
概要 27, 29
詳細除外フィルター (AEF)
概要 63
追加と削除 64
権限の問題 94
更新プログラムとして承認されたバイナリ 42
リスト 66
削除 35, 36
136
McAfee Application Control 7.0.0
製品ガイド
索引
スレッドの優先度、ホワイトリスト 61
承認
証明書 37, 38
バイナリ、チェックサム値 42
せ
ファイルとプログラム 27
セーフ モード 85
証明書
設定パラメーター
ActiveX コントロール 50
エクスポートまたはインポート、設定 80
ScGetCerts ユーティリティ 37, 38
表示 79
更新プログラムとして追加 30
変更 81
削除 41
サポートされる証明書 38
信用された証明書 27, 37, 38, 41
信用できる証明書 40
対応の証明書 30
抽出 37
追加 38
追加、更新プログラムとして 32
表示 40
信用されたディレクトリ
た
対応オペレーティング システム 107
ダイナミック リンク ライブラリ (DLL)
強制 DLL 再配置 56
短形式、コマンド 113
ち
チェックサム値
概要 27
概要 27
削除 47
指定 33
除外 47
承認または禁止されたバイナリの削除 43
追加 46
バイナリの禁止 43
リスト 47
バイナリの承認 42
リスト、承認または禁止されたバイナリ 43
信用されたユーザー
概要 27, 48
削除 49
て
追加 48
ディレクトリ
リスト 49
書き込み保護 19, 21
信用できるディレクトリ
削除、ホワイトリスト 61
概要 45
信用されたディレクトリ 27
追加 45
信用できるディレクトリ 45–47
信用できるボリューム 46
追加、ホワイトリスト 61
読み取り保護 19, 24
す
リスト、書き込み保護 23
リスト、ホワイトリスト 62
推奨事項
リスト、読み取り保護 25
維持、ホワイトリスト 61
機能の有効化または無効化 68
データ実行防止 (DEP) 53
更新プログラム権限、証明書 37
テクニカル サポート、製品情報の検索 8
承認、プログラムまたはファイル 27
デフォルトの更新プログラム
Finetune ユーティリティ 30
バイパス ルール、プロセスのコンテキスト ファイル操作 100
更新、Finetune ユーティリティの使用 34
スクリプト
インタープリター 52
市販 (COTS) のアプリケーション 30
エラー メッセージ、実行 97
追加対象 30
更新プログラムとして追加 30
定義 29
設定、インタープリター 51
追加、更新プログラムとして 32
追加、スキップ ルール 102
ネットワーク ディレクトリでの実行 45
バイパス ルール、プロセスのコンテキスト ファイル操作 100
ステータス
Application Control 59
ホワイトリスト 16
McAfee Application Control 7.0.0
と
動作モード、推奨 70
ドキュメント
このガイドの対象読者 7
表記規則とアイコン 7
ドライバー
破損、ホワイトリストの問題 87
製品ガイド
137
索引
ドライバー (続き)
ふ
ホワイトリスト 87
ファイル
ドライブ
エラー メッセージ、実行 97
書き込み保護 19, 21
書き込み保護 19, 21
ホワイトリストのステータス 16
禁止、チェックサム値 43
読み取り保護 19, 24
更新プログラムとして追加 30, 33
リスト、書き込み保護 23
削除、承認または禁止 43, 45
リスト、読み取り保護 25
削除、ホワイトリスト 61
承認 27
ね
ショウニン、チェックサム値 42
ネットワーク追跡機能 45
属性の変更 19
抽出、証明書 37
は
追加、更新プログラムとして 32
バイナリ
追加、スキップ ルール 101, 102
エラー メッセージ、実行 97
追加、タグ 32
禁止、チェックサム値 43
追加と削除、AEF 64
更新プログラムとして追加 30
追加、ホワイトリスト 61
承認、チェックサム値 42
適用、メモリー保護 53
抽出、証明書 37
名前で許可 44
追加、更新プログラムとして 32
名前で禁止 44
適用、メモリー保護 53
ネットワーク ディレクトリでの実行 45
名前で許可 44
バイパス ルール、プロセスのコンテキスト ファイル操作 100
名前で禁止 44
ファイル システムの表示 59
名前で承認 43
読み取り保護 19, 24
ネットワーク ディレクトリでの実行 45
リスト、書き込み保護 23
削除、承認または禁止 43, 45
リスト、承認または禁止 43, 44
リスト、承認または禁止 43, 44
リスト、ホワイトリスト 62
リスト、読み取り保護 25
配備
ログ 76
Application Control 15
複数のシステム 79
ワークフロー 13
パス
ブルー スクリーン
Linux 88
Windows 87
自己書き換えドライバー 86
イベント 75
ガイドライン 46
信用 89
破損、ホワイトリスト 87
プログラム、承認 27
プロセス
絶対パス 33
更新プログラムとして追加 30
相対パス 33
追加、更新プログラムとして 32
追加、スキップ ルール 101, 102
追加と削除、AEF 64
リスト、スキップ ルール 104
適用、メモリー保護 53
ログ ファイル 76
問題、更新プログラム権限 94
パスワード保護 72
パッケージ コントロール
プロセスのコンテキスト ファイル操作
追加、バイパス ルール 100
概要とサブ機能 69
設定 70
へ
モード 70
バッファー オーバーフロー 53
パフォーマンスの問題
ベストプラクティス
維持、ホワイトリスト 61
アプリケーション 92
機能の有効化または無効化 68
システム 93
更新プログラム権限、証明書 37
パブリッシャー、参照:証明書
承認、プログラムまたはファイル 27
バイパス ルール、プロセスのコンテキスト ファイル操作 100
ヘルプ、sadmin 15
138
McAfee Application Control 7.0.0
製品ガイド
索引
ほ
も
ボリューム
モード
書き込み保護 19, 21
監視 14
削除、ホワイトリスト 61
更新 14, 27, 72
信用できるボリューム 46
セーフ 85
追加、スキップ ルール 102
パッケージ コントロール 70
追加、ホワイトリスト 61
無効 14, 81
ホワイトリストのステータス 16, 59
有効 14, 17, 97
読み取り保護 19, 24
リスト、書き込み保護 23
リスト、ホワイトリスト 62
リスト、読み取り保護 25
ゆ
有効モード
切り替え 17
ホワイトリスト
正規のエラー 97
エラー メッセージ、不正な変更 98
管理 60
機能 14
説明 14
ユーザー
更新プログラムとして追加 30
脅威の優先度 16
信用されたユーザー 27, 48, 49
作成 16
追加、更新プログラムとして 32
ステータス 16
スレッドの優先度 61
正規の障害とエラー メッセージ 97, 98
追加されるファイル 14
追加、スキップ リスト 102
追加と削除、コンポーネント 61
適切なエラーとエラー メッセージ 97
追加と削除、AEF 64
ユーティリティ
Dumpchk 84
Finetune 34
GatherInfo 83
ScAnalyzer 77, 94
ScGetCerts 37
場所 14
破損、ホワイトリストの問題 87
不一致の修正 63
リスト コンポーネント 62
よ
要件
Application Control 9
help コマンド 15
ま
モード 14
マニュアル
製品固有、検索 8
ライセンスの追加 16
よくある質問 (FAQ) 107
読み取り拒否機能 19, 20, 24, 25
む
読み取り保護
アクションの防止 19
無効モード
切り替え 81
機能 20
説明 14
削除と消去 25
適用と除外 24
リスト 25
め
メモリー ダンプ 84
メモリー保護技術
mp-casp (重要なアドレス空間保護) 55
mp-nx (No Execute) 56
mp-vasr-forced-relocation (強制 DLL 再配置) 56
No Execute (NX) 56
ら
ライセンス 16
る
ルール
概要 53
削除、スキップ 104
強制 DLL 再配置 56
削除、バイパス 101
重要なアドレス空間保護 (CASP) 55
追加、スキップ 101
追加、バイパス 100
リスト、スキップ 104
McAfee Application Control 7.0.0
製品ガイド
139
索引
れ
ろ
レジストリ キー
ログ ファイル
GatherInfo 83
書き込み保護 19, 21, 23
追加と削除、AEF 64
概要とタイプ 76
読み取り保護 19, 20
140
McAfee Application Control 7.0.0
製品ガイド
0-16