最終回 FCSが示すエンタープライズ・クライアントの守り方
高橋 桂子
NRIラーニングネットワーク株式会社
ラーニングソリューション部
(Microsoft MVP for Windows Server System - ISA Server)
2007/6/25
FCSクライアントの機能
FCSクライアントには、Microsoft Forefront Securityツールがインストールされます。このツールを使ってFCSクライアントエージェントの動作設定をすることができます。このとき、前述のFCSサーバ側のポリシーにより、ユーザーにこの設定の変更を許可するのか、許可するとすればどのような設定を許可するのかを制限することが可能です。
例えば、設定された項目をユーザーが一切変更できないように設定すると図4のようにクライアント側の[Forefront Client Security]ツールでは、設定画面がすべて淡色表示となり設定変更ができなくなります。さらにポリシーで[Forefront Client Security]ツール自体の実行を制限することもできます。
図4 ユーザー操作の制限 FCSエージェントのオプションが淡色表示され、ユーザーが設定変更できないよう制限されている。 |
Forefrontクライアントエージェントでは、ウイルス/スパイウェアの保護機能として、メモリ内のプロセスやファルシステムの手動スキャン、スケジュールスキャンだけでなく、リアルタイム保護機能が実装されています。
リアルタイム保護機能では表4のようなイベントをリアルタイムに検出し、警告レベルに応じて、指定した操作を実行することができます。
図5 FCSクライアントのリアルタイム保護機能 FCSクライアント上の[Forefront Client Security]ツールで有効化できるリアルタイム保護機能 |
リアルタイム保護機能 |
提供される監視機能 |
自動的に開始 | コンピュータの起動時に自動的に実行することを許可されているプログラムの一覧の監視 |
システムの構成(設定) | Windowsセキュリティ関連の設定の監視 |
Internet Explorerのアドオン |
Internet Explorerの起動時に自動的に実行されるプログラムの監視 |
Internet Explorerの構成(設定) | Internet Explorer のセキュリティ設定の監視 |
Internet Explorerのダウンロード | ActiveXコントロールやソフトウェア・インストール・プログラムなど、Internet Explorerと連動するように設計されているファイルやプログラムのダウンロード、インストール、実行の監視 |
サービスとドライバ | サービスやドライバとWindows間の通信の監視 |
アプリケーションの実行 | エクスプローラに使用されるセキュリティ関連の設定とフォルダリダイレクトの監視 |
アプリケーションの登録 | アプリケーションのスケジュール実行設定の監視 |
Windowsのアドオン | Windowsのアドオン・プログラムの監視 |
オンアクセス保護 | プログラムの実行開始の監視 |
表4 リアルタイム保護機能の概要 |
FCSでは、このように単純なファイルシステムやアプリケーション起動時のリアルタイムウイルススキャンだけでなく、Internet Explorerの動作や、OSのセキュリティ設定変更やサービスドライバの監視までを含む高度なウイルス検出機能を装備しており、広範囲なマルウェア感染を未然に防ぐことが可能です。
さらにFCSには、[ソフトウェアエクスプローラ]ツールが付属しており、スタートアッププログラムや現在実行中のプログラム、ネットワークに接続しているプログラム、WinSockサービスプロバイダといったカテゴリごとにソフトウェアの構成データを細かく確認することができ、不正なプログラムの実行を容易に識別できます。
図6 ソフトウェアエクスプローラ カテゴリ別に該当プログラムの発行元やファイルパス、ファイルサイズ、バージョン、スタートアップ種類、レジストリパスなどを確認できる。 |
クライアント上でマルウェアの検出や監視対象となるイベントが発生した場合、警告を発し、イベントログに情報が記録されます。ユーザーに[Forefront Client Security]ツールの実行が許可されている場合は、[Forefront Client Security]ツールの履歴から発生した警告の詳細情報を確認することができるので、ユーザー自身で検出された脅威の情報を確認し、必要な対策を講じることもできます。
リアルタイム保護機能により脅威が検出されると警告が発生 [スマートクリーン]ボタンで警告レベルに応じた操作を自動実行可能 |
|
検出された脅威のカテゴリ、説明、対応に関するアドバイスを確認できる |
|
図7 警告とその詳細 |
2/3 |
Index | |
FCSが示すエンタープライズ・クライアントの守り方 | |
Page1 Microsoft Forefront Client Securityの概要 FCSサーバの構成 ポリシーによる集中管理 |
|
Page2 FCSクライアントの機能 |
|
Page3 MOMによる監視とレポーティング |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|