承認済みソフトウェア設定を構成する (Windows コンピュータ)

適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。

承認済みソフトウェア設定を割り当てることができるのは、Windows サーバーまたはワークステーションのみです。承認済みソフトウェアの除外では、除外されたディレクトリ内のサブディレクトリは除外されません。

WatchGuard Endpoint Security では、以下 3 つの機能によりプログラムのブロックを回避することができます。

ファイルとパスを除外する

コンピュータの特定のアイテムやエリアをスキャンから除外します。不明なソフトウェアも実行されることになります。これがセキュリティ ホールにつながる可能性があるため、コンピュータのパフォーマンスに問題がある場合を除いて、これを利用することは勧められません。特定のパスにあるフォルダのみが除外されます。サブフォルダは除外されません。

分類プロセスでプログラムのブロックを解除する

ブロックされているプログラムの実行が一時的に許可されますが、これは事後対応アプローチとなります。プログラムが最初にブロックされていない限り、管理者がプログラムのブロックを解除することはできません。

ソフトウェアは複数のコンポーネントで構成されている可能性があり、各コンポーネントのブロックを個別に解除する必要があるため、ブロックとブロック解除のプロセスには時間がかかる場合があります。

承認済みソフトウェアを構成する

分類プロセスで不明なプログラムが積極的にブロック解除されます。管理者は、リスクが検出されなければ使用可能となる送信元が既知のプログラムの設定を割り当てることができます。これは、プログラムのブロック解除の方法として推奨されます。

承認済みソフトウェア設定プロファイルで、分類される前に実行を許可する承認済みソフトウェアまたは承認済みソフトウェア ファミリの設定を構成することができます。たとえば、プログラムの送信元とブロックされた理由が判明している場合は、そのプログラムのブロックを解除することが可能となります。以下は、ブロックの解除を検討するべきプログラムの例です。

  • ユーザーが非常に少ない特定のニッチ プログラム。
  • ユーザーの操作なしでベンダーの Web サイトから自動的に更新されるプログラム。
  • 数百ものライブラリに分散された機能を備えたプログラム。これはメモリにロードされるため、ユーザーがプログラム メニューからこれを使用するとブロックされます。
  • クライアント側が共有ネットワーク リソースでホストされているクライアント サーバー モデル。
  • 実行可能ファイルを動的に生成するポリモーフィック ソフトウェア。

Caution: 承認済みソフトウェアの設定を行うと、スクリプト ファイル、スタンドアロン .DLL、その他のファイルを除く実行可能バイナリ ファイルの実行を承認することができます。プログラムで不明の DLL がダウンロードされたことに起因して Endpoint Security によってそのプログラムがブロックされた場合は、ユーザーのコンピュータに表示されるポップアップ メッセージでその特定の実行可能ファイルを承認することができます。プログラムを承認すると、プログラムで使用されるすべての .DLL ファイルとリソースも承認されます。承認済み .MSI インストーラまたは自己解凍 .EXE ファイルから生成されたファイルにも同じ動作が適用されます。.MSI または .EXE によって生成されたプロセスも承認されます。

プログラムが分析された後、Endpoint Security でプログラムがグッドウェアまたはマルウェアとして分類されます。プログラムが脅威となる場合は、こうした設定で承認されているかどうかに関わらず、プログラムがブロックされます。

継承された承認済みソフトウェア設定

既定では、Service Provider から継承した承認済みソフトウェア設定を編集または削除することはできません。Service Provider が承認済みソフトウェアのリストを編集可能に構成すると、設定プロファイルに編集可能な設定というラベルが表示されます。この場合、承認済みソフトウェアを追加することはできますが、Service Provider によって定義されたソフトウェアのリストを削除したり編集したりすることはできません。

Service Provider が設定のステータスを編集可能から編集不可に変更すると、追加した承認済みソフトウェアは適用されなくなります。Service Provider のソフトウェアのみが適用されます。Service Provider が構成を編集可能に再度変更すると、追加した承認済みソフトウェアは復元され、適用されます。

承認済みソフトウェアの設定を構成する

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、承認済みソフトウェアの設定 を行う権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

承認済みソフトウェア設定を構成するには、以下の手順を実行します。

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. 設定 を選択します。
  3. 左ペインで、承認済みソフトウェア を選択します。
  4. 編集する既存のセキュリティ設定プロファイルを選択する、既存のプロファイルをコピーする、またはウィンドウの右上隅にある 追加 をクリックして新しいプロファイルを作成します。
    設定の追加または設定の編集 ページが開きます。

Screen shot of WatchGuard Endpoint Security, Authorized Software settings

  1. 必要に応じて、プロファイルの 名前説明 を入力します。
    MD5 の除外、プログラムのバージョンの除外、パスの除外など、わかりやすい名前を入力することが勧められます。
  2. 新規ルールを作成するには、プログラムの承認 をクリックします。
    プログラムの承認 ダイアログ ボックスが開きます。

Screen shot of Endpoint Security Authorize Programs dialog box

  1. MD5 ハッシュ コードで実行可能なプログラムを指定する場合は、MD5 または SHA-256 を選択します。
  2. テキスト ボックスに、追加するプログラムの MD5 または SHA-256 ハッシュを入力します。
    たとえば、MD5 の場合は、938c2cc0dcc05f2b68c4287040cfcf71 と入力します。詳細については、次を参照してください:1 つまたは複数のファイルの MD5 または SHA-256 を計算する
  3. プログラム プロパティ経由で追加するプログラムを指定するには、プログラム プロパティ を選択します。
    • 署名 – ファイルの SHA-1 デジタル署名。詳細については、次を参照してください:署名付きプログラムの拇印を取得する
    • 製品名 – ブロックを解除するファイルのヘッダーにある製品名の値。製品名を表示するには、プログラム ファイルを右クリックして、プロパティ > 詳細 の順に選択します。
    • ファイル パス – サーバーまたはワークステーションのプログラム パス。システム環境変数が受け入れられます。承認済みソフトウェアを除外する場合、除外されたディレクトリ内のサブディレクトリは除外されません。各ファイル パスを指定する必要があります。たとえば、C:\panda には、ディレクトリのそのレベルのファイルのみが含まれます。
    • ファイル名 – ブロックを解除するファイルの名前。ワイルドカード * および ? を使用できます。
    • ファイル バージョン – ブロックを解除するファイルのヘッダーにあるバージョン。バージョンを表示するには、プログラム ファイルを右クリックして、プロパティ > 詳細 の順に選択します。たとえば、正確なバージョン 0.1.777.0 と入力します。
  4. 承認する をクリックします。
  5. 保存 をクリックします。
  6. 必要に応じて、プロファイルを選択して、受信者を割り当てます。
    詳細については、次を参照してください:設定プロファイルを割り当てる

1 つまたは複数のファイルの MD5 または SHA-256 を計算する

ファイルの MD5 または SHA-256 の計算に利用できるツールは数多くあります。本セクションでは、Windows 10 で PowerShell ツールを使用する方法についてご説明します。

  1. File Explorer (ファイル エクスプローラー) で、ファイルが入っているフォルダを開きます。
  2. ファイル > Windows PowerShell を開く の順に選択します。
    コマンド ラインの入ったウィンドウが開きます

Screen shot of the PowerShell window

  1. 以下のコマンドを入力して、$files をファイル パスに置き換えます。ワイルドカード * および ? を使用できます。
    1. md5 の場合:PS c:\folder> Get-FileHash -Algorithm md5 -path $files
    2. SHA-256 の場合:PS c:\folder> Get-FileHash -Algorithm SHA256 -path $files
  1. ハッシュをクリップボードにコピーするには、Alt キーを押したまま、マウスポインタでハッシュを選択します。Ctrl + C を押します。
  2. クリップボードからすべてのハッシュを Endpoint Security 管理 UI に貼り付けるには、承認済みソフトウェア ルールの MD5 または SHA-256 フィールドをクリックして、Ctrl + V を押します。
  3. 承認する をクリックします。
  4. 保存 をクリックします。
    承認済みソフトウェア設定が更新されます。

署名付きプログラムの拇印を取得する

  1. Windows PowerShell を開きます。
  2. 署名付きプログラムが保存されているディレクトリに移動します。
  3. コマンド Get-AuthenticodeSignature -FilePath ApplicationName.exe を実行します。ApplicationName は、署名付きプログラムの名前になります。
  4. 文字列を選択して、Windows クリップボードにコピーします。
  5. テキスト ドキュメントを開いて、ドキュメントに文字列を貼り付けます。
  6. 文字間の余分なスペースを削除します。
  7. スペースが入っていない文字列をコピーします。
  8. プログラムの承認 ダイアログ ボックスで、プログラムのプロパティ を選択します。
  9. シグネチャ テキスト ボックスに、余分なスペースが入っていない文字列を貼り付けます。

Screenshot of Authorize Programs, Signature text box

  1. 承認する をクリックします。
  2. 保存 をクリックします。
    承認済みソフトウェア設定が更新されます。

関連トピック

設定プロファイルを管理する

スキャンからファイルとファイル パスを除外する

WatchGuard Endpoint Security で例外を作成する

高度な保護 – 動作モード (Windows コンピュータ)