Symantec Endpoint Protection のアプリケーションとデバイス制御機能を使用して、承認されていないソフトウェアの使用を遮断またはログに記録する方法について説明します。

ソフトウェアには、P2P (ピアツーピア) アプリケーション、メディアプレーヤー、インスタントメッセンジャー、イメージ書き込みソフトウェア、ゲーム、プロキシ、およびその他のプログラムが含まれます。

承認されていないソフトウェアを遮断する最も一般的な方法として、プライマリプログラムの実行ファイルを遮断します。正しいファイルが確実に遮断されるように、ファイルの MD5 ハッシュを計算することをお勧めします。

注: プログラムのアップデートが適用され、その実行可能ファイルが変更されたら、新しい MD5 ハッシュを作成して追加する必要があります。ハッシュは、使用されている可能性のある実行可能ファイルのすべてのバージョンに必要です。

MD5 ハッシュを生成する

アプリケーションとデバイス制御を使用して脅威の拡散を制限する に記載の手順を参考に MD5 ハッシュを生成します。

ルールの作成

1. SEPM (Symantec Endpoint Protection Manager) で [ポリシー] をクリックします。
2. [アプリケーションとデバイス制御] をクリックします。
3. アプリケーションとデバイス制御ポリシーを新たに作成するか、既存のポリシーを使用します。
4. 選択したポリシーをクリックして編集します。
5. [アプリケーション制御] をクリックします。
6. [追加] をクリックします。
7. [このルールを次のプロセスに適用する] の横にある [追加] をクリックします。
8. [照合するプロセス名] フィールドに * (アスタリスク) を入力します。
9. [OK] をクリックします。
10. 左下の [ルール] で [追加] をクリックします。
11. [条件の追加] をクリックします。
12. [プロセス起動の試み] をクリックします。
13. [次のプロセスに適用する] の横にある [追加] をクリックします。
14. 右下にある [オプション] をクリックします。
15. [ファイルフィンガープリントを照合する] を選択します。
16. MD5 ハッシュをフィンガープリントのフィールドにコピーします。
17. ハッシュを追加する場合は手順 13 - 15 を繰り返します。
18. [OK] をクリックします。
19. [処理] タブをクリックします。
20. 起動時にファイルを遮断するのか、またはログに記録するのかを決定します。
    • ログに記録する:  [他のルールの処理を続ける] を選択し、 [ログ記録を有効にする] にチェックマークを付けます。ログ記録は 16 レベルありますが、通常は [致命的 -- 0] で十分です。
    • 遮断する:  [アクセスを遮断する] を選択します。このオプションを選択した場合も、ログ記録を有効にすることができます。
    • 通知:  [ユーザーに通知] にチェックマークを付けると、ソフトウェアが承認されていないことを示すポップアップメッセージが表示されます。
21. [OK] をクリックします。
    新しいルールが有効になっていること、および使用する準備が整ったときに実働環境で使用できるように設定されていることを確認します (テスト環境ではログ記録しか使用できません)。
22. [OK] をクリックします。
23. [はい] をクリックして、ポリシーを割り当てます。
24. ポリシーを適用するすべてのクライアントグループにチェックマークを付けます。
25. [OK] をクリックします。

アプリケーションとデバイス制御

管理者は SEP の ADC (アプリケーションとデバイス制御) を使用して、特定のソフトウェアを遮断するポリシーを作成できます。ADC はまだ入手可能なウイルス定義が存在しない脅威を遮断できるだけでなく、適正に提供されているが望ましくないアプリケーションの使用を防ぐ目的にも利用できます。

注: SHA-256ハッシュは、SEP 14.3 RU1以降のクライアントでもサポートされています。また、ADCポリシーでバルクハッシュ値をアップロードすることはできません。

[英語文書] Block or log unauthorized software with Application and Device Control