Embedded iA ソリューション

コンポーネントレベルからシステムレベルまでをトータルサポート

McAfee Embedded Control導入手順

 

McAfee Embedded Control 導入手順

McAfee Embedded Control は、未承認のアプリケーション動作をブロックし、デバイスやインフラに対する未承認の変更もブロックします。簡単な導入作業によって組み込みデバイスでのセキュリティ機能の付加、ソフトウェアのインストールや変更の管理、サポートや運用の工数低減が可能となります。

ゼロデイ攻撃の阻止、メンテナンス回数の低減、保守費用の削減、PCIDSSやHIPPAといったコンプライアンスへの準拠、これらのような要件を必要とするOEM様に最適なソリューションです。

技術コンテンツ

  • ・McAfee Embedded Controlインストールガイドfor Linux
  • ・McAfee Embedded Control運用ガイド-01-機器の管理
  • ・McAfee Embedded Control運用ガイド-02-アップデート
  • ・McAfee Embedded Control運用ガイド-03-デジタル署名の自己認証局

 

01.注意事項

一般事項 インストールにはシステム管理者権限が必要です。
古いバージョンが存在する場合、インストールに失敗する可能性があります。
アップグレード可能なバージョンの場合にはUpdateモードに移行してからインストール作業を行ってください。
アップグレードに対応してないバージョンの場合には、あらかじめ古いバージョンをアンインストールしてから、新しいバージョンをインストールしてください。
ライセンスキー(PID)はインストール中に必要となりますので、事前にご確認ください。
KB84098を参照し、インストールに必要な最小ハードウェア要件を満たしているかご確認ください。
ターゲットとなるオペレーティングシステムが対応しているかご確認ください。
リリースノートを確認し既知の問題など、事前にご確認ください。
Windows
プラットフォーム
C:\Solidcoreディレクトリやその配下にはインストールは行えません。
インストールはシステムドライブに限られます。
他にアンチウイルスや暗号化のソフトウェアが存在する場合、
「DfsIrpStackSize」というレジストリキーを
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup\Parameters」に作成し、Valueを「10」(10進数)と設定してください。
もし既にキーが存在する場合はValue値の確認を行ってください。
AIX
プラットフォーム
genkexパッケージがインストールされている事をご確認ください。
Linux
プラットフォーム
KB82066を参照し、kernelが対応しているかご確認ください。
サポート外のkernelをご使用の場合は、Buildファイルを作成し、マニュアルで実装を行う必要があります。
詳しくは担当営業までお問い合わせください。

02.インストールパッケージ

McAfee Embedded Controlにはインストールパッケージが用意されています。
ターゲットとなるOSのバージョンや、32bit/64bitの種別を確認して、適したパッケージを選択してください。

Windows VISTA以降ではUAC制御のためにそのままでは実行できない、またはインストール後に正常に動作しない場合があります。インストールは右クリックで「管理者として実行」から開始してください。
今回はOSがWindows8.1 Pro 64bitの為、「setup-win-8-2012-amd64-6.2.0.446.exe」というパッケージを使用します。

03.インストールウィザード

インストールウィザードの展開が開始されます。
準備が完了すると「ようこそ」画面が表示されますので、「次へ」ボタンを押下してください。

04.エンドユーザ使用許諾

ソフトウェア使用許諾のライセンス画面が表示されます。
ライセンス内容をよくお読みになり、条項に問題が内容であれば「使用許諾の契約の条項に同意します」にチェックを入れ、「次へ」ボタンを押下します。

05.ユーザ情報

ユーザ情報の入力画面となります。
ユーザ名、所属、ライセンスのシリアル番号を入力してください。
なお、ライセンスキーなしでインストールを続行することも可能です。その場合はインストール終了後にコマンドラインよりlicenseコマンドを使用してライセンス追加を行う必要があります。

06.インストール先フォルダ

インストール先のフォルダを選択します。
デフォルトでC:\Program Filesへインストールが行われます。よろしければ「次へ」ボタンを押下、もし別のフォルダに変更したい場合は「変更」ボタンを押下し、ダイアログボックス内で特定のフォルダを選択してください。(インストール先はシステムドライブに限定されます。)

また、デスクトップにショートカットのアイコンを作成するかを選ぶことが出来ます。もしショートカットを作成しない場合はチェックボックスを外してください。

コマンドラインが記述されたバッチファイルや、特定の実行ファイルを指定することでカスタマイズを自動化することも可能です。

07.インストール準備確認

インストールに必要な情報が揃いました。
実際のインストール作業を開始するには「次へ」ボタンを押下します。

08.インストール完了

インストール作業により、ファイルのコピーやパス設定が行われます。
完了ボタンが表示されたらインストールは終了です。
「完了」ボタンを押下してインストールウィザードを終了してください。

*ご注意
この時点ではまだシステムの保護は行われておりません。
引き続き、ホワイトリストの作成やシステム保護の有効化を設定する必要があります。

09.デスクトップの確認

インストール完了後、デスクトップにショートカットが作成されています。
ショートカットを作成しない設定にした場合は、Windowsのスタートボタンより、プログラムリスト内にMcAfeeメニューのエントリが追加されていることをご確認ください。

10.フォルダの確認

インストール後、
C:\Program Files\McAfee\Solidcore
C:\Solidcore

の二つのフォルダが作成されています。

11.サービスの確認

「コントロールパネル」の「コンピュータの管理」よりサービスを確認します。
McAfee Solidifierのサービスが開始されていることを確認してください。

12.レジストリの確認

レジストリに、
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servie\scsrvc
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servie\swin

の二つのエントリーが作成されている事を確認してください。

13.インストールログの確認

インストール後に、C:\Windowsの中に
Solidcore_Installer.log
solidcore_setup.log

の二つのログファイルが作成されています。
インストールに失敗した場合などはこのログファイルを確認して原因調査を行ってください。

14.システム保護状態の確認

デスクトップ上のショートカットアイコンを実行すると、McAfee Embedded Control用のコマンドラインインターフェイスが開きます。(必要であれば管理者権限で実行してください。)

> sadmin status
とコマンドを実行すると、現状のシステム保護状態が確認できます。

・「McAfee Solidifier」は現在の保護状態を示します。
・「McAfee Solidifier再起動時」は次回再起動後の保護状態を示します。
・「ePO管理対象」はePolicy Orchestratorという管理ソフトからの管理対象になっているかを示します。
・「ローカルCLIアクセス」はこのコマンドラインでの制御を許可するか否かを示します。
なお、「Recovered」は許可状態、「Lockdown」は不許可状態を示しますが、help、version、status等のNon Criticalコマンドは不許可状態であっても利用可能です。

15.ホワイトリストの作成

「ステータス」で「Unsolidified」となっている為、現時点ではホワイトリストは作成されていない状態を意味しています。保護状態を有効にし正しくコード制御を行うためにホワイトリストを作成しましょう。

> sadmin so c:
とコマンドを実行すると、Cドライブに対して自動でスキャンを行ってホワイトリストを作成致します。(この時点で存在する保護対象ファイルはすべてホワイトリストに追加されるため、マルウェアの混入など無いクリーンなシステムであることを事前に確認ください。)

・「so」は「solidify」の省略系です。
・「c:」を省略した場合はシステム全体を対象とします。
・保護対象ファイルの数や、プロセッサ、ハードディスクの性能により数分から数十分かかる場合があります。

16.システム保護の有効化

ホワイトリストが作成できたら、保護状態を有効にします。

> sadmin enable
とコマンドを実行すると、再起動後、またはサービス再起動後からシステム保護が開始されます。
(サービス再起動時は、コード制御のみ有効となり、メモリ保護は再起動が必要となります。)

17.再起動後の保護状態

再起動後に再度statusコマンドを実行し、保護状態の確認を行います

「McAfee Solidifier」が「Enable」となり、Cドライブの「ステータス」も「Solidified」、「ドライバステータス」も「Attached」となっており、正しく保護が行われている事が確認できます。

18.承認済みコードを動かしてみよう

エクスプローラでWindowsフォルダを開き、「notepad.exe」を実行します。
この「notepad.exe」は元から存在し、ホワイトリスト作成時に承認済みコードとして追加されています。

承認済みコードである為に、期待通りにメモ帳のアプリケーションが起動しました。

19.未承認コードを動かしてみよう

次はたった今動作した「notepad.exe」をコピー&ペーストして「notepad – コピー.exe」を作成し、実行します。
この「notepad – コピー.exe」はホワイトリストには登録されていない為、未承認のコードとして扱われ、起動できないエラーダイアログが表示されました。イベントビューアには「未承認の実行を防ぎました」とのログが記録されます。

McAfee Embedded Controlはデフォルトでは
・ファイルの名称
・ファイルの位置
・ファイルのハッシュ値
の3つのポイントでホワイトリストとの同定を行っています。
今回の例ではファイルの名称が異なった為に未承認コードとして動作を阻止する判断を下しました。

20.まとめ

このページではMcAfee Embedded Controlの導入手順という事で、
・インストール方法
・設定の確認方法
・ホワイトリストの作成方法
・承認済みコードと未承認コードの実行時の振る舞い確認
を紹介しました。

ホワイトリスト自体は非常に単純な仕組みですが、非常に強固なシステム保護を行うことが可能です。
さらに、McAfee Embedded Controlには他にもメモリ保護機能やファイルに対する読み取り保護、書き込み保護、また組み込みデバイスで使うための各種チューニング方法なども用意されています。
また、Windows Embedded OSを使用する場合などはEnhanced Write Filter機能と併用することで更に強固なシステム構築なども可能となります。

詳しい情報に関しては営業担当にお問い合わせください。

関連コンテンツ

  • Intel Security
  • Hagiwara RecoveryUSBメモリ
  • システム貸出評価プログラム
  • OEMCLA
  • 開発奮闘記
  • メールマガジンのお申し込み
  • 展示会・セミナー・キャンペーン情報
  • OECコンセプトモデルのご紹介
  • OECの組込みソリューション