Trellix Embedded Control 運用設定
TECはデフォルトのインストール状態で強固なセキュリティ機能を提供しますが、システムの状態を固定化し、アローリストに登録された
ファイルの変更や削除についても制限を行う為、お客様アプリケーションのアップデートなどにも制限が発生します。そのような状態を回避
するためにTECではセキュリティを担保しながらシステムの柔軟な運用を行うための設定を行う事が可能です。
この項では、幾つかの設定に関してご紹介いたします。
TECの設定に関して
3 柔軟な運用を実現する設定 更新について
TECはシステムを固定化し、またアローリスト登録済みファイルに対して改竄防止機能を提供する為、デフォルト状態では
Windows Updateによるファイルの更新や、お客様のアプリケーションの更新、変更、削除も制限します。しかしTECでは、保護状態を
一旦解除したり、アローリストを全体を一からから作り直すことなく、保護状態を維持したままアップデートを行った差分情報だけを
アローリストに反映させることで、Windows Updateを適用したり、お客様アプリケーションの更新を行う方法が準備されています。
アローリストを更新する権限をUpdaters権限と呼びます。
3-(1) デジタル署名による更新
特定のデジタル署名に対する証明書をあらかじめ登録しておくことで、アローリストに登録されていないファイルでも該当デジタル署名が
一致することで動作を許可することが可能です。デジタル署名に対して実行権限に加えてUpdaters権限を設定することが可能です。
“sadmin cert add –u <証明書ファイル>”: 指定したデジタル署名の証明書に対して、実行権限とUpdaters権限を付与します。
証明書の抽出に関しては、TECインストール時に同梱されているScGetCertsツールを使用します。
“scgetcerts.exe <対象ファイル> .”:対象ファイルからデジタル署名の証明書を抽出します。
最後にカレントフォルダを指定するピリオドがありますのでご注意ください。
40桁のファイル名とcerという拡張しの証明書ファイルが生成されます。
3-(2) Updatersファイルによる更新
特定のファイルに対してUpdaters権限を付与し、そのファイルの実行によってアローリストの更新を行う事が可能です。
アップデートを行うインストーラ自体を直接指定することも可能ですが、将来作られる、現在は存在しないファイルを指定する場合は
ファイル名で指定を行う必要があるため、悪意ある人にファイル名を予測された場合はセキュリティを担保できません。
そのため、ウンチャーやお客様アプリケーションを介した更新運用を構築頂き、ファイル名での指定ではなく、ハッシュ値での
ファイル指定を行われる事を推奨いたします。
“sadmin updaters add <ファイル名>”: ファイル名で指定したファイルにUpdaters権限を付与します。
“sadmin auth –a –u –c <チェックサム値>”: チェックサム値が適合するファイルに、実行権限とUpdaters権限を付与します。
3-(3) 特定ユーザによる更新
特定ユーザに対してUpdaters権限を付与することも可能です。通常運用時のエンドユーザと、メンテナンスを行うサービスマンなど、
ユーザアカウントを分けて頂くような運用が可能です。
“sadmin updaters add –u <ユーザ名>”: ユーザ名で指定したアカウントでログインし作業を行う場合に更新を許可します。
3-(4) Trustedフォルダによる更新
デジタル署名やラウンチャーによる更新が行う事が出来ず、かつ更新するファイルやインストーラが限定出来ない場合に、
特定フォルダにUpdaters権限を付与し、そのフォルダから起動されたファイルによる更新を許可する設定も可能です。
ただし、そのフォルダから起動されるファイルは全て信頼してしまうため、悪意あるユーザやマルウェアによって利用されてしまう
危険もありますので、他の手法を利用される事を推奨いたします。
“sadmin trusted –i –u <フォルダpath>”: 指定した特定フォルダにUpdaters権限を付与します。
3-(5) マニュアル操作によるUpdaters Modeへの遷移
TECの動作モードには保護の有効(Enable Mode)と無効(Disable Mode)に加えて、Update Modeがあります。
Update Modeの間は、全てのファイル実行が許可され、追加、変更、削除などの変更内容が全てアローリストに反映されます。
このモードに遷移してソフトウェアの更新、インストーラの実行等を行う事で、その作業を許可し、発生する変更を全て信頼し、
アローリストの更新を行う事が可能です。
Update Mode時には、マルウェアの起動、悪意ある操作も全て信頼されてしまうため、クリーンな環境が担保出来る開発、評価時のみに
使用に限定することを推奨いたします。
“sadmin bu”: Update Modeに開始します。
“sadmin eu”: Update Modeを終了します。
4 柔軟な運用を実現する設定 他設定
4-(1) パスワードの使用について
TECはOEM様が自社の製品に組み込んで使う事を想定しており、エンドユーザ様が自由に設定変更を行う事が出来てしまうと
セキュリティレベルが低下してしまう事があります。
そのため、エンドユーザ様が重要な操作を行えないようにパスワードを設定することが可能です。
“sadmin passwd”: 新しいパスワードを設定します。設定後は各コマンド実行時にパスワードが必要となります。
”sadmin passwd -d”: パスワードを削除します。
4-(2) ログファイルの保存設定
TECでは、システムで行われたコマンド操作や、保護対象のファイルに対する変更や動作制限に関してログ情報を記録しています。
ログを確認してシステムに発生した未承認ファイルの実行の試みや、障害情報を調査することが可能です。
しかし、組み込み機器のシステムでは、ストレージ容量の制限によってログ保存のために十分な容量を確保できない場合や、
Embedded OSのEWFやUWFといったWrite Filter機能によって再起動時にログ情報が失われてしまう場合があります。
そのため、ログファイルの容量や数量、保存位置を設定することが可能です。
デフォルト状態では、一つのログファイルは容量2MBまで、世代は4世代まで、保存位置はシステムドライブに保存されるようになっています。
設定を変更したい場合は下記コマンドで、適切な整数値を設定することが可能です。
“sadmin config set LogFileSize=2048”: ログファイル容量を2MBに設定します。
“sadmin config set LogFileNum=4”: ログファイル保存世代を4世代に設定します。
ログファイルの保存位置についてはHKLM\System\CurrentControlSet\Services\Swin\ParametersのLogFilePathキーで設定可能です。
レジストリ情報の変更はシステムが起動しなくなる可能性があります。また、変更内容は即座に適用され、
バックアップは自動生成されません。 評価環境にて十分に評価検証を行ってください。
お問い合わせ
何かございましたら、下記までお問い合わせ下さい。