Host Intrusion Prevention 8.0 でのアプリケーション ブロック/フックの機能
技術的な記事 ID:
KB71794
最終更新: 2017/04/13
環境
McAfee Host Intrusion Prevention (Host IPS) 8.0
Host IPS 8.0 でサポートされているプラットフォーム、環境、およびオペレーティング システムの詳細は、 KB70778 を参照してください。
概要
Host IPS 8.0 には、別のアプリケーション ブロック モジュールは含まれませんが、Host IPS モジュールを使用してこの機能を提供します。
Host IPS シグネチャ 6010 および 6011 が、マカフィーのデフォルトの IPS ルール ポリシーに含まれています。
- Host IPS シグネチャ 6010 - 汎用アプリケーション フック保護
- Host IPS シグネチャ 6011 - 汎用アプリケーション起動保護
デフォルトでは、両方のシグネチャが無効です。
両方のシグネチャ 6010 と 6011 は、デフォルトで以下を許可します。
- explorer.exe がシステムの root フォルダーに存在する場合、explorer.exe から起動される任意の実行可能ファイル。
- ユーザー コンテキスト NT AUTHORITY\\SYSTEM"、"NT Authority\\LOCAL SERVICE" および "NT Authority\\NETWORK SERVICE で起動される任意の実行可能ファイル。
- 以下の SDN で起動される任意の実行可能ファイル:
- {CN=McAfee, Inc., OU=IIS, OU=Digital ID Class 3 - Microsoft Software Validation v2, O=McAfee, Inc., L=Santa Clara, S=California, C=US}
- {CN="McAfee, Inc.", OU=Engineering, OU=Digital ID Class 3 - Microsoft Software Validation v2, O="McAfee, Inc.", L=Santa Clara, S=Oregon, C=US}
- {CN=MCAFEE INTERNATIONAL LTD., OU=R&D, OU=DIGITAL ID CLASS 3 - MICROSOFT SOFTWARE VALIDATION V2, O=MCAFEE INTERNATIONAL LTD., L=HOVE, S=EAST SUSSEX, C=GB}
- {CN=MICROSOFT WINDOWS, OU=MOPR, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=MICROSOFT WINDOWS COMPONENT PUBLISHER, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=GOOGLE INC, OU=DIGITAL ID CLASS 3 - NETSCAPE OBJECT SIGNING, O=GOOGLE INC, L=MOUNTAIN VIEW, S=CALIFORNIA, C=US}
解決策
ユーザーは、別の Host IPS カスタム シグネチャを作成して、除外された実行可能ファイルを個別にブロックする必要があります。
実行可能ファイルのブラックリスト登録
アプリケーション ブロック ルール ポリシーを作成して、実行可能ファイルの実行を防止するには (ブラックリスト):
- 以下のように指定されたサブルールを使用して、新しい IPS カスタム シグネチャを作成します。
ルール タイプ = プログラム
操作 = ターゲット実行可能ファイルの実行
- 新しいターゲット実行可能ファイルを適切な一致条件で追加します。 これには以下の任意のアイテムを含むことができます。
- 実行可能ファイルのパス名
- ファイルの説明
- MD5 ハッシュ
- デジタル署名 件名 識別名
実行可能ファイルのホワイトリスト登録
アプリケーション遮断ルールポリシーを作成して、指定された実行可能ファイルだけを実行できるが、他のすべてのブロックをブロックするには (ホワイトリスト):
- Host IPS シグネチャ 6011 を有効にして、応答の防止にマッピングする重大度に設定します。
- シグネチャ 6011 に例外を追加し、任意の許可された実行可能ファイルに適切な一致条件を指定します (これには実行可能ファイルのパス名、ファイルの説明、MD5 ハッシュ、デジタル署名 件名 識別名を含めることができます)。
実行可能ファイル フックのブラックリスト登録
特定の実行可能ファイルからの他の実行可能ファイルのフックを防止するアプリケーション ブロック ルール ポリシーを作成するには:
- 2 つのサブルールを使用して、新しい IPS カスタム シグネチャを作成します。
- 最初のサブルールには、ルール タイプ = プログラム、操作 = スレッドを作成するアクセス権限で開く を設定します。 新しい実行可能ファイルを適切な一致条件で追加します (これには実行可能ファイルのパス名、ファイルの説明、MD5 ハッシュ、デジタル署名 件名 識別名を含めることができます)。
- 2 番目のサブルールには、ルール タイプ = フック、操作= DLL のフック を設定します。 最初のサブルールと同じ実行可能ファイルを追加します。
注: このシナリオでは、実行可能ファイルの実行を防止するため、ターゲット実行可能ファイルではなく、実行可能ファイルを追加します。
実行可能ファイル フックのホワイトリスト登録
実行可能ファイルが他の実行可能ファイルをフックするのを許可し、他の実行可能ファイルがその他の実行可能ファイルをフックするのをブロックするアプリケーション ブロック ルール ポリシーを作成するには:
- Host IPS シグネチャ 6010 を有効にして、応答の防止にマッピングする重大度に設定します。
- シグネチャ 6010 に例外を追加し、任意の許可された実行可能ファイルに適切な一致条件を指定します (これには実行可能ファイルのパス名、ファイルの説明、MD5 ハッシュ、デジタル署名 件名 識別名を含めることができます)。
注: このシナリオでは、シグネチャ 6011 を指定するため、ターゲット実行可能ファイルではなく、実行可能ファイルを指定します (実行可能ファイルの実行を許可)。
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
|