Trend Micro
脆弱性対策オプション
TM
導入手順書
(インストール ~ 仮想パッチの適用)
トレンドマイクロ株式会社 2013 年 06 月 作成 =================================================================== Copyright (c) 2013 Trend Micro Incorporated. All Rights Reserved.・本ドキュメントに関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。
・本ドキュメントの作成にあたっては細心の注意を払っていますが、本ドキュメントの記述に誤りや欠落があっても トレンドマイクロ株式会社はいかなる責任も負わないものとします。
改訂履歴
版数 発行日 改訂履歴 第 1 版 2012/03/07 初版発行
第 2 版 2013/06/26 脆弱性対策オプション 1.5 Service Pack 1 Patch 1 の公開に合わせ、 内容を更新 はじめに ■本資料の目的 下記に記載する設定を行うことにより、自動的にお客様のクライアント PC のセキュリティ上の 脆弱性を検知し、外部からの様々な脅威を防ぐことができます。また、定常的な運用負荷を増やさず に導入することができます。導入前検証や実導入の際に利用する基本設定としてご利用ください。 ■効果 本資料を参照していただくことにより、以下の効果が見込まれます。 ・導入前に検証すべき項目が把握できる ・検証の詳細手順を理解できる ・導入時に注意すべき事項について把握できる ・実導入をスムーズに行えるようになる ■対象読者 本ドキュメントは、以下の読者を対象としています。 ・パートナー企業のシステムエンジニア(システムを実際に構築する方) ・脆弱性対策オプションの利用を検討しているウイルスバスター コーポレートエディション
目次 1 脆弱性対策オプションサーバのインストール ... 4 1-1. 事前準備 ... 4 1-2. サーバプラグインのインストール(インターネット接続環境有り) ... 8 1-3. サーバプラグインのインストール(クローズド環境) ... 12 2 脆弱性対策オプションクライアントのインストール ... 15 2-1. 事前準備:名前解決ができない場合 ... 15 2-2. サーバプラグインからクライアントプラグインをプッシュ配信する ... 17 2-3. スタンドアロンパッケージでクライアントをインストールする ... 17 3 システム設定 ... 20 3-1. セキュリティアップデート ... 20 3-2. ログ保存期間の設定 ... 22 3-3. 通知設定 ... 23 3-3. 推奨設定のクリアの設定 ... 234 4. セキュリティプロファイルの作成 ... 255 4.1. セキュリティプロファイルの作成 ... 25 4.2. セキュリティプロファイルの適用 ... 27 5 推奨設定検索 ... 29 5.1 推奨設定検索の手動実行 ... 29 5.2 検索結果の確認 ... 29 5.3 検索時にクライアントに DPI ルールを自動的に適用する場合 ... 30 6. DPI ルール動作確認テスト... 32 7. レポート作成機能の確認 ... 333
1
脆弱性対策オプションサーバのインストール
本インストール作業は、ウイルスバスター コーポレートエディション(以下、Corp.)サーバがインスト ールされているサーバ上で行ってください。 1-1. 事前準備 .NET Framework 2.0 SP2 のインストール 脆弱性対策オプションサーバのインストールには、「.NET Framework2.0 SP2」が必要です。 事前に Microsoft 社のホームページよりダウンロードしてください。Corp.サーバが Windows Server 2012 上にインストールされている場合
脆弱性対策オプションをインストールする前に、【SQL アップグレードツール】を使用して脆弱性対策オ プションが利用するデータベースを SQL Server 2008 R2 Express 版にアップグレードしてください。 インストール方法やツールのダウンロードなどの詳細は下記 URL を参照してください。 http://esupport.trendmicro.com/solution/ja-jp/1097614.aspx 脆弱性対策オプションで使用するポートの解放 脆弱性対策オプションでは以下のポートを使用しますので、予め以下のポート番号をアクセス可能に します。デフォルト設定の Windows ファイアウォールが有効になっている場合は管理コンソールにア クセスできないため、必ず設定を変更してください。 ポート 番号 プロト コル 接続元 接続先 プロキシ 使用可否 ポート 変更可否 用途 4118 TCP サーバプラグ イン クライアントプラグ イン × × サーバプラグインからクライアン トプラグインへの通信 4119 TCP Web ブラウザ サーバプラグイン × × サーバプラグインへのリモートア クセス
Corp.サーバとプラグインマネージャのインストール Corp.10.5 以前のバージョンをお使いの方は、以下の手順でプラグインマネージャをインストールして ください。10.6 では予めプラグインマネージャがインストールされていますので、この作業は不要です。 (1) Corp.管理サーバがインストールされている OS 上で、Corp.サーバの管理コンソールにログオ ンし、[プラグインマネージャ]をクリックします。 ※プラグインマネージャのインストーラを Corp.管理サーバ上にダウンロードするため、 Corp.サーバ上で操作を行ってください。 (2) プラグインマネージャの画面で、インストールのリンクをクリックします。 (3) 画面を下にスクロールし、[プラグインマネージャをダウンロード]をクリックします。
(4) setup.exe を任意の場所に保存します。
※Corp.管理サーバではなく別のマシンでダウンロードした場合は、保存した setup.exe を Corp.サーバに移動した後で次のステップに進んでください。
(5) ダウンロードした setup.exe を実行します。Windows Server 2008 の場合は、 setup.exe を右クリックして[管理者として実行]を選択します。
以下のようこそ画面が開きますので、[次へ]をクリックします。
(7) インストールを開始します。
1-2. 脆弱性対策オプション サーバプラグインのインストール(インターネット接続環境有り) (1) Corp 管理コンソールにログオンし、左側のメニューから[プラグインマネージャ]を クリックします。 [脆弱性対策オプション]の[ダウンロード]をクリックします。 ※2013 年 6 月 26 日時点では 1.5.2335 が利用可能なバージョンとなります。 下記スクリーンショットには一部古いバージョンの画面も含まれます (2) [OK]をクリックします。 (3) ダウンロードが開始されます。
(4) ダウンロードが完了後、[インストール]をクリックします。
(5) 使用許諾契約書に同意します。
(7) 脆弱性対策オプションの[プログラムの管理]をクリックします。 注意: 脆弱性対策オプションサーバプラグインを初めて実行する際に、証明書の警告が表示さ れる場合があります。 これは、サーバプラグインが Corp.サーバとは異なる Web サーバで実行されているためです。 この証明書に同意しても安全です。警告が表示されたら、「証明書のインストール」ボタンをク リックして、初期設定の場所にインストールします。 (8) アクティベーションコードを入力して保存します。 アクティベーションコードは、EI-xxxx-で始まります。
(9) 製品の登録が行われます。
(10) ライセンスの状態が[アクティベーション完了]となっていることを確認し、[起動]をク リックします。
(12) ダッシュボードが表示されることを確認します。 以上で脆弱性対策オプションサーバプラグインのインストールは終了です。 1-3. 脆弱性対策オプション サーバプラグインのインストール(クローズド環境) (1) インターネットに接続できる環境において、下記、トレンドマイクロホームページより、 脆弱性対策オプションサーバプログラムをダウンロードし、クローズド環境の Corp.サーバ にコピーします。 http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=411 8&lang_loc=13
(2) コピーしたモジュールを解凍します。 (3) 適当な場所に「IDF」というフォルダを作成し、共有にします。 ※フォルダ名は任意です。 ※本手順では例として C ドライブ直下に作成します。詳細は以下の URL をご参照ください。 http://esupport.trendmicro.co.jp/pages/JP-2080366.aspx (4) 上記 2 で解凍したモジュールを脆弱性対策オプションフォルダ内にコピーします。 ※フォルダ名が[IdfActiveUpdate]になっている場合、「activeupdate」にします。 作業実施後、以下のようなフォルダ構成になります。 <C:\IDF\activeupdate\...> (5) Corp.サーバの Web 管理コンソールにログオンして、[アップデート]→[サーバ]→[アップ デート元] の順に選択します。 (6) [現在のファイルのコピーを含むイントラネットの場所] を選択し、表示されたフィールドに 「\\<自身の IP アドレス>\IDF\activeupdate」と入力します。 ユーザ名とパスワードが必要な場合は入力し、[保存] をクリックします 例: 「\\192.168.1.1\IDF\activeupdate 」 (7) OS の[スタート]→[管理ツール]→[サービス]を選択します。
(8) Corp.プラグインマネージャサービス (OfficeScan Plug-in Manager) を再起動して、変更 を反映します。
(9) Corp.サーバの Web 管理コンソールに再度ログオンして、[プラグインマネージャ] をクリ ックします。
2
脆弱性対策オプションクライアントのインストール
2-1. 事前準備:名前解決ができない場合 初期設定では、脆弱性対策オプションサーバと脆弱性対策オプションクライアント間の通信に 名前解決が必要となります。名前解決ができない環境の場合は、下記手順により、サーバからク ライアントへの通信を IP アドレスベースで行うように設定変更してください。 (1) 脆弱性対策オプションサーバ(Corp.サーバ)上で以下のサービスを停止します。 [Intrusion Defense Firewall]サービス[OfficeScan Plug-inManager]サービス
(2) 以下のパスにある[dsm.properties]をテキストエディタで開きます。 <Program Files\Trend Micro\OfficeScan\Addon\Intrusion Defense Firewall\webclient\webapps\ROOT\WEB-INF>
(3) テキストの最下部に以下のパラメータを追記し、上書き保存をします。 「hssHostnameIPDisplaynameClientname=true」
(4) 以下のサービスを上から順に開始します。 1. [OfficeScan Plug-inManager]サービス 2. [Intrusion Defense Firewall]サービス
(5) [ウイルスバスターCorp.との同期]で同期をすると、クライアントの一覧が設定後は[IP アドレ ス] (クライアント名)の表示に変更されます。 変更前 変更後 ↓ (6) サーバとクライアント間の通信方向を変更します。メニューより[システム]-[システム設 定]-[コンピュータ]タブを開き、通信方向の項目で[サーバプラグインによる開始]を選択し、保 存します。
2-2. サーバプラグインからクライアントプラグインをプッシュ配信する 注意:インストール中に、クライアントのネットワークが一時切断されます。 (1) 該当のクライアントを選択し、右クリックで[処理]-[クライアントプラグインの配信]を選択し ます。 (2) ステータスの状態が以下のように変わり、最終的には[管理対象]と表示されることを確認します。 配信中 配信完了 ↓
注意:スタンドアロンパッケージは、Corp.クライアントが下記フォルダパスにインストールされて いるという前提で作成されています。下記と異なるインストールパスでインストールされている場合 は、スタンドアロンパッケージによるインストールはできません。
C:\Program Files\Trend Micro\OfficeScan Client.
(1) インストールの前に、脆弱性対策オプション管理コンソールにログインし、クライアントプラグ インからプログラムの有効化が許可されているか確認します。
「システム」→「システム設定」→「コンピュータ」→[リモート有効化]で[クライアントプラグ インが開始した有効化を許可]にチェック。 ※デフォルト値はオンです。
脆弱性対策オプションクライアントをインストールする端末上で、スタンドアロンパッケージ (脆弱性対策オプション client.exe)を実行します。 (4) インストールの確認 管理コンソール上で、対象のクライアントが管理対象になっていることを確認します。 ※インストールログが必要な場合は、以下の URL をご参照ください。 http://esupport.trendmicro.co.jp/pages/JP-2080427.aspx
3
システム設定
3-1. セキュリティアップデート 3-1. 手動アップデート (1) 脆弱性対策オプション管理コンソールの「システム」→「アップデート」をクリックします。 セキュリティアップデートの「ダウンロード」ボタンをクリックし、最新のセキュリティアップ デート(DPI ルールなど)があるか、トレンドマイクロの ActiveUpdate サーバに問い合わせます。 (2) アップデートの確認適用したいアップデート(適用済みにチェックが入っていないもの)を選択します。すぐに適用 する場合は、右クリック→「適用」を選択します。アップデート内容を確認したい場合は、右ク リック→「表示」を選択します。下記画面の「適用」をクリックし、セキュリティアップデート を適用することも可能です。
3-2. ログ保存期間の設定 3-1. 初期設定では、システムイベントログを 12 週(4 か月)保存する設定になっているため、ログ サイズが膨大になる可能性があります。特に同梱されている SQL Express をご利用の場合は、 サイズ上限が 4GB (SQL アップグレートツールにて SQL Server 2008 R2 Express を利用時は 10GB)となっていますので、下記画面よりログの保存日数を減らしてください。 (例:12 週→4 週)
3-3. 通知設定
イベント発生によるアラートの通知や、システムイベント通知を送る設定をします。
MIB ファイル (DeepSecurity.mib) 以下のパスにあります。
3-4. 推奨設定のクリアの設定 推奨設定検索を手動実行、または定期的に実行する場合に必要となる、推奨設定をクリアする設定を行 います。 (1) [clearrecommendations.script]ファイルを下記 URL から任意の場所にダウンロードします。 http://files.trendmicro.com/jp/ucmodule/idf/15/tools/clearrecommendations.zip ※zip 形式で圧縮されていますので、ダウンロードした zip ファイルを解凍してください (2) [clearrecommendations.script]ファイルを脆弱性対策オプションサーバの <インストールフォルダ>\Scripts にコピーします。 ※ <インストールフォルダ>は初期設定で下記となっております。
C:\Program Files\Trend Micro\OfficeScan\AddOn\Intrusion Defence Firewall (3) ウイルスバスター Corp.のプラグインマネージャを開き、脆弱性対策オプション の [システム]→[タスク] メニューで[新規予約タスク] をクリックします。 (4) 種類から [スクリプトの実行] を選択し、[次へ >] をクリックします。 (5) 実行スケジュールを設定し、[次へ(Next) >] をクリックします。 (6) 「スクリプト」から[clearrecommendations.script]ファイルを選択し、[次へ >] をクリックしま す。 (7) [完了] をクリックし、予約タスクの作成を完了します。
4.
セキュリティプロファイルの作成
4.1. セキュリティプロファイルの作成 4.1.1. 新規セキュリティプロファイルの作成 脆弱性対策オプション管理コンソール[セキュリティプロファイル]をクリックし、 [新規]→[新規セキュリティプロファイル…]をクリックします。 プロファイルの名前を入力します。 今回は新規にプロファイルを作成するので、既存の設定をベースにするかという選択肢は、「い いえ」を選択します。「閉じる」を押してプロファイル詳細設定画面を開きます。
4.1.2. セキュリティプロファイルの詳細設定を編集します
詳細設定画面にて、[Deep Packet Inspection]をクリックし、「継承」のチェックボックスを はずします。デフォルトでチェックが入っています。 (継承:チェックボックスをオンにすると、グローバル設定を継承します) また、推奨設定の検索実行時に、自動的に DPI ルールの適用、解除を行う場合は、推奨設定 の設定項目にて、「推奨設定の検索時に、推奨 DPI ルールをコンピュータに自動割り当て/割 り当て解除:」を「はい」とします。 設定をすべて変更したら、「保存」をクリックします。
※こちらの設定を行うと、同じセキュリティプロファイルを割り当てている端末が同じ時間に 推奨設定の検索を行います。台数が多くなると管理サーバの負荷が高くなりますので、1000 台以上に同じプロファイルを割り当てる場合は、「予約タスク」より、個別に推奨設定の検索 スケジュールを設定してください。 4.2. セキュリティプロファイルの適用 セキュリティプロファイルを適用したいクライアント/グループを選択してクリック→[処理] →[プロファイルの割り当て…]を選択します。
コンピュータ管理画面上のセキュリティプロファイルの項目に、適用したプロファイルの名前 が表示されます。
5
推奨設定検索
5.1 推奨設定検索の手動実行 [コンピュータ]の画面より、推奨設定を実行したいクライアントを選択して、右クリック→[処 理]→[コンピュータの推奨設定の検索] をクリックします。 ステータスが「推奨設定の検索中」になります。 5.2 検索結果の確認 検索が終了すると、ステータスが、「管理対象(オンラインのクライアント)」になりますので、 右クリック→[詳細]をクリックします。クライアント詳細画面の、[Deep Packet Inspection]→[DPI ルール]をクリックし、表示フ ィルタとして「割り当てに推奨される設定の表示」をクリックします。
6.
DPI ルール動作確認テスト
下記の製品 Q&A の手順により、カスタムルールを作成し、DPI ルールの動作確認テストが可能です。 < http://esupport.trendmicro.co.jp/pages/JP-2077285.aspx> 以下は動作確認の方法です。 1. 管理コンソールにログオンします。 2.コンピュータ をクリックし、検証用の端末をダブルクリックします。 3. [Deep Packet Inspection]→[DPI ルール] をクリックします。 4. [新規]をクリックします。5. [一般]タブに以下を設定します。
・名前: 任意の名前(例. Hello World ) を設定します。
・アプリケーションの種類:"Web Client Common" を選択します。 6. パケット内の文字列「Hello」を検出するように設定します。 ルール タブをクリックし、以下を設定します。 ・署名: Hello を設定します。 ・処理: ブロックさせる場合は、”パケットの破棄、接続のクローズ”、 ログだけ取得する場合は、"ログのみ" を選択します。 7. OK をクリックします。 8. 保存 をクリックします。
9. Web ブラウザを起動し、キーワード Hello で Web を検索します。 10.Deep Packet Inspection→DPI イベント をクリックします。 11. Hello World のイベントが存在するかどうかご確認ください。
※イベントが存在しない場合は、 今すぐイベントを取得 をクリックし、 イベントが表示されるかどうかご確認ください。
