ビジネスセキュリティ

ソート順:
当記事では、Policy Manager/ClientSecurityのバージョン13以降で利用できなくなった、fsdbupdate (fsdbupdate.exe) の代わりに、オフラインウイルス定義パターンファイル更新を行う手法について解説いたします。※パターンファイル更新チャネルの追加(Capricorn)に伴い、手順が追加されました。(2018年12月17日)新パターンファイルアップデートチャネルは2019年1月以降に利用開始されます。     [前提条件] Poliy Manager13.10以上(Windows Server) オンラインWindow64ビット端末 ” fsaua-update.exe”   https://download.f-secure.com/corpro/cs/current/fsaua-update.exe   ------------------------------------------------------------------------ ①Policy Managerでの”fspm-definitions-update-tool"と“f-secure-updates.zip”の作成 実際にクライアント管理しているPolicy Managerのレジストリを修正します。 “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\ additional_java_args”に、“ -DisolatedMode=true”を追加します。 Policy Managerの再起動を行います。 Policy Managerで"prepare-fspm-definitions-update-tool.bat"を実行します。 ※C:\Program Files (x86)\F-Secure\Management Server 5\bin配下 “fspm-definitions-update-toolフォルダ“が作成されます。 ※当フォルダは継続利用します。 フォルダ内にある、"channels.json"を編集します。 ファイルの場所 \fspm-definitions-update-tool\conf\channels.json 下記を追加します。 ,  "capricorn-win32",  "capricorn-win64",  "capricorn-macos" “fspm-definitions-update-toolフォルダ“をオンラインWindows端末にコピーします。 オンラインWindows端末で“fspm-definitions-update-tool.bat“を実行します。 ※管理者権限起動したコマンドプロンプトから実行。 “f-secure-updates.zip”が作成されます。 次回以降このファイルを差分アップデートして行きますので、ファイル場所を変更しないで下さい。 ※“\fspm-definitions-update-tool\data“配下に作成されます。 ※環境によりますが1GB程度です。 “f-secure-updates.zip”を最新版にアップデートするには、手順6を再度実施します。     ------------------------------------------------------------------------ ②各オフライン端末への“f-secure-updates.zip”の配置 オフラインアップデートを行いたい端末に、f-secure-updates.zipをコピーし、指定の場所にファイルを配置します。   ファイル設置箇所 Policy Manager: <F-Secure フォルダ>\Management Server 5\data\f-secure-updates.zip Client Security :ファイル設置箇所は不問   ------------------------------------------------------------------------ ③各オフライン端末での“f-secure-updates.zip”のインポート 各オフライン端末で端末でインポートコマンドを実行します。 Policy Manager : <F-Secure フォルダ>\Management Server 5\bin\import-f-secure-updates.bat ※管理者権限起動したコマンドプロンプトから実行 ※“ -DisolatedMode=true”がレジストリ登録されてないPMではエラーになります。 Client Security : fsaua-update [-options] [updateFile] ex) fsaua-update -s C:\f-secure-updates.zip [options] -s : silent
記事全体を表示
Client Security(CS)14以降に搭載されるファイアウォール機能は、Windowsファイアウォール機能をコントロールする「管理機能」となります。その為、独自のファイアウォールが搭載されていたCS 13 以前とはルール適用順等が違っております。またCS13からCS14にアップグレードを行う際、ファイアウォールルールは引き継がれませんので、当記事を参考に再設定をお願い致します。   [記事サマリ] ファイアウォールルール適用順の違い 許可ルール/拒否ルールでは拒否が優先グループポリシー(ドメイン)/ローカルポリシーでのFW無効化に注意   [解説] Client Security13以前は、上から下へ順番にルールを適用します。例えば下図のようにルールを設定した場合、RDP通信(TCP:3389使用)は、最上段のRDP許可ルールに一致し、通信が許可されます。それ以降のルールはチェックされません。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)にも引っかからず、RDP通信は成功します。 ・CS13以前(f-secureファイアウォール) 一方、Windowsファイアウォールは設定されたルール順序を考慮せず、全てのルールをチェックします。全てのルールチェックが終わり、複数ルールが一致した場合、拒否が優先されます。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)に引っかかり、RDP通信は失敗します。 ・Windowsファイアウォール つまり、CS13のルールをそのままCS14に設定しても、狙った動作は見込めません。 [対処方法] ファイアウォールルールの見直しを行います。 Windowsファイアウォール設定で「受信接続をブロック」に設定してください。 ※この設定が「暗黙のDeny」として機能します。 拒否ルールを削除してください。 許可ルールのみ追加してください。       [Windowsファイアウォールの受信接続ブロック方法] 「コントロールパネル」を開き、[Windowsファイアウォール]→「詳細設定」をクリックします。  →  右ベインの[操作]から、[プロパティ] をクリック。 「ファイアウォールのプロパティ」が開きます。 「パブリックプロファイル」「ドメインプロファイル」「プライベートプロファイル」のタブで、それぞれの「受信接続」をブロックに設定します。 ※この設定は、Policy Managerからもコントロール可能です。 ※設定箇所は、[ポリシーマネージャコンソール]→「設定」→[ファイアウォール]→「デフォルトルール」           [Policy ManagerからCSにファイアウォールルールを設定する方法] 左ベインで設定したいドメインを選択します。 右ベインの「設定」→「ファイアウォール」を開きます。 「クローン」をクリックし、自由にカスタムできるファイアウォールプロフィールを作成します。  →  「編集中のプロフィール」を作成したプロフィールに切り替えます。 「ネットワークサービス」をクリックします。(サービス追加済みの場合、12に進む) 「ネットワークサービス」が開きます。「追加」をクリックします。 「サービス名」を入力します。 プロトコルを選択し、「次へ」をクリックします。 ※RDPの場合TCP(6) 「イニシエータポート」を入力し、「次へ」をクリックします。 ※特に指定がない場合、0-65535を入力してください。 「リスポンダポート」を入力し、「次へ」をクリックします。 ※RDPの場合3389 「ネットワークサービス」にサービスが追加された事を確認し、この画面を閉じます。 「ファイアウォールルール」の画面で、「ルールを追加」をクリックします。 「名前」と「タイプ」を入力し、「次へ」をクリックします。 「追加」をクリックします。 サービスが追加されます。 「サービス」フィールドをクリックし、追加したいサービスを選択します。 「方向」フィールドで受信(<=)、送信(=>)、送受信(<=>)のどれかを選択し、「次へ」をクリックします。 「全てのリモートアドレス」を選択し、「次へ」をクリックします。 デフォルト設定のまま、「完了」をクリックします。 「ファイアウォールルール」にルールが追加された事を確認します。 ポリシーを配布します。 [グループポリシー(ドメイン)/ローカルポリシーへの注意] Active DirectotryのグループポリシーやWindowsのローカルポリシーでWindowsファイアウォールを無効にしている場合、Client SecurityはWindows  ファイアウォールを有効化できません。 該当する設定を「未構成」にしてください。
記事全体を表示
2019 年 02 月 13 日 16:00 弊社の最新ウイルス対策エンジン Capricorn ではウイルス定義パターンファイルバージョン情報の 提供ができなくなりました事をお知らせいたします。   [概要] 先日(2019 年 2 月 1 日)、弊社全製品においてウイルス対策エンジンの切り替えが行われました。 旧ウイルス対策エンジンでは、各バージョン毎に追加/削除された最新ウイルス情報を公開してお りましたが、Capricorn では情報修正をオンラインデータベースにて即時反映を行う、という特性 から、該当情報を公開する事ができなくなりました。これは、ウイルス対策において、情報の即 時修正がこれまで以上に重要となった事を意味します。   ご提供不可能な情報   誤検知/検知漏れの修正における「修正完了パターンファイルバージョン」  特定ファイルに対する検知が「いつから発生したか?」  DBtracker https://www.f-secure.com/dbtracker/     弊社ウイルス研究ラボでの検体解析でご提供可能な情報 ファイル/URLの危険性判断 現時点で弊社ウイルス対策ソフトが検知ができるかどうか?
記事全体を表示
質問 隔離保存されたファイルを検体受付に調査依頼する際に、どのように送付すればいいですか。 回答 以下の手順に従い、隔離保存されたファイルをご送付します。   【手順】 ■Client Security/PSB wks/PSB Computer Protection/その他のWindows製品 1.タスクトレイのf-secureアイコンをクリックし、コントロール画面を表示 2.「設定」ボタンをクリックし、設定画面を表示 3.「ウイルスとスパイウェアスキャン」をクリック 4.「リアルタイムスキャンを有効にする」のチェックを解除 5.「隔離保存フォルダを開く」をクリック 6.隔離処理されているファイルの一覧が表示されます。 7.復元するファイルを選択し「復元」ボタンをクリックします。 8.選択されたファイルが「パス名」記載の位置に復元されます 9.「閉じる」→「OK」でアクションセンタを閉じます 10.パス名の場所に移動し、復元されたファイルを暗号化ZIP圧縮します。(パスワード:infected) 11.【重要】手順4で解除したチェックを再度チェックしてリアルタイムスキャンを有効化して下さい 12.検体窓口まで検体ファイルを送付してください。     【手順】 ■ServerSecurity の場合 1.WEBコンソールから、コントロール画面を表示 2.「リアルタイムスキャン」をクリックし、設定画面移動 3.「リアルタイムスキャン」のスイッチをクリックしオフに設定 4.「保存して適用」をクリック 5.「ファイルの隔離保存データベース」ボタンをクリックし、設定画面を表示 6.「隔離保存コンテンツ」欄で、復元するファイルのチェックボックスをチェック 7.「復元」ボタンをクリック 8.選択されたファイルが「パス名」記載の位置に復元されます 9.パス名の場所に移動し、復元されたファイルを暗号化ZIP圧縮します。(パスワード:infected) 10.【重要】手順3で解除したスイッチを再度オンにしてリアルタイムスキャンを有効化して下さい 11.検体窓口まで検体ファイルを送付してください。   【手順】 ■ツールを使用する場合 1.下記のURLから、隔離保存された検体を取得するツールをダウンロードします。 https://download.f-secure.com/support/tools/fsdumpqrt/fsdumpqrt.exe 2.管理者権限で、fsdumpqrt.exeを実行します。 3.コマンドプロンプト画面に、「Press any key to continue with default option..」が表示され、 キーボードのEnterのキーを押します。 4.キーボードの "E" キーを押します。 5.任意のキーを押し、終了します。 6.管理者アカウントのデスクトップにmalware_samples.zipが作成されます。     上記の方法で取得できない場合、回避策として以下の手順で取得してくだい。  【手順】 1.フォルダオプションにて隠しフォルダを表示する設定とします。 2.エクスプローラを開き、下記のフォルダまで展開します。   C:\ProgramData\f-secure\Quarantine\Repository 3.TARというフォルダを右クリックにてプロパティを開きます。 4.セキュリティタブを開き、[追加]ボタンを押します。 5.everyone と入力し、[OK]ボタンを押します。 6.Everyoneが選択された状態で、下部の「Everyoneのアクセス許可」にて  フルコントロールの許可にチェックを入れ、[OK]ボタンを押します。 7.下記フォルダごとパスワード付ZIPファイルにしてください。  (パスワードは infected でお願いします。) C:\ProgramData\f-secure\Quarantine\ 8.作成したZIPファイルを弊社までお送りください。 9.検体送付後はセキュリティタブで作成したユーザ:"Everyone"を削除してください。   上記で作成されたファイルを弊社の検体受付までご送付ください。 宛先: japan-samples@file-samples.f-secure.com   参照URL 「検体送付手順について教えてください」 https://community.f-secure.com/t5/共通トピック/FSDIAG-ファイルを作成するにはどうすれば良いですか/ta-p/91737
記事全体を表示
以下の手順を実施します。         1.以下のURLから、「デバッグツール」fsloglevel.exeをダウンロードします。     https://download.f-secure.com/support/tools/CCF-logging-tool/fsloglevel.exe      2.fsloglevel.exeを実行し、"Full Logging"を選択し、"OK"をクリックします。     3.一旦パソコンを再起動します。     4.再起動後には、  事象を再現させます。 5.診断情報を作成します。     6.作成されたfsdiag.7zをメールに添付します。     7.診断情報をご送付頂いた後に、デバッグログを無効にするために、もう一度fsloglevel.exeを実行して、"Normal Logging"を選択し、OKをクリックします。              
記事全体を表示