デバイスポリシー:スクリプト制御設定

スクリプト制御設定では、Aurora Protect Desktop エージェントが Windows デバイス上でスクリプトの実行を処理する方法を指定します。

設定

説明

スクリプト制御

スクリプト制御を設定するには、このオプションを有効にする必要があります。

スクリプトのタイプごとに、以下のいずれかの制御モードアクションを選択できます。
  • 無効化:すべてのスクリプトの実行を許可し、管理コンソールにレポートしません。この設定は推奨されません。
  • アラート: すべてのスクリプトの実行を許可し、管理コンソールにレポートします。環境内で実行されているスクリプトをすべて監視する場合に使用する設定です。許可またはブロックするスクリプトを決定する初期展開で推奨されます。
  • ブロック:すべてのスクリプトの実行をブロックし、管理コンソールにレポートします。除外リストに追加されたファイルのみを実行できます。アラートモードでの脅威の検証および監視後に使用する設定です。

アクティブスクリプトと PowerShell には、拡張スクリプト制御オプションが追加されています。詳細については、以下の該当する行を参照してください。

[保護] > [スクリプト制御]で、スクリプト制御アラートを検索したり、イベントをブロックしたりすることができます。

アクティブスクリプト

VBScript や JScript などのアクティブスクリプトをエージェントが処理する方法を制御します。

アクティブスクリプトでは、無効化、アラート、ブロックに加えて、以下の制御モードを使用できます。これらの設定には、エージェントバージョン 3.2 以降が必要です(デバイスが以前のエージェントを実行している場合、スクリプトはデフォルトでブロックされます)。
  • 危険なスクリプトのブロック:スクリプトが除外リストに含まれていない場合、エージェントは Aurora Protect クラウドサービスから脅威スコアを取得します。危険な脅威スコアを受信すると、スクリプトの実行はブロックされます。危険なファイルはマルウェアに非常に類似しています。スコアのない異常なスクリプトは管理コンソールに報告されますが、ブロックされません。
  • 異常なスクリプトと危険なスクリプトのブロック:スクリプトが除外リストに含まれていない場合、エージェントは Aurora Protect クラウドサービスから脅威スコアを取得し、異常または危険な脅威スコアを受信すると、スクリプトの実行をブロックします。異常なファイルにはマルウェアに類似した属性がありますが、危険なファイルよりマルウェアである可能性は低くなります。スコアのないスクリプトはコンソールに通知されますが、ブロックされません。

PowerShell

エージェントが PowerShell スクリプトを処理する方法を制御します。

PowerShell スクリプトでは、無効化、アラート、ブロックに加えて、以下の制御モードを使用できます。これらの設定には、エージェントバージョン 3.2 以降が必要です(デバイスが以前のエージェントを実行している場合、スクリプトはデフォルトでブロックされます)。
  • 危険なスクリプトのブロック:スクリプトが除外リストに含まれていない場合、エージェントは Aurora Protect クラウドサービスから脅威スコアを取得します。危険な脅威スコアを受信すると、スクリプトの実行はブロックされます。危険なファイルはマルウェアに非常に類似しています。スコアのない異常なスクリプトは管理コンソールに報告されますが、ブロックされません。
  • 異常なスクリプトと危険なスクリプトのブロック:スクリプトが除外リストに含まれていない場合、エージェントは Aurora Protect クラウドサービスから脅威スコアを取得し、異常または危険な脅威スコアを受信すると、スクリプトの実行をブロックします。異常なファイルにはマルウェアに類似した属性がありますが、危険なファイルよりマルウェアである可能性は低くなります。スコアのないスクリプトはコンソールに通知されますが、ブロックされません。

PowerShellコンソール

エージェントが PowerShell コンソールを処理する方法を制御します。PowerShell コンソールをブロックすると、PowerShell コンソールの対話モードでの使用を防止することで、セキュリティが強化されます。

アラート制御モードには、Aurora Protect Desktop エージェントバージョン 3.2 以降が必要です。アラートモードをサポートしていないエージェントの場合、PowerShell コンソールの使用はデフォルトで許可され、アラートは生成されません。

制御モードをブロックに設定している場合、スクリプトが PowerShell コンソールを起動すると、そのスクリプトは失敗します。スクリプトでは、PowerShell コンソールを呼び出すのではなく、PowerShell スクリプトを実行することをお勧めします(コンソールを呼び出さずに PowerShell スクリプトを実行する基本的なコマンドは、Powershell.exe -file [script name] です)。

マクロ

エージェントが Microsoft Office マクロを処理する方法を制御します。マクロは Visual Basic for Applications(VBA)を使用して、Microsoft Office ドキュメント内にコードを埋め込むことができます。マルウェア作成者はマクロを使用してコマンドを実行し、システムを攻撃できます。

この設定は、エージェントバージョン 2.1.1578 以前にのみ適用されます。エージェントがこれより新しい場合は、危険な VBA マクロ違反タイプを[メモリ保護]タブで使用します。スクリプト制御用にこれまでに作成したマクロ除外は、危険な VBA マクロ違反タイプのメモリ保護除外に追加する必要があります。

Microsoft Office 2013 以降、マクロはデフォルトで無効になっています。通常、ユーザーが Microsoft Office ドキュメントのコンテンツを表示できるようにマクロを有効にする必要はありません。信頼できるユーザーからのドキュメントにのみマクロを有効にしてください。マクロは無効にすることをお勧めします。

Python

エージェントが Python スクリプトバージョン 2.7 および 3.0 ~ 3.8 を処理する方法を制御します。

.NET DLR

エージェントが .NET DLR スクリプトを処理する方法を制御します。

XLM マクロ(プレビュー)
注: XLM マクロ機能は現在、プレビューモードで提供されているため、予想外の動作が発生する可能性があります。

エージェントが Excel 4.0(XLM)マクロを処理する方法を制御します。

この機能には以下が必要です。
  • Microsoft Windows 10 以降
  • Aurora Protect Desktop エージェントバージョン 3.1 以降
  • VBA マクロは Excel で無効にする必要があります。

すべてのスクリプトのスコアリング

有効にすると、制御モードをアラートかブロックに設定していても、すべてのアクティブスクリプトと PowerShell スクリプトがスコアリングされます。無効にすると、制御モードを[危険なスクリプトのブロック]または[異常なスクリプトと危険なスクリプトのブロック]に設定している場合にのみ、アクティブスクリプトと PowerShell スクリプトはスコアリングされます。

スクリプトをクラウドにアップロード

有効にすると、アクティブスクリプトと PowerShell スクリプトのコピーが Aurora Protect クラウドサービスにアップロードされ、脅威分析とスコアリングが行われます。無効にすると、Aurora Protect はハッシュの詳細を使用してアクティブスクリプトと PowerShell スクリプトのスコアを取得しようとします。

疑わしいスクリプトの実行のみを警告

有効にすると、危険または異常と判断されたアクティブスクリプトや PowerShell スクリプトの実行のみが管理コンソールに報告されます。無効にすると、脅威が検出されたかどうかに関係なく、アクティブスクリプトや PowerShell スクリプトの実行はすべてコンソールに報告されます。

大規模スクリプトのアクション

有効にすると、より大きなスクリプト(5 MB を超える PowerShell スクリプトなど)から脅威が検出された場合に、エージェントが指定のアクションを実行します。

  • 大規模スクリプトを無視:エージェントは、管理コンソールにアラートを報告しません。
  • 大規模スクリプトでアラートのみ:エージェントは、大きなスクリプトを検出した場合、そのスクリプトをコンソールに報告するだけで、他のアクションを実行しません。
  • 言語固有のポリシー設定を適用:エージェントは、大きなスクリプトを検出すると、アラートをコンソールに報告し、スクリプトのタイプごとに設定されたアクション(制御モード)を実行します。

ファイル、スクリプト、プロセスの除外:除外を追加

スクリプト制御から除外するフォルダを指定できます。指定したフォルダ(またはサブフォルダ)内から実行されるスクリプトは、設定した制御モードの対象にならず、アラートを生成しません。

プロセスの除外を追加することで、特定のアプリケーションのスクリプトを許可して、それ以外のものをブロックできます。たとえば、IT 部門が特定のツールを使用してスクリプトを実行する場合は、当該ツールでのプロセスを除外として追加することで、スクリプトの実行が可能になります。

フォルダまたはサブフォルダの相対パスを指定します。パスは、ローカルドライブ、マッピングされたネットワークドライブ、または UNC(Universal Naming Convention)パスにすることができます。

フォルダとスクリプトの除外:
  • フォルダの除外には、スクリプトやマクロのファイル名を含めることはできません。これらのエントリは無効となり、エージェントでは無視されます。
  • 「everyone」のグループに書き込み権限が付与されると、組織内外の誰もがスクリプトをフォルダやサブフォルダにドロップして、書き込むことができるようになります。Aurora Protect Desktop では、継続的にスクリプトに関するアラートを送信したりブロックしたりすることになります。書き込み権限は、直接の親フォルダだけでなく、あらゆるすべての親フォルダに適用されます。
  • 特定のスクリプトを除外する場合は、ワイルドカードを使用する必要があります。
プロセスの除外:
  • プロセス除外の実行可能ファイルは実行制御によって隔離され、実行がブロックされる可能性があります。実行可能ファイルが隔離される場合は、ファイルをポリシーセーフリストに追加する必要があります。
  • プロセス除外では、スクリプトの実行が許可され、指定したフォルダからの実行が制限されなくなります。

ファイル、スクリプト、プロセスの除外にワイルドカードを使用する方法については、以下の詳細を参照してください。

ファイル、スクリプト、プロセスの除外にワイルドカードを使用する

スクリプト制御の除外でワイルドカード(*)を使用する場合は、以下の点に注意してください。
  • スクリプト制御の除外のワイルドカードとしてサポートされているのはアスタリスク(*)のみです。ワイルドカードは 1 つ以上の文字を表します。
  • 除外では、Windows システムでも、/windows/system*/* などの UNIX 形式のスラッシュを使用する必要があります。
  • フォルダを除外するには、除外をファイルではなくフォルダとして区別するため、パスの最後にワイルドカードを使用する必要があります。例: /windows/system32/test*/*
  • ファイルを除外する場合は、フォルダではなくファイルとして除外を区別するため、除外はファイル拡張子で終了する必要があります。例: /windows/system32/script*.vbs
    • 各ワイルドカードは 1 つのフォルダレベルのみを表します。除外で表すフォルダのレベルは、除外しようとしているファイルのレベルと一致する必要があります。たとえば、/folder/*/script.vbs は \folder\test\script.vbs と一致しますが、\folder\test\001\script.vbs とは一致しません。この場合は、/folder/*/001/script.vbs または /folder/*/*/script.vbs のいずれかが必要です。
    • ワイルドカードは、スクリプトが存在するレベルごとに保持される必要があります。
    • 1 レベルに 2 つ以上のワイルドカードを使用することはできません。たとえば、/folder/*file*.ext は使用できません。
  • ワイルドカードによるプロセスの除外には、フォルダではなくプロセスの除外として区別するためにファイル拡張子が必要です。たとえば、/my*.exe(ローカルドライブ)、/directory/child/my*.exe(ローカルドライブ)、//my*.exe(ネットワークドライブ)、//directory/child/my*.exe(ネットワークドライブ)のようになります。
  • 除外範囲が広すぎる場合、ワイルドカードによってセキュリティが低下する可能性があります。たとえば /windows/temp など、フォルダ全体を除外しないでください。代わりに、除外するスクリプトの完全名またはファイル名の一部を指定し、ワイルドカードを使用します(例:/windows/temp/myscript*.vbs)。
  • 絶対パスは、スクリプト制御の除外ではサポートされていません。
  • 共通の相対パスを区別できる場合は、ワイルドカードで UNC(汎用名前付け規則)のパスを除外できます。たとえば、「DC01」から「DC24」などのパスでデバイス名を使用する場合は、次のようにします。/dc*/path/to/script/*
  • ネットワークパスは除外することができます。例://host*/application/*
  • 詳細な例については、スクリプト制御の除外の例を参照してください。