スクリプト制御マクロの除外を新しいメモリ保護設定に移行(Windows のみ)

デバイスポリシーの[スクリプト制御]タブでマクロ除外を追加してある場合は、これらの除外を Aurora Protect Desktop for Windows 3.x の新しいメモリ保護設定に移行する必要があります。スクリプト制御の除外を手動で移行するには、デバイスポリシーの[スクリプト制御]タブで追加した除外を記録し、デバイスポリシーの[メモリアクション]タブで同じ除外を追加するだけです。

Arctic Wolf が提供する PowerShell スクリプトを使用して既存のスクリプト制御の除外を移行する場合は、次の手順を実行します。

注: 以下の手順は、Endpoint Defense コンソールを使用して管理されるテナントに適用されます。マルチテナントコンソールを使用してテナントを管理している場合は、KB 42221231386907 を参照してください。
  • PowerShell がコンピュータにインストールされていること、および PowerShell スクリプトが Aurora Protect Desktop などのセキュリティソフトウェアによってブロックされていないことを確認します。Aurora Protect Desktop がコンピュータにインストールされている場合は、デバイスに割り当てられているデバイスポリシーで、[スクリプト制御] > [PowerShell コンソールの使用をブロック]がオフになっていることを確認します。
  • Endpoint Defense コンソールで、API 権限を次のように指定して統合を追加し、結果のアプリケーション ID とシークレットを記録します。
    • ポリシー:読み取り、変更
    • ユーザー:読み込み
  • [設定] > [統合]で、テナント ID を記録します。
  • スクリプトを実行するときに、Endpoint Defense コンソール管理者アカウントのメールアドレスを指定します。使用するアカウントに、管理者ロールが割り当てられていることを確認します。
  • 除外をスクリプト制御からメモリ保護に移行するデバイスポリシーで、スクリプト制御が有効になっており、マクロの除外が存在することを確認します。
    • スクリプトでは、スクリプト制御が無効になっているポリシーや、スクリプト制御の除外がないポリシーは無視されます。
    • スクリプトは、マルチバイト文字を含む除外リストを移行しません。これらの除外は手動で追加する必要があります。
  • PowerShell スクリプトをダウンロードします。
  1. PowerShell コマンドプロンプトを開き、ディレクトリをスクリプトの場所に変更します。
  2. 次の表を参照し、適切なパラメーターを使用してスクリプトを実行します。
    • まずスクリプトを -dryRun モードで実行して、変更を行わずに移行をプレビューします。これにより生成される出力ファイルを使用して、問題があれば特定し、修正することができます。
    • テストに使用する予定のデバイスポリシーのスクリプトを実行します。3.x エージェントのテストと検証が完了した後で、スクリプトを使用して移行を実稼働デバイスポリシーに適用できます。

    パラメーター

    必須またはオプション

    説明

    -copySCExclusions

    必須

    このコマンドは、スクリプト制御設定から新しいメモリ保護設定へのマクロの除外の移行を実行します。

    -allPolicies

    または

    -policy ‘policy_name

    必須

    -allPolicies は、テナント内のすべてのデバイスポリシーの移行を実行します。

    -policy ‘policy_name>’' は、指定されたデバイスポリシーの移行を実行します。

    -dryRun

    オプション

    このコマンドは、変更を加えずにスクリプトの実行をプレビューします。このモードでスクリプトを実行すると、スクリプトが実行されたディレクトリ内に出力ファイルが作成されます。

    -tenantId ‘tenant_ID

    必須

    このコマンドは、Aurora Endpoint Security テナントの ID を指定します。

    -apiKey ‘application_ID

    必須

    このコマンドは、[設定] > [統合]で追加した統合のアプリケーション ID を指定します。

    -apiSecret ‘application_secret

    必須

    このコマンドは、[設定] > [統合]で追加した統合のアプリケーションシークレットを指定します。

    -userEmail ‘admin_email

    必須

    このコマンドは、移行の実行に使用する Endpoint Defense コンソール管理者アカウントのメールアドレスを指定します。アカウントには管理者ロールが必要です。

    -region ‘region_code

    必須
    このコマンドは、Aurora Endpoint Security テナントの地域を指定します。次のいずれかの値を使用します。
    • 北米:na(指定されていない場合のデフォルト値)
    • 日本: apne1
    • オーストラリア: au
    • ヨーロッパ: euc1
    • 南米: sae1
    • GovCloud: us

    -Ignore158xWarning

    オプション

    このコマンドは、メモリ保護の除外のサイズ制限に関連するエラーを移行プロセスに無視させます。サイズ制限は、以前のバージョンの Aurora Protect Desktop では 64KB でしたが、バージョン 3.x では 2MB に引き上げられています。

    注: このパラメーターは、ターゲットデバイスポリシーに関連付けられているすべてのデバイスがエージェント 3.x 以降を使用している場合にのみ使用してください。

    -ignore158xCompatibility

    オプション

    このコマンドは、Aurora Protect Desktop for Windows 2.1.1580 および 1584 固有の不具合に関連しています(KB 42221299286939 を参照してください)。不具合の修正(除外パスのワイルドカード値にアスタリスク(*)を追加してワイルドカードが**になるようにする)は、デフォルトでスクリプトに組み込まれています。このパラメーターを使用すると、スクリプトに組み込まれている修正が無効になります。

    注: ターゲットデバイスポリシーがエージェント 1578 以前のデバイスとエージェント 3.x 以降のデバイスに関連付けられている場合は、このパラメーターを使用します。ポリシーがエージェント 158x のデバイスに関連付けられている場合は、このパラメーターを使用しないでください。

    -includeExtensionsextensions

    オプション

    このコマンドは、メモリ保護設定に移行する拡張子を指定します(例:includeExtensions ps1, ja, xlxs)。

    このパラメーターを使用しない場合、すべての拡張子が移行されます。
注: スクリプトを -dryRun モードで実行すると、「Entering Modify 'ポリシー名' Policy... logError : The requested policy has not been converted to MemoryProtection v2」というエラーが出力ファイルで発生することがあります。これが発生するのは、デバイスポリシーがしばらく編集されていない場合です。この問題を解決するには、管理コンソールでポリシーを開いて保存します。

移行できなかったスクリプト制御の除外があった場合は、PowerShell の出力に示されます。これらの除外は、メモリ保護設定に手動で追加する必要があります。

例: スクリプトを -dryRun モードで実行します

CODE 
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -dryRun -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'

例: 特定のデバイスポリシーのスクリプトを実行します

CODE 
.\sc2memdef_copy.ps1 -copySCExclusions -policy 'userPolicy' -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'

例: すべてのデバイスポリシーのスクリプトを実行します

CODE 
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'
  • ターゲットデバイスポリシーの[メモリアクション]タブで、移行された除外を確認し、新しい危険な VBA マクロ違反タイプに適用されないものをすべて削除します。
  • 管理コンソールに追加した PowerShell 統合を削除します。