セキュアな設定検証

このセクションの情報および手順は、Endpoint Security VPN および Check Point Mobile for Windows リモート・アクセス・クライアントに関連します。

リモートクライアントのセキュリティ状態を確認する必要性

ネットワークとファイアウォールの管理者は、組織内のコンピュータを制御するために、さまざまなツールを使用することができます。例えば、ブラウザのJavaやActiveXコントロールなどの危険なコンポーネントを無効にし、Anti-Virusをインストールし、それらが正しく実行されていることを確認することです。

LANの外から組織にアクセスするリモートユーザに対しては、管理者が同じツールでコンピュータの制御を強制することはできない。例えば、リモートユーザがActiveXを有効にしていて、悪意のあるActiveXコントロールを含むWebサイトに接続し、そのユーザのコンピュータに感染させたとします。リモートユーザが組織内のLANに接続すると、LANも脆弱になる。

この攻撃は、ユーザのマシンへのアクセス制御の脆弱性を狙ったものではないため、適切に設定されたDesktop Security Policyでは、この種の攻撃を防御することはできません。その代わり、クライアント上のアプリケーションの脆弱な設定を利用します。

セキュアな構成検証ソリューション

SCV(Secure Configuration Verification)は、リモートアクセスクライアントコンピュータが企業のセキュリティポリシーに従って設定されていることを確認する機能です。SCVを使用します。

  • リモートクライアントの設定に関するレポートを取得します。

  • クライアントが組織のセキュリティポリシーを遵守していることを確認します。

  • 従わないクライアントからの接続をブロックします。

SCVは、Desktop Security Policyを置き換えるものではなく、Desktop Security Policyと連携するものです。

SCVは、クライアント上のDLL(plug-ins)であるSCVチェックを使用し、セキュリティ管理サーバで設定したポリシーに従って起動・実行されます。SCVチェックには、安全に設定されたクライアント・システムを定義する一連の条件が含まれる。チェック項目は、例えば、ユーザのブラウザの設定、デスクトップコンピュータにインストールされているアンチウィルスソフトウェアのバージョン、パーソナルファイアウォールポリシーの動作などである。これらのセキュリティチェックは、リモートアクセスクライアントによってあらかじめ設定された間隔で実行されます。SCV のチェック結果に基づいて、セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。はクライアントから LAN への接続を許可するか遮断するかを決定します。

チェック・ポイントの SCV ソリューションには、OS やユーザのブラウザに対する SCV チェック機能があらかじめ多数用意されているほか、アンチウイルス閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。頭字語:AV。・ソフトウェア・メーカーなどの OPSEC パートナーが自社製品に対して SCV チェック機能を追加することも可能です。

SCVのワークフローの概要

クライアントへの SCV プラグインのインストール

SCVのチェックは、クライアントの設定要素をチェックし、その結果を返す特別なDLLを通して行われます。SCVアプリケーションは、SCV DLLをシステムレジストリに登録します。

SCV を構成する最初のステップは、管理者が SCV のチェックを提供するアプリケーションをクライアントにインス トールすることです。これらのアプリケーションは、インストール時に自身をSCVプラグインとして登録し、SCV DLLのハッシュ値を書き込むことで改ざんを防止しています。

Security Management Server上のSCVポリシーの設定

SCV ポリシーは、SCV プラグインが提供するチェックに基づく一連のルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。または条件である。これらの条件は、各SCVチェックの要求結果を定義し、その結果に基づいて、クライアントを安全に設定されているか否かに分類します。例えば、ファイル共有アプリケーションを許可しないようにしたい管理者は、ファイル共有アプリケーションのプロセスが実行されていないことを確認するルールをSCVポリシーで定義します。

:この例で説明するSCVチェックは、Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。に含まれる事前定義されたSCVチェックのうちの1つです。このチェックは、特定のプロセスをテストするように設定する必要があります。

SCV ポリシーをクライアントにダウンロードする

クライアントがPolicy ServerからDesktop Policyをダウンロードするとき、同時にSCV Policyもダウンロードされる。

SCVポリシーの検証

SCV ポリシーをダウンロードした後、クライアントは SCV ポリシーで指定された SCV DLL のハッシュ値を計算し、その結果を DLL のインストール時に指定されたハッシュ値(クライアントへの SCV プラグインのインストールを参照)と比較することにより、DLL が改竄されていないことを確認します。

ランタイムSCVチェック

一定時間毎(デフォルトは15秒毎)に、SCV DLLを起動してSCVポリシーで指定されたSCVチェックを実行し、その結果をSCVポリシーと比較します。SCVポリシーは、安全に設定されていないクライアントにポップアップ通知を表示したり、セキュリティ管理サーバにログを送信するように設定することができます。

組織的なセキュリティポリシーのSCV対応化

クライアントがセキュアに設定されているかどうかを判断することができます。組織のすべてのクライアントが前のステップに従って構成されたら、管理者はクライアントの SCV ステータスに基づき Security Gateway で実行されるアクションを指定します。例えば、管理者は、セキュリティ設定されていないクライアントが社内LAN上の一部またはすべてのリソースにアクセスできないように指定し、クライアントのセキュリティ設定の不備に関連する危険から組織を保護することができます。

管理者は、リモートクライアントにSCVを強制するかどうかを選択することができます。SCVが実施された場合、ルールの下で安全に設定されたクライアントのみがアクセスを許可されます。SCVが実施されない場合、すべてのクライアントはルールの下でアクセスを許可されます。

簡易モードでは、グローバルに設定されます。従来のモードでは、ルールごとに個別に設定されます。

クライアントがセキュリティゲートウェイに接続すると、クライアントとセキュリティゲートウェイの間でIKEネゴシエーションが行われます。Security Gateway Security PolicyでSCVのチェックが必要な場合、Security Gatewayはクライアントが安全に設定されているかどうか(SCVでチェック)をチェックする間、接続を保持します。セキュリティゲートウェイがクライアントのSCVの状態を既に知っている場合(つまり、SCVの状態が過去5分以内に確認された場合)。

  • クライアントがセキュアに設定されている場合、セキュリティゲートウェイは接続を許可します。

  • クライアントが安全に設定されていない場合、セキュリティゲートウェイは接続を切断するか、または接続してログを記録します(この動作は設定可能です)。

セキュリティゲートウェイがクライアントの SCV 状態を知らない場合、SCV クエリを含む ICMP unreachable エラーメッセージをクライアントに送信することにより SCV チェックを開始します。クライアントはこのSCVクエリを受け取ると、自分のSCVの状態を判断しようとします。接続モードでは、クライアントもポリシーサーバに接続し、更新されたSCVポリシーをダウンロードします。並行して、クライアントは SCV の問い合わせを受けると、UDP ポート 18233 経由で SCV 状態の返信を 20 秒ごとに 5 分間、セキュリティゲートウェイに送信開始します。これらの応答はキープアライブメカニズムとして使用され、クライアントがSCVステータスを決定しようとしている間、セキュリティゲートウェイ状態表でユーザの接続を維持するために使用されます。また、Keep alive パケットが送信された 5 分間は、ユーザはそれ以上 SCV クエリーを行うことなく、後続の接続を開くことができます。クライアントは SCV の状態を判断すると、その状態を含む SCV 応答を UDP ポート 18233 を介してセキュリティゲートウェイに返送します。セキュリティゲートウェイはユーザの SCV 状態を受信すると、ユーザの接続をどのように処理 するかを決定します。

SCVチェック

チェック・ポイント SCVチェック

デフォルトのSCVチェック(プラグイン)は、Endpoint Security VPNおよびCheck Point Mobile for Windowsのインストールに含まれています。

  • OS Monitor - オペレーティングシステムのバージョン、サービスパック、スクリーンセーバーの設定(起動時間、パスワード保護、etc...)を確認します。

  • HotFix Monitor - オペレーティングシステムのセキュリティパッチがインストールされているか、またはインストールされていないかを確認します。

  • Group Monitor - ユーザがオペレーティングシステムにログインし、指定されたドメインユーザグループのメンバであることを確認します。

  • Process Monitor - クライアントマシン上でプロセスが実行されているか、または実行されていないかを確認します(例えば、ファイル共有アプリケーションが実行されていないか、またはアンチウイルスが実行されているかなど)。

  • Browser Monitor - Internet Explorerのバージョンと、JavaやActiveXのオプションなどの構成設定を確認します。

  • Registry Monitor - システムレジストリのキーと値、およびその内容を確認します。

  • Anti-Virus Monitor - アンチウィルスが動作していることを確認し、そのバージョンをチェックします。対応した。ノートン、トレンドオフィススキャン、マカフィーの3社。

  • SCVMonitor - SCV 製品のバージョン、特にクライアントのマシンにインストールされている SCV DLL のバージョンを確認します。

  • HWMonitor - CPUのタイプ、ファミリ、モデルを確認します。

  • ScriptRun - クライアントマシン上で指定された実行ファイルを実行し、実行ファイルのリターンコードを確認します。例えば、あるスクリプトは、あるファイルがクライアントマシンに存在するかどうかをチェックすることができます。選択した追加の設定チェックを実行することができます。

  • Windows Security Monitor - Window Security Centerによってモニタされるコンポーネントがインストールされ、実行されていることを確認します(たとえば、Anti-Virusがインストールされ、実行されているかどうかを確認します)。どのコンポーネントをチェックするかを定義することができます。

サードパーティSCVチェック

SCVチェックは、チェック・ポイントの OPSEC SCV SDK を使用してサードパーティ・ベンダが作成することができます。

スクリプトの追加要素

  • SCVpolicy - SSCVはユーザのデスクトップ上で実行されるSCVNamesで定義されたものをチェックアウトします(SCVNames」セクション参照)。

  • SCVGlobalParams - SCV の一般的なパラメータを定義します。

ネットワーク管理者は、特定のSCVチェックのセット(例えば、ユーザのクライアントがセキュリティ・ポリシーを実行しているかどうかだけをチェックする)または必要なだけのSCVチェック(例えば、上記のSCVチェックのすべて)を簡単に有効にすることができます。SCVのチェックはSCV Dynamic Link Librariesが独自に行い、クライアントは15秒ごとにSCVプラグインを通じてその状態を確認し、ユーザが安全に設定されているかどうかを判断しています。1つ以上のテストに失敗した場合、クライアントはセキュアに設定されていないとみなされます。

:特定のSCVチェックを実施するには、SCVNamesセクションでチェックのパラメータを設定し、SCVPolicyにチェックの名前を含めます。

SCVに関する考察

以下のセクションでは、SCV を構成する前に知っておくべき重要な事柄について説明します。

SCVポリシーの策定

Security Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。 上のファイル$FWDIR/conf/local.scv には、SCV のインストール時に提供されるチェックのための基本的な SCV ポリシーのサンプルが含まれています。このファイルを確認することで、どのSCVテストを実行するかを決定することができます。アンチウイルスやエンドポイントセキュリティのSCVチェックなど、OPSEC製品のその他のSCVチェックが必要な場合は、http://www.opsec.com をご覧ください。

ユーザ権限

SCVを効果的に実装するために、リモートユーザにデスクトップの管理者権限を与えないことを検討することをお勧めします。ユーザに管理者権限を与えると、システムの設定を変更することができ、SCVテストが失敗する原因となる。SCVチェックに失敗したデスクトップは、組織に対する潜在的なセキュリティ脅威となります。

例えば、管理者として、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにブラウザを設定することができます。通常のユーザは、これらのアプレットをダウンロードすることはできませんが、管理者権限を持つユーザは、ブラウザの設定を上書きすることができます。正しく定義されたSCVポリシーは、ブラウザの設定が変更されたことを示し、Security Gateway側で適切なアクションを起こすことができる。しかし、SCVポリシーの設定が間違っていたり、Security Gateway側でユーザのSCV状態を強制していなかったりして、Security GatewayがユーザのLANへの通過を許可してしまうと、そのユーザのデスクトップがLANのセキュリティリスクとなる可能性が出てくるのです。

SCVのポリシーそのものが守られている。ユーザは、管理者権限を持っていても、受け取ったSCVポリシー定義ファイルを変更することはできません。顧客に提供されるSCVのポリシーファイルは、顧客に到着する前に署名され、顧客によってその署名と照合されます。署名が一致しない場合、SCVチェックは失敗します。

SCVの設定

SCVの設定には、サーバでの設定、クライアントでの設定、SCVポリシーの設定が含まれます。

SCVの設定 - サーバ側

サーバ側でSCVを設定する場合。

  1. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。メニューから、Global Properties をクリックします。

  2. ナビゲーションツリーでRemote Access > Secure Configuration Verification (SCV)をクリックします。

  3. 設定を行います。

    • Apply Secure Configurations on Simplified Mode - 簡易ポリシーモードにおいて、すべてのリモートアクセス規則にSCVを適用するかどうかを指定します。

    • Upon Verification failure - クライアントが1つ以上のSCVチェックに失敗した場合に実行されるアクションを指定します。オプションは、クライアントの接続をBlock 、またはAccept 、イベントに関するログを送信することです。

    • Basic configuration verification on client's machine - リモートアクセスクライアントがSCVチェックを行い、クライアントのデスクトップ上のすべてのネットワークインタフェースカードにポリシーがインストールされているかどうか、また、これらのインタフェースにTCP/IPプロトコルのみがインストールされているかどうかを確認するかどうかを指定します。

    • Configurations Violation Notification on client's machine - リモートユーザがSCVによって確認されなかったことを示すログレコードをセキュリティ管理サーバマシンに保存するかどうかを指定します(これは、ユーザのデスクトップの特定のSCVチェックが失敗したことを指定しない、一般的な表示です)。

  4. OK をクリックし、変更内容を公開します。

クライアント側の設定

  1. OPSEC SCV アプリケーションを使用する場合は、クライアントにアプリケーションをインストールし、アプリケーションの SCV との統合を有効にします(この方法については、アプリケーションのドキュメントを参照してください)。

  2. クライアントを起動し、SCV ポリシーを受信するために Security Gateway に接続します。

SCV ポリシー構文

SCV ポリシーは、管理者がテキストファイル$FWDIR/conf/local.scv で設定します。このファイルは、管理者がテキストエディターを使って手動で編集することも可能です。local.scv ファイルはポリシーファイルであり、セット、サブセット、エクスプレッションが含まれています。

- 一般に、あらかじめ定義されたチェック(local.scv ファイルの SCVNames セクション内)をテンプレートとして使用し、SCV ポリシーセクションに変更したチェックをリストすることで、新しい SCV サブセットを記述することなく使用できます。

セットとサブセット

それぞれのセットには、あらかじめ決められた目的があります。例えば、あるセットを使って特定のパラメータを定義したり、別のセットで特定のイベントで行われるべきアクションを指定したりすることができる。セットは、名前と階層によって再帰的に区別されます。各集合は部分集合を持つことができ、各部分集合はそれ自身の部分集合を持つことができるなど、様々な工夫がされています。サブセットには、論理式を含めることもできる。複数のサブセット/条件を持つセットとサブセットは、左右の括弧()で区切られ、セット/サブセット名で始まる。同じ階層を持つサブセット/式の区別は、コロン: を使って行います。例:

(SetName
    :SubSetName1 (
        :ExpressionName1_1 (5)
        :ExpressionName1_2 (false)
    )
    :SubSetName2 (
        :ExpressionName2_1 (true)
        :SubSetName2_1 (
            :ExpressionName2_1_1 (10)
        )
   )
)

上記の例では、SetName という名前の集合は、SubSetName1SubSetName2 という2つの部分集合を持っています。

  • SubSetName1 には、2つの条件(ExpressionName1_1ExpressionName1_2 )があります。

  • SubSetName2 は、1つの条件(ExpressionName2_1) )と1つの部分集合(SubSetName2_1)を含んでいます。

  • SubSetName2_1 にも1つの条件があります。(ExpressionName2_1_1)。

エクスプレッション

式の評価は、式の値をチェックし(SCVチェックに相当)、式に対して定義された値(括弧内の値)と比較することで行われる。例えば、クライアントに付属するブラウザモニタのSCVチェックでは、以下のような式を指定することができます。

:browser_major_version (5)

この式は、クライアントにインストールされているInternet Explorerブラウザのバージョンが5.xであるかどうかをチェックします。(メジャー)バージョンが5の場合、この式は真と評価され、そうでない場合は偽と評価される。式の名前(例:"browser_major_version")はSCVアプリケーションによって決定され、製造元から提供される。

複数の式が次々に現れる場合、それらは論理的にANDされ、すべての式が真と評価された場合のみ、それらの式をすべて合わせた値が真となることを意味します。そうでない場合(1つでも偽の表現がある場合)、すべての値が偽となる。例:

:browser_major_version (5)

:browser_minor_version (0)

これらの式はANDされます。Internet Explorerのバージョンが5で、かつマイナーバージョンが0(つまりバージョン5.0)の場合、結果は真、それ以外の場合は偽となります。Internet Explorerのバージョンが例えば4.0であれば、最初の式は偽、2番目の式は真となり、両者の結果は偽となる。

時には、ある表現が他の表現の評価方法に影響を与えることもあります。例:

:browser_major_version (5)

:browser_minor_version (0)

:browser_version_operand (">=")

これらの式はANDされるが、3番目の式は1番目と2番目の式の評価方法に影響を与える。上記の例では、Internet Explorerのバージョンが(">=") 5.0以上であれば結果はtrueとなり、そうでなければfalseとなります。Internet Explorerのバージョンが例えば4.5であれば結果はfalse、5.1以上であれば結果はtrueとなります。

ロジカルセクション

先に述べたように、後続の式は自動的にAND処理される。しかし、論理ANDではなく、式同士の論理ORを行う必要がある場合もある。これは、ラベルを使うことで実現します。

begin_or (orX) ラベル - このラベルは、いくつかの式を含むセクションを開始します。このセクションの終わりは、end (orX) ラベルで示されます(X は、異なるセクション OR セクションを区別する番号に置き換えてください)。このセクション内のすべての式は論理的にORされ、セクションの値が1つになる。例:

:begin_or(or1)

:browser_major_version (5)

:browser_major_version (6)

:end(or1)

Internet Explorerのバージョンが5または6であるかどうかを調べ、5または6であればtrue、そうでなければfalseを返します。

begin_and (andX) ラベル - このラベルはbegin_or (orX) ラベルと似ているが、中の式が評価され、論理的に「AND」される。このセクションの終わりは、end (andX) またはend (orX) ラベルで示される。先に述べたように、単純な後続の式は自動的に「AND」される。このラベルが存在する理由は、"OR "セクションの中に "AND "セクションを入れ子にできるようにするためである。例えば、管理者が古いブラウザは安全でない可能性のあるコンポーネントをあまり含んでいないので安全であり、新しいブラウザは最新のセキュリティパッチをすべて含んでいるので安全であると考える場合、管理者はこれらのSCVルールを設定することができます。

:begin_or (or1)

:begin_and (and1)

:browser_major_version (5)

:browser_minor_version (0)

:browser_version_operand (">=")

:end (and1)

:begin_and (and2)

:browser_major_version (3)

:browser_minor_version (0)

:browser_version_operand ("<=")

:end (and2)

:end (or1)

上記の例では、最初のANDセクションでIEのバージョン>= 5.0かどうかをチェックし、2番目の「AND」セクションでIEのバージョン<= 3.0かどうかをチェックし、それらが「OR」されます。この例全体は、IEのバージョンが5.0より大きい(または等しい)場合、または3.0より小さい(または等しい)場合にのみ真と評価されます。

特別な意味を持つ表現とラベル

特別な意味を持つ表現、ラベルがいくつかあります。

  • begin_admin (admin) - このラベルは、クライアントがサブセット内の以前の式でSCVを満たさないとみなされた場合(すなわち、サブセット内の以前の式がfalseを返した場合)にのみ実行されるいくつかのアクションを定義するセクションを開始します。このセクションの終わりは、end (admin) のラベルで表示されます。

  • send_log (type) - この式は、begin_admin (admin) - end (admin) セクションの一部として使用され、クライアントが SCV を満たしていないことを指定するログをセキュリティ管理サーバ(およびクライアントの診断ツール)に送信するかどうかを決定します。

    type は、送信するログの種類に置き換えてください。例えば、log/alert 。AlertはSecurity Management Serverにログを送信すること、logはリモートクライアントの診断ツールにログを送信することを意味します。

  • mismatchmessage ("Message") - この式は、begin_admin (admin) - end (admin) セクションの一部として使用され、リモートユーザのデスクトップに問題を示すポップアップメッセージを表示するよう指定します。逆カンマ(Message)の中の文章は、問題の原因となる可能性のある事柄と、クライアントが実行すべき行動について指示する意味のある文章に置き換える必要があります。

例:

:browser_major_version (5)

:browser_minor_version (0)

:browser_version_operand (">=")

:begin_admin (admin)

:send_log (alert)

:mismatchmessage ("The version of your Internet Explorer browser is old.

For security reasons, users with old browsers are not allowed to access

the local area network of the organization. Please upgrade your Internet

Explorer to version 5.0 or higher. If you require assistance in upgrading

or additional information on the subject, please contact your network

administrator.")

:end (admin)

この例では、ユーザのIEブラウザのバージョンが5.0より低い場合、Security Management Serverマシンにアラートが送信され、ユーザに対して問題点を示すポップアップメッセージが表示されます。

「local.scv」セット

local.scv ポリシーファイルには、SCVObjectというセットが1つ含まれています。

このセットは常に存在しなければならず、SCV チェックとパラメータを扱うすべてのサブセットを含んでいます。

SCVObjectはこれらのサブセットを持つ。

  • SCVNames - このセクションはメインの SCV ポリシー定義セクションであり、SCV のチェックとアクションがすべて定義されています。これはSCVポリシーの定義部分であり、実際に実行されるSCVチェックを決定するものではありません。このセクションでは、一連のテストを定義しています。後日、管理者はこれらのセットから、ユーザのデスクトップ上で実行したいものを選択します。

  • SCVPolicy - ここでは、SCVNames で定義された SCV 検査の中から、クライアントのマシンで実際に実行されるべき SCV 検査の名称を指定します。

  • SCVGlobalParams - このセクションはいくつかのグローバルな SCV パラメータを含んでいます。

SCVNames と SCVPolicy の相違点

  • "SCVNames" セクションでは、チェックのためのさまざまなパラメータを定義しています。

  • "SCVPolicy" の項目には、どのようなチェックが実施されるかが記載されています。

特定のSCVチェックを実施すること。

  • SCVNames" セクションで、チェックのパラメータを設定します。

  • "SCVPolicy"セクションにチェックの名称を記載します。

SCVNames」セクション

このセクションでは、管理者は SCV 製品の名前と異なるチェックを指定します。以下は、SCVNames の SCV チェックサブセットの一般的な定義である。

: (SCVCheckName1
    :type (plugin)
    :parameters (
        :Expression1 (value)
        :Expression2 (value)
        :begin_admin (admin)
        :send_log (alert)
        :mismatchmessage ("Failure Message")
        :end (admin)
    )
)

テストセクションは、SCVチェックの名前(SCVCheckName1)から始まります。SCVCheckName1 はテストの集合の名前を定義します。これは SCV アプリケーションで定義され、SCV 製造業者によって提供されるべきものである。type (plugin) 式は、SCV DLL プラグインによってテストが実行されることを指定します。parameters サブセットは、SCV のルールとアクションが定義される場所です。SCVチェックのサブセット(SCVCheckName1など)を定義する場合、type (plugin) 式とparameters サブセットを常に指定する必要があります。

SCVPolicy」セクション

このセクションでは、実施すべき SCV チェックの名前を定義する(名前は SCVNames で指定された SCV チェック名の一部である)。このセクションの一般的な構成は

:SCVPolicy (
    :(SCVCheckName1)
    :(SCVCheckName2)
)

SCVGlobalParams

SCVのグローバルパラメータを記載します。

:SCVGlobalParams (
    :disconnect_when_not_verified (false)
    :block_connections_on_unverified (false)
    :not_verified_script ("myscript.bat")
    :not_verified_script_run_show (true)
    :not_verified_script_run_admin (false)
    :not_verified_script_run_always (false)
    :allow_non_scv_clients (false)
)

共通属性

一般的に、管理者はSCVポリシーファイルに含まれる共通パラメータ(SCVチェック)のうち、ほんの数個を変更する必要があるかもしれません。

SCVチェック

パラメータ:

  • Type ("av_type")

    アンチウィルスの種類例えば、「Norton」、「VirusScan」、「OfficeScan」、「ZoneLabs」などがあります。

  • Signature (x)

    必要なウイルス定義ファイルの署名。署名の形式は、Anti-Virusの種類によって異なります。例えば、Norton Anti-Virus の場合、署名は「>=20031020」となります。(ノートンのAVシグネチャーのフォーマットは "yyyymmdd "です)。

    TrendMicro Officescanの場合、署名は"<650 "となる場合があります。

    マカフィーのウイルススキャンの場合、4.0.4291より大きいシグネチャ(">404291")を使用します。

    Zone Labsの場合、署名(">X.Y.Z")を使用します。ここで、X = Major Version、Y = Minor Version、Z = .dat署名ファイルのBuild Numberを指定します。

    AntiVirusMonitor は "begin_or" と "begin_and" 構文をサポートしていません (特別な意味を持つ表現とラベル参照してください)。

パラメータ:

  • browser_major_version (5)

    Internet Explorerのメジャーバージョン番号。このフィールドが local.scv ファイルに存在しないか、またはこの値が 0 の場合、IEのバージョンは "BrowserMonitor" のチェックの一部としてチェックされません。

  • browser_minor_version (0)

    Internet Explorerのマイナーバージョン番号。

  • browser_version_operand (">=")

    Internet Explorerのバージョン番号を確認するために使用する演算子です。

  • browser_version_mismatchmessage (「インターネットブラウザをアップグレードしてください」)。

    Internet Explorerのバージョンで設定が確認できない場合に表示されるメッセージ。

  • intranet_download_signed_activex (有効)

    ローカルイントラネット内から署名付きActiveXコントロールをダウンロードするためにIEが持つべき最大の許可レベル。

  • intranet_run_activex (有効)

    ローカルイントラネット内から署名されたActiveXコントロールを実行するためにIEが持つべき最大の許可レベルです。

  • intranet_download_files (有効)

    IEがローカルイントラネット内からファイルをダウンロードする際に持つべき最大の許可レベル。

  • intranet_java_permissions 低め

    ローカルイントラネットからJavaアプレットを実行するために、IEエクスプローラが持つべき最大のセキュリティレベル。

    (low)はセキュリティレベルの低さを意味します。

  • trusted_download_signed_activex (有効)

    信頼できるゾーンから署名されたActiveXコントロールをダウンロードするために、IEが持つべき最大の許可レベルです。

  • trusted_run_activex (有効)

    信頼できるゾーンから署名されたActiveXコントロールを実行するために、IEが持つべき最大の許可レベルです。

  • trusted_download_files (有効)

    信頼できるゾーンからファイルをダウンロードするためにIEが持つべき最大の許可レベル。

  • trusted_java_permissions (中)

    信頼できるゾーンからJavaアプレットを実行するために、IEが持つべき最大のセキュリティレベルです。

  • internet_download_signed_activex (無効)

    IEがインターネットから署名付きActiveXコントロールをダウンロードする際に持つべき最大許可レベル。

  • Internet_run_activex (無効)

    インターネットから署名されたActiveXコントロールを実行するためにIEが持つべき最大の許可レベル。

  • internet_download_files (無効)

    インターネットからファイルをダウンロードする際に、IEが持つべき最大の許可レベル。

  • internet_java_permissions (無効)

    インターネットからJavaアプレットを実行するためにIEが持つべき最大のセキュリティレベル。

  • restricted_download_signed_activex (無効)

    制限区域から署名付きActiveXコントロールをダウンロードするためにIEが持つべき最大の許可レベルです。

  • restricted_run_activex (無効)

    署名されたActiveXコントロールを制限されたゾーンから実行するためにIEが持つべき最大の許可レベルです。

  • restricted_download_files (無効)

    制限されたゾーンからファイルをダウンロードするためにIEが持つべき最大の許可レベル。

  • restricted_java_permissions (無効)

    制限区域からJavaアプレットを実行するために、IEが持つべき最大のセキュリティレベル。

  • send_log (タイプ)

    クライアントがSCVを満たさないことを指定した場合に、Security Management Serverへログを送信するかどうかを決定します。

    この SCV 検査は、"begin admin/end admin" パラメータセクションをサポートしません。

    (タイプ)セクションは、(ログ)または(アラート)に置き換える必要があります。

  • internet_options_mismach_message (「お使いのインターネットブラウザの設定は、ポリシーの要件を満たしていません」)

    Internet Explorerの設定に不一致のメッセージが表示される。

BrowserMonitor は、Internet Explorerのバージョンのみ、または特定のゾーンのブラウザの設定のみをチェックするように設定することができます。

例えば、以下のパラメータが一つも表示されない場合。

  • restricted_download_signed_activex

  • restricted_run_activex

  • restricted_download_files

  • restricted_java_permissions

の場合、BrowserMonitor は制限されたゾーンのセキュリティ設定を確認しません。同様に、パラメータ "browser_major_version "が出現しないか、ゼロに等しい場合、IEのバージョン番号はチェックされない。

BrowserMonitor は、"begin_or" と "begin_and" の構文をサポートしておらず、admin パラメータもサポートしていません (「特別な意味を持つ表現とラベル」を参照してください)。

Internet ExplorerのService Packを確認するスクリプトは、下記の「Script for Internet Explorer Service Pack」をご覧ください。

パラメータ:

  • "builtin\administrator" (false)

    ユーザグループの名前です。マシンの設定を確認するためには、ユーザがこのグループに属している必要があります。

  • securely_configured_no_active_user (true)

    ユーザがログオンしていないときに、マシンの設定を検証済みとみなすかどうかを指定します。デフォルト値は100です。

パラメータ:

  • HotFix_Number (true)

    確認するHotfixの番号です。マシンを検証するためには、例えば、Hotfixをインストールする必要があります。"823980(true) "は、MicrosoftのRPCパッチがオペレーティングシステムにインストールされていることを確認します。

  • HotFix_Name (true)

    チェックするシステムのHotFixのフルネーム。マシンを検証するためには、例えば、HotFixをインストールする必要があります。"KB823980(true) "は、マイクロソフトのRPCパッチがオペレーティングシステムにインストールされていることを確認します。

HotFixMonitor 、local.scv ファイルに記載されているすべてのフィールドを表示する必要があるわけではありません。中には全く登場しないものや、複数回登場するものもあります。これらのフィールドは、ORおよびANDされることもある。このように、複数のHotfixをチェックし、結果をORまたはANDすることで、より柔軟に対応することができます。

パラメータ:

  • cputype ("GenuineIntel")

    ベンダID文字列に記述されたCPUの種類。文字列の長さはちょうど12文字でなければならない。

    例:「GenuineIntel」、「AuthenticAMD」、「aaa bbb ccc」(スペースは1文字としてカウントされます)。

  • cpufamily (6)

    CPUファミリーのことです。

  • cpumodel (9)

    CPUのモデルです。

HWMonitor は "begin_or" と "begin_and" の構文をサポートしていません (特別な意味を持つ表現とラベル参照してください)。

パラメータ:

  • enforce_screen_saver_minutes_to_activate (3)

    スクリーンセーバーが起動するまでの時間(分)。この時間内にスクリーンセーバーが起動しない場合、クライアントは検証済みとみなされません。また、スクリーンセーバーはパスワードで保護されている必要があります。

  • screen_saver_mismatchmessage (スクリーンセーバーの設定がポリシーの要件を満たしていません。)

    スクリーンセーバーチェックの不一致メッセージ。プロパティ "enforce_screen_saver_minutes_to_activate "が表示されていない場合、または時間がゼロに設定されている場合は、スクリーンセーバーのチェックは行われません。

  • send_log (タイプ)

    クライアントがSCVを満たさないことを指定した場合に、Security Management Serverにログを送信するかどうかを決定します。

    この SCV 検査は、"begin admin/end admin" パラメータセクションをサポートしません。

    (タイプ)セクションは、(ログ)または(アラート)に置き換える必要があります。

  • major_os_version_number_9x (4)

    検証対象となる9x系OSに必要なメジャーバージョンを指定します。

  • minor_os_version_number_9x (10)

    検証対象の9x系OSに必要なマイナーバージョンを指定します。

  • os_version_operand_9x (">=")

    9xでOSのバージョンを確認するためのオペレータ。

  • service_pack_major_version_number_9x (0)

    検証対象の9x OSに必要なメジャーサービスパックのバージョンを指定します。

  • service_pack_minor_version_number_9x (0)

    検証対象の9xオペレーティングシステムに必要なマイナーサービスパックのバージョンを指定します。

  • service_pack_version_operand_9x (">=")

    9xでOSのサービスパックを確認するためのオペレーター。

  • major_os_version_number_nt (4)

    検証対象となるWindows NTオペレーティングシステムに必要なメジャーバージョンを指定します。

  • minor_os_version_number_nt (10)

    検証対象となるWindows NTオペレーティングシステムに必要なマイナーバージョンを指定します。

  • os_version_operand_nt (">=")

    Windows NTでOSのバージョンを確認するためのオペレータです。

  • service_pack_major_version_number_nt (0)

    検証対象のWindows NTオペレーティングシステムに必要なメジャーサービスパックのバージョン

  • service_pack_minor_version_number_nt (0)

    検証対象のWindows NTオペレーティングシステムに必要なマイナーサービスパックバージョン

  • service_pack_version_operand_nt (">=")

    Windows NTでOSのサービスパックを確認するためのオペレーター

  • major_os_version_number_2k (4)

    検証対象となるWindows 2000オペレーティングシステムに必要なメジャーバージョンを指定します。

  • minor_os_version_number_2k (10)

    検証対象のWindows 2000オペレーティングシステムに必要なマイナーバージョンを指定します。

  • os_version_operand_2k (">=")

    Windows 2000でOSのバージョンを確認するためのオペレーター

  • service_pack_major_version_number_2k (0)

    検証対象のWindows 2000オペレーティングシステムに必要なメジャーサービスパックのバージョンを指定します。

  • service_pack_minor_version_number_2k (0)

    検証対象のWindows 2000オペレーティングシステムに必要なマイナーサービスパックバージョンを指定します。

  • service_pack_version_operand_2k (">=")

    Windows 2000でOSのサービスパックを確認するためのオペレータ

  • major_os_version_number_xp (4)

    検証対象のWindows XPオペレーティングシステムに必要なメジャーバージョンを指定します。

  • minor_os_version_number_xp (10)

    検証対象のWindows XPオペレーティングシステムに必要なマイナーバージョンを指定します。

  • os_version_operand_xp (">=")

    Windows XPでOSのサービスパックを確認するためのオペレーター

  • service_pack_major_version_number_xp (0)

    検証対象のWindows XPオペレーティングシステムに必要なメジャーサービスパックのバージョンを指定します。

  • service_pack_minor_version_number_xp (0)

    検証対象のWindows XPオペレーティングシステムに必要なマイナーサービスパックバージョンを指定します。

  • service_pack_version_operand_xp (">=")

    Windows XPでOSのサービスパックを確認するためのオペレーターです。

  • os_version_mismatches (「オペレーティングシステムをアップグレードしてください」)

    オペレーティングシステムのバージョン/サービスパックの設定が確認されていない場合に表示されるメッセージです。オペレーティングシステムのバージョンとサービスパックは、scvファイルにパラメータが表示されない場合はチェックされません。

  • :major_os_version_number_2003 (5)

    検証対象となるWindows 2003オペレーティングシステムに必要なメジャーバージョンを指定します。

  • :minor_os_version_number_2003 (2)

    検証対象となるWindows 2003オペレーティングシステムに必要なマイナーバージョンを指定します。

  • :os_version_operand_2003 ("==")

    Windows 2003でOSのサービスパックを確認するためのオペレーター

  • :service_pack_major_version_number_2003 (0)

    検証対象のWindows 2003オペレーティングシステムに必要なメジャーサービスパックのバージョンを指定します。

  • :service_pack_minor_version_number_2003 (0)

    検証対象のWindows 2003オペレーティングシステムに必要なマイナーサービスパックバージョンを指定します。

  • :service_pack_version_operand_2003 (">=")

    Windows 2003でOSのサービスパックを確認するためのオペレーター

OsMonitor は、スクリーンセーバーの設定のみ、またはオペレーティングシステムのバージョンとサービスパックのみをチェックするように設定することができます。例えば、以下のパラメータが一つも表示されない場合。

  • major_os_version_number_xp

  • minor_os_version_number_xp

  • os_version_operand_xp

  • service_pack_major_version_number_xp

  • service_pack_minor_version_number_xp

  • service_pack_version_operand_xp

の場合、OsMonitor は、Windows XP プラットフォームのシステムのバージョンとサービスパックをチェックしません。

同様に、パラメータ "enforce_screen_saver_minutes_to_activate" が表示されない場合は、スクリーンセーバーの設定にチェックが入っていないことになります。

OSMonitor は "begin_or" と "begin_and" の構文をサポートしていません (特別な意味を持つ表現とラベル参照してください)。

パラメータ:

  • ProcessName.exe (true)

    管理者が確認したい処理。値がtrueの場合、マシンの検証のためにプロセスを実行する必要がある。値が false の場合、検証対象のマシンのプロセスは実行されていないはずである。

ProcessMonitor は、複数のプロセスの存在/排除を確認するためにも使用できます。フィールドは柔軟にANDまたはORすることができる。

パラメータ:

  • PredefinedKeys (HIVE)

    レジストリハイブを以下のいずれかの選択肢から指定します。

    • HKEY_CURRENT_USER

    • HKEY_LOCAL_MACHINE

    • HKEY_USERS

    いずれかのハイブが指定されていない場合は、HKEY_LOCAL_MACHINE

HKEY_CLASSES_ROOT のチェックを設定するには、HKEY_LOCAL_MACHINE\Software\Classes and HKEY_CURRENT_USER\Software\Classes を使用します。

  • value (registry_value_path)

    レジストリDWORD 、定義済みのキーで指定されたハイブの下のパスをチェックします。値は、演算子の後に数値を続ける。 "Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.\PatternVer>=414"

    value パラメータの構文は以下の通りです。

    :value ("pathOPval")

    例:

    :value ("Software\...\PaternVer>=414")

  • string(registry_string_path)

    定義済みのキーで指定されたハイブの下にあるレジストリ文字列のパスがチェックされます。DWORDの比較と同じように、文字列の値と与えられた値を比較します。

  • keyexist (registry_key_path)

    レジストリキーが存在するかどうかを確認するためのパスで、定義済みのキーで指定されたハイブの下はチェックされます。マシンを検証する場合は、キーが存在する必要があります。

  • keynexist (registry_key_path)

    定義済みキーで指定されたハイブの下で、除外チェックするレジストリキーのパスがチェックされます。マシンが検証されるためには、キーが存在しないことが必要です。

  • allow_no_user (デフォルト: true)

    このパラメータは、ユーザがマシンにログインしているときのみ有効です。

    SC サービスと SCV の検査はユーザがログオンしていない時にも実行されるため、検査が成功したか失敗したかを判断する必要があります。

    ユーザがマシンにログオンしておらず、実行中の RegMonitor チェックが HKEY_CURRENT_USER をモニタするように設定されている場合、フラグ allow_no_user に従った動作となります。

    allow_no_userがtrueの場合、チェックはPASSになります。

    allow_no_userがfalseの場合、チェックはFAILとなります。

    この属性は、デフォルトではlocal.scvファイルに含まれない。もし、その属性がファイル内に存在しない場合は、使用されるデフォルトの設定も真となる。

    この属性の設定は、local.scvで行います。例:

: (RegMonitor
                                         :type (plugin)
                            
                                         :parameters (
                            
                                                 :keyexist ("HKEY_CURRENT_USER\Software\CheckPoint")
                            
                                                 :allow_no_user (true)
                            
                                                 :begin_admin (admin)
                            
                                                         :send_log (alert)
                            
                                                         :mismatchmessage ("mismatch message ")
                            
                                                 :end (admin)
                            
                                         )
                            
                                 )

RegMonitor 、local.scv ファイルに記載されているすべてのフィールドを表示する必要があるわけではありません。中には全く登場しないものや、複数回登場するものもあります。これらのフィールドは、ORおよびANDされることもある。このように、複数のレジストリエントリをチェックし、その結果をORまたはANDすることで、より柔軟に対応することができます。

SCV ポリシーで RegMonitor を使用する場合、これらの論理比較演算子を使用することができます。その他の論理演算はサポートしていません。

論理演算子

意味

=

イコール

!=

イコールではない

>

より大きい

<

次の件数未満

>=

以上

<=

以下

Internet Explorer Service Pack対応スクリプト

RegMonitor は、Internet Explorerのバージョンとサービスパックをチェックするように設定することができます。スクリプトは次のようになります。

: (RegMonitor
    :type (plugin)
    :parameters (
        :begin_or (or1)
        :keynexist ("Software\Microsoft\Internet Explorer")
        :string ("Software\Microsoft\Internet
Explorer\Version>=6")
        :begin_and (and1)
        :string
("Software\Microsoft\Internet Explorer\Version>=5.5")
        :string ("Software\Microsoft\Windows\CurrentVersion\Internet
Settings\MinorVersion>=SP2")
        :string ("Software\Microsoft\Windows\CurrentVersion\Internet Settings\MinorVersion<=SP9")
        :end_and (and1)
        :begin_and (and2)
        :string ("Software\Microsoft\Internet Explorer\Version>=5.5")
        :string ("Software\Microsoft\Windows\CurrentVersion\Internet Settings\MinorVersion>=;SP2")
        :string ("Software\Microsoft\Windows\CurrentVersion\Internet Settings\MinorVersion<=;SP9")
        :end_and (and2)
        :end_or (or1)
        :begin_admin (admin)
        :send_log (alert)
        :mismatchmessage ("Your IE must be at least
version 5.5 with SP2.")
        :end (admin)
    )
)

パラメータ:

  • scv_version(">=541000076")

    SCV 製品のビルド番号を表します。SCVのチェックを担当するDLLのバージョンです。この番号は、クライアントのビルド番号とは異なります。SCV製品は、クライアントを更新することなく、アップグレードが可能であり、場合によってはアップデートも可能です。

文字列は、演算子の後に "vvshhhbbb "というフォーマットでDLLのバージョン番号が続きます。例えば、DLLのバージョンを54.1.0.220以上にしたい場合は、次のような構文になります。

scv_version (">=541000220")

SCVMonitor"begin_or" と "begin_and" 構文をサポートしていません(特別な意味を持つ表現とラベル参照)。

パラメータ:

  • exe ("VerifyScript.bat")

    実行ファイルを実行します。実行ファイルの名前と、実行ファイルへのフルパスを入力します。

  • run_as_admin ("no")

    検証スクリプトを管理者権限で実行するかどうかを決定します。デフォルトは"no"です。他の値は "yes "のみである。

  • run_timeout (10)

    実行ファイルの終了を待つ時間(秒)。設定された時間内に実行ファイルが終了しない場合、処理は失敗とみなされ、マシンは「未検証」に分類される。デフォルト値は0であり、"no timeout "と同じである。

ScriptRun は "begin_or" と "begin_and" の構文をサポートしていません (特別な意味を持つ表現とラベル参照してください)。

パラメータ:

  • logged_on_to_policy_server 真偽

    SCVを満たすために、ユーザがPolicy Serverにログオンしている必要があるかどうかを指定します。

  • policy_refresh_rate ("168")

    デスクトップポリシーが有効である時間(時間単位)。168時間を経過すると、デスクトップポリシーは有効とみなされず、ユーザはもはやSCVを満たさない。本パラメータを指定しない場合、ポリシーの鮮度チェックは行われません。

  • mismatchmessage (「ここにメッセージをどうぞ」)

    user_policy_scvのチェックに失敗したときに表示されるメッセージです。

  • dont_enforce_while_connecting

    このパラメータが存在する場合、ユーザは Security Gateway に接続する際に SCV を満たします。ユーザがSCVを満たすのは、接続処理の間だけです。

パラメータ:

すべてのbooleanパラメータ(true またはfalse )については、値を引用符で囲む必要はありません。

  • disconnect_when_not_verified (true/false)

    true" の場合、DesktopがSCVを満たさない場合、リモートアクセスクライアントはサイトから切断されます。

  • block_connections_on_unverified (true/false)

    true" の場合、デスクトップがSCVを満たさない場合、リモートアクセスクライアントは開いているすべての接続を切断します。

    :このパラメータが真の場合、VPNサイトとの接続だけでなく、マシンへのすべての接続がブロックされます。

  • ip_forwarding_mismatchmessage ("Message string placed here")

    値は、ip転送が有効な場合に表示される文字列である。例:ip_forwarding_mismatchmessage("どうぞ...など")

    これは、IP転送がSCVチェックの一部である場合、つまり、パラメータが「True」として定義されている場合にのみ関連します。

  • not_verified_script ("script_name.bat")

    DesktopがSCVを満たさない場合に実行される実行ファイル名。次の3つのパラメータは、実行ファイルの実行に関連するその他のオプションを提供します。

  • not_verified_script_run_show (true/false)

    true" の場合、実行ファイルの進行状況が画面上に表示されます。

  • not_verified_script_run_admin (true/false)

    true" の場合、実行ファイルは管理者権限で実行されます。

  • not_verified_script_run_always (true/false)

    true" の場合、DesktopがSCVを満たさないたびに実行ファイルが実行されます。false "の場合、リモートアクセスクライアントセッションごとに1回実行されます。

  • :allow_non_scv_clients (true/false)

    true" の場合、OSがSCVをサポートしていなくても、クライアントは検証済みの状態を実施するセキュリティゲートウェイに送信します。