エージェントセルフプロテクションを有効化または無効化する

Deep Securityエージェントセルフプロテクションは、ローカルユーザがエージェントを改ざんするのを防ぎます。有効にすると、ローカルユーザがエージェントを改ざんしようとした場合、「このアプリケーションの削除または変更はセキュリティ設定により禁止されています」というメッセージが表示されます。

エージェントセルフプロテクションはWindowsとLinuxでサポートされています。後者はDeep Security Agentバージョン20.0.0-5953以降が必要です。

Deep Security Agentまたは Relayをアップデートまたはアンインストールする場合、またはコマンドラインからサポート対象の診断パッケージを作成しようとしているローカルユーザの場合診断パッケージとログを作成する、に従ってエージェントの自己保護を一時的に無効にする必要があります。

Windowsでは、不正プログラム対策を有効にして、ローカルユーザがエージェントを停止したり、エージェント関連のファイルやWindowsレジストリエントリを変更したりするのを防ぐ必要があります。Linuxでは、次のいずれかを有効にする必要があります: 不正プログラム対策、アプリケーションコントロール、リアルタイムでの変更監視。エージェントのアンインストールを防ぐために自己保護は必要ありません。

Deep Securityエージェントを停止する前に、問題を回避しスムーズな操作を確保するために、基本的に不正な変更に対する保護機能である自己保護を無効にする必要があります。

エージェントの自己保護は、 Deep Security Manager、またはエージェントのコンピュータ上のコマンドラインを使用して設定できます。

Deep Security Managerを介してセルフプロテクションを設定する

  1. Agentセルフプロテクションを有効にするコンピュータまたはポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
  2. [設定]→[一般] を選択します。
  3. エージェントセルフプロテクションセクションで、はいを選択して、ローカルユーザがエージェントをアンインストール、停止、またはその他の変更をするのを防ぎます。
  4. ローカルオーバーライドにはパスワードが必要の場合、はいを選択し、認証パスワードを入力します。認証パスワードは、dsa_controlコマンドの不正使用を防ぐために強く推奨されます。パスワードを指定した後、エージェントでコマンドを実行するたびに、dsa_controlコマンドを-pまたは--passwd=オプションで使用して入力する必要があります。パスワードは32文字を超えることはできません。この長さを超えると、パスワードは自動的に切り捨てられます。
  5. [保存] をクリックします。
  6. 自己防御を無効にするには、いいえを選択し、保存をクリックします。

コマンドラインを使用して自己保護を設定する

コマンドラインを使用して自己保護を有効または無効にすることができますが、1つの制限があります: 認証パスワードを指定することはできません。そのためにはDeep Security Managerを使用する必要があります (Deep Security Managerを介してセルフプロテクションを設定するを参照してください)。

Windowsでコマンドラインを使用する

  1. Windows Agentにローカルでログインします。
  2. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  3. 現在のディレクトリをDeep Security Agentのインストールフォルダに変更します。初期設定のインストールフォルダは次のとおりです:

    cd C:\Program Files\Trend Micro\Deep Security Agent

  4. 次のいずれかのコマンドを入力します。

    Agentセルフプロテクションを有効にするには、次のコマンドを入力します。

    dsa_control --selfprotect=1

    Agentセルフプロテクションを無効にするには、次のコマンドを入力します。

    dsa_control --selfprotect=0 -p <password>-p <password>の部分には、Deep Security Managerで事前に指定した認証パスワードを入力します。詳細については、「Deep Security Managerを介してセルフプロテクションを設定する」を参照してください。

Linuxでコマンドラインを使用する

  1. 管理者としてコマンドプロンプトを開きます。
  2. 現在のディレクトリをDeep Security Agentのインストールフォルダに変更します。以下はデフォルトのインストールフォルダを示しています。

    cd /opt/ds_agent

  3. 次のコマンドのいずれかを入力してください:

    エージェントセルフプロテクションを有効にするには、次を入力してください:

    dsa_control --selfprotect=1

    エージェントセルフプロテクションを無効にするには、次を入力してください:

    dsa_control --selfprotect=0 -p <password>-p <password> は認証パスワードです。以前にDeep Security Managerで指定されている場合に適用されます。詳細については、Deep Security Managerを介してセルフプロテクションを設定するを参照してください。パスワードは32文字を超えることはできません。この長さを超えると、パスワードは自動的に切り詰められます。

Linuxの制限事項

  • システムがシャットダウンまたは再起動しているときにエージェントサービスを停止しないでください。サービスを停止すると、再起動後に正常に動作しない可能性があります。

  • エージェントサービスのステータスが不一致になる可能性があります。コマンドstopを実行してエージェントサービスを停止しようとすると、結果は成功と返されますが、エージェントサービスは通常通り動作し続けます。

  • システム内のエージェントプロセスと同じ名前の実行中のプロセスがある場合、それは自己保護リストに追加されます。保護されたプロセスは改ざんから保護されます。

  • Out-Of-Memory (OOM) が発生したとき、エージェントサービスを終了することはできません。

  • Oracle 6 (32-bit) プラットフォームは自己保護をサポートしていません。

  • セキュアブートを有効にしていて自己保護が機能していない場合は、マシンのカーネルバージョンを確認してください。カーネルバージョンが5.4以下の場合は、5.4より新しいカーネルバージョンにアップグレードしてください。

トラブルシューティング

サービスのステータスを正常に戻すには、次の手順に従ってください。

  1. エージェントセルフプロテクションを停止します。

  2. エージェントサービスを再起動してください。

エージェントサービスが再起動すると、エージェントセルフプロテクションが再開されます。