Trend Micro 脆弱性対策オプション TM 導入手順書 ( インストール ~ 仮想パッチの適用 ) トレンドマイクロ株式会社 2013 年 06 月作成 =================================================================== Copyright (c) 2013 Trend Micro Incorporated. All Rights Reserved. 本ドキュメントに関する著作権は トレンドマイクロ株式会社へ独占的に帰属します 本ドキュメントの作成にあたっては細心の注意を払っていますが 本ドキュメントの記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします 本ドキュメントおよびその記述内容は予告なしに変更されることがあります TRENDMICRO ウイルスバスターは トレンドマイクロ株式会社の登録商標です 本ドキュメントに記載されている各社の社名 製品名およびサービス名は 各社の商標または登録商標です ===================================================================
改訂履歴版数 発行日 改訂履歴 第 1 版 2012/03/07 初版発行 第 2 版 2013/06/26 脆弱性対策オプション 1.5 Service Pack 1 Patch 1 の公開に合わせ 内容を更新 はじめに 本資料の目的下記に記載する設定を行うことにより 自動的にお客様のクライアント PC のセキュリティ上の脆弱性を検知し 外部からの様々な脅威を防ぐことができます また 定常的な運用負荷を増やさずに導入することができます 導入前検証や実導入の際に利用する基本設定としてご利用ください 効果本資料を参照していただくことにより 以下の効果が見込まれます 導入前に検証すべき項目が把握できる 検証の詳細手順を理解できる 導入時に注意すべき事項について把握できる 実導入をスムーズに行えるようになる 対象読者 本ドキュメントは 以下の読者を対象としています パートナー企業のシステムエンジニア ( システムを実際に構築する方 ) 脆弱性対策オプションの利用を検討しているウイルスバスターコーポレートエディション の日々の運用を行う管理者の方 2
目次 1 脆弱性対策オプションサーバのインストール... 4 1-1. 事前準備... 4 1-2. サーバプラグインのインストール ( インターネット接続環境有り )... 8 1-3. サーバプラグインのインストール ( クローズド環境 )... 12 2 脆弱性対策オプションクライアントのインストール... 15 2-1. 事前準備 : 名前解決ができない場合... 15 2-2. サーバプラグインからクライアントプラグインをプッシュ配信する... 17 2-3. スタンドアロンパッケージでクライアントをインストールする... 17 3 システム設定... 20 3-1. セキュリティアップデート... 20 3-2. ログ保存期間の設定... 22 3-3. 通知設定... 23 3-3. 推奨設定のクリアの設定... 234 4. セキュリティプロファイルの作成... 255 4.1. セキュリティプロファイルの作成... 25 4.2. セキュリティプロファイルの適用... 27 5 推奨設定検索... 29 5.1 推奨設定検索の手動実行... 29 5.2 検索結果の確認... 29 5.3 検索時にクライアントに DPI ルールを自動的に適用する場合... 30 6. DPI ルール動作確認テスト... 32 7. レポート作成機能の確認... 333 3
1 脆弱性対策オプションサーバのインストール 本インストール作業は ウイルスバスターコーポレートエディション ( 以下 Corp.) サーバがインスト ールされているサーバ上で行ってください 1-1. 事前準備.NET Framework 2.0 SP2 のインストール脆弱性対策オプションサーバのインストールには.NET Framework2.0 SP2 が必要です 事前に Microsoft 社のホームページよりダウンロードしてください Corp. サーバが Windows Server 2012 上にインストールされている場合脆弱性対策オプションをインストールする前に SQL アップグレードツール を使用して脆弱性対策オプションが利用するデータベースを SQL Server 2008 R2 Express 版にアップグレードしてください インストール方法やツールのダウンロードなどの詳細は下記 URL を参照してください http://esupport.trendmicro.com/solution/ja-jp/1097614.aspx 脆弱性対策オプションで使用するポートの解放脆弱性対策オプションでは以下のポートを使用しますので 予め以下のポート番号をアクセス可能にします デフォルト設定の Windows ファイアウォールが有効になっている場合は管理コンソールにアクセスできないため 必ず設定を変更してください ポート 番号 プロト コル 接続元 接続先 プロキシ 使用可否 ポート 変更可否 用途 4118 TCP サーバプラグ イン クライアントプラグ イン サーバプラグインからクライアン トプラグインへの通信 4119 TCP Web ブラウザサーバプラグイン サーバプラグインへのリモートア クセス 4120 TCP クライアント プラグイン サーバプラグイン クライアントプラグインからサー バプラグインへの通信 514 UDP 25 TCP クライアントプラグインサーバプラグイン Syslog 機能 Syslog 指定の SMTP サーバ メールのアラート ランダム TCP サーバプラグ イン DNS サーバ ホスト名の DNS 検索 4
Corp. サーバとプラグインマネージャのインストール Corp.10.5 以前のバージョンをお使いの方は 以下の手順でプラグインマネージャをインストールして ください 10.6 では予めプラグインマネージャがインストールされていますので この作業は不要です (1) Corp. 管理サーバがインストールされている OS 上で Corp. サーバの管理コンソールにログオンし [ プラグインマネージャ ] をクリックします プラグインマネージャのインストーラを Corp. 管理サーバ上にダウンロードするため Corp. サーバ上で操作を行ってください (2) プラグインマネージャの画面で インストールのリンクをクリックします (3) 画面を下にスクロールし [ プラグインマネージャをダウンロード ] をクリックします 5
(4) setup.exe を任意の場所に保存します Corp. 管理サーバではなく別のマシンでダウンロードした場合は 保存した setup.exe を Corp. サーバに移動した後で次のステップに進んでください (5) ダウンロードした setup.exe を実行します Windows Server 2008 の場合は setup.exe を右クリックして [ 管理者として実行 ] を選択します 以下のようこそ画面が開きますので [ 次へ ] をクリックします (6) [ インストール ] をクリックします 6
(7) インストールを開始します (8) 完了の画面が表示されたら [ 終了 ] をクリックします 7
1-2. 脆弱性対策オプションサーバプラグインのインストール ( インターネット接続環境有り ) (1) Corp 管理コンソールにログオンし 左側のメニューから [ プラグインマネージャ ] をクリックします [ 脆弱性対策オプション ] の [ ダウンロード ] をクリックします 2013 年 6 月 26 日時点では 1.5.2335 が利用可能なバージョンとなります 下記スクリーンショットには一部古いバージョンの画面も含まれます (2) [OK] をクリックします (3) ダウンロードが開始されます 8
(4) ダウンロードが完了後 [ インストール ] をクリックします (5) 使用許諾契約書に同意します (6) インストールが開始されます 9
(7) 脆弱性対策オプションの [ プログラムの管理 ] をクリックします 注意 : 脆弱性対策オプションサーバプラグインを初めて実行する際に 証明書の警告が表示される場合があります これは サーバプラグインが Corp. サーバとは異なる Web サーバで実行されているためです この証明書に同意しても安全です 警告が表示されたら 証明書のインストール ボタンをクリックして 初期設定の場所にインストールします (8) アクティベーションコードを入力して保存します アクティベーションコードは EI-xxxx- で始まります 10
(9) 製品の登録が行われます (10) ライセンスの状態が [ アクティベーション完了 ] となっていることを確認し [ 起動 ] をク リックします (11) 画面下部の [ 続行 ] をクリックします 11
(12) ダッシュボードが表示されることを確認します 以上で脆弱性対策オプションサーバプラグインのインストールは終了です 1-3. 脆弱性対策オプションサーバプラグインのインストール ( クローズド環境 ) (1) インターネットに接続できる環境において 下記 トレンドマイクロホームページより 脆弱性対策オプションサーバプログラムをダウンロードし クローズド環境の Corp. サーバにコピーします http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=411 8&lang_loc=13 12
(2) コピーしたモジュールを解凍します (3) 適当な場所に IDF というフォルダを作成し 共有にします フォルダ名は任意です 本手順では例として C ドライブ直下に作成します 詳細は以下の URL をご参照ください http://esupport.trendmicro.co.jp/pages/jp-2080366.aspx (4) 上記 2 で解凍したモジュールを脆弱性対策オプションフォルダ内にコピーします フォルダ名が [IdfActiveUpdate] になっている場合 activeupdate にします 作業実施後 以下のようなフォルダ構成になります <C:\IDF\activeupdate\...> (5) Corp. サーバの Web 管理コンソールにログオンして [ アップデート ] [ サーバ ] [ アップデート元 ] の順に選択します (6) [ 現在のファイルのコピーを含むイントラネットの場所 ] を選択し 表示されたフィールドに \\< 自身の IP アドレス >\IDF\activeupdate と入力します ユーザ名とパスワードが必要な場合は入力し [ 保存 ] をクリックします例 : \\192.168.1.1\IDF\activeupdate (7) OS の [ スタート ] [ 管理ツール ] [ サービス ] を選択します (8) Corp. プラグインマネージャサービス (OfficeScan Plug-in Manager) を再起動して 変更 を反映します 13
(9) Corp. サーバの Web 管理コンソールに再度ログオンして [ プラグインマネージャ ] をクリ ックします (10) 以降は 1-2. と同じ手順で サーバプラグインをインストールします 14
2 脆弱性対策オプションクライアントのインストール 2-1. 事前準備 : 名前解決ができない場合初期設定では 脆弱性対策オプションサーバと脆弱性対策オプションクライアント間の通信に名前解決が必要となります 名前解決ができない環境の場合は 下記手順により サーバからクライアントへの通信を IP アドレスベースで行うように設定変更してください (1) 脆弱性対策オプションサーバ (Corp. サーバ ) 上で以下のサービスを停止します [Intrusion Defense Firewall] サービス [OfficeScan Plug-inManager] サービス (2) 以下のパスにある [dsm.properties] をテキストエディタで開きます <Program Files\Trend Micro\OfficeScan\Addon\Intrusion Defense Firewall\webclient\webapps\ROOT\WEB-INF> (3) テキストの最下部に以下のパラメータを追記し 上書き保存をします hsshostnameipdisplaynameclientname=true (4) 以下のサービスを上から順に開始します 1. [OfficeScan Plug-inManager] サービス 2. [Intrusion Defense Firewall] サービス 15
(5) [ ウイルスバスター Corp. との同期 ] で同期をすると クライアントの一覧が設定後は [IP アドレ 変更前 ス ] ( クライアント名 ) の表示に変更されます 変更後 (6) サーバとクライアント間の通信方向を変更します メニューより [ システム ]-[ システム設 定 ]-[ コンピュータ ] タブを開き 通信方向の項目で [ サーバプラグインによる開始 ] を選択し 保 存します 注意 :[ クライアントプラグインによる開始 ] または [ 双方向の通信 ] を使用する場合は サーバプラグインのホスト名が必ずローカル DNS 内にある必要があります 16
2-2. サーバプラグインからクライアントプラグインをプッシュ配信する 注意 : インストール中に クライアントのネットワークが一時切断されます (1) 該当のクライアントを選択し 右クリックで [ 処理 ]-[ クライアントプラグインの配信 ] を選択し ます (2) ステータスの状態が以下のように変わり 最終的には [ 管理対象 ] と表示されることを確認します 配信中 配信完了 2-3. スタンドアロンパッケージでクライアントをインストールする注意 : スタンドアロンパッケージによるインストール中に ネットワークが一時切断されますので インストール作業はローカル上で行ってください 17
注意 : スタンドアロンパッケージは Corp. クライアントが下記フォルダパスにインストールされているという前提で作成されています 下記と異なるインストールパスでインストールされている場合は スタンドアロンパッケージによるインストールはできません C:\Program Files\Trend Micro\OfficeScan Client. (1) インストールの前に 脆弱性対策オプション管理コンソールにログインし クライアントプラグインからプログラムの有効化が許可されているか確認します システム システム設定 コンピュータ [ リモート有効化 ] で [ クライアントプラグインが開始した有効化を許可 ] にチェック デフォルト値はオンです (2) 下記 トレンドマイクロホームページより スタンドアロンパッケージをダウンロードします (3) スタンドアロンパッケージの実行 18
脆弱性対策オプションクライアントをインストールする端末上で スタンドアロンパッケージ ( 脆弱性対策オプション client.exe) を実行します (4) インストールの確認 管理コンソール上で 対象のクライアントが管理対象になっていることを確認します インストールログが必要な場合は 以下の URL をご参照ください http://esupport.trendmicro.co.jp/pages/jp-2080427.aspx 19
3 システム設定 3-1. セキュリティアップデート 3-1. 手動アップデート (1) 脆弱性対策オプション管理コンソールの システム アップデート をクリックします セキュリティアップデートの ダウンロード ボタンをクリックし 最新のセキュリティアップデート (DPI ルールなど ) があるか トレンドマイクロの ActiveUpdate サーバに問い合わせます (2) アップデートの確認 (3) セキュリティアップデートの適用 セキュリティアップデートの表示 をクリックすると下記のような画面が表示されます 20
適用したいアップデート ( 適用済みにチェックが入っていないもの ) を選択します すぐに適用する場合は 右クリック 適用 を選択します アップデート内容を確認したい場合は 右クリック 表示 を選択します 下記画面の 適用 をクリックし セキュリティアップデートを適用することも可能です 21
3-2. ログ保存期間の設定 3-1. 初期設定では システムイベントログを 12 週 (4 か月 ) 保存する設定になっているため ログサイズが膨大になる可能性があります 特に同梱されている SQL Express をご利用の場合は サイズ上限が 4GB (SQL アップグレートツールにて SQL Server 2008 R2 Express を利用時は 10GB) となっていますので 下記画面よりログの保存日数を減らしてください ( 例 :12 週 4 週 ) 22
3-3. 通知設定 イベント発生によるアラートの通知や システムイベント通知を送る設定をします MIB ファイル (DeepSecurity.mib) 以下のパスにあります <\Trend Micro\OfficeScan\Addon\Intrusion Defense Firewall\util> 23
3-4. 推奨設定のクリアの設定 推奨設定検索を手動実行 または定期的に実行する場合に必要となる 推奨設定をクリアする設定を行 います (1) [clearrecommendations.script] ファイルを下記 URL から任意の場所にダウンロードします http://files.trendmicro.com/jp/ucmodule/idf/15/tools/clearrecommendations.zip zip 形式で圧縮されていますので ダウンロードした zip ファイルを解凍してください (2) [clearrecommendations.script] ファイルを脆弱性対策オプションサーバの < インストールフォルダ >\Scripts にコピーします < インストールフォルダ > は初期設定で下記となっております C:\Program Files\Trend Micro\OfficeScan\AddOn\Intrusion Defence Firewall (3) ウイルスバスター Corp. のプラグインマネージャを開き 脆弱性対策オプションの [ システム ] [ タスク ] メニューで [ 新規予約タスク ] をクリックします (4) 種類から [ スクリプトの実行 ] を選択し [ 次へ >] をクリックします (5) 実行スケジュールを設定し [ 次へ (Next) >] をクリックします (6) スクリプト から[clearrecommendations.script] ファイルを選択し [ 次へ >] をクリックします (7) [ 完了 ] をクリックし 予約タスクの作成を完了します 24
4. セキュリティプロファイルの作成 4.1. セキュリティプロファイルの作成 4.1.1. 新規セキュリティプロファイルの作成脆弱性対策オプション管理コンソール [ セキュリティプロファイル ] をクリックし [ 新規 ] [ 新規セキュリティプロファイル ] をクリックします プロファイルの名前を入力します 今回は新規にプロファイルを作成するので 既存の設定をベースにするかという選択肢は い いえ を選択します 25
閉じる を押してプロファイル詳細設定画面を開きます 4.1.2. セキュリティプロファイルの詳細設定を編集します詳細設定画面にて [Deep Packet Inspection] をクリックし 継承 のチェックボックスをはずします デフォルトでチェックが入っています ( 継承 : チェックボックスをオンにすると グローバル設定を継承します ) また 推奨設定の検索実行時に 自動的に DPI ルールの適用 解除を行う場合は 推奨設定の設定項目にて 推奨設定の検索時に 推奨 DPI ルールをコンピュータに自動割り当て / 割り当て解除 : を はい とします 設定をすべて変更したら 保存 をクリックします 続いて [ システム ] [ システム設定 ] の [ 検索 ] タブにて 推奨設定の自動実行スケジュールを設 定します 26
こちらの設定を行うと 同じセキュリティプロファイルを割り当てている端末が同じ時間に推奨設定の検索を行います 台数が多くなると管理サーバの負荷が高くなりますので 1000 台以上に同じプロファイルを割り当てる場合は 予約タスク より 個別に推奨設定の検索スケジュールを設定してください 4.2. セキュリティプロファイルの適用 セキュリティプロファイルを適用したいクライアント / グループを選択してクリック [ 処理 ] [ プロファイルの割り当て ] を選択します 選択したいセキュリティプロファイルを選択して OK をクリックします 27
コンピュータ管理画面上のセキュリティプロファイルの項目に 適用したプロファイルの名前 が表示されます 28
5 推奨設定検索 5.1 推奨設定検索の手動実行 [ コンピュータ ] の画面より 推奨設定を実行したいクライアントを選択して 右クリック [ 処理 ] [ コンピュータの推奨設定の検索 ] をクリックします ステータスが 推奨設定の検索中 になります 5.2 検索結果の確認 検索が終了すると ステータスが 管理対象 ( オンラインのクライアント ) になりますので 右クリック [ 詳細 ] をクリックします 29
クライアント詳細画面の [Deep Packet Inspection] [DPI ルール ] をクリックし 表示フ ィルタとして 割り当てに推奨される設定の表示 をクリックします 推奨設定の検索により割り当てが推奨される (= 脆弱性がある )DPI ルールが表示されます 5.3 検索時にクライアントに DPI ルールを自動的に適用する場合推奨設定の検索を行った際に同時に DPI ルールの適用 解除を行う場合は [Deep Packet Inspection] をクリックし 推奨設定の項目の 推奨設定の検索時に 推奨 DPI ルールをコンピュータに自動割り当て / 割り当て解除 : を はい に設定変更します 30
設定変更後 再度推奨設定の検索を行うと 自動的に DPI ルールが適用されます 31
6. DPI ルール動作確認テスト 下記の製品 Q&A の手順により カスタムルールを作成し DPI ルールの動作確認テストが可能です < http://esupport.trendmicro.co.jp/pages/jp-2077285.aspx> 以下は動作確認の方法です 1. 管理コンソールにログオンします 2. コンピュータをクリックし 検証用の端末をダブルクリックします 3. [Deep Packet Inspection] [DPI ルール ] をクリックします 4. [ 新規 ] をクリックします 5. [ 一般 ] タブに以下を設定します 名前: 任意の名前 ( 例. Hello World ) を設定します アプリケーションの種類:"Web Client Common" を選択します 6. パケット内の文字列 Hello を検出するように設定します ルールタブをクリックし 以下を設定します 署名: Hello を設定します 処理: ブロックさせる場合は パケットの破棄 接続のクローズ ログだけ取得する場合は " ログのみ " を選択します 7. OK をクリックします 8. 保存をクリックします 9. Web ブラウザを起動し キーワード Hello で Web を検索します 10.Deep Packet Inspection DPI イベントをクリックします 11. Hello World のイベントが存在するかどうかご確認ください イベントが存在しない場合は 今すぐイベントを取得をクリックし イベントが表示されるかどうかご確認ください 32
7. レポート作成機能の確認 サーバプラグインは PDF また RTF の形式でレポートを生成します レポート :DPI レポート タイム : 過去 24 時間 コンピュータ : すべてのコンピュータ 上記を選択し レポートを作成します 33
以下のようなレポートが作成されます 34