アプリケーションコントロールの概要については、アプリケーションコントロールでソフトウェアをロックダウンするを参照してください。
アプリケーションコントロール は頻繁にアップデートされない安定版サーバでの使用を目的としており、多くのソフトウェア変更を受けるワークステーションやサーバには使用できません。
変更が多すぎると、古いルールを削除しない限り、より多くのRAMを消費する大規模なルールセットが作成されます。承認されたソフトウェアのアップデート時にメンテナンスモードを使用しない場合は、変更が多すぎると、管理者が各変更に対して許可ルールを手動で作成しなければならないため、作業負荷の増加にもつながります。
承認されていないソフトウェアの変更数が上限を超えると、アプリケーションコントロールはすべてのコンピュータについてソフトウェアの変更の検出と表示を停止します。 この停止は、ルールセットが大きくなりすぎた場合に発生するメモリ不足やディスクスペースエラーを防ぐために設計されています。
停止が発生すると、Deep Security Managerはアラート (「未解決のソフトウェア変更制限」) およびイベントログ (「未解決のソフトウェア変更制限に達しました」) を通じて通知します。ソフトウェアの変更を検出し続けるには、この問題を解決する必要があります。
  1. コンピュータのプロセスとセキュリティイベントを調べ、コンピュータが攻撃を受けていないことを確認します。攻撃を受けていないかどうかがわからない場合や十分な時間がない場合、最も安全かつ迅速な方法は、バックアップまたは仮想マシンスナップショットからシステムを復元することです。
    警告
    警告
    不正なソフトウェア (ゼロデイ不正プログラムを含む) を削除しない場合、アプリケーション制御をリセットしても無視されます。[処理] タブに表示されなくなります。そのソフトウェアのプロセスがすでに実行されてRAMに存在する場合、コンピュータを再起動しないかぎり、このソフトウェアに関するイベントはログに記録されず、アラートも生成されません。
  2. コンピュータがソフトウェアの更新を実行している場合 (例えば、ブラウザ、Adobe Reader、またはyumの自動更新)、それらを無効にするか、アプリケーションコントロールのメンテナンスモードを有効にしたときにのみ実行されるようにスケジュールしてください (計画的な変更を行う際にメンテナンスモードを有効にするを参照)。
  3. アプリケーションコントロールをリセットします。これを行うには、[コンピュータエディタ]でアプリケーションコントロールを無効にします。エージェントがそれを認識し、エラーステータスをクリアしたら、再度アプリケーションコントロールを有効にします。エージェントは新しいソフトウェアインベントリリストを生成します。