ビュー:
Deep Securityエージェントセルフプロテクションは、ローカルユーザがエージェントを改ざんするのを防ぎます。有効にすると、ローカルユーザがエージェントを改ざんしようとした場合、「このアプリケーションの削除または変更はセキュリティ設定により禁止されています」というメッセージが表示されます。
エージェントセルフプロテクションはWindowsおよびLinuxでサポートされています。後者にはDeep Security Agentバージョン20.0.0-5953以降が必要です。
Deep Security AgentまたはRelayをアップデートまたはアンインストールする場合、またはコマンドラインからサポート対象の診断パッケージを作成しようとしているローカルユーザの場合診断パッケージとログを作成する、に従ってエージェントの自己保護を一時的に無効にする必要があります。
Windowsでは、不正プログラム対策を有効にして、ローカルユーザがエージェントを停止したり、エージェント関連のファイルやWindowsレジストリエントリを変更したりするのを防ぐ必要があります。Linuxでは、次のいずれかを有効にする必要があります: 不正プログラム対策、アプリケーションコントロール、リアルタイムの変更監視。エージェントのアンインストールを防ぐために自己保護は必要ありません。
Deep Security Agentを停止する前に、問題を回避し円滑な操作を確保するために、基本的に不正な変更に対する保護機能である自己保護を無効にする必要があります。
エージェントの自己保護は、 Deep Security Manager、またはエージェントのコンピュータ上のコマンドラインを使用して設定できます。

Deep Security Managerを介してセルフプロテクションを設定する

  1. エージェントセルフプロテクションを有効にしたい[コンピュータエディタとポリシーエディタ]を開きます。
  2. [設定]→[一般]を選択します。
  3. [Agentセルフプロテクション]セクションで、[はい]を選択して、ローカルユーザがエージェントをアンインストール、停止、またはその他の変更を行うのを防ぎます。
  4. [Local override requires password]のために、[はい]を選択し、認証パスワードを入力してください。認証パスワードは、dsa_control commandの不正使用を防ぐために強く推奨されます。パスワードを指定した後、エージェントでコマンドを実行する際には、dsa_controlコマンドを-pまたは--passwd=オプションと共に使用して入力する必要があります。パスワードは32文字を超えることはできません。この長さを超えると、パスワードは自動的に切り捨てられますのでご注意ください。
  5. [保存] をクリックします。
  6. 自己防衛を無効にするには、[いいえ]を選択し、[保存]をクリックします。

コマンドラインを使用してセルフプロテクションを設定する

コマンドラインを使用して自己保護を有効または無効にすることができますが、1つの制限があります: 認証パスワードを指定することはできません。そのためにはDeep Security Managerを使用する必要があります (Deep Security Managerを通じて自己保護を構成するを参照してください)。

Windowsでコマンドラインを使用する

  1. Windows Agentにローカルでログインします。
  2. 管理者としてコマンドプロンプト (cmd.exe) を開きます。
  3. 現在のディレクトリをDeep Security Agentのインストールフォルダに変更します。初期設定のインストールフォルダは次のとおりです:
    cd C:\Program Files\Trend Micro\Deep Security Agent
  4. 次のいずれかのコマンドを入力します。
    Agentセルフプロテクションを有効にするには、次のコマンドを入力します。
    dsa_control --selfprotect=1
    Agentセルフプロテクションを無効にするには、次のコマンドを入力します。
    dsa_control --selfprotect=0 -p <password>、ここで-p <password>は、以前にDeep Security Managerで指定された認証パスワードです。詳細については、Deep Security Managerを介して自己保護を構成するを参照してください。

Linuxでコマンドラインを使用する

  1. 管理者としてコマンドプロンプトを開きます。
  2. 現在のディレクトリをDeep Security Agentのインストールフォルダに変更します。以下はデフォルトのインストールフォルダを示しています。
    cd /opt/ds_agent
  3. 次のいずれかのコマンドを入力します。
    エージェントセルフプロテクションを有効にするには、次を入力してください:
    dsa_control --selfprotect=1
    エージェントセルフプロテクションを無効にするには、次を入力してください:
    dsa_control --selfprotect=0 -p <password>、ここで-p <password>は、以前にDeep Security Managerで指定された場合の認証パスワードです。詳細については、Deep Security Managerを通じた自己保護の設定を参照してください。パスワードは32文字を超えることはできません。この長さを超えると、パスワードは自動的に切り詰められます。

Linuxの制限

  • システムがシャットダウンまたは再起動しているときにエージェントサービスを停止してはいけません。サービスを停止すると、再起動後に正常に動作しない可能性があります。
  • エージェントサービスのステータスが不一致である可能性があります。コマンドstopを実行してエージェントサービスを停止しようとすると、結果は成功と返されますが、エージェントサービスは通常通り実行され続けます。
  • システム内のエージェントプロセスと同じ名前の実行中のプロセスがある場合、それは自己保護リストに追加されます。保護されたプロセスは改ざんから保護されます。
  • Out-Of-Memory (OOM) が発生した場合、エージェントサービスを終了することはできません。
  • Oracle 6 (32-bit) プラットフォームは自己保護をサポートしていません。
  • セキュアブートを有効にしていて自己保護が機能していない場合は、マシンのカーネルバージョンを確認してください。カーネルバージョンが5.4以前の場合は、5.4以降のカーネルバージョンにアップグレードしてください。

Troubleshooting

サービスの状態を正常に戻すには、次の手順に従ってください。
  1. エージェントの自己保護を停止します。
  2. エージェントサービスを再起動します。
エージェントサービスが再起動すると、エージェントセルフプロテクションが再開されます。