スクリプト制御マクロの除外を新しいメモリ保護設定に移行(Windows のみ)
Windows
のみ)デバイスポリシーの[スクリプト制御]タブでマクロ除外を追加してある場合は、これらの除外を
CylancePROTECT Desktop
for Windows
3.x の新しいメモリ保護設定に移行する必要があります。スクリプト制御の除外を手動で移行するには、デバイスポリシーの[スクリプト制御]タブで追加した除外を記録し、デバイスポリシーの[メモリアクション]タブで同じ除外を追加するだけです。
BlackBerry
が提供する PowerShell スクリプトを使用して既存のスクリプト制御の除外を移行する場合は、次の手順を実行します。- PowerShell がコンピュータにインストールされていること、および PowerShell スクリプトがCylancePROTECT Desktopなどのセキュリティソフトウェアによってブロックされていないことを確認します。CylancePROTECT Desktopがコンピュータにインストールされている場合は、デバイスに割り当てられているデバイスポリシーで、[スクリプト制御] > [PowerShell コンソールの使用をブロック]がオフになっていることを確認します。
- [設定] > [統合]で、テナント IDを記録します。
- スクリプトを実行するときに、Cylanceコンソール管理者アカウントのメールアドレスを指定します。使用するアカウントに、管理者ロールが割り当てられていることを確認します。
- 除外をスクリプト制御からメモリ保護に移行するデバイスポリシーで、スクリプト制御が有効になっており、マクロの除外が存在することを確認します。
- スクリプトでは、スクリプト制御が無効になっているポリシーや、スクリプト制御の除外がないポリシーは無視されます。
- スクリプトは、マルチバイト文字を含む除外リストを移行しません。これらの除外は手動で追加する必要があります。
- PowerShell コマンドプロンプトを開き、ディレクトリをスクリプトの場所に変更します。
- 次の表を参照し、適切なパラメーターを使用してスクリプトを実行します。
- まずスクリプトを-dryRunモードで実行して、変更を行わずに移行をプレビューします。これにより生成される出力ファイルを使用して、問題があれば特定し、修正することができます。
- テストに使用する予定のデバイスポリシーのスクリプトを実行します。3.x エージェントのテストと検証が完了した後で、スクリプトを使用して移行を実稼働デバイスポリシーに適用できます。
パラメーター必須またはオプション説明-copySCExclusions必須このコマンドは、スクリプト制御設定から新しいメモリ保護設定へのマクロの除外の移行を実行します。-allPoliciesまたは-policy ‘<policy_name>’必須-allPoliciesは、テナント内のすべてのデバイスポリシーの移行を実行します。-policy ‘は、指定されたデバイスポリシーの移行を実行します。<policy_name>’'-dryRunオプションこのコマンドは、変更を加えずにスクリプトの実行をプレビューします。このモードでスクリプトを実行すると、スクリプトが実行されたディレクトリ内に出力ファイルが作成されます。-tenantId ‘<tenant_ID>’必須このコマンドは、Cylance Endpoint Securityテナントの ID を指定します。-apiKey ‘<application_ID>’必須このコマンドは、[設定] > [統合]で追加した統合のアプリケーション ID を指定します。-apiSecret ‘<application_secret>’必須このコマンドは、[設定] > [統合]で追加した統合のアプリケーションシークレットを指定します。-userEmail ‘<admin_email>’必須このコマンドは、移行の実行に使用するCylanceコンソール管理者アカウントのメールアドレスを指定します。アカウントには管理者ロールが必要です。-region ‘<region_code>’必須このコマンドは、Cylance Endpoint Securityテナントの地域を指定します。次のいずれかの値を使用します。- 北米:na(指定されていない場合のデフォルト値)
- 日本:apne1
- オーストラリア:au
- ヨーロッパ:euc1
- 南米:sae1
- GovCloud:us
-Ignore158xWarningオプションこのコマンドは、メモリ保護の除外のサイズ制限に関連するエラーを移行プロセスに無視させます。サイズ制限は、以前のバージョンのCylancePROTECT Desktopでは 64KB でしたが、バージョン 3.x では 2MB に引き上げられています。このパラメーターは、ターゲットデバイスポリシーに関連付けられているすべてのデバイスがエージェント 3.x 以降を使用している場合にのみ使用してください。-ignore158xCompatibilityオプションこのコマンドは、CylancePROTECT DesktopforWindows2.1.1580 および 1584 固有の不具合に関連しています(KB 88218 を参照してください)。不具合の修正(除外パスのワイルドカード値にアスタリスク(*)を追加してワイルドカードが**になるようにする)は、デフォルトでスクリプトに組み込まれています。このパラメーターを使用すると、スクリプトに組み込まれている修正が無効になります。ターゲットデバイスポリシーがエージェント 1578 以前のデバイスとエージェント 3.x 以降のデバイスに関連付けられている場合は、このパラメーターを使用します。ポリシーがエージェント 158x のデバイスに関連付けられている場合は、このパラメーターを使用しないでください。-includeExtensions<extensions>オプションこのコマンドは、メモリ保護設定に移行する拡張子を指定します(例:includeExtensions ps1, ja, xlxs)。このパラメーターを使用しない場合、すべての拡張子が移行されます。
スクリプトを
-dryRun
モードで実行すると、出力ファイルに「Modify '<policy_name>
' Policy を開始... ログエラー:要求されたポリシーは MemoryProtection v2 に変換されていません」というエラーが表示されることがあります。これは、デバイスポリシーがしばらく編集されていない場合に発生します。この問題を解決するには、管理コンソールでポリシーを開いて保存します。
移行できなかったスクリプト制御の除外があった場合は、PowerShell の出力に示されます。これらの除外は、メモリ保護設定に手動で追加する必要があります。
例:スクリプトを -dryRun モードで実行します
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -dryRun -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'
例:特定のデバイスポリシーのスクリプトを実行します
.\sc2memdef_copy.ps1 -copySCExclusions -policy 'userPolicy' -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'
例:すべてのデバイスポリシーのスクリプトを実行します
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'
- ターゲットデバイスポリシーの[メモリアクション]タブで、移行された除外を確認し、新しい危険な VBA マクロ違反タイプに適用されないものをすべて削除します。
- 管理コンソールに追加した PowerShell 統合を削除します。