スクリプト制御
スクリプト制御は、悪意のあるスクリプトの実行をブロックすることで
Windows
デバイスを保護します。エージェントは、スクリプトが実行される前にスクリプトとスクリプトパスを検出できます。スクリプトの実行をブロックし、除外リストに追加されたスクリプトのみを実行できるようにポリシーを設定することができます。項目 | 説明 |
---|---|
アクション | スクリプトのタイプごとに、次のいずれかのアクションを選択できます。
[保護] > [スクリプト制御] の画面で、スクリプト制御アラートを検索したり、イベントをブロックしたりすることができます。 |
アクティブスクリプト | この設定では、Active Scripts の実行またはブロックを制御します。Active Script には、VBScript や Jscript が含まれます エージェントのバージョンが 1.2.1370 以前の場合、1 つのアクション設定で、Active Script と PowerShell の両方に対応できます。1.2.1380 以降の場合は、個別に設定する必要があります。 |
PowerShell | この設定では、スクリプトの実行またはブロックを制御します。 エージェントのバージョンが 1.2.1370 以前の場合、1 つのアクション設定で、Active Script と PowerShell の両方に対応できます。エージェントのバージョンが 1.2.1380 以降の場合は、個別に設定する必要があります。 |
PowerShellコンソールの使用をブロック | この設定では、バージョンが 1.2.1380 以降のエージェントを実行しているデバイスで、PowerShell コンソールの起動をブロックするかどうかを制御します。PowerShell コンソールをブロックすると、PowerShell の 1 つのライナーの使用を防止することで、セキュリティが強化されます。 この設定は、PowerShell スクリプトのアクションが [ブロック] に設定されているときに使用できます。PowerShell の制御がアラートモードの場合、エージェントは PowerShell コンソールの使用に関するアラートを送信しません。 PowerShell コンソールを起動するスクリプトを使用していて、[PowerShell コンソールの使用をブロック]が有効になっている場合、スクリプトは失敗します。可能であれば、PowerShell コンソールではなく PowerShell スクリプトを呼び出すようにスクリプトを変更することをお勧めします。これは、 -file スイッチを使用して実行できます。コンソールを起動せずに PowerShell スクリプトを実行するための基本的なコマンドは、Powershell.exe -file [script name] です。 |
マクロ(2.1.1578以前) | この設定では、 Microsoft
Office のマクロに対してアラートを出すかブロックするかを制御します。マクロは Visual Basic for Applications(VBA)を使用して、Microsoft
Office ドキュメント(通常、Microsoft
Word 、Excel 、PowerPoint )内にコードを埋め込むことができます。マクロの主な目的は、スプレッドシート内のデータの操作や文書内のテキストの書式設定など、ルーチン操作を簡略化することです。ただし、マルウェア作成者はマクロを使用してコマンドを実行し、システムを攻撃できます。マクロでシステムを操作しようとすると、悪意のあるアクションが実行されていると見なされます。エージェントは、Microsoft
Office 製品外に影響を与えるマクロから発生する悪意のあるアクションを探します。
|
Python | この設定では、Python スクリプト(バージョン 2.7 および 3.0~3.8)の実行またはブロックを制御します。この設定は、1580 以降のエージェントで有効です。 |
.NET DLR | この設定では、NET DLR スクリプトの実行またはブロックを制御します。この設定は、1580 以降のエージェントで有効です。 |
XLM マクロ(プレビュー) | XLM マクロ機能は現在、プレビューモードで提供されているため、予想外の動作が発生する可能性があります。 この設定では、 CylancePROTECT Desktop での Excel 4.0(XLM)マクロの実行またはブロックを制御します。マクロが有効化され実行されると、Microsoft AMSI インターフェイスがエージェントと連携して、デバイスポリシーに従ってマクロの実行を許可するかブロックするかを判断します。この機能の使用条件は次のとおりです。
|
スクリプト制御を無効にする | 特定のスクリプトタイプに対してスクリプト制御を無効にするかどうかを指定できます。スクリプト制御を無効にすると、スクリプトの実行が許可され、アラートが送信されません。 |
ファイル、スクリプト、プロセスの除外 | スクリプト制御が「プロック」になっている場合でも、フォルダを指定しておくことで、アラートを生成することなく、当該のフォルダ(およびサブフォルダ)内のスクリプトを実行できるようにすることができます。また、プロセスの除外を追加することで、特定のアプリケーションのスクリプトを適切に実行して、それ以外のものをブロックするようにすることもできます。たとえば、IT 部門が特定のツールを使用して常にスクリプトを実行する場合は、当該ツールでのプロセスを除外として追加することで、特定のツールによるスクリプトの実行が可能になります。 フォルダまたはサブフォルダの相対パスを指定します。フォルダパスは、ローカルドライブ、マッピングされたネットワークドライブ、または UNC(Universal Naming Convention)パスとして使用できます。 フォルダとスクリプトの除外
プロセスの除外
|