スクリプト制御 ナビゲーションをスキップする

スクリプト制御

スクリプト制御は、悪意のあるスクリプトの実行をブロックすることで
Windows
デバイスを保護します。エージェントは、スクリプトが実行される前にスクリプトとスクリプトパスを検出できます。スクリプトの実行をブロックし、除外リストに追加されたスクリプトのみを実行できるようにポリシーを設定することができます。
項目
説明
アクション
スクリプトのタイプごとに、次のいずれかのアクションを選択できます。
  • アラート
    :このアクションでは、すべてのスクリプトを実行できます。環境内で実行されているスクリプトをすべて監視する場合に使用する設定です。この設定は、許可またはブロックするスクリプトを決定する初期展開で推奨されます。
  • ブロック
    :このアクションでは、すべてのスクリプトの実行をブロックします。除外リストに追加されたファイルのみを実行できます。アラートモードでの脅威の検証および監視後に使用する設定です。
[保護] > [スクリプト制御]
の画面で、スクリプト制御アラートを検索したり、イベントをブロックしたりすることができます。
アクティブスクリプト
この設定では、Active Scripts の実行またはブロックを制御します。Active Script には、VBScript や Jscript が含まれます
エージェントのバージョンが 1.2.1370 以前の場合、1 つのアクション設定で、Active Script と PowerShell の両方に対応できます。1.2.1380 以降の場合は、個別に設定する必要があります。
PowerShell
この設定では、スクリプトの実行またはブロックを制御します。
エージェントのバージョンが 1.2.1370 以前の場合、1 つのアクション設定で、Active Script と PowerShell の両方に対応できます。エージェントのバージョンが 1.2.1380 以降の場合は、個別に設定する必要があります。
PowerShellコンソールの使用をブロック
この設定では、バージョンが 1.2.1380 以降のエージェントを実行しているデバイスで、PowerShell コンソールの起動をブロックするかどうかを制御します。PowerShell コンソールをブロックすると、PowerShell の 1 つのライナーの使用を防止することで、セキュリティが強化されます。
この設定は、PowerShell スクリプトのアクションが
[ブロック]
に設定されているときに使用できます。
PowerShell の制御がアラートモードの場合、エージェントは PowerShell コンソールの使用に関するアラートを送信しません。
PowerShell コンソールを起動するスクリプトを使用していて、[PowerShell コンソールの使用をブロック]が有効になっている場合、スクリプトは失敗します。可能であれば、PowerShell コンソールではなく PowerShell スクリプトを呼び出すようにスクリプトを変更することをお勧めします。これは、
-file
スイッチを使用して実行できます。コンソールを起動せずに PowerShell スクリプトを実行するための基本的なコマンドは、
Powershell.exe -file [script name]
です。
マクロ(2.1.1578以前)
この設定では、
Microsoft Office
のマクロに対してアラートを出すかブロックするかを制御します。マクロは Visual Basic for Applications(VBA)を使用して、
Microsoft Office
ドキュメント(通常、
Microsoft Word
Excel
PowerPoint
)内にコードを埋め込むことができます。マクロの主な目的は、スプレッドシート内のデータの操作や文書内のテキストの書式設定など、ルーチン操作を簡略化することです。ただし、マルウェア作成者はマクロを使用してコマンドを実行し、システムを攻撃できます。マクロでシステムを操作しようとすると、悪意のあるアクションが実行されていると見なされます。エージェントは、
Microsoft Office
製品外に影響を与えるマクロから発生する悪意のあるアクションを探します。
  • スクリプト制御のマクロ機能は、1578 以前のバージョンのエージェントで動作します。これより新しいエージェントの場合は、メモリ保護ポリシーの
    危険な VBA マクロ
    違反タイプを使用します。
  • スクリプト制御用に作成されたマクロ除外は、
    危険な VBA マクロ
    違反タイプのメモリ保護除外に追加する必要があります。
  • Microsoft Office
    2013 以降、マクロはデフォルトで無効になっています。ほとんどの場合、
    Microsoft Office
    ドキュメントのコンテンツを表示するのにマクロを有効にする必要はありません。マクロは、信頼するユーザーから受け取ったドキュメントで、有効にする正当な理由がある場合のみ有効にします。それ以外の場合は、マクロは常に無効にする必要があります。
Python
この設定では、Python スクリプト(バージョン 2.7 および 3.0~3.8)の実行またはブロックを制御します。この設定は、1580 以降のエージェントで有効です。
.NET DLR
この設定では、NET DLR スクリプトの実行またはブロックを制御します。この設定は、1580 以降のエージェントで有効です。
XLM マクロ(プレビュー)
XLM マクロ機能は現在、プレビューモードで提供されているため、予想外の動作が発生する可能性があります。
この設定では、
CylancePROTECT Desktop
での
Excel
4.0(XLM)マクロの実行またはブロックを制御します。マクロが有効化され実行されると、
Microsoft
AMSI インターフェイスがエージェントと連携して、デバイスポリシーに従ってマクロの実行を許可するかブロックするかを判断します。
この機能の使用条件は次のとおりです。
  • Microsoft Windows
    10 以降
  • CylancePROTECT Desktop
    エージェントバージョン 3.1
  • VBA マクロは
    Excel
    [ファイル] > [トラストセンター] > [Excel トラストセンター] > [マクロ設定]
    のメニューで無効にする必要があります。
スクリプト制御を無効にする
特定のスクリプトタイプに対してスクリプト制御を無効にするかどうかを指定できます。スクリプト制御を無効にすると、スクリプトの実行が許可され、アラートが送信されません。
ファイル、スクリプト、プロセスの除外
スクリプト制御が「プロック」になっている場合でも、フォルダを指定しておくことで、アラートを生成することなく、当該のフォルダ(およびサブフォルダ)内のスクリプトを実行できるようにすることができます。また、プロセスの除外を追加することで、特定のアプリケーションのスクリプトを適切に実行して、それ以外のものをブロックするようにすることもできます。たとえば、IT 部門が特定のツールを使用して常にスクリプトを実行する場合は、当該ツールでのプロセスを除外として追加することで、特定のツールによるスクリプトの実行が可能になります。
フォルダまたはサブフォルダの相対パスを指定します。フォルダパスは、ローカルドライブ、マッピングされたネットワークドライブ、または UNC(Universal Naming Convention)パスとして使用できます。
フォルダとスクリプトの除外
  • フォルダの除外には、スクリプトやマクロのファイル名を含めることはできません。これらのエントリは無効となり、エージェントでは無視されます。
  • 特定のスクリプトを除外する場合は、ワイルドカードを使用する必要があります。ワイルドカードで特定のスクリプトを除外する方法について、詳しくは スクリプト制御の除外におけるワイルドカード を参照してください。
  • 「everyone」のグループに書き込み権限が付与されると、組織内外の誰もがスクリプトをフォルダやサブフォルダにドロップして、書き込むことができるようになります。
    CylancePROTECT Desktop
    では、継続的にスクリプトに関するアラートを送信したりブロックしたりすることになります。書き込み権限は、直接の親フォルダだけでなく、あらゆるすべての親フォルダに適用されます。
プロセスの除外
  • プロセスの除外を使用するには、エージェントのバージョンが 2.1.1580 以降である必要があります。
  • プロセス除外の実行可能ファイルは、実行制御により隔離されるため、実行がブロックされる可能性があります。実行可能ファイルが隔離されている場合は、ファイルを
    [ファイルアクション]
    タブの
    [ポリシーセーフリスト]
    に追加する必要があります。
  • プロセス除外では、引き続きスクリプトの実行が許可され、指定したフォルダからの実行が制限されなくなります。