Windows PC

MobiControl v14 Manual


貴社のPCの正常性構成証明書を見てみませんか?

(図1)
Microsoftが各PC毎に送ってくる正常性構成証明書のサンプル

(図1)は、Microsoftから送ってくる正常性構成証明書のサンプルです。

この証明書の項目の1つである 仮想セキュアモードとは、社内のサーバにアクセスするときのIDやパスワード情報を、PC内の安全な場所(セキュアカーネル)に格納する機能です。(図2)参照。 侵入したマルウェアが、例えPC本体の管理者権限を奪っても、社内サーバへのパスワードなどは盗まれません。メモリダンプをしても盗まれません。
(図1)は、これが無効になっているので、社内サーバへのパスワードが、通常のOSカーネル傘下の場所にあることを示します。 これは、非常に危険な状態です。社内サーバへのパスワードが盗まれ、社内サーバ内の重要な情報が外部流出します。

  • 標的型攻撃
    貴社を標的にすると決めた場合、攻撃者は必ずウィルス対策ソフトをすり抜けて侵入します。その方法は、多様ですが、例えば、業務を装ったメールに、マルウェアファイルを暗号化して添付してきます。 暗号化されたファイルだと、ウィルス対策ソフトは検疫できません。
  • ファイルレス攻撃
    多くの標的型攻撃では、ファイルレス攻撃をします。ファイルレス攻撃はメモリにのみ悪性コードが潜伏展開され、HDD/SSDにはマルウェアファイルがありません。 従って、ウィルス対策ソフトではスキャン検疫できません。その方法は多くあります。例えば、C\Windows\System32\傘下のWindows正規exeファイルになり替わり、 これが起動するとメモリ展開されます。メモリ展開もsvchost.exeのメモリ空間に潜りこむ場合もあります。
  • ファイルレス攻撃でなくても、そのマルウェアファイルが暗号化されたままで 潜在し続ける場合もあります。従ってウィルス対策ソフトではスキャン検疫できません。 一方、正規のアプリの起動に伴い起動されるDLLファイルが、すり替えられます。そのDLLが、暗号化されたマルウェアを復号化するようになっていて、正規アプリが起動すると悪性コードがメモリ空間に展開されます。
  • ウィルス対策ソフトの無効化やPC内Firewallを無効化
    攻撃者は、ウィルス対策ソフトの無効化やPC内Firewallの無効化を行います。 そして、PsExecなどのWindows正規ツールを使ってリモート操作をします。
    これらの無効化を実施するコードは、裏サイトで公開されており、攻撃者は簡単に手に入れることができます。

1台のPCに侵入すると、企業内の他のPCに横展開していきます。ウィルス対策ソフトでは検疫できない侵入が、必ずあり得るという前提で、PC内の重要データ(顧客情報サーバへの IDとパスワードなど)が盗まれないような対策をしているかどうかのレポートが Microsoftの正常性構成証明書です

(図2)

貴社のWindows 10 PCの1つ1つに、Microsoftは無償で送ってきます。エンドポイントPCがMobiControlサーバにチェックインする毎に最新の正常性構成証明書を送ってきます。

MobiControlのコンソールの端末一覧から、任意のWindows 10 PCをクリックすると、(図1)のような証明書が画面表示されます。

エンドポイントPCは、MobiControlに定期的にチェックインしますが、その際に、正常性構成証明書のどれかの項目に非正常が発見されると、アラートが発動します。
  • 社内のCSIRT関係者に警報メールが送られます。CSIRT=Computer Security Incident Response Team
  • 該当のエンドポイントPCを特別の端末グループへ自動移動させ、プロファイル(例:VPNの利用権)を剥奪して、無害化します。
  • 該当のエンドポイントPCの画面にメッセージを表示します。

貴社の全てのPCの中で、その正常性構成証明書が不正常なPCを抽出して一覧表示することができます。 詳しくは、「正常性構成証明の内容が不適切なWindows PCを探す」をクリックしてください。

正常性構成証明書には、 「仮想セキュアモード」以外にも、多くのセキュリティチェック項目があります。 (図1)は、全ての検査項目を記していますが、これを減らすこともできます。その方法は、「正常性構成証明書の設定」を参照ください。

WIP(Windows 情報保護)のポリシー設定

エンドポイントPCにWIPのポリシーを適用できます。会社情報の漏洩を防ぎます。
  • Wordなどのアプリを、「管理対象アプリ」に指定します。
  • 「管理対象アプリ」で作成したコンテンツ(企業データ)は、企業IDと紐づけられて暗号化されます。
  • 企業データは、社内では共有できます。つまり、Azure ADドメイン、又は IPアドレス帯を同じにするPCなら共有できます。 SharePointなどに保存することができます。
  • 企業データを、USBメモリに保存しようとすると、それを禁止するか、警告メッセージをポップアップします。
  • 例えば、Wordで開いた企業データを、FacebookなどのSNSにコピペしようとすると、それを禁止するか、警告メッセージをポップアップします。
  • 企業データを、Exploreを使って、個人用の外部ストレージ(DropBoxTM など)に、ファイル送信しようとすると、それを禁止するか、警告メッセージをポップアップします。
WIPポリシーの設定方法は、「Windows情報保護のリモート設定」を参照ください。

その他のセキュリティ対策

その他に多くのセキュリティ対策をリモート設定できますが、次はその一例です。
  • BitLockerによるPCのドライブ単位での暗号化
  • Windows Defenderによるマルウェア検疫
  • 端末証明書の配布
  • PC起動時のブートドライバの選好
    (通常、部品ハードウェアメーカーの署名入りと署名無しのドライバが混在している。これを署名入りのみに限定が可能)

アプリの管理

社内PCのアプリをリモート管理します。
  • 新規アプリの配布とサイレントインストール
  • バージョンアップしたアプリの配布と上書きインストール
  • 業務アプリの利用権の設定
    ローカルユーザに限定、又は他のPCから該当PCへのリモートアクセス者に認めるかなど
  • インストール済の全てのアプリをPC毎に一覧表示
  • 特定のアプリの名前の文字列の一部に着目して、そのアプリがインストールされているPC群の一覧を表示
    例えば、情報漏洩につながるようなアプリがインストールされているPC群の一覧表示
  • ユーザによる業務アプリのアンインストール禁止

PCをリモート操作

社内のPC画面を、コンソールに映してリモート操作ができます。 
PCでの操作方法やPCの不具合に関する問い合わせが、IT部門には、日々寄せられます。 IT部門の担当者は、当該PCの場所まで出向かずに、使い方指導をしたり、不具合を修復できます。 
pcAnywhereを上回る機能群を用意しています。

PCのリモートサポート

PCの機能や振る舞いをリモート設定

139のリモート設定項目があり、これを構成プロファイルとしてエンドポイントPCに送れば、それらPCの機能と振る舞いを統一的に定めることができます。
これには、「Windows更新の時刻設定」、「使用状況のMicrosoftへの通報(Telemetry)の内容選択」、「Windows DefenderがウィルススキャンをするときのCPU負荷率の制限」、「メールアカウントの ドメイン部分を限定」などを含みます。

Windows Defender ATPのリモート設定

Windows Defender ATP(Advanced Threat Protection)は、MicrosoftのEDR(Endpoint Detection & Response)ソリューションです。
Windows Defender ATPは、ウィルス対策ソフトをすり抜けてきた脅威を検出します。又、攻撃の予兆も認識します。

MobiControlは、コンソールからWindows Defender ATPのリモート設定(OnBoading)をします。
詳しくは、「Windows Defender ATPをリモート設定」を参照ください。

Windows Defender ATPは、エンドポイントPCの異常なアクティビティから巧妙なサイバー攻撃を検知します。 10億台を超えるWindowsデバイスや2兆5,000億のインデックス化されたWeb URL、6億件のオンライン評価、 分析済みの100万件以上の不審なファイルなどから得られたMicrosoftの厖大な データベースを基に分析します。 貴社のエンドポイントPCから送られてきた不審な振る舞いをするプロセスに関するデータを、MicrosoftがAI分析をします。
Windows Defender ATPの脅威センサーメカニズム(ATPエージェント)は、Windows10のOSに既に組み込まれています。

Windows Defender ATPに関するMicrosoftの次の文書を参照ください。

異常PCの自動隔離

セキュリティ対策の観点で異常と判断されたエンドポイントPCは、自動的に隔離されます。隔離されたエンドポイントPCでは、パッケージで送られてインストールされた業務アプリが 自動的にアンインストールされます。
設定されていたVPNやメールが使えなくなります。同時に、上司や関係者にアラートメールが送られます。
MobiControlは、エンドポイントの所属する部門に対応した端末グループから、「異常端末グループ」に、エンドポイントを自動移動させることで、この隔離を実施します。 異常端末グループの構成プロファイルには、アプリを割り当てず、エンドポイントの多くの機能を制限したものにしておきます。
当該エンドポイントの問題点が解決された場合、これを、コンソールでの操作で従来の端末グループに戻します。指定のアプリが再インストールされ、端末の 機能は、従前に戻ります。

Windows Modern と Windows Classic

MobiControlでの Windows PCの設定モードには、Windows Modern と Windows Classicがあります。
両者の概要を、下表に示します。

Windows ModernWindows Classic
エンドポイントの用途 事務などの一般的用途 専用業務用途。
指定したアプリアイコンのみを表示するデスクトップ画面。KIOSK端末として利用。
アプリのプッシュ配布とサイレントインストール 可能 可能
アプリの配布方式アプリ・カタログ または
パッケージ・スタジオでアプリをパッケージ化して配付
パッケージ化して配布
リモート画面操作 可能 可能
エンドポイントの挙動を設定する方法 構成プロファイルを作成し、それを配布 スクリプトコマンドの送付
エンドポイントのMobiControlへの登録 Active Directoryでの認証が必要

注1

Active Directoryでの認証は不要
MobiControlがサポートするOSバージョン Windows 10

注2

Windows 8.1以上
メール、WiFi、VPN、端末証明書の設定 リモート設定が可能 リモート設定は不可能

注1 Active Directoryによる認証

Azure ADもサポートします。また、AD_DSに連携したId Provider、例えば、AD_FS(Federation Service)での認証も可能です。

注2 サポートするWindows 10 Edition

MobiControlは、Windows 10 の次のEditionをサポートします。
  • Windows 10 Home
    但し、管理できる機能に制限があります。
  • Windows 10 Pro
  • Windows 10 Pro in S Mode
  • Windows 10 Enterprise
  • Windows 10 Enterprise LTSB
  • Windows 10 Education
  • Windows 10 Holographic
  • Windows 10 Holographic for Business
  • Windows 10 Hyper-V
  • Windows 10 IoT Enterprise
  • Windows 10 IoT Enterprise LTSB(LISC)
Editionのアップグレード(例:ProからEnterpriseへ)は、コンソールからのリモート操作で簡単に実行できます。
Windows Modern PCに働きかけるの12.ライセンスの更新」を参照ください。

Windows Embedded端末

MobiControlは、PC系のWindows以外に、Windows Embeddedをもサポートしています。
MobiControl v14でサポート
  • Windows Embedded Compact7 
  • Windows Embedded Compact2013 
MobiControl v13でサポート
  • Windows CE.NET 4.2
  • Windows CE.NET 5.0 
  • Windows Embedded CE6.0 
  • Windows Embedded Compact7 
  • Windows Embedded Compact2013 
但し、端末メーカーとそのモデル番号によっては、サポートしてない端末があります。
Windows Embedded 端末」を参照ください。