「望ましくない可能性のあるアプリケーションのブロック」機能について

  • Article

こんにちは。システム センター サポートの岩丸です。

先日 System Center Configuration Manager 1602 (以降 ConfigMgr 1602 と呼称) がリリースされました。
ConfigMgr 1602 では Endpoint Protection についても様々な保護機能の強化が行われています。
今回はその中から、新しい機能である「望ましくない可能性のあるアプリケーション (Potentially Unwanted Application - PUA) のブロック」機能について解説します。
これから ConfigMgr 1602 を導入される方々、特にセキュリティに敏感な管理者の方々にとって注目の機能ですので、是非ご一読ください。
■ 「望ましくない可能性のあるアプリケーション (PUA) のブロック」機能について
PUA のブロックは端末内に存在する望ましくないアプリケーションや、それをバンドルするアプリケーションを検出するための新機能です。
※ 厳密には機能自体は ConfigMgr 1602 以前の Endpoint Protection に存在しておりましたが、ConfigMgr 1602 以降はマルウェア対策ポリシーからこの機能が管理できるようになりました。

PUA と判断される基準は「広告を挿入する」「多種のアプリケーションをバンドルしている」「不正に金銭の支払いを要求する」といった特徴をもつケースです。
これらのアプリケーションはネットワークがマルウェアに感染する原因となるだけでなく、感染状況の特定や感染原因の調査を困難にしているという現状があります。
こうした最新のセキュリティ トレンドに対応するため、Endpoint Protection では PUA ブロック機能が新たに導入されました。
これにより潜在的に望ましくない可能性のあるアプリケーションを検出し、セキュリティをより強固に保つことができます。

PUA ブロック機能の説明は以下の弊社公式ブログ記事をご参照ください。 (恐縮ながら英語記事となります)
https://blogs.technet.microsoft.com/mmpc/2015/11/25/shields-up-on-potentially-unwanted-applications-in-your-enterprise/

 

■ PUA 検出時の様子
PUA ブロック機能により PUA が検出された場合には、Endpoint Protection の UI に以下のように表示されます。
Category が Potentially Unwanted Software となっていることから PUA ブロック機能による検知であることが分かります。
また、Configuration Manager 管理コンソールの [マルウェアの詳細] タブでも同様に確認が可能です。

■ PUA ブロックを有効化/無効化する方法
ConfigMgr 1602 ではマルウェア対策ポリシーから PUA ブロック機能を有効化/無効化することが可能です。
設定の変更は [マルウェア対策ポリシーのプロパティ] – [リアルタイム保護] タブの最下部から行うことができます。


【重要】
PUA のブロック機能は、ConfigMgr 1602 をインストール・アップグレードした時点では既定で有効となります。
もしアップグレード前の設定 (PUA ブロック無効状態) を維持したい場合には、上記の設定箇所を 「いいえ」 に設定してください。
PUA ブロックは潜在的に望ましくない可能性のあるアプリケーションを検出するために有用ですが、
管理者によってはまずは一部の端末を対象に PUA ブロック機能を検証したいと考える場合もあります。
そのような場合には一旦 PUA ブロック機能を無効化して、一部のコレクションに対してのみ有効化し検証を行うことができます。

【参考情報】
ConfigMgr 1602 以前の製品である System Center 2012 R2 Configuration Manager 等においては、
PUA ブロック機能は既定では無効ですが、以下の手順でPUA ブロック機能を構成することができます。
対象製品及び構成手順に関しては、以下の情報がございます。

How to Configure Endpoint Protection in Configuration Manager
https://technet.microsoft.com/library/hh508770.aspx#BKMK_PUA
# How to Deploy Potentially Unwanted Application Protection Policy for Endpoint Protection in Configuration Manager 以下をご参照ください。
以上、PUA ブロック機能の概略を説明いたしました。
皆様のよりセキュアな端末管理のための一助となれば幸いです。