ビュー:

2023年8月23日より、「Trend Vision One Endpoint Security」がご利用いただけるようになりました。
本製品Q&Aにて、Apex Oneのセキュリティエージェントとして記載のあるものは、 基本的には Trend Vision One Endpoint Security の Standard Endpoint Protectionで管理されるエージェントでも同様となります。

参照: [Trend Vision One]Trend Vision One Endpoint Securityのガイドライン

トレンドマイクロでは、Microsoft 社からの要請に基づき、2023年2月中旬より Azure Code Signing (ACS) を使用して各製品モジュールの署名をおこないます。

 

 

Azure Code Signing (ACS) の条件を満たすために、対応いただきたい事項

2023年2月中旬以降にリリースされる Apex One / Apex One SaaS のプログラムの適用を行うため、お客様がご利用されている Apex One サーバおよびセキュリティエージェントが導入されている端末にて、下記対応が必要になります。

  • ご利用の Windows のバージョンに応じて、Windows セキュリティパッチを適用する。
  • 証明書「Microsoft Identity Verification Root Certificate Authority 2020」を適用する。(ルート証明書の自動更新を無効化していたり、インターネット接続できないようなオフライン環境またはロックダウン環境の場合が対象となります。詳細は、以下の赤枠内の注意書きをご確認ください。)
 

詳細につきましては、以下の 製品Q&Aおよび赤枠内の記載をご参照ください。

お客様がご利用されている Windows OS のバージョンに応じて必要な Windows セキュリティパッチが適用されている端末であっても、ルート証明書の自動更新を無効化していたり、インターネット接続できないようなオフライン環境またはロックダウン環境でご利用いただいており、"信頼されたルート証明機関" に「Microsoft Identity Verification Root Certificate Authority 2020」が適用されていない場合には、個別にルート証明書を適用いただく必要がございます。

cer01.png

適用方法については、以下の 製品Q&A を参照してください。(リンク先は Apex One SaaS の 製品Q&A となりますが、Apex One でもご利用いただけます)

 

Azure Code Signing (ACS) の条件を満たさない環境での対応について

2023年2月中旬以降にリリースされる Apex One / Apex One SaaS プログラムは、必要な Windows セキュリティパッチおよびルート証明書が存在しない端末では正常に動作しません。

正常に動作しない事象を避けるため、以下日程で Apex One / Apex One SaaS をご利用の端末が Azure Code Signing (ACS) の条件を満たしているか、チェックする機能を実装予定です。

チェック機能の実装により、お客様の環境が Azure Code Signing (ACS) の条件を満たしていない場合、Apex One / Apex One SaaS の新規インストールおよびプログラムのアップデートが自動でブロックされるようになります。
(パターンファイルのアップデートについてはブロックされませんが、仕様は変化する可能性がある点についてご留意ください。)

 

■ Apex One :
Critical Patch (ビルド 12011) にて実装

 

■ Apex One SaaS :
2023年1月の定期メンテナンスにて実装
※ 2023年3月の定期メンテナンス以降に配信されるプログラムは ACS を使用して署名されておりますので、ACS の条件を満たしていないエンドポイントではセキュリティエージェントの新規インストールおよびプログラムのアップデートを自動でブロックされるようになります。

 

Apex One / Apex One SaaS の新規インストールおよびプログラムのアップデートがブロックされるということは、新しいビルドにアップデートできないことを意味します。
Apex One / Apex One SaaS を最新ビルドにアップデートしないままご利用いただく事は、最新のセキュリティリスク対応できかね危険性をはらむ事になります。
ブロックされる場合には、[Azure Code Signing (ACS) の条件を満たすために、対応いただきたい事項] セクションに記載の対応を可能な限り早めに適用くださいますようお願い申し上げます。

 

よくあるご質問

Apex One / Apex One SaaS プログラムが、必要な Windows セキュリティパッチおよびルート証明書が存在しない環境では正常に動作しない、とは具体的にどうなるのか。

正常に動作しない事態を避けるために、[Azure Code Signing (ACS) の条件を満たさない環境での対応について] セクションに記載されている対処をおこないます。
この対応がない場合、以下のように正常に動作しない事が想定されていました。

 


▼ セキュリティエージェント (Apex One および Apex One SaaS)

 

  • エージェントのプログラムおよびサービスが正しく機能しません。
  • Windows セキュリティセンターとの間に問題が発生し、セキュリティエージェントと Microsoft Defender の両方が有効になる場合があります。これにより、ログインが遅くなったり、アプリケーションがハングアップしたり、エンドポイントが応答しなくなる可能性があります。

▼ 管理サーバ (Apex One のみ)

  • 管理サーバのプログラムおよびサービスが正しく機能しません。
  • 管理サーバはエージェントのインストーラを正しく生成できません。

 

Apex One / Apex One SaaS の検索エンジンなどは、現時点 (2023年1月時点) では ACS で署名する予定はありませんが、将来的に ACS で署名された際には検索エンジンのアップデートに失敗する可能性も考えられます。

 

必要な Windows セキュリティパッチおよびルート証明書は、Apex One サーバとエージェント両方に必要なのか。

はい。Apex One サーバがインストールされているマシンおよび Apex One エージェントがインストールされているマシン、どちらでも必要です。

 

Apex One 管理コンソールのエージェントツリービューで、最小バージョン要件に記載の Windows セキュリティパッチおよびルート証明書の適用有無を確認することは可能か。

いいえ、できかねます。

 

利用している環境に必要な Windows セキュリティパッチの詳細が知りたい。

こちらの製品Q&A に記載がございますが、当該情報は Microsoft 社の KB5022661 を反映しているため、より詳細な内容については Microsoft 社にお問い合わせください。

 

Apex One / Apex One SaaS に実装された ACS チェック機能の詳細について教えてください。

■ Apex One :

Critical Patch (ビルド 12011) 以降のプログラムは ACS を使用して署名されておりますので、ACS の条件を満たしていない環境では管理サーバへの Patch 適用や,セキュリティエージェントの新規インストールおよびプログラムのアップデートが自動でブロックされるようになります。

(1) 管理サーバへの Patch 適用
ACS の条件を満たしていない管理サーバにて、Patch 適用をおこなうと以下のポップアップメッセージが表示され、Patch 適用がブロックされます。
onprem_acs02.png

(2) AutoPcc.exe を用いたエージェントの 新規インストール / プログラムアップデート
ACS の条件を満たしていないエンドポイントにて、インストーラの AutoPcc.exe を実行すると以下のポップアップメッセージが表示され、エージェントの新規インストールおよびプログラムアップデートがブロックされます。
----------
{ファイルパス} は Windows 上では実行できないか、エラーを含んでいます。元のインストール メディアを使用して再インストールするか、システム管理者またはソフトウェアの製造元に問い合わせてください。
----------
onprem_acs03_autopcc.png

(3) MSI ファイルを用いたエージェントの 新規インストール / プログラムアップデート
ACS の条件を満たしていないエンドポイントにて、インストーラの MSI ファイルを実行すると以下のポップアップメッセージが表示され、エージェントの新規インストールおよびプログラムアップデートがブロックされます。
※ 管理サーバコンソールのトップ画面からダウンロードした MSI ファイル,および クライアントパッケージャで作成した MSI ファイルが該当します。
----------
Apex Oneセキュリティエージェントをインストールできません。システムでAzure Code Signingがサポートされていません。最新のWindows updateを適用してから再度実行してください。
----------
onprem_acs05_console_msi.png

(4) EXE ファイルを用いたエージェントの 新規インストール / プログラムアップデート
ACS の条件を満たしていないエンドポイントにて、インストーラの EXE ファイルを実行すると以下のポップアップメッセージが表示され、エージェントの新規インストールおよびプログラムアップデートがブロックされます。
※ クライアントパッケージャで作成した EXE ファイルが該当します。
※ クライアントパッケージャで EXE ファイルを作成する際に「サイレントモード」を選択した場合は、1つ目のエラー画面のみ表示されます。
----------
{ファイルパス} は Windows 上では実行できないか、エラーを含んでいます。元のインストール メディアを使用して再インストールするか、システム管理者またはソフトウェアの製造元に問い合わせてください。
----------
onprem_acs06_clpck_exe.png
---------- (上記の画面で [OK] をクリックすると、以下のメッセージが表示されます)
Apex Oneセキュリティエージェントをインストールできません。システムでAzure Code Signingがサポートされていません。最新のWindows updateを適用してから再度実行してください。
----------
onprem_acs07_clpck_exe.png

(5) リモートインストールによる 新規インストール
ACS の条件を満たしていないエンドポイントに対して、リモートインストールをおこなうと管理コンソール上に以下のポップアップメッセージが表示され、エージェントの新規インストールがブロックされます。
onprem_acs08_remote.png

(6) エージェントプログラムのアップデート処理

既知の制限事項により、Critical Patch (ビルド 12011) より前のビルドを利用しているエンドポイントに対するエージェントプログラムのアップデート処理では、 ACS チェック機能によるブロックがされない場合がございます。
誠に恐れ入りますが、ACS チェック機能によるプログラムの配信ブロックが動作しない可能性がございますため、以下オンラインヘルプの情報をもとに、プログラムのアップグレードとHotFixの配信を禁止する設定での配信制御をご検討ください。

ACS の条件を満たしていないエンドポイントにて、プログラムのアップデート処理がおこなわれると イベント ビューアーに以下のログが記録され、プログラムのアップデートがブロックされます。
※ このログは一度だけ記録されます。その後はエンドポイントが ACS の条件を満たしているか定期的にチェックがおこなわれ、満たしていない場合はプログラムのダウンロードをおこないません。これにより、ダウンロードを何度も繰り返さないようにしています。ACS の条件を満たしている場合はプログラムのダウンロードをおこないます。
----------
[イベント ビューアー] > [Windows ログ] > [Application]
イベントID: 900
ダウンロードされた1つ以上のファイルに有効なデジタル署名が含まれていませんでした {ファイルパス}
----------
onprem_acs09_update.png

 

 

■ Apex One SaaS :

2023年3月の定期メンテナンス以降に配信されるプログラムは ACS を使用して署名されておりますので、ACS の条件を満たしていないエンドポイントではセキュリティエージェントの新規インストールおよびプログラムのアップデートが自動でブロックされるようになります。

(1) エージェントの新規インストール (スタンドアロンインストーラ)
ACS の条件を満たしていないエンドポイントにて、スタンドアロンインストーラの MSI ファイルを実行すると以下のポップアップメッセージが表示され、エージェントの新規インストールがブロックされます。
----------
Apex Oneセキュリティエージェントをインストールできません。システムでAzure Code Signingがサポートされていません。最新のWindows updateを適用してから再度実行してください。
----------
onprem_acs05_console_msi.png

(2) エージェントの新規インストール (Webインストーラ)
ACS の条件を満たしていないエンドポイントにて、Webインストーラの EXE ファイルを実行すると UI がないためポップアップメッセージは表示されませんが、イベント ビューアーに以下のログが記録され、エージェントの新規インストールがブロックされます。
----------
[イベント ビューアー] > [Windows ログ] > [Application]
イベントID: 11708
製品 Trend Micro Apex Oneセキュリティエージェント -- インストール操作に失敗しました。
----------
acs02.png

(3) エージェントプログラムのアップデート処理

注意事項1:

既知の制限事項により、2023年1月の定期メンテナンスより前のビルドを利用しているエンドポイントに対するエージェントプログラムのアップデート処理では、 ACS チェック機能によるブロックがされない場合がございます。
誠に恐れ入りますが、ACS チェック機能によるプログラムの配信ブロックが動作しない可能性がございますため、以下オンラインヘルプの情報をもとに、プログラムのアップグレードとHotFixの配信を禁止する設定での配信制御をご検討ください。


注意事項2:

後述するプログラムの繰り返しダウンロードの防止機能が実装されているのは、
2023年1月の定期メンテナンスで配信されるビルドとなります。

2022年12月の定期メンテナンス以前で配信されるビルドをご利用の場合、
ACS の条件を満たしていないためアップデートはブロックされるものの、
アップデート処理ごとにプログラムのダウンロードが繰り返される挙動を確認しております。

そのため、2022年12月の定期メンテナンス以前で配信されるビルドをご利用の場合、ACS の条件を
満たすまではプログラムのアップグレードとHotFix の配信を禁止する設定での配信制御をご検討ください。

ACS の条件を満たしていないエンドポイントにて、プログラムのアップデート処理がおこなわれると イベント ビューアーに以下のログが記録され、プログラムのアップデートがブロックされます。
※ このログは一度だけ記録されます。その後はエンドポイントが ACS の条件を満たしているか定期的にチェックがおこなわれ、満たしていない場合はプログラムのダウンロードをおこないません。これにより、ダウンロードを何度も繰り返さないようにしています。ACS の条件を満たしている場合はプログラムのダウンロードをおこないます。
----------
[イベント ビューアー] > [Windows ログ] > [Application]
イベントID: 900
ダウンロードされた1つ以上のファイルに有効なデジタル署名が含まれていませんでした {ファイルパス}
----------
onprem_acs09_update.png

 
キーワード: Trend Micro Apex One, Trend Micro Apex One as a Service, Apex One, Apex One SaaS, Azure Code Signing, ACS
コメント (0)