DS20.derはインストールしていただく必要のある公開鍵のうちの一つです。
このDS20.derは有効期限が2024年11月26日に設定されています。
詳細はAgentのLinux Secure Bootの設定をご覧ください。
DS20.derの有効期限切れの影響を受けるOSと条件
- Linux Secure Bootのサポートにて、DS20.derをサポートしているOS。
- お客様の環境において、上記OSにDS2022.derがインストールされていない状態。
DS20.derの有効期限切れ後の影響
- 既にDS20.derが登録されているSecure Boot環境
インストールされているDSA・Kernel Support Package (以下、KSP)は継続して利用可能です。
DS20.der期限切れ以降にリリースされたDSA・KSPのビルドを適用しないでください。(※1) - 新規作成またはDS20.derを登録していないSecure Boot環境
DS20.derおよび、DS20.derの期限切れ以前にリリースされたDSA・KSPのビルドはインストールしないでください。(※1)
(※1)
実施した場合、下記のような影響が発生します。
- DSAが正常に動作しない
- DSAがインストールできない
- DSAパフォーマンスの低下
- 不正プログラム対策機能の基本機能での動作
基本機能の詳細については警告:不正プログラム対策エンジンが提供する基本機能をご確認ください。 - 不正プログラム対策機能以外の機能が利用できなくなる
更新が必要な理由
公開鍵の更新が必要な理由としては以下となります。
Secure Boot が有効になっている場合、コンピュータの Linux カーネルは、
カーネルモジュールがロードされる前に各カーネルモジュールの PKI 署名をチェックします。
署名されていないカーネルモジュールや無効な署名のモジュールはロードされません。
参考:
https://help.deepsecurity.trendmicro.com/20_0/on-premise/ja-jp/agent-linux-secure-boot.html
上記の通り、期限切れの署名により正常にロードがされず機能が使用できなくなるといった理由となります。
上記のカーネルモジュールがロードされるタイミングとしては端末再起動やON/OFF時に行われます。
対処方法
Linux Secure Bootの設定についてはAgentのLinux Secure Bootの設定をご確認ください。
各公開鍵の有効期限については、「公開鍵の有効期限が切れています」の項目をご参照ください。
なお、上記項目に記載の通り、DSA20でセキュアブートを使用するには、DS2022.der、DS20_V2.der、およびDS20.derキーを登録する必要があります。