2016年07月26日

自動起動するのWindows Vista/7での動作について

各種CD/DVDでは、CD/DVDの自動動作機能により、Adobe Readerなどのソフトを自動的に起動して、
トップページ(目次ページ)を表示するようになっております。

CD/DVDをパソコンのCD/DVDドライブにかけた場合、Windows XPでは、そのままAdobe Readerなど
のソフトが自動的に起動され、トップページ(目次ページ)が表示されますが、Windows Vistaと7の場合は、
Vista/7の基本的機能の設定のため次のように動作いたしますので、ご承知のうえ、ご利用いただきますよう
お願いいたします。

なお、これは、弊社CD/DVDのみでなく、CD/DVDで自動起動が設定されているものは
すべて同様の動作をいたします。

Windows Vista/7の動作するパソコンに、CD/DVDをかけると次の画面が表示される。
プログラムのインストール/実行をマウスでクリックする。


次のように、例えば、Adobe Reader が自動的に起動されて、トップページが表示される。


以降、参照する項目をクリックして内容を表示する。

なお、「しおり」が設定されている場合は、次のように「しおり」ボタンをクリックして
しおりを開いて参照用目次として利用する。

しおりの項目をクリックするとその項目の内容ページが表示される。
  
Posted by softkeyjp at 17:46Comments(349)TrackBack(0)

2016年07月19日

怪しいアプリケーションは絶対に実行させない!


 アンチマルウェアによる保護はパターンマッチにより悪意のあるアプリケーション自体を検知して実行前に削除や隔離することで対応していたのに対し、あらかじめ信頼されたアプリケーションをホワイトリストとして登録しておき、このリストにあるアプリケーションのみ実行可能とする形で実装された機能が「Device Guard」だ。


 信頼されたアプリケーションかどうかの判断は、アプリケーションのコード署名の検証をベースに行われ、信頼された開発者のコード署名が付与されたアプリケーションだけが実行可能になっている。


 制御できるアプリケーションは、通常のWin32アプリ(EXE形式)や、ストアアプリ(Appx形式)に加え、DLLやスクリプトファイルも対象となる。




 まず、実際の展開の手順については「Device Guard 展開ガイド 」のサイトにまとまっているので、こちらを参照してほしい。


 実行を許可するアプリケーションの定義は、コード整合性ポリシーを作成する形で対応する。ポリシーの作成についてはPowerShellのコマンドレットが準備されており、ひな形になるデバイスにインストールされているアプリケーションをスキャンし、検出されたアプリケーションの証明書をベースにリストが作成される。


 そして作成されたポリシーファイルをGPO(グループポリシーオブジェクト)で展開することで、Device Guardの保護が有効になる。




 Device Guardはコード署名をベースにアプリケーションの実行可否を決定するわけだが、フリーウェアや既存のLOBアプリケーションにはコード署名がされていないものも少なくない。この場合には、許可するアプリケーションのハッシュ情報をリストに記述し、そのリストを署名することで、信頼されたアプリケーションとして実行可能になる。このリストは「カタログファイル」という情報で構成される。


 また、このリストを署名するための仕組みはビジネス向けWindowsストア に機能として実装されている。





 ビジネス向けWindowsストアの設定メニューに「Device Guardの署名」メニューがあり、ここから作成済みのカタログファイルを署名させることが可能となっている。


 なお、Device Guardであるが、非常に強力な制限をかけることが可能な機能であるため、使いどころには注意が必要だ。特定業務に特化したPCなど、アプリケーションの更新がほとんどかからないPCに対しては非常に相性がいい。しかし、ユーザーが任意にアプリケーションをインストールできたり、BYODで個人所有のPCを持ち込んでいるような場合では許可したアプリケーションしか実行できないため不具合が生じる可能性がある。この場合チェックはするが制限はしない「監査モード」で展開してログのみを取得するモードでの利用も併せて検討してほしい。


  
Posted by softkeyjp at 14:01Comments(1061)TrackBack(0)

2016年07月19日