クリーンPCモード
これも前回のテストと同様に、自動サンドボックス、ファイアウォールは無効にして、ファイル評価のチェックは全部外し、プリセットの設定はCOMODO - Proactive Securityでテストしてみます。
HIPSをクリーンPCモードにしてメモ帳を開くと、アラートもなく開き、名前を付けて保存もアラートが出ません。クリーンPCモードにした時点でPC内にある実行ファイルのどれもが、HIPS監視対象から外れています。設定を見てみますと、
ファイル評価のクラウド検索を有効にする、信頼するアプリケーションの署名は無効にしているので、信頼するファイルには追加されていません。かと言って、
HIPSルールにも何も追加・変更がありません。
クリーンPCモードにした時点でPC内にある実行ファイルは、ルールや信頼するファイル関係なしにHIPSの監視から外れるようです。また、そんな場合でも「安全なアプリケーションのルールを作成する」にチェックを入れると許可ルールが作成されます。
(ルールが既に存在する場合、セーフモードでの時と同じような処理になるようです※信頼するファイルとHIPSルールの競合について)
※このルールが作成されるのに少しタイムラグが有るようで、アプリを実行後直ぐにHIPSルールを確認してみてもルールに無く、数秒経ってルールを開き直すとルールが出来ているという現象を確認しています。このせいで、何度もルールが作成されるのかされないのか、チェックする羽目になりました。
(ルールが既に存在する場合、セーフモードでの時と同じような処理になるようです※信頼するファイルとHIPSルールの競合について)
※このルールが作成されるのに少しタイムラグが有るようで、アプリを実行後直ぐにHIPSルールを確認してみてもルールに無く、数秒経ってルールを開き直すとルールが出来ているという現象を確認しています。このせいで、何度もルールが作成されるのかされないのか、チェックする羽目になりました。
では、”クリーンPCモードにした時点でPC内にあった”notepad.exeをデスクトップにコピーしてみて実行してみるとどうなるのかといいますと、セーフモードやパラノイドモードと同様アラートが出て、同時に「認識されていないファイル」へ追加もされます。
当然新しくファイルをダウンロードしてきたり、クリーンPCモードにした後にUSBメモリを繋げて、その中のファイルを実行する場合も同様にアラートが出て、「認識されていないファイル」のリストへ追加されます。
勿論、新しいファイルであっても、ファイル評価のチェックで「信頼するファイル」に追加された場合、アラートは出ず、「認識されていないファイル」への追加もありません。
自動的に許可ルールが作られていきます。アラートは発生しません。
(こちらもルールが既に存在する場合、クリーンPCモードと同様です。)
ファイル評価で信頼出来るファイルと判別出来れば、「信頼するファイル」にも追加されます。
(全ての実行ファイルが許可ルールになっていくので、許可ルールの自動作成以外、使い所が無いモードのような気がします…)
最初から定義されているのは、
あれ、アラートが出てしまいました。tess.exeと言うのは、書きだした内包exeファイルです。それが実行され、直接ディスクアクセスしようとしているところでアラートが出たようです。
ということは、test2.exeがtess.exeファイルを書き出し(保護される場所なので通常はアラートが出る設定です)、それを実行するところまでは許可されたことになります。
しかし、その書きだしたexeファイルは信頼されていないようで、監視項目に引っ掛かりアラートが出ました。マニュアルでは、このファイルも信頼するというように読めたのですが…。
あれこれ試してようやく分かったのですが、”アラート上で”「インストーラーまたはアップデート」を選んだ時の”その動作時のみ”、この特別な振る舞いになるようです。
もう一度、ルールを元の状態にしてtest2.exeのルールは削除し、test2.exeを実行してみます。explorer.exeのアラート後に、ルールが無いのでtest2.exeのアラートが出ます。
ここで、「インストーラーまたはアップデート」のルールを選択します。
その後ウィンドウが表示され、内部exe実行ボタンを押したところ、アラートが出ずに内包exeが実行され、またそこにある内部exe実行ボタンを押したところ、更に内包されたexeがアラートもなく実行出来ました(この自作アプリは、2重のexeファイルを内包しています)。
ルールセットにあるAllowed ApplicationやWindows System Applicationは、その実行ファイルにだけ許可を与え、そこから実行した他のファイルについては、信頼していませんが、マニュアル通りこの「インストーラーまたはアップデート」はそこから実行した他のファイルまで信頼しています。
上でも書きましたがこの動作はその時のみで、アプリケーションを終了させ、再度実行した時には、この特別なルールは継続されないようです。
ということは、explorer.exeから他のファイルを実行するときにexplorer.exeのルールとして「インストーラーまたはアップデート」を選んでは絶対ダメということですね。
またファイル評価の「信頼されたインストーラによってインストールされたファイルを信頼する」にチェックを入れた場合、
上記の特別な動作時に作成した実行ファイルは「信頼するファイル」に追加されます。※既存のファイルの上書きでは追加されません。
こうやっていろいろ試していると、しょっちゅう設定ウィンドウを開いている最中にアラートが入ります。
例えば、デフォルトのルールしかない時点で設定ウィンドウを開き、そのままメモ帳を起動すると、関連するアラートが出ます。アラートで、許可やブロックのルールを作った後、デフォルト状態の設定ウィンドウをOKで閉じた場合どうなるのか。
メモ帳のルールがある状態で設定ウィンドウを開き、メモ帳を起動してアラートからルールを決定後、設定ウィンドウのメモ帳ルールの一部を変更してOKで閉じた場合、アラートで作成したルールと設定ウィンドウから変更したルールはどうなるのか。
どうやら設定ウィンドウの表示は、開いた時の状態しか表示できない(最新の状態に更新できない)ものの、設定自体は同時に設定出来ているようです。
つまり、デフォルト状態で設定を開いてルールをアラートで作成後、設定をOKで閉じても、ちゃんとアラートで作ったルールが残っていて、次回設定を開いた時にそのルールは表示されます。
またルールがある場合でも、設定から変更したルールもアラートから変更したルールも有効で、もし同じ項目を両方から変更した場合は、後から変更したほうが有効という感じでした。
当然新しくファイルをダウンロードしてきたり、クリーンPCモードにした後にUSBメモリを繋げて、その中のファイルを実行する場合も同様にアラートが出て、「認識されていないファイル」のリストへ追加されます。
勿論、新しいファイルであっても、ファイル評価のチェックで「信頼するファイル」に追加された場合、アラートは出ず、「認識されていないファイル」への追加もありません。
トレーニングモード
(こちらもルールが既に存在する場合、クリーンPCモードと同様です。)
ファイル評価で信頼出来るファイルと判別出来れば、「信頼するファイル」にも追加されます。
(全ての実行ファイルが許可ルールになっていくので、許可ルールの自動作成以外、使い所が無いモードのような気がします…)
インストーラーまたはアップデートについて
ルールは細かく監視項目毎にカスタマイズ出来ますが、それらをまとめて名前を付けて、ルールセットとして定義し、アラートや設定時に適用することが出来ます。- Allowed Application
- Windows System Application
- Isolated Application
- Limited Application
の4つで、例えばIsolated Applicationの内容はどうなっているのかを確認したい場合、ルールセットの画面でその項目をダブルクリックするなどして確認できます。
ところが定義には無いのに、ルール設定やアラートの時にだけ選べるルールセット「インストーラーまたはアップデート」というものがあります。
これは何かと調べたところ、このルールにすると信頼出来るインストーラーに認識され、動作は全て許可され、更にその作成したファイルも信頼出来るファイルと見なされるとのことです。
ということは、Allowed ApplicationやWindows System Applicationよりもセキュリティが低い設定ということになるかと思います。
このルールを適用するには慎重に行うよう、マニュアルには書かれてありました。
このルールを適用するには慎重に行うよう、マニュアルには書かれてありました。
また、このルール設定を行うときに確認メッセージも表示されます(アラート時には出ません)。
そこで、セーフモードでちょっとしたテストをしてみました。
別のexeファイルを内包したアプリケーションを作成し、それらの実行が全て許可されるのかの実験です。
自作exeのルールを「インストーラーまたはアップデート」にします。
実行すると、explorer.exeでtest2.exeを実行するかのアラートが出て、許可をすると以下のウィンドウが出ます。
この内部exe実行ボタンを押すと、内包したexeファイルを書き出しそれを実行する処理になります。ルール設定が「インストーラーまたはアップデート」なので、それらは全て信頼されてアラートが一切出ずに実行されるはずですが…。
ということは、test2.exeがtess.exeファイルを書き出し(保護される場所なので通常はアラートが出る設定です)、それを実行するところまでは許可されたことになります。
しかし、その書きだしたexeファイルは信頼されていないようで、監視項目に引っ掛かりアラートが出ました。マニュアルでは、このファイルも信頼するというように読めたのですが…。
あれこれ試してようやく分かったのですが、”アラート上で”「インストーラーまたはアップデート」を選んだ時の”その動作時のみ”、この特別な振る舞いになるようです。
もう一度、ルールを元の状態にしてtest2.exeのルールは削除し、test2.exeを実行してみます。explorer.exeのアラート後に、ルールが無いのでtest2.exeのアラートが出ます。
その後ウィンドウが表示され、内部exe実行ボタンを押したところ、アラートが出ずに内包exeが実行され、またそこにある内部exe実行ボタンを押したところ、更に内包されたexeがアラートもなく実行出来ました(この自作アプリは、2重のexeファイルを内包しています)。
上でも書きましたがこの動作はその時のみで、アプリケーションを終了させ、再度実行した時には、この特別なルールは継続されないようです。
ということは、explorer.exeから他のファイルを実行するときにexplorer.exeのルールとして「インストーラーまたはアップデート」を選んでは絶対ダメということですね。
またファイル評価の「信頼されたインストーラによってインストールされたファイルを信頼する」にチェックを入れた場合、
上記の特別な動作時に作成した実行ファイルは「信頼するファイル」に追加されます。※既存のファイルの上書きでは追加されません。
設定のタイミング
例えば、デフォルトのルールしかない時点で設定ウィンドウを開き、そのままメモ帳を起動すると、関連するアラートが出ます。アラートで、許可やブロックのルールを作った後、デフォルト状態の設定ウィンドウをOKで閉じた場合どうなるのか。
メモ帳のルールがある状態で設定ウィンドウを開き、メモ帳を起動してアラートからルールを決定後、設定ウィンドウのメモ帳ルールの一部を変更してOKで閉じた場合、アラートで作成したルールと設定ウィンドウから変更したルールはどうなるのか。
どうやら設定ウィンドウの表示は、開いた時の状態しか表示できない(最新の状態に更新できない)ものの、設定自体は同時に設定出来ているようです。
つまり、デフォルト状態で設定を開いてルールをアラートで作成後、設定をOKで閉じても、ちゃんとアラートで作ったルールが残っていて、次回設定を開いた時にそのルールは表示されます。
またルールがある場合でも、設定から変更したルールもアラートから変更したルールも有効で、もし同じ項目を両方から変更した場合は、後から変更したほうが有効という感じでした。