ソフトウェア配布コントロールについて
保護対象デバイスでのソフトウェア配布も制御する必要がある場合、アプリケーション起動コントロールルールの生成は複雑になる可能性があります。たとえば、保護対象デバイス上にインストールされたソフトウェアが定期的に自動アップデートされるなどの特性を考慮する必要があります。この場合、ソフトウェアのアップデート後に毎回、許可ルールのリストをアップデートし、新しく作成されたファイルがアプリケーション起動コントロールタスクの設定に反映されるようにする必要があります。ソフトウェアの配布シナリオで起動コントロールを簡略化するために、ソフトウェア配布コントロールのサブシステムを使用できます。
ソフトウェアの配布パッケージは、保護対象デバイスにインストールされるソフトウェアアプリケーションを表します。各パッケージには 1 つ以上のアプリケーションが含まれており、特にソフトウェアアプリケーションまたはアップデートをインストールしている場合は、アプリケーションに加えて個々のファイル、アップデート、さらに個々のコマンドが含まれることもあります。
ソフトウェア配布コントロールのサブシステムは、追加の除外リストとして実装されます。ソフトウェアの配布パッケージをこのリストに追加すると、これらの信頼するパッケージの展開、および信頼するパッケージによってインストールまたは変更されるソフトウェアの自動起動が許可されます。抽出したファイルは、展開元の配布パッケージの信頼する属性を継承することができます。展開元の配布パッケージは、ソフトウェア配布コントロールの除外リストにユーザーが追加して信頼するパッケージとなったものです。
Kaspersky Embedded Systems Security は、ソフトウェアの配布のフルサイクルのみを管理します。パッケージが初めて起動された時にソフトウェア配布コントロールがオフになっている場合、またはアプリケーション起動コントロールコンポーネントがインストールされていない場合、信頼するパッケージによって変更されたファイルの起動を正しく処理できません。
アプリケーション起動コントロールタスクの設定で、[実行ファイルにルールを適用する]がオフになっている場合は、ソフトウェア配布コントロールは使用できません。
ソフトウェアの配布のキャッシュ
Kaspersky Embedded Systems Security は、動的に生成されたソフトウェア配布のキャッシュ(「配布キャッシュ」とも表記)を使用して、信頼するパッケージとソフトウェアの配布中に作成されたファイルとの関連付けを確立します。パッケージの最初の起動時に、Kaspersky Embedded Systems Security はソフトウェアの配布処理中にパッケージから作成したすべてのファイルを検知し、ファイルのチェックサムとパスを配布キャッシュに保存します。その後、既定では、配布キャッシュのすべてのファイルの起動が許可されます。
ユーザーインターフェイスから配布キャッシュを更新、クリア、または手動で変更することはできません。キャッシュは Kaspersky Embedded Systems Security によって追加および管理されます。
コマンドラインのオプションを使用して配布キャッシュを設定ファイルに(XML 形式で)エクスポートしたり、キャッシュをクリアできます。
配布キャッシュを設定ファイルにエクスポートするには、次のコマンドを実行します:
kavshell appcontrol /config /savetofile:<フルパス> /sdc
配布キャッシュをクリアするには、次のコマンドを実行します:
kavshell appcontrol /config /clearsdc
Kaspersky Embedded Systems Security は、配布キャッシュを 24 時間ごとにアップデートします。前に許可されたファイルのチェックサムが変更されると、そのファイルのレコードが配布キャッシュから削除されます。アプリケーション起動コントロールタスクが[処理を実行]モードで開始された場合、このファイルのそれ以降の開始試行はブロックされます。前に許可されたファイルのフルパスが変更された場合は、チェックサムは配布キャッシュに保存されたまま残るため、それ以降のこのファイルの起動の試行はブロックされません。
抽出したファイルの処理
信頼するパッケージから抽出したすべてのファイルでは、パッケージの最初の起動時に信頼属性が継承されます。最初の起動後にチェックボックスをオフにした場合、このパッケージから抽出されたすべてのファイルでは継承された属性が維持されます。抽出されたすべてのファイルで継承された属性をリセットするには、配布キャッシュをクリアして、[この配布パッケージから作成されたプログラムの今後の配布を許可する]をオフにしてから信頼する配布パッケージをもう一度起動する必要があります。
信頼する展開元の配布パッケージによって作成・抽出されたファイルとパッケージでは、除外リストに含まれるソフトウェアの配布パッケージを最初に開いてファイルとパッケージのチェックサムが配布キャッシュに追加された時に、信頼属性が継承されます。このため、配布パッケージ自体とこのパッケージから抽出されたすべてのファイルも信頼されます。既定では、信頼属性を継承するレベルの数に制限はありません。
抽出したファイルは、オペレーティングシステムの再起動後でも信頼属性を維持します。
[この配布パッケージから作成されたプログラムの今後の配布を許可する]のオンまたはオフによって、ファイルの処理がソフトウェア配布コントロール設定で指定されます。
たとえば、他のパッケージやアプリケーションをいくつか含むテスト用の .msi パッケージを除外リストに追加してチェックボックスをオンにします。この場合、テスト用の .msi パッケージに含まれるすべてのパッケージとアプリケーションは、他のファイルを含む場合に、実行または抽出が許可されます。このシナリオは、すべてのネストされたレベルで抽出されたファイルに対して有効です。
テスト用の .msi パッケージを除外リストに追加して[この配布パッケージから作成されたプログラムの今後の配布を許可する]をオフにすると、(最初のレベルでネストされる)展開元の信頼するパッケージから直接抽出したパッケージと実行ファイルにのみ、信頼属性が割り当てられます。そのようなファイルチェックサムは、配布キャッシュに保存されます。2 番目以降のレベルでネストされるすべてのファイルは、「既定で拒否」の原則によってブロックされます。
アプリケーション起動コントロールルールリストとの影響関係
ソフトウェア配布コントロールのサブシステムの信頼するパッケージのリストは、除外のリストであり、アプリケーション起動コントロールルールの全般リストを補完しますが、置き換えるものではありません。
アプリケーション起動コントロールルールによる拒否は、最も優先されます。これらのパッケージとファイルがアプリケーション起動コントロールの拒否ルールによって影響を受けている場合、信頼するパッケージの展開と新しいファイルまたは変更されたファイルの起動がブロックされます。
アプリケーション起動コントロールリストの拒否ルールがこれらのパッケージとファイルに適用されていない場合、ソフトウェア配布コントロールの除外リストが、これらのパッケージによって作成または変更された、信頼するパッケージとファイルの両方に適用されます。
KSN の判定の利用
ファイルを信頼しないという KSN の判定は、ソフトウェア配布コントロールの除外リストよりも優先されます。これらのファイルを信頼しないとの判定を KSN から受け取っている場合、信頼するパッケージの展開、またはこのパッケージによって作成または変更されたファイルの起動はブロックされます。
この場合、信頼するパッケージから展開された後で、すべての子ファイルはアプリケーション起動コントロールの範囲内で KSN の使用に関係なく実行が許可されます。さらに、[KSN で信頼されていないアプリケーションを拒否する]および[KSN で信頼されているアプリケーションを許可する]の状態は、[この配布パッケージから作成されたプログラムの今後の配布を許可する]の操作に影響します。