Cylance Smart Antivirus を導入する
Cylance って聞いたことがありますか?
セキュリティ系のソフトでアンチウイルスやアンチマルウェア対策のものは数多くありますが Cylance(サイランス) は聞いたことがありますか?私自身、とある企業様のプロダクトに関わるまでは全然聞いたことがなかったのですがマルウェアが流行っている昨今、この Cylance が非常に注目されています。
そのとある企業様というのは当ブログでも何度か取り上げている MOTEX 様なのですが Cylance PROTECT という製品と連携しております。防御率は 99.9% の精度を誇るそう。しかもその防御率を誇る上で超軽量だとか。(従来型のシグネチャーベースの製品とは異なり当製品の場合はAIをベースとし防御を行うというのが特色)
個人向け製品はあるの?
実は Cylance PROTECT に関しては法人向けがメインであり、個人向けの製品は存在しておりません。Cylance Japan の FAQ ページでも記載していますが、「Cylance Smart Antivirus」という製品は英語版のみですがリリースされている状態です。ただし、日本語版でのリリース時期は未定であり、今回の導入はあくまでも自PCのみへの試験導入がメインです。
よくある質問(FAQ) | Cylance Japan株式会社
購入にあたり参考にしたページは下記のページです。早くから注目されていた方もいらっしゃるようです。
【SSS】企業クラス!?AI予測型のCylance Smart Antivirusは個人向けで軽量
かなり詳細に記載されているので、当ページでは躓きそうな部分のみ記載していくことにします。
と思いましたが、下記のスクリーンショットから先はクレジット情報を入力し折り返しのメールで Regist する、その後はダッシュボードを開設するために個人の情報を入力する、といった感じでそこまで難しいものはありませんでした。
ダッシュボードは下記のような感じです。まだデバイスを追加していない状態ですが、「デバイスを追加する」リンクから自PCのプラットフォームに合わせたものをダウンロードしトークンをコピーした上でインストールすればOKです。
登録後の画面は下記のような感じです。
CPU の使用率に関しては 0.8~2.0% での推移でした。使い始めたばかりではありますが軽くて良い感じですね。あとは、今後検知の実力がいかなるものか・・・・が楽しみです。(いや、検知されたくないんですが。。)
巷で話題の Emotet を知る
今、流行の Emotet とは?
昨年10月後半ころから観測されているマルウェアの1種でここ最近の中では一番よく耳にするマルウェアかと思います。Word ファイルを開いた際にマクロ実行することにより Emotet がダウンロードされ下記のような挙動を引き起こします。
・端末やブラウザに保存されたパスワード等の認証情報が窃取される
・窃取したパスワードを悪用され SMB によりネットワーク内に感染が拡散する
・メールアカウントやパスワードが窃取される
等 etc...
Wannacry の際も同様でしたがこの手のマルウェアは 445 ポートを利用する傾向があります。環境にもよりますが、ファイアウォール等でポートブロックの見直しが必要かもしれません。
感染しないために設定の見直しを!
Word ファイルを開いた際のマクロ実行に関しては下記のような設定で挙動が変わります。(参考例は Office 2013 のもの)
当画面は[ファイル]➡[オプション]➡[セキュリティ センター]➡[セキュリティ センターの設定]➡[マクロの設定]で確認可能です。
仮に一番下4つ目の設定になっていた場合はその名の通り危険なので見直しましょう。ちなみにですが、当設定値はレジストリ値でも確認可能です。下記例は 2013(15.0) の場合なので適宜ご自身が利用されているバージョンに置き換えてご確認下さいませ。
コンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Word\Security
「VBAWarnings」の値で判断することが可能で、前述の画像では上から 4 2 3 1 とマッピング可能です。なぜか 4 3 2 1 でないところがミソです。LanScope Cat を導入されている企業様の場合は管理しているクライアントPCのレジストリ値を確認することも可能なのでこの機会に見直してみてはいかがでしょうか?(ただし、一度以上設定を変更しない限りはデフォルトで 2 が設定されているようで当値は一度変更した上で表示されるようになりました。Excel 側も同様の仕組みです。)
感染しているか確認できないの?
少なくとも(怪しいなりすましの)添付の Word 文書でおかしなマクロを実行した覚えが無い限りは大丈夫だと思いますが不安な方は下記のツールをダウンロードしてチェックすることをオススメします。
実行して下記のメッセージが出力された画面が表示されれば問題ありません。
Windows Insider に参加する
またまた Ignite ネタですが
今年に入ってからブログの記事がまだ10本に行かない状態、、とややダラダラ気味です。日々の業務に励む中でもちょこちょこと書きたいネタがあるのですが帰宅してから中々PCに向かえないものです。
ひとまず、本日はPCに向かえたので前回の Azure Arc に続き Ignite ネタですが、 Windows Insider のことに関して書こうと思います。(Day 1 BRK30016)
Microsoft Ignite The Tour Tokyo に参加しました Day 1 - SE(しがないエンジニア)のブログ
Windows Insider ってなんぞや?
ひとことでいうと「Windows の未来を切り拓くためのユーザ参加型プログラム」です。もう少し詳細なところでは下記のページを参照して頂けると。(まんまですが。。)
Windows Insider Program について - Windows Insider
世に出る Windows の機能は先行して Insider Program に参加しているユーザへ開放され様々なフィードバックを受けます。フィードバックを通して改善され、一般公開されるといった流れなのですがこの「開放」や「フィードバック」に関して Windows Insider に参加していると体験することができます。
更にこの Insider Program に貢献するとその先に Windows Insider MVP に輝く可能性も!?
体験するための手順
前述の「Windows Insider Program について」にアクセスし「プログラムに今すぐ参加する」を押下します。
その後、Microsoft アカウントでログインするとページ遷移します。ちなみに、アカウントは組織のものでも個人のものでもどちらでもOKです。遷移した先で「Insider になる」を押下します。
その後は注意事項等を確認しつつ登録してください。完了後には「Windows 10 Insider Preview ビルドのインストール」という案内があります。
この手順に従い Preview ビルドをインストールします。Windows Insider Program を開始するにあたっての Insider の設定はひとまず推奨の「スロー」にしました。
設定後に再起動をしますが、WSUS 環境下だったからなのか再起動後に「Windows Insider Program」を選択するとなぜか再起動を繰り返しました、、それとも数度再起動するもの?結果、レジストリ「コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU」の「UseWUServer」の値を「0」にした後の再起動では問題ありませんでした。(通常は WSUS で運用しております)
Windows Update してみると?
適用後に元々のビルドと比較してみると進んでますね!
(前)
(後)
20H1 向けの機能一覧に関しては下記をご参照ください。
Azure Arc (Preview) に触れてみる
先日の Microsoft Ignite にて
当ブログでも取り上げましたが、アメリカのオーランドで開催された Microsoft Ignite にて Azure Arc というサービスが紹介されていました。「コレなんぞや?」というところに関してはサービス紹介記事を別途あげているのでご覧下さいませ。
Azure Arc (Preview) を試してみる
現状はまだGAされておらず、Preview 状態です。ただ、試すことは出来るので概要を知るために下記サイトを参考にして。
クイック スタート - サーバー向け Azure Arc を使用してマシンを Azure に接続する - ポータル | Microsoft Docs
対象となるOSとして
・Windows Server 2012 R2 以降
・Ubuntu 16.04 および 18.04
が挙げられており、今回は前者の Windows Server 環境で試してみます。
まずは、https://aka.ms/hybridmachineportal にアクセス。未だこの時点では Azure Arc のターゲットとなるマシンは存在しない為、「追加」を押下します。
続いての画面に関しては「大規模に~~」というのが今回の趣旨ではなさそうなので「対話型スクリプトを使用したマシンの追加」を選択します。スクリプトの生成に関しては下記の形で作成しております。「地域」に関してはメタデータの格納場所になりますが、本日時点では「西ヨーロッパ」・「東南アジア」・「米国西部 2」の3カ所のみです。
その後の確認画面ではサブスクリプションの登録の為に「登録」を押下、その間にスクリプトを対象の Windows Server 側で PowerShell で実行しましょう。ちなみにファイルをダウンロードするのでカレントパスは適宜移動しておいて下さいませ。(スクリプトの3つ目に関しては自環境の情報が含まれるので意図的に隠しております。笑)
3つ目のスクリプト実行を行った際に URL と コードが表示されるので(別マシンのブラウザでもOKなので)URL 入力してコードも入力しましょう。
この通りに進行すると PowerShell(Windows Server 側)の画面では数十秒後にレスポンスが戻ってきます。
level=info msg="Successfully Onboarded Resource to Azure" VM Id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
完了し次第、Azure Arc のホーム画面に戻ると・・・・?
無事追加されていました!Azure の Portal 上に自マシンがあると変な感じですね。笑
今後の動向も含めてチェックしていこうと思います!
追記(Appendix)
2020/02/05
死活監視としてオフラインになるまで20分弱かかったような。ドキュメント上では「5分以内」との記述があったのですが環境のせいなのか。。
ターゲットに対するポリシー(準拠しているかどうか)の適用ができますが、下記のような画面になります。印象としては「オンプレ < クラウド」寄りのポリシーが多い?感じです。
ブログ URL を独自ドメインから通常のものに戻しました
タイトルの通りとなりますが
当ブログの URL を独自ドメインから通常のものに戻しました。
(通常)https://btsn.hatenablog.com/
記事の内容に関しては路線変更等ありません!今後とも、宜しくお願い致します。
*暫くの間は「独自」側の記事にアクセスしても「通常」側に転送されるようにしております
追記(Appendix)
2020/02/22
(ついでにで)しれっとですが本日より「はてなスター」を再開するようにしました。深い意味は無いですがまた宜しくお願い致します!
プリザンターでサイトのデータ更新後に別サイトのデータも更新したい場合
ちょっとした Tips です
以前よりプリザンターに関する記事を数記事上げておりますが、最近はどっぷりとプリザンターに触れることがあるため少しずつ Tips を上げていこうと思います。
サイト更新後に別サイトも更新したい場合の Tips
早速サンプルスクリプトですが下記を参照下さい。処理内容に関しては一通りコメントに記載しております。
$p.events.after_send_Update = function (args) { // 対象となるサイトのID var hogeId = "(siteId)"; // 対象となるレコードを全て取得し update する var getJson = { 'id' : hogeId, 'data' : { // 対象のテーブルに対して更新する権限を持つ APIKEY を利用する "ApiKey": "(APIKEY)", "View": { "ColumnFilterHash": { // 「$p.id()」は現状更新しているレコードの ID を指す // (レコードの ID はキーとなるものを指す) "ClassY": $p.id(), } } }, 'done' : function(data) { if (data.StatusCode == 200 && data.Response.Data.length > 0) { for(var i in data.Response.Data) { // ColumnFilterHash 対策(部分一致のみな為) if($p.id() == data.Response.Data[i].ClassY) { var updateJson = { 'id' : data.Response.Data[i].ResultId, 'data' : { "ClassS": $("#Results_ClassA").val(), // 更新したいデータ1(一例) "ClassT": $("#Results_Title").val(), // 更新したいデータ2(一例) }, 'done' : function(data){ if (data.StatusCode == 200){ // 処理なし } }, 'fail' : function(){ alert("API Failed : hogehoge(update)"); } } $p.apiUpdate(updateJson); } } } }, 'fail' : function(){ $("body").css({ visibility: "visible" }); alert("API Failed : hogehoge(select)"); } } $p.apiGet(getJson); }
スクリプト内での注意点は以下の通りです。
・「更新」ボタンを押下した後の後処理として「$p.events.after_send_Update」を利用します
Pleasanter ユーザーマニュアル - 開発者向け機能:スクリプト機能:$p.events.after_send
・現状のプリザンターの仕様では API 経由の一括データ更新ができないため、(単一または)複数の取得したレコードを1件1件更新する形となります。
➡API 実行のオーバーヘッドは詳しく分からないですが早く一括更新に対応してほしいところ。。
・「ColumnFilterHash」に関しては現状の仕様で部分一致のみの為、SQL の where にあたるキーが完全に一意でない場合、取得した値はスクリプト側(JavaScript)にて完全に一致しているもののみ処理対象としております。
➡早く完全一致に対応してほしい。。(デフォルトが完全一致でオプションで部分一致にするとか)
追記(Appendix)
2020/02/05
「ColumnFilterHash」に関しては解釈の違いがありました、スミマセン。対象の項目が数値の場合は完全一致になるようなのでID系のように定めているフィールドに対しての検索は問題ないようです。
MOTEX Afterdays@東京に参加(+登壇)しました
MOTEX DAYS 2019 の延長線上にて
昨年 10/16(水) に MOTEX DAYS 2019 の事例発表会に登壇させて頂いたのをキッカケに MOTEX 様が運営するコミュニティに参加させて頂くことになりました。関西方面では既に第一弾が開催されていたのですが、本日は東京が第一弾でした!
私のような(ひとり)情シスの業務を下支えしてくれる LanScope Cat 活用法を皆で Give & Take するというのが当コミュニティの運営趣旨です。
実際に得られた発見・知見
MOTEX の間嶋様のセッションは利用法として「そんなこともできるのか!」と知見を得たセッションでした。ちょっとマニアックなのですがレジストリの値を LanScope Cat で取得する手法です。普段の業務ではレジストリの値を気にすることは無いのですが「あったらあったで便利だな」と感じてました。実はそれが出来るなんて。コレは今、猛威を奮っている Emotet が Word マクロに起因して発生する問題でとあるレジストリ値がどうかを確認することで Office Word でのマクロの扱いが確認できるとのこと。実際 Word や Excel でマクロを利用する文化はまだまだ数多く残っており Emotet を防止する意味でも JPCERT の推奨を守る意味でも確認した方が良さそうです。(JPCERTの推奨=「警告を表示して~~」、NG=「すべてのマクロを~~」)
他には Ver 9.0 から搭載されたカスタムアラームの利用法について。勝手な想像ですがメジャーバージョンアップ(8から9)にて当機能はかなりの目玉だったのかなと思います。今まで複合要因のアラートは拾えなかったものの当機能を利用することで拾えるようになったのはかなりの革命?というわけでありまして。登壇者の方曰く、テンプレートを利用しているというよりは「目的を持ったカスタムアラームを作ることが重要」とのことで自社でも早速活用していこうと思います。ちなみに、JSON が分かる人であれば複合要因の数を増やせることができるだとか。MAX は「3」で「4」は無理とのことですが。いずれにせよ、増えることで負荷が上がってしまいそうですね。笑
最後(大トリ!)の MOTEX 黒石様のセッションは今後の LanScope Cat のバージョンアップに関するお得情報の紹介ということで、コミュニティに参加するならではの中の方情報を教えて頂きました。それ以外に隣に座っていたこれまた MOTEX の丸山様とのお話で Splunk との連携によるデータ可視化のことをお伺いし、内容としてかなり興味深かったです。その後のネットワーキングも中の方との交流(技術的な見解)を含め、参加して下さった他社の皆様と名刺交換等もできて大満足でした。
*黒石様のセッション Only で試験的に行っていたテロップが流れるサービスは面白かったです(名前忘れた・・・・。)
今後のコミュニティに関して
折角、ご縁あって始まったということもありまして、ゆっくりゆっくりと人を増やしていきつつ盛り上げて行きたいなと思います。あとは(最近あまり Cat を触れてないので一段落したら)Cylance や Syncpit に触れたりして機会あればまた前でお話したいと考えてます!
*ちなみに、今日は15分のところを20分ちょい話してしまい(猛)反省。そもそも、事例発表会の時が20分だったのにそれに軽く肉付けして15分に詰めようとしたのが間違いでした。泣
Chronium ベースの Edge を体感する
Edge が Chronium ベースに!
昨年12月の Microsoft Ignite The Tour でこれに関するセッションを拝聴していたのですが、予定通り日本時間では本日2時頃?に無事リリースされていたようです。
Microsoft Ignite The Tour Tokyo に参加しました Day 1 - SE(しがないエンジニア)のブログ
ちなみに、現状のダウンロード先はこちらから。
https://support.microsoft.com/ja-jp/help/4501095/download-the-new-microsoft-edge-based-on-chromium
ダウンロード・インストールは特段迷う事はなさそうなのでスクリーンショットは割愛致します。(最近のインストーラはサイズ自体が小さくて残りはインストーラ立ち上げ後のダウンローダ、というのがメインなようですね。Chromeもそう。)
触ってみた所感(随時追記)
Ignite The Tour の内容をベースに所感をまとめようと思いますが、間違い等がありましたらご指摘お願い致します。
・「e」という形は維持されている感じもあるのですが「e」感がなくなりましたよね
・赤枠で囲んでいる部分はオンプレ AD のログイン名が出ている感じでした。ただ、設定を見る限りではこの職場アカウントは同期が取れないようです。しょんぼり。
・Google Chrome から情報をインポートしてみましたがお気に入りはインポートされたもののログイン情報は一部?インポートが失敗したようです。
・左が Edge で右が Chrome のバージョン情報、79のメジャーバージョンは一緒なのですが以降のバージョンは若干のズレがあるんですね。ちなみに Apache のアクセスログで抽出した結果の UA は下記のようでした。(一部抜粋)
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36 Edg/79.0.309.65"
・Ignite The Tour の際にも取り上げた話ですが、Edge 関連の GPO に関しては下記のページよりテンプレートがダウンロードできるようです。組織内で Edge の設定等で制御したい場合は是非。
https://www.microsoft.com/en-us/edge/business/download
・「F12」キーで開発者モード?が出るのは一緒なのですが、試しに同条件(タブ数1)で「Network」タブの Finish 時間を見てみました。「https://www.btsn.xyz/」で描画したところ気持ち Edge の方が早かったのですが飛びぬけた差はありませんでした。
グループポリシーを学ぶ
グループポリシーを学ぶ前に
グループポリシー自体はあくまでも Active Directory(以下AD) 内でコンフィギュレーション管理をするための手段であり、その AD がいつ頃から存在したのかを知る必要があります。下記の記事が歴史を知る上で非常に良くまとまっていて参考になります。
カリスマITトレーナーが見てきたActive Directory 15年の変遷 (1/4):過去、現在、そして未来へ! AD進化の歴史を振り返る - @IT
最新の Windows Server 2019 でも勿論 AD の機能は主要機能として存在していますし、初期の 2000 の頃から考えても、優れた設計思想で作られたということに関心します。
ちなみに、AD を運用している企業内のクライアントPCはドメインというユーザーやコンピュータの管理体に参加してデータベース化されます。そのデータベース化されたユーザーやコンピューターに対して制御を行うものがグループポリシーになります。(かなり噛み砕いた説明になりますが)
仮に10人の組織体の場合であれば同じ設定を10回施すだけで良いのですが、100人の組織体に同じ設定をしてくださいどうぞ、となった場合は作業コストを考えるだけでゾッとしてしまいます。これを100人に対して実施してくれるのが前述の仕組みです。
本題に入ります
実は当ブログの過去記事でもこのグループポリシーを利用した制御を数例挙げているのですが改めて挙動を含め調べてみたいと思い、原点に立ち返った記事を作成してみました。
Active Directory環境下でGPOを利用してスクリーンセーバーを設定する - SE(しがないエンジニア)のブログ
これはほんの一例であり、2012 R2 / 8.1 での組み合わせの際で管理用テンプレートが「3631」だったとのことで今は 2019 になっていますしその数は「4000」を超えているのかなと。それくらい細かく制御できるということなのですね。
ちなみに、グループポリシーを学ぶ上で下記の分類は押さえた方が良さそうです。
・ポリシー
・基本設定(GPP ・・・ Group Policy Preference)
実は「基本設定」の方は全く利用していなかったのですが、2者には4つの違いがあります。
☆強制力
「ポリシー」➡一部の例外を除きクライアント側の設定画面で変更不可。強制力有。
「基本設定」➡設定した項目はクライアント側で設定変更可能。強制力無。
☆適用範囲
「ポリシー」➡GPOをリンクしたコンピューター/ユーザーアカウントすべて
「基本設定」➡「ターゲット」機能で特定の条件に当てはまるものに絞れる
☆設定方法
「ポリシー」➡定型画面から「有効」・「無効」にて切り替える
「基本設定」➡ポリシーより細かい設定が必要
☆復元性
「ポリシー」➡GPOのリンクを削除・無効にした場合は適用前に戻る
「基本設定」➡設定が戻らないので適用前に戻すためには再設定が必要
4点目の復元性に関してなぜこのようなことが起きるかというとポリシーは通常のレジストリ領域に触れるのに対して基本設定はポリシー向けのレジストリ領域に触れています。(この辺は別記事で検証してみる予定です)
ちなみに上記の GPO(Group Policy Object) に関しては「ポリシー」とはまた別の意味でポリシーや基本設定を集めた集合体として捉えて頂ければ大丈夫です。
設定したグループポリシーはクライアントにどう適用されるのか?
これは古くから変わっていないようなのですが、
☆コンピュータ ・・・ コンピュータの起動時(レジストリ:HKLM)
☆ユーザー ・・・ ユーザーのサインイン時(レジストリ:HKCU)
以降は 90~120 分の更新間隔で更新がかかります。(ドメイン間の更新間隔は5分)
[コンピュータの構成]➡[ポリシー]➡[管理用テンプレート]➡[システム]➡[グループポリシー]に変更できる項目もありますのでよかったらご参照下さい。なお、即時反映したい場合はみんな大好き?な下記コマンドをクライアント側で実行することにより適用可能です。(要管理者権限)
gpupdate /force
ちなみに、ポリシーの適用はプッシュではなくプルです!「ガチガチの設定にするためにプッシュで送り込んでるんやろ!」というイメージは持ちませんように。。
プルされたものは「%systemroot%\System32\GroupPolicy」に構成され、最終的にレジストリへ適用される形となります。
ちょっぴり(十分?)マニアックではありますが下記のサイトからダウンロードできる Excel 表にてレジストリとの対応表を確認することが可能です。
と、ここまでで取り上げている部分はあくまでもグループポリシーの導入部分なのでまだまだ奥の深い世界、これからも追い続けたいと思います!(継承他 etc...)
Thunderbird のダークモードを解除する(Windows 10)
2020年になりました、今年も宜しくお願い致します。
2020年になっての初投稿なので年始のご挨拶をさせて頂きます。私の場合は9連休基本グダグダしたまま過ごしてしまいました・・・・ハイ、一番いけない過ごし方ですね。そして、本日が年始初出勤でしたが案の定、あまり頭が回りませんでした。笑
「明日から本気出す」をモットーに毎日頑張ろうと思います。(ぉぃ
Thunderbird のダークモードが見にくいやないかい!
Thunderbird のとあるバージョンから急にダークテーマ(元は白)に切り替わったのですがこれが割と見にくくて。マイナーバージョンアップでUI改善もされているようなのですが元の白に戻す方法を共有致します。私の場合ですが標準?は Thunderbird のテーマが「既定」になっており、OSの配色設定に依存します。
1. Windows 10 側のダークモードを保持しつつ戻したい場合
[三(メニュー)]➡[アドオン]➡[アドオン]より[テーマ]で「Light」を有効化する。
上記画像は既に有効化状態なのでボタンは「無効化」となっております。
2. そもそも Windows 10 側のダークモードを解除する
こちらは根本からということで。
[設定]➡[個人用設定]➡[色]にて「白」を選択
同じ画面にて「カスタム」を選択してアプリモードのみ「白」を選択
のいずれかになります。この辺は好みがあると思いますので。以上です。