2024.2.29更新 ACSを義務付ける新クライアントのリリーススケジュールを明確化。
14.2.2024更新 にリンクされている。 カスタマーサポートの記事また、Elements Security Center 、ACSサポートの欠落を反映した新しいステータスを文書化した。
2024.1.16更新 2024年2月に予定されているクライアントの変更に伴い、この変更が必須となることを追記しました。
2023.5.24更新 管理者向けに、オペレーティングシステムにパッチを適用した後に何をすべきかの手順を追加しました。
更新済み22.5.2023:クライアントセキュリティ、サーバーセキュリティ、および電子メールとサーバーセキュリティのHotfixをリリースしました。このHotfixは、セキュリティコアの再インストールのトリガーとなります。
https://www.withsecure.com/en/support/download
更新済み16.5.2023WithSecure Elements Security Center は、これらの要件を満たしていないホストについて、説明とこの記事へのリンクを管理者に通知し、必要なMicrosoftパッチを適用できるようにしました。
更新済み 10.5.2023 9.5.2023現在、この変更は 必須。Ultralightアップデートのインストールに失敗する場合は、以下の詳細に従ってシステムにパッチが適用されていることを確認してください。この記事中の3月3日への言及は初回公開時に有効でしたが、この変更を伴う最初の実際のリリースは5月9日に行われました。
更新済み22.2.2023 さらなる明確化のために記事を書き直す。
更新済み 14.2.2023、いくつかの部分を明確にする
サイバー犯罪者が小さな脆弱性さえも突いて、あなたのデバイスやデータにアクセスしようとする世界では、オペレーティング・システムを最新のベンダー・パッチ・レベルに維持することが本当に重要です。
マイクロソフト、アップル、グーグル、すべてのLinuxベンダーを含むすべてのOSベンダーは、脅威を減らすために、利用可能な最新のパッチをデバイスに定期的に適用することを強く推奨している。
パッチが適用されていないオペレーティング・システムを使用することは危険であり、WithSecure は常にパッチを最新の状態に保つことを推奨している。
時折、ソフトウェアベンダーは、OSの最低サポートバージョンに関する要件を変更することがある。マイクロソフトは現在、サードパーティ製ソフトウェアに含まれる特定の種類のファイルについて、最小パッチレベルを2021年10月とすることを要求しており、WithSecure 、これに合わせて要件を変更している。
背景
Microsoft Windows上のWithSecure エージェントは、Protected Process Light (PPL)と呼ばれるWindowsのメカニズムを使用して、管理者レベルのユーザーによる改ざんから重要なサービスを保護します。
Microsoftは最近、すべてのセキュリティ・ベンダーに影響するPPLバイナリの新しいコード署名要件を導入した。これらのバイナリは、以前はベンダーが独自のデジタル証明書を使用して署名することができましたが、現在ではAzure Code Signing(ACS)を使用して署名する必要があります。この ACS 要件により、顧客のエンドポイントは ACS 署名を検証するために必要な依存関係を持つ必要があります。
2023年3月3日に何が起こるのか?
2023年3月3日に、PPLバイナリを署名するためのレガシー証明書WithSecure の有効期限が切れ、この日以降に発行されたAgent アップデートは、ACSで署名され、顧客のエンドポイントに必要な依存関係がない限りロードされません。この日以前に署名されたWithSecure バイナリは、すべてのエンドポイントで有効なままです。
agentのPPLバイナリをロードしないと、保護と監視の対象が失われることになる。しかし、WithSecure を確保する。その機能は インストール済みのエージェントACS検証の依存関係を満たさないエンドポイントへのアップデートのインストールを防止することで、2023年3月3日以降も維持される。
一般的にはね、 ACS の依存関係がないエンドポイントでは、WithSecure エージェントの新規インストールが失敗します。2023 年 5 月 9 日以降。パッチが適用されていないデバイスへのインストールは可能ですが、セキュリティコアはインストールされず、これらのデバイスはインストール直後に不具合を報告します。
これは簡単に言うとどういうことなのか?
必要なマイクロソフトのパッチがインストールされていないデバイスにリストアップされた製品を既存のインストール(2023年5月9日以前に行われたもの)しても機能は継続しますが、マイクロソフトの必要なパッチがインストールされるまで当社のセキュリティ・コア・テクノロジーへのアップデートが使用されないため、保護機能は時間の経過とともに低下します。
注:2024年3月4日に、ACS(Azure Code Signing)の依存関係を必須とするバージョン24.2を早期アクセスにロールアウトし、その1週間後にグローバルリリースを行います。ACSの依存関係を欠くエンドポイントは、自動的にバージョン24.2にアップグレードされず、現在のバージョンを使用し続けることになります。ACS の要件が満たされれば、自動的にアップグレードされます。
https://community.withsecure.com/en/kb/articles/31236-upcoming-changes-to-withsecure-elements-client-installations
必要なマイクロソフトのパッチが適用されていないデバイスに上記の製品を新規インストール(2023年5月9日以降)すると、当社のセキュリティコア技術がインストールされず、まったく保護されません。
WithSecure どのエージェントが影響を受けるのか?
マイクロソフト・ウィンドウズ上の以下の製品の全バージョンがこの影響を受ける:
WithSecure Elements 代理店
- Endpoint Protection
- Endpoint Detection and Response
- WithSecure カウンターコンセプト
- エフセキュア クライアント セキュリティ
- エフセキュアサーバーセキュリティ
- エフセキュアの電子メールとサーバーのセキュリティ
ACSバリデーションの依存関係は?
依存関係が2つある:
- マイクロソフトが2021年9月と10月にリリースしたセキュリティパッチのインストール、 ここに書かれているように.
- Microsoft Identity Verification Root Certificate Authority 2020」CA 証明書のインストール。
以下のWindowsの最近のバージョンは、デフォルトでACSをサポートしているので、何もする必要はない:
- ウィンドウズ11
- ウィンドウズ10 22H2
- ウィンドウズ10 21H2
ACSの依存関係が欠けているWindowsエンドポイントをどのように特定できますか?
WithSecure 2023年3月3日の期日を前に明確な評価を下すことはできないが、大半の顧客エンドポイントはすでに依存関係を満たしていると予想している。
顧客は、マイクロソフトによって文書化されたナレッジベース(KB)番号を使用して、パッチのインストールを確認することができます。しかし、個々のKB番号で確認することは信頼性に欠ける可能性があります。なぜなら、パッチは後のKBに吸収される可能性があり、マイクロソフトが文書化した特定のKBがインストールされていなくても、依存関係が満たされる可能性があるからです。
新しいルート証明書は自動更新メカニズムを通じてダウンロードされるため、ほとんどのWindowsエンドポイントはすでにCA証明書の依存関係を満たしている。しかし、自動更新の仕組みを無効にしている顧客は、新しいMicrosoft CA証明書が適切な場所にあることを確認する必要がある。
さらに、顧客はエンドポイント自体をチェックすることもできる:
- ローカルのユーザーインターフェイスには "再挑戦する アップデートセクション
- で C:¥ProgramData¥Secure¥Log¥Ultralight¥install-ulcore-win64.log これらの行(または同様の行)はログに記録されるだろう:
2023-04-19 16:37:46.343 [1d84.2250] *F: MainLogic::CheckIntegrityPolicy: Signature of 'C:\Program Files (x86)\F-Secure\PSB\Ultralight\ulcore\<number>\fshoster64.exe' is not compliant with Windows Code Integrity policy. Can not install 'ulcore' update
2023-04-19 16:37:46.343 [1d84.2250] *E: MainLogic::execute: Installation error: 14
さらに、2024年2月上旬以降、Elements Security Center 、デバイスが要件を満たしていない場合、ステータスが「Broken ACS」と表示されます。同時に、セキュリティ管理者に必要な手順について、この記事を参照させる。
オペレーティング・システムにパッチを当てましたが、製品がまだ古いと表示されます。次はどうすればよいですか?
パッチを適用してオペレーティングシステムを再起動しても、保護機能が古いというメッセージが表示される場合があります。これは、次回Security Coreパッケージのアップデートを公開する際に解決されます。
生じて月齢の月齢の月の月齢の月齢の月齢の月齢の月齢の月齢の月の月齢の月の月齢の月齢(月月月月齢月齢月齢の月齢
- クライアント・セキュリティ、サーバ・セキュリティ、電子メールおよびサーバ・セキュリティ(すべてバージョン15.30)については、以下をダウンロードしてください。https://download.f-secure.com/corpro/cs/cs15.30/fscs1530-hf11-signed.jarを作成し、Policy Managerを使用して配布します。
- ーWithSecure Elements ,WithSecure Countercept, およびーその他のーBusiness Suite製品その他のーその他のーバージョンのーバージ についてはーhttps://download.f-secure.com/support/tools/FSAUA-Reset/fsaua-reset.exeをクリックし、管理者権限でコマンドプロンプトを開き、コマンドプロンプトから実行する。これにより、セキュリティコアのダウンロードがリセットされ、再度適用されます。
