ENSLTP のデフォルトのアクセス保護ルールを無効にするコマンドラインを利用できるオプションはありません。 ルールを無効にする現時点での唯一の方法は、 ePolicy Orchestrator のポリシーを使用するか、以下の手順を使用してください:
ENSLTP 10.5.3 またはそれ以降でデフォルトのアクセス保護ルールを手動で無効にするには:
- アクセス保護ルールのインデックスを決定します:
/opt/isec/ens/threatprevention/bin/isecav –getallaprules
以下が出力されます:
----------------------------------------------------------------------------------------------------------------------------------------------
|Index Rule Name Block Status Report Status Origin |
----------------------------------------------------------------------------------------------------------------------------------------------
|1 IDS_AP_RULE_PREVENT_CREATE_DELETE_RENAME_HARDLINK_STARTUPFILES_LINUX Disabled Enabled McAfee-defined |
|2 IDS_AP_RULE_PREVENT_MODIFICATION_PASSWORDFILES_LINUX Disabled Disabled McAfee-defined |
|3 IDS_AP_RULE_PREVENT_PERMISSION_OWNERSHIP_STARTUPFILES_LINUX Disabled Enabled McAfee-defined |
|4 IDS_AP_RULE_PREVENT_READ_WRITE_DELETE_RENAME_HARDLINK_PERMISSION. Disabled Enabled McAfee-defined |
|5 IDS_AP_RULE_PREVENT_CREATION_LINK_SYSTEMFILES_LINUX Disabled Disabled McAfee-defined |
|6 IDS_AP_RULE_PREVENT_WRITE_STARTUPFILES_LINUX Disabled Disabled McAfee-defined |
|7 IDS_AP_RULE_PREVENT_WRITE_DELETE_RENAME_HARDLINK_PERMISSION_ Disabled Disabled McAfee-defined |
- アクセス保護ルールごとに次のコマンドを実行して無効にします:
/opt/isec/ens/threatprevention/bin/isecav --editaprule <rule index> --block disable --report disable
たとえば、インデックス1のルールを無効にする場合:
/opt/isec/ens/threatprevention/bin/isecav --editaprule 1 --block disable --report disable
- アクセス保護ルールが無効になっていることを確認します:
/opt/isec/ens/threatprevention/bin/isecav –getallaprules
以下が出力されます:
----------------------------------------------------------------------------------------------------------------------------------------------
|Index Rule Name Block Status Report Status Origin |
----------------------------------------------------------------------------------------------------------------------------------------------
|1 IDS_AP_RULE_PREVENT_CREATE_DELETE_RENAME_HARDLINK_STARTUPFILES_LINUX Disabled Disabled McAfee-defined |
|2 IDS_AP_RULE_PREVENT_MODIFICATION_PASSWORDFILES_LINUX Disabled Disabled McAfee-defined |
|3 IDS_AP_RULE_PREVENT_PERMISSION_OWNERSHIP_STARTUPFILES_LINUX Disabled Enabled McAfee-defined |
|4 IDS_AP_RULE_PREVENT_READ_WRITE_DELETE_RENAME_HARDLINK_PERMISSION. Disabled Enabled McAfee-defined |
|5 IDS_AP_RULE_PREVENT_CREATION_LINK_SYSTEMFILES_LINUX Disabled Disabled McAfee-defined |
|6 IDS_AP_RULE_PREVENT_WRITE_STARTUPFILES_LINUX Disabled Disabled McAfee-defined |
|7 IDS_AP_RULE_PREVENT_WRITE_DELETE_RENAME_HARDLINK_PERMISSION_ Disabled Disabled McAfee-defined |
ENSLTP 10.5.0-10.5.2 でデフォルトのアクセス保護ルールを手動で無効にするには:
- isectpd サービスを停止します:
/opt/isec/ens/threatprevention/bin # ./isectpdControl.sh stop
- アクセス保護ルール キャッシュを削除します:
/opt/isec/ens/threatprevention/var # rm -rf APRuleCache.db
- デフォルトのアクセス保護ルールのバックアップをとります:
/opt/isec/ens/threatprevention/var/ap # cp -r DefaultRules/ DefaultRules_bk
/opt/isec/ens/threatprevention/var/ap # ls
以下が出力されます:
DefaultRules DefaultRules_bk
- 以下のとおりに各アクセス保護ルールの XML ファイルを編集し、無効にします。 例えば、ファイル AP_3021.xml の行を:
<AacRule GroupTag="Default" IsEnabled="true" ReactionType="AAC_REACTION_BLOCK" ReportEvent="true" RuleGuid="PREVENT_MODIFICATION_PASSWORDFILES_LINUX">
上記から以下に変更します:
<AacRule GroupTag="Default" IsEnabled="true" ReactionType="AAC_REACTION_ALLOW" ReportEvent="false" RuleGuid="PREVENT_MODIFICATION_PASSWORDFILES_LINUX">
- isectpd サービスを開始します:
/opt/isec/ens/threatprevention/bin # ./isectpdControl.sh start
- アクセス保護ルールが無効になっていることを確認します:
/opt/isec/ens/threatprevention/bin # ./isecav --getallap
以下が出力されます:
---------------------------------------------------------------------------------------------------------------------------------------------
| Index Rule Name Block Status Report Status Origin |
---------------------------------------------------------------------------------------------------------------------------------------------
|1 IDS_AP_RULE_PREVENT_CREATION_LINK_SYSTEMFILES_LINUX Disabled Disabled McAfee-defined |
|2 IDS_AP_RULE_PREVENT_READ_WRITE_DELETE_RENAME_ Disabled Enabled McAfee-defined |
HARDLINK_PERMISSION_ OWNERSHIP_VMWARE_DEVICES_LINUX
|3 IDS_AP_RULE_PREVENT_MODIFICATION_PASSWORDFILES_LINUX Disabled Disabled McAfee-defined |