掲載日:2021/04/01

Step by Step HPビジネスPCのセキュリティを使ってみよう:HP Sure Runによる重要なプロセス保護の設定

Step by Step HPビジネスPCのセキュリティを使ってみよう

HPビジネスPCには多彩なセキュリティ機能が搭載されています。”Step by Step HPビジネスPCのセキュリティを使ってみよう"シリーズでは、毎回1つのセキュリティ機能を取り上げ、設定方法や利用手順をStep by Stepで解説し、セキュリティ機能を実際に使っていただくことを支援いたします。

今回は重要なプロセスを保護するHP Sure Run の利用方法について解説します。

 

HP Sure Run による重要なプロセスの保護

HP Sure RunをサポートするHP ビジネス PC は、Windows にエージェントをインストールし、OS の実行中にポリシー適用ハードウェアとの通信を維持する機能を備え、ハードウェア強制アプリケーションの永続性を提供します。HP Sure Run は、既存の HP Endpoint Security Controller ハードウェアをベースとして、オ ペレーティングシステムの望ましい状態を継続的に維持します。これには、常に実行する必要があるアプリケ ーション、特定の状態に留まるべきポリシー設定、または常に存在しなければならない特定の機能が含まれます。 

図1.HP Sure Runの機能 図1.HP Sure Runの機能

 

HP Endpoint Security Controller は、起動時および実行時に PC のファームウェアを保護するためのHP Sure Start が動作するために構成されるハードウェアコンポーネントです。HP Sure Run は、このような (HP Sure Start のような)保護機能を OS の中に拡張しており、最も重要なプロセスやア プリケーション(Windows セキュリティセンターなど)を保護し、マルウェアがシャットダウンしようとする と自動的に再起動させます。OS 自体の HP Sure Run エージェントが攻撃された場合、HP Endpoint Security Controllerはこの状態を検出し、設定されたポリシーアクションを実行します。

HP Sure Run は、脅威を検出したり、設定やアプリケーションを修復したりすると、Windows アクションセンターでユーザーと管理者に警告します。これらのアラートは、プロセスが一時停止または終了したこと、ストレ ージドライブ上でプロセスファイルが削除されたこと、重要なレジストリ設定が変更されたことなどをカバーします。

HP Sure Run は、第 8 世代以降の Intel®または AMD®プロセッサーを搭載した HP Elite 製品にて無償でご利用いただけます。

 

動作の仕組み

HP Sure Run には、HP Endpoint Security Controllerによってプラットフォームのハードウェアに 格納されているポリシーを強制適用するための OS エージェントが含まれています。 HP Sure Run エージェントのコピーも、HP Endpoint Security Controller によってプラットフォームハードウェアに格納されていて、ファームウェアによって自動的にオペレーティングシステムに直接インストールすることができます。

HP Sure Run エージェントは、HP Endpoint Security Controllerハードウェアとの安全な通信リンクを持っています。このリンクは、ポリシーパッケージを取得し、ステータスを HP Endpoint Security Controllerに通知するために使用されます。

HP Sure Run エージェントは、監視するように構成されたアプリケーション、プロセス、ポリシー設定、および OS 機能を監視します。保護される項目は、HP セキュリティ製品、HP プロセス、サードパーティ製プロセス、および Windows OS プロセスの 4 つの主要カテゴリに分類されます。Windows セキュリティセンターは、HP Sure Run で保護された重要なアプリケーションの優れた例です。

HP Sure Run エージェントは、クリティカルなサービスやアプリケーションを再起動するか、ポリシーに違反 していると思われるアイテムのポリシー設定を復元するアクションも実行できます。HP Sure Run は、マルウェアによる改ざんを防止するために、独立した HP Endpoint Security Controllerのメモリに保存されているポリシーに基づいて実行します。

図2.HP Sure Runの動作の仕組み 図2.HP Sure Runの動作の仕組み

 

 

有効化および設定手順

HP Sure Run はデフォルトでは有効になっていません。 HP Sure Run によって監視される特定のアプリケーション、ポリシー、および機能の有効化と設定は、HP出荷イメージにあらかじめインストールされている HP Client Security Manager ソフトウェアを使用して、ユーザーまたは IT 管理者がローカルで設定できます。カスタムOSイメージの場合は、HPドライバーサイトよりHP Client Security Managerおよび HP Sure Run を入手してインストールして設定します。

 

以下にHP Sure Runの設定手順を説明します。

 

管理者ユーザーでサインイン後、スタートメニューより、HP Client Security Manager (HP CSM)を起動します。

図3.スタートメニューからのHP Client Security Managerの起動 図3.スタートメニューからのHP Client Security Managerの起動

 

Windows ユーザーごとに初めてHP CSMを起動すると初回のみセットアップウィザードが表示されます。Windowsアカウントのパスワード入力し、[次へ]をクリックします。

図4.HP Client Security -  Windows パスワード入力画面 図4.HP Client Security - Windows パスワード入力画面

 

「Windowsパスワードを忘れた場合・・・」(HP SpareKey設定)および「指紋で本人確認を行います」(指紋認証の設定)は今回は利用しませんのでそれぞれ[スキップ]をクリックします。

図5.HP Client Security - HP SpareKey設定画面 図5.HP Client Security - HP SpareKey設定画面
図6.HP Client Security -  指紋認証の登録画面 図6.HP Client Security - 指紋認証の登録画面

 

HP Sure Runの画面が表示されます。[有効化]をクリックします。

図7.HP Client Security - HP Sure Run 画面 図7.HP Client Security - HP Sure Run 画面

 

「[HP Sure Run]を設定するためのPINを作成」の部分が表示されます。任意の4桁以上のPINを入力して設定します。

図8.HP Client Security - HP Sure Run PIN 入力画面 図8.HP Client Security - HP Sure Run PIN 入力画面

 

「注:復元オプション(例:このPCをリセットする)・・・」の確認画面が表示されますので[OK]をクリックします。

図9.HP Client Security - HP Sure Run 確認画面 図9.HP Client Security - HP Sure Run 確認画面

 

HP Sure Recoverの画面が表示されます。ここでは設定しませんので[スキップ]をクリックします。

図10.HP Client Security - HP Sure Recover設定画面 図10.HP Client Security - HP Sure Recover設定画面

 

セキュリティ機能の画面が表示されます。今回はHP CSMの認証機能は利用しませんので[Windows

ログオンのセキュリティを有効にする]のチェックを外して、[次へ]をクリックします。

図11.HP Client Security - セキュリティ機能画面 図11.HP Client Security - セキュリティ機能画面

 

セットアップの確認の画面が表示されます。[完了]をクリックして、初回ウィザードを終了します。

図12.HP Client Security - セットアップ確認画面 図12.HP Client Security - セットアップ確認画面

 

再起動の確認画面が表示されます。[再起動]をクリックして端末を再起動します。

図13.HP Client Security - 再起動の確認画面 図13.HP Client Security - 再起動の確認画面

 

Windows起動の前に、Secure Platform Managementの画面が表示されます。先に設定したHP Sure Runの設定変更を確認するものです。表示されたランダムな4桁の数字を入力してEnterすると設定完了となり、Windowsが起動します。ここで表示されるランダムな4桁の数字は、HP Sure Run設定画面で入力した任意のPIN数字とは全く関係はありません。

図14.Secure Platform Management画面 図14.Secure Platform Management画面

 

あらためて同じ管理者ユーザーでサインイン後、スタートメニューより、HP Client Security Manager (HP CSM)を起動します。今回は初回ウィザードではなく、HP Client Securityのダッシュボード画面が表示されます。

図15.HP Client Security - ダッシュボード画面 図15.HP Client Security - ダッシュボード画面

 

ダッシュボード画面より[HP Sure Run]アイコンをクリックします。HP Sure Runの設定画面が表示されます。

図16.HP Client Security - HP Sure Run 設定画面 図16.HP Client Security - HP Sure Run 設定画面

 

カテゴリの選択にて、保護したいプロセスや製品にチェックを入れるなどの変更が可能です。設定変更した場合は、最後に[送信]をクリックします。「[HP Sure Run]を構成するためのPINを入力」の画面が表示されます。ウィザードにて設定したPINを入力して[送信]をクリックします。

図17.HP Client Security - 構成変更のためのPIN入力画面 図17.HP Client Security - 構成変更のためのPIN入力画面

 

「変更が有効になるまで、最長90秒お待ちください。」の画面が表示されます。[OK]をクリックして、しばらく待機します。時間経過後、HP Sure Runの設定画面にて変更内容が反映されていることを確認します。

図18.HP Client Security - 変更の待機画面 図18.HP Client Security - 変更の待機画面

 

 

これで設定は終了です。HP Sure Run設定画面あるいは HP Client Security Manager 画面は閉じても構いません。

 

以上にてHP Sure Run の設定ができました。

いかがでしたでしょうか。ぜひHP Sure RunをセキュアなPC環境実現の一助として活用ください。

 

 

関連記事