署名者と署名を検証する

自動復活対象アプリケーション Secure Endpoint Agent がアクティブに監視するサードパーティ製アプリケーション。この機能は、Application Resilience (自動復活機能) ポリシーが Windows デバイスで有効な場合のみ利用できます。このポリシーの設定によっては、アプリケーションが不適合の場合は修復したり、不足している場合は再インストールしたりできます。の健全性をチェックする際に、 RAR コンポーネント デバイスにインストールされたサードパーティアプリケーションのステータスを検出する、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。このコンポーネントがサードパーティアプリケーションを修復するように試みる場合もあります (適合していない場合)。RAR コンポーネントは、デバイスがカスタムポリシーグループに関連付けられ、ポリシーグループのApplication Resilience ポリシーがアクティブになった場合のみデバイスに展開されます。 は、アプリケーションの健全性チェックとして使用されるファイル、サービスまたはドライバーの署名者を確認する必要がある場合があります。RAR コンポーネントは、署名者が設定されたポリシーに一致し、署名が有効であることを確認するためにチェックを行います。

「不適合」ステータスがあるアプリケーションでは、ステータス詳細列を追加することができます。

ステータス詳細列にサービスに対して無効な署名者またはファイルに対して無効な署名者と表示される場合、署名者が不正です。エラーメッセージには、実際の署名者と想定される署名者の両方が表示されます。サービスが未署名であるというメッセージが表示された場合、ファイルに署名者がいない、またはファイルの署名が無効なことを意味している可能性があります。

現在、ステータス詳細は英語にのみ対応しています。

ファイルの署名者を探すには:

  1. File Explorer で、該当するファイルに移動します。

    例えば、Absolute Secure Access の場合、nmfilter.sys ドライバーに移動します。

  2. ファイルを右クリックし、プロパティを選択します。
  3. デジタル署名タブをクリックします。

  4. 署名リストで、署名者の名前が健全性チェックテーブルで指定されている名前と一致していることを確認します。

    Absolute Secure Access の場合、署名者が Absolute Software Corp. または NetMotion Software, Inc であることを確認します。

場合によっては、署名者の想定される名前が署名者の実際の名前に一致していても、RAR コンポーネントが署名を検証できないことがあります。原因としては、署名者が無効である、変更されている、またはルート証明書または中間証明書にアクセスできない、あるいはデバイスにインストールされていないことが考えられます。

署名を検証するには、2 つの手順があります。

ステップ 1: 署名を展開する

ステップ 2: 証明書チェーンを検証する

署名を展開するには:

  1. File Explorer で、該当するファイルに移動します。
  2. ファイルを右クリックし、プロパティを選択します。
  3. デジタル署名タブをクリックします。

  4. 署名者リストから、署名を検証する署名者を選択します。

    例えば、Absolute Secure Access の場合、nmfilter.sys ドライバーの署名者が検証されます。デジタル署名タブで、署名者リストから NetMotion Software, Inc を選択します。

  5. 詳細をクリックします。デジタル署名の詳細が開きます。

  6. 証明書を表示をクリックします。証明書が開きます。

  7. 証明書パスタブをクリックします。

  8. チェックする証明書パスを選択します。

    例えば、DigiCert SHA2 Assured ID Code Signing CA を選択します。

  9. 証明書を表示をクリックします。証明書が開きます。

  10. 詳細タブをクリックします。

  11. ファイルにコピーをクリックします。証明書エクスポートウィザードが開きます。

  12. すべてのデフォルトオプションを使用して、証明書エクスポートウィザードの指示に従います。

  13. 証明書をコンピューターに保存します。場所を記憶します。

    例えば、Absolute Secure Access の場合、ファイルは nmfilter.cer という名前で C:\Temp に保存します。

証明書チェーンを検証するには:

  1. 管理者としてコマンドプロンプトを開きます。

  2. 以下のコードを実行します。<file> は、ファイル名とステップ 1 で証明書を保存した場所に置き換えます。

    コピーする 
    certutil -f -urlfetch -verify <file>

    例:

    コピーする 
    certutil -f -urlfetch -verify C:\Temp\nmfilter.cer

  3. 出力を確認します。

デバイスが証明書機関に正常にアクセスできる場合、以下のようなメッセージとともに、証明書が検証されたという応答が表示されるはずです。

コピーする 
---------------- Certificate AIA ---------------- Verified "Certificate (0)" Time:0 0563b8630d62d75abbc8ab1e4bdfb5a899b24d43 [0.0] http://cacerts.digicert.com/DigiCertAssuredIDRootCA.crt ---------------- Certificate CDP ---------------- Verified "Base CRL (0297)" Time:0 25fbb6f903c2f7d5c856c45a5c81e826d2469e25 [0.0] http://crl4.digicert.com/DigiCertAssuredIDRootCA.crl Verified "Base CRL (0297)" Time:0 25fbb6f903c2f7d5c856c45a5c81e826d2469e25 [1.0] http://crl3.digicert.com/DigiCertAssuredIDRootCA.crl ---------------- Base CRL CDP ---------------- No URLs "None" Time: 0 (null) ---------------- Certificate OCSP ---------------- Verified "OCSP" Time:0 12ee3fa99da7fc57a9c5dbae5ed5b459e76cb3b9 [0.0] http://ocsp.digicert.com

デバイスが証明書機関に正常にアクセスできない場合、応答には以下のようなエラーメッセージが表示されるはずです。

コピーする 
---------------- Certificate AIA ---------------- Failed "AIA" Time: 0 (null) Error retrieving the URL:The server name or address cold not be resolved 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED) http://cacerts.digicert.com/DigiCertAssuredIDRootCA.crt ---------------- Certificate CDP ---------------- Failed "CDP" Time: 0 (null) Error retrieving the URL:The server name or address cold not be resolved 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED) http://crl4.digicert.com/DigiCertAssuredIDRootCA.crl ---------------- Certificate OCSP ---------------- Failed "OCSP" Time: 0 (null) Error retrieving the URL:The server name or address cold not be resolved 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED) http://ocsp.digicert.com A certificate chain could not be built to a trusted intermediary authority. (-2146762486 CERT_E_CHAINING) ----------------------------------- Incomplete certificate chain Cannot find certificate:CN = DigiCert SHA2 Assured ID Code Signing CA, OU = www.digicert.com, O = DigiCert Inc, C = US Cert is an End Entity certificate

問題を解決するには、以下のいずれかを実行する必要があります。

  • デバイスが証明書機関と自由に通信でき、証明書チェーンが検証可能な状態であることを確認します。例えば、デバイスにインターネット接続があることを確認します。

  • コード署名証明書を、ローカルマシンの証明書ストアに手動でインストールします。これは、適切な AIA (機関証明書アクセス) からコード署名証明書をダウンロードするか、証明書を証明書の詳細からインストールすることで行えます。

証明書を証明書の詳細から手動でインストールするには:

  1. File Explorer で、システム管理者のアクセス権を使用して該当するファイルに移動します。
  2. ファイルを右クリックし、プロパティを選択します。
  3. デジタル署名タブをクリックします。

  4. 署名者リストから、署名を検証する署名者を選択します。

    例えば、Absolute Secure Access の場合、nmfilter.sys ドライバーの署名者が検証されます。デジタル署名タブで、署名者リストから NetMotion Software, Inc を選択します。

  5. 詳細をクリックします。デジタル署名の詳細が開きます。

  6. 証明書を表示をクリックします。証明書が開きます。

  7. 証明書をインストールをクリックします。証明書インポートウィザードが開きます。

  8. ローカルマシンをクリックします。

  9. 証明書インポートウィザードの指示に従います。

証明書がデバイスにインストールされます。