スクリプト実行設定を編集する

設定エリアのアクションの優先順位ページを使用して、スクリプト実行リクエストのスクリプトがお客様のデバイスに展開される方法を管理することができます。スクリプト実行リクエストを作成するときに、Reach スクリプトのダウンロード先のスタートアップフォルダーを編集できます。また、Windows デバイスでスクリプトを実行させるため、スクリプト実行リクエストを作成するときに、Reach スクリプト署名を検証するかどうかも設定できます。

スクリプトの実行リクエストが保留中の Windows または Mac デバイスが Absolute モニタリングセンターに接続すると、エージェントはスクリプトをスタートアップフォルダーにダウンロードし、この場所からスクリプトを実行します。デフォルトのスタートアップフォルダーとして、Windows デバイスでは C:\ProgramData\、Mac デバイスでは /tmp/ が使用されます。これらの場所が不適切である場合、スタートアップフォルダーの場所をカスタマイズできます。

スタートアップフォルダーは、ローカルドライブ、外付けドライブ、またはネットワークドライブに変更できます。Windows では、ネットワークドライブにすでにドライブ名が割り当てられている必要があります。たとえば H:\ などです。

フォルダーが対象デバイス上にすでに存在している場合、エージェントはフォルダーの書き込み読み取り権限をチェックします。エージェントが必要な権限を取得できる場合、そこでスクリプトがダウンロードされ、実行されます。

スタートアップフォルダー (または親フォルダーのいずれか) が存在しない場合、エージェントは作成を試みます。エージェントに作成権限があれば、エージェントがフォルダーを作成し、スクリプトをダウンロードして実行します。

エージェントに適切な権限がない場合、またはスタートアップフォルダーの作成に失敗した場合、デバイスのスクリプト実行リクエストは失敗します。失敗理由は、アクションリクエストで確認できます。

リクエストが完了するとスクリプトはスタートアップフォルダーから削除されますが、エージェントが作成したフォルダーは削除されません。スタートアップフォルダーは、将来使用できるようにデバイスに残ります。

以下の要件に適合しているのが有効なスタートアップフォルダーです。

  • パスが有効な絶対フォルダーパスであること

    • Windows デバイスでは、有効なパスは<ドライブ名>:\ で始まります。

      例:C:\ProgramData\ReachScript\

    • Mac デバイスでは、有効なパスはルートフォルダー / で始まります。

      例: /tmp/ReachScript/

  • フォルダーに読み取り書き込み実行権限があること
  • パスに Unicode が使用されていないこと
  • パスの長さが 150 文字以下であること

お使いのアンチ・マルウェア製品によっては、ポリシーの例外としてフォルダーを追加したり、許可リストに追加したりする必要がある場合があります。

スタートアップフォルダーを編集するには:

  1. Reach スクリプトを管理する権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アクションの優先順位をクリックします。
  3. Windows スタートアップフォルダーを変更するには、Windows デバイスに新しいパスを入力します。
  4. Mac スタートアップフォルダーを変更するには、Mac デバイスに新しいパスを入力します。
  5. 保存をクリックします。

将来のすべてのスクリプト実行リクエストで、スタートアップフォルダーが変更されます。既存のスクリプト実行リクエストでは、リクエストが作成された時点で設定されたフォルダーが使用されます。

スタートアップフォルダーへの変更を保存した場合、デフォルトの場所にリセットすることができます。

スタートアップフォルダーの場所をリセットするには:

  1. Reach スクリプトを管理する権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アクションの優先順位をクリックします。
  3. デフォルトにリセットをクリックします。
  4. 保存をクリックします。

将来のすべてのスクリプト実行リクエストで、スタートアップフォルダーにデフォルトの場所が使用されます。既存のスクリプト実行リクエストでは、リクエストが作成された時点で設定されたフォルダーが使用されます。

Reach スクリプトの一部であるすべての PowerShell スクリプトは署名付きであり、お客様がアップロードする前にお客様によって署名されるか、または Secure Endpoint Console にアップロードされる際に Absolute によって署名されます。署名検証を有効にすると、 ANS コンポーネント スクリプト実行リクエストが処理されるときに、デバイスでスクリプトを実行する役割を果たす、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。 が署名を検証します。これは、スクリプトがスクリプト実行リクエストの一部としてデバイスにダウンロードされたときに行われます。これにより、スクリプトが署名後に改ざんされないようにします。デフォルトでは、スクリプトの検証は無効になります。セキュリティを改善するため、スクリプトの検証を有効にすることを強く推奨します。

スクリプトの署名チェックが無効化されていても、スクリプトには署名されます。

署名検証を有効または無効にするには:

  1. Reach スクリプトを管理する権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アクションの優先順位をクリックします。

  3. 以下の1つを実行します:

    • スクリプト署名検証を有効にするには、スクリプトの署名チェックを有効化スライダーをクリックしてオンに設定します。
    • スクリプト署名検証を無効にするには、スクリプトの署名チェックを有効化スライダーをクリックしてオフに設定します。
  4. 保存をクリックします。

署名検証設定が更新されます。

デバイスでスクリプトの署名を検証するには、デバイスが Secure Endpoint Agent バージョン9.0 以降を実行している必要があります。