スクリプト実行設定を編集する

アクション設定を構成して、スクリプト実行リクエストのスクリプトがお客様のデバイスに展開される方法を管理することができます。具体的には、以下の操作を実行できます。

  • スクリプト実行リクエストを作成するときに、Reach スクリプトのダウンロード先のスタートアップフォルダーを編集します。

  • Windows デバイスでスクリプトを実行させるため、スクリプト実行リクエストを作成するときに、Reach スクリプト署名を検証するかどうかを設定します。

スクリプトの実行リクエストが保留中の Windows または Mac デバイスが Absolute モニタリングセンターに接続すると、エージェントはスクリプトをスタートアップフォルダーにダウンロードし、この場所からスクリプトを実行します。デフォルトのスタートアップフォルダーとして、Windows デバイスでは C:\ProgramData\、Mac デバイスでは /tmp/ が使用されます。これらの場所が不適切である場合、スタートアップフォルダーの場所をカスタマイズできます。

スタートアップフォルダーは、ローカルドライブ、外付けドライブ、またはネットワークドライブに変更できます。Windows では、ネットワークドライブにすでにドライブ名が割り当てられている必要があります。たとえば H:\ などです。

フォルダーが対象デバイス上にすでに存在している場合、エージェントはフォルダーの書き込み読み取り権限をチェックします。エージェントが必要な権限を取得できる場合、そこでスクリプトがダウンロードされ、実行されます。

スタートアップフォルダー (または親フォルダーのいずれか) が存在しない場合、エージェントは作成を試みます。エージェントに作成権限があれば、エージェントがフォルダーを作成し、スクリプトをダウンロードして実行します。

エージェントに適切な権限がない場合、またはスタートアップフォルダーの作成に失敗した場合、デバイスのスクリプト実行リクエストは失敗します。失敗理由は、アクションリクエストで確認できます。

リクエストが完了するとスクリプトはスタートアップフォルダーから削除されますが、エージェントが作成したフォルダーは削除されません。スタートアップフォルダーは、将来使用できるようにデバイスに残ります。

以下の要件に適合しているのが有効なスタートアップフォルダーです。

  • パスが有効な絶対フォルダーパスであること

    • Windows デバイスでは、有効なパスは<ドライブ名>:\ で始まります。

      例:C:\ProgramData\ReachScript\

    • Mac デバイスでは、有効なパスはルートフォルダー / で始まります。

      例: /tmp/ReachScript/

  • フォルダーに読み取り書き込み実行権限があること
  • パスに Unicode が使用されていないこと
  • パスの長さが 150 文字以下であること

お使いのアンチ・マルウェア製品によっては、ポリシーの例外としてフォルダーを追加したり、許可リストに追加したりする必要がある場合があります。

スタートアップフォルダーを編集するには:

  1. Reach スクリプトの管理権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アカウント設定をクリックします。
  3. 「アクション」の下で、以下の1つを実行します:
    • Windows スタートアップフォルダーを変更するには、Windows の隣りにあるフィールドをクリックして新しいパスを入力します。
    • Mac スタートアップフォルダーを変更するには、macOS の隣りにあるフィールドをクリックして新しいパスを入力します。
  4. ダイアログの外をクリックして変更を保存します。

将来のすべてのスクリプト実行リクエストで、スタートアップフォルダーが変更されます。既存のスクリプト実行リクエストでは、リクエストが作成された時点で設定されたフォルダーが使用されます。

スタートアップフォルダーへの変更を保存した場合、デフォルトの場所にリセットすることができます。

スタートアップフォルダーの場所をリセットするには:

  1. Reach スクリプトを管理する権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アカウント設定をクリックします。
  3. 「アクション」の下で、以下の1つを実行します:
    • Windows スタートアップフォルダーをリセットするには、Windows の隣りにあるフィールドをクリックして、フィールドからパスを消去します。
    • Mac スタートアップフォルダーをリセットするには、macOS の隣りにあるフィールドをクリックして、フィールドからパスを消去します。
  4. ダイアログの外をクリックして変更を保存します。

将来のすべてのスクリプト実行リクエストで、スタートアップフォルダーにデフォルトの場所が使用されるようになりました。既存のスクリプト実行リクエストでは、リクエストが作成された時点で設定されたフォルダーが使用されます。

Reach スクリプトの一部であるすべての PowerShell スクリプトは署名付きであり、お客様がアップロードする前にお客様によって署名されるか、または Secure Endpoint Console にアップロードされる際に Absolute によって署名されます。署名検証を有効にすると、 ANS コンポーネント スクリプト実行リクエストが処理されるときに、デバイスでスクリプトを実行する役割を果たす、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。 が署名を検証します。これは、スクリプトがスクリプト実行リクエストの一部としてデバイスにダウンロードされたときに行われます。これにより、スクリプトが署名後に改ざんされないようにします。デフォルトでは、スクリプトの検証は無効になります。セキュリティを改善するため、スクリプトの検証を有効にすることを強く推奨します。

スクリプトの署名チェックが無効化されていても、スクリプトには署名されます。

署名検証を有効または無効にするには:

  1. Reach スクリプトを管理する権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アカウント設定をクリックします。

  3. 以下の1つを実行します:

    • スクリプト署名検証を有効にするには、スクリプト署名検証スライダーをクリックしてオンに設定します。
    • スクリプト署名検証を無効にするには、スクリプト署名検証スライダーをクリックしてオフに設定します。
  4. ダイアログが開いたら、有効化をクリックします。

署名検証設定が更新されます。

デバイスでスクリプトの署名を検証するには、デバイスが Secure Endpoint Agent バージョン9.0 以降を実行している必要があります。