Stack Overflow Protection
内容
capamsc141
Stack Overflow Protection(STOP)は、ハッカーがスタック オーバーフローを発生させ、それを利用してシステムに侵入するのを防止する機能です。スタック オーバーフローによって、ハッカーは、リモートまたはローカルのシステムに対して、管理者としてあらゆるコマンドを何度でも実行できます。ハッカーは、オペレーティング システムや他のプログラムのバグを利用して、スタック オーバーフローを発生させます。これらの特殊なバグによって、ユーザはプログラム スタックを上書きできるようになり、次に実行されるコマンドが変更されます。
STOP は、コンピュータ上の各アプリケーションに対する重要なオペレーティング システム コールをインターセプトすることで動作します。各コールは、基本分析が実施された後、疑わしい場合は詳細分析に送られます。詳細分析の実施には、STOP の設定ファイルとシグネチャ ファイルのデータが使用されます。
STOP の有効化
STOP を使用して、ハッカーによるスタック オーバーフローを悪用したシステム侵入を防止することができます。STOP は、
Privileged Access Manager
のインストール時に有効にできます。または、手動で有効にすることもできます。STOP を有効にするには:
- 以下のコマンドを入力します。secons -sPrivileged Access Managerが停止します。
- STOPOperationModeレジストリ エントリを 1 に設定します。このレジストリ エントリは以下のキーにあります。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Instrumentation\PlugIns\StopPlgPrivileged Access Managerの起動時に、STOP モジュールがロードされ、コンピュータ上で STOP が有効になります。
- (オプション)STOP の環境設定を変更するには、以下のキーのレジストリ エントリを使用します。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Instrumentation\PlugIns\StopPlg HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\STOPSTOP レジストリ設定の詳細については、「リファレンス ガイド」を参照してください。
- 以下のコマンドを入力して、Privileged Access Manager を起動します。seosd -startPrivileged Access Managerが起動します。
シグネチャ ファイルの更新を受け取るための STOP の設定
環境内のすべてのコンピュータに、スタック オーバーフローの防止に必要な最新の STOP 情報が設定されていることを確認できます。これを実行するには、中央のコンピュータにある STOP シグネチャ ファイルを更新し、このファイルを定期的に取得するようにコンピュータをセットアップします。
シグネチャ ファイルの更新を受け取るように STOP を設定するには、以下の手順に従います。
- 以下のコマンドを入力します。secons -sPrivileged Access Managerが停止します。
- STOPSignatureBrokerNameレジストリ エントリに、シグネチャ ファイルの取得元のPrivileged Access Managerとするコンピュータのホスト名を設定します。このレジストリ エントリは以下のキーにあります。HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\STOPPrivileged Access Managerを起動すると、指定されたコンピュータから(定義された間隔で) STOP シグネチャ ファイルを取得します。
- STOPUpdateIntervalレジストリ エントリを、シグネチャ ファイルを更新する間隔に設定します。Privileged Access Managerは、指定されたコンピュータからシグネチャ ファイルを指定された間隔で取得します。
- (オプション)STOP の環境設定を調整するには、以下のキーのレジストリ エントリを使用します。HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\STOPSTOP レジストリ設定の詳細については、「リファレンス ガイド」を参照してください。
- 以下のコマンドを入力して、Privileged Access Manager を起動します。seosd -startPrivileged Access Managerが起動します。
eACSigUpdate ユーティリティを使用することで、任意のホストからシグネチャ ファイルを取得することができます。このユーティリティの詳細については、「
リファレンス ガイド
」を参照してください。