ソフトウェアの変更後に アプリケーションコントロール をリセットする

アプリケーションコントロールの概要については、「アプリケーションコントロールによるソフトウェアのロックダウン」を参照してください。

アプリケーションコントロール は頻繁にアップデートされない安定版サーバでの使用を目的としており、多くのソフトウェア変更を受けるワークステーションやサーバには使用できません。

変更が多すぎると、古いルールを削除しないかぎり、大量のルールセットが生成されて多くのRAMが消費されます。承認されたソフトウェアのアップデート時にメンテナンスモードを使用しない場合は、変更が多すぎると、管理者が変更ごとに許可ルールを手動で作成しなければならないため、作業負荷の増加にもつながります。

認識されないソフトウェアの変更が最大値を超えた場合、 アプリケーションコントロール は、コンピュータのすべてのソフトウェア変更の検出と表示を停止します。この停止は、ルールセットが大きくなりすぎた場合に発生する可能性のあるメモリ不足やディスク容量のエラーを防ぐことを目的としています。

停止が発生すると、 Workload Security は、アラート（未解決のソフトウェア変更の制限）とイベントログ（未解決のソフトウェア変更の上限に達しました）を通知します。ソフトウェアの変更の検出を継続するには、問題を解決する必要があります。

1. コンピュータのプロセスとセキュリティイベントを調べ、コンピュータが攻撃を受けていないことを確認します。攻撃を受けていないかどうかがわからない場合や十分な時間がない場合、最も安全かつ迅速な方法は、バックアップまたは仮想マシンスナップショットからシステムを復元することです。

   許可されていないソフトウェア (ゼロデイ不正プログラムを含む) を削除しない場合、アプリケーションコントロールをリセットするときにそのソフトウェアを無視します。 [処理] タブには表示されなくなります。プロセスがすでに実行されていてRAMにある場合は、コンピュータを再起動するまでアプリケーションコントロールはイベントやアラートをログに記録しません。

2. コンピュータで自動アップデート (ブラウザ、Adobe Reader、yumの自動アップデートなど) を含むソフトウェアアップデートが実行されている場合は、それらを無効にするか、アプリケーションコントロールのメンテナンスモードを有効にしている場合にのみ実行されるようにスケジュールを設定します (変更の計画時にメンテナンスモードをオンにするを参照してください)。

3. アプリケーションコントロールをリセットします。これを実行するには、 コンピュータエディタで アプリケーションコントロール を無効にします。エージェントがアクノリッジを発行してエラーステータスをクリアしたら、 アプリケーションコントロール を再度有効にします。エージェントは、新しいソフトウェアインベントリリストを生成します。