InterScan WebManager 9.1 Service Pack 1 (ビルド 1401) 公開のお知らせ:サポート情報 : トレンドマイクロ
InterScan WebManager 9.1 Service Pack 1 (ビルド 1401) を下記日程にて公開いたします。
■公開開始日
2020/7/1(水)
■主な新機能
InterScan WebManager 9.1 Service Pack 1 の主な新機能は以下のとおりです。
RedHat Enterprise Linux 8 及び Windows Server 2019に対応しました。
CLI(コマンドラインインタフェース)にて設定可能な機能を拡充しました。
管理画面からヘッダ編集機能の設定ができるようになりました。
管理画面からクライアントのIPアドレスを識別する設定の変更が可能になりました。
規制画面から、認証局証明書のダウンロードが可能になりました。
その他の新機能に関しては、付属の Readmeファイルをご覧ください。
■入手方法
本製品は次のページからダウンロードできます。
「最新版ダウンロードページ : InterScan WebManager 」
■導入手順
サポート情報 : トレンドマイクロ
付属のReadmeファイルおよび製品マニュアル等をご覧ください。
--------------------------------------------------------------------------
6. 変更履歴
--------------------------------------------------------------------------
(Build1301での変更点)
6-1.スタンドアロン版にて管理画面から、HTTPSデコード対象ホスト一覧のインポート・
エクスポートが可能になりました。
6-2.ICAP版にて管理画面から、規制画面用証明書(認証局)のインポート・エクス
ポートが可能になりました。
6-3.例外URL機能にコメント欄が追加されました。
6-4.例外URLのインポートにおいて、””(ダブルクォーテーション)が無い状態でも
取り込みが可能になりました。
6-5.LDAP認証においてセキュリティグループ連携時、属性値を一括設定できるように
なりました。管理画面、CLIにて登録が可能です。
6-6.AD連携時、ネスト構造(1階層のみ)に対応しました。
6-7.スタンドアロン版にて、特定のドメインに対して指定したヘッダを付加すること
が可能になりました。
本機能の使用方法につきましては、以下のFAQをご参照ください。
https://success.trendmicro.com/jp/solution/1123387
6-8.ICAP連携時のPOST通信においてpreview対応を行いました。
6-9.上位プロキシ条件設定の編集後に、設定を反映する際に条件設定の保存
ボタンと上位プロキシ設定の保存ボタンの双方を押下する必要がある問題
を修正しました。条件設定の保存ボタンの押下のみで編集後の設定が反映
されます。
6-10.Geoスコープのログ集計にてリクエストログの1行が4097byte以上となった
場合に集計対象外となる問題を修正しました。
6-11.半角ダブルクォーテーション(")が含まれたURLを例外URLとして登録した
場合に登録内容の編集および削除ができなくなる問題を修正しました。
6-12.ARMS専用例外URLルールの適用先グループが、管理画面ログインユーザの
権限に従った範囲で表示されるように修正しました。
6-13.フィルタリングのためのデータベースの更新の読み込みに失敗した際に
極稀に以前のデータべースへの切り戻しが行われない問題を修正しました。
6-14.Webコンテンツキャッシュとウィルススキャン連携を併用時に、未キャッシュ
のコンテンツへのアクセス中に切断が行われた場合に切断のタイミング
によってキャッシュの格納が完了しない問題を修正しました。
6-15.管理画面から、グループ一括設定の下位グループ強制参照を有効に
した際に設定の対象となる配下のグループに個別のルールを設定した
ユーザが存在すると、そのユーザに対してグループのルールが一時的に
強制されない問題を修正しました。
6-16.Windows環境において、OSシャットダウン時にサービスのログにFATAL
レベルのログが誤って出力される問題を修正しました。
6-17.Syslog転送時、通信プロトコルに「TLS」を利用した時、ログの転送が遅延する問題
を修正しました。
6-18.ログローテーション時に稀にSyslog転送が停止してしまう問題を修正しました。
6-19.Build 1201以降のスタンドアロン版の環境で、Active Directory以外のLDAPサーバ
と連携している場合、ISWM未登録のLDAPユーザが認証後にアクセス不可となる問題
を修正しました。
(Build1302での変更点)
6-20.WindowsOSのProxy版にてログローテーションのタイミングでSyslog転送が行われず、
Syslogサーバ側のログが欠損する問題を修正しました。
6-21.WindowsOSのProxy版にて例外URL登録時にロック処理開放に時間がかかった際のタイ
ムアウト時間を60000秒から3秒に変更しました。
6-22.ICAP版にてserverkeysのファイル名をデフォルト値から変更していた場合、Ver9.1
アップデート後、フィルタリングサービスが起動しなくなる問題を修正しました。
6-23.第一階層グループ毎にログを出力する設定の場合、日次のローテーションの際に一
部のカレントログがSyslog転送されない問題を修正しました。
6-24.ICAPヘッダーに不正な文字が挿入されている場合、フィルタリングサービスが停止
してしまう問題を修正しました。
6-25.高度分類クラウドにて障害が発生した時、例外URLの更新やURLデータベースの更新
によりヘルスチェックエラーが発生する問題を修正しました。
(Build1401での変更点)
6-26.コマンドラインで、以下の設定が可能になりました。
・アカウントを検索するオプションを追加
・例外URLを追加登録できるオプションを追加
・例外URLを消去して0件にするオプションを追加
6-27.管理画面からヘッダ編集機能の設定ができるようになりました。
6-28.管理画面からクライアントのIPアドレスを識別する設定の変更が可能になりました。
6-29.規制画面から、認証局証明書のダウンロードが可能になりました。
6-30.規制画面に応答サーバ名と応答日時が表示されるようになりました。
6-31.新規インストール時に、URLデータベースのダウンロード時間自動設定のデフォルト
値が「有効」に変更されました。
6-32.パフォーマンスモニタの並行稼働プロセス(1日、1週間)に、フィルタリングサービ
スのプロセス数を超える値が表示される問題を修正しました。
6-33.ARMS連携にて、コールバックに送信されてきたデータ受信時の不具合修正と、DDI
5.0以降のリスト形式(URLデータを半角ダブルクォーテーション(")で囲む)に対応し
ました。
6-34.セーフサーチロックにてYahoo!ウェブ検索の検索サイト側の変更に対応しました。
6-35.ICAP版のセーフサーチロックにて、Google検索の検索サイト側の変更に対応しました。
6-36.V8.5SP2以降のフルインストーラでアップデートを行った場合にモジュールバージョ
ンの表示が更新されない問題を修正しました。
--------------------------------------------------------------------------
7. 注意事項
--------------------------------------------------------------------------
1) ロードバランサやICAPクライアントなどを使用して、ラウンドロビンによる
負荷分散を行っている環境では、規制画面が正しく表示されません。マスタ
サーバおよび全スレーブサーバのIPアドレスを例外URLの「許可カテゴリ」に
登録してください。また、ラウンドロビンによる負荷分散を行っている環境
で一時解除を設定した場合、正常に動作しません。
2) [サーバ管理]-[認証設定]で、「第一階層グループ毎にアカウントの管理
をする」をオンからオフに切り替えるときに、アカウント名の重複チェックは
行いません。同じアカウント名が存在する場合、どのグループのアカウントか
特定できなくなります。オンからオフに変更するときは、同じアカウントが存
在しないことを確認した上で変更してください。
3) インストール完了後に、サーバ種別(マスタサーバ、スレーブサーバ)を
変更することはできません。サーバ種別を変更する場合は、設定ファイルを含めて
アンインストールした後に、新規にISWMをインストールしてください。
4) 上位プロキシでの認証には対応しておりません。ISWMの上位(インターネット側)
にプロキシを配置してご利用いただく際には、上位プロキシでは認証を
行わず、ISWMでの認証をご利用ください。
5) Internet Explorer 8.0以降でHTTPS規制サイト、またHSTS(HTTP Strict Trans
port Security)対応サイトにアクセスしようとした場合、ブラウザで
「セキュリティ警告」のダイアログが表示されます。
6) Windows Server 2012にログオンしている環境では、次のような障害が
発生することがあります。この場合は、Internet Explorerのセキュリティレベルを
「中高」以下に設定してください。
・管理画面をHTTPS化したときオンラインヘルプへのジャンプができない
・FTP使用時の規制画面が正常に表示されない
7) [共通アクセス管理]-[HTTPS規制設定]の[HTTPSデコード]を有効にした場合、
使用するブラウザによってエラーが表示される場合があります。
回避方法は管理者ガイド「付録 H」を参照してください。
8) IPv6を使用するためには、C:\Windows\iswm\information.iniの[filtering]セク
ションのoptionの値のなかから -Djava.net.preferIPv4Stackの値をtrueから
falseに変更する必要があります。
Windows版修正例
(変更前)
[filtering]
option=-XX:NewRatio=1 -Xrs -Djava.net.preferIPv4Stack=true
(変更後)
[filtering]
option=-XX:NewRatio=1 -Xrs -Djava.net.preferIPv4Stack=false
Linux版は /usr/local/iswm/bin/amsproxyexeを修正してください。
Linux版修正例
(変更前)
${_RUNJAVA} -Dns.prs=proxy -server -Xmx${heap}m -XX:NewRatio=1
-Djava.net.preferIPv4Stack=true -Dns.path="${prefix_prop}"
-Dns.cachePort=${NSCACHE_PORT} -jar "${NSCMMD}" start &
(変更後)
${_RUNJAVA} -Dns.prs=proxy -server -Xmx${heap}m -XX:NewRatio=1
-Djava.net.preferIPv4Stack=false -Dns.path="${prefix_prop}"
-Dns.cachePort=${NSCACHE_PORT} -jar "${NSCMMD}" start &
また外部のIPv6FTPサイトに接続する場合は以下のキーの設定も必要です。
proxy.inf [CONTROL_CFG] IPV6_INNER_IP
proxy.inf [CONTROL_CFG] IPV6_OUTER_IP
9)Ver.7.0においてproxy.inf [CONNECTION_CFG] REQUESTMODE=1を使用していた場合
上位のプロキシサーバに接続できなくなる場合があります。
proxy.inf [CONNECTION_CFG] REQUESTMODE=5
を設定してください。
10)バージョンアップインストールが失敗すると、旧バージョンの設定は
引き継がれません。設定は新規インストールと同じ状態になります。
旧バージョンの設定はバックアップフォルダに退避されます。
11)Ver.7.0でHTTPSデコード指定がされていた場合、Ver.8.5にアップデートしても
HTTPSデコードライセンスファイルは作成されません。
指定の手順でライセンスの再取得と再設定を行ってください。
12)HTTPSデコード機能を本バージョンでも引続きご利用頂く際には
認証コードの入力が必要となります。専用サイトから認証コードを取得の上、
管理画面より認証コードを設定してください。
専用サイト
https://iswm.netstar-inc.com/db80/decodeauth/decodeauth.cgi
13)旧バージョンからのバージョンアップで、コンバート対象のデータが多いと、
コンバートに時間がかかります。場合によっては、数時間かかることもあります。
14)LDAP連携にNTLM認証を使用する場合、ユーザが認証に成功したときの情報を
認証情報としてキャッシュします。1台のPCを複数のユーザで共有している環
境では、キャッシュ時間を0に設定し、認証情報を保存しないように設定して
ください。
15)ICAP版で、規制画面サーバのアドレスがブラウザのプロキシの除外に登録
されている場合、HTTPSの規制画面の理由やカテゴリは表示されません。
また、ICAPクライアントが、規制画面サーバのアドレスをICAPのREQMODの
除外としている場合も同様に表示されません。
16)LDAPサーバとの連携時にLDAP認証キャッシュを0分(認証情報をキャッシュ
しない)に設定すると、LDAPサーバのポート389に対して同時に複数の接続が
発生して認証エラーが発生する可能性があります。
その場合は、LDAP認証キャッシュを1分以上に設定してご使用ください。
17)HTTPSデコード機能を有効にしている場合、SSL3.0のみサポートするサイトにアクセス
するには、管理画面の[HTTPSデコード対象ホスト設定]に対象のサイトを登録する必要
があります。
18)HTTPS規制サイト、またHSTS(HTTP Strict Transport Security)対応サイトに
アクセスしようとした場合、ブラウザから「セキュリティ警告」のダイアログ
が表示される場合があります。
19)グラフィックカードの種類によっては、Geoスコープの画面が正常に動作しない場合
があります。
20)Linux環境ではTLSv1.1以降がサポートされているOpenSSLを使用してください。
(TLS1.0は対象外)
21)ICAP版において、WebFilter側でのプロキシ認証が有効な場合にHTTPS
サイトの規制時に規制画面要求を異なる接続で行うブラウザからの要求が
あった場合に規制画面ではなく認証エラーが表示されます。
22)旧バージョンからのアップデートの場合、パフォーマンスモニタのデータは引き継が
れません。
23)セーフサーチをONにしている場合、Yahooウェブ検索でセーフサーチロック適用する
ためにリクエストヘッダを編集しているため、Yahoo!ウェブ検索結果画面はログア
ウトした状態で表示されます。実際にログアウトはしていません。
--------------------------------------------------------------------------
8. 既知の問題
--------------------------------------------------------------------------
1) Windows版のアンインストール時に設定ファイル、およびログファイルを削除
しないように選択した場合、保存対象のファイルが他のプロセスによって使
用されているとアンインストーラは異常と検知し、アンインストールの実行
を中止ます。他に開いているアプリケーションをすべて閉じてから再度アン
インストーラを起動してください。
2) 管理サービスが起動している状態で、設定ファイル「proxy.inf」で管理サ
ービス用のポート「ADMIN_PORT」を変更すると、管理サービスが二重に起
動し、正常に動作しなくなります。必ず管理サービスを終了してから、管理
用のポートを変更してください。
3) Linux版でインストール時に指定するユーザ/グループ名に大文字を含む場合は、
OSの制限によって異常終了することがあります。その場合は小文字の英数字で
入力してください。
4) マルチパートリクエスト規制を有効にしている場合、Webメールサービスや
ファイルのアップロードを実行するときに、規制画面が正常に表示されない
ことがあります。
5) chromeブラウザに、FTPプロキシを設定しても適切に動作しないという
問題があるため、chromeブラウザを使用してのFTPサイトアクセスに対して
フィルタリング処理は行われません。
6) Windows Server 2012 R2 IE11.0にてビルトインadministrator権限でのjavascript
挙動に問題があるため、管理画面操作を行うと不具合が発生します。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- 作者:徳丸 浩
- 発売日: 2018/06/21
- メディア: 単行本
