アプリケーションチェック

アプリケーションチェックデバイスの姿勢属性は、特定のアプリケーションプロセスがデバイス上で実行されているかどうかを確認します。必要な各オペレーティングシステム用に複数のアプリケーションチェックを作成することができます。また、複数のアプリケーションをチェックする必要がある場合にも対応しています。

前提条件

• Cloudflare WARP client is deployed on the device. For a list of supported modes and operating systems, refer to WARPクライアントチェック.

アプリケーションチェックの設定

1. Zero Trust ↗に移動し、設定 > WARPクライアントを選択します。

2. WARPクライアントチェックまでスクロールし、新規追加を選択します。

3. アプリケーションチェックを選択します。

4. 次の情報を入力するように求められます：

   1. 名前：このデバイス姿勢チェックのための一意の名前を入力します。
   2. オペレーティングシステム：使用しているオペレーティングシステムを選択します。
   3. アプリケーションパス：実行される実行可能ファイルのパスを入力します（例：C:\Program Files\myfolder\myfile.exe）。

   ノート

   • バイナリファイルのパスを入力することを忘れないでください。アプリケーションの起動パスを入力しないでください。macOSでアプリケーションをチェックする際の一般的な間違いは、/Applications/ApplicationName.appを入力することです。これは機能しません。ApplicationName.appはフォルダであり、実行される実行可能ファイルはそのフォルダ内にあります。例えば、ApplicationName.app/Contents/MacOS/ApplicationNameです。
   • 一部のアプリケーションは、更新後にファイルパスを変更します。アプリケーションが常に安定した場所にあることを確認するか、特定のフォルダを識別するために環境変数を使用してください。例えば、Windowsはファイルパスで参照できる認識された環境変数 ↗を提供しています（%PROGRAMFILES%\myfolder\myfile.exe）。

5. 署名証明書のサムプリント（推奨）：バイナリを署名するために使用された発行証明書のサムプリントを入力します。この情報を追加することで、アプリケーションが期待されるソフトウェア開発者によって署名されたことを確認するチェックが有効になります。

6. SHA-256（オプション）：バイナリのSHA-256値を入力します。これは、デバイス上のバイナリファイルの整合性を確保するために使用されます。

7. 保存を選択します。

次に、ログ > 姿勢に移動し、アプリケーションチェックが期待される結果を返していることを確認します。

署名サムプリントの確認

アプリケーションの署名サムプリントを確認するプロセスは、オペレーティングシステムによって異なります。これは、macOSおよびWindows上でCloudflare WARPアプリケーションの署名サムプリントを調べる方法です。

ノート

新しいデバイス姿勢チェックを設定する際は、証明書のサムプリントやSHA256チェックサム値を設定せずに最初にテストすることをお勧めします。

macOS

1. ディレクトリを作成します。

   ~/Desktop $ mkdir tmp
   
   ~/Desktop $ cd tmp

2. 次のコマンドを実行してWARPアプリケーションの証明書を抽出します：

   ~/Desktop/tmp $ codesign -d --extract-certificates "/Applications/Cloudflare WARP.app/Contents/Resources/CloudflareWARP"
   Executable=/Applications/Cloudflare WARP.app/Contents/Resources/CloudflareWARP

3. 次に、次のコマンドを実行してSHA1サムプリントを抽出します：

   ~/Desktop/tmp $ openssl x509 -inform DER -in codesign0 -fingerprint -sha1 -noout | tr -d :
   SHA1 Fingerprint=FE2C359D79D4CEAE6BDF7EFB507326C6B4E2436E

Windows

1. PowerShellウィンドウを開きます。

2. Get-AuthenticodeSignatureコマンドを使用してサムプリントを見つけます。例えば：

   PS C:\Users\JohnDoe> Get-AuthenticodeSignature -FilePath c:\myfile.exe

SHA-256値の確認

SHA-256値は、ファイル/アプリケーションのバージョン間でほぼ常に変わります。

macOS

1. ターミナルウィンドウを開きます。

2. shasumコマンドを使用してファイルのSHA256値を見つけます。例えば：

   shasum -a 256 myfile

Windows

1. PowerShellウィンドウを開きます。

2. get-filehashコマンドを使用してファイルのSHA256値を見つけます。例えば：

   PS C:\Users\JohnDoe> get-filehash -path "C:\myfile.exe" -Algorithm SHA256 | format-list

WARPがアプリケーションをチェックする方法

WARPクライアントがさまざまなシステムでアプリケーションが実行されているかどうかを判断する方法を学びます。

macOS

アクティブなプロセスのリストを取得するには、次のコマンドを実行します：

ps -eo comm | xargs which | sort | uniq

アプリケーションパスは、チェックが合格するために出力に表示される必要があります。

Linux

WARPクライアントは、/proc/<pid>/exe内のソフトリンクをたどることで実行中のバイナリのリストを取得します。すべてのアクティブプロセスとそのソフトリンクを表示するには：

ps -eo pid | awk '{print "/proc/"$1"/exe"}' | xargs readlink -f | awk '{print $1}' | sort | uniq

アプリケーションパスは、チェックが合格するために/proc/<pid>/exeの出力に表示される必要があります。