ホワイトリストに追加すべきKACE SMAエージェントの使用ディレクトリと実行ファイル (4272244)

一部のアンチウイルスソフトウェアでは、KACEシステム管理アプライアンス が使用する構成ファイル、もしくは実行ファイルを、脅威として検出することがあります。
この記事では、KACE エージェントが正常動作するよう、ホワイトリストに追加すべき実行ファイルやディレクトリ、レジストリに関して説明しています。

A.  許可リストに追加されるべきフォルダとファイル

以下のファイルとそのファイルが存在するディレクトリパスは、SMAの機能にて使用します。お使いのアンチウイルスソフトウェアや監視ソリューションにて、ホワイトリストに追加するようお願いします。

全バージョンに共通: 

• C:\ProgramData\Quest\KACE - 設定ファイルやログファイルなどが配置されます。
• C:\Windows\System32\KUsrInit.exe - ユーザーサインイン（ログオン）時およびマシン起動時の管理対象インストールおよびオフラインKスクリプト実行を許可するための実行可能ファイルです。
• C:\Windows\Temp - （例えば、 dklF794.tmp のような名前で）エージェントタスクを一時的に格納するために使用されます。
• C:\Windows\System32\cscript.exe - パッチ展開で使用されるVBScriptで記述された展開用スクリプト用

ProgramFilesフォルダ:

14.0およびそれ以上のバージョン:

• C:\Program Files\Quest\KACE   - 64ビット WindowsでのKACEエージェントの実行ファイルが配置されます。

13.2以前のバージョン: 

• C:\Program Files (x86)\Quest\KACE  - 64ビット WindowsでのKACEエージェントの実行ファイルが配置されます。
• C:\Program Files\Quest\KACE   - 32ビット WindowsでのKACEエージェントの実行ファイルが配置されます。

B. エージェントフォルダにおける実行ファイルについての詳細

ProgramFiles フォルダ:

• AMPTools.exe: Can be manually run on CMD for different actions.
• AMPWatchDog.exe: Ensures the agent is unstuck when necessary.
• Inventory.exe: Inventory process.
• KacePatch.exe: Handles SMA tasks such as scanning and deploying patch payloads.
• KCopy.exe: Copies dependencies to their specified location for Scripts/Managed Installs.
• KDeploy.exe: Deploys packages to devices.
• KInventory.exe: Inventory process.
• klog.exe: Enables agent logging
• KMenu.exe: System Tray icon, for inventory, snoozing, etc.
• konea.exe: Persistent connection to SMA.
• KPlugins.exe: background agent tasks.
• KSchedulerSvc.exe: Handles Offline KScripts
• kstatus.exe: Can be manually on CMD run to obtain: Agent Version, Hostname, KUID, and if it's running & connected to the SMA.
• KSWMeterSvc.exe: Handles metering.
• KUserAlert.exe: Window that appears for deploying patches, and snoozing notifications.
• kwol.exe: Handles Wake-on-LAN
• runkbot.exe: Runs scripts. Can be manually used for running a specific script on demand.

ProgramData フォルダ:

• C:\ProgramData\Quest\KACE\modules\clientidentifier\clientidentifier.exe - SMAのWebUIへブラウザアクセスしたエージェントデバイスを正しく特定するためのプログラム
• C:\ProgramData\Quest\KACE\modules\detex\detex.exe - タスク継続中にエージェント接続が途切れても中断しないようにするためのプログラム。

C:\Windows\System32\cscript.exe – VBScriptで記述されたスクリプトを展開します、またパッチ展開時にも使用されます。
 

C. その他の観点

PowerShell はエージェントのコアタスクを実行するためにもともとは必須とはしていませんでしたが、インベントリのいくつかの情報収集のために必要です。詳細は こちらの記事 をご参照ください。もしも PowerShell がブロックされるとエージェントがうまく動かなくなり、処理を継続するために再起動が必要になる場合があります。

D. サードパーティベンダーの情報

セキュリティ製品などのサードパーティ製品と利用した場合にKACEエージェントの動作に問題が発生する場合があります。それらの製品の構成に更新または変更があるとその影響を受けかねないことにご注意ください:

• Sophos: Adding a Global Exclusion of Exclude folder from ransomware protection: C:\Program Files\Quest\KACE
• Cylance: Disabling memory protection.

[2024/May/29] SMA V10 以前の記述を削除

macOS : /Library/Application Support/Quest/KACE/{bin,data}

Linux (RHEL系/Ubuntu系) : /opt/quest/kace/ および /var/quest/kace/