McAfee VirusScan Enterprise 8.8 ソフトウェ ア 製品ガイド 著作権 Copyright © 2010 McAfee, Inc. All Rights Reserved. このマニュアルのいかなる部分も、McAfee Inc. またはその代理店または関連会社の書面による許可なしに、形態、方法を問わず、複写、送 信、転載、検索システムへの保存、および多言語に翻訳することを禁じます。 商標 AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELDは米国法人 McAfee, Inc. または米国またはその他の国の関係会社における登録商標、または商標です。McAfee ブランドの製品は赤を基調としていま す。その他全ての登録商標及び商標はそれぞれの所有者に帰属します。 ライセンス情報 ライセンス条項 お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるもの です、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセ ンス関連部署にご連絡いただくか、製品パッケージに付随する注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフト ウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規定に同意されない場合は、製品をインス トールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額全額をお 返しいたします。 2 McAfee VirusScan Enterprise 8.8 製品ガイド 目次 まえがき ......................................................................................6 対象読者.................................................................................6 表記規則.................................................................................6 本書の構成...............................................................................7 製品マニュアルの検索......................................................................8 はじめに ......................................................................................9 VirusScan Enterprise について..............................................................9 コンポーネントおよび各コンポーネント間の動作...............................................10 セキュリティ対策の作成の重要性............................................................11 VirusScan コンソールとそのアクセス方法....................................................13 VirusScan コンソールとその動作.....................................................13 右クリック機能の使用..............................................................14 システム トレイ アイコンとその動作.................................................15 最初に行う作業...........................................................................18 パート Ⅰ - 防止:脅威の回避..............................................................20 アクセス保護.............................................................................20 アクセス脅威の阻止方法............................................................21 ユーザ インターフェースへのアクセスの制御..........................................22 システムのアクセス ポイントの保護.........................................................25 アクセス保護ルールを定義する方法...................................................25 アクセス ポイント違反と VirusScan Enterprise の対応.................................26 ユーザ定義ルールの種類............................................................27 アクセス保護の設定................................................................27 バッファ オーバーフロー攻撃のブロック.....................................................36 バッファ オーバーフロー攻撃のしくみ................................................37 バッファ オーバーフロー保護の設定..................................................38 不審なプログラムの制限...................................................................40 不審なプログラムの設定............................................................40 検出定義のアップデート...................................................................45 DAT ファイルとその機能............................................................45 アップデート方法の重要性..........................................................46 McAfee VirusScan Enterprise 8.8 製品ガイド 3 目次 アップデート タスクとその機能......................................................47 ミラー タスクとその機能...........................................................48 AutoUpdate リポジトリのしくみ......................................................50 DAT ファイルのロールバックのしくみ.................................................51 スキャン アイテムの除外..................................................................51 除外対象の指定....................................................................52 ワイルドカードを使用したスキャン アイテムの指定方法.................................52 スケジュール設定されたタスクの使用........................................................53 タスクのスケジュール設定..........................................................53 タスク スケジュールの設定.........................................................53 パート II - 検出:脅威の検索..............................................................55 アイテムのオンアクセス スキャン...........................................................55 オンアクセス スキャンとその動作....................................................55 スキャンの比較:ディスクへの書き込みとディスクからの読み取り.........................56 スキャンの比較:すべてのファイルのスキャンとデフォルトの拡張子と追加した拡 張子のスキャン...............................................................57 スクリプト スキャンとその動作......................................................57 Artemis の動作....................................................................57 スキャン ポリシーの数の決定.......................................................58 全般設定とプロセス設定の設定方法...................................................59 アイテムのオンデマンド スキャン...........................................................67 オンデマンド スキャンとその動作....................................................67 オンデマンド スキャンの方法とその定義方法..........................................68 リモート ストレージのスキャンの機能のしくみ........................................68 スキャンの遅延のしくみ............................................................69 システム使用率の機能..............................................................69 オンデマンド スキャン タスクの設定.................................................69 グローバル システム キャッシュの設定...............................................73 配信時とオンデマンドの電子メール スキャン.................................................75 ePolicy Orchestrator 4.5 または 4.6................................................75 ePolicy Orchestrator 4.0..........................................................76 VirusScan コンソール..............................................................76 配信時電子メール スキャン ポリシーのタブの定義......................................77 パート III - 対応:脅威の処理............................................................78 検出および対応...........................................................................78 検出時のスキャナ アクション.......................................................78 システムのアクセス ポイント違反....................................................79 4 McAfee VirusScan Enterprise 8.8 製品ガイド 目次 バッファ オーバーフロー検出.......................................................79 不審なプログラムの検出............................................................79 オンアクセス スキャン検出.........................................................80 オンデマンド スキャン検出.........................................................81 電子メール スキャンによる検出......................................................81 隔離アイテム......................................................................81 アラートおよび通知の設定.................................................................84 アラートの設定....................................................................84 クエリおよびダッシュボードへのアクセス....................................................87 緊急 DAT の設定..........................................................................88 緊急 DAT について.................................................................88 SuperDAT ファイルのダウンロード ...................................................89 ePolicy Orchestrator リポジトリへの SuperDAT ファイルのインストール..................89 クライアント システムへの EXTRA.DAT ファイルのインストール..........................90 パート IV - 保護状況の監視、分析、および微調整.......................................91 環境内の動作の監視.......................................................................91 動作監視用のツール................................................................91 保護状況の分析...........................................................................93 分析の重要性......................................................................93 保護状況の分析例..................................................................93 付録 ..........................................................................................96 ePolicy Orchestrator のサーバ タスクの設定................................................96 サンプル サーバ タスクの設定.......................................................97 VirusScan Enterprise でのコマンド ラインの使用.............................................98 オンデマンド スキャンのコマンドライン オプション....................................98 アップデート タスクのコマンドライン オプション.....................................100 リモート システムへの接続...............................................................101 VirusScan Enterprise がインストールされているリモート システムへのアクセス..........101 分析用の脅威サンプルの送信...............................................................102 McAfee ラボの脅威ライブラリへのアクセス..................................................103 トラブルシューティング..................................................................103 製品インストール内容の修復.......................................................103 オンアクセス動作ログ ファイルの表示...............................................104 トラブルシューティング時の MER ツールの使用.......................................105 トラブルシューティング時の VirusScan Enterprise の無効化...........................105 推奨のサポート ツールとトラブルシューティング ツール...............................109 よく寄せられる質問...............................................................110 McAfee VirusScan Enterprise 8.8 製品ガイド 5 まえがき このマニュアルを有効に活用するには、本書の対象読者、表記規則、内容、および他のリファ レンス マニュアルを検索する方法を理解する必要があります。 目次 対象読者 表記規則 本書の構成 製品マニュアルの検索 対象読者 McAfee のマニュアルは、対象読者に合わせて綿密に調査および記述されています。 このガイドの情報は、主に以下の方を対象としています。 • 管理者 - 企業のセキュリティ プログラムを実装および施行します。 • ユーザ - 各自のシステム上の製品オプションを設定したり、各自のシステムを更新した りします。 表記規則 このマニュアルでは、次の表記規則を使用しています。 6 文書タイトルまたは強調語句 文書/章/トピックのタイトル、新しい用語、強調語句を 表します。 太字 強調されるテキストを表します。 ユーザ入力またはパス ユーザが入力するコマンドや他のテキスト、フォルダや プログラムのパスを表します。 コード コード サンプルを表します。 ユーザ インターフェース オプション、メニュー、ボタン、ダイアログ ボックスな どのユーザ インターフェース要素のテキストを表しま す。 青いハイパーテキスト トピックまたは Web サイトへの直接リンクを表します。 注 オプションにアクセスするための代替方法などの追加情 報を表します。 ヒント 提案事項や推奨事項を表します。 重要/注意 お使いのコンピュータ システム、インストール済みソフ トウェア、ネットワーク、ビジネス、データなどを保護 するための有用なアドバイスを表します。 警告 ハードウェア製品の使用時に身体的な被害を防止するた めの重要なアドバイスを表します。 McAfee VirusScan Enterprise 8.8 製品ガイド まえがき 本書の構成 本書の構成 このマニュアルは、VirusScan コンソール や ePolicy Orchestrator のユーザ インター フェースを操作しながら参照するためのリファレンスとして提供されています。また、 VirusScan Enterprise を使用してお使いのシステムをマルウェアから保護するための方法も 順序立てて説明しています。このプロセスを説明するために、このマニュアルは次の 4 つの 主要パートと付録に分かれています。 • パート Ⅰ - 防止:脅威の回避 - お使いのシステムを保護するための最善の方法は、お 使いのシステムに対するあらゆるマルウェアからのアクセスを防止することです。この パートでは、以下について説明します。 • システムのアクセス ポイントとメモリをオーバーフロー エラーや不審なプログラムか ら保護する方法。 • 検出定義、これらを使用してシステムを保護する方法、およびこれらの定義を定期的に 更新することの重要性。 • ファイル、フォルダ、およびディスクをスキャン対象から除外する方法。 • スケジュール設定されたタスクを使用して、システムを定期的にスキャンしたり、 VirusScan Enterprise によって使用されるファイルを更新したりする方法。 • パート II - 検出:脅威の検索 - 他のファイル システムやインターネットから開かれ るかコピーされたファイルは、お使いのシステムへのアクセス手段を提供する可能性があ ります。また、アプリケーション プログラミング インターフェース(API)の呼び出し とスクリプトは、お使いのシステムに脅威をもたらす危険性があります。これらの脅威 は、VirusScan Enterprise による以下のスキャン プロセスで検出されます。 • オンアクセス スキャン - ディスク上のファイルの読み書き時にファイルまたはマル ウェアをスキャンするとともに、ブート セクタを保護して、既に実行中のプロセスの メモリをスキャンして、Cookie を検出して、不審なプログラムから保護します。 • オンデマンド スキャン - 設定されたスケジュールに従って、または VirusScan コン ソール から開始されたときに必要に応じて、システム全体をスキャンして脅威を検索 します。 • 配信時およびオンデマンドの電子メール スキャン - Microsoft Outlook および Lotus Notes の電子メールを通じて侵入するマルウェアから保護します。 • バッファ オーバーフロー保護 - 特定のプロセスによる API 呼び出しを分析して、こ れらの呼び出しがメモリ バッファ内の隣接するデータを上書きしようとしていないこ とを確認します。 • ScriptScan - Windows Script Host を使用するアクセスされたブラウザや他のアプリ ケーションから脅威を検索します。 • パート III - 対応:脅威の処理 - VirusScan Enterprise は、脅威が検出されたときに 次のいずれかのステップを実行するように設定できます。 • その脅威へのアクセスを拒否するか、追加のアクションを実行しない。 • その脅威を削除または駆除する。これらのどちらかのアクションが実行されると、オリ ジナル ファイルのコピーが隔離フォルダに格納されます。 注意: 脅威の検出時に、VirusScan Enterprise からユーザに通知するかどうかを設定で きます。 • パート IV - 保護状況の監視、分析、および微調整 - 保護を開始したら、ePolicy Orchestrator のクエリとレポートを使用してお使いのシステムを監視する必要がありま す。そうすることで、システムの保護を強化するか緩和するために、セキュリティ設定を 変更するという判断を下すことができます。また、VirusScan コンソール のログと SNMP McAfee VirusScan Enterprise 8.8 製品ガイド 7 まえがき 製品マニュアルの検索 (Simple Network Management Protocol)トラップを使用して、お使いのシステムを監視 することもできます。 • 付録 - VirusScan Enterprise の使用時に知っておくべきいくつかの追加機能について 説明します。たとえば、VirusScan Enterprise のコマンドライン オプションや、VirusScan Enterprise を通じてリモート システムに接続する機能などです。 製品マニュアルの検索 McAfee は、製品のインストールから使用やトラブルシューティングにいたるまで、製品導入 の各段階で必要な情報を提供しています。製品のリリース後は、その製品の情報は、McAfee のオンライン知識ベースに掲載されます。 1 McAfee テクニカル サポート ServicePortal(http://mysupport.mcafee.com)にアクセ スしてください。 2 [Self Service]の下に表示されるメニューから、必要な種類の情報にアクセスします。 アクセス対象 手順 ユーザ マニュアル 1 [Product Documentation]をクリックします。 2 [Product]を選択してから、[Version]を選択します。 3 製品マニュアルを選択します。 知識ベース 8 • お使いの製品に関する質問に対する回答を探すには、[Search the KnowledgeBase]をクリックします。 • 製品別およびバージョン別に一覧表示された記事を参照するには、 [Browse the KnowledgeBase]をクリックします。 McAfee VirusScan Enterprise 8.8 製品ガイド はじめに ® ® McAfee VirusScan Enterprise 8.8 ソフトウェアのコンポーネントについて、およびこのソ フトウェアの設定順序について理解することは、お使いのシステムを脅威から保護するのに 役立ちます。 目次 VirusScan Enterprise について コンポーネントおよび各コンポーネント間の動作 セキュリティ対策の作成の重要性 VirusScan コンソールとそのアクセス方法 最初に行う作業 VirusScan Enterprise について VirusScan Enterprise ソフトウェアがインストールされると同時に、お使いのシステムは脅 威から保護されます。保護を強化するためには、このソフトウェアの役割、このリリースの 新機能、およびその主要なコンポーネントを理解する必要があります。 VirusScan Enterprise の内容と役割 VirusScan Enterprise は、拡張性の高い保護機能、高速なパフォーマンス、およびモバイル 向けのデザインを通じてユーザの環境を以下から保護します。 • ウィルス、ワーム、およびトロイの木馬 • アクセス ポイント違反とバッファ オーバーフロー攻撃 • 怪しいコードとプログラム 脅威を検出すると、使用中の環境を保護するよう設定されたアクションを実行します。 ® このソフトウェアは、スタンドアロン製品として設定することもできますが、McAfee ePolicy ® Orchestrator ソフトウェア バージョン 4.0 以降を使用して、VirusScan Enterprise のポ リシーを管理および施行して、クエリとダッシュボードを使用して動作と検出状況を追跡す ることもできます。 注意: 本書では、ePolicy Orchestrator 4.0、4.5、および 4.6 の使用について説明します。 これらのバージョンの ePolicy Orchestrator の使用については、そのバージョンの製品マ ニュアルを参照してください。 新機能 本リリースには、以下の新機能が含まれています。 • パフォーマンスが向上しました。 McAfee VirusScan Enterprise 8.8 製品ガイド 9 はじめに コンポーネントおよび各コンポーネント間の動作 • ePolicy Orchestrator 4.5 および 4.6 を使用して VirusScan Enterprise システムを管 理できます。 • レジストリを手動で編集する代わりに、新しい ScriptScan URL 除外機能を使用すること で、除外の設定を行うことができます。 • AntiSpyware Enterprise Module は、VirusScan Enterprise 8.8 ソフトウェアに完全に 統合されています。 • Outlook 2010 の電子メール スキャンをサポートしています。 • Lotus Notes 8.0x ~ 8.5.1 の電子メール スキャンをサポートしています。 コンポーネントおよび各コンポーネント間の動作 VirusScan Enterprise の管理者とユーザは、このソフトウェアのコンポーネントと接続につ いて理解する必要があります。次の図では、基本的な環境でのこれらのコンポーネントを示 しています。 図 1: VirusScan Enterprise のコンポーネント クライアント システム ここに VirusScan Enterprise とオプションの McAfee Agent をインストールして設定しま す。 • DAT ファイル - 検出定義ファイルは、マルウェア シグネチャとも呼ばれ、スキャン エ ンジンと連携して脅威を識別して、これらの脅威に対してアクションを実行します。 • スキャン エンジン - クライアント コンピュータ上のファイル、フォルダ、およびディ スクをスキャンして、これらを DAT ファイル内の情報と照らし合わせて、既知のウイル スが潜んでいないか確認します。 注意: DAT ファイルとスキャン エンジンは、McAfee 本部へのインターネット接続を使用 して、または指定されたサーバへのオプションの企業イントラネット接続を使用して、必 要に応じて更新されます。 10 McAfee VirusScan Enterprise 8.8 製品ガイド はじめに セキュリティ対策の作成の重要性 • Artemis(不審なファイルのヒューリスティック ネットワーク チェック) - VirusScan Enterprise によって保護されているクライアント システム上で実行されている不審なプ ログラムや DLL を検索します。リアルタイム マルウェア防御機能は不審なプログラムを 検出すると、McAfee ラボによってホストされる中央のデータベース サーバに不審なファ イルのフィンガープリントを含む DNS 要求を送信します。 • McAfee Agent(オプション) - McAfee 管理対象製品と McAfee ePolicy Orchestrator サーバとの間のセキュア通信を提供します。McAfee Agent は、イベントやプロパティの 報告、ログ記録、更新、タスクのスケジュール設定、通信、ポリシーの保管などのローカ ル サービスも提供します。 McAfee 本部 McAfee 本部は、McAfee ラボと McAfee テクニカル サポートの拠点であり、次の VirusScan Enterprise サービスを提供します。 • DAT アップデート - これらの DAT アップデート ファイルは、McAfee の中央データベー ス サーバに保管されており、AutoUpdate を使用し、VirusScan Enterprise クライアン トやオプションの DAT リポジトリにコピーされ、既知の脅威に対処するための情報や、 リアルタイムで発見されたばかりの既知のウイルスの新しいリストを提供します。 • スキャン エンジン アップデート - スキャン エンジン アップデートは、中央データ ベース サーバに保管されており、VirusScan Enterprise のスキャン エンジンを最新状 態に保つために必要に応じてダウンロードされます。 • McAfee ラボ - この脅威ライブラリは、ウイルス、トロイの木馬、デマ、および怪しい プログラム(PUP)の脅威に関する詳細情報を提供します。たとえば、これらの発生源、 システムへの感染手口、これらへの対処方法などです。Artemis 機能は不審なファイルの フィンガープリントを McAfee ラボに送信し、このラボではそのファイルが分析されて、 実行すべきアクションが決定されます。 サーバ オプションのサーバは、次のコンポーネントを使用して多数のクライアント システムをリ モートで管理および更新します。 • ePolicy Orchestrator - VirusScan Enterprise のポリシーを一元的に管理および施行 し、クエリとダッシュボードを使用して動作と検出状況を追跡します。 注意: 本書では、ePolicy Orchestrator 4.0、4.5、および 4.6 の使用について説明しま す。ePolicy Orchestrator については、お使いのバージョンの製品マニュアルを参照し てください。 • DAT リポジトリ - DAT アップデートを McAfee のダウンロード サイトから取得します。 このリポジトリから、DAT ファイルを組織全体にわたって複製して、他のすべてのコン ピュータからアクセスできるようにします。これにより、更新されたファイルを共有サイ トにコピーするプロセスが自動化されるため、ネットワーク全体にわたって転送される データ量が最少化されます。 セキュリティ対策の作成の重要性 VirusScan Enterprise を使用して、お使いのクライアント システムをウイルス、ワーム、 およびトロイの木馬ファイルから保護するには、入念に計画された対策が必要になります。 この対策は、脅威の防止と検出に関する設定、脅威への対応、および継続的な分析と調整か らなります。 McAfee VirusScan Enterprise 8.8 製品ガイド 11 はじめに セキュリティ対策の作成の重要性 防止 - 脅威の回避 すべてのデータ ソースを確実に保護するためのセキュリティ ニーズを定義し、使用中の環 境にアクセスできるようになる前に侵入を阻止するための効果的な方法を開発します。次の 機能を設定して侵入を防止します。 • ユーザ インターフェース セキュリティ - 表示とパスワードの保護を設定して、VirusScan Enterprise ユーザ インターフェースへのアクセスを制御します。 • アクセス保護 - アクセス保護ルールを使用して、コンピュータがファイル、レジスト リ、およびポートに関して好ましくない動作をしないように保護します。 • バッファ オーバーフロー保護 - バッファにデータを書き込むときに、不正なプログラ ムや脅威がバッファの境界を超えることや隣接するメモリを上書きすることを防止しま す。これらの攻撃目的のバッファ オーバーフローを発生させることで、お使いのコン ピュータ上で任意のコードを実行可能になります。 • 不審なプログラムの保護 - スパイウェアやアドウェアなど、不審なプログラムをコン ピュータから削除します。 検出 - 脅威の検索 侵入が発生したときにその侵入を検出するための効果的な方法を開発します。次の機能を設 定して脅威を検出します。 • アップデート タスク - DAT とスキャン エンジンの自動アップデートを McAfee のダウ ンロード Web サイトから取得します。 • オンアクセス スキャナ - ファイルをディスクから読み取るときやディスクに書き込む ときに、あらゆるソースに潜む脅威を検出します。Cookies フォルダ内をスキャンして、 不審な Cookie を探すこともできます。 • オンデマンド スキャン タスク - 即時スキャンとスケジュールしたスキャンのタスクで 潜在的脅威を検出します。これまでに駆除されなかったスパイウェア関連のレジストリ エントリや不審な Cookie を探すためにスキャンすることもできます。 • 配信時およびオンデマンドの電子メール スキャナ - 配信時スキャンで電子メール メッ セージ、添付ファイル、およびパブリック フォルダをチェックし、Microsoft Outlook 電子メール クライアント上の潜在的な脅威を検出します。Lotus Notes 電子メール クラ イアントの潜在的な脅威は、メッセージにアクセスするときに検出します。 • Quarantine Manager のポリシー - 隔離の場所および隔離アイテムの保管期間を指定し ます。必要に応じて隔離したアイテムを復元します。 対応 - 脅威の処理 製品のログ ファイル、自動アクション、および他の通知機能を使用して、検出の処理に最適 な方法を決定します。 • アクション - 検出時にアクションを実行するように各機能を設定します。 • ログ ファイル - 製品のログ ファイルを監視して検出したアイテムの履歴を表示しま す。 • クエリおよびダッシュボード - ePolicy Orchestrator のクエリおよびダッシュボード を使用して、スキャン動作および検出状況を監視します。 調整 - 保護状況の監視、分析、および微調整 VirusScan Enterprise を初期設定した後は、設定を監視および分析することをお勧めしま す。これにより、システムとネットワークのパフォーマンスを高めることができるとともに、 必要に応じてウイルス保護レベルを強化できます。たとえば、次の VirusScan Enterprise 12 McAfee VirusScan Enterprise 8.8 製品ガイド はじめに VirusScan コンソールとそのアクセス方法 のツールと機能は、監視プロセス、分析プロセス、および微調整プロセスの過程で変更でき ます。 • ログ ファイル(VirusScan コンソール) - 検出されたアイテムの履歴を表示できます。 この情報を分析することで、保護を強化する必要があるのかどうかや、設定を変更してシ ステム パフォーマンスを高める必要があるのかどうかを判断できることがあります。 • クエリおよびダッシュボード(ePolicy Orchestrator コンソール) - スキャン動作と 検出状況を監視できます。この情報を分析することで、保護を強化する必要があるのかど うかや、設定を変更してシステム パフォーマンスを高める必要があるのかどうかを判断 できることがあります。 • スケジュール設定されたタスク - タスク(AutoUpdate と同様に)とスキャン時刻を変 更して、これらのタスクをオフピーク時に実行することでパフォーマンスを高めることが できます。 • DAT リポジトリ - これらのソース ファイルを移動してアップデートを必要とするクラ イアントに近づけることで、企業のインターネットやイントラネット上のネットワーク トラフィックを低減できます。 • スキャン ポリシーの変更 - ログ ファイルやクエリの分析結果に応じて、パフォーマン スを高めたりウイルス保護を強化したりできます。たとえば、除外の設定、どのような場 合に危険度高または危険度低のプロファイル スキャンを使用するのかの設定、およびど のような場合に書き込み時のスキャンを無効にするのかの設定は、すべてパフォーマンス を高めることができます。 警告: [ディスクからの読み取り時]スキャンを有効にしない場合は、お使いのシステム はマルウェアによるさまざまな攻撃に対して無防備になります。 VirusScan コンソールとそのアクセス方法 VirusScan コンソールは、スタンドアロン バージョンの当プログラムの動作に対するイン ターフェースです。VirusScan コンソールを使用して、当製品を設定、監視、および更新で きます。 注意: ここに記載された情報は、スタンドアロン バージョンの当製品にのみ適用され、管理 対象 ePolicy Orchestrator バージョンには適用されません。 VirusScan コンソールとその動作 VirusScan Enterprise の役割とコンポーネントについて理解したら、その機能にアクセスす る方法を理解する必要があります。VirusScan Enterprise 8.8 コンソールを開くには、次の いずれかの方法を使用します。 • [スタート]メニューをクリックし、[プログラム ]、[McAfee]、[VirusScan コン ソール]の順に選択します。 • システム トレイで VirusScan Enterprise シールド アイコンを右クリックし、[VirusScan コンソール] を選択します。 メニュー バー 以下のメニュー項目を使用して、タスクを作成したり、プロパティを設定したり、詳細情報 にアクセスしたりします。 • タスク - スキャンの実行や DAT ファイルのアップデートなど、タスクの作成と設定を 行います。 McAfee VirusScan Enterprise 8.8 製品ガイド 13 はじめに VirusScan コンソールとそのアクセス方法 • 編集 - 選択したタスクのコピー、貼り付け、名前の変更を行います。 • 表示 - ツールバーやステータス バーを表示したり、表示内容を更新したりします。 • ツール - ユーザのためのインターフェース オプションの設定、ユーザ インターフェー ス セキュリティのロック/ロック解除、アラートの設定、イベント ビューアへのアクセ ス、リモート コンソールへの接続 (管理者権限がある場合)、リポジトリ リストのイン ポート/編集、DAT ファイルのロールバックを行います。 • ヘルプ - オンライン ヘルプ トピック、McAfee ラボ Web サイトの脅威ライブラリ、サ ンプル送信の Web サイト、テクニカル サポートの Web サイトにアクセスします。イン ストールした製品の修復を行うこともできます。また、[バージョン情報] ダイアログ ボックスには、著作権情報、インストールされている製品のバージョン、ライセンス タ イプ、定義ファイル、スキャン エンジン、外部ドライバ、パッチの情報が表示されます。 注意: メニューの各アイテムには、関連付けられたショートカット キーがあります。一部の オペレーティング システムでは、これらのショートカット キーを使用するには、F10 キー または Alt キーを使用してメニューにアクセスする必要があります。 ツールバー アイコンをクリックして、以下のよく使用されるコマンドを実行できます。 • 選択したタスクのプロパティを表示します。 • 選択したタスクを開始します。 • 選択したタスクを停止します。 • 選択したタスクをコピーします。 • 選択したタスクを貼り付けます。 • 選択したタスクを削除します。 • アラートのプロパティを設定します。 • イベント ビューアを起動します。 • McAfee ラボの Web サイトにある情報ライブラリにアクセスします。 • 管理者権限がある場合、リモート コンピュータに接続します。 • 新しいオンデマンド スキャンを作成します。 タスク リスト デフォルトのタスクと、新規作成したタスクが表示されます。各タスクのステータスと前回 の結果も表示されます。 ステータス バー 現在の動作のステータスが表示されます。 右クリック機能の使用 右クリック機能を使用すると、新しいタスクの作成、タスク統計およびログの表示、タスク プロパティ ページの表示、特定ファイルまたはフォルダのスキャン、またはタスクの即時 アップデートなど、使用頻度の高いアクションにすばやくアクセスすることができます。 14 McAfee VirusScan Enterprise 8.8 製品ガイド はじめに VirusScan コンソールとそのアクセス方法 機能の説明 場所 説明 例 コンソール VirusScan コンソールを右クリックすると、右ク • リック機能が表示されます。タスクをタスク リス トで選択しているかどうか、およびどのタスクを選 択するかにより、機能は異なります。 • Windows エクス プローラ コンソールでタスクを右クリックして プロパティを表示します。どのタスク を選択するかにより、タスクの開始、 停止、有効無効の切り替え、および統 計や動作ログの表示ができます。タス クの名前の変更やタスクの削除ができ る場合もあります。 新しいスキャンまたはアップデート タ スクを作成するには、コンソールの空 白領域を右クリックします。 選択したファイルまたはフォルダを右クリックする と、[脅威のスキャン]を直ちに実行できます。次 のスキャン アクションを選択できます。 脅威にさらされている疑いがあるファイ ルやフォルダに対して即時スキャンを実 行します。 • 駆除 — 検出されたアイテムを報告し、駆除しま す。 • 続行 — 検出内容を報告し、スキャンを続行しま す。 スキャンを開始すると、すべてのスキャ ン設定が有効な状態で、オンデマンド ス キャナが直接呼び出されます。アクショ ン オプションを選択します。それ以外の スキャン設定はカスタマイズできません。 システム トレイ VirusScan Enterprise アイコンの右クリックの詳細については、「システム トレイ アイコン とその動作」を参照してください。 システム トレイ アイコンとその動作 VirusScan Enterprise をインストールすると、次のいずれかのアイコンが Windows システ ム トレイに表示されます(この機能をインストール プロセス時に設定した場合)。 シールド アイコン内の「M」 McAfee Agent バージョン 4.5 以降を使用している ePolicy Orchestrator 管理対象システ ムで表示されます。このアイコンでは以下が表示されます。 • ステータス - このアイコンは、アクセス保護のトリガ アラートを示すためや、McTray バージョン 2.x 以降(McAfee Agent 4.5 以降を使用)を使用している ePolicy Orchestrator 管理対象クライアント上でオンアクセス スキャンが無効化されているかど うかを示すために変化することはありません。ステータスの変化はツール ヒントとして 表示されます。 • ツール ヒント - アイコンのツール ヒントには以下が含まれます。 • McAfee ステータス:OK - 正常です。オプションは以下のように表示されます。 • セキュリティ ステータスの表示 - チェック マークが表示されます。 • クイック設定、オンアクセス ウイルス スキャン - オン - チェック マークが表 示されます。 • McAfee ステータス:問題が検出されました - オンアクセス スキャンが無効。オプショ ンは以下のように表示されます。 • セキュリティ ステータスの表示 - 感嘆符が表示されます。 注意: [セキュリティ ステータスの表示]をクリックすると、[McAfee セキュリ ティ ステータス]ダイアログ ボックスが開いて、[ステータス]列に[問題 - オンアクセス スキャンが無効]と表示されます。 McAfee VirusScan Enterprise 8.8 製品ガイド 15 はじめに VirusScan コンソールとそのアクセス方法 • クイック設定、オンアクセス ウイルス スキャン - オフ - チェック マークは表 示されません。 • McAfee ステータス:問題が検出されました - アクセス保護イベントがトリガされまし た。オプションは以下のように表示されます。 • セキュリティ ステータスの表示 - 感嘆符が表示されます。 注意: [セキュリティ ステータスの表示]をクリックすると、[McAfee セキュリ ティ ステータス]ダイアログ ボックスが開いて、[ステータス]列に[問題 - アクセス保護のログを参照してください]と表示されます。 • クイック設定、オンアクセス ウイルス スキャン - オン - チェック マークが表 示されます。 • メニュー オプション - 右クリック メニュー オプションには以下が含まれます。 • セキュリティの更新 - DAT ファイルと他の変更内容を更新します。 • クイック設定 - 以下が表示されます。 • オンアクセス スキャンのプロパティ - オンアクセス スキャナのプロパティを表 示します。 • オンアクセス スキャンのオンまたはオフ - オンアクセス スキャナのオンとオフ を切り替えます。 • オンアクセス スキャンのプロパティ - オンアクセス スキャナのプロパティを表 示します。 • オンアクセス スキャン メッセージ - オンアクセス スキャンの統計やメッセージ を表示します。 • オンアクセス保護ログ ファイルを開く - ログ ファイルを開きます。 • 管理機能、VirusScan Enterprise - VirusScan コンソール を開きます。 • コンピュータのスキャン、脅威 - 即時スキャンを開始します。 • セキュリティ ステータスの表示 - [McAfee セキュリティ ステータス]ダイアログ ボックスを開きます。 • McAfee Agent ステータス モニタ - [McAfee セキュリティ ステータス モニタ]ダ イアログ ボックスを開きます。 • バージョン情報 - [バージョン情報]ダイアログ ボックスを開きます。 ボックス内の「M」 McTray 1.0 を使用しているスタンドアロン システム上で表示されるとともに、McTray 1.0 を使用する McAfee Agent バージョン 4.0 を使用している ePolicy Orchestrator 管理対象 システム上で表示されます。このアイコンでは以下が表示されます。 • ステータス - 以下が表示されます。 • • ボックス内の「M」 - 正常なステータスです。 ボックス内の「M」と感嘆符 - アクセス保護違反イベントがトリガされたか、オ ンアクセス スキャンが無効化されています。右クリック メニュー オプションは以下 のように表示されます。 • 16 シールド内の「V」と斜線付きの丸印 - オンアクセス スキャンが無効化され ていることを示します。 McAfee VirusScan Enterprise 8.8 製品ガイド はじめに VirusScan コンソールとそのアクセス方法 • 赤い枠で囲まれたシールド内の「V」 - オンアクセス スキャンが有効化され ていることを示しますが、アクセス保護ログ ファイルを参照してください。 • ツール ヒント - 「McAfee」と表示されます。 • メニュー オプション - 右クリック メニュー オプションには以下が含まれます。 • VirusScan コンソール - VirusScan コンソール を開きます。 • オンアクセス スキャナを無効または有効にする - オンアクセス スキャナのオンとオ フを切り替えます。 • オンアクセス スキャンのプロパティ - オンアクセス スキャナのプロパティを表示し ます。 • オンアクセス スキャン統計 - オンアクセス スキャンの統計を表示します。 • オンアクセス スキャン メッセージ - オンアクセス スキャンの統計やメッセージを 表示します。 • オンデマンド スキャン - 1 度だけ実行する設定可能なオンデマンド スキャンを作成 します。 • 今すぐアップデート - 即時アップデート タスクを実行します。 • VirusScan Enterprise のバージョン情報 - [バージョン情報]ダイアログ ボックス を開きます。 シールド アイコン内の「V」 McTray 1.0 がインストールされていないスタンドアロン システム上で表示されます。この アイコンでは以下が表示されます。 • ステータス - 以下が表示されます。 • • • シールド内の「V」 - 正常です。 シールド内の「V」と斜線付きの丸印 - オンアクセス スキャンが無効化されて いることを示します。 赤い枠で囲まれたシールド内の「V」 - オンアクセス スキャンが有効化されてい ることを示しますが、アクセス保護ログ ファイルを参照してください。 • ツール ヒント - ツール ヒントには以下が含まれます。 • • • シールド内の「V」 - McAfee OAS が有効化されています。正常です。 シールド内の「V」と斜線付きの丸印 - McAfee OAS が無効化されています。 赤い枠で囲まれたシールド内の「V」 - McAfee OAS が有効化されています。アク セス保護ログを参照してください。 • メニュー オプション - 右クリック メニュー オプションには以下が含まれます。 • セキュリティの更新 - DAT ファイルと他の変更内容を更新します。 • クイック設定 - 以下が表示されます。 • オンアクセス スキャンのプロパティ - オンアクセス スキャナのプロパティを表 示します。 • オンアクセス スキャンのオンまたはオフ - オンアクセス スキャナのオンとオフ を切り替えます。 McAfee VirusScan Enterprise 8.8 製品ガイド 17 はじめに 最初に行う作業 • オンアクセス スキャン メッセージ - オンアクセス スキャンの統計やメッセージ を表示します。 • オンアクセス保護ログ ファイルを開く - ログ ファイルを開きます。 • 管理機能、VirusScan Enterprise - VirusScan コンソール を開きます。 • コンピュータのスキャン、脅威 - 即時スキャンを開始します。 • セキュリティ ステータスの表示 - [McAfee セキュリティ ステータス]ダイアログ ボックスを開きます。 • McAfee Agent ステータス モニタ - [McAfee セキュリティ ステータス モニタ]ダ イアログ ボックスを開きます。 • バージョン情報 - [バージョン情報]ダイアログ ボックスを開きます。 最初に行う作業 インストールされた VirusScan Enterprise ソフトウェアは、この製品に付属している DAT ファイルを使用して、ユーザの環境の全般的なセキュリティを確保します。McAfee では、最 新の DAT ファイルを入手し、各自の要件を満たすように設定をカスタマイズしてから、クラ イアント システムにこの製品を配備することをお勧めします。 製品のインストールが完了したら、直ちに次の作業を行ってください。 1 ユーザ インターフェース セキュリティの設定。表示とパスワードのオプションを設定 して、特定のコンポーネントまたは VirusScan Enterprise ユーザ インターフェース全 体にユーザがアクセスできないようにします。詳細については、「ユーザ インターフェー スへのアクセスの制御」を参照してください。 2 DAT ファイルの更新。[今すぐアップデート]タスクを実行して、最新の DAT ファイル が確実に使用されるようにします。詳細については、「検出定義のアップデート」を参 照してください。 3 侵入の防止。以下の機能を設定して、潜在的な脅威がシステムにアクセスすることを防 ぎます。 • アクセス保護。コンピュータに望ましくない変更が加えられないようアクセス保護 ルールを設定し、McAfee プロセスを終了させないためのオプションを有効にします。 詳細については、「システムのアクセス ポイントの保護」を参照してください。 • バッファ オーバーフロー保護。バッファ オーバフロー検出を有効にし、除外対象を 指定します。詳細については、「バッファ オーバーフロー攻撃のブロック」を参照 してください。 • 不審なプログラム ポリシー。不審なプログラムを検出するためにオンアクセス ス キャナ、オンデマンド スキャナ、および電子メール スキャナで使用するポリシーを 設定します。事前に定義されているリストから、検出する不審なプログラムのカテゴ リを選択してから、検出または除外する追加のプログラムを指定します。詳細につい ては、「不審なプログラムの制限」を参照してください。 4 侵入の検知。システムに対する潜在的な脅威を検出し、検出時にユーザに通知してアク ションを実行するように以下の機能を設定します。 • AutoUpdate。最新の DAT ファイル、スキャン エンジン、および製品アップグレード を取得するためのアップデート タスクを設定します。詳細については、「検出定義 のアップデート」を参照してください。 • オンアクセス スキャナ。ユーザの環境内で潜在的な脅威へのアクセスが発生したと きにその脅威を検出し、その脅威に対してアクションを実行するようにスキャナを設 18 McAfee VirusScan Enterprise 8.8 製品ガイド はじめに 最初に行う作業 定します。不審なプログラムのスキャンを有効にして、Cookies フォルダ内で Cookie を検出するためにスキャンします。詳細については、「アイテムのオンアクセス ス キャン」を参照してください。 • オンデマンド スキャン。環境内で潜在的な脅威を検出し、アクションを実行するよ うにスキャン タスクを設定します。不審なプログラムのスキャンを有効にして、こ れまでに駆除されなかった怪しいスパイウェア関連のレジストリ エントリと Cookies フォルダ内の Cookie を検出するためにスキャンします。詳細については、「アイテ ムのオンデマンド スキャン」を参照してください。 • 電子メール スキャナ。Microsoft Outlook および Lotus Notes 電子メール クライ アントの配信時スキャン/オンデマンド スキャンを設定します。不審なプログラム のスキャンを有効にします。詳細については、「配信時とオンデマンドの電子メール スキャン」を参照してください。 5 アラート送信と脅威の隔離。脅威が検出されたときのユーザへの通知と、検疫アイテム の管理について設定します。 • アラートおよび通知。検出の通知およびアラートをいつどのような方法で受信するか を設定します。詳細については、「アラートおよび通知の設定」を参照してくださ い。 • Quarantine Manager のポリシー。隔離フォルダの場所、および隔離されたアイテム が自動的に削除されるまでの隔離日数を設定します。詳細については、「隔離アイテ ム」を参照してください。 McAfee VirusScan Enterprise 8.8 製品ガイド 19 パート Ⅰ - 防止:脅威の回避 防止は、保護戦略の最初のステップであり、お使いのシステムが脅威からアクセスされない ようにすることです。 目次 アクセス保護 システムのアクセス ポイントの保護 バッファ オーバーフロー攻撃のブロック 不審なプログラムの制限 検出定義のアップデート スキャン アイテムの除外 スケジュール設定されたタスクの使用 アクセス保護 脅威からクライアント システムへのアクセスを防止することは、マルウェアに対する防御の 最前線です。VirusScan Enterprise のアクセス保護機能は、要求されているアクションを一 連の設定済みルールと対比します。各ルールは、発生したアクセス違反をブロックしてレポー トするように設定することも、これらのどちらかの動作のみを行うように設定することもで きます。 アクセス保護機能は、指定したポート、ファイル、共有、レジストリ キー、およびレジスト リ値へのアクセスを制限することで、コンピュータに対する望ましくない変更を阻止します。 また、ユーザによって McAfee プロセスが終了されないように保護します。この保護機能は、 ウイルスの発生前と発生中のどちらでも、非常に重要です。 この機能では、事前定義済みのルールとユーザ定義のルールを使用して、アクセスを許可す るアイテムおよび許可しないアイテムを指定します。各ルールは、発生したアクセス違反を ブロックしてレポートするように設定することも、これらのどちらかの動作のみを行うよう に設定することもできます。事前定義済みのルールとカテゴリは、McAfee アップデート サ イトから更新できます。 注意: ポート、ファイル、共有アイテム、およびレジストリのキーと値へのアクセス試行を 検知するには、アクセス違反を検知するオンアクセス スキャナを有効にする必要がありま す。 脅威によるアクセス方法 脅威がシステムにアクセスする代表的な方法は次のとおりです。 • マクロ - ワード プロセッシング文書やスプレッドシート アプリケーションに組み込ま れています。 20 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 アクセス保護 • 実行可能ファイル - 安全なように見えるプログラムにも、正規のプログラムに加えてウ イルスが含まれている可能性があります。一般的なファイル拡張子の例として は、.EXE、.COM、.VBS、.BAT、.HLP、.DLL などが挙げられます。 • 電子メール - 添付ファイル付きの電子メール メッセージに組み込まれたジョーク、ゲー ム、およびイメージ。 • スクリプト - Web ページや電子メールと関連付けられた ActiveX や JavaScript など のスクリプトは、実行が許可されている場合は、ウイルスを含むことができます。 • インターネット リレー チャット(IRC)メッセージ - これらのメッセージとともに送 信されるファイルには、メッセージの一部としてマルウェアを簡単に組み込むことができ ます。たとえば、自動開始プロセスはワームやトロイの木馬を含んでいる可能性がありま す。 • ブラウザやアプリケーションのヘルプ ファイル - これらのヘルプ ファイルをダウン ロードすると、これらのファイルに埋め込まれたウイルスや実行可能ファイルによってシ ステムが攻撃される危険性があります。 • これらすべての組み合わせ - 巧妙なマルウェアの作成者は、これらすべての手段を組み 合わせて、マルウェアを別のマルウェアに埋め込んで、コンピュータにアクセスしようと します。 目次 アクセス脅威の阻止方法 ユーザ インターフェースへのアクセスの制御 アクセス脅威の阻止方法 アクセス保護機能の設定を有効化または変更することで、スパイウェア対策保護、ウイルス 対策保護、共通保護、仮想マシン保護を設定して、独自の保護ルールを定義できます。以下 では、VirusScan Enterprise がアクセス保護を実現するために使用する基本的なプロセスを 示しています。 脅威の発生時に実行されるステップ 1 ユーザまたはプロセスが何らかのアクションを実行しようとします。 2 そのアクションは、定義済みルールに従ってアクセス保護によって検査されます。 3 ルールに違反している場合は、ユーザまたはプロセスによって要求されたアクションは、 設定されたルール内の情報を使用して管理されます。たとえば、そのアクションによっ て何も発生しないか、そのアクションがブロックされるか、またはそのアクションがブ ロックされた上でレポートが送信されます。 4 アクセス保護のログ ファイルが更新されて、ePolicy Orchestrator のグローバル管理 者に対してイベントが生成されます。 アクセス脅威の例 1 ユーザが MyProgram.exe というプログラムをインターネットからダウンロードします。 注意: この例では、MyProgram.exe はマルウェアではありません。 2 ユーザはこのプログラムを起動して、正常に起動されたように見えます。 3 次に MyProgram.exe は AnnoyMe.exe という子プロセスを起動して、このプロセスはオペ レーティング システムに変更を加えて、このプロセスがオペレーティング システムの 起動時に常にロードされるようにします。 McAfee VirusScan Enterprise 8.8 製品ガイド 21 パート Ⅰ - 防止:脅威の回避 アクセス保護 4 アクセス保護はこの要求を処理して、ブロックおよびレポートするように設定された既 存のルールと照らし合わせます。 5 AnnoyMe.exe は、オペレーティング システムに変更を加えようとしたときにアクセスを 拒否され、アクセス保護はこの変更試行の詳細をログに記録して、 ePolicy Orchestrator のグローバル管理者に対してアラートを生成します。 ログ レポートおよび生成されたアラート 次にアクセス保護のログ エントリの例を示します。 2/10/2010 11:00AM アクセス保護によってブロック TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ プログラムの自動実行登録を防止する 次の表では、上記のアクセス保護ログ エントリ内のデータについて説明しています。 ログ エントリ 説明 2/10/2010 日付 11:00AM 時刻 アクセス保護ルールによってブロック 実行されたアクション TestDomain\TestUser 資格情報 C:\Users\TestUser\Desktop\AnnoyMe.exe ルールに違反したプロセスの名前 \REGISTRY\MACHINE\SOFTWARE\Microsoft... プロセスがアクセスしようとした場所 プログラムの自動実行登録を防止する トリガされたアクセス保護ルール 同様の情報を ePolicy Orchestrator のクエリを使用して取得できます。詳細については、 「クエリおよびダッシュボードへのアクセス」を参照してください。 ユーザ インターフェースへのアクセスの制御 クライアント コンピュータのインターフェースのセキュリティを設定することは、環境を保 護するために重要な点です。 管理者は、以下のことを実行できます。 • ユーザによる VirusScan Enterprise インターフェースへのアクセスを制御します。 • パスワードを設定して、選択した機能にユーザがアクセスしたり変更を加えたりすること を防止します。 • 必要に応じてユーザ インターフェースをロックまたはロック解除します。 目次 パスワードの設定がユーザに与える影響 ユーザ インターフェース セキュリティの設定 パスワードの設定がユーザに与える影響 悪意のあるユーザをブロックするためのユーザ インターフェース パスワードを設定します。 クライアント コンピュータのユーザ インターフェースをパスワードで保護すると、次のユー ザが影響を受けます。 • 管理者以外のユーザ - 管理者権限のないユーザ。管理者以外のユーザは、 すべての VirusScan Enterprise アプリケーションを読み取り専用モードで実行します。設定パラ メータの表示、保存したスキャンの実行、および任意のときすぐにスキャンやアップデー 22 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 アクセス保護 トを実行することはできます。設定パラメータの変更、保存したスキャンの作成、削除ま たは変更、あるいはタスクのアップデートはできません。 • 管理者 - 管理者権限のあるユーザ。保護されたタブおよびコントロールを読み取り/書 き込みモードで使用するために、管理者はパスワードを入力する必要があります。保護さ れたアイテムに対してパスワードを指定しない場合、そのアイテムは読み取り専用モード で表示されます。 ユーザ インターフェース セキュリティの設定 全般オプション ポリシー ユーザ インターフェース プロパティを使用して、ユーザが使用 できる表示オプションとパスワード オプションを設定します。 警告: これらのプロパティに変更を加える前に、セキュリティへの影響を慎重に検討してく ださい。これらのオプションを使用すると、ユーザが各自のセキュリティ設定に変更を加え ることを制限または許可できる一方で、システムがさまざまなマルウェアの攻撃に対して無 防備になる可能性があります。 以下のユーザ インターフェース コンソールを使用して全般オプション ポリシー ユーザ イ ンターフェース プロパティを設定します。 ePolicy Orchestrator 4.5 または 4.6 全般オプション ポリシー ユーザ インターフェース プロパティを設定します。 タスク オプションの定義については、各タブで[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 McAfee VirusScan Enterprise 8.8 製品ガイド 23 パート Ⅰ - 防止:脅威の回避 アクセス保護 4 [表示オプション]タブで、ユーザがリモート システムに接続できる場合にユーザに表 示される VirusScan Enterprise システム トレイ アイコンを指定して、ユーザの言語 オプションを設定します。 5 [パスワード オプション]タブで、ユーザが正しいパスワードを使用して変更できる VirusScan Enterprise のタスクとユーザ インターフェース オプションを指定します。 ePolicy Orchestrator 4.0 全般オプション ポリシー ユーザ インターフェース プロパティを設定します。 タスク オプションの定義については、各タブで[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [表示オプション]タブで、ユーザがリモート システムに接続できる場合にユーザに表 示される VirusScan Enterprise システム トレイ アイコンを指定して、ユーザの言語 オプションを設定します。 5 [パスワード オプション]タブで、ユーザが正しいパスワードを使用して変更できる VirusScan Enterprise のタスクとユーザ インターフェース オプションを指定します。 VirusScan コンソール 全般オプション ユーザ インターフェース プロパティを設定します。 タスク オプションの定義については、各タブで[ヘルプ]をクリックしてください。 24 1 [ツール]、[全般オプション]の順にクリックして、[全般オプションの設定]ダイ アログ ボックスを開きます。 2 [表示オプション]タブで、ユーザがリモート システムに接続できる場合にユーザに表 示される VirusScan Enterprise システム トレイ アイコンを指定して、ユーザの言語 オプションを設定します。 3 [パスワード オプション]タブで、ユーザが正しいパスワードを使用して変更できる VirusScan Enterprise のタスクとユーザ インターフェース オプションを指定します。 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 システムのアクセス ポイントの保護 アクセス保護機能は、指定したポート、ファイル、共有、レジストリ キー、およびレジスト リ値へのアクセスを制限することで、コンピュータに対する望ましくない変更を阻止します。 また、ユーザによって McAfee プロセスが終了されないように保護します。この保護機能は、 ウイルスの発生前と発生中のどちらでも、非常に重要です。 この機能では、定義済みのルールとカテゴリおよびユーザ定義ルールを使用して、アクセス を許可するアイテムおよび許可しないアイテムを指定します。各ルールは、アクセス ポイン ト違反の発生時にその違反をブロックしたりレポートしたりするように設定できます。定義 済みのルールとカテゴリは、McAfee アップデート サイトから内容を更新する必要がありま す。 目次 アクセス保護ルールを定義する方法 アクセス ポイント違反と VirusScan Enterprise の対応 ユーザ定義ルールの種類 アクセス保護の設定 アクセス保護ルールを定義する方法 ルールのタイプと、保護のレベルは次のとおりです。 ルール タイプの説明 ルール タイプ ウイルス対策 説明 これらの設定済みルールは、マルウェアの脅威による一般的な動作からコンピュー タを保護します。設定を有効化、無効化、または変更できますが、これらのルール を削除することはできません。 次に、これらのルールの例を 2 つ示します。 • 重要なプロセスの無効化または変更、実行可能ファイルのリモート作成または変 更、実行可能ファイルのハイジャック、Windows プロセスのなりすまし、および 大量メール送信ワームによるメール送信を防止します。 • パスワードと E-mail アドレスが盗難されないように電話帳ファイルを保護しま す。 これらの保護レベルはウイルス対策ルールに適用されます。 共通 • 標準の保護 • 最大の保護 • アウトブレーク コントロール これらの設定済みルールは、使用頻度の高いファイルや設定の変更を防止します。 設定を有効化、無効化、または変更できますが、これらのルールを削除することは できません。 次に、これらのルールの例を 3 つ示します。 • McAfee のファイルと設定の変更を防止します。 • Mozilla と Firefox のファイルと設定、Internet Explorer の設定、およびネッ トワーク設定を保護します。 • ブラウザ ヘルパー オブジェクトのインストール、および Temp フォルダからの プログラムの自動実行を防止します。 これらの保護レベルは共通ルールに適用されます。 • 標準の保護 McAfee VirusScan Enterprise 8.8 製品ガイド 25 パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 ルール タイプ 説明 • 仮想マシン保護 最大の保護 設定済みのルールにより VMWare プロセスの終了と VMWare ファイルの変更を防止 します。設定を有効化、無効化、または変更できますが、これらのルールを削除す ることはできません。 ルールの例は次のとおりです。 • VMWare プロセスの終了を防止する。 • VMWare ワークステーション、サーバ、または仮想マシンのファイルの変更を防 止する。 ユーザ定義 これらのカスタム ルールは、ウイルス対策および共通ルールによって提供される保 護を補完します。 スパイウェア対策 ルールの例は次のとおりです。 • Internet Explorer のお気に入りと設定の操作を防止する。 • Temp フォルダからのプログラム実行とスクリプト実行を防止する。 保護レベルの説明 保護レベル 説明 標準 いくつかの重要な設定やファイルが変更されないよう保護する、ウイルス対策およ び共通のルール。ただし通常は、正当なソフトウェアのインストールと実行は許可 します。 最大 最も重要な設定とファイルが変更されないよう保護する、ウイルス対策および共通 のルール。このレベルに設定すると保護は標準よりも強化されますが、正当なソフ トウェアのインストールができなくなる可能性もあります。ソフトウェアをインス トールできない場合、まずアクセス保護機能を無効にしてからインストールを行い、 インストール後に再びこの機能を有効にすることをお勧めします。 アウトブレーク コントロー ル DAT ファイルがリリースされるまで、破壊的なコードによるコンピュータへのアク セスをブロックするウイルス対策ルール。これらのルールは、アウトブレーク時に 共有へのアクセスをブロックするよう事前に設定されています。 アクセス ポイント違反と VirusScan Enterprise の対応 アクセス違反が発生するのは、お使いのコンピュータの制限されたコンポーネントが制限さ れたユーザやプロセスによって開始、停止、またはアクセスされようとしたときです。 アクセス ポイント違反が発生した場合、次の処理が行われます。 • 違反を検出したルールに[レポート]オプションを選択していた場合、情報がログ ファ イルに記録されます。 • [アラートのプロパティ] を設定すると、イベントはローカルのイベント ログおよび SNMP に記録されます。 • イベントが Alert Manager および ePolicy Orchestrator に報告されます(これらの製 品がそのように設定されている場合)。 • ルールに対する[ブロック]アクションと[レポート]アクションによって、ルールで違 反が検出されたときの処理が決定されます。 26 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 • スタンドアロン クライアント システムでは、システム トレイ アイコンの周囲に赤い枠 が表示され、リセットしなければ 30 分間表示されます。 注意: アイコンをリセットするには、システム トレイ アイコンから [アクセス保護ログ ファイル] を開きます。その他の方法でログ ファイルを開くと、アイコンは通常の状態 にリセットされません。 ユーザ定義ルールの種類 新しいユーザ定義のアクセス保護ルールを設定する際は、ポートのブロック ルール、ファイ ルとフォルダのブロック ルール、およびレジストリのブロック ルールを作成できます。 次の表では、これらのルールについて説明しています。 ルールの説明 ルール 説明 ポートのブロック ルール 特定のポートまたはある範囲のポートで着信または発信のネットワーク トラフィック をブロックします。 注意: ポートをブロックすると、TCP (Transmission Control Protocol) アクセスと UDP (User Datagram Protocol) アクセスがブロックされます。 注意: ポートをブロックすると、そのポートまたはその範囲のポートを使用している すべてのプロトコルはブロックされます。たとえば、TCP(Transmission Control Protocol)アクセスと UDP(User Datagram Protocol)アクセスがブロックされます。 ファイルおよびフォルダの ファイルとフォルダへの書き込みアクセス、ファイルの実行、およびファイルの新規 ブロック ルール 作成と削除がブロックされます。 注意: ファイルまたはフォルダへのアクセス制限は、管理者により解除されるまで継 続します。これは侵入防止に役立ち、アウトブレーク時に侵入が拡散するのを阻止し ます。 レジストリのブロック ルー 書き込み、作成、または削除のアクションをブロックすることにより、レジストリの ル キーや値を保護します。 アクセス保護の設定 [アクセス保護ポリシー]を使用して、お使いのシステムのアクセス ポイントを保護し、 McAfee のプロセスが終了されることを防止します。 警告: アクセス保護を有効にせず、McAfee のサービスが停止することを防止しない場合は、 お使いのシステムはマルウェアによるさまざまな攻撃に対して無防備になります。 次の 2 種類のアクセス保護ルールを設定できます。 • 事前定義済みルール - 以下を可能にします。 • いずれかのユーザ インターフェース コンソールでアクセス保護ルール カテゴリを開 く。 • ルール違反が発生した場合に実行するブロックとレポートのアクションを選択する。 • ユーザ定義ルール - 以下を可能にします。 • いずれかのユーザ インターフェース コンソールでユーザ定義ルール カテゴリを作成 する。 • ルールによって施行されるブロックの種類として、ポートのブロック、ファイルとフォ ルダのブロック、およびレジストリのブロックの中から選択する。 McAfee VirusScan Enterprise 8.8 製品ガイド 27 パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 • ルールの詳細を設定する。 • ルールを保存して、後で必要に応じて変更する。 タスク 事前定義済みルールの設定 ユーザ定義ルールの設定 ポートのブロック ルール オプション ファイルとフォルダのブロック ルール オプション レジストリのブロック ルール オプション 特定のプロセスを組み入れるか除外するオプション ユーザ定義ルールの削除 事前定義済みルールの設定 事前定義済みルールを使用して、お使いのコンピュータを望ましくない変更から保護します。 これらのルールは有効化と編集はできますが、削除はできません。 事前定義済みのアクセス保護ルールは次のとおりです。 • スパイウェア対策標準保護 • スパイウェア対策最大保護 • ウイルス対策標準保護 • ウイルス対策最大保護 • ウイルス対策アウトブレーク コントロール • 一般標準プロテクト • 一般最大プロテクト • 仮想マシン保護 これらの事前定義済みアクセス保護ルールの詳細については、「アクセス保護ルールを定義 する方法」を参照してください。 次のいずれかのユーザ インターフェース コンソールを使用して、事前定義済みのアクセス 保護ルールを設定します。 ePolicy Orchestrator 4.5 または 4.6 アクセス保護ポリシーで、事前定義済みアクセス保護ルールを設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 28 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [アクセス保護ポリシー]ページで、[アクセス保護]タブをクリックしてアクセス保 護ルールを表示します。 5 左側のペインでいずれかの事前定義済みルール カテゴリを選択してから、右側のペイン で特定のルールを選択します。 6 [ブロック]オプションと[レポート]オプションのいずれかまたは両方を設定します。 7 [編集] をクリックして、ルールの詳細を設定します。 ePolicy Orchestrator 4.0 アクセス保護ポリシーで、事前定義済みアクセス保護ルールを設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [アクセス保護ポリシー]ページで、[アクセス保護]タブをクリックしてアクセス保 護ルールを表示します。 5 左側のペインでいずれかの事前定義済みルール カテゴリを選択してから、右側のペイン で特定のルールを選択します。 6 [ブロック]オプションと[レポート]オプションのいずれかまたは両方を設定します。 McAfee VirusScan Enterprise 8.8 製品ガイド 29 パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 7 [編集] をクリックして、ルールの詳細を設定します。 VirusScan コンソール アクセス保護のプロパティから、事前定義済みアクセス保護ルールを設定します。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 [タスク]リストで、[アクセス保護]を右クリックして、[プロパティ]をクリック してダイアログ ボックスを開きます。 2 [アクセス保護ポリシー]ダイアログ ボックスで、[アクセス保護]タブをクリックし てアクセス保護ルールを表示します。 3 左側のペインでいずれかの事前定義済みルール カテゴリを選択してから、右側のペイン で特定のルールを選択します。 4 [ブロック]オプションと[レポート]オプションのいずれかまたは両方を設定します。 5 [編集] をクリックして、ルールの詳細を設定します。 ユーザ定義ルールの設定 ユーザ定義ルールを作成および編集することで、事前定義済みルールによって実現される保 護を補完します。 事前定義済みアクセス保護ルールの詳細については、「アクセス保護ルールを定義する方法」 を参照してください。 次のいずれかのユーザ インターフェース コンソールを使用して、ユーザ定義のアクセス保 護ルールを作成および編集します。 ePolicy Orchestrator 4.5 または 4.6 アクセス保護ポリシーで、ユーザ定義のアクセス保護ルールを設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 30 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 左側のペインで[ユーザ定義ルール]カテゴリを選択してから、[新規]をクリックし て[新しいルール タイプの選択]ダイアログ ボックスを開きます。 5 ルール タイプを選択して、[OK]をクリックします。の詳細については、「ユーザ定義 ルールの種類」を参照してください。 表示されるアクセス ルール ダイアログ ボックスは、選択したルール タイプに応じて 異なります。 6 次のアクセス ルール情報を設定します。 • ネットワーク ポートのアクセス保護ルール - 「ポートのブロック ルール オプショ ン」でオプションの表を参照してください。 • ファイル/フォルダのアクセス保護ルール - 「ファイルとフォルダのブロック ルー ル オプション」でオプションの表を参照してください。 • レジストリのアクセス保護ルール - 「レジストリのブロック ルール オプション」 でオプションの表を参照してください。 注意: 組み入れるか除外するプロセスを設定するには、 「特定のプロセスを組み入れる か除外するオプション」を参照してください。 7 [OK] をクリックします。 新しいユーザ定義ルールが右側のペインの[ブロック/ルール/レポート]に表示されま す。新しいルールを変更するには、そのルールを選択して[編集]をクリックします。 ePolicy Orchestrator 4.0 アクセス保護ポリシーで、ユーザ定義のアクセス保護ルールを設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 McAfee VirusScan Enterprise 8.8 製品ガイド 31 パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 4 左側のペインで[ユーザ定義ルール]カテゴリを選択してから、[新規]をクリックし て[新しいルール タイプの選択]ダイアログ ボックスを開きます。 5 ルール タイプを選択して、[OK]をクリックします。の詳細については、「ユーザ定義 ルールの種類」を参照してください。 表示されるアクセス ルール ダイアログ ボックスは、選択したルール タイプに応じて 異なります。 6 次のアクセス ルール情報を設定します。 • ネットワーク ポートのアクセス保護ルール - 「ポートのブロック ルール オプショ ン」でオプションの表を参照してください。 • ファイル/フォルダのアクセス保護ルール - 「ファイルとフォルダのブロック ルー ル オプション」でオプションの表を参照してください。 • レジストリのアクセス保護ルール - 「レジストリのブロック ルール オプション」 でオプションの表を参照してください。 注意: 組み入れるか除外するプロセスを設定するには、 「特定のプロセスを組み入れる か除外するオプション」を参照してください。 7 [OK] をクリックします。 新しいユーザ定義ルールが右側のペインの[ブロック/ルール/レポート]に表示されま す。新しいルールを変更するには、そのルールを選択して[編集]をクリックします。 VirusScan コンソール アクセス保護のプロパティから、ユーザ定義のアクセス保護ルールを設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [タスク]リストで、[アクセス保護]を右クリックして、[プロパティ]をクリック してダイアログ ボックスを開きます。 2 左側のペインで[ユーザ定義ルール]カテゴリを選択してから、[新規]をクリックし て[新しいタイプのルールの選択]ダイアログ ボックスを開きます。 3 ルール タイプを選択して、[OK]をクリックします。の詳細については、「ユーザ定義 ルールの種類」を参照してください。 表示されるアクセス ルール ダイアログ ボックスは、選択したルール タイプに応じて 異なります。 4 次のアクセス ルール情報を設定します。 • ネットワーク ポートのアクセス保護ルール - 「ポートのブロック ルール オプショ ン」でオプションの表を参照してください。 • ファイル/フォルダのアクセス保護ルール - 「ファイルとフォルダのブロック ルー ル オプション」でオプションの表を参照してください。 • レジストリのアクセス保護ルール - 「レジストリのブロック ルール オプション」 でオプションの表を参照してください。 注意: 組み入れるか除外するプロセスを設定するには、 「特定のプロセスを組み入れる か除外するオプション」を参照してください。 5 32 [OK] をクリックします。 新しいユーザ定義ルールが右側のペインの[ルール]列に表示されます。新しいルール を変更するには、そのルールを選択して[編集]をクリックします。 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 ポートのブロック ルール オプション ポート ブロック ルールは、指定された受信ポートや送信ポートがユーザによってアクセス されることを防止するとともに、そのコンピュータが他のコンピュータによってアクセスさ れることを防止します。 オプションの定義 オプション 定義 ルール名 このルールの名前を入力します。 組み入れるプロセス 指定されたプロセスへのアクセスを制限します。 除外するプロセス 指定されたプロセスへのアクセスを許可します。 開始ポート 最初のポート番号を指定します。ポートは個別にまたはある範囲の最初のポート番号 で指定することもできます。 注意: McAfee Agent または Host Intrusion Prevention Agent によって使用される ポートへのアクセスをブロックした場合でも、そのエージェントのプロセスは信頼さ れているため、そのプロセスはブロックされたポートを使用して通信できます。これ らのエージェントのプロセスに関連のないトラフィックはブロックされます。 終了ポート ポート範囲の最後のポート番号を指定します。 受信 ネットワークを介した指定されたポートへのアクセスを拒否します。 送信 ローカル プロセスからネットワーク上の指定されたポートへのアクセスを拒否しま す。 ファイルとフォルダのブロック ルール オプション ファイルとフォルダのブロック ルールは、指定されたファイルやフォルダが許可されていな いユーザによって変更、オープン、または削除されることを防止します。 オプションの定義 オプション 定義 ルール名 このルールの名前を入力します。 組み入れるプロセス 指定されたプロセスへのアクセスを制限します。 除外するプロセス 指定されたプロセスへのアクセスを許可します。 ブロックするファイルまた 指定されたファイルまたはフォルダへのアクセスをブロックします。 はフォルダの名前 ファイルの参照 目的のファイルに移動します。 フォルダの参照 目的のフォルダに移動します。 ファイルに対する読み取り 指定ファイルへの読み取りアクセスをブロックします。 アクセス ファイルに対する書き込み 指定ファイルへの書き込みアクセスをブロックします。 アクセス 実行中のファイル 指定フォルダ内でのファイルの実行をブロックします。 新規ファイルの作成 指定フォルダ内でのファイルの新規作成をブロックします。 ファイルの削除 指定フォルダ内からのファイルの削除をブロックします。 McAfee VirusScan Enterprise 8.8 製品ガイド 33 パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 レジストリのブロック ルール オプション レジストリのブロック ルールは、指定されたレジストリのキーと値がユーザや許可されてい ないプログラムによって変更、オープン、または削除されることを防止します。 注意: レジストリ ブロック ルールを作成する際は、最も一致度の高いハイブ レジストリ サブツリー略記を使用してください。たとえば、 HKLM\System\CurrentControlSet\Services\MyService をブロックするには、HKLM ではなく HKCCS ハイブを使用します。 オプションの定義 オプション 定義 ルール名 このルールの名前を指定します。 組み入れるプロセス 指定されたプロセスへのアクセスを制限します。 除外するプロセス 指定されたプロセスへのアクセスを許可します。 保護するレジストリのキー このレジストリのキーまたは値を保護します。 または値 • ルート キーまたは値をドロップダウン リストから選択します。 • キーまたは値をテキスト ボックスに入力します。 ルート キーまたは値をドロップダウン リストから選択するのは、オプションです。 キーまたは値を指定するには、次のいずれかの方法を使用します。 ルール タイプ • ルート キーまたは値をドロップダウン リストから選択し、キーまたは値への残 りのパスをテキスト ボックスに入力します。 • キーまたは値へのフル パスをテキスト ボックスに入力します。 ルールの種類を選択します。 • キー - 指定したキーを保護します。 • 値 - 指定した値を保護します。 キーまたは値への書き込み 指定したキーまたは値への書き込みをブロックします。 キーまたは値の作成 指定したキーまたは値の作成をブロックします。 キーまたは値の削除 指定したキーまたは値の削除をブロックします。 特定のプロセスを組み入れるか除外するオプション 名前などのルール情報と、組み入れるか除外するプロセスを変更するには、[アクセス保護] を使用して、[編集]をクリックします。 オプションの定義 34 オプション 説明 ルール名 このルールの名前を入力します。たとえば、「レジストリ エディタおよびタスク マ ネージャが無効にされることを防止します」などです。 組み入れるプロセス ここに登録したプロセスへのアクセスを制限します。正確なプロセス名を指定します。 または、ワイルドカードを使用して *.EXE など幅広い範囲のプロセスを指定し、 SETUP.EXE など信頼できるプロセスを除外対象として指定します。たとえば、* を指定 するとすべてのプロセスが組み入れられます。 除外するプロセス ここに登録したプロセスへのアクセスを許可します。正確なプロセス名を指定します。 たとえば、次の除外項目を指定します。avtask.exe、cfgwiz,exe、fssm32.exe、 giantantispywar*、kavsvc.exe、mmc.exe、navw32.exe、nmain.exe、rtvscan.exe。 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 システムのアクセス ポイントの保護 ユーザ定義ルールの削除 作成したが使用していないルールを削除します。 次のいずれかのユーザ インターフェース コンソールを使用してユーザ定義ルールを削除し ます。 ePolicy Orchestrator 4.5 または 4.6 アクセス保護ポリシーから、作成したが現在は使用していないルールを削除します。 タスク オプションの定義については、このインターフェースにある[?]または[ヘルプ]をクリッ クしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 左側のペインで [ユーザ定義ルール] カテゴリをクリックしてから、右側のペインで削 除するルールをクリックします。 5 [削除] をクリックします。 注意: ルールを削除せずに無効にするには、[ブロック] アクションと [レポート] アク ションの選択を解除します。必要に応じて、ルールを再び有効にできます。 ePolicy Orchestrator 4.0 アクセス保護ポリシーから、作成したが現在は使用していないルールを削除します。 タスク オプションの定義については、このインターフェースにある[?]または[ヘルプ]をクリッ クしてください。 McAfee VirusScan Enterprise 8.8 製品ガイド 35 パート Ⅰ - 防止:脅威の回避 バッファ オーバーフロー攻撃のブロック 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 左側のペインで [ユーザ定義ルール] カテゴリをクリックしてから、右側のペインで削 除するルールをクリックします。 5 [削除] をクリックします。 注意: ルールを削除せずに無効にするには、[ブロック] アクションと [レポート] アク ションの選択を解除します。必要に応じて、ルールを再び有効にできます。 VirusScan コンソール アクセス保護のプロパティから、作成したが現在は使用していないルールを削除します。 次のいずれかのユーザ インターフェース コンソールを使用してユーザ定義ルールを削除し ます。 タスク オプションの定義については、このインターフェースにある[?]または[ヘルプ]をクリッ クしてください。 1 [タスク]リストで、[アクセス保護]を右クリックして、[プロパティ]をクリック してダイアログ ボックスを開きます。 2 左側のペインで [ユーザ定義ルール] カテゴリをクリックしてから、右側のペインで削 除するルールをクリックします。 3 [削除] をクリックします。 注意: ルールを削除せずに無効にするには、[ブロック] アクションと [レポート] アク ションの選択を解除します。必要に応じて、ルールを再び有効にできます。 バッファ オーバーフロー攻撃のブロック バッファ オーバフロー保護では、攻撃でオーバフローしたバッファにより、任意のコードが 実行されることを防止します。バッファ オーバーフロー保護では、ユーザモードの API 呼 び出しを監視し、バッファ オーバフローの結果として発生したこれらの呼び出しを検知しま す。 36 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 バッファ オーバーフロー攻撃のブロック 脅威が検知されると、情報が動作ログに記録され、[オンアクセス スキャン メッセージ] ダイアログ ボックスに表示されます(これらのオプションでこれらの処理を行うように設定 していた場合)。 VirusScan Enterprise では、バッファ オーバフロー保護とアクセス保護の DAT ファイルを 使用して、Internet Explorer、Microsoft Outlook、Outlook Express、Microsoft Word、MSN Messenger など、約 30 種類のアプリケーションを保護できます。 目次 バッファ オーバーフロー攻撃のしくみ バッファ オーバーフロー保護の設定 バッファ オーバーフロー攻撃のしくみ 攻撃者は、バッファ オーバーフローの弱点を突き、入力プロセス用に予約された固定サイズ のメモリ バッファをあふれさせることで、実行可能コードを実行します。このコードによっ て、攻撃者はターゲット コンピュータを乗っ取ったり、そのデータに不正にアクセスできま す。 バッファ オーバーフロー攻撃には次の 2 種類があります。 • ヒープベースの攻撃 - この攻撃は、プログラム用に予約されたメモリ領域をあふれさせ ますが、実行するのが難しいためあまり行われません。 • スタックベースの攻撃 - この攻撃はスタック メモリ オブジェクトを使用してユーザの 入力値を保管するものであり、最も一般的な攻撃です。 次のプロセスは、スタックベースのバッファ オーバーフロー攻撃を説明したものです。 1 標準のスタック メモリ プロセス - 固定サイズのスタック メモリ オブジェクトは通 常は空であり、ユーザからの入力を待っています。プログラムがユーザからユーザ名な どの入力を受け取ると、そのデータはスタックの一番上に保管されて、そのデータに戻 りアドレスが割り当てられます。このスタックが処理されると、ユーザの入力値はプロ グラムによって指定された戻りアドレスに送信されます。 2 スタックのオーバーフロー - プログラムへの書き込み時には、特定量のメモリ領域が データ用に予約されます。書き込まれたデータが、メモリ スタック内でそのデータ用に 予約された領域より大きい場合は、スタックのオーバーフローが発生します。このこと が問題となるのは、攻撃目的の入力を伴う場合のみです。 3 オーバーフローの悪用 - プログラムがユーザによるユーザ名の入力を待っている場合 に、攻撃者がスタック サイズを超える実行可能なコマンドを入力した場合は、そのコマ ンドは予約済み領域の外部で保存されます。 4 不正なコードの実行 - このコマンドは、スタック バッファ領域のサイズより大きいと いう理由だけで、自動的には実行されません。しかし、その不正なコマンドを指す戻り アドレスが攻撃者によって提供された場合は、このコマンドは実行される可能性があり ます。プログラムは、最初はバッファ オーバーフローが原因でクラッシュしかけます が、攻撃者によって提供された戻りアドレスを使用して回復しようとします。この戻り アドレスが有効なアドレスの場合は、不正なコマンドは実行されます。 5 権限の悪用 - プログラムは通常、カーネル モードで実行されるか、サービス アカウ ントから継承された権限を使用して実行されるため、この時点で不正なコードは、セキュ リティが侵害されたアプリケーションと同じ権限を使用して実行されています。この結 果として、攻撃者によってオペレーティング システムが完全に乗っ取られる可能性があ ります。 McAfee VirusScan Enterprise 8.8 製品ガイド 37 パート Ⅰ - 防止:脅威の回避 バッファ オーバーフロー攻撃のブロック バッファ オーバーフロー保護の設定 お使いのコンピュータ上でアプリケーションが任意のコードを実行することを防止するには、 バッファ オーバーフロー保護ポリシーを設定する必要があります。 次のユーザ インターフェース コンソールを使用してバッファ オーバーフロー保護ポリシー を設定します。 ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用してバッファ オーバーフロー保護ポリシー を設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [バッファ オーバーフロー保護ポリシー]ページで、[バッファ オーバーフロー保護] タブをクリックして、以下を設定します。 a [バッファ オーバーフローの設定]および使用されている保護モードを有効にしま す。攻撃をブロックするか単にメッセージを送信してイベントをログに記録するよう に保護モードを設定します。 b バッファ オーバーフロー攻撃が発生したときに送信される[クライアント システム の警告]を有効にします。 c 特定のアプリケーション プログラミング インターフェース(API)値、および除外 するオプションのプロセスとモジュール名について、[保護対象から除外するバッ ファ オーバーフロー]を設定します。 38 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 バッファ オーバーフロー攻撃のブロック 5 [レポート]タブをクリックして、スキャン動作ログ ファイルを有効にして、これらの 保管場所、サイズ、および形式を指定します。 注意: これらのログ ファイルは、セキュリティ上の脅威を診断する際に非常に役立つと ともに、これらの脅威に対して実行するアクションを決定するのに役立ちます。 ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールを使用してバッファ オーバーフロー保護ポリシー を設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [バッファ オーバーフロー保護ポリシー]ページで、[バッファ オーバーフロー保護] タブをクリックして、以下を設定します。 5 1 [バッファ オーバーフローの設定]および使用されている保護モードを有効にしま す。攻撃をブロックするか単にメッセージを送信してイベントをログに記録するよ うに保護モードを設定します。 2 バッファ オーバーフロー攻撃が発生したときに送信される[クライアント システ ムの警告]を有効にします。 3 特定のアプリケーション プログラミング インターフェース(API)値、および除外 するオプションのプロセスとモジュール名について、[保護対象から除外するバッ ファ オーバーフロー]を設定します。 [レポート]タブをクリックして、スキャン動作ログ ファイルを有効にして、これらの 保管場所、サイズ、および形式を指定します。 注意: これらのログ ファイルは、セキュリティ上の脅威を診断する際に非常に役立つと ともに、これらの脅威に対して実行するアクションを決定するのに役立ちます。 VirusScan コンソール このユーザ インターフェース コンソールを使用してバッファ オーバーフロー保護ポリシー を設定します。 McAfee VirusScan Enterprise 8.8 製品ガイド 39 パート Ⅰ - 防止:脅威の回避 不審なプログラムの制限 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [タスク]リストで、[バッファ オーバーフロー保護]を右クリックして、[プロパ ティ]をクリックしてダイアログ ボックスを開きます。 2 [バッファ オーバーフロー保護のプロパティ]ページで、[バッファ オーバーフロー 保護]タブをクリックして、以下を設定します。 a [バッファ オーバーフローの設定]および使用されている保護モードを有効にしま す。攻撃をブロックするか単にメッセージを送信してイベントをログに記録するよう に保護モードを設定します。 b バッファ オーバーフロー攻撃が発生したときに送信される[クライアント システム の警告]を有効にします。 c 特定のアプリケーション プログラミング インターフェース(API)値、および除外 するオプションのプロセスとモジュール名について、[保護対象から除外するバッ ファ オーバーフロー]を設定します。 3 [レポート]タブをクリックして、スキャン動作ログ ファイルを有効にして、これらの 保管場所、サイズ、および形式を指定します。 注意: これらのログ ファイルは、セキュリティ上の脅威を診断する際に非常に役立つと ともに、これらの脅威に対して実行するアクションを決定するのに役立ちます。 不審なプログラムの制限 VirusScan Enterprise では、有害かまたはセキュリティ リスクをもたらす不審なプログラ ムからコンピュータを保護します。不審なプログラムの共通ポリシーを 1 つ設定できます が、ポリシーを別個に有効または無効にして、各 VirusScan Enterprise スキャナのアクショ ンを指定できます。 怪しいプログラム(PUP)は、インストール先コンピュータのセキュリティの状態またはプラ イバシ ポリシーを変えてしまう可能性がある、合法的な企業が作成したソフトウェア プロ グラムとして定義されています。この種のソフトウェアとしては、スパイウェア、アドウェ ア、ダイヤラなどが挙げられます。これらの組み込み型 PUP は、ユーザが実際に必要とする プログラムとともにダウンロードされる可能性があります。セキュリティ意識の高いユーザ ならこの種のプログラムについて認識していて、自分で削除することもあります。 不審なプログラムの設定 お使いのコンピュータを怪しいプログラムから保護するには、各自の環境で検出する不審な プログラムのカテゴリを設定する必要があります。 設定の手順は、2 つのプロセスに分類されます。 1 [不審なプログラム ポリシー]を設定して、検出および除外する怪しいプログラムを定 義します。 • 現在の DAT ファイルから得られるあらかじめ定義したリストから、プログラムの全 カテゴリ、またはカテゴリ内の特定プログラムを選択します。 • 除外するプログラムを指定します。 • 検出するユーザ定義のプログラムのリストを作成します。 40 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 不審なプログラムの制限 2 オンアクセス スキャナ、電子メール スキャナ、およびオンデマンド スキャナで不審な プログラムの検出を有効にしてから、不審なプログラムが検出されたときに実行するア クションを設定します。 注意: オンデマンド スキャンはポリシーではなくタスクであるため、オンデマンド スキャ ナで不審なプログラムの検出を有効にする方法は、他のスキャナとは異なります。詳細につ いては、「オンデマンド スキャン タスクの設定」を参照してください。 タスク 不審なプログラム ポリシーへのアクセス オンアクセス スキャナと電子メール スキャナでの不審なプログラムの検出の有効化 不審なプログラム ポリシーへのアクセス 検出する不審なプログラムのカテゴリを選択することで、不審なプログラム ポリシーを設定 します。たとえば、スパイウェアやアドウェアなどです。検出対象から除外するプログラム を指定することもできます。 次のユーザ インターフェース コンソールを使用して不審なプログラム ポリシーにアクセス します。 ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用して不審なプログラム ポリシーを設定しま す。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 McAfee VirusScan Enterprise 8.8 製品ガイド 41 パート Ⅰ - 防止:脅威の回避 不審なプログラムの制限 4 [不審なプログラム ポリシー]ページで、[スキャン アイテム]タブをクリックして 以下を設定します。 a 検出する不審なプログラムのカテゴリを選択 - たとえば、スパイウェアやアドウェ アなどです。これらのカテゴリは、最新の DAT ファイルで定義されています。 b 除外対象 - ファイル名ではなく、除外する正確な検出名を指定する必要がありま す。 5 [ユーザ定義の検知対象]タブをクリックして、不審なプログラムとして扱う個別のファ イルやプログラムを指定します。各アイテムをファイル名で指定し、各アイテムの説明 を入力します。 ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールを使用して不審なプログラム ポリシーを設定しま す。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [不審なプログラム ポリシー]ページで、[スキャン アイテム]タブをクリックして 以下を設定します。 a 検出する不審なプログラムのカテゴリを選択 - たとえば、スパイウェアやアドウェ アなどです。これらのカテゴリは、最新の DAT ファイルで定義されています。 b 除外対象 - ファイル名ではなく、除外する正確な検出名を指定する必要がありま す。 5 [ユーザ定義の検知対象]タブをクリックして、不審なプログラムとして扱う個別のファ イルやプログラムを指定します。各アイテムをファイル名で指定し、各アイテムの説明 を入力します。 VirusScan コンソール このユーザ インターフェース コンソールを使用して不審なプログラムのプロパティを設定 します。 42 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 不審なプログラムの制限 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 [タスク]リストで、[不審なプログラム ポリシー]を右クリックして、[プロパティ] をクリックして[不審なプログラム ポリシー]ダイアログ ボックスを開きます。 2 [不審なプログラム ポリシー]ページで、[スキャン アイテム]タブをクリックして 以下を設定します。 a 検出する不審なプログラムのカテゴリを選択 - たとえば、スパイウェアやアドウェ アなどです。これらのカテゴリは、最新の DAT ファイルで定義されています。 b 除外対象 - ファイル名ではなく、除外する正確な検出名を指定する必要がありま す。 3 [ユーザ定義の検知対象]タブをクリックして、不審なプログラムとして扱う個別のファ イルやプログラムを指定します。各アイテムをファイル名で指定し、各アイテムの説明 を入力します。 オンアクセス スキャナと電子メール スキャナでの不審なプログラムの検出の有 効化 オンアクセス スキャナと電子メール スキャナで不審なプログラムを検出するには、[スキャ ン アイテム]タブからこの機能を有効にする必要があります。 次のユーザ インターフェース コンソールを使用して、オンアクセス スキャナと電子メール スキャナで不審なプログラムを検出できるようにします。 注意: オンデマンド スキャナで不審なプログラムを検出できるようにするには、「オンデマ ンド スキャン タスクの設定」を参照してください。 ePolicy Orchestrator 4.5 または 4.6 ePolicy Orchestrator 4.5 または 4.6 コンソールを使用して、オンアクセス スキャナと電 子メール スキャナで不審なプログラムを検出できるようにします。 不審なプログラムの検出を有効にする方法は、オンアクセス スキャナと電子メール スキャ ナでは基本的に同じです。唯一の相違点は、手順 2 でポリシー カタログから選択するポリ シーです。不審なプログラムの検出を有効にするためには、それぞれ次のポリシーを選択し ます。 • オンアクセス スキャン - [オンアクセス スキャン ポリシー]を選択します。 • 電子メール スキャン - [配信時電子メール ポリシー]を選択します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 McAfee VirusScan Enterprise 8.8 製品ガイド 43 パート Ⅰ - 防止:脅威の回避 不審なプログラムの制限 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [オンアクセス スキャン ポリシー]ページまたは[配信時電子メール ポリシー]ペー ジで、[スキャン アイテム]タブをクリックして、[不審なプログラムを検出]を選択 します。 ePolicy Orchestrator 4.0 ePolicy Orchestrator 4.0 コンソールを使用して、オンアクセス スキャナと電子メール ス キャナで不審なプログラムを検出できるようにします。 不審なプログラムの検出を有効にする方法は、オンアクセス スキャナと電子メール スキャ ナでは基本的に同じです。唯一の相違点は、手順 2 でポリシー カタログから選択するポリ シーです。不審なプログラムの検出を有効にするためには、それぞれ次のポリシーを選択し ます。 • オンアクセス スキャン - [オンアクセス スキャン ポリシー]を選択します。 • 電子メール スキャン - [配信時電子メール ポリシー]を選択します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 44 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [オンアクセス スキャン ポリシー]ページまたは[配信時電子メール ポリシー]ペー ジで、[スキャン アイテム]タブをクリックして、[不審なプログラムを検出]を選択 します。 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 検出定義のアップデート VirusScan コンソール VirusScan コンソールを使用して、オンアクセス スキャナと電子メール スキャナで不審な プログラムを検出できるようにします。 不審なプログラムの検出を有効にする方法は、オンアクセス スキャナと電子メール スキャ ナでは基本的に同じです。唯一の相違点は、手順 2 で VirusScan コンソールから選択する タスクです。不審なプログラムの検出を有効にするためには、それぞれ次のポリシーを選択 します。 • オンアクセス スキャン - [オンアクセス スキャン ポリシー]を選択します。 • 電子メール スキャン - [配信時の電子メール スキャナ]を選択します。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 [タスク]リストで、次のいずれかを右クリックして、[プロパティ]をクリックして ダイアログ ボックスを開きます。 • オンアクセス スキャン ポリシー - オンアクセス スキャンの場合。 • 配信時の電子メール スキャナ - 電子メール スキャンの場合。 2 [オンアクセス スキャン ポリシー]ページまたは[配信時電子メール ポリシー]ペー ジで、[スキャン アイテム]タブをクリックして、[不審なプログラムを検出]を選択 します。 検出定義のアップデート VirusScan Enterprise ソフトウェアは、スキャン エンジンとウイルス定義 (DAT) ファイル の情報に基づいて、脅威を見分けてアクションを実行します。新しい脅威は定期的に出現し ます。この問題に対処するため、McAfee は、継続的な脅威の調査の結果を取り込んだ、新し い DAT ファイルを毎日リリースしています。アップデート タスクは、最新の DAT ファイル を外部の McAfee アップデート サイトから取得してインストールします。 注意: ePolicy Orchestrator の管理対象環境では、最新の DAT ファイル、EXTRA.DAT ファ イル、スキャン エンジン、サービス パック、およびパッチを取得することもできます。 目次 DAT ファイルとその機能 アップデート方法の重要性 アップデート タスクとその機能 ミラー タスクとその機能 AutoUpdate リポジトリのしくみ DAT ファイルのロールバックのしくみ DAT ファイルとその機能 スキャン エンジンがファイルをスキャンして脅威を検索するときは、スキャン対象ファイル を検出定義(DAT)ファイルに格納された既知の脅威情報と対比します。既知の脅威情報はシ グネチャと呼ばれ、McAfee ラボが発見して DAT ファイルに追加した情報です。 McAfee VirusScan Enterprise 8.8 製品ガイド 45 パート Ⅰ - 防止:脅威の回避 検出定義のアップデート DAT ファイルには、シグネチャに加えて、検出されたウイルスによってもたらされたダメー ジを駆除して解消するための方法も含まれています。このため、VirusScan Enterprise に よって使用される最新バージョンの DAT ファイルをダウンロードすることが重要です。 警告: 特定のウイルスのシグネチャがインストール済みのどの DAT ファイルにも含まれてい ない場合は、そのウイルスはスキャン エンジンによって検出されません。最新の DAT ファ イルをフルに活用するには、スキャン エンジンも最新バージョンである必要があります。 VirusScan Enterprise は、DAT ファイルに加えて Artemis と呼ばれるヒューリスティック も使用して、不審なファイルを検索します。詳細については、「Artemis の動作」を参照し てください。 各種の DAT ファイルは次のパスに格納されています。 \Program Files\Common Files\McAfee\Engine アップデート方法の重要性 アップデート方法は非常に重要です。お使いのシステムに最新の DAT ファイルとスキャン エンジンがインストールされていないと、そのシステムを最新のウイルスから完全に保護す ることはできません。新種のウイルスの数、拡散速度、および感染率はこれまでになく上昇 しています。さらに、ますます増えつつあるアドウェアやスパイウェアに対しては、より一 貫性と可用性の高い検出機能と削除機能が必要です。 McAfee ラボは、ほぼ毎日の午後 6:00(GMT)という定時に DAT ファイル アップデートをリ リースします。当然ながら、アウトブレークは予期せぬ時間にも発生するため、緊急リリー スが必要です。潜在的なアウトブレークを事前に回避するために、日次 DAT が定時より早い 時刻にリリースされたときは、その日の定時に 2 つ目の DAT がリリースされることはあり ませんが、新たな DAT を必要とする別の緊急事態が発生した場合は除きます。 アップデート方法を決定する方法 VirusScan Enterprise によって使用される DAT ファイルとスキャン エンジンは、さまざま な方法でアップデートできます。AutoUpdate タスク、手動アップデート、ログイン スクリ プトを使用することも、管理ツールでアップデートをスケジュール設定することもできます。 アップデート タスクを使用すると、次のことが可能になります。 • ネットワーク全体にわたる DAT ファイルの配備をスケジュール設定する - 複数のアッ プデート タスクを相互に時間的にずらして実行したり、管理者やネットワーク ユーザに よる作業を最小限に抑えて、DAT ファイル アップデートをネットワークのさまざまな箇 所に都合のよい時間帯に段階的に配備するためのスケジュールを設定したりできます。 • 配備の管理負担を分散する - ネットワーク帯域幅の使用効率を高めるために、ワイド エリア ネットワークの各領域や他のネットワーク区域で、別々のサーバやドメイン コン トローラを使用して、アップデート トラフィックを基本的に内部に留めます。これによ り、ネットワークのセキュリティが侵害される危険性を低減することもできます。 • 新しい DAT ファイルやアップグレードされたエンジン ファイルをダウンロードするため の待ち時間を短縮する - DAT ファイルの定期的な公開日や、新しい製品バージョンがリ リースされるときには、McAfee コンピュータで発生するトラフィックは大幅に増大しま す。ダウンロードが殺到する時を避けることで、中断される時間を最小限に抑えて新しい ソフトウェアを配備できます。 効率的なアップデート方法の要件 効果的なアップデートを行うには、組織のクライアントまたはサーバの少なくとも 1 つで McAfee ダウンロード サイトからアップデートを入手する必要があります。入手したアップ 46 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 検出定義のアップデート デート ファイルを組織全体で複製して、他のすべてのコンピュータでアクセスできるように します。アップデート ファイルを共有サイトにコピーするプロセスを自動化して、ネット ワーク全体で転送するデータ量をできる限り少なくすることが理想的です。 効果的なアップデートのために考慮する主な点は、クライアント数およびサイト数です。ま た、各リモート サイトのシステム数およびリモート サイトからインターネットへのアクセ ス方法なども考慮する場合があります。中央リポジトリを使用してアップデートを取得して、 環境の保護機能を最新レベルに保つためにアップデート タスクをスケジュール設定するとい う基本概念は、どのような規模の組織にも当てはまります。ソフトウェアとアップデートの 配備については、該当する ePolicy Orchestrator 製品ガイドを参照してください。 アップデート タスクとその機能 最新の DAT ファイル、スキャン エンジン、サービス パック、およびパッチを取得するに は、アップデート タスクを使用します。 VirusScan Enterprise に含まれているデフォルトのアップデート タスクは、毎日午後 5:00 に実行され、1 時間のランダム化が指定されています。必要に応じて追加のアップデート タ スクを作成できます。 アップデート タスクの動作 アップデート タスクを実行すると次の動作が発生します。 • リポジトリ リストにある、最初に有効になったリポジトリ (アップデート サイト) に接 続が行われます。このリポジトリが使用できない場合、次のサイトと接触し、接続が行わ れるまでまたはリストの末尾に到達するまで継続します。 • 暗号化された CATALOG.Z ファイルをリポジトリからダウンロードします。ファイルには、 アップデートに必要な基本データが収録されています。このデータは、使用できるファイ ルやアップデートを決定するために使用されます。 • ファイルにあるソフトウェア バージョンが、コンピュータのバージョンに対して確認さ れます。新しいソフトウェアのアップデートが使用できる場合、ダウンロードされます。 アップデート タスクの中断 アップデート タスクが実行中に中断されると、次の処理が行われます。 • HTTP、UNC、またはローカル サイトからアップデートするタスクの場合には、次回アップ デート タスクを開始する際に続きの部分から再開します。 • 単一ファイルのダウンロード中に中断された場合、FTP サイトからのアップデート タス クは再開しません。ただし、複数のファイルをダウンロードするタスクが中断された場 合、中断された時点でダウンロード中だったファイルの前から、タスクが再開します。 EXTRA.DAT を使用したアップデート EXTRA.DAT ファイルは、緊急時の一時的な手段として使用できます。EXTRA.DAT は、各アッ プデートのリポジトリからダウンロードされます。これにより、EXTRA.DAT を編集し、パッ ケージとして再度チェック インした場合に、すべての VirusScan Enterprise クライアント でアップデートされた同一の EXTRA.DAT パッケージをダウンロードして使用することができ ます。たとえば、同じ怪しいプログラムの検出機能を改良したり、他の新種の怪しいプログ ラムに対する検出機能を追加したりすることができます。VirusScan Enterprise で使用でき るのは、単一の EXTRA.DAT ファイルのみです。 ヒント: EXTRA.DAT ファイルが不要になったら、マスタ リポジトリから削除して複製タスク を実行してください。これにより、すべての分散リポジトリ サイトからファイルが削除され るため、アップデート時に VirusScan Enterprise クライアントが EXTRA.DAT ファイルをダ ウンロードするのを防ぎます。デフォルトでは、毎日の DAT ファイルに新しい検出定義が追 加されると、EXTRA.DAT にある新しい不審なプログラムを検出しても無視されます。 McAfee VirusScan Enterprise 8.8 製品ガイド 47 パート Ⅰ - 防止:脅威の回避 検出定義のアップデート AutoUpdate タスクの設定 すべての McAfee 製品の DAT ファイルとスキャン エンジンを自動的にアップデートするに は、AutoUpdate のプロパティとスケジュールを設定する必要があります。 タスク オプションの定義については、タブの[?]または[ヘルプ]をクリックしてください。 1 AutoUpdate のプロパティにアクセスするには、以下を使用します。 • ePolicy Orchestrator 4.5 または 4.6 — [メニュー]、[システム]、[システム ツリー]の順にクリックして、[クライアント タスク]を選択します。 注意: 新しいスケジュール設定されたクライアント タスクの作成の詳細については、 『McAfee ePolicy Orchestrator 4.5 製品ガイド』を参照してください。 • ePolicy Orchestrator 4.0 — [システム]、[システム ツリー]、[クライアント タスク]の順にクリックして既存のアップデート タスクを選択するか、[新しいタ スク]をクリックして新しいタスクを作成します。 注意: 新しいスケジュール設定されたクライアント タスクの作成の詳細については、 『McAfee ePolicy Orchestrator 4.0 製品ガイド』を参照してください。 • VirusScan コンソール — 既存のアップデート タスクを選択するか(右クリックして [プロパティ]を選択します)、新しいタスクを作成します([タスク]、[新規 アップデート タスク]の順に選択して、リストで新しいタスクを選択します)。 ヒント: 新しいクライアント タスクを作成した場合は、そのタスクの名前をわかり やすい名前に変更することをお勧めします。 2 ログ ファイルの場所または形式を指定します。 3 新しい DAT、新しいエンジン、サービス パックなどの他の提供されているアップデー ト、および製品アップグレードを取得するかどうかを設定します。 4 アップデート タスクの完了後に実行する実行可能ファイルと、アップデートが成功した 場合にのみ実行可能ファイルを実行するかどうかを指定します。 5 [スケジュール]をクリックして、このタスクを実行するタイミングと方法を設定しま す。詳細については、「スケジュール設定されたタスクの使用」を参照してください。 6 [今すぐアップデート]をクリックして、このタスクを直ちに実行します。 ミラー タスクとその機能 ミラー タスクを実行すると、リポジトリ リストに定義されたダウンロード リポジトリの中 で最初にアクセス可能なサイトから、ネットワーク上のミラー サイトへアップデート ファ イルが複製されます。通常、このタスクを使用するのは、McAfee ダウンロード サイトのコ ンテンツをローカル サーバにミラーリングする場合です。 アップデート ファイルが格納されている McAfee サイトを複製すると、ネットワーク上のコ ンピュータはこのミラー サイトからファイルをダウンロードできます。この方法は、ネット ワーク上のコンピュータでインターネットにアクセスしなくてもアップデートできるため、 実用的です。また、McAfee のインターネット サイトよりも近いサーバと通信することによ りアクセス時間とダウンロード時間を短縮できるため、効率的です。 48 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 検出定義のアップデート VirusScan Enterprise ソフトウェアのアップデートは、ディレクトリ構造に依存します。サ イトをミラーリングする場合は、ディレクトリ構造全体を複製することが重要です。 注意: このディレクトリ構造は、旧バージョンの VirusScan Enterprise と NetShield もサ ポートしていますが、そのための条件として、このディレクトリ構造全体が、VirusScan Enterprise 8.8 がアップデート用にするのと同じ場所に複製される必要があります。 ミラー タスクの設定 DAT ファイルとスキャン エンジンを、他のコンピュータで使用するために指定された場所に 保管するには、ミラー タスクのプロパティを使用してその場所とスケジュールを設定しま す。 タスク オプションの定義については、タブの[?]または[ヘルプ]をクリックしてください。 1 ミラー タスクのプロパティにアクセスするには、以下を使用します。 • ePolicy Orchestrator 4.5 または 4.6 — [メニュー]、[システム]、[システム ツリー]の順にクリックして、[クライアント タスク]を選択します。 注意: 新しいスケジュール設定されたクライアント タスクの作成の詳細については、 『McAfee ePolicy Orchestrator 4.5 製品ガイド』を参照してください。 • ePolicy Orchestrator 4.0 — [システム]、[システム ツリー]、[クライアント タスク]の順にクリックして既存のアップデート タスクを選択するか、[新しいタ スク]をクリックして新しいタスクを作成します。 注意: 新しいスケジュール設定されたクライアント タスクの作成の詳細については、 『McAfee ePolicy Orchestrator 4.0 製品ガイド』を参照してください。 • VirusScan コンソール - 次のいずれかの操作を実行します。 • 既存のミラー タスクを選択して、右クリックして[プロパティ]を選択します。 [ミラー タスク]ダイアログ ボックスが表示されます。 • 新しいミラー タスクを作成するには、[タスク]、[新規ミラー タスク]の順に 選択します。これにより、[タスク]リストに[新規アップデート タスク]が表 示されます。新しいタスクをクリックして、[ミラー タスク]ダイアログ ボック スを開きます。 注意: そのタスクを右クリックして[名前の変更]を選択して、タスク名をよりわ かりやすい名前に変更します。 2 VirusScan コンソール — 既存のアップデート タスクを選択するか(右クリックして[プ ロパティ]を選択します)、新しいタスクを作成します([タスク]、[新規ミラー タ スク]の順に選択して、リストで新しいタスクを選択します)。 ヒント: 新しいクライアント タスクを作成した場合は、そのタスクの名前をわかりやす い名前に変更することをお勧めします。 3 ログ ファイルの場所または形式を指定します。 4 新しい検出定義、新しいエンジンと DAT、サービス パックなどの使用可能なアップデー ト、および製品アップグレードを取得するかどうかを設定します。 5 アップデート タスクの完了後に実行する実行可能ファイルと、アップデートが成功した 場合にのみ実行可能ファイルを実行するかどうかを指定します。 6 [Mirror 場所]をクリックして、ミラー サーバの宛先を設定します。 McAfee VirusScan Enterprise 8.8 製品ガイド 49 パート Ⅰ - 防止:脅威の回避 検出定義のアップデート 7 [スケジュール]をクリックして、このタスクを実行するタイミングと方法を設定しま す。詳細については、「スケジュール設定されたタスクの使用」を参照してください。 8 [今すぐ Mirror]をクリックして、このタスクを直ちに実行します。 9 タブでオプションを設定します。オプションの定義については、タブの[?]または[ヘ ルプ]をクリックしてください。 タブの定義 タブ 定義 ミラー • ログ ファイルの場所または形式を指定します。 • ミラー タスクの完了後に実行する実行可能ファイルと、ミラーが成功した場合に のみ実行可能ファイルを実行するかどうかを指定します。 AutoUpdate リポジトリのしくみ AutoUpdate リポジトリ リスト (SITELIST.XML) は、AutoUpdate タスクを実行するために必 要な設定情報を指定します。 AutoUpdate リポジトリ リストには以下が含まれます。 • リポジトリの情報および場所 • リポジトリの優先順位 • プロキシ設定(必要な場合) • 各リポジトリへのアクセスに必要な暗号化された資格情報 AutoUpdate タスクの実行時には、リポジトリ リスト内の最初に有効になったリポジトリ (アップデート サイト)に接続されます。このリポジトリが使用できない場合、次のリポジ トリと接触し、接続が行われるまでまたはリストの末尾に到達するまで継続します。 ネットワークでプロキシ サーバを使用している場合、使用するプロキシ設定、プロキシ サー バのアドレス、および認証を使用するかどうかを指定できます。プロキシ情報は、AutoUpdate リポジトリ リストに保存されています。ここで構成するプロキシ設定は、リポジトリ リス トにあるすべてのリポジトリに適用されます。 AutoUpdate リポジトリ リストの場所はオペレーティング システムによって異なります。 • Microsoft Windows XP、Microsoft Vista、Microsoft 2000 Server、Microsoft 2003 Server、および Microsoft 2008 Server の場合 - C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework • Microsoft Windows 7 の場合 - C:\ProgramData\McAfee\Common Framework リポジトリ リストの設定 リポジトリ リストには、アップデートの取得元となるリポジトリが含まれています。必要な 数だけリポジトリを作成し、設定します。何度も使用されるサイトもあれば、まれにしか使 用されないサイトもあります。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 50 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 スキャン アイテムの除外 1 VirusScan コンソールから、[ツール]、[AutoUpdate のリポジトリ リストを編集] の順に選択して、AutoUpdate リポジトリ リストのプロパティにアクセスします。 注意: ePolicy Orchestrator コンソールを使用してリポジトリ機能を設定するには、 [ポリシー カタログ]を選択してから [McAfee Agent]ディスプレイに移動して、[リ ポジトリ]タブをクリックします。 2 各タブでオプションを設定します。 タブの定義 タブ 定義 リポジトリ • アップデートの取得元となるリポジトリを指定します。 • 各リポジトリにアクセスする順序を設定します。 プロキシ設定 アップデート時に使用するプロキシ設定を指定します。 DAT ファイルのロールバックのしくみ 現在の DAT ファイルが破損しているか、または互換性がない場合、DAT ファイルを前回バッ クアップしたバージョンにロールバックできます。 DAT ファイルをアップデートすると、以前のバージョンは次の場所に保存されます。<ドライ ブ名>:\Program Files\Common Files\McAfee\Engine\OldDats DAT ファイルをロールバックすると、現在の DAT ファイルが OldDats フォルダのバージョ ンで置き換えられ、以下のレジストリ項目にフラグが設定されます。 HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\szRolledbackDATS ロールバックが行われた後で以前のバージョンに戻ることはできません。次回にアップデー トを実行するとき、レジストリにある DAT バージョンとアップデート リポジトリにある DAT ファイルが比較されます。新しい DAT ファイルが、レジストリ内にあるものと同じである場 合、アップデートは実行されません。 DAT ファイルのロールバック お使いの DAT ファイル バージョンを直前のバージョンに戻すには、[DAT のロールバック] ツールを使用します。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 VirusScan コンソールから、[ツール]、[DAT のロールバック]の順に選択します。 2 [はい]をクリックして DAT のロールバックを開始します。 注意: 3 この機能は ePolicy Orchestrator コンソールからは使用できません。 タブでオプションを設定します。 スキャン アイテムの除外 VirusScan Enterprise の各スキャナでは、スキャン対象となるファイルの種類のリストを細 かく調整できます。たとえば、個別のファイル、フォルダ、およびディスクをスキャン対象 McAfee VirusScan Enterprise 8.8 製品ガイド 51 パート Ⅰ - 防止:脅威の回避 スキャン アイテムの除外 から除外できます。これらの除外設定が必要となる理由は、データベースまたはサーバによっ て使用されているファイルをスキャナがスキャンしようとして、そのファイルをロックする 可能性があるからです。この結果として、そのデータベースまたはサーバでは障害やエラー が発生する可能性があります。 目次 除外対象の指定 ワイルドカードを使用したスキャン アイテムの指定方法 除外対象の指定 スキャン操作から除外するファイル、フォルダ、およびドライブを指定してください。以前 に指定した除外対象を削除することもできます。 オプションの定義 オプション 定義 除外対象 除外の種類を選択します。 • ファイル名/場所を指定して除外 - ファイル名と場所を指定して、サブフォルダ を除外するかどうかを指定します。 注意: フォルダに適用する文字列の末尾に円記号(\)を追加する必要がありま す。そうしないと、それはファイルの除外と見なされ、[サブフォルダも除外] チェックボックスはデフォルトで無効になります。 除外時期 • ファイルの種類を指定して除外 - ファイルの種類を指定します。 • ファイルの保存期間を指定して除外 - アクセス タイプの指定、およびファイル が作成されてからの経過日数の指定を行います。 選択したアイテムを除外するタイミングを選択します。 • 読み取り時 • 書き込み時 クライアントの除外対象の クライアントの除外対象を上書き - このポリシーで指定されたアイテムのみを除外 処理方法 します。このオプションが選択されていない場合、クライアント コンピュータでは ローカルで指定した除外対象およびこのポリシーで指定した除外対象を使用します。 注意: このオプションは ePolicy Orchestrator でのみ使用できます。 ワイルドカードを使用したスキャン アイテムの指定方法 ワイルドカードを使用して、除外するファイルの種類を拡張子によって指定できます。 ワイルドカードを使用する場合は、次の制限事項が適用されます。 • 有効なワイルドカードは、1 文字を除外する疑問符 (?) と複数文字を除外するアスタリ スク (*) です。 • ワイルドカードは、パスの円記号 (\) の前で使用できます。たとえば、次のように適用 されます。C:\ABC\*\XYZ は C:\ABC\DEF\XYZ と一致します。 • 疑問符 (?) を含めて指定した場合は、それと同じ文字数のファイル名またはフォルダ名 が除外対象として扱われます。たとえば、次のように適用されます。W?? と指定した場 合、WWW は除外されますが、WW や WWWW は除外されません。 • 構文上、2 重のアスタリスク (**) を含めることもできます。これはゼロ個以上の任意の 文字 (円記号を含む)を意味します。これにより、複数の深さで除外対象を指定できます。 52 McAfee VirusScan Enterprise 8.8 製品ガイド パート Ⅰ - 防止:脅威の回避 スケジュール設定されたタスクの使用 たとえば、次のように適用されます。C:\ABC\**\XYZ と指定した場合、C:\ABC\DEF\XYZ や C:\ABC\DEF\DEF\XYZ などが除外対象となります。 スケジュール設定されたタスクの使用 オンデマンド スキャン タスク、AutoUpdate タスク、またはミラー タスクを設定する過程 で、これらのタスクを実行するタイミング、頻度、および時間の長さを指定する必要があり ます。この設定プロセスの過程でユーザ権限も設定する必要があります。 目次 タスクのスケジュール設定 タスク スケジュールの設定 タスクのスケジュール設定 希望に応じて、オンデマンド タスク、AutoUpdate タスク、およびミラー タスクをスケジュー ル設定して、これらのタスクを特定の日時または間隔で実行できます。タスクのスケジュー ル設定方法は、使用するユーザ インターフェース コンソールによって異なります。 これらのタスクをスケジュール設定するには、次のようにします。 • ePolicy Orchestrator コンソール — [スケジュール]タブを使用して[スケジュール] ページを表示します。 • VirusScan コンソール — [スケジュール]ボタンを使用して[スケジュール]ダイアロ グ ボックスを表示します。 タスク スケジュールの設定 タスクを指定した時刻または間隔で実行するには、[スケジュールの設定]ダイアログ ボッ クスを使用します。 作業の前に このタスクをスケジュールするには、管理者権限が必要です。管理者権限があると、スケ ジュール タスクのレジストリ キーへの書き込みアクセスが可能です。 タスクのスケジュールを設定するには、そのタスクのプロパティ ダイアログ ボックスで[ス ケジュール]をクリックします。 警告: McAfee では、オンデマンド スキャンを最小限の間隔でスケジュール設定することを お勧めします。 McAfee が推奨する最小間隔は次のとおりです。 • 毎日 - 重大なマルウェアのアウトブレークが発生した場合のみに指定します。 • 毎週 - 推奨される間隔です。 • 毎月 - 許容可能な間隔です。 • 3 か月ごと - かろうじて許容される間隔です。 McAfee VirusScan Enterprise 8.8 製品ガイド 53 パート Ⅰ - 防止:脅威の回避 スケジュール設定されたタスクの使用 タブの定義 タブ 定義 タスク • 指定された回数実行するにはスケジュール タスクを有効にします。 • 指定された時間と分の間実行するとタスクを終了します。 • ユーザ名、ドメイン、パスワードなどのユーザ アカウント設定を指定します。 スケジュール 54 スケジュールの頻度と関連する設定を指定します。 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 脅威の検索は、保護戦略の 2 番目のステップであり、お使いのシステムにアクセスしようと しているマルウェアを検出することです。 目次 アイテムのオンアクセス スキャン アイテムのオンデマンド スキャン 配信時とオンデマンドの電子メール スキャン アイテムのオンアクセス スキャン オンアクセス スキャナを使用すると、コンピュータ上のファイルがアクセスされた時点で直 ちにファイルを調べて、さまざまな脅威を常にリアルタイムで検出することができます。ア クセス保護機能およびバッファ オーバフロー保護機能でもオンアクセス スキャナを使用し て、アクセス保護違反およびバッファ オーバフロー攻撃手段を検出します。 目次 オンアクセス スキャンとその動作 スキャンの比較:ディスクへの書き込みとディスクからの読み取り スキャンの比較:すべてのファイルのスキャンとデフォルトの拡張子と追加した拡張子のス キャン スクリプト スキャンとその動作 スキャン ポリシーの数の決定 Artemis の動作 全般設定とプロセス設定の設定方法 オンアクセス スキャンとその動作 オンアクセス スキャナはシステムの最も深いレベル(ファイル システムのフィルタ ドライ バ)と連携し、ファイルが最初にシステムに入っていくる段階で、それらのファイルをスキャ ンします。オンアクセス スキャナはシステム(システム サービス)の一部として機能とし て、脅威の検出時にインターフェースを介して通知を配信します。 ファイルのオープン、クローズ、または名前変更が行われようとすると、スキャナはその操 作を中断して、次のアクションを実行します。 1 スキャナは、次の条件に基づいてそのファイルをスキャンすべきかどうかを判断します。 • ファイルの拡張子が設定と一致している。 • ファイルがキャッシュされていない。 McAfee VirusScan Enterprise 8.8 製品ガイド 55 パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン • ファイルが除外対象として設定されていない。 • ファイルが以前にスキャンされていない。 2 ファイルがこれらのスキャン条件に該当する場合は、そのファイル内の情報を現在読み 込まれている DAT ファイル内のマルウェア シグネチャと対比することで、そのファイ ルがスキャンされます。 • ファイルに感染が認められなければ、結果をキャッシュし、読み取り、書き込みまた は名前の変更操作を許可します。 • ファイルで脅威が検出された場合、操作は拒否され、設定されているアクションが実 行されます。たとえば、次のように適用されます。 • ファイルを駆除する必要がある場合は、その駆除プロセスは現在読み込まれている DAT ファイルによって決定されます。 • これらの結果は動作ログに記録されます(スキャナがそうするように設定されてい た場合)。 • [オンアクセス スキャン メッセージ]アラートが表示されて、ファイル名と実行 されたアクションが示されます(スキャナがそうするように設定されていた場合)。 3 ファイルがスキャン要件を満たさない場合は、スキャンされません。そのファイルは キャッシュされて、操作が許可されます。 注意: たとえば、オンアクセス スキャンの設定が変更されたとき、EXTRA.DAT ファイル が追加されたとき、キャッシュがいっぱいになったときなどは、その都度スキャン ファ イル キャッシュがフラッシュされて、すべてのファイルが再スキャンされます。 スキャンの比較:ディスクへの書き込みとディスクからの読み取り オンアクセス スキャナがスキャンを実行する方法は、ユーザがディスクに書き込んでいるの か、ディスクから読み取っているのかによって異なります。 ディスクへのファイルの書き込み時には、オンアクセス スキャナは次のアイテムをスキャン します。 • ローカル ハード ドライブに書き込まれようとしている受信ファイル。 • ローカル ハード ドライブ上またはマップされているネットワーク ドライブ上で作成中 のファイル (これには、新しいファイル、変更されたファイル、1 つのドライブから別の ドライブにコピーまたは移動されているファイルが含まれます)。 注意: マッピングされたネットワーク ドライブをスキャンするには、[ネットワーク ド ライブ上]オプションを有効にする必要があります。「ネットワーク上ドライブの有効 化」を参照してください。 これらのスキャンには、VirusScan Enterprise がインストールされているのと同じクラ イアントからのみアクセスできます。マッピングされたネットワーク ドライブに対する 他のシステムからのアクセスは検出されません。 ディスクからのファイルの読み取り時には、オンアクセス スキャナは次のアイテムをスキャ ンします。 • ローカル ハード ドライブまたはマッピングされたネットワーク ドライブから読み取ら れようとしている送信ファイル。 注意: マッピングされたネットワーク ドライブをスキャンするには、上記で説明した [ネットワーク ドライブ上]オプションを選択して、リモート ネットワーク ファイル をスキャン対象に含めます。 56 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン • ローカル ハード ドライブ上でプロセスを実行しようとしているすべてのファイル。 • ローカル ハード ドライブで開かれたすべてのファイル。 • ファイルのプロパティが変更された場合は、ローカル ハード ドライブで名前を変更中の すべてのファイル。 スキャンの比較:すべてのファイルのスキャンとデフォルトの拡張子と 追加した拡張子のスキャン オンアクセス スキャナは、すべてのファイルをスキャンするように設定されているのか、デ フォルトの拡張子と追加した拡張子をスキャンするように設定されているのかに応じて、ス キャン方法が異なります。 [すべてのファイル]オプションが選択されている場合は、スキャナはすべてのファイルの 種類をスキャンしてすべての潜在的な脅威を検索します。 [デフォルトの拡張子と追加した拡張子]オプションが選択されている場合は、スキャナは ユーザによって選択されたファイルの種類に基づいて、リストに含まれた特定のファイルを スキャンします。 • デフォルトの拡張子:オンアクセス スキャナは、指定された種類のファイルのみをスキャ ンして、その種類のファイルを攻撃する脅威を検索します。 • 拡張子の追加:オンアクセス スキャナは指定された拡張子を持つファイルをスキャンし て、すべての潜在的な脅威を検索します。 • 指定した拡張子:オンアクセス スキャナはユーザ定義リストに含まれた拡張子を持つファ イルをスキャンして、すべての潜在的な脅威を検索します。 スクリプト スキャンとその動作 スクリプト スキャナは、正規の Windows Scripting Host コンポーネントに対するプロキシ コンポーネントとして機能します。スクリプトを停止して、スクリプトの実行前にスキャン します。 たとえば、スクリプト スキャナは以下を確認します。 • 問題のないスクリプトは、正規の Windows Scripting Host コンポーネントに渡されま す。 • スクリプト内に潜在的な脅威が検出された場合、そのスクリプトは実行されません。 信頼できるプロセス、およびスクリプトを利用する Web サイトはスキャン対象から除外でき ます。 注意: Windows Server 2008 システムでは、通常は[ScriptScan URL 除外]設定は Windows Internet Explorer に対して機能しませんが、[サード パーティ製のブラウザ拡張を有効に する]チェック ボックスをオンにしてこの設定を有効にしてから、Windows Server 2008 を 再起動した場合は除きます。 詳細については、 https://kc.mcafee.com/corporate/index?page=content&id=KB69526 を参照してください。 Artemis の動作 Artemis 機能はヒューリスティックを使用して不審なファイルを検索します。これにより、 特定のマルウェアに対する最新のリアルタイム検出機能を備えた Window ベースの McAfee ウィルス対策製品が提供されます。 McAfee VirusScan Enterprise 8.8 製品ガイド 57 パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン Artemis は、あらゆる種類のマルウェアから保護するのではなく、不審なサンプルからのみ 保護します。特定の脅威から保護することの利点は、サンプルがマルウェアであると McAfee ラボによって判定されるとほぼ同時に McAfee セキュリティによってユーザを保護できるこ とです。 VirusScan Enterprise によって保護されているクライアント システム上で実行されている 不審なプログラムや DLL を検索するために Artemis が使用する、管理者によって設定され る感度レベルを設定できます。Artemis は不審なプログラムを検出すると、その不審なファ イルのフィンガープリントを含む DNS 要求を McAfee ラボによってホストされる中央データ ベース サーバに送信します。 注意: このリリースでは、Artemis 機能はデフォルトで有効になっており、感度レベルは 「非常に低」に設定されています。 スキャン ポリシーの数の決定 次のプロセスに従って、複数のオンアクセス スキャン ポリシーを設定する必要があるかど うかを判断してください。 58 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン 全般設定とプロセス設定の設定方法 オンアクセス スキャナの一般ポリシーとプロセス ポリシーは、別個に設定します。 • 全般設定 - すべてのプロセスに適用するオプションが含まれます。 • プロセス設定 - すべてのプロセスに適用する 1 つのスキャン ポリシーを設定すること も、デフォルト プロセス、危険度低プロセス、および危険度高プロセスに適用する個別 のポリシーを設定することもできます。 全般設定 全般設定は、あらゆるプロセスのスキャンに適用され、パラメータ類を格納しています。た とえば、最大スキャン時間、スクリプトのスキャン、望ましくない脅威のリモート コンピュー タからのブロック、脅威検出時のメッセージの送信、検出のレポートなどです。 次のユーザ インターフェース コンソールを使用してオンアクセス全般設定を設定します。 ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用してすべてのプロセスのスキャンに適用さ れる全般設定を設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [オンアクセス スキャンの全般ポリシー]ページで、[全般]タブをクリックして、す べてのオンアクセス スキャンに適用される全般ポリシーを設定します。たとえば、ス キャンするオンアクセス アイテム、スキャンするタイミング、最大スキャン時間、Cookie をスキャンするのかどうかなどを設定します。 McAfee VirusScan Enterprise 8.8 製品ガイド 59 パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン オンアクセス スキャンが有効になっているときは常に、お使いのシステムで現在実行さ れているすべてのプロセスをスキャンするように設定できます。これにより、システム のセキュリティが強化されますが、システムの起動時間が長くなる可能性があります。 有効時にプロセスをスキャンする機能を設定するには、[スキャン]グループで、[有 効なプロセス]をクリックして、オンアクセス スキャンが有効になっているときは常 に、お使いのシステムで現在実行されているすべてのプロセスをスキャンするように設 定します。 注意: この機能を有効にすると、システムの起動時間が長くなる可能性があります。 5 [ScriptScan]タブで、ScriptScan を有効にして、必要に応じてスキャン対象から除外 するプロセスや URL を設定します。 6 [ブロック]タブで、潜在的な脅威や不審なプログラムが含まれているファイルを書き 込むリモート コンピュータからの接続のブロックを設定します。 注意: デフォルトでは、リモート システムが、VirusScan Enterprise がインストール されたシステムにマルウェアを書き込もうとすると、 VirusScan Enterprise はそのリ モート システムへの接続をブロックします。 マルウェアを書き込んだシステムに送信されるメッセージを設定することもできます。 注意: このメッセージを送信するには、Windows Messenger サービスが必要です。 7 [メッセージ]タブで、脅威が検出されたときにローカル ユーザに通知するためのメッ セージを設定して、ユーザがその脅威に対して実行できるアクションを指定します。 8 [レポート]タブで、スキャン動作ログ ファイルを有効にして、これらの保管場所、サ イズ、形式を指定するとともに、この脅威を診断するのに役立つ追加のスキャン ログを 指定します。 注意: これらのログ ファイルは、セキュリティ上の脅威を診断する際、およびこれら の脅威に対して実行するアクションを決定するのに非常に役立ちます。 ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールを使用してすべてのプロセスのスキャンに適用さ れる全般設定を設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 60 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [オンアクセス スキャンの全般ポリシー]ページで、[全般]タブをクリックして、す べてのオンアクセス スキャンに適用される全般ポリシーを設定します。たとえば、ス キャンするオンアクセス アイテム、スキャンするタイミング、最大スキャン時間、Cookie をスキャンするのかどうかなどを設定します。 オンアクセス スキャンが有効になっているときは常に、お使いのシステムで現在実行さ れているすべてのプロセスをスキャンするように設定できます。これにより、システム のセキュリティが強化されますが、システムの起動時間が長くなる可能性があります。 有効時にプロセスをスキャンする機能を設定するには、[スキャン]グループで、[有 効なプロセス]をクリックして、オンアクセス スキャンが有効になっているときは常 に、お使いのシステムで現在実行されているすべてのプロセスをスキャンするように設 定します。 注意: この機能を有効にすると、システムの起動時間が長くなる可能性があります。 5 [ScriptScan]タブで、ScriptScan を有効にして、必要に応じてスキャン対象から除外 するプロセスや URL を設定します。 6 [ブロック]タブで、潜在的な脅威や不審なプログラムが含まれているファイルを書き 込むリモート コンピュータからの接続のブロックを設定します。 注意: デフォルトでは、リモート システムが、VirusScan Enterprise がインストール されたシステムにマルウェアを書き込もうとすると、 VirusScan Enterprise はそのリ モート システムへの接続をブロックします。 マルウェアを書き込んだシステムに送信されるメッセージを設定することもできます。 注意: このメッセージを送信するには、Windows Messenger サービスが必要です。 7 [メッセージ]タブで、脅威が検出されたときにローカル ユーザに通知するためのメッ セージを設定して、ユーザがその脅威に対して実行できるアクションを指定します。 8 [レポート]タブで、スキャン動作ログ ファイルを有効にして、これらの保管場所、サ イズ、形式を指定するとともに、この脅威を診断するのに役立つ追加のスキャン ログを 指定します。 注意: これらのログ ファイルは、セキュリティ上の脅威を診断する際、およびこれら の脅威に対して実行するアクションを決定するのに非常に役立ちます。 VirusScan コンソール このユーザ インターフェース コンソールを使用してすべてのプロセスのスキャンに適用さ れる全般設定を設定します。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 [タスク]リストで、[オンアクセス スキャナ]を右クリックして、[プロパティ]を クリックしてダイアログ ボックスを開きます。 2 [オンアクセス スキャンの全般ポリシー]ページで、[全般]タブをクリックして、す べてのオンアクセス スキャンに適用される全般ポリシーを設定します。たとえば、ス キャンするオンアクセス アイテム、スキャンするタイミング、最大スキャン時間、Cookie をスキャンするのかどうかなどを設定します。 McAfee VirusScan Enterprise 8.8 製品ガイド 61 パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン オンアクセス スキャンが有効になっているときは常に、お使いのシステムで現在実行さ れているすべてのプロセスをスキャンするように設定できます。これにより、システム のセキュリティが強化されますが、システムの起動時間が長くなる可能性があります。 有効時にプロセスをスキャンする機能を設定するには、[スキャン]グループで、[有 効なプロセス]をクリックして、オンアクセス スキャンが有効になっているときは常 に、お使いのシステムで現在実行されているすべてのプロセスをスキャンするように設 定します。 注意: この機能を有効にすると、システムの起動時間が長くなる可能性があります。 3 [ScriptScan]タブで、ScriptScan を有効にして、必要に応じてスキャン対象から除外 するスクリプトを設定します。 4 [ブロック]タブで、潜在的な脅威や不審なプログラムが含まれているファイルを書き 込むリモート コンピュータからの接続のブロックを設定します。 注意: デフォルトでは、リモート システムが、VirusScan Enterprise がインストール されたシステムにマルウェアを書き込もうとすると、 VirusScan Enterprise はそのリ モート システムへの接続をブロックします。 マルウェアを書き込んだシステムに送信されるメッセージを設定することもできます。 注意: このメッセージを送信するには、Windows Messenger サービスが必要です。 5 [メッセージ]タブで、脅威が検出されたときにローカル ユーザに通知するためのメッ セージを設定して、ユーザがその脅威に対して実行できるアクションを指定します。 6 [レポート]タブで、スキャン動作ログ ファイルを有効にして、これらの保管場所、サ イズ、形式を指定するとともに、この脅威を診断するのに役立つ追加のスキャン ログを 指定します。 注意: これらのログ ファイルは、セキュリティ上の脅威を診断する際、およびこれら の脅威に対して実行するアクションを決定するのに非常に役立ちます。 プロセスの設定 オンアクセス スキャン プロセスは、各プロセスに割り当てる危険度に基づいて設定できま す。すべてのプロセスに適用するデフォルト スキャン ポリシーを 1 つ設定することも、各 プロセスに割り当てられた危険度に基づいて複数のポリシーを設定することもできます。パ ラメータとしては、プロセスへのリスクの割り当て、スキャン アイテムの定義、Artemis ス キャンの実行、圧縮ファイルのスキャン、検出対象へのアクションの実行、怪しいプログラ ムに対するスキャンなどがあります。 次のユーザ インターフェース コンソールを使用してオンアクセス プロセス設定を設定しま す。 ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用してオンアクセス スキャンのデフォルト プロセス ポリシーを設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 62 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [プロセス]タブで、[危険度高プロセス、危険度低プロセス、およびデフォルト プロ セス向けに、それぞれ異なるスキャン ポリシーを設定]をクリックして、オンアクセス のデフォルト プロセス、危険度低プロセス、または危険度高プロセスを表示します。 5 [オンアクセス スキャンのデフォルト プロセス ポリシー]ページ、[オンアクセス スキャンの危険度低プロセス ポリシー]ページ、または[オンアクセス スキャンの危 険度高プロセス ポリシー]ページで、各タブでオプションを設定します。「プロセス設 定のタブのオプション」を参照してください。 ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールを使用してオンアクセス スキャンのデフォルト プロセス ポリシーを設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 McAfee VirusScan Enterprise 8.8 製品ガイド 63 パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [プロセス]タブで、[危険度高プロセス、危険度低プロセス、およびデフォルト プロ セス向けに、それぞれ異なるスキャン ポリシーを設定]をクリックして、オンアクセス のデフォルト プロセス、危険度低プロセス、または危険度高プロセスを表示します。 5 [オンアクセス スキャンのデフォルト プロセス ポリシー]ページ、[オンアクセス スキャンの危険度低プロセス ポリシー]ページ、または[オンアクセス スキャンの危 険度高プロセス ポリシー]ページで、各タブでオプションを設定します。「プロセス設 定のタブのオプション」を参照してください。 VirusScan コンソール このユーザ インターフェース コンソールを使用してオンアクセス スキャンのプロパティを 設定します。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 [タスク]リストで、[オンアクセス スキャナ]を右クリックして、[プロパティ]を クリックしてダイアログ ボックスを開きます。 2 左側のペインで、[すべてのプロセス]をクリックします。 3 [プロセス]タブで、[危険度高プロセス、危険度低プロセス、およびデフォルト プロ セス向けに、それぞれ異なるスキャン ポリシーを設定]をクリックして、オンアクセス のデフォルト プロセス、危険度低プロセス、または危険度高プロセスを表示します。 4 [オンアクセス スキャンのデフォルト プロセス ポリシー]ページ、[オンアクセス スキャンの危険度低プロセス ポリシー]ページ、または[オンアクセス スキャンの危 険度高プロセス ポリシー]ページで、各タブでオプションを設定します。「プロセス設 定のタブのオプション」を参照してください。 プロセス設定のタブのオプション 次の表では、オンアクセス スキャナのタブのオプションを説明しています。 タブ 定義 プロセス • オンアクセス スキャンのデフォルト プロセス - すべてのプロセスに適用する 1 つのスキャン ポリシーを設定するのか、デフォルトのプロセス、危険度低プ ロセス、および危険度高プロセスに適用する個別のスキャン ポリシーを設定す るかを選択します。 注意: スキャン ポリシーを 1 つ設定することを選択した場合、このポリシーは すべてのプロセスに適用されます。危険度低プロセスや危険度高プロセスに適用 する個別のスキャン ポリシーを設定することを選択した場合、このポリシーは、 危険度低としても危険度高としても定義されていないプロセスにのみ適用されま す。 • オンアクセス スキャンの危険度低プロセス - 危険度低と定義するプロセスを指 定します。 • オンアクセス スキャンの危険度高プロセス - 危険度高と定義するプロセスを指 定します。 注意: 危険度低プロセスや危険度高プロセスに対して個別のポリシーを設定するに は、[オンアクセス スキャンのデフォルト プロセス]タブで[危険度高プロセス、 危険度低プロセス、およびデフォルト プロセス向けに異なるスキャン ポリシーを設 定]オプションを選択する必要があります。 64 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン タブ 定義 スキャン アイテム • ファイルの読み取り時、書き込み時、ネットワーク ドライブ上のファイルまた はバックアップのために開いたファイル、あるいはその両方のファイルをスキャ ンするかを設定します。 警告: [ディスクへの書き込み時]および[ディスクからの読み取り時]を有効 にしない場合は、お使いのシステムはマルウェアによるさまざまな攻撃に対して 無防備になります。 • スキャンするファイルとファイルの種類を設定します。 警告: [すべてのファイル]を有効にしない場合は、お使いのシステムはマル ウェアによるさまざまな攻撃に対して無防備になります。 除外 • 不審なプログラム、トロイの木馬、またはマクロ ウィルスと共通点のある潜在 的脅威をスキャンします。 • アーカイブ内部をスキャンし、MIME 形式のファイルをデコードします。 • 不審なプログラムのオンアクセス スキャンを有効にします。 スキャンから除外するディスク、ファイル、フォルダを指定します。 アクション 脅威が検出された場合 • 脅威が検出されたときに最初に実行するアクションです。 • 脅威の検出時に、最初のアクションが失敗した場合に実行する 2 番目のアク ションを指定します。 不審なプログラムが検出された場合 • 不審なプログラムが検出されたときに最初に実行するアクションです。 • 不審なプログラムの検出時に、最初のアクションが失敗した場合に実行する 2 番目のアクションを指定します。 ネットワーク上ドライブの有効化 マッピングされたネットワーク ドライブをスキャンするには、[ネットワーク ドライブ上] オプションを有効にする必要があります。 次のいずれかのユーザ インターフェース コンソールを使用して、[オンアクセス スキャン のデフォルト プロセス ポリシー]ページでネットワーク上ドライブのオンアクセス スキャ ンを設定します。 ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用して[オンアクセス スキャンのデフォルト プロセス ポリシー]ページでネットワーク上ドライブを有効にします。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 McAfee VirusScan Enterprise 8.8 製品ガイド 65 パート II - 検出:脅威の検索 アイテムのオンアクセス スキャン b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [オンアクセス スキャンのデフォルト プロセス ポリシー]ページで、[スキャン ア イテム]タブをクリックして、[ファイルのスキャン]の横の[ネットワーク ドライブ 上]をクリックします。 5 [保存] をクリックします。 ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールをネットワーク上ドライブを有効にします。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 66 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [オンアクセス スキャンのデフォルト プロセス ポリシー]ページで、[スキャン ア イテム]タブをクリックして、[ファイルのスキャン]の横の[ネットワーク ドライブ 上]をクリックします。 5 [保存] をクリックします。 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 アイテムのオンデマンド スキャン VirusScan コンソール このユーザ インターフェース コンソールをネットワーク上ドライブを有効にします。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 [タスク]リストで、[オンアクセス スキャナ]を右クリックして、[プロパティ]を クリックして[オンアクセス スキャンのプロパティ]ダイアログ ボックスを開きます。 2 [スキャン アイテム]タブをクリックして、[ファイルのスキャン]の横の[ネット ワーク ドライブ上]をクリックします。 3 [保存] をクリックします。 アイテムのオンデマンド スキャン オンデマンド スキャナは、任意の時点でまたは定期的に、お使いのコンピュータを全体にわ たってスキャンして脅威が潜んでいないか確認します。オンデマンド スキャンは、オンアク セス スキャナによる継続的な保護を補完するために利用できるとともに、業務に支障のない 時間帯に定期的なスキャンを実行するために利用できます。 目次 オンデマンド スキャンとその動作 オンデマンド スキャンの方法とその定義方法 リモート ストレージのスキャンの機能のしくみ スキャンの遅延のしくみ システム使用率の機能 オンデマンド スキャン タスクの設定 グローバル システム キャッシュの設定 オンデマンド スキャンとその動作 オンデマンド スキャナは、お使いのシステムのファイル、フォルダ、メモリ、レジストリな どをスキャンして、システムに感染している可能性のあるマルウェアを検索します。オンデ マンド スキャンを実行するタイミングと方法を設定できます。システムを手動でスキャンす ることも、スケジュール設定した時刻にスキャンすることも、システムの起動時にスキャン することもできます。 ファイルのオープン、クローズ、または名前変更が行われようとすると、スキャナはその操 作を中断して、次のアクションを実行します。 1 スキャナは、そのファイル、フォルダ、またはディスクをスキャンすべきかどうかを次 の条件に基づいて判断します。 • ファイルの拡張子が設定と一致している。 • ファイルがキャッシュされていない。 • ファイルが除外対象として設定されていない。 McAfee VirusScan Enterprise 8.8 製品ガイド 67 パート II - 検出:脅威の検索 アイテムのオンデマンド スキャン • ファイルが以前にスキャンされていない。 注意: Artemis を設定している場合は、オンデマンド スキャナはヒューリスティッ クを使用して不審なファイルを検索します。詳細については、「Artemis の動作」を 参照してください。 2 ファイル、フォルダ、またはディスクがこれらのスキャン条件に該当する場合は、その ファイル内の情報を現在読み込まれている DAT ファイル内のウイルス シグネチャと対 比することで、そのファイル、フォルダ、またはディスクがスキャンされます。 • スキャンしたアイテムで脅威が検出されなかった場合は、その結果がキャッシュされ て、次のアイテムがチェックされます。 • スキャンしたアイテムで脅威が検出された場合は、設定されたアクションが実行され ます。次に例を示します。 • そのアイテムを駆除する必要がある場合は、そのためのプロセスは現在読み込まれ ている DAT ファイルによって決定されます。 • 結果が動作ログに記録されます(スキャナがそうするように設定されていた場合)。 • [オンデマンド スキャンの状況]ダイアログ ボックスで、メモリ、ファイル、 フォルダ、またはディスクの名前と、実行されたアクションに関する情報が表示さ れます。 3 メモリ、ファイル、フォルダ、またはディスクがスキャン要件を満たしていない場合は、 それらはスキャンされずに、スキャナはすべてのデータがスキャンされるまでスキャン を継続します。 オンデマンド スキャンの方法とその定義方法 オンデマンド スキャナは、メモリ内プロセス スキャンとインクリメンタル(再開可能)ス キャンを使用します。 メモリ内プロセス スキャン この方法では、オンデマンド スキャン タスクを実行する前に、アクティブ プロセスをすべ て調べます。検出された怪しいプロセスは強調表示されて、停止されます。つまり、オンデ マンド スキャナの 1 回のパスで、1 つの怪しいプログラムの全インスタンスを削除できま す。 インクリメンタル (再開可能) スキャン この方法では、オンデマンド スキャンを実行する時間を制限して、複数のセッションにわけ てシステム全体をスキャンできます。インクリメンタル スキャンは、スケジュール設定され たスキャンに制限時間を追加することで設定できます。この制限時間が経過するとスキャン は停止します。このタスクが次回に開始されるときは、前回のスキャンが停止したファイル とフォルダ構造内の箇所から再開されます。 リモート ストレージのスキャンの機能のしくみ リモート ストレージ データは、2 つの定義済みストレージ レベルを持つ階層構造になって います。 これらの 2 つのストレージ レベルは次のとおりです。 • 上位レベルのローカル ストレージ - Windows 2000 Server 上でリモート ストレージを 実行しているコンピュータの NTFS ディスク ボリュームが含まれます。 68 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 アイテムのオンデマンド スキャン • 下位レベルのリモート ストレージ - サーバ コンピュータに接続されているスタンドア ロン テープ ドライブ、または自動テープ ライブラリに配置されています。 リモート ストレージでは、ローカル ボリュームの適切なファイルがテープ ライブラリに自 動的にコピーされ、ローカル ボリューム上の利用可能な空き領域が監視されます。ファイル のデータは、必要なときにすばやくアクセスできるようローカル ボリュームにキャッシュさ れます。リモート ストレージは、必要に応じてリモート ストレージのデータをローカル ス トレージに移動します。リモート ストレージによって管理されているボリューム上のファイ ルは、通常どおりに開くだけでアクセスできます。そのファイルのデータがローカル ボリュー ムのキャッシュから削除されている場合は、リモート ストレージによってテープ ライブラ リのデータが呼び出されます。 スキャンの遅延のしくみ パフォーマンスを高めるために、バッテリの残量が少ない場合や全画面プレゼンテーション 時にオンデマンド スキャン タスクを遅らせることができます。ユーザがスケジュール設定 されたスキャンを 1 時間単位で遅らせることを許可することもできます。1 時間だけ遅らせ ることも、24 時間遅らせることも、オンデマンド スキャンを無期限に延期することもでき ます。 個別のユーザ遅延の継続時間は 1 時間です。たとえば、[遅延時間] オプションを 2 に設定 すると、ユーザはスキャン タスクを 2 回分または 2 時間遅らせることができます。指定し た最大時間が過ぎると、スキャンが続行されます。管理者がこのオプションを 0 に設定して 無期限の遅延を許可した場合、ユーザはスキャンを無期限に遅延させ続けることができます。 システム使用率の機能 オンデマンド スキャナは、スキャン プロセスと脅威の優先順位について Windows の[優先 度の設定]設定を使用できます。これにより、オペレーティング システムで、オンデマンド スキャナがスキャン プロセス中の任意の時点で受け取る CPU 時間の長さを設定できます。 [オンデマンド スキャンのプロパティ]の[システム使用率]設定は、Windows の[優先度 の設定]設定と対応しています。 スキャンのシステム使用率を「低」に設定すると、他の実行中アプリケーションのパフォー マンスが向上します。「低」設定は、エンド ユーザが作業中のシステムに対して便利です。 その一方で、システム使用率を「標準」に設定すると、スキャン速度が向上します。「標準」 設定は、サイズの大きいボリュームを備えた、エンド ユーザの作業量が非常に少ないシステ ムに対して便利です。 次の表では、VirusScan Enterprise と ePolicy Orchestrator のデフォルト プロセス設定 を示しています。 VirusScan Enterprise のプロセス設定 Windows の[優先度の設定]設定 低 低 標準以下 — ePolicy Orchestrator のデフォルト 標準以下 標準 — VirusScan Enterprise 8.8 のデフォルト 標準 オンデマンド スキャン タスクの設定 オンデマンド タスクの設定方法は、使用しているユーザ インターフェース コンソールに よって異なります。以下のタスクでは、それぞれのユーザ インターフェース コンソールを 使用した設定方法を説明しています。 McAfee VirusScan Enterprise 8.8 製品ガイド 69 パート II - 検出:脅威の検索 アイテムのオンデマンド スキャン タスク ePolicy Orchestrator 4.5 または 4.6 ePolicy Orchestrator 4.0 VirusScan コンソール オンデマンド スキャン タスクのタブの設定 ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用してオンデマンド スキャン タスクを設定 します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[システム]、[システム ツリー]の順にクリックして、[クライアン ト タスク]を選択します。 2 表示される[クライアント タスク]ページで次の操作を実行します。 • 既存のオンデマンド スキャン タスクを編集するには、そのタスクの[アクション] 列で[設定を編集]をクリックして、[説明]ページを開きます。 • 新しいオンデマンド スキャン タスクを作成するには、[アクション]、[新しいタ スク]の順にクリックして、[説明]ページを開きます。 3 [説明]ページで次の操作を実行します。 • 既存のオンデマンド スキャン タスクを編集する場合は、説明を確認して[次へ]を クリックします。 • 新しいオンデマンド スキャン タスクを作成する場合は、以下を設定して[次へ]を クリックします。 • [名前]と[注記]を入力します。 • リストから[オンデマンド スキャン](VirusScan Enterprise 8.8)を選択して [タイプ]を設定します。 • オンデマンド スキャン タスクを受信するコンピュータを特定する[タグ]を設定 します。 4 表示される[クライアント タスク ビルダ]設定ページで、各タブを設定します。詳細 については、「オンデマンド スキャン タスクのタブの設定」を参照してください。 ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールを使用してオンデマンド スキャン タスクを設定 します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[システム ツリー]、[クライアント タスク]の順にクリックします。 2 表示される[クライアント タスク]ページで次の操作を実行します。 • 既存のオンデマンド スキャン タスクを編集するには、そのタスクの[アクション] 列で[編集]をクリックして、[説明]ページを開きます。 70 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 アイテムのオンデマンド スキャン • 新しいオンデマンド スキャン タスクを作成するには、[アクション]、[新しいタ スク]の順にクリックして、[説明]ページを開きます。 3 次のいずれかを実行します。 • 既存のオンデマンド スキャン タスクを編集する場合は、説明を確認して[次へ]を クリックします。 • 新しいオンデマンド スキャン タスクを作成する場合は、以下を設定して[次へ]を クリックします。 • [名前]と[注記]を入力します。 • リストから[オンデマンド スキャン](VirusScan Enterprise 8.8)を選択して [タイプ]を設定します。 • オンデマンド スキャン タスクを受信するコンピュータを特定する[タグ]を設定 します。 4 表示される[クライアント タスク ビルダ]設定ページで、各タブを設定します。詳細 については、「オンデマンド スキャン タスクのタブの設定」を参照してください。 VirusScan コンソール このユーザ インターフェース コンソールを使用してオンデマンド スキャン タスクを設定 します。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 既存のタスクまたは新しいタスクの[オンデマンド スキャンのプロパティ]ページを開 きます。 • 既存のオンデマンド スキャン タスクを選択して右クリックして、[プロパティ]を 選択します。 • 新しいタスクを作成して、[タスク]、[新規オンデマンド スキャン タスク]の順 に選択して、新しいタスクを右クリックして[プロパティ]を選択します。 2 [オンデマンド スキャンのプロパティ]ダイアログ ボックスで各タブを設定します。 詳細については、「オンデマンド スキャン タスクのタブの設定」を参照してください。 オンデマンド スキャン タスクのタブの設定 VirusScan Enterprise には、デフォルトのオンデマンド スキャン タスクが含まれていま す。デフォルト タスクを使用することも、新しいタスクを作成することもできます。 各タブのオプションを設定します。オプションの定義については、各タブで[?]または[ヘ ルプ]をクリックします。 タブの定義 タブ 定義 スキャンする場所 • スキャン対象の場所とアイテムを指定します。 • 実行中のプロセスも対象にします。 • スキャン時にサブフォルダも対象にします。 • スキャン時にブート セクタも対象にします。 • スキャン時にレジストリのキーと値も対象にします。 McAfee VirusScan Enterprise 8.8 製品ガイド 71 パート II - 検出:脅威の検索 アイテムのオンデマンド スキャン タブ 定義 • スキャン時に Cookie ファイルも対象にします。 警告: [メモリでのルートキットのスキャン]と[実行中のプロセス]のスキャンを 有効にしない場合は、お使いのシステムはマルウェアによるさまざまな攻撃に対して 無防備になります。 注意: [オンデマンド スキャンの状況]ダイアログ ボックスが開くと、スキャンす る場所が[スキャン対象]の後ろにコンマで区切られた文字列として表示されます。 それぞれのスキャン プロセスが完了するたびに、完了した場所はこの文字列から削除 されます。 スキャン アイテム • スキャンするファイルとファイルの種類を設定します。 • 不審なプログラムのオンデマンド スキャンを有効にします。 • アーカイブ内部をスキャンし、MIME 形式のファイルをデコードします。 • ストレージに移動したファイルをスキャンします。 • 不審なプログラム、トロイの木馬、またはマクロ ウィルスと共通点のある潜在的 脅威をスキャンします。 除外 スキャン対象から除外するディスク、ファイル、およびフォルダを、名前または場所、 ファイルの種類、またはファイル作成後の経過日数によって指定します。 パフォーマンス • スキャンを遅らせるタイミングと期間を設定します。 • システム使用率 (%) を指定します。 • Artemis の感度レベルを設定します。 アクション 脅威が検出された場合 • 脅威が検出されたときに最初に実行するアクションです。 • 脅威の検出時に、最初のアクションが失敗した場合に実行する 2 番目のアクショ ンを指定します。 不審なプログラムが検出された場合 • 不審なプログラムが検出されたときに最初に実行するアクションです。 • 不審なプログラムの検出時に、最初のアクションが失敗した場合に実行する 2 番目のアクションを指定します。 プロンプト ダイアログ ボックスで許可されているアクションについて、アクショ ンを選択します。 レポート • 動作ログを有効にします。 • ログ ファイルの名前または場所を指定します。 • ログ ファイル サイズの制限を指定します。 • ログ ファイル形式を選択します。 • スキャン活動以外にログに記録する処理を指定します。 • 以下のうち、スキャン動作に加えてログに記録する対象を指定します。 • タスク • セッション設定の有効化 • セッション サマリの有効化 • 暗号化ファイルのスキャンの失敗の有効化 Cookie 検出時のアラートの有効化 オンデマンド スキャン タスクを実行する場所を指定します。 注意: このタブは ePolicy Orchestrator でのみ使用できます。 72 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 アイテムのオンデマンド スキャン グローバル システム キャッシュの設定 VirusScan Enterprise のスキャン キャッシュには、ウイルスなどに感染していないスキャ ン済みファイルのリストが保存されます。この非感染ファイルのスキャン キャッシュ情報を システムの再起動時に保存することで、システムのパフォーマンスを高めることができます。 これにより、オンデマンド スキャナは、この非感染ファイル キャッシュ情報を使用してファ イルの重複スキャンを低減できます。 次のユーザ インターフェース コンソールを使用して、[全般オプション ポリシー]タブと [スキャンの全般設定]タブでスキャン キャッシュ機能を設定します。 タスク ePolicy Orchestrator 4.5 または 4.6 ePolicy Orchestrator 4.0 VirusScan コンソール ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用して全般オプション ポリシーからスキャン キャッシュ機能を設定します。 タスク オプションの定義については、インターフェースの[?]または[ヘルプ]をクリックしてく ださい。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 全般オプション ポリシーから、[スキャンの全般設定]タブをクリックして、VirusScan Enterprise のスキャン キャッシュ オプション設定を設定します。 5 次のスキャン キャッシュ全般設定を設定します。 • 再起動中のスキャン データの保存を有効化 - システムの再起動時に非感染スキャ ン結果を保存します。 • オンデマンド スキャンにおけるスキャン キャッシュの利用を許可 - オンデマンド スキャナは既存の非感染スキャン結果を使用することで、重複スキャンを低減できま す。 6 [保存] をクリックします。 McAfee VirusScan Enterprise 8.8 製品ガイド 73 パート II - 検出:脅威の検索 アイテムのオンデマンド スキャン ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールを使用して全般オプション ポリシーからスキャン キャッシュ機能を設定します。 タスク オプションの定義については、インターフェースの[?]または[ヘルプ]をクリックしてく ださい。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 全般オプション ポリシーから、[スキャンの全般設定]タブをクリックして、VirusScan Enterprise のスキャン キャッシュ オプション設定を設定します。 5 次のスキャン キャッシュ全般設定を設定します。 • 再起動中のスキャン データの保存を有効化 - システムの再起動時に非感染スキャ ン結果を保存します。 • オンデマンド スキャンにおけるスキャン キャッシュの利用を許可 - オンデマンド スキャナは既存の非感染スキャン結果を使用することで、重複スキャンを低減できま す。 6 [保存] をクリックします。 VirusScan コンソール このユーザ インターフェース コンソールを使用してスキャン キャッシュ機能を設定しま す。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 [ツール]、[全般オプション]、[スキャンの全般設定]タブの順にクリックして、 [スキャンの全般設定]ダイアログ ボックスを開きます。 2 次のスキャン キャッシュ全般設定を設定します。 • 再起動中のスキャン データの保存を有効化 - システムの再起動時に非感染スキャ ン結果を保存します。 74 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 配信時とオンデマンドの電子メール スキャン • オンデマンド スキャンにおけるスキャン キャッシュの利用を許可 - オンデマンド スキャナは既存の非感染スキャン結果を使用することで、重複スキャンを低減できま す。 3 [OK] をクリックします。 配信時とオンデマンドの電子メール スキャン 電子メール スキャナは、電子メール メッセージと添付ファイルを自動的にスキャンします。 電子メールは以下を使用してスキャンされます。 • Microsoft Outlook - 電子メールは配信時にスキャンされるか、Microsoft Outlook か らオンデマンド電子メール スキャンを直接実行することもできます。 注意: ヒューリスティック機能と Artemis 機能を設定している場合は、電子メールの配 信時スキャナとオンデマンド スキャナはヒューリスティックを使用して不審なファイル を探します。詳細については、「Artemis の動作」を参照してください。 • Lotus Notes — 以下を設定できます。 • アクセス時に、電子メールがスキャンされます。 • 起動時に、Lotus Notes からオンデマンド電子メール スキャンが直接実行されます。 • 除外する Notes データベース 次のユーザ インターフェース コンソールを使用して配信時電子メール スキャンのポリシー を設定します。 タスク ePolicy Orchestrator 4.5 または 4.6 ePolicy Orchestrator 4.0 VirusScan コンソール 配信時電子メール スキャン ポリシーのタブの定義 ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用して配信時電子メール スキャンのポリシー を設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 McAfee VirusScan Enterprise 8.8 製品ガイド 75 パート II - 検出:脅威の検索 配信時とオンデマンドの電子メール スキャン a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [配信時の電子メール スキャナ ポリシー]設定ページの各タブでオプションを設定し ます。「配信時電子メール スキャン ポリシーのタブの定義」を参照してください。 ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールを使用して配信時電子メール スキャンのポリシー を設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [配信時の電子メール スキャナ ポリシー]設定ページの各タブでオプションを設定し ます。「配信時電子メール スキャン ポリシーのタブの定義」を参照してください。 VirusScan コンソール このユーザ インターフェース コンソールを使用して配信時電子メール スキャンのポリシー を設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 76 McAfee VirusScan Enterprise 8.8 製品ガイド パート II - 検出:脅威の検索 配信時とオンデマンドの電子メール スキャン 1 [タスク]リストで、[配信時の電子メール スキャンのプロパティ]を右クリックし て、[プロパティ]をクリックしてダイアログ ボックスを開きます。 2 [配信時の電子メール スキャンのプロパティ]ダイアログ ボックスの各タブでオプショ ンを設定します。「配信時電子メール スキャン ポリシーのタブの定義」を参照してく ださい。 配信時電子メール スキャン ポリシーのタブの定義 タブ 定義 スキャン アイテム • スキャン対象の添付ファイルとメッセージを指定します。 • ヒューリスティックを使用して、マルウェアと類似した潜在的な脅威や不明なマ クロ ウイルスを対象にしてスキャンして、複数の拡張子を持つ添付ファイルを探 します。 • アーカイブ内の圧縮ファイルをスキャンして、MIME 形式のファイルをデコードし ます。 • 電子メール スキャナを有効にして、不審なプログラムをスキャンします。 • 電子メール本文をスキャンします。 • Artemis の感度レベルを設定します。 注意: このオプションは、[配信時電子メール スキャン] でのみ使用できます。 アクション 脅威が検出された場合 • 脅威が検出されたときに最初に実行するアクションです。 • 最初のアクションが失敗した場合に実行する 2 番目のアクションを指定します。 不審なプログラムが検出された場合 • 不審なプログラムが検出されたときに最初に実行するアクションです。 • 最初のアクションが失敗した場合に実行する 2 番目のアクションを指定します。 プロンプト ダイアログ ボックスで許可されているアクションについて、アクショ ンを選択します。 アラート レポート Notes スキャナの設定 • 脅威が埋め込まれた電子メールが検出されたら、もう 1 人のユーザに通知しま す。 • ユーザがアクションの実行を求められたときに表示されるメッセージを指定しま す。 • 動作ログを有効にします。 • ログ ファイルの名前または場所を指定します。 • ログ ファイル サイズの制限を指定します。 • ログ ファイル形式を選択します。 • スキャン活動以外にログに記録する処理を指定します。 注意: このタブは、[配信時電子メール スキャン] でのみ使用できます。 Lotus Notes に固有の設定を指定します。 • すべてのサーバ データベースをスキャンします。 • 指定したメールボックスのルート フォルダにあるサーバ メールボックスをスキャ ンします。 • 無視する Notes アプリケーションです。 McAfee VirusScan Enterprise 8.8 製品ガイド 77 パート III - 対応:脅威の処理 脅威への対応は、保護戦略の 3 番目のステップであり、お使いのシステムにアクセスしよう とするマルウェアを検出して駆除することです。 目次 検出および対応 アラートおよび通知の設定 クエリおよびダッシュボードへのアクセス 緊急 DAT の設定 検出および対応 脅威が発生して検出されたときに実行される処理は、VirusScan Enterprise がどのように対 応するように設定されているのか、およびどの機能によってその脅威が検出されたのかによっ て決まります。これらの違いを理解することは、効果的な戦略を策定して実践するのに役立 ちます。 目次 検出時のスキャナ アクション システムのアクセス ポイント違反 バッファ オーバーフロー検出 不審なプログラムの検出 オンアクセス スキャン検出 オンデマンド スキャン検出 電子メール スキャンによる検出 隔離アイテム 検出時のスキャナ アクション 脅威が検出されたときの対応は、VirusScan Enterprise の設定内容によって異なります。 VirusScan Enterprise が自動的に駆除するように設定されている場合は(推奨のデフォルト 設定)、DAT ファイルに記載された駆除指示に基づいてアクションが実行されます。たとえ ば、スキャナによるファイルの駆除ができない場合や、ファイルが修復できないほど損傷し ている場合は、DAT ファイルの定義内容に応じて、スキャナはそのファイルを削除するか、2 番目のアクションを実行することがあります。 脅威が含まれている可能性のあるファイルへのアクセスがスキャナによって拒否される場合 は、そのファイルの保存時にファイル名に .mcm 拡張子が追加されます。 78 McAfee VirusScan Enterprise 8.8 製品ガイド パート III - 対応:脅威の処理 検出および対応 システムのアクセス ポイント違反 システムのアクセス ポイント違反が発生したとき、実行されるアクションはルールの設定に よって異なります。 ルールの設定とそれに対して実行されるアクションは次のとおりです。 • レポート - 情報がログ ファイルに記録されます。 • ブロック - アクセスが拒否されます。 ログ ファイルで、侵害されたシステムのアクセス ポイント、および侵害を検出したルール を確認した後、アクセス保護ルールを設定し、ユーザが正当なアイテムにアクセスでき、保 護されたアイテムにはアクセスできないようにします。 対応として実行するアクションを決定するには、以下のシナリオを使用します。 検出の種類 シナリオ 望ましくないプロセス • ルールによってログ ファイルに違反がレポートされたが、違反がブロックされな かった場合、ルールについて[ブロック]オプションを選択します。 • ルールによって違反がブロックされたが、違反がログ ファイルにレポートされな かった場合、ルールについて[レポート]オプションを選択します。 • ルールによって違反がブロックされ、ログ ファイルにレポートされている場合 は、アクションは不要です。 • 検出されなかった不審なプロセスを見つけた場合は、ルールを編集してそのプロ セスをブロック対象として含めます。 • ルールによってログ ファイルに違反がレポートされたが、違反がブロックされな かった場合、ルールについて[レポート]オプションを選択します。 • ルールによって違反がブロックされてログ ファイルにレポートされている場合、 ルールを編集して正当なプロセスをブロック対象から除外します。 正当なプロセス バッファ オーバーフロー検出 バッファ オーバーフローが検出されると、スキャナはその検出対象をブロックして、[オン アクセス スキャン メッセージ]ダイアログ ボックスにメッセージが記録されます。このダ イアログ ボックスを参照してから、追加のアクションを実行するかどうかを判断できます。 実行できるアクションは次のとおりです。 • メッセージの削除 - リストのアイテムを選択し、[削除]をクリックします。 • 除外対象の作成 - 検出されたプロセスが正規のプロセス(誤検知)である場合は、[オ ンアクセス スキャン メッセージ]ダイアログ ボックスの情報を使用して除外対象を作 成します。[名前] コラムにある情報を確認し、呼び出しをかけている書き込み可能メモ リを所有しているプロセス名を決定します。プロセス名を利用して除外対象を作成しま す。 • 分析のための McAfee ラボへのサンプル送信 - スキャナによって検出されるべきでない ものが検出される場合や、検出されるべきものが検出されない場合は、サンプルを McAfee ラボに送信できます。 不審なプログラムの検出 オンアクセス スキャナ、オンデマンド スキャナ、電子メール スキャナは、設定した [不審 なプログラム ポリシー] に基づいて不審なプログラムを検出します。不審なプログラムが検 出されると、そのスキャナに対して [アクション] タブで設定したアクションが適用されま す。 McAfee VirusScan Enterprise 8.8 製品ガイド 79 パート III - 対応:脅威の処理 検出および対応 ログ ファイルの情報を確認してから、追加のアクションを実行するかどうかを決定します。 • スキャン アイテムの微調整 - スキャンの効率性を高めます。 • 検出対象からの除外 - 正当なプログラムが検出された場合は、そのプログラムを検出対 象から除外するように設定できます。 • ユーザ定義の検出リストへの追加 - 不審なプログラムが検出されなかった場合は、その プログラムをユーザ定義の検出リストに追加できます。 • 分析のための McAfee ラボへのサンプル送信 - スキャナによって検出されるべきでない ものが検出される場合や、検出されるべきものが検出されない場合は、サンプルを McAfee ラボに送信できます。 オンアクセス スキャン検出 オンアクセス スキャナは、マルウェアを検出すると、[オンデマンド スキャンのプロパ ティ]の[アクション]タブの設定内容に従ってアクションを実行します。また、[オンア クセス スキャン メッセージ]ダイアログ ボックスにメッセージが記録されます。 動作ログと[オンアクセス スキャン メッセージ]ダイアログ ボックスの情報を確認し、以 下の追加アクションを実行するかどうかを決定します。 • スキャン アイテムの微調整 - スキャンの効率性を高めるには、VirusScan Enterprise によって脅威と識別される可能性のある正当なファイルを除外対象に設定して、隔離領域 に保存された可能性のある既知の脅威を削除します。 • [オンアクセス スキャン メッセージ]ダイアログ ボックスでのアイテムの右クリック - 以下のアクションを実行します。 • ファイルを駆除 - 選択したメッセージに示されているファイルの駆除を試みます。 • ファイルを削除 - 選択したメッセージに示されているファイルを削除します。削除さ れたファイル名はログ ファイルに記録されるので、隔離マネージャから復元すること ができます。 • すべて選択 (Ctrl+A) - リスト内のすべてのメッセージを選択します。 • リストからメッセージを削除 (Ctrl+D) - 選択したメッセージをリストから削除しま す。メッセージは、リストから削除されてもログ ファイルには記録されています。 • すべてのメッセージを削除 - すべてのメッセージをリストから削除します。メッセー ジは、リストから削除されてもログ ファイルには記録されています。 • オンアクセス スキャナ ログ ファイルを開く - オンアクセス スキャナの動作ログ ファイルを開きます。このオプションは [ファイル] メニューからのみ使用できます。 • アクセス保護ログ ファイルを開く - アクセス保護に関する動作ログ ファイルを開き ます。このオプションは [ファイル] メニューからのみ使用できます。 • 選択したメッセージに対して実行できないアクションがある場合は、そのアクションに 対応するアイコン、ボタン、およびメニュー項目が無効化されます。たとえば、メッ セージに示されているファイルがすでに削除されている場合には [駆除] アクションは 使用できません。また、管理者がファイルの削除を禁止した場合には、[削除] アクショ ンは使用不能となります。 • ファイルを駆除 - DAT ファイルにクリーナがない場合や破損して修復できない場合、 ファイルは駆除できません。ファイルの駆除が失敗した場合は、ファイル名に .mcm と いう拡張子が追加され、そのファイルへのアクセスが拒否されます。また、それについ てのエントリがログ ファイルに記録されます。この場合、ファイルを削除し、安全な バックアップ コピーから復元することを推奨します。 80 McAfee VirusScan Enterprise 8.8 製品ガイド パート III - 対応:脅威の処理 検出および対応 • 分析のための McAfee Labs へのサンプル送信 - スキャナによって検出されるべきでな いものが検出される場合や、検出されるべきものが検出されない場合は、サンプルを McAfee ラボに送信できます。 オンデマンド スキャン検出 オンデマンド スキャナは、脅威を検出すると、[オンデマンド スキャンのプロパティ]の [アクション]タブの設定内容に従ってアクションを実行します。 ログ ファイルの情報を確認してから、追加のアクションを実行するかどうかを決定します。 • スキャン アイテムの微調整 - スキャンの効率性を高めます。 • アクションを指定 - [オンデマンド スキャンの状況]ダイアログ ボックスからアク ションを選択することで、スキャナがユーザにアクションの指定を求めるように設定して います。 • 分析のための McAfee ラボへのサンプル送信 - スキャナによって検出されるべきでない ものが検出される場合や、検出されるべきものが検出されない場合は、サンプルを McAfee ラボに送信できます。 電子メール スキャンによる検出 電子メール スキャンによって脅威が検出されたときにスキャナによって実行されるアクショ ンは、[配信時の電子メール スキャンのプロパティ]または[オンデマンド電子メール ス キャン プロパティ]の[アクション]タブの設定内容に応じて異なります。 ログ ファイルの情報を確認してから、追加のアクションを実行するかどうかを決定します。 • スキャン アイテムの微調整 - スキャンの効率性を高めます。 • 分析のための McAfee ラボへのサンプル送信 - スキャナによって検出されるべきでない ものが検出される場合や、検出されるべきものが検出されない場合は、サンプルを McAfee ラボに送信できます。 隔離アイテム 脅威として検出されたアイテムは、駆除または削除されます。さらに、そのアイテムのコピー が実行不能な形式に変換されて、隔離フォルダに保存されます。このようにすることで、そ の脅威を駆除可能にする情報が含まれている可能性のある最新バージョンの DAT のダウン ロード後に、これらの隔離アイテムに対してプロセスを実行できます。 これらの追加のプロセスは次のとおりです。 • 復元 • 再スキャン • 削除 • 誤検知の確認 • 検出プロパティの表示 注意: 隔離アイテムには、複数の種類のスキャン済みオブジェクトが含まれている可能性が あります。これらのオブジェクトは、ファイル、Cookie、レジストリ、および VirusScan Enterprise がマルウェアを検出するためにスキャンするあらゆるアイテムです。 McAfee VirusScan Enterprise 8.8 製品ガイド 81 パート III - 対応:脅威の処理 検出および対応 隔離ポリシーの設定 Quarantine Manager のポリシーにアクセスして、必要に応じて隔離ポリシーを設定するか、 デフォルト設定をそのまま使用します。 次のユーザ インターフェース コンソールを使用して Quarantine Manager のポリシーを設 定します。 タスク ePolicy Orchestrator 4.5 または 4.6 ePolicy Orchestrator 4.0 VirusScan コンソール ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用して Quarantine Manager のポリシーを設 定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 82 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [隔離]ページで、デフォルトの検疫ディレクトリをそのまま使用するか、異なるディ レクトリを選択します。 5 隔離アイテムの保存日数を設定するには、[指定日数後に隔離データを自動削除]をク リックして、[バックアップ データを検疫ディレクトリに保管しておく日数]を入力し ます。 McAfee VirusScan Enterprise 8.8 製品ガイド パート III - 対応:脅威の処理 検出および対応 ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールを使用して Quarantine Manager のポリシーを設 定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 [隔離]ページで、デフォルトの検疫ディレクトリをそのまま使用するか、異なるディ レクトリを選択します。 5 隔離アイテムの保存日数を設定するには、[指定日数後に隔離データを自動削除]をク リックして、[バックアップ データを検疫ディレクトリに保管しておく日数]を入力し ます。 VirusScan コンソール このユーザ インターフェース コンソールを使用して Quarantine Manager のポリシーを設 定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [タスク]リストで、[Quarantine Manager のポリシー]を右クリックして、[プロパ ティ]をクリックして[Quarantine Manager のポリシー]ダイアログ ボックスを開き ます。 2 デフォルトの隔離ディレクトリをそのまま使用するか、異なるディレクトリを選択しま す。 3 隔離アイテムの保存日数を設定するには、[指定日数後に隔離データを自動削除]をク リックして、[バックアップ データを検疫ディレクトリに保管しておく日数]を入力し ます。 McAfee VirusScan Enterprise 8.8 製品ガイド 83 パート III - 対応:脅威の処理 アラートおよび通知の設定 隔離アイテムの管理 VirusScan コンソール を使用して、隔離アイテムを処理してさらに詳しくチェックして、手 動で削除または復元します。 注意: ePolicy Orchestrator コンソールから、[隔離からの復元]クライアント タスクを 使用して隔離アイテムを復元します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 VirusScan コンソール の[タスク]リストで、[Quarantine Manager のポリシー]を クリックして[Quarantine Manager のポリシー]ダイアログ ボックスを開きます。 2 [マネージャ]タブをクリックして、アイテムを右クリックして次の詳細オプションに アクセスします。 • 復元 • 再スキャン • 削除 • 誤検知の確認 • 検出プロパティの表示 3 ダイアログ ボックスが開いて、実行しようとしているアクションがもたらす影響が説明 されます。 アラートおよび通知の設定 潜在的な脅威が検出されたときに通知を受け取るのは、環境を保護するために重要な点です。 ePolicy Orchestrator コンソールまたは VirusScan コンソールを使用して、脅威が検出さ れたときに通知を受ける方法を設定できます。どちらのコンソールでも、アラート オプショ ンを設定したり、重大度に基づいてアラートをフィルタリングしてアラート トラフィックを 制限したり、ローカル アラート オプションを設定したりできます。 アラートの設定 各種のスキャナが脅威を検出したときに表示されるアラートと通知のプロパティを設定しま す。 同じプロセスを使用して、以下のポリシーのアラートを設定します。 • アラート ポリシー • バッファ オーバーフロー保護ポリシー • 配信時電子メール スキャン ポリシー 次のユーザ インターフェース コンソールを使用して、これら 3 つのポリシーすべてのア ラート通知ポリシーを設定します。 タスク ePolicy Orchestrator 4.5 または 4.6 ePolicy Orchestrator 4.0 VirusScan コンソール 84 McAfee VirusScan Enterprise 8.8 製品ガイド パート III - 対応:脅威の処理 アラートおよび通知の設定 アラート ポリシーのタブの設定 ePolicy Orchestrator 4.5 または 4.6 このユーザ インターフェース コンソールを使用してアラート ポリシーを設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [メニュー]、[ポリシー]、[ポリシー カタログ]の順にクリックして、[製品]リ ストから[VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、 VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[設定を編集]をクリックしてポリシー設定ページを開きま す。 新しいポリシーを作成 a [アクション]、[新規ポリシー]の順にクリックして、[新規ポリシー]ダイアロ グ ボックスを開きます。 b [カテゴリ]リストから、既存のポリシーを選択します。 c [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 d 新しいポリシーの名前を入力します。 e 必要に応じて注釈を入力します。 f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 g 新しいポリシーの[アクション]列で、[設定を編集]をクリックしてポリシー設定 ページを開きます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 アラート ポリシーのタブを設定します。「アラート ポリシーのタブの設定」を参照し てください。 ePolicy Orchestrator 4.0 このユーザ インターフェース コンソールを使用してアラート ポリシーを設定します。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 [システム]、[ポリシー カタログ]の順にクリックして、[製品]リストから [VirusScan Enterprise 8.8.0]を選択します。[カテゴリ]リストに、VirusScan Enterprise 8.8.0 のポリシー カテゴリが表示されます。 2 既存のポリシーを編集するか、新しいポリシーを作成します。 既存のポリシーの編集 a [カテゴリ]リストから、ポリシー カテゴリを選択します。 b [アクション]列で、[編集]をクリックしてポリシー設定ページを開きます。 新しいポリシーを作成 McAfee VirusScan Enterprise 8.8 製品ガイド 85 パート III - 対応:脅威の処理 アラートおよび通知の設定 a [新規ポリシー]をクリックして[新規ポリシー]ダイアログ ボックスを開きます。 b [この既存ポリシーに基づいて新規ポリシーを作成する]リストから、いずれかの設 定を選択します。 c 新しいポリシーの名前を入力します。 d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。 3 [設定]リストから、[ワークステーション]または[サーバ]を選択します。 4 アラート ポリシーのタブを設定します。「アラート ポリシーのタブの設定」を参照し てください。 VirusScan コンソール このユーザ インターフェース コンソールを使用してアラートのプロパティを設定します。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 次のいずれかのプロパティを開いてアラートを設定します。 • アラート — [ツール]、[アラート]の順にクリックして、[アラートのプロパ ティ]ダイアログ ボックスを開きます。 • バッファ オーバーフロー保護 - [バッファ オーバーフロー保護]タスクを選択し て、[プロパティ]を右クリックして、[バッファ オーバーフロー保護のプロパ ティ]ダイアログ ボックスを開きます。 • 配信時の電子メール スキャナ - [配信時の電子メール スキャナ]タスクを選択し て、[プロパティ]を右クリックして、配信時の電子メール スキャナのプロパティ ダイアログ ボックスを開きます。[アラート]タブをクリックします。 2 アラート ポリシーのタブを設定します。「アラート ポリシーのタブの設定」を参照し てください。 アラート ポリシーのタブの設定 タスク 設定 アラート ポリシー 1 [アクション]列で、[設定を編集]を選択して[アラート ポリシー]ペー ジを開きます。 2 [アラートを生成するコンポーネント]と[Alert Manager のオプション] を設定します。 バッファ オーバーフロー保護 1 ポリシー [アクション]列で、[設定を編集]を選択して[バッファ オーバーフロー 保護]ページを開きます。 2 [クライアント システムの警告]の横で、[バッファ オーバーフローの検 出時にメッセージを表示する]をクリックします。 1 [アクション]列で、[設定を編集]を選択して[バッファ配信時電子メー ル スキャン ポリシー]ページを開きます。 2 [アラート]をクリックして、[ユーザの電子メール アラート]と[アク ションを指定メッセージ]を設定します。 配信時電子メール スキャン ポリシー 86 McAfee VirusScan Enterprise 8.8 製品ガイド パート III - 対応:脅威の処理 クエリおよびダッシュボードへのアクセス クエリおよびダッシュボードへのアクセス クエリおよびダッシュボードを使用すると、スキャン動作を監視することができ、検出内容 に対して実行するアクションを決定するのに役立ちます。クエリおよびダッシュボードは事 前定義済みのものだけでなく、必要に応じて新たに作成したものも使用できます。クエリお よびダッシュボードの詳細については、ePolicy Orchestrator 製品マニュアルを参照してく ださい。 クエリ お使いの ePolicy Orchestrator バージョンに応じて、以下を使用してクエリにアクセスし てください。 ePolicy Orchestrator 4.5 および 4.6 1 [メニュー]、[レポート]、[クエリ]の順にクリックして、[クエリ]ページを開 きます。 2 [クエリ]ペインで、[高速検索]に「VSE:」と入力して、[適用]をクリックします。 VirusScan Enterprise のクエリのみがリストに表示されます。 ePolicy Orchestrator 4.0 1 [レポート]、[クエリ]の順にクリックして、[クエリ]ページを開きます。 2 右側のペインの[クエリ]リストで、スクロール ダウンして「VSE:」で始まるクエリを 探します。 事前に定義されたクエリは次のとおりです。 VSE:過去 30 日間の対応状況 VSE:過去 2 四半期に検出した脅威 VSE:週単位での脅威が検出されたコンピュータ VSE:週単位での検出した脅威 VSE:現在の DAT の採用 VSE:上位 10 違反のあったアクセス保護ルール VSE:過去 24 時間での DAT の採用状況 VSE:上位 10 検出されたバッファ オーバーフロー VSE:DAT の導入 VSE:上位 10 検出数が最も多いコンピュータ VSE:検出対応サマリ VSE:上位 10 検出した脅威 VSE:タグごとの検出数 VSE:上位 10 脅威源 VSE:過去 24 時間に検出したスパイウェア VSE:上位10 脅威カテゴリごとの脅威 VSE:過去 7 日間に検出したスパイウェア VSE:上位 10 検出数が最も多いユーザ VSE:過去 24 時間に検出した脅威のサマリ VSE:過去 24 時間に検出した不審なプログラム VSE:過去 7 日間に検出した脅威のサマリ VSE:過去 7 日間に検出した不審なプログラム VSE:重大度ごとの脅威の数 VSE:バージョン 8.5 の対応 VSE:週単位での検出した脅威の名前 VSE:バージョン 8.7 の対応 VSE:過去 24 時間に検出した脅威 VSE:バージョン 8.8 の対応 VSE:過去 7 日間に検出した脅威 ダッシュボード ePolicy Orchestrator コンソールでダッシュボードにアクセスするには、[ダッシュボー ド]に移動します。 事前に定義されたダッシュボードは次のとおりです。 • VSE:バージョン 8.8 の対応 • VSE:トレンド データ • VSE:最新の検出 McAfee VirusScan Enterprise 8.8 製品ガイド 87 パート III - 対応:脅威の処理 緊急 DAT の設定 緊急 DAT の設定 緊急 DAT を手動でダウンロードすることで、通常の VirusScan DAT アップデートがリリー スされるまで、お使いのシステムを主要なウイルスから保護できます。 注意: これらの EXTRA.DAT ファイルは、クライアント システムの AutoUpdate の一部とし て、または ePolicy Orchestrator のスケジュール設定されたプル プロセスの一部として自 動的にダウンロードする必要があります。「検出定義のアップデート」を参照してください。 緊急 DAT の設定は、次の 2 つのステップからなるプロセスです。 1 緊急 DAT ファイルをダウンロードします。このプロセスは、クライアント システムと ePolicy Orchestrator リポジトリの両方について同じです。 2 緊急 DAT ファイルをインストールします。このプロセスは、クライアント システムの 場合と ePolicy Orchestrator 4.0 4.5 および 4.6 サーバの場合とで異なります。 ここでは、これらの各プロセスについて説明します。 目次 緊急 DAT について SuperDAT ファイルのダウンロード ePolicy Orchestrator リポジトリへの SuperDAT ファイルのインストール クライアント システムへの EXTRA.DAT ファイルのインストール 緊急 DAT について 緊急 DAT は、EXTRA.DAT という名前のファイルであり、VirusScan Enterprise が新種のウ イルスを検出するために使用する情報を含んでいます。新たなマルウェアが発見されて、追 加の検出が必要な場合は、通常の VirusScan Enterprise DAT アップデートがリリースされ るまで、SuperDAT(SDAT)実行ファイル内にパッケージ化された EXTRA.DAT ファイルが McAfee ラボによって提供されます。 注意: McAfee は、現在は Security Updates ダウンロード サイトに個別の EXTRA.DAT ファ イルを公開していません。特定の脅威に対応する EXTRA.DAT ファイルを取得するには、McAfee Avert Labs Extra.dat Request Page(https://www.webimmune.net/extra/getextra.aspx) にアクセスしてください。 SuperDAT パッケージ SuperDAT の実行ファイルは、自己インストール型パッケージです。このファイルには、新し いウイルス スキャン エンジンや他のプログラム コンポーネントが含まれている場合もあり ます。このファイルの名前は sdatXXXX.exe という形式であり、XXXX は 4 桁の DAT バージョ ン番号です(例: sdat4321.exe)。 SuperDAT の実行ファイルから EXTRA.DAT ファイルを抽出して、ハード ディスク上のエンジ ン フォルダに追加すると、VirusScan Enterprise は、通常の DAT ファイルに加えてこの EXTRA.DAT ファイルを使用して、新たなウイルスを検出します。これにより、マルウェアを 検出/削除するための情報が含まれた正式な DAT アップデートがリリースされるまで、 VirusScan Enterprise によってご使用のコンピュータが新たなマルウェア コードから保護 されます。正式な DAT アップデートがリリースされてインストールされると、この EXTRA.DAT ファイルは不要になります。 注意: EXTRA.DAT ファイルは、5 日間だけファイル システム上に保持されてから、自動的 に削除されます。正式な日次アップデートを自動的にダウンロードおよびインストールする ことで、VirusScan Enterprise の DAT ファイルを最新状態に保つことをお勧めします。 88 McAfee VirusScan Enterprise 8.8 製品ガイド パート III - 対応:脅威の処理 緊急 DAT の設定 SuperDAT ファイルのダウンロード SuperDAT(SDAT)ファイルをダウンロードするには、McAfee Security Updates ページに接 続する必要があります。 作業の前に • McAfee Security Updates ページにアクセスするための有効な承認番号が必要です。 http://www.mcafee.com/apps/downloads/security_updates/dat.asp • McAfee ソフトウェアを更新するための管理者権限が必要です。 タスク 1 次の URL にある McAfee Security Updates ページにアクセスします。 http://www.mcafee.com/apps/downloads/security_updates/dat.asp 2 [SuperDATs]タブをクリックして、sdatXXXX.exe ファイルをダブルクリックします(XXXX は最新の DAT アップデートの番号です)。 注意: readme.txt ファイルをダブルクリックして追加情報を参照します。 3 この実行ファイルをデフォルト名のまま一時的な場所に保存します。 ePolicy Orchestrator リポジトリへの SuperDAT ファイルのインス トール SuperDAT ファイルをダウンロードしたら、このファイルを ePolicy Orchestrator サーバに インストールする必要があります。 作業の前に McAfee ソフトウェアを更新するための管理者権限が必要です。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 SuperDAT ファイルを ePolicy Orchestrator サーバにインストールするには、次のいず れかの手順を実行します。 サーバ 手順 ePolicy Orchestrator 4.5 およ 1 び 4.6 ePolicy Orchestrator 4.5 および 4.6 コンソールで、 [メニュー]、[ソフトウェア]、[マスター リポジト リ]の順にクリックして、[マスター リポジトリのパッ ケージ]ページを開きます。 2 [アクション]、[パッケージのチェックイン]の順に クリックします。 1 [ソフトウェア]、[マスター リポジトリ]の順にク リックして、[マスター リポジトリのパッケージ]ペー ジを開きます。 2 [パッケージのチェックイン]をクリックして、[パッ ケージのチェックイン]ページを開きます。 ePolicy Orchestrator 4.0 McAfee VirusScan Enterprise 8.8 製品ガイド 89 パート III - 対応:脅威の処理 緊急 DAT の設定 2 [Super DAT (EXE)]を選択して、ファイルの保存場所に移動して、[次へ]をクリック します。 3 選択内容を確認してから、[保存]をクリックします。[マスター リポジトリのパッ ケージ]ページの[名前]リストに、新しい DAT パッケージが表示されます。 クライアント システムへの EXTRA.DAT ファイルのインストール McAfee ラボから EXTRA.DAT ファイルをダウンロードしたら、このファイルをスタンドアロ ン クライアント システムにインストールできます。EXTRA.DAT ファイルのダウンロード情 報については、「緊急 DAT について」を参照してください。 作業の前に McAfee Security ソフトウェアを更新するための管理者権限が必要です。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 ダウンロードが完了したら、保存した実行ファイルを探して実行し、ウィザードの指示 に従ってください。 EXTRA.DAT ファイルを実行すると、次のステップが実行されます。 • McAfee のメモリ常駐ソフトウェアをアンロードするか、現在の DAT ファイルを使用 しているサービスを停止します。 • 新しい DAT ファイルを適切なプログラム ディレクトリにコピーします。 • 新しい DAT ファイルを使用してスキャンを継続するために必要なソフトウェア コン ポーネントを再始動します。 2 90 インストーラによる DAT ファイルの更新が完了したら、ダウンロードしたファイルを削 除することも、後続の更新のために保持することもできます。 McAfee VirusScan Enterprise 8.8 製品ガイド パート IV - 保護状況の監視、分析、および微調 整 保護戦略を初期設定したら、保護状況を監視、分析、および微調整する必要があります。動 作ログ ファイルと ePolicy Orchestrator のクエリをチェックすることで、VirusScan Enterprise システムのパフォーマンスと保護能力を向上させることができます。 目次 環境内の動作の監視 保護状況の分析 環境内の動作の監視 保護戦略における重要な 1 ステップは、お使いのシステムで発生するマルウェア イベント を監視することです。このためには、使用するツールとそれらの使用方法を理解する必要が あります。 動作監視用のツール VirusScan Enterprise は、保護対象システム上で発生する脅威イベントを監視するためのさ まざまな方法を提供します。使用するツールは、ePolicy Orchestrator コンソールを使用し ているのか、VirusScan コンソール を使用しているのかによって異なります。 クエリとダッシュボードの使用 ePolicy Orchestrator のクエリとダッシュボードを使用して、McAfee 管理対象システム上 の動作を監視して、検出時に実行するアクションを決定します。 クエリとダッシュボードの詳細については、以下を参照してください。 • 使用可能な事前定義済みクエリの全リストについては、「クエリおよびダッシュボードへ のアクセス」を参照してください。 • クエリとダッシュボードの変更と作成については、ePolicy Orchestrator の製品マニュ アルを参照してください。 動作ログの使用 VirusScan コンソール の動作ログには、VirusScan Enterprise の保護対象システムで発生 したイベントの記録が保管されます。次の表では、これらのログ ファイルについて説明して います。 すべての動作ログ ファイルは、お使いのオペレーティング システムに応じて、次のいずれ かの場所にデフォルトで保管されます。 McAfee VirusScan Enterprise 8.8 製品ガイド 91 パート IV - 保護状況の監視、分析、および微調整 環境内の動作の監視 • Microsoft Windows XP、Microsoft Vista、Microsoft 2000 Server、Microsoft 2003 Server、および Microsoft 2008 Server の場合 - C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection • Microsoft Windows 7 の場合 - C:\ProgramData\McAfee\DesktopProtection 表 1: ログ ファイル ファイル名 アクセス方法 表示内容 AccessProtectionLog.txt [タスク]列で、[アクセス保護]、[レポート] 日付、時刻、イベント、 タブの順にクリックして、[ログの表示]をクリッ ユーザ、ファイル名 クします。 BufferOverflowProtectionLog.txt [タスク]列で、[バッファ オーバーフロー保 日付、時刻、オーバーフ 護]、[レポート]タブの順にクリックして、[ロ ローを発生させた実行 グの表示]をクリックします。 ファイル、スタック オー バーフローなのかヒープ オーバーフローなのか MirrorLog.txt • Microsoft Windows XP、Microsoft Vista、 日付、時刻、ミラー ファ Microsoft 2000 Server、Microsoft 2003 イルのパス、追加情報 Server、および Microsoft 2008 Server の場合 - C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection • Microsoft Windows 7 の場合 - C:\ProgramData\McAfee\DesktopProtection OnAccessScanLog.txt [タスク]列で、[オンアクセス スキャナ]、[全 日付、時刻、検出された 般設定]、[レポート]タブの順にクリックして、 マルウェア、実行された [ログの表示]をクリックします。 アクション、検出された 内容 OnDemandScanLog.txt メニューから、[タスク]、[ログの表示]の順に 日付、スキャンが実行さ クリックします。 れた時刻、実行されたア クション、対象ファイ ル、検出された内容 UpdateLog.txt • Microsoft Windows XP、Microsoft Vista、 日付、更新時刻、更新を Microsoft 2000 Server、Microsoft 2003 開始したユーザ、更新に Server、および Microsoft 2008 Server の場合 関する情報 - C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection • Microsoft Windows 7 の場合 - C:\ProgramData\McAfee\DesktopProtection サンプル クエリの実行 単純なクエリを実行して、お使いの管理対象システム上で 1 週間に検出された脅威の数を確 認します。このクエリは単なる例です。実行または設定するクエリは、ePolicy Orchestrator データベースから取得しようとしている情報によって異なります。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 次のいずれかの方法で単純な ePolicy Orchestrator クエリを実行します。 • ePolicy Orchestrator 4.5 または 4.6 - [メニュー]、[レポート]、[クエリ] の順にクリックして、[VSE: 週単位での検出した脅威]クエリまでスクロール ダウン して、[実行]をクリックします。 92 McAfee VirusScan Enterprise 8.8 製品ガイド パート IV - 保護状況の監視、分析、および微調整 保護状況の分析 • ePolicy Orchestrator 4.0 - [レポート]、[クエリ]の順にクリックして、[VSE: 週単位での検出した脅威]クエリまでスクロール ダウンして、[実行]をクリックしま す。 2 脅威が検出された場合は、このクエリの出力では以下が表示されます。 • 脅威の数とこれらが発生した週を示す棒グラフ • 同様の情報と脅威の総数を示す表 注意: 棒グラフや表内の情報をクリックすると、 ePolicy Orchestrator データベース のデータが表示されます。 3 [閉じる]をクリックしてクエリ リストに戻ります。 他にもさまざまなデフォルト クエリを実行できるとともに、独自のクエリを作成することも できます。詳細については、ePolicy Orchestrator 製品マニュアルを参照してください。 保護状況の分析 VirusScan Enterprise によって保護されたシステムの保護状況を分析することは、継続的に 実行すべきプロセスであり、システムの保護強化とパフォーマンス向上に役立ちます。 目次 分析の重要性 保護状況の分析例 分析の重要性 保護状況を分析することで、直面している脅威の種類、発生源、検知頻度、およびターゲッ ト システムを特定できます。たとえば、あるシステムが継続的に攻撃されている場合は、お そらく、そのシステムをネットワーク内のより安全な領域に移動して、そのシステムを保護 するためにセキュリティを強化する必要があります。 この分析は次の場合にも役立ちます。 • IT 部門およびマネージャ向けのレポートを作成する。 • スクリプトとクエリを作成するための情報を取得する。 • ネットワーク アクセス時刻と VirusScan Enterprise アップデートのネットワーク使用 状況を監視する。 保護状況の分析例 これらの分析例のステップは、ほとんどの VirusScan Enterprise 保護シナリオを分析する ためのフレームワークとして使用できます。 これらの例では、マルウェアによる突発的な攻撃が発生して、以下を特定する過程を記述し ています。 • 攻撃が発生した場所と時刻 • 攻撃で使用されたマルウェアの種類 • 攻撃がシステムに与えた影響 McAfee VirusScan Enterprise 8.8 製品ガイド 93 パート IV - 保護状況の監視、分析、および微調整 保護状況の分析 タスク ePolicy Orchestrator 4.5 または 4.6 ePolicy Orchestrator 4.0 VirusScan コンソール ePolicy Orchestrator 4.5 または 4.6 この分析例は、ePolicy Orchestrator 4.5 または 4.6 を使用したほとんどの VirusScan Enterprise の保護シナリオを分析するためのフレームワークとして使用されます。 作業の前に この分析例を実行するには、VirusScan Enterprise によって保護されたシステムに直接また はリモートでアクセスできる必要があります。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 攻撃が発生した場所と時刻を特定します。 a [メニュー]、[レポート]、[クエリ]の順にクリックして、[クエリ]ペインを 開きます。 b [高速検索]に「マルウェア」と入力して、[適用]をクリックします。[クエリ] リストに、[マルウェアの検出履歴]クエリが表示されます。 c 該当するクエリを選択して[アクション]、[実行]の順にクリックします。クエリ によって最近の攻撃の数が返されます。 2 攻撃で使用されたマルウェアの種類を確認するには、[メニュー]、[レポート]、[脅 威イベント ログ]の順にクリックして、[脅威イベント ログ]を表示します。 3 ログ イベントをダブルクリックして、ペイン内に詳細ページを表示します。ログ イベ ントから、次のことを特定できます。 • 表示される[脅威ソース IP アドレス]とターゲットは、どのアクションを実行すべ きか特定するのに役立ちます。 • [脅威名]と[脅威タイプ]では、攻撃で使用されたマルウェアが示されます。 • [脅威イベントの説明]では、攻撃がシステムに与えた影響と、脅威に対して実行さ れたアクションが示されます。 ePolicy Orchestrator 4.0 この分析例は、ePolicy Orchestrator 4.0 を使用したほとんどの VirusScan Enterprise の 保護シナリオを分析するためのフレームワークとして使用されます。 作業の前に この分析例を実行するには、VirusScan Enterprise によって保護されたシステムに直接また はリモートでアクセスできる必要があります。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 攻撃が発生した場所と時刻を特定します。 a [レポート]、[クエリ]の順にクリックして、[クエリ]リストを開きます。 94 McAfee VirusScan Enterprise 8.8 製品ガイド パート IV - 保護状況の監視、分析、および微調整 保護状況の分析 b [公開クエリ]リストで、[ePO:マルウェアの検出履歴]を選択して、[その他の アクション]、[実行]の順にクリックします。[クエリ]リストに、[マルウェア の検出履歴]クエリが表示されます。 2 マルウェアの検出をトリガしたイベントを表示するには、[レポート]、[イベント ロ グ]の順にクリックして、クエリによって返される最近の攻撃の数を表示します。 3 ログ イベントをダブルクリックして、ペイン内に詳細ページを表示します。ログ イベ ントから、次のことを特定できます。 • 表示される[脅威ソース IP アドレス]とターゲットは、どのアクションを実行すべ きか特定するのに役立ちます。 • [脅威名]と[脅威タイプ]では、攻撃で使用されたマルウェアが示されます。 • [脅威イベントの説明]では、攻撃がシステムに与えた影響と、脅威に対して実行さ れたアクションが示されます。 VirusScan コンソール この分析例は、VirusScan コンソール を使用したほとんどの VirusScan Enterprise の保護 シナリオを分析するためのフレームワークとして使用されます。 作業の前に この分析例を実行するには、VirusScan Enterprise によって保護されたシステムに直接また はリモートでアクセスできる必要があります。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 [タスク]リストで、[オンアクセス スキャナ]を右クリックして、リストから[統 計]を選択します。[オンアクセス スキャン統計]ダイアログ ボックスが表示されま す。 2 [スキャンの統計]グループで、表示される検出ファイル数をメモします。この数が 0 でない場合は、[プロパティ]クリックして[オンアクセス スキャンのプロパティ]ダ イアログ ボックスを開きます。 3 [レポート]タブをクリックして、[ログの表示]をクリックします。メモ帳のウィン ドウが開いて、OnAccessScanLog.txt ファイルが表示されます。 4 この出力から次のことを確認できます。 • 攻撃で使用されたマルウェアの種類以下に例を示します。 C:\...\eicar.com EICAR テスト ファイル • 攻撃がシステムに与えた影響以下に例を示します。 (検出対象が駆除不能であるため、駆除に失敗) • 脅威に対して実行されたアクション以下に例を示します。 削除しました 5 上記のステップの情報に基づいて、ソースまたはターゲット システムのウイルス保護設 定を変更する必要があるのか、または他のアクションを実行する必要があるのかを判断 します。 McAfee VirusScan Enterprise 8.8 製品ガイド 95 付録 これまでに紹介した以外の設定機能やトラブルシューティング機能を使用して、VirusScan Enterprise による保護を強化できます。これらの機能では、ePolicy Orchestrator コンソー ル、コマンドライン、インターネットなどの使い慣れたツールが使用されます。 目次 ePolicy Orchestrator のサーバ タスクの設定 VirusScan Enterprise でのコマンド ラインの使用 リモート システムへの接続 分析用の脅威サンプルの送信 McAfee ラボの脅威ライブラリへのアクセス トラブルシューティング ePolicy Orchestrator のサーバ タスクの設定 ePolicy Orchestrator で設定されるサーバ タスクを使用すると、お使いのサーバと VirusScan Enterprise ソフトウェアを管理するための自動タスクをスケジュール設定して実行できま す。 VirusScan Enterprise のサーバ タスクは、以下を自動的に生成するように設定できます。 • ポリシーをエクスポート - ポリシー レポートを実行して、ポリシー情報をファイルに 保存します。 • クエリを実行 - 事前設定済みのクエリを実行して(設定されている場合)、その出力を ePolicy Orchestrator ダッシュボードに表示します。 • クエリのエクスポート - 事前設定済みのクエリを実行して、レポートを指定された電子 メール アドレスに送信するか、指定された場所にエクスポートします。 注意: [クエリのエクスポート]機能は、ePolicy Orchestrator 4.5 および 4.6 を使用 している場合にのみ使用できます。 ePolicy Orchestrator サーバには、次の VirusScan Enterprise サーバ タスクがあらかじ めインストールされています。 • VSE: 過去 30 日間の対応状況 - クエリを 1 日に 1 回実行して、McAfee ウイルス対策 ソフトウェアの対応状況を記録します。 • VSE: 過去 24 時間での DAT の採用状況 - クエリを 1 時間に 1 回実行して、McAfee ウイルス対策ソフトウェアの DAT バージョン状況を記録します。 注意: カスタム サーバ タスクの設定の詳細については、該当する ePolicy Orchestrator 製品ガイドを参照してください。 96 McAfee VirusScan Enterprise 8.8 製品ガイド 付録 ePolicy Orchestrator のサーバ タスクの設定 サンプル サーバ タスクの設定 ePolicy Orchestrator の既存の[VSE: 過去 30 日間の対応状況]サーバ タスクを有効化お よび設定するには、次のタスクを実行します。 作業の前に ePolicy Orchestrator の設定を更新するための管理者権限が必要です。 タスク オプションの定義については、インターフェースの[?]をクリックしてください。 1 ePolicy Orchestrator から既存の[サーバ タスク]ページを開きます。 • ePolicy Orchestrator 4.5 または 4.6 - [メニュー]、[自動処理]、[サーバ タスク]の順にクリックします。 • ePolicy Orchestrator 4.0 - [自動処理]、[サーバ タスク]の順にクリックし ます。 2 [名前]列で[VSE: 過去 30 日間の対応状況]タスクを探して、[アクション]列で [編集]をクリックします。[サーバ タスク ビルダ]ページが表示されます。 3 [スケジュール ステータス]の横にある[有効]をクリックし、[次へ]をクリックし ます。[アクション] ページが表示されます。 [1. アクション]の横で、[クエリを実行]がデフォルトで選択されています。 4 [クエリ]の横で、[VSE: バージョン 8.8.0 順守状況]がデフォルトで選択されてい ます。必要に応じて[言語]設定を変更します。 [サブアクション]グループで、次の項目がデフォルトで選択されていることを確認し ます。 • [サブアクション]リスト内の[順守状況イベントを生成] • テキストボックスに「1」が入力された[ターゲット システムの一定値] 5 VirusScan Enterprise のバージョン 8.7 および 8.5 のコンプライアンス アクション をこのサーバ タスクに追加します。 a [1. アクション]行で、プラス記号(+)をクリックして追加のアクション行を開き ます。 b 新しい[2. アクション]行で以下を設定します。 • [2. アクション]の横で、[クエリを実行]をリストから選択します。 • [クエリ]の横で、[VSE: バージョン 8.7 順守状況]をリストから選択します。 • 必要に応じて[言語]設定を変更します。 • [サブアクション]グループで、[順守状況イベントを生成]と、テキストボック スに「1」が入力された[ターゲット システムの一定値]が選択されていることを 確認します。 c [2. アクション]行で、プラス記号(+)をクリックして追加のアクション行を開き ます。 d 新しい[3. アクション]行で以下を設定します。 • [3. アクション]の横で、[クエリを実行]をリストから選択します。 • [クエリ]の横で、[VSE: バージョン 8.5 順守状況]をリストから選択します。 • 必要に応じて[言語]設定を変更します。 McAfee VirusScan Enterprise 8.8 製品ガイド 97 付録 VirusScan Enterprise でのコマンド ラインの使用 • [サブアクション]グループで、[順守状況イベントを生成]と、テキストボック スに「1」が入力された[ターゲット システムの一定値]が選択されていることを 確認します。 6 [次へ] をクリックして、[スケジュール] ページを表示します。 7 [スケジュール タイプ]リストから、このサーバ タスクの実行頻度を選択します。 • [開始日]を設定するか、現在の日付をデフォルトとして使用します。 • [終了日]を設定するか、[終了日を指定しない]をデフォルトとして使用します。 • [スケジュール]を設定するか、デフォルトをそのまま使用するか、クエリを実行す るための別の開始時刻を設定します。 8 [次へ]をクリックして[サマリ]ページを開きます。設定されている情報が正しいこ とを確認します。 9 [保存]をクリックして、[サーバ タスク]ページを再び表示します。 10 [VSE: 過去 30 日間の対応状況]サーバ タスクについて、[ステータス]が有効化さ れていること、および[次回の実行]の日付と時刻の設定が正しいことを確認します。 VirusScan Enterprise でのコマンド ラインの使用 コマンド プロンプトを使用して、VirusScan Enterprise のいくつかの基本的なプロセスを 実行できます。コマンド ラインから、VirusScan Enterprise をインストール、設定、およ び更新できます。コマンド ラインのインストール オプションの詳細については、『VirusScan Enterprise インストール ガイド』を参照してください。 コマンド ラインを使用したスキャン例 すべてのファイルをスキャンして、スキャン結果に基づいてログ ファイルを更新して、完了 時にオンデマンド スキャンのダイアログ ボックスを自動的に閉じるには、次のコマンドを 入力します。 scan32 /all /log /autoexit コマンド ラインを使用した更新例 McAfee Update のダイアログ ボックスを表示することなく、DAT ファイル、スキャン エン ジン、および製品を更新するには、次のコマンドを入力します。 mcupdate /update /quiet オンデマンド スキャンのコマンドライン オプション VirusScan Enterprise は、SCAN32.EXE というオンデマンド スキャナを使用して脅威を検出 します。同じコマンドの SCAN32 をコマンド ラインから実行するか、バッチ ファイルの一部 として実行することで、スキャンを実行できます。 SCAN32 構文では、プロパティと値を分割してはいけないこと以外、要素に特定の順序を必要 としません。この構文は次の要素で構成されます。 • ファイル名 — 実行可能ファイルの名前 : SCAN32.EXE • オプション — オプションの前にはスラッシュ (/) が付き、大文字小文字の区別はありま せん。 このコマンドの書式は次のとおりです。 98 McAfee VirusScan Enterprise 8.8 製品ガイド 付録 VirusScan Enterprise でのコマンド ラインの使用 SCAN32 PROPERTY=VALUE [,VALUE] [/option] 次に scan32.exe コマンドの実行例を示します。 scan32.exe PRIORITY /normal この例の内容は次のとおりです。 • 「PRIORITY」はコマンド値です。 • 「/normal」は値オプションです。 オンデマンド スキャンの値とオプション コマンドライン値 定義とオプション ALL 対象フォルダ内のすべてのファイルをスキャンします。 ALLOLE デフォルト ファイルとすべての Microsoft Office ドキュメントをスキャンします。 ALWAYSEXIT スキャンでエラーが発生または失敗しても、オンデマンド スキャンを強制終了します。 APPLYNVP 不審なプログラム ポリシーで定義された、怪しいプログラムをスキャンします。 ARCHIVE .ZIP、.CAP、.LZH、.UUE ファイルなどのアーカイブ ファイルをスキャンします。 AUTOEXIT 非対話型スキャン終了時にオンデマンド スキャナを終了します。 CLEAN 怪しいプログラムを発見した場合、検出した対象ファイルを駆除します。 CLEANA 不審なプログラムを発見した場合、検出したファイルを駆除します。 CONTINUE 怪しいプログラムを検出した後にスキャンを続行します。 CONTINUE2 怪しいプログラムを検出し、最初のアクションに失敗した後にスキャンを続行します。 CONTINUEA 不審なプログラムを検出した後にスキャンを続行します。 CONTINUEA2 不審なプログラムを検出し、最初のアクションに失敗した後にスキャンを続行します。 DEFEXT パラメータとして指定するファイル拡張子を、スキャンに含まれる選択したファイルの種類 のリストに追加します。 DELETE 怪しいプログラムを発見した場合、検出したファイルを削除します。 DELETE2 怪しいプログラムを発見し、最初のアクションに失敗した場合に、検出したファイルを削除 します。 DELETEA 不審なプログラムが検出された場合にファイルを削除します。 DELETEA2 怪しいプログラムを検出し、最初のアクションに失敗した場合に、ファイルを削除します。 EDIT スキャン プロパティのダイアログ ボックスを表示します。 EXT スキャンに含まれる選択したファイルの種類のリストにある拡張子を、この引数の後にパラ メータとして追加するファイル拡張子と置き換えます。 LOG 以前に指定したログ ファイルに検出レポートのログを記録します。 LOGFORMAT <値> ログ ファイルに指定した形式を使用します。有効な値は、ANSI、UTF8、または UTF16 で す。 LOGSETTINGS スキャンの構成設定をログに記録します。 LOGSUMMARY スキャン結果のサマリをログに記録します。 LOGUSER スキャンを実行するユーザについての識別情報をログに記録します。 MHEUR マクロ ウイルスの Artemis 検出を有効にします。 MIME mime (多目的インターネット メール拡張仕様) でエンコードされたファイルで怪しいプロ グラムを検出します。 McAfee VirusScan Enterprise 8.8 製品ガイド 99 付録 VirusScan Enterprise でのコマンド ラインの使用 コマンドライン値 定義とオプション NOESTIMATE ファイルのスキャンを開始する前にスキャン サイズを計算しません。進行状況を示す棒グ ラフは表示されません。 PHEUR マクロ ウイルス以外の Artemis 検出を有効にします。 PRIORITY 他の CPU 処理と相対してスキャンの優先順位を設定します。次のいずれかのオプションを 指定する必要があります。 • LOW • BELOWNORMAL — ePolicy Orchestrator のデフォルトです。 • NORMAL — VirusScan コンソール のデフォルトです。 注意: 代わりに 1 ~ 100 までの数値パラメータを指定することもできます。この場合、10 は LOW に相当し、50 は BELOWNORMAL に相当し、100 は NORMAL に相当します。 PROMPT 怪しいプログラムを検出した場合、ユーザにアクションを促すメッセージを表示します。 PROMPT2 怪しいプログラムを検出し、最初のアクションに失敗した場合に、ユーザにアクションを促 すメッセージを表示します。 PROMPTA 不審なプログラムを検出した場合、ユーザにアクションを促すメッセージを表示します。 PROMPTA2 不審なプログラムを検出し、最初のアクションに失敗した場合に、ユーザにアクションを促 すメッセージを表示します。 RPTSIZE アラート ログのサイズを MB 単位で設定します。 START スキャンを実行します。プロパティ ダイアログ ボックスは表示しません。 TASK VirusScan コンソールで指定されたオンデマンド スキャン タスクを開始します。次の場所 にあるレジストリに記録された指定タスク ID を指定する追加パラメータが必要です。 hkey_local_machine_\software\McAfee\Desktop\Protection\Tasks UINONE ユーザ インターフェース ダイアログを表示せずにスキャナを起動します。 アップデート タスクのコマンドライン オプション VirusScan Enterprise では、MCUPDATE.EXE を使用してタスクのアップデートを実行します。 同じコマンドの MCUPDATE をコマンド ラインから実行するか、バッチ ファイルの一部として 実行することで、アップデート タスクを実行できます。 MCUPDATE 構文では、プロパティと値を分割してはいけないこと以外、要素に特定の順序を必 要としません。構文は次の要素で構成されます。 • ファイル名 — 実行可能ファイルの名前 : MCUPDATE.EXE • オプション — オプションの前にはスラッシュ (/) が付き、大文字小文字の区別はありま せん。 このコマンドの書式は次のとおりです。 MCUPDATE [/<type> [/TASK <guid>]] [/option]. 注意: 上記の書式で、<type> には ROLLBACKDATS または UPDATE を指定できます。 /TASK 句はオプションです。ただしこの句を指定する場合は、アップデート タスク ID(guid) も指定する必要があります。選択するタスク ID は、アップデート タスクまたは DAT のロー ルバック タスクの ID である必要があります。スキャン ID は選択しないでください。タス ク ID を指定しない場合は、デフォルトのアップデート タスクが使用されます。タスク ID は次の場所にあります。hkey_local_machine\SOFTWARE\McAfee\DesktopProtection\Tasks\ 100 McAfee VirusScan Enterprise 8.8 製品ガイド 付録 リモート システムへの接続 /option 句は必須ではありません。サイレント アップデート タスクを実行するには、/QUIET を使用します。 注意: /QUIET オプションを DAT のロールバック タスクで使用することはできません。次の 例では、サイレント アップデート タスクを実行します。MCUPDATE /UPDATE /QUIET アップデート タスクのオプション コマンドライン オプ 定義 ション ROLLBACKDATS 現在の DAT ファイルを、最後にバックアップしたバージョンにロールバックします。 UPDATE DAT ファイル、スキャン エンジン、製品、または extra.dat のアップデートを実行しま す。 /TASK VirusScan コンソールで指定された AutoUpdate または DAT のロールバック タスクを開 始します。次の場所にあるレジストリに記録されたタスク ID を指定する追加のパラメー タが必要です。 hkey_local_machine\software\McAfee\DesktopProtection\Tasks /QUIET タスクをサイレントに実行します。 リモート システムへの接続 VirusScan Enterprise がインストールされたリモート システムに接続して、スキャン タス クやアップデート タスクの変更やスケジュール設定、またはリモート システム上のオンア クセス スキャナの有効化/無効化などの操作を実行できます。 注意: 管理者権限のないユーザがリモート システムへの接続を試行すると、「必要な権限が ありません。アクセスが拒否されました。」というメッセージが表示されます。 [VirusScan リモート コンソール] を起動すると、接続しているシステムの名前がコンソー ルのタイトル バーに表示されます。ネットワーク上のシステムに接続していない場合には、 タイトル バーにローカル システム名は表示されません。リモート コンソールからタスクの プロパティ ダイアログ ボックスを開くと、プロパティ ダイアログ ボックスのタイトル バーにシステム名が表示されます。 複数のリモート コンソールを開くことができます。[リモート コンピュータに接続]ダイ アログ ボックスを閉じると、リモート システムとの接続も切断されます。 VirusScan Enterprise がインストールされているリモート システム へのアクセス VirusScan Enterprise がインストールされたリモート システムに管理目的のために接続す るには、VirusScan コンソール で[リモート コンソールを開く]オプションを使用します。 タスク オプションの定義については、インターフェースの[ヘルプ]をクリックしてください。 1 VirusScan Enterprise 8.8 コンソールの[ツール]メニューから、[リモート コンソー ルを開く]を選択します。 McAfee VirusScan Enterprise 8.8 製品ガイド 101 付録 分析用の脅威サンプルの送信 2 [コンピュータに接続]の下で、管理するシステムの名前を入力し、リストからシステ ムを選択するか、 [参照]をクリックしてネットワーク上のシステムを探して選択しま す。 注意: リモート タスク用にファイルまたはフォルダのパス名を設定するときに環境変数 を使用する場合は、リモート システム上にその環境変数が存在することを確認してくだ さい。VirusScan Enterprise 8.8 コンソールでは、リモート システム上の環境変数を 確認することはできません。 3 [OK] をクリックして対象のシステムへの接続を試行します。 リモート システムに接続すると、次のことが起こります。 • タイトル バーにはそのシステムの名前が表示されます。 • コンソールはリモート システムのレジストリを読み込み、リモート システムのタス クを表示します。 • リモート システム用のタスクを追加、削除、再設定することができます。 分析用の脅威サンプルの送信 現在の DAT ファイルを使用して、スキャナが潜在的な脅威を検出できなかった場合や脅威で ないものを誤検出した場合は、そのサンプルを WebImmune を通じて McAfee ラボに送信でき ます。McAfee ラボはそのサンプルを分析して、それを次回の DAT ファイルに含めるか、ま たは次回の DAT ファイルから除外するかを検討します。 McAfee ラボにサンプルを送信するには、WebImmune Web サイト経由、電子メール、または郵 送という 3 つの方法があります。 WebImmune 1 VirusScan コンソールから、[ヘルプ]、[サンプルの送信]の順に選択してこの Web サイトにアクセスします。Web サイトは次の場所にあります。 https://www.webimmune.net/default.asp 2 フリー アカウントにログオンするか、またはフリー アカウントを作成します。 3 分析を依頼するファイルを McAfee ラボの自動システムに直接アップロードします。さ らに調査が必要な場合、アイテムは McAfee Labs の分析担当者にエスカレーションされ ます。 電子メール 分析を依頼する電子メールを McAfee ラボの自動システムに直接送信してください。さらに 調査が必要な場合、アイテムは McAfee ラボの分析担当者にエスカレーションされます。 グローバル電子メール アドレスは virus_research@avertlabs.com です。 注意: WebImmune の Web サイトから、その他のリージョナル アドレスを取得することもで きます。 郵便 WebImmune の Web サイトから送付先情報を取得してください。 注意: この方法は、サンプル解析の所要時間が最も長くなるため、あまりお勧めできません。 102 McAfee VirusScan Enterprise 8.8 製品ガイド 付録 McAfee ラボの脅威ライブラリへのアクセス McAfee ラボの脅威ライブラリへのアクセス VirusScan Enterprise 8.8 コンソールから McAfee ラボの脅威ライブラリにアクセスするに は、[ヘルプ]メニューから[McAfee Labs 脅威ライブラリ]を選択します。お使いのイン ターネット ブラウザが開いて、http://vil.nai.com/vil/default.aspx に接続されます。 トラブルシューティング McAfee のテクニカル サポートに連絡する前に、このセクションの情報をお読み下さい。こ のセクションでは、VirusScan Enterprise の設定をトラブルシューティングするためのプロ セスとツール、およびよく寄せられる質問を紹介しています。 製品インストール内容の修復 場合によっては、デフォルト設定を復元したりプログラム ファイルを再インストールしたり するために、VirusScan Enterprise のインストール内容を修復することが必要になります。 この操作は、VirusScan コンソール またはコマンドラインから実行できます。 VirusScan コンソール の使用 [修復インストール]ユーティリティを使用するには、VirusScan Enterprise 8.8 コンソー ルから[ヘルプ]、[修復インストール]の順に選択します。 注意: この機能は ePolicy Orchestrator コンソールからは使用できません。 オプション すべての設定をデフォルトに戻す 定義 VirusScan Enterprise のデフォルトのインストール設定を復元しま す。 警告: インストール後に変更した設定は無効になります。 アプリケーション ファイルをすべて再イ ンストールする VirusScan Enterprise のアプリケーション ファイルを再インストー ルします。 警告: HotFix、パッチ、およびサービス パックは上書きされることが あります。 コマンド ラインでの SETUPVSE.exe の使用 コマンド ラインから SETUPVSE.exe コマンドを使用して VirusScan Enterprise を修復また は再インストールするには、次のコマンドを使用します。 注意: REINSTALLMODE のコマンド ライン パラメータ オプションについては、 http://msdn.microsoft.com/en-us/library/aa371182(VS.85).aspx で「REINSTALLMODE Property」を参照してください。 説明 コマンド プログラム ファイルのみをインストール SETUPVSE.exe REINSTALLMODE=sec /q レジストリ ファイルのみをインストール SETUPVSE.exe REINSTALLMODE=secum /q プログラム ファイルとレジストリ ファ SETUPVSE.exe REINSTALLMODE=amus /q イルの両方をインストール McAfee VirusScan Enterprise 8.8 製品ガイド 103 付録 トラブルシューティング コマンド ラインでの msiexec.exe の使用 コマンド ラインから msiexec.exe コマンドを使用して VirusScan Enterprise を修復また は再インストールするには、次のコマンドを使用します。 注意: msiexec.exe のコマンド ライン オプションについては、 http://support.microsoft.com/kb/314881 で「The Command-Line Options for the Microsoft Windows Installer Tool Msiexec.exe」を参照してください。 説明 コマンド プログラム ファイルのみをインストール msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=sa /q REBOOT=R レジストリ ファイルのみをインストール msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=mu /q REBOOT=R プログラム ファイルとレジストリ ファ msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=samu イルの両方をインストール /q REBOOT=R オンアクセス動作ログ ファイルの表示 VirusScan コンソール のオンアクセス動作ログ ファイルには、更新履歴、脅威の活動履歴、 および VirusScan Enterprise の対処内容の履歴が記録されています。これらの情報は、自 動更新動作とポリシーの設定をトラブルシューティングする際に役立ちます。 オンアクセス動作ログ ファイルにアクセスするには、次のいずれかの手順を実行してくださ い。 注意: オンアクセス動作ログ ファイルの作成を有効にしている必要があります。オンアクセ ス動作ログ ファイルを有効にするには、「全般設定」を参照してください。 タスク オプションの定義については、各タブで[ヘルプ]をクリックしてください。 104 1 [タスク]リストで、[オンアクセス スキャナ]を右クリックして、[プロパティ]を クリックしてダイアログ ボックスを開きます。 2 [オンアクセス スキャンのプロパティ]ダイアログ ボックスで、[レポート]タブを クリックして、[ログの表示]をクリックします。メモ帳のウィンドウが開いて、 OnAccessScanLog.txt ファイルが表示されます。次にこのログ ファイルの出力例を示し ます。 3 次の表では、上記の OnAccessScanLog.txt ファイル例のデータを説明しています。 ログ エントリの例 説明 4/27/2010 日付 1:35:47 PM 時刻 Cleaned/Deleted/No Action Taken 実行されたアクション McAfee VirusScan Enterprise 8.8 製品ガイド 付録 トラブルシューティング ログ エントリの例 説明 更新されたファイル = バージョン、または (Clean failed because... アクションの説明 SRVR\user 資格情報 C:\WINDOWS\system32\NOTEPAD.EXE C:\temp\eicar.com 脅威ファイルのパスと名前 EICAR test file (Test) ファイルの説明 同様の情報を ePolicy Orchestrator のクエリを使用して取得できます。詳細については、 「クエリおよびダッシュボードへのアクセス」を参照してください。 トラブルシューティング時の MER ツールの使用 最小エスカレーション要件(MER)ツールは、McAfee VirusScan Enterprise および他の McAfee 製品のデータをコンピュータから収集します。このデータを使用して、McAfee テク ニカル サポートはユーザ側で発生している問題を分析して解決できます。 WebMER ツールは、次のいずれかのファイル形式でダウンロードできます。 • EXE • ZIP • ProtectedZip WebMER ツールによって次のような情報が収集されます。 • レジストリの詳細情報 • ファイル バージョンの詳細情報 • ファイル • イベント ログ • プロセスの詳細情報 WebMER ツールを使用するには、以下を実行する必要があります。 • https://kc.mcafee.com/corporate/index?page=content&id=TU30146 にアクセスして 『Obtaining Minimum Escalation Requirements using McAfee WebMER』チュートリアル を参照してください。 • http://mer.mcafee.com からこのツールをダウンロードしてインストールしてください。 注意: ePolicy Orchestrator によって配備可能なバージョンも提供されています。この バージョンでは、ePolicy Orchestrator コンソールを使用して MER をクライアント コ ンピュータ上で実行して、McAfee 製品の問題を診断する際にログと情報を収集します。 ePolicy Orchestrator 4.x(v2.0)用の McAfee MER は http://mer.mcafee.com/enduser/downloadepomer.aspx からダウンロードしてください。 • このツールを実行して、その出力を McAfee テクニカル サポートに送信してください。 トラブルシューティング時の VirusScan Enterprise の無効化 システムで発生した問題が、VirusScan Enterprise で実行中のプロセスに関連している可能 性がある場合は、そのシステム問題が解消されるまで、VirusScan Enterprise の機能を意図 McAfee VirusScan Enterprise 8.8 製品ガイド 105 付録 トラブルシューティング 的に無効にできます。または少なくとも、その問題の原因として VirusScan Enterprise を 排除できます。 警告: トラブルシューティング後に、マルウェアに対する保護機能を完全な状態に戻すため に VirusScan Enterprise を再設定または復元する必要があります。 VirusScan Enterprise の機能を意図的に無効化するには、次の 8 つのステップからなるプ ロセスを実行します。 1 バッファ オーバーフロー保護の無効化 2 アクセス保護の無効化 3 ScriptScan の無効化 4 オンアクセス スキャンの無効化 5 オンアクセス スキャンの無効化後に再起動 6 MFEVTP の読み込み防止後に再起動 7 mfehidk.sys ファイルの名前変更後に再起動 8 製品の削除後に再起動 以下のセクションでは、これらの 8 つのステップのそれぞれを説明しています。VirusScan コンソール のオプションの定義については、インターフェースの[ヘルプ]をクリックして ください。 バッファ オーバーフロー保護の無効化 バッファ オーバーフロー保護を無効にするには、次の手順を実行してください。 1 VirusScan コンソール の[タスク]リストで、[バッファ オーバーフロー保護]を右 クリックして、[プロパティ]をクリックします。 2 [プロパティ]ダイアログ ボックスで、[バッファ オーバーフロー保護の有効にする] を選択解除して、[OK]をクリックします。 3 システムで発生している問題はバッファ オーバーフロー保護を無効にすることで解決さ れましたか。 • はい - McAfee テクニカル サポート ServicePortal(http://mysupport.mcafee.com) にアクセスして解決策を検索するか、McAfee テクニカル サポートに連絡してくださ い。 • いいえ - システムで発生している問題はおそらくこの機能と関係ありませんでし た。 アクセス保護の無効化 アクセス保護を無効にするには、次の手順を実行してください。 1 VirusScan コンソール の[タスク]リストで、[アクセス保護]をダブルクリックし て、[アクセス保護のプロパティ]ダイアログ ボックスを開きます。 2 [アクセス保護]タブをクリックして、[アクセス保護の有効化]を選択解除して、 [OK]をクリックします。 3 システムで発生している問題はアクセス保護を無効にすることで解決されましたか。 • はい - McAfee テクニカル サポート ServicePortal(http://mysupport.mcafee.com) にアクセスして解決策を検索するか、McAfee テクニカル サポートに連絡してくださ い。 • いいえ - システムで発生している問題はおそらく VirusScan Enterprise と関係あ りませんでした。 106 McAfee VirusScan Enterprise 8.8 製品ガイド 付録 トラブルシューティング ScriptScan の無効化 ScriptScan を無効にするには、次の手順を実行してください。 1 VirusScan コンソール の[タスク]リストで、[オンアクセス スキャナ]を右クリッ クして、[オンアクセス スキャンのプロパティ]ダイアログ ボックスを開きます。 2 [ScriptScan]タブをクリックして、[スクリプトのスキャンを有効にする]を選択解 除して、[OK]をクリックします。 3 システムで発生している問題は ScriptScan を無効にすることで解決されましたか。 • はい - McAfee テクニカル サポート ServicePortal(http://mysupport.mcafee.com) にアクセスして解決策を検索するか、McAfee テクニカル サポートに連絡してくださ い。 • いいえ - システムで発生している問題はおそらく VirusScan Enterprise と関係あ りませんでした。 オンアクセス スキャンの無効化 オンアクセス スキャンを無効にするには、次の手順を実行してください。 1 アクセス保護を無効にします。VirusScan コンソール の[タスク]リストで、[アクセ ス保護]を右クリックして、[無効]を選択します。 2 次の手順に従って、[サービス]アプレットで McShield のスタートアップの種類を[無 効]に変更します。 • [スタート]、[コントロール パネル]、[管理ツール]、[サービス]の順にク リックして、[サービス]アプレットを開きます。 • [サービス (ローカル)]で、スクロール ダウンして[McAfee McShield]を表示し て、この項目を右クリックして[McAfee McShield のプロパティ]ダイアログ ボッ クスを開きます。 • [全般]タブをクリックして、[スタートアップの種類]リストで[無効]をクリッ クして、[OK]をクリックします。 3 VirusScan コンソール の[タスク]リストで、[オンアクセス スキャナ]を右クリッ クして、表示されるリストから[無効]をクリックします。[オンアクセス スキャナ] アイコンが変化して、斜線付きの丸印が追加されて、その機能が無効になったことが示 されます。 4 システムで発生している問題はオンアクセス スキャンを無効にすることで解決されまし たか。 • はい - McAfee テクニカル サポート ServicePortal(http://mysupport.mcafee.com) にアクセスして解決策を検索するか、McAfee テクニカル サポートに連絡してくださ い。 • いいえ - システムで発生している問題はおそらくこの機能と関係ありませんでし た。 オンアクセス スキャンの無効化後に再起動 オンアクセス スキャンを無効にしてからシステムを再起動するには、次の手順を実行してく ださい。 注意: 次の手順では、前のセクションでオンアクセス スキャンを無効にした後に再び有効に していないことを前提としています。 1 システムを完全にシャットダウンしてから再起動します。 McAfee VirusScan Enterprise 8.8 製品ガイド 107 付録 トラブルシューティング 2 システムで発生している問題は、オンアクセス スキャンの無効化後にシステムを再起動 することで解決されましたか。 • はい - McAfee テクニカル サポート ServicePortal(http://mysupport.mcafee.com) にアクセスして解決策を検索するか、McAfee テクニカル サポートに連絡してくださ い。 • いいえ - システムで発生している問題はおそらくこの機能と関係ありませんでし た。 MFEVTP の読み込み防止後に再起動 McAfee の McAfee Validation Trust Protection Service (MFEVTP)の読み込みを防止して から、システムを再起動するには、次の手順を実行してください。 警告: このセクションにはレジストリの表示または変更に関する情報が記載されています。 • 次の情報はシステム管理者を対象にしています。レジストリの変更は元に戻すことができ ず、間違った値に変更するとシステムが正常に動作しなくなる可能性があります。 • 作業を開始する前に、McAfee では、レジストリをバックアップして、復元プロセスを理 解しておくことを強くお勧めします。詳細については、 http://support.microsoft.com/kb/256986 を参照してください。 • 正規のレジストリ インポート ファイルであることが確認されていない .REG ファイルを 実行しないでください。 1 コマンド ラインから、「regedit」と入力してレジストリ エディタを開きます。 2 次のレジストリ項目に移動します。 [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mfevtp] 3 右側のペインで、[Start]を右クリックして[修正]をクリックし、[DWORD 値の編 集]ダイアログ ボックスを開きます。 4 [値のデータ]に「4」と入力して、[OK]をクリックします。 5 システムで発生している問題は、MFEVTP の読み込み防止後にシステムを再起動すること で解決されましたか。 • はい - McAfee テクニカル サポート ServicePortal(http://mysupport.mcafee.com) にアクセスして解決策を検索するか、McAfee テクニカル サポートに連絡してくださ い。 • いいえ - システムで発生している問題はおそらくこの機能と関係ありませんでし た。 mfehidk.sys ファイルの名前変更後に再起動 mfehidk.sys ファイルの名前を変更してからシステムを再起動するには、次の手順を実行し てください。 1 お使いのオペレーティング システムに応じて、次のいずれかのフォルダにある mfehidk.sys ファイルにアクセスします。 • 32 ビット版オペレーティング システムの場合 - %windir%\System32\drivers • 64 ビット版オペレーティング システムの場合 - %windir%\System64\drivers 108 2 ファイル名を mfehidk.sys から、たとえば mfehidk.sys.saved に変更します。 3 システムを再起動することで、VirusScan Enterprise を停止して、mfehidk.sys ファイ ルを読み込むことなく VirusScan Enterprise を再始動します。 4 システムで発生している問題は、mfehidk.sys ファイルの名前変更後にシステムを再起 動することで解決されましたか。 McAfee VirusScan Enterprise 8.8 製品ガイド 付録 トラブルシューティング • はい - McAfee テクニカル サポート ServicePortal(http://mysupport.mcafee.com) にアクセスして解決策を検索するか、McAfee テクニカル サポートに連絡してくださ い。 • いいえ - システムで発生している問題はおそらく VirusScan Enterprise と関係あ りませんでした。 製品の削除後に再起動 VirusScan Enterprise を完全に削除してから、システムを再起動するには、次の手順を実行 してください。 1 VirusScan Enterprise のプログラム ファイルを削除します。詳細については、『McAfee VirusScan Enterprise 8.8 インストール ガイド』を参照してください。 2 システムを再起動することで、オペレーティング システムを停止して、VirusScan Enterprise がインストールされていない状態でオペレーティング システムを再起動し ます。 3 システムで発生している問題は、VirusScan Enterprise のプログラム ファイルを完全 に削除した後にシステムを再起動することで解決されましたか。 • はい - システムで発生している問題はおそらく VirusScan Enterprise と関係があ りました。 • いいえ - McAfee テクニカル サポート ServicePortal (http://mysupport.mcafee.com)にアクセスして解決策を検索するか、McAfee テク ニカル サポートに連絡してください。 推奨のサポート ツールとトラブルシューティング ツール VirusScan Enterprise のグローバル管理者は、システムのセキュリティとパフォーマンスを トラブルシューティングおよび評価するのに役立つツールをインストールして設定すること をお勧めします。McAfee テクニカル サポートに連絡したときは、設定のトラブルシューティ ング時にこれらのツールのいくつかを実行することを求められることがあります。これらの ツールは、以下の表に示すインターネット サイトからダウンロードできます。 McAfee のツール 次の表では、McAfee のサイトからダウンロードできるサポート ツールとトラブルシューティ ング ツールを示しています。 ツール ダウンロード サイト MER ツール WebMER ProcessCounts McAfee サポートにより提供 SuperDAT Manager McAfee サポートにより提供 McAfee Profiler McAfee サポートにより提供 McAfee 以外のツール 次の表では、サポート ツールとトラブルシューティング ツール、およびそれらの実行ファ イルとダウンロード サイトを示しています。 ツール 実行ファイル ダウンロード サイト Driver Verifier Verifier Microsoft.com McAfee VirusScan Enterprise 8.8 製品ガイド 109 付録 トラブルシューティング ツール 実行ファイル ダウンロード サイト Performance Monitor PerfMon Microsoft.com Pool Monitor PoolMon Microsoft.com Process Monitor ProcMon Microsoft.com Process Explorer ProcExp Microsoft.com Process Dump ProcDump Microsoft.com Windows Object Viewer WinObj Microsoft.com TCP Viewer TCPView Microsoft.com Debug Output Viewer DebugView Microsoft.com Windows Debugger WinDbg Microsoft.com Kernel Rate Viewer KrView Microsoft.com Windows Performance Analysis Tools Xperf Microsoft.com VM Converter 不特定 Vmware.com WireShark wireshark Wireshark.org よく寄せられる質問 このセクションには、よくある質問の形式でトラブルシューティング情報が記載されていま す。 インストール • 質問: サイレント インストール方式でソフトウェアをインストールしましたが、Windows システム トレイに VirusScan Enterprise のアイコンがありません。 回答: システムを再起動するまでシステム トレイにアイコン シールドは表示されませ ん。ただし、アイコンが表示されていなくても VirusScan Enterprise は実行されてお り、システムは保護されています。これは、次のレジストリ キーを調べて確認します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ ShStatEXE="C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE"/STANDALONE. • 質問: ネットワーク上で独自の設定を構成できるユーザと、構成できないユーザがいるの はなぜですか。 回答: 管理者が、タスクをパスワードで保護するようにユーザ インターフェースを設定 している可能性があります。その場合、ユーザは設定を変更できません。さらに、使用す る Windows オペレーティング システムが異なっていると、ユーザの権限も異なります。 ユーザの権限については、使用している Microsoft Windows のドキュメントを参照して ください。 ブロックされたアプリケーション • 質問: VirusScan Enterprise をインストールしたら、アプリケーションの 1 つが動作し なくなりました。 回答: そのアプリケーションはアクセス保護ルールによってブロックされている可能性が あります。 1 110 アクセス保護ログ ファイルを調べて、そのアプリケーションがルールによってブロッ クされたかどうかを確認してください。 McAfee VirusScan Enterprise 8.8 製品ガイド 付録 トラブルシューティング 2 アプリケーションがログに記載されていることがわかったら、そのアプリケーション を除外アイテムとしてルールに入力するか、ルールを無効にすることができます。詳 細については、「システムのアクセス ポイントの保護」を参照してください。 Cookie の検出 • 質問: オンデマンド スキャンの動作ログで Cookie の検出を確認すると、検出のファイ ル名がすべて 00000000.ie となっていました。他のアプリケーションでは Cookie の検 出ごとに個別のファイル名や数字が増えるファイル名が割り当てられるのに、VirusScan Enterprise では、オンデマンド スキャンによる Cookie の検出すべてに同じファイル名 が割り当てられるのはなぜですか。 回答: VirusScan Enterprise では、オンデマンド スキャンで Cookie の検出が行われ てアクションが実行される方法のために、それぞれの Cookie の検出に同じファイル名が 割り当てられます。この動作が適用されるのは、オンデマンド スキャンで検出された Cookie だけです。1 つの Cookie ファイルには、多数の Cookie が含まれている可能性 があります。スキャン エンジンは Cookie ファイルをアーカイブとして扱い、ファイル の先頭からのオフセットとして、(ゼロから始まる) 1 つの値を割り当てます。スキャナ では、スキャン エンジンを使用して Cookie の検出が行われ、スキャンを続行する前に、 検出された Cookie ごとにアクションが実行されるため、それぞれの検出に対して値がゼ ロから付け直されます。この結果、すべての検出にファイル名として 00000000.ie が割 り当てられます。他の製品は、すべての Cookie を検出し、それぞれに個別のファイル名 または数字が増えるファイル名を割り当ててから、各検出に対してアクションを実行しま す。 全般 • 質問: 現在使用しているスタンドアロンの VirusScan Enterprise システムでは、シス テム トレイ内のシステム アイコンが無効化されているようです。 回答: VirusScan Enterprise アイコンの上に赤い円と線がある場合は、オンアクセス ス キャナが無効になっていることを意味します。一般的な原因と解決策を次に示します。こ れらのどの方法でも問題が解決されない場合は、テクニカル サポートに問い合わせてく ださい。 1 オンアクセス スキャナが有効になっていることを確認します。システム トレイの VirusScan Enterprise アイコンを右クリックします。オンアクセス スキャナが無効 になっている場合は、[OA スキャンの有効化] をクリックします。 2 McShield サービスが実行されていることを確認します。 • コントロール パネルの [サービス] から手動でサービスを開始します。 • [スタート] メニューから [ファイル名を指定して実行] を選択し、「Net Start McShield」と入力します。 • コントロール パネルの [サービス] で、サービスが自動的に開始されるように設 定します。 • 質問: CATALOG.Z をダウンロードできないというエラーが表示されます。 回答: このエラーにはさまざまな原因が考えられます。問題の原因を特定するのに役立つ ヒントをいくつか示します。 • アップデートのために既定の McAfee ダウンロード サイトを使用している場合は、Web ブラウザから CATALOG.Z ファイルをダウンロードできるかどうか確認します。次の Web サイトからファイルをダウンロードできるかどうか試してみてください。 http://update.nai.com/Products/CommonUpdater/catalog.z McAfee VirusScan Enterprise 8.8 製品ガイド 111 付録 トラブルシューティング • ファイルをダウンロードできない場合でも、ファイルが見られる (言い換えれば、ファ イルのダウンロードがブラウザによって許可されない) 場合は、プロキシに関する問題 があります。ネットワーク管理者に相談してください。 • ファイルをダウンロードできる場合は、VirusScan Enterprise でもダウンロードでき るはずです。インストールされている VirusScan Enterprise のトラブルシューティン グについて、テクニカル サポートに問い合わせてください。 • 質問: HTTP ダウンロード サイトの場所はどこですか。 回答: • McAfee ダウンロード サイトの場所は次のとおりです。 http://www.mcafee.com/us/downloads/ • 最新のアップデートが含まれる CATALOG.Z ファイルは、次の Web サイトからダウン ロードできます。http://update.nai.com/Products/CommonUpdater/catalog.z • 質問: FTP ダウンロード サイトの場所はどこですか。 回答: • FTP ダウンロード サイトの場所は次のとおりです。 ftp://ftp.mcafee.com/pub/antivirus/datfiles/4.x • 最新のアップデートが含まれる CATALOG.Z ファイルは、次のサイトからダウンロード できます。ftp://ftp.mcafee.com/CommonUpdater/catalog.z • 質問: [アクションを指定] を選択していて、不審なプログラムが実際に検出された場合 は、どのアクション ([駆除] または [削除]) を選択すべきですか。 回答: 一般的には、検出されたファイルをどうするか自信がない場合は、[ウイルスを駆 除] を選択することをお勧めします。オンアクセス スキャナまたはオンデマンド スキャ ナは、アイテムが駆除または削除される前に、それらのアイテムを自動的に検疫ディレク トリにバックアップします。 112 McAfee VirusScan Enterprise 8.8 製品ガイド 索引 記号 [アクション] タブ、VirusScan Enterprise オンアクセス スキャン 62, 64 オンデマンド スキャン 71 配信時の電子メール スキャン 75, 77 [スキャン アイテム] タブ、VirusScan Enterprise オンアクセス スキャン 56, 62, 64 ePolicy Orchestrator 4.0 を使用した不審なプログラム ポリ シーの設定 42 ePolicy Orchestrator 4.5 または 4.6 を使用した不審なプロ グラム ポリシーの設定 41 VirusScan コンソールを使用した不審なプログラム ポリシーの 設定 42 オンアクセス スキャン 56, 62, 64 オンデマンド スキャン 71 配信時の電子メール スキャン 75, 77 不審なプログラム ポリシー 41 [スキャンする場所] タブ、VirusScan Enterprise 71 [スクリプトスキャン] タブ、VirusScan Enterprise オンアクセス スキャン 59 [パフォーマンス] タブ、VirusScan Enterprise オンデマンド スキャン 71 [プロセス] タブ、VirusScan Enterprise オンアクセス スキャン 62, 64 [ブロック] タブ、VirusScan Enterprise オンアクセス スキャン 59 [メッセージ] タブ、VirusScan Enterprise オンアクセス スキャン 59 [レポート] タブ、VirusScan Enterprise オンアクセス スキャン 59 オンアクセス スキャン統計 95 オンデマンド スキャン 71 配信時の電子メール スキャン 75, 77 [除外] タブ、VirusScan Enterprise オンアクセス スキャン 62, 64 オンデマンド スキャン 71 [全般] タブ、VirusScan Enterprise オンアクセス スキャン 59 A AccessProtectionLog.txt、動作ログ 91 Alert Manager アクセス違反 26 アラートの設定 84 イベント 26 anti-spyware rules アクセス保護の設定 28 Artemis VirusScan Enterprise のコンポーネントの概要 10 概要 57 不審なファイルのヒューリスティック ネットワーク チェック 10 AutoUpdate VSE アップデートの方法 46 McAfee VirusScan Enterprise 8.8 製品ガイド AutoUpdate (続き) プロセスの概要 47 リポジトリ リスト 50 リポジトリ、接続 47 設定 48 要件 46 B BufferOverflowProtectionLog.txt、動作ログ 91 C CATALOG.Z ファイル トラブルシューティング 110 暗号化されたアップデート 47 comon protection rules アクセス保護の設定 28 D DAT のロールバック、VirusScan Enterprise 51 DAT ファイル EXTRA.DAT ファイル、アップデート 47 VirusScan Enterprise のコンポーネントの概要 10 アップデート タスク、概要 47 アップデートの重要性 46 アップデート方法 46 スクリプト スキャンおよび 57 ロールバック、概要 51 ロールバック、設定 51 概要 45 検出と定義されたアクション 78 検出定義 45 配備のスケジュール設定 46 DAT リポジトリ VirusScan Enterprise のコンポーネントの概要 10 E ePolicy Orchestrator DAT ファイルの取得 45 サポートされるバージョン 9 VirusScan Enterprise のコンポーネント 10 サーバ タスク、サンプルの設定 97 サーバ タスク、概要 96 ePolicy Orchestrator 4.0 AutoUpdate タスクの設定 48 オンデマンド スキャン タスクの設定 70 クエリおよびダッシュボードへのアクセス 87 ミラー タスクの設定 49 脅威からの保護状況の分析例 94 ePolicy Orchestrator 4.5 および 4.6 AutoUpdate タスクの設定 48 オンデマンド スキャン タスクの設定 70 クエリおよびダッシュボードへのアクセス 87 ミラー タスクの設定 49 脅威からの保護状況の分析例 94 113 索引 EXTRA.DAT ファイル(緊急 DAT を参照) 47, 88 M McAfee Agent VirusScan Enterprise のコンポーネントの概要 10 アイコンによるバージョン表示 15 McAfee Labs サンプルの送信 80, 102 Artemis からのフィンガープリントの送信 57 VirusScan Enterprise のコンポーネントの概要 10 アクセス 13 脅威ライブラリへのアクセス 103 McAfee ServicePortal、アクセス 8 McAfee Validation Trust Protection Service、トラブルシューティ ング時に無効化 105 McAfee 本部、VirusScan Enterprise のコンポーネント 10 MER ツール(最小エスカレーション要件ツールを参照) 105 mfehidk.sys ファイル、トラブルシューティング時に名前変更 105 MFEVTP(McAfee Validation Trust Protection Service を参照) 105 MirrorLog.txt、動作ログ 91 msiexec.exe、コマンド インストール コマンド 103 O OnAccessScanLog.txt、動作ログ 91 OnDemandScanLog.txt、動作ログ 91 P PUP(不審なプログラムを参照) 40 S ScriptScan、トラブルシューティング時に無効化 105 SDAT(SuperDAT パッケージを参照) 88 ServicePortal、製品マニュアルの検索 8 SETUPVSE.exe、コマンド インストール コマンド 103 SITELIST.XML(リポジトリ リストを参照) 50 SuperDAT パッケージ ePolicy Orchestrator リポジトリへのインストール 89 ダウンロード 89 概要 88 U UpdateLog.txt、動作ログ 91 V VirusScan Enterprise インストール内容の修復 103 トラブルシューティング時に削除 105 アクセス保護 25, 26 アップデート 46, 47 アップデート、要件 46 オンアクセス スキャン 55, 80 オンデマンド スキャン 67, 68 ユーザ インターフェース セキュリティ 22 初期設定 18 除外対象、追加と除外 52 製品の概要 9 全般設定、ePolicy Orchestrator 4.0 を使用した設定 60 全般設定、ePolicy Orchestrator 4.5 または 4.6 を使用した 設定 59 全般設定、VirusScan コンソールを使用した設定 61 全般設定、設定 59 114 McAfee VirusScan Enterprise 8.8 製品ガイド VirusScan Enterprise (続き) 通知およびアラート 84 電子メール スキャン 75 不審なプログラム ポリシー 40 未使用ルールの削除 35, 36 VirusScan コンソール 右クリック機能 14 概要 13 脅威の分析 95 W WebImmune Web サイト 102 Windows ファイル保護、除外対象 52 Windows エクスプローラ 右クリック機能 14 あ アイコン、システム トレイ 15 アクション、VirusScan Enterprise アクセス違反 26 アクセス保護 79 オンアクセス スキャン 78, 80 オンデマンド スキャン 71, 81 バッファ オーバーフロー検出 79 隔離アイテム 81 脅威への対応 87, 91 電子メール スキャン 81 不審なプログラム 79 アクセス保護 トラブルシューティング時に無効化 105 アクセス違反 26 ウイルス対策ルールと共通ルール 28 はじめに 25 ファイルとフォルダのブロック ルール 33 プロセスの除外 34 プロトコル、制限 27 ポートのブロック ルール 33 ポリシー、概要 27 ユーザ定義ルール 25, 27, 30, 31, 32 ルールのタイプ 25 レジストリのブロック ルール 34 ログ レポートの例 21 仮想マシン保護 25 概要 20, 25 共通ルール 25 脅威の例 21 検出とアクション 79 設定済みのルール 25 標準の保護と最大の保護 25 未使用ルールの削除 35, 36 アップデート タスク、コマンド ライン オプション 100 アップデート、VirusScan Enterprise AutoUpdate 47 アップデート サイト 47 アップデート タスク 46 タスク 46 プロセスの概要 47 方法 46 要件 46 アドウェア(不審なプログラムを参照) 40 アラート、VirusScan Enterprise オンアクセス スキャン 55 オンデマンド スキャン 71 概要 84 索引 アラート、VirusScan Enterprise (続き) 設定 84 電子メール スキャン 75 い イベント、VirusScan Enterprise Alert Manager 26 アクセス違反 26 う ウイルス対策ルール アクセス保護の設定 28 設定済みのアクセス保護 25 キャッシュ (続き) ePolicy Orchestrator 4.5 または 4.6 を使用した設定 73 VirusScan コンソールを使用した設定 74 概要 73 キャッシュ、設定 73 く クエリ、VirusScan Enterprise ePO ナビゲーション バーからのアクセス、レポート 87 事前に定義された、リスト 87 動作の監視 87, 91 クライアント システム、VirusScan Enterprise のコンポーネント 10 こ え エンジンのアップデート AutoUpdate、プロセスの概要 47 重要性 46 方法 46 お オンアクセス スキャン ePolicy Orchestrator 4.0 を使用した設定 63 ePolicy Orchestrator 4.5 および 4.6 を使用した設定 62 VirusScan コンソールを使用した設定 64 トラブルシューティング時に無効化 105 動作ログ ファイル 104 スキャン ポリシー 58 スキャン ポリシーの数の決定 58 スクリプト スキャン 57 ディスクからの読み取りとディスクへの書き込み 56, 57 プロセス設定 62 概要 55 検出とアクション 78, 80 全般定とプロセス設定 59 不審なプログラム、ePolicy Orchestrator 4.0 を使用した有効 化 44 不審なプログラム、ePolicy Orchestrator 4.5 または 4.6 を 使用した有効化 43 不審なプログラム、VirusScan コンソールを使用した有効化 45 不審なプログラム、概要 43 オンアクセス スキャン メッセージ アラート 55 オンデマンド スキャナ 不審なプログラム、設定(オンデマンド スキャン タスクの設 定を参照) 40 オンデマンド スキャン コマンド ライン オプション 98 ePolicy Orchestrator 4.0 を使用した設定 70 ePolicy Orchestrator 4.5 または 4.6 を使用した設定 70 VirusScan コンソールを使用した設定 71 インクリメンタル、再開可能、メモリ内 68 システム使用率 69 スキャンの遅延 69 タスクの設定 71 リモート ストレージ スキャン 68 概要 67 検出とアクション 81 除外 71 方法 68 き キャッシュ ePolicy Orchestrator 4.0 を使用した設定 74 McAfee VirusScan Enterprise 8.8 製品ガイド このマニュアルの対象読者 6 コマンド ライン アップデート タスクのオプション 100 オンデマンド スキャンのオプション 98 コマンド ラインを使用した製品の設定 98 コンポーネント VirusScan Enterprise 10 VirusScan コンソール 13 図示 10 さ サーバ タスク ePolicy Orchestrator、概要 96 ePolicy Orchestrator、サンプルの設定 97 し システム トレイ アイコン 15 メニュー オプション 15 右クリック機能 14 システム トレイ アイコン VirusScan Enterprise インターフェースへのアクセスの設定 23 アクセス違反 26 す スキャン オンアクセス (オンアクセス スキャンを参照) 55 オンデマンド (オンデマンド スキャンを参照) 67 オンデマンド スキャン (オンデマンド スキャンを参照) 68 スキャン アイテムの追加と除外 52 ワイルドカードを使用したスキャン アイテムの指定 52 除外、指定 52 電子メール スキャン (電子メール スキャンを参照) 75 動作ログ 79 スキャン エンジン VirusScan Enterprise のコンポーネントの概要 10 アップデートの重要性 46 スキャン キャッシュ ePolicy Orchestrator 4.0 を使用した設定 74 ePolicy Orchestrator 4.5 または 4.6 を使用した設定 73 VirusScan コンソールを使用した設定 74 概要 73 スキャンのアップデート 方法 46 スキャンの遅延、概要 69 スクリプト スキャン (オンアクセス スキャン) 57 115 索引 スケジュール設定 タスク 53 ステータス バー、VirusScan コンソール 13 スパイウェア(不審なプログラムを参照) 40 た ダイヤラ(不審なプログラムを参照) 40 タスク AutoUpdate 48 アップデート 47 スケジュール設定 53 ミラー 48 タスク スケジュール 推奨されるオンデマンド間隔 53 設定 53 タスク リスト、VirusScan コンソール 13 ダッシュボード 事前に定義された、アクセス 87 動作の監視 87, 91 ファイルとフォルダ (続き) ブロック オプション 33 ファイルの種類を表す拡張子 除外対象 52 プロセス 組み入れまたは除外 34 プロセス、VirusScan Enterprise インクリメンタル (再開可能) スキャン 68 スクリプト スキャン 57 デフォルト、設定 59 メモリ内プロセス スキャン 68 危険度低および危険度高 59 プロセス設定 オンアクセス スキャン 62 へ ベスト プラクティス VSE アップデートの方法 46 リポジトリからの EXTRA.DAT ファイルの削除 47 つ ほ ツールバー、VirusScan コンソール 13 ポート アクセス保護、オプション 33 ネットワーク トラフィックのブロック 25, 27 ポリシー、VirusScan Enterprise アラート ポリシー 84 オンアクセス スキャン 58 全般オプション 23 電子メール スキャン 75 配信時電子メール スキャン ポリシー 75 不審なプログラム 40, 79 て テクニカル サポート ServicePortal McAfee 8 MER ツールの使用 105 トラブルシューティング 105 と トラブルシューティング、VirusScan Enterprise コンポーネントの無効化 105 推奨ツール 109 付録 103 ま マニュアル 構成 7 表記規則 6 ね ネットワーク ドライブ ePolicy Orchestrator 4.0 を使用した設定 66 ePolicy Orchestrator 4.5 および 4.6 を使用した設定 65 VirusScan コンソールを使用した設定 67 概要の設定 65 ネットワーク上ドライブ ePolicy Orchestrator 4.0 を使用した設定 66 ePolicy Orchestrator 4.5 および 4.6 を使用した設定 65 VirusScan コンソールを使用した設定 67 概要の設定 65 は パスワード VSE インターフェースへのアクセスの制御 22 ユーザ インターフェース オプション ポリシー 23 電話帳ファイルの保護 25 バッファ オーバーフロー保護 トラブルシューティング時に無効化 105 アラートおよび通知 84 検出とアクション 79 攻撃、概要 37 攻撃のブロック 36 ふ ファイルとフォルダ アクセスの制限 27 116 McAfee VirusScan Enterprise 8.8 製品ガイド み ミラー タスク 概要 48 設定 49 め メニュー バー、VirusScan コンソール 13 ゆ ユーザ アカウント、VirusScan Enterprise インターフェースへのア クセスの制御 22 ユーザ インターフェース セキュリティ パスワードと 22 設定 23 ユーザ定義ルール アクセス保護 30, 31, 32 種類 27 ユーザ定義ルール、アクセス保護 25 よ よく寄せられる質問 110 索引 り れ リポジトリ AutoUpdate、接続 47 EXTRA.DAT ファイルの削除 47 中央、VSE アップデートの使用 46 リポジトリ リスト 設定 50 AutoUpdate 50 リモート コンソール 概要 101 リモート システムへのアクセス 101 リモート ストレージ スキャン、概要 68 レジストリ キー アクセスの制限 27 オプション 34 レポート VirusScan Enterprise のログ記録の設定 75 オンデマンド スキャン動作 71 クエリへのアクセス 87 脅威の分析 93 る ルール、VirusScan Enterprise アクセス保護 25 ウイルス対策 28 ファイルとフォルダのブロック 33 ポート ブロック 33 ユーザ定義、種類 27 レジストリ ブロック オプション 34 未使用の削除 35, 36 McAfee VirusScan Enterprise 8.8 製品ガイド ろ ログ ファイル、VirusScan Enterprise アクセス違反 26 オンデマンド スキャンおよび 71 電子メール スキャン 75 動作ログを参照、VirusScan Enterprise 91 わ ワイルドカード、スキャン アイテムでの使用 52 117 索引 118 McAfee VirusScan Enterprise 8.8 製品ガイド
© Copyright 2024 Paperzz