Loading...

ナレッジセンター


危険度高、危険度低、デフォルト プロセスの設定と使用方法
技術的な記事 ID:  KB55139
最終更新:  2014/01/08
評価:


環境

McAfee VirusScan Enterprise 8.x

  

概要

特に設定を行わない限り、VirusScan Enterprise では、オンアクセス スキャンのデフォルト プロセス ポリシーが使用されます。このポリシーのスキャン設定はすべてのプロセスに適用されます。これらのプロセスのファイル アクティビティにも適用されます。
 
危険度高プロセスと危険度低プロセスのポリシーを実装すると、オンアクセス スキャナーの設定とコンピューター パフォーマンスの効率化を交互に実行することができます。

以下では、いくつかのシナリオを使用して、危険度高プロセス危険度低プロセスのポリシーについて説明します。

動画チュートリアル

注: Adobe Flash Player が必要です。詳細については次のサイトを参照してください: http://www.adobe.com/products/flashplayer/

チュートリアルのリストを表示するには、http://support.mcafee.com/Eservice/Default.aspxマカフィー サービスポータルをアクセスして ビデオ チュートリアルをクリックしてください。

このチュートリアルを表示するには、以下と参照してください。

TU30285

解決策 1

 シナリオ 1 - 危険度低プロセス ポリシーで、[読み取り時スキャン]が無効に設定されている場合。Backup.exe のプロセスを例として使用します。

デフォルト プロセスのポリシーだけを使用して、以下の操作を行います。
  1. Backup.exe を起動します。
  2. McAfee VirusScan が Backup.exe をスキャンします。
  3. Backup.exe が実行中です。バックアップ処理を開始し、ドライブ上のすべてのファイルに対して読み取り操作を実行します。
  4. 次に、Backup.exe が読み取り操作を行うと、McAfee VirusScan が各ファイルをスキャンします。

Backup.exe危険度低プロセス ポリシーに追加して、以下の操作を行います。

  1. Backup.exe危険度低 プロファイルに追加し、[読み取り時スキャン]オプションを無効にします。
  2. Backup.exe を起動します。
  3. McAfee VirusScan が Backup.exe プロセスをスキャンします。
  4. Backup.exe が実行中です。バックアップ処理を開始し、ドライブ上のすべてのファイルに対して読み取り操作を実行します。
  5. VirusScan が Backup.exe を危険度低プロセスとして認識します。このプロファイルでは、[読み取り時スキャン]が設定されていないため、Backup.exe がバックアップ対象のファイルに読み取り操作を実行してもスキャンは実行されません。


このシナリオで考えられるリスク

リスク 1 -
Backup.exe という実行ファイルがウイルス/トロイの木馬に感染していると仮定します。

  1. 最初に、ウイルス/トロイの木馬がドライブに書き込まれる場合。
    • この脅威が DAT に定義されていれば、VirusScan がこのファイルを検出します。
    • このファイルの作成方法がアクセス保護ルールに違反している場合、VirusScan がファイルの作成を拒否します。
       
  2. ペイロードを拡散させるためにファイルが実行 (参照) される場合。
    • この脅威が DAT に定義されていれば、VirusScan がこのファイルを検出します。
    • このファイルの起動方法がアクセス保護ルールに違反している場合、VirusScan がファイルの実行を拒否します。

      注意: 危険度低プロセスのポリシーを使用している場合でも、感染の可能性があるファイルから多層的に防御することができます。

  3. ウイルス/トロイの木馬に感染した Backup.exe が実行され、ファイルの変更を試みた場合。
    • この脅威が DAT に定義されていれば VirusScan がこの脅威を検出します。ファイルの変更は書き込み操作であり、このシナリオでは危険度低プロセスの[読み取り時スキャン]だけを無効にしているためです。
    • アクセス保護ルールでこの動作が禁止されていれば、VirusScan が変更を拒否します。

      注意: ウイルス/トロイの木馬が実行され、メモリ内に入り込んでも、DAT を更新するか、新しいアクセス保護ルールを実行すれば、これらのアクティビティを阻止することができます。DAT を更新した後でウイルス/トロイの木馬が検出された場合、クリーンアップ プロセスでウイルスまたはトロイの木馬がメモリから駆除されます。

リスク 2 -
感染ファイルがドライブに保存される。

Backup.exe が危険度低プロセスに定義されているため、 Backup.exe プロセスが読み取り操作を実行し、感染ファイルをバックアップします。このスキャン ポリシーでは[読み取り時スキャン]は実行されません。

このリスクは様々な方法で軽減できます。たとえば、バックアップの実行前にオンデマンド スキャンを実行します。

  1. すべてのファイルが正常だと判断されるベースラインを設定して、オンデマンドのフルスキャンを実行します。
  2. その後、前回のバックアップ以降に変更されたファイルを除外するように経過時間を指定し、スキャンを設定します。この場合、関連ファイルしかアクセスされないので、スキャンの時間が短くなります。このタスクをバックアップの前に実行すると、感染ファイルがバックアップされる可能性を低くすることができます。

解決策 2

シナリオ 2 - 危険度低プロセス のポリシーを使用して除外を実施します。Agent.exe のプロセスを例として使用します。このファイルは、クライアント コンピューターでよく使用される C:\Temp フォルダーに大量のファイルを書き込みます。

デフォルト プロセスのポリシーのみを使用して、以下の操作を行います。

  1. Agent.exeC:\Temp にファイルを書き込みます。
  2. VirusScan がファイルをスキャンします。
  3. Agent.exeC:\Temp の同じファイルに追加のデータを書き込みます。
  4. VirusScan がファイルを再度スキャンします。
  5. ファイルが新しいか、変更されているため、VirusScan が各ファイルの書き込みをスキャンします。この操作は、元のファイルが変更された場合だけでなく、新規に作成されたファイルにも実行されます。
  6. このプロセスが生成したアクティビティによっては、各ファイルに必要なスキャン回数が増えるため、スキャナーが大量のシステム リソースを消費する可能性があります。
     

Agent.exe危険度低プロセス ポリシーに追加して、以下の操作を行います。

Agent.exe危険度低プロセスに追加すると、パフォーマンス上の問題を緩和できます。いくつかの方法が考えられます。

  1. 書き込み操作から C:\Temp を除外する。
  2. 書き込み操作から C:\Temp\**.TMP を除外する。
  3. .TMP ファイルを除外する。

リスクが最も小さい解決策は b です。Agent.exe がディスクに書き込みを行う時に、C:\Tempフォルダーで見つかった .TMP ファイルだけをスキャンの対象外にします。
 


このシナリオで考えられるリスク

Agent.exe というプロセスに感染した未知の脅威が、スキャンを回避するために C:\Temp フォルダーの .TMP ファイルに対して書き込みまたは変更を行う可能性があります。
 

リスク 1 - ここでも、Agent.exe という実行ファイルがウイルス/トロイの木馬に感染していると仮定します。

  1. 最初に、ウイルス/トロイの木馬がディスクに書き込まれる場合。
    • この脅威が DAT に定義されていれば、VirusScan がこのファイルを検出します。
    • このファイルの作成方法がアクセス保護ルール 2 に違反している場合、VirusScan がファイルの作成を拒否します。
       
  2. ペイロードを拡散させるためにファイルが実行 (参照) される場合
    • この脅威が DAT に定義されていれば、VirusScan がこのファイルを検出します。
    • このファイルの起動方法がアクセス保護ルールに違反している場合、VirusScan がファイルの実行を拒否します。

      注意: 危険度低プロセスのポリシーを使用している場合でも、感染の可能性があるファイルから多層的に防御することができます。

       
  3. ウイルス/トロイの木馬に感染した Agent.exe が実行されています。このファイルが、JPG およびDOC ファイルを C:\Temp フォルダーに書き込みを試みた場合。
    • フォルダーに書き込まれる .TMP ファイルのみが除外対象となっているため、この脅威が DAT に定義されていれば、VirusScan が脅威を検出します。
    • アクセス保護ルールでこの動作が禁止されていれば、VirusScan がファイルの書き込みを拒否します。

      注意: ウイルス/トロイの木馬が実行され、メモリ内に入り込んでも、DAT を更新するか、新しいアクセス保護ルールを実行すれば、これらのアクティビティを阻止することができます。DAT を更新した後でウイルス/トロイの木馬が検出された場合、クリーンアップ プロセスでウイルスまたはトロイの木馬がメモリから駆除されます。

リスク 2: 読み取りアクションで感染ファイルが実行される可能性があります。

  • この脅威が DAT に定義されていれば、VirusScan がこのファイルを検出します。読み取りアクションは除外されていません。
  • アクセス保護ルールでこの動作が禁止されていれば、VirusScan が読み取りを拒否します。


重要:
危険度高/危険度低プロセス ポリシーを使用する場合、いくつかのリスクが考えられます。一般的にリスクは最小ですが、危険度はケース別に評価する必要があります。目的とする製品パフォーマンスを得るために、リスクの許容範囲は慎重に検討してください。

 

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.