Loading...

信頼できる Web サイトの URL をホワイトリストに登録することにより、ScriptScan の動作を改善する (スクリプトを多用した Web ベース アプリケーションでのパフォーマンスの改善)
技術的な記事 ID:   KB65382
最終更新:  2019/02/27
評価:


環境

McAfee VirusScan Enterprise 8.8.x

VSE 8.8 がサポートされる環境の詳細については KB51111を参照してください。

概要

VirusScan Enterprise (VSE) が ScriptScan コンポーネントと共にインストールされると、受信されるスクリプトと Windows スクリプティング ホストとの間にプロキシが挿入されます。 これにより、スクリプトが多用されている Web ページや Web ベースのアプリケーションを利用する際に、パフォーマンスが低下する場合があります。 今回、イントラネット内のサイト、頻繁に利用していて安全性が確認されているサイトなど、信頼できる Web サイトの URL をホワイトリストに登録できるようになりました。

この機能は以下のバージョンで利用できます。
  • VSE 8.8
  • VSE 8.7i (パッチ 1 以降)
注:
  • ワイルドカード文字は使用できません。
  • URL の一部を指定できます。 部分一致を使用するときは、予定外の Web サイトのスクリプトを除外してしまわないように注意してください。 たとえば、www のみを追加するだけでは、URL に www が含まれるすべてのサイトのスクリプトが除外されてしまいます。
  • ブラウザー ヘルパー オブジェクトを有効にする必要があります。
  • 製品開発チームでは、完全修飾ドメイン名および NetBIOS 名のみを使用することを推奨しています。

    例:

    内部 URL
    script.js という名前のスクリプトを http://internal.something.local/scripts/script.js から除外するには、URL 除外リストに internal.something.local と指定します。

    外部 URL
    http://www.mcafee.com などの外部 URL を除外するには、www.mcafee.com と指定します。
  • ご使用の DNS サーバーで特定の URL に対する CNAME エントリが記録されている場合には、それらを除外します。
  • Web ページでは、別のサイトまたは場所でホストされているスクリプトが実行されている場合があります。 別のサイトでホストされているスクリプトにアクセスする必要がある場合には、ホスト サイトの URL も除外しなければなりません。
  • 除外リストにはポート番号を記述しないでください。 ポート番号が指定されると、無効扱いされ無視されます。


重要:

ScriptScan を無効にすることは可能ですが、製品開発チームでは、この機能を完全に無効にする前に、まず除外リストを作成し、テストすることを推奨します。 Outlook や Internet Explorer などのアプリケーションでは、ローカル システム上にファイルが作成される前にスクリプトのレンダリングと実行が行われるため、ScriptScan を無効にすることによって、セキュリティ上のリスクが生じる可能性があります。 重要な点は、オンアクセス スキャナーには、この媒体を介した攻撃のペイロードを阻止する機能はありますが、ScriptScan を利用すれば、さらに実際に脅威が実行されてしまうのを防止できるという優れた利点が追加されることです。


ScriptScan がすべての環境に適しているわけではありませんが、VirusScan Enterprise 8.x には、さまざまな脅威に対する高度な保護機能が用意されているため、安心して ScriptScan を使用することができます。たとえば、一般的なデスクトップ アプリケーションやサービスに対するバッファー オーバーフロー保護機能、一般的な脅威モデルから環境を保護するためのアクセス保護ルール、マルウェアに対する高度なオンアクセス スキャン機能 (スパイウェア対策など)、Daily DAT のアップデートによる迅速な対応機能などが用意されています。これらの機能は、ePO の優れた性能によって支えられています。

ただし、製品開発チームでは

保護機能を強化するほど、エンド ユーザーのパフォーマンスが低下するという問題が発生することを認識しています。そのため、どのような構成にするかは難しい問題です。 たとえば、外部に向けて接続されている Web サーバーの背後に Secure Web Gateway アプライアンスをインストールすると、保護機能をある程度のレベルまで強化することができます。 このソリューションでは、ScriptScan と同等の保護を実現できますが、外部の Web トラフィックが存在する地点のみを対象とするため、内部ポータルのトラフィックには負荷がかかりません。

解決策

URL 除外リストを作成するには、次の手順に従います。

警告: この記事には、レジストリの表示または変更に関する情報が含まれています。
  • 以下の情報はシステムの管理者が使用することを想定しています。 レジストリの変更は元に戻せません。誤った変更を行うとシステム障害が発生する可能性があります。
  • テクニカル サポートは、実行する前にレジストリのバックアップを取得すること、リストア方法について理解しておくことを強くお勧めします。 詳細については、http://support.microsoft.com/kb/256986 を参照してください。
  • 正規のレジストリ インポート ファイルであることが確認されていない REG ファイルを実行しないでください。


重要: VSE 8.8 以降のリリースでは、以下の変更は ePO VSE 8.8 ポリシー経由、または ePO で管理されていない場合にはローカル コンソール経由で実行できます。
  1. [スタート][ファイル名を指定して実行] の順にクリックし、regedit と入力して [OK]をクリックします。
  2. 次のレジストリ キーに移動して、選択します。
    • VSE 8.8: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCORE\Script Scanner]
    • VSE 8.7i: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCORE\Script Scanner]
  3. [編集][新規][複数行文字列値]をクリックし、新しい値に ExcludedURLs という名前を付けます。
  4. 除外する URL を追加します。
  5. 各 URL または部分 URL がキャリッジ リターンで区切られていることを確認します。

    注: これは、Windows XP 以降でのみ使用できる方法です。Windows 2000 では、複数行文字列値 (REG_MULTI_SZ) を作成できません。 必要な場合には、Windows 2000 に複数行文字列値をインポートすることもできます。
  6. レジストリ エディターを終了します。
  7. Internet Explorer ウィンドウを閉じて、再起動し、新しい設定が読み込まれるようにします。

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

このドキュメントを評価する

影響を受ける製品

Beta Translate with

Select a desired language below to translate this page.