Loading...

ナレッジセンター


アクセス保護ルールと動作ブロックによって発生する問題の解決方法
技術的な記事 ID:  KB73080
最終更新:  2014/01/08
評価:


環境

VirusScan Enterprise 8.8   
VirusScan Enterprise 8.7i   
VirusScan Enterprise 8.5i

概要

この KnowledgeBase の記事は、以下の一般的なシナリオで役立つトラブルシューティングの手順とアドバイスを提供します。
  • McAfee VirusScan のインストール後にアプリケーションが動作を停止する。
  • McAfee VirusScan のインストール後に電子メールの送信が停止する。
この記事では、VirusScanのアクセス保護機能が、これらの問題の発生原因であるかどうかを判別する方法と、そうである場合にこれらの問題を解決する手順を説明します。

問題

問題が発生すると、アクセス保護ログに以下のいずれかの書式で記録されます。
  • ルール違反が発生し、そのルールが警告のみに設定されている場合:
    <date> <time> Would be blocked by Access Protection rule  (rule is currently not enforced)  <domain>\<username> ProcessName Target RuleName Action blocked : <action>
     
  • ルール違反が発生し、そのルールが警告およびブロックに設定されている場合:
    <date> <time> Blocked by Access Protection rule  <domain>\<username> ProcessName Target RuleName Action blocked : <action>

解決策

注: この記事には、レジストリの表示または変更に関する情報が含まれています。
  • 以下の情報は、システム管理者向けのものです。レジストリの変更は元に戻す事が出来ず、間違った変更はシステムの障害を起こす可能性があります。
  • 実行する前に、レジストリのバックアップをとっておき、復元方法について理解しておくことを強くお勧めします。詳細については、以下を参照してください。 "http://support.microsoft.com/kb/256986
  • 正規のレジストリ インポート ファイルであることが確認されていない .REG ファイルを実行しないでください。



アクセス保護ログを表示して、記録されているメッセージを確認します。

  1. スタートプログラムMcAfeeVirusScan コンソールの順にクリックします。
  2. アクセス保護を右クリックします。
  3. ログファイルの表示をクリックします。AccessProtectionLog.txt ファイルが開きます。
注: アクセス保護ログのこの他の表示方法は、[関連情報]セクションを参照してください。
 


アクセス保護ログファイルで最新のエントリを確認します。
 
ログ ファイルを調べて、最近のログ エントリがシステムで問題が発生し始めた時期と一致するかどうかを確認します。このログ エントリが問題の発生時期と一致しない場合、アクセス保護とは関係のない問題である可能性があります。その場合は、KnowledgeBase の記事を KB66254 を参照してください。
 
ログ エントリが問題の発生時期と一致する場合は、ログ エントリの 2 つのタイプに応じて、関連するエントリと関連のないエントリを判別します。ログ エントリには次の 2 つのタイプがあります。

  • Would be blocked(ブロック可能であること)を通知するメッセージ。例:

    8/10/2011 1:42:53 PM Would be blocked by Access Protection rule (rule is currently not enforced)  MyDomain\MyUser C:\Test. C:\MyProcess.exe Common Standard Protection:Prevent common programs from running files from the Temp folder Action blocked : Execute

    このようなメッセージは、問題の発生原因ではないため、無視してかまいません。Would be blocked というメッセージは単なる警告で、ブロックするルールを設定してあれば、あるプログラムが何かを実行することを阻止可能であったことを示します。

     
  • Blocked(何かがブロックされたこと)を通知するメッセージ。例:

    8/22/2011 9:05:34 AM Blocked by Access Protection rule  NT AUTHORITY\SYSTEM C:\Test.exe C:\MyFile.txt MyCustomRule Action blocked : Delete

    このタイプのメッセージは、VirusScan のアクセス保護ルールの 1 つによって、あるプロセスで何かの実行が阻止されたことを示します。以下の情報を参考にして、このメッセージの意味を理解します。


アクセス保護ログのメッセージの解釈のしかた:

下のメッセージは、アクセス保護ログに表示される典型的な blocked タイプのメッセージです。

9/29/2011 8:55:09 AM Blocked by Access Protection rule  Domain\Username C:\WINDOWS\system32\CCM\CcmExec.exe C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe Common Standard Protection:Prevent termination of McAfee processes Action blocked : Terminate
 

メッセージの各セグメントは、以下のように定義され、ブロックされているアプリケーション、ブロックされた理由(どのアクセス保護ルールによってトリガーされたか)、およびその他の重要情報を提供しています。
  • Domain\Username は、ブロックされたプロセスのアカウントまたは認証情報を示します。
  • C:\WINDOWS\system32\CCM\CcmExec.exe は、ブロックされたプロセスの名前を示します。
  • C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe は、保護されているファイル/フォルダー/プロセスの名前を示します。
  • Common Standard Protection:Prevent termination of McAfee processes は、トリガーまたは違反したアクセス保護ルール名を示します。
  • Action blocked : Terminate は、阻止されたアクションを示します。


必要なプロセスをブロック対象から除外するには、以下の手順を実行します。

どのプロセスがどのアクセス保護ルールをトリガーしているかを調べたら、そのプロセスを引き続きブロックするか、それともブロック対象から除外するかを判断します。このとき、そのプロセスがアクセス保護ルールに違反する実行内容を確認するために、プロセスのオーナーについても調査します。

このプロセスが信頼でき、問題の発生原因となっている場合は、以下の手順でブロック対象から除外できます。

[アクセス保護のプロパティ]を開きます。

  1. スタートプログラムMcAfeeVirusScan コンソールの順にクリックします。
  2. アクセス保護をダブルクリックします。
変更するアクセス保護ルールを見つけます。

  • 左側のウィンドウには、さまざまなアクセス保護ルールのカテゴリが表示されます。右側のウィンドウには個別のルール名が表示されます。
  • アクセス保護ログでエントリを確認すると、そのルールが属するカテゴリもわかります。
例: Common Standard Protection: Prevent termination of McAfee processes. 

注: この例では、ルールが属するカテゴリはCommon Standard Protectionで、ルール名はMcAfee プロセスの停止を防止です。
  1. 左側のウィンドウでカテゴリを選択し、右側のウィンドウでルール名を選択します。
  2. 右側のウィンドウの下にある 編集...ボタンをクリックします。
  3. 除外するプロセステキスト ボックス内でクリックします。
  4. テキスト ボックスのコンテンツの終わりまでカーソル移動します。
  5. コンマ(,)と除外するプロセスの名前を追加して、OKを 2 回クリックします。
これでこのプロセスはブロック対象から除外されます。


アクセス保護ルールの設定の詳細は、各バージョンの製品ガイドを参照してください。

製品のドキュメントの全リストについては、サービスポータル http://support.mcafee.com/Eservice/Default.aspxにアクセスして、製品ドキュメント をクリックしてください。
 


このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.