Loading...

ナレッジセンター


VSE8.x に関するFAQ集
技術的な記事 ID:  KB80940
最終更新:  2014/02/13

概要

VirusScan Enterprise (VSE) 8.x に関するよくある質問を一覧として掲載致します。

 

■一般

Q. イベントID516 が出力された場合の対処方法は?
A. 本イベントは製品の障害を示すものではなく、製品の信頼性に関するセルフチェック機能の結果を示すものです。 本イベントに関する現在のステータスはKB71083 にて掲載されます。

Q. Conficker に感染したサーバはどの様にスキャンしたら良いですか?
A. VR09032601 及びKB60909 を参考にしてください。

Q. 7-Zip (.7z) で圧縮されたファイルはスキャン出来ますか?
A.
McAfee 製品は現時点で7-Zip (.7z) で圧縮されたファイルへのスキャンに対応していません。本件については以降リリースされるエンジンにて対応出来るかを社内にて検討中です。 但し、ウイルス定義ファイル(DAT) はファイル形式に関係なく、7-Zip (.7z) 内部にあるマルウェアが動作可能な状態となった時点(解凍が行われる等)で検知出来る様に作成されます。

Q. VSEはFederal Desktop Core Configuration (FDCC=米連邦政府デスクトップ基準) に準拠しますか?
A. はい。 VSEはFDCCに準拠しています。

■互換性について

Q. どの環境がVSE8.x でサポートされますか?
A. KB51111 をご参照ください。

Q. 64 ビット版はいつリリースされますか?
A 既にリリースされています。 VSEのプロセスは32 ビット互換モードで動作しますが、既にVSE8.0 以降で64 ビット版のドライバを搭載しています。

Q. 64ビット版VSEは32ビット版とどの様に違いますか?
A. 64ビット版のVSEは32ビット用、64ビット用のバイナリを64ビットOS上にインストールします。 64ビット用バイナリは64ビット向けのインストールパスにインストールされます。 他のバイナリは各OSに対応したWindows ファイルシステムに対しインストールされます。 64ビット版VSEは32ビット用ファイルを含む為、完全な64ビット版アプリケーションとしてインストールされるわけではありませんが、64ビットOS上での動作をサポートします。

Q. 64ビット版OS上で32ビット互換モードとして動作するVSEの機能は何ですか?
A. サードパーティ製アプリケーションで32ビットモードで動作するアプリケーションに対応する為、VSEは32ビットモードで動作するスキャナをロードします。 例としてMicrosoft Outlook 2007 向けに提供されるVSEの電子メールスキャン機能があります。

Q. 社外持ち出し用端末に対しMcAfee (ePO) Agent をインストールしなければならないのは何故ですか?
A.
McAfee (ePO) Agent はポリシー適用の機能を有しています。 社外持ち出し用端末にMcAfee (ePO) Agent をインストールすると、社内ネットワーク接続時にePO サーバから、割り当てられたポリシーがダウンロードされます。 このポリシーは端末を社外に持ち出しており、ePOサーバと通信出来ない環境でも定期的に(ポリシー内の適用間隔設定に応じて期間は前後します)適用されます。
ePOサーバで設定したポリシーが適用される為、社外に持ち出し、他のネットワークに接続した場合でも、社内ポリシーに準じた動作が維持できます。

Q. なぜnVidia に関しての問題が多く報告されるのですか?
A.
現在に至るまで多くの問題が報告されてきました(特にCPU使用率の占有)が、nVidia 社製ビデオアプリケーションはVSE関連のプロセスにインジェクトし結果としてランナウェイスレッドを残す動作が存在する事が明らかになりました。
本問題に対してはnVidia社製のビデオアプリケーションのアップデートを適用してください。 nVidia社製製品との問題について併せて、弊社ナレッジ KB52367 及び KB70299 もご確認ください。

Q. VSEに USB デバイスをブロックする機能はありませんか?
A. いいえ。 VSEではUSBデバイスをブロックする機能はありません。
USBデバイスを適確にブロックするには、McAfee Data Loss Prevention をご利用頂く事をお勧め致します。また、一般的な対応方法についてはMicrosoft 社のサポートページ(文書番号823732) をご参照ください。

■インストール

Q. なぜVSEを8.8にアップグレードした方が良いのですか?
A.
VSE8.8 の新機能についてはPD22973 を、また既知の問題についてはKB70393 をご参照ください。

Q. VSE8.8 はどの様にしてダウンロードできますか?
A. ダウンロードサイトからのファイルダウンロード方法 をご参照ください。

Q. ローカル上及びサードパーティー製ソリューションを使用したVSEのインストール方法を教えてください。
A. ダウンロードしたzipファイルを解凍し作成されたSetupVSE.exe を実行します。 以降はインストールウィザードに従い操作します。

Q. ePOを使用したVSEのインストール方法を教えてください。
A. VSEのインストールパッケージをePO のマスタリポジトリにチェックインし、VSEの製品配備のクライアントタスクを、インストールを行いたいシステムに割り当て動作させます。
※製品配備タスクは機能の選択を行うコマンドラインオプションの追加が可能です。 コマンドラインオプションは各バージョンのVSEのインストールガイドをご参照ください。

Q. なぜVSEはProgram Files (x86) にインストールされるのですか?(64bit OS上での動作)
A.
64ビット版のVSEは32ビット用、64ビット用のバイナリを64ビットOS上にインストールします。 64ビット用バイナリは64ビット向けのインストールパスにインストールされます。 他のバイナリは各OSに対応したWindows ファイルシステムに対しインストールされます。 64ビット版VSEは32ビット用ファイルを含む為、完全な64ビット版アプリケーションとしてインストールされるわけではありませんが、64ビットOS上での動作をサポートします。

Q. VSE8.x をインストールした際に削除される製品は?
A. KB72251 にて削除される製品を掲載しております。 KB72497 ではVSE8.x のインストールで削除されないSaaS Endpoint Protection に関しての情報も掲載しております。

Q. VSE8.8 では製品情報のウィンドウにインストールしていない AntiSpyware Enterprise が表示されるのはなぜですか?
A.
VSE8.8 のバージョンからAntiSpyware Enterprise のモジュールはVSEに統合されました。AntiSpyware Enterprise の機能は、ローカルのVirusScan コンソールでも、ePOのポリシーの設定としても無効化する事が可能です。

Q. なぜウイルス定義ファイル(DAT) がインストールパッケージに同梱されていないのですか?
A. マカフィーでは製品のインストールをより容量の小さいサイズで行うことを可能とする為、DATを同梱したインストールパッケージの提供を終了致しました。  アップグレードインストールであれば、ローカルに適用されたDAT(VSE8.5i 以降が必要) をそのまま引き継ぐ事が可能です。 DATなしパッケージに関する詳細及び、DATを同梱したインストールパッケージの作成方法については、VE10040901 及びKB68449 をご参照ください。

Q. DATアップデートはスキャンキャッシュ(スキャン済みファイル情報)にどの様に影響しますか?
A. 通常ではスキャンキャッシュの情報はDATがアップデートされる際にクリアされ、新たなDATでのスキャンを可能とします。 VSE8.8 では同様の動作となりますが、クリアされる情報はキャッシュとして保持すると危険を伴うと判断されたファイル情報のみであり、DATアップデートを行っても安全なファイル情報はキャッシュされたままとなり、パフォーマンスを維持出来る様な設計となっています。

Q. VSEインストール後にOSを再起動しないとどの様な影響がありますか?
A. VSEの機能を利用する為に必ず再起動が必要というわけではありませんが、より正常な状態でVSEを利用する事を確実にするため、再起動を推奨しております。

Q. 信頼できるインストーラとは何ですか?
A. VSE8.8から、オンアクセススキャンのスキャン対象として「信頼できるインストーラ」が選択可能となりました。 この「信頼できるインストーラ」 が選択されていない場合(信頼できるインストーラをスキャンしない)には以下の動作となります。

  • Msiexec.exe のプロセスからインストールされるMSIを利用したインストーラでマカフィー、Microsoft社の署名の付いたもの(コマンドラインを実行する操作を含まないもの)はスキャン対象となりません。
  • Windows Vista では、Microsoft 社の署名を含むTrustedInstaller サービスアカウントのSIDを有したプロセスはスキャン対象となりません。
  • サポート対象OSの全てにおいて、Microsoft社の署名の含まれたUpdate.exe のプロセスはスキャン対象となりません

Q. VSEのインストール後、OSを再起動しないと何が動作しないですか?
A. ネットワークドライブのスキャン機能及び、リモートシステムから提供される分散ファイルシステムのスキャンは再起動を行わないと設定が有効となりません。

Q. 環境内で使用するVSEのバージョンにおける既知の問題を教えてください。
A. KB65944 を参照ください。

Q. VSEのアンインストール方法を教えてください。
A. VSEは通常、「プログラムの追加と削除」 からアンインストール可能です。 もしこの操作が失敗する場合、KB53635 を参照し手動での削除を実施ください。

Q. 環境内で使用しているVSEはサポートバージョンですか?
A. サポート終了期限やサポート情報は製品サポート終了期限 をご覧ください。 KB51111 も併せてご確認ください。

■設定

Q. 再起動はいつ必要ですか?
A. VSEの機能を利用する為に必ず再起動が必要というわけではありませんが、より正常な状態でVSEを利用する事を確実にするため、再起動を推奨しております。

Q. McAfee 関連のサービスはどの様に停止出来ますか?
A. VSE は管理者の操作であっても自己のサービスを停止させない為の機能を有しています。 この機能はVSEのアクセス保護機能により管理されています。 アクセス保護のプロパティより、「McAfee サービスの停止を防止」 のチェックボックスを無効とする事で、サービスを停止出来る様になります。

Q. オンデマンドスキャンの 推奨設定を教えてください
A. 8.8 Best Practices Guide8.7i Best Practices Guide をご参照ください。

Q.  パフォーマンスを向上させるには何をしたら良いですか?
A. 8.8 Best Practices Guide8.7i Best Practices Guide をご参照ください。

Q. McShield.exe のCPUとメモリ使用量を制限するにはどのようにしたら良いですか?
A. 8.8 Best Practices Guide8.7i Best Practices Guide をご参照ください。

Q. VSE8.8 のスキャンキャッシュ設定方法はどの様に行いますか?
A. ベストプラクティスに関してのナレッジ KB71905 をご確認ください。

Q. マカフィー製品を利用する環境で使用可能な環境変数を教えてください
A. KB58695 にリストを公開しております。

Q. パフォーマンスの問題に対しどの様に調査を行ったら良いですか?
A. いくつかの方法がありますが、以下の手順を行う事により問題解決に向けた切り分けを行う事が出来ます。 切り分けにより原因が判明した場合には適切な対応策を講じて下さい。 これらの方法は、切り分けのガイドラインとしてご利用ください。 その他各種ツールの使用方法の詳細についてはインターネットから情報を取得してください。KB72766 ではさらに多くのツールをリストしています。

  • タスクマネージャ
  • CTRL+SHIFT+ESC にてタスクマネージャを呼び出します。 プロセスの画面にてCPU の列でソートします。 数値は使用率を意味します。 例えば4 CPU のシステムで25パーセントを超える場合、このプロセスが1つのCPUコアを使用し続けていることを通常意味しますので、 特定したプロセスに対し、動作についての詳細を確認し、必要に応じプロセスの提供元ベンダへ調査を依頼します。
  • パフォーマンスモニタ
  • パフォーマンスモニタ(PerfMon) を利用する事で、CPU時間と使用率を把握しシステムにどれぐらい影響があるかを確認する事が出来ます。 PerfMon はプロセス単位、プロセッサ単位、メモリ単位でのパフォーマンスを監視する事が出来ます。 1秒間をデータのサンプル間隔とし、ウィンドウ内に生じる(もしくは生じる可能性のある)問題を再現させログを取得します。カウンタを有効に絞り込みログサイズを軽減させる事も考慮する必要があります。
  • VSE プロファイラ
  • VSEプロファイラは製品が何を行っているか、何をスキャンしているかを可視化するツールです。 このツールはレポート出力機能も有しています。 VSEプロファイラに関しての情報はPD22737 をご覧ください。 またツールの取得はhttp://mer.mcafee.com/enduser/downloadmcprofiler.aspx から行います。 このツールはパフォーマンス改善の為のスキャン除外設定や、ローリスク/ハイリスクプロセスの選定に有効です。
  • Windows パフォーマンスモニタリングツール(XPerf)
  • Windows Vista 以降のOSでは、どのAPIが多く呼び出されているか等のパフォーマンスに関する詳細情報を出力させられる非常に強力なツールが実装されています。 製品ベンダの多くはこのツールを製品開発や改善に利用しています。 このツールはどの様なコードが実行されているかを確認するのにも有用なツールです。 Windows XP や Windows Server 2003でもこのツールは利用できますが、Windows Vista 上での動作の方がより詳細な結果を取得出来ます。

 

Q. 何故オンデマンドスキャン(ODS) 中にMcShieldのCPU使用率が上昇するのですか?(VSE8.8)
A. オンアクセススキャン(McShield.exe)向けにメモリにロードされたDATのインスタンスをオンデマンドスキャンでも利用出来る様なメモリ使用量を抑制する為の改良が行われました。 この改良は結果としてオンデマンドスキャン(ODS) が実行された際のMcShield.exe のプロセスのCPU使用率を上昇させますが、これはODSがOASと同一のファイルをスキャンしているという意味ではありません。

Q. なぜアクセス保護/バッファオーバーフロー保護はオンアクセススキャンを無効としても有効なままなのですか?
A. VSE8.8 ではオンアクセススキャンとアクセス保護/バッファオーバーフロー保護の機能の分離が行われました。 以前のバージョン(VSE8.7i) ではオンアクセススキャンを無効とするとアクセス保護/バッファオーバーフロー保護 も併せて無効となりましたが、これらの機能を分離する事によりゼロデイ脅威からより効果的にシステムを保護する事が可能となりました。

■機能

Q. アクセス保護はどの様にして機能しますか?
A. アクセス保護機能は特定の操作(振る舞い) に対してブロックする機能で、ゼロデイ脅威からの保護機能としても知られていますが、ポートのブロックやファイル/フォルダの変更の保護、レジストリの変更の保護を行います。 いずれの保護機能もカーネルレベルでドライバが変更に関する操作をフィルタし、アクセス保護で設定したルールとの照合を行い、ルールに合致した操作が行われた場合のブロック(保護) を行います。
マカフィーでは推奨すべき有用なルールをデフォルトで有効としています。 環境にて必要(不要) なルールの変更も行う事が可能です。

Q. バッファオーバーフロー保護はどの様にして機能しますか?
A. バッファオーバーフロー保護機能はアプリケーションのインターフェースで、バッファーオーバーフローやバッファオーバーランが発生するコードの実行を監視します。 バッファオーバーフロー保護はバッファオーバーランを停止させる事は出来ませんが、バッファオーバーランにより発行されるコードを停止する事が可能です。 バッファオーバーランによりコードを実行させ、悪意のあるデータ/システムへのアクセスを可能とする行為は、脆弱性を利用した攻撃として一般的に知られています。
バッファオーバーフロー保護はカーネルレベルでコードの実行をフックし、VSEで用意された仮想環境上で実行しテストします。 バッファオーバーフロー保護は64ビットOSではコードの実行のフックを行う事が出来ない為、機能としてサポートされません。 また、バッファーオーバーフロー保護機能は、データ実行防止機能 ”Data Execution Prevention” (DEP) が一般的になれば、不要となる機能の一つです。

Q. オンアクセススキャン(OAS) はどの様にして機能しますか?
A. VSEのファイルシステム向けのフィルタドライバがOASのプロパティで設定された内容に応じ、ファイルへのアクセスが行われた段階でその操作を監視します。 OASのサービスを提供するMcShield.exe のプロセスは、まずスキャンの除外設定が行われているかを判断し、除外が行われていない場合にはスキャンを行い、結果をフィルタドライバに対し応答します。 McShield.exe はEngine 及びDATをメモリに常駐させる事により感染ファイルへのスキャンを効率的に行います。

Q. オンデマンドスキャン(ODS) はどの様にして機能しますか?
A. VSE8.8でのODSは、旧バージョン(VSE8.7i以前) ではシングルスレッドでのスキャンを行っていたのに対し、マルチスレッドでのスキャンを可能としました。 この改善によりODSに要する時間を大幅に短縮しています。 スキャン対象のファイルリストは一旦スキャンプールに保持され、スキャン可能なスレッドに渡されます。 ODS実行中に新規作成もしくは変更されたファイルは、そのタスクでの再スキャンは行われません。 マルチスレッドでのスキャンはファイルシステムに対し有効です。 以前のバージョンではScan32.exe もしくはScan64.exe のプロセスのリソース利用量が増加しましたが、VSE8.8では利用可能なスキャンスレッドはMcShield.exe から渡されるといった機能改善が行われた為、ODS実行中はMcShield.exe のリソース使用量が増加します。 OASのプロセスであるMcShield.exe がODS実行中にリソース使用量を増加させますが、ODSで指定された設定が反映されます。

Q. ODS でスケジュールした開始時刻にログオフしたらどうなりますか?
A. ODSのタスクは、タスクのプロパティで設定されたアカウントか、アカウント設定が存在しなければローカルシステムアカウントで実行されます。 このODSタスクの実行はMcAfee Framework サービスを提供するFrameworkService.exe にて制御されます。 McAfee Framework サービス がサービスとして機能する為、ログオフした状態でもスケジュールされたODSのタスクの実行を可能としています。

Q. ODS実行中にパフォーマンスが低下するのは何故ですか?
A. ODSはタスクのプロパティから実行中のシステムの使用率(標準~低) を指定する事が可能です。 使用率を指定しているのにもかかわらずパフォーマンスが低下する場合の多くは、アーカイブされたファイルをスキャンしている場合や、破損したファイルをスキャンしODSのスキャナを保持している事が考えられます。

Q. ODSのスロットルメカニズムはどの様に動作しますか?
A. ODSはスレッドの優先度に応じ実行される様セットされます。実行プロセスあるいは処理するスレッド、タスクを実行する為のCPU時間などが適切に処理される事でWindows はマルチタスクOSとして動作します。WindowsではどのスレッドがCPUを占有するかを決定するスケジュールアルゴリズムが組み込まれていますが、ODSのスレッドはタスクのプロパティで変更可能な「システムの使用率」で指定される占有率に基づき動作します。 このシステム使用率の指定はVSE8.7i Patch1 から可能となりました。

NOTE: このメカニズムはアーカイブファイルをスキャンする場合には適用されません。 アーカイブファイルを含むアイテムをODSでスキャンする場合、システムの使用率は指定した値以上となる場合があります。

Q. ODSのスキャンアイテムとして「すべてのローカルドライブ」と「すべてのハードディスク」 の違いは何ですか?
A. 「すべてのローカルドライブ」はシステムに接続されたドライブ全てをスキャンします。 対して「すべてのハードディスク」ではリムーバブルメディアのスキャンは行いません。 詳細についてはKB68898 をご覧ください。

Q. スクリプトスキャンの機能はURLベースで除外が可能ですか?
A. スクリプトスキャンの機能は、VSE8.5i (Patch8 及びHF472021 適用環境) ではスクリプト単位で、VSE8.7i 以降のバージョンではURL単位でスキャンの除外設定が可能です。

NOTES:

  • スクリプトスキャンの機能によりパフォーマンス劣化が著しい場合には、ウイルススキャンコンソールから無効とするか、ePOでの管理を行っている場合にはポリシーから無効としてください。
  • Outlook やInternet Explorer はファイルがローカル上に作成される前にスクリプトを実行させる事が出来ますが、スクリプトスキャンが無効な場合には、このスクリプトの実行によるアタックに対しオンアクセススキャンで阻止する事が可能です。 スクリプトスキャンが有効の場合にはスクリプト実行時に一旦VSEの用意する仮想上で実行し、内容の精査を行いますので、スクリプト実行による脅威から効果的にシステムを防御する事が出来ます。

Q. Shared キャッシュはどの様に動作しますか?
A. スキャンキャッシュは、既にスキャンされ無害であるファイルのリストとして、McAfee のフィルタードライバにより非ページプールにロードされます。
※これをSharedキャッシュと呼びます。
このリストに該当するファイルはスキャンされません。 このファイルのリストはスキャンが行われたファイルが無害であると判断される毎に更新されていきます。 また、リストにあるファイルが変更されるなどした場合には、リストから消え、再度スキャンが行われます。旧バージョンのVSEではこのサイズは2MBでしたが、 VSE8.8ではスキャンキャッシュのサイズは12MBが上限となります。

Q. Persistent キャッシュはどの様に動作しますか?
A. 無害のファイルリストとして利用されるスキャンキャッシュはデフォルト設定ではOSのシャットダウン時に保存される仕様です。(VirusScanコンソール→ツール→全般オプション→「スキャン全般設定」 “再起動中のスキャンデータの保存を有効化”)
※保存されるキャッシュをpersistentキャッシュと呼びます。
この機能は、キャッシュデータをレジストリに書き出し、システムブート時に利用するといった仕組みです。

以前のドキュメント ID

VE12040401

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.