SysCore 15.4.0.811 にアップグレードすると、Windows プロセスのスプーフィングを防止するためのアクセス保護ルールにより、正しいプロセスがブロックされる

技術的な記事 ID: KB86694
最終更新: 2020/03/18

環境

McAfee Agent (MA) Hotfix 1110392 (5.0.2.333)
McAfee Host Intrusion Prevention (Host IPS) 8.0 Patch 7
McAfee VirusScan Enterprise (VSE) 8.8 Patch 7

SysCore 15.4.0.811

問題

SysCore 15.4.0.811 を提供する製品をアップグレードした後、次の VSE アクセス保護 (AP) ルールが、正当な Windows プロセスをブロックします。

共通プログラムが一時フォルダーからファイルを実行できないようにする
svchost が非 Windows 実行可能ファイルを実行できないようにする
プログラムが自動実行に登録できないようにする
Windows プロセスのスプーフィングを防止する (ウイルス対策の標準保護: Windows プロセスのスプーフィングを防止する)

注：これらのルールは、デフォルトで無効になっています。これらのルールを有効にしていない場合、この問題は発生しません。

次のような症状があります。

Windows ログオン時の空白の画面
explorer.exe や services.exe などの Windows プロセスのブロック
ePolicy Orchestrator のダッシュボードに 1092 と 1095 のイベントが突然記録される

SysCore の影響を受けるバージョンにアップグレードするソフトウェアには、次のものがあります。

Host IPS 8.0 Patch 7
MA HotFix 1110392 (5.0.2.333)
VSE 8.8 Patch 7

システムの変更

次のいずれかのソフトウェアパッケージをアップグレードまたは配備しました。

Host IPS 8.0 Patch 7
MA Hotfix 1110392 (5.0.2.333)
VSE 8.8 Patch 7

解決策 1

この問題は VirusScan Enterprise 8.8.0 Update 9 で解決されています。製品ダウンロードサイト http://mcafee.com/us/downloads/downloads.aspx から入手可能です。

注記: アクセスするには有効な承認番号が必要です。 KB56057 には、製品ダウンロードサイトに関する追加情報と、いくつかの製品に関する別のダウンロードサイトの場所が掲載されています。

更新は累積的です。このため、テクニカルサポートは、最新の更新をインストールすることをお勧めします。

VSE 8.8 Patch 16 が最新のパッチです。ServicePortal (https://support.mcafee.com/downloads) の [ダウンロード] タブから入手可能です。

注: VSE 8.8 Patch 16 は、すべてのサポートされている Windows オペレーティングシステムに対応しています。

解決策 2

この問題は以前 VSE 8.8 Patch 6 および 7 HotFix 1123565 で解決されました。

更新は、ServicePortal https://support.mcafee.com/downloads にログオンすると入手できます。

回避策 1

AP ルール違反に関連する問題を回避するには、前述の AP ルールに次の除外を追加します。

**\smss.exe
c:\windows\csrss.exe
c:\windows\explorer.exe
c:\windows\system32\services.exe
c:\windows\system32\smss.exe
c:\windows\system32\svchost.exe
c:\windows\system32\userinit.exe
c:\windows\system32\winlogon.exe
c:\windows\syswow64\csrss.exe
c:\windows\syswow64\explorer.exe
c:\windows\syswow64\svchost.exe
c:\windows\syswow64\userinit.exe

AP ルール違反の影響を受けたシステムを復旧するには：

重要： 以下の手順は、AP ルールの影響を既に受けているシステムにのみ適用されます。

上記のとおり AP ルールポリシーを修正してください。
システムを強制的に再起動します (システムの電源を切り、電源を入れます)。
通常どおりログオンします。

回避策 2

以下のルールを無効にします。

共通プログラムが一時フォルダーからファイルを実行できないようにする
svchost が非 Windows 実行可能ファイルを実行できないようにする
プログラムが自動実行に登録できないようにする
Windows プロセスのスプーフィングを防止する (ウイルス対策の標準保護: Windows プロセスのスプーフィングを防止する)

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

影響を受ける製品

Host Intrusion Prevention 8.0 (EOL)
Known Issue/Product Defect
VirusScan Enterprise 8.8 (EOL)

言語:

この記事は、次の言語で表示可能です:

German
English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

SysCore 15.4.0.811 にアップグレードすると、Windows プロセスのスプーフィングを防止するためのアクセス保護ルールにより、正しいプロセスがブロックされる

環境

問題

システムの変更

解決策 1

解決策 2

回避策 1

回避策 2

免責事項

影響を受ける製品

言語:

Title

Title

Knowledge Center

SysCore 15.4.0.811 にアップグレードすると、Windows プロセスのスプーフィングを防止するためのアクセス保護ルールにより、正しいプロセスがブロックされる

環境

問題

システムの変更

解決策 1

解決策 2

回避策 1

回避策 2

免責事項

影響を受ける製品

言語:

地域を選択してください

Title

Title