Windows クライアント用の検疫の管理

ウイルス アウトブレーク戦略の重要な部分として検疫設定を管理します。
ウイルス スキャンとスパイウェア スキャン、または SONAR が脅威を検出すると、
Symantec Endpoint Protection
は疑わしいファイルを感染したコンピュータのローカル検疫に移動します。クライアントはファイルを修復、修復して復元、または削除します。
クライアントがリスクを検出し、ファイルを検疫すると、クライアントは管理サーバに通知します。管理サーバが検疫ファイルを自動的に要求して取り込むようにできます。管理サーバはリスク サンプルをデータベースにアップロードして格納してそのイベントの詳細を表示し、それらをさらに分析するためにダウンロードできるようにします。ファイルを社内のマルウェアまたはセキュリティチームに送信してリバースエンジニアリングを行ったり、分析用の別のサンドボックスに送信したりすることもできます。これが誤検知である可能性がある場合、シマンテック サポートに連絡してケースを記録してください。
バージョン 14 以降には中央検疫サーバは含まれません。
14.3 RU2 以降、中央検疫サーバは使用できません。代わりに、クライアントは Symantec Endpoint Protection Manager に検疫ファイルを提出します。
管理サーバへの検疫ファイルのアップロード
デフォルトでは、管理サーバはクライアントから検疫ファイルを取り込みません。この設定を有効にする必要があります。
検疫ファイルをアップロードする方法
  1. コンソールで、
    [管理]
    >
    [ドメイン]
    >
    [ドメイン プロパティの編集]
    をクリックします。
  2. [全般]
    タブで
    [クライアントから検疫済みファイルをアップロードする]
    をクリックし、
    [OK]
    をクリックします。
クライアントが検疫して管理サーバにアップロードしたファイルをダウンロードする方法
  1. コンソールで、
    [監視]
    >
    [ログ]
    をクリックし、
    [リスク]
    ログの種類を選択します。
  2. ログを開いて検疫ファイルを選択し、
    [処理]
    ドロップダウン リストで、
    [クライアントが検疫したファイルをダウンロード]
    をクリックします。
検疫の設定
検疫がクライアントのファイルを処理する方法は、以下のオプションを修正できます。
  • クライアントに新しい定義が到着した場合
    デフォルトでは、新しい定義が到着すると、クライアントは検疫内のアイテムを再スキャンし、自動的にアイテムを修復してサイレントに復元します。検疫にあるファイルまたはアプリケーションの例外を作成した場合、
    Symantec Endpoint Protection
    は新しい定義の到着後にファイルを復元します。
  • 検疫アイテムを格納する場所
    デフォルトでは、検疫はデフォルトのフォルダにバックアップファイル、修復したファイル、検疫ファイルを格納します。検疫のクリーンアップ機能は、ファイルが指定された時間を超えた場合、または格納されるディレクトリが一定のサイズに達した場合に、検疫内のファイルを自動的に削除します。ファイルは 30 日後に自動的に削除されます。
    デフォルトの検疫ディレクトリ(
    %ProgramData%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Quarantine
    )を使って検疫ファイルをクライアント コンピュータに格納したくない場合、異なるローカル ディレクトリを指定できます。パスを入力するときにパーセント記号を使うことでパス展開を使用できます。たとえば、
    %COMMON_APPDATA%
    と入力します。相対パスは指定できません。
検疫を設定する方法
  1. ウイルスとスパイウェアの対策ポリシーで、
    [Windows の設定]
    >
    [検疫]
    をクリックします。
  2. [全般]
    タブの、
    [新しいウイルス定義の到着時]
    [ローカル検疫オプション]
    を設定します。
    検疫アイテムの処理方法と検疫ファイルを格納するローカル フォルダを指定します。次のサイトを参照してください。
  3. [OK]
    をクリックします。
検疫にあるファイルの削除
検疫では、指定した日数後、修復したファイル、バックアップ ファイル、検疫ファイルが自動的に削除されます。ファイルを格納するフォルダが指定したサイズに達したときに、または指定の日数後にファイルを削除するように検疫を設定できます。
多数のファイルが蓄積されないように、定期的にクライアント コンピュータの検疫を調べる必要があります。ネットワークで新しいウイルスアウトブレークが現れたときには検疫ファイルを調べます。
不明な感染のあるファイルは検疫に残します。クライアントが新しい定義を受信すると、検疫内にあるアイテムを再スキャンして、ファイルを削除または修復することがあります。
バックアップが存在する場合や、信頼に値するソースから入手したファイルのコピーがある場合は検疫ファイルを削除できます。検疫ファイルは感染したコンピュータで直接、または
Symantec Endpoint Protection
コンソールのリスクログを使って削除できます。
Symantec Endpoint Protection
が圧縮ファイル内でリスクを検出した場合、圧縮ファイルがまとめて検疫されます。ただし、リスクログには圧縮ファイル内の各ファイルのエントリが別々に含まれています。圧縮ファイル内のすべてのリスクを正しく削除するには、圧縮ファイル内のすべてのファイルを選択する必要があります。
ファイルを自動的に削除するようにクライアントを設定する方法
  1. ウイルスとスパイウェアの対策ポリシーで、
    [Windows の設定]
    >
    [検疫]
    をクリックします。
  2. [クリーンアップ]
    タブでオプションのチェックマークを付けるかはずして有効または無効にして、間隔とサイズの最大値を設定します。次のサイトを参照してください。
  3. [OK]
    をクリックします。
リスク ログからファイルを削除する方法
  1. コンソールで、
    [監視]
    をクリックします。
  2. [ログ]
    タブの
    [ログの種類]
    リストボックスで、
    [リスク]
    ログを選択して
    [ログの表示]
    をクリックします。
  3. 次のいずれかの処理を実行します。
    • 検疫されたファイルが含まれているログでエントリを選択します。
    • 圧縮ファイル内のファイルのすべてのエントリを選択します。
      圧縮ファイルのすべてのエントリがログ表示に含まれている必要があります。
      [追加設定]
      [限度]
      オプションを使うと、表示されるエントリの数を増やすことができます。
  4. [処理]
    リスト ボックスで、
    [検疫から削除]
    を選択します。
  5. [開始]
    をクリックします。
  6. ダイアログ ボックスが表示されたら、
    [削除]
    をクリックしてから
    [OK]
    をクリックします。