マルウェア対策ポリシー - 拡張設定

Symantec Endpoint Security
のマルウェア対策ポリシーには、Auto-Protect 機能と他のマルウェア対策機能の拡張設定が含まれています。
マルウェア対策の拡張設定
オプション
説明
Auto-Protect を有効にする
ファイル システムの Auto-Protect を有効または無効にします。デフォルトでは、Auto-Protect は有効になっています。
ビヘイビア分析を有効にする
ビヘイビア分析を有効または無効にします。
ビヘイビア分析(別名: SONAR)は、潜在的に悪質なアプリケーションがコンピュータで実行されたときに検出するリアルタイム保護です。ビヘイビア分析では、ヒューリスティックに加えて評価データを使用し、広がりつつある未知の脅威を検出します。ビヘイビア分析は、脅威に対応するために従来のウイルスやスパイウェアの検出定義が作成される前に脅威を検出するため、「ゼロデイ」対策となります。
Symantec Early Launch Antimalware を有効にする
早期起動マルウェア対策(ELAM)は、起動時にロードされる脅威からデバイスを保護します。
Endpoint Security
には早期起動マルウェア対策ドライバが用意されており、Microsoft の早期起動マルウェア対策ドライバと連携して保護を提供します。この設定は Microsoft Windows 8 と Windows Server 2012 でサポートされます。
早期起動マルウェア対策ドライバは特別な種類のドライバで、最初に初期化され、他の起動時のドライバに悪質なコードがないかどうかを調べます。
Endpoint Security
ドライバが起動時のドライバを検出すると、そのドライバが安全か、危険か、または不明かを判断します。
Endpoint Security
ドライバはその情報を Windows に渡し、検出されたドライバを許可するか、遮断するかを決定します。
Endpoint Security
の設定には、危険なドライバまたは危険で重大なドライバを不明ドライバとして扱うためのオプションがあります。危険で重大なドライバとは、マルウェアとして識別されるがコンピュータの起動に必要なドライバを指します。デフォルトでは、Windows は不明なドライバのロードを可能にしています。この優先オプションは、誤認検出によって重要なドライバが遮断される場合に選択することができます。重要なドライバを遮断すると、デバイスを起動できなくなる可能性があります。
Endpoint Security
の設定を有効にするには、Windows の早期起動マルウェア対策ドライバを有効にする必要があります。Windows グループポリシーエディタを使い、Windows ELAM の設定の表示と修正を行います。詳しくは、Windows のマニュアルを参照してください。
Microsoft Outlook Auto-Protect を有効にする
Microsoft Exchange 電子メールクライアント(Outlook)の Auto-Protect を有効または無効にします。
Auto-Protect の拡張オプション
Auto-Protect の拡張オプション
オプション
説明
コンピュータの起動時に Auto-Protect をロード
コンピュータのオペレーティング システムを起動するときに Auto-Protect をロードし、コンピュータを終了するときにアンロードします。このオプションは、複数のウイルスから保護する場合に役立ちます。終了中に Auto-Protect がウイルスを検出すると、感染ファイルを一時検疫フォルダに送ります。続いて、自動保護は起動時にウイルスを検出し、警告通知を作成します。
このオプションが有効なデバイスで Auto-Protect を無効にした場合、デバイスを再起動するたびに Auto-Protect が短時間だけ機能します。メインの クライアントサービスが起動するときに、Auto-Protect が無効になります。
ファイルキャッシュを有効にする
リスク追跡を有効にする
ファイルがアクセスされたときにスキャンする
書き込み、開く、移動、コピー、実行時にファイルをスキャンします。
より確実なファイルシステム保護が必要な場合は、このオプションを使います。Auto-Protect はすべてのファイル操作に対してスキャンを実行するため、このオプションはパフォーマンスに影響を与える可能性があります。
ファイルの修正時にスキャンする
ファイルが書き込み、修正、コピーされたときに、ファイルをスキャンします。
このオプションを使うと、Auto-Protect はファイルが書き込み、修正、コピーされたときにだけスキャンを行うため、パフォーマンスがわずかに向上します。
ファイルのバックアップ作成時にスキャンする
バックアップ中に別の処理がファイルに書き込みを行おうとしている場合にバックアップ中にファイルをスキャンします。バックアップ処理はバックアップ中にファイルの読み取りのみを行うため、バックアップ処理自体がスキャンを開始することはありません。
このオプションを無効にすると、Auto-Protect はバックアップ中にファイルをスキャンしません。ただし、この設定に関係なく、クライアントはバックアップから復元したファイルをスキャンします。
信頼できるプロセスがファイルにアクセスするときファイルをスキャンしない
Endpoint Security
が安全と判断する Windows Search Indexer やその他のプロセスでアクセスされるファイルをスキップします。
[カスタム リストの有効化]
では、安全だとわかっている信頼できるプロセスのリストを有効または無効にできます。シマンテック社が安全であるとしてすでに信頼しているプロセスに加えて、このリストが追加として使われます。プロセスを追加するには、
[カスタム プロセスの追加]
オプションを使用します。たとえば foo.exe のように、パス名なしでプロセス名を追加します。
常に新しく作成された感染ファイルを削除する
このオプションを有効にすると、リスクの種類に対して設定されている処理に関係なく、新しい感染ファイルが削除されます。この設定は、ウイルスが含まれる既存のファイルの Auto-Protect 検出には適用されません。処理が
[削除]
に設定されていない場合、Auto-Protect はデバイスにすでに存在する感染ファイルを削除しません。
常に新しく作成されたセキュリティリスクを削除する
このオプションは
[常に新しく作成された感染ファイルを削除する]
が有効なときにのみ利用できます。このオプションを有効にすると、リスクの種類に設定されている処理に関係なく、セキュリティリスクを含んでいる新しく作成されたファイルが削除されます。この設定はセキュリティリスクが含まれる既存のファイルの Auto-Protect 検出には適用されません。処理が
[削除]
に設定されていない場合は、Auto-Protect はクライアントコンピュータにすでに存在するセキュリティリスクを削除しません。
Windows Defender との共存
このオプションを有効にすると、Auto-Protect の実行前に Windows Defender を実行できます。このオプションはデフォルトではオフになっています。
リモートコンピュータでファイルをスキャンする場合のネットワークオプションを指定します。
リモート コンピュータでの Auto-Protect スキャンのオプション
  • リモートコンピュータ上でファイルをスキャンする
    ネットワークドライブのスキャンを有効または無効にします。このオプションを無効にすると、デバイスのパフォーマンスが向上する場合があります。
    ネットワーク ドライブのスキャンが有効になっている場合、デバイスがサーバからファイルにアクセスしたときに Auto-Protect でファイルをスキャンします。
  • ファイルの実行時のみ
    デフォルトでは、Auto-Protect はファイルの実行時にのみリモート コンピュータ上のファイルをスキャンします。このオプションを無効にしてリモート コンピュータ上のすべてのファイルをスキャンできますが、デバイスのパフォーマンスに影響する可能性があります。
  • ネットワークキャッシュ
    Auto-Protect がすでにスキャンしたネットワーク サーバのファイルの記録を有効または無効にします。
    このオプションは、Auto-Protect が同じファイルを繰り返してスキャンするのを防ぎ、システムのパフォーマンスを向上させます。
  • 保存数: <数値> エントリ
    Auto-Protect がスキャンして記憶するファイル(エントリ)の数を設定します。
  • エントリを削除するまで <数値> 秒
    ファイルがキャッシュから削除されるまでのタイムアウトを設定します。期限切れになると、デバイスがネットワーク ファイルをネットワーク サーバに要求したときに、Auto-Protect は再度これらのファイルをスキャンします。
Auto-Protect ファイル キャッシュのオプション
Auto-Protect ファイル キャッシュのオプション
オプション
説明
ファイルキャッシュを有効にする
Auto-Protect はファイルキャッシュを使用して、前回のスキャンでのクリーンファイルを記憶します。ファイルキャッシュは起動の間も保持されます。デバイスがシャットダウンして再起動した場合、Auto-Protect はクリーン ファイルを記憶しており、そのスキャンを実行しません。
ファイルキャッシュは Auto-Protect のメモリ使用量を減らし、Auto-Protect スキャンのパフォーマンス改善に役立ちます。
Auto-Protect は次のような状況ではファイルを再スキャンします。
  • デバイスは新しい定義をダウンロードします。
  • Auto-Protect が動作していない間にファイルが変化している可能性があることを Auto-Protect が検出した
Auto-Protect が常にすべてのファイルをスキャンする必要がある場合はファイルキャッシュを無効にできます。ファイル キャッシュを無効にすると、デバイスのパフォーマンスに影響する可能性があります。
トラブルシューティングのためのこのオプションを無効にできます。このオプションを無効にすると、デバイスが再起動するときに Auto-Protect はすべてのファイルを再スキャンします。
ファイル キャッシュ サイズ
使用するカスタムファイルキャッシュエントリの数を指定できます。このオプションは、多数のファイルをキャッシュするファイル サーバや Web サーバで役立ちます。
Auto-Protect リスク追跡のオプション
Auto-Protect リスク追跡のオプション
オプション
説明
リスク追跡を有効にする
リスク追跡は、デバイスにおけるネットワーク共有ベースのウイルス感染のソースを識別します。リスク追跡は攻撃側の IP アドレスを遮断しません。ファイアウォールポリシーで、IP アドレスを自動的に遮断するオプションがデフォルトで有効になっています。
送信元コンピュータの IP アドレスを解決する
このオプションが無効な場合、リスク追跡はコンピュータの NetBIOS 名のみを調査して記録します。このオプションが有効な場合、リスク追跡は既知の NetBIOS 名から IP アドレスの取得を試みます。
感染がリモートコンピュータから発生した場合、リスク追跡は次の処理を実行できます。
  • そのコンピュータの NetBIOS コンピュータ名と IP アドレスをルックアップして記録する
  • 配信時刻にそのコンピュータにログオンしていたユーザーをルックアップして記録する
ネットワークセッションのポーリング間隔 <数> ミリ秒
ネットワークセッションのポーリングを有効または無効にします。
値を小さくすると、CPU とメモリの使用量が増加します。また、値を小さくすると、脅威によってネットワーク共有がオフになる前にリスク追跡がネットワーク セッションの情報を記録できる可能性が高くなります。
値を大きくするとシステムのオーバーヘッドは減少しますが、感染源を検出するリスク追跡の機能は低下します。
リスク追跡はネットワークセッションの有無を指定された間隔でポーリングして、この情報をリモートコンピュータのセカンダリソースリストとしてキャッシュします。この情報はリスク追跡が感染リモートコンピュータを正常に識別できる頻度を最大化します。たとえば、リスク追跡がネットワークセッションを記録する前にリスクがネットワーク共有を閉じる場合があります。その場合リスク追跡はセカンダリソースリストを使ってリモートコンピュータの識別を試みます。
ビヘイビア分析の拡張オプション
ビヘイビア分析の拡張オプション
オプション
説明
DNS 変更の検出
ホスト ファイル変更の検出
ビヘイビア分析が DNS 変更またはホスト ファイル変更を検出したときに行う処理を設定します。
ビヘイビア分析は、プロセスがホスト ファイルのオープンやアクセスを試行しているときには、どの処理も行いません。ビヘイビア分析は、プロセスがホスト ファイルを修正するときに処理を行います。
DNS またはホスト ファイルの変更設定では、ビヘイビア分析による検出からアプリケーションは除外されません。ビヘイビア分析は、アプリケーションが疑わしい動作を示すと必ずそのアプリケーションを検出します。
次の処理を設定できます。
  • 無視
    検出を無視します。これはデフォルトの処理です。
    [無視]
    以外のどの処理でも、コンソールに多数のログイベントが表示され、管理者に電子メール通知が送信される可能性があります。
  • 遮断
    変更を遮断します。
    処理を
    [遮断]
    に設定した場合、デバイス上の重要なアプリケーションが遮断される可能性があります。
    たとえば、
    [DNS 変更の検出]
    の処理を
    [遮断]
    に設定すると、VPN クライアントが遮断される可能性があります。
    [ホストファイル変更の検出]
    の処理を
    [遮断]
    に設定すると、ホストファイルにアクセスする必要があるアプリケーションが遮断される可能性があります。
  • ログのみ
    変更を許可しますが、イベントのログエントリを作成します。この操作によって、ログファイルのサイズが大きくなる可能性があります。
リモートコンピュータ上でファイルをスキャンする
ネットワーク ドライブ上でのビヘイビア分析スキャンを有効または無効にします。
ネットワークドライブをターゲットにするファイルをスキャンする必要があるときにこのオプションを有効にします。デバイスのパフォーマンスを向上させるには、このオプションを無効にします。ビヘイビア分析では、ネットワーク ドライブに感染する Sality などのワームを検出します。Sality は Microsoft Windows システムのファイルに感染して、リムーバブルドライブやネットワーク共有を介して伝染する修理のマルウェアです。