VirusScan Enterprise 8.8 製品ガイド

McAfee VirusScan Enterprise 8.8 ソフトウェア製品ガイド

著作権

Copyright © 2010 McAfee, Inc. All Rights Reserved.

このマニュアルのいかなる部分も、McAfee Inc. またはその代理店または関連会社の書面による許可なしに、形態、方法を問わず、複写、送信、転載、検索システムへの保存、および多言語に翻訳することを禁じます。

商標

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE),MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELDは米国法人McAfee, Inc. または米国またはその他の国の関係会社における登録商標、または商標です。McAfee ブランドの製品は赤を基調としています。その他全ての登録商標及び商標はそれぞれの所有者に帰属します。

ライセンス情報

ライセンス条項

お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェアパッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額全額をお返しいたします。

McAfee VirusScan Enterprise 8.8 製品ガイド2

目次

まえがき......................................................................................6

対象読者.................................................................................6

表記規則.................................................................................6

本書の構成...............................................................................7

製品マニュアルの検索......................................................................8

はじめに......................................................................................9

VirusScan Enterprise について..............................................................9

コンポーネントおよび各コンポーネント間の動作...............................................10

セキュリティ対策の作成の重要性............................................................11

VirusScan コンソールとそのアクセス方法....................................................13

VirusScan コンソールとその動作.....................................................13

右クリック機能の使用..............................................................14

システムトレイアイコンとその動作.................................................15

最初に行う作業...........................................................................18

パート Ⅰ －防止:脅威の回避..............................................................20

アクセス保護.............................................................................20

アクセス脅威の阻止方法............................................................21

ユーザインターフェースへのアクセスの制御..........................................22

システムのアクセスポイントの保護.........................................................25

アクセス保護ルールを定義する方法...................................................25

アクセスポイント違反と VirusScan Enterprise の対応.................................26

ユーザ定義ルールの種類............................................................27

アクセス保護の設定................................................................27

バッファオーバーフロー攻撃のブロック.....................................................36

バッファオーバーフロー攻撃のしくみ................................................37

バッファオーバーフロー保護の設定..................................................38

不審なプログラムの制限...................................................................40

不審なプログラムの設定............................................................40

検出定義のアップデート...................................................................45

DAT ファイルとその機能............................................................45

アップデート方法の重要性..........................................................46

3McAfee VirusScan Enterprise 8.8 製品ガイド

アップデートタスクとその機能......................................................47

ミラータスクとその機能...........................................................48

AutoUpdate リポジトリのしくみ......................................................50

DAT ファイルのロールバックのしくみ.................................................51

スキャンアイテムの除外..................................................................51

除外対象の指定....................................................................52

ワイルドカードを使用したスキャンアイテムの指定方法.................................52

スケジュール設定されたタスクの使用........................................................53

タスクのスケジュール設定..........................................................53

タスクスケジュールの設定.........................................................53

パート II －検出:脅威の検索..............................................................55

アイテムのオンアクセススキャン...........................................................55

オンアクセススキャンとその動作....................................................55

スキャンの比較:ディスクへの書き込みとディスクからの読み取り.........................56

スキャンの比較:すべてのファイルのスキャンとデフォルトの拡張子と追加した拡

張子のスキャン...............................................................57

スクリプトスキャンとその動作......................................................57

Artemis の動作....................................................................57

スキャンポリシーの数の決定.......................................................58

全般設定とプロセス設定の設定方法...................................................59

アイテムのオンデマンドスキャン...........................................................67

オンデマンドスキャンとその動作....................................................67

オンデマンドスキャンの方法とその定義方法..........................................68

リモートストレージのスキャンの機能のしくみ........................................68

スキャンの遅延のしくみ............................................................69

システム使用率の機能..............................................................69

オンデマンドスキャンタスクの設定.................................................69

グローバルシステムキャッシュの設定...............................................73

配信時とオンデマンドの電子メールスキャン.................................................75

ePolicy Orchestrator 4.5 または 4.6................................................75

ePolicy Orchestrator 4.0..........................................................76

VirusScan コンソール..............................................................76

配信時電子メールスキャンポリシーのタブの定義......................................77

パート III －対応:脅威の処理............................................................78

検出および対応...........................................................................78

検出時のスキャナアクション.......................................................78

システムのアクセスポイント違反....................................................79


目次

バッファオーバーフロー検出.......................................................79

不審なプログラムの検出............................................................79

オンアクセススキャン検出.........................................................80

オンデマンドスキャン検出.........................................................81

電子メールスキャンによる検出......................................................81

隔離アイテム......................................................................81

アラートおよび通知の設定.................................................................84

アラートの設定....................................................................84

クエリおよびダッシュボードへのアクセス....................................................87

緊急 DAT の設定..........................................................................88

緊急 DAT について.................................................................88

SuperDAT ファイルのダウンロード ...................................................89

ePolicy Orchestrator リポジトリへの SuperDAT ファイルのインストール..................89

クライアントシステムへの EXTRA.DAT ファイルのインストール..........................90

パート IV －保護状況の監視、分析、および微調整.......................................91

環境内の動作の監視.......................................................................91

動作監視用のツール................................................................91

保護状況の分析...........................................................................93

分析の重要性......................................................................93

保護状況の分析例..................................................................93

付録..........................................................................................96

ePolicy Orchestrator のサーバタスクの設定................................................96

サンプルサーバタスクの設定.......................................................97

VirusScan Enterprise でのコマンドラインの使用.............................................98

オンデマンドスキャンのコマンドラインオプション....................................98

アップデートタスクのコマンドラインオプション.....................................100

リモートシステムへの接続...............................................................101

VirusScan Enterprise がインストールされているリモートシステムへのアクセス..........101

分析用の脅威サンプルの送信...............................................................102

McAfee ラボの脅威ライブラリへのアクセス..................................................103

トラブルシューティング..................................................................103

製品インストール内容の修復.......................................................103

オンアクセス動作ログファイルの表示...............................................104

トラブルシューティング時の MER ツールの使用.......................................105

トラブルシューティング時の VirusScan Enterprise の無効化...........................105

推奨のサポートツールとトラブルシューティングツール...............................109

よく寄せられる質問...............................................................110


目次

まえがき

このマニュアルを有効に活用するには、本書の対象読者、表記規則、内容、および他のリファ

レンスマニュアルを検索する方法を理解する必要があります。

目次

対象読者

表記規則

本書の構成

製品マニュアルの検索

対象読者McAfee のマニュアルは、対象読者に合わせて綿密に調査および記述されています。

このガイドの情報は、主に以下の方を対象としています。

• 管理者－企業のセキュリティプログラムを実装および施行します。

• ユーザ－各自のシステム上の製品オプションを設定したり、各自のシステムを更新した

りします。

表記規則このマニュアルでは、次の表記規則を使用しています。

文書/章/トピックのタイトル、新しい用語、強調語句を

表します。

文書タイトルまたは強調語句

強調されるテキストを表します。太字

ユーザが入力するコマンドや他のテキスト、フォルダや

プログラムのパスを表します。ユーザ入力またはパス

コードサンプルを表します。コード

オプション、メニュー、ボタン、ダイアログボックスな

どのユーザインターフェース要素のテキストを表しま

す。

ユーザインターフェース

トピックまたは Web サイトへの直接リンクを表します。青いハイパーテキスト

オプションにアクセスするための代替方法などの追加情

報を表します。

注

提案事項や推奨事項を表します。ヒント

お使いのコンピュータシステム、インストール済みソフ

トウェア、ネットワーク、ビジネス、データなどを保護

するための有用なアドバイスを表します。

重要/注意

ハードウェア製品の使用時に身体的な被害を防止するた

めの重要なアドバイスを表します。

警告


本書の構成このマニュアルは、VirusScan コンソールや ePolicy Orchestrator のユーザインター

フェースを操作しながら参照するためのリファレンスとして提供されています。また、

VirusScan Enterprise を使用してお使いのシステムをマルウェアから保護するための方法も

順序立てて説明しています。このプロセスを説明するために、このマニュアルは次の 4 つの

主要パートと付録に分かれています。

• パート Ⅰ －防止:脅威の回避－お使いのシステムを保護するための最善の方法は、お

使いのシステムに対するあらゆるマルウェアからのアクセスを防止することです。この

パートでは、以下について説明します。

• システムのアクセスポイントとメモリをオーバーフローエラーや不審なプログラムか

ら保護する方法。

• 検出定義、これらを使用してシステムを保護する方法、およびこれらの定義を定期的に

更新することの重要性。

• ファイル、フォルダ、およびディスクをスキャン対象から除外する方法。

• スケジュール設定されたタスクを使用して、システムを定期的にスキャンしたり、

VirusScan Enterprise によって使用されるファイルを更新したりする方法。

• パート II －検出:脅威の検索－他のファイルシステムやインターネットから開かれ

るかコピーされたファイルは、お使いのシステムへのアクセス手段を提供する可能性があ

ります。また、アプリケーションプログラミングインターフェース（API）の呼び出し

とスクリプトは、お使いのシステムに脅威をもたらす危険性があります。これらの脅威

は、VirusScan Enterprise による以下のスキャンプロセスで検出されます。

• オンアクセススキャン－ディスク上のファイルの読み書き時にファイルまたはマル

ウェアをスキャンするとともに、ブートセクタを保護して、既に実行中のプロセスの

メモリをスキャンして、Cookie を検出して、不審なプログラムから保護します。

• オンデマンドスキャン－設定されたスケジュールに従って、または VirusScan コン

ソールから開始されたときに必要に応じて、システム全体をスキャンして脅威を検索

します。

• 配信時およびオンデマンドの電子メールスキャン－ Microsoft Outlook および Lotus

Notes の電子メールを通じて侵入するマルウェアから保護します。

• バッファオーバーフロー保護－特定のプロセスによる API 呼び出しを分析して、こ

れらの呼び出しがメモリバッファ内の隣接するデータを上書きしようとしていないこ

とを確認します。

• ScriptScan － Windows Script Host を使用するアクセスされたブラウザや他のアプリ

ケーションから脅威を検索します。

• パート III －対応:脅威の処理－ VirusScan Enterprise は、脅威が検出されたときに

次のいずれかのステップを実行するように設定できます。

• その脅威へのアクセスを拒否するか、追加のアクションを実行しない。

• その脅威を削除または駆除する。これらのどちらかのアクションが実行されると、オリ

ジナルファイルのコピーが隔離フォルダに格納されます。

注意: 脅威の検出時に、VirusScan Enterprise からユーザに通知するかどうかを設定で

きます。

• パート IV －保護状況の監視、分析、および微調整－保護を開始したら、ePolicy

Orchestrator のクエリとレポートを使用してお使いのシステムを監視する必要がありま

す。そうすることで、システムの保護を強化するか緩和するために、セキュリティ設定を

変更するという判断を下すことができます。また、VirusScan コンソールのログと SNMP

まえがき本書の構成


（Simple Network Management Protocol）トラップを使用して、お使いのシステムを監視

することもできます。

• 付録－ VirusScan Enterprise の使用時に知っておくべきいくつかの追加機能について

説明します。たとえば、VirusScan Enterprise のコマンドラインオプションや、VirusScan

Enterprise を通じてリモートシステムに接続する機能などです。

製品マニュアルの検索McAfee は、製品のインストールから使用やトラブルシューティングにいたるまで、製品導入

の各段階で必要な情報を提供しています。製品のリリース後は、その製品の情報は、McAfee

のオンライン知識ベースに掲載されます。

1 McAfee テクニカルサポート ServicePortal（http://mysupport.mcafee.com）にアクセ

スしてください。

2 ［Self Service］の下に表示されるメニューから、必要な種類の情報にアクセスします。

手順アクセス対象

ユーザマニュアル 1 ［Product Documentation］をクリックします。

2 ［Product］を選択してから、［Version］を選択します。

3 製品マニュアルを選択します。

知識ベース • お使いの製品に関する質問に対する回答を探すには、［Search the

KnowledgeBase］をクリックします。

• 製品別およびバージョン別に一覧表示された記事を参照するには、

［Browse the KnowledgeBase］をクリックします。

まえがき製品マニュアルの検索


http://mysupport.mcafee.com

はじめに

McAfee®VirusScan

®Enterprise 8.8 ソフトウェアのコンポーネントについて、およびこのソ

フトウェアの設定順序について理解することは、お使いのシステムを脅威から保護するのに

役立ちます。

目次

VirusScan Enterprise について

コンポーネントおよび各コンポーネント間の動作

セキュリティ対策の作成の重要性

VirusScan コンソールとそのアクセス方法

最初に行う作業

VirusScan Enterprise についてVirusScan Enterprise ソフトウェアがインストールされると同時に、お使いのシステムは脅

威から保護されます。保護を強化するためには、このソフトウェアの役割、このリリースの

新機能、およびその主要なコンポーネントを理解する必要があります。

VirusScan Enterprise の内容と役割

VirusScan Enterprise は、拡張性の高い保護機能、高速なパフォーマンス、およびモバイル

向けのデザインを通じてユーザの環境を以下から保護します。

• ウィルス、ワーム、およびトロイの木馬

• アクセスポイント違反とバッファオーバーフロー攻撃

• 怪しいコードとプログラム

脅威を検出すると、使用中の環境を保護するよう設定されたアクションを実行します。

このソフトウェアは、スタンドアロン製品として設定することもできますが、McAfee®ePolicy

Orchestrator®ソフトウェアバージョン 4.0 以降を使用して、VirusScan Enterprise のポ

リシーを管理および施行して、クエリとダッシュボードを使用して動作と検出状況を追跡す

ることもできます。

注意: 本書では、ePolicy Orchestrator 4.0、4.5、および 4.6 の使用について説明します。

これらのバージョンの ePolicy Orchestrator の使用については、そのバージョンの製品マ

ニュアルを参照してください。

新機能

本リリースには、以下の新機能が含まれています。

• パフォーマンスが向上しました。


• ePolicy Orchestrator 4.5 および 4.6 を使用して VirusScan Enterprise システムを管

理できます。

• レジストリを手動で編集する代わりに、新しい ScriptScan URL 除外機能を使用すること

で、除外の設定を行うことができます。

• AntiSpyware Enterprise Module は、VirusScan Enterprise 8.8 ソフトウェアに完全に

統合されています。

• Outlook 2010 の電子メールスキャンをサポートしています。

• Lotus Notes 8.0x ～ 8.5.1 の電子メールスキャンをサポートしています。

コンポーネントおよび各コンポーネント間の動作VirusScan Enterprise の管理者とユーザは、このソフトウェアのコンポーネントと接続につ

いて理解する必要があります。次の図では、基本的な環境でのこれらのコンポーネントを示

しています。

図 1: VirusScan Enterprise のコンポーネント

クライアントシステム

ここに VirusScan Enterprise とオプションの McAfee Agent をインストールして設定しま

す。

• DAT ファイル－検出定義ファイルは、マルウェアシグネチャとも呼ばれ、スキャンエ

ンジンと連携して脅威を識別して、これらの脅威に対してアクションを実行します。

• スキャンエンジン－クライアントコンピュータ上のファイル、フォルダ、およびディ

スクをスキャンして、これらを DAT ファイル内の情報と照らし合わせて、既知のウイル

スが潜んでいないか確認します。

注意: DAT ファイルとスキャンエンジンは、McAfee 本部へのインターネット接続を使用

して、または指定されたサーバへのオプションの企業イントラネット接続を使用して、必

要に応じて更新されます。

はじめにコンポーネントおよび各コンポーネント間の動作


• Artemis（不審なファイルのヒューリスティックネットワークチェック）－ VirusScan

Enterprise によって保護されているクライアントシステム上で実行されている不審なプ

ログラムや DLL を検索します。リアルタイムマルウェア防御機能は不審なプログラムを

検出すると、McAfee ラボによってホストされる中央のデータベースサーバに不審なファ

イルのフィンガープリントを含む DNS 要求を送信します。

• McAfee Agent（オプション）－ McAfee 管理対象製品と McAfee ePolicy Orchestrator

サーバとの間のセキュア通信を提供します。McAfee Agent は、イベントやプロパティの

報告、ログ記録、更新、タスクのスケジュール設定、通信、ポリシーの保管などのローカ

ルサービスも提供します。

McAfee 本部

McAfee 本部は、McAfee ラボと McAfee テクニカルサポートの拠点であり、次の VirusScan

Enterprise サービスを提供します。

• DAT アップデート－これらの DAT アップデートファイルは、McAfee の中央データベー

スサーバに保管されており、AutoUpdate を使用し、VirusScan Enterprise クライアン

トやオプションの DAT リポジトリにコピーされ、既知の脅威に対処するための情報や、

リアルタイムで発見されたばかりの既知のウイルスの新しいリストを提供します。

• スキャンエンジンアップデート－スキャンエンジンアップデートは、中央データ

ベースサーバに保管されており、VirusScan Enterprise のスキャンエンジンを最新状

態に保つために必要に応じてダウンロードされます。

• McAfee ラボ－この脅威ライブラリは、ウイルス、トロイの木馬、デマ、および怪しい

プログラム（PUP）の脅威に関する詳細情報を提供します。たとえば、これらの発生源、

システムへの感染手口、これらへの対処方法などです。Artemis 機能は不審なファイルの

フィンガープリントを McAfee ラボに送信し、このラボではそのファイルが分析されて、

実行すべきアクションが決定されます。

サーバ

オプションのサーバは、次のコンポーネントを使用して多数のクライアントシステムをリ

モートで管理および更新します。

• ePolicy Orchestrator － VirusScan Enterprise のポリシーを一元的に管理および施行

し、クエリとダッシュボードを使用して動作と検出状況を追跡します。

注意: 本書では、ePolicy Orchestrator 4.0、4.5、および 4.6 の使用について説明しま

す。ePolicy Orchestrator については、お使いのバージョンの製品マニュアルを参照し

てください。

• DAT リポジトリ－ DAT アップデートを McAfee のダウンロードサイトから取得します。

このリポジトリから、DAT ファイルを組織全体にわたって複製して、他のすべてのコン

ピュータからアクセスできるようにします。これにより、更新されたファイルを共有サイ

トにコピーするプロセスが自動化されるため、ネットワーク全体にわたって転送される

データ量が最少化されます。

セキュリティ対策の作成の重要性VirusScan Enterprise を使用して、お使いのクライアントシステムをウイルス、ワーム、

およびトロイの木馬ファイルから保護するには、入念に計画された対策が必要になります。

この対策は、脅威の防止と検出に関する設定、脅威への対応、および継続的な分析と調整か

らなります。

はじめにセキュリティ対策の作成の重要性


防止－脅威の回避

すべてのデータソースを確実に保護するためのセキュリティニーズを定義し、使用中の環

境にアクセスできるようになる前に侵入を阻止するための効果的な方法を開発します。次の

機能を設定して侵入を防止します。

• ユーザインターフェースセキュリティ－表示とパスワードの保護を設定して、VirusScan

Enterprise ユーザインターフェースへのアクセスを制御します。

• アクセス保護－アクセス保護ルールを使用して、コンピュータがファイル、レジスト

リ、およびポートに関して好ましくない動作をしないように保護します。

• バッファオーバーフロー保護－バッファにデータを書き込むときに、不正なプログラ

ムや脅威がバッファの境界を超えることや隣接するメモリを上書きすることを防止しま

す。これらの攻撃目的のバッファオーバーフローを発生させることで、お使いのコン

ピュータ上で任意のコードを実行可能になります。

• 不審なプログラムの保護 - スパイウェアやアドウェアなど、不審なプログラムをコン

ピュータから削除します。

検出－脅威の検索

侵入が発生したときにその侵入を検出するための効果的な方法を開発します。次の機能を設

定して脅威を検出します。

• アップデートタスク－ DAT とスキャンエンジンの自動アップデートを McAfee のダウ

ンロード Web サイトから取得します。

• オンアクセススキャナ－ファイルをディスクから読み取るときやディスクに書き込む

ときに、あらゆるソースに潜む脅威を検出します。Cookies フォルダ内をスキャンして、

不審な Cookie を探すこともできます。

• オンデマンドスキャンタスク－即時スキャンとスケジュールしたスキャンのタスクで

潜在的脅威を検出します。これまでに駆除されなかったスパイウェア関連のレジストリ

エントリや不審な Cookie を探すためにスキャンすることもできます。

• 配信時およびオンデマンドの電子メールスキャナ－配信時スキャンで電子メールメッ

セージ、添付ファイル、およびパブリックフォルダをチェックし、Microsoft Outlook

電子メールクライアント上の潜在的な脅威を検出します。Lotus Notes 電子メールクラ

イアントの潜在的な脅威は、メッセージにアクセスするときに検出します。

• Quarantine Manager のポリシー－隔離の場所および隔離アイテムの保管期間を指定し

ます。必要に応じて隔離したアイテムを復元します。

対応－脅威の処理

製品のログファイル、自動アクション、および他の通知機能を使用して、検出の処理に最適

な方法を決定します。

• アクション－検出時にアクションを実行するように各機能を設定します。

• ログファイル－製品のログファイルを監視して検出したアイテムの履歴を表示しま

す。

• クエリおよびダッシュボード－ ePolicy Orchestrator のクエリおよびダッシュボード

を使用して、スキャン動作および検出状況を監視します。

調整－保護状況の監視、分析、および微調整

VirusScan Enterprise を初期設定した後は、設定を監視および分析することをお勧めしま

す。これにより、システムとネットワークのパフォーマンスを高めることができるとともに、

必要に応じてウイルス保護レベルを強化できます。たとえば、次の VirusScan Enterprise

はじめにセキュリティ対策の作成の重要性


のツールと機能は、監視プロセス、分析プロセス、および微調整プロセスの過程で変更でき

ます。

• ログファイル（VirusScan コンソール）－検出されたアイテムの履歴を表示できます。

この情報を分析することで、保護を強化する必要があるのかどうかや、設定を変更してシ

ステムパフォーマンスを高める必要があるのかどうかを判断できることがあります。

• クエリおよびダッシュボード（ePolicy Orchestrator コンソール）－スキャン動作と

検出状況を監視できます。この情報を分析することで、保護を強化する必要があるのかど

うかや、設定を変更してシステムパフォーマンスを高める必要があるのかどうかを判断

できることがあります。

• スケジュール設定されたタスク－タスク（AutoUpdate と同様に）とスキャン時刻を変

更して、これらのタスクをオフピーク時に実行することでパフォーマンスを高めることが

できます。

• DAT リポジトリ－これらのソースファイルを移動してアップデートを必要とするクラ

イアントに近づけることで、企業のインターネットやイントラネット上のネットワーク

トラフィックを低減できます。

• スキャンポリシーの変更－ログファイルやクエリの分析結果に応じて、パフォーマン

スを高めたりウイルス保護を強化したりできます。たとえば、除外の設定、どのような場

合に危険度高または危険度低のプロファイルスキャンを使用するのかの設定、およびど

のような場合に書き込み時のスキャンを無効にするのかの設定は、すべてパフォーマンス

を高めることができます。

警告: ［ディスクからの読み取り時］スキャンを有効にしない場合は、お使いのシステム

はマルウェアによるさまざまな攻撃に対して無防備になります。

VirusScan コンソールとそのアクセス方法VirusScan コンソールは、スタンドアロンバージョンの当プログラムの動作に対するイン

ターフェースです。VirusScan コンソールを使用して、当製品を設定、監視、および更新で

きます。

注意: ここに記載された情報は、スタンドアロンバージョンの当製品にのみ適用され、管理

対象 ePolicy Orchestrator バージョンには適用されません。

VirusScan コンソールとその動作VirusScan Enterprise の役割とコンポーネントについて理解したら、その機能にアクセスす

る方法を理解する必要があります。VirusScan Enterprise 8.8 コンソールを開くには、次の

いずれかの方法を使用します。

• ［スタート］メニューをクリックし、［プログラム］、［McAfee］、［VirusScan コン

ソール］の順に選択します。

• システムトレイで VirusScan Enterprise シールドアイコンを右クリックし、［VirusScan

コンソール］を選択します。

メニューバー

以下のメニュー項目を使用して、タスクを作成したり、プロパティを設定したり、詳細情報

にアクセスしたりします。

• タスク－スキャンの実行や DAT ファイルのアップデートなど、タスクの作成と設定を

行います。

はじめにVirusScan コンソールとそのアクセス方法


• 編集－選択したタスクのコピー、貼り付け、名前の変更を行います。

• 表示－ツールバーやステータスバーを表示したり、表示内容を更新したりします。

• ツール－ユーザのためのインターフェースオプションの設定、ユーザインターフェー

スセキュリティのロック/ロック解除、アラートの設定、イベントビューアへのアクセ

ス、リモートコンソールへの接続 (管理者権限がある場合)、リポジトリリストのイン

ポート/編集、DAT ファイルのロールバックを行います。

• ヘルプ－オンラインヘルプトピック、McAfee ラボ Web サイトの脅威ライブラリ、サ

ンプル送信の Web サイト、テクニカルサポートの Web サイトにアクセスします。イン

ストールした製品の修復を行うこともできます。また、［バージョン情報］ダイアログ

ボックスには、著作権情報、インストールされている製品のバージョン、ライセンスタ

イプ、定義ファイル、スキャンエンジン、外部ドライバ、パッチの情報が表示されます。

注意: メニューの各アイテムには、関連付けられたショートカットキーがあります。一部の

オペレーティングシステムでは、これらのショートカットキーを使用するには、F10 キー

または Alt キーを使用してメニューにアクセスする必要があります。

ツールバー

アイコンをクリックして、以下のよく使用されるコマンドを実行できます。

• 選択したタスクのプロパティを表示します。

• 選択したタスクを開始します。

• 選択したタスクを停止します。

• 選択したタスクをコピーします。

• 選択したタスクを貼り付けます。

• 選択したタスクを削除します。

• アラートのプロパティを設定します。

• イベントビューアを起動します。

• McAfee ラボの Web サイトにある情報ライブラリにアクセスします。

• 管理者権限がある場合、リモートコンピュータに接続します。

• 新しいオンデマンドスキャンを作成します。

タスクリスト

デフォルトのタスクと、新規作成したタスクが表示されます。各タスクのステータスと前回

の結果も表示されます。

ステータスバー

現在の動作のステータスが表示されます。

右クリック機能の使用右クリック機能を使用すると、新しいタスクの作成、タスク統計およびログの表示、タスク

プロパティページの表示、特定ファイルまたはフォルダのスキャン、またはタスクの即時

アップデートなど、使用頻度の高いアクションにすばやくアクセスすることができます。



機能の説明

例説明場所

VirusScan コンソールを右クリックすると、右ク

リック機能が表示されます。タスクをタスクリス

コンソール • コンソールでタスクを右クリックして

プロパティを表示します。どのタスク

トで選択しているかどうか、およびどのタスクを選

択するかにより、機能は異なります。

を選択するかにより、タスクの開始、

停止、有効無効の切り替え、および統

計や動作ログの表示ができます。タス

クの名前の変更やタスクの削除ができ

る場合もあります。

• 新しいスキャンまたはアップデートタ

スクを作成するには、コンソールの空

白領域を右クリックします。

脅威にさらされている疑いがあるファイ

ルやフォルダに対して即時スキャンを実

行します。

選択したファイルまたはフォルダを右クリックする

と、［脅威のスキャン］を直ちに実行できます。次

のスキャンアクションを選択できます。

Windows エクス

プローラ

• 駆除 — 検出されたアイテムを報告し、駆除しま

す。

スキャンを開始すると、すべてのスキャ

ン設定が有効な状態で、オンデマンドス

キャナが直接呼び出されます。アクショ• 続行 — 検出内容を報告し、スキャンを続行しま

す。ンオプションを選択します。それ以外の

スキャン設定はカスタマイズできません。

VirusScan Enterprise アイコンの右クリックの詳細については、「システムトレイアイコンとその動作」を参照してください。

システムトレイ

システムトレイアイコンとその動作VirusScan Enterprise をインストールすると、次のいずれかのアイコンが Windows システ

ムトレイに表示されます（この機能をインストールプロセス時に設定した場合）。

シールドアイコン内の「M」

McAfee Agent バージョン 4.5 以降を使用している ePolicy Orchestrator 管理対象システ

ムで表示されます。このアイコンでは以下が表示されます。

• ステータス－このアイコンは、アクセス保護のトリガアラートを示すためや、McTray

バージョン 2.x 以降（McAfee Agent 4.5 以降を使用）を使用している ePolicy

Orchestrator 管理対象クライアント上でオンアクセススキャンが無効化されているかど

うかを示すために変化することはありません。ステータスの変化はツールヒントとして

表示されます。

• ツールヒント－アイコンのツールヒントには以下が含まれます。

• McAfee ステータス:OK －正常です。オプションは以下のように表示されます。

• セキュリティステータスの表示－チェックマークが表示されます。

• クイック設定、オンアクセスウイルススキャン－オン－チェックマークが表

示されます。

• McAfee ステータス:問題が検出されました－オンアクセススキャンが無効。オプショ

ンは以下のように表示されます。

• セキュリティステータスの表示－感嘆符が表示されます。

注意: ［セキュリティステータスの表示］をクリックすると、［McAfee セキュリ

ティステータス］ダイアログボックスが開いて、［ステータス］列に［問題－

オンアクセススキャンが無効］と表示されます。



• クイック設定、オンアクセスウイルススキャン－オフ－チェックマークは表

示されません。

• McAfee ステータス:問題が検出されました－アクセス保護イベントがトリガされまし

た。オプションは以下のように表示されます。

• セキュリティステータスの表示－感嘆符が表示されます。

注意: ［セキュリティステータスの表示］をクリックすると、［McAfee セキュリ

ティステータス］ダイアログボックスが開いて、［ステータス］列に［問題－

アクセス保護のログを参照してください］と表示されます。

• クイック設定、オンアクセスウイルススキャン－オン－チェックマークが表

示されます。

• メニューオプション－右クリックメニューオプションには以下が含まれます。

• セキュリティの更新－ DAT ファイルと他の変更内容を更新します。

• クイック設定－以下が表示されます。

• オンアクセススキャンのプロパティ－オンアクセススキャナのプロパティを表

示します。

• オンアクセススキャンのオンまたはオフ－オンアクセススキャナのオンとオフ

を切り替えます。


示します。

• オンアクセススキャンメッセージ－オンアクセススキャンの統計やメッセージ

を表示します。

• オンアクセス保護ログファイルを開く－ログファイルを開きます。

• 管理機能、VirusScan Enterprise － VirusScan コンソールを開きます。

• コンピュータのスキャン、脅威－即時スキャンを開始します。

• セキュリティステータスの表示－［McAfee セキュリティステータス］ダイアログ

ボックスを開きます。

• McAfee Agent ステータスモニタ－［McAfee セキュリティステータスモニタ］ダ

イアログボックスを開きます。

• バージョン情報－［バージョン情報］ダイアログボックスを開きます。

ボックス内の「M」

McTray 1.0 を使用しているスタンドアロンシステム上で表示されるとともに、McTray 1.0

を使用する McAfee Agent バージョン 4.0 を使用している ePolicy Orchestrator 管理対象

システム上で表示されます。このアイコンでは以下が表示されます。

• ステータス－以下が表示されます。

•ボックス内の「M」－正常なステータスです。

•ボックス内の「M」と感嘆符－アクセス保護違反イベントがトリガされたか、オ

ンアクセススキャンが無効化されています。右クリックメニューオプションは以下

のように表示されます。

•シールド内の「V」と斜線付きの丸印－オンアクセススキャンが無効化され

ていることを示します。



•赤い枠で囲まれたシールド内の「V」－オンアクセススキャンが有効化され

ていることを示しますが、アクセス保護ログファイルを参照してください。

• ツールヒント－「McAfee」と表示されます。


• VirusScan コンソール－ VirusScan コンソールを開きます。

• オンアクセススキャナを無効または有効にする－オンアクセススキャナのオンとオ

フを切り替えます。

• オンアクセススキャンのプロパティ－オンアクセススキャナのプロパティを表示し

ます。

• オンアクセススキャン統計－オンアクセススキャンの統計を表示します。

• オンアクセススキャンメッセージ－オンアクセススキャンの統計やメッセージを

表示します。

• オンデマンドスキャン－ 1 度だけ実行する設定可能なオンデマンドスキャンを作成

します。

• 今すぐアップデート－即時アップデートタスクを実行します。

• VirusScan Enterprise のバージョン情報－［バージョン情報］ダイアログボックス

を開きます。

シールドアイコン内の「V」

McTray 1.0 がインストールされていないスタンドアロンシステム上で表示されます。この

アイコンでは以下が表示されます。

• ステータス－以下が表示されます。

• シールド内の「V」－正常です。

•シールド内の「V」と斜線付きの丸印－オンアクセススキャンが無効化されて

いることを示します。

•赤い枠で囲まれたシールド内の「V」－オンアクセススキャンが有効化されてい

ることを示しますが、アクセス保護ログファイルを参照してください。

• ツールヒント－ツールヒントには以下が含まれます。

• シールド内の「V」－ McAfee OAS が有効化されています。正常です。

•シールド内の「V」と斜線付きの丸印－ McAfee OAS が無効化されています。

•赤い枠で囲まれたシールド内の「V」－ McAfee OAS が有効化されています。アク

セス保護ログを参照してください。


• セキュリティの更新－ DAT ファイルと他の変更内容を更新します。

• クイック設定－以下が表示されます。


示します。

• オンアクセススキャンのオンまたはオフ－オンアクセススキャナのオンとオフ

を切り替えます。



• オンアクセススキャンメッセージ－オンアクセススキャンの統計やメッセージ

を表示します。

• オンアクセス保護ログファイルを開く－ログファイルを開きます。

• 管理機能、VirusScan Enterprise － VirusScan コンソールを開きます。

• コンピュータのスキャン、脅威－即時スキャンを開始します。

• セキュリティステータスの表示－［McAfee セキュリティステータス］ダイアログ

ボックスを開きます。

• McAfee Agent ステータスモニタ－［McAfee セキュリティステータスモニタ］ダ


• バージョン情報－［バージョン情報］ダイアログボックスを開きます。

最初に行う作業インストールされた VirusScan Enterprise ソフトウェアは、この製品に付属している DAT

ファイルを使用して、ユーザの環境の全般的なセキュリティを確保します。McAfee では、最

新の DAT ファイルを入手し、各自の要件を満たすように設定をカスタマイズしてから、クラ

イアントシステムにこの製品を配備することをお勧めします。

製品のインストールが完了したら、直ちに次の作業を行ってください。

1 ユーザインターフェースセキュリティの設定。表示とパスワードのオプションを設定

して、特定のコンポーネントまたは VirusScan Enterprise ユーザインターフェース全

体にユーザがアクセスできないようにします。詳細については、「ユーザインターフェースへのアクセスの制御」を参照してください。

2 DAT ファイルの更新。［今すぐアップデート］タスクを実行して、最新の DAT ファイル

が確実に使用されるようにします。詳細については、「検出定義のアップデート」を参

照してください。

3 侵入の防止。以下の機能を設定して、潜在的な脅威がシステムにアクセスすることを防

ぎます。

• アクセス保護。コンピュータに望ましくない変更が加えられないようアクセス保護

ルールを設定し、McAfee プロセスを終了させないためのオプションを有効にします。

詳細については、「システムのアクセスポイントの保護」を参照してください。

• バッファオーバーフロー保護。バッファオーバフロー検出を有効にし、除外対象を

指定します。詳細については、「バッファオーバーフロー攻撃のブロック」を参照

してください。

• 不審なプログラムポリシー。不審なプログラムを検出するためにオンアクセスス

キャナ、オンデマンドスキャナ、および電子メールスキャナで使用するポリシーを

設定します。事前に定義されているリストから、検出する不審なプログラムのカテゴ

リを選択してから、検出または除外する追加のプログラムを指定します。詳細につい

ては、「不審なプログラムの制限」を参照してください。

4 侵入の検知。システムに対する潜在的な脅威を検出し、検出時にユーザに通知してアク

ションを実行するように以下の機能を設定します。

• AutoUpdate。最新の DAT ファイル、スキャンエンジン、および製品アップグレード

を取得するためのアップデートタスクを設定します。詳細については、「検出定義のアップデート」を参照してください。

• オンアクセススキャナ。ユーザの環境内で潜在的な脅威へのアクセスが発生したと

きにその脅威を検出し、その脅威に対してアクションを実行するようにスキャナを設

はじめに最初に行う作業


定します。不審なプログラムのスキャンを有効にして、Cookies フォルダ内で Cookie

を検出するためにスキャンします。詳細については、「アイテムのオンアクセススキャン」を参照してください。

• オンデマンドスキャン。環境内で潜在的な脅威を検出し、アクションを実行するよ

うにスキャンタスクを設定します。不審なプログラムのスキャンを有効にして、こ

れまでに駆除されなかった怪しいスパイウェア関連のレジストリエントリと Cookies

フォルダ内の Cookie を検出するためにスキャンします。詳細については、「アイテムのオンデマンドスキャン」を参照してください。

• 電子メールスキャナ。Microsoft Outlook および Lotus Notes 電子メールクライ

アントの配信時スキャン／オンデマンドスキャンを設定します。不審なプログラム

のスキャンを有効にします。詳細については、「配信時とオンデマンドの電子メールスキャン」を参照してください。

5 アラート送信と脅威の隔離。脅威が検出されたときのユーザへの通知と、検疫アイテム

の管理について設定します。

• アラートおよび通知。検出の通知およびアラートをいつどのような方法で受信するか

を設定します。詳細については、「アラートおよび通知の設定」を参照してくださ

い。

• Quarantine Manager のポリシー。隔離フォルダの場所、および隔離されたアイテム

が自動的に削除されるまでの隔離日数を設定します。詳細については、「隔離アイテム」を参照してください。

はじめに最初に行う作業


パート Ⅰ －防止:脅威の回避

防止は、保護戦略の最初のステップであり、お使いのシステムが脅威からアクセスされない

ようにすることです。

目次

アクセス保護

システムのアクセスポイントの保護

バッファオーバーフロー攻撃のブロック

不審なプログラムの制限

検出定義のアップデート

スキャンアイテムの除外

スケジュール設定されたタスクの使用

アクセス保護脅威からクライアントシステムへのアクセスを防止することは、マルウェアに対する防御の

最前線です。VirusScan Enterprise のアクセス保護機能は、要求されているアクションを一

連の設定済みルールと対比します。各ルールは、発生したアクセス違反をブロックしてレポー

トするように設定することも、これらのどちらかの動作のみを行うように設定することもで

きます。

アクセス保護機能は、指定したポート、ファイル、共有、レジストリキー、およびレジスト

リ値へのアクセスを制限することで、コンピュータに対する望ましくない変更を阻止します。

また、ユーザによって McAfee プロセスが終了されないように保護します。この保護機能は、

ウイルスの発生前と発生中のどちらでも、非常に重要です。

この機能では、事前定義済みのルールとユーザ定義のルールを使用して、アクセスを許可す

るアイテムおよび許可しないアイテムを指定します。各ルールは、発生したアクセス違反を

ブロックしてレポートするように設定することも、これらのどちらかの動作のみを行うよう

に設定することもできます。事前定義済みのルールとカテゴリは、McAfee アップデートサ

イトから更新できます。

注意: ポート、ファイル、共有アイテム、およびレジストリのキーと値へのアクセス試行を検知するには、アクセス違反を検知するオンアクセススキャナを有効にする必要があります。

脅威によるアクセス方法

脅威がシステムにアクセスする代表的な方法は次のとおりです。

• マクロ－ワードプロセッシング文書やスプレッドシートアプリケーションに組み込ま

れています。


• 実行可能ファイル－安全なように見えるプログラムにも、正規のプログラムに加えてウ

イルスが含まれている可能性があります。一般的なファイル拡張子の例として

は、.EXE、.COM、.VBS、.BAT、.HLP、.DLL などが挙げられます。

• 電子メール－添付ファイル付きの電子メールメッセージに組み込まれたジョーク、ゲー

ム、およびイメージ。

• スクリプト－ Web ページや電子メールと関連付けられた ActiveX や JavaScript など

のスクリプトは、実行が許可されている場合は、ウイルスを含むことができます。

• インターネットリレーチャット（IRC）メッセージ－これらのメッセージとともに送

信されるファイルには、メッセージの一部としてマルウェアを簡単に組み込むことができ

ます。たとえば、自動開始プロセスはワームやトロイの木馬を含んでいる可能性がありま

す。

• ブラウザやアプリケーションのヘルプファイル－これらのヘルプファイルをダウン

ロードすると、これらのファイルに埋め込まれたウイルスや実行可能ファイルによってシ

ステムが攻撃される危険性があります。

• これらすべての組み合わせ－巧妙なマルウェアの作成者は、これらすべての手段を組み

合わせて、マルウェアを別のマルウェアに埋め込んで、コンピュータにアクセスしようと

します。

目次

アクセス脅威の阻止方法

ユーザインターフェースへのアクセスの制御

アクセス脅威の阻止方法アクセス保護機能の設定を有効化または変更することで、スパイウェア対策保護、ウイルス

対策保護、共通保護、仮想マシン保護を設定して、独自の保護ルールを定義できます。以下

では、VirusScan Enterprise がアクセス保護を実現するために使用する基本的なプロセスを

示しています。

脅威の発生時に実行されるステップ

1 ユーザまたはプロセスが何らかのアクションを実行しようとします。

2 そのアクションは、定義済みルールに従ってアクセス保護によって検査されます。

3 ルールに違反している場合は、ユーザまたはプロセスによって要求されたアクションは、

設定されたルール内の情報を使用して管理されます。たとえば、そのアクションによっ

て何も発生しないか、そのアクションがブロックされるか、またはそのアクションがブ

ロックされた上でレポートが送信されます。

4 アクセス保護のログファイルが更新されて、ePolicy Orchestrator のグローバル管理

者に対してイベントが生成されます。

アクセス脅威の例

1 ユーザが MyProgram.exe というプログラムをインターネットからダウンロードします。

注意: この例では、MyProgram.exe はマルウェアではありません。

2 ユーザはこのプログラムを起動して、正常に起動されたように見えます。

3 次に MyProgram.exe は AnnoyMe.exe という子プロセスを起動して、このプロセスはオペ

レーティングシステムに変更を加えて、このプロセスがオペレーティングシステムの

起動時に常にロードされるようにします。

パート Ⅰ －防止:脅威の回避アクセス保護


4 アクセス保護はこの要求を処理して、ブロックおよびレポートするように設定された既

存のルールと照らし合わせます。

5 AnnoyMe.exe は、オペレーティングシステムに変更を加えようとしたときにアクセスを

拒否され、アクセス保護はこの変更試行の詳細をログに記録して、 ePolicy Orchestrator

のグローバル管理者に対してアラートを生成します。

ログレポートおよび生成されたアラート

次にアクセス保護のログエントリの例を示します。

2/10/2010 11:00AM アクセス保護によってブロック TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe

\REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ プログラムの自動実行登録を防止する

次の表では、上記のアクセス保護ログエントリ内のデータについて説明しています。

説明ログエントリ

日付2/10/2010

時刻11:00AM

実行されたアクションアクセス保護ルールによってブロック

資格情報TestDomain\TestUser

ルールに違反したプロセスの名前C:\Users\TestUser\Desktop\AnnoyMe.exe

プロセスがアクセスしようとした場所\REGISTRY\MACHINE\SOFTWARE\Microsoft...

トリガされたアクセス保護ルールプログラムの自動実行登録を防止する

同様の情報を ePolicy Orchestrator のクエリを使用して取得できます。詳細については、

「クエリおよびダッシュボードへのアクセス」を参照してください。

ユーザインターフェースへのアクセスの制御クライアントコンピュータのインターフェースのセキュリティを設定することは、環境を保

護するために重要な点です。

管理者は、以下のことを実行できます。

• ユーザによる VirusScan Enterprise インターフェースへのアクセスを制御します。

• パスワードを設定して、選択した機能にユーザがアクセスしたり変更を加えたりすること

を防止します。

• 必要に応じてユーザインターフェースをロックまたはロック解除します。

目次

パスワードの設定がユーザに与える影響

ユーザインターフェースセキュリティの設定

パスワードの設定がユーザに与える影響悪意のあるユーザをブロックするためのユーザインターフェースパスワードを設定します。

クライアントコンピュータのユーザインターフェースをパスワードで保護すると、次のユー

ザが影響を受けます。

• 管理者以外のユーザ－管理者権限のないユーザ。管理者以外のユーザは、すべての

VirusScan Enterprise アプリケーションを読み取り専用モードで実行します。設定パラ

メータの表示、保存したスキャンの実行、および任意のときすぐにスキャンやアップデー



トを実行することはできます。設定パラメータの変更、保存したスキャンの作成、削除ま

たは変更、あるいはタスクのアップデートはできません。

• 管理者－管理者権限のあるユーザ。保護されたタブおよびコントロールを読み取り/書

き込みモードで使用するために、管理者はパスワードを入力する必要があります。保護さ

れたアイテムに対してパスワードを指定しない場合、そのアイテムは読み取り専用モード

で表示されます。

ユーザインターフェースセキュリティの設定

全般オプションポリシーユーザインターフェースプロパティを使用して、ユーザが使用

できる表示オプションとパスワードオプションを設定します。

警告: これらのプロパティに変更を加える前に、セキュリティへの影響を慎重に検討してく

ださい。これらのオプションを使用すると、ユーザが各自のセキュリティ設定に変更を加え

ることを制限または許可できる一方で、システムがさまざまなマルウェアの攻撃に対して無

防備になる可能性があります。

以下のユーザインターフェースコンソールを使用して全般オプションポリシーユーザイ

ンターフェースプロパティを設定します。

ePolicy Orchestrator 4.5 または 4.6

全般オプションポリシーユーザインターフェースプロパティを設定します。

タスク

オプションの定義については、各タブで［?］をクリックしてください。

1 ［メニュー］、［ポリシー］、［ポリシーカタログ］の順にクリックして、［製品］リ

ストから［VirusScan Enterprise 8.8.0］を選択します。［カテゴリ］リストに、

VirusScan Enterprise 8.8.0 のポリシーカテゴリが表示されます。

2 既存のポリシーを編集するか、新しいポリシーを作成します。

既存のポリシーの編集

a ［カテゴリ］リストから、ポリシーカテゴリを選択します。

b ［アクション］列で、［設定を編集］をクリックしてポリシー設定ページを開きま

す。

新しいポリシーを作成

a ［アクション］、［新規ポリシー］の順にクリックして、［新規ポリシー］ダイアロ

グボックスを開きます。

b ［カテゴリ］リストから、既存のポリシーを選択します。

c ［この既存ポリシーに基づいて新規ポリシーを作成する］リストから、いずれかの設

定を選択します。

d 新しいポリシーの名前を入力します。

e 必要に応じて注釈を入力します。

f [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。

g 新しいポリシーの［アクション］列で、［設定を編集］をクリックしてポリシー設定

ページを開きます。

3 ［設定］リストから、［ワークステーション］または［サーバ］を選択します。



4 ［表示オプション］タブで、ユーザがリモートシステムに接続できる場合にユーザに表

示される VirusScan Enterprise システムトレイアイコンを指定して、ユーザの言語

オプションを設定します。

5 ［パスワードオプション］タブで、ユーザが正しいパスワードを使用して変更できる

VirusScan Enterprise のタスクとユーザインターフェースオプションを指定します。

ePolicy Orchestrator 4.0

全般オプションポリシーユーザインターフェースプロパティを設定します。

タスク

オプションの定義については、各タブで［?］をクリックしてください。

1 ［システム］、［ポリシーカタログ］の順にクリックして、［製品］リストから

［VirusScan Enterprise 8.8.0］を選択します。［カテゴリ］リストに、VirusScan

Enterprise 8.8.0 のポリシーカテゴリが表示されます。




b ［アクション］列で、［編集］をクリックしてポリシー設定ページを開きます。


a ［新規ポリシー］をクリックして［新規ポリシー］ダイアログボックスを開きます。

b ［この既存ポリシーに基づいて新規ポリシーを作成する］リストから、いずれかの設


c 新しいポリシーの名前を入力します。

d [OK] をクリックします。新しいポリシーが既存ポリシーのリストに表示されます。







VirusScan コンソール

全般オプションユーザインターフェースプロパティを設定します。

タスク

オプションの定義については、各タブで［ヘルプ］をクリックしてください。

1 ［ツール］、［全般オプション］の順にクリックして、［全般オプションの設定］ダイ

アログボックスを開きます。








システムのアクセスポイントの保護アクセス保護機能は、指定したポート、ファイル、共有、レジストリキー、およびレジスト

リ値へのアクセスを制限することで、コンピュータに対する望ましくない変更を阻止します。

また、ユーザによって McAfee プロセスが終了されないように保護します。この保護機能は、

ウイルスの発生前と発生中のどちらでも、非常に重要です。

この機能では、定義済みのルールとカテゴリおよびユーザ定義ルールを使用して、アクセス

を許可するアイテムおよび許可しないアイテムを指定します。各ルールは、アクセスポイン

ト違反の発生時にその違反をブロックしたりレポートしたりするように設定できます。定義

済みのルールとカテゴリは、McAfee アップデートサイトから内容を更新する必要がありま

す。

目次

アクセス保護ルールを定義する方法

アクセスポイント違反と VirusScan Enterprise の対応

ユーザ定義ルールの種類

アクセス保護の設定

アクセス保護ルールを定義する方法ルールのタイプと、保護のレベルは次のとおりです。

ルールタイプの説明

説明ルールタイプ

これらの設定済みルールは、マルウェアの脅威による一般的な動作からコンピュー

タを保護します。設定を有効化、無効化、または変更できますが、これらのルール

を削除することはできません。

ウイルス対策

次に、これらのルールの例を 2 つ示します。

• 重要なプロセスの無効化または変更、実行可能ファイルのリモート作成または変

更、実行可能ファイルのハイジャック、Windows プロセスのなりすまし、および

大量メール送信ワームによるメール送信を防止します。

• パスワードと E-mail アドレスが盗難されないように電話帳ファイルを保護しま

す。

これらの保護レベルはウイルス対策ルールに適用されます。

• 標準の保護

• 最大の保護

• アウトブレークコントロール

これらの設定済みルールは、使用頻度の高いファイルや設定の変更を防止します。

設定を有効化、無効化、または変更できますが、これらのルールを削除することは

できません。

共通

次に、これらのルールの例を 3 つ示します。

• McAfee のファイルと設定の変更を防止します。

• Mozilla と Firefox のファイルと設定、Internet Explorer の設定、およびネッ

トワーク設定を保護します。

• ブラウザヘルパーオブジェクトのインストール、および Temp フォルダからの

プログラムの自動実行を防止します。

これらの保護レベルは共通ルールに適用されます。

• 標準の保護

パート Ⅰ －防止:脅威の回避システムのアクセスポイントの保護


説明ルールタイプ

• 最大の保護

設定済みのルールにより VMWare プロセスの終了と VMWare ファイルの変更を防止

します。設定を有効化、無効化、または変更できますが、これらのルールを削除す

ることはできません。

仮想マシン保護

ルールの例は次のとおりです。

• VMWare プロセスの終了を防止する。

• VMWare ワークステーション、サーバ、または仮想マシンのファイルの変更を防

止する。

これらのカスタムルールは、ウイルス対策および共通ルールによって提供される保

護を補完します。

ユーザ定義

ルールの例は次のとおりです。スパイウェア対策

• Internet Explorer のお気に入りと設定の操作を防止する。

• Temp フォルダからのプログラム実行とスクリプト実行を防止する。

保護レベルの説明

説明保護レベル

いくつかの重要な設定やファイルが変更されないよう保護する、ウイルス対策およ

び共通のルール。ただし通常は、正当なソフトウェアのインストールと実行は許可

します。

標準

最も重要な設定とファイルが変更されないよう保護する、ウイルス対策および共通

のルール。このレベルに設定すると保護は標準よりも強化されますが、正当なソフ

最大

トウェアのインストールができなくなる可能性もあります。ソフトウェアをインス

トールできない場合、まずアクセス保護機能を無効にしてからインストールを行い、

インストール後に再びこの機能を有効にすることをお勧めします。

DAT ファイルがリリースされるまで、破壊的なコードによるコンピュータへのアク

セスをブロックするウイルス対策ルール。これらのルールは、アウトブレーク時に

共有へのアクセスをブロックするよう事前に設定されています。

アウトブレークコントロー

ル

アクセスポイント違反と VirusScan Enterprise の対応アクセス違反が発生するのは、お使いのコンピュータの制限されたコンポーネントが制限さ

れたユーザやプロセスによって開始、停止、またはアクセスされようとしたときです。

アクセスポイント違反が発生した場合、次の処理が行われます。

• 違反を検出したルールに［レポート］オプションを選択していた場合、情報がログファ

イルに記録されます。

• [アラートのプロパティ] を設定すると、イベントはローカルのイベントログおよび SNMP

に記録されます。

• イベントが Alert Manager および ePolicy Orchestrator に報告されます（これらの製

品がそのように設定されている場合）。

• ルールに対する［ブロック］アクションと［レポート］アクションによって、ルールで違

反が検出されたときの処理が決定されます。



• スタンドアロンクライアントシステムでは、システムトレイアイコンの周囲に赤い枠

が表示され、リセットしなければ 30 分間表示されます。

注意: アイコンをリセットするには、システムトレイアイコンから [アクセス保護ログ

ファイル] を開きます。その他の方法でログファイルを開くと、アイコンは通常の状態

にリセットされません。

ユーザ定義ルールの種類新しいユーザ定義のアクセス保護ルールを設定する際は、ポートのブロックルール、ファイ

ルとフォルダのブロックルール、およびレジストリのブロックルールを作成できます。

次の表では、これらのルールについて説明しています。

ルールの説明

説明ルール

特定のポートまたはある範囲のポートで着信または発信のネットワークトラフィック

をブロックします。

注意: ポートをブロックすると、TCP (Transmission Control Protocol) アクセスと

UDP (User Datagram Protocol) アクセスがブロックされます。

注意: ポートをブロックすると、そのポートまたはその範囲のポートを使用している

すべてのプロトコルはブロックされます。たとえば、TCP（Transmission Control

Protocol）アクセスと UDP（User Datagram Protocol）アクセスがブロックされます。

ポートのブロックルール

ファイルとフォルダへの書き込みアクセス、ファイルの実行、およびファイルの新規

作成と削除がブロックされます。

注意: ファイルまたはフォルダへのアクセス制限は、管理者により解除されるまで継

続します。これは侵入防止に役立ち、アウトブレーク時に侵入が拡散するのを阻止し

ます。

ファイルおよびフォルダの

ブロックルール

書き込み、作成、または削除のアクションをブロックすることにより、レジストリの

キーや値を保護します。

レジストリのブロックルー

ル

アクセス保護の設定［アクセス保護ポリシー］を使用して、お使いのシステムのアクセスポイントを保護し、

McAfee のプロセスが終了されることを防止します。

警告: アクセス保護を有効にせず、McAfee のサービスが停止することを防止しない場合は、

お使いのシステムはマルウェアによるさまざまな攻撃に対して無防備になります。

次の 2 種類のアクセス保護ルールを設定できます。

• 事前定義済みルール－以下を可能にします。

• いずれかのユーザインターフェースコンソールでアクセス保護ルールカテゴリを開

く。

• ルール違反が発生した場合に実行するブロックとレポートのアクションを選択する。

• ユーザ定義ルール－以下を可能にします。

• いずれかのユーザインターフェースコンソールでユーザ定義ルールカテゴリを作成

する。

• ルールによって施行されるブロックの種類として、ポートのブロック、ファイルとフォ

ルダのブロック、およびレジストリのブロックの中から選択する。



• ルールの詳細を設定する。

• ルールを保存して、後で必要に応じて変更する。

タスク

事前定義済みルールの設定

ユーザ定義ルールの設定

ポートのブロックルールオプション

ファイルとフォルダのブロックルールオプション

レジストリのブロックルールオプション

特定のプロセスを組み入れるか除外するオプション

ユーザ定義ルールの削除

事前定義済みルールの設定

事前定義済みルールを使用して、お使いのコンピュータを望ましくない変更から保護します。

これらのルールは有効化と編集はできますが、削除はできません。

事前定義済みのアクセス保護ルールは次のとおりです。

• スパイウェア対策標準保護

• スパイウェア対策最大保護

• ウイルス対策標準保護

• ウイルス対策最大保護

• ウイルス対策アウトブレークコントロール

• 一般標準プロテクト

• 一般最大プロテクト

• 仮想マシン保護

これらの事前定義済みアクセス保護ルールの詳細については、「アクセス保護ルールを定義する方法」を参照してください。

次のいずれかのユーザインターフェースコンソールを使用して、事前定義済みのアクセス

保護ルールを設定します。


アクセス保護ポリシーで、事前定義済みアクセス保護ルールを設定します。

タスク

オプションの定義については、インターフェースの［?］をクリックしてください。








す。















4 ［アクセス保護ポリシー］ページで、［アクセス保護］タブをクリックしてアクセス保

護ルールを表示します。

5 左側のペインでいずれかの事前定義済みルールカテゴリを選択してから、右側のペイン

で特定のルールを選択します。

6 ［ブロック］オプションと［レポート］オプションのいずれかまたは両方を設定します。

7 [編集] をクリックして、ルールの詳細を設定します。


アクセス保護ポリシーで、事前定義済みアクセス保護ルールを設定します。

タスク
















4 ［アクセス保護ポリシー］ページで、［アクセス保護］タブをクリックしてアクセス保

護ルールを表示します。








アクセス保護のプロパティから、事前定義済みアクセス保護ルールを設定します。

タスク

オプションの定義については、インターフェースの［ヘルプ］をクリックしてください。

1 ［タスク］リストで、［アクセス保護］を右クリックして、［プロパティ］をクリック

してダイアログボックスを開きます。

2 ［アクセス保護ポリシー］ダイアログボックスで、［アクセス保護］タブをクリックし

てアクセス保護ルールを表示します。





ユーザ定義ルールの設定

ユーザ定義ルールを作成および編集することで、事前定義済みルールによって実現される保

護を補完します。

事前定義済みアクセス保護ルールの詳細については、「アクセス保護ルールを定義する方法」

を参照してください。

次のいずれかのユーザインターフェースコンソールを使用して、ユーザ定義のアクセス保

護ルールを作成および編集します。


アクセス保護ポリシーで、ユーザ定義のアクセス保護ルールを設定します。

タスク









す。















4 左側のペインで［ユーザ定義ルール］カテゴリを選択してから、［新規］をクリックし

て［新しいルールタイプの選択］ダイアログボックスを開きます。

5 ルールタイプを選択して、［OK］をクリックします。の詳細については、「ユーザ定義ルールの種類」を参照してください。

表示されるアクセスルールダイアログボックスは、選択したルールタイプに応じて

異なります。

6 次のアクセスルール情報を設定します。

• ネットワークポートのアクセス保護ルール－「ポートのブロックルールオプション」でオプションの表を参照してください。

• ファイル/フォルダのアクセス保護ルール－「ファイルとフォルダのブロックルールオプション」でオプションの表を参照してください。

• レジストリのアクセス保護ルール－「レジストリのブロックルールオプション」

でオプションの表を参照してください。

注意: 組み入れるか除外するプロセスを設定するには、「特定のプロセスを組み入れるか除外するオプション」を参照してください。

7 [OK] をクリックします。

新しいユーザ定義ルールが右側のペインの［ブロック/ルール/レポート］に表示されま

す。新しいルールを変更するには、そのルールを選択して［編集］をクリックします。


アクセス保護ポリシーで、ユーザ定義のアクセス保護ルールを設定します。

タスク



















て［新しいルールタイプの選択］ダイアログボックスを開きます。



異なります。








新しいユーザ定義ルールが右側のペインの［ブロック/ルール/レポート］に表示されま

す。新しいルールを変更するには、そのルールを選択して［編集］をクリックします。


アクセス保護のプロパティから、ユーザ定義のアクセス保護ルールを設定します。

タスク





て［新しいタイプのルールの選択］ダイアログボックスを開きます。



異なります。








新しいユーザ定義ルールが右側のペインの［ルール］列に表示されます。新しいルール

を変更するには、そのルールを選択して［編集］をクリックします。



ポートのブロックルールオプション

ポートブロックルールは、指定された受信ポートや送信ポートがユーザによってアクセス

されることを防止するとともに、そのコンピュータが他のコンピュータによってアクセスさ

れることを防止します。

オプションの定義

定義オプション

このルールの名前を入力します。ルール名

指定されたプロセスへのアクセスを制限します。組み入れるプロセス

指定されたプロセスへのアクセスを許可します。除外するプロセス

最初のポート番号を指定します。ポートは個別にまたはある範囲の最初のポート番号

で指定することもできます。

注意: McAfee Agent または Host Intrusion Prevention Agent によって使用される

ポートへのアクセスをブロックした場合でも、そのエージェントのプロセスは信頼さ

開始ポート

れているため、そのプロセスはブロックされたポートを使用して通信できます。これ

らのエージェントのプロセスに関連のないトラフィックはブロックされます。

ポート範囲の最後のポート番号を指定します。終了ポート

ネットワークを介した指定されたポートへのアクセスを拒否します。受信

ローカルプロセスからネットワーク上の指定されたポートへのアクセスを拒否しま

す。

送信

ファイルとフォルダのブロックルールオプション

ファイルとフォルダのブロックルールは、指定されたファイルやフォルダが許可されていな

いユーザによって変更、オープン、または削除されることを防止します。



このルールの名前を入力します。ルール名



指定されたファイルまたはフォルダへのアクセスをブロックします。ブロックするファイルまた

はフォルダの名前

目的のファイルに移動します。ファイルの参照

目的のフォルダに移動します。フォルダの参照

指定ファイルへの読み取りアクセスをブロックします。ファイルに対する読み取り

アクセス

指定ファイルへの書き込みアクセスをブロックします。ファイルに対する書き込み

アクセス

指定フォルダ内でのファイルの実行をブロックします。実行中のファイル

指定フォルダ内でのファイルの新規作成をブロックします。新規ファイルの作成

指定フォルダ内からのファイルの削除をブロックします。ファイルの削除



レジストリのブロックルールオプション

レジストリのブロックルールは、指定されたレジストリのキーと値がユーザや許可されてい

ないプログラムによって変更、オープン、または削除されることを防止します。

注意: レジストリブロックルールを作成する際は、最も一致度の高いハイブレジストリ

サブツリー略記を使用してください。たとえば、

HKLM\System\CurrentControlSet\Services\MyService をブロックするには、HKLM ではなく HKCCS

ハイブを使用します。



このルールの名前を指定します。ルール名



このレジストリのキーまたは値を保護します。保護するレジストリのキー

または値• ルートキーまたは値をドロップダウンリストから選択します。

• キーまたは値をテキストボックスに入力します。

ルートキーまたは値をドロップダウンリストから選択するのは、オプションです。

キーまたは値を指定するには、次のいずれかの方法を使用します。

• ルートキーまたは値をドロップダウンリストから選択し、キーまたは値への残

りのパスをテキストボックスに入力します。

• キーまたは値へのフルパスをテキストボックスに入力します。

ルールの種類を選択します。ルールタイプ

• キー - 指定したキーを保護します。

• 値 - 指定した値を保護します。

指定したキーまたは値への書き込みをブロックします。キーまたは値への書き込み

指定したキーまたは値の作成をブロックします。キーまたは値の作成

指定したキーまたは値の削除をブロックします。キーまたは値の削除

特定のプロセスを組み入れるか除外するオプション

名前などのルール情報と、組み入れるか除外するプロセスを変更するには、［アクセス保護］

を使用して、［編集］をクリックします。


説明オプション

このルールの名前を入力します。たとえば、「レジストリエディタおよびタスクマ

ネージャが無効にされることを防止します」などです。

ルール名

ここに登録したプロセスへのアクセスを制限します。正確なプロセス名を指定します。

または、ワイルドカードを使用して *.EXE など幅広い範囲のプロセスを指定し、

組み入れるプロセス

SETUP.EXE など信頼できるプロセスを除外対象として指定します。たとえば、* を指定

するとすべてのプロセスが組み入れられます。

ここに登録したプロセスへのアクセスを許可します。正確なプロセス名を指定します。

たとえば、次の除外項目を指定します。avtask.exe、cfgwiz,exe、fssm32.exe、

giantantispywar*、kavsvc.exe、mmc.exe、navw32.exe、nmain.exe、rtvscan.exe。

除外するプロセス



ユーザ定義ルールの削除

作成したが使用していないルールを削除します。

次のいずれかのユーザインターフェースコンソールを使用してユーザ定義ルールを削除し

ます。


アクセス保護ポリシーから、作成したが現在は使用していないルールを削除します。

タスク

オプションの定義については、このインターフェースにある［?］または［ヘルプ］をクリッ

クしてください。








す。













4 左側のペインで [ユーザ定義ルール] カテゴリをクリックしてから、右側のペインで削

除するルールをクリックします。

5 [削除] をクリックします。

注意: ルールを削除せずに無効にするには、[ブロック] アクションと [レポート] アク

ションの選択を解除します。必要に応じて、ルールを再び有効にできます。


アクセス保護ポリシーから、作成したが現在は使用していないルールを削除します。

タスク

























アクセス保護のプロパティから、作成したが現在は使用していないルールを削除します。

次のいずれかのユーザインターフェースコンソールを使用してユーザ定義ルールを削除し

ます。

タスク










バッファオーバーフロー攻撃のブロックバッファオーバフロー保護では、攻撃でオーバフローしたバッファにより、任意のコードが

実行されることを防止します。バッファオーバーフロー保護では、ユーザモードの API 呼

び出しを監視し、バッファオーバフローの結果として発生したこれらの呼び出しを検知しま

す。

パート Ⅰ －防止:脅威の回避バッファオーバーフロー攻撃のブロック


脅威が検知されると、情報が動作ログに記録され、［オンアクセススキャンメッセージ］

ダイアログボックスに表示されます（これらのオプションでこれらの処理を行うように設定

していた場合）。

VirusScan Enterprise では、バッファオーバフロー保護とアクセス保護の DAT ファイルを

使用して、Internet Explorer、Microsoft Outlook、Outlook Express、Microsoft Word、MSN

Messenger など、約 30 種類のアプリケーションを保護できます。

目次

バッファオーバーフロー攻撃のしくみ

バッファオーバーフロー保護の設定

バッファオーバーフロー攻撃のしくみ攻撃者は、バッファオーバーフローの弱点を突き、入力プロセス用に予約された固定サイズ

のメモリバッファをあふれさせることで、実行可能コードを実行します。このコードによっ

て、攻撃者はターゲットコンピュータを乗っ取ったり、そのデータに不正にアクセスできま

す。

バッファオーバーフロー攻撃には次の 2 種類があります。

• ヒープベースの攻撃－この攻撃は、プログラム用に予約されたメモリ領域をあふれさせ

ますが、実行するのが難しいためあまり行われません。

• スタックベースの攻撃－この攻撃はスタックメモリオブジェクトを使用してユーザの

入力値を保管するものであり、最も一般的な攻撃です。

次のプロセスは、スタックベースのバッファオーバーフロー攻撃を説明したものです。

1 標準のスタックメモリプロセス－固定サイズのスタックメモリオブジェクトは通

常は空であり、ユーザからの入力を待っています。プログラムがユーザからユーザ名な

どの入力を受け取ると、そのデータはスタックの一番上に保管されて、そのデータに戻

りアドレスが割り当てられます。このスタックが処理されると、ユーザの入力値はプロ

グラムによって指定された戻りアドレスに送信されます。

2 スタックのオーバーフロー－プログラムへの書き込み時には、特定量のメモリ領域が

データ用に予約されます。書き込まれたデータが、メモリスタック内でそのデータ用に

予約された領域より大きい場合は、スタックのオーバーフローが発生します。このこと

が問題となるのは、攻撃目的の入力を伴う場合のみです。

3 オーバーフローの悪用－プログラムがユーザによるユーザ名の入力を待っている場合

に、攻撃者がスタックサイズを超える実行可能なコマンドを入力した場合は、そのコマ

ンドは予約済み領域の外部で保存されます。

4 不正なコードの実行－このコマンドは、スタックバッファ領域のサイズより大きいと

いう理由だけで、自動的には実行されません。しかし、その不正なコマンドを指す戻り

アドレスが攻撃者によって提供された場合は、このコマンドは実行される可能性があり

ます。プログラムは、最初はバッファオーバーフローが原因でクラッシュしかけます

が、攻撃者によって提供された戻りアドレスを使用して回復しようとします。この戻り

アドレスが有効なアドレスの場合は、不正なコマンドは実行されます。

5 権限の悪用－プログラムは通常、カーネルモードで実行されるか、サービスアカウ

ントから継承された権限を使用して実行されるため、この時点で不正なコードは、セキュ

リティが侵害されたアプリケーションと同じ権限を使用して実行されています。この結

果として、攻撃者によってオペレーティングシステムが完全に乗っ取られる可能性があ

ります。



バッファオーバーフロー保護の設定お使いのコンピュータ上でアプリケーションが任意のコードを実行することを防止するには、

バッファオーバーフロー保護ポリシーを設定する必要があります。

次のユーザインターフェースコンソールを使用してバッファオーバーフロー保護ポリシー

を設定します。


このユーザインターフェースコンソールを使用してバッファオーバーフロー保護ポリシー


タスク









す。













4 ［バッファオーバーフロー保護ポリシー］ページで、［バッファオーバーフロー保護］

タブをクリックして、以下を設定します。

a ［バッファオーバーフローの設定］および使用されている保護モードを有効にしま

す。攻撃をブロックするか単にメッセージを送信してイベントをログに記録するよう

に保護モードを設定します。

b バッファオーバーフロー攻撃が発生したときに送信される［クライアントシステム

の警告］を有効にします。

c 特定のアプリケーションプログラミングインターフェース（API）値、および除外

するオプションのプロセスとモジュール名について、［保護対象から除外するバッ

ファオーバーフロー］を設定します。



5 ［レポート］タブをクリックして、スキャン動作ログファイルを有効にして、これらの

保管場所、サイズ、および形式を指定します。

注意: これらのログファイルは、セキュリティ上の脅威を診断する際に非常に役立つと

ともに、これらの脅威に対して実行するアクションを決定するのに役立ちます。




タスク
















4 ［バッファオーバーフロー保護ポリシー］ページで、［バッファオーバーフロー保護］

タブをクリックして、以下を設定します。

1 ［バッファオーバーフローの設定］および使用されている保護モードを有効にしま

す。攻撃をブロックするか単にメッセージを送信してイベントをログに記録するよ

うに保護モードを設定します。

2 バッファオーバーフロー攻撃が発生したときに送信される［クライアントシステ

ムの警告］を有効にします。

3 特定のアプリケーションプログラミングインターフェース（API）値、および除外












タスク


1 ［タスク］リストで、［バッファオーバーフロー保護］を右クリックして、［プロパ

ティ］をクリックしてダイアログボックスを開きます。

2 ［バッファオーバーフロー保護のプロパティ］ページで、［バッファオーバーフロー

保護］タブをクリックして、以下を設定します。

a ［バッファオーバーフローの設定］および使用されている保護モードを有効にしま

す。攻撃をブロックするか単にメッセージを送信してイベントをログに記録するよう

に保護モードを設定します。

b バッファオーバーフロー攻撃が発生したときに送信される［クライアントシステム

の警告］を有効にします。

c 特定のアプリケーションプログラミングインターフェース（API）値、および除外







不審なプログラムの制限VirusScan Enterprise では、有害かまたはセキュリティリスクをもたらす不審なプログラ

ムからコンピュータを保護します。不審なプログラムの共通ポリシーを 1 つ設定できます

が、ポリシーを別個に有効または無効にして、各 VirusScan Enterprise スキャナのアクショ

ンを指定できます。

怪しいプログラム（PUP）は、インストール先コンピュータのセキュリティの状態またはプラ

イバシポリシーを変えてしまう可能性がある、合法的な企業が作成したソフトウェアプロ

グラムとして定義されています。この種のソフトウェアとしては、スパイウェア、アドウェ

ア、ダイヤラなどが挙げられます。これらの組み込み型 PUP は、ユーザが実際に必要とする

プログラムとともにダウンロードされる可能性があります。セキュリティ意識の高いユーザ

ならこの種のプログラムについて認識していて、自分で削除することもあります。

不審なプログラムの設定お使いのコンピュータを怪しいプログラムから保護するには、各自の環境で検出する不審な

プログラムのカテゴリを設定する必要があります。

設定の手順は、2 つのプロセスに分類されます。

1 ［不審なプログラムポリシー］を設定して、検出および除外する怪しいプログラムを定

義します。

• 現在の DAT ファイルから得られるあらかじめ定義したリストから、プログラムの全

カテゴリ、またはカテゴリ内の特定プログラムを選択します。

• 除外するプログラムを指定します。

• 検出するユーザ定義のプログラムのリストを作成します。

パート Ⅰ －防止:脅威の回避不審なプログラムの制限


2 オンアクセススキャナ、電子メールスキャナ、およびオンデマンドスキャナで不審な

プログラムの検出を有効にしてから、不審なプログラムが検出されたときに実行するア

クションを設定します。

注意: オンデマンドスキャンはポリシーではなくタスクであるため、オンデマンドスキャ

ナで不審なプログラムの検出を有効にする方法は、他のスキャナとは異なります。詳細につ

いては、「オンデマンドスキャンタスクの設定」を参照してください。

タスク

不審なプログラムポリシーへのアクセス

オンアクセススキャナと電子メールスキャナでの不審なプログラムの検出の有効化

不審なプログラムポリシーへのアクセス

検出する不審なプログラムのカテゴリを選択することで、不審なプログラムポリシーを設定

します。たとえば、スパイウェアやアドウェアなどです。検出対象から除外するプログラム

を指定することもできます。

次のユーザインターフェースコンソールを使用して不審なプログラムポリシーにアクセス

します。


このユーザインターフェースコンソールを使用して不審なプログラムポリシーを設定しま

す。

タスク









す。















4 ［不審なプログラムポリシー］ページで、［スキャンアイテム］タブをクリックして

以下を設定します。

a 検出する不審なプログラムのカテゴリを選択－たとえば、スパイウェアやアドウェ

アなどです。これらのカテゴリは、最新の DAT ファイルで定義されています。

b 除外対象－ファイル名ではなく、除外する正確な検出名を指定する必要がありま

す。

5 ［ユーザ定義の検知対象］タブをクリックして、不審なプログラムとして扱う個別のファ

イルやプログラムを指定します。各アイテムをファイル名で指定し、各アイテムの説明

を入力します。


このユーザインターフェースコンソールを使用して不審なプログラムポリシーを設定しま

す。

タスク





















す。





このユーザインターフェースコンソールを使用して不審なプログラムのプロパティを設定

します。



タスク


1 ［タスク］リストで、［不審なプログラムポリシー］を右クリックして、［プロパティ］

をクリックして［不審なプログラムポリシー］ダイアログボックスを開きます。






す。




オンアクセススキャナと電子メールスキャナでの不審なプログラムの検出の有効化

オンアクセススキャナと電子メールスキャナで不審なプログラムを検出するには、［スキャ

ンアイテム］タブからこの機能を有効にする必要があります。

次のユーザインターフェースコンソールを使用して、オンアクセススキャナと電子メール

スキャナで不審なプログラムを検出できるようにします。

注意: オンデマンドスキャナで不審なプログラムを検出できるようにするには、「オンデマンドスキャンタスクの設定」を参照してください。


ePolicy Orchestrator 4.5 または 4.6 コンソールを使用して、オンアクセススキャナと電

子メールスキャナで不審なプログラムを検出できるようにします。

不審なプログラムの検出を有効にする方法は、オンアクセススキャナと電子メールスキャ

ナでは基本的に同じです。唯一の相違点は、手順 2 でポリシーカタログから選択するポリ

シーです。不審なプログラムの検出を有効にするためには、それぞれ次のポリシーを選択し

ます。

• オンアクセススキャン－［オンアクセススキャンポリシー］を選択します。

• 電子メールスキャン－［配信時電子メールポリシー］を選択します。

タスク









す。















4 ［オンアクセススキャンポリシー］ページまたは［配信時電子メールポリシー］ペー

ジで、［スキャンアイテム］タブをクリックして、［不審なプログラムを検出］を選択

します。


ePolicy Orchestrator 4.0 コンソールを使用して、オンアクセススキャナと電子メールス

キャナで不審なプログラムを検出できるようにします。


ナでは基本的に同じです。唯一の相違点は、手順 2 でポリシーカタログから選択するポリ

シーです。不審なプログラムの検出を有効にするためには、それぞれ次のポリシーを選択し

ます。


• 電子メールスキャン－［配信時電子メールポリシー］を選択します。

タスク


















します。




VirusScan コンソールを使用して、オンアクセススキャナと電子メールスキャナで不審な

プログラムを検出できるようにします。


ナでは基本的に同じです。唯一の相違点は、手順 2 で VirusScan コンソールから選択する

タスクです。不審なプログラムの検出を有効にするためには、それぞれ次のポリシーを選択

します。


• 電子メールスキャン－［配信時の電子メールスキャナ］を選択します。

タスク


1 ［タスク］リストで、次のいずれかを右クリックして、［プロパティ］をクリックして

ダイアログボックスを開きます。

• オンアクセススキャンポリシー－オンアクセススキャンの場合。

• 配信時の電子メールスキャナ－電子メールスキャンの場合。



します。

検出定義のアップデートVirusScan Enterprise ソフトウェアは、スキャンエンジンとウイルス定義 (DAT) ファイル

の情報に基づいて、脅威を見分けてアクションを実行します。新しい脅威は定期的に出現し

ます。この問題に対処するため、McAfee は、継続的な脅威の調査の結果を取り込んだ、新し

い DAT ファイルを毎日リリースしています。アップデートタスクは、最新の DAT ファイル

を外部の McAfee アップデートサイトから取得してインストールします。

注意: ePolicy Orchestrator の管理対象環境では、最新の DAT ファイル、EXTRA.DAT ファ

イル、スキャンエンジン、サービスパック、およびパッチを取得することもできます。

目次

DAT ファイルとその機能

アップデート方法の重要性

アップデートタスクとその機能

ミラータスクとその機能

AutoUpdate リポジトリのしくみ

DAT ファイルのロールバックのしくみ

DAT ファイルとその機能スキャンエンジンがファイルをスキャンして脅威を検索するときは、スキャン対象ファイル

を検出定義（DAT）ファイルに格納された既知の脅威情報と対比します。既知の脅威情報はシグネチャと呼ばれ、McAfee ラボが発見して DAT ファイルに追加した情報です。

パート Ⅰ －防止:脅威の回避検出定義のアップデート


DAT ファイルには、シグネチャに加えて、検出されたウイルスによってもたらされたダメー

ジを駆除して解消するための方法も含まれています。このため、VirusScan Enterprise に

よって使用される最新バージョンの DAT ファイルをダウンロードすることが重要です。

警告: 特定のウイルスのシグネチャがインストール済みのどの DAT ファイルにも含まれてい

ない場合は、そのウイルスはスキャンエンジンによって検出されません。最新の DAT ファ

イルをフルに活用するには、スキャンエンジンも最新バージョンである必要があります。

VirusScan Enterprise は、DAT ファイルに加えて Artemis と呼ばれるヒューリスティック

も使用して、不審なファイルを検索します。詳細については、「Artemis の動作」を参照し

てください。

各種の DAT ファイルは次のパスに格納されています。

\Program Files\Common Files\McAfee\Engine

アップデート方法の重要性アップデート方法は非常に重要です。お使いのシステムに最新の DAT ファイルとスキャン

エンジンがインストールされていないと、そのシステムを最新のウイルスから完全に保護す

ることはできません。新種のウイルスの数、拡散速度、および感染率はこれまでになく上昇

しています。さらに、ますます増えつつあるアドウェアやスパイウェアに対しては、より一

貫性と可用性の高い検出機能と削除機能が必要です。

McAfee ラボは、ほぼ毎日の午後 6:00（GMT）という定時に DAT ファイルアップデートをリ

リースします。当然ながら、アウトブレークは予期せぬ時間にも発生するため、緊急リリー

スが必要です。潜在的なアウトブレークを事前に回避するために、日次 DAT が定時より早い

時刻にリリースされたときは、その日の定時に 2 つ目の DAT がリリースされることはあり

ませんが、新たな DAT を必要とする別の緊急事態が発生した場合は除きます。

アップデート方法を決定する方法VirusScan Enterprise によって使用される DAT ファイルとスキャンエンジンは、さまざま

な方法でアップデートできます。AutoUpdate タスク、手動アップデート、ログインスクリ

プトを使用することも、管理ツールでアップデートをスケジュール設定することもできます。

アップデートタスクを使用すると、次のことが可能になります。

• ネットワーク全体にわたる DAT ファイルの配備をスケジュール設定する－複数のアッ

プデートタスクを相互に時間的にずらして実行したり、管理者やネットワークユーザに

よる作業を最小限に抑えて、DAT ファイルアップデートをネットワークのさまざまな箇

所に都合のよい時間帯に段階的に配備するためのスケジュールを設定したりできます。

• 配備の管理負担を分散する－ネットワーク帯域幅の使用効率を高めるために、ワイド

エリアネットワークの各領域や他のネットワーク区域で、別々のサーバやドメインコン

トローラを使用して、アップデートトラフィックを基本的に内部に留めます。これによ

り、ネットワークのセキュリティが侵害される危険性を低減することもできます。

• 新しい DAT ファイルやアップグレードされたエンジンファイルをダウンロードするため

の待ち時間を短縮する－ DAT ファイルの定期的な公開日や、新しい製品バージョンがリ

リースされるときには、McAfee コンピュータで発生するトラフィックは大幅に増大しま

す。ダウンロードが殺到する時を避けることで、中断される時間を最小限に抑えて新しい

ソフトウェアを配備できます。

効率的なアップデート方法の要件効果的なアップデートを行うには、組織のクライアントまたはサーバの少なくとも 1 つで

McAfee ダウンロードサイトからアップデートを入手する必要があります。入手したアップ



デートファイルを組織全体で複製して、他のすべてのコンピュータでアクセスできるように

します。アップデートファイルを共有サイトにコピーするプロセスを自動化して、ネット

ワーク全体で転送するデータ量をできる限り少なくすることが理想的です。

効果的なアップデートのために考慮する主な点は、クライアント数およびサイト数です。ま

た、各リモートサイトのシステム数およびリモートサイトからインターネットへのアクセ

ス方法なども考慮する場合があります。中央リポジトリを使用してアップデートを取得して、

環境の保護機能を最新レベルに保つためにアップデートタスクをスケジュール設定するとい

う基本概念は、どのような規模の組織にも当てはまります。ソフトウェアとアップデートの

配備については、該当する ePolicy Orchestrator 製品ガイドを参照してください。

アップデートタスクとその機能最新の DAT ファイル、スキャンエンジン、サービスパック、およびパッチを取得するに

は、アップデートタスクを使用します。

VirusScan Enterprise に含まれているデフォルトのアップデートタスクは、毎日午後 5:00

に実行され、1 時間のランダム化が指定されています。必要に応じて追加のアップデートタ

スクを作成できます。

アップデートタスクの動作

アップデートタスクを実行すると次の動作が発生します。

• リポジトリリストにある、最初に有効になったリポジトリ (アップデートサイト) に接

続が行われます。このリポジトリが使用できない場合、次のサイトと接触し、接続が行わ

れるまでまたはリストの末尾に到達するまで継続します。

• 暗号化された CATALOG.Z ファイルをリポジトリからダウンロードします。ファイルには、

アップデートに必要な基本データが収録されています。このデータは、使用できるファイ

ルやアップデートを決定するために使用されます。

• ファイルにあるソフトウェアバージョンが、コンピュータのバージョンに対して確認さ

れます。新しいソフトウェアのアップデートが使用できる場合、ダウンロードされます。

アップデートタスクの中断

アップデートタスクが実行中に中断されると、次の処理が行われます。

• HTTP、UNC、またはローカルサイトからアップデートするタスクの場合には、次回アップ

デートタスクを開始する際に続きの部分から再開します。

• 単一ファイルのダウンロード中に中断された場合、FTP サイトからのアップデートタス

クは再開しません。ただし、複数のファイルをダウンロードするタスクが中断された場

合、中断された時点でダウンロード中だったファイルの前から、タスクが再開します。

EXTRA.DAT を使用したアップデート

EXTRA.DAT ファイルは、緊急時の一時的な手段として使用できます。EXTRA.DAT は、各アッ

プデートのリポジトリからダウンロードされます。これにより、EXTRA.DAT を編集し、パッ

ケージとして再度チェックインした場合に、すべての VirusScan Enterprise クライアント

でアップデートされた同一の EXTRA.DAT パッケージをダウンロードして使用することができ

ます。たとえば、同じ怪しいプログラムの検出機能を改良したり、他の新種の怪しいプログ

ラムに対する検出機能を追加したりすることができます。VirusScan Enterprise で使用でき

るのは、単一の EXTRA.DAT ファイルのみです。

ヒント: EXTRA.DAT ファイルが不要になったら、マスタリポジトリから削除して複製タスクを実行してください。これにより、すべての分散リポジトリサイトからファイルが削除されるため、アップデート時に VirusScan Enterprise クライアントが EXTRA.DAT ファイルをダウンロードするのを防ぎます。デフォルトでは、毎日の DAT ファイルに新しい検出定義が追加されると、EXTRA.DAT にある新しい不審なプログラムを検出しても無視されます。



AutoUpdate タスクの設定

すべての McAfee 製品の DAT ファイルとスキャンエンジンを自動的にアップデートするに

は、AutoUpdate のプロパティとスケジュールを設定する必要があります。

タスク

オプションの定義については、タブの［?］または［ヘルプ］をクリックしてください。

1 AutoUpdate のプロパティにアクセスするには、以下を使用します。

• ePolicy Orchestrator 4.5 または 4.6 — ［メニュー］、［システム］、［システム

ツリー］の順にクリックして、［クライアントタスク］を選択します。

注意: 新しいスケジュール設定されたクライアントタスクの作成の詳細については、

『McAfee ePolicy Orchestrator 4.5 製品ガイド』を参照してください。

• ePolicy Orchestrator 4.0 — ［システム］、［システムツリー］、［クライアント

タスク］の順にクリックして既存のアップデートタスクを選択するか、［新しいタ

スク］をクリックして新しいタスクを作成します。



• VirusScan コンソール — 既存のアップデートタスクを選択するか（右クリックして

［プロパティ］を選択します）、新しいタスクを作成します（［タスク］、［新規

アップデートタスク］の順に選択して、リストで新しいタスクを選択します）。

ヒント: 新しいクライアントタスクを作成した場合は、そのタスクの名前をわかり

やすい名前に変更することをお勧めします。

2 ログファイルの場所または形式を指定します。

3 新しい DAT、新しいエンジン、サービスパックなどの他の提供されているアップデー

ト、および製品アップグレードを取得するかどうかを設定します。

4 アップデートタスクの完了後に実行する実行可能ファイルと、アップデートが成功した

場合にのみ実行可能ファイルを実行するかどうかを指定します。

5 ［スケジュール］をクリックして、このタスクを実行するタイミングと方法を設定しま

す。詳細については、「スケジュール設定されたタスクの使用」を参照してください。

6 ［今すぐアップデート］をクリックして、このタスクを直ちに実行します。

ミラータスクとその機能ミラータスクを実行すると、リポジトリリストに定義されたダウンロードリポジトリの中

で最初にアクセス可能なサイトから、ネットワーク上のミラーサイトへアップデートファ

イルが複製されます。通常、このタスクを使用するのは、McAfee ダウンロードサイトのコ

ンテンツをローカルサーバにミラーリングする場合です。

アップデートファイルが格納されている McAfee サイトを複製すると、ネットワーク上のコ

ンピュータはこのミラーサイトからファイルをダウンロードできます。この方法は、ネット

ワーク上のコンピュータでインターネットにアクセスしなくてもアップデートできるため、

実用的です。また、McAfee のインターネットサイトよりも近いサーバと通信することによ

りアクセス時間とダウンロード時間を短縮できるため、効率的です。



VirusScan Enterprise ソフトウェアのアップデートは、ディレクトリ構造に依存します。サ

イトをミラーリングする場合は、ディレクトリ構造全体を複製することが重要です。

注意: このディレクトリ構造は、旧バージョンの VirusScan Enterprise と NetShield もサ

ポートしていますが、そのための条件として、このディレクトリ構造全体が、VirusScan

Enterprise 8.8 がアップデート用にするのと同じ場所に複製される必要があります。

ミラータスクの設定

DAT ファイルとスキャンエンジンを、他のコンピュータで使用するために指定された場所に

保管するには、ミラータスクのプロパティを使用してその場所とスケジュールを設定しま

す。

タスク

オプションの定義については、タブの［?］または［ヘルプ］をクリックしてください。

1 ミラータスクのプロパティにアクセスするには、以下を使用します。

• ePolicy Orchestrator 4.5 または 4.6 — ［メニュー］、［システム］、［システム

ツリー］の順にクリックして、［クライアントタスク］を選択します。



• ePolicy Orchestrator 4.0 — ［システム］、［システムツリー］、［クライアント

タスク］の順にクリックして既存のアップデートタスクを選択するか、［新しいタ

スク］をクリックして新しいタスクを作成します。



• VirusScan コンソール－次のいずれかの操作を実行します。

• 既存のミラータスクを選択して、右クリックして［プロパティ］を選択します。

［ミラータスク］ダイアログボックスが表示されます。

• 新しいミラータスクを作成するには、［タスク］、［新規ミラータスク］の順に

選択します。これにより、［タスク］リストに［新規アップデートタスク］が表

示されます。新しいタスクをクリックして、［ミラータスク］ダイアログボック

スを開きます。

注意: そのタスクを右クリックして［名前の変更］を選択して、タスク名をよりわ

かりやすい名前に変更します。

2 VirusScan コンソール — 既存のアップデートタスクを選択するか（右クリックして［プ

ロパティ］を選択します）、新しいタスクを作成します（［タスク］、［新規ミラータ

スク］の順に選択して、リストで新しいタスクを選択します）。

ヒント: 新しいクライアントタスクを作成した場合は、そのタスクの名前をわかりやす

い名前に変更することをお勧めします。

3 ログファイルの場所または形式を指定します。

4 新しい検出定義、新しいエンジンと DAT、サービスパックなどの使用可能なアップデー

ト、および製品アップグレードを取得するかどうかを設定します。

5 アップデートタスクの完了後に実行する実行可能ファイルと、アップデートが成功した

場合にのみ実行可能ファイルを実行するかどうかを指定します。

6 ［Mirror 場所］をクリックして、ミラーサーバの宛先を設定します。



7 ［スケジュール］をクリックして、このタスクを実行するタイミングと方法を設定しま

す。詳細については、「スケジュール設定されたタスクの使用」を参照してください。

8 ［今すぐ Mirror］をクリックして、このタスクを直ちに実行します。

9 タブでオプションを設定します。オプションの定義については、タブの［?］または［ヘ

ルプ］をクリックしてください。

タブの定義

定義タブ

ミラー • ログファイルの場所または形式を指定します。

• ミラータスクの完了後に実行する実行可能ファイルと、ミラーが成功した場合に

のみ実行可能ファイルを実行するかどうかを指定します。

AutoUpdate リポジトリのしくみAutoUpdate リポジトリリスト (SITELIST.XML) は、AutoUpdate タスクを実行するために必

要な設定情報を指定します。

AutoUpdate リポジトリリストには以下が含まれます。

• リポジトリの情報および場所

• リポジトリの優先順位

• プロキシ設定（必要な場合）

• 各リポジトリへのアクセスに必要な暗号化された資格情報

AutoUpdate タスクの実行時には、リポジトリリスト内の最初に有効になったリポジトリ

（アップデートサイト）に接続されます。このリポジトリが使用できない場合、次のリポジ

トリと接触し、接続が行われるまでまたはリストの末尾に到達するまで継続します。

ネットワークでプロキシサーバを使用している場合、使用するプロキシ設定、プロキシサー

バのアドレス、および認証を使用するかどうかを指定できます。プロキシ情報は、AutoUpdate

リポジトリリストに保存されています。ここで構成するプロキシ設定は、リポジトリリス

トにあるすべてのリポジトリに適用されます。

AutoUpdate リポジトリリストの場所はオペレーティングシステムによって異なります。

• Microsoft Windows XP、Microsoft Vista、Microsoft 2000 Server、Microsoft 2003

Server、および Microsoft 2008 Server の場合－ C:\Documents and Settings\All

Users\Application Data\McAfee\Common Framework

• Microsoft Windows 7 の場合－ C:\ProgramData\McAfee\Common Framework

リポジトリリストの設定

リポジトリリストには、アップデートの取得元となるリポジトリが含まれています。必要な

数だけリポジトリを作成し、設定します。何度も使用されるサイトもあれば、まれにしか使

用されないサイトもあります。

タスク




1 VirusScan コンソールから、［ツール］、［AutoUpdate のリポジトリリストを編集］

の順に選択して、AutoUpdate リポジトリリストのプロパティにアクセスします。

注意: ePolicy Orchestrator コンソールを使用してリポジトリ機能を設定するには、

［ポリシーカタログ］を選択してから［McAfee Agent］ディスプレイに移動して、［リ

ポジトリ］タブをクリックします。

2 各タブでオプションを設定します。

タブの定義

定義タブ

リポジトリ • アップデートの取得元となるリポジトリを指定します。

• 各リポジトリにアクセスする順序を設定します。

アップデート時に使用するプロキシ設定を指定します。プロキシ設定

DAT ファイルのロールバックのしくみ現在の DAT ファイルが破損しているか、または互換性がない場合、DAT ファイルを前回バッ

クアップしたバージョンにロールバックできます。

DAT ファイルをアップデートすると、以前のバージョンは次の場所に保存されます。<ドライ

ブ名>:\Program Files\Common Files\McAfee\Engine\OldDats

DAT ファイルをロールバックすると、現在の DAT ファイルが OldDats フォルダのバージョ

ンで置き換えられ、以下のレジストリ項目にフラグが設定されます。

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\szRolledbackDATS

ロールバックが行われた後で以前のバージョンに戻ることはできません。次回にアップデー

トを実行するとき、レジストリにある DAT バージョンとアップデートリポジトリにある DAT

ファイルが比較されます。新しい DAT ファイルが、レジストリ内にあるものと同じである場

合、アップデートは実行されません。

DAT ファイルのロールバック

お使いの DAT ファイルバージョンを直前のバージョンに戻すには、［DAT のロールバック］

ツールを使用します。

タスク


1 VirusScan コンソールから、［ツール］、［DAT のロールバック］の順に選択します。

2 ［はい］をクリックして DAT のロールバックを開始します。

注意: この機能は ePolicy Orchestrator コンソールからは使用できません。

3 タブでオプションを設定します。

スキャンアイテムの除外VirusScan Enterprise の各スキャナでは、スキャン対象となるファイルの種類のリストを細

かく調整できます。たとえば、個別のファイル、フォルダ、およびディスクをスキャン対象

パート Ⅰ －防止:脅威の回避スキャンアイテムの除外


から除外できます。これらの除外設定が必要となる理由は、データベースまたはサーバによっ

て使用されているファイルをスキャナがスキャンしようとして、そのファイルをロックする

可能性があるからです。この結果として、そのデータベースまたはサーバでは障害やエラー

が発生する可能性があります。

目次

除外対象の指定

ワイルドカードを使用したスキャンアイテムの指定方法

除外対象の指定スキャン操作から除外するファイル、フォルダ、およびドライブを指定してください。以前

に指定した除外対象を削除することもできます。



除外の種類を選択します。除外対象

• ファイル名/場所を指定して除外－ファイル名と場所を指定して、サブフォルダ

を除外するかどうかを指定します。

注意: フォルダに適用する文字列の末尾に円記号（\）を追加する必要がありま

す。そうしないと、それはファイルの除外と見なされ、［サブフォルダも除外］

チェックボックスはデフォルトで無効になります。

• ファイルの種類を指定して除外－ファイルの種類を指定します。

• ファイルの保存期間を指定して除外－アクセスタイプの指定、およびファイル

が作成されてからの経過日数の指定を行います。

選択したアイテムを除外するタイミングを選択します。除外時期

• 読み取り時

• 書き込み時

クライアントの除外対象を上書き－このポリシーで指定されたアイテムのみを除外

します。このオプションが選択されていない場合、クライアントコンピュータでは

ローカルで指定した除外対象およびこのポリシーで指定した除外対象を使用します。

注意: このオプションは ePolicy Orchestrator でのみ使用できます。

クライアントの除外対象の

処理方法

ワイルドカードを使用したスキャンアイテムの指定方法ワイルドカードを使用して、除外するファイルの種類を拡張子によって指定できます。

ワイルドカードを使用する場合は、次の制限事項が適用されます。

• 有効なワイルドカードは、1 文字を除外する疑問符 (?) と複数文字を除外するアスタリ

スク (*) です。

• ワイルドカードは、パスの円記号 (\) の前で使用できます。たとえば、次のように適用

されます。C:\ABC\*\XYZ は C:\ABC\DEF\XYZ と一致します。

• 疑問符 (?) を含めて指定した場合は、それと同じ文字数のファイル名またはフォルダ名

が除外対象として扱われます。たとえば、次のように適用されます。W?? と指定した場

合、WWW は除外されますが、WW や WWWW は除外されません。

• 構文上、2 重のアスタリスク (**) を含めることもできます。これはゼロ個以上の任意の文字 (円記号を含む)を意味します。これにより、複数の深さで除外対象を指定できます。

パート Ⅰ －防止:脅威の回避スキャンアイテムの除外


たとえば、次のように適用されます。C:\ABC\**\XYZ と指定した場合、C:\ABC\DEF\XYZ

や C:\ABC\DEF\DEF\XYZ などが除外対象となります。

スケジュール設定されたタスクの使用オンデマンドスキャンタスク、AutoUpdate タスク、またはミラータスクを設定する過程

で、これらのタスクを実行するタイミング、頻度、および時間の長さを指定する必要があり

ます。この設定プロセスの過程でユーザ権限も設定する必要があります。

目次

タスクのスケジュール設定

タスクスケジュールの設定

タスクのスケジュール設定希望に応じて、オンデマンドタスク、AutoUpdate タスク、およびミラータスクをスケジュー

ル設定して、これらのタスクを特定の日時または間隔で実行できます。タスクのスケジュー

ル設定方法は、使用するユーザインターフェースコンソールによって異なります。

これらのタスクをスケジュール設定するには、次のようにします。

• ePolicy Orchestrator コンソール — ［スケジュール］タブを使用して［スケジュール］

ページを表示します。

• VirusScan コンソール — ［スケジュール］ボタンを使用して［スケジュール］ダイアロ

グボックスを表示します。

タスクスケジュールの設定タスクを指定した時刻または間隔で実行するには、［スケジュールの設定］ダイアログボッ

クスを使用します。

作業の前に

このタスクをスケジュールするには、管理者権限が必要です。管理者権限があると、スケ

ジュールタスクのレジストリキーへの書き込みアクセスが可能です。

タスクのスケジュールを設定するには、そのタスクのプロパティダイアログボックスで［ス

ケジュール］をクリックします。

警告: McAfee では、オンデマンドスキャンを最小限の間隔でスケジュール設定することを

お勧めします。

McAfee が推奨する最小間隔は次のとおりです。

• 毎日－重大なマルウェアのアウトブレークが発生した場合のみに指定します。

• 毎週－推奨される間隔です。

• 毎月－許容可能な間隔です。

• 3 か月ごと－かろうじて許容される間隔です。

パート Ⅰ －防止:脅威の回避スケジュール設定されたタスクの使用


タブの定義

定義タブ

タスク • 指定された回数実行するにはスケジュールタスクを有効にします。

• 指定された時間と分の間実行するとタスクを終了します。

• ユーザ名、ドメイン、パスワードなどのユーザアカウント設定を指定します。

スケジュールの頻度と関連する設定を指定します。スケジュール

パート Ⅰ －防止:脅威の回避スケジュール設定されたタスクの使用


パート II －検出:脅威の検索

脅威の検索は、保護戦略の 2 番目のステップであり、お使いのシステムにアクセスしようと

しているマルウェアを検出することです。

目次

アイテムのオンアクセススキャン

アイテムのオンデマンドスキャン

配信時とオンデマンドの電子メールスキャン

アイテムのオンアクセススキャンオンアクセススキャナを使用すると、コンピュータ上のファイルがアクセスされた時点で直

ちにファイルを調べて、さまざまな脅威を常にリアルタイムで検出することができます。ア

クセス保護機能およびバッファオーバフロー保護機能でもオンアクセススキャナを使用し

て、アクセス保護違反およびバッファオーバフロー攻撃手段を検出します。

目次

オンアクセススキャンとその動作

スキャンの比較:ディスクへの書き込みとディスクからの読み取り

スキャンの比較:すべてのファイルのスキャンとデフォルトの拡張子と追加した拡張子のスキャン

スクリプトスキャンとその動作

スキャンポリシーの数の決定

Artemis の動作

全般設定とプロセス設定の設定方法

オンアクセススキャンとその動作オンアクセススキャナはシステムの最も深いレベル（ファイルシステムのフィルタドライ

バ）と連携し、ファイルが最初にシステムに入っていくる段階で、それらのファイルをスキャ

ンします。オンアクセススキャナはシステム（システムサービス）の一部として機能とし

て、脅威の検出時にインターフェースを介して通知を配信します。

ファイルのオープン、クローズ、または名前変更が行われようとすると、スキャナはその操

作を中断して、次のアクションを実行します。

1 スキャナは、次の条件に基づいてそのファイルをスキャンすべきかどうかを判断します。

• ファイルの拡張子が設定と一致している。

• ファイルがキャッシュされていない。


• ファイルが除外対象として設定されていない。

• ファイルが以前にスキャンされていない。

2 ファイルがこれらのスキャン条件に該当する場合は、そのファイル内の情報を現在読み

込まれている DAT ファイル内のマルウェアシグネチャと対比することで、そのファイ

ルがスキャンされます。

• ファイルに感染が認められなければ、結果をキャッシュし、読み取り、書き込みまた

は名前の変更操作を許可します。

• ファイルで脅威が検出された場合、操作は拒否され、設定されているアクションが実

行されます。たとえば、次のように適用されます。

• ファイルを駆除する必要がある場合は、その駆除プロセスは現在読み込まれている

DAT ファイルによって決定されます。

• これらの結果は動作ログに記録されます（スキャナがそうするように設定されてい

た場合）。

• ［オンアクセススキャンメッセージ］アラートが表示されて、ファイル名と実行

されたアクションが示されます（スキャナがそうするように設定されていた場合）。

3 ファイルがスキャン要件を満たさない場合は、スキャンされません。そのファイルは

キャッシュされて、操作が許可されます。

注意: たとえば、オンアクセススキャンの設定が変更されたとき、EXTRA.DAT ファイル

が追加されたとき、キャッシュがいっぱいになったときなどは、その都度スキャンファ

イルキャッシュがフラッシュされて、すべてのファイルが再スキャンされます。

スキャンの比較:ディスクへの書き込みとディスクからの読み取りオンアクセススキャナがスキャンを実行する方法は、ユーザがディスクに書き込んでいるの

か、ディスクから読み取っているのかによって異なります。

ディスクへのファイルの書き込み時には、オンアクセススキャナは次のアイテムをスキャン

します。

• ローカルハードドライブに書き込まれようとしている受信ファイル。

• ローカルハードドライブ上またはマップされているネットワークドライブ上で作成中

のファイル (これには、新しいファイル、変更されたファイル、1 つのドライブから別の

ドライブにコピーまたは移動されているファイルが含まれます)。

注意: マッピングされたネットワークドライブをスキャンするには、［ネットワークド

ライブ上］オプションを有効にする必要があります。「ネットワーク上ドライブの有効化」を参照してください。

これらのスキャンには、VirusScan Enterprise がインストールされているのと同じクラ

イアントからのみアクセスできます。マッピングされたネットワークドライブに対する

他のシステムからのアクセスは検出されません。

ディスクからのファイルの読み取り時には、オンアクセススキャナは次のアイテムをスキャ

ンします。

• ローカルハードドライブまたはマッピングされたネットワークドライブから読み取ら

れようとしている送信ファイル。

注意: マッピングされたネットワークドライブをスキャンするには、上記で説明した

［ネットワークドライブ上］オプションを選択して、リモートネットワークファイル

をスキャン対象に含めます。

パート II －検出:脅威の検索アイテムのオンアクセススキャン


• ローカルハードドライブ上でプロセスを実行しようとしているすべてのファイル。

• ローカルハードドライブで開かれたすべてのファイル。

• ファイルのプロパティが変更された場合は、ローカルハードドライブで名前を変更中の

すべてのファイル。

スキャンの比較:すべてのファイルのスキャンとデフォルトの拡張子と追加した拡張子のスキャン

オンアクセススキャナは、すべてのファイルをスキャンするように設定されているのか、デ

フォルトの拡張子と追加した拡張子をスキャンするように設定されているのかに応じて、ス

キャン方法が異なります。

［すべてのファイル］オプションが選択されている場合は、スキャナはすべてのファイルの

種類をスキャンしてすべての潜在的な脅威を検索します。

［デフォルトの拡張子と追加した拡張子］オプションが選択されている場合は、スキャナは

ユーザによって選択されたファイルの種類に基づいて、リストに含まれた特定のファイルを

スキャンします。

• デフォルトの拡張子:オンアクセススキャナは、指定された種類のファイルのみをスキャ

ンして、その種類のファイルを攻撃する脅威を検索します。

• 拡張子の追加:オンアクセススキャナは指定された拡張子を持つファイルをスキャンし

て、すべての潜在的な脅威を検索します。

• 指定した拡張子:オンアクセススキャナはユーザ定義リストに含まれた拡張子を持つファ

イルをスキャンして、すべての潜在的な脅威を検索します。

スクリプトスキャンとその動作スクリプトスキャナは、正規の Windows Scripting Host コンポーネントに対するプロキシ

コンポーネントとして機能します。スクリプトを停止して、スクリプトの実行前にスキャン

します。

たとえば、スクリプトスキャナは以下を確認します。

• 問題のないスクリプトは、正規の Windows Scripting Host コンポーネントに渡されま

す。

• スクリプト内に潜在的な脅威が検出された場合、そのスクリプトは実行されません。

信頼できるプロセス、およびスクリプトを利用する Web サイトはスキャン対象から除外でき

ます。

注意: Windows Server 2008 システムでは、通常は［ScriptScan URL 除外］設定は Windows

Internet Explorer に対して機能しませんが、［サードパーティ製のブラウザ拡張を有効に

する］チェックボックスをオンにしてこの設定を有効にしてから、Windows Server 2008 を

再起動した場合は除きます。詳細については、

https://kc.mcafee.com/corporate/index?page=content&id=KB69526 を参照してください。

Artemis の動作Artemis 機能はヒューリスティックを使用して不審なファイルを検索します。これにより、

特定のマルウェアに対する最新のリアルタイム検出機能を備えた Window ベースの McAfee

ウィルス対策製品が提供されます。



https://kc.mcafee.com/corporate/index?page=content&id=KB69526

Artemis は、あらゆる種類のマルウェアから保護するのではなく、不審なサンプルからのみ

保護します。特定の脅威から保護することの利点は、サンプルがマルウェアであると McAfee

ラボによって判定されるとほぼ同時に McAfee セキュリティによってユーザを保護できるこ

とです。

VirusScan Enterprise によって保護されているクライアントシステム上で実行されている

不審なプログラムや DLL を検索するために Artemis が使用する、管理者によって設定され

る感度レベルを設定できます。Artemis は不審なプログラムを検出すると、その不審なファ

イルのフィンガープリントを含む DNS 要求を McAfee ラボによってホストされる中央データ

ベースサーバに送信します。

注意: このリリースでは、Artemis 機能はデフォルトで有効になっており、感度レベルは「非常に低」に設定されています。

スキャンポリシーの数の決定次のプロセスに従って、複数のオンアクセススキャンポリシーを設定する必要があるかど

うかを判断してください。



全般設定とプロセス設定の設定方法オンアクセススキャナの一般ポリシーとプロセスポリシーは、別個に設定します。

• 全般設定－すべてのプロセスに適用するオプションが含まれます。

• プロセス設定－すべてのプロセスに適用する 1 つのスキャンポリシーを設定すること

も、デフォルトプロセス、危険度低プロセス、および危険度高プロセスに適用する個別

のポリシーを設定することもできます。

全般設定

全般設定は、あらゆるプロセスのスキャンに適用され、パラメータ類を格納しています。た

とえば、最大スキャン時間、スクリプトのスキャン、望ましくない脅威のリモートコンピュー

タからのブロック、脅威検出時のメッセージの送信、検出のレポートなどです。

次のユーザインターフェースコンソールを使用してオンアクセス全般設定を設定します。


このユーザインターフェースコンソールを使用してすべてのプロセスのスキャンに適用さ

れる全般設定を設定します。

タスク









す。













4 ［オンアクセススキャンの全般ポリシー］ページで、［全般］タブをクリックして、す

べてのオンアクセススキャンに適用される全般ポリシーを設定します。たとえば、ス

キャンするオンアクセスアイテム、スキャンするタイミング、最大スキャン時間、Cookie

をスキャンするのかどうかなどを設定します。



オンアクセススキャンが有効になっているときは常に、お使いのシステムで現在実行さ

れているすべてのプロセスをスキャンするように設定できます。これにより、システム

のセキュリティが強化されますが、システムの起動時間が長くなる可能性があります。

有効時にプロセスをスキャンする機能を設定するには、［スキャン］グループで、［有

効なプロセス］をクリックして、オンアクセススキャンが有効になっているときは常

に、お使いのシステムで現在実行されているすべてのプロセスをスキャンするように設

定します。

注意: この機能を有効にすると、システムの起動時間が長くなる可能性があります。

5 ［ScriptScan］タブで、ScriptScan を有効にして、必要に応じてスキャン対象から除外

するプロセスや URL を設定します。

6 ［ブロック］タブで、潜在的な脅威や不審なプログラムが含まれているファイルを書き

込むリモートコンピュータからの接続のブロックを設定します。

注意: デフォルトでは、リモートシステムが、VirusScan Enterprise がインストール

されたシステムにマルウェアを書き込もうとすると、 VirusScan Enterprise はそのリ

モートシステムへの接続をブロックします。

マルウェアを書き込んだシステムに送信されるメッセージを設定することもできます。

注意: このメッセージを送信するには、Windows Messenger サービスが必要です。

7 ［メッセージ］タブで、脅威が検出されたときにローカルユーザに通知するためのメッ

セージを設定して、ユーザがその脅威に対して実行できるアクションを指定します。

8 ［レポート］タブで、スキャン動作ログファイルを有効にして、これらの保管場所、サ

イズ、形式を指定するとともに、この脅威を診断するのに役立つ追加のスキャンログを

指定します。

注意: これらのログファイルは、セキュリティ上の脅威を診断する際、およびこれら

の脅威に対して実行するアクションを決定するのに非常に役立ちます。




タスク




























定します。



するプロセスや URL を設定します。












指定します。






タスク


1 ［タスク］リストで、［オンアクセススキャナ］を右クリックして、［プロパティ］を

クリックしてダイアログボックスを開きます。













定します。



するスクリプトを設定します。












指定します。



プロセスの設定

オンアクセススキャンプロセスは、各プロセスに割り当てる危険度に基づいて設定できま

す。すべてのプロセスに適用するデフォルトスキャンポリシーを 1 つ設定することも、各

プロセスに割り当てられた危険度に基づいて複数のポリシーを設定することもできます。パ

ラメータとしては、プロセスへのリスクの割り当て、スキャンアイテムの定義、Artemis ス

キャンの実行、圧縮ファイルのスキャン、検出対象へのアクションの実行、怪しいプログラ

ムに対するスキャンなどがあります。

次のユーザインターフェースコンソールを使用してオンアクセスプロセス設定を設定しま

す。


このユーザインターフェースコンソールを使用してオンアクセススキャンのデフォルト

プロセスポリシーを設定します。

タスク











す。













4 ［プロセス］タブで、［危険度高プロセス、危険度低プロセス、およびデフォルトプロ

セス向けに、それぞれ異なるスキャンポリシーを設定］をクリックして、オンアクセス

のデフォルトプロセス、危険度低プロセス、または危険度高プロセスを表示します。

5 ［オンアクセススキャンのデフォルトプロセスポリシー］ページ、［オンアクセス

スキャンの危険度低プロセスポリシー］ページ、または［オンアクセススキャンの危

険度高プロセスポリシー］ページで、各タブでオプションを設定します。「プロセス設定のタブのオプション」を参照してください。


このユーザインターフェースコンソールを使用してオンアクセススキャンのデフォルト

プロセスポリシーを設定します。

タスク

























このユーザインターフェースコンソールを使用してオンアクセススキャンのプロパティを

設定します。

タスク




2 左側のペインで、［すべてのプロセス］をクリックします。







プロセス設定のタブのオプション

次の表では、オンアクセススキャナのタブのオプションを説明しています。

定義タブ

プロセス • オンアクセススキャンのデフォルトプロセス－すべてのプロセスに適用する

1 つのスキャンポリシーを設定するのか、デフォルトのプロセス、危険度低プ

ロセス、および危険度高プロセスに適用する個別のスキャンポリシーを設定す

るかを選択します。

注意: スキャンポリシーを 1 つ設定することを選択した場合、このポリシーは

すべてのプロセスに適用されます。危険度低プロセスや危険度高プロセスに適用

する個別のスキャンポリシーを設定することを選択した場合、このポリシーは、

危険度低としても危険度高としても定義されていないプロセスにのみ適用されま

す。

• オンアクセススキャンの危険度低プロセス - 危険度低と定義するプロセスを指

定します。

• オンアクセススキャンの危険度高プロセス - 危険度高と定義するプロセスを指

定します。

注意: 危険度低プロセスや危険度高プロセスに対して個別のポリシーを設定するに

は、［オンアクセススキャンのデフォルトプロセス］タブで［危険度高プロセス、

危険度低プロセス、およびデフォルトプロセス向けに異なるスキャンポリシーを設

定］オプションを選択する必要があります。



定義タブ

スキャンアイテム • ファイルの読み取り時、書き込み時、ネットワークドライブ上のファイルまた

はバックアップのために開いたファイル、あるいはその両方のファイルをスキャ

ンするかを設定します。

警告: ［ディスクへの書き込み時］および［ディスクからの読み取り時］を有効

にしない場合は、お使いのシステムはマルウェアによるさまざまな攻撃に対して

無防備になります。

• スキャンするファイルとファイルの種類を設定します。

警告: ［すべてのファイル］を有効にしない場合は、お使いのシステムはマル

ウェアによるさまざまな攻撃に対して無防備になります。

• 不審なプログラム、トロイの木馬、またはマクロウィルスと共通点のある潜在

的脅威をスキャンします。

• アーカイブ内部をスキャンし、MIME 形式のファイルをデコードします。

• 不審なプログラムのオンアクセススキャンを有効にします。

スキャンから除外するディスク、ファイル、フォルダを指定します。除外

脅威が検出された場合アクション

• 脅威が検出されたときに最初に実行するアクションです。

• 脅威の検出時に、最初のアクションが失敗した場合に実行する 2 番目のアク

ションを指定します。

不審なプログラムが検出された場合

• 不審なプログラムが検出されたときに最初に実行するアクションです。

• 不審なプログラムの検出時に、最初のアクションが失敗した場合に実行する 2

番目のアクションを指定します。

ネットワーク上ドライブの有効化

マッピングされたネットワークドライブをスキャンするには、［ネットワークドライブ上］

オプションを有効にする必要があります。

次のいずれかのユーザインターフェースコンソールを使用して、［オンアクセススキャン

のデフォルトプロセスポリシー］ページでネットワーク上ドライブのオンアクセススキャ

ンを設定します。


このユーザインターフェースコンソールを使用して［オンアクセススキャンのデフォルト

プロセスポリシー］ページでネットワーク上ドライブを有効にします。

タスク











す。













4 ［オンアクセススキャンのデフォルトプロセスポリシー］ページで、［スキャンア

イテム］タブをクリックして、［ファイルのスキャン］の横の［ネットワークドライブ

上］をクリックします。

5 [保存] をクリックします。


このユーザインターフェースコンソールをネットワーク上ドライブを有効にします。

タスク
















4 ［オンアクセススキャンのデフォルトプロセスポリシー］ページで、［スキャンア

イテム］タブをクリックして、［ファイルのスキャン］の横の［ネットワークドライブ

上］をクリックします。





このユーザインターフェースコンソールをネットワーク上ドライブを有効にします。

タスク



クリックして［オンアクセススキャンのプロパティ］ダイアログボックスを開きます。

2 ［スキャンアイテム］タブをクリックして、［ファイルのスキャン］の横の［ネット

ワークドライブ上］をクリックします。


アイテムのオンデマンドスキャンオンデマンドスキャナは、任意の時点でまたは定期的に、お使いのコンピュータを全体にわ

たってスキャンして脅威が潜んでいないか確認します。オンデマンドスキャンは、オンアク

セススキャナによる継続的な保護を補完するために利用できるとともに、業務に支障のない

時間帯に定期的なスキャンを実行するために利用できます。

目次

オンデマンドスキャンとその動作

オンデマンドスキャンの方法とその定義方法

リモートストレージのスキャンの機能のしくみ

スキャンの遅延のしくみ

システム使用率の機能

オンデマンドスキャンタスクの設定

グローバルシステムキャッシュの設定

オンデマンドスキャンとその動作オンデマンドスキャナは、お使いのシステムのファイル、フォルダ、メモリ、レジストリな

どをスキャンして、システムに感染している可能性のあるマルウェアを検索します。オンデ

マンドスキャンを実行するタイミングと方法を設定できます。システムを手動でスキャンす

ることも、スケジュール設定した時刻にスキャンすることも、システムの起動時にスキャン

することもできます。

ファイルのオープン、クローズ、または名前変更が行われようとすると、スキャナはその操

作を中断して、次のアクションを実行します。

1 スキャナは、そのファイル、フォルダ、またはディスクをスキャンすべきかどうかを次

の条件に基づいて判断します。

• ファイルの拡張子が設定と一致している。

• ファイルがキャッシュされていない。

• ファイルが除外対象として設定されていない。

パート II －検出:脅威の検索アイテムのオンデマンドスキャン


• ファイルが以前にスキャンされていない。

注意: Artemis を設定している場合は、オンデマンドスキャナはヒューリスティッ

クを使用して不審なファイルを検索します。詳細については、「Artemis の動作」を

参照してください。

2 ファイル、フォルダ、またはディスクがこれらのスキャン条件に該当する場合は、その

ファイル内の情報を現在読み込まれている DAT ファイル内のウイルスシグネチャと対

比することで、そのファイル、フォルダ、またはディスクがスキャンされます。

• スキャンしたアイテムで脅威が検出されなかった場合は、その結果がキャッシュされ

て、次のアイテムがチェックされます。

• スキャンしたアイテムで脅威が検出された場合は、設定されたアクションが実行され

ます。次に例を示します。

• そのアイテムを駆除する必要がある場合は、そのためのプロセスは現在読み込まれ

ている DAT ファイルによって決定されます。

• 結果が動作ログに記録されます（スキャナがそうするように設定されていた場合）。

• ［オンデマンドスキャンの状況］ダイアログボックスで、メモリ、ファイル、

フォルダ、またはディスクの名前と、実行されたアクションに関する情報が表示さ

れます。

3 メモリ、ファイル、フォルダ、またはディスクがスキャン要件を満たしていない場合は、

それらはスキャンされずに、スキャナはすべてのデータがスキャンされるまでスキャン

を継続します。

オンデマンドスキャンの方法とその定義方法オンデマンドスキャナは、メモリ内プロセススキャンとインクリメンタル（再開可能）ス

キャンを使用します。

メモリ内プロセススキャン

この方法では、オンデマンドスキャンタスクを実行する前に、アクティブプロセスをすべ

て調べます。検出された怪しいプロセスは強調表示されて、停止されます。つまり、オンデ

マンドスキャナの 1 回のパスで、1 つの怪しいプログラムの全インスタンスを削除できま

す。

インクリメンタル (再開可能) スキャン

この方法では、オンデマンドスキャンを実行する時間を制限して、複数のセッションにわけ

てシステム全体をスキャンできます。インクリメンタルスキャンは、スケジュール設定され

たスキャンに制限時間を追加することで設定できます。この制限時間が経過するとスキャン

は停止します。このタスクが次回に開始されるときは、前回のスキャンが停止したファイル

とフォルダ構造内の箇所から再開されます。

リモートストレージのスキャンの機能のしくみリモートストレージデータは、2 つの定義済みストレージレベルを持つ階層構造になって

います。

これらの 2 つのストレージレベルは次のとおりです。

• 上位レベルのローカルストレージ－ Windows 2000 Server 上でリモートストレージを

実行しているコンピュータの NTFS ディスクボリュームが含まれます。



• 下位レベルのリモートストレージ－サーバコンピュータに接続されているスタンドア

ロンテープドライブ、または自動テープライブラリに配置されています。

リモートストレージでは、ローカルボリュームの適切なファイルがテープライブラリに自

動的にコピーされ、ローカルボリューム上の利用可能な空き領域が監視されます。ファイル

のデータは、必要なときにすばやくアクセスできるようローカルボリュームにキャッシュさ

れます。リモートストレージは、必要に応じてリモートストレージのデータをローカルス

トレージに移動します。リモートストレージによって管理されているボリューム上のファイ

ルは、通常どおりに開くだけでアクセスできます。そのファイルのデータがローカルボリュー

ムのキャッシュから削除されている場合は、リモートストレージによってテープライブラ

リのデータが呼び出されます。

スキャンの遅延のしくみパフォーマンスを高めるために、バッテリの残量が少ない場合や全画面プレゼンテーション

時にオンデマンドスキャンタスクを遅らせることができます。ユーザがスケジュール設定

されたスキャンを 1 時間単位で遅らせることを許可することもできます。1 時間だけ遅らせ

ることも、24 時間遅らせることも、オンデマンドスキャンを無期限に延期することもでき

ます。

個別のユーザ遅延の継続時間は 1 時間です。たとえば、[遅延時間] オプションを 2 に設定

すると、ユーザはスキャンタスクを 2 回分または 2 時間遅らせることができます。指定し

た最大時間が過ぎると、スキャンが続行されます。管理者がこのオプションを 0 に設定して

無期限の遅延を許可した場合、ユーザはスキャンを無期限に遅延させ続けることができます。

システム使用率の機能オンデマンドスキャナは、スキャンプロセスと脅威の優先順位について Windows の［優先

度の設定］設定を使用できます。これにより、オペレーティングシステムで、オンデマンド

スキャナがスキャンプロセス中の任意の時点で受け取る CPU 時間の長さを設定できます。

［オンデマンドスキャンのプロパティ］の［システム使用率］設定は、Windows の［優先度

の設定］設定と対応しています。

スキャンのシステム使用率を「低」に設定すると、他の実行中アプリケーションのパフォー

マンスが向上します。「低」設定は、エンドユーザが作業中のシステムに対して便利です。

その一方で、システム使用率を「標準」に設定すると、スキャン速度が向上します。「標準」

設定は、サイズの大きいボリュームを備えた、エンドユーザの作業量が非常に少ないシステ

ムに対して便利です。

次の表では、VirusScan Enterprise と ePolicy Orchestrator のデフォルトプロセス設定

を示しています。

Windows の［優先度の設定］設定VirusScan Enterprise のプロセス設定

低低

標準以下標準以下 — ePolicy Orchestrator のデフォルト

標準標準 — VirusScan Enterprise 8.8 のデフォルト

オンデマンドスキャンタスクの設定オンデマンドタスクの設定方法は、使用しているユーザインターフェースコンソールに

よって異なります。以下のタスクでは、それぞれのユーザインターフェースコンソールを

使用した設定方法を説明しています。



タスク




オンデマンドスキャンタスクのタブの設定


このユーザインターフェースコンソールを使用してオンデマンドスキャンタスクを設定

します。

タスク


1 ［メニュー］、［システム］、［システムツリー］の順にクリックして、［クライアン

トタスク］を選択します。

2 表示される［クライアントタスク］ページで次の操作を実行します。

• 既存のオンデマンドスキャンタスクを編集するには、そのタスクの［アクション］

列で［設定を編集］をクリックして、［説明］ページを開きます。

• 新しいオンデマンドスキャンタスクを作成するには、［アクション］、［新しいタ

スク］の順にクリックして、［説明］ページを開きます。

3 ［説明］ページで次の操作を実行します。

• 既存のオンデマンドスキャンタスクを編集する場合は、説明を確認して［次へ］を

クリックします。

• 新しいオンデマンドスキャンタスクを作成する場合は、以下を設定して［次へ］を


• ［名前］と［注記］を入力します。

• リストから［オンデマンドスキャン］（VirusScan Enterprise 8.8）を選択して

［タイプ］を設定します。

• オンデマンドスキャンタスクを受信するコンピュータを特定する［タグ］を設定

します。

4 表示される［クライアントタスクビルダ］設定ページで、各タブを設定します。詳細

については、「オンデマンドスキャンタスクのタブの設定」を参照してください。



します。

タスク


1 ［システム］、［システムツリー］、［クライアントタスク］の順にクリックします。

2 表示される［クライアントタスク］ページで次の操作を実行します。

• 既存のオンデマンドスキャンタスクを編集するには、そのタスクの［アクション］

列で［編集］をクリックして、［説明］ページを開きます。



• 新しいオンデマンドスキャンタスクを作成するには、［アクション］、［新しいタ

スク］の順にクリックして、［説明］ページを開きます。

3 次のいずれかを実行します。

• 既存のオンデマンドスキャンタスクを編集する場合は、説明を確認して［次へ］を


• 新しいオンデマンドスキャンタスクを作成する場合は、以下を設定して［次へ］を


• ［名前］と［注記］を入力します。

• リストから［オンデマンドスキャン］（VirusScan Enterprise 8.8）を選択して

［タイプ］を設定します。

• オンデマンドスキャンタスクを受信するコンピュータを特定する［タグ］を設定

します。

4 表示される［クライアントタスクビルダ］設定ページで、各タブを設定します。詳細

については、「オンデマンドスキャンタスクのタブの設定」を参照してください。



します。

タスク


1 既存のタスクまたは新しいタスクの［オンデマンドスキャンのプロパティ］ページを開

きます。

• 既存のオンデマンドスキャンタスクを選択して右クリックして、［プロパティ］を

選択します。

• 新しいタスクを作成して、［タスク］、［新規オンデマンドスキャンタスク］の順

に選択して、新しいタスクを右クリックして［プロパティ］を選択します。

2 ［オンデマンドスキャンのプロパティ］ダイアログボックスで各タブを設定します。

詳細については、「オンデマンドスキャンタスクのタブの設定」を参照してください。

オンデマンドスキャンタスクのタブの設定

VirusScan Enterprise には、デフォルトのオンデマンドスキャンタスクが含まれていま

す。デフォルトタスクを使用することも、新しいタスクを作成することもできます。

各タブのオプションを設定します。オプションの定義については、各タブで［?］または［ヘ

ルプ］をクリックします。

タブの定義

定義タブ

スキャンする場所 • スキャン対象の場所とアイテムを指定します。

• 実行中のプロセスも対象にします。

• スキャン時にサブフォルダも対象にします。

• スキャン時にブートセクタも対象にします。

• スキャン時にレジストリのキーと値も対象にします。



定義タブ

• スキャン時に Cookie ファイルも対象にします。

警告: ［メモリでのルートキットのスキャン］と［実行中のプロセス］のスキャンを

有効にしない場合は、お使いのシステムはマルウェアによるさまざまな攻撃に対して

無防備になります。

注意: ［オンデマンドスキャンの状況］ダイアログボックスが開くと、スキャンす

る場所が［スキャン対象］の後ろにコンマで区切られた文字列として表示されます。

それぞれのスキャンプロセスが完了するたびに、完了した場所はこの文字列から削除

されます。

スキャンアイテム • スキャンするファイルとファイルの種類を設定します。

• 不審なプログラムのオンデマンドスキャンを有効にします。

• アーカイブ内部をスキャンし、MIME 形式のファイルをデコードします。

• ストレージに移動したファイルをスキャンします。

• 不審なプログラム、トロイの木馬、またはマクロウィルスと共通点のある潜在的

脅威をスキャンします。

スキャン対象から除外するディスク、ファイル、およびフォルダを、名前または場所、

ファイルの種類、またはファイル作成後の経過日数によって指定します。

除外

パフォーマンス • スキャンを遅らせるタイミングと期間を設定します。

• システム使用率 (%) を指定します。

• Artemis の感度レベルを設定します。



• 脅威の検出時に、最初のアクションが失敗した場合に実行する 2 番目のアクショ

ンを指定します。



• 不審なプログラムの検出時に、最初のアクションが失敗した場合に実行する 2

番目のアクションを指定します。

プロンプトダイアログボックスで許可されているアクションについて、アクショ

ンを選択します。

レポート • 動作ログを有効にします。

• ログファイルの名前または場所を指定します。

• ログファイルサイズの制限を指定します。

• ログファイル形式を選択します。

• スキャン活動以外にログに記録する処理を指定します。

• 以下のうち、スキャン動作に加えてログに記録する対象を指定します。

• セッション設定の有効化

• セッションサマリの有効化

• 暗号化ファイルのスキャンの失敗の有効化

• Cookie 検出時のアラートの有効化

オンデマンドスキャンタスクを実行する場所を指定します。

注意: このタブは ePolicy Orchestrator でのみ使用できます。

タスク



グローバルシステムキャッシュの設定VirusScan Enterprise のスキャンキャッシュには、ウイルスなどに感染していないスキャ

ン済みファイルのリストが保存されます。この非感染ファイルのスキャンキャッシュ情報を

システムの再起動時に保存することで、システムのパフォーマンスを高めることができます。

これにより、オンデマンドスキャナは、この非感染ファイルキャッシュ情報を使用してファ

イルの重複スキャンを低減できます。

次のユーザインターフェースコンソールを使用して、［全般オプションポリシー］タブと

［スキャンの全般設定］タブでスキャンキャッシュ機能を設定します。

タスク





このユーザインターフェースコンソールを使用して全般オプションポリシーからスキャン

キャッシュ機能を設定します。

タスク

オプションの定義については、インターフェースの［?］または［ヘルプ］をクリックしてく

ださい。















4 全般オプションポリシーから、［スキャンの全般設定］タブをクリックして、VirusScan

Enterprise のスキャンキャッシュオプション設定を設定します。

5 次のスキャンキャッシュ全般設定を設定します。

• 再起動中のスキャンデータの保存を有効化－システムの再起動時に非感染スキャ

ン結果を保存します。

• オンデマンドスキャンにおけるスキャンキャッシュの利用を許可－オンデマンド

スキャナは既存の非感染スキャン結果を使用することで、重複スキャンを低減できま

す。





このユーザインターフェースコンソールを使用して全般オプションポリシーからスキャン

キャッシュ機能を設定します。

タスク

オプションの定義については、インターフェースの［?］または［ヘルプ］をクリックしてく

ださい。















4 全般オプションポリシーから、［スキャンの全般設定］タブをクリックして、VirusScan

Enterprise のスキャンキャッシュオプション設定を設定します。






す。



このユーザインターフェースコンソールを使用してスキャンキャッシュ機能を設定しま

す。

タスク


1 ［ツール］、［全般オプション］、［スキャンの全般設定］タブの順にクリックして、

［スキャンの全般設定］ダイアログボックスを開きます。








す。


配信時とオンデマンドの電子メールスキャン電子メールスキャナは、電子メールメッセージと添付ファイルを自動的にスキャンします。

電子メールは以下を使用してスキャンされます。

• Microsoft Outlook －電子メールは配信時にスキャンされるか、Microsoft Outlook か

らオンデマンド電子メールスキャンを直接実行することもできます。

注意: ヒューリスティック機能と Artemis 機能を設定している場合は、電子メールの配

信時スキャナとオンデマンドスキャナはヒューリスティックを使用して不審なファイル

を探します。詳細については、「Artemis の動作」を参照してください。

• Lotus Notes — 以下を設定できます。

• アクセス時に、電子メールがスキャンされます。

• 起動時に、Lotus Notes からオンデマンド電子メールスキャンが直接実行されます。

• 除外する Notes データベース

次のユーザインターフェースコンソールを使用して配信時電子メールスキャンのポリシー


タスク




配信時電子メールスキャンポリシーのタブの定義

ePolicy Orchestrator 4.5 または 4.6このユーザインターフェースコンソールを使用して配信時電子メールスキャンのポリシー


タスク









す。


パート II －検出:脅威の検索配信時とオンデマンドの電子メールスキャン













4 ［配信時の電子メールスキャナポリシー］設定ページの各タブでオプションを設定し

ます。「配信時電子メールスキャンポリシーのタブの定義」を参照してください。

ePolicy Orchestrator 4.0このユーザインターフェースコンソールを使用して配信時電子メールスキャンのポリシー


タスク
















4 ［配信時の電子メールスキャナポリシー］設定ページの各タブでオプションを設定し

ます。「配信時電子メールスキャンポリシーのタブの定義」を参照してください。

VirusScan コンソールこのユーザインターフェースコンソールを使用して配信時電子メールスキャンのポリシー


タスク




1 ［タスク］リストで、［配信時の電子メールスキャンのプロパティ］を右クリックし

て、［プロパティ］をクリックしてダイアログボックスを開きます。

2 ［配信時の電子メールスキャンのプロパティ］ダイアログボックスの各タブでオプショ

ンを設定します。「配信時電子メールスキャンポリシーのタブの定義」を参照してく

ださい。

配信時電子メールスキャンポリシーのタブの定義

定義タブ

スキャンアイテム • スキャン対象の添付ファイルとメッセージを指定します。

• ヒューリスティックを使用して、マルウェアと類似した潜在的な脅威や不明なマ

クロウイルスを対象にしてスキャンして、複数の拡張子を持つ添付ファイルを探

します。

• アーカイブ内の圧縮ファイルをスキャンして、MIME 形式のファイルをデコードし

ます。

• 電子メールスキャナを有効にして、不審なプログラムをスキャンします。

• 電子メール本文をスキャンします。

• Artemis の感度レベルを設定します。

注意: このオプションは、[配信時電子メールスキャン] でのみ使用できます。



• 最初のアクションが失敗した場合に実行する 2 番目のアクションを指定します。



• 最初のアクションが失敗した場合に実行する 2 番目のアクションを指定します。

プロンプトダイアログボックスで許可されているアクションについて、アクショ

ンを選択します。

アラート • 脅威が埋め込まれた電子メールが検出されたら、もう 1 人のユーザに通知しま

す。

• ユーザがアクションの実行を求められたときに表示されるメッセージを指定しま

す。

レポート • 動作ログを有効にします。

• ログファイルの名前または場所を指定します。

• ログファイルサイズの制限を指定します。

• ログファイル形式を選択します。

• スキャン活動以外にログに記録する処理を指定します。

注意: このタブは、[配信時電子メールスキャン] でのみ使用できます。Notes スキャナの設定

Lotus Notes に固有の設定を指定します。

• すべてのサーバデータベースをスキャンします。

• 指定したメールボックスのルートフォルダにあるサーバメールボックスをスキャ

ンします。

• 無視する Notes アプリケーションです。



パート III －対応:脅威の処理

脅威への対応は、保護戦略の 3 番目のステップであり、お使いのシステムにアクセスしよう

とするマルウェアを検出して駆除することです。

目次

検出および対応

アラートおよび通知の設定

クエリおよびダッシュボードへのアクセス

緊急 DAT の設定

検出および対応脅威が発生して検出されたときに実行される処理は、VirusScan Enterprise がどのように対

応するように設定されているのか、およびどの機能によってその脅威が検出されたのかによっ

て決まります。これらの違いを理解することは、効果的な戦略を策定して実践するのに役立

ちます。

目次

検出時のスキャナアクション

システムのアクセスポイント違反

バッファオーバーフロー検出

不審なプログラムの検出

オンアクセススキャン検出

オンデマンドスキャン検出

電子メールスキャンによる検出

隔離アイテム

検出時のスキャナアクション脅威が検出されたときの対応は、VirusScan Enterprise の設定内容によって異なります。

VirusScan Enterprise が自動的に駆除するように設定されている場合は（推奨のデフォルト

設定）、DAT ファイルに記載された駆除指示に基づいてアクションが実行されます。たとえ

ば、スキャナによるファイルの駆除ができない場合や、ファイルが修復できないほど損傷し

ている場合は、DAT ファイルの定義内容に応じて、スキャナはそのファイルを削除するか、2

番目のアクションを実行することがあります。

脅威が含まれている可能性のあるファイルへのアクセスがスキャナによって拒否される場合

は、そのファイルの保存時にファイル名に .mcm 拡張子が追加されます。


システムのアクセスポイント違反システムのアクセスポイント違反が発生したとき、実行されるアクションはルールの設定に

よって異なります。

ルールの設定とそれに対して実行されるアクションは次のとおりです。

• レポート－情報がログファイルに記録されます。

• ブロック－アクセスが拒否されます。

ログファイルで、侵害されたシステムのアクセスポイント、および侵害を検出したルール

を確認した後、アクセス保護ルールを設定し、ユーザが正当なアイテムにアクセスでき、保

護されたアイテムにはアクセスできないようにします。

対応として実行するアクションを決定するには、以下のシナリオを使用します。

シナリオ検出の種類

望ましくないプロセス • ルールによってログファイルに違反がレポートされたが、違反がブロックされな

かった場合、ルールについて［ブロック］オプションを選択します。

• ルールによって違反がブロックされたが、違反がログファイルにレポートされな

かった場合、ルールについて［レポート］オプションを選択します。

• ルールによって違反がブロックされ、ログファイルにレポートされている場合

は、アクションは不要です。

• 検出されなかった不審なプロセスを見つけた場合は、ルールを編集してそのプロ

セスをブロック対象として含めます。

正当なプロセス • ルールによってログファイルに違反がレポートされたが、違反がブロックされな

かった場合、ルールについて［レポート］オプションを選択します。

• ルールによって違反がブロックされてログファイルにレポートされている場合、

ルールを編集して正当なプロセスをブロック対象から除外します。

バッファオーバーフロー検出バッファオーバーフローが検出されると、スキャナはその検出対象をブロックして、［オン

アクセススキャンメッセージ］ダイアログボックスにメッセージが記録されます。このダ

イアログボックスを参照してから、追加のアクションを実行するかどうかを判断できます。

実行できるアクションは次のとおりです。

• メッセージの削除－リストのアイテムを選択し、［削除］をクリックします。

• 除外対象の作成－検出されたプロセスが正規のプロセス（誤検知）である場合は、［オ

ンアクセススキャンメッセージ］ダイアログボックスの情報を使用して除外対象を作

成します。[名前] コラムにある情報を確認し、呼び出しをかけている書き込み可能メモ

リを所有しているプロセス名を決定します。プロセス名を利用して除外対象を作成しま

す。

• 分析のための McAfee ラボへのサンプル送信－スキャナによって検出されるべきでない

ものが検出される場合や、検出されるべきものが検出されない場合は、サンプルを McAfee

ラボに送信できます。

不審なプログラムの検出オンアクセススキャナ、オンデマンドスキャナ、電子メールスキャナは、設定した [不審

なプログラムポリシー] に基づいて不審なプログラムを検出します。不審なプログラムが検

出されると、そのスキャナに対して [アクション] タブで設定したアクションが適用されま

す。

パート III －対応:脅威の処理検出および対応


ログファイルの情報を確認してから、追加のアクションを実行するかどうかを決定します。

• スキャンアイテムの微調整－スキャンの効率性を高めます。

• 検出対象からの除外－正当なプログラムが検出された場合は、そのプログラムを検出対

象から除外するように設定できます。

• ユーザ定義の検出リストへの追加－不審なプログラムが検出されなかった場合は、その

プログラムをユーザ定義の検出リストに追加できます。




オンアクセススキャン検出オンアクセススキャナは、マルウェアを検出すると、［オンデマンドスキャンのプロパ

ティ］の［アクション］タブの設定内容に従ってアクションを実行します。また、［オンア

クセススキャンメッセージ］ダイアログボックスにメッセージが記録されます。

動作ログと［オンアクセススキャンメッセージ］ダイアログボックスの情報を確認し、以

下の追加アクションを実行するかどうかを決定します。

• スキャンアイテムの微調整－スキャンの効率性を高めるには、VirusScan Enterprise

によって脅威と識別される可能性のある正当なファイルを除外対象に設定して、隔離領域

に保存された可能性のある既知の脅威を削除します。

• ［オンアクセススキャンメッセージ］ダイアログボックスでのアイテムの右クリック

－以下のアクションを実行します。

• ファイルを駆除 - 選択したメッセージに示されているファイルの駆除を試みます。

• ファイルを削除 - 選択したメッセージに示されているファイルを削除します。削除さ

れたファイル名はログファイルに記録されるので、隔離マネージャから復元すること

ができます。

• すべて選択 (Ctrl+A) - リスト内のすべてのメッセージを選択します。

• リストからメッセージを削除 (Ctrl+D) - 選択したメッセージをリストから削除しま

す。メッセージは、リストから削除されてもログファイルには記録されています。

• すべてのメッセージを削除 - すべてのメッセージをリストから削除します。メッセー

ジは、リストから削除されてもログファイルには記録されています。

• オンアクセススキャナログファイルを開く - オンアクセススキャナの動作ログ

ファイルを開きます。このオプションは [ファイル] メニューからのみ使用できます。

• アクセス保護ログファイルを開く - アクセス保護に関する動作ログファイルを開き

ます。このオプションは [ファイル] メニューからのみ使用できます。

• 選択したメッセージに対して実行できないアクションがある場合は、そのアクションに

対応するアイコン、ボタン、およびメニュー項目が無効化されます。たとえば、メッ

セージに示されているファイルがすでに削除されている場合には [駆除] アクションは

使用できません。また、管理者がファイルの削除を禁止した場合には、[削除] アクショ

ンは使用不能となります。

• ファイルを駆除 - DAT ファイルにクリーナがない場合や破損して修復できない場合、

ファイルは駆除できません。ファイルの駆除が失敗した場合は、ファイル名に .mcm と

いう拡張子が追加され、そのファイルへのアクセスが拒否されます。また、それについ

てのエントリがログファイルに記録されます。この場合、ファイルを削除し、安全な

バックアップコピーから復元することを推奨します。



• 分析のための McAfee Labs へのサンプル送信－スキャナによって検出されるべきでな

いものが検出される場合や、検出されるべきものが検出されない場合は、サンプルを

McAfee ラボに送信できます。

オンデマンドスキャン検出オンデマンドスキャナは、脅威を検出すると、［オンデマンドスキャンのプロパティ］の

［アクション］タブの設定内容に従ってアクションを実行します。



• アクションを指定－［オンデマンドスキャンの状況］ダイアログボックスからアク

ションを選択することで、スキャナがユーザにアクションの指定を求めるように設定して

います。




電子メールスキャンによる検出電子メールスキャンによって脅威が検出されたときにスキャナによって実行されるアクショ

ンは、［配信時の電子メールスキャンのプロパティ］または［オンデマンド電子メールス

キャンプロパティ］の［アクション］タブの設定内容に応じて異なります。






隔離アイテム脅威として検出されたアイテムは、駆除または削除されます。さらに、そのアイテムのコピー

が実行不能な形式に変換されて、隔離フォルダに保存されます。このようにすることで、そ

の脅威を駆除可能にする情報が含まれている可能性のある最新バージョンの DAT のダウン

ロード後に、これらの隔離アイテムに対してプロセスを実行できます。

これらの追加のプロセスは次のとおりです。

• 復元

• 再スキャン

• 削除

• 誤検知の確認

• 検出プロパティの表示

注意: 隔離アイテムには、複数の種類のスキャン済みオブジェクトが含まれている可能性が

あります。これらのオブジェクトは、ファイル、Cookie、レジストリ、および VirusScan

Enterprise がマルウェアを検出するためにスキャンするあらゆるアイテムです。



隔離ポリシーの設定

Quarantine Manager のポリシーにアクセスして、必要に応じて隔離ポリシーを設定するか、

デフォルト設定をそのまま使用します。

次のユーザインターフェースコンソールを使用して Quarantine Manager のポリシーを設

定します。

タスク





このユーザインターフェースコンソールを使用して Quarantine Manager のポリシーを設

定します。

タスク









す。













4 ［隔離］ページで、デフォルトの検疫ディレクトリをそのまま使用するか、異なるディ

レクトリを選択します。

5 隔離アイテムの保存日数を設定するには、［指定日数後に隔離データを自動削除］をク

リックして、［バックアップデータを検疫ディレクトリに保管しておく日数］を入力し

ます。





定します。

タスク
















4 ［隔離］ページで、デフォルトの検疫ディレクトリをそのまま使用するか、異なるディ

レクトリを選択します。



ます。



定します。

タスク


1 ［タスク］リストで、［Quarantine Manager のポリシー］を右クリックして、［プロパ

ティ］をクリックして［Quarantine Manager のポリシー］ダイアログボックスを開き

ます。

2 デフォルトの隔離ディレクトリをそのまま使用するか、異なるディレクトリを選択しま

す。



ます。



隔離アイテムの管理

VirusScan コンソールを使用して、隔離アイテムを処理してさらに詳しくチェックして、手

動で削除または復元します。

注意: ePolicy Orchestrator コンソールから、［隔離からの復元］クライアントタスクを

使用して隔離アイテムを復元します。

タスク


1 VirusScan コンソールの［タスク］リストで、［Quarantine Manager のポリシー］を

クリックして［Quarantine Manager のポリシー］ダイアログボックスを開きます。

2 ［マネージャ］タブをクリックして、アイテムを右クリックして次の詳細オプションに

アクセスします。

• 復元

• 再スキャン

• 削除

• 誤検知の確認

• 検出プロパティの表示

3 ダイアログボックスが開いて、実行しようとしているアクションがもたらす影響が説明

されます。

アラートおよび通知の設定潜在的な脅威が検出されたときに通知を受け取るのは、環境を保護するために重要な点です。

ePolicy Orchestrator コンソールまたは VirusScan コンソールを使用して、脅威が検出さ

れたときに通知を受ける方法を設定できます。どちらのコンソールでも、アラートオプショ

ンを設定したり、重大度に基づいてアラートをフィルタリングしてアラートトラフィックを

制限したり、ローカルアラートオプションを設定したりできます。

アラートの設定各種のスキャナが脅威を検出したときに表示されるアラートと通知のプロパティを設定しま

す。

同じプロセスを使用して、以下のポリシーのアラートを設定します。

• アラートポリシー

• バッファオーバーフロー保護ポリシー

• 配信時電子メールスキャンポリシー

次のユーザインターフェースコンソールを使用して、これら 3 つのポリシーすべてのア

ラート通知ポリシーを設定します。

タスク




パート III －対応:脅威の処理アラートおよび通知の設定


アラートポリシーのタブの設定


このユーザインターフェースコンソールを使用してアラートポリシーを設定します。

タスク









す。













4 アラートポリシーのタブを設定します。「アラートポリシーのタブの設定」を参照し

てください。


このユーザインターフェースコンソールを使用してアラートポリシーを設定します。

タスク



















てください。


このユーザインターフェースコンソールを使用してアラートのプロパティを設定します。

タスク


1 次のいずれかのプロパティを開いてアラートを設定します。

• アラート — ［ツール］、［アラート］の順にクリックして、［アラートのプロパ

ティ］ダイアログボックスを開きます。

• バッファオーバーフロー保護－［バッファオーバーフロー保護］タスクを選択し

て、［プロパティ］を右クリックして、［バッファオーバーフロー保護のプロパ

ティ］ダイアログボックスを開きます。

• 配信時の電子メールスキャナ－［配信時の電子メールスキャナ］タスクを選択し

て、［プロパティ］を右クリックして、配信時の電子メールスキャナのプロパティ

ダイアログボックスを開きます。［アラート］タブをクリックします。


てください。

アラートポリシーのタブの設定

設定タスク

アラートポリシー 1 ［アクション］列で、［設定を編集］を選択して［アラートポリシー］ペー

ジを開きます。

2 ［アラートを生成するコンポーネント］と［Alert Manager のオプション］


バッファオーバーフロー保護

ポリシー

1 ［アクション］列で、［設定を編集］を選択して［バッファオーバーフロー

保護］ページを開きます。

2 ［クライアントシステムの警告］の横で、［バッファオーバーフローの検

出時にメッセージを表示する］をクリックします。

配信時電子メールスキャン

ポリシー

1 ［アクション］列で、［設定を編集］を選択して［バッファ配信時電子メー

ルスキャンポリシー］ページを開きます。

2 ［アラート］をクリックして、［ユーザの電子メールアラート］と［アク

ションを指定メッセージ］を設定します。



クエリおよびダッシュボードへのアクセスクエリおよびダッシュボードを使用すると、スキャン動作を監視することができ、検出内容

に対して実行するアクションを決定するのに役立ちます。クエリおよびダッシュボードは事

前定義済みのものだけでなく、必要に応じて新たに作成したものも使用できます。クエリお

よびダッシュボードの詳細については、ePolicy Orchestrator 製品マニュアルを参照してく

ださい。

クエリ

お使いの ePolicy Orchestrator バージョンに応じて、以下を使用してクエリにアクセスし

てください。

ePolicy Orchestrator 4.5 および 4.6

1 ［メニュー］、［レポート］、［クエリ］の順にクリックして、［クエリ］ページを開

きます。

2 ［クエリ］ペインで、［高速検索］に「VSE:」と入力して、［適用］をクリックします。

VirusScan Enterprise のクエリのみがリストに表示されます。


1 ［レポート］、［クエリ］の順にクリックして、［クエリ］ページを開きます。

2 右側のペインの［クエリ］リストで、スクロールダウンして「VSE:」で始まるクエリを

探します。

事前に定義されたクエリは次のとおりです。

VSE:過去 2 四半期に検出した脅威VSE:過去 30 日間の対応状況

VSE:週単位での検出した脅威VSE:週単位での脅威が検出されたコンピュータ

VSE:上位 10 違反のあったアクセス保護ルールVSE:現在の DAT の採用

VSE:上位 10 検出されたバッファオーバーフローVSE:過去 24 時間での DAT の採用状況

VSE:上位 10 検出数が最も多いコンピュータVSE:DAT の導入

VSE:上位 10 検出した脅威VSE:検出対応サマリ

VSE:上位 10 脅威源VSE:タグごとの検出数

VSE:上位10 脅威カテゴリごとの脅威VSE:過去 24 時間に検出したスパイウェア

VSE:上位 10 検出数が最も多いユーザVSE:過去 7 日間に検出したスパイウェア

VSE:過去 24 時間に検出した不審なプログラムVSE:過去 24 時間に検出した脅威のサマリ

VSE:過去 7 日間に検出した不審なプログラムVSE:過去 7 日間に検出した脅威のサマリ

VSE:バージョン 8.5 の対応VSE:重大度ごとの脅威の数

VSE:バージョン 8.7 の対応VSE:週単位での検出した脅威の名前

VSE:バージョン 8.8 の対応VSE:過去 24 時間に検出した脅威

VSE:過去 7 日間に検出した脅威

ダッシュボード

ePolicy Orchestrator コンソールでダッシュボードにアクセスするには、［ダッシュボー

ド］に移動します。

事前に定義されたダッシュボードは次のとおりです。

• VSE:バージョン 8.8 の対応

• VSE:トレンドデータ

• VSE:最新の検出

パート III －対応:脅威の処理クエリおよびダッシュボードへのアクセス


緊急 DAT の設定緊急 DAT を手動でダウンロードすることで、通常の VirusScan DAT アップデートがリリー

スされるまで、お使いのシステムを主要なウイルスから保護できます。

注意: これらの EXTRA.DAT ファイルは、クライアントシステムの AutoUpdate の一部とし

て、または ePolicy Orchestrator のスケジュール設定されたプルプロセスの一部として自

動的にダウンロードする必要があります。「検出定義のアップデート」を参照してください。

緊急 DAT の設定は、次の 2 つのステップからなるプロセスです。

1 緊急 DAT ファイルをダウンロードします。このプロセスは、クライアントシステムと

ePolicy Orchestrator リポジトリの両方について同じです。

2 緊急 DAT ファイルをインストールします。このプロセスは、クライアントシステムの

場合と ePolicy Orchestrator 4.0 4.5 および 4.6 サーバの場合とで異なります。

ここでは、これらの各プロセスについて説明します。

目次

緊急 DAT について

SuperDAT ファイルのダウンロード

ePolicy Orchestrator リポジトリへの SuperDAT ファイルのインストール

クライアントシステムへの EXTRA.DAT ファイルのインストール

緊急 DAT について緊急 DAT は、EXTRA.DAT という名前のファイルであり、VirusScan Enterprise が新種のウ

イルスを検出するために使用する情報を含んでいます。新たなマルウェアが発見されて、追

加の検出が必要な場合は、通常の VirusScan Enterprise DAT アップデートがリリースされ

るまで、SuperDAT（SDAT）実行ファイル内にパッケージ化された EXTRA.DAT ファイルが

McAfee ラボによって提供されます。

注意: McAfee は、現在は Security Updates ダウンロードサイトに個別の EXTRA.DAT ファ

イルを公開していません。特定の脅威に対応する EXTRA.DAT ファイルを取得するには、McAfee

Avert Labs Extra.dat Request Page（https://www.webimmune.net/extra/getextra.aspx）

にアクセスしてください。

SuperDAT パッケージ

SuperDAT の実行ファイルは、自己インストール型パッケージです。このファイルには、新し

いウイルススキャンエンジンや他のプログラムコンポーネントが含まれている場合もあり

ます。このファイルの名前は sdatXXXX.exe という形式であり、XXXX は 4 桁の DAT バージョ

ン番号です（例: sdat4321.exe）。

SuperDAT の実行ファイルから EXTRA.DAT ファイルを抽出して、ハードディスク上のエンジ

ンフォルダに追加すると、VirusScan Enterprise は、通常の DAT ファイルに加えてこの

EXTRA.DAT ファイルを使用して、新たなウイルスを検出します。これにより、マルウェアを

検出/削除するための情報が含まれた正式な DAT アップデートがリリースされるまで、

VirusScan Enterprise によってご使用のコンピュータが新たなマルウェアコードから保護

されます。正式な DAT アップデートがリリースされてインストールされると、この EXTRA.DAT

ファイルは不要になります。

注意: EXTRA.DAT ファイルは、5 日間だけファイルシステム上に保持されてから、自動的

に削除されます。正式な日次アップデートを自動的にダウンロードおよびインストールする

ことで、VirusScan Enterprise の DAT ファイルを最新状態に保つことをお勧めします。

パート III －対応:脅威の処理緊急 DAT の設定


https://www.webimmune.net/extra/getextra.aspx

SuperDAT ファイルのダウンロードSuperDAT（SDAT）ファイルをダウンロードするには、McAfee Security Updates ページに接

続する必要があります。

作業の前に

• McAfee Security Updates ページにアクセスするための有効な承認番号が必要です。

http://www.mcafee.com/apps/downloads/security_updates/dat.asp

• McAfee ソフトウェアを更新するための管理者権限が必要です。

タスク

1 次の URL にある McAfee Security Updates ページにアクセスします。


2 ［SuperDATs］タブをクリックして、sdatXXXX.exe ファイルをダブルクリックします（XXXXは最新の DAT アップデートの番号です）。

注意: readme.txt ファイルをダブルクリックして追加情報を参照します。

3 この実行ファイルをデフォルト名のまま一時的な場所に保存します。

ePolicy Orchestrator リポジトリへの SuperDAT ファイルのインストール

SuperDAT ファイルをダウンロードしたら、このファイルを ePolicy Orchestrator サーバに

インストールする必要があります。

作業の前に

McAfee ソフトウェアを更新するための管理者権限が必要です。

タスク


1 SuperDAT ファイルを ePolicy Orchestrator サーバにインストールするには、次のいず

れかの手順を実行します。

手順サーバ

ePolicy Orchestrator 4.5 およ

び 4.6

1 ePolicy Orchestrator 4.5 および 4.6 コンソールで、

［メニュー］、［ソフトウェア］、［マスターリポジト

リ］の順にクリックして、［マスターリポジトリのパッ

ケージ］ページを開きます。

2 ［アクション］、［パッケージのチェックイン］の順に


ePolicy Orchestrator 4.0 1 ［ソフトウェア］、［マスターリポジトリ］の順にク

リックして、［マスターリポジトリのパッケージ］ペー

ジを開きます。

2 ［パッケージのチェックイン］をクリックして、［パッ

ケージのチェックイン］ページを開きます。





2 ［Super DAT (EXE)］を選択して、ファイルの保存場所に移動して、［次へ］をクリック

します。

3 選択内容を確認してから、［保存］をクリックします。［マスターリポジトリのパッ

ケージ］ページの［名前］リストに、新しい DAT パッケージが表示されます。

クライアントシステムへの EXTRA.DAT ファイルのインストールMcAfee ラボから EXTRA.DAT ファイルをダウンロードしたら、このファイルをスタンドアロ

ンクライアントシステムにインストールできます。EXTRA.DAT ファイルのダウンロード情

報については、「緊急 DAT について」を参照してください。

作業の前に

McAfee Security ソフトウェアを更新するための管理者権限が必要です。

タスク


1 ダウンロードが完了したら、保存した実行ファイルを探して実行し、ウィザードの指示

に従ってください。

EXTRA.DAT ファイルを実行すると、次のステップが実行されます。

• McAfee のメモリ常駐ソフトウェアをアンロードするか、現在の DAT ファイルを使用

しているサービスを停止します。

• 新しい DAT ファイルを適切なプログラムディレクトリにコピーします。

• 新しい DAT ファイルを使用してスキャンを継続するために必要なソフトウェアコン

ポーネントを再始動します。

2 インストーラによる DAT ファイルの更新が完了したら、ダウンロードしたファイルを削

除することも、後続の更新のために保持することもできます。



パート IV －保護状況の監視、分析、および微調整

保護戦略を初期設定したら、保護状況を監視、分析、および微調整する必要があります。動

作ログファイルと ePolicy Orchestrator のクエリをチェックすることで、VirusScan

Enterprise システムのパフォーマンスと保護能力を向上させることができます。

目次

環境内の動作の監視

保護状況の分析

環境内の動作の監視保護戦略における重要な 1 ステップは、お使いのシステムで発生するマルウェアイベント

を監視することです。このためには、使用するツールとそれらの使用方法を理解する必要が

あります。

動作監視用のツールVirusScan Enterprise は、保護対象システム上で発生する脅威イベントを監視するためのさ

まざまな方法を提供します。使用するツールは、ePolicy Orchestrator コンソールを使用し

ているのか、VirusScan コンソールを使用しているのかによって異なります。

クエリとダッシュボードの使用ePolicy Orchestrator のクエリとダッシュボードを使用して、McAfee 管理対象システム上

の動作を監視して、検出時に実行するアクションを決定します。

クエリとダッシュボードの詳細については、以下を参照してください。

• 使用可能な事前定義済みクエリの全リストについては、「クエリおよびダッシュボードへのアクセス」を参照してください。

• クエリとダッシュボードの変更と作成については、ePolicy Orchestrator の製品マニュ

アルを参照してください。

動作ログの使用VirusScan コンソールの動作ログには、VirusScan Enterprise の保護対象システムで発生

したイベントの記録が保管されます。次の表では、これらのログファイルについて説明して

います。

すべての動作ログファイルは、お使いのオペレーティングシステムに応じて、次のいずれ

かの場所にデフォルトで保管されます。


• Microsoft Windows XP、Microsoft Vista、Microsoft 2000 Server、Microsoft 2003

Server、および Microsoft 2008 Server の場合－ C:\Documents and Settings\All

Users\Application Data\McAfee\DesktopProtection

• Microsoft Windows 7 の場合－ C:\ProgramData\McAfee\DesktopProtection

表 1: ログファイル

表示内容アクセス方法ファイル名

日付、時刻、イベント、

ユーザ、ファイル名

［タスク］列で、［アクセス保護］、［レポート］

タブの順にクリックして、［ログの表示］をクリッ

クします。

AccessProtectionLog.txt

日付、時刻、オーバーフ

ローを発生させた実行

［タスク］列で、［バッファオーバーフロー保

護］、［レポート］タブの順にクリックして、［ロ

グの表示］をクリックします。

BufferOverflowProtectionLog.txt

ファイル、スタックオー

バーフローなのかヒープ

オーバーフローなのか

日付、時刻、ミラーファ

イルのパス、追加情報MirrorLog.txt • Microsoft Windows XP、Microsoft Vista、

Microsoft 2000 Server、Microsoft 2003

Server、および Microsoft 2008 Server の場合

－ C:\Documents and Settings\All

Users\Application

Data\McAfee\DesktopProtection

• Microsoft Windows 7 の場合－

C:\ProgramData\McAfee\DesktopProtection

日付、時刻、検出された

マルウェア、実行された

［タスク］列で、［オンアクセススキャナ］、［全

般設定］、［レポート］タブの順にクリックして、

［ログの表示］をクリックします。

OnAccessScanLog.txt

アクション、検出された

内容

日付、スキャンが実行さ

れた時刻、実行されたア

メニューから、［タスク］、［ログの表示］の順に

クリックします。OnDemandScanLog.txt

クション、対象ファイ

ル、検出された内容

日付、更新時刻、更新を

開始したユーザ、更新に

関する情報

UpdateLog.txt • Microsoft Windows XP、Microsoft Vista、

Microsoft 2000 Server、Microsoft 2003

Server、および Microsoft 2008 Server の場合

－ C:\Documents and Settings\All

Users\Application

Data\McAfee\DesktopProtection

• Microsoft Windows 7 の場合－

C:\ProgramData\McAfee\DesktopProtection

サンプルクエリの実行

単純なクエリを実行して、お使いの管理対象システム上で 1 週間に検出された脅威の数を確

認します。このクエリは単なる例です。実行または設定するクエリは、ePolicy Orchestrator

データベースから取得しようとしている情報によって異なります。

タスク


1 次のいずれかの方法で単純な ePolicy Orchestrator クエリを実行します。

• ePolicy Orchestrator 4.5 または 4.6 －［メニュー］、［レポート］、［クエリ］

の順にクリックして、［VSE: 週単位での検出した脅威］クエリまでスクロールダウン

して、［実行］をクリックします。

パート IV －保護状況の監視、分析、および微調整環境内の動作の監視


• ePolicy Orchestrator 4.0 －［レポート］、［クエリ］の順にクリックして、［VSE:

週単位での検出した脅威］クエリまでスクロールダウンして、［実行］をクリックしま

す。

2 脅威が検出された場合は、このクエリの出力では以下が表示されます。

• 脅威の数とこれらが発生した週を示す棒グラフ

• 同様の情報と脅威の総数を示す表

注意: 棒グラフや表内の情報をクリックすると、 ePolicy Orchestrator データベース

のデータが表示されます。

3 ［閉じる］をクリックしてクエリリストに戻ります。

他にもさまざまなデフォルトクエリを実行できるとともに、独自のクエリを作成することも

できます。詳細については、ePolicy Orchestrator 製品マニュアルを参照してください。

保護状況の分析VirusScan Enterprise によって保護されたシステムの保護状況を分析することは、継続的に

実行すべきプロセスであり、システムの保護強化とパフォーマンス向上に役立ちます。

目次

分析の重要性

保護状況の分析例

分析の重要性保護状況を分析することで、直面している脅威の種類、発生源、検知頻度、およびターゲッ

トシステムを特定できます。たとえば、あるシステムが継続的に攻撃されている場合は、お

そらく、そのシステムをネットワーク内のより安全な領域に移動して、そのシステムを保護

するためにセキュリティを強化する必要があります。

この分析は次の場合にも役立ちます。

• IT 部門およびマネージャ向けのレポートを作成する。

• スクリプトとクエリを作成するための情報を取得する。

• ネットワークアクセス時刻と VirusScan Enterprise アップデートのネットワーク使用

状況を監視する。

保護状況の分析例これらの分析例のステップは、ほとんどの VirusScan Enterprise 保護シナリオを分析する

ためのフレームワークとして使用できます。

これらの例では、マルウェアによる突発的な攻撃が発生して、以下を特定する過程を記述し

ています。

• 攻撃が発生した場所と時刻

• 攻撃で使用されたマルウェアの種類

• 攻撃がシステムに与えた影響

パート IV －保護状況の監視、分析、および微調整保護状況の分析


タスク





この分析例は、ePolicy Orchestrator 4.5 または 4.6 を使用したほとんどの VirusScan

Enterprise の保護シナリオを分析するためのフレームワークとして使用されます。

作業の前に

この分析例を実行するには、VirusScan Enterprise によって保護されたシステムに直接また

はリモートでアクセスできる必要があります。

タスク


1 攻撃が発生した場所と時刻を特定します。

a ［メニュー］、［レポート］、［クエリ］の順にクリックして、［クエリ］ペインを

開きます。

b ［高速検索］に「マルウェア」と入力して、［適用］をクリックします。［クエリ］

リストに、［マルウェアの検出履歴］クエリが表示されます。

c 該当するクエリを選択して［アクション］、［実行］の順にクリックします。クエリ

によって最近の攻撃の数が返されます。

2 攻撃で使用されたマルウェアの種類を確認するには、［メニュー］、［レポート］、［脅

威イベントログ］の順にクリックして、［脅威イベントログ］を表示します。

3 ログイベントをダブルクリックして、ペイン内に詳細ページを表示します。ログイベ

ントから、次のことを特定できます。

• 表示される［脅威ソース IP アドレス］とターゲットは、どのアクションを実行すべ

きか特定するのに役立ちます。

• ［脅威名］と［脅威タイプ］では、攻撃で使用されたマルウェアが示されます。

• ［脅威イベントの説明］では、攻撃がシステムに与えた影響と、脅威に対して実行さ

れたアクションが示されます。


この分析例は、ePolicy Orchestrator 4.0 を使用したほとんどの VirusScan Enterprise の

保護シナリオを分析するためのフレームワークとして使用されます。

作業の前に



タスク


1 攻撃が発生した場所と時刻を特定します。

a ［レポート］、［クエリ］の順にクリックして、［クエリ］リストを開きます。



b ［公開クエリ］リストで、［ePO：マルウェアの検出履歴］を選択して、［その他の

アクション］、［実行］の順にクリックします。［クエリ］リストに、［マルウェア

の検出履歴］クエリが表示されます。

2 マルウェアの検出をトリガしたイベントを表示するには、［レポート］、［イベントロ

グ］の順にクリックして、クエリによって返される最近の攻撃の数を表示します。

3 ログイベントをダブルクリックして、ペイン内に詳細ページを表示します。ログイベ

ントから、次のことを特定できます。

• 表示される［脅威ソース IP アドレス］とターゲットは、どのアクションを実行すべ

きか特定するのに役立ちます。

• ［脅威名］と［脅威タイプ］では、攻撃で使用されたマルウェアが示されます。

• ［脅威イベントの説明］では、攻撃がシステムに与えた影響と、脅威に対して実行さ

れたアクションが示されます。


この分析例は、VirusScan コンソールを使用したほとんどの VirusScan Enterprise の保護

シナリオを分析するためのフレームワークとして使用されます。

作業の前に



タスク


1 ［タスク］リストで、［オンアクセススキャナ］を右クリックして、リストから［統

計］を選択します。［オンアクセススキャン統計］ダイアログボックスが表示されま

す。

2 ［スキャンの統計］グループで、表示される検出ファイル数をメモします。この数が 0

でない場合は、［プロパティ］クリックして［オンアクセススキャンのプロパティ］ダ


3 ［レポート］タブをクリックして、［ログの表示］をクリックします。メモ帳のウィン

ドウが開いて、OnAccessScanLog.txt ファイルが表示されます。

4 この出力から次のことを確認できます。

• 攻撃で使用されたマルウェアの種類以下に例を示します。

C:\...\eicar.com EICAR テストファイル

• 攻撃がシステムに与えた影響以下に例を示します。

（検出対象が駆除不能であるため、駆除に失敗）

• 脅威に対して実行されたアクション以下に例を示します。

削除しました

5 上記のステップの情報に基づいて、ソースまたはターゲットシステムのウイルス保護設

定を変更する必要があるのか、または他のアクションを実行する必要があるのかを判断

します。



付録

これまでに紹介した以外の設定機能やトラブルシューティング機能を使用して、VirusScan

Enterprise による保護を強化できます。これらの機能では、ePolicy Orchestrator コンソー

ル、コマンドライン、インターネットなどの使い慣れたツールが使用されます。

目次

ePolicy Orchestrator のサーバタスクの設定

VirusScan Enterprise でのコマンドラインの使用

リモートシステムへの接続

分析用の脅威サンプルの送信

McAfee ラボの脅威ライブラリへのアクセス

トラブルシューティング

ePolicy Orchestrator のサーバタスクの設定ePolicy Orchestrator で設定されるサーバタスクを使用すると、お使いのサーバと VirusScan

Enterprise ソフトウェアを管理するための自動タスクをスケジュール設定して実行できま

す。

VirusScan Enterprise のサーバタスクは、以下を自動的に生成するように設定できます。

• ポリシーをエクスポート－ポリシーレポートを実行して、ポリシー情報をファイルに

保存します。

• クエリを実行－事前設定済みのクエリを実行して（設定されている場合）、その出力を

ePolicy Orchestrator ダッシュボードに表示します。

• クエリのエクスポート－事前設定済みのクエリを実行して、レポートを指定された電子

メールアドレスに送信するか、指定された場所にエクスポートします。

注意: ［クエリのエクスポート］機能は、ePolicy Orchestrator 4.5 および 4.6 を使用

している場合にのみ使用できます。

ePolicy Orchestrator サーバには、次の VirusScan Enterprise サーバタスクがあらかじ

めインストールされています。

• VSE: 過去 30 日間の対応状況－クエリを 1 日に 1 回実行して、McAfee ウイルス対策

ソフトウェアの対応状況を記録します。

• VSE: 過去 24 時間での DAT の採用状況－クエリを 1 時間に 1 回実行して、McAfee

ウイルス対策ソフトウェアの DAT バージョン状況を記録します。

注意: カスタムサーバタスクの設定の詳細については、該当する ePolicy Orchestrator

製品ガイドを参照してください。


サンプルサーバタスクの設定ePolicy Orchestrator の既存の［VSE: 過去 30 日間の対応状況］サーバタスクを有効化お

よび設定するには、次のタスクを実行します。

作業の前に

ePolicy Orchestrator の設定を更新するための管理者権限が必要です。

タスク


1 ePolicy Orchestrator から既存の［サーバタスク］ページを開きます。

• ePolicy Orchestrator 4.5 または 4.6 －［メニュー］、［自動処理］、［サーバ

タスク］の順にクリックします。

• ePolicy Orchestrator 4.0 －［自動処理］、［サーバタスク］の順にクリックし

ます。

2 ［名前］列で［VSE: 過去 30 日間の対応状況］タスクを探して、［アクション］列で

［編集］をクリックします。［サーバタスクビルダ］ページが表示されます。

3 ［スケジュールステータス］の横にある［有効］をクリックし、［次へ］をクリックし

ます。[アクション] ページが表示されます。

［1. アクション］の横で、［クエリを実行］がデフォルトで選択されています。

4 ［クエリ］の横で、［VSE: バージョン 8.8.0 順守状況］がデフォルトで選択されてい

ます。必要に応じて［言語］設定を変更します。

［サブアクション］グループで、次の項目がデフォルトで選択されていることを確認し

ます。

• ［サブアクション］リスト内の［順守状況イベントを生成］

• テキストボックスに「1」が入力された［ターゲットシステムの一定値］

5 VirusScan Enterprise のバージョン 8.7 および 8.5 のコンプライアンスアクション

をこのサーバタスクに追加します。

a ［1. アクション］行で、プラス記号（+）をクリックして追加のアクション行を開き

ます。

b 新しい［2. アクション］行で以下を設定します。

• ［2. アクション］の横で、［クエリを実行］をリストから選択します。

• ［クエリ］の横で、［VSE: バージョン 8.7 順守状況］をリストから選択します。

• 必要に応じて［言語］設定を変更します。

• ［サブアクション］グループで、［順守状況イベントを生成］と、テキストボック

スに「1」が入力された［ターゲットシステムの一定値］が選択されていることを

確認します。

c ［2. アクション］行で、プラス記号（+）をクリックして追加のアクション行を開き

ます。

d 新しい［3. アクション］行で以下を設定します。

• ［3. アクション］の横で、［クエリを実行］をリストから選択します。

• ［クエリ］の横で、［VSE: バージョン 8.5 順守状況］をリストから選択します。

• 必要に応じて［言語］設定を変更します。

付録ePolicy Orchestrator のサーバタスクの設定


• ［サブアクション］グループで、［順守状況イベントを生成］と、テキストボック

スに「1」が入力された［ターゲットシステムの一定値］が選択されていることを

確認します。

6 [次へ] をクリックして、[スケジュール] ページを表示します。

7 ［スケジュールタイプ］リストから、このサーバタスクの実行頻度を選択します。

• ［開始日］を設定するか、現在の日付をデフォルトとして使用します。

• ［終了日］を設定するか、［終了日を指定しない］をデフォルトとして使用します。

• ［スケジュール］を設定するか、デフォルトをそのまま使用するか、クエリを実行す

るための別の開始時刻を設定します。

8 ［次へ］をクリックして［サマリ］ページを開きます。設定されている情報が正しいこ

とを確認します。

9 ［保存］をクリックして、［サーバタスク］ページを再び表示します。

10 ［VSE: 過去 30 日間の対応状況］サーバタスクについて、［ステータス］が有効化さ

れていること、および［次回の実行］の日付と時刻の設定が正しいことを確認します。

VirusScan Enterprise でのコマンドラインの使用コマンドプロンプトを使用して、VirusScan Enterprise のいくつかの基本的なプロセスを

実行できます。コマンドラインから、VirusScan Enterprise をインストール、設定、およ

び更新できます。コマンドラインのインストールオプションの詳細については、『VirusScanEnterprise インストールガイド』を参照してください。

コマンドラインを使用したスキャン例

すべてのファイルをスキャンして、スキャン結果に基づいてログファイルを更新して、完了

時にオンデマンドスキャンのダイアログボックスを自動的に閉じるには、次のコマンドを

入力します。

scan32 /all /log /autoexit

コマンドラインを使用した更新例

McAfee Update のダイアログボックスを表示することなく、DAT ファイル、スキャンエン

ジン、および製品を更新するには、次のコマンドを入力します。

mcupdate /update /quiet

オンデマンドスキャンのコマンドラインオプションVirusScan Enterprise は、SCAN32.EXE というオンデマンドスキャナを使用して脅威を検出

します。同じコマンドの SCAN32 をコマンドラインから実行するか、バッチファイルの一部

として実行することで、スキャンを実行できます。

SCAN32 構文では、プロパティと値を分割してはいけないこと以外、要素に特定の順序を必要

としません。この構文は次の要素で構成されます。

• ファイル名 — 実行可能ファイルの名前 : SCAN32.EXE

• オプション — オプションの前にはスラッシュ (/) が付き、大文字小文字の区別はありま

せん。

このコマンドの書式は次のとおりです。

付録VirusScan Enterprise でのコマンドラインの使用


SCAN32 PROPERTY=VALUE [,VALUE] [/option]

次に scan32.exe コマンドの実行例を示します。

scan32.exe PRIORITY /normal

この例の内容は次のとおりです。

• 「PRIORITY」はコマンド値です。

• 「/normal」は値オプションです。

オンデマンドスキャンの値とオプション

定義とオプションコマンドライン値

対象フォルダ内のすべてのファイルをスキャンします。ALL

デフォルトファイルとすべての Microsoft Office ドキュメントをスキャンします。ALLOLE

スキャンでエラーが発生または失敗しても、オンデマンドスキャンを強制終了します。ALWAYSEXIT

不審なプログラムポリシーで定義された、怪しいプログラムをスキャンします。APPLYNVP

.ZIP、.CAP、.LZH、.UUE ファイルなどのアーカイブファイルをスキャンします。ARCHIVE

非対話型スキャン終了時にオンデマンドスキャナを終了します。AUTOEXIT

怪しいプログラムを発見した場合、検出した対象ファイルを駆除します。CLEAN

不審なプログラムを発見した場合、検出したファイルを駆除します。CLEANA

怪しいプログラムを検出した後にスキャンを続行します。CONTINUE

怪しいプログラムを検出し、最初のアクションに失敗した後にスキャンを続行します。CONTINUE2

不審なプログラムを検出した後にスキャンを続行します。CONTINUEA

不審なプログラムを検出し、最初のアクションに失敗した後にスキャンを続行します。CONTINUEA2

パラメータとして指定するファイル拡張子を、スキャンに含まれる選択したファイルの種類

のリストに追加します。

DEFEXT

怪しいプログラムを発見した場合、検出したファイルを削除します。DELETE

怪しいプログラムを発見し、最初のアクションに失敗した場合に、検出したファイルを削除

します。

DELETE2

不審なプログラムが検出された場合にファイルを削除します。DELETEA

怪しいプログラムを検出し、最初のアクションに失敗した場合に、ファイルを削除します。DELETEA2

スキャンプロパティのダイアログボックスを表示します。EDIT

スキャンに含まれる選択したファイルの種類のリストにある拡張子を、この引数の後にパラ

メータとして追加するファイル拡張子と置き換えます。

EXT

以前に指定したログファイルに検出レポートのログを記録します。LOG

ログファイルに指定した形式を使用します。有効な値は、ANSI、UTF8、または UTF16 で

す。

LOGFORMAT <値>

スキャンの構成設定をログに記録します。LOGSETTINGS

スキャン結果のサマリをログに記録します。LOGSUMMARY

スキャンを実行するユーザについての識別情報をログに記録します。LOGUSER

マクロウイルスの Artemis 検出を有効にします。MHEUR

mime (多目的インターネットメール拡張仕様) でエンコードされたファイルで怪しいプロ

グラムを検出します。

MIME



定義とオプションコマンドライン値

ファイルのスキャンを開始する前にスキャンサイズを計算しません。進行状況を示す棒グ

ラフは表示されません。

NOESTIMATE

マクロウイルス以外の Artemis 検出を有効にします。PHEUR

他の CPU 処理と相対してスキャンの優先順位を設定します。次のいずれかのオプションを

指定する必要があります。

PRIORITY

• LOW

• BELOWNORMAL — ePolicy Orchestrator のデフォルトです。

• NORMAL — VirusScan コンソールのデフォルトです。

注意: 代わりに 1 ～ 100 までの数値パラメータを指定することもできます。この場合、10

は LOW に相当し、50 は BELOWNORMAL に相当し、100 は NORMAL に相当します。

怪しいプログラムを検出した場合、ユーザにアクションを促すメッセージを表示します。PROMPT

怪しいプログラムを検出し、最初のアクションに失敗した場合に、ユーザにアクションを促

すメッセージを表示します。

PROMPT2

不審なプログラムを検出した場合、ユーザにアクションを促すメッセージを表示します。PROMPTA

不審なプログラムを検出し、最初のアクションに失敗した場合に、ユーザにアクションを促

すメッセージを表示します。

PROMPTA2

アラートログのサイズを MB 単位で設定します。RPTSIZE

スキャンを実行します。プロパティダイアログボックスは表示しません。START

VirusScan コンソールで指定されたオンデマンドスキャンタスクを開始します。次の場所

にあるレジストリに記録された指定タスク ID を指定する追加パラメータが必要です。

hkey_local_machine_\software\McAfee\Desktop\Protection\Tasks

TASK

ユーザインターフェースダイアログを表示せずにスキャナを起動します。UINONE

アップデートタスクのコマンドラインオプションVirusScan Enterprise では、MCUPDATE.EXE を使用してタスクのアップデートを実行します。

同じコマンドの MCUPDATE をコマンドラインから実行するか、バッチファイルの一部として

実行することで、アップデートタスクを実行できます。

MCUPDATE 構文では、プロパティと値を分割してはいけないこと以外、要素に特定の順序を必

要としません。構文は次の要素で構成されます。

• ファイル名 — 実行可能ファイルの名前 : MCUPDATE.EXE

• オプション — オプションの前にはスラッシュ (/) が付き、大文字小文字の区別はありま

せん。

このコマンドの書式は次のとおりです。

MCUPDATE [/<type> [/TASK <guid>]] [/option].

注意: 上記の書式で、<type> には ROLLBACKDATS または UPDATE を指定できます。

/TASK 句はオプションです。ただしこの句を指定する場合は、アップデートタスク ID（guid）

も指定する必要があります。選択するタスク ID は、アップデートタスクまたは DAT のロー

ルバックタスクの ID である必要があります。スキャン ID は選択しないでください。タス

ク ID を指定しない場合は、デフォルトのアップデートタスクが使用されます。タスク ID

は次の場所にあります。hkey_local_machine\SOFTWARE\McAfee\DesktopProtection\Tasks\



/option 句は必須ではありません。サイレントアップデートタスクを実行するには、/QUIET

を使用します。

注意: /QUIET オプションを DAT のロールバックタスクで使用することはできません。次の

例では、サイレントアップデートタスクを実行します。MCUPDATE /UPDATE /QUIET

アップデートタスクのオプション

定義コマンドラインオプ

ション

現在の DAT ファイルを、最後にバックアップしたバージョンにロールバックします。ROLLBACKDATS

DAT ファイル、スキャンエンジン、製品、または extra.dat のアップデートを実行しま

す。

UPDATE

VirusScan コンソールで指定された AutoUpdate または DAT のロールバックタスクを開

始します。次の場所にあるレジストリに記録されたタスク ID を指定する追加のパラメー

タが必要です。

/TASK

hkey_local_machine\software\McAfee\DesktopProtection\Tasks

タスクをサイレントに実行します。/QUIET

リモートシステムへの接続VirusScan Enterprise がインストールされたリモートシステムに接続して、スキャンタス

クやアップデートタスクの変更やスケジュール設定、またはリモートシステム上のオンア

クセススキャナの有効化/無効化などの操作を実行できます。

注意: 管理者権限のないユーザがリモートシステムへの接続を試行すると、「必要な権限がありません。アクセスが拒否されました。」というメッセージが表示されます。

[VirusScan リモートコンソール] を起動すると、接続しているシステムの名前がコンソー

ルのタイトルバーに表示されます。ネットワーク上のシステムに接続していない場合には、

タイトルバーにローカルシステム名は表示されません。リモートコンソールからタスクの

プロパティダイアログボックスを開くと、プロパティダイアログボックスのタイトル

バーにシステム名が表示されます。

複数のリモートコンソールを開くことができます。［リモートコンピュータに接続］ダイ

アログボックスを閉じると、リモートシステムとの接続も切断されます。

VirusScan Enterprise がインストールされているリモートシステムへのアクセス

VirusScan Enterprise がインストールされたリモートシステムに管理目的のために接続す

るには、VirusScan コンソールで［リモートコンソールを開く］オプションを使用します。

タスク


1 VirusScan Enterprise 8.8 コンソールの［ツール］メニューから、［リモートコンソー

ルを開く］を選択します。

付録リモートシステムへの接続


2 ［コンピュータに接続］の下で、管理するシステムの名前を入力し、リストからシステ

ムを選択するか、［参照］をクリックしてネットワーク上のシステムを探して選択しま

す。

注意: リモートタスク用にファイルまたはフォルダのパス名を設定するときに環境変数

を使用する場合は、リモートシステム上にその環境変数が存在することを確認してくだ

さい。VirusScan Enterprise 8.8 コンソールでは、リモートシステム上の環境変数を

確認することはできません。

3 [OK] をクリックして対象のシステムへの接続を試行します。

リモートシステムに接続すると、次のことが起こります。

• タイトルバーにはそのシステムの名前が表示されます。

• コンソールはリモートシステムのレジストリを読み込み、リモートシステムのタス

クを表示します。

• リモートシステム用のタスクを追加、削除、再設定することができます。

分析用の脅威サンプルの送信現在の DAT ファイルを使用して、スキャナが潜在的な脅威を検出できなかった場合や脅威で

ないものを誤検出した場合は、そのサンプルを WebImmune を通じて McAfee ラボに送信でき

ます。McAfee ラボはそのサンプルを分析して、それを次回の DAT ファイルに含めるか、ま

たは次回の DAT ファイルから除外するかを検討します。

McAfee ラボにサンプルを送信するには、WebImmune Web サイト経由、電子メール、または郵

送という 3 つの方法があります。

WebImmune

1 VirusScan コンソールから、［ヘルプ］、［サンプルの送信］の順に選択してこの Web

サイトにアクセスします。Web サイトは次の場所にあります。

https://www.webimmune.net/default.asp

2 フリーアカウントにログオンするか、またはフリーアカウントを作成します。

3 分析を依頼するファイルを McAfee ラボの自動システムに直接アップロードします。さ

らに調査が必要な場合、アイテムは McAfee Labs の分析担当者にエスカレーションされ

ます。

電子メール

分析を依頼する電子メールを McAfee ラボの自動システムに直接送信してください。さらに

調査が必要な場合、アイテムは McAfee ラボの分析担当者にエスカレーションされます。

グローバル電子メールアドレスは [email protected] です。

注意: WebImmune の Web サイトから、その他のリージョナルアドレスを取得することもで

きます。

郵便

WebImmune の Web サイトから送付先情報を取得してください。

注意: この方法は、サンプル解析の所要時間が最も長くなるため、あまりお勧めできません。

付録分析用の脅威サンプルの送信


https://www.webimmune.net/default.asp

mailto:[email protected]

McAfee ラボの脅威ライブラリへのアクセスVirusScan Enterprise 8.8 コンソールから McAfee ラボの脅威ライブラリにアクセスするに

は、［ヘルプ］メニューから［McAfee Labs 脅威ライブラリ］を選択します。お使いのイン

ターネットブラウザが開いて、http://vil.nai.com/vil/default.aspx に接続されます。

トラブルシューティングMcAfee のテクニカルサポートに連絡する前に、このセクションの情報をお読み下さい。こ

のセクションでは、VirusScan Enterprise の設定をトラブルシューティングするためのプロ

セスとツール、およびよく寄せられる質問を紹介しています。

製品インストール内容の修復場合によっては、デフォルト設定を復元したりプログラムファイルを再インストールしたり

するために、VirusScan Enterprise のインストール内容を修復することが必要になります。

この操作は、VirusScan コンソールまたはコマンドラインから実行できます。

VirusScan コンソールの使用

［修復インストール］ユーティリティを使用するには、VirusScan Enterprise 8.8 コンソー

ルから［ヘルプ］、［修復インストール］の順に選択します。

注意: この機能は ePolicy Orchestrator コンソールからは使用できません。


VirusScan Enterprise のデフォルトのインストール設定を復元しま

す。

警告: インストール後に変更した設定は無効になります。

すべての設定をデフォルトに戻す

VirusScan Enterprise のアプリケーションファイルを再インストー

ルします。

警告: HotFix、パッチ、およびサービスパックは上書きされることが

あります。

アプリケーションファイルをすべて再イ

ンストールする

コマンドラインでの SETUPVSE.exe の使用

コマンドラインから SETUPVSE.exe コマンドを使用して VirusScan Enterprise を修復また

は再インストールするには、次のコマンドを使用します。

注意: REINSTALLMODE のコマンドラインパラメータオプションについては、

http://msdn.microsoft.com/en-us/library/aa371182(VS.85).aspx で「REINSTALLMODEProperty」を参照してください。

コマンド説明

SETUPVSE.exe REINSTALLMODE=sec /qプログラムファイルのみをインストール

SETUPVSE.exe REINSTALLMODE=secum /qレジストリファイルのみをインストール

SETUPVSE.exe REINSTALLMODE=amus /qプログラムファイルとレジストリファ

イルの両方をインストール

付録McAfee ラボの脅威ライブラリへのアクセス


http://vil.nai.com/vil/default.aspx

http://msdn.microsoft.com/en-us/library/aa371182(VS.85).aspx

コマンドラインでの msiexec.exe の使用

コマンドラインから msiexec.exe コマンドを使用して VirusScan Enterprise を修復また

は再インストールするには、次のコマンドを使用します。

注意: msiexec.exe のコマンドラインオプションについては、

http://support.microsoft.com/kb/314881 で「The Command-Line Options for the MicrosoftWindows Installer Tool Msiexec.exe」を参照してください。

コマンド説明

msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=sa

/q REBOOT=R

プログラムファイルのみをインストール

msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=mu

/q REBOOT=R

レジストリファイルのみをインストール

msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=samu

/q REBOOT=R

プログラムファイルとレジストリファ

イルの両方をインストール

オンアクセス動作ログファイルの表示VirusScan コンソールのオンアクセス動作ログファイルには、更新履歴、脅威の活動履歴、

および VirusScan Enterprise の対処内容の履歴が記録されています。これらの情報は、自

動更新動作とポリシーの設定をトラブルシューティングする際に役立ちます。

オンアクセス動作ログファイルにアクセスするには、次のいずれかの手順を実行してくださ

い。

注意: オンアクセス動作ログファイルの作成を有効にしている必要があります。オンアクセ

ス動作ログファイルを有効にするには、「全般設定」を参照してください。

タスク

オプションの定義については、各タブで［ヘルプ］をクリックしてください。



2 ［オンアクセススキャンのプロパティ］ダイアログボックスで、［レポート］タブを

クリックして、［ログの表示］をクリックします。メモ帳のウィンドウが開いて、

OnAccessScanLog.txt ファイルが表示されます。次にこのログファイルの出力例を示し

ます。

3 次の表では、上記の OnAccessScanLog.txt ファイル例のデータを説明しています。

説明ログエントリの例

日付4/27/2010

時刻1:35:47 PM

実行されたアクションCleaned/Deleted/No Action Taken

付録トラブルシューティング


http://support.microsoft.com/kb/314881

説明ログエントリの例

アクションの説明更新されたファイル = バージョン、または (Clean

failed because...

資格情報SRVR\user

脅威ファイルのパスと名前C:\WINDOWS\system32\NOTEPAD.EXE C:\temp\eicar.com

ファイルの説明EICAR test file (Test)

同様の情報を ePolicy Orchestrator のクエリを使用して取得できます。詳細については、

「クエリおよびダッシュボードへのアクセス」を参照してください。

トラブルシューティング時の MER ツールの使用最小エスカレーション要件（MER）ツールは、McAfee VirusScan Enterprise および他の

McAfee 製品のデータをコンピュータから収集します。このデータを使用して、McAfee テク

ニカルサポートはユーザ側で発生している問題を分析して解決できます。

WebMER ツールは、次のいずれかのファイル形式でダウンロードできます。

• EXE

• ZIP

• ProtectedZip

WebMER ツールによって次のような情報が収集されます。

• レジストリの詳細情報

• ファイルバージョンの詳細情報

• ファイル

• イベントログ

• プロセスの詳細情報

WebMER ツールを使用するには、以下を実行する必要があります。

• https://kc.mcafee.com/corporate/index?page=content&id=TU30146 にアクセスして

『Obtaining Minimum Escalation Requirements using McAfee WebMER』チュートリアル

を参照してください。

• http://mer.mcafee.com からこのツールをダウンロードしてインストールしてください。

注意: ePolicy Orchestrator によって配備可能なバージョンも提供されています。この

バージョンでは、ePolicy Orchestrator コンソールを使用して MER をクライアントコ

ンピュータ上で実行して、McAfee 製品の問題を診断する際にログと情報を収集します。

ePolicy Orchestrator 4.x（v2.0）用の McAfee MER は

http://mer.mcafee.com/enduser/downloadepomer.aspx からダウンロードしてください。

• このツールを実行して、その出力を McAfee テクニカルサポートに送信してください。

トラブルシューティング時の VirusScan Enterprise の無効化システムで発生した問題が、VirusScan Enterprise で実行中のプロセスに関連している可能

性がある場合は、そのシステム問題が解消されるまで、VirusScan Enterprise の機能を意図



https://kc.mcafee.com/corporate/index?page=content&id=TU30146

http://mer.mcafee.com

http://mer.mcafee.com/enduser/downloadepomer.aspx

的に無効にできます。または少なくとも、その問題の原因として VirusScan Enterprise を

排除できます。

警告: トラブルシューティング後に、マルウェアに対する保護機能を完全な状態に戻すため

に VirusScan Enterprise を再設定または復元する必要があります。

VirusScan Enterprise の機能を意図的に無効化するには、次の 8 つのステップからなるプ

ロセスを実行します。

1 バッファオーバーフロー保護の無効化

2 アクセス保護の無効化

3 ScriptScan の無効化

4 オンアクセススキャンの無効化

5 オンアクセススキャンの無効化後に再起動

6 MFEVTP の読み込み防止後に再起動

7 mfehidk.sys ファイルの名前変更後に再起動

8 製品の削除後に再起動

以下のセクションでは、これらの 8 つのステップのそれぞれを説明しています。VirusScan

コンソールのオプションの定義については、インターフェースの［ヘルプ］をクリックして

ください。

バッファオーバーフロー保護の無効化

バッファオーバーフロー保護を無効にするには、次の手順を実行してください。

1 VirusScan コンソールの［タスク］リストで、［バッファオーバーフロー保護］を右

クリックして、［プロパティ］をクリックします。

2 ［プロパティ］ダイアログボックスで、［バッファオーバーフロー保護の有効にする］

を選択解除して、［OK］をクリックします。

3 システムで発生している問題はバッファオーバーフロー保護を無効にすることで解決さ

れましたか。

• はい－ McAfee テクニカルサポート ServicePortal（http://mysupport.mcafee.com）

にアクセスして解決策を検索するか、McAfee テクニカルサポートに連絡してくださ

い。

• いいえ－システムで発生している問題はおそらくこの機能と関係ありませんでし

た。

アクセス保護の無効化

アクセス保護を無効にするには、次の手順を実行してください。

1 VirusScan コンソールの［タスク］リストで、［アクセス保護］をダブルクリックし

て、［アクセス保護のプロパティ］ダイアログボックスを開きます。

2 ［アクセス保護］タブをクリックして、［アクセス保護の有効化］を選択解除して、

［OK］をクリックします。

3 システムで発生している問題はアクセス保護を無効にすることで解決されましたか。



い。

• いいえ－システムで発生している問題はおそらく VirusScan Enterprise と関係あ

りませんでした。





ScriptScan の無効化

ScriptScan を無効にするには、次の手順を実行してください。

1 VirusScan コンソールの［タスク］リストで、［オンアクセススキャナ］を右クリッ

クして、［オンアクセススキャンのプロパティ］ダイアログボックスを開きます。

2 ［ScriptScan］タブをクリックして、［スクリプトのスキャンを有効にする］を選択解

除して、［OK］をクリックします。

3 システムで発生している問題は ScriptScan を無効にすることで解決されましたか。



い。



オンアクセススキャンの無効化

オンアクセススキャンを無効にするには、次の手順を実行してください。

1 アクセス保護を無効にします。VirusScan コンソールの［タスク］リストで、［アクセ

ス保護］を右クリックして、［無効］を選択します。

2 次の手順に従って、［サービス］アプレットで McShield のスタートアップの種類を［無

効］に変更します。

• ［スタート］、［コントロールパネル］、［管理ツール］、［サービス］の順にク

リックして、［サービス］アプレットを開きます。

• ［サービス (ローカル)］で、スクロールダウンして［McAfee McShield］を表示し

て、この項目を右クリックして［McAfee McShield のプロパティ］ダイアログボッ

クスを開きます。

• ［全般］タブをクリックして、［スタートアップの種類］リストで［無効］をクリッ

クして、［OK］をクリックします。

3 VirusScan コンソールの［タスク］リストで、［オンアクセススキャナ］を右クリッ

クして、表示されるリストから［無効］をクリックします。［オンアクセススキャナ］

アイコンが変化して、斜線付きの丸印が追加されて、その機能が無効になったことが示

されます。

4 システムで発生している問題はオンアクセススキャンを無効にすることで解決されまし

たか。



い。


た。

オンアクセススキャンの無効化後に再起動

オンアクセススキャンを無効にしてからシステムを再起動するには、次の手順を実行してく

ださい。

注意: 次の手順では、前のセクションでオンアクセススキャンを無効にした後に再び有効に

していないことを前提としています。

1 システムを完全にシャットダウンしてから再起動します。





2 システムで発生している問題は、オンアクセススキャンの無効化後にシステムを再起動

することで解決されましたか。



い。


た。

MFEVTP の読み込み防止後に再起動

McAfee の McAfee Validation Trust Protection Service （MFEVTP）の読み込みを防止して

から、システムを再起動するには、次の手順を実行してください。

警告: このセクションにはレジストリの表示または変更に関する情報が記載されています。

• 次の情報はシステム管理者を対象にしています。レジストリの変更は元に戻すことができ

ず、間違った値に変更するとシステムが正常に動作しなくなる可能性があります。

• 作業を開始する前に、McAfee では、レジストリをバックアップして、復元プロセスを理

解しておくことを強くお勧めします。詳細については、

http://support.microsoft.com/kb/256986 を参照してください。

• 正規のレジストリインポートファイルであることが確認されていない .REG ファイルを

実行しないでください。

1 コマンドラインから、「regedit」と入力してレジストリエディタを開きます。

2 次のレジストリ項目に移動します。

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mfevtp]

3 右側のペインで、［Start］を右クリックして［修正］をクリックし、［DWORD 値の編

集］ダイアログボックスを開きます。

4 ［値のデータ］に「4」と入力して、［OK］をクリックします。

5 システムで発生している問題は、MFEVTP の読み込み防止後にシステムを再起動すること

で解決されましたか。



い。


た。

mfehidk.sys ファイルの名前変更後に再起動

mfehidk.sys ファイルの名前を変更してからシステムを再起動するには、次の手順を実行し

てください。

1 お使いのオペレーティングシステムに応じて、次のいずれかのフォルダにある mfehidk.sys

ファイルにアクセスします。

• 32 ビット版オペレーティングシステムの場合－ %windir%\System32\drivers

• 64 ビット版オペレーティングシステムの場合－ %windir%\System64\drivers

2 ファイル名を mfehidk.sys から、たとえば mfehidk.sys.saved に変更します。

3 システムを再起動することで、VirusScan Enterprise を停止して、mfehidk.sys ファイ

ルを読み込むことなく VirusScan Enterprise を再始動します。

4 システムで発生している問題は、mfehidk.sys ファイルの名前変更後にシステムを再起

動することで解決されましたか。




http://support.microsoft.com/kb/256986


はい－ McAfee テクニカルサポート ServicePortal（http://mysupport.mcafee.com）


い。

•



製品の削除後に再起動

VirusScan Enterprise を完全に削除してから、システムを再起動するには、次の手順を実行

してください。

1 VirusScan Enterprise のプログラムファイルを削除します。詳細については、『McAfeeVirusScan Enterprise 8.8 インストールガイド』を参照してください。

2 システムを再起動することで、オペレーティングシステムを停止して、VirusScan

Enterprise がインストールされていない状態でオペレーティングシステムを再起動し

ます。

3 システムで発生している問題は、VirusScan Enterprise のプログラムファイルを完全

に削除した後にシステムを再起動することで解決されましたか。

• はい－システムで発生している問題はおそらく VirusScan Enterprise と関係があ

りました。

• いいえ－ McAfee テクニカルサポート ServicePortal

（http://mysupport.mcafee.com）にアクセスして解決策を検索するか、McAfee テク

ニカルサポートに連絡してください。

推奨のサポートツールとトラブルシューティングツールVirusScan Enterprise のグローバル管理者は、システムのセキュリティとパフォーマンスを

トラブルシューティングおよび評価するのに役立つツールをインストールして設定すること

をお勧めします。McAfee テクニカルサポートに連絡したときは、設定のトラブルシューティ

ング時にこれらのツールのいくつかを実行することを求められることがあります。これらの

ツールは、以下の表に示すインターネットサイトからダウンロードできます。

McAfee のツール

次の表では、McAfee のサイトからダウンロードできるサポートツールとトラブルシューティ

ングツールを示しています。

ダウンロードサイトツール

WebMERMER ツール

McAfee サポートにより提供ProcessCounts

McAfee サポートにより提供SuperDAT Manager

McAfee サポートにより提供McAfee Profiler

McAfee 以外のツール

次の表では、サポートツールとトラブルシューティングツール、およびそれらの実行ファ

イルとダウンロードサイトを示しています。

ダウンロードサイト実行ファイルツール

Microsoft.comVerifierDriver Verifier





http://mer.mcafee.com/enduser/downloadlatestmer.aspx

ダウンロードサイト実行ファイルツール

Microsoft.comPerfMonPerformance Monitor

Microsoft.comPoolMonPool Monitor

Microsoft.comProcMonProcess Monitor

Microsoft.comProcExpProcess Explorer

Microsoft.comProcDumpProcess Dump

Microsoft.comWinObjWindows Object Viewer

Microsoft.comTCPViewTCP Viewer

Microsoft.comDebugViewDebug Output Viewer

Microsoft.comWinDbgWindows Debugger

Microsoft.comKrViewKernel Rate Viewer

Microsoft.comXperfWindows Performance Analysis Tools

Vmware.com不特定VM Converter

Wireshark.orgwiresharkWireShark

よく寄せられる質問このセクションには、よくある質問の形式でトラブルシューティング情報が記載されていま

す。

インストール

• 質問: サイレントインストール方式でソフトウェアをインストールしましたが、Windows

システムトレイに VirusScan Enterprise のアイコンがありません。

回答: システムを再起動するまでシステムトレイにアイコンシールドは表示されませ

ん。ただし、アイコンが表示されていなくても VirusScan Enterprise は実行されてお

り、システムは保護されています。これは、次のレジストリキーを調べて確認します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ ShStatEXE="C:\Program

Files\McAfee\VirusScan Enterprise\SHSTAT.EXE"/STANDALONE.

• 質問: ネットワーク上で独自の設定を構成できるユーザと、構成できないユーザがいるの

はなぜですか。

回答: 管理者が、タスクをパスワードで保護するようにユーザインターフェースを設定

している可能性があります。その場合、ユーザは設定を変更できません。さらに、使用す

る Windows オペレーティングシステムが異なっていると、ユーザの権限も異なります。

ユーザの権限については、使用している Microsoft Windows のドキュメントを参照して

ください。

ブロックされたアプリケーション

• 質問: VirusScan Enterprise をインストールしたら、アプリケーションの 1 つが動作し

なくなりました。

回答: そのアプリケーションはアクセス保護ルールによってブロックされている可能性が

あります。

1 アクセス保護ログファイルを調べて、そのアプリケーションがルールによってブロッ

クされたかどうかを確認してください。



2 アプリケーションがログに記載されていることがわかったら、そのアプリケーション

を除外アイテムとしてルールに入力するか、ルールを無効にすることができます。詳

細については、「システムのアクセスポイントの保護」を参照してください。

Cookie の検出

• 質問: オンデマンドスキャンの動作ログで Cookie の検出を確認すると、検出のファイ

ル名がすべて 00000000.ie となっていました。他のアプリケーションでは Cookie の検

出ごとに個別のファイル名や数字が増えるファイル名が割り当てられるのに、VirusScan

Enterprise では、オンデマンドスキャンによる Cookie の検出すべてに同じファイル名

が割り当てられるのはなぜですか。

回答: VirusScan Enterprise では、オンデマンドスキャンで Cookie の検出が行われ

てアクションが実行される方法のために、それぞれの Cookie の検出に同じファイル名が

割り当てられます。この動作が適用されるのは、オンデマンドスキャンで検出された

Cookie だけです。1 つの Cookie ファイルには、多数の Cookie が含まれている可能性

があります。スキャンエンジンは Cookie ファイルをアーカイブとして扱い、ファイル

の先頭からのオフセットとして、(ゼロから始まる) 1 つの値を割り当てます。スキャナ

では、スキャンエンジンを使用して Cookie の検出が行われ、スキャンを続行する前に、

検出された Cookie ごとにアクションが実行されるため、それぞれの検出に対して値がゼ

ロから付け直されます。この結果、すべての検出にファイル名として 00000000.ie が割

り当てられます。他の製品は、すべての Cookie を検出し、それぞれに個別のファイル名

または数字が増えるファイル名を割り当ててから、各検出に対してアクションを実行しま

す。

全般

• 質問: 現在使用しているスタンドアロンの VirusScan Enterprise システムでは、シス

テムトレイ内のシステムアイコンが無効化されているようです。

回答: VirusScan Enterprise アイコンの上に赤い円と線がある場合は、オンアクセスス

キャナが無効になっていることを意味します。一般的な原因と解決策を次に示します。こ

れらのどの方法でも問題が解決されない場合は、テクニカルサポートに問い合わせてく

ださい。

1 オンアクセススキャナが有効になっていることを確認します。システムトレイの

VirusScan Enterprise アイコンを右クリックします。オンアクセススキャナが無効

になっている場合は、[OA スキャンの有効化] をクリックします。

2 McShield サービスが実行されていることを確認します。

• コントロールパネルの [サービス] から手動でサービスを開始します。

• [スタート] メニューから [ファイル名を指定して実行] を選択し、「Net Start

McShield」と入力します。

• コントロールパネルの [サービス] で、サービスが自動的に開始されるように設

定します。

• 質問: CATALOG.Z をダウンロードできないというエラーが表示されます。

回答: このエラーにはさまざまな原因が考えられます。問題の原因を特定するのに役立つ

ヒントをいくつか示します。

• アップデートのために既定の McAfee ダウンロードサイトを使用している場合は、Web

ブラウザから CATALOG.Z ファイルをダウンロードできるかどうか確認します。次の

Web サイトからファイルをダウンロードできるかどうか試してみてください。

http://update.nai.com/Products/CommonUpdater/catalog.z




• ファイルをダウンロードできない場合でも、ファイルが見られる (言い換えれば、ファ

イルのダウンロードがブラウザによって許可されない) 場合は、プロキシに関する問題

があります。ネットワーク管理者に相談してください。

• ファイルをダウンロードできる場合は、VirusScan Enterprise でもダウンロードでき

るはずです。インストールされている VirusScan Enterprise のトラブルシューティン

グについて、テクニカルサポートに問い合わせてください。

• 質問: HTTP ダウンロードサイトの場所はどこですか。

回答:

• McAfee ダウンロードサイトの場所は次のとおりです。

http://www.mcafee.com/us/downloads/

• 最新のアップデートが含まれる CATALOG.Z ファイルは、次の Web サイトからダウン

ロードできます。http://update.nai.com/Products/CommonUpdater/catalog.z

• 質問: FTP ダウンロードサイトの場所はどこですか。

回答:

• FTP ダウンロードサイトの場所は次のとおりです。

ftp://ftp.mcafee.com/pub/antivirus/datfiles/4.x

• 最新のアップデートが含まれる CATALOG.Z ファイルは、次のサイトからダウンロード

できます。ftp://ftp.mcafee.com/CommonUpdater/catalog.z

• 質問: [アクションを指定] を選択していて、不審なプログラムが実際に検出された場合

は、どのアクション ([駆除] または [削除]) を選択すべきですか。

回答: 一般的には、検出されたファイルをどうするか自信がない場合は、[ウイルスを駆

除] を選択することをお勧めします。オンアクセススキャナまたはオンデマンドスキャ

ナは、アイテムが駆除または削除される前に、それらのアイテムを自動的に検疫ディレク

トリにバックアップします。



http://www.mcafee.com/us/downloads/


ftp://ftp.mcafee.com/pub/antivirus/datfiles/4.x

ftp://ftp.mcafee.com/CommonUpdater/catalog.z

索引

記号[アクション] タブ、VirusScan Enterprise

オンアクセススキャン 62, 64

オンデマンドスキャン 71

配信時の電子メールスキャン 75, 77

[スキャンアイテム] タブ、VirusScan Enterprise

オンアクセススキャン 56, 62, 64

ePolicy Orchestrator 4.0 を使用した不審なプログラムポリ

シーの設定 42

ePolicy Orchestrator 4.5 または 4.6 を使用した不審なプロ

グラムポリシーの設定 41

VirusScan コンソールを使用した不審なプログラムポリシーの

設定 42

オンアクセススキャン 56, 62, 64



不審なプログラムポリシー 41

[スキャンする場所] タブ、VirusScan Enterprise 71

[スクリプトスキャン] タブ、VirusScan Enterprise

オンアクセススキャン 59

[パフォーマンス] タブ、VirusScan Enterprise


[プロセス] タブ、VirusScan Enterprise


[ブロック] タブ、VirusScan Enterprise


[メッセージ] タブ、VirusScan Enterprise


[レポート] タブ、VirusScan Enterprise


オンアクセススキャン統計 95



[除外] タブ、VirusScan Enterprise



[全般] タブ、VirusScan Enterprise


AAccessProtectionLog.txt、動作ログ 91

Alert Manager

アクセス違反 26

アラートの設定 84

イベント 26

anti-spyware rules

アクセス保護の設定 28

Artemis

VirusScan Enterprise のコンポーネントの概要 10

概要 57

不審なファイルのヒューリスティックネットワークチェック

10

AutoUpdate

VSE アップデートの方法 46

AutoUpdate (続き)プロセスの概要 47

リポジトリリスト 50

リポジトリ、接続 47

設定 48

要件 46

BBufferOverflowProtectionLog.txt、動作ログ 91

CCATALOG.Z ファイル

トラブルシューティング 110

暗号化されたアップデート 47

comon protection rules


DDAT のロールバック、VirusScan Enterprise 51

DAT ファイル

EXTRA.DAT ファイル、アップデート 47


アップデートタスク、概要 47

アップデートの重要性 46

アップデート方法 46

スクリプトスキャンおよび 57

ロールバック、概要 51

ロールバック、設定 51

概要 45

検出と定義されたアクション 78

検出定義 45

配備のスケジュール設定 46

DAT リポジトリ


EePolicy Orchestrator

DAT ファイルの取得 45

サポートされるバージョン 9

VirusScan Enterprise のコンポーネント 10

サーバタスク、サンプルの設定 97

サーバタスク、概要 96


AutoUpdate タスクの設定 48

オンデマンドスキャンタスクの設定 70

クエリおよびダッシュボードへのアクセス 87

ミラータスクの設定 49

脅威からの保護状況の分析例 94

ePolicy Orchestrator 4.5 および 4.6

AutoUpdate タスクの設定 48

オンデマンドスキャンタスクの設定 70

クエリおよびダッシュボードへのアクセス 87

ミラータスクの設定 49

脅威からの保護状況の分析例 94


EXTRA.DAT ファイル（緊急 DAT を参照） 47, 88

MMcAfee Agent


アイコンによるバージョン表示 15

McAfee Labs

サンプルの送信 80, 102

Artemis からのフィンガープリントの送信 57


アクセス 13

脅威ライブラリへのアクセス 103

McAfee ServicePortal、アクセス 8

McAfee Validation Trust Protection Service、トラブルシューティ

ング時に無効化 105

McAfee 本部、VirusScan Enterprise のコンポーネント 10

MER ツール（最小エスカレーション要件ツールを参照） 105

mfehidk.sys ファイル、トラブルシューティング時に名前変更 105

MFEVTP（McAfee Validation Trust Protection Service を参照）

105

MirrorLog.txt、動作ログ 91

msiexec.exe、コマンドインストールコマンド 103

OOnAccessScanLog.txt、動作ログ 91

OnDemandScanLog.txt、動作ログ 91

PPUP（不審なプログラムを参照） 40

SScriptScan、トラブルシューティング時に無効化 105

SDAT（SuperDAT パッケージを参照） 88

ServicePortal、製品マニュアルの検索 8

SETUPVSE.exe、コマンドインストールコマンド 103

SITELIST.XML（リポジトリリストを参照） 50

SuperDAT パッケージ

ePolicy Orchestrator リポジトリへのインストール 89

ダウンロード 89

概要 88

UUpdateLog.txt、動作ログ 91

VVirusScan Enterprise

インストール内容の修復 103

トラブルシューティング時に削除 105

アクセス保護 25, 26

アップデート 46, 47

アップデート、要件 46


オンデマンドスキャン 67, 68

ユーザインターフェースセキュリティ 22

初期設定 18

除外対象、追加と除外 52

製品の概要 9

全般設定、ePolicy Orchestrator 4.0 を使用した設定 60

全般設定、ePolicy Orchestrator 4.5 または 4.6 を使用した

設定 59

全般設定、VirusScan コンソールを使用した設定 61

全般設定、設定 59

VirusScan Enterprise (続き)通知およびアラート 84

電子メールスキャン 75

不審なプログラムポリシー 40

未使用ルールの削除 35, 36


右クリック機能 14

概要 13

脅威の分析 95

WWebImmune Web サイト 102

Windows

ファイル保護、除外対象 52

Windows エクスプローラ


あアイコン、システムトレイ 15

アクション、VirusScan Enterprise


アクセス保護 79


オンデマンドスキャン 71, 81

バッファオーバーフロー検出 79

隔離アイテム 81

脅威への対応 87, 91


不審なプログラム 79

アクセス保護

トラブルシューティング時に無効化 105


ウイルス対策ルールと共通ルール 28

はじめに 25

ファイルとフォルダのブロックルール 33

プロセスの除外 34

プロトコル、制限 27

ポートのブロックルール 33

ポリシー、概要 27

ユーザ定義ルール 25, 27, 30, 31, 32

ルールのタイプ 25

レジストリのブロックルール 34

ログレポートの例 21

仮想マシン保護 25

概要 20, 25

共通ルール 25

脅威の例 21

検出とアクション 79

設定済みのルール 25

標準の保護と最大の保護 25

未使用ルールの削除 35, 36

アップデートタスク、コマンドラインオプション 100

アップデート、VirusScan Enterprise

AutoUpdate 47

アップデートサイト 47

アップデートタスク 46

タスク 46

プロセスの概要 47

方法 46

要件 46

アドウェア（不審なプログラムを参照） 40

アラート、VirusScan Enterprise



概要 84


索引

アラート、VirusScan Enterprise (続き)設定 84


いイベント、VirusScan Enterprise

Alert Manager 26


うウイルス対策ルール


設定済みのアクセス保護 25

えエンジンのアップデート

AutoUpdate、プロセスの概要 47

重要性 46

方法 46

おオンアクセススキャン

ePolicy Orchestrator 4.0 を使用した設定 63

ePolicy Orchestrator 4.5 および 4.6 を使用した設定 62

VirusScan コンソールを使用した設定 64


動作ログファイル 104

スキャンポリシー 58

スキャンポリシーの数の決定 58

スクリプトスキャン 57

ディスクからの読み取りとディスクへの書き込み 56, 57

プロセス設定 62

概要 55

検出とアクション 78, 80

全般定とプロセス設定 59

不審なプログラム、ePolicy Orchestrator 4.0 を使用した有効

化 44

不審なプログラム、ePolicy Orchestrator 4.5 または 4.6 を

使用した有効化 43

不審なプログラム、VirusScan コンソールを使用した有効化 45

不審なプログラム、概要 43

オンアクセススキャンメッセージアラート 55

オンデマンドスキャナ

不審なプログラム、設定（オンデマンドスキャンタスクの設

定を参照） 40

オンデマンドスキャン

コマンドラインオプション 98


ePolicy Orchestrator 4.5 または 4.6 を使用した設定 70


インクリメンタル、再開可能、メモリ内 68

システム使用率 69

スキャンの遅延 69

タスクの設定 71

リモートストレージスキャン 68

概要 67


除外 71

方法 68

きキャッシュ


キャッシュ (続き)ePolicy Orchestrator 4.5 または 4.6 を使用した設定 73


概要 73

キャッシュ、設定 73

くクエリ、VirusScan Enterprise

ePO ナビゲーションバーからのアクセス、レポート 87

事前に定義された、リスト 87

動作の監視 87, 91

クライアントシステム、VirusScan Enterprise のコンポーネント

10

ここのマニュアルの対象読者 6

コマンドライン

アップデートタスクのオプション 100

オンデマンドスキャンのオプション 98

コマンドラインを使用した製品の設定 98

コンポーネント

VirusScan Enterprise 10

VirusScan コンソール 13

図示 10

さサーバタスク

ePolicy Orchestrator、概要 96

ePolicy Orchestrator、サンプルの設定 97

しシステムトレイ

アイコン 15

メニューオプション 15


システムトレイアイコン

VirusScan Enterprise インターフェースへのアクセスの設定

23


すスキャン

オンアクセス (オンアクセススキャンを参照) 55

オンデマンド (オンデマンドスキャンを参照) 67

オンデマンドスキャン (オンデマンドスキャンを参照) 68

スキャンアイテムの追加と除外 52

ワイルドカードを使用したスキャンアイテムの指定 52

除外、指定 52

電子メールスキャン (電子メールスキャンを参照) 75

動作ログ 79

スキャンエンジン


アップデートの重要性 46

スキャンキャッシュ


ePolicy Orchestrator 4.5 または 4.6 を使用した設定 73


概要 73

スキャンのアップデート

方法 46

スキャンの遅延、概要 69

スクリプトスキャン (オンアクセススキャン) 57

索引


スケジュール設定

タスク 53

ステータスバー、VirusScan コンソール 13

スパイウェア（不審なプログラムを参照） 40

たダイヤラ（不審なプログラムを参照） 40

タスク

AutoUpdate 48

アップデート 47

スケジュール設定 53

ミラー 48

タスクスケジュール

推奨されるオンデマンド間隔 53

設定 53

タスクリスト、VirusScan コンソール 13

ダッシュボード

事前に定義された、アクセス 87

動作の監視 87, 91

つツールバー、VirusScan コンソール 13

てテクニカルサポート ServicePortal

McAfee 8

MER ツールの使用 105

トラブルシューティング 105

とトラブルシューティング、VirusScan Enterprise

コンポーネントの無効化 105

推奨ツール 109

付録 103

ねネットワークドライブ




概要の設定 65

ネットワーク上ドライブ




概要の設定 65

はパスワード

VSE インターフェースへのアクセスの制御 22

ユーザインターフェースオプションポリシー 23

電話帳ファイルの保護 25

バッファオーバーフロー保護


アラートおよび通知 84


攻撃、概要 37

攻撃のブロック 36

ふファイルとフォルダ

アクセスの制限 27

ファイルとフォルダ (続き)ブロックオプション 33

ファイルの種類を表す拡張子

除外対象 52

プロセス

組み入れまたは除外 34

プロセス、VirusScan Enterprise

インクリメンタル (再開可能) スキャン 68

スクリプトスキャン 57

デフォルト、設定 59

メモリ内プロセススキャン 68

危険度低および危険度高 59

プロセス設定


へベストプラクティス

VSE アップデートの方法 46

リポジトリからの EXTRA.DAT ファイルの削除 47

ほポート

アクセス保護、オプション 33

ネットワークトラフィックのブロック 25, 27

ポリシー、VirusScan Enterprise

アラートポリシー 84


全般オプション 23


配信時電子メールスキャンポリシー 75

不審なプログラム 40, 79

まマニュアル

構成 7

表記規則 6

みミラータスク

概要 48

設定 49

めメニューバー、VirusScan コンソール 13

ゆユーザアカウント、VirusScan Enterprise インターフェースへのア

クセスの制御 22

ユーザインターフェースセキュリティ

パスワードと 22

設定 23

ユーザ定義ルール

アクセス保護 30, 31, 32

種類 27

ユーザ定義ルール、アクセス保護 25

よよく寄せられる質問 110


索引

りリポジトリ

AutoUpdate、接続 47

EXTRA.DAT ファイルの削除 47

中央、VSE アップデートの使用 46

リポジトリリスト

設定 50

AutoUpdate 50

リモートコンソール

概要 101

リモートシステムへのアクセス 101

リモートストレージスキャン、概要 68

るルール、VirusScan Enterprise

アクセス保護 25

ウイルス対策 28

ファイルとフォルダのブロック 33

ポートブロック 33

ユーザ定義、種類 27

レジストリブロックオプション 34

未使用の削除 35, 36

れレジストリキー

アクセスの制限 27

オプション 34

レポート

VirusScan Enterprise のログ記録の設定 75

オンデマンドスキャン動作 71

クエリへのアクセス 87

脅威の分析 93

ろログファイル、VirusScan Enterprise


オンデマンドスキャンおよび 71


動作ログを参照、VirusScan Enterprise 91

わワイルドカード、スキャンアイテムでの使用 52

索引



索引