キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
morrow233
Level 11

【TIPS】VSE オンアクセススキャンの除外設定の理解

皆さん、こんにちは。

マカフィーテクニカルサポートセンターです。

VirusScan Enterprise (VSE) によるオンアクセススキャンの除外設定について

多くのご質問を頂いておりますので、ここで除外設定による動作をご紹介させて頂きます。

オンアクセススキャンはファイル I/O が発生するとその内容をフックして脅威が含まれていないかのスキャンを行いますが、

バックアップソフトやデーターベースのアプリケーション等、大量にファイル I/O を発生させるものが動作すると、

環境によってはパフォーマンス劣化が発生する場合があります。

また、パフォーマンスが劣化することにより、スキャンのタイムアウトが頻繁に発生する場合があります。

この場合には、パフォーマンス最適化のチューニングとしてスキャン除外の設定を検討する必要がありますが、

ここでは除外設定がどの様に動作するかについてをご紹介させて頂きたいと思います。

オンアクセススキャンではセキュリティに応じて除外設定を調整する方法が実装されています。

除外設定を行う対象として以下 2 種類が用意されています。

・すべてのプロセスに適用される共通のスキャン プロパティを1 つ設定

・危険度高プロセス、危険度低プロセス、およびデフォルト プロセス向けに異なるスキャン ポリシーを設定

[すべてのプロセス~] を選択するとオンアクセススキャンではすべてのプロセスに対して共通した設定を使用します。

[危険度高プロセス、危険度低プロセス、およびデフォルト プロセス向けに~] を選択すると

右側画像の様に各プロセスに合わせて異なるスキャン設定を行う事が可能となります。

[すべてのプロセス] は名称が [既定プロセス] に変更されます。

これはローリスクとハイリスクプロセスで指定した以外のプロセスに対する設定となります。

2.jpg3.jpg

 

■すべてのプロセス

1.jpg

[すべてのプロセス] においてスキャン除外を行う場合、その名の通りどのプロセスに対しても共通の設定が適用されます。

すべてのプロセスに対する設定となりますので、プロセスを指定する事は出来ません。

ここで、Notepad.exe テストウイルスである testeicar.txt を開く際に除外設定がどの様に動作するかを検証してみましょう。

Eicarとはマルウェア対策ソフトが正しく動作するかを確認するためのテストファイルです。

[参考URL]EICAR マルウェア対策テスト ファイルを McAfee 製品と共に使用する方法

https://kc.mcafee.com/corporate/index?page=content&id=KB59742

まず、Notepad.exe [すべてのプロセス] のスキャン対象から除外してみます。

22.jpg

work フォルダに配置した testeicar.txt を開いてみるとオンアクセススキャンによりファイルが検知されました。

12.jpg

.txt ファイルのため、Notepad.exe によりtesteicar.txt は開かれる動作となりますが、今回すべてのプロセスにおいて除外したのは、

Notepad.exe に対するアクセスに対しての除外であり、Notepad.exe から発生するファイルアクセスは

スキャンの除外対象とはなりません。

この設定はエクスプローラー等によりNotepad.exe のファイルに対してアクセスした場合のスキャンが行われない設定となります。

それでは今度は testeicar.txt に対するスキャン除外を設定してみましょう。

23.jpg16.jpg

work フォルダに配置された testeicar.txt は検知される事なく開く事が出来ました。

この事から、[除外] のタブにて指定するファイルやフォルダ スキャンの対象から除外する設定である事がわかります。

以上の様に除外の設定は、特定のフォルダやファイルにアクセスする際のスキャン対象から除外を行う場合に有効である事がわかりました。

しかし、[すべてのプロセス] での設定は前述した通り [すべてのプロセス] に対する設定となりますので、バックアップソフトやデーターベースのアプリケーション等、

信頼できるプロセスが特定出来ていて、それ以外のプロセスによるファイルアクセスに対してはスキャンを実行させたいといった要件を満たすことが出来ません。

この場合には [危険度高プロセス、危険度低プロセス、およびデフォルト プロセス向けに異なるスキャン ポリシーを設定 (D)] を選択して

危険度高/低、デフォルトプロセス (指定したプロセス以外) を分けて指定する必要があります。

■ローリスクプロセス

ローリスクプロセス画面では、信頼できるプロセス(脅威を持ち込む可能性の低いプロセス) をプロセスとして登録する事で、

このプロセスからのファイルアクセスに対するスキャンの設定を変更する事が出来ます。

14.jpg15.jpg

上記画面では Notepad.exe をローリスクプロセスとして登録してみました。

登録されたプロセスに対してのスキャン動作は、[スキャン アイテム] タブから設定します。

右側画面では書き込み時と読み取り時いずれのチェックも外しています。

この設定を行う事により Notepad.exe がどのファイルを開いてもスキャンは行われない結果となります。

もし [書き込み時] にチェックが入っていたとすると、Notepad.exe がファイルを読み込んだ場合にはスキャンは行われませんが、

Notepad.exe によりファイル内容を更新する等し、ファイルに対して書き込みが行われた場合にはスキャンが行われる事となります。

また、[除外] タブも用意されており、登録されたプロセスから、特定のファイルやフォルダへのアクセスに対するスキャンの除外をする事も可能です。

バックアップソフト等、動作するプロセスが特定出来ておりスキャンを行わせたくない場合には、このローリスクプロセスに

プロセスとして登録し、[バックアップ用に開いたファイル] のチェックを外す事で、バックアップ時におけるパフォーマンス改善に繋がる事があります。

[バックアップ用に開いたファイル] のチェックをオンにした場合、Windows OS 側で認識して

いるバックアップ用のファイル(FILE_FLAG_BACKUP_SEMANTICSのフラグが付与されたファイル)の

フラグの設定をもとに、そのファイルでI/Oが発生した場合にスキャンを行うという設定となります。

[参考URL]How to configure scanning of files opened for backup operations in VirusScan Enterprise 8.x

https://kc.mcafee.com/corporate/index?page=content&id=KB53787

■ハイリスクプロセス

18.jpg20.jpg

ハイリスクプロセス画面では、外部接続を行う等、動作上脅威を持ち込む可能性の高いプロセスがデフォルトで登録されています。

[既定プロセス] でスキャンするスキャンタイミング (ディスクへの書き込み/読み取り等) を変更しており、

特定のプロセスに対してはより細かくスキャンを行わせたいという場合に、ハイリスクプロセスに登録し

スキャン設定を既定のプロセスより細かく指定する事で効果が得られます。


参考として、ローリスクプロセスとハイリスクプロセスに同一のプロセスを登録する事は出来ません。

19.jpg

以上、除外設定による動作の違いについてご紹介させて頂きました。

除外設定を検討するにあたり参考として頂けますと幸いです。

これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。

以上

マカフィーテクニカルサポートセンター 川野

0 件の賞賛