0 返信 最新の回答 日時: Jan 7, 2015 6:11 PM ユーザー:jfurukaw

    【TIPS】SYSTEM ユーザによりウイルスが実行された場合に VSE の検知アラートが表示されない

    jfurukaw

      こんにちは

      マカフィーテクニカルサポートセンターです。

       

      最近、VirusScan Enterprise (VSE) 8.7i/8.8 をご利用の環境でウイルス検出時の

      アラートが表示されないケースがあるというお問い合わせを複数のユーザ様より

      いただきましたので、この事象についてご説明させていただきます。

       

      まずウイルス検知時のアラートは、VSE のプロセスであるmfeann.exeがNaiAnn.dllという

      dllファイルを経由して、ウイルス検出情報をMctray.exe プロセスへ送信し、このMctray.exe

      プロセスがアラートを表示しています。

       

      このアラートの表示/非表示はePolicy Orchestrator (ePO) 側、VSE 側の双方で

      設定が可能です。(ただしePO 管理下の場合、VSE 側で設定を変更してもポリシー

      適用のタイミングで設定が変更されますので、基本的にはePO の設定が優先されます。)

       

      ePO 側の設定はVSE の「オンアクセススキャンの全般ポリシー」にて

      設定が可能です。当該のポリシーの「メッセージ」タブにて

      「脅威の検出時にメッセージダイアログボックスを表示し、指定したテキストを

       メッセージに表示します」のチェックボックスがOnになっていれば

      表示される設定となります。

      VSE_alert1.png

       

      VSE側の設定は、VSEコンソールのオンアクセススキャンのプロパティを開き

      [メッセージ]タブで設定が可能です。「脅威が検出されたときにメッセージのダイアログ ボックスを表示し、メッセージに指定されたテキストを表示します(C)。」

      にチェックが入っていればアラートは表示されます。

      VSE_alert2.png

       

       

      上記でポップアップが表示される設定となっているにも関わらず表示されない場合、

      ウイルスがシステムユーザの権限で実行されている可能性があります。システムユーザによる

      検知かどうかは、スキャンログに以下のような出力があるかどうかで確認できます。

       

      ※オンアクセススキャンログ 出力例

      2015/01/05 16:29:00        削除済み (検出ファイルが駆除不可能であるため駆除は失敗しました)  NT AUTHORITY\SYSTEM  C:\Windows\system32\taskeng.exe C:\eicar.com    EICAR test file (テスト)

       

      Windows Vista 以降のOS上でVSE8.7i/8.8 を利用している場合、システムユーザ(NT AUTHORITY\SYSTEM)の

      権限でVirusが実行されると検出/駆除/削除、およびイベントやログへの出力は通常通り実行されますが、

      検知時のアラートが表示されません。英語となりますが、詳細は以下の KB にてご確認いただくことができます。

       

      [URL]On-Access Scan messages do not populate when an EICAR is detected on a network share

      https://kc.mcafee.com/corporate/index?page=content&id=KB52937

       

      [URL]On-Access Scan detection messages fail to populate for the user when detections trigger at the system level

      https://kc.mcafee.com/corporate/index?page=content&id=KB70274

       

      上記の通り、システムユーザがI/O を発生させたVirus やネットワーク共有上のファイルに

      ついての検知についてアラートが表示されないケースがあります。これはWindows Vista 以降の

      ユーザのセッション IDに関する仕様変更による正常な動作となります。

       

      Windows XPまでのOSでは、ログオンユーザとシステムユーザは セッション0 で実行されている為、

      システムユーザにて検知が発生した場合でも、検知のアラートが表示されていました。

      しかし、Windows Vista 以降、OSの仕様が変更され、システムユーザは セッション0 で実行され、

      ログオンユーザは セッション1 で実行されるようになりました。

       

      それぞれが別のセッションで実行されるようになったことから、セッション0のシステムユーザ

      (NT AUTHORITY\SYSTEM)で検知された際のアラートはログインユーザの画面上では表示されません。

      ただし、検知、削除処理やスキャンログやイベントの発行は問題なく行われます。

       

      なおKB70274 に記載されている通り、以下のようにレジストリを追加することで、アラートを

      表示させることが可能です。

       

      ※以下はレジストリの操作を含みますので、設定いただく場合は、必ずバックアップを取得いただいた上で

       慎重に操作していただきますよう宜しくお願い致します。VSE のアクセス保護が有効となっている場合は

       事前に無効にしておく必要があります。

       

      KB70274 内のSolution 1 より

      [手順]

      1. レジストリエディタを開きます。

      2. 以下のパスまでスクロールします。

       

      [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection]

       

      3. 右の画面を右クリックして新規 DWORD (32ビット)値 をクリックします。

      4. 名前に「bViewAllMessages」と入力し、値を 1 に設定します。

      5. レジストリエディタを閉じます。

      6. 端末を再起動します。

       

      上記設定を実行後、システムユーザによってウイルスが実行された場合でもアラートを表示させることが可能です。

      システムユーザによるウイルス検知時にもログインユーザへ検知アラートを表示させたい場合は、上記のレジストリ設定を

      追加してご利用くださいますよう宜しくお願い致します。

       

      今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。

       

      マカフィーテクニカルサポートセンター