Comments
Description
Transcript
McAfee Endpoint Security 10.1 製品ガイド
製品ガイド McAfee Endpoint Security 10.1 著作権 Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com 商標 Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標 です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。 ライセンス情報 ライセンス条項 お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文 書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規 定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額 全額をお返しいたします。 2 McAfee Endpoint Security 10.1 製品ガイド 目次 1 McAfee Endpoint Security 5 概要 7 Endpoint Security モジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Endpoint Security がシステムを保護する仕組み . . . . . . . . . . . . . . . . . . . . . . . 保護対策を最新の状態にする方法 . . . . . . . . . . . . . . . . . . . . . . . . . . Endpoint Security の使い方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8 9 McAfee システム トレイ アイコンについて . . . . . . . . . . . . . . . . . . . . . . 10 通知メッセージについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Endpoint Security クライアント について . . . . . . . . . . . . . . . . . . . . . . 11 2 Endpoint Security クライアント の使用 17 Endpoint Security クライアント を開く . . . . . . . . . . . . . . . . . . . . . . . . . 17 ヘルプを見る . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 脅威検出プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . . . . . 18 スキャン プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ファイル レピュテーション プロンプトに応答する . . . . . . . . . . . . . . . . . . . 19 保護対策に関する情報を取得する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 管理タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 セキュリティ対策とソフトウェアを手動で更新する . . . . . . . . . . . . . . . . . . . . . . 更新対象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 22 イベント ログ を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 ログ ファイルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Endpoint Security の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 管理者としてログオンする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 クライアント インターフェースのロックを解除する . . . . . . . . . . . . . . . . . . . 26 機能を有効または無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 AMCore コンテンツのバージョンを変更する . . . . . . . . . . . . . . . . . . . . . 26 Extra.DAT ファイルを使用する . . . . . . . . . . . . . . . . . . . . . . . . . . 27 共通設定を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 更新の動作を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 3 41 脅威対策 の使用 マルウェアをスキャンする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 スキャンの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 フル スキャンまたはクイック スキャンを実行する . . . . . . . . . . . . . . . . . . . 42 ファイルまたはフォルダーをスキャンする . . . . . . . . . . . . . . . . . . . . . . 44 脅威検出を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 隔離項目を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 検出名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 隔離項目の再スキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 脅威対策 の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 McAfee Endpoint Security 10.1 製品ガイド 3 目次 除外対象の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 システムのアクセス ポイントの保護 . . . . . . . . . . . . . . . . . . . . . . . . 51 バッファー オーバーフロー エクスプロイトのブロック . . . . . . . . . . . . . . . . . . 59 不審なプログラムの検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 共通のスキャン設定を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 オンアクセス スキャンを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 63 オンデマンド スキャン を設定する . . . . . . . . . . . . . . . . . . . . . . . . . 68 スキャン タスクとスケジュールを設定して実行する . . . . . . . . . . . . . . . . . . . 72 4 75 ファイアウォール の使用 ファイアウォール の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 ファイアウォール期限付きグループを表示または有効にする . . . . . . . . . . . . . . . . . . . 75 ファイアウォール の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 ファイアウォール オプションを変更する . . . . . . . . . . . . . . . . . . . . . . . 76 ファイアウォール ルールとグループを設定する . . . . . . . . . . . . . . . . . . . . 5 78 Web 管理の使用 89 Web 管理の機能について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Web 管理がサイトとダウンロードをブロックまたは警告する方法 . . . . . . . . . . . . . . 90 閲覧時に Web 管理のボタンが脅威の存在を表している場合 . . . . . . . . . . . . . . . . 90 検索時に安全性アイコンが脅威の存在を表している場合 . . . . . . . . . . . . . . . . . 91 サイト レポートの詳細 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 安全性評価をコンパイルする方法 . . . . . . . . . . . . . . . . . . . . . . . . . 92 Web 管理の機能にアクセスする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 ブラウザーで Web 管理プラグインを有効にする . . . . . . . . . . . . . . . . . . . . 93 閲覧中にサイトの情報を表示する . . . . . . . . . . . . . . . . . . . . . . . . . 94 検索でサイト レポートを表示する . . . . . . . . . . . . . . . . . . . . . . . . . 94 Web 管理 の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Web 管理 オプションを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 95 評価アクションを指定して、Web カテゴリに基づいてサイト アクションをブロックする . . . . . 6 98 101 脅威情報 の使用 脅威情報 の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 脅威情報 の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 脅威情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 脅威情報オプションを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 108 索引 4 McAfee Endpoint Security 10.1 165 製品ガイド McAfee Endpoint Security ® McAfee Endpoint Security は、ネットワーク コンピューター上で実行され、脅威を自動的に識別・阻止する包括 的なセキュリティ管理ソリューションです。 このヘルプでは、基本的なセキュリティ機能の使用方法とトラブルシュ ーティングの方法について説明します。 はじめに • Endpoint Security モジュール7 ページの「」 • Endpoint Security がシステムを保護する仕組み8 ページの「」 • Endpoint Security の使い方9 ページの「」 よく実行されるタスク • Endpoint Security クライアント を開く 17 ページの「」 • セキュリティ対策とソフトウェアを手動で更新する21 ページの「」 • マルウェアをスキャンする41 ページの「」 • クライアント インターフェースのロックを解除する26 ページの「」 詳細情報 この製品の詳細については、次の情報を参照してください。 • 『McAfee Endpoint Security インストール ガイ ド』 • Endpoint Security ファイアウォール ヘルプ • 『McAfee Endpoint Security 移行ガイド』 • Endpoint Security Web 管理ヘルプ • 『McAfee Endpoint Security リリース ノート』 • Endpoint Security 脅威情報 ヘルプ • • McAfee サポート Endpoint Security 脅威対策 ヘルプ McAfee Endpoint Security 10.1 製品ガイド 5 McAfee Endpoint Security 6 McAfee Endpoint Security 10.1 製品ガイド 1 概要 Endpoint Security は、ネットワーク コンピューター上で実行され、脅威を自動的に識別・阻止する包括的なセキ ュリティ管理ソリューションです。 このヘルプでは、基本的なセキュリティ機能の使用方法とトラブルシューティン グの方法について説明します。 コンピューターが管理対象の場合、管理者が以下のいずれかの管理サーバーを使用して Endpoint Security のセッ トアップと設定を行います。 • McAfee ePolicy Orchestrator (McAfee ePO ) • McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud) ® ® ® ™ ® ™ コンピューターが自社管理の場合、管理者またはユーザーが Endpoint Security クライアント を使用してソフトウ ェアの設定を行います。 脅威情報は McAfee ePO 管理対象システムでのみ使用できます。 目次 Endpoint Security モジュール Endpoint Security がシステムを保護する仕組み Endpoint Security の使い方 Endpoint Security モジュール 管理者は 1 つ以上の Endpoint Security モジュールを設定し、クライアント コンピューターにインストールできま す。 • 脅威対策 - 項目をスキャンし、ウイルス、スパイウェア、不審なプログラムなどの脅威の有無を確認します。ユ ーザーが項目にアクセスしたときにスキャンを自動的に実行することも、必要に応じて実行することもできます。 • ファイアウォール - ネットワークまたはインターネット上のリソースとコンピューターとの通信を監視します。 不審な通信を遮断します。 • Web 管理 - オンラインでの閲覧または検索中に Web サイトの安全性評価を表示し、レポートを作成します。 Web 管理では、サイト管理者が安全性評価またはコンテンツに従って Web サイトへのアクセスをブロックでき ます。 • 脅威情報 - コンテキスト情報を使用した適応型のセキュリティをネットワーク環境に提供します。脅威情報 は、企業内のコンテンツを分析し、ファイルのレピュテーションと管理者の設定した条件に従って処理を判断し ます。 脅威情報は McAfee ePO 管理対象システムでのみ使用できます。 また、共通設定 モジュールでは、インターフェースのセキュリティやロギングなど、共通の機能を設定できます。 このモジュールは他のモジュールと一緒に自動的にインストールされます。 McAfee Endpoint Security 10.1 製品ガイド 7 1 概要 Endpoint Security がシステムを保護する仕組み Endpoint Security がシステムを保護する仕組み 通常、管理者が Endpoint Security をセットアップし、クライアント コンピューターにソフトウェアをインストー ルします。さらに、セキュリティの状況を監視し、ポリシーというセキュリティ ルールをセットアップします。 クライアント コンピューターのユーザーは、コンピューターにインストールされたクライアント ソフトウェアを使 用して Endpoint Security を使用できます。 管理者がセットアップしたポリシーによって、コンピュータのモジュ ールと機能の動作や機能が変更可能かどうかが決まります。 Endpoint Security が自社管理の場合、モジュールと機能の動作を指定できます。 管理タイプは、[バージョン情報] ページで確認できます。 コンピュータにインストールされたクライアント ソフトウェアは、定期的にインターネット上のサイトに接続し、コ ンポーネントを更新します。 同時に、コンピューターでの検出結果を管理サーバーに送信します。 このデータは、 コンピュータの検出結果とセキュリティ問題に関するレポートを生成するときに使用されます。 通常、クライアント ソフトウェアはバックグランドで動作し、ユーザーの操作は必要ありません。 ただし、ユーザ ーの操作が必要になる場合もあります。 たとえば、ソフトウェアの更新やマルウェアのスキャンを手動で実行しま す。 管理者が設定したポリシーによっては、ユーザーにセキュリティ設定の変更が許可されている場合があります。 管理者は、McAfee ePO または McAfee ePO Cloud を使用してクライアント ソフトウェアの設定と管理を一元的に 行うことができます。 関連トピック: 20 ページの「保護対策に関する情報を取得する」 保護対策を最新の状態にする方法 Endpoint Security を定期的に更新することで、新たに発生する脅威からコンピューターを保護することができま す。 クライアント ソフトウェアは、ローカルまたはリモートの McAfee ePO サーバーに接続するか、インターネット上 のサイトに直接アクセスして更新を実行します。Endpoint Security は、次のものを確認します。 • 脅威の検出に使用するコンテンツ ファイルの更新。 コンテンツ ファイルには、ウイルスやスパイウェアなどの 脅威が定義されています。新しい脅威が検出されると、これらの定義が更新されます。 • パッチや HotFix など、ソフトウェア コンポーネントのアップグレード。 説明を分かりやすくするため、このヘルプでは、更新とアップグレードの両方を更新と表します。 通常、更新はバックグラウンドで自動的に実行されます。 また、更新の有無を手動で確認しなければならない場合も あります。 設定によっては、 手動で更新できます。 をクリックして Endpoint Security クライアント の保護対策を 関連トピック: 21 ページの「セキュリティ対策とソフトウェアを手動で更新する」 8 McAfee Endpoint Security 10.1 製品ガイド 概要 Endpoint Security の使い方 1 コンテンツ ファイルの機能 スキャナーは、スキャンするファイルの内容と AMCore コンテンツ ファイルに記述されている脅威情報を比較して 感染の有無を確認します。 Exploit Prevention は、独自のコンテンツ ファイルを使用してエクスプロイトを阻止し ます。 AMCore コンテンツ McAfee Labs では、確認した脅威の情報 (シグネチャ) を コンテンツ ファイルに追加しています。 コンテンツ フ ァイルには、シグネチャの他に、ウイルスの駆除方法や被害からの回復方法が記述されています。 インストールされているコンテンツ ファイルにウイルスのシグネチャが定義されていない場合、スキャン エンジンは そのウイルスを検出することも、駆除することもできません。 新しい脅威は毎日発生しています。 McAfee Labs では、最新の調査結果を反映したエンジンの更新とコンテンツ フ ァイルを毎日午後 6 時 (GMT) にリリースしています。 Endpoint Security は、現在読み込まれているコンテンツ ファイルと前の 2 つのバージョンを Program Files \Common Files\McAfee\Engine\content フォルダーに保存します。 必要であれば、前のバージョンに戻すことが できます。 新しいマルウェアが出現し、コンテンツの定期更新以外に追加の検出定義を提供する必要がある場合、McAfee Labs は Extra.DAT ファイルをリリースします。 エクスプロイト防止のコンテンツ Exploit Prevention のコンテンツには次のものが含まれています。 • メモリー保護シグネチャ - 汎用的なバッファー オーバーフロー対策 (GBOP) と対象の API モニタリング。 • アプリケーション保護リスト - エクスプロイト防止が保護するプロセス。 McAfee は、月に 1 回、新しいエクスプロイト防止コンテンツ ファイルを公開しています。 Endpoint Security の使い方 Endpoint Security では、ビジュアルなコンポーネントを使用して Endpoint Security クライアントを操作できま す。 • Windows システム トレイの McAfee アイコン - Endpoint Security クライアントを開始し、セキュリティ ス テータスを表示できます。 • 通知メッセージ - ファイアウォールの侵入検知とレピュテーション不明のファイルを警告し、ユーザーに操作を 確認します。 • [オンアクセス スキャン] ページ - オンアクセス スキャナーが脅威を検出すると、脅威検出リストを表示しま す。 • Endpoint Security クライアント - 現在の保護状況が表示されます。機能にアクセスできます。 管理対象システムの場合、管理者がポリシーの設定と割り当てを行い、表示するコンポーネントを指定します。 関連トピック: 10 ページの「McAfee システム トレイ アイコンについて」 11 ページの「通知メッセージについて」 45 ページの「脅威検出を管理する」 11 ページの「Endpoint Security クライアント について」 McAfee Endpoint Security 10.1 製品ガイド 9 1 概要 Endpoint Security の使い方 McAfee システム トレイ アイコンについて Windows システム トレイの McAfee アイコンを使用すると、Endpoint Security クライアント と基本的なタスク にアクセスできます。 設定によっては、McAfee アイコンが使用できない場合があります。 McAfee システム トレイ アイコンを使用すると、次の操作を実行できます。 セキュリティ ステータスを確 認する。 アイコンを右クリックして、[セキュリティ状況の表示] を選択すると、[McAfee セキュリティ ステータス] ページが表示されます。 Endpoint Security クライア ント を開く。 アイコンを右クリックして、[McAfee Endpoint Security] を選択します。 セキュリティ対策とソフトウ ェアを手動で更新する。 アイコンを右クリックして、[セキュリティの更新] を選択します。 更新対象22 ページの「」を参照してください。 ファイアウォール期限付きグ アイコンを右クリックし、[クイック設定] メニューからオプションを選択します。 ループを表示し、有効にする。 • [ファイアウォール期限付きグループを有効にする] - ファイアウォール期限付 きグループを有効にし、所定の期間、アクセスを制限するルールを適用する前に ネットワーク以外のインターネット アクセスを許可します。 このオプションを選択するたびに、グループの期限がリセットされます。 • [ファイアウォール期限付きグループを表示する] - 期限付きグループの名前と 各グループの残り時間を表示します。 設定によっては、これらのオプションが使用できない場合があります。 アイコンと Endpoint Security のステータス Endpoint Security の状態によって、表示されるアイコンが変わります。 アイコンの上にマウスを移動すると、状 態を表すメッセージが表示されます。 アイコ ン 意味... Endpoint Security がシステムを保護しています。問題はありません。 Endpoint Security がセキュリティの問題を検出しました。たとえば、モジュールまたは技術が無効にな っています。 • ファイアウォール が無効になっています。 • 脅威対策 — エクスプロイト防止、オンアクセス スキャンまたは ScriptScan が無効です。 Endpoint Security が問題を報告しています。報告されている問題は、管理タイプによって異なります。 • 自社管理: • 1 つ以上の技術が無効になっています。 • 1 つ以上の技術が応答しません。 • 管理対象: • 1 つ以上の技術が無効になっています。管理サーバーまたは Endpoint Security クライアント か らのポリシー施行が原因ではありません。 • 1 つ以上の技術が応答しません。 問題が検出されると、無効になっているモジュールまたは技術が [McAfee Security Status] ページに表 示されます。 10 McAfee Endpoint Security 10.1 製品ガイド 概要 Endpoint Security の使い方 1 関連トピック: 22 ページの「更新対象」 通知メッセージについて Endpoint Security は、2 種類のメッセージを使用して、保護対策の問題を通知したり、ユーザーに入力を要求しま す。 設定によっては、一部のメッセージが表示されない場合があります。 Endpoint Security で通知メッセージを表示するには、McTray.exe プロセスが実行されている必要があります。 Endpoint Security は、次の 2 種類の通知を送信します。 • アラート。McAfee アイコンから 5 秒間ポップアップ表示されます。 脅威の検出を通知します。ファイアウォール侵入イベントや、オンデマンド スキャンの一時停止または再開を通 知します。 ユーザーにアクションを要求することはありません。 • プロンプト。画面の下部にページが開き、ユーザーがオプションを選択するまで表示されます。 例: • スケジュール スキャンが開始する前に、Endpoint Security のプロンプトが表示され、スキャンを延期する かどうか確認される場合があります。 • オンアクセス スキャナーが脅威を検出すると、Endpoint Security のプロンプトが表示され、検出に対する 対応が確認される場合があります。 • 脅威情報 がレピュテーションの不明なファイルを検出すると、Endpoint Security がファイルの処理 (許可 またはブロック) をユーザーに確認する場合があります。 Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通 知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。 関連トピック: 18 ページの「脅威検出プロンプトに応答する」 19 ページの「スキャン プロンプトに応答する」 19 ページの「ファイル レピュテーション プロンプトに応答する」 Endpoint Security クライアント について Endpoint Security クライアント では、コンピューターの保護状態を確認し、機能にアクセスできます。 • [アクション] メニュー [設定] のオプションを使用すると、機能にアクセスできます。 機能を設定します。 このメニュー オプションは、次のいずれかの場合に使用できます。 • クライアント インターフェース モードが [フル アクセス] に設定されている場合。 • 管理者としてログオンしている場合。 [Extra.DAT の読み 込み] ダウンロードした Extra.DAT ファイルをインストールできます。 [AMCore コンテン ツのロールバック] AMCore コンテンツを以前のバージョンに戻します。 このメニュー オプションは、システムに AMCore コンテンツの前のバージョンが存在 し、次のいずれかの条件を満たす場合に使用できます。 • クライアント インターフェース モードが [フル アクセス] に設定されている場合。 • 管理者としてログオンしている場合。 McAfee Endpoint Security 10.1 製品ガイド 11 1 概要 Endpoint Security の使い方 [ヘルプ] ヘルプを表示します。 [サポート リンク] McAfee ServicePortal や Knowledge Center など、有益な情報が掲載されているペー ジへのリンクが表示されます。 [管理者としてログ オン] サイト管理者としてログオンします。 管理者の認証情報が必要です。 デフォルトのパスワードは、mcafee です。 このメニュー オプションは、クライアント インターフェース モードが [フル アクセス] に設定されていない場合に使用できます。 管理者としてログオンしていると、このオプ ションは [管理者としてログオフ] になります。 • [バージョン情報] Endpoint Security に関する情報が表示されます。 [終了] Endpoint Security クライアント を終了します。 ページの右上にあるボタンを使用すると、頻繁に実行するタスクにすぐにアクセスできます。 フル スキャンまたはクイック スキャンでマルウェアの有無を検査します。 このボタンは、脅威対策 モジュールがインストールされている場合にのみ使用で きます。 コンピューターでコンテンツ ファイルとソフトウェア コンポーネントを更新しま す。 設定によっては、このボタンが表示されない場合があります。 • ページの左側にあるボタンを使用すると、保護対策の情報を確認できます。 [ステータス] メインの [ステータス] ページに戻ります。 [イベント ログ] このコンピューターで発生したすべての保護イベントと脅威イベントのログが表示されます。 [隔離] [隔離マネージャー] を開きます。 このボタンは、脅威対策 モジュールがインストールされている場合にのみ使用できます。 • 脅威サマリーには、システムで Endpoint Security が過去 30 日間に検出した脅威の情報が表示されます。 関連トピック: 28 ページの「Extra.DAT ファイルを読み込む」 25 ページの「管理者としてログオンする」 41 ページの「マルウェアをスキャンする」 21 ページの「セキュリティ対策とソフトウェアを手動で更新する」 22 ページの「イベント ログ を表示する」 46 ページの「隔離項目を管理する」 25 ページの「Endpoint Security の管理」 12 ページの「脅威サマリーについて」 脅威サマリーについて Endpoint Security クライアント の [ステータス] ページには、過去 30 日間にシステムで検出された脅威のサマリ ーがリアルタイムで表示されます。 新しい脅威が検出されると、[ステータス] ページが更新され、下部ペインの [脅威サマリー] 領域に最新の情報が表 示されます。 12 McAfee Endpoint Security 10.1 製品ガイド 概要 Endpoint Security の使い方 1 脅威サマリーには次の情報が表示されます。 • 最後に脅威を排除した日付 • 上位 2 つの脅威ベクトル (カテゴリ別): [Web] Web ページまたはダウンロードに存在する脅威 [外部デバイスまたはメデ USB、1394 Firewire、eSATA、テープ、CD、DVD、ディスクなどの外部デバイス ィア] に存在する脅威 • [ネットワーク] ネットワークに存在する脅威 (ネットワーク ファイル共有を除く)。 [ローカル システム] ローカルのブート ファイル システム ドライブ (通常は C:) または外部デバイスま たはメディアとして分類されていないドライブに存在する脅威 [ファイル共有] ネットワーク ファイル共有に存在する脅威 [電子メール] 電子メールに存在する脅威 [インスタント メッセー ジ] インスタント メッセージに存在する脅威 [不明] エラー条件や他の障害で攻撃ベクトルが特定できない脅威。 脅威ベクトルごとに脅威の数が表示されます。 Endpoint Security クライアント がイベント マネージャーに接続できない場合、Endpoint Security クライアント が通信エラー メッセージを表示します。 この場合、システムを再起動して脅威サマリーを表示します。 設定によるクライアント アクセスの制御 コンピューターに割り当てられたクライアント インターフェース モードの設定によって、ユーザーがアクセス可能 なモジュールと機能が決まります。 共通設定 の設定でクライアント インターフェース モードを変更します。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 クライアントのクライアント インターフェース モードのオプションは次のとおりです。 McAfee Endpoint Security 10.1 製品ガイド 13 1 概要 Endpoint Security の使い方 [フル アク セス] すべての機能に対するアクセスを許可します。次の操作を実行できます。 • 個々のモジュールの有効化と無効化 • [設定] ページにアクセスして Endpoint Security クライアント の設定を表示したり、変更できま す。 このモードは、自社管理システムのデフォルトの設定です。 [標準アク セス] 保護状態が表示されます。ほとんどの機能にアクセスできます。 • コンピューターのコンテンツ ファイルをソフトウェア コンポーネントを更新します (管理者が有 効にしている場合)。 • システムのすべての領域を徹底的に検査します (コンピューターで感染が疑われる場合に推奨)。 • システムで最も感染しやすい領域をすばやく検査します (2 分程度で完了します)。 • イベント ログにアクセスします。 • 隔離領域の項目を管理します。 このモードは、McAfee ePO または McAfee ePO Cloud の管理対象システムのデフォルトの設定で す。 インターフェース モードが [標準アクセス] に設定されている場合、管理者としてログインすると、 設定を含むすべての機能にアクセスできます。 [クライア クライアントにアクセスするときに、パスワードの入力が要求されます。 ント イン デフォルトのパスワードは、mcafee です。 ターフェー スをロッ クライアント インターフェースのロックを解除すると、すべての機能にアクセスできます。 ク] Endpoint Security クライアント や、必要なタスクと機能にアクセスできない場合には、管理者に連絡してください。 関連トピック: 31 ページの「クライアント インターフェースのセキュリティを設定する」 クライアントに対するインストール済みモジュールの影響 コンピューターにインストールされているモジュールによっては、クライアントの一部の機能が使用できない場合が あります。 次の機能は、脅威対策 がインストールされている場合にのみ使用できます。 • ボタン • 14 [隔離] ボタン McAfee Endpoint Security 10.1 製品ガイド 概要 Endpoint Security の使い方 1 システムにインストールされている機能によって、表示される機能が異なります。 • イベント ログの [モジュールでフィルタリング] ドロップダウン。 • [設定] ページ。 [Common] 任意のモジュールがインストールされている場合に表示されます。 [脅威対策] 脅威対策 がインストールされている場合にのみ表示されます。 [ファイアウォール] ファイアウォール がインストールされている場合にのみ表示されます。 [Web 管理] Web 管理がインストールされている場合にのみ表示されます。 [脅威情報] 脅威情報 と脅威対策がインストールされている場合にのみ表示されます。 脅威情報は McAfee ePO 管理対象システムでのみ使用できます。 脅威情報を使用するには、脅威対策をインストールする必要があります。 クライアント インターフェース モードと管理者の設定によっては、機能の一部またはすべてが使用できない場合があ ります。 関連トピック: 13 ページの「設定によるクライアント アクセスの制御」 McAfee Endpoint Security 10.1 製品ガイド 15 1 概要 Endpoint Security の使い方 16 McAfee Endpoint Security 10.1 製品ガイド 2 Endpoint Security クライアント の使用 クライアントを標準アクセス モードで使用すると、システム スキャンや隔離項目の管理など、大半の機能を実行で きます。 目次 Endpoint Security クライアント を開く ヘルプを見る プロンプトに応答する 保護対策に関する情報を取得する セキュリティ対策とソフトウェアを手動で更新する イベント ログ を表示する Endpoint Security の管理 Endpoint Security クライアント を開く Endpoint Security クライアント を開いて、コンピューターにインストールされている保護機能の状態を確認でき ます。 インターフェース モードが [クライアント インターフェースのロック] に設定されている場合には、管理者のパスワ ードを入力して Endpoint Security クライアント を開く必要があります。 タスク 1 2 Endpoint Security クライアント を表示するには、次のいずれかの方法を使用します。 • システム トレイ アイコンを右クリックして、[McAfee Endpoint Security] を選択します。 • [スタート] 、 [すべてのプログラム] 、 [McAfee] 、 [McAfee Endpoint Security] の順に選択します。 • Windows 8 と 10 の場合、[McAfee Endpoint Security] アプリを開始します。 1 Windows キーを押します。 2 検索領域で McAfee Endpoint Security と入力して、[McAfee Endpoint Security] アプリをダブル クリックまたはタッチします。 [管理者としてログオン] ページでプロンプトが表示されたら、管理者のパスワードを入力して [ログオン] をクリ ックします。 管理者が設定したインターフェース モードで Endpoint Security クライアント が開きます。 関連トピック: 26 ページの「クライアント インターフェースのロックを解除する」 McAfee Endpoint Security 10.1 製品ガイド 17 2 Endpoint Security クライアント の使用 ヘルプを見る ヘルプを見る クライアントでの作業中にヘルプを表示するには、[ヘルプ] メニュー オプションを使用するか、[?] アイコンをクリ ックします。 タスク 1 Endpoint Security クライアント を開きます。 2 表示しているページによって操作が異なります。 • [ステータス]、[イベント ログ]、[隔離] ページ: [アクション] メニュー • [設定]、[更新]、[システムのスキャン]、[AMCore コンテンツのロールバック]、[Extra.DAT の読み込み] ペ ージ: インターフェースの [?] をクリックします。 から [ヘルプ] を選択します。 プロンプトに応答する 設定によっては、スケジュール スキャンの開始前に Endpoint Security が確認を行う場合があります。 タスク • 18 ページの「脅威検出プロンプトに応答する」 設定によっては、スキャナーが脅威を検出したときに Endpoint Security のプロンプトが表示され、処 理の続行が確認される場合があります。 • 19 ページの「スキャン プロンプトに応答する」 スケジュール スキャンが開始する前に、Endpoint Security のプロンプトが表示され、スキャンを実行 するかどうか確認される場合があります。 このプロンプトは、スキャンの延期、一時停止、再開または キャンセルを許可している場合にのみ表示されます。 • 19 ページの「ファイル レピュテーション プロンプトに応答する」 システムで特定のレピュテーションのファイルを実行すると、Endpoint Security がプロンプトを表示 し、入力が要求される場合があります。 プロンプトが表示されるのは、脅威情報が「プロンプト」に設 定されている場合だけです。 脅威検出プロンプトに応答する 設定によっては、スキャナーが脅威を検出したときに Endpoint Security のプロンプトが表示され、処理の続行が 確認される場合があります。 Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通 知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 • [オンアクセス スキャン] ページで、脅威検出の管理オプションを選択します。 スキャン ページはいつでも再表示できます。 Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされ ます。 関連トピック: 45 ページの「脅威検出を管理する」 18 McAfee Endpoint Security 10.1 製品ガイド Endpoint Security クライアント の使用 プロンプトに応答する 2 スキャン プロンプトに応答する スケジュール スキャンが開始する前に、Endpoint Security のプロンプトが表示され、スキャンを実行するかどう か確認される場合があります。 このプロンプトは、スキャンの延期、一時停止、再開またはキャンセルを許可してい る場合にのみ表示されます。 オプションを選択しないと、スキャンが自動的に開始します。 管理対象システムで、コンピューターがアイドル状態のときにのみスキャンを実行するように設定している場合、ス キャンを一時停止すると Endpoint Security がダイアログを表示します。 一時停止したスキャンをアイドル状態の ときにのみ再開するように設定することもできます。 Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通 知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 • プロンプトで、次のいずれかのオプションを選択します。 表示されるオプションは、スキャンの設定によって異なります。 [今すぐスキャン] スキャンをすぐに開始します。 [スキャン結果の表 示] 実行中のスキャン結果を表示します。 [スキャンを一時停 止] スキャンを一時停止します。 設定によっては、[スキャンを一時停止] をクリックして停 止したスキャンがアイドル状態にならないと再開しない場合があります。 [スキャンを 再開] をクリックします。アイドル状態になると、スキャンが再開します。 [スキャンを再開] 一時停止したスキャンを再開します。 [スキャンをキャンセ スキャンをキャンセルします。 ル] [スキャンを延期] 指定した時間、スキャンを延期します。 スケジュール スキャン オプションによって、1 時間以内にスキャンを延期できる回数が 決まります。 複数回スキャンを延期できる場合もあります。 [閉じる] スキャン ページを閉じます。 設定によっては、スキャナーが脅威を検出したときに Endpoint Security のプロンプトが表示され、処理の続行 が確認される場合があります。 ファイル レピュテーション プロンプトに応答する システムで特定のレピュテーションのファイルを実行すると、Endpoint Security がプロンプトを表示し、入力が要 求される場合があります。 プロンプトが表示されるのは、脅威情報が「プロンプト」に設定されている場合だけで す。 脅威情報は McAfee ePO 管理対象システムでのみ使用できます。 管理者が設定したレピュテーションしきい値を超えると、プロンプトが表示されます。 たとえば、レピュテーション しきい値が「不明」の場合、レピュテーションが「不明」以下のファイルを検出すると Endpoint Security がプロ ンプトを表示します。 McAfee Endpoint Security 10.1 製品ガイド 19 2 Endpoint Security クライアント の使用 保護対策に関する情報を取得する オプションを選択しないと、脅威情報は管理者が設定したデフォルトのアクションを実行します。 プロンプト、タイムアウト、デフォルトのアクションは、脅威情報の設定方法によって異なります。 Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通 知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 (オプション) プロンプトで、管理者に送信するメッセージを入力します。 たとえば、ファイルを説明するメッセージを使用したり、システム上のファイルを許可またはブロックする条件 を記述します。 2 [許可] または [ブロック] をクリックします。 [許可] ファイルを許可します。 [ブロック] システム上でファイルをブロックします。 脅威情報が同じファイルで繰り返しプロンプトを表示しないようにするには、[この決定を記憶する] を選択しま す。 脅威情報は、ユーザーの選択またはデフォルトのアクションを実行し、プロンプト ウィンドウを終了します。 保護対策に関する情報を取得する 管理タイプ、保護対策のモジュール、機能、ステータス、バージョン番号、ライセンスなど、Endpoint Security に 関する情報を取得できます。 タスク 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 左側にあるモジュールまたは機能の名前をクリックして、情報を表示します。 4 ブラウザーの [閉じる] ボタンをクリックして、[バージョン情報] ページを終了します。 から [バージョン情報] を選択します。 関連トピック: 20 ページの「管理タイプ」 17 ページの「Endpoint Security クライアント を開く」 管理タイプ 管理タイプは、Endpoint Security の管理方法を表します。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 20 McAfee Endpoint Security 10.1 製品ガイド Endpoint Security クライアント の使用 セキュリティ対策とソフトウェアを手動で更新する 2 管理タイプ 説明 McAfee ePolicy Orchestrator 管理者は、McAfee ePO (オンプレミス) を使用して Endpoint Security を管理しま す。 McAfee ePolicy Orchestrator Cloud 管理者は、McAfee ePO Cloud を使用して Endpoint Security を管理します。 自己管理 Endpoint Security は、Endpoint Security クライアントを使用してローカルで管理 されます。 このモードは、管理対象外、スタンドアロンともいいます。 セキュリティ対策とソフトウェアを手動で更新する 設定方法によっては、Endpoint Security クライアントからコンテンツ ファイルとソフトウェア コンポーネントの 更新を手動で確認し、ダウンロードすることができます。 手動更新はオンデマンド更新ともいいます。 McAfee システム トレイ アイコンから手動で更新を実行することもできます。 詳細については、McAfee システム トレイ アイコンについて 10 ページの「」を参照してください。 Endpoint Security では、更新されたコンテンツ ファイルを手動で取得し、クライアント システムにコピーできませ ん。 特定のコンテンツ バージョンに更新する必要がある場合には、 McAfee サポート に連絡してください。 タスク 1 Endpoint Security クライアント を開きます。 2 をクリックします。 がクライアントに表示されない場合には、設定で有効にできます。 詳細については、開始 する更新のデフォルトの動作を設定する35 ページの「」を参照してください。 Endpoint Security クライアント が更新を確認します。 • 更新をキャンセルするには、[キャンセル] をクリックします。 このオプションは、自社管理システムと McAfee ePO 管理対象システムに使用できます。 • システムが最新の状態になっている場合、このページには [使用可能な更新はありません] というメッセージ と前回の更新日時が表示されます。 • 更新が正常に完了すると、更新が完了した日時が表示されます。 メッセージまたはエラーは [メッセージ] 領域に表示されます。 詳細については、PackageManager_Activity.log または PackageManager_Debug.log を表示してください。 3 [閉じる] をクリックして、[更新] ページを終了します。 関連トピック: 8 ページの「保護対策を最新の状態にする方法」 23 ページの「ログ ファイルについて」 22 ページの「更新対象」 17 ページの「Endpoint Security クライアント を開く」 McAfee Endpoint Security 10.1 製品ガイド 21 2 Endpoint Security クライアント の使用 イベント ログ を表示する 更新対象 Endpoint Security は、セキュリティ コンテンツ、ソフトウェア (HotFix、パッチ)、ポリシー設定を管理タイプに 応じて別々の方法で更新します。 McAfee ePO 管理対象システムと自社管理システムの場合、 ボタンの表示方法と動作を設定 できます。 詳細については、更新タスクとスケジュールを設定して実行する36 ページの「」を参照してください。 管理タイプ 更新方法 更新 McAfee ePO McAfee システム トレイ メニューの [セキュリティの更新] オプション。 コンテンツとソフトウェアのみで、ポ リシー設定は除外されます。 Endpoint Security クライアント のボ コンテンツ、ソフトウェア、ポリシー 設定 (設定済みの場合)。 McAfee システム トレイ メニューの [セキュリティの更新] オプション。 コンテンツ、ソフトウェア、ポリシー 設定。 Endpoint Security クライアント のボ コンテンツ、ソフトウェア、ポリシー 設定 (設定済みの場合)。 タン。 McAfee ePO Cloud タン。 自社管理 McAfee システム トレイ メニューの [セキュリティの更新] オプション。 Endpoint Security クライアント のボ コンテンツとソフトウェアのみ コンテンツ、ソフトウェア、ポリシー 設定 (設定済みの場合)。 タン。 イベント ログ を表示する アクティビティ ログとデバッグ ログには、McAfee が保護するシステムで発生したイベントが記録されます。 イベ ント ログは、Endpoint Security クライアント から表示できます。 タスク ヘルプを利用するには、[アクション] メニュー から [ヘルプ] を選択します。 1 Endpoint Security クライアント を開きます。 2 ページの左側にある [イベント ログ] をクリックします。 このページには、過去 30 日に Endpoint Security がシステムで記録したイベントが表示されます。 Endpoint Security クライアント が イベント マネージャー に接続できない場合、通信エラー メッセージが表示 されます。 この場合、システムを再起動して イベント ログ を表示します。 3 上部ペインからイベントを選択すると、下部ペインに詳細が表示されます。 ペインの相対サイズを変更するには、ペインの境界にあるサッシュ ウィジェットをクリックしてドラッグします。 22 McAfee Endpoint Security 10.1 製品ガイド Endpoint Security クライアント の使用 イベント ログ を表示する 4 2 [イベント ログ] ページでは、イベントのソート、検索、フィルタリング、再読み込みを実行できます。 表示されるオプションは、スキャンの設定によって異なります。 操作... 手順 イベントを日付、機能、実行した テーブルの列見出しをクリックします。 アクション、重大度でソートする。 イベント ログを検索する。 [検索] フィールドに検索文字列を入力して Enter を押すか、[検索] をクリ ックします。 検索では大文字と小文字が区別されます。イベント ログのすべてのフィー ルドが検索対象になります。 条件に該当するすべての要素がイベント リス トに表示されます。 検索を取り消してすべてのイベントを表示するには、[検索] フィールドの [x] をクリックします。 重大度またはモジュールでイベン フィルターのドロップダウン リストからオプションを選択します。 トをフィルタリングする。 フィルターを削除してすべてのイベントを表示するには、ドロップダウン リ ストから [すべてのイベントを表示] を選択します。 新しいイベントが発生したら [イ ベント ログ] の画面を更新する。 ログ ファイルのあるフォルダー を開く。 5 をクリックします。 [ログ フォルダーの表示] をクリックします。 イベント ログ 内を移動します。 操作... 手順 前のページのイベントを表示する。 [前のページ] をクリックします。 次のページのイベントを表示する。 [次のページ] をクリックします。 ログの特定のページを表示する。 ページ番号を入力して Enter を押すか、[実行] をクリックします。 イベント ログ のデフォルトでは、1 ページに 20 件のイベントが表示されます。 1 ページに表示するイベント の件数を増やすには、[1 ページあたりのイベント数] ドロップダウン リストからオプションを選択します。 関連トピック: 23 ページの「ログ ファイルについて」 17 ページの「Endpoint Security クライアント を開く」 ログ ファイルについて アクティビティ ログ、エラー ログとデバッグ ログには、Endpoint Security が有効になっているシステムで発生し たイベントが記録されます。 共通設定 の設定でロギングを設定します。 アクティビティ ログ ファイルは、デフォルトのシステム ロケールで指定されている言語で表示されます。 アクティビティ ログとデバッグ ログは、以下のいずれかのデフォルトの場所に保存されます。保存場所はオペレー ティング システムによって異なります。 オペレーティング システム デフォルトの場所 Microsoft Windows 10 %ProgramData%\McAfee\Endpoint Security\Logs Microsoft Windows 8、8.1 McAfee Endpoint Security 10.1 製品ガイド 23 2 Endpoint Security クライアント の使用 イベント ログ を表示する オペレーティング システム デフォルトの場所 Microsoft Windows 7 Microsoft Vista C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs それぞれのモジュール、機能または技術は、別のファイルにアクティビティ ログとデバッグ ログを記録します。 す べてのモジュールが同じ EndpointSecurityPlatform_Errors.log にエラーを記録します。 モジュールでデバッグ ロギングを有効にすると、自己保護などの 共通設定 モジュールのデバッグ ロギングも有効に なります。 表 2-1 ログ ファイル モジュール 機能または技術 ファイル名 EndpointSecurityPlatform_Activity.log 共通設定 EndpointSecurityPlatform_Debug.log 自己保護 SelfProtection_Activity.log SelfProtection_Debug.log PackageManager_Activity.log 更新 PackageManager_Debug.log EndpointSecurityPlatform_Errors.log エラー 脅威対策 脅威対策 でデバッグ ロギングを有効 にすると、Endpoint Security クライ アント のデバッグ ロギングも有効に なります。 アクセス保護 ThreatPrevention_Activity.log ThreatPrevention_Debug.log AccessProtection_Activity.log AccessProtection_Debug.log エクスプロイト防止 ExploitPrevention_Activity.log ExploitPrevention_Debug.log オンアクセス スキャナー OnAccessScan_Activity.log OnAccessScan_Debug.log オンデマンド スキャナー OnDemandScan_Activity.log • クイック スキャン OnDemandScan_Debug.log • フル スキャン • 右クリック スキャン Endpoint Security クライアント ファイアウォー ル MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log 設定に従って、ブロックされたトラフィック イベ ントと許可されたトラフィック イベントが記録さ れます。 Web 管理 WebControl_Activity.log WebControl_Debug.log 24 McAfee Endpoint Security 10.1 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 表 2-1 ログ ファイル (続き) モジュール 機能または技術 脅威情報 ファイル名 脅威対策 でデバッグ ロギングを有効 にすると、脅威情報のデバッグ ロギン グも有効になります。 ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log デフォルトでは、インストール ログ ファイルは次の場所にあります。 自社管理 %TEMP%\McAfeeLogs (Windows ユーザーの一時フォルダー) 管理対象 TEMP\McAfeeLogs (Window システムの一時フォルダー) Endpoint Security の管理 管理者は、Endpoint Security クライアント から Endpoint Security を管理できます。機能を有効または無効にし たり、コンテンツ ファイルを管理できます。また、クライアント インターフェースの動作を指定したり、共通の設 定を行うことができます。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 関連トピック: 25 ページの「管理者としてログオンする」 26 ページの「クライアント インターフェースのロックを解除する」 26 ページの「機能を有効または無効にする」 26 ページの「AMCore コンテンツのバージョンを変更する」 27 ページの「Extra.DAT ファイルを使用する」 29 ページの「共通設定を行う」 管理者としてログオンする Endpoint Security クライアント のインターフェース モードを[標準アクセス]に設定すると、管理者としてログオ ンし、すべての設定にアクセスすることができます。 開始する前に Endpoint Security クライアント のインターフェース モードを [標準アクセス] に設定する必要があ ります。 タスク ヘルプを利用するには、[アクション] メニュー から [ヘルプ] を選択します。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [パスワード] フィールドに管理者のパスワードを入力して、[ログオン] をクリックします。 から [管理者としてログイン] を選択します。 Endpoint Security クライアント のすべての機能にアクセスできます。 ログオフするには、[アクション] 、 [管理者としてログオフ] の順に選択します。 クライアントのインターフェース モードが [標準アクセス] に戻ります。 McAfee Endpoint Security 10.1 製品ガイド 25 2 Endpoint Security クライアント の使用 Endpoint Security の管理 クライアント インターフェースのロックを解除する Endpoint Security クライアント のインターフェースがロックされた場合、管理者パスワードでインターフェース のロックを解除すると、すべての設定にアクセスできます。 開始する前に Endpoint Security クライアント のインターフェース モードを [クライアント インターフェースをロ ック] に設定する必要があります。 タスク 1 Endpoint Security クライアント を開きます。 2 [管理者としてログオン] ページで、[パスワード] フィールドに管理者のパスワードを入力し、[ログオン] をクリ ックします。 Endpoint Security クライアント が開き、クライアントのすべての機能にアクセスできます。 ログオフしてクライアントを終了するには、[アクション] メニュー から [管理者としてログ] を選択します。 機能を有効または無効にする 管理者は、Endpoint Security クライアント から Endpoint Security の機能を有効または無効にすることができま す。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 [ステータス] ページに、有効なモジュール機能が表示されますが、実際の状態が反映されているとは限りません。 機 能のステータスは、[設定] ページで確認できます。 たとえば、[ScriptScan を有効にする] の設定が正しく適用され ていない場合、ステータスは (ステータス: 無効) になります。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで、モジュール名 ([Threat Prevention]、[Firewall] など) をクリックします。 あるいは、[アクション] メニュー 3 から [設定] を選択し、[設定] ページでモジュール名をクリックします。 モジュールまたは機能の [有効] オプションを選択または選択解除します。 脅威対策 の任意の機能を有効にすると、脅威対策 モジュールが有効になります。 関連トピック: 25 ページの「管理者としてログオンする」 AMCore コンテンツのバージョンを変更する Endpoint Security クライアント を使用して、システムの AMCore コンテンツのバージョンを変更します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 26 McAfee Endpoint Security 10.1 製品ガイド 2 Endpoint Security クライアント の使用 Endpoint Security の管理 Endpoint Security は、現在読み込まれているコンテンツ ファイルと前の 2 つのバージョンを Program Files \Common Files\McAfee\Engine\content フォルダーに保存します。 必要であれば、前のバージョンに戻すことが できます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニューで、 3 読み込むバージョンをドロップダウンから選択します。 4 [適用] をクリックします。 [AMCore コンテンツのロールバック] を選択します。 読み込まれた AMCore コンテンツ ファイルの検出定義はすぐに有効になります。 関連トピック: 9 ページの「コンテンツ ファイルの機能」 25 ページの「管理者としてログオンする」 Extra.DAT ファイルを使用する Extra.DAT ファイルをインストールすると、次の AMCore コンテンツ更新がリリースされるまで、マルウェアの大 量発生からシステムを保護できます。 タスク • 28 ページの「Extra.DAT ファイルをダウンロードする」 Extra.DAT ファイルをダウンロードするには、McAfee Labs から提供されたダウンロード リンクをク リックします。 • 28 ページの「Extra.DAT ファイルを読み込む」 ダウンロードした Extra.DAT ファイルをインストールするには、Endpoint Security クライアント を 使用します。 関連トピック: 27 ページの「Extra.DAT ファイルについて」 Extra.DAT ファイルについて 新しいマルウェアが出現し、追加の検出定義が必要になると、McAfee Labs が Extra.DAT ファイルをリリースしま す。 Extra.DAT ファイルには、脅威対策 が新しいマルウェアを処理するために必要な情報が含まれています。 特定の脅威に対する Extra.DAT ファイルは、McAfee Labs Extra.DAT リクエスト ページからダウンロードできま す。 脅威対策 では、一度に 1 つの Extra.DAT ファイルしか使用できません。 Extra.DAT ファイルには有効期限が設定されています。 Extra.DAT ファイルが読み込まれると、この有効期限とシ ステムにインストールされている AMCore コンテンツの作成日が比較されます。 AMCore コンテンツの作成日が Extra.DAT の有効期限よりも新しい場合、Extra.DAT は期限切れと見なされ、システムに読み込まれません。 次の 更新で Extra.DAT がシステムから削除されます。 AMCore コンテンツの次の更新に Extra.DAT のシグネチャが含まれている場合、Extra.DAT が削除されます。 Endpoint Security は、Extra.DAT ファイルを c:\Program Files\Common Files\McAfee\Engine\content \avengine\extradat フォルダーに保存します。 McAfee Endpoint Security 10.1 製品ガイド 27 2 Endpoint Security クライアント の使用 Endpoint Security の管理 Extra.DAT ファイルをダウンロードする Extra.DAT ファイルをダウンロードするには、McAfee Labs から提供されたダウンロード リンクをクリックしま す。 タスク 1 ダウンロード リンクをクリックし、Extra.DAT ファイルの保存場所を指定して [保存] をクリックします。 2 必要であれば、EXTRA.ZIP ファイルを解凍します。 3 Endpoint Security クライアント で Extra.DAT ファイルを読み込みます。 Extra.DAT ファイルを読み込む ダウンロードした Extra.DAT ファイルをインストールするには、Endpoint Security クライアント を使用します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [参照] をクリックして、Extra.DAT ファイルをダウンロードした場所に移動し、[開く] をクリックします。 4 [適用] をクリックします。 から [Extra.DAT の読み込み] を選択します。 Extra.DAT の新しい検出定義がすぐに有効になります。 関連トピック: 25 ページの「管理者としてログオンする」 28 McAfee Endpoint Security 10.1 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 共通設定を行う Endpoint Security モジュールで、共通設定 のすべてのモジュールと機能に適用される設定を行います。 ここでは、 Endpoint Security クライアント インターフェースのセキュリティ、言語、ロギング、McAfee GTI のプロキシ サ ーバー、更新などを設定します。 タスク • 29 ページの「Endpoint Security リソースを保護する」 マルウェアが最初に行う攻撃の一つは、システムにインストールされているセキュリティ ソフトウェア の無効化です。 Endpoint Security のサービスとファイルが停止されたり、変更されないように、共通 設定 で Endpoint Security の自己保護を設定します。 • 30 ページの「ロギングを設定する」 共通設定 の設定で Endpoint Security ロギングを設定する • 30 ページの「証明書による認証を許可する」 証明書を使用すると、McAfee プロセス内でのコードの実行をベンダーに許可できます。 • 31 ページの「クライアント インターフェースのセキュリティを設定する」 共通設定 で、Endpoint Security クライアント のインターフェース パスワードと表示オプションを設 定します。 • 32 ページの「プロキシ サーバーを設定する McAfee GTI」 共通設定 の設定で、McAfee GTI のレピュテーションを取得するプロキシ サーバーのオプションを指定 します。 Endpoint Security リソースを保護する マルウェアが最初に行う攻撃の一つは、システムにインストールされているセキュリティ ソフトウェアの無効化で す。 Endpoint Security のサービスとファイルが停止されたり、変更されないように、共通設定 で Endpoint Security の自己保護を設定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 ユーザー、管理者、開発者、セキュリティ専門家がシステムの Endpoint Security 保護対策を無効にする必要はあり ません。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [自己保護] で、[自己保護] が有効であることを確認します。 McAfee Endpoint Security 10.1 から [設定] を選択します。 製品ガイド 29 2 Endpoint Security クライアント の使用 Endpoint Security の管理 5 6 以下の Endpoint Security リソースにアクションを指定します。 • [ファイルとフォルダー] - ユーザーが McAfee データベース、バイナリ、バイナリ、安全検索ファイル、設 定ファイルを変更できないようにします。 • [レジストリ] - ユーザーが McAfee レジストリの設定、COM コンポーネント、レジストリ値を使用した削 除を変更できないようにします。 • [プロセス] - McAfee プロセスを停止できないようにします。 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 25 ページの「管理者としてログオンする」 ロギングを設定する 共通設定 の設定で Endpoint Security ロギングを設定する 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 このページで [クライアント ロギング] を設定します。 5 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 から [設定] を選択します。 関連トピック: 23 ページの「ログ ファイルについて」 25 ページの「管理者としてログオンする」 証明書による認証を許可する 証明書を使用すると、McAfee プロセス内でのコードの実行をベンダーに許可できます。 プロセスが検出されると、証明書テーブルの ベンダー、サブジェクト、公開鍵 SHA-1 の情報が更新されます。 この設定を使用すると、互換性の問題が発生し、セキュリティ レベルが低下する可能性があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 30 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 McAfee Endpoint Security 10.1 から [設定] を選択します。 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 4 [証明書] セクションで、[許可] を選択します。 5 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 2 証明書の情報がテーブルに表示されます。 クライアント インターフェースのセキュリティを設定する 共通設定 で、Endpoint Security クライアント のインターフェース パスワードと表示オプションを設定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 次の設定を変更する場合には慎重に行ってください。ユーザーにセキュリティ設定の変更を許可すると、システムが無 防備になり、マルウェアの攻撃を受ける可能性があります。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [クライアント インターフェース モード] で設定を行います。 4 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 から [設定] を選択します。 関連トピック: 31 ページの「管理者パスワードを設定した場合の影響」 25 ページの「管理者としてログオンする」 管理者パスワードを設定した場合の影響 インターフェース モードを標準アクセスに設定した場合、管理者パスワードも設定する必要があります。 Endpoint Security クライアント で管理者パスワードを設定すると、以下のユーザーに影響を及ぼします。 McAfee Endpoint Security 10.1 製品ガイド 31 2 Endpoint Security クライアント の使用 Endpoint Security の管理 管理者以外 管理者以外のユーザーは次の操作を実行できます。 (管理者権限のない ユーザー) • 一部の設定パラメーターの表示 • スキャンの実行 • 更新を確認します (有効な場合)。 • 隔離領域を表示します。 • イベント ログを表示します。 • [設定] ページへのアクセス。ファイアウォール ルール (有効な場合) の表示と変更を実行 できます。 管理者以外のユーザーは次の操作を実行できません。 • 設定パラメーターの変更 • 設定を表示、作成、削除または変更します。 ただし、ファイアウォール ルール (有効な場合) の表示と変更は可能です。 管理者 (管理者権限のある ユーザー) 保護された領域にアクセスしたり、設定を変更する場合にパスワードの入力が必要になりま す。 プロキシ サーバーを設定する McAfee GTI 共通設定 の設定で、McAfee GTI のレピュテーションを取得するプロキシ サーバーのオプションを指定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 このページで、[McAfee GTI のプロキシ サーバー] を設定します。 5 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 から [設定] を選択します。 関連トピック: 32 ページの「McAfee GTI の機能」 25 ページの「管理者としてログオンする」 McAfee GTI の機能 オンアクセス スキャナーまたはオンデマンド スキャナーで McAfee GTI を有効にすると、スキャナーは不審なファ イルにヒューリスティック スキャンを実行します。 McAfee GTI サーバーには、Web 管理で使用するサイトの評価 とレポートが保存されます。 ダウンロード ファイルをスキャンするように Web 管理を設定すると、スキャナーは McAfee GTI から提供されるファイル レピュテーションを使用して不審なファイルを検出します。 スキャナーは、McAfee Labs がホスティングしている中央のデータベース サーバーにサンプルのフィンガープリン トまたはハッシュを送信し、マルウェアかどうかを判断します。 ハッシュを送信するので、McAfee Labs が次のコ ンテンツ ファイルで更新を公開する前に脅威を検出できる場合があります。 32 McAfee Endpoint Security 10.1 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 サンプルがマルウェアかどうか判断するときに McAfee GTI が使用する感度レベルを設定できます。 感度レベルを 高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増えると、誤検知も増える可能性があり ます。 脅威対策の場合、McAfee GTI のデフォルトの感度レベルは中に設定されています。 脅威対策の設定でスキ ャナーごとに感度レベルを設定します。 Web 管理の場合、McAfee GTI のデフォルトの感度レベルは非常に高に設 定されています。 Web 管理の [オプション] 設定で、ダウンロード ファイルのスキャンの感度レベルを設定します。 共通設定 設定で McAfee GTI レピュテーション情報を取得するときにプロキシ サーバーに接続するように Endpoint Security を設定できます。 更新の動作を設定する 共通設定の設定で、Endpoint Security クライアント から開始する更新の動作を指定します。 タスク • 33 ページの「から更新のソール サイトを設定する」 自社管理システムと McAfee ePO 管理対象システムの場合、共通設定で Endpoint Security クライア ントがセキュリティ ファイルの更新を取得するサイトを設定できます。 • 35 ページの「開始する更新のデフォルトの動作を設定する」 自社管理のシステムと McAfee ePO 管理システムの場合、共通設定の Endpoint Security クライアン トから開始する更新のデフォルトの動作を指定できます。 • 36 ページの「更新タスクとスケジュールを設定して実行する」 自社管理のシステムと McAfee ePO 管理システムの場合、カスタム更新タスクを設定できます。また、 [デフォルトのクライアント更新] タスクのスケジュールを変更することもできます。これらの操作は、 共通設定の Endpoint Security クライアント から行います。 • 38 ページの「ミラーリング タスクとスケジュールを設定して実行する」 Endpoint Security クライアント共通設定設定の で、ミラーリング タスクを変更したり、スケジュー ルを設定できます。 から更新のソール サイトを設定する 自社管理システムと McAfee ePO 管理対象システムの場合、共通設定で Endpoint Security クライアントがセキュ リティ ファイルの更新を取得するサイトを設定できます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 この設定は自社管理のシステムと McAfee ePO 管理対象システムにのみ設定できます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [共通設定] から [オプション] をクリックします。 McAfee Endpoint Security 10.1 から [設定] を選択します。 製品ガイド 33 2 Endpoint Security クライアント の使用 Endpoint Security の管理 5 このページで、[更新のソース サイト] を設定します。 デフォルトのバックアップ ソース サイト ([McAfeeHttp]) と管理サーバー (管理対象システムの場合) を有効ま たは無効にできますが、これらを変更したり、削除することはできません。 サイトの順序によって、Endpoint Security が更新サイトを検索する順番が決まります。 操作... 手順 リストにサイトを追加する。 1 [追加] をクリックします。 2 サイトの設定を指定して、[OK] をクリックします。 リストの先頭にサイトが表示されます。 既存のサイトを変更する。 1 サイト名をダブルクリックします。 2 設定を変更して、[OK] をクリックします。 サイトを削除する。 サイトを選択して、[削除] をクリックします。 ソース サイト リストからサイトを インポートする。 1 [インポート] をクリックします。 2 インポートするファイルを選択して、[OK] をクリックします。 サイト リスト ファイルが既存のソースサイト リストと置換されます。 ソース サイト リストを SiteList.xml ファイルにエクスポー トする。 1 [すべてエクスポート] をクリックします。 2 ソースサイト リストの保存先を選択して、[OK] をクリックします。 リスト内のサイトの順番を変更する。 要素を移動するには、次の手順に従います。 1 移動する要素を選択します。 移動可能な要素の左側にグリップ が表示されます。 2 ドラッグ アンド ドロップで要素を新し位置に移動します。 要素をドロップできる位置に青線が表示されます。 6 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 34 ページの「リポジトリ リストの内容」 36 ページの「デフォルトのクライアント更新 の機能」 25 ページの「管理者としてログオンする」 36 ページの「更新タスクとスケジュールを設定して実行する」 リポジトリ リストの内容 リポジトリ リストには、McAfee Agent が McAfee 製品 (エンジンと DAT ファイルを含む) の更新で使用するリポ ジトリの情報が表示されます。 リポジトリ リストには以下の情報が含まれます。 34 • リポジトリの情報および場所 • リポジトリの優先順位 • プロキシ サーバーの設定 (必要な場合) • 各リポジトリへのアクセスに必要な暗号化された資格情報 McAfee Endpoint Security 10.1 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 McAfee Agent 製品更新 クライアント タスクを実行すると、リポジトリ リストの中で最初に使用可能なリポジトリ (更新サイト) に接続します。 このリポジトリが使用不能な場合、リスト内の次のサイトに接続を試みます。この処 理は、接続に成功するかリストの最後に達するまで繰り返し実行されます。 ネットワークでプロキシ サーバーを使用している場合、使用するプロキシ設定、プロキシ サーバーのアドレス、お よび認証を使用するかどうかを指定できます。 プロキシ情報は、リポジトリ リストに保存されています。 ここで構 成するプロキシ設定は、リポジトリ リストにあるすべてのリポジトリに適用されます。 リポジトリ リストの場所はオペレーティング システムによって異なります。 オペレーティング システム リポジトリ リストの場所 Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml Microsoft Windows 7 以前のバージョン C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml 開始する更新のデフォルトの動作を設定する 自社管理のシステムと McAfee ePO 管理システムの場合、共通設定の Endpoint Security クライアントから開始す る更新のデフォルトの動作を指定できます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 この設定は自社管理のシステムと McAfee ePO 管理対象システムにのみ設定できます。 次の設定を使用します。 • ボタンを表示または非表示にする。 クライアントの • ユーザーがボタンをクリックした場合またはデフォルトのクライアント更新タスクの実行時に更新する対象を指 定する。 デフォルトでは、デフォルトのクライアント更新タスクは毎日午前 1 時に実行されます。 さらに、午後 11 時 59 分まで 4 時間ごとに実行されます。スケジュールの変更方法については、更新タスクとスケジュールを設定して実行 する36 ページの「」を参照してください。 自社管理システムの場合、デフォルトのクライアント更新タスクを実行すると、すべてのコンテンツとソフトウェアが 更新されます。 管理対象システムの場合、このタスクで更新されるのはコンテンツだけです。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 このページで [デフォルトのクライアント更新] を設定します。 5 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 McAfee Endpoint Security 10.1 から [設定] を選択します。 製品ガイド 35 2 Endpoint Security クライアント の使用 Endpoint Security の管理 関連トピック: 25 ページの「管理者としてログオンする」 33 ページの「から更新のソール サイトを設定する」 36 ページの「更新タスクとスケジュールを設定して実行する」 デフォルトのクライアント更新 の機能 デフォルトのクライアント更新 タスクは、最新の保護対策を Endpoint Security クライアント にダウンロードしま す。 デフォルトでは、Endpoint Security のデフォルトのクライアント更新タスクは毎日午前 1 時に実行されます。 さ らに、午後 11 時 59 分まで 4 時間ごとに実行されます。 デフォルトのクライアント更新 タスク: 1 リスト内で最初に見つかった有効なソース サイトに接続します。 このサイトが使用できない場合、次のサイトに接続します。この操作は、接続に成功するか、リストの最後に達 するまで実行されます。 2 暗号化された CATALOG.Z ファイルをリポジトリからダウンロードします。 このファイルには、更新の実行に必要な情報 (使用可能なファイルや更新など) が含まれています。 3 ファイル内のソフトウェア バージョンとコンピューターのバージョンを比較し、使用可能な新しいソフトウェア 更新をダウンロードします。 デフォルトのクライアント更新 タスクが途中で中断した場合: 更新元... 割り込みが発生した場合... HTTP、UNC またはローカル サイト 次に更新タスクが開始すると、中断した場所から更新が再開し ます。 FTP ファイル (単一ファイルをダウンロードする 場合) 中断した場合には再開しません。 FTP ファイル (複数のファイルをダウンロードす る場合) 中断したときにダウンロード中のファイルの前から再開しま す。 関連トピック: 33 ページの「から更新のソール サイトを設定する」 36 ページの「更新タスクとスケジュールを設定して実行する」 34 ページの「リポジトリ リストの内容」 更新タスクとスケジュールを設定して実行する 自社管理のシステムと McAfee ePO 管理システムの場合、カスタム更新タスクを設定できます。また、[デフォルト のクライアント更新] タスクのスケジュールを変更することもできます。これらの操作は、共通設定の Endpoint Security クライアント から行います。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 この設定は自社管理のシステムと McAfee ePO 管理対象システムにのみ設定できます。 クライアントで次の設定を使用して、[デフォルトのクライアント更新] タスクを実行する時間を設定します。 Endpoint Security クライアントから開始するクライアント更新のデフォルトの動作を設定する方法については、開 始する更新のデフォルトの動作を設定する 35 ページの「」を参照してください。 36 McAfee Endpoint Security 10.1 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [共通設定] から [タスク] をクリックします。 5 このページで更新タスクを設定します。 から [設定] を選択します。 操作... 手順 カスタム更新タスク を作成する。 1 [追加] をクリックします。 2 名前を入力して、[タスクの種類の選択] ドロップダウン リストから [更新] を選択し ます。 3 設定を行って [OK] をクリックし、タスクを保存します。 更新タスクを変更す る。 • タスクをダブルクリックして変更を行い、[OK] をクリックしてタスクを保存します。 カスタム更新タスク を削除する。 • タスクを選択して、[削除] をクリックします。 更新タスクのコピー を作成する。 1 タスクを選択して、[複製] をクリックします。 2 名前を入力して設定を行い、[OK] をクリックしてタスクを保存します。 [デフォルトのクライ 1 [デフォルトのクライアント更新]をダブルクリックします。 アント更新]タスクの スケジュールを変更 2 [スケジュール] タブをクリックしてスケジュールを変更し、[OK] をクリックしてタ する。 スクを保存します。 Endpoint Security クライアントから開始するクライアント更新のデフォルトの動作を 設定する方法については、開始する更新のデフォルトの動作を設定する 35 ページの「」 を参照してください。 更新タスクを実行す る。 • タスクを選択して、[今すぐ実行] をクリックします。 タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わります。 変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロンプ トを表示し、設定を保存するかどうか確認します。 6 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 36 ページの「デフォルトのクライアント更新 の機能」 33 ページの「から更新のソール サイトを設定する」 McAfee Endpoint Security 10.1 製品ガイド 37 2 Endpoint Security クライアント の使用 Endpoint Security の管理 ミラーリング タスクとスケジュールを設定して実行する Endpoint Security クライアント共通設定設定の で、ミラーリング タスクを変更したり、スケジュールを設定でき ます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [共通設定] から [タスク] をクリックします。 5 このページでミラーリング タスクを設定します。 から [設定] を選択します。 操作... 手順 ミラーリング タスクを 作成する。 1 [追加] をクリックします。 2 名前を入力して、[タスクの種類の選択] ドロップダウン リストから [ミラーリン グ] を選択します。 3 設定を行い、[OK] をクリックします。 ミラーリング タスクを 変更する。 • ミラーリング タスクをダブルクリックして変更を行い、[OK] をクリックします。 ミラーリング タスクを 削除する。 • タスクを選択して、[削除] をクリックします。 ミラーリング タスクの コピーを作成する。 1 タスクを選択して、[複製] をクリックします。 ミラーリング タスクの スケジュールを設定す る。 1 タスクをダブルクリックします。 ミラーリング タスクを 実行する。 • タスクを選択して、[今すぐ実行] をクリックします。 2 名前を入力して設定を行い、[OK] をクリックします。 2 [スケジュール] タブをクリックしてスケジュールを変更し、[OK] をクリックして タスクを保存します。 タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わりま す。 変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロン プトを表示し、設定を保存するかどうか確認します。 6 38 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 McAfee Endpoint Security 10.1 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 ミラーリング タスクの機能 ミラーリング タスクを実行すると、リポジトリ リストに定義されたダウンロード リポジトリの中で最初にアクセス 可能なサイトから、ネットワーク上のミラーリング サイトに更新ファイルが複製されます。 通常、このタスクを使用するのは、McAfee ダウンロード サイトのコンテンツをローカル サーバーにミラーリング する場合です。 更新ファイルが格納されている McAfee サイトを複製すると、ネットワーク上のコンピューターはこのミラーリング サイトからファイルをダウンロードできます。 これにより、インターネットにアクセス可能かどうかに関わらず、ネ ットワーク上のコンピューターを更新できます。 複製サイトを使用すると、McAfee のインターネット サイトより も近くにあるサーバーに接続するので、アクセス時間とダウンロード時間を短縮できます。 脅威対策は更新ディレクトリに依存します。 サイトをミラーリングする場合は、ディレクトリ構造全体を複製してく ださい。 McAfee Endpoint Security 10.1 製品ガイド 39 2 Endpoint Security クライアント の使用 Endpoint Security の管理 40 McAfee Endpoint Security 10.1 製品ガイド 3 脅威対策 の使用 脅威対策 は、コンピューターをスキャンし、ウイルス、スパイウェア、不審なプログラムなどの脅威を検出します。 目次 マルウェアをスキャンする 脅威検出を管理する 隔離項目を管理する 脅威対策 の管理 マルウェアをスキャンする コンピューターでマルウェアをスキャンするには、Endpoint Security クライアント または Windows エクスプロ ーラーでオプションを選択します。 タスク • 42 ページの「フル スキャンまたはクイック スキャンを実行する」 Endpoint Security クライアント では、コンピューターでフル スキャンまたはクイック スキャンを手 動で実行できます。 • 44 ページの「ファイルまたはフォルダーをスキャンする」 感染が疑われるファイルやフォルダーを Windows エクスプローラーで右クリックすると、すぐにスキ ャンを実行できます。 関連トピック: 41 ページの「スキャンの種類」 スキャンの種類 Endpoint Security は、オンアクセス スキャンとオンデマンド スキャンの 2 種類のスキャンを実行します。 • オンアクセス スキャン - 管理者は、管理対象のコンピューターでオンアクセス スキャンが実行されるように設 定できます。 自社管理のコンピューターの場合、[設定] ページでオンアクセス スキャナーを設定します。 ファイル、フォルダー、プログラムにアクセスすると、オンアクセス スキャナーがこれらの操作を中断し、設定 で定義した基準に従ってスキャンを実行します。 • オンデマンド スキャン McAfee Endpoint Security 10.1 製品ガイド 41 3 脅威対策 の使用 マルウェアをスキャンする 手 動 管理者 (または自社管理システムのユーザー) は、ユーザーが管理対象コンピューターで実行できるオンデ マンド スキャン (事前定義またはカスタム) を設定します。 • Endpoint Security クライアント で をクリックし、スキャンの種類を選択 すると、事前定義のオンデマンド スキャンをいつでも実行できます。 [クイック スキャン] を選択すると、システムで最も感染しやすい領域がすばやく検査されます。 [フル スキャン] を実行すると、システム全体に徹底したスキャンが実行されます。コンピューターの感 染が疑われる場合には、このスキャンを実行してください。 • Windows エクスプローラーでファイルまたはフォルダーを右クリックして、ポップアップ メニューか ら [脅威のスキャン] を選択すると、該当するファイルまたはフォルダーをいつでもスキャンできます。 • 管理者として Endpoint Security クライアント からカスタム オンデマンド スキャンを設定して実行 します。 1 [設定] 、 [共通設定] 、 [タスク] の順に選択します。 2 実行するタスクを選択します。 3 [今すぐ実行] をクリックします。 ス ケ ジ ュ ー ル 管理者 (または自社管理システムのユーザー) は、ユーザーがコンピューターで実行できるオンデマンド スキャンのスケジュールを設定できます。 スケジュール スキャンを開始する前に、Endpoint Security が画面下部にプロンプトを表示します。 ス キャンをすぐに開始することも、延期することもできます (設定されている場合)。 事前定義のオンデマンド スキャン (クイック スキャン と フル スキャン) にスケジュールを設定するに は、次の手順に従います。 1 [設定] 、 [オンデマンド スキャン] 、 [フル スキャン] の順に移動するか、[クイック スキャン] に移 動して、オンデマンド スキャンを設定します。 2 [設定] 、 [共通] 、 [タスク] の順に選択します。 関連トピック: 72 ページの「スキャン タスクとスケジュールを設定して実行する」 19 ページの「スキャン プロンプトに応答する」 フル スキャンまたはクイック スキャンを実行する Endpoint Security クライアント では、コンピューターでフル スキャンまたはクイック スキャンを手動で実行でき ます。 開始する前に 脅威対策 モジュールをインストールする必要があります。 設定によって [フル スキャン] と [クイック スキャン] の動作が変わります。 管理者の認証情報があれば、[オンデ マンド スキャン] の設定を変更したり、スケジュールを設定できます。 42 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 マルウェアをスキャンする 3 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 をクリックします。 3 [システムのスキャン] ページで、実行するスキャンの [今すぐスキャン] をクリックします。 [フル スキャン] システムのすべての領域を徹底的に検査します (コンピューターで感染が疑われる場合に 推奨)。 [クイック スキャン] システムで最も感染しやすい領域をすばやく検査します。 スキャンを開始すると、[今すぐスキャン] ボタンが [スキャン結果の表示] に変わります。 オンアクセス スキャンの場合、設定によっては脅威検出時に [検出結果の表示] ボタンが表示されます。 このボタ ンをクリックすると、[オンアクセス スキャン] ページが開き、検出結果を管理することができます。 脅威検出を 管理する45 ページの「」を参照してください。 Endpoint Security クライアント では、新しいページにスキャンの状況が表示されます。 AMCore コンテンツ作成日 は、コンテンツが最後に更新された日時を表します。 McAfee では、コンテンツ作成 日から 3 日以上経過している場合には、スキャンの実行前に保護対策を更新することをお勧めします。 4 5 ステータス ページの上部にあるボタンをクリックして、スキャンを制御します。 [スキャンを一時停止] スキャンを一時停止します。 [スキャンを再開] 一時停止したスキャンを再開します。 [スキャンをキャンセル] 実行中のスキャンをキャンセルします。 スキャンが完了すると、スキャンされたファイル数、経過時間、検出項目が表示されます。 [検出名] 検出したマルウェアの名前が表示されます。 [種類] 脅威の種類が表示されます。 [ファイル] 感染ファイルの名前が表示されます。 [アクション] 感染ファイルに対する前回のアクションが表示されます。 • [アクセス拒否] • [駆除] • [削除] • [なし] 次のオンデマンド スキャンが開始すると、オンデマンド スキャンの検出リストがクリアされます。 6 テーブルから検出項目を選択します。感染ファイルを駆除するには [駆除] を選択します。感染ファイルを削除 するには [削除] をクリックします。 脅威の種類とスキャンの設定によって、アクションが使用できない場合があります。 7 [閉じる] をクリックして、ページを終了します。 McAfee Endpoint Security 10.1 製品ガイド 43 3 脅威対策 の使用 マルウェアをスキャンする 関連トピック: 41 ページの「スキャンの種類」 47 ページの「検出名」 21 ページの「セキュリティ対策とソフトウェアを手動で更新する」 45 ページの「脅威検出を管理する」 68 ページの「オンデマンド スキャン を設定する」 72 ページの「スキャン タスクとスケジュールを設定して実行する」 ファイルまたはフォルダーをスキャンする 感染が疑われるファイルやフォルダーを Windows エクスプローラーで右クリックすると、すぐにスキャンを実行で きます。 開始する前に 脅威対策 モジュールをインストールする必要があります。 設定によって [右クリック スキャン] の動作が変わります。 管理者の認証情報があれば、[オンデマンド スキャン] の設定でスキャンを変更できます。 タスク 1 Windows エクスプローラーで、スキャンするファイルまたはフォルダーを右クリックし、ポップアップ メニュ ーから [脅威をスキャン] を選択します。 Endpoint Security クライアント では、[脅威をスキャン] ページにスキャンの状況が表示されます。 2 3 ページの上部にあるボタンをクリックして、スキャンを制御します。 [スキャンを一時停止] スキャンを一時停止します。 [スキャンを再開] 一時停止したスキャンを再開します。 [スキャンをキャンセル] 実行中のスキャンをキャンセルします。 スキャンが完了すると、スキャンされたファイル数、経過時間、検出項目が表示されます。 [検出名] 検出したマルウェアの名前が表示されます。 [種類] 脅威の種類が表示されます。 [ファイル] 感染ファイルの名前が表示されます。 [アクション] 感染ファイルに対する前回のアクションが表示されます。 • [アクセス拒否] • [駆除] • [削除] • [なし] 次のオンデマンド スキャンが開始すると、オンデマンド スキャンの検出リストがクリアされます。 4 テーブルから検出項目を選択します。感染ファイルを駆除するには [駆除] を選択します。感染ファイルを削除 するには [削除] をクリックします。 脅威の種類とスキャンの設定によって、アクションが使用できない場合があります。 5 44 [閉じる] をクリックして、ページを終了します。 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威検出を管理する 3 関連トピック: 41 ページの「スキャンの種類」 68 ページの「オンデマンド スキャン を設定する」 47 ページの「検出名」 脅威検出を管理する 設定によっては、Endpoint Security クライアント で脅威検出を管理できます。 開始する前に 脅威対策 モジュールをインストールする必要があります。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [今すぐスキャン] をクリックして [システムのスキャン] ページを表示します。 3 [オンアクセス スキャン] から [検出結果の表示] をクリックします。 リストに検出結果がない場合またはユーザーのメッセージ オプションが無効になっている場合、このオプションは 使用できません。 Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされ ます。 4 [オンアクセス スキャン] ページで、次のいずれかのオプションを選択します。 [駆除] 項目 (ファイル、レジストリ項目) から脅威を駆除し、隔離領域に移動します。 Endpoint Security は、コンテンツ ファイルの情報を使用してファイルを駆除します。 コンテン ツ ファイルに駆除ツールが記述されていない場合やファイルが破損していて修復できない場合、 スキャナーはファイルへのアクセスを拒否します。 McAfee では、隔離領域からファイルを削除 し、安全なバックアップ コピーから復元することをお勧めします。 [削除] 脅威を含む項目を削除します。 [項目の削除] 検出リストから項目を削除します。 [閉じる] スキャン ページを閉じます。 脅威に実行できないアクションのオプションは表示されません。 たとえば、ファイルがすでに削除されている場 合、[駆除] は使用できません。 Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされ ます。 McAfee Endpoint Security 10.1 製品ガイド 45 3 脅威対策 の使用 隔離項目を管理する 隔離項目を管理する Endpoint Security は、脅威を検出した項目を隔離領域に保存します。 隔離項目に対してアクションを実行できま す。 開始する前に 脅威対策 モジュールをインストールする必要があります。 駆除に必要な情報を含む最新のコンテンツをダウンロードした後で、隔離項目を復元することもできます。 隔離領域には様々なオブジェクトが隔離されます。たとえば、ファイル、レジストリの項目、Endpoint Security がマ ルウェアと認識した項目が含まれます。 タスク ヘルプを利用するには、[アクション] メニュー から [ヘルプ] を選択します。 1 Endpoint Security クライアント を開きます。 2 ページの左側にある [隔離] をクリックします。 隔離された項目が表示されます。 Endpoint Security クライアント が Quarantine Manager に接続できない場合、通信エラー メッセージが表示 されます。 この場合、システムを再起動して [隔離] ページを表示してください。 46 McAfee Endpoint Security 10.1 製品ガイド 3 脅威対策 の使用 隔離項目を管理する 3 4 上部ペインから項目を選択すると、下部ペインに詳細が表示されます。 操作... 操作 ペインの相対サイズを変更する。 ペインの境界にあるサッシュ ウィジェットをクリックして ドラッグします。 テーブルの項目を脅威名またはタイプでソート する。 テーブルの列見出しをクリックします。 [隔離] ページで、選択した項目にアクションを実行します。 操作... 手順 隔離領域から項目 項目を選択して [削除] をクリックします。確認のため、[削除] をもう一度クリックしま を削除する。 す。 削除された項目は復元できません。 隔離領域から項目 項目を選択して [復元] をクリックします。確認のため、[復元] をもう一度クリックしま を復元する。 す。 Endpoint Security は、項目を元の場所に復元し、隔離領域から削除します。 項目にまだ脅威が存在している場合、この項目が次にアクセスされたときに Endpoint Security が項目を隔離領域に戻します。 項目を再スキャン 項目を選択して、[再スキャン] をクリックします。 する。 たとえば、保護対策の更新後に項目の再スキャンを実行します。 項目に脅威が存在しない 場合、項目を元の場所に復元し、隔離領域から削除できます。 イベント ログに 項目を選択し、詳細ペインで [イベント ログを表示する] リンクをクリックします。 項目を表示する。 [イベント ログ] ページが開き、選択した項目に関連するイベントが強調表示されます。 脅威に関する詳細 項目を選択し、詳細ペインで [この脅威の詳細を見る] リンクをクリックします。 情報を入手する。 McAfee Labs の Web サイトが新しいブラウザー ウィンドウで開き、隔離の原因となった 脅威の詳細が表示されます。 関連トピック: 47 48 17 21 ページの「検出名」 ページの「隔離項目の再スキャン」 ページの「Endpoint Security クライアント を開く」 ページの「セキュリティ対策とソフトウェアを手動で更新する」 検出名 隔離レポートは脅威を検出名で報告します。 検出名 説明 アドウ ェア ユーザーを対象とした広告を表示します。 アドウェアの利用者は、ベンダーまたはベンダーのパートナ ーから報酬を得ています。 アドウェアの中には個人情報を収集したり、転送するものがあります。 ダイヤ ラー ユーザーのデフォルトの ISP 以外の相手にインターネット接続をリダイレクトします。 ダイヤラーは、 コンテンツ プロバイダーやベンダーなどの接続料金を増やすために使用されます。 ジョー ク プロ グラム コンピューターを攻撃すると脅かすプログラム。実際には不正なペイロードを送信したり、使用すること はありません。 ジョーク プログラムは、セキュリティやプライバシーを侵害するものではありませんが、 迷惑な存在です。 キーロ ガー ユーザーが入力するデータを傍受し、アプリケーションが受信する前に取得します。 キーロガーの機能 は、トロイの木馬でも不審なプログラムでも変わりません。 McAfee ソフトウェアは、両方のタイプを検 出し、プライバシー侵害を防ぎます。 McAfee Endpoint Security 10.1 製品ガイド 47 3 脅威対策 の使用 隔離項目を管理する 検出名 説明 パスワ ード ク ラッカ ー パスワードを紛失したり、忘れた場合、このツールを使用するとアカウントまたはデータ ファイルから パスワードを復元できます。 攻撃者に悪用されると、機密情報が不正にアクセスされ、セキュリティと プライバシーが侵害される可能性があります。 不審な プログ ラム マルウェアでない正規のソフトウェアも含まれます。システムのセキュリティ状態やプライバシーの保 護状況を変更する可能性があります。 このソフトウェアは、ユーザーがインストールする他のプログラ ムの一緒にダウンロードされる場合があります。 スパイウェア、アドウェア、キーロガー、パスワード クラッカー、ハッキング ツール、ダイヤラーなどが含まれている可能性があります。 リモー ト管理 ツール システムをリモートから管理できます。 攻撃者に悪用されると、大きなセキュリティ脅威となります。 スパイ ウェア ユーザーの許可なく、あるいはユーザーに気付かれずに個人情報を第三者に送信します。 スパイウェア は、次の方法でコンピューターを攻撃し、金銭的な収益を獲得します。 • 未請求のポップアップ広告を表示する • クレジットカードなどの財務情報を含む個人情報を盗み出す。 • マーケティング目的で Web の閲覧状況を監視する。 • HTTP 要求を広告サイトにルーティングする。 「不審なプログラム」と比較してください。 ステル ス型 ウイルス対策ソフトウェアによる検出を回避しようとするウイルスの一種。 割り込み傍受ともいいます。 多くのステルス型ウイルスは、ディスク アクセス要求を傍受します。 ウイルス対策がウイルスを検出す るためにファイルまたはブートセクターの読み込みを試みると、このウイルスは要求された項目の正常な 画像を表示します。 感染ファイルの実際のサイズを隠し、感染前のファイル サイズを表示するウイルス もあります。 トロイ の木馬 正規のアプリケーションを装う不正なプログラムです。 トロイの木馬は自身を複製しませんが、コンピ ューターに被害を及ぼしたり、セキュリティを侵害します。 次のような場合にコンピューターに感染します。 • ユーザーが電子メールに添付されたトロイの木馬を開いた場合。 • ユーザーが Web サイトからトロイの木馬をダウンロードした場合。 • ピアツーピア ネットワーク。 トロイの木馬は自己複製を行わないため、ウイルスとは見なされません。 ウイル ス ディスクまたは他のファイルに付着し、ユーザーに気付かれずに自己複製を繰り返します。 一部のウイルスはファイルに感染します。感染したファイルを実行すると、ウイルスも実行されます。 コンピューターのメモリーに常駐するウイルスも存在します。このウイルスは、コンピューターでファイ ルのオープン、変更、作成が実行されるとファイルに感染します。 感染の兆候を示すものも、ファイル やコンピューター システムを破壊するものもあります。 隔離項目の再スキャン 隔離項目を再度スキャンする場合、Endpoint Security は最大限の保護に必要なスキャン設定を使用します。 隔離項目は、復元前に必ず再スキャンしてください。 たとえば、保護対策の更新後に項目の再スキャンを実行します。 項目に脅威が存在しない場合、項目を元の場所に復元し、隔離領域から削除できます。 脅威を最初に検出してから再スキャンを実行するまでに、スキャン条件が変わり、隔離項目の検出に影響を及ぼす可 能性があります。 48 McAfee Endpoint Security 10.1 製品ガイド 3 脅威対策 の使用 脅威対策 の管理 隔離項目を再スキャンすると、Endpoint Security は常に次の操作を実行します。 • MIME 形式のファイルをスキャンする。 • 圧縮されたアーカイブ ファイルをスキャンする。 • 項目に McAfee GTI 検索を強制的に実行します。 • McAfee GTI の感度レベルを [非常に高] に設定します。 スキャン設定を使用しても、隔離項目の再スキャンが失敗し、脅威が検出できない場合があります。 たとえば、項目 のメタデータ (パスやレジストリの場所など) が変更された場合、項目が感染していなくても、再スキャンを実行する と誤検知が発生します。 脅威対策 の管理 管理者は、脅威対策 の設定を指定し、スキャンの設定を行って脅威を阻止できます。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 除外対象の設定 脅威対策 では、除外対象を指定して保護機能を調整することができます。 たとえば、データベースやサーバーが使用しているファイルをスキャナーがロックしないように、特定のタイプのフ ァイルを除外します。 このようなファイルがロックされると、データベースやサーバーで障害やエラーが発生する可 能性があります。 Windows でフォルダーを除外するには、パスの最後にバックスラッシュ (\) を付けてください。 Mac でフォルダー を除外するには、パスの最後にスラッシュ (\) を付けてください。 機能... 除外対象 設定場所 除外条件 ワイルドカ ードの使用 アクセス保護 プロセス (すべてのルー [アクセス保護]の 実行ファイルのファイル名 はい - ファ またはパス、MD5 ハッシュ イル名とパ ルまたは特定のルール) 設定 あるいは署名者。 ス いいえ - MD5 ハッシ ュと署名者 エクスプロイト防止 プロセス [エクスプロイト 防止]の設定 すべてスキャン 検出名 [オプション]設定 検出名 (大文字と小文字を 区別) オンアクセス スキャン • [デフォルト] • [危険度高] プロセス名、呼び出し側の モジュールまたは API。 いいえ はい 不審なプログラム 名前 はい ファイル、ファイルの種 [オンアクセス ス 類、フォルダー キャン]の設定 ファイル名またはフォルダ ー、ファイルの種類、ファ イルの経過時間 はい ScriptScan の URL URL 名 いいえ • [危険度低] McAfee Endpoint Security 10.1 製品ガイド 49 3 脅威対策 の使用 脅威対策 の管理 機能... 除外対象 オンデマンド スキャン ファイル、フォルダー、 [オンデマンド ス ドライブ キャン]設定 • [クイック スキャン] 設定場所 除外条件 ワイルドカ ードの使用 ファイル名またはフォルダ ー、ファイルの種類、ファ イルの経過時間 はい ファイル、フォルダー、 [共通設定] 、 [タ ファイル名またはフォルダ ドライブ スク] 、[タスクの ー、ファイルの種類、ファ 追加] 、[カスタム イルの経過時間 スキャン] はい • [フル スキャン] • [右クリック スキャン] カスタム オンデマンド スキャン 関連トピック: 50 ページの「除外対象でのワイルドカードの使用」 除外対象でのワイルドカードの使用 ファイル、フォルダー、検出名、不審なプログラムの除外対象を指定するときに、ワイルドカードを使用できます。 表 3-1 有効なワイルドカード ワイルドカー ド文字 名前 意味 ? 疑問符 1 文字を表します。 このワイルドカードは、文字数がファイル名またはフォルダー名の長さに一致 した場合にのみ適用されます。 例: W?? と指定すると、WWW は除外されま すが、WW や WWWW は除外されません。 * アスタリスク 複数の文字を表します。ただし、バックスラッシュ (\) は除きます。 ** 二重アスタリス ク 0 個以上の文字を表します。バックスラッシュ (\) も含みます。 このワイルドカードは、ゼロまたは複数の文字に一致します。 C:\ABC\** \XYZ は、C:\ABC\DEF\XYZ や C:\ABC\XYZ に一致します。 ワイルドカードは、パスのバックスラッシュ (\) の前で使用できます。 例: C:\ABC\*\XYZ は C:\ABC\DEF\XYZ と 一致します。 ルート レベルの除外対象 脅威対策でルート レベルの除外対象を指定する場合には、絶対パスを使用する必要があります。 先頭にワイルドカ ード (\、?:\) を使用しても、ルート レベルのドライブ名には一致しません。 この動作は、VirusScan Enterprise と異なります。 KnowledgeBase の記事 KB85746 と『McAfee Endpoint Security 移行ガイド』を参照してください。 脅威対策でルート レベルの除外対象を指定するときに、先頭に **\ ワイルドカードを使用すると、ドライブとサブ フォルダーに一致します。 たとえば、**\test は次のパスと一致します。 C:\test D:\test C:\temp\test D:\foo\test 50 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 システムのアクセス ポイントの保護 マルウェアに対する最初の防御線となるのがクライアント システムのアクセス ポイントです。 アクセス保護は、指 定されたファイル、共有、レジストリのキーと値へのアクセスを制限し、コンピューターに対する不要な変更を阻止 します。 アクセス保護は、McAfee 定義ルールとユーザー定義ルール (カスタム ルール) の両方を使用して、項目に対するア クセスを報告またはブロックします。 アクセス保護は、要求されたアクションとルールのリストを比較し、ルールに 従って処理を実行します。 ファイル、共有、レジストリのキーと値に対するアクセスを検出するには、アクセス保護を有効にする必要がありま す。 アクセス保護は、デフォルトで有効になっています。 脅威の侵入方法 脅威は、様々なアクセス ポイントを使用してシステムへのアクセスを試みます。 アクセス ポイント 説明 マクロ ワープロ文書や表計算アプリケーションの一部として 実行ファイル 安全に見えるプログラムでも、正規のプログラム以外にウイルスが潜んでいる可能性がありま す。一般的な拡張子としては、.EXE、.COM、.VBS、.BAT、.HLP、.DLL などがあります。 スクリプト Web ページや電子メールで実行が許可されている場合、ActiveX や JavaScript などのスクリ プトにウイルスが感染している場合があります。 インターネット リ これらのメッセージと一緒に送信されるファイルにはマルウェアを簡単に組み込むことができ ます。たとえば、自動開始プロセスにワームやトロイの木馬が潜んでいる可能性があります。 レー チャット (IRC) メッセージ ブラウザーとアプ リケーションのヘ ルプ ファイル これらのヘルプ ファイルをダウンロードすると、これらのファイルに埋め込まれたウイルスや 実行ファイルによってシステムが攻撃される危険性があります。 Email Jokes, games, and images as part of email messages with attachments. これらのアクセス ポイントの組み合 わせ 巧妙なマルウェアの作成者は、これらすべての手段を組み合わせて、マルウェアを別のマルウ ェアに埋め込んで、管理対象のコンピューターにアクセスを試みます。 アクセス保護が脅威を阻止する方法 アクセス保護は、McAfee 定義とユーザー定義の保護ルールに従ってアクションを管理し、潜在的な脅威を阻止しま す。 脅威対策 は、基本的なプロセスに従い、アクセス保護を提供します。 脅威の検出時 ユーザーまたはプロセスが処理を行った場合: 1 アクセス保護は、定義済みのルールに従ってアクションを検査します。 2 アクションがルールに違反している場合、アクセス保護は設定済みのルールの情報に従ってアクションを管理し ます。 3 アクセス保護はログ ファイルを更新し、イベントを生成して管理サーバーに送信します (サーバーで管理されて いる場合)。 McAfee Endpoint Security 10.1 製品ガイド 51 3 脅威対策 の使用 脅威対策 の管理 アクセス脅威の例 1 ユーザーが、マルウェアでない正規のプログラム (MyProgram.exe) をインターネットからダウンロードしま す。 2 ユーザーが MyProgram.exe を起動します。プログラムは正常に起動しれたように見えます。 3 MyProgram.exe が AnnoyMe.exe という子プロセスを実行します。 4 自身が起動時に常に読み込まれるように、AnnoyMe.exe がオペレーティング システムを変更しようとします。 5 アクセス保護が要求を処理し、既存のブロック/レポート ルールとアクションを比較します。 6 アクセス保護が AnnoyMe.exe によるオペレーティング システムの変更を防止して詳細をログに記録します。 また、アクセス保護はアラートを生成して、管理サーバーに送信します。 アクセス保護ルールについて アクセス保護ルールを使用して、システムのアクセス ポイントを保護します。 ルール タイプ パラメーター McAfee 定義ル ール • このルールは、使用頻度の高いファイルや設定の変更を防止します。 ユーザー定義ル ール • このルールは、McAfee 定義ルールで提供される保護機能を補います。 • McAfee 定義ルールを有効または無効にしたり、変更することはできますが、削除することは できません。 • 実行ファイルのテーブルに何も指定しないと、すべての実行ファイルが対象になります。 • これらのルールを追加して有効にしたり、無効にして削除することができます。また、ルール の設定を変更することもできます。 除外対象 ルール レベルで、指定したルールに除外対象と追加対象が適用されます。 ポリシー レベルで、すべてのルールに除 外対象が適用されます。 除外対象はオプションです。 McAfee 定義のアクセス保護ルールを設定する McAfee 定義ルールは、使用頻度の高いファイルや設定の変更を防止します。 ブロックと報告の設定を変更したり、 除外または追加する実行ファイルを追加できますが、これらのルールは削除できません。また、このルールで保護さ れているファイルと設定も変更できません。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 McAfee 定義ルールにはサブルールを追加できません。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Threat Prevention] をクリックします。 あるいは、[アクション] メニュー します。 52 McAfee Endpoint Security 10.1 から [設定] を選択し、[設定] ページで [Threat Prevention] をクリック 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 [詳細を表示] をクリックします。 4 [アクセス保護] をクリックします。 5 アクセス保護が有効になっていることを確認します。 3 アクセス保護は、デフォルトで有効になっています。 6 次の手順でルールを変更します。 a [ルール] セクションで、ルールに [ブロック]、[報告] またはその両方を選択します。 すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 [ブロック] も [報告] も選択されていない場合、ルールは無効になります。 b 編集する McAfee 定義ルールをダブルクリックします。 c [McAfee 定義ルールの編集] ページで設定を行います。 d [実行ファイル] セクションで [追加] をクリックし、[保存] を 2 回クリックしてルールを保存します。 関連トピック: 53 ページの「McAfee 定義ルール」 25 ページの「管理者としてログオンする」 McAfee 定義ルール McAfee 定義ルールを使用して、コンピューターを未承認の変更から保護します。 表 3-2 McAfee 定義ルール 説明 [登録済み拡張子の変更] ファイルの拡張子が登録されている HKEY_CLASSES_ROOT のレジストリ キーを保護 します。 このルールはマルウェアによる登録済み拡張子の改ざんを防ぎます。マルウェアは、拡張 子の登録を改ざんすることで検出を回避しようとします。 レジストリの拡張子登録を変更する正規のアプリケーションをインストールする場合に は、このルールを無効にしてください。 このルールは [EXE またはその他の実行ファイルの乗っ取り] と同等ですが、制限は厳し くなります。 [ユーザー権限ポリシー の変更] [Program Files フォル ダーでの新しい実行フ ァイルの作成] Windows のセキュリティ情報が保存されているレジストリ値を保護します。 ワームが管理者権限のあるアカウントを変更できないようにします。 Program Files フォルダーで新しい実行ファイルの作成を禁止します。 このルールにより、アドウェアやスパイウェアが Program Files フォルダーで新し い .EXE ファイルや .DLL ファイルを作成できなくなります。また、新しい実行ファイル のインストールもできません。 このルールを有効にする前にアプリケーションをインストールするか、ブロックされたプ ロセスを除外リストに追加することをお勧めします。 McAfee Endpoint Security 10.1 製品ガイド 53 3 脅威対策 の使用 脅威対策 の管理 表 3-2 (続き) McAfee 定義ルール 説明 [Windows フォルダー での新しい実行ファイ ルの作成] ネットワーク経由だけでなく、プロセスによるファイルの作成を防止します。 このルールにより、Windows フォルダーで .EXE ファイルと .DLL ファイルが作成でき なくなります。 Windows フォルダーに必要なプロセスは除外リストに追加してください。 [レジストリ エディター Windows レジストリの項目を保護し、レジストリ エディターとタスク マネージャーの とタスク マネージャー 無効化を防ぎます。 の無効化] アウトブレーク中は、このルールを無効にしてレジストリの変更を可能にするか、タスク マネージャーを開いてアクティブなプロセスを停止してください。 [Windows スクリプト ホスト (CScript.exe ま たは Wscript.exe) に よる一時フォルダーか らのスクリプトの実行] 名前に temp を含むフォルダーで Windows スクリプティング ホストが VBScript や JavaScript を実行できないようにします。 トロイの木馬だけでなく、アドウェアとスパイウェアが使用する不審な Web インストー ルを阻止できます。 このルールを有効にすると、正規のスクリプトやサードパーティ アプリケーションのイ ンストールや実行ができなくなる可能性があります。 [.EXE または他の実行 ファイルの拡張子の変 更] HKEY_CLASSES_ROOT の下にある .EXE、.BAT、他の実行ファイルのレジストリ キー を保護します。 このルールはマルウェアによるレジストリ キーの変更を阻止します。このキーが改ざん されると、他の実行ファイルと一緒にウイルスの実行が可能になります。 このルールは [登録済みの拡張子の変更] と同等ですが、制限は緩くなります。 [ブラウザー ヘルパー オブジェクトまたはシ ェル拡張機能のインス トール] アドウェア、スパイウェア、トロイの木馬がブラウザー ヘルパー オブジェクトとしてホ スト コンピューターにインストールされないようにします。 システムにアドウェアやスパイウェアがインストールされないようにします。 正規のカスタムまたはサードパーティ アプリケーションがこれらのオブジェクトをイン ストールする場合、これらのアプリケーションを除外リストに追加してください。 イン ストール後、ルールを再度有効にしてください。インストールしたブラウザー ヘルパー オブジェクトの動作がこのルールの影響を受けることはありません。 [新しい CLSID、 APPID、TYPELIB のイ ンストール] 新しい COM サーバーのインストールまたは登録を防ぎます。 Internet Explorer や Microsoft Office の COM アドオンとして自身をインストールす るアドウェアとスパイウェアの侵入を阻止します。 COM アドオンとして登録される正規のアプリケーション (Macromedia Flash などの 共通アプリケーションを含む) がブロックされないようにするには、これらのアプリケー ションを除外リストに追加してください。 [Internet Explorer に よる Downloaded Program Files フォル ダーからのファイルの 起動] Web ブラウザー経由でのソフトウェアのインストールを防止します。 これは、 Microsoft Internet Explorer 固有のルールです。 このルールを使用すると、正規のソフトウェアもインストールがブロックされる可能性が あります。このルールを有効にする前にアプリケーションをインストールするか、インス トール プロセスを除外対象に追加してください。 デフォルトでは、このルールに [報告] が設定されています。 このルールを使用すると、アドウェアとスパイウェアはこのフォルダーで実行ファイルを 実行できなくなります。 54 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 表 3-2 3 (続き) McAfee 定義ルール 説明 [Windows コア プロセ スの変更] なりすましによるファイルの作成または実行を阻止します。 [Internet Explorer の 設定の変更] プロセスが Internet Explorer の設定を変更できないようにします。 [ネットワーク設定の変 更] 除外リストにないプロセスはシステムのネットワーク設定を変更できなくなります。 Windows のプロセス名を悪用したウイルスやトロイの木馬の実行を防ぎます。 本物の Windows ファイルには適用されません。 トロイの木馬、アドウェア、スパイウェアによるブラウザー設定の改ざんを阻止します。 たとえば、スタート ページの変更や、お気に入りのインストールを防ぎます。 ネットワーク トラフィックをキャプチャしてサードパーティのサイトに送信し、ブラウ ザーの動作などのデータを転送する複数層サービス プロバイダーから保護します。 ネットワーク設定を変更する必要があるプロセスは、除外リストに追加するか、変更を行 う前にルールを無効にしてください。 [自動実行するプログラ ムの登録] システム起動時に自動実行を試みるアドウェア、スパイウェア、トロイの木馬、ウイルス をブロックします。 このルールにより、除外リストにないプロセスは、システム起動時に実行するプロセスを 登録できなくなります。 正規のアプリケーションは除外リストに追加するか、ルールを有効にする前にインストー ルしてください。 [ローカル ファイルまた リモート コンピューターからの読み取りアクセスと書き込みアクセスを阻止します。 はフォルダーに対する 共有に潜伏するワークの拡散を防ぎます。 リモート アクセス] 一般的な環境の場合、このルールはサーバーではなくワークステーションに有効です。ま た、実際に攻撃を受けている場合にのみ効力を発揮します。 ファイルがプッシュされる管理対象のコンピューターの場合、更新やパッチのインストー ルができなくなります。 このルールは、McAfee ePO の管理機能に影響を及ぼしません。 [リモートからの自動実 行ファイルの作成] 他のコンピューターからの接続を阻止し、自動実行ファイル (autorun.inf) の作成や変 更を防ぎます。 自動実行ファイルはプログラム ファイルを自動的に実行します。たとえば、CD にある セットアップ ファイルなどが該当します。 このルールは、CD からスパイウェアやアドウェアが実行されないようにします。 デフォルトでは、このルールに [ブロック] と [報告] が選択されています。 [リモートからのファイ ルまたはフォルダーの 作成または変更] すべての共有に対する書き込みをブロックします。 このルールを有効にすると、書き込みアクセスを阻止し、感染の拡大を防ぐことができま す。アウトブレークの発生時に有効です。 コンピューターやネットワークの使用を制限 するマルウェアもブロックされます。 一般的な環境の場合、このルールはサーバーではなくワークステーションに有効です。ま た、実際に攻撃を受けている場合にのみ効力を発揮します。 ファイルがプッシュされる管理対象のコンピューターの場合、更新やパッチのインストー ルができなくなります。 このルールは、McAfee ePO の管理機能に影響を及ぼしません。 McAfee Endpoint Security 10.1 製品ガイド 55 3 脅威対策 の使用 脅威対策 の管理 表 3-2 (続き) McAfee 定義ルール 説明 [リモートからのポータ ブル実行可能ファイ ル、.INI、.PIF ファイ ル、コア システムの場所 の作成または変更] 他のコンピューターからの接続を阻止し、実行ファイル (Windows フォルダー内のファ イルなど) の変更を防ぎます。 このルールは、ウイルスに感染する可能性が高いファイ ルの種類にのみ適用されます。 ウイルスやワームがネットワーク上のオープン共有や管理共有を介して短時間で拡散し ないようにします。 このルールは、[すべての共有を読み取り専用にする] と同等ですが、制限は緩くなりま す。 [一時フォルダーからの ファイルの実行] 名前に temp を含むフォルダーからの実行ファイルの起動をブロックします。 このルールは、ユーザーまたはシステムの一時フォルダーに侵入し、実行を試みるマルウ ェアを阻止します。 このようなマルウェアは、電子メールの添付ファイルやダウンロー ドしたプログラムに感染している可能性があります。 保護レベルは最高になりますが、正規のアプリケーションもインストールできなくなる可 能性があります。 [共通プログラムによる 一時フォルダーからの ファイルの実行] ブラウザーまたは電子メール クライアントからソフトウェアをインストールするアプリ ケーションをブロックします。 このルールにより、電子メールの添付ファイルや実行ファイルが Web ページ上で実行で きなくなります。 一時フォルダーを使用するアプリケーションをインストールするには、プロセスを除外リ ストに追加してください。 関連トピック: 52 ページの「McAfee 定義のアクセス保護ルールを設定する」 ユーザー定義のアクセス保護ルールを設定する ユーザー定義のルールは、McAfee 定義ルールで提供される保護機能を補います。 これらのルールを追加して有効に したり、無効にして削除することができます。また、ルールの設定を変更することもできます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Threat Prevention] をクリックします。 あるいは、[アクション] メニュー します。 から [設定] を選択し、[設定] ページで [Threat Prevention] をクリック 3 [詳細を表示] をクリックします。 4 [アクセス保護] をクリックします。 5 アクセス保護が有効になっていることを確認します。 アクセス保護は、デフォルトで有効になっています。 56 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 6 3 次の手順でルールを作成します。 a [ルール] セクションで [追加] をクリックします。 b [ルールの追加] ページで設定を行います。 c [実行ファイル] セクションで [追加] をクリックし、実行ファイルのプロパティを設定します。[保存] を 2 回クリックします。 実行ファイルのテーブルに何も指定しないと、すべての実行ファイルが対象になります。 d [サブルール] セクションで [追加] をクリックして、サブルールのプロパティを設定します。 [読み取り] 操作を選択すると、パフォーマンスが低下する可能性があります。 e [パラメーター] セクションで [追加] をクリックし、パラメーターの情報を設定します。[保存] を 2 回クリ ックします。 f [ルール] セクションで、ルールに [ブロック]、[報告] またはその両方を選択します。 すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 タスク • 57 ページの「アクセス保護でサブルールのパラメーターが評価される方法」 各パラメーターには、対象または除外のいずれかのディレクティブが追加されます。 アクセス保護でサブルールのパラメーターが評価される方法 各パラメーターには、対象または除外のいずれかのディレクティブが追加されます。 サブルールでシステム イベントを評価する場合、次の条件を満たすと true と評価されます。 McAfee Endpoint Security 10.1 製品ガイド 57 3 脅威対策 の使用 脅威対策 の管理 • 1 つ上の追加が true と評価されます。 かつ • すべての除外が false と評価されている。 除外は対象よりも優先します。 例: • 1 つのサブルールで C:\marketing\jjohns が除外対象に指定され、ファイルが C:\marketing\jjohns に存在す ると、このサブルールはトリガーされません。 • サブルールにすべてのファイルが指定され、C:\marketing\jjohns が除外されていると、ファイルが C: \marketing\jjohns でない場合にサブルールがトリガーされます。 • サブルールに C:\marketing\* が指定され、C:\marketing\jjohns が除外されている場合、ファイルが C: \marketing\anyone であればサブルールがトリガーされますが、ファイルが C:\marketing\jjohns であれば トリガーされません。 アクセス保護からプロセスを除外する 信頼されたプログラムがブロックされた場合には、ポリシー別またはルール別の除外対象を作成してプロセスを除外 します。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Threat Prevention] をクリックします。 あるいは、[アクション] メニュー します。 から [設定] を選択し、[設定] ページで [Threat Prevention] をクリック 3 [詳細を表示] をクリックします。 4 [アクセス保護] をクリックします。 5 アクセス保護が有効になっていることを確認します。 アクセス保護は、デフォルトで有効になっています。 6 次のいずれかを実行します。 操作... 手順... ポリシーで除 外対象を作成 する。 1 [除外対象] セクションで [追加] をクリックして、すべてのルールから除外するプロセスを 追加します。 2 [実行ファイルの追加] ページで実行ファイルのプロパティを設定します。 3 [保存]、[適用] の順にクリックして、設定を保存します。 ルールで除外 対象を作成す る。 1 既存のルールを編集するか、新しいルールを追加します。 2 [ルールの追加] または [ルールの編集] ページで [追加] をクリックして、除外する実行ファ イルを追加します。 3 [実行ファイルの追加] ページで実行ファイルのプロパティを設定します。 4 [保存] をクリックして、除外対象を保存します。 58 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 バッファー オーバーフロー エクスプロイトのブロック エクスプロイト防止は、バッファー オーバーフローを悪用した任意のコードの実行を阻止します。この機能は、ユー ザー モードの API 呼び出しを監視し、バッファー オーバフローの結果として発生した呼び出しを検知します。 脅威を検出すると、設定に従って情報がアクティビティ ログに記録され、クライアント システムに表示されます。 また、管理サーバーに送信されます。 脅威対策 は、エクスプロイト防止コンテンツ ファイルを使用して、Microsoft Internet Explorer、Microsoft Outlook、Outlook Express、Microsoft Word、MSN Messenger などのアプリケーションを保護します。 Host Intrusion Prevention 8.0 は、Endpoint Security 10.1 と同じシステムにインストールできます。 McAfee Host IPS を有効にすると、エクスプロイト防止が無効になります。ポリシー設定で有効になっていても無効になりま す バッファー オーバーフロー エクスプロイトの仕組み 攻撃者は、バッファー オーバーフローの弱点を突き、入力プロセス用に予約された固定サイズのメモリー バッファ ーをあふれさせ、任意のコードを実行しようとします。コードの実行に成功すると、攻撃先のコンピューターが乗っ 取られたり、データが不正にアクセスされる可能性があります。 マルウェアによる攻撃の 25% 以上はバッファー オーバーフローを悪用し、スタック領域の隣接メモリーを上書きし ようとしています。 バッファー オーバーフロー エクスプロイトには次の 2 種類があります。 • スタック ベースの攻撃では、スタック メモリー オブジェクトを使用してユーザー入力を保存します。ほとんど の攻撃はこのタイプです。 • ヒープ ベースの攻撃では、プログラムに予約されているメモリー領域を上書きします。このタイプの攻撃は稀で す。 固定サイズのスタック メモリー オブジェクトは通常は、ユーザーからの入力が渡されるまで空の状態になっていま す。プログラムがユーザー入力を受け取ると、スタックの最上位にデータが保管され、そのデータに戻りアドレスが 割り当られます。スタックが処理されると、プログラムが指定した戻りアドレスにユーザーの入力値が渡されます。 次のプロセスでは、スタック ベースのバッファー オーバーフロー攻撃を説明します。 1 スタックのオーバーフロー プログラムが実行されると、特定のメモリー領域がデータ用に予約されます。書き込まれるデータがメモリー ス タック内の予約領域よりも大きいと、スタック オーバーフローが発生します。この状況が問題となるのは、攻撃 目的の入力を伴う場合のみです。 2 オーバーフローの悪用 プログラムがユーザーからの入力を待機します。ここで、スタック サイズを超えるコマンドを入力すると、この コマンドは予約領域以外にも保存されます。 3 マルウェアの実行 コマンドがスタック バッファーを超えても、すぐに実行されるわけではありません。まず、バッファー オーバー フローが発生し、プログラムがクラッシュします。攻撃者が不正なコマンドを参照する戻りアドレスを渡すと、 プログラムはこの戻りアドレスを使用して回復を試みます。戻りアドレスが有効であれば、不正なコマンドが実 行されます。 4 権限の悪用 この段階で、攻撃を受けたアプリケーションと同じ権限でマルウェアが実行されます。プログラムは通常、カー ネル モードで実行されるか、サービス アカウントから継承した権限で実行されます。この場合、攻撃者はオペレ ーティング システムを自由に操作することができます。 McAfee Endpoint Security 10.1 製品ガイド 59 3 脅威対策 の使用 脅威対策 の管理 エクスプロイト防止を設定する コンピューターで任意のコードの実行を防止するには、エクスプロイト防止を設定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Threat Prevention] をクリックします。 あるいは、[アクション] メニュー します。 から [設定] を選択し、[設定] ページで [Threat Prevention] をクリック 3 [詳細を表示] をクリックします。 4 [エクスプロイト防止] をクリックします。 5 ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 25 ページの「管理者としてログオンする」 エクスプロイト防止からのプロセスの除外 エクスプロイト防止の違反イベントが発生した場合、関連するプロセスが存在します。また、呼び出し側のモジュー ルまたは API が存在する可能性があります。 違反イベントが誤検知の可能性がある場合、そのプロセスのファイル名を指定して除外リストに追加できます。 呼び 出し側のモジュールまたは API を指定することもできます。 1 つの除外項目では、プロセス、モジュール、API が論理積で結合されます。 違反イベントに関連するプロセス、モ ジュール、API と比較され、すべての項目が一致すると除外対象となります。この違反イベントはそれ以降発生しな くなります。 それぞれの除外項目は独立した存在です。複数の除外項目は論理輪で結合されます。1 つでも除外項目が一致する と、脅威イベントは発生しません。 不審なプログラムの検出 不審なプログラムから管理対象コンピューターを保護するには、環境内で検出するファイルとプログラムを指定し、 検出を有効にします。 不審なプログラムは迷惑行為を行うソフトウェアです。セキュリティの状態を変更したり、システムのプライバシー ポリシーを改ざんする場合もあります。不審なプログラムは、ユーザーがダウンロードしたプログラムに埋め込まれ ている場合があります。スパイウェア、アドウェア、ダイヤラーなどが不審なプログラムです。 60 1 オンアクセス スキャナーとオンデマンド スキャナーが検出する不審なプログラムを指定するには、オプションを 使用します。 2 不審なプログラムの検出を有効にして、検出時に実行するアクションを次のポリシーに指定します。 • オンアクセス スキャン • オンデマンド スキャン McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 関連トピック: 61 ページの「検出する不審なプログラムを指定する」 61 ページの「不審なプログラムの検出を有効にして応答を設定する」 63 ページの「オンアクセス スキャンを設定する」 68 ページの「オンデマンド スキャン を設定する」 検出する不審なプログラムを指定する オンアクセス スキャナーとオンデマンド スキャナーが不審なプログラムとして処理するプログラムを指定するに は、オプションを使用します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 スキャナーは、ユーザーが指定したプログラムと AMCore コンテンツ ファイルに指定したプログラムを検出します。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Threat Prevention] をクリックします。 あるいは、[アクション] メニュー します。 から [設定] を選択し、[設定] ページで [Threat Prevention] をクリック 3 [詳細を表示] をクリックします。 4 [オプション] をクリックします。 5 [不審なプログラムの検出] で次の操作を行います。 • [追加] をクリックして、不審なプログラムとして識別されるファイルまたはプログラムの名前を入力します。 オプションで説明を指定することもできます。 脅威が検出されると、検出名が [説明] に表示されます。 • 変更する不審なプログラムの名前または説明をダブルクリックします。 • 既存の不審なプログラムを選択して [削除] をクリックし、プログラムをリストから削除します。 関連トピック: 25 ページの「管理者としてログオンする」 不審なプログラムの検出を有効にして応答を設定する オンアクセス スキャナーとオンデマンド スキャナーで不審なプログラムの検出を有効にして、検出時の応答を指定 します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 McAfee Endpoint Security 10.1 製品ガイド 61 3 脅威対策 の使用 脅威対策 の管理 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 オンアクセス スキャン設定します。 a Endpoint Security クライアント を開きます。 b メインの [ステータス] ページで [Threat Prevention] をクリックします。 あるいは、[アクション] メニュー ックします。 2 から [設定] を選択し、[設定] ページで [Threat Prevention] をクリ c [詳細を表示] をクリックします。 d [オンアクセス スキャン] をクリックします。 e [プロセス設定] で、オンアクセス スキャン ポリシー に [不審なプログラムを検出] を選択します。 f [アクション] で、不審なプログラムに対する応答を設定します。 オンデマンド スキャン を設定します。 a Endpoint Security クライアント を開きます。 b メインの [ステータス] ページで [Threat Prevention] をクリックします。 あるいは、[アクション] メニュー ックします。 から [設定] を選択し、[設定] ページで [Threat Prevention] をクリ c [詳細を表示] をクリックします。 d [オンデマンド スキャン] をクリックします。 e スキャンの種類 ([フル スキャン]、[クイック スキャン]、[右クリック スキャン]) ごとに次の操作を行いま す。 • [不審なプログラムを検出] を選択します。 • [アクション] で、不審なプログラムに対する応答を設定します。 関連トピック: 63 ページの「オンアクセス スキャンを設定する」 68 ページの「オンデマンド スキャン を設定する」 25 ページの「管理者としてログオンする」 共通のスキャン設定を行う オンアクセス スキャンとオンデマンド スキャンの両方に適用される設定を指定するには、脅威対策 の オプションを 設定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 次の設定はすべてのスキャンに適用されます。 62 • 隔離場所と隔離項目の保存期間。この期間を過ぎると、隔離項目は自動的に削除されます。 • スキャン対象から除外する検出名 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 • 検出する不審なプログラム (スパイウェア、アドウェアなど) • McAfee GTI ベースの利用統計のフィードバック 3 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 3 [詳細を表示] をクリックします。 4 [オプション] をクリックします。 5 ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 25 ページの「管理者としてログオンする」 63 ページの「オンアクセス スキャンを設定する」 68 ページの「オンデマンド スキャン を設定する」 オンアクセス スキャンを設定する 脅威検出時に送信するメッセージなど、オンアクセス スキャンの設定を行います。プロセスの種類別に異なる設定を 行うことができます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 スキャン設定オプションの詳細については、ヘルプで脅威対策の [オプション] 設定を確認してください。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Threat Prevention] をクリックします。 あるいは、[アクション] メニュー します。 から [設定] を選択し、[設定] ページで [Threat Prevention] をクリック 3 [詳細を表示] をクリックします。 4 [オンアクセス スキャン] をクリックします。 5 [オンアクセス スキャンを有効にする] を選択して、オンアクセス スキャナーを有効にし、オプションを変更し ます。 McAfee Endpoint Security 10.1 製品ガイド 63 3 脅威対策 の使用 脅威対策 の管理 6 7 すべてのプロセスに標準の設定を使用するか、危険度高と危険度低のプロセスに別の設定を使用するかどうかを 指定します。 • 標準設定 — [標準] タブでスキャンの設定を行います。 • プロセスの種類別に異なる設定を使用する場合 - タブ ([標準]、[危険度高]、[危険度低]) を選択して、プロ セスの種類別にスキャンを設定します。 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 25 ページの「管理者としてログオンする」 62 ページの「共通のスキャン設定を行う」 オンアクセス スキャンの機能 オンアクセス スキャナーは、システムの最下位層 (ファイル システムのフィルター ドライバー) と連携し、システ ムに入っていくる最初の段階でファイルをスキャンします。 オンアクセス スキャナーは、脅威を検出すると、サービス インターフェースに通知します。 ファイルのオープンまたっはクローズが試行されると、スキャナーはその操作をブロックし、次のアクションを実行 します。 1 次の条件に従って、ファイルがスキャン対象かどうかを判断します。 • ファイルの拡張子が設定と一致している。 • ファイルがキャッシュにないか、除外対象になっていない。あるいは以前にスキャンされていない。 McAfee GTI を設定すると、スキャナーはヒューリスティック スキャンを実行し、不審なファイルを検出します。 2 ファイルがスキャン条件に一致すると、現在読み込まれている AMCore コンテンツ ファイルのシグネチャとフ ァイル内の情報を比較します。 • ファイルが感染していない場合、結果をキャッシュし、読み取りまたは書き込み操作を許可します。 • ファイルで脅威を検出した場合、操作を拒否し、設定されているアクションを実行します。 たとえば、アクションにファイルの駆除が指定されている場合、スキャナーは次の処理を実行します。 1 現在読み込まれている AMCore コンテンツ ファイルの情報を使用してファイルを駆除します。 2 結果をアクティビティ ログに記録します。 3 ファイルに脅威が存在することをユーザーに通知し、実行するアクション (ファイルの駆除または削除) を 確認します。 Windows 8 と 10 - インストール済みの Windows ストア アプリのパスで脅威が検出されると、スキャ ナーはそのオブジェクトに改ざんというマークを付けます。 Windows は、アプリのタイトルに改ざんフラグ を追加します。 このアプリを実行すると、Windows は問題を通知し、Windows ストアにリダイレクトして 再インストールを指示します。 64 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 3 ファイルがスキャン要件を満たしていない場合、ファイルをキャッシュに保存し、操作を許可します。 Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされま す。 次の場合、脅威対策はグローバル スキャン キャッシュをクリアします。すべてのファイルを再スキャンします。 • オンアクセス スキャン の設定が変更された場合 • Extra.DAT ファイルが追加された場合 ディスクへの書き込み、ディスクからの読み取りまたは McAfee の判断によるスキャン オンアクセス スキャナーの実行条件を指定できます。ディスクへの書き込み、ディスクからの読み取り、McAfee の 判断によるスキャン、から選択できます。 ファイルがディスクに書き込まれるときに、オンアクセス スキャナーは次のファイルをスキャンします。 • ローカル ハード ドライブに書き込まれようとしている受信ファイル。 • 新規作成、変更、ドライブ間の移動で、ローカル ドライブまたはネットワーク ドライブ (有効な場合) に作成さ れるファイル。 ディスクへの書き込み中にスキャンが成功しない場合があるため、[ディスクからの読み取り時] を有効にすることを 強く推奨します。 ディスクからファイルを読み取るときに、オンアクセス スキャナーは次のファイルをスキャンします。 • ローカル ドライブまたはネットワーク ドライブ (有効な場合) から読み取られる送信ファイル。 • ローカル ドライブ上でプロセスの実行を試みるファイル。 • ローカル ドライブで開いているファイル。 McAfee Endpoint Security 10.1 製品ガイド 65 3 脅威対策 の使用 脅威対策 の管理 McAfee の判断でスキャンを実行するように設定すると、オンアクセス スキャナーは 信頼ロジックを使用してスキ ャンを最適化します。 信頼ロジックで不要なスキャンを排除することで、セキュリティとパフォーマンスを強化しま す。 たとえば、McAfee は一部のプログラムを信頼できるプログラムと見なします。 McAfee が、これらのプログ ラムが改ざんされていないことを確認すると、スキャナーは最適化されたスキャンを実行します。 ScriptScan について 脅威対策 スクリプト スキャナーは、ネイティブ Windows スクリプト ホストのプロキシ コンポーネントとして動 作し、実行前にスクリプトをスキャンします。 • スクリプトに脅威が存在しない場合、スクリプトをネイティブ Windows スクリプト ホストに渡します。 • スクリプトで潜在的な脅威が検出された場合、スクリプト スキャナーがスクリプトの実行を阻止します。 ScriptScan の除外対象 スクリプト数の多いサイトや Web アプリケーションの場合、ScriptScan を有効にするとパフォーマンスが低下す る可能性があります。 ScriptScan を無効にするのではなく、信頼サイトの URL を除外対象に指定することをお勧 めします。たとえば、イントラネット内のサイトや、安全性が確認されている Web アプリケーションを除外対象に 設定します。 URL 除外対象を作成する場合: • ワイルドカード文字を使用しないでください • ポート番号を指定しないでください。 • 完全修飾ドメイン名 (FQDN) と NetBIOS 名以外は使用しないでください。 Windows Server 2008 の場合、ScriptScan URL の除外対象を Internet Explorer で機能させるには、サードパー ティ製のブラウザー拡張を有効にしてシステムを再起動する必要があります。 KnowledgeBase の記事 KB69526 を参照してください。 66 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 ScriptScan と Internet Explorer 脅威対策 のインストール後に初めて Internet Explorer を起動すると、プロンプトが表示され、1 つ以上の McAfee アドオンを有効にするように指示されます。 ScriptScan でスクリプトをスキャンするには: • ScriptScan を有効にする を選択する必要があります。 • アドオンをブラウザーで有効にする必要があります。 Internet Explorer の起動後に ScriptScan を有効にしても、Internet Explorer のこのインスタンスでは不審なスク リプトが検出されません。 不正なスクリプトを検出するには、ScriptScan を有効にした後で Internet Explorer を 再起動する必要があります。 プロセスのスキャン設定を決める方法 次のプロセスに従って、プロセス タイプごとに異なる設定を行うかどうかを判断してください。 McAfee Endpoint Security 10.1 製品ガイド 67 3 脅威対策 の使用 脅威対策 の管理 オンデマンド スキャン を設定する この設定では、フル スキャン、クイック スキャン、右クリック スキャンの 3 つのオンデマンド スキャンの動作を 定義します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 スキャン設定オプションの詳細については、ヘルプで脅威対策の [オプション] 設定を確認してください。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 3 [詳細を表示] をクリックします。 4 [オンデマンド スキャン] をクリックします。 5 タブをクリックして、指定したスキャンの設定を行います。 6 • [フル スキャン] • [クイック スキャン] • [右クリック スキャン] ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 25 ページの「管理者としてログオンする」 62 ページの「共通のスキャン設定を行う」 72 ページの「スキャン タスクとスケジュールを設定して実行する」 オンデマンド スキャンの機能 オンデマンド スキャナーは、ファイル、フォルダー、メモリー、レジストリをスキャンし、マルウェア感染の有無を 確認します。 オンデマンド スキャンを実行するタイミングと頻度を設定します。手動でシステムをスキャンすることも、実行スケ ジュールを設定することもできます。また、システム起動時に実行することもできます。 1 オンデマンド スキャナーは、次の条件に従ってスキャン対象の項目を判断します。 • ファイルの拡張子が設定と一致している。 • ファイルがキャッシュ内にないか、実行またはスキャンされていない (スキャナーがスキャン キャッシュを使 用している場合)。 McAfee GTI を設定すると、スキャナーはヒューリスティック スキャンを実行し、不審なファイルを検出します。 68 McAfee Endpoint Security 10.1 製品ガイド 3 脅威対策 の使用 脅威対策 の管理 2 ファイルがスキャン条件に一致すると、現在読み込まれている AMCore コンテンツ ファイルのマルウェア シグ ネチャとファイル内の情報を比較します。 • ファイルが感染していない場合、結果をキャッシュに保存し、次の項目をスキャンします。 • ファイルで脅威を検出した場合、設定されているアクションを実行します。 たとえば、アクションにファイルの駆除が指定されている場合、スキャナーは次の処理を実行します。 1 現在読み込まれている AMCore コンテンツ ファイルの情報を使用してファイルを駆除します。 2 結果をアクティビティ ログに記録します。 3 ファイルで脅威を検出したことをユーザーに通知します。項目名と実行したアクションも通知します。 Windows 8 と 10 - インストール済みの Windows ストア アプリのパスで脅威が検出されると、スキャ ナーはそのオブジェクトに改ざんというマークを付けます。 Windows は、アプリのタイトルに改ざんフラグ を追加します。 このアプリを実行すると、Windows は問題を通知し、Windows ストアにリダイレクトして 再インストールを指示します。 3 項目がスキャン要件を満たしていない場合、スキャナーはその項目をチェックしません。すべてのデータをスキ ャンするまで処理を継続します。 次のオンデマンド スキャンが開始すると、オンデマンド スキャンの検出リストがクリアされます。 Extra.DAT が読み込まれると、脅威対策 はグローバル スキャン キャッシュをクリアします。すべてのファイルを再 スキャンします。 ユーザーに対するスキャンの影響を最小限に抑える方法 システムに対するオンデマンド スキャンの影響を最小限に抑えるには、スキャンの設定でパフォーマンス オプショ ンを指定します。 McAfee Endpoint Security 10.1 製品ガイド 69 3 脅威対策 の使用 脅威対策 の管理 システムがアイドル状態の場合にのみスキャンする ユーザーに影響を及ぼさないようにスキャンを実行する最も簡単な方法は、コンピューターがアイドル状態のときに だけオンデマンド スキャンを行う方法です。 このオプションを選択すると、ディスキーボード操作やマウス操作などのディスクまたはユーザー アクティビティを 検出したときに 脅威対策 がスキャンを一時停止します。 脅威対策 は、ユーザーが 3 分間システムにアクセスしな いと、スキャンを再開します。 以下の操作が可能です。 • ユーザーのアクティビティで一時停止したスキャンの再開をユーザーに許可します。 • システムがアイドル状態の場合にのみスキャンを再開します。 McAfee では、サーバー システムでこのオプションを無効にすることをお勧めします。また、ユーザーがリモート デ スクトップ接続 (RDP) だけでアクセスしているシステムでも無効にしてください。 脅威対策 は McTray を使用して システムがアイドル状態かどうかを判断します。 RDP だけで接続されているシステムの場合、McTray は開始しませ ん。オンデマンド スキャナーは実行されません。 この問題を回避するには、RDP でログオンするときに McTray を手動で実行します (デフォルトでは C: \Program Files\McAfee\Agent\mctray.exe)。 スキャン タスクの設定タブにあるパフォーマンス セクションで、[システムがアイドル状態の場合にのみスキャン] を選択します。 スキャンを自動的に一時停止する システムがバッテリで動作している場合には、スキャン タスクを一時停止すると、パフォーマンスを改善できます。 ブラウザー、メディア プレイヤー、プレゼンテーションなどのアプリケーションが全画面表示で実行されているとき にスキャンを一時停止することもできます。 システムを電源に接続したり、全画面モードを解除するとすぐにスキャ ンが再開します。 スキャン タスクの設定タブにあるパフォーマンス セクションで、次のオプションを選択します。 • [システムがバッテリーで動作している場合にスキャンを実行しない] • [システムがプレゼンテーション モードの場合にスキャンを実行しない] ([いつでもスキャン] を選択した場合に 使用可能) ユーザーにスキャンの延期を許可する [いつでもスキャン] を選択すると、スケジュール スキャンの延期を 1 時間単位 (最大 24 時間まで) または無制限 に許可することができます。 1 回に延期できる時間は 1 時間です。 たとえば、[ユーザーが延期できる最大回数] オ プションを 2 に設定すると、ユーザーはスキャンを 2 回 (2 時間) 延期できます。 指定した最大時間を経過すると、 スキャンが続行します。 このオプションを 0 に設定して無期限の延期を許可した場合、ユーザーはスキャンの延期 を無期限で行うことができます。 スキャン タスクの設定タブにあるパフォーマンス セクションで、[ユーザーにスキャンの延期を許可] を選択します。 差分スキャンを実行してスキャン アクティビティを制限する 差分 (再開可能な) スキャンを実行して、オンデマンド スキャンのアクティビティを制限します。システム全体は複 数のセッションでスキャンします。 差分スキャンを実行するには、スケジュール スキャンに制限時間を追加します。 制限時間に達すると、スキャンが停止します。 このタスクを次に開始すると、前回のスキャンが停止した位置 (ファ イルとフォルダー構造) からスキャンが再開します。 スキャン タスクのスケジュール タブにあるオプション セクションで、[次の時間実行が続く場合は停止する] を選択 します。 スキャン タスクとスケジュールを設定して実行する72 ページの「」を参照してください。 70 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 システム使用率を設定する システム使用率 とは、スキャン中にスキャナーに割り当てられる CPU 時間の量を表します。 システムでエンドユー ザーが操作を行っている場合には、システム使用率を [低] に設定します。 スキャン タスクの設定タブにあるパフォーマンス セクションで、[システム使用率] を選択します。 関連トピック: 68 ページの「オンデマンド スキャン を設定する」 72 ページの「スキャン タスクとスケジュールを設定して実行する」 システム使用率の機能 オンデマンド スキャナーは、Windows の [優先度の設定] を使用して、スキャン プロセスと脅威の優先度を判断し ます。システム使用率 (スロットル) の設定を使用すると、スキャン プロセス中にオンデマンド スキャナーに割り当 てられる CPU 時間を指定できます。 スキャンのシステム使用率を「低」に設定すると、他の実行中アプリケーションのパフォーマンスが向上します。エ ンド ユーザーが作業中のシステムでは「低」が適切な設定です。逆に、システム使用率を「標準」に設定すると、ス キャン速度が向上します。エンド ユーザーの作業量が殆どなく、ボリュームが大きいシステムの場合、「標準」が適 切な設定になります。 それぞれのタスクは、他のタスクの制限に関係なく、個別に実行されます。 表 3-3 デフォルトのプロセス設定 Windows の [優先度 の設定] の値 脅威対策 プロセ ス設定 オプションの結果... [低] 実行中の他のアプリケーションのパフォーマンスが向上します。エ 低 ンドユーザーが作業中の場合には、このオプションを選択してくださ い。 [標準以下 ] スキャンのシステム使用率が McAfee ePO のデフォルト値に設定さ れます。 [標準] (デフォル ト) スキャン速度が速くなります。エンド ユーザーの作業量が殆どなく、 標準 ボリュームが大きいシステムの場合には、このオプションを選択して ください。 標準以下 リモート ストレージ スキャンの機能 リモート ストレージが管理するファイルのコンテンツをスキャンするように、オンデマンド スキャナーを設定でき ます。 リモート ストレージは、ローカル システムで使用可能なストレージ容量を監視します。 リモート ストレージは、必 要に応じてファイルのコンテンツ (データ) をクライアント システムからストレージ デバイス (テープ ライブラリ など) に自動的に移行します。 移行されたファイルをユーザーが開くと、リモート ストレージはストレージ デバイ ス上のデータを自動的に呼び出します。 リモート ストレージが管理するファイルをスキャンするようにオンデマンド スキャナーを設定するには、[ストレー ジに移動したファイル] オプションを選択します。 コンテンツが移行されたファイルを検出すると、スキャナーはロ ーカル システムにファイルを復元してからスキャンを実行します。 詳細については、「リモート ストレージとは」を参照してください。 McAfee Endpoint Security 10.1 製品ガイド 71 3 脅威対策 の使用 脅威対策 の管理 スキャン タスクとスケジュールを設定して実行する Endpoint Security クライアントの 共通設定 で、[フル スキャン] と [クイック スキャン] のデフォルト タスクの スケジュールを設定したり、カスタム スキャン タスクを作成できます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [共通設定] から [タスク] をクリックします。 5 このページでスキャン タスクを設定します。 操作... から [設定] を選択します。 手順 カスタム スキャン タ 1 [追加] をクリックします。 スクを作成する。 2 名前を入力して、ドロップダウン リストから [カスタム スキャン] を選択し、[次へ] をクリックします。 3 スキャン タスクとスケジュールを設定して、[OK] をクリックしてタスクを保存しま す。 スキャン タスクを変 更する。 • タスクをダブルクリックして変更を行い、[OK] をクリックしてタスクを保存します。 カスタム スキャン タ • タスクを選択して、[削除] をクリックします。 スクを削除する。 スキャン タスクのコ ピーを作成する。 72 1 タスクを選択して、[複製] をクリックします。 2 名前を入力して設定を行い、[OK] をクリックしてタスクを保存します。 McAfee Endpoint Security 10.1 製品ガイド 脅威対策 の使用 脅威対策 の管理 操作... 3 手順 [フル スキャン] また 1 [フル スキャン] または [クイック スキャン] をダブルクリックします。 は [クイック スキャ 2 [スケジュール] タブをクリックしてスケジュールを変更し、[OK] をクリックしてタ ン] タスクのスケジ ュールを変更する。 スクを保存します。 自社管理システムの場合には、[フル スキャン] と [クイック スキャン] のタスクを設定 できます。 Endpoint Security クライアント から開始する [フル スキャン] タスクと [クイック スキャン] タスクのデフォルト動作を設定する方法については、オンデマンド スキャン を設定する 68 ページの「」を参照してください。 デフォルトでは、毎週水曜日の午前 0 時に [フル スキャン] が実行されます。 [クイッ ク スキャン] は、毎日午後 7 時に実行されます。 スケジュールは有効です。 スキャン タスクを実 行する。 • タスクを選択して、[今すぐ実行] をクリックします。 タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わります。 変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロンプ トを表示し、設定を保存するかどうか確認します。 6 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 25 ページの「管理者としてログオンする」 68 ページの「オンデマンド スキャン を設定する」 42 ページの「フル スキャンまたはクイック スキャンを実行する」 McAfee Endpoint Security 10.1 製品ガイド 73 3 脅威対策 の使用 脅威対策 の管理 74 McAfee Endpoint Security 10.1 製品ガイド 4 ファイアウォール の使用 ファイアウォール は、コンピューターとネットワークまたはインターネットの間でフィルターとして機能します。 目次 ファイアウォール の機能 ファイアウォール期限付きグループを表示または有効にする ファイアウォール の管理 ファイアウォール の機能 ファイアウォール は、すべての受信トラフィックと送信トラフィックをスキャンします。 ファイアウォール は、条件と関連アクションが設定されているルールのリストを使用し、送受信されるトラフィック を検査します。トラフィックがルール内のすべての条件を満たすと、ファイアウォール はルールに従って処理を実行 し、ファイアウォール を通過するトラフィックを許可またはブロックします。 検出した脅威の情報が保存され、レポートが作成されます。これにより、コンピューターに存在するセキュリティ問 題を管理者に通知します。 ファイアウォール のオプションとルールにより、ファイアウォール の動作が決まります。 ルール グループを使用す ると、ルールの管理を簡単に行うことができます。 クライアント インターフェース モードが [フル アクセス] に設定されている場合、あるいは管理者としてログオン している場合には、Endpoint Security クライアント を使用してルールとグループを設定できます。 管理対象シス テムの場合、管理者がポリシーの更新を配備したときに、ユーザーが作成したルールとグループが上書きされる場合 があります。 関連トピック: 76 ページの「ファイアウォール オプションを設定する」 78 ページの「Firewall ルールの機能」 80 ページの「ファイアウォール ルール グループの機能」 ファイアウォール期限付きグループを表示または有効にする McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、有効にします。 設定によっては、これらのオプションが使用できない場合があります。 McAfee Endpoint Security 10.1 製品ガイド 75 4 ファイアウォール の使用 ファイアウォール の管理 タスク • McAfee システム トレイ アイコンを右クリックし、[クイック設定] メニューからオプションを選択します。 • [ファイアウォール期限付きグループを有効にする] - ファイアウォール期限付きグループを有効にし、所定 の期間、アクセスを制限するルールを適用する前にネットワーク以外のインターネット アクセスを許可しま す。 このオプションを選択するたびに、グループの期限がリセットされます。 • [ファイアウォール期限付きグループを表示する] - 期限付きグループの名前と各グループの残り時間を表示 します。 ファイアウォール の管理 管理者は、ファイアウォール オプションを設定して、Endpoint Security クライアント のルールとグループを作成 できます。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 ファイアウォール オプションを変更する 管理者は、Endpoint Security クライアント から ファイアウォール のオプションを変更できます。 タスク • 76 ページの「ファイアウォール オプションを設定する」 ファイアウォールの有効化/無効化、適応モードの有効化、その他のファイアウォール オプションの設定 を行うには、オプション で設定を行います。 • 77 ページの「DNS トラフィックをブロックする」 Firewall の保護を調整するには、ブロックする FQDN のリストを作成します。 ファイアウォール は、 ドメイン名に対応する IP アドレスとの接続をブロックします。 関連トピック: 77 ページの「FAQ - McAfee GTI と ファイアウォール」 ファイアウォール オプションを設定する ファイアウォールの有効化/無効化、適応モードの有効化、その他のファイアウォール オプションの設定を行うには、 オプション で設定を行います。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Firewall] をクリックします。 あるいは、[アクション] メニュー 76 McAfee Endpoint Security 10.1 から [設定] を選択し、[設定] ページで [Firewall] をクリックします。 製品ガイド ファイアウォール の使用 ファイアウォール の管理 3 4 [Firewall を有効にする] を選択して Firewall を有効にし、オプションを変更します。 Host Intrusion Prevention 8.0 は、Endpoint Security 10.1 と同じシステムにインストールできます。 McAfee Host IPS がインストールされ、有効になっている場合、ポリシー設定で有効にしても Endpoint Security ファイアウォールが無効になります。 4 [詳細を表示] をクリックします。 5 ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 25 ページの「管理者としてログオンする」 DNS トラフィックをブロックする Firewall の保護を調整するには、ブロックする FQDN のリストを作成します。 ファイアウォール は、ドメイン名に 対応する IP アドレスとの接続をブロックします。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Firewall] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [Firewall] をクリックします。 3 [DNS ブロック] で[追加] をクリックします。 4 ブロックするドメインの FQDN を入力します。 ワイルドカードとして * と ? を使用できます。 例: *domain.com 重複する項目は自動的に削除されます。 5 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 FAQ - McAfee GTI と ファイアウォール ここでは、よくある質問について紹介します。 ファイアウォール オプションを使用すると、McAfee GTI が危険度高と評価したネットワーク接続からの受信トラフ ィックと送信トラフィックをブロックできます。 この FAQ では、McAfee GTI の機能と Firewall への影響につい て説明します。 McAfee GTI とは何ですか? McAfee GTI は、世界のインターネット評価情報を提供するシステムで、インターネット上で正常な動作と問 題のある動作を特定します。 McAfee GTI は、世界各地で発生している電子メールの送信パターン、Web ア クティビティ、マルウェア、システム間の通信をリアルタイムに分析します。 McAfee GTI は、分析結果を使 用してレピュテーション スコアを動的に算出しています。このスコアにより、Web ページの閲覧によりネッ トワークが晒される危険度が分かります。 IP アドレス、ドメイン、特定のメッセージ、URL、画像などのレ ピュテーション スコアはデータベースに格納されています。 どのように動作しますか? McAfee Endpoint Security 10.1 製品ガイド 77 4 ファイアウォール の使用 ファイアウォール の管理 McAfee GTI オプションを選択すると、[McAfee GTI — Endpoint Security Firewall サービスを許可] と [McAfee GTI — 評価を取得] の 2 つのルールが作成されます。 最初のルールで McAfee GTI への接続が許 可されます。2 つ目のルールでは、接続のレピュテーション結果とブロックしきい値に従ってトラフィックを 許可またはブロックします。 「レピュテーション」とはどういう意味ですか? インターネット上の各 IP アドレスについて、McAfee GTI はレピュテーションを計算します。 McAfee GTI は、送受信やホスティング状態、顧客やパートナーから収集した環境データを元にインターネットの脅威状況 に関する評価を行います。 レピュテーションは、この分析に基づき、次の 4 つのクラスで表されます。 • [ブロックなし] (最小リスク) - コンテンツやトラフィックの正規の送信元または送信先であることが確 認されています。 • [未確認] - このサイトは、コンテンツやトラフィックの正規の送信元または送信先のように見えます。た だし、このサイトの一部のプロパティは、さらに詳しい調査が必要です。 • [危険度中] - 送信元または送信先の動作に不審な傾向が見られます。この通信のトラフィックとコンテ ンツは詳しい分析が必要です。 • [危険度高] - この送信元/送信先は、危険なコンテンツ/トラフィックを送受信することが確認されていま す。あるいは、このような可能性があります。重大なリスクが存在します。 McAfee GTI によって遅延が発生しますか? また、どのくらい発生しますか? McAfee GTI がレピュテーション情報を検索するときに、遅延時間が発生します。 McAfee では、この時間を 最小限に抑えるため、様々な工夫を行っています。 McAfee GTI: • オプションが選択された場合にのみ、レピュテーションを確認します。 • インテリジェント キャッシュ アーキテクチャを使用しています。ネットワークの通常の使用パターンで は、レピュテーション クエリーを送信せず、キャッシュを参照します。 Firewall が McAfee GTI サービスに接続できない場合、トラフィックは停止しますか? Firewall が McAfee GTI サーバーに接続できない場合、該当するすべての接続にデフォルトの許可レピュテ ーションが自動的に割り当てられます。 Firewall は後続のルールの分析を続行します。 ファイアウォール ルールとグループを設定する 管理者は、ファイアウォール から Endpoint Security クライアント ルールとグループを設定できます。 タスク • 84 ページの「ファイアウォール ルールとグループを作成/管理する」 管理対象システムの場合、管理者がポリシーの更新を配備したときに、ユーザーが Endpoint Security クライアント で作成したルールとグループが上書きされる場合があります。 • 86 ページの「接続の分離グループを作成する」 特定のパラメーターでネットワークに接続している場合にのみ適用されるルールを設定するには、接続 分離 Firewall ルール グループを作成します。 • 87 ページの「期限付きグループを作成する」 ファイアウォール期限付きグループを作成すると、クライアント システムが VPN に接続するまでイン ターネットへのアクセスが制限されます。 Firewall ルールの機能 ファイアウォール ルールでは、ネットワーク トラフィックの処理方法を決定します。各ルールには、トラフィック が満たす必要がある一連の条件とアクション (トラフィックの許可またはブロック) が定義されています。 ファイアウォール は、ルールの条件と一致するトラフィックを見つけると、関連付けられたアクションを実行しま す。 78 McAfee Endpoint Security 10.1 製品ガイド ファイアウォール の使用 ファイアウォール の管理 4 ルールは、広範囲に定義することも (すべての IP トラフィックなど)、狭い範囲で定義することもできます (特定の アプリケーションまたはサービスの特定など)。また、オプションも設定できます。ルールを機能、サービスまたはア プリケーションに従って分類すると、管理作業が簡単になります。ルールと同様に、ルール グループにもネットワー ク、トランスポート、アプリケーション、スケジュール、場所の各オプションが定義できます。 ファイアウォール は、次の順序でルールを適用します。 1 ファイアウォールは、ファイアウォール ルール リストの上部にあるルールを適用します。 トラフィックがルールの条件と一致すると、ファイアウォール がトラフィックを許可またはブロックします。リ ストにある他のルールは適用しません。 2 トラフィックが最初のルールの条件に一致しない場合、ファイアウォール はリスト内の次のルールを処理します。 トラフィックに一致するルールが見つかるまで、この処理を繰り返します。 3 一致するルールがない場合、Firewall は自動的にトラフィックをブロックします。 適応モードが有効な場合には、トラフィックの許可ルールが作成されます。阻止したトラフィックが、リストにある 1 つ以上のルールに適合する場合があります。この場合、ファイアウォール はリストで最初に一致したルールのみを 適用します。 ベスト プラクティス より具体的なルールをリストの上位に置き、一般的なルールを下位に置きます。 これにより、ファイアウォール が トラフィックを適切にフィルタリングします。 McAfee Endpoint Security 10.1 製品ガイド 79 4 ファイアウォール の使用 ファイアウォール の管理 たとえば、IP アドレス 10.10.10.1 を除くすべての HTTP 要求を許可するには、次の 2 つのルールを作成します。 • ブロック ルール - IP アドレス 10.10.10.1 からの HTTP トラフィックをブロックします。これは具体的なル ールです。 • 許可ルール - HTTP サービスを使用するすべてのトラフィックを許可します。これは一般的なルールです。 Firewall ルール リストで、ブロック ルールを許可ルールよりも上に配置します。Firewall がアドレス 10.10.10.1 からの HTTP 要求を阻止するときに、最初に一致したルールでトラフィックがブロックされます。 一般的な許可ルールを具体的なブロック ルールよりも上に置くと、ファイアウォール はブロック ルールよりも前に 許可ルールで要求を処理します。この場合、このアドレスからの HTTP 要求をブロックしたくても、トラフィックは 許可されます。 ファイアウォール ルール グループの機能 ファイアウォール ルール グループを使用すると、ルールの管理を簡単に行うことができます。 ファイアウォール ル ール グループを使用しても、ファイアウォールがグループ内のルールを処理する方法は変更されません。ファイアウ ォールは、上から下に向けてルールを処理します。 ファイアウォールは、グループ内のルールの設定よりも前にグループの設定を処理します。 これらの設定に矛盾があ る場合、グループの設定が優先します。 位置情報を使用するグループの作成 ファイアウォールを使用すると、場所別にグループを設定し、接続の分離を作成できます。 グループで場所とネット ワーク オプションを使用すると、ネットワーク アダプター別にグループを設定できます。 ネットワーク アダプター グループを使用すると、複数のネットワーク インターフェースを搭載したコンピューターでアダプター別にルールを 適用できます。 場所のステータスを有効にし、場所の名前を指定すると、各ネットワーク アダプターで許可された 以下の接続パラメーターを使用できます。 [場所]: • ePO との接続が必要 • プライマリ WINS サーバーの IP アドレス • 接続別の DNS サフィックス • セカンダリ WINS サーバーの IP アドレス • デフォルト ゲートウェイの IP アドレス • ドメインとの接続 (HTTPS) • DHCP サーバーの IP アドレス • レジストリ キー • URL 解決を照会する DNS サーバー [ネットワーク]: • ローカル ネットワークの IP アドレス • 接続の種類 2 つの場所別グループが 1 つの接続に適用される場合、ファイアウォール では通常の優先順位を使用し、ルール リ ストで適用可能な最初のグループを処理します。 最初のグループに該当するルールがない場合、ルールの処理が継続 します。 ファイアウォール は、アクティブな接続に対して場所別グループのパラメーターを照合し、グループ内のルールを適 用します。 ルールを小さいルール セットとして扱い、通常の優先順位を適用します。 阻止したトラフィックと一致 しないルールがある場合、ファイアウォールは無視します。 80 選択したオプション... 結果... 位置認識を有効にする 場所の名前が必要です。 ePO との接続が必要 McAfee ePO と接続可能で、サーバーの FQDN が解決されています。 McAfee Endpoint Security 10.1 製品ガイド 4 ファイアウォール の使用 ファイアウォール の管理 選択したオプション... 結果... ローカル ネットワーク アダプターの IP アドレスがリスト項目のいずれかと一致している必要があります。 接続別の DNS サフィックス アダプターの DNS サフィックスがリスト項目のいずれかと一致している必要があ ります。 デフォルト ゲートウェイ デフォルト アダプターのゲートウェイ IP がリスト項目の少なくとも 1 つと一致し ている必要があります。 DHCP サーバー アダプターの DHCP サーバーの IP がリスト項目の少なくとも 1 つと一致している 必要があります。 DNS サーバー アダプターの DNS サーバーの IP がリスト項目の少なくとも 1 つと一致している 必要があります。 プライマリ WINS サーバー アダプターのプライマリ WINS サーバーの IP がリスト項目の少なくとも 1 つと一 致している必要があります。 セカンダリ WINS サーバー アダプターのセカンダリ WINS サーバーの IP がリスト項目の少なくとも 1 つと一 致している必要があります。 ドメインとの接続 (HTTPS) 指定したドメインと HTTPS で接続する必要があります。 ファイアウォール ルール グループと接続の分離 接続の分離を使用すると、グループが特定のネットワークにアクセスしたときに不要なトラフィックの受信を防ぐこ とができます。 グループで接続の分離を有効にし、アクティブなネットワーク インターフェース カード (NIC) がグループの条件に 一致すると、ファイアウォール が次の条件に一致するトラフィックを処理します。 • Firewall ルール リストでグループよりも上にある許可ルール • グループ条件 他のトラフィックはすべてブロックされます。 接続の分離が有効になっているグループに、トランスポート オプションまたは実行ファイルは関連付けられません。 McAfee Endpoint Security 10.1 製品ガイド 81 4 ファイアウォール の使用 ファイアウォール の管理 接続の分離の例として、企業環境とホテルの 2 つの設定を考えてみましょう。 アクティブな Firewall ルール リス トには、ルールおよびグループが次の順序で含まれています。 82 1 基本接続ルール 2 VPN 接続ルール 3 企業 LAN 接続ルールが設定されたグループ 4 VPN 接続ルールが設定されたグループ McAfee Endpoint Security 10.1 製品ガイド ファイアウォール の使用 ファイアウォール の管理 4 例: 企業ネットワークでの接続の分離 接続ルールは、企業 LAN 接続ルールが設定されたグループが検出されるまで処理されます。 このグループの設定は 次のとおりです。 • 接続の種類 = 有線 • 接続別 DNS サフィックス = mycompany.com • デフォルト ゲートウェイ • 接続の分離 = 有効 コンピューターには、LAN と無線 LAN の両方のアダプターが装備されています。 このコンピューターは、無線接続 で会社のネットワークに接続します。 無線 LAN のインターフェースが有効な状態になっているため、事務所以外の ホットスポットにも接続します。 基本アクセス用のルールが Firewall ルール リストの最上位にあるため、コンピュ ーターは両方のネットワークに接続します。 有線 LAN 接続がアクティブで、企業 LAN グループの条件を満たして います。 Firewall は LAN を通じてトラフィックを処理しますが、接続の分離が有効であるため、LAN を通過しな いその他すべてのトラフィックはブロックされます。 例: ホテルでの接続の分離 接続ルールは、VPN 接続ルールが設定されたグループが検出されるまで処理されます。 このグループの設定は次の とおりです。 • 接続の種類 = 仮想 • 接続別 DNS サフィックス = vpn.mycompany.com • IP アドレス = VPN コンセントレーターに固有な範囲のアドレス • 接続の分離 = 有効 一般的な接続ルールでは、ホテルで有効期限のあるアカウントを設定して、インターネット アクセスが可能になりま す。 VPN 接続ルールにより接続が許可され、VPN トンネルが使用されます。 トンネルが確立された後、VPN クラ イアントは VPN グループの条件に一致する仮想アダプターを作成します。 Firewall が許可したトラフィックだけ が、VPN トンネル内部に入り、基本トラフィックは実際のアダプター上を通過します。 ネットワーク上でホテルの 他の客がコンピューターにアクセスしようとすると、有線無線に関係なくブロックされます。 事前定義のファイアウォール ルール グループ ファイアウォールには、いくつかのファイアウォール グループが事前に定義されています。 ファイアウォー ル グループ 説明 [McAfee コア ネ McAfee 提供のコア ネットワーク ルールです。McAfee アプリケーションと DNS を許可する ットワーク] ルールも含まれています。 これらのルールは変更または削除できません。 ファイアウォールのオプションにあるグループ は無効にできません。この操作を行うと、クライアントとのネットワーク通信が遮断される可能 性があります。 [管理者が追加] 管理サーバーで管理者が定義したルールです。 これらのルールを Endpoint Security クライアント で変更したり、削除することはできません。 [ユーザーが追加] Endpoint Security クライアント で定義したルールです。 ポリシーの設定によっては、これらのルールがポリシー施行時に上書きされる場合があります。 McAfee Endpoint Security 10.1 製品ガイド 83 4 ファイアウォール の使用 ファイアウォール の管理 ファイアウォー ル グループ 説明 [動的] システムにインストールされている他の Endpoint Security モジュールが動的に作成したルー ルです。 たとえば、ネットワーク上のシステムへのアクセスをブロックするルールを作成するために、脅 威対策が Endpoint Security クライアント モジュールにイベントを送信します。 [適応] 適応モードのシステムで自動的に作成されるクライアント除外ルールです。 ポリシーの設定によっては、これらのルールがポリシー施行時に上書きされる場合があります。 [デフォルト] McAfee 提供のデフォルト ルールです。 これらのルールを変更したり、削除することはできません。 ファイアウォール ルールとグループを作成/管理する 管理対象システムの場合、管理者がポリシーの更新を配備したときに、ユーザーが Endpoint Security クライアン ト で作成したルールとグループが上書きされる場合があります。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 [Firewall ルール] テーブルでは、優先順位に従ってグループとルールが表示されます。 ルールを列でソートすること はできません。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Firewall] をクリックします。 あるいは、[アクション] メニュー 3 から [設定] を選択し、[設定] ページで [Firewall] をクリックします。 ファイアウォール ルールとグループを管理するには、次のタスクを実行します。 操作... 手順 Firewall グループのルールを表示しま す。 をクリックします。 Firewall グループを折りたたみます。 をクリックします。 既存のルールを変更します。 ルールが変更できるのは、[ユーザ ー追加] グループだけです。 1 [ユーザー追加] グループを展開します。 2 ルールをダブルクリックします。 3 ルールの設定を変更します。 4 [OK] をクリックして、変更を保存します。 グループ内の既存のルールを表示しま す。 84 McAfee Endpoint Security 10.1 1 グループを展開します。 2 下部ペインに詳細を表示するルールを選択します。 製品ガイド 4 ファイアウォール の使用 ファイアウォール の管理 操作... 手順 ルールを作成します。 1 [ルールの追加] をクリックします。 2 ルールの設定を指定します。 3 [OK] をクリックして、変更を保存します。 [ユーザー追加] グループの最後にルールが表示されます。 ルールのコピーを作成します。 1 ルールを選択して、[複製] をクリックします。 コピーしたルールが [ユーザー追加] グループの最後に同じ名前で 表示されます。 2 ルールの名前と設定を変更します。 ルールを削除します。 ルールを削除できるのは、[ユーザ ー追加] グループと [適応] グル ープだけです。 グループを作成します。 1 グループを展開します。 2 ルールを選択して、[削除] をクリックします。 1 [グループの追加] をクリックします。 2 グループの設定を指定します。 3 [OK] をクリックして、変更を保存します。 [ユーザー追加] グループにグループが表示されます。 グループ間でルールとグループを移動 します。 ルールとグループを移動できる のは、[ユーザー追加] グループだ けです。 要素を移動するには、次の手順に従います。 1 移動する要素を選択します。 移動可能な要素の左側にグリップ が表示されます。 2 ドラッグ アンド ドロップで要素を新し位置に移動します。 要素をドロップできる位置に青線が表示されます。 4 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 85 ページの「Firewall ルールで使用可能なワイルドカード」 25 ページの「管理者としてログオンする」 86 ページの「接続の分離グループを作成する」 Firewall ルールで使用可能なワイルドカード Firewall ルールの一部の値では、ワイルドカードを使用できます。 パスとアドレスで使用可能な Firewall ファイル、レジストリ キー、実行ファイル、URL のパスには次のワイルドカードが使用できます。 Firewall グループの場所を表すレジストリ キーのパスには、ワイルドカードを使用できません。 ? 疑問符 1 つの文字。 * アスタリスク 複数の文字。ただし、スラッシュと (/) と円記号 (\) は除く。この文字は、サブフォルダー のないフォルダーのルート レベルの内容と比較する場合に使用します。 McAfee Endpoint Security 10.1 製品ガイド 85 4 ファイアウォール の使用 ファイアウォール の管理 ** 二重アスタリス ク 複数の文字。スラッシュと (/) と円記号 (\) も含む。 | ワイルドカードのエスケープ。 パイプ 二重アスタリスク (**) は |*|* とエスケープします。 その他の値で使用可能なワイルドカード パス情報を含まないスラッシュ付きの値では、次のワイルドカードを使用できます。 ? 疑問符 1 つの文字。 * アスタリスク 複数の文字。スラッシュと (/) と円記号 (\) も含む。 | パイプ ワイルドカードのエスケープ。 接続の分離グループを作成する 特定のパラメーターでネットワークに接続している場合にのみ適用されるルールを設定するには、接続分離 Firewall ルール グループを作成します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Firewall] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [Firewall] をクリックします。 3 [ルール] で、[グループの追加] をクリックします。 4 [説明] で、グループのオプションを指定します。 5 [場所] で、[位置認識を有効にする] と [接続の分離を有効にする] を選択します。 次に、比較する場所の条件を 選択します。 6 [ネットワーク] の [接続の種類] で、このグループのルールに適用する接続の種類 ([有線]、[無線]、[仮想]) を 選択します。 接続の分類グループでは、[トランスポート] と[アプリケーション] の設定は使用できません。 7 [OK] をクリックします。 8 このグループに新しいルールを作成するか、Firewall ルール リストから既存のルールをグループに移動します。 9 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 81 ページの「ファイアウォール ルール グループと接続の分離」 80 ページの「ファイアウォール ルール グループの機能」 86 McAfee Endpoint Security 10.1 製品ガイド ファイアウォール の使用 ファイアウォール の管理 4 期限付きグループを作成する ファイアウォール期限付きグループを作成すると、クライアント システムが VPN に接続するまでインターネットへ のアクセスが制限されます。 公開ネットワークから内部の Web サイトに接続する必要がある場合、期限付きグループを作成して VPN 接続を確 立できます。 この期限付きグループを有効にするには、クライアント システムで McAfee システム トレイ アイコンを右クリック して、[クイック設定] 、 [ファイアウォール期限付きグループを有効にする] の順に選択します。 このグループは指 定した期間 (分) だけ有効になり、公開ネットワークに接続しながら VPN 接続を確立できます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Firewall] をクリックします。 あるいは、[アクション] メニュー 3 から [設定] を選択し、[設定] ページで [Firewall] をクリックします。 デフォルトの設定でファイアウォール グループを作成します。デフォルトの設定では、インターネット接続が許 可されます。 たとえば、ポート 80 で HTTP トラフィックを許可します。 4 [スケジュール] で [McAfee システム トレイからスケジュールを無効にして、グループを有効にする] を選択し、 グループの有効期間 (分) を入力します。 5 [OK] をクリックして、変更を保存します。 6 必要なトラフィックを許可する VPN ネットワークに対応する接続分離グループを作成します。 接続の分離グループを作成する 86 ページの「」を参照してください。 接続分離グループを除き、クライアント システムから外部へのトラフィック送信を防ぐには、このグループよりも 上にファイアウォール ルールを配置しないでください。 7 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 McAfee Endpoint Security 10.1 製品ガイド 87 4 ファイアウォール の使用 ファイアウォール の管理 88 McAfee Endpoint Security 10.1 製品ガイド 5 Web 管理の使用 Web 管理 の保護機能は閲覧または検索中に表示されます。 目次 Web 管理の機能について Web 管理の機能にアクセスする Web 管理 の管理 Web 管理の機能について 管理対象システムで Web 管理 を実行すると、Web サイトの検索または閲覧時に脅威に関する情報が通知されます。 McAfee では、Web サイトを分析し、テスト結果に基づいて色別の安全性評価を割り当てます。 この色は、サイト の安全性レベルを表しています。 このソフトウェアは、テスト結果に基づいて Web の脅威をユーザーに通知します。 検索結果のページ - サイトの横にアイコンが表示されます。 このアイコンの色はサイトの安全性評価を表してい ます。 このアイコンを使用すると、より詳しい情報を確認できます。 ブラウザー ウィンドウ - ブラウザーにボタンが表示されます。 このボタンの色はサイトの安全性評価を表してい ます。 このボタンをクリックすると、より詳しい情報を確認できます。 通信上の問題が発生すると、ボタンでも問題を通知します。また、問題の特定の役立つテストをすぐに実行できます。 安全性レポート - 検出された脅威の種類やテスト結果などから算出された安全性評価を確認できます。 管理対象システムの場合、管理者は次のことを行うポリシーを作成します。 • システムで Web 管理を有効または無効にしたり、ブラウザー プラグインの無効化をユーザーに許可または禁止 します。 • サイト、ページ、ダウンロードに対するアクセスを安全性評価またはコンテンツの種類で制御します。 たとえば、危険なサイトをブロックし、注意が必要なサイトを警告します。 • URL とドメインに基づいてブロックまたは拒否するサイトは識別します。 • Web 管理 ファイル、レジストリ キー、レジストリ値、サービス、プロセスの削除や変更を禁止します。 • 禁止サイトの閲覧時に表示する通知をカスタマイズします。 • ネットワーク コンピューターで発生したブラウザー アクティビティを監視し、制限します。また、Web サイト に関する詳細レポートを作成します。 McAfee Endpoint Security 10.1 製品ガイド 89 5 Web 管理の使用 Web 管理の機能について 自社管理システムの場合、次の設定を行うことができます。 • システムで Web 管理を有効または無効にする • サイト、ページ、ダウンロードに対するアクセスを安全性評価またはコンテンツの種類で制御します。 たとえば、危険なサイトをブロックし、注意が必要なサイトを警告します。 ソフトウェアは、Microsoft Internet Explorer、Mozilla Firefox、Google Chrome に対応しています。 自社管理のシステムの場合、デフォルトですべてのブラウザー (非対応のブラウザーも含む) を使用できます。 Chrome では、ファイルのダウンロードを施行できません。また、[バルーンの表示] オプションを使用できません。 関連トピック: 90 ページの「閲覧時に Web 管理のボタンが脅威の存在を表している場合」 91 ページの「検索時に安全性アイコンが脅威の存在を表している場合」 92 ページの「サイト レポートの詳細」 92 ページの「安全性評価をコンパイルする方法」 Web 管理がサイトとダウンロードをブロックまたは警告する方法 ユーザーが閲覧したサイトがブロックまたは警告されると、Web 管理は理由を通知するページまたはポップアップ メッセージを表示します。 サイトに設定する評価アクションは次のとおりです。 • [警告] - Web 管理が警告を表示し、ユーザーにサイトの危険性を通知します。 • [キャンセル] をクリックすると、前の閲覧サイトに戻ります。 前に閲覧したサイトにブラウザー タブがない場合、[キャンセル] は使用できません。 • • [続行] をクリックすると、サイトに進みます。 [ブロック] - Web 管理がメッセージを表示し、サイトをブロックしてアクセスを拒否したことをユーザーに通 知します。 [OK] をクリックすると、前の閲覧サイトに戻ります。 前に閲覧したサイトにブラウザー タブがない場合、[OK] は使用できません。 サイトからのダウンロードに設定する評価アクションは次のとおりです。 • • [警告] - Web 管理が警告を表示し、ユーザーにダウンロード ファイルの危険性を通知します。 • [ブロック] を選択すると、ダウンロードを中止し、前のサイトに戻ります。 • [続行] を選択すると、ダウンロードを続行します。 [ブロック] - Web 管理がメッセージを表示し、サイトをブロックしてダウンロードを拒否したことをユーザー に通知します。 [OK] をクリックすると、サイトに戻ります。 閲覧時に Web 管理のボタンが脅威の存在を表している場合 Web サイトの閲覧時に、色分けされたボタン トの安全性評価を表しています。 がブラウザーに表示されます。 このボタンの色はサイ 安全性評価は、HTTP と HTTPS プロトコルの URL にのみ適用されます。 90 McAfee Endpoint Security 10.1 製品ガイド Web 管理の使用 Web 管理の機能について Internet Explorer と Safari (Macintosh) Firefox と Chrome 5 説明 このサイトは毎日 McAfee SECURE でテストされ、安全であることが確認 されています。(Windows のみ) ™ このサイトは安全です。 このサイトには問題が存在する可能性があります。 このサイトには重大な問題が存在します。 このサイトは評価されていません。 このボタンは FILE (file://) プロトコルの URL に表示されます。 McAfee GTI サーバーに接続できないため、評価情報が確認できません。 Web 管理はこのサイトを McAfee GTI に確認していません。このサイトは 内部のサイトか、プライベート IP アドレスの範囲内にあります。 これはフィッシング詐欺サイトです。 フィッシング詐欺は、ユーザー名、パスワード、クレジットカード上などの 重要な情報を盗み出す詐欺行為です。 フィッシング詐欺は、電子通信で信 頼された組織を装います。 この設定では、このサイトが許可されています。 この設定で Web 管理 が無効になっています。 ボタンの場所はブラウザーによって異なります。 • Internet Explorer - Web 管理 ツールバー • Firefox - Firefox ツールバーの右隅 • Chrome - アドレス バー 関連トピック: 94 ページの「閲覧中にサイトの情報を表示する」 検索時に安全性アイコンが脅威の存在を表している場合 一般的な検索エンジン (Google、Yahoo、Bing、Ask など) でキーワードを入力すると、検索結果ページに表示され たサイトの横に色分けされた安全性アイコンが表示されます。ボタンの色は、サイトの安全性評価に対応しています。 テストでは重大な問題は発見されませんでした。 テストによって、注意が必要な問題が見つかりました。 たとえば、ブラウザーのデフォルト設定が変更された り、ポップアップが表示されたり、スパムではない電子メールが大量に送信される可能性があります。 テストによって、このサイトにアクセスする前に注意が必要な重大な問題が見つかりました。 たとえば、スパ ム メールを受信したり、アドウェアが一緒にダウンロードされる可能性があります。 設定により、このサイトがブロックされています。 このサイトは評価されていません。 関連トピック: 94 ページの「検索でサイト レポートを表示する」 McAfee Endpoint Security 10.1 製品ガイド 91 5 Web 管理の使用 Web 管理の機能について サイト レポートの詳細 Web サイトのサイト レポートでは、特定の脅威に関する詳細を確認できます。 サイト レポートは McAfee GTI 評価サーバーから配信されます。このレポートでは次の情報が提供されます。 項目... 内容... 概要 Web サイトの全体的な評価。次のテスト結果から評価を行っています。 • 独自のデータ収集技術と分析技術により、Web サイトの電子メール送信とダウンロード ファイルを評 価します。 • Web サイト自体を検証し、過剰なポップアップや、ホームページの変更を要求するなどの迷惑行為を 行うかどうか確認します。 • Web サイトの関連サイトを分析し、他の不審なサイトと関係があるかどうか確認します。 • McAfee の分析結果と脅威情報サービスのフィードバックを提供します。 関連サイ McAfee が危険と評価したサイトにユーザーを誘導する可能性を検証します。 ト 多くの場合、不審なサイトは他の不審なサイトにリンクしています。 このようなサイトは、利用者を不 審なサイトに誘導することを第一の目的としています。 他の危険なサイトへのリンク数が多い場合は危 険なサイトとして評価します。 この場合、Web 管理 は、関連サイトから危険なサイトと判断します。 Web ス テスト結果に基づいて、Web サイトで行われている電子メールの送受信状況について全般的な評価を行 パムのテ います。 スト McAfee では、サイトに電子メール アドレスを入力した後に受信する電子メールの量と、受信する電子 メールがスパムである可能性に基づいて評価します。 いずれかの値が許容範囲を超えている場合、 McAfee はそのサイトを注意が必要なサイトとして警告します。 両方の値が許容範囲を超えている場 合、またはいずれかの値が特に多い場合には、McAfee は危険なサイトとして警告します。 ダウンロ テスト結果に基づいて、サイトからダウンロード可能なソフトウェアがテスト コンピューターに及ぼす ード テ 影響について全体的な評価を行います。 スト McAfee は、ウイルスに感染したダウンロードが存在するサイトや、未評価のソフトウェア (アドウェア やスパイウェアを見なされるソフトウェア) を追加するサイトを危険なサイトとして警告します。 この 評価では、プログラムのダウンロードで接続したネットワーク サーバーや、ブラウザーの設定またはコ ンピューターのレジストリ ファイルに対する変更も考慮します。 関連トピック: 94 ページの「検索でサイト レポートを表示する」 94 ページの「閲覧中にサイトの情報を表示する」 安全性評価をコンパイルする方法 McAfee では、様々な基準でサイトをテストし、その結果から共通の脅威を検出して、安全性を評価しています。 自動テストでは以下の方法で Web サイトの安全性評価が決定されます。 92 • ファイルをダウンロードして、ダウンロードで持ち込まれたウイルスおよび不審なプログラムがないか確認する。 • サインアップ フォームに連絡先を入力して、スパムを受信するかどうか確認する。また、サイトやその関連サイ トからスパム以外の電子メールを大量に受信するかどうか確認する。 • ポップアップ ウィンドウが過剰に表示されないかどうか確認する。 • サイトがブラウザーの脆弱性を利用していないかを確認する。 • サイトで採用された不正行為または詐欺行為がないかを確認する。 McAfee Endpoint Security 10.1 製品ガイド Web 管理の使用 Web 管理の機能にアクセスする 5 チームは、テストの結果から安全性レポートを作成します。安全性レポートには以下の情報も含まれます。 • サイトの所有者から送信されたフィードバック。サイトで採用されている安全対策の説明や、サイトに関するユ ーザー フィードバックへの回答が含まれる場合があります。 • サイト ユーザーが送信したフィードバック。フィッシング詐欺や不審なショッピング サイトなどの報告が含ま れる場合があります。 • McAfee の専門家による詳細な分析結果 McAfee GTI サーバーには、サイトの評価とレポートが保存されます。 Web 管理の機能にアクセスする ブラウザーから Web 管理の機能にアクセスします。 タスク • 93 ページの「ブラウザーで Web 管理プラグインを有効にする」 閲覧と検索中に Web 脅威の通知を受信する場合、ブラウザーによっては Web 管理プラグインを手動で 有効にする必要があります。 • 94 ページの「閲覧中にサイトの情報を表示する」 ブラウザーの Web 管理 ボタンを使用すると、サイトの情報を確認できます。 ボタンの動作はブラウザ ーによって異なります。 • 94 ページの「検索でサイト レポートを表示する」 検索結果ページの安全性アイコンを使用して、サイトに関する詳細情報を確認します。 ブラウザーで Web 管理プラグインを有効にする 閲覧と検索中に Web 脅威の通知を受信する場合、ブラウザーによっては Web 管理プラグインを手動で有効にする 必要があります。 開始する前に Web 管理モジュールを有効にする必要があります。 Internet Explorer または Chrome を最初に起動したときに、プラグインを有効にするかどうか確認されます。 Firefox の場合、Web 管理プラグインはデフォルトで有効になっています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 • プロンプトでボタンをクリックし、プラグインを有効にします。 Internet Explorer<index-sort-as>Internet Explorer</index-sort-as> • [有効] をクリックします。 Chrome [拡張機能を有効にする] をクリックします。 • 複数のプラグインが使用可能な場合には、[アドオンの選択] をクリックして、Web 管理ツールバーで [有効] をクリック します。 Internet Explorer の場合、Web 管理ツールバーを無効にすると、Web 管理プラグインも無効にするように指示 されます。 管理対象システムのポリシー設定でプラグインの削除または無効化を防止すると、ツールバーが表示さ れていない場合でも Web 管理プラグインは有効のままです。 McAfee Endpoint Security 10.1 製品ガイド 93 5 Web 管理の使用 Web 管理の機能にアクセスする 閲覧中にサイトの情報を表示する ブラウザーの Web 管理 ボタンを使用すると、サイトの情報を確認できます。 ボタンの動作はブラウザーによって 異なります。 開始する前に • Web 管理モジュールを有効にする必要があります。 • Web 管理 プラグインをブラウザーで有効にする必要があります。 • [オプション] 設定で [クライアント ブラウザーでツールバーを表示しない] オプションを無効にす る必要があります。 Internet Explorer を全画面表示で実行すると、Web 管理ツールバーが表示されません。 Web 管理メニューを表示するには、次の手順に従います。 Internet Explorer と Firefox Chrome ツールバーで ボタンをクリックします。 アドレス バーで ボタンをクリックします。 タスク 1 Web 管理 ツールバーの上にカーソルを置くと、バルーンが開き、サイトの安全性評価の概要が表示されます。 (Internet Explorer と Firefox の場合のみ) 2 サイトの安全性評価を含む詳細なサイト レポートを表示します。 • Web 管理のボタンをクリックします。 • Web 管理のメニューから [サイト レポートの表示] を選択します。 • サイト バルーンの [サイト レポートを読む] リンクをクリックします。 (Internet Explorer と Firefox の 場合のみ) 関連トピック: 90 ページの「閲覧時に Web 管理のボタンが脅威の存在を表している場合」 92 ページの「サイト レポートの詳細」 検索でサイト レポートを表示する 検索結果ページの安全性アイコンを使用して、サイトに関する詳細情報を確認します。 タスク 1 カーソルを安全性アイコンの上に置きます。バルーンが開き、サイトの安全性レポートの概要が表示されます。 2 バルーンの [安全性レポートを読む] をクリックします。別のブラウザー ウィンドウが開き、サイトの詳しい安 全性レポートが表示されます。 関連トピック: 91 ページの「検索時に安全性アイコンが脅威の存在を表している場合」 92 ページの「サイト レポートの詳細」 94 McAfee Endpoint Security 10.1 製品ガイド Web 管理の使用 Web 管理 の管理 5 Web 管理 の管理 管理者は、Web 管理 の設定を指定し、保護機能を有効にしたり、カスタマイズできます。また、Web カテゴリによ るブロックやロギングを設定できます。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 Web 管理 オプションを設定する Web 管理 を有効にして、Endpoint Security クライアント からオプションを設定できます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Web Control] をクリックします。 あるいは、[アクション] メニュー す。 3 [詳細を表示] をクリックします。 4 [オプション] をクリックします。 McAfee Endpoint Security 10.1 から [設定] を選択し、[設定] ページで [Web Control] をクリックしま 製品ガイド 95 5 Web 管理の使用 Web 管理 の管理 5 [Web Control を有効にする] を選択して Web 管理 を有効にし、オプションを変更します。 操作... 手順... メモ 保護機能は無効にせず、 [クライアント ブラウザーでツールバーを ブラウザーの Web 管 表示しない] を選択します。 理 ツールバーで非表示 にする。 ブラウザー イベントを [イベント ロギング] セクションで設定を 追跡してレポートに使 行います。 用する。 不明な URL をブロッ クまたは警告する。 Web 管理 イベントをクライアント シス テムから管理サーバーに送信し、クエリ ーとレポートで使用できるように設定し ます。 [アクション施行] で、McAfee GTI が検証 していないサイトに対するアクションを設 定します。[ブロック]、[許可] または [警 告] を選択します。 ダウンロードの前にフ [ダウンロードでファイルのスキャンを有 ァイルをスキャンする。 効にする] を選択して、ブロックする McAfee GTI 危険度を選択します。 検索結果で危険なサイ トをブロックする。 [安全な検索] で、[安全な検索を有効にす る] を選択します。検索エンジンを選択し て、危険なサイトのリンクをブロックする かどうかを指定します。 安全な検索は、安全性の評価に基づいて、 検索結果から不正なサイトを自動的にフ ィルタリングします。 Web 管理 は、デ フォルトの検索エンジンに Yahoo を使 用します。 デフォルトの検索エンジンを変更 した場合には、ブラウザーを再起動 して変更を有効にしてください。 6 他のオプションを必要に応じて設定します。 7 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 97 ページの「ファイル ダウンロードのスキャン方法」 25 ページの「管理者としてログオンする」 96 McAfee Endpoint Security 10.1 製品ガイド Web 管理の使用 Web 管理 の管理 5 ファイル ダウンロードのスキャン方法 Web 管理は、ファイルのダウンロード要求を脅威対策に送信し、ダウンロードの前にスキャンを実行します。 McAfee Endpoint Security 10.1 製品ガイド 97 5 Web 管理の使用 Web 管理 の管理 評価アクションを指定して、Web カテゴリに基づいてサイト アクションをブロ ックする [コンテンツによるアクション] で設定を行い、安全性評価に基づいてサイトとファイル ダウンロードに適用するア クションを指定します。 それぞれの Web カテゴリでサイトのブロックまたは許可を指定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 施行メッセージの設定を使用して、サイトやファイル ダウンロードがブロックされ、警告されたときに表示されるメ ッセージをカスタマイズします。また、フィッシング詐欺ページがブロックされたときのメッセージも変更できます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Web Control] をクリックします。 あるいは、[アクション] メニュー す。 から [設定] を選択し、[設定] ページで [Web Control] をクリックしま 3 [詳細を表示] をクリックします。 4 [コンテンツによるアクション] をクリックします。 5 [Web カテゴリのブロック] セクションの [Web カテゴリ] で、[ブロック] オプションを有効または無効にしま す。 サイトがブロックしないカテゴリの場合、Web 管理は評価アクションも適用します。 6 [評価アクション] セクションで、McAfee が定義する安全性評価に従ってサイトとファイル ダウンロードに適用 するアクションを指定します。 これらのアクションは、Web カテゴリでブロックされないサイトにも適用されます。 7 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 98 ページの「Web カテゴリによるアクセス制御」 99 ページの「安全性評価によるアクセス制御」 25 ページの「管理者としてログオンする」 Web カテゴリによるアクセス制御 Web カテゴリを使用すると、McAfee が定義するカテゴリに基づいて、サイトに対するアクセスを制御できます。 オプションを指定すると、サイトに含まれるコンテンツの種類に基づいてサイトへのアクセスを許可またはブロック することができます。 コンテンツによるアクションで Web カテゴリ ブロックを有効にすると、Web サイトのカテゴリがブロックまたは 許可されます。 Web カテゴリには、ギャンブル、ゲーム、インスタント メッセージなどがあります。 McAfee で は、約 105 の Web カテゴリを定義しています。 クライアントのユーザーがサイトにアクセスすると、サイトの Web カテゴリが確認されます。 サイトが定義済みの カテゴリに該当すると、コンテンツによるアクション設定に従ってアクセスがブロックまたは許可されます。 ブロッ クされないカテゴリのサイトとファイル ダウンロードの場合、評価アクションが適用されます。 98 McAfee Endpoint Security 10.1 製品ガイド Web 管理の使用 Web 管理 の管理 5 安全性評価によるアクセス制御 安全性評価に基づいてアクションを設定し、ユーザーにアクセスを許可するサイトまたはサイト リソースを設定でき ます。 サイトまたはファイル ダウンロードごとに、評価と許可、警告またはブロックを指定します。 これにより、全体的 に安全と評価されているサイトでも、危険な可能性があるファイルのアクセスを制限できます。 McAfee Endpoint Security 10.1 製品ガイド 99 5 Web 管理の使用 Web 管理 の管理 100 McAfee Endpoint Security 10.1 製品ガイド 6 脅威情報 の使用 脅威情報 は、コンテキスト情報を使用した適応型のセキュリティをネットワーク環境に提供します。 脅威情報 は、企業内のコンテンツを分析し、ファイルのレピュテーションと管理者の設定した条件に従って処理を判 断します。 目次 脅威情報 の機能 脅威情報 の管理 脅威情報 の機能 脅威情報 は、Data Exchange Layer フレームワークを使用して、ネットワーク全体でファイル情報と脅威情報を共 有します。 これまでは、不明なファイルや証明書を McAfee に送信し、分析を依頼していました。更新されたファイル情報がネ ットワーク経由で配信されるまでに数日かかりました。 脅威情報 では、環境のローカル レベルでファイル レピュテ ーションを制御できます。 実行するファイルとブロックするファイルを決めると、Data Exchange Layer はすぐに この情報を環境全体で共有します。 脅威情報 のシナリオ • ファイルをすぐにブロックする - 脅威情報 がネットワーク内で不明なファイルを検出すると、ネットワーク管 理者に警告します。 ファイル情報を McAfee に送信して分析を依頼することなく、管理者はすぐにファイルをブ ロックできます。 次に、脅威情報 を使用して、ファイルの安全性とファイルを実行したシステムの数を確認しま す。 • カスタム ファイルの実行を許可する - 会社で、デフォルトのレピュテーションが「不正」または「不審」のフ ァイルを定期的に使用しています。たとえば、自社で作成したカスタム ファイルはこのカテゴリに分類されます。 このファイルは、McAfee に分析を依頼して最新の DAT ファイルを受信しなくても実行を許可できるので、管理 者はファイルのレピュテーションを「信頼」に変更しました。これにより、このファイルに対する警告やプロン プトが表示されなくなりました。 脅威情報 の管理 管理者は 脅威情報 の設定を指定できます。たとえば、ルール グループを選択したり、レピュテーションしきい値を 設定できます。 McAfee ePO でポリシーを変更すると、設定 ページの変更が上書きされます。 脅威情報は McAfee ePO 管理対象システムでのみ使用できます。 McAfee Endpoint Security 10.1 製品ガイド 101 6 脅威情報 の使用 脅威情報 の管理 脅威情報について 脅威情報 は、環境内のシステムやデバイスがすぐに情報を交換できるセキュリティ エコシステムを提供します。 こ の通信は、Data Exchange Layer フレームワークによって実現されています。 脅威が最初に検出されたシステムや感染元を特定し、脅威をすぐにブロックすることができます。 脅威情報 には次の利点があります。 • セキュリティ脅威やマルウェアを迅速に検出し、阻止できます。 • 感染したシステムやデバイスを特定し、環境への拡散状況を把握できます。 • レピュテーションとリスク条件に従って特定のファイルや証明書をすぐにブロックまたは許可できます。 • McAfee Advanced Threat Defense と McAfee GTI がリアルタイムで連係し、マルウェア分類の評価と詳細 データを提供します。 これにより、脅威に迅速に対応し、環境内で情報を共有することができます。 ® 脅威情報は McAfee ePO 管理対象システムでのみ使用できます。 脅威情報 のコンポーネント 脅威情報 には次のコンポーネントがあります。 • Endpoint Security モジュール。レピュテーションに従ってファイルと証明書をブロックまたは許可するポリシ ーを作成できます。 • サーバー。ファイルと証明書のレピュテーションの情報を保存し、他のシステムに送信します。 • Data Exchange Layer ブローカー。ネットワーク上の管理対象システム間で双方向の通信を可能にします。 ® ® ™ これらのコンポーネントは、McAfee ePolicy Orchestrator (McAfee ePO ) の拡張ファイルとしてインストール され、いくつかの新機能とレポートが追加されます。 102 McAfee Endpoint Security 10.1 製品ガイド 脅威情報 の使用 脅威情報 の管理 6 モジュールとサーバーは、ファイルのレピュテーション情報を交換します。 Data Exchange Layer フレームワーク は、この情報をすぐに管理対象エンドポイントに送信します。 また、この情報は Data Exchange Layer にアクセ スする他の McAfee 製品 (McAfee Enterprise Security Manager (McAfee ESM)、McAfee Network Security Platform など) と共有します。 ® ® 脅威情報 モジュール 脅威情報 用モジュールを使用すると、レピュテーションが「不正」または「不明」のファイルが環境で検出されたと きの処理を判定できます。 また、脅威の履歴情報と実行されたアクションも確認できます。 脅威情報 モジュールを使用すると、次のタスクを実行できます。 • • ポリシーの作成: • レピュテーションに応じてファイルまたは証明書を許可あるいはブロックする。 • 特定のレピュテーションのファイルまたは証明書が実行される前にプロンプトを表示する。 • ファイルを自動的に Advanced Threat Defense に送信し、詳しい分析を行う。 脅威情報 ダッシュボードでイベントを確認する。 過去 30 日間に発生したイベントを (駆除、ブロック、許可) を確認できます。また、イベント タイプごとに表示することもできます。 脅威情報 Exchange Server サーバーは、ファイルと証明書のレピュテーションの情報を保存し、他のシステムに送信します。 サーバーの詳細については、『脅威情報 製品ガイド』を参照してください。 McAfee Endpoint Security 10.1 製品ガイド 103 6 脅威情報 の使用 脅威情報 の管理 TIE サーバーとデータベースのブリッジ 異なる McAfee ePO で管理されている TIE サーバーとデータベースが存在している場合、これらをブリッジすると レピュテーション情報を共有できます。 TIE サーバーとデータベースをブリッジする方法については、『Data Exchange Layer 製品ガイド』と KnowledgeBase の記事 KB83896 を参照してください。 Data Exchange Layer Data Exchange Layer は、Client ソフトウェアと Broker から構成され、ネットワーク上のエンドポイント間で双 方向の通信を可能にしています。 Data Exchange Layer はバックグラウンドで動作し、サービス、データベース、エンドポイント、アプリケーショ ンと通信を行います。 Data Exchange Layer Client は管理対象のエンドポイントにインストールされます。これ により、DXL を使用するセキュリティ製品からの脅威情報を他のサービスやデバイスとすぐに共有することができま す。 アプリケーションとサービス間で情報を交換し、レピュテーション情報をすぐに共有することで、仮説による対 応を減らすことができます。 この情報を共有することで、脅威の拡散を抑えることができます。 Data Exchange Layer のインストールと使い方については、 『Data Exchange Layer 製品ガイド』を参照してくだ さい。 レピュテーションの判定方法 管理対象システムでファイルの実行が試行されると、ファイルと証明書のレピュテーションが確認されます。 ファイルまたは証明書のレピュテーションは次の流れで判定されます。 1 ユーザーまたはシステムがファイルの実行を試みます。 2 Endpoint Security がファイルを検査しますが、有効性とレピュテーションは判断できません。 3 脅威情報モジュールがファイルを検査し、問題のファイルとローカル システムのプロパティを収集します。 4 このモジュールがローカル レピュテーション キャッシュでファイル ハッシュを確認します。 ファイル ハッシ ュが見つかると、モジュールがファイルの普及度とレピュテーション データをキャッシュから取得します。 5 ローカル レピュテーション キャッシュにファイル ハッシュがない場合、モジュールは TIE サーバーにクエリー を送信します。 ハッシュが見つかると、モジュールがハッシュから普及度データを取得します (使用可能な任意 のレピュテーションを含む)。 6 TIE サーバーのキャッシュまたはデータベースにファイル ハッシュがない場合、サーバーから McAfee GTI にク エリーを送信し、ハッシュのレピュテーションを取得します。 McAfee GTI が使用可能な情報 (不明なレピュテ ーションなど) を送信し、サーバーがその情報を保存します。 以下のいずれかの条件を満たすと、サーバーがスキャン用のファイルを送信します。 • Advanced Threat Defense が存在し、ファイル ハッシュが McAfee GTI にない。 • エンドポイントのポリシーで Advanced Threat Defense へのファイル送信が設定されている。 See the additional steps under 『If Advanced Threat Defense is present』. 7 104 サーバーが検出されたデータに基づき、企業側でのファイル ハッシュの経過時間、普及度データ、レピュテーシ ョンをモジュールに戻します。 ファイルが環境内で初めて見つかった場合、サーバーはファイル インスタンスの ログも脅威情報モジュールに送信します。 McAfee Web Gateway が存在し、レピュテーション スコアを送信す ると、脅威情報がファイルのレピュテーションを戻します。 McAfee Endpoint Security 10.1 製品ガイド 脅威情報 の使用 脅威情報 の管理 8 9 6 モジュールがこのメタデータを評価し、ファイルのレピュテーションを判定します。 • ファイルとシステムのプロパティ • 企業での経過時間と普及度データ • レピュテーション ファイルを実行しているシステムのポリシーに従って、モジュールが操作を実行します。 10 モジュールがレピュテーション情報、ファイルの状態 (許可またはブロック) を使用してサーバーを更新します。 また、McAfee Agent.経由で脅威イベントを McAfee ePO に送信します。 11 サーバーがファイル ハッシュのレピュテーション変更イベントを公開します。 Advanced Threat Defense が存在する場合 Advanced Threat Defense が存在する場合、次のプロセスが実行されます。 1 システムが Advanced Threat Defense にファイルを送信するように設定され、ファイルが環境内で初めて検出 された場合、システムがファイルを TIE サーバーに送信します。 次に、TIE サーバーがファイルを Advanced Threat Defense に送信し、スキャンを実行します。 2 Advanced Threat Defense がファイルをスキャンし、Data Exchange Layer を使用してファイルのレピュテ ーション結果を TIE サーバーに送信します。 サーバーがデータベースを更新し、脅威情報が有効になっているす べてのシステムに最新のレピュテーション情報を送信し、環境をすぐに保護します。 脅威情報または他の McAfee 製品がこのプロセスを開始する場合もあります。 いずれの場合も、脅威情報がレピュテーションを処理 し、データベースに保存します。 Advanced Threat Defense と 脅威情報の統合については、『McAfee Advanced Threat Defense 製品ガイド』 で 『マルウェアの検出と Advanced Threat Defense』を参照してください。 McAfee Web Gateway が存在する場合 McAfee Web Gateway が存在する場合、次のプロセスが実行されます。 • ファイルをダウンロードすると、McAfee Web Gateway がレポートを TIE サーバーに送信し、サーバーがレピ ュテーション スコアをデータベースに保存します。 サーバーがモジュールからファイル レピュテーション要求 を受信すると、McAfee Web Gateway と他のレピュテーション プロバイダーから受信したファイル レピュテー ションを戻します。 McAfee Web Gateway が TIE サーバーを使用して情報を交換する方法については、 『McAfee Web Gateway 製 品ガイド』でプロキシに関する章を参照してください。 はじめに 脅威情報 をインストールしたら次の作業を行います。 脅威情報 を開始するには、次の作業を行います。 1 許可対象とブロック対象を判定する 脅威情報 ポリシーを作成します。 次に、脅威情報 を監視モードで実行して ファイルの普及度を設定し、環境内で 脅威情報 が検出する内容を監視します。 ファイルの普及度は、環境内で ファイルが確認される頻度を表します。 2 ポリシーを監視してファイルまたは証明書のレピュテーションを調整し、環境内で許可する内容を制御します。 ファイルの普及度の設定と監視 インストールと配備を行った後に、ファイルの普及度を現在の脅威情報を設定します。 McAfee Endpoint Security 10.1 製品ガイド 105 6 脅威情報 の使用 脅威情報 の管理 環境での実行内容を確認して、ファイルと証明書のレピュテーション情報を TIE データベースに追加できます。 こ の情報はモジュールのグラフとダッシュボードにも反映され、ファイルと証明書に関する詳細なレピュテーション情 報を確認できます。 まず最初に、1 つ以上の 脅威情報ポリシーを作成して、環境内の少数のシステムで実行します。 ポリシーでは次の ことを指定します。 • システムで特定のレピュテーションのファイルまたは証明書の実行を許可する条件 • ファイルまたは証明書をブロックする条件 • ユーザーにプロンプトを表示してアクションを確認する条件 • ファイルを Advanced Threat Defense に送信して詳しい分析を行う条件 ファイルの普及度を設定するときに、ポリシーを監視モードで実行できます。 ファイルまたは証明書のレピュテーシ ョンがデータベースに追加されますが、アクションは実行されません。 ポリシーを施行すると、脅威情報 がブロッ クまたは許可した対象を確認できます。 詳細については、『脅威情報オプションを設定する』を参照してください。 モニタリングと調整 環境内でポリシーを実行すると、レピュテーション データがデータベースに追加されます。 McAfee ePO のダッシュボードとイベント ビューを使用すると、ポリシーに従って許可またはブロックされたファ イルと証明書を確認できます。 システム (コンピューター)、ファイル、ルールまたは証明書ごとに詳細を表示して、識別された項目数と実行された アクションを簡単に確認できます。 項目をクリックしてドリルダウンすると、適切なアクションが実行されるよう に、特定のファイルまたは証明書のレピュテーションを調整できます。 たとえば、ファイルのデフォルトのレピュテーションが「不審」または「不明」で、そのファイルの安全性が確認で きた場合、レピュテーションを「信頼」に変更すると、環境内でブロックされずに実行できます。また、プロンプト が表示され、アクションが確認されることもありません。 これは、環境内でカスタム ファイルまたは内部ファイル を使用する場合には便利です。 106 • TIE レピュテーション機能を使用すると、特定のファイルまたは証明書の名前で検索を実行できます。 会社名、 SHA-1 ハッシュ、説明、McAfee GTI の情報など、ファイルまたは証明書の詳細を確認できます。 ファイルの 場合、TIE レピュテーションの詳細ページから VirusTotal のデータに直接アクセスし、追加情報を入手できま す。 • [レポート ダッシュボード] ページでは、複数の種類のレピュテーション情報を同時に表示できます。 環境内で 先週確認された新しいファイルの数、レピュテーション別のファイル数、最近レピュテーションが変更されたフ ァイル、最近新しいファイルを実行したシステムなどの情報を確認できます。 ダッシュボードの高億をクリック すると、詳細情報が表示されます。 • 有害または不審なファイルを見つけた場合、そのファイルを実行したシステムや感染したシステムをすぐに特定 できます。 McAfee Endpoint Security 10.1 製品ガイド 脅威情報 の使用 脅威情報 の管理 • 6 必要に応じて、ファイルまたは証明書のレピュテーションを変更します。 この情報はダッシュボードにすぐに反 映され、環境内のすべてのデバイスに送信されます。 ファイルと証明書は、レピュテーションに従ってブロック または許可されます。 特定のファイルまたは証明書に対する対象方法が分からない場合には、詳細が明らかになるまで実行をブロック できます。 脅威対策 の駆除アクションではファイルが削除されますが、ブロックしても実行が許可されないだけ で、ファイルが削除されることはありません。 ファイルを検査し、アクションが決まるまで、ファイルはそのま まの状態で残ります。 • ファイルまたは証明書のレピュテーションをデータベースにインポートすると、他のレピュテーション ソースに 基づいて特定のファイルまたは証明書を許可あるいはブロックできます。 これにより、インポートした設定を特 定のファイルまたは証明書に使用できます。サーバーで個別に設定する必要はありません。 詳細な分析を行うファイルの送信 ファイルのレピュテーションが不明な場合、ファイルを Advanced Threat Defense に送信して詳しい分析を行う ことができます。 脅威情報ポリシーで、Advanced Threat Defense にファイルを送信するかどうかを指定します。 Advanced Threat Defense は、ウイルス対策シグネチャ、レピュテーション、リアルタイムのエミュレーションを 組み合わせてゼロデイ マルウェアを検出します。 レピュテーション レベルはファイル サイズに基づいて、脅威情報 から Advanced Threat Defense にファイルを自動的に送信できます。 Advanced Threat Defense から送信さ れたファイル レピュテーション情報は、TIE サーバー データベースに追加されます。 ファイルと証明書の情報は McAfee に直接送信され、分析されます。 この情報により、詳しい分析を行い、レピュ テーション情報の精度を高めることができます。 McAfee では、個人を特定できる情報を収集しません。また、McAfee 以外にこれらの情報を公開することもありませ ん。 ファイルと証明書の情報 • TIE サーバーとモジュールのバージョン • TIE サーバーが行ったレピュテーション設定の上書き • 外部のレピュテーション情報 (例: Advanced Threat Defense) ファイル固有の情報 • ファイル名、パス、サイズ、製品、発行者、普及 度 • レポーティング モジュールが監視モードかどう か • SHA1、SHA256、MD5 ハッシュ情報 • ファイルに対するアクション (許可、ブロック、 駆除) • 報告を行うコンピューターのオペレーティング システムのバージョン • ファイルを検出した製品。例: Advanced Threat Defense、脅威対策 • ファイルに設定されたレピュテーション (最大、 最小、平均) 証明書固有の情報 • SHA ハッシュ情報 • 証明書発行者の名前とサブジェクト • 証明書の発効日、有効期限 McAfee Endpoint Security 10.1 製品ガイド 107 6 脅威情報 の使用 脅威情報 の管理 脅威情報オプションを設定する 設定により、許可、ブロック、クリーンアップするファイルまたは証明書が決まります。また、ユーザーにアクショ ンを確認することもできます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 McAfee ePO でポリシーを変更すると、設定 ページの変更が上書きされます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [Threat Intelligence Exchange] をクリックします。 あるいは、[アクション] メニュー をクリックします。 から [設定] を選択し、[設定] ページで [Threat Intelligence Exchange] 3 [詳細を表示] をクリックします。 4 [オプション] をクリックします。 5 ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 ファイルと証明書のブロックまたは許可 ファイルと証明書には、コンテンツとプロパティに基づいて脅威レピュテーションが設定されます。 脅威情報 のポ リシーでは、環境内のシステムでブロックまたは許可するファイルと証明書をレピュテーション レベルに基づいて判 断します。 システムのセキュリティ レベルには 3 つあります。これにより、システムのタイプ別にルールの調整を行います。 各レベルは、不正または不審なファイルと証明書を識別する特定のルールに関連付けられています。 • [生産性] - 頻繁に変更されるシステムです。プログラムのインストールと削除、更新の受信が頻繁に行われま す。 たとえば、開発環境にあるコンピューターのシステムが該当します。 この設定のポリシーはルールが少なく なります。 ブロックは必要最小限になり、新しいファイルを検出すると、プロンプトが表示されます。 • [バランス] - 新しいプログラムのインストールや変更が頻繁に発生しない標準的なビジネス システムです。 こ の設定のポリシーはルールが多くなります。 ブロックとプロンプトの数が増えます。 • [セキュリティ] - IT 部門が管理するシステムです。厳密に管理され、変更もほとんど発生しません。 金融機関 や政府機関で重要な情報や機密情報にアクセスするシステムが該当します。 この設定はサーバーにも使用されま す。 この設定のポリシーでは、使用されるルールが最大になります。 ブロックとプロンプトの数がさらに増えま す。 セキュリティ レベルに関連付けられているルールを表示するには、[メニュー] 、 [サーバー設定] の順に選択します。 [カテゴリの設定] リストで、[脅威情報] を選択します。 ポリシーに割り当てるセキュリティ レベルを決める場合には、ポリシーを使用するシステムのタイプだけでなく、ブ ロックとプロンプトが発生する回数も考慮してください。 作成したポリシーをコンピューターまたはデバイスに割 り当て、ブロックとプロンプトの発生回数を確認します。 108 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス インターフェース リファレンスのヘルプ トピックでは、クライアント インターフェースに表示されるページのコン テキスト ヘルプを提供します。 目次 [イベント ログ] ページ [隔離] ページ 共通設定 - オプション Common - タスク 脅威対策 - アクセス保護 脅威対策 - エクスプロイト防止 脅威対策 - オンアクセス スキャン 脅威対策 - オンデマンド スキャン スキャンする場所 McAfee GTI アクション 除外対象の追加または除外対象の編集 脅威対策 - オプション AMCore コンテンツのロールバック ファイアウォール - オプション ファイアウォール — ルール Web 管理 - オプション Web 管理 — コンテンツによるアクション 脅威情報 - オプション [イベント ログ] ページ イベント ログのアクティビティとデバッグ イベントを表示します。 オプション 定義 [イベント数] 過去 30 日に Endpoint Security がシステムで記録したイベントの数を表します。 新しいイベントが発生したらイベント ログの表示を更新します。 [ログ フォルダー ログ ファイルのあるフォルダーを Windows エクスプローラーで開きます。 の表示] [すべてのイベン トを表示] McAfee Endpoint Security 10.1 フィルターを削除します。 製品ガイド 109 7 クライアント インターフェース リファレンス [イベント ログ] ページ オプション 定義 [重大度でフィル タリング] 重大度でイベントをフィルタリングします。 [モジュールでフ ィルタリング] [重大] 重大度が 1 のイベントを表示します。 [メジャー以上] 重大度が 1 と 2 のイベントを表示します。 [マイナー以上] 重大度が 1、2、3 のイベントを表示します。 [警告以上] 重大度が 1、2、3、4 のイベントを表示します。 モジュールでイベントをフィルタリングします。 [Common] 共通設定 イベントだけを表示します。 [Threat Prevention] 脅威対策 イベントだけを表示します。 [Firewall] ファイアウォール イベントだけを表示します。 [Web Control] Web 管理 イベントだけを表示します。 イベント ログの表示時にシステムにインストールされている機能によって、ドロップダウン リ ストに表示される機能が異なります。 [検索] イベント ログで文字列を検索します。 [1 ページあたり のイベント数] ページに表示するイベント数を選択します。 デフォルトは、1 ページあたり 20 件です。 [前のページ] イベント ログの前のページを表示します。 [次のページ] イベント ログの次のページを表示します。 [ページ] x [/] x イベント ログで移動するページを選択します。 [ページ] フィールドに数字を入力して Enter を押すか、[実行] をクリックしてページに移動 します。 110 列見出し イベント リストのソー条件... [日付] イベントが発生した日付 [機能] イベントを記録した機能 McAfee Endpoint Security 10.1 製品ガイド クライアント インターフェース リファレンス [隔離] ページ 列見出し イベント リストのソー条件... [アクショ ン] イベントに対して Endpoint Security が実行したアクション 7 アクションは設定で指定します。 [許可] ファイル アクセスが許可されています。 [アクセス拒否] ファイル アクセスが拒否されています。 [削除] ファイルが自動的に削除されています。 [続行] [重大度] [駆除] ファイルから脅威が自動的に駆除されています。 [移動] ファイルが隔離フォルダーに移動しました。 [ブロック] ファイルに対するアクセスがブロックされました。 [ブロックの可能 性] アクセス保護ルールが施行されている場合、ファイルに対するアクセスがブロ ックされます。 イベントの重大度 [重大] 1 [メジャー] 2 [マイナー] 3 [警告] 4 [情報] 5 関連トピック: 22 ページの「イベント ログ を表示する」 [隔離] ページ 隔離領域の項目を管理します。 表 7-1 オプション オプション 定義 [削除] 選択した項目を隔離領域から削除します。 削除された項目は復元できません。 [復元] 隔離領域から項目を復元します。 Endpoint Security は、項目を元の場所に復元し、隔離領域から削除します。 復元する項目に脅威が存在している場合、Endpoint Security は項目をすぐに隔離領域に戻します。 [再スキャン] 隔離領域で選択した項目を再度スキャンします。 項目に脅威が存在しない場合、Endpoint Security は項目を元の場所に復元し、隔離領域から削除 します。 McAfee Endpoint Security 10.1 製品ガイド 111 7 クライアント インターフェース リファレンス 共通設定 - オプション 列見出し 隔離リストのソート条件... [検出名] 検出名 [種類] 脅威の種類。[トロイの木馬] や [アドウェア] など。 [隔離期日] 項目を隔離している期間 [オブジェクト数] 検出結果のオブジェクト数 [AMCore コンテンツのバージョン] 脅威を識別した AMCore コンテンツのバージョン番号 [再スキャンのステータス] 再スキャンのステータス (項目が再スキャンされた場合): • [正常] - 再スキャンの結果、脅威は見つかりませんでした。 • [感染] - 再スキャンで Endpoint Security が脅威を検出しました。 関連トピック: 46 ページの「隔離項目を管理する」 47 ページの「検出名」 48 ページの「隔離項目の再スキャン」 共通設定 - オプション Endpoint Security クライアントのインターフェース、自己保護、アクティビティ ログとデバッグ ログ、プロキシ サーバーを設定します。 表 7-2 オプション セクション オプション 定義 [クライアント イ [フル アクセス] すべての機能に対するアクセスを許可します。 ンターフェース (自社管理システムのデフォルト) モード] [標準アクセス] 保護状態を表示し、更新やスキャンの実行など、ほとんどの機能に対するア クセスを許可します。 モードに [標準アクセス] を選択した場合、Endpoint Security クライアン ト の [設定] ページで設定を表示または変更するときにパスワードが必要 になります。 デフォルトのパスワードは、mcafee です。 (McAfee ePO の管理対象システムのデフォルト) [クライアント インターフェー スをロック] 112 McAfee Endpoint Security 10.1 Endpoint Security クライアント にアクセスするときに、パスワードの入力 が要求されます。 製品ガイド 7 クライアント インターフェース リファレンス 共通設定 - オプション 表 7-2 オプション (続き) セクション [アンインストー ル] オプション 定義 [管理者パスワ ードの設定] [標準アクセス] と [クライアント インターフェースをロックする] の場合、 Endpoint Security クライアント インターフェースのすべての機能にアク セスする管理者のパスワードを指定します。 [クライアント を削除するとき に、パスワード を要求する] [パスワード] パスワードを指定します。 [パスワードの確認] 確認のため、パスワードを再度入力します。 Endpoint Security クライアントを削除するときにパスワードを要求しま す。 (自社管理システムの場合、デフォルトでは無効) デフォルトのパスワードは、mcafee です。 [パスワード] パスワードを指定します。 [パスワードの確認] 確認のため、パスワードを再度入力します。 表 7-3 詳細オプション セクション オプション [クライアン [自動] ト インターフ ェースの言 言語 語] 定義 クライアント システムの言語に従って、Endpoint Security クライアント イ ンターフェースの言語を自動的に選択します。 Endpoint Security クライアント インターフェースのテキストに使用する言 語を指定します。 管理対象システムの場合、Endpoint Security クライアントで言語を変更する と、管理サーバーで行ったポリシーの変更は無効になります。 言語の変更は、 Endpoint Security クライアント の再起動後に適用されます。 クライアントの言語は、ログ ファイルに影響を及ぼしません。 ログ ファイル は、デフォルトのシステム ロケールで指定されている言語で表示されます。 [自己保護] [自己保護を有効 にする] 不正な操作から Endpoint Security システム リソースを保護します。 [アクション] 不正なアクティビティが発生したときに実行するアクションを指定します。 • [ブロックして報告] - アクティビティをブロックして McAfee ePO に報告 します。 (デフォルト) • [ブロックのみ] - アクティビティをブロックしますが、McAfee ePO に報 告しません。 • [報告のみ] - McAfee ePO に報告しますが、アクティビティをブロックし ません。 [ファイルとフォ ルダー] McAfee システム ファイルとフォルダーの変更または削除を防ぎます。 [レジストリ] McAfee レジストリ キーと値の変更または削除を防ぎます。 [プロセス] McAfee プロセスの停止を防ぎます。 McAfee Endpoint Security 10.1 製品ガイド 113 7 クライアント インターフェース リファレンス 共通設定 - オプション 表 7-3 詳細オプション (続き) セクション オプション 定義 [次のプロセスを 除外] 指定したプロセスへのアクセスが許可されます。 ワイルドカードを使用できます。 [追加] - プロセスを除外リストに追加します。 [追加] をクリックして、正確 なリソース名 (avtask.exe など) を入力します。 項目をダブルクリックします。 — 選択した項目を変更します。 [削除] - 選択した項目を削除します。リソースを選択して、[削除] をクリッ クします。 [証明書] 証明書オプションを指定します。 [許可] McAfee プロセス内でのコードの実行をベンダーに許可します。 この設定を使用すると、互換性の問題が発生し、セキュリティ レベルが低下 する可能性があります。 [ベンダー] 証明書に署名して発行している機関の共通名 (CN) を指定します。 [サブジェクト] 証明書に関連する組織の署名者の識別名 (SDN) を指定します。 次の情報を指定できます。 [クライアン ト ロギング] • [CN] - 共通名 • [L] - 地域 • [OU] - 組織単位 • [ST] - 州/都道府県 • [O] - 組織 • [C] - 国コード [パブリック キー の SHA-1] 関連するパブリック キーの SHA-1 ハッシュを指定します。 [ログ ファイルの 場所] ログ ファイルの場所を指定します。 デフォルトの場所は次のとおりです。 <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs 場所を入力するか、[参照] をクリックして場所を選択します。 [アクティビ ティ ロギン グ] [アクティビティ すべての Endpoint Security アクティビティのロギングを有効にします。 ロギングを有効に する] [各アクティビテ ィ ログ ファイル のサイズ制限 (MB)] アクティビティ ログ ファイルの最大サイズ (1 MB から 999 MB) を指定し ます。 デフォルトは 10 MB です。 ログ ファイルのサイズを制限しない場合には、このオプションを無効にしま す。 ログ ファイルのサイズがこの制限を超えると、ファイル内で古い順に 25% の項目が削除され、新しいデータが記録されます。 114 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 共通設定 - オプション 表 7-3 詳細オプション (続き) セクション オプション [デバッグ ロ ギング] 定義 モジュールでデバッグ ロギングを有効にすると、自己保護などの 共通設定 モ ジュールのデバッグ ロギングも有効になります。 テスト段階とパイロット段階の最初の 24 時間は、デバッグ ロギングを有効 にすることをお勧めします。 この間に問題が発生しなければ、クライアント システムのパフォーマンス低下を避けるため、デバッグ ロギングを無効にし てください。 [Threat Prevention で有 効にする] 脅威対策 と個々の保護技術で冗長ロギングを有効にします。 [アクセス保護で有効にする] - AccessProtection_Debug.log に記録しま す。 [エクスプロイト防止で有効にする] - ExploitPrevention_Debug.log に記 録します。 [オンアクセス スキャナーで有効にする] - OnAccessScan_Debug.log に 記録します。 [オンデマンド スキャナーで有効にする] - OnDemandScan_Debug.log に 記録します。 脅威対策 でデバッグ ロギングを有効にすると、Endpoint Security クライア ント のデバッグ ロギングも有効になります。 脅威対策 でデバッグ ロギングを有効にすると、脅威情報のデバッグ ロギング も有効になります。 [ファイアウォー ルで有効にする] ファイアウォール アクティビティの冗長ロギングを有効にします。 [Web 管理で有効 にする] Web 管理アクティビティの冗長ロギングを有効にします。 [各デバッグ ログ デバッグ ログ ファイルの最大サイズ (1 MB から 999 MB) を指定します。 ファイルのサイズ デフォルトは 50 MB です。 制限 (MB)] ログ ファイルのサイズを制限しない場合には、このオプションを無効にしま す。 ログ ファイルのサイズがこの制限を超えると、ファイル内で古い順に 25% の項目が削除され、新しいデータが記録されます。 [イベント ロ ギング] [McAfee ePO に Endpoint Security クライアントの [イベント ログ] に記録されたすべてのイ イベントを送信す ベントを McAfee ePO に送信します。 る] このオプションは、McAfee ePO 管理対象システムにのみ使用できます。 [Windows アプリ Endpoint Security クライアント の [イベント ログ] に記録されたすべての ケーション ログ イベントを Windows アプリケーション ログに送信します。 にイベントを記録 Windows アプリケーション ログにアクセスするには、Windows で [イベン する] ト ビューアー] 、 [Windows ログ] 、 [アプリケーション] の順に選択します。 McAfee Endpoint Security 10.1 製品ガイド 115 7 クライアント インターフェース リファレンス 共通設定 - オプション 表 7-3 詳細オプション (続き) セクション オプション 定義 重大度レベル Endpoint Security クライアントの [イベント ログ] に記録するイベントの重 大度レベルを指定します。 • [なし] - アラートを送信しま せん。 • [マイナー、メジャーm重大] - アラート レベル 1 から 3 を送 信します。 • [重大のみ] - アラート レベル 1 のみを送信します。 • [情報を除くすべて] - アラー ト レベル 1 から 4 を送信しま す。 • [メジャーと重大] - アラート レベル 1 と 2 を送信します。 • [すべて] - アラート レベル 1 から 5 を送信します。 • 1 - 重大 • 4 - 警告 • 2 - メジャー • 5 - 情報 • 3 - マイナー [ログに記録する 脅威対策イベン ト] それぞれの 脅威対策 機能でログに記録するイベントの重大度レベルを指定し ます。 • [アクセス保護] アクセス保護でイベント ロギングを有効にすると、自己保護のイベント ロ ギングも有効になります。 • [エクスプロイト防止] • [オンアクセス スキャナー] • [オンデマンド スキャナー] [ログに記録する Firewall イベン ト] ログに記録する ファイアウォール イベントの重大度レベルを指定します。 [ログに記録する Web Control イ ベント] ログに記録する Web 管理 イベントの重大度レベルを指定します。 [McAfee GTI [プロキシ サーバ のプロキシ サ ーを使用しない] ーバー] [システムのプロ キシ設定を使用す る] [プロキシ サーバ ーを設定する] 管理対象システムがプロキシ サーバー経由ではなくインターネットから直接 McAfee GTI レピュテーション情報を取得します。 (デフォルト) クライアント システムのプロキシ設定を使用します。HTTP プロキシ認証を 有効にすることもできます。 プロキシ設定をカスタマイズします。 • [アドレス] - HTTP プロキシ サーバーの IP アドレスまたは完全修飾ドメ イン名を指定します。 • [ポート] - 指定したポートへのアクセスを制限します。 • [次のアドレスを除外] - 指定した項目で始まる Web サイトまたは IP アド レスに HTTP プロキシ サーバーを使用しません。 [追加] をクリックして、除外するアドレス名を入力します。 116 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 共通設定 - オプション 表 7-3 詳細オプション (続き) セクション オプション 定義 [HTTP プロキシ 認証を有効にす る] HTTP プロキシ サーバーで認証が必要なことを指定します。 このオプション を使用できるのは、HTTP プロキシ サーバーを選択した場合のみです。 HTTP プロキシの認証情報を入力します。 • [ユーザー名] - HTTP プロキシ サーバーへのアクセスが許可されているユ ーザー アカウントのユーザー名を指定します。 • [パスワード] - [ユーザー名] のパスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 [デフォルト のクライアン ト更新] [クライアントで [今すぐ更新] ボタ Endpoint Security クライアントのメイン ページで ンを有効にする] タンを表示または非表示にします。 ボ クライアント システムでコンテンツ ファイルとソフトウェア コンポーネント の更新を手動で確認し、ダウンロードする場合に、このボタンをクリックしま す。 [更新対象] ボタンをクリックしたときの更新対象を指定します。 • [セキュリティ コンテンツ、HotFix、パッチ] - すべてのセキュリティ コン テンツ (エンジン、AMCore とエクスプロイト防止のコンテンツを含む)、 HotFix、パッチを最新のバージョンに更新します。 • [セキュリティ コンテンツ] - セキュリティ コンテンツだけを更新します (デフォルト)。 • [HotFix とパッチ] - HotFixe とパッチのみを更新します。 [更新のソー スサイト] コンテンツ ファイルとソフトウェア コンポーネントの更新を取得するソース サイトを設定します。 デフォルトのバックアップ ソース サイト ([McAfeeHttp]) と管理サーバー (管理対象システムの場合) を有効または無効にできますが、これらを変更した り、削除することはできません。 リストで移動可能な要素を表示します。 要素を選択してドラッグし、新しい位置にドロップします。 要素をドロップで きる位置に青線が表示されます。 [追加] ソースサイト リストにサイトを追加します。 詳細については、 「サイトの追加またはサイトの編集118 ページの「」」を参照 してください。 項目をダブルクリ 選択した項目を変更します。 ックします。 [削除] 選択したサイトをソースサイト リストから削除します。 [インポート] ソースサイト リストからサイトをインポートする。 インポートするファイルを選択して、[OK] をクリックします。 サイト リスト ファイルが既存のソースサイト リストと置換されます。 [すべてエクスポ ート] McAfee Endpoint Security 10.1 ソースサイト リストを SiteList.xml ファイルにエクスポートする。 ソースサイト リストの保存先を選択して、[OK] をクリックします。 製品ガイド 117 7 クライアント インターフェース リファレンス 共通設定 - オプション 表 7-3 詳細オプション (続き) セクション オプション 定義 [ソースサイ トのプロキシ サーバー] [プロキシ サーバ ーを使用しない] 管理対象システムがプロキシ サーバー経由ではなくインターネットから直接 McAfee GTI レピュテーション情報を取得します。 (デフォルト) [システムのプロ クライアント システムのプロキシ設定を使用します。HTTP または FTP プロ キシ設定を使用す キシ認証を有効にすることもできます。 る] [プロキシ サーバ ーを設定する] プロキシ設定をカスタマイズします。 • [HTTP/FTP アドレス] - HTTP または FTP プロキシ サーバーの DNS、 IPv4 または IPv6 アドレスを指定します。 • [ポート] - 指定したポートへのアクセスを制限します。 • [次のアドレスを除外] - McAfee GTI の評価取得でプロキシ サーバーを使 用しない Endpoint Security クライアントシステムのアドレスを指定しま す。 [追加] をクリックして、除外するアドレス名を入力します。 [HTTP/FTP プロ HTTP または FTP プロキシ サーバーで認証が必要なことを指定します。 この キシ認証を有効に オプションを使用できるのは、HTTP または FTP プロキシ サーバーを選択し する] た場合のみです。 プロキシの認証情報を入力します。 • [ユーザー名] - プロキシ サーバーへのアクセスが許可されているユーザー アカウントのユーザー名を指定します。 • [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定しま す。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 関連トピック: 29 ページの「Endpoint Security リソースを保護する」 30 ページの「ロギングを設定する」 31 ページの「クライアント インターフェースのセキュリティを設定する」 32 ページの「プロキシ サーバーを設定する McAfee GTI」 35 ページの「開始する更新のデフォルトの動作を設定する」 33 ページの「から更新のソール サイトを設定する」 118 ページの「サイトの追加またはサイトの編集」 サイトの追加またはサイトの編集 ソースサイト リストにサイトを追加したり、リスト内のサイトを編集します。 表 7-4 オプションの定義 118 オプション 定義 [名前] 更新ファイルが存在するソース サイトの名前。 [有効] 更新ファイルのダウンロードでソース サイトの使用を有効または無効にします。 [ファイルの取 得先] ファイルの取得場所を指定します。 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 共通設定 - オプション 表 7-4 オプションの定義 (続き) オプション 定義 [HTTP リポジ トリ] 指定した HTTP リポジトリからファイルを取得します。 HTTP サイトでは、ネットワークのセキュリティとは独立して更新を実行できますが、FTP よりも 高レベルな同時接続がサポートされます。 [URL] • [DNS 名] - URL がドメイン名であることを表します。 • [IPv4] - URL が IPv4 アドレスであることを表します。 • [IPv6] - URL が IPv6 アドレスであることを表します。 [http://] - 更新ファイルがある HTTP サーバーとフォルダーを指定します。 [ポート] - HTTP サーバーのポート番号を指定します。 [認証を 使用] 認証を使用する場合に選択し、更新ファイル フォルダーにアクセスする認証情報を 指定します。 • [ユーザー名] - 更新ファイル フォルダーに読み取りアクセスが許可されている ユーザー アカウントを指定します。 • [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 McAfee Endpoint Security 10.1 製品ガイド 119 7 クライアント インターフェース リファレンス Common - タスク 表 7-4 オプションの定義 (続き) オプション 定義 [FTP リポジト 指定した FTP リポジトリからファイルを取得します。 リ] FTP サイトには、ネットワーク セキュリティのアクセス許可を順守せずに更新できる柔軟性があり ます。 FTP は、HTTP よりも不審なコードの攻撃を受ける可能性が少ないため、脅威に対する抵抗 力が増す場合があります。 [URL] • [DNS 名] - URL がドメイン名であることを表します。 • [IPv4] - URL が IPv4 アドレスであることを表します。 • [IPv6] - URL が IPv6 アドレスであることを表します。 [ftp://] - 更新ファイルがある FTP サーバーとフォルダーを指定します。 [ポート] - FTP サーバーのポート番号を指定します。 [匿名ロ グインを 使用] 更新ファイル フォルダーへのアクセスに匿名 FTP を使用する場合に選択します。 認証情報を指定する場合には、このオプションの選択を解除します。 • [ユーザー名] - 更新ファイル フォルダーに読み取りアクセスが許可されている ユーザー アカウントを指定します。 • [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 [UNC パス] ま 指定した UNC またはローカル パスからファイルを取得します。 たは [ローカル パス] UNC サイトは、最も迅速にまた簡単にセットアップできます。 ドメイン間で UNC 更新を行うに は、各ドメインでセキュリティのアクセス許可が必要で、更新の設定が複雑になります。 [パス] • [UNC パス] - UNC 表記でパスを指定します (\\servername\path\)。 • [ローカル パス] - ローカル ドライブまたはネットワーク ドライブ上のフォルダ ーのパスを指定します。 [ログオ ン アカ ウント の使用] ログオン アカウントで更新ファイルにアクセスします。 このアカウントには、更新フ ァイルのあるフォルダーに読み取り権限が必要です。 認証情報を指定する場合には、このオプションの選択を解除します。 • [ドメイン] - ユーザー アカウントのドメインを指定します。 • [ユーザー名] - 更新ファイル フォルダーに読み取りアクセスが許可されているユ ーザー アカウントを指定します。 • [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 Common - タスク Endpoint Security クライアント タスクとスケジュールを設定します。 管理対象システムの場合、[管理]タスクの開始、停止または削除はできません。 120 McAfee Endpoint Security 10.1 製品ガイド クライアント インターフェース リファレンス Common - タスク 表 7-5 7 オプション セクショ ン オプション 定義 [タスク] 現在定義済みのスケジュール タスクを表示します。 • [名前] - スケジュール タスクの名前。 • [機能] - タスクが関連付けられているモジュールまたは機能。 • [スケジュール] - タスクのスケジュールが設定されている場合、無効かどうか。 たとえば、管理対象システムの場合、管理者がデフォルトのクライアント更新タスクを 無効にしている場合があります。 • [ステータス] - 最後に実行したタスクのステータス: • (ステータスなし) - 実行されてい ません。 • [完了] - 正常に完了しました。 • [実行中] - 現在実行中か再開して います。 • [完了 (エラー)] - 完了しました が、エラーが発生しています。 • [一時停止] - ユーザーが一時停止 しました (スキャンなど)。 • [失敗] - 完了できませんでした。 • [延期] - ユーザーが延期しました (スキャンなど)。 • [前回の実行] - タスクを最後に実行した日付と時間。 • [作成元] - タスクの作成者: • [McAfee] - McAfee が提供。 • [管理者] - (管理対象システムの場合のみ) 管理者が定義。 • [ユーザー] - Endpoint Security クライアントで定義。 作成元によっては、タスクの変更または削除ができない場合があります。 たとえば、デ フォルトのクライアント更新タスクを変更できるのは、自社管理のシステムだけです。 管理対象システムで管理者が定義した[管理]タスクは、Endpoint Security クライアン トで変更または削除できません。 項目をダブ 選択した項目を変更します。 ルクリック します。 [追加] スキャン、更新、ミラーリングのタスクを作成します。 [削除] 選択したタスクを削除します。 McAfee Endpoint Security 10.1 製品ガイド 121 7 クライアント インターフェース リファレンス Common - タスク 表 7-5 オプション (続き) セクショ ン オプション 定義 [複製] 選択したタスクのコピーを作成します。 [今すぐ実 行] 選択したタスクを実行します。 タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わります。 • [クイック スキャン] - [クイック ス キャン] ダイアログを表示して、スキ ャンを開始します。 • [デフォルトのクライアント更新] - [更新] ダイアログ ボックスを開き、 更新を開始します。 • [フル スキャン] - [フル スキャン] ダイアログを表示して、スキャンを開 始します。 • [更新] - [カスタム更新] ダイアロ グ ボックスを開き、更新を開始しま す。 • [カスタム スキャン] - [カスタム ス キャン] ダイアログを表示して、スキ ャンを開始します。 • [ミラーリング] - [ミラーリング] ダイアログ ボックスを開き、リポジ トリの複製を開始します。 変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロンプト を表示し、設定を保存するかどうか確認します。 関連トピック: 42 ページの「フル スキャンまたはクイック スキャンを実行する」 21 ページの「セキュリティ対策とソフトウェアを手動で更新する」 38 ページの「ミラーリング タスクとスケジュールを設定して実行する」 122 ページの「タスクの追加」 タスクの追加 カスタム スキャン タスク、ミラーリング タスク、更新タスクを追加します。 オプション 定義 [名前] タスクの名前を指定します。 [タスクの種 類の選択] タスクの種類を指定します。 • [カスタム スキャン] - 毎日のメモリー スキャンなどのカスタム スキャンとスケジュールを設 定します。 • [ミラーリング] - 更新されたコンテンツ とエンジン ファイルを最初にアクセス可能なリポジ トリからネットワーク上のミラーリング サイトに複製します。 • [更新] - コンテンツ ファイル、スキャン エンジンまたは製品の更新とスケジュールを設定しま す。 関連トピック: 123 ページの「スキャン タスクの追加またはスキャン タスクの編集」 124 ページの「ミラーリング タスクの追加またはミラーリング タスクの編集」 123 ページの「更新タスクの追加または更新タスクの編集」 122 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス Common - タスク スキャン タスクの追加またはスキャン タスクの編集 フル スキャン タスクまたはクイック スキャン タスクのスケジュールを設定します。また、クライアント システム で実行するカスタム スキャン タスクとスケジュールを設定します。 表 7-6 オプション タブ オプション 定義 [設定] スキャン タスクを設定します。 [名前] タスク名を表示します。 オプション 詳細については、脅威対策 - オンデマンド スキャン 137 ページの「」を参照して ください。 自社管理システムの場合には、[フル スキャン] と [クイック スキャン] のタスクを設 定できます。 [スケジュー ル] 指定した時間にタスクを実行するようにスケジュールを設定します。 詳細については、スケジュール124 ページの「」を参照してください。 関連トピック: 72 ページの「スキャン タスクとスケジュールを設定して実行する」 68 ページの「オンデマンド スキャン を設定する」 42 ページの「フル スキャンまたはクイック スキャンを実行する」 137 ページの「脅威対策 - オンデマンド スキャン」 124 ページの「スケジュール」 更新タスクの追加または更新タスクの編集 [デフォルトのクライアント更新] のスケジュールを設定します。また、クライアント システムで実行するカスタム 更新タスクとスケジュールを設定します。 タブ オプシ 定義 ョン [設定] 更新タスクを設定します。 [名前] タスク名を表示します。 [更新 対象] 更新対象を指定します。 • セキュリティ コンテンツ、HotFix、パッチ • セキュリティ コンテンツ • HotFix とパッチ デフォルトのクライアント更新タスクの設定を変更するには、共通設定 - オプション 112 ペー ジの「」 で [デフォルトのクライアント更新] セクションを参照してください。 この設定は自社管理のシステムにのみ設定できます。 [スケ ジュー ル] 指定した時間にタスクを実行するようにスケジュールを設定します。 詳細については、スケジュール124 ページの「」を参照してください。 デフォルトでは、[デフォルトのクライアント更新] タスクは、毎日午前 0 時に実行され、以降は 午後 11 時 59 分まで 4 時間ごとに実行されます。 関連トピック: 36 ページの「更新タスクとスケジュールを設定して実行する」 124 ページの「スケジュール」 McAfee Endpoint Security 10.1 製品ガイド 123 7 クライアント インターフェース リファレンス Common - タスク ミラーリング タスクの追加またはミラーリング タスクの編集 ミラーリング タスクとスケジュールを設定します。 タブ オプション 定義 [設定] [名前] タスク名を表示します。 [ミラーリングの場所] リポジトリの複製を保存するフォルダーを指定します。 [スケジュール] 指定した時間にタスクを実行するようにスケジュールを設定します。 詳細については、スケジュール124 ページの「」を参照してください。 関連トピック: 38 ページの「ミラーリング タスクとスケジュールを設定して実行する」 124 ページの「スケジュール」 スケジュール スキャン、更新、ミラーリング タスクのスケジュールを設定します。 表 7-7 オプション カテゴリ オプション [スケジュー [スケジュール ル] を有効にする] 定義 指定した時間にタスクを実行するようにスケジュールを設定します。 デフォルト は有効です。 タスクをスケジュールするには、このオプションを選択します。 [スケジュール の種類] タスクの実行間隔を指定します。 • [毎日] - タスクを毎日、指定した時間に実行します。あるいは、指定した時間の 範囲内で繰り返し実行します。 • [毎週] - タスクを毎週実行します。 • 平日、週末、曜日の組み合わせで実行日を指定できます。 • 選択した複数の日付で指定した時間に実行したり、選択した複数の日付で指定 した時間内に繰り返し実行できます。 • [毎月] - タスクを毎月実行します。 • 月の特定の日付 • 特定の曜日 - 第 1、第 2、第 3、第 4、最終 • [一回のみ] - 指定した日時にタスクを開始します。 • [システム起動時] - システム起動時にタスクを実行します。 • [ログイン時] - ユーザーが次にシステムにログオンしたときにタスクを開始し ます。 • [すぐに実行] - タスクをただちに開始します。 124 [頻度] [毎日] または [毎週] のタスクに頻度を指定します。 [実行日] [毎週] または [毎月] のタスクを実行する曜日を指定します。 [実行月] [毎月] タスクを実行する月を指定します。 [このタスクを 1 日 1 回実行 する] [システム起動時] と [ログイン時] の場合には、1 日 1 回タスクを実行します。 [タスクを遅ら せる期間] [システム起動時] と [ログイン時] の場合に、タスクの実行を遅らせる時間を分単 位で指定します。 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 脅威対策 - アクセス保護 表 7-7 オプション (続き) カテゴリ オプション 定義 [開始日] [毎日]、[毎週]、[毎月]、[一回のみ] の場合に開始日を指定します。 [終了日] [毎日]、[毎週]、[毎月] の場合に終了日を指定します。 [開始時間] タスクを開始する時間を指定します。 • [指定した時間に一回だけ実行] - [開始時間] に指定した時簡にタスクを 1 回だ け実行します。 • [指定した時間に実行し、終了時間まで繰り返す] - [開始時間] に指定した時簡 にタスクを実行します。 その後は、指定した終了時間になるまで、[タスクの開始 間隔] に指定した間隔 (時間/分) でタスクを繰り返し実行します。 • [指定した時間に実行し、指定した期間繰り返す] - [開始時間] に指定した時簡 にタスクを実行します。 その後は、指定した時間が経過するまで、[タスクの開始 間隔] に指定した間隔 (時間/分) でタスクを繰り返し実行します。 [オプショ ン] [協定世界時で タスクを実行 する] タスク スケジュールを管理対象システムのローカルのシステム時刻に合わせて実 行するか、世界協定時 (UTC) に合わせて実行するかを指定します。 [次の時間実行 が続く場合は 停止する] 指定した時間が経過したらタスクを停止します。 [タスクをラン ダムに開始す る] 指定した時間内でタスクをランダムに実行するように指定します。 [開始されなか ったタスクを 実行する] 管理対象システムを再起動して [タスクを遅らせる時間] に指定した時間が経過し たらタスクを実行します。 [アカウン ト] タスクが完了する前に中断されると、次回開始時には中断したところからタスクを 再開します。 選択を解除すると、他のクライアント タスクが同時に実行されるようにスケジュー ルされていても、このタスクがスケジュールされた時間に開始します。 タスクの実行に使用する認証情報を指定します。 認証情報を指定しないと、ローカル システムの管理者アカウントでタスクが実行さ れます。 [ユーザー名] ユーザー アカウントを指定します。 [パスワード] 指定したユーザー アカウントのパスワードを指定します。 [パスワードの 確認] 指定したユーザー アカウントのパスワードを確認します。 [ドメイン] 指定したユーザー アカウントのドメインを指定します。 関連トピック: 123 ページの「スキャン タスクの追加またはスキャン タスクの編集」 123 ページの「更新タスクの追加または更新タスクの編集」 124 ページの「ミラーリング タスクの追加またはミラーリング タスクの編集」 脅威対策 - アクセス保護 設定したルールに従って、システムのアクセス ポイントを保護します。 ロギングの設定については、共通設定 - オプション 112 ページの「」 の設定を参照してください。 McAfee Endpoint Security 10.1 製品ガイド 125 7 クライアント インターフェース リファレンス 脅威対策 - アクセス保護 アクセス保護は、要求されたアクションとルールのリストを比較し、ルールに従って処理を実行します。 表 7-8 オプション セクション オプション 定義 [アクセス保護] [アクセス保護を有効にする] アクセス保護の機能を有効にします。 表 7-9 詳細オプション セクショ ン [除外対 象] オプシ 説明 ョン すべてのルールで、指定したプロセス (実行ファイル) へのアクセスが許可されます。 • [追加] - プロセスを除外リストに追加します。 詳細については、実行ファイルの追加 または 実行ファイルの編集 131 ページの「」を参照 してください。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 [ルール] アクセス保護ルールを設定します。 詳細については、McAfee 定義ルール 53 ページの「」を参照してください。 McAfee 定義ルールを有効または無効にしたり、変更することはできますが、削除することはで きません。 • [追加] - カスタム ルールを作成し、リストに追加します。 詳細については、[ルールの追加] または [ルールの編集]127 ページの「」を参照してくだ さい。 • 項目をダブルクリックします。 — 選択した項目を変更します。 詳細については、[ルールの追加] または [ルールの編集]127 ページの「」を参照してくだ さい。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 • [ブロック] (のみ) - ログに記録せずにアクセスをブロックします。 • [報告] (のみ) - アクセスをブロックせずに警告します。 この設定は、ルールの影響が完全に把握できていない場合に効果的です。 ログやレポートを 監視して、アクセスをブロックするかどうか判断してください。 • [ブロック] と [報告] - アクセスをブロックして、ログに記録します。 すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 ルールを無効にするには、[ブロック] と [報告] の選択を解除します。 関連トピック: 52 ページの「McAfee 定義のアクセス保護ルールを設定する」 127 ページの「[ルールの追加] または [ルールの編集]」 53 ページの「McAfee 定義ルール」 126 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 脅威対策 - アクセス保護 [ルールの追加] または [ルールの編集] ユーザー定義のアクセス保護ルールを追加または編集します。 表 7-10 セク オプ ショ ショ ン ン 定義 [オ [名 プシ 前] ョ ン] ルール名を指定または表示します。 (必須) [対 応] ルールのアクションを指定します。 • [ブロック] (のみ) - ログに記録せずにアクセスをブロックします。 • [報告] (のみ) - アクセスをブロックせずに警告します。 この設定は、ルールの影響が完全に把握できていない場合に効果的です。 ログやレポートを監視し て、アクセスをブロックするかどうか判断してください。 • [ブロック] と [報告] - アクセスをブロックして、ログに記録します。 すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 ルールを無効にするには、[ブロック] と [報告] の選択を解除します。 [実行 ルールの実行ファイルを指定します。 ファ • [追加] - 新しい実行ファイルを作成し、リストに追加します。 イル] 詳細については、実行ファイルの追加 または 実行ファイルの編集 131 ページの「」を参照して ください。 • 項目をダブルクリックします。 — 選択した項目を変更します。 詳細については、実行ファイルの追加 または 実行ファイルの編集 131 ページの「」を参照して ください。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 • [対象ステータスの切り替え] - 実行ファイルの対象ステータスを [対象] または [除外] に変更し ます。 [サブ サブルールを設定します。 ルー ル] ユーザー定義ルールでサブルールのみを表示します。 詳細については、[サブルールの追加] または [サブルールの編集]128 ページの「」を参照してくだ さい。 • [追加] - 新しいサブルールを作成し、リストに追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 [メ モ] 項目の補足情報を入力します。 関連トピック: 131 ページの「実行ファイルの追加 または 実行ファイルの編集」 128 ページの「[サブルールの追加] または [サブルールの編集]」 McAfee Endpoint Security 10.1 製品ガイド 127 7 クライアント インターフェース リファレンス 脅威対策 - アクセス保護 [サブルールの追加] または [サブルールの編集] 標準のサブルールを追加または編集します。 表 7-11 オプション セクショ オプショ 定義 ン ン [説明] [名前] サブルールの名前を指定します。 [プロパ ティ] [ルール の種類] ルールの種類を示します。 • [ファイル] - ファイルまたはディレクトリを保護します。 たとえば、アクセスをブロック または報告するカスタム ルールを作成し、重要な情報を含む Excel シートを削除します。 • [レジストリ キー] - 指定したキーを保護します。 レジストリ キーは、レジストリ値を格 納するコンテナーです。 例: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run • [レジストリ キー] - 指定した値を保護します。 レジストリ値はレジストリ キーに格納 され、レジストリ キーとは別に参照されます。 例: HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun サブルールの種類を変更すると、パラメーター テーブルで以前に定義した項目は削除されま す。 128 McAfee Endpoint Security 10.1 製品ガイド クライアント インターフェース リファレンス 脅威対策 - アクセス保護 表 7-11 7 オプション (続き) セクショ オプショ 定義 ン ン [操作] サブルールの種類で許可された操作が表示されます。 [読み取り] 操作を選択すると、パフォーマンスが低下する可能性があります。 • [ファイル]: • [読み取り専用属性と隠しファイル属 性を変更します。] • [実行] - 指定したフォルダー内での ファイルの実行をブロックします。 • [作成] - 指定したフォルダー内での ファイルの作成をブロックします。 • [読み取り] - 指定したファイルに対 する読み取りアクセスをブロックしま す。 • [削除] - 指定したフォルダー内での ファイルの削除をブロックします。 • [書き込み] - 指定したファイルに対 する書き込みアクセスをブロックしま す。 • [レジストリ キー]: • [書き込み] - 指定したキーに対する 書き込みアクセスをブロックします。 • [列挙] - 指定したレジストリ キーの サブキーの列挙をブロックします。 • [作成] - 指定したキーの作成をブロ ックします。 • [読み込み] - 指定したレジストリ キ ーとそのサブキーのアップロードをブ ロックします。 • [削除] - 指定したキーの削除をブロ ックします。 • [置換] - 指定したレジストリ キーと サブキーの置換をブロックします。 • [読み取り] - 指定したキーに対する 読み取りアクセスをブロックします。 • [復元] - 指定したファイルへのレジ ストリ情報の保存や、指定したキーの コピーをブロックします。 • [レジストリ値]: • [書き込み] - 指定した値に対する書き込みアクセスをブロックします。 • [作成] - 指定した値の作成をブロックします。 • [削除] - 指定した値の削除をブロックします。 • [読み取り] - 指定した値に対する読み取りアクセスをブロックします。 [パラメ ーター] • [追加] - ルールのパラメーターを指定します。 選択したルールの種類によって、パラメー ターは変わります。 1 つ以上のパラメーターを指定してください。 [追加] をクリックして対象ステータスを選択し、追加または除外するパラメーターを入力 または選択します。 パラメーター130 ページの「」を参照してください。 • 項目をダブルクリックします。 — 選択した項目を変更します。 パラメーター130 ページの「」を参照してください。 • [削除] - 選択した項目を削除します。 関連トピック: 130 ページの「パラメーター」 McAfee Endpoint Security 10.1 製品ガイド 129 7 クライアント インターフェース リファレンス 脅威対策 - アクセス保護 パラメーター パラメーターの対象ステータスと定義が表示されます。 表 7-12 セク ショ ン オプション [パラ メー ター] 定義 パラメーターがサブルールに一致するかどうかを決定します。 パラメーターの対象ステー タスも指定します。 • [対象] - サブルールが指定したパラメーターに一致します。 • [除外] - サブルールが指定したパラメーターに一致しません。 [ファイル] ファイルを選択します。 ルール タイ システム環境変数を使用できます。 環境変数は以下のいずれかの形式で指定できます。 プを選択した $(EnvVar) - $(SystemDrive), $(SystemRoot) • 場合... • %EnvVar% - %SystemRoot%, %SystemDriver% システム定義の環境変数の中には、$(var) 構文でアクセスできない場合があります。特に or 文字を含む変数はアクセスできません。 %var% 構文を使用すると、この問題を回避でき ます。 ユーザー環境変数を使用できません。 ワイルドカードとして ?、*、** を使用できます。 ルール タイ プに [レジス トリ キー] ま たは [レジス トリ値] を選 択した場合... レジストリ キーとレジストリ値を定義するには、root キーを使用します。 次の root キー を使用できます。 • HKLM または HKEY_LOCAL_MACHINE • HKCU または HKEY_CURRENT_USER • HKCR または HKEY_CLASSES_ROOT • HKCCS は、HKLM/SYSTEM/CurrentControlSet と HKLM/SYSTEM/ControlSet00X に一致します。 • HKLMS は HKLM/Software (32 ビット/64 ビット システム) と HKLM/Software/ Wow6432Node (64 ビット システムのみ) に一致します。 • HKCUS は HKCU/Software (32 ビット/64 ビット システム) と HKCU/Software/ Wow6432Node (64 ビット システムのみ) に一致します。 • HKULM は HKLM または HKCU として処理されます。 • HKULMS は HKLMS または HKCUS として処理されます。 • HKALL は HKLM または HKU として処理されます。 ワイルドカードとして ?、*、** を使用できます。また、エスケープ文字として | (パイプ) を使用できます。 130 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 脅威対策 - アクセス保護 実行ファイルの追加 または 実行ファイルの編集 実行ファイルを追加または編集します。 表 7-13 オプション 定義 [名前] 実行ファイルの名前を指定します。 このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と一緒に使用する 必要があります。 [対象ステー タス] 実行ファイルの対象ステータスを表します。 [対象ステータス] は、実行ファイルをルールに追加する場合にのみ表示されます。 • [対象] - 実行ファイルが指定したパラメーターに一致します。 • [除外] - 実行ファイルが指定したパラメーターに一致しません。 [ファイル名 またはパス] 追加または編集する実行ファイルの名前あるいはパスを指定します。 [参照] をクリックして、実行ファイルを選択してください。 ファイルのパスにワイルドカードを使用できます。 [MD5 ハッシ プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。 ュ] [署名者] [デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、コードが改 ざんされたり、壊れていないことが保証されます。 有効にする場合、次のオプションを指定します。 • [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可します。 • [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。 実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該当するフィー ルドの項目と完全に一致させる必要があります。 実行ファイルの SDN を取得するには: 1 実行ファイルを右クリックし、[プロパティ] を選択します。 2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。 3 [全般] タブで [証明書の表示] をクックします。 4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示されます。 Firefox の場合、この署名者の識別名は次のようになります。 [メモ] • CN = Mozilla Corporation • L = Mountain View • OU = Release Engineering • S = California • O = Mozilla Corporation • C = US 項目の補足情報を入力します。 関連トピック: 127 ページの「[ルールの追加] または [ルールの編集]」 McAfee Endpoint Security 10.1 製品ガイド 131 7 クライアント インターフェース リファレンス 脅威対策 - エクスプロイト防止 脅威対策 - エクスプロイト防止 エクスプロイト防止を有効にし、設定します。これにより、コンピューター上で任意のコードを実行するバッファー オーバーフロー エクスプロイトを阻止します。 ロギングの設定については、「共通設定 - オプション 112 ページの「」」の設定を参照してください。 Host Intrusion Prevention 8.0 は、Endpoint Security 10.1 と同じシステムにインストールできます。 McAfee Host IPS を有効にすると、エクスプロイト防止が無効になります。ポリシー設定で有効になっていても無効になりま す 表 7-14 セクション オプション 定義 [エクスプロイト防 [エクスプロイト防止を 止] 有効にする] エクスプロイト防止の機能を有効にします。 この機能を有効にしないと、システムがマルウェアの攻撃を受け る可能性があります。 表 7-15 詳細オプション セクション オプション [保護レベ ル] 定義 エクスプロイト防止の保護レベルを指定します。 [標準] エクスプロイト防止コンテンツ ファイルの中で重大度が高いバッファー オーバーフ ロー エクスプロイトだけをブロックし、検出された脅威を停止します。 [標準] モードの機能を短時間使用します。 その期間中にログ ファイルを参照して、 [最大]モードに変更するかどうかを決定してください。 [最大] エクスプロイト防止コンテンツ ファイルの中で重大度が高または中レベルのバッフ ァー オーバーフロー エクスプロイトだけをブロックし、検出された脅威を停止しま す。 この設定では誤検知が発生する可能性があります。 [Windows データ実行 防止] [Windows Windows データ実行防止 (DEP) を有効にします。 デフォルトは無効です。 データ実行防 止を有効にす このオプションを無効にしても、Windows DEP ポリシーで DEP が有効になってい る] るプロセスに影響を及ぼしません。 [アクショ ン] エクスプロイト防止のアクションとして、[ブロック] または [報告] を指定します。 Windows データ実行防止が有効な場合、[報告] は使用できません。 [ブロック] 指定されたプロセスをブロックします。 エクスプロイト防止を有効にするには、[ブ ロック] を選択します。エクスプロイト防止を無効にするには、選択を解除します。 ログ記録を行わずにアクセスの試みをブロックするには、[ブロック] オプションを選 択し、[レポート] オプションは選択しないでください。 132 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 脅威対策 - オンアクセス スキャン 表 7-15 詳細オプション (続き) セクション オプション 定義 [レポート] エクスプロイト防止に対する違反を報告します。 侵害の試行が検出された場合、情報 は動作ログに記録されます。 アクセスの試みをブロックせずに、警告の受信だけを行うには、[レポート] オプショ ンを選択し、[ブロック] オプションは選択しないでください。 これは、ルールの影響 が完全に判明していない場合に便利です。 ログやレポートを短時間監視し、アクセス をブロックするかどうかを判断します。 [除外対象] 呼び出し側の書き込み可能メモリーを所有しているプロセス名を指定します。 呼び出し側モジュールまたは API を含む除外対象は DEP に適用されません。 [追加] 除外リストをプロセスに追加します。 プロセス名またはパス付きのプロセス名を入力します。 除外対象では大文字と小文字が区別されません。ワイルドカード は使用できません。 項目をダブ ルクリック します。 選択した項目を変更します。 [削除] 選択した項目を削除します。 [プロセス] 除外するプロセス名を指定します。 エクスプロイト防止は、場所に関係なくプロセス を除外します。 [呼び出し側 モジュール] 呼び出し側の書き込み可能メモリーを所有しているモジュール名を指定します。 [API] 呼び出される API (アプリケーション プログラミング インターフェース) を指定し ます。 関連トピック: 60 ページの「エクスプロイト防止を設定する」 脅威対策 - オンアクセス スキャン オンアクセス スキャンを有効にして、設定を行います。 ロギングの設定については、共通設定 - オプション 112 ページの「」 の設定を参照してください。 表 7-17 オプション セクション オプション 定義 [オンアクセス スキ [オンアクセス スキャン オンアクセス スキャン を有効にします。 ャン] を有効にする] デフォルトは有効です。 [システム起動時にオン アクセス スキャンを有 効にする] McAfee Endpoint Security 10.1 コンピューターの起動時にオンアクセス スキャンを有効にします。 デフォルトは有効です。 製品ガイド 133 7 クライアント インターフェース リファレンス 脅威対策 - オンアクセス スキャン 表 7-17 オプション (続き) セクション オプション 定義 [各ファイル スキャンの 1 つのファイルをスキャンする制限時間を秒単位で指定します。 最大秒数を指定] デフォルトは有効です。 制限時間を超えると、スキャンを停止し、メッセージをログに記録 します。 [ブート セクターをスキ ディスクのブート セクターを調査します。 ャン] デフォルトは有効です。 ディスクにスキャン不能なブート セクターが存在する場合に は、ブート セクター スキャンを無効にしてください。 [サービスのスタートア 次の場合に、メモリー内に存在するすべてのプロセスをスキャンし ップ時とコンテンツの更 ます。 新時にプロセスをスキャ • オンアクセス スキャンを再度有効にした後 ンする] • コンテンツ ファイルの更新後 • システムの起動後 • McShield.exe プロセスの開始後 一部のプログラムまたは実行ファイルはシステム起動時に自動 的に開始します。このオプションを有効にすると、システムの処 理速度が低下し、起動が完了までの時間が長くなる可能性があり ます。 デフォルトは無効です。 オンアクセス スキャナーを有効にすると、すべてのプロセスが実行 時にスキャンされます。 [信頼されたインストー ラーをスキャン] MSI ファイル (msiexec.exe がインストールし、McAfee または Microsoft が署名したファイル) または Windows Trusted Installer サービス ファイルをスキャンします。 デフォルトは無効です。 Microsoft アプリケーション インストーラーのパフォーマンス を改善する場合には、このオプションを無効にしてください。 [ローカル フォルダー間 ユーザーがローカル フォルダー間でコピーを行ったときにファイ でコピーが実行されたと ルをスキャンします。 きにスキャンする] このオプション: • 無効 - 宛先フォルダー内の項目だけがスキャンされます。 • 有効 - ソース (読み取り) フォルダーと宛先 (書き込み) フォ ルダーの両方の項目がスキャンされます。 デフォルトは無効です。 134 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 脅威対策 - オンアクセス スキャン 表 7-17 オプション (続き) セクション オプション 定義 [McAfee GTI] [ScriptScan] 詳細については、McAfee GTI 142 ページの「」を参照してくだ さい。 [ScriptScan を有効に する] JavaScript と VBScript のスキャンを有効にして、不審なスクリ プトの実行を防ぎます。 デフォルトは有効です。 Internet Explorer の起動後に ScriptScan を有効にしても、 Internet Explorer のこのインスタンスでは不審なスクリプト が検出されません。 不正なスクリプトを検出するには、 ScriptScan を有効にした後で Internet Explorer を再起動す る必要があります。 表 7-18 詳細オプション セクション オプション 定義 [脅威検出時のユー [脅威の検出時にオ 脅威が検出されたときに、クライアント ユーザーに対するメッセージを ザー メッセージ] ンアクセス スキャ [オンアクセス スキャン] ページに表示します。 ン ウィンドウをユ デフォルトは有効です。 ーザーに表示] このオプションを選択すると、検出リストに脅威が存在する場合に、この ページを [今すぐスキャン] ページから表示できます。 Endpoint Security サービスまたはシステムが再起動すると、オンアク セス スキャンの検出リストがクリアされます。 [メッセージ] 脅威が検出されたときにクライアント ユーザーに表示するメッセージを 指定します。 デフォルトのメッセージは [McAfee Endpoint Security が脅威を検 出しました] です。 [プロセスの設定] [すべてのプロセス オンアクセス スキャンの実行時に、すべてのプロセスに同じ設定が適用 に標準設定を使用 されます。 する] [危険度高と危険度 プロセスの種類ごとに異なるスキャン設定を行います。 低のプロセスに別 の設定を使用する] [標準] 危険度高、危険度低のいずれでもないプロセスを設定します。 デフォルトは有効です。 [スキャン] [危険度高] 危険度高のプロセスを設定します。 [危険度低] 危険度低のプロセスを設定します。 [追加] [危険度高] または [危険度低] リストにプロセスを追加します。 [削除] [危険度高] または [危険度低] リストからプロセスを削除します。 [スキャンのタイミング] [ディスクへの書き コンピューターまたは他のデータ ストレージで書き込み操作または変更 込み時] 操作が実行されたときに、ファイルをスキャンします。 ディスクへの書き込み中にスキャンが成功しない場合があるため、[デ ィスクからの読み取り時] を有効にすることを強く推奨します。 McAfee Endpoint Security 10.1 製品ガイド 135 7 クライアント インターフェース リファレンス 脅威対策 - オンアクセス スキャン 表 7-18 詳細オプション (続き) セクション オプション 定義 [ディスクからの読 コンピューターまたは他のデータ ストレージで読み取り操作が実行され み取り時] たときに、ファイルをスキャンします。 このオプションを有効にすることを強くお勧めします。 [McAfee が選択す McAfee がスキャン対象のファイルを選択します。信頼ロジックでスキ る] ャンを最適化します。 信頼ロジックで不要なスキャンを排除すること で、セキュリティとパフォーマンスを強化します。 [ディスクの読み取 [危険度低] のプロセスのみをスキャンの対象外にします。 り/書き込み時にス キャンしない] [スキャン対象] [すべてのファイ ル] 種類に関係なく、すべてのファイルをスキャンします。 [すべてのファイル] オプションを有効にすることを強くお勧めします。 このオプションンを有効にしないと、システムがマルウェアの攻撃を受 ける可能性があります。 [デフォルトと指定 スキャン: したファイルの種 • 現在の AMCore コンテンツ ファイルに定義されている拡張子のデフ 類] ォルト リスト (拡張子のないファイルも含む) • ユーザーが指定する追加の拡張子 複数の拡張子を指定する場合にはカンマで区切ってください。 • (オプション) デフォルトのリストにある既知のマクロ脅威と指定した 拡張子のファイル Macintosh システムのデフォルトのファイル タイプについては、 KnowledgeBase の記事 KB84411 を参照してください。 [指定したファイル 次のいずれかまたは両方をスキャンします。 の種類のみ] • 指定した拡張子のファイルのみ (カンマ区切りの拡張子リスト) • 拡張子のないすべてのファイル [ネットワーク ド ライブ上をスキャ ンする] ネットワーク ドライブ上のリソースをスキャンします。 ネットワーク リソースをスキャンすると、パフォーマンスが低下する場 合があります。 [バックアップ用に バックアップ ソフトウェアがアクセスしたときにファイルをスキャンし 開いたファイル] ます。 大半の環境では、この設定を有効しないことをお勧めします。 [圧縮されたアーカ .jar ファイルなどのアーカイブ ファイル (圧縮ファイル) 内のコンテン イブ ファイル] ツをスキャンします。 圧縮ファイルをスキャンすると、システムのパフォーマンスが低下しま す。業務時間外でシステムが使用されていないときに、このスキャン オ プションを使用することをお勧めします。 [圧縮された MIME MIME (Multipurpose Internet Mail Extensions) 形式のファイル 形式のファイル] (Macintosh システムの Apple メール メッセージ) を検出し、デコード してスキャンします。 136 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 脅威対策 - オンデマンド スキャン 表 7-18 詳細オプション (続き) セクション オプション 定義 [追加のスキャン オプション] [不審なプログラム スキャナーで不審なプログラムを検出します。 を検出] スキャナーは、脅威対策のオプション設定を使用して、不審なプログラム を検出します。 [未知のプログラム McAfee GTI を使用して、実行ファイルを装うマルウェアを検出します。 脅威を検出する] [未知のマクロ脅威 McAfee GTI を使用して、未知のマクロ ウイルスを検出します。 を検出する] [アクション] 詳細については、アクション 143 ページの「」を参照してください。 [除外対象] スキャン対象から除外するファイル、フォルダー、ドライブを指定しま す。 詳細については、除外対象の追加または除外対象の編集145 ページの「」 を参照してください。 [ScriptScan] [追加] 除外リストに項目を追加します。 [削除] 除外リストから項目を削除します。 [次の URL を除外] ScriptScan の除外対象を URL で指定します。 [追加] - URL を除外リストに追加します。 [削除] - 除外リストから URL を削除します。 URL にワイルドカードは使用できません。 除外された URL を含む URL も除外されます。 たとえば、msn.com を除外すると、次の URL も除外されます。 • http://weather.msn.com • http://music.msn.com Windows Server 2008 の場合、ScriptScan URL の除外対象を Internet Explorer で機能させるには、サードパーティ製のブラウザー 拡張を有効にしてシステムを再起動する必要があります。 KnowledgeBase の記事 KB69526 を参照してください。 関連トピック: 63 ページの「オンアクセス スキャンを設定する」 142 ページの「McAfee GTI」 143 ページの「アクション」 145 ページの「除外対象の追加または除外対象の編集」 脅威対策 - オンデマンド スキャン システムで実行される事前設定とカスタムのオンデマンド スキャンを設定します。 ロギングの設定については、共通設定 - オプション 112 ページの「」 の設定を参照してください。 McAfee Endpoint Security 10.1 製品ガイド 137 7 クライアント インターフェース リファレンス 脅威対策 - オンデマンド スキャン これにより、次の操作を行った場合のスキャナーの動作が決まります。 • Endpoint Security クライアント の [今すぐスキャン] ページで [フル スキャン] または [クイック スキャン] を選択した場合 • 管理者権限がある場合には、Endpoint Security クライアントで [設定] 、 [共通設定] 、 [タスク] の順に移動 して、カスタム オンデマンド スキャン タスクを実行します。 • ファイルまたはフォルダーを右クリックして、ポップアップ メニューから [脅威のスキャン] を選択した場合 表 7-19 オプション セクション オプション 定義 [スキャン対象] [ブート セクタ ー] ディスクのブート セクターを調査します。 ディスクにスキャン不能なブート セクターが存在する場合には、ブート セク ター スキャンを無効にしてください。 [ストレージに リモート ストレージが管理しているファイルをスキャンします。 移動したファイ オフラインのデータ ストレージ ソリューションによってファイルがスタブ フ ル] ァイルに置換される場合があります。 スタブが存在すると、ファイルが以降済 みであることを意味します。スキャナーがスタブ ファイルを検出すると、スキ ャン前にローカル システムにファイルをリストアします。 このオプションを無効にすることをお勧めします。 [圧縮された MIME (Multipurpose Internet Mail Extensions) 形式のファイル MIME 形式のフ (Macintosh システムの Apple メール メッセージ) を検出し、デコードしてス ァイル] キャンします。 [圧縮されたア ーカイブ ファ イル] .jar ファイルなどのアーカイブ ファイル (圧縮ファイル) 内のコンテンツをス キャンします。 圧縮ファイルをスキャンすると、システムのパフォーマンスが低下します。業 務時間外でシステムが使用されていないときに、このスキャン オプションを使 用することをお勧めします。 [サブフォルダ 指定したフォルダーのすべてのサブフォルダーがスキャンされます。 ー] ([右クリッ ク スキャン] の み) [追加のスキャ ン オプション] [不審なプログ ラムを検出] スキャナーで不審なプログラムを検出します。 スキャナーは、脅威対策のオプション設定を使用して、不審なプログラムを検 出します。 [未知のプログ McAfee GTI を使用して、実行ファイルを装うマルウェアを検出します。 ラム脅威を検出 する] [未知のマクロ 脅威を検出す る] [スキャンする 場所] 138 McAfee GTI を使用して、未知のマクロ ウイルスを検出します。 ([フル スキャ 詳細については、スキャンする場所 141 ページの「」を参照してください。 ン] と [クイッ ク スキャン] の これらのオプションは、[フル スキャン]、[クイック スキャン]、カスタム ス キャンにのみ適用されます。 み) McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス 脅威対策 - オンデマンド スキャン 表 7-19 オプション (続き) セクション オプション 定義 [スキャンする ファイルの種 類] [すべてのファ イル] 種類に関係なく、すべてのファイルをスキャンします。 McAfee では、[すべてのファイル] オプションを有効にすることを強くお勧め します。 [すべてのファイル] オプションを有効にすることを強くお勧めします。 この オプションンを有効にしないと、システムがマルウェアの攻撃を受ける可能性 があります。 [デフォルトと スキャン: 指定したファイ • 現在の AMCore コンテンツ ファイルに定義されている拡張子のデフォルト ルの種類] リスト (拡張子のないファイルも含む) • ユーザーが指定する追加の拡張子 複数の拡張子を指定する場合にはカンマで区切ってください。 • (オプション) デフォルトのリストにある既知のマクロ脅威と指定した拡張子 のファイル Macintosh システムのデフォルトのファイル タイプについては、 KnowledgeBase の記事 KB84411 を参照してください。 [指定したファ イルの種類の み] 次のいずれかまたは両方をスキャンします。 • 指定した拡張子のファイルのみ (カンマ区切りの拡張子リスト) • 拡張子のないすべてのファイル [McAfee GTI] 詳細については、McAfee GTI 142 ページの「」を参照してください。 [除外対象] スキャン対象から除外するファイル、フォルダー、ドライブを指定します。 詳細については、除外対象の追加または除外対象の編集145 ページの「」を参 照してください。 [追加] 除外リストに項目を追加します。 [削除] 除外リストから項目を削除します。 [アクション] [パフォーマン ス] 詳細については、アクション 143 ページの「」を参照してください。 [スキャン キャ ッシュを使用] スキャナーで既存のスキャン結果を使用します。 [システムの使 用率] スキャン中にスキャナーに割り当てられる CPU 時間を指定できます。 このオプションを選択すると、重複スキャンを少なくし、パフォーマンスが向 上します。 それぞれのタスクは、他のタスクの制限に関係なく、個別に実行されます。 • [低] - 実行中の他のアプリケーションのパフォーマンスが向上します。 エンドユーザーが作業中の場合には、このオプションを選択してください。 • [標準以下] - スキャンのシステム使用率が McAfee ePO のデフォルト値に 設定されます。 • [標準] (デフォルト) - スキャン速度が速くなります。 エンド ユーザーの作業量が殆どなく、ボリュームが大きいシステムの場合 には、このオプションを選択してください。 McAfee Endpoint Security 10.1 製品ガイド 139 7 クライアント インターフェース リファレンス 脅威対策 - オンデマンド スキャン 表 7-19 オプション (続き) セクション オプション [スケジュール スキャン オプ ション] 定義 これらのオプションは、[フル スキャン]、[クイック スキャン]、カスタム ス キャンにのみ適用されます。 [システムがア イドル状態の場 合にのみスキャ ンする] ユーザーがアイドル状態の場合にのみスキャンを実行します。 脅威対策は、システムでキーボード操作やマウス操作が発生すると、スキャン を一時停止します。 脅威対策は、ユーザー (と CPU) が 5 分間アイドル状態に なると、スキャンを再開します。 McAfee では、サーバー システムでこのオプションを無効にすることをお勧め します。また、ユーザーがリモート デスクトップ接続 (RDP) だけでアクセス しているシステムでも無効にしてください。 脅威対策 は McTray を使用して システムがアイドル状態かどうかを判断します。 RDP だけで接続されている システムの場合、McTray は開始しません。オンデマンド スキャナーは実行さ れません。 この問題を回避するには、RDP でログオンするときに McTray を手動 で実行します (デフォルトでは C:\Program Files\McAfee\Agent \mctray.exe)。 [いつでもスキ ャン] ユーザーの操作中もスキャンを実行します。次のオプションを指定できます。 [ユーザーにスキャンの延期を許可] - ユーザーにスケジュール スキャンの延 期を許可し、スキャン延期オプションを指定します。 • [1 時間以内にユーザーが延期できる最大回数] - ユーザーが 1 時間にスキ ャンを延期できる回数 (1–23) を指定します。 • [ユーザー メッセージ] - スキャンの開始前にユーザーに表示するメッセー ジを指定します。 デフォルトのメッセージは「McAfee Endpoint Security がシステムのス キャンを開始します」です。 • [メッセージの期間 (秒)] - スキャンの開始前にメッセージを表示する時間 を秒数で指定します。 有効な範囲は 30 から 300 です。デフォルトは 45 秒です。 [システムがプレゼンテーション モードの場合にスキャンを実行しない] - シ ステムがプレゼンテーション モードの場合にスキャンを延期します。 [システムがバ システムがバッテリーで動作している場合にスキャンを延期します。 ッテリーで動作 している場合に スキャンを実行 しない] 関連トピック: 68 ページの「オンデマンド スキャン を設定する」 72 ページの「スキャン タスクとスケジュールを設定して実行する」 42 ページの「フル スキャンまたはクイック スキャンを実行する」 44 ページの「ファイルまたはフォルダーをスキャンする」 141 ページの「スキャンする場所」 142 ページの「McAfee GTI」 143 ページの「アクション」 145 ページの「除外対象の追加または除外対象の編集」 140 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス スキャンする場所 スキャンする場所 スキャン対象の場所を指定します。 これらのオプションは、[フル スキャン]、[クイック スキャン]、カスタム スキャンにのみ適用されます。 表 7-20 オプション セクション オプション 定義 [スキャンす る場所] [サブフォルダーをス キャン] 次のオプションを選択したときに、指定したボリュームのサブフォルダーを すべてスキャンします。 • [ホーム フォルダー] • [一時フォルダー] • [ユーザー プロファイル フォ ルダー] • [ドライブまたはフォルダー] • [Program Files フォルダー] このチェック ボックスをオフにすると、ボリュームのルート レベルのみ がスキャンされます。 [場所を指定] スキャン対象の場所を指定します。 [追加] スキャンする場所を追加します。 [追加] をクリックして、ドロップダウン メニューから場 所を選択します。 項目をダブル クリックしま す。 選択した項目を変更します。 [削除] スキャンする場所を削除します。 場所を選択して、[削除] をクリックします。 [メモリー内のルート キット] システム メモリーをスキャンし、ルートキット、非表示プロセス、マルウ ェアが自身の存在を隠蔽するような動作がないかどうか確認します。 この スキャンは、他のすべてのスキャンに先立って実行されます。 このオプションンを有効にしないと、システムがマルウェアの攻撃を受け る可能性があります。 [実行中のプロセス] 実行中のすべてのプロセスのメモリをスキャンします。 ファイルを駆除する 以外の[アクション]は、[スキャンを続行] として処理 されます。 このオプションンを有効にしないと、システムがマルウェアの攻撃を受け る可能性があります。 [登録済みのファイル] Windows レジストリが参照しているファイルをスキャンします。 スキャナーがレジストリでファイル名を検索し、ファイルが存在するかどう か確認します。スキャン対象のファイル リストを作成して、ファイルをス キャンします。 [マイ コンピューター] コンピューターに物理的に接続されているドライブまたはネットワーク ド ライブが割り当てられているドライブをすべてスキャンします。 [すべてのローカル ド ライブ] McAfee Endpoint Security 10.1 コンピューター上のすべてのドライブおよびそのサブフォルダーをスキャ ンします。 製品ガイド 141 7 クライアント インターフェース リファレンス McAfee GTI 表 7-20 オプション (続き) セクション オプション 定義 [すべての固定ドライ ブ] コンピューターに物理的に接続しているすべてのドライブをスキャンしま す。 [すべてのリムーバブ ル ドライブ] コンピューターに接続されているすべてのリムーバブル ドライブまたはそ の他のストレージ デバイスをスキャンします。 [すべてのネットワー ク ドライブ] コンピューターのネットワーク ドライブに論理的にマッピングされている ネットワーク上のドライブをスキャンします。 [ホーム フォルダー] スキャンを開始するユーザーのホーム フォルダーをスキャンします。 [ユーザー プロファイ ル フォルダー] スキャンを開始したユーザーのプロファイルをスキャンします。ユーザー の My Documents フォルダーも対象となります。 [Windows フォルダ ー] Windows フォルダーの内容をスキャンします。 [Program Files フォ ルダー] Program Files フォルダーの内容をスキャンします。 [一時フォルダー] 一時フォルダーの中身をスキャンします。 [ごみ箱] ごみ箱に含まれるコンテンツをスキャンします。 [ファイルまたはフォ ルダー] 指定したファイルまたはフォルダーをスキャンします。 関連トピック: 137 ページの「脅威対策 - オンデマンド スキャン」 McAfee GTI McAfee GTI を有効にし、設定を行います。 表 7-21 セクション オプ ショ ン 定義 [McAfee GTI を有効 にする] ヒューリスティック検査を有効または無効にします。 • 有効にすると、サンプルのフィンガープリントまたはハッシュが McAfee Labs に送信さ れ、マルウェアかどうかが確認されます。 ハッシュを送信するので、McAfee Labs が次の AMCore コンテンツ ファイルで更新を公開する前に脅威を検出できる場合があります。 • 無効にすると、フィンガープリントやデータが McAfee Labs に送信されません。 [感度レベ ル] 検出したサンプルがマルウェアかどうかを判断する場合に使用する感度レベルを設定します。 感度レベルを高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増え ると、誤検知も増える可能性があります。 [非常 に低] 誤検知の検出とリスクは、通常の AMCore コンテンツ ファイルの場合と同じです。 McAfee Labs が次の AMCore コンテンツ ファイルの更新を待たずにコンテンツを公開すると、脅威 対策 で検出が可能になります。 この設定は、ユーザー権限が制限され、強力なセキュリティ フットプリントの存在するデス クトップとサーバーで使用してください。 この設定を有効にすると、1 台のコンピューターで 1 日平均 10 から 15 のクエリーが実行さ れます。 142 McAfee Endpoint Security 10.1 製品ガイド クライアント インターフェース リファレンス アクション 表 7-21 7 (続き) セクション オプ ショ ン [低] 定義 この設定は、強力なセキュリティ フットプリントのあるラップトップ、デスクトップまたは サーバーの最小推奨事項です。 この設定を有効にすると、1 台のコンピューターで 1 日平均 10 から 15 のクエリーが実行さ れます。 [中] このレベルを使用するのは、マルウェアに感染する通常のリスクが、誤検知のリスクよりも大 きい場合です。 McAfee Labs 独自のヒューリスティック チェックによって、マルウェアの可 能性が高いものが検出されます。 ただし、一部の検出は誤検知の可能性があります。 この設 定を使用すると、McAfee Labs は人気のあるアプリケーションとオペレーティング システム ファイルが誤って検出されていないどうか確認します。 この設定は、ラップトップ、デスクトップまたはサーバーの最小推奨事項です。 この設定を有効にすると、1 台のコンピューターで 1 日平均 20 から 25 のクエリーが実行さ れます。 [高] この設定は、定期的に感染しているシステムまたは領域に使用してください。 この設定を有効にすると、1 台のコンピューターで 1 日平均 20 から 25 のクエリーが実行さ れます。 [非常 に高] McAfee では、スキャンするボリュームやディレクトリでプログラムやオペレーティング シス テムが実行されない場合にのみ、このレベルを使用することをお勧めします。 このレベルで検出されるものはマルウェアと推定されますが、誤検知かどうか判断できるほど 十分なテストは実施されていません。 この設定は、オペレーティング システム以外のボリュームでオンデマンド スキャンを実行す る場合に使用してください。 この設定は、オペレーティング システム以外のボリュームで使用してください。 この設定を有効にすると、1 台のコンピューターで 1 日平均 20 から 25 のクエリーが実行さ れます。 関連トピック: 133 ページの「脅威対策 - オンアクセス スキャン」 137 ページの「脅威対策 - オンデマンド スキャン」 158 ページの「Web 管理 - オプション」 アクション 脅威を検出したときのスキャナーのアクションを指定します。 表 7-22 オプション セクション オプション 定義 スキャンの種類 オンアクセス ス キャン [脅威を検出した場 合の最初の対応] McAfee Endpoint Security 10.1 オンデマンド ス キャン 脅威を検出したときにスキャナーが最初に実行するアクションを指定します。 [ファイル ア 感染の可能性があるファイルに対するア クセスを拒否 クセスを拒否します。 する] 製品ガイド 143 7 クライアント インターフェース リファレンス アクション 表 7-22 オプション (続き) セクション オプション 定義 スキャンの種類 オンアクセス ス キャン [スキャンを 続行する] 脅威を検出したときにファイルのスキャ ンを続行します。 隔離領域に項目は移 動しません。 [ファイルを 駆除する] 可能であれば、検出したファイルから脅 威を駆除します。 [ファイルを 削除する] 感染の可能性があるファイルを削除しま す。 [最初の対応が失敗 した場合] オンデマンド ス キャン 脅威を検出し、最初のアクションが失敗した場合にスキャナーが実行するアク ションを指定します。 [ファイル ア 感染の可能性があるファイルに対するア クセスを拒否 クセスを拒否します。 する] [スキャンを 続行する] 脅威を検出したときにファイルのスキャ ンを続行します。 隔離領域に項目は移 動しません。 [ファイルを 削除する] 感染の可能性があるファイルを削除しま す。 [不審なプログラム に対する最初の対 応] 不審なプログラムを検出した場合にスキャナーが最初に実行するアクションを 指定します。 このオプションは、[不審なプログラムを検出] を選択した場合にのみ使用でき ます。 [ファイル ア 感染の可能性があるファイルに対するア クセスを拒否 クセスを拒否します。 する] [ファイル ア 感染の可能性があるファイルに対するア クセスを許可 クセスを許可します。 する] [スキャンを 続行する] 脅威を検出したときにファイルのスキャ ンを続行します。 隔離領域に項目は移 動しません。 [ファイルを 駆除する] 可能であれば、検出したファイルから不 審なプログラムのファイルを駆除しま す。 [ファイルを 削除する] 不審なプログラムを削除します。 [最初の対応が失敗 した場合] 不審なプログラムを検出し、最初のアクションが失敗した場合にスキャナーが 実行するアクションを指定します。 このオプションは、[不審なプログラムを検出] を選択した場合にのみ使用でき ます。 [ファイル ア 感染の可能性があるファイルに対するア クセスを拒否 クセスを拒否します。 する] [ファイル ア 感染の可能性があるファイルに対するア クセスを許可 クセスを許可します。 する] 144 McAfee Endpoint Security 10.1 製品ガイド クライアント インターフェース リファレンス 除外対象の追加または除外対象の編集 表 7-22 7 オプション (続き) セクション オプション 定義 スキャンの種類 オンアクセス ス キャン [スキャンを 続行する] 脅威を検出したときにファイルのスキャ ンを続行します。 隔離領域に項目は移 動しません。 [ファイルを 削除する] 不審なプログラムを自動的に削除しま す。 オンデマンド ス キャン 関連トピック: 133 ページの「脅威対策 - オンアクセス スキャン」 137 ページの「脅威対策 - オンデマンド スキャン」 除外対象の追加または除外対象の編集 除外対象の定義を追加または編集します。 表 7-23 オプション セクシ ョン オプション [除外対 象] 定義 スキャンの種類 オンアクセ オンデマン ス ド 除外対象の種類を指定し、詳細を記述します。 [ファイル名ま 除外するファイル名またはパスを指定します。 たはパス] ファイルのパスにワイルドカードを使用できます。 Windows でフォルダーを除外するには、パスの最後にバッ クスラッシュ (\) を付けてください。 Mac でフォルダー を除外するには、パスの最後にスラッシュ (\) を付けてく ださい。 必要であれば、[サブフォルダーも除外] を選択します。 [ファイル タ イプ] 除外するファイルの種類 (拡張子) を指定します。 [ファイルの経 除外するファイルのアクセス タイプ ([修正]、[アクセス] (オ 過日数] ンデマンド スキャンのみ)、[作成]) を選択し、[最小経過日数] を指定します。 [除外時 期] 選択した項目を除外するタイミングを指定します。 [ディスクへの ディスクまたは他のストレージ デバイスに対するファイルの 書き込み時ま 書き込みまたは読み取り操作時にスキャン対象から除外しま たはディスク す。 からの読み取 り時] [ディスクから コンピューターまたは他のストレージ デバイスに対するファ の読み取り時] イルの読み込み操作時にスキャン対象から除外します。 [ディスクへの ディスクまたは他のストレージ デバイスに対するファイルの 書き込み時] 書き込みまたは変更操作時にスキャン対象から除外します。 McAfee Endpoint Security 10.1 製品ガイド 145 7 クライアント インターフェース リファレンス 脅威対策 - オプション 関連トピック: 133 ページの「脅威対策 - オンアクセス スキャン」 137 ページの「脅威対策 - オンデマンド スキャン」 50 ページの「除外対象でのワイルドカードの使用」 49 ページの「除外対象の設定」 脅威対策 - オプション 隔離、不審なプログラム、除外対象など、脅威対策の機能に適用される設定を行います。 ロギングの設定については、共通設定 - オプション 112 ページの「」 の設定を参照してください。 このセクションには、詳細オプションだけが表示されます。 表 7-24 詳細オプション セクション オプション 定義 [隔離マネ ージャー] [隔離フォルダー] 隔離フォルダーの場所を指定するか、デフォルトの場所を使用します。デフォル トは次のとおりです。 c:\Quarantine 隔離フォルダーは 190 文字までです。 [検出名で 除外] [隔離データの最 大保管日数を指 定] 隔離ファイルの保管日数 (1-999) を指定します。この期間が経過したファイル は自動的に削除されます。 デフォルトは 30 日です。 [次の検出名を除 外] 除外対象を検出名で指定します。 たとえば、オンアクセス スキャナーとオンデマンド スキャナーが Installation Check の脅威を検出しないように指定するには、Installation Check と入力 します。 [追加] - 検出名を除外リストに追加します。 [追加] をクリックして、検出名を 入力します。 項目をダブルクリックします。 — 選択した項目を変更します。 [削除] - 除外リストから検出名を削除します。 名前を選択して、[削除] をクリ ックします。 146 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス AMCore コンテンツのロールバック 表 7-24 詳細オプション (続き) セクション オプション 定義 [不審なプ ログラムの 検出] [ユーザー定義の 不審なプログラムとして処理するファイルまたはプログラムを個別に指定しま 不審なプログラム す。 を除外] スキャナーは、ユーザーが指定したプログラムと AMCore コンテンツ ファイル に指定したプログラムを検出します。 サイズが 0 バイトでユーザー定義の不審なプログラムは、スキャナーによって検 出されません。 • [追加] - 不審なプログラムを独自に定義します。 [追加] をクリックして名前を入力します。Tab を押して説明を入力します。 • [名前]- 不審なプログラムのファイル名を指定します。 • [説明] - 検出時に検出名として表示される情報を指定します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - リストから不審なプログラムを削除します。 表からプログラムを選択して、[削除] をクリックします。 [プロアク ティブ デー [McAfee GTI フ タ分析] ィードバック] [セーフティ パル ス] 診断情報と使用状況のデータを McAfee に匿名で送信する: McAfee GTI ベースの利用統計フィードバックを有効にして、クライアント シス テムで実行中のファイルとプロセスに関する匿名データを収集します。 AMCore コンテンツ ファイルの更新前後でクライアント システムの正常性チェ ックを実行し、結果を McAfee に送信します。 結果は暗号化され、SSL 経由で McAfee に送信されます。 McAfee は、これらの レポート データを集計して異常を識別し、コンテンツ関連の脅威を未然に防ぎま す。 封じ込めから修復までを短時間に行うには、このような問題を迅速に検出す る必要があります。 セーフティ パルスが次の種類のデータを収集します。 • オペレーティング システムのバージョンとロケール • McAfee 製品のバージョン • AMCore コンテンツとエンジンのバージョン • McAfee と Microsoft の実行プロセスの情報 [AMCore コンテ ンツ レピュテー ション] クライアント システムを更新する前に、AMCore コンテンツ ファイルのレピュテ ーションを McAfee GTI から取得します。 • McAfee GTI がファイルを許可すると、Endpoint Security が AMCore コンテ ンツを更新します。 • McAfee GTI がファイルを許可しない場合、Endpoint Security は AMCore コ ンテンツを更新しません。 関連トピック: 62 ページの「共通のスキャン設定を行う」 AMCore コンテンツのロールバック AMCore コンテンツを以前のバージョンに変更します。 McAfee Endpoint Security 10.1 製品ガイド 147 7 クライアント インターフェース リファレンス ファイアウォール - オプション オプション 定義 [読み込むバージ ョンを選択] 以前の AMCore コンテンツ ファイルの中で読み込むファイルのバージョン番号を指定しま す。 Endpoint Security は、クライアント システムに 2 つ前までのバージョンを保持します。 前のバージョンに変更すると、Endpoint Security が現在のバージョンの AMCore コンテンツ をシステムから削除します。 関連トピック: 26 ページの「AMCore コンテンツのバージョンを変更する」 ファイアウォール - オプション ファイアウォール モジュールを有効または無効にしたり、保護オプションを設定します。 ロギングの設定については、共通設定 - オプション 112 ページの「」 の設定を参照してください。 Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、管理者とし てログオンしています。 Host Intrusion Prevention 8.0 は、Endpoint Security 10.1 と同じシステムにインストールできます。 McAfee Host IPS がインストールされ、有効になっている場合、ポリシー設定で有効にしても Endpoint Security ファイア ウォールが無効になります。 表 7-25 オプション セクション オプション 定義 [Firewall を有効にする] ファイアウォール モジュールを有効または無効にします。 [保護オプシ [サポートされていないプ サポートされていないプロトコルを使用するトラフィックをすべて許可 ョン] ロトコルのトラフィック します。 無効にすると、サポートされていないプロトコルを使用するト を許可する] ラフィックはすべてブロックされます。 [ファイアウォール サー ビスが開始するまで送信 トラフィックのみを許可 する] ファイアウォール サービスが開始するまで、送信トラフィックは許可し ますが、受信トラフィックは許可しません。 [ブリッジド トラフィッ クを許可] ローカル システムの MAC アドレスでなくても、対応する VM ソフトウ ェアの範囲内にある MAC アドレスの場合、トラフィックを許可します。 許可: このオプションを無効にすると、ファイアウォール は、サービス開始前 に発生したすべてのトラフィックを許可します。 • 宛先の MAC アドレスを含む受信パケット。 • 送信元の MAC アドレスを含む受信パケット。 [IP スプーフィング対策 を有効にする] ローカル ホストの IP アドレス以外から送信されたネットワーク トラフ ィックをブロックします。IP の偽装を試みるローカル プロセスからのト ラフィックもブロックします。 [動的なブロック ルール を有効にする] ブロック ルールを動的に作成し、Endpoint Security クライアント の [動的ルール] グループに追加することを他の Endpoint Security モジ ュールに許可します。 デフォルトは無効です。 148 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス ファイアウォール - オプション 表 7-25 オプション (続き) セクション オプション 定義 [ファイアウォール侵入ア ファイアウォールが攻撃の可能性を検出すると、アラートを自動的に表示 します。 ラートを有効にする] [DNS ブロ ック] [ドメイン名] ブロックするドメイン名を定義します。 適用すると、ファイアウォール ルール リストの先頭に近い位置にルール を追加し、ドメイン名を解決する IP アドレスとの接続をブロックします。 • [追加] - ドメイン名をブロック リストに追加します。 複数のドメイ ンを指定する場合には、ドメインをカンマ (,) または改行で区切ってく ださい。 ワイルドカードとして * と ? を使用できます。 例: *domain.com 重複する項目は自動的に削除されます。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択したドメイン名をブロック リストから削除します。 表 7-26 詳細オプション セクション オプション 定義 [調整オプショ [適応モードを有効 トラフィックの許可ルールを自動的に作成します。 ン] にする] ファイアウォールのトンネリング中にのみ、少数のシステムで適応モードを 有効にします。 このモードを有効にすると、大量のクライアント ルールが 生成される場合があります。これらのルールは McAfee ePO サーバーで処 理されるため、パフォーマンスが低下する可能性があります。 [McAfee コア ネ 組み込みの McAfee ネットワーク ルール ([McAfee コア ネットワーク] ル ットワーク ルール ール グループ) を無効にします。 を無効にする] デフォルトは無効です。 このオプションを有効にすると、クライアントのネットワーク通信が遮断さ れる可能性があります。 [ブロックされたト ブロックされたすべてのトラフィックを ファイアウォール の Endpoint ラフィックをすべ Security クライアント イベント ログ (FirewallEventMonitor.log) に記録 てログに記録する] します。 デフォルトは有効です。 [許可されたトラフ 許可されたすべてのトラフィックをファイアウォールの Endpoint Security ィックをすべてロ クライアント イベント ログ (FirewallEventMonitor.log) に記録します。 グに記録する] デフォルトは無効です。 このオプションを有効にすると、パフォーマンスが低下する場合があります。 [McAfee GTI ネットワーク レピュテーシ ョン] [McAfee GTI の一 McAfee GTI ブロックしきい値に一致するトラフィックを侵入として扱いま 致を侵入として扱 す。 このオプションを有効にすると、アラートが表示され、管理サーバーに う] イベントが送信されます。この情報は、Endpoint Security クライアント ロ グ ファイルに追加されます。 デフォルトは有効です。 信頼できるネットワーク ポリシーの IP アドレスは McAfee GTI の対象外 になります。 McAfee Endpoint Security 10.1 製品ガイド 149 7 クライアント インターフェース リファレンス ファイアウォール — ルール 表 7-26 詳細オプション (続き) セクション オプション 定義 [一致するトラフィ McAfee GTI ブロックしきい値に一致するトラフィックを検出として扱いま ックをログに記録 す。 このオプションを有効にすると、管理サーバーにイベントが送信されま する] す。この情報は、Endpoint Security クライアント ログ ファイルに追加され ます。 デフォルトは有効です。 信頼できるネットワーク ポリシーの IP アドレスは McAfee GTI の対象外 になります。 [受信/送信ネット ネットワーク接続で受信または送信トラフィックをブロックする McAfee ワークのレピュテ GTI の評価しきい値を指定します。 ーションしきい値] • [ブロックなし] - コンテンツやトラフィックの正規の送信元または送信先 であることが確認されています。 • [危険度高] - この送信元/宛先は、McAfee が危険と見なす不審なコンテン ツ/トラフィックを送信またはホスティングしています。 • [危険度中] - この送信元/宛先は、McAfee が不審と見なす振る舞いを示し ています。 このサイトのコンテンツ/トラフィックには特別な警戒が必要 です。 • [未確認] - このサイトは、コンテンツやトラフィックの正規の送信元また は送信先の可能性もありますが、詳しい調査が必要なプロパティがありま す。 [ステートフル [FTP プロトコル検 FTP 接続の追跡を許可します。送信 FTP クライアント トラフィックに 1 つ ファイアウォ 査を実行する] のファイアウォール ルールが、受信 FTP サーバ トラフィックには 1 つのフ ール] ァイアウォール ルールが必要です。 選択しないと、受信 FTP クライアント トラフィックと送信 FTP サーバー ト ラフィックに追加のルールが必要になります。 [TCP 接続がタイ ムアウトするまで の秒数 (1-240)] 接続と一致するパケットが送受信されない場合に、確立されていない TCP 接 続のアクティブ状態を維持する時間 (秒単位) を指定します。 有効な範囲は 1–240 です。 [UDP または ICMP エコー仮想 接続タイムアウト までの秒数 (1-300)] 接続と一致するパケットが送受信されない場合に、確立されていない UDP ま たは ICMP エコー仮想接続のアクティブ状態を維持する時間 (秒単位) を指 定します。 このオプションを使用すると、仮想接続と一致するパケットが送 受信されるたびに、この設定値にリセットされます。 有効な範囲は 1-300 で す。 関連トピック: 76 ページの「ファイアウォール オプションを設定する」 ファイアウォール — ルール ファイアウォール ルールとグループを管理します。 追加と削除ができるのは、ユーザーが追加したグループのルールとグループだけです。 ファイアウォールは、新規に 追加されたルールをこのグループに自動的に移動します。 150 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス ファイアウォール — ルール 表 7-27 オプション セクショ オプション ン 定義 [ ルール] [ルールの追加] ファイアウォール ルールを作成します。 ルール グループ 詳細については、ルールの追加またはルールの編集、グループの 追加またはグループの編集151 ページの「」を参照してくださ い。 [グループの追 加] ファイアウォール グループを作成します。 項目をダブルク リックします。 選択した項目を変更します。 [複製] 選択した項目のコピーを作成します。 [削除] 選択したファイアウォールの項目を削除します。 リストで移動可能な要素を表示します。 要素を選択してドラッグし、新しい位置にドロップします。 要素 をドロップできる位置に青線が表示されます。 関連トピック: 84 ページの「ファイアウォール ルールとグループを作成/管理する」 151 ページの「ルールの追加またはルールの編集、グループの追加またはグループの編集」 ルールの追加またはルールの編集、グループの追加またはグループの編集 ファイアウォール ルールとグループを追加または編集します。 表 7-28 オプション セクシ オプション ョン 定義 ル ー ル [説明] [名前] 項目の名前を指定します (必要な場合)。 [ステータス] 項目を有効または無効にします。 グル ープ [アクションを [許可] - 項目が一致する場合、トラフィックがファイアウォールを通過しま 指定する] す。 [ブロックする] - 項目が一致する場合、トラフィックがファイアウォールで 遮断されます。 [一致する場合は侵入として扱う] - ルールに一致したトラフィックを侵入と して扱います。 このオプションを有効にすると、アラートが表示され、管理 サーバーにイベントが送信されます。この情報は、Endpoint Security クライ アント ログ ファイルに追加されます。 大量のイベントが生成されるため、[許可] ルールではこのオプションを有効 にしないでください。 [一致するトラフィックをログに記録する] - ルールに一致したトラフィック を検出として扱います。 このオプションを有効にすると、管理サーバーにイ ベントが送信されます。この情報は、Endpoint Security クライアント ログ ファイルに追加されます。 McAfee Endpoint Security 10.1 製品ガイド 151 7 クライアント インターフェース リファレンス ファイアウォール — ルール 表 7-28 オプション (続き) セクシ オプション ョン [方向] 定義 ル ー ル 方向を指定します。 • [いずれか] - 受信トラフィックと送信トラフィックを監視します。 • [受信] - 受信トラフィックを監視します。 • [送信] - 送信トラフィックを監視します。 [メモ] [場所] 項目の補足情報を入力します。 [位置認識を有 グループの場所情報を有効または無効にします。 効にする] [名前] 場所の名前を指定します (必要な場合)。 [接続の分離を グループに一致するアダプターが存在するときに、グループに一致しないネッ トワーク アダプター上のトラフィックをブロックします。 有効にする] 接続の分類グループでは、[トランスポート] と[アプリケーション] の設定は 使用できません。 このオプションを使用すると、外部の不審な送信元から送信されたトラフィッ クが、企業ネットワーク内に侵入しないようにブロックできます。 ただし、 Firewall 内でグループよりも前にあるルールがこのようなトラフィックを許 可している場合には、この方法でトラフィックをブロックすることはできませ ん。 接続の分離が有効であり、NIC がグループに一致する場合、次のいずれかの場 合にのみトラフィックが許可されます。 • グループの前にトラフィックが [許可ルール]と比較されます。 • NIC を通過するトラフィックがグループと比較される。トラフィックを許 可するルールがグループ内またはグループの下に存在する。 グループに一致する NIC がない場合、グループは無視され、ルールの照合が 続行されます。 [ePO との接 続が必要] 152 McAfee ePO サーバーと通信を行い、サーバーの完全修飾ドメイン名の参照が 解決されている場合にのみ、グループの比較を有効にします。 McAfee Endpoint Security 10.1 製品ガイド グル ープ 7 クライアント インターフェース リファレンス ファイアウォール — ルール 表 7-28 オプション (続き) セクシ オプション ョン [場所の条件] 定義 ル ー ル グル ープ • [接続別の DNS サフィックス] - 接続別の DNS サフィックスを example.com の形式で指定します。 • [デフォルト ゲートウェイ] - デフォルト ゲートウェイの単一 IP アドレス を IPv4 または IPv6 形式で指定します。 • [DHCP サーバー] - DHCP サーバーの単一 IP アドレスを IPv4 または IPv6 形式で指定します。 • [DNS サーバー] - ドメイン名サーバーの単一 IP アドレスを IPv4 また は IPv6 形式で指定します。 • [プライマリー WINS サーバー] - プライマリー WINS サーバーの単一 IP アドレスを IPv4 または IPv6 形式で指定します。 • [セカンダリ WINS サーバー] - セカンダリ WINS サーバーの単一 IP ア ドレスを IPv4 または IPv6 形式で指定します。 • [ドメインとの接続 (HTTPS)] - 指定したドメインに HTTPS で接続可能 でなければなりません。 • [レジストリ キー] - レジストリ キーとキーの値を指定します。 1 [追加] をクリックします。 2 [値] 列に、次の形式でレジストリ キーを指定します。 <ROOT>\<KEY>\[VALUE_NAME] • <ROOT> - 短縮形の HKLM ではなく、完全な root 名 (HKEY_LOCAL_MACHINE) を入力してください。 • <KEY> - root の下にあるキー名です。 • [VALUE_NAME] - キー値の名前です。 値の名前を入力しないと、 デフォルトの値が使用されます。 例: • IPv4 — 123.123.123.123 • IPv6 — 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Macintosh OS では、IPv6 アドレスを使用できません。 [ネッ 項目に適用されるネットワーク ホスト オプションを指定します。 トワー ク] [ネットワーク 項目に適用されるネットワーク プロトコルを指定します。 プロトコル] [すべてのプロ IP プロトコルと IP 以外のプロトコルの両方を許可します。 トコル] トランスポート プロトコルまたはアプリケーションを指定している場合に は、IP プロトコルのみ使用可能です。 McAfee Endpoint Security 10.1 製品ガイド 153 7 クライアント インターフェース リファレンス ファイアウォール — ルール 表 7-28 オプション (続き) セクシ オプション ョン [IP プロトコ ル] 定義 ル ー ル IP 以外のプロトコルを除外します。 • [IPv4 プロトコル] • [IPv6 プロトコル] どちらのチェックボックスも選択しないと、IP プロトコルが適用されます。 IPv4 と IPv6 の両方を選択できます。 [IP 以外のプ ロトコル] IP 以外のプロトコルのみを対象にします。 • [リストから EtherType を選択する] -EtherType を指定します。 • [カスタム EtherType を指定する] - IP 以外のプロトコルの EtherType 値 (4 個の 16 進数) を指定します。 EtherType の値については、 Ethernet 番号を参照してください。 たとえば、AppleTalk には 809B、 NetBEUI には 8191、IPX には 8037 をそれぞれ入力します。 [接続の種類] 適用される接続の種類を表します。 • [有線] • [無線] • [仮想] [仮想] 接続タイプは、物理的なアダプターではなく、VPN または仮想マシ ン アプリケーション (VMware など) のアダプターです。 [ネットワーク 項目に適用されるネットワークを指定します。 を指定する] • [追加] - ネットワークを作成して追加します。 詳細については、[ネットワークの追加] または [ネットワークの編集]157 ページの「」を参照してください。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - リストからネットワークを削除します。 [トラ ンスポ ート] 154 項目に適用されるトランスポート オプションを指定します。 McAfee Endpoint Security 10.1 製品ガイド グル ープ 7 クライアント インターフェース リファレンス ファイアウォール — ルール 表 7-28 オプション (続き) セクシ オプション ョン 定義 ル ー ル グル ープ [トランスポー 項目に関連するトランスポート プロトコルを選択します。 ト プロトコ プロトコルを選択して [追加] をクリックして、ポートを追加します。 ル] • [すべてのプロトコル] - IP、IP 以外、非対応のプロトコルを許可します。 • [TCP] と [UDP] ドロップダウンから選択します。 • [ローカル ポート] - 項目が適用されるローカル トラフィック サービス またはポートを指定します。 • [リモート ポート] - 項目が適用されるローカル トラフィック サービス または別のコンピューターのポートを指定します。 [ローカル ポート] と [リモート ポート] には、次のいずれかを指定します。 • 1 つのサービス。 例: 23 • 範囲。 例: 1 - 1024 • ポートまたはポート範囲のカンマ区切りリスト。 例: 80, 8080, 1-10, 8443 (4 つまで指定可) デフォルトでは、すべてのサービスとポートにルールが適用されます。 • [ICMP] - [メッセージの種類] ドロップダウンで ICMP メッセージの種類 を指定します。 ICMP を参照してください。 • [ICMPv6] - [メッセージの種類] ドロップダウンで ICMP メッセージの 種類を指定します。 ICMPv6 を参照してください。 • [その他] - 一般的でないプロトコルのリストから選択します。 [実行 ファイ ル] ルールに適用する実行ファイルを指定します。 • [追加] - 実行ファイルを作成して追加します。 詳細については、実行ファイルの追加 または 実行ファイルの編集 156 ペ ージの「」を参照してください。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - リストから実行ファイルを削除します。 [スケ ルールまたはグループのスケジュール設定を指定します。 ジュー ル] [スケジュール 期限付きルールまたはグループのスケジュールを有効にします。 を有効にする] スケジュールを無効にすると、グループ内のルールに適用されません。 • [開始時間] - スケジュールを有効にする開始時間を指定します。 • [終了時間] - スケジュールを無効にする開始時間を指定します。 • 曜日 - スケジュールを有効にする曜日を指定します。 開始時間と終了時間は 24 時間形式で指定します。 たとえば、午後 1 時の場 合に h 13:00 と表します。 ファイアウォール期限付きグループのスケジュールを設定したり、McAfee システム トレイ アイコンからの操作をユーザーに許可できます。 McAfee Endpoint Security 10.1 製品ガイド 155 7 クライアント インターフェース リファレンス ファイアウォール — ルール 表 7-28 オプション (続き) セクシ オプション ョン [スケジュール を無効にして McAfee シス テム トレイ アイコンでグ ループを有効 にする] 定義 ル ー ル グル ープ スケジュールを使用せず、一定の時間 McAfee システム トレイ アイコンから の期限付きグループの有効化をユーザーに許可します。 このオプションは、ホテルなどで、VPN 接続が確立する前にブロードバンド ネットワーク アクセスを許可する場合に使用します。 このオプションを選択数と、McAfee システム トレイ アイコンの [クイック 設定] の下に追加のメニュー オプションが表示されます。 • [ファイアウォール期限付きグループを有効にする] - ファイアウォール期 限付きグループを有効にし、所定の期間、アクセスを制限するルールを適用 する前にネットワーク以外のインターネット アクセスを許可します。 このオプションを選択するたびに、グループの期限がリセットされます。 • [ファイアウォール期限付きグループを表示する] - 期限付きグループの名 前と各グループの残り時間を表示します。 ファイアウォール期限付きグループのスケジュールを設定したり、McAfee システム トレイ アイコンからの操作をユーザーに許可できます。 [グループを有 McAfee システム トレイ アイコンから [ファイアウォールの期限付きグルー 効にする時間 プを有効にする] を選択してから期限付きグループが無効になるまでの時間 (1 - 60 分)] (1 分から 60 分) を指定します。 関連トピック: 84 ページの「ファイアウォール ルールとグループを作成/管理する」 87 ページの「期限付きグループを作成する」 75 ページの「ファイアウォール期限付きグループを表示または有効にする」 157 ページの「[ネットワークの追加] または [ネットワークの編集]」 156 ページの「実行ファイルの追加 または 実行ファイルの編集」 実行ファイルの追加 または 実行ファイルの編集 ルールまたはグループに関連する実行ファイルを追加または編集します。 表 7-29 オプション オプション 定義 [名前] 実行ファイルの名前を指定します。 このフィールドは、[ファイル名またはパス]、[ファイルの説明]、[MD5 ハッシュ] または署名 者と一緒に使用する必要があります。 [ファイル名また 追加または編集する実行ファイルの名前あるいはパスを指定します。 はパス] [参照] をクリックして、実行ファイルを選択してください。 ファイルのパスにワイルドカードを使用できます。 [ファイルの説 明] ファイルの説明が表示されます。 [MD5 ハッシュ] プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。 156 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス ファイアウォール — ルール 表 7-29 オプション (続き) オプション 定義 [署名者] [デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、コード が改ざんされたり、壊れていないことが保証されます。 有効にする場合、次のオプションを指定します。 • [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可します。 • [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。 実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該当するフ ィールドの項目と完全に一致させる必要があります。 実行ファイルの SDN を取得するには: 1 実行ファイルを右クリックし、[プロパティ] を選択します。 2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。 3 [全般] タブで [証明書の表示] をクックします。 4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示されます。 Firefox の場合、この署名者の識別名は次のようになります。 [メモ] • CN = Mozilla Corporation • L = Mountain View • OU = Release Engineering • S = California • O = Mozilla Corporation • C = US 項目の補足情報を入力します。 [ネットワークの追加] または [ネットワークの編集] ルールまたはグループに関連するネットワークを追加または編集します。 表 7-30 オプション 定義 ルール グルー プ [名前] ネットワーク アドレス名を指定します (必要な場合)。 [種類] いずれかを選択します。 • [ローカル ネットワーク] - ローカル ネットワークを作成して追加します。 • [リモート ネットワーク] - リモート ネットワークを作成して追加します。 [追加] ネットワーク リストにネットワークの種類を追加します。 項目をダブル クリックしま す。 選択した項目を変更します。 [削除] 選択した項目を削除します。 [アドレスの種 トラフィックの送信元または送信先を指定します。 [アドレスの種類] ドロップ 類] ダウン リストから選択します。 アドレスの種類については、 アドレスの種類 158 ページの「」を参照してくだ さい。 [アドレス] ネットワークに追加する IP アドレスを指定します。 ワイルドカードも使用できます。 McAfee Endpoint Security 10.1 製品ガイド 157 7 クライアント インターフェース リファレンス Web 管理 - オプション 関連トピック: 158 ページの「アドレスの種類」 アドレスの種類 定義されたネットワークにアドレスの種類を指定します。 Macintosh OS では、IPv6 アドレスを使用できません。 表 7-31 オプション オプション 定義 [単一 IP アドレス] 特定の IP アドレスを指定します。 例: • IPv4 — 123.123.123.123 • IPv6 — 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* [サブネット] ネットワーク上の任意のアダプターのサブネット アドレスを指定します。 例: • IPv4 — 123.123.123.0/24 • IPv6 — 2001:db8::0/32 [ローカル サブネッ ローカル アダプターのサブネット アドレスを指定します。 ト] [範囲] IP アドレスの範囲を指定します。 範囲の開始点と終了点を入力します。 例: • IPv4 — 123.123.1.0 – 123.123.255.255 • IPv6 — 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff [完全修飾ドメイン 名] FQDN を指定します (例: www.example.com)。 [任意のローカル IP 任意のローカル IP アドレスを指定します。 アドレス] [任意の IPv4 アド レス] 任意の IPv4 アドレスを指定します。 [任意の IPv6 アド レス] 任意の IPv6 アドレスを指定します。 Web 管理 - オプション Web 管理の全般的な設定を行います。アクションの施行、安全な検索、メールの注釈などを設定します。 ロギングの設定については、共通設定 - オプション 112 ページの「」 の設定を参照してください。 158 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス Web 管理 - オプション 表 7-32 オプション セク ショ ン オプション 定義 [オプ ショ ン] [Web 管理を有効に する] Web 管理を無効または有効にします。 デフォルトは有効です。 [クライアント ブラ ウザーでツールバー を表示しない] この機能を無効にせずに、ブラウザーの Web 管理ツールバーを非表示にします。 デフォルトは無効です。 [安全と評価された サイトの Web カテ ゴリを記録する] すべての安全サイトのコンテンツ カテゴリを記録します。 [Web 管理の iFrame イベントを 記録する] HTML iframe を表示する危険なサイトと注意が必要なサイトをブロックしたとき に記録します。 [McAfee GTI が未 確認のサイトにこの アクションを適用す る] McAfee GTI が評価していないサイトに適用するデフォルトのアクションを指定し ます。 [イベ ント ロギ ング] [アク ショ ン施 行] この機能を有効にすると、McAfee ePO サーバーのパフォーマンスが低下する場合 があります。 • [許可] (デフォルト) - ユーザーにサイトへのアクセスを許可します。 • [警告] - サイトに関する危険の可能性をユーザに通知する警告を表示します。 操 作を続行するには、警告を解除する必要があります。 • [ブロック] - サイトへのアクセスをブロックし、サイト ダウンロードをブロック したことを通知するメッセージを表示します。 [HTML iFrame サポ HTML iframe を表示する危険なサイトと注意が必要なサイトへのアクセスをブロ ートを有効にする] ックします。 デフォルトは有効です。 [McAfee GTI 評価 サーバーにアクセス できない場合にデフ ォルトでサイトをブ ロックする] Web 管理が McAfee GTI サーバーに接続できない場合、デフォルトで Web サイト へのアクセスをブロックします。 [すべてのサイトで フィッシング詐欺ペ ージをブロックす る] すべてのフィッシング詐欺ページをブロックし、コンテンツの評価アクションを上書 きします。 デフォルトは有効です。 [ダウンロードでフ ァイルのスキャンを 有効にする] ダウンロードの前にすべてのファイル (.zip、.exe、.ecx、.cab、.msi、.rar、 .scr、.com) をスキャンします。 デフォルトは有効です。 このオプションを有効にすると、Web 管理と脅威対策がファイルを駆除済みと認識 するまで、ファイルへのアクセスがブロックされます。 Web 管理がファイルに関する情報を McAfee GTI から取得します。 McAfee GTI がファイルを許可すると、Web 管理がファイルを脅威対策に送信し、スキャンを実 行します。 ダウンロード ファイルが脅威として検出されると、Endpoint Security がファイルに対してアクションを実行し、ユーザーに警告します。 [McAfee GTI 感度 レベル] Web 管理がファイル ダウンロードのスキャンで使用する McAfee GTI 感度レベル を指定します。 詳細については、McAfee GTI 142 ページの「」を参照してください。 McAfee Endpoint Security 10.1 製品ガイド 159 7 クライアント インターフェース リファレンス Web 管理 — コンテンツによるアクション 表 7-32 セク ショ ン オプション (続き) オプション 定義 [プライベート IP の 指定したプライベート IP アドレス範囲を評価またはアクションを実行しないよう 範囲] に Web 管理を設定します。 • [追加] - プライベート IP アドレスをリストに追加し、評価またはブロックの対 象外にします。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 評価またはブロックから除外するアドレスのリストから IP アドレスを 削除します。 [安全 な検 索] [安全な検索を有効 にする] 安全な検索を有効にします。安全性評価に基づいて、検索結果で不正なサイトを自動 的にブロックします。 [対応ブラウザーで デフォルトの検索エ ンジンを設定する] 対応ブラウザーで使用するデフォルトの検索エンジンを指定します。 • [Yahoo] • [Google] • [Bing] • [Ask] [検索結果で危険な サイトのリンクをブ ロックする] 検索結果で、危険なサイトのリンクをクリックできないようにします。 表 7-33 詳細オプション セクション オプション 定義 [メールの注釈] [ブラウザー ベースのメールで注釈機 能を有効にする] ブラウザベースの電子メール クライアント (Yahoo! メ ールと Gmail) で URL に注釈機能を有効にします。 [ブラウザー ベース以外のメールで注 釈機能を有効にする] 32 ビットのメール管理ツール (Microsoft Outlook、 Outlook Express など) で URL の注釈機能を有効にし ます。 関連トピック: 95 ページの「Web 管理 オプションを設定する」 97 ページの「ファイル ダウンロードのスキャン方法」 142 ページの「McAfee GTI」 Web 管理 — コンテンツによるアクション 評価されたサイトと Web コンテンツ カテゴリに実行されるアクションを定義します。 ブロックされないカテゴリのサイトとファイル ダウンロードの場合、Web 管理 は評価アクションを適用します。 160 McAfee Endpoint Security 10.1 製品ガイド 7 クライアント インターフェース リファレンス Web 管理 — コンテンツによるアクション 表 7-35 オプション セクショ ン オプション 定義 [評価アク ション] [サイトの評価 危険、注意が必要、未評価のサイトに対するアクションを指定します。 アクション] 安全と評価されたサイトとダウンロードは自動的に許可されます。 • [許可] - ユーザーにサイトへのアクセスを許可します。 ([未評価サイト] のデフォルト) • [警告] - サイトに関する危険の可能性をユーザーに通知する警告を表示します。 前に閲覧したサイトに戻るには [キャンセル] をクリックします。先に進むには [続 行] をクリックします。 前に閲覧したサイトにブラウザー タブがない場合、[キャンセル] は使用できませ ん。 ([注意が必要なサイト] のデフォルト) • [ブロック] - サイトへのアクセスをブロックし、サイトをブロックしたことを通知 するメッセージを表示します。 前に閲覧したサイトに戻るには、[OK] をクリックします。 前に閲覧したサイトにブラウザー タブがない場合、[OK] は使用できません。 ([危険なサイト] のデフォルト) [ファイル ダ ウンロードの 評価アクショ ン] 危険、注意が必要、未評価のファイル ダウンロードに対するアクションを指定します。 評価アクションは、[オプション] 設定で [ダウンロードでファイルのスキャンを有効 にする] が有効になっている場合にのみ適用されます。 • [許可] - ユーザーがダウンロードを続行することを許可します。 ([未評価サイト] のデフォルト) • [警告] - ダウンロード ファイルに関する危険の可能性をユーザーに通知する警告 を表示します。 ダウンロードを終了または続行するには、警告を閉じる必要があり ます。 ([注意が必要なサイト] のデフォルト) • [ブロック] - メッセージを表示し、ダウンロードをブロックしてファイルのダウン ロードを拒否したことをユーザーに通知します。 ([危険なサイト] のデフォルト) 施行メッセージ の設定を使用して、メッセージをカスタマイズしてください。 表 7-36 詳細オプション セクション オプション 定義 [Web カテゴリのブロック] [Web カテゴリのブロック コンテンツ カテゴリに従ってサイトのブロックを有効に を有効にする] します。 McAfee Endpoint Security 10.1 [ブロック] このカテゴリのサイトへのアクセスをブロックします。 サイトをブロックしたことを通知するメッセージを表示 します。 [Web カテゴリ] Web カテゴリを表示します。 製品ガイド 161 7 クライアント インターフェース リファレンス 脅威情報 - オプション 関連トピック: 98 ページの「評価アクションを指定して、Web カテゴリに基づいてサイト アクションをブロックする」 99 ページの「安全性評価によるアクセス制御」 98 ページの「Web カテゴリによるアクセス制御」 脅威情報 - オプション 脅威情報を設定します。 脅威情報は McAfee ePO 管理対象システムでのみ使用できます。 表 7-37 オプション セクシ ョン オプション 定義 [オプシ ョン] [脅威情報を有効にす る] 脅威情報モジュールを有効にします。 [脅威情報サーバーに 脅威情報サーバーがファイル情報を匿名で McAfee に送信します。 匿名での診断情報と使 用状況データの収集を 許可する] [脅威情報サーバーに 脅威情報サーバーに接続できない場合にファイル レピュテーション情報を 接続できない場合に Global Threat Intelligence プロキシから取得します。 McAfee GTI ファイル レピュテーションを使 用する] [ルール の割り 当て] [ユーザーに設定の変 更を許可しない (脅威 情報 1.0 クライアン トのみ)] 管理対象のエンドポイント システムで脅威情報の設定の変更を禁止します。 [生産性] [生産性] ルール グループをポリシーに割り当てます。 ソフトウェアのインストールや更新が頻繁に発生する変更頻度の高いシステム には、このグループを使用します。 このグループの場合、使用するルールの数が最小になります。 新しいファイル の検出時にプロンプトまたはブロックされる回数が最も少なくなります。 [バランス] [バランス] ルール グループをポリシーに割り当てます。 新しいソフトウェアのリリースや変更の頻度が頻繁でない標準的なビジネス シ ステムには、このグループを使用します。 このグループでは、[生産性]グループよりも多くのルールが使用されるため、プ ロンプトまたはブロックが表示される回数も多くなります。 [セキュリティ] [セキュリティ] ルール グループをポリシーに割り当てます。 IT 管理のシステムや厳密な管理下にあるサーバーなど、変更の少ないシステム には、このグループを使用します。 [バランス] グループに比べると、プロンプトまたはブロック数の回数が多くな ります。 [アクシ ョン施 行] 162 [監視モードを有効に する] McAfee Endpoint Security 10.1 データを収集してサーバーに送信します。ただし、ポリシーの施行は行いませ ん。 このオプションを使用すると、実際に実行する前にポリシーの効果を確認 できます。 製品ガイド 7 クライアント インターフェース リファレンス 脅威情報 - オプション 表 7-37 セクシ ョン オプション (続き) オプション 定義 [レピュテーションし ファイルのレピュテーションが特定のしきい値に達したときにファイルをブロ きい値が次の場合にブ ックします。次のしきい値を指定します。 ロック] • [不正なことが確認されている] • [不明] • [不正な可能性が非常に高い] • [信頼できる可能性がある] • [不正な可能性がある] (デフォ ルト) • [信頼できる可能性が非常に高 い] 環境でこのレピュテーションのファイルの実行が試行されると、ファイルの実行 は阻止されますが、ファイル自体は削除されません。 ファイルの安全性が確認 され、実行する必要がある場合には、ファイルの実行を許可するレピュテーショ ン レベル (信頼できる可能性が非常に高いなど) に変更します。 [レピュテーションし ファイルのレピュテーションが特定のしきい値に達したときにファイルを駆除 きい値が次の場合に駆 します。次のしきい値を指定します。 除] • [不正なことが確認されている] (デフォルト) • [不正な可能性が非常に高い] • [不正な可能性がある] • [不明] 駆除時にファイルが削除される可能性があるため、このオプションには「不正 なことが確認されている」を指定してください。 表 7-38 詳細オプション セクション オプション [脅威検出時のユーザ [ユーザーに脅威通知を ー メッセージ] 表示する] [レピュテーションしき い値が次の場合にユー ザーに通知] 説明 ユーザーに脅威通知を表示します。 ファイル レピュテーションが特定のしきい値に達したときに、ユ ーザーに通知します。 • [不正なことが確認されて いる] • [不明] (デフォルト) • [不正な可能性が非常に高 い] • [信頼できる可能性があ る] • [不正な可能性がある] • [信頼できる可能性が非常 に高い] プロンプト レベルは、駆除またはブロックの設定と矛盾がないよ うに設定してください。 たとえば、不明なファイルをブロックす る場合、このフィールドに [不正な可能性がある] は設定できませ ん。この設定は、[不明] よりもセキュリティの脅威が高くなりま す。 [デフォルト アクショ ン] ユーザーがプロンプトに応答しなかった場合の処理を設定しま す。 • [許可] • [ブロック] (デフォルト) McAfee Endpoint Security 10.1 製品ガイド 163 7 クライアント インターフェース リファレンス 脅威情報 - オプション 表 7-38 詳細オプション (続き) セクション オプション 説明 [タイムアウトまでの時 間 (分) を指定] デフォルトのアクションを実行する前にプロンプトを表示する時 間 (分) を指定します。 デフォルトは 5 分です。 [Advanced Threat Defense] [メッセージ] プロンプトの条件を満たすファイルが実行されたときにユーザー に表示するテキストを指定します。 [脅威情報サーバーに接 続できない場合に脅威 通知を無効にする] サーバーに接続できない場合にプロンプトを無効にします。ファ イルのレピュテーションが利用できないことを通知するプロンプ トは表示されません。 [未確認のファイルを McAfee Advanced Threat Defense に送 信して分析する] 実行ファイルを McAfee Advanced Threat Defense に送信し て解析するかどうかを指定します。 脅威情報サーバーの管理ポリシーに Advanced Threat Defense サーバーの情報を指定できます。 次の場合にファイルが送信されます。 • ファイルに関する Advanced Threat Defense の情報が脅威 情報サーバーにない場合。 • ファイルのレピュテーション レベルが指定したレベルと同じ か、それよりも低い場合。 • ファイルのサイズが指定した制限と同じか、それよりも小さい 場合。 [レピュテーションしき い値が次の場合にファ イルを送信] ファイル レピュテーションが特定のしきい値に達したときに、 Advanced Threat Defense にファイルを送信します。 • [不正なことが確認されている] • [不明] (デフォルト) • [信頼できる可能性が非常に高い] [サイズ制限 (MB)] Advanced Threat Defense に送信するファイルのサイズを制限 します (1 MB から 10 MB)。 デフォルトは 5 MB です。 164 McAfee Endpoint Security 10.1 製品ガイド 索引 A Endpoint Security Client (続き) Advanced Threat Defense 107 起動 17 使用、レピュテーションの判定 104 脅威検出の管理 45 送信先、ファイル 108 脅威のサマリー 12 [AMCore コンテンツのロールバック] ページ 26 更新、セキュリティ対策 21 AMCore コンテンツ ファイル システム スキャン 41 Extra.DAT ファイル 27, 28 実行、スキャン 42 オンアクセス スキャン、概要 64 セキュリティの設定 31 オンデマンド スキャンの概要 68 設定、更新のソース サイト 33 説明 8 デフォルトのクライアント更新タスク、スケジュール 36 説明、シグネチャと更新 9 デフォルトのクライアント更新タスク、設定 35 バージョンの変更 26 バージョン情報 11 Ask、安全性アイコン 91 パスワードによる保護 31 表示、イベント ログ 22 B 開く 10 Bing、安全性アイコン 91 ヘルプの表示 18 保護情報の表示 20 ポリシー設定 13 C マルウェアのスキャン 41 Chrome Web 管理のボタン 90 対応ブラウザー 89, 94 表示、サイト情報 94 有効、プラグイン 93 Common モジュールの設定 McAfee GTI のプロキシ サーバーの設定 32 クライアント インターフェースのセキュリティ 31 自己保護 29 設定 29 ロギング 30 CPU 時間、オンデマンド スキャン 71 ミラーリング タスク、設定 39 ミラーリング タスク、設定とスケジュール 38 Endpoint Security クライアント 管理の種類 8 使い方 9 デフォルトのクライアント更新タスク、説明 36 フル スキャンとクイック スキャン、スケジュール 72 モジュール 14 ログオン、管理者として 25 ログ、説明 23 Endpoint Security、管理 25 Endpoint Security、コンピューターの保護法法 8 Extra.DAT ファイル D Data Exchange Layer 説明 104 DNS トラフィック、ブロック 77 AMCore コンテンツ ファイル 9 オンアクセス スキャン、概要 64 オンデマンド スキャンの概要 68 使用 27 ダウンロード 28 E バージョン情報 27 Endpoint Security Client 読み込み 28 インターフェースのロックの解除 26 カスタム更新タスク、作成 36 管理タイプ 20 McAfee Endpoint Security 10.1 製品ガイド 165 索引 F McAfee GTI (続き) 概要 32 Firefox Web 管理のボタン 90 指定、プロキシ サーバーの設定 32 対応ブラウザー 89, 94 設定、感度レベル 62 表示、サイト情報 94 ネットワーク レピュテーション、ファイアウォールで設定 76 ファイアウォール オプション、設定 76 有効、プラグイン 93 Firewall ファイルのスキャン、ダウンロードの前 95, 97 DNS トラフィックのブロック 77 ブロック イベント、サーバーへの送信 76 管理 76 よくある質問 77 Firewall オプション 変更 76 利用統計、フィードバック 62 McAfee Labs AMCore コンテンツ ファイルの更新 9 Extra.DAT 28 Firewall ルール ワイルドカードの使用 85 Extra.DAT のダウンロード 27 McAfee GTI 32 G 情報の入手、脅威 46 Google Chrome 89 McAfee SECURE、Web 管理のボタン 90 安全性アイコン 91 対応する検索エンジン 91 McAfee アイコン、参照:システム トレイ アイコン、McAfee McAfee クライアント、参照:Endpoint Security Client McAfee コア ネットワーク ルール グループ、ファイアウォール 83 McAfee システム トレイ アイコンに表示されたステータス、Endpoint Security 10 H Host IPS、エクスプロイト防止 59 McAfee セキュリティ ステータス ページ、表示 10 McAfee 定義ルール、アクセス保護 53 McAfee 保護クライアント、参照:Endpoint Security Client I McTray、開始 69 Internet Explorer ScriptScan の動作 66 対応ブラウザー 89, 94 表示、サイト情報 94 有効、プラグイン 93 IP アドレス 位置情報を使用するグループ 80 ルール グループ 80 Microsoft Internet Explorer、参照:Internet Explorer Mozilla Firefox、参照:Firefox P Product Improvement Program 107 S Safari (Macintosh) Web 管理のボタン 90 M ScriptScan McAfee Agent 除外、URL 49 製品更新タスクとリポジトリ リスト 34 説明 66 McAfee Endpoint Security Client、参照:Endpoint Security Client McAfee ePO 管理タイプ 20 更新、セキュリティ対策 8 取得、AMCore コンテンツ ファイル 9 McAfee ePO Cloud 管理タイプ 20 McAfee GTI 有効 63 T Threat Intelligence Exchange Server、参照:TIE サーバー Threat Prevention エクスプロイト防止機能 60 Web Control 安全性評価 92 オンアクセス スキャン、設定 63 Web Control サイト レポート 92 オンデマンド スキャン、説明 68 Web カテゴリ 98 管理 49 Web 管理の通信エラー 90 不審なプログラム、検出 60 オンアクセス スキャン、機能 64 TIE サーバー オンアクセス スキャン、設定 63 説明 103 オンデマンド スキャン、機能 68 ブリッジ 103 オンデマンド スキャン、設定 68 166 McAfee Endpoint Security 10.1 製品ガイド 索引 U Windows 8 と 10 (続き) 説明、通知メッセージ 11 URL 除外、ScriptScan 63 除外、スクリプト スキャン 49 ブロック、不明 95 Windows Store アプリ、脅威の検出 64 Windows ストア アプリ、脅威の検出 68 Windows の [優先度の設定] の値 71 Y W Web Control Yahoo 安全性アイコン 91 アイコンの説明 91 対応する検索エンジン 91 管理 95 デフォルトの検索エンジン 95 検索エンジンと安全性アイコン 91 サイト レポート 92 バルーンとアイコン 94 Web カテゴリ、ブロックと警告 98 あ アーカイブ、スキャン オプションの指定 63, 68 Web カテゴリ、ブロックまたは警告 98 アイコン、、参照:システム トレイ アイコン、McAfee Web 管理 アイコン、McAfee、参照:システム トレイ アイコン、McAfee Endpoint Security クライアント 14 アイコン、Web Control 91 アクティビティ ログ 23 アイドル時にスキャン 19 機能 89 アイドル時にスキャン、機能 69 警告サイト 90 アクション、Threat Prevention 設定 95 検出時に実行するアクションの指定 63 説明 7 不審なプログラム 61 デバッグ ログ 23 表示、サイト情報 94 ユーザーに許可、感染ファイルの駆除と削除 63 アクション、脅威対策 表示、サイト レポート 94 実行、隔離項目 46 ファイル ダウンロードのスキャン方法 97 指定、ウイルス検出時 68 ブロック サイト 90 ユーザーに許可、感染ファイルの駆除と削除 68 ボタン、説明 90 アクション メニュー、説明 11 メニュー 90 アクセス保護 有効 95 McAfee 定義ルール、設定 52 有効、プラグイン 93 McAfee 定義ルール、説明 53 ログ ファイル 23 除外、プロセス 49 Web サイト 説明 51 安全性評価 92 プロセス、対象と除外 52, 58 閲覧保護 90 プロトコル、セイゲン 52 検索時の保護 91 ポリシー、概要 52 表示、Web 管理サイト レポート 94 ユーザー定義のルール、説明 52 Web サイト、アクセス制御 ユーザー定義ルール、設定 56 Web カテゴリ 98 例 51 安全性評価 99 ログ ファイル 23 Web サイト、警告 安全性評価に基づく 99 評価 98 Web サイト、ブロック アクセス モード、Endpoint Security Client 13 アクティビティ ログ、Endpoint Security クライアント 23 アップグレード、クライアント ソフトウェアのコンポーネント 8 アドウェア、説明 47 Web カテゴリ 98 アプリ、Windows Store 64 安全性評価に基づく 99 アプリ、Windows ストア 68 危険なサイト、検索結果 95 アラート、Threat Prevention 評価 98 未評価または不明 95 Windows 8 と 10 応答、脅威検出プロンプト 18 オンデマンド スキャンの概要 68 アラート、脅威対策 オンアクセス スキャン、概要 64 アラート、ファイアウォール 11 起動、Endpoint Security Client 17 McAfee Endpoint Security 10.1 製品ガイド 167 索引 お 安全性評価 Web 管理 89 Web サイトの評価方法 92 応答の設定、不審なプログラム 61 オプション アクションの設定、サイトとダウンロード 98 オンアクセス スキャンの設定 63 アクセス制御、サイト 99 設定、オンデマンド スキャン 68 安全性アイコン 91 安全性レポート、参照:レポート、Web Control 安全な検索、Web 管理の設定 95 マルウェアのスキャン 41 オプション、Common クライアント インターフェースのセキュリティ、設定 31 自己保護、設定 29 い 設定 29 位置情報を使用するグループ 作成 86 プロキシ サーバーの設定 32 ロギングの更新、設定 30 接続の分離 81 オプション、脅威対策 説明 80 共通のスキャン設定 62 イベント、Web 管理ブラウザー イベントの追跡 95 イベント ログ、Endpoint Security Client 不審なプログラム 61 オプション、共通設定 更新失敗 21 クライアント更新のソースサイト、設定 33 表示、イベント ログ 22 クライアント更新のソース サイト、設定 33 イベント ログ、Endpoint Security クライアント 説明 23 更新、設定 35 更新の設定 33 [今すぐスキャン] ボタン 42 色、Web 管理のボタン 90 インストーラーのスキャン、信頼 63 インターフェース モード スケジュール、オンデマンド スキャン 41 オンアクセス スキャン ScriptScan 66 概要 64 クライアントのセキュリティ設定 31 書き込みと読み取り、ディスク 64 標準アクセス 25, 31 脅威の検出 18 最適化、信頼ロジック 64 う 除外、項目 49 ウイルス スキャン ポリシーの数 67 検出、スキャン時 42 検出に対する応答 18 シグネチャ 9 スキャンによる検出 44 バージョン情報 47 スクリプトのスキャン 66 設定 62, 63 説明 41 不審なプログラムの検出、有効 61 ログ ファイル 23 [オンアクセス スキャン] ページ 45 オンデマンド更新、参照:手動更新の実行 え オンデマンド スキャン 影響のないスキャン 69 概要 68 エクスプロイト システム使用率 71 バッファー オーバーフロー エクスプロイトの仕組み 59 実行、フル スキャンまたはクイック スキャン 42 バッファー オーバーフローのブロック 60 除外、項目 49 ブロック、バッファー オーバーフロー 59 設定 62 エクスプロイト防止 Host IPS 59 説明 41 ファイルまたはフォルダーのスキャン 44 コンテンツ ファイルの更新 9 不審なプログラムの検出、有効 61 除外、プロセス 49 プロンプトに対する応答 19 設定 60 リモート ストレージ スキャン 71 説明 59 ログ ファイル 23 ログ ファイル 23 右クリック スキャンの実行 44 エラー メッセージ、システム トレイ アイコンの状態 10 エラー ログ、Endpoint Security クライアント 23 168 McAfee Endpoint Security 10.1 製品ガイド 索引 脅威情報 (続き) か 管理 101 隔離、脅威対策 再スキャン、隔離項目 48 コンポーネント 102 設定、場所と保存期間 62 シナリオ 101 隔離ページ 46 設定 108 カスタム更新タスク、参照:タスク、Endpoint Security Client 説明 102 カスタム スキャン、参照:オンデマンド スキャン デバッグ ログ 23 カスタム ルール、参照:ユーザー定義ルール、アクセス保護 ブリッジ、McAfee ePO が管理する TIE サーバー 103 感度レベル、McAfee GTI 32 ログ ファイル 23 ワークフローの例 105 管理外、参照:自社管理、説明 脅威対策 管理者 定義 8 Endpoint Security クライアント 14 デフォルト パスワード 11 アクセス保護、機能 52 パスワード 26 オプション、不審なプログラム 61 ログオン、Endpoint Security クライアント 25 オンアクセス スキャン、設定 64 管理者が追加したルール グループ、ファイアウォール 83 オンデマンド スキャン、設定 68 [管理者としてログオン] ページ 説明 7 ファイルのスキャン、ダウンロードの前 95, 97 ロックの解除、クライアント インターフェース 26 管理者のログオン ページ Endpoint Security Client の起動時 17 管理タイプ 説明 20 脅威のサマリー、説明 12 [脅威をスキャン] ページ 44 共通設定モジュール、Endpoint Security クライアント 7, 14 共通設定モジュール、設定 クライアント更新のソース サイト、設定 33 表示 20 更新設定 35 更新の設定 33 き ソース サイト、クライアント更新 33 キーロガー、説明 47 許可、ファイルと証明書 108 危険度高プロセス、指定 63 危険度低プロセス、指定 63 機能 Endpoint Security Client、ポリシーによるアクセス 13 く クイック スキャン 実行、Endpoint Security Client から 42 有効化と無効化 26 種類、スキャン 41 キャッシュ、グローバル スキャン スケジュール、クライアント 72 オンアクセス スキャン 64 オンデマンド スキャン 68 脅威 AMCore コンテンツ ファイル 9 Windows Store アプリ 64 Windows ストア アプリ 68 アクセス ポイント違反 51 アクセス保護プロセス 51 設定 68 クライアント、参照:Endpoint Security Client クライアント インターフェース モード、オプション 13 クライアント ソフトウェア、定義 8 クライアント ロギングの設定 30 グループ、ファイアウォール、参照:ファイアウォール ルール グループ グローバル スキャン キャッシュ 安全性評価 92 オンアクセス スキャン 64 隔離フォルダー 46 オンデマンド スキャン 68 検出に対する応答 18 検出の管理 45 再スキャン、隔離項目 48 種類 47 け 検索 安全性アイコン 91 情報の入手、McAfee Labs から 46 スキャンによる検出 44 脅威情報 Endpoint Security 103 Endpoint Security クライアント 14 アクティビティ ログ 23 McAfee Endpoint Security 10.1 危険なサイトのブロック、結果から 95 検出 応答 18 管理 42, 45 種類 44 製品ガイド 169 索引 検出 (続き) 再開可能なスキャン、参照:差分スキャン タイプ 42 サイト 名前 47 安全性評価 92 名前で除外 62 閲覧保護 90 メッセージ、ユーザーに表示 68 検索時の保護 91 ユーザーに表示するメッセージ 63 表示、Web 管理サイト レポート 94 レポートの送信、管理サーバー 8 [検出結果の表示] ボタン 45 ブロックと警告 90 サイト、アクセス制御 検出定義ファイル、参照:コンテンツ ファイル Web カテゴリ 98 安全性評価 99 こ サイト、警告 安全性評価に基づく 99 攻撃、バッファー オーバーフロー エクスプロイト 59 評価 98 更新 [今すぐ更新] ボタン、Endpoint Security Client 21 サイト、ブロック キャンセル 21 Web カテゴリ 98 セキュリティ更新オプション 10 安全性評価に基づく 99 評価 98 更新、Endpoint Security 設定、更新のソース サイト 33 サイト レポート、参照:レポート、Web Control 設定、動作 33 サブルール、アクセス保護 設定とスケジュール、クライアント 36 除外と対象 58 デフォルトのクライアント更新、設定 35 評価、パラメーター 57 更新、Threat Prevention Extra.DAT ファイル 28 更新、脅威対策 概要 9 差分スキャン 69 し シグネチャ 確認、手動 10, 21 既知の脅威情報 9 コンテンツ ファイル 8 自己保護、設定 29 デフォルトのクライアント更新タスク、説明 36 自社管理、説明 20 更新ページ 21 システム使用率オプション、概要 71 コンテンツ カテゴリ、参照:Web カテゴリ システム スキャン、種類 41 コンテンツによるアクション、設定 システム トレイ アイコン、McAfee 9, 10, 31 Web 管理 98 起動、Endpoint Security Client 17 コンテンツによるアクションの設定 Web Control 99 更新、セキュリティ 10 コンテンツによるアクションの設定、Web 管理 98 定義 10 コンテンツ ファイル ファイアウォール期限付きグループ 10 設定、Endpoint Security へのアクセス 31 AMCore バージョンの変更 26 有効化と表示、期限付きグループ 75 Extra.DAT ファイル 27, 28 [システムのスキャン] ページ 42, 45 オンアクセス スキャン、概要 64 事前定義のファイアウォール ルール グループ 83 オンデマンド スキャンの概要 68 失敗、更新 21 検出 18 優先度、オンアクセス スキャン 71 更新の確認、手動 21 手動更新、実行 21 手動確認、更新 10 手動スキャン スケジュール、クライアントからの更新 36 Endpoint Security Client から実行 44 説明 8 実行、Endpoint Security Client から 42 説明、スキャンの種類 41 さ 証明書 評価の判定方法 104 サーバー 設定、TIE サーバー 103 ブリッジ、McAfee ePO が管理する TIE サーバー 103 サーバー システム、アイドル時にスキャン 69 サーバー、プロキシ、参照:プロキシ サーバー 170 McAfee Endpoint Security 10.1 ジョーク プログラム、説明 47 除外 URL の指定、ScriptScan 63 アクセス保護、ポリシー別とルール別 58 製品ガイド 索引 除外 (続き) スタック ベースの攻撃、バッファー オーバーフロー エクスプロイト オンアクセス スキャンでのファイル、フォルダー、ドライブの指定 63 59 スタンドアロン、参照:自社管理、説明 [ステータス] ページ、脅威サマリーの表示 12 除外対象 オンデマンド スキャン、指定 68 ステルス型脅威、説明 47 検出名 62 スパイウェア、説明 47 使用、ワイルドーカード 50 スレッド、優先度 71 設定 49 スロットル、設定 71 ルート レベル 50 侵入、ファイアウォール アラートの有効化 76 せ 信頼されたインストーラー、スキャン 63 脆弱性、参照:脅威 信頼ロジック、オンアクセス スキャンの最適化 64 製品更新 確認、手動 21 す スケジュール、クライアント 36 スキャン 製品更新クライアント タスク Web 管理 97 説明 34 延期、一時停止、再開、キャンセル 19 カスタム、クライアントでの作成とスケジュール設定 72 リポジトリ リスト 34 製品の更新 共通設定、オンアクセスとオンデマンド 62 実行、Endpoint Security Client から 42 確認、手動 10 セキュリティ 種類 41 スケジュール、Endpoint Security クライアント 72 クライアント インターフェース セキュリティの設定 31 セキュリティ対策 プロンプトに対する応答 19 ワイルドカードの使用、除外対象 50 維持、最新の状態 8 セキュリティ レベル 右クリック スキャンの実行 44 スキャン エンジン、AMCore コンテンツ ファイルの概要 9 スキャン、オンアクセス ScriptScan 66 概要 64 脅威の検出、Windows Store アプリ 64 脅威の検出、応答 18 最適化、信頼ロジック 64 例 108 設定 クライアント更新のソース サイト、設定 33 更新、設定 33, 35 ソース サイト、設定 33 設定、Threat Prevention オンアクセス スキャン 61 オンデマンド スキャン 61 除外、項目 49 設定、TIE サーバーのブリッジ 103 設定 63 設定、Web Control ポリシー数 67 スキャン、オンデマンド 脅威の検出、Windows ストア アプリ 68 システム使用率 71 除外、項目 49 スケジュール、クライアント 72 設定 68 リモート ストレージ スキャン 71 アクセス制御、安全性評価 99 設定、Web 管理 アクセス制御、Web カテゴリ 98 制御、Web アクセス 98 設定、脅威対策 アクセス保護、機能 52 設定、不審なプログラム 61 設定ページ スキャン回避 64 オンアクセス スキャン、設定 63 スキャン、カスタム、参照:スキャン、オンデマンド オンデマンド スキャン、設定 68 スキャン キャッシュ 管理、ファイアウォール ルールとグループ 84 オンアクセス スキャン 64 クライアント インターフェースのセキュリティ、設定 31 オンデマンド スキャン 68 クライアント インターフェース モード 13 [スキャン結果の表示] ボタン 42 更新、設定 35 スキャンの延期、概要 69 更新の設定 33 スキャン ページ、表示 18, 42 自己保護、設定 29 スクリプト、スキャン 66 プロキシ サーバーの設定 32 スケジュール、オンデマンド スキャンの延期 69 変更、ファイアウォール オプション 76 スタート メニュー、Endpoint Security Client の起動 17 ロギングの設定 30 McAfee Endpoint Security 10.1 製品ガイド 171 索引 トースト通知、Windows 8 と 10 11, 18 説明ページ 8 ドメイン、ブロック 77 そ トラフィック 送信の許可、ファイアウォール サービスの開始まで 76 ソフトウェア更新 ファイアウォールによるスキャン 75 確認、手動 21 スケジュール、クライアント 36 トロイの木馬 検出、スキャン時 42 ソフトウェアの更新 スキャンによる検出 44 確認、手動 10 バージョン情報 47 た ダイヤラー、説明 47 に 認証情報、デフォルトの管理者 11 ダウンロード ブロックと警告 90 ダウンロード要求、参照:ファイルのダウンロード タスク、Endpoint Security Client 認証情報、リポジトリ リスト 34 ね カスタム更新、設定とスケジュール 36 ネットワーク アダプター、接続許可 80 設定とスケジュール、ミラーリング タスク 38 ネットワーク ドライブ、スキャン オプションの指定 63 デフォルトのクライアント更新、スケジュール 36 デフォルトのクライアント更新、設定 35 ミラーリング タスク、説明 39 タスク、脅威対策 は [バージョン情報] ページ 20 はじめに、脅威情報 105 カスタム スキャン、スケジュール 72 パスワード デフォルトのクライアント更新、説明 36 管理者 25, 26 フルスキャンとクイック スキャン、スケジュール 72 クライアントに対するアクセスの制御 31 フル スキャンとクイック スキャン、説明 41 クライアントのセキュリティ設定 31 デフォルトの管理者 11 つ パスワード クラッカー、説明 47 通知メッセージ バックアップ、スキャン オプションの指定 63, 68 Windows 8 と 10 11 ハッシュ、説明 32 説明 11 バッファー オーバーフロー エクスプロイト、説明 59 使い方、Endpoint Security クライアント 9 パラメーター、アクセス保護 評価、サブルール 57 例 57 て バルーン、Web Control 91, 94 適応モード 設定、ファイアウォール 76 ルールの優先順位 78 適応ルール グループ、ファイアウォール 83, 84 デスクトップ モード、Windows 8 と 10 応答、脅威検出プロンプト 18 通知メッセージ 11 ひ ヒープ ベースの攻撃、バッファー オーバーフロー エクスプロイト 59 評価、Web Control、参照:安全性評価 評価、安全性、参照:安全性評価 標準アクセス モード 影響、パスワードの設定 31 デバッグ ログ、Endpoint Security クライアント 23 管理、ファイアウォール ルールとグループ 84 デフォルトのクライアント更新タスク クライアントのセキュリティ設定 31 スケジュール、Endpoint Security Client 36 ポリシー設定 13 設定 35 ログオン、管理者として 25 設定、更新のソース サイト 33 説明 36 デフォルトのパスワード、Endpoint Security Client 11 デフォルト ルール グループ、ファイアウォール 83 ふ ファイアウォール Endpoint Security クライアント 14 と アクティビティ ログ 23 動的ルール グループ、ファイアウォール 83 位置情報を使用するグループ、作成 86 172 McAfee Endpoint Security 10.1 製品ガイド 索引 ファイアウォール (続き) 位置情報を使用するグループ、説明 80 管理、ルールとグループ 84 機能 75 作成、期限付きグループ 87 侵入アラート 11 説明 7 ファイル、コンテンツ (続き) オンデマンド スキャンの概要 68 シグネチャと更新 9 ファイル ダウンロード スキャン、脅威対策 97 ブロックまたは警告、評価 98 デバッグ ログ 23 ファイルの送信、分析 Advanced Threat Defense 107 Product Improvement Program 107 ファイアウォール ルールの機能 78 ファイルのダウンロード 説明、期限付きグループ 10 変更、オプション 76 有効化と表示、期限付きグループ 75 有効と無効 76 ルール、参照:ファイアウォール ルール ログ ファイル 23 ファイアウォール グループ、参照:ファイアウォール ルール グループ ファイアウォール ルール ブロック、不明なサイト 95 ファイル レピュテーション 応答、プロンプト 19 フィッシング詐欺、サイト ユーザーが送信したレポート 92 ブート セクター、スキャン 63, 68 フォルダー 管理、隔離 46 機能 78 再スキャン、隔離 48 許可とブロック 78 スキャンの実行 44 順番と優先順位 78 制限、アクセス 52 設定 78 設定、隔離 62 ファイアウォールの機能 75 ファイアウォール ルール グループ ワイルドカード、除外対象 50 不審なプログラム 位置情報、作成 86 検出、スキャン時 42 位置情報、説明 80 検出の設定 60 期限付きグループの管理、システム トレイ アイコン 10, 75 検出の有効化 61, 63 作成、期限付きグループ 87 指定 61 事前定義 83 指定、検出対象のプログラム 62 接続の分離 81 除外、項目 49 設定 78 スキャンによる検出 44 ファイアウォールの機能 75 バージョン情報 47 優先順位 80 有効化、検出 68 ワイルドカード、除外対象 50 ファイル Endpoint Security Client ログ 22 不審なプログラム、検出 68 管理、隔離 46 不審なプログラムの検出、有効 63 再スキャン、隔離 48 ブラウザー スキャン対象外、特定のタイプ 49 対応 89, 94 スキャンの実行 44 表示、サイト情報 94 制限、アクセス 52 無効、Web 管理プラグイン 95 設定、隔離 62 有効、プラグイン 93 評価の判定方法 104 ブラウザー プラグイン、Web 管理の有効化 93 変更の防止 29 フル アクセス モード ログ ファイル 23 ログ ファイルの設定 30 ワイルドカード、除外対象 50 ファイル、コンテンツ 変更、ファイアウォール オプション 76 ポリシー設定 13 フル スキャン 実行、Endpoint Security Client から 42 AMCore コンテンツ バージョンの変更 26 スケジュール、クライアント 72 Extra.DAT と AMCore 9 設定 68 Extra.DAT ファイル 27, 28 Extra.DAT ファイルの使用 27 説明 41 プロキシ サーバー Extra.DAT ファイルの読み込み 28 McAfee GTI の機能 32 エクスプロイト防止 9 McAfee GTI 用の設定 32 オンアクセス スキャン、概要 64 設定、リポジトリ リスト 34 McAfee Endpoint Security 10.1 製品ガイド 173 索引 プロセス、Threat Prevention ポリシー、Common 指定、危険度高と危険度低 63 スキャン 63 設定 29 ポリシー、脅威対策 オンアクセス スキャン 67 プロセス、アクセス保護 ポリシーによる除外 58 オンデマンド スキャン、延期 69 ルールによる除外 58 共通のスキャン設定 62 プロセス、脅威対策 除外 49 ま スキャン 64 対象と除外、アクセス保護 52, 58 マルウェア 検出、スキャン時 42 プロセスの設定、オンデマンド スキャン 71 検出に対する応答 18 ブロック、ファイルと証明書 108 スキャン 41 プロンプト、Endpoint Security スキャンによる検出 44 Windows 8 と 10 18 応答、ファイル レピュテーション 19 スキャンに対する応答 19 み 右クリック スキャン 説明 11 Windows エクスプローラーから実行 44 設定 68 へ 説明 41 ページ AMCore コンテンツのロールバック 26 ミラーリング タスク 設定 39 McAfee セキュリティ ステータス 10 設定とスケジュール 38 イベント ログ 22 オンアクセス スキャン 18, 45 隔離 46 脅威をスキャン 44 め メッセージ、Endpoint Security 説明 11 更新 21 表示、脅威検出時 63, 68 システムのスキャン 42, 45 スキャン、表示 42 メニュー 設定 13, 29–33, 35, 68, 76 Web 管理 94 説明 8 アクション 11, 26 バージョン情報 20 設定 11, 13, 14, 76, 84 バージョン情報 20 ヘルプ、表示 11, 18 ヘルプ 11, 18 ほ も 保護 自己保護の設定 29 モジュール 情報の表示 20 Endpoint Security Client、ポリシーによるアクセス 13 使い方 9 インストール、Endpoint Security クライアント 14 保護情報、表示 20 情報の表示 20 ホスト侵入防止、エクスプロイト防止 59 ボタン 説明、Endpoint Security 7 モジュール、Common 今すぐスキャン 42 McAfee GTI プロキシ サーバー、設定 32 検出結果の表示 45 クライアント インターフェースのセキュリティ、設定 31 スキャン結果の表示 42 自己保護、設定 29 ボタン、Web 管理 90 ポップアップと安全性評価 92 ロギングの設定 30 モジュール、共通設定 McAfee GTI の機能 32 ポリシー アクセス、Endpoint Security Client 13 クライアント更新のソース サイト、設定 33 クライアント機能 9 更新、設定 35 定義 8 更新の設定 33 設定、クライアント更新のソース サイト 33 174 McAfee Endpoint Security 10.1 製品ガイド 索引 ゆ レピュテーション ユーザー アカウント、クライアントに対するアクセスの制御 31 ユーザーが追加したルール グループ、ファイアウォール 83, 84 判定方法 104 レポート、Web Control 92 Web サイトの安全性 92 ユーザー定義ルール、アクセス保護 表示 94 設定 56 タイプ 52 レポート、Web 管理 安全性 89 優先順位 表示 94 ファイアウォール グループ 80 ファイアウォール ルール 78 ろ よ ログ ファイル 更新失敗 21 よくある質問、McAfee GTI 77 設定 30 場所 23 り リポジトリ リスト 概要 34 表示 22 ロック、クライアント インターフェース モード Endpoint Security Client の起動時 17 クライアントの場所 34 優先順位、リポジトリ リスト 34 リモート管理ツール、説明 47 ポリシー設定 13 ロック モード、クライアント インターフェース インターフェースのロックの解除 26 リモート ストレージ スキャン、概要 71 リモート デスクトップ、アイドル時にスキャン 69 る わ ワークフローの例 105 ルート レベルの除外対象、参照:除外 ファイルの送信、分析 107 ルール、脅威対策 ファイルの普及度、設定と監視 105 アクセス保護の機能 51 設定 52 モニタリングと調整 106 ワイルドカード ルール グループ、ファイアウォール、参照:ファイアウォール ルール グ ループ Firewall ルールで使用 85 ルール、ファイアウォール、参照:ファイアウォール 除外対象 50 使用、除外対象 50 ルート レベルの除外対象 50 れ レジストリ キー、アクセス制限 52 McAfee Endpoint Security 10.1 製品ガイド 175 0-16