Plan Bのおすすめ Technical Blog

お問い合わせ

McAfee Virusscan Enterpriseの正常な設定とWindowsUpdate時の対応

投稿者:ソリューション担当

今回は非常によく利用されている、MaAfee Virusscanを利用する際の注意点を掲載します。

McAfee Virusscan Enterpriseを利用する場合

Windowsサーバーを利用する場合、ほとんどの場合McAfee Virusscan Enterpriseを利用します。
その際、どのような設定がなされることが正しいのか、また、その場合運用にどのような影響が発生し、どのような対応を行う必要があるのかをご説明します。

McAfeeの設定について

SoftLayerが提供するMcAfee Virusscan Enterpriseには、SoftLayerにて定義しているポリシーがあります。
ポリシーには、Minimal、Relaxed、Default、High、Ultimateがあり、標準ではDefaultが選択されています。
各ポリシーの概要は、下表をご確認願います。

マネージャポリシーの警告 Minimal Relaxed Default High Ultimate
メールスキャン
アクセス防御ポリシー Minimal Relaxed Default High Ultimate
Outbound SMTP(Port:25)ブロック
inbound IRC (ports: 6666-6669)ブロック
outbound IRC (ports: 6666-6669)ブロック
IE/ZIP/RARについて"temp" フォルダーからの起動をブロック
リモート修正のブロック: EXEs とDLLs
コアのシステムディレクトリでファイルのリモート作成をブロック
疑わしいスタートアップファイルへのアクセスをブロック
Access Protection Policies (cont.) Minimal Relaxed Default High Ultimate
フォルダーのスクリプトをブロック
WindowsフォルダーでのEXEファイル作成をブロック
WindowsフォルダーでのDLLファイル作成をブロック
バッファーオーバーフロー防御 Minimal Relaxed Default High Ultimate
バッファーオーバーフロー警告
バッファーオーバーフローON
アクセス時のスキャンポリシー Minimal Relaxed Default High Ultimate
ディスクからの読み込みスキャン
ディスクへの書き込みスキャン
ネットワークドライブのスキャン
未知のウィルスプログラムの発見
未知のマクロウィルスの発見
ZIPファイルの中のスキャン
MIMEスキャン
望まれないプログラムの検出
データベースディレクトリのスキャン
アクセス時の一般的ポリシー Minimal Relaxed Default High Ultimate
ブートセクタースキャン
リブート時のブートドライブのスキャン
ファイル当たりの最大スキャン時間(秒) 30 30 45 60 75
スクリプトスキャン
ウィルスが書かれていた時のリモート接続のブロック

正しい設定がなされている場合

前述のポリシーに従い、標準ではDefaultポリシーが選択されています。
設定項目は、下記手順で確認可能です。

  1. Virusscan Consoleを開く
  2. アクセス保護のプロパティを開く
  3. アクセス保護タブ内のアクセス保護のルール各項目を確認する。

実際に設定されているアクセス保護ルールは、下図をご確認願います。

スパイウェア対策標準保護

NewImage

スパイウェア対策最大保護

NewImage

ウィルス対策標準保護

NewImage

NewImage

ウィルス対策最大保護

NewImage

ウィルス対策アウトブレークコントロール

NewImage

一般標準プロテクト

NewImage

NewImage

一般最大プロテクト

NewImage

仮想マシン保護

NewImage

ユーザー定義ルール

NewImage

オーダー時に適用されやすい設定(正しくない設定)

下記項目を確認することで、SoftLayer定義ポリシーが設定されていないことを確認可能です。

ウィルス対策標準保護設定異常時

NewImage

赤枠内の設定のブロック/レポート設定が正常時と異なります。
上記のような設定となっていた場合、正常な設定ではないと判断してください。

設定が正常でない場合の対応

チケットにて、McAfee Virusscan Enterpriseのポリシーが正常に適用されていないことを伝え、正常なポリシーを適用するように依頼してください。

WindowsUpdateを行う際の対応

正常なポリシーが適用された状態でWindowsUpdateを行う際、セキュリティパッチの種類により適用に失敗することがあります。
パッチの適用に失敗した場合の対応方法について説明します。

  1. Virusscan Consoleを起動する
  2. アクセス保護のプロパティを開く
  3. アクセス保護のルールにて、ウィルス対策標準保護を選択する
  4. ルール内Windows プロセスのスプーフィングをさせない項目のブロックに表示されている×をクリックし、×が消えたことを確認します。
  5. OKをクリックし、アクセス保護のプロパティを閉じます。
  6. WindowsUpdateを実行し、セキュリティパッチの適用が成功していることを確認します。
  7. 前述手順1~3を再度実施し、ルール内Windows プロセスのスプーフィングをさせない項目のブロック欄をクリックし、×が表示されたことを確認します。
  8. OKをクリックし、アクセス保護のプロパティを閉じます。

まとめ

SoftLayerのサードパーティ系は、正しい設定が何であるのかが記載されていなことが多いため少し困ることがあります。今回の事象も発生しないとなかなか見つけられないことであるので是非問題が起こった際にはご確認下さい。


Bluemixの環境構築、運用、ご利用契約のことなら
日本情報通信にお任せください。

Bluemixについての
お問い合わせはこちら

ページの先頭に戻る