SEP 例外に設定されている実行ファイルが完全スキャンのタイミングにおいて検出されて削除される

book

Article ID: 220974

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

同じ実行ファイルが2つの場所に存在する場合でかつ、一部の場所のみが例外で指定されている場合、全ての場所からファイルが検疫されますが、
これは正しい動きでしょうか?

発生条件:

  1. 同じ実行ファイルが複数の場所に存在
      C:\Users\user1\desktop\application\bin\TESTPROCESS.exe
      C:\Program Files\application\bin\TESTPROCESS.exe <- Windows File 例外ですべてのスキャンを指定
  2. 実行ファイルがプロセスとして実行中
      C:\Program Files\application\bin\TESTPROCESS.exe 

発生状況:

1と2の両方の条件を満たした状態で、例外として設定されていないフォルダをスキャンすると2のプロセスが停止し、
1の両方の場所からファイルが検疫されます。

Cause

例外ポリシーではファイルおよび、フォルダを例外に指定してもアプリケーションでの検知を
回避することができません。
アプリケーションの検知に関してはファイルのパスに関係なく処理が行われます。
このため、既に起動されているアプリケーションのプロセスに関してはファイルの例外が
有効とならず、プロセスの動作上で検知、停止され、ファイルが削除されました。

Environment

Release : All

Component : Symantec Endpoint Protection

Resolution

この事象を回避するためにはファイル/フォルダ例外と併せてアプリケーション例外を
指定する必要があります。

アプリケーション例外は以下の手順で作成してください。
  1. SEPMコンソールにログイン
  2. ポリシー > 例外 > 例外ポリシーを開く
  3. 例外を選択し、 追加 > Windowsの例外 > アプリケーション を選択
  4. 例外に追加したいプロセスを選択し、処理を「ログのみ」としてOKをクリックする

アプリケーション例外ではワイルドカードは使用できないため、対象となるプロセスを
個別に登録する必要があります。