信頼できるベンダーの正当なファイル (.exe や .msi など) を Symantec Endpoint Protection (SEP) が WS.Reputation1 として検出する。ポリシーの設定によってはファイルが検疫される。
WS.Reputation1 の検出は、従来のアンチウイルス/マルウェア検出ではなく、疑わしいファイルを示しています。この検出は、SEP クライアントのインサイト (ファイル評価) 機能によるものです。この検出は、ファイルの作成日やハッシュ、確認回数などの情報に基づき、ブロードコムコミュニティ内でのファイルのグローバル評価がまだ信頼されていないことを示しています。
最も一般的な原因は、アプリケーションの新バージョンなど、ファイルが変更されたことです。新しいバージョンのアプリケーションが SEP クライアント端末に配置されると、SEP クライアントはブロードコムのインサイトデータベースでファイルの情報を検索します。ファイルが新しすぎる場合や、ファイルが信頼できるかどうかを判断するのに十分な使用状況がない場合、SEP クライアントは WS.Reputation1 として検出します。しかし、検出はそのファイルが脅威であることを示すものではなく、使用状況、作成日、その他の要因に基づくブロードコムコミュニティでの普及率に基づいて信頼できないことを示すものです。
しかしながら WS.Reputation1 の検出は、新たな本物の脅威を効果的に捉えることができるため、検出されたソフトウェアが正規のものであり、有効で信頼できるソースから提供されたものであると 100% 確信できる場合にのみ、本技術文書に従ってください。
このような状況を解決するには、いくつかの方法があります。
署名付きソフトウェアファイル/パッケージからデジタル署名/証明書を抽出する方法 を参照してください。
WS.Reputation1 として検出されたファイルが署名されている場合、署名証明書をファイルからエクスポートして、Symantec Endpoint Protection Manager (SEPM) の [ポリシー] - [例外] - [追加] - [Windows の例外] - [証明書] に追加することができます。
ファイルのデジタル署名(証明書)をインポートすることで、同じデジタル署名/証明書で署名されているベンダーのすべてのソフトウェアは、この種のファイル評価検出において信頼されます。WS.Reputation1 の検出を緩和するこの方法は、SEP クライアントの他のモジュール/レイヤーには一切影響しません。ファイルが不適切な方法で動作した場合、SEP は疑わしいまたは悪意のある動作を検出・停止します。
注: ベンダーの署名入りソフトウェアを使用することには、副次的な利点があります。デジタル署名を行うことで、Windows OS はファイルの整合性を確認することができます。ファイルのハッシュがデジタル署名で計算されたハッシュと一致しない場合は、ファイルの改ざんやその他の悪意のある行為の可能性を示しています。このため、ブロードコムではすべてのお客様にデジタル署名付きのソフトウェアを使用することを常に推奨しています。ソフトウェアが社内で開発されたものである場合も、同様の推奨が適用されます。ソフトウェアに署名し、その証明書を SEPM にインポートしてください。
[英語文書] Endpoint Protection 14.x detects known good applications as WS.Reputation1 Detections