search cancel

ダウンロードインサイトが社内開発のプログラムを遮断する

book

Article ID: 229882

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

定期的に開発しているプログラムが Symantec Endpoint Protection (SEP) のダウンロードインサイトで遮断される。これらの実行プログラムは社内のサーバからダウンロードしており過剰検出と考えている。

ダウンロードインサイトの警告には「このファイルは信頼に値しません」と表示される。

Environment

SEP 12.x / 14.x

Cause

ダウンロードインサイトはファイルの評価に基づいて判断します。Symantec Endpoint Protection 12: Demonstration of Insight Reputation Technology で簡単な説明を参照できます。

企業内で開発された今まで知られていない新しいファイルは評価情報に基づいて検出される可能性があります。詳細は下記を参照してください。

Resolution

いくつかの解決策が考えられます。

  1. バイナリにデジタル署名をする。過剰検出を防ぐためにクラス 3 のデジタル証明書を使ってソフトウェアにデジタル署名することを強く推奨します。信頼できる認証局によるコード署名は発行者の身元を第三者が明示的に確認するものです。また最初のデジタル署名以降コードが改ざんされていないことを示すためアプリケーションの完全性の確保にも役立ちます。
  2. Web ドメインを信頼済みとして追加する。
    • インターネットブラウザの信頼済み Web サイトに Web ドメインを追加します。[信頼できるインターネットサイトまたはイントラネットサイトからダウンロードしたファイルを自動的に信頼する] がチェックされていることを確認します。(対象マシンに適用されるウイルスとスパイウェアの対策ポリシーを選択し、左側の [ダウンロード保護] をクリックし、最後のオプションがチェックされていることを確認します)。
      メモ: 複数のプログラムが開発されていて名前が変わり続けている場合に便利です。各マシンのインターネットブラウザーをローカルに設定する必要があります。そのドメインからのダウンロードはすべて許可されます。ファイル評価を使用する他の保護技術でもファイルのスキャンは行われます。
  3. 例外ポリシーを使用して除外項目を設定する。 
    • 特定のアプリケーションの場合: [ポリシー] - [例外] - 対象マシンで使用しているポリシーを右クリック - [編集] - [例外] - [追加] - [Windows の例外] - [アプリケーション] - [監視するアプリケーションを追加] でアプリケーション名を入力して [追加] をクリック(アプリケーションがリストに表示されるまで数時間かかることがあります)  の手順を繰り返すと、アプリケーションがリストに表示された時に下のドロップダウンで [許可] アクションを選択できるようになります。
      メモ: 新しいアプリケーションをダウンロードするたびに新しい除外項目を追加する必要があります。除外項目はダウンロードインサイトだけでなく全てのテクノロジーに適用されます。
    • 特定の Web ドメインの場合: 上記の手順を繰り返し、[追加] - [Windows の例外] - [信頼できる Web ドメイン] を選択し、関連する Webドメイン を入力します。
      メモ:  Web ドメインからのすべての通信は全てのテクノロジーによって考慮され信頼されます。複数のアプリケーションを開発していて名前が変更され続ける場合には特に有効です。インターネットブラウザのローカル設定は必要ありません。
  4. ファイルを過剰検出としてシマンテックに提出する。シマンテックはそれらのファイルを分析し信頼できると判断した場合にはファイル評価情報データベースの情報を更新します。特にそのファイルが他社に配布される予定のプログラムである場合に有効です。提出先は https://symsubmit.symantec.com/ です。
     

ソフトウェア開発者向けの追加情報は Medium の記事 Why security software misfires, and 6 things software author can do about it に掲載されています。

Additional Information

[英語文書] Endpoint Protection Download Insight is blocking an internally developed program