AMSI やコマンドラインスキャンを過剰検出対応のために無効化する
search cancel

AMSI やコマンドラインスキャンを過剰検出対応のために無効化する

book

Article ID: 231503

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

AMSI やコマンドラインのスキャン機能で過剰検知の緩和が必要な緊急事態のために、これらの機能を無効化する手順を知りたい。

Environment

  • SEP 14.3 以降

Resolution

注: 作業を開始する前に Windows レジストリのバックアップを作成 してください。マイクロソフト社の Windows でレジストリをバックアップおよび復元する方法 を参照してください。

注: このプロセスを実行する前に改変対策機能を無効にしておく必要があります。改変対策を無効にしないと、必要なレジストリキーの変更が遮断されます。改変対策を無効にする を参照してください。

Windows レジストリを使用して AMSI やコマンドラインスキャンを無効にするには

  1. Regedit を起動して以下に移動します。

    - 32 ビットマシン: 
    HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan

    - 64 ビットマシン (14.3 RU4 以前): 
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan

    - 64 ビットマシン (14.3 RU5 以降): 
    HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan

  2. 無効にしたい機能ごとに、以下の新しい DWORD 値を作成します。
    • AMSIEnabled = 0x00000000
    • CommandLineScanEnabled = 0x00000000
  • 値を追加するとすぐに設定が有効になります。OS や SEP を再起動する必要はありません。
     

Windows レジストリを使用して AMSI やコマンドラインスキャンを再度有効にするには

  1. Regedit を起動して以下に移動します。

    - 32 ビットマシン: 
    HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan

    - 64 ビットマシン (14.3 RU4 以前): 
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan

    - 64 ビットマシン (14.3 RU5 以降): 
    HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan

  2. 再有効化する機能に関連する DWORD 値を削除します。
    • AMSIEnabled
    • CommandLineScanEnabled
  • 値を削除するとすぐに設定が有効になります。OS や SEP を再起動する必要はありません。

AMSI が有効で動作しているかどうかを確認する方法

以下のコマンドを使用して SEP の AMSI およびコマンドラインスキャンコンポーネントをテストすることができます。

    • powershell -command "& {write-output 'Am I evil? Yes I am!!'}"

レジストリ値 AMSIEnabled の値が 1 か存在しない場合のみ検出されます。

    • cmd/C ECHO Am I evil? Yes I am!!

レジストリ値 CommandLineScanEnabled の値が 1 か存在しない場合のみ検出されます。


AMSI テストはベンダーに依存します。例えば上記の powershell テストは SEP AMSI をトリガーしますが、Windows Defender をトリガーすることはありません。https://docs.microsoft.com/en-us/windows/win32/amsi/how-amsi-helps の Microsoft のテストは Windows Defender をトリガーしますが、SEP はトリガーしません。

Additional Information

[英語文書] Disable AMSI and/or command-line scanning due to false positive detections

Powered by Wolken Software