AMSI やコマンドラインのスキャン機能で過剰検知の緩和が必要な緊急事態のために、これらの機能を無効化する手順を知りたい。
注: 作業を開始する前に Windows レジストリのバックアップを作成 してください。マイクロソフト社の Windows でレジストリをバックアップおよび復元する方法 を参照してください。
注: このプロセスを実行する前に改変対策機能を無効にしておく必要があります。改変対策を無効にしないと、必要なレジストリキーの変更が遮断されます。改変対策を無効にする を参照してください。
- 32 ビットマシン:
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan
- 64 ビットマシン (14.3 RU4 以前):
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan
- 64 ビットマシン (14.3 RU5 以降):
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan
- 32 ビットマシン:
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan
- 64 ビットマシン (14.3 RU4 以前):
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan
- 64 ビットマシン (14.3 RU5 以降):
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan
以下のコマンドを使用して SEP の AMSI およびコマンドラインスキャンコンポーネントをテストすることができます。
powershell -command "& {write-output 'Am I evil? Yes I am!!'}"
レジストリ値 AMSIEnabled の値が 1 か存在しない場合のみ検出されます。
cmd/C ECHO Am I evil? Yes I am!!
レジストリ値 CommandLineScanEnabled の値が 1 か存在しない場合のみ検出されます。
AMSI テストはベンダーに依存します。例えば上記の powershell テストは SEP AMSI をトリガーしますが、Windows Defender をトリガーすることはありません。https://docs.microsoft.com/en-us/windows/win32/amsi/how-amsi-helps の Microsoft のテストは Windows Defender をトリガーしますが、SEP はトリガーしません。