Symantec Endpoint Protection (SEP) クライアントがインストールされた Windows OS にログインする際に、以下のような通知が表示される。

• ログアウトしていた間に Symantec Endpoint Protection がリスクを検出しました。リスクを表示して処理を適用するにはウイルス対策とスパイウェア対策のリスクログを開いてください。

ユーザーがログインしていない間に定時スキャンが実行され、脅威が検出された可能性があります。
 
Auto-Protect がリスクを検出した可能性があります。例えば、ユーザーがログアウトしている間に、管理者または他のユーザーがリモート管理ツール (RDP など) を使用してマシンにアクセスした可能性があります。Auto-Protect の通知を無効にしても、このポップアップは無効化されません。
 
ユーザーがログオフしている間に、ウイルス定義ファイルが更新された可能性があります。定義の更新後、DWHWizrd.exe (DefWatch ウィザード) は、検疫されたアイテムをスキャンし、修復可能かどうかを判断します。アイテムが検疫されている場合、ポップアップが表示され、新しいリスクログエントリが作成されないため、さらに混乱が生じる可能性があります。

このポップアップが表示されたら、Endpoint Protection のログを確認して、ユーザーがログオフしている間に Auto-Protect または定時スキャンで脅威が検出されたかどうかを判断し、必要に応じて対処する必要があります。注: すべてのログを確認するには、管理者ユーザーアカウントでこの操作を行う必要があります。たとえば、管理者スキャンやシステムスキャンの結果は、限定ユーザーには表示されません。脅威が記録されていない場合、ポップアップは定義更新後の DefWatch ウィザードスキャンによって引き起こされたものです。

DefWatch ウィザードのスキャンを無効にするには

ポップアップを有効にしたまま、誰もログオンしていない間に定義が更新された後の通知を表示しないようにするには、DefWatch ウィザードによる検疫内のアイテムのスキャンを無効にします。Symantec Endpoint Protetion Manager (SEPM) コンソールで、ウイルスとスパイウェアの対策ポリシーの [検疫] - [新しいウイルス定義の到着時] を [何もしない] に設定します。管理外クライアントでは、この設定は GUI で利用できないため、以下のレジストリ値を設定する必要があります。

• HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Quarantine\DefWatchMode=3 (REG_DWORD).

DefWatchMode

値 アクション
0 検疫項目を自動的に修復して元の場所にサイレントに復元する
1 検疫項目をサイレントに修復して元の場所に復元しない
2 ユーザーに確認
3 何もしない

ポップアップを完全に無効にするには

SEPM コンソールで、ウイルスとスパイウェアの対策ポリシーの [グローバルスキャンオプション] - [ユーザーのログオン時に検出と修復についての通知を表示する] を無効にします。

[英語文書] Symantec Endpoint Protection detected risks while you were logged out