ネットワーク攻撃防御
このセクションで説明する Kaspersky Security の機能は、Windows デスクトップ向けまたはサーバー向けオペレーティングシステムを搭載した仮想マシンに本製品をインストールしている場合にのみ使用できます。
ネットワーク攻撃防御は、受信ネットワークトラフィックにおいて、ネットワーク攻撃に特有の活動があるかどうかをスキャンします。保護対象仮想マシンを標的としたネットワーク攻撃の試行が検知された場合、Kaspersky Security は攻撃元デバイスからのネットワーク活動をブロックします。次に、ネットワーク攻撃の試行が検知されたことを示す警告を表示し、攻撃元デバイスに関する情報を表示します。
ネットワーク攻撃防御が攻撃元デバイスの IP アドレスをブロックしないケースは次の通りです:
- 攻撃が UDP プロトコルで行われた。
- IP アドレスをブロックすると、非常に重要なネットワークサービス(ドメインコントローラーサービスなど)の障害を招く恐れがある。
既知の種別のネットワーク攻撃の説明およびその対処方法は、本製品の定義データベースで提供されています。ネットワーク攻撃防御が検知するネットワーク攻撃のリストは、定義データベースがアップデートされる際にアップデートされます。
ネットワーク攻撃防御の設定の編集では、次の操作を実行できます:
このセクションでは、管理コンソールと Light Agent for Windows のローカルインターフェイスを使用して、ネットワーク攻撃防御の全般的な設定を編集する方法について説明します。ネットワーク攻撃防御は、Web コンソールでの Light Agent for Windows ポリシー設定([アプリケーション設定]→[アンチウイルスによる保護]→[ネットワーク攻撃防御])の作成、編集時にも設定できます。
ネットワーク攻撃防御の有効化と無効化
既定では、ネットワーク攻撃防御は有効になっており、最適なモードで動作しています。必要に応じて、ネットワーク攻撃防御を無効にできます。
Kaspersky Security Center で、ネットワーク攻撃防御を有効または無効にするには:
- Kaspersky Security Center 管理コンソールを開きます。
- コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
- 作業領域で、[ポリシー]タブを選択します。
- ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
- ポリシーのプロパティウィンドウで、左のリストから[ネットワーク攻撃防御]セクションを選択します。
- ウィンドウの右側で、次のいずれかの手順を実行します:
- ネットワーク攻撃防御を有効にするには、[ネットワーク攻撃防御]をオンにします。
- ネットワーク攻撃防御を無効にするには、[ネットワーク攻撃防御]をオフにします。
- [適用]をクリックします。
Light Agent for Windows のローカルインターフェイスでは、2 通りの方法でコンポーネントを有効または無効にできます:
- メインウィンドウの[プロテクションとコントロール]タブ。
- アプリケーション設定ウィンドウから。
メインウィンドウの[プロテクションとコントロール]タブで、ネットワーク攻撃防御を有効または無効にするには:
- 保護対象仮想マシンでメインウィンドウを開きます。
- [プロテクションとコントロール]タブを選択します。
- [保護の管理]セクションを開きます。
- [ネットワーク攻撃防御]のコンテキストメニューを開き、次のいずれかの操作を実行します:
- ネットワーク攻撃防御を有効にするには、メニューの[有効]を選択します。
[ネットワーク攻撃防御]行の左側に表示されているコンポーネントステータスアイコン
が
に変更されます。
- ネットワーク攻撃防御を無効にするには、メニューの[無効]を選択します。
[ネットワーク攻撃防御]行の左側に表示されているコンポーネントステータスアイコン
が
に変更されます。
このメニュー項目が使用できない場合は、ポリシーで定義された設定が管理グループ内の保護対象仮想マシンに適用されるため、このコンポーネントを有効または無効にできないことを意味します。
- ネットワーク攻撃防御を有効にするには、メニューの[有効]を選択します。
アプリケーション設定ウィンドウからネットワーク攻撃防御を有効または無効にするには:
- 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
- ウィンドウの左側の[プロテクション]で、[ネットワーク攻撃防御]を選択します。
ネットワーク攻撃防御設定は、ウィンドウの右側に表示されます。
コンポーネントの設定が使用できない場合は、ポリシーで定義された設定が管理グループ内の保護対象仮想マシンに適用されるため、このコンポーネントを有効または無効にできないことを意味します。
- 次のいずれかの手順を実行します:
- ネットワーク攻撃防御を有効にするには、[ネットワーク攻撃防御を有効にする]をオンにします。
- ネットワーク攻撃防御を無効にするには、[ネットワーク攻撃防御を有効にする]をオフにします。
- 変更内容を保存するには[保存]をクリックします。
攻撃元デバイスのブロックに使用する設定の編集
1 時間にわたって、攻撃元デバイスからのネットワークトラフィックがブロックされます。攻撃元デバイスのブロックに関する設定を編集できます。
Kaspersky Security Center で、攻撃元デバイスをブロックする設定を編集するには:
- Kaspersky Security Center 管理コンソールを開きます。
- コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
- 作業領域で、[ポリシー]タブを選択します。
- ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
- ポリシーのプロパティウィンドウで、左のリストから[ネットワーク攻撃防御]セクションを選択します。
- ウィンドウの右側の[ネットワーク攻撃防御の設定]セクションを選択します。
- ネットワーク攻撃防御により、指定した時間、攻撃元コンピューターのネットワーク活動をブロックし、このアドレスからの今後の攻撃に対して保護対象仮想マシンで自動的に保護する場合は、[攻撃元コンピューターからの接続をブロックする時間]をオンにします。右のフィールドに、攻撃元デバイスをブロックする時間を指定します。
既定では、1 時間にわたって、攻撃元デバイスからのネットワークトラフィックがブロックされます。
- ネットワーク攻撃防御による、このアドレスからの今後の攻撃に対しての仮想マシンの自動保護を有効にしない場合は、[攻撃元コンピューターからの接続をブロックする時間]をオフにします。
- ネットワーク攻撃防御により、指定した時間、攻撃元コンピューターのネットワーク活動をブロックし、このアドレスからの今後の攻撃に対して保護対象仮想マシンで自動的に保護する場合は、[攻撃元コンピューターからの接続をブロックする時間]をオンにします。右のフィールドに、攻撃元デバイスをブロックする時間を指定します。
- [適用]をクリックします。
ローカルインターフェイスで攻撃元デバイスをブロックする設定を編集するには:
- 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
- ウィンドウの左側の[プロテクション]で、[ネットワーク攻撃防御]を選択します。
ネットワーク攻撃防御設定は、ウィンドウの右側に表示されます。
- 次の手順に従います:
- ネットワーク攻撃防御により、指定した時間、攻撃元デバイスのネットワーク活動をブロックし、このアドレスからの今後の攻撃に対して保護対象仮想マシンで自動的に保護する場合は、[攻撃元デバイスからの接続をブロックする時間]をオンにします。右のフィールドに、攻撃元デバイスをブロックする時間を指定します。
既定では、1 時間にわたって、攻撃元デバイスからのネットワークトラフィックがブロックされます。
- ネットワーク攻撃防御による、このアドレスからの今後の攻撃に対しての仮想マシンの自動保護を有効にしない場合は、[攻撃元コンピューターからの接続をブロックする時間]をオフにします。
ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。
- ネットワーク攻撃防御により、指定した時間、攻撃元デバイスのネットワーク活動をブロックし、このアドレスからの今後の攻撃に対して保護対象仮想マシンで自動的に保護する場合は、[攻撃元デバイスからの接続をブロックする時間]をオンにします。右のフィールドに、攻撃元デバイスをブロックする時間を指定します。
- 変更内容を保存するには[保存]をクリックします。
ブロックから除外する IP アドレスのリストの設定
ネットワーク攻撃をブロックしない IP アドレスのリストを設定できます。ネットワーク攻撃に関する情報はレポートに記録されます。
Kaspersky Security Center を使用して、ブロックから除外する IP アドレスのリストを設定するには:
- Kaspersky Security Center 管理コンソールを開きます。
- コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
- 作業領域で、[ポリシー]タブを選択します。
- ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
- ポリシーのプロパティウィンドウで、左のリストから[ネットワーク攻撃防御]セクションを選択します。
- ウィンドウの右側で、[除外リスト]をクリックします。
- 表示される[除外リスト]ウィンドウで、次のいずれかを実行します:
- 新しい IP アドレスを追加するには、[追加]をクリックします。
- 以前に追加した IP アドレスを編集するには、IP アドレスのリストから IP アドレスを選択し、[編集]をクリックします。
- 表示される[IP アドレス]ウィンドウで、ネットワーク攻撃をブロックしない攻撃元デバイスの IP アドレスを入力します。
- [IP アドレス]ウィンドウで[OK]をクリックします。
- [除外リスト]ウィンドウで[OK]をクリックします。
- [適用]をクリックします。
ローカルインターフェイスでブロックから除外する IP アドレスのリストを設定するには:
- 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
- ウィンドウの左側の[プロテクション]で、[ネットワーク攻撃防御]を選択します。
ネットワーク攻撃防御設定は、ウィンドウの右側に表示されます。
- 前述の手順のうち、ステップ 6 ~ 10 を実行します。
ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。
- 変更内容を保存するには[保存]をクリックします。