目次
外部からの暗号化に対する共有フォルダーの保護の設定
共有フォルダーを外部からの暗号化から保護する機能によって、共有フォルダーでの活動が分析されます。Kaspersky Security はリモートデバイスから実行される次の処理を監視します:
- ファイルの削除
- ファイルの内容の変更
- ファイルサイズの変更
- ファイルの移動
Kaspersky Security は、NTFS ファイルシステムを使用していてなおかつ EFS ファイルシステムで暗号化されていない大容量ストレージ上にあるファイルのみを対象に、ファイルに対する動作を監視します。
共有フォルダーにあるファイルを変更する試行が検知されると、変更対象のファイルのバックアップコピーが作成され、検知された活動が分析されます。共有フォルダーでの活動が外部からの暗号化に典型的な Behavior Stream Signatures と一致する場合、選択した処理が実行されます。既定では、共有フォルダーの外部からの暗号化を Kaspersky Security が検知した場合、暗号化を試行しているリモートデバイスのネットワーク活動がブロックされます。また、検知された悪意のある活動の情報がローカルインターフェイスのレポートに書き込まれるとともに Kaspersky Security Center にも情報が送信されます。
システムウォッチャーの設定でマルウェアによる変更のロールバックを有効にしていた場合、共有フォルダーの外部からの暗号化を検知した時に、Kaspersky Security は変更されたファイルをバックアップコピーから復元できます。このイベントに関する情報がローカルインターフェイスのレポートに書き込まれ、Kaspersky Security Center に送信されます。
外部からの暗号化に対する共有フォルダーの保護の設定では、次の操作を実行できます:
- 共有フォルダーの外部からの暗号化を検知した時に実行する処理を変更する。
- 外部からの暗号化に対する共有フォルダーの保護からの除外リストを編集する。
外部からの暗号化に対する共有フォルダーの保護の有効化と無効化
既定では、外部からの暗号化に対する共有フォルダーの保護が有効です。
Kaspersky Security のインストール後、仮想マシンが再起動するまでの間は、外部からの暗号化に対する共有フォルダーの保護の機能が制限されます。
Kaspersky Security Center で、外部からの暗号化に対する共有フォルダーの保護を有効または無効にするには:
- Kaspersky Security Center 管理コンソールを開きます。
- コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
- 作業領域で、[ポリシー]タブを選択します。
- ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
- ポリシーのプロパティウィンドウで、左のリストから[システムウォッチャー]セクションを選択します。
- ウィンドウの右側にある[全般設定]セクションで、次のいずれかを実行します:
- 共有フォルダーのファイルに対してリモートデバイスから実行された動作を監視する場合は、[共有フォルダーを外部からの暗号化から保護する]をオンにします。
- 共有フォルダーのファイルに対してリモートデバイスから実行された動作を監視しない場合は、[共有フォルダーを外部からの暗号化から保護する]をオフにします。
- [適用]をクリックします。
外部からの暗号化に対する共有フォルダーの保護をローカルインターフェイスを使用して有効または無効にするには:
- 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
- ウィンドウの左側の[プロテクション]セクションで、[システムウォッチャー]を選択します。
ウィンドウの右側に、システムウォッチャーの設定が表示されます。
ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。
- 次のいずれかの手順を実行します:
- 共有フォルダーのファイルに対してリモートデバイスから実行された動作を監視する場合は、[共有フォルダーを外部からの暗号化から保護する]をオンにします。
- 共有フォルダーのファイルに対してリモートデバイスから実行された動作を監視しない場合は、[共有フォルダーを外部からの暗号化から保護する]をオフにします。
- 変更内容を保存するには[保存]をクリックします。
共有フォルダーの外部からの暗号化を検知した時に実行する処理の変更
既定では、共有フォルダーのファイルの暗号化を Kaspersky Security が検知した場合、暗号化を試行しているリモートデバイスのネットワーク活動がブロックされます。また、検知された悪意のある活動の情報がローカルインターフェイスのレポートに書き込まれるとともに Kaspersky Security Center にも情報が送信されます。システムウォッチャーの設定でマルウェアによる変更のロールバックを有効にしていた場合、Kaspersky Security は変更されたファイルをバックアップコピーから復元できます。
共有フォルダーの外部からの暗号化を検知した時に実行する処理を変更できます。
Kaspersky Security Center で、システムウォッチャーの動作を選択するには:
- Kaspersky Security Center 管理コンソールを開きます。
- コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
- 作業領域で、[ポリシー]タブを選択します。
- ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
- ポリシーのプロパティウィンドウで、左のリストから[システムウォッチャー]セクションを選択します。
- ウィンドウの右側にある[全般設定]セクションで、[設定]をクリックします。
- 表示される[設定]ウィンドウで、 必要な動作を選択します:
- 通知する。このオプションをオンにすると、共有フォルダーのファイルの暗号化を Kaspersky Security が検知した場合、検知された悪意のある活動の情報がローカルインターフェイスのレポートに書き込まれるとともに Kaspersky Security Center にも情報が送信されます。さらに、未処理のオブジェクトのリストにもこの情報が追加されます。
システムウォッチャーの設定でマルウェアによる変更のロールバックを有効にしていた場合でも、暗号化によって変更されたファイルを Kaspersky Security がバックアップコピーから復元することはありません。
- 接続をブロックするこのオプションをオンにすると、共有フォルダーのファイルの暗号化を Kaspersky Security が検知した場合、暗号化を試行しているリモートデバイスのネットワーク接続がブロックされます。また、検知された悪意のある活動の情報がローカルインターフェイスのレポートに書き込まれるとともに Kaspersky Security Center にも情報が送信されます。[接続をブロックする期間(分)]で、ネットワーク接続をブロックする期間(分単位)を指定できます。既定値は 60 分です。
システムウォッチャーの設定でマルウェアによる変更のロールバックを有効にしていた場合、Kaspersky Security は変更されたファイルをバックアップコピーから復元します。
既定では、この動作が選択されます。
それまでデバイスのネットワーク活動をブロックしていた場合([接続をブロックする]処理がオン)、処理を[通知する]に変更しても、指定した期間の間はデバイスはブロックされ続けます。
- 通知する。このオプションをオンにすると、共有フォルダーのファイルの暗号化を Kaspersky Security が検知した場合、検知された悪意のある活動の情報がローカルインターフェイスのレポートに書き込まれるとともに Kaspersky Security Center にも情報が送信されます。さらに、未処理のオブジェクトのリストにもこの情報が追加されます。
- [設定]ウィンドウで[OK]をクリックします。
- [適用]をクリックします。
ローカルインターフェイスで、システムウォッチャーの動作を選択するには:
- 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
- ウィンドウの左側の[プロテクション]セクションで、[システムウォッチャー]を選択します。
ウィンドウの右側に、システムウォッチャーの設定が表示されます。
- [設定]をクリックします。
[設定]ウィンドウが表示されます。
ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。
- 前述の手順のうち、ステップ 7 ~ 8 を実行します。
- 変更内容を保存するには[保存]をクリックします。
外部からの暗号化に対する保護からの除外リストの編集
外部からの暗号化に対する共有フォルダーの保護からの除外リストを有効にするには、Windows のセキュリティポリシーでシステムへのログオンの監査を有効にする必要があります(ログオンの監査の設定で[成功]をオンにします)。詳細は、Microsoft の Web サイトの説明を参照してください。
リモートデバイスの名前や IP アドレスを除外リスト追加して、外部からの暗号化に対する共有フォルダーの保護からリモートデバイスを除外できます。除外リストに追加したデバイスから共有フォルダーに対して実行されるネットワーク活動は、本製品によって監視されなくなります。
Kaspersky Security が起動するよりも前に共有フォルダーにアクセスしているリモートデバイスのアドレスを、外部からの暗号化に対する共有フォルダーの保護からの除外リストに追加した場合、このデバイスには除外が適用されません。外部からの暗号化に対する共有フォルダーの保護からこのリモートデバイスによるネットワーク活動を除外するには、Kaspersky Security の起動後にこのリモートデバイスを再起動する必要があります。
また、共有フォルダーの外部暗号化に対する保護から、個々のフォルダーを除外することも可能です。これを行うには、システムウォッチャーコンポーネントが使用するフォルダの除外を設定する必要があります。除外項目は、全般的な保護設定のセクションで設定します。
Kaspersky Security Center を使用して、外部からの暗号化に対する共有フォルダーの保護からリモートデバイスを除外するには:
- Kaspersky Security Center 管理コンソールを開きます。
- コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
- 作業領域で、[ポリシー]タブを選択します。
- ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
- ポリシーのプロパティウィンドウで、左のリストから[システムウォッチャー]セクションを選択します。
- ウィンドウの右側にある[全般設定]セクションで、[設定]をクリックします。
- [設定]ウィンドウの[除外リスト]をクリックします。
- 表示される[除外リスト]ウィンドウで、次のいずれかを実行します:
- デバイスの IP アドレスまたは名前を除外リストに追加するには、[追加]をクリックします。
- 除外リストに含まれるデバイスの IP アドレスまたは名前を編集するには、その項目を選択して[編集]をクリックします。
- 表示される[コンピューター]ウィンドウで、共有フォルダーでのファイル変更の試行の監視対象から除外するデバイスの IP アドレスまたは名前を入力します。
- [コンピューター]ウィンドウで[OK]をクリックします。
- [除外リスト]ウィンドウで[OK]をクリックします。
- [適用]をクリックします。
ローカルインターフェイスを使用して、外部からの暗号化に対する共有フォルダーの保護からリモートデバイスを除外するには:
- 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
- ウィンドウの左側の[プロテクション]セクションで、[システムウォッチャー]を選択します。
ウィンドウの右側に、システムウォッチャーの設定が表示されます。
- [設定]をクリックします。
[設定]ウィンドウが表示されます。
ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。
- 前述の手順のうち、ステップ 7 ~ 11 を実行します。
- 変更内容を保存するには[保存]をクリックします。