[FCS] FCS でマルウェア検出時の既定の操作を上書きする

FCS は、マルウェアの検出率を高めるために日々検出対象のマルウェアを増やして定義ファイルおよび検出の仕組みを改善しています。同時に、避けて通れない問題として誤検出があります。ウイルス対策ソフトウェアの製品特性上、検出率を高めると誤検出率も高まってしまいます。

FCS がファイルを誤検出した場合、既定では定義ファイルに記述された操作を実行します。既定の操作は、重大度が高いマルウェアでは「削除」になっています。

上記のことから、最悪のシナリオとして、FCS がお客様の重要なファイルを誤検出して削除してしまうことが考えられます。このような事態を防ぐためには、既定の操作を上書きして、「検疫」に設定することが有効です。「検疫」は検出されたファイルを非実行可能形式にして、クライアントのディスク上に保持する操作であるため、検出対象がマルウェアであった場合に安全性を確保しながら、誤検出時には対象のファイルを復元することが出来ます。

-----既定の操作を「検疫」にするには

1. [Microsoft Forefront Client Security コンソール] の [ポリシー管理] タブを開きます。

2. クライアントに配布するポリシーを選択して [編集] を選択します。

3. [ポリシーの編集] の [上書き] タブを選択します。

4. [カテゴリと重大度に基づく上書き] から、[重大度] を基に上書きを設定します。「重大」、「高」、「中」、「低」の全ての重大度に関して [応答の上書き] に「検疫」を選択します。

5. ポリシーをクライアントに配布します。

----- 「検疫」ファイルの復元

検疫されたファイルは、実行できない形式でクライアントのディスク上に保持されています。誤検出であることが確定した場合に、必要があれば、復元することが可能です。

1. 管理コンソールを開いて [ツール] - [検疫されている項目] を選択します。

2. 対象のファイルの左側のボックスを選択して、[復元] をクリックします。