サードパーティアプリケーションが McAfee プロセスを挿入すると、互換性の問題が発生する可能性があります。

技術的な記事 ID: KB83123
最終更新: 2022-10-12 12:41:33 Etc/GMT

環境

McAfee Agent 5.x
McAfee Endpoint Security 10.x
VirusScan Enterprise 1.x
McAfee VirusScan Enterprise 8.8 update 4 HotFix 929019
McAfee VirusScan Enterprise 8.8 update 5 以降

の McAfee Threat Intelligence Exchange モジュール上記の McAfee 製品はすべて SysCore を使用します。SysCore を使用するすべてのサポート対象のマカフィー製品に、セルフプロテクションが導入された最小バージョンの 15.3 よりも新しいビルドの SysCore が含まれるようになりました。

サードパーティのフックアプリケーションには次のものが含まれます。¹:

Avecto Privilege Guard
BeyondTrust

¹ このリストは、他のサードパーティのフックアプリケーションが識別されると更新されます。

概要

McAfee 製品には、McAfee のファイル、フォルダー、プロセス、レジストリエントリ、および実行可能ファイルの改ざんを防止する自己保護メカニズムが含まれています。自己保護メカニズムは、特にマルウェアの攻撃に対して安全を確保し、ソフトウェアの高レベルのセキュリティと信頼性を提供し維持するために必要です。

サードパーティのソフトウェアアプリケーションの中には、独自のコード（DLL）をマカフィープロセスに読み込ませて、マカフィープロセスを注入したり、"フック" したり、しようとしたりするものがあります。サードパーティのアプリケーションは、ユーザーまたは管理者により多くの機能を提供する手段として、フック技術を使用する場合があります。ただし、McAfee 保護されたシステムレベルのサービスをフックするために、正当な理由はありません。

この動作は、サードパーティベンダーの視点からのマルウェア攻撃に似ていますが、サードパーティアプリケーションは期待どおりに動作します。サードパーティアプリケーションの目的をサポートする機能を提供します。サードパーティベンダーは、すべてのプロセスをフックする必要はないことを認識しており、多くは、特定のプロセスを除外してコードに組み込むことができる互換性の設定を提供しています。

信頼できないサードパーティのコードが、保護された McAfee サービスを挿入またはフックすると、悪影響が発生する可能性があります。既知の問題には、手動修復が必要なシステムデッドロックが含まれます。

問題

信頼できないサードパーティアプリケーションが、保護された McAfee サービスを挿入またはフックすると、次の問題が発生する可能性があります:

システムが起動時に応答しなくなります。
Windows のデスクトップがロードできません。
デッドロックは、McAfee Agent 5.x 、Endpoint Security 10.x 、VirusScan Enterprise 8.8 update 4 HotFix 929019、または update 5 以降 VirusScan Enterprise 8.8 のインストール後に発生します。
Threat Intelligence Exchangeの使用時に発生するレピュテーションの変更により、実行後に悪意があると判断された実行中のPE（Portable Executable）のクリーニングに失敗する場合があります。
ユーザーエクスペリエンスの低下など、パフォーマンスが低下する場合があります。

システムの変更

次のいずれかの製品がインストールされています。

McAfee Agent 5.x
Endpoint Security 10.x
VirusScan Enterprise 8.8 Update 4 HotFix 929019
VirusScan Enterprise 8.8 Update 5 以降
Threat Intelligence Exchange Module for VirusScan Enterprise 1.x

解決策 1

McAfee を使用すると、サードパーティ製品のデジタル証明書を信頼することができます。この操作に関する情報およびリスクについては、KB74176 - サードパーティアプリケーションのDLLが署名されていない (イベント ID 514/516/519) の中の、解決策1、ステップ2「サードパーティアプリケーション（フック）の問題を解決する」を参照してください。

解決策 2

使用可能な設定オプションについてサードパーティベンダーに相談して、McAfee プロセスのフックを防止します。

次の McAfee プロセスを挿入することはできません。このリストは包括的なものではありません。タスク Manager を使用して、環境内で使用されている McAfee プロセスを確認します。

プロセス	完全修飾パス
dxlservice.exe	C:\Program Files\McAfee\Data_Exchange_Layer\bin\dxlservice.exe
dxlservicemonitor.exe	C:\Program Files\McAfee\Data_Exchange_Layer\bin\dxlservicemonitor.exe
fcag.exe	C:\Program Files\McAfee\DLP\Agent\fcag.exe
fcags.exe	C:\Program Files\McAfee\DLP\Agent\fcags.exe
fcagte.exe	C:\Program Files\McAfee\DLP\Agent\fcagte.exe
fcagswd.exe	C:\Program Files\McAfee\DLP\Agent\fcagswd.exe
fcagd.exe	C:\Program Files\McAfee\DLP\Agent\fcagd.exe
fcpst.exe	C:\Program Files\McAfee\DLP\Agent\fcpst.exe
fcagd.exe	C:\Program Files\McAfee\DLP\Agent\x86\fcagd.exe
fcpst.exe	C:\Program Files\McAfee\DLP\Agent\x86\fcpst.exe
macmnsvc.exe	C:\Program Files\McAfee\Agent\macmnsvc.exe
macompatsvc	C:\Program Files\McAfee\Agent\x86\macompatsvc.exe
masvc.exe	C:\Program Files\McAfee\Agent\masvc.exe
mcshield.exe	C:\Program Files\Common Files\McAfee\AVSolution\mcshield.exe
mctray.exe	C:\Program Files\McAfee\Agent\x86\mctray.exe
mfeatp.exe	C:\Program Files\McAfee\Endpoint Security\Adaptive Threat Protection\mfeatp.exe
mfeesp.exe	C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\mfeesp.exe
mfefire.exe	C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe
mfefw.exe	C:\Program Files\McAfee\Endpoint Security\Firewall\mfefw.exe
mfemactl.exe	C:\Program Files\McAfee\Agent\x86\mfemactl.exe
mfemms.exe	C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe
mfetp.exe	C:\Program Files\McAfee\Endpoint Security\Threat Prevention\mfetp.exe
mfevtps.exe	C:\Windows\System32\mfevtps.exe
mfewc.exe	C:\Program Files\McAfee\Endpoint Security\Web Control\mfewc.exe
TIEService.exe	C:\Program Files\McAfee\TIEM\TIEService.exe

解決策 3

サードパーティ製品: Avecto Privilege Guard

このサードパーティ製品には、次の3つのオプションがあります:

オプション 1: Avecto Privilege Guard 挿入除外リストに McAfee バイナリを追加します。エンドポイントのレジストリを変更することで実現されます。
オプション 2: グループポリシーオブジェクト (GPO) ポリシーを使用してレジストリを変更し、McAfee バイナリを Avecto Privilege Guard のインジェクション除外リストに追加します。
オプション 3: Avecto が提供する ePO 拡張機能で、McAfee バイナリを Avecto Privilege Guard のインジェクション除外リストに追加します。

注: オプション2と3は、両方を使用している場合と、ポリシーが異なる場合に競合します。

オプション 1: McAfee バイナリを Avecto Privilege Guard 挿入除外リストに追加します。エンドポイントのレジストリを変更することで実現されます。

注: この記事には、レジストリの起動または変更に関する情報が含まれています。

以下の情報はシステムの管理者が使用することを想定しています。レジストリの変更は元に戻せません。誤った変更を行うとシステム障害が発生する可能性があります。
テクニカルサポートは、実行する前にレジストリのバックアップを取得すること、リストア方法について理解しておくことを強くお勧めします。詳細については、 advanced users 記事のレジストリ情報の Microsoft Windows を参照してください。
正規のレジストリインポートファイルであることが確認されていない REG ファイルを実行しないでください。

Windows + R を押して、入力 regedit し、 OKをクリックします。
次のレジストリの場所に移動します。

HKEY_LOCAL_MACHINE\SOFTWARE\Avecto\Privilege Guard Client\
編集、新規、複数文字列の値をクリックして、新しいレジストリエントリに DriverHookExclusions と名前を付けます。
右クリック DriverHookExclusions して、変更を選択します。
値の データ フィールドに、ソリューション2から完全なファイルパスを追加します。

注:完全なファイルパスは、キャリッジリターンで区切ります。カンマを使用しないでください。完全なパスとプロセスは大文字と小容量が区別されます。
OK をクリックします。
次のレジストリの場所について、手順 2 ~ 6 を繰り返します:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Avecto\Privilege Guard Client\
システムを再起動します。

オプション 2: グループポリシーオブジェクト (GPO) ポリシーを使用してレジストリを変更し、McAfee バイナリを Avecto Privilege Guard のインジェクション除外リストに追加します。

注: この記事には、レジストリの起動または変更に関する情報が含まれています。

以下の情報はシステムの管理者が使用することを想定しています。レジストリの変更は元に戻せません。誤った変更を行うとシステム障害が発生する可能性があります。
テクニカルサポートは、実行する前にレジストリのバックアップを取得すること、リストア方法について理解しておくことを強くお勧めします。詳細については、 advanced users 記事のレジストリ情報の Microsoft Windows を参照してください。
正規のレジストリインポートファイルであることが確認されていない REG ファイルを実行しないでください。

Avecto Privilege Guard 管理コンソールで、 コンピューターの設定、 ポリシーに移動します。
特権ガード設定を右クリックして、詳細 Agent 設定を選択します。
ウィンドウの左下にある編集ドロップダウンリストから64 ビット Agent 値を選択します。
値を追加をクリックして、新しいレジストリエントリに HookExclusions と名前を付けます。
タイプ列で複数の文字列を選択します。
値のデータ 列をダブルクリックします。
値の データ フィールドで、ソリューション2からプロセス名を追加します。

注:プロセス名をキャリッジリターンで区切ります。カンマを使用しないでください。プロセス名は大文字小文字を区別します。
OK をクリックします。

このグループポリシーは、他のグループポリシーと同様に適用されます。最初に、変更がすべてのドメインコントローラーに複製されます。次に、クライアントは90分ごとにポリシーの更新を検索します。あるいは、再起動またはログオン後にポリシーが更新されます。ポリシーの更新を手動で探すには、コマンドプロンプトから gpupdate を実行する。ポリシーの変更の有無にかかわらず、ポリシーの更新を強制的に行うには、コマンドプロンプトから gpupdate /force を実行します。

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

影響を受ける製品

言語:

この記事は、次の言語で表示可能です:

Knowledge Center

サードパーティアプリケーションが McAfee プロセスを挿入すると、互換性の問題が発生する可能性があります。

環境

概要

問題

システムの変更

解決策 1

解決策 2

解決策 3

免責事項

影響を受ける製品

言語:

Title

Title

Knowledge Center

サードパーティアプリケーションが McAfee プロセスを挿入すると、互換性の問題が発生する可能性があります。

環境

概要

問題

システムの変更

解決策 1

解決策 2

解決策 3

免責事項

影響を受ける製品

言語:

地域を選択してください

Title

Title