ENS ファイアウォールを使用する際のアプリケーション/ネットワーク トラフィックのトラブルシューティング
技術的な記事 ID:
KB90662
最終更新: 2022-05-02 13:08:13 Etc/GMT
最終更新: 2022-05-02 13:08:13 Etc/GMT
環境
McAfee Endpoint Security (ENS) Firewall 10.x
概要
この記事の最近の更新
ENS ファイアウォールがブロックするサードパーティ アプリケーション:
ENS ファイアウォールがサードパーティ アプリケーションの正常な機能をブロックしている場合は、サードパーティ アプリケーション ベンダーのサポート チームに連絡してください。 ENS ファイアウォールの通過を許可する必要がある特定のネットワーク トラフィックに関するドキュメントを要求します。 サードパーティ ベンダーの Web サイトには、アプリケーションに必要なネットワーク トラフィックに関するドキュメントも含まれている場合があります。 文書化されたネットワーク トラフィック要件を使用して、ファイアウォール ルールを作成し、サードパーティ アプリケーションが適切に機能するように ENS ファイアウォールを通過するネットワーク トラフィックを許可できます。
ENS ファイアウォールを使用する場合は、次の手順を使用してアプリケーションまたはネットワーク トラフィックのトラブルシューティングを行います。
ENS ファイアウォール モジュールのデバッグ ロギングを有効にする
[ブロックされたトラフィックをすべてログに記録する] と [許可されたトラフィックをすべてログに記録する] というファイアウォール ロギング オプションを有効にする
ENS ファイアウォール適応モードを有効にしてテストする
ENS ファイアウォール適応モード機能の制限に注意してください。 ENS ファイアウォールがクライアント ルールを自動的に作成できないという条件があります。 詳細については、関連する Endpoint Security 製品ガイド の「FAQ - 適応モード」セクションを参照してください。
ENS ファイアウォール適応モードを有効にするには、2 つのトラブルシューティング手順があります。
トップに戻る
「任意のトラフィックを許可する」ポリシーを使用してテストする
「任意のトラフィックを許可する」 ポリシー を実行するには、Endpoint Security ファイアウォール、オプション と ルール のポリシーを、以下の説明のように設定する必要があります。
問題を解決するネットワーク トラフィックの種類を隔離してテストする
問題に関連するネットワーク トラフィックの種類を特定するには、異なる条件でネットワーク トラフィックを隔離します。 さまざまな一般的な組み合わせは、BLOCKED エントリをFirewallEventMonitor.log ファイルで確認するときに焦点を当てるネットワーク トラフィックのタイプを決定するのに役立ちます。
注: 以下に示すリストは、いくつかの基準の例のガイドにすぎず、完全なリストを意図したものではありません。
使用例:
すべての受信トラフィックを許可することで問題が解決する場合は、ルールを TCP、UDP、ICMP にさらに絞り込みます。
すべての受信 TCP トラフィックを許可することで問題が解決する場合は、ファイアウォール ログで ブロックされた受信 TCP トラフィックを確認してください。
汎用的な組み合わせの例:
サポートされていないプロトコルを許可してテストする
Endpoint Security ファイアウォール、オプション (ユーザー別のポリシー) ポリシーで、サポートされていないプロトコルのトラフィックを許可する オプションを有効にし、再テストして、このアクションが問題を解決したかを確認します。
トップに戻る
[McAfee GTI ネットワーク レピュテーション] 機能を無効にしてテストする
[Endpoint Security ファイアウォール] 、 [オプション (ユーザー別のポリシー)] ポリシーで、[受信ネットワークのしきい値] と [送信ネットワークのしきい値] を [ブロックしない] に設定します。 次に、再テストして、このアクションで問題が解決するかどうかを確認します。 他のファイアウォール ルールが ファイアウォール ルール ポリシー (あらゆるトラフィックを許可する ファイアウォール ルールを含む可能性がある) を含む 前に、McAfee GTI ネットワーク レピュテーション 機能がネットワーク トラフィックを処理します。 GTI ネットワーク レピュテーション機能がネットワーク トラフィックをブロックする場合は、KB90837 - Endpoint Security ファイアウォール Global Threat Intelligence に関する FAQ を参照してください。
トップに戻る
GTI の [信頼されていない実行ファイルをすべてブロックする] 機能を無効にしてテストする
[Endpoint Security ファイアウォール] 、[オプション(ユーザー別のポリシー)] ポリシーの [信頼されていない実行ファイルをすべてブロックする] オプションを無効にします。 次に、再テストして、このアクションで問題が解決するかどうかを確認します。 この機能が、署名されていない、または不明な GTI 評価のすべての実行ファイルをブロックします。 この機能について、詳しくは KB90096 - 「実行検証ルール」の説明 を参照してください。 この機能によってブロックされたネットワーク トラフィックはFirewallEventMonitor.log ファイルの Matched Rule: Executable verification Rule エントリに記録されます。
トップに戻る
[ファイアウォール サービスが開始するまで送信トラフィックのみを許可する] 機能を無効にしてテストする
[Endpoint Security ファイアウォール] 、[オプション(ユーザー別のポリシー)] ポリシー の [ファイアウォール サービスが開始するまで送信トラフィックがのみを許可する] オプションを無効にします。 次に、このアクションによって問題が解決されたかどうかを確認します。 この機能により、Windows の起動中、カーネルにハードコードされたファイアウォール ルールのセットが作成されます。 このルールは、ENS サービスが完全に開始されると削除されます。 これらのルールは、Windows 起動プロセス中にアプリケーションのネットワーク トラフィックをブロッし、問題を引き起こす可能性があります。 この機能の既知の問題については、KB90765 - Endpoint Security ファイアウォール モジュールをアンインストールした後、クライアントが受信ネットワーク接続をブロックしている を参照してください。
トップに戻る
McAfee コア ネットワーク ルールを無効にしてテストする
McAfee コア ネットワーク ルールは、いくつかの種類の基本的なネットワーク トラフィックを許可します。 詳細については、KB91206 - Endpoint Security ファイアウォールの「McAfee コア ネットワーク ルールを無効にする」機能に関する FAQ を参照してください。 ネットワーク トラフィックを適切にブロックするブロック ルールがある場合は、[Endpoint Security ファイアウォール] 、オプション(ユーザー別のポリシー) ポリシーの [McAfee コア ネットワーク ルールを無効にする] オプションを有効にします。 このアクションによって問題が解決されたかどうか確認してください。 ENS ロギング オプションを使用して [ブロックされたすべてのログ] オプションを有効にすると、これらのルールがネットワーク トラフィックをブロックまたは許可する場合、FirewallEventMonitor.log ファイルが [McAfee コア ネットワーク ルール] グループから該当するルールの名前を記録します。
トップに戻る
McAfee コア ネットワーク ルールを有効にしてテストする
McAfee コア ネットワーク ルールは、いくつかの種類の基本的なネットワーク トラフィックを許可します。 詳細については、KB91206 - Endpoint Security ファイアウォールの「McAfee コア ネットワーク ルールを無効にする」機能に関する FAQ を参照してください。 一部のネットワーク トラフィックは、これらのハードコードされたファイアウォール ルールによって許可される必要があります。 一部のお客様は、コア ネットワーク ルールを無効にすることを選択する場合があり、この選択により問題が発生する可能性があります。
注: [McAfee コア ネットワーク ルールを無効にする] オプションは、デフォルトで選択解除されています。 このオプションを有効にしている (これらのルールを無効にする) お客様は、テスト目的でこの機能をデフォルトに戻す必要があります。
Windows セキュリティ センターで ENS ファイアウォールと Windows Defender ファイアウォールのステータス値を確認します
ENS ファイアウォールは、有効にすると、Windows システム上の特定のファイアウォール カテゴリを引き継ぎます。 管理者コマンド プロンプトを使用してnetsh advfirewall show global コマンドを実行し、カテゴリ値が次のように設定されていることを確認します。
トップに戻る
日付 | 更新日 |
2021 年 7 月 30 日 | 問題がパフォーマンスまたはタイミングの問題に関連していない限り、ネットワーク キャプチャ トレースがすべての状況で必要になるわけではないことを更新しました。 テクニカル サポートは、必要に応じてネットワーク トレースを具体的に要求する場合があります。 |
2021 年 6 月 29 日 | ファイル名を修正しました。 |
ENS ファイアウォールがブロックするサードパーティ アプリケーション:
ENS ファイアウォールがサードパーティ アプリケーションの正常な機能をブロックしている場合は、サードパーティ アプリケーション ベンダーのサポート チームに連絡してください。 ENS ファイアウォールの通過を許可する必要がある特定のネットワーク トラフィックに関するドキュメントを要求します。 サードパーティ ベンダーの Web サイトには、アプリケーションに必要なネットワーク トラフィックに関するドキュメントも含まれている場合があります。 文書化されたネットワーク トラフィック要件を使用して、ファイアウォール ルールを作成し、サードパーティ アプリケーションが適切に機能するように ENS ファイアウォールを通過するネットワーク トラフィックを許可できます。
ENS ファイアウォールを使用する場合は、次の手順を使用してアプリケーションまたはネットワーク トラフィックのトラブルシューティングを行います。
NOTE: Not all these steps need to be performed. 以下の一部のテストは、トラブルシューティングしている問題と使用中のファイアウォール構成設定に応じてのみ適用できます。 以下の最も重要な手順は、デバッグログを有効にし、「ブロックされたすべてのトラフィックをログに記録する」を有効にし、「許可されたすべてのトラフィックをログに記録する」を有効にすることです。
- ENS ファイアウォール モジュールのデバッグ ロギングを有効にする
- ファイアウォール ロギング オプション [ブロックされたトラフィックをすべてログに記録する] と [許可されたトラフィックをすべてログに記録する] を有効にする
- ENS ファイアウォール適応モードを有効にしてテストする
- ENS ファイアウォール適応モード機能を有効にすると問題が解決する場合のトラブルシューティング手順
- 「任意のトラフィックを許可する」ポリシーを使用してテストする
- どのタイプのネットワーク トラフィックを分離して問題を解決するかをテストする
- サポートされていないプロトコルを許可してテストする
- McAfee GTI ネットワーク レピュテーション機能を無効にしてテストする
- GTI の [信頼されていない実行ファイルをすべてブロックする] 機能を無効にしてテストする
- [ファイアウォール サービスが開始するまで送信トラフィックのみを許可する] 機能を無効にしてテストする
- [McAfee コア ネットワーク ルールを無効にする] を選択してテストする
- McAfee コア ネットワーク ルールを有効にしてテストする
- Windows セキュリティセンターで ENS ファイアウォールと Windows Defender ファイアウォールのステータス値を確認する
- McAfee Minimum Escalation Requirements (MER) と
FWInfo 、AMTrace ツール、およびネットワーク キャプチャ ソフトウェアを使用してデータを収集します
ENS ファイアウォール モジュールのデバッグ ロギングを有効にする
- ePolicy Orchestrator (ePO) 管理対象システムの場合:
- ePO コンソールを開きます。
- [Endpoint Security Common] 、 [オプション] のポリシーを編集します。
- [詳細を表示] をクリックします。
- [デバッグ ロギング] セクションの下にある [ファイアウォールで有効にする] を選択します。
- ポリシーを保存します。
- スタンドアロンのシステム (ePO で管理されていない) の場合:
- McAfee Agent 通知領域アイコンから、またはアプリケーション
\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform\MFEConsole.exe を実行して、ENS コンソールを開きます。 - ファイアウォール モジュールをクリックするか、右上隅の下矢印をクリックして、設定 をクリックします。
注: 最初に、管理者ログオン を使用して ENS コンソールのロックを解除する必要がある場合があります。
- [共通設定] セクションをクリックします。
- [詳細を表示] をクリックします。
- [デバッグ ロギンク] セクションの下にある [ファイアウォールで有効にする] を選択します。
- 適用 をクリックします。
- McAfee Agent 通知領域アイコンから、またはアプリケーション
[ブロックされたトラフィックをすべてログに記録する] と [許可されたトラフィックをすべてログに記録する] というファイアウォール ロギング オプションを有効にする
- [ブロックされたトラフィックをすべてログに記録する] と [許可されたトラフィックをすべてログに記録する] というファイアウォールのロギング オプションを有効にします。
- ePO の管理対象システムの場合:
- ePO コンソールを開きます。
- [Endpoint Security Firewall] 、 [オプション(ユーザー別のポリシー)] のポリシーを編集します。
- [詳細を表示] をクリックします。
- [調整オプション] セクションの下にある [ブロックされたトラフィックをすべてログに記録する] と [許可されたトラフィックをすべてログに記録する] を選択します。
- Global Threat Intelligence (GTI) の関連するアクティビティには、 [McAfee GTI ネットワーク レピュテーション] セクションの下にある [一致するトラフィックをログに記録する] を選択します。
- ポリシーを保存します。
- スタンドアロンのシステム (ePO で管理されていない) の場合:
- ENS コンソールを開きます。
- [ファイアウォール] モジュールの [設定] を開きます。
- [調整オプション] セクションの下にある [ブロックされたトラフィックをすべてログに記録する] と [許可されたトラフィックをすべてログに記録する] を選択します。
- Global Threat Intelligence (GTI) の関連するアクティビティには、 [McAfee GTI ネットワーク レピュテーション] セクションの下にある [一致するトラフィックをログに記録する] を選択します。
- [適用] をクリックします。
- ePO の管理対象システムの場合:
- 問題を再現します。
- ブロックおよび許可されたネットワーク トラフィックの詳細については、
FirewallEventMonitor.log ファイルを確認してください。FirewallEventMonitor.log ファイルは、ディレクトリ\ProgramData\McAfee\Endpoint Security\Logs\ にあります。
ENS ファイアウォール適応モードを有効にしてテストする
ENS ファイアウォール適応モード機能の制限に注意してください。 ENS ファイアウォールがクライアント ルールを自動的に作成できないという条件があります。 詳細については、関連する Endpoint Security 製品ガイド の「FAQ - 適応モード」セクションを参照してください。
製品ドキュメントについては、 製品ドキュメントポータルにアクセスしてください。
- ePO コンソールまたは ENS コンソールを使用して、Endpoint Security ファイアウォール、 オプション のポリシーを編集します。
- [詳細を表示] をクリックします。
- [調整オプション] セクションにある、[適応モードを有効にする (クライアントにルールを自動的に作成する)] を選択します。
注: ENS クライアントが ePO 管理されている場合は、[このポリシーが適用されている場合は、既存のユーザーが追加したルールと適応モード ルールを保持する] オプションも有効にします。 このオプションを使用すると、McAfee Agent ポリシーの適用が発生した場合に、ENS クライアントがこれらのクライアント ルールを保持し、クライアント ルールを削除しないようにすることができます。 これにより、ポリシー管理のためにクライアント ルールを ePO サーバーにアップロードできます。 ENS ファイアウォール プロパティ変換ツール ePO サーバー タスクはクライアント ルールを処理し、レポート、ファイアウォール クライアント ルール メニューで個々のクライアント ルールから ePO 管理可能なクライアント ルールに変換します。 このタスクは、リストされている ENSFW プロパティ変換ツール サーバー タスクではなく、15 分ごとに自動的に実行される非表示の内部タスクです。 非表示の ENSFW プロパティ変換ツール サーバー タスクを常に 無効 状態に保ちます。 - クライアントに変更したポリシーを適用し、再度問題をテストします。 問題が解決した場合は、次の手順に進みます。 問題が解決しない場合は、次のセクションに進みます。
- ENS コンソールを開き、 [ファイアウォール] メニューを開いてください。
- [ルール] セクションを下にスクロールして、 [適応] ファイアウォール グループを確認してください。
- [適応] ファイアウォール グループを展開し、クライアント ルールを確認して、新しいルールが作成された理由を調査します。 ファイアウォール クライアント ルールは、さまざまな理由で作成される場合があります。 必要に応じて既存のルールを変更するか、特定のアプリケーションまたはネットワーク トラフィックのポリシーに他のファイアウォール ルールが存在する場合は、ポリシーにファイアウォール ルールを作成します。 ルールが誤って作成されたと考えられる場合、調査を進めますので、テクニカル サポートに問い合わせをお願いいたします。 連絡先について詳しくは、「関連情報」セクションを参照してください。
ENS ファイアウォール適応モードを有効にするには、2 つのトラブルシューティング手順があります。
- 適用可能なネットワーク トラフィックに適応モード クライアント ルールが作成されているかどうかを確認します。 ENS ファイアウォール クライアント メニューを開き、ルール セクションを参照します。 適応 ファイアウォール グループを見つけます。 > 記号をクリックしてグループを開き、ローカル クライアント ルールを一覧表示します。 グループがグレー表示されて開くことができない場合、クライアント ルールはシステム上でローカルに作成されていません。 ENS クライアントが ePO で管理されている場合、これらの適応モード クライアント ルールはファイアウォール クライアント ルール管理のために ePO サーバーに送信されます。 レポート、ファイアウォール クライアント ルール メニューでファイアウォール クライアント ルールを確認します。
- ENS ファイアウォール適応モードでは、クライアント ポリシーの下部にあるデフォルトの すべてのトラフィックをブロック ルールも変更されます。 このデフォルトを、適応ルール という名前の「すべて許可」ルールに変更します。 上記の手順で適応クライアント ルールが作成されていない場合は、
FirewallEventMonitor.log ファイルでログ 一致ルール: 適応ルール エントリを確認します。 これらのエントリには、他のファイアウォール ルールで許可またはブロックされておらず、適応モードで学習されなかったネットワーク トラフィックが含まれています。 この一致するトラフィックに対して、クライアント上でローカルに、または ePO ポリシーを介して、ファイアウォール ルールを手動で作成する必要があります。 これらのルールは、どのネットワーク トラフィックが問題を解決するかを特定するのに役立ちます。 複数の種類のネットワーク トラフィックが特定のサードパーティ アプリケーションの問題を解決する可能性があります。 適応ルール という名前のファイアウォール ルールを介して許可されるネットワーク トラフィックの場合、実行可能 パス は通常です。つまり、定義されたファイアウォール ルール内の実行可能ファイルも > である必要があります。
Example:
Time: 01/13/2020 11:30:38 AM
Event: Traffic
IP Address: 10.10.10.1
Description:
Path:
Message: Allowed Incoming UDP - Source 10.10.10.1 : (56711) Destination 10.10.10.2 : (49284)
Matched Rule: Adaptive Rule
トップに戻る
「任意のトラフィックを許可する」ポリシーを使用してテストする
「任意のトラフィックを許可する」 ポリシー を実行するには、Endpoint Security ファイアウォール、オプション と ルール のポリシーを、以下の説明のように設定する必要があります。
- ePO コンソールまたは ENS コンソールを使用して、Endpoint Security ファイアウォール、オプション ポリシーを次のように編集します。
- [詳細を表示] をクリックします。
- [ファイアウォール] セクションで、 [ファイアウォールを有効にする] を選択します。
- [保護オプション] セクションで、次のオプションを設定します。
- [サポートされていないプロトコルのトラフィックを許可する] - 有効にします
- [ファイアウォール サービスが開始するまで送信トラフィックのみを許可する] - 無効にします
- [ブリッジド トラフィックを許可する] - 有効にします
- [調整オプション] セクションで、次のオプションを設定します。
- [適応モードを有効にする] - 無効にします
- [McAfee コア ネットワーク ルールを無効にする] - 有効にします
注: McAfee では、この機能を有効のままにしておくことをお勧めします。McAfee コア ネットワーク ルールを無効にすると、 クライアントのネットワーク通信が中断する可能性があります。 - [ブロックされたトラフィックをすべてログに記録する] - 有効にします
- [許可されたトラフィックをすべてログに記録する] - 有効にします
- [McAfee GTI ネットワーク レピュテーション] セクションで、次のオプションを設定します:
- [McAfee GTI の一致を侵入として扱う] - 無効にします
- 一致するトラフィックをログに記録する 有効にします
- [信頼されていない実行ファイルをすべてブロックする] - 無効にします
- [受信ネットワークのレピュテーションしきい値] - [ブロックしない]
- [送信ネットワークのレピュテーションしきい値] - [ブロックしない]
- ENS 10.6.0 以降の場合、McAfee GTI レピュテーション サーバーにアクセスできないため、設定は必要ありません。
- [DNS ブロック] セクションの設定は必要ありません。
- [定義済みのネットワーク] セクションの設定は必要ありません。
- [信頼された実行ファイル] セクションの設定は必要ありません。
- ePO コンソールまたは ENS コンソールを使用して、Endpoint Security ファイアウォール、ルール ポリシーを次のように編集します。
- [ルールを追加] をクリックします。
- [説明] セクションで、次の設定を構成します。
- 名前 - [Allow (任意)]
- ステータス - ルールを有効化する
- 実行 - 許可する
- 侵入としてマッチを処理する - 無効
- ログマッチトラフィック - 無効
- 方向 - 双方向
- [ネットワーク] セクションで、次の設定を構成します。
- ネットワーク プロトコル - すべてのプロトコル
- 接続の種類 - [すべての種類 (有線、無線、仮想)]
- ネットワークの指定 - 設定は必要ありません。
[トランスポート] セクションで、次の設定を構成します。 - [トランスポート プロトコル] : [すべてのプロトコル]
- [アプリケーション] セクションの設定は必要ありません。
- [スケジュール] セクションで、次の設定を構成します。
- [スケジュールを有効にする] - 無効にします
- [スケジュールを有効にする] - 無効にします
- 問題を再度テストします。
問題が解決されている場合、名前があるポリシー内のすべてのファイアウォール ルール グループを展開し、先頭からそれぞれのファイアウォール ルールを分析します。 [アクション] が [ブロック] になっているルールには特に注意してください。 このレビューに基づき、ファイアウォール ルールの様々な階層にある あらゆる ルールを順に見ていきます。 ルールが見つからない場合は、ファイアウォール ポリシー セットに適切なルールを追加し、再検証します。 これを数回行い、問題を再検証することで、どのルールがアプリケーションをブロックしているのかを判断できる可能性があります。
注: アプリケーションの詳細が実行ファイルの詳細と適切に一致しているかを確認してください。 たとえば、ファイルの説明値は正確にアプリケーションの説明である必要があります。この値は、アプリケーションのコメント値ではありません。 詳細については、以下を参照してください。 KB71735 - Endpoint Security ファイアウォールと Host Intrusion Prevention の実行ファイルの File Description フィールドの目的について
問題を解決するネットワーク トラフィックの種類を隔離してテストする
問題に関連するネットワーク トラフィックの種類を特定するには、異なる条件でネットワーク トラフィックを隔離します。 さまざまな一般的な組み合わせは、BLOCKED エントリを
注: 以下に示すリストは、いくつかの基準の例のガイドにすぎず、完全なリストを意図したものではありません。
使用例:
すべての受信トラフィックを許可することで問題が解決する場合は、ルールを TCP、UDP、ICMP にさらに絞り込みます。
すべての受信 TCP トラフィックを許可することで問題が解決する場合は、ファイアウォール ログで ブロックされた受信 TCP トラフィックを確認してください。
汎用的な組み合わせの例:
- すべての送信トラフィックを許可する
- すべての受信トラフィックを許可する
- すべての IPv4 トラフィックを許可する
- 受信と送信
- TCP と UDP と ICMP
- すべての IPv6 トラフィックを許可する
- 受信と送信
- TCP と UDP と ICMP
- すべての TCP トラフィックを許可する
- 受信と送信
- すべての UDP トラフィックを許可する
- 受信と送信
- すべての ICMP トラフィックを許可する
- 受信と送信
- ICMPv4 と ICMPv6
- すべてのブロードキャスト (255.255.255.255) トラフィックを許可する
- すべてのマルチキャスト (224.0.0.252-239.255.255.250) トラフィックを許可する
サポートされていないプロトコルを許可してテストする
Endpoint Security ファイアウォール、オプション (ユーザー別のポリシー) ポリシーで、サポートされていないプロトコルのトラフィックを許可する オプションを有効にし、再テストして、このアクションが問題を解決したかを確認します。
トップに戻る
[McAfee GTI ネットワーク レピュテーション] 機能を無効にしてテストする
[Endpoint Security ファイアウォール] 、 [オプション (ユーザー別のポリシー)] ポリシーで、[受信ネットワークのしきい値] と [送信ネットワークのしきい値] を [ブロックしない] に設定します。 次に、再テストして、このアクションで問題が解決するかどうかを確認します。 他のファイアウォール ルールが ファイアウォール ルール ポリシー (あらゆるトラフィックを許可する ファイアウォール ルールを含む可能性がある) を含む 前に、McAfee GTI ネットワーク レピュテーション 機能がネットワーク トラフィックを処理します。 GTI ネットワーク レピュテーション機能がネットワーク トラフィックをブロックする場合は、KB90837 - Endpoint Security ファイアウォール Global Threat Intelligence に関する FAQ を参照してください。
トップに戻る
GTI の [信頼されていない実行ファイルをすべてブロックする] 機能を無効にしてテストする
[Endpoint Security ファイアウォール] 、[オプション(ユーザー別のポリシー)] ポリシーの [信頼されていない実行ファイルをすべてブロックする] オプションを無効にします。 次に、再テストして、このアクションで問題が解決するかどうかを確認します。 この機能が、署名されていない、または不明な GTI 評価のすべての実行ファイルをブロックします。 この機能について、詳しくは KB90096 - 「実行検証ルール」の説明 を参照してください。 この機能によってブロックされたネットワーク トラフィックは
トップに戻る
[ファイアウォール サービスが開始するまで送信トラフィックのみを許可する] 機能を無効にしてテストする
[Endpoint Security ファイアウォール] 、[オプション(ユーザー別のポリシー)] ポリシー の [ファイアウォール サービスが開始するまで送信トラフィックがのみを許可する] オプションを無効にします。 次に、このアクションによって問題が解決されたかどうかを確認します。 この機能により、Windows の起動中、カーネルにハードコードされたファイアウォール ルールのセットが作成されます。 このルールは、ENS サービスが完全に開始されると削除されます。 これらのルールは、Windows 起動プロセス中にアプリケーションのネットワーク トラフィックをブロッし、問題を引き起こす可能性があります。 この機能の既知の問題については、KB90765 - Endpoint Security ファイアウォール モジュールをアンインストールした後、クライアントが受信ネットワーク接続をブロックしている を参照してください。
トップに戻る
McAfee コア ネットワーク ルールを無効にしてテストする
McAfee コア ネットワーク ルールは、いくつかの種類の基本的なネットワーク トラフィックを許可します。 詳細については、KB91206 - Endpoint Security ファイアウォールの「McAfee コア ネットワーク ルールを無効にする」機能に関する FAQ を参照してください。 ネットワーク トラフィックを適切にブロックするブロック ルールがある場合は、[Endpoint Security ファイアウォール] 、オプション(ユーザー別のポリシー) ポリシーの [McAfee コア ネットワーク ルールを無効にする] オプションを有効にします。 このアクションによって問題が解決されたかどうか確認してください。 ENS ロギング オプションを使用して [ブロックされたすべてのログ] オプションを有効にすると、これらのルールがネットワーク トラフィックをブロックまたは許可する場合、
注:
- McAfee では、McAfee コア ネットワーク ルールを無効にすることはお勧めしません。 ユーザー インターフェイスでこの機能を有効にしたときの警告 (「McAfee コア ネットワーク ルールを無効にすると、クライアントでのネットワーク通信に問題が発生する可能性があります。」) のように、クライアント上でネットワーク通信の問題を引き起こす可能性がああります。
- このテストは、ハードコードされた McAfee コア ネットワーク ルールのいずれかが、 ファイアウォール ルール ポリシーにリストされているファイアウォール ルールの前にネットワーク トラフィックを許可するかどうかを確認するためのものです。 この手順は通常、トラブルシューティングの手順です。 トラフィックを許可するカスタム ファイアウォール ルールが存在しない場合に、ネットワーク トラフィックが許可されている理由を判断するのに役立ちます。 (たとえば、ICMP ping の送信トラフィックをブロックしようとする場合、デフォルトのルール システム アプリケーションの送信を許可する ブロック ルールが処理される前にシステム プロセスによって生成されたネットワーク トラフィックが許可されます。)
トップに戻る
McAfee コア ネットワーク ルールを有効にしてテストする
McAfee コア ネットワーク ルールは、いくつかの種類の基本的なネットワーク トラフィックを許可します。 詳細については、KB91206 - Endpoint Security ファイアウォールの「McAfee コア ネットワーク ルールを無効にする」機能に関する FAQ を参照してください。 一部のネットワーク トラフィックは、これらのハードコードされたファイアウォール ルールによって許可される必要があります。 一部のお客様は、コア ネットワーク ルールを無効にすることを選択する場合があり、この選択により問題が発生する可能性があります。
注: [McAfee コア ネットワーク ルールを無効にする] オプションは、デフォルトで選択解除されています。 このオプションを有効にしている (これらのルールを無効にする) お客様は、テスト目的でこの機能をデフォルトに戻す必要があります。
- Endpoint Security ファイアウォール、オプション ポリシーで [McAfeeコアネットワークルールを無効にする] の選択を解除します。
- クライアントでローカルにポリシーを更新します。
- ローカル クライアントで McAfee コア ネットワーク ルールが無効な状態になっていないことを確認します。
- 問題を再テストします。
Windows セキュリティ センターで ENS ファイアウォールと Windows Defender ファイアウォールのステータス値を確認します
ENS ファイアウォールは、有効にすると、Windows システム上の特定のファイアウォール カテゴリを引き継ぎます。 管理者コマンド プロンプトを使用して
カテゴリ:
BootTimeRuleCategory McAfee Endpoint Security ファイアウォール
FirewallRuleCategory McAfee Endpoint Security ファイアウォール
StealthRuleCategory McAfee Endpoint Security ファイアウォール
ConSecRuleCategory Windows Defender ファイアウォール
トップに戻る
McAfee Minimum Escalation Requirements (MER)、FWInfo 、AMTrac e ツール、およびネットワーク キャプチャ ソフトウェアを使用してデータを収集する
一部の高度なファイアウォールの問題では、問題の再現中にネットワーク パケット トレースが必要になる場合があります。 必要に応じて、2 セットのデータをキャプチャします。1 つは問題あり、もう 1 つは問題なしで、機能するシナリオと機能しないシナリオを提供します。トレースを比較して、ネットワーク パケット トラフィックとの違いを判断できます。 テクニカル サポートからの指示がない限り、通常、機能しないシナリオのデータ セットが最低限必要です。
一部の高度なファイアウォールの問題では、問題の再現中にネットワーク パケット トレースが必要になる場合があります。 必要に応じて、2 セットのデータをキャプチャします。1 つは問題あり、もう 1 つは問題なしで、機能するシナリオと機能しないシナリオを提供します。トレースを比較して、ネットワーク パケット トラフィックとの違いを判断できます。 テクニカル サポートからの指示がない限り、通常、機能しないシナリオのデータ セットが最低限必要です。
- (オプション) ネットワーク キャプチャ ソフトウェアをテスト クライアントにインストールします。
注 :- 問題がパフォーマンスまたはタイミングの問題に関連していない限り、ネットワーク キャプチャ トレースはすべての状況で必要なわけではありません。 テクニカル サポートは、必要に応じてネットワーク トレースを具体的に要求する場合があります。
- ネットワーク キャプチャの問題は、Wireshark に含まれている WinPcap ソフトウェアで過去に発生しました。 NETRESEC
RAWCap は、これらの問題を回避するために使用できる代替のネットワーク キャプチャ ソフトウェアです。
- McAfee
AMTrace ツールを入手します。 KB86691 - Endpoint Security の問題をトラブルシューティングするための最小データ収集手順 を参照してください。 - ENS 製品内でのデバッグ ロギングを有効にします。 KB86691 - Endpoint Security の問題をトラブルシューティングするための最小データ収集手順 を参照してください。
- ファイアウォール オプション ポリシーで、ブロックされたすべてのトラフィックをログに記録する と 許可されたすべてのトラフィックをログに記録する を有効にします。 より多くのネットワーク トラフィックをログに記録するアクティビティが増えるため、ENS ログ サイズの制限を調整する必要がある場合があります。 (通常、この調整は必要ありません。) 必要に応じて、ENS 共通設定オプション ポリシーで次の ENS ログ オプションを調整します。
- 各デバッグ ログ ファイルの制限サイズ (MB) - デフォルト サイズは 50 MB
- 各アクティビティ ログ ファイルの制限サイズ (MB) - デフォルトサイズは 10 MB
- ネットワーク トレースのキャプチャを開始します。
AMTrace ツールを起動します。AMTrace ツールを実行する方法は複数あります。 amtrace.exe を実行してツールを手動で開始または停止するか、次のコマンドライン スイッチを使用します。- 開始するには:
AMTrace.exe -b now -m 2GB - 停止するには:
AMTrace -e
- 開始するには:
- 問題を再現します。
注: テクニカル サポートのログ レビュー用に、複製した問題の正確な日付と時刻を記録してください。
- ネットワーク トレース キャプチャを停止します。
AMTrace ツールを停止します。- システムから MER ファイルを収集します。 MER には、ENS ファイアウォール ログ ファイル
\ProgramData\McAfee\Endpoint Security\Logs\Firewall*.log を含める必要があります。 - 適切なネットワーク トラフィックとアプリケーションの詳細を収集します。
- 送信元 IP アドレスと宛先 IP アドレス(必要に応じて、他の関連ネットワークアドレスの詳細も含む)。
- 該当の場合、送信元及び宛先のポート番号。
- ベンダ名、インストール パス、実行ファイルのパスおよびファイル名など、アプリケーション実行詳細。
- 問題の再現の日時。
- 該当する場合、ENS ファイアウォールのログ ファイルにある、関連のブロックまたは許可エントリ。
- 徹底的な分析のために、ENS ファイアウォール ポリシーのエクスポートされたコピーが必要になる場合があります。 必要なファイアウォール ポリシーは通常、ファイアウォール ルール または オプション ポリシーです。 テクニカル サポートが確認できるようにこれらのポリシーを提供できる場合は、ファイアウォール カタログ メニューではなく、ePO コンソールの ポリシー カタログ メニューからポリシーをエクスポートします。 ポリシー XML ファイルとして、ポリシーをエクスポートします。
FWInfo データを収集します。- 管理者としてコマンド プロンプトを開きます。 たとえば、Windows 10 を使用している場合は、[スタート] 検索ボックスに CMD と入力し、[コマンド プロンプト] を右クリックして、[管理者として実行] を選択し、[はい] をクリックします。
- 管理者コマンド プロンプトで、次のコマンドを実行します。
ipconfig /all > c:\ipconfig.txt
注:fwinfo は、C:\Program Files\Common Files\McAfee\SystemCore\fwinfo.exe にあります。
fwinfo -configdisplay > c:\fwinfo-configdisplay1.txt
fwinfo -ipconfig > c:\fwinfo-ipconfig1.txt
fwinfo -policydisplayxml > c:\fwinfo-policydisplayxml1.txt
注: Windows Vista SP1 以降のシステムでは、次のコマンドを実行します。 このコマンドは、wfpstate.xml という名前のファイルを作成します。 ファイルの名前をwfpstate1.xml に変更します。
netsh wfp show state
- テクニカル サポートに連絡し、さらに分析するために上記で収集したデータを提供してください。 連絡先の詳細については、「関連情報」セクションを参照してください。
関連情報
テクニカルサポートに問い合わせるには、[ サービスリクエストの作成] ページに移動 して、ServicePortal にログオンします。
- 登録済みのユーザーの場合は、ユーザー ID とパスワードを入力して、[ ログイン] をクリックします。
- 登録済みのユーザーでない場合は、 登録 をクリックして各項目を入力すると、パスワードと手順がメールで送信されます。
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。